如何构建多层次的校园网安全体系研究

来源 :学问·下半月 | 被引量 : 0次 | 上传用户:ljdoctor
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】本文从分析目前校园网络所面临的威胁入手,全面介绍了利用多种安全防范措施建立多层次的校园网络安全系统。
  【关键词】多层次;校园网;安全体系;防范
  
  随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
  
  一、校园网络安全所面临的威胁
  
  校园网络不同于其它类型的网络,校园网需要提供开放的网络资源,同时又要保证整个校园网络的安全。与其他网络一样,校园网面临的威胁大体可分为网络中数据信息的危害和对网络设备的危害。目前,针对网络的攻击主要来自两个方面,一是来自外部公网的攻击,另一方面是来自内部的攻击。对于大型校园网而言,由于其内部用户众多,来自内部的攻击或通过控制内部主机而实现对外攻击的现象往往占有很高的比例,而造成的破坏性大大超过外部攻击。由此可见,校园网络上常见的安全威胁主要有以下几类。
  1. 非法使用:资源被非授权的用户(也称非法用户)或以非授权的方式(非法权限)使用。例如攻击者通过猜测账户和密码,从而进入计算机系统以非法使用资源。非法访问校园网中受控的重要信息而导致不必要的泄密事件,如考试试卷等。
  2. 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向校园网中的重要服务器(如Web、DNS、FTP、E-mail等)不断发起连接或请求响应,进行DoS或DDos攻击,致使服务器负荷过重而不能处理合法任务。
  3. 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
  4. 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、插入虚假消息等操作,而使数据的一致性被破坏。
  5. 病毒、木马的入侵与蔓延导致带宽被耗尽而影响网络的正常使用。
  
  二、多层次校园网安全防范体系
  
  为了保证校园网关键资产数据的安全性,保证校园网络的畅通性,保证各类信息的准确性,就成为校园网管理者面临的问题。
  1 、构建防火墙系统
  防火墙技术是保证网络安全最早、也是最广泛使用的产品,曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的"万能产品",无法100%地防范网络攻击,但是有效的防火墙可以有效地避免和防止大部分的攻击。
  ① 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从"不被允许的服务就是被禁止"的原则。禁止所有的外部用户访问DMZ区以外的区域。对DMZ区中的服务器群开放适当的端口,如80、21、25等。
  ② 配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
  ③ 通过配置边界防火墙对HTTP网址过滤和网页内容过滤,一般情况下多配置HTTP网址过滤(加入需要过滤的网址列表),来管理师生员工上网的行为,提供工作的效率,保证正常的数据流量,屏蔽各种"垃圾"信息,从而保证内部网络的"绿色环境"。
  ④ 定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。利用防火墙的实时监控和审计日志功能来做到实时发现网络中的异常流量,可以保证校园网内的资源利用最大化。
  2、配置包过滤的路由策略
  在边界路由器、核心交换机或汇聚层交换机上配置包过滤的路由策略。在边界路由器通过设置ACL(Access Control List),开放从内向外的任何访问,从外到内仅允许访问特定服务器的特定端口,拒绝某些特定端口的数据包通过来限制病毒传播的区域,尽量减小网络病毒的影响。
  3、在校园网络中使用用户接入控制技术
  用户接入控制技术只允许合法的、值得信赖的端点设备接入网络,而不允许其它设备接入。接入控制技术可以迅速识别是否有攻击发生,并自动实现事件响应,最大限度地减少已知和未知威胁。网络用户接入控制的目标是保护合法用户的利益,防止非法接入所造成的资源盗用、性能下降以及由此带来的其它安全隐患。目前流行的网络用户接入控制技术可分为地址绑定技术、用户认证技术和地址稽核技术以及多元绑定技术等,其中地址绑定技术又可分为交换机端口与用户MAC地址的捆绑以及用户IP地址和MAC地址的捆绑;常用的用户认证技术包括PPPoE、802.1X等。采用单一技术手段通常不能很好地解决校园网用户接入管理的问题。为此,首先需要了解各种技术的机理、适用性和限制,有针对性地选用合适的技术,并注意各种手段的综合运用,以达到接入控制的目标。
  4、 病毒防御和补丁程序的自动更新
  近年来出现大量的网络病毒,如冲击波、震荡波、红色代码、欢乐时光、蠕虫病毒等,只要校园网中一台计算机感染了病毒,,病毒就会自动寻找校园网中计算机的漏洞,然后入侵感染计算机,占用大量带宽,造成网络出口阻塞,影响网络的正常运行。因此,计算机病毒的防范是校园网安全性建设中重要的一环。
  5、优化应用系统配置
  应用系统作为网络服务最核心的部分,在采取其他必要措施保证网络应用系统安全运行的同时,应用系统本身的安全设置也非常重要,因为所有的应用系统都不同程度地存在着缺陷:一方面系统设计和开发的延时性使漏洞的存在无法避免,而另一方面应用系统的服务配置也存在很多不安全的因素。对于系统存在的漏洞,必须采取积极的漏洞补救措施安装补丁程序及时对系统的漏洞进行弥补;而对于应用服务安全配置,必须在服务系统构建之时就对应用系统配置文档进行研究,根据实际应用对配置进行优化,以减少应用服务上的漏洞,同时减少和关
  闭不必要的服务和端口,降低系统安全隐患。
  
  三、 技术与管理相结合
  
  技术与管理不是孤立的,网络信息安全不仅仅是一个技术问题,也是一个管理问题。要保证系统安全的关键,首先要做到重视安全管理,可以说,校园网的信息安全,是一个整体的问题,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高校园信息系统安全性的目的。
  1.客户端的安全制度
  校园网安全并非是购买和安装了安全产品就可以一劳永逸的事。新的安全漏洞不断涌现,新型病毒也不断产生,对于这些不断出现的安全威胁,安全方案只能起到一定作用,"三分技术、七分管理"对于校园网络安全来说也是这样。一方面用户需要充分建立物理上的安全解决方案,另一方面用户还需要制定一套行之有效的安全制度。。这些制度主要是从约束员工的操作行为入手。
  2.引导学生善用网络技术
  为数不少的学生对网络技术非常感兴趣,有些水平还非常高,只靠"防"和"堵"是不行的,应该引导学生将网络技术运用到校园网的安全建设,从而既满足了学生的表现欲望,又保障了校园网的安全。
  3.提高网络安全意识
  许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏,这样就需要定期对教师和学生进行计算机病毒、网络安全方面的培训,如讲解计算机病毒的危害、网络黑客的危害等,提高他们的校园网安全防范意识和技能。
  4.完善规章制度
  常言说:"三分技术,七分管理"。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。仅有正确的引导是不够的,还会有个别学生越轨,这时候就需要制定一整套的规章制度来约束个别学生的行为。
  5.安全计划
  包括建立校园网络的安全政策,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时应该采取的解决方案。
  6.提高网络管理人员的技术水平
  建立一支高素质的人才队伍网络管理的主体是人才队伍,无论是设计和构建安全、可靠的校园网系统,还是日常网络的科学管理,都需要业务精通、技术水平高的专业人才。在校园网安全系统的建设中,无论采用何种先进的技术,还是采用什么先进的安全产品,如果缺少一支技术过硬、责任心强的专业队伍,则很多的先进设施充其量不过是"摆设"。因此,校园网安全技术管理不仅任务重,其技术要求也越来越高,网络安全技术人才队伍建设也将是校园网建设的重中之重。
  总之,校园网的安全问题不仅仅是技术的问题,而且包括教师、学生等人的因素,必须在意识和管理上自始至终重视校园网的安全建设。
  
  【参考文献】
  [1]查贵庭,彭其军,罗国富. 校园网安全威胁及安全系统构建. 计算机应用研究, 2005,35
其他文献
【摘要】在岩体开挖成洞后,洞室周围的岩体发生应力重分布,形成次生应力场;围岩将出现应力降低区,应力升高区和原岩应力区。应力降低区和应力升高区合称为爆破影响区。对隧道进行松动圈检测,可以了解隧道爆破开挖对围岩的影响,可以对系统锚杆的设计长度进行修正,使得锚杆的长度更加合理和经济。本文简要介绍了超声波测试技术及测试成果在实际工程中的应用,供同行借鉴。  【关键词】围岩松动圈;超声波检测;爆破影响范围 
期刊
【摘要】化工原理实验研究的对象变量多、关系复杂,手工处理数据繁琐、误差大,采用Origin 6.0软件处理数据,简单、方便、准确度高,能够解决化工原理实验数据处理过程中诸多问题。  【关键词】化工原理实验;数据处理;Origin 6.0    引言  化工原理是化工、环境、生物等专业的重要专业基础课,所涉及的理论及计算是与实验研究紧密联系的。随着新材料的研制,新科技的开发,使化工原理实验课教学日趋
期刊
【摘要】近几年来,高校毕业生数量逐年增加,导致大学生就业难问题日益凸显。加之去年以来,由金融危机引发的全球经济不景气,更加使得大学生就业问题成为人们关注的焦点。在此背景下,本文分析了大学生就业的现状,对就业难问题的成因进行了剖析,并尝试提出一些解决问题的应对之道。  【关键词】大学生就业;成因;市场需求    当前,由美国次贷危机引发的国际金融危机,使全球经济面临严峻的挑战,对我国经济发展的负面影
期刊
【摘要】对语境的研究有人关注它的不同分类,有人则关注它的实际应用;有人认为语境是静态的,有人却坚信语境是动态的。关联理论则提出了认知语境的概念。本文主要论述认知语境及其对英语阅读的指导作用。  【关键词】语境;关联理论;认知语境;英语阅读    一:引言    语境一词出现后,就一直备受关注,研究的前景也令人期待。Sperber和Wilson合作提出关联理论后,对认知语境的研究受到了前所未有的重视
期刊
【摘要】由于特殊的历史原因,目前我国上市公司中,以国有股为代表的"一股独大"的现象仍普遍存在。控制股东的特殊地位,使得其滥用权利的行为严重侵害了中小股东和债权人的利益。因此,规制控制股东滥权是我国公司治理的重要课题和必然趋势。本文在已有成果基础上,系统阐述了规制控制股东滥权的民法和公司法理论依据。  【关键词】控制股东;滥权;法律规制;理论依据    一、上市公司控制股东滥权法律规制的制度价值  
期刊
【摘要】从国际上看,各国也是在不断地探索和完善着经理激励制度。而我国国内的此项制度也不完善。本文以西方一个著名的经济理论人力资本理论为基础,也参照了外国的一些相关制度,探讨了我国公司的股权激励制度。  【关键词】人力资本;股权激励;公司经理    近年来,随着新技术革命的发展,尤其是信息技术的发展,全球经济发生了根本性的变化,国际经济一体化,世界各国都应该互通有无,取长补短。而经理作为一种人力资本
期刊
【摘要】纵观中外翻译史,我们可以发现一个规律,那就是翻译理论依赖于并建立于其他学科的理论发展。然而,事实上翻译也是应用语言学的一个分支学科,所以它的发展也必须依赖于语言学的发展、成熟以汲取理论依据。语用学作为语言学研究新兴起的一个领域,它是研究语言的使用的一门学科,也就是对特定情景中特定话语意义的研究。把语用学引入翻译领域,定会给翻译带来新的活力,可以从一个新的角度来解释翻译中的诸多矛盾和问题,使
期刊
【摘要】目前董事会秘书制度在世界范围内正呈方兴未艾发展之势。我国新《公司法》实施后也明确了董事会秘书的法律地位,但却未作具体规定,以致人们普遍对董事会秘书制度的重要价值认识不足。本文通过公司的内部治理和外部治理两个方面全面阐述我国上市公司建立董事会秘书制度的重要价值。  【关键词】董事会秘书;公司治理;价值分析    近年来董事会秘书制度在世界各地发展繁荣,它在英美法系经历了一个多世纪的发展仍然具
期刊
【摘要】我国现阶段网络发展迅速,网络新事物也层出不穷,网络虚拟财产就是随着网络的普及而流行起来的,网络游戏的开发商不断提高游戏的质量和丰富的物种,增加游戏的吸引力,为中国的游戏市场带来了可观收入。本文旨在合理划分游戏玩家和游戏运营商的权利和义务,只有这样才能保证网络虚拟财产健康有序的发展。  【关键词】网络游戏;虚拟财产;权利;义务    随着互联网的普及和发展,网络虚拟财产逐渐进入人们的视野,而
期刊
【摘要】体育是学校教学的重要组成部分,学校体育工作主要靠体育教师去具体贯彻落实,为适应素质教育的要求,体育教师需要具备多方面的素质。快乐体育是指在体育教学中,把体验运动中的内在乐趣作为目的的过程。本文分析了快乐体育的必要性和快乐体育学习过程中教师的重要作用。  【关键词】体育教师;体育教学;快乐体育;作用    快乐体育主张学生能主动参与运动,根据自己的能力水平选择参与内容与方式,把运动与自己的关
期刊