《高校校园网信息安全策略的探索_付沙》由会员分享,可在线阅读,更多相关《高校校园网信息安全策略的探索_付沙(3页珍藏版)》请在金锄头文库上搜索。
1、目前, 我们在尽情享受校园网所带来的方便与高效的同时, 也面临着信息安全的严峻考验, 校园网信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。 根据高校校园 网信息安全资源管理的体系框架, 从 人员、策略、技术、管理手段等多方面探讨, 构建一 个以安 全意识为核心、以安全技术为支撑、以安全服务为落实、 以安全管理为重要手段 的、动态的、多方位的安全防范体 系是校园信息安全的保障。一、以安全意识为核心一、以安全意识为核心 高校是思想政治和意识形态的重要阵地, 但相当一部分高校学生的信息安全意识却十 分薄弱, 进一步加强 高校学生的信息安全意识刻不容缓。加强学生的信息 安全意识, 需要
2、对学生经常进行计算机网络安全方面的 法律法规教育和网络道德教育, 提高学生的综合素 质, 增强学生的政治敏锐性和阶级立场, 自觉抵御各种有害的 网络文化信息, 不断增强其 自身免疫力, 形成思想上的“防 火墙” 。引导学生遵纪守法, 不浏览不明网站、不打开不明 软件或邮件, 不接触网络上的不良信息, 以避免恶意网站、网页的泛滥和入侵。正确安装和 配置适用的防杀病毒 软件并及时更新病毒库, 查杀最新的病毒; 及时进行操作 系统和应用 软件的更新和补丁升级; 保护好用户账号、IP 地址;做到对重要信息进行及时地加密与备份。二、以安全技术为支撑二、以安全技术为支撑安全技术是指为了保障信息的机密性、完
3、整性、可用 性和可控性而采用的技术手段、 安全措施和安全产品。常见的安全技术和工具主要包括 VPN 技术、防火墙技术、病毒防 范技术、漏洞扫描技术、入侵检测技术、安全评 估分析、安全审计和备份恢复技术等。这 些工具和技术手段是落实信息安全策略的必备工具, 也是信息安全体系中不可缺少的组成 部分, 任何一方面薄弱都会产生巨大的危险。因此, 需将各种技术综合部署, 互联互动, 使 其成为一个有机的整体。 1.物理安全策略物理安全策略 物理安全策略的目的是保护计算机系统、各种服务 器、主干交换机、打印机等硬件实 体和通信链路免受自然 灾害、化学品腐蚀、人为盗窃和破坏、搭线攻击; 验证用户 的身 份和
4、使用权限、防止用户越权操作; 确保计算机系统 有一个良好的电磁兼容工作环境; 建 立完备的安全管理 制度, 妥善保管备份磁盘和文档资料; 防止未经授权人员 进入计算机控 制室进行偷窃和破坏活动。 2. VPN 技术技术 VPN 即虚拟专用网。VPN 技术利用隧道技术和加解密等技术将多个内部网络通过公共 网络远程连接起来, 是通过网络数据的封包和加密传输建立安全传输通道的技术。该技术 可以使用户跨越公共网络, 采用统一规划的内部网络地址彼此访问。VPN 具有安全性、服 务质量保证、可扩充性、灵活性、可管理性和使用价格低廉等特点, 正是这些特点使它得 到广泛应用。 3.防火墙技术防火墙技术 防火墙
5、是设置在不同网络之间的一系列软硬件的组合, 它在校园网与 Internet 网络之 间执行访问控制策略, 决定哪些内部站点允许外界访问和允许访问外界, 从而保护内部网免 受外部非法用户的入侵。防火墙作为阻塞点或控制点能极大地提高一个内部网络的安全性, 通过过滤不安全的服务而降低风险。通过防火墙的配置, 不仅能记录下所有访问并作出日 志记录, 还能提供网络使用情况的统计数据, 并运用防火墙有效地抵挡外来攻击。 4.病毒防范技术病毒防范技术 计算机病毒的防范是校园网信息安全建设中十分重要的一个环节。选择防病毒软件构建校园网统一的防病毒体系, 能够针对电子邮件进行实时扫描和杀毒; 对服务器等进行病毒
6、 扫描和清除, 集中报警; 对各种桌面系统进行扫描和杀毒; 对所有客户端防病毒软件进行统 一管理, 并建立完善的病毒管理体系, 负责防病毒软件的自动分发、自动升级、集中配置和 管理、统一事件和告警处理等工作。 5.漏洞扫描技术漏洞扫描技术 漏洞扫描技术是一种自动检测远端或本地主机安全的技术, 它查询 TCP/IP 各种服务的 端口, 并记录目标主机的响应, 收集关于某些特定项目的有用信息。其重要性在于把极为繁 琐的安全检测通过程序自动完成, 不仅可以减少管理者的工作, 而且缩短了检测时间。这项 技术的具体实现就是采用安全扫描程序。在任何一个现有的平台上, 都有几百个熟知的安 全脆弱点, 人工测
7、试单台主机的这些脆弱点要花几天的时间, 而安全扫描程序可在很短的时 间内解决这些问题。安全扫描程序开发者利用可得到的攻击方法, 并把它们集成到整个扫 描中, 扫描后以统计的格式输出结果, 便于参考和分析。 6.入侵检测技术入侵检测技术 入侵检测技术 IDS 是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理 补充, 入侵检测技术能够帮助系统应对网络攻击, 扩展系统管理员的安全管理能力(包括安 全审计、监视、进攻识别和响应), 提高信息安全基础结构的完整性。它从计算机系统或网 络中采集、分析数据, 查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹 象, 并采取适当的响应措施来阻
8、挡攻击, 降低可能的损失。 入侵检测技术虽然能对网络攻击进行识别并作出反应, 但其侧重点还是在于发现, 而不 能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击 阻挡于网络外面, 而入侵检测技术除了减小网络系统的安全风险之外, 还能对一些非预期的 攻击 进行识别并作出反应, 切断攻击连接或通知防火墙系统修改控制准则, 将下一次的类 似攻击阻挡于网络外部。 7.安全评估分析安全评估分析 安全评估分析是对目标主机系统或者其他网络设备 进行相关的安全测试与评估, 发现 安全隐患以及可被黑 客利用的漏洞, 给出安全分析报告与重新进行网络安全配置的依据。 该技术的定期组织运用
9、可有效地排除许多重要的安全风险。 8.安全审计安全审计 安全审计主要是采集操作系统、服务器、应用系统、网络设备包括安全设备等的日志 及网络应用的通信, 采用数据仓库和数据挖掘等技术, 分析处理收集到的审计事件及日志, 发现其中的违规行为等, 并为此提供取证的证据。通过采用安全审计, 可以帮助管理者审计 系统的可靠性和安全性, 并对妨碍系统运行的明显企图及时采取有效措施。 9.备份恢复技术备份恢复技术 即灾难恢复技术, 当发生断电、火灾等各种意外事故, 甚至在如洪水、地震等严重自然 灾害发生时, 它能够对重要的计算机系统予以保护。三、以安全服务为落实三、以安全服务为落实 安全服务是根据高校教职员
10、工和学生的需求为之提 供校园级的安全策略和措施, 保障 其网络的安全性, 并且 能够对网络安全事件进行快速反应。它是一项综合服务, 能够为 计算机网络提供更好的安全性, 从而有效地减 少高校由于安全问题引起的不可估量的损失。 在制定相应的安全服务时, 应根据用户的具体情况分级分类进行, 并不是所有的用户都需要 所有的安全服务。安全服务机构可根据用户信息的价值、可接受的成本和风险等综合情况 为用户定制适当的安全服务。四、以安全管理为手段四、以安全管理为手段安全管理是安全防范体系中具体落实的手段, 它贯穿于整个网络安全防范体系中。高 校校园网的安全管理应当保障计算机网络设备和配套设施的安全, 保障
11、信息的安全及运行 环境的安全。校园网的所有工作人员及用 户必须遵守 中国教育和科研计算机网络安全 管理协议, 接受并配合国家有关部门及学校依法进行的监督检查。整体而言, 高校应加强 安全管理工作, 增强学生的安全意识, 并逐步建立健全安全管理规章制度。 1.落实安全职责落实安全职责 在校办及各系部配备专职的信息安全管理人员, 落实建立信息安全责任制度和工作章 程, 负责并保证组织内部 的信息安全。管理人员必须做到及时进行漏洞修补、软件定期升 级和安全系统定期巡检, 保证对网络的监控和管理。 2.制定科学的信息安全策略制定科学的信息安全策略 信息安全策略是指在一个特定环境中, 为保证提供一定级别
12、的安全保护所必须遵守的 规则。它包括严格的管理、先进的技术和相关的法律。信息安全策略决定采用 何种方式和 手段来保证网络系统的安全。即首先清楚自己需要什么, 制定恰当的满足需求的策略方案, 然后才考虑技术上如何实施。 3.实行严格的身份认证机制实行严格的身份认证机制 建立全校统一的身份认证系统, 该系统作为整个校园网络信息安全体系的基础, 承担着 校园网络中解决用 户上网身份问题的作用, 同时也为校园信息化的各项应用系统提供了安 全可靠的保证。与此同时, 在校园网上建 立一种信任机制, 使通信双方能够互相确认身份, 实时检测网络系统用户身份的合法性。 4.集中进行监控和管理集中进行监控和管理
13、严格规范上网场所的管理, 集中进行监控和管理。上网用户不但要通过统一的校级身 份认证系统确认, 而且 合法用户的上网行为也要受到统一的监控, 上网行为的日志文件要 集中保存在中心服务器上, 通过定期检查及扫描日志文件确保其准确性和安全性。 5.重要数据的及时备份与恢复重要数据的及时备份与恢复 在实际的网络运行环境中, 数据备份与恢复是非常重要的。尽管从预防、防护、加密、 检测等方面加强了安全措施, 但任何人也不能保证网络系统不会出现安全故障。因此, 应该 对重要数据(如教师档案、财务报表、学生成绩等)进行备份, 保障数据的完整性。目前 被广泛采用的数 据备份策略可分为三种: 完全备份、增量备份
14、和差异备份。在对重要数据 的备份过程中, 随着数据量的不断增大, 将无法每天都进行完全备份, 但可以在周末进行完 全 备份, 其它时间可采用耗时较少的增量备份或采用介于 两者之间的差异备份。与此同 时, 还必须充分考虑遭遇火灾和系统硬件故障时的数据恢复, 在数据容量较大时需考虑采用 磁带介质备份和异地备份, 并重点对应用区域 中的关键服务器提供数据备份和恢复机制。 6.使用规范的网络协议使用规范的网络协议 要建立一个安全有效的校园网必须使用规范的网络协议, 只有使用规范的网络协议才 能有效地进行网络通信, 便于以后的扩展和维护。 7.利用多种形式进行信息安全教育利用多种形式进行信息安全教育 我们应利用多种形式进行信息安全教育: 其一是利用行政手段, 通过各种会议进行信息 安全教育; 其二是利用教育手段, 通过信息安全学术研讨会、安全知识竞赛、 安全知识讲 座等进行信息安全教育; 其三是利用学校传 播媒介、舆论工具等手段, 通过校刊、校报、 校园网络、广播、宣传栏等进行信息安全教育。 8.构建良好的校园文化氛围构建良好的校园文化氛围 信息安全是高校实现教育信息化的头等大事, 除先 进的安全技术、完善的安全管理外, 良好的校园文化氛围 也是保证高校信息安全工作顺利开展的前提。
