论文部分内容阅读
引言:计算机网络由于网络协议的开放性和通用性、操作系统的脆弱性、攻击工具易用性以及网络安全管理人才的缺乏和校园网用户的安全意识不强等因素的影响,造成了包括校园网在内的网络的威胁及危害。对此,提出相应的技术防范解决方案就显得尤为重要。
近几年来,互联网得到了长足的发展,网络技术带领信息科技进入新的时代,我国高校纷纷建立与互联网相联的校园网,使教师、学生及办公人员可力一便地通过校园网获取各类信息,校园网不仅是师生工作、学习的平台,也是消遣、娱乐和交流的重要途径。但是,随着计算机及网络技术的普及,校园网络的安全问题也日益出现。
一、校园网络安全问题的产生
(1)网络协议的开放性和通用性计算机网络是依靠网络协议通信的,TCP/IP'协议簇是互联网使用的网络协议,也是多数高校校园网采用的网络协议。TCP/IP '协议簇具有开放性和通用性等特点,任何组织或个人都可以研究、分析及使用,TCP/IP协议的任何安全漏洞都可能被利用。(2)操作系统的脆弱性无论哪一种操作系统,其体系结构都有不安全因素。(3)攻击工具易用性在互联网上,有很多的攻击工具可自由下载,此类攻击工具设置简单、使用力一便,即使对网络不太精通的人都可以利用攻击工具进行网络攻击。(4)网络安全管理人刁一缺乏由于高校校园网建设时间还是不很长,网络管理部门的重点工作仍是网络接入,校园网络安全管理人才相对缺乏,这导致校园网安全层次还不太高。(5)校园网用户的安全意识不强由于计算机及网络应用水平有限,校园网用户网络安全尚未能充分认识,基木上没有或很少对所使用计算机作安全防范。
二、校园网络安全因素
(1)网络设备实体安全实体安全的是指保护路由器、交换机、服务器、工作站等硬件实体和通信链路免受自然灾害、人为破坏。(2)服务器网络操作系统安全服务器向校园网及互联网提供服务,服务器系统的安全是网络安全最重要的环节之一。目前网络攻击、网络犯罪卞要利用服务器安全漏洞。(3)信息资源安全信息资源安全是指信息资源的保密性、完整性、可用性、真实性和可控性,信息资源安全是校园网安全的木质。(4)计算机病毒计算机病毒不仅能破坏计算机系统,而且还能够通过网络广泛传播、感染到其他计算机系统。病毒己经成为越来越严重的安全问题。
三、校园网络安全技术防范
(1)下载并安装最新的系统补丁操作系统不安全是所有网络攻击中最主要的原因。
(2)合理分配权限权限分配是指管理权限、文件权限等的分配。数据库管理员只赋予其管理数据库的权限,打印管理员只赋予打印管理的权限,不同的管理员分配相应的权限,使其不仅能正常地管理系统,也不致于权限扩散。对于系统管理员帐号,只有在进行系统管理时才使用,平时只用普通帐号工作。文件权限的分配是指把文件、目录或设备的读、写、改、列表等权限分配给某些帐号或帐号组。系统管理员应当为用户指定适当的访问权限,访问权限可以让用户有效地完成工作,同时又能有效地限制用户对网络设备或服务器资源的访问,从而加强了网络和服务器的安全性。合适的文件权限分配是系统安全的保障,即使一个帐号被攻破,该帐号的权限不会扩散到整个文件系统。
(3)关闭不要的服务及端口最少的服务等于最大的安全,服务器提供的服务越多,那存在漏洞的可能性就越大。
(4)增固远程控制管理远程管理能为网络管理员带来极大力一便的同时,也为网络攻击者带来可乘之机。Windows系统不是以命令行为主的操作系统,所以其远程管理也是基于图形化的远程终端访问。远程终端是Windows不安全的因素之一,只要系统管理员密码被破解,则攻击者就可以象操作自己的计算机一样进行任何的更改。远程终端是网络管理员应当禁止的服务。路由器、交换机由于放置分散,且一般并不在网络管理人员能触及的位置,必须实行远程控制管理。
(5)中长号与口令口令是系统安全的一道屏障,良好的帐号与口令管理策略是系统安全的保障,是抵御网络攻击的第一道防线。系统管理员应该对最小口令长度、强制修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数等力一而作限制。计算机系统应对所有用户的登录访问进行审计,特别是口令审核失败的事件,管理员要仔细查看,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
(6)防火墙技术在计算机网络中,防火墙可防备潜在的恶意攻击,是用以阻止未授权访问本地网络的屏障。防火墙一般部署在校园网的边缘,以阻挡外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙。代理防火墙。状态监视防火墙。
(7) VLAl(虚拟局域网)。当前,在我们构造校园网时所采用的主干网络技术一般都是基于交换和虚拟局域网。VLAN的核心是网络分段,根据不同的安全、功能、控制、访问等策略,对校园网划分VLAN以实现各VLAN间的隔离,如果VLAN之间要通信,必须在二层交换机或路由器上配置路由。
(8) VPN(虚拟私有网络)。校区互联所实施VPN,宜采用基于IPSec的防火墙—防火墙的模式,这可在不降低性能的前提下实现网络传输安全。
(9)定期检测网络安全状况为检测校园网的安全状况,网络管理员可以使用网络安全扫描工具进行全而的安全扫描。
结束语
制定适当完备的网络安全策略是实现校园网网络安全的前提,从网络技术力一而对网络设备及服务器进行严密而利"f,的设置,但是校园网内部的网络安全事件常有发生,要设计一个安全的校园网环境,还必须对师生用户进行安全知识普及教育,从管理上规范校园网络秩序。
参考文献
[1][美]David W. Chapman. Cisc.安全防火墙[M].北京:人民邮电出版社,2002.
[2]何宝宏.1P虚拟专用网络技术[M].北京:人民邮电出版社,2002.
(作者单位:漯河医学高等专科学校)
近几年来,互联网得到了长足的发展,网络技术带领信息科技进入新的时代,我国高校纷纷建立与互联网相联的校园网,使教师、学生及办公人员可力一便地通过校园网获取各类信息,校园网不仅是师生工作、学习的平台,也是消遣、娱乐和交流的重要途径。但是,随着计算机及网络技术的普及,校园网络的安全问题也日益出现。
一、校园网络安全问题的产生
(1)网络协议的开放性和通用性计算机网络是依靠网络协议通信的,TCP/IP'协议簇是互联网使用的网络协议,也是多数高校校园网采用的网络协议。TCP/IP '协议簇具有开放性和通用性等特点,任何组织或个人都可以研究、分析及使用,TCP/IP协议的任何安全漏洞都可能被利用。(2)操作系统的脆弱性无论哪一种操作系统,其体系结构都有不安全因素。(3)攻击工具易用性在互联网上,有很多的攻击工具可自由下载,此类攻击工具设置简单、使用力一便,即使对网络不太精通的人都可以利用攻击工具进行网络攻击。(4)网络安全管理人刁一缺乏由于高校校园网建设时间还是不很长,网络管理部门的重点工作仍是网络接入,校园网络安全管理人才相对缺乏,这导致校园网安全层次还不太高。(5)校园网用户的安全意识不强由于计算机及网络应用水平有限,校园网用户网络安全尚未能充分认识,基木上没有或很少对所使用计算机作安全防范。
二、校园网络安全因素
(1)网络设备实体安全实体安全的是指保护路由器、交换机、服务器、工作站等硬件实体和通信链路免受自然灾害、人为破坏。(2)服务器网络操作系统安全服务器向校园网及互联网提供服务,服务器系统的安全是网络安全最重要的环节之一。目前网络攻击、网络犯罪卞要利用服务器安全漏洞。(3)信息资源安全信息资源安全是指信息资源的保密性、完整性、可用性、真实性和可控性,信息资源安全是校园网安全的木质。(4)计算机病毒计算机病毒不仅能破坏计算机系统,而且还能够通过网络广泛传播、感染到其他计算机系统。病毒己经成为越来越严重的安全问题。
三、校园网络安全技术防范
(1)下载并安装最新的系统补丁操作系统不安全是所有网络攻击中最主要的原因。
(2)合理分配权限权限分配是指管理权限、文件权限等的分配。数据库管理员只赋予其管理数据库的权限,打印管理员只赋予打印管理的权限,不同的管理员分配相应的权限,使其不仅能正常地管理系统,也不致于权限扩散。对于系统管理员帐号,只有在进行系统管理时才使用,平时只用普通帐号工作。文件权限的分配是指把文件、目录或设备的读、写、改、列表等权限分配给某些帐号或帐号组。系统管理员应当为用户指定适当的访问权限,访问权限可以让用户有效地完成工作,同时又能有效地限制用户对网络设备或服务器资源的访问,从而加强了网络和服务器的安全性。合适的文件权限分配是系统安全的保障,即使一个帐号被攻破,该帐号的权限不会扩散到整个文件系统。
(3)关闭不要的服务及端口最少的服务等于最大的安全,服务器提供的服务越多,那存在漏洞的可能性就越大。
(4)增固远程控制管理远程管理能为网络管理员带来极大力一便的同时,也为网络攻击者带来可乘之机。Windows系统不是以命令行为主的操作系统,所以其远程管理也是基于图形化的远程终端访问。远程终端是Windows不安全的因素之一,只要系统管理员密码被破解,则攻击者就可以象操作自己的计算机一样进行任何的更改。远程终端是网络管理员应当禁止的服务。路由器、交换机由于放置分散,且一般并不在网络管理人员能触及的位置,必须实行远程控制管理。
(5)中长号与口令口令是系统安全的一道屏障,良好的帐号与口令管理策略是系统安全的保障,是抵御网络攻击的第一道防线。系统管理员应该对最小口令长度、强制修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数等力一而作限制。计算机系统应对所有用户的登录访问进行审计,特别是口令审核失败的事件,管理员要仔细查看,如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。
(6)防火墙技术在计算机网络中,防火墙可防备潜在的恶意攻击,是用以阻止未授权访问本地网络的屏障。防火墙一般部署在校园网的边缘,以阻挡外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙。代理防火墙。状态监视防火墙。
(7) VLAl(虚拟局域网)。当前,在我们构造校园网时所采用的主干网络技术一般都是基于交换和虚拟局域网。VLAN的核心是网络分段,根据不同的安全、功能、控制、访问等策略,对校园网划分VLAN以实现各VLAN间的隔离,如果VLAN之间要通信,必须在二层交换机或路由器上配置路由。
(8) VPN(虚拟私有网络)。校区互联所实施VPN,宜采用基于IPSec的防火墙—防火墙的模式,这可在不降低性能的前提下实现网络传输安全。
(9)定期检测网络安全状况为检测校园网的安全状况,网络管理员可以使用网络安全扫描工具进行全而的安全扫描。
结束语
制定适当完备的网络安全策略是实现校园网网络安全的前提,从网络技术力一而对网络设备及服务器进行严密而利"f,的设置,但是校园网内部的网络安全事件常有发生,要设计一个安全的校园网环境,还必须对师生用户进行安全知识普及教育,从管理上规范校园网络秩序。
参考文献
[1][美]David W. Chapman. Cisc.安全防火墙[M].北京:人民邮电出版社,2002.
[2]何宝宏.1P虚拟专用网络技术[M].北京:人民邮电出版社,2002.
(作者单位:漯河医学高等专科学校)