前言:中文期刊网精心挑选了校园网络安全建设方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
校园网络安全建设方案范文1
【关键词】网络安全;网络攻击;建设与规划;校园网
1、网络现状
扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。
2、安全威胁分析
目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。
2.1安全设备现状
Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。
2.2外部网络安全威胁
互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。
2.3内部网络安全威胁
内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。
3、安全改造需求分析
本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。
4、解决方案
网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。
4.1短期网络建设规划
4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。
4.2长期网络建设规划
网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。
5、结语
从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。
参考文献:
[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184
[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3
[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4
[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17
[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31
校园网络安全建设方案范文2
1.1网络安全
网络安全广义上来说就是与网络相关的各种事物的安全问题。狭义上来说网络安全就是指在我们的网络系统中硬件设备、应用软件以及系统里面的各种信息等不会被目的不纯的人所窃取,使自己网络系统中的各项数据保持完整和安全。从而保证网络的正常运行,持续工作。网络安全包含了计算机网络,网络安全技术等学科的相关内容。
1.2高校网络安全建设的相关意义
高校网络安全建设给高校带来了很大的便利,有利于高校各个模块的连接,保证了高校的快速运转。现在高校教师的办公和教学,学生的学习和生活以及后勤人员的工作对网络的依赖度日益提高。我们的高校生活已经离不开网络了。学校之间如果要进行相关合作,举办相关活动,网络会是一个最好的宣传平台,及时为我们传递信息,保证各学校,各部门的有效运转。为了这些能够正常的进行,高校网络安全建设必不可少。而且十分重要。我们必须保证网络的正常运行,避免信息丢失,传输错误。因此高校网络安全建设意义重大而且刻不容缓。
2目前高校网络安全建设存在的问题
虽然目前各大学校对于网络安全建设这一方面非常重视,并针对已经出现的问题或者还未出现的问题,采取了一些措施和预防办法。但是高校网络安全问题还是十分严峻,接下来我将就我认为比较要的一些高校网络安全的问题进行详细叙述。
2.1计算机硬件方面的问题
在我看来,网络安全建设一个最基本的问题,那就是硬件方面的问题。有些高校的计算机没有及时的更新,往往存在较大的隐患,比如线路老化,散热不良,内存较小等等。线路老化容易导致火灾;散热不良,内存较小使得计算机工作效率不高。如果在硬件设备管理和使用过程中,存在数据线管理不善的情况,就会可能发生信息泄露等网络安全问题,给学校带来不良后果。此外,如果计算机硬件设备受到病毒感染或者木马入侵,没有及时进行处理和解决,就会导致信息泄露,相关数据被损害等问题。我们在学校的机房或者打印店就会经常发现U盘检测到木马病毒等情况,这些问题看似很小,但是真的是重大隐患。
2.2网络方面的问题
高校网络就好像是冰山一角。在互联网这个大家庭里面,他只是小小的一部分,但是他又与互联网联系紧密。互联网人员和信息良莠不齐,这就使得高校网络十分容易受到攻击。为了获得信息,谋取利益,黑客会利用高校网络中的漏洞,对高校网络进行攻击,容易导致高校师生信息的泄露和破坏,严重的话会使得高校网络瘫痪,高校工作无法正常进行。
2.3人为因素带来的问题
学生,作为高校使用网络最多的群体,往往容易导致校园网络安全出现问题,一些不正确的操作可能带来毁灭性的威胁。比如高校选课阶段,由于选课人数较多,但是服务器能够承受的请求有限,但学生不懂的这个道理,一直点击刷新请求按钮,这时候就会致使服务器崩溃,带来严重的后果。其次,在高校网络组建过程中,对服务器以及其他设备管理不恰当,权限分配方面存在漏洞,致使木马病毒入侵时常发生。威胁校园网络安全。
2.4软件技术带来的问题
高校是我们学习的校园,没有专业的人员和设备,网络防御体系比较容易遭受外部力量的损害。不像公司企业,它们拥有完整的网络防御系统,高端的防御设备,可以在发现问题的时候及时解决和处理问题。此外,软件问题同样是高校网络安全中突出的问题,只要是软件就不可避免的会出现漏洞,但是高校没有能力及时解决这些问题,,从而使软件存在于威胁中。
3高校网络安全问题解决办法
对以上高校网络安全中存在的各种问题,在接下来的部分我将提出解决办法,以下部分均是我通过查阅资料以及自己的理解总结所得。
3.1加强高校硬件设备管理
作为高校管理者和工作人员,必须重视高校网络安全硬件设备的管理,网络安全硬件设备是网络安全的基石。因此要对核心设备及时更新换代,并加强管理力度,对核心设备及时进行维护优化,定期进行检查,管理人员到把责任扛下来,确保核心设备的正常运作。
3.2加强网络安全知识宣传工作
高校应该大力宣传网络安全知识,比如一些宣讲会,课堂教育等等。让全校师生,都认识到网络安全问题的严重性,只有每个人都认识到了问题的重要性,才会认真对待它。
3.3完整的网络安全防御体系
这是最重要的一点。不管别人怎么攻击你,你必须有自己的应对方法,所以高校应该有一套完整的网络安全防御体系。一方面,加强网络安全体系的构建和完善,校园网络容易受到损害,因此我们在设计防御体系的时候需要设计多层防御,还有有入侵检测系统,当别人攻击你的时候能够及时发现问题。然后实现全面的保护。当我们发现漏洞,检测到木马病毒的时候及时处理问题,确保网络安全。另一方面,加强应急机制建设。当出现问题的时候我们需要有多套方案,来解决它。网络中存在的威胁太多太多,没有应急措施,当这些潜在威胁出现的时候我们会不知所措。这就使得网络安全成为一句空话。对于一些重要的信息和数据或者文件,要进行备份或者加密处理。预防一切可能发生的危险。
4结束语
校园网络安全建设方案范文3
越来越庞大的校园网络正面临严峻的病毒侵袭威胁
随着信息化时代的到来,以现代化的教育技术手段实现网络教学、远程教学、教育资源共享,成为现代教育的需求。于是,校园网作为各种类型网络的一大分支,有了更加广泛的应用。
网络环境分析
校园网实现的环境是学校,要全面支持教师、学生和管理者的教学过程、管理过程、资源共享服务。校园网的安全建设是项复杂的系统工程,需要科学统一规划,分步实施,充分利用资源,发挥网络在实际运用中的功效。
校园网结构层次复杂,终端节点基数巨大,因病毒引起的出口瘫痪和基层崩溃事故时有发生。由于校园网在规模、管理、需求上均有鲜明的自身特色,因此必须有量身定做的安全解决方案。
目前,中国主流高校的校园网基本都已成长为千兆甚至万兆核心带宽、节点过万的大型网络,加之各学院、各部门信息建设的分割等诸多因素,使校园网呈现出典型的由各院系分散建设、由网络中心集中运维的尴尬局面。整个校园网络构成复杂,网络安全的可管理性呈现出几何级数的下降趋势。
整体安全威胁
随着校园网的建成和使用,如何保障正常进行网络教学、合法访问教学资源,使网络免受黑客、病毒、恶意软件和其他不良意图的攻击就显得尤为重要。校园网必须要有足够强的安全措施,制定相应网络安全策略方案,才能确保网络的安全。
从网络运维的角度来说,校园网普遍达到百兆甚至千兆到终端桌面,同时,桌面节点通过2~3级交换设备连接就能到达核心层甚至出口,因此,内部感染节点持续扫描和攻击等行为,将给核心交换设备或出口设备带来很大的压力。随着感染台数的增加,这种压力会不断倍增,并迅速超越上层网络设备的吞吐量和连接处理能力,这就是所谓的“漏斗效应”。
大规模蠕虫暴发时,对于校园网络来说,造成瘫痪的并不是来自网络外部的扫描,而是内部感染节点的高频度、大流量的集中扫描。后者将迅速导致各层网络设备的性能和有效带宽急剧下降,并会带来下列问题。
基层瘫痪 大量网络广播造成基层交换设备和汇聚设备瘫痪,包括ARP欺骗带来的局部瘫痪。
出口瘫痪 大量对外连接请求导致出口设备(如路由器、防火墙等)的连接被占用,导致其他用户无法使用。
核心层瘫痪 网络核心层或者出口流量基本被病毒扫描流量占据。
节点安全威胁
作为校园网,需要连接多个节点,将分布在不同地理位置的节点连接到同一网络,使整个网络相互连通,这是校园网要解决的一个问题。随着计算机应用的大范围普及,接入校园网的节点日渐增多。由于这些节点大部分都没有采取较好的防护措施,使出现病毒泛滥、信息丢失、数据损坏、网络被攻击甚至系统瘫痪等严重问题的可能性大大增加。因此,构筑信息安全防护体系,建立一套有效的网络安全机制显得尤为重要。
从实体节点的角度来说,校园网内有大量承担教学、科研工作的服务器和相关信息系统,同时也有上万个为师生和工作人员提供服务的终端节点。
对于信息服务器群组来说,其面临的攻击威胁大于普通的桌面系统。但是目前的情况是市面上的相关安全产品并没有专门为服务器进行特别安全设置,依然采用和终端机器一样的保护级别。
对于数以万计的终端用户节点来说,由于基数庞大,用户的应用水平千差万别,如果不能进行有效的保护,将会产生大量的离散不可控点,使整个网络的安全失去控制。
安全方案思想
校园网安全方案以“统一监控、分布防御、有效响应、集中管理”为指导思想,结合校园网实际情况综合分析,关注不同环节承担的任务和面临的安全压力。
校园网的出口和核心层是网络的核心环节。在这些环节,网络吞吐量大,它们承担关键的通信服务,需要有效的运维保障能力。在内部节点遭到病毒感染的情况下,根据漏斗效应,出口和核心层更容易严重失效,甚至崩溃。因此,第一时间对这些影响网络整体效率的节点迅速准确地定位和定性是解决问题的关键。这需要网络病毒监控系统提供全景安全监控视图和实时化病毒定位信息。
此时,如采用旁路监听技术,能够在不影响网络效率情况下,实现实时监测网络环境中的病毒疫情发展趋势的功能。同时,还能全面检测各种网络病毒的扫描、传输、攻击等行为,精确定位病毒的来源,测量、评估病毒产生的网络压力状况,准确提供病毒类别、病毒名称、病毒变种、病毒危害级别等全面信息,形成病毒趋势和定位的全景视图。这会为网管实施下一步的安全策略提供更有力的数据支持。
对于像服务器区这样的关键节点群,主要承担着为整个网络提供信息服务的任务,是黑客攻击的主要目标。由于校园网内服务器众多,网管人员数量相对较少,因此更需要管理方便的自动化保护产品。
由于校园内大量的终端节点基本上处于不可控或准可控状态,很容易成为病毒传播源,影响网络效率和其他用户的安全。由于校园网内用户层次复杂,特别是有大量的学生终端系统完全依赖个人的安全意识和水平,且学生自己多数不会购买安全产品,因而成为校园网安全保障的最大压力,因此需要一种低成本、高自动化、适应复杂软硬件环境的解决方案。
方案设计时可考虑让主机保护系统针对不同类型节点进行安全需求设计,提供文件层、操作系统层、网络层等的多层次保护,这样能够大幅度提高这些关键节点的安全性。同时各层次产品都要以与现有反病毒产品互补的形式部署在系统中,这样才不会产生冲突,且资源占用率低,能够增强系统的安全系数。
另外,可以针对网管人员设计一个网管工具箱系统,帮助网管深层挖掘系统中存在的安全隐患,使网管拥有比用户更专业的处理手段。
网络的离散会使安全问题不收敛,而产品的离散同样也会带来这种问题。为此,安全管理中心应该能够整体管理部署在网络中的安全产品及设备,使产品之间能够形成有效联动,很好地解决产品离散的问题。
安全方案部署
首先,在校园网的总出口部署网络病毒监控系统,并同时在网络内部关键网段部署网络病毒监控系统,能够对全网的病毒情况进行全局监控,对局部网络形成更加细粒度的安全视图,快速定位病毒源,随时了解网络中的安全状况。
其次,在服务器群计算机上部署主机保护系统服务器版,在关键工作站部署主机保护系统工作站版,对大量基本用户作为海量节点提供主机保护系统桌面版无限授权。这样能够对具体的计算机节点进行安全防护、配置优化、病毒查杀等工作,有效地扼制病毒泛滥,提升系统的安全性。
另外,还要在解决方案中为网管人员提供网管工具箱,对主机系统异常情况进行深度排查、修复及处理。
校园网络安全建设方案范文4
关键词:校园网络,安全隐患,防范对策
随着全球性的网络化、信息化不断的发展,网络已慢慢成为人们日常生活中必不可少的部分。近些年来,随着计算机网络的迅速发展,校园网络也快速的发展和普及了,使得校园网在高校的地位越来越重要。。校园网络作为学校重要的基础设施,担当着学校教学、科研、管理、宣传和对外交流等许多角色。但由于安全意识淡薄和技术力量的薄弱,校园网络的安全问题日益突出。如何让校园网正常高效地发挥其宣传、教学管理、服务等功能,已成为一个不可忽视的问题。。目前校园网络中存在的安全隐患。1、大多数学校网络建设经费严重不足,所以就将有限的经费投在关键设备上,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。2、学校的规章制度还不够完善,还不能够有效的规范和约束学生、教职工的上网行为。网络安全制度执行不彻底,各校园网在安全管理上存在着困难,这也是网络安全问题泛滥的一个重要原因.由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要.3、使用的操作系统存在安全漏洞,网络木马、病毒和黑客攻击影响到系统的安全,校内大部分计算机系统或多或少都存在着各种的漏洞,校园网络对社会开放,这样一来只要接入INTERNET的用户就可以对校园的网络服务器进行攻击,而流行于网络上的很多病毒和攻击就是针对windows漏洞而产生的。用户的应用程序和安装的软件也会存在漏洞。因为校园网是公共的计算资源,很多用户只是用,而很少管。另外机房根据教学任务,要安装很多软件,造成系统负荷增大,系统运行缓慢,使攻击者有机可乘。4、在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法,最为常用的是打印机共享。但可以说大部分的人都没有充分认识到当一个目录共享后,在校园网内的用户可以访问到,就连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的隐患。5、许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏。校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、通过邮件等方式进行骚扰和人身攻击等事件经常发生,我们学院的应用服务器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。综上所述,校园网络安全的形势非常严峻,为解决以上安全隐患,结合校园网内用户复杂的特点和现今网络安全的解决方案和技术,提出了以下校园网络安全解决方案。 1、提高管理水平建立一个高度权威的信息安全管理机构,并不断强化其权限和职能;制定统管全局的网络信息安全法规,做到有章可循、有法可依;制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;对网络管理员进行专业知识和技能的培训;把网络信息安全的基本知识纳入学校各专业教育之中;对学校教师和其他人员进行信息安全知识普及教育;在学校的网站设立网络安全信息栏目,网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。。
2、设置硬件防火墙是目前保护计算机不受外界黑客攻击的有效手段,是内部网络与外部网络的一道安全屏障,根据内部网络的安全政策控制出入网络的信息流。为了防止校园网内部的病毒、ARP、黑客等攻击,个人电脑上需安装防火墙软件。
3、随着计算机网络的发展,携带病毒和黑客程序的数据包和电子邮件越来越多,打开或运行这些文件,计算机就有可能感染病毒。安装有反病毒软件,就可以预防、检测一些病毒和黑客程序,有效提高安全性。
4、划分VLAN有效控制网络广播信息的传播,减轻网络负担,同一虚拟网的用户可更高效通信;不同VLAN之间可以在路由模块配置访问控制策略,避免非法访问,提高网络安全性;与网络管理系统(结合使用,网络管理员可更有效管理网络,包括监视网络流量,控制网络分流和设置安全级别等。
5、提高个人计算机用户的自我防护能力,安装可靠的杀毒软件并保证杀毒软件更新到最新的病毒库,定期对重要区域重点扫描,对计算机进行全盘扫描;合理设置计算机的操作系统,关闭远程协助支持及远程桌面,关闭网络共享;养成良好的上网及计算机使用的习惯,设置安全的密码,保护电子邮件信息不外泄,合理使用聊天工具及在线支付工具,谨慎使用下载软件和共享软件,定期做好数据的备份工作等。
6、重视安装补丁程序,补丁程序中有很大一部分就是因为某些产品或系统的一些安全漏洞被发现后,厂商提供给用户的一种补救措施,用户如不及时安装使用,别人可轻易通过“补丁”程序的接口编写程序进入目标系统,攻击目标系统获得非法访问权。
参考文献
[1] 雷震甲.网络工程师教程[M].北京:清华大学出版社,2OO4
[2]劳帼龄.网络安全与管理[M].北京:高等教育出版社,2OO3
[3] 袁津生,等.计算机网络安全基础[M].北京:人民邮电出版社,2005
校园网络安全建设方案范文5
(包头职业技术学院,包头 014035)
(Baotou Vocational & Technical College,Baotou 014035,China)
摘要: 本文从计算机网络面临的各种安全威胁,针对校园网络的安全问题进行研究,从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
Abstract: From all kinds of security threats to computer network, this paper studies the campus network security problem, from two aspects of building security defense system and strengthening the safety management, designs the campus network security policy, establishes the ideas of the P2DR model to establish the campus network security defense system. And it is concluded that the building of a set of effective network security defense system is the necessary way and measures to solve campus network main threats and hidden troubles.
关键词 : 网络安全;安全防范;校园网
Key words: network security;safety;campus network
中图分类号:TP393.1 文献标识码:A
文章编号:1006-4311(2015)02-0199-02
0 引言
随着网络信息技术的高速发展,网络安全问题日渐突出,近年,网络病毒、黑客攻击等屡见不鲜,国家相关部门也一再要求做好网络安全建设和管理工作。校园网络也同样会面临威胁,因此应该在知道的网络功防基础上构建校园网络安全体系,首先要从两方面着手:一是采用一定的技术;二是不断改进管理方法。
1 校园网络存在的安全隐患
目前,校园网络主要存在的安全隐患和漏洞有:
①校园网通过CERNET与Internet相连,在享受Internet带来的方便快捷的同时,也面临着遭遇网络攻击的风险。②校园网内部存在着很大的安全风险,当前,黑客攻击工具在网上很普遍,并不需要很复杂的知识的普通人就能操作,因此存在很大的风险。同时因为内部用户对网络的应用和结构模式有了一定的了解,所以来自校园网内部的安全隐患更大一些。③操作系统存在的安全隐患,校园网络服务器安装的操作系统有Unix、WindowsNT/Windows2000/WindowsXP、Linux等,而这些系统的风险级别不同,例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它们成为了最不安全的操作系统。④伴随着校园内计算机应用越来越普及,接入校园网的节点也逐渐增多,然而大部分节点都没有构建一定的防护措施,因此随时随地都有可能造成病毒猖獗、校园网络被攻击、数据损坏、重要信息丢失、甚至系统瘫痪等严重的后果。
由此可见,采取必要的信息安全防护措施,构建有效的校园网络安全体系尤为重要。
2 构建校园网主动防御系统
现阶段,威胁校园网的安全有来自校内的,也有来自校外的。在进行校园网络安全系统设计的时候,首先就是要了解学校的需要和目标,然后再制定相应的安全措施,但是与此同时需要重点注意的就是,网络上的安全策略和业务目标与安全设计要求相一致。所以网络安全的防御体系必须是动态的、变化的,在设计完成安全防御体系后,就需要不断地适应并随着安全环境的变化而变化,这样就可以确保安全防御系统的良好发展,并保证它的有效性和先进性。
2.1 P2DR模型 美国ISS公司提出的P2DR模型是一种动态的网络安全体系的具有代表性的模型,也是动态安全模型的最初始形态。其中P2DR模型是在整体安全策略的控制和指导下,运动防护工具将系统调整到风险最低的安全状态。而防护、检测和相应则就组成了一个完整的,并且是动态的安全循环系统,同时在安全策略的指导下能够保证信息系统的安全,这也就成为衡量一个网络系统是否是安全的标准,从而对它的安全性能进行评定。
2.2 校园网络安全防范体系 在对网络是否是安全的进行判断后,就可以针对以上校园网网络安全系统的安全系统的应用来实现以下的技术:
①在校园网中配置防火墙和入侵检测系统在校园网的进口处架设了防火墙和网络入侵检测系统。②在校园网中运用VLAN技术按照学校各部门、院系拥有的不同的应用业务和不同的安全等级为依据,如有限制非法访问的需要可以运用VLAN技术。③在校园网中利用软件配置服务器使用二级防火墙,在学生机房配置访问控制列表,并利用软件配置服务器,在服务器上安装双网卡,设置连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,设置学生客户机IP地址与服务器内网IP地址在同一网段,网关IP设置为服务器内网IP地址。机房服务器通过服务器连接到互联网,从而可以起到控制前往Internet的所有用户的流量的功效。④在校园网安装杀毒软件防病毒手段要在整个校园网中,凡是有可能感染和传播病毒的地方都要安装应用,安装相应的防杀毒软件,可以有效地防止病毒在校园网上传播。对杀毒软件要定期进行升级病毒定义码和扫描引擎。⑤制定相关的安全策略是赋予组织机构技术人员或信息资产使用权的人员所要履行的准则,也是陈述它是一个成功的网络安全体系的基础与核心。校园网络的安全策略主要依据的就是校园网的业务需求所要描述的校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容。
2.3 完善安全制度与管理体系 安全防范体系的核心即是安全管理,它贯穿于整个安全防范体系,在安全防范体系中起到了人的作用。网络系统的安全性不仅是技术方面的问题,也是日常相应的规章制度管理的问题,不然对于网络系统的安全来说也只是纸上谈兵。
在建立了学校网络安全防御体系后,学校的网络控制中心主要负责网络设备的正常运行和日常的管理,信息中心主要负责的就是网络上教学资源能够安全管理和储存。对已服务器的日志要做到每日必须检查,每次对重要的数据服务器都要进行异地数据备份。对于操作系统和防病毒软件包,管理员也需及时打补丁和进行升级,不断完善和优化网络安全的管理制度。校园网络的安全管理是一个长期的并且是动态的过程。
3 结论
在信息技术飞速发展的今天,校园网已然成为了学校信息系统的核心,网络的不安全就使得整个校园信息系统变得不安全,甚至会造成对教学秩序的紊乱,所以必须建立一套有效且可实施的网络安全防御系统,来确保校园网络的安全。本文主要是从当今校园网络安全可能面临的一些威胁和存在的攻击入手,对网络攻击的防范进行了设计并将其实现,并且提出了以安全策略为核心,防护、检测和响应为手段,加以技术防范的一种校园网安全防御系统理念,来确保校园网络安全的一个切实的解决方案。本文中所采用的技术不能说是非常完善的,一是因为网络攻击技术都是在不断向前发展的,二是因为笔者的设计水平局限性,并且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的,所以还存在很多有待深入研究的问题。
参考文献:
[1]王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005,6:19-20.
[2]宋劲松.网络入侵检测:分析、发现和报告攻击[M].国防工业出版社,2004,9:26-28.
[3]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3.
校园网络安全建设方案范文6
关键词:校园网;ARP欺骗;802.1x认证
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-0998-02
校园网是数字化校园建设的基础,是教学、办公自动化和信息化的依托,随着数字化校园建设的不断发展,广大师生越来越依赖于校园网内日益丰富的资源和应用。由于校园网自身的一些特点和广大师生网络安全意识的淡薄,我们在享受校园网带来方便的同时,也使校园网面临着各种安全隐患。ARP欺骗便是其中非常典型的一种,ARP病毒大规模爆发时,其造成的影响和危害都比较严重。它利用了ARP协议的天然缺陷,因此单纯靠网络安全软硬件产品很难防御,这就需要校园网络管理人员综合利用科学有效的网络管理制度配合最新的网络安全软硬件产品和网络技术,形成立体的网络安全体系,做到预防为主,防治结合。
1 ARP协议及欺骗原理
1.1 ARP协议
地址解析协议 (Address Resolution Protocol),简称ARP协议,负责将某个IP地址解析成对应的MAC地址,主要应用在以太网中,但也能在ATM和FDDI网络中使用。在OSI网络模型中,网络被分为七层,IP地址位于OSI七层模型的第三层,MAC地址位于第二层,OSI网络模型中的各层不能直接打交道,只能通过层之间的接口来相互通讯。局域网中数据通讯是基于MAC地址进行寻址的,而不是IP地址,数据帧如果要到达目的地,就必须知道对方的MAC地址。因此,为保证通讯的顺利进行,在仅知道目标主机IP地址的情况下,需要使用ARP协议来实现将目标主机的IP地址解析为对应的MAC地址。
每台安装有TCP/IP协议的主机都有一个ARP缓存表,表里记录了一系列IP、MAC地址对,它描述了其它主机IP地址与MAC地址的对应关系。当主机A往主机B发送数据时,主机A会查找本机的ARP缓存表,如果存在主机B的IP地址,根据ARP缓存表中的对应关系,直接返回主机B的MAC地址,把主机B的MAC地址写入数据帧;如果不存在主机B的IP地址,主机A会广播一个ARP请求包,ARP请求包中包含主机B的IP地址,网络上的所有主机都会接受这个请求,但只有主机B收到这个ARP请求包时,才向主机A发送包含自身MAC地址信息的ARP应答包。这样,主机A就获取了主机B的IP地址与MAC地址对应关系,并以此更新本机ARP缓存表,主机A就可以向主机B发送数据了。ARP缓存表采用了老化机制,是有生存期的,生存期结束后,将再次重复以上过程,这样大大减少ARP缓存表的长度,加快查询速度。以上就是ARP协议的原理,由于其没有相应的安全验证机制,也就使得ARP欺骗产生了。
1.2 ARP欺骗原理
ARP协议是个早期的网络协议,RFC826在1980年就出版了。早期的互联网在科研、大学内部使用,采取的是信任模式,追求功能、速度,没考虑网络安全。ARP协议缺乏相应的安全验证机制,主机会接受任何向它发送的ARP应答报文,并根据应答报文中的IP地址和MAC地址更新本地的ARP缓存表,而不管是否发送过相应的ARP请求。因此,可以用虚假ARP应答包来欺骗主机,使主机获得不真实的IP地址与MAC地址对应关系。
假设局域网中有三台主机,分别为主机A、主机B、主机C。它们的IP地址分别为192.168.200.11、192.168.200.22、192.168.200.33;MAC地址分别为AD-AD-AD-AD-AD-AD、BD-BD-BD-BD-BD-BD、CD-CD-CD-CD-CD-CD。
在ARP欺骗攻击前,A和B之间能够正常通讯。随后,主机A收到恶意主机C伪造的ARP应答报文,伪造的ARP应答报文中IP地址为主机B的IP地址192.168.200.22,MAC地址为主机C的MAC地址CD-CD-CD-CD-CD-CD,主机A根据伪造的ARP应答报文更新ARP缓存表。此时,主机A的ARP缓存表中主机B的IP地址对应于主机C的MAC地址,由于局域网的数据通信是根据MAC地址进行寻址,主机C通过ARP欺骗就获取了主机A原本发送给主机B的数据,这是一个简单的ARP欺编。如果主机B是网关或路由器,主机C通过ARP欺骗,将导致主机A找不到正确的网关而使网络中断。ARP欺骗攻击时,攻击者持续不断地发出伪造的ARP应答报文,网络中产生大量的ARP数据包,导致网络阻塞,严重时将导致局部网络瘫痪。
2 ARP欺骗防御措施
针对ARP协议及ARP欺骗原理,大家提出了多种ARP欺骗防御措施。例如,安装ARP防火墙;在接入交换机上做IP地址、MAC地址与交换机端口绑定;划分足够小的VLAN,在小规模的网络中可以考虑将每个终端设备划入不同VLAN;使用DHCP Snooping技术。实际操作过程中,可以根据具体的网络情况和预算采取不同的措施或它们的组合。我们主要采用了基于802.1x协议认证对ARP的欺骗进行防御,并综合了上述划分VLAN等几种防御措施,形成一个立体的ARP欺骗防御体系。网络拓扑示意图如图1所示。
如图1所示,我们主要采用神州数码DCS-3950系列交换机的802.1x认证功能配合神州数码DCBI-3000计费管理系统实现校园网认证接入管理。在管理上,严格要求校园内每台主机要接入校园网前必须向网络管理中心上报主机的MAC地址,申请认证账号及密码。网络管理中心开通账号、分配相应的静态IP并与其上报的MAC地址进行绑定。主机使用网络中心授权的账号密码通过802.1x拨号认证才能接入校园网,在此基础上通过神州数码DCBA认证才能访问因特网。基于802.1x认证实现网络接入,不仅能对ARP欺骗攻击进行有效的防御并且防止了静态IP分配策略中IP冲突问题。
3 结束语
总之,校园网的安全建设是一项长期而复杂的工作,它对网络设备、网络技术和相关管理制度都有着非常高的要求,只有在网络设备、网络技术和网络管理制度的综合保证下,才能在最大程度上保证校园网的安全。由于ARP协议的安全缺陷来源于自身设计上的不足,目前针对ARP欺骗,我们基本上只能立足于防御及限制ARP欺骗的影响范围,ARP病毒攻击根本彻底的解决只能寄望于IPv6协议应用的早日普及。
参考文献:
[1] 夏海静,刘光伟.ARP攻击防范及解决方案分析[J]. 福建电脑,2011(1).
[2] 孟迪.基于802.1x协议的校园网ARP欺骗防御[J]. 辽宁科技大学学报, 2010(12).
[3] 闫实,刘占波,冯修猛.高校校园网ARP病毒欺骗原理及防御方法[J].网络安全技术与应用,2010(6).
