论文部分内容阅读
摘 要:随着高等院校的扩展,人数迅速增长,网络用户规模大幅增加。由于不同计算机技术水平的人员具有不同的网络操作水平,导致校园网络面临的威胁越来越严重。本文详细地分析了新时期校园网络面临的安全威胁,从应用层、接入层、传输层等方面构建了一个深度防御系统,保证校园网络正常运行。
关键词:校园网络;安全威胁;病毒;防火墙
中图分类号:TP393.08
随着我国高校规模的迅速扩张,校园网络覆盖范围也越来越大,分布在不同区域的校园网络用户也迅速上升。由于学生、教师以及行政工作人员的计算机操作水平不尽相同,很多人不能够熟练掌握正确的网络访问方法,导致校园网络面临巨大的安全威胁。尤其许多的学生用户,网络安全意识淡薄,猎奇心重,且安全防护的措施比较简单,计算机更加容易被木马感染,以此传播于校园网中,对网络造成影响,更是加剧了网络运行的风险。因此,加强校园网络安全防御措施,规范用户上网行为,已经成为校园网络管理的重要工作[1]。
1 新时期校园网络面临的安全威胁
校园网络在使用和发展的同时,网络安全问题也日益凸显,主要表现在形式多样化的网络威胁、居高不下的漏洞数量和多种多样的病毒传播方式等方面。
1.1 形式多樣化的网络威胁
校园网安全主要的威胁来自黑客攻击,它主要是经过挖掘实际操作系统实现中潜在的技术漏洞,来访问与处理最高权限的信息资源[2]。黑客还能够经过信息搜集与欺骗的方式,来对校园网的薄弱环节进行攻击,并以此来对网络进行攻击。黑客采用的攻击手段主要有:采用网站和电子邮件实现诈骗、采用网络银行盗号木马、木马软件等对网络实施攻击,同时在网络上制作、散布恶意代码,窃取敏感信息。原来,网络黑客的攻击只是来获取经济方面的利益,目前,网络黑客已经发展到对特定目标的网络进行攻击。
1.2 居高不下的漏洞数量
网络面临最大的安全隐患就是针对漏洞发起的各种攻击,尤其是计算机操作系统中隐含的安全漏洞。在高校校园网络环境当中,各个主机系统的安全性制约着网络系统的安全性,因此校园网络安全需要安全的操作系统来给予支持。Unix、WindowsServer、Linux等是当前高校校园网中经常使用的操作系统,它们都符合C2级安全级别,但是同样也有很多的漏洞,如IIS漏洞、Unix的自身安全漏洞等[3]。
1.3 多种多样的病毒传播方式
和传统单机病毒明显不同,网络病毒的传播速度快、传播途径广,也不需要普通用户的参与,对网络造成的危害特别大。网络病毒包括FTP病毒、邮件病毒以及网页病毒等,比如熊猫烧香病毒、震荡波病毒、ARP病毒、AV终结者病毒等,都严重威胁着校园网的安全[4]。这些病毒通过入侵网站、隐藏在电子邮件中或通过移动存储介质流转等方式侵入校园网,自动地探测计算机中所存在的漏洞,或者会自动的对有用信息进行收集,比如网络中传送的明文口令、邮件地址列表等。
2 校园网络安全深度防御系统应用构建
2.1 应用层安全防御措施
应用层与网络用户直接接触,因此,加强应用层安全防御措施是保护网络安全的第一道屏障,具有非常重要的意义。应用层采取的措施有:加强用户/组的管理,实行单一登陆及认证。给每个用户分配固定的标识,根据用户的信息对用户的访问权限进行控制,并根据用户的网络行为对用户的权限动态调控。具体的:在多个用户访问服务器资源过程中,可以针对用户设置不同的权限角色,不同的用户角色在访问系统资源的过程中,拥有不同的访问权限。同时如果网络用户在访问过程中,发现其存在更高的需求,可以为其设置更高的访问权限,以便能够保护系统的服务资源,确保用户实现有效控制访问[5]。
2.2 接入层安全防御措施
接入层根据不同的IP地址归属,采用不同的网络存取控制和授权模式,同时加大远程接入的安全防范。由于学校学生用户较多,不同的学生归属不同的院系,因此,为了能够控制学生对网络中分布的应用服务器进行存取控制,应根据校园网络使用的IP地址进行分类,将IP地址与所属于的VPN、VLAN和所属于的子网、计算机的MAC地址、用户名等信息实施映射,形成一一对应的关系。这样不但可以有效地控制网络应用的访问和存取权限,同时也可以非常容易且方便地管理和监测网络中的所有用户。同时采用ROST技术实施强制访问控制,所有用户(包括最高权限用户)都无法访问受保护的网络资源。校园网络用户远程接入操作频繁,经常存在一个教师或校领导在家里操作学校的电脑,实施数据传输、日常办公等,因此,远程接入时实现数据的安全传输是一项非常重要的工作。为了能够更加有效地支撑该类操作,采用远程接入技术主要是IPSec VPN和SSLVPN技术为数据传输过程进行加密。
2.3 传输层防御措施
传输层可以采用严格的安全保护措施,比如构建一个入侵检测、审计分析和防火墙体系。在传输层可以使用病毒软件、防火墙、ACL和虚拟局域网等手段进行实现,主要为校园网络用户构建一个网络防火墙体系,以便能够控制网络用户的认证信息,保证网络不受到病毒、黑客的侵袭,以便能够正常地为用户提供服务。
2.4 其他主动防御措施
(1)网络主动预警。校园网络运行过程中,可以采用主动预警技术,采用基于神经网络、遗传算法等技术入侵检测方案,检测网络是否存在非法的数据流,扫描网络是否存在漏洞,以便能够根据网络攻击经验知识,判断网络中信息流的内容及特征,实施主动预警。目前,主动预警技术包括四种,分别是漏洞预警、行为预警、攻击预警和情报收集分析预警。漏洞预警可以使用先进的扫描技术扫描网络操作系统、防火墙、服务器是否存在漏洞,以便能够及时都发现漏洞,阻止网络黑客通过漏洞攻击;行为预警可以采用数据挖掘技术,抓取网络攻击行为数据流,分析数据流的特征,预知网络受到的攻击;攻击预警可以根据当前正在发生、已经发生的攻击行为判断网络未来是否存在攻击行为,及时地予以阻止;情报收集分析预警可以通过从海量数据信息中抓取各类网络信息,判断网络发生攻击的行为,有效地进行阻止。
(2)网络主动响应。如果网络预警攻击即将发生或者网络攻击已经发生,网络主动响应技术可以及时做出攻击防范,将攻击给网络带来的危害降低到最小程度。网路主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去,也可以使用网络监控系统和网络深度防火墙将网络攻击阻断,避免造成网络瘫痪,无法使用。
3 结束语
校园网络深度防御系统是一项非常复杂的、动态的工程,其随着计算机技术、网络安全技术的发展和进步,将会得到不断的完善。融合多种漏洞检测、访问控制、主动预警等技术,建立一个全方位、多层次、多维度的深层防御系统,以保证校园网络能够正常运行,为用户提供良好的网络服务。
参考文献:
[1]江小燕.学校办公自动化的网络安全管理[J].信息与电脑(理论版),2010(05).
[2]古玲聪.企业网络安全结构分析与设计[J].西南农业大学学报(社会科学版),2011(07).
[3]王希忠,黄俊强.《网络安全管理》标准介绍[J].信息技术与标准化,2010(10).
[4]高泽毅.浅析计算机网络安全管理[J].信息与电脑(理论版),2010(12).
[5]查日强.入侵检测系统NetDT配置[J].电脑知识与技术,2011(15).
作者单位:达州市高级技工学校,四川达州 635000
关键词:校园网络;安全威胁;病毒;防火墙
中图分类号:TP393.08
随着我国高校规模的迅速扩张,校园网络覆盖范围也越来越大,分布在不同区域的校园网络用户也迅速上升。由于学生、教师以及行政工作人员的计算机操作水平不尽相同,很多人不能够熟练掌握正确的网络访问方法,导致校园网络面临巨大的安全威胁。尤其许多的学生用户,网络安全意识淡薄,猎奇心重,且安全防护的措施比较简单,计算机更加容易被木马感染,以此传播于校园网中,对网络造成影响,更是加剧了网络运行的风险。因此,加强校园网络安全防御措施,规范用户上网行为,已经成为校园网络管理的重要工作[1]。
1 新时期校园网络面临的安全威胁
校园网络在使用和发展的同时,网络安全问题也日益凸显,主要表现在形式多样化的网络威胁、居高不下的漏洞数量和多种多样的病毒传播方式等方面。
1.1 形式多樣化的网络威胁
校园网安全主要的威胁来自黑客攻击,它主要是经过挖掘实际操作系统实现中潜在的技术漏洞,来访问与处理最高权限的信息资源[2]。黑客还能够经过信息搜集与欺骗的方式,来对校园网的薄弱环节进行攻击,并以此来对网络进行攻击。黑客采用的攻击手段主要有:采用网站和电子邮件实现诈骗、采用网络银行盗号木马、木马软件等对网络实施攻击,同时在网络上制作、散布恶意代码,窃取敏感信息。原来,网络黑客的攻击只是来获取经济方面的利益,目前,网络黑客已经发展到对特定目标的网络进行攻击。
1.2 居高不下的漏洞数量
网络面临最大的安全隐患就是针对漏洞发起的各种攻击,尤其是计算机操作系统中隐含的安全漏洞。在高校校园网络环境当中,各个主机系统的安全性制约着网络系统的安全性,因此校园网络安全需要安全的操作系统来给予支持。Unix、WindowsServer、Linux等是当前高校校园网中经常使用的操作系统,它们都符合C2级安全级别,但是同样也有很多的漏洞,如IIS漏洞、Unix的自身安全漏洞等[3]。
1.3 多种多样的病毒传播方式
和传统单机病毒明显不同,网络病毒的传播速度快、传播途径广,也不需要普通用户的参与,对网络造成的危害特别大。网络病毒包括FTP病毒、邮件病毒以及网页病毒等,比如熊猫烧香病毒、震荡波病毒、ARP病毒、AV终结者病毒等,都严重威胁着校园网的安全[4]。这些病毒通过入侵网站、隐藏在电子邮件中或通过移动存储介质流转等方式侵入校园网,自动地探测计算机中所存在的漏洞,或者会自动的对有用信息进行收集,比如网络中传送的明文口令、邮件地址列表等。
2 校园网络安全深度防御系统应用构建
2.1 应用层安全防御措施
应用层与网络用户直接接触,因此,加强应用层安全防御措施是保护网络安全的第一道屏障,具有非常重要的意义。应用层采取的措施有:加强用户/组的管理,实行单一登陆及认证。给每个用户分配固定的标识,根据用户的信息对用户的访问权限进行控制,并根据用户的网络行为对用户的权限动态调控。具体的:在多个用户访问服务器资源过程中,可以针对用户设置不同的权限角色,不同的用户角色在访问系统资源的过程中,拥有不同的访问权限。同时如果网络用户在访问过程中,发现其存在更高的需求,可以为其设置更高的访问权限,以便能够保护系统的服务资源,确保用户实现有效控制访问[5]。
2.2 接入层安全防御措施
接入层根据不同的IP地址归属,采用不同的网络存取控制和授权模式,同时加大远程接入的安全防范。由于学校学生用户较多,不同的学生归属不同的院系,因此,为了能够控制学生对网络中分布的应用服务器进行存取控制,应根据校园网络使用的IP地址进行分类,将IP地址与所属于的VPN、VLAN和所属于的子网、计算机的MAC地址、用户名等信息实施映射,形成一一对应的关系。这样不但可以有效地控制网络应用的访问和存取权限,同时也可以非常容易且方便地管理和监测网络中的所有用户。同时采用ROST技术实施强制访问控制,所有用户(包括最高权限用户)都无法访问受保护的网络资源。校园网络用户远程接入操作频繁,经常存在一个教师或校领导在家里操作学校的电脑,实施数据传输、日常办公等,因此,远程接入时实现数据的安全传输是一项非常重要的工作。为了能够更加有效地支撑该类操作,采用远程接入技术主要是IPSec VPN和SSLVPN技术为数据传输过程进行加密。
2.3 传输层防御措施
传输层可以采用严格的安全保护措施,比如构建一个入侵检测、审计分析和防火墙体系。在传输层可以使用病毒软件、防火墙、ACL和虚拟局域网等手段进行实现,主要为校园网络用户构建一个网络防火墙体系,以便能够控制网络用户的认证信息,保证网络不受到病毒、黑客的侵袭,以便能够正常地为用户提供服务。
2.4 其他主动防御措施
(1)网络主动预警。校园网络运行过程中,可以采用主动预警技术,采用基于神经网络、遗传算法等技术入侵检测方案,检测网络是否存在非法的数据流,扫描网络是否存在漏洞,以便能够根据网络攻击经验知识,判断网络中信息流的内容及特征,实施主动预警。目前,主动预警技术包括四种,分别是漏洞预警、行为预警、攻击预警和情报收集分析预警。漏洞预警可以使用先进的扫描技术扫描网络操作系统、防火墙、服务器是否存在漏洞,以便能够及时都发现漏洞,阻止网络黑客通过漏洞攻击;行为预警可以采用数据挖掘技术,抓取网络攻击行为数据流,分析数据流的特征,预知网络受到的攻击;攻击预警可以根据当前正在发生、已经发生的攻击行为判断网络未来是否存在攻击行为,及时地予以阻止;情报收集分析预警可以通过从海量数据信息中抓取各类网络信息,判断网络发生攻击的行为,有效地进行阻止。
(2)网络主动响应。如果网络预警攻击即将发生或者网络攻击已经发生,网络主动响应技术可以及时做出攻击防范,将攻击给网络带来的危害降低到最小程度。网路主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去,也可以使用网络监控系统和网络深度防火墙将网络攻击阻断,避免造成网络瘫痪,无法使用。
3 结束语
校园网络深度防御系统是一项非常复杂的、动态的工程,其随着计算机技术、网络安全技术的发展和进步,将会得到不断的完善。融合多种漏洞检测、访问控制、主动预警等技术,建立一个全方位、多层次、多维度的深层防御系统,以保证校园网络能够正常运行,为用户提供良好的网络服务。
参考文献:
[1]江小燕.学校办公自动化的网络安全管理[J].信息与电脑(理论版),2010(05).
[2]古玲聪.企业网络安全结构分析与设计[J].西南农业大学学报(社会科学版),2011(07).
[3]王希忠,黄俊强.《网络安全管理》标准介绍[J].信息技术与标准化,2010(10).
[4]高泽毅.浅析计算机网络安全管理[J].信息与电脑(理论版),2010(12).
[5]查日强.入侵检测系统NetDT配置[J].电脑知识与技术,2011(15).
作者单位:达州市高级技工学校,四川达州 635000