论文部分内容阅读
[摘要]在归纳现有网络信息安全技术的基础上,把校园网络信息安全措施分为以防火墙技术、入侵检测技术等为代表的硬件级措施和以病毒防御、身份确认等为代表的软件级措施,在校园网上实现以防火墙技术为核心的硬件级保护和以防病毒技术为核心的软件级保护相结合的军校校园网络信息安全防护体系。
[关键词]校园网网络信息安全信息安全信息安全措施
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1120037-01
一、引言
网络信息安全是当今信息安全的核心研究领域,其涉及的基本技术主要有:防火墙技术、入侵检测技术、访问控制技术、网络安全漏洞扫描技术、网络防病毒技术、信息加密技术、信息确认技术等。目前,企业网络信息安全由于电子商务的需要已经有了较深入研究,而校园网络信息安全研究则不够深入。考虑到学校信息资源中既有需要保密的人事财务信息、教学科研信息、档案信息,也有具备一定透明度的可查询信息和共享信息,校园网络信息安全可简化层级、强化重点,其技术措施可按硬件级措施和软件级措施架构。兹探讨如下:
二、校园网安全隐患
校园网络作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加,各种各样的安全问题开始困扰网络管理人员。
(一)安全的表现形式
由于学校是以教学活动为中心的场所,网络的安全问题也有自己的特点。主要表现在:1.不良信息的传播,目前Internet上各种信息良莠不齐,有关色情、暴力、反动内容的网站泛滥;2.病毒的危害,计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度、影响面、清除难度、破坏力等都不是单机病毒所能比拟的,这是目前校园网安全问题主要的困扰;3.非法访问,校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,而尤以内部攻击为甚;4.恶意破坏;5.口令入侵。
(二)威胁安全的因素
威胁校园网安全的因素主要有以下几个方面:1.物理因素,主要是指硬件本身及其外围环境影响;2.技术因素,校园网技术涉及到网络技术、防火墙、病毒防护、数据恢复与备份等多种技术;3.管理因素,正确规范管理是保证校园网安全的重要措施;4.使用者因素,尽量避免使用者不合理操作带来的不安全隐患;5.宣传教育因素。
三、安全防范技术
校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证校园网络的安全性,除了规划网络拓扑结构,构建校园内部虚拟专用网(VPN),通过使用VPN技术,即附加的安全隧道、用户认证和访问控制等技术,可以使分布于不同地理位置上的校园网各节点之间进行数据交换,有效避免重要数据遭受恶意用户窃取,从而实现对重要信息的安全传输,一般还采用以下一些防范技术。
(一)硬件级措施
在网络信息安全技术中,防火墙技术、入侵防御技术、入侵检测技术、访问控制技术等可归为硬件级措施。这些措施的特点是一般需要硬件支持并由建网单位统一实施,而不需要客户端配合。在硬件级措施支持下,可实现校园网与公网之间的强制性隔断,从而实现校园网络信息相对安全,用防火墙硬件措施屏蔽了Internet公网上的有害信息和黑客入侵,这是校园常采用的必备防护设备。
入侵检测从计算机网络系统中的若干关键点收集信息并分析这些信息,对有违反安全策略的行为和遭到袭击的迹象进行报警,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)。其优点是在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测保护。入侵检测被认为是防火墙之后的第二道安全闸门。可用于对一些服务器/微机进行有害信息和黑客入侵的检测、审计。入侵防役设备是串接在所保护的设备前端,对网络行为进行检测分析,对所保护的设备有害及可疑行为进行主动阻断拦截,主要用于对重要服务器防止有害信息和黑客入侵的进行及时主动的防御,因而,保证了Intranet校园内网的一定的安全。
校园网络的硬件级较好的部署时在网络出口处设置一防火墙,对网络出口的边界进行了安全隔离,制定相应的访问控制策略,在重要的服务器前设置入侵防御,对重要服务器进行有害信息和黑客入侵的防御。但是这些措施无法发现夹杂在网络正常访问中的恶意流量,还会存在很大的安全隐患,这就需要网络系统和每台服务器/计算机利用软件做好自身的防护,提升抗危害能力。
(二)软件级措施
由于传统的防火墙技术和攻击检测系统仅仅检查数据包的特定部分,而当前的安全威胁来自网络的各个层面,且不少来自网络通信的数据部分,例如病毒常通过以下途径感染和传播:
1.访问载有病毒的网页:互联网中的很多网页都被嵌入木马等病毒,一旦访问载有病毒的网页,病毒将通过网络传播的校园网内部,轻则感染并破坏客户机,重则感染网内的其他机器乃至造成网络瘫痪。
2.收发病毒邮件:电子邮件已成为日常生活中不可或缺的部分,但同时电子邮件页成为病毒传播的最大载体,大量的垃圾邮件以及欺骗邮件已严重影响入场工作和生活,如之前在网络上大肆爆发的“熊猫烧香”病毒,给网络安全造成严重的威胁。
因此,黑客可能了解网络在数据层面的安全漏洞,采取通过病毒、蠕虫或其他攻击行为,对网络资源造成不同程度的损害,尤其是通过病毒,蠕虫(PE_LOOKED.KO)、特洛伊木马(TROJ_Generic)、和后门程序(PE_LOOKED.JY)达到攻击和破坏目的。
所以,在网络安全技术中有必要采取病毒技术、信息加密技术、信息确认技术等软件级措施,以配合硬件级测试构成完善的信息安全防护体系。软件级措施的特点时一般不需要专门硬件支持但需要客户端配合,通过在服务器端安装网络版的服务Server软件,在客户端安装Client软件实现S/C模式的安全操作,例如要实现网络环境下的病毒防治,仅靠单机版的杀毒软件是不可能的,必须安装网络版的杀毒软件,这样才能实现杀毒软件的远程安装、智能升级、远程报警、集中管理、分布查杀病毒的功能。在软件级措施的支持下,可实现校园网与公网之间的交换信息排查,有效隔离带病毒信息,身份不符用户信息等,实现校园网络信息安全。
还有统一的身份认证系统。身份认证技术是指向系统出示自己的身份证明,系统查明用户是否具有所请求资源的存储和使用权,用户必须通过认证才能获得权限之内的访问资源。建立了全网统一的身份认证系统,不仅有效地防止了IP地址的盗用,而且有效的避免黑客攻击,从而在整体上提高了用户信息的安全性和可靠性,这也是实现数字化信息化校园的基础。目前较
为可行的方式为分级授权,可以为不同的用户开放不同权限,比如校管理层拥有网络全部访问权限。一般的教师拥有一定权限,这部分可以精确到个人,也就是实行实名精确到个人的授权,对于普通学生开放受限的GUEST帐户,分级管理保障信息的安全。
同时,我们对不同的信息进行分类管理:对机密信息严格规定只能用于不联网的计算机,决不上网;专用内部信息使用专网连接,与校网分离,有的还设置加密传递;校内公开信息限校内访问,与Internet公众网间设置防火墙隔离。开展定期检查,以提高安全意识。
(三)网络数据备份与恢复
数据是整个校园网信息安全的核心。设备可以替换,但数据被破坏或丢失,其损失无法计量。所以设计一套完整的数据备份和恢复系统是校园网迫切需要的。它要考虑多方面因素,如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离及数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。
四、小结
综上所述,现有网络信息安全技术包括防火墙技术、入侵检测技术、访问控制技术、网络安全漏洞扫描技术、网络防病毒技术、信息加密技术、信息确认技术等,校园网络信息安全措施可通过综合以防火墙技术、入侵检测技术等为代表的硬件级措施和以病毒防御、身份确认等为代表的软件级措施来实现。在学校的校园网上实践的以防火墙技术为核心的硬件级保护和以防病毒技术为核心的软件级保护相结合的校园网络信息安全防护体系证明了这一点。
参考文献:
[1]MichaelE.whitman等著,齐立博译,信息安全原理(第二版),清华大学出版社,2006,3(1).
[2]冯登国,国内外信息安全现状及发展趋势(摘编),信息网络安全,20O7(1):9-11.
[3]熊心志,计算机网络信息安全初探,计算机科学,2006,55(B12):60-62.
[4]李俊婷等,计算机网络信息安全及其防护措施,计算机与网络,2007(15):45-46.
[5]邓志宏等,基于PKI的网络信息安全模型的研究与设计,计算机工程与设计,2007,28(2):549-550,594.
[6]段友祥等,基于cA技术的网络信息安全系统设计实践,计算机工程与设计,2006,27(6):1014-101.
[7]沈吉锋等,校园网安全防范策略,中国科教创新导刊,2009,2:165.
[关键词]校园网网络信息安全信息安全信息安全措施
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1120037-01
一、引言
网络信息安全是当今信息安全的核心研究领域,其涉及的基本技术主要有:防火墙技术、入侵检测技术、访问控制技术、网络安全漏洞扫描技术、网络防病毒技术、信息加密技术、信息确认技术等。目前,企业网络信息安全由于电子商务的需要已经有了较深入研究,而校园网络信息安全研究则不够深入。考虑到学校信息资源中既有需要保密的人事财务信息、教学科研信息、档案信息,也有具备一定透明度的可查询信息和共享信息,校园网络信息安全可简化层级、强化重点,其技术措施可按硬件级措施和软件级措施架构。兹探讨如下:
二、校园网安全隐患
校园网络作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加,各种各样的安全问题开始困扰网络管理人员。
(一)安全的表现形式
由于学校是以教学活动为中心的场所,网络的安全问题也有自己的特点。主要表现在:1.不良信息的传播,目前Internet上各种信息良莠不齐,有关色情、暴力、反动内容的网站泛滥;2.病毒的危害,计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度、影响面、清除难度、破坏力等都不是单机病毒所能比拟的,这是目前校园网安全问题主要的困扰;3.非法访问,校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,而尤以内部攻击为甚;4.恶意破坏;5.口令入侵。
(二)威胁安全的因素
威胁校园网安全的因素主要有以下几个方面:1.物理因素,主要是指硬件本身及其外围环境影响;2.技术因素,校园网技术涉及到网络技术、防火墙、病毒防护、数据恢复与备份等多种技术;3.管理因素,正确规范管理是保证校园网安全的重要措施;4.使用者因素,尽量避免使用者不合理操作带来的不安全隐患;5.宣传教育因素。
三、安全防范技术
校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑,并在实际运行中严格管理。为保证校园网络的安全性,除了规划网络拓扑结构,构建校园内部虚拟专用网(VPN),通过使用VPN技术,即附加的安全隧道、用户认证和访问控制等技术,可以使分布于不同地理位置上的校园网各节点之间进行数据交换,有效避免重要数据遭受恶意用户窃取,从而实现对重要信息的安全传输,一般还采用以下一些防范技术。
(一)硬件级措施
在网络信息安全技术中,防火墙技术、入侵防御技术、入侵检测技术、访问控制技术等可归为硬件级措施。这些措施的特点是一般需要硬件支持并由建网单位统一实施,而不需要客户端配合。在硬件级措施支持下,可实现校园网与公网之间的强制性隔断,从而实现校园网络信息相对安全,用防火墙硬件措施屏蔽了Internet公网上的有害信息和黑客入侵,这是校园常采用的必备防护设备。
入侵检测从计算机网络系统中的若干关键点收集信息并分析这些信息,对有违反安全策略的行为和遭到袭击的迹象进行报警,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)。其优点是在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时检测保护。入侵检测被认为是防火墙之后的第二道安全闸门。可用于对一些服务器/微机进行有害信息和黑客入侵的检测、审计。入侵防役设备是串接在所保护的设备前端,对网络行为进行检测分析,对所保护的设备有害及可疑行为进行主动阻断拦截,主要用于对重要服务器防止有害信息和黑客入侵的进行及时主动的防御,因而,保证了Intranet校园内网的一定的安全。
校园网络的硬件级较好的部署时在网络出口处设置一防火墙,对网络出口的边界进行了安全隔离,制定相应的访问控制策略,在重要的服务器前设置入侵防御,对重要服务器进行有害信息和黑客入侵的防御。但是这些措施无法发现夹杂在网络正常访问中的恶意流量,还会存在很大的安全隐患,这就需要网络系统和每台服务器/计算机利用软件做好自身的防护,提升抗危害能力。
(二)软件级措施
由于传统的防火墙技术和攻击检测系统仅仅检查数据包的特定部分,而当前的安全威胁来自网络的各个层面,且不少来自网络通信的数据部分,例如病毒常通过以下途径感染和传播:
1.访问载有病毒的网页:互联网中的很多网页都被嵌入木马等病毒,一旦访问载有病毒的网页,病毒将通过网络传播的校园网内部,轻则感染并破坏客户机,重则感染网内的其他机器乃至造成网络瘫痪。
2.收发病毒邮件:电子邮件已成为日常生活中不可或缺的部分,但同时电子邮件页成为病毒传播的最大载体,大量的垃圾邮件以及欺骗邮件已严重影响入场工作和生活,如之前在网络上大肆爆发的“熊猫烧香”病毒,给网络安全造成严重的威胁。
因此,黑客可能了解网络在数据层面的安全漏洞,采取通过病毒、蠕虫或其他攻击行为,对网络资源造成不同程度的损害,尤其是通过病毒,蠕虫(PE_LOOKED.KO)、特洛伊木马(TROJ_Generic)、和后门程序(PE_LOOKED.JY)达到攻击和破坏目的。
所以,在网络安全技术中有必要采取病毒技术、信息加密技术、信息确认技术等软件级措施,以配合硬件级测试构成完善的信息安全防护体系。软件级措施的特点时一般不需要专门硬件支持但需要客户端配合,通过在服务器端安装网络版的服务Server软件,在客户端安装Client软件实现S/C模式的安全操作,例如要实现网络环境下的病毒防治,仅靠单机版的杀毒软件是不可能的,必须安装网络版的杀毒软件,这样才能实现杀毒软件的远程安装、智能升级、远程报警、集中管理、分布查杀病毒的功能。在软件级措施的支持下,可实现校园网与公网之间的交换信息排查,有效隔离带病毒信息,身份不符用户信息等,实现校园网络信息安全。
还有统一的身份认证系统。身份认证技术是指向系统出示自己的身份证明,系统查明用户是否具有所请求资源的存储和使用权,用户必须通过认证才能获得权限之内的访问资源。建立了全网统一的身份认证系统,不仅有效地防止了IP地址的盗用,而且有效的避免黑客攻击,从而在整体上提高了用户信息的安全性和可靠性,这也是实现数字化信息化校园的基础。目前较
为可行的方式为分级授权,可以为不同的用户开放不同权限,比如校管理层拥有网络全部访问权限。一般的教师拥有一定权限,这部分可以精确到个人,也就是实行实名精确到个人的授权,对于普通学生开放受限的GUEST帐户,分级管理保障信息的安全。
同时,我们对不同的信息进行分类管理:对机密信息严格规定只能用于不联网的计算机,决不上网;专用内部信息使用专网连接,与校网分离,有的还设置加密传递;校内公开信息限校内访问,与Internet公众网间设置防火墙隔离。开展定期检查,以提高安全意识。
(三)网络数据备份与恢复
数据是整个校园网信息安全的核心。设备可以替换,但数据被破坏或丢失,其损失无法计量。所以设计一套完整的数据备份和恢复系统是校园网迫切需要的。它要考虑多方面因素,如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离及数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。
四、小结
综上所述,现有网络信息安全技术包括防火墙技术、入侵检测技术、访问控制技术、网络安全漏洞扫描技术、网络防病毒技术、信息加密技术、信息确认技术等,校园网络信息安全措施可通过综合以防火墙技术、入侵检测技术等为代表的硬件级措施和以病毒防御、身份确认等为代表的软件级措施来实现。在学校的校园网上实践的以防火墙技术为核心的硬件级保护和以防病毒技术为核心的软件级保护相结合的校园网络信息安全防护体系证明了这一点。
参考文献:
[1]MichaelE.whitman等著,齐立博译,信息安全原理(第二版),清华大学出版社,2006,3(1).
[2]冯登国,国内外信息安全现状及发展趋势(摘编),信息网络安全,20O7(1):9-11.
[3]熊心志,计算机网络信息安全初探,计算机科学,2006,55(B12):60-62.
[4]李俊婷等,计算机网络信息安全及其防护措施,计算机与网络,2007(15):45-46.
[5]邓志宏等,基于PKI的网络信息安全模型的研究与设计,计算机工程与设计,2007,28(2):549-550,594.
[6]段友祥等,基于cA技术的网络信息安全系统设计实践,计算机工程与设计,2006,27(6):1014-101.
[7]沈吉锋等,校园网安全防范策略,中国科教创新导刊,2009,2:165.