前言:中文期刊網精心挑選了校園網絡安全技術范文供你參考和學習,希望我們的參考范文能激發你的文章創作靈感,歡迎閱讀。
校園網絡安全技術范文1
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。
許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。
如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞性行為。因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
校園網絡安全技術范文2
【關鍵詞】 網絡安全 安全風險 防火墻 入侵檢測 身份認證
1 校園網絡的安全風險分析
校園網安全的風險來自于網絡的各個層面,首先,校園網是一個基于TCP/IP協議的大型局域網,TCP/IP協議采用四層的層級架構,由網絡接口層、網絡層、傳輸層和應用層構成,每一層在執行特定的通信任務同時面臨著本身缺陷所帶來的風險。其次,學校各部門業務應用以及支持這些應用運行的操作系統、數據庫,存在很多的安全漏洞。最后,安全管理機制、網絡安全策略以及防護意識的不足所帶來的風險也不容忽視。下面從物理層、鏈路層、網絡層、傳輸層、系統層、應用層、管理層七個方面對校園網面臨的各種風險進行簡要分析。
1.1 物理層的安全風險
物理層安全風險指的是由于物理設備的放置不合適或者環境防范措施不得力,使得網絡設備、設施包括服務器、工作站、交換機、路由器等網絡設備,光纜和雙絞線等網絡線路以及UPS等遭受水災、火災、地震、雷電等自然災害、意外事故或人為破壞,造成校園網不能正常運行。
1.2 鏈路層的安全風險
數據鏈路層位于物理層上方和網絡層、傳輸層的下方,通過各種控制協議和規程在有差錯的物理信道中實現無差錯的、可靠的數據幀的傳輸[1]。這一層遭受攻擊會直接危脅其他各層。鏈路層的安全問題主要有:內容尋址存儲器(CAM)表格淹沒、地址解析協議(ARP)攻擊、DHCP欺騙、媒體存取控制地址欺騙、虛擬局域網攻擊等。
1.3 網絡層的安全風險
網絡層處于網絡體系結構中物理鏈路層和傳輸層之間,該層封裝IP數據報,進行路由轉發,解決機器之間的通信問題。TCP/IP協議族中最為核心的協議IP在網絡層應用最為廣泛。TCP、UDP、 ICMP及IGMP數據都以IP數據報格式進行傳輸。這一層的常見安全問題主要有:明文傳輸威脅、IP地址欺騙、源路由欺騙、路由信息協議攻擊、ICMP攻擊、端口掃描威脅、IP碎片攻擊等。
1.4 傳輸層的安全風險
傳輸層負責端到端可靠的交換數據傳輸和數據控制。在傳輸層使用最廣泛的有兩種協議:傳輸控制協議(TCP)和用戶數據報協議(UDP)。安全問題主要有:TCP“SYN”攻擊、Land攻擊、TCP會話劫持、UDP淹沒攻擊、端口掃描攻擊等。
1.5 操作系統的安全風險
絕大部分操作系統存在安全脆弱性。目前通用的Windows、 UNIX、 Linux以及其他商用操作系統,在前期設計和后期軟件代碼的大規模開發過程中不可避免的存在一些缺陷,為調查測試需要有的開發廠商還留下后門,使得操作系統本身存在很多安全漏洞,非常容易被攻擊[2]。
1.6 業務應用的安全風險
目前基于網絡的各種應用越來越多,諸如病毒、間諜軟件、DDoS攻擊、端口攻擊、SQL注入、Web漏洞、跨站腳本、網絡釣魚、帶寬濫用等形式的安全威脅飛速增長,帶來信息風險、網絡服務癱瘓甚至財產損失。很多在主機系統上運行的應用軟件系統采購自第三方,在部署之前往往只執行了功能測試,沒有進行全面標準的安全評估,部署時也往往沒有進行安全加固,導致各個應用系統安全水平不一,漏洞不可避免,容易遭受黑客攻擊,造成諸多安全問題。
2 計算機網絡安全技術
網絡系統安全的保護,必須結合網絡的具體需求,將多種安全措施進行整合,建立一個立體的、完整的、多層次的網絡安全防御體系。下面主要就校園網絡安全防范中應用較多的技術進行介紹。
2.1 防火墻
防火墻是指設置在信任網絡和不可信任網絡之間執行控制策略的系統,在不同網絡之間構成一道安全屏障。具體實施中可以有硬件或軟件的解決方案。它按照事先設定的一系列規則,對進出內外網之間的信息流進行監測、限制和過濾,只允許匹配規則的數據通過,并能夠記錄有關的訪問連接信息、服務通信量以及試圖入侵事件,以便管理員分析檢測。而且防火墻本身也有很強的抗攻擊能力。
2.2 入侵檢測
防火墻一種被動的防御技術,由于假設了網絡邊界的存在,因此它對內部的非法訪問難以有效地控制,它無法防止來自防火墻內側的攻擊。防火墻作為訪問控制設備,無法檢測或攔截嵌入到普通流量中的惡意攻擊代碼,比如針對WEB服務的注入攻擊等。
入侵檢測系統可以識別針對計算機或網絡資源的惡意企圖和行為,并對此作出反應。它能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為,同時監控授權對象對系統資源的非法操作。提高了網絡的動態安全保護。
2.3 虛擬專用網
虛擬專用網是依靠ISP( Internet Service Provider因特網服務提供商)或NSP(Network Service Provider網絡服務提供商),在公用網絡中建立專用的、臨時的、安全的數據通信網絡技術。也是在任意兩個節點之間搭建的一條安全、穩定的連接隧道。使用虛擬專用網絡,可以為多個分散的機構定制一個符合自己需求的網絡。
3 結語
如何有效的保障信息網絡的安全,已經成為一個十分重要的課題。具體的網絡整體安全解決方案,必須對網絡各方面的風險進行詳細分析,結合系統實際,綜合運用先進的安全技術,覆蓋網絡的各個層次、各個方位。
校園網的建設是一項持續的、復雜的系統工程,其安全建設要求統一考慮,長遠規劃,分步實施,確保技術的先進性和可擴展性。校園網整體安全防范體系是一個動態的、不斷發展變化的綜合運行機制,如何在技術上適應網絡動態變化,建立自適應的安全保障體系,仍是一個值得研究的課題。
參考文獻:
[1]Gilbert Held,戴志濤,鄭巖.以太網(第三版)[M].人民郵電出版社,2000,2,95-103.
校園網絡安全技術范文3
互聯網貫穿于高校教師的日常辦公、教學授課、科研學術研討交流和學生的學習生活之中,是校園信息化建設的關鍵.為了保障校園網高效、穩定、安全的運行,保證廣大師生正常使用網絡,避免因網絡安全問題帶來不必要的損失,本文針對校園網絡安全技術及防范策略進行分析討論,以期構建一個安全的校園網絡系統.
關鍵詞:
校園網絡;安全技術;防范策略
1防火墻技術
防火墻是保護內部網絡抵御黑客攻擊和越權使用的工具,類型主要有包過濾和應用兩種.包過濾技術是關于數據包的過濾規則,這些規則確定哪些數據包可通過,哪些不能通過.應用防火墻是對應用層的應用設定規則,對應用層數據流進行管理[1].防火墻設置的策略:
1.1只有明確允許通過的,才讓其通過,否則拒絕.
1.2如果允許所有流量通過,那么拒絕的就要明確指出.端口一旦開放,要定期查看該端口有沒有不良記錄,以控制其不被利用.
1.3碉堡往往是從內部攻破的,防火墻對內也要進行防護.
1.4防火墻對流量進行直接操作.入侵檢測對流量進行分析,作出判斷,兩者結合可形成合力,保護網絡安全.
2入侵檢測技術
通過對數據流量的檢測、分析,發現系統中存在的攻擊、越權使用等行為,并形成報告上交系統的技術稱之為入侵檢測技術[2].即通過對數據流量的關鍵信息進行分析,發現被黑客入侵的跡象或違反安全策略的行為.NIDS主要是利用SNIFFE技術對數據進行入侵檢測,實時強,但缺乏對主機內的檢測.基于主機的入侵檢測系統(HIDS)能對主機內進行檢測,但實時性差,僅作為事后取證.
3虛擬專用網技術(VPN)
VPN解決了不同地區數據傳輸安全問題,給高校網絡互聯提供了安全保證[3].
3.1VPN的概念
虛擬專用網絡是在公用網絡的基礎上,將不同地方的用戶或子網通過采取加密、認證等手段與企業內部網進行連接,形成一個邏輯上的內部網,數據可以在這個網絡上安全的傳輸.
3.2VPN的功能
被授權的外部用戶可以通過VPN,連接企業內部網,進行數據傳輸,數據被加密,不會被竊取、截獲、復制篡改.
3.3VPN的安全性
VPN是一種擴展公司網絡和增加網絡用戶功能的極好途徑.許多網絡管理員都未能意識到與這個擴展網絡相關的許多重要的安全問題.由于允許遠程用戶進入公司網絡的核心部分,許多限制都沒有了,因此應該采取一些措施確保遠程用戶訪問網絡時不會出現安全漏洞.
4數據加密技術
針對動態數據的被動攻擊的保護,最有效的是數據加密技術.有了數據加密技術,數據即使被黑客截獲了,也不用擔心其被非法利用.數據的加密、解密是在密鑰的控制下,通過加密算法、解決算法來完成的.加解密算法稱為密碼體制,包括對稱密鑰、非對稱密鑰兩種技術.
4.1對稱密鑰密碼技術
對稱密鑰密碼技術的加密密鑰和解密密鑰相同,或從一個很容易推出另一個.所以信息在加密傳輸過程中,要嚴格保管加密密鑰和解密密鑰.對稱密鑰密碼技術安全、算法高效.
4.2非對稱加密/公開密鑰加密
美國斯坦福大學兩名學者W.Diffie和M.Hellman1976年在IEEETrans.onInformation刊物上發表了“NewDirec-tioninCryptography”文章,提出了“公開密鑰密碼體制”的概念,開創了密碼學研究的新方向.公開密鑰公開的是加密密鑰,但由公開密鑰推不出解密密鑰.用公鑰加密,用私鑰解密,有效的解決了加密密鑰在傳輸中的保管問題.當前最著名、應用最廣泛的公鑰系統的密碼算法是RSA.
5訪問控制技術
訪問控制技術規定了哪些用戶可以訪問網絡資源,對訪問的用戶進行身份驗證和確認.訪問控制業務的目標是防止對任何資源的非法訪問.就目前而言、訪問控制技術常用的是密碼設置,對訪問對象分組授予不同的訪問權限.各組的用戶用自己的密碼就可以進行權限內的訪問.對外部用戶可以使用防火墻技術實現訪問控制.通過安全策略,設定用戶訪問權限,實現對外部用戶的訪問控制.
6數據備份和恢復技術
數據備份技術是通過專業的數據存儲管理軟件對全網數據進行備份,在系統遭到攻擊或數據丟失時,可通過備份進行恢復.當現有系統或數據遭到破壞,可使用數據恢復技術將現在的系統或數據恢復到歷史一個時間點.當系統數據崩潰時,數據恢復就是從數據備份中恢復數據,使系統能正常運行.數據恢復建立在數據備份基礎上,是用備份數據進行恢復的.當受到黑客攻擊或故障,系統不能正常使用時,使用數據恢復和備份技術是最直接、最有效、最經濟的辦法.
7防病毒技術
計算機病毒是指編制或者在計算機程序中插入的危害計算機功能或者毀壞數據,影響計算機使用,并能自我復制的一組計算機指令或者程序代碼[4].計算機病毒傳播速度快、病毒種類多、破環程度廣、是目前網絡安全主要的安全威脅.計算機病毒危害有輕度的,有重度的,輕度的可能是個惡作劇、重度的可能破壞數據文件、有些可能導致系統癱瘓.病毒最初是單機的,就在傳輸介質連接的電腦之間傳播,后來隨著互聯網的發展,互聯網的開放性、共享性給病毒的傳播提供了溫床.大量病毒開始在互聯網上大肆傳播.網絡病毒利用網絡傳播,使廣大網絡使用者深受其害,雖然也安裝了各種殺毒軟件,但也避免不了網絡病毒的侵害.
7.1網絡病毒的預防
由于網絡病毒傳播速度快、傳播范圍廣、破壞程度大,我們要做好網絡病毒的防御措施.在校園網上整體部署網絡防病毒軟件,及時更新病毒庫,將先進的網絡安全技術引入到校園網安全防御系統中來.同時對網絡管理人員進行不定期的安全培訓,從技術和人員管理兩方面做好網絡病毒的預防工作.網絡管理人員和操作人員要有防病毒意識,以預防為主.從管理措施和技術措施兩方面入手進行防范病毒的工作.
7.1.1嚴格的管理
制定嚴格的管理制度、操作規程和行為規章等.如計算機網絡系統和計算機機房制定嚴格的管理制度,未經允許不得下載安裝來歷不明的軟件,接受郵件和文件要使用專門的終端,建立安全管理制度可有效的避免因認為失誤帶來的計算機病毒的入侵.
7.1.2成熟的技術
將先進的、成熟的網絡安全技術引入校園網安全防范體系中來,及時更新病毒庫,從技術手段上做好對病毒的預防和清理工作.
7.1.3有效的預防措施
對新硬盤進行檢測或進行低級格式化.安裝計算機應用軟件前,要對計算機進行檢測、殺毒.設置PC機從硬盤直接啟動.
7.1.4定期與不定期進行磁盤文件備份工作
用Bootsafe等實用程序或用Debug工具提取分區表等方法備份分區表、DOS引導扇區等,在進行系統維護和修復工作時可作為參考.對多人共用一臺計算機的環境,應建立登記上機制度,做到有問題能盡早發現,有病毒能及時追查、清除,不擴散.
7.1.5網絡病毒的清除
系統感染病毒后可采取以下措施進行緊急處理:隔離:及時將中病毒的機器進行隔離,如果是某一節點中病毒,就將該節點隔離,避免病毒擴散到整個網絡.報警:發現病毒感染點后,立即進行隔離,并向網絡管理部門報警.查毒源:系統安全管理人員接到報警后,可使用相應防病毒系統鑒別受感染的機器和用戶,檢查那些經常引起病毒感染的節點和用戶,并查找病毒的來源.采取應對方法和對策.網絡系統安全管理人員要對病毒的破壞程度進行分析檢查,并根據需要決定采取有效的病毒清除方法和對策.感染不嚴重的可采用重裝系統的方法來清除病毒,如果感染嚴重,特別是一些關鍵的系統文件,可請防病毒專家來幫助進行病毒清除和數據恢復.修復前備份數據.在使用防病毒軟件進行清除病毒的時候要對重要的數據進行備份,避免殺毒軟件把重要的文件誤刪.清除病毒:將重要的數據備份,運行查殺病毒軟件,并對相關系統進行掃描.發現有病毒,立即清除,病毒被清除后,重新啟動計算機,再次用防病毒軟件檢測系統是否還有病毒,并將被破壞的數據進行恢復.校園網要安裝網絡殺毒軟件,在全局上進行網絡殺毒,同時在校園網內所有機器上安裝客戶端,制定安全策略,統一殺毒,并及時更新病毒庫.
8結束語
目前,為了解決校園網日益增加的網絡使用和應用軟件的使用所帶來的安全隱患,保障校園網高效、穩定、安全的運行,本文基于網絡安全技術及防范策略進行研究分析,以期為校園網絡安全體系的構建起到借鑒作用.
作者:單守雪 單位:亳州學院 電子與信息工程系
參考文獻:
〔1〕鄒勇,白躍彬,趙銀亮.增強型包過濾防火墻規則的形式化及推理機的設計與實現[J].計算機研究與發展,2000,37(12):1471~1476.
〔2〕蘇雪,高文知.入侵檢測技術在校園網中的應用研究[J].科技創業月刊,2008(12):198~199.
校園網絡安全技術范文4
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
參考文獻
校園網絡安全技術范文5
摘 要:結合學校校園網的實際情況,分析了校園網存在的安全風險,從整體上對校園網絡安全系統進行規劃,充分整合現行的幾種關鍵網絡安全技術,提出了一整套校園信息網絡安全解決方案,力保校園網絡健康、可靠、有效地運行奠定基礎。
關鍵詞:校園網絡安全,防火墻,虛擬專用網,身份認證
1 引言
校園網的建設也因CERNET的發展而得到了快速的發展,全國絕大多數的高校建成了自己的校園網絡。校園網作為學校重要的基礎設施,擔當著學校教學、科研、管理和對外交流等多重角色。校園網安全狀況直接影響著學校的教學活動。在網絡建成的初期,安全問題可能還不突出,但是隨著網絡應用的深入,校園網上各種數據的急劇增加,網絡的攻擊越來越多,各種各樣的安全問題開始阻礙了校園網的正常運行. 計算機與現代化, 2009,(8).
校園網絡安全技術范文6
關鍵詞:校園網絡 網絡安全 管理
高校校園網作為高校這個特殊環境中傳遞信息的媒介,是學校重要的教學、科研信息基礎設施,它提供教學,科研,娛樂,教育管理,招生。隨著校園網的逐步發展,網絡應用的逐漸普及,校內部的網絡越來越多的暴露給了外部世界。因此,在校園網絡及其信息系統中如何設置自己的安全措施,使它安全、穩定、高效地運轉,發揮其應有的作用,成為各校越來越重視的問題。
針對層出不窮的校園網絡安全問題,高校內設辦公機構和部門都購置了各種網絡安全產品,如防火墻、入侵檢測系統、漏洞掃描器、系統實時監控器、VPN網關、網絡防病毒軟件等。毋容置疑,這些產品分別在不同的側面保護著網絡系統。但是,從系統整體安全考慮,這些單一的網絡安全產品都存在著不同的安全局限性。并且網絡安全不僅有著眾多的技術安全因素,更多的在網絡安全的管理、部署和操作方面,因此,將技術和管理相結合,建立一個多層次的校園網安全防御體系,對于構建安全的校園網環境有著重大的意義。
保障高校校園網絡安全應該從網絡安全技術和安全策略方面去同步加強,安全策略是先導,先進的網絡安全技術是根本。
網絡信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。信息安全的實現要依靠先進的技術、嚴格的安全管理、法律約束和安全教育。本文從此三個方面去綜合考慮、規劃建設校園網絡,構建了一個多層次的校園網安全主動防御體系模型。
一、依托網絡安全技術構建網絡安全堡壘
1.合理規劃設計校園網絡物理結構
校園網絡是教學,科研,娛樂,教務管理、圖書管管理等活動的基礎設施。特別地,在科研、教務管理、圖書館管理等方面,對校園網絡安全要求很高。對這些關鍵部門,構建相應的辦公網絡時,應該在物理上獨立實施建設。與其他一些安全級別不同的部門在物理網絡建設上應該盡量隔離,這樣的物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。
計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。
正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.構建應用級網關、實時入侵檢測(IDS)
應用級網關作為防火墻(Firewall)中的一個主要類型,它通過偵聽網絡內部客戶的服務請求,檢查并驗證其合法性,若合法,它將作為一臺客戶機一樣向真正的服務器發出請求并取回所需信息,最后再轉發給客戶。對于內部客戶而言,應用級網關好像原始的公共服務器,對于公共服務器而言,服務器好像原始的客戶一樣,亦即應用級網關充當了雙重身份,并將內部系統與外界完全隔離開來,外面只能看到服務器,而看不到任何內部資源。
IDS作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡受到危害之前進行攔截和響應。防火墻能夠將一些預期的網絡攻擊阻擋于網絡外面,而IDS還能對一些非預期的攻擊進行識別并做出反應。將IDS與防火墻聯動,能更有效地阻止攻擊事件,把網絡隱患降至較低程度。
3.建立多層次的病毒防護體系
這里的多層次病毒防護體系是指在Internet網關(具有垃圾郵件過濾功能)上安裝基于Internet網關的反病毒軟件;在服務器上安裝基于服務器的反病毒軟件;在校園網的每個臺式機上安裝臺式機的反病毒軟件。同時,還需要做好如下工作:定時對網絡進行殺毒;對每臺計算機都開啟病毒監控;經常對服務器和客戶機的殺毒軟件進行升級。
二、加強和規范校園網絡安全管理
1.加強黑客入侵檢測與防范
校園網入侵者一般為校園網內部用戶,有著窺探他人隱私的好奇性,攻入私人計算機。有的入侵者希望通過入侵學校數據庫,以達到修改個人資料和學習成績為目的。個別的電腦高手希望通過入侵,引起他人注意,以顯示自己的能力,這樣的人不會盜取別人的電腦資料,但會故意留下“足跡”,如進行破壞或是“留言”。
為了維護高校教務系統及圖書館管理系統安全,應該特別加強黑客入侵檢測,并嚴格防范。主要可以采取以下幾方面的措施:
(1)檢測網絡嗅探程序
網絡嗅探是一種常用的收集網絡數據包的方法,其基本原理是對經過網卡的數據包進行捕獲和解碼,從鏈路層協議開始進行解碼分析,一直到應用層的協議,最后獲取數據包中需要的內容,如賬號、口令等。
當電腦系統被一些網絡嗅探程序跟蹤時,可能會出現網絡通訊丟包率非常高或是網絡帶寬出現反常,這些情況是網絡有嗅探器的可能反應。網絡管理員就應該及時加以處理。通常,可以在關鍵的系統上部署檢測嗅探器工具,例如AntiSniff工具,來自動檢測網絡嗅探程序。
(2)及時更新IIS漏洞
由于寬帶的普及,給自己的計算機裝上簡單易學的IIS,搭建一個ftp或是web站點,已經不是什么難事。但是IIS層出不窮的漏洞實在令人擔心。遠程攻擊著只要使用webdavx3這個漏洞攻擊程序和telnet命令就可以完成一次對IIS的遠程攻擊防范措施:關注微軟官方站點,及時安裝IIS的漏洞補丁。
(3)選擇性關閉IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。2000/XP/2003在提供了IPC$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$)和系統目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。個人用戶如果無網絡服務的可關閉IPC$共享,最好的方法是給自己的賬戶加上強口令,并不定期地更換。
2.加強校園網絡中服務器安全規范
(1)制定縝密的服務器管理制度,對服務器的操作從程序上進行規范。確保安裝正版操作系統和殺毒軟件,及時更新,打上漏洞補丁。各種密碼必須做到定期更換,經常對服務器進行漏洞掃描,確保安全。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
(2)建立定期備份制度,服務器可以采用RAID5(磁盤陣列)技術,或者是雙機容錯技術等等,確保系統能不間斷運行。
(3)根據分配工作的不同,賦予操作人員不同級別的權限,同時建立完備的日志系統,做到出現問題能立馬有跡可循。
3.建立校園網的統一認證系統
認證是網絡信息安全的關鍵技術之一,其目的是實現身份鑒別服務、訪問控制服務、機密和不可否認服務等。校園網與 Internet沒有實施物理隔離。但是,對于運行內部管理信息系統的內網,建立其統一的身份認證系統仍然是非常必要的,以便對數字證書的生成、審批、發放、廢止、查詢等進行統一管理。
三、加強高校網絡安全教育
要確保高校網絡安全,除了依賴最新的網絡安全技術去構建網絡安全屏障外,還要加強高校網絡安全教育。主要有以下幾方面的措施:
1.對網絡管理員定期進行專業培訓
有些網絡管理員專業知識和技能不夠、責任心不強,部分網絡管理員在工作之前沒有受過系統的專業培訓。所以,不能很好地勝任本職工作。
嚴格的管理是校園網安全的重要措施。事實上,很多學校都疏于這方面的管理,對網絡安全保護不夠重視。為了確保整個網絡的安全有效運行,有必要制定出一套滿足網絡實際安全需要的、切實可行的安全管理制度。
2.在高校師生中普遍開展網絡安全教育
高校中教師作為知識的引導傳播者,在信息化教育不斷發展的高校教育中,教師網絡安全意識的提高,首先要從提高教師對網絡安全的認識做起。教師應了解相關的網絡安全法律、法規,如內容分級過濾制度等。教師應意識到無論是在學校還是家庭,都應加強網絡安全和道德教育,積極、耐心的引導學生,使他們形成正確的態度和觀念去面對網絡。同時,給學生提供豐富、健康的網絡資源,為學生營造良好的網絡學習氛圍,并教育學生在網上自覺遵守道德規范,維護自身和他人的合法權益。
四、總結
高校校園網絡信息安全是我們非常關注但又難以徹底解決的問題。校園網絡建設沒有統一的標準和規范,目前也沒專門的技術或產品能夠完全解決網絡的安全問題。我們只能根據最新的信息安全保障體系理念,采用安全策略分析、授權訪問、認證技術、密碼技術、防火墻技術、IPSec技術(IP Security)信息與網絡安全最新的技術去構建校園網絡的安全體系,另外,我們在思想上要認識到網絡安全的重要性,在校園網絡安全建設硬件方面不但要有資金投入,還要不斷加強校園網絡管理人員和校園網用戶的網絡安全知識教育培訓,樹立大家的網絡安全防范意識。這樣,就可以使網絡安全事故發生的可能性降低到最小。我們相信,隨著教育信息化的發展,校園網絡安全也越來越受到大家的關注,校園網也會越來越安全。
參考文獻:
[1]陳新建.校園網的安全現狀和改進對策[J].網絡安全技術與運用.
[2]劉建煒.基于網絡層次結構安全的校園網絡安全防護體系解決方案[J].教育探究,2010,(3).
[3]謝希仁.計算機網絡[M].大連:大連理工大學出版社,2003.
