构建安全的校园网络

构建安全的校园网络（精选12篇）

构建安全的校园网络 篇1

学校教育和科研机构是互联网诞生的摇篮, 也是最早的应用环境。各国的学校教育都是最早建设和应用互联网技术的行业之一, 中国的校园网一般都最先应用最先进的网络技术, 网络应用普及, 用户群密集而且活跃。校园网是为学校教学提供服务的网络设备, 包括Internet服务、文件服务、视频服务、课件管理、工作管理以及教师办公电脑。然而校园网由于自身的特点也是安全问题比较突出的地方, 安全管理也更为复杂、困难。

1 校园网的信息安全现状

校园网一般由内网和外网两部分组成, 内网包括教学局域网、各院系局域网、办公自动化、资产管理局域网和图书馆局域网等组成。这些局域网在物理上市独立的。外网主要由几台公开的服务器负责于互联网和教育科研网进行连接。外网部分通过交换机连接到互联网服务器, 构成独立的网段。

内部网络安全主要表现在校园内部的学生。有一部分学生已经有了相当高的网络水平, 他们恶意的去攻击你的校园网服务器。还有一部分是移动存储器的使用, 他们导致了教学用机和办公用机的交叉感染。对于外网的安全也主要表现在病毒和黑客两各方面。所以校园网的安全问题可以说是“内忧外患”。

2 校园网安全管理存在的主要问题

校园网络存在的安全隐患和漏洞主要有以下几个方面:第一, 校园网与Internet相连, 在享受Internet方便快捷的同时, 也面临着遭遇攻击的风险。第二, 校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。第三, 目前使用的操作系统存在安全漏洞, 对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等, 这些系统安全风险级别不同, 例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。第四, 随着校园内计算机应用的大范围普及, 接入校园网的节点数日益增多, 而这些节点大部分都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。第五, 内部用户对Internet的非法访问威胁, 如浏览黄色、暴力、反动等网站, 以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起攻击, 导致网络及服务不可用;校园网内的黑客程序随处可见。第六, 可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全, 带来校园网的威胁。

上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来, 随着学生宿舍、教职工家属等接入校园网后, 网络规模急剧增大。对此, 一套安全的防护体系颇为重要。

3 有效的网络安全管理

根据网络安全管理存在的主要问题我们可以确定几个必须考虑的安全防护要点:安全隔离、监控措施、漏洞扫描、病毒的防范等。

3.1 部署防火墙

防火墙是网络安全的屏障。一个防火墙 (作为阻塞点、控制点) 能极大地提高一个内部网络的安全性, 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙, 所以网络环境变得更安全。我们按照以下原则来配置防火墙以提高网络安全性。

第一, 根据校园网安全策略和安全目标, 规划设置正确的安全过滤规则, 严格禁止来自公网对校园内部网络不必要的、非法的访问。第二, 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包, 这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包, 防止内部网络发起的对外攻击。第三, 在防火墙上建立内网计算机的IP地址和MAC地址的对应绑定, 防止IP地址被盗用。第四, 在局域网的入口架设千兆防火墙, 在校园网络入口处建立第一层的安全屏障。

3.2 安装监测系统

安装监测系统是非常必要的, 处于防火墙之后对网络活动进行实时检测。许多情况下, 由于可以记录和禁止网络活动, 所以监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作, 提高了信息安全基础结构的完整性。

3.3 漏洞扫描系统

采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查, 并根据检查结果向系统管理员提供详细可靠的安全性分析报告, 为提高网络安全整体水平产生重要依据。

3.4 安装网络版杀毒软件

最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作, 为了实现这一点, 应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系, 应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

3.5 校园网的安全管理工作还需要从管理方面考虑

首先, 加强校园网安全管理政策建设。安全政策描述校园网安全的目标和需求, 是一个组织安全管理的需求说明, 它是执行各项管理制度、技术措施的依据, 一般规定“做什么”而不是“怎么做”, 告诉用户哪些行为是允许的、哪些行为是不允许的, 违反了这些约定将会受到怎样的处罚。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定, 不存在通用的安全政策。其次, 加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担, 但是事实上, 安全管理工作非常复杂, 可能涉及各院系、部、处的人员, 因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作。

4 对校园网建设的几点建议

建设校园网是一项系统工程, 要想经济、科学、实用地建设好校园网, 应该在具备一定师资、一定资源的条件、一定理论认识的前提下, 统一规划, 有计划、分步骤地实施。

第一, 校领导应该从教育改革的全局高度认识到, 教育信息化的必要性和紧迫性;校园网建设的目标是为了推进教育信息建设的进程。第二, 校领导应该以全新观念构建系统的校园网建设方案。第三, 教育信息化是校网建设与应用的最终目标, 要进一步明确教育信息化的具体要求:对于学生而言, 要掌握并应用好计算机及网络工具, 为自己的学习服务;对于教师而言, 要掌握并把计算机及网络技术作为课程教学的核心。第四, 重视学生的信息素质教育, 抓好计算机学科教学。第五, 多渠道挖掘潜力, 积极筹建资源库。

互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出, 加强校园网的安全管理是当前非常迫切、充满挑战的任务。各高校校园网应加强安全政策、安全管理组织和技术培训, 增大安全管理的投入, 共同做好校园网的安全管理工作, 建设一个安全、可信的教育和科研网络环境。

摘要：校园网是在适应社会的、个人的发展需求下出现的一种新事物, 它属于教育现代化的范畴。本文就校园网的安全建设问题进行了讨论。

关键词：校园网,网络安全,因特网,服务

参考文献

[1]刘占全.网络管理与防火墙技术[M].北京:人民邮电出版社, 1999.

[2]胡功林.浅谈校园网的安全构建[J].科技创业, 2006.

[3]刘渊.因特网防火墙技术[M].北京:机械工业出版社, 1998.

构建安全的校园网络 篇2

[摘要]站在对国家对民族负责的高度，充分认识学校安全工作的重大意义，围绕和谐校园建设，切实加强学生安全教育和防范，着力构建网络健全、责任明确的安全工作体系，是政府、学校和社会各界的共同目标和责任。

[关键词]：学生 ；安全； 责任 ； 和谐

近年来，随着社会的发展变化，各种新情况、新变化、新矛盾不断出现，影响小学生安全的因素越来越复杂，对学校的安全稳定带来前所未有的冲击。因此，如何做好学生安全工作，抓好学生的安全教育与管理，促进学生身心健康发展，确保学校和社会的安全与稳定，是摆在我们面前的一个突出问题。

一、学生安全是构建和谐校园的重要基石

学校安全工作的好坏，直接关系到广大儿童、青少年能否安全、健康成长，关系到广大群众的切身利益，关系到社会的稳定和和谐。

首先，确保学生安全是贯彻落实科学发展观的必然要求。科学发展观的第一要义是发展，核心是以人为本，基本要求是全面协调可持续，根本方法是统筹兼顾。以人为本，首先要关爱生命，以人的生命为本，对各类学校、各位教师来说，就是要以学生为本，保证学生的生命权、健康权。各级政府及有关部门要做到情为民所系，权为民所用，利为民所谋；要牢固树立“没有安全就没有一切”的思想，要总结教训、举一反

三、狠抓落实，认认真真、扎扎实实地把关系人民群众安危冷暖的事情办好，把学生当作自己的孩子一样关爱好、呵护好。

其次，确保学生安全是构建和谐社会的重要基础。和谐的基础是安全稳定，稳定压倒一切，安全至关重要。没有校园的平安与和谐，和谐社会就成为空谈。广大青少年学生和儿童是祖国的未来，也是每个家庭的全部希望，他们的安全和健康成长，关系到千家万户的幸福，关系到国家未来和发展。但是，一方面在校生独生子女比例很高，往往一个孩子承载着一个家庭几代人的梦

想与希望。另一方面，学生的安全意识和防卫自救能力较弱，相当一部分学生还不具备足够的安全意识和自我保护能力，学校安全工作面临严峻挑战。加大学校管理力度，给学生提供一个安全健康的环境，是党和政府对学校的基本要求，是学校应尽的义务和职责，也是广大学生家长对学校的期望。

第三，确保学生安全是做好教育工作的基本前提。学校是人员相对集中、各种安全事件群发、频发的场所。学校安全工作是学校工作的重要组成部分，是办学的基础。做好学校安全工作，筑起师生安全的坚实防线，为广大师生创造良好的教学和生活环境，对于保证青少年学生的健康成长和教育事业的发展至关重要。“生命不保，何谈教育”，“没有师生安全，何谈学校教育；没有校园平安，何谈学校发展”。安全工作是开展学校各项工作的基本前提，是学校教育教学的保障，学校的一切工作都要在打好这个基础的前提下才能推进。

二、安全教育是实现学生安全的主要路径

推行安全教育可以有效降低学生意外伤害发生的比例，培养学生正确的安全生活习惯和态度，使其具备基本的生活安全技能，是实现学生安全的主要路径。

一是注重在日常教育中培养学生的安全意识。学生年龄虽小，思想却很复杂，逆反心理明显，以至于说教常常显得有点苍白无力。如何来进行安全教育呢？日常生活中总会听到这样和那样的事，其中不少是安全教育的好材料，我们要善于发现，善于挖掘、利用，学生就会避免一些不安全的因素，如学生逃学去上网，针对这一现象，我专门找一些报低，把有关上网的负面影响的新闻剪贴在班级的宣传瘭里，再利用广播、电视、录象等这些媒体工具，对学生进行心理攻势，致使那些逃学的学生意识到沉迷于网络是种很危险的行为。平时，我还隔周布置学生去收集现实中身边的安全事故，让学生谈自己的心得体会，并互相交换自己的看法，比如对有些学生易冲动，好打架，我开展了《假如我遇到„„》主题班会，让学生列举在日常生活中可能遇到的容易发生矛盾的

事例，围绕这些事例展开讨论，通过各抒已见，在潜移默化中培养学生的安全意识，让学生学会如何处理日常生活中遇到的矛盾，消除了班级中的一大安全隐患。

二是注重在预设环境中培养学生的安全意识。生活在不同环境中的学生的安全意识也不同，为了加强学生的安全意识，我在班级中创设了一些物质环境对学生进行一些生动、直观、形象的综合性教育，起到了事半功倍的效果。如让学生动手自制安全标志，寻找一些富有意义的安全漫画和标语，张贴在班级里，时时刻刻提醒学生注意安全，防患于未然，在课间休息播放一些有关安全的新闻，和一些陶冶情操的音乐，为学生创设一个良好的安全环境，有意或无意的起到加强学生的安全意识的作用，避免在课间休息时发生一些偶然事件，同时，组织学生寻找发生在身边的安全事故及藏于身边的安全隐患，把自己的所见所闻编成小报张贴于班级的公告栏，让学生得到警示教育，并提高安全防范意识。教育家第期多惠说过，教育艺术的本质不在于传授，而在于唤醒、激励、鼓舞。我们要通过各种方式去唤醒学生对安全的重视与防范。

三是注重在查找隐患中培养学生的安全意识。校园安全涉及我们生活和学习方面的安全隐患有20多种，其中包括交通事故、食物中毒、用电安全、火灾火险、溺水、体育运动损伤等等。有专家指出：通过安全教育，提高中小学的自我保护能力，80%的安全事故是可以避免的。因此，我们要善于引导学生找出身边的安全隐患，进行安全教育。如上、放学骑车交通安全问题，化学实验的有腐蚀性的药品的作用，火种引起的安全隐患等等，让学生意识到这些安全隐患的严重性、危险性，有针对性的培养学生的自我保护能力，如果教师只是一味地反复叮嘱或是训斥，而没有真正地让学生去体验，去感受，那么学生是无法形成良好的技能的，我们要尽量让学生亲身经历体验一些安全隐患，从中学会自我保护的方法，培养自我保护的能力，使之有足够的能力和勇气沉着对付突发事件，例如一次看见一个学生用打火机玩，为了教育该生，我就特意把垃圾桶装满纸，然后点燃，从不同的方向使劲的扇火，结果教室里又是火又是烟的，顿时学生大乱，提水的提水，还有 的学生用纸弄湿了捂住鼻子，让学生体验了火灾的场面，学到了在火灾中避险、逃生、自救的方法，同时也教育了该学生，一举两得，何乐而不为呢。

三、分工协作是实现学生安全的有力保证

切实加强学生安全教育和防范，着力构建网络健全、责任明确的安全工作体系，是政府、学校和社会各界的共同目标和责任。

首先，政府要加大学校安全设施投入。要加强对辖区内学校安全工作的领导，加大对维护学校安全的经费投入，按国家规定确保学校选址安全，依法维护学校周边秩序，并对学校的校舍和其他教育教学设施以及生活设施的安全情况进行检查，对存在的不安全因素应当及时排除。

其次，学校要建立健全安全管理机制。学校安全工作是一件难事，更是一件繁事、杂事，门卫管理、学生晨检、隐患排查、教育培训、信息报送等，都需要我们脚踏实地，持之以恒，稍一疏忽就会造成损失。要把“安全无小事，时刻保安全”作为各项工作的出发点和落脚点，在制度建设上抓完善，在工作方法上重落实，在宣传教育上求实效，注重精耕细作，精打细算，精细管理。要做到“每天讲安全问题，最多也不为过”，“把安全工作看作一场足球比赛，全体教职工都应是守门员”，时时敲响安全警钟，处处强化安全意识，守住 “平安校园”。

第三，社会要营造学校安全的良好氛围。要架设家校沟通桥梁。通过家长学校、家长会、家访制度，架起家校联动、沟通的桥梁，达到学生获监管，家长受教育的较好效果。要优化周边育人环境。公安、教育、卫生、文体、交通、工商、城管等部门要建立研判会商制度，定期召开联席会，共同研究校园安保及周边治安秩序整治工作，净化优化校园周边环境，形成齐抓共管的协作机制。

参考文献：

网络信息的安全防护体系构建 篇3

关键词：网络信息;安全防护;体系构建

随着社会的不断发展，网络在我们生活中所扮演的角色将会越来越多。我们生活在网络信息的社会中，很多信息都能通过网络所传递，这已经成为了当今社会传递信息的一种主要手段。网络信息的安全防护不是针对单一方面的安全防护，它要保证整个网络系统的安全不被威胁。当前，科技的更新速度越来越快，针对网络数据进行攻击的不安全因素也变得越来越复杂。因此，我们必须付诸于行动，构建网络安全防护体系，同危害网络信息安全的行为作斗争。

一、网络信息安全防护体系

随着攻击手段的不断演变，传统的依靠防火墙、加密和身份认证等手段已经满足不了要求，监测和响应环节在现代网络安全体系中的地位越来越重要，正在逐步成为构建网络安全体系中的重要部分，不仅是单纯的网络运行过程的防护，还包括对网络的安全评估，以及使用安全防护技术后的服务体系。

二、网络信息安全威胁分析

Internet技术的最显著优点是开放性。然而，这种广泛的开放性，从安全性上看，反而成了易受攻击的弱点。加上Internet所依赖的TCP/IP协议本身安全性就不高，运行该协议的网络系统就存在欺骗攻击、拒绝服务、数据截取和数据篡改等威胁和攻击。用户安全意识不强，用户口令设置简单，用户将自己的账号随意泄露等，都会对网络安全带来威胁。人为的恶意攻击是计算机网络面临的最大威胁。恶意攻击又可以分为主动攻击和被动攻击两种。主动攻击是以各种方式有选择地破坏信息的有效性和完整性;被动攻击是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致重要数据的泄漏。现在使用的网络软件或多或少存在一定的缺陷和漏洞，网络黑客们通常采用非法侵入重要信息系统的手段，窃听、获取、攻击侵入有关敏感性的重要信息，修改和破坏信息网络的正常使用状态，造成数据丢失或系统瘫痪，给国家造成重大政治影响和经济损失。计算机病毒是可存储、可执行、可隐藏在可执行程序和数据文件中而不被人发现，触发后可获取系统控制的一段可执行程序，它具有传染性、潜伏性、可触发性和破坏性等特点。

三、构建网络信息的安全防护体系

（一）加大法律法规宣传

在现阶段的统计数据中可以看出，在我国有一百多条正在使用的国际国内信息安全相关的准则。信息安全保障体系是在网络信息安全标准的基础上建立的，保证了政府能够对网络进行合理有效的宏观调控。目前，信息安全起着至关重要的作用，没有网络信息安全，国家的利益和人民的安全便得不到保证。网络信息安全有利于产品实现互相操作和互相连接，是网络安全产品更加可信。现如今，由于网络不安全所产生的问题越来越多，网络违法的行为时常发生在我们身边，有些甚至因为网络纠纷而闹到了法庭。因此，必须加强与网络相关的法律法规的宣传，保证网络能在健康的环境下运行，切实保障国家和人民的利益得以实现。当我们遇到网络信息安全的纠纷时，必须走法律的途径，用法律的手段维护自身利益，打击网络违法犯罪行为。

（二）安装杀毒软件

在计算机上安装杀毒软件，对于保护好网络信息安全有着非常重要的作用。其中杀毒软件还可以叫做防毒软件，还可叫做反病毒软件，其作用是一种安全防护软件，可以查找并消除电脑病毒、恶意软件和特洛伊木马。杀毒软件是把许多功能集中于一体，主要包括对计算机的实时监控、对病毒的扫描与清除、自动更新病毒库以及自动更新等，目前有一些杀毒软件还带有数据上传与恢复的功能。防火墙、杀毒软件、恶意软件查杀程序和入侵防御系统等构成了计算机的防御系统，杀毒软件是计算机防御系统中极其重要的一部分。

（三）加强防火墙功能

网络层防火墙被看作为既是分离器，又是一种在底层的TCP/IP协议堆栈上运作的一种IP封包过滤器，同时又是一个分析器，它能够确保内部网络不被侵害的同时可以行之有效的监控内部网和Internet之间的所有活动。它为了保证内部网络的安全运行，不被外部网络干扰可以把互联网方面的风险区域和安全区域有效的隔离。另外，网络防火墙除了起到对某些禁止的业务进行封堵、对进出的访问行为进行管理以及发现网络攻击时能够及时的进行检测和报警的作用，还能够在有信息内容和活动通过防火墙时，做到及时的分析和记录。

（四）加强网络安全管理

从日前的数据来看，超过百分之六十的信息安全出现了问题都归咎于管理方面。职责分离原则、任期有限原则以及多人负责原则是安全管理网络信息系统上的三个原则。加强网络的安全管理不但要求管理网络的人员提高其监督意识，既要加强使用人员的安全意识还要设置计算机的系统口令，非专业人员不得访问。网络管理人员也要做到尽职尽责，按照自己的职责与权限，对不同的系统设置不同的口令，在操作的过程中要保证其合法性，严格限制有些用户对网络资源进行非法的访问和使用。保障网络信息安全的关键是建立一个完善的网络信息安全机制。在完善网络安全机制的过程中，除了要做到建立良好的网络数字签名机制、数据完整性机制、安全加密机制、访问控制机制以外，还要对鉴别交换机制、公正机制、通信业务流填充机制以及路由控制机制等进行不断的完善。

四、结束语

网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要指保护网络系统的硬件、软件及其系统中的数据，不受偶然的或者恶意的原因破坏、更改和泄露，保证系统连续可靠正常地运行，网络服务不中断。

参考文献：

[1]彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷，2016.

构建基于全局安全的高校校园网络 篇4

随着网络技术的发展,高校数字校园网已经扩展传统校园的功能,承担着高校教学、科研、管理和服务等角色,是最终实现教育过程全面信息化建设的主导力量和坚强后盾。但由于校园网的用户数量众多,使用者多数不是专业人员,用户防护意识薄弱,使校园网面临着严重的安全威胁。目前,校园网的主动防御技术有:防火墙技术、入侵检测技术和防病毒技术等,这些技术都是在网络的某个部分进行主动防御,无法保证校园网整体安全。本文以辽宁机电职业技术学院校园网络建设为例,依据“全局安全”的设计理念,阐述构建基于全局安全的高校校园网络技术。

1 学院校园网络现状

辽宁机电职业技术学院老校区于2000年投入运行,相继完成了部分楼宇综合布线工程、网络中心建设。以100M光纤接入方式接入INTERNET,通过防火墙实现NAT转换,通过三层交换实现VLAN划分,同时通过访问控制列表设定学生端网络和教师端网络的访问策略。南校区和北校区之间通过网通公司提供的2M数字电路实现内部通信。经过几年的发展,已经具有下列服务功能:接入及网络管理、数字图书馆、办公自动化系统、WWW服务、邮件服务、网络杀毒服务等。

在老校园网运行中,存在着以下的安全问题:

(1)核心层采用单核心设备,不能保证网络24*7小时不间断工作。

(2)存在着各种安全隐患:经常有用户擅自更换IP,导致合法用户不能够正常上网;学生擅自在局域网中假设代理软件;在校园网中擅自假设DHCP服务器;通过这些非法手段,从而来影响校园网的正常运行,导致校园网不能够正常运行。

(3)由于校园网的用户数量巨大,经常有学生使用各种攻击手段对校园网进行攻击和破坏,严重影响了网络的安全。

2 全局安全的校园网络总体方案

辽宁机电职业技术学院有两个教学校区,即新校区和黄海校区(老校区)。新校区是学院的办公主体校区,有教学、住宿、实验及实训场所,共计10余栋建筑物。通过双100Mbps带宽接入Internet,校园网采用千兆,核心设备考虑通过冗余技术加强容错能力。

具体设计方案如图1所示。

该方案在设计中,依据“全局安全”的理念,从接入层到核心层,从网络准入到网络准出,都采用安全机制,形成多种网络组件联动,全局防御。并且在网络建成后,加强对校园网的管理和维护,培养高网络使用者的安全意识,提高网络防御技能等人为因素。这样,就形成了从物理设备到人为因素的“全局安全”解决方案。

3 全局安全的校园网络详细部署

3.1 网络核心区安全设计

为保证校园网络24*7小时不间断服务,核心层采用双核心架构,确保骨干网络的可靠性。采用两台锐捷面向十万兆平台设计的S8610骨干路由交换机,其高性能,丰富的安全特性可以保证整个网络的高速和安全运行。

3.2 网络接入区安全设计

本网络共划分为7个子区域,分别是行政中心、老校区、学生宿舍A区、学生宿舍B区、展览中心区域、机械工程馆和仪器仪表馆。在汇聚层根据每个子区域安全性要求不同,分别采用S7606、S7604和S7505安全接入交换机接入,在接入层采用S2600接入。安全接入交换机同时支持802.1X准入和Web准入,可在认证通过时动态的自动绑定用户所使用的IP+MAC+端口,确保源IP地址和源MAC地址的真实性。

真实IP源地址带来的价值包括:可实现完全杜绝ARP/ND欺骗问题;可防止各种源IP/MAC欺骗的网络攻击;可快速的定位网络故障,从而最快速解决故障;可实现精准的网络安全日志审计;可实现准确的基于IP地址的网络流量计费,实现了网络接入的安全。

3.3 网络出口区安全设计

采用专用的网络出口设备串联在一起,性能高并各司其职,成熟稳定。采用一台校园网专用的出口设备NPE50,其强大的NAT和策略路由功能,特别适合大型校园网的出口应用;部署一台应用控制引擎ACE3000来控制网络应用对出口带宽的应用情况,保证关键业务的通畅,进而提高网络出口带宽的利用率,提高网络的使用体验;同时通过一台千兆防火墙1600T和园区骨干交换机相连,能够屏蔽来自外部的攻击,便于实施各种安全策略,DMZ区用来放置像WEB等对外发布的应用服务器。同时部署专用的VPN网关WALL V160E,根据实际的需求为校外访问者或内部人员的校外接入提供权限和简单、安全的SSL VPN的接入方式。

3.4 制定完善的管理制度

(1)加强对硬件设施的管理

网络设备、光缆和双绞线等硬件设施构成了校园网的硬件基础,如果遭到了破坏,网络安全将受到严重威胁,所以要加强管理。实施责任分工制,校园网核心设备由现代教育技术中心负责,系部楼内设备由各系部管理员负责,校内铺设的光缆等设施由保卫部负责。每个负责的部门制定管理制度,并且制度上墙。

(2)安装杀毒软件

在校园网上设置服务器,安装网络版杀毒软件,支持客户端在线升级。由校园网管理员负责将安全的重要性和在线升级方法制定成文件,共享在内网中,要求老师定期进行升级,机房中机器的升级由学生管理员负责,教师管理员定期进行抽查。

(3)加强对学生的安全教育

学生是校园网的主要使用对象,也是对校园网存在最大威胁的团体。部分学生缺乏安全意识与知识,不能对个人电脑进行安全防护,造成病毒传播;部分学生对攻击技术感兴趣,使用自学的各种攻击手段对校园网进行攻击,类似行为都对校园网安全造成了威胁。

为了保护校园网安全,首先要进行主动防御。采用802.1X准入和Web准备技术,要求每个学生接入校园网都要进行账号申请,验证成功后方可进行访问,保证专号专用;在边界防火墙上设置策略,过滤不健康网站,保证不良信息不能进入校园网;在IDS上进行监测,随时发现安全隐患,并进行解决。eLog软件与出口设备连动实现上网日志的记录与查找,采用锐捷SNC网络管理软件,可以基于WEB集中对全网的网络设备做发现、管理维护和监控。

对学生进行安全教育,以“加强安全意识,共建和谐绿色网络”为主题,开展多次全方位的网络文化宣传活动。聘请网络安全工程师面向全院师生进行安全专题讲座;系部组织“绿色网络”宣传竞赛活动;班级开展“安全网络,人人有责”主题班会等。通过这样一系列活动的开展,增强学生的网络安全意识,提高安全防护知识,为共建全局安全的校园网络贡献自己的一份力量。

4 结束语

辽宁机电职业技术学院基于全局安全设计理念的校园网工程自施工完成投入使用以来,网络运行质量很高,出色的为教学、科研、管理等提供了服务,为学院的信息化建设提供了坚实的平台。但是信息技术的发展日新月异,各种攻击技术和病毒也会层出不穷,本学院的校园网管理水平也要同步提高。

参考文献

[1]刘文清.校园网的安全与防护策略研究[J].电脑开发与应用.2011.

[2]黄欣,赵志刚.基于全局安全的高校校园网络设计方案[J].电脑知识与技术.2011.

[3]张俊兰,郭金平.高校校园网设计方案[J].延安大学学报.2010.

[4]黄柯佳.校园网信息安全优化方案探讨[J].通信与信息技术.2011.

构建安全的校园网络 篇5

――鹤山区竹林学校平安校园建设优秀成果汇报材料

鹤山区竹林学校始终坚持“全面贯彻党的教育方针，面向全体学生，促进学生全面发展”的办学宗旨，在大力抓好教育教学工作，不断提高教学质量的同时，狠抓安全稳定工作，牢固树立了“安全大于天，责任重于山”的思想。提出了以确保师生人身财产安全为首要的工作目标，以建立健全学校安全防控体系为重点的一整套加强学校安全工作的新思路、新措施，取得了良好的效果。近年来，学校无刑事治安案件和安全卫生事故的发生；校园环境优美，秩序井然，教育教学质量稳步提升，先后荣获“省级远程教育示范校”、“市级平安校园”、“市级综合治理先进单位”、“区年终综合评估优胜单位”等五十余项区级以上荣誉称号。

一、构建安全管理责任体系，做到权责明确。

学校实行安全工作“一岗双责”，就是在教育教学管理工作的基础上，同时承担着学校安全管理的责任，也就是一个岗位有两种责任，每个人在完成“一个岗位的业务责任”的同时，还要承担起“安全管理的责任”。学校按照“谁主管，谁负责”的原则，校与处室和班主任层层签订责任书，明确各自的职责。实行一级抓一级，一级对一级负责的工作机制。学校还与学生家长签订了安全责任书，明确了家长应做的工作和应负的责任，建立起覆盖各时段、各空间、全员师生参与的校园安全管理责任体系。政教处主要负责对学生的法制安全教育，对学生进行交通、防水、防火、防盗、防触电等常规安全教育，组织安全疏散演练；教导处主要负责教育教学安全检查和图书室、阅览室、体育活动场所安全检查；总务处主要负责检查食堂饭菜质量及卫生情况、学校各种用电设备完好情况，校舍、消防、围墙等设施安全情况；党支部负责及时将创建“平安校园”的有关精神传达到相关处室，同时负责对全体教职工进行安全教育和管理；各任课教师负责自己教学中的安全，从而构建起职责明确、协调配合、人人抓安全、事事抓安全、处处抓安全、时时抓安全的工作体系。

二是构建安全管理制度体系，做到安全管理长效机制。学校在明确职责、全面实施“校园安全责任制”的基础上，先后制定、完善了《竹林学校安全工作规程》、《班主任常规考核试行办法》、《竹林学校班主任安全工作制度》、《竹林学校关于集中规范自行车、摩托车管理工作的公告》、《竹林学校创建“平安班级”评价标准》等多项制度基础上，明确并长期坚持把安全工作作为考核各处室、班级和每位教职工的重要条件，并将其列为个人或集体评先推优的重要依据之一。建立健全安全工作领导带班、门卫、校园巡逻检查、校外租房学生跟踪管理、住宿生24小时安全管理、应急处置管理和安全工作月查月报等制度，形成有机的校园安全工作管理长效机制。

三是构建“家校联手”、“警校共建”体系，形成安全教育合力。学校十分重视家庭和社会在教育中的作用，积极构建“学校、家庭、社会”三位一体的教育网络，提高育人的效果。学校利用家长会、家长学校、家访等形式给家长讲《儿童心理健康保健》、《交通安全公约》、《学生伤害事故处理办法》，向家长介绍学生在校表现情况，了解学生校外表现，积极探索家校配合的最佳途径，追求良好的教育效果。

学校积极开展“警校共建”活动，发挥安全法制副校长、辅导员的职能作用，和交警队、派出所共同建设安全教育基地和安全教育大课堂，共同研究安全教育工作，制定安全教育措施，为学生做交通安全知识讲座和法制教育，使学生们掌握了相关的法律知识、安全知识和交通常识，增强了学生守法遵纪的意识，有效防止了学校的安全事故的发生。此外，学校安全工作多年来一直得到上级领导和社会各界的大力支持与配合，公安、工商、城管等部门对我校周边的环境进行了综合治理。卫生和防疫部门的同志经常深入我校检查食品安全和饮水情况，保证了师生饮食卫生的安全。所有这些，都对我校安全工作给予了大力支持和帮助，使我校的安全工作有了重要保障。

四、构建安全教育内容体系，做到教育活动序列化。

学校安全教育内容包括预防和应对社会安全、公共卫生、意外伤害、网络、信息安全、自然灾害以及影响学生安全的其他事故或事件。我们按照不同年级学生的年龄特点、知识水平、理解能力，确定不同年级段的安全教育内容和要求，通过主题教育、国旗下讲话、安全课、专题讲座、安全教育文艺节、手抄报、读书笔记评比，安全征文比赛等形式进行，使。安全教育活动形成序列化，增强了教育的针对性和实效性。如低年级重点了解简单的交通常识(如走路要靠右边走，红灯停、绿灯行等，了解简单安全知识、请假制度等；中年级能够识别交通安全标志，了解学校的各项安全工作制度、预防传染病的知识，熟记《交通安全公约》、《安全走路歌》等；高年级能够将安全知识编成文艺节目、手抄报，向同学们宣传安全常识，并自觉规范家长的不良安全行为。

五、构建安全保障体系，提升防范水平。

学校在做好安全教育和各项制度的落实的同时，也不断加大对安全设施建设的投资力度，构建先进的安全保障体系，做到防患于未然。近年来，学校投资500余万元，对学校的宿舍楼、教学楼、餐厅以及操场进行了改造，确保了校舍的安全。投资12万元，安装了20个监控探头，对校园实行了全方面监控；学校还定期检查消防、警示标志，做到及时保养、更换；投资3万元，为食堂配备了消毒柜、和面机、蒸馍机等设备，做到食品的自我加工，确保学生吃得安全、吃得健康；在重点部位安装了110报警器、警报器、防盗门窗、应急灯等技防设备。所有的这一切，大大改善了学校的办学环境，提高了学校的硬件水平，为平安校园创建打下了坚实的物资基础，提升了学校的安全防范水平。

构建安全的校园网络 篇6

加大投入，构建校园安全物质文化，是构建县域高中校园安全文化的基本前提。在校园安全文化构成要素中，最直观的因素就是校园硬件设施和环境。因此，首先要科学、合理、精心建设校园安全的物质文化，通过校园的安全硬件建设和环境营造来保障校园安全活动。

在校内，要确保校舍建筑、饮用水源、供水设施设备安全达标，有满足教育活动需要且无安全隐患的体育场所和活动器材，有合格的消防、防雷設施和校园报警点等物防设施。在安全宣传设施上，有固定的校园安全宣传专栏，在特定场所设置活动安全警示牌，安全教育教师用书、教学光盘和挂图齐备。人员方面，学校保安和学生公寓、学校食堂食店的专职管理人员要落实责任，要确保校车及驾驶人员符合相关规定。

校园周边安全环境要达标，临近公路的校门口有交通警示标志，校园周边200米范围内无营业性网吧、歌舞厅和危化物品仓库、经营站，无乱搭、乱建、乱堆现象，无无证经营的小摊点等，环境洁净，绿化美化好。

建章立制，健全校园安全制度文化，是构建县域高中校园安全文化的重要保证。安全制度是学生安全行为的准绳，又是校园安全精神文化的基础和载体。不仅是常规工作制度，建立和完善校园突发事故应急处置预案也是十分重要的。如食物（饮用水）中毒事故应急处置预案、火灾事故应急处置预案等。预案要简明、科学、实用，贯彻实行领导负责制，并根据情况在实施中不断修改完善，提高学校应急能力，将突发事故的危害降到最低。

各种安全制度关键在于落实，学校要与各科室负责人、班主任、科任教师签订安全工作责任书，把安全制度落实到人。并实施交接班登记制度，建立完善学校安全隐患排查台账，确保24小时不离人。

注重规范，形成学生安全行为文化，是构建县域高中校园安全文化的内在要求。学校除了要设立专门课程定期对学生进行安全知识教育和普及，展开各种应急疏散演练外，还要做好以下方面的工作：

规范安全管理行为。坚持一把手亲自抓、分管领导具体抓、其他领导配合抓和“谁主管、谁负责”“谁组织、谁负责”的安全管理工作原则；坚持把安全工作纳入对基层的目标考核，实行校园安全卫生评比考核制度。

规范安全教育行为。聘请当阳市公安局副局长为学校法制副校长，通过安全演练、“安全教育日”、安全知识竞赛、征文书画展等多种形式加强学生安全教育，不断提高安全教育的系统性、针对性和实用性，加强学生的防范意识和防范能力。

规范学生安全行为。学校通过团委会、学生会等组织，设立文明监督岗、课外活动安全岗、安全监督员等，充分调动学生自我管理、自我监督、自我约束的主观能动性，通过一系列安全主题教育活动的开展，以及管理制度、规范的实施，规范学生的学习、生活行为，让学生学会自我保护，自求平安。

营造氛围，培育校园安全精神文化，是构建县域高中校园安全文化的总体目标。学校通过安全制度文化的规范、安全行为文化的养成，逐步将外在的约束内化为师生的安全行为心理定势与情感认同，从而建设校园安全精神文化。

发挥课堂主渠道作用，促进教育观念和行为的转变。校园安全文化不仅仅局限于活动课中，还要渗透到各学科教学中。学科教师要加强对学生心理健康教育的渗透，提高学生耐挫能力，倡导积极的人生观、价值观、社会观。

校园网络安全保障体系的构建 篇7

近年来, 国家对教育信息化工作非常重视, 教育科研网、校校通、农远工程等重大项目带动了教育系统的网络全面建设, 数以万计的校园网如雨后春笋般的建立起来。伴随着网络的建设, 各种教育教学应用也大面积的铺开, 电子政务、远程教育、数字图书馆、教育资源库等建设方兴未艾。在这样的大形势下, 网络的安全问题也就成了无法回避的问题。本文将着重介绍构建校园网络安全保障体系的几个重要的技术手段和应用系统, 针对校园网络对安全的特殊需要, 提出一个多重机制相结合、多层次的网络安全解决机制。通过这些技术手段和安全措施构建网络的多重屏障, 给校园网络提供一个安全的运行环境, 带给学生一个绿色的网上空间。

这个安全保障体系的主要构成包括:防火墙系统、入侵监测系统、网站防护系统、网站防篡改恢复系统、绿色上网系统。下面就为大家介绍一下几个系统的主要特性:

一、防火墙系统

防火墙是网络的第一道屏障, 也是最常见的应用, 主要功能是通过严格的访问控制, 使一个网络不受来自另一个网络的攻击。防火墙是一种技术, 同时也是一种产品, 一般分为基于硬件实现和基于软件实现两种方式, 根据安全策略需要的各种控制规则, 阻止或通过访问对象连接的地址或传输的数据包。

防火墙的工作原理是:建立在一个服务器或主机的机器上, 也称“堡垒主机”, 它是一个多边的路由协议。这个堡垒主机连接在两个不同的网络上, 一边与内部网络连接, 另一边与互联网相连。其主要作用是防止未经授权的来自互联网或者对互联网的访问, 并为安全管理提供详细的系统活动记录。

从技术实现上来划分, 防火墙主要包括网络级包过滤防火墙和应用级代理防火墙。包过滤技术是网络级防火墙的一种基本安全控制技术, 用来检查进出网络的哪些数据包可通过或拒绝。因此, 包过滤防火墙至少有一个包过滤检查模块, 它只针对数据包头部中的地址与协议信息内容, 来鉴别并控制点与点、点与网络、网络与网络之间的相互通信和访问, 但不传输数据内容。代理技术是面向应用级防火墙的一种常用技术, 它提供代理服务的主体对象是有能力访问互联网的主机, 使那些无法访问互联网的主机通过代理也可以访问互联网。当外网通过代理访问内网时, 内网只接受代理提出的服务请求和内容, 内网本身禁止直接与外部网络或其他节点的直接请求与应答联系。它的优点是应用层网关可提供良好的服务功能, 代理服务可隐蔽内部IP地址, 安全性更好。

防火墙的安装配置是一门技术性很强的工作, 需要专门的工程技术人员和安全管理人员来指导。对不同类型的防火墙产品和网络结构保护系统, 以及所使用的配套软件, 如:过滤软件、代理软件、NAT (网络地址转换器) 软件和管理软件、内网与外网的出口、连接Web服务器的设置等细节都要了如执掌。对需要配置的过滤规则、代理规则以及NAT规则等都要做到严格、规范, 尽可能万无一失, 这是能否真正保护网络系统的关键。

二、入侵检测系统

防火墙通过严格的访问控制功能来防范非法访问, 在复杂的网络系统中, 这些策略是不充分的。同时, 防火墙本身也存在一些漏洞, 它无法防止绕过防火墙设备的其他途径攻击, 不能防范已感染病毒文件和软件的传输, 不能防范诸如数据驱动型的攻击。因此要提高网络的安全性, 就要对通过防火墙的数据进行进一步的检测, 判断其是否具有入侵行为等非法操作。

入侵检测技术就是一种分析判断入侵行为, 并对其进行防范的技术, 它在安全系统中的作用越来越大, 是一个不可缺少的网络安全技术。入侵检测通常是指对入侵行为的发觉或发现, 通过计算机网络或系统中某些检测点测试结果收集到的信息进行分析比较, 从中发现网络或系统运行是否有异常现象和违反安全策略的行为发生。

入侵检测的步骤大致分为两方面:一是收集信息。多方位收集检测对象的原始信息, 包括系统、网络、数据及用户活动的状态和行为。保证真实性、可靠性和完整性。二是数据分析。根据采集到的原始信息, 进行最基本的模式匹配、统计分析和完整性分析, 模式匹配和统计分析用于实时的入侵检测, 完整性分析则更多用于事后分析。

入侵检测的方法很多, 目前较为常见的主要是按分析方法来划分:一是异常检测模型, 二是误用检测模型。异常检测模型给定正常操作所具有的稳定特性作参照, 当用户活动与正常行为发生较大或者重大偏差时, 即被认为是异常入侵现象。误用检测模型首先收集正常操作的行为特征, 并建立相关的特征库。当监测的用户或系统行为与标准库中的记录相匹配时, 系统就认为这种行为是入侵现象。

当前, 很多防火墙设备也集成了入侵检测功能, 满足小型和简单的网络的基本需求。但是为了解决大型和复杂的网络的需求, 更全面地检测入侵行为, 提高安全性和检测效率, 就必须使用专业的入侵检测系统。入侵检测系统通过入侵事件定位、入侵风险评估、网络异常流量监测等系统来综合检测和防范入侵行为, 进一步提高网络的安全性。

三、网站防护系统

网站是网络的窗口, 由于它处于互联网这样一个相对开放的环境中, 各类网页应用系统的复杂性和多样性导致系统漏洞层出不穷, 病毒木马和恶意代码网上肆虐, 黑客入侵和篡改网站的安全事件时有发生, 校园网中的网站也同样面临这样的问题。

网站防护系统就是一套针对网站遇到的各种黑客入侵、非法访问、网站篡改等问题, 通过相应的防护措施对网站进行整体防护的安全系统, 它一般由软件和硬件共同实现。

网站频遭破坏的主要原因在于网站整体安全性差, 缺乏必要的日常维护, 有的网站虽然在接到报告后能够恢复, 但并没有根除安全隐患, 从而遭到多次篡改。针对各种破坏网站的方式, 网站防护系统提供了保护网站的各项功能, 主要功能包括:一是恶意代码主动防御。对系统中所有的可执行文件代码 (例如:EXE、DLL、COM等) 进行控制, 所有可执行文件代码在加载运行之前都需要先经过检验, 只有通过验证的代码才可以加载。二是网页文件过滤驱动保护。网站管理员可以将需要保护的网页文件设定为受控对象, 对于每一个受保护的对象, 管理员为其设定一个对象相关授权码。即使是系统管理员, 系统也禁止其对于受保护对象做任何特定操作, 从而有效阻止对系统静态网页的篡改。对于Web服务 (例如:IIS、APACHE) 的相关配置文件也采用同样的方式进行保护, 防止通过修改配置文件达到篡改网页的目的。三是防SQL注入功能。通过高效的URL过滤技术, 把SQL注入的关键字过滤掉, 从而有效地避免网站服务器受到SQL注入攻击。四是抗网络攻击能力。作为一种网络安全防护设备, 网站防护系统本身也应该具备一定的抗攻击能力。

四、网站防篡改恢复系统

互联网是个开放的网络, 网站发布的信息一天24小时都在被查询、阅读、下载或转载。网站内容复制容易, 转载速度快, 网页如果被篡改后果难以预料。虽然网站防护系统采取了多种措施来保护网站不受攻击, 但是并不是100%保证网站不被篡改。一旦网站被篡改, 如何及时地恢复就变成一个重要的问题。传统方法中, 管理员只能用恢复服务器配置、恢复文件内容等办法来处理。但是有些攻击者篡改内容很频繁、方式很隐蔽, 甚至在系统中留下后门以便今后继续攻击, 因此问题变得更加复杂, 给管理员恢复系统提出了更高的要求。管理员迫切需要一个对网站的篡改行为进行实时恢复的工具, 网站防篡改恢复系统应运而生。

网站防篡改恢复系统一般采取事前阻止、事发监控报警、事后自动实时恢复等多重保护机制, 提供文件监控保护功能, 保证文件系统的内容及权限不被篡改, 一旦被篡改能及时恢复。用户不需额外增加软硬件投资以切实保护用户既有投资, 极少占用系统资源以保证网站访问者的感受, 仅需安装服务器、通过控制台发号施令可保证管理员上传更新等多数维护习惯不被改变。

目前市场上的网站防篡改恢复系统很多, 在选择的时候应主要考虑以下几个因素:一是实时性。系统必须实现对网页的实时监控与恢复。二是低耗性。系统在监控过程中尽量少地占用系统资源, 不影响用户正常服务。三是安全性。被篡改的文件, 在恢复过程中不能被外部访问。四是易扩展性。一个管理服务器可以管理多个WEB网站, 新增加监控站点不需要做任何配置。五是易用性。管理员管理和网站的更新维护要方便, 支持批量更新整个网站或者更新指定的目录和文件。

五、绿色上网系统

互联网上的网站琳琅满目、五花八门, 在带给人们丰富信息的同时, 也存在着各种各样的问题。它的开放性是一把双刃剑, 一方面给了我们更大的信息空间, 另一方面不良信息也带给社会极大的负面影响。尤其是针对未成年人, 如何给他们一个绿色的上网环境, 是摆在全社会、摆在每个教育工作者面前的一个严峻的问题。绿色上网系统就是这样一款为未成年人提供的软件系统, 为孩子们带来健康、安全的网络环境。

国家相关法律明确规定, 经营性网吧不得向未成年人提供上网服务, 一般情况下, 学生上网主要是在学校的校园网和家庭中, 因此对这两个网络环境的防护就成为给学生提供绿色上网环境的重要工作。

绿色上网系统一般分为网络版和单机版两类。网络版是针对校园网和计算机教室这样的网络环境, 通过管理服务器对整个网络的访问行为进行监控、对不良的访问进行限制的系统。在不影响学生对网络的正常使用前提下, 管理员在管理终端设定配置, 便可监控、管理整个网络环境中的计算机。根据需要配置不同年级学生能访问的站点, 分析特定学生组或个人的互联网操作行为, 提供学生上网分析报告, 便于教师指导学生的上网行为。单机版是安装在学生家庭的软件, 通过对上网计算机进行访问权限的控制, 达到避免未成年人访问不良网站的目的。家长可以根据相应的标准, 限定孩子能够访问的站点, 限定孩子每天的上网时间, 提供完整的上网访问日志, 使孩子的网上行为都在家长掌握之中, 以便对孩子上网行为进行正确的引导。

构建安全、和谐的网络环境 篇8

工业信息化部副部长尚冰, 随着两化融合的深入推进和全社会信息化水平的不断提高, 通信网络的基础性和战略性地位更加突出, 为我国的信息化建设和经济社会又好又快发展提供了基础保障与强大动力。同时, 随着网络的IP化、宽带化、智能化以及新技术新业务新业态的快速发展, 网络安全问题更加复杂, 形势依然严峻。网络攻击、信息窃取、病毒传播等安全事件和违法犯罪活动多发频发, 社会各界和广大用户要求加强电信用户信息保护的呼声日益强烈, 通信网络仍然存在一些安全隐患和薄弱环节, 核心技术与关键资源的自主可控能力不强, 网络安全方面的高精尖人才还比较缺乏, 全社会网络安全意识仍有待进一步提高。工信部未来将加强网络安全防护和应急能力建设, 加大互联网环境治理力度和网络信任体系建设, 通过开展安全测评和风险评估、完善监测和应急体系建设等, 提高域名系统的安全、用户信息保护能力, 维护网络安全和公众利益。

国家网络信息安全技术研究所所长杜跃进, 目前, 网络空间领域还没有一个为各国普遍接受的国际规则, 跨国网络犯罪时有发生, 这些都给网络治理带来了难度。“由于各国从技术到管理、从认识到行动都还存在多种差异, 加强网络安全国际合作更为迫切和有效。”他说。

构建安全的校园网 篇9

随着网络技术应用的推广普及，应用层次的不断深入，网络应用领域也正从传统的、小型业务系统向大型、关键业务系统扩展。网络所具有的开放性、国际性和自由性在增加应用自由度的同时，也为网络安全增加了更多的风险，网络安全正日益成为影响网络效能的重要因素。如何建构一套完善可行的高校网络安全体系，也是校园网建设过程中所必须考虑的重要事情之一。

2 安全防护体系建设

信息安全系统由物理安全、信息安全、系统安全、终端安全等多部分构成。

物理安全主要是保障网络的物理环境、网络设备、数据介质及其它相关物理实体的安全。其主要目的是为各种应用系统提供一个安全的物理运行环境，提供可靠的物理保障。

网络安全主要是保证网络结构的安全，对网络设备进行安全配置、在网络层加强访问控制能力;加强对攻击的实时检测能力;加强网络病毒的防范能力。

接入安全是对为了防止网络遭受潜在的破坏性攻击(来自内部的有意或者无意的攻击)而设计，可以解决大部分内部网络安全问题，包括威胁防御、病毒防范、身份验证、访问授权和安全通信等。

系统安全是指保障应用系统的正常运行。它建立在物理安全和网络安全的基础之上，主要包括系统的终端安全、统一病毒防护管理、操作系统安全、数据库系统安全、应用服务安全几个方面。

终端安全是整个信息安全体系中最脆弱的部分，也是最易被利作的部分，因此需要对终端安全进行重点防护。终端安全包括终端用户、终端用户的补丁升级管理、终端资产管理、终端软件管理几个方面。

2.1 物理安全

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。对于校园网物理层的安全策略与解决方案主要考虑以下两个方面：

1)物理访问控制方面

校园网需建立基于网络系统的数字化视频监控系统，部分重点区域采用红外线报警系统。对主机房及重要信息存储系统，首先要保证重要地点的安全防范工作，如：非工莫入、出入记录、录像监控、门磁、窗磁、红外报警等。以上非工莫入、出入记录可以采用IC卡技术、指纹技术等来实现，可以做到实时记录，方便查询等优点。

2)物理安全方面

对主机房及重要信息存储等重要部门来说，一旦电源发生故障，就会造成信息的丢失，正常工作无法进行。通常，网络主机房内部会部署专用UPS等，因此需要考虑的是对UPS的合理监控与维护。

另外，电源质量对用电设备的使用寿命、安全等有重大影响。在电源系统中，存在尖峰、浪涌等情况，一旦发生会使用电设备处于危险境地，为避免因电源质量而造成不安全因素，可以采用电源净化系统。另外还需要考虑安全接地问题与防雷问题。

2.2 网络安全

网络安全是校园网安全的核心和灵魂，在这里需要考虑以下的安全策略与解决方案。

1)网络边界防护

对内部网络不同的安全区域有不同的安全需求，做不同的安全访问控制措施。

对于广域网的安全接入，要考虑使用防火墙的机制来完成访问控制。

对于Internet的安全接入,建议才用具有防火墙和IPS功能的UTM设备完成访问控制。

对于数据中心(服务器群)区域,通过采用服务器接入交换机，双链路上连核心交换机清晰划分出服务器安全域，同时通过防火墙技术对服务器区域进行安全防护。

2)入侵检测与防御

建立网络安全主动防御机制，采用入侵检测和入侵防御系统对校园网网络的重要网段提供主动性的安全保证措施。

3)网络设备安全加固

加强网络设备的自身安全就是保证网络基础设施的安全性。通过对校园网网络中所有的网络设备进行安全加固，提高网络设备自身的安全性。

4)网络设备和服务器的身份认证

为了保证校园网内部网络中重要的网络设备(路由交换)服务器和其它的网络设备的有序管理，校园网络通过802.1X进行集中式的身份认证。

2.3 系统安全

对于校园网网络安全的系统安全，在这里我们需要考虑以下的安全策略与解决方案：

1)建立完善的防病毒体系

在校园网网络中配备网络版的防病毒系统进行文件病毒的防护。将校园网现有的网络版防病毒系统升级到统一版本，并布署统一防病毒管理和监控平台。

2)邮件系统安全

校园网在建立安全邮件系统的同时，必须考虑对垃圾邮件的防御。

3)系统的加固

通过对校园网网络中各系统进行安全评估，根据评估报告，针对各系统的漏洞进行配置加固和完整。包括操作系统的配置加固、数据库系统的配置加固以及各应用系统的配置加固等。

2.4 终端安全

对于校园网网络来说，终端设备的安全建设主要从几个方面来进行：

终端资产的管理。包括：终端软、硬件、应用程序以及相关责任人，让管理员能够随时了解终端资产的状况;

终端安全策略的管理。包括：审计策略、帐户策略、密码策略、服务及端口开放策略、注册表安全策略等。通过建立一套安全策略基线，可以大大降低终端自身的脆弱性，提高抵御能力;

终端安全补丁的分发和管理。实现Windows补丁的及时更新，避免由于安全漏洞而引起的风险;

终端访问控制管理。包含两个方面的内容：a、通过个人防火墙或者其他设备，防止外部系统对终端主机的分发访问;b、限制终端主机对外部资源的非法访问，或者，作为一种对不遵守学校安全策略用户的惩罚性措施;

终端访问行为审计。对于用户的访问行为进行相关的记录，同时，能够集中的存储和统计、查询用户访问行为，保障出现问题的时候能够进行有效的审计和定位。

终端安全防护和管理。对于整个校园网的终端系统来讲，统一采用一个安全控制手段，统一的安全策略来保障终端系统自身的安全，提升整个的安全防护水平。并使得整个校园网的终端系统安全做到可控和可管理。

3 安全检测体系建设

3.1 漏洞扫描

由于入侵手段的日益复杂和常用系统出现的安全缺陷，分析网络系统对破坏的抵抗能力有助于保障安全。漏洞扫描分析系统当前的设置和防御，指出潜在的安全漏洞，以改进系统对入侵的防御能力。漏洞扫描技术主要是用来评估计算机网络系统的安全性能,是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供安全性分析报告，为提高网络安全整体水平产生重要依据。

漏洞扫描系统安全检测涉及到网络中的防火墙、路由器、主机(MS Windows、LINUX、SUN Solaris、HPUX等)漏洞及开启的服务，文件的内容和配置以及系统安全补丁等问题。应用漏洞扫描系统可以提前警告网络系统中的弱点所在，防止黑客入侵和内部人员的误用，是维护网络系统信息安全的好帮手。

为了能对全网的安全水平有所了解，并且能及早发现网络上存在的问题，对全网的安全做比较全面评估，在校园网网络中配置布署一套漏洞扫描软件，对所管理的服务器、主机、网络设备、安全设备进行扫描，生成扫描评估报告，对不同的业务系统采取不同的扫描策略进行分析扫描，从网络的内部、外部对整个网络进行分析评估，生成分析报告，以供网络管理人员分析，以制定出针对全网的合理的安全防护策略。

3.2 安全评估

3.2.1 扫描评估

在安全评估服务中我们将借助先进的评估工具和科学的工程方法，对客户信息系统进行测试、扫描，发现已经存在或可能存在的信息系统安全威胁，并形成客户信息系统安全威胁评估报告。

扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以采用网络扫描和主机扫描。

基于网络的扫描工具是通过网络远程探测其他主机的安全风险与漏洞。

基于系统的扫描工具主要关注软件所在主机或网络设备上的风险与漏洞。

3.2.2 人工评估

为了弥补工具扫描的不足，通过人工的方式对系统的安全性各方面进行检查，主要的人工分析包括：

1)安全配置检查

系统管理和维护的正常配置，合理配置及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

2)安全机制检查

安全机制的使用和正常配置，合理配置及优化配置。例如日志及审计、备份和恢复，签名与校验，加密与通信，特殊授权及访问控制。

3)文档调查

相关文档包括系统开发的安全需求文档，应用开发文档，相关安全策略及安全管理制度等。

4)问卷调查及访谈

通过问卷调查及访谈的方式，明确关键资产的业务职能，现有的安全策略以及实际的安全需求，全面了解系统的安全现状及运行状况。

3.2.3 渗透测试

完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透性测试的目的是为了找到系统中隐藏的安全漏洞，能够直观的让管理人员知道自己网络所面临的问题。

渗透性测试涉及到以下内容：系统帐户检查、系统日志检查、后门进程检查、木马程序检查、本地溢出程序检查、信任主机检查、攻击来源检查。

4 校园网安全管理

“三分技术，七分管理”是网络安全领域的一句至理名言，在安全业界，安全重在管理的观念已被广泛接受，因此，对用户安全管理、安全制度等问题的建议也应当作为安全解决方案的重要组成部分。国际上，以ISO17799/BS7799为基础的信息安全管理体系已经确立，并已被广泛采用。校园网应以此为标准进行网络信息系统的安全现状评估、安全策略与安全制度建立等。通过加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系发挥应有的作用。

4.1 网络设备的口令管理

校园网网络设备的口令可分为重要口令和普通口令。重要口令包括各级路由器的特权口令和各主机的超级用户口令。普通口令包括各级路由器的普通口令和各主机的普通帐号口令。

重要口令必须定期更换，重要口令应只限于必需的相关人员掌握。不得传递给任何其他人。各级口令不得以任何形式的明文存放在连入互连网的主机电子文档中。各级口令不得以明文形式在电子邮件、传真中传播。

工程施工、厂商技术支持完成后，相关的各级用户口令必须尽快修改。掌握口令的重要网络管理人员离开岗位后，有关的各级用户口令必须尽快修改。

4.2 配置数据备份

网络系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段，是安全工作的重中之中，必须高度重视。

网络所有路由器配置均应保留备份，一般应放置在安全的tftp server中，(tftp server平时关闭，用时方可打开)同时将路由器配置以txt文件复制放置在安全的电子文档中，若路由器路由配置有所变动，应待路由器运行稳定后将路由器配置重新备份。

4.3 网络攻击和入侵应急处理

对于一个完整的安全体系，还必须建立相关的应急机制。网络管理人员在发现可疑网络攻击和入侵迹象时，必须尽快处理并记录。情况严重时，必须尽快联系网络安全管理人员取得技术支持。

4.4 网络安全负责人与电子邮件通报制度

信息中心必须指定专门人员负责网络安全工作并备案。在其工作变动或者长期出差时，必须指定接替人员，并作好交接工作。

电子邮件和网络安全站点是各级领导、网络安全管理人员、网络管理人员、网络安全负责人等之间进行及时有效的交流沟通的重要手段，它们互为补充。

5 结束语

校园网安全建设是一项非常复杂的系统工程，不是纯粹的技术问题，也不是简单产品与技术的堆砌，而是策略、技术与管理的综合。安全策略是校园网安全最核心的问题，是整个校园网安全建设的依据;安全技术包含工具、产品和服务等，是实现校园网安全的有力保证;安全管理主要是人员、组织和流程的管理，是实现校园网安全策略和技术手段的得以成功应用的前提。另外值得我们注意的是，由于安全问题的日趋复杂,加之校园网自身的情况也在不断地发展变化，因此校园网安全防范没有一劳永逸的方法，只有每个人都参与并坚持不懈地努力才能确保它的有效性和先进性。

参考文献

[1]秦宗全,于咏梅,等.校园网络安全防范体系研究[J].计算机时代,2007(2):16-18.

[2]陈文冠,曹亮,陈兴华.高校校园网信息安全的研究[J].科技管理研究.2007(2):207-209.

构建网络信息的安全防御体系 篇10

随着信息化时代的到来以及计算机网络的广泛运用,我国在政治、军事、金融、教育和科研等许多重要领域的安全保障越来越依赖于计算机网络和信息的安全运行。根据CNNIC(中国互联网络中心)调查数据显示,截止2007年6月30日,我国大陆地区上网用户总数达到1.62亿户,上网计算机总数达到5 940万台,网络国际出口带宽总容量达到256 696MB,网站数达到84.3万个。与此同时,电子政务、电子商务、网络游戏、网络博客等互联网正在快速发展,新的操作系统、新的应用软件不断投入使用,这些都导致人为疏忽和网络系统漏洞大量产生。我们一方面面临着黑客入侵、病毒袭击、垃圾邮件、流氓软件等各种计算机网络不安全因素的严重威胁,另一方面越来越多的信息资源又必须通过计算机网络进行存储、处理和传输,再加上众多计算机网络的使用者缺乏最基本的网络安全意识和防护技能,使网络泄密和窃密的问题日趋严重。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题。

本文首先阐述我国当前网络信息安全面临严峻的威胁;接着进一步分析危及网络信息安全的主要因素;最后提出构筑网络信息安全防线的具体措施。

网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,其本质就是网络上的信息安全。ISO(国际标准化组织)的定义为:“为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。”

1 网络信息面临的威胁

1.1 涉密信息系统建设、维护和开通存在不规范行为

在网络建设中,普遍存在着急功近利的思想,对网络基础设备投入得多,而对安全保密方面投入得少;对网络应用产品研究投人得多,对网络安全的基础研究投入得少。这就使得信息安全技术的发展滞后。《涉及国家秘密的计算机信息系统集成资质管理办法》已于2005年7月10日正式施行。党政机关及军工科研院所涉密信息系统的规划、设计、施工以及服务、咨询工作应当由经保密工作部门依法审查、批准,具有相应涉密集成资质的单位承担建设,而且资质项目的内容和地域不同,准许承担的建设项目也会有所区别。因此,一些单位选择不具备相应资质单位承担涉密计算机网络的建设任务,导致涉密网络建设达不到国家规定的安全和保密标准,其信息安全就很难得到保证,甚至会从根子上留下泄密的硬伤和窃密的隐患。另外,在维护涉密网络的过程中,由于缺乏有效的监管措施,涉密数据被外人无意下载、恶意拷贝的情况都有发生。境外情报机关甚至有针对性地策反涉密网络的维修人员,伺机窃取计算机网络内的涉密数据。

1.2 信息产业的核心技术被少数国家垄断和封锁

我国信息技术起步较晚,信息系统安全基础薄弱,核心技术受制于人。我国使用的计算机CPU芯片、操作系统主要是国外生产的,网络高端设备几乎全是国外产品,网络技术通用标准性和网络安全协议也是国外制定的,我们并没有掌握信息安全的主动权。一些西方国家为了达到信息制控目的,利用技术优势,在对外出口的信息技术关键产品中设置“后门”集成窃密程序等方法,制造安全隐患,一旦出现异常情况,在国与国之间的信息对抗中,我们必将受制于人。

造成网络安全威胁的原因可能是多方面的,有来自外部,也有可能来自企业网络内部。目前这些攻击越来越普遍,手段也更大胆、更精巧。网络的信息安全已成为现代社会的热门话题。

2 危及网络信息安全的主要因素

2.1 网络和系统特性的缺陷

研究表明,从网络协议到操作系统,从服务器的安全机制到应用平台的各种应用事务,都存在着许多设计缺陷。任何一个操作系统,任何一个应用程序不可能一次就做到完美无缺。像WindowsNT这样的大型网络操作系统,新版本刚推出不久就相继发布一系列修订系统缺陷的补丁程序。因此,操作系统的任何一个缺陷都可能是网络信息安全的隐患。

2.2 网络黑客的恶意攻击

黑客攻击的目的通常有两个:一是获取信息和网络的系统资源;二是干扰和破坏网络系统。黑客攻击的方式虽然千变万化,但概括起来,其最常用的主要手段有两种:窃取合法账号和特洛伊木马术。

a)窃取合法账号:账号是合法用户进行网络登录的钥匙,黑客获取了账号就拥有了合法用户的一切权限。尤其是窃取了网络管理员的账号,对系统操作、控制的权限就更大,这是对网络系统安全的最大威胁。网络黑客通常利用网络传输协议的一些漏洞,进行IP地址的欺骗,获取系统文件破解其保密字。例如,FTP协议可能存在的安全漏洞有:通过匿名用户登录执行系统命令,下载超级用户系统文件,从而窃取超级用户权限。

b)特洛伊木马术:特洛伊木马和病毒、蠕虫之类的恶意程序一样,会删除或修改用户计算机存储的文件、格式化用户的计算机硬盘、上传和下载计算机存储的文件、骚扰用户操作自己的计算机等。特洛伊木马最具特色的性能就是实施远程窃密和远程控制。它们一旦潜入受害的计算机系统,就可以获得对受害计算机系统的控制权,从而随心所欲地对被攻击系统的文件系统、进程控制乃至系统注册表等系统资源进行操作。

2.3 人为因素造成的网络安全隐患

在构建网络安全体系时,人为因素对网络安全的影响非常重要。即使是网络管理员已经制定了相应完善的安全制度,如果操作员不认真履行规范性操作规程或违法执行某些越权的行为,都将对系统安全造成威胁。

人为因素造成的网络安全隐患主要表现在以下几个方面:

a)网络操作人员缺乏信息安全常识。不设防地将网络信息资源共享,轻而易举地将信息泄露出去;网络线路和闲置接口没有采取保护措施,使得不法分子通过便携机就可以很方便地接人到网络系统中,从而进行非法操作。

b)用户为了操作方便,追求简单,往往将保密字设置得过于简单,极易被黑客破解;一个口令长期使用、很少变更,这些都可能给不法分子有可乘之机。

c)安全制度不落实。即使制定了完善的网络管理制度,如果操作人员不能够认真履行,不能按照操作规程去做,甚至执行一些超越权限和明文禁止的操作,从而留下安全隐患。

d)电磁泄漏。重要涉密单位通常上级配发有干扰设备,如果操作人员思想上不重视或忘记了使用干扰器,就有可能造成电磁泄漏现象。这也是造成网络安全隐患的一个因素。

3 构筑网络信息的安全防线

构筑网络信息的安全防线主要指通过操作系统安全使用和部署安全防护软件等,实现信息化网络安全和信息安全。

3.1 完善网络信息安全系统

3.1.1 防病毒系统

常见的计算机病毒主要是针对微软的操作系统,如果使用其他操作系统如UNIX或Linux,基本可以不用担心受感染,但是仍可能成为病毒传播源和感染对象。对企业而言,对付病毒的重要手段是部署网络防病毒系统。网络防病毒系统由防病毒主程序和客户端以及其他辅助应用组成,它可以通过管理平台监测、分发部署防病毒客户端,这种功能意味着可以统一并实施全企业内的反病毒策略,并封锁整个系统内病毒的所有入口点。因为计算机病毒是动态发展的,到目前为止尚未发现“万能”防病毒系统,所以只能及时更新病毒库。目前,国内和国外的防病毒厂商都有能力提供企业级防病毒系统。要有效地对付计算机病毒,除了部署防病毒系统外,还要配合其他手段维护系统安全,做好数据备份是关键,并且要及时升级杀毒软件的病毒库,还要做好灾难恢复。

3.1.2 防火墙

防火墙是目前最重要的信息安全产品,它可以提供实质上的网络安全,承担着对外防御来自互联网的各种攻击,对内辅助企业安全策略实施的重任,是企业保护信息安全的第一道屏障,在信息化安全中应给予高度重视。防火墙从结构上分为软件防火墙和硬件防火墙。硬件防火墙基于专门设计的硬件和系统,自身安全有保证、效率高、稳定性好,但是功能单一,升级困难;软件防火墙基于现有的操作系统如Windows,功能强大,但是自身安全性受限于操作系统。大部分软件防火墙基于Windows平台,也部分基于Linux平台,基于Linux平台的防火墙成本低,但是维护使用要相对困难一些。通过配置安全策略,防火墙主要承担以下作用:禁止外部网络对企业内部网络的访问,保护企业网络安全;满足内部员工访问互联网的需求;对员工访问互联网进行审计和限制。现在的防火墙在功能上不断加强,可以实现流量控制、病毒检测、VPN(虚拟专用网)功能等,但是防火墙的主要功能仍然是通过包过滤来实现访问控制。防火墙的使用通常并不能避免来自内部的攻击,而且由于数据包都要通过防火墙的过滤,增加了网延迟,降低了网络性能,要想充分发挥防火墙的作用,还要与其他安全产品配合使用。

3.1.3 入侵检测

如果对系统的安全性要求较高,如为了保护电子商务网站和企业互联网接口等,有必要采用入侵检测产品,对重点主机或设备加强安全防护。大部分入侵检测系统主要采用基于包特征的检测技术来实现,它们的基本原理是:对网络上的数据包进行复制,与内部的攻击特征数据库进行匹配比较,如果相符即产生报警或响应。检测到入侵事件后,产生报警,并把报警事件计入日志,日后可以通过日志分析确定网络的安全状态,发现系统漏洞等。如果它与防火墙等其他安全产品配合使用,可以在入侵发生时,使防火墙联动,暂时阻断非法连接,保护网络不受侵害。在部署此类产品时要注意进行性能优化,尽量避免屏蔽没有价值的检测规则。

3.1.4 认证加密

应用系统的安全也是不可缺少的。企业内部可通过部署认证加密系统保障办公自动化流程、控制敏感信息的访问,特别是对电子商务,如何确认交易各方的身份,确保交易信息的保密性、完整性和不可否认性是交易正常进行的基本保证。认证加密是保证应用安全的有效手段,它主要通过数字证书来实现。数字证书是一个经证书授权中心数字签名并包含客户的公钥等与客户身份相关的信息数字证书,是网络通信中标志通信各方身份信息的数据,它提供了一种公开承认的在互联网上验证身份的方式,一般由权威机构———CA(认证中心)发行。数字证书可存储在IC卡、硬盘或磁盘等介质中,在基于数字证书的通过过程中,数字证书是合法身份的凭证,是建立保密通信的基础。

3.1.5 操作系统安全使用

在信息化网络中,操作系统的安全使用是保证网络安全的重要环节。操作系统安全使用主要包括以下几方面内容:用户密码管理、系统漏洞检测、信息加密等。用户密码管理无论是对个人还是企业都是很重要的。用户密码管理有许多原则要遵守,最重要的就是不要使用空密码,如当你使用WindowsNT/2000时,如果不幸你使用空密码,局域网中的任何人都可以随意访问你的计算机资源。如果你是系统管理员,制定严谨的用户密码策略是首要任务之一。漏洞检测对关键服务器的操作系统是极为重要的,特别是对电子商务网站。任何操作系统都不可避免地存在安全漏洞,操作系统的漏洞总是不断地被发现并公布在互联网上,争取在黑客没有攻击你的主机之前及时发现并修补漏洞是极为关键的。另外一类漏洞并不是系统固有的,而是由于系统安装配置缺陷造成的,同样应引起足够重视。对服务器而言,关闭不需要的服务或端口也是必要的。即使网络很安全,需要保密的信息在存储介质上的加密仍然是必要的,因为任何网络不能保证百分之百安全。使用WindowsNT/2000等操作系统时,尽量使用NTFS分区,对重要信息启用加密保护功能,这样即使信息意外泄露,也无法破解。操作系统的易用性和安全总是难以兼得,安装操作系统时尽量不要使用默认值,在微软尚未做出策略性调整之前,根据微软现在的理念,系统的易用性仍然是首先考虑的,所以默认安装会自动安装一些你并不熟悉且根本无用的服务和应用,并打开了许多特殊端口,这些服务、应用和端口很可能成为别人入侵的跳板。

3.2 开发和使用自主产品

目前,我国网络信息系统的主要设备(服务器和路由器等)和核心软件(操作系统、数据库管理系统甚至网络管理软件)广泛采用国外的商用产品,这给我国计算机网络安全带来极大隐患。商用产品因带有黑箱操作而不可控,使用者无法了解细节,对于可能带有的“后门”甚至逻辑炸弹和“间谍”束手无策。商用产品的安全性没有保证,必须发展自主的信息产业,采用自己的安全产品,这是网络安全建设的根本性问题。自主产品可以最大限度地控制不安全因素。首先,自主产品可以信赖。因为开发者可信赖和控制,就能排除有意设置恶意逻辑炸弹、“间谍”和后门的可能性,使自主产品的可信赖程度和可控制程度远远高于国外的商用产品。其次,自主产品可以自主更新。既然我们无法设计和实现一个绝对没有漏洞的系统,那么,发现漏洞和堵塞漏洞将是个长期的过程,没有自主的产品,就无法自主地实施堵塞漏洞的工作。第三,随着安全技术的发展,自主产品可以及时丰富安全功能。网络安全体系是一个不断进化、不断完善的体系,利用自主研制的构件来控制安全关键点,就可以达到在攻防技术的消涨平衡中动态地维持系统处在一个相对安全的水平上。因此,要摆脱受制于人的状况,必须加快自主操作系统、路由器和网络计算机平台的开发,并将其尽快部署在我国网络信息应用系统的关键环节上,以把握住网络信息系统安全的控制权。利用国外的高技术产品必须消除技术隐患,如对某些处理器,可以关闭其序列号功能,或禁止联接Internet。引进的设备和产品不经过安全处理而直接使用,无异于把钥匙交给窃贼。

3.3 培养能够胜任网络防御战的人才群体

网络管理人员负责提出随时出现的计算机和网络安全的新问题及解决方案。并制定出内部安全策略和有关安全制度,包括密钥的管理及对用户账号和口令的管理,定期对网络安全做出评估,提出系统安全报告和紧急情况应对方案。网络安全是一项专业性强、知识面广、实现难度大的综合性工作,没有一定的网络安全人才,就谈不上网络安全。因此,必须抓好网络安全人才培养。

3.4 理顺网络安全管理机制

应健全网络安全管理机构。网络安全保密管理工作的领导机构由主管保密的领导和相关业务部门人员组成,负责领导网络安全管理工作。网络安全技术保障组织由计算机网络专业人员组成,负责软硬件安装、维护、操作、用户授权、审计跟踪、应急恢复等网络日常管理事务。选调网络系统安全管理维护人员要严格审查,把好选拔关。

应落实网络安全管理法规。尽快完善和细化计算机网络规划建设、管理使用等安全保密标准和措施,严格安全检查、信息入网审批等规章制度,明确各级主管和监督部门的职责,为网络安全管理提供依据。加大网络安全检查监管力度,不断加强和改进网络安全管理措施。

4 结束语

构建完整的安全防护体系的目的是把企业的网络风险降低到可以接受的程度。这是一项综合的工程,不能简单地依赖一个产品,需要进行整体规划。在企业中,网络信息安全是一个动态的概念,而且没有绝对的安全。为了提高企业的网络信息安全,除采用可适应的、高可靠的安全措施和安全产品外,管理是极其重要的。网络信息安全是“三分技术,七分管理”。正确制定适应本企业的网络信息安全需求和安全策略,便能有效地实现和提高自己企业的网络信息安全。

参考文献

[1]谢希仁.计算机网络[M].大连:大连理工大学出版社,1996.

[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2002.

[3]肖军模,刘军,周海刚.网络信息安全[M].北京:机械工业出版社,2003.

[4]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社,2002.

构建企业网络信息安全体系 篇11

关键词:信息安全;黑客;屏蔽;日志;入侵

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 06-0000-02

Construction of Enterprise Network Information Security System

Chen Dan

(Guangdong Justice Police Vocational College,Guangzhou510520,China)

Abstract:As viruses,hackers,malicious attacks means emerge in endlessly,enterprise's information security also suffer unprecedented threat,if build enterprise network information security system has become an enterprise's survival and development of the primary consideration to the problem.From the"physical security,system security,network security,application security and security management from five aspects"explains detail of the construction enterprise information safety requirements and implementation scheme.

Keywords:Information safety;Hackers;Shielding;Log;Invasion

随着计算机的网络化和全球化,信息已经成为企业竞争的重要资源之一,然而,信息领域的犯罪也随之而来,商业黑客、病毒、恶意攻击等对企业造成了巨大的危害和损失。2010年1月12日,百度首页被黑的事件,充分说明了企业仍然面临严重的信息安全问题。面对病毒肆虐,黑客侵扰,泄密及窃密等造成的巨大损失,企业唯有构建安全稳健的网络信息安全体系,才能确保在利用互联网获取和传递信息的万无一失。

企业构建网络信息安全体系的总体目标是:建立具有信息安全防护能力、隐患发现能力、网络应急反应能力和信息对抗能力的信息安全保障体系,提高整体信息安全管理水平,切实保障网络安全和信息安全。保证信息的可用性、完整性、保密性;保证网络系统服务的连续性;保证攻击、破坏的可追查性;保证安全管理的可实施性。充分利用认证、访问控制、加密、入侵检测等安全技术,按需求提供多层次的安全保密和防范功能,逐步建立应急处理和数据灾难备份系统,并完善安全管理体系。

企业网络信息安全体系建设要做到“物理安全、系统安全、网络安全、应用安全及管理安全”。

一、物理安全

保证计算机信息系统各类设备的物理安全是保障信息化应用系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏,主要包括:环境安全、设备安全、媒体安全三个方面。

环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。

设备安全:设备安全主要包括设备的防盗、防毁、电源保护等。

媒体安全:包括媒体数据的安全及媒体本身的安全。显然,为保证信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。

避免信息在空间扩散的防范措施主要有三个方面:

对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。

对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

对终端设备辐射的防范。终端机尤其是CRT显示器,由于上万伏高压电子流的作用,辐射有极强的信号外泄,但又因终端分散使用不宜集中采用屏蔽室的办法来防止,故现在的要求除在订购设备上尽量选取较低辐射的产品外,目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取,个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室,这种方法虽然降低了部份屏蔽效能,但可大大改善工作环境,使人感到是在普通机房内工作。

二、系统安全

系统安全建设内容包括:访问控制措施、安全审计、补丁策略、负载均衡、扩展的基线加固、日志保护、病毒防护、页面防篡改、URL内容过滤、数据库保护、加密备份。

访问控制:进一步控制服务或应用信息的访问,加强对用户“权利”的指派控制,在每台服务器上启用C2级系统自身的审核机制,完成对用户特权、登录事件、特殊对象访问等类别的审核记录。

主机审计:在一些特殊关键的系统上配置主机审计系统,便于更深入的检测、发现、排除任何入侵行为及系统、服务的安全漏洞。同时管理员可利用其优异的统计报表和报文回放功能,建立阶段性的“风险--威胁分析报表”,便于下一阶段安全策略更新条目的完善。

页面防篡改:需要在安全管理服务器上部署网页防篡改监测系统,在具体的站点服务器上部署网页防篡改的监控代理端,实时监测对外服务网站的运行,如果发现对页面的修改,将实时修复和报警,实现对网站页面的保护。

URL内容过滤:防止访问互联网中含有反动、色情等不良信息的网站,堵截和阻止不良信息的传播,创造一个良好健康的网络环境。

负载均衡:在开销允许的情况下,为部分或所有业务服务器或业务应用配置集群或负载均衡措施,可选择采用内容服务交换机作为维持服务器应用负载均衡的控制设备。

加密备份:作为补充建议,在开销和需求允许的情况下,可考虑对重要资产的数据备份进行适当的加密处理,避免因备份介质丢失而造成的数据内容泄露。

三、网络安全

网络安全是整个安全解决方案的关键,包括:访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒等。

隔离与访问控制:企业内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求,利用三层交换机来划分虚拟子网,在没有配置路由的情况下,不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实现较粗略的访问控制。

防火墙:防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制,对一些高层协议实现较细粒度的访问控制。

通信保密:数据的机密性与完整性,主要是为了保护在网上传送的私密信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文。可以根据情况选择链路层加密、网络层加密等不同方式。

入侵检测:入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出局域网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail)。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管理所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此,入侵检测系统的应用不会对网络系统性能造成太大影响。

漏洞扫描:漏洞扫描系统可以对网络中所有部件(Web站点,防火墙,路由器,TCP/IP及相关协议服务)进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。漏洞扫描系统可以对网络系统中的所有操作系统进行安全性扫描,检测操作系统存在的安全漏洞,并产生报表,以供分析;还会针对具体安全漏洞提出补救措施。

病毒防护:用户使用的操作系统一般均为Windows系统,比较容易感染病毒。在网络环境下,计算机病毒有不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术。

预防病毒技术通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。

检测病毒技术是通过对计算机病毒的特征来进行判断的技术(如自身校验、关键字、文件长度的变化等),来确定病毒的类型。

杀毒技术通过对计算机病毒代码的分析,开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码,反病毒程序会采取相应处理措施(清除、更名或删除),防止病毒进入网络进行传播扩散。

四、应用安全

通过利用数字签名、加密防护、授权管理,实现高强度身份认证,实现授权管理和责任认定。

建设统一认证授权、资源共享平台,实现统一身份认证和单点登录、资源共享,可以体现信息化多套管理系统的融合性。通过这种有机结合,更好地体现统一平台,大集中的理念。同时,这样做也利于各管理系统的相互促进与相互宣传,资源共享。严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录,否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户,在共享时也必须加上必要的口令认证机制,即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全,但对一般用户而言,还是起到一定的安全防护,即使有刻意破解者,只要口令设得复杂些,也得花费相当长的时间。

对有涉及私密信息的用户主机,使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统,可以对数据库进行远程备份存储。

针对信息的安全性、完整性、正确性和不可否认性等问题,目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书,通过数字证书,把证书持有者的公开密钥与用户的身份信息紧密安全地结合起来,以实现身份确认和不可否认性。

五、安全管理

制定健全的安全管理体制将是网络安全得以实现的重要保证。可以根据企业自身的实际情况,制定如安全操作流程、安全事故的奖罚制度以及对任命安全管理人员的考查等。

安全组织体系建设:建立网络安全建设领导小组,由主管领导、网络管理员、安全操作员等人员组成。

安全管理制度建设:面对网络安全的脆弱性,在网络设计上增加安全服务功能,完善系统的安全保密措施同时,按照多人负责、任期有限、职责分离等实施原则,建立健全安全管理制度。

安全管理手段:采用可行的技术对全网的设备、策略、安全事件统一整合、管理,以确保管理制度的顺利实施。

做到以上五点安全措施,企业就能构建起一个安全的网络环境。然而,互联网瞬息万变,黑客的攻击手段也会不断更新,因此,构建安全的企业信息环境也是一个长期而复杂的过程,我们的企业只有不断的探索并应用新的信息安全技术,才能做到永久的信息安全。

参考文献:

[1]胡道元,闵京华.网络安全.清华大学出版社,2008

[2]拉菲(美).思科网络技术学院教程,网络安全.人们邮电出版社,2008

[3]杨哲.无线网络安全攻防实战.电子工业出版社,2008

[4]海吉(美).网络安全技术与解决方案(修订版)人民邮电出版社,2010

[5]冯登国,赵险峰.信息安全技术概论.电子工业出版社,2009

构建安全的校园网络 篇12

现阶段,伴随网络的发展,校园网络已经被建立起来,校园网络的存在给学生的发展带来了一定的积极性,对学生的发展与学习有着积极的推动作用。但是,从校园网络的整体作用上看,它既有有利的一面,也有有害的一面,只有合理的、正确的使用网络,才能够将校园网络的真正作用发挥出来。近年来,网络发展安全问题已经越来越突出,在各种威胁之下,校园网同样受到了外界的一定影响,如果不及时解决校园网络中存在的漏洞,那么必将会给学生的发展带来消极的影响。

1 校园网络安全漏洞问题分析

近年来,随着网络的发展,校园网络漏洞已经表现的越来越明显,校园网络存在的问题主要包括以下几个方面,即:

1.1 病毒与木马侵入校园网络

对于计算机而言,病毒属于一个较大的威胁,同时,病毒给校园网络带来的威胁也比较大。病毒的存在,给电脑带来很大的破坏力,它拥有很强的隐藏性能,能够在短的时间内侵害整个电脑系统。病毒最大的一个特点就是难解决,潜伏期长,并且在潜伏期间很难被发现。一旦计算机入侵到电脑当中,病毒就会影响计算机正常的运行,并且会将计算计内的文件系统破坏掉,同时,也会给电脑内的软件、文件系统等带来一定的破坏,使其不能够正常的工作运行,最终导致计算机内部存储的文件不能够被使用,给用户带来极大的不便。当病毒入侵到计算机以后,计算机的网络效率会大大的下降,甚至有的时候会导致网络与计算机系统进入瘫痪的状态。一般情况下木马的隐藏性要比病毒的隐藏性高得高,这种病毒由客户端与黑客计算机端两部分程序组成,它是一种远程控制的软件。如果计算机染上了木马病毒后,用户只要触发了远程控制软件,与服务端通信以后,那么黑客就可以攻击该计算机,取得该计算机的控制权,展开远程控制活动,这给用户的隐私造成了严重的威胁。

1.2 计算机系统与软件中存在的漏洞分析

事实上,不管是什么样的系统,它都有一定的漏洞存在,为此,影响网络安全的另一个漏洞就是系统漏洞。在早期,有很多网络病毒就是利用了系统漏洞而侵害计算机,如尼姆达、红色代码以及蓝色代码等。在校园网络当中,微软的Windows系列操作系统是一种使用较多的操作系统。不论是服务器还是防火墙等,都存在着一定的漏洞。在网络不断的发展中,安全漏洞问题会越来越多,这些漏洞的存在给网络信息安全带来了严重的威胁。

1.3 外部入侵

当前,伴随网络的发展,Internet互联网的覆盖面已经越来越大,校园网与互联网有效的连接,会给校园网络的使用带来极大的好处,同时,也会给信息安全带来极大的威胁。由于Internet互联网一般都会面临着较高的被破坏风险,为此,校园网与其连接,要做好安全保障的措施。通常所说的“神秘人物”黑客就是因为他们充分的利用互联网进行工作的,黑客在利用互联网服务器的过程中,进入一种攻击的模式,从而获取更多的信息。网络上存在很多的攻击工具,这些工具的存在给网络带来了较大的威胁,其原因在于,这些工具具有较强的破坏力,但是其使用方法比较简单,也就是说,及时具有较差技术的人也能够个网络的发展与使用带来一定的破坏,给网络带来相当大的威胁。

1.4 网络内部入侵

对于校园网络内部入侵而言,其主要的实施者就是校园内部的学生,由于他们对校园内的网络结构与模式等都非常的熟悉,再加上自身拥有较高的技术水平,为此,校园网成为他们最为合适的选择。有的时候,学生主要出于展示自己的能力以及实践理论知识才开始对校园网络展开攻击,一旦成功,他们会不断的共计校园网络系统,给校园网络系统带来严重的安全威胁。

除了上述这些威胁以外,还存在着网络硬件设备受损以及校园网络安全管理存在缺陷等问题,这些网络安全问题与漏洞的存在,不仅会给学生的学习带来消极影响,还会给网络发展带来一定的阻碍。

2 校园安全网络构建有效措施分析

面对着校园网络存在着的威胁,如果要维护网络安全,那么就要采取一定的策略进行解决。

2.1 加强对网络权限的管理分析

通过网络控制用户组和用户可以访问的资源范围,并且控制这些用户组与用户对这些资源进行一定的操作。在加强权限管理的过程中,可以在汇聚层的路由器或者是交换机上应用访问,对列表进行一定的控制,并对用户访问服务器的权限进行一定的限制,同时,还需要根据校园网的实际需求,与实际的情况相结合,选择出与之相适应的应用程序。

2.2 对系统安全漏洞采取一定的防范措施

对系统安全漏洞进行一定的管理,能够有效的避免出现漏洞攻击的现象。在防范的过程中,将漏洞管理软件充分的利用起来,就能够在最短的时间里找出漏洞的存在,并且也能够将漏洞的信息进行一定的了解,这样一来,就无需对厂商的漏洞公告进行关注。在漏洞管理软件当中,拥有完善的漏洞管理机制,管理者能够根据实际需要展开跟踪、记录以及验证评估的工作。漏洞管理系统一般都包括管理控制太以及硬件平台,在交换机出进行漏洞管理系统的部署,方便对整个网络展开漏洞管理的工作。

2.3 计算机病毒的方法工作分析

用户在使用计算机的过程中,用户需要提高网络安全认识。我们都知道,网络信息比较广泛,信息也比较杂乱,在这些信息中存在着很多的安全问题。为此,用户在使用问价的过程中,要慎重的考虑,不要轻易的共享文件,如果必须要将文件共享,那么也应该在共享前设置好访问的权限。如果有来源不清的邮件,那么不要轻易的打开,因为这些邮件很有可能带着很多的病毒,一旦打开,那么病毒就会扩散到整个系统当中。为此,要在计算机及时的安装杀毒软件,并要及时升级,这样一来,就可以将那些恶意网页代码病毒有效的防范在计算机系统外部,以免给计算机系统造成瘫痪。

3 总结