论文部分内容阅读
【摘要】本文从分析目前校园网络所面临的威胁入手,全面介绍了利用多种安全防范措施建立多层次的校园网络安全系统。
【关键词】多层次;校园网;安全体系;防范
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
一、校园网络安全所面临的威胁
校园网络不同于其它类型的网络,校园网需要提供开放的网络资源,同时又要保证整个校园网络的安全。与其他网络一样,校园网面临的威胁大体可分为网络中数据信息的危害和对网络设备的危害。目前,针对网络的攻击主要来自两个方面,一是来自外部公网的攻击,另一方面是来自内部的攻击。对于大型校园网而言,由于其内部用户众多,来自内部的攻击或通过控制内部主机而实现对外攻击的现象往往占有很高的比例,而造成的破坏性大大超过外部攻击。由此可见,校园网络上常见的安全威胁主要有以下几类。
1. 非法使用:资源被非授权的用户(也称非法用户)或以非授权的方式(非法权限)使用。例如攻击者通过猜测账户和密码,从而进入计算机系统以非法使用资源。非法访问校园网中受控的重要信息而导致不必要的泄密事件,如考试试卷等。
2. 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向校园网中的重要服务器(如Web、DNS、FTP、E-mail等)不断发起连接或请求响应,进行DoS或DDos攻击,致使服务器负荷过重而不能处理合法任务。
3. 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
4. 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、插入虚假消息等操作,而使数据的一致性被破坏。
5. 病毒、木马的入侵与蔓延导致带宽被耗尽而影响网络的正常使用。
二、多层次校园网安全防范体系
为了保证校园网关键资产数据的安全性,保证校园网络的畅通性,保证各类信息的准确性,就成为校园网管理者面临的问题。
1 、构建防火墙系统
防火墙技术是保证网络安全最早、也是最广泛使用的产品,曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的"万能产品",无法100%地防范网络攻击,但是有效的防火墙可以有效地避免和防止大部分的攻击。
① 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从"不被允许的服务就是被禁止"的原则。禁止所有的外部用户访问DMZ区以外的区域。对DMZ区中的服务器群开放适当的端口,如80、21、25等。
② 配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
③ 通过配置边界防火墙对HTTP网址过滤和网页内容过滤,一般情况下多配置HTTP网址过滤(加入需要过滤的网址列表),来管理师生员工上网的行为,提供工作的效率,保证正常的数据流量,屏蔽各种"垃圾"信息,从而保证内部网络的"绿色环境"。
④ 定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。利用防火墙的实时监控和审计日志功能来做到实时发现网络中的异常流量,可以保证校园网内的资源利用最大化。
2、配置包过滤的路由策略
在边界路由器、核心交换机或汇聚层交换机上配置包过滤的路由策略。在边界路由器通过设置ACL(Access Control List),开放从内向外的任何访问,从外到内仅允许访问特定服务器的特定端口,拒绝某些特定端口的数据包通过来限制病毒传播的区域,尽量减小网络病毒的影响。
3、在校园网络中使用用户接入控制技术
用户接入控制技术只允许合法的、值得信赖的端点设备接入网络,而不允许其它设备接入。接入控制技术可以迅速识别是否有攻击发生,并自动实现事件响应,最大限度地减少已知和未知威胁。网络用户接入控制的目标是保护合法用户的利益,防止非法接入所造成的资源盗用、性能下降以及由此带来的其它安全隐患。目前流行的网络用户接入控制技术可分为地址绑定技术、用户认证技术和地址稽核技术以及多元绑定技术等,其中地址绑定技术又可分为交换机端口与用户MAC地址的捆绑以及用户IP地址和MAC地址的捆绑;常用的用户认证技术包括PPPoE、802.1X等。采用单一技术手段通常不能很好地解决校园网用户接入管理的问题。为此,首先需要了解各种技术的机理、适用性和限制,有针对性地选用合适的技术,并注意各种手段的综合运用,以达到接入控制的目标。
4、 病毒防御和补丁程序的自动更新
近年来出现大量的网络病毒,如冲击波、震荡波、红色代码、欢乐时光、蠕虫病毒等,只要校园网中一台计算机感染了病毒,,病毒就会自动寻找校园网中计算机的漏洞,然后入侵感染计算机,占用大量带宽,造成网络出口阻塞,影响网络的正常运行。因此,计算机病毒的防范是校园网安全性建设中重要的一环。
5、优化应用系统配置
应用系统作为网络服务最核心的部分,在采取其他必要措施保证网络应用系统安全运行的同时,应用系统本身的安全设置也非常重要,因为所有的应用系统都不同程度地存在着缺陷:一方面系统设计和开发的延时性使漏洞的存在无法避免,而另一方面应用系统的服务配置也存在很多不安全的因素。对于系统存在的漏洞,必须采取积极的漏洞补救措施安装补丁程序及时对系统的漏洞进行弥补;而对于应用服务安全配置,必须在服务系统构建之时就对应用系统配置文档进行研究,根据实际应用对配置进行优化,以减少应用服务上的漏洞,同时减少和关
闭不必要的服务和端口,降低系统安全隐患。
三、 技术与管理相结合
技术与管理不是孤立的,网络信息安全不仅仅是一个技术问题,也是一个管理问题。要保证系统安全的关键,首先要做到重视安全管理,可以说,校园网的信息安全,是一个整体的问题,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高校园信息系统安全性的目的。
1.客户端的安全制度
校园网安全并非是购买和安装了安全产品就可以一劳永逸的事。新的安全漏洞不断涌现,新型病毒也不断产生,对于这些不断出现的安全威胁,安全方案只能起到一定作用,"三分技术、七分管理"对于校园网络安全来说也是这样。一方面用户需要充分建立物理上的安全解决方案,另一方面用户还需要制定一套行之有效的安全制度。。这些制度主要是从约束员工的操作行为入手。
2.引导学生善用网络技术
为数不少的学生对网络技术非常感兴趣,有些水平还非常高,只靠"防"和"堵"是不行的,应该引导学生将网络技术运用到校园网的安全建设,从而既满足了学生的表现欲望,又保障了校园网的安全。
3.提高网络安全意识
许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏,这样就需要定期对教师和学生进行计算机病毒、网络安全方面的培训,如讲解计算机病毒的危害、网络黑客的危害等,提高他们的校园网安全防范意识和技能。
4.完善规章制度
常言说:"三分技术,七分管理"。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。仅有正确的引导是不够的,还会有个别学生越轨,这时候就需要制定一整套的规章制度来约束个别学生的行为。
5.安全计划
包括建立校园网络的安全政策,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时应该采取的解决方案。
6.提高网络管理人员的技术水平
建立一支高素质的人才队伍网络管理的主体是人才队伍,无论是设计和构建安全、可靠的校园网系统,还是日常网络的科学管理,都需要业务精通、技术水平高的专业人才。在校园网安全系统的建设中,无论采用何种先进的技术,还是采用什么先进的安全产品,如果缺少一支技术过硬、责任心强的专业队伍,则很多的先进设施充其量不过是"摆设"。因此,校园网安全技术管理不仅任务重,其技术要求也越来越高,网络安全技术人才队伍建设也将是校园网建设的重中之重。
总之,校园网的安全问题不仅仅是技术的问题,而且包括教师、学生等人的因素,必须在意识和管理上自始至终重视校园网的安全建设。
【参考文献】
[1]查贵庭,彭其军,罗国富. 校园网安全威胁及安全系统构建. 计算机应用研究, 2005,35
【关键词】多层次;校园网;安全体系;防范
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
一、校园网络安全所面临的威胁
校园网络不同于其它类型的网络,校园网需要提供开放的网络资源,同时又要保证整个校园网络的安全。与其他网络一样,校园网面临的威胁大体可分为网络中数据信息的危害和对网络设备的危害。目前,针对网络的攻击主要来自两个方面,一是来自外部公网的攻击,另一方面是来自内部的攻击。对于大型校园网而言,由于其内部用户众多,来自内部的攻击或通过控制内部主机而实现对外攻击的现象往往占有很高的比例,而造成的破坏性大大超过外部攻击。由此可见,校园网络上常见的安全威胁主要有以下几类。
1. 非法使用:资源被非授权的用户(也称非法用户)或以非授权的方式(非法权限)使用。例如攻击者通过猜测账户和密码,从而进入计算机系统以非法使用资源。非法访问校园网中受控的重要信息而导致不必要的泄密事件,如考试试卷等。
2. 拒绝服务:服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向校园网中的重要服务器(如Web、DNS、FTP、E-mail等)不断发起连接或请求响应,进行DoS或DDos攻击,致使服务器负荷过重而不能处理合法任务。
3. 信息盗窃:攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
4. 数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、插入虚假消息等操作,而使数据的一致性被破坏。
5. 病毒、木马的入侵与蔓延导致带宽被耗尽而影响网络的正常使用。
二、多层次校园网安全防范体系
为了保证校园网关键资产数据的安全性,保证校园网络的畅通性,保证各类信息的准确性,就成为校园网管理者面临的问题。
1 、构建防火墙系统
防火墙技术是保证网络安全最早、也是最广泛使用的产品,曾经被认为是网络安全最有效的技术措施。随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的"万能产品",无法100%地防范网络攻击,但是有效的防火墙可以有效地避免和防止大部分的攻击。
① 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从"不被允许的服务就是被禁止"的原则。禁止所有的外部用户访问DMZ区以外的区域。对DMZ区中的服务器群开放适当的端口,如80、21、25等。
② 配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
③ 通过配置边界防火墙对HTTP网址过滤和网页内容过滤,一般情况下多配置HTTP网址过滤(加入需要过滤的网址列表),来管理师生员工上网的行为,提供工作的效率,保证正常的数据流量,屏蔽各种"垃圾"信息,从而保证内部网络的"绿色环境"。
④ 定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。利用防火墙的实时监控和审计日志功能来做到实时发现网络中的异常流量,可以保证校园网内的资源利用最大化。
2、配置包过滤的路由策略
在边界路由器、核心交换机或汇聚层交换机上配置包过滤的路由策略。在边界路由器通过设置ACL(Access Control List),开放从内向外的任何访问,从外到内仅允许访问特定服务器的特定端口,拒绝某些特定端口的数据包通过来限制病毒传播的区域,尽量减小网络病毒的影响。
3、在校园网络中使用用户接入控制技术
用户接入控制技术只允许合法的、值得信赖的端点设备接入网络,而不允许其它设备接入。接入控制技术可以迅速识别是否有攻击发生,并自动实现事件响应,最大限度地减少已知和未知威胁。网络用户接入控制的目标是保护合法用户的利益,防止非法接入所造成的资源盗用、性能下降以及由此带来的其它安全隐患。目前流行的网络用户接入控制技术可分为地址绑定技术、用户认证技术和地址稽核技术以及多元绑定技术等,其中地址绑定技术又可分为交换机端口与用户MAC地址的捆绑以及用户IP地址和MAC地址的捆绑;常用的用户认证技术包括PPPoE、802.1X等。采用单一技术手段通常不能很好地解决校园网用户接入管理的问题。为此,首先需要了解各种技术的机理、适用性和限制,有针对性地选用合适的技术,并注意各种手段的综合运用,以达到接入控制的目标。
4、 病毒防御和补丁程序的自动更新
近年来出现大量的网络病毒,如冲击波、震荡波、红色代码、欢乐时光、蠕虫病毒等,只要校园网中一台计算机感染了病毒,,病毒就会自动寻找校园网中计算机的漏洞,然后入侵感染计算机,占用大量带宽,造成网络出口阻塞,影响网络的正常运行。因此,计算机病毒的防范是校园网安全性建设中重要的一环。
5、优化应用系统配置
应用系统作为网络服务最核心的部分,在采取其他必要措施保证网络应用系统安全运行的同时,应用系统本身的安全设置也非常重要,因为所有的应用系统都不同程度地存在着缺陷:一方面系统设计和开发的延时性使漏洞的存在无法避免,而另一方面应用系统的服务配置也存在很多不安全的因素。对于系统存在的漏洞,必须采取积极的漏洞补救措施安装补丁程序及时对系统的漏洞进行弥补;而对于应用服务安全配置,必须在服务系统构建之时就对应用系统配置文档进行研究,根据实际应用对配置进行优化,以减少应用服务上的漏洞,同时减少和关
闭不必要的服务和端口,降低系统安全隐患。
三、 技术与管理相结合
技术与管理不是孤立的,网络信息安全不仅仅是一个技术问题,也是一个管理问题。要保证系统安全的关键,首先要做到重视安全管理,可以说,校园网的信息安全,是一个整体的问题,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高校园信息系统安全性的目的。
1.客户端的安全制度
校园网安全并非是购买和安装了安全产品就可以一劳永逸的事。新的安全漏洞不断涌现,新型病毒也不断产生,对于这些不断出现的安全威胁,安全方案只能起到一定作用,"三分技术、七分管理"对于校园网络安全来说也是这样。一方面用户需要充分建立物理上的安全解决方案,另一方面用户还需要制定一套行之有效的安全制度。。这些制度主要是从约束员工的操作行为入手。
2.引导学生善用网络技术
为数不少的学生对网络技术非常感兴趣,有些水平还非常高,只靠"防"和"堵"是不行的,应该引导学生将网络技术运用到校园网的安全建设,从而既满足了学生的表现欲望,又保障了校园网的安全。
3.提高网络安全意识
许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏,这样就需要定期对教师和学生进行计算机病毒、网络安全方面的培训,如讲解计算机病毒的危害、网络黑客的危害等,提高他们的校园网安全防范意识和技能。
4.完善规章制度
常言说:"三分技术,七分管理"。安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。仅有正确的引导是不够的,还会有个别学生越轨,这时候就需要制定一整套的规章制度来约束个别学生的行为。
5.安全计划
包括建立校园网络的安全政策,掌握保障安全性所需的基础技术,并规划好发生特定安全事故时应该采取的解决方案。
6.提高网络管理人员的技术水平
建立一支高素质的人才队伍网络管理的主体是人才队伍,无论是设计和构建安全、可靠的校园网系统,还是日常网络的科学管理,都需要业务精通、技术水平高的专业人才。在校园网安全系统的建设中,无论采用何种先进的技术,还是采用什么先进的安全产品,如果缺少一支技术过硬、责任心强的专业队伍,则很多的先进设施充其量不过是"摆设"。因此,校园网安全技术管理不仅任务重,其技术要求也越来越高,网络安全技术人才队伍建设也将是校园网建设的重中之重。
总之,校园网的安全问题不仅仅是技术的问题,而且包括教师、学生等人的因素,必须在意识和管理上自始至终重视校园网的安全建设。
【参考文献】
[1]查贵庭,彭其军,罗国富. 校园网安全威胁及安全系统构建. 计算机应用研究, 2005,35