序論:在您撰寫校園網(wǎng)絡安全論文時,參考他人的優(yōu)秀作品可以開闊視野��,小編為您整理的7篇范文�,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導您走向新的創(chuàng)作高度�����。
第1篇
1.1網(wǎng)絡安全的定義
國際標準化組織(ISO)將網(wǎng)絡安全[2]定義為:為數(shù)據(jù)處理系統(tǒng)建立相應的安全保護措施�����,保護運行在網(wǎng)絡系統(tǒng)中的硬件�����、軟件以及系統(tǒng)中的數(shù)據(jù)不被黑客更改��、破壞或者泄露�,從而保證了網(wǎng)絡服務不中斷,使得系統(tǒng)可靠安全地運行.上述網(wǎng)絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網(wǎng)絡系統(tǒng)的時候�,保證物理線路能夠防雷、放火、防水����、防盜等,能夠保證物理線路連續(xù)的進行數(shù)據(jù)傳輸.而邏輯安全通常指的是傳輸在網(wǎng)絡上數(shù)據(jù)的信息安全��,即對網(wǎng)絡上傳輸信息的保密性���、可用性和完整性的保護.另一方面�����,網(wǎng)絡安全性的涵義也可以理解成是信息安全的一種引申�����,即網(wǎng)絡安全是對網(wǎng)絡信息的保密性�����、可用性和完整性提供相應的保護.概括的說,可以將網(wǎng)絡安全定義為:為保證目前網(wǎng)絡中運行的系統(tǒng)��、信息數(shù)據(jù)���、信道傳輸數(shù)據(jù)和信息內容的安全而采取相應的措施��,從而保證網(wǎng)絡中信息傳輸��、交換以及處理的保密性�、可用性、可控性��、可審查性�����、完整性.
1.2網(wǎng)絡安全基本特征
網(wǎng)絡安全應具有保密性����、可用性、可控性�����、可審查性�、完整性等五個方面的特征.保密性:信息未經(jīng)授權不泄露給任何用戶,而且信息的特性也具有保密性�����,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經(jīng)過授權后可按需使用�,即授權用戶當需要該信息時能否正常存取.網(wǎng)絡環(huán)境下常見的可用性的攻擊包括拒絕服務攻擊���、破壞網(wǎng)絡或系統(tǒng)的正常運行等.可控性:對網(wǎng)絡中傳播的信息及其內容具有控制能力.可審查性:當網(wǎng)絡中出現(xiàn)安全問題時可提供相應的依據(jù)與手段�����,便于追蹤攻擊源.完整性:用戶未經(jīng)授權不能隨意改變數(shù)據(jù)的特性����,即信息在保存或者傳輸?shù)倪^程中擁有不被修改�、破壞或丟失的特性,保證了信息的完整性.
2校園網(wǎng)建設概述及其安全威脅
隨著互聯(lián)網(wǎng)的快速普及�,校園網(wǎng)建設已經(jīng)成為學校的基礎建設之一,教育信息化���、數(shù)字化已經(jīng)成為教育發(fā)展的主方向��,校園網(wǎng)已成為學校日常教學����、辦公����、科研、管理�、生活主要的工具和手段之一,并發(fā)揮著越來越重要的作用[3].另一方面�,隨著國家科教興國戰(zhàn)略的實施,政府加強了對學校的投資�����,由此也加強了學校對校園網(wǎng)的建設.中國教育和科研計算機網(wǎng)(CER-NET)的成立���,標志著教育網(wǎng)的形成.CERNET主干網(wǎng)絡傳輸速率已達到2.5Gpbs�����,總容量達40Gpbs���,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前���,大部分學校都已建成校園網(wǎng)�,實現(xiàn)了校園網(wǎng)的整體覆蓋�����,包括辦公樓、教學樓��、宿舍樓等.校園網(wǎng)同時與Internet對接����,實現(xiàn)了校園辦公教學的信息化、自動化.如圖1所示��,為一個簡單的校園網(wǎng)組網(wǎng)模型.隨著CERNET的建設不斷提高��,校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一����,是學校信息化、數(shù)字化建設的基礎設施���,同時擔任著科研與教學的重要任務.然而����,目前國內大多數(shù)學校都缺乏對校園網(wǎng)建設的綜合規(guī)劃�����、缺乏相應的網(wǎng)絡管理措施����、以及對校園網(wǎng)絡的認識不足,這些都極大阻礙了校園網(wǎng)的發(fā)展.因此合理地對校園網(wǎng)絡升級����,是目前學校校園網(wǎng)工程的首要目標之一[4].同時,校園網(wǎng)作為學校數(shù)字化���、信息化的基礎設施��,安全問題不容忽視.在互聯(lián)網(wǎng)開放程度很高的今天�����,校園網(wǎng)往往最容易成為黑客攻擊的目標.威脅校園網(wǎng)安全的因素有很多����,但主要的安全威脅有以下幾類.
2.1TCP/IP協(xié)議漏洞造成的威脅
現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP/IP協(xié)議了��,這幾乎是所有校園網(wǎng)采用的網(wǎng)絡傳輸協(xié)議.TCP/IP協(xié)議在設計之初�����,就沒有考慮安全問題,它只考慮如何把信息互相傳輸�,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡安全,但是由于TCP/IP協(xié)議的開放性和通用性幾乎占用了整個市場�,使得OSI七層協(xié)議無法推廣.所以,目前網(wǎng)絡黑客針對TCP/IP漏洞攻擊有很多�,例如:數(shù)據(jù)竊聽、源地址欺騙��、ARP欺騙等等.
(1)數(shù)據(jù)竊聽(PacketSniff).TCP/IP協(xié)議從設計之初���,就采取的是數(shù)據(jù)包明碼傳輸�,這種傳輸模式使得數(shù)據(jù)包很容易被竊聽�、修改和偽造.黑客可以利用一系列工具獲取網(wǎng)絡中正在傳輸?shù)臄?shù)據(jù)包,竊取用戶有利用價值的信息���,如用戶賬戶和密碼等信息.同時����,黑客也能修改和偽造數(shù)據(jù)包�,讓用戶誤入釣魚網(wǎng)站或者竊取網(wǎng)上銀行信息,給用戶造成直接經(jīng)濟損失.特別是在校園網(wǎng)中��,數(shù)據(jù)包流通比較集中,一旦獲取了校園網(wǎng)服務器或管理員賬號信息���,將會給校園網(wǎng)絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網(wǎng)絡安全中����,一個比較重要的安全問題就是源地址欺騙.這里的源地址�,能夠是IP地址�����,也能是MAC地址.但是MAC地址隨著路由轉發(fā)��,信息會發(fā)生變化�����,而且在實際的網(wǎng)絡系統(tǒng)中�,也有一定的限制,改造欺騙難度比較大���,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址���,騙取防火墻信任,從而對校園網(wǎng)內部發(fā)起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數(shù)據(jù)包中����,通常只包含源地址和目的地址�����,即路由器可以知道數(shù)據(jù)包從哪個主機發(fā)送出來�����,將要到達哪個主機.源路由是指數(shù)據(jù)包將會列出所要經(jīng)過的路由��,路由器將會根據(jù)這些指定的路由將數(shù)據(jù)包送達相應的主機�����,然后根據(jù)其反向路由進行應答����,從而實現(xiàn)主機之間的通信.而源路由選擇欺騙���,則是攻擊者通過偽造主機源路由��,讓數(shù)據(jù)包經(jīng)過該主機必經(jīng)路由��,使受攻擊主機出現(xiàn)錯誤判斷�,將某些被保護的數(shù)據(jù)提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經(jīng)過檢驗的���,這樣就給攻擊者提供便利���,攻擊者可以發(fā)送虛假數(shù)據(jù)包,改變某些重要數(shù)據(jù)包的傳遞路徑���,使得數(shù)據(jù)在傳遞到正常主機前,即可抓取分析���,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協(xié)議還無法證明網(wǎng)絡身份的真實有效性�����,因此黑客可以偽造他人合法身份入侵到網(wǎng)絡系統(tǒng)或者獲取密鑰信息����,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協(xié)議��,作用是將網(wǎng)絡中的IP地址轉換成MAC物理地址的協(xié)議.因為在局域網(wǎng)中�����,尤其是在校園網(wǎng)中,使用最多的往往是MAC地址進行傳輸����,而不是IP地址進行傳輸,所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺主機進行通信.而黑客只需在局域網(wǎng)中進行網(wǎng)絡監(jiān)聽��,獲取到一臺主機A的節(jié)點信息(IP地址和MAC地址)�����,就能偽造A的數(shù)據(jù)包����,與B進行通信,獲取有用信息.另一方面�����,黑客可以偽造一個不存在的MAC地址在局域網(wǎng)內傳播�,形成廣播風暴,這樣會造成網(wǎng)絡不通��,給局域網(wǎng)造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊��,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網(wǎng)絡無法提供正常服務.因為TCP協(xié)議采用三次握手建立一次連接����,而任何一次握手失敗,則會重新發(fā)送.攻擊者正是利用這一個協(xié)議漏洞����,采取不斷建立連接,然后丟棄該連接數(shù)據(jù)包�����,使得服務器處于等待狀態(tài)����,如果攻擊者一直持續(xù)連接和丟棄的過程��,則服務器和網(wǎng)絡所有的資源會被完全消耗��,導致計算機或網(wǎng)絡無法正常工作��,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊����,即分布式拒絕服務攻擊��,它是指攻擊者借助一系列工具或手段����,聯(lián)合多個計算機組成攻擊平臺��,對一個或數(shù)個目標發(fā)動DoS攻擊.最基本的DoS是利用合法的服務請求���,占用攻擊目標主機大量服務資源���,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網(wǎng)絡黑客會抓取網(wǎng)絡“肉雞”��,集合大量網(wǎng)絡帶寬�,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態(tài).
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號�,形成一個TCP封包,對網(wǎng)絡中可信節(jié)點進行攻擊.而且最重要的是��,黑客可能利用偽造的TCP封包發(fā)動SYN攻擊�,讓服務器無法完成三次握手,造成服務器開放大量等待端口�,影響正常網(wǎng)絡訪問,嚴重時�,可直接造成服務器死機�,如果該服務器是WEB服務器或者DNS服務器�����,那么可能導致網(wǎng)站主頁無法鏈接或者校園網(wǎng)內部用戶無法訪問外部網(wǎng)絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協(xié)議是Internet控制報文協(xié)議��,它屬于TCP/IP協(xié)議下的一個子協(xié)議�����,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網(wǎng)絡是否暢通���、主機是否可連接���、路由是否可用等一系列消息,它對數(shù)據(jù)傳輸有很重要的作用.而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過64KB這一規(guī)定�,發(fā)動“PingofDeath”攻擊,當主機ICMP數(shù)據(jù)包尺寸超過64KB時�����,主機會發(fā)生內存分配錯誤��,導致TCP/IP堆棧崩潰��,使得目標主機死機.雖然操作系統(tǒng)通過取消ICMP數(shù)據(jù)包大小限制來解決該漏洞�,但是向目標主機發(fā)動持續(xù)、大規(guī)模的ICMP攻擊�,會消耗主機CPU、內存等資源�,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統(tǒng)是由程序員編寫的����,而在開發(fā)的過程中,多多少少會存在各種各樣的漏洞問題�����,這些漏洞如果不能及時修復���,將會對主機造成重大安全威脅.一旦該主機被攻破����,同時也會給該主機處在的局域網(wǎng)中的其它機器造成威脅���,情況嚴重時��,甚至會造成整個網(wǎng)絡癱瘓.近幾年來���,無論是Windows操作系統(tǒng)����,還是Linux操作系統(tǒng)���,的補丁數(shù)目一直持續(xù)增加.特別是Windows操作系統(tǒng)�����,在校園網(wǎng)內擁有的用戶眾多�,如果沒能及時修復各種漏洞���,勢必會影響整個校園網(wǎng)安全.
2.3病毒���、木馬威脅
近些年來,隨著互聯(lián)網(wǎng)的普及��,網(wǎng)絡上各種各樣的開源軟件繁多���,有些開源軟件打著免費的旗號,暗留后門或者對操作系統(tǒng)植入木馬���,稍不注意��,就會對整個系統(tǒng)造成重大影響.同時�,網(wǎng)絡上黑客也會主動攻擊,種植木馬����,抓取網(wǎng)絡肉雞,作為自己攻擊的跳板���,對互聯(lián)網(wǎng)上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網(wǎng)因為自身局限性�����,其網(wǎng)絡管理水平無法與企業(yè)相比��,因此很容易受到網(wǎng)絡上初級黑客的攻擊����,作為他們試手的目標.另外一方面����,互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載�,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網(wǎng)絡造成嚴重的攻擊.且根據(jù)心理學研究分析�����,很多普通攻擊者往往有炫耀心理����,即把校園網(wǎng)作為自己攻擊的目標,以獲取所謂的成功感�,這讓校園網(wǎng)增加更多的威脅.
3目前校園網(wǎng)網(wǎng)絡建設中存在的主要安全問題
目前在校園網(wǎng)網(wǎng)絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網(wǎng)絡安全問題
3.1.1校園網(wǎng)用戶數(shù)量龐大
校園網(wǎng)內用戶量眾多且處在同一個局域網(wǎng)中,同時��,校園網(wǎng)內服務器數(shù)量也是別的局域網(wǎng)不能比擬的.用戶量加上數(shù)目可觀��、功能強大的服務器�����,這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊�,因此存在著很大的安全隱患.
3.1.2校園網(wǎng)用戶安全意識低
根據(jù)調查研究發(fā)現(xiàn),校園網(wǎng)的用戶大部分都安全意識不強��,用戶計算機整體水平偏低�����,有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件,也沒能及時給系統(tǒng)打補丁�,系統(tǒng)處于“裸奔”狀態(tài).這對于當今如此開放的互聯(lián)網(wǎng)���,將直接為黑客提供攻擊目標.而且校園網(wǎng)用戶極少學習相應的安全防范知識�����,在下載和使用軟件時�,基本上不考慮其風險性�,這些都將會給黑客制造攻擊機會,影響整個校園網(wǎng)安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶���,它在一定程度上破壞了計算機系統(tǒng)的保密性.目前����,常見的信息泄密有:操作系統(tǒng)漏洞�、流氓軟件、網(wǎng)絡監(jiān)聽����、病毒、木馬、業(yè)務流分析��、網(wǎng)絡釣魚����、電磁、物理入侵�、射頻截獲、非法授權���、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務�,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood���、IP欺騙�、UDP洪水攻擊����、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統(tǒng)漏洞、病毒��、木馬�、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網(wǎng)絡濫用
由于授權的用戶因操作或行為不當�����,導致網(wǎng)絡濫用,從而導致網(wǎng)絡安全威脅��,例如非法外聯(lián)��、非法內聯(lián)��、設備濫用����、業(yè)務濫用��、移動風險等等.
3.2非人為因素導致的網(wǎng)絡安全問題
網(wǎng)絡安全除去人為因素外���,很大一部分安全威脅來自安全工具和操作系統(tǒng)自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環(huán)境����,同時安全工具受到人為因素���、系統(tǒng)漏洞���、程序BUG的影響�,這些因素反而給攻擊者帶來了一定的便利.對于操作系統(tǒng)而言����,沒有絕對安全的操作系統(tǒng),無論是微軟的Windows系列操作系統(tǒng)�����,還是開源的Linux操作系統(tǒng)���,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統(tǒng)����,因此在搭建校園網(wǎng)時���,要選擇安全性盡可能高的操作系統(tǒng)�,而且要隨時提供校園網(wǎng)用戶漏洞補丁下載�����,以及殺毒軟件���,保證用戶系統(tǒng)安全性始終最高.由上所述��,我們可以說網(wǎng)絡安全問題絕大部分是由人為因素引起的.現(xiàn)在���,國家也制定了相應的法律來保護網(wǎng)絡安全�,打擊相應的網(wǎng)絡犯罪活動.但是校園網(wǎng)作為一個龐大的用戶群����,如何防范這些網(wǎng)絡犯罪活動顯得尤為重要.我們不能等著整個網(wǎng)絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作��,讓校園網(wǎng)在安全中運行.
4加強校園網(wǎng)網(wǎng)絡安全建設的對策和建議
加強校園網(wǎng)網(wǎng)絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網(wǎng)網(wǎng)絡的安全搭建
在校園網(wǎng)工程的建設中��,網(wǎng)絡系統(tǒng)的搭建是屬于弱電工程��,它的耐壓值比較低.由此�,在校園網(wǎng)工程的設計和建設中�����,一定要首先考慮人以及網(wǎng)絡中物理設備的防火����、防電以及防雷等安全問題;考慮網(wǎng)絡中布線系統(tǒng)與通信線路�����、照明線路、動力線路�、空氣對流管道以及暖氣管道之間的距離;考慮網(wǎng)絡中物理電路的接地安全�;考慮建設合理的防雷系統(tǒng),保證建筑物����、計算機以及其它物理設備的防雷[6].
4.2應加強校園網(wǎng)網(wǎng)絡的安全維護技術
從技術層面來說,網(wǎng)絡安全主要是由防火墻系統(tǒng)�、入侵檢測系統(tǒng)、病毒監(jiān)測系統(tǒng)等多個安全組件組成����,單獨的一個組件是無法保證當前網(wǎng)絡信息安全的.最早的網(wǎng)絡安全技術是采用邊界閾值控制法,即通過對網(wǎng)絡邊界的數(shù)據(jù)包進行監(jiān)測��,符合規(guī)定的數(shù)據(jù)包可通過���,不符合規(guī)定的數(shù)據(jù)包就拋棄����,這種方式在一定程度上能阻止對網(wǎng)絡的入侵和攻擊�����,但是不能有效防止網(wǎng)絡攻擊.目前,應用比較廣泛的網(wǎng)絡安全基本技術有:防火墻技術�、防病毒技術、數(shù)據(jù)加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備�����,用于將內部網(wǎng)絡和外部網(wǎng)絡隔離起來�����,建立一層安全保護屏障�����,它是一種隔離控制技術.常見的防火墻有包過濾技術�����、技術�����、狀態(tài)監(jiān)測技術等.相對于防火墻來說��,防病毒技術將是從計算機網(wǎng)絡內部進行防控�,主要預防病毒程序、后門程序��、網(wǎng)絡監(jiān)聽等.目前采取比較多的防病毒手段是對系統(tǒng)進行監(jiān)聽����,阻止不合規(guī)定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現(xiàn)后才能組織.現(xiàn)在的防病毒技術和云平臺技術結合���,已經(jīng)對病毒起到了一定的控制作用.相對前面兩種技術來說�,數(shù)據(jù)加密技術就比較靈活了.可以將用戶的信息經(jīng)過加密后�,再在網(wǎng)絡上傳輸,及時數(shù)據(jù)被黑客截獲��,沒有有效的密鑰���,數(shù)據(jù)對黑客來說也只是一堆無效數(shù)據(jù)而已.在開放的互聯(lián)網(wǎng)平臺�����,數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全[8].
4.3應建立科學的校園網(wǎng)網(wǎng)絡管理人員崗位職責
計算機網(wǎng)絡安全絕大部分是人為因素引起的.因此在校園網(wǎng)搭建過程中��,關于對計算機系統(tǒng)管理員的培訓及管理�����,是校園網(wǎng)網(wǎng)絡安全中最重要的一部分.一個不合理的操作�,很有可能讓整個網(wǎng)絡系統(tǒng)癱瘓,因此必須建立健全管理規(guī)范�,明確管理員責任和權利.同時,要記錄管理員操作信息����,當發(fā)現(xiàn)不合規(guī)定的記錄時,可以及時分析����,如果發(fā)現(xiàn)黑客入侵,則及時采取必要措施杜絕黑客進一步入侵�,必要時需向當?shù)毓矙C關報案,減少學校損失.另外一方面����,建立健全的管理制度以及嚴格的管理模式���,可以保證校園網(wǎng)的正常�、安全運行.總而言之,網(wǎng)絡安全涉及的領域很多���,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓�,才能盡最大可能的把安全威脅降到最低.
5結語
第2篇
(一)網(wǎng)絡安全設施配備不夠
學校在建立自己的內網(wǎng)時��,由于意識薄弱與經(jīng)費投入不足等方面的原因�����,比如將原有的單機互聯(lián)����,使用原有的網(wǎng)絡設施;校園網(wǎng)絡的各種硬件設備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導致數(shù)據(jù)的丟失�、泄露或網(wǎng)絡中斷;機房設計不合理���,溫度����、濕度不適應以及無抗靜電���、抗磁干擾等設施�;網(wǎng)絡安全方面的投入嚴重不足,沒有系統(tǒng)的網(wǎng)絡安全設施配備等等���;以上情況都使得校園網(wǎng)絡基本處在一個開放的狀態(tài)��,沒有有效的安全預警手段和防范措施���。
(二)學校校園網(wǎng)絡上的用戶網(wǎng)絡信息安全意識淡薄、管理制度不完善
學校師生對網(wǎng)絡安全知識甚少����,安全意識淡薄,U盤�、移動硬盤、手機等存貯介質隨意使用��;學校網(wǎng)絡管理人員缺乏必要的專業(yè)知識�,不能安全地配置和管理網(wǎng)絡;學校機房的登記管理制度不健全��,允許不應進入的人進入機房�����;學校師生上網(wǎng)身份無法唯一識別����,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡出口�����、網(wǎng)絡管理軟件和網(wǎng)絡監(jiān)控��、日志系統(tǒng)�����,使學校的網(wǎng)絡管理混亂���;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志����;計算機安裝還原卡或使用還原軟件���,關機后啟動即恢復到初始狀態(tài)�,這些導致校園網(wǎng)形成很大的安全漏洞���。
(三)學校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡事件就是由系統(tǒng)的“漏洞”及“后門”所造成的�。網(wǎng)絡中所使用的網(wǎng)管設備和軟件絕大多數(shù)是舶來品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設置時可能存在各種不合理操作��,在網(wǎng)絡上運行時�����,這些網(wǎng)絡系統(tǒng)和接口都相應增加網(wǎng)絡的不安全因素��。
(四)計算機病毒��、網(wǎng)絡病毒泛濫���,造成網(wǎng)絡性能急劇下降���,重要數(shù)據(jù)丟失
網(wǎng)絡病毒是指病毒突破網(wǎng)絡的安全性,傳播到網(wǎng)絡服務器����,進而在整個網(wǎng)絡上感染,危害極大����。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡安全情況���,遭到端口掃描����、黑客攻擊����、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學生對文件下載�、電子郵件、QQ聊天的廣泛使用��,使得校園網(wǎng)內病毒泛濫��。計算機病毒是一種人為編制的程序�,它具有傳染性、隱蔽性����、激發(fā)性、復制性����、破壞性等特點。它的破壞性是巨大的��,一旦學校網(wǎng)絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網(wǎng)絡��,只要網(wǎng)絡中有幾臺電腦中毒�����,就會堵塞出口�,導致網(wǎng)絡的“拒絕服務”,嚴重時會造成網(wǎng)絡癱瘓����。《參考消息》1989年8月2日刊登的一則評論����,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二���,這給未來的信息系統(tǒng)投上了一層陰影����。從近期的“熊貓燒香”��、“灰鴿子”����、“仇英”���、“艾妮”等網(wǎng)絡病毒的爆發(fā)中可以看出,網(wǎng)絡病毒的防范任務越來越嚴峻��。
綜上所述�,學校校園網(wǎng)絡的安全形勢非常嚴峻��,在這種情況下���,學校如何能夠保證網(wǎng)絡的安全運行����,同時又能提供豐富的網(wǎng)絡資源�,保障辦公、教學以及學生上網(wǎng)的多種需求成為了一個難題�����。根據(jù)校園網(wǎng)絡面臨的安全問題���,文章提出以下校園網(wǎng)絡安全防范措施����。
二、校園網(wǎng)絡的主要防范措施
(一)服務器
學校在建校園網(wǎng)絡之時配置一臺服務器���,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介�,在服務器上執(zhí)行服務的軟件應用程序��,對服務器進行一些必要的設置��。校園網(wǎng)內用戶訪問Internet都是通過服務器���,服務器會檢查用戶的訪問請求是否符合規(guī)定��,才會到被用戶訪問的站點取回所需信息再轉發(fā)給用戶����。這樣�,既保護內網(wǎng)資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用��,外部網(wǎng)絡只能看到該服務器而無法獲知內部網(wǎng)絡上的任何計算機信息��,整個校園網(wǎng)絡只有服務器是可見的,從而大大增強了校園網(wǎng)絡的安全性���。(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術產品���,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡安全防范產品之一����。它是軟件或硬件設備的組合,通常被用來進行網(wǎng)絡安全邊界的防護�。防火墻通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理,在網(wǎng)絡間建立一個安全網(wǎng)關��,對網(wǎng)絡數(shù)據(jù)進行過濾(允許/拒絕)�����,控制數(shù)據(jù)包的進出���,封堵某些禁止行為,提供網(wǎng)絡使用狀況(網(wǎng)絡數(shù)據(jù)的實時/事后分析及處理���,網(wǎng)絡數(shù)據(jù)流動情況的監(jiān)控分析���,通過日志分析����,獲取時間�����、地址�����、協(xié)議和流量����,網(wǎng)絡是否受到監(jiān)視和攻擊),對網(wǎng)絡攻擊行為進行檢測和告警等等��,最大限度地防止惡意或非法訪問存取����,有效的阻止破壞者對計算機系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應用服務系統(tǒng)的安全工作���。(三)防治網(wǎng)絡病毒
校園網(wǎng)絡的安全必須在整個校園網(wǎng)絡內形成完整的病毒防御體系�,建立一整套網(wǎng)絡軟件及硬件的維護制度,定期對各工作站進行維護���,對操作系統(tǒng)和網(wǎng)絡系統(tǒng)軟件采取安全保密措施�。為了實現(xiàn)在整個內網(wǎng)杜絕病毒的感染��、傳播和發(fā)作����,學校應在網(wǎng)內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室��、工作站上安裝瑞星殺毒軟件網(wǎng)絡版�����,對病毒進行定時的掃描檢測及漏洞修復����,定時升級文件并查毒殺毒���,使整個校園網(wǎng)絡有防病毒能力�����。
(四)口令加密和訪問控制
校園網(wǎng)絡管理員通過對校園師生用戶設置用戶名和口令加密驗證��,加強對網(wǎng)絡的監(jiān)控以及對用戶的管理�����。網(wǎng)管理員要對校園網(wǎng)內部網(wǎng)絡設備路由器�����、交換機�、防火墻、服務器的配置均設有口令加密保護��,賦予用戶一定的訪問存取權限��、口令字等安全保密措施�����,用戶只能在其權限內進行操作���,合理設置網(wǎng)絡共享文件�����,對各工作站的網(wǎng)絡軟件文件屬性可采取隱含�����、只讀等加密措施���,建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)����,建立詳細的用戶信息數(shù)據(jù)庫��、網(wǎng)絡主機登錄日志�����、交換機及路由器日志�����、網(wǎng)絡服務器日志����、內部用戶非法活動日志等��,定時對其進行審查分析,及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故����,有效地保護網(wǎng)絡安全。
(五)VLAN(虛擬局域網(wǎng))技術
VLAN(虛擬局域網(wǎng))技術�,是指在交換局域網(wǎng)的基礎上,采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段�、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡分段�。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡劃分成幾個子網(wǎng)���。將用戶限制在其所在的VLAN里��,防止各用戶之間隨意訪問資源����。各個子網(wǎng)間通過路由器��、交換機��、網(wǎng)關或防火墻等設備進行連接�����,網(wǎng)絡管理員借助VLAN技
術管理整個網(wǎng)絡,通過設置命令��,對每個子網(wǎng)進行單獨管理�,根據(jù)特定需要隔離故障,阻止非法用戶非法訪問��,防止網(wǎng)絡病毒�、木馬程序,從而在整個網(wǎng)絡環(huán)境下���,計算機能安全運行�����。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段��,但仍會有突發(fā)事件給網(wǎng)絡系統(tǒng)帶來不可預知的災難�����,對網(wǎng)絡系統(tǒng)軟件應該有專人管理����,定期做好服務器系統(tǒng)、網(wǎng)絡通信系統(tǒng)�、應用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作�����,并建立網(wǎng)絡資源表和網(wǎng)絡設備檔案��,對網(wǎng)上各工作站的資源分配情況�����、故障情況��、維修記錄分別記錄在網(wǎng)絡資源表和網(wǎng)絡設備檔案上�。這些都是保證網(wǎng)絡系統(tǒng)正常運行的重要手段。
(七)入侵檢測系統(tǒng)(IntrusionDetectionSystem���,IDS)
IDS是一種網(wǎng)絡安全系統(tǒng)�����,是對防火墻有益的補充�����。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡甚至計算機系統(tǒng)時��,IDS能檢測和發(fā)現(xiàn)入侵行為并報警�����,通知網(wǎng)絡采取措施響應����。即使被入侵攻擊,IDS收集入侵攻擊的相關信息�,記錄事件,自動阻斷通信連接�����,重置路由器�����、防火墻�����,同時及時發(fā)現(xiàn)并提出解決方案����,列出可參考的網(wǎng)絡和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)�����,增強系統(tǒng)的防范能力�����,避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術�����,提供了對內部攻擊����、外部攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵��,大大提高了網(wǎng)絡的安全性�。
(八)增強網(wǎng)絡安全意識、健全學校統(tǒng)一規(guī)范管理制度
根據(jù)學校實際情況�����,對師生進行網(wǎng)絡安全防范意識教育,使他們具備基本的網(wǎng)絡安全知識�����。制定相關的網(wǎng)絡安全管理制度(網(wǎng)絡操作使用規(guī)程����、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等)�。安排專人負責校園網(wǎng)絡的安全保護管理工作,對學校專業(yè)技術人員定期進行安全教育和培訓��,提高工作人員的網(wǎng)絡安全的警惕性和自覺性���,并安排專業(yè)技術人員定期對校園網(wǎng)進行維護���。
三、結論
校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程����,長期以來,從病毒�、黑客與防范措施的發(fā)展來看,總是“道高一尺�����,魔高一丈”,沒有絕對安全的網(wǎng)絡系統(tǒng)�����,只有通過綜合運用多項措施���,加強管理��,建立一套真正適合校園網(wǎng)絡的安全體系,提高校園網(wǎng)絡的安全防范能力��。
摘要:隨著“校校通”工程的深入實施����,校園網(wǎng)作為學校重要的基礎設施,擔負著學校教學�、教研、管理和對外交流等許多重要任務��。校園網(wǎng)的安全問題��,直接影響著學校的教學活動��。文章結合十幾年來校園網(wǎng)絡使用安全及防范措施等方面的經(jīng)驗,對如何加強校園網(wǎng)絡安全作了分析和探討���。
關鍵詞:校園網(wǎng)���;網(wǎng)絡安全;防范措施��;防火墻�����;VLAN技術
校園網(wǎng)是指利用網(wǎng)絡設備��、通信介質和適宜的組網(wǎng)技術與協(xié)議以及各類系統(tǒng)管理軟件和應用軟件��,將校園內計算機和各種終端設備有機地集成在一起���,用于教學���、科研、管理�、資源共享等方面的局域網(wǎng)絡系統(tǒng)。校園網(wǎng)絡安全是指學校網(wǎng)絡系統(tǒng)的硬件�、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護���,不因偶然和惡意等因素而遭到破壞、更改��、泄密��,保障校園網(wǎng)的正常運行���。隨著“校校通”工程的深入實施�����,學校教育信息化�����、校園網(wǎng)絡化已經(jīng)成為網(wǎng)絡時代的教育的發(fā)展方向。目前校園網(wǎng)絡內存在很大的安全隱患��,建立一套切實可行的校園網(wǎng)絡防范措施���,已成為校園網(wǎng)絡建設中面臨和亟待解決的重要問題�。
參考文獻:
1��、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡安全[M].清華大學出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡技術教程[M].清華大學出版社,2004.
3����、劉清山.網(wǎng)絡安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計算機網(wǎng)絡[M].大連理工大學出版社,2000.
5�、張冬梅.網(wǎng)絡信息安全的威脅與防范[J].湖南財經(jīng)高等專科學校學報,2002(8).
6�����、李衛(wèi).計算機網(wǎng)絡安全與管理[M].清華大學出版社,2004.
第3篇
關鍵詞:校園網(wǎng)���;網(wǎng)絡安全����;防范措施����;防火墻;VLAN技術
校園網(wǎng)是指利用網(wǎng)絡設備���、通信介質和適宜的組網(wǎng)技術與協(xié)議以及各類系統(tǒng)管理軟件和應用軟件�,將校園內計算機和各種終端設備有機地集成在一起��,用于教學、科研�、管理、資源共享等方面的局域網(wǎng)絡系統(tǒng)�。校園網(wǎng)絡安全是指學校網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護���,不因偶然和惡意等因素而遭到破壞��、更改���、泄密,保障校園網(wǎng)的正常運行���。隨著“校校通”工程的深入實施��,學校教育信息化�、校園網(wǎng)絡化已經(jīng)成為網(wǎng)絡時代的教育的發(fā)展方向��。目前校園網(wǎng)絡內存在很大的安全隱患����,建立一套切實可行的校園網(wǎng)絡防范措施��,已成為校園網(wǎng)絡建設中面臨和亟待解決的重要問題。
一��、校園網(wǎng)絡安全現(xiàn)狀分析
(一)網(wǎng)絡安全設施配備不夠
學校在建立自己的內網(wǎng)時���,由于意識薄弱與經(jīng)費投入不足等方面的原因����,比如將原有的單機互聯(lián)����,使用原有的網(wǎng)絡設施;校園網(wǎng)絡的各種硬件設備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導致數(shù)據(jù)的丟失���、泄露或網(wǎng)絡中斷����;機房設計不合理�����,溫度����、濕度不適應以及無抗靜電�����、抗磁干擾等設施���;網(wǎng)絡安全方面的投入嚴重不足,沒有系統(tǒng)的網(wǎng)絡安全設施配備等等�����;以上情況都使得校園網(wǎng)絡基本處在一個開放的狀態(tài)��,沒有有效的安全預警手段和防范措施��。
(二)學校校園網(wǎng)絡上的用戶網(wǎng)絡信息安全意識淡薄�����、管理制度不完善
學校師生對網(wǎng)絡安全知識甚少�����,安全意識淡薄���,U盤���、移動硬盤、手機等存貯介質隨意使用����;學校網(wǎng)絡管理人員缺乏必要的專業(yè)知識,不能安全地配置和管理網(wǎng)絡���;學校機房的登記管理制度不健全��,允許不應進入的人進入機房�����;學校師生上網(wǎng)身份無法唯一識別��,不能有效的規(guī)范和約束師生的非法訪問行為�;缺乏統(tǒng)一的網(wǎng)絡出口���、網(wǎng)絡管理軟件和網(wǎng)絡監(jiān)控��、日志系統(tǒng)��,使學校的網(wǎng)絡管理混亂��;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志���;計算機安裝還原卡或使用還原軟件��,關機后啟動即恢復到初始狀態(tài)�����,這些導致校園網(wǎng)形成很大的安全漏洞��。
(三)學校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡事件就是由系統(tǒng)的“漏洞”及“后門”所造成的�。網(wǎng)絡中所使用的網(wǎng)管設備和軟件絕大多數(shù)是舶來品�,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設置時可能存在各種不合理操作,在網(wǎng)絡上運行時����,這些網(wǎng)絡系統(tǒng)和接口都相應增加網(wǎng)絡的不安全因素。
(四)計算機病毒��、網(wǎng)絡病毒泛濫�,造成網(wǎng)絡性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡病毒是指病毒突破網(wǎng)絡的安全性���,傳播到網(wǎng)絡服務器��,進而在整個網(wǎng)絡上感染���,危害極大。感染計算機病毒����、蠕蟲和木馬程序是最突出的網(wǎng)絡安全情況,遭到端口掃描�����、黑客攻擊�、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學生對文件下載�����、電子郵件�、QQ聊天的廣泛使用,使得校園網(wǎng)內病毒泛濫��。計算機病毒是一種人為編制的程序�,它具有傳染性�����、隱蔽性���、激發(fā)性、復制性���、破壞性等特點�。它的破壞性是巨大的�����,一旦學校網(wǎng)絡中的一臺電腦感染上病毒����,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網(wǎng)絡,只要網(wǎng)絡中有幾臺電腦中毒�����,就會堵塞出口���,導致網(wǎng)絡的“拒絕服務”�,嚴重時會造成網(wǎng)絡癱瘓?!秴⒖枷ⅰ?989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段����,計算機病毒名列第二,這給未來的信息系統(tǒng)投上了一層陰影��。從近期的“熊貓燒香”��、“灰鴿子”��、“仇英”����、“艾妮”等網(wǎng)絡病毒的爆發(fā)中可以看出��,網(wǎng)絡病毒的防范任務越來越嚴峻��。
綜上所述��,學校校園網(wǎng)絡的安全形勢非常嚴峻��,在這種情況下��,學校如何能夠保證網(wǎng)絡的安全運行,同時又能提供豐富的網(wǎng)絡資源�����,保障辦公���、教學以及學生上網(wǎng)的多種需求成為了一個難題����。根據(jù)校園網(wǎng)絡面臨的安全問題�����,文章提出以下校園網(wǎng)絡安全防范措施�。
二、校園網(wǎng)絡的主要防范措施
(一)服務器
學校在建校園網(wǎng)絡之時配置一臺服務器�,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務器上執(zhí)行服務的軟件應用程序���,對服務器進行一些必要的設置����。校園網(wǎng)內用戶訪問Internet都是通過服務器��,服務器會檢查用戶的訪問請求是否符合規(guī)定,才會到被用戶訪問的站點取回所需信息再轉發(fā)給用戶�����。這樣���,既保護內網(wǎng)資源不被外部非授權用戶非法訪問或破壞�����,也可以阻止內部用戶對外部不良資源的濫用,外部網(wǎng)絡只能看到該服務器而無法獲知內部網(wǎng)絡上的任何計算機信息����,整個校園網(wǎng)絡只有服務器是可見的,從而大大增強了校園網(wǎng)絡的安全性���。
(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術產品�,是一種使用較早的���、也是目前使用較廣泛的網(wǎng)絡安全防范產品之一�����。它是軟件或硬件設備的組合����,通常被用來進行網(wǎng)絡安全邊界的防護。防火墻通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理��,在網(wǎng)絡間建立一個安全網(wǎng)關��,對網(wǎng)絡數(shù)據(jù)進行過濾(允許/拒絕)�,控制數(shù)據(jù)包的進出,封堵某些禁止行為�,提供網(wǎng)絡使用狀況(網(wǎng)絡數(shù)據(jù)的實時/事后分析及處理,網(wǎng)絡數(shù)據(jù)流動情況的監(jiān)控分析��,通過日志分析���,獲取時間�����、地址����、協(xié)議和流量,網(wǎng)絡是否受到監(jiān)視和攻擊)���,對網(wǎng)絡攻擊行為進行檢測和告警等等����,最大限度地防止惡意或非法訪問存取�����,有效的阻止破壞者對計算機系統(tǒng)的破壞�����,可以最大限度地保證校園網(wǎng)應用服務系統(tǒng)的安全工作�����。
(三)防治網(wǎng)絡病毒
校園網(wǎng)絡的安全必須在整個校園網(wǎng)絡內形成完整的病毒防御體系����,建立一整套網(wǎng)絡軟件及硬件的維護制度����,定期對各工作站進行維護,對操作系統(tǒng)和網(wǎng)絡系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內網(wǎng)杜絕病毒的感染���、傳播和發(fā)作�,學校應在網(wǎng)內有可能感染和傳播病毒的地方采用相應的防病毒手段�����,在服務器和各辦公室����、工作站上安裝瑞星殺毒軟件網(wǎng)絡版,對病毒進行定時的掃描檢測及漏洞修復����,定時升級文件并查毒殺毒,使整個校園網(wǎng)絡有防病毒能力����。
(四)口令加密和訪問控制
校園網(wǎng)絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網(wǎng)絡的監(jiān)控以及對用戶的管理����。網(wǎng)管理員要對校園網(wǎng)內部網(wǎng)絡設備路由器、交換機����、防火墻���、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限�����、口令字等安全保密措施����,用戶只能在其權限內進行操作,合理設置網(wǎng)絡共享文件�,對各工作站的網(wǎng)絡軟件文件屬性可采取隱含、只讀等加密措施�����,建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)���,建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志���、交換機及路由器日志����、網(wǎng)絡服務器日志、內部用戶非法活動日志等�,定時對其進行審查分析,及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故��,有效地保護網(wǎng)絡安全����。
(五)VLAN(虛擬局域網(wǎng))技術
VLAN(虛擬局域網(wǎng))技術,是指在交換局域網(wǎng)的基礎上��,采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段�����、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡��。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡分段�����。學校要將不同類型的用戶劃分在不同的VLAN中����,將校園網(wǎng)絡劃分成幾個子網(wǎng)����。將用戶限制在其所在的VLAN里���,防止各用戶之間隨意訪問資源����。各個子網(wǎng)間通過路由器�����、交換機�、網(wǎng)關或防火墻等設備進行連接,網(wǎng)絡管理員借助VLAN技術管理整個網(wǎng)絡��,通過設置命令���,對每個子網(wǎng)進行單獨管理�����,根據(jù)特定需要隔離故障��,阻止非法用戶非法訪問�,防止網(wǎng)絡病毒���、木馬程序�,從而在整個網(wǎng)絡環(huán)境下�,計算機能安全運行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段���,但仍會有突發(fā)事件給網(wǎng)絡系統(tǒng)帶來不可預知的災難���,對網(wǎng)絡系統(tǒng)軟件應該有專人管理,定期做好服務器系統(tǒng)��、網(wǎng)絡通信系統(tǒng)��、應用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作�,并建立網(wǎng)絡資源表和網(wǎng)絡設備檔案,對網(wǎng)上各工作站的資源分配情況��、故障情況����、維修記錄分別記錄在網(wǎng)絡資源表和網(wǎng)絡設備檔案上。這些都是保證網(wǎng)絡系統(tǒng)正常運行的重要手段��。
(七)入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡安全系統(tǒng)��,是對防火墻有益的補充����。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡甚至計算機系統(tǒng)時,IDS能檢測和發(fā)現(xiàn)入侵行為并報警��,通知網(wǎng)絡采取措施響應�。即使被入侵攻擊,IDS收集入侵攻擊的相關信息�����,記錄事件�,自動阻斷通信連接,重置路由器�����、防火墻�,同時及時發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)���,增強系統(tǒng)的防范能力��,避免系統(tǒng)再次受到入侵���。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術,提供了對內部攻擊���、外部攻擊和誤操作的實時保護���,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵,大大提高了網(wǎng)絡的安全性�����。
(八)增強網(wǎng)絡安全意識�����、健全學校統(tǒng)一規(guī)范管理制度
根據(jù)學校實際情況����,對師生進行網(wǎng)絡安全防范意識教育,使他們具備基本的網(wǎng)絡安全知識����。制定相關的網(wǎng)絡安全管理制度(網(wǎng)絡操作使用規(guī)程��、人員出入機房管理制度�、工作人員操作規(guī)程和保密制度等)��。安排專人負責校園網(wǎng)絡的安全保護管理工作��,對學校專業(yè)技術人員定期進行安全教育和培訓���,提高工作人員的網(wǎng)絡安全的警惕性和自覺性��,并安排專業(yè)技術人員定期對校園網(wǎng)進行維護�����。
三�����、結論
校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程���,長期以來,從病毒��、黑客與防范措施的發(fā)展來看,總是“道高一尺��,魔高一丈”�,沒有絕對安全的網(wǎng)絡系統(tǒng),只有通過綜合運用多項措施��,加強管理����,建立一套真正適合校園網(wǎng)絡的安全體系�����,提高校園網(wǎng)絡的安全防范能力�����。
參考文獻:
1���、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡安全[M].清華大學出版社,2006.
2�、張公忠.現(xiàn)代網(wǎng)絡技術教程[M].清華大學出版社,2004.
3�����、劉清山.網(wǎng)絡安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計算機網(wǎng)絡[M].大連理工大學出版社,2000.
5�����、張冬梅.網(wǎng)絡信息安全的威脅與防范[J].湖南財經(jīng)高等?��?茖W校學報,2002(8).
6����、李衛(wèi).計算機網(wǎng)絡安全與管理[M].清華大學出版社,2004.
第4篇
關鍵詞網(wǎng)絡安全系統(tǒng)安全網(wǎng)絡運行安全內部網(wǎng)絡安全防火墻
隨著網(wǎng)絡技術的不斷發(fā)展和Internet的日益普及�,許多學校都建立了校園網(wǎng)絡并投入使用,這無疑對加快信息處理���,提高工作效率�,減輕勞動強度�,實現(xiàn)資源共享都起到了無法估量的作用。但教師和學生在使用校園網(wǎng)絡的同時卻忽略了網(wǎng)絡安全問題���,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件�����,導致了校園計算機系統(tǒng)的崩潰��,給計算機教師帶來了大量的工作負擔���,也嚴重影響了校園網(wǎng)的正常運行��。所以在積極發(fā)展辦公自動化��、實現(xiàn)資源共享的同時���,教師和學生都應加強對校園網(wǎng)絡的安全重視。正如人們經(jīng)常所說的:網(wǎng)絡的生命在于其安全性�����。因此�,如何在現(xiàn)有的條件下�,如何搞好網(wǎng)絡的安全,就成了校園網(wǎng)絡管理人員的一個重要課題��。
作為一位中學電腦教師兼負著校園網(wǎng)絡的維護和管理����,我們一起來探討一下校園網(wǎng)絡安全技術。
網(wǎng)絡安全主要是網(wǎng)絡信息系統(tǒng)的安全性�,包括系統(tǒng)安全�、網(wǎng)絡運行安全和內部網(wǎng)絡安全���。
一�����、系統(tǒng)安全
系統(tǒng)安全包括主機和服務器的運行安全��,主要措施有反病毒�����。入侵檢測�、審計分析等技術��。
1��、反病毒技術:計算機病毒是引起計算機故障����、破壞計算機數(shù)據(jù)的程序,它能夠傳染其它程序����,并進行自我復制��,特別是要網(wǎng)絡環(huán)境下����,計算機病毒有著不可估量的威脅性和破壞力���,因此對計算機病毒的防范是校園網(wǎng)絡安全建設的一個重要環(huán)節(jié)��,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監(jiān)測����,或者在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等�����。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監(jiān)控��,效果不錯�����。
2�����、入侵檢測:入侵檢測指對入侵行為的發(fā)現(xiàn)�����。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對它們進行分析��,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象�,以提高系統(tǒng)管理員的安全管理能力,及時對系統(tǒng)進行安全防范���。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件����,主要功能有:檢測并分析用戶和系統(tǒng)的活動��;檢查系統(tǒng)的配置和操作系統(tǒng)的日志����;發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等����。
從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡安全的首要問題,發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡管理人員主要任務�。當然�����,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡管理人員所能做的��,但是及早地發(fā)現(xiàn)有報告的漏洞���,并進行升級補丁卻是我們應該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法����,就是經(jīng)常登錄各有關網(wǎng)絡安全網(wǎng)站,對于我們有使用的軟件和服務�����,應該密切關注其程序的最新版本和安全信息�����,一旦發(fā)現(xiàn)與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級��。許多的網(wǎng)絡管理員對此認識不夠����,以至于過了幾年,還能掃描到機器存在許多漏洞�����。在校園網(wǎng)中服務器�����,為用戶提供著各種的服務����,但是服務提供的越多,系統(tǒng)就存在更多的漏洞�,也就有更多的危險。因此從安全角度考慮���,應將不必要的服務關閉�,只向公眾提供了他們所需的基本的服務��。最典型的是�,我們在校園網(wǎng)服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能�,這樣,在服務器的服務配置中,我們只開放WEB服務�,而將FTP服務禁止。如果要開放FTP功能����,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容�����,如果用戶目錄又給了可執(zhí)行權限���,那么�����,通過運行上傳某些程序���,就可能使服務器受到攻擊。所以�,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡不安全的一個因素。
3���、審計監(jiān)控技術�����。審計是記錄用戶使用計算機網(wǎng)絡系統(tǒng)進行所有活動的過程��,它是提高安全性的重要工具�����。它不僅能夠識別誰訪問了系統(tǒng)����,還能指出系統(tǒng)正被怎樣地使用����。對于確定是否有網(wǎng)絡攻擊的情況,審計信息對于確定問題和攻擊源很重要�。同時,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題����,并且它是后面階段事故處理的重要依據(jù)。另外��,通過對安全事件的不斷收集��、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤��,可以及早發(fā)現(xiàn)可能產生的破壞���。因此���,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外,還應使用目前已較為成熟的網(wǎng)絡監(jiān)控設備����,以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控���、報警和阻斷����,從而防止針對網(wǎng)絡的攻擊與犯罪行為�����。二��、網(wǎng)絡運行安全
網(wǎng)絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外�����,還要有備份與恢復等應急措施來保證網(wǎng)絡受到攻擊后,能盡快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)����。
一般數(shù)據(jù)備份操作有三種��。一是全盤備份�����,即將所有文件寫入備份介質�;二是增量備份,只備份那些上次備份之后更改過的文件�,這種備份是最有效的備份方法;三是差分備份�����,備份上次全盤備份之后更改過的所有文件���。
根據(jù)備份的存儲媒介不同��,有“冷備份”和“熱備份”兩種方案��?���!盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡中,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務系統(tǒng)中存放�����,具有速度快和調用方便的特點����。“冷備份”是將下載的備份存入到安全的存儲媒介中��,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡沒有直接聯(lián)系�,在系統(tǒng)恢復時重新安裝。其特點是便于保管�����,用以彌補了熱備份的一些不足���。進行備份的過程中�����,常使用備份軟件��,如GHOST等����。
三、內部網(wǎng)絡安全
為了保證局域網(wǎng)安全�����,內網(wǎng)和外網(wǎng)最好進行訪問隔離���,常用的措施是在內部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡安全檢測,以增強機構內部網(wǎng)的安全性�。
1、訪問控制:在內外網(wǎng)隔離及訪問系統(tǒng)中��,采用防火墻技術是目前保護內部網(wǎng)安全的最主要的���,同時也是最在效和最經(jīng)濟的措施之一�����。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口�,能根據(jù)安全政策控制出入網(wǎng)絡的信息流,且本身具有較強的抗攻擊能力����。它是提供信息安全服務。實現(xiàn)網(wǎng)絡和信息安全的基礎設施����。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務�����,以及哪些外部服務可以被內部人員訪問���。其基本功能有:過濾進���、出的數(shù)據(jù);管理進����、出網(wǎng)絡的訪問行為;封堵某些禁止的業(yè)務等�����。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分�����,而不是全部�。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中,才能實現(xiàn)真正的安全�����。
另外���,防火墻還用于內部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制�����。防火墻可以隔離內部網(wǎng)絡的一個網(wǎng)段與另一個網(wǎng)段,防止一個網(wǎng)段的問題穿過整個網(wǎng)絡傳播���。針對某些網(wǎng)絡�����,在某些情況下����,它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任,或者某個網(wǎng)段比另一個網(wǎng)段更敏感����。而在它們之間設置防火墻就可以限制局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。
2���、網(wǎng)絡安全檢測:保證網(wǎng)絡系統(tǒng)安全最有效的辦法是定期對網(wǎng)絡系統(tǒng)進行安全性評估分析�,用實踐性的方法掃描分析網(wǎng)絡系統(tǒng)�,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略�����,達到增強網(wǎng)絡安全性的目的����。
以上只是對防范外部入侵,維護網(wǎng)絡安全的一些粗淺看法���。建立健全的網(wǎng)絡管理制度是校園網(wǎng)絡安全的一項重要措施�����,健康正常的校園網(wǎng)絡需要廣大師生共同來維護�����。
參考文獻
1.局域網(wǎng)組建與維護DIY.人民郵電出版社,2003.05
第5篇
關鍵詞:校園網(wǎng)�����;網(wǎng)絡安全�;防范措施;防火墻����;VLAN技術
校園網(wǎng)是指利用網(wǎng)絡設備、通信介質和適宜的組網(wǎng)技術與協(xié)議以及各類系統(tǒng)管理軟件和應用軟件��,將校園內計算機和各種終端設備有機地集成在一起����,用于教學��、科研����、管理�����、資源共享等方面的局域網(wǎng)絡系統(tǒng)����。校園網(wǎng)絡安全是指學校網(wǎng)絡系統(tǒng)的硬件���、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護����,不因偶然和惡意等因素而遭到破壞���、更改��、泄密���,保障校園網(wǎng)的正常運行。隨著“校校通”工程的深入實施���,學校教育信息化���、校園網(wǎng)絡化已經(jīng)成為網(wǎng)絡時代的教育的發(fā)展方向��。目前校園網(wǎng)絡內存在很大的安全隱患�,建立一套切實可行的校園網(wǎng)絡防范措施����,已成為校園網(wǎng)絡建設中面臨和亟待解決的重要問題。
一��、校園網(wǎng)絡安全現(xiàn)狀分析
(一)網(wǎng)絡安全設施配備不夠
學校在建立自己的內網(wǎng)時��,由于意識薄弱與經(jīng)費投入不足等方面的原因��,比如將原有的單機互聯(lián)��,使用原有的網(wǎng)絡設施�����;校園網(wǎng)絡的各種硬件設備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導致數(shù)據(jù)的丟失���、泄露或網(wǎng)絡中斷����;機房設計不合理�����,溫度����、濕度不適應以及無抗靜電、抗磁干擾等設施���;網(wǎng)絡安全方面的投入嚴重不足���,沒有系統(tǒng)的網(wǎng)絡安全設施配備等等;以上情況都使得校園網(wǎng)絡基本處在一個開放的狀態(tài)����,沒有有效的安全預警手段和防范措施。
(二)學校校園網(wǎng)絡上的用戶網(wǎng)絡信息安全意識淡薄�����、管理制度不完善
學校師生對網(wǎng)絡安全知識甚少���,安全意識淡薄��,U盤���、移動硬盤���、手機等存貯介質隨意使用;學校網(wǎng)絡管理人員缺乏必要的專業(yè)知識���,不能安全地配置和管理網(wǎng)絡���;學校機房的登記管理制度不健全,允許不應進入的人進入機房����;學校師生上網(wǎng)身份無法唯一識別,不能有效的規(guī)范和約束師生的非法訪問行為����;缺乏統(tǒng)一的網(wǎng)絡出口、網(wǎng)絡管理軟件和網(wǎng)絡監(jiān)控���、日志系統(tǒng)���,使學校的網(wǎng)絡管理混亂��;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志���;計算機安裝還原卡或使用還原軟件�����,關機后啟動即恢復到初始狀態(tài)��,這些導致校園網(wǎng)形成很大的安全漏洞���。
(三)學校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡事件就是由系統(tǒng)的“漏洞”及“后門”所造成的���。網(wǎng)絡中所使用的網(wǎng)管設備和軟件絕大多數(shù)是舶來品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設置時可能存在各種不合理操作�,在網(wǎng)絡上運行時,這些網(wǎng)絡系統(tǒng)和接口都相應增加網(wǎng)絡的不安全因素�。
(四)計算機病毒、網(wǎng)絡病毒泛濫�����,造成網(wǎng)絡性能急劇下降�,重要數(shù)據(jù)丟失
網(wǎng)絡病毒是指病毒突破網(wǎng)絡的安全性��,傳播到網(wǎng)絡服務器�,進而在整個網(wǎng)絡上感染�,危害極大。感染計算機病毒����、蠕蟲和木馬程序是最突出的網(wǎng)絡安全情況,遭到端口掃描���、黑客攻擊���、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學生對文件下載���、電子郵件�����、QQ聊天的廣泛使用�����,使得校園網(wǎng)內病毒泛濫�����。計算機病毒是一種人為編制的程序�����,它具有傳染性����、隱蔽性�����、激發(fā)性��、復制性�、破壞性等特點。它的破壞性是巨大的�,一旦學校網(wǎng)絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網(wǎng)絡�����,只要網(wǎng)絡中有幾臺電腦中毒��,就會堵塞出口,導致網(wǎng)絡的“拒絕服務”��,嚴重時會造成網(wǎng)絡癱瘓�。《參考消息》1989年8月2日刊登的一則評論��,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段�����,計算機病毒名列第二�����,這給未來的信息系統(tǒng)投上了一層陰影����。從近期的“熊貓燒香”、“灰鴿子”�、“仇英”、“艾妮”等網(wǎng)絡病毒的爆發(fā)中可以看出�����,網(wǎng)絡病毒的防范任務越來越嚴峻。
綜上所述�����,學校校園網(wǎng)絡的安全形勢非常嚴峻����,在這種情況下,學校如何能夠保證網(wǎng)絡的安全運行��,同時又能提供豐富的網(wǎng)絡資源��,保障辦公�����、教學以及學生上網(wǎng)的多種需求成為了一個難題��。根據(jù)校園網(wǎng)絡面臨的安全問題�,文章提出以下校園網(wǎng)絡安全防范措施����。
二、校園網(wǎng)絡的主要防范措施
(一)服務器
學校在建校園網(wǎng)絡之時配置一臺服務器��,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務器上執(zhí)行服務的軟件應用程序���,對服務器進行一些必要的設置����。校園網(wǎng)內用戶訪問Internet都是通過服務器���,服務器會檢查用戶的訪問請求是否符合規(guī)定���,才會到被用戶訪問的站點取回所需信息再轉發(fā)給用戶。這樣���,既保護內網(wǎng)資源不被外部非授權用戶非法訪問或破壞����,也可以阻止內部用戶對外部不良資源的濫用�����,外部網(wǎng)絡只能看到該服務器而無法獲知內部網(wǎng)絡上的任何計算機信息��,整個校園網(wǎng)絡只有服務器是可見的���,從而大大增強了校園網(wǎng)絡的安全性(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡技術和信息安全技術基礎上的應用性安全技術產品�����,是一種使用較早的�、也是目前使用較廣泛的網(wǎng)絡安全防范產品之一。它是軟件或硬件設備的組合���,通常被用來進行網(wǎng)絡安全邊界的防護�。防火墻通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理�����,在網(wǎng)絡間建立一個安全網(wǎng)關�,對網(wǎng)絡數(shù)據(jù)進行過濾(允許/拒絕),控制數(shù)據(jù)包的進出����,封堵某些禁止行為�����,提供網(wǎng)絡使用狀況(網(wǎng)絡數(shù)據(jù)的實時/事后分析及處理���,網(wǎng)絡數(shù)據(jù)流動情況的監(jiān)控分析���,通過日志分析�,獲取時間��、地址��、協(xié)議和流量���,網(wǎng)絡是否受到監(jiān)視和攻擊)�,對網(wǎng)絡攻擊行為進行檢測和告警等等��,最大限度地防止惡意或非法訪問存取�,有效的阻止破壞者對計算機系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應用服務系統(tǒng)的安全工作�����。(三)防治網(wǎng)絡病毒
校園網(wǎng)絡的安全必須在整個校園網(wǎng)絡內形成完整的病毒防御體系�����,建立一整套網(wǎng)絡軟件及硬件的維護制度�����,定期對各工作站進行維護,對操作系統(tǒng)和網(wǎng)絡系統(tǒng)軟件采取安全保密措施��。為了實現(xiàn)在整個內網(wǎng)杜絕病毒的感染�、傳播和發(fā)作,學校應在網(wǎng)內有可能感染和傳播病毒的地方采用相應的防病毒手段����,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡版��,對病毒進行定時的掃描檢測及漏洞修復��,定時升級文件并查毒殺毒���,使整個校園網(wǎng)絡有防病毒能力��。
(四)口令加密和訪問控制
校園網(wǎng)絡管理員通過對校園師生用戶設置用戶名和口令加密驗證��,加強對網(wǎng)絡的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內部網(wǎng)絡設備路由器�、交換機、防火墻�����、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限���、口令字等安全保密措施��,用戶只能在其權限內進行操作�����,合理設置網(wǎng)絡共享文件��,對各工作站的網(wǎng)絡軟件文件屬性可采取隱含���、只讀等加密措施,建立嚴格的網(wǎng)絡安全日志和審查系統(tǒng)����,建立詳細的用戶信息數(shù)據(jù)庫、網(wǎng)絡主機登錄日志�����、交換機及路由器日志�、網(wǎng)絡服務器日志����、內部用戶非法活動日志等�����,定時對其進行審查分析�,及時發(fā)現(xiàn)和解決網(wǎng)絡中發(fā)生的安全事故,有效地保護網(wǎng)絡安全�����。
(五)VLAN(虛擬局域網(wǎng))技術
VLAN(虛擬局域網(wǎng))技術���,是指在交換局域網(wǎng)的基礎上���,采用網(wǎng)絡管理軟件構建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡��。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡分段��。學校要將不同類型的用戶劃分在不同的VLAN中���,將校園網(wǎng)絡劃分成幾個子網(wǎng)����。將用戶限制在其所在的VLAN里��,防止各用戶之間隨意訪問資源���。各個子網(wǎng)間通過路由器�����、交換機��、網(wǎng)關或防火墻等設備進行連接����,網(wǎng)絡管理員借助VLAN技
術管理整個網(wǎng)絡�,通過設置命令,對每個子網(wǎng)進行單獨管理���,根據(jù)特定需要隔離故障��,阻止非法用戶非法訪問�����,防止網(wǎng)絡病毒�����、木馬程序��,從而在整個網(wǎng)絡環(huán)境下����,計算機能安全運行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段�����,但仍會有突發(fā)事件給網(wǎng)絡系統(tǒng)帶來不可預知的災難����,對網(wǎng)絡系統(tǒng)軟件應該有專人管理,定期做好服務器系統(tǒng)�、網(wǎng)絡通信系統(tǒng)、應用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作����,并建立網(wǎng)絡資源表和網(wǎng)絡設備檔案,對網(wǎng)上各工作站的資源分配情況、故障情況����、維修記錄分別記錄在網(wǎng)絡資源表和網(wǎng)絡設備檔案上。這些都是保證網(wǎng)絡系統(tǒng)正常運行的重要手段�����。
(七)入侵檢測系統(tǒng)(IntrusionDetectionSystem�,IDS)
IDS是一種網(wǎng)絡安全系統(tǒng)����,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡甚至計算機系統(tǒng)時�,IDS能檢測和發(fā)現(xiàn)入侵行為并報警,通知網(wǎng)絡采取措施響應�。即使被入侵攻擊,IDS收集入侵攻擊的相關信息���,記錄事件����,自動阻斷通信連接���,重置路由器����、防火墻,同時及時發(fā)現(xiàn)并提出解決方案�,列出可參考的網(wǎng)絡和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強系統(tǒng)的防范能力���,避免系統(tǒng)再次受到入侵�。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術���,提供了對內部攻擊��、外部攻擊和誤操作的實時保護�,在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵��,大大提高了網(wǎng)絡的安全性�����。
(八)增強網(wǎng)絡安全意識�����、健全學校統(tǒng)一規(guī)范管理制度
根據(jù)學校實際情況,對師生進行網(wǎng)絡安全防范意識教育�,使他們具備基本的網(wǎng)絡安全知識。制定相關的網(wǎng)絡安全管理制度(網(wǎng)絡操作使用規(guī)程���、人員出入機房管理制度�、工作人員操作規(guī)程和保密制度等)��。安排專人負責校園網(wǎng)絡的安全保護管理工作����,對學校專業(yè)技術人員定期進行安全教育和培訓�,提高工作人員的網(wǎng)絡安全的警惕性和自覺性,并安排專業(yè)技術人員定期對校園網(wǎng)進行維護���。
三���、結論
校園網(wǎng)的安全問題是一個較為復雜的系統(tǒng)工程,長期以來�,從病毒、黑客與防范措施的發(fā)展來看����,總是“道高一尺����,魔高一丈”��,沒有絕對安全的網(wǎng)絡系統(tǒng)�����,只有通過綜合運用多項措施�,加強管理,建立一套真正適合校園網(wǎng)絡的安全體系���,提高校園網(wǎng)絡的安全防范能力���。
參考文獻:
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡安全[M].清華大學出版社,2006.
2�、張公忠.現(xiàn)代網(wǎng)絡技術教程[M].清華大學出版社,2004.
3、劉清山.網(wǎng)絡安全措施[M].電子工業(yè)出版社,2000.
4����、謝希仁.計算機網(wǎng)絡[M].大連理工大學出版社,2000.
5、張冬梅.網(wǎng)絡信息安全的威脅與防范[J].湖南財經(jīng)高等??茖W校學報,2002(8).
6、李衛(wèi).計算機網(wǎng)絡安全與管理[M].清華大學出版社,2004.
第6篇
網(wǎng)絡系統(tǒng)構建之前���,首選需要弄清楚的就是網(wǎng)絡安全運行需求���,這是后期制定安全運行方案的基礎和前提���。一般情況下,校園網(wǎng)絡安全需求主要涉及到以下幾個方面內容:其一���,在網(wǎng)絡互聯(lián)的基礎上保證通訊處于安全狀態(tài)��,這是最基本的要求����;其二�,服務器系統(tǒng)安全檢測��,評估效能的發(fā)揮��,能夠對于不安全行為進行阻擋���,以保證系統(tǒng)的安全運行���;其三����,應用系統(tǒng)的安全性需求���,也就是說關鍵應用系統(tǒng)能夠在認證管理下��,形成防病毒體系�,保證各個入口的安全連接��;其四����,業(yè)務系統(tǒng)的安全需求,避免網(wǎng)絡內部其他系統(tǒng)對于業(yè)務系統(tǒng)造成危害�;其五,健全的校園網(wǎng)絡安全管理規(guī)章���,保證校園網(wǎng)的安全運行���。
2校園網(wǎng)絡安全總體設計思路
針對于校園網(wǎng)網(wǎng)絡運行的基本需求,對于校園網(wǎng)絡安全進行規(guī)劃設計�����,并且在此基礎上構建完善的校園安全體系結構,是保證校園網(wǎng)安全性的關鍵一步���。在此過程中不僅僅需要滿足上述的安全需求��,還要對于可能出現(xiàn)的安全問題進行預警�,以保證設計體系的合理性和科學性�。具體來講,其主要設計到以下內容:其一���,以獨立的VLAN����,MAC地址綁定和ACL訪問控制列表來進行VPN網(wǎng)絡子系統(tǒng)的安全控制和管理�����,可以保證數(shù)據(jù)傳輸?shù)陌踩燃夁_到最佳水平���;其二,以網(wǎng)絡安全檢測子系統(tǒng)的構建����,并在校園網(wǎng)中WWW服務器和Email服務器進行應用�����,在此基礎上對于網(wǎng)絡傳輸內容進行監(jiān)督和管理����,并且形成相應的數(shù)據(jù)庫����,避免非法內容進入校園網(wǎng);其三���,針對于安全需求�,設置相應的安全防火墻��,以雙機設備方式去運行����,實現(xiàn)防火墻子系統(tǒng)的構建;其三��,基于控制中西和探測引擎技術構建入侵檢測子系統(tǒng)體系���,對于入侵行為進行監(jiān)督和管理���,并且將其屏蔽在網(wǎng)絡安全范圍之外�;其四�����,全面升級網(wǎng)絡系統(tǒng)的防毒系統(tǒng)��,實現(xiàn)對于客戶端PC機器的安全控制���,形成統(tǒng)一的防毒服務器���;其五,建立有效的漏洞掃描系統(tǒng)�,實現(xiàn)自動修復和檢查漏洞,保證補丁工作的全面開展�;其六,針對于校園內部的侵襲行為�,可以以建立內部子網(wǎng)審計功能的方式去實現(xiàn)內部網(wǎng)絡運行質量的提高;其七���,建立健全完善的校園網(wǎng)安全運行管理制度體系,為開展一切安全管理工作打下基礎。
3整體構建校園網(wǎng)絡安全體系的實現(xiàn)途徑
校園網(wǎng)絡安全體系涉及到多方面的內容��,一般情況下會將其歸結為物理層���,鏈路層��,網(wǎng)絡層��,應用層等幾個方面��。
3.1物理層安全體系實現(xiàn)途徑物理層的安全性能主要針對于線路的破壞�,線路的竊聽���,物理通路的干擾等安全缺陷問題��。對此�����,需要做好以下工作:其一��,采用雙網(wǎng)結構作為拓撲網(wǎng)絡結構方式�,內外網(wǎng)使用不同的服務器����,實現(xiàn)不同信道的運行�����,使得信息處于不同的高度路上運轉��,不僅僅可以營造安全的運行狀態(tài)�,還可以使得系統(tǒng)運行壓力降低�����;其二�,以雙網(wǎng)物理隔離的方式去實現(xiàn)內外網(wǎng)布線系統(tǒng)的構建,從根本上杜絕了黑客入侵的可能性���,同時還合理設置��,避免出現(xiàn)內外網(wǎng)同時使用的情況�。
3.2鏈路層安全體系實現(xiàn)途徑鏈路層安全體系構建是保證網(wǎng)絡鏈路傳送數(shù)據(jù)安全性為根本性目的��,主要使用的技術手段有局域網(wǎng)和加密通訊手段�。具體來講,其一�����,在交換機配置端口安全選項中�,盡量將CAM表進行淹沒;其二��,在中繼端口實現(xiàn)VLANID的專業(yè)化設置��,保證端口設置成為非中繼模式�;其三,進行MAC地址綁定設置��,避免出現(xiàn)IP地址被盜用��。
3.3網(wǎng)絡層安全體系實現(xiàn)途徑網(wǎng)絡層安全體系構建�����,主要是保證網(wǎng)絡時能給授予權限的客戶使用���,避免出現(xiàn)攔截或者監(jiān)聽的情況����。為了實現(xiàn)這樣的目標���,應該從以下幾個角度入手:其一����,設置硬件防火墻,運行訪問控制技術程序����,一旦遇到安全問題,使得其處于隔離狀態(tài)����;其二,網(wǎng)絡入侵檢測系統(tǒng)IDS的使用��,能夠對于網(wǎng)絡入侵行為進行監(jiān)督�����,由此構建起來第二道安全閘門����;其三,在路由交換設備上進行安全技術應用���,如VPN技術�����,加密機制及時��,審計和監(jiān)控技術等��,都是其重要內容��。
3.4應用層安全體系的實現(xiàn)途徑對于應用層來講��,其安全體系的構建需要做到以下幾點:其一����,建立網(wǎng)絡病毒防火墻�,避免內外病毒對于網(wǎng)絡文件系統(tǒng)的破壞;其二���,設置服務器����,盡可能的保護自己的IP地址���;其三����,構建操作系統(tǒng)補丁自動分發(fā)系統(tǒng),保證能夠及時的進行安全漏洞的修復��;其四���,積極開展認證和授權管理工作����,對于多重身份認證和用戶角色授權進行審計�,以保證系統(tǒng)的安全性。
4結束語
第7篇
關鍵詞:SNMP�����;RRDTOOL����;CACTI;流量監(jiān)控
1引言
隨著網(wǎng)絡技術的迅速發(fā)展和各種網(wǎng)絡業(yè)務應用的普及,用戶對網(wǎng)絡資源的需求不斷增長,網(wǎng)絡已成為人們日常工作生活中不可或缺的信息承載工具,同時人們對網(wǎng)絡性能的要求也越高,在眾多影響網(wǎng)絡性能的因素中網(wǎng)絡流量是最為重要的因素之一,它包含了用戶利用網(wǎng)絡進行活動的所有的信息�。通過對網(wǎng)絡流量的監(jiān)測分析,可以為網(wǎng)絡的運行和維護提供重要信息,對于網(wǎng)絡性能分析��、異常監(jiān)測���、鏈路狀態(tài)監(jiān)測��、容量規(guī)劃等發(fā)揮著重要作用����。
SNMP(簡單網(wǎng)絡維護管理協(xié)議)是Internet工程任務組(IETF)在SGMP基礎上開發(fā)的,SNMP是由一系列協(xié)議組和規(guī)范組成的,SNMP的體系結構包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息庫(MIB)�。每個支持SNMP的網(wǎng)絡設備中都包含一個,不斷地收集統(tǒng)計數(shù)據(jù),并把這些數(shù)據(jù)記錄到一個管理信息庫(MIB)中,網(wǎng)絡維護管理程序再通過SNMP通信協(xié)議查詢或修改所紀錄的信息。從被管理設備中收集數(shù)據(jù)有兩種方法:輪詢方法和基于中斷的方法���。SNMP最大的特點是簡單性,容易實現(xiàn)且成本低,利用SNMP協(xié)議能夠對被監(jiān)視的各個網(wǎng)絡端口輸入字節(jié)數(shù)、輸入非廣播包數(shù)���、輸入廣播包數(shù)�、輸入包丟棄數(shù)�、輸入包錯誤數(shù)、輸入未知協(xié)議包數(shù)��、輸出字節(jié)數(shù)�、輸出非廣播包數(shù)、輸出廣播包數(shù)��、輸出包丟棄數(shù)�、輸出包錯誤數(shù)����、輸出隊長等進行采集���。
2RRDTOOL的工作原理
RRDTOOL代表“RoundRobinDatabasetool”���,是TobiasOetiker設計的一個基于Perl的功能強大的數(shù)據(jù)儲存和圖形生成工具,最初設計目的是為流量統(tǒng)計分析工具MRTG提供更好的數(shù)據(jù)存儲性能和更強的圖形生成功能。所謂的“RoundRobin”其實是一種存儲數(shù)據(jù)的方式��,使用固定大小的空間來存儲數(shù)據(jù)��,并有一個指針指向最新的數(shù)據(jù)的位置�。我們可以把用于存儲數(shù)據(jù)的數(shù)據(jù)庫的空間看成一個圓,上面有很多刻度��。這些刻度所在的位置就代表用于存儲數(shù)據(jù)的地方��。所謂指針����,可以認為是從圓心指向這些刻度的一條直線。指針會隨著數(shù)據(jù)的讀寫操作自動移動�。要注意的是,這個圓沒有起點和終點,所以指針可以一直移動��,而不用擔心到達終點后就無法前進的問題����。在一段時間后,當所有的空間都存滿了數(shù)據(jù)�,就又從頭開始存放。這樣整個存儲空間的大小就是一個固定的數(shù)值���。所以RRDtool就是使用類似的方式來存放數(shù)據(jù)的工具�,RRDtool所使用的數(shù)據(jù)庫文件的后綴名是''''.rrd''''�����。
和其它數(shù)據(jù)庫工具相比�����,它具有如下特點:
首先RRDtool存儲數(shù)據(jù)��,扮演了一個后臺工具的角色�。但同時RRDtool又允許創(chuàng)建圖表�����,這使得RRDtool看起來又像是前端工具。其他的數(shù)據(jù)庫只能存儲數(shù)據(jù)����,不能創(chuàng)建圖表。
RRDtool的每個rrd文件的大小是固定的�,而普通的數(shù)據(jù)庫文件的大小是隨著時間而增加的。
其他數(shù)據(jù)庫只是被動的接受數(shù)據(jù)�,RRDtool可以對收到的數(shù)據(jù)進行計算,例如前后兩個數(shù)據(jù)的變化程度(rateofchange)����,并存儲該結果。
RRDtool要求定時獲取數(shù)據(jù)�����,其他數(shù)據(jù)庫則沒有該要求�。如果在一個時間間隔內(heartbeat)沒有收到值,則會用UNKN代替�,其他數(shù)據(jù)庫則不會這樣做。
3監(jiān)測系統(tǒng)的安裝與配置
(1)配置路由器和交換機:
開始配置RRDTool之前,必須對需要監(jiān)測的網(wǎng)絡及設備進行良好的規(guī)劃�����、設計與配置,包括配置設備互聯(lián)地址、網(wǎng)管地址及路由,保證流量監(jiān)測計算機可以與被監(jiān)測設備網(wǎng)絡層的互通;配置SNMP通信字符串和端口號,掌握需要的監(jiān)測對象號(SNMPOID),確保流量監(jiān)測計算機可以獲取正確的SNMP信息��。在路由器和交換機上啟動SNMP,并設置只讀團體名��。命令如下:
(config)#snmp-serverenabletraps
(config)#snmp-servercommunitytestro
(2)安裝配置RRDTool:
我們以Debian平臺來安裝配置RRDTOOL系統(tǒng),在安裝RRDTOOL前首先要安裝支持RRDTOOL運行的環(huán)境:Zlib��、libart_lgpl���、cgilib�����、Libpng����、freetype軟件包����。
①安裝apache���、mysql���、php:apt-getinstallapache2php4mysql-serverphp4-mysql;安裝成功后通過瀏覽器訪問客戶器,可以得到“Itworks�����!”的提示��;利用mysqladmin工具給mysql添加好管理員密碼���。
②安裝RRDTOOL:apt-getinstallrrdtool�����。
③安裝NET-SNMP:apt-getinstallsnmp�。
④安裝Cacti:apt-getinstallcacti����,在安裝過程中會提示你輸入mysql管理員密碼和cacti數(shù)據(jù)庫管理員密碼。
(3)系統(tǒng)配置:
安裝好系統(tǒng)后就要進行簡單的初始化和配置����,步驟如下:
①訪問x.x.x.x/cacti,按照向導提示進行cacti的初始化安裝��;
②利用crontab-e添加計劃任務:
*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1
③利用cacti進行設備的添加�����;
④利用cacti進行繪圖管理。
cacti其實是一套php程序�����,它運用snmpget采集數(shù)據(jù)���,使用rrdtool繪圖��。它的界面非常漂亮�,能讓你根本無需明白rrdtool的參數(shù)能輕易的繪出漂亮的圖形���。更難能可貴的是���,它提供了強大的數(shù)據(jù)管理和用戶管理功能,一張圖是屬于一個host的���,每一個host又可以掛載到一個樹狀的結構上����。用戶的管理上���,作為一個開源軟件�����,它居然做到為指定一個用戶能查看的“樹”�����、host����、甚至每一張圖����,還可以與LDAP結合進行用戶的驗證!我不由得佩服作者考慮的周到�����!Cacti還提供自己增加模板的功能�����,讓你添加自己的snmp_query和script���!可以說��,cacti將rrdtool的所有“缺點”都補足了�����!
網(wǎng)絡地圖
