校园网络安全防御策略(共10篇)
校园网络安全防御策略 篇1
作为高校信息化数字化建设的重要基础设施, 近年来校园网络得到了极大的发展, 学校的教学科研管理后勤通信等越来越依赖校园网络的支持。但随着网络技术的不断发展, 网络攻击的手段日趋复杂, 规模也不断扩大, 校园网所面临的安全形势也日益严峻。如何建立有效的网络安全防范体系, 保障网络运行的稳定可靠与安全, 防御各类网络攻击已成为校园网面临的一个重要课题。只有在安全策略的指导下, 建立高效的智能化的网络安全防范体系, 才能有效保证校园网上关键业务和关键数据的安全。
一、学校校园网系统的具体情况
1. 就以往的安全管理来看,以整体防御确保每一台计算机的安全对于学校来说只存在理论的可能性,实践起来较为困难;
2. 学校只有一个专职网管人员而且脱离教学任务,对实际情况掌握的不是很熟悉。只能完成网管中心的局部安全;
3. 就功能而言,学校的计算机网络可分为4大类型:教师集中办公的微机网络、学生上机的微机网络、网管中心网络、学校职能部门例如档案室、会计室、校长室、试卷库等部门网络;
4. 学校了解网络安全的专业教师非常多,而且专业各有特长;
5. 网络安全课程必须开设,内部攻击不能从制度上禁止。
6. 分区防守,增强“壁垒”。
二、建立校园网络安全体系结构
建立符合安全体系结构的校园网络主要是根据所需要保护的校内系统资源, 对该资源攻击者的假设攻击及其攻击的目的技术手段以及造成的后果来分析该系统所受可能的和相关的威胁并考虑到构成系统各个部件的缺陷和患共同形成的风险, 然后建立起系统的安全需求, 建立校园网络安全体系结构的目的, 是从管理和技术上保证安全策略得以完整准确的实现, 安全需求全面准确地得以满足, 包括确定必须的安全服务安全机制和技术管理, 以及它们在校园网络系统上的合理部署和关系配置图等。
三、校园网络安全防御策略
1. 由专业教师包括网管在内组成网络安全小组负责校园网络安全。小组成员根据专业方向的不同负责对威胁网络安全因素的具体防守,从人员方面加强力量。
2. 针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。
3. 整个网络安全体系由主防火墙和子防火墙一起构成。主防火墙由网管负责,进行网络整体防守。子防火墙由专业老师具体负责,配置到具体网段进行区域防守。
4. 不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。
以上我谈的校园网络安全防御策略主要是分区域防守与增强网段“壁垒”的总体安全策略。我们在具体实施之后发现网络安全有以下几点可喜的变化:
1.校园整体网络安全有所提高,不同区域的网络安全由具体人负责,责任到人,相关网络安全问题可以快速解决。
2.因为专业人员的方向不同,负责不同区域的防守个人的专业特长有所体现,处理问题得心应手。
3.在出现安全问题时可以轻松做到尽量减少损失。在损失掉一个区域之后其他区域仍有很强的安全性,以往整个网络同时出现一种安全问题的现象基本杜绝。
4.成立了安全委员会后,负责不同防守任务的人员互通情况相互促进学校安全人员的技能和素质有很大的提高。
四、集群堡垒主机策略在校园网络的安全防御体系
安全策略是指在特定的网络运行环境中,外保证提供一定级别的网络安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相应的法律,安全策略决定采用何种方式和手段来保障网络系统的安全是网络安全体系的基础和核心。
1. 设计思想
集群堡垒式防御策略式在制定合理, 符合数字化校园建设的校园网安全于防范整体规划下提出的, 在有限资金投入的情况下制定高校灵活多便的安全策略式集群堡垒式防御策略的突出表现.文中已阐述校园网的安全威胁主要来自内部网, 如何解决来自内部网的安全威胁是该课题研究的重点。如何把集群堡垒主机安全管理经验及相关试验数据文档纳入高校计算机网络安全教学活动中, 是该课题研究的内容。
2. 防范措施含缺点
因为这种网络布置比较简单,易于管理,网络管理员只要根据各个节点反馈回来的安全问题,对防火墙加以严格的规则设置,或做适当的修改,就能解决整个网络出现的安全问题。但是,这种网络的缺点也很明显,当网络发生大规模的蠕虫病毒攻击,ARP攻击。大量的P2P流量时,防火墙的数据包过滤处理会出现高峰甚至会导致拒绝服务,这时整个网络的互联网惟一出口将被阻断。
3. 集群堡垒主机防御对该策略的改进
大规模的网络攻击都是分布式的,分布式防御是防止网络攻击的一种手段。集群堡垒式防御策略式分布式防御的一种表现。在各个主要节点布置堡垒主机,设置类似防火墙规则,分担防火墙的数据包过滤,或在各个主要节点架设防毒墙(病毒网),在病毒未到达防火墙实施拦截。
摘要:计算机网络诗信息社会的基础, 已经进入社会的各个角落。然而, 网络的开放性无边界性自由性, 使网络存在严重的安全威胁。作者对目前高校校园网安全与防范策略进行分析和论述, 并结合自己校园网络安全实践工作经验, 提出了校园网络安全防御策略的一些观点。
关键词:校园网络安全,防御策略,集群堡垒主机
校园网络安全防御策略 篇2
制定计算机网络防御策略,需要根据计算机信息系统及计算机的网络环境进行防御措施的规划。
对于网络攻击,计算机网络防御需要及时进行补救。
计算机系统随着所处的网络环境的复杂性加大,计算机网络防御策略也就愈加繁杂起来。
因为人工进行防御措施的设置比较麻烦,而且效率也会很低,所以需要借助计算机做出有效的防御策略设置。
当前,进行网络防御的关键与核心,是计算机的防御策略。
计算机网络防御策略是进行信息的保护以及网络安全的维护。
而且如今处于信息高速发展的时期,网络安全事件频频发生。
这是由于还没构成具体的措施的实行体制,所以,迫切需要对计算机网络防御策略进行探讨。
通过进行计算机网络防御策略的模型的分析,是有效保障网络系统的安全性和可靠性的重要举措。
2计算机网络安全现状及面临的威胁
当前计算机的安全性还是需要改进的,其主要面临的威胁有计算机病毒、计算机系统漏洞、未授权访问、恶意攻击、以及管理因素带来的问题。
计算机网络技术是一把双刃剑,能给人们生活带来便利的同时频发的网络事件对人们的工作和生活也造成了一定的负面影响。
计算机的病毒是对其他服务器和用户进行感染,通过电子邮件、文件共享、通信工具等方式实现的。
计算机病毒不但影响网络的正常运行,甚至可导致网络瘫痪,其手段是对感染用户大量发送垃圾信息等干扰正常使用。
未授权访问是局域网各个信息用户在一般情况下是可以进入的,但是不运用保密措施,则会导致一些机密信息泄密。
未授权访问出现问题,则会对信息产生不可估量的损失。
校园网络安全防御策略 篇3
关键词:网络安全;防御;安全策略
中图分类号:TP393.1文献标识码:A文章编号:1007-9599 (2011) 05-0000-01
Windows-based Network Security Defense and Security Policy
Yin Pengfei
(Dalian Jiaotong University,Dalian116028,China)
Abstract:Internet and the growing popularity of Intranet,network security issues are also increasingly prominent in the open network environment to ensure data and system security have become issues of concern to many people in the industry,and increasingly urgent and important.In this paper,Windows network security defenses under the corresponding analyzed,and how to develop appropriate security policies.
Keywords:Network security;Defense;Security policy
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。在各种攻击行为日益猖獗的情况下,如何为客户构建一个完善的网络安全防御系统就成为一个迫切需要解决的问题,以下本文将结合工作实践,重点论述构建一个网络安全防御系统和如何指定系统安全策略。
一、确定方案的目标与用户职责
设计一个网络安全防御系统的方案,其目标首先在于定义整个系统中期望的计算机和网络的正确使用策略,其次是防卫安全事故的程序以及发生安全事故的解决程序,要完成整个方案,你必须考虑你的系统的目标。同时,在你制定一个网络安全方案之前,确定每个用户为整个安全方案承担的责任是非常重要的。安全方案的相关人员可能有多个责任层次,例如在每个层次里,每个用户都有保护私人账号的职责,而系统管理员有另外的保证系统安全的职责,网络管理者则又是另外一个层次。在你确定谁应参与系统开发和谁负责实施之后,下一步就是确定风险何在而你的保护对象又是什么。
二、风险分析
在进行风险分析时有两个因素是必须要考虑的:1.确定资产大小;2.确定风险大小。你的安全方案对每个资产者都应该进行完整有力的保护,而对每一个风险,你就应确定风险如何影响到安全性,及对这些风险如何进行防卫。以下将分别叙述资产与风险大小的确定。
(一)确定系统资产情况。进行资产确定的目标是列出安全事故能够影响到的任何资产,一般来说,信息系统资产应该包括以下的六个种类:1.数据:所有数据都受到保护;2.软件:应保护组织开发的任何软件和安装于系统中的任何软件;3.硬件;4.人员:保护用户账号和权限;5.档案:应保护自己的档案;6.物资:保护纸张,表格和磁介质的清单。
以下的分类方式将信息分为四个级别,其中一级为敏感度最低的级别,而四级为敏感度最高,最重要的信息级别。以下分别就四个级别的信息特点加以描述:
级别1:公开或未分类信息:该类信息数据不需要经过公司任何批准就可以向大众公开。这类的信息的完整性并不重要,如果由于恶意攻击造成该类信息的服务不能正常工作,这种情况也是完全可以接受的。
级别2:内部信息。外部对这类信息访问是被禁止的,但如果这些信息被公开,其后果也并不严重,对内部用户的访问授权是有选择性的,该类信息的完整性重要但并不关键。
级别3:私有信息。该类信息在公司内部是私有的,而且严格禁止外部访问,如果该类信息被未授权用户访问,将对公司正常运作产生影响,并导致经济上的损失,为竞争对手提供有力的帮助,或导致客户对公司的信任度严重降低,该类信息的完整性是非常关键的。
级别4:秘密信息。未授权的外部或内部用户对这类数据的访问对公司是非常致命的,数据完整性非常关键,有权访问这类数据的用户数目应该限制在很小的范围内,对这类数据的使用需要施加严格的规则。
在你开发安全方案之前,务必要列出属于上述每个项目的每个资产的清单,并确定所有相应的信息资源的安全级别及相应的系统安全性需求。以清楚的认识和了解你的系统资产状况。
(二)确定风险大小。确定网络系统的风险大小,需要确定以下五个因素:1.系统漏洞;2.可能的攻击者及攻击目的;3.可能使用的攻击工具及攻击地点;4.攻击可能导致的后果;5.网络系统本身的用户风险。
三、制定安全策略
(一)整体安全策略。任何的网络系统都应该建立自己的一套安全策略,这套策略的目标在于保护重要数据的目的,并根据你的资产的重要程度以及面临的安全威胁提出相应的应对措施。
(二)信息安全策略。信息安全牵涉到三个方面的内容,包括信息存储,信息传输,信息销毁。针对我们前面提出的信息分类级别,应该在这三个方面采取不同的安全策略。
(三)个人安全策略。个人信息在处理或传输过程中应该根据国家有关法律得到保护。具体应该包括:
1.口令策略。采用一个好的口令策略是防制未授权访问的一个最重要的屏障,好的口令应满足如下的条件:
口令应该混合数字,大写字母,以及小写字母,以及标点。
口令应该容易记忆
口令应该能够快速敲入
2.软件策略。前面己经提到根据不同的信息级别,系统安全性也就有不同的要求,同样分为4个级别,软件策略在这四个级别的系统安全性上也就有相应的不同要求。
3.网络安全策略。私有信息在公网中传输时必须加密。因此,可以指定网络连接策略,也可以进行拨号策略。此外,还需要制定电子邮件策略,从而在极大的程度上维护系统安全。
4.互联网策略。在今天的信息社会中连接到互联网已经是不可避免的事了,假如用户被允许访问互联网,他们必须清楚的知道以上提到的可能带来的危险,以及公司对于使用互联网的安全策略,也就是说必须为使用互联网制定一套专门的安全策略。
参考文献:
[1]彭文波.网络欺骗方法及攻防实例[J].计算机安全,2006,1:54-56
高职院校校园网络安全防御措施 篇4
随着网络技术的飞速发展和社会信息化进程的加快,以网络技术为核心的现代教育技术在高等教育领域应用非常普遍。高职院校作为高等教育重要组成部分,也充分利用了网络技术。但高职校园网络建设起步普遍较晚,受技术、资金和社会因素的影响,校园网络存在很多安全缺陷,经常受到黑客、恶意软件或病毒的攻击,来自校园内部和外部的恶意入侵和非法访问事件时有发生,并呈现出上升的趋势,因此必须要有行之有效的网络安全防御措施,来保证高职校园网络安全高效的运行。
1 高职校园网安全所面临的问题
当前,绝大部分高职院校办学经费紧张,在网络软硬件投入严重不足。并且大多数高职校园网络通过CERNET与IN-TERNET相连,面临着遭遇来自外部互联网攻击的风险。同时,高职校园网连接学院各个部门和校内学生机等,一些企业办学的院校还连接企业内部网络,加上管理上的疏漏,因此也面临着来自校园内部的安全威胁。总之,高职校园网络安全问题主要有:
1.1 高职校园网软硬件投入不足
长期以来,高职院校计算机网络建设普遍存在对网络安全所需的软硬件设施的投入严重不足,重技术、轻安全、轻管理。现在网络病毒、黑客工具的泛滥,也促使计算机网络设备更新速度非常快,不断地对网络安全防范措施提出新的要求,一些旧的网络安全设备已不能防范现在黑客和恶意软件的攻击。大多数高职院校因为办学经费紧张不能持续投入大量资金改善网络安全所需的软、硬件设施,致使加强高职校园网络安全的防范无法到位。
1.2 内部攻击
随着网络技术的发展和个人计算机的普及,绝大多数高职院校学生公寓都与互联网相连,但上网学生安全防范意识良莠不齐,有些学生对于一些安全防范观念、技术一无所知。另一方面高职院校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索新知识冲劲,却缺乏全面思考的责任感,加之高职院校对学生上网行为没有有效的规范和约束。相关数字显示,目前高职院校校园网遭受的恶意攻击,90%来自高职校园网络内部。
1.3 外部互联网的攻击
1.3.1 病毒攻击
高职校园网络一般都通过CERNET与Internet相连或直接,在Internet上有许多共享软件、免费软件和其他应用软件,然而他们也有可能带有一些病毒。计算机病毒一直是计算机安全的主要威胁。病毒的种类和传染方式也在增加,现在其种类已达上万。
1.3.2 黑客攻击
随着互联网黑客技术的飞速发展,黑客的攻击无时无刻不在进行,他们利用网络系统和管理上的漏洞,进行信息的窃取,篡改,或者对网络本身进行攻击,网络世界的安全性不断受到挑战。高职校园网络普遍起步晚,管理也比较松散,校园网络安全具有致命的脆弱性和易受攻击性。
1.4 高职校园网管理上的漏洞
管理在一个网络中是非常重要的。如果责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理上的安全风险,例如让一些非本地人员或外来人员进入网络,而管理上没有相应的制度来约束。
高职校园网的用户群体多,网络承担的数据量大,接入校园网节点在不断地增多,很容易造成网络风暴和病毒传播。绝大多数高职学院对上网场所管理比较混乱,缺乏网络行为约束、网络管理软件、日志记录,更缺乏有效监控和管理,上网用户的身份根本无法识别,存在极大的安全隐患。
2 高职校园网安全管理措施
由上面的分析可以看出,构建安全的高职校园网络需要解决以下三个关键问题:(1)如何加强内部人员特别是学生上网的道德教育,提升学生的计算机水平,对学生的上网行为有效的监控。(2)如何保证所有接入网络的终端设备(用户PC、服务器等)是安全可信的,只有保证每一台网络终端设备的安全才能确保网络整体的安全,做到无懈可击。(3)如何能够将网内所有的网络设备(路由器、交换机、防火墙等)有效加以整合,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,提升网络的可控制、可管理性,提高网络安全的水平。
2.1 增强网内用户网络安全意识
人在网络安全中起着决定性因素,重视校园网络安全首先要培养人的网络安全意识,从每一个学生、每一个员工做起。面对充满变数的互联网网络环境和日益严峻的网络安全形势,高职校园网络用户应采取以下措施进行防范:(1)安装个人防火墙软件,拦截一些常见的破坏行为;(2)安装网络版杀毒软件,及时防范病毒入侵;(3)勤打操作系统和应用程序补丁,不给破坏者提供机会。
2.2 设计健壮扩展性好网络体系
网络应用是建立在网络硬件建设的基础上,高职校园网络要具有强大的安全的防御能力,必须要有一个健壮扩展性好的网络硬件环境,因此高职校园网需要合理的规划和运营。
(1)首先设计健壮扩展性好的校园网是建立在网络硬件建设的基础上,各高职院校根据自己院校的实际情况,在综合布线时要注意设备的可扩充性,以便于以后系统需要发展时,可以有充分的余地将设备扩展进去。(2)根据各高职院校的情况,进行合理的运营收费,依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。
2.3 优化网络维护策略
维护高职校园网络的安全,必须采用多方面技术来保障。其一在路由和核心交换机之间部署1套防火墙实现防火墙、VPN等功能。配置流量整形网关,实现应用层的流控管理和用户上网行为控制,可根据各种策略、以及不同时间段实现针对BT、P2P应用、电游、QQ、MSN、数据库、视频等关键应用业务进行控制、分类统计和分析。记录并可分析查询用户的上网行为日志,包括记录访问的URL、BBS帖子的内容等。其二,为了实现网络的安全可运营管理,划分合理的VLAN,部署一套认证系统,既能完成对用户的认证,同时还可与第三方软件联动。
2.3.1 防火墙
防火墙可以抵御外来非法用户的入侵,是内部网络和外部网络之间的一道安全屏障,外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无需过滤,防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络,可以很方便地监视网络的安全性并报警。
2.3.2 流量控制
一般的流控设备都可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键应用带宽,限制非业务应用带宽,能改善和保障了高职校园网络应用的服务质量。
2.3.3 日志审计
当前解决网络安全问题的主要手段是在网络中增加防火墙、防病毒软件等网络安全设备。而日志数据则详实地记录了系统和网络的运行事件,是安全审计的重要数据,所以拥有日志服务器也是保证高职校园网络安全的有效措施。
2.3.4 VLAN安全设计
虚拟局域网(VLAN)可以有效的控制网络广播,提高网络的安全性,如限制网络计算机之间相互访问的权限,可以实现有效的网络监控,实现不同地域部门内的局域网通信。根据实际需要划分出多个安全等级不同的区域,合理地进行安全域的划分,对网络进行初步的安全防护。
2.3.5 用户身份管理
在高职校园网建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外,也是有效的网络安全防御措施。
2.3.6 网络设备与第三方软件联动
(1)第三方杀毒软件联动。如果网络设备能够通过和第三方杀毒软件的联动,强制入网用户必须正常安装、运行指定的杀毒软件。对于杀毒软件检测未通过的用户,将视情况进行警告、隔离处理。(2)与微软WSUS联动进行Windows补丁更新。WSUS是微软提供的免费Windows补丁自动更新系统,网络设备能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。
2.3.7 数据安全
按时备份数据是一种简单但又十分重要的保证数据完整性的方法,网络管理人员可以根据实际情况选择完全备份、增量备份和差分备份。在实际应用中,备份策略通常是以上三种的结合。网络数据备份系统的建成,对保障系统的安全运行,保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。
2.4 做好IPV4向IPV6过渡的准备工作
随着Internet的规模以近乎于指数的趋势增长,40亿个IPv4的地址已经用掉了3/4,IPv4的地址空间面临即将耗尽的危险,整个互联网从IPv4向IPv6过渡势在必行,因此高职院校也要提前做好IPv4向IPv6过渡的准备工作。
实现由IPv4向IPv6过渡的一种办法是先将整个网络的一小部分升级为IPv6网,IPv6网将被大量IPv4网所包围。此时可采取IP网中的节点不支持IPv4、但在网络边界处的节点必须支持IPv4的策略,这样IPv6的内部节点能相互直接通信并通过适用双IP的路由器经由隧道与其他IP网通信。
另一种办法是将各个独立的节点升级使之支持IPv6与IPv4两种IP版本,那么这些节点就可以通过(下转第92页)(上接第78页)各自的节点链路直接通信或通过隧道与远程IPv6/IPv4节点通信,这种方案允许某些单位为了访问远程的IPv6节点与网络而将其网络中的一些节点进行升级,但其缺点是需手工配置。
这种过渡与顺序无关,即可先对主机升级,也可先对路由器升级,甚至也可以将部分主机与部分路由器同时升级。各高职院校可根据自己的实际情况进行重点逐步的升级。
3 总结
高职校园网络的安全问题,不仅是设备和技术的问题,更是管理的问题。网络管理人员应注重对教师和学生网络安全的培训,提高他们的上网安全意识,加强他们网络安全技术。而且制定一套完整的规章制度来规范上网教师和学生的行为,也是保障高职校园网络安全的重要防御措施。
摘要:随着网络技术的飞速发展,高职校园网络信息化规模不断扩大,由于计算机网络所具有开放性、分布性、互联性和自由性的特点,高职校园网络不可避免地遭遇着来自内部和外部的安全威胁。本文从安全意识、资金投入、技术、管理等方面分析了高职校园网络存在的安全隐患,并提出了相应的防御措施。
关键词:高职院校,网络安全,防范措施
参考文献
[1]刘少明.高职院校校园网安全体系的构建与思考[J].福建电脑,2006(2):38-42.
[2]胡献泽,陈辉.浅议高职校园网络安全策略[J].淮南职业技术学院学报,2007(3).
[3]吕玉珠.计算机与信息技术[J].广西轻工业,2009(5).
校园网络安全防御策略 篇5
关键词:计算机软件;安全问题;防御对策
1、计算机软件概述
1.1 计算机软件的含义
计算机在日常工作中,要想得到正常的系统运行,需要内在程序及文档共同发挥作用而进行,而这些文档和程序的总称就是软件。它们实际上拥有不一样的含义,程序指的是相关数码编制,具有系统性和特定性等特点。而文档指的是能够帮助使用者更好的熟悉和掌握计算机程序的软件,它能够对相应的数据资料进行详细的说明。这两种软件在计算机中存在不同的功能,程序是计算机运行使用的基础,是计算机的必备软件,而计算机在正常运行状态下,是可以脱离文档的。
1.2 计算机软件的分类
而计算机软件的分类,从整体上来看有两种,即系统软件和应用软件。首先,系统软件。计算机要想维持正常的运行,是绝对离不开不同的操作系统,这就是系统软件,其功能是管理及调节不同的硬件,促使其在计算机系统中相互协作,正常运行。这种软件是由基础操作工具和操作系统组合而成,如软件连接、驱动管理等。可以说,计算机的这一组成是促使使用者、计算机及其内部操作系统紧密相连的基础,促使三者在运行过程中构建为统一整体,在这一整体运行中是可以忽略掉其内部硬件的运行。现阶段市场上主要的系统软件宝库 UNIX、Windows 等[1]。其次,应用软件。这类型软件在使用过程中以达到某种用途为目的,通常状况下它以特定的形式展现自身的功能,如图像浏览器等,这种功能表现相对单一;同时还有系统功能的展现,如 Office 办公软件等,同时还包括人们熟知的数据库管理系统,这一软件系统的组成包含几个独立程序。现阶段人类开发出来了多种应用软件,最常使用的有工具软件、游戏和管理软件等。
2、解决计算机软件安全问题的意义
凭借着卓越的技术优势,计算机已经逐渐占领了人们生活的主要空间,并与人们生活紧密地联系在了一起。计算机所展现出来的卓越的性能,使得人们的各项工作开始变得更加快捷,使得人们各种形式的需求都能够得到一定程度上的满足。伴随着计算机在人们生活中地位的逐渐上升,随之而来的就是安全隐患,如果不能够将这一隐患进行及时解决,不仅能够使计算机瘫痪,还将会对人们工作及生活造成严重影响,同时这一问题也逐渐开始成为挑战电子行业的尖端问题。具体来讲,在电子商务中进行具体运转过程中,存在着严重的信息泄露安全问题,一旦出现疏忽,将会直接对用户造成经济损失,这些都是极为实际的问题。
3、计算机软件存在的安全问题
计算机技术跨越式的发展使其广泛地应用于社会的各个行业,然而它的背后也隐藏着各种各样的安全问题。当前计算机软件所面临的安全问题主要有非法复制、软件跟踪、软件质量问题等软件安全威胁。计算机软件一般是用某种程序设计语言来设计和完成的,它是一种逻辑实体,并非是有形可触的物理实体。软件安全包括对文档和介质的双重保护。计算机软件作为一种知识密集型产品,由于易复制性,导致软件产品的知识产权受到严重的威胁[2]。由于我国对于知识产权的认知度不够、保护不足、监管不到位使得不法分子通过盗版软件赚取利润,而软件业由此而蒙受相当大的损失。
计算机软件运行的安全是对软件进行必要的防护,以防止其受到人为的修改、破解、复制以及滥用,从而保证其功能的正常连续运行。一些人或者团体利用掌握的技术,特别是运用各种程序调试分析工具来对软件程序进行跟踪和逐条运行,它可以对任何格式的文件进行直接读写和修改,通过窃取软件源代码、取消软件的防复制和密保钥匙等功能,来实现对一软件的动态破译,并将破译后的软件进行非法买卖和公开传播。这样同样使得计算机软件的安全存在着相当大的问题。而在计算机软件开发过程中,软件开发商所研发出来的软件不可避免的存在一些类似于安全漏洞的缺陷,这样同样造成了计算机软件的安全问题。
4、计算机软件存在问题的主要防御策略
计算机软件安全问题的防御策略主要有行政法律、法规上的策略、组织管理上的策略和技术层面的策略等。计算机软件安全在行政法律、法规上的策略主要是利用法律的武器对自己的权利进行维护。我们可以根据国家计算机安全的相关法律、法规,完善计算机信息系统安全保护条例、计算机软件保护条例等,做好计算机知识的普及和教育培养公众对软件版权、知识产权的法制观念。在组织管理上的策略则要求我们设立严密的组织机构和管理流程,软件从开发出来到最终的使用环节都能得到严格的监控和管理。要成立打击软件非法复制和动态跟踪的专题小组,从事相应的检查、监督工作。
在技术层面的策略则要加强加密技术、防复制、反跟踪的技术,采取强硬的措施来保护自己的权益。加密技术主要是为了限制软件被复制。防止盗版的软件来保护开发者的权益。然而,仅依靠保密方法来消除盗版或者其它的安全隐患是不可能的,我们必须对已有的软件,还可以使用一些类似于密码的安全保护措施。为了防止软件的非法复制,国家应该要加强对软件产品的保护力度。这样才能够减小盗版软件带有病毒和一些捆绑的后台程序,给软件用户的数据安全带来极大的威胁。而反跟踪技术则是种防止利用调试工具活跟踪软件来窃取软件源码、取消软件防复制和加密功能的技术。根据目前软件系统的结构特点,任何软件的运行都是依附于CPU的,如果CPU的运行被监控,就等于把程序直接裸露在解密者的面前,那么软件在运行的时候就极易被复制,进而威胁整个软件的安全性能。
结语:
当前,计算机软件的安全问题是人们使用计算机过程中的一项主要问题,我们有必要对其进行分析研究,并采取各种技术、管理措施来控制这些安全问题,使计算机得到安全防护,从而确保计算机的安全使用。
参考文献:
[1]吴塍勤.对计算机软件安全问题的分析及其防御策略[J].电脑编程技巧与维护,2013,02:87-88+109.
校园网络安全防御策略 篇6
随着计算机网络的普及与发展, 高校校园网已然成为学生学习、生活和教师工作的重要平台。但随之而来的针对校园网的各式各样的攻击也层出不穷, 其中, 基于病毒的ARP攻击最为普遍, 令网络管理人员最为头疼。目前, 各高校针对ARP病毒的防范手段比较单一, 防范效果有限。针对高校校园网的特点, 应结合多种措施和手段对ARP攻击进行防范。本文分析了ARP攻击的原理, 从接入交换机、汇聚交换机和防火墙等多个层面提出了相应的ARP防范手段。
1 ARP攻击原理
ARP (Address Resolution Protocol) 地址转换协议工作在OSI参考模型的数据链路层, 为上层网络提供服务的同时, 与物理层之间通过硬件接口进行联系。ARP攻击可以简单分为两类:ARP欺骗攻击和ARP泛洪攻击。这两类攻击程序都是通过构造非法的ARP报文, 修改报文中的源IP地址或源MAC地址, 不同之处在于前者用自己的MAC地址进行欺骗, 后者则发送大量的虚假ARP报文, 造成网络拥塞。
ARP攻击的典型症状主要有以下三种:
(1) 大量虚假信息存在于网关设备ARP表项, 上网出现间歇性中断;网页打开速度过慢。
(2) 上网时会频繁弹出窗口广告。下载的软件不适原本想要下载的, 而是其它非法程序。
(3) 终端不断弹出“本机的硬件地址与网络中的设备地址冲突”。ARP攻击原理相对简单和易于分析, 但是对于网络攻击来说, 原理越是简单, 越易于扩散, 对网络的危害也就越大。欺骗攻击会普遍存在于没有验证机制的网络中, 更容易被非法利用。
2 ARP攻击防御解决方案
ARP攻击的防御可以从接入交换机、汇聚交换机到网关设备, 部署不同的ARP防御措施, 开启防护功能, 高校可以根据不同的网络特点, 选择不同的部署和解决方案。
2.1 基于接入交换机
接入交换机在网络设备中最接近用户一端, 相对来说, 也比较最容易采取相关的网络防护措施。通过对接入交换机适当的配置, 在交换机的个个端口内隔离网络威胁, 从而避免对整个网络造成危害。
(1) 通过AM (访问管理) 功能实现。当在地址池 (AM Pool) 中能够找到收到数据报的源IP地址或者源IP和源MAC时, 则转发, 否则丢弃。
(2) 通过ARP Guard功能实现。提前预设置交换机过滤表项, 检测从端口输入的所有ARP报文, 如果遇到受保护的源IP地址, 则直接丢弃报文。它的配置相对简单, 适用于ARP仿冒网关攻击防护快速部署, 但是需要占用芯片表项资源, 且交换机每端口配置数量有限。
(3) 通过DHCP Snooping功能实现。当用户动态申请IP地址, 接入交换机会全程监控, 记录下用户的端口信息、IP地址和MAC地址, 在交换机上做多元素绑定, 阻断非法报文的传播。此方式适用于IP地址动态分配的环境, 被动侦听, 自动绑定, 对信息点数没限制, 但在静态分配地址的环境中, 配置量较大, 需手工添加绑定关系。
(4) 通过端口限速功能实现。网段内如果出现具有或疑似ARP扫描特征的端口或主机时, 攻击源头将会被直接切断, 保障网络的顺畅。侦测ARP扫描的方法分为基于端口的和基于IP的两种。前者通过计算一段时间内, 某一端口接收到的ARP报文数量, 后者则通过计算一段时间内某一IP从网段内收到的ARP报文数量, 通过查看报文的数量是否超过预设阈值, 来判断是否为ARP攻击。此方式无须在端口模式下进行配置, 但是只适用于对ARP扫描或者Flood攻击防御。
2.2 基于汇聚交换机
在很多高校, 校园网规模庞大, 部署接入的交换机品牌各异, 导致很多交换机不可网管、不支持ACL, 针对这种环境, 可以采取配置汇聚交换机来实现对ARP攻击的防护。
基于汇聚交换机的解决方案需要用到端口隔离功能和本地ARP代理功能。端口隔离作用于各个端口之间, 隔离端口之间的流量, 通过此功能可以实现Vlan内部的端口隔离, 节省Vlan资源, 保障网络的安全性。本地ARP代理 (Local ARP proxy) 是指在一个Vlan内, 通过一台汇聚交换机, 作为指定的设备对另一台设备作出ARP请求的应答, 实现限制ARP报文在同一Vlan内的转发, 引导数据流量通过交换机进行三层转发。
具体实现原理如图1所示。
此方式的前提条件是接入交换机必须具有并启用端口隔离功能, 汇聚交换机必须具有并启用ARP Local Proxy功能和端口ARP限速功能。动态IP配置环境下, 汇聚交换机可通过DHCP Snooping检测ARP;静态IP配置环境下, 可以使用专有工具, 对汇聚交换机ARP表项进行初始化。图1中, 主机A没有主机B的MAC地址, 所以主机A发送ARP请求并广播出去。交换机向主机A发送ARP回复报文。主机A在收到ARP回复后, 创建ARP表项, 发送IP报文, 交换机的MAC就是封装的以太网帧头的目的MAC。当交换机收到该IP报文后, 交换机查询路由表, 下发硬件表项。当交换机有主机B的ARP表项的情况下, 直接封装以太网头部并发送报文;否则请求主机B的ARP, 然后发送IP报文。
此方式在动态IP配置环境下, 对接入交换机要求不高, 只需有端口隔离功能, 且便于管理和实现。在静态IP配置环境下则需要手工添加ARP表项, 不够灵活。
2.3 基于防火墙
防火墙可以自动侦测是否安装了ARP Tool客户端, 上网请求会被重定向到防火墙强制安装。在安装客户端后, 可以实现自动阻止客户端非法ARP发包请求, 可以从网关获取ARP可信信息, 与防火墙联动, 实现对内网的ARP及DDos的攻击防护。此方式适用于信息点不多的分校区, 防火墙作为网关, 配置简单, 易于部署。
3结束语
目前, 国内各个网络厂商相继推出新型的交换机及安全设备, 功能不断完善, 针对校园网络的各类攻击, 防护设备和策略趋于一体化。总之, 针对ARP攻击的防护, 多种措施相结合的手段是最为行之有效的。
参考文献
[1]谢希仁.计算机网络[M].5版.北京:电子工业出版社, 2008.
[2]张洁, 武装, 陆倜.一种改进的ARP协议欺骗检测方法[J].计算机科学, 2008 (03) .
[3]徐华中, 闫树.基于ARP的攻击分析及对策研究[J].中国水运 (理论版) , 2007 (03) .
[4]王燕, 张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息, 2007 (36) .
校园网络安全防御策略 篇7
关键词:校园网,网络安全,防御系统
一、网络安全防御系统使用的鉴别认证机制
在整个网络防御系统中, 使用了两种鉴别认证机制。
1. 从网络部分而言, 通过SSL加密通道以及证书
机关, 对使用本系统提供的Web服务的用户进行服务器与外部用户间的双向鉴别, 其实质是利用了公钥体制的技术, 结合证书机关对服务器和用户发放的证书, 实施鉴别。
2. 系统鉴别部分则是利用了安全操作系统提供
的鉴别机制, 采用了I C卡的方式对所有内部用户进行身份鉴别, 所有内部用户的I C卡均通过统一的发卡中心发放, 只有持卡用户才能够进入服务器, 而网络用户是无法通过普通的远程登录进入服务器的, 从而保证了服务器的登录安全。
二、网络安全防御系统采用安全操作系统的要求
在整个防御系统的所有服务器中要使用安全操作系统, 该系统应具有以下多种安全特性。
1. 登录控制
我们将登录控制分为基于I C卡的本地系统登录控制和基于安全存储介质的远程登录系统控制。目的都是使不合法用户不能登录进某一系统, 从而避免不合法用户对系统造成安全事故。
(1) 基于IC卡的本地系统登录控制
整个系统有一个发卡中心。发卡中心为用户生成用户卡, 持有用户卡的用户可以在一定范围 (由发卡中心限制) 的计算机上登录。持有root身份用户卡的系统管理员可以在每台计算机上动态的控制每一个用户在该机上的登录访问。
(2) 基于安全存储介质的远程登录系统控制
登录控制是系统安全中最基本的一个环节, 它是一个系统的门户, 一个好的登录控制系统可以有效的阻击大部分的入侵者的攻击。Chinissh-0.1是一个基于安全shell (SSH1.0.SSH2.0) 协议的远程登录软件, 它可以实现在不安全的信道上进行安全的通信。主要是通过在网络上将信息以密文形式传送达到安全目的。
2. 进程权限控制
程序权限控制是系统中防止非法使用的第一道防线, Chini-os特权控制用户界面向系统安全员SSO提供操作, 维护系统中文件和用户特权的接口。SSO首先要通过身份验证才能使用此界面。
Chini-os特权控制用户界面有如下4个功能:
(1) 用户程序对系统调用的访问。
(2) 为系统中每一个可执行的程序分配其系统调用访问权限。
(3) 为每一个用户分配其使用的系统调用访问权限。
(4) 兼容现有应用程序。
3. 系统完整性保护
Chini_FID是系统管理员和用户监视被指定保护文件或目录是否发生改变的完整性检测工具, 利用这个工具可以检测系统被保护文件是否遭到恶意的破坏, 包括文件的删除、添加和修改, 比如攻击者是否在某个应用程序中驻留了“特洛伊木马”, 是否修改了某个文件的属性等。管理员可以随时对系统进行检测也可以向系统提交定时任务定时对系统进行检测, Chini_FID可以将检测结果以邮件方式通知管理员哪些文件发生了改变, 以便及时采取控制措施避免损失。
4. 加密模块
加密模块分为用户空间通用加密接口和核心空间加密模块。分别用于用户态和核心态模式。
(1) 用户空间通用加密接口
Chini Sec Interface可用于各种计算机安全应用, 它介于各种应用系统和各种算法模块之间, 对上层应用简化了各种安全接口、对下层算法模块做出了相应的规范。利用Chini Sec Interface, 开发应用的软件商可以专注于应用系统的开发, 无须过多地考虑算法, 可在不修改应用的情况下方便地变换算法;生产算法的厂商可专注于算法的软硬件实现, 无须考虑各种应用的实现。
(2) 核心空间加密模块
核心模块加解密时调用算法管理模块函数, 算法管理模块再调用各种算法函数, 通过这些算法函数完成加解密功能。
5. 网络安全
IP安全由IPSEC实现, 己知的IPSEC具体实现有Xkenel和Frees/wan等, 目前采用Frees/wan的1.5版。IPSEC功能如下:
(1) 实现IP层的安全, 保护IP数据包的安全。
(2) 保障主机和主机之间、网络安全网关 (如路由器、防火墙) 之间、主机和安全网关之间的数据包安全。
(3) 实现对IP数据包的加密保护、鉴别验证、完整性保护、抗重播等。
6. 加密文件系统
对于安全敏感数据, 必须采取安全的存储方法保证数据的安全。我们的加密文件系统能够对该文件系统中的文件提供加密保护, 不知道口令的人不可能装载该文件系统, 主机或硬盘丢失后, 其他人不能读取其中的数据。
7. 安全审计
在Linux日志系统的基础上, 采用密码体系中的认证技术, 在系统产生日志文件的同时产生相应的保护文件Mac文件, 日志系统每产生一条日志记录, 在相应的Mac文件中就有此记录的Mac项, 来对日志文件提供完整性保护。安全审计的功能表现在:
(1) 产生日志文件。
(2) 使用完整性验证程序可以验证系统日志文件和备份日志的完整性。
(3) 可以处理和分析系统日志。
三、周期性的安全扫描
由于网络环境中的设备多种多样, 仅依靠安全操作系统并不能保证所有设备的安全性, 所以需要定期对网上的各种设备实施安全扫描, 来发现设备的软件实现中存在的可被攻击者利用的漏洞, 以便及时弥补。安全扫描的基本工作原理就是模拟攻击, 一旦攻击成功, 就意味存在漏洞。
安全扫描的另一部分就是病毒防治功能。通过定期或是非定期的病毒扫描, 防止病毒的进入和漫延。通过实时网上病毒扫描和防病毒软件的定期升级功能, 防止引入新的病毒。
通过以上的网络, 数据, 以及系统三方面的种种安全技术手段, 结合相关的安全产品, 我们为校园网提供了一个完整的网络安全防御系统的解决方案, 以达到保护自己的网络信息系统安全性的目的。
参考文献
[1]朱银芳.校园网环境下的安全与防御系统研究[J].科技信息, 2008, 36
校园网安全隐患的分析和防御 篇8
一、安全隐患
1. 校园网络存在安全风险
第一,校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
第二,校园网内部也存在很大的安全隐患。由于内部用户对网络的结构和应用模式都比较了解,因而来自内部的安全威胁更大一些。
2. 操作系统存在安全漏洞
第一,目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统有Windows NT/2000、UNIX、Linux等,这些系统安全风险级别不同,例如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统;自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。
第二,随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,其大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
第三,内部用户对Internet的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;内外网恶意用户可能利用一些工具对网络及服务器发起攻击,导致网络及服务不可用。
3. 缺乏相应的安全防护体系
第一,网络自身存在缺陷。网络的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议,缺乏相应的安全机制,而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题。因此,它在安全可靠、服务质量、宽带和方便性等方面存在着不适应性。许多的网络协议和应用没有提供必要的安全服务,比如电子邮件使用的协议SMTP没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录的telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。
第二,校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
二、安全防御
1. 设置防火墙
防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。在防火墙设置上可按以下原则配置来提高网络安全性:
第一,根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
第二,将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
第三,在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
第四,定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
第五,允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
2. 架设入侵监测系统(IDS)
在许多情况下,由于可以记录和禁止网络活动,所以入侵监测系统是防火墙的延续。它们可以同防火墙和路由器配合工作。
IDS扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警。IDS是被动的,它监测网络上所有的数据包。其目的就是扑捉危险或有恶意动作的信息包。IDS能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
3. 漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平提供重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口。例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
4. 部署网络版杀毒软件
最理想的状况是在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时,为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。在学校网络中心配置一台高效的Windows2000服务器安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机。在各主机节点分别安装网络版杀毒软件的客户端。安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网时也能够定时进行对本机的查杀毒。网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。采取这种升级方式,一方面,确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
5. 制度化管理
第一,制定并严格执行各种管理制度。安全管理制度的制定必须能随着计算机应用、网络性能及安全需求的变化而变化,要容易适应、容易修改和升级。
第二,建立以学校网络中心为主的计算机网络安全应急体系,各部门设立专门的计算机网络安全员。各安全员应及时向网络中心汇报所发现的情况,以便及时处理。
第三,实行管理员分级管理制度,由总管理员分配各部门的网络管理员的管理权限
第四,建立用户入网申请、登记制度,对上网的用户建立档案,记录访问日志,以便加强管理。
第五,加强用户网络安全培训,对用户进行安全教育,提高用户安全使用网络的自觉性,这是提高校园网的安全管理的一个非常重要的环节。
三、结论
校园网络安全防御策略 篇9
随着互联网技术和信息化技术的发展,中职学校的校园网络建设正在朝着数字化的方向迈进。目前,数字化校园网络已经成为中职学校在教育、教学、办公、科研等方面所依赖的重要基础设施,在日常教学活动和校园管理建设等方面也正在发挥着越来越大的作用。而随着数字化校园网络的建设与发展,其安全问题也逐渐的凸显出来。因此,如何确保数字化校园网络的安全,保证其正常运行并发挥出应有的作用,是当前我国中职学校校园网络建设中的重要问题。
1 数字化校园网络安全的概述
1.1 网络安全的概念
所谓网络安全,实际上就是网络中信息的安全,它指的是在网络系统当中的软硬件及系统当中的数据资料的安全。对其进行妥善的保护,以使其避免受到意外因素的干扰或恶意攻击,导致数据资料的破坏、丢失或泄漏。保障网络系统安全、稳定的运行,网络服务不会中断。总的来说,网络安全所需要注意的是网络系统中信息数据资料的完整性、真实性、保密性、可控性和可用性等方面。
1.2 数字化校园网络安全的意义
学校中数字化校园网络的安全,对学校的整体形象和整体利益都具有直接的关系。当前,我国很多学校的相关信息和数据资料都储存在校园网络系统当中。因此,如果校园网络的安全性出现问题,将会导致信息数据资料的丢失。这将会给学校带来巨大的损失,导致校园网络无法正常运行,甚至瘫痪。严重时,还可能会影响到学校的正常运转。所以,在进行数字化校园网络建设的时候,应当给予网络安全建设更多的重视,以确保校园网络能够正常的运行,并充分的发挥出其重要作用。
2 中职学校数字化校园网络的安全现状
2.1 系统自身的安全
当前,大多数中职学校的数字化校园网络所应用的操作系统主要有Windows、Unix和Linux这三种操作系统。然而,任何的操作系统都不是完美的,包括上述这三个应用比较广泛的操作系统,它们都存在着一定的安全漏洞,需要及时安装官方发布的漏洞补丁以提高安全性。但是,有一些中职学校为了节省数字化校园网络安全建设的成本,会选择采用盗版的操作系统和一些盗版软件。微软等操作系统运营商对于盗版软件的补丁都是有所限制的,因此其漏洞问题无法得到妥善解决,这就给很多新型的计算机网络木马和病毒提供了可乘之机。
2.2 网络病毒的破坏
计算机技术和互联网技术的发展所带来的并不全是正面的影响,也有网络木马和病毒等负面的产物。目前,计算机网络环境中存在着各种类型的木马病毒,并且不断的衍生出更加复杂的种类。这些病毒能够随着互联网信息的浏览、数据的传输、资料的下载、电子邮件的收发等多种渠道进行传播。占用大量的网络资源、盗取用户资料,对用户的计算机,甚至整个网络造成破坏。轻则导致网络不稳定、意外中断等情况,严重时可能造成整个网络系统的瘫痪、数据资料的丢失,甚至会造成计算机硬件系统的损坏。
2.3 硬件设备的安全
在校园网络当中,网络硬件设备是其正常运转的基础保障,在数字化校园网络安全建设的方面,也具有十分重要的意义。在实际运行过程中,很多原因都会给校园网络硬件设备的安全带来威胁。例如电源故障、电磁干扰、线路窃取、操作失误等人为因素,以及火灾、地震、雷击等意外因素。这些原因都可能会给校园网络硬件设备造成不同程度的损坏,进而影响校园网络的正常运行。
2.4 黑客的恶意攻击
黑客本意是指计算机技术和网络技术十分高超的专业人士,但是现在常被用来描述非法侵入和破坏用户系统的人。他们的攻击方式主要是利用对网络的探测和对计算机端口的扫描来寻找系统漏洞,针对漏洞进行恶意攻击和破坏,以达到盗取资料,破坏系统的目的。随着网络的发展,黑客的技术也在不断的提高。因此,很多中职学校的校园网络都会受到黑客的干扰,只要有利可图,这些黑客就寻找漏洞、发起攻击,导致校园网络的受损或瘫痪,影响学校的正常运作。
2.5 校园网络的安全管理
中职学校的数字化校园网络安全管理包括很多的方面,例如站点的运行和控制、资源的配置和管理、病毒的监测和查杀、日志记录、远程监控、交换机、路由器、服务器、工作站等方面。因此,学校中负责网络运行和安全管理的技术人员应当具备较高的水平和经验,以应对校园网络运行中可能出现的各类安全问题。但是,在实际管理过程中,很多中职学校中负责校园网络管理的人员都是非专业人员。这些人缺乏基本的网络运行管理和网络安全管理的知识,无法有效的维护校园网络的运行和保障校园网络的安全。
3 中职学校数字化校园网络安全的防御对策
3.1 防水墙技术
防水墙技术是相对于防火墙技术产生并发展起来的一项网络安全技术,它的作用恰好与防火墙相对应,是防止系统内部的信息向外扩散。防水墙能够利用访问控制、密码限制、审计、监测等技术手段,对一些重要的、保密的信息数据资料及其载体进行安全保护,防止黑客的非法入侵,阻止系统内资料的丢失或外泄。在中职学校的数字化校园网络建设中采用防水墙技术,可以有效的阻止校园网络中的敏感信息泄漏,实现了在事前、事中以及事后的全时段网络安全的保护。将其与外部安全产品和防病毒产品等共同应用,能够组成完整的网络安全系统。
3.2 病毒防范技术
目前,计算机网络木马和病毒在不断发展下,已经变得越来越复杂和高级,其自我隐藏能力和生存能力十分强大,很难被杀毒软件发现和清除,对计算机和网络的安全造成了严重的威胁。因此,病毒的防范和查杀工作是确保计算机网络安全的重要内容之一。在我国当前大多数的中职学校数字化校园网络的安全管理工作中,采取的病毒防范措施主要是设置安全防火墙、购买和安装正版的杀毒软件、实时更新病毒数据库、定期进行全盘安全扫面等手段。此外,对于一些非法网站或非正常网站的访问和下载链接要进行限制,将可以的下载资源自动进行屏蔽,也能够起到一定得病毒防范作用。
3.3 入侵防护技术
入侵防范技术是一种主动性的网络安全技术,它能够实时发现非法入侵的行为并主动做出阻止,极大的保护了网络的安全。当前中职学校的数字化校园网络安全管理中所采用的比较多的入侵防护技术主要有HIPS、NIPS以及AIP。一旦出现利用网络系统漏洞进行非法入侵和攻击的行为,入侵防护技术能够立即从数据流中将其找出并加以阻止,对于保护中职学校数字化校园网络的安全具有重要的意义。
3.4 信息数据加密技术
信息数据加密技术是防御黑客攻击的主要技术手段之一,在当前的中职学校数字化校园网络安全当中的应用十分广泛。数据加密技术主要分为传输加密和存储加密。其中传输加密的主要方式有端到端加密、节点加密和链路加密这三种。在数据通过网络传播时,它能够根据OSI的层次自动选择加密方式,对传输的整个过程进行加密,防止数据在传输过程中遭到攻击或破坏。而存储加密则是对储存在计算机硬盘当中的数据进行加密处理。这样,技术遭到黑客攻击,数据资料被其盗走,没有正确的解密信息,黑客也无法获取数据资料的真实信息。
4 总结
数字化校园网络的建设和发展对于中职学校的教学、管理等方面具有十分重要的意义。而校园网络的安全问题,是其发展过程中最为重要的问题之一。只有确保校园网络的安全,才能使中职学校数字化校园网络正常的运转,充分的发挥作用。因此,在日常的校园网络管理过程中,一定要注重网络安全方面的问题,积极采取措施,加强对网络安全的建设,以保证其正常的运行。
摘要:随着科技的不断发展,数字化技术和互联网技术得到了十分广泛的应用。我国各类学校也纷纷开始建设数字化校园网络。尤其是在中职学校当中,数字化校园网络更是发挥了十分重要的作用。网络安全是整个校园网络当中最为重要的部分。而随着数字化校园网络规模的不断扩大,各种网络攻击、病毒木马等网络侵袭给校园网络的安全带来了严重的威胁。本文结合中职学校数字化校园网络的意义及重要性,对其安全现状进行了分析,进而提出了一些相应的防御对策。
校园网络防御中的蜜罐技术研究 篇10
在今天科技飞速发展的信息化时代, 我国的各所高校基本都往数字化校园方向转型, 都拥有了自己的校园络, 给高校的教学带来级大方便, 给师生之间提供了一个良好的信息交流的平台, 可是由于使用校园网的人员增加存在的安全隐患也越来越多[1]。 在网络技术迅速发展的同时, 各种网络攻击入侵技术也在不断更新, 攻击的方式和工具多种多样, 由此可知研究如何防御校园网络不被攻击是非常重要的。
2 校园网络现状
2.1 校园网络安全防御局限性
当今的高校中基本都是采用安装防火墙作为技术防御的手段, , 由于防火墙的防御方式属于被动防御, 因此这种防御手段已经不能适应今天高速发展互联网时代, 特别是在黑客技术不断发展今天, 防火墙对于黑客来讲根本不起作用。
2.2 校园网络内部存在的安全问题
在校园网络中有很多网络攻击是校园内部人员所谓, 但这种情况经常不被校方所关注, 在校方的眼里认为学校的学生是无法掌握高超的网络攻击技术, 而这种来自于内部的安全危害, 主要来自于许多使用校园内部网络的人员误操作造成的, 当然, 这其中还包含部分毕业的学生, 他们想继续使用校园网络而进行入侵, 造成这种隐患的主要原因是校方没有重视到来自校园内部的攻击。
2.3 外来者对校园网络的攻击
许多高校对于校园网络安全问题存在着管理不到位、 防御不重视、安全意思差等现象, 在整个校园网络安全防护系统中仅仅只设置一道防火墙。经有关资料查证, 大部分高校都认为黑客基本不可能对校园网络进行攻击, 由此可知各高校的网络安全防护是多磨的脆弱。
2.4 高校对校园网络安全防范意识缺乏
许多高校校园网络经常遭受攻击, 但校方对此经常是不管不问, 他们认为校园网络中并没有什么值得窃取, 根本不加以重视, 使得校园网络内部人员及外来者经常对校园网络进行攻击, 以至于很多高校的机房变成了一个病毒库, 并且互相传播。
3 蜜罐技术
3.1 蜜罐技术概念
蜜罐就是一个情报收集系统, 故意让入侵者进行攻击的“ 陷阱”, 通过攻击者入侵后可以了解入侵者的攻击手法, 以此掌握针对校园网络服务器发动的最新攻击和漏洞, 从而形成主动防御, 就像在战场上, 你提前知道了敌人要射箭, 然后马上躲进堡垒中去。早起设计蜜罐技术的目的是隐藏服务器的真实地址和引诱攻击者进行入侵。
3.2 蜜罐的类型
蜜罐可以根据网络的实际需求可以进行不同的设置, 蜜罐针对性很强, 并不是随便进行设置就没问题了。所以蜜罐分为真实系统蜜罐和虚拟系统蜜罐, 真实系统蜜罐运行的系统是真实的, 有被入侵的漏洞, 但是真实系统蜜罐所得到的数据和信息也最真实。 虚拟系统蜜罐是在真实系统的基础上建立的, 但由于存在多种操作系统, 而且它们的核心也不同, 因此它们的缺陷漏洞也不一样, 而虚拟系统蜜罐正是依靠强大的模仿能力, 构建个不属于自己平台漏洞, 当攻击者入侵这样的漏洞时就只能在一个程序里进行攻击。这种蜜罐可以有效的防御被黑客入侵, 但是聪明的黑客经常会很快就能分辨出来。
4 蜜罐技术的运用
4.1 迷惑入侵者
在普通的服务器中, 访问者都是直接与服务器进行连接, 整个网站的服务器都是暴露在入侵者面前的, 假如该服务器防护系统非常弱的话, 那么这个服务器上的数据都会被入侵者随便的毁灭。 如果把蜜罐安装到这个服务器里, 让蜜罐来充当服务器, 隐藏起来真正的服务器, 这时入侵者即使入侵, 它入侵的只不过是蜜罐, 因为蜜罐在网络安全中的作用就是用来被入侵的, 由此可知使用蜜罐在提高服务器的安全的同时, 还能抓捕到入侵者的任何举动, 使得网络从被动防御转变成了主动防御[2]。
4.2 加固服务器抵御入侵
在今天的网络安全中讨论最多的话题是入侵和防御, 在使用蜜罐迷惑黑客, 收集入侵者数据和信息的同时, 我们可以根据入侵者经常使用的入侵方式, 来进行有针对性的防御, 也就是说就我们掌握了敌方善用作战方式, 我们来采取主动防御和还击。
5 蜜罐技术在校园网络安全中的应用
前面我们提到了在现代的校园网络防御入侵中一般只在校园网络中是安装一个防火墙, 但防火墙存在弊端, 它只能对已经掌握的攻击做出防御, 如果黑客要变换新的入侵手段, 由于防火墙先前没有掌握这种攻击手段, 因此就无法做出相应的防御, 这样薄弱的防护系统很容易被非专业技术人员入侵者, 本校内学生都可以随便入侵校园网络, 但是如果把蜜罐技术应用到校园网络中, 利用它强大的数据分析和记录功能, 在记录入侵者的入侵数据和行为的同时, 把已捕获的数据立即追加到规则库中, 从而达到让防火墙掌握和防御这种新入侵技术。 蜜罐技术可以对入侵者的攻击行为等进行分析和处理, 与使用单一的防火墙不同, 它可以采取主动防御的措施, 因为蜜罐系统的配置与服务器相比更容易吸引入侵者, 当系统在运行的时候, 一旦遇到外部攻击, 而优先被遭到异常数据攻击的蜜罐, 而此时蜜罐利用自身强大的捕捉和分析能力能够快速提取相关技术进行设计, 使在以后的攻击中主动防御该攻击手段。蜜罐技术主要是对入侵者的活动日志和信息的收集, 利用管理中心对入侵者进行分析和研究, 最终掌握入侵者的特征, 并采取相应的防护措施, 当入侵者在不知道自己已经入侵蜜罐系统的同时, 对其行为进行完整的记录并通过捕获的信息来确定入侵者的目的和入侵技术等。 蜜罐系统所拥有的强大分析能力可以在每次入侵时通过捕捉攻击者信息, 通过分析后存储至系统从而做出主动防御措施, 与单独安装防火墙这样过于被动的防护手段相比, 蜜罐技术在网络安全防护方面有较为主动的防御手段和分析能力, 大大提高了校园网络的安全。
6 结论
在今天这个网络化飞速发展的时代, 我国高校基本都进入了数字化校园时代, 特别是采用网络教学的今天, 校园网络安全问题已成为一个热门话题, 很多高校不重视校园网络的安全问题, 因此, 校园网络经常被校内学生和网络黑客入侵, 使得校园网信息遭到破坏, 特别是在个别学校机房里成了病毒泛滥的仓库, 高校机房是用来学习的场所, 不是养病毒的地方, 因此我们必须加强校园网络安全防范意识, 在校园网络上进行信息交流和资源共享的同时, 应当加强校园网络的安全防护。校方可以将蜜罐技术应用到校园网络中, 利用它强大的信息记录和数据分析能力, 对校园网络进行主动的防御, 使得高校的网络的安全系数得到大大提高。
摘要:21世纪我国的高校教育事业发展迅速, 全国高校普遍都进入了校园数字化时代, 数字化教学发展空间无限, 但同时校园网络存在的安全问题也越来越多, 为了让校园网络更加安全, 我们可以引入蜜罐技术来实现主动防御。本文主要阐述了校园网络中存在的安全问题并对蜜罐技术在校园网络安全中起到的主动防御的功能做出了研究分析。
关键词:校园网络,蜜罐技术,防火墙
参考文献
[1]王杨.基于校园网的网络安全与开销研究[J].软件, 2014.
【校园网络安全防御策略】推荐阅读:
校园网络安全防御方法11-21
校园网络的安全策略10-13
校园网络安全管理策略07-09
校园网络09-22
校园网络安全隐患07-17
校园网络安全探究05-23
校园网络安全问题08-10
校园网络安全德育12-10
校园网络安全设计12-24
网络文明安全进校园08-10