時間:2023-02-22 11:28:25
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇校園網絡安全范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
隨著高校信息化建設的全面深入和快速推進,基礎網絡設施和信息應用系統日趨完備,形成了規模大、結構復雜、系統多、應用全面的網絡與信息系統架構。信息化建設項目多、任務重,在高效率、高質量完成建設任務的同時,需要保證網絡運維和信息安全運維的效果和效率,為師生提供良好的用戶體驗,這就對網絡運維提出了更高的要求和標準。網絡業務日益繁多、復雜多變,各種網絡問題層出不窮,如黑客攻擊、計算機病毒泛濫,高校園網絡運維體系面臨新的問題,能否適應新變化就顯得非常重要。建立校園網運維體系、解決校園網面臨的問題對保證高校正常的教學、科研、管理等工作有著重要意義。
1校園網絡安全運維體系架構
隨著信息化在高校的發展,硬件平臺、應用軟件、操作系統越來越復雜,難以集中管理,加之師生對網絡的高度依賴性,使得保障網絡的可靠性和安全性成為重中之重。具備故障管理、配置管理、變更管理、性能管理、安全管理等功能的網絡管理技術為當前網絡安全技術中的關鍵技術。高校校園網絡中網絡安全設備、業務系統數量眾多、結構復雜,且管理控制平臺多樣,網絡管理員需要掌握不同平臺的管理及使用方法,去管理網絡中的各種設備和系統,復雜度高;網絡管理員對應用系統的使用權限不同,難以在不同的業務應用系統中保持控制策略和用戶權限的全局一致性,管理網絡安全事件日趨復雜化。只有對所有安全設備、業務系統發生的安全事件及其運行狀態信息進行關聯分析,才能有效發現新的、更深層次的安全隱患。安全管理技術主要包括安全事件采集、安全事件管理、安全設備監控三大模塊。安全事件釆集,用于采集網絡中所有安全設備及業務應用系統等的安全日志及運行狀態,這些信息將為后續的關聯分析提供數據源,是安全管理的基礎。安全事件管理將采集得到的數據源進行關聯分析、風險評估等處理,通過分析可能的安全威脅,提交安全對象的安全報告。安全設備監控,是通過監控各關鍵網絡設備的運行狀態信息,及時發現安全問題并第一時間進行處理。
2校園網絡安全運維平臺的組成
校園網絡安全運維平臺由監控中心、安全分析中心、運維中心組成,為保證高校校園網絡的安全提供了科學合理的方法,有效保障了校園網絡的安全和穩定。監控中心,通過事件采集器收集監控對象日志信息及安全事件,經過標準化、信息過濾和關聯分析后,標記安全事件級別同時存入數據庫。安全分析中心,通過資產識別、威脅識別、脆弱性識別、評價風險、風險計算等過程,評估校園網絡綜合資產的重要性、脆弱性以及面臨的威脅,為管理員進行決策提供依據;采用事件關聯分析算法,尋找海量事件相互關聯事件,提取出真正有價值的少量安全事件威脅,包括業務連續性威脅、數據安全威脅、攻擊威脅。運維中心,通過安全預警管理接收業務系統防護平臺產生的自動安全預警信息或人工預警信息,再進行分級處理,并按規定的通知模板將預警信息傳達給相關人員,并運用系統安全策略進行準確的預警,其中系統安全策略由告警的觸發條件、分析規則、風險策略、設施管策略、存儲策略等組成。
3安全運維的內容
3.1安全巡檢
定期對校園網絡安全設備的日志進行深入分析和審計,包括對防火墻、IDS、防病毒系統、動態口令認證、日志分析系統等的運行狀態、運行事件、日志和關鍵配置文件進行收集、分析,并形成相應的安全建議。安全巡檢內容如下:(1)制訂安全設備巡檢計劃和巡檢規范;(2)定期對網絡安全設備進行巡檢;(3)分析和解決在巡檢中發現的問題;(4)提交巡檢報告。
3.2漏洞掃描
通過漏洞掃描可以全面、準確發現校園網絡中各系統存在的安全隱患及可能被攻擊的方式,掌握信息系統的安全現狀,為進一步保證建設校園網絡的安全提供了數據參考和實際的依據,具有指導校園網絡安全建設的作用。對信息系統進行標準的安全探測是漏洞掃描采用的主要技術手段,通過安全探測可以發現網絡和系統潛在的安全隱患和薄弱環節。通過漏洞掃描設備、安全評估工具以掃描的方式對整個校園網中的信息系統、網絡設備和安全設備進行安全掃描,從校園內網和校園外網絡兩個不同的網絡環境來探測校園網絡結構、網絡設備部署、服務器主機配置、數據庫管理員賬號/口令等校園網絡對象目標存在的漏洞、安全風險和潛在的威脅。漏洞掃描有利于發現系統層、網絡層、應用層的安全問題。(1)系統層安全。各網絡設備、安全設備、服務器的操作系統,主要存在操作系統自身的漏洞、風險和威脅,主要包括用戶名、密碼管理、訪問權限分配和控制、系統漏洞等,以及操作系統的安全配置不夠完善,存在被攻擊的可能。(2)網絡層安全。網絡信息是網絡層的主要安全問題,包括身份認證,控制不同身份對網絡資源的訪問、傳輸過程中的信息數據保密性與完整性、校外網絡遠程接入、入侵檢測的發現及處理手段等。(3)應用層安全。應用軟件和數據的安全性是應用層安全考慮的主要方面,主要有:學工系統、門戶網站、教務系統、數據庫系統、Web應用服務、電子郵件系統、防火墻及WAF系統及其他網絡應用服務系統等。掃描流程如圖1所示:
3.3安全加固
針對巡檢、漏洞掃描、安全評估過程中發現的各種安全隱患、系統漏洞,通過補丁升級、漏洞修復、進行更加嚴格的安全配置、校園網絡系統架構優化與調整、安全策略升級與完善等方式及時對系統進行安全加固,范圍可覆蓋資產梳理、終端檢查、物理檢查、管理體系優化、人工檢查、漏洞掃描結果加固、滲透測試結果加固(涉及數據庫加固),提高校園網絡的安全性、抗攻擊和防病毒入侵能力,降低網絡安全事件發生的可能性。采用基本安全配置定期檢測和優化,提高各系統、設備的密碼復雜度及修改密碼,系統漏洞檢測、修復處理,訪問控制策略完善配置,安全的遠程接入方式,開啟文件系統的審計策略,開啟系統日志記錄并定期進行分析,定期升級操作系統及更新安裝補丁等手段對校園網絡進行安全加固。加固完成后,定期對校園網絡的安全性進行評估,確保校園網絡中各業務系統、網絡設備、安全設備具有較高的安全性和抗攻擊能力。加固流程如圖2所示:
4結語
科學合理成體系的校園網絡安全運維能有效緩解校園網絡面臨的風險問題,將網絡安全事件從傳統的事后處理逐漸轉變為事前防范,能極大提高網絡運維和安全管理水平,增強校園網絡的安全性,提供更好的用戶體驗,從而實現安全、穩定、抗風險能力強的校園網絡環境。
參考文獻
[1]莊天天.安全運維平臺關鍵技術的研究與實現[D].北京:北京郵電大學,2013.
[2]吳京偉.大學校園網絡運維體系研究[D].合肥:合肥工業大學,2009.
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。
許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。
如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞性行為。因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。
二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞性行為。 因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。 二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
隨著網絡技術的不斷發展和Internet的日益普及,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到了無法估量的作用。但教師和學生在使用校園網絡的同時卻忽略了網絡安全問題,登陸了一些非法網站和使用了帶病毒的軟件,導致了校園計算機系統的崩潰,給計算機教師帶來了大量的工作負擔,也嚴重影響了校園網的正常運行。所以在積極發展辦公自動化、實現資源共享的同時,教師和學生都應加強對校園網絡的安全重視。正如人們經常所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了校園網絡管理人員的一個重要課題。
作為一位中學電腦教師兼負著校園網絡的維護和管理,我們一起來探討一下校園網絡安全技術。
網絡安全主要是網絡信息系統的安全性,包括系統安全、網絡運行安全和內部網絡安全。
一、系統安全
系統安全包括主機和服務器的運行安全,主要措施有反病毒。入侵檢測、審計分析等技術。
1、反病毒技術:計算機病毒是引起計算機故障、破壞計算機數據的程序,它能夠傳染其它程序,并進行自我復制,特別是要網絡環境下,計算機病毒有著不可估量的威脅性和破壞力,因此對計算機病毒的防范是校園網絡安全建設的一個重要環節,具體方法是使用防病毒軟件對服務器中的文件進行頻繁掃描和監測,或者在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。如我校就安裝了遠程教育中心配置的金山毒霸進行實時監控,效果不錯。
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞性行為。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。 二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
一、網絡安全的定義
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改或泄露,系統連續、可靠、正常地運行,網絡服務不中斷。
二、網絡信息安全的特征
1.保密性。信息不泄露給非授權用戶、實體或過程,或供其利用的特性,在網絡系統的每一個層次都存在著不同的機密性,因此也需要有相應的網絡安全防范措施。在物理層,要保護系統實體的信息外露;在運行層面,保證能夠為授權使用者正常地使用,并對非授權的人禁止使用,并有防范黑客、病毒等的攻擊能力。
2.完整性。數據未經授權不能被修改、破壞、插入、延遲、亂序和不丟失的特性。
3.可用性。授權的用戶能夠正常地按照順序使用的特征,保證授權使用者在需要的時候可以訪問并查詢資料。在物理層,要提高系統在惡劣環境下的工作能力,在運行方面,要保證系統時刻能為授權人提供服務,保證系統的可用性,使得者和接收者都無法否認所和接收信息內容。
三、威脅網絡安全的因素
1.黑客。相信人們在生活中對這個詞語并不陌生,或許在自己的身邊就存在著黑客。黑客其實是程序設計人員,對于操作系統和編程語言等高級知識有很好的掌握,我們之所以稱其為黑客,主要是因為他們還利用對方的操作系統中的安全漏洞而非法的進入對方的計算機系統中,窺探或是盜取對方的機密,其危害性就不言而喻了。從一定程度上來說,黑客對于網絡系統的安全危害是比一般的電腦病毒的危害還要大得多。
2.病毒。病毒是相對于黑客的又一安全隱患,而目前對于數據安全存在的最大的安全隱患是計算機病毒,它也是一種惡意破壞的行為,是惡意編制者在正常的計算機程序中刻意插入的計算機指令或是程序的代碼,從而破壞計算機中的數據或計算機的功能應用,影響計算機的正常運用。計算機病毒就跟瘟疫一樣具有傳染性、破壞性、隱蔽性、寄生性等一些特點,能夠進行自我復制而在計算機中蔓延開來,對于計算機的影響不只是單個的計算機,而是區域性地產生影響,因此,加強對計算機病毒的防范迫在眉捷,要對已產生的計算機病毒進行及時的清理。
3.軟件漏洞。在計算機中存在著許多應用軟件,而這些軟件隨著人們的需要而被安裝,這些軟件雖經過無數次的測試,但并不能保證它們本身不存在著漏洞,更不能保證它們在應用的過程中不會出現問題,這種安全問題的存在,就使得計算機處于危機之中,一旦這些存在問題的操作系統或是軟件投入到使用中,就會使計算機遭到破壞。
四、校園網絡采用的網絡安全技術
1.防火墻技術。防火墻是一個或一組在兩個網絡之間執行訪問控制策略的系統,本質上,它遵從的是一種允許或阻止業務往來的網絡通信安全機制,也就是提供可控的過濾網絡通信,只允許授權的通信。防火墻能夠強化安全策略,防止不良現象發生的“交通警察”,有效地記錄因特網上的活動,限制暴露用戶點,是網絡安全策略的檢查站。
2.數據加密技術。在計算機網絡系統中,與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部竊取,偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。
3.網絡安全掃描技術。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行服務,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。
4.入侵檢測技術。入侵檢測技術是通過對行為、安全日志、審計數據或其他網絡上可以獲得的信息進行處理,從而發現入侵行為的一種技術。這是一種主動地防護措施,通過收集、分析計算機系統或計算機網絡中的特定信息,達到預測威脅網絡安全的行為是否存在的目的。入侵檢測技術在防火墻技術的基礎上提供了又一道安全防護層,可起到防御網絡攻擊的作用,因而提高了網絡系統的安全性和防御體系的完整性。
5.計算機病毒防范技術。計算機病毒是一種計算機程序,它不僅能破壞計算機系統,還能傳播感染到其他系統。計算機病毒能夠寄生在其他文件中,通過自我復制進行傳播,當預先設定的條件滿足時即被激活,從而給計算機系統造成不同程度的破壞。計算機病毒不同,其編制目的也各有不同。比如,破壞文件造成數據丟失、刪除重要程序文件造成系統錯誤、修改數據甚至盜取用戶數據。檢測與清除計算機病毒的常見方法是安裝殺毒軟件,同時也必須對病毒傳播途徑進行嚴密控制。
6.虛擬專用網技術。虛擬專用網是利用接入服務器、路由器及虛擬專用網設備在公用的廣域網上實現虛擬專用網的技術。在虛擬網絡中,任意兩個節點之間的連接并不需要傳統專用網絡常用的端到端的物理鏈路,只是兩個專用網絡借助一個公共網絡相互連接的一種方法,并通過采用隧道技術、加密技術、用戶身份認證技術、訪問控制技術,為網絡安全提供了強有力的保障。
五、結束語
在數字化教育飛速發展的今天,一個安全有效的校園網能夠在學校教學活動中發揮重要的保障和促進作用。作為校園網絡管理者,應認真了解和掌握校園網的特點和網絡安全技術,在實踐中靈活運用,更好地保證校園網絡的安全運行。
參考文獻:
[1]袁津生,齊建東,曹佳.計算機網絡安全基礎.北京:人民郵電出版社,2008.
[2]張世永.網絡安全原理與應用.北京:科學出版社,2003.
在密碼的安全設置上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為“入侵者”留下后門。
其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出的字符作為密碼。
密碼的長度也是設置者所要考慮的一個問題。在Windows系統中,有一個SAM文件,它是Windows的用戶帳戶數據庫,所有用戶的登錄名及口令等相關信息都會保存在這個文件中。如果使用“暴力破解”方式對所有字符組合進行破解,那么對于5位以下的密碼,最多只要用十幾分鐘就能完成;對于6位字符的密碼也只要用十幾小時;但是對于7位及以上的至少耗時一個月左右,所以密碼設置時一定要有足夠的長度。另外,適當地交叉使用大小寫字母也是增加被破解難度的好辦法。
二、系統的安全
從目前來看,各種系統或多或少都存在著漏洞,系統漏洞的存在就成了網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。發現漏洞最常用的方法就是經常登錄各有關網絡安全網站,對于我們使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。
在校園網中服務器為用戶提供著各種服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。從安全角度考慮,應將不必要的服務關閉,只向公眾提供他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳的某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。為了加大安全性,在安裝配置時可以注意以下幾個方面:
首先,不要將IIS安裝在默認目錄里(默認目錄為C:\Inetpub),可以在其它邏輯盤中重新建一個目錄,并在IIS管理器中將主目錄指向新建的目錄。
其次,IIS在安裝后,會在目錄中產生如Scripts等默認虛擬目錄,而該目錄有執行程序的權限,這對系統的安全影響較大,許多漏洞的利用都是通過它進行的。因此,在安裝后,應將所有不用的虛擬目錄都刪除掉。
第三,在安裝IIS后,要對應用程序進行配置,在IIS管理器中刪除必需之外的任何無用映射,只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重,盡量不要給可執行權限。
三、目錄共享的安全
在校園網絡中,利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中,要充分認識到當一個目錄共享后,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。為了防止資料的外泄,在設置共享時一定要設定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
隨"校校通"工程的深入開展,許多學校都建立了校園網絡并投入使用,這無疑對加快信息處理,提高工作效率,減輕勞動強度,實現資源共享都起到無法估量的作用。但在積極發展辦公自動化、實現資源共享的同時,人們對校園網絡的安全也越加重視。尤其最近暴發的"紅色代碼"、"藍色代碼"及"尼姆達"病毒,使人們更加深刻的認識到了網絡安全的重要。正如人們所說的:網絡的生命在于其安全性。因此,如何在現有的條件下,如何搞好網絡的安全,就成了網絡管理人員的一個重要課題。
目前,許多學校的校園網都以WINDOWS NT做為系統平臺,由IIS(Internet Information Server)提供WEB等等服務。下面本人結合自己對WINDOWS NT網絡管理的一點經驗與體會,就技術方面談談自己對校園網安全的一些看法。
一、密碼的安全
眾所周知,用密碼保護系統和數據的安全是最經常采用也是最初采用的方法之一。目前發現的大多數安全問題,是由于密碼管理不嚴,使 "入侵者"得以趁虛而入。因此密碼口令的有效管理是非常基本的,也是非常重要的。
在密碼的設置安全上,首先絕對杜絕不設口令的帳號存在,尤其是超級用戶帳號。一些網絡管理人員,為了圖方便,認為服務服務器只由自己一個人管理使用,常常對系統不設置密碼。這樣,"入侵者"就能通過網絡輕而易舉的進入系統。筆者曾經就發現并進入多個這樣的系統。另外,對于系統的一些權限,如果設置不當,對用戶不進行密碼驗證,也可能為"入侵者"留下后門。比如,對WEB網頁的修改權限設置,在WINDOWS NT 4 .0+IIS 4 .0版系統中,就常常將網站的修改權限設定為任何用戶都能修改(可能是IIS默認安裝造成的),這樣,任何一個用戶,通過互聯網連上站點后,都可以對主頁進行修改刪除等操作。
其次,在密碼口令的設置上要避免使用弱密碼,就是容易被人猜出字符作為密碼。筆者就猜過幾個這樣的站點,他們的共同特點就是利用自己名字的縮寫或6位相同的數字進行密碼設置。
密碼的長度也是設置者所要考慮的一個問題。在WINDOWS NT系統中,有一個sam文件,它是windows NT的用戶帳戶數據庫,所有NT用戶的登錄名及口令等相關信息都會保存在這個文件中。如果"入侵者"通過系統或網絡的漏洞得到了這個文件,就能通過一定的程序(如L0phtCrack)對它進行解碼分析。在用L0phtCrack破解時,如果使用"暴力破解" 方式對所有字符組合進行破解,那么對于5位以下的密碼它最多只要用十幾分鐘就完成,對于6位字符的密碼它也只要用十幾小時,但是對于7位或以上它至少耗時一個月左右,所以說,在密碼設置時一定要有足夠的長度。總之在密碼設置上,最好使用一個不常見、有一定長度的但是你又容易記得的密碼。另外,適當的交叉使用大小寫字母也是增加被破解難度的好辦法。
二、系統的安全
最近流行于網絡上的"紅色代碼"、"藍色代碼"及"尼姆達"病毒都利用系統的漏洞進行傳播。從目前來看,各種系統或多或少都存在著各種的漏洞,系統漏洞的存在就成網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。比如上面提及引起"紅色代碼"、"藍色代碼"及"尼姆達"病毒的傳播流行的Unicode解碼漏洞,早在去年的10月就被發現,且沒隔多久就有了解決方案和補丁,但是許多的網絡管理員并沒有知道及時的發現和補丁,以至于過了將近一年,還能掃描到許多機器存在該漏洞。
在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因些從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
在WINDOWS NT使用的IIS,是微軟的組件中漏洞最多的一個,平均兩三個月就要出一個漏洞,而微軟的IIS默認安裝又實在不敢恭維,為了加大安全性,在安裝配置時可以注意以下幾個方面:
首先,不要將IIS安裝在默認目錄里(默認目錄為C:\Inetpub),可以在其它邏輯盤中重新建一個目錄,并在IIS管理器中將主目錄指向新建的目錄。
其次,IIS在安裝后,會在目錄中產生如scripts等默認虛擬目錄,而該目錄有執行程序的權限,這對系統的安全影響較大,許多漏洞的利用都是通過它進行的。因此,在安裝后,應將所有不用的虛擬目錄都刪除掉。
第三,在安裝IIS后,要對應用程序進行配置,在IIS管理器中刪除必須之外的任何無用映射,只保留確實需要用到的文件類型。對于各目錄的權限設置一定要慎重,盡量不要給可執行權限。
轉貼于 三、目錄共享的安全
在校園網絡中,利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但在設置過程中,要充分認識到當一個目錄共享后,就不光是校園網內的用戶可以訪問到,而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。筆者曾搜索過外地機器的一個C類IP網段,發現共享的機器就有十幾臺,而且許多機器是將整個C盤、D盤進行共享,并且在共享時將屬性設置為完全共享,且不進行密碼保護,這樣只要將其映射成一個網絡硬盤,就能對上面的資料、文檔進行查看、修改、刪除。所以,為了防止資料的外泄,在設置共享時一定要設定訪問密碼。只有這樣,才能保證共享目錄資料的安全。
四、木馬的防范
相信木馬對于大多數人來說不算陌生。它是一種遠程控制工具,以簡便、易行、有效而深受廣大黑客青睞。一臺電腦一旦中上木馬,它就變成了一臺傀儡機,對方可以在你的電腦上上傳下載文件,偷窺你的私人文件,偷取你的各種密碼及口令信息……中了木馬你的一切秘密都將暴露在別人面前,隱私?不復存在!木馬,應該說是網絡安全的大敵。并且在進行的各種入侵攻擊行為中,木馬都起到了開路先鋒的作用。
簡單地說,校園網是指在學校范圍之內,為教師的教育教學和科研、學生的學習和生活等需求提供信息交流、資源共享的計算機網絡系統。校園辦公服務軟件不斷發展的同時,學校的教育教學、校務辦公、為學生服務的功能也通過互聯網連接,這大大擴展了辦公及學習的深度和廣度。與此同時,校園網的安全問題也越來越突出,網絡病毒,黑客入侵,管理不善等原因使得校園網絡面臨著嚴重的威脅。
1校園網的安全隱患
1.1導致校園網危險的內在原因
1.1.1軟硬件自身的漏洞
硬件系統的安全威脅。一是指物理方面的安全,主要是由于互聯網中硬件裝置擺放的位置不太合適,或是由于安全的防范措施不當,導致網絡硬件一些設備不能安全正常地使用。二是指設置安全,主要是指在儀器上要有正確的設置,預防網絡黑客獲取了計算機的遠程控制的特權。網絡系統的安全漏洞,是指網絡系統的程序員編程設計時,沒有事先預料到可能存在的安全隱患,導致系統存在缺陷。現今,校園里采用的計算機操作系統大部分是微軟公司的WINDOWS操作系統,而針對WINDOWS操作系統的病毒和黑客非常的多,安全問題十分堪憂。
1.1.2設置上的失誤
正確地安排設計校園網的配置設備是非常關鍵的。網絡線路一旦成形并布線,那么,如果再進行調整是十分麻煩的。因為其布線有一定的網絡拓撲結構,如果重新設計,不僅會浪費人力、物力、財力,還會影響正常的教學活動。目前,網絡維護公司其技術、質量及其所謂的解決方案一般都是夸大其詞,并不能真正地達到百分之百的防治效果。
1.1.3管理漏洞
人為的管理體制,也是校園網中比較重要的部分。人員的負責制度、管理條例、安全意識、安全防范行為都不健全,加上一些管理人員自身的知識和技能不足等原因,非常有可能引發網絡安全的問題。
1.2導致校園網危險的外在原因
1.2.1網絡黑客的入侵
校園網的規模龐大而且復雜,其中的設備五花八門,不僅在管理上帶來了很大的難度,也給不法的黑客可趁之機,因此,黑客的攻擊是校園網絡安全中一個不可小視的重要因素。
1.2.2計算機病毒的破壞
通常情況下,計算機網絡的基本組成包括在網絡中安置的服務器和節點站(包含有盤和無盤工作站、遠程工作站)。計算機病毒的入侵路徑,通常是先進入到網絡中的有盤工作站,即進入了網絡,再開始在互聯網上傳播。
2解決校園網絡安全問題的一些關鍵技術
基于校園網絡的現狀,在明確了幾個威脅校園網安全的因素的基礎上,就可以制定一系列網絡安全系統策略和原則,并從硬件和軟件方面考慮,需要采用多種技術及軟件相互配合的方式,包括防火墻、入侵檢測、病毒防御等的運用。
2.1防火墻部署
防火墻是指一種隔離技術,用于將內部網和公眾訪問網分開的技術,也就是校內網和校外人員訪問的校園網是不同的。防火墻是在網絡之間進行信息傳遞時所實現的訪問限制標準和程度,它可以使你“允許進入”的訪問用戶和數據訪問你的網絡,也將你“不允許進入”的訪問用戶和數據拒絕,這種分隔校園中的通信更加安全,校園內的數據庫、網絡、網站就能得到最大限度的保護。最大程度地保護校園網絡免于其他的威脅和侵害。
2.2入侵檢測
入侵檢測是對入侵網絡的行為進行檢查。它的技術原理就是利用對計算機網絡或者是計算機系統中一些關鍵點進行收集信息,并對信息進行分析,從中檢測網絡或系統中有無違背安全策略的行為和被攻擊的現象。
2.3計算機病毒防御
防病毒技術能夠及時發現病毒并且消滅病毒,防止網絡病毒的進一步傳播和擴大。防病毒核心技術有:特征代碼匹配、病毒特征自動發現、啟發式搜索等。防病毒產品有:Norton、Kaspersky、金山毒霸、瑞星殺毒軟件等。
2.4漏洞掃描
漏洞掃描是指在漏洞數據庫的基礎上,利用掃描等形式檢測指定的遠程計算機或本地計算機系統的安全性,并檢測出能夠被利用的漏洞的一種安全檢測行為。漏洞掃描技術是一種非常常用的網絡安全技術。它與防火墻、入侵檢測系統聯合使用,很大程度地提高網絡的安全性。通過使用網絡掃描技術,校園網絡管理人員可以知道網絡的安全設置和運行時的應用服務,并能盡早發現安全漏洞,客觀評估網絡風險等級,并盡快處理風險和威脅。校園網絡管理員能按照掃描的結果改正校園網絡中錯誤設置和系統中的漏洞,在惡意入侵者入侵之前準備防范。防火墻是一種被動的防范措施,然而安全掃描是一種主動的防范手段,這種防范可以有效避免入侵者的攻擊行為。
2.5營造良好的網絡環境,培養學生的網絡道德情感
由于學生的心理、思想還不成熟,在網絡面前往往缺乏理智的辨別能力,部分學生甚至出現了道德意識欠缺、道德素質偏低等問題。學生是網絡世界一個不容忽視的群體,他們的網絡道德素質對網絡道德建設有著很大的影響。在校學生網絡道德素質問題的解決,不但能改善網絡環境、維護網絡秩序,并且對提高在校學生的道德素質都會有積極影響。
2.6加強管理人員安全意識,切實提高管理人員技術水平
(1)提高網絡管理層的安全意識,學校領導應大力支持與重視網絡建設和網絡安全,這是構建安全校園網絡的保障。(2)提升網絡管理隊伍的安全素養,加強學生與教師的安全意識和網絡管理員安全技能的培訓工作,提高管理員的技術水平。在校園網絡中建立起一套完整的網絡安全體系,加強校園網絡安全管理制度和措施,形成一個較全面的安全理論體系,在一定程度上解決校園網中存在的若干安全問題。如今在國家大力支持計算機和網絡教育的情況下,相信校園網絡的安全工作將會提到一個更高的層次,引起更多的重視,為我國的教育事業做出更多的貢獻。
參考文獻
[1]陳新建.校園網的安全現狀和改進對策[J].網絡安全技術與應用,2007.
以Internet為代表的信息化浪潮席卷全球,信息網絡技術的應用日益普及和深入,伴隨著網絡技術的高速發展,各種各樣的安全問題也相繼出現,校園網被“黑”或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網絡安全需要從網絡的搭建及網絡安全設計方面著手。
一、基本網絡的搭建。
由于校園網網絡特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(制作部門和辦公部門間的訪問控制),我們采用下列方案:
1.網絡拓撲結構選擇:網絡采用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的局域網拓撲結構。節點具有高度的獨立性,并且適合在中央位置放置網絡診斷設備。
2.組網技術選擇:目前,常用的主干網的組網技術有快速以太網(100Mbps)、FDDI、千兆以太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網絡平臺,但它的網絡帶寬的實際利用率很低;目前千兆以太網已成為一種成熟的組網技術,造價低于ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦采用千兆以太網為骨干,快速以太網交換到桌面組建計算機播控網絡。
二、網絡安全設計。
1.物理安全設計為保證校園網信息網絡系統的物理安全,除在網絡規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的保密工作帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上采取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防范措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要采取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網、局域網傳輸線路傳導輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現均采用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換接口,用光纜接出屏蔽室外進行傳輸。
2.網絡共享資源和數據信息安全設計針對這個問題,我們決定使用VLAN技術和計算機網絡物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由于它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其它VLAN中,即使是兩臺計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的,它在以太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。從目前來看,根據端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的端口來劃分VLAN成員,被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。
但是,這種劃分模式將虛擬網絡限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計我們采用防病毒技術,防火墻技術和入侵檢測技術來解決相關的問題。防火墻和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,并且借助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護服務器和網絡中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下需要應用基于網絡的防病毒技術。這些技術包括:基于網關的防病毒系統、基于服務器的防病毒系統和基于桌面的防病毒系統。例如,我們準備在主機上統一安裝網絡防病毒產品套間,并在計算機信息網絡中設置防病毒中央控制臺,從控制臺給所有的網絡用戶進行防病毒軟件的分發,從而達到統一升級和統一管理的目的。安裝了基于網絡的防病毒軟件后,不但可以做到主機防范病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網絡信息安全。形成的整體拓撲圖。
中圖分類號:TP393.08
本項目涉及的是某高校校園網的升級改造。近年來,隨著學校校園網應用的不斷增加,原學校核心網壓力越來越大。同時,隨著新的教學模式的應用,如很多學科視頻應用逐漸常規化,大量的視頻及圖像數據流對原校園網中服務器、存儲及核心網絡設備性能都提出了更高的要求,另外校園網的網絡安全也日益成為焦點。因此,該校決定對原有校園網進行改造。
1 項目需求
在此次校園網升級改造中,該校決定將各系業務進行整合,并建設一個獨立、高性能的數據中心。通過數據中心統一為全校提供靈活、高效的業務支撐,滿足各院系差異化需求,并保留未來強大的擴展能力。
由于新建立的數據中心需要為全校的各種視頻、網絡教學等關鍵業務提供服務,因此對數據中心服務器、存儲及網絡設備的性能和可靠性提出了很高的要求。
具體要求:
(1)數據中心服務器配置了大量高性能千兆網卡,因此要求新建數據中心網絡能夠滿足高密度千兆速率接入需求。
(2)新建數據中心網絡要求具備接口擴展等數據中心特性,以適應未來發展需求。
由于此次改造的重點是數據中心,因此對網絡安全也提出了相應的要求:
(1)防御來自網絡外部的DDoS攻擊,保障數據中心的可用性。
(2)對應用層攻擊進行預防和阻止。
(3)攻擊防范及訪問控制,抵御來自外部的各種攻擊;在校園內部根據部門的不同安全區域、級別進行隔離。
(4)高密度部署,具備虛擬化能力,低成本地滿足校園各部門專屬安全防護的需要。
2 項目解決方案
通過對客戶需求及應用場景的深入分析,最終將該公司數據中心建設的關注點放在了數據中心網絡安全防護上。經過分析最終選定華為公司為運營商。
通過對數據中心的分析,目前對數據經中心的安全需求基本包括以下方面:
數據中心鏈路普遍采用10G鏈路,將要向40G/100G鏈路進行遷移,同時,數據中心的發展,使得大二層數據中心快速發展,東西向流量的交換集中匯聚到數據中心核心交換機,這種趨勢必然要求信息安全產品需要有更高的處理能力,低性能的網絡安全防護產品如FW/IPS等必制約了數據中心的平滑升級;
數據中心的發展規模越來越大,業務越來越多,數據中心數據價值也越來越高,各種對數據的攻擊也日新月異,攻擊呈現持續性、高流量、異變性等,如何防護這些種類繁多的攻擊行為要求防護產品的快速反應和高性能的處理能力;
信息安全威脅的快速變化,需要網絡防護產品能快速的安全能力升級的能力,以及要求安全廠商有更積極的安全產品升級策略;
網絡安全產品能夠感知不同的應用類型,在網絡需要時可以對不同的應用給予不同的帶寬保障,保障高價值業務的用戶體驗;以緩和數據中心出口帶寬的壓力,提升用戶體驗。
2.1 外聯區安全防護
華為高端防火墻部署在大型數據中心出口,為客戶提供高性能、高密度、高可用性、高安全的網絡安全基礎架構。通過部署高性能的高端墻,實現了安全域隔離,將數據中心劃分為外鏈區和核心區,對各個域之間的流量進行安全防護,有效避免網絡風暴擴散,保障網絡安全。在外聯區部署IPS入侵防御系統,及時判斷網絡或系統中是否有違反安全策略的行為和遭到攻擊的跡象,并在發現威脅的情況進行阻斷或告警等措施實現對網絡的安全保護。通過在關鍵業務系統的入換機旁路部署NIP系統,對訪問系統的網絡流量進行實時入侵檢測,實現了統計分析、入侵檢測與防護、安全審計等功能。
同時在出口部署Anti-DDoS設備,可以有效識別DDoS攻擊,減少惡意流量的沖擊,實現對DDoS的攻擊防護。
2.2 核心區網絡安全解決方案
通過在核心交換機上部署各種安全業務,如防火墻、IPS/IDS等為數據中心的業務提供內部網絡安全解決方案。
在核心區部署高性能USG設備,將核心區按照業務模式劃分不同的區域,如測試區、托管區、運行管理區等,對不同的區域實現不同的安全策略,為不同的區域提供不同的安全防護能力。
在核心區部署高性能的IPS設備,以旁路IDS方式部署NIP產品,監控內部的攻擊行為,檢測異常的數據流量,同時在業務服務器群前,防御DDoS攻擊,以及各種黑客攻擊行為和蠕蟲等,以保護高安全業務區的業務安全。
2.3 方案的優勢
多種專業防護能力:采用“七層過濾”技術,秒級防御流量型、應用型、畸形報文等各種DoS/DDoS攻擊;方案集成業務感知模塊,超1200多種應用識別能力,能夠對業務做到應用層可視化管控。
高性能:針對數據中心大數據、大流量的特點,華為數據中心網絡安全解決方案依托電信級的硬件平臺,提供高性能、高可靠的安全防護。在業務吞吐量、接口能力、漏洞檢出率/誤報率、防護響應速度等安全設備關鍵指標上全面領先業界水平。
高可靠:方案涉及設備的電源/風扇/主控等關鍵部件冗余和可熱插拔,業務板間均衡負載流量,多種容錯設計保證在海量復雜網絡流量下可靠性和可用性,保證業務永續。
易擴展:采用插板式設計,安全隔離、IPS和Anti-DDoS的功能均能在同一硬件平臺上擴展,高密度,保護客戶已有投資。
虛擬化能力強:虛擬化能力是業界平均水平的4倍以上,低成本的提供多部門獨享安全服務的需求。
全面的IPv6攻擊防范能力:提供完善的IPv6過渡方案,確保IPv4向IPv6網絡過渡期間的安全、平滑升級。
3 結束語
本文對校園網的數據中心升級做了簡要的描述。在校園網的建設中,我們首先要做的是了解各項業務需求,然后從中選出最重要的點作為項目實現的重點,進行方案設計和設備選型,最后進行項目實施。
參考文獻:
[1]鄭葉來,陳世峻.分布式云數據中心的建設與管理[M].北京:清華大學出版社,2013.
[2]張廣明,陳冰,張彥和.數據中心基礎設施設計與建設[M].北京:電子工業出版社,2012.
