论文部分内容阅读
摘 要:本文针对高校计算机实验室网络的特点,分析了当前网络安全密林的主要问题,并逐一提出解决方案。
关键词:实验室网络 网络安全 安全隐患
中图分类号:G420 文献标识码:A 文章编号:1673-9795(2012)11(b)-0185-01计算机实验室的网络在为教师和学生带来方便的同时也带来了各种各样的安全问题,从网络安全威胁的来源来划分,可以把实验室网络的安全隐患划分为以下三大类:
(1)来自实验室网络外部的安全隐患。计算机实验室的网络一般是通过与校园网相连接入Internet或直接与Internet相连,在享受Internet的便捷的信息资源的同时,大量的网络病毒和网络攻击也随之而来。ipspoofing攻击、smurf攻击、地址与端口扫描攻击、网络钓鱼、DoS功击等等层出不穷,对网络安全构成了极大的威胁。
(2)来自实验室网络内部的安全隐患。主要有不当操作、恶意破坏两大类:U盘/MP3等移动存储介质的广泛使用,使得实验室的病毒经常在用户不经意间在计算机间大量传播;而染毒电子邮件和网页木马也使得实验室的计算机大量被感染;各类P2P下载软件和基于P2P原理的在线视频技术的应用也严重影响了实验室网络的速度,严重时甚至导致网络堵塞、瘫痪。这些都是由于用户使用时不当操作所导致的。
(3)软硬件系统本身的安全隐患。高校计算机实验室中微机和服务器的操作系统主要有微软的Windows、苹果公司的Mac OS、各版本的Linux和Unix。任何系统的安全性上都不可能做到无懈可击,Windows系统尤其如此,虽然在易用性上做得非常出色,但安全漏洞却层出不穷。很多病毒和黑客程序正是利用了Windows系统的各种漏洞编写出来的。Mac OS、Linux和Unix系统的安全性能较Windows系统要相对安全一些,但也同样存在着安全漏洞和针对这些漏洞的病毒和黑客程序。
提高计算机实验室网络安全主要可以从硬件和软件两个方面采取措施:
其一,关于硬件方面。目前高校计算机实验室的网络多采用千兆线缆/光缆为主、百兆线缆交换到终端的交换式以太网,部分设施先进的实验室已实现千兆线缆交换到终端。由于采用主干一交换一终端三层的网络结构,想要在硬件方面提高网络安全就必须在这三个层面上分别实现。
(1)主干部分。在实验室网络中,主干部分需要通过防火墙与校园骨干网相连,这样做的目的是在不安全的校园网/互联网环境中构造一个相对安全的子网环境。在实验室网络中,防火墙是设置在实验室内部网络与外部网络之间的一层安全屏障,它可以看作是一种访问控制机制,用于确定哪些内部资源允许外部访问以及允许哪些内部网用户访问哪些外部资源及服务等。对于实验室网络安全来,防火墙起着至关重要的作用,只有防火墙才能够阻止来自外部网络的各种威胁。
当选择基于硬件的防火墙时,应当着重考虑以下几方面的因素:①安全性。市场上硬件防火墙的品种很多,价格上的差异也很大,为保障网络的安全,应该选择通过国际计算机安全协会(ICSA)的认证,符合数据包检测的行业标准的设备。②易用性。传统的防火墙的配置方式是在命令行模式下,对于很多实验室网络管理人员来说使用难度较大。近年已经有很多厂商的大量产品开始采用中文图形界面来管理和配置防火墙,这使管理人员更易于对防火墙进行安装、维护和故障处理。③技术支持。硬件设备难免发生故障,防火墙的固件也难免出现bug,所以选择能够提供全天候不间断可靠服务的厂商并在购买时签订相应的技术支持条款就显得十分重要了。④网关过滤。从目前病毒和垃圾邮件的传播途径来看,很大一部分是通过网络来传播,在实验室网络的入口就过滤病毒和垃圾邮件,无疑是最好的选择。⑤内容过滤。
(2)交换机。实验室网络主干和桌面终端之间通常采用以太网交换机相连接,传统的交换机对局域网中盛行的ARP攻击、DoS攻击和蠕虫、黑客、木马病毒等没有防范能力,一旦出现往往造成整个网络的瘫痪。解决这一问题只有采用防攻击安全型的交换机。通过基于WEB和MAC的访问控制方法可以保障网络的接人安全,IP地址-MAC地址一端口自动绑定功能也解决了ARP欺骗攻击和用户擅改IP地址等行为。而且提供常见蠕虫病毒的特征库,可实现对NachiBlasterD、SQLSlammer、Sasser等常见蠕虫病毒的防护。加上内置Scan的SYNF
IN、Xmascan、NULL Scan等多种常见DoS攻击的防护策略,有效防范内网DoS攻击。
(3)桌面终端。桌面终端是大多数实验室用户用以接入网络的设备,也是最容易被忽视的安全隐患。由于实验室开放的特点,人员流动性大难于管理,很难控制内部人员实施的黑客攻击和木马盗号等破坏。想彻底解决这一问题就需要使用IC或射频卡进行终端管理,实现插卡/划卡上机,拔卡下机并自动关机,这样再配合硬盘保护卡的即时还原功能可以把木马破坏的风险降到最低。而且这也可以锁定终端的使用者,一旦发现有人实施网络攻击等破坏的行为就可以立即对其进行批评教育。
(1)技术层面。首先是杀毒软件方面,往往实验室在硬件上投入很大,而在软件方面则投入不足,尤其是杀毒软件,很多实验室都是使用单机版的杀毒软件。由于实验室网络自身特点所决定,计算机所感染的病毒、木马多数来源于网络,同时,也通过网络向外传播,网络内计算机往往感染同样的病毒或木马。而实验室的计算机上杀毒软件的杀毒引擎和病毒库经常更新不及时,无法处理经网络传播的新型病毒。解决这一问题就需要安装网络版的杀毒软件,通过杀毒服务器可以管理网络中所有安装杀毒软件的计算机,控制他们升级病毒库和引擎,还可以统一控制网内计算机同时进行杀毒,以避免病毒屡杀不绝的问题。
(2)管理层面。再完善的设备也离不开人的管理和使用,很多网络故障都是因为管理不善所间接导致的,而实验室网络在管理上必须加以解决的问题主要有三点:
①建立完善的安全管理制度。学校应制定相应的实验室网络安全管理制度,严格管理系统日志,定期对校园网络系统的安全状况进行评估和审核。
②注重数据备份。实验室的服务器中往往存储了大量的实验数据,并为网络提供各种服务,对重要数据及数据库系统进行定期备份,并注意备份数据的安全有效,一旦系统出现故障时能够在最短的时间恢复数据。
③建立统一的身份认证系统。用户通过向系统输入自己的身份证明,系统验证用户是否具有相应的权限,用户必须通过认证才能进行权限之内的资源使用。建立了全网统一的身份认证系统,不仅可以有效地防止IP地址被盗用,还有效的避免黑客的攻击。
参考文献
[1] 顾巧论,高铁杠,贾春福,等,计算机网络安全[M].北京:清华大学出版社,2004.
[2] 李靖.浅析高校校园网的网络安全[J].黑龙江科技信息,2008(18):80.
关键词:实验室网络 网络安全 安全隐患
中图分类号:G420 文献标识码:A 文章编号:1673-9795(2012)11(b)-0185-01计算机实验室的网络在为教师和学生带来方便的同时也带来了各种各样的安全问题,从网络安全威胁的来源来划分,可以把实验室网络的安全隐患划分为以下三大类:
(1)来自实验室网络外部的安全隐患。计算机实验室的网络一般是通过与校园网相连接入Internet或直接与Internet相连,在享受Internet的便捷的信息资源的同时,大量的网络病毒和网络攻击也随之而来。ipspoofing攻击、smurf攻击、地址与端口扫描攻击、网络钓鱼、DoS功击等等层出不穷,对网络安全构成了极大的威胁。
(2)来自实验室网络内部的安全隐患。主要有不当操作、恶意破坏两大类:U盘/MP3等移动存储介质的广泛使用,使得实验室的病毒经常在用户不经意间在计算机间大量传播;而染毒电子邮件和网页木马也使得实验室的计算机大量被感染;各类P2P下载软件和基于P2P原理的在线视频技术的应用也严重影响了实验室网络的速度,严重时甚至导致网络堵塞、瘫痪。这些都是由于用户使用时不当操作所导致的。
(3)软硬件系统本身的安全隐患。高校计算机实验室中微机和服务器的操作系统主要有微软的Windows、苹果公司的Mac OS、各版本的Linux和Unix。任何系统的安全性上都不可能做到无懈可击,Windows系统尤其如此,虽然在易用性上做得非常出色,但安全漏洞却层出不穷。很多病毒和黑客程序正是利用了Windows系统的各种漏洞编写出来的。Mac OS、Linux和Unix系统的安全性能较Windows系统要相对安全一些,但也同样存在着安全漏洞和针对这些漏洞的病毒和黑客程序。
提高计算机实验室网络安全主要可以从硬件和软件两个方面采取措施:
其一,关于硬件方面。目前高校计算机实验室的网络多采用千兆线缆/光缆为主、百兆线缆交换到终端的交换式以太网,部分设施先进的实验室已实现千兆线缆交换到终端。由于采用主干一交换一终端三层的网络结构,想要在硬件方面提高网络安全就必须在这三个层面上分别实现。
(1)主干部分。在实验室网络中,主干部分需要通过防火墙与校园骨干网相连,这样做的目的是在不安全的校园网/互联网环境中构造一个相对安全的子网环境。在实验室网络中,防火墙是设置在实验室内部网络与外部网络之间的一层安全屏障,它可以看作是一种访问控制机制,用于确定哪些内部资源允许外部访问以及允许哪些内部网用户访问哪些外部资源及服务等。对于实验室网络安全来,防火墙起着至关重要的作用,只有防火墙才能够阻止来自外部网络的各种威胁。
当选择基于硬件的防火墙时,应当着重考虑以下几方面的因素:①安全性。市场上硬件防火墙的品种很多,价格上的差异也很大,为保障网络的安全,应该选择通过国际计算机安全协会(ICSA)的认证,符合数据包检测的行业标准的设备。②易用性。传统的防火墙的配置方式是在命令行模式下,对于很多实验室网络管理人员来说使用难度较大。近年已经有很多厂商的大量产品开始采用中文图形界面来管理和配置防火墙,这使管理人员更易于对防火墙进行安装、维护和故障处理。③技术支持。硬件设备难免发生故障,防火墙的固件也难免出现bug,所以选择能够提供全天候不间断可靠服务的厂商并在购买时签订相应的技术支持条款就显得十分重要了。④网关过滤。从目前病毒和垃圾邮件的传播途径来看,很大一部分是通过网络来传播,在实验室网络的入口就过滤病毒和垃圾邮件,无疑是最好的选择。⑤内容过滤。
(2)交换机。实验室网络主干和桌面终端之间通常采用以太网交换机相连接,传统的交换机对局域网中盛行的ARP攻击、DoS攻击和蠕虫、黑客、木马病毒等没有防范能力,一旦出现往往造成整个网络的瘫痪。解决这一问题只有采用防攻击安全型的交换机。通过基于WEB和MAC的访问控制方法可以保障网络的接人安全,IP地址-MAC地址一端口自动绑定功能也解决了ARP欺骗攻击和用户擅改IP地址等行为。而且提供常见蠕虫病毒的特征库,可实现对NachiBlasterD、SQLSlammer、Sasser等常见蠕虫病毒的防护。加上内置Scan的SYNF
IN、Xmascan、NULL Scan等多种常见DoS攻击的防护策略,有效防范内网DoS攻击。
(3)桌面终端。桌面终端是大多数实验室用户用以接入网络的设备,也是最容易被忽视的安全隐患。由于实验室开放的特点,人员流动性大难于管理,很难控制内部人员实施的黑客攻击和木马盗号等破坏。想彻底解决这一问题就需要使用IC或射频卡进行终端管理,实现插卡/划卡上机,拔卡下机并自动关机,这样再配合硬盘保护卡的即时还原功能可以把木马破坏的风险降到最低。而且这也可以锁定终端的使用者,一旦发现有人实施网络攻击等破坏的行为就可以立即对其进行批评教育。
(1)技术层面。首先是杀毒软件方面,往往实验室在硬件上投入很大,而在软件方面则投入不足,尤其是杀毒软件,很多实验室都是使用单机版的杀毒软件。由于实验室网络自身特点所决定,计算机所感染的病毒、木马多数来源于网络,同时,也通过网络向外传播,网络内计算机往往感染同样的病毒或木马。而实验室的计算机上杀毒软件的杀毒引擎和病毒库经常更新不及时,无法处理经网络传播的新型病毒。解决这一问题就需要安装网络版的杀毒软件,通过杀毒服务器可以管理网络中所有安装杀毒软件的计算机,控制他们升级病毒库和引擎,还可以统一控制网内计算机同时进行杀毒,以避免病毒屡杀不绝的问题。
(2)管理层面。再完善的设备也离不开人的管理和使用,很多网络故障都是因为管理不善所间接导致的,而实验室网络在管理上必须加以解决的问题主要有三点:
①建立完善的安全管理制度。学校应制定相应的实验室网络安全管理制度,严格管理系统日志,定期对校园网络系统的安全状况进行评估和审核。
②注重数据备份。实验室的服务器中往往存储了大量的实验数据,并为网络提供各种服务,对重要数据及数据库系统进行定期备份,并注意备份数据的安全有效,一旦系统出现故障时能够在最短的时间恢复数据。
③建立统一的身份认证系统。用户通过向系统输入自己的身份证明,系统验证用户是否具有相应的权限,用户必须通过认证才能进行权限之内的资源使用。建立了全网统一的身份认证系统,不仅可以有效地防止IP地址被盗用,还有效的避免黑客的攻击。
参考文献
[1] 顾巧论,高铁杠,贾春福,等,计算机网络安全[M].北京:清华大学出版社,2004.
[2] 李靖.浅析高校校园网的网络安全[J].黑龙江科技信息,2008(18):80.