引論:我們?yōu)槟砹?3篇校園網(wǎng)絡(luò)安全論文范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
1.2網(wǎng)絡(luò)安全基本特征
網(wǎng)絡(luò)安全應(yīng)具有保密性、可用性、可控性、可審查性、完整性等五個方面的特征.保密性:信息未經(jīng)授權(quán)不泄露給任何用戶,而且信息的特性也具有保密性,其它非授權(quán)用戶、實體或過程無法利用其特征.可用性:用戶經(jīng)過授權(quán)后可按需使用,即授權(quán)用戶當(dāng)需要該信息時能否正常存取.網(wǎng)絡(luò)環(huán)境下常見的可用性的攻擊包括拒絕服務(wù)攻擊、破壞網(wǎng)絡(luò)或系統(tǒng)的正常運行等.可控性:對網(wǎng)絡(luò)中傳播的信息及其內(nèi)容具有控制能力.可審查性:當(dāng)網(wǎng)絡(luò)中出現(xiàn)安全問題時可提供相應(yīng)的依據(jù)與手段,便于追蹤攻擊源.完整性:用戶未經(jīng)授權(quán)不能隨意改變數(shù)據(jù)的特性,即信息在保存或者傳輸?shù)倪^程中擁有不被修改、破壞或丟失的特性,保證了信息的完整性.
2校園網(wǎng)建設(shè)概述及其安全威脅
隨著互聯(lián)網(wǎng)的快速普及,校園網(wǎng)建設(shè)已經(jīng)成為學(xué)校的基礎(chǔ)建設(shè)之一,教育信息化、數(shù)字化已經(jīng)成為教育發(fā)展的主方向,校園網(wǎng)已成為學(xué)校日常教學(xué)、辦公、科研、管理、生活主要的工具和手段之一,并發(fā)揮著越來越重要的作用[3].另一方面,隨著國家科教興國戰(zhàn)略的實施,政府加強了對學(xué)校的投資,由此也加強了學(xué)校對校園網(wǎng)的建設(shè).中國教育和科研計算機網(wǎng)(CER-NET)的成立,標(biāo)志著教育網(wǎng)的形成.CERNET主干網(wǎng)絡(luò)傳輸速率已達到2.5Gpbs,總?cè)萘窟_40Gpbs,它吸引超過1000所高校的鼎力加盟,覆蓋全國超過200個城市.目前,大部分學(xué)校都已建成校園網(wǎng),實現(xiàn)了校園網(wǎng)的整體覆蓋,包括辦公樓、教學(xué)樓、宿舍樓等.校園網(wǎng)同時與Internet對接,實現(xiàn)了校園辦公教學(xué)的信息化、自動化.如圖1所示,為一個簡單的校園網(wǎng)組網(wǎng)模型.隨著CERNET的建設(shè)不斷提高,校園網(wǎng)已經(jīng)成為互聯(lián)網(wǎng)的重要組成部分之一,是學(xué)校信息化、數(shù)字化建設(shè)的基礎(chǔ)設(shè)施,同時擔(dān)任著科研與教學(xué)的重要任務(wù).然而,目前國內(nèi)大多數(shù)學(xué)校都缺乏對校園網(wǎng)建設(shè)的綜合規(guī)劃、缺乏相應(yīng)的網(wǎng)絡(luò)管理措施、以及對校園網(wǎng)絡(luò)的認(rèn)識不足,這些都極大阻礙了校園網(wǎng)的發(fā)展.因此合理地對校園網(wǎng)絡(luò)升級,是目前學(xué)校校園網(wǎng)工程的首要目標(biāo)之一[4].同時,校園網(wǎng)作為學(xué)校數(shù)字化、信息化的基礎(chǔ)設(shè)施,安全問題不容忽視.在互聯(lián)網(wǎng)開放程度很高的今天,校園網(wǎng)往往最容易成為黑客攻擊的目標(biāo).威脅校園網(wǎng)安全的因素有很多,但主要的安全威脅有以下幾類.
2.1TCP/IP協(xié)議漏洞造成的威脅
現(xiàn)在互聯(lián)網(wǎng)上使用最多的協(xié)議就是TCP/IP協(xié)議了,這幾乎是所有校園網(wǎng)采用的網(wǎng)絡(luò)傳輸協(xié)議.TCP/IP協(xié)議在設(shè)計之初,就沒有考慮安全問題,它只考慮如何把信息互相傳輸,因此存在很大的安全威脅.雖然國際標(biāo)準(zhǔn)化組織提出的OSI七層協(xié)議能夠很好的保證網(wǎng)絡(luò)安全,但是由于TCP/IP協(xié)議的開放性和通用性幾乎占用了整個市場,使得OSI七層協(xié)議無法推廣.所以,目前網(wǎng)絡(luò)黑客針對TCP/IP漏洞攻擊有很多,例如:數(shù)據(jù)竊聽、源地址欺騙、ARP欺騙等等.
(1)數(shù)據(jù)竊聽(PacketSniff).TCP/IP協(xié)議從設(shè)計之初,就采取的是數(shù)據(jù)包明碼傳輸,這種傳輸模式使得數(shù)據(jù)包很容易被竊聽、修改和偽造.黑客可以利用一系列工具獲取網(wǎng)絡(luò)中正在傳輸?shù)臄?shù)據(jù)包,竊取用戶有利用價值的信息,如用戶賬戶和密碼等信息.同時,黑客也能修改和偽造數(shù)據(jù)包,讓用戶誤入釣魚網(wǎng)站或者竊取網(wǎng)上銀行信息,給用戶造成直接經(jīng)濟損失.特別是在校園網(wǎng)中,數(shù)據(jù)包流通比較集中,一旦獲取了校園網(wǎng)服務(wù)器或管理員賬號信息,將會給校園網(wǎng)絡(luò)造成重大損失.
(2)源地址欺騙(SourceAddressSpoofing).在網(wǎng)絡(luò)安全中,一個比較重要的安全問題就是源地址欺騙.這里的源地址,能夠是IP地址,也能是MAC地址.但是MAC地址隨著路由轉(zhuǎn)發(fā),信息會發(fā)生變化,而且在實際的網(wǎng)絡(luò)系統(tǒng)中,也有一定的限制,改造欺騙難度比較大,所以一般的源地址欺騙是指IP地址偽造欺騙.攻擊者通常偽造被攻擊的主機IP地址,騙取防火墻信任,從而對校園網(wǎng)內(nèi)部發(fā)起攻擊.
(3)源路由選擇欺騙(SourceRoutingSpoo-fing).在一個完整的IP數(shù)據(jù)包中,通常只包含源地址和目的地址,即路由器可以知道數(shù)據(jù)包從哪個主機發(fā)送出來,將要到達哪個主機.源路由是指數(shù)據(jù)包將會列出所要經(jīng)過的路由,路由器將會根據(jù)這些指定的路由將數(shù)據(jù)包送達相應(yīng)的主機,然后根據(jù)其反向路由進行應(yīng)答,從而實現(xiàn)主機之間的通信.而源路由選擇欺騙,則是攻擊者通過偽造主機源路由,讓數(shù)據(jù)包經(jīng)過該主機必經(jīng)路由,使受攻擊主機出現(xiàn)錯誤判斷,將某些被保護的數(shù)據(jù)提供給了攻擊者.另一方面,由于路由器一般對接收到的路由信息是不經(jīng)過檢驗的,這樣就給攻擊者提供便利,攻擊者可以發(fā)送虛假數(shù)據(jù)包,改變某些重要數(shù)據(jù)包的傳遞路徑,使得數(shù)據(jù)在傳遞到正常主機前,即可抓取分析,從而也達到攻擊的目的.
(4)鑒別攻擊(AuthenticationAttacks).由于TCP/IP協(xié)議還無法證明網(wǎng)絡(luò)身份的真實有效性,因此黑客可以偽造他人合法身份入侵到網(wǎng)絡(luò)系統(tǒng)或者獲取密鑰信息,從而達到攻擊目的.
(5)ARP欺騙(AddressResolutionProtocolSpoofing).ARP即地址解析協(xié)議,作用是將網(wǎng)絡(luò)中的IP地址轉(zhuǎn)換成MAC物理地址的協(xié)議.因為在局域網(wǎng)中,尤其是在校園網(wǎng)中,使用最多的往往是MAC地址進行傳輸,而不是IP地址進行傳輸,所以ARP協(xié)議能夠很快的讓局域網(wǎng)中的兩臺主機進行通信.而黑客只需在局域網(wǎng)中進行網(wǎng)絡(luò)監(jiān)聽,獲取到一臺主機A的節(jié)點信息(IP地址和MAC地址),就能偽造A的數(shù)據(jù)包,與B進行通信,獲取有用信息.另一方面,黑客可以偽造一個不存在的MAC地址在局域網(wǎng)內(nèi)傳播,形成廣播風(fēng)暴,這樣會造成網(wǎng)絡(luò)不通,給局域網(wǎng)造成致命打擊.
(6)DoS攻擊(DenialofService).DoS攻擊,即拒絕服務(wù)攻擊,攻擊者的目的是讓目標(biāo)主機或網(wǎng)絡(luò)無法提供正常服務(wù).因為TCP協(xié)議采用三次握手建立一次連接,而任何一次握手失敗,則會重新發(fā)送.攻擊者正是利用這一個協(xié)議漏洞,采取不斷建立連接,然后丟棄該連接數(shù)據(jù)包,使得服務(wù)器處于等待狀態(tài),如果攻擊者一直持續(xù)連接和丟棄的過程,則服務(wù)器和網(wǎng)絡(luò)所有的資源會被完全消耗,導(dǎo)致計算機或網(wǎng)絡(luò)無法正常工作,從而達到攻擊目的.
(7)DDoS攻擊(DistributedDenialofServ-ice).DDoS攻擊,即分布式拒絕服務(wù)攻擊,它是指攻擊者借助一系列工具或手段,聯(lián)合多個計算機組成攻擊平臺,對一個或數(shù)個目標(biāo)發(fā)動DoS攻擊.最基本的DoS是利用合法的服務(wù)請求,占用攻擊目標(biāo)主機大量服務(wù)資源,使得正常用戶無法訪問.然而DoS服務(wù)需要占用大量帶寬,單個計算機攻擊肯定無法達到攻擊者想要的目標(biāo).因此網(wǎng)絡(luò)黑客會抓取網(wǎng)絡(luò)“肉雞”,集合大量網(wǎng)絡(luò)帶寬,組成龐大的攻擊平臺,可以在瞬間讓被攻擊目標(biāo)處于癱瘓狀態(tài).
(8)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以偽造TCP序列號,形成一個TCP封包,對網(wǎng)絡(luò)中可信節(jié)點進行攻擊.而且最重要的是,黑客可能利用偽造的TCP封包發(fā)動SYN攻擊,讓服務(wù)器無法完成三次握手,造成服務(wù)器開放大量等待端口,影響正常網(wǎng)絡(luò)訪問,嚴(yán)重時,可直接造成服務(wù)器死機,如果該服務(wù)器是WEB服務(wù)器或者DNS服務(wù)器,那么可能導(dǎo)致網(wǎng)站主頁無法鏈接或者校園網(wǎng)內(nèi)部用戶無法訪問外部網(wǎng)絡(luò).
(9)ICMP攻擊(InternetControlMessageProtocolAttacks).ICMP協(xié)議是Internet控制報文協(xié)議,它屬于TCP/IP協(xié)議下的一個子協(xié)議,用于在IP主機和路由器之間傳遞控制消息.其中控制消息是指網(wǎng)絡(luò)是否暢通、主機是否可連接、路由是否可用等一系列消息,它對數(shù)據(jù)傳輸有很重要的作用.而ICMP攻擊是指利用操作系統(tǒng)ICMP的尺寸大小不得超過64KB這一規(guī)定,發(fā)動“PingofDeath”攻擊,當(dāng)主機ICMP數(shù)據(jù)包尺寸超過64KB時,主機會發(fā)生內(nèi)存分配錯誤,導(dǎo)致TCP/IP堆棧崩潰,使得目標(biāo)主機死機.雖然操作系統(tǒng)通過取消ICMP數(shù)據(jù)包大小限制來解決該漏洞,但是向目標(biāo)主機發(fā)動持續(xù)、大規(guī)模的ICMP攻擊,會消耗主機CPU、內(nèi)存等資源,嚴(yán)重時也會導(dǎo)致目標(biāo)主機癱瘓,無法提供正常服務(wù).
2.2漏洞威脅
軟件和操作系統(tǒng)是由程序員編寫的,而在開發(fā)的過程中,多多少少會存在各種各樣的漏洞問題,這些漏洞如果不能及時修復(fù),將會對主機造成重大安全威脅.一旦該主機被攻破,同時也會給該主機處在的局域網(wǎng)中的其它機器造成威脅,情況嚴(yán)重時,甚至?xí)斐烧麄€網(wǎng)絡(luò)癱瘓.近幾年來,無論是Windows操作系統(tǒng),還是Linux操作系統(tǒng),的補丁數(shù)目一直持續(xù)增加.特別是Windows操作系統(tǒng),在校園網(wǎng)內(nèi)擁有的用戶眾多,如果沒能及時修復(fù)各種漏洞,勢必會影響整個校園網(wǎng)安全.
2.3病毒、木馬威脅
近些年來,隨著互聯(lián)網(wǎng)的普及,網(wǎng)絡(luò)上各種各樣的開源軟件繁多,有些開源軟件打著免費的旗號,暗留后門或者對操作系統(tǒng)植入木馬,稍不注意,就會對整個系統(tǒng)造成重大影響.同時,網(wǎng)絡(luò)上黑客也會主動攻擊,種植木馬,抓取網(wǎng)絡(luò)肉雞,作為自己攻擊的跳板,對互聯(lián)網(wǎng)上其它的計算機造成嚴(yán)重威脅.
2.4初級黑客攻擊
校園網(wǎng)因為自身局限性,其網(wǎng)絡(luò)管理水平無法與企業(yè)相比,因此很容易受到網(wǎng)絡(luò)上初級黑客的攻擊,作為他們試手的目標(biāo).另外一方面,互聯(lián)網(wǎng)出現(xiàn)的一系列黑客教程、黑客工具,這些教程和工具可以自由查閱和下載,加上很多黑客工具屬于使用簡單,這讓許多初級黑客也能在一段時間內(nèi)對網(wǎng)絡(luò)造成嚴(yán)重的攻擊.且根據(jù)心理學(xué)研究分析,很多普通攻擊者往往有炫耀心理,即把校園網(wǎng)作為自己攻擊的目標(biāo),以獲取所謂的成功感,這讓校園網(wǎng)增加更多的威脅.
3目前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中存在的主要安全問題
目前在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中主要存在的安全問題分為人為因素導(dǎo)致的安全問題和非人為因素導(dǎo)致的安全問題.
3.1人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
3.1.1校園網(wǎng)用戶數(shù)量龐大
校園網(wǎng)內(nèi)用戶量眾多且處在同一個局域網(wǎng)中,同時,校園網(wǎng)內(nèi)服務(wù)器數(shù)量也是別的局域網(wǎng)不能比擬的.用戶量加上數(shù)目可觀、功能強大的服務(wù)器,這些條件也吸引著互聯(lián)網(wǎng)上眾多黑客的攻擊,因此存在著很大的安全隱患.
3.1.2校園網(wǎng)用戶安全意識低
根據(jù)調(diào)查研究發(fā)現(xiàn),校園網(wǎng)的用戶大部分都安全意識不強,用戶計算機整體水平偏低,有一部分校園網(wǎng)用戶基本上不安裝殺毒軟件,也沒能及時給系統(tǒng)打補丁,系統(tǒng)處于“裸奔”狀態(tài).這對于當(dāng)今如此開放的互聯(lián)網(wǎng),將直接為黑客提供攻擊目標(biāo).而且校園網(wǎng)用戶極少學(xué)習(xí)相應(yīng)的安全防范知識,在下載和使用軟件時,基本上不考慮其風(fēng)險性,這些都將會給黑客制造攻擊機會,影響整個校園網(wǎng)安全[5].
3.1.3信息泄密
信息泄密是指將信息透漏給非授權(quán)用戶,它在一定程度上破壞了計算機系統(tǒng)的保密性.目前,常見的信息泄密有:操作系統(tǒng)漏洞、流氓軟件、網(wǎng)絡(luò)監(jiān)聽、病毒、木馬、業(yè)務(wù)流分析、網(wǎng)絡(luò)釣魚、電磁、物理入侵、射頻截獲、非法授權(quán)、計算機后門程序.
3.1.4拒絕服務(wù)攻擊(DoS)
攻擊者使用一切辦法讓被攻擊計算機停止提供服務(wù),讓合法的信息或資源訪問被拒絕或者嚴(yán)重推遲.常見的DoS攻擊有:SYNFlood、IP欺騙、UDP洪水攻擊、Ping洪流攻擊等.
3.1.5完整性破壞
攻擊者通過系統(tǒng)漏洞、病毒、木馬、后門程序等方式破壞信息的完整性,使得信息亂碼.
3.1.6網(wǎng)絡(luò)濫用
由于授權(quán)的用戶因操作或行為不當(dāng),導(dǎo)致網(wǎng)絡(luò)濫用,從而導(dǎo)致網(wǎng)絡(luò)安全威脅,例如非法外聯(lián)、非法內(nèi)聯(lián)、設(shè)備濫用、業(yè)務(wù)濫用、移動風(fēng)險等等.
3.2非人為因素導(dǎo)致的網(wǎng)絡(luò)安全問題
網(wǎng)絡(luò)安全除去人為因素外,很大一部分安全威脅來自安全工具和操作系統(tǒng)自身的局限性.其具體特征為:每一種安全工具(如:殺毒軟件)都有其自身的應(yīng)用范圍和環(huán)境,同時安全工具受到人為因素、系統(tǒng)漏洞、程序BUG的影響,這些因素反而給攻擊者帶來了一定的便利.對于操作系統(tǒng)而言,沒有絕對安全的操作系統(tǒng),無論是微軟的Windows系列操作系統(tǒng),還是開源的Linux操作系統(tǒng),都有存在后門或漏洞的可能.世界上沒有絕對安全的操作系統(tǒng),因此在搭建校園網(wǎng)時,要選擇安全性盡可能高的操作系統(tǒng),而且要隨時提供校園網(wǎng)用戶漏洞補丁下載,以及殺毒軟件,保證用戶系統(tǒng)安全性始終最高.由上所述,我們可以說網(wǎng)絡(luò)安全問題絕大部分是由人為因素引起的.現(xiàn)在,國家也制定了相應(yīng)的法律來保護網(wǎng)絡(luò)安全,打擊相應(yīng)的網(wǎng)絡(luò)犯罪活動.但是校園網(wǎng)作為一個龐大的用戶群,如何防范這些網(wǎng)絡(luò)犯罪活動顯得尤為重要.我們不能等著整個網(wǎng)絡(luò)被攻擊導(dǎo)致癱瘓后再想著去防范,而是要在攻擊之前做好準(zhǔn)備工作,讓校園網(wǎng)在安全中運行.
4加強校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)的對策和建議
加強校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)主要從以下幾個方面來進行.
4.1應(yīng)重視校園網(wǎng)網(wǎng)絡(luò)的安全搭建
在校園網(wǎng)工程的建設(shè)中,網(wǎng)絡(luò)系統(tǒng)的搭建是屬于弱電工程,它的耐壓值比較低.由此,在校園網(wǎng)工程的設(shè)計和建設(shè)中,一定要首先考慮人以及網(wǎng)絡(luò)中物理設(shè)備的防火、防電以及防雷等安全問題;考慮網(wǎng)絡(luò)中布線系統(tǒng)與通信線路、照明線路、動力線路、空氣對流管道以及暖氣管道之間的距離;考慮網(wǎng)絡(luò)中物理電路的接地安全;考慮建設(shè)合理的防雷系統(tǒng),保證建筑物、計算機以及其它物理設(shè)備的防雷[6].
4.2應(yīng)加強校園網(wǎng)網(wǎng)絡(luò)的安全維護技術(shù)
從技術(shù)層面來說,網(wǎng)絡(luò)安全主要是由防火墻系統(tǒng)、入侵檢測系統(tǒng)、病毒監(jiān)測系統(tǒng)等多個安全組件組成,單獨的一個組件是無法保證當(dāng)前網(wǎng)絡(luò)信息安全的.最早的網(wǎng)絡(luò)安全技術(shù)是采用邊界閾值控制法,即通過對網(wǎng)絡(luò)邊界的數(shù)據(jù)包進行監(jiān)測,符合規(guī)定的數(shù)據(jù)包可通過,不符合規(guī)定的數(shù)據(jù)包就拋棄,這種方式在一定程度上能阻止對網(wǎng)絡(luò)的入侵和攻擊,但是不能有效防止網(wǎng)絡(luò)攻擊.目前,應(yīng)用比較廣泛的網(wǎng)絡(luò)安全基本技術(shù)有:防火墻技術(shù)、防病毒技術(shù)、數(shù)據(jù)加密技術(shù)等.防火墻[7]指的是一個由硬件和軟件混合組成的設(shè)備,用于將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離起來,建立一層安全保護屏障,它是一種隔離控制技術(shù).常見的防火墻有包過濾技術(shù)、技術(shù)、狀態(tài)監(jiān)測技術(shù)等.相對于防火墻來說,防病毒技術(shù)將是從計算機網(wǎng)絡(luò)內(nèi)部進行防控,主要預(yù)防病毒程序、后門程序、網(wǎng)絡(luò)監(jiān)聽等.目前采取比較多的防病毒手段是對系統(tǒng)進行監(jiān)聽,阻止不合規(guī)定進程.而且防病毒技術(shù)永遠(yuǎn)是滯后性的,即防病毒工具一直在病毒出現(xiàn)后才能組織.現(xiàn)在的防病毒技術(shù)和云平臺技術(shù)結(jié)合,已經(jīng)對病毒起到了一定的控制作用.相對前面兩種技術(shù)來說,數(shù)據(jù)加密技術(shù)就比較靈活了.可以將用戶的信息經(jīng)過加密后,再在網(wǎng)絡(luò)上傳輸,及時數(shù)據(jù)被黑客截獲,沒有有效的密鑰,數(shù)據(jù)對黑客來說也只是一堆無效數(shù)據(jù)而已.在開放的互聯(lián)網(wǎng)平臺,數(shù)據(jù)加密能夠有效的保證了用戶的隱私以及數(shù)據(jù)的安全[8].
4.3應(yīng)建立科學(xué)的校園網(wǎng)網(wǎng)絡(luò)管理人員崗位職責(zé)
計算機網(wǎng)絡(luò)安全絕大部分是人為因素引起的.因此在校園網(wǎng)搭建過程中,關(guān)于對計算機系統(tǒng)管理員的培訓(xùn)及管理,是校園網(wǎng)網(wǎng)絡(luò)安全中最重要的一部分.一個不合理的操作,很有可能讓整個網(wǎng)絡(luò)系統(tǒng)癱瘓,因此必須建立健全管理規(guī)范,明確管理員責(zé)任和權(quán)利.同時,要記錄管理員操作信息,當(dāng)發(fā)現(xiàn)不合規(guī)定的記錄時,可以及時分析,如果發(fā)現(xiàn)黑客入侵,則及時采取必要措施杜絕黑客進一步入侵,必要時需向當(dāng)?shù)毓矙C關(guān)報案,減少學(xué)校損失.另外一方面,建立健全的管理制度以及嚴(yán)格的管理模式,可以保證校園網(wǎng)的正常、安全運行.總而言之,網(wǎng)絡(luò)安全涉及的領(lǐng)域很多,是一個綜合性的問題.只有合理的運用相關(guān)技術(shù)以及人員培訓(xùn),才能盡最大可能的把安全威脅降到最低.
篇2
一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時,由于意識薄弱與經(jīng)費投入不足等方面的原因,比如將原有的單機互聯(lián),使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤等都有可能因為自然因素的損害而導(dǎo)致數(shù)據(jù)的丟失、泄露或網(wǎng)絡(luò)中斷;機房設(shè)計不合理,溫度、濕度不適應(yīng)以及無抗靜電、抗磁干擾等設(shè)施;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足,沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等;以上情況都使得校園網(wǎng)絡(luò)基本處在一個開放的狀態(tài),沒有有效的安全預(yù)警手段和防范措施。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶網(wǎng)絡(luò)信息安全意識淡薄、管理制度不完善
學(xué)校師生對網(wǎng)絡(luò)安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質(zhì)隨意使用;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專業(yè)知識,不能安全地配置和管理網(wǎng)絡(luò);學(xué)校機房的登記管理制度不健全,允許不應(yīng)進入的人進入機房;學(xué)校師生上網(wǎng)身份無法唯一識別,不能有效的規(guī)范和約束師生的非法訪問行為;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng),使學(xué)校的網(wǎng)絡(luò)管理混亂;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志;計算機安裝還原卡或使用還原軟件,關(guān)機后啟動即恢復(fù)到初始狀態(tài),這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
(三)學(xué)校校園網(wǎng)中各主機和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門”所造成的。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來品,加上系統(tǒng)管理員以及終端用戶在系統(tǒng)設(shè)置時可能存在各種不合理操作,在網(wǎng)絡(luò)上運行時,這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素。
(四)計算機病毒、網(wǎng)絡(luò)病毒泛濫,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性,傳播到網(wǎng)絡(luò)服務(wù)器,進而在整個網(wǎng)絡(luò)上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網(wǎng)絡(luò)安全情況,遭到端口掃描、黑客攻擊、網(wǎng)頁篡改或垃圾郵件次之。校園網(wǎng)中教師和學(xué)生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網(wǎng)內(nèi)病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發(fā)性、復(fù)制性、破壞性等特點。它的破壞性是巨大的,一旦學(xué)校網(wǎng)絡(luò)中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺電腦中毒,就會堵塞出口,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”,嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀(jì)的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統(tǒng)投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來越嚴(yán)峻。
綜上所述,學(xué)校校園網(wǎng)絡(luò)的安全形勢非常嚴(yán)峻,在這種情況下,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運行,同時又能提供豐富的網(wǎng)絡(luò)資源,保障辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。根據(jù)校園網(wǎng)絡(luò)面臨的安全問題,文章提出以下校園網(wǎng)絡(luò)安全防范措施。
二、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時配置一臺服務(wù)器,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序,對服務(wù)器進行一些必要的設(shè)置。校園網(wǎng)內(nèi)用戶訪問Internet都是通過服務(wù)器,服務(wù)器會檢查用戶的訪問請求是否符合規(guī)定,才會到被用戶訪問的站點取回所需信息再轉(zhuǎn)發(fā)給用戶。這樣,既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對外部不良資源的濫用,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無法獲知內(nèi)部網(wǎng)絡(luò)上的任何計算機信息,整個校園網(wǎng)絡(luò)只有服務(wù)器是可見的,從而大大增強了校園網(wǎng)絡(luò)的安全性(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一。它是軟件或硬件設(shè)備的組合,通常被用來進行網(wǎng)絡(luò)安全邊界的防護。防火墻通過控制和檢測網(wǎng)絡(luò)之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)安全的有效管理,在網(wǎng)絡(luò)間建立一個安全網(wǎng)關(guān),對網(wǎng)絡(luò)數(shù)據(jù)進行過濾(允許/拒絕),控制數(shù)據(jù)包的進出,封堵某些禁止行為,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實時/事后分析及處理,網(wǎng)絡(luò)數(shù)據(jù)流動情況的監(jiān)控分析,通過日志分析,獲取時間、地址、協(xié)議和流量,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊),對網(wǎng)絡(luò)攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系,建立一整套網(wǎng)絡(luò)軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實現(xiàn)在整個內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對病毒進行定時的掃描檢測及漏洞修復(fù),定時升級文件并查毒殺毒,使整個校園網(wǎng)絡(luò)有防病毒能力。
(四)口令加密和訪問控制
校園網(wǎng)絡(luò)管理員通過對校園師生用戶設(shè)置用戶名和口令加密驗證,加強對網(wǎng)絡(luò)的監(jiān)控以及對用戶的管理。網(wǎng)管理員要對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器、交換機、防火墻、服務(wù)器的配置均設(shè)有口令加密保護,賦予用戶一定的訪問存取權(quán)限、口令字等安全保密措施,用戶只能在其權(quán)限內(nèi)進行操作,合理設(shè)置網(wǎng)絡(luò)共享文件,對各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含、只讀等加密措施,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細(xì)的用戶信息數(shù)據(jù)庫、網(wǎng)絡(luò)主機登錄日志、交換機及路由器日志、網(wǎng)絡(luò)服務(wù)器日志、內(nèi)部用戶非法活動日志等,定時對其進行審查分析,及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護網(wǎng)絡(luò)安全。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實際需要劃分出多個安全等級不同的網(wǎng)絡(luò)分段。學(xué)校要將不同類型的用戶劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個子網(wǎng)。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網(wǎng)間通過路由器、交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個網(wǎng)絡(luò),通過設(shè)置命令,對每個子網(wǎng)進行單獨管理,根據(jù)特定需要隔離故障,阻止非法用戶非法訪問,防止網(wǎng)絡(luò)病毒、木馬程序,從而在整個網(wǎng)絡(luò)環(huán)境下,計算機能安全運行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段,但仍會有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來不可預(yù)知的災(zāi)難,對網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專人管理,定期做好服務(wù)器系統(tǒng)、網(wǎng)絡(luò)通信系統(tǒng)、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案,對網(wǎng)上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運行的重要手段。
(七)入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),是對防火墻有益的補充。當(dāng)有敵人或者惡意用戶試圖通過Internet進入網(wǎng)絡(luò)甚至計算機系統(tǒng)時,IDS能檢測和發(fā)現(xiàn)入侵行為并報警,通知網(wǎng)絡(luò)采取措施響應(yīng)。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié),增強系統(tǒng)的防范能力,避免系統(tǒng)再次受到入侵。入侵檢測系統(tǒng)作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性。
(八)增強網(wǎng)絡(luò)安全意識、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實際情況,對師生進行網(wǎng)絡(luò)安全防范意識教育,使他們具備基本的網(wǎng)絡(luò)安全知識。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程、人員出入機房管理制度、工作人員操作規(guī)程和保密制度等)。安排專人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護管理工作,對學(xué)校專業(yè)技術(shù)人員定期進行安全教育和培訓(xùn),提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺性,并安排專業(yè)技術(shù)人員定期對校園網(wǎng)進行維護。
三、結(jié)論
校園網(wǎng)的安全問題是一個較為復(fù)雜的系統(tǒng)工程,長期以來,從病毒、黑客與防范措施的發(fā)展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系,提高校園網(wǎng)絡(luò)的安全防范能力。
參考文獻:
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計算機網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財經(jīng)高等專科學(xué)校學(xué)報,2002(8).
篇3
2.1從技術(shù)上進行可行性分析論證
PKI技術(shù)植入到VPN技術(shù)的校園網(wǎng)安全網(wǎng)絡(luò)架構(gòu)模型是把傳統(tǒng)的校園網(wǎng)絡(luò)數(shù)據(jù)存儲服務(wù)器安置在一個專門的網(wǎng)絡(luò)中,從而使得高職校園公共網(wǎng)和專用網(wǎng),無論是他們的組網(wǎng)方式還是網(wǎng)絡(luò)構(gòu)造都跟當(dāng)前社會上先進的局域網(wǎng)完全一樣,另外新模型網(wǎng)絡(luò)中使用的操作系統(tǒng)、通信協(xié)議以及軟硬件都沒有進行任何改變,跟以前的高職校園網(wǎng)絡(luò)的所有資源一樣,都可以正常使用,所以在改造過程中基本不沒有出現(xiàn)任何技術(shù)上的問題,這也是高職校園網(wǎng)絡(luò)數(shù)據(jù)確保安全的最終目的要求。新模型最主要的部分就是要求構(gòu)建一個實際上,整個模型的關(guān)鍵技術(shù)在于構(gòu)建基于PKI認(rèn)證的VPN網(wǎng)關(guān),主要滿足以下兩個方面的要求:一是,完全符合VPN技術(shù)的要求;二是,完全認(rèn)同PKI的認(rèn)證技術(shù)。而在實際處理過程中,只要采用雙重宿主機服務(wù)器和通過在過濾路由器上做NAT就能夠達到以上要求,網(wǎng)關(guān)采用的操作系統(tǒng)既可以是WindowsServer2003也可以是WindowsServer2008,只需要充分將這兩個操作系統(tǒng)中提供的VPN服務(wù)和內(nèi)置的PKI功能利用起來,就能夠在不使用任何第三方軟件的前提下就能夠確保該網(wǎng)關(guān)達到以上兩方面的要求。由此可以看出,當(dāng)前已有的技術(shù)完全能夠確保該模型在現(xiàn)實中實現(xiàn),從而說明在技術(shù)方面是沒有任何問題的。
2.2從經(jīng)濟上進行可行性分析論證
現(xiàn)有的高職院校的校園網(wǎng)網(wǎng)絡(luò)拓樸圖和根據(jù)模型設(shè)計的某高職院校的校園網(wǎng)拓樸結(jié)構(gòu)圖。通過對這兩幅圖進行對比分析可以發(fā)現(xiàn)稍加改進,其中改進前后的校園網(wǎng)部分沒有發(fā)生變化,基礎(chǔ)上多加了一個服務(wù)器專用網(wǎng)絡(luò),以及一個帶PKI認(rèn)證的IPSec-VPN網(wǎng)關(guān),因此所需要的費用也就是在跟原先不同之處稍微增加。雖然改進后的模型中多了一個服務(wù)器專用網(wǎng)絡(luò),但是卻并沒有新增多一個網(wǎng)絡(luò),所以唯一改變的就是在原有的基礎(chǔ)上稍微進行改進,從而對這些服務(wù)器進行集中管理即可,然后再將這些服務(wù)器通過交換機有效的連接起來,進而構(gòu)成了一個獨立的網(wǎng)絡(luò),交換機也只需要2000-3000元即可;除此之外就是再需要一個25000元左右的一臺雙重宿主機服務(wù)器,網(wǎng)關(guān)采用的操作系統(tǒng)既可以是WindowsServer2003也可以是WindowsServer2008,這些費用在絕大多數(shù)高職學(xué)校都是可以實現(xiàn)的,因此在經(jīng)濟方面也完全沒有問題。
篇4
一、何謂無線局域網(wǎng)
無線局域網(wǎng)(WirelessLocalAreaNetwork,縮寫為“WLAN”)是高速發(fā)展的現(xiàn)代無線通信技術(shù)在計算機網(wǎng)絡(luò)中的應(yīng)用,是計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物。不像傳統(tǒng)以太網(wǎng)那樣,基于802.1標(biāo)準(zhǔn)的無線網(wǎng)絡(luò)在空氣中傳播射頻信號,在信號范圍內(nèi)的無線客戶端都可以接受到數(shù)據(jù),為通信的移動化、個人化和多媒體應(yīng)用提供了實現(xiàn)的手段。
二、傳統(tǒng)有線網(wǎng)絡(luò)面臨的問題
隨著校園網(wǎng)絡(luò)規(guī)模不斷擴大,網(wǎng)絡(luò)應(yīng)用不斷增加,網(wǎng)絡(luò)已經(jīng)成為老師和學(xué)生獲得信息的主要手段之一,校園網(wǎng)絡(luò)的規(guī)模從以前的幾百用戶迅速擴充到幾千用戶甚至幾萬用戶,越來越多的校園網(wǎng)絡(luò)應(yīng)用開始部署,網(wǎng)絡(luò)變得前所未有的重要,細(xì)心觀察不難發(fā)現(xiàn)傳統(tǒng)有線網(wǎng)絡(luò)容易出現(xiàn)以下問題:
(1)校內(nèi)公共網(wǎng)絡(luò)設(shè)施有限,而且使用頻繁,人們?yōu)榱松暇W(wǎng)不得不在這些地點之間奔波;
(2)計算機設(shè)備較多,其中,筆記本數(shù)目也在逐步增加。在這種情況下,全部用有線網(wǎng)連接終端設(shè)施,從布線到使用都會極不方便;
(3)有的教室主體結(jié)構(gòu)是大開間布局,地面和墻壁已經(jīng)施工完畢,若進行網(wǎng)絡(luò)應(yīng)用改造,埋設(shè)纜線工作量巨大,而且學(xué)生上課時的位置不是很固定,導(dǎo)致信息點的放置也不能確定,這樣,構(gòu)建一個有線局域網(wǎng)絡(luò)就會面對各種不便;
(4)高校通常會有幾個在地理分布上并不集中的分校區(qū),用有線光纜連接校園網(wǎng)工程復(fù)雜、成本極高。而使用無線網(wǎng)絡(luò),無論是在教學(xué)樓、辦公樓、學(xué)生宿舍或者其他校區(qū)都可以實現(xiàn)全方位的無線上網(wǎng)。這是無線網(wǎng)絡(luò)在校園中的發(fā)展趨勢。
三、無線網(wǎng)絡(luò)的特點與優(yōu)勢
1、移動性強。無線網(wǎng)絡(luò)擺脫了有線網(wǎng)絡(luò)的束縛,能夠使學(xué)習(xí)遠(yuǎn)離教室,可以在網(wǎng)絡(luò)覆蓋的范圍內(nèi)的任何位置上網(wǎng)。無線網(wǎng)絡(luò)完全支持自由移動,持續(xù)連接,實現(xiàn)移動辦公。
2、帶寬很寬,適合進行大量雙向和多向多媒體信息傳輸。
在速度方面,802.11b的傳輸速度可提供可達11Mbps數(shù)據(jù)速率,而標(biāo)準(zhǔn)802.11g無線網(wǎng)速提升五倍,其數(shù)據(jù)傳輸率將達到54Mbps,充分滿足校園網(wǎng)用戶對網(wǎng)速的要求.
3、有較高的安全性和較強的靈活性
由于采用直接序列擴頻、跳頻、跳時等一系列無線擴展頻譜技術(shù),使得其高度安全可靠;無線網(wǎng)絡(luò)組網(wǎng)靈活、增加和減少移動主機相當(dāng)容易。
4、維護成本低,無線網(wǎng)絡(luò)盡管在搭建時投入成本高些,但后期維護方便,維護成本比有線網(wǎng)絡(luò)低50%左右。
四、無線網(wǎng)絡(luò)存在的安全問題
在無線網(wǎng)絡(luò)的實際使用中,有可能遇到的威脅主要包括以下幾個方面
1、信息重放
在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權(quán)客戶端和AP進行雙重欺騙,進而對信息進行竊取和篡改。
2、WEP破解
現(xiàn)在互聯(lián)網(wǎng)上已經(jīng)很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區(qū)域內(nèi)的數(shù)據(jù)包,收集到足夠的WEP弱密鑰加密的包,并進行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽無線通信的機器速度、WLAN內(nèi)發(fā)射信號的無線主機數(shù)量,最快可以在兩個小時內(nèi)攻破WEP密鑰。
3、網(wǎng)絡(luò)竊聽
一般說來,大多數(shù)網(wǎng)絡(luò)通信都是以明文(非加密)格式出現(xiàn)的,這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機監(jiān)視并破解(讀取)通信。由于入侵者無需將竊聽或分析設(shè)備物理地接入被竊聽的網(wǎng)絡(luò),所以,這種威脅已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。
4、MAC地址欺騙
通過網(wǎng)絡(luò)竊聽工具獲取數(shù)據(jù),從而進一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網(wǎng)絡(luò)。
5、拒絕服務(wù)
攻擊者可能對AP進行泛洪攻擊,使AP拒絕服務(wù),這是一種后果最為嚴(yán)重的攻擊方式。此外,對移動模式內(nèi)的某個節(jié)點進行攻擊,讓它不停地提供服務(wù)或進行數(shù)據(jù)包轉(zhuǎn)發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。
五、無線網(wǎng)絡(luò)的安全防范措施
為了保護無線網(wǎng)路免于攻擊入侵的威脅,用戶主要應(yīng)該在提高使用的安全性、達成通信數(shù)據(jù)的保密性、完整性、使用者驗證及授權(quán)等方面予以改善,實現(xiàn)最基本的安全目的。
1、規(guī)劃天線的放置,掌控信號覆蓋范圍。要部署封閉的無線訪問點,第一步就是合理放置訪問點的天線,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外。部署了無線網(wǎng)絡(luò)之后,應(yīng)該用可移動的無線設(shè)備徹底的勘測信號覆蓋情況,并反映在學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D里。
2、使用WEP,啟用無線設(shè)備的安全能力。
保護無線網(wǎng)絡(luò)安全的最基礎(chǔ)手段是加密,通過簡單的設(shè)置AP和無線網(wǎng)卡等設(shè)備,就可以啟用WEP加密。無線加密協(xié)議(WEP)是對無線網(wǎng)絡(luò)上的流量進行加密的一種標(biāo)準(zhǔn)方法。雖然WEP加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設(shè)置不小的障礙,有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產(chǎn)品,交付設(shè)備時關(guān)閉了WEP功能。但一旦采用這種做法,黑客就能立即訪問無線網(wǎng)絡(luò)上的流量,因為利用無線嗅探器就可以直接讀取數(shù)據(jù)。建議經(jīng)常對WEP密鑰進行更換,在有條件的情況下啟用獨立的認(rèn)證服務(wù)為WEP自動分配密鑰。另外一個必須注意的問題就是用于標(biāo)識每個無線網(wǎng)絡(luò)的SSID,在部署無線網(wǎng)絡(luò)的時候一定要將出廠時的缺省SSID更換為自定義的SSID。現(xiàn)在的AP大部分都支持屏蔽SSID廣播,除非有特殊理由,否則應(yīng)該禁用SSID廣播,這樣可以減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能。
3、變更SSID及禁止SSID廣播。服務(wù)集標(biāo)識符(SSID)是無線訪問點使用的識別字符串,客戶端利用它就能建立連接。該標(biāo)識符由設(shè)備制造商設(shè)定,每種標(biāo)識符使用默認(rèn)短語,如101就是3Com設(shè)備的標(biāo)識符。倘若黑客知道了這種口令短語,即使未經(jīng)授權(quán),也很容易使用無線服務(wù)。對于部署的每個無線訪問點而言,要選擇獨一無二并且很難猜中的SSID。如果可能的話,禁止通過天線向外廣播該標(biāo)識符。這樣網(wǎng)絡(luò)仍可使用,但不會出現(xiàn)在可用網(wǎng)絡(luò)列表上。
4、禁用DHCP。對無線網(wǎng)絡(luò)而言,這很有意義。如果采取這項措施,黑客不得不破譯用戶的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無論黑客怎樣利用公司的訪問點,他仍需要弄清楚IP地址。
5、禁用或改動SNMP設(shè)置。如果公司的訪問點支持SNMP,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關(guān)公司網(wǎng)絡(luò)的重要信息。
6、使用訪問列表。為了進一步保護無線網(wǎng)絡(luò),應(yīng)使用訪問列表,如果可能的話。不是所有的無線訪問點都支持這項特性,但如果公司實施的網(wǎng)絡(luò)支持,就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議(TFTP),定期下載更新的列表,以避免管理員必須在每臺設(shè)備上使這些列表保持同步的棘手問題。
參考文獻:
[1]張錦.無線局域網(wǎng)IEEE802.11.現(xiàn)代圖書情報技術(shù)
篇5
2、入侵檢測:入侵檢測指對入侵行為的發(fā)現(xiàn)。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對它們進行分析,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象,以提高系統(tǒng)管理員的安全管理能力,及時對系統(tǒng)進行安全防范。入侵檢測系統(tǒng)包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統(tǒng)的活動;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞、統(tǒng)計分析異常行為等等。
從目前來看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問題,發(fā)現(xiàn)并及時修補漏洞是每個網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的,但是及早地發(fā)現(xiàn)有報告的漏洞,并進行升級補丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報告的漏洞最常用的方法,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站,對于我們有使用的軟件和服務(wù),應(yīng)該密切關(guān)注其程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對軟件進行必要的補丁和升級。許多的網(wǎng)絡(luò)管理員對此認(rèn)識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網(wǎng)中服務(wù)器,為用戶提供著各種的服務(wù),但是服務(wù)提供的越多,系統(tǒng)就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉,只向公眾提供了他們所需的基本的服務(wù)。最典型的是,我們在校園網(wǎng)服務(wù)器中對公眾通常只提供WEB服務(wù)功能,而沒有必要向公眾提供FTP功能,這樣,在服務(wù)器的服務(wù)配置中,我們只開放WEB服務(wù),而將FTP服務(wù)禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內(nèi)容,如果用戶目錄又給了可執(zhí)行權(quán)限,那么,通過運行上傳某些程序,就可能使服務(wù)器受到攻擊。所以,信賴了來自不可信賴數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個因素。
3、審計監(jiān)控技術(shù)。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng),還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題,并且它是后面階段事故處理的重要依據(jù)。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞。
因此,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備,以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷,從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。二、網(wǎng)絡(luò)運行安全
網(wǎng)絡(luò)運行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外,還要有備份與恢復(fù)等應(yīng)急措施來保證網(wǎng)絡(luò)受到攻擊后,能盡快地全盤恢復(fù)運行計算機系統(tǒng)所需的數(shù)據(jù)。
一般數(shù)據(jù)備份操作有三種。一是全盤備份,即將所有文件寫入備份介質(zhì);二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據(jù)備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中,只不過傳到另一個非工作的分區(qū)或是另一個非實時處理的業(yè)務(wù)系統(tǒng)中存放,具有速度快和調(diào)用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系,在系統(tǒng)恢復(fù)時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全,內(nèi)網(wǎng)和外網(wǎng)最好進行訪問隔離,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進行網(wǎng)絡(luò)安全檢測,以增強機構(gòu)內(nèi)部網(wǎng)的安全性。
1、訪問控制:在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中,采用防火墻技術(shù)是目前保護內(nèi)部網(wǎng)安全的最主要的,同時也是最在效和最經(jīng)濟的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)。實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的哪些服務(wù),以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有:過濾進、出的數(shù)據(jù);管理進、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù)等。應(yīng)該強調(diào)的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中,才能實現(xiàn)真正的安全。
另外,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段,防止一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。針對某些網(wǎng)絡(luò),在某些情況下,它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任,或者某個網(wǎng)段比另一個網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
2、網(wǎng)絡(luò)安全檢測:保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性評估分析,用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網(wǎng)絡(luò)安全性的目的。
以上只是對防范外部入侵,維護網(wǎng)絡(luò)安全的一些粗淺看法。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項重要措施,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來維護。
篇6
(2)病毒的破壞。病毒影響計算機系統(tǒng)的正常運行、破壞系統(tǒng)軟件和文件系統(tǒng)、使網(wǎng)絡(luò)效率下降、甚至造成計算機和網(wǎng)絡(luò)系統(tǒng)的癱瘓,是影響校園網(wǎng)絡(luò)安全的主要因素。
(3)來自網(wǎng)絡(luò)外部的入侵、攻擊等惡意破壞行為。校園網(wǎng)與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風(fēng)險。
(4)校園網(wǎng)內(nèi)部的攻擊。
2Honeynet技術(shù)
在校園網(wǎng)網(wǎng)絡(luò)安全中的應(yīng)用根據(jù)學(xué)院實際情況和校園網(wǎng)總體設(shè)計需求,為了更好地防御校園網(wǎng)中的各類網(wǎng)絡(luò)木馬、病毒(僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚等),部署了Honeynet系統(tǒng),但由于整個校園內(nèi)部網(wǎng)絡(luò)威脅較為嚴(yán)重,各種病毒較為猖獗,校園網(wǎng)常被病毒感染,因此部署的Honeynet系統(tǒng)主要是監(jiān)控校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)攻擊。為了更好地采集信息,充分發(fā)揮Honeynet系統(tǒng)在校園網(wǎng)安全防護中的主動防御功能,將Honeynet系統(tǒng)放到黑客容易訪問到的地方。根據(jù)實際校園環(huán)境的要求,筆者部署一個帶有不同操作系統(tǒng)的Honeynet,這個蜜網(wǎng)存在著各種各樣的漏洞,以吸引攻擊者進行有效的訪問,從而獲取訪問信息的和其日志記錄并加以深入分析和研究。通過使用虛擬軟件(VMWare)和物理計算機建立一個混合虛擬Honeynet,從而減少了物理計算機的需要。宿主主機的二個網(wǎng)卡設(shè)置:一個是設(shè)置作為虛擬控制機,并通過虛擬網(wǎng)橋連接Honeywall,另一個設(shè)置連接校園內(nèi)網(wǎng)路由器。這里把eth1的IP設(shè)為192.168.1.2,而把eth2的IP設(shè)為192.168.1.3,這樣管理機和虛擬Honeypot就不在同一個網(wǎng)段上,保證了管理機的安全性。在本次Honeynet系統(tǒng)中所有主機都可以通過ssh或MYSQL連通”firewall”;所有主機都可以連接到Honeynet系統(tǒng);Honeynet允許連接到任意主機;除次之外,所有的通信都被攔截,同時防火墻允許通過的數(shù)據(jù)均被記錄。當(dāng)完成對虛擬Honeynet系統(tǒng)的配置后,需要對其進行測試,看是否能夠正常運行,首先測試虛擬機蜜罐和宿主主機之間的網(wǎng)絡(luò)連接,包括宿主主機和蜜罐上通過互相ping對方的IP地址測試網(wǎng)絡(luò)連通性,經(jīng)測試網(wǎng)絡(luò)連通性正常。在Honeynet網(wǎng)關(guān)上監(jiān)聽ICMPping包是否通過外網(wǎng)口和內(nèi)網(wǎng)口。tcpdump-ieth0icmptcpdump-ieth1icmp通過測試后,說明虛擬機蜜罐和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接(通過Honeynet網(wǎng)關(guān)eth0和eth1所構(gòu)成的網(wǎng)橋)沒有問題。對Honeynet網(wǎng)關(guān)的遠(yuǎn)程管理進行測試,需要使用SecureCRT軟件,遠(yuǎn)程ssh連接Honeynet網(wǎng)關(guān)管理口,經(jīng)過測試表示該虛擬Honeynet可用。
篇7
1.2入侵手段越來越智能
目前,校園網(wǎng)用戶計算機專業(yè)技術(shù)水平不同,導(dǎo)致用戶使用網(wǎng)絡(luò)的過程中,攜帶的病毒、木馬種類越來越多,并且隨著黑客的手段越來越高,病毒、木馬區(qū)域智能化,潛伏周期更長,更具隱蔽性,破壞性也越來越大。
1.3校園網(wǎng)絡(luò)管理制度不健全,管理模式簡單
網(wǎng)絡(luò)應(yīng)用發(fā)展迅速,網(wǎng)絡(luò)管理制度不健全,管理模式較為單一,也同樣導(dǎo)致學(xué)校的校園網(wǎng)用戶安全意識淡薄,導(dǎo)致許多接入校園網(wǎng)絡(luò)的終端存在很多病毒和木馬,并且非常容易被黑客利用,攻擊整個網(wǎng)絡(luò)。
二、網(wǎng)絡(luò)安全主動防御系統(tǒng)
2.1主動防御系統(tǒng)模型
目前,網(wǎng)絡(luò)安全主動防御模型包括三個方面,分別是管理、策略和技術(shù),可以大幅度提高網(wǎng)絡(luò)的入侵防御、響應(yīng)能力。
(1)管理。
校園網(wǎng)管理具有重要的作用,其位于安全模型的核心層次。網(wǎng)絡(luò)用戶管理可以通過制定相關(guān)的網(wǎng)絡(luò)安全防范制度、網(wǎng)絡(luò)使用政策等,通過學(xué)習(xí)、培訓(xùn),提高網(wǎng)絡(luò)用戶的安全意識,增強網(wǎng)絡(luò)用戶的警覺性。
(2)策略。
校園網(wǎng)安全防御策略能夠?qū)⑾嚓P(guān)的網(wǎng)絡(luò)技術(shù)有機整合,優(yōu)化組合在一起,根據(jù)網(wǎng)絡(luò)用戶的規(guī)模、網(wǎng)絡(luò)的覆蓋范圍、網(wǎng)絡(luò)的用途等,制定不同等級的安全策略,實現(xiàn)網(wǎng)絡(luò)安全運行的行為準(zhǔn)則。
(3)技術(shù)。
校園網(wǎng)防御技術(shù)是實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ),校園網(wǎng)主動防御技術(shù)包括六種,分別是網(wǎng)絡(luò)預(yù)警、保護、檢測、響應(yīng)、恢復(fù)、反擊等,能夠及時有效地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全威脅,采取保護措施。
2.2主動防御技術(shù)
校園網(wǎng)主動防御技術(shù)可以有效地檢測已經(jīng)發(fā)生的、潛在發(fā)生的安全威脅,采取保護、響應(yīng)和反擊措施,阻止網(wǎng)絡(luò)安全威脅破壞網(wǎng)絡(luò),保證網(wǎng)絡(luò)安全運行。
(1)預(yù)警。
校園網(wǎng)預(yù)警技術(shù)可以預(yù)測網(wǎng)絡(luò)可能發(fā)生的攻擊行為,及時發(fā)出警告。網(wǎng)絡(luò)應(yīng)包括漏洞預(yù)警、行為預(yù)警、攻擊趨勢預(yù)警、情報收集分析預(yù)警等多種技術(shù)。
(2)保護。
校園網(wǎng)安全保護是指采用靜態(tài)保護措施,保證網(wǎng)絡(luò)信息的完整性、機密性,通常采用防火墻、虛擬專用網(wǎng)等具體技術(shù)實現(xiàn)。
(3)檢測。
校園網(wǎng)采用入侵檢測技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)實時監(jiān)控技術(shù)等及時檢測網(wǎng)絡(luò)中是否存在非法的數(shù)據(jù)流,本地網(wǎng)絡(luò)是否存在安全漏洞,目的是發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的攻擊行為,有效地阻止網(wǎng)絡(luò)攻擊。
(4)響應(yīng)。
校園網(wǎng)主動響應(yīng)技術(shù)能夠及時判斷攻擊源位置,搜集網(wǎng)絡(luò)攻擊數(shù)據(jù),阻斷網(wǎng)絡(luò)攻擊。響應(yīng)需要將多種技術(shù)進行整合,比如使用網(wǎng)絡(luò)監(jiān)控系統(tǒng)、防火墻等阻斷網(wǎng)絡(luò)攻擊;可以采用網(wǎng)絡(luò)僚機技術(shù)或網(wǎng)絡(luò)攻擊誘騙技術(shù),將網(wǎng)絡(luò)攻擊引導(dǎo)到一個無用的主機上去,避免網(wǎng)絡(luò)攻擊造成網(wǎng)絡(luò)癱瘓,無法使用。
(5)恢復(fù)。
校園網(wǎng)攻擊發(fā)生后,可以及時采用恢復(fù)技術(shù),使網(wǎng)絡(luò)服務(wù)器等系統(tǒng)提供正常的服務(wù),降低校園網(wǎng)網(wǎng)絡(luò)攻擊造成的損害。
(6)反擊。
校園網(wǎng)反擊可以采用的具體措施包括病毒類攻擊、欺騙類攻擊、控制類攻擊、漏洞類攻擊、阻塞類攻擊、探測類攻擊等,這些攻擊手段可以有效地阻止網(wǎng)絡(luò)攻擊行為繼續(xù)發(fā)生,但是反擊需要遵循網(wǎng)絡(luò)安全管理法規(guī)等。
篇8
網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間,是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層,TCP/IP協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層,廣泛應(yīng)用的TCP、UDP、IGMP及ICMP數(shù)據(jù)包,都以IP數(shù)據(jù)報文形式傳輸。網(wǎng)絡(luò)層封裝IP數(shù)據(jù)包,并路由轉(zhuǎn)發(fā),解決機器之間的通信問題。網(wǎng)絡(luò)層常見安全問題有:明文傳輸面臨的威脅、IP地址欺騙、源路由欺騙和ICMP攻擊。
3傳輸層的安全
傳輸層在OSI模型中起著關(guān)鍵作用,負(fù)責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制。在傳輸層使用最廣泛的有兩種協(xié)議:傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議。傳輸層常見安全問題有:TCP"SYN"攻擊、Land攻擊、TCP會話劫持和端口掃描攻擊。
4操作系統(tǒng)的安全
目前在職業(yè)院校,除了服務(wù)器是使用UNIX、Linux外,其它工作站基本是使用微軟操作系統(tǒng),存在以下風(fēng)險。(1)安全隱患的產(chǎn)生,主要是操作系統(tǒng)配置不合理,例如:沒有管理員口令,用戶弱口令,未刪除和禁用不必要的帳號,設(shè)置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制,資源共享的訪問權(quán)限配置不當(dāng)?shù)取#?)操作系統(tǒng)的正常運行需要很多系統(tǒng)服務(wù)支撐,這些系統(tǒng)服務(wù)向用戶和應(yīng)用程序提供功能接口,有些是操作系統(tǒng)正常運行必需的,有些則是不必要的。不必要的服務(wù)不僅會占用系統(tǒng)資源,還會給操作系統(tǒng)帶來安全威脅。如果用戶不知道自已的操作系統(tǒng),哪些服務(wù)是可以訪問網(wǎng)絡(luò)的,就容易被入侵者利用。
5業(yè)務(wù)應(yīng)用的安全
職業(yè)院校為了滿足科研、教學(xué)、辦公的需要,校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng),如:信息、教務(wù)管理、辦公自動化、圖書管理等。這些應(yīng)用系統(tǒng)很重要,但也存在風(fēng)險如下:(1)身份認(rèn)證:操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全,采取了身份認(rèn)證措施,這些機制各有特點,但是入侵者仍可以利用網(wǎng)絡(luò)竊聽、非法數(shù)據(jù)庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄,使用系統(tǒng)默認(rèn)或者弱密碼,并且長期不改動,形同虛設(shè)。(2)WEB服務(wù):WEB服務(wù)是學(xué)校用于對外宣傳、開展網(wǎng)絡(luò)遠(yuǎn)程教學(xué)的重要手段,應(yīng)用極其普遍,使得Web服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)。存在的安全隱患較多,網(wǎng)頁代碼本身就存在后門和一些缺陷,比如IIS漏洞、ASP的上傳漏洞、SQL注入、緩沖區(qū)溢出等。入侵者一旦攻陷WEB服務(wù)器,可以把WEB服務(wù)器作為跳板,通過中間件或數(shù)據(jù)庫連接部件,非法訪問學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫,并可利用網(wǎng)頁腳本訪問本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源。(3)數(shù)據(jù)庫:數(shù)據(jù)庫是信息系統(tǒng)的核心,校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴于各種數(shù)據(jù)庫系統(tǒng),保證數(shù)據(jù)的安全和完整,正確配置數(shù)據(jù)庫系統(tǒng)顯得至關(guān)重要。數(shù)據(jù)庫是個復(fù)雜的系統(tǒng)。非專業(yè)人員是無法正確配置數(shù)據(jù)庫系統(tǒng)的。關(guān)系型數(shù)據(jù)庫是可從端口尋址的,通過查詢工具就可建立與數(shù)據(jù)庫的連接,例如通過TCP1521和1526端口,就能侵入一個弱防護的數(shù)據(jù)庫;數(shù)據(jù)庫運行過程中,出現(xiàn)的錯誤信息,可以泄漏數(shù)據(jù)庫結(jié)構(gòu),分析這些信息就能實施攻擊。(4)網(wǎng)絡(luò)資源共享:為了工作方便,內(nèi)部人員經(jīng)常會使用網(wǎng)絡(luò)共享,如果沒有對資源共享,作必要的訪問控制策略,重要的數(shù)據(jù)信息,就無防護地暴露在網(wǎng)絡(luò)中。
6網(wǎng)絡(luò)管理的安全
安全管理對于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來說是極其重要的。如果沒有相應(yīng)制度約束,就會帶來風(fēng)險:網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的一些重要信息傳播給外人,會造成信息泄漏;密碼和密鑰管理風(fēng)險,管理員賬戶及密碼被外人竊取;在約束缺失的情況下,利用網(wǎng)絡(luò)和系統(tǒng)的弱點,實施入侵、修改、刪除數(shù)據(jù)等非法行為;審計不力或無審計,當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時,沒有相應(yīng)的檢測、監(jiān)控、報告與預(yù)警機制。事件發(fā)生后,不能提供任何記錄,無法追蹤線索,缺乏對網(wǎng)絡(luò)的可控和可審查性。
篇9
計算機病毒的預(yù)防查殺
購買正版瑞星網(wǎng)絡(luò)殺毒軟件,重要部門裝機時必須安裝正版殺毒軟件,建議其它部門安裝正版殺毒軟件。其它地方除安裝有硬盤還原卡、全盤保護的教室終端和學(xué)生機房外,校園網(wǎng)內(nèi)所有的終端都必須安裝殺毒軟件。同時,指定專人定期、經(jīng)常對各處機器進行殺毒軟件升級,打補和查殺病毒。
嚴(yán)格執(zhí)行數(shù)據(jù)備份
為主控室、二級交換機機柜安裝防盜報警設(shè)備、不間斷電源、防雷擊及通風(fēng)降溫設(shè)備。校園網(wǎng)服務(wù)器選用熱插拔硬盤、RAID5格式;在服務(wù)器段VLAN7設(shè)置一臺裝有三個大容量IDE硬盤的備份PC(磁帶機的價格太高5000-50000¥),將常用數(shù)據(jù)存儲在服務(wù)器硬盤,不常用的數(shù)據(jù)存儲在這臺PC的硬盤中;利用Win2000Sserver自帶的備份工具對服務(wù)器中的有效數(shù)據(jù)定期備份,放在備份PC的硬盤上;對教務(wù)室和財務(wù)室的電腦也要求定期備份;將學(xué)校需要保存的數(shù)據(jù)、圖像、資料每個學(xué)期末進行一次分類、編號、整理、壓縮,然后刻成光盤存檔。
對不良信息過濾
購買信息過濾軟件,在技術(shù)上避免師生有意無意地瀏覽帶有暴力、黃色、內(nèi)容的網(wǎng)絡(luò)信息。比如選用“藍眼睛智能信息過濾系統(tǒng)”之類的由公安部等部門監(jiān)制的信息過濾工具,以期達到凈化校園網(wǎng)網(wǎng)絡(luò)信息的目的。當(dāng)非法的網(wǎng)絡(luò)地址被訪問到,或者應(yīng)該被過濾的由系統(tǒng)監(jiān)測到的信息在傳播時,過濾工具除了中斷信息的交流外,還會記錄相關(guān)信息,以備查詢和明確責(zé)任。同時,加強對學(xué)校師生的法制教育和道德培養(yǎng),使他們自覺不主動上網(wǎng)瀏覽、下載、傳播這類非法信息。另外,還要使用過濾工具對公共電腦或校內(nèi)辦公電腦上傳輸?shù)男畔⑦M行過濾,杜絕信息的非法傳播。
入侵檢測
1、在校園網(wǎng)中較重要的服務(wù)器網(wǎng)段中配置S100等產(chǎn)品,進行網(wǎng)絡(luò)的入侵檢測。不停地檢測和監(jiān)視各個網(wǎng)段中的各種數(shù)據(jù)包,對每個可疑的數(shù)據(jù)包進行詳細(xì)的特征分析。如果數(shù)據(jù)包信息與入侵檢測系統(tǒng)中的某些規(guī)則或特征相吻合,入侵檢測系統(tǒng)立即會發(fā)出警報,甚至直接切斷網(wǎng)絡(luò)連接信號。
2、在校園網(wǎng)中的重要主機,如財務(wù)室電腦、教務(wù)室電腦等上面安裝基于網(wǎng)絡(luò)主機入侵檢測的系統(tǒng)S120,對主機所在網(wǎng)絡(luò)的實時連接,以及系統(tǒng)檢測日志進行分析、判斷,如果其中主體的活動可疑,入侵檢測系統(tǒng)也立即會采取相應(yīng)措施。
3、同時使用基于主機和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),使它們實現(xiàn)優(yōu)勢互補,構(gòu)架成一套立體而又完整的主動防御體系。
4、對校園網(wǎng)中的部分重點主機進行高級的安全設(shè)置,去除不必要的訪問,并在必要的網(wǎng)絡(luò)訪問周圍建立嚴(yán)格的訪問控制權(quán)限,避免有意者的非法入侵和破壞。
篇10
(1)建立安全防范意識:提高系統(tǒng)管理人員的技術(shù)素質(zhì)和職業(yè)道德修養(yǎng)。具體做法為對機房的電腦裝上功能強大的殺毒軟件和防火墻,及時查毒和備份重要的數(shù)據(jù),以免造成不必要的損失。
(2)網(wǎng)絡(luò)訪問控制:進行對網(wǎng)絡(luò)的控制訪問是保障網(wǎng)絡(luò)安全的一個主要方法,網(wǎng)絡(luò)訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法使用和訪問,它是保證網(wǎng)絡(luò)安全最重要的范疇之一。
(3)數(shù)據(jù)庫的備份與恢復(fù):數(shù)據(jù)庫的備份與恢復(fù)是數(shù)據(jù)庫管理員維護數(shù)據(jù)安全性和完整性的重要操作。備份是恢復(fù)數(shù)據(jù)庫最容易和最能防止意外的保證方法。恢復(fù)是在意外發(fā)生后利用備份來恢復(fù)數(shù)據(jù)的操作。在我們平時所用到的備份方法中,一般采用的有三種方法:只備份數(shù)據(jù)庫、備份數(shù)據(jù)庫和事務(wù)日志、增量備份。
(4)應(yīng)用密碼訪問技術(shù):在高校的計算機機房中可能前來使用網(wǎng)絡(luò)的人員比較雜,甚至有可能存在很多非該校的老師或者學(xué)生,為了防止一些非法人員在高校計算機機房中進行惡意操作,植入病毒進行攻擊等有違網(wǎng)絡(luò)安全管理的操作的行為。因此,在用戶進入系統(tǒng)之前一定要使用合法的身份登入系統(tǒng),而對網(wǎng)絡(luò)安全至關(guān)重要的文件和資源進行訪問和操作時也一定要做好密碼訪問技術(shù)。
(5)杜絕傳播途徑:對可能被病毒感染的硬盤和計算機進行徹底殺毒處理以清除安全隱患,不要使用可疑的U盤和程序,也不要訪問一些非法網(wǎng)站,防止計算機被植入病毒。
篇11
1 校園網(wǎng)的網(wǎng)絡(luò)信息安全現(xiàn)狀
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,確保系統(tǒng)能連續(xù)、可靠、正常地運行,使網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從本質(zhì)上講就是網(wǎng)絡(luò)上信息的安全。目前,校園網(wǎng)的網(wǎng)絡(luò)安全正面臨著嚴(yán)峻挑戰(zhàn)。電子郵件系統(tǒng)使得大量垃圾郵件和病毒郵件肆意傳播,下載和上傳文件在方便師生交流的同時也帶來了病毒程序,黑客程序和黑客攻擊時有發(fā)生,由于安全意識淡薄沒有對接入網(wǎng)絡(luò)的計算機采取基本保護措施造成文檔資源流失、泄密等。校園網(wǎng)在提供給廣大師生方便快捷的行政辦公、教務(wù)教學(xué),豐富多彩的數(shù)字化校園生活的同時,來自其內(nèi)部和外部的危險時刻威脅著校園網(wǎng)網(wǎng)絡(luò)安全。
1.1 校園網(wǎng)網(wǎng)絡(luò)運行現(xiàn)狀
學(xué)校園網(wǎng)網(wǎng)絡(luò)運行以來,對學(xué)校的各項工作都起著促進作用。在綜合網(wǎng)絡(luò)信息服務(wù)方面,學(xué)校力求小而全的網(wǎng)絡(luò)服務(wù)宗旨,從建站以來學(xué)校一直重視學(xué)校主頁建設(shè),不斷完善網(wǎng)頁設(shè)計和服務(wù)項目。目前己提供的信息服務(wù)模塊有上網(wǎng)瀏覽、學(xué)校新聞系統(tǒng)、電子公告系統(tǒng)、校園BBS、留言簿、FTP服務(wù)系統(tǒng)、校園郵件系統(tǒng)、校友錄系統(tǒng)、影視頻道等等。這些平臺給學(xué)生提供了交流思想、學(xué)習(xí)、情感、互通有無、反映建議與意見等交流空間。在信息化辦公環(huán)境方面,校園網(wǎng)的辦公系統(tǒng)應(yīng)用,大大提高辦公效率。只要接入校園網(wǎng)的內(nèi)網(wǎng),教職員工就可以登錄自己的辦公賬號,進入各自辦公系統(tǒng),針對性很強。但是校園網(wǎng)在提供給廣大師生員工方便快捷的同時,也帶來了許多安全性的問題。校園網(wǎng)內(nèi)許多處室由于工作的需要,擁有自己的可以上傳文件資料的賬號和密碼,這就對網(wǎng)絡(luò)安全埋下了隱患,如有些需要上傳的文件沒有進行徹底的查毒殺毒就上傳到校園網(wǎng)上,成為了病毒傳播的源頭。每次重大的考試之前,信息技術(shù)中心的技術(shù)人員都要花費大量的時間進行網(wǎng)內(nèi)病毒查殺工作,在查殺之后,網(wǎng)絡(luò)運行情況能夠好轉(zhuǎn)一些,但是一段時間以后,問題依舊比較嚴(yán)重,效果甚微,甚至于曾經(jīng)出現(xiàn)過因為病毒大量密集發(fā)包造成個別交換機信息堵塞、網(wǎng)絡(luò)癱瘓的情況發(fā)生,可見,校園網(wǎng)上的病毒泛濫問題已經(jīng)十分嚴(yán)重,危害之大。
1.2 校園網(wǎng)網(wǎng)絡(luò)管理現(xiàn)狀
學(xué)校制定了一系列的規(guī)章制度,用于規(guī)范校園網(wǎng)網(wǎng)絡(luò)管理。這些制度對校園網(wǎng)所屬的行政領(lǐng)導(dǎo)、政治審查、技術(shù)管理和維護、使用規(guī)則、信息保密、信息管理、信息等等方面都做出了詳細(xì)的規(guī)定,明確責(zé)任范圍。學(xué)校成立以主管領(lǐng)導(dǎo)為組長的校園網(wǎng)信息領(lǐng)導(dǎo)小組,該領(lǐng)導(dǎo)小組是學(xué)校網(wǎng)絡(luò)信息組織、管理、協(xié)調(diào)機構(gòu)。學(xué)校黨委宣傳部負(fù)責(zé)上網(wǎng)信息的政治審查,學(xué)校辦公室負(fù)責(zé)上網(wǎng)信息的保密和統(tǒng)計數(shù)據(jù)的審查、監(jiān)督,信息技術(shù)中心負(fù)責(zé)有關(guān)信息的技術(shù)保障。各部門確定分管信息工作的領(lǐng)導(dǎo)和負(fù)責(zé)信息工作的信息員,負(fù)責(zé)收集、整理、編輯、上報信息。學(xué)校校園網(wǎng)絡(luò)設(shè)備設(shè)施(含子網(wǎng)設(shè)備)由學(xué)校信息技術(shù)中心統(tǒng)一管理和維護。任何部門和個人未經(jīng)許可,不得打開子網(wǎng)機柜及其他網(wǎng)絡(luò)設(shè)備。用戶如發(fā)現(xiàn)終端設(shè)備或軟件出現(xiàn)問題,可報信息技術(shù)中心處理。信息技術(shù)中心要對網(wǎng)絡(luò)運行情況進行記錄,并對網(wǎng)絡(luò)系統(tǒng)及網(wǎng)上資源進行嚴(yán)格管理。
2 校園網(wǎng)網(wǎng)絡(luò)信息安全對策
2.1 訪問控制管理
訪問控制管理是安全性處理過程,即妨礙或促進用戶或系統(tǒng)間的通信,支持各種網(wǎng)絡(luò)資源,如計算機、Web服務(wù)器、路由器或任何其它系統(tǒng)或設(shè)備間的相互作用。訪問控制的認(rèn)證過程可以通過登錄過程和自主訪問控制實現(xiàn),校驗用戶并決定他們是否有權(quán)訪問具有更高安全控制權(quán)限的敏感區(qū)域和文件的認(rèn)證級別。
2.2 從軟件上著手,設(shè)置防火墻
在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一道防火墻,在內(nèi)外網(wǎng)之間建立一道安全屏障。其中WWW、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)(非軍事區(qū),是為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,它阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,以保證內(nèi)網(wǎng)安全),與內(nèi)、外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機,外網(wǎng)口通過路由器與Internet連接。這樣通過Internet進來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù),既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問破壞,也可以阻止內(nèi)部用戶對外部不良資源的使用,并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計。根據(jù)校園網(wǎng)安全策略和安全目標(biāo),配置防火墻,過濾掉以內(nèi)部網(wǎng)絡(luò)地址進入路由器的IP包,這樣可以防范源地址假冒和原路由器類型的攻擊,過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外的攻擊。
2.3 從硬件上著手,進行網(wǎng)絡(luò)版殺毒產(chǎn)品的部署
為了實現(xiàn)在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷的實施和管理整個網(wǎng)絡(luò)的防病毒體系,我們部署了趨勢網(wǎng)絡(luò)版殺毒產(chǎn)品,實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布?xì)⒍镜裙δ堋T趯W(xué)校信息技術(shù)中心網(wǎng)絡(luò)部的服務(wù)器上安裝趨勢殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心,負(fù)責(zé)管理全校的主機網(wǎng)點。在各行政、教學(xué)單位等多個分支機構(gòu)分別安裝趨勢殺毒軟件網(wǎng)絡(luò)版的客戶端。安裝完趨勢殺毒軟件網(wǎng)絡(luò)版后,在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺病毒的設(shè)置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本級的查殺毒處理。信息技術(shù)中心網(wǎng)絡(luò)部負(fù)責(zé)對整個校園網(wǎng)的升級工作,為了安全和管理的方便,由網(wǎng)絡(luò)部的系統(tǒng)中心定期地、自動地到趨勢網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其他的主機網(wǎng)點的客戶端,并自動對趨勢殺毒軟件網(wǎng)絡(luò)版進行更新。同時,因為只有網(wǎng)絡(luò)部才有Interact出口,便于整個網(wǎng)絡(luò)的統(tǒng)一管理。
在網(wǎng)絡(luò)設(shè)備嚴(yán)重匱乏的情況下,目前在信息安全技術(shù)方面部署的措施有防火墻和網(wǎng)絡(luò)版殺毒軟件。它們的使用在一定程度上很好地緩解了校園網(wǎng)的安全威脅問題,尤其是病毒泛濫的問題。從部署硬件防火墻和網(wǎng)絡(luò)版殺毒軟件以來,病毒攔截良好,整個校園網(wǎng)內(nèi)部再也沒有發(fā)生過因為病毒造成的網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)癱瘓問題,基本達到預(yù)期的目的效果。
2.4 從管理上著手,細(xì)化責(zé)任機制
網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”,突出了“管理”在網(wǎng)絡(luò)安全建設(shè)中所處的重要地位。校園網(wǎng)網(wǎng)絡(luò)安全建設(shè)中,安全制度的良好實施和執(zhí)行能從很大程度上保證校園網(wǎng)網(wǎng)絡(luò)的信息安全。規(guī)范和細(xì)化各種校園網(wǎng)規(guī)章制度,明確各部門的職能和責(zé)任,并且嚴(yán)格執(zhí)行。具體可以包含網(wǎng)絡(luò)管理工作職責(zé)及分工、各個管理層的崗位職責(zé)規(guī)范(校領(lǐng)導(dǎo)、主任、管理員、維護員等)、校園網(wǎng)網(wǎng)絡(luò)管理值班制度、校園網(wǎng)使用與管理辦法、校園網(wǎng)計算機用戶行為規(guī)范、校園網(wǎng)信息規(guī)范、電子公告版服務(wù)管理規(guī)定、校園網(wǎng)收費管理辦法、校園網(wǎng)保修、檢測與維護管理辦法、校園網(wǎng)用戶責(zé)任書、校園網(wǎng)IP地址管理辦法、辦公郵件管理辦法、網(wǎng)站網(wǎng)頁管理辦法等等,有了各種細(xì)致明確的規(guī)章制度才能夠更好的規(guī)范校園網(wǎng)廣大用戶使用校園網(wǎng)的種種行為。
3 總結(jié)
應(yīng)該看到,學(xué)校校園網(wǎng)的網(wǎng)絡(luò)設(shè)備匱乏,也使得一些安全技術(shù)沒有得到應(yīng)用。僅有防火墻部署的網(wǎng)絡(luò)防御功能相對靜態(tài),在動態(tài)防御方面相對不足,并且,校園網(wǎng)內(nèi)由于采用操作系統(tǒng)等問題帶來的安全漏洞問題,目前的校園網(wǎng)安全部署也沒有很好的解決辦法。
因此,在條件允許的情況下,可以考慮增加入侵檢測系統(tǒng)的部署,根據(jù)校園網(wǎng)絡(luò)特點,將入侵檢測引擎接入中心交換機,對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測。對于處于高校校園的發(fā)展,可以采用光纖線路與網(wǎng)絡(luò)中心的主樓連接起來。并且,在未來整個校園網(wǎng)內(nèi)實現(xiàn)無線覆蓋以后,還可以為移動的用戶提供更加便捷、安全的校園網(wǎng)網(wǎng)絡(luò)服務(wù)。
參考文獻
[1]程瑋瑋,王清賢.防火墻技術(shù)原理及其安全脆弱性分析[J].計算機應(yīng)用,2003,23(10).
[2]孫銳,王純.信息安全原理及應(yīng)用[J].第1版.北京:清華大學(xué)出版社,2003,(7).
[3]楊義先.網(wǎng)絡(luò)信息安全與保密[M].第2版.北京:北京郵電大學(xué)出版社,2002,(1).
篇12
計算機網(wǎng)絡(luò)是信息社會的基礎(chǔ),己經(jīng)進入社會的各個角落。經(jīng)濟、文化、軍事、教育和社會日常生活越來越多地依賴計算機網(wǎng)絡(luò)。但是不容忽略的是網(wǎng)絡(luò)本身的開放性、不設(shè)防和無法律約束等特點,在給人們帶來巨大便利的同時,也帶來了一些問題,網(wǎng)絡(luò)安全就是其中最為顯著的問題之一。計算機系統(tǒng)安全的定義主要指為數(shù)據(jù)處理系統(tǒng)建立和采用的安全保護技術(shù)。計算機系統(tǒng)安全主要涉及計算機硬件、軟件和數(shù)據(jù)不被破壞、泄漏等。由此,網(wǎng)絡(luò)安全主要涉及硬件、軟件和系統(tǒng)數(shù)據(jù)的安全。
近幾年,隨著計算機網(wǎng)絡(luò)的迅速發(fā)展,全國各高校都普遍建立了校園網(wǎng)。校園網(wǎng)成為學(xué)校重要的基礎(chǔ)設(shè)施。同時,校園網(wǎng)也同樣面臨著越來越多的網(wǎng)絡(luò)安全問題。但在高校網(wǎng)絡(luò)建設(shè)的過程中,普遍存在著“重技術(shù)、輕安全”的傾向,隨著網(wǎng)絡(luò)規(guī)模的迅速發(fā)展,網(wǎng)絡(luò)用戶的快速增長,校園網(wǎng)從早先的教育試驗網(wǎng)的轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)絡(luò)。校園網(wǎng)作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題,解決網(wǎng)絡(luò)安全問題逐漸引起了各方面的重視。
從根本上說,校園計算機網(wǎng)絡(luò)系統(tǒng)的安全隱患都是利用了網(wǎng)絡(luò)系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用、管理過程中的失誤和疏漏更加劇了問題的嚴(yán)重性。威脅校園網(wǎng)安全的因素主要包括:網(wǎng)絡(luò)協(xié)議漏洞造成的威脅,操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞造成的威脅,攻擊工具獲取容易、使用簡單,校園網(wǎng)用戶的安全意識不強,計算機及網(wǎng)絡(luò)應(yīng)用水平有限等方面。
關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺,學(xué)校網(wǎng)絡(luò)中心也制定了各自的管理制度,但是還存在著各種現(xiàn)實問題,宣傳教育的力度不夠,許多師生法律意識淡薄。網(wǎng)上活躍的黑客交流活動,也為網(wǎng)絡(luò)破壞活動奠定了技術(shù)基礎(chǔ)。這是本論文討論的背景和亟待解決的問題。
二、校園網(wǎng)的安全防范技術(shù)
校園網(wǎng)絡(luò)的安全是整體的、動態(tài)的,主要有網(wǎng)絡(luò)物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全等多方面的內(nèi)容,通過采用防火墻、授權(quán)認(rèn)證、數(shù)據(jù)加密、入侵檢測等安全技術(shù)為手段,才有利于更有效地實現(xiàn)校園網(wǎng)絡(luò)安全、穩(wěn)定運行。論文將對常用的校園網(wǎng)絡(luò)安全技術(shù)進行研究。
首先是認(rèn)證技術(shù),認(rèn)證技術(shù)是網(wǎng)絡(luò)通信中建立安全通信信道的重要步驟,是安全信息系統(tǒng)的“門禁”模塊,是保證網(wǎng)絡(luò)信息安全的重要技術(shù)。認(rèn)證的主要目的是驗證信息的完整性,確認(rèn)被驗證的信息在傳遞或存儲過程中沒有被篡改或重組,并驗證信息發(fā)送者的真實性,確認(rèn)他沒有被冒充。認(rèn)證技術(shù)是防止黑客對系統(tǒng)進行主動攻擊的一種重要技術(shù)手段,主要通過數(shù)字信封、數(shù)字摘要、數(shù)字簽名、智能卡和生物特征識別等技術(shù)來實現(xiàn)。
第二是密碼技術(shù),目前保障數(shù)據(jù)的安全主要采用現(xiàn)代密碼技術(shù)對數(shù)據(jù)進行主動保護,如數(shù)據(jù)保密、雙向身份認(rèn)證。數(shù)據(jù)完整性等,由此密碼技術(shù)是保證信息的安全性的關(guān)鍵技術(shù)。密碼技術(shù)在古代就己經(jīng)得到相當(dāng)?shù)膽?yīng)用,但僅限于外交和軍事等重要領(lǐng)域。隨著計算機技術(shù)的迅速發(fā)展,密碼技術(shù)發(fā)展成為集數(shù)學(xué)、電子與通信、計算機科學(xué)等學(xué)科于一身的交叉學(xué)科。密碼技術(shù)不僅能夠保證機密性信息的加密,而且完成了數(shù)字簽名、系統(tǒng)安全等功能。所以,使用密碼技術(shù)不僅可以保證信息的機密性,而且可以防止信息被篡改、假冒和偽造。現(xiàn)在密碼技術(shù)主要是密碼學(xué)。密碼學(xué)也是密碼技術(shù)的理論基礎(chǔ),主要包括密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)主要研究如何對信息進行編碼,以此來隱藏、偽裝信息,通過對給定的有意義的數(shù)據(jù)進行可逆的數(shù)學(xué)變換,將其變?yōu)楸砻嫔想s亂無章的數(shù)據(jù),而只有合法的接收者才能恢復(fù)原來的數(shù)據(jù),由此保證了數(shù)據(jù)安全。密碼分析學(xué)是研究如何破譯經(jīng)過加密的消息并識別偽造消息。總之,密碼編碼技術(shù)和密碼分析技術(shù)相互支持、密不可分。
第三是防火墻技術(shù),防火墻是指放置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合。防火墻在不同網(wǎng)絡(luò)區(qū)域之間建立起控制數(shù)據(jù)交換的唯一通道,通過允許或拒絕等手段實現(xiàn)對進出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的控制。防火墻本身也具有較強的抗攻擊能力,能有效加強不同網(wǎng)絡(luò)區(qū)域之間的訪問控制,是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)安全的重要的基礎(chǔ)設(shè)施。
第四是入侵檢測系統(tǒng)。網(wǎng)絡(luò)安全風(fēng)險系數(shù)越來越高,防火墻技術(shù)己經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。入侵檢測系統(tǒng)作為對防火墻及其有益的補充,不僅能幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)攻擊的發(fā)生,也擴展了系統(tǒng)管理員的安全管理能力,有效提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。
三、結(jié)語
網(wǎng)絡(luò)技術(shù)迅速發(fā)展的同時,也帶來了越來越多的網(wǎng)絡(luò)安全問題,校園網(wǎng)安全防范的建設(shè)更是一項復(fù)雜的系統(tǒng)工程,需要相關(guān)工作人員予以更多的重視。論文在辨清網(wǎng)絡(luò)安全和校園網(wǎng)絡(luò)安全的定義的基礎(chǔ)上,從認(rèn)證技術(shù)、密碼技術(shù)、防火墻、入侵檢測系統(tǒng)、訪問控制技術(shù)、虛擬專用網(wǎng)六個方面分析了校園網(wǎng)安全防范技術(shù),這不僅是理論上的分析,也為網(wǎng)絡(luò)安全實踐提供了一定的借鑒。
參考文獻:
[1]蔡新春.校園安全防范技術(shù)的研究與實現(xiàn)[J].合肥工業(yè)大學(xué),2009(04).
[2]謝慧琴.校園網(wǎng)安全防范技術(shù)研究[J].福建電腦,2009(09).
[3]卜銀俠.校園網(wǎng)安全防范技術(shù)體系[J].硅谷,2011(24).
[4]陶甲寅.校園網(wǎng)安全與防范技術(shù)[J].電腦知識與技術(shù),2007(01).
[5]袁修春.校園網(wǎng)安全防范體系[D].蘭州:西北師范大學(xué),2005.
篇13
1.1校園電子商務(wù)的概念。
校園電子商務(wù)是電子商務(wù)在校園這個特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校本論文由整理提供園內(nèi)單位、企業(yè)和個人進行商務(wù)、工作、學(xué)習(xí)、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。
1.2校園電子商務(wù)的特點。
相對于一般電子商務(wù),校園電子商務(wù)具有客戶群本論文由整理提供穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務(wù)性大于盈利性等特點,這些特點也是校園開展電子商務(wù)的優(yōu)勢所在。與傳統(tǒng)校園商務(wù)活動相比,校園電子商務(wù)的特點有:交易不受時間空間限制、快捷方便、交易成本較低。
2校園電子商務(wù)的安全問題
2.1校園電子商務(wù)安全的內(nèi)容。
校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動在校園網(wǎng)應(yīng)用時所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。
2.2校園電子商務(wù)安全威脅。
校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,比如:身份竊取、非本論文由整理提供授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。
2.3校園電子商務(wù)安全的基本安全需求。
通過對校園電子商務(wù)安全威脅的分析,可以本論文由整理提供看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。
3校園電子商務(wù)安全解決方案
3.1校園電子商務(wù)安全體系結(jié)構(gòu)。
校園電子商務(wù)安全是一個復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求,通過對校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務(wù)的安全技術(shù),總結(jié)校園電子商務(wù)安全體系本論文由整理提供結(jié)構(gòu),如圖所示:
上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心;邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和本論文由整理提供交易服務(wù)器;安全機制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺,包括網(wǎng)上交易、支付和配送服務(wù)等。
針對上述安全體系結(jié)構(gòu),具體的方案有:
(1)營造良好校園人文環(huán)境。加強大學(xué)生本論文由整理提供的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念,共
同營造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞。
(2)建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。
(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。
(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問題,而本論文由整理提供不需要委托第三方物流公司,在校園內(nèi)建立一個物流配送團隊就可以準(zhǔn)確及時的完成配送服務(wù)。
3.2校園網(wǎng)絡(luò)安全對策。
保障校園網(wǎng)絡(luò)安全的主要措施有:
(1)防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題,使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問本論文由整理提供,防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。
(2)病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。
(3)VPN技術(shù)。目前,我國高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的本論文由整理提供安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護和改進。
3.3交易信息安全對策。
針對校園電子商務(wù)中交易信息安全問題,可以用電子商務(wù)的安全機制來解決,例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密,可以保證信息的機密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解本論文由整理提供決信息的完整性和不可否認(rèn)性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。
(1)數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。
(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù),它是網(wǎng)上交易支付的前提,負(fù)責(zé)對交易各方的身份進行確認(rèn)。在校園電子商務(wù)本論文由整理提供中,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來進行對交易各方的身份認(rèn)證。
(3)安全協(xié)議技術(shù)。目前,電子商務(wù)發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。
3.4基于一卡通的校園電子商務(wù)。
目前,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進行校園電子商務(wù)的網(wǎng)上支付可以增強校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:
(1)校園網(wǎng)是一個內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。超級秘書網(wǎng)
(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進行身份認(rèn)證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán),使其網(wǎng)上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時,由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決。
4結(jié)束語
