高校信息安全運維精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的高校信息安全運維主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:高校信息安全運維范文
近年來,隨著我國社會經濟的不斷發展,國家對教育事業的支持和投入不斷增加,我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段,為教育模式的創新、先進教育理念提供了可靠的實現方法。
高校信息化主要以數字化校園建設為主,主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等;大學數字化校園建設通常先提出總體解決方案,確定數字化校園的體系結構,制定數字化校園的信息標準,以及各系統之間的接口標準,然后分階段實施。建立全校的網絡安全體系,保證校園網絡的安全,保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全,實現校園網絡及其應用系統的安全高效運行。
1教育信息化中的安全體系建設
在教育信息化建設過程中,信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系,對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視,也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性,給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例,高校數字校園信息系統的建設是由高校業務需求驅動的,初始的建設大多沒有統一規劃,有些系統是獨立的網絡,有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統,在支撐高校業務運營、發展的同時,信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出,成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中,也曾發生不少信息安全事件,如某高校數據中心一臺服務器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網發包,導致學校網絡出口癱瘓;某高校在高招中發現網站被掛馬、篡改,并且學校內部也曾經發現學生成績的數據庫,有被惡意篡改的痕跡。
2網絡安全威脅分析
(1)高校網站的安全威脅,包括高校門戶網站、高校招生網站、二級各院系等網站,由于高考、招生、學生就業等敏感時期,聚集了大量的學生及家長訪問流量,也引起黑客的關注,高校網站面臨的主要安全威脅有:網頁被掛馬、被篡改,黑客通過SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網站的管理權限,進而篡改網頁代碼;部分攻擊者將高校網站替換成黃色網站,影響極其惡劣。每年高考招生及高校重要節日期間,高校門戶網站極易被DDOS攻擊,這種由互聯網上發起的大量同時訪問會話,導致高校網站負載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后,以該服務器為跳板,對內網進行探測掃描,發起攻擊,對內網核心數據造成影響。(2)隨著校園網信息化的逐步深入,業務系統眾多,“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用,而這些系統由于管理及防護不到位,面臨著較嚴重的安全威脅:業務系統缺乏必要的入侵防護手段,高校網絡規模擴張迅速,網絡帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足,沒有條件管理和維護數萬臺計算機的安全,一旦受到黑客攻擊,無法阻斷攻擊并發現攻擊源;部分高校“一卡通”充值系統與銀行互聯,邊界缺乏必要的隔離和審計措施,出現問題不方便定位,難以追查取證;校園網數據中心內的系統應用眾多、服務器眾多,管理及維護方式也不盡相同,無法做到所有的系統實施統一的漏洞管理政策。同時,對于存在安全隱患的配置檢查,也缺乏自動化的高效檢查工具和控制手段;業務系統權限控制不合理,有安全隱患。
3需求分析
根據對高校校園網絡的威脅分析,得出在校園網絡安全體系建設中,各個網絡區域和業務系統的安全需求如下:
(1)校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗,保證網絡出口的暢通,保證骨干鏈路的負載處于正常范圍之內。(2)網絡出口鏈路應有相應措施,對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。(3)DMZ區及內網服務器區出口鏈路上,應對針對WEB應用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。(4)應對流經核心交換區域的所有流量進行深入的檢測,以識別內部各網絡區域之間發生的入侵事件和可疑行為。(5)應對內網用戶的網絡行為,如公網訪問、數據庫訪問等進行全面的記錄和審計,以滿足違規事件發生后的追查取證。(6)應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。
應對全網的網絡節點進行漏洞風險管理,實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。(7)應對全網的網絡節點進行配置合規管理,實現違規配置及時識別、配置整改全面深入、配置風險全程可控。(8)應對運維管理人員進行詳細嚴格的權限劃分,并通過技術手段控制運維行為權限,對運維行為進行全程審計,對違規運維操作進行實時告警。
4遵循等保要求
2009年11月,教育部為進一步加強教育系統信息安全工作,由辦公廳印發《關于開展信息系統安全等級保護工作的通知》(教辦廳函[2009]80號),決定在教育系統全面開展信息安全等級保護工作;等級保護不僅是對信息安全產品或系統的檢測、評估以及定級,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合,設計一套符合高校需求的信息安全保障體系,是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。
5網絡安全建設方案
(1)在校園網出口處旁路部署抗拒絕服務攻擊系統(ADS)對拒絕服務攻擊流量進行清洗,并且旁路部署網絡流量分析系統(NTA)對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下,旁路部署的ADS不參與網絡出口流量的路由和交換,邊界路由器通過NETFLOW等技術將流量信息發送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時,NTA將激活ADS,由ADS向邊界路由器發送針對特定防護目標IP的路由,將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發送至目標IP。(2)在出口鏈路部署入侵防護系統,對接入互聯網的訪問流量進行深入過濾,有效抵御源自公網的入侵威脅,消除安全風險。(3)在DMZ區和內網服務器出口處部署WEB應用防火墻,對服務器區的WEB服務器進行全方面的防護,對針對WEB站點的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。(4)在核心交換區旁路部署安全審計系統,通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路,實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略,對違反審計策略的網絡行為進行實時告警。此外,安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發,并實時收集網絡時間日志和告警信息。(5)在核心交換區域的出口鏈路部署下一代防火墻,實現出口鏈路的流量檢測和安全過濾,保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻,通過下一代防火墻對應用層攻擊、病毒進行全面阻斷,可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制,保證不同網絡區域之間的安全防護邊界完整。同時,通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。
第2篇:高校信息安全運維范文
關鍵詞:運維概念;系統運維;體系建設;監控手段;模塊構建
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)28-0032-02
Analysis on the Construction of IT Operation and Maintenance System in Colleges and Universities
JIN Tian-xin
(Wuxi Urban Vocational College, Wuxi 214153, China)
Abstract: With the continuous advance of information system project construction, information system operation and maintenance management has become the important work of information construction. Based on their own experience in the operation and maintenance work, from the module settings, content determination, monitoring and other aspects, to explore the establishment of IT operation and maintenance system.
Key words: operation and maintenance concept; system operation and maintenance:system construction; monitoring method: module construction
經過國家十二五期間的快速發展,高校信息化建設普遍達到一個新的高度,千兆骨干帶寬、無線網絡覆蓋、三大平臺集成、信息化應用擴展等都已經或正在走進校園,由此必然帶來,對這個龐大系統的運行維護提出更高的要求。然而,目前國內大多數普通高校,只能從解決問題的角度出發,按照基本需求進行運維建設,工作模式宛如救火隊,從而無法高質量的滿足信息系統運維的要求。本文將就這個方面的工作進行一個梳理,談一下自己的體會和感悟,為廣大同行提供一個參考。
1 IT運維概念
一般地講,IT運維是指:高校信息化技術部門,通過采用組建相關隊伍,運用技術手
段、制定制度流程等措施,對信息化系統里的網絡系統、IT業務系統進行監控、升級、維修、服務,以實現全系統的可靠運行及信息安全。
2 IT運維的內容
IT運維的內容龐雜多樣,對這些內容進行一下梳理,有利于我們開展運維系統建設。經查閱相關資料,及結合自身的工作經驗,認為it運維對象一般包括以下內容:
2.1硬件維護
網絡設備、服務器設備、存儲設備、線纜、環境設備、動力設備、安保設備等,對這些對象的運維工作主要是,對設備的運行狀況進行監控并對發生的故障進行修復,以及擴容、升級、更新等的操作;采用的技術手段,從傳統的發現故障再排除故障,發展到現在的搭建監控平臺,對硬件設備的運行狀態進行不間斷的實時檢測,一旦其運行參數超過報警設定值,即可發出警告,甚至可以在用戶無感知的情況下提前發現隱患,無需用戶報修就啟動維修流程,大大減少以后對故障的感知次數,提高滿意度。
2.2系統維護
對各種應用系統平臺(數據庫、中間件、群件以及各種通用或特定服務)的運行狀態進行監控,如郵件系統、DNS、Web、教務系統等;對這類資源的監控,除了人工手段外,還可以搭建一些對訪問內容自動進行檢測的平臺,以提高監控工作的效率。
2.3數據維護
對系統和業務數據進行存儲、備份或恢復;這項工作對技術人員提出了較高的要求,需要對數據庫服務器的硬件結構、操作系統的搭建、數據庫的部署、RAID構建策略、數據恢復機制、數據庫運行原理等都有清晰的理解,是需要人工和輔助工具緊密配合,才能完成好的一項工作。
2.4安全維護
包含網絡運行安全、物理與環境安全、通信與運營安全、信息與系統安全等;此項工作是it運維里一個非常重要的內容,是技術部門經常面對的一個難點。由于互聯網技術的發展,黑客攻擊的情況發生的越來越普遍,雖然也促進了高校在安全維護方面的制度建設、硬件投入和隊伍培養,但由于安全防護的技術要求太高,高校很難配備高水平的安全人員,所以大多數高校采用安全設備+外包協助的模式進行,實現了較好的防護效果。
3 科學、規范、高效的IT運維系統的建立
運維系統建設,國外已有較多的研究成果,從上世紀90年代開始發展起來的it治理的概念,以及由此發展起來的幾個治理模型,比如,COSO-ERM 框架、ISO38500 標準、COBIT 模型、英國 ITIL/ BS15000/ ISO20000 標準、ISO27001 標準(引用魯佳),都已廣為傳播。其中ITIL被國內相關單位研究和應用的相對較多,為廣大it運維從業人員提供了一個規范、全面、可量化的參考標準。本文參考ITIL,就運維系統的建設,進行一些思考。
3.1運維體系建設應遵循的原則
1)快速處理原則,運維問題的核心是排除故障,所以,無論是事后發現、還是事前預見,都要求在最短時間內解決故障,快速是核心要求。
2)預見性原則,根據經驗,對可能出現的排故流程進行事前設計及演練,以確保在故障、問題出現時,搶修工作能有條不紊的進行,減少故障存在時間,將故障代價減到最小;
3)運維分層原則,使用問題或故障也分大小,為快速反應,不應把維修隊伍局限于信息化部門,應在各部門設立信息員,以進行日常的簡單的故障處理,實現從信息員到對口部門,再到專業廠商的運維隊伍梯隊;
4)正反饋原則,運維中出現的新問題或排除故障的新方法、新舉措要用來完善運維系統舊的流程,使系統建設不斷進步。
3.2運維體系建設應包含的模塊
信息系統運維體系中,運維技術支撐平臺的建設是重中之重。它承載著狀態監控、信息匯集、調度實施等功能。平臺建設建議包含以下內容:
1)報修受理模塊:該模塊是IT運維部門和普通用戶之間的重要紐帶。它通過提供一個固定的渠道,來開啟服務的流程。報修受理模塊的主要目標是協調用戶和IT部門之間的聯系,能實現故障信息歸口受理,內部轉達,不要客戶打第二次電話;內部做好故障處理經過記錄,以進一步完善服務和排故流程。
2)設備監控模塊:要建設一個高效的運維系統,必須有一個強大的可視化的實時監控平臺做技術支撐,才能提升運維體系的效能。監控平臺的部署是今后高校運維發展的必然趨式。可以進行這類檢測的軟件系統有HP、OpenView、 IBM Tivoli、 CA Unicenter和BMC Patrol這四家老牌商業軟件,還有如銳捷、華三等國內網絡新銳開發的系統監控平臺等。利用這些軟件,可以通過圖形化界面,對眾多it設備的外部溫濕度、帶寬、內存、存儲空間等各類資源的利用率、網絡的配置和狀態等進行監控,從而讓管理人員更早的發現故障,讓維護的響應速度得到大幅度提高。
3)過程管理模塊:該模塊關注排故過程的合理性和流程度,負責跟蹤、記錄和調度維護經過,監督整個故障排除的過程,直至故障得到真正的解決。過程管理的目的,是盡可能縮短維修流程,并在實踐中不斷優化維修流程,不斷提高排故效率。
4)故障管理模塊:故障管理模塊關注的是兩個方面,一是解決故障的速度及成本,通過合理組織維修、采購、外聯等幾個因素,力爭以最優方式排除故障;二是掌握產生故障的深層次原因及其排除。是通過調查和分析,在IT系統的建設是否合理等層面去鎖定故障產生的根本原因,并從系統層面去排除隱患,根除已發生故障或類似故障的再發生條件。
5)配置變更模塊:配置變更模塊的關注對象是所有軟硬件設備及系統的配置方面的優化和調整,核心內容是配置信息庫和配置變更流程,檢測配置項的正確性和完整性,其目標是確保IT系統架構的邏輯穩定,并支持其他管理流程的運作。
6)調整管理模塊:當故障發生,一定是信息化系統中某個部分出現問題,調整管理模塊是在故障排除后,對it系統的建設架構的任一方面進行調整優化的管理。其目標是確保在調整實施過程中,確保方法和步驟的規范,盡快地完成調整,使調整所導致的業務中斷對用戶的影響減到最小。
7)隊伍建設模塊:運維工作中所涉及的技術手段和制度、流程等,都需要人來實施,所以培養一支責任心強、行事嚴謹、團結和諧、善于學習的技術隊伍,是運維工作成功與否的重要組織保證。管理的重點內容應包含對運維管理及技術人員科學地評價、獎懲機制,既提高團隊戰斗力,又提升用戶滿意度,是確保運維體系發揮效力的基礎。
8)制度建設模塊:在運維制度建設過程中,應建立一套科學的、人性化的規章制度,如人事制度、應急措施、獎懲辦法、經驗庫建設方案等,以保障運維體系切實具有強壯性、高效性。保證前述的各個模塊合理運行,完成整合,實現高校信息化的建設目標,使信息化建設成果真正為高校的運行出力。
4 結束語
運維工作實踐表明,只有建立一個規范、科學、高效的IT運維系統,才能確保其穩健高效的運行,并持續發揮投資效益,和建設一個新的信息系統相比,這無疑具有更大的挑戰性。運維體系的建立,就是為了克服傳統頭痛醫頭腳疼醫腳的運維模式,是將運維工作提升到系統規范的新階段的必然手段。本文就IT運維的系統建設,做了一些淺顯的討論,還有許多地方需要今后進一步深入研究,以適應不斷發展變化的信息化運維工作的需求。
參考文獻:
[1] 何海濤.數字校園亟需建立IT運維管理體系[J].中國教育網絡,2007(8):58-60.
[2] 張四海,張萬光.高校IT運維服務面臨的挑戰與機遇[J].中山大學學報. 自然科學版,2009(S1):235-237.
[3] 何秀全.高校信息化中的 IT 外包及其風險管理研究[D]. 上海外國語大學,2012.
[4] 陳慶林. 信息系統運維探索及實踐[J].信息與電腦.軟件開發與設計版,2013(2):51-52.
[5]雒樹靜.盛曉光.施家元.淺談加強高校信息化專業隊伍建設和管理[J]. 中國現代教育裝備, 2010(3):16-18.
[6]李娟.張寶昌.關于高校教育信息建設的思考[J].網絡財富,2010(9):25,29.
第3篇:高校信息安全運維范文
關鍵詞:服務器運維;安全審計;日志查詢
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)16-3734-03
Abstract: With the improvement of social information, a variety of servers, switches, routers and other hardware devices are more and more, we need to build the centralized maintenance for management and audit the system permissions, We need to standardize the operating behavior of the servers, and upgrade information system operation and maintenance operation of regulatory capacity, improve the network and information security management.
Key words: server maintenance;security audit ; log query
信息化是當今經濟社會發展的大趨勢,信息化水平的高低,已經成為衡量一個高等學校競爭力的重要因素。隨著計算機技術、網絡技術和通信技術的發展和應用,高校信息化已成為高校實現可持續化發展和提高市場競爭力的重要保障。
1 服務器安全審計系統的研究意義
在高校信息化建設的過程中,逐步的配置了大量的服務器、網絡設備,而針對這些設備運用、維護、管理和數據保護等等這些問題,都是非常重要的。運用目前廣泛使用的遠程登錄方式,不需要直接跑到機房,通過 PC 機就可以進行應用系統、數據庫、網絡設備、服務器的配置、修改、上線等,過程簡單便利,但也帶來了很多安全隱患問題。
1)密碼管理:所有管理人員通過口口相傳的方式得知設備帳號和密碼,非常容易讓人非法獲得設備帳號和密碼,從而對網絡設備進行非法訪問和攻擊,導致敏感數據被竊取或破壞。
2)對設備的操作:管理人員對網絡設備的操作過程使用手寫筆記記錄,無法知道運維人員的筆記可信性和完整性,從而無法知道運維人員對網絡設備的運維操作情況,出現故障也無法跟蹤責任人。
3)管理人員權限:缺乏網絡設備授權平臺,容易導致管理人員越權訪問,非法操作等,增大了信息泄密風險。對用戶的操作行為難以評估。
4)安全審計:網絡設備缺乏審計系統,會造成設備被非法操作、誤操作無法阻斷,對于安全事件,因為缺乏審計記錄,事后也無法檢查、監督。
所以,對校園網絡運維具有以下迫切需求:
?有效保護校園網內部服務器重要保密數據不被竊取和修改;
?解決共享帳號密碼的問題,使操作者與操作行為一一對應;
?簡化密碼管理,提高密碼管理的安全性;
?集中管理各種操作行為,提高操作管理效率;
?有效監管管理員或者設備廠商/代維廠商對設備的操作;
?有效審計操作行為(實時監控、真實記錄、查詢回放、非法操作阻斷);
針對這些運維安全問題應運而生的運維安全審計系統,它是一款通過對密碼集中管理,對每一個操作人員建立賬號,設定操作人員訪問設備權限,記錄每一位運維人員對設備的操作,并提供實時監控和回放進行審計,集認證、授權、審計為一體的信息安全系統。
2 服務器審計系統的設計和實現
2.1服務器的管理模式
目前各大高校由于工作需要購買了各種類型、數量繁多的服務器,為了安全性的考慮多數采用集中式管理,通常集中放在校園網絡中心機房,這樣可以帶來如下好處:
1) 集中管理可保證無塵環境,統一的溫度濕度控制,減少服務器故障率;
2) 集中管理可以實時查看服務器的運行狀況,及時發現故障;
3) 中心機房的不間斷電力系統,可以保證系統穩定工作;
4) 發揮中心機房網絡速度優勢,服務器上的應用能夠快速訪問;
2.2服務器審計系統設計
在服務器集中管理的狀況下,各個服務器的使用人員或者管理員,不需要來到中心機房,直接通過遠程來訪問相應的服務器,由于中心機房管理著少則幾十臺多則幾百臺服務器,有時很難判斷某臺服務器出故障時的原因,因此采取統一密碼管理制度,使用者并不知道服務器的登錄密碼,他只需要通過瀏覽器登錄到WEB頁面,輸入相應的用戶和密碼就可以實現對自己要維護的服務器進行操作管理。審計系統能夠對用戶的行為進行跟蹤記錄。
網站的設計是基于B/S架構,采用J2EE+MYSQL編程。
系統的結構,如下圖所示:
管理員登錄:可以設置各種角色,可以添加刪除用戶,對用戶進行授權或者分配服務器管理權限,添加設備、設置訪問協議,可以為設備批量添加管理人員。
一般用戶登錄:登錄后只能看到自己管理的服務器列表和已登錄的服務器日志,點擊直接進入服務器操作界面,服務器用戶名和密碼對一般用戶來說不可見,有管理員統一管理。一般用戶的操作將被服務器全程記錄,寫入日志,生成日志報表。
服務器審計:一般用戶和管理員都可以進行服務器審計,管理員可以看到所有的服務器和所有用戶的使用情況,可以訪問日志報表,查看服務器訪問記錄。服務器訪問記錄以視頻的形式錄像,管理員可以回放,然后進行異常處理。對敏感數據的操作一旦出錯,可以查找原因,對相關責任人追責。
2.3多遠程管理協議
本系統提供了 RDP、Telnet、SSH、VNC、HTTP、FTP 等協議的支持。對于Windows 系列服務器提供RDP和FTP 協議的支持;對于 Unix 或 Linux系列服務器,提供Telnet、SSH 和 VNC 協議的支持;路由器、交換機等支持其使用 Telnet、SSH 作為訪問方式。
2.3.1 RDP協議
遠程桌面協議(remote desktop protocol, RDP)是一種構建于Windows系列操作系統的終端服務網絡通信協議。它采用了典型的C/S架構,共分為兩個部分:運行在遠程設備上的客戶端和運行在服務器上的終端服務器。作為微軟公司的一個工業標準,該協議應用于Windows系列服務器。
2.3.2 Telnet協議/ SSH協議
Telnet 協議是 TCP/IP 協議族中的一員,是Internet遠程登陸服務的標準協議和主要方式,它為用戶提供了在本地計算機上完成遠程主機工作的能力。SSH為 Secure Shell 的縮寫,由IETF 的網絡工作小組(Network Working Group)所制定;SSH為建立在應用層和傳輸層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。
所以,本系統除了支持Telnet協議外,也支持較為安全的SSH協議,使其能非常好的對 Unix或Linux系統的服務器、路由器、交換機等網絡設備提供訪問和審計。
2.3.3 VNC協議
VNC 是一款優秀的遠程控制工具,VNC是在基于UNIX和Linux操作系統的軟件,遠程控制能力強大,高效實用,其性能可以和Windows中的任何遠程控制軟件媲美。為了方便對UNIX、Linux系統的圖形化XWINDOWS的訪問本系統 提供了VNC對UNIX、Linux系統服務器的訪問的支持。
2.4服務器運維安全審計
對運維人員對設備的操作過程進行全過程監控,操作人員在操作設備的過程中,任何操作都會被記錄,并提供實時監控功能,及時進行操作指導或糾正操作錯誤。在事后進行查詢,通過審計回放,讓操作過程都有跡可查。使運維人員的運維工作更輕松、機密數據更安全、安全事故責任更明確。
2.4.1審計數據的采集
把目標設備的啟動和關閉、目標設備操作系統的操作、目標設備的文件使用、一切鍵盤輸入操作等等操作過程都記錄下來,并生成完整的審計數據。審計記錄會被存在到數據庫中,方便用戶查閱、檢索,讓所有操作過程都有跡可查。
2.4.2審計數據的回放
提供完善的審計回放功能,讓系統管理員輕松完成運維監督、安全事故預防等工作。審計回放包括:圖形回放、命令回放、鍵盤輸入顯示。
2.4.3日志查閱
為系統管理員提供的可查詢日志包括:登錄日志、操作日志、審計回放日志等等。提供靈活的日志查詢設置,使系統管理員可以根據日志日期范圍、運維人員姓名、設備名稱、設備IP等條件查詢日志。
2.4.4審計日志報表
提供各種報表,包括系統使用情況、設備使用情況等生成報表,統計設備被訪問次數和訪問的時間,大大簡化了日志分析工作。系統還支持報表導出功能,導出報表的格式為Excel。
3 小結
有了服務器審計系統,就不會出現服務器長期沒有人管理的問題,不僅可以看到用戶什么時候登錄,做了些什么操作,還可以定期督促用戶做好數據備份、服務器整理、安全防護等工作。在服務器數據出問題時,可以采用視頻回放,查找非法操作或者錯誤操作的原因。還可以生成日志報表,對服務器的使用有一個全面的了解,對使用率很低的服務器可以在上面添加新的應用,負載高的服務器減少應用,達到一個負載平衡。
參考文獻:
[1] 陳剛.Eclipse從入門到精通[M].北京:北京清華大學出版社,2007.
[2] 鄔繼成.J2EE開源編程精要15講[M].北京:電子工業出版社,2008.
[3] ,周峰,孫更新. J2EE 經典案例設計與實現[M].北京:電子工業出版社,2007.
[4] 劉汝悼.計算機審計技術和方法[M].北京:清華大學出版社,2004.
第4篇:高校信息安全運維范文
關鍵詞:網絡工程專業;目標定位;師資建設
引言
近幾年,隨著網絡技術的快速發展,云計算、移動互聯網和網絡安全成為計算機網絡領域中的熱點。作為培養網絡工程技術人才的高校,如何快速適應新技術的發展和培養滿足社會需要的人才,成為需要重點思考的問題。我國雖然在計算機網絡相關學科和專業已初步形成從本科、碩士到博士的人才培養體系,培養了一大批網絡工程方面的工程專業人才,但是目前的網絡工程專業工程人才教育還存在許多問題,與國外有較大的差距。從國家實施創新驅動發展戰略看,最根本的就是要依靠科學技術的力量,大幅提高自主創新能力,這是國家實施發展戰略的核心和提高綜合國力的關鍵。當代工程教育要根據社會和企業的發展需要,培養與當代工程發展新特征和新趨勢相適應的創新性人才,因此在培養網絡工程技術人才時,應該創新思路,根據國際工程認證和國家審核評估的要求,積極思考并努力踐行。按照國際工程認證和審核評估的考核內容看,高校最難解決的是專業定位和師資隊伍建設問題,其他的考核內容可以通過資金和管理制度實現。
1.根據地方經濟發展和技術要求,確定專業人才培養目標定位
《國家中長期教育改革和發展規劃綱要(2010-2020年)》要求:“要克服高等教育同質化傾向,分類發展,特色辦學”。這個對多樣化、個性化、特色化的要求,實際是倡導高校走特色發展之路,而當前我國高校網絡工程本科人才的培養就有同質化的趨勢。針對這個現象,各個高校如何培養獨具特色的本科網絡工程人才,是一個需要認真思考的問題。目前,大多數學校網絡工程專業的人才培養方案、課程體系改革和課程內容的更新重組大體上還處于起步階段。
每個高校在長期發展的過程中,都具備一定的地方或行業特色。高校在建設網絡工程專業時,首先應該考慮結合本校的特色,根據國家和社會對網絡工程人才培養的要求,分類培養不同的網絡工程技術人才。計算機網絡是計算機技術和通信技術結合的產物,不同高校的網絡工程專業掛靠在不同的學院下,有的在計算機學院,有的在通信工程學院。按照教育部的專業目錄劃分,網絡工程是劃分在計算機類專業下的,因此計算機專業的核心必修課也應該成為網絡工程專業的必修課。
根據圖1所示,從網絡設備設計與研發開始,到網絡組網完成后的應用設計與開發,涉及不同類型的工程師。
按照圖1所示,根據社會和行業需求,不同層次高校培養不同的網絡工程專業本科人才,可以考慮如下定位。
1)設備研發工程技術人才的培養。
網絡設備研發涉及的專業知識除了計算機網絡、微機原理與接口技術和通信原理外,還包括必須掌握的硬件電路計的一些基本理論與實踐,如DSP技術、FPGA設計技術等,這對學生的知識、能力和素質要求較高,除了要求掌握扎實的數理科學理論外,還要有系統工程思維訓練,對計算機硬件、操作系統、計算機網絡和網絡協議在內的理論與知識可以系統性、整體性地掌握,因此這類人才的培養應該由985、211高校承擔。
2)網絡設備性能測試工程技術人才的培養。
這類人才只需要在掌握計算機類專業必修的專業課以及網絡協議的前提下,學會應用Java或者其他腳本語句如TCL等,之后他們就可以編寫自動化測試用例,這對學生的知識、能力與素質要求較第一類人才而言相對低,因此這類人才的培養任務可以由普通地方高校承擔。
3)網絡設備安全檢測人才的培養。
這類技術人才是目前最缺乏的,國內高校基本上沒有相關的人才培養基礎。這類人才可以分為兩類,即初級人才和高級人才。初級人才對網絡配置和網絡協議非常熟悉,可以熟練地進行網絡性能和安全分析;高級人才除了掌握前述的網絡設備安全測試技術以外,還必須具備對網絡設備操作系統逆向分析和代碼審計的能力。網絡設備安全檢測人才既是網絡運維的高級技術人才,又是設備生產商所需的技術人才,因此應該由擁有網絡空間安全學科或者信息安全基礎比較好的高校培養。
4)網絡規劃與運維人才的培養。
網絡規劃與運維人才是很多高校網絡工程專業培養的主要目標。隨著網絡的快速發展,網絡應用深入到社會的方方面面,這類人才的需求不斷增加,但由于一些高職高專學校也在培養類似的人才,因此普通高校應該在培養人才的層次方面有所區別,注重網絡規劃設計、網絡運維管理(包括不同操作系統平臺的網絡服務與配置、網絡虛擬化、存儲虛擬化和私有云計算優化配置與管理)與網絡性能監測管理系統設計等能力的培養,讓學生熟悉各種不同網絡設備的配置并且關注未來發展的SDN技術和網絡設備配置智能化的趨勢。
另外,這類人才的需求也在變化。目前,這類人才除了需要前述的能力外,還需要在網絡規劃中對安全性能的設計有較高素養,并且網絡運維人員也需要網絡安全檢測的能力,這些變化應該引起相關高校的關注。
第5篇:高校信息安全運維范文
【關鍵詞】金智教育;高職;數字化校園
一、金智教育公司介紹
江蘇金智教育信息股份有限公司(簡稱“金智教育”)是金智集團旗下的核心企業、中國最大的教育信息化服務提供商。公司業務起步于20年前教育部的“金智工程”,從為高等院校搭建IT基礎環境建設,一路發展到為高等院校、職業院校、中小學提供信息系統運行支撐平臺及師生信息服務平臺。金智教育在高等院校成功推進了信息服務移動化,兩年內為超過百所高校提供個人移動端信息服務平臺,并正在嘗試為以開放有序的方式為基于3000萬大學的O2O增值服務商進入校園提供通道;成功推進了高校在線教學平臺,與上海交通大學合作的“好大學在線”已經為數十萬學生提供線上教學及課程學分認證。
二、金智教育高職數字化校園整體解決方案
金智教育高職數字化校園整體解決方案是專門針對高等職業院校管理和教學特色,提供差異化的數字化校園整體解決方案,滿足學校聚焦教學,整體運營的建設要求。
(一)金智教育高職數字化校園的優勢
1. 一體化設計
采用軟硬件一體化、教學管理一體化的建設模式,以學校為單元進行頂層設計,覆蓋了從校務管理到數字化學習的建設需求。這樣的設計全面滿足國家建設規范,方便數字化校園建設的統一規劃和分布推進,減少系統集成與接口,簡化實施過程,提升系統的安全性。
2. 集中式校園ERP
打通校級管理的業務流和數據流,有效沉淀高質量的數據,及時獲取決策所需的信息和統計數據。這樣個業務部門在同一的工作平臺上開展業務管理,師生可以獲取一站式的信息服務,為校領導科學決策提供數據支撐。
3. 資源建設,互動教學
便捷的資源建設過程,高校的網絡學習平臺,完善的核心專業課程展示平臺,促進學校優質小本資源的建設與沉淀,并以網絡學習平臺擴展教學模式,促進師生交流互動,打造“網上課堂”。
4. 專業服務,價值保障
方案采用“產品+服務”的交付模式,以人均從業經驗7年以上的服務團隊,提供諸如管理咨詢、個性化實施、資源建設等服務內容。根據學校信息化建設基礎提供針對性的方案,保證軟件產品真正投入使用,切實保障項目成效,是信息化建設能夠服務全校,惠及師生。
(二)金智教育高職數字化校園的成功案例
1. 項目介紹
南通紡織職業技術學院數字化學習中心的建設以資源共享為目的,以創建精品資源為核心,面向海量資源處理,包含資源分布式存儲、資源管理、資源評價等諸多功能,實現資源的快速上傳、檢索、歸檔,同時進行精品課程、網絡課程制作、題庫建設,讓學生參與開展自主學習;基于數字化學習平臺開展網絡教學的教學評價,方便學員展示匯報,及時為領導提供科學決策的依據,同時也為地方經濟服務培養人才提供方便。
2. 項目成果
南通紡織職業技術學院數字化學習中心的建設為在校學生自主選擇課程學習、學生工學交替和頂崗實習、畢業生在職進修、行業企業員工在職培訓、社會人員的自主學習以及社會化考試(如英語等級考試、計算機等級考試)等,同時也充分發揮出國家師范院校專業教育資源的優勢。
目前,系統已連續使用2年,共建設資源數近5萬條,網絡課程66門,其中國家精品課程5門,省級精品課程3門;覆蓋到紡織、服裝、經貿、外語等11個院系、52個專業。
三、金智教育的服務保障體系
作為專業的學校信息化應用集成商,金智教育希望能與學校結成長期的合作伙伴,與學校共同完成校園信息化的規劃定制、軟件開發實施、應用推廣、運維服務的全過程,幫助學校共同實現信息化應用效果的螺旋式推進。
(一)咨詢規劃
金智以“提升客戶價值”為使命,基于對學校管理模式的多年研究,近20年的用心耕耘和實踐探索,向學校提供專業化、差異化、一體化的咨詢服務。金智將根據學校戰略發展規劃、培養目標、管理模式,為教育提供IT戰略規劃、架構規劃、實施規劃三個層面的IT咨詢,通過信息化技術幫助學校改進管理、改革教學、創新科研、延伸服務。
(二)實施推廣
面對起步晚、業務范圍廣、行業標準不成熟的教育信息化領域,金智教育每年確保與經營獨立的研發經費,堅持業務模式與技術能力并重的研發策略,結合校際差異、融合IPD和CMMI思想。構建符合教育業務需求發展的研發體系。
(三)運維服務
面向21世紀的中國教育的發展和定位的轉變,服務的專業化和社會化都是大勢所趨。通過專業服務公司提供針對性很強的運維服務,無論是從服務質量、用戶滿意度,還是服務成本的角度都是最優的選擇。關于輔助工具,金智教育提供一整套涵蓋服務支撐、資源管理及監控預警等方面需求的規范化、智能化的輔助工具,為運維服務提供有力保障。
(四)IT培訓
除系統使用培訓、平臺使用培訓、協同辦公系統培訓、通用類培訓,針對決策層、系部管理層進行數據中心、學校管理沙盤類培訓;針對網絡中心及其他教師,進行IT平臺運維服務、平臺的二次開發類培訓。
第6篇:高校信息安全運維范文
1 計算機網絡安全重要性
一方面,網絡的高速發展和深度應用增大了安全風險。隨著互聯網和信息技術以前所未有的深度和廣度改變著人們的工作、生活、交流和消費模式,網絡安全帶來的風險也在迅速增大。在美國大學信息化聯盟EDUCAUSE公布的年度十大IT議題(Top10 IT Issues)當中,與安全相關的議題自2007 年以來頻繁入選,充分說明網絡與信息安全已經成為高校達成使命和維持各項職能正常運轉的必需保障。
另一方面,網絡安全面臨的威脅增多。伴隨著網絡技術的快速發展,危害網絡安全的技術手段、人員規模、侵擾對象和造成的后果也在不斷升級。同時,針對網絡安全的各類技術防護手段普遍具有滯后性。殺毒軟件、防火墻、入侵檢測技術、虛擬入侵誘騙技術等各類技術防范手段,需要針對網絡攻擊的最新特點,進行破解和實時更新,往往滯后于網絡破壞行為。
我國網絡安全能力仍相對薄弱,當前,乘著“互聯網+”的新機遇,我國互聯網持續高速發展,網絡和終端更加智能化,應用服務更加規模化,跨界融合更加多樣化。但與此同時,互聯網的快速發展也伴生了一系列安全方面的挑戰,包括全球網絡空間環境日益復雜多變,網絡安全風險不斷增高,數據安全面臨巨大挑戰、新技術新業務應用引發新的安全問題等,給經濟社會健康發展帶來了一定的風險。
2 計算機網絡安全體系建設
信息系統的安全防護分為技術部分和管理部分,技術部分主要從物理安全、網絡安全、主機安全、應用安全、數據安全等方面進行分析,管理部分主要從管理機構、制度、人員、安全運維等方面進行分析,技術和管理相結合才能形成完整的安全體系統,技術和管理互為補充、相輔相承,缺一不可。
在監測預警方面,信息安全小組成立之后,可以為高校提供監測、預警等專業服務;學校企業等可以購置監測預警平臺工具,或采購第三方提供服務或采用行業的監測平臺;還要多關注新技術的發展與應用,建立安全動態防御體系;部分有條件的高校可嘗試采用新技術,如態勢感知技術建立安全監控體系,通過這些技術提高預警能力。還要加強高校輿情監控;建立“一人一賬號”實名登記上網制度和可追溯制度,加強網絡信息內容監管,建立網絡數據分析平臺,對用戶的上網行為、校園行為進行分析和預警。因為安全事件總在不斷發生,我們建議不論信息安全做得如何,網絡信息安全的預警機制一定要建立,還要加強應急響應能力建設;建立安全事件通報機制,制定完善的網絡安全應急預案,建立用戶單位、主管單位、行業機構、安全服務商、產品供應商等多種角色多方協作的應急生態鏈,及時發現,及時有效解決。
2.1 技術上
技術上在國內,中國需要不斷推動自主技術的發展和創新,奠定網絡安全的物質基礎。
2.1.1 數據加密
動態信息的保護需要應用到數據加密的工作,對于動態數據通常包括主動攻擊和被動攻擊兩種方式,主動攻擊能夠有效地進行檢測但是無法避免,被動攻擊只能避免而不能進行檢測,這些保護的基礎就是數據加密,數據加密也就是對以符號為基礎的數據進行移位和置換的變換算法。數據加密與用戶授權訪問控制技術相比更為靈活科學,對于開放性的網絡更實用。
2.1.2 防火墻
常用的防火墻技術有包過濾技術、狀態檢測技術、應用網關技術。包過濾技術是在網絡層中對數據包實施有選擇的通過;狀態檢測技術采用的是一種基于連接的狀態檢測機制,它具有更好的靈活性和安全性;其目的在于隱蔽被保護網絡的具體細節,保護其中的主機及其數據。
2.1.3 漏洞掃描系統
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點,尋找一種能查找網絡安全漏洞,評估并提出修改建議的網絡,安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
2.1.4 其他
除此之外網絡安全系統有很多新的發展和趨勢,其中包括檢測方面,例如網頁檢測,通過網絡設備實現對包含網頁內容的網絡流量的監控,木馬病毒檢測,通過掃描程序、啟發式的掃描程序、行為陷阱、全方位的保護等方式來防御病毒木馬,入侵檢測是防火墻的合理補充,提高了信息安全基礎結構的完整性。其他網絡技術應用也對網絡安全起到了很大的作用并仍在不斷完善。
2.2 管理上
“互聯網+”的安全已滲透到方方面面:社會層面、網絡層面和應用層面,你中有我我中有你。國家的信息安全,過去的概念是中央基礎設施的運行安全,它已不是全部,不是你有設備,數據安全問題就全解決了。數據安全其實是更本質的東西,只做設備一層的自主可控,其實并沒有解決數據安全的問題。
一是將通過各種政策等方式來促進全行業提高思想認識,充分認識新形勢下做好網絡安全工作的重要性和緊迫性。
二是注重統籌規劃,深入推進網絡安全保障體系建設。
三是重視數據安全,強化網絡數據和用戶個人信息保護。
四是深化協調協作,做好對內對外的合作與交流。
五是加強人才培養,努力建設一支高素質的網絡安全技術業務隊伍。發展和建設我國信息安全保障體系,人才培養是必備基礎和先決條件。要不斷加強信息安全學科建設,盡快培養高素質的信息安全人才隊伍,成為我國經濟社會發展和信息安全體系建設中的一項長期性、全局性和戰略性的任務。但由于種種原因網絡安全學科一直未能設立為一級學科,各高校只能在不同學科下設置網絡信息安全研究方向,開展網絡信息安全人才培養工作。這嚴重影響了我國網絡安全人才培養質量,由于學科建設缺乏系統性、人才培養規模小,遠遠滿足不了國家信息安全產業發展對高層次專門人才的需要,也導致了我國網絡信息安全關鍵技術整體上比較落后。
3 計算機網絡安全體系建設關鍵點
網絡空間不是法外之地,任何通過網絡實施違法犯罪的行為都難逃法律的制裁。各企事業單位、公司、社會團體,要進一步加強日常單位網絡的防護,配備專門維護人員,加強“防火墻”“網絡監控系統”等技術防御措施的建設,構建多層次、立體化的網絡安全防護體系。如果遇到不法攻擊,要保存相關數據,及時向警方報案,以盡可能減少損失。
從技術角度來看,我國在技術標準、監管機制和產業聯合引導方面尚存在不足,特別是在產業方面,每一家企業都希望做“大而全”完整的產品線。人們普遍追求商業模式上的創新,在技術方面實際上的投入非常少。從2012年公開的IDC統計數據可以看到,中國信息安全產業投入占IT產業總體支出的比例不足1%,而美國、歐洲、日本的投入則達到9%左右。要想解決整個國家網絡安全保障體系能力提升的問題,最重要的一點就是加強合作,互聯網是一個復雜的系統,需要大家攜起手來一起合作。
眾所周知,網絡安全的根本性問題是存在漏洞。如果能夠預先知道漏洞所在,在漏洞被利用前發現并進行修補,那么自然而然就會使網絡安全的保障能力有很大的提升,這就需要構建一個整體的漏洞防御體系,其中,建立一個整體的漏洞報告平臺非常重要。
整個社會大家都在利用“互聯網+”開展各種各樣的業務與應用。面對這樣那樣的安全問題,我們同樣要用“互聯網+”的模式來治理網絡,提高我們的網絡安全水平。擁有數據我們就擁有未來的機會;社會誠信還有很多領域都要打通,“互聯網+”已經是融合的打通;一定要創新,線上線下融合的模式可以抓住機遇。未來任何的單一環節,任何的單一領域,單一組織和單一圈子,都沒有辦法來獨自應對安全問題,所以需要聯合起來應對。
4 結語
綜上所述,計算機網絡的應用越來越廣泛,這就對安全方面提出了更高的要求,如何加強計算機網絡安全就需要從多方面建立立體的計算機網絡安全結構體系,從而確保計算機網絡安全結構的科學和嚴密,提高對網絡風險的控制和預防,真正的做到計算機網絡應用的安全。
參考文獻:
[1]段海新,吳建平.計算機網絡安全體系的一種框架結構及其應用[J].計算機工程與應用,2000,05.
第7篇:高校信息安全運維范文
論文摘要:互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。該文首先分析了計算機網絡信息管理工作中的安全問題,其次,從多個方面就如何有效加強計算機網絡信息安全防護進行了深入的探討,具有一定的參考價值。
1概述
互聯網技術給我們帶來很大的方便,同時也帶來了許多的網絡安全隱患,諸如陷門、網絡數據竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網絡安全隱患一直都威脅著我們。為了確保計算機網絡信息安全,特別是計算機數據安全,目前已經采用了諸如服務器、通道控制機制、防火墻技術、入侵檢測之類的技術來防護計算機網絡信息安全管理,即便如此,仍然存在著很多的問題,嚴重危害了社會安全。計算機網絡信息管理工作面臨著巨大的挑戰,如何在計算機網絡這個大環境之下,確保其安全運行,完善安全防護策略,已經成為了相關工作人員最亟待解決的問題之一。
2計算機網絡信息管理工作中的安全問題分析
計算機網絡的共享性、開放性的特性給互聯網用戶帶來了較為便捷的信息服務,但是也使得計算機網絡出現了一些安全問題。在開展計算機網絡信息管理工作時,應該將管理工作的重點放在網絡信息的和訪問方面,確保計算機網絡系統免受干擾和非法攻擊。
2.1安全指標分析
(1)保密性
通過加密技術,能夠使得計算機網絡系統自動篩選掉那些沒有經過授權的終端操作用戶的訪問請求,只能夠允許那些已經授權的用戶來利用和訪問計算機網絡信息數據。
(2)授權性
用戶授權的大小與其能夠在計算機網絡系統中能夠利用和訪問的范圍息息相關,我們一般都是采取策略標簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網絡系統授權的正確性和合理性。
(3)完整性
可以通過散列函數或者加密的方法來防治非法信息進入計算機網絡信息系統,以此來確保所儲存數據的完整性。
(4)可用性
在計算機網絡信息系統的設計環節,應該要確保信息資源具有可用性,在突然遇到攻擊的時候,能夠及時使得各類信息資源恢復到正常運行的狀態。
(5)認證性
為了確保權限所有者和權限提供者都是同一用戶,目前應用較為廣泛的計算機網絡信息系統認證方式一般有兩種,分別是數據源認證和實體性認證兩種,這兩種方式都能夠得到在當前技術條件支持。
2.2計算機網絡信息管理中的安全性問題
大量的實踐證明,計算機網絡信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計算機網絡信息管理工作的可用性和完整性,屬于信息安全監測問題;第二種主要針對計算機網絡信息管理工作的抗抵賴性、認證性、授權性、保密性,屬于信息訪問控制問題。
(1)信息安全監測
有效地實施信息安全監測工作,可以在最大程度上有效消除網絡系統脆弱性與網絡信息資源開放性二者之間的矛盾,能夠使得網絡信息安全的管理人員及時發現安全隱患源,及時預警處理遭受攻擊的對象,然后再確保計算機網絡信息系統中的關鍵數據能夠得以恢復。
(2)信息訪問控制問題
整個計算機網絡信息管理的核心和基礎就是信息訪問控制問題。信息資源使用方和擁有方在網絡信息通信的過程都應該有一定的訪問控制要求。換而言之,整個網絡信息安全防護的對象應該放在資源信息的和個人信息的儲存。
3如何有效加強計算機網絡信息安全防護
(1)高度重視,完善制度
根據單位環境與特點制定、完善相關管理制度。如計算機應用管理規范、保密信息管理規定、定期安全檢查與上報等制度。成立領導小組和工作專班,完善《計算機安全管理制度》、《網絡安全應急預案》和《計算機安全保密管理規定》等制度,為規范管理夯實了基礎。同時,明確責任,強化監督。嚴格按照保密規定,明確涉密信息錄入及流程,定期進行安全保密檢查,及時消除保密隱患,對檢查中發現的問題,提出整改時限和具體要求,確保工作不出差錯。此外,加強培訓,廣泛宣傳。有針對性組織開展計算機操作系統和應用軟件、網絡知識、數據傳輸安全和病毒防護等基本技能培訓,利用每周學習日集中收看網絡信息安全知識講座,使信息安全意識深入人心。 (2)合理配置,注重防范
第一,加強病毒防護。單位中心機房服務器和各基層單位工作端均部署防毒、殺毒軟件,并及時在線升級。嚴格區分訪問內、外網客戶端,對機房設備實行雙人雙查,定期做好網絡維護及各項數據備份工作,對重要數據實時備份,異地儲存。同時,嚴格病毒掃描。針對網絡傳輸、郵件附件或移動介質的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進行病毒掃描。第二,加強強弱電保護。在所有服務器和網絡設備接入端安裝弱電防雷設備,在所有弱電機房安裝強電防雷保護器,保障雷雨季節主要設備的安全運行。第三,加強應急管理。建立應急管理機制,完善應急事件出現時的事件上報、初步處理、查實處理、責任追究等措施,并定期開展進行預演,確保事件發生時能夠從容應對。第四,加強“兩個隔離”管理。即內、外網物理徹底隔離和通過防火墻進行“邊界隔離”,通過隔離實現有效防護外來攻擊,防止內、外網串聯。第五,嚴格移動存儲介質應用管理。對單位所有的移動存儲介質進行登記,要求使用人員嚴格執行《移動存儲介質管理制度》,杜絕外來病毒的入侵和泄密事件的發生。同時,嚴格安全密碼管理。所有工作用機設置開機密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴格使用桌面安全防護系統。每臺內網計算機都安裝了桌面安全防護系統,實現了對計算機設備軟、硬件變動情況的適時監控。第七,嚴格數據備份管理。除了信息中心對全局數據定期備份外,要求個人對重要數據也定期備份,把備份數據保存在安全介質上。
(3)堅持以信息安全等級保護工作為核心
把等級保護的相關政策和技術標準與自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全局得到有效落實,有效的保障業務信息系統安全。
第一,領導高度重視,組織保障有力。單位領導應該高度重視信息化和信息安全工作,成立專門的信息中心,具體負責等級保護相關工作,統籌全局的信息安全工作。建立可靠的信息安全基礎設施,重點強化第二級信息系統的合規建設,加強了信息系統的運維管理,對重要信息系統建立了災難備份及應急預案,有效提高了系統的安全防護水平。
第二,完善措施,保障經費。一是認真組織開展信息系統定級備案工作。二是組織開展信息系統等級測評和安全建設整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。
第三,建立完善各項安全保護技術措施和管理制度,有效保障重要信息系統安全。一是對網絡和系統進行安全區域劃分。按照《信息系統安全等級保護基本要求》,提出了“縱向分層、水平分區、區內細分”的網絡安全區域劃分原則,對網絡進行了認真梳理、合理規劃、有效調整。二是持續推進病毒治理和桌面安全管理。三是加強制度建設和信息安全管理。本著“預防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術并重的原則,對信息安全工作的有效開展起到了很好的指導和規范作用。
(4)采用專業性解決方案保護網絡信息安全
大型的單位,如政府、高校、大型企業由于網絡信息資源龐大,可以采用專業性解決方案來保護網絡信息安全,諸如銳捷網絡門戶網站保護解決方案。銳捷網絡門戶網站保護解決方案能提供從網絡層、應用層到web層的全面防護;其中防火墻、ids分別提供網絡層和應用層防護,ace對web服務提供帶寬保障;而方案的主體產品銳捷webguard(wg)進行web攻擊防御,方案能給客戶帶來的價值:
防網頁篡改、掛馬
許多大型的單位作為公共信息提供者,網頁被篡改、掛馬將造成不良社會影響,降低單位聲譽。目前客戶常用的防火墻、ids/ ips、網頁防篡改,無法解決通過80端口、無特征庫、針對動態頁面的web攻擊。webguard ddse深度解碼檢測引擎有效防御sql注入、跨站腳本等。
高性能,一站式保護各院系網站
對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網站統一管理。各部門網站技術運維能力相對較弱,經常成為攻擊重點。webguard利用高性能多核架構,提供并行處理。支持在網絡出口部署,一站式保護各部門網站。
“零配置”運行,簡化部署
webguard針對用戶,集成默認配置模板,支持“零配置”運行。一旦上線,即可防護絕大多數攻擊。后續用戶可以根據網絡情況,進行優化策略。避免同類產品常見繁瑣配置,毋須客戶具備專業的安全技能,即可擁有良好的體驗。
滿足合規性檢查要求
繼08年北京奧運、09年國慶60周年后,10年上海世博會、廣州亞運會先后舉行。在重大活動前后,各級主管單位和公安部門,紛紛發文,要求針對網站安全采取措施。webguard恰好能很好的滿足合規性檢查的需求,幫助用戶順利通過檢查。
4結束語
新時期的計算機網絡信息管理工作正向著系統化、集成化、多元化的方向發展,但是網絡信息安全問題日益突出,值得我們大力關注,有效加強計算機網絡信息安全防護是極為重要的,具有較大的經濟價值和社會效益。
參考文獻:
[1]段盛.企業計算機網絡信息管理系統可靠性探討[j].湖南農業大學學報:自然科學版,2000(26):134-136.
[2]李曉琴.張卓容.醫院計算機網絡信息管理的設計與應用[j].醫療裝備,2003.(16):109-113.
[3]李曉紅.婦幼保健信息計算機網絡管理系統的建立與應用[j].中國婦幼保健,2010(25):156-158.
[4]羅宏儉.計算機網絡信息技術在公路建設項目管理中的應用[j].交通科技,2009.(1):120-125.
[5] bace rebecca.intrusion detection[m].macmillan technical publishing,2000.
第8篇:高校信息安全運維范文
信息安全是一個復雜的系統工程,涉及到了系統軟件、硬件、環境以及人員等各種因素.本文以赤峰學院為研究對象,詳細討論了一般高校信息安全風險點,及網絡安全技術在解決校園網絡安全問題中的應用,并提出了綜合利用各種網絡安全技術保障校園網絡安全的具體措施.
關鍵詞:
校園網絡;網絡安全;安全技術
當前互聯網發展迅速,高校的校園網建設也隨之快速發展,一方面有力推進我國高校現代化建設進程,另一方面有效促進了高校教學、辦公、科研和學術交流等方面的發展.但是這也使得辦公系統、教務管理系統、信息門戶、校園一卡通系統等內網服務都直接暴露在開放式的網絡環境之下運行,這無疑給黑客提供攻擊機會,造成病毒入侵、信息泄露等不良后果.在高校校園網中,參與人員情況十分復雜,不僅有校園內部的老師和同學,還有一些外來辦事及培訓訪學人員,這種參與人員成分的復雜性決定了校園網絡管理的難度增大.當然,由于校園網絡其本身種種特殊性,除了上面提到的互聯網和校園網內部人員的威脅之外,還有其本身體系結構的網絡安全問題值得警惕.這對建立校園網絡的工作人員提出了較高要求,需要進行充分的調研與考量,采取正確的設計與布置模式,建立一個安全合理有效的校園網絡.本文所講正是根據自己幾年來在校園網絡的運行與維護的工作經驗總結而來,以校園網絡的配置和網絡體系設計為基礎,對校園網絡的運行風險進行分析,并對相應的安全保護措施進行詳細研究.在分析校園網絡的運行風險時,不僅考慮到校園網絡本身的體系結構安全問題,也要考慮到網絡配置時的軟硬件安全、技術安全、使用和管理安全等等,在這些方面都需要制定詳細的安全保護規則,在實際操作中嚴格遵守,使校園網絡的安全性得到保障,最終建立一個真正讓人放心使用的安全校園網絡.
1校園網安全面臨的風險分析
1.1硬件安全
眾所周知,信息系統的運行之初就是要建立一個合格標準的機房———系統核心硬件的所在地,所以,機房要嚴格按照國家相關標準進行建設,包括機房本身的防火防水防盜等問題,機房所在樓板的承受力問題,機房位置選擇問題等等,只有這樣才能保證機房內設施不受侵害,對其安全性進行充分的考慮,確保信息系統的平穩安全運行.另一方面,信息系統運行的硬件設備還對周圍環境有著較高要求,例如濕度、溫度、空氣顆粒物濃度、周圍磁場強度等等,所以要對機房配備專門的管理人員監測環境問題,保證一個合理有效的硬件運行環境.
1.2系統及數據庫安全
對于校園網絡來說,由于資金有限,很多服務器或者相關系統硬件都會被延期使用,一旦硬件沒有得到及時更新,過度使用,就會導致其穩定性不可預估,例如發生斷電時,這些非法關機形式的發生,都會使得相關數據或者運行系統發生異常,從而導致進一步的不可預測性的異常工作形態發生.
1.3網絡安全
赤峰學院的網絡建設已經告一段落,有線網方面,光纖直通各個樓宇辦公室及宿舍樓區域的弱電井,千兆入戶;無線網方面,已經實現包括教學區、宿舍、運動場、食堂等位置的全校覆蓋.但是,隨著網絡速度的不斷提高,網絡覆蓋范圍的不斷擴大,網絡內容和資源的不斷豐富,也伴隨著網絡安全問題顯得日益突出,需要我們給予高度重視.
a、漏洞注入威脅
無論是網絡系統也好,還是各種軟件的形成,其都是由相關代碼編寫人員進行開發,這無可避免的會產生一些漏洞問題,這些漏洞的存在就是一種潛在的安全威脅,沒有及時地修補漏洞,就會有可能導致安全問題.而且這種威脅一旦發生,就會從某一臺主機,通過網絡,對網絡內其他主機產生安全威脅,這會是一個連鎖反應,情況進一步惡化,會直接造成整個網絡的癱瘓.近些年來,在操作系統上,Linux和Win-dows都在不斷地各種網絡漏洞補丁,如校園網內的絕大部分主機系統都是Windows系統,因此,如果Windows系統漏洞被發現而沒有及時更新漏洞補丁進行修復,很有可能被不法分子進行攻擊,最終影響到整個校園網絡的安全.
b、DDOS攻擊(DistributedDenialofService)).
DDOS攻擊,即分布式拒絕服務攻擊,它是指通過借助一系列工具或手段,把許多個計算機聯合起來構成一個平臺,針對一個或者多個目標發動DOS攻擊.DOS攻擊最基本的方式就是發送合法的服務請求,以便占用目標主機的大量的服務資源,目標主機的資源一旦被大量占用,其他正常用戶將無法正常訪問該主機.DOS攻擊必須占有大量的帶寬,這樣的話,對于攻擊者本身很難實現這一目標,于是攻擊者就通過其他攻擊手段先把很多主機變成“肉雞”,再通過這些“肉雞”一起對目標發起攻擊,最終使得目標主機無法正常工作乃至處于癱瘓的狀態.
c、ARP攻擊(Addressresolutionprotocolspoofing).
ARP協議(地址解析協議),就是根據目標IP地址,轉換為相應的MAC物理地址.我們所談的校園網絡,更多的主機是基于MAC地址進行傳輸的,這樣就造成了ARP協議就更多地發揮著使兩臺主機之間進行通信的作用.黑客正是利用了這一原理,一方面,可以通過實時監測,攔截竊聽如A主機某一節點信息,獲得相應的IP地址和MAC地址,然后就可以偽裝A主機,給其他主機信息,為自己獲得有用信息.另一方面,黑客還可以完全偽造一個MAC地址和IP地址信息,使其在局域網內傳播,在網絡上會產生網絡風暴效應,使網絡通信變得異常堵塞,也很有可能造成網絡的失效或者癱瘓.
d、病毒、木馬
高校的辦公電腦分為幾類:專屬電腦、多媒體教室教學電腦、還有學工辦、教學辦等非專用的辦公電腦.這些電腦在使用的過程中,由于很多人員并沒有專業的計算機基礎知識,或者電腦安全意識并不高,導致U盤使用、非法網站下載等可能導致病毒攻擊的行為偶有發生,再加之電腦系統的殺毒軟件等防護措施并沒有及時更新與使用,最終這些主機很容易被黑客利用,成為“肉雞”,進而使得校園網絡安全出現問題.
1.4人員管理
a、安全管理安全管理是一項十分重要的內容.在所有安全措施的發生有效影響之前,安全管理就是這一切的前提.一個健全的安全體系是需要建立十分詳盡并且能被嚴格執行的安全規范,安全體系在建設過程中,人、設備、技術都是必須要考量的因素,這些安全規范或者規則要在所有安全設備部署和具體施工過程中進行約束,所以安全管理不僅是一種表面行為上的規范,也是對人、技術、設備、架構等等的一種深層次要求.
b、安全意識在高校的校園網絡里,主體使用人員就是學生和教職人員,這個群體的計算機應用水平有高有低,更多的人是缺乏計算機網絡安全意識的.例如,某些老師和學生往往在使用計算機網絡時,設置一些十分簡單易破解的密碼,這就是一種缺乏安全意識的表現,黑客很容易抓住這一點,通過某些破解方法獲得密碼,進而獲取計算機中對他們有用的信息,可能會進一步產生盜用銀行卡、詐騙、透漏個人重要信息等等不法行為;另外,當前計算機網絡快速發展,計算機病毒等木馬程序也在呈現出多方式、多渠道的攻擊模式,如U盤傳播、移動端傳播、局域網內傳播等等,這些問題一旦發生,就會產生一些不良后果.因此,我們需要提高用戶的網絡安全意識,增強其網絡使用規范,并讓用戶學習一些基本的網絡安全知識,這都是當代網絡管理人員需要注意的問題.
2校園網安全的防護措施
2.1硬件防護
(1)防火墻
我校于2012年校園網絡建成后在出口處用功能和安全性更高的華為下一代防火墻(華為USG5500)代替原來的防火墻(華為Eudemon),同時在出口鏈路上加裝了入侵檢測設備(華為NIP5100),以防止外網對內網及數據中心的入侵攻擊,將替代下來的防火墻部署在數據中心服務器存儲和內網之間,這樣加強出口鏈路安全的同時,也進一步提升了內網的數據安全.
(2)流量控制設備
我校使用銳捷ACE流量控制設備,ACE可以有效防止各種關鍵應用(如ERP、CRM、OA系統、視頻會議系統等)受到其它網絡應用(P2P等)的沖擊,導致這些關鍵業務的應用得不到保障.同時,通過對網絡異常流量和網絡攻擊進行預先防護,大大提高了網絡的可靠性和穩定性.
(3)行為審計
校園網絡配置行為審計設備.可以針對網頁訪問過濾、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析.用戶所有訪問的網頁地址都會被系統監控、追蹤及記錄,如果是設定為合法地址的訪問則不做限制,如果是非法地址則會被禁止或發出警告,而且每一次對訪問行為的監控都是具體到每一個人的.
(4)防毒墻
計算機病毒的日益猖狂,盡管許多企業已經具有了一定的安全防范意識,并且部署了網絡版殺毒軟件和硬件防火墻,但是在面對諸如SQLSlammer等新的蠕蟲病毒時,仍然顯得力不從心.我校針對上網人數多,使用網絡人員能力參差不齊,網絡蠕蟲病毒傳播廣泛,控制吃力的情況,主干網絡配置防毒墻,用來解決對諸如SQLSlammer等新的蠕蟲病毒.
(5)DDOS防護
DDOS攻擊通過大量合法的請求占用大量網絡資源,以達到癱瘓網絡的目的.而我校校園網絡配置DDOS防護設備,可解決通過使網絡過載來干擾甚至阻斷正常的網絡通訊;通過向服務器提交大量請求,使服務器超負荷;阻斷某一用戶訪問服務器;阻斷某服務與特定系統或個人的通訊等情況.
(6)UPS不間斷電源
我校中心機房、圖書館機房及災備機房都配備UPS不間斷電源,在學校斷電時為機房內的服務器供電,延長服務器工作時間,同時能夠防止服務器因為斷電導致的物理故障、數據丟失問題.
2.2VPN的管理
VPN是在公用網絡上建立專用網絡,進行加密通訊,而我校的數字化應用系統及數字圖書館資源等重要的信息系統均使用深信服公司的專業的SSLVPN設備為所有供教職工、學生提供校外訪問.我校對對校內應用系統和資源都作了內網IP地址的鎖定,保證了網絡訪問的安全控制,進一步提高校內信息系統的安全指數.同時,針對不同的廠商及使用者的身份,區分訪問權限,做到嚴格控制VPN的使用人員,保證只有操作相關業務系統的人員才可獲得相應權限.比如:在校教職工使用工號及密碼登陸后只可以訪問基礎資源及業務系統,不能訪問服務器等敏感網段;工程師需要通過實名制注冊,并使用真實手機號碼接受隨機驗證碼及管理員指定的用戶名和密碼(復雜密碼)進行訪問,并且不同的廠商只能訪問跟自己業務相關的網段(目前正在建設中);其他使用人員需要嚴格遵守申請流程就行審批.
2.3軟件防護
(1)校園網認證系統
我校使用專業的校園網認證系統,該系統能夠對接入校園網絡的所有用戶進行訪問控制管理,同時,我校教職工用工號登陸,學生用學號進行登錄,校外人員需要提供有效證件并且獲得相關部門的統一方可獲得由網絡中心統一發放的上網賬號,我校的網絡認證系統配有日志服務器,能夠對用戶的上網行為實時記錄,并且保存用戶上網行為日志90天以上.
(2)機房服務器安全
赤峰學院機房的服務器使用兩套虛擬化軟件(華為Fu-sionComputeV100R005C00SPC300和曙光虛擬化軟件)動態分配部署,用虛擬計算、虛擬存儲、虛擬網絡等技術,完成計算資源、存儲資源、網絡資源的虛擬化;同時通過統一的接口,對這些虛擬資源進行集中調度和管理.系統通過獲取異常日志和程序堆棧,縮短問題定位時間,快速解決異常問題.支持自動化健康檢查.系統通過自動化的健康狀態檢查,及時發現故障并預警,確保虛擬機可運營管理.
(3)存儲(數據)安全
我校的存儲設備用專業的軟件做RAID6,做完RAID6,在存儲中任意一個硬盤故障時,仍可讀出數據,在數據重構時,將數據經計算后重新置入新硬盤中從而保證了數據安全.同時,華為虛擬化軟件具備快照功能,可以記錄某一時間點的系統情況,并且可以手動恢復到快照的時間點,保證系統的運行安全.
(4)運維系統
我校使用校園網絡運維管理系統,能夠實時監控機房的溫度濕度,工作人員可進行水災、火災的防控,同時,可以對校園網各個設備的運行情況進行實時監控,可隨時查看某一線路的帶寬、設備在線情況等.如遇問題可在一時間收到短信通知,將風險降到最低.
3校園網絡安全管理策略
3.1信息系統定級備案
我校堅持嚴格執行備案制度的原則,分別于赤峰市宣傳部、聯通公司、電信公司做了網站備案,嚴格管理,校內一切網絡資源只限于教職工和學生工作學習使用,堅決禁止一切商務等盈利用途.赤峰學院主頁及二級網站使用統一建站系統CMS,使用統一建站系統能有效管理網站訪問者的登陸權限,使內網數據庫不受攻擊,并且前端靜態頁面顯示,同時,服務器安裝了正版的網頁防篡改軟件一套,能夠定期升級版本,確保了信息的安全.
3.2信息安全事件應急處置
制定健全的應急預案,如:《赤峰學院校園網絡信息安全應急預案》、《數據中心機房突發事件應急預案》、《信息技術安全事件的應急報告與處置流程》等,周末及節假日有相關的值班人員每天對應用系統及機房進行檢監測,以保證緊急事件緊急處理.
4小結
校園網絡安全建設是一個不斷推進、不斷深入、不斷完善的動態過程.需要清楚當前學校的網絡情況及風險點,面對多種多樣的安全威脅,從安全技術手段的角度出發,確保校園網絡安全體系滿足防護、檢測、響應模式,從而降低安全風險,實現校園網絡穩定可靠運行.
作者:吉嵐 辛欣 單位:內蒙古廣播電視大學 赤峰學院網絡與信息管理處
參考文獻:
〔1〕齊菊紅,李春霞.校園網網絡安全分析[J].蘭州文理學院學報(自然科學版),2014,28(1):69-74.
〔2〕李小志.高校校園網絡安全分析及解決方案[J].現代教育技術,2008,18(3):91-93.
〔3〕胡光民,柯立新.校園網絡安全與準入身份認證[J].上海海洋大學學報,2010,19(2):271-274.
第9篇:高校信息安全運維范文
網絡安全問題是互聯網技術収展迆程中不容忽視的一個問題,據統計,美國因網絡安全引収的經濟損失高達每年75億美元。在世界范圍內,平均每20s就會収生一起網絡安全亊件。高校網絡建設是高校信息化収展的重要載體,如果出現網絡安全問題,會帶來難以預估的損失,甚至對正常教學和管理秩序造成影響。高校網絡本身是一個半開放Internet系統,用戵主要為高校教師及學生,需要通迆身仹認證后登陸高校網絡,幵在使用要求萬迚行聯網操作。但是在高校網絡的正常使用迆程中,也容易受到各種安全影響因素的威脅。其體包拪:(1)網絡病毒傳播,在計算機網絡技術的快速収展迆程中,新型病毒不斷出現,破壞機制各有不同,增加了網絡安全防護難度。比如CIH病毒、震蕩波、AV終結者病毒等,一旦感染,將對系統造成嚴重破壞。高校網絡接入場景較多,包拪機房、多媒體教室、學生甴腦等,容易因軟硬件使用不當,導致病毒植入,破壞網絡通信安全,嚴重時可能導致整個高校網絡癱瘓。(2)黑客入侵,由于計算機系統和網絡架極不可避兊會存在漏洞,容易成為黑客入侵窗口,獲取高校網絡中的重要信息數據,或者對高校網絡的正常使用造成干擾。隨著學生信息技能水平的提高,近年來也出現迆學生入侵高校網絡獲取考試題等現象,必須加以防范。(3)使用操作不當,在高校網絡使用迆程中,身仹認證機制迆于簡單,對個人賬葉密碼保管不當,或者因操作失誤,對系統造成損壞,也會影響高校網絡的運行穩定性,增加不安全因素。在高校網絡安全建設迆程中,也需要明確網絡使用標準,制定相應的管理制度[1]。
2高校網絡安全建設標準
(1)高校網絡安全框架搭建標準。在高校網絡安全框架搭建迆程中,應明確劃分高校網絡安全管理責仸,遵循誰用誰負責的基本原則,通迆成立高校網絡安全防護領導小組,詳細組織相兲工作的開展。在平時應積枀極建高校網絡安全防護體系,仍網絡安全管理制度建設、網絡安全防護技術體系建設等斱面著手,明確高校網絡安全框架的建設標準,幵分析目前存在的不足乊處,仍管理和技術等斱面加以完善。在収生重大網絡信息安全亊敀時,高校網絡安全防護領導小組要第一時間組織應急處置工作,對網絡安全亊敀収展迚行持續監測,采取有敁的處置措施,減少亊敀損失。此外,高校網絡安全防護領導小組還要定期對相兲工作迚行評價,改迚工作機制,促迚高校網絡安全框架標準的逐步完善[2]。(2)高校網絡安全技術體系標準。在高校網絡安全技術體系標準建設斱面,面對日益復雜的網絡攻擊行為,只有不斷提高網絡安全防護技術水平,提前収現高校網絡安全漏洞,才能降低網絡風險的収生概率。首兇應有敁識別網絡攻擊行為以及病毒感染狀冴,在現有網絡安全防護體系的基礎丆,布置多重安全技術手段。比如通迆增設網絡安全設備、在應用層系統布置防護體系等,提高抵御黑客攻擊和病毒入侵的能力。兵次應加快高校網絡安全監測技術的研究,將日志系統與動態監測技術結合起來,實時監測系統運行風險,幵根據網絡運行數據和日志數據,及時制定改迚措施。在重大網絡安全漏洞的分析迆程中,采取安全態勢感知技術,對風險源迚行追蹤分析,仍而為安全防護技術的選擇提供依據。最后,應綜合采用多種數據安全防護技術,包拪數據備仹技術、數據加密技術等,提高數據在網絡傳播萬的安全性[3]。(3)高校網絡安全制度建設標準。在高校網絡安全制度建設斱面,應基于當前智慧校園建設需求,盡快對網絡安全管理制度迚行完善,明確每一名教師、學生在高校網絡使用迆程中承擔的安全管理責仸,幵對自身操作加以觃范。以彽出現的許多高校網絡安全亊敀,都是由于內部人員使用不當造成的。因此,需要制定網絡安全制度標準,對高校人員的網絡使用行為加以約束。在此斱面,應極建高校網絡設計和部署標準,明確運行環境挃標,確保高校網絡運行環境良好。同時應明確網絡安全亊敀的響應機制,在平時迚行演練,確保網絡安全防護工作能夠得到全校師生的支持。此外,還要完善信息歸檔機制,做好使用記彔,一旦収生安全亊敀,要深入分析亊敀原因,幵追究相兲責仸人的責仸,仍而杜絕人為操作對高校網絡安全的破壞。
3高校網絡安全規范設計
(1)物理防護設計。在高校網絡安全觃范設計迆程中,首兇要確保物理層的安全性。對高校機房、網絡設施等設備集中的區域,需集中管理,加強網絡設備安全防護力度。其體可采用甴磁干擾檢測、輻射保護、硬件狀態檢測等斱法,排除硬件設備可能受到的威脅。對于網絡交換機、路由器等兲鍵設備,需要做好平時的運維檢修工作,及時更換受損器件,確保網絡正常使用。在高校網絡物理防護設計迆程中,還應兲注環境監測系統的設計,消除環境安全隱患,確保機房區域的整潔性。此外,還應安排專門的管理人員,對網絡設備迚行定期巟檢,為設備安裝相應的防護結極,提高設備使用安全性。(2)虛擬網絡劃分。高校網絡屬于大型局域網,兵中包含多個小型網絡,比如圖乢館網絡、學院網絡、宿舍樓網絡等。在不同子網絡的使用迆程中,對兵網絡安全標準也有不同要求。對于比較重要的教學網絡和行政管理網絡,則需要采取更加嚴栺的安全防護措施。因此,為了滿足實際管理需求,需要對高校網絡迚行詳細劃分,基于小型虛擬局域網(VLAN)迚行安全防護設計。然后根據每個VLAN的使用特點,包拪兵應用軟件、網絡接口設計情冴等,分析可能存在的系統漏洞。在此基礎丆,極建事級網絡防護體系,通迆安裝防火墻和殺毒軟件,實現對網絡運行安全的有敁防護。(3)數據容錯備仹。在高校網絡安全觃范設計中,要做好數據安全防護設計。在高校網絡受到攻擊時,容易出現數據丟失或受損的情冴。因此,需要設計數據容錯機制及備仹措施,確保數據在網絡環境傳辒迆程中的安全性。在服務器容錯設計斱面,應實現對硬件的有敁保護,使兵能夠在受到破壞時,不影響整個網絡運行。此外,為了保證數據傳辒安全,應在網絡防火墻和交換機丆捆綁MAC地址、IP地址,通迆采取雙重捆綁措施,防止數據被截取和盜用。在此情冴萬,能夠有敁提升高校網絡的數據傳辒安全性。(4)多重控制機制。為了確保網絡使用安全,近年來各種網絡安全防護技術収展較快,高校網絡安全建設應積枀引迚兇迚的技術手段,應對新的病毒和攻擊行為。首兇應加強高校服務器的安全設置,服務器作為核心設備,通常是黑客主要攻擊對象,需要為兵配置防火墻,幵定期更換IP地址,修改管理權陎,防止黑客利用系統漏洞實施攻擊。兵次,應利用入侵檢測技術,及時収現異常訪問行為,幵作出處理。在入侵檢測技術的應用迆程中,應注意檢測算法的更新,有敁識別黑客的偽裝行為。最后,需要加強各種網絡接入斱式的訪問控制管理,杜絕不良信息的滲透,防止對學生身心成長造成影響。
4結語
綜丆所述,面對高校網絡的安全風險因素,必須通迆制定安全建設標準,觃范設計,才能為高校網絡的安全使用提供保障。在其體設計迆程中,應綜合采用多種網絡安全防護技術,幵根據高校網絡使用特點,細化相兲制度標準,確保高校網絡的合理利用。在此情冴萬,能夠有敁提升高校網絡安全水平,充分収揮網絡技術的使用價值。
參考文獻:
[1]高靕.高校網絡安全體系框架研究[J].信息與甴腦(理論版),2018(22):193-194.
