论文部分内容阅读
摘要随着计算机网络在高校中的迅速普及,对网络的各种攻击越来越多,确保网络安全显得尤为迫切。本文针对当前对高校校园网络面临的主要威胁进行了分析,并提出了一些防范各种安全问题的方法和对策。
关键词高校 网络安全 防范对策
中图分类号:G64文献标识码:A
0 引言
伴随计算机技术的飞速发展和网络的迅速普及,校园网已经变成高校里一个重要的基础设施,计算机网络在日常教学、行政办公、校园图书管理等各方面的应用,致使校园网的规模越来越大。各种应用系统在校园网平台中的使用,使网络的环境越来越复杂。由于校园网的接入用户数量多,用户终端分布不均匀,网络的开放技术体制等,导致了校园网特别易遭到各种网络攻击,随着网络规模的日趋扩大,网络的安全性显得尤其迫切。
1 校园网络面临的威胁分析
1.1 计算机病毒肆虐
计算机病毒的发展非常迅速,是目前计算机网络的一个最主要的危害。病毒主要是在用户复制文件或在因特网下载时被感染病毒的,在日常计算机使用过程中,优盘、移动硬盘及其它存储介质的使用都会造成病毒的传播,尤其是随着网络技术的发展,网络病毒的出现使其破坏性变得更强,网络病毒通过网络向有漏洞的操作系统或应用软件进行传播,使用户防不胜防。近几年来,一些恶性的网络病毒在全世界范围内造成了广泛的影响。由于高校的网络接入复杂,用户多,无法进行全方位整体的管理,一旦计算机系统被感染了计算机病毒,就会导致系统运行缓慢,无法进行正常的使用,甚至会造成数据的丢失与损坏。
1.2 对校园网的入侵行为日益增多
校园网采用的技术大多是基于TCP/IP开放技术体制的,由于TCP/IP是基于信任网络环境,在安全机制上没有进行充分的考虑,这就导致了计算机网络系统的脆弱性,特别容易遭受到攻击。高校的一些科研成果和关键的信息,特别容易受到黑客的攻击,为了获取关键的数据,黑客通常会对高校计算机网络进行各种攻击,导致一些安全防护设备服务的中断,从而进入内部网络,到达数据的窃取或篡改的企图。而且,在成功攻入内部网络后,还会在内部系统中植入木马程序,为以后的攻击大开方便之门。
1.3 网络内部攻击严重
在因特网上,各种免费的攻击软件随处可见,相应的培训教材也非常的详细,学生很容易下载这些攻击软件在校园网中随意使用。而学校的网络管理部门,往往只重视外部的黑客攻击行为,而忽视对内部行为的监管,导致学生在校园网中随意使用各种黑客软件。一些典型的攻击方式,如拒绝服务攻击、种植木马、IP碎片攻击、OOB攻击等,会对网络造成极大的危害。
1.4 忽视系统漏洞的防护
在高校使用的操作系统中,大多是windows系列的操作系统、UNIX操作系统及Linux操作系统等,由于系统自身存在有许多漏洞,这些漏洞很容易被黑客进行利用,进行各种攻击活动,因而软件商会在第一时间内发布各种系统和应用软件补丁。而计算机用户往往忽视对系统打补丁,这就为遭受攻击埋下了隐患。再者,因高校使用的应用软件及数据库的不同,开发商对于软件安全防护水平不一,也会造成用户使用上的损失。
1.5 不健康信息在网络中的传播
由于因特网丰富的信息给用户带来极大的便利的同时,也带来了一些负面的影响。在网络中,充斥着各种各样大量的色情、反动、暴力等不良信息,在进行网络信息浏览、论坛聊天中,很容易接触到这些内容,严重地影响了学生的价值观和身心健康。所以,对网络内容的过滤,改善网络的环境,已成为了校园网网络管理中面临的一个新的问题。
2 对各种安全风险的防范策略
2.1 网络逻辑区域划分
在校园网内部,通常是一个由接入层交换机组成的交换网络,整个区域是一个广播域。为了克服网络的广播风暴问题,需要对网络进行逻辑区域划分,实行网络逻辑上隔离,这样还有一个优点就是,可以在各个逻辑区域中进行安全策略的部署,对各个逻辑区域进行安全控制,如在逻辑区域的接口处安装防火墙或者配置网络访问安全列表(ACL)。实施网络逻辑区域的划分的主要方式是对交换设备进行VLAN的划分。在划分了VLAN之后,即使在同一台交换机上的不同机器,只要处于不同的VLAN,就不能实现互相通信,而只有额外通过线路的连接才能互通。
2.2 身份认证系统
身份认证系统,是指用户在接入网络系统中,需要进行合法身份验证过程,主要的方式有安全口令、用户指纹、用户智能卡等方式。通过身份认证系统,可以克服网络接入的开放性,防止非授权用户接入校园网络,从根本上消除网络安全隐患,从而做到对网络用户的可控、可管,加强高校校园网络的安全性。
2.3 网络防火墙系统
防火墙是位于网络边界节点上,对网络流量进行控制的一种系统,它是网络安全中最基本的一种安全设施。它将网络分为可信任网络和非信任网络,通常防火墙既要对非信任网络进行网络访问控制,也要对可信任网络、也即是内部网络进行访问控制。这是因为,几乎有一半网络攻击行为是从内部网络发起的。如在高校的校园网中,网络掉线一直是一个比较常见的问题,而导致这个问题的就是ARP攻击,为了解决这个问题,就要在防火墙上对内部的ARP数据包进行过滤,阻止一些非法的ARP数据包。防火墙的部署,通常是部署在校园网和外部网络的边界接口处,对于内部网的关键区域,也要单独部署防火墙,配置规则更为严厉的规则。对于用户终端来说,可以在终端上安装软件形式的防火墙,实施对终端的安全防护。
2.4 入侵检测技术
入侵检测系统是对网络异常访问行为的自动监测技术,如木马攻击、种植后门、对系统进行非法扫描活动等。入侵检测系统可以弥补网络防火墙对异常访问行为监控不足的缺点,是对网络防火墙的重要补充。网络防火墙通常是位于网络层的安全设备,是对网络数据包进行控制,而无法区分数据包是正常访问行为还是在进行黑客攻击。而入侵检测系统正好可以实现这个功能。入侵检测系统可以分为基于网络的入侵检测系统和基于主机的入侵检测系统。在部署时,在校园网的安全中心部署基于网络的入侵检测系统,将探测端安装在网络核心交换机处,这样就可以对网络访问行为实施全局的监控。在用户终端上,可以部署基于主机的入侵检测系统,通过对主系统日志、安全日志及应用程序日志的分析,发现对终端的攻击行为。
2.5 使用虚拟专用网
目前,许多高校都有一些物理位置距离较远的分校区,还有一些需要和校园网进行通信的家属区。怎样将各分校区的局域网进行互联互通,而且还要保证其网络的安全性,是目前校园网网络建设所面临的一个重要问题。传统的做法就是通过租用专用线路的方式,将各个物理区域实现连接,但这种方式存在费用高昂的缺点,而虚拟专用网(Virtual Private Network,VPN)技术,正好解决这个问题。虚拟专用网是通过公用网来实施隐蔽通信的一种方式,它通过利用隧道、加密和认证等技术,在公用网上进行信息的安全传输,它对公用网来说,具有非常隐蔽的特点,使攻击者无法察觉其连接的存在。VPN之外的用户,不能访问VPN内部的资源,而VPN内部的用户则可以实现安全通信。虚拟专用网的建设周期短,所需资金非常少,不需要租用电信专用线路,只需部署相关的服务器即可实现功能需要。
3 结束语
高效校园网的网络安全,对校园网稳定运行具有重要的影响,已经成为能否发挥网络作用的一个制约因素。网络安全建设,不能只凭借防火墙技术就能解决的,它需要从系统整体上通盘考虑,部署分层次、全方位的各种安全技术手段,同时要建立相应的管理制度,只有将各种安全技术和管理制度结合起来,才能有效地保证校园网的安全。
参考文献
[1]陈亮,许波. 计算机网络安全存在的问题和预防.信息与电脑(理论版),2009(7).
[2]鲁林鑫.企业计算机网络安全防护措施和对策研究.科技创新导报, 2010(2).
[3]刘伟,高瑾.校园网络安全防范策略的研究.茂名学院学报,2009(8).
[4]陈卿.计算机网络安全研究.读与写(教育教学刊),2009(11).
关键词高校 网络安全 防范对策
中图分类号:G64文献标识码:A
0 引言
伴随计算机技术的飞速发展和网络的迅速普及,校园网已经变成高校里一个重要的基础设施,计算机网络在日常教学、行政办公、校园图书管理等各方面的应用,致使校园网的规模越来越大。各种应用系统在校园网平台中的使用,使网络的环境越来越复杂。由于校园网的接入用户数量多,用户终端分布不均匀,网络的开放技术体制等,导致了校园网特别易遭到各种网络攻击,随着网络规模的日趋扩大,网络的安全性显得尤其迫切。
1 校园网络面临的威胁分析
1.1 计算机病毒肆虐
计算机病毒的发展非常迅速,是目前计算机网络的一个最主要的危害。病毒主要是在用户复制文件或在因特网下载时被感染病毒的,在日常计算机使用过程中,优盘、移动硬盘及其它存储介质的使用都会造成病毒的传播,尤其是随着网络技术的发展,网络病毒的出现使其破坏性变得更强,网络病毒通过网络向有漏洞的操作系统或应用软件进行传播,使用户防不胜防。近几年来,一些恶性的网络病毒在全世界范围内造成了广泛的影响。由于高校的网络接入复杂,用户多,无法进行全方位整体的管理,一旦计算机系统被感染了计算机病毒,就会导致系统运行缓慢,无法进行正常的使用,甚至会造成数据的丢失与损坏。
1.2 对校园网的入侵行为日益增多
校园网采用的技术大多是基于TCP/IP开放技术体制的,由于TCP/IP是基于信任网络环境,在安全机制上没有进行充分的考虑,这就导致了计算机网络系统的脆弱性,特别容易遭受到攻击。高校的一些科研成果和关键的信息,特别容易受到黑客的攻击,为了获取关键的数据,黑客通常会对高校计算机网络进行各种攻击,导致一些安全防护设备服务的中断,从而进入内部网络,到达数据的窃取或篡改的企图。而且,在成功攻入内部网络后,还会在内部系统中植入木马程序,为以后的攻击大开方便之门。
1.3 网络内部攻击严重
在因特网上,各种免费的攻击软件随处可见,相应的培训教材也非常的详细,学生很容易下载这些攻击软件在校园网中随意使用。而学校的网络管理部门,往往只重视外部的黑客攻击行为,而忽视对内部行为的监管,导致学生在校园网中随意使用各种黑客软件。一些典型的攻击方式,如拒绝服务攻击、种植木马、IP碎片攻击、OOB攻击等,会对网络造成极大的危害。
1.4 忽视系统漏洞的防护
在高校使用的操作系统中,大多是windows系列的操作系统、UNIX操作系统及Linux操作系统等,由于系统自身存在有许多漏洞,这些漏洞很容易被黑客进行利用,进行各种攻击活动,因而软件商会在第一时间内发布各种系统和应用软件补丁。而计算机用户往往忽视对系统打补丁,这就为遭受攻击埋下了隐患。再者,因高校使用的应用软件及数据库的不同,开发商对于软件安全防护水平不一,也会造成用户使用上的损失。
1.5 不健康信息在网络中的传播
由于因特网丰富的信息给用户带来极大的便利的同时,也带来了一些负面的影响。在网络中,充斥着各种各样大量的色情、反动、暴力等不良信息,在进行网络信息浏览、论坛聊天中,很容易接触到这些内容,严重地影响了学生的价值观和身心健康。所以,对网络内容的过滤,改善网络的环境,已成为了校园网网络管理中面临的一个新的问题。
2 对各种安全风险的防范策略
2.1 网络逻辑区域划分
在校园网内部,通常是一个由接入层交换机组成的交换网络,整个区域是一个广播域。为了克服网络的广播风暴问题,需要对网络进行逻辑区域划分,实行网络逻辑上隔离,这样还有一个优点就是,可以在各个逻辑区域中进行安全策略的部署,对各个逻辑区域进行安全控制,如在逻辑区域的接口处安装防火墙或者配置网络访问安全列表(ACL)。实施网络逻辑区域的划分的主要方式是对交换设备进行VLAN的划分。在划分了VLAN之后,即使在同一台交换机上的不同机器,只要处于不同的VLAN,就不能实现互相通信,而只有额外通过线路的连接才能互通。
2.2 身份认证系统
身份认证系统,是指用户在接入网络系统中,需要进行合法身份验证过程,主要的方式有安全口令、用户指纹、用户智能卡等方式。通过身份认证系统,可以克服网络接入的开放性,防止非授权用户接入校园网络,从根本上消除网络安全隐患,从而做到对网络用户的可控、可管,加强高校校园网络的安全性。
2.3 网络防火墙系统
防火墙是位于网络边界节点上,对网络流量进行控制的一种系统,它是网络安全中最基本的一种安全设施。它将网络分为可信任网络和非信任网络,通常防火墙既要对非信任网络进行网络访问控制,也要对可信任网络、也即是内部网络进行访问控制。这是因为,几乎有一半网络攻击行为是从内部网络发起的。如在高校的校园网中,网络掉线一直是一个比较常见的问题,而导致这个问题的就是ARP攻击,为了解决这个问题,就要在防火墙上对内部的ARP数据包进行过滤,阻止一些非法的ARP数据包。防火墙的部署,通常是部署在校园网和外部网络的边界接口处,对于内部网的关键区域,也要单独部署防火墙,配置规则更为严厉的规则。对于用户终端来说,可以在终端上安装软件形式的防火墙,实施对终端的安全防护。
2.4 入侵检测技术
入侵检测系统是对网络异常访问行为的自动监测技术,如木马攻击、种植后门、对系统进行非法扫描活动等。入侵检测系统可以弥补网络防火墙对异常访问行为监控不足的缺点,是对网络防火墙的重要补充。网络防火墙通常是位于网络层的安全设备,是对网络数据包进行控制,而无法区分数据包是正常访问行为还是在进行黑客攻击。而入侵检测系统正好可以实现这个功能。入侵检测系统可以分为基于网络的入侵检测系统和基于主机的入侵检测系统。在部署时,在校园网的安全中心部署基于网络的入侵检测系统,将探测端安装在网络核心交换机处,这样就可以对网络访问行为实施全局的监控。在用户终端上,可以部署基于主机的入侵检测系统,通过对主系统日志、安全日志及应用程序日志的分析,发现对终端的攻击行为。
2.5 使用虚拟专用网
目前,许多高校都有一些物理位置距离较远的分校区,还有一些需要和校园网进行通信的家属区。怎样将各分校区的局域网进行互联互通,而且还要保证其网络的安全性,是目前校园网网络建设所面临的一个重要问题。传统的做法就是通过租用专用线路的方式,将各个物理区域实现连接,但这种方式存在费用高昂的缺点,而虚拟专用网(Virtual Private Network,VPN)技术,正好解决这个问题。虚拟专用网是通过公用网来实施隐蔽通信的一种方式,它通过利用隧道、加密和认证等技术,在公用网上进行信息的安全传输,它对公用网来说,具有非常隐蔽的特点,使攻击者无法察觉其连接的存在。VPN之外的用户,不能访问VPN内部的资源,而VPN内部的用户则可以实现安全通信。虚拟专用网的建设周期短,所需资金非常少,不需要租用电信专用线路,只需部署相关的服务器即可实现功能需要。
3 结束语
高效校园网的网络安全,对校园网稳定运行具有重要的影响,已经成为能否发挥网络作用的一个制约因素。网络安全建设,不能只凭借防火墙技术就能解决的,它需要从系统整体上通盘考虑,部署分层次、全方位的各种安全技术手段,同时要建立相应的管理制度,只有将各种安全技术和管理制度结合起来,才能有效地保证校园网的安全。
参考文献
[1]陈亮,许波. 计算机网络安全存在的问题和预防.信息与电脑(理论版),2009(7).
[2]鲁林鑫.企业计算机网络安全防护措施和对策研究.科技创新导报, 2010(2).
[3]刘伟,高瑾.校园网络安全防范策略的研究.茂名学院学报,2009(8).
[4]陈卿.计算机网络安全研究.读与写(教育教学刊),2009(11).