學校網絡安全建設精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的學校網絡安全建設主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:學校網絡安全建設范文
關鍵詞:安全;信息化;規劃
中圖分類號:TP393 文獻標識碼:A
1 校園網安全運行現狀與需求
1.1校園網安全建設現狀分析
網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在。隨著高校的發展,用網人數的增加,校園網用戶對信息與網絡安全的要求也越來越高。大部分高校以往的網絡建設,重點是“建設”,強調網絡的覆蓋范圍,出口帶寬,基礎應用等,而對網絡安全的關注度不夠,往往是“想起一個建一個,需要一個建~個”,沒有形成系統、全面、高效的網絡安全體系。隨著高校“信息化”建設的呼聲越來越高,網絡安全體系的建設也在逐步受到學校各級領導的重視。
1.2校園網安全體系建設需求
網絡安全建設一直是各高校網絡建設的難點和薄弱環節,一方面,技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度;另一方面,校園網用戶甚至是系統管理員的安全意識淡漠,以及學生用戶網絡行為的不確定性成為各高校網絡安全工作的瓶頸。因此,網絡中心需要通過采取一系列的網絡安全措施、制定一系列的網絡安全管理制度,在提高網絡管理技術手段的同時,逐步增強用戶的網絡安全意識,構建穩定、安全、綠色的校園網。
2 網絡安全體系建設規劃
隨著學校網絡與信息化建設的逐步深入,網絡安全問題、信息數據安全問題日益突出。建立一套網絡安全體系,是各高校在信息化過程中的重要任務之一。
2.1校園網安全建設規劃
根據各高校網絡建設規劃,結合現有的網絡安全技術手段,應從以下幾個方面做好校園網安全建設工作。
2.1.1加強網絡設施安全建設
網絡設施安全主要指網絡設備、服務器等硬件設備的物理安全。某高校網絡中心曾經發生過同批次多塊硬盤損壞,機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件,因此。在信息化的建設中,保證設備的物理安全尤為重要。
建立機房、設備間的防火、防盜、監控和報警方案:
對一些關鍵設備。系統和鏈路,應設置冗余備份系統,避免網絡設備因天災或人為因素對網絡造成的影響。
2.1.2終端安全防范措施
隨著各高校網絡覆蓋范圍的逐步增加,用網人數不斷增多(如某高校校園網同時在線用戶已經達到4500人),用戶終端的安全問題成為校園網內網安全的主要問題之一。由于用網人員的計算機水平參差不齊,以及學生用戶網絡行為的不可控性,給網絡安全帶來了很大的隱患,因此需要從以下幾個方面完善終端安全防范措施:
提供并推廣可供全校師生員工使用的網絡版殺毒軟件,以及校內WSUS服務,逐步建立“沒有殺毒軟件”、“不打系統補丁”不上網的安全意識;
對校內突發的終端安全事故進行監控,及時提供必要的專殺工具、漏洞補丁:
提高技術人員的技術水平,采取相應的檢測手段,利用先進的儀器設備,減少用戶端安全事故的排查和定位時間。
2.1.3應用服務器安全措施
應用服務器是數字化校園的基礎,是各個業務系統的載體,所以它的安全是至關重要的,因此,系統管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。
制定相關技術文檔,規范應用服務器上線前的安全檢查,督促管理員使用正版操作系統、安裝殺毒軟件、防火墻、自動更新等,并且定期掃描系統漏洞,更改系統密碼。保證操作系統安全;
建立完善可靠的容災恢復方案,對關鍵服務器采用雙機熱備方式,并且提供可靠的數據備份系統,如采用RAID技術以及利用磁帶備份數據,確保事故發生時業務數據不丟失,系統能夠快速恢復;
建立授權控制體系,對不同管理員設定不同的系統、數據庫管理權限:
完善訪問日志分析系統,定期對日志進行整理和分析,制定相應的安全策略。
2.1.4網絡出口及邊界安全
目前高校網絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備,網絡出口及邊界的安全主要包括配置合理、全面的安全策略,以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面,需要在出口及邊界設備的管理中做到以下幾點:
建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名;
>制定詳細的ACL策略,限制登錄設備的IP地址;
采取NAT機制。在保證校內用戶正常上網的同時,繼續優化8812路由器的安全功能;
啟用防火墻的防病毒功能,在源頭阻斷病毒入侵;
合理規劃SSL VPN的用戶權限;
建立IDS+IPS的聯動機制。完善網絡監控與入侵防范;
建立出入雙向的訪問日志系統。
2.1.5應用分析控制技術的應用
在網絡安全管理中,網絡流量、網絡應用的分析至關重要,網絡管理人員需要明確地知道網絡中有哪些網絡應用,各種應用在網絡中所占的帶寬以及是否存在不良應用,如圖1。
隨著上網人數的增多,網絡出口不可避免地出現擁堵現象,因此,需要進一步對網絡應用進行分析,并制定有效的控制策略。
實時記錄出口帶寬使用情況,對惡意占用帶寬的應用進行限制,確保基本應用的高效運行;
對網絡流量進行監控,利用相關協議分析工具對網絡應用進行深層坎的分析。
2.2信息安全建設規劃
信息安全指保證系統中的信息不被破壞、不被竊取、不被非法復制和使用等。
2.2.1信息安全保障措施
通過一系列的措施,保證信息在傳輸和存儲時的安全。
建立完善的實名上網制度,并且與各系統的日志配合,建立“上網ID+上網時間+上網IP+上網入”的一一對應關系;
建立合理的文件上傳、審查制度,對關鍵數據采取數字簽名技術,做到誰上傳誰負責,安全事故責任到人;
對論壇、留言板等提供用戶交流的版塊加強監管力度。對有害和敏感信息進行監控;
數字校園關鍵服務器問數據傳輸采取加密方式,防止網絡竊聽、數據泄露等安全事故的發生;
對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。
2.2.2數據安全建設
隨著高校信息化建設的推進,各部門工作信息化的程度也將越來越高,如何保證數據安全,提高管理信息系統(MIS)的安全性是信息化過程中必須考慮的問題。
各部門需要制定MIS的相關管理制度:
制定MIS系統數據備份、災難恢復方案;
定期對MIS漏洞進行修補。防止數據泄露。
2.3全局安全體系建設
根據對網絡體系分層的概念,針對不同的層次制定不同的網絡安全措施。做到有的放矢,從技術上實現檢測、上報和控制一體化。例如銳捷公司提出的全局安全網絡(GSN),如圖2。
整合已建立的安全措施,增加針對上網用戶的準入策略。在用戶連入網絡之前先進行客戶端病毒及漏洞掃描,保證連入網絡的客戶端的安全性,從而最大限度地降低網絡安全風險:
建立統一的安全管理平臺(SMP),通過下發警告消息,下發修復程序,下發阻斷或者隔離策略等手段智能處理安全事件。
第2篇:學校網絡安全建設范文
關鍵詞:網絡安全 校園網 高職院校
中圖分類號:G642 文獻標識碼:A 文章編號:1007-9416(2016)12-0213-01
校園網絡對民辦應用型本科院校的校園維護和管理起到了十分巨大的作用,在信息技術發展十分迅速的今天,人們對網絡的依賴性越來越強,網絡給人們帶來的影響也越來越大,范圍越來越廣,滲入到生活的方方面面。民辦應用型本科院校是為社會提供應用型人才的搖籃,校園網絡的建設對院校的建設、學校管理、課時規以及各方面的那個都提供了方便快捷的途徑;院校的教務系統、學籍管理系統、黨政文件傳輸系統、視頻監控系統、以及各種應用軟件及學生實訓系統,這些系統想要順利平穩地運行,必須依賴于校園網絡的安全。因此,保障校園網平穩高效運轉,是民辦應用型本科院校需要著重注意的事情。
1 高職院校網絡安全的風險隱患
網絡安全不容忽視,目前網絡世界充斥著各種暴力、病毒等安全威脅,而校園網絡保存大量的師生信息等,更成為了黑客重點攻擊的對象,一旦學生和教師等個人信息或者教學資料被盜取或損壞,對教學活動將造成很嚴重的破壞,影響正常的校園秩序。因此,從我校的網絡安全管理情況以及校園特點出發,將網絡安全狀況進行如下總結:
1.1 用戶密集,信息量大
高校是人員密度很大的地方,相比較于其他工作單位,校園的人員密度要高于其2倍以上,并且網絡使用率高,這為安全上網造成了一定程度的隱患。因為對于教師和學生來說,網絡交流是平時使用最多的交流方式,上網頻率的增大也大大提高了病毒的傳播率。出于對教學效果考慮,我校幾乎每個教室都配有多媒體教學系統。每臺計算機都聯網,學生可以隨時下載學習資料等,教師也可以在上課過程中,隨時對難點、重點進行網上搜索等,除此之外,如今移動設備增加,不論是手機還是U盤、移動硬盤,都有可能攜帶病毒,對計算機網絡安全造成嚴重威脅。
除此之外,學校機房是網絡線路密集的地方,學校的中心控制區域和學校網絡核心都在此,因此成了黑客的重點攻擊對象,我院的網絡防火墻、萬維網服務器、郵件服務器、DHCP服務器等就曾經遭受過攻擊,一旦遭受攻擊就很容易導致校園網絡不正常運行,不足以支持正常教學活動和校務活動的展開。
1.2 安全系統與風險不匹配
由于網絡計算機系統的發達,各種安裝程序層出不窮,系統多樣化導致了安全系統研發跟不上系統的更新換代或不匹配所有系統,因此安全漏洞胡建增多,任何系統都有安全程度薄弱的地方,正是安全系統不足之處是黑客攻擊的對象。出于對教學的考慮,課堂電腦上安裝的教學軟件越來越多,從網上查閱資料和下載資料的頻率也越來越高,這就無形中增大了校園網絡的不安定因素。
2 高職院校網絡安全問題存在的原因
由于學校網絡的使用者文化程度參差不齊,網絡安全意識也有高有低,甚至有些不太懂的人也在網絡上下載東西,可能在其無意識的時候已經將病毒隨下載的東西一起安裝到電腦上來,不僅如此,還可能對此進行再次傳播。由于學生是校園網絡使用的主體,學生的整體安全意識不高,且不具備應對突發狀況的能力,很少人能做到有效的防范措施,因此,學校應加強學生網絡安全性教育。
網絡安全制度的不健全導致了網絡安全問題的出現。國家對網絡安全建設高度重視,但是隨著經濟水平不斷提高,計算機網絡水平也逐漸加快。高校對網絡安全方面的重視程度也比較到位,但是重視程度和管理水平不成正比,我國目前的網絡安全管理水平和制度化水平還不足以滿足所有的網絡安全建設,沒有健全的制度進行約束和指導。
由于高校的電腦設備不是自己的,因此用起來隨心所欲,根本不管下載的文件是否有病毒,對于需要安裝的軟件等也具有很大的隨意性,約束力不足對校園網絡安全的建設有很大的破壞作用。只有從根本上改變學生使用機房的態度,才能從根本上杜絕計算機網絡安全事故的頻發。
3 高職院校網絡安全問題的解決方案探討
網絡安全教育對學生而言是十分重要的,只有這樣,才能引起學生足夠的重視,對學校機房進行正確的使用,針對性地教育學生何為對何為錯,并且用嚴格的規章制度對學生行為進行約束。重視制度的可行性,使規章制度真正起到約束作用。
網絡管理部門可以辦短期培訓班,指導教職員工安全、高效、便捷的使用計算機和網絡來進行辦公,使他們懂得怎么安全高效的利用網絡辦公和教學。同時,在學院的網站上開辟應用軟件下載專區,將一些教師用得上的軟件資源放上去,便于教師下載使用的同時,也避免了從網絡上下載到攜帶病毒的資源。
定期對學院內網絡設備和電腦進行檢查維護,發現問題和隱患及時解決,盡可能把網絡安全問題消滅在萌芽狀態,不給他們生長的空間。同時建議和要求教職員工和學生,在電腦上使用U盤等移動存儲設備的時候先用安全軟件進行病毒查殺,確保沒有病毒的時候再打開使用,杜絕這些設備給網絡感染病毒。對于從網絡上下載的一切資源要求他們也要先進行病毒查殺,確保安全后再進行使用。
對于學院網絡核心設備等建立制定一套安全值班制度,規范重要設備的使用和維護,確保出現問題能及時解決,不能因為設備問題造成網絡癱瘓。同時還要加大對于網絡安全設備的投資建設,建立健全一個牢固的校園網絡之盾,盡量把風險擋在校園網之外。
網絡的發展是月異日新的,高職院校的網絡管理部門應該加強學習,不斷提高自己的知識儲備,跟得上網絡安全發展的腳步。用自己的知識、先進的設備、良好的制度,進一步完善校園網絡安全,讓校園成為沒有病毒、沒有網絡安全隱患的一方凈土。
參考文獻
[1]鐘平.校園網安全防范技術研究[DB].CNKI 系列數據庫,2007.
[2]徐耕.淺談計算機網絡安全問題[OL].無線互聯科技,2011(07).
第3篇:學校網絡安全建設范文
【關鍵詞】中職學校;校園網;組建;安全
【分類號】TP393.18
隨著社會的進步和科技的快速發展,許多的中職學校都建立了屬于自己的校園網絡,并與Internet進行連接。校園網的建設不僅是現代教育改革的要求,而且也是現代教育的重點內容。但是中職學校校園網的構建是一項較為復雜的工程,需要整合網絡設備、專業技術和相關的信息資源。隨著信息技術的快速發展,我國已經進入了信息化的時代,計算機網絡成為現代科研和現代化管理的重要手段,校園網在我國已經取得了較大的發展,但是中職學校校園網的構建仍然存在許多的缺陷。校園網絡的構建應該進行全面的互通,進行信息的快速傳遞,提升高校的辦學效率。
1 中職學校校園網設計的原則
1.1 先進性原則
中職學校的網絡具有重要的科研功能,因此在進行校園網絡的建設過程中應該具備較強的技術先進性。充分利用先進的計算機和網絡技術,采用先進的網絡設計思想,保證校園網絡具有較快的傳輸速率,能夠有效滿足教學和科研的要求,在整個網絡系統建成后保證整體處于先進的技術水平。
1.2 可靠性原則
中職校園網絡因為具備教學和日常應用的功能,因此需要具有較為成熟的網絡技術和設備。當中職學校所處的地理位置環境較差時,校園網絡也能夠滿足教學的要求,保證教學有序的進行。校園網絡還應該具備較強的抗干擾能力,網絡系統能夠適應不同的環境要求,保持系統的可靠運行[1]。
1.3 可擴展性原則
校園網絡的設計和規劃應該綜合考慮其擴展功能,不僅要滿足現在的各種教學應用,而且還應該能夠方便地進行升級操作,實施有效的擴展。這就要求中職學校的校園網絡的結構和管理具有較強的擴展性,并且保證在較低成本的要求下能夠進行快速的升級。
1.4 安全性原則
中職學校網絡的數據庫包涵了學校中的各種教學和科研信息,因此就需要保證校園網絡系統的安全性,保證數據信息不泄露。在中職學校進行網絡安全管理的過程中,應該設定嚴格的網絡安全管理權限,非法用戶不能獲取到網絡中的信息,保證數據的完整性。
2 中職學校校園網的組建設計方案
2.1 網絡拓撲結構設計
中職學校校園網絡的結構體系采用的分布式的結構,包括核心層、分布層和訪問層。網絡的核心層的主要作用是為網絡提供高速的連接線路,完成信息交互。因為核心層在網絡體系中占有重要的地位,因此它應該具備較為強大的擴展功能,最大程度的滿足網絡擴展的需求。目前,校園網中的網絡交換機大多采用的是統一的數據模塊和操作系統模塊,可以方便地進行升級操作。校園網絡的分布層主要的作用是連接接入層的各個節點,并與核心層進行交換,方便實現網絡的管理。這種校園網絡的交換機主要分布在校園樓層中的信息中心,在服務器中內置了各種服務的端口,可以方便進行外界設備的接入,在一定程度上提高了網絡架構的靈活性。網絡的接入層位于網絡結構的外層,可以方便進行數據的交換,還能夠支持VLAN,在進行設計過程中應該充分考慮接入節點的數量的問題,將交換機接入到終端的集線器中,核心層交換和接入層交換應該具備良好的兼容性。通過以上的分析可知,只有完善中職校園網絡的核心層、分布層和接入層,才能完善整個校園網絡的架構[2]。
2.2 服務器的配置選擇
為了提升校園網絡的服務功能,應該在校園網中配置文件服務器、DNS服務器和MAIL服務器等,在選擇校園網絡配置中應該遵循的主要原則是:良好的性能、擴展能力強、良好的可靠性等。還可以根據服務器的具體型號進行骨干操作系統的選擇。建立的DNS服務器中的IP地址應該根據標準的命名規則,當用戶向計算機提出查詢IP地址的需求時,DNS服務器應該能夠較快的從數據庫中提取滿足用戶要求的數據。郵件服務器的建立應該在網絡的平臺中,基于Unix平臺的發送郵件系統,在有限的預算內建立這種郵件服務器,可以有效減少資金的投入。在功能和性能方面也具有良好的表現,但是其管理的難度要比UNIX低。
3 中職學校校園網的安全
中職學校的校園網絡在教學、科研和管理中擔任重要的角色,因此網絡的安全性具有重要的意義。目前,我國的網絡中存在較大安全隱患,影響網絡安全的主要因素有數據的破壞、系統運行受到干擾、突然斷電和非法黑客的入侵。進行中職學校園網絡安全的構建,首先應該選擇性能穩定的交換機,有效提升防攻擊的能力。還應該為校園網絡配置一個具有優良性能的電源,提升網絡的配電系統。網路管理員應該樹立這種網絡安全的意識,對敏感的信息進行加密,提升網絡服務器的容錯能力,當網絡出現事故時能夠快速地恢復各種數據和網絡信息;其次,還應該建立完善的網絡安全認證機制,這也是保障網絡系統安全運行的關鍵所在,進行身份系統的識別可以有效防止非法的用戶入侵,可以對用戶的權限進行設置,進行口令或者密碼的設定,為用戶提供完整的用戶使用記錄,有效保證網絡的安全[3]。最后,可以設置有效的防火墻,采用先進的網絡防御技術進行數據流的監控和限制,提升網絡的入侵檢測系統,全面提升外界因素對網絡造成的各種威脅。防火墻還應該具有較好的應用透明性,采用硬件的形式防止網絡黑客的入侵。
4 總結
總而言之,中職學校校園網兼具教學和科研的任務,校園網的建設也是一項較為復雜的系統工程,具有較強的開創性。在進行校園網絡的構建中應該進行綜合的考慮,從長遠規劃,采取分步實施的方式,細心做好網絡建設中的各種具體工作,只有這樣才能建立性能完善、安全性高的校園網。
【參考文獻】
[1]張青松.淺談中職學校校園網之構建[J].計算機光盤軟件與應用,2011,(1):90-90.
第4篇:學校網絡安全建設范文
關鍵詞:高校;網絡安全建設;安全隱患;構建策略
中圖分類號:TP393.08
當前,高校網絡運行的主要特點是:用戶數量和類型眾多,信息資源分散,網絡應用方式等。但是,由于校園網保護和防御等方面措施的不完善,導致高校網絡中存放著大量科研成果、論文、教案等重要的信息資源被非法盜用,使得高校網絡面臨著眾多不同的安全隱患。
1 高校網絡安全面臨的主要問題
高校網絡安全面臨的問題諸多,包括主觀和客觀的,顯現和潛在的,自身問題和外在問題,其中較為突出的問題主要有以下幾點。
1.1 病毒感染
計算機病毒可在計算機之間進行傳播,利用多種手段破壞計算機中的數據,或是通過對屏幕顯示內容的篡改來干擾用戶。網絡技術被廣泛應用的同時,計算機病毒的傳播速度更加快,破壞性更加大。高校網絡中,諸如U盤、移動硬盤、各種數碼存儲卡等移動存儲設備的廣泛使用,為病毒的傳播提供了更多渠道,使高校網絡更易感染病毒。一旦高校網絡中的計算機感染病毒,除了會造成文件損壞和數據丟失,甚至還會造成系統崩潰、無法運行,進而使高校的教學、科研和管理無法正常進行。
1.2 遭受黑客的網絡攻擊
黑客利用網絡工具,除了有選擇的破壞網絡信息的有效性和完整性,或是冒充合法用戶進入網絡,以最大限度占有資源、篡改網絡數據、竊取重要文件和毀壞網絡系統為目的。以上網絡攻擊行為會阻礙高校工作的正常化,破壞高校形象。
尤其遭受黑客入侵后,高校信息網絡極易被其破壞,甚至造成高校信息網絡無法運行。學生的對網頁的瀏覽或是資料的下載等都會造成一系列問題,對網絡安全產生威脅。在這種環境下一些有病毒或木馬的資料通過被學生下載而使計算機感染病毒并快速傳播,嚴重威脅高校信息網絡安全。
1.3 系統存在的安全漏洞
安全漏洞在很大程度上給包括系統自身和其支撐軟件、網絡客戶和服務器軟件、網絡路由器和安全防火墻等在內的軟硬件設備造成影響。換句話說,以上軟硬件設備都存在不同的安全漏洞問題。這些漏洞問題會給計算機產生嚴重威脅,黑客通常利用漏洞掃描工具偵探計算機,從而毫不費力的獲取整個計算機的信息。
1.4 人為因素造成的網絡安全問題
在高校網絡中,因人為因素造成的網絡安全問題以客戶端和管理層兩方面較為集中。一方面,高校校園網絡建設的客戶端以在校大學生為主,學生大多思想活躍,使校園網絡運行具有復雜性,一些不正確的操作都有可能威脅高校網絡的安全。另一方面,高校網絡建設管理中,現存的對服務器和數據接收設備不科學的管理都會造成校園網絡數據管理不全面,存在遺漏的現象。通常情況下,高校校園網絡不是對所有人開放的,有使用權限的人才能進入,然而,校園網絡的管理者對權限設置不夠完善,存在缺陷,使網絡病毒有侵入的機會,給高校校園網絡的安全造成威脅。
2 加強高校網絡安全建設,構建文明平安校園的對策
2.1 嚴格控制網絡權限,構建網絡安全體系
第一,嚴格控制網絡權限。校園網絡在進行安全管理時,尤其需要在登陸控制上對用戶進行身份識別和密碼驗證等方面的審核,使審核更加有效。高校網絡中每個使用賬號都應通過更改安全級別的設置來提高安全性,切不可隨意使用任意軟件和隨意登陸沒有安全性的網站,通過設置密碼來防止自己電腦中的重要文件及賬號不被泄露,在共享高校公共資源時,還要注意完善個人身份認證體系;第二,加強網絡安全體系的構建。相對脆弱的校園網絡運行,因此在構建安全防范體系時,要通過設計多層防范系統使網絡保護的覆蓋面更加廣泛。第三,加強網絡用戶的安全意識。高校需要從自身做起,通過組織與網絡安全知識相關的講座和交流會等,提高學校每個網絡用戶自身預防的能力,從根源上切斷那些對高校網絡安全存在威脅因素的侵入。
2.2 安裝防病毒軟件,阻止木馬和病毒入侵
安裝防病毒軟件對木馬和病毒的入侵有較好的阻止作用,這是防止病毒和木馬入侵計算機的最好方式之一。良好的殺毒軟件和防火墻軟件都應當被安裝在高校電腦中,這樣不僅能夠有效阻止病毒和木馬侵入計算機,還可以防止一些不明程序或軟件自動運行,從而使系統承擔較低的風險。
有條件的高校可以擺放一臺高配置服務器在學校網絡中心處,并安裝一個網絡版本的殺毒軟件在服務器中,用服務器來管理所有使用校園網絡的電腦,然后各個電腦中都要安裝相對應的殺毒軟件。安裝完成后,高校管理人員可通過控制服務器監測校園網絡中所有的電腦,并定時殺毒,這就保證了高校網絡即使是在沒聯網時也能研究和分析網絡信息是否安全,而且不影響殺毒與升級操作的正常進行。
為更方便地管理高校網絡,保證其安全性,網絡中的系統會定期到殺毒軟件的網站自行下載全新的升級補丁,包括程序文件、病毒定義碼、掃描引擎等,而后再由網絡中心把升級補丁派發到高校網絡中其他的計算機的服務器端和客戶端中,并對計算機中的殺毒軟件進行更新。通過進行以上操作能夠防止高校網絡中心被病毒侵入,保證高校網絡的安全。
2.3 建立對校園網用戶的內部網絡監控機制
高校校園網絡逐步發展和完善,這就使得校園網重的信息數據更加重要,與此同時,由高校校園內部用戶引發的校園網絡攻擊問題日益嚴重,由此,對校園網絡用戶日益嚴密的監控是十分有必要的。
網絡能夠平穩運行時,可通過內部監控措施保證網絡安全運行,包括IDS入侵檢測系統,IPS入侵防御系統,安全偵測與監聽系統等。通過對這些內監控系統的應用,不僅能使網絡防御水平更高,還能及時發現安全隱患,保障網絡正常運行。另外,還可使用網絡管理軟件、日記錄軟件等分析工具,對網絡安全情況進行分析,使內部監控機制更加完善,提升網絡管理水平。
2.4 構建網絡安全綜合告警系統
為提升網絡管理人員分析檢測不安全因素的準確性,輔助管理人員及時有效地進行針對校園網絡進行監控,可在校園網內構建網絡安全綜合告警系統。網絡安全綜合告警系統設計遵循模塊化的設計思路,由監視模塊、網絡傳輸模塊、信息管理模塊、Web管理模塊、數據庫模塊構成。
具體而言:(1)監視模塊監視計算機系統的各類實用信息;(2)通過數據庫模塊,存儲監視所得相關告警信息、狀態數據、用戶信息以及存儲系統日志等,供系統管理和使用者進行查詢與分析。(3)通過信息管理模塊,保證信息傳遞的通暢性和安全型,協調Web管理模塊、數據傳輸模塊以及數據庫模塊。(4)通過網絡傳輸模塊搭建客戶監視子系統和中心服務端子系統二者之間的信息傳輸橋梁。(5)通過Web管理模塊為管理者訪問信息安全綜合告警系統的管理操作提供便利。
參考文獻
[1]張學.淺談影響校園網安全的因素及其對策[J].信息系統工程,2014(03):75.
[2]張楊娟.試論網絡安全技術在校園網建設中的應用[J].網絡安全技術與應用,2014(03):145+147.
第5篇:學校網絡安全建設范文
關鍵詞:計算機局域網;網絡安全;措施
中圖分類號:TP393.08
隨著Internet技術和應用的發展,人類與它的關系也越來越密切。在國內,像電子商務、政府上網工程和寬帶等這些圍繞Internet應用技術的建設正在展開。就在人類享受網絡的便利與快捷的時候,面臨的安全危機也是前所未有的,尤其現在的網絡的環境更是復雜,安全、有效、安全的網絡連接已成為信息化必須有的條件。加強建設安全計算機局域網絡可以有效改善信息質量,降低信息應用風險,已經成為當前網絡建設和管理的關鍵。
1 計算機局域網安全應用區域及意義
計算機局域網是在一定區域范疇內多個計算機網絡集成的系統,該區域的限定較為自由,可以是單獨的辦公室,還可以是社區、學校等。不同硬件系統構成的計算機局域網,安全質量不相同。在當前的使用過程中,局域網主要應用于企業、學校以及其他一些辦公場所,在一些公共場所也有所普及。
局域網擁有資源共享性等優點,企業的局域網在員工進行工作處理時更加便利,更加有利于工作的協調,可以改善員工的工作效率,對企業的發展和人們的正常生活具有至關重要的作用。但是建立在上述基礎上的局域網保護力度一般較為低下,保護操作不完善,非常容易出現機密泄露、數據丟失、網絡濫用等安全問題,造成用戶經濟效益受損。
2 局域網安全威脅分析
局域網一般結構簡單、數據傳輸率高、可行性高、投資少,具有非常好的可實施性,應用技術較為簡便。但是由于該網絡的技術質量較為低下,安全措施不到位等導致使用過程中非常容易受到網絡病毒或黑客的攻擊,造成網絡安全質量降低。常見的安全威脅主要包括:
網絡欺騙軟件:網絡欺騙軟件主要是通過局域網的資源共享特點,對數據、機密文件、實時信息等進行篡改和盜取,造成數據的安全性大打折扣。局域網的數據備份操作和數據安全管理不足在一定程度上導致網絡欺騙軟件造成的安全問題擴大,導致數據丟失現象加劇。
網絡IP地址沖突:在網絡使用高峰,極易造成網絡地址沖突,致使一部分的計算機無法連接網絡,十分影響人們的日常工作等。對于IP沖突、ARP攻擊和網絡洪水等問題在局域網內出現頻率十分高,嚴重影響了正常的網絡秩序。局域網這種特殊性容易造成病毒傳播快、數據安全性過低,網內的用戶相互傳播感染,病毒屢殺不盡、數據丟失無法阻止等現象。
服務器互聯:服務器是阻止網絡互聯過程中可能存在的風險問題的關鍵。但是在當前大多數局域網中并不存在防火墻一類的服務器實施病毒或黑客入侵保護,導致局域網非常容易受到外部的入侵和攻擊,造成局域網的風險上升。
保障和意識不深入。一些用戶在使用U盤、移動硬盤的過程中不存在安全保護意識,沒有及時對數據進行安全檢測,導致U盤和移動硬盤中的病毒大面積傳播,造成計算機本身數據收到威脅。與此同時,計算機病毒隨著區域網的使用,導致病毒的感染局域網,造成局域網癱瘓或運行障礙。
3 建設安全計算機局域網的相關措施
局域網的普及對于企業發展起著關鍵性作用,加強網絡安全意識,實現對內網的集中同步控制,數據信息進行有效備份,不僅可以確保用戶的網絡安全,還可以促進經濟發展,對當前信息網絡建設具有非常積極的意義。
3.1 創建獨立完全局域網絡服務器
我國當前的計算機局域網主要沒有針對服務器進行全方位的保護和管理,這在很大程度上降低了計算機局域網的安全質量,方便了病毒、黑客的攻擊。因此在對計算機局域網進行建立的過程中要對服務器進行單獨創設。,首先要安裝防火墻。通過防火墻阻止外部網絡進入局域網內部,對外部網絡進行訪問。防火墻在很大程度上提高了局域網網絡安全,可以有效阻止外部網絡侵襲,限制外部網絡入侵造成的損失。其次,進行入侵檢測。通過安全控制軟件進行入侵彌補防火墻相對靜態防護的缺陷。最后,對計算機安全系統進行防毒內部軟件的安裝,確保從企業內部進行殺毒的控制,提高網絡安全的效果。要在計算機局域網內部進行服務器控制監測,對系統內部的各種病毒庫及時進行更新,保證系統的綜合使用質量,實現全過程實時監督和管理。要對計算機內部系統中遭受的攻擊及時進行中斷,通過服務器進行數據外部保護,將存在的攻擊及時報告病毒中心,實施全面殺毒,提高計算機局域網安全水平。
3.2 對網絡使用者進行培訓
網絡使用者是網絡安全的重要環節,如果可以在這個環節加強安全保障,那么,網絡安全隱患將大大減小。所以,對網絡的使用者以及網絡管理者應該加強網絡安全使用培訓,加強網絡維護,降低網絡隱患。相關人員要對局域網使用人員的安全防范意識進行提高,對人員進行計算機局域網絡安全教育,確保人員嚴格依照計算機局域安全網使用方法進行操作,降低局域網中可能出現的感染、攻擊、損壞等現象。要對管理人員的管理責任進行明確,對對網絡使用人員的管理力度進行強化,加強管理控制質量,從而實現計算機局域網網絡的安全。對用戶進行知識網絡系統培訓,進行培訓實踐。通過對用戶進行培訓,確保用戶對網絡上的信息學會篩選,正確運用網絡,發揮網絡自身優勢,增強用戶的防范意識以及應對網絡安全風險的能力。
3.3 實施數據備份管理
當計算機系統受到攻擊后非常容易對信息、數據等進行竊取,導致局域網形成損壞。因此在進行計算機局域網系統管理的過程中,相關人員要對計算機系統漏洞、網絡等進行全面控制,降低不安全因素對計算機的攻擊,減少數據的損失。相關人員要對計算機局域網數據進行實時備份,對備份制度進行建立和管理,保證文件、信息的安全效果。進行數據備份主要是進行主機硬盤和列陣的數據復制,確保數據貯存在存儲介質中,保障局域網的安全性。將數據轉移到硬質介質中,防止出現誤刪、病毒攻擊等狀況,提高局域網的可靠性。除此之外,計算機局域網數據備份還包括對系統補丁、磁盤加密等的處理,通過對計算機補丁的監控安裝,降低可能出現的安全問題。要對磁盤進行定期查毒,對磁盤備份文件進行定期整理,刪除冗余注冊表等,實現系統安全優化。
3.4 局域網加密處理
計算機局域網加密處理技術主要包括不可逆加密技術、對稱加密技術、不對稱加密技術三種。通過對上述技術進行合理利用,可以在很大程度上改善局域網的保護效果,降低局域網絡可能出現的文件、信息、數據泄露、篡改等情況,對計算機局域網具有至關重要的作用。加密技術進行落實時主要是通過不同的算法形成,通過常規密碼算法或公鑰密碼算法,對信息數據進行統一處理,實現加密操作。常規密碼算法指在進行加密的過程中對雙方密碼進行處理,保證加密密碼和解密密碼的完整性和統一性,確保接收體系能夠有效實現信息傳遞,保證信息傳遞的安全性。公鑰密碼主要指在進行加密處理的過程中傳遞信息與接收信息部分使用的密碼不同,這種方法可以有效提高局域網絡的開放性,在很大程度上簡化了加密操作,降低了管理難度。
4 總結
計算機局域網的安全建設是實現局域網安全運行的關鍵,是實現信息化網絡安全建設的基礎。在進行計算機局域網建設的過程中,管理機構要創建獨立完全局域網絡服務器、對網絡使用者進行培訓、實施數據備份管理和局域網加密處理,降低局域網可能存在的風險和隱患,確保局域網處于安全的環境中。
參考文獻:
[1]蘇佳,郝巖君,劉文瑾.淺談計算機局域網網絡的安全建設[J].計算機光盤軟件與應用,2010,7(13):16-17.
[2]沈宇.計算機局域網網絡安全建設的探討[J].科技傳播,2012,3(24):78-79.
[3]許曉聰.計算機局域網網絡的安全防護策略[J].計算機光盤軟件與應用,2011,4(10):24-25.
第6篇:學校網絡安全建設范文
關鍵詞:信息安全;檔案;因素;對策近年來,信息技術的運用
在高校檔案管理中發揮日益顯著的作用,打破了傳統紙質檔案的管理模式,由檔案實體管理向數字化管理模式轉變,這一創新舉措大大提高了檔案資源開發和利用的效率,但數字化管理中的安全問題亦不容忽視,只有不斷強化數字化檔案的安全管理,建立健全檔案安全工作保障體系,才能真正確保數字化檔案的安全。
1問題及影響因素
首先,高校數字化檔案信息安全管理缺少頂層設計。目前安徽省高校檔案管理軟件多種類型并存,彼此孤立,有網絡版的也有單機版的,橫向之間不聯,上下之間不通,各自為政,追求小而全,未能形成網絡大平臺上的協調溝通運行機制,既影響了網絡功能的發揮,又造成了重復建設,浪費了人力、物力。其根本原因在于頂層設計滯后,缺乏統一的功能和具體執行標準。其次,檔案信息安全管理制度不完善。按照國家保密局《涉及國家秘密的信息系統審批管理規定》,現在大部分高校信息利用安全無法保證。具體表現為:一是沒有統一的利用平臺,其利用環境的安全完全依賴于自身網絡建設;二是局域網、政務網、公眾網的內容界定不規范,在協調處理多方關系上存在著隨意性;三是檔案館(室)在外包安全協議中沒有明確注明保密的形式和內容,當事者所應承擔的責任和義務,缺少相應的監管標準和獎懲措施,這些毋庸置疑將對檔案信息利用安全造成威脅。然而,究其根本原因在于缺乏建立相配套的系統安全管理規章制度[1-2]。最后,對系統功能的安全監管不到位。據調查表明,目前我省高校大部分電子檔案系統的權限設置,身份認證識別鑒定功能、CA認證以及數字簽名等技術功能均達不到相關要求,隨時可能發生文件丟失、泄密的危險。在信息采集、硬件防護等方面,相關技術部門之間未能及時有效地溝通與協調,管理措施的制定缺少系統性和科學性,如此等等[3-4],都是因缺乏嚴格的監存管機制,從而導致安全建設存在諸多隱患和漏洞。
2檔案數字化安全管理應遵循的原則
責任規范原則。安全責任規范是檔案信息系統規劃、設計、實現、運行的必然要求,各檔案館(室)應根據安全標準化規定制定適合本單位的安全政策,不能無依據、無標準、隨意開發、盲目設計、違規操作、無人監管,而應根據實際情況,具體問題具體分析,采用正確的安全功能和設備。預防原則。將預防為主的意識貫穿整個安全系統管理的全過程,包括規劃、采購、安裝、設計等各個環節。不同的地理條件、不同的人文環境,各館(室)藏對安全設施的配備及安全功能的實現程度也迥異,應因地制宜,將安全防范意識擺在首位,加強薄弱環節的防護,最大限度地減少人為和自然災難所造成的損失。實效原則。目標的制定和規劃應與安全功能的實現程度相匹配,不應盲目追求高目標或投資過大的項目,要實事求是,使投入與需要的安全功能相適應,才能真正提高安全管理效率。分權制約原則。分散重要環節的管理權限,使其各部門之間的權利相互制約,避免全線崩潰,提高安全性。對數字化服務機構的相關資質、業績、人員、設備和加工軟件等進行考察,并了解是否存在違約行為、安全事故等不良記錄。應急原則。安全防護要防患于未然。建立健全應急管理機制,開展各類突發事件應急演練,遇到突發事件及時采用應急預案,多方聯動,采取積極有效的防護措施。災難恢復原則。全盤優化災難恢復策略,合理劃分容災等級,嚴格執行數據恢復流程并采取有效的技術恢復手段,保持原數據中心和備份中心數據的一致性。
3高校數字化檔案信息安全管理的對策
3.1加強信息安全技術管理,提高信息化管理水平
設備層的安全管理。設備層的安全管理包含軟硬件系統的管理,是檔案信息安全管理的基礎。硬件系統的安全又稱為物理安全。由于應用軟件自身存在弊端,使其很容易受到攻擊,各種各樣的防黑客技術、軟件恢復技術以及安全操作系統的實現將是軟件系統安全管理的重點。采用先進的病毒防范技術定期對服務器和客戶端查毒、殺毒,對防毒軟件適時升級,檔案管理人員要依據病毒類型構建病毒防范機制,充分了解病毒知識,做好主動防范工作,增強殺毒的敏感性,以全面提高網絡防范能力。網絡層的安全管理。網絡層的安全管理主要針對網絡協議和結構及其所導致的安全問題應采取的安全措施。主要包括:網絡安全告警,內部流量和活動模型分析,網絡入侵恢復,網絡結構數據保護,內部加密與密鑰管理等。各個子網的出入口設備的安全管理是其管理的關鍵點,由于嵌入式操作系統作為網絡安全管理的核心技術比通用的操作系統更易實現,因而不可避免地成為整個信息產業發展的重點之一。應用層的安全管理。采取數據加密等技術確保安全,使用簽名芯片及時實現加密技術的有效應用。嚴格控制訪問權限,通過設置口令、密鑰、指紋、聲音等方式進行身份鑒別和訪問控制,并防止越權操作。對數字化設備、存儲介質應進行安全保密技術處理,數字化加工設備不得外送維修,對系統中各種操作實現嚴格的監控并加以記錄。做好日常的系統維護工作,確保數據的安全存儲、轉移和備份恢復。
3.2創新信息安全管理機制,全面提高防范意識
制度層的安全管理。強化制度建設,形成有效的安全管理機制,為信息安全建設提供制度保障。為確保數字化檔案信息安全,高校檔案館(室)要建立健全各項安全管理制度和責任制度,在面臨突發災害時,緊急啟動應急預案,形成聯動機制,因地制宜,妥善處理影響檔案安全的各類突發事件。對檔案要強化監督和管理,認真進行檔案密級鑒定,做好檔案數字化的各項安全保密工作,對密級檔案嚴格審核,做出是否變更或解除的決定,對控制知悉、使用范圍的檔案進行劃控,密級檔案以及控制知悉、使用范圍的檔案,須在安全保密的場所由其單位工作人員負責人加工處理;對特殊載體檔案采取特殊保護,對珍貴、頻繁利用的紙質檔案優先保護、定期消毒。其次要制定數字化檔案安全權利清單和責任清單,將數字化檔案信息安全建設作為日常工作運行的重點,實行領導責任制,明確在信息安全建設中各個環節的責任程序和責任人,科學界定工作職責,完善安全隱患定期排查制度,規范細化檔案數字化工作流程,強化對權利運行的制約和監督,嚴格按照任務清單要求,全面落實好安全主體責任,不斷加大問責力度,建立健全安全問題通報制度,確保安全權利清單制度落地見效。不僅如此,高校檔案館(室)也應加強數字化加工場所和設備實施的安全監管。加工場所應設置在符合保密要求且相對獨立的區域,安裝視頻監控系統、實施全程監控,嚴格核查出入人員身份,無關人員不得進入場所。工作人員不得在場所內吸煙、飲水、進食,嚴禁攜帶照相機、攝像機、手機等信息設備及其他與工作無關的物品入場,禁止以拍攝方式獲取檔案信息或攜帶實體檔案及電子檔案外出。用于檔案數字化的設備系統必須與其他網絡物理隔離,禁止安裝使用無線網卡等具有無線互聯功能的硬件和設備,對設備輸入、輸出接口進行封閉處理,并進行檢查登記。此外,若采取數字化委托加工方式,應設有專人負責安全保密工作,無安全事故、泄密事件等違法記錄。數字化加工單位應與受委托的專業公司簽訂保密協議,確保數字化加工場地的安全管理。以制度有效運行作保障,積極為檔案信息安全鑄造堅固的防護體系。組織層的安全管理。各高校要因地制宜,把數字化檔案安全體系建設擺上議事日程,制定適合本學校的數字化檔案信息安全建設規劃和實施方案,將檔案信息安全體系建設納入單位(部門)年度考核、目標管理等工作的重要內容,加強日常的監督、檢查和指導,定期聽取檔案安全工作匯報,研究部署年度工作計劃,領導要親自過問,在經費投入、技術保障、處室配合、人員使用等方面給予大力支持,各高校檔案(館)室要加快建立數字化檔案信息安全領導小組,充分調動專職檔案人員工作的主動性和積極性,并根據學校機構設置和人員變動情況,適時調整充實領導組成員,明確各部門分管檔案信息安全工作的領導,逐步細化完善檔案信息安全工作崗位職責,做到檔案信息安全工作人員職責清晰、分工明確,確保檔案安全工作順利有序開展。
3.3加大人才培養力度,打造復合型數字化安全管理專業人才
高校檔案館(室)要加大數字化檔案信息安全專業技術人才的培養力度,積極開展檔案信息化知識技能培訓和數字化安全崗前教育培訓。制定科學合理的人才規劃,數字化檔案安全的核心在于人,人是保證數字化檔案安全的關鍵,一切安全技術的實施都離不開專業技術人員,努力建設一支素質優良,結構合理,隊伍穩定,既通曉檔案網絡技術知識又能熟練掌握安全管理技能的綜合型人才,不斷探索培養優秀檔案信息化人才的新途徑。
3.4加快法律法規體系建設進程,營造良好的依法治檔環境和氛圍
建立健全數字化檔案安全法律法規,真正落實依法治檔。檔案管理人員要嚴格遵守檔案安全法規和保密規定,采取綜合防范策略,建立科學合理的操作規范,積極防御,不斷提升防護水平,凈化網絡安全環境。加大安全執法力度,嚴加懲處盜取、篡改信息的機構和個人,并依法追究相關責任。重視安全法律法規宣傳工作,利用校園網,宣傳安全知識以及學校關于檔案安全工作的規章制度。通過檔案網站,及時國家頒布實施的檔案安全法律法規,認真學習并貫徹落實上級檔案主管部門關于檔案安全管理的文件精神,讓廣大師生不斷強化安全和保護意識,充分認識學校檔案安全工作的重要性。
4結論
高校數字化檔案信息的安全管理是一項漫長而艱巨的任務,涉及技術、法律、制度、意識、人員等方方面面,隨著社會信息化的飛速發展和科技的日新月異,影響數字化檔案信息安全的因素也日益繁多,高校檔案安全工作將面臨新的挑戰,各高校檔案館(室)應高度重視,通力合作,使數字化檔案信息的安全管理逐步邁上規范化、科學化的軌道,為檔案的永久安全保管和歷史文化的傳承做出應有的貢獻。
參考文獻:
[1]種金成,何祖華.高校館藏檔案數字化實施方案及安全策略研究[J].黑龍江檔案,2014(1):44-45.
[2]趙鵬.從檔案安全體系建設的角度看檔案保護[J].中國檔案,2010(6):25-27.
[3]楊冬權.建立完善的檔案安全體系確保檔案安全[J].蘭臺世界,2010(6):1-2.
第7篇:學校網絡安全建設范文
【關鍵詞】校園網 網絡安全 解決方案
1 安全現狀
校園網是學校基礎設施,用于教學、科研、管理和對外交流等。校園網的安全情況有學校工作起至關重要的作用,其安全與否直接影響學生工作的質量高低。校園網建設之初,學校對這一塊的重視力度不大,隨著科技發展和教學辦公的信息化,校園網受到的網絡攻擊變多,校園網安全問題也開始多樣,加上學校安全意識和管理方面的原因,校園網的事故不斷發生,安全受到極大的威脅。隨著學校的發展和對網絡管理的重視,科技促使校園網規模擴大,復雜性也在增加,學校網絡用戶對校園網的性能要求在提升,網絡安全已經成為校園網發展建設的關鍵任務。
2 關鍵技術
2.1 防火墻技術
校園網安全問題,需要設置一個高級訪問控制設備,以此組成防火墻系統,將其部署在幾個不同的網絡當中,內外網絡信息必須從這個系統經過,因此可以利用防火墻攔截不安全信息,并對想要進入校園網的信息進行訪問控制,保證校園網絡的安全。
2.2 VPN技術
VPN指虛擬專用網絡,是在建立私有和安全的通道,建立起自身網絡和遠程用戶的安全連接。VPN是W絡不斷擴展中一個完整的組成部分,在網絡元素不斷擴展的時代,VPN技術能夠保證校園網的安全性。利用VPN技術給兩個或多個網絡連接提供一條加密的隧道。這樣,利用校園網這個共有網絡傳輸的通信是隱藏的,保證安全性。
2.3 入侵檢測技術
入侵檢測技術也是一項安全技術,主要是網絡邊界的防護,雖然防火墻在安全方面有著重要作用。它部署在網絡的各個關鍵點,但從安全技術和理論上看,防火墻是不能夠避免入侵行為的。在這種形勢下,利用入侵檢測技術十分必要,檢測防火墻在防護中遺漏的入侵行為,發現網絡出現安全問題的原因,提高校園網的整體安全性。
2.4 設備冗余
校園網是一個比較公開,并且多種類型用戶的網絡系統,系統故障很常見,這時就需要利用冗余設備,以此來減少系統故障時間,保證校園網系統的可靠性。冗余是重要組成部分,和其他安全技術和措施不同,它不能直接緩解網絡攻擊和處理漏洞問題,但如果沒有部署冗余設計,其他的安全技術和措施是不能發揮作用的,不能防范和抵御已知和未知的威脅和攻擊,也不能夠保證系統的安全。因而,在合適的位置部署冗余設計,是校園網安全的重要措施之一。設置冗余設備,保證其他技術的正常工作,使校園網更加安全、可靠和穩定,同時也能夠為保護機制的建立爭取時間。
3 安全措施
校園網安全問題是當前重要的一個問題,采取有效措施進行病毒和不良信息的入侵,能夠保證學校網絡環境的安全。
3.1 虛擬隔離
對于校園網內部環境的安全,應該利用VLAM技術進行虛擬隔離,給不同的區域不同的安全隔離,使不同等級的網絡劃分開,即使病毒進入一個區域,也不能任意妄為,擴散到其他區域,導致全網絡的癱瘓。
3.2 病毒查殺
校園網的安全問題,病毒查殺是重要解決措施,在網絡中安裝防毒軟件,能夠過濾和查殺網絡中可能存在的病毒,保證網絡數據安全,同時也加強互聯網連入業務的監控管理。
4 解決方案
校園使用用戶多,不同用戶需求不同,因而要制定相應措施,緩解網絡攻擊。
4.1 工作人員
校園網使用中,由于用戶很多,所以要對使用者提出要求。本系統和公共系統以及業務處理系統的服務器都可以進行訪問。但設計到部門的資源,特別是安全實施方案,不允許其他部門的用戶進行訪問,所以需要系統服務器、公共系統服務器和業務處理的路由都加入自身網絡。
4.2 內部服務器
對于系統內部服務器要提出要求,允許服務器通用,允許其他部門用戶訪問,但不能夠訪問服務器安全實施方案,部門內部的服務器要由自身管理,在連接校園網后,要加強服務器安全管理,統一給學校網絡中心管理。
4.3 公共服務器網段
公共服務器網段是開放的,將公共服務器的路由分發給允許訪問的用戶,在這個過程中,要注意的是個別部門對公共服務器的攻擊,進而控制公共服務器,達到訪問其他網絡的行為。
5 管理方案
校園網具有自身獨特的特點,以前,“外部網絡是”網絡安全建設的核心,現在轉成了“內部網絡”。其內部建設面臨挑戰,所以加強校園網安全管理十分重要。怎樣應對內部網絡安全威脅,不僅是已知威脅,還有未知威脅,組織攻擊手段在內網中的運行,保證校園網的安全。
5.1 終端管理
校園網的威脅,多來自學生。所以,校園網要利用終端管理是保證網絡安全。利用內網介入控制,對上網行為進行檢測,實現對外接或移動存儲空間的監控,利用身份認證技術,保證檢測到具體個人。
5.2 用戶管理
校園網安全管理中,應該制定管理制度和技術措施等,在制度中明確校園網用過的責任和義務,以此提供他們在使用網絡時的安全意識,這樣也能夠在校園網安全事故發生時,及時有效的做出處理。學生在使用校園網時,可以根據自身情況簽訂入網協議,這樣才能使學生用戶了解學生的網絡安全管理制度,對他們的用網行為起制約作用。另外,還需要對校園網安全管理者進行專業技能培訓,使他們能夠有能力應對校園網安全問題。
6 結語
校園網安全是學校教學和辦公的保證,目前很多學校網絡環境還沒有得到很快完善,在網絡安全上還存在一定缺陷,學校要采取各種措施和安全保護技術,例如病毒隔離技術、防火墻技術和VPN技術等等,從管理和技術上解決校園網安全問題,致力于給學校提供一個良好的網絡環境。
參考文獻
[1]林玉梅.高校校園網絡安全防護方案的設計與實施[D].華僑大學,2015(04).
[2]李春曉.校園網網絡技術安全技術及解決方案分析[J].電子測試,2013(09).
[3]張俊芳.高校校園網升級改造方案的設計與實現[D].華南理工大學,2014(06).
第8篇:學校網絡安全建設范文
關鍵詞:校園網絡 網絡安全 管理
高校校園網作為高校這個特殊環境中傳遞信息的媒介,是學校重要的教學、科研信息基礎設施,它提供教學,科研,娛樂,教育管理,招生。隨著校園網的逐步發展,網絡應用的逐漸普及,校內部的網絡越來越多的暴露給了外部世界。因此,在校園網絡及其信息系統中如何設置自己的安全措施,使它安全、穩定、高效地運轉,發揮其應有的作用,成為各校越來越重視的問題。
針對層出不窮的校園網絡安全問題,高校內設辦公機構和部門都購置了各種網絡安全產品,如防火墻、入侵檢測系統、漏洞掃描器、系統實時監控器、VPN網關、網絡防病毒軟件等。毋容置疑,這些產品分別在不同的側面保護著網絡系統。但是,從系統整體安全考慮,這些單一的網絡安全產品都存在著不同的安全局限性。并且網絡安全不僅有著眾多的技術安全因素,更多的在網絡安全的管理、部署和操作方面,因此,將技術和管理相結合,建立一個多層次的校園網安全防御體系,對于構建安全的校園網環境有著重大的意義。
保障高校校園網絡安全應該從網絡安全技術和安全策略方面去同步加強,安全策略是先導,先進的網絡安全技術是根本。
網絡信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。信息安全的實現要依靠先進的技術、嚴格的安全管理、法律約束和安全教育。本文從此三個方面去綜合考慮、規劃建設校園網絡,構建了一個多層次的校園網安全主動防御體系模型。
一、依托網絡安全技術構建網絡安全堡壘
1.合理規劃設計校園網絡物理結構
校園網絡是教學,科研,娛樂,教務管理、圖書管管理等活動的基礎設施。特別地,在科研、教務管理、圖書館管理等方面,對校園網絡安全要求很高。對這些關鍵部門,構建相應的辦公網絡時,應該在物理上獨立實施建設。與其他一些安全級別不同的部門在物理網絡建設上應該盡量隔離,這樣的物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。
計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。
正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.構建應用級網關、實時入侵檢測(IDS)
應用級網關作為防火墻(Firewall)中的一個主要類型,它通過偵聽網絡內部客戶的服務請求,檢查并驗證其合法性,若合法,它將作為一臺客戶機一樣向真正的服務器發出請求并取回所需信息,最后再轉發給客戶。對于內部客戶而言,應用級網關好像原始的公共服務器,對于公共服務器而言,服務器好像原始的客戶一樣,亦即應用級網關充當了雙重身份,并將內部系統與外界完全隔離開來,外面只能看到服務器,而看不到任何內部資源。
IDS作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡受到危害之前進行攔截和響應。防火墻能夠將一些預期的網絡攻擊阻擋于網絡外面,而IDS還能對一些非預期的攻擊進行識別并做出反應。將IDS與防火墻聯動,能更有效地阻止攻擊事件,把網絡隱患降至較低程度。
3.建立多層次的病毒防護體系
這里的多層次病毒防護體系是指在Internet網關(具有垃圾郵件過濾功能)上安裝基于Internet網關的反病毒軟件;在服務器上安裝基于服務器的反病毒軟件;在校園網的每個臺式機上安裝臺式機的反病毒軟件。同時,還需要做好如下工作:定時對網絡進行殺毒;對每臺計算機都開啟病毒監控;經常對服務器和客戶機的殺毒軟件進行升級。
二、加強和規范校園網絡安全管理
1.加強黑客入侵檢測與防范
校園網入侵者一般為校園網內部用戶,有著窺探他人隱私的好奇性,攻入私人計算機。有的入侵者希望通過入侵學校數據庫,以達到修改個人資料和學習成績為目的。個別的電腦高手希望通過入侵,引起他人注意,以顯示自己的能力,這樣的人不會盜取別人的電腦資料,但會故意留下“足跡”,如進行破壞或是“留言”。
為了維護高校教務系統及圖書館管理系統安全,應該特別加強黑客入侵檢測,并嚴格防范。主要可以采取以下幾方面的措施:
(1)檢測網絡嗅探程序
網絡嗅探是一種常用的收集網絡數據包的方法,其基本原理是對經過網卡的數據包進行捕獲和解碼,從鏈路層協議開始進行解碼分析,一直到應用層的協議,最后獲取數據包中需要的內容,如賬號、口令等。
當電腦系統被一些網絡嗅探程序跟蹤時,可能會出現網絡通訊丟包率非常高或是網絡帶寬出現反常,這些情況是網絡有嗅探器的可能反應。網絡管理員就應該及時加以處理。通常,可以在關鍵的系統上部署檢測嗅探器工具,例如AntiSniff工具,來自動檢測網絡嗅探程序。
(2)及時更新IIS漏洞
由于寬帶的普及,給自己的計算機裝上簡單易學的IIS,搭建一個ftp或是web站點,已經不是什么難事。但是IIS層出不窮的漏洞實在令人擔心。遠程攻擊著只要使用webdavx3這個漏洞攻擊程序和telnet命令就可以完成一次對IIS的遠程攻擊防范措施:關注微軟官方站點,及時安裝IIS的漏洞補丁。
(3)選擇性關閉IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的資源,它是為了讓進程間通信而開放的命名管道,通過提供可信任的用戶名和口令,連接雙方可以建立安全的通道并以此通道進行加密數據的交換,從而實現對遠程計算機的訪問。它有一個特點,即在同一時間內,兩個IP之間只允許建立一個連接。2000/XP/2003在提供了IPC$功能的同時,在初次安裝系統時還打開了默認共享,即所有的邏輯共享(c$,d$,e$)和系統目錄winnt或windows(admin$)共享。所有的這些,微軟的初衷都是為了方便管理員的管理,但在有意無意中,導致了系統安全性的降低。個人用戶如果無網絡服務的可關閉IPC$共享,最好的方法是給自己的賬戶加上強口令,并不定期地更換。
2.加強校園網絡中服務器安全規范
(1)制定縝密的服務器管理制度,對服務器的操作從程序上進行規范。確保安裝正版操作系統和殺毒軟件,及時更新,打上漏洞補丁。各種密碼必須做到定期更換,經常對服務器進行漏洞掃描,確保安全。
本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文
(2)建立定期備份制度,服務器可以采用RAID5(磁盤陣列)技術,或者是雙機容錯技術等等,確保系統能不間斷運行。
(3)根據分配工作的不同,賦予操作人員不同級別的權限,同時建立完備的日志系統,做到出現問題能立馬有跡可循。
3.建立校園網的統一認證系統
認證是網絡信息安全的關鍵技術之一,其目的是實現身份鑒別服務、訪問控制服務、機密和不可否認服務等。校園網與 Internet沒有實施物理隔離。但是,對于運行內部管理信息系統的內網,建立其統一的身份認證系統仍然是非常必要的,以便對數字證書的生成、審批、發放、廢止、查詢等進行統一管理。
三、加強高校網絡安全教育
要確保高校網絡安全,除了依賴最新的網絡安全技術去構建網絡安全屏障外,還要加強高校網絡安全教育。主要有以下幾方面的措施:
1.對網絡管理員定期進行專業培訓
有些網絡管理員專業知識和技能不夠、責任心不強,部分網絡管理員在工作之前沒有受過系統的專業培訓。所以,不能很好地勝任本職工作。
嚴格的管理是校園網安全的重要措施。事實上,很多學校都疏于這方面的管理,對網絡安全保護不夠重視。為了確保整個網絡的安全有效運行,有必要制定出一套滿足網絡實際安全需要的、切實可行的安全管理制度。
2.在高校師生中普遍開展網絡安全教育
高校中教師作為知識的引導傳播者,在信息化教育不斷發展的高校教育中,教師網絡安全意識的提高,首先要從提高教師對網絡安全的認識做起。教師應了解相關的網絡安全法律、法規,如內容分級過濾制度等。教師應意識到無論是在學校還是家庭,都應加強網絡安全和道德教育,積極、耐心的引導學生,使他們形成正確的態度和觀念去面對網絡。同時,給學生提供豐富、健康的網絡資源,為學生營造良好的網絡學習氛圍,并教育學生在網上自覺遵守道德規范,維護自身和他人的合法權益。
四、總結
高校校園網絡信息安全是我們非常關注但又難以徹底解決的問題。校園網絡建設沒有統一的標準和規范,目前也沒專門的技術或產品能夠完全解決網絡的安全問題。我們只能根據最新的信息安全保障體系理念,采用安全策略分析、授權訪問、認證技術、密碼技術、防火墻技術、IPSec技術(IP Security)信息與網絡安全最新的技術去構建校園網絡的安全體系,另外,我們在思想上要認識到網絡安全的重要性,在校園網絡安全建設硬件方面不但要有資金投入,還要不斷加強校園網絡管理人員和校園網用戶的網絡安全知識教育培訓,樹立大家的網絡安全防范意識。這樣,就可以使網絡安全事故發生的可能性降低到最小。我們相信,隨著教育信息化的發展,校園網絡安全也越來越受到大家的關注,校園網也會越來越安全。
參考文獻:
[1]陳新建.校園網的安全現狀和改進對策[J].網絡安全技術與運用.
[2]劉建煒.基于網絡層次結構安全的校園網絡安全防護體系解決方案[J].教育探究,2010,(3).
[3]謝希仁.計算機網絡[M].大連:大連理工大學出版社,2003.
第9篇:學校網絡安全建設范文
1.1網絡安全的定義
國際標準化組織(ISO)將網絡安全[2]定義為:為數據處理系統建立相應的安全保護措施,保護運行在網絡系統中的硬件、軟件以及系統中的數據不被黑客更改、破壞或者泄露,從而保證了網絡服務不中斷,使得系統可靠安全地運行.上述網絡安全的定義包含兩方面內容:物理安全和邏輯安全.其中物理安全是指在構建網絡系統的時候,保證物理線路能夠防雷、放火、防水、防盜等,能夠保證物理線路連續的進行數據傳輸.而邏輯安全通常指的是傳輸在網絡上數據的信息安全,即對網絡上傳輸信息的保密性、可用性和完整性的保護.另一方面,網絡安全性的涵義也可以理解成是信息安全的一種引申,即網絡安全是對網絡信息的保密性、可用性和完整性提供相應的保護.概括的說,可以將網絡安全定義為:為保證目前網絡中運行的系統、信息數據、信道傳輸數據和信息內容的安全而采取相應的措施,從而保證網絡中信息傳輸、交換以及處理的保密性、可用性、可控性、可審查性、完整性.
1.2網絡安全基本特征
網絡安全應具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經授權不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權用戶、實體或過程無法利用其特征.可用性:用戶經過授權后可按需使用,即授權用戶當需要該信息時能否正常存取.網絡環境下常見的可用性的攻擊包括拒絕服務攻擊、破壞網絡或系統的正常運行等.可控性:對網絡中傳播的信息及其內容具有控制能力.可審查性:當網絡中出現安全問題時可提供相應的依據與手段,便于追蹤攻擊源.完整性:用戶未經授權不能隨意改變數據的特性,即信息在保存或者傳輸的過程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網建設概述及其安全威脅
隨著互聯網的快速普及,校園網建設已經成為學校的基礎建設之一,教育信息化、數字化已經成為教育發展的主方向,校園網已成為學校日常教學、辦公、科研、管理、生活主要的工具和手段之一,并發揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰略的實施,政府加強了對學校的投資,由此也加強了學校對校園網的建設.中國教育和科研計算機網(CER-NET)的成立,標志著教育網的形成.CERNET主干網絡傳輸速率已達到2.5Gpbs,總容量達40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學校都已建成校園網,實現了校園網的整體覆蓋,包括辦公樓、教學樓、宿舍樓等.校園網同時與Internet對接,實現了校園辦公教學的信息化、自動化.如圖1所示,為一個簡單的校園網組網模型.隨著CERNET的建設不斷提高,校園網已經成為互聯網的重要組成部分之一,是學校信息化、數字化建設的基礎設施,同時擔任著科研與教學的重要任務.然而,目前國內大多數學校都缺乏對校園網建設的綜合規劃、缺乏相應的網絡管理措施、以及對校園網絡的認識不足,這些都極大阻礙了校園網的發展.因此合理地對校園網絡升級,是目前學校校園網工程的首要目標之一[4].同時,校園網作為學校數字化、信息化的基礎設施,安全問題不容忽視.在互聯網開放程度很高的今天,校園網往往最容易成為黑客攻擊的目標.威脅校園網安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協議漏洞造成的威脅
現在互聯網上使用最多的協議就是TCP/IP協議了,這幾乎是所有校園網采用的網絡傳輸協議.TCP/IP協議在設計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標準化組織提出的OSI七層協議能夠很好的保證網絡安全,但是由于TCP/IP協議的開放性和通用性幾乎占用了整個市場,使得OSI七層協議無法推廣.所以,目前網絡黑客針對TCP/IP漏洞攻擊有很多,例如:數據竊聽、源地址欺騙、ARP欺騙等等.
(1)數據竊聽(PacketSniff).TCP/IP協議從設計之初,就采取的是數據包明碼傳輸,這種傳輸模式使得數據包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網絡中正在傳輸的數據包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數據包,讓用戶誤入釣魚網站或者竊取網上銀行信息,給用戶造成直接經濟損失.特別是在校園網中,數據包流通比較集中,一旦獲取了校園網服務器或管理員賬號信息,將會給校園網絡造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網絡安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉發,信息會發生變化,而且在實際的網絡系統中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網內部發起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數據包中,通常只包含源地址和目的地址,即路由器可以知道數據包從哪個主機發送出來,將要到達哪個主機.源路由是指數據包將會列出所要經過的路由,路由器將會根據這些指定的路由將數據包送達相應的主機,然后根據其反向路由進行應答,從而實現主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數據包經過該主機必經路由,使受攻擊主機出現錯誤判斷,將某些被保護的數據提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發送虛假數據包,改變某些重要數據包的傳遞路徑,使得數據在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協議還無法證明網絡身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網絡系統或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協議,作用是將網絡中的IP地址轉換成MAC物理地址的協議.因為在局域網中,尤其是在校園網中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協議能夠很快的讓局域網中的兩臺主機進行通信.而黑客只需在局域網中進行網絡監聽,獲取到一臺主機A的節點信息(IP地址和MAC地址),就能偽造A的數據包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網內傳播,形成廣播風暴,這樣會造成網絡不通,給局域網造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務攻擊,攻擊者的目的是讓目標主機或網絡無法提供正常服務.因為TCP協議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發送.攻擊者正是利用這一個協議漏洞,采取不斷建立連接,然后丟棄該連接數據包,使得服務器處于等待狀態,如果攻擊者一直持續連接和丟棄的過程,則服務器和網絡所有的資源會被完全消耗,導致計算機或網絡無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務攻擊,它是指攻擊者借助一系列工具或手段,聯合多個計算機組成攻擊平臺,對一個或數個目標發動DoS攻擊.最基本的DoS是利用合法的服務請求,占用攻擊目標主機大量服務資源,使得正常用戶無法訪問.然而DoS服務需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標.因此網絡黑客會抓取網絡“肉雞”,集合大量網絡帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標處于癱瘓狀態.
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網絡中可信節點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發動SYN攻擊,讓服務器無法完成三次握手,造成服務器開放大量等待端口,影響正常網絡訪問,嚴重時,可直接造成服務器死機,如果該服務器是WEB服務器或者DNS服務器,那么可能導致網站主頁無法鏈接或者校園網內部用戶無法訪問外部網絡.
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協議是Internet控制報文協議,它屬于TCP/IP協議下的一個子協議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網絡是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數據傳輸有很重要的作用.而ICMP攻擊是指利用操作系統ICMP的尺寸大小不得超過64KB這一規定,發動“PingofDeath”攻擊,當主機ICMP數據包尺寸超過64KB時,主機會發生內存分配錯誤,導致TCP/IP堆棧崩潰,使得目標主機死機.雖然操作系統通過取消ICMP數據包大小限制來解決該漏洞,但是向目標主機發動持續、大規模的ICMP攻擊,會消耗主機CPU、內存等資源,嚴重時也會導致目標主機癱瘓,無法提供正常服務.
2.2漏洞威脅
軟件和操作系統是由程序員編寫的,而在開發的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復,將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網中的其它機器造成威脅,情況嚴重時,甚至會造成整個網絡癱瘓.近幾年來,無論是Windows操作系統,還是Linux操作系統,的補丁數目一直持續增加.特別是Windows操作系統,在校園網內擁有的用戶眾多,如果沒能及時修復各種漏洞,勢必會影響整個校園網安全.
2.3病毒、木馬威脅
近些年來,隨著互聯網的普及,網絡上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統植入木馬,稍不注意,就會對整個系統造成重大影響.同時,網絡上黑客也會主動攻擊,種植木馬,抓取網絡肉雞,作為自己攻擊的跳板,對互聯網上其它的計算機造成嚴重威脅.
2.4初級黑客攻擊
校園網因為自身局限性,其網絡管理水平無法與企業相比,因此很容易受到網絡上初級黑客的攻擊,作為他們試手的目標.另外一方面,互聯網出現的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內對網絡造成嚴重的攻擊.且根據心理學研究分析,很多普通攻擊者往往有炫耀心理,即把校園網作為自己攻擊的目標,以獲取所謂的成功感,這讓校園網增加更多的威脅.
3目前校園網網絡建設中存在的主要安全問題
目前在校園網網絡建設中主要存在的安全問題分為人為因素導致的安全問題和非人為因素導致的安全問題.
3.1人為因素導致的網絡安全問題
3.1.1校園網用戶數量龐大
校園網內用戶量眾多且處在同一個局域網中,同時,校園網內服務器數量也是別的局域網不能比擬的.用戶量加上數目可觀、功能強大的服務器,這些條件也吸引著互聯網上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網用戶安全意識低
根據調查研究發現,校園網的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網用戶基本上不安裝殺毒軟件,也沒能及時給系統打補丁,系統處于“裸奔”狀態.這對于當今如此開放的互聯網,將直接為黑客提供攻擊目標.而且校園網用戶極少學習相應的安全防范知識,在下載和使用軟件時,基本上不考慮其風險性,這些都將會給黑客制造攻擊機會,影響整個校園網安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權用戶,它在一定程度上破壞了計算機系統的保密性.目前,常見的信息泄密有:操作系統漏洞、流氓軟件、網絡監聽、病毒、木馬、業務流分析、網絡釣魚、電磁、物理入侵、射頻截獲、非法授權、計算機后門程序.
3.1.4拒絕服務攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務,讓合法的信息或資源訪問被拒絕或者嚴重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網絡濫用
由于授權的用戶因操作或行為不當,導致網絡濫用,從而導致網絡安全威脅,例如非法外聯、非法內聯、設備濫用、業務濫用、移動風險等等.
3.2非人為因素導致的網絡安全問題
網絡安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應用范圍和環境,同時安全工具受到人為因素、系統漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統而言,沒有絕對安全的操作系統,無論是微軟的Windows系列操作系統,還是開源的Linux操作系統,都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統,因此在搭建校園網時,要選擇安全性盡可能高的操作系統,而且要隨時提供校園網用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統安全性始終最高.由上所述,我們可以說網絡安全問題絕大部分是由人為因素引起的.現在,國家也制定了相應的法律來保護網絡安全,打擊相應的網絡犯罪活動.但是校園網作為一個龐大的用戶群,如何防范這些網絡犯罪活動顯得尤為重要.我們不能等著整個網絡被攻擊導致癱瘓后再想著去防范,而是要在攻擊之前做好準備工作,讓校園網在安全中運行.
4加強校園網網絡安全建設的對策和建議
加強校園網網絡安全建設主要從以下幾個方面來進行.
4.1應重視校園網網絡的安全搭建
在校園網工程的建設中,網絡系統的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網工程的設計和建設中,一定要首先考慮人以及網絡中物理設備的防火、防電以及防雷等安全問題;考慮網絡中布線系統與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網絡中物理電路的接地安全;考慮建設合理的防雷系統,保證建筑物、計算機以及其它物理設備的防雷[6].
4.2應加強校園網網絡的安全維護技術
從技術層面來說,網絡安全主要是由防火墻系統、入侵檢測系統、病毒監測系統等多個安全組件組成,單獨的一個組件是無法保證當前網絡信息安全的.最早的網絡安全技術是采用邊界閾值控制法,即通過對網絡邊界的數據包進行監測,符合規定的數據包可通過,不符合規定的數據包就拋棄,這種方式在一定程度上能阻止對網絡的入侵和攻擊,但是不能有效防止網絡攻擊.目前,應用比較廣泛的網絡安全基本技術有:防火墻技術、防病毒技術、數據加密技術等.防火墻[7]指的是一個由硬件和軟件混合組成的設備,用于將內部網絡和外部網絡隔離起來,建立一層安全保護屏障,它是一種隔離控制技術.常見的防火墻有包過濾技術、技術、狀態監測技術等.相對于防火墻來說,防病毒技術將是從計算機網絡內部進行防控,主要預防病毒程序、后門程序、網絡監聽等.目前采取比較多的防病毒手段是對系統進行監聽,阻止不合規定進程.而且防病毒技術永遠是滯后性的,即防病毒工具一直在病毒出現后才能組織.現在的防病毒技術和云平臺技術結合,已經對病毒起到了一定的控制作用.相對前面兩種技術來說,數據加密技術就比較靈活了.可以將用戶的信息經過加密后,再在網絡上傳輸,及時數據被黑客截獲,沒有有效的密鑰,數據對黑客來說也只是一堆無效數據而已.在開放的互聯網平臺,數據加密能夠有效的保證了用戶的隱私以及數據的安全[8].
4.3應建立科學的校園網網絡管理人員崗位職責
計算機網絡安全絕大部分是人為因素引起的.因此在校園網搭建過程中,關于對計算機系統管理員的培訓及管理,是校園網網絡安全中最重要的一部分.一個不合理的操作,很有可能讓整個網絡系統癱瘓,因此必須建立健全管理規范,明確管理員責任和權利.同時,要記錄管理員操作信息,當發現不合規定的記錄時,可以及時分析,如果發現黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當地公安機關報案,減少學校損失.另外一方面,建立健全的管理制度以及嚴格的管理模式,可以保證校園網的正常、安全運行.總而言之,網絡安全涉及的領域很多,是一個綜合性的問題.只有合理的運用相關技術以及人員培訓,才能盡最大可能的把安全威脅降到最低.
5結語
