校園網絡安全預案范文

時間:2024-04-23 15:43:06

導語:如何才能寫好一篇校園網絡安全預案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

校園網絡安全預案

篇1

關鍵詞:APPDRR;校園網絡;安全對策

中圖分類號:TP393.08

1 探究網絡安全需求

1.1 業(yè)務安全需求

在網絡安全和通暢的情況下,才可以對學校中財務系統(tǒng)、辦公系統(tǒng)、教務學生管理以及教學活動正常的開展。防止Dos等攻擊而造成的性能喪失或者服務癱瘓的現(xiàn)象。

1.2 物理安全需求

在校園網絡中的較多物理設施需要和有關的安全規(guī)范相符,例如:中心機房、硬件防火墻、路由器、交換機、服務器等。還需要按照有關的管理范圍限制系統(tǒng)管理員、數(shù)據庫管理員以及機房管理人員的權限。

1.3 數(shù)據安全需求

數(shù)據安全需求具體包含:抗抵賴性、數(shù)據完整性、數(shù)據機密性。其中所涉及到的數(shù)據機密性所指的是,不可以被進程、實體或者非授權者加以利用,在機密性中還會存在泄漏的特點。信息數(shù)據按照安全級別包含:機密、內部、公開等三個級別。公開性質的信息是Internet用戶可以對其訪問的,內部的信息只可以被校內學生和教職工進行訪問,機密的信息只是小部分的授權用戶有使用權限。數(shù)據的完整性方面需要將主動威脅有所抵制,從而確保接收者的信息接收和信息發(fā)送初期是統(tǒng)一的,保證信息真實有效??沟仲囆允前l(fā)送人員不可以在發(fā)送之后否認消息的發(fā)送內容[1]。

2 APPDRR的校園網絡安全對策

校園網絡安全是動態(tài)的系統(tǒng),新問題會接連出現(xiàn),解決方案會隨著問題的出現(xiàn)而改善。APPDRR這一方案能夠完善的解決校園網絡安全問題,其主要的構成部分為:故障恢復與事件響應、監(jiān)控與檢測、防御系統(tǒng)、安全策略的制定以及風險的評估與分析。

2.1 風險分析

想要開展APPDRR,風險分析是第一組成部分,進行風險的分析能夠保證其他組成部分的順暢開展,在校園網絡中所存在的風險為幾大部分:(1)控制和非法訪問??刂剖菣C制和策略的有效融合,可以訪問限定的資源。系統(tǒng)若認證非法訪問的情況下,會順利的進入到系統(tǒng)的內部對數(shù)據資源隨意使用。(2)病毒。校園中擁有著較多的學生和教職工,網絡用戶十分復雜。在加上對電腦與智能手機應用方面不斷增多,更加增添了網絡拓撲結構的復雜性。僅僅是一項細節(jié)部位受到的病毒的干擾,也會快速、大范圍的傳播。(3)Dos攻擊。Dos主要是通過有效的服務請求去占用較多的服務資源,繼而對用戶指令不能夠應用服務器進行處理,最后會造成服務器的癱瘓現(xiàn)象。

2.2 安全策略

對安全風險確定之后,就需要按照安全的需要擬定出相應的安全策略。在APPDRR當中安全策略是核心成分,APPDRR具體創(chuàng)建了四大防線,分別為:故障恢復、實時響應、監(jiān)控與檢測、防護。

2.3 安全防護

(1)核心層的網絡設備中能夠應用URPF御DDOS攻擊,同時和OTP動態(tài)形式下的一次性密碼進行結合,驗證出用戶身份。只要將服務開啟,通過安全設計的路由協(xié)議,驗證協(xié)議,利用SSH、SNMP等擁有安全性較強的管理協(xié)議,就能夠開展端口限速控制接入層的交換機。(2)防火墻在Internet入口處設置。防火墻涉及到的雙主動模式具有一定的可靠性,不管是在網絡地址的轉換模式還是路由模式,都能夠配置為主動的備份防火墻和防火墻,能夠有效的共享數(shù)據流。所體現(xiàn)的雙主動模式能夠確保兩臺防火墻可以有50%的分擔能力,可以合理的利用資源,能夠延續(xù)防火墻的使用期限。

2.4 安全監(jiān)控和檢測

想要將安全策略落實,一定要進行安全檢測,檢測的具體對象包含兩種,其一為系統(tǒng)外部的入侵威脅,其二為系統(tǒng)自身的脆弱性。對系統(tǒng)自身的脆弱性有幾種檢測措施:(1)入侵檢測。在外部中的入侵檢測具體是利用計算機系統(tǒng),以及計算機網絡當中的小部分重點開展信息分析和信息收集,在收集的過程中搜尋能否存在不符合安全策略的跡象和行為。分析監(jiān)視系統(tǒng)活動和用戶能否和安全策略分析相符,比較已經知道的活動攻擊模式數(shù)據庫,同時充分的識別異常的情況。嚴格的監(jiān)控關鍵的數(shù)據是否完整。還需要審計操作系統(tǒng)的日志,以此來正確的識別異常的行為[2]。(2)檢測系統(tǒng)自身脆弱性:1)漏洞的掃描系統(tǒng)。在漏洞數(shù)據庫中會產生漏洞掃描,會針對應用終端和服務器開展安全弱脆性的系統(tǒng)檢測,對系統(tǒng)漏洞能夠及時發(fā)現(xiàn)。漏洞具體包含:MAIL類、緩沖區(qū)溢出、WEB應用漏洞以及Windows系統(tǒng)漏洞等。后臺的管理掃描系統(tǒng)提倡通過管理系統(tǒng),在漏洞掃描服務器中安裝服務器端。2)防病毒的部署。對于防病毒策略的實現(xiàn),需要將集中安裝實現(xiàn),將策略的管理統(tǒng)一開展。將趨勢科技中央控管產品TMCM在后臺的管理區(qū)防病毒服務器中詳細的部署,此管理軟件可以將防病毒軟件,開展系統(tǒng)化的管理和監(jiān)控。針對客戶監(jiān)控區(qū)的終端系統(tǒng),以及后臺管理層中的監(jiān)控區(qū)域的病毒防護,可以應用OfficeScan方案。其高效和升級的實時防護以及統(tǒng)一管理模式,可以合理的確保應用人員的應用安全[3]。3)操作系統(tǒng)補丁方面的管理系統(tǒng)。若操作系統(tǒng)存在漏洞,應用極為優(yōu)質的管理措施和軟件都不能夠產生效用,基本上在校園網絡中所產生的安全隱患,具體的原因都是由于計算機或者業(yè)務服務器中缺失系統(tǒng)補丁的及時更新,所以在校園網中需要配置專業(yè)的補丁管理系統(tǒng)。SMS系統(tǒng)是提倡應用的系統(tǒng),該系統(tǒng)可以較好的配置Microsoft的更新,能夠讓校園網當中所使用的計算機和服務器,都可以在暴露安全弱點之前被發(fā)現(xiàn)[4]。

2.5 應急實時的響應

應急實時響應是在網絡安全隱患發(fā)生之后的有效應對方式,能夠有效的解決安全性問題,是較為完善的處理手段。若產生安全隱患,需要及時的開展應急的預案,為的是在較短時間內,將危害性降低到最小的程度[5]。

3 總結

根據以上的論述,應用APPDRR的前瞻性隨著動態(tài)校園網絡的形成,不斷的得以體現(xiàn)。并且,有必要將管理和技術有效的融合在一起,讓教師和學生都擁有著一定的網絡風險意識,建立健全的“防火墻”,用規(guī)范的行為正確的進行電腦的使用以及保證上網的良好習慣。要力求用信息技術維護校園網絡安全,讓師生能夠在一定程度上開展優(yōu)質的網絡體驗。

參考文獻:

[1]黃昌偉,萬偉蹈,吳洪強.基于APPDRR的校園網絡安全模型研究[J].江西教育學院學報,2013,12(09):123-125.

[2]林日.信息化背景下的校園網絡安全問題與對策[J].福建教育學院學報,2013,11(06):146-150.

[3]曾松.淺談中職學校數(shù)字化校園網絡的安全問題及對策[J].福建電腦,2013,14(02):188-190.

[4]夏齡,周德榮,舒濤.校園網絡的安全及對策初探[J].西南民族大學學報:自然科學版,2013,6(03):146-157.

[5]宋帆,楊曉蘭.北郵校園網學籍、成績管理信息系統(tǒng)安全對策探討[J].管理信息系統(tǒng),2013,5(04):176-179.

篇2

關鍵詞:校園網 學校網絡 安全設計 分析

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2012)11-0193-01

目前以互聯(lián)網為主要部分的信息化技術正在席卷著全球,使得信息網絡技術也在日常生活的應用的更加的頻繁和深入,與之而來的也有了許多的信息安全方面的問題出現(xiàn),校園網被黑客攻擊出現(xiàn)問題或者因為病毒的擴散而使得校園網出現(xiàn)問題的情況也是偶爾會出現(xiàn),這在一方面對學校造成了極大的經濟方面的損失,另一方面也給社會造成了一定的負面影響。因此我們對于校園網應該加強保護,對校園中的信息安全給予足夠的重視,這就需要我們從互諒網絡的搭建以及校園網絡的一些安全方面的設計入手。

1、基本校園網的搭建

校園網與其他的網絡不同,有著其特殊的性質,比如相比較來說數(shù)據量十分巨大,而且數(shù)據量巨大有著一定的時間段,也就是有著時間方面的規(guī)律;校園網還需要強烈的穩(wěn)定性,能夠經得起全校上萬人一起在網絡上查找信息;校園網在一定程度上還能夠為學校帶來一定的經濟效益;校園網在一些情況出現(xiàn)的時候需要對其進行擴充,以滿足學校對校園網的需求等等。校園網不止有這許多的特性,還需要滿足學校里面各個部門的要求,也就是制作部門和辦公部門之間應該的一些訪問控制,因為這些方面的因素,我們在進行校園網的搭建的時候應該采取下面這樣的方案。

校園網的網絡拓撲結構的選擇應該是采用星型的拓撲結構。星型的拓撲結構是現(xiàn)階段各個局域網中使用最多的一種局域網拓撲結構,因為星型拓撲結構中的節(jié)點有著很高的獨立性,而且非常適合在局域網的中央位置進行網絡的診斷設備的設置,也就是說,星型拓撲結構很適合校園網對網絡的需求。

而在校園網的組網技術方面的選擇,我們應該先對目前的組網技術進行一定的了解。在目前這個時期,經常使用的主干網絡的組網技術有類似于快速以太網,也就是現(xiàn)在最常用的100Mbps的互聯(lián)網技術、FDDI、ATM(155Mbps/622Mbps)和千兆以太網等等技術。其中快速以太網在目前來說是一種非常成熟的技術、而且這種組網技術的造價是十分低廉的,性價比也十分的高;而FDDI則是另一種成熟的組網技術,不過它的技術相對來說比較復雜,造價也是比較高的,而且比較難進行升級:ATM的技術同樣成熟,它是一種多媒體應用系統(tǒng)的一種理想的網絡平臺,可惜它的網絡帶寬的利用率比較低,不適合在校園網的建設中使用;千兆以太網同樣已經成為了一項成熟的組網技術,它的造價相比ATM還較低,有效帶寬比ATM還要來得高。因此,相比較下來校園網的建設應該使用千兆以太網作為其骨干,快速以太網用來交換到桌面上進行計算機播控網絡的組建。

2、校園網網絡安全設計分析

第一,物理安全的設計方面。為了保證校園網的信息網絡系統(tǒng)中的物理安全,除了對于網絡規(guī)劃、場地和環(huán)境方面的要求之外,還應該要防止系統(tǒng)中的信息向空間之外進行擴散。目前計算機系統(tǒng)的使用過程中通過電磁輻射而使得一些系統(tǒng)方面的信息被中途截獲造成信息泄露的案件已經發(fā)生了多起,通過了理論和技術方面的支持下進行的一些驗證工作也對這方面的信息泄露的可能性給予了證實。為了防止計算機系統(tǒng)的信息出現(xiàn)信息方面的泄露,在物理方面通常應該做出一些防護措施,來減少或者干擾可能散發(fā)出來的一些信息信號。正常的信息安全的物理方面的防范措施主要是在三個方面:對主機所在的房間以及重要的信息儲存、對收發(fā)信息的部門進行一些必要的屏蔽處理、對本地網和局域網的傳輸線路傳導方面的輻射的一些抑制等等、

第二,在網絡共享資源和關于數(shù)據信息安全方面的一些設計。對于這個問題,我們應該采取VLAN技術和用計算機網絡中的物理隔離來實現(xiàn)。VLAN也就是虛擬局域網,是一個能夠通過局域網內的設備來進行邏輯的,而不是物理方面的,將其劃分為一個個的網段,從而實現(xiàn)其在虛擬工作組上面的一些新興技術的實現(xiàn)。但是也由于它是進行邏輯的而不是物理的劃分網段,所以同一個的VLAN之中的各個工作站是不需要同時放在一個物理空間里面的,也就是這些工作站并不是屬于一個物理的VLAN網段的等等這方面的相關設計。

第三,對于計算機病毒方面、黑客方面和電子郵件方面應該采取有效的風險防控方面的設計。我們采用的防病毒技術、入侵檢測技術和防火墻技術來解決相關的一些問題。防火墻技術和入侵檢車技術還能夠對信息的安全和互聯(lián)網上面的一些訪問控制等問題起到很大的作用。其中防病毒技術對于計算機中的信息安全那是十分重要的一項技術,病毒基本上是伴隨著計算機系統(tǒng)一起發(fā)展起來的,目前計算機病毒的各種形態(tài)和一些入侵途徑也發(fā)生了十分巨大的變化,現(xiàn)階段世界上幾乎每天都有著新的計算機病毒被在互聯(lián)網上,并且借助互聯(lián)網上的信息交流,尤其是一些需要下載和電子郵件方面的信息交流來進行傳播,而且傳播速度那是相當?shù)目欤嬎銠C黑客也經常使用計算機病毒夾雜著惡意程序對計算機進行著攻擊。而防火墻技術一般則是集軟硬件為一體的一種網絡安全方面的專用設備,專門用來對TCP/IP體系的網絡層進行必要的鑒別、訪問方面的控制、安全方面的審計和網絡地址方面的轉換等等,保護校園網這一局域網能夠安全的接入到全球互聯(lián)網或者其他各種公共的網絡中進行正常的使用,有效地保護校園網中的信息出入方面的安全。

3、結語

總之,校園網的學校網絡安全設計方面的分析應該在對校園網的基本搭建方面有著一定的了解之后,再對能夠保護校園網的各種安全設計進行分析,也就是從計算機的物理安全的設計方面、網絡共享資源和關于數(shù)據信息安全的設計方面以及計算機病毒、黑客和電子郵件等方面對校園網的各種安全設計進行相關的分析。

參考文獻

[1]秦華,劉亢,王晨曦,張書杰.校園網用戶上網自動記錄和追蹤技術[J].北京工業(yè)大學學報,2005年04期.

[2]查貴庭,彭其軍,羅國富;校園網安全威脅及安全系統(tǒng)構建[J].計算機應用研究,2005年03期

[3]靳攀.互聯(lián)網的網絡安全管理與防護策略分析[J].北京工業(yè)職業(yè)技術學院學報,2008年03期.

篇3

關鍵詞:校園網、網絡安全技術、網絡安全管理

中圖分類號:TU714 文獻標識碼:A 文章編號:1674-3520(2013)-12-0056-01

近年來,隨著學校信息化建設的不斷發(fā)展,大部分學校都建立了自己的校園網,這已經成為學校教育信息化的重要標志。校園網承載著學校教學、科研、管理和對外交流等各種任務,發(fā)揮著重要的作用。隨著網絡規(guī)模的擴大和網絡病毒的泛濫增長,校園網絡的安全性已成為一個不容忽視的問題。因此確保校園網絡安全、穩(wěn)定、高效的運行,就成為高校信息化發(fā)展路上的一個重要任務。

1、高校校園網發(fā)展現(xiàn)狀

高校的校園網絡作為高校信息化教育的基礎設施之一,其規(guī)模在不斷地擴大。這些校園網承載著辦公自動化、 教務管理信息化、校園網內資源共享等多項重要任務,對學校的教學水平、科研成果和管理水平起到了不可忽視的作用。隨著校園網絡帶給我們方便快捷的同時,校園網絡的安全問題也隨之暴露出來,因病毒攻擊造成的網絡中斷經常發(fā)生,網絡中的管理系統(tǒng)、存放的數(shù)據經常遭到破壞,因此保障校園網絡安全可靠的運行已成為各大高校建設信息化校園的一個重要任務。

2、高校校園網絡中存在的的安全隱患及網絡安全管理存在的主要問題

作為學校內部進行信息交流和資源共享的一個重要載體,高校校園網絡的最主要任務就是確保網絡的正常運行和傳輸信息的安全性。校園網是否安全正常的運行直接關系到學校教育信息化的發(fā)展進程。目前高校校園網絡存在的安全隱患,主要有以下幾方面:(1)網絡系統(tǒng)本身存在的缺陷。網絡系統(tǒng)軟件是運行管理其他網絡軟、硬件資源的基礎,其自身的安全性直接關系到網絡的安全。校園網中所有終端的系統(tǒng)或軟件存在大量漏洞且病毒泛濫。校園網絡在為大家提供服務的同時,也加快了病毒的傳播速度。(2)對網絡安全建設投入不足。學校重點投入網絡設備,使得學校網絡可以正常的使用。但是對于后期管理中的網絡安全項目,卻疏于管理。使得網絡處于開放或者半保護狀態(tài),缺乏有效的安全預警機制和防范措施。(3)忽視來自校園內部的攻擊。校園網要滿足學校日常教學、辦公等眾多需求,還要滿足教務管理和校園一卡通等各種類型的系統(tǒng),這些不同類型的應用系統(tǒng)也增加了校園網的安全隱患。許多高校在應用服務系統(tǒng)的訪問控制方式上考慮不足,再加上網絡安全管理制度上存在的缺陷,使得人為因素造成的安全隱患成為整個網絡安全體系的最大隱患。(4)網絡資源濫用。學校在多媒體教室和機房實驗室建設中,共享大量的軟件及數(shù)據資源,這些資源的濫用占用了大量的網絡帶寬,再加上學校監(jiān)管方面的不足,這也為校園網絡安全帶來了一定的隱患[1]。

3、如何構建一個高校校園網絡安全管理系統(tǒng)

校園網絡安全工作是一個復雜的系統(tǒng)工程,它既是技術問題,又是管理問題。只有采用先進的網絡安全技術和嚴格規(guī)范的管理措施,才能有效的保障校園網安全平穩(wěn)地運行。所以我們要從技術和管理兩個方面來考慮如何加強高校校園網的安全防范。

3.1采用有效的網絡安全技術。從技術方面考慮,通過各種安全技術手段來維護計算機網絡的正常運行,并在計算機網絡安全受到威脅時能及時發(fā)現(xiàn)和抵御侵犯。

(1)防火墻技術。即在互聯(lián)網與校園網之間建立起一個安全網關,從而保護校園網免受非法用戶的侵入,達到保障內部網絡安全的目的。

(2)采用密碼技術。密碼技術是信息安全的核心技術。采用密碼技術可以實現(xiàn)對傳輸數(shù)據信息進行加密傳送、完整性驗證、數(shù)字簽名等功能。最主要的是對所有重要信息進行加密處理, 防止信息的泄漏、篡改和破壞。

(3)使用反病毒技術。隨著計算機病毒的入侵途徑和特點的日新月異。我們要定期對網絡設備進行軟件和硬件上的升級,使之與網絡技術的發(fā)展速度保持一致。更新桌面型計算機的操作系統(tǒng),提高系統(tǒng)的安全性。 使用專業(yè)殺毒軟件對網絡服務器中的文件進行掃描和監(jiān)測,并且及時更新病毒庫。同時學校網管中心也要提醒和指導校內用戶做好查殺病毒工作。

(4)采用入侵檢測系統(tǒng)。入侵檢測的目的在于對當前運行網絡進行實時監(jiān)測和數(shù)據分析,以發(fā)現(xiàn)潛在的隱患和正在進行的攻擊。不管是授權用戶還是外部入侵者,在網絡上進行的任何非授權活動都可以被實時地檢測到并立即被阻止。

(5)使用虛擬局域網技術。VPN(虛擬專用網)之外的用戶無法訪問網絡內部的資源,而VPN 內部之間的用戶可以安全而有效地進行數(shù)據傳輸和交換。

(6)數(shù)據備份技術。在實際應用中,一旦網絡系統(tǒng)發(fā)生硬件故障,或者非法用戶對數(shù)據進行了纂改,數(shù)據備份將輕松有效地解決這個難題,恢復數(shù)據至之前的安全狀態(tài)[2]。

3.2 應用和完善網絡安全管理策略

(1)提高網絡安全管理意識。校園網內部產生的安全隱患,大部分是因為用戶缺乏基本的網絡安全常識。因此,高校要對校園網絡用戶進行網絡安全常識教育,將網絡道德的教育納入教學計劃,使用戶提高網絡安全管理意識,從而自覺地維護校園網絡安全。

(2)做好網絡安全管理人才的引進工作。將安全意識好、安全技能扎實的優(yōu)秀人才引入到網絡安全管理隊伍中,對于現(xiàn)有網絡管理人員,學校應該采取積極的措施,派出學校網絡管理人員出去參加網絡安全管理培訓,以更好的技術和方式來管理校園網絡。

(3)對校園網用戶進行訪問控制。訪問控制是校園中維護網絡系統(tǒng)安全、保護網絡資源的重要策略,它的主要功能是拒絕網絡資源被非法使用和非法訪問。主要方法有進行身份認證,對數(shù)據加密,設置訪問權限等[3]。

4結論

校園網的安全隱患既有來自校內的,也有來自校外的,因此加強校園網絡的安全管理是當前高校非常迫切且充滿挑戰(zhàn)性的任務。而安全合理的管理制度是建立安全防范體系中具體落實的重要手段,只有將網絡安全技術應用到具體的管理方式中,才能構建出一個安全的校園網,保證整個網絡的安全性和有效性,使校園網在高校信息化建設中發(fā)揮更大的作用。

參考文獻:

[1] 申凱.高校計算機網絡安全問題研究[J].軟件導刊,2010(7)

篇4

關鍵詞:無線網絡;防范措施;校園網絡

隨著信息技術的飛速發(fā)展,近年來無線網絡已經成為一種較為普及的網絡訪問方式,并且在一些領域已經占據了主流的地位。特別是在高校中傳統(tǒng)有線網絡已經不能滿足師生對移動網絡的要求,無線網絡作為有線網絡的補充手段,被更多的師生所認同和接受。眾多師生開始在無線網絡中開展各種應用業(yè)務,教學、科研等,這表明無線網絡有者傳統(tǒng)網絡不能比擬的優(yōu)勢,但是將無線網絡接入傳統(tǒng)的Internet中存在許多技術問題和安全問題。因此,對無線網絡安全技術的研究就具有特別重要的意義。

1、WLAN的安全隱患

1.1 非法用戶侵入

由于無線局域網具有公開、易獲取的特性,便于開放式訪問,所以非法用戶可以未經授權而擅自使用網絡資源,后果是不僅占用了寶貴的無線信道資源,增加了帶寬成本,而且還降低了合法用戶的服務質量。

1.2 網絡監(jiān)聽

由于無線局域網具有開放訪問的特點,入侵者無需將竊聽或分析設備物理地接人被竊聽的網絡,就可以乘機在無線信號覆蓋范圍之內,進行竊聽、惡意修改并轉發(fā)數(shù)據。

1.3 無線加密協(xié)議(WEP)破解

互聯(lián)網上已經普遍存在的一些非法程序,能夠通過收集足夠的WEP弱密鑰加密的包,并進行分析以恢復WEP密鑰。最快可以在兩個小時內攻破WEP密鑰。

1.4 地址欺騙和會話攔截

非法用戶通過網絡竊聽,獲取網絡中合法站點的MAc地址,然后通過ARP欺騙,利用這些合法的MAC地址進行欺騙攻擊。同時還可以通過截獲會話幀從而進一步進入網絡獲取更多信息。

1.5 拒絕服務

是最為嚴重的攻擊方式,一般有兩種情況,一種就是攻擊者對AP進行泛洪式的攻擊,使AP拒絕服務。另外一種是對某個節(jié)點進行攻擊,讓它不停地提供服務或進行數(shù)據包轉發(fā),使其能源耗盡而不能繼續(xù)工作,也就是通常稱的能源消耗攻擊。

2、WLAN的安全技術

2.1 服務集標識符(SSID)

通過對多個無線接入點AP(Access Point)設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問API這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區(qū)別限制。

2.2 物理地址過濾(MAC)

由于每個無線工作站的網卡都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現(xiàn)物理地址過濾。這種方式要求AP中的MAC地址列表必需隨時更新,目前都是手工操作;如果用戶增加,則擴展能力很差,因此只適合于小型網絡規(guī)模。

2.3 連線對等保密(WEP)

WEP主要通過加密在中心HUB和訪問點(Access Point)進出的數(shù)據包完成對數(shù)據的保護,在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了_40位(有時也稱為64位)和128位長度的密鑰機制,40位的鑰匙在今天很容易被破解,目前為了提高安全性,建議采用128位加密鑰匙。

2.4 Wi-Fi保護接入(WPA)

WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點的—種新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于Rc4加密處理。通過這種處理,所有客戶端的所有分組信息所交換的數(shù)據將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據中途被篡改的功能和認證功能。由于具備這些功能,WEP中此前倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵。作為802.11i標準的子集,WPA包含了認證、加密和數(shù)據完整性校驗三個組成部分,是一個完整的安全性方案。

篇5

關鍵詞:網絡信息安全;計算機病毒

中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2011) 23-0000-01

Campus Network Information Security and Virus Prevention

Qin Jianmin

(Lingchuan Vocational Secondary School,Guilin 541202,China)

Abstract:With the continuous expansion of information technology,multimedia network teaching the universal use of computer networks in schools to improve the efficiency of data transmission,data concentration,data sharing has played an increasingly important role in network and information system has been gradually become an important school information technology infrastructure.To ensure safe and efficient operation of the work,to ensure network and information security and network hardware and software system's normal functioning smoothly,the construction of computer network and system security is particularly important.

Keywords:Network information security;Computer viruses

廣域網絡已有了相對完善的安全防御體系,防火墻、漏洞掃描、防病毒、IDS等網關級別、網絡邊界方面的防御,重要的安全設施大致集中于機房或網絡人口處,在這些設備的嚴密監(jiān)控下,來自網絡外部的安全威脅大大減小。相反,來自網絡內部的計算機客戶端的安全威脅缺乏必要的安全管理措施,安全威脅較大。未經授權的網絡設備或用戶就可能通過到局域網的網絡設備自動進入網絡,形成極大的安全隱患。

目前,局域網絡安全隱患是利用了網絡系統(tǒng)本身存在的安全弱點,而系統(tǒng)在使用和管理過程的疏漏增加了安全問題的嚴重程度。局域網的網絡安全威脅通常有以下幾類:

一、欺騙性的軟件使數(shù)據安全性降低。在學校中局域網很大的一部分用處是資源共享,而正是由于共享資源的“數(shù)據開放性”,導致數(shù)據信息容易被篡改和刪除,數(shù)據安全性較低。同時由于用戶缺乏數(shù)據備份等數(shù)據安全方面的知識和手段,因此會造成經常性的信息丟失等現(xiàn)象發(fā)生。

二、服務器區(qū)域沒有進行獨立防護。局域網內計算機的數(shù)據快速、便捷地傳遞,造就了病毒感染的直接性和快速性,如果局域網中服務器區(qū)域不進行獨立保護,其中一臺電腦感染病毒,并且通過服務器進行信息傳遞,就會感染服務器,這樣局域網中任何一臺通過服務器信息傳遞的電腦,就有可能會感染病毒。雖然在網絡出口有防火墻阻斷對外來攻擊,但無法抵擋來自局域網內部的攻擊。

三、計算機病毒及惡意代碼的威脅。由于網絡用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁,或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網絡寄生犯罪軟件的攻擊,正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件,在自己寄生的文件中注入新的代碼。

四、局域網用戶安全意識不強。學校中計算機用戶主要是學生,許多學生使用移動存儲設備來進行數(shù)據的傳遞,經常將外部數(shù)據不經過必要的安全檢查通過移動存儲設備帶入內部局域網,同時將內部數(shù)據帶出局域網,這給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據泄密的可能性。

五、地址沖突。局域網用戶在同一個網段內,經常造成IP地址沖突,造成部分計算機無法上網。對于局域網來講,此類IP地址沖突的問題會經常出現(xiàn),用戶規(guī)模越大,查找工作就越困難,所以網絡管理員必須加以解決。

正是由于局域網內應用上這些獨特的特點,造成局域網內的病毒快速傳遞,數(shù)據安全性低,網內電腦相互感染,病毒屢殺不盡,數(shù)據經常丟失。

我們應該怎樣去控制病毒的傳播和加強局域網安全建設呢?

一、加強學校工作人員和學生的網絡安全培訓。

二、局域網安全控制策略。安全管理保護網絡用戶資源與設備以及網絡管理系統(tǒng)本身不被未經授權的用戶訪問。利用現(xiàn)有的安全管理軟件加強對以上幾個方面的管理是當前解決局域網安全的關鍵所在。具體實施于以下幾個方面:(1)利用桌面管理系統(tǒng)控制用戶入網。入網訪問控制是保證網絡資源不被非法使用,是網絡安全防范和保護的主要策略。(2)采用防火墻技術。(3)封存所有空閑的IP地址,啟動IP地址綁定采用上網計算機IP地址與MCA地址唯一對應,網絡沒有空閑IP地址的策略。由于采用了無空閑IP地址策略,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部局域網絡造成病毒傳播和數(shù)據泄密。(4)屬性安全控制。它能控制以下幾個方面的權限:防止用戶對目錄和文件的誤刪除、執(zhí)行修改、查看目錄和文件、顯示向某個文件寫數(shù)據、拷貝、刪除目錄或文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網絡的屬性可以保護重要的目錄和文件。(5)啟用殺毒軟件強制安裝策略,監(jiān)測所有運行在局域網絡上的計算機,對沒有安裝殺毒軟件的計算機采用警告和阻斷的方式強制使用人安裝殺毒軟件。

三、病毒防治。病毒的侵入必將對系統(tǒng)資源構成威脅,影響系統(tǒng)的正常運行。特別是通過網絡傳播的計算機病毒,能在很短時間內使整個計算機網絡處于癱瘓狀態(tài),從而造成巨大的損失。

篇6

關鍵詞 服務器安全 數(shù)據庫安全 解決方案

中圖分類號:TP393 文獻標識碼:A

要想打造社會信息化,毫無疑問,第一步就是要實現(xiàn)高職院校信息化。那么何為高職院校信息化呢?其實就是實現(xiàn)院校各部門的辦公無紙化和網絡資源共享化,舉例說明:學校教務管理系統(tǒng)、查分系統(tǒng)、選課系統(tǒng)、工資系統(tǒng)、校園一卡通等等。雖然高職院校信息化帶來了眾多益處,但是其同時也加大了學校以及學生信息泄露的風險,所以維護網絡安全就尤為重要。下面就針對網絡安全的重點WEB和FTP服務器安全及數(shù)據庫安全進行詳細闡述。

1 WEB和FTP服務器安全

WEB網站是學校信息宣布和政策宣傳的網絡平臺入口。作為各部門之間交流和共享的主要場所,一旦其被入侵者侵入,不僅會給學校帶來不良影響和損失還會造成學生隱私信息的泄漏,后果十分嚴重。由此,WEB服務器安全的重要性可見一斑。

1.1 Web服務器安全

進行網站構建時,必須要考慮Web服務器安全,而保障其安全,應從以下兩方面入手:

(1)增強服務器操作系統(tǒng)的安全,主要的方法是:設置難度較大的可靠性的登錄名稱,這樣可以加大入侵者從登錄入口入侵的難度;安裝操作系統(tǒng)補丁,一旦發(fā)現(xiàn)系統(tǒng)漏洞,及時進行補丁彌補,不給入侵者可乘之機。如果情況所迫,需要進行遠程操作或者管理時,必須使用安全協(xié)議,確保遠程操作或者管理的安全性,杜絕服務器安全隱患。

(2)構建安全的外部環(huán)境,具體方法如下:

P充分利用防火墻技術,阻隔內外端口,阻隔沒有必要的服務,增強開放服務的安全性;

Q及時進行電腦系統(tǒng)安全評價、漏洞掃描及木馬查殺,包括用戶安全性評價、訪問控制評價、數(shù)據加密評價等等;

R利用入侵檢測系統(tǒng)對系統(tǒng)日志、紀錄等進行監(jiān)控,一旦發(fā)現(xiàn)問題,立即進行處理;

S在服務器(尤其是那些允許發(fā)生信息交互行為的服務器)上安裝多層次防病毒系統(tǒng),以防止木馬及網絡病毒的侵蝕,而這也是維護服務器安全的關鍵。

1.2 FTP服務器安全

就FTP服務器而言,構建服務器者首要考慮的問題就是系統(tǒng)的安全性。FTP服務器的系統(tǒng)安全性主要包含以下內容:

(1)文件訪問權限,構建者必須要確認在FTP或者它同組的其他賬號之下沒有任何的目錄或者文件,以此來避免木馬病毒的入侵;

(2)確保沒有賦予anonymous用戶特殊的權限,以免造成服務器系統(tǒng)的安全隱患;

(3)對匿名的FTP用戶進行權限設置,在任何情況下都不允許其在服務器的目錄下創(chuàng)建目錄和文件,匿名用戶只有讀取文件的權利,而且只能讀取公共區(qū)域部分的文件,以此來預防入侵者通過創(chuàng)建目錄或者文件的方式入侵系統(tǒng),破壞服務器安全。

2數(shù)據庫系統(tǒng)安全

數(shù)據庫系統(tǒng)按類型大小可以分為三種,分別是小型數(shù)據庫系統(tǒng)、中型數(shù)據庫系統(tǒng)和大型數(shù)據庫系統(tǒng)。目前市面上使用頻率較高的小型數(shù)據庫系統(tǒng)主要是ACCESS(小型),中型的數(shù)據庫系統(tǒng)是Microsoft SQL Server 2005(中型),而大型的則數(shù)據庫系統(tǒng)是Oracle(大型)和Sybase(大型)。

數(shù)據庫系統(tǒng)的安全性主要體現(xiàn)在數(shù)據可靠性、用戶認證以及訪問控制等方面,鑒于此,數(shù)據庫的安全策略主要包含兩方面的內容:

2.1確保數(shù)據庫的操作(使用)安全

就數(shù)據庫而言,其使用安全主要包含三方面:數(shù)據庫的可用性;數(shù)據庫的完整性;數(shù)據庫的保密性。其中,完整性是數(shù)據庫管理系統(tǒng)的核心關心對象,因為其既適用整個大的數(shù)據庫,又可適用數(shù)據庫之中的個別元素;保密性則是指保護數(shù)據庫內的信息不被竊取,不發(fā)生泄漏;而可用性則是指要實現(xiàn)數(shù)據庫的共享訪問。很明顯,保密性和可用性兩者相互矛盾。

2.2確保數(shù)據庫的數(shù)據安全

數(shù)據庫,其本質而言就是一個系統(tǒng),建立在網絡、操作系統(tǒng)以及主機硬件之上,所以我們可以從其存在的安全隱患入手分析數(shù)據庫的安全。比如說,我們要對網絡攻擊、操作系統(tǒng)內存泄漏以及主機斷電等做好預防。

3總結

高職院校內部局域網網速平均在百兆以上,甚至于有些骨干網網速高達上千兆,鑒于廣播風暴的存在,經相關研究分析,建議根據院校各部分的職能對局域網進行劃分,這樣一方面能夠提高網絡的安全性以及其他各方面的性能,另一方面還便于管理,能大大提升管理效率。當然劃分區(qū)域網只是解決網絡安全問題的開端,提升系統(tǒng)本身安全性則是進一步的發(fā)展。但是維護網絡安全,避免其遭受外部攻擊僅僅只依靠提升系統(tǒng)本身的安全性是遠遠不夠的,還必須要結合專業(yè)的網絡安全工具,如網絡實時監(jiān)測軟件。這個軟件可以安裝于整個網絡的任何位置,而且能夠對整個網絡的共享網段進行周密的監(jiān)測,包括紀錄網絡狀態(tài)、網絡資源的情況以及各種網絡操作,而其目的就是便于日后的查詢。除了前面的基本功能外,網絡實時監(jiān)測系統(tǒng)還有一個強大的功能,就是能夠對網絡上的數(shù)據流進行實時分析,并且在分析的基礎上,對網絡違規(guī)事件進行跟蹤、阻斷連續(xù)并進行實時報警。

作者簡介:肖陽(1984―),男,侗族,湖南懷化人,貴州大學本科,計算機應用專業(yè),工程師,研究方向:計算機網絡。

參考文獻

[1] 劉宗平.高職院校計算機網絡安全課程教學研究[J].計算機光盤軟件與應用,2014.

[2] 胡桂芝.高職院校計算機機房的網絡安全問題研究[J].信息通信,2015.

篇7

關鍵詞:校園無線網絡;AP;局域網

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)22-5204-02

1 校園無線網絡現(xiàn)狀與前景

隨著通訊技術的不斷發(fā)展和普及,國內高校對于校園網的要求也越來越高,校園有線網絡已經很難滿足師生的教學與科研需求。為了進一步提升學校的綜合實力,越來越多的高等院校在校園內部署無線網絡。一方面,無線網絡有效緩解了傳統(tǒng)有線網絡的覆蓋問題,另一方面,無線網絡為教師和學生提供了更加靈活的網絡接入方式,同時也提高了學校的信息化建設水平。目前無線網絡技術日臻成熟,應用也越來越廣泛,隨著3G、4G等無線通信技術的推廣以及國家信息產業(yè)政策的扶持,校園無線網絡勢必會得到進一步的發(fā)展。

2 校園無線網絡的應用區(qū)域

與傳統(tǒng)有線校園網對比,校園無線網絡具有搭建快速,布線靈活,服務移動化等特點。無線技術在校園網中的主要應用區(qū)域有:

1) 綜合布線困難的區(qū)域:如大型報告廳,體育場館,戶外臨時會場,食堂等場所,采用無線局域網技術,可以快捷方便地搭建臨時網絡接入平臺,節(jié)省開支,有效優(yōu)化網絡管理。

2) 學校圖書館,教學樓等大型公共區(qū)域:由于有線網絡接入端口數(shù)量有限以及使用時無法擺脫網線的束縛,導致用戶網絡接入困難。如果在這些區(qū)域建設校園無線網絡,就能很方便地擴充現(xiàn)有的網絡接入容量。

3) 休閑場所:師生戶外環(huán)境隨時隨地接入網絡,查找資料,收發(fā)電子郵件。

3 校園無線網絡的搭建

隨著智能手機、平板電腦等便攜設備越來越頻繁地出現(xiàn)在校園日常生活中,無線網絡已成為高校校園網的重要組成部分,而不僅只是傳統(tǒng)有線網絡的補充和延伸。下面就如何搭建一個穩(wěn)定、高效,安全的校園無線網絡做出一個簡略的建設方案:

3.1 建設目的

根據當前校園網的實際情況,首先確立校園無線網絡的建設目的:利用傳統(tǒng)有線網絡做為校園骨干網,無線網絡作為擴容補充,實現(xiàn)網絡接入方式的多樣化,同時加強教學的互動效果。以實用性為原則,盡量保留原有的網絡設備,最小代價升級網絡系統(tǒng),并保證兼容各種應用系統(tǒng),加快學校信息化數(shù)字校園的建設步伐。

3.2 規(guī)劃以及設計

1)根據實際情況,確定建設目標:網絡設計初期應充分考慮整個無線網絡的規(guī)模,AP的分布,網絡總出口帶寬大小,無線覆蓋的范圍等問題。

2)選定合適的通信協(xié)議:采用 802.11n的無線通信協(xié)議,同時保證向下兼容 802.11a、802.11b、802.11g 等早期無線網絡通信協(xié)議。做好頻率規(guī)劃,確保AP間最小干擾,實現(xiàn)2.4G/5G 雙頻在線。

3) IP規(guī)劃:調查統(tǒng)計無線網絡用戶的最大同時上網人數(shù),分配合適的IP段,同時配置好DHCP服務器。

4)組網模式:采用 Fit AP+AC的搭建方案,集中化管理AP,達到AP無線信道和發(fā)射功率自動調整,QOS快速配置等目標。

5)安全認證計費模式:從安全和校園網的運營角度考慮,增加認證計費模塊,采用 802.1x+RADIUS認證技術以確保校園無線網絡的安全穩(wěn)定和長久發(fā)展。

6)設備選型:根據現(xiàn)有的校園網結構和建設的實際要求選擇合適設備,保證采購的設備支持802.11 a/b/g/n 協(xié)議、多種無線安全加密方式、QOS管理、ACL過濾、POE供電等功能。綜合考慮多個知名品牌的產品,最后確定采購的設備型號。

3.3網絡測試

1)覆蓋范圍測試: 通過智能手機,平板電腦或者筆記本等便攜設備,安裝無線信號強度測試軟件,在AP的不同距離段進行多方位移動測試,記錄各點的信號強度,再調整AP位置或者增加發(fā)射功率,確保各區(qū)域不存在網絡盲點。

2)可靠性測試: 通過網絡分析軟件發(fā)送大量數(shù)據包,使整個區(qū)域無線WLAN處于滿負荷工作狀態(tài)。期間監(jiān)測并記錄整個網絡運行狀況,分析錯誤故障的次數(shù)是否在正常的范圍內。

3)吞吐量測試:利用網絡工具,發(fā)送大量的不同長度的幀到被測試網絡中,監(jiān)測一段時間內整個網絡的丟包率。確保上網高峰期,不會發(fā)生網絡擁塞。

4)響應時間測試:通過PING命令獲取網絡接入點到各個無線網關的平均響應時間,排查產生瓶頸的網絡設備,保證網絡的響應時間。

4 校園無線網絡的安全威脅

無線網絡具有傳統(tǒng)有線網絡無法比擬的諸多優(yōu)勢,但其與生俱來的不安全因素也一直讓人詬病。無線網絡中常見的安全威脅有:

4.1 DOS攻擊

隨著無線技術的發(fā)展,DOS攻擊不僅針對于有線網絡,也越來越多的把攻擊的方向指向了無線網絡。DOS攻擊者利用被攻擊主機提供服務或傳輸協(xié)議上處理重復連接的缺陷,反復高頻的發(fā)出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。

4.2 密鑰破解

為解決無線網絡的安全問題,無線網絡采用了密鑰認證的方式來識別接入用戶的合法身份。常見的保密協(xié)議包括 WEP,WPA,WPA2等。攻擊者通過偽裝合法用戶,請求重新連接的方式,截獲握手包。然后通過分析握手包,得到正確的網絡訪問密鑰。WEP是早期最普遍的無線加密機制,同時也是非常脆弱的安全機制。目前破解WEP密鑰的方法越來越成熟,攻擊者可以輕松獲得認證密碼。WPA、WPA2相對安全,攻擊者想要破解得到正確密鑰,一般通過密碼字典進行暴力破解,破解難度則取決于無線網絡的密鑰強度。

4.3 網絡竊聽

WIFI網絡通過電波作為媒介傳播信號的特性使得網絡竊聽成為一個非常大的安全隱患。一旦攻擊者破解得到無線網絡密鑰,就可以對網絡中的其他用戶的數(shù)據進行嗅探分析,并可能通過分析網絡數(shù)據包,截獲合法用戶的用戶名、密碼、郵件信息等個人敏感數(shù)據。

5 校園無線網絡的安全策略

雖然無線網絡的安全威脅很多,但只要合理應用安全策略就能有針對性地減少無線網絡中的安全風險。主要的安全策略如下:

1) 升級早期無線網絡設備的固件版本,設置更多的安全選項。

2) 隱匿SSID,開啟MAC名單過濾,導入合法的IP-MAC表。

3) 采用SSL等安全通信協(xié)議保護管理配置通信,限制管理ip的范圍,更換默認的管理登陸口。

4) 盡量使用安全等級更高的加密保護方式,推薦使用WPA或者WPA2。

5) 設置密碼時,盡量采用強密碼,不建議密碼當中包含個人信息。最大可能避免密鑰被暴力字典破解。

6) 更換無線網絡設備的缺省網關,配置防御DOS策略。

7) 限制使用無線網卡與AP相連的BSS模式。

6 結束語

無線網絡在高校信息化過程中扮演著越來越重要的角色,在高校組建或升級無線網絡的過程中,我們要根據本校的實際情況,規(guī)劃不同的網絡升級方案,確保校園無線網絡系統(tǒng)的穩(wěn)健性和安全性。同時可以借鑒已經實現(xiàn)校園無線網絡工程的高校的建設與應用經驗,少走彎路,摒棄過時的技術標準,搭建一個現(xiàn)代化的無線局域網,使無線網絡平臺更好地服務高校師生,促進校園信息化建設進程。 (下轉第5208頁)

(上接第5205頁)

參考文獻:

[1] 陳卓. 無線局域網在校園網中的應用[J]. 南京廣播電視大學學報,2005(4).

[2] 丁家鳳. 無線網絡在圖書館應用時的安全分析與防范策略[J]. 高校圖書情報論壇, 2007(12):75-78.

篇8

【關鍵詞】圖書館;網絡安全;計算機病毒;黑客

在網絡高速發(fā)展的今天,網絡已成為人類最豐富多彩的虛擬世界,計算機技術和通信技術相結合所形成的信息基礎設施已經成為反應信息社會特征最重要的基礎設施,圖書館作為一個專業(yè)的網絡信息庫,給我們提供很多方便快捷的專項信息。目前,支撐圖書館的關鍵技術主要有信息處理、信息存儲和信息傳輸3個方面。這種由新技術帶來新的信息資源形態(tài)(數(shù)字化)和新的信息資源使用方式(網絡傳輸),必然存在許多網絡隱患,易受網絡黑客攻擊。另外,高職院校圖書館網絡系統(tǒng)具有體系結構開放、資源共享和信道公用等特性,這使得高職院校圖書館網絡安全問題更加突出。

1.威脅高職院校圖書館網絡安全的因素

1.1 軟件系統(tǒng)的漏洞

目前,大部分圖書館的信息服務器主要采用Web界面和基于TCP/IP協(xié)議的信息技術系統(tǒng)。TCP/IP協(xié)議現(xiàn)在已經廣為應用、但也存在許多不足造成安全漏洞在所難免,例如:smurf攻擊、ICMPUnreachable數(shù)據包斷開、IP地址欺騙以及SYNflood。然而,最大的問題在于IP協(xié)議是非常容易“輕信”的,就是說入侵者可以隨意地偽造及修改IP數(shù)據包而不被發(fā)現(xiàn)。

其次是圖書館的服務器一般用Windows Server的操作系統(tǒng),系統(tǒng)以圖形化界面和易操作聞名,但存在著安全漏洞;另外應用軟件也存在著漏洞或者缺陷。這也給黑客提供了攻擊的突破口。例如,數(shù)據庫是圖書館重要組成部分之一,常用的有SQL、Oracle、Sybase等,未打全補丁的數(shù)據庫系統(tǒng)就是一個隱藏著的定時炸彈,網絡上專門針對此的掃描和攻擊工具不勝枚舉。黑客一旦攻破其漏洞,其造成的后果將不堪設想。

1.2 網絡硬件系統(tǒng)

硬件的安全問題也可以分為兩種,一種是物理安全,一種是設置安全。從物理上講,高職院校圖書館園網絡的安全是脆弱的,因為校園網絡設備分布較為廣泛,任何個人或部門都不可能時刻對這些設備進行全面監(jiān)控。另一個方面,大多數(shù)高職院校將有限的經費主要投入在一些基本的網絡設備上,對于保證網絡安全的硬件關心較少,例如只注重服務器、路由器、交換機的性能而忽略了防火墻、殺毒軟件的重要性,相對減少投入,所以導致校園網基本還處在一個個開放的狀態(tài),沒有任何有效的安全預警機制和防范措施。

1.3 內部攻擊

所謂內部攻擊,是指局域網攻擊。來自內部用戶的安全威脅遠大于外部網絡用戶的安全威脅,特別是一些安裝了防火墻的網絡系統(tǒng),對內部網用戶來說一點作用也不起。根據權威部門的統(tǒng)計,70%的攻擊來自內部。內部人員對數(shù)據的存儲位置、信息重要性非常了解,這使得內部攻擊更容易湊效。比如文件共享,打印機共享等等,某些操作本身就是合法的,通過很多合法的操作對防火墻或者路由的ACL規(guī)則進行欺騙作為攻擊和入侵的手段。另外是讀者的違規(guī)操作。在這樣的情況下,圖書館網絡必然要承受大量的來自內部的攻擊,而源于內部的攻擊恰恰是很難防御的。

1.4 外部攻擊

(1)來自Internet的病毒攻擊

高職院校圖書館網絡一般是通過CERNET與Internet相連,在享受Internet的高效便捷的同時,大量的網絡病毒也伴隨攻擊而來。計算機病毒直接影響計算機系統(tǒng)的正常運行速度,破壞系統(tǒng)軟件和文件系統(tǒng),破壞網絡資源使網絡效率急劇下降,甚至造成計算機網絡系統(tǒng)的癱瘓?,F(xiàn)階段,出現(xiàn)了專門攻擊計算機網絡的網絡型病毒,如特洛伊木馬、蠕蟲病毒、震蕩波、沖擊波病毒、AV終結者、磁盤病毒、W0M系列盜號木馬等等。

(2)黑客非法攻擊

隨著計算機網絡的快速發(fā)展,黑客的隊伍也不斷壯大,黑客現(xiàn)在則多指那些偷閱、篡改或偷竊他人數(shù)據資料,在網絡上進行犯罪活動的人。在Internet網絡條件下,常見的拒絕服務攻擊方式主要有兩種,一是網絡黑客蓄意發(fā)動的針對服務和網絡設備的DDOS攻擊;二是用蠕蟲病毒等新的攻擊方式,造成網絡流量急速提高,導致網絡設備崩潰,或者造成網絡鏈路的不堪負重。如:數(shù)字圖書的域名服務器、網頁服務器、電子郵件服務器等都可以成為黑客攻擊的對象。黑客的花樣很多,攻擊者可以在現(xiàn)場,也可以在其它任何地方。攻擊者的企圖有多種,從造成間歇停機到造成整個系統(tǒng)癱瘓、數(shù)據錯誤、大批盜竊信息、盜用服務、進行非法監(jiān)視和收集情報、引入假電文和提取數(shù)據用于進行欺詐,從而達到破壞目的。而且,現(xiàn)在黑客工具種類繁多,容易獲取,容易使用,不用懂太多的計算機知識,都可以發(fā)動攻擊。

1.5 內部人員管理因素

內部工作人員的素質、職業(yè)道德和責任心等對系統(tǒng)安全占較大比重,其中人為因素產生的原因如下:(1)管理者對系統(tǒng)安全的認識不足,安全意識淡薄,對安全的重視程度不夠,不能及時發(fā)現(xiàn)已經存在的和可能出現(xiàn)的問題。(2)個別工作人員敬業(yè)精神不高,責任心不強,不能及時發(fā)現(xiàn)已經存在的和隨時可能出現(xiàn)的安全問題,對突發(fā)的安全事件不能做出積極、有序和有效的反應。(3)技術能力不夠,由于網絡管理人員和有關技術人員缺乏必要的專業(yè)知識,不能安全配置和管理網絡,在服務器上隨意安裝非法軟件。(4)安全管理制度不健全或執(zhí)行力度不夠等因素,從而導致網絡安全體系和安全控制措施不能充分、有效地發(fā)揮,造成信息泄露,給攻擊者創(chuàng)造機會。

2.高職院校圖書館網絡的防范措施

2.1 選擇穩(wěn)定的軟件系統(tǒng),保證圖書館數(shù)字化安全。

軟件系統(tǒng)方面主要是保證系統(tǒng)軟件和應用數(shù)字圖書館平臺應用軟件的安全。系統(tǒng)軟件是整個軟件系統(tǒng)的生命線,是關乎所有在其之上運行的應用軟件安全和穩(wěn)定的基礎。所以,可以選擇運行比較穩(wěn)定的WINDOWS 2003 SERVER作為系統(tǒng)軟件,在系統(tǒng)配置方面,關閉所有的不必要端口,禁用GUEST賬戶和IPC連接,刪除WindowsServer2003默認共享,隨時關注微軟的系統(tǒng)補丁包,保證操作系統(tǒng)的安全性和穩(wěn)定性。另外,數(shù)據庫管理平臺使用SQLSERVER 2005,在SQLSERVER數(shù)據庫中必須要對SA賬戶使用強密碼;刪除BUILTIN\Administrators服務器登錄;定期對MASTER數(shù)據庫進行完全備份,當數(shù)據庫系統(tǒng)出現(xiàn)問題時進行恢復,保證數(shù)據庫系統(tǒng)的可用性。定期對業(yè)務數(shù)據庫進行差異備份,即可備份數(shù)據,又可降低備份時對數(shù)據庫服務器的系統(tǒng)資源消耗,保證服務器的穩(wěn)定運行。

2.2 利用防火墻技術,避免網絡威脅和黑客攻擊

防火墻技術是在內部網和外部網之間的界面上構造一個保護層,所有內外連接都強制性地經過這一保護層接受檢查過濾,只有被授權的通信才允許通過。其安全意義是雙向的,一方面可以限制外部網對內部網的訪問,另一方面也可以限制內部網對外部網中不健康或敏感信息的訪問。同時,防火墻還可以對網絡存取訪問進行記錄和統(tǒng)計,對可疑動作告警,以及提供網絡是否受到監(jiān)視和攻擊的詳細信息。防火墻系統(tǒng)的實現(xiàn)技術一般分為兩種,一種是分組過濾技術,一種是服務技術。分組過濾基于路由器技術,其機理是由分組過濾路由器對IP分組進行選擇,根據特定組織機構的網絡安全準則過濾掉某些IP地址分組,從而保護內部網絡。服務技術是由一個高層應用網關作為服務器,對于任何外部網的應用連接請求首先進行安全檢查,然后再與被保護網絡應用服務器連接。服務技術可使內、外網絡信息流動受到雙向監(jiān)控。

2.3 利用加密技術,保護數(shù)字館藏安全和信息產品傳輸安全。

利用加密技術是保護數(shù)字館藏安全和信息產品傳輸安全的常用措施。數(shù)據庫加密方法有庫內加密、整個數(shù)據庫加密和硬件加密。優(yōu)秀的數(shù)據庫管理系統(tǒng)(DMS)內嵌有面向網絡的數(shù)據庫安全保護模塊,提供安全服務。美國NIST公布的數(shù)字簽名算法DSA是一個公開密鑰數(shù)字簽名算法,用于保證網絡數(shù)據傳輸?shù)耐暾院鸵恢滦?,從而保證數(shù)據傳輸?shù)臏蚀_和安全。

2.4 安裝防病毒軟件,預防計算機病毒的入侵

防病毒軟件,也可稱為殺毒軟件,它具備預防隔離和查殺病毒的雙重功能,主要是針對已經遭受網絡病毒入侵的網絡在病毒入侵后,及時用殺毒軟件進行殺毒,能有效的減少損失挽救各種重要信息數(shù)據。此外,殺毒軟件還能實時跟蹤監(jiān)督各軟件的運行情況,一旦發(fā)現(xiàn)威脅會立即報警,反饋給用戶。圖書館選擇一款有效優(yōu)質的正版的殺毒軟件便安裝了第二道保護網絡安全的防線。圖書館內部局域網中傳播的病毒大多是管理人員工作不嚴謹細致導致的,這些病毒往往是在無意間就進入了工作站。因此在平時工作中,工作人員需慎重選擇使用安裝軟件,不要輕易在工作站上插入來歷不明的優(yōu)盤,非用不可時必須先對它們掃描殺毒。在安裝殺毒軟件后,還要注意隨時更新它。因為網絡病毒形式千變萬化,隨時都有新品種誕生,殺毒軟件也會做出新的防御措施。及時下載更新病毒數(shù)據庫,有利于更好的實現(xiàn)網絡安全的維護。

2.5 加強圖書館數(shù)據的備份工作

數(shù)字信息是數(shù)字圖書館的核心資源,其中書目信息和讀者借閱信息是圖書館員工多年辛苦勞動的結晶,數(shù)據丟失所帶來的損失也常常是難以估量的。因此,圖書館數(shù)據的備份是一項極為重要的工作,應定期進行數(shù)據轉儲,將數(shù)據備份到其它存儲設備上,或采用磁盤陣列等技術,利用冗余硬盤,讓系統(tǒng)實時對數(shù)據進行備份,再配合熱插拔等技術,可以保證在部分數(shù)據被破壞后,能立即啟用備份數(shù)據,使服務部中斷。

2.6 采用多種方案、建立安全管理機制

只有建立了相應的安全管理制度和操作規(guī)程,才能使數(shù)字圖書館的員工各司其職,工作有章可循。把圖書館的安全措施和管理制度融會為一個整體,為圖書館的網絡安全運行提供保障和基礎。比如:(1)制定網絡安全管理制度,劃分各自得權限,規(guī)范各項計算機操作活動。(2)定期進行安全審核,主要是審核制度的安全策略,管理制度是否被有效地、準確地執(zhí)行,不斷調整網絡系統(tǒng)配置以達到最優(yōu)化。(3)加強圖書館各部門的協(xié)調能力,嚴格遵守圖書館崗位責任制。最大限度地保證數(shù)字圖書館系統(tǒng)安全和系統(tǒng)能夠穩(wěn)定運行。

3.結語

在信息化、網絡化的時代,計算機病毒的泛濫、黑客的惡意攻擊和讀者網絡信息的安全需求已構成對數(shù)字圖書館網絡信息安全的迫切要求,網絡安全任務越來越重要,加強數(shù)字圖書館信息的安全與防范工作刻不容緩。因此,這就需要全館人員同心協(xié)力,嚴格遵守崗位責任制,在工作中不斷努力與創(chuàng)新,以確保數(shù)字圖書館能在安全、穩(wěn)定的狀態(tài)下運行,為更多的讀者提供信息服務。

參考文獻

[1]黎九平.基于數(shù)據挖掘的數(shù)字圖書館網絡安全管理研究[J].情報探索,2012(12).

[2]趙曉紅,雒偉群,劉偉光,等.高校圖書館網絡安全分析與防護策略[J].計算機與信息技術,2009(3).

篇9

本文系統(tǒng)的分析了目前高職院校中校園網在網絡安全方面存在的隱患和問題,并根據這些問題提出了維護改善網絡安全的措施手段,為建設安全的高職院校校園網起到了一定的指導作用。

關鍵詞:校園網;網絡安全;網絡安全的維護

中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9599 (2012) 10-0000-02

一、引言

在社會不斷地進步,互聯(lián)網在生活中扮演的角色越來越重要,人們的工作、學習和生活已經離不開互聯(lián)網。近年來,在高職院校,為方便師生的學習、工作,紛紛組建了校園網,校園網的發(fā)展也非常迅速,不過由于其起步較晚,軟硬件設施較差,在組建校園網運行中存在著很多不足之處,導致了現(xiàn)存的高職院校校園網存在足多隱患的局面,高職院校校內網的安全問題也益發(fā)凸顯。

二、目前高職院校校園網存在的隱患及問題

高職院校的校園網網絡安全存在很大的隱患,這給廣大師生的學習,工作都帶來很大的不便,更有甚者回影響到學校、師生的利益。這些隱患主要體現(xiàn)在以下幾個方面:

(一)互聯(lián)網的開放性決定了校園網的安全更容易受到攻擊

互聯(lián)網網絡的通信協(xié)議是開放性的,通信協(xié)議是互聯(lián)網通信的基礎,目前高職院校校園網普遍使用TCP/IP協(xié)議簇,而通用性和開放性是TCP/IP協(xié)議簇的一大特點,基于這種特點,只要具備了一定的技術就可以分析并使用這一協(xié)議,這就造成了校園網在通信上的漏洞。數(shù)據竊聽(Packet Sniff):TCP/IP協(xié)議數(shù)據流采用明文傳輸,因此數(shù)據信息很容易被竊聽、篡改和偽造。特別是在使用含有用戶賬號、口令的數(shù)據包進行通信時,使用Sniff,Snoop或網絡分析儀等可以對以上信息進行截取,達到攻擊的目的。例如:源地址欺騙(Source address spoofing);源路由選擇欺騙(Source Routing spoofing);鑒別攻擊(Authentication Attacks);TCP序列號欺騙(TCP Sequence number spoofing);ICMP攻擊(工CMP Attacks);拒絕服務((DOS)攻擊;IP棧攻擊(IP Stack Attack)等,這種由于互聯(lián)網的根本屬性而來的漏洞,不能夠徹底解決,但是由于校內網的特點卻更容易使其安全受到攻擊。

(二)硬件設施的落后導致其安全隱患巨大

高職院校的校園網雖然發(fā)展迅速,但由于其起步較晚,加之在建設校園網的過程中,大部分高職院校并沒有進行大幅度的改變,而是在原有局域網的基礎上進行一些整改,這種硬件上的落后必然導致校園網的安全隱患。

(三)系統(tǒng)防火墻抵抗外來攻擊入侵能力較弱

校園網的系統(tǒng)防火墻是抵御外來入侵的有效手段,對于外來的攻擊能提供有效的屏蔽,但目前大部分高職高校的校園網系統(tǒng)卻存在很多漏洞,容易被不法分子利用,校園網的防火墻能力也比較弱,對于擁有一定技術的黑客而言基本形同虛設。

(四)網絡安全管理存在巨大的缺陷,非常不完善

網絡的管理能夠很大程度上消除校園網的安全隱患,但大部分高職院校學院網絡的管理相對比較較混亂,沒有統(tǒng)一的網絡出口、網絡管理軟件和網絡監(jiān)控、日志系統(tǒng),缺乏上網的有效監(jiān)控和日志。這種管理能力的欠缺也是導致目前高職院校網絡安全問題的一大原因。

(五)校內人員安全意識單薄,并出現(xiàn)內部攻擊校園網的情況

微型計算機的普及使得擁有個人計算機的學生數(shù)量在飛速的增長,但是除了個別對于計算機比較熟練地用戶以外,目前,很大一部分的學生對于計算機的安全意識比較單薄,比如:安全軟件更新不夠,系統(tǒng)的漏洞更是比比皆是,這些問題導致了校園網的計算機更容易沾染病毒,而基于校內網特點,這帶來的后果往往更加嚴重。此外,校園網的防火墻雖然能夠對于校外的入侵起到一定抵御作用,可是對于來自校園網內部的攻擊的防護能力卻基本為零,而根據研究,目前基本上校園網受到的大部分攻擊都是來自校內,這主要是由于校園內的人員大多屬于有想法,有沖勁的年輕人,加之互聯(lián)網上的攻擊軟件,黑客軟件比比皆是,再加上目前國內外輿論對于黑客行為的不可觀的評價,這就對于年輕人帶來很大的誘惑,希望通過一些比較出位的手段來獲得心理的滿足,于是,攻擊校園網也就成了一種可選擇的手段。

(六)高職院校的特殊性導致其更易受到攻擊

校園網的一大特點即是速度和規(guī)模上比較大,由于存在以上隱患,對于不法之徒而言,攻擊、入侵校內網的效率相對而來就會更高,目前,越來越多的黑客把目標瞄向了校園網,加之層出不窮的網絡病毒在校園網內傳播的更加迅速,雖然校園網目前大都建立了防火墻,但這些依舊給校園網的安全帶來很大的壓力。

三、針對高職院校校園網存在問題的改善意見及措施

針對我國目前高職院校校園網存在的問題,學校應該從提高技術,增強防范意識,提高軟硬件設施等方面出發(fā)。

(一)加大基礎設施投入

良好的基礎設施是改善校園網現(xiàn)存問題的基礎,工欲善其事,必先利其器,沒有好的硬件設施,一切只是空中樓閣,在這方面應該做的工作有很多,首先,應以高性能的防火墻來替代落伍的防火墻,做到外部人員只能夠訪問允許訪問的資源,對于不開放的資源做到有效地隔離;其次,建設有效全面殺毒系統(tǒng),有效地殺毒系統(tǒng)能夠解決校內網中木馬病毒泛濫的現(xiàn)狀,最大程度上保證用戶的利益;第三,完善系統(tǒng)漏洞,減少給不法分子有機可趁的機會;最后,安裝旁路監(jiān)聽性檢查系統(tǒng)。

篇10

1 網絡信息安全的定義與基本內容

網絡安全的基本定義是利用相關技術進行數(shù)據處理系統(tǒng)的建立與維護,保證計算機硬件、軟件不遭到毀壞,對數(shù)據進行有效的保護,防止其通過惡意手段遭到破壞,保持網絡的完整性、保密性、可用與可控性。

硬件安全指的是網絡硬件媒體設備的安全,包括主機系統(tǒng)、終端設備以及防火墻、服務器等的安全[1];軟件安全指的是保證計算機網絡中軟件功能的完整性與準確性;數(shù)據安全指的是保證網絡中儲存與傳輸數(shù)據的安全,避免非法篡改、解密等,是網絡安全的核心。

2 信息化校園網絡面臨的安全問題

校園網涵蓋了教學、管理、通訊等方面的功能,教師可以通過網絡進行教學工作,方便與學生的遠程學習,校園網學習信息資源管理系統(tǒng)的建立有效的實現(xiàn)了學校與學生之間信息的透明化與共享化,學生可以通過校園網進行信息綜合管理與數(shù)據交換。

隨著校園網絡的快速普及,相關的安全問題也日益增加,由于技術資金的落后,在高職院信息化校園網絡的建設中沒有完善的防范措施,硬件設施薄弱,軟件系統(tǒng)的安全建設不夠完善;網絡管理缺乏安全機制,專業(yè)管理人員少,無論是自身的網絡管理還是對設備管理都缺乏經驗與技術,導致對網絡安全問題不能進行及時的監(jiān)控與反饋,使網絡安全缺乏可控性。

3 信息化校園網絡安全的技術保護措施

3.1網絡多出口的規(guī)范

校園安全體系與架構的建設是信息化校園網絡的基本管理措施,近幾年高職校園網網絡架構的多出口特點給網絡安全帶了嚴重的影響,多出口不利用整體網絡的規(guī)范化管理。校園網絡管理機構應對現(xiàn)有的網絡架構進行合理的優(yōu)化與改造,對出口進行規(guī)范與監(jiān)制,出口的統(tǒng)一化、專業(yè)化的管理為校園網絡安全體系的構建奠定基礎。

3.2配備完整的系統(tǒng)的網絡安全設備

校園網絡結構龐大而復雜,但是從架構特點分析,它是屬于局域網技術領域??刂凭钟蚓W的獨立性,保證其與外部連接的安全為網絡安全的管理與規(guī)范提供了思路,具體的方法是在局域網與外部網絡接口的連接處設置硬件與軟件的監(jiān)理設備,保持對連接處網絡安全的控制與管理[2]。當代社會的校園網絡都是基于高速層面的網絡,我們必須降低一切硬、軟件設備對網絡性能不同程度的影響,因此使用了以下設備進行網絡安全防護:

(1)高性能的硬件防火墻:防火墻是本地網絡與外界網絡之間的防御系統(tǒng),它是可以實現(xiàn)隔離風險的網絡安全模型,高性能的防火墻有過濾、鏈路級網關和應用級網關等方面的性能,為網絡防御提供了更好的安全性。

(2)入侵檢測系統(tǒng)與防病毒、漏洞掃描系統(tǒng):入侵檢測系統(tǒng)為網絡黑客的檢測與反饋提供了很好的措施;建立完備的防病毒與漏洞掃描系統(tǒng)為非法訪問提供了解決方法,有助于抑制網絡不良因子的擴散與影響。

(3)網絡故障檢測系統(tǒng):利用故障檢測系統(tǒng)科實現(xiàn)對校園網絡進行實時的診斷,有利于及早發(fā)現(xiàn)故障,進行系統(tǒng)的清理與優(yōu)化。

3.3 建立全校統(tǒng)一的身份認證系統(tǒng)

身份認證系統(tǒng)是解決校園網絡安全問題的基本方法,用身份證與有效的ID信息進行網絡認證與使用有利于對網絡安全的監(jiān)管,若發(fā)現(xiàn)不良的網絡問題,可以通過身份認證的方式進行有效的處理,有利于減少信息監(jiān)控的成本,并對個人良好的網絡素質與信用的提高起到了很大的作用。

雖然近幾年各高職校園網絡管理機構進行了身份認證系統(tǒng)的建設與完善,但是應用系統(tǒng)在通用性、權威性與安全性上還有一定的不足與差距,因此在校園網絡的規(guī)范建設中還存在危險漏洞。在高職校園網絡建設中應實現(xiàn)全校統(tǒng)一的身份認證系統(tǒng),使非合法用戶無法使用校園網絡,避免再認證中出現(xiàn)缺口與問題,這有利于校園網絡由于上網身份出現(xiàn)的安全隱患的徹底解決。

3.4對上網場所集中進行規(guī)范和監(jiān)控

高職校園應該鼓勵廣大師生在公眾場所使用網絡,不僅對網絡教學的普及有作用,還有助于實行網絡統(tǒng)一的管理與監(jiān)控。在公眾場所必須進行身份認證,使用機房固有的安全學習軟件,有利于有效的保證網絡安全。

但是現(xiàn)在高職校園的網絡管理系統(tǒng)處于孤島的狀態(tài),學生上網的地點分散,很多身份難以識別與認證,對于分散的網絡行為的監(jiān)管也難上加難?!斑€原卡”的普及更降低了很多高職校園信息化網絡的管理能力,因此要盡快實現(xiàn)網絡的集中認證,利用中心監(jiān)控服務器進行網絡行為的監(jiān)管,通過日志備查保證信息化網絡的安全性。

3.5改造電子郵件系統(tǒng),建立完善的恢復機制

高職院校免費的電子郵件系統(tǒng)已經明顯不適用于現(xiàn)代網絡系統(tǒng)的功能,這成為現(xiàn)在校園網絡安全的主要隱患。因此應該對電子郵件系統(tǒng)進行改造,提高其過濾有害信息的能力和及時的反饋能力;增加數(shù)據傳輸?shù)脑O備,為校外教師或外出人員通過提供隧道連接,使他們安全進入校網電子郵件系統(tǒng);建立完善、成熟的

備份軟件與恢復機制,減小由于數(shù)據損壞與信息泄露造成的損失,也有助于整個網絡系統(tǒng)的穩(wěn)定運行。

3.6 校園網絡的系統(tǒng)層安全設計與管理

充分宣傳校園網絡自動更新服務,引導師生們深入了解防病毒軟件的使用,及時安裝補丁,加固操作系統(tǒng);加強師生們對用戶信息與賬戶安全的設置,利用系統(tǒng)服務設置更好的保證私人以公共計算機網絡的運營,定期做網絡巡檢與監(jiān)控。