引論:我們?yōu)槟砹?3篇校園網(wǎng)絡(luò)安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫(xiě)作時(shí)的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
1.2網(wǎng)絡(luò)安全基本特征
網(wǎng)絡(luò)安全應(yīng)具有保密性、可用性、可控性、可審查性、完整性等五個(gè)方面的特征.保密性:信息未經(jīng)授權(quán)不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權(quán)用戶、實(shí)體或過(guò)程無(wú)法利用其特征.可用性:用戶經(jīng)過(guò)授權(quán)后可按需使用,即授權(quán)用戶當(dāng)需要該信息時(shí)能否正常存取.網(wǎng)絡(luò)環(huán)境下常見(jiàn)的可用性的攻擊包括拒絕服務(wù)攻擊、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)行等.可控性:對(duì)網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力.可審查性:當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問(wèn)題時(shí)可提供相應(yīng)的依據(jù)與手段,便于追蹤攻擊源.完整性:用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性,即信息在保存或者傳輸?shù)倪^(guò)程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網(wǎng)建設(shè)概述及其安全威脅
隨著互聯(lián)網(wǎng)的快速普及,校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一,教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向,校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公、科研、管理、生活主要的工具和手段之一,并發(fā)揮著越來(lái)越重要的作用[3].另一方面,隨著國(guó)家科教興國(guó)戰(zhàn)略的實(shí)施,政府加強(qiáng)了對(duì)學(xué)校的投資,由此也加強(qiáng)了學(xué)校對(duì)校園網(wǎng)的建設(shè).中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CER-NET)的成立,標(biāo)志著教育網(wǎng)的形成.CERNET主干網(wǎng)絡(luò)傳輸速率已達(dá)到2.5Gpbs,總?cè)萘窟_(dá)40Gpbs,它吸引超過(guò)1000所高校的鼎力加盟,覆蓋全國(guó)超過(guò)200個(gè)城市.目前,大部分學(xué)校都已建成校園網(wǎng),實(shí)現(xiàn)了校園網(wǎng)的整體覆蓋,包括辦公樓、教學(xué)樓、宿舍樓等.校園網(wǎng)同時(shí)與Internet對(duì)接,實(shí)現(xiàn)了校園辦公教學(xué)的信息化、自動(dòng)化.如圖1所示,為一個(gè)簡(jiǎn)單的校園網(wǎng)組網(wǎng)模型.隨著CERNET的建設(shè)不斷提高,校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一,是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施,同時(shí)擔(dān)任著科研與教學(xué)的重要任務(wù).然而,目前國(guó)內(nèi)大多數(shù)學(xué)校都缺乏對(duì)校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對(duì)校園網(wǎng)絡(luò)的認(rèn)識(shí)不足,這些都極大阻礙了校園網(wǎng)的發(fā)展.因此合理地對(duì)校園網(wǎng)絡(luò)升級(jí),是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一[4].同時(shí),校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施,安全問(wèn)題不容忽視.在互聯(lián)網(wǎng)開(kāi)放程度很高的今天,校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo).威脅校園網(wǎng)安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協(xié)議漏洞造成的威脅
現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP/IP協(xié)議了,這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議.TCP/IP協(xié)議在設(shè)計(jì)之初,就沒(méi)有考慮安全問(wèn)題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國(guó)際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全,但是由于TCP/IP協(xié)議的開(kāi)放性和通用性幾乎占用了整個(gè)市場(chǎng),使得OSI七層協(xié)議無(wú)法推廣.所以,目前網(wǎng)絡(luò)黑客針對(duì)TCP/IP漏洞攻擊有很多,例如:數(shù)據(jù)竊聽(tīng)、源地址欺騙、ARP欺騙等等.
(1)數(shù)據(jù)竊聽(tīng)(PacketSniff).TCP/IP協(xié)議從設(shè)計(jì)之初,就采取的是數(shù)據(jù)包明碼傳輸,這種傳輸模式使得數(shù)據(jù)包很容易被竊聽(tīng)、修改和偽造.黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包,竊取用戶有利用價(jià)值的信息,如用戶賬戶和密碼等信息.同時(shí),黑客也能修改和偽造數(shù)據(jù)包,讓用戶誤入釣魚(yú)網(wǎng)站或者竊取網(wǎng)上銀行信息,給用戶造成直接經(jīng)濟(jì)損失.特別是在校園網(wǎng)中,數(shù)據(jù)包流通比較集中,一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號(hào)信息,將會(huì)給校園網(wǎng)絡(luò)造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網(wǎng)絡(luò)安全中,一個(gè)比較重要的安全問(wèn)題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉(zhuǎn)發(fā),信息會(huì)發(fā)生變化,而且在實(shí)際的網(wǎng)絡(luò)系統(tǒng)中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機(jī)IP地址,騙取防火墻信任,從而對(duì)校園網(wǎng)內(nèi)部發(fā)起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個(gè)完整的IP數(shù)據(jù)包中,通常只包含源地址和目的地址,即路由器可以知道數(shù)據(jù)包從哪個(gè)主機(jī)發(fā)送出來(lái),將要到達(dá)哪個(gè)主機(jī).源路由是指數(shù)據(jù)包將會(huì)列出所要經(jīng)過(guò)的路由,路由器將會(huì)根據(jù)這些指定的路由將數(shù)據(jù)包送達(dá)相應(yīng)的主機(jī),然后根據(jù)其反向路由進(jìn)行應(yīng)答,從而實(shí)現(xiàn)主機(jī)之間的通信.而源路由選擇欺騙,則是攻擊者通過(guò)偽造主機(jī)源路由,讓數(shù)據(jù)包經(jīng)過(guò)該主機(jī)必經(jīng)路由,使受攻擊主機(jī)出現(xiàn)錯(cuò)誤判斷,將某些被保護(hù)的數(shù)據(jù)提供給了攻擊者.另一方面,由于路由器一般對(duì)接收到的路由信息是不經(jīng)過(guò)檢驗(yàn)的,這樣就給攻擊者提供便利,攻擊者可以發(fā)送虛假數(shù)據(jù)包,改變某些重要數(shù)據(jù)包的傳遞路徑,使得數(shù)據(jù)在傳遞到正常主機(jī)前,即可抓取分析,從而也達(dá)到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協(xié)議還無(wú)法證明網(wǎng)絡(luò)身份的真實(shí)有效性,因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息,從而達(dá)到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協(xié)議,作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議.因?yàn)樵诰钟蚓W(wǎng)中,尤其是在校園網(wǎng)中,使用最多的往往是MAC地址進(jìn)行傳輸,而不是IP地址進(jìn)行傳輸,所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺(tái)主機(jī)進(jìn)行通信.而黑客只需在局域網(wǎng)中進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng),獲取到一臺(tái)主機(jī)A的節(jié)點(diǎn)信息(IP地址和MAC地址),就能偽造A的數(shù)據(jù)包,與B進(jìn)行通信,獲取有用信息.另一方面,黑客可以偽造一個(gè)不存在的MAC地址在局域網(wǎng)內(nèi)傳播,形成廣播風(fēng)暴,這樣會(huì)造成網(wǎng)絡(luò)不通,給局域網(wǎng)造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務(wù)攻擊,攻擊者的目的是讓目標(biāo)主機(jī)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù).因?yàn)門(mén)CP協(xié)議采用三次握手建立一次連接,而任何一次握手失敗,則會(huì)重新發(fā)送.攻擊者正是利用這一個(gè)協(xié)議漏洞,采取不斷建立連接,然后丟棄該連接數(shù)據(jù)包,使得服務(wù)器處于等待狀態(tài),如果攻擊者一直持續(xù)連接和丟棄的過(guò)程,則服務(wù)器和網(wǎng)絡(luò)所有的資源會(huì)被完全消耗,導(dǎo)致計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法正常工作,從而達(dá)到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務(wù)攻擊,它是指攻擊者借助一系列工具或手段,聯(lián)合多個(gè)計(jì)算機(jī)組成攻擊平臺(tái),對(duì)一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊.最基本的DoS是利用合法的服務(wù)請(qǐng)求,占用攻擊目標(biāo)主機(jī)大量服務(wù)資源,使得正常用戶無(wú)法訪問(wèn).然而DoS服務(wù)需要占用大量帶寬,單個(gè)計(jì)算機(jī)攻擊肯定無(wú)法達(dá)到攻擊者想要的目標(biāo).因此網(wǎng)絡(luò)黑客會(huì)抓取網(wǎng)絡(luò)“肉雞”,集合大量網(wǎng)絡(luò)帶寬,組成龐大的攻擊平臺(tái),可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài).
(8)TCP序列號(hào)欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號(hào),形成一個(gè)TCP封包,對(duì)網(wǎng)絡(luò)中可信節(jié)點(diǎn)進(jìn)行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發(fā)動(dòng)SYN攻擊,讓服務(wù)器無(wú)法完成三次握手,造成服務(wù)器開(kāi)放大量等待端口,影響正常網(wǎng)絡(luò)訪問(wèn),嚴(yán)重時(shí),可直接造成服務(wù)器死機(jī),如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器,那么可能導(dǎo)致網(wǎng)站主頁(yè)無(wú)法鏈接或者校園網(wǎng)內(nèi)部用戶無(wú)法訪問(wèn)外部網(wǎng)絡(luò).
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協(xié)議是Internet控制報(bào)文協(xié)議,它屬于TCP/IP協(xié)議下的一個(gè)子協(xié)議,用于在IP主機(jī)和路由器之間傳遞控制消息.其中控制消息是指網(wǎng)絡(luò)是否暢通、主機(jī)是否可連接、路由是否可用等一系列消息,它對(duì)數(shù)據(jù)傳輸有很重要的作用.而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過(guò)64KB這一規(guī)定,發(fā)動(dòng)“PingofDeath”攻擊,當(dāng)主機(jī)ICMP數(shù)據(jù)包尺寸超過(guò)64KB時(shí),主機(jī)會(huì)發(fā)生內(nèi)存分配錯(cuò)誤,導(dǎo)致TCP/IP堆棧崩潰,使得目標(biāo)主機(jī)死機(jī).雖然操作系統(tǒng)通過(guò)取消ICMP數(shù)據(jù)包大小限制來(lái)解決該漏洞,但是向目標(biāo)主機(jī)發(fā)動(dòng)持續(xù)、大規(guī)模的ICMP攻擊,會(huì)消耗主機(jī)CPU、內(nèi)存等資源,嚴(yán)重時(shí)也會(huì)導(dǎo)致目標(biāo)主機(jī)癱瘓,無(wú)法提供正常服務(wù).
2.2漏洞威脅
軟件和操作系統(tǒng)是由程序員編寫(xiě)的,而在開(kāi)發(fā)的過(guò)程中,多多少少會(huì)存在各種各樣的漏洞問(wèn)題,這些漏洞如果不能及時(shí)修復(fù),將會(huì)對(duì)主機(jī)造成重大安全威脅.一旦該主機(jī)被攻破,同時(shí)也會(huì)給該主機(jī)處在的局域網(wǎng)中的其它機(jī)器造成威脅,情況嚴(yán)重時(shí),甚至?xí)斐烧麄€(gè)網(wǎng)絡(luò)癱瘓.近幾年來(lái),無(wú)論是Windows操作系統(tǒng),還是Linux操作系統(tǒng),的補(bǔ)丁數(shù)目一直持續(xù)增加.特別是Windows操作系統(tǒng),在校園網(wǎng)內(nèi)擁有的用戶眾多,如果沒(méi)能及時(shí)修復(fù)各種漏洞,勢(shì)必會(huì)影響整個(gè)校園網(wǎng)安全.
2.3病毒、木馬威脅
近些年來(lái),隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)上各種各樣的開(kāi)源軟件繁多,有些開(kāi)源軟件打著免費(fèi)的旗號(hào),暗留后門(mén)或者對(duì)操作系統(tǒng)植入木馬,稍不注意,就會(huì)對(duì)整個(gè)系統(tǒng)造成重大影響.同時(shí),網(wǎng)絡(luò)上黑客也會(huì)主動(dòng)攻擊,種植木馬,抓取網(wǎng)絡(luò)肉雞,作為自己攻擊的跳板,對(duì)互聯(lián)網(wǎng)上其它的計(jì)算機(jī)造成嚴(yán)重威脅.
2.4初級(jí)黑客攻擊
校園網(wǎng)因?yàn)樽陨砭窒扌裕渚W(wǎng)絡(luò)管理水平無(wú)法與企業(yè)相比,因此很容易受到網(wǎng)絡(luò)上初級(jí)黑客的攻擊,作為他們?cè)囀值哪繕?biāo).另外一方面,互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡(jiǎn)單,這讓許多初級(jí)黑客也能在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的攻擊.且根據(jù)心理學(xué)研究分析,很多普通攻擊者往往有炫耀心理,即把校園網(wǎng)作為自己攻擊的目標(biāo),以獲取所謂的成功感,這讓校園網(wǎng)增加更多的威脅.
3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問(wèn)題
目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問(wèn)題分為人為因素導(dǎo)致的安全問(wèn)題和非人為因素導(dǎo)致的安全問(wèn)題.
3.1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題
3.1.1校園網(wǎng)用戶數(shù)量龐大
校園網(wǎng)內(nèi)用戶量眾多且處在同一個(gè)局域網(wǎng)中,同時(shí),校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的.用戶量加上數(shù)目可觀、功能強(qiáng)大的服務(wù)器,這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網(wǎng)用戶安全意識(shí)低
根據(jù)調(diào)查研究發(fā)現(xiàn),校園網(wǎng)的用戶大部分都安全意識(shí)不強(qiáng),用戶計(jì)算機(jī)整體水平偏低,有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件,也沒(méi)能及時(shí)給系統(tǒng)打補(bǔ)丁,系統(tǒng)處于“裸奔”狀態(tài).這對(duì)于當(dāng)今如此開(kāi)放的互聯(lián)網(wǎng),將直接為黑客提供攻擊目標(biāo).而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識(shí),在下載和使用軟件時(shí),基本上不考慮其風(fēng)險(xiǎn)性,這些都將會(huì)給黑客制造攻擊機(jī)會(huì),影響整個(gè)校園網(wǎng)安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權(quán)用戶,它在一定程度上破壞了計(jì)算機(jī)系統(tǒng)的保密性.目前,常見(jiàn)的信息泄密有:操作系統(tǒng)漏洞、流氓軟件、網(wǎng)絡(luò)監(jiān)聽(tīng)、病毒、木馬、業(yè)務(wù)流分析、網(wǎng)絡(luò)釣魚(yú)、電磁、物理入侵、射頻截獲、非法授權(quán)、計(jì)算機(jī)后門(mén)程序.
3.1.4拒絕服務(wù)攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計(jì)算機(jī)停止提供服務(wù),讓合法的信息或資源訪問(wèn)被拒絕或者嚴(yán)重推遲.常見(jiàn)的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過(guò)系統(tǒng)漏洞、病毒、木馬、后門(mén)程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網(wǎng)絡(luò)濫用
由于授權(quán)的用戶因操作或行為不當(dāng),導(dǎo)致網(wǎng)絡(luò)濫用,從而導(dǎo)致網(wǎng)絡(luò)安全威脅,例如非法外聯(lián)、非法內(nèi)聯(lián)、設(shè)備濫用、業(yè)務(wù)濫用、移動(dòng)風(fēng)險(xiǎn)等等.
3.2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問(wèn)題
網(wǎng)絡(luò)安全除去人為因素外,很大一部分安全威脅來(lái)自安全工具和操作系統(tǒng)自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應(yīng)用范圍和環(huán)境,同時(shí)安全工具受到人為因素、系統(tǒng)漏洞、程序BUG的影響,這些因素反而給攻擊者帶來(lái)了一定的便利.對(duì)于操作系統(tǒng)而言,沒(méi)有絕對(duì)安全的操作系統(tǒng),無(wú)論是微軟的Windows系列操作系統(tǒng),還是開(kāi)源的Linux操作系統(tǒng),都有存在后門(mén)或漏洞的可能.世界上沒(méi)有絕對(duì)安全的操作系統(tǒng),因此在搭建校園網(wǎng)時(shí),要選擇安全性盡可能高的操作系統(tǒng),而且要隨時(shí)提供校園網(wǎng)用戶漏洞補(bǔ)丁下載,以及殺毒軟件,保證用戶系統(tǒng)安全性始終最高.由上所述,我們可以說(shuō)網(wǎng)絡(luò)安全問(wèn)題絕大部分是由人為因素引起的.現(xiàn)在,國(guó)家也制定了相應(yīng)的法律來(lái)保護(hù)網(wǎng)絡(luò)安全,打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動(dòng).但是校園網(wǎng)作為一個(gè)龐大的用戶群,如何防范這些網(wǎng)絡(luò)犯罪活動(dòng)顯得尤為重要.我們不能等著整個(gè)網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范,而是要在攻擊之前做好準(zhǔn)備工作,讓校園網(wǎng)在安全中運(yùn)行.
4加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對(duì)策和建議
加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個(gè)方面來(lái)進(jìn)行.
4.1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建
在校園網(wǎng)工程的建設(shè)中,網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網(wǎng)工程的設(shè)計(jì)和建設(shè)中,一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火、防電以及防雷等安全問(wèn)題;考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路、照明線路、動(dòng)力線路、空氣對(duì)流管道以及暖氣管道之間的距離;考慮網(wǎng)絡(luò)中物理電路的接地安全;考慮建設(shè)合理的防雷系統(tǒng),保證建筑物、計(jì)算機(jī)以及其它物理設(shè)備的防雷[6].
4.2應(yīng)加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)的安全維護(hù)技術(shù)
從技術(shù)層面來(lái)說(shuō),網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、病毒監(jiān)測(cè)系統(tǒng)等多個(gè)安全組件組成,單獨(dú)的一個(gè)組件是無(wú)法保證當(dāng)前網(wǎng)絡(luò)信息安全的.最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法,即通過(guò)對(duì)網(wǎng)絡(luò)邊界的數(shù)據(jù)包進(jìn)行監(jiān)測(cè),符合規(guī)定的數(shù)據(jù)包可通過(guò),不符合規(guī)定的數(shù)據(jù)包就拋棄,這種方式在一定程度上能阻止對(duì)網(wǎng)絡(luò)的入侵和攻擊,但是不能有效防止網(wǎng)絡(luò)攻擊.目前,應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有:防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等.防火墻[7]指的是一個(gè)由硬件和軟件混合組成的設(shè)備,用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來(lái),建立一層安全保護(hù)屏障,它是一種隔離控制技術(shù).常見(jiàn)的防火墻有包過(guò)濾技術(shù)、技術(shù)、狀態(tài)監(jiān)測(cè)技術(shù)等.相對(duì)于防火墻來(lái)說(shuō),防病毒技術(shù)將是從計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部進(jìn)行防控,主要預(yù)防病毒程序、后門(mén)程序、網(wǎng)絡(luò)監(jiān)聽(tīng)等.目前采取比較多的防病毒手段是對(duì)系統(tǒng)進(jìn)行監(jiān)聽(tīng),阻止不合規(guī)定進(jìn)程.而且防病毒技術(shù)永遠(yuǎn)是滯后性的,即防病毒工具一直在病毒出現(xiàn)后才能組織.現(xiàn)在的防病毒技術(shù)和云平臺(tái)技術(shù)結(jié)合,已經(jīng)對(duì)病毒起到了一定的控制作用.相對(duì)前面兩種技術(shù)來(lái)說(shuō),數(shù)據(jù)加密技術(shù)就比較靈活了.可以將用戶的信息經(jīng)過(guò)加密后,再在網(wǎng)絡(luò)上傳輸,及時(shí)數(shù)據(jù)被黑客截獲,沒(méi)有有效的密鑰,數(shù)據(jù)對(duì)黑客來(lái)說(shuō)也只是一堆無(wú)效數(shù)據(jù)而已.在開(kāi)放的互聯(lián)網(wǎng)平臺(tái),數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全[8].
4.3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)
計(jì)算機(jī)網(wǎng)絡(luò)安全絕大部分是人為因素引起的.因此在校園網(wǎng)搭建過(guò)程中,關(guān)于對(duì)計(jì)算機(jī)系統(tǒng)管理員的培訓(xùn)及管理,是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分.一個(gè)不合理的操作,很有可能讓整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓,因此必須建立健全管理規(guī)范,明確管理員責(zé)任和權(quán)利.同時(shí),要記錄管理員操作信息,當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時(shí),可以及時(shí)分析,如果發(fā)現(xiàn)黑客入侵,則及時(shí)采取必要措施杜絕黑客進(jìn)一步入侵,必要時(shí)需向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案,減少學(xué)校損失.另外一方面,建立健全的管理制度以及嚴(yán)格的管理模式,可以保證校園網(wǎng)的正常、安全運(yùn)行.總而言之,網(wǎng)絡(luò)安全涉及的領(lǐng)域很多,是一個(gè)綜合性的問(wèn)題.只有合理的運(yùn)用相關(guān)技術(shù)以及人員培訓(xùn),才能盡最大可能的把安全威脅降到最低.
篇2
一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因,比如將原有的單機(jī)互聯(lián),使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤(pán)等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷;機(jī)房設(shè)計(jì)不合理,溫度、濕度不適應(yīng)以及無(wú)抗靜電、抗磁干擾等設(shè)施;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足,沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開(kāi)放的狀態(tài),沒(méi)有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少,安全意識(shí)淡薄,U盤(pán)、移動(dòng)硬盤(pán)、手機(jī)等存貯介質(zhì)隨意使用;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí),不能安全地配置和管理網(wǎng)絡(luò);學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房;學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別,不能有效的規(guī)范和約束師生的非法訪問(wèn)行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計(jì)算機(jī)安裝還原卡或使用還原軟件,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門(mén)”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門(mén)”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來(lái)品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作,在網(wǎng)絡(luò)上運(yùn)行時(shí),這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。
(四)計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性,傳播到網(wǎng)絡(luò)服務(wù)器,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染,危害極大。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描、黑客攻擊、網(wǎng)頁(yè)篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點(diǎn)。它的破壞性是巨大的,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒,就會(huì)堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評(píng)論,列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段,計(jì)算機(jī)病毒名列第二,這給未來(lái)的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源,保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問(wèn)題,文章提出以下校園網(wǎng)絡(luò)安全防范措施。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問(wèn)Internet都是通過(guò)服務(wù)器,服務(wù)器會(huì)檢查用戶的訪問(wèn)請(qǐng)求是否符合規(guī)定,才會(huì)到被用戶訪問(wèn)的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無(wú)法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見(jiàn)的,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合,通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。防火墻通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾(允許/拒絕),控制數(shù)據(jù)包的進(jìn)出,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析,通過(guò)日志分析,獲取時(shí)間、地址、協(xié)議和流量,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等,最大限度地防止惡意或非法訪問(wèn)存取,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度,定期對(duì)各工作站進(jìn)行維護(hù),對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù),定時(shí)升級(jí)文件并查毒殺毒,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力。
(四)口令加密和訪問(wèn)控制
校園網(wǎng)絡(luò)管理員通過(guò)對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù),賦予用戶一定的訪問(wèn)存取權(quán)限、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進(jìn)行操作,合理設(shè)置網(wǎng)絡(luò)共享文件,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細(xì)的用戶信息數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動(dòng)日志等,定時(shí)對(duì)其進(jìn)行審查分析,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護(hù)網(wǎng)絡(luò)安全。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問(wèn)資源。各個(gè)子網(wǎng)間通過(guò)路由器、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個(gè)網(wǎng)絡(luò),通過(guò)設(shè)置命令,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障,阻止非法用戶非法訪問(wèn),防止網(wǎng)絡(luò)病毒、木馬程序,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)能安全運(yùn)行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來(lái)不可預(yù)知的災(zāi)難,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對(duì)網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),是對(duì)防火墻有益的補(bǔ)充。當(dāng)有敵人或者惡意用戶試圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí),IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警,通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息,記錄事件,自動(dòng)阻斷通信連接,重置路由器、防火墻,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等)。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺(jué)性,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。
三、結(jié)論
校園網(wǎng)的安全問(wèn)題是一個(gè)較為復(fù)雜的系統(tǒng)工程,長(zhǎng)期以來(lái),從病毒、黑客與防范措施的發(fā)展來(lái)看,總是“道高一尺,魔高一丈”,沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),只有通過(guò)綜合運(yùn)用多項(xiàng)措施,加強(qiáng)管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系,提高校園網(wǎng)絡(luò)的安全防范能力。
參考文獻(xiàn):
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等專科學(xué)校學(xué)報(bào),2002(8).
篇3
2.1從技術(shù)上進(jìn)行可行性分析論證
PKI技術(shù)植入到VPN技術(shù)的校園網(wǎng)安全網(wǎng)絡(luò)架構(gòu)模型是把傳統(tǒng)的校園網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)服務(wù)器安置在一個(gè)專門(mén)的網(wǎng)絡(luò)中,從而使得高職校園公共網(wǎng)和專用網(wǎng),無(wú)論是他們的組網(wǎng)方式還是網(wǎng)絡(luò)構(gòu)造都跟當(dāng)前社會(huì)上先進(jìn)的局域網(wǎng)完全一樣,另外新模型網(wǎng)絡(luò)中使用的操作系統(tǒng)、通信協(xié)議以及軟硬件都沒(méi)有進(jìn)行任何改變,跟以前的高職校園網(wǎng)絡(luò)的所有資源一樣,都可以正常使用,所以在改造過(guò)程中基本不沒(méi)有出現(xiàn)任何技術(shù)上的問(wèn)題,這也是高職校園網(wǎng)絡(luò)數(shù)據(jù)確保安全的最終目的要求。新模型最主要的部分就是要求構(gòu)建一個(gè)實(shí)際上,整個(gè)模型的關(guān)鍵技術(shù)在于構(gòu)建基于PKI認(rèn)證的VPN網(wǎng)關(guān),主要滿足以下兩個(gè)方面的要求:一是,完全符合VPN技術(shù)的要求;二是,完全認(rèn)同PKI的認(rèn)證技術(shù)。而在實(shí)際處理過(guò)程中,只要采用雙重宿主機(jī)服務(wù)器和通過(guò)在過(guò)濾路由器上做NAT就能夠達(dá)到以上要求,網(wǎng)關(guān)采用的操作系統(tǒng)既可以是WindowsServer2003也可以是WindowsServer2008,只需要充分將這兩個(gè)操作系統(tǒng)中提供的VPN服務(wù)和內(nèi)置的PKI功能利用起來(lái),就能夠在不使用任何第三方軟件的前提下就能夠確保該網(wǎng)關(guān)達(dá)到以上兩方面的要求。由此可以看出,當(dāng)前已有的技術(shù)完全能夠確保該模型在現(xiàn)實(shí)中實(shí)現(xiàn),從而說(shuō)明在技術(shù)方面是沒(méi)有任何問(wèn)題的。
2.2從經(jīng)濟(jì)上進(jìn)行可行性分析論證
現(xiàn)有的高職院校的校園網(wǎng)網(wǎng)絡(luò)拓樸圖和根據(jù)模型設(shè)計(jì)的某高職院校的校園網(wǎng)拓樸結(jié)構(gòu)圖。通過(guò)對(duì)這兩幅圖進(jìn)行對(duì)比分析可以發(fā)現(xiàn)稍加改進(jìn),其中改進(jìn)前后的校園網(wǎng)部分沒(méi)有發(fā)生變化,基礎(chǔ)上多加了一個(gè)服務(wù)器專用網(wǎng)絡(luò),以及一個(gè)帶PKI認(rèn)證的IPSec-VPN網(wǎng)關(guān),因此所需要的費(fèi)用也就是在跟原先不同之處稍微增加。雖然改進(jìn)后的模型中多了一個(gè)服務(wù)器專用網(wǎng)絡(luò),但是卻并沒(méi)有新增多一個(gè)網(wǎng)絡(luò),所以唯一改變的就是在原有的基礎(chǔ)上稍微進(jìn)行改進(jìn),從而對(duì)這些服務(wù)器進(jìn)行集中管理即可,然后再將這些服務(wù)器通過(guò)交換機(jī)有效的連接起來(lái),進(jìn)而構(gòu)成了一個(gè)獨(dú)立的網(wǎng)絡(luò),交換機(jī)也只需要2000-3000元即可;除此之外就是再需要一個(gè)25000元左右的一臺(tái)雙重宿主機(jī)服務(wù)器,網(wǎng)關(guān)采用的操作系統(tǒng)既可以是WindowsServer2003也可以是WindowsServer2008,這些費(fèi)用在絕大多數(shù)高職學(xué)校都是可以實(shí)現(xiàn)的,因此在經(jīng)濟(jì)方面也完全沒(méi)有問(wèn)題。
篇4
一、何謂無(wú)線局域網(wǎng)
無(wú)線局域網(wǎng)(WirelessLocalAreaNetwork,縮寫(xiě)為“WLAN”)是高速發(fā)展的現(xiàn)代無(wú)線通信技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用,是計(jì)算機(jī)網(wǎng)絡(luò)與無(wú)線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣,基于802.1標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)在空氣中傳播射頻信號(hào),在信號(hào)范圍內(nèi)的無(wú)線客戶端都可以接受到數(shù)據(jù),為通信的移動(dòng)化、個(gè)人化和多媒體應(yīng)用提供了實(shí)現(xiàn)的手段。
二、傳統(tǒng)有線網(wǎng)絡(luò)面臨的問(wèn)題
隨著校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)應(yīng)用不斷增加,網(wǎng)絡(luò)已經(jīng)成為老師和學(xué)生獲得信息的主要手段之一,校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴(kuò)充到幾千用戶甚至幾萬(wàn)用戶,越來(lái)越多的校園網(wǎng)絡(luò)應(yīng)用開(kāi)始部署,網(wǎng)絡(luò)變得前所未有的重要,細(xì)心觀察不難發(fā)現(xiàn)傳統(tǒng)有線網(wǎng)絡(luò)容易出現(xiàn)以下問(wèn)題:
(1)校內(nèi)公共網(wǎng)絡(luò)設(shè)施有限,而且使用頻繁,人們?yōu)榱松暇W(wǎng)不得不在這些地點(diǎn)之間奔波;
(2)計(jì)算機(jī)設(shè)備較多,其中,筆記本數(shù)目也在逐步增加。在這種情況下,全部用有線網(wǎng)連接終端設(shè)施,從布線到使用都會(huì)極不方便;
(3)有的教室主體結(jié)構(gòu)是大開(kāi)間布局,地面和墻壁已經(jīng)施工完畢,若進(jìn)行網(wǎng)絡(luò)應(yīng)用改造,埋設(shè)纜線工作量巨大,而且學(xué)生上課時(shí)的位置不是很固定,導(dǎo)致信息點(diǎn)的放置也不能確定,這樣,構(gòu)建一個(gè)有線局域網(wǎng)絡(luò)就會(huì)面對(duì)各種不便;
(4)高校通常會(huì)有幾個(gè)在地理分布上并不集中的分校區(qū),用有線光纜連接校園網(wǎng)工程復(fù)雜、成本極高。而使用無(wú)線網(wǎng)絡(luò),無(wú)論是在教學(xué)樓、辦公樓、學(xué)生宿舍或者其他校區(qū)都可以實(shí)現(xiàn)全方位的無(wú)線上網(wǎng)。這是無(wú)線網(wǎng)絡(luò)在校園中的發(fā)展趨勢(shì)。
三、無(wú)線網(wǎng)絡(luò)的特點(diǎn)與優(yōu)勢(shì)
1、移動(dòng)性強(qiáng)。無(wú)線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛,能夠使學(xué)習(xí)遠(yuǎn)離教室,可以在網(wǎng)絡(luò)覆蓋的范圍內(nèi)的任何位置上網(wǎng)。無(wú)線網(wǎng)絡(luò)完全支持自由移動(dòng),持續(xù)連接,實(shí)現(xiàn)移動(dòng)辦公。
2、帶寬很寬,適合進(jìn)行大量雙向和多向多媒體信息傳輸。
在速度方面,802.11b的傳輸速度可提供可達(dá)11Mbps數(shù)據(jù)速率,而標(biāo)準(zhǔn)802.11g無(wú)線網(wǎng)速提升五倍,其數(shù)據(jù)傳輸率將達(dá)到54Mbps,充分滿足校園網(wǎng)用戶對(duì)網(wǎng)速的要求.
3、有較高的安全性和較強(qiáng)的靈活性
由于采用直接序列擴(kuò)頻、跳頻、跳時(shí)等一系列無(wú)線擴(kuò)展頻譜技術(shù),使得其高度安全可靠;無(wú)線網(wǎng)絡(luò)組網(wǎng)靈活、增加和減少移動(dòng)主機(jī)相當(dāng)容易。
4、維護(hù)成本低,無(wú)線網(wǎng)絡(luò)盡管在搭建時(shí)投入成本高些,但后期維護(hù)方便,維護(hù)成本比有線網(wǎng)絡(luò)低50%左右。
四、無(wú)線網(wǎng)絡(luò)存在的安全問(wèn)題
在無(wú)線網(wǎng)絡(luò)的實(shí)際使用中,有可能遇到的威脅主要包括以下幾個(gè)方面
1、信息重放
在沒(méi)有足夠的安全防范措施的情況下,是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。對(duì)于這種攻擊行為,即使采用了VPN等保護(hù)措施也難以避免。中間人攻擊則對(duì)授權(quán)客戶端和AP進(jìn)行雙重欺騙,進(jìn)而對(duì)信息進(jìn)行竊取和篡改。
2、WEP破解
現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的包,并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量,最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。
3、網(wǎng)絡(luò)竊聽(tīng)
一般說(shuō)來(lái),大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解(讀取)通信。由于入侵者無(wú)需將竊聽(tīng)或分析設(shè)備物理地接入被竊聽(tīng)的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無(wú)線局域網(wǎng)面臨的最大問(wèn)題之一。
4、MAC地址欺騙
通過(guò)網(wǎng)絡(luò)竊聽(tīng)工具獲取數(shù)據(jù),從而進(jìn)一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。
5、拒絕服務(wù)
攻擊者可能對(duì)AP進(jìn)行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式。此外,對(duì)移動(dòng)模式內(nèi)的某個(gè)節(jié)點(diǎn)進(jìn)行攻擊,讓它不停地提供服務(wù)或進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。
五、無(wú)線網(wǎng)絡(luò)的安全防范措施
為了保護(hù)無(wú)線網(wǎng)路免于攻擊入侵的威脅,用戶主要應(yīng)該在提高使用的安全性、達(dá)成通信數(shù)據(jù)的保密性、完整性、使用者驗(yàn)證及授權(quán)等方面予以改善,實(shí)現(xiàn)最基本的安全目的。
1、規(guī)劃天線的放置,掌控信號(hào)覆蓋范圍。要部署封閉的無(wú)線訪問(wèn)點(diǎn),第一步就是合理放置訪問(wèn)點(diǎn)的天線,以便能夠限制信號(hào)在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號(hào)泄露到墻外。部署了無(wú)線網(wǎng)絡(luò)之后,應(yīng)該用可移動(dòng)的無(wú)線設(shè)備徹底的勘測(cè)信號(hào)覆蓋情況,并反映在學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D里。
2、使用WEP,啟用無(wú)線設(shè)備的安全能力。
保護(hù)無(wú)線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密,通過(guò)簡(jiǎn)單的設(shè)置AP和無(wú)線網(wǎng)卡等設(shè)備,就可以啟用WEP加密。無(wú)線加密協(xié)議(WEP)是對(duì)無(wú)線網(wǎng)絡(luò)上的流量進(jìn)行加密的一種標(biāo)準(zhǔn)方法。雖然WEP加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問(wèn)設(shè)置不小的障礙,有助于阻撓偶爾闖入的黑客。許多無(wú)線訪問(wèn)點(diǎn)廠商為了方便安裝產(chǎn)品,交付設(shè)備時(shí)關(guān)閉了WEP功能。但一旦采用這種做法,黑客就能立即訪問(wèn)無(wú)線網(wǎng)絡(luò)上的流量,因?yàn)槔脽o(wú)線嗅探器就可以直接讀取數(shù)據(jù)。建議經(jīng)常對(duì)WEP密鑰進(jìn)行更換,在有條件的情況下啟用獨(dú)立的認(rèn)證服務(wù)為WEP自動(dòng)分配密鑰。另外一個(gè)必須注意的問(wèn)題就是用于標(biāo)識(shí)每個(gè)無(wú)線網(wǎng)絡(luò)的SSID,在部署無(wú)線網(wǎng)絡(luò)的時(shí)候一定要將出廠時(shí)的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無(wú)線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。
3、變更SSID及禁止SSID廣播。服務(wù)集標(biāo)識(shí)符(SSID)是無(wú)線訪問(wèn)點(diǎn)使用的識(shí)別字符串,客戶端利用它就能建立連接。該標(biāo)識(shí)符由設(shè)備制造商設(shè)定,每種標(biāo)識(shí)符使用默認(rèn)短語(yǔ),如101就是3Com設(shè)備的標(biāo)識(shí)符。倘若黑客知道了這種口令短語(yǔ),即使未經(jīng)授權(quán),也很容易使用無(wú)線服務(wù)。對(duì)于部署的每個(gè)無(wú)線訪問(wèn)點(diǎn)而言,要選擇獨(dú)一無(wú)二并且很難猜中的SSID。如果可能的話,禁止通過(guò)天線向外廣播該標(biāo)識(shí)符。這樣網(wǎng)絡(luò)仍可使用,但不會(huì)出現(xiàn)在可用網(wǎng)絡(luò)列表上。
4、禁用DHCP。對(duì)無(wú)線網(wǎng)絡(luò)而言,這很有意義。如果采取這項(xiàng)措施,黑客不得不破譯用戶的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無(wú)論黑客怎樣利用公司的訪問(wèn)點(diǎn),他仍需要弄清楚IP地址。
5、禁用或改動(dòng)SNMP設(shè)置。如果公司的訪問(wèn)點(diǎn)支持SNMP,要么禁用,要么改變公開(kāi)及專用的共用字符串。如果不采取這項(xiàng)措施,黑客就能利用SNMP獲得有關(guān)公司網(wǎng)絡(luò)的重要信息。
6、使用訪問(wèn)列表。為了進(jìn)一步保護(hù)無(wú)線網(wǎng)絡(luò),應(yīng)使用訪問(wèn)列表,如果可能的話。不是所有的無(wú)線訪問(wèn)點(diǎn)都支持這項(xiàng)特性,但如果公司實(shí)施的網(wǎng)絡(luò)支持,就可以具體地指定允許哪些機(jī)器連接到訪問(wèn)點(diǎn)。支持這項(xiàng)特性的訪問(wèn)點(diǎn)有時(shí)會(huì)使用普通文件傳輸協(xié)議(TFTP),定期下載更新的列表,以避免管理員必須在每臺(tái)設(shè)備上使這些列表保持同步的棘手問(wèn)題。
參考文獻(xiàn):
[1]張錦.無(wú)線局域網(wǎng)IEEE802.11.現(xiàn)代圖書(shū)情報(bào)技術(shù)
篇5
2、入侵檢測(cè):入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力,及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件,主要功能有:檢測(cè)并分析用戶和系統(tǒng)的活動(dòng);檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞、統(tǒng)計(jì)分析異常行為等等。
從目前來(lái)看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問(wèn)題,發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報(bào)告的漏洞,并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站,對(duì)于我們有使用的軟件和服務(wù),應(yīng)該密切關(guān)注其程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。許多的網(wǎng)絡(luò)管理員對(duì)此認(rèn)識(shí)不夠,以至于過(guò)了幾年,還能掃描到機(jī)器存在許多漏洞。在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù),但是服務(wù)提供的越多,系統(tǒng)就存在更多的漏洞,也就有更多的危險(xiǎn)。因此從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供了他們所需的基本的服務(wù)。最典型的是,我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能,而沒(méi)有必要向公眾提供FTP功能,這樣,在服務(wù)器的服務(wù)配置中,我們只開(kāi)放WEB服務(wù),而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能,就一定只能向可能信賴的用戶開(kāi)放,因?yàn)橥ㄟ^(guò)FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限,那么,通過(guò)運(yùn)行上傳某些程序,就可能使服務(wù)器受到攻擊。所以,信賴了來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。
3、審計(jì)監(jiān)控技術(shù)。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程,它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng),還能指出系統(tǒng)正被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況,審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要。同時(shí),系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題,并且它是后面階段事故處理的重要依據(jù)。另外,通過(guò)對(duì)安全事件的不斷收集、積聚和分析,有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。
因此,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備,以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見(jiàn)操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷,從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。二、網(wǎng)絡(luò)運(yùn)行安全
網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外,還要有備份與恢復(fù)等應(yīng)急措施來(lái)保證網(wǎng)絡(luò)受到攻擊后,能盡快地全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。
一般數(shù)據(jù)備份操作有三種。一是全盤(pán)備份,即將所有文件寫(xiě)入備份介質(zhì);二是增量備份,只備份那些上次備份之后更改過(guò)的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤(pán)備份之后更改過(guò)的所有文件。
根據(jù)備份的存儲(chǔ)媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中,只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放,具有速度快和調(diào)用方便的特點(diǎn)。“冷備份”是將下載的備份存入到安全的存儲(chǔ)媒介中,而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系,在系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管,用以彌補(bǔ)了熱備份的一些不足。進(jìn)行備份的過(guò)程中,常使用備份軟件,如GHOST等。
三、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè),以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。
1、訪問(wèn)控制:在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中,采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的,同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn),外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。其基本功能有:過(guò)濾進(jìn)、出的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;封堵某些禁止的業(yè)務(wù)等。應(yīng)該強(qiáng)調(diào)的是,防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分,而不是全部。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中,才能實(shí)現(xiàn)真正的安全。
另外,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段,防止一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播。針對(duì)某些網(wǎng)絡(luò),在某些情況下,它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任,或者某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響。
2、網(wǎng)絡(luò)安全檢測(cè):保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評(píng)估分析,用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報(bào)告系存在的弱點(diǎn)和漏洞,建議補(bǔ)救措施和安全策略,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
以上只是對(duì)防范外部入侵,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項(xiàng)重要措施,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來(lái)維護(hù)。
篇6
(2)病毒的破壞。病毒影響計(jì)算機(jī)系統(tǒng)的正常運(yùn)行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網(wǎng)絡(luò)效率下降、甚至造成計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響校園網(wǎng)絡(luò)安全的主要因素。
(3)來(lái)自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為。校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。
(4)校園網(wǎng)內(nèi)部的攻擊。
2Honeynet技術(shù)
在校園網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用根據(jù)學(xué)院實(shí)際情況和校園網(wǎng)總體設(shè)計(jì)需求,為了更好地防御校園網(wǎng)中的各類網(wǎng)絡(luò)木馬、病毒(僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚(yú)等),部署了Honeynet系統(tǒng),但由于整個(gè)校園內(nèi)部網(wǎng)絡(luò)威脅較為嚴(yán)重,各種病毒較為猖獗,校園網(wǎng)常被病毒感染,因此部署的Honeynet系統(tǒng)主要是監(jiān)控校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊。為了更好地采集信息,充分發(fā)揮Honeynet系統(tǒng)在校園網(wǎng)安全防護(hù)中的主動(dòng)防御功能,將Honeynet系統(tǒng)放到黑客容易訪問(wèn)到的地方。根據(jù)實(shí)際校園環(huán)境的要求,筆者部署一個(gè)帶有不同操作系統(tǒng)的Honeynet,這個(gè)蜜網(wǎng)存在著各種各樣的漏洞,以吸引攻擊者進(jìn)行有效的訪問(wèn),從而獲取訪問(wèn)信息的和其日志記錄并加以深入分析和研究。通過(guò)使用虛擬軟件(VMWare)和物理計(jì)算機(jī)建立一個(gè)混合虛擬Honeynet,從而減少了物理計(jì)算機(jī)的需要。宿主主機(jī)的二個(gè)網(wǎng)卡設(shè)置:一個(gè)是設(shè)置作為虛擬控制機(jī),并通過(guò)虛擬網(wǎng)橋連接Honeywall,另一個(gè)設(shè)置連接校園內(nèi)網(wǎng)路由器。這里把eth1的IP設(shè)為192.168.1.2,而把eth2的IP設(shè)為192.168.1.3,這樣管理機(jī)和虛擬Honeypot就不在同一個(gè)網(wǎng)段上,保證了管理機(jī)的安全性。在本次Honeynet系統(tǒng)中所有主機(jī)都可以通過(guò)ssh或MYSQL連通”firewall”;所有主機(jī)都可以連接到Honeynet系統(tǒng);Honeynet允許連接到任意主機(jī);除次之外,所有的通信都被攔截,同時(shí)防火墻允許通過(guò)的數(shù)據(jù)均被記錄。當(dāng)完成對(duì)虛擬Honeynet系統(tǒng)的配置后,需要對(duì)其進(jìn)行測(cè)試,看是否能夠正常運(yùn)行,首先測(cè)試虛擬機(jī)蜜罐和宿主主機(jī)之間的網(wǎng)絡(luò)連接,包括宿主主機(jī)和蜜罐上通過(guò)互相ping對(duì)方的IP地址測(cè)試網(wǎng)絡(luò)連通性,經(jīng)測(cè)試網(wǎng)絡(luò)連通性正常。在Honeynet網(wǎng)關(guān)上監(jiān)聽(tīng)I(yíng)CMPping包是否通過(guò)外網(wǎng)口和內(nèi)網(wǎng)口。tcpdump-ieth0icmptcpdump-ieth1icmp通過(guò)測(cè)試后,說(shuō)明虛擬機(jī)蜜罐和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接(通過(guò)Honeynet網(wǎng)關(guān)eth0和eth1所構(gòu)成的網(wǎng)橋)沒(méi)有問(wèn)題。對(duì)Honeynet網(wǎng)關(guān)的遠(yuǎn)程管理進(jìn)行測(cè)試,需要使用SecureCRT軟件,遠(yuǎn)程ssh連接Honeynet網(wǎng)關(guān)管理口,經(jīng)過(guò)測(cè)試表示該虛擬Honeynet可用。
篇7
1.2入侵手段越來(lái)越智能
目前,校園網(wǎng)用戶計(jì)算機(jī)專業(yè)技術(shù)水平不同,導(dǎo)致用戶使用網(wǎng)絡(luò)的過(guò)程中,攜帶的病毒、木馬種類越來(lái)越多,并且隨著黑客的手段越來(lái)越高,病毒、木馬區(qū)域智能化,潛伏周期更長(zhǎng),更具隱蔽性,破壞性也越來(lái)越大。
1.3校園網(wǎng)絡(luò)管理制度不健全,管理模式簡(jiǎn)單
網(wǎng)絡(luò)應(yīng)用發(fā)展迅速,網(wǎng)絡(luò)管理制度不健全,管理模式較為單一,也同樣導(dǎo)致學(xué)校的校園網(wǎng)用戶安全意識(shí)淡薄,導(dǎo)致許多接入校園網(wǎng)絡(luò)的終端存在很多病毒和木馬,并且非常容易被黑客利用,攻擊整個(gè)網(wǎng)絡(luò)。
二、網(wǎng)絡(luò)安全主動(dòng)防御系統(tǒng)
2.1主動(dòng)防御系統(tǒng)模型
目前,網(wǎng)絡(luò)安全主動(dòng)防御模型包括三個(gè)方面,分別是管理、策略和技術(shù),可以大幅度提高網(wǎng)絡(luò)的入侵防御、響應(yīng)能力。
(1)管理。
校園網(wǎng)管理具有重要的作用,其位于安全模型的核心層次。網(wǎng)絡(luò)用戶管理可以通過(guò)制定相關(guān)的網(wǎng)絡(luò)安全防范制度、網(wǎng)絡(luò)使用政策等,通過(guò)學(xué)習(xí)、培訓(xùn),提高網(wǎng)絡(luò)用戶的安全意識(shí),增強(qiáng)網(wǎng)絡(luò)用戶的警覺(jué)性。
(2)策略。
校園網(wǎng)安全防御策略能夠?qū)⑾嚓P(guān)的網(wǎng)絡(luò)技術(shù)有機(jī)整合,優(yōu)化組合在一起,根據(jù)網(wǎng)絡(luò)用戶的規(guī)模、網(wǎng)絡(luò)的覆蓋范圍、網(wǎng)絡(luò)的用途等,制定不同等級(jí)的安全策略,實(shí)現(xiàn)網(wǎng)絡(luò)安全運(yùn)行的行為準(zhǔn)則。
(3)技術(shù)。
校園網(wǎng)防御技術(shù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ),校園網(wǎng)主動(dòng)防御技術(shù)包括六種,分別是網(wǎng)絡(luò)預(yù)警、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反擊等,能夠及時(shí)有效地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅,采取保護(hù)措施。
2.2主動(dòng)防御技術(shù)
校園網(wǎng)主動(dòng)防御技術(shù)可以有效地檢測(cè)已經(jīng)發(fā)生的、潛在發(fā)生的安全威脅,采取保護(hù)、響應(yīng)和反擊措施,阻止網(wǎng)絡(luò)安全威脅破壞網(wǎng)絡(luò),保證網(wǎng)絡(luò)安全運(yùn)行。
(1)預(yù)警。
校園網(wǎng)預(yù)警技術(shù)可以預(yù)測(cè)網(wǎng)絡(luò)可能發(fā)生的攻擊行為,及時(shí)發(fā)出警告。網(wǎng)絡(luò)應(yīng)包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢(shì)預(yù)警、情報(bào)收集分析預(yù)警等多種技術(shù)。
(2)保護(hù)。
校園網(wǎng)安全保護(hù)是指采用靜態(tài)保護(hù)措施,保證網(wǎng)絡(luò)信息的完整性、機(jī)密性,通常采用防火墻、虛擬專用網(wǎng)等具體技術(shù)實(shí)現(xiàn)。
(3)檢測(cè)。
校園網(wǎng)采用入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控技術(shù)等及時(shí)檢測(cè)網(wǎng)絡(luò)中是否存在非法的數(shù)據(jù)流,本地網(wǎng)絡(luò)是否存在安全漏洞,目的是發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的攻擊行為,有效地阻止網(wǎng)絡(luò)攻擊。
(4)響應(yīng)。
校園網(wǎng)主動(dòng)響應(yīng)技術(shù)能夠及時(shí)判斷攻擊源位置,搜集網(wǎng)絡(luò)攻擊數(shù)據(jù),阻斷網(wǎng)絡(luò)攻擊。響應(yīng)需要將多種技術(shù)進(jìn)行整合,比如使用網(wǎng)絡(luò)監(jiān)控系統(tǒng)、防火墻等阻斷網(wǎng)絡(luò)攻擊;可以采用網(wǎng)絡(luò)僚機(jī)技術(shù)或網(wǎng)絡(luò)攻擊誘騙技術(shù),將網(wǎng)絡(luò)攻擊引導(dǎo)到一個(gè)無(wú)用的主機(jī)上去,避免網(wǎng)絡(luò)攻擊造成網(wǎng)絡(luò)癱瘓,無(wú)法使用。
(5)恢復(fù)。
校園網(wǎng)攻擊發(fā)生后,可以及時(shí)采用恢復(fù)技術(shù),使網(wǎng)絡(luò)服務(wù)器等系統(tǒng)提供正常的服務(wù),降低校園網(wǎng)網(wǎng)絡(luò)攻擊造成的損害。
(6)反擊。
校園網(wǎng)反擊可以采用的具體措施包括病毒類攻擊、欺騙類攻擊、控制類攻擊、漏洞類攻擊、阻塞類攻擊、探測(cè)類攻擊等,這些攻擊手段可以有效地阻止網(wǎng)絡(luò)攻擊行為繼續(xù)發(fā)生,但是反擊需要遵循網(wǎng)絡(luò)安全管理法規(guī)等。
篇8
網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間,是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層,TCP/IP協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層,廣泛應(yīng)用的TCP、UDP、IGMP及ICMP數(shù)據(jù)包,都以IP數(shù)據(jù)報(bào)文形式傳輸。網(wǎng)絡(luò)層封裝IP數(shù)據(jù)包,并路由轉(zhuǎn)發(fā),解決機(jī)器之間的通信問(wèn)題。網(wǎng)絡(luò)層常見(jiàn)安全問(wèn)題有:明文傳輸面臨的威脅、IP地址欺騙、源路由欺騙和ICMP攻擊。
3傳輸層的安全
傳輸層在OSI模型中起著關(guān)鍵作用,負(fù)責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制。在傳輸層使用最廣泛的有兩種協(xié)議:傳輸控制協(xié)議和用戶數(shù)據(jù)報(bào)協(xié)議。傳輸層常見(jiàn)安全問(wèn)題有:TCP"SYN"攻擊、Land攻擊、TCP會(huì)話劫持和端口掃描攻擊。
4操作系統(tǒng)的安全
目前在職業(yè)院校,除了服務(wù)器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統(tǒng),存在以下風(fēng)險(xiǎn)。(1)安全隱患的產(chǎn)生,主要是操作系統(tǒng)配置不合理,例如:沒(méi)有管理員口令,用戶弱口令,未刪除和禁用不必要的帳號(hào),設(shè)置完全共享的目錄、沒(méi)有防病毒軟件、不合理的訪問(wèn)控制,資源共享的訪問(wèn)權(quán)限配置不當(dāng)?shù)取#?)操作系統(tǒng)的正常運(yùn)行需要很多系統(tǒng)服務(wù)支撐,這些系統(tǒng)服務(wù)向用戶和應(yīng)用程序提供功能接口,有些是操作系統(tǒng)正常運(yùn)行必需的,有些則是不必要的。不必要的服務(wù)不僅會(huì)占用系統(tǒng)資源,還會(huì)給操作系統(tǒng)帶來(lái)安全威脅。如果用戶不知道自已的操作系統(tǒng),哪些服務(wù)是可以訪問(wèn)網(wǎng)絡(luò)的,就容易被入侵者利用。
5業(yè)務(wù)應(yīng)用的安全
職業(yè)院校為了滿足科研、教學(xué)、辦公的需要,校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng),如:信息、教務(wù)管理、辦公自動(dòng)化、圖書(shū)管理等。這些應(yīng)用系統(tǒng)很重要,但也存在風(fēng)險(xiǎn)如下:(1)身份認(rèn)證:操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全,采取了身份認(rèn)證措施,這些機(jī)制各有特點(diǎn),但是入侵者仍可以利用網(wǎng)絡(luò)竊聽(tīng)、非法數(shù)據(jù)庫(kù)訪問(wèn)、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識(shí)淡薄,使用系統(tǒng)默認(rèn)或者弱密碼,并且長(zhǎng)期不改動(dòng),形同虛設(shè)。(2)WEB服務(wù):WEB服務(wù)是學(xué)校用于對(duì)外宣傳、開(kāi)展網(wǎng)絡(luò)遠(yuǎn)程教學(xué)的重要手段,應(yīng)用極其普遍,使得Web服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)。存在的安全隱患較多,網(wǎng)頁(yè)代碼本身就存在后門(mén)和一些缺陷,比如IIS漏洞、ASP的上傳漏洞、SQL注入、緩沖區(qū)溢出等。入侵者一旦攻陷WEB服務(wù)器,可以把WEB服務(wù)器作為跳板,通過(guò)中間件或數(shù)據(jù)庫(kù)連接部件,非法訪問(wèn)學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù),并可利用網(wǎng)頁(yè)腳本訪問(wèn)本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源。(3)數(shù)據(jù)庫(kù):數(shù)據(jù)庫(kù)是信息系統(tǒng)的核心,校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴于各種數(shù)據(jù)庫(kù)系統(tǒng),保證數(shù)據(jù)的安全和完整,正確配置數(shù)據(jù)庫(kù)系統(tǒng)顯得至關(guān)重要。數(shù)據(jù)庫(kù)是個(gè)復(fù)雜的系統(tǒng)。非專業(yè)人員是無(wú)法正確配置數(shù)據(jù)庫(kù)系統(tǒng)的。關(guān)系型數(shù)據(jù)庫(kù)是可從端口尋址的,通過(guò)查詢工具就可建立與數(shù)據(jù)庫(kù)的連接,例如通過(guò)TCP1521和1526端口,就能侵入一個(gè)弱防護(hù)的數(shù)據(jù)庫(kù);數(shù)據(jù)庫(kù)運(yùn)行過(guò)程中,出現(xiàn)的錯(cuò)誤信息,可以泄漏數(shù)據(jù)庫(kù)結(jié)構(gòu),分析這些信息就能實(shí)施攻擊。(4)網(wǎng)絡(luò)資源共享:為了工作方便,內(nèi)部人員經(jīng)常會(huì)使用網(wǎng)絡(luò)共享,如果沒(méi)有對(duì)資源共享,作必要的訪問(wèn)控制策略,重要的數(shù)據(jù)信息,就無(wú)防護(hù)地暴露在網(wǎng)絡(luò)中。
6網(wǎng)絡(luò)管理的安全
安全管理對(duì)于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來(lái)說(shuō)是極其重要的。如果沒(méi)有相應(yīng)制度約束,就會(huì)帶來(lái)風(fēng)險(xiǎn):網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的一些重要信息傳播給外人,會(huì)造成信息泄漏;密碼和密鑰管理風(fēng)險(xiǎn),管理員賬戶及密碼被外人竊取;在約束缺失的情況下,利用網(wǎng)絡(luò)和系統(tǒng)的弱點(diǎn),實(shí)施入侵、修改、刪除數(shù)據(jù)等非法行為;審計(jì)不力或無(wú)審計(jì),當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時(shí),沒(méi)有相應(yīng)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警機(jī)制。事件發(fā)生后,不能提供任何記錄,無(wú)法追蹤線索,缺乏對(duì)網(wǎng)絡(luò)的可控和可審查性。
篇9
計(jì)算機(jī)病毒的預(yù)防查殺
購(gòu)買(mǎi)正版瑞星網(wǎng)絡(luò)殺毒軟件,重要部門(mén)裝機(jī)時(shí)必須安裝正版殺毒軟件,建議其它部門(mén)安裝正版殺毒軟件。其它地方除安裝有硬盤(pán)還原卡、全盤(pán)保護(hù)的教室終端和學(xué)生機(jī)房外,校園網(wǎng)內(nèi)所有的終端都必須安裝殺毒軟件。同時(shí),指定專人定期、經(jīng)常對(duì)各處機(jī)器進(jìn)行殺毒軟件升級(jí),打補(bǔ)和查殺病毒。
嚴(yán)格執(zhí)行數(shù)據(jù)備份
為主控室、二級(jí)交換機(jī)機(jī)柜安裝防盜報(bào)警設(shè)備、不間斷電源、防雷擊及通風(fēng)降溫設(shè)備。校園網(wǎng)服務(wù)器選用熱插拔硬盤(pán)、RAID5格式;在服務(wù)器段VLAN7設(shè)置一臺(tái)裝有三個(gè)大容量IDE硬盤(pán)的備份PC(磁帶機(jī)的價(jià)格太高5000-50000¥),將常用數(shù)據(jù)存儲(chǔ)在服務(wù)器硬盤(pán),不常用的數(shù)據(jù)存儲(chǔ)在這臺(tái)PC的硬盤(pán)中;利用Win2000Sserver自帶的備份工具對(duì)服務(wù)器中的有效數(shù)據(jù)定期備份,放在備份PC的硬盤(pán)上;對(duì)教務(wù)室和財(cái)務(wù)室的電腦也要求定期備份;將學(xué)校需要保存的數(shù)據(jù)、圖像、資料每個(gè)學(xué)期末進(jìn)行一次分類、編號(hào)、整理、壓縮,然后刻成光盤(pán)存檔。
對(duì)不良信息過(guò)濾
購(gòu)買(mǎi)信息過(guò)濾軟件,在技術(shù)上避免師生有意無(wú)意地瀏覽帶有暴力、黃色、內(nèi)容的網(wǎng)絡(luò)信息。比如選用“藍(lán)眼睛智能信息過(guò)濾系統(tǒng)”之類的由公安部等部門(mén)監(jiān)制的信息過(guò)濾工具,以期達(dá)到凈化校園網(wǎng)網(wǎng)絡(luò)信息的目的。當(dāng)非法的網(wǎng)絡(luò)地址被訪問(wèn)到,或者應(yīng)該被過(guò)濾的由系統(tǒng)監(jiān)測(cè)到的信息在傳播時(shí),過(guò)濾工具除了中斷信息的交流外,還會(huì)記錄相關(guān)信息,以備查詢和明確責(zé)任。同時(shí),加強(qiáng)對(duì)學(xué)校師生的法制教育和道德培養(yǎng),使他們自覺(jué)不主動(dòng)上網(wǎng)瀏覽、下載、傳播這類非法信息。另外,還要使用過(guò)濾工具對(duì)公共電腦或校內(nèi)辦公電腦上傳輸?shù)男畔⑦M(jìn)行過(guò)濾,杜絕信息的非法傳播。
入侵檢測(cè)
1、在校園網(wǎng)中較重要的服務(wù)器網(wǎng)段中配置S100等產(chǎn)品,進(jìn)行網(wǎng)絡(luò)的入侵檢測(cè)。不停地檢測(cè)和監(jiān)視各個(gè)網(wǎng)段中的各種數(shù)據(jù)包,對(duì)每個(gè)可疑的數(shù)據(jù)包進(jìn)行詳細(xì)的特征分析。如果數(shù)據(jù)包信息與入侵檢測(cè)系統(tǒng)中的某些規(guī)則或特征相吻合,入侵檢測(cè)系統(tǒng)立即會(huì)發(fā)出警報(bào),甚至直接切斷網(wǎng)絡(luò)連接信號(hào)。
2、在校園網(wǎng)中的重要主機(jī),如財(cái)務(wù)室電腦、教務(wù)室電腦等上面安裝基于網(wǎng)絡(luò)主機(jī)入侵檢測(cè)的系統(tǒng)S120,對(duì)主機(jī)所在網(wǎng)絡(luò)的實(shí)時(shí)連接,以及系統(tǒng)檢測(cè)日志進(jìn)行分析、判斷,如果其中主體的活動(dòng)可疑,入侵檢測(cè)系統(tǒng)也立即會(huì)采取相應(yīng)措施。
3、同時(shí)使用基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),使它們實(shí)現(xiàn)優(yōu)勢(shì)互補(bǔ),構(gòu)架成一套立體而又完整的主動(dòng)防御體系。
4、對(duì)校園網(wǎng)中的部分重點(diǎn)主機(jī)進(jìn)行高級(jí)的安全設(shè)置,去除不必要的訪問(wèn),并在必要的網(wǎng)絡(luò)訪問(wèn)周圍建立嚴(yán)格的訪問(wèn)控制權(quán)限,避免有意者的非法入侵和破壞。
篇10
(1)建立安全防范意識(shí):提高系統(tǒng)管理人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。具體做法為對(duì)機(jī)房的電腦裝上功能強(qiáng)大的殺毒軟件和防火墻,及時(shí)查毒和備份重要的數(shù)據(jù),以免造成不必要的損失。
(2)網(wǎng)絡(luò)訪問(wèn)控制:進(jìn)行對(duì)網(wǎng)絡(luò)的控制訪問(wèn)是保障網(wǎng)絡(luò)安全的一個(gè)主要方法,網(wǎng)絡(luò)訪問(wèn)控制的主要目的是確保網(wǎng)絡(luò)資源不被非法使用和訪問(wèn),它是保證網(wǎng)絡(luò)安全最重要的范疇之一。
(3)數(shù)據(jù)庫(kù)的備份與恢復(fù):數(shù)據(jù)庫(kù)的備份與恢復(fù)是數(shù)據(jù)庫(kù)管理員維護(hù)數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫(kù)最容易和最能防止意外的保證方法。恢復(fù)是在意外發(fā)生后利用備份來(lái)恢復(fù)數(shù)據(jù)的操作。在我們平時(shí)所用到的備份方法中,一般采用的有三種方法:只備份數(shù)據(jù)庫(kù)、備份數(shù)據(jù)庫(kù)和事務(wù)日志、增量備份。
(4)應(yīng)用密碼訪問(wèn)技術(shù):在高校的計(jì)算機(jī)機(jī)房中可能前來(lái)使用網(wǎng)絡(luò)的人員比較雜,甚至有可能存在很多非該校的老師或者學(xué)生,為了防止一些非法人員在高校計(jì)算機(jī)機(jī)房中進(jìn)行惡意操作,植入病毒進(jìn)行攻擊等有違網(wǎng)絡(luò)安全管理的操作的行為。因此,在用戶進(jìn)入系統(tǒng)之前一定要使用合法的身份登入系統(tǒng),而對(duì)網(wǎng)絡(luò)安全至關(guān)重要的文件和資源進(jìn)行訪問(wèn)和操作時(shí)也一定要做好密碼訪問(wèn)技術(shù)。
(5)杜絕傳播途徑:對(duì)可能被病毒感染的硬盤(pán)和計(jì)算機(jī)進(jìn)行徹底殺毒處理以清除安全隱患,不要使用可疑的U盤(pán)和程序,也不要訪問(wèn)一些非法網(wǎng)站,防止計(jì)算機(jī)被植入病毒。
篇11
1 校園網(wǎng)的網(wǎng)絡(luò)信息安全現(xiàn)狀
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,確保系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行,使網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全。目前,校園網(wǎng)的網(wǎng)絡(luò)安全正面臨著嚴(yán)峻挑戰(zhàn)。電子郵件系統(tǒng)使得大量垃圾郵件和病毒郵件肆意傳播,下載和上傳文件在方便師生交流的同時(shí)也帶來(lái)了病毒程序,黑客程序和黑客攻擊時(shí)有發(fā)生,由于安全意識(shí)淡薄沒(méi)有對(duì)接入網(wǎng)絡(luò)的計(jì)算機(jī)采取基本保護(hù)措施造成文檔資源流失、泄密等。校園網(wǎng)在提供給廣大師生方便快捷的行政辦公、教務(wù)教學(xué),豐富多彩的數(shù)字化校園生活的同時(shí),來(lái)自其內(nèi)部和外部的危險(xiǎn)時(shí)刻威脅著校園網(wǎng)網(wǎng)絡(luò)安全。
1.1 校園網(wǎng)網(wǎng)絡(luò)運(yùn)行現(xiàn)狀
學(xué)校園網(wǎng)網(wǎng)絡(luò)運(yùn)行以來(lái),對(duì)學(xué)校的各項(xiàng)工作都起著促進(jìn)作用。在綜合網(wǎng)絡(luò)信息服務(wù)方面,學(xué)校力求小而全的網(wǎng)絡(luò)服務(wù)宗旨,從建站以來(lái)學(xué)校一直重視學(xué)校主頁(yè)建設(shè),不斷完善網(wǎng)頁(yè)設(shè)計(jì)和服務(wù)項(xiàng)目。目前己提供的信息服務(wù)模塊有上網(wǎng)瀏覽、學(xué)校新聞系統(tǒng)、電子公告系統(tǒng)、校園BBS、留言簿、FTP服務(wù)系統(tǒng)、校園郵件系統(tǒng)、校友錄系統(tǒng)、影視頻道等等。這些平臺(tái)給學(xué)生提供了交流思想、學(xué)習(xí)、情感、互通有無(wú)、反映建議與意見(jiàn)等交流空間。在信息化辦公環(huán)境方面,校園網(wǎng)的辦公系統(tǒng)應(yīng)用,大大提高辦公效率。只要接入校園網(wǎng)的內(nèi)網(wǎng),教職員工就可以登錄自己的辦公賬號(hào),進(jìn)入各自辦公系統(tǒng),針對(duì)性很強(qiáng)。但是校園網(wǎng)在提供給廣大師生員工方便快捷的同時(shí),也帶來(lái)了許多安全性的問(wèn)題。校園網(wǎng)內(nèi)許多處室由于工作的需要,擁有自己的可以上傳文件資料的賬號(hào)和密碼,這就對(duì)網(wǎng)絡(luò)安全埋下了隱患,如有些需要上傳的文件沒(méi)有進(jìn)行徹底的查毒殺毒就上傳到校園網(wǎng)上,成為了病毒傳播的源頭。每次重大的考試之前,信息技術(shù)中心的技術(shù)人員都要花費(fèi)大量的時(shí)間進(jìn)行網(wǎng)內(nèi)病毒查殺工作,在查殺之后,網(wǎng)絡(luò)運(yùn)行情況能夠好轉(zhuǎn)一些,但是一段時(shí)間以后,問(wèn)題依舊比較嚴(yán)重,效果甚微,甚至于曾經(jīng)出現(xiàn)過(guò)因?yàn)椴《敬罅棵芗l(fā)包造成個(gè)別交換機(jī)信息堵塞、網(wǎng)絡(luò)癱瘓的情況發(fā)生,可見(jiàn),校園網(wǎng)上的病毒泛濫問(wèn)題已經(jīng)十分嚴(yán)重,危害之大。
1.2 校園網(wǎng)網(wǎng)絡(luò)管理現(xiàn)狀
學(xué)校制定了一系列的規(guī)章制度,用于規(guī)范校園網(wǎng)網(wǎng)絡(luò)管理。這些制度對(duì)校園網(wǎng)所屬的行政領(lǐng)導(dǎo)、政治審查、技術(shù)管理和維護(hù)、使用規(guī)則、信息保密、信息管理、信息等等方面都做出了詳細(xì)的規(guī)定,明確責(zé)任范圍。學(xué)校成立以主管領(lǐng)導(dǎo)為組長(zhǎng)的校園網(wǎng)信息領(lǐng)導(dǎo)小組,該領(lǐng)導(dǎo)小組是學(xué)校網(wǎng)絡(luò)信息組織、管理、協(xié)調(diào)機(jī)構(gòu)。學(xué)校黨委宣傳部負(fù)責(zé)上網(wǎng)信息的政治審查,學(xué)校辦公室負(fù)責(zé)上網(wǎng)信息的保密和統(tǒng)計(jì)數(shù)據(jù)的審查、監(jiān)督,信息技術(shù)中心負(fù)責(zé)有關(guān)信息的技術(shù)保障。各部門(mén)確定分管信息工作的領(lǐng)導(dǎo)和負(fù)責(zé)信息工作的信息員,負(fù)責(zé)收集、整理、編輯、上報(bào)信息。學(xué)校校園網(wǎng)絡(luò)設(shè)備設(shè)施(含子網(wǎng)設(shè)備)由學(xué)校信息技術(shù)中心統(tǒng)一管理和維護(hù)。任何部門(mén)和個(gè)人未經(jīng)許可,不得打開(kāi)子網(wǎng)機(jī)柜及其他網(wǎng)絡(luò)設(shè)備。用戶如發(fā)現(xiàn)終端設(shè)備或軟件出現(xiàn)問(wèn)題,可報(bào)信息技術(shù)中心處理。信息技術(shù)中心要對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行記錄,并對(duì)網(wǎng)絡(luò)系統(tǒng)及網(wǎng)上資源進(jìn)行嚴(yán)格管理。
2 校園網(wǎng)網(wǎng)絡(luò)信息安全對(duì)策
2.1 訪問(wèn)控制管理
訪問(wèn)控制管理是安全性處理過(guò)程,即妨礙或促進(jìn)用戶或系統(tǒng)間的通信,支持各種網(wǎng)絡(luò)資源,如計(jì)算機(jī)、Web服務(wù)器、路由器或任何其它系統(tǒng)或設(shè)備間的相互作用。訪問(wèn)控制的認(rèn)證過(guò)程可以通過(guò)登錄過(guò)程和自主訪問(wèn)控制實(shí)現(xiàn),校驗(yàn)用戶并決定他們是否有權(quán)訪問(wèn)具有更高安全控制權(quán)限的敏感區(qū)域和文件的認(rèn)證級(jí)別。
2.2 從軟件上著手,設(shè)置防火墻
在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一道防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WWW、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)(非軍事區(qū),是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,以保證內(nèi)網(wǎng)安全),與內(nèi)、外網(wǎng)間進(jìn)行隔離,內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外網(wǎng)口通過(guò)路由器與Internet連接。這樣通過(guò)Internet進(jìn)來(lái)的外網(wǎng)用戶只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù),既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問(wèn)破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的使用,并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。根據(jù)校園網(wǎng)安全策略和安全目標(biāo),配置防火墻,過(guò)濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包,這樣可以防范源地址假冒和原路由器類型的攻擊,過(guò)濾掉以非法IP地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外的攻擊。
2.3 從硬件上著手,進(jìn)行網(wǎng)絡(luò)版殺毒產(chǎn)品的部署
為了實(shí)現(xiàn)在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷的實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系,我們部署了趨勢(shì)網(wǎng)絡(luò)版殺毒產(chǎn)品,實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布?xì)⒍镜裙δ堋T趯W(xué)校信息技術(shù)中心網(wǎng)絡(luò)部的服務(wù)器上安裝趨勢(shì)殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心,負(fù)責(zé)管理全校的主機(jī)網(wǎng)點(diǎn)。在各行政、教學(xué)單位等多個(gè)分支機(jī)構(gòu)分別安裝趨勢(shì)殺毒軟件網(wǎng)絡(luò)版的客戶端。安裝完趨勢(shì)殺毒軟件網(wǎng)絡(luò)版后,在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺病毒的設(shè)置,保證所有客戶端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本級(jí)的查殺毒處理。信息技術(shù)中心網(wǎng)絡(luò)部負(fù)責(zé)對(duì)整個(gè)校園網(wǎng)的升級(jí)工作,為了安全和管理的方便,由網(wǎng)絡(luò)部的系統(tǒng)中心定期地、自動(dòng)地到趨勢(shì)網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動(dòng)將最新的升級(jí)文件分發(fā)到其他的主機(jī)網(wǎng)點(diǎn)的客戶端,并自動(dòng)對(duì)趨勢(shì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。同時(shí),因?yàn)橹挥芯W(wǎng)絡(luò)部才有Interact出口,便于整個(gè)網(wǎng)絡(luò)的統(tǒng)一管理。
在網(wǎng)絡(luò)設(shè)備嚴(yán)重匱乏的情況下,目前在信息安全技術(shù)方面部署的措施有防火墻和網(wǎng)絡(luò)版殺毒軟件。它們的使用在一定程度上很好地緩解了校園網(wǎng)的安全威脅問(wèn)題,尤其是病毒泛濫的問(wèn)題。從部署硬件防火墻和網(wǎng)絡(luò)版殺毒軟件以來(lái),病毒攔截良好,整個(gè)校園網(wǎng)內(nèi)部再也沒(méi)有發(fā)生過(guò)因?yàn)椴《驹斐傻木W(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)癱瘓問(wèn)題,基本達(dá)到預(yù)期的目的效果。
2.4 從管理上著手,細(xì)化責(zé)任機(jī)制
網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”,突出了“管理”在網(wǎng)絡(luò)安全建設(shè)中所處的重要地位。校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)中,安全制度的良好實(shí)施和執(zhí)行能從很大程度上保證校園網(wǎng)網(wǎng)絡(luò)的信息安全。規(guī)范和細(xì)化各種校園網(wǎng)規(guī)章制度,明確各部門(mén)的職能和責(zé)任,并且嚴(yán)格執(zhí)行。具體可以包含網(wǎng)絡(luò)管理工作職責(zé)及分工、各個(gè)管理層的崗位職責(zé)規(guī)范(校領(lǐng)導(dǎo)、主任、管理員、維護(hù)員等)、校園網(wǎng)網(wǎng)絡(luò)管理值班制度、校園網(wǎng)使用與管理辦法、校園網(wǎng)計(jì)算機(jī)用戶行為規(guī)范、校園網(wǎng)信息規(guī)范、電子公告版服務(wù)管理規(guī)定、校園網(wǎng)收費(fèi)管理辦法、校園網(wǎng)保修、檢測(cè)與維護(hù)管理辦法、校園網(wǎng)用戶責(zé)任書(shū)、校園網(wǎng)IP地址管理辦法、辦公郵件管理辦法、網(wǎng)站網(wǎng)頁(yè)管理辦法等等,有了各種細(xì)致明確的規(guī)章制度才能夠更好的規(guī)范校園網(wǎng)廣大用戶使用校園網(wǎng)的種種行為。
3 總結(jié)
應(yīng)該看到,學(xué)校校園網(wǎng)的網(wǎng)絡(luò)設(shè)備匱乏,也使得一些安全技術(shù)沒(méi)有得到應(yīng)用。僅有防火墻部署的網(wǎng)絡(luò)防御功能相對(duì)靜態(tài),在動(dòng)態(tài)防御方面相對(duì)不足,并且,校園網(wǎng)內(nèi)由于采用操作系統(tǒng)等問(wèn)題帶來(lái)的安全漏洞問(wèn)題,目前的校園網(wǎng)安全部署也沒(méi)有很好的解決辦法。
因此,在條件允許的情況下,可以考慮增加入侵檢測(cè)系統(tǒng)的部署,根據(jù)校園網(wǎng)絡(luò)特點(diǎn),將入侵檢測(cè)引擎接入中心交換機(jī),對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)。對(duì)于處于高校校園的發(fā)展,可以采用光纖線路與網(wǎng)絡(luò)中心的主樓連接起來(lái)。并且,在未來(lái)整個(gè)校園網(wǎng)內(nèi)實(shí)現(xiàn)無(wú)線覆蓋以后,還可以為移動(dòng)的用戶提供更加便捷、安全的校園網(wǎng)網(wǎng)絡(luò)服務(wù)。
參考文獻(xiàn)
[1]程瑋瑋,王清賢.防火墻技術(shù)原理及其安全脆弱性分析[J].計(jì)算機(jī)應(yīng)用,2003,23(10).
[2]孫銳,王純.信息安全原理及應(yīng)用[J].第1版.北京:清華大學(xué)出版社,2003,(7).
[3]楊義先.網(wǎng)絡(luò)信息安全與保密[M].第2版.北京:北京郵電大學(xué)出版社,2002,(1).
篇12
計(jì)算機(jī)網(wǎng)絡(luò)是信息社會(huì)的基礎(chǔ),己經(jīng)進(jìn)入社會(huì)的各個(gè)角落。經(jīng)濟(jì)、文化、軍事、教育和社會(huì)日常生活越來(lái)越多地依賴計(jì)算機(jī)網(wǎng)絡(luò)。但是不容忽略的是網(wǎng)絡(luò)本身的開(kāi)放性、不設(shè)防和無(wú)法律約束等特點(diǎn),在給人們帶來(lái)巨大便利的同時(shí),也帶來(lái)了一些問(wèn)題,網(wǎng)絡(luò)安全就是其中最為顯著的問(wèn)題之一。計(jì)算機(jī)系統(tǒng)安全的定義主要指為數(shù)據(jù)處理系統(tǒng)建立和采用的安全保護(hù)技術(shù)。計(jì)算機(jī)系統(tǒng)安全主要涉及計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不被破壞、泄漏等。由此,網(wǎng)絡(luò)安全主要涉及硬件、軟件和系統(tǒng)數(shù)據(jù)的安全。
近幾年,隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展,全國(guó)各高校都普遍建立了校園網(wǎng)。校園網(wǎng)成為學(xué)校重要的基礎(chǔ)設(shè)施。同時(shí),校園網(wǎng)也同樣面臨著越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題。但在高校網(wǎng)絡(luò)建設(shè)的過(guò)程中,普遍存在著“重技術(shù)、輕安全”的傾向,隨著網(wǎng)絡(luò)規(guī)模的迅速發(fā)展,網(wǎng)絡(luò)用戶的快速增長(zhǎng),校園網(wǎng)從早先的教育試驗(yàn)網(wǎng)的轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)。校園網(wǎng)作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問(wèn)題,解決網(wǎng)絡(luò)安全問(wèn)題逐漸引起了各方面的重視。
從根本上說(shuō),校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全隱患都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點(diǎn),而系統(tǒng)在使用、管理過(guò)程中的失誤和疏漏更加劇了問(wèn)題的嚴(yán)重性。威脅校園網(wǎng)安全的因素主要包括:網(wǎng)絡(luò)協(xié)議漏洞造成的威脅,操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞造成的威脅,攻擊工具獲取容易、使用簡(jiǎn)單,校園網(wǎng)用戶的安全意識(shí)不強(qiáng),計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用水平有限等方面。
關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺(tái),學(xué)校網(wǎng)絡(luò)中心也制定了各自的管理制度,但是還存在著各種現(xiàn)實(shí)問(wèn)題,宣傳教育的力度不夠,許多師生法律意識(shí)淡薄。網(wǎng)上活躍的黑客交流活動(dòng),也為網(wǎng)絡(luò)破壞活動(dòng)奠定了技術(shù)基礎(chǔ)。這是本論文討論的背景和亟待解決的問(wèn)題。
二、校園網(wǎng)的安全防范技術(shù)
校園網(wǎng)絡(luò)的安全是整體的、動(dòng)態(tài)的,主要有網(wǎng)絡(luò)物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多方面的內(nèi)容,通過(guò)采用防火墻、授權(quán)認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)等安全技術(shù)為手段,才有利于更有效地實(shí)現(xiàn)校園網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)行。論文將對(duì)常用的校園網(wǎng)絡(luò)安全技術(shù)進(jìn)行研究。
首先是認(rèn)證技術(shù),認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中建立安全通信信道的重要步驟,是安全信息系統(tǒng)的“門(mén)禁”模塊,是保證網(wǎng)絡(luò)信息安全的重要技術(shù)。認(rèn)證的主要目的是驗(yàn)證信息的完整性,確認(rèn)被驗(yàn)證的信息在傳遞或存儲(chǔ)過(guò)程中沒(méi)有被篡改或重組,并驗(yàn)證信息發(fā)送者的真實(shí)性,確認(rèn)他沒(méi)有被冒充。認(rèn)證技術(shù)是防止黑客對(duì)系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)手段,主要通過(guò)數(shù)字信封、數(shù)字摘要、數(shù)字簽名、智能卡和生物特征識(shí)別等技術(shù)來(lái)實(shí)現(xiàn)。
第二是密碼技術(shù),目前保障數(shù)據(jù)的安全主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù),如數(shù)據(jù)保密、雙向身份認(rèn)證。數(shù)據(jù)完整性等,由此密碼技術(shù)是保證信息的安全性的關(guān)鍵技術(shù)。密碼技術(shù)在古代就己經(jīng)得到相當(dāng)?shù)膽?yīng)用,但僅限于外交和軍事等重要領(lǐng)域。隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展,密碼技術(shù)發(fā)展成為集數(shù)學(xué)、電子與通信、計(jì)算機(jī)科學(xué)等學(xué)科于一身的交叉學(xué)科。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密,而且完成了數(shù)字簽名、系統(tǒng)安全等功能。所以,使用密碼技術(shù)不僅可以保證信息的機(jī)密性,而且可以防止信息被篡改、假冒和偽造。現(xiàn)在密碼技術(shù)主要是密碼學(xué)。密碼學(xué)也是密碼技術(shù)的理論基礎(chǔ),主要包括密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)主要研究如何對(duì)信息進(jìn)行編碼,以此來(lái)隱藏、偽裝信息,通過(guò)對(duì)給定的有意義的數(shù)據(jù)進(jìn)行可逆的數(shù)學(xué)變換,將其變?yōu)楸砻嫔想s亂無(wú)章的數(shù)據(jù),而只有合法的接收者才能恢復(fù)原來(lái)的數(shù)據(jù),由此保證了數(shù)據(jù)安全。密碼分析學(xué)是研究如何破譯經(jīng)過(guò)加密的消息并識(shí)別偽造消息。總之,密碼編碼技術(shù)和密碼分析技術(shù)相互支持、密不可分。
第三是防火墻技術(shù),防火墻是指放置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合。防火墻在不同網(wǎng)絡(luò)區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道,通過(guò)允許或拒絕等手段實(shí)現(xiàn)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的控制。防火墻本身也具有較強(qiáng)的抗攻擊能力,能有效加強(qiáng)不同網(wǎng)絡(luò)區(qū)域之間的訪問(wèn)控制,是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要的基礎(chǔ)設(shè)施。
第四是入侵檢測(cè)系統(tǒng)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)越來(lái)越高,防火墻技術(shù)己經(jīng)不能滿足人們對(duì)網(wǎng)絡(luò)安全的需求。入侵檢測(cè)系統(tǒng)作為對(duì)防火墻及其有益的補(bǔ)充,不僅能幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,也擴(kuò)展了系統(tǒng)管理員的安全管理能力,有效提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
三、結(jié)語(yǔ)
網(wǎng)絡(luò)技術(shù)迅速發(fā)展的同時(shí),也帶來(lái)了越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題,校園網(wǎng)安全防范的建設(shè)更是一項(xiàng)復(fù)雜的系統(tǒng)工程,需要相關(guān)工作人員予以更多的重視。論文在辨清網(wǎng)絡(luò)安全和校園網(wǎng)絡(luò)安全的定義的基礎(chǔ)上,從認(rèn)證技術(shù)、密碼技術(shù)、防火墻、入侵檢測(cè)系統(tǒng)、訪問(wèn)控制技術(shù)、虛擬專用網(wǎng)六個(gè)方面分析了校園網(wǎng)安全防范技術(shù),這不僅是理論上的分析,也為網(wǎng)絡(luò)安全實(shí)踐提供了一定的借鑒。
參考文獻(xiàn):
[1]蔡新春.校園安全防范技術(shù)的研究與實(shí)現(xiàn)[J].合肥工業(yè)大學(xué),2009(04).
[2]謝慧琴.校園網(wǎng)安全防范技術(shù)研究[J].福建電腦,2009(09).
[3]卜銀俠.校園網(wǎng)安全防范技術(shù)體系[J].硅谷,2011(24).
[4]陶甲寅.校園網(wǎng)安全與防范技術(shù)[J].電腦知識(shí)與技術(shù),2007(01).
[5]袁修春.校園網(wǎng)安全防范體系[D].蘭州:西北師范大學(xué),2005.
篇13
1.1校園電子商務(wù)的概念。
校園電子商務(wù)是電子商務(wù)在校園這個(gè)特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計(jì)算機(jī)硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個(gè)人進(jìn)行商務(wù)、工作、學(xué)習(xí)、生活各方面活動(dòng)需要的一個(gè)高可用性、伸縮性和安全性的計(jì)算機(jī)系統(tǒng)。
1.2校園電子商務(wù)的特點(diǎn)。
相對(duì)于一般電子商務(wù),校園電子商務(wù)具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機(jī)制良好、服務(wù)性大于盈利性等特點(diǎn),這些特點(diǎn)也是校園開(kāi)展電子商務(wù)的優(yōu)勢(shì)所在。與傳統(tǒng)校園商務(wù)活動(dòng)相比,校園電子商務(wù)的特點(diǎn)有:交易不受時(shí)間空間限制、快捷方便、交易成本較低。
2校園電子商務(wù)的安全問(wèn)題
2.1校園電子商務(wù)安全的內(nèi)容。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動(dòng)在校園網(wǎng)應(yīng)用時(shí)所產(chǎn)生的各種安全問(wèn)題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。
2.2校園電子商務(wù)安全威脅。
校園電子商務(wù)安全威脅同樣來(lái)自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個(gè)開(kāi)放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權(quán)訪問(wèn)、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運(yùn)行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開(kāi)放性也使得基于它的交易活動(dòng)的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過(guò)各種技術(shù)手段盜取或截獲交易信息致使信息的機(jī)密性遭到破壞;篡改信息是非法用戶對(duì)交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。
2.3校園電子商務(wù)安全的基本安全需求。
通過(guò)對(duì)校園電子商務(wù)安全威脅的分析,可以本論文由整理提供看出校園電子商務(wù)安全的基本要求是保證交易對(duì)象的身份真實(shí)性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過(guò)對(duì)校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。
3校園電子商務(wù)安全解決方案
3.1校園電子商務(wù)安全體系結(jié)構(gòu)。
校園電子商務(wù)安全是一個(gè)復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對(duì)其進(jìn)行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求,通過(guò)對(duì)校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務(wù)的安全技術(shù),總結(jié)校園電子商務(wù)安全體系本論文由整理提供結(jié)構(gòu),如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心;邏輯實(shí)體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和本論文由整理提供交易服務(wù)器;安全機(jī)制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機(jī)制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺(tái),包括網(wǎng)上交易、支付和配送服務(wù)等。
針對(duì)上述安全體系結(jié)構(gòu),具體的方案有:
(1)營(yíng)造良好校園人文環(huán)境。加強(qiáng)大學(xué)生本論文由整理提供的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識(shí)與素養(yǎng)、增強(qiáng)高校師生的法律意識(shí)和道德觀念,共
同營(yíng)造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞。
(2)建立良好網(wǎng)上支付環(huán)境。目前我國(guó)高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專門(mén)處理與金融機(jī)構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。
(4)組織物流配送團(tuán)隊(duì)。校園師生居住地點(diǎn)相對(duì)集中,一般來(lái)說(shuō)就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問(wèn)題,而本論文由整理提供不需要委托第三方物流公司,在校園內(nèi)建立一個(gè)物流配送團(tuán)隊(duì)就可以準(zhǔn)確及時(shí)的完成配送服務(wù)。
3.2校園網(wǎng)絡(luò)安全對(duì)策。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)。利用防火墻技術(shù)來(lái)實(shí)現(xiàn)校園局域網(wǎng)的安全性,以解決訪問(wèn)控制問(wèn)題,使只有授權(quán)的校園合法用戶才能對(duì)校園網(wǎng)的資源進(jìn)行訪問(wèn)本論文由整理提供,防止來(lái)自外部互聯(lián)網(wǎng)對(duì)內(nèi)部網(wǎng)絡(luò)的破壞。
(2)病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是免不了計(jì)算機(jī)病毒的威脅,因此,加強(qiáng)病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。
(3)VPN技術(shù)。目前,我國(guó)高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護(hù)和改進(jìn)。
3.3交易信息安全對(duì)策。
針對(duì)校園電子商務(wù)中交易信息安全問(wèn)題,可以用電子商務(wù)的安全機(jī)制來(lái)解決,例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過(guò)數(shù)據(jù)加密,可以保證信息的機(jī)密性;通過(guò)采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時(shí)間戳和數(shù)字證書(shū)等安全機(jī)制來(lái)解本論文由整理提供決信息的完整性和不可否認(rèn)性的問(wèn)題;通過(guò)安全協(xié)議方法,建立安全信息傳輸通道來(lái)保證電子商務(wù)交易過(guò)程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來(lái)保證數(shù)據(jù)的機(jī)密,主要有對(duì)稱加密和非對(duì)稱加密。對(duì)稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。不對(duì)稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開(kāi)。
(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù),它是網(wǎng)上交易支付的前提,負(fù)責(zé)對(duì)交易各方的身份進(jìn)行確認(rèn)。在校園電子商務(wù)本論文由整理提供中,網(wǎng)上交易認(rèn)證可以通過(guò)校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來(lái)進(jìn)行對(duì)交易各方的身份認(rèn)證。
(3)安全協(xié)議技術(shù)。目前,電子商務(wù)發(fā)展較成熟和實(shí)用的安全協(xié)議是SET和SSL協(xié)議。通過(guò)對(duì)SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對(duì)用戶是透明的。而且SSL只需要通過(guò)一次“握手”過(guò)程就可以建立客戶與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務(wù)。
目前,我國(guó)高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進(jìn)行校園電子商務(wù)的網(wǎng)上支付可以增強(qiáng)校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號(hào)被盜的風(fēng)險(xiǎn)等。同時(shí),使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個(gè)內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來(lái)自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來(lái)自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時(shí),校園一卡通中心有著良好的安全機(jī)制,使得使用校園一卡通在校內(nèi)進(jìn)行網(wǎng)上支付被盜取賬號(hào)密碼等信息的可能性微乎其微。超級(jí)秘書(shū)網(wǎng)
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進(jìn)行身份認(rèn)證,各方的交易活動(dòng)受到統(tǒng)一的審計(jì)和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對(duì)不同角色的用戶享有不同級(jí)別的授權(quán),使其網(wǎng)上活動(dòng)受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時(shí),由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決。
4結(jié)束語(yǔ)
