前言:中文期刊网精心挑选了高校网络安全建设方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
高校网络安全建设方案范文1
【关键词】网络安全;网络攻击;建设与规划;校园网
1、网络现状
扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。
2、安全威胁分析
目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。
2.1安全设备现状
Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。
2.2外部网络安全威胁
互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。
2.3内部网络安全威胁
内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。
3、安全改造需求分析
本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。
4、解决方案
网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。
4.1短期网络建设规划
4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。
4.2长期网络建设规划
网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。
5、结语
从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。
参考文献:
[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184
[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3
[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4
[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17
[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31
高校网络安全建设方案范文2
关键词:数字图书馆;网络安全;网络维护;行为控制
在《高校数字图书馆网络安全建设探讨》中,作者提出了高校建设数字图书馆需要从“系统及网络的安全”“网页的安全”“访问的安全”三个方面加以考虑。虽然这是当前数字图书馆建设时考虑的重点,但是从笔者多年来从事的数字图书馆网络安全评估经验来说,这些是远远不够的。故此,笔者从实际数字图书馆系统安全评估方面考虑,提出了:存储数据的安全、工作人员操作的安全、制度安全、内部人员管理的安全。
1 存储数据的安全
高校数字图书馆数据安全是指数字图书馆中电子信息资源的存储安全和存储读者信息的数据库安全。
当前数字图书馆系统大都使用数据库来存储数据,国内小型数字图书馆系统常用的有Access和My-SQL,有些大中型数字图书馆系统还使用Oracle、SQL Server、DB2和Sybase。目前许多数字图书馆系统网站存储着数以TB的电子资源,这些资源是数字图书馆的根本,如果丢失或损坏(被篡改),将是难以弥补的损失。此外,数字图书馆还存储读者(客户)信息,这些个人信息对读者来说是极其重要且非常敏感的。这些信息的泄露会对读者(客户)造成物质和精神上的损害,数字图书馆系统网站难辞其咎。
在构建数字图书馆时,就要确保这些数据库系统的安全,合理设置用户及表格权限,在保障正常运行的同时,尽可能地阻止非授权用户对数据库中的敏感数据的访问。要对数据库进行异地备份,有条件的话让Web网站与数据库分开,使用NTFS分区,并启用EFS,并对数据库服务器IP地址加密,增加硬件防火墙,加强对数据的保护。对于基于ASP的网站服务器,对ODBC的访问要有用户权限限制,并将Web服务器中的配置ODBC的工具进行删除,加密数据库访问配置文件。
现在数字图书馆系统大多都有客户的虚拟账号,存有余额。国内高校数字图书馆系统软件还提供读者账户在线查询功能,对客户账目查询所提交的信息,几乎没有使用任何加密协议,也没有对查询数据加密。黑客嗅探并更改查询信息后,很容易获得账户信息,进而获得客户的详细资料,造成客户信息的外泄。现今几乎所有的高校图书馆都有用于与读者交流的论坛。这些论坛大多是在修改购得的商业软件后投入使用的,其源代码在互联网上多有流传,软件开发商编程的疏漏及软件存在的技术缺陷,都可能导致读者信息的泄露。
在这种情况下,读者注册后,其相关信息可能在论坛上出现;论坛调用数据库中读者信息的同时,数据泄漏的风险大大增加;数据库连接的透明性也使数据库服务器容易遭受网络黑客的攻击。
为确保数据完整及安全,对数字图书馆系统网站数据要做到每星期进行一次完整性检查;图书借还信息及电子资源有偿下载信息库自动增量备份要做到30分钟。如我们可以通过使用软件(如使用Symantec Backup Exec 12.5服务器版)来完成。此外,数据库服务器要有足够的冗余,保证在每一工作时间都有服务器正常运行。
2 工作人员操作的安全
操作的安全是指数字图书馆工作人员其对信息处理中,其操作是正常的,对事件处理是在其授权内的正常工作。这就是说工作人员的操作是经过授权、认证的,其行为和结果经过他人(系统)审核,在他人(系统)监控下操作。对于误操作,审核人员可以对此进行恢复。防止操作人员怀有一定的目的进行数据的非授权修改。
工作人员要做好日志的保护和分析工作。网络日志是网络用户对网络的访问记录,也是分析网络安全的重要依据。许多入侵(内外网)都会在系统上留下痕迹,所以日志的保护是相当重要的。数据库运行日志,是数据库各种操作的记录,保存着各种事务运行请求及运行结果。这些日志,对我们监控网络及服务器运行至关重要。有些日志如数据库日志可以通过日志回滚来进行对误操作数据进行恢复,我校2009年就有工作人员误操作造成数据严重丢失现象,就是通过数据库日志回滚来恢复数据的。目前,比较流行的是远程存储单向流。将路由器、防火墙及重要的服务器(包括数据库服务器)的日志备份到其他网络中的计算机,此计算机只能接收指定的网络设备传来的请求,对网络中其他计算机的请求予以舍弃,只接受本地用户本地操作,这样可以保护日志的安全。
3 建立、健全相关的法律及各项规章制度
目前,高校开放数字图书馆系统,大大提高了图书馆信息资源的利用率。但是,许多的高校图书馆没有相应的规章制度,造成极大的安全隐患。有的高校图书馆缺乏对网络管理员的监控、管理,造成其在数字图书馆中的为所欲为。没有相应的规章制度,当造成网络安全事件发生时,没有人具体负责,造成损失时,没有相应的追责制度。湖北某高校曾出现管理员任意修改系统数据截留有偿下载信息的资金情况发生。我校也有因为没有相关制度,造成责权不明,网络管理虚位,当网络安全事件发生时人员相互推诿,造成不能及时响应,致使数据丢失的严重后果。因此,高校数字图书馆要有适合自己的一套规章制度来监督、约束工作人员,使责权到个人,使违规人员受到相应的惩罚,使工作积极人员得到相应的表彰。
4 使用基于行为网络安全控制技术,加强内部人员管理
当前,计算机网络安全已经不单单局限于计算机病毒和黑客攻击,更多的人为因素已经上升到首位。上网行为的监控(包括网络访问限制、邮件监控、网络地址认证监控、网络借入认证等)已经摆在广大网络管理员面前,使用适当的行为控制设备(软硬件)来控制网络行为,更好地维护网络及信息安全。
数字图书馆系统中有相当大部分的成功攻击是来自于图书馆内部人员。他们比较了解系统的构建,熟悉系统的操作,其攻击大部分都具有相当的目的性。有些是想夸耀自己的计算机技术,有些是对工作、社会的不满,还有些是想修改信息获利。有些是离职人员对系统进行破坏。这些人的行为严重地影响了数字图书馆的运行。使用基于行为控制技术的网络安全设备,就可以控制内部人员的上网行为。使其在其职责授权内使用网络资源,其行为受监控,并有详细的日志供日后审核。极大限度地制约此类安全事件的发生。
高校有关部门加强对工作人员的管理,使其意识到破坏系统要受到法律的严惩。此外,还要对从业人员进行必要的教育,提高网络管理人员的思想道德水平。维护高校网络安全不是单纯的技术问题,它与网络管理人员和网络使用者的思想道德水平关系甚大。若网络管理人员的思想道德水平较低,任何技术措施都将失去作用;网络使用者的思想道德水平则与技术防范的必要性及技术要求成反比。因此,必须高度重视对网络管理人员和网络使用者的思想道德教育。要有严格的工作人员审核制度,并结合规章制度来约束内部人员。最大限度的保护系统的稳定和网络的安全。
从本文提出的四方面安全注意事项与2009年12月的笔者在《高校数字图书馆网络安全建设探讨》所提出的三方面一起,形成一个相对来说比较完整的“数字图书馆系统”安全防范系统。高校在构建字图书馆时如若考虑到这七个方面来,所建设的数字图书馆就会安全的多。
参考文献
[1]杨展,张四大.高校数字图书馆数据及网络安全[C]//中国计算机信息防护文集.呼和浩特:远方出版社.2008.
高校网络安全建设方案范文3
1计算机网络安全的主要威胁
现代远程教育培训是伴随着网络技术和多媒体技术的飞速发展而产生的一种新的教育模式,现代远程教育培训的发展将大大加大延伸现有学校或单位的教育功能,优化资源利用,扩大教育供给,满足教育需求,对实现教育的平等化和顺应知识经济时展需要及终身教育体系的构建都具有十分重要的现实意义[2]。但是,在远程教育培训网络中,网络的很多安全隐患也被带到了服务器、网络机房与教室:黑客的恶意攻击、网络病毒的传播、有用数据的泄漏或丢失、非法用户的未授权访问、数据的完整性被破坏、学习者与老师之间的交互得不到保障等都极大地破坏了远程教育培训网络的正常开展。归结起来,远程教育培训网络中存在的安全隐患主要有以下几个方面:
1.1计算机病毒
计算机病毒已成为很多黑客入侵的先导,是目前威胁网络安全的祸首。它的侵入在严重的情况下会使网络系统瘫痪,重要数据无法访问甚至丢失。1.2管理者与使用者的失误如网络管理人员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源就有可能被偶然或故意地破坏;学员安全意识不强,用户口令选择过于简单或容易破译,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁[3]。
1.3黑客的恶意攻击
黑客是网络上的一个复杂群体,他们以发现和攻击网络操作系统的漏洞和缺陷为乐趣,是网络面临的主要威胁。黑客的攻击和计算机犯罪就属于这一类,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,这种仅窃听而不破坏网络传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害,并导致重要数据的泄漏[2]。
因此,面对网络安全方面的种种威胁,应该充分认识远程教育培训网络中安全工作的重要性。因为人们的生活越来越信息化,所以网络的安全也越来越受到更多的关注。网络危险无处不在,这需要我们随时保持警惕,不断学习网络技术,与之进行长期斗争。
2远程教育培训网络安全问题的分析和处理方案
2.1网络安全问题分析
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、心理学、信息论等多种学科的综合性技术。网络安全是指网络系统资源和信息资源不受自然和人为有害因素的威胁和破坏。具体而言,网络安全要做到保护个人隐私,控制对网络资源的访问,保证信息在网络上传输的保密性、完整性和真实性。在远程教育培训中网络安全问题主要集中在以下几个方面:
2.1.1网络安全意识淡薄,没有严格的安全管理制度
“网络安全无小事”,这就要求我们的管理员、教师、学员给予足够的重视,进行相应的学习,提高使用网络的安全意识。而目前由于教学网络中的服务器开放程度很高,基本没有访问限制,由此导致服务器被攻击、侵入、丢失重要数据文件、邮件泄露的情况屡见不鲜。
2.1.2网络安全投入资金不足,相应配套设施缺乏
由于很多学校或者单位用于网络建设的经费不足,有限的经费主要投在网络应用建设上,对于网络安全建设没有比较系统的投入,根本无法抵挡现今网络上五花八门的病毒攻击,尽管如此也要保证24h提供各种文字、声音、视频等服务,网络服务器处在一个非常开放的状态,简陋的安全体系基本没有有效的预警手段和防范措施[4]。
2.1.3内部网络管理混乱
一般来讲,大多数学校或单位都会安排特定的网络教室或者通过办公室计算机接入远程教育培训网,供学员和教职工进行学习。这在很大程度上缓解了部分学员由于没有条件上网而导致无法获取足够教辅资料的矛盾。但是,由于缺乏统一的管理软件和监控、日志系统,绝大多数机房的登记管理制度存在漏洞,上网用户的身份无法唯一识别;另外,有些机房为了管理上的方便安装了还原卡,关机后启动即恢复到初始状态,从而在安全管理上形成了漏洞,无法按照安全部门的要求保留上机和上网日志;更有甚者绕开统一管理和国家相关部门的监管,存在极大的安全隐患。
2.2相应的解决方法
2.2.1设计安全的网络拓扑结构
一般来讲远程教育培训网的结构比较简单,基本都是将E-mail、Web、FTP等应用服务器连接在内部网络(以下简称内网)上,在拓扑结构上,需要通过合理设置策略,将服务器群通过交换机与防火墙的DMZ区接入Internet,构筑服务器系统安全的第一道防线。在内网通过虚拟局域网的划分(VLAN),减少广播流量,释放带宽给用户应用;并且含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露重要信息的可能性。
2.2.2配备完整系统的网络安全设备
一般来讲,在内部网络和外网接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外,远程教育培训网络由于需要传输图片、音频、视频等数据,对网络带宽的需求也很大,广大学员用户也需要高带宽、高速度的服务,因此配置安全设备既要考虑到功能,同时也必须考虑性能,将配置安全设备后对网络性能的影响尽可能地降到最低[5]。
3基于互联网的远程教育培训系统安全体系的实现
3.1分析需要解决的问题
远程网络教育成为传统教育最有力的补充,也成为了当今各大院校或单位积极建设推进的教育方式,但随着教育网络应用的扩大,其安全风险也变得更加严重和复杂,不安全的网络环境会给求知者带来诸多烦恼和不便。在考虑安全系统功能之前,应针对远程教育培训的网络应用系统特点,详细地分析系统可能出现的安全问题,并确定系统存在的安全漏洞和安全威胁,一般应考虑以下的安全问题:
3.1.1如何预防病毒
一旦染上病毒,轻则使各种服务器运行速度变慢,重则感染整个网络,使网络系统崩溃停止,所有的服务器数据遭到破坏,造成极大的损失。
3.1.2未经授权的访问
一些不拥有访问权限的人访问一些重要的信息,甚至进行恶意更改,例如修改网站的主页、查看并修改财务数据、修改考生的成绩、档案等。
3.1.3信息泄密
用户口令泄密、邮件内容泄密、网上考试的考题泄密等。
3.1.4网络服务无法使用
比如拒绝服务攻击使网络主机崩溃;大量的垃圾邮件使邮件服务器无法正常工作;网络操作系统本身存在的漏洞和缺陷导致黑客轻易地入侵等。
3.2提出解决方案
针对上述远程教育培训系统中存在的安全隐患,提出其中的一些解决方案:
3.2.1安全管理体系
大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此,建立组织的部门的网络安全体系是解决网络安全的首要任务,加强对网络安全体系的研究,应采用信息系统安全工程方法,形成完善的安全体系,才不会遗漏任何威胁因素,避免安全漏洞和隐患。以下将从管理和技术两个方面对高校网络系统的安全体系作进一步论述。管理方面。从全局管理角度来看,要制订全局的安全管理策略,从用户管理角度来看,要实现统一的用户角色划分策略。从资源管理角度来看,要实现资源的分布配置和统一的资源目录管理。从技术管理角度来看,要实现安全的配置和管理。但是,安全的网络系统首先必须有健全的安全管理体系作保障。安全管理体系包括组织机构,安全管理制度,安全责任体系等。技术方面。除了加强对网络系统的安全管理,我们要注意使用的安全产品在技术上是否成熟、有效,在使用安全产品时还应该采取合理的安全策略,以规避系统安全风险,减小所带来的损失。其中的安全策略和防范措施包括网络系统安全配置,系统自身安全,安全审计,数据保护和网络数据备份。
3.2.2身份认证机制
在远程教育培训环境中,网络安全就是指网络信息安全,所谓信息安全,即未经授权的信息不会被浏览;未经授权,信息不会被篡改或破坏。所以身份认证是网络安全中最重要的组成部分,也是安全体系的基础。较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证;也可以通过数字矩阵、USB-KEY或者手机短信模式进行身份认证。
3.2.3实施访问控制
基于Internet的远程教学系统的用户大致可分为三类:教师用户、学习者用户以及管理员,不同用户所能见到的内容、所拥有的权限是不同的。因此,为了保障信息不被越权访问,应加强访问控制工作,按用户类别进行注册,记录用户相关信息。同时,对系统中的资源也应进行分类,实行多级管理。
3.2.4注意防范“病毒”入侵
当前Internet已成为计算机病毒传播的重要途径,而为了丰富教学系统的资源从网上下载一些软件又在所难免,因此身处Internet的远程教学系统应建立多层次的“病毒”防范体系,采取及时升级杀毒软件,定时运行杀毒软件查找“病毒”,重点防范要害部位,对重要信息进行备份等措施。
高校网络安全建设方案范文4
关键词:校园无线网络;802.11标准;网络安全
一、概述
随着信息技术的发展和教育信息化进程的推进,无线局域网技术在高校校园网中的应用也逐渐普及。校园无线局域网表现出方便、灵活的组网方式和广泛的适用环境等优点,由于无线局域网技术其传输介质的开放性,使得数据在通信传播过程中,极有可能被一些非法的接收设备所接收,这就给入侵者有了可乘之机。加之校园无线网络自身的特殊性,无线局域网更易遭受黑客攻击和泄密;此外由于高校网络本身所具有的应用范围广、使用群体复杂、管理难度大等众多特点,致使网络本身更具脆弱性,致使网络本身更具脆弱性,因此如何保障高校校园无线局域网通信的安全,成为使用高校校园无线局域网过程中必须解决的问题。
二、无线网络存在的安全威胁
无线网络一般受到的攻击可分为两大类:
一类是关于网络访问控制、数据机密性保护以及数据完整性保护而进行的攻击;一类是无线通信网络的设计、部署以及维护的独特方式而进行的攻击。
对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。
(一)保密机制的弱点
1、过于简单的加密算法
WEP中的IV向量由于位数太短和初始化复位的设计,经常出现重复使用现象,从而轻易的被他人所破解。而对于其中的加密的RC4算法,在其头256个字节数据中的密钥存在弱点,容易被黑客攻破。而且,对明文完整性校验的CRC循环冗余校验码只能确保数据正确传输,并不能保证其是否被修改,因而也会出现安全的问题。
2、密钥管理复杂性
在WEP使用的密钥的过程中需要接受一个外部密钥管理系统的控制。网络的安全管理员可以通过外部管理系统控制方式减少IV的冲突数量,使无线网络难以被攻破。但由于这种方式的过程非常复杂,且需要手工进行操作,所以很多网络的部署者为了方便,使用缺省的WEP密钥,从而使黑客对破解密钥的难度大大减少。
3、用户安全意识不强
许多用户安全意识淡薄,没有改变缺省的配置选项,而缺省的加密设置都是比较简单或脆弱的,经不起黑客的攻击。
(二)类型繁多的网络攻击
1、探测式攻击实际上是信息采集活动,黑客们通过这种攻击搜集网络数据,用于以后进一步攻击网络。通常,软件工具(例如探测器和扫描器)被用于了解网络资源情况,寻找目标网络、主机和应用中的潜在漏洞。例如,有一种专门用于破解密码的软件。这种软件是为网络管理员而设计的,管理员可以利用它们来帮助那些忘记密码的员工,或者发现那些没有告诉任何人自己的密码就离开了公司的员工的密码。但是,这种软件如果被错误的人使用,就将成为一种非常危险的武器。
2、访问攻击用于发现身份认证服务、文件传输协议(FTP)功能等网络领域的漏洞,以访问电子邮件帐号、数据库和其他保密信息。
(三)拒绝服务攻击
1、信息泄露威胁与网络欺骗
泄露威胁包括窃听、截取和监听。窃听是指偷听流经网络的计算机通信的电子形式,它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息,只要能够发现任何明文信息,攻击者仍然可以使用一些网络工具来监听和分析通信量,从而识别出可以破解的信息。欺骗这种攻击手段是通过骗过网络设备,使得它们错误地认为来自它们的连接是网络中一个合法的和经过同意的机器发出的。达到欺骗的目的,最简单的方法是重新定义无线网络或网卡的MAC地址。
2、用户设备安全威胁
由于IEEE802.11标准规定WEP加密给用户分配是一个静态密钥,因此只要得到了一块无线网网卡,攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说,如果终端用户的笔记本电脑被盗或丢失,其丢失的不仅仅是电脑本身,还包括设备上的身份验证信息,如网络的SSID及密钥。[3]
三、无线校园网络安全解决方案
(一)身份认证:对于无线网络的认证可以是基于设备的,通过共享的WEP密钥来实现
上文中提到的 MAC 地址认证和共享密钥认证都还有一定的安全隐患。在无线网络进入校园以后, MAC地址认证需要进行维护和数据管理的问题。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在无线网络中,设备认证和用户认证都应该实施,以确保最有效的无线网络安全性。用户认证信息应该通过安全隧道传输,从而保证用户认证信息交换是加密的。因此,对于所有的网络环境,如果设备支持,最好使用EAP-TTLS或PEAP。针对校园多用户群体的特点,可以对不同用户使用不同的认证方法,以此来确保无线校园网络的安全性。
(二)访问控制:网络用户的访问控制主要通过AAA服务器来实现
这种方式可以提供更好的可扩展性,有些访问控制服务器在802.1x的各安全端口上提供了机器认证,在这种环境下,只有当用户成功通过802.1x规定端口的识别后才能进行端口访问。
一般来说,无线校园网络可分为境内网和境外(下转第122页)(上接第120页)网两大类。境内网是指学校内部访问数据和资源的过程,教师和学生可根据需要随时在校园内访问网络。例如研究成果、研究资料以及论文等都要求有较好的安全性。这些用户可以采用802.1x 进行认证。也就是先由用户向认证服务器发出接入申请,在未通过认证的情况下,用户无法访问网络,也无法获取IP 地址。设立证书服务器,以数字证书的形式达到双向认证的目的,能够有效避免用户接入非法 AP 以及非法用户使用网络,只有在通过双向认证之后,用户方可访问网络,保证校园网资源的安全性。境外网指从学校外部访问数据和资源的过程,主要是针对来学校进行学术交流、培训等用户,这些用户关注的是能够方便、快捷的接入网络,已进行相关的文件传输、浏览网站等工作。因此,他们不能访问校园网内部如学校公共数据库、图书馆期刊全文数据库以及一些学校内部资源的一些受限资源。如果用户是境外网需要访问校园网以外的数据,要先通过强制 Portal 认证之后方可访问网络。[5]根据不同网络区分的需要采用不同的认证方法,将 802.1x 认证和强制 Portal 认证这两种认证方式相结合是解决目前无线校园网络安全问题的有效途径,并有极强的现实意义。
(三)可用性:无线网络有着与其它网络相同的需要,这就是要求最少的停机时间
不管是由于DOS攻击还是设备故障,无线基础设施中的关键部分仍然要能够提供无线客户端的访问。保证这项功能所花费资源的多少主要取决于保证无线网络访问正常运行的重要性。在校园的操场、食堂等场合,如不能给用户提供无线访问只会给用户带来不便而已。当一个客户端试图与某个特定的AP通讯,而认证服务器不能提供服务时也会产生可用性问题。这可能是由于拥塞的连接阻碍了认证交换的数据包,建议赋予该数据包更高的优先级以提供更好的QOS。另外应该设置本地认证作为备用,可以在AAA服务器不能提供服务时对无线客户端进行认证。
(四)审计:审计工作是确定无线网络配置是否适当的必要步骤
保护WLAN的第一步就是完成网络审计,实现对内部网络的所有访问节点都做审计,确定欺骗访问节点,建立规章制度来约束它们,或者完全从网络上剥离掉它们。从短期来看,校园网络中心管理员应该使用一些能检测WLAN网络流量(以及WLAN访问节点)的网络监控产品或工具,例如SnifferTechnologies和WildPackets厂家的产品。不过,采取的这些措施能达到的安全程度毕竟还是有限的,因为它要求网络管理员要根据WLAN的信号来检测网络流量,知道网络内部的数据流量情况。现在,WLAN的提供商们(例如3Com,Avaya,Cisco,Enterasys和Symbol)将会开发出新的能够检测远程访问节点的网络管理工具。校园网络中心管理者应该形成一个管理政策,保证网络审计成为一个规范化的行为(至少每三个月检测一次),来限制具有欺骗访问行为的站点恣意进入WLAN。
