前言:中文期刊网精心挑选了校园网络安全技术范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
校园网络安全技术范文1
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。
作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。
网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
一、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。
许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。
如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏性行为。因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
校园网络安全技术范文2
【关键词】 网络安全 安全风险 防火墙 入侵检测 身份认证
1 校园网络的安全风险分析
校园网安全的风险来自于网络的各个层面,首先,校园网是一个基于TCP/IP协议的大型局域网,TCP/IP协议采用四层的层级架构,由网络接口层、网络层、传输层和应用层构成,每一层在执行特定的通信任务同时面临着本身缺陷所带来的风险。其次,学校各部门业务应用以及支持这些应用运行的操作系统、数据库,存在很多的安全漏洞。最后,安全管理机制、网络安全策略以及防护意识的不足所带来的风险也不容忽视。下面从物理层、链路层、网络层、传输层、系统层、应用层、管理层七个方面对校园网面临的各种风险进行简要分析。
1.1 物理层的安全风险
物理层安全风险指的是由于物理设备的放置不合适或者环境防范措施不得力,使得网络设备、设施包括服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS等遭受水灾、火灾、地震、雷电等自然灾害、意外事故或人为破坏,造成校园网不能正常运行。
1.2 链路层的安全风险
数据链路层位于物理层上方和网络层、传输层的下方,通过各种控制协议和规程在有差错的物理信道中实现无差错的、可靠的数据帧的传输[1]。这一层遭受攻击会直接危胁其他各层。链路层的安全问题主要有:内容寻址存储器(CAM)表格淹没、地址解析协议(ARP)攻击、DHCP欺骗、媒体存取控制地址欺骗、虚拟局域网攻击等。
1.3 网络层的安全风险
网络层处于网络体系结构中物理链路层和传输层之间,该层封装IP数据报,进行路由转发,解决机器之间的通信问题。TCP/IP协议族中最为核心的协议IP在网络层应用最为广泛。TCP、UDP、 ICMP及IGMP数据都以IP数据报格式进行传输。这一层的常见安全问题主要有:明文传输威胁、IP地址欺骗、源路由欺骗、路由信息协议攻击、ICMP攻击、端口扫描威胁、IP碎片攻击等。
1.4 传输层的安全风险
传输层负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议:传输控制协议(TCP)和用户数据报协议(UDP)。安全问题主要有:TCP“SYN”攻击、Land攻击、TCP会话劫持、UDP淹没攻击、端口扫描攻击等。
1.5 操作系统的安全风险
绝大部分操作系统存在安全脆弱性。目前通用的Windows、 UNIX、 Linux以及其他商用操作系统,在前期设计和后期软件代码的大规模开发过程中不可避免的存在一些缺陷,为调查测试需要有的开发厂商还留下后门,使得操作系统本身存在很多安全漏洞,非常容易被攻击[2]。
1.6 业务应用的安全风险
目前基于网络的各种应用越来越多,诸如病毒、间谍软件、DDoS攻击、端口攻击、SQL注入、Web漏洞、跨站脚本、网络钓鱼、带宽滥用等形式的安全威胁飞速增长,带来信息风险、网络服务瘫痪甚至财产损失。很多在主机系统上运行的应用软件系统采购自第三方,在部署之前往往只执行了功能测试,没有进行全面标准的安全评估,部署时也往往没有进行安全加固,导致各个应用系统安全水平不一,漏洞不可避免,容易遭受黑客攻击,造成诸多安全问题。
2 计算机网络安全技术
网络系统安全的保护,必须结合网络的具体需求,将多种安全措施进行整合,建立一个立体的、完整的、多层次的网络安全防御体系。下面主要就校园网络安全防范中应用较多的技术进行介绍。
2.1 防火墙
防火墙是指设置在信任网络和不可信任网络之间执行控制策略的系统,在不同网络之间构成一道安全屏障。具体实施中可以有硬件或软件的解决方案。它按照事先设定的一系列规则,对进出内外网之间的信息流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录有关的访问连接信息、服务通信量以及试图入侵事件,以便管理员分析检测。而且防火墙本身也有很强的抗攻击能力。
2.2 入侵检测
防火墙一种被动的防御技术,由于假设了网络边界的存在,因此它对内部的非法访问难以有效地控制,它无法防止来自防火墙内侧的攻击。防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的注入攻击等。
入侵检测系统可以识别针对计算机或网络资源的恶意企图和行为,并对此作出反应。它能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。提高了网络的动态安全保护。
2.3 虚拟专用网
虚拟专用网是依靠ISP( Internet Service Provider因特网服务提供商)或NSP(Network Service Provider网络服务提供商),在公用网络中建立专用的、临时的、安全的数据通信网络技术。也是在任意两个节点之间搭建的一条安全、稳定的连接隧道。使用虚拟专用网络,可以为多个分散的机构定制一个符合自己需求的网络。
3 结语
如何有效的保障信息网络的安全,已经成为一个十分重要的课题。具体的网络整体安全解决方案,必须对网络各方面的风险进行详细分析,结合系统实际,综合运用先进的安全技术,覆盖网络的各个层次、各个方位。
校园网的建设是一项持续的、复杂的系统工程,其安全建设要求统一考虑,长远规划,分步实施,确保技术的先进性和可扩展性。校园网整体安全防范体系是一个动态的、不断发展变化的综合运行机制,如何在技术上适应网络动态变化,建立自适应的安全保障体系,仍是一个值得研究的课题。
参考文献:
[1]Gilbert Held,戴志涛,郑岩.以太网(第三版)[M].人民邮电出版社,2000,2,95-103.
校园网络安全技术范文3
互联网贯穿于高校教师的日常办公、教学授课、科研学术研讨交流和学生的学习生活之中,是校园信息化建设的关键.为了保障校园网高效、稳定、安全的运行,保证广大师生正常使用网络,避免因网络安全问题带来不必要的损失,本文针对校园网络安全技术及防范策略进行分析讨论,以期构建一个安全的校园网络系统.
关键词:
校园网络;安全技术;防范策略
1防火墙技术
防火墙是保护内部网络抵御黑客攻击和越权使用的工具,类型主要有包过滤和应用两种.包过滤技术是关于数据包的过滤规则,这些规则确定哪些数据包可通过,哪些不能通过.应用防火墙是对应用层的应用设定规则,对应用层数据流进行管理[1].防火墙设置的策略:
1.1只有明确允许通过的,才让其通过,否则拒绝.
1.2如果允许所有流量通过,那么拒绝的就要明确指出.端口一旦开放,要定期查看该端口有没有不良记录,以控制其不被利用.
1.3碉堡往往是从内部攻破的,防火墙对内也要进行防护.
1.4防火墙对流量进行直接操作.入侵检测对流量进行分析,作出判断,两者结合可形成合力,保护网络安全.
2入侵检测技术
通过对数据流量的检测、分析,发现系统中存在的攻击、越权使用等行为,并形成报告上交系统的技术称之为入侵检测技术[2].即通过对数据流量的关键信息进行分析,发现被黑客入侵的迹象或违反安全策略的行为.NIDS主要是利用SNIFFE技术对数据进行入侵检测,实时强,但缺乏对主机内的检测.基于主机的入侵检测系统(HIDS)能对主机内进行检测,但实时性差,仅作为事后取证.
3虚拟专用网技术(VPN)
VPN解决了不同地区数据传输安全问题,给高校网络互联提供了安全保证[3].
3.1VPN的概念
虚拟专用网络是在公用网络的基础上,将不同地方的用户或子网通过采取加密、认证等手段与企业内部网进行连接,形成一个逻辑上的内部网,数据可以在这个网络上安全的传输.
3.2VPN的功能
被授权的外部用户可以通过VPN,连接企业内部网,进行数据传输,数据被加密,不会被窃取、截获、复制篡改.
3.3VPN的安全性
VPN是一种扩展公司网络和增加网络用户功能的极好途径.许多网络管理员都未能意识到与这个扩展网络相关的许多重要的安全问题.由于允许远程用户进入公司网络的核心部分,许多限制都没有了,因此应该采取一些措施确保远程用户访问网络时不会出现安全漏洞.
4数据加密技术
针对动态数据的被动攻击的保护,最有效的是数据加密技术.有了数据加密技术,数据即使被黑客截获了,也不用担心其被非法利用.数据的加密、解密是在密钥的控制下,通过加密算法、解决算法来完成的.加解密算法称为密码体制,包括对称密钥、非对称密钥两种技术.
4.1对称密钥密码技术
对称密钥密码技术的加密密钥和解密密钥相同,或从一个很容易推出另一个.所以信息在加密传输过程中,要严格保管加密密钥和解密密钥.对称密钥密码技术安全、算法高效.
4.2非对称加密/公开密钥加密
美国斯坦福大学两名学者W.Diffie和M.Hellman1976年在IEEETrans.onInformation刊物上发表了“NewDirec-tioninCryptography”文章,提出了“公开密钥密码体制”的概念,开创了密码学研究的新方向.公开密钥公开的是加密密钥,但由公开密钥推不出解密密钥.用公钥加密,用私钥解密,有效的解决了加密密钥在传输中的保管问题.当前最著名、应用最广泛的公钥系统的密码算法是RSA.
5访问控制技术
访问控制技术规定了哪些用户可以访问网络资源,对访问的用户进行身份验证和确认.访问控制业务的目标是防止对任何资源的非法访问.就目前而言、访问控制技术常用的是密码设置,对访问对象分组授予不同的访问权限.各组的用户用自己的密码就可以进行权限内的访问.对外部用户可以使用防火墙技术实现访问控制.通过安全策略,设定用户访问权限,实现对外部用户的访问控制.
6数据备份和恢复技术
数据备份技术是通过专业的数据存储管理软件对全网数据进行备份,在系统遭到攻击或数据丢失时,可通过备份进行恢复.当现有系统或数据遭到破坏,可使用数据恢复技术将现在的系统或数据恢复到历史一个时间点.当系统数据崩溃时,数据恢复就是从数据备份中恢复数据,使系统能正常运行.数据恢复建立在数据备份基础上,是用备份数据进行恢复的.当受到黑客攻击或故障,系统不能正常使用时,使用数据恢复和备份技术是最直接、最有效、最经济的办法.
7防病毒技术
计算机病毒是指编制或者在计算机程序中插入的危害计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码[4].计算机病毒传播速度快、病毒种类多、破环程度广、是目前网络安全主要的安全威胁.计算机病毒危害有轻度的,有重度的,轻度的可能是个恶作剧、重度的可能破坏数据文件、有些可能导致系统瘫痪.病毒最初是单机的,就在传输介质连接的电脑之间传播,后来随着互联网的发展,互联网的开放性、共享性给病毒的传播提供了温床.大量病毒开始在互联网上大肆传播.网络病毒利用网络传播,使广大网络使用者深受其害,虽然也安装了各种杀毒软件,但也避免不了网络病毒的侵害.
7.1网络病毒的预防
由于网络病毒传播速度快、传播范围广、破坏程度大,我们要做好网络病毒的防御措施.在校园网上整体部署网络防病毒软件,及时更新病毒库,将先进的网络安全技术引入到校园网安全防御系统中来.同时对网络管理人员进行不定期的安全培训,从技术和人员管理两方面做好网络病毒的预防工作.网络管理人员和操作人员要有防病毒意识,以预防为主.从管理措施和技术措施两方面入手进行防范病毒的工作.
7.1.1严格的管理
制定严格的管理制度、操作规程和行为规章等.如计算机网络系统和计算机机房制定严格的管理制度,未经允许不得下载安装来历不明的软件,接受邮件和文件要使用专门的终端,建立安全管理制度可有效的避免因认为失误带来的计算机病毒的入侵.
7.1.2成熟的技术
将先进的、成熟的网络安全技术引入校园网安全防范体系中来,及时更新病毒库,从技术手段上做好对病毒的预防和清理工作.
7.1.3有效的预防措施
对新硬盘进行检测或进行低级格式化.安装计算机应用软件前,要对计算机进行检测、杀毒.设置PC机从硬盘直接启动.
7.1.4定期与不定期进行磁盘文件备份工作
用Bootsafe等实用程序或用Debug工具提取分区表等方法备份分区表、DOS引导扇区等,在进行系统维护和修复工作时可作为参考.对多人共用一台计算机的环境,应建立登记上机制度,做到有问题能尽早发现,有病毒能及时追查、清除,不扩散.
7.1.5网络病毒的清除
系统感染病毒后可采取以下措施进行紧急处理:隔离:及时将中病毒的机器进行隔离,如果是某一节点中病毒,就将该节点隔离,避免病毒扩散到整个网络.报警:发现病毒感染点后,立即进行隔离,并向网络管理部门报警.查毒源:系统安全管理人员接到报警后,可使用相应防病毒系统鉴别受感染的机器和用户,检查那些经常引起病毒感染的节点和用户,并查找病毒的来源.采取应对方法和对策.网络系统安全管理人员要对病毒的破坏程度进行分析检查,并根据需要决定采取有效的病毒清除方法和对策.感染不严重的可采用重装系统的方法来清除病毒,如果感染严重,特别是一些关键的系统文件,可请防病毒专家来帮助进行病毒清除和数据恢复.修复前备份数据.在使用防病毒软件进行清除病毒的时候要对重要的数据进行备份,避免杀毒软件把重要的文件误删.清除病毒:将重要的数据备份,运行查杀病毒软件,并对相关系统进行扫描.发现有病毒,立即清除,病毒被清除后,重新启动计算机,再次用防病毒软件检测系统是否还有病毒,并将被破坏的数据进行恢复.校园网要安装网络杀毒软件,在全局上进行网络杀毒,同时在校园网内所有机器上安装客户端,制定安全策略,统一杀毒,并及时更新病毒库.
8结束语
目前,为了解决校园网日益增加的网络使用和应用软件的使用所带来的安全隐患,保障校园网高效、稳定、安全的运行,本文基于网络安全技术及防范策略进行研究分析,以期为校园网络安全体系的构建起到借鉴作用.
作者:单守雪 单位:亳州学院 电子与信息工程系
参考文献:
〔1〕邹勇,白跃彬,赵银亮.增强型包过滤防火墙规则的形式化及推理机的设计与实现[J].计算机研究与发展,2000,37(12):1471~1476.
〔2〕苏雪,高文知.入侵检测技术在校园网中的应用研究[J].科技创业月刊,2008(12):198~199.
校园网络安全技术范文4
系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。
因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
参考文献
校园网络安全技术范文5
摘 要:结合学校校园网的实际情况,分析了校园网存在的安全风险,从整体上对校园网络安全系统进行规划,充分整合现行的几种关键网络安全技术,提出了一整套校园信息网络安全解决方案,力保校园网络健康、可靠、有效地运行奠定基础。
关键词:校园网络安全,防火墙,虚拟专用网,身份认证
1 引言
校园网的建设也因CERNET的发展而得到了快速的发展,全国绝大多数的高校建成了自己的校园网络。校园网作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等多重角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,但是随着网络应用的深入,校园网上各种数据的急剧增加,网络的攻击越来越多,各种各样的安全问题开始阻碍了校园网的正常运行. 计算机与现代化, 2009,(8).
校园网络安全技术范文6
关键词:校园网络 网络安全 管理
高校校园网作为高校这个特殊环境中传递信息的媒介,是学校重要的教学、科研信息基础设施,它提供教学,科研,娱乐,教育管理,招生。随着校园网的逐步发展,网络应用的逐渐普及,校内部的网络越来越多的暴露给了外部世界。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定、高效地运转,发挥其应有的作用,成为各校越来越重视的问题。
针对层出不穷的校园网络安全问题,高校内设办公机构和部门都购置了各种网络安全产品,如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软件等。毋容置疑,这些产品分别在不同的侧面保护着网络系统。但是,从系统整体安全考虑,这些单一的网络安全产品都存在着不同的安全局限性。并且网络安全不仅有着众多的技术安全因素,更多的在网络安全的管理、部署和操作方面,因此,将技术和管理相结合,建立一个多层次的校园网安全防御体系,对于构建安全的校园网环境有着重大的意义。
保障高校校园网络安全应该从网络安全技术和安全策略方面去同步加强,安全策略是先导,先进的网络安全技术是根本。
网络信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。信息安全的实现要依靠先进的技术、严格的安全管理、法律约束和安全教育。本文从此三个方面去综合考虑、规划建设校园网络,构建了一个多层次的校园网安全主动防御体系模型。
一、依托网络安全技术构建网络安全堡垒
1.合理规划设计校园网络物理结构
校园网络是教学,科研,娱乐,教务管理、图书管管理等活动的基础设施。特别地,在科研、教务管理、图书馆管理等方面,对校园网络安全要求很高。对这些关键部门,构建相应的办公网络时,应该在物理上独立实施建设。与其他一些安全级别不同的部门在物理网络建设上应该尽量隔离,这样的物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.构建应用级网关、实时入侵检测(IDS)
应用级网关作为防火墙(Firewall)中的一个主要类型,它通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。对于内部客户而言,应用级网关好像原始的公共服务器,对于公共服务器而言,服务器好像原始的客户一样,亦即应用级网关充当了双重身份,并将内部系统与外界完全隔离开来,外面只能看到服务器,而看不到任何内部资源。
IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络受到危害之前进行拦截和响应。防火墙能够将一些预期的网络攻击阻挡于网络外面,而IDS还能对一些非预期的攻击进行识别并做出反应。将IDS与防火墙联动,能更有效地阻止攻击事件,把网络隐患降至较低程度。
3.建立多层次的病毒防护体系
这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件;在服务器上安装基于服务器的反病毒软件;在校园网的每个台式机上安装台式机的反病毒软件。同时,还需要做好如下工作:定时对网络进行杀毒;对每台计算机都开启病毒监控;经常对服务器和客户机的杀毒软件进行升级。
二、加强和规范校园网络安全管理
1.加强黑客入侵检测与防范
校园网入侵者一般为校园网内部用户,有着窥探他人隐私的好奇性,攻入私人计算机。有的入侵者希望通过入侵学校数据库,以达到修改个人资料和学习成绩为目的。个别的电脑高手希望通过入侵,引起他人注意,以显示自己的能力,这样的人不会盗取别人的电脑资料,但会故意留下“足迹”,如进行破坏或是“留言”。
为了维护高校教务系统及图书馆管理系统安全,应该特别加强黑客入侵检测,并严格防范。主要可以采取以下几方面的措施:
(1)检测网络嗅探程序
网络嗅探是一种常用的收集网络数据包的方法,其基本原理是对经过网卡的数据包进行捕获和解码,从链路层协议开始进行解码分析,一直到应用层的协议,最后获取数据包中需要的内容,如账号、口令等。
当电脑系统被一些网络嗅探程序跟踪时,可能会出现网络通讯丢包率非常高或是网络带宽出现反常,这些情况是网络有嗅探器的可能反应。网络管理员就应该及时加以处理。通常,可以在关键的系统上部署检测嗅探器工具,例如AntiSniff工具,来自动检测网络嗅探程序。
(2)及时更新IIS漏洞
由于宽带的普及,给自己的计算机装上简单易学的IIS,搭建一个ftp或是web站点,已经不是什么难事。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击防范措施:关注微软官方站点,及时安装IIS的漏洞补丁。
(3)选择性关闭IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。2000/XP/2003在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。个人用户如果无网络服务的可关闭IPC$共享,最好的方法是给自己的账户加上强口令,并不定期地更换。
2.加强校园网络中服务器安全规范
(1)制定缜密的服务器管理制度,对服务器的操作从程序上进行规范。确保安装正版操作系统和杀毒软件,及时更新,打上漏洞补丁。各种密码必须做到定期更换,经常对服务器进行漏洞扫描,确保安全。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
(2)建立定期备份制度,服务器可以采用RAID5(磁盘阵列)技术,或者是双机容错技术等等,确保系统能不间断运行。
(3)根据分配工作的不同,赋予操作人员不同级别的权限,同时建立完备的日志系统,做到出现问题能立马有迹可循。
3.建立校园网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密和不可否认服务等。校园网与 Internet没有实施物理隔离。但是,对于运行内部管理信息系统的内网,建立其统一的身份认证系统仍然是非常必要的,以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。
三、加强高校网络安全教育
要确保高校网络安全,除了依赖最新的网络安全技术去构建网络安全屏障外,还要加强高校网络安全教育。主要有以下几方面的措施:
1.对网络管理员定期进行专业培训
有些网络管理员专业知识和技能不够、责任心不强,部分网络管理员在工作之前没有受过系统的专业培训。所以,不能很好地胜任本职工作。
严格的管理是校园网安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络安全保护不够重视。为了确保整个网络的安全有效运行,有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。
2.在高校师生中普遍开展网络安全教育
高校中教师作为知识的引导传播者,在信息化教育不断发展的高校教育中,教师网络安全意识的提高,首先要从提高教师对网络安全的认识做起。教师应了解相关的网络安全法律、法规,如内容分级过滤制度等。教师应意识到无论是在学校还是家庭,都应加强网络安全和道德教育,积极、耐心的引导学生,使他们形成正确的态度和观念去面对网络。同时,给学生提供丰富、健康的网络资源,为学生营造良好的网络学习氛围,并教育学生在网上自觉遵守道德规范,维护自身和他人的合法权益。
四、总结
高校校园网络信息安全是我们非常关注但又难以彻底解决的问题。校园网络建设没有统一的标准和规范,目前也没专门的技术或产品能够完全解决网络的安全问题。我们只能根据最新的信息安全保障体系理念,采用安全策略分析、授权访问、认证技术、密码技术、防火墙技术、IPSec技术(IP Security)信息与网络安全最新的技术去构建校园网络的安全体系,另外,我们在思想上要认识到网络安全的重要性,在校园网络安全建设硬件方面不但要有资金投入,还要不断加强校园网络管理人员和校园网用户的网络安全知识教育培训,树立大家的网络安全防范意识。这样,就可以使网络安全事故发生的可能性降低到最小。我们相信,随着教育信息化的发展,校园网络安全也越来越受到大家的关注,校园网也会越来越安全。
参考文献:
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与运用.
[2]刘建炜.基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究,2010,(3).
[3]谢希仁.计算机网络[M].大连:大连理工大学出版社,2003.
