论文部分内容阅读
摘要:随着互联网理论的更新和发展,硬件水平不断的提高,作为信息化主要载体的校园网络日趋数字化、高效化。由于黑客攻击,熊猫烧香等病毒的连续出现,校园网数据丢失、系统被修改或瘫痪的事情仍有发生,校园网络的安全问题成为当前各校园网不容忽视的重要问题。各所学校都对自己校园网络安全问题花费了大量的时间、精力。校园网络安全已经成为当前各校园网络建设中迫在眉睫的问题。
关键词:网络;数字化安全;数据;熊猫烧香
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)05-11469-02
1 引言
目前,网络技术突飞猛进,它使学校实现了管理的网络化、教育的现代化。同时提高了管理水平,教育质量。也对我国的现代化教育起了不可估量的作用。然而,由于网络不安全状态的存在,计算机网络安全问题变得尤为突出。使人们在方便快捷校园网络面前望而却步。因此建立一个安全、稳定、高效的校园系统, 也就成为各大校园竞相努力的目标。
2 校园网网络结构和应用系统概述
校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。
校园外网的服务器群构成了校园网的服务系统,一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入,使学校教职工和学生能使用电子邮件和浏览器等应用方式,在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。
从图1可以看出,校园网网络系统的总体结构包括如下:
图1
2.1 威胁校园网安全因素
(1)校园网内的用户数量较大,局域网络数目较多。校园网的速度快和规模大。高校校园网是最早的宽带网络,校园网的用户群体一般也比较大,少则数千人、多则数万人。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重;
(2)校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,有的则是统一采购、有技术人员负责维护的,有的则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察;
(3)活跃的用户群体。学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏;
(4)盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
由于以上各种原因导致校园网既是大量攻击的发源地,也是广大攻击者最容易攻破的目标。因此校园网常见的风险如下:
园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;外来的系统对网络及服务器发起DOS/DDOS攻击,入侵等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
3 如何控制不安全因素
由于网络所带来的诸多不安全因素,使得网络使用者必须采用相应的网络安全技术和安全控制体系来堵塞安全漏洞。在园区网的建设中,尤其需要采用分内外二层安全控制方案以保证信息的安全。
3.1 在校园内大部分都是同学和老师进行正常的工作,学习,娱乐,因此对于校园网内的大部分工作是进行管理和疏导网络。
3.1.1 制定完整的IP安全策略
IP安全策略主要依据是将通讯内容与设定好的规则进行对比分析,如果与预期分析的结果不能够吻合,那么它就认为当前的访问是非法了而拒绝访问,它弥补了TCP/IP协议的的不足,可以实现更安全的TCP/IP控制策略。利用IP安全策略可以区分,确定IP的位置,由IP是校内还是校外判断其相应的权限和处理办法。定制IP安全策略主要是针对于端口攻击而采取的一种安全策略,端口作为计算与网络联接的第一道屏障,利用IP安全策略,可以在某个端口所提供的服务为空闲时,将对应端口关闭,以防止其他恶意程序的扫描而对本地机器进行的访问。
3.1.2 身份验证
身份验证是一致性验证的一种,校园网上的身份验证技术用于判断对象身份的真实性,作为校园网上信息安全的最终客户端,主要表现口令机制:如各种开机口令,登陆口令,共享权限口令等等。对这些口令的保护 除建立严格的保密以外,口令的设置方法非常重要。
3.1.3 内网安全监控
网络监控是通过网络端口镜像或是抓包软件,通过对流过交换机的数据包的分析来确定用户使用网络的情况,对网络的即时监控,这些监控包括实时记录电脑工作台的屏幕快照;通过重播器可随时播放已记录的历史画面。可自由选择每次记荧幕快照的时间间隔;同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括:只有用户持有USB密钥和密码才能在指定电脑上网,禁止使用指定的应用程式,禁止或只运行浏览指定的网站,锁定工作站和登出、重启或关闭工作站。并对所监控的数据进分析归类。及时发现并阻止学生上不健康的网站。正确引导学生使用网络,确保学生不受不良网络的影响。
3.1.4 防代理、防假冒
学生是一个不安分,好奇心强的群体,他们会一方面把学校的网络当作一个实验环境,测试各种网络功能,另一方面,他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。目前在校园网网络中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,学校提供给学生一条上网的线路,就会给多个学生使用,大大消耗了网络资源,给学校的运营带来很大的损失。
3.1.5 物理隔离
由于公共网络及因特网上黑客猖獗,同时我国使用的计算机及网络设备的软硬件产品大多数是进口的,硬件上兼容并不稳定。安全上没有很好的保证,因而将外部网络中的因特网与内用网络实现物理隔离,使之没有任何连接,可以使园区网与外部专用网络连接时,园区网与Internet无物理联系在安全上较为稳妥。
3.1.6 防过度消耗资源软件
在校园网中,资源是有限的如果每一个学生都把自己能使用的资源都统统使用的话,那必然造成学校的网路阻塞甚至崩溃,而在校园网又是一个最容易传播新软件的地方,每当有人发现了新的实用的软件必然会介绍给同学和老师使用,这就造成了消耗资源软件被广泛利用。一旦这类软件在校园网内被广泛利用就会使校园网内大量资源浪费在它的身上而使许多其他的有用的软件不能正常的工作,如BT软件,虽然一度广泛使用,但由于其自身的特点最终只能走向没落。因此,限制消耗资源软件的使用不容忽视。
3.2 对于学校的外部,校园网络既要接受发送个类信息又要预防黑客攻击,病毒入侵必须要有一整套安全防护体系。
3.2.1 有害信息过滤网
作为校园网的第一道屏障,有害信息过滤网应当能把大部分有害的信息,常见的病毒拦截在校园网之外,防止一些色情、暴力危害学生的身心健康。确保校园网内工作的正常进行。
3.2.2 防火墙
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受外部非法用户的入侵。同时防火墙是预防黑客攻击,病毒入侵的重要屏障。防火墙的建立提供了对网络流量的可控过滤,以限制访问特定的因特网端口号,而其余则被堵塞,这一点要求它必须是唯一的入口点,用来阻止未经认证的外部登录,这就是防火墙与路由器是一个整体的原因。
3.2.3 端口控制机制
计算机服务器使用自动回呼设备、调制解调器对端口加以保护,并以加密的形式来识别节点的身份。外部用户对校园网进行访问时,端口对其进行身份探查,当确定其身份和法后才允许访问校园网。
3.2.4 加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。
3.2.5 封锁系统安全漏洞
在发现新病毒或因系统安全漏洞威胁网络安全时,应当及时提供各种补丁程序以便下载.许多操作系统和应用软件也在不断更新版本以修正错误或完善功能.对于校园网管理过程中,要及时下载和安装各种补丁、升级程序,封锁系统安全漏洞。这样对保护网络和信息系统的安全会起到很大作用,可以有效的防止一些“黑客”因为操作系统和各种应用软件的设计漏洞对校园网资源进行非法访问和有关操作。
3.2.6 及时备份
备份技术是常用的提高数据完整性的方法,它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。在备份的同时也须使用镜像技术,镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。同时使用备份,镜像技术能有效地保存数据,使数据得以保存。
3.2.7 规范的网络协议
要建立一个安全有效的校园网必须使用规范的网络协议,只有使用规范的网络协议才能有效地进行网络通信,便于以后的扩展和维护。
总之,校园网络的安全不仅是技术,设备,资金的问题,更是管理的问题在网络安全日益影响到校园网运行的情况下,我们不能够去保障校园网绝对的安全,只能说我们要尽一切可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识,安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,把校园网不安全因素降到最少。
参考文献:
[1]龚静.计算机网络安全策略的探讨[J].福建电脑,2004,5:18-19.
[2]王彦波.计算机网络安全系统[J].信息技术.2003,1(27):15-16.
[3]王学文,张秉辉.计算机网络安全方案[J].邯郸职业技术学院学报.2004,3(17):71-77.
[4]赵晖.计算机网络安全与防护[J].通信技术.2004,3:25-26.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:网络;数字化安全;数据;熊猫烧香
中图分类号:TP393 文献标识码:A文章编号:1009-3044(2007)05-11469-02
1 引言
目前,网络技术突飞猛进,它使学校实现了管理的网络化、教育的现代化。同时提高了管理水平,教育质量。也对我国的现代化教育起了不可估量的作用。然而,由于网络不安全状态的存在,计算机网络安全问题变得尤为突出。使人们在方便快捷校园网络面前望而却步。因此建立一个安全、稳定、高效的校园系统, 也就成为各大校园竞相努力的目标。
2 校园网网络结构和应用系统概述
校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。
校园外网的服务器群构成了校园网的服务系统,一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入,使学校教职工和学生能使用电子邮件和浏览器等应用方式,在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。
从图1可以看出,校园网网络系统的总体结构包括如下:
图1
2.1 威胁校园网安全因素
(1)校园网内的用户数量较大,局域网络数目较多。校园网的速度快和规模大。高校校园网是最早的宽带网络,校园网的用户群体一般也比较大,少则数千人、多则数万人。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重;
(2)校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,有的则是统一采购、有技术人员负责维护的,有的则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理,出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察;
(3)活跃的用户群体。学校的学生通常是最活跃的网络用户,对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术,可能对网络造成一定的影响和破坏;
(4)盗版资源泛滥。由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
由于以上各种原因导致校园网既是大量攻击的发源地,也是广大攻击者最容易攻破的目标。因此校园网常见的风险如下:
园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;外来的系统对网络及服务器发起DOS/DDOS攻击,入侵等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
3 如何控制不安全因素
由于网络所带来的诸多不安全因素,使得网络使用者必须采用相应的网络安全技术和安全控制体系来堵塞安全漏洞。在园区网的建设中,尤其需要采用分内外二层安全控制方案以保证信息的安全。
3.1 在校园内大部分都是同学和老师进行正常的工作,学习,娱乐,因此对于校园网内的大部分工作是进行管理和疏导网络。
3.1.1 制定完整的IP安全策略
IP安全策略主要依据是将通讯内容与设定好的规则进行对比分析,如果与预期分析的结果不能够吻合,那么它就认为当前的访问是非法了而拒绝访问,它弥补了TCP/IP协议的的不足,可以实现更安全的TCP/IP控制策略。利用IP安全策略可以区分,确定IP的位置,由IP是校内还是校外判断其相应的权限和处理办法。定制IP安全策略主要是针对于端口攻击而采取的一种安全策略,端口作为计算与网络联接的第一道屏障,利用IP安全策略,可以在某个端口所提供的服务为空闲时,将对应端口关闭,以防止其他恶意程序的扫描而对本地机器进行的访问。
3.1.2 身份验证
身份验证是一致性验证的一种,校园网上的身份验证技术用于判断对象身份的真实性,作为校园网上信息安全的最终客户端,主要表现口令机制:如各种开机口令,登陆口令,共享权限口令等等。对这些口令的保护 除建立严格的保密以外,口令的设置方法非常重要。
3.1.3 内网安全监控
网络监控是通过网络端口镜像或是抓包软件,通过对流过交换机的数据包的分析来确定用户使用网络的情况,对网络的即时监控,这些监控包括实时记录电脑工作台的屏幕快照;通过重播器可随时播放已记录的历史画面。可自由选择每次记荧幕快照的时间间隔;同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括:只有用户持有USB密钥和密码才能在指定电脑上网,禁止使用指定的应用程式,禁止或只运行浏览指定的网站,锁定工作站和登出、重启或关闭工作站。并对所监控的数据进分析归类。及时发现并阻止学生上不健康的网站。正确引导学生使用网络,确保学生不受不良网络的影响。
3.1.4 防代理、防假冒
学生是一个不安分,好奇心强的群体,他们会一方面把学校的网络当作一个实验环境,测试各种网络功能,另一方面,他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。目前在校园网网络中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,学校提供给学生一条上网的线路,就会给多个学生使用,大大消耗了网络资源,给学校的运营带来很大的损失。
3.1.5 物理隔离
由于公共网络及因特网上黑客猖獗,同时我国使用的计算机及网络设备的软硬件产品大多数是进口的,硬件上兼容并不稳定。安全上没有很好的保证,因而将外部网络中的因特网与内用网络实现物理隔离,使之没有任何连接,可以使园区网与外部专用网络连接时,园区网与Internet无物理联系在安全上较为稳妥。
3.1.6 防过度消耗资源软件
在校园网中,资源是有限的如果每一个学生都把自己能使用的资源都统统使用的话,那必然造成学校的网路阻塞甚至崩溃,而在校园网又是一个最容易传播新软件的地方,每当有人发现了新的实用的软件必然会介绍给同学和老师使用,这就造成了消耗资源软件被广泛利用。一旦这类软件在校园网内被广泛利用就会使校园网内大量资源浪费在它的身上而使许多其他的有用的软件不能正常的工作,如BT软件,虽然一度广泛使用,但由于其自身的特点最终只能走向没落。因此,限制消耗资源软件的使用不容忽视。
3.2 对于学校的外部,校园网络既要接受发送个类信息又要预防黑客攻击,病毒入侵必须要有一整套安全防护体系。
3.2.1 有害信息过滤网
作为校园网的第一道屏障,有害信息过滤网应当能把大部分有害的信息,常见的病毒拦截在校园网之外,防止一些色情、暴力危害学生的身心健康。确保校园网内工作的正常进行。
3.2.2 防火墙
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受外部非法用户的入侵。同时防火墙是预防黑客攻击,病毒入侵的重要屏障。防火墙的建立提供了对网络流量的可控过滤,以限制访问特定的因特网端口号,而其余则被堵塞,这一点要求它必须是唯一的入口点,用来阻止未经认证的外部登录,这就是防火墙与路由器是一个整体的原因。
3.2.3 端口控制机制
计算机服务器使用自动回呼设备、调制解调器对端口加以保护,并以加密的形式来识别节点的身份。外部用户对校园网进行访问时,端口对其进行身份探查,当确定其身份和法后才允许访问校园网。
3.2.4 加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。
3.2.5 封锁系统安全漏洞
在发现新病毒或因系统安全漏洞威胁网络安全时,应当及时提供各种补丁程序以便下载.许多操作系统和应用软件也在不断更新版本以修正错误或完善功能.对于校园网管理过程中,要及时下载和安装各种补丁、升级程序,封锁系统安全漏洞。这样对保护网络和信息系统的安全会起到很大作用,可以有效的防止一些“黑客”因为操作系统和各种应用软件的设计漏洞对校园网资源进行非法访问和有关操作。
3.2.6 及时备份
备份技术是常用的提高数据完整性的方法,它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。在备份的同时也须使用镜像技术,镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。同时使用备份,镜像技术能有效地保存数据,使数据得以保存。
3.2.7 规范的网络协议
要建立一个安全有效的校园网必须使用规范的网络协议,只有使用规范的网络协议才能有效地进行网络通信,便于以后的扩展和维护。
总之,校园网络的安全不仅是技术,设备,资金的问题,更是管理的问题在网络安全日益影响到校园网运行的情况下,我们不能够去保障校园网绝对的安全,只能说我们要尽一切可能去制止、减小一切非法的访问和操作,把不安全的因素降到最少,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识,安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,把校园网不安全因素降到最少。
参考文献:
[1]龚静.计算机网络安全策略的探讨[J].福建电脑,2004,5:18-19.
[2]王彦波.计算机网络安全系统[J].信息技术.2003,1(27):15-16.
[3]王学文,张秉辉.计算机网络安全方案[J].邯郸职业技术学院学报.2004,3(17):71-77.
[4]赵晖.计算机网络安全与防护[J].通信技术.2004,3:25-26.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。