校园网络安全论文范文

时间:2022-10-09 22:17:05

引言:寻求写作上的突破?我们特意为您精选了12篇校园网络安全论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。

校园网络安全论文

篇1

国际标准化组织(ISO)将网络安全[2]定义为:为数据处理系统建立相应的安全保护措施,保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露,从而保证了网络服务不中断,使得系统可靠安全地运行.上述网络安全的定义包含两方面内容:物理安全和逻辑安全.其中物理安全是指在构建网络系统的时候,保证物理线路能够防雷、放火、防水、防盗等,能够保证物理线路连续的进行数据传输.而逻辑安全通常指的是传输在网络上数据的信息安全,即对网络上传输信息的保密性、可用性和完整性的保护.另一方面,网络安全性的涵义也可以理解成是信息安全的一种引申,即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护.概括的说,可以将网络安全定义为:为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施,从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性.

1.2网络安全基本特征

网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征.保密性:信息未经授权不泄露给任何用户,而且信息的特性也具有保密性,其它非授权用户、实体或过程无法利用其特征.可用性:用户经过授权后可按需使用,即授权用户当需要该信息时能否正常存取.网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等.可控性:对网络中传播的信息及其内容具有控制能力.可审查性:当网络中出现安全问题时可提供相应的依据与手段,便于追踪攻击源.完整性:用户未经授权不能随意改变数据的特性,即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性,保证了信息的完整性.

2校园网建设概述及其安全威胁

随着互联网的快速普及,校园网建设已经成为学校的基础建设之一,教育信息化、数字化已经成为教育发展的主方向,校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一,并发挥着越来越重要的作用[3].另一方面,随着国家科教兴国战略的实施,政府加强了对学校的投资,由此也加强了学校对校园网的建设.中国教育和科研计算机网(CER-NET)的成立,标志着教育网的形成.CERNET主干网络传输速率已达到2.5Gpbs,总容量达40Gpbs,它吸引超过1000所高校的鼎力加盟,覆盖全国超过200个城市.目前,大部分学校都已建成校园网,实现了校园网的整体覆盖,包括办公楼、教学楼、宿舍楼等.校园网同时与Internet对接,实现了校园办公教学的信息化、自动化.如图1所示,为一个简单的校园网组网模型.随着CERNET的建设不断提高,校园网已经成为互联网的重要组成部分之一,是学校信息化、数字化建设的基础设施,同时担任着科研与教学的重要任务.然而,目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足,这些都极大阻碍了校园网的发展.因此合理地对校园网络升级,是目前学校校园网工程的首要目标之一[4].同时,校园网作为学校数字化、信息化的基础设施,安全问题不容忽视.在互联网开放程度很高的今天,校园网往往最容易成为黑客攻击的目标.威胁校园网安全的因素有很多,但主要的安全威胁有以下几类.

2.1TCP/IP协议漏洞造成的威胁

现在互联网上使用最多的协议就是TCP/IP协议了,这几乎是所有校园网采用的网络传输协议.TCP/IP协议在设计之初,就没有考虑安全问题,它只考虑如何把信息互相传输,因此存在很大的安全威胁.虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全,但是由于TCP/IP协议的开放性和通用性几乎占用了整个市场,使得OSI七层协议无法推广.所以,目前网络黑客针对TCP/IP漏洞攻击有很多,例如:数据窃听、源地址欺骗、ARP欺骗等等.

(1)数据窃听(PacketSniff).TCP/IP协议从设计之初,就采取的是数据包明码传输,这种传输模式使得数据包很容易被窃听、修改和伪造.黑客可以利用一系列工具获取网络中正在传输的数据包,窃取用户有利用价值的信息,如用户账户和密码等信息.同时,黑客也能修改和伪造数据包,让用户误入钓鱼网站或者窃取网上银行信息,给用户造成直接经济损失.特别是在校园网中,数据包流通比较集中,一旦获取了校园网服务器或管理员账号信息,将会给校园网络造成重大损失.

(2)源地址欺骗(SourceAddressSpoofing).在网络安全中,一个比较重要的安全问题就是源地址欺骗.这里的源地址,能够是IP地址,也能是MAC地址.但是MAC地址随着路由转发,信息会发生变化,而且在实际的网络系统中,也有一定的限制,改造欺骗难度比较大,所以一般的源地址欺骗是指IP地址伪造欺骗.攻击者通常伪造被攻击的主机IP地址,骗取防火墙信任,从而对校园网内部发起攻击.

(3)源路由选择欺骗(SourceRoutingSpoo-fing).在一个完整的IP数据包中,通常只包含源地址和目的地址,即路由器可以知道数据包从哪个主机发送出来,将要到达哪个主机.源路由是指数据包将会列出所要经过的路由,路由器将会根据这些指定的路由将数据包送达相应的主机,然后根据其反向路由进行应答,从而实现主机之间的通信.而源路由选择欺骗,则是攻击者通过伪造主机源路由,让数据包经过该主机必经路由,使受攻击主机出现错误判断,将某些被保护的数据提供给了攻击者.另一方面,由于路由器一般对接收到的路由信息是不经过检验的,这样就给攻击者提供便利,攻击者可以发送虚假数据包,改变某些重要数据包的传递路径,使得数据在传递到正常主机前,即可抓取分析,从而也达到攻击的目的.

(4)鉴别攻击(AuthenticationAttacks).由于TCP/IP协议还无法证明网络身份的真实有效性,因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息,从而达到攻击目的.

(5)ARP欺骗(AddressResolutionProtocolSpoofing).ARP即地址解析协议,作用是将网络中的IP地址转换成MAC物理地址的协议.因为在局域网中,尤其是在校园网中,使用最多的往往是MAC地址进行传输,而不是IP地址进行传输,所以ARP协议能够很快的让局域网中的两台主机进行通信.而黑客只需在局域网中进行网络监听,获取到一台主机A的节点信息(IP地址和MAC地址),就能伪造A的数据包,与B进行通信,获取有用信息.另一方面,黑客可以伪造一个不存在的MAC地址在局域网内传播,形成广播风暴,这样会造成网络不通,给局域网造成致命打击.

(6)DoS攻击(DenialofService).DoS攻击,即拒绝服务攻击,攻击者的目的是让目标主机或网络无法提供正常服务.因为TCP协议采用三次握手建立一次连接,而任何一次握手失败,则会重新发送.攻击者正是利用这一个协议漏洞,采取不断建立连接,然后丢弃该连接数据包,使得服务器处于等待状态,如果攻击者一直持续连接和丢弃的过程,则服务器和网络所有的资源会被完全消耗,导致计算机或网络无法正常工作,从而达到攻击目的.

(7)DDoS攻击(DistributedDenialofServ-ice).DDoS攻击,即分布式拒绝服务攻击,它是指攻击者借助一系列工具或手段,联合多个计算机组成攻击平台,对一个或数个目标发动DoS攻击.最基本的DoS是利用合法的服务请求,占用攻击目标主机大量服务资源,使得正常用户无法访问.然而DoS服务需要占用大量带宽,单个计算机攻击肯定无法达到攻击者想要的目标.因此网络黑客会抓取网络“肉鸡”,集合大量网络带宽,组成庞大的攻击平台,可以在瞬间让被攻击目标处于瘫痪状态.

(8)TCP序列号欺骗和攻击(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以伪造TCP序列号,形成一个TCP封包,对网络中可信节点进行攻击.而且最重要的是,黑客可能利用伪造的TCP封包发动SYN攻击,让服务器无法完成三次握手,造成服务器开放大量等待端口,影响正常网络访问,严重时,可直接造成服务器死机,如果该服务器是WEB服务器或者DNS服务器,那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络.

(9)ICMP攻击(InternetControlMessageProtocolAttacks).ICMP协议是Internet控制报文协议,它属于TCP/IP协议下的一个子协议,用于在IP主机和路由器之间传递控制消息.其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息,它对数据传输有很重要的作用.而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定,发动“PingofDeath”攻击,当主机ICMP数据包尺寸超过64KB时,主机会发生内存分配错误,导致TCP/IP堆栈崩溃,使得目标主机死机.虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞,但是向目标主机发动持续、大规模的ICMP攻击,会消耗主机CPU、内存等资源,严重时也会导致目标主机瘫痪,无法提供正常服务.

2.2漏洞威胁

软件和操作系统是由程序员编写的,而在开发的过程中,多多少少会存在各种各样的漏洞问题,这些漏洞如果不能及时修复,将会对主机造成重大安全威胁.一旦该主机被攻破,同时也会给该主机处在的局域网中的其它机器造成威胁,情况严重时,甚至会造成整个网络瘫痪.近几年来,无论是Windows操作系统,还是Linux操作系统,的补丁数目一直持续增加.特别是Windows操作系统,在校园网内拥有的用户众多,如果没能及时修复各种漏洞,势必会影响整个校园网安全.

2.3病毒、木马威胁

近些年来,随着互联网的普及,网络上各种各样的开源软件繁多,有些开源软件打着免费的旗号,暗留后门或者对操作系统植入木马,稍不注意,就会对整个系统造成重大影响.同时,网络上黑客也会主动攻击,种植木马,抓取网络肉鸡,作为自己攻击的跳板,对互联网上其它的计算机造成严重威胁.

2.4初级黑客攻击

校园网因为自身局限性,其网络管理水平无法与企业相比,因此很容易受到网络上初级黑客的攻击,作为他们试手的目标.另外一方面,互联网出现的一系列黑客教程、黑客工具,这些教程和工具可以自由查阅和下载,加上很多黑客工具属于使用简单,这让许多初级黑客也能在一段时间内对网络造成严重的攻击.且根据心理学研究分析,很多普通攻击者往往有炫耀心理,即把校园网作为自己攻击的目标,以获取所谓的成功感,这让校园网增加更多的威胁.

3目前校园网网络建设中存在的主要安全问题

目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题.

3.1人为因素导致的网络安全问题

3.1.1校园网用户数量庞大

校园网内用户量众多且处在同一个局域网中,同时,校园网内服务器数量也是别的局域网不能比拟的.用户量加上数目可观、功能强大的服务器,这些条件也吸引着互联网上众多黑客的攻击,因此存在着很大的安全隐患.

3.1.2校园网用户安全意识低

根据调查研究发现,校园网的用户大部分都安全意识不强,用户计算机整体水平偏低,有一部分校园网用户基本上不安装杀毒软件,也没能及时给系统打补丁,系统处于“裸奔”状态.这对于当今如此开放的互联网,将直接为黑客提供攻击目标.而且校园网用户极少学习相应的安全防范知识,在下载和使用软件时,基本上不考虑其风险性,这些都将会给黑客制造攻击机会,影响整个校园网安全[5].

3.1.3信息泄密

信息泄密是指将信息透漏给非授权用户,它在一定程度上破坏了计算机系统的保密性.目前,常见的信息泄密有:操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序.

3.1.4拒绝服务攻击(DoS)

攻击者使用一切办法让被攻击计算机停止提供服务,让合法的信息或资源访问被拒绝或者严重推迟.常见的DoS攻击有:SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等.

3.1.5完整性破坏

攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性,使得信息乱码.

3.1.6网络滥用

由于授权的用户因操作或行为不当,导致网络滥用,从而导致网络安全威胁,例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等.

3.2非人为因素导致的网络安全问题

网络安全除去人为因素外,很大一部分安全威胁来自安全工具和操作系统自身的局限性.其具体特征为:每一种安全工具(如:杀毒软件)都有其自身的应用范围和环境,同时安全工具受到人为因素、系统漏洞、程序BUG的影响,这些因素反而给攻击者带来了一定的便利.对于操作系统而言,没有绝对安全的操作系统,无论是微软的Windows系列操作系统,还是开源的Linux操作系统,都有存在后门或漏洞的可能.世界上没有绝对安全的操作系统,因此在搭建校园网时,要选择安全性尽可能高的操作系统,而且要随时提供校园网用户漏洞补丁下载,以及杀毒软件,保证用户系统安全性始终最高.由上所述,我们可以说网络安全问题绝大部分是由人为因素引起的.现在,国家也制定了相应的法律来保护网络安全,打击相应的网络犯罪活动.但是校园网作为一个庞大的用户群,如何防范这些网络犯罪活动显得尤为重要.我们不能等着整个网络被攻击导致瘫痪后再想着去防范,而是要在攻击之前做好准备工作,让校园网在安全中运行.

4加强校园网网络安全建设的对策和建议

加强校园网网络安全建设主要从以下几个方面来进行.

4.1应重视校园网网络的安全搭建

在校园网工程的建设中,网络系统的搭建是属于弱电工程,它的耐压值比较低.由此,在校园网工程的设计和建设中,一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题;考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离;考虑网络中物理电路的接地安全;考虑建设合理的防雷系统,保证建筑物、计算机以及其它物理设备的防雷[6].

4.2应加强校园网网络的安全维护技术

从技术层面来说,网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成,单独的一个组件是无法保证当前网络信息安全的.最早的网络安全技术是采用边界阈值控制法,即通过对网络边界的数据包进行监测,符合规定的数据包可通过,不符合规定的数据包就抛弃,这种方式在一定程度上能阻止对网络的入侵和攻击,但是不能有效防止网络攻击.目前,应用比较广泛的网络安全基本技术有:防火墙技术、防病毒技术、数据加密技术等.防火墙[7]指的是一个由硬件和软件混合组成的设备,用于将内部网络和外部网络隔离起来,建立一层安全保护屏障,它是一种隔离控制技术.常见的防火墙有包过滤技术、技术、状态监测技术等.相对于防火墙来说,防病毒技术将是从计算机网络内部进行防控,主要预防病毒程序、后门程序、网络监听等.目前采取比较多的防病毒手段是对系统进行监听,阻止不合规定进程.而且防病毒技术永远是滞后性的,即防病毒工具一直在病毒出现后才能组织.现在的防病毒技术和云平台技术结合,已经对病毒起到了一定的控制作用.相对前面两种技术来说,数据加密技术就比较灵活了.可以将用户的信息经过加密后,再在网络上传输,及时数据被黑客截获,没有有效的密钥,数据对黑客来说也只是一堆无效数据而已.在开放的互联网平台,数据加密能够有效的保证了用户的隐私以及数据的安全[8].

4.3应建立科学的校园网网络管理人员岗位职责

计算机网络安全绝大部分是人为因素引起的.因此在校园网搭建过程中,关于对计算机系统管理员的培训及管理,是校园网网络安全中最重要的一部分.一个不合理的操作,很有可能让整个网络系统瘫痪,因此必须建立健全管理规范,明确管理员责任和权利.同时,要记录管理员操作信息,当发现不合规定的记录时,可以及时分析,如果发现黑客入侵,则及时采取必要措施杜绝黑客进一步入侵,必要时需向当地公安机关报案,减少学校损失.另外一方面,建立健全的管理制度以及严格的管理模式,可以保证校园网的正常、安全运行.总而言之,网络安全涉及的领域很多,是一个综合性的问题.只有合理的运用相关技术以及人员培训,才能尽最大可能的把安全威胁降到最低.

篇2

2校园网络安全总体设计思路

针对于校园网网络运行的基本需求,对于校园网络安全进行规划设计,并且在此基础上构建完善的校园安全体系结构,是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求,还要对于可能出现的安全问题进行预警,以保证设计体系的合理性和科学性。具体来讲,其主要设计到以下内容:其一,以独立的VLAN,MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理,可以保证数据传输的安全等级达到最佳水平;其二,以网络安全检测子系统的构建,并在校园网中WWW服务器和Email服务器进行应用,在此基础上对于网络传输内容进行监督和管理,并且形成相应的数据库,避免非法内容进入校园网;其三,针对于安全需求,设置相应的安全防火墙,以双机设备方式去运行,实现防火墙子系统的构建;其三,基于控制中西和探测引擎技术构建入侵检测子系统体系,对于入侵行为进行监督和管理,并且将其屏蔽在网络安全范围之外;其四,全面升级网络系统的防毒系统,实现对于客户端PC机器的安全控制,形成统一的防毒服务器;其五,建立有效的漏洞扫描系统,实现自动修复和检查漏洞,保证补丁工作的全面开展;其六,针对于校园内部的侵袭行为,可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高;其七,建立健全完善的校园网安全运行管理制度体系,为开展一切安全管理工作打下基础。

3整体构建校园网络安全体系的实现途径

校园网络安全体系涉及到多方面的内容,一般情况下会将其归结为物理层,链路层,网络层,应用层等几个方面。

3.1物理层安全体系实现途径物理层的安全性能主要针对于线路的破坏,线路的窃听,物理通路的干扰等安全缺陷问题。对此,需要做好以下工作:其一,采用双网结构作为拓扑网络结构方式,内外网使用不同的服务器,实现不同信道的运行,使得信息处于不同的高度路上运转,不仅仅可以营造安全的运行状态,还可以使得系统运行压力降低;其二,以双网物理隔离的方式去实现内外网布线系统的构建,从根本上杜绝了黑客入侵的可能性,同时还合理设置,避免出现内外网同时使用的情况。

3.2链路层安全体系实现途径链路层安全体系构建是保证网络链路传送数据安全性为根本性目的,主要使用的技术手段有局域网和加密通讯手段。具体来讲,其一,在交换机配置端口安全选项中,尽量将CAM表进行淹没;其二,在中继端口实现VLANID的专业化设置,保证端口设置成为非中继模式;其三,进行MAC地址绑定设置,避免出现IP地址被盗用。

3.3网络层安全体系实现途径网络层安全体系构建,主要是保证网络时能给授予权限的客户使用,避免出现拦截或者监听的情况。为了实现这样的目标,应该从以下几个角度入手:其一,设置硬件防火墙,运行访问控制技术程序,一旦遇到安全问题,使得其处于隔离状态;其二,网络入侵检测系统IDS的使用,能够对于网络入侵行为进行监督,由此构建起来第二道安全闸门;其三,在路由交换设备上进行安全技术应用,如VPN技术,加密机制及时,审计和监控技术等,都是其重要内容。

3.4应用层安全体系的实现途径对于应用层来讲,其安全体系的构建需要做到以下几点:其一,建立网络病毒防火墙,避免内外病毒对于网络文件系统的破坏;其二,设置服务器,尽可能的保护自己的IP地址;其三,构建操作系统补丁自动分发系统,保证能够及时的进行安全漏洞的修复;其四,积极开展认证和授权管理工作,对于多重身份认证和用户角色授权进行审计,以保证系统的安全性。

篇3

1.2可控性可控性指的是,网络系统自身具备对于网络信息的传播和内容的审核具备控制和调整的能力,因为出于国家安全,社会公共管理秩序的需求,有必要对于网络上的信息进行控制和调整,以确保公民和国家的信息安全和保障。尤其是这对网络中实行的社会犯罪,情报收集,信息窃取等都需要对网络的信息进行严格的管理和控制。

2网络安全技术在校园网络中的运用

2.1防火墙技术所谓防火墙技术,指的就是校园网络针对网络所设置的权限和用户访问权限的所有的硬件和软件的总和,可以视为是内部网络和外部网络之间的保护性防御设置,其最为根本的功能就是,针对一些非法的访问和登陆进行有效的阻断和隔离,是校园网络安全性的基本保障措施和功能。其主要体现在,防火墙可以针对外网的一些具有不安全性的用户访问进行识别和拒绝隔断,同时采取调整防火墙的安全等级,还可以对一些具有危害性的信息和内容进行屏蔽和阻断,尤其是识别网络上安全性较低的网路时,能够主动提出警报,并组织用户访问这些危险性的网站,减少了病毒的传播和入侵。同时还可以对于外网访问校园网络的信息进行登记和备份,以便于针对访问信息的统计和监控。这样在日后的数据分析过程中,能够有效发现系统中存在的漏洞,尤其是发现用户的操作存在非法性,时,能够及时并主动对其进行提醒和警报。如果校园网络防火墙技术和NAT技术有效地结合起来,还能够对于校园网络的结构性进行隐蔽,大大增强了网络系统的安全性,并且这种结合能够非常有效地解决校园网络中,用户群较大,IP不足的问题,极大地提升了校园网络的使用效率和通畅性。

2.2VPN技术VPN技术的运用,能够在校内用户和校外网络连接的过程中,形成一道安全监测的通道,那些只有符合设定的目标用户,才能够通过通路进行顺利的访问和登陆,其余的非法登陆和连接都会被视为非法操作而进行阻断,这样能够大大提升校园网络的安全性,同时对校内用户的危险性操作也做出了控制和规范。该技术可以通过校内的验证码技术、登陆用户验证等技术来区分有资格的用户身份,将具备资格的用户和非法用户区分开来再连接到服务器,并采用信息加密技术,有效地保证了通过验证的用户信息的安全性和完整性,实现了校园网的密匙管理。

2.3发现入侵的检测技术该技术的运用,对于校园网络的安全性具有非常重大的意义,尤其是对于校园网路中的一些不规范,非法的操作行为进行检测,一旦发现之后及时发出网络警报,并对其危险的操作做出网络分析,检测出用户在未授权的情况下所进行的越权操作行为,并及时对其进行控制和终止。同时,对于系统中的漏洞进行进行的提醒和备注,以便于网络维护人员及时对网络漏洞进行修改,因此入侵的检测技术对于网络的安全性而言,具有非常主动的防御功能。它对于维护校园网络数据的稳定性和安全性,都具有非常重要的意义。

2.4控制访问技术该技术的运用,主要是针对采取非法性的操作和访问,一般而言,用户需要登录校园网,首先需要登录校园网的访问控制台,经过正确的口令登录和识别之后才能获得相应的访问权限和身份。一旦登录输入不正确或者不具备登录资格,将被拒绝访问,因此那些不具备资格的非法访问用户都不会获得相应的授权和进入访问入口。

2.5数据恢复和备份技术该技术的运用,一般是对校园网络信息安全性的事后保障和后期安全性保障,一旦发生了网络安全性事件,校园网络系统受到了入侵,信息受到了删除或者篡改,可以调用系统自卑的数据恢复功能来对数据进行数据的恢复,但是数据的恢复是基于数据被定期备份在数据库中的。因此,校园网络的管理员可以定期对校园网络中的信息数据进行备份,并在数据库中建立索引,一旦有需要恢复的时候,可以及时按照所需的索引来快速查找到所需要回复的信息内容。这种归档的数据处理模式能够保证校园网络的数据信息在一段的时间内的完整性和自我修复能力,是校园网络安全性的有效保障。

篇4

随着无线技术的不断成熟和普及,无线网络在全球范围内的应用已经成为一种趋势。在我国,越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展与应用,对学校的教学模式、教学理念及教学管理产生了深远的影响,也使学校教师、学生的学习、生活方式产生了积极的变化。根据教育部的调查显示,目前我国15.1%的高校建有无线校园网,同时有36.2%的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划,有专家表示,无线校园是未来校园信息化的发展方向。

一、何谓无线局域网

无线局域网(WirelessLocalAreaNetwork,缩写为“WLAN”)是高速发展的现代无线通信技术在计算机网络中的应用,是计算机网络与无线通信技术相结合的产物。不像传统以太网那样,基于802.1标准的无线网络在空气中传播射频信号,在信号范围内的无线客户端都可以接受到数据,为通信的移动化、个人化和多媒体应用提供了实现的手段。

二、传统有线网络面临的问题

随着校园网络规模不断扩大,网络应用不断增加,网络已经成为老师和学生获得信息的主要手段之一,校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户,越来越多的校园网络应用开始部署,网络变得前所未有的重要,细心观察不难发现传统有线网络容易出现以下问题:

(1)校内公共网络设施有限,而且使用频繁,人们为了上网不得不在这些地点之间奔波;

(2)计算机设备较多,其中,笔记本数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;

(3)有的教室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且学生上课时的位置不是很固定,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便;

(4)高校通常会有几个在地理分布上并不集中的分校区,用有线光缆连接校园网工程复杂、成本极高。而使用无线网络,无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。

三、无线网络的特点与优势

1、移动性强。无线网络摆脱了有线网络的束缚,能够使学习远离教室,可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动,持续连接,实现移动办公。

2、带宽很宽,适合进行大量双向和多向多媒体信息传输。

在速度方面,802.11b的传输速度可提供可达11Mbps数据速率,而标准802.11g无线网速提升五倍,其数据传输率将达到54Mbps,充分满足校园网用户对网速的要求.

3、有较高的安全性和较强的灵活性

由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术,使得其高度安全可靠;无线网络组网灵活、增加和减少移动主机相当容易。

4、维护成本低,无线网络尽管在搭建时投入成本高些,但后期维护方便,维护成本比有线网络低50%左右。

四、无线网络存在的安全问题

在无线网络的实际使用中,有可能遇到的威胁主要包括以下几个方面

1、信息重放

在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。

2、WEP破解

现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。

3、网络窃听

一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。

4、MAC地址欺骗

通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。

5、拒绝服务

攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。

五、无线网络的安全防范措施

为了保护无线网路免于攻击入侵的威胁,用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善,实现最基本的安全目的。

1、规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况,并反映在学校的网络拓扑图里。

2、使用WEP,启用无线设备的安全能力。

保护无线网络安全的最基础手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍,有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。

3、变更SSID及禁止SSID广播。服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101就是3Com设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问点而言,要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。

4、禁用DHCP。对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译用户的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用公司的访问点,他仍需要弄清楚IP地址。

5、禁用或改动SNMP设置。如果公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关公司网络的重要信息。

6、使用访问列表。为了进一步保护无线网络,应使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果公司实施的网络支持,就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP),定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。

参考文献:

[1]张锦.无线局域网IEEE802.11.现代图书情报技术

篇5

随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献

篇6

(1)计算机系统漏洞。目前,校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。

(2)病毒的破坏。病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。

(3)来自网络外部的入侵、攻击等恶意破坏行为。校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。

(4)校园网内部的攻击。

2Honeynet技术在校园网网络安全中的应用

根据学院实际情况和校园网总体设计需求,为了更好地防御校园网中的各类网络木马、病毒(僵尸网络、网络钓鱼等),部署了Honeynet系统,但由于整个校园内部网络威胁较为严重,各种病毒较为猖獗,校园网常被病毒感染,因此部署的Honeynet系统主要是监控校园网内部的网络攻击。为了更好地采集信息,充分发挥Honeynet系统在校园网安全防护中的主动防御功能,将Honeynet系统放到黑客容易访问到的地方。根据实际校园环境的要求,笔者部署一个带有不同操作系统的Honeynet,这个蜜网存在着各种各样的漏洞,以吸引攻击者进行有效的访问,从而获取访问信息的和其日志记录并加以深入分析和研究。通过使用虚拟软件(VMWare)和物理计算机建立一个混合虚拟Honeynet,从而减少了物理计算机的需要。宿主主机的二个网卡设置:一个是设置作为虚拟控制机,并通过虚拟网桥连接Honeywall,另一个设置连接校园内网路由器。这里把eth1的IP设为192.168.1.2,而把eth2的IP设为192.168.1.3,这样管理机和虚拟Honeypot就不在同一个网段上,保证了管理机的安全性。在本次Honeynet系统中所有主机都可以通过ssh或MYSQL连通”firewall”;所有主机都可以连接到Honeynet系统;Honeynet允许连接到任意主机;除次之外,所有的通信都被拦截,同时防火墙允许通过的数据均被记录。当完成对虚拟Honeynet系统的配置后,需要对其进行测试,看是否能够正常运行,首先测试虚拟机蜜罐和宿主主机之间的网络连接,包括(1)宿主主机和蜜罐上通过互相ping对方的IP地址测试网络连通性,经测试网络连通性正常。(2)在Honeynet网关上监听ICMPping包是否通过外网口和内网口。 通过测试后,说明虚拟机蜜罐和外部网络之间的网络连接(通过Honeynet网关eth0和eth1所构成的网桥)没有问题。对Honeynet网关的远程管理进行测试,需要使用SecureCRT软件,远程ssh连接Honeynet网关管理口,经过测试表示该虚拟Honeynet可用。

篇7

随着校园信息化水平的快速提高,教务管理、学籍管理、成绩管理、宿舍管理、网络大学等信息化产品层出不穷,独立的软件集成在一起,各自软件开发的语言不通,导致校园网络自身存在很大的缺陷,降低了校园网安全性能。

1.2入侵手段越来越智能

目前,校园网用户计算机专业技术水平不同,导致用户使用网络的过程中,携带的病毒、木马种类越来越多,并且随着黑客的手段越来越高,病毒、木马区域智能化,潜伏周期更长,更具隐蔽性,破坏性也越来越大。

1.3校园网络管理制度不健全,管理模式简单

网络应用发展迅速,网络管理制度不健全,管理模式较为单一,也同样导致学校的校园网用户安全意识淡薄,导致许多接入校园网络的终端存在很多病毒和木马,并且非常容易被黑客利用,攻击整个网络。

二、网络安全主动防御系统

2.1主动防御系统模型

目前,网络安全主动防御模型包括三个方面,分别是管理、策略和技术,可以大幅度提高网络的入侵防御、响应能力。

(1)管理。

校园网管理具有重要的作用,其位于安全模型的核心层次。网络用户管理可以通过制定相关的网络安全防范制度、网络使用政策等,通过学习、培训,提高网络用户的安全意识,增强网络用户的警觉性。

(2)策略。

校园网安全防御策略能够将相关的网络技术有机整合,优化组合在一起,根据网络用户的规模、网络的覆盖范围、网络的用途等,制定不同等级的安全策略,实现网络安全运行的行为准则。

(3)技术。

校园网防御技术是实现网络安全的基础,校园网主动防御技术包括六种,分别是网络预警、保护、检测、响应、恢复、反击等,能够及时有效地发现网络中存在的安全威胁,采取保护措施。

2.2主动防御技术

校园网主动防御技术可以有效地检测已经发生的、潜在发生的安全威胁,采取保护、响应和反击措施,阻止网络安全威胁破坏网络,保证网络安全运行。

(1)预警。

校园网预警技术可以预测网络可能发生的攻击行为,及时发出警告。网络应包括漏洞预警、行为预警、攻击趋势预警、情报收集分析预警等多种技术。

(2)保护。

校园网安全保护是指采用静态保护措施,保证网络信息的完整性、机密性,通常采用防火墙、虚拟专用网等具体技术实现。

(3)检测。

校园网采用入侵检测技术、网络安全扫描技术、网络实时监控技术等及时检测网络中是否存在非法的数据流,本地网络是否存在安全漏洞,目的是发现网络中潜在的攻击行为,有效地阻止网络攻击。

(4)响应。

校园网主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,阻断网络攻击。响应需要将多种技术进行整合,比如使用网络监控系统、防火墙等阻断网络攻击;可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去,避免网络攻击造成网络瘫痪,无法使用。

(5)恢复。

校园网攻击发生后,可以及时采用恢复技术,使网络服务器等系统提供正常的服务,降低校园网网络攻击造成的损害。

(6)反击。

校园网反击可以采用的具体措施包括病毒类攻击、欺骗类攻击、控制类攻击、漏洞类攻击、阻塞类攻击、探测类攻击等,这些攻击手段可以有效地阻止网络攻击行为继续发生,但是反击需要遵循网络安全管理法规等。

篇8

某高校对校园网存在的问题进行调查得出的分析图。其中涉及到的很多问题都可能是由校园网的安全隐患所引起的,例如:网络攻击、无法认证等。一些看似无关的问题也不能排除安全隐患的影响因素在里面,例如:很多“黑客”就经常制造一些“病毒”影响系统的正常运行,导致系统运行速度变慢甚至断线。

(一)用户数量大而密集目前,校园网的使用者大多数是来自高校的学生,这就导致了高校的校园网用户群体庞大而且分布相对密集,容易引高校计算机网络安全管理工作初探文/王红云发内外两方面的安全隐患。一方面,由于校园网与因特网相连接,运行速度快、使用规模大,在使用因特网服务的时候,很容易面临一些“黑客”的群体攻击;另一方面,校园网用户由于多数以大学生为主,对新鲜事物以及网络新技术比较好奇,敢于尝试,成为网络上最活跃的用户,正是这一特点很容易对网络产生一定的影响和破坏,而且其自身也很有可能成为一些“病毒”的攻击目标。

(二)网络环境架构问题校园网的主要服务对象就是教学与科研应用。在这些应用中,相对安全管理意识不强,管理制度也比较宽松,从而导致存在很多的安全管理漏洞。并且,目前大多使用的操作系统普遍存在着一些安全漏洞,这无疑为网络安全造成了不小的威胁。例如:WindowsNT/2000是一种常用且易于操作的,这反而失去成为最不安全的网络系统。

(三)校园网系统管理过程中存在的问题由于高校的计算机管理系统不可能在同一时间内将所有的计算机等设备全部统一购买,加上对设备的后期管理工作也是异常复杂,所以,很难将制定的安全政策在所有的端系统统一实施。进而使得网络的维护与管理工作难度增大,这对于原本就人员不足网络管理部门更是雪上加霜。安全隐患的存在也就不可避免了。

(四)缺乏完善的网络使用以及管理制度相对宽松的管理模式,导致校园网的管理者在制定相应的管理制度以及监督办法时过于随意,从而很难有效的进行网络用户行为的监督管理工作。

高校网络安全管理工作改革

未来的信息技术发展将成为广大高校的核心竞争力之一,势必以科研以及教学等工作的核心支持呈现。因此,对于确保高校的网络安全、可靠、顺畅是网络安全管理工作的重点。

(一)端点设备的接入目前,广大高校已经基本实现了入网用户的身份认证管理系统的建立。但是,却无法判断出系统用户的计算机是否处于安全状态,从而也就很难对其网络行为进行管理。端点设备安全接入能够对入网用户的网络行为进行有效的安全控制。其工作原理如下:首先,身份验证,当用户的电脑进入到系统时,系统会对其身份进行安全检测,一旦确认其身份违法,则会禁图1校园网问题分析图止其入网行为,然后,对其的安全状态进行监测,如果存在漏洞则需隔离处理。只有符合要求的方可进入。

(二)确保网络出入口安全目前,防火墙技术主要作用于三到四层的检测与筛查,而对应用层的病毒攻击效果不明显,致使在校园网以及数据中心的输入口经常受到病毒的威胁。因此,需要对其进行有效的安全防御手段。并与防火墙技术相配合,保证校园网的应用安全。

(三)实现校园网透明化对网络的管理以及应用进行优化,必须做到网络的高度透明,并对大规模的流量数据进行分析,利用实时状态信息的收集与整体,对流量的分布详细掌握,从而为各种优化措施以及QoS方案的执行做好准备,确保关键业务的顺利运行。

(四)IP技术的存储整合目前,存储资源主要是依靠服务器和应用,多数都是分散存在的,很难实现资源共享,因此,对存储资源的整合是解决资源和信息孤立的重要环节。利用高校数据中心的深入建设,能够实现资源的存储、整合以及共享。从而为数据和应用系统的整合提供支撑平台。校园数据中心的特点不同于其他行业,是分布式数据中心的建设,这既是高校管理模式的需要,也是实现异地容灾备份的需要。同时,不同区域的数据分布式多物理位置存放可满足校园应用对资料的高速访问的特点需求,即大多数的应用需要对于数据的高速并发访问。那么在多数据中心的建设需求下,基于IP技术将大大降低数据和存储资源的整合难度,并极大地降低了总体拥有成本。安全数据网络是与校园网络物理融合、逻辑分离的安全VPN网络,在充分保证数据安全性的前提下,复用校园的基础网络资源,降低基础建设的投资,同时也解决了存储系统在物理距离方面的限制,最终以低成本实现了效果满意的数据备份、容灾。

篇9

1.安全管理有缺陷

主要是由于网络管理员安全意识淡薄、防盗工作不到位,容易造成信息丢失。例如,管理员在进行信息加密时,除预留原始文件外,还需备份处理,防止文件丢失,但是实际管理员过于信任网络环境,未对数据信息实行备份,导致原始数据丢失后,无法进行二次copy,大量信息不能被及时还原,导致信息处于不安全的环境中,有可能随时遭遇篡改、窃取的威胁。

2.网络的安全漏洞

计算机网络内,由于存在部分安全漏洞,或者部分软件含有设计缺陷,导致其成为恶意攻击和入侵的途径,此类型的安全漏洞,遭遇攻击时,不易察觉。例如:TCP/IP,其在认证方面,存在漏洞,部分攻击者对用户计算机中的TCP/IP实行软件解析,快速分析信息传输路径,发起恶意攻击或拦截,导致计算机拒绝各类服务。

3.网络的外界攻击

外界攻击主要包括:木马植入、黑客攻击以及病毒入侵。病毒与木马是黑客入侵最常用的方式,一般黑客会自行编写程序,攻击用户计算机,有目的地对用户信息进行复制、监视或破坏,当黑客达到一定目的后,会以木马、病毒的方式,致使计算机无法进行正常工作,由于病毒隐蔽性高、破坏能力强,最终导致系统瘫痪,降低安全度。

二、造成这些现状的原因

1.网络安全维护的投入不足

网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入很不充足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍没有比较系统的投入。

2.网络管理员责任心不强

很多学校的网络管理员都具有一定的专业水平,基本可以胜任本职工作,但是可能由于学校领导对网络安全不是很重视,或者因为个人原因,造成工作热情不高、责任心不强,所以也就不会花很多心思去维护网络、维护硬件。

3.盗版资源泛滥

由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。

三、对策措施

校园网受到的安全威胁是不可避免的,但是我们可以采取有效的措施确保网络信息安全。通常情况下,一般采用以下措施来保障校园网的安全性:

1.及时安装漏洞补丁

软件和系统具有漏洞是不可避免的,这是因为设计者和程序员不可能考虑到所有方面。但是,黑客会轻易通过漏洞对计算机信息网络造成严重影响。我们普通用户在使用计算机网络时,应该及时更新系统最新补丁,这样黑客就不会有机可乘。同时,我们也可以通过QQ管家或者360安全卫士等更新软件和下载扫描漏洞。

2.采购配备必要软件

校园网络安全软件主要有:防火墙、杀毒软件、存取控制、身份认证、加密措施、数据的完整性控制和安全协议等内容。但针对中小学校园网特点,以下软件是必须配备的。(1)过滤器和防火墙软件。由于校园网主要面对学生和教职工,因此对一些涉及黄赌毒、暴力、等不良网站必须严加防范,而过滤器软件可以有效屏蔽这些不良网站;防火墙软件主要包含了用户认证、动态的封包过滤、预警模声、应用服务、IP防假冒、网络地址转接等方面内容,可以将校园网与外网十分有效地隔离开来,切实保障校园网络不受未经授权的外部侵入。(2)使用杀毒软件。杀毒软件有个人版和网络版,选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。网络版杀毒软件有如下优点:A.集中式管理、分布式杀毒效率高;B.采用数据库技术、LDAP技术;C.多引擎支持,杀毒速度更快;D.从入口处拦截病毒;E.全面解决方案;F.扩展性比较高;G.可以进行远程安装或分发安装。国内外比较知名的网络版杀毒软件有卡巴斯基、诺顿、江民、瑞星等厂商,根据校园的实际需要,选择合适的厂商。

3.更换管理员账户

管理员账户是计算机用户中拥有最大权限的用户,能够对计算机的所有重要信息做出更改或设置。如果黑客在入侵的过程中获取了管理员账户的密码,那么计算机中所有用户的信息都会受到威胁。为了防止黑客轻易窃取管理员账户,管理员的密码应该复杂,而且要不定期予以更换。

篇10

高校机房的网络安全的防范措施

(1)建立安全防范意识:提高系统管理人员的技术素质和职业道德修养。具体做法为对机房的电脑装上功能强大的杀毒软件和防火墙,及时查毒和备份重要的数据,以免造成不必要的损失。

(2)网络访问控制:进行对网络的控制访问是保障网络安全的一个主要方法,网络访问控制的主要目的是确保网络资源不被非法使用和访问,它是保证网络安全最重要的范畴之一。

(3)数据库的备份与恢复:数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。在我们平时所用到的备份方法中,一般采用的有三种方法:只备份数据库、备份数据库和事务日志、增量备份。

(4)应用密码访问技术:在高校的计算机机房中可能前来使用网络的人员比较杂,甚至有可能存在很多非该校的老师或者学生,为了防止一些非法人员在高校计算机机房中进行恶意操作,植入病毒进行攻击等有违网络安全管理的操作的行为。因此,在用户进入系统之前一定要使用合法的身份登入系统,而对网络安全至关重要的文件和资源进行访问和操作时也一定要做好密码访问技术。

(5)杜绝传播途径:对可能被病毒感染的硬盘和计算机进行彻底杀毒处理以清除安全隐患,不要使用可疑的U盘和程序,也不要访问一些非法网站,防止计算机被植入病毒。

篇11

中图分类号:TN925 文献标识码:A 文章编号:1672-3791(2014)05(a)-0029-01

近年来,随着无线通信技术的飞速发展,以及各种智能终端、笔记本电脑的普及,无线网络已经成为人们学习、工作的主要工具。高校校园网建设也从校园有线网络逐步发展成为校园无线网络。校园无线网络成为高校信息化的重要基础,广大校园师生可以在校园内任意地点通过无线接入校园网络,共享数字化校园资源。高校无线网络提高了管理效率,丰富了教学手段,在高校管理、教学和科研等方面发挥了重要的作用。

然而,在享受高校无线网络给高校带来的种种便利的同时,无线网络的安全问题也随之而来。一旦校园无线网络由于安全问题导致中断服务,将会给学校管理带来重大的损失。因此,必须重视校园无线网络安全问题,提出相关对策,确保校园无线网络稳定运行。

1 高校无线网路安全问题

1.1 手机病毒的攻击

计算机病毒的攻击是影响高校无线网络安全的重大因素之一。目前,接入高校无线网络的终端包括学生、教职工等个人电脑、智能手机以及各种移动终端。移动存储设备,如U盘、移动硬盘、数据卡在上述终端广泛使用,增加了病毒传播的途径和病毒感染的概率。一旦高校无线网络遭到病毒的入侵,轻则文件损坏、数据丢失,重则网络运行瘫痪,严重干扰高校教学、管理和科研的正常进行。

1.2 黑客恶意攻击

由于校园无线网络允许任何人、任何设备的接入,这种接入方式增加了被黑客恶意攻击的可能。黑客可以通过无线接入网络,攻击校园网络服务器。或者通过木马等恶意软件,在校园网络内部盗取个人帐号、密码等信息。特别是目前在线支付的广泛流行,一旦被盗取关键信息,会为广大校园师生带来重大的经济损失。

1.3 用户安全意识淡薄

校园无线网络的使用者主要以学生和教师为主。大多数教师对计算机、手机系统并不精通,安全意识淡薄,个人终端没有设置登录密码或设置的过于简单。这样的终端容易被入侵,严重时会形成数据丢失,进而威胁整个校园无线网的安全。

高校学生不仅具备较强的好奇心,而且他们还有比较专业的知识。他们有时会对校园无线网络造成有意无意的攻击。部分学生访问非法网站、下载视频文件,不仅容易遭到木马病毒的攻击,而且会造成网络带宽被大量占据,运行速度缓慢,影响高校管理、教学的正常进行。

2 高校无线网络安全对策

针对上述提出的高校无线网络存在的安全问题,我们应当一方面采用先进的管理技术,不断提高网络管理水平和技术水平来解决、避免安全问题的发生;另一方面,要加大无线网络安全宣传力度,提高广大师生无线网络安全意识,从而提高无线网络的安全性。具体提出几点策略:

2.1 安装杀毒软件

防止病毒攻击的最好办法就是安装杀毒软件。目前流行的杀毒软件不仅可以查杀计算机病毒,而且可以有效的阻止外部病毒的攻击。高校无线网络可以在网络中心配置一个专用的杀毒软件服务器,该服务器定期、自动的下载最新病毒库进行杀毒软件升级。该杀毒软件服务器向所有接入网络的终端提供杀毒软件的客户端,用于病毒查杀,最大限度的杜绝病毒对无线网络的攻击。

2.2 安装防火墙

校园无线网络应充分利用防火墙技术,将无线网络核心服务器和资源纳入防火墙防护的范围内,有效的隔离来自网络内部和外部的病毒、不良信息等。房后墙可以有效防止无线网络中的恶意攻击,还可以自行关闭一些非法端口,对不良信息进行预防。

2.3 增强广大师生网络安全意识

高校应该加强广大师生的校园网络安全意识,开展相关方面的学习和讲座,请专业认识介绍无线网络安全新技术以及个人防护措施,使大家都认识到网络安全问题的重要性,提高每一个使用网络人员的安全意识。用户要合理配置接入终端、不随意登录不安全的网站、设置并保存好个人账号密码,定期更新等,不让威胁无线网络安全的因素有机可乘。

2.4 加大资金、人员投入力度,创建信息安全机制

高校应该有计划、有步骤的投入资金,建设高校无线网络安全机制。由专人负责维护和管理高校无线网络,将高校网络信息安全教育纳入到日常教学当中。同时,对于关键信息和数据,应该进行及时的备份和加密,从而防止网络攻击造成数据丢失,造成不必要的损失和风险。

3 结论

高校无线网络安全的防范是一项系统且复杂的工作。因为,高校网络安全是整体的、动态的,因此为了进一步保障高校无线网络的安全,不仅要制定有效的策略,还需要建立完善的网络安全管理制度,培养专门的网络安全管理人才。当然还需要广大师生的全力配合,才能实现高校网络能够平稳、安全、可靠地运行。

参考文献

[1] 高永强,郭世泽,等.网络安全技术与应用大典[M].人民邮电出版社,2003.

[2] 宋佳丽,马少华.校园网络安全评估主要技术问题[M].网络安全技术与应用,2008,10.

篇12

 

数字化校园是在校园网的基础之上,以计算机网络和信息数字化技术为依托,利用先进的信息手段和工具,来支撑学校的教学和管理信息流,实现了教育、教学、科研、管理、技术服务等校园信息的收集、处理、整合、存储、传输、应用等方面的全部数字化,使教学资源得到充分优化利用的一种虚拟教育环境。

一、高校数字化校园网的安全隐患分析

高校校园网的应用以及服务主要是面向学生,学生经常玩游戏、下电影、浏览未知以及可能存在安全隐患的网站、接收陌生人的电子邮件、用聊天软件时随意接受陌生人传送的文件,这些安全隐患都有可能导致校园网病毒泛滥;观看网上直播,严重影响网络速度,甚至阻塞网络运行;同时高校的学生人数较多,学生对网络安全的认识也参差不齐:很多学生认为网络中的安全威胁就是计算机病毒。所以,整个校园网中的大部分用户,对网络中存在的安全威胁还是没有一个清晰、系统的认识。

经过调查、分析、研究,高校校园网存在以下安全隐患:

1.校园网直接与因特网相连,所以会遭受黑客以及网络安全缺陷方面的攻击;

2.校园网内部安全隐患;

3.用户接入点数量大,使用率高,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;

4.缺乏统一管理;

5.网络中心负荷量大:绝大部分网络管理功能都是由网络中心来完成的,包括校园网络的建设维护、网络使用的政策制定以及相关费用的收取;

总之,实施一个科学、合理的安全机制数字化校园网,对校园网的正常运行起着至关重要的作用。

二、数字化校园网安全机制的实施

为了有效地解决校园网将会遇到的种种网络安全问题,需要在网络中的各个环节都采取必要的安全防范措施,通过多种安全防范技术和措施的综合运用,从而来保证校园网能够高性能、高安全性的正常运行。

1、防火墙的实施

防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。

防火墙是一种保护内部网络操作环境的特殊网络互联设备;同时防火墙也是设置在不同网络或网络安全域之间的一系列部件的组合。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。论文格式,安全实施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。

可根据具体的校园网实际环境,在防火墙上设置如下安全策略:

1)解决内外网络边界安全,防止外部攻击,保护内部网络(禁止外部网络访问内部网络);2)根据IP地址、协议类型、端口等进行数据包过滤;3)内外网络采用两套IP地址,实现双向地址转换功能;4)支持安全服务器网络(DMZ区),允许内外网络访问DMZ区,但禁止DMZ区访问内部网络;5)通过IP与MAC地址绑定防止IP盗用,避免乱用网络资源;6)防止IP欺骗;7)防DDoS攻击;8)开启黑白名单功能,实现URL过滤,过滤不健康网站;9)提供应用服务,隔离内外网络;10)具有自身保护能力,可防范对防火墙的常见攻击;11)启动入侵检测及告警功能;12)学生访问不良信息网站后的日志记录,做到有据可查;13)多种应用协议的支持,等等。

2、网闸的实施

安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。论文格式,安全实施。

可根据具体的校园网实际环境,在网闸上设置如下安全策略:

1)阻断内外网络的物理连接,防止外部攻击,保护内部网络;2)剥离内外网络传输的TCP/IP以及应用层协议,避免因为TCP/IP以及应用层协议造成的漏洞; 3)内外网络采用一套IP地址,实现指定协议通讯功能; 4)允许内网访问外网特定服务、应用(HTTP,FTP,FILE,DB等);5)允许外网指定机器访问内网特定应用(FILE,DB等);6)防止IP欺骗; 7)防DDoS攻击;8)具有自身保护能力,可防范常见DoS、DDoS攻击; 9)多种应用协议的支持,等等。

3、 防病毒的实施

计算机病毒对计算机网络的影响是灾难性的。计算机病毒的传播方式已经由在单机之间传播转向到各个网络系统之间的传播,一旦病毒侵入到某一局域网并发作,那么造成的危害是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。只有将病毒拒绝于内部网之外,或者及时查杀内部网的病毒,以此防范病毒在网络内泛滥传播,才能保证数据的真正安全。论文格式,安全实施。

我们结合计算机网络、计算机病毒的特征,给出以下防范防治策略:

1)阻止外网的病毒入侵(这是病毒入侵最常见的方式,因此在两个或多个网络边界之间,在网关处进行病毒拦截是效率最高,耗费资源最少的措施,但只能阻挡来自外部病毒的入侵);2)阻止网络邮件/群件系统传播病毒(在邮件系统上部署防病毒体系);3)设置文件服务器防病毒保护;4)最终用户:病毒绝大部分是潜伏在计算机网络的客户端机器上,因此在网络内对所有的客户机也要进行防毒控制;5)内容保护:为了能够在第一时间主动的阻止新型病毒的入侵,在防病毒系统中对附加内容进行过滤和保护是非常必要的;6)集中管理:通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护,这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。

4、学生宿舍区域802.1x认证

考虑到认证效率、接入安全、管理特性等多方面的因素,对于学生宿舍区域的用户接入建议采用已经标准化的802.1x认证方式:

1)网络环境复杂,接入用户数量巨大:建议采用分布式的用户认证方式,把认证分散到楼栋汇聚交换机上去完成,如果发生故障,不至于会影响到整个网络的所有用户;2)网络流量大,认证用户数量大:所采用的认证方式要具有很高的效率,以保证用户能及时通过认证,在网络流量大,认证用户数多时不会对设备的性能产生影响,以保证整个网络高效、稳定的运行;3)某些用户技术层次高,存在对网络安全造成影响的可能:难免存在某些用户因好奇使用一些黑客软件或病毒软件而造成对网络的影响,因此所采用的认证方式要能够有比较高的安全性,能防止如DHCP的恶意攻击等安全功能。

5、数据存储方案的实施

数字化校园是计算机技术的一个新兴应用领域,涉及的内容非常广泛,包括资料数字化、海量存储及数据管理、全方位查询检索、多渠道等技术,提供包括电子图书、视频、音频及其他多种形式的媒体资料等等。在数字化校园环境下,各种数字信息的增长非常迅猛,同时,数字信息存储的容量需求越来越大。

因此,设计一种高容量、可扩充的存储技术方案也是校园网络安全的重点。可以容纳、甚至可以无限制地容纳更多信息的“海量”存储技术:如NAS存储、SAN存储等应用支撑平台解决方案,在系统结构上满足用户未来的应用需求,同时合理使用用户投资,建立满足用户现有需求的系统,并且易于扩展的系统,来帮助用户解决在数据存储和应用需求方面所面临的挑战。

三、总结

随着Internet技术突飞猛进的发展,网络的应用范围和领域迅速扩大,新的网络技术、安全技术不断推陈出新,黑客技术也逐渐多元化,导致安全问题日益突出。在计算机网络里,安全防范体系的建立不是一劳永逸的,没有绝对的安全,我们只能不断的采用新的网络技术,以及新的安全设备与技术,这样才有可能将网络中威胁降到最低限度。论文格式,安全实施。

防火墙、网闸、病毒防范是信息安全领域的主流技术,这些网络安全技术为整个网络安全的建设起到至关重要的作用,任何一个网络或者用户都不能够忽视。论文格式,安全实施。到目前为止,尽管相关研究人员已经在理论和实践方面都作了大量的工作,而影响校园网的安全因素在不断地变化,黑客与病毒的攻击方式在不断地更新。论文格式,安全实施。要确保网络的安全就只有根据实际情况,在安全技术上采用最新的技术成果,及时调整安全策略,有效整合现有安全资源,并且不断引入新的安全机制,才能保证网络安全防范体系的良性发展,确保数字化校园网的有效性和先进性。

参考文献:

[1]焦中明.高校数字化校园建设的几个问题.赣南师范学院学报

[2]徐立.我国高校校园网建设的研究.中南大学硕士论文

[3]沈培华.数字校园的五个层次.计算机世界

[4]赵思辉.数字化校园基础平台体系架构.福建电脑

[5]宋金玲.数字校园的相关技术及方法研究.中国矿业大学

[6]曾力炜,徐鹰.关于数字化校园建设的研究.计算机与现代化

[7]占素环.校园网网络安全技术及解决方案.农机化研究

友情链接