前言:中文期刊网精心挑选了校园网络安全方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
校园网络安全方案范文1
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)10-1pppp-0c
Shallowly Discusses the Campus Network Security and the Solution
GU Sheng
(Taizhou Normal College,Taizhou 225300,China)
Abstract:Because the campus fishing gear has the joint form multiplicity,the terminal distribution non-uniformity, openness,interlocks characteristic and so on nature,boundless nature,freedom,causes the network easily the hacker and virus's attack,for the society,the school has brought massive loss.Therefore,in view of the campus net each kind of security hidden danger,this article analyzed has had the hidden danger root and the network security demand,adopted the corresponding network security strategy,unified the security technology and the education administration,realizes the campus network system security,practical,the highly effective goal.
Key words:Campus network;Network security technology
1 校园网络安全概述
1.1 网络病毒
(1)计算机感染病毒的途径:校园内部网感染和校园外部网感染。
(2)病毒入侵渠道:来自Internet 或外网的病毒入侵、网络邮件/群件系统、文件服务器和最终用户。主要的病毒入口是Internet,主要的传染方式是群件系统。
(3)计算机病毒发展趋势:病毒与黑客程序相结合,病毒破坏性更大,制作病毒的方法更简单,病毒传播速度更快,传播渠道更多,病毒的实时检测更困难。
(4)切断病毒源的途径:要防止计算机病毒在网络上传播、扩散,需要从Internet、邮件、文件服务器和用户终端四个方面来切断病毒源。
1.2 网络攻击
(1)校园网与Internet 相连,面临着遭遇攻击的风险。
(2)校园网内部用户对网络的结构和应用模式都比较了解,存在的安全隐患更大一些。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。
(4)存在“重技术、轻安全、轻管理”的倾向。
(5)服务器与系统一般都没有经过细密的安全配置。
2 校园网络安全分析
2.1 物理安全分析
网络的物理安全风险主要有环境事故(如地震、水灾、火灾、雷电等)、电源故障、人为操作失误或错误、设备被盗或被毁、电磁干扰、线路截获等。
2.2 网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。从结构上讲,校园网可以分成核心、汇聚和接入三个层次;从网络类型上讲,可以划分为教学子网、办公子网、宿舍子网等。其特点是接入方式多,包括拨号上网、宽带接入、无线上网等各种形式,接入的用户类型也非常复杂。
2.3 系统的安全分析
系统安全是指整个网络的操作系统和网络硬件平台是否可靠且值得信赖,其层次分为链路安全、网络安全、信息安全。目前,没有完全安全的操作系统。
2.4 应用系统的安全分析
应用系统的安全是动态的、不断变化的,涉及到信息、数据的安全性。
2.5 管理的安全风险分析
安全管理制度不健全、责权不明确及缺乏可操作性等,都可能引起管理安全的风险。
3 校园网络安全解决方案
3.1 校园内部网络安全方案
3.1.1 内网病毒防范
在网络的汇聚三层交换机上实施不同的病毒安全策略。网络通过在交换机上设置相应的病毒策略,配合网络的认证客户端软件,能侦测到具体的计算机上是否有病毒。
3.1.2 单机病毒防范
教师机安装NT 内核的操作系统,使用NTFS 格式的分区;服务器可以使用Windows Server甚至UNIX或类UNIX系统。学生机安装硬盘还原卡、保护卡或者还原精灵,充分利用NTFS分区的“安全”特性,设置好各个分区、目录、文件的访问权限。安装简单的包过滤防火墙。
3.1.3 内部网络安全监控
采用宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把网络访问安全控制前移到用户的接入点。利用三层交换机的网络监控软件,对网络进行即时监控。
3.1.4 防毒邮件网关系统
校园网网关病毒防火墙安装在Internet 服务器或网关上,在电脑病毒通过Internet 入侵校园内部网络的第一个入口处设置一道防毒屏障,使得电脑病毒在进入网络之前即被阻截。
3.1.5 文件服务器的病毒防护
服务器上安装防病毒系统,可以提供系统的实时病毒防护功能、实时病毒监控功能、远程安装和远程调用功能、病毒码自动更新功能以及病毒活动日志、多种报警通知方式等。
3.1.6 中央控制管理中心防病毒系统
建立中央控制管理中心系统,能有效地将跨平台、跨路由、跨产品的所有防毒产品的管理综合起来,使管理人员能在单点实现对全网的管理。
3.2 校园外部网络安全方案
3.2.1 校园网分层次的拓扑防护措施
层次一是中心级网络,主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级,主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级,主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。
3.2.2 校园网安全防护要点
(1)防火墙技术。目前,防火墙分为三类,包过滤型防火墙、应用型防火墙和复合型防火墙(由包过滤与应用型防火墙结合而成)。利用防火墙,可以实现内部网与外部网络之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
(2)防火墙设置原则。一是根据校园网安全策略和安全目标,遵从“不被允许的服务就是被禁止”的原则;二是过滤掉以内部网络地址进入路由器的IP包和以非法IP地址离开内部网络的IP包;三是在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用;四是定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录;五是允许通过配置网卡对防火墙进行设置,提高防火墙管理的安全性。
(3)校园网部署防火墙。系统中使用防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,其中WWW、E-mail、FTP、DNS 服务器连接在防火墙的DMZ区,对内、外网进行隔离。内网口连接校园网内网交换机,外网口通过路由器与Internet 连接。
(4)入侵检测系统的部署。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,可以弥补防火墙相对静态防御的不足。根据校园网络的特点,将入侵检测引擎接入中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。
(5)漏洞扫描系统。采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供周密、可靠的安全性分析报告。
3.2.3 校园网防护体系
构造校园网“包过滤防火墙+NAT+计费++VPN+网络安全检测+监控”防护体系,具体解决的问题是:内外网络边界安全,防止外部攻击,保护内部网络;隔离内部不同网段,建立VLAN;根据IP地址、协议类型、端口进行过滤;内外网络采用两套IP地址,需要网络地址转换NAT功能;通过IP地址与MAC地址对应防止IP欺骗;基于用户和IP地址计费和流量统计与控制;提供应用服务,隔离内外网络;用户身份鉴别、权限控制;支持透明接入和VPN 及其管理;网络监控与入侵检测。
4 校园网络运营安全
4.1 认证的方式
网络运营是对网络用户的管理,通过“认证的方式”使用网络。方式如下:
(1)802.1x的基本思想是端口的控制。一般是在二层交换机上实现,需要接入的所有交换机都支持802.1x协议,实现整网的认证。
(2)基于流的认证方式。指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,能解决传统802.1x无法解决但对于运营是十分重要的一些问题,如假、假冒IP和MAC、假冒DHCP SERVER。
4.2 管理
利用客户端机器上安装服务器软件实现多人共用一个账号上网的现象非常普遍,给学校的运营带来很大的损失。使用三层交换机上的802.1x扩展功能和802.1x客户端,防止非认证的用户借助软件从已认证的端口使用服务或访问网络资源,做到学校提供一个网络端口只能一个用户上网。
4.3 账户管理
学生是好奇心强的群体,假冒DHCP SERVER和IP、MAC给学校的运营管理带来很大的麻烦。通过汇聚三层交换机和客户端软件配合,发现有假冒的DHCP SERVER,立即封掉该账户。
5 校园网络的访问控制策略
5.1 建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。
5.2 身份验证
对用户访问网络资源的权限进行严格的认证和控制。
5.3 病毒防护
主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。
6 校园网络安全监测
校园网络安全监测可采用以下系统或措施:入侵检测系统;Web、E-mail、BBS的安全监测系统;漏洞扫描系统;网络监听系统;在路由器上捆绑IP和MAC地址。这些系统或措施在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
7 校园网络系统配置安全
7.1 设置禁用
禁用Guest账号;为Administrator设置一个安全的密码;将各驱动器的共享设为不共享;关闭不需要的服务,运用扫描程序堵住安全漏洞,封锁端口。
7.2 设置IIS
通过设置,弥补校园网服务器的IIS 漏洞。
7.3 运用VLAN 技术来加强内部网络管理VLAN 技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
7.4 遵循“最小授权”原则
指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。
7.5 采用“信息加密”技术
包括算法、协议、管理在内的庞大体系。加密算法是基础,密码协议是关键,密钥管理是保障。
8 校园网络安全管理措施
安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
9 结束语
校园网安全是一个动态的发展过程,应该是检测、监视、安全响应的循环过程。确定安全技术、安全策略和安全管理只是一个良好的开端,只能解决60%~90%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。
参考文献:
[1]孙念龙.后门防范技巧[J].网管员世界,2005(6).
[2]段新海.校园网安全问题分析与对策[J].中国教育网络,2005(3).
[3]王子荣,李军义,胡峰松.IPv6 发展与部署之冷静思考[J].教育信息化,2005(12).
校园网络安全方案范文2
关键词:校园网;网络安全;防范;管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)17-21413-02
1 引言
我国著名的空间科学家奠基人钱学森院士认为:21世纪教育是一个“人脑+电脑+网络”的教育。如今随着互联网技术的迅猛发展,计算机技术、网络通讯技术、多媒体技术不断普及,校园网也如雨后春笋般在各大院校崭露头角。校园网的建立使其在学校的教育教学工作中越来越发挥着举足轻重的作用。但是,在校园网络建设的过程中,由于对技术的偏好和网络安全意识的不足,普遍存在着“重技术、轻安全、轻管理”的倾向。校园网作为数字化信息的重要传输载体,如何保证其网络的安全性成为学校不得不面对的一个问题。
2 校园网络存在的安全隐患分析
校园网一般由内网和外网两大部分组成。其中内网部分包括教学局域网、图书馆局域网、办公自动化局域网等,它实现了教学管理、资产管理、人事管理、财务管理、后勤管理等应用,形成了学校的管理信息系统;外网部分则包括一些公开的服务器,主要负责与教育科研网、互联网的连接以及远程移动办公用户等的接入。它主要通过外部网交换机连接至互联网服务器,构成一个独立的网段,路由器则通过DDN专线与教育科研网或其他网络实现互联。
对于校园网来说,网络安全主要是指系统和数据库的安全。针对校园网络的特点,维护网络安全除了要防止外部的入侵,还要防止那些具有猎奇心理、计算机操作能力较强的在校学生。因此,校园网存在的安全隐患可以归结如下:
2.1 设备受损
构成校园网的一些计算机设备如各种服务器、计算机系统、路由器、交换机、集线器等硬件实体和信链路极易受自然灾害及环境(温度、湿度、振动、冲击、污染等)的影响。目前,我们不少计算机机房还没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象也时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。
2.2 操作系统的安全漏洞
从终端用户的程序到服务器的应用服务,以及网络安全的很多技术,都是运行在操作系统之上的。校园网服务器安装的操作系统大多为WindowsXP或Windows2000系统,这些系统或多或少总存在着一些漏洞,如系统本身的漏洞、浏览器的漏洞、IIS的漏洞等等。这些都给黑客以入侵的机会,他们使用各种计算机工具,非法侵入重要信息系统,窃取重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给学校的正常教学秩序和日常工作造成极其恶劣的影响,甚至使学校遭受一定的损失。
2.3 校园网节点的安全隐患
随着校园内计算机应用的大范围普及,接入校园网节点的日益增多,而这些节点大部分都没有采取一定的防护措施,随时都有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
2.4 校园网内部的安全隐患
由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,网络上的黑客攻击工具泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
3 校园网络安全防范策略
安全策略是指在一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括先进的技术、严格的管理和相关的法律。安全策略决定了采用何种方式和手段来保证网络系统的安全,即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后再考虑技术上如何实施。
3.1 物理安全策略
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是指保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故,人为操作失误或错误以及各种计算机犯罪行为所导致的破坏过程。这就必须在校园网规划设计阶段充分考虑到网络设备的安全问题,如确保计算机系统有一个良好的通风适温环境,建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生,将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理,各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏,验证用户的身份和使用权限、防止用户越权操作等。
3.2 系统安全策略
从目前来看,各种系统或多或少都存在着各种各样的漏洞,系统漏洞的存在就成为网络安全的首要问题。前些时候流行于网络上的“熊猫烧香”、“灰鸽子变种”等病毒正是利用系统的漏洞进行广泛传播。因此及时为系统打补丁显得尤为重要。对于Windows操作系统的服务器,可以采用Windows自动更新服务来完成。除此之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。
3.3 防范计算机病毒
从病毒发展趋势来看,现在的病毒已经由单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式于一体,融黑客、木马等多种攻击手段为一身的广义的“新病毒”。对于病毒的防范我们主要依赖于防病毒软件。从功能上看,可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC机上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
3.4 设置防火墙
防火墙是指一个由软件和硬件设备组合而成,处于网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当校园网接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高校园内部网络的安全性,并通过过滤不安全的服务而降低风险。首先,防火墙可以强化网络安全。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次,防火墙可以对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次,防火墙可以防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
3.5 建立安全管理队伍
俗话说,网络安全是“三分设备、七分管理”,安全管理贯穿于安全防范体系的始终。学校必须注重对网络管理人员网络安全理论、安全技术以及专业业务的培训,注重对教工、学生等使用人员网络安全知识的宣传,在大家的共同努力下,尽一切可能把不安全因素降到最低。同时,学校还必须颁布网络行为规范和具体处罚条例,这样才能有效的控制和减少内部网络的隐患。
4 结束语
教育的信息化,校园网的建立使学校面临着“安全性”的挑战。校园网络安全不应仅仅停留于追堵和拦截,而应该积极主动的运用各种手段和策略面对来自各个方面的挑战。总的说来,校园网络安全不仅仅是技术、设备的问题,同时也是一个安全管理问题。因此,我们一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工网络安全知识的培训,并制定一套完整的规章制度来规范上网人员的行为。最终使我们的校园网络朝着健康、安全、高速的方向发展。
参考文献:
[1] 王卫华,王长杰.浅析校园网的网络安全及策略[J].科技信息:学术版,2006(07)140-141.
[2] 林景华.校园网网络安全与管理[J].沿海企业与科技,2005(12):67-69.
校园网络安全方案范文3
摘要:校园网的网络安全是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,更需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统,确保校园网正常安全运行和朝着健康有序方向发展。
关键词:校园网;网络安全;病毒
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02
高校不能单单依靠将一定的安全技术和防火墙进行结合来保护校园网络的安全运行,而应根据系统安全的需要来细细思考,制定相关的管理机制,并有效地将各类安全与管理措施进行结合,如此,才能在校园中构建起一个安全而高效的网络系统,为师生带去更多的便利。随着当前计算机技术的不断发展与更新,网络安全上也随之出现了不少问题,因而需要加强改进网络安全的预防措施,真正实现对网络的安全做到有效的保障,最终使网络能在高校快速而安全的发展。
1 校园网网络安全的概念
逻辑安全和物理安全是网络安全的全部内容;逻辑安全中包含了信息的私密性、整体性和实用性。私密性是指不可将信息透入给未经允许的人,整体性是指系统能预防程序和数据信息被非法修改或删减。实用性是指系统能避免计算机信息和数据被非法霸占,是服务器能及时而准确的接收或回复客户的合理服务请求。而能够对计算机网络产生危害的主要行为有:虚假身份、篡改数据信息、恶意访问、盗用信息等。
2 高校校园网络安全的现状
首先,操作系统的安全问题。操作系统几乎是计算机中一切与其有关程序的综合体,另外,它也是计算机系统得以运行的必备条件。它不光负责对计算机程序的运行过程进行监察和调控,还负责给使用计算机的人供应一些实用而简便的软件。因此,对于计算机来说,操作系统好比就是计算机的心脏,缺失了操作系统,计算机也就无法再有效运行。而在操作系统开发时,由于疏忽了一些安全患和差异性而使得当代计算机网络运行中出现了许多问题。然而,在现代计算机网络领域,就算是小小的一个问题也会使得计算机网络面临极大的威胁,而严重时,就会使其彻底瘫痪。
其次,计算机病毒的侵害。计算机病毒是一些具有不良企图的恶性程序,而该类程序会致使计算机屏幕出现蓝屏、系统瘫痪或被别人所掌控,进而给运用计算机的人带来极大的威胁,并且病毒也会将计算机作为载体来利用其操作系统中存在的隐患性漏洞进行一些不必要的攻击,最终给使用者造成重大损失。驻守在计算机中的病毒很难作人员发现,并且很有可能会产生一些变异性的病毒,让它的攻击性与破坏性变得更大,生存能力更加强大。
第三,计算机的黑客出现。我们都知道,主要对计算机网络安全造成威胁的另一个主要因素是黑客,因为他们是人为因素,会利用计算机网络所存在的漏洞,或者会潜入到计算机室内,来盗用计算机内部系统资源,从而非法地盗取了用户的相关信息数据,并篡改一些数据,破坏了硬件设备。我们可以将计算机黑客称作为计算机网络安全环境中的外部进攻者,而这些外部进攻者经常会采取修改计算机用户的网页界面,能够非法潜入到主机内部,也就是所说的“肉鸡”,进而破坏了他们的应用程序与系统。
3 校园网安全运行的主要策略
3.1 采用入侵检测系统。入侵检测系统用于网络和系统的实时安全监控,对来自内部和外部的非法入侵行为做到及时响应、告警和记录,以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流,根据在入侵检测系统上配置的安全策略(入侵模式),识别、记录入侵和破坏性的代码流,寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时,网络安全检测系统的预警子系统能够根据系统安全策略作出反映,并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。
3.2 网络防火墙。防火墙是用来控制信息流的设施,主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,根据在防火墙上配置的安全策略(过滤规则)来控制(允许、拒绝、监测)出入网络的信息流,同时实现网络地址转换(NAT)、审计和实时报警功能。通过防火墙的包过滤,可实现基于地址的粗粒度访问控制(入网访问控制)。通常情况下,防火墙都被部署在网络基础设施的关键入口或出口。
防火墙主要工作在交换和路由两种模式。当防火墙工作在交换模式时,防火墙的3个接口构成一个以太网交换器,本身没有IP地址,在IP层透明。将内网、 DMZ区(非军事区)和路由器的内部端口连接起来,构成一个统一的交换式物理子网,内网和DMZ区还可以有自己的第二级路由器,这种模式不需要改变原有的网络拓朴结构和各主机、设备的网络位置。当防火墙工作在路由模式时,可以作为内网、DMZ区和外网三个区之间的路由器,提供内网到外网,DMZ区到外网的网络地址转换。内部网的用户通过地址转换可访问INTERNET,内部网、DMZ区通过反向地址转换可向INTERNET提供服务。
3.3 防止ARP的攻击。随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。在DHCP的网络环境中,使能DHCP Snooping功能,E126A交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。E126A交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。这样就有效的防止了非非法用户的ARP攻击。
3.4 计算机病毒的防范。计算病毒可以说无孔不入,首先应采用预防计算机病毒为主,需要在计算机上安装配置全方位、多层次的防病毒软件,通过定期或不定期的自动升级,使计算机网络免受病毒的侵袭。常见的杀毒软件有:360安全卫士,卡巴斯基,瑞星杀毒、KV3000,NOD32,金山毒霸等。当确定计算机系统感染病毒时,选用杀毒软件迅速清除计算机病毒,清除不了的新型病毒,可将新型病毒代码加入杀毒软件病毒库中后再次查杀病毒,或上传到杀毒网站,寻求专家建议和处理办法。另外尽可能切断病毒来源,健康上网也是预防计算机病毒的手段,不访问黄色网站,下载软件时找正规网站下载正版软件,特别对外来文件需要先进行病毒扫描,确保无病毒后再使用,从源头上杜绝计算机病毒的入侵和破坏。
4 结束语
伴随网络技术的迅猛发展,校园数字化也随之迅速崛起。校园网络是高校数字化的重要基础。另外,它也是学校管理、科研、学术交流等重要教学工作能顺利进行的必要条件,它为师生提供了一个方便而快捷的学习环境。然而,在享受这些的同时,校园网络的安全方面依然存在不少问题。因此,应加强提高校园网络的安全性,从而避免信息被窃取、程序被攻击、系统被植入病毒等风险的发生。
参考文献:
[1]张伟锋,王绍让,顾方磊.校园网络安全策略研究[J].现代物业(中旬刊).2010(03)
[2]李娜.校园网安全防护系统的设计与实现[J].魅力中国.2010(07)
[3]赵越.高校网站建设及管理存在的问题与对策[J].产业与科技论坛.2011(02)
[4]张小莉.校园网组建方案探讨[J].山西财政税务专科学校学报.2011(01)
[5]薛毅飞.探讨计算机网络安全与防火墙技术[J].信息系统工程.2011(04)
校园网络安全方案范文4
关键词:高职院校;校园网;网络安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 06-0000-02
近年来,随着高等职业教育的不断发展,随着高职院校办学实力、社会服务能力不断提升,社会对高职教育的关注和认识也在逐步加深。同时随着科技的进步,计算机的普及,网络技术的飞速发展,计算机及计算机网络在高职教育中无论从教学、科研还是管理等方面都起着举足轻重的的作用。当然,随之而来的校园网络安全问题也成为各大高职院校日益重视的问题。当前的网络安全问题已经不是仅仅的存在于简单的病毒传播,很大程度上已经影响到了教师的教学。为了确保网络能有效的保证教学效果及各部门的工作效率,如何在黑客、病毒横行的时代提高校园网络的安全已成为各大高职院校迫切需要解决的问题。
一、什么是计算机网络安全
(一)计算机网络安全
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括即物理安全和逻辑安全两个方面。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。
(二)对计算机信息构成不安全的因素
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。
网络安全一词也这样被解释:网络系统的硬件,软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏,更改,泄露,系统连续可靠正常地运行,网络服务不中断。”
二、高职院校校园网中出现的网络安全问题
(一)安全漏洞
所谓漏洞,就是程序设计者在设计过程中的人为疏忽。当然,漏洞是在任何程序中都无法绝对避免。我们所说的“黑客”也正是利用设计者的这一点点疏忽对网络进行攻击的。其实真正对黑客的定义我们就可以理解他们为“寻找漏洞的人”。他们中的大多数并不是以网络攻击为初衷,只是天天专注与研究他人的程序并努力找到其中的缺陷。我们也可以这样理解,从某种程度上讲,一开始的大多数黑客都是“好人”,他们之所以找漏洞是为了追求完善、建立安全的互联网模式才加入此行列的。只不过因为个别居心不良或受人唆使的黑客经常利用那些具有攻击性的漏洞,加上一些影视中夸张的表现手法,近些年才让人们对黑客有了畏惧和敌视的心理。高职院校中大多数教师及学生使用的都是WINDOWS XP WINDOWS 7操作系统。这些操作系统同样不是万无一失,在不同层面上都存在着这样那样的问题;这就意味着学生实用的各种应用软件、防火墙等硬件设备在不同程度上也存在安全漏洞问题。这些漏洞对很多刚刚接触计算机的同学来说是很容易导致机器不能正常使用,机器的不正常工作一部分原因可能由于操作的不当出现硬件问题,当然有相当一部分问题是由于黑客或病毒找到了系统漏洞,对计算机进行攻击造成的。
同时校园网站在系统安全保障的建设中也会由技术人员在设计网站应用架构时出现了不规范,从而使得高校网站上出现了严重缺失,网站挂马、网页篡改等各种攻击行为;近年来针对高职教育的校园网站的攻击热点已经从单纯的网站攻击行为衍生到攻击利益链模式,许多学校都面临较大的形象及经济损失。
(二)病毒感染破坏
从计算机普及的那一天起,各种计算机病毒就随之而来。损坏操作系统的、将文件夹变为可执行性文件的,导致硬盘打不开的等等。有些计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,学生之间通过U盘拷贝文件,或教师通过网络上传下载文件都随时有可能帮助病毒进行传播。还有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大。由于高职院校中存在使用计算机人员多,层次多,病毒多的特点,所以各种病毒都会有机可乘。
(三)网络资源滥用
在高职院校的校园网内,各类用户滥用网络资源的情况严重。高职学生大多数都是起点较低并且对学习兴趣不浓。不排除极个别同学会在校园网上查阅资料,用来学习,但这类人群在当前的高职院校中可以说少之又少。个别同学不安装杀毒软件,或者安装了杀毒软件也不及时更新,上网随便下载乱七八糟的软件,随意接收别人的文件,还有的同学会浏览一些不合法网站,随着各种不正当操作的进行,病毒也就逐渐的渗透到学校的各个角落,严重影响了学校网络的正常使用,也严重影响了学校各项工作的顺利开展。
三、校园网络的安全防范策略
近年来,随着校园信息化建设的逐步深入,各项工作对信息系统依赖的程度越来越高。作为窗口的校园网站,所面向的用户群也越来越广泛,所承载的功能也越来越全面,不单是面向校内,同时面向社会也提供了诸多服务功能。校园网站已从一个简单的信息、展示平台,逐步转变为汇集了招生就业、远程教育、成果共享、招标采购等功能的综合性业务平台。随着国家对高职教育的逐步重视,越来越成多的攻击和威胁出现在校园内,学院网站所面临的Web应用安全问题越来越复杂,混合威胁的风险正在飞速增长,如网页篡改、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等,极大地困扰着学校和学生用户。高职院校校园网络安全管理是一项复杂的系统工程,尤其在高职院校人员分布零散,学生素质参差不齐,整体管理相对困难的前提下要提高网络安全,必须从校园的各个层面入手,才能从根本上解决问题。
(一)安全的物理环境
要保证整个学校的计算机网络系统的安全、可靠,必须保证系统有个安全的物理环境。这个安全的环境包括机房、办公室、寝室等相关的计算机设施。
(二)配备高性能的防火墙
凡是能有效阻止网络非法连接的方式,都算防火墙。早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的。虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个IP的流量和连接数。
(三)及时修复系统软件漏洞
可以以讲座或学生宣传的形式提醒各位教师及同学们及时更新操作系统,安装各种补丁程序的重要性。
(四)建立全面的网络防杀毒系统
病毒在网络环境下传播扩散特别快,所以仅用单机防病毒产品已经远远不能解决网络病毒,必须使用全方位的防病毒产品,通过及时更新病毒库,使网络免受病毒的侵袭。
校园网络安全方案范文5
【关键词】高校网络 校园网 网络安全
1 引言
随着教育信息化的发展,校园网络成为高校重要的基础设施,通过校园网可以实现教学资源和教学信息的共享,促进校园内部,高校之间的信息交流;通过校园网和相应的管理软件,可以实现办公自动化,远程授课,远程辅导,这些都大大提高了教学工作的效率,校园网络在高校日常教学工作中起着越来越重要的作用。然而,来自网络中的黑客攻击、病毒、资源盗用等常常破坏着校园网络的正常进行,因此,校园网络的安全与防范就成了校园网络组建和使用中不可忽视的问题。
2 高校校园网存在的安全问题
校园网络中主要的安全问题随着校园网应用的深入,各种数据急剧增加,各种各样的安全问题也逐渐突出,当前,校园网常见的安全隐患有以下几种。
2.1 物理层的安全问题
校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。
2.2 系统漏洞,包括操作系统漏洞,软件漏洞,硬件漏洞
2.2.1 操作系统漏洞
操作系统是一个庞大的系统,无论如何仔细考虑,都可能存在未考虑到的地方,这些考虑不周的地方,就可能被攻击者利用,成为安全漏洞。目前使用的操作系统基本都存在很多的安全漏洞,对网络安全构成了威胁。许多校园网络服务器的操作系统都或多或少存在安全风险,再加上系统管理员或使用人对该系统了解不够和安全设置不当,这些都将对校园网络构成威胁。
2.2.2 软件漏洞
计算机要完成各种功能,就需要安装不同的软件,高校计算机需要安装的软件更多,如办公软件,日常用软件,教学软件,各种专业课程所需的专业软件,这么多的软件,它们中很可能有因为设计不周,或者疏忽出现一些危及系统安全的漏洞。
2.2.3 硬件设备漏洞
与软件漏洞相比,网络设备的硬件缺陷很少被人重视,实际上,硬件设计的复杂度远远超过了软件,由于生产工艺和设计水平限制,难免会存在这样或那样的缺陷和不足,硬件漏洞是不可避免的。比如网络硬件设备交换机,路由器的默认密码,万能密码,通过这些密码,可以取得相应网络设备的控制权,有了这个权限,就可以监控网络运行的数据,如果获得这些权限的人有恶意的话,会给校园网络带来严重的危害。
2.3 黑客攻击
黑客攻击是指在未经网络认证的情况下入侵到校园网络进行恶意攻击的不法行为,主要是对校园网络中的服务器、路由器、用户计算机进行破坏或者是窃取校园网络中的重要数据。校园网络通常都采用相类似的网络结构体系和用户应用模式,这使得入侵者对于入侵校园网络形成了一种固有的入侵模式。同时有一些学生出于好奇或者是彰显自己的能力,对学校的网络设备和应用系统进行攻击,这导致高校网络瘫痪,用户难以访问互联网或者校内局域网,并且造成高校重要信息资源丢失和破坏,严重威胁着校园网络的安全。
2.4 网络病毒
计算机病毒是程序设计者在程序中插入破坏计算机功能,或者破坏数据的程序代码,它会影响计算机正常使用。病毒有破坏性,传染性,如果不及时采取措施,会给学校的教学带来严重的后果。病毒的传染途径主要有几个方面,一是利用操作系统或者常用软件的漏洞制作的病毒,只要W络存在这些漏洞,并且连上了互联网,就会中毒;二是校园教职工或者学生访问不安全的网站,从而引起系统中毒;三是在日常的工作或学习中,通过U盘,移动硬盘拷贝数据,而引起的中毒。
2.5 不良的上网习惯和淡薄的安全意识
校园网的使用者主要是学校职工,教师和学生,这些用户中很多人安全意识薄弱,上网的习惯也不好,对于自己使用的计算机为了图方便,不设置密码,或者使用简单的密码,对于教学系统中的密码,也设置较简单,或者是姓名拼音,或者重复的字母,或者是用生日来做密码,对于这些简单的密码,很容易被人破解,从而利用这个身份对系统进行破坏。而且对于一些重要的信息,资源也不注意保护,这样很容易造成泄密。
2.6 维护网络安全投入的经费不足
对于网络安全维护,主要的投入有三方面,一是硬件设施的投入,目前,很多高校的规模都是越来越大,对于一些老的设备没及时淘汰,使网络承受能力受到考验,有崩溃的危险;一是各种安全软件的购买,目前有的高校由于资金紧,在日常办公中使用了很多盗版软件,这些软件中可能存在病毒,万一出现问题也没有相应的技术支持;最后是网络安全人员的人工费及培训费用,网络安全维护对维护人员要求较高,需要有较高的专业知识,同时还需要经常学习一些新的知识,技术。这就需要经常参加网络安全的培训,但很多高校对维护人员的培训较少。
3 高校网络安全问题的解决方案
对于以上提出的校园网络安全问题,可以从技术层面、管理层面、物理安全层面的因素来考虑,采取相应的措施来确保校园网络的安全。
3.1 技术层面对策
在技术方面,主要有安全漏洞防范,身份认证和数据加密,数据备份和恢复,病毒防范等,综合起来,技术层面可以采取以下对策:
3.1.1 修复系统安全漏洞
将操作系统设为自动更新,更新一些重要的补丁,对于各种软件存在的安全漏洞,也要及时更新补丁,可以下载专门的安全软件来完成这些工作,如360安全卫士,安装之后,只要连上网络,就可以自动的为系统打上必要的补丁。
3.1.2 使用身份认证和数据加密技术
对于校园网络中重要的资源和信息,要进行数据加密,还要控制它的访问权限,有权限的人才能访问这些信息,防止非授权人员访问这些资源和信息,造成重要信息的泄露。
3.1.3 χ匾数据要定时备份
校园网络要正常运行,离不开数据的支持,对于这些重要的数据,要经常备份。数据备份是为了防止出现意外情况时,比如病毒破坏,黑客攻击,硬件故障,工作人员误操作等,一旦出现意外情况,可以用备份数据使校园网络以最快的速度恢复正常工作,而不至于造成重大的损失。
3.1.4 做好网络病毒的防范工作
提高网络病毒的防范能力,必须选择相应的防病毒软件,并且要正确配置这些防病毒软件,还要及时更新防病毒软件,平时要多扫描计算机,及时检测出系统存在的漏洞,进行相应的补救,计算机的安全策略也要进行正确的配置等。
3.2 管理层面对策
对于管理层面,应该制定健全的网络安全管理制度,主要包括以下几个方面的内容:
(1)建立高效合理的安全管理制度。建立好的制度来规范用户的使用习惯,校园网内计算机,必须有最基本的防护措施,并且要经常进行杀毒,数据备份,教学系统密码必须符合一定的复杂度,而且每过一段时间必须改变密码,不能长时间使用一个固定密码,对于一些有重要信息和资源的部门,禁止非授权人员随便进入并使用计算机。
(2)学校要经常进行关于网络安全知识教育,加强教职工的安全意识,使教职工意识到网络安全的重要性,并且具备一些基本的安全防护能力。
(3)加大网络安全维护的投入。及时更新陈旧的网络设备,购买防火墙,杀毒软件,派遣维护人员到专业安全公司接受培训,以提升维护人员解决新问题的能力。
3.3 物理安全层面对策
物理安全是保护整个计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误导致的破坏的过程。可以从下面几个方面采取措施:
3.3.1 物理环境选择
对于校园网络的各种网络设备,要选择适宜的存放环境,要考虑多方面的因素,比如防水,防火,防盗,防雷击等,保证物理环境的安全。
3.3.2 光缆线路的防护
网络设备都是通过光纤网线联通的,如果这些光缆路线出现故障,也会影响网络的正常运行。光缆线路的防护主要是防止雷击,防强电破坏,防止老鼠白蚁咬,防人为破坏线缆,同时要经常检查光缆线路,发现问题及时处理。
3.3.3 防止人为误操作
可以从两个方面考虑,一是完善管理制度,对于可能出现或者容易出现误操作的地方,通过制定制度作来防止出现误操作,对于已经出现误操作,要总结经验,将这些经验加入到管理制度中;二就是加强技术培训,对于相关工作人员进行技术培训,如果工作人员对相应知识、技术都比较熟悉,就可以减少误操作。
4 结束语
校园网的安全问题是一个较为复杂的系统工程, 涉及技术、设备、管理和制度等多方面的因素,制定安全解决方案需要从整体上进行考虑, 我们必须做到管理和技术并重,安全技术必须结合科学的管理制度,并将各种安全技术与管理手段配合使用,把网络不安全因素降到最少,才能确保校园网络系统的安全。
参考文献
[1]黄彬.浅析高校网络安全存在的问题及对策[J].信息安全与技术,2011(Z1):11-12.
[2]吴尚.浅析高校网络安全存在的问题和对策[J].计算机光盘软件与应用,2014(21):178.
[3]贺斌.高校网络安全存在的问题与完善策略探析[J].信息通信,2014(10):165.
校园网络安全方案范文6
关键词:校园网 网络安全 防御系统
一、网络安全防御系统使用的鉴别认证机制
在整个网络防御系统中,使用了两种鉴别认证机制。
1.从网络部分而言,通过SSL加密通道以及证书机关,对使用本系统提供的Web服务的用户进行服务器与外部用户间的双向鉴别,其实质是利用了公钥体制的技术,结合证书机关对服务器和用户发放的证书,实施鉴别。
2.系统鉴别部分则是利用了安全操作系统提供的鉴别机制,采用了IC卡的方式对所有内部用户进行身份鉴别,所有内部用户的IC卡均通过统一的发卡中心发放,只有持卡用户才能够进入服务器,而网络用户是无法通过普通的远程登录进入服务器的,从而保证了服务器的登录安全。
二、网络安全防御系统采用安全操作系统的要求
在整个防御系统的所有服务器中要使用安全操作系统,该系统应具有以下多种安全特性。
1.登录控制
我们将登录控制分为基于IC卡的本地系统登录控制和基于安全存储介质的远程登录系统控制。目的都是使不合法用户不能登录进某一系统,从而避免不合法用户对系统造成安全事故。
(1)基于IC卡的本地系统登录控制
整个系统有一个发卡中心。发卡中心为用户生成用户卡,持有用户卡的用户可以在一定范围(由发卡中心限制)的计算机上登录。持有root身份用户卡的系统管理员可以在每台计算机上动态的控制每一个用户在该机上的登录访问。
(2)基于安全存储介质的远程登录系统控制
登录控制是系统安全中最基本的一个环节,它是一个系统的门户,一个好的登录控制系统可以有效的阻击大部分的入侵者的攻击。Chinissh-0.1是一个基于安全shell(SSH1.0. SSH2.0 )协议的远程登录软件,它可以实现在不安全的信道上进行安全的通信。主要是通过在网络上将信息以密文形式传送达到安全目的。
2.进程权限控制
程序权限控制是系统中防止非法使用的第一道防线,Chini-os特权控制用户界面向系统安全员SSO提供操作,维护系统中文件和用户特权的接口。SSO首先要通过身份验证才能使用此界面。
Chini-os特权控制用户界面有如下4个功能:
(1)用户程序对系统调用的访问。
(2)为系统中每一个可执行的程序分配其系统调用访问权限。
(3)为每一个用户分配其使用的系统调用访问权限。
(4)兼容现有应用程序。
3.系统完整性保护
Chini_FID是系统管理员和用户监视被指定保护文件或目录是否发生改变的完整性检测工具,利用这个工具可以检测系统被保护文件是否遭到恶意的破坏,包括文件的删除、添加和修改,比如攻击者是否在某个应用程序中驻留了“特洛伊木马”,是否修改了某个文件的属性等。管理员可以随时对系统进行检测也可以向系统提交定时任务定时对系统进行检测,Chini_FID可以将检测结果以邮件方式通知管理员哪些文件发生了改变,以便及时采取控制措施避免损失。
4.加密模块
加密模块分为用户空间通用加密接口和核心空间加密模块。分别用于用户态和核心态模式。
(1)用户空间通用加密接口
Chini Sec Interface可用于各种计算机安全应用,它介于各种应用系统和各种算法模块之间,对上层应用简化了各种安全接口、对下层算法模块做出了相应的规范。利用Chini Sec Interface,开发应用的软件商可以专注于应用系统的开发,无须过多地考虑算法,可在不修改应用的情况下方便地变换算法;生产算法的厂商可专注于算法的软硬件实现,无须考虑各种应用的实现。
(2)核心空间加密模块
核心模块加解密时调用算法管理模块函数,算法管理模块再调用各种算法函数,通过这些算法函数完成加解密功能。
5.网络安全
IP安全由IPSEC实现,己知的IPSEC具体实现有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:
(1)实现IP层的安全,保护IP数据包的安全。
(2)保障主机和主机之间、网络安全网关(如路由器、防火墙)之间、主机和安全网关之间的数据包安全。
(3)实现对IP数据包的加密保护、鉴别验证、完整性保护、抗重播等。
6.加密文件系统
对于安全敏感数据,必须采取安全的存储方法保证数据的安全。我们的加密文件系统能够对该文件系统中的文件提供加密保护,不知道口令的人不可能装载该文件系统,主机或硬盘丢失后,其他人不能读取其中的数据。
7.安全审计
在Linux日志系统的基础上,采用密码体系中的认证技术,在系统产生日志文件的同时产生相应的保护文件Mac文件,日志系统每产生一条日志记录,在相应的Mac文件中就有此记录的Mac项,来对日志文件提供完整性保护。安全审计的功能表现在:
(1)产生日志文件。
(2)使用完整性验证程序可以验证系统日志文件和备份日志的完整性。
(3)可以处理和分析系统日志。
三、周期性的安全扫描
由于网络环境中的设备多种多样,仅依靠安全操作系统并不能保证所有设备的安全性,所以需要定期对网上的各种设备实施安全扫描,来发现设备的软件实现中存在的可被攻击者利用的漏洞,以便及时弥补。安全扫描的基本工作原理就是模拟攻击,一旦攻击成功,就意味存在漏洞。
安全扫描的另一部分就是病毒防治功能。通过定期或是非定期的病毒扫描,防止病毒的进入和漫延。通过实时网上病毒扫描和防病毒软件的定期升级功能,防止引入新的病毒。
通过以上的网络,数据,以及系统三方面的种种安全技术手段,结合相关的安全产品,我们为校园网提供了一个完整的网络安全防御系统的解决方案,以达到保护自己的网络信息系统安全性的目的。
参考文献
