《校园网络安全问题与对策论文p11》由会员分享,可在线阅读,更多相关《校园网络安全问题与对策论文p11(11页珍藏版)》请在金锄头文库上搜索。
1、1校园网络安全问题与对策校园网络安全问题与对策摘 要 网络安全的本质是网络信息的安全性,包括信息的保密性、完整性、 可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过 程体现。校园网络安全管理是在防病毒软件、防火墙或智能网关等构成的防御 体系下,对于防止来自校园网外的攻击。学校建立了一套校园网络安全系统是 必要的。通过分析校园网安全威胁的原因、状况、设计维护校园网安全的方案, 进一步探索加强高校教育系统信息安全和网络安全管理,预防和打击各种网上 违纪、违法行为的重要途径。 关键词:网络;安全;防火墙前前 言言网络安全问题日益突出,近年来,黑客攻击、网络病毒屡屡攻击。由于对技术
2、的偏好和运营仪式的不足,普遍都存在“重技术,轻安全,轻管理”的倾向,网络用户的快速增长,关键性应用的深入,校园网络受到侵害,校园网在学校的信息化建设中已经扮演至关重要的角色,作为数字化信息最重要的传输载体,如何保证校园网络正常的运行不受各种网络黑客的侵害就成为各高校的不可回避紧迫问题,解决网络安全问题刻不容缓。1 1 校园网络概述校园网络概述随着网络技术的不断发展,网络安全已成为一个不可忽视的问题。伴随着高校校园数字化的不断深入,校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安全所面临的主要问题,校园网的发展状况,校园网的拓扑结构,功能结构,校园网的建
3、设目标等内容。1.11.1 计算机网络的发展过程与安全现状计算机网络的发展过程与安全现状从 1946 年第一台计算机产生以来,计算机网络技术得到很快发展,计算机网络已经成为了国民经济的重要支撑,发挥着重要的作用。与此同时,网络安全已经成为一个不容忽视的问题。1.1.1 计算机网络的发展过程Internet 是以 TCP/IP 协议为核心的一种计算机网络体系结构的统称。在计算机网络技术近 40 年的发展历史中,曾经涌现出多种计算机网络体系结构和技术,它们提供类似于 Internet的功能和服务,但是都没有像 Internet 能够在技术上和实践上适应于各种变化,获得如今这样的巨大成功,并且正在对
4、计算机网络技术的未来发展产生着深刻的影响。随着 Internet 规模的扩大、新网络技术的出现和网络应用的发展,对Internet 技术提出新的挑战。由于网络的规模和应用快速发展,计算机信息网络技术面临的挑战是十分严峻的。主要包括以下几个方面:(1)网络服务质量。基于分组交换技术的 TCP/IP 协议不能保证网络用户获得所需要的网络服务质量,这对于原先的 Internet 网络应用无关紧要,但是对于许多新型的网络应用却带来麻烦,例如:像 Internet Phone、See you- See me、Video man 等实时的网络应用希望获得固定的网络带宽。这方面的协议己经在研究之中。(2)网
5、络的安全性。Internet 技术的灵活性和开放性使得它在安全方面存在安全漏洞。网络的安全性问题包括系统安全和网络信息安全两方面的内容。这方面的技术挑战包括:网络和计算机系统的技术设计漏洞;网络和计算机系统口令的偷窃;协议出错;认证出错;信息泄漏;防火墙技术等等。(3)网络的可扩展性。原先设计的 TCP 网络技术不能适应 Internet 规模的扩大,网络的可扩展性问题成为非常重要的技术挑战。例如:网络的地址空间较小;网络主干网的速度需要提高;大型分布式网络目录系统;网络上大量零散信息,包括 WWW 信息的自动发现和检索技术等等。(4)新的网络应用。新的网络应用对 Internet/Intra
6、net 技术的挑战尤为巨大,由此也带来了网络原始设计与规划所未考虑或考虑不周的问题。1.1.2 网络的安全现状近几年,全球信息网络安全呈现出一些新特点,主要体现在如下几个方面:(1)网络攻击从最初的技术炫耀转向获取经济利益,网络攻击的针对性和定 向性越来越强。(2)网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势;(3)针对特定目标的网络攻击具有更大的威胁和破坏性,信息安全防护形势严峻;(4)网络黑客逐步形成了较为严密的组织,在组织内部分工明确,从恶意代码的制作,恶意代码的散布到敏感信息的窃取都有专人负责;(5)网络威胁形式多种多样,经济利益成为了网络攻击的最大驱动力;(6)网络欺骗手段
7、进一步升级,黑客不光利用电子邮件和网站进行诈骗,具有“网络钓鱼”性质的病毒也开始出现,勒索软件、网络游戏、网络银行盗号木马等被广泛使用;(7)利用漏洞发起攻击仍是互联网最大的安全隐患。攻击者利用网络系统中硬件、软件、协议和系统安全策略等存在的缺陷和错误对网络系统进行非授权的访问或破坏;(8)病毒传播形式多元化。网站、移动存储设备成为病毒传播的新渠道。黑客们更多地通过网站对用户进行攻击。此外,通过移动存储设备的传播病毒使很多电脑用户饱受其害。2 2 校园网络安全策略校园网络安全策略校园网的安全威胁既有来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。国内高校校
8、园网的安全问题有其历史原因:在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理“的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。作为高等院校,如何构筑相对可靠的校园网络安全体系问题,变得越来越突出了。一般来说,构筑校园网络安全体系,要从两个方面着手:一是采用先进的技术;二是不断改进管理方法。2.12.1 校园网安全管理校园网安全管理针对目前高校校园
9、网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略:1、规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。2、配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的
10、故障可以迅速定位并解决。3、解决用户上网身份问题,建立全校统一的身份认证系统。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。4、严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。5、根据相关部门的要求,配备专门的安全管理人员,出台
11、网络安全管理制度。网络安全的技术是多样化的,现状还是“道高一尺,魔高一丈”,因此管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。2.22.2 校园网络安全措施校园网络安全措施前述各种网络安全威胁,都是通过网络安全缺陷和系统软硬件漏洞来对网络起攻击的。为杜绝网络威胁,主要手段就是完善网络病毒监管能力,堵塞网络漏洞,从而达到网络安全。1、杀毒软件。杀毒产品的部署.在该网络防病毒方案中,要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点,应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段;同时为了有效、快捷地实施和管理整个
12、网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。(1)在学校网络中心配置一台高效的 Windows2000 服务器安装一个杀毒软件的系统中心,负责管理校内网点的计算机。(2)在各办公室分别安装杀毒软件的客户端。(3)安装完杀毒软件,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。(4)网络中心负责整个校园网的升级工作。2、采用 VLAN 技术。VLAN 技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLAN 技术根据不同的应用业务以及不同的安全级别,将网络分段并
13、进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。3、内容过滤器。内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时,可以限制外来的垃圾邮件。4、防火墙。在与 Interne 相连的每一台电脑上都装上防火墙,成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性: (1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核 IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则. (2)禁止访问系统级别的服务( 如 HTTP
14、 , FTP 等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理,允许授权运行的程序开放的端口服务,比如网络游戏或者视频语音电话软件提供的服务。(3)如果你在局域网中使用你的机器,那么你就必须正确设置你在局域网中的 IP,防火墙系统才能认识哪些数据包是从局域网来,哪些是从互联网来,从而保证你在局域网中正常使用网络服务(如文件、打印机共享)功能。(4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。(5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性. 5、入侵检测。入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击。扩展系统管理员的安全管理能力提高信息安全基础
15、结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并记录有关事件。入侵检测系统还可以发出实时报警,使网络管理员能够及时采取应对措施。6、漏洞扫描。随着软件规模的不断增大系统中的安全漏洞或“后门”也不可避免地存在因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。7、数据加密。数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。8、加强网络安全管理。加强网络管理主要是要做好两方面的工作。首先,加强网络安全知识的培
16、训和普及;其次,是健全完善管理制度和相应的考核机制,以提高网络管理的效率。3 3 校园网络安全系统设计校园网络安全系统设计安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行,并定期对校内教师进行计算机网络安全知识培训,或发放常见病毒解决方案等。3.13.1 校园网建设需求分析校园网建设需求分析3.1.1 需求分析局域网最大的特点就是可以实现资源的最佳利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也可以借助 Wingate 或 Sygate 等软件多机共享一台 Modem 上网;或者通过代理服务器连上 Internet,享受非一般的速度。目前 10Mbps ISA插口的网卡仍以其低廉的价格占有市场的一定份额,但由于 10Mbps ISA 插口网卡的网络传输速率低,且占用大量的 CPU 资源,只适应于那些对速度要求不高的局域网,因此用 100Mbps
