序論:在您撰寫校園網(wǎng)絡(luò)安全論文時(shí)�,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的7篇范文�����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情��,引導(dǎo)您走向新的創(chuàng)作高度�。
第1篇
1.1網(wǎng)絡(luò)安全的定義
國(guó)際標(biāo)準(zhǔn)化組織(ISO)將網(wǎng)絡(luò)安全[2]定義為:為數(shù)據(jù)處理系統(tǒng)建立相應(yīng)的安全保護(hù)措施,保護(hù)運(yùn)行在網(wǎng)絡(luò)系統(tǒng)中的硬件���、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改����、破壞或者泄露���,從而保證了網(wǎng)絡(luò)服務(wù)不中斷,使得系統(tǒng)可靠安全地運(yùn)行.上述網(wǎng)絡(luò)安全的定義包含兩方面內(nèi)容:物理安全和邏輯安全.其中物理安全是指在構(gòu)建網(wǎng)絡(luò)系統(tǒng)的時(shí)候���,保證物理線路能夠防雷�����、放火��、防水�、防盜等,能夠保證物理線路連續(xù)的進(jìn)行數(shù)據(jù)傳輸.而邏輯安全通常指的是傳輸在網(wǎng)絡(luò)上數(shù)據(jù)的信息安全����,即對(duì)網(wǎng)絡(luò)上傳輸信息的保密性、可用性和完整性的保護(hù).另一方面��,網(wǎng)絡(luò)安全性的涵義也可以理解成是信息安全的一種引申�,即網(wǎng)絡(luò)安全是對(duì)網(wǎng)絡(luò)信息的保密性、可用性和完整性提供相應(yīng)的保護(hù).概括的說����,可以將網(wǎng)絡(luò)安全定義為:為保證目前網(wǎng)絡(luò)中運(yùn)行的系統(tǒng)、信息數(shù)據(jù)��、信道傳輸數(shù)據(jù)和信息內(nèi)容的安全而采取相應(yīng)的措施����,從而保證網(wǎng)絡(luò)中信息傳輸、交換以及處理的保密性��、可用性、可控性�、可審查性、完整性.
1.2網(wǎng)絡(luò)安全基本特征
網(wǎng)絡(luò)安全應(yīng)具有保密性��、可用性����、可控性、可審查性���、完整性等五個(gè)方面的特征.保密性:信息未經(jīng)授權(quán)不泄露給任何用戶��,而且信息的特性也具有保密性��,其它非授權(quán)用戶���、實(shí)體或過程無(wú)法利用其特征.可用性:用戶經(jīng)過授權(quán)后可按需使用,即授權(quán)用戶當(dāng)需要該信息時(shí)能否正常存?��。W(wǎng)絡(luò)環(huán)境下常見的可用性的攻擊包括拒絕服務(wù)攻擊���、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)行等.可控性:對(duì)網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力.可審查性:當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問題時(shí)可提供相應(yīng)的依據(jù)與手段,便于追蹤攻擊源.完整性:用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性���,即信息在保存或者傳輸?shù)倪^程中擁有不被修改���、破壞或丟失的特性,保證了信息的完整性.
2校園網(wǎng)建設(shè)概述及其安全威脅
隨著互聯(lián)網(wǎng)的快速普及�����,校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一�,教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向�,校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公�����、科研�����、管理����、生活主要的工具和手段之一,并發(fā)揮著越來(lái)越重要的作用[3].另一方面���,隨著國(guó)家科教興國(guó)戰(zhàn)略的實(shí)施����,政府加強(qiáng)了對(duì)學(xué)校的投資,由此也加強(qiáng)了學(xué)校對(duì)校園網(wǎng)的建設(shè).中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CER-NET)的成立����,標(biāo)志著教育網(wǎng)的形成.CERNET主干網(wǎng)絡(luò)傳輸速率已達(dá)到2.5Gpbs,總?cè)萘窟_(dá)40Gpbs��,它吸引超過1000所高校的鼎力加盟��,覆蓋全國(guó)超過200個(gè)城市.目前����,大部分學(xué)校都已建成校園網(wǎng),實(shí)現(xiàn)了校園網(wǎng)的整體覆蓋���,包括辦公樓�����、教學(xué)樓����、宿舍樓等.校園網(wǎng)同時(shí)與Internet對(duì)接,實(shí)現(xiàn)了校園辦公教學(xué)的信息化����、自動(dòng)化.如圖1所示��,為一個(gè)簡(jiǎn)單的校園網(wǎng)組網(wǎng)模型.隨著CERNET的建設(shè)不斷提高�,校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一,是學(xué)校信息化���、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施����,同時(shí)擔(dān)任著科研與教學(xué)的重要任務(wù).然而�����,目前國(guó)內(nèi)大多數(shù)學(xué)校都缺乏對(duì)校園網(wǎng)建設(shè)的綜合規(guī)劃����、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對(duì)校園網(wǎng)絡(luò)的認(rèn)識(shí)不足��,這些都極大阻礙了校園網(wǎng)的發(fā)展.因此合理地對(duì)校園網(wǎng)絡(luò)升級(jí)���,是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一[4].同時(shí)��,校園網(wǎng)作為學(xué)校數(shù)字化�����、信息化的基礎(chǔ)設(shè)施�����,安全問題不容忽視.在互聯(lián)網(wǎng)開放程度很高的今天�����,校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo).威脅校園網(wǎng)安全的因素有很多����,但主要的安全威脅有以下幾類.
2.1TCP/IP協(xié)議漏洞造成的威脅
現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP/IP協(xié)議了,這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議.TCP/IP協(xié)議在設(shè)計(jì)之初��,就沒有考慮安全問題�����,它只考慮如何把信息互相傳輸�,因此存在很大的安全威脅.雖然國(guó)際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全���,但是由于TCP/IP協(xié)議的開放性和通用性幾乎占用了整個(gè)市場(chǎng),使得OSI七層協(xié)議無(wú)法推廣.所以��,目前網(wǎng)絡(luò)黑客針對(duì)TCP/IP漏洞攻擊有很多���,例如:數(shù)據(jù)竊聽、源地址欺騙�、ARP欺騙等等.
(1)數(shù)據(jù)竊聽(PacketSniff).TCP/IP協(xié)議從設(shè)計(jì)之初,就采取的是數(shù)據(jù)包明碼傳輸��,這種傳輸模式使得數(shù)據(jù)包很容易被竊聽����、修改和偽造.黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包,竊取用戶有利用價(jià)值的信息��,如用戶賬戶和密碼等信息.同時(shí)���,黑客也能修改和偽造數(shù)據(jù)包���,讓用戶誤入釣魚網(wǎng)站或者竊取網(wǎng)上銀行信息,給用戶造成直接經(jīng)濟(jì)損失.特別是在校園網(wǎng)中�,數(shù)據(jù)包流通比較集中����,一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號(hào)信息��,將會(huì)給校園網(wǎng)絡(luò)造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網(wǎng)絡(luò)安全中��,一個(gè)比較重要的安全問題就是源地址欺騙.這里的源地址����,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉(zhuǎn)發(fā)���,信息會(huì)發(fā)生變化�����,而且在實(shí)際的網(wǎng)絡(luò)系統(tǒng)中��,也有一定的限制�,改造欺騙難度比較大�,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機(jī)IP地址,騙取防火墻信任�����,從而對(duì)校園網(wǎng)內(nèi)部發(fā)起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個(gè)完整的IP數(shù)據(jù)包中,通常只包含源地址和目的地址���,即路由器可以知道數(shù)據(jù)包從哪個(gè)主機(jī)發(fā)送出來(lái)����,將要到達(dá)哪個(gè)主機(jī).源路由是指數(shù)據(jù)包將會(huì)列出所要經(jīng)過的路由�,路由器將會(huì)根據(jù)這些指定的路由將數(shù)據(jù)包送達(dá)相應(yīng)的主機(jī),然后根據(jù)其反向路由進(jìn)行應(yīng)答��,從而實(shí)現(xiàn)主機(jī)之間的通信.而源路由選擇欺騙�����,則是攻擊者通過偽造主機(jī)源路由�����,讓數(shù)據(jù)包經(jīng)過該主機(jī)必經(jīng)路由���,使受攻擊主機(jī)出現(xiàn)錯(cuò)誤判斷,將某些被保護(hù)的數(shù)據(jù)提供給了攻擊者.另一方面���,由于路由器一般對(duì)接收到的路由信息是不經(jīng)過檢驗(yàn)的�����,這樣就給攻擊者提供便利�����,攻擊者可以發(fā)送虛假數(shù)據(jù)包��,改變某些重要數(shù)據(jù)包的傳遞路徑�����,使得數(shù)據(jù)在傳遞到正常主機(jī)前��,即可抓取分析���,從而也達(dá)到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協(xié)議還無(wú)法證明網(wǎng)絡(luò)身份的真實(shí)有效性��,因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息���,從而達(dá)到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協(xié)議,作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議.因?yàn)樵诰钟蚓W(wǎng)中��,尤其是在校園網(wǎng)中,使用最多的往往是MAC地址進(jìn)行傳輸�����,而不是IP地址進(jìn)行傳輸�����,所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺(tái)主機(jī)進(jìn)行通信.而黑客只需在局域網(wǎng)中進(jìn)行網(wǎng)絡(luò)監(jiān)聽����,獲取到一臺(tái)主機(jī)A的節(jié)點(diǎn)信息(IP地址和MAC地址),就能偽造A的數(shù)據(jù)包�����,與B進(jìn)行通信���,獲取有用信息.另一方面,黑客可以偽造一個(gè)不存在的MAC地址在局域網(wǎng)內(nèi)傳播��,形成廣播風(fēng)暴����,這樣會(huì)造成網(wǎng)絡(luò)不通,給局域網(wǎng)造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務(wù)攻擊��,攻擊者的目的是讓目標(biāo)主機(jī)或網(wǎng)絡(luò)無(wú)法提供正常服務(wù).因?yàn)門CP協(xié)議采用三次握手建立一次連接�,而任何一次握手失敗,則會(huì)重新發(fā)送.攻擊者正是利用這一個(gè)協(xié)議漏洞�,采取不斷建立連接,然后丟棄該連接數(shù)據(jù)包���,使得服務(wù)器處于等待狀態(tài)�,如果攻擊者一直持續(xù)連接和丟棄的過程��,則服務(wù)器和網(wǎng)絡(luò)所有的資源會(huì)被完全消耗����,導(dǎo)致計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法正常工作,從而達(dá)到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊��,即分布式拒絕服務(wù)攻擊��,它是指攻擊者借助一系列工具或手段�,聯(lián)合多個(gè)計(jì)算機(jī)組成攻擊平臺(tái),對(duì)一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊.最基本的DoS是利用合法的服務(wù)請(qǐng)求��,占用攻擊目標(biāo)主機(jī)大量服務(wù)資源��,使得正常用戶無(wú)法訪問.然而DoS服務(wù)需要占用大量帶寬,單個(gè)計(jì)算機(jī)攻擊肯定無(wú)法達(dá)到攻擊者想要的目標(biāo).因此網(wǎng)絡(luò)黑客會(huì)抓取網(wǎng)絡(luò)“肉雞”����,集合大量網(wǎng)絡(luò)帶寬,組成龐大的攻擊平臺(tái)�����,可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài).
(8)TCP序列號(hào)欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號(hào)�����,形成一個(gè)TCP封包��,對(duì)網(wǎng)絡(luò)中可信節(jié)點(diǎn)進(jìn)行攻擊.而且最重要的是��,黑客可能利用偽造的TCP封包發(fā)動(dòng)SYN攻擊�,讓服務(wù)器無(wú)法完成三次握手,造成服務(wù)器開放大量等待端口����,影響正常網(wǎng)絡(luò)訪問����,嚴(yán)重時(shí)��,可直接造成服務(wù)器死機(jī)���,如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器,那么可能導(dǎo)致網(wǎng)站主頁(yè)無(wú)法鏈接或者校園網(wǎng)內(nèi)部用戶無(wú)法訪問外部網(wǎng)絡(luò).
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協(xié)議是Internet控制報(bào)文協(xié)議����,它屬于TCP/IP協(xié)議下的一個(gè)子協(xié)議,用于在IP主機(jī)和路由器之間傳遞控制消息.其中控制消息是指網(wǎng)絡(luò)是否暢通����、主機(jī)是否可連接、路由是否可用等一系列消息�,它對(duì)數(shù)據(jù)傳輸有很重要的作用.而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過64KB這一規(guī)定,發(fā)動(dòng)“PingofDeath”攻擊����,當(dāng)主機(jī)ICMP數(shù)據(jù)包尺寸超過64KB時(shí),主機(jī)會(huì)發(fā)生內(nèi)存分配錯(cuò)誤���,導(dǎo)致TCP/IP堆棧崩潰���,使得目標(biāo)主機(jī)死機(jī).雖然操作系統(tǒng)通過取消ICMP數(shù)據(jù)包大小限制來(lái)解決該漏洞,但是向目標(biāo)主機(jī)發(fā)動(dòng)持續(xù)�����、大規(guī)模的ICMP攻擊,會(huì)消耗主機(jī)CPU���、內(nèi)存等資源��,嚴(yán)重時(shí)也會(huì)導(dǎo)致目標(biāo)主機(jī)癱瘓�����,無(wú)法提供正常服務(wù).
2.2漏洞威脅
軟件和操作系統(tǒng)是由程序員編寫的���,而在開發(fā)的過程中,多多少少會(huì)存在各種各樣的漏洞問題���,這些漏洞如果不能及時(shí)修復(fù)����,將會(huì)對(duì)主機(jī)造成重大安全威脅.一旦該主機(jī)被攻破����,同時(shí)也會(huì)給該主機(jī)處在的局域網(wǎng)中的其它機(jī)器造成威脅,情況嚴(yán)重時(shí)�,甚至?xí)斐烧麄€(gè)網(wǎng)絡(luò)癱瘓.近幾年來(lái),無(wú)論是Windows操作系統(tǒng)����,還是Linux操作系統(tǒng),的補(bǔ)丁數(shù)目一直持續(xù)增加.特別是Windows操作系統(tǒng)��,在校園網(wǎng)內(nèi)擁有的用戶眾多���,如果沒能及時(shí)修復(fù)各種漏洞�,勢(shì)必會(huì)影響整個(gè)校園網(wǎng)安全.
2.3病毒�����、木馬威脅
近些年來(lái)��,隨著互聯(lián)網(wǎng)的普及����,網(wǎng)絡(luò)上各種各樣的開源軟件繁多,有些開源軟件打著免費(fèi)的旗號(hào)���,暗留后門或者對(duì)操作系統(tǒng)植入木馬���,稍不注意���,就會(huì)對(duì)整個(gè)系統(tǒng)造成重大影響.同時(shí),網(wǎng)絡(luò)上黑客也會(huì)主動(dòng)攻擊���,種植木馬�,抓取網(wǎng)絡(luò)肉雞����,作為自己攻擊的跳板,對(duì)互聯(lián)網(wǎng)上其它的計(jì)算機(jī)造成嚴(yán)重威脅.
2.4初級(jí)黑客攻擊
校園網(wǎng)因?yàn)樽陨砭窒扌?,其網(wǎng)絡(luò)管理水平無(wú)法與企業(yè)相比,因此很容易受到網(wǎng)絡(luò)上初級(jí)黑客的攻擊�����,作為他們?cè)囀值哪繕?biāo).另外一方面����,互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具���,這些教程和工具可以自由查閱和下載�,加上很多黑客工具屬于使用簡(jiǎn)單,這讓許多初級(jí)黑客也能在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)造成嚴(yán)重的攻擊.且根據(jù)心理學(xué)研究分析�,很多普通攻擊者往往有炫耀心理,即把校園網(wǎng)作為自己攻擊的目標(biāo)�,以獲取所謂的成功感,這讓校園網(wǎng)增加更多的威脅.
3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問題
目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問題分為人為因素導(dǎo)致的安全問題和非人為因素導(dǎo)致的安全問題.
3.1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
3.1.1校園網(wǎng)用戶數(shù)量龐大
校園網(wǎng)內(nèi)用戶量眾多且處在同一個(gè)局域網(wǎng)中�����,同時(shí)�����,校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的.用戶量加上數(shù)目可觀����、功能強(qiáng)大的服務(wù)器���,這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊�����,因此存在著很大的安全隱患.
3.1.2校園網(wǎng)用戶安全意識(shí)低
根據(jù)調(diào)查研究發(fā)現(xiàn)����,校園網(wǎng)的用戶大部分都安全意識(shí)不強(qiáng),用戶計(jì)算機(jī)整體水平偏低��,有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件����,也沒能及時(shí)給系統(tǒng)打補(bǔ)丁,系統(tǒng)處于“裸奔”狀態(tài).這對(duì)于當(dāng)今如此開放的互聯(lián)網(wǎng)��,將直接為黑客提供攻擊目標(biāo).而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識(shí)����,在下載和使用軟件時(shí),基本上不考慮其風(fēng)險(xiǎn)性����,這些都將會(huì)給黑客制造攻擊機(jī)會(huì),影響整個(gè)校園網(wǎng)安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權(quán)用戶�,它在一定程度上破壞了計(jì)算機(jī)系統(tǒng)的保密性.目前,常見的信息泄密有:操作系統(tǒng)漏洞�、流氓軟件、網(wǎng)絡(luò)監(jiān)聽�����、病毒�����、木馬、業(yè)務(wù)流分析�、網(wǎng)絡(luò)釣魚、電磁�����、物理入侵��、射頻截獲�、非法授權(quán)����、計(jì)算機(jī)后門程序.
3.1.4拒絕服務(wù)攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計(jì)算機(jī)停止提供服務(wù),讓合法的信息或資源訪問被拒絕或者嚴(yán)重推遲.常見的DoS攻擊有:SYNFlood�、IP欺騙、UDP洪水攻擊�、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統(tǒng)漏洞、病毒����、木馬、后門程序等方式破壞信息的完整性�����,使得信息亂碼.
3.1.6網(wǎng)絡(luò)濫用
由于授權(quán)的用戶因操作或行為不當(dāng),導(dǎo)致網(wǎng)絡(luò)濫用��,從而導(dǎo)致網(wǎng)絡(luò)安全威脅��,例如非法外聯(lián)���、非法內(nèi)聯(lián)�、設(shè)備濫用�、業(yè)務(wù)濫用、移動(dòng)風(fēng)險(xiǎn)等等.
3.2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全除去人為因素外��,很大一部分安全威脅來(lái)自安全工具和操作系統(tǒng)自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應(yīng)用范圍和環(huán)境�,同時(shí)安全工具受到人為因素、系統(tǒng)漏洞���、程序BUG的影響��,這些因素反而給攻擊者帶來(lái)了一定的便利.對(duì)于操作系統(tǒng)而言����,沒有絕對(duì)安全的操作系統(tǒng)�����,無(wú)論是微軟的Windows系列操作系統(tǒng),還是開源的Linux操作系統(tǒng)����,都有存在后門或漏洞的可能.世界上沒有絕對(duì)安全的操作系統(tǒng),因此在搭建校園網(wǎng)時(shí)�����,要選擇安全性盡可能高的操作系統(tǒng)�,而且要隨時(shí)提供校園網(wǎng)用戶漏洞補(bǔ)丁下載,以及殺毒軟件����,保證用戶系統(tǒng)安全性始終最高.由上所述���,我們可以說網(wǎng)絡(luò)安全問題絕大部分是由人為因素引起的.現(xiàn)在��,國(guó)家也制定了相應(yīng)的法律來(lái)保護(hù)網(wǎng)絡(luò)安全���,打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動(dòng).但是校園網(wǎng)作為一個(gè)龐大的用戶群,如何防范這些網(wǎng)絡(luò)犯罪活動(dòng)顯得尤為重要.我們不能等著整個(gè)網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范�,而是要在攻擊之前做好準(zhǔn)備工作���,讓校園網(wǎng)在安全中運(yùn)行.
4加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對(duì)策和建議
加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個(gè)方面來(lái)進(jìn)行.
4.1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建
在校園網(wǎng)工程的建設(shè)中,網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程��,它的耐壓值比較低.由此�����,在校園網(wǎng)工程的設(shè)計(jì)和建設(shè)中�����,一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火����、防電以及防雷等安全問題;考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路����、照明線路、動(dòng)力線路����、空氣對(duì)流管道以及暖氣管道之間的距離;考慮網(wǎng)絡(luò)中物理電路的接地安全����;考慮建設(shè)合理的防雷系統(tǒng)�����,保證建筑物��、計(jì)算機(jī)以及其它物理設(shè)備的防雷[6].
4.2應(yīng)加強(qiáng)校園網(wǎng)網(wǎng)絡(luò)的安全維護(hù)技術(shù)
從技術(shù)層面來(lái)說���,網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)�����、病毒監(jiān)測(cè)系統(tǒng)等多個(gè)安全組件組成�,單獨(dú)的一個(gè)組件是無(wú)法保證當(dāng)前網(wǎng)絡(luò)信息安全的.最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法,即通過對(duì)網(wǎng)絡(luò)邊界的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)��,符合規(guī)定的數(shù)據(jù)包可通過�����,不符合規(guī)定的數(shù)據(jù)包就拋棄���,這種方式在一定程度上能阻止對(duì)網(wǎng)絡(luò)的入侵和攻擊�,但是不能有效防止網(wǎng)絡(luò)攻擊.目前����,應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有:防火墻技術(shù)、防病毒技術(shù)��、數(shù)據(jù)加密技術(shù)等.防火墻[7]指的是一個(gè)由硬件和軟件混合組成的設(shè)備���,用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來(lái)����,建立一層安全保護(hù)屏障���,它是一種隔離控制技術(shù).常見的防火墻有包過濾技術(shù)�、技術(shù)���、狀態(tài)監(jiān)測(cè)技術(shù)等.相對(duì)于防火墻來(lái)說����,防病毒技術(shù)將是從計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部進(jìn)行防控��,主要預(yù)防病毒程序����、后門程序���、網(wǎng)絡(luò)監(jiān)聽等.目前采取比較多的防病毒手段是對(duì)系統(tǒng)進(jìn)行監(jiān)聽,阻止不合規(guī)定進(jìn)程.而且防病毒技術(shù)永遠(yuǎn)是滯后性的����,即防病毒工具一直在病毒出現(xiàn)后才能組織.現(xiàn)在的防病毒技術(shù)和云平臺(tái)技術(shù)結(jié)合,已經(jīng)對(duì)病毒起到了一定的控制作用.相對(duì)前面兩種技術(shù)來(lái)說���,數(shù)據(jù)加密技術(shù)就比較靈活了.可以將用戶的信息經(jīng)過加密后�,再在網(wǎng)絡(luò)上傳輸����,及時(shí)數(shù)據(jù)被黑客截獲,沒有有效的密鑰���,數(shù)據(jù)對(duì)黑客來(lái)說也只是一堆無(wú)效數(shù)據(jù)而已.在開放的互聯(lián)網(wǎng)平臺(tái)���,數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全[8].
4.3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)
計(jì)算機(jī)網(wǎng)絡(luò)安全絕大部分是人為因素引起的.因此在校園網(wǎng)搭建過程中,關(guān)于對(duì)計(jì)算機(jī)系統(tǒng)管理員的培訓(xùn)及管理�,是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分.一個(gè)不合理的操作����,很有可能讓整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓�����,因此必須建立健全管理規(guī)范����,明確管理員責(zé)任和權(quán)利.同時(shí)�����,要記錄管理員操作信息�����,當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時(shí)�����,可以及時(shí)分析�,如果發(fā)現(xiàn)黑客入侵,則及時(shí)采取必要措施杜絕黑客進(jìn)一步入侵����,必要時(shí)需向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案����,減少學(xué)校損失.另外一方面���,建立健全的管理制度以及嚴(yán)格的管理模式�����,可以保證校園網(wǎng)的正常�����、安全運(yùn)行.總而言之��,網(wǎng)絡(luò)安全涉及的領(lǐng)域很多��,是一個(gè)綜合性的問題.只有合理的運(yùn)用相關(guān)技術(shù)以及人員培訓(xùn)���,才能盡最大可能的把安全威脅降到最低.
5結(jié)語(yǔ)
第2篇
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因���,比如將原有的單機(jī)互聯(lián)����,使用原有的網(wǎng)絡(luò)設(shè)施��;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失���、泄露或網(wǎng)絡(luò)中斷���;機(jī)房設(shè)計(jì)不合理,溫度����、濕度不適應(yīng)以及無(wú)抗靜電、抗磁干擾等設(shè)施���;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足�,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等��;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài)�,沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄����、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少,安全意識(shí)淡薄,U盤��、移動(dòng)硬盤�����、手機(jī)等存貯介質(zhì)隨意使用��;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí)��,不能安全地配置和管理網(wǎng)絡(luò)�;學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房����;學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別,不能有效的規(guī)范和約束師生的非法訪問行為�;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控�、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂�����;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志���;計(jì)算機(jī)安裝還原卡或使用還原軟件����,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞����。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的�����。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來(lái)品��,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作�,在網(wǎng)絡(luò)上運(yùn)行時(shí),這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素����。
(四)計(jì)算機(jī)病毒、網(wǎng)絡(luò)病毒泛濫���,造成網(wǎng)絡(luò)性能急劇下降�����,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性�����,傳播到網(wǎng)絡(luò)服務(wù)器��,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染���,危害極大�����。感染計(jì)算機(jī)病毒��、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況���,遭到端口掃描、黑客攻擊��、網(wǎng)頁(yè)篡改或垃圾郵件次之�。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件����、QQ聊天的廣泛使用����,使得校園網(wǎng)內(nèi)病毒泛濫����。計(jì)算機(jī)病毒是一種人為編制的程序,它具有傳染性���、隱蔽性����、激發(fā)性�����、復(fù)制性�����、破壞性等特點(diǎn)�����。它的破壞性是巨大的���,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒�,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò)����,只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒,就會(huì)堵塞出口����,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓�。《參考消息》1989年8月2日刊登的一則評(píng)論�,列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段,計(jì)算機(jī)病毒名列第二��,這給未來(lái)的信息系統(tǒng)投上了一層陰影�����。從近期的“熊貓燒香”����、“灰鴿子”、“仇英”��、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻�����。
綜上所述��,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻���,在這種情況下��,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行�����,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源,保障辦公����、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題�����,文章提出以下校園網(wǎng)絡(luò)安全防范措施���。
二���、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器���,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序�,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器��,服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定�,才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣����,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用����,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無(wú)法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的���,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性����。(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的�、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合�����,通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)�。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān)���,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕)��,控制數(shù)據(jù)包的進(jìn)出��,封堵某些禁止行為��,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理����,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析�,通過日志分析�,獲取時(shí)間、地址、協(xié)議和流量��,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊)�����,對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等�,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞�,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系����,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度,定期對(duì)各工作站進(jìn)行維護(hù)��,對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施�。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作����,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室�����、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù)�����,定時(shí)升級(jí)文件并查毒殺毒��,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力���。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證����,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理���。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器����、交換機(jī)����、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù)����,賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施���,用戶只能在其權(quán)限內(nèi)進(jìn)行操作����,合理設(shè)置網(wǎng)絡(luò)共享文件�����,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含����、只讀等加密措施,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)�,建立詳細(xì)的用戶信息數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)主機(jī)登錄日志�、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志�、內(nèi)部用戶非法活動(dòng)日志等,定時(shí)對(duì)其進(jìn)行審查分析�,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護(hù)網(wǎng)絡(luò)安全�����。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上��,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段�����、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)��。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段��。學(xué)校要將不同類型的用戶劃分在不同的VLAN中����,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶限制在其所在的VLAN里���,防止各用戶之間隨意訪問資源�。各個(gè)子網(wǎng)間通過路由器�、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接����,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個(gè)網(wǎng)絡(luò),通過設(shè)置命令�����,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障�����,阻止非法用戶非法訪問�����,防止網(wǎng)絡(luò)病毒�、木馬程序����,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)能安全運(yùn)行���。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段��,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來(lái)不可預(yù)知的災(zāi)難���,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)���、網(wǎng)絡(luò)通信系統(tǒng)���、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作���,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對(duì)網(wǎng)上各工作站的資源分配情況����、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上�。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem���,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng)��,是對(duì)防火墻有益的補(bǔ)充��。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)����,IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警���,通知網(wǎng)絡(luò)采取措施響應(yīng)���。即使被入侵攻擊����,IDS收集入侵攻擊的相關(guān)信息�,記錄事件����,自動(dòng)阻斷通信連接��,重置路由器�、防火墻����,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)�����,增強(qiáng)系統(tǒng)的防范能力����,避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)���,提供了對(duì)內(nèi)部攻擊���、外部攻擊和誤操作的實(shí)時(shí)保護(hù)��,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�����,大大提高了網(wǎng)絡(luò)的安全性���。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況�,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)�。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機(jī)房管理制度����、工作人員操作規(guī)程和保密制度等)。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作��,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)�,提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。
三�、結(jié)論
校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程,長(zhǎng)期以來(lái)�����,從病毒�、黑客與防范措施的發(fā)展來(lái)看,總是“道高一尺�����,魔高一丈”����,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)���,只有通過綜合運(yùn)用多項(xiàng)措施�,加強(qiáng)管理���,建立一套真正適合校園網(wǎng)絡(luò)的安全體系��,提高校園網(wǎng)絡(luò)的安全防范能力�����。
摘要:隨著“校校通”工程的深入實(shí)施����,校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)負(fù)著學(xué)校教學(xué)��、教研�、管理和對(duì)外交流等許多重要任務(wù)。校園網(wǎng)的安全問題�����,直接影響著學(xué)校的教學(xué)活動(dòng)���。文章結(jié)合十幾年來(lái)校園網(wǎng)絡(luò)使用安全及防范措施等方面的經(jīng)驗(yàn)�����,對(duì)如何加強(qiáng)校園網(wǎng)絡(luò)安全作了分析和探討�����。
關(guān)鍵詞:校園網(wǎng)��;網(wǎng)絡(luò)安全��;防范措施�;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備��、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件�����,將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起�����,用于教學(xué)����、科研��、管理��、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)��。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件���、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)����,不因偶然和惡意等因素而遭到破壞、更改�����、泄密��,保障校園網(wǎng)的正常運(yùn)行�。隨著“校校通”工程的深入實(shí)施,學(xué)校教育信息化��、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向�。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施��,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題���。
參考文獻(xiàn):
1�、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2���、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3���、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4�、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5���、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等?�?茖W(xué)校學(xué)報(bào),2002(8).
6�、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
第3篇
關(guān)鍵詞:校園網(wǎng)����;網(wǎng)絡(luò)安全;防范措施�;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備�、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件,將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起���,用于教學(xué)�、科研�����、管理����、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然和惡意等因素而遭到破壞��、更改�、泄密,保障校園網(wǎng)的正常運(yùn)行����。隨著“校校通”工程的深入實(shí)施,學(xué)校教育信息化�����、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向����。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施�����,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題。
一�、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí)�����,由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因�����,比如將原有的單機(jī)互聯(lián),使用原有的網(wǎng)絡(luò)設(shè)施����;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失�、泄露或網(wǎng)絡(luò)中斷���;機(jī)房設(shè)計(jì)不合理,溫度��、濕度不適應(yīng)以及無(wú)抗靜電�����、抗磁干擾等設(shè)施;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足����,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài)��,沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄���、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少,安全意識(shí)淡薄�����,U盤���、移動(dòng)硬盤、手機(jī)等存貯介質(zhì)隨意使用����;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí)���,不能安全地配置和管理網(wǎng)絡(luò)�;學(xué)校機(jī)房的登記管理制度不健全�,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房�����;學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別�����,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口�、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控�����、日志系統(tǒng)��,使學(xué)校的網(wǎng)絡(luò)管理混亂��;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計(jì)算機(jī)安裝還原卡或使用還原軟件�����,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞�。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的����。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來(lái)品����,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作���,在網(wǎng)絡(luò)上運(yùn)行時(shí),這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。
(四)計(jì)算機(jī)病毒�����、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降�����,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性���,傳播到網(wǎng)絡(luò)服務(wù)器�����,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染�����,危害極大�����。感染計(jì)算機(jī)病毒�����、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描�����、黑客攻擊�、網(wǎng)頁(yè)篡改或垃圾郵件次之�����。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件��、QQ聊天的廣泛使用��,使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序����,它具有傳染性、隱蔽性�、激發(fā)性�����、復(fù)制性�、破壞性等特點(diǎn)��。它的破壞性是巨大的����,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒�,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò)��,只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒,就會(huì)堵塞出口�,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”����,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓?����!秴⒖枷ⅰ?989年8月2日刊登的一則評(píng)論�,列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段,計(jì)算機(jī)病毒名列第二�����,這給未來(lái)的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”���、“灰鴿子”、“仇英”�����、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出���,網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻���。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻���,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行��,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源,保障辦公����、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題�。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題�����,文章提出以下校園網(wǎng)絡(luò)安全防范措施���。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器��,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序�,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置��。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器�����,服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定,才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶�。這樣,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞�,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用����,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無(wú)法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的���,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性��。
(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品����,是一種使用較早的��、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合�,通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)����。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理����,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān)���,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕),控制數(shù)據(jù)包的進(jìn)出����,封堵某些禁止行為�,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理�����,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析,通過日志分析��,獲取時(shí)間��、地址、協(xié)議和流量��,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等���,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞�����,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作���。
(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系���,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度,定期對(duì)各工作站進(jìn)行維護(hù)����,對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施�����。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染����、傳播和發(fā)作,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段�,在服務(wù)器和各辦公室�����、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版�,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù),定時(shí)升級(jí)文件并查毒殺毒�����,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力����。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證��,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器��、交換機(jī)�����、防火墻、服務(wù)器的配置均設(shè)有口令加密保護(hù)�����,賦予用戶一定的訪問存取權(quán)限��、口令字等安全保密措施�,用戶只能在其權(quán)限內(nèi)進(jìn)行操作,合理設(shè)置網(wǎng)絡(luò)共享文件�,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含�、只讀等加密措施���,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng)�,建立詳細(xì)的用戶信息數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)主機(jī)登錄日志����、交換機(jī)及路由器日志�����、網(wǎng)絡(luò)服務(wù)器日志���、內(nèi)部用戶非法活動(dòng)日志等����,定時(shí)對(duì)其進(jìn)行審查分析���,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護(hù)網(wǎng)絡(luò)安全��。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上�����,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段�、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)�。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段�。學(xué)校要將不同類型的用戶劃分在不同的VLAN中���,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)。將用戶限制在其所在的VLAN里���,防止各用戶之間隨意訪問資源�����。各個(gè)子網(wǎng)間通過路由器��、交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接����,網(wǎng)絡(luò)管理員借助VLAN技術(shù)管理整個(gè)網(wǎng)絡(luò),通過設(shè)置命令���,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障����,阻止非法用戶非法訪問���,防止網(wǎng)絡(luò)病毒�����、木馬程序���,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下����,計(jì)算機(jī)能安全運(yùn)行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段���,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來(lái)不可預(yù)知的災(zāi)難,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理�,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)����、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案�,對(duì)網(wǎng)上各工作站的資源分配情況����、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上�。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem���,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng)���,是對(duì)防火墻有益的補(bǔ)充��。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)����,IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警���,通知網(wǎng)絡(luò)采取措施響應(yīng)���。即使被入侵攻擊����,IDS收集入侵攻擊的相關(guān)信息,記錄事件����,自動(dòng)阻斷通信連接����,重置路由器�����、防火墻�����,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)��,增強(qiáng)系統(tǒng)的防范能力�,避免系統(tǒng)再次受到入侵����。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊����、外部攻擊和誤操作的實(shí)時(shí)保護(hù)�����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵�,大大提高了網(wǎng)絡(luò)的安全性�。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況�,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)���。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程���、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等)�。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)�,提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性�����,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)�����。
三�����、結(jié)論
校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程�����,長(zhǎng)期以來(lái)���,從病毒、黑客與防范措施的發(fā)展來(lái)看��,總是“道高一尺�,魔高一丈”,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)���,只有通過綜合運(yùn)用多項(xiàng)措施����,加強(qiáng)管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系���,提高校園網(wǎng)絡(luò)的安全防范能力��。
參考文獻(xiàn):
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5����、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等??茖W(xué)校學(xué)報(bào),2002(8).
6�、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
第4篇
關(guān)鍵詞網(wǎng)絡(luò)安全系統(tǒng)安全網(wǎng)絡(luò)運(yùn)行安全內(nèi)部網(wǎng)絡(luò)安全防火墻
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,這無(wú)疑對(duì)加快信息處理,提高工作效率,減輕勞動(dòng)強(qiáng)度����,實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用���。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問題��,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件,導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰����,給計(jì)算機(jī)教師帶來(lái)了大量的工作負(fù)擔(dān)���,也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行����。所以在積極發(fā)展辦公自動(dòng)化���、實(shí)現(xiàn)資源共享的同時(shí),教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視�。正如人們經(jīng)常所說的:網(wǎng)絡(luò)的生命在于其安全性���。因此,如何在現(xiàn)有的條件下�����,如何搞好網(wǎng)絡(luò)的安全��,就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題�����。
作為一位中學(xué)電腦教師兼負(fù)著校園網(wǎng)絡(luò)的維護(hù)和管理��,我們一起來(lái)探討一下校園網(wǎng)絡(luò)安全技術(shù)���。
網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性,包括系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全。
一、系統(tǒng)安全
系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全�����,主要措施有反病毒�。入侵檢測(cè)�、審計(jì)分析等技術(shù)��。
1、反病毒技術(shù):計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序,它能夠傳染其它程序���,并進(jìn)行自我復(fù)制�����,特別是要網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力�,因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié),具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè),或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。如我校就安裝了遠(yuǎn)程教育中心配置的金山毒霸進(jìn)行實(shí)時(shí)監(jiān)控,效果不錯(cuò)。
2、入侵檢測(cè):入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析��,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象���,以提高系統(tǒng)管理員的安全管理能力��,及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范����。入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件��,主要功能有:檢測(cè)并分析用戶和系統(tǒng)的活動(dòng)�;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞�����、統(tǒng)計(jì)分析異常行為等等。
從目前來(lái)看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題�����,發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)����。當(dāng)然,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的����,但是及早地發(fā)現(xiàn)有報(bào)告的漏洞,并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的��。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法�����,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站��,對(duì)于我們有使用的軟件和服務(wù)���,應(yīng)該密切關(guān)注其程序的最新版本和安全信息���,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)�����。許多的網(wǎng)絡(luò)管理員對(duì)此認(rèn)識(shí)不夠����,以至于過了幾年�����,還能掃描到機(jī)器存在許多漏洞�。在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù)��,但是服務(wù)提供的越多���,系統(tǒng)就存在更多的漏洞,也就有更多的危險(xiǎn)���。因此從安全角度考慮���,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供了他們所需的基本的服務(wù)�����。最典型的是,我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能���,而沒有必要向公眾提供FTP功能���,這樣,在服務(wù)器的服務(wù)配置中����,我們只開放WEB服務(wù),而將FTP服務(wù)禁止�。如果要開放FTP功能,就一定只能向可能信賴的用戶開放�����,因?yàn)橥ㄟ^FTP用戶可以上傳文件內(nèi)容�����,如果用戶目錄又給了可執(zhí)行權(quán)限��,那么���,通過運(yùn)行上傳某些程序���,就可能使服務(wù)器受到攻擊��。所以�,信賴了來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素����。
3、審計(jì)監(jiān)控技術(shù)�����。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程����,它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問了系統(tǒng)����,還能指出系統(tǒng)正被怎樣地使用��。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況����,審計(jì)信息對(duì)于確定問題和攻擊源很重要��。同時(shí)���,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題,并且它是后面階段事故處理的重要依據(jù)���。另外����,通過對(duì)安全事件的不斷收集����、積聚和分析,有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤�����,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞���。因此�����,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外���,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備����,以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查��、監(jiān)控����、報(bào)警和阻斷,從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為�����。二����、網(wǎng)絡(luò)運(yùn)行安全
網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外,還要有備份與恢復(fù)等應(yīng)急措施來(lái)保證網(wǎng)絡(luò)受到攻擊后�����,能盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。
一般數(shù)據(jù)備份操作有三種���。一是全盤備份,即將所有文件寫入備份介質(zhì)�����;二是增量備份�,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法����;三是差分備份,備份上次全盤備份之后更改過的所有文件�。
根據(jù)備份的存儲(chǔ)媒介不同,有“冷備份”和“熱備份”兩種方案�����?�!盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中�,只不過傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放,具有速度快和調(diào)用方便的特點(diǎn)��。“冷備份”是將下載的備份存入到安全的存儲(chǔ)媒介中���,而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系�,在系統(tǒng)恢復(fù)時(shí)重新安裝�����。其特點(diǎn)是便于保管����,用以彌補(bǔ)了熱備份的一些不足。進(jìn)行備份的過程中�,常使用備份軟件,如GHOST等���。
三��、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全��,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問隔離��,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè)����,以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。
1�����、訪問控制:在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中�,采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的����,同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口�,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力����。它是提供信息安全服務(wù)。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施���。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問���,外界的哪些人可以訪問內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問�����。其基本功能有:過濾進(jìn)、出的數(shù)據(jù)�;管理進(jìn)、出網(wǎng)絡(luò)的訪問行為��;封堵某些禁止的業(yè)務(wù)等��。應(yīng)該強(qiáng)調(diào)的是�����,防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分�����,而不是全部��。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中���,才能實(shí)現(xiàn)真正的安全�����。
另外���,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制��。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段�����,防止一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播����。針對(duì)某些網(wǎng)絡(luò)��,在某些情況下��,它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任�,或者某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更敏感�。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。
2���、網(wǎng)絡(luò)安全檢測(cè):保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評(píng)估分析����,用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)��,檢查報(bào)告系存在的弱點(diǎn)和漏洞���,建議補(bǔ)救措施和安全策略�����,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的����。
以上只是對(duì)防范外部入侵,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法���。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項(xiàng)重要措施�����,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來(lái)維護(hù)�����。
參考文獻(xiàn)
1.局域網(wǎng)組建與維護(hù)DIY.人民郵電出版社,2003.05
第5篇
關(guān)鍵詞:校園網(wǎng)���;網(wǎng)絡(luò)安全;防范措施���;防火墻����;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件�����,將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起����,用于教學(xué)、科研���、管理、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)����。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)��,不因偶然和惡意等因素而遭到破壞��、更改���、泄密�����,保障校園網(wǎng)的正常運(yùn)行�����。隨著“校校通”工程的深入實(shí)施���,學(xué)校教育信息化��、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向�。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患�����,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施��,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問題��。
一�、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因����,比如將原有的單機(jī)互聯(lián)��,使用原有的網(wǎng)絡(luò)設(shè)施����;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失�����、泄露或網(wǎng)絡(luò)中斷��;機(jī)房設(shè)計(jì)不合理�����,溫度���、濕度不適應(yīng)以及無(wú)抗靜電����、抗磁干擾等設(shè)施�;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足�,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開放的狀態(tài),沒有有效的安全預(yù)警手段和防范措施�。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識(shí)淡薄、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少��,安全意識(shí)淡薄�����,U盤�、移動(dòng)硬盤、手機(jī)等存貯介質(zhì)隨意使用����;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識(shí),不能安全地配置和管理網(wǎng)絡(luò)�;學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房��;學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別��,不能有效的規(guī)范和約束師生的非法訪問行為�;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控���、日志系統(tǒng)����,使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志���;計(jì)算機(jī)安裝還原卡或使用還原軟件���,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞�。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來(lái)品��,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作�,在網(wǎng)絡(luò)上運(yùn)行時(shí),這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素�����。
(四)計(jì)算機(jī)病毒�、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降��,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性��,傳播到網(wǎng)絡(luò)服務(wù)器�����,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染���,危害極大����。感染計(jì)算機(jī)病毒�、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描��、黑客攻擊�、網(wǎng)頁(yè)篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對(duì)文件下載��、電子郵件��、QQ聊天的廣泛使用�,使得校園網(wǎng)內(nèi)病毒泛濫。計(jì)算機(jī)病毒是一種人為編制的程序�����,它具有傳染性��、隱蔽性、激發(fā)性���、復(fù)制性�、破壞性等特點(diǎn)����。它的破壞性是巨大的,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒����,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒����,就會(huì)堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”���,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓�?�!秴⒖枷ⅰ?989年8月2日刊登的一則評(píng)論����,列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段��,計(jì)算機(jī)病毒名列第二,這給未來(lái)的信息系統(tǒng)投上了一層陰影��。從近期的“熊貓燒香”����、“灰鴿子”、“仇英”����、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻�����。
綜上所述��,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻�,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行���,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源�����,保障辦公���、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題���。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題,文章提出以下校園網(wǎng)絡(luò)安全防范措施�����。
二�、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介�,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置���。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器��,服務(wù)器會(huì)檢查用戶的訪問請(qǐng)求是否符合規(guī)定�,才會(huì)到被用戶訪問的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶���。這樣���,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞�,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用���,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無(wú)法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息��,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見的�,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品����,是一種使用較早的�、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合�,通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)。防火墻通過控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理�,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過濾(允許/拒絕)���,控制數(shù)據(jù)包的進(jìn)出���,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理����,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析��,通過日志分析�����,獲取時(shí)間�����、地址����、協(xié)議和流量�,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等�����,最大限度地防止惡意或非法訪問存取�����,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞�����,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系��,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度�,定期對(duì)各工作站進(jìn)行維護(hù),對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施���。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染��、傳播和發(fā)作�����,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室���、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版���,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù),定時(shí)升級(jí)文件并查毒殺毒��,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力���。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對(duì)校園師生用戶設(shè)置用戶名和口令加密驗(yàn)證��,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶的管理����。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)��、防火墻�����、服務(wù)器的配置均設(shè)有口令加密保護(hù)�,賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施�����,用戶只能在其權(quán)限內(nèi)進(jìn)行操作����,合理設(shè)置網(wǎng)絡(luò)共享文件,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含��、只讀等加密措施��,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細(xì)的用戶信息數(shù)據(jù)庫(kù)����、網(wǎng)絡(luò)主機(jī)登錄日志、交換機(jī)及路由器日志��、網(wǎng)絡(luò)服務(wù)器日志���、內(nèi)部用戶非法活動(dòng)日志等���,定時(shí)對(duì)其進(jìn)行審查分析,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故����,有效地保護(hù)網(wǎng)絡(luò)安全��。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù)�����,是指在交換局域網(wǎng)的基礎(chǔ)上�,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)���。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段�����。學(xué)校要將不同類型的用戶劃分在不同的VLAN中��,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)���。將用戶限制在其所在的VLAN里���,防止各用戶之間隨意訪問資源。各個(gè)子網(wǎng)間通過路由器��、交換機(jī)��、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接�,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個(gè)網(wǎng)絡(luò),通過設(shè)置命令����,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理,根據(jù)特定需要隔離故障�,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒��、木馬程序,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下�,計(jì)算機(jī)能安全運(yùn)行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段����,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來(lái)不可預(yù)知的災(zāi)難,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理�,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)�����、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作���,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案��,對(duì)網(wǎng)上各工作站的資源分配情況�、故障情況���、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段�����。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng)��,是對(duì)防火墻有益的補(bǔ)充��。當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)���,IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警�����,通知網(wǎng)絡(luò)采取措施響應(yīng)�����。即使被入侵攻擊��,IDS收集入侵攻擊的相關(guān)信息�,記錄事件��,自動(dòng)阻斷通信連接����,重置路由器、防火墻���,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案����,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強(qiáng)系統(tǒng)的防范能力���,避免系統(tǒng)再次受到入侵����。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)��,提供了對(duì)內(nèi)部攻擊����、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵���,大大提高了網(wǎng)絡(luò)的安全性���。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況�,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)�����。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程�、人員出入機(jī)房管理制度、工作人員操作規(guī)程和保密制度等)��。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作�,對(duì)學(xué)校專業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性����,并安排專業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)。
三�、結(jié)論
校園網(wǎng)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程,長(zhǎng)期以來(lái)�����,從病毒��、黑客與防范措施的發(fā)展來(lái)看���,總是“道高一尺���,魔高一丈”�����,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)�,只有通過綜合運(yùn)用多項(xiàng)措施���,加強(qiáng)管理����,建立一套真正適合校園網(wǎng)絡(luò)的安全體系���,提高校園網(wǎng)絡(luò)的安全防范能力����。
參考文獻(xiàn):
1��、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2��、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3�����、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5����、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等?��?茖W(xué)校學(xué)報(bào),2002(8).
6�、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
第6篇
網(wǎng)絡(luò)系統(tǒng)構(gòu)建之前���,首選需要弄清楚的就是網(wǎng)絡(luò)安全運(yùn)行需求�,這是后期制定安全運(yùn)行方案的基礎(chǔ)和前提��。一般情況下����,校園網(wǎng)絡(luò)安全需求主要涉及到以下幾個(gè)方面內(nèi)容:其一,在網(wǎng)絡(luò)互聯(lián)的基礎(chǔ)上保證通訊處于安全狀態(tài)����,這是最基本的要求;其二�����,服務(wù)器系統(tǒng)安全檢測(cè),評(píng)估效能的發(fā)揮�����,能夠?qū)τ诓话踩袨檫M(jìn)行阻擋���,以保證系統(tǒng)的安全運(yùn)行�����;其三����,應(yīng)用系統(tǒng)的安全性需求����,也就是說關(guān)鍵應(yīng)用系統(tǒng)能夠在認(rèn)證管理下,形成防病毒體系�,保證各個(gè)入口的安全連接;其四���,業(yè)務(wù)系統(tǒng)的安全需求���,避免網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)對(duì)于業(yè)務(wù)系統(tǒng)造成危害���;其五,健全的校園網(wǎng)絡(luò)安全管理規(guī)章�,保證校園網(wǎng)的安全運(yùn)行。
2校園網(wǎng)絡(luò)安全總體設(shè)計(jì)思路
針對(duì)于校園網(wǎng)網(wǎng)絡(luò)運(yùn)行的基本需求����,對(duì)于校園網(wǎng)絡(luò)安全進(jìn)行規(guī)劃設(shè)計(jì),并且在此基礎(chǔ)上構(gòu)建完善的校園安全體系結(jié)構(gòu)�,是保證校園網(wǎng)安全性的關(guān)鍵一步����。在此過程中不僅僅需要滿足上述的安全需求,還要對(duì)于可能出現(xiàn)的安全問題進(jìn)行預(yù)警�,以保證設(shè)計(jì)體系的合理性和科學(xué)性。具體來(lái)講���,其主要設(shè)計(jì)到以下內(nèi)容:其一���,以獨(dú)立的VLAN,MAC地址綁定和ACL訪問控制列表來(lái)進(jìn)行VPN網(wǎng)絡(luò)子系統(tǒng)的安全控制和管理����,可以保證數(shù)據(jù)傳輸?shù)陌踩燃?jí)達(dá)到最佳水平��;其二�����,以網(wǎng)絡(luò)安全檢測(cè)子系統(tǒng)的構(gòu)建��,并在校園網(wǎng)中WWW服務(wù)器和Email服務(wù)器進(jìn)行應(yīng)用�����,在此基礎(chǔ)上對(duì)于網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行監(jiān)督和管理�����,并且形成相應(yīng)的數(shù)據(jù)庫(kù)���,避免非法內(nèi)容進(jìn)入校園網(wǎng);其三�,針對(duì)于安全需求,設(shè)置相應(yīng)的安全防火墻�����,以雙機(jī)設(shè)備方式去運(yùn)行��,實(shí)現(xiàn)防火墻子系統(tǒng)的構(gòu)建;其三��,基于控制中西和探測(cè)引擎技術(shù)構(gòu)建入侵檢測(cè)子系統(tǒng)體系���,對(duì)于入侵行為進(jìn)行監(jiān)督和管理��,并且將其屏蔽在網(wǎng)絡(luò)安全范圍之外��;其四���,全面升級(jí)網(wǎng)絡(luò)系統(tǒng)的防毒系統(tǒng),實(shí)現(xiàn)對(duì)于客戶端PC機(jī)器的安全控制�����,形成統(tǒng)一的防毒服務(wù)器�����;其五���,建立有效的漏洞掃描系統(tǒng),實(shí)現(xiàn)自動(dòng)修復(fù)和檢查漏洞���,保證補(bǔ)丁工作的全面開展�;其六,針對(duì)于校園內(nèi)部的侵襲行為���,可以以建立內(nèi)部子網(wǎng)審計(jì)功能的方式去實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)運(yùn)行質(zhì)量的提高����;其七�,建立健全完善的校園網(wǎng)安全運(yùn)行管理制度體系,為開展一切安全管理工作打下基礎(chǔ)�。
3整體構(gòu)建校園網(wǎng)絡(luò)安全體系的實(shí)現(xiàn)途徑
校園網(wǎng)絡(luò)安全體系涉及到多方面的內(nèi)容,一般情況下會(huì)將其歸結(jié)為物理層��,鏈路層��,網(wǎng)絡(luò)層��,應(yīng)用層等幾個(gè)方面�����。
3.1物理層安全體系實(shí)現(xiàn)途徑物理層的安全性能主要針對(duì)于線路的破壞���,線路的竊聽���,物理通路的干擾等安全缺陷問題�����。對(duì)此����,需要做好以下工作:其一�����,采用雙網(wǎng)結(jié)構(gòu)作為拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)方式����,內(nèi)外網(wǎng)使用不同的服務(wù)器,實(shí)現(xiàn)不同信道的運(yùn)行�����,使得信息處于不同的高度路上運(yùn)轉(zhuǎn)��,不僅僅可以營(yíng)造安全的運(yùn)行狀態(tài)�����,還可以使得系統(tǒng)運(yùn)行壓力降低����;其二,以雙網(wǎng)物理隔離的方式去實(shí)現(xiàn)內(nèi)外網(wǎng)布線系統(tǒng)的構(gòu)建����,從根本上杜絕了黑客入侵的可能性,同時(shí)還合理設(shè)置��,避免出現(xiàn)內(nèi)外網(wǎng)同時(shí)使用的情況�����。
3.2鏈路層安全體系實(shí)現(xiàn)途徑鏈路層安全體系構(gòu)建是保證網(wǎng)絡(luò)鏈路傳送數(shù)據(jù)安全性為根本性目的���,主要使用的技術(shù)手段有局域網(wǎng)和加密通訊手段���。具體來(lái)講,其一�,在交換機(jī)配置端口安全選項(xiàng)中,盡量將CAM表進(jìn)行淹沒���;其二�����,在中繼端口實(shí)現(xiàn)VLANID的專業(yè)化設(shè)置��,保證端口設(shè)置成為非中繼模式�����;其三����,進(jìn)行MAC地址綁定設(shè)置,避免出現(xiàn)IP地址被盜用��。
3.3網(wǎng)絡(luò)層安全體系實(shí)現(xiàn)途徑網(wǎng)絡(luò)層安全體系構(gòu)建���,主要是保證網(wǎng)絡(luò)時(shí)能給授予權(quán)限的客戶使用����,避免出現(xiàn)攔截或者監(jiān)聽的情況����。為了實(shí)現(xiàn)這樣的目標(biāo),應(yīng)該從以下幾個(gè)角度入手:其一�����,設(shè)置硬件防火墻��,運(yùn)行訪問控制技術(shù)程序�,一旦遇到安全問題,使得其處于隔離狀態(tài)�;其二,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS的使用�,能夠?qū)τ诰W(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)督,由此構(gòu)建起來(lái)第二道安全閘門�����;其三�����,在路由交換設(shè)備上進(jìn)行安全技術(shù)應(yīng)用��,如VPN技術(shù)���,加密機(jī)制及時(shí)����,審計(jì)和監(jiān)控技術(shù)等,都是其重要內(nèi)容�。
3.4應(yīng)用層安全體系的實(shí)現(xiàn)途徑對(duì)于應(yīng)用層來(lái)講,其安全體系的構(gòu)建需要做到以下幾點(diǎn):其一����,建立網(wǎng)絡(luò)病毒防火墻,避免內(nèi)外病毒對(duì)于網(wǎng)絡(luò)文件系統(tǒng)的破壞���;其二�,設(shè)置服務(wù)器�,盡可能的保護(hù)自己的IP地址;其三����,構(gòu)建操作系統(tǒng)補(bǔ)丁自動(dòng)分發(fā)系統(tǒng),保證能夠及時(shí)的進(jìn)行安全漏洞的修復(fù)��;其四�����,積極開展認(rèn)證和授權(quán)管理工作����,對(duì)于多重身份認(rèn)證和用戶角色授權(quán)進(jìn)行審計(jì),以保證系統(tǒng)的安全性��。
4結(jié)束語(yǔ)
第7篇
關(guān)鍵詞:SNMP���;RRDTOOL�����;CACTI���;流量監(jiān)控
1引言
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和各種網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的普及,用戶對(duì)網(wǎng)絡(luò)資源的需求不斷增長(zhǎng),網(wǎng)絡(luò)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具,同時(shí)人們對(duì)網(wǎng)絡(luò)性能的要求也越高,在眾多影響網(wǎng)絡(luò)性能的因素中網(wǎng)絡(luò)流量是最為重要的因素之一,它包含了用戶利用網(wǎng)絡(luò)進(jìn)行活動(dòng)的所有的信息。通過對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)分析���,可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息,對(duì)于網(wǎng)絡(luò)性能分析�、異常監(jiān)測(cè)�、鏈路狀態(tài)監(jiān)測(cè)、容量規(guī)劃等發(fā)揮著重要作用���。
SNMP(簡(jiǎn)單網(wǎng)絡(luò)維護(hù)管理協(xié)議)是Internet工程任務(wù)組(IETF)在SGMP基礎(chǔ)上開發(fā)的,SNMP是由一系列協(xié)議組和規(guī)范組成的,SNMP的體系結(jié)構(gòu)包括SNMP管理者(SNMPManager)���、SNMP者(SNMPAgent)和管理信息庫(kù)(MIB)����。每個(gè)支持SNMP的網(wǎng)絡(luò)設(shè)備中都包含一個(gè),不斷地收集統(tǒng)計(jì)數(shù)據(jù),并把這些數(shù)據(jù)記錄到一個(gè)管理信息庫(kù)(MIB)中,網(wǎng)絡(luò)維護(hù)管理程序再通過SNMP通信協(xié)議查詢或修改所紀(jì)錄的信息���。從被管理設(shè)備中收集數(shù)據(jù)有兩種方法:輪詢方法和基于中斷的方法�����。SNMP最大的特點(diǎn)是簡(jiǎn)單性,容易實(shí)現(xiàn)且成本低,利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個(gè)網(wǎng)絡(luò)端口輸入字節(jié)數(shù)����、輸入非廣播包數(shù)��、輸入廣播包數(shù)��、輸入包丟棄數(shù)��、輸入包錯(cuò)誤數(shù)�����、輸入未知協(xié)議包數(shù)��、輸出字節(jié)數(shù)�����、輸出非廣播包數(shù)、輸出廣播包數(shù)�、輸出包丟棄數(shù)、輸出包錯(cuò)誤數(shù)���、輸出隊(duì)長(zhǎng)等進(jìn)行采集。
2RRDTOOL的工作原理
RRDTOOL代表“RoundRobinDatabasetool”����,是TobiasOetiker設(shè)計(jì)的一個(gè)基于Perl的功能強(qiáng)大的數(shù)據(jù)儲(chǔ)存和圖形生成工具,最初設(shè)計(jì)目的是為流量統(tǒng)計(jì)分析工具M(jìn)RTG提供更好的數(shù)據(jù)存儲(chǔ)性能和更強(qiáng)的圖形生成功能。所謂的“RoundRobin”其實(shí)是一種存儲(chǔ)數(shù)據(jù)的方式�,使用固定大小的空間來(lái)存儲(chǔ)數(shù)據(jù),并有一個(gè)指針指向最新的數(shù)據(jù)的位置��。我們可以把用于存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫(kù)的空間看成一個(gè)圓����,上面有很多刻度。這些刻度所在的位置就代表用于存儲(chǔ)數(shù)據(jù)的地方����。所謂指針,可以認(rèn)為是從圓心指向這些刻度的一條直線��。指針會(huì)隨著數(shù)據(jù)的讀寫操作自動(dòng)移動(dòng)。要注意的是��,這個(gè)圓沒有起點(diǎn)和終點(diǎn)���,所以指針可以一直移動(dòng)���,而不用擔(dān)心到達(dá)終點(diǎn)后就無(wú)法前進(jìn)的問題。在一段時(shí)間后�,當(dāng)所有的空間都存滿了數(shù)據(jù),就又從頭開始存放�。這樣整個(gè)存儲(chǔ)空間的大小就是一個(gè)固定的數(shù)值。所以RRDtool就是使用類似的方式來(lái)存放數(shù)據(jù)的工具����,RRDtool所使用的數(shù)據(jù)庫(kù)文件的后綴名是''''.rrd''''。
和其它數(shù)據(jù)庫(kù)工具相比����,它具有如下特點(diǎn):
首先RRDtool存儲(chǔ)數(shù)據(jù),扮演了一個(gè)后臺(tái)工具的角色����。但同時(shí)RRDtool又允許創(chuàng)建圖表,這使得RRDtool看起來(lái)又像是前端工具。其他的數(shù)據(jù)庫(kù)只能存儲(chǔ)數(shù)據(jù)����,不能創(chuàng)建圖表。
RRDtool的每個(gè)rrd文件的大小是固定的�,而普通的數(shù)據(jù)庫(kù)文件的大小是隨著時(shí)間而增加的。
其他數(shù)據(jù)庫(kù)只是被動(dòng)的接受數(shù)據(jù)��,RRDtool可以對(duì)收到的數(shù)據(jù)進(jìn)行計(jì)算����,例如前后兩個(gè)數(shù)據(jù)的變化程度(rateofchange)�����,并存儲(chǔ)該結(jié)果���。
RRDtool要求定時(shí)獲取數(shù)據(jù)�,其他數(shù)據(jù)庫(kù)則沒有該要求��。如果在一個(gè)時(shí)間間隔內(nèi)(heartbeat)沒有收到值�����,則會(huì)用UNKN代替��,其他數(shù)據(jù)庫(kù)則不會(huì)這樣做。
3監(jiān)測(cè)系統(tǒng)的安裝與配置
(1)配置路由器和交換機(jī):
開始配置RRDTool之前,必須對(duì)需要監(jiān)測(cè)的網(wǎng)絡(luò)及設(shè)備進(jìn)行良好的規(guī)劃��、設(shè)計(jì)與配置,包括配置設(shè)備互聯(lián)地址�、網(wǎng)管地址及路由,保證流量監(jiān)測(cè)計(jì)算機(jī)可以與被監(jiān)測(cè)設(shè)備網(wǎng)絡(luò)層的互通;配置SNMP通信字符串和端口號(hào),掌握需要的監(jiān)測(cè)對(duì)象號(hào)(SNMPOID),確保流量監(jiān)測(cè)計(jì)算機(jī)可以獲取正確的SNMP信息。在路由器和交換機(jī)上啟動(dòng)SNMP,并設(shè)置只讀團(tuán)體名���。命令如下:
(config)#snmp-serverenabletraps
(config)#snmp-servercommunitytestro
(2)安裝配置RRDTool:
我們以Debian平臺(tái)來(lái)安裝配置RRDTOOL系統(tǒng),在安裝RRDTOOL前首先要安裝支持RRDTOOL運(yùn)行的環(huán)境:Zlib���、libart_lgpl、cgilib��、Libpng��、freetype軟件包�����。
①安裝apache����、mysql、php:apt-getinstallapache2php4mysql-serverphp4-mysql�����;安裝成功后通過瀏覽器訪問客戶器,可以得到“Itworks���!”的提示�����;利用mysqladmin工具給mysql添加好管理員密碼�����。
②安裝RRDTOOL:apt-getinstallrrdtool����。
③安裝NET-SNMP:apt-getinstallsnmp�。
④安裝Cacti:apt-getinstallcacti�,在安裝過程中會(huì)提示你輸入mysql管理員密碼和cacti數(shù)據(jù)庫(kù)管理員密碼。
(3)系統(tǒng)配置:
安裝好系統(tǒng)后就要進(jìn)行簡(jiǎn)單的初始化和配置��,步驟如下:
①訪問x.x.x.x/cacti�,按照向?qū)崾具M(jìn)行cacti的初始化安裝;
②利用crontab-e添加計(jì)劃任務(wù):
*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1
③利用cacti進(jìn)行設(shè)備的添加���;
④利用cacti進(jìn)行繪圖管理����。
cacti其實(shí)是一套php程序,它運(yùn)用snmpget采集數(shù)據(jù)�,使用rrdtool繪圖。它的界面非常漂亮����,能讓你根本無(wú)需明白rrdtool的參數(shù)能輕易的繪出漂亮的圖形。更難能可貴的是���,它提供了強(qiáng)大的數(shù)據(jù)管理和用戶管理功能���,一張圖是屬于一個(gè)host的,每一個(gè)host又可以掛載到一個(gè)樹狀的結(jié)構(gòu)上�����。用戶的管理上����,作為一個(gè)開源軟件,它居然做到為指定一個(gè)用戶能查看的“樹”����、host�、甚至每一張圖���,還可以與LDAP結(jié)合進(jìn)行用戶的驗(yàn)證�!我不由得佩服作者考慮的周到����!Cacti還提供自己增加模板的功能,讓你添加自己的snmp_query和script����!可以說,cacti將rrdtool的所有“缺點(diǎn)”都補(bǔ)足了��!
網(wǎng)絡(luò)地圖
