前言:中文期刊网精心挑选了高校网络安全方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
高校网络安全方案范文1
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 19-0000-01
University Network Security and Prevention
Zhang Zhixin
(Nanchang University,Gongqing College,Jiujiang332020,China)
Abstract:The development of computer network technology to network security issues placed in the limelight of the position,the status of various network security is worth our consideration.Today,the campus's role in the university building more and more widely,the university network security has become a school building must pay attention to the problem.Article on the university network security analysis of the problem,raised a number of colleges and universities to solve network security strategy.
Keywords:University;Network security;Prevention strategies
计算机技术的发展给我们的学习生活带来了很大的方便,学校也通过计算机技术有了新的发展。如今,校园网成为学校运行中不可缺少的部分,而系统的不断更新和进步也让校园网运行变得更加复杂。由于校园网承担着各个高校之间的信息传递与共享,是实现远程教育、教学,科研、办公、交流等工作的技术支出,其连接形式多样,终端分布不均,网络的开放性、互连性强,这也让校园网更加容易被攻击,因此,高校网络安全成为我们必须重视的问题。
一、利用先进的网络管理技术,提高高校网络管理水平
(一)采用防火墙技术,构筑校园网络安全屏障。防火墙技术是一种能隔离网络内外不良信息、病毒的保护技术,它能维护计算机网络的使用安全,构筑校内外网之间的安全屏障。防火墙技术能对所有经过校园网络的各种信息进行筛选隔离,并过滤掉一些攻击,避免这些攻击在计算机网络使用中被执行;防火墙还可以关闭一些不被使用的端口,预防特定窗口信息流动的不安全问题;它还可以禁止来自校外特殊站点的访问,从而截断了不明访问者的入侵。(二)采用VLAN技术,实现校园网不同用户群体的隔离,通过虚拟局域网技术可以将校园网分成几个不断地子网络,这样可以有效预防校园网络中广播风暴的出现,同时还能维护网络安全和信息传递的可靠性,控制不必要的数据广播,提高网络宽带的利用率和安全性。每个子网之间通过设置具体的访问控制列表(ACL),它们可以控制和允许某一方的访问,更好的保护了各个子网络,从整体上提高了网络安全。(三)采用访问权限控制技术,最大限度保护校园网资源。访问权限控制技术就是检测和拒绝网络中的未授权访问,保障授权用户可以正常的访问校内网资源,并提高这些访问的安全性。
二、计算机病毒与黑客的防范措施
病毒是现代计算机遇到的主要威胁,尤其是木马病毒,它是再现有的技术之外的一种病毒技术,其它技术总是跟随其后,防范困难,一旦中毒便损失严重。可能在短时间内,这种病毒不会有很大的改变,但是,我们也必须做好准备工作,防患于未然。在与计算机病毒的较量中,如果病毒技术并未占据上风,那我们就要做好一切工作保护自己的网络,将可能发生的危险阻挡在门外。(一)杀毒软件。一套完成的杀毒、防毒系统不仅包括常见的查、杀病毒的功能,好包括了实时防毒、实时监测、跟踪软件的功能,在发现计算机中出现病毒时会及时提醒,这有这样,才能更好地预防计算机网络被病毒侵犯。目前,市场上的杀毒软件很多,可以选择适合自己的杀毒软件。(二)数据备份。有了杀毒软件、防火墙等一些列的防毒设施,还需要进行计算机数据备份,这样才能全面的确保计算机的绝对安全。用户要定期对备份数据进行更新,保留最新的数据包,也可以将数据备份刻录成光盘永久使用。当然,校园网络安全建设并不是短时间就能完成的,我们能做到的就是最大限度地降低那些对网络有威胁的不安全因素,维护网络的正常运行。(三)隐藏IP地址。黑客会时常利用一些网络探测技术来窥探我们计算机内的信息,其主要目的就是获得我们的网络IP地址。IP地址在网络安全管理中是关键,如果黑客攻击了你的IP地址,那就证明,他的下一步攻击即将进行,他会向你的IP地址发动攻击,所以,我们有必要隐藏好IP地址,主要的方式就是使用服务器,这与直接连接到Internet的方法相比,使用服务器可以保护用户的IP地址。服务器的原理是在客户机和远程服务器之间构建一个中转站,当客户机向远程服务器提出服务要求后,服务器首先截取用户的请求,然后服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。
三、严格网络信息安全管理,完善制度防范体系
网络信息安全问题的根本就是一个管理上的问题。首先是人员上的管理,人员是网络信息安全管理的核心。管理人员除了要具备先关的专业技术水平外,还应有安全性要求,即所有从事网络管理工作的人员都应具备良好的素质道德和正确的工作价值观,不能有犯罪行为和不良嗜好,而人员的应聘和选择方面也要严格执行国家有关计算机工作上岗的规定。其次是工作程序制度,工作程序制度是网络安全管理的基础。因此,必须完善计算机上网审查审批、加密信息和数据的采集、存储、处理、传递、使用和销毁、安全教育、安全检查等一系列制度。高校网络安全管理是一个值得思考的问题,任何一个细小的失误和疏忽都有可能导致网络被黑客和病毒攻击,使不良信息快速传播。高校计算机网络安全的管理与维护是一个系统工程,需要网络管理人员、广大师生共同参与,管理人员也要时刻注意安全管理,不要放松警惕,并充分利用有效的软硬件还原技术、Ghost恢复技术、反病毒技术、软硬件防火墙技术、网络监控新技术,控制和维护网络安全。
四、结论
高校网络安全建设是一项复杂工程,涉及到的技术多,人员力量大,但严格意义上来说,根本就没有绝对安全的网络,因此,我们在加强技术管理和安全维护上面,应全面综合运用部署防火墙、入侵检测系统、上网行为管理系统和防病毒软件等多项措施,提高校园网络的安全性,建立起一套适合高校网络运行的安全系统。
参考文献:
[1]黄传河.网络规划设计师教程[M].北京:清华大学出版社,2009,6
高校网络安全方案范文2
在无线网络迅速发展的今天,高校也将网络进行了深入的运用,无线网络的有利之处正在不断的放大,同时它也成为高校网络的一个组成部分。高校设置无线网络不仅可以提高教师的教学质量,增加教师教学的相互交流,还可以为学生的生活提供更多便利,让学生可以将一些课本中所没有的学习资源很好的利用。但是目前高校在网络的分布和使用上仍然存在着一定的问题,这也是高校无线网络目前需要解决的核心问题,本文也针对这些做出了具体的分析。
1高校无线网络存在的问题
我国高校目前多数已经基本实现了无线网络的分布使用,校园内也基本都已设立了无线网络的分布点,让无线网络慢慢发展成为高校网络系统中的重要部分。目前无线网络需要花费的资金投入越来越大,这对于高校而言是一笔不小的金额,网络系统的设计在高校资金占比重的指数越来越高,无线网络的体系覆盖大多还是在有线网络的基础之上设立,并且无线网络也是有线网络的一个提高与发展,高校需要将这二者充分的利用才能实现网络系统的完美结合,但是资金投入却成为目前棘手的一个问题。在网络系统中进行资源硬件共享是在所难免的,但是这一过程也无法避免一些非法的用户通过连接到无线网络免费的使用这些信息资源,同时高校中学生的部分资料包括教师的一些教学资料信息也会被盗取,甚至用在不利之处,还有一些不法分子会盗取高校的一些考试信息,导致考试题型外泄影响高校正常教学工作开展。高校中有大量的信息资源,不管是个人的信息还是教学知识方面的信息,一旦被泄露都会为教学带来很多不利影响。高校中使用无线网络的人越来越多,学生或者教师都可以通过无线网络的平台去了解到一些校园中或者是院校外发生的事情,这让无线网络的用途变得越发广泛,但是也导致无线网络的危险指数不断增加,许多人都可以通过非法的手段将高校内的网络系统信息盗取或者更改甚至发送一些错误的数据,这样一来网络信息系统接收到的就是错误的信息,而正确的信息就会被隐藏。这些非法攻击更改的信息对高校而言是巨大的损失,让高校内的网络系统没办法与互联网正常的连接使得高校发展受到阻碍。
2高校无线网络安全防范措施
2.1高校网络安全防范措施
为了防止高校无线网络系统不受破坏,需要设计一个更加完善的无线局域网系统,因为在无线局域网传送的数据很容易被窃取,所以无线网络系统需要进行加密以及认证,WEP就采用了加密的原理,使用的加密的密钥802.11,这样一来,只有两个设备同时具备802.11才能进行通信。其次高校无线网络中需要增加适当的检测系统,这也是为了能够更好地将网络提供的数据进行监控,如今IDS就是这个途径的检测与监控,它主要是通过检测无线网络的信号来辨别信号是否正常是否有非法侵入的信号存在,另外对数据包的分析也是检测无线网络接入是否正常的重要方法。在高校无线路由器里面都会存在一个过滤地址被称之为MAC,它可以将使用计算机的MAC地址进行加入和允许,这样除了识别到的无线数据可以进入其他的都没有权限进入,这种方法的原理是单一的,所以它的成效也存在不足之处,因为这样一来有些非法分子会想办法更改MAC的地址,所以说需要SSID来进一步加强对无线网络的保护工作。
2.2活动用户群
高校无线网络使用端口进行访问的技术是对无线网络安全系数的一个巩固,因为一旦STA与所需要访问点即AP连接之后,需要802.1x的认证工作方可继续进行,一旦认证这一过程顺利的通过之后AP就可以将端口为STA打开,一旦这一过程认证失败那么就无法识别无法打开。802.1x协议就是为了杜绝没有经过授权的高校无线网络用户的进入,允许经过授权的用户进入访问WLAN,所以在高校无线网络工作站中必须安装802.1x协议客户端才可以保证无线网络连接的正常进行,而802.1x另外的一个作用就是保证系统认证和计费正常进行。在此基础上实行AP的阻碍,这样无线网络的客户端会被阻碍,如此一来就只能访问连接AP的网络,以确保无线网络的安全性。
2.3高校数据库加密
给高校数据库进行加密是对无线网安全防范的进一步举措,高校用户在成功的进行身份验证之后就可以进入数据库,但是即便可以成功的进入数据库也并不代表可以将内部所有的信息进行查找,因为需要对数据库进行进一步的加密工作,一些应当特别保密的资料数据等都需要进行特别的保护,也需要将它们与普通的数据进行区分对待,将这些需要特别保密的数据资料信息用密文的形式进行储存是现在数据库加密最常用的方法之一,通过不同的加密方法以及加密程序可以将数据库中的信息进行不同程度的加密,对于账号这些重要的资源信息就应当采取更为高级的加密措施。高校无线网络接入点最常见的认证方式就是802.1X协议,对加密密钥的要求也要做适当提高可以适当的增加难度,这样非法用户才不会轻易的解破。其实除了上述的方法之外高校还可以将发射的功率进行适当的调整,这是从物理学的角度想出的办法,将覆盖无线网络的范围进行调控。
2.4划分高校用户群设定安全措施
如今在高校网络大氛围下,一般无线网络的使用用户主要分布在办公地点或者高校内的计算机房,这些用户都是固定的用户群,这些地点都是使用互联网最多的地方而且几乎是时刻使用,其次还有一些流动性的用户群,主要是高校内学生的手机或者笔记本以及教师的电脑等等,由于用户所在的地点不固定所以使用地点也就不固定,还有一类用户,这类用户是临时使用,一般就是开会时或者有大型活动时才会使用。将这些用户群划分之后才可以按照他们的划分不同来选择合适的安全操作方案措施。高校内使用比较普遍的就是利用WEP进行加密保护,但是由于使用的用户以及地点人群的不同,所以可以列出相应的安全防范措施,对于第一类固定的用户群其实完全可以将MAC的地址进行固定限制,不允许非法用户的访问,让非法用户没有访问权限。无线网信息将IP地址进行统一,通过这种方法可以将非法的用户进行剔除。对于第二类流动性的用户可以让他们进行端口访问,将工作站即STA与访问点即AP进行连接,连接成功后通过802.1X协议系统认证正确后才可以进行访问,只要确保认证过程是正确的,那么AP便可以为STA提供端口,否则是没有访问权限的。这样一来802.1X协议不仅有着端口访问的决定权而且还可以将认证与计费进行一体化管理。最后一种用户群可以采用设置密码作为访问的权限,用户必须通过密码的正确输入才能有权限进入无线网络,这样可以保证无线网络的安全性,也可以避免非法用户对无线网络的不正当使用。
3结束语
高校内无线网络的建立可以让高校学生的学习和生活得到一定的改善,但是在无线网络不断发展的今天却也为高校发展带来了一定的隐患,在科技水平不断改革创新中应当保证高校无线网络的安全操作,同时实现资源信息的共享让高校可以真正意义上的实现互联网时代的教学。对于高校而言要想让无线网络可以正常使用必须要保证它的安全性,高校无线网络由于其自身存在的不足之处,应当从多方面多角度考虑无线网络的安全性,这也是我国高校应当共同努力的方向。
作者:张乐 单位:运城学院
引用:
[1]郑东兴.浅谈无线网络安全防范措施分析及其在校园网络中的应用研究[J].职业技术,2012.
高校网络安全方案范文3
关键词:网络安全;防火墙技术;ACL技术;NAT技术;网络入侵防护技术
中图分类号:TP393.08文献标识码:A文章编号:1673-2015(2015)05-0050-03
作者简介:李秀峰(1987—)男,山西长治人,硕士,主要从事计算机网络研究
计算机类实验室的实验室软件安装覆盖面比较广。同时,由于授课规模常在50人左右,因此要计算机类实验室中一个好的教学传播软件也是必要的,如极域2010、红蜘蛛等,这些软件均需要一个良好的局域网环境。另外,开放性实验以及编程类实验需要访问互联网以获取更多的资源,这就要求实验室要提供安全、畅通和稳定的网络环境。虽然目前互联网安全环境较之以前有了较好的发展,但是依旧潜在一定的威胁,如:钓鱼网站、挂马网站和捆绑病毒的软件等,使得用户在上网时不得不小心谨慎。实验室教学资源有限且学生较多,多台电脑故障就会影响授课质量。因此,我们必须做好网络内外的防护工作,做到防患于未然,将风险和损失降到最低。
1网络安全现状
网络给人们带来便利的同时也带来了损失。网络化使人们的交流更迅捷,也正是由于这种快速的通信方式使得不法分子有机可乘。在用户通过网络交流、购物和查账时,木马、病毒这类带有威胁性的计算机程序有可能悄悄潜入用户计算机,窍取用户数据,甚至进行一些破坏活动等。比如家喻户晓的震荡波,熊猫烧香、冲击波、灰鸽子等木马病毒,都是危害度盛极一时的代表,给广大计算机用户造成了严重的经济损失。计算机专业的学生作为用户之一,在遭受攻击之后,除了想方设法解决问题,更倾向于研究此类病毒的制作和攻击原理。学生经常在实验室浏览黑客网站,学习和研究此类危险程序。这给实验室的网络安全管理工作带来了极大的挑战,轻者重装系统,重者造成硬件故障,严重影响教学秩序。为了避免出现此类问题,可以采用许多方法进行防范。
2常见攻击类型
2.1计算机病毒
计算机病毒是最常见的带有威胁性的计算机程序,它是一组指令或者程序代码,捆绑于其他程序并进行伪装,后对计算机实施破坏。特点包括:破坏性大、高度传染性和不易发现等[1]。其传播方式有多种途径,如:U盘,内存卡,硬盘以及网络传播等。传输至计算机后,对计算机进行控制、破坏,甚至使计算机瘫痪。
2.2木马攻击
计算机木马类似于特洛伊木马潜伏在计算机系统中,系统启动后隐藏于某特定的系统端口,当木马程序接收到指示或特殊的应用启动后,会将目标数据进行复制、窃取账户名和密码等隐蔽性操作[2]。
2.3拒绝服务攻击
拒绝服务是指占据部分网络端口,使正在运行的计算机消耗大量的连接资源,导致其死机或无法响应。较为典型的为DDOS攻击,它将一段设定好的程序代码发送到网络服务器终端,使服务器忙于回复客户端的请求,并不停地等待一个不存在的客户端回复,因此消耗掉系统大量的可用资源,使得系统不能对一些合法程序的请求进行处理。总之,拒绝服务攻击使服务器中止或不能提供优质服务,以达到击垮竞争对手或其他危害计算机用户的目的。此类攻击范围较广,凡类似于此类攻击均属于拒绝服务攻击的范畴。
2.4固有的安全漏洞
以微软操作系统为例,系统每周或每月会不定期进行补丁更新,这是由于每个新开发的应用软件或操作系统都会存在漏洞,一旦软件公测或正式版本,其漏洞和缺陷在很短时间内可能就会被发现。目前还不存在一个完善的系统或应用软件,而想设计一个完美无瑕的系统几乎是不可能的。缓冲区溢出是系统最容易被攻击的地方。这是因为大多数系统对任意长短的数据都能接受,但若向系统发送过长的指令,致使长度超出系统缓冲区的处理范围,系统运行将会失去稳定,给系统造成严重的破坏。
3计算机网络信息安全的防护策略
3.1防火墙技术
防火墙技术由来已久,它是由消防词汇引申而来,寓意为防止外来攻击的屏障,用来保护系统内部信息不被恶意访问。防火墙系统主要分为两种:分组过滤和服务。前者使用分组过滤路由器将同一个IP地址的源代码、目的代码及相关协议进行分组后,分别设定权限允许或者拒绝其通过,以达到对外界IP地址访问权限的控制。而服务技术是使用相关服务器技术,当外来用户申请时,系统判定后允许其互联的一种方式,这种方式不允许内外网直接互联,以达到保护内网的目的。
3.2升级操作系统补丁
由于操作系统本身总是存在一些不完善的地方,因此为了避免受其漏洞影响而被攻击,工作站、服务器以及路由器等网络设备需要及时更新补丁或系统版本,这样可以对大多数的网络攻击起到很好的防御作用。
3.3ACL技术
ACL技术,即访问控制列表,常应用于路由器端口。分为三种:标准访问控制列表,扩展访问控制列表和命名访问控制列表。根据不同的网络环境,使用不同的类型可以禁止某些IP地址的访问或者禁止访问某些IP地址,以保护内网主机的安全,如:标准访问控制列表可以在不同的端口定义入口和出口规则限制源IP地址的访问权限。扩展形式的ACL不仅可以限制源IP地址的访问,同时可以限制其具体访问某个目的IP地址,提高精确性和确定性,使得ACL灵活多变。命名形式的ACL是在扩展ACL的基础上将ACL的编号以名字代替,提高的了ACL的可读性和维护性。
3.4NAT技术
NAT技术是一种IP地址转换技术,分为静态、动态和端口复用三种方式,它可以采用以上三种方式将内网主机的IP转换为外网IP,以另外一个身份与外界交流信息,使得外部网络无法获取真正的内网主机地址,避免了绝大部分的外部网络攻击。同时可以减少外网地址的租用量,使得多个内网地址使用1个或1组外网IP,达到节约外网IP地址的作用。
3.5入侵防护技术(IPS)
IPS是利用一个网络端口对外部流量进行检查,若确认了其安全性,外部流量会通过系统的另一个端口与内部直接相连。IPS直接嵌入到网络,不需要利用其它介质间接进入内部系统。[3]因此,IPS一旦发现有攻击者入侵网络,就会根据入侵特性创建过滤器。若有攻击者通过数据链路层到应用层的漏洞发起对内部网络的攻击,IPS能够检查数据流中的入侵行为,同时对其进行拦截。
3.6蜜罐技术
蜜罐是近几年来新兴的互联网安全防御技术,它可以动态识别未知攻击信息,然后将未知的攻击信息及时反馈给互联网防护体系,动态提高网络防护能力。[4]蜜罐技术与其它防御技术有很大的不同:它允许攻击者入侵到网络,在此过程中它会主动学习并详尽记录与攻击行为相关的信息。然后经系统自行分析后,动态调整互联网的安全防御策略,进而提高网络安全性能。
4总结
文章从应用技术的角度阐述了网络安全的防御方法。此外,实验室的管理也应纳入安全机制设置范围,如:建立严格的实验室使用规则,提高管理人员的安全意识和技术能力,规范使用人员的行为习惯等也是不容忽视的措施。这就需要我们在网络安全技术上不断地探索和研究,加强人员管理和学生教育,进一步完善高校计算机类实验室的网络安全防范。
参考文献:
[1]钱真坤,叶小路.计算机网络信息和网络安全应用研究[J].网络安全技术与应用.2013.(8):5-6.
[2]朱玲华.关于互联网安全防御技术的分析[J].网络安全技术与应用.2013.(8):21-24.
[3]黄成兵.计算机网络安全与防御分析[J].福建电脑.2011.9(6):84-86.
高校网络安全方案范文4
关键词:高校;网络安全;问题;防范对策
高校的校园网极大地方便了师生的工作、学习和生活,但由于多种因素的影响,校园网频繁遭受多方面的攻击和威胁。近年来我国已多次发生高校网络安全事件,严重影响了学校的正常秩序。构建安全稳定的校园网络,已成为各高校的当务之急。
一、高校网络安全面临的问题
1.1系统安全问题及网络攻击。高校的服务器及计算机无论使用哪种系统都会存在安全漏洞,虽然操作系统在不断完善,但黑客对操作系统、防火墙及各种协议的研究也不断加深,各种攻击方法层出不穷,再坚固的防护网都有可能被突破。校园网信息资源丰富,而网络安全防护比较薄弱。攻击者能通过漏洞非法侵入学校的网络系统,自由访问其中的文件和数据,窃取重要信息,也可能破坏信息资源及应用系统,使校园网的部分功能无法正常使用,严重时可导致网络瘫痪。
1.2人为因素带来的问题。高校网络使用者以学生为主,网络安全意识比较薄弱,不经常对电脑进行安全检查,喜欢随意访问各类网站,包括一些不安全的页面和不健康的网站,设置网站的登录密码比较简单,下载不安全的文件,不及时对U盘或硬盘进行杀毒就随便在不同的电脑上使用,经常会使网络感染病毒。部分学生热衷网络技术,在校园网中尝试各种攻击技术,甚至有学生把校园网作为攻击对象,以获取所需信息或达到其不良目的,严重影响高校的网络安全。
1.3网络管理制度不健全,缺乏专业人员。高校对网络设备需求较大,往往由于管理制度不健全及经费原因而无法及时更新设备,加上盗版软件的使用,缺乏安全的操作系统,因而随时可能受到各种攻击,这些需要由专业人员来维护,而高校较为缺乏这样的专业人员,无法定期维护网络设备,导致网络系统陈旧,安全漏洞严重,网管人员无法处理一些网络安全故障,出问题只能找公司而错过最佳的解决时期,给校园网的安全带来了隐患。
二、实现高校网络安全的对策
2.1安装高效的杀毒软件,加强防火墙技术。为计算机安装高效的杀毒软件,并及时升级以应对各种新型病毒。可在服务器上安装网络杀毒软件,统一管理校园网内的主机,实现后端防毒操作,也可购置高效的漏洞扫描产品,定期扫描所有服务器和主机,发现漏洞及时处理。由于一些网络攻击隐蔽性强,技术手段较高,因此必须加强防火墙技术的应用。防火墙要根据网络整体情况进行设置,严格控制网络端口、地址以及用户权限,过滤内网地址,定期检查安全日志,以及时发现和处理各种网络攻击。
2.2加强用户的安全教育。校园网用户众多,大部分学生缺乏网络安全意识,要通过课堂、讲座、广播等形式开展网络安全宣传和培训,提高学生的计算机水平和安全意识。可将社会中一些典型的网络问题,作为案例进行讲解,使学生建立起良好的网络道德概念,严格遵守网络安全制度,不随意访问非法网站,不在网上从事违法活动。要对各种网络诈骗提高警惕,避免受到个人信息损坏与财产损失,真正做到安全上网、文明上网。
2.3完善网络管理制度。高校都比较注重基础网络设施的投入,往往意识不到网络安全的重要性。所以学校应真正将网络安全重视起来,不断完善网络管理制度,增加对网络安全的资金投入。针对网络机房,必须建立安全的管理机制、安全责任制度及值班制度,明确网络管理者的工作职责。加大网络管理者的人才引进,并对其进行专业培训,使其掌握网络技术的最新动态,能及时处理网络突发事件。一批技术水平过硬、责任意识强的网络管理人员对高校网络安全至关重要。
作者:柳华 单位:陕西中医药大学
参考文献:
[1]贺斌.高校网络安全存在的问题与完善策略探析[J].信息通信,2014(10).
[2]池碧君.高校网络安全管理问题及对策研究[J].网络安全技术与应用,2014(3).
高校网络安全方案范文5
【关键词】访问控制列表;校园网;网络安全
网络的迅猛发展伴之而来的是网络的安全问题,任何使用网络的单位、个人都需要时刻注意自己的网络安全问题,高校也不例外。作为网络传输过程中的常见设备――路由器,不少人和单位仅仅认识和利用了它的一个基本功能――路由,实际上路由器作为信息数据流出入的必经之路,还可以用访问控制列表来作为防御网络外来攻击的一种重要控制策略。
1.访问控制列表及功能
访问控制列表(Access Control List,ACL)是应用到路由器和交换机接口的指令列表,用来控制端口进出的信息流。通过对数据包做相应的过滤、匹配,进而告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,其目的是为了对某种访问进行控制,从而起到保护相关设备,以及网络安全的作用。
所谓访问控制列表(Access Control List,ACL),是指应用到路由器和交换机接口的一组条件控制指令列表,用来控制端口进出的信息流。它通过对数据包做相应的过滤、匹配,进而告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。因此,访问控制列表对整个网络的安全防护起着至关重要的作用。访问控制列表目前有两种基本分类:标准访问控制列表和扩展访问控制列表。标准访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作,功能较为单一,其编号范围是从1到99;扩展访问控制列表比标准访问控制列表具有更多的匹配项,包括检查数据包的源地址、目的地址、源端口号、目的端口号、协议类型、IP优先级和连接建立等,其编号范围是从100到199。特定协议类型以及TCP等。相对而言,扩展访问控制列表表现出了较标准访问控制列表所不具备的灵活性。
访问控制列表的主要功能在于:阻止非法用户访问、使用特定的网络资源或限定特定用户的网络访问权限。另外,还可以限制网络流量、提高网络性能,也可在路由器端口处决定转发或阻塞某种类型的通信数据流等。
2.访问控制列表在校园网络安全网中的应用
为了确保网络安全,网络安全工程师往往根据网络安全具体需要,在路由器等设备上建立一系列访问控制列表,巧妙地将多种网络访问控制列表策略结合起来使用。作为高校校园网的管理,我们认为网络安全不只是简单的防毒、防木马,更是应结合高校教学工作的本身特点,根据高校教学、生活各场所对网络及有关数据安全的不同要求,网络管理员可以运用访问控制列表技术在对应的网络设备上设定相应的网络访问控制列表的安全策略,起到一种人为的控制和约束效果。举例如下:
2.1 限制学生访问的网络资源
针对学生非法访问网络资源,甚至恶意攻击学校网络设备与服务器,可以设置合理、稳妥的访问控制列表来限制学生所在网段的计算机访问学校的服务器(如管理服务器)。假设学生所在网段为192.168.1.100/22,其他校园网内的用户网段为192.168.0.100/22,为了防止学生恶意攻击相关服务器,同时又不影响其他用户的正常访问网络资源,可以在相关网络设备上设置如下访问控制列表,并将其应用到相关接口上。
Router (config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router (config)#access-list 1 permit any
Router (config)#interface ethernet 0/0
Router (config)#ip access-group 1 in
高校教室、实验室一般是提供给学生学习、做实验的场所。作息时间,为了确保学生能够做到自律,认真学习,防止他们去做一些与学习无关的事情(聊QQ、玩网络游戏等),这就需要网络管理员在对应的网络设备上设定相应的网络访问控制列表。假设电影、聊QQ、玩网络游戏之类的资源放在校园网网段为192.168.2.0的的FTP服务器上,而学生教室或实验室网段为192.168.3.0,这里就可采用一下的访问控制列表配置策略实现相应要求:
Router(config)#access-list 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww
Router(config)#access-list 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp
Router(config)#access-list 102 permit ip any any Router(config)#int E1
Router(config)#ip access-group 102 out
2.2 某些场所需要单向网络访问控制
教务处、任课教师的办公室往往会存一些试卷等秘密信息或数据,因此不宜让学生访问,但是教务处、教师办公室网段要能访问学生的教室、实验室的电脑,以便对学生上课、做实验等情况进行监控。假设教师的办公室网段为192.168.1.0,教室或实验室网段为192.168.3.0,这样,要达到192.168.1.0网段到192.168.3.0网段的单向访问控制,网络管理员可采用如下的访问控制列表进行策略配置:
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 estaelished
Router(config)#access-list 101 permit tcp any any
Router(config)#int E2
Router(config)#ip access-group 101 in
2.3 网络管理员需要远程控制
在校园网络安全管理过程中,为了方便网络管理员对校园内各种网络设备的管理,网络管理员可以通过远程登录的方法对遍布校园各个角落的路由器、交换机、防火墙进行配置,制订网络安全策略,阻止其他人员对网络设备进行远程访问和登陆,确保只有网络管理员的网络IP地址才能够访问该网络设备。假设网络设备所处网段为10.1.100.0,管理网段为10.1.300.0,在相关网络设备上可采用如下访问控制策略,并将其应用到相关接口上,从而只允许上述管理网段对设备访问。
Router (config)#access-list 101 permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255
Router (config)#access-list 101 deny ip any 10.1.100.0 0.0.0.255
Router (config)#interface ethernet 0/0
Router (config)#ip access-group 101 in
2.4 限制来自P2P和网络游戏蚕食带宽流量
据相关数据显示,在高校校园网中50~90%的总流量都来自P2P,其蚕食着大量带宽,常常导致校园内对实时性要求较高的如多媒体教学、电视电话会议、教师教学科研上网和校园办公OA等无法正常的开展(谢大吉,2011)。对此,可以利用访问控制列表将其它不常用的端口关闭掉,阻断大部分P2P流量和网络游戏。目前主流的网络视频、聊天软件、在线游戏大多采用P2P技术。这些P2P软件或游戏有些是用一些固定的端口,但有些P2P工具无法确定所使用的端口号,因而最好的办法就是把除正常业务需要所使用的端口如http的80端口、ftp的21,22端口、telnet的23端口等外,在相关网络设备上通过访问控制列表将关掉其它不常用的端口,从而使得大部分P2P软件和网络游戏无法正常使用,保证正常网络业务开展。
3.结语
通过采用访问控制列表以上的系列配置策略,可对目前高校校园网构建起基本的网络安全体系。但是,在具体的网络安全防护中,访问控制列表并没有被充分地利用,也有的运行不当还可能造成网络资源浪费,降低网络的服务效率。
因而,在构建安全、可靠的网络环境时,应当结合网络安全具体需求和设备的实际支持功能,合理的配置与部署访问控制列表,这样才能既保护网络安全,又发挥了网络的服务效率。
参考文献
[1]斯桃枝,姚驰甫.路由与交换技术[M].北京:北京大学出版社,2008.
[2]莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报,2009(12).
高校网络安全方案范文6
Key words: computer;network security;protection
中图分类号:TP393 文献标识码:A 文章编号:1006-4311(2014)29-0211-03
0 引言
高校计算机网络是为了满足高校的教学活动、科研而建立的计算机网路,高校通过计算机网络可以实现高校资源的共享和丰富教学模式。近年来随着我国对信息化网络建设投入力量不断增大,高校的计算机网络的建设呈现快速发展的趋势,网络的开放性,为高校的知识传播、信息交流以及教育资源共享带来了巨大的便利,但是随着计算机网路的广泛应用,计算机网络的安全问题也日益凸显出来,如何合理应用计算机网络,加强计算机网络安全成为高校计算机网络安全管理的重点内容。
1 计算机网络安全的概述
1.1 计算机网络安全的含义 计算机网路安全就是说通过各方面的保护使得网络系统受到保护,网络系统的相关数据不被外界的各种因素所破坏,保证网络服务不被中断,系统能够安全持续的运行。
1.2 研究的背景和意义 网络在现代社会发展中具有重要的作用,网络已经成为人们的生活学习的一部分,高校作为现代化建设的场所,高校计算机网络的普遍应用使得高校计算机网络安全管理工作极为重要,如果高校的计算机网络出现安全问题,就会给高校的教学活动、科研以及学生管理工作带来巨大的影响,因此研究高校计算机网络安全具有非常重要的现实意义:首先有利于高校的教学活动的正常运行,目前高校广泛的利用计算机网络进行教学,借助网络丰富的资源进行教学,而一旦网络出现安全问题,那么就会影响高校正常的教学秩序;其次有利于高校的信息化建设,高校信息化建设必须要具备安全的网络环境,只有具备安全的网络环境才能为信息化建设提供优质的硬件支持;最后有利于净化校园的文化环境,良好的校园文化对于培养高尚的、心理健康的大学生具有积极地促进作用,校园文化的形成在很大程度受到校园网络的影响,如果校园网络出现不健康的内容,就会影响大学生的心理健康发展,导致他们的思想出现错误,而通过有效的措施防范计算机网络安全,避免不健康的内容出现在校园网络中是形成良好校园文化的有效手段。
2 高校计算机网络安全管理存在问题
我国高校计算机网络的发展时间相对比较晚,因此对于高校计算机网络安全的防范工作同国外先进国家相比还存在不少的问题,高校计算机网络安全问题在我国高校中普遍存在,既有计算机本身系统的安全问题,也有人为因素的问题:
2.1 计算机系统本身的问题 计算机本身会携带某些病毒,计算机在开发设计的时候,就会在程序内部插入具有破坏性的代码,而这些代码对破坏程序内的一些功能和数据,以此影响计算机的安全使用,同时计算机系统本身携带的破坏性代码具有很强的复制性,一旦具备了其功能发挥的环境,其就会迅速蔓延,进而影响计算机的正常使用。
2.2 容易受到网络黑客的攻击 高校计算机网络运行是建立在互联网的基础上,因此高校计算机网络容易受到网络黑客的攻击,一般来说高校承担着国家某些重大课题的研究工作,其具有较高的学术价值和经济价值,因此高校网络经常成为网络黑客的攻击对象。首先高校的计算机网络应用需要的环节比较多,比如需要网络电缆、计算机主机、电源等,而这些复杂的环节都可能会成为影响网络安全的因素;其次高校计算机系统会存在某些漏洞,尤其是计算机的软件升级会带来系统的某些漏洞存在,而黑客就是利用这些漏洞对高校计算机网络进行攻击,轻则导致高校资源的相关数据丢失或者泄密,重则影响高校计算机网络的瘫痪;最后高校计算机网络的适用对象是学生,而学生由于安全意识比较差,他们在使用计算机网络的时候,他们随意的浏览网页或者下载东西,这样就会将一些夹杂在网页以及下载数据中的病毒下载到高校计算机网络系统中,而一旦病毒成功入侵高校计算机网路系统后,就有可能导致校园网络的整体瘫痪,就目前高校网络安全的运行情况看:因为学生的不合理使用而导致校园网络瘫痪的次数呈上升趋势。
2.3 相关法律法规还不健全、管理存在一定问题 目前我国已经出台了关于强化计算机网络安全的相关法律法规,但是这些法规在高校网络安全管理的应用还不彻底,许多高校对这些法律法规的认识还不全面,并且高校也没有根据自身的计算机网络发展现状制定符合自己发展的规则制度。使得高校的计算机网络操作人员在使用过程中没有具体的操作规范,比如计算机网络管理人员对于管理明码的保密措施不到位,使得高校计算机网路登录密码被他人掌握,导致高校计算机网络被破坏。
3 高校计算机网络安全防护措施
3.1 完善安全管理制度,提高安全意识 高校计算机网络安全单靠技术层面是远远不够的,还需要建立一套完整的安全管理制度,首先高校要规范计算机网路操作人员的职权,明确用户的使用规则制度,并且对各个环节进行安全评估;其次要提高用户的安全教育,提高用户的安全意识是抵抗外部不利信息入侵的主要手段,比如要教育网络使用者不要轻易开启来路不明的电子邮件,尤其是包含可执行文档的电子邮件要直接删除,避免黑客的入侵,要对自己的网络账号进行保密,不要将自己的账号密码告诉他人,如果已经告诉他人要及时重新设置新的密码;最后要加强对学生的网络监控,对学生的上网行为要进行实地监控,并且做好上网记录的保存,对于学生上网密集要从源头上采取安全控制措施。
3.2 加强高校计算机网络安全建设,提高安全技术 高校计算机网络安全需要高校要不断的提高安全防护技术,计算机网络安全涉及网络通信系统的安全、计算机操作系统的安全以及相关软件系统的安全,因此高校计算机网络安全的技术措施也主要是从这三个方面入手,构建完善的高校计算机网络安全技术:
3.2.1 做好计算机网络防火墙技术,防火墙是实现计算机外部网络与内部网络隔开的技术手段,通过防火墙可以有效地阻止不明外部网络的入侵,是拦截黑客入侵的第一道大门,因此高校计算机网络的安全一定要完善防火墙技术,高校网络建设要采取优秀的防火墙软件,当然防火墙在选购时一定要符合当前高校具体的网络建设情况,并且要选择具有杀毒、跟踪、地址转换以及IP地址自学习等功能的防火墙体系。
3.2.2 加强计算机网络的加密技术。首先,要加强传输过程中的数据加密技术,传输过程中的数据加密主要有有线加密和端端加密,有线加密是对线路的加密,是对保密信息在通过线路时通过不同的加密保证线路的安全;端端加密,就是信息在信息的发送端就进行自动加密,其经过加密处理后,以不可阅读或者不可识别的形式经过线路传输,在到达传输终端的时候也不能直接阅读,而必须要经过解密处理后才能形成可读数据;其次,数据储存的加密。数据储存加密主要包括:密文储存和存取控制,密文储存是通过加密算法转换、附加密码等形式实现,存取控制就是对用户的信息进行审查与控制,防止不合法用户存取数据和合法用户不能存取数据;再次,鉴别数据的完整性。鉴别数据的完整性主要是对信息的传送、存取以及相关数据进行验证,验证的内容主要包括:口令、秘钥、身份等,通过验证可以分析验证对象是否符合预定的参数,进而有效的保护数据的安全。最后,密钥管理,数据加密是应用更多地表现为密钥的使用,做好密钥技术管理对于计算机网络的安全具有非常重要的意义,因此高校要在密钥的产生、保存、更换以及销毁等环节加强保密。
3.2.3 加强网络监控。采用相关软件,对网络进行实时监控,密切监视封包在传送期间,是否照着既定的路径进行,是否出现不正常现象,从而确定是否遭到有心人士拦截,及时加以防范措施进行保护。
3.3 安装防杀病毒软件 高校计算机网络安全的有效防护措施就是在计算机系统中按照杀毒软件,通过杀毒软件可以及时的将计算机网络中的病毒清理掉,避免病毒的侵犯,因为市场中的杀毒软件一般都具有分析、扫面、杀毒、优化等功能,如果在网络运行过程中,出现了病毒,杀毒软件都会做出相应的警告,并且删除相应的病毒。因此高校要在其校园网络的中心主机中安装适合高校网络运行的杀毒软件,通过主机的杀毒软件对高校计算机网络进行统一的管理,杀毒软件在安装以后,要采取定期与不定期的方式对计算机网络进行杀毒处理,避免因为病毒侵犯导致网络被破坏。
3.4 大力开展学生网络道德教育 高校是人才的聚集地,高校存在很多的计算机网络高手,这些网络高手能够为高校的计算机网络的发展提供积极地促进作用,同时也会给高校的计算机网络带来消极的破坏影响,针对高校计算机网络安全大部分是由于学生的行为而导致的,就在一定程度上说明了高校的网络教育工作与高校计算机网络发展速度相脱节,因此高校应该积极开展网络教育,首先要将网络教育纳入到日常的教学活动中;其次高校要净化校园文化环境,通过构建良好的校园文化引导大学生的行为和思想,培养他们健康的人格;最后高校要灵活运用“两课”教育、广播、校报、讲座等方式,教育、规范大学生的网上行为,培养他们高尚的情操,将聪明才智应用到为社会服务的正确轨道上。
