校园网络的安全策略

2024-10-13

校园网络的安全策略(共12篇)

校园网络的安全策略 篇1

1 高校网络安全功能

校园网的功能架构大致可以分为对内部分、对外部分和网络管理部分。对内部分主要是指校园Intemet, 包括多媒体教室、办公室、电子图书馆的建设, 服务于学校的教学和管理:对外部分包括与Internet的连接与其他兄弟院校以及上级主管单位的连接、提供宽带的接人服务等。而网络管理则是这两部分的桥梁和核心, 担负着整个网络系统的管理和安全.工作。一个安全状态下的校园网, 应该能够通过与广域网的连接, 实现远程教育, 为学校的教学、管理、日常办公、内外交流等方面提供全面、实用的支持。

2 高校网络面临的侵害

目前, 大多数学校网络建设经费投入严重不足, 所以就将有限的经费投在关键设备上, 对于网络安全建设一直没有比较系统的投入, 致使校园网处在一个开放的状态, 没有任何有效的安全预警手段和防范措施。由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统, 使学校的网络管理各自为政, 缺乏上网的有效监控和日志, 上网用户的身份无法唯一识别, 存在极大的安全隐患。同时, 校园网电子邮件系统极不完善, 无任何安全管理和监控的手段;网络病毒泛滥, 造成网络性能急剧下降, 重要数据丢失;缺乏集中管理、统一升级、统一监控的针对网络的防病毒体系。此外, 校园网络上的用户网络安全意识淡薄, 没有制订完善的网络安全管理制度。

针对网络系统漏洞的各种网络攻击等严重干扰了高校校园网络的正常运行和应用, 面对如此严峻的网络形势, 如何最大程度地减小网络安全隐患也是网络工作者所需考虑的问题。

3 校园网安全分析及解决方案

一般认为, 目前对网络的攻击手段主要表现在以下几个方面。

(l) 非授权访问:没有预先经过同意, 非法用户就使用网络或计算机资源被看作非授权访问。 (2) 信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失, 它通过校园网与Internet相连, 面临着遭遇攻击的风险。校园网内部用户对校园网资源的滥用, 有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载, 占用了大量的网络带宽。如最近几年兴起的BT、电骡下载等常包括, 信息在传输中丢失或泄漏, 信息在存储介质中丢失或泄漏, 通过建立隐蔽隧道等窃取敏感信息等。 (3) 破坏数据完整性:非法用户以非法手段窃得对数据的使用权, 删除、修改、插入或重发某些重要信息, 以取得有益于攻击者的响应;恶意添加, 修改数据, 以干扰用户的正常使用。 (4) 拒绝服务攻击:非法用户不断对网络服务系统进行干扰, 改变其正常的作业流程, 执行无关程序使系统响应减慢甚至瘫痪, 影响正常用户的使用, 甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。 (5) 利用网络传播病毒:通过网络传播计算机病毒, 其破坏性大大高于单机系统, 而且用户很难防范。针对校园网络的特点和校园网被攻击手段的分析, 加强对校园网络的管理是亟待解决的问题。

3.1 在应用技术方面

根据校园网的安全特点, 我们把校园网络分成三层, 层次一是中心级网络, 主要实现内外网隔离、内外网用户的访问控制、内部网的监控、内部网传输数据的备份与稽查;层次二是部门级, 主要实现内部网与外部网用户的访问控制、同级部门间的访问控制、部门网内部的安全审计;层次三是终端/个人用户级, 主要实现部门网内部主机的访问控制、数据库及终端信息资源的安全保护。通过多年的运行体会我们提出了“层层设防, 齐抓控管, 以防为主、防惩结合”安全解决方案。

在网络层限制访问, 设一道硬件防火墙, 是最基本的安全设施。该防火墙综合网络级包过滤、应用级代理服务器、动态电路级包过滤、多级和动态过滤、代理功能、中立区 (DMZ) ;将网络同HITP、FTP、DNS或Mail等服务相隔离、虚拟专用网 (VPN) 、广泛的网络协议支持、访问记录、传输定制;多优先级以保护执行重要任务的应用等技术;网络层的安全检测设施, 主要是防黑客的攻击, 采用防黑客软件.它共分四层, 基于IP包的过滤和防范、基于内存的查杀和清除、基于文件的查杀和清除、基于邮件的查杀和过滤, 来实现层层设防、以防为主。

在应用层应建立全校的电子身份认证系统, 实现全校资源的统一管理、统一授权, 即对全校用户和资源进行集中的授权管理, 目前各应用系统是分别授权管理, 管理和责任落实到部门及人, 下层对上层负责, 以达到齐抓共管。重要部门的服务器非实时上网, 必要时上网进行信息交换, 以确保其万无一失。

同时加强对网络病毒的防范和统一部署数据备份方案。计算机病毒具有扩散面广、破坏性大、传播性强和针对性强等特点, 威胁力和破坏力不可估量。在校园网系统中, 应建立多层次的病毒防卫体系, 以保证信息的安全和系统的正常运行, 预防病毒、检测病毒技术、消除病毒技术也应在网络防毒工作中全面采用。备份包括网络通信运行系统的备份和网络设备、通信线路的备份。网络通信参数、配置的备份应根据网络的重要性制定详细的备份计划, 确保故障发生后可快速地恢复运行数据。设备和线路的备份可根据网络运行的故障率准备一定冗余, 在网络某部分发生故障时, 其他部分可自行启用或迅速切换。

3.2 安全管理策略

安全管理主要是配合行政手段, 从技术上实现安全管理。全校各单位二级网站空间资源、授权管理层层分解直到责任人;对外公布的信息 (BBS、主页新闻报道等) 统一有宣传部门负责管理和审查;对违反校园计算机网络管理有关规定的, 从技术和行政给予处罚 (封断口、写书面检查、停止上网等) ;严格规范上网场所的管理, 集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认, 而且, 合法用户上网的行为也要受到统一的监控, 上网行为的日志要集中保存在中心服务器上, 保证了这个记录的法律性和准确性。

同时, 在对公共上网的机房等场所, 管理方一定要建立好机房管理制度, 包括机房值班、机房安全级划分和工作人员进出机房与用机登记;其次建立责任分工制度, 明确职责, 各司其职;制定权限管理制度, 规定上机人员不能越权操作;最后制定安全监督管理制度, 用专沐汉寸系统使用情况实行监控, 防止非法操作, 对发现的异常情况, 要采取有效措施加以控制。

4 结语

在高校网络管理上, 网络安全有其特定的要求, 安全问题应贯穿于各个环节, 只有全面了解校区的网络状况, 及网络安全中存在的软、硬件差异, 了解网络安全隐患, 才能因地制宜地制定安全策略, 并实施网络改造, 在实施有效的技术手段的同时, 配合完善的安全管理策略, 提高安全管理人员的素质, 落实安全管理制度, 并加强对上网用户的安全知识及相关安全法规的培训。

摘要:随着校园网规模的不断扩大, 网络安全问题日益突出, 本文分析了产生隐患的根源和网络安全需求, 阐明完整的网络安全解决方案。

关键词:校园网,安全策略

参考文献

[1]郑连清.网络安全概论[M].北京:清华大学出版社, 2004.

[2]孙锋.网络安全与防黑技术[M].北京:机械工业出版社, 2004.

[3]段新海.校园网安全问题分析与对策[J].中国教育网络, 2005 (3) .

校园网络的安全策略 篇2

[摘要]高校信息化使所要处理的相关信息也在迅速地扩大,因此各高校都在加强网络信息平台的建设,尤其是校园网的建设,以此来管理数量庞大的信息。校园网络安全问题也因此成为各高校在信息化建设中面临的重大问题之一。针对高校网络的现状及问题提出了相应的安全评估和安全控制策略。

[关键词]校园网 安全分析 解决方案

一、校园网络安全隐患综合分析 1.物理层的安全问题

校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。

物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。2.系统和应用软件存在的漏洞威胁

在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。3.计算机病毒入侵和黑客攻击

计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。4.内部用户滥用网络资源

校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。

二、采取安全控制策略 1.硬件安全策略

硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。2.访问控制策略

访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。(1)防火墙控制策略

防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。(2)入侵监测控制策略

入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(IntrusionDetectionSystems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。公务员之家(3)服务器访问控制策略

服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。3.病毒防护策略

病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。4.不良信息的防护策略

Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。5.建立安全评估策略

校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。

三、结束语

高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。参考文献: [1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.[2]张武军,李雪安.高校校园网安全整体解决方式研究[J].电子科技,2006,(3):64-67.[3]李鹏,王纪凤,尚玉莲,等.防火墙与入侵监测系统在高校校园网中的应用[J].泰山医学院学报,2007,(11):906-907.[4]饶正婵.高校校园网络安全研究[J].福建电脑,2005,(11):49-53.[5]章萍.高职校园网络安全分析与解决方案[J].科技经济市场,2008,(5):29-30.校园网信息安全及防范策略

论文导读:随着计算机技术、网络技术的飞速发展和普及应用,校园网在学校的教学和管理中发挥着越来越重要的作用,为师生工作、学习、生活提供了极大的方便,正在悄然改变着传统的教学和管理模式。但是,它的安全问题日渐突显:计算机病毒的侵害、黑客的攻击、数据的篡改和丢失等等网络安全隐患,对校园网信息安全构成了极大的威胁。关键词:校园网,信息安全,防范策略

1.引言

随着计算机技术、网络技术的飞速发展和普及应用,校园网在学校的教学和管理中发挥着越来越重要的作用,为师生工作、学习、生活提供了极大的方便,正在悄然改变着传统的教学和管理模式。但是,它的安全问题日渐突显:计算机病毒的侵害、黑客的攻击、数据的篡改和丢失等等网络安全隐患,对校园网信息安全构成了极大的威胁。随着网络用户的快速增长,校园网信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。在校园网建设和运行过程中必须针对不同的安全威胁制定相应的防范措施,以确保建立一个安全、稳定高效的校园网络系统。

2.校园网面临的安全威胁

2.1 操作系统漏洞。这是造成校园网自身缺陷的原因之一。目前常用的操作系统Windows2000/XP、UNIX、Linux等都存在着一些安全漏洞, 对网络安全构成了威胁。如Windows2000/XP的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。加上系统管理员或使用人员对复杂的系统和自身的安全机制了解不够,配置不当,从而形成安全隐患。

2.2 内部用户的恶意攻击。这是校园网安全受到威胁的另一个主要原因。学校是计算机使用者集中的地方,学生中不乏高手;同时,学生的好奇心重,摹仿力强,即使水平不高,也可以用从网上下载的专门软件对他人的计算机进行攻击。据统计,校园网约有70%的攻击来自内部用户,相对于外部攻击者来说,内部用户更具有得天独厚的破坏优势。

2.3 保密意识淡薄。在校园网中内部用户的非授权访问,是校园网安全受到威胁的主要原因之一,最容易造成系统资源和重要信息的泄漏或被篡改。一些校园网为了简单省事,计算机的命名经常按部门名称命名,计算机的管理员账号也不作任何修改而采用默认账号,甚至不设登录密码,这等于给攻击者大开方便之门,让攻击者能轻而易举地发现自己感兴趣的目标而随意进入,对保密内容随意浏览,更为危险的是,有的数据非授权就可以任意改动,根本无安全可言。

2.4 计算机病毒的侵害。计算机病毒是由某些人利用计算机软、硬件系统编制的具有特殊功能的恶意程序。影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪, 是影响高校校园网络安全的主要因素。

2.5黑客的攻击。除了面临来自内部的攻击之外,校园网还要防范来自外部黑客的攻击。外部黑客是利用黑客程序,针对系统漏洞,在远程控制计算机,甚至直接破坏计算机系统。黑客通常会在用户的计算机中植入一个木马病毒,与黑客程序内外勾结,对计算机安全构成威胁进而危及网络。

3.保障校园网安全的关键技术

3.1防火墙技术

防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。在防火墙设置上我们应按照以下配置来提高网络安全性:

根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置,提高防火墙管理安全性。

3.2入侵检测系统

入侵检测系统是帮助网络管理者及时、准确地发现网络的各种入侵行为与网络异常现象,并能进行告警、跟踪、定位的实时检测系统;也是通过对网络面临威胁的监控与分析,展示网络总体的安全态势的安全管理工具。入侵检测系统可以弥补防火墙相对静态防御的不足,是防火墙的合理补充。防火墙属于被动的静态安全防御技术,对于网络中日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动应对来自网络的各种攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应,提高了校园网信息系统的安全性。入侵检测系统扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警,提高了信息安全基础结构的完整性。

3.3漏洞扫描系统

采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口,例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。

3.4网络版杀毒软件

为了在整个局域网内杜绝病毒的感染、传播和发作,应该在整个网络内采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,这种防病毒手段应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

部署网络版杀毒软件就可以较好的解决这个问题。例如:在学校网络中心配置一台高效的服务器,安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机,在各主机节点分别安装网络版杀毒软件的客户端。安装完后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机查杀毒。网络中心负责整个校园网的升级工作。由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件,然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。

采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是由程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。

4.校园网信息安全的防范策略

4.1 物理安全

保证计算机网络系统各种设备的物理安全是整个网络安全的前提。一般分为两个方面: 首先是要保护校园网中的计算机、服务器、路由器、交换机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;其次则是确保计算机系统有一个良好的电磁兼容工作环境。

4.2 访问控制策略

访问控制策略是保证网络安全最重要的核心策略之一,它的主要任务是保证校园网络资源不被非法使用和非法访问。一般主要分三个方面:首先是入网访问控制,在使用和访问网络教学资源时,网络系统软件要求用户输入用户名和用户口令,系统进行对入网用户的识别和验证是防止非法访问的第一道防线;其次是用户权限控制,用户权限控制是针对网络非法操作所提出的一种安全保护措施,不同级别的用户应设置不同的权限,以此来控制用户可以访问哪些资源;第三是网络监测和锁定控制,网络系统管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的访问,服务器应报警,以引起管理员的注意。同时对非法访问次数进行记录,并能自动锁定,以保系统安全。

4.3 信息加密策略

利用加密算法对敏感的信息加密, 可以防止被非法人员窃析。现在有一些加密软件可以加密邮件、文件等。利用这些加密软件可以有效的保护数据、文件、口令和控制信息在网络中的安全传输。论文参考。

4.4 备份和镜像技术

网络系统的备份是指对网络中的核心设备和数据信息进行备份,以便在网络遭到破坏时,快速、全面地恢复网络系统的运行。论文参考。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息备份包括对网络设备的配置信息、服务器数据等的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在人侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。论文参考。镜像技术是指两个设备执行完全相同的工作, 若其中一个出现故障, 另一个仍可以继续工作。

4.5 网络安全管理规范

网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括: 确定安全管理等级和安全管理范围; 制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。

5.结束语

校园网信息安全是一项复杂的系统工程,不能仅仅依靠某一方面的安全策略,而需要仔细考虑系统的安全需求,网络信息安全涉及的内容既有技术方面的问题,又有管理方面的问题,应加强从网络信息安全技术和网络信息安全管理两个方面来进行网络信息安全部署,尽可能的为校园网提供安全可靠的网络运行环境。

参考文献: [1] 张武军.高校校园网安全整体解决方案研究.电子科技.2006 年第3 期.[2] 朱海虹.浅谈网络安全技术.科技创新导报,2007,32:32. [3] 符彦惟.计算机网络安全实用技术.清华大学出版社。2008.9 校园网络安全问题的防范浅析 摘 要 :计算机网络飞速发展的同时,安全问题不容忽视。网络安全经过了二十多年的发展,已经发展成为一个跨多门学科的综合性科学,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。本文通过对校园网络安全问题的原因进行分析,提出了防范校园网络安全问题的一些技术和方法,并认为校园网络安全问题的防范不单单是通过技术手段,而防范的管理方法有时更重要。

关键词 :网络安全;木马;防范;管理

随着计算机及网络技术与应用的不断发展,全球因特网装置之间的通信量将超过人与人之间的通信量。因特网将从一个单纯的大型数据中心发展成为一个更加聪明的高智商网络,将成为人与信息之间的高层调节者。其中的个人网站复制功能将不断预期人们的信息需求和喜好,用户将通过网站复制功能筛选网站,过滤掉与己无关的信息并将所需信息以最佳格式展现出来。然而伴随而来的计算机系统安全问题越来越引起人们的关注。计算机系统一旦遭受破坏,将给使用单位造成重大经济损失,并严重影响正常工作的顺利开展。加强计算机系统安全工作,是信息化建设工作的重要工作内容之一。

南昌工程学院从九十年代末就积极开始信息化建设,目前校园网网络为1000M主干,100M到桌面。无线AP一百多台,覆盖部分办公场所。网络出口为2534M,活跃账户11765个,在线用户人数高峰期在8000以上,教工和学生采用实名制身份账号有序使用校园网络。基于综合布线平台,学校围绕数字化管理、数字化教学、数字化生活和数字化科研,开展数字化校园应用建设。围绕数字化管理目前已经建设投入使用的有统一门户、统一数据标准、统一数据库、统一认证授权平台;建设了迎新、注册、选课、OA、教务、学工、人事、科研、资产、团委、档案等业务管理系统。围绕数字化教学引进了清华在线网络教学平台,并围绕这个平台,探索数字化辅助教学实践。围绕数字化生活,我们建设了校园一卡通系统,涉及消费、用电管理、身份认证等。在电子图书、电子期刊、数字资源等方面均逐步完善,为全校师生开展现代化教学提供了良好的基础和条件。

与此同时,广大师生在学习、生活、工作广泛使用计算机网络的同时,校园网络的安全问题也越来越突显。南昌工程学院校园网络网站和服务器每天都有百的攻击,电子校务也有人试图篡改数据,老师学生的上网帐号被盗的事件也常有发生,校园网络的不良信息也时常干扰学校的管理。如果这些问题不加以防范和控制,将会给学校带来很严重的不良后果。计算机和网络技术具有的复杂性和多样性,使计算机网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了病毒的种类,而且许多攻击都是致命的。由于互联网本身的性质没有失控和地域的限制,每种新攻击手段在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击导致计算机网络及系统瘫痪。变种新出现的攻击方法更具智能化,攻击目标直接指向互联网基础协议和操作系统层次,而且黑客手段不断升级翻新,因此,计算机网络安全面临更大挑战。通过这几年的案例分析,归纳起来,针对校园网络安全的威胁主要有:软件漏洞、配置不当、安全意识不强、病毒、黑客攻击、恶意传播不良信息等。

1、软件漏洞

每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。这也是校园网络用户容易被攻击、容易被中毒,反过来作为毒源又影响其他用户,它是校园网络不稳定的一个重要诱因。

2、配置不当

安全配置不当造成安全漏洞,例如,一些安全软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。还有一些可远程的端口处于开放状态,留下了被攻击的隐患。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。

3、安全意识不强 用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。

4、病毒

目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。

5、黑客攻击: 对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。

6、恶意传播不良信息:

由于一些网络用户出于某种目的,通过交互式公共的信息平台散布一些反动、淫秽信息,或散布一些造谣、诽谤、煽动性言论,这种方式带来的危害更严重,更广泛。也是综治工作的一个重点和难点。

针对网络的不安全因素,应该建立一套网络与信息安全防范体系,网络与信息安全防范体系应该是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,该安全体系提供这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网络系统的攻击。该安全体系不但从安全技术上入手,还应在管理上入手。从某种角度看,从管理上加强防范会更有效,特别是校园网络。

针对上述网络安全威胁,我们根据自身的网络现状和特点可以采取以下技术和方法:

1、防火墙技术

防火墙是保护网络安全最主要的手段之一,它是设置在被保护网络与外部网络之间的一道屏障,以防止不可预测的、潜在破坏的非法入侵。它通过监测、限制、修改跨越防火墙的数据流,尽可能地对外屏蔽网络内部地结构、信息和运行情况,以此来实现内部网络地安全保护。防火墙是不同网络或网络安全域之间信息的唯一出入口,能根据相应的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,可有效地监控内部网和外部网之间地活动,保证了内部网络地安全。研制与开发防火墙子系统地关键技术主要是实现防火墙地安全、高性能与可扩展。但防火墙也不是万能的,它对很多木马的攻击和来自网络的攻击就显得无能为力。我们还要配合其他技术和方法来保障网络的安全。

2、入侵检测技术

入侵检测技术是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),并对这些信息进行分析和判断。通过检测网络系统中发生的攻击行为或异常行为,入侵检测系统可以及时发现攻击或异常行为并进行阻断、记录、报警等响应,从而将攻击行为带来的破坏和影响降至最低。同时,入侵检测系统也可用于监控分析用户和系统的行为、审计系统配置和漏洞、识别异常行为和攻击行为(通过异常检测和模式匹配等技术)、对攻击行为或异常行为进行响应、审计和跟踪等。典型的IDS系统模型包括4个功能部件:

〔1〕事件产生器,提供事件记录流的信息源。〔2〕事件分析器,这是发现入侵迹象的分析引擎。

〔3〕响应单元,这是基于分析引擎的分析结果产生反应的响应部件。

〔4〕事件数据库,这是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。

入侵检测系统作为网络安全防护的重要手段,目前的IDS还存在很多问题,有待于我们进一步完善。防火墙与IDS在功能上可以形成互补关系。这样的组合较以前单一的动态技术或静态技术都有了较大的提高。使网络的防御安全能力大大提高。防火墙与IDS的相互联动可以很好地发挥两者的优点,淡化各自的缺陷,使防御系统成为一个更加坚固的围墙。在未来的网络安全领域中,动态技术与静态技术的联动将有很大的发展市场和空间。

3、病毒防范

病毒防范子系统主要包括计算机病毒预警技术、已知与未知病毒识别技术、病毒动态滤杀技术等。能同时从网络体系的安全性、网络协议的安全性、操作系统的安全性等多个方面 研究病毒免疫机理。加强对计算机病毒的识别、预警以及防治能力,形成基于网络的病毒防治体系。网络病毒发现及恶意代码过滤技术主要是研究已知与未知病毒识别技术、网上恶意代码发现与过滤技术。主要的功能为开发网络病毒疫情实时监控系统、主动网络病毒探查工具。能对疫情情况进行统计分析,能主动对INTERNET中的网站进行病毒和病毒源代码检测;可利用静态的特征代码技术和动态行为特征综合判定未知病毒。

4、网站集群系统

通过一个软件平台,实现多个网站的建设和管理,降低网站维护的难度,减少网站维护的工作量;各网站既可有独立的域名、个性的页面风格以及相对独立的管理后台,网站间又可以实现信息相互共享。基于平台建设网站简单方便,无需编写任何代码,直接配置即可,非专业人员亦可搭建和管理网站。网站采用模版与信息相分离技术,以后的网站改版,只需重新做模版页面即可。网站的安全关系到学校的整体形象和相关秩序,是保障学校网站安全的重要环节。保障一个系统的安全比几十个网站系统要更加容易。而且采用静态网页技术,大大级减少了木马的攻击。

探究IPTV网络的安全策略 篇3

IPTV需要一个高安全性的智能网络,虽然IPTV不是运行在互联网上的,但它毕竟仍是一种在网络上基于IP的服务,困扰其他网络服务的威胁,如邮件、黑客和漏洞,同样也影响着它。

为此,Juniper网络公司中国区技术总监王卫特别为IPTV网络建立提出了全面的安全策略,并强调:安全计划必须为内容、终端用户和网络本身提供多层的安全保护。

保护视频服务基础架构不受到攻击将是我们未来不得不面对的首要问题。而今天流行的用户直接互动模式会使视频服务基础架构非常容易受到DoS的攻击。尽管网络防火墙能够通过流量检测来有效地补充网络中DoS防护的不足,但对防火墙的压力非常之大,且会增加视频包延时。此外,视频点播(Video on Demand,VOD)服务器也容易受到传输控制协議(TCP)的攻击以及在应用层面的攻击,幸好具备签名或模式吻合的运作能力的入侵探测/保护防火墙,能够通过识别攻击签名来有效保护VOD服务器。但总不能真的为每个视频服务器配一个专用安全设备吧?

目前最新提出的解决方案就是利用不对称的交通路由,这样防火墙/IDP网关就不会超负荷,实际所需要的设备就会减少。这个不对称方法使下游的视频流量不会对防火墙/IDP网关造成压力,并且只关注本来就是低带宽的上游控制流量。管理者能决定网络保护政策,并在联合防火墙/IDP功能中设置滤波器以探测和阻止不希望出现的行为,从而保持对大多数用户的服务质量,同时对犯规用户的服务只造成片刻影响,并对于犯规者过量的请求提出警告。这一方法自动地阻止了DOS攻击,并使管理者能留意到一个攻击实际发生的条件和源头。

而对于家庭网络环境,由于PC上的一个安全漏洞就可能造成网络的沦陷,而管理员也很难控制到机顶盒和家庭网关后的网络,因此必须能够隔离对某一种服务的攻击且不影响其家庭网络上的其它正常服务。目前有效的手段包括网络节点认证、802.1x等能在设备连接到网络之前就执行特定安全政策技术。

校园网网络安全策略的探讨 篇4

1 校园网网络环境分析

校园网一般由两大部分构成, 一部分是内网部分, 包括教学局域网、图书馆局域网和办公自动化局域网等;另一部分是外网部分, 包括一些公开服务器, 主要负责与几个教育科研网、互联网的连接以及远程移动办公用户等的接入。

各个院校在建网的时候, 应当根据学校的实际情况将校园网划分出不同的区域, 并制定不同级别的安全策略, 这样才能针对不同的区域实行有效的防范措施。

2 网络安全设计原则

校园网网络安全系统方案一般应遵循如下原则:

2.1 全局性原则:安全威胁来自最薄弱的环节, 必须从全局出发规划安全系统, 实行统一管理。

2.2 综合性原则:网络安全不单靠技术措施, 必须结合管理, 建立相应的制度和管理体系。

2.3 均衡性原则:

安全措施的实施必须以根据安全级别和经费限度统一考虑。网络中相同安全级别的保密强度要一致。

2.4 节约性原则:整体方案的设计应该尽可能的不改变原来网络的设备和环境, 以免资源的浪费和重复投资。

3 网络安全策略

针对校园网的网络环境和安全方案的设计原则, 主要归纳了以下几点网络安全防护策略:

3.1 外网和内网之间的访问控制。

外网是网络攻击和病毒的主要来源之一, 因此加强对外网和内网之间的安全隔离对于有效的保护校园网内部的信息安全非常重要。对于来自外网的大多数攻击, 在其到达之前就能进行阻止, 可以采用在外网和内网之间设置防火墙来实现这一目的。

防火墙的选择应该适当, 对于具有内部网络的校园网来说, 可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言, 都可以通过内置的防火墙防范部分的攻击, 而硬件防火墙的应用, 可以使安全性得到进一步加强。

3.2 内网中的访问控制策略。内部网络安全控

制的指导思想是将非法用户和校园网中的网络资源之间相隔离。而访问控制是网络安全防范和保护的主要策略, 它主要包括以下几个方面:

3.2.1 部门间的网络隔离。

校园网可以通过VLAN的设置来解决校园网内部的网络隔离, 使用交换器和VLAN技术后, 以太网的广播机制实际上转变为点对点的通讯, 因此可以防止大部分的基于网络监听的入侵手段。网络中心可以基于交换机端口将校内ip分为若干个VLAN, 并将其分配给各楼层和部门, 使信息只能在自己VLAN内部进行广播, 这样能够有效地防止部门外部对该部门的信息监听, 对局域网内部信息起到保护作用。3.2.2用户的访问控制。用户的访问控制用于控制哪些用户能够登录到服务器并获取某些网络资源, 并控制用户在哪台工作站入网。访问控制主要有三项:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过, 该用户便不能进入该网络或使用该网络资源。3.2.3用户的网络权限控制。网络权限控制不同于访问控制, 它是针对网络中用户越权操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限, 该权限控制用户和用户组可以访问哪些目录、子目录、文件和其他资源, 指定用户对这些文件、目录、设备能够执行哪些操作。3.2.4网络监测和锁定控制。网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。网络管理员还需要建立与维护完整的网络用户数据库, 严格对系统日志进行管理。定时对校园网系统的安全状况做出评估和审核, 关注网络安全动态, 调整相关安全设置。

3.3 信息的安全控制。信息安全控制主要包括两个方面:信息传输安全和信息保密防范。

3.3.1 信息传输安全。

为保证网络上信息的安全传输, 可以采用数据传输加密、数据完整性鉴别技术和防抵赖技术。传输加密一般常用链路加密和端到端加密。前者侧重在链路上而不考虑信源与信宿, 对于保密信息通过各线路采用不同的密钥提供安全保护;后者是指信息由发送者加密, 然后作为不可阅读和不可识别的数据通过网络, 这些信息一旦到达目的地, 将自动重组、解密, 成为可读数据。采用数据完整性鉴别技术, 主要是为了防止信息被篡改和破坏。许多协议已具有完整性鉴别的方法, 但对于网络攻击中改变信息包的内容, 应采用更有效的技术来进行完整性控制。防抵赖技术包括对源和目的双方的证明。通常采用的有数字签名或采用可信的第三方标权等方法。防抵赖技术在另一方面可以有效地防止信息被冒名顶替。3.3.2信息保密防范。除了要保证信息在传输过程的安全外, 在数据库中存放的数据也要加强其保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性, 数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施, 而数据库的数据以可读的形式存储其中, 所以数据库的保密也要采取相应的方法。针对计算机及其外部设备和网络部件的泄密渠道, 如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等, 可以采取相应的保密措施。

3.4 系统安全控制。

系统漏洞的存在是一个比较普遍的问题, 系统漏洞带来了各种安全隐患, 严重地影响到操作系统的安全性。绝大多数操作系统都存在着这样或那样的安全漏洞, 普通用户往往注意不到, 但是却很可能成为下一个被黑客利用的攻击手段。系统的安全控制, 除了要选择安全性较高的操作系统外, 还要有针对性的加强对系统的安全配置, 定时修补系统漏洞, 以提高系统的安全性。

3.5 网络病毒防范。

网络防病毒工作主要包括预防计算机病毒侵入、检测入侵病毒、定位已入侵病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。在网络环境中, 计算机病毒具有扩散面广、破坏性大、传播性强和针对性强等特点, 威胁力和破坏力不可估量, 因此网络防病毒成为了网络安全性建设中的重要一环。

为了实现网络病毒的有效防范, 主控中心应按时提供最新病毒库和病毒专查工具的下载, 并积极培养网络用户的网络安全意识。在选择防病毒产品时需重点考虑防杀毒方式是否全面地与互联网结合;是否对网络层、邮件客户端进行实时监控, 防止病毒入侵;是否有完善的在线升级服务;是否对病毒经常攻击的应用程序提供重点保护;产品厂商是否具备快速反应的病毒检测网, 在病毒爆发的第一时间即能提供解决方案等等。

3.6 备份。

针对网络安全而言, 备份包括网络通信运行系统的备份和网络设备、通信线路的备份以及数据的备份。网络通信参数、配置的备份应根据网络的重要性制订详细的备份计划, 确保故障发生后可快速地恢复运行数据。设备和线路的备份可根据网络运行的故障率准备一定冗余, 在网络某部分发生故障时, 其他部分可自动启用或迅速切换。数据备份则可通过网络中心定期将重要数据复制, 将副本存放在专用的服务器中来实现。

综上所述, 校园网的建设是教育信息化的基础, 而网络信息安全则是校园网正常运转的保障。为了应付比以往更严峻的"安全性"挑战, 安全不应再仅仅停留于追堵和拦截, 而应该积极主动地运用各种安全策略直面来自各个方面的挑战, 努力营造安全、和谐的校园网络环境。

摘要:校园网是一个要求高可靠性和安全性的网络系统, 若干重要的公文信息和教学资源在网络上传输和存储, 如果数据被黑客修改或者删除, 那么就会严重的影响正常的教学工作, 因此校园网的网络信息安全成为了各个院校不得不关注的重要问题。阐述了对校园网络环境的分析、网络安全设计原则以及校园网网络安全策略, 其中包括访问控制策略、信息安全策略、病毒防范策略等内容。

网络与信息安全策略 篇5

然而,网络本身固有的一些不健全的特性,又使其很容易被网络不法分子和黑客攻击。

本文探讨了网络存在的风险以及常见的对应安全防范策略。

【关键词】计算机网络 网络安全

1 计算机网络风险网络安全

计算机网络是利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、网络操作系统及信息交换方式等)实现网络中资源共享和信息传递的系统。

因为计算机网络本身的一些开放性的、不健全的特性,使其时常面临多方面的风险。

通常来说主要有三个方面:一是计算机病毒。

种类繁多的计算机病毒利用网络软件和硬件本身存在的缺陷和不足,依靠自身的“复制”能力,严重破坏数据,影响计算机使用,甚至导致计算机系统瘫痪。

由此造成的损失十分巨大。

二是黑客和网络不法分子的攻击。

这种人为的恶意攻击是计算机网络所面临的最大威胁,黑客一旦非法入侵资源共享广泛的经济、政治、军事和科学等领域,盗用、暴露和篡改网络中存储和传输的数据,其造成的损失是无法估量的。

三是计算机操作者非恶意的误操作。

如个别用户网络安全意识不足,网络管理员安全配置存在的漏洞等。

1.1 嗅探攻击

嗅探攻击是利用计算机的网络接口截获目的地为其它计算机的传输数据的工具。

比如影音嗅探工具,现在很多网上的视频只提供在线播放而看不到下载地址,这时候用这个工具,他能嗅探到这个视频的真实地址。

嗅探器分为软件和硬件两种。

1.2 拒绝服务攻击

拒绝服务攻击是攻击者想办法让目标服务器停止提供服务,是黑客常用的攻击手段之一,一般通过向某个站点服务器发送大量的、无用的信息,从而堵寒该站点的运行,最终导致网络服务项目终止服务(例如电子邮件系统或联机功能)。

1.3 源IP地址欺骗攻击

源IP地址欺骗攻击是指入侵者生成具有伪造的源地址IP包,用于欺骗目标系统。

IP欺骗可以用于突破基于IP地址的访问控制机制。

通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主机通常具有某种特权或被另外的主机所信任,以蒙混过关。

进而开始一系列的攻击。

1.4 口令攻击

网络系统大多使用口令来限制未经授权的访问,一旦攻击者能猜测或者确定用户的口令,他就能获得网络的访问权,并能访问到用户能访问到的任何资源。

如果这个用户有域管理员或root用户权限,这是非常危险的。

口令的取得通常有三种方法:一是通过网络非法监听得到用户口令;其次是在知道用户的账号后利用一些专门软件强行破解用户口令;再次是利用系统管理员的失误,在现代的Unix操作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过加密后专门存放在一个叫shadow的文件中。

黑客在获得一个服务器的用户口令Shadow文件后,用暴力破解程序破解用户口令。

1.5 缓冲区溢出攻击

缓冲区溢出是目前最常见的一种安全问题,这种攻击是属于系统攻击的手段,操作系统以及应用程序大都存在缓冲区溢出漏洞。

缓冲区溢出是由编程错误引起的,缓冲区是一段连续内存空间,具有固定的长度。

程序的缓冲区被攻击者写入超出其规定长度的内容时,就会造成缓冲区溢出,达到攻击的目的。

1.6 破坏信息的完整性

信息完整性是指信息在输入和传输的过程中,不被非法修改和破坏,保证数据的一致性。

保证信息完整性需要防止数据的丢失、重复及保证传送秩序的一致。

攻击者通过对信息进行篡改,更改信息的内容等;有时是删除某个消息或消息的某些部分;还有可能在消息中插入一些垃圾信息,使接收方接收到错误的信息。

2 计算机网络的防护

网络攻击的手段是发展变化、多种多样的,攻击和防护是矛和盾的关系。

所以建立网络安全防护体系,就同时要走技术和管理相结合的道路。

2.1 物理安全策略

网络防御的物理安全重点在于对整个网络的保护,它是保护服务器、计算机、网络连接设备等系统免受外部攻击的关键。

网络安全的现状及防护策略 篇6

【关键词】计算机网络;信息安全;防火墙;安全技术

随着计算机互联网技术的飞速发展,网络信息化在给人们带来种种物质和文化享受的同时,我们也正受到日益严重的来自网络的安全威胁。尽管我们已经广泛地使用各种复杂的安全技术,但是,仍然有很多黑客的非法入侵,对社会造成了严重的危害。针对各种来自网络的安全威胁,怎样才能确保网络信息的安全性。本文通过对网络安全存在的威胁进行分析,总结出威胁网络安全的几种典型表现形式,进而归纳出常用的网络安全的防范措施。

一、计算机网络安全存在的隐患

众所周知,Internet是开放的,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:

1.每一种安全机制都有一定的应用范围和应用

防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。

2.安全工具的使用往往受到人为因素的影响

一个安全工具能不能实现效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。比如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。

3.系统的后门和木马程序

从最早计算机被入侵开始,黑客们就已经发展了“后门”技术,利用后门技术,他们可以再次进入系统。后门的功能主要有:使管理员无法阻止;种植者再次进入系统;使种植者在系统中不易被发现;使种植者进入系统花费最少的时间。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

4.只要有程序,就可能存在BUG

任何一款软件都或多或少存在漏洞,甚至连安全工具本身也可能存在安全的漏洞。这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。

二、计算机网络安全的防护策略

尽管计算机网络信息安全受到威胁,但是采取恰当的防护措施也能有效的保护网络信息的安全。本文总结了以下几种方法并加以说明以确保在策略上保护网络信息的安全:

1.防火墙技术

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。

2.数据加密

采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。主要存在两种主要的加密类型:私匙加密和公匙加密。

3.虚拟专用网(VPN)技术

虚拟专用网(VPN)技术利用现有的不安全的公共网络建立安全方便的企业专业通信网络,使数据通过安全的“加密管道”在公共网络中,是目前解决信息安全问题的一个最新、最成功的技术课题之一。在公共网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。VPN有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。由于VPN技术可扩展性强,建立方便,具有高度的安全性,简化了网络技术和管理,使费用降到最低,因而,逐渐成为通用的技术。

4.入侵检测系统

入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测中违反安全策略行为的技术。它是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。

随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。因此只有严格的保密政策、明晰的安全策略以及高素质的网络管理人才才能完好、实时地保证信息的完整性和确证性,为网络提供强大的安全服务。本论文从多方面描述了网络安全的防护策略,比如防火墙,认证,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。

参考文献:

[1]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003

[2]Wes Noonan,Ido Dubrawsky,《防火墙基础》,人民邮电出版社,2007

论校园网的安全策略 篇7

任何计算机网络, 只要运行就可能面临安全性威胁, 校园网也不例外。校园网及其信息系统所面临的安全威协既可能来自校园内部, 又可能来自校园外部, 主要有以下几种:

1.1“黑客”行为

由于网络的开放性及技术的公开性, 一些人出于好奇心, 蓄意破坏和为了使自己获得某种非法利益等目的, 利用网络协议, 服务器和操作系统的安全漏洞以及管理上的疏漏非法访问资源、删改数据、破坏系统。

1.2 数据泄露

校园网上运行各种数据库系统, 如教学管理系统, 学生成绩管理系统, 校园卡管理系统, 试题库等。由于安全措施不当, 使这些数据库的口令被泄露, 数据被非法取出和复制, 造成信息的泄露, 严重时可导致数据被非法删改。

1.3 病毒攻击。

计算机病毒程序有着巨大的破坏性, 其危害已被人们所认识。尤其是通过网络传播的病毒, 无论是在传播速度, 破坏性和传播范围等方面都是单机病毒所不能比拟的。如当今最流行的蠕虫病毒, 通过电子邮件, 网络共享或主动扫描等方式从客户端感染校园网的web服务器, 改变网页的目录以繁衍自身, 并通过发送垃圾邮件和扫描网络, 导致网络的“拒绝服务”, 严重时会造成网络瘫痪。因此, 计算病毒也是网络安全的主要威胁。

1.4 管理欠缺

校园网上的安全威胁也来自管理意识的欠缺。管理机构的不健全, 管理制度的不完善和管理技术的不先进等管理因素。

2、校园网的访问控制策略

针对校园网络系统的安全威胁, 在校园网管理中心必须建立整体的, 卓有成效的安全策略。尤其是在访问控制的管理与技术方面需要制定相应的策略, 以保护系统内的各种资源不遭到自然与人为的破坏, 维护校园网的安全。

2.1 身份验证

身份验证技术用于判断对象身份的真实性, 是校园网上信息安全的第一道屏障。除校园卡外, 校园网上的身份验证技术主要是口令机制:如各种开机口令, 登陆口令, 共享权限口令等等。对这些口令的保护除建立严格的保密以外, 口令的设置方法非常重要。

一般而言, 安全的口令有以下特点:

(1) 至少7位字符, 系统用户一定要用8位字符的口令;

(2) 大小写字母混合, 把数字无序的插在字母中;

(3) 口令中包含“~!#¥%*?{}”等符号;

(4) 不使用英语单词, 不使用个人信息 (如生日, 姓名等) ;

(5) 不在不同系统上使用同一口令.

尽管Internet网络上存在众多口令攻击器, 它们能将口令破译出来, 但是一个合理的口令机制可使自己遭受黑客攻击的风险降到一定限度之内。系统管理员也可定期运行这些破解口令的工具, 尝试破译自己的口令, 若被破译, 说明该口令过于简单或有规律可循, 应及时更正。

2.2 设置防火墙

防火墙是设置在不同网络之间的一系列软硬件的组合, 它在校园网与Internet网络之间执行访问控制策略, 决定哪些内部站点允许外界访问和允许访问外界, 从而保护内部网免受非法用户的入侵。它是保护校园网的又一道屏障。

防火墙有三种基本类型:IP数据过滤, 应用层网关和电路层网关.防火墙有各种各样的配置方法。及配置将依赖站点的特殊安全策略, 预算以及全面规划等。

2.2.1 IP数据包过滤防火墙是必须的, 尤其是使用静态IP地址的校园网.包过滤防火墙通常存在于多端口的路由器上, 通常配置其中的访问控制列表 (ACL) 可以决定是否转发或丢弃来自外部的数据包.在原有的网络上增加这样的防火墙几乎不需要任何额外的费用, 而且它逻辑简单, 易于安装和使用, 这对资金力量较为尴尬的中小学而言更为合适。

2.2.2 应用层防火墙是可选的.这种防火墙是在网络应用层上建立协议过滤和转发功能。典型的应用层防火墙是各种应用代理, 这种代理服务使网络的内, 外部之间不会有直接的IP报文交换, 所有应用的数据据均由防火墙进行过滤和转发。

2.2.3 对于专线接入Internet网的校园网不要允许网上的机器通过Modem直接接入外部网。因为“堡垒最容易从内部被攻破”。如果有校园网用户下载一个包含恶意代码的程序在本地运行, 就很可能泄密敏感信息, 或对系统进行破坏。

2.2.4 必须明确, 防火墙不是解决所有网络安全问题的灵丹妙药, 比如, 它不能抵御来自来自校园网内部的攻击。因此, 不能认为建立了防火墙便万事大吉, 它只能是网络安全策略的一部分, 只能解决网络安全的部分问题, 任何时候都不能放松警惕。

2.3 文件和服务的共享访问

校园网上的服务器操作系统一般为Windows NT和Unix它们都能使用服务和文件共享功能。网络管理员常使用共享服务以使数据访问更加方便, 但黑客常常利用这一点通过安装后门程序, 在用户启动系统时作为共享服务进行注册, 然后这些共享服务可以从任何一台拥有“作为服务登录”权利的客户上运行, 从而破坏系统。

2.3.1限制端口访问。为了防止未经授权通过网络服务进行的访问, 要限制所有并非绝对必要的服务端口, 从而使暴露减少到最低限度。比如, 除非你的计算机需要新闻组访问, 否则, 网络新闻传输协议的端口119就应该被关闭。

2.3.2不允许一般用户在服务器上拥有除读/执行以外的权限.这一点对校园网安全特别重要。

2.3.3最好的防御手段依然是保持应有的警惕, 不要不分青红皂白地共享文件.当你没有其他选择时, 一定要只共享那些绝对必需的文件。

2.4 封锁系统安全漏洞

黑客之所以得以非法访问系统资源和数据, 很多情况下是因为操作系统和各种应用软件的设计漏洞或者管理上的漏洞所致。统计数字显示, 80%以上的成功入侵之所以发生, 是因为Web技术人员没有安装已知及公开故障的修补程序。因此, 在制定访问控制策略时, 不要忘记封锁系统安全漏洞。

3、总结

从理论上讲, 一个校园网络系统越安全越好, 但是绝对安全可靠的系统并不存在.一个所谓的安全系统实际上是使入侵者为了闯入而不得不花费的时间与金钱很多, 并且将承受很高的风险.因此, 校园网络访问控制体系策略的制定要针对网络的实际情况 (被保护信息的价值, 被攻击的危险性, 可投入的资金等) 具体地对各种安全措施进行取舍.可以说, 这是在一定条件下的成本和效率的平衡, 其目标是使系统的性能比达到一个合理的水平。

摘要:校园网在运行过程中面临各种安全威胁, 本论文通过对校园网及其应用系统的访问控制体系问题进行分析, 就身份认证、防火墙、文件和服务的共享访问和封锁系统漏洞四个方面提出基于访问控制的安全策略。

关键词:防火墙,黑客,共享

参考文献

[1]孙践知《.计算机网络应用技术》.2005.[1]孙践知《.计算机网络应用技术》.2005.

[2]Andrew S.Tanenbaum, 潘爱民译《.计算机网络》第四版, 清华大学出版社.2004.[2]Andrew S.Tanenbaum, 潘爱民译《.计算机网络》第四版, 清华大学出版社.2004.

校园网安全策略的研究 篇8

校园网及其信息系统所面临的安全威协既可能来自校园网内部, 又可能来自校园网外部。所有的入侵攻击都是从用户终端上发起的, 往往利用被攻击系统的漏洞肆意进行破坏。总体可以分成以下几种:

(1) 系统漏洞或后门:操作系统和应用软件都存在着缺陷和漏洞, 这些缺陷和漏洞, 很可能成为攻击者的首选目标。而后门是设计者在编写程序时所留下的暗道, 在用户未授权的情况下, 设计者或其他人可以通过这些后门出入。

(2) 计算机病毒入侵:计算机病毒是校园网安全的最大威胁, 能通过计算机网络、存储介质等进行传播。黑客大多利用系统中的安全漏洞非法进入他人计算机系统, 通过获取口令、控制中间站点、获得超级用户权限, 达到读取他人电子邮件, 搜索和盗用私人文件, 毁坏重要数据, 破坏整个系统的目的。黑客常用的攻击手段主要有:网络监听、地址欺骗、会话劫持、拒绝服务攻击。

(3) IP 地址盗用:IP地址的盗用将会导致IP 地址发生资源冲突或使合法用户的权益受到侵害, 造成网络混乱甚至无法上网。

针对目前常见的校园网安全威胁, 建立可行、有效的安全策略是迫在眉睫的事情, 根据实践, 总结出几种可行适用的策略技术, 以用来构建高效安全的校园网:

(1) 安全隔离技术:其目标是, 在确保将有害攻击隔离在可信网络之外, 并且保证可信网络内部信息不外泄的前提下, 完成网间信息的安全交换。

(2) 防火墙技术:它在校园网与Internet网络之间执行访问控制策略, 能够检测到通过防火墙的各种入侵、攻击和异常事件, 并以相应的方式通知相关人员, 安全管理员依据这些警报信息及时修改相应的安全策略, 重新制定访问控制规则。

(3) 入侵检测系统 (IDS) 部署:入侵检测能够根据系统的安全策略从不同的系统资源收集信息, 分析反映误用或异常行为的信息, 对检测的行为作出自动的反应, 并报告检测过程的结果。在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实时保护。

(4) 数字签名技术:保证信息除发送方和接收方外不被其他人窃取、信息在传输过程中不被篡改、发送方能够通过数字证书来确认接收方的身份以及发送方对于自己的信息不能抵赖等。

(5) 建立网络版防病毒安全体系:因为网络版防毒软件的管理功能更强大, 校园网的管理员只要及时在服务器端进行升级, 客户端启动后就可自动升级, 网管员还可对所有安装客户端的计算机进行病毒监控、远程杀毒, 及时了解校园网中病毒疫情。

(6) 访问控制策略:访问控制是网络安全防范和保护的主要策略。可以说, 访问控制是保证网络安全的核心策略之一。

(7) IP地址防盗策略:目前, IP地址盗用主要有单纯修改静态IP地址和修改IP与MAC地址映射表两种方式, 常用的防范技术主要有划分VLAN、扫描网络设备的ARP表以获取IP地址和MAC地址的对应表与事先登记的合法对应表相比较。

(8) VLAN技术和VPN技术:VLAN 技术的核心是网络分段, 根据不同的部门及不同的安全机制, 将网络进行隔离, 可以达到限制用户非法访问的目的。VPN技术的核心是采用隧道技术。将内部网络的数据加密封装后, 透过虚拟的公网隧道进行传输, 从而防止敏感数据被监听。

2 构建安全校园网络系统

结合以上网络安全策略与技术设计构建一个安全、通用、高效的校园网络系统。校园网安全策略结构如下图1:

2.1 校园网安全监测

在不影响网络性能的情况下能对网络进行检测, 从而提供对内部攻击、外部攻击和误操作的实时保护。

2.1.1 采用入侵检测系统

在校园网中构架基于网络和基于主机的入侵检测主动防御体系。

首先, 在校园网比较重要的网段中放置基于网络的入侵检测产品, 不停地监视网段中的各种数据包, 如果数据包与入侵检测系统中的某些规则吻合, 就会发出警报或者直接切断网络的连接。

其次, 在重要的主机上 (如WWW服务器、E-mail服务器、FTP服务器) 安装基于主机的入侵检测系统, 对该主机的网络实时连接以及系统审计日志进行智能分析和判断, 如果其中主体活动十分可疑, 入侵检测系统就会采取相应措施。

2.1.2 Web、E-mail、BBS的安全监测系统

在校园网的WWW服务器、E-mail服务器中使用网络安全监测系统, 实时跟踪、监视网络, 截获Internet上传输的内容, 并将其还原成完整的内容, 建立保存相应记录的数据库。及时发现在网络上传输的非法内容, 并向上级安全网管中心报告。

2.1.3 漏洞扫描系统

扫描漏洞是解决网络层安全问题的方法, 通过寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具, 利用优化系统配置和打补丁等各种方式, 最大可能地弥补最新的安全漏洞并消除安全隐患。

2.1.4 IP盗用问题的解决

在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时, 路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符, 如果相符就放行, 否则禁行, 同时给发出这个IP广播包的工作站返回一个警告信息。

2.1. 5 利用网络监听维护子网系统安全

要解决校园网内部的侵袭问题, 可以对各个子网做一个审计文件, 为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序, 其主要功能是长期监听子网络内计算机间相互联系的情况, 为系统中各个服务器的审计文件提供备份。

2.2 配置安全的系统服务器平台

安全的系统服务器是网络安全的基点, 利用系统本地安全策略构建一个相对安全的防护林对于校园网来说至关重要。

2.2.1 设置禁用构建第一道防线

Win 2000即使是装上了最新的系统补丁, 但在Internet的任何一台PC上只要输入“IP地址c$”, 然后输入用户名Guest, 密码空, 该机器的C盘就完全暴露了。解决的方法是禁用Guest账号, 为Administrator设置一个安全的密码, 将各驱动器的共享设为不共享。同时关闭不需要的服务。在管理工具的服务中将它们设置为禁用, 一般可以禁用的服务有Telnet、Task Scheduler (允许程序在指定时间运行) 、Remote Registry Service (允许远程注册表操作) 等。

2.2.2 设置IIS构建第二道防线

通过简单的设置, 弥补校园网服务器的IIS漏洞。首先将IIS默认的服务都停止, 然后再新建一个Web站点。设置好常规内容后, 在“属性→主目录”的配置中对应用程序映射进行设置, 删除不需要的映射, 这些映射是IIS受到攻击的直接原因。

2.2.3 运用扫描程序堵住安全漏洞

要做到全面解决安全问题, 需要扫描程序的帮助。扫描完成后, 要看一下, 是否存在口令漏洞, 若存在, 则马上修改口令设置;再看一下是否存在IIS漏洞, 若存在, 须检查IIS的设置。

2.2.4 封锁端口全面构建防线

黑客大多通过端口进行入侵, 所以关闭那些不用的端口, 完全可以阻止入侵者的攻击。

首先, 通过“管理工具→本地安全策略”进入, 右击“IP安全策略——属性”, 创建一个安全策略。接着, 右击“IP安全策略——属性”, 进入管理IP筛选器和筛选器操作, 在管理IP筛选器列表中, 添加要封锁的端口, 这里以关闭ICMP端口为例说明。关闭ICMP的具体操作如下:点“添加”, 然后在名称中输入“关闭ICMP”, 点右边的“添加”;在源地址中选“任何IP地址”;在目标地址中选择“我的IP地址”;在协议中选择“ICMP”。然后, 进入设置管理筛选器操作, 点“添加”, 在名称中输入“拒绝”。选择“阻止”关闭该属性页, 右击新建的IP安全策略, 打开属性页。在规则中选择“添加”, 选择“此规则不指定隧道”, 在选择网络类型中选择“所有网络连接”, 在IP筛选器列表中选择“关闭ICMP”, 在筛选器操作中选择“拒绝”。这样就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。

2.3 校园网的访问控制策略

针对校园网络系统的安全威胁, 必须建立整体的、卓有成效的安全策略, 尤其是在访问控制的管理与技术方面需要制定相应的策略, 以保护系统内的各种资源避免自然与人为的破坏, 维护校园网的安全。

2.3.1 建立并严格执行规章制度

规章制度作为一项核心内容, 应始终贯穿于系统的安全生命周期。校园网络的安全管理制度应包括:确定安全管理等级和安全管理范围, 制定有关网络操作使用规程和人员出入机房管理制度, 制定网络系统的维护制度和应急措施等。任何规章制度的意义都在于实施, 严格执行安全管理制度是网络可靠运行的重要保障。

2.3.2 身份验证

身份验证技术可用于判断对象身份的真实性, 是校园网上信息安全的第一道屏障。除校园卡外, 校园网上的身份验证技术主要是口令机制, 如各种开机口令、登录口令、共享权限口令等。对这些口令的保护除建立严格的保密机制外, 口令的设置方法非常重要。

一般而言, 安全的口令有以下特点: ①至少7位字符, 系统用户一定要用8位字符的口令;②大小写字母混合, 把数字无序地插在字母中;③口令中包含“~ !# ¥ % * { } ”等符号;④不使用英语单词, 不使用个人信息 (如生日, 姓名等) ;⑤不要在不同系统上使用同一口令。

2.3.3 病毒防护

校园网络防病毒工作主要包括预防计算机病毒侵入, 检测侵入系统的计算机病毒, 定位已侵入系统的计算机病毒, 防止病毒在系统中的传染, 清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系, 特别是针对重要的网段和服务器, 要进行彻底堵截。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征: 第一, 能够支持所有的主流平台, 并实现软件安装、升级、配置的中央管理; 第二, 要能保护校园网所有可能的病毒入口, 也就是说要支持所有可能用到的Internet协议及邮件系统;第三, 具有较强的防护功能, 可以对数据、程序进行有效地保护。

2.3.4 防火墙技术

防火墙在校园网与Internet之间执行访问控制策略, 决定哪些内部站点允许外界访问和允许访问外界, 从而保护内部网免受非法用户的入侵。

2.3.5 应急处理和数据备份

应急响应是校园网整体安全构架中不可分割的重要组成部分。校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时, 应及时向用户发出安全通告, 并提供各种补丁程序以便下载。数据是整个网络的核心, 对易受到攻击的Web服务器, 配置网站监控与恢复系统, 一旦主页被篡改, 能够及时恢复。针对网络安全而言, 备份既包括网络通信参数、配置的备份, 又包括设备和线路的备份。网络中心应定期将重要数据打包, 并将副本存放在专用的服务器中, 还可采用RAID技术对重要磁盘做镜像。

2.3.6 运用VLAN技术

采用交换式局域网技术 (ATM或以太交换) 的校园网络, 可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段, 网络分段可分为物理分段和逻辑分段两种。

2.3.7 遵循“最小授权”原则和采用“信息加密”技术

“最小授权”原则是指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度, 这可以将系统的危险性大大降低。“信息加密“是包括算法、协议、管理在内的庞大体系, 加密算法是基础, 密码协议是关键, 密钥管理是保障。其核心及相关程序, 如登录系统、用户管理系统等应在可能的情况下自行开发。

2.3.8 用户教育

加强对校园网用户的安全意识教育和安全技术培训, 提高遵守相关的安全制度的自觉性, 增强整体安全防范能力。对于非法访问和黑客攻击事件, 一旦发现要严肃处理。加强对校园网安全技术和管理人员的培训, 使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令, 对用户名和口令进行加密存储、传输, 提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。

3 结束语

校园网的建设是教育信息化的基础, 而网络信息安全则是校园网正常运转的保障。为了应付更严峻的“安全性”挑战, 安全技术不应再仅仅停留于追堵和拦截, 而应该积极主动地运用各种安全策略直面来自各个方面的威胁, 努力营造安全、和谐的校园网络环境。

参考文献

[1]刘杰.校园网安全问题及其对策[J].陕西师范大学学报:自然科学版, 2008 (S2) .

[2]刘宝庆, 董晶, 温慧颖.基于教育信息化、安全化的校园网络建设的探索[J].中国成人教育, 2008 (15) .

[3]王锐, 搭建校园网安全访问控制体系[J].计算机世界报, 2004 (5) .

[4]忽海娜, 张玲.校园网安全问题分析与对策[J].中国教育信息化, 2008 (4) .

[5]董健.现代校园网络的安全防护[J].科技情报开发与经济, 2007 (19) .

校园网络的安全策略 篇9

1 计算机网络信息安全的影响因素

现今的计算机网络的第一安全隐患就是软件问题, 即计算机网络信息, 第二个安全隐患就是网络硬件设备。影响计算机网络信息安全的相关因素一般包括客观与主观两个方面, 客观方面, 就是由于计算机操作人员的疏忽大意而导致系统安全漏洞以及由于用户账号、口令的随便转借共享而带来的网络信息安全隐患;主观方面, 现今的计算机网络所面临的最大威胁就是人为性质的恶意网络攻击, 比如说, 计算机犯罪以及黑客攻击等等, 具体来说, 主要表现为主动地有目的地进行计算机网络信息完整性的恶意破坏以及专门地进行有效的重要信息的恶意破译与截取, 虽然这些行为在表面上看来不会对网络的一般运行造成影响, 但是其在很大程度上会造成信息泄露, 还有一种表现形式就是由于计算机系统软件漏洞而为黑客等网络恶意攻击者提供了破坏的可乘之机。

2 诱发计算机网络安全威胁的具体形式

能够诱发计算网络信息安全威胁的主要形式可以分为五种, 第一个类型就是由于网络系统内部工作人员私自泄露以及更改计算网路信息而对系统造成的具体破坏;第二个类型就是由于黑客在整个系统中安装了相关的信息截收装置, 其在有效截获有可利用价值的重要机密信息时而造成的恶意破坏;第三个类型就是相关人员所进行未授权非法访问, 其主要指的是非法用户在没有经过官方授权的前提下就私自进行了网络信息系统, 非法使用信息资源以及实施违法性质的网络系统操作, 非法入侵对正常网络用户的使用来说存在着一定程度的危害;第四个类型说的就是由于IP以及TCP协议漏洞被恶意利用而导致计算机网络数据包被伪造后所出现APR以及IP欺骗攻击;第五个类型主要说的是由于在计算机系统中充斥了过多的网络垃圾信息以及病毒而造成宽带信息传输堵塞, 导致计算机网络信息服务器瘫痪, 最终使得整个计算机网络系统处于崩溃边缘。

3 维护策略

在进行计算机网络信息安全维护时, 应该在有效地实施攻击识别与分析的基础上, 认真地制定相应的针对性维护策略, 这就要求应该明确具体的安全对象, 通过相应体系的合理设置, 在计算机网络信息系统中安插多重防护, 有的放矢, 执行以预防为主的全程监管的网络安全维护策略。

3.1 增强网络信息安全意识

这就要求用户在实际的使用过程中, 不要轻易打开那些来路不明的文件以及e-mail, 同时, 不能够随便运用陌生人发来的计算机网络程序, 在进行网页浏览以及网络下载时尽量避免从不正规的网站上下载未知的游戏程序以及软件程序, 除此之外, 用户在进行各项计算机网络密码的设置时应该采用数字与字母等等混合的排列方式, 给黑客的恶意攻击带来阻碍, 在使用计算机网络时应该及时进行程序补丁的更新与安装。

3.2 安装防火墙软件

计算机网络防火墙的主要作用是用来有效阻止黑客攻击的重要屏障, 即将计算机信息通信进出门槛控制在安全系数比较高的范围内。具体来说, 在计算机网络系统中运行防火墙软件可以实现外部网络的对计算机系统的恶意侵入, 防火墙软件可以在相应的网络边界上进行内外部网络的有效隔离, 其能够在合理的范围内实现通信监控以及系统保护。由此可见, 将防火墙软件应用在计算机网络维护中是非常有意义的。

3.3 有效隐藏IP地址

在计算机网络中, IP地址的重要性不容忽视。这就需要在实际的计算机系统运行过程当中, 通过设置计算代理服务器来保护IP地址。其中, 代理服务器的主要作用是用来进行外部网络与内部网络的有效转接, 其能够很好地针对用户的具体访问类型进行合理化控制。具体来说, 当外部网络发出某种申请后, 其可以有效地接受相应申请, 并通过对相关信息进行分析整理决定是否可行, 如能接受的话, 其则会将请求传给内部网络。

3.4 提高警惕, 备份资料

在日常的计算机网络系统运行过程当中, 应该将网络信息防毒黑工作重视起来, 养成日常的例行工作, 及时进行杀毒软件更新与开启, 提高警惕, 做好资料本分, 严密保管, 重视计算机网络信息安全。

综上可知, 要时刻保持警惕, 规范网络秩序, 构建安全维护体系, 强化网络信息安全意识, 净化计算网络环境, 真正实现计算机网络信息安全维护水平的有效提升。

参考文献

[1]张峰.浅析计算机网络信息的安全维护[J].计算机光盘软件与应用, 2011 (23) .[1]张峰.浅析计算机网络信息的安全维护[J].计算机光盘软件与应用, 2011 (23) .

[2]刘冬梅.浅析计算机网络安全与防范策略[J].黑龙江科技信, 2010 (19) .[2]刘冬梅.浅析计算机网络安全与防范策略[J].黑龙江科技信, 2010 (19) .

[3]钟怀.计算机网络安全及防范策略探究[J].计算机光盘软件与应, 2010 (7) .[3]钟怀.计算机网络安全及防范策略探究[J].计算机光盘软件与应, 2010 (7) .

校园网络的安全策略 篇10

在校园网中, 师生的流动性很强, 很容易在一些地方形成人员聚集的情况。而且随着笔记本电脑的普及和Internet接入需求的增长, 无论是教师还是学生都迫切要求在这些场所上网并进行网上互动教学。有线网络无法灵活的满足他们对网络移动性与频繁交替性的需求, 造成网络互联和Inter-net的接入瓶颈。

无线网络在校园网的引入, 在某些场所, 如网络教室、会议室、报告厅、图书馆等区域, 可以率先覆盖无线网络, 让用户能真正做到无线漫游, 给工作和生活带来巨大的便利。进而逐渐将无线的覆盖范围扩大, 最后做到无线网的全校覆盖。

一、校园网无线网络安全现状

在无线网络技术相对成熟的今天, 无线网络解决方案能够很好满足校园网的种种特殊的要求, 并且拥有传统网络所不能比拟的易扩容性和自由移动性, 已经逐渐成为一种潮流, 成为众多校园网解决方案的重要选择。这都源于无线局域网拓展了现有的有线网络的覆盖范围, 使随时随地的网络接入成为可能。但在使用无线网络的同时, 无线接入的安全性也面临严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种: (1) 基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤, 每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后, 如果MAC列表中包含某个用户的MAC地址, 则这个用户可以访问网络, 否则如果列表中不包含某个用户的MAC地址, 则该用户不能访问网络。 (2) 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥, 那么就授予该用户对无线网络的访问权。 (3) 802.1x认证。802.1x协议称为基于端口的访问控制协议, 它是个第二层协议, 需要通过802.1x客户端软件发起请求, 通过认证后打开逻辑端口, 然后发起DHCP请求获得IP以及获得对网络的访问。

从目前情况来看, 不少校园网的无线接入点都没有很好地考虑无线接入的安全问题, 如基于MAC地址的认证或共享密钥认证没有设置, 更不用说像802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动, 会搜索到很多无线接入点, 这些接入点几乎没有任何的安全防范措施, 可以非常方便地接入。试想, 如果让不明身份的人进入无线网络, 进而进入校园网, 就会对我们的校园网络构成威胁。

二、校园网无线网络安全解决方案

校园网内无线网络建成后, 怎样才能有效地保障无线网络的安全。前面提到的基于MAC地址的认证存在两个问题:一是数据管理的问题, 要维护MAC数据库;二是MAC可嗅探, 也可修改。如果采用共享密钥认证, 攻击者可以轻易地搞到共享认证密钥。802.1x定义了三种身份:申请者 (用户无线终端) 、认证者 (AP) 和认证服务器。整个认证的过程发生在申请者与认证服务器之间, 认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份, 然后认证服务器对申请者进行认证, 认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。

虽然802.1x仍旧存在一定的缺陷, 但较共享密钥认证方式已经有了很大的改善, IEEE 802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下, 选择无线客户端身份验证的依据是基于密码凭据验证, 或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2 (MSCHAPv2) 。

该协议在PEAP (Protected Extensible Authentication Protoco1) 协议中, 也称作PEAP-EAP-MSCHAPv2。考虑到校园群体的特殊性, 为了保障校园无线网络的安全, 可对不同的群体采取不同的认证方法。在校园网内, 主要分成两类不同的用户:一类是校内用户;另一类是来访用户。校内用户主要是学校的师生, 由于工作和学习的需要, 他们要求能够随时接入无线网络, 访问校园网内资源以及访问Internet。这些用户的数据, 如工资、科研成果、研究资料和论文等安全性要求比较高。对于此类用户, 可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高, 对他们来说最重要的就是能够非常方便而且快速地接入Internet以浏览相关网站和收发邮件等。针对这类用户, 可采用DHCP+强制Portal认证的方式接入校园无线网络。开机后, 来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Internet网站时, 强制Portal控制单元首先将用户访问的Internet定向到Portal服务器中定制的网站, 用户只能访问该网站中提供的服务, 无法访问校园网内部的其他受限资源, 比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源, 必须通过强制Portal认证, 认证通过就可以访问Internet。对于校内用户, 先由无线用户终端发起认证请求, 没通过认证之前, 不能访问任何地方, 并且不能获得IP地址。可通过数字证书 (需要设立证书服务器) 实现双向认证, 既可以防止非法用户使用网络, 也可以防止用户连入非法AP。双向认证通过后, 无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后, 就可以利用双方约定的密钥, 运用所协商的加密算法进行通信, 并且可以重新生成新的密钥, 这样就很好地保证了数据的安全传输。

使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全, 具有一定的现实意义。来访用户所关心的是方便和快捷, 对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件, 用户直接使用Web浏览器认证后即可上网。采用此种方式, 对来访用户来说简单、方便、快速, 但安全性比较差。虽然用户名和密码可以通过SSL加密, 但传输的数据没有任何加密, 任何人都可以监听。当然, 必须通过相应的权限来限制和隔离此类用户, 确保来访用户无法访问校园网内部资料, 从而保证校园网络的高安全性。因此针对校内用户可使用802.1x认证方式, 以保障传输数据的安全。

校园网各区域分别覆盖无线局域网络以后, 用户只需进行相应的设置就可以连接到校园网, 从而实现各自需要的功能, 进一步促进校园网内无线网络的建设。现在, 不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时, 因为对无线网络的安全不够重视, 对校园网无线网络的安全考虑不及时, 也造成了一定的影响和破坏。由此可见, 做好无线网络的安全管理工作, 并完成全校无线网络的统一身份验证, 是当前学校组建无线网必须要考虑的事情。只有这样才能做到无线网络与现有有线网络的无缝对接, 确保无线网络的高安全性, 提高学校的信息化的水平。

摘要:随着高校信息化建设水平的不断提高, 无线网络已经成为校园网方案的一个重要组成部分。本文对校园无线网的问题进行研究, 并对校园无线网络的安全问题进行了剖析, 给出了一种相对安全的无线校园网解决方案。

关键词:校园网,无线网络,安全认证

参考文献

[1]董春庆.无线网络局域网技术及应用[J].网络世界, 2007, (06) .

[2][美]阿斯皮沃.无线网络安装调试与维护[M].北京:电子工业出版社, 2007.

[3]范新运, 王福豹, 任丰原.无线传感器网络的路由协议[J].计算机测量与控制, 2007, (09) .

浅析网络数据库的安全保护策略 篇11

【关键词】网络数据库;安全防护策略;网络加密技术

【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0105-01

1 网络数据库安全性概述

网络数据库一般采用客户机/服务器(Client/Server)模式。在客户机/服务器结构中,客户机向服务器发出请求,服务器为客户机提供完成这个请求的服务。例如,当某用户查询信息时,客户机将用户的要求转换成一个或多个标准的信息查询请求,通过计算机网络发给服务器,服务器接到客户机的查询请求后,完成相应操作,并将查出的结果通过网络回送给客户机。

对网络数据库系统运行环境的分析,网络数据库系统正常运行的管理包括:硬件组成的网络拓扑结构的管理、网络操作系统及网络数据库系统的管理、日常工作中制度和人的管理。它的安全性问题相应包括三个方面的内容:

(1)运行网络数据库系统的硬件安全性,即物理安全。包括服务器、交换机、网线、电源等设备故障、水灾、火灾等环境事故。

(2)运行网络数据库系统的网络安全性。主要指网络数据库系统自身安全性以及网络数据库所处的网络环境面临的安全风险。如病毒入侵和黑客攻击、网络操作系统及应用系统的安全,主要表现在开发商的后门(Back-door)以系统本身的漏洞上。

(3)运行网络数据库系统的管理安全性。主要包括管理不善、人员操作失误、制度不健全,造成日常管理中出现安全风险。

通过分析网络数据库系统的不安全因素,针对不同因素,给出网络数据库系统安全的主要防范技术和措施。它们是相辅相承的,应统筹考虑,以确保数据的安全。

2 网络数据库安全策略

2.1 物理安全防护策略

物理安全保证重要数据免受破坏或受到灾难性破坏时及时得到恢复,防止系统信息空间的扩散。在物理安全方面主要采用如下措施:

(1) 网络安全设计方案符合国家网络安全方面的规定

(2)建立良好的电磁兼容环境,安装防电磁辐射产品,如辐射干扰机。

(3)产品采购、运输、安装等方面的安全措施。

(4)对重要设备和系统设置备份系统。

(5)网络数据库系统运行的服务器、网络设备、安全设备的防范,主要包括防水火、防静电等。

2.2 网络安全防护策略

网络系统是网络数据库应用的基础,网络数据库系统要发挥其强大作用,离不开网络系统的支持。网络系统的安全是网络数据库安全的第一道屏障,外部入侵首先就是从入侵网络系统开始。

(1)网络数据库系统的安全防护策略。主要表现在对数据的存取控制上,对不同用户设置不同权限,限制一些用户的访问和操作,避免数据丢失或泄露。

(2)防火墙技术。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,目前越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合系统,包括硬件和软件两个部分。它是不同网络或网络安全域之间信息的惟一出入口,能根据企业单位的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙可以是一个分离器、一个限制器、一个分析器,它有效地监控了内部网和 Internet之间的任何活动,保证了内部网络的安全。防火墙主要功能体现在可以强化网络安全策略,对网络存取和访问进行监控审计,防止内部信息的外泄等方面。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为两大类:分组过滤(Packet filtering)和应用代理(Application Proxy)。

(3)网络防病毒技术。对于复杂的网络环境,系统的错误和漏洞是难以避免的,病毒就是利用这一特点,进行网络攻击或信息窃取,构成对网络安全的巨大威胁,因此必须严防计算机病毒对网络的侵袭。网络防病毒技术包括预防病毒、检测病毒和消除病毒等三个方面。管理上加强对工作站和服务器操作的要求,防止病毒从工作站侵入;技术上可以采取带防毒芯片的网卡,安装网络防病毒软件,配备专用病毒免疫程序来进行预防,采用多重技术,互为补充。

(4)入侵检测(Instrusion Detection)。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下,由于可以记录和禁止网络活动,可以说入侵监测系统是防火墙的延续。它们可以和防火墙、路由器配合工作。入侵检测是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码推理等技术和方法。入侵监测系统IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时监控和报警。

(5)网络加密技术。随着网络技术的发展,网络安全也就成为当今网络社会的焦点,病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。采用网络加密技术,可实现数据传输入的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。

2.3 管理安全防护策略

网络和网络数据库系统的使用、维护和安全运行,归根结底都离不开人,所以要时刻加强对操作人员管理与培训。

(1)根据国家、行业等相关标准,结合实际机房、硬件、软件、数据和网络等各个方面的安全问题,制定切实可行的规章制度。

(2)对操作人员进行培训,提高技术水平,对系统进行及时的升级并利用最新的软件工具制定、分配、实施和审核安全策略。

(3)进行安全宣传教育。对操作人员结合实际安全问题进行安全教育,严格执行操作规章,提高操作人员责任心。

(4)加强内部管理,建立审计和跟踪体系,提高信息安全意识。

3 结论

保障网络数据库系统安全,不仅涉及应用技术,还包括管理等层面上的问题,是各个防范措施综合应用的结果,是物理安全、网络安全、管理安全等方面的防范策略有效的结合。在具体实施时,应根据实际、因地制宜进行分析和采取相应有效措施保护网络数据库系统乃至整个网络系统的安全。

随着网络数据库系统的发展,对网络数据库系统的攻击方式也不断改变,网络数据库系统的安全和维护工作也要与时俱进、合理升级更新技术、加强网络检测与加密技术,确保网络数据库系统运行安全。

参考文献

门户信息网络安全的防范策略 篇12

1.1 网络安全之战备受关注

国际上窃取情报的丑闻已被曝光。我国政府网站涉及部、省、市、以及县各级网站, 且各级网络建设及安全维护水平参差不齐, 不法分子攻击和植入后门病毒, 其主要是利用这些非法手段篡改、删除、盗窃用户的个人信息、网站信息等, 造成信息泄密和不当言论的传播。计算机病毒具有破坏性和传染性, 轻则导致电脑系统运行减慢, 严重时则会导致文件丢失等。黑客入侵政府机关网络, 一些政府的机密文件也将受到威胁, 对国家安全和社会安宁和谐都会造成巨大的影响。

1.2 信息网络基础设备、技术安全问题普遍存在

由于网络设备核心技术缺乏, 目前广泛使用的操作系统、设备技术都采用国外产品, 操作系统均存在漏洞, 其可扩展性、稳定性和可维护性都是影响计算机网络安全的关键因素, 各种病毒极易针对操作系统漏洞进行传播。随着计算机的不断发展, 计算机上的软件正朝着多功能化方向发展, 大多数情况下漏洞存在于新上市的软件中, 使计算机安全又多了一道风险。

1.3 网络安全管理制度缺乏, 安全防范意识薄弱

网络安全是三分靠技术、七分靠管理, 如人为因素、自然因素和偶然因素。其中, 人为因素造成的安全问题往往影响最大。网络技术日新月异, 黑客攻击手段不断升级, 病毒不断加强, 防护手段不应止步不前。由于人员防护意识差思想上麻痹大意, 有些老同志接触电脑时间短, 大多数都是在没有安全防护的电脑上工作, 对于安全隐患抵抗力弱, 在应对网络诈骗、网络攻击等情况时显得力不从心。而有些人滥用权力查询处理私人信息, 为了个人利益窃取各项机密数据等等。人们大多使用电子邮件的形式传送文件, 其中邮件病毒常被不法分子利用传播, 一旦进入病毒程序将对计算机造成不可挽回的损失。

1.4 缺乏专业应对、保障措施

目前, 大多数信息系统缺少专业安全管理员, 一般单位只安排信息维护人员也仅是负责信息的输入和维护。未经过专业培训的管理人员的能力水平有限, 缺少安全管理技术规范, 缺少定期的系统安全测试, 缺少安全审计机制。同时, 政府对于网络监管力度不足, 导致非法程序和数据在网络上流传, 用户在不知情的情况下很容易造成误入。

2 网络安全管理的几点策略

目前, 各机关政府、企业、机构以及校园等门户网站承受着各方面的威胁和安全隐患, 如何建立安全、高效的网络成为人们一直追求的目标。通常, 从物理设备防范、技术防范和管理三个方面进行网络安全防范和应对工作。

2.1 物理设备和技术防范策略

各单位在网络建设时就应考虑到硬件设备的散热、湿度、接地、灰尘、磁场以及远离自然灾害的位置设置机房, 并保证房间通风通气, 重要设备要配备双电源, 做好硬件设备日常保养和维护工作。

防火墙技术是目前成本最低, 使用最广泛, 也是最基础的网络安全防护手段之一, 能有效阻止外部入侵。信息加密技术是计算机网络安全维护的重要手段之一, 对数据加密也是良好的计算机使用习惯, 特别是对单位涉密资料、内部资料、个人信息都要养成加密保管的习惯, 数据存储加密和数据传输加密是重点环节。很多单位都建有内网和外网, 访问控制起到隔离内网与外网的作用, 包括访问权限控制、监测控制、锁定控制以及服务器安全控制等。对计算机病毒无孔不入的特性, 除了本机上要安装防毒杀毒软件外, 单位也应定期检测网络病毒, 定期进行病毒库更新, 完成对各种最新病毒的全面查杀, 并且开启实时防护监控模式。

2.2 网络安全管理制度重在抓落实

网络环境不安全与管理制度的不完善有密切的关系。首先, 应建立相应的组织机构, 制定规章制度。熟读安全管理方面的法律、法规和有关政策的宣传, 建立法律法规, 要对广大的执法部门或者相关审核部门进行相关教育培训并常抓不懈, 特别强调的是对于关键岗位的人员必须通过培训, 并且还需要经过相应技能测试评估才能上岗。提供的上网信息, 必须经过相关部门的审核后方可上网, 并及时予以登记。另外, 严令禁止各个工作人员随意安装一些和工作性质无关的软件, 有效防止这些软件对系统与单位网络造成的潜在伤害。

3 结语

计算机网络承载了极大的应用范围, 迅速改变了人民的生活方式。因此, 在其安全监管方面不仅仅要从技术面着手, 还要从管理面予以强化。计算机网络安全环境的塑造, 应从国家、各单位组织机构与个人等多方面做起。对于国家来说, 应该树立计算机网络安全意识, 健全法律法规。对各单位组织来说, 要对当前的网络系统环境加强管理, 对网络管理人员进行专业化培训, 提供网络安全专业人员以应对日益复杂的网络环境。同时, 广大人民群众树立网络安全意识对于计算机网络安全工作有着重要的推动作用。

参考文献

上一篇:中西方文化差冲突下一篇:变电运行供电