校园网络安全管理体系(6篇)
时间:2024-03-18
时间:2024-03-18
关键词:数字化;校园网;网络风险;安全管理
社会要发展,人类要进步,必须依靠教育;而人类要实现真正的数字化目标,也必须依赖于教育的信息化发展。现代信息技术在教育领域的广泛应用,促进了教育理念、教育手段和教育方式的变革。“数字化校园建设”是时展的必然结果,是数字时代学校建设与发展的必然选择,是学校校园文化、育人环境构建与发展的必然选择。
一、数字化校园的建设
首先我们要了解几个概念:数字化,是指利用计算机信息处理技术把声、光、电、磁等信号转换成数字信号,或把语音、文字、图象等信息转变为数字信息,用于传输与处理的过程,体现出智能化、个性化、网络化三个方面的特征。数字化校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(设备、教室等)、资源(图书、课件、素材)到活动(教、学、管理、服务、娱乐)的全部数字化,从而在传统校园的基础上构建一个数字空间,拓展现实校园的时间和空间维度,扩展传统校园的功能,最终实现教育过程的全面信息化。数字化校园将把学校中的管理和教学带入一个全新的网络信息化时代,是以数字化的方式来体现我们的工作、学习、交流与管理,是一种全新的生活、学习和管理模式。
一、高校数字化校园的基础构架
1、校园计算机网络平台的建设
校园网及分布于不同物理位置的数字化设备,是开展数字化教学的重要基础设施。必须建设一个宽带、高速、可靠、安全的,有线和无线相结合的,遍布校园各个角落的多媒体网络平台,建设一批实施数字化教学的网络教室、多媒体教室和用于自学、自主实验的电子阅览室、DIY实验室等。
2、知识库和信息库的建设
包括课件库、辅助资源库、电子图书馆等,把有特色的成熟的课件、教案、教学实践等资源集成为课件库,把教学背景资料、史料、案例、教学参考资料集成为辅助资源库,把图书馆建设成检索方便、涵盖全面的电子图书馆。这是数字化校园丰富的、赖以生存的资源基础。
3、应用系统的建设
应用系统是教育教学的行为体现,完成教学资源的调度,为学习者创设学习情景,提供学习服务,为教师提供方便的教学环境和引导环境,为管者提供高效的管理环境。适于不同的需求,应用系统应涵盖传统意义上的管理信息系统、办公自动化系统、网上教学系统等,如基于web的公共信息系统和电子公文流转系统、教育信息管理系统、开放资源管理系统、基于用户的网络和桌面管理系统、电子身认证系统等。
二、高校数字化校园建设的网络环境
1、无线局域网络(WirelessLocalAreaNetworks,WLAN)是相当便利的数据传输系统,它利用射频(RadioFrequency,RF)的技术,取代旧式碍手碍脚的双绞铜线(Coaxial)所构成的局域网络,使得无线局域网络能利用简单的存取架构让用户透过它,达到“信息随身化,便利走天下”的理想境界。
2、3G即三代移动通信技术(3rd-generation,3G),是指支持高速数据传输的蜂窝移动通讯技术。3G的典型特征是能够同时提供语音及数据的高速无线移动服务,速率一般在几百kbps以上。
三、高校数字化校园建设的方向
1、完善数字化校园运行服务体系
为了数字化校园的稳定运行,信息主管部门应做好用户服务、技术支持、应用管理和系统管理四个方面的工作。用户服务指直接为最终用户提供问题解答、操作指导、密码修改等服务;技术支持指为学校各部门提供软、硬件系统运行过程中的技术指导与服务;应用管理指为保证信息系统的稳定、高效运行而相应应用系统进行的安装、配置、优化、监视等运行维护工作;系统管理指设计、安装、配置、优化、监视网络、服务器及数据库等基础软件系统,以及电子邮件、Web主页、FTP等基本网络服务系统的运行维护。
2、提高网络的安全性与可靠性
运行畅通、安全稳定、可控可管的网络是现代高校校园网络的目标,也是数字化校园运行的有力保障。高校应推行校园网“三全机制”,即全网认证、全网监控、全网防毒,有效监管和记录网络用户的上网行为并有针对性的制定用户管理策略;建立校园网络应急预案,包括校园网络安全应急预案、重要服务器和核心设备故障应急预案、数据中心异常应急预案等,以应对数字化校园运行过程中出现的异常状况;做好数据备份工作,包括异地备份、双机备份、多介质备份等,以保证数据完整性和安全性;建立校园网络安全日志管理系统。
3、云计算在校园网中的作用
云计算应用于校园网需要其提供IT基础架构,而不需购买昂贵的硬件设备。可以在信息传输的基础设施的建设上实现覆盖全面化、性能最优化、规模最大化、费用最低化,同时还能满足教育网络所需的实用性、稳定性、安全技术先进性等多方面需求。
二、高校数字化校园的安全管理
高校校园网作为数字化校园的重要基础,担当着学校教学、科研、管理和对外交流等重要任务,为学校的教育、教学、生活提供了极大的方便,如何使校园网免受黑客的入侵、病毒的侵袭和其他不良意图的攻击等风险,已经成为高校需要解决的重大问题,安全管理已是高校数字化校园建设后期的重要任务。
安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校必须建立一套校园网络安全管理模式,制定有详细的安全管理制度,确定安全管理等级和安全管理范围;制订有关网络操作使用规章制度;制定网络系统的维护制度和应急措施等;构建安全管理平台,组成安全管理子网,安装集中统一的安全管理软件,如病毒软件管理系统、网络设备管理系统以及网络安全设备统管理软件,实现校园网的安全管理。
(一)、物理安全对策
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误及各种计算机犯罪行为导致的破坏。它主要包括两个方面:
1、环境安全。对系统所在环境的安全保护,如区域保护和灾难保护;
2、设备安全。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
(二)、逻辑安全对策
尽量采用安全性较高的网络操作系统并进行必要的安全配置;关闭一些不常用却存在安全隐患的应用程序;对一些保存有用户信息及其口令的关键文件使用权限进行严格限制;加强口令字的使用,并及时给系统打补丁,系统内部的相互调用不对外公开。
在应用系统安全上,应用服务器尽量不要开放一些不常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统,可以关闭服务器上如TELNET、RLOGIN等服务;加强登录身份认证,确保用户使用的合法性,严格限制登录者的操作权限;充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息做记录,为事后审查提供依据。
三、安全管理对策
1、领导高度重视
对网络安全而言,领导重视更重要。网络安全管理是一个动态的系统工程,仅靠技术老师的工作职能无法完成。
2、随需求确定安全管理
随着网络拓扑结构、网络应用以及网络安全技术的不断发展,安全策略的制订和实施是一个动态的延续过程。应该遵照国家和学校有关信息安全的技术标准和管理规范,针对学校专项应用,对数据管理和系统流程的各个环节进行安全评估,确定使用的安全技术,设定安全应用等级,明确人员职责,制定安全分步实施方案,达到安全和应用的科学平衡。
3、建立严格制度的文档
网络建设方案;机房管理制度;各类人员职责分工;安全保密规定;网络安全方案;安全策略文档;口令管理制度;系统操作规程;应急响应方案;用户授权管理;安全防护记录;定期对系统运行、用户操作等进行安全评估,提交网络安全报告以及全面建立计算机网络各类文档,堵塞安全管理漏洞。
三、结束语
高校数字化校园是一个动态发展过程,数字化校园的建设也是一个不断发展的过程,需要我们不停的努力探索;校园网络安全及技术防范任重而道远,网络安全防范体系的建立不可能一劳永逸。对网络安全的防范策略也要不断改进,保证网络安全防范体系的良性发展,确保高校数字化校园朝着健康、安全、高速的方向发展。
参考文献
[1]万里鹏等.中国高校数字化校园建设与思考[J].情报科学.
(包头职业技术学院,包头014035)
(BaotouVocational&TechnicalCollege,Baotou014035,China)
摘要:本文从计算机网络面临的各种安全威胁,针对校园网络的安全问题进行研究,从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
Abstract:Fromallkindsofsecuritythreatstocomputernetwork,thispaperstudiesthecampusnetworksecurityproblem,fromtwoaspectsofbuildingsecuritydefensesystemandstrengtheningthesafetymanagement,designsthecampusnetworksecuritypolicy,establishestheideasoftheP2DRmodeltoestablishthecampusnetworksecuritydefensesystem.Anditisconcludedthatthebuildingofasetofeffectivenetworksecuritydefensesystemisthenecessarywayandmeasurestosolvecampusnetworkmainthreatsandhiddentroubles.
关键词:网络安全;安全防范;校园网
Keywords:networksecurity;safety;campusnetwork
中图分类号:TP393.1文献标识码:A
文章编号:1006-4311(2015)02-0199-02
0引言
随着网络信息技术的高速发展,网络安全问题日渐突出,近年,网络病毒、黑客攻击等屡见不鲜,国家相关部门也一再要求做好网络安全建设和管理工作。校园网络也同样会面临威胁,因此应该在知道的网络功防基础上构建校园网络安全体系,首先要从两方面着手:一是采用一定的技术;二是不断改进管理方法。
1校园网络存在的安全隐患
目前,校园网络主要存在的安全隐患和漏洞有:
①校园网通过CERNET与Internet相连,在享受Internet带来的方便快捷的同时,也面临着遭遇网络攻击的风险。②校园网内部存在着很大的安全风险,当前,黑客攻击工具在网上很普遍,并不需要很复杂的知识的普通人就能操作,因此存在很大的风险。同时因为内部用户对网络的应用和结构模式有了一定的了解,所以来自校园网内部的安全隐患更大一些。③操作系统存在的安全隐患,校园网络服务器安装的操作系统有Unix、WindowsNT/Windows2000/WindowsXP、Linux等,而这些系统的风险级别不同,例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它们成为了最不安全的操作系统。④伴随着校园内计算机应用越来越普及,接入校园网的节点也逐渐增多,然而大部分节点都没有构建一定的防护措施,因此随时随地都有可能造成病毒猖獗、校园网络被攻击、数据损坏、重要信息丢失、甚至系统瘫痪等严重的后果。
由此可见,采取必要的信息安全防护措施,构建有效的校园网络安全体系尤为重要。
2构建校园网主动防御系统
现阶段,威胁校园网的安全有来自校内的,也有来自校外的。在进行校园网络安全系统设计的时候,首先就是要了解学校的需要和目标,然后再制定相应的安全措施,但是与此同时需要重点注意的就是,网络上的安全策略和业务目标与安全设计要求相一致。所以网络安全的防御体系必须是动态的、变化的,在设计完成安全防御体系后,就需要不断地适应并随着安全环境的变化而变化,这样就可以确保安全防御系统的良好发展,并保证它的有效性和先进性。
2.1P2DR模型美国ISS公司提出的P2DR模型是一种动态的网络安全体系的具有代表性的模型,也是动态安全模型的最初始形态。其中P2DR模型是在整体安全策略的控制和指导下,运动防护工具将系统调整到风险最低的安全状态。而防护、检测和相应则就组成了一个完整的,并且是动态的安全循环系统,同时在安全策略的指导下能够保证信息系统的安全,这也就成为衡量一个网络系统是否是安全的标准,从而对它的安全性能进行评定。
2.2校园网络安全防范体系在对网络是否是安全的进行判断后,就可以针对以上校园网网络安全系统的安全系统的应用来实现以下的技术:
①在校园网中配置防火墙和入侵检测系统在校园网的进口处架设了防火墙和网络入侵检测系统。②在校园网中运用VLAN技术按照学校各部门、院系拥有的不同的应用业务和不同的安全等级为依据,如有限制非法访问的需要可以运用VLAN技术。③在校园网中利用软件配置服务器使用二级防火墙,在学生机房配置访问控制列表,并利用软件配置服务器,在服务器上安装双网卡,设置连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,设置学生客户机IP地址与服务器内网IP地址在同一网段,网关IP设置为服务器内网IP地址。机房服务器通过服务器连接到互联网,从而可以起到控制前往Internet的所有用户的流量的功效。④在校园网安装杀毒软件防病毒手段要在整个校园网中,凡是有可能感染和传播病毒的地方都要安装应用,安装相应的防杀毒软件,可以有效地防止病毒在校园网上传播。对杀毒软件要定期进行升级病毒定义码和扫描引擎。⑤制定相关的安全策略是赋予组织机构技术人员或信息资产使用权的人员所要履行的准则,也是陈述它是一个成功的网络安全体系的基础与核心。校园网络的安全策略主要依据的就是校园网的业务需求所要描述的校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容。
2.3完善安全制度与管理体系安全防范体系的核心即是安全管理,它贯穿于整个安全防范体系,在安全防范体系中起到了人的作用。网络系统的安全性不仅是技术方面的问题,也是日常相应的规章制度管理的问题,不然对于网络系统的安全来说也只是纸上谈兵。
在建立了学校网络安全防御体系后,学校的网络控制中心主要负责网络设备的正常运行和日常的管理,信息中心主要负责的就是网络上教学资源能够安全管理和储存。对已服务器的日志要做到每日必须检查,每次对重要的数据服务器都要进行异地数据备份。对于操作系统和防病毒软件包,管理员也需及时打补丁和进行升级,不断完善和优化网络安全的管理制度。校园网络的安全管理是一个长期的并且是动态的过程。
3结论
在信息技术飞速发展的今天,校园网已然成为了学校信息系统的核心,网络的不安全就使得整个校园信息系统变得不安全,甚至会造成对教学秩序的紊乱,所以必须建立一套有效且可实施的网络安全防御系统,来确保校园网络的安全。本文主要是从当今校园网络安全可能面临的一些威胁和存在的攻击入手,对网络攻击的防范进行了设计并将其实现,并且提出了以安全策略为核心,防护、检测和响应为手段,加以技术防范的一种校园网安全防御系统理念,来确保校园网络安全的一个切实的解决方案。本文中所采用的技术不能说是非常完善的,一是因为网络攻击技术都是在不断向前发展的,二是因为笔者的设计水平局限性,并且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的,所以还存在很多有待深入研究的问题。
参考文献:
[1]王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005,6:19-20.
[2]宋劲松.网络入侵检测:分析、发现和报告攻击[M].国防工业出版社,2004,9:26-28.
[3]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3.
目前,我国信息化建设正处于大力发展之中,校园信息化建设在教育事业中也迅速推进,校园网络文明建设也进入了新阶段,信息化校园网络建设已成为高校的重要信息基础设施。因此,网络安全的管理和维护是信息系统的重要保障,要想真正的实现信息化校园的建设目标,必须在推进网络信息技术的同时,加强信息化校园网络的安全保障体系。
1信息化校园网络面临的安全隐患
信息化校园网络已成为高等院校的重要设施,它的安全状况关系到高等院校信息化建设的发展进程。
1.1信息化校园网络建设的环境安全问题
根据物理环境分析,高等院校校园网络仍存在火灾、盗窃、人为破坏等环境因素和人为因素的困扰,特别是随着科技的发展信息化设备的不断进步,很多高校都引进了先进网络设施,因此,校园网络的计算机、3D打印机等设备成为校内偷盗者的主要目标。目前,很多偷盗者已从整机的偷盗转为针对CPU、主板、硬盘、光驱等高价值的东西,但是,偷盗者所偷走的物品有时候甚至会给高校造成巨大的损失,重要信息的丢失,会远超于物品的价值。漏电、雷击、静电、电磁泄露等问题也是环境安全中不可小觑的潜在因素,当电线使用时间过久出现老化未能及时发现,容易导致漏电严重则引发火灾;正值夏季之时,打雷闪电时有发生,如果没有及时断电,雷击会造成机器严重受损;强静电如果没有得到完全释放而保留在设备里,形成很高的瞬时电位,轻者大规模的集成电器损坏,重者引起机器自燃爆炸引起火灾;电子设备具有电磁泄露的现象,同样也是安全隐患中不可忽视的问题,计算机在工作中的电磁发射一旦被高灵敏度的设备接收,就会造成信息泄露,如果机密信息被泄露,后果将不堪设想。
1.2校园信息化建设的人为安全隐患
(1)校园网用户网络安全意识薄弱。校园网用户主要面对师生,教师在使用办公软件时,对于文件的存储没有在硬盘上做区分和加设访问限制,使其他用户轻松的利用网上邻居等操作方式对其文件进行操作,存在信息泄露的安全隐患。学生作为网络用户主体,对网络安全尚未能全面充分的认识,防范意识薄弱,在操作各类应用软件更侧重于方便、快捷,从而忽略网络安全问题。
(2)校园网内部存在的安全问题。第一,校园网管理人员的操作失误,例如,当管理员设立新用户账户或是修改用户账户以及日常维护中,如果无意中把管理权限授予了不适合的用户,在不经意中该用户获得了不应该有的权限,如操作不当会在无意中对信息和数据造成破坏。第二,蓄意破坏带来的安全威胁,例如,人为的利用校园网络系统可能存在的漏洞,进行蓄意攻击;有些学生利用对用户和用户组的管理不善,或是设立木马病毒等以获取访问权限,访问校园极为重要的信息内容导致重要信息泄露。第三,学生的无知导致网络安全受到侵害,很多大学生的计算机水平很高,由于网络安全意识淡薄,网络法律法规知识缺乏,好奇心重,无意通过破译密码植入病毒,或是干扰校园网络系统正常运行,为校园网络安全带来种种隐患,给学校的信息化校园网络建设带来严重损失。
1.3信息化校园网络建设自身存在安全漏洞
(1)系统内部存在安全漏洞。网络的开放和普及应用,信息通信频繁,网络自身存在安全隐患和漏洞,为不法分子或是不怀好意的网络用户提供了可乘之机,通过非法网络操作手段对信息化校园网络进行攻击、截取、窃听等非法手段进行蓄意破坏。现在很多软件都存在诸多漏洞,例如操作系统、应用软件、网络协议等,为校园网络安全带来了很多的不安全因素。
(2)网络病毒侵害。网络病毒与恶意攻击等主要通过互联网传播恶意脚本及病毒,干扰用户的正常使用。高校信息化校园网络受到病毒入侵主要有以下几个路径:一是发送接收电子邮件,二是下载资料,三是恶意网站垃圾邮件,四是盗版软件,五是U盘等带有病毒的移动存储设备。主要危害是造成系统不稳定,数据丢失,计算机无法正常工作。
2高校信息化校园网络安全的管理措施
面对信息化校园网络安全的隐患及威胁,我们应该采取相应的管理措施及对策来确保校园网络的顺利运行和应用。
2.1物理环境的安全管理措施
物理环境的安全是校园网络安全的基础保障,首先,在构建信息化校园网络时要考虑到环境因素、学校所在地环境、抗干扰能力、气候等因素。其次,避免计算机系统、网络服务器等基础硬件设施以及通信链路等,受到自然灾害、人为因素、搭线攻击的破坏。建立完善的安全管理制度,以防止校外人员非法进入信息化场所,安全用电,严禁在计算机机房等设备场所吸烟。第三,网络布局、设备选型、安装配置、防盗、防火、防静电、防雷击等工作及措施在实施的具体工作中,要有实施方案和统一规划。信息化场所、网络机房等设备重地,要安装好防静电设备,保证计算机在工作时有一个良好的电磁兼容工作环境,重要机密机房要安置防止电磁泄露的屏蔽装置,以避免机密信息泄露;根据电气和微电子等设备的功能以及受保护层序和所属保护层不同,要做好分类同时要有效科学的建构防雷系统,将电源线与数据通信线路做多级多层保护。
2.2网络自身的安全管理措施
网络信息数据的完整性、机密性、可靠性、可用性,是网络安全管理的核心,是提升网络安全技术的主要目的。首先,控制网络访问权限。通过网络访问权限控制、入网访问控制、客户端安全保护等措施,以验证用户身份、访问权限和使用权限,限制用户越权操作,以确保校园网络资源不被非法使用、访问、侵入以及攻击。其次,信息传输加密处理。网络在传输各类信息时都需经历层层中介分段传输,网络信息的传输路径是固定的,因此,在任意节点均存在被拦截、读取的可能,如果受到破坏或是篡改则难以查证,所以,信息传输问题要极其重视,应采用加密技术确保信息传输安全。第三,还可采用口令、防火墙等技术,确保计算机系统的逻辑安全和修复下载安装补丁的漏洞等问题,确保操作系统安全。第四,科学配置网络服务器,减少因配置错误而产生服务器安全漏洞中存在的垃圾信息残留。
3信息化校园网络安全建设的几点建议
高等院校信息化校园建设中,网络硬件和应用设施的建设固然重要,网络的安全和管理同样不容忽视,保障信息化校园网络的安全运营,更要注重网络安全意识、网络安全技术、网络安全管理制度和网络安全的科学管理手段,因此,笔者提出了以下几点建议,以供参考。
3.1强化校园网络用户的信息安全意识
信息化校园建设过程中,网络信息安全教育成为建设中的薄弱环节,对教师和学生进行网络信息安全教育是非常有必要的。一是高校可以通过网络宣传,举办网络安全教育知识讲座,制定网络安全管理制度,利用制度文化和宣传手段强化教师和学生的网络安全意识,提高师生的重视程度,自觉遵守网络安全制度;二是利用课堂、网络平台让师生学习漏洞修复、密码管理、信息保密、防范病毒等必备知识,提高网络安全管理技术,通过开设相关课程,提升学生的网络修养,文明上网意识,自觉抵制违背法律,反动的虚假信息,不随意散播谣言,转载不良信息和帖子,做一个遵纪守法的文明网络大学生。
3.2健全校园网络信息安全管理制度
信息安全管理制度是信息化校园网络安全的基本保障和前提,在贯彻执行的过程中,对管理者和执行者在思想上、意识上、行动上都具有一定的约束力,使管理者和执行者对信息安全的重要性都有了高度的认识。在制定管理制度的过程中,以国家基本制度为主,同时,还要根据学校自身特点制定与其相适应的信息安全制度。例如,管理员网络安全维护制度,机房安全及出入管理制度、校外人员访问校园网络制度等。在增强师生的网络安全意识外,还要注重督促管理人员要完成好自身的工作,避免因管理人员在工作过程中为贯彻执行管理制度而造成安全事故。
3.3注重培养信息安全管理技术人才
技术人才、技术处理、安全方案是信息安全管理技术的重要保障。安全方案是安全管理技术的前提,技术处理是安全管理技术的基础,技术人才是安全管理技术的根本,由此可见,技术人才的培养是确保信息安全管理技术的重要因素。信息安全管理技术设计的领域较广,包括网络技术、系统技术、安全技术等多方面专业技能,意味着网络安全管理员应具备较强的专业能力,对于专业技能掌握的不够扎实的管理员,高等院校可聘请专业安全技术顾问为管理员进行培训,加强网络管理人才的培养,让管理人员接受良好的安全管理培训,通过提升自身的专业素养,从而解决信息化校园网络建设中出现的网络安全问题。
4设立信息化校园网络安全管理的保障体系
关键词:网络安全;安全策略;安全技术;军队校园网
中图分类号:TP309文献标识码:A文章编号:1672-7800(2012)005-0130-02
1军校网络安全概述
军队院校的校园网络有着军队网络和校园网络的双重特点。从保密要求来看,军校的网络中承载着许多的信息;从网络应用的角度来看,军校的网络又跟普通的校园网一样,需要开放、便利的网络服务。军队院校下属部门较多,校园网络作为军队院校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。
1.1军校网络的功能与特点
军校网络具有教学、管理以及其它一些网络应用等功能,从功能架构上来分,大致分为对内、对外和信息中心3部分。对内部分主要是指校园Intranet,主要包括院校机关、教员办公楼、多媒体教室、机房、电子图书馆和各专修室的内部网络连接,它主要服务于院校的教学和管理;对外部分包括与军事信息综合网和其它兄弟院校及单位的连接,提供信息共享服务等;而网管中心则是这两部分的桥梁和核心,担负着整个校园网络系统的管理和安全工作。
军校网络是一种特殊的网络,除了具有基本广域网应有的功能与特点外,还具有网络规模巨大、计算机系统管理比较复杂、用户群体比较活跃等特点。
1.2军校网络安全风险
从网络部件的安全风险因素分析,网络系统的易欺骗性和易被监控性,加上薄弱的认证环节以及局域网服务的缺陷和系统主机的复杂设置与控制,使得计算机网络容易遭受威胁和攻击;网络端口、传输线路和处理机都有可能因屏蔽不严或未屏蔽而造成电磁泄露。
从网络软件的安全威胁因素来看,网络软件的漏洞及缺陷容易被利用,从而对网络进行入侵和损坏;计算机病毒不断侵入网络并繁殖。
大多数军校网管还是采用单一、被动、缺乏主动性、灵活性的安全策略,根本无法适应现行的网络规范。
此外网络管理方面,责权不明,安全管理制度不健全及缺乏可操作性等因素都可能引起网络安全的风险。
1.3军校网络安全的设计目标和原则
对军校网络,网络信息安全的主要目标应表现为系统的保密性、完整性、真实性、可靠性、可用性、不可抵赖性6个方面。具体来讲就是确保信息经网络传输到目的计算机时没有任何改变或丢失,使信息的机密性、完整性及可使用性得到保护;设备要具有最大的可靠性,网络具有监控、分析和自动响应等功能,同时网络安全领域的相关指数都要正常。根据上述目标,我们制定以下设计原则:
(1)先进性与现实性。技术上的先进性将保证处理数据的高效率。
(2)系统与软件的可靠性。对可靠性的考虑,可以充分减少或消除因意外或事故造成的损失。(3)系统安全性与保密性。要从内部访问控制和外部防火墙两方面保证校园网系统的安全。
(4)易管理与维护。要尽量使用图形化的管理界面和简洁的操作方式,提供强大的网络管理功能。
(5)易扩充性。校园网的建设要方便扩充和升级。
2军校网络安全防护策略及关键技术
2.1网络安全防护策略
网络安全策略是军队院校在网络安全工作中的法律。网络安全工作要有法可依,它使网络建设和管理过程中的安全工作避免盲目性。在网络安全的实施中,还应该先对网络安全管理有个清晰的概念,然后制定翔实的安全策略。
概括起来,网络安全策略包括:环境安全策略、信息加密策略、网络防病毒策略、系统备份与灾难恢复、网络安全管理策略等。
2.2网络安全关键技术
网络安全关键技术包括很多,如防火墙(Firewall)技术是抵抗黑客入侵和防止未授权访问的最有效手段之一;网络加密技术是一种常用网络安全手段;入侵检测技术是继“防火墙”、“信息加密”等传统安全保护方法之后的新一代安全保障技术;计算机病毒防护技术是网络安全的一个重要领域;身份认证技术是保证网络安全的重要技术手段,其主要功能是在通信过程中保证通信双方的身份始终都是可信赖的;VPN技术是在公共网络上建立安全专用隧道的技术,等等。
3军校网络安全体系的应用
3.1军校网络安全需求
军队院校网络内部要保护网络设备的正常运行,维护主要业务系统的安全,是校园网络的基本安全需求。根据军队院校网络的现状,目前具体的网络需求包括有:
(1)建立一个以光纤为主干、覆盖全校的宽带网,主干1000M,100M至桌面。需要考虑网络运行的高效、可靠、安全以及智能化管理的方便。
(2)实现校园Intranet同军事综合信息网的互联互通,校内可以方便快捷地访问军内外信息,以满足查询、通讯、资源共享、远程教学等需要;建立学院自主的服务器组群。
(3)建立网络教学系统,提供教员电子备课、课件制作、多媒体演示、学生多媒体交互学习、网络考试、自动教学评估等功能。
(4)建立基于网络的教育管理及自动化办公系统,包括行政、教学教务、科研、后勤、财务等系统,以满足学院管理现代化的需要。
3.2网络安全总体设计
校园网络总体规划建设是一项庞大的技术性很强的综合工程,一般需要经过网络调研、系统设计、可行性分析、设备选型、工程招标、硬件施工、软件环境的建立、人员培训、联调测试和系统验收等9个阶段。要有安全维护运行体系框架设计,安全运行与维护体系的重点是保障信息系统的运行安全。
3.3网络安全部署方案
(1)防火墙技术采用安全性最好的被屏蔽子网结构.外部路由器起到保护周边网的作用。在网络中,选择实施DMZ区域设计方案来保护校园网络。
(2)在校园网与外部网络之间设置Cisco入侵测系统(IDSM-2),它与防火墙并行接入网络中,监测来自网络的攻击行为。当有入侵行为时,主动通知防火墙阻断攻击源;此外还可部署基于网络的SymantecClientSecurity,从而帮助网络管理员更好地完成网络防病毒工作;在校园网络中,还应部署身份认证系统,通过安全管理平台,网络管理员可以为网络中的主机设备定义一个统一的网络安全接入标准,只有满足这个接入标准的主机才能接入并使用网络。使用IPRMS(IP资源管理系统)来进行IP地址绑定;在数据备份及恢复系统中,采用NEO2000磁带库,同时连接至多个不同的服务器,分别运行不同操作系统和磁带应用,对所有服务器数据进行备份。
(3)通过一些安全配置,使服务器的安全性得到进一步提高。
当然,还有其它安全防范措施,如:过滤不良网络信息、拒绝垃圾邮件等。
4结束语
军校网络完全遵循安全体系的设计目标及原则,并实施上述网络安全部署方案,综合运用各种安全措施后,确实能提高军校网络的安全性,使校园网络具高可靠性、开放性、兼容性及可扩展性等特性。从实际运行情况来看,效果良好。
参考文献:
\[1\]龚静.高校校园网络的安全与防护研究\[J\].教育信息化,2005(10).
关键词:中职校园网通讯认证
随着计算机和因特网日益普及,许多院校都建立了自己的校园网,并通过因特网实现远距离信息交流和资源共享。由于因特网的开放性、互连性等特征,校园网的安全问题越来越成为人们关注的焦点。
一、中职校园网络安全现状及原因
中职校园网络安全问题主要包括以下几方面,一是校园网络安全软、硬件基础设施投入不足,没有建立一套完善的网络安全系统,大多数学校网络安全建设和管理费用短缺,网络设备更新和维护占据了主要经费支出,而网络安全方面资金投入明显不足。大多数学校校园网络没有建立安全防范系统,安全级别较低。二是学校网络使用环境十分混乱,每个学校都为师生提供了公共上网环境,以方便师生工作和学习。这虽然能够解决广大师生网络使用问题,提高学校信息管理人性化水平,为提高校园信息化水平做出了有益贡献,但是由于缺乏统一管理和监督,学校内部网络机房的管理十分混乱,存在严重的部门条块分割管理问题。许多网络机房管理存在诸多缺陷,计算机用户没有采用实名登记,导致公共网络成为校园网重大安全威胁。影响计算机网络安全的因素很多,有些因素可能是有意的,也可能是无意的,可能是人为的,也可能是非人为的,对于中职校园网络防止内部有意入侵是很关键的。
二、认证系统的目的及意义
随着校园网应用规模和范围的不断拓宽,校园网的用户数量不断增加,因此对校园网的信息安全提出了更高的要求。一方面要保护校园网应用系统的资源不容易受到攻击,另一方面要保证校园网信息只能是校园网合法用户使用,另外还要有效阻止校园网信息不被篡改、滥用,确保信息数据的可用性、完整性、一致性。现实的解决方案是对校园网的应用系统施行用户认证。
身份认证是网络安全的基本问题,它的实施将有效地保障用户的合法权益,大大改善网络安全管理,在校园网高速发展形势下,要满足大规模网络可运营、可管理的要求,身份认证系统日益体现其重要意义。因此,校园网管理者作为一种特殊的网络提供商,无论出于自身还是用户的利益,都面临着身份认证的技术和模式的选择、改进问题。
三、校园网络安全管理系统的实现
本系统是为校园网服务的,它一方面保证了校园网的安全,另一方面用于管理校园网。主要功能包括:防止外部攻击、保护内部网络、解决网络边界的安全问题同时实现流量统计、调控、计费、限制INTERNET访问对象和对网络资料的管理等网络的管理。系统整体结构如图1如示。
系统的工作流程为:
1.认证与管理服务器刚刚启动时读取初始化参数。
2.用户计算机向认证服务器发出认证请求。
3.认证服务器读数据库用户信息,回应用户计算机认证请求。
4.认证服务器将合法用户表发给防火墙。
5.每隔一定的时间管理服务器从防火墙取出计费流量信息,处理后写入数据库。
6.如果有超支用户,管理服务器向防火墙发送用户退出命令。
7.管理服务器任意时刻可以向数据库查询计费系统信息。
8.管理服务器任意时刻可以更改计费系统信息。
9.用户登录后随时可以查询用户费用、修改用户密码。
10.认证服务器回应用户查询用户费用、修改用户密码的请求。
四、校园网安全管理认证系统的实现
用户认证是校园网络安全的第一道防线,是校园网络安全中的关键技术之一。用户认证是指认证客户在进入系统采用或访问不同保护级别的系统资源时,系统采用基于用户名和口令的方式确认该对象身份是否真实、合法和唯一。
校园网统一认证系统要求通过对客户机和用户进行身份认证,控制用户通过哪些客户机,可以对哪些服务器提供的哪些服务进行访问,系统采用安全可靠的手段保证数据传输的安全性(即通过安全加密方式进行认证信息的数据传输)。其主要功能为:身份认证、超时认证、分组管理、退出网络。
1.身份认证
校园网中的有些应用系统需要采取双重身份认证机制,即用户通过指定的客户端向服务器发出请求,只有已注册的用户才能登录成功,只有登录成功的用户才有访问服务器规定权限范围内的服务。用户在登录时需要进行客户机和用户双重身份认证,即只有当此用户和此客户对此服务器都有访问权限时才能进行访问,否则被服务器拒绝。
2.退出网络
用户使用完网络准备退出时,可以主动退出,回到认证页,认证服务器能够识别用户已经通过认证,用户选择退出网络,起始页可以为认证页面。当用户退出网络时,向防火墙发送通讯密码、进网络、用户IP、认证服务器接收并处理用户的退出请求,验证该请求确为用户所发,服务器确认了用户的退出,同时认证服务器将用户登录信息写入数据库并通知防火墙将该用户使用的IP地址与外部网络断开。
3.超时认证
为了防止合法用户在操作过程中临时离开或操作时间过长,防止合法用户的不正常使用或非法用户对应用系统的使用,以应对权用户在认证通过后有超时限制的要求机制,设计用户超时认证,即当授权用户认证通过后,在一定时间范围内(该时间段是可以根据应用系统的安全级别自行定义)未对服务器作任何操作时,超时后系统将用户重新认证。用户计算机如果关机或故障到一定时间(如15分钟)后,认证服务器发现用户不活动,自动处理用户退出。
4.分组管理
本系统要求将用户、客户端和应用系统进行分组管理,即可以对用户、客户端和应用系统进行授权管理。对用户管理包括用户的注册、修改用户属性、删除用户等。认证服务器定期(5~10分钟)查询数据库,看管理端是否修改系统配置参数。认证服务器禁止或允许一个上网账户被多个用户同时用来上网,用户是否与IP地址绑定等。对应用系统的管理包括增加、删除、维护等。
用户认证是校园网络安全的第一道防线,是网络安全中的关键技术之一。认证服务器为校园网络安全体系提供用户认证、用户退出等工作。通过建立公共认证系统,可以实现不分场所和不分时间方便地访问校园网。认证系统多种多样其中不乏比较完善的体系,但是这些方法不是孤立存在的。只有将多种技术结合起来、综合应用,才能找到最安全的网络认证方法。如果能够获取客户端更多的物理特征(如CPU的ID\硬盘序列号等)信息,将会使本系统更为完善,对提高校园网的应用安全效率更高。世界上没有一种技术能真正保证绝对安全,人的安全意识对Internet的安全具有决定性作用。在建立网络认证体系的同时,计算机使用者的安全意识的提高、网络安全制度的建立健全、网络安全组织体系的建立同等重要。
参考文献:
[1]徐珉.认证专家信息教程.电子工业出版社.
关键词:安全隐患;全网动态安全体系模型;信息安全化;安全防御
中图分类号:TP393文献标志码:A文章编号:1006-8228(2016)12-46-03
Abstract:Thispaperstudiesthemoderncampusnetworkinformationsecurity,themoderncampusnetworksecurityrisksareanalyzedindetail.Undertheguidanceofthewholenetworkdynamicsecuritysystemmodel(APPDRR),throughtheresearchofthemainstreamnetworkinformationsecuritytechnologyofthemoderncampusnetwork,putsforwardthesolutionofeachlayerofthemoderncampusnetworksecurity,andappliesittoallaspectsofthemoderncampusnetwork,tobuildamoderncampusnetworkoftheoverallsecuritydefensesystem.
Keywords:hiddendanger;APPDRR;informationsecurity;securitydefense
0引言
随着现代校园网接入互联网以及各种应用急剧增加,在享受高速互联网带来无限方便的同时,我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程,必须要对现代校园网进行全方位多层次安全分析,综合运用先进的安全技术和产品,制定相应的安全策略,建立一套深度防御体系[1],以自动适应现代校园网的动态安全需求。
1现代校园网络的安全隐患分析
现代校园网作为信息交换平台重要的基础设施,承担着教学、科研、办公等各种应用,信息安全隐患重重,面临的安全威胁可以分为以下几个层面。
⑴物理层的安全分析:物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏,造成现代校园网不能正常运行。在考虑现代校园网安全时,首先要考虑到物理安全风险,它是整个网络系统安全的前提保障。
⑵网络层的安全分析:网络层处于网络体系结构中物理层和传输层之间,是网络入侵者进入信息系统的渠道和通路,网络核心协议TCP/IP并非专为安全通信而设计,所以网络系统存在大量安全隐患和威胁。
⑶系统层的安全分析:现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性,并且当今漏洞被发现与漏洞被利用之间的时间差越来越小,这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。
⑷数据层的安全分析:数据审计平台的原始数据来源各种应用系统及设备,采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集,采用多种方式和被收集设备进行数据交互,主要面临着基于应用层数据的攻击。
⑸应用层的安全分析[2]:为满足学校教学、科研、办公等需要,在现代校园网中提供了各层次的网络应用,用户提交的业务信息被监听或篡改等存在很多的信息安全隐患,主机系统上运行的应用软件系统采购自第三方,直接使用造成诸多安全要素。
⑹管理层的安全分析:人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
⑺非法入侵后果风险分析:非法入侵者一旦获得对资源的控制权,就可以随意对数据和文件进行删除和修改,主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。
2现代校园网安全APPDRR模型提出
全网动态安全体系模型[3](APPDRR)从建立全网自适应的、动态安全体系的角度出发,充分考虑了涉及网络安全技术的六方面,如风险分析(Analysis)、安全策略(Policy)、安全防护(Protection)、安全检测(Detection)、实时响应(Response)、数据恢复(Recovery)等,并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示,该模型紧紧围绕安全策略构建了五道防线:第一道防线是风险分析,这是整体安全的前提和基础;第二道防线是安全防护,阻止对现代校园网的入侵和破坏;第三道防线是安全监测,及时跟踪发现;第四道防线是实时响应,保证现代校园网的可用性和可靠性;第五道防线是数据恢复,保证有用的数据在系统被入侵后能迅速恢复,并把灾难降到最低程度。
3现代校园网主流网络信息安全化的技术研究
为了保护现代校园网的信息安全,结合福建农业职业技术学院网络的实际需求,现代校园网信息中心将多种安全措施进行整合,建立一个立体的、完善的、多层次的现代校园网安全防御体系,主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等,如图2所示。
3.1加解密技术
现代校园网中将部署各种应用系统,许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性,需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。
3.2防火墙技术
防火墙技术是网络基础设施必要的不可分割的组成元素,是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则,对进出内外网之间的信息数据流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录相关的访问连接信息、通信服务量以及试图入侵事件,以便管理员分析检测、迅速响应和反馈调整。
3.3防病毒系统
抗病毒技术可以及时发现内外网病毒的入侵和破坏,并通过以下两种有效的手段进行相应地控制:一是有效阻止网络病毒的广泛传播,采用蜜罐技术、隔离技术等;二是杀毒技术,使用网络型防病毒系统进行预防、实时检测和杀毒技术,让现代校园网系统免受其危害。
3.4虚拟专用网
虚拟专用网(全称为VirtualPrivateNetWork,简称VPN)指的是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展,由若干个不同的站点组成的集合,一个站点可以属于不同的VPN,站点具有IP连通性,VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率,而且学校各校区间的连接更加灵活。只要能够上网,各校区均可以安全访问到主校区网。使用VPN数据加密传输,保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有:①数据链路层有PPTP、L2F和L2TP;②网络层有GRE、IPSEC、MPLS和DMVPN;③应用层有SSL。
3.5入侵防护技术
入侵防护技术包含入侵检测系统(IDS)和入侵防御系统(IPS)。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为,并能对此及时作出防控。IDS不仅能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时能监控授权对象对系统资源的非法操作,提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和及时响应),提高现代校园网基础结构的完整性。
3.6身份认证系统
现代校园网殊部门(如档案、财务、招生等)要建设成系统。要采用身份认证系统[5],应建立相应的身份认证基础平台,加强用户的身份认证,防止对网络资源的非授权访问以及越权操作,加强口令的管理。
3.7数据备份系统
在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段,可保证在灾难突发时,系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份,备份策略采用完全备份与增量备份相结合的方式。
3.8预警防控系统
现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级,严格履行国家标准的信息安全管理制度,构建现代校园网统一的安全管理与监控机制,能实行现代校园网统一安全配置,调控多层面分布式的安全问题,提高现代校园网的安全预警能力,加强对现代校园网应急事件的处理能力,切实建立起一个方便快捷、安全高效的现代校园网预警防控系统,实现现代校园网信息安全化的可控性。
4现代校园网络安全问题的解决方案
通过对现代校园网主流网络信息安全化技术的深入研究,针对现代校园网的安全隐患,提出现代校园网络安全问题的各层解决方案。
⑴物理层安全:主要指物理设备的安全,机房的安全等,包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。
⑵网络层安全:针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分,并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6],采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。
⑶系统层安全:现代校园网管理平台的主机选择安全可靠的操作系统,采取以下技术手段进行安全防护:补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。
⑷数据层安全:主要使用数据库审计系统进行监控管理,对审计记录结果进行保存,检索和查询,按需审计;同时还能够对危险行为进行报警及阻断,并提供对数据库访问的统计和分析,实现分析结果的可视化,能够针对数据库性能进行改进提供参考依据。
⑸应用层安全:应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。
⑹管理层安全:现代校园网应依法来制订安全管理制度,提供数据审计平台。一方面,对站点的访问活动进行多层次的记录,及时发现非法入侵行为。另一方面,当事故发生后,提供黑客攻击行为的追踪线索及破案依据,实现对网络的可控性与可审查性。
5构筑现代校园网的整体安全防御体系
现代校园网络安全问题的各层解决方案综合应用到实际工作环境中,在配套安全管理制度规范下[7],现代校园网可实现全方位多层次的信息安全化管理,配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系,可有效防范、阻止和切断各种入侵者,构筑现代校园网的整体安全屏障。
6结束语
信息安全化是现代校园网实施安全的有效举措,并建立一套切实可行的现代校园网络安全保护措施,提高现代校园网信息和应急处置能力,发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素,时时威胁现代校园网的健康发展,要至始至终保持与时俱进的思想,适时调整相应的网络安全设备。
参考文献(Reference):
[1][美]SeanConvery著,王迎春,谢琳,江魁译.网络安全体系结
构[M].人民邮电出版社,2005.
[2]CbrisMcNab著,王景新译.网络安全评估[M].中国电力出版
社,2006.
[3]陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学
位论文,2010.
[4]TeareD.著,袁国忠译.CiscoCCNPRoute学习指南[M].北京
人民邮电出版社.2011.
[5]张彬.高校数字化校园安全防护与管理系统设计与实现[D].
电子科技大学硕士学位论文,2015.5.
[6]彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术,
2012.11.
上一篇:小制作说明文(7篇)
下一篇:高中佳句摘抄(6篇)
热门推荐