网络安全小论文范文
时间:2023-03-30 11:42:27
引言:寻求写作上的突破?我们特意为您精选了12篇网络安全小论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
篇1
国际标准化组织(ISO)将网络安全[2]定义为:为数据处理系统建立相应的安全保护措施,保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露,从而保证了网络服务不中断,使得系统可靠安全地运行.上述网络安全的定义包含两方面内容:物理安全和逻辑安全.其中物理安全是指在构建网络系统的时候,保证物理线路能够防雷、放火、防水、防盗等,能够保证物理线路连续的进行数据传输.而逻辑安全通常指的是传输在网络上数据的信息安全,即对网络上传输信息的保密性、可用性和完整性的保护.另一方面,网络安全性的涵义也可以理解成是信息安全的一种引申,即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护.概括的说,可以将网络安全定义为:为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施,从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性.
1.2网络安全基本特征
网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征.保密性:信息未经授权不泄露给任何用户,而且信息的特性也具有保密性,其它非授权用户、实体或过程无法利用其特征.可用性:用户经过授权后可按需使用,即授权用户当需要该信息时能否正常存取.网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等.可控性:对网络中传播的信息及其内容具有控制能力.可审查性:当网络中出现安全问题时可提供相应的依据与手段,便于追踪攻击源.完整性:用户未经授权不能随意改变数据的特性,即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性,保证了信息的完整性.
2校园网建设概述及其安全威胁
随着互联网的快速普及,校园网建设已经成为学校的基础建设之一,教育信息化、数字化已经成为教育发展的主方向,校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一,并发挥着越来越重要的作用[3].另一方面,随着国家科教兴国战略的实施,政府加强了对学校的投资,由此也加强了学校对校园网的建设.中国教育和科研计算机网(CER-NET)的成立,标志着教育网的形成.CERNET主干网络传输速率已达到2.5Gpbs,总容量达40Gpbs,它吸引超过1000所高校的鼎力加盟,覆盖全国超过200个城市.目前,大部分学校都已建成校园网,实现了校园网的整体覆盖,包括办公楼、教学楼、宿舍楼等.校园网同时与Internet对接,实现了校园办公教学的信息化、自动化.如图1所示,为一个简单的校园网组网模型.随着CERNET的建设不断提高,校园网已经成为互联网的重要组成部分之一,是学校信息化、数字化建设的基础设施,同时担任着科研与教学的重要任务.然而,目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足,这些都极大阻碍了校园网的发展.因此合理地对校园网络升级,是目前学校校园网工程的首要目标之一[4].同时,校园网作为学校数字化、信息化的基础设施,安全问题不容忽视.在互联网开放程度很高的今天,校园网往往最容易成为黑客攻击的目标.威胁校园网安全的因素有很多,但主要的安全威胁有以下几类.
2.1TCP/IP协议漏洞造成的威胁
现在互联网上使用最多的协议就是TCP/IP协议了,这几乎是所有校园网采用的网络传输协议.TCP/IP协议在设计之初,就没有考虑安全问题,它只考虑如何把信息互相传输,因此存在很大的安全威胁.虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全,但是由于TCP/IP协议的开放性和通用性几乎占用了整个市场,使得OSI七层协议无法推广.所以,目前网络黑客针对TCP/IP漏洞攻击有很多,例如:数据窃听、源地址欺骗、ARP欺骗等等.
(1)数据窃听(PacketSniff).TCP/IP协议从设计之初,就采取的是数据包明码传输,这种传输模式使得数据包很容易被窃听、修改和伪造.黑客可以利用一系列工具获取网络中正在传输的数据包,窃取用户有利用价值的信息,如用户账户和密码等信息.同时,黑客也能修改和伪造数据包,让用户误入钓鱼网站或者窃取网上银行信息,给用户造成直接经济损失.特别是在校园网中,数据包流通比较集中,一旦获取了校园网服务器或管理员账号信息,将会给校园网络造成重大损失.
(2)源地址欺骗(SourceAddressSpoofing).在网络安全中,一个比较重要的安全问题就是源地址欺骗.这里的源地址,能够是IP地址,也能是MAC地址.但是MAC地址随着路由转发,信息会发生变化,而且在实际的网络系统中,也有一定的限制,改造欺骗难度比较大,所以一般的源地址欺骗是指IP地址伪造欺骗.攻击者通常伪造被攻击的主机IP地址,骗取防火墙信任,从而对校园网内部发起攻击.
(3)源路由选择欺骗(SourceRoutingSpoo-fing).在一个完整的IP数据包中,通常只包含源地址和目的地址,即路由器可以知道数据包从哪个主机发送出来,将要到达哪个主机.源路由是指数据包将会列出所要经过的路由,路由器将会根据这些指定的路由将数据包送达相应的主机,然后根据其反向路由进行应答,从而实现主机之间的通信.而源路由选择欺骗,则是攻击者通过伪造主机源路由,让数据包经过该主机必经路由,使受攻击主机出现错误判断,将某些被保护的数据提供给了攻击者.另一方面,由于路由器一般对接收到的路由信息是不经过检验的,这样就给攻击者提供便利,攻击者可以发送虚假数据包,改变某些重要数据包的传递路径,使得数据在传递到正常主机前,即可抓取分析,从而也达到攻击的目的.
(4)鉴别攻击(AuthenticationAttacks).由于TCP/IP协议还无法证明网络身份的真实有效性,因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息,从而达到攻击目的.
(5)ARP欺骗(AddressResolutionProtocolSpoofing).ARP即地址解析协议,作用是将网络中的IP地址转换成MAC物理地址的协议.因为在局域网中,尤其是在校园网中,使用最多的往往是MAC地址进行传输,而不是IP地址进行传输,所以ARP协议能够很快的让局域网中的两台主机进行通信.而黑客只需在局域网中进行网络监听,获取到一台主机A的节点信息(IP地址和MAC地址),就能伪造A的数据包,与B进行通信,获取有用信息.另一方面,黑客可以伪造一个不存在的MAC地址在局域网内传播,形成广播风暴,这样会造成网络不通,给局域网造成致命打击.
(6)DoS攻击(DenialofService).DoS攻击,即拒绝服务攻击,攻击者的目的是让目标主机或网络无法提供正常服务.因为TCP协议采用三次握手建立一次连接,而任何一次握手失败,则会重新发送.攻击者正是利用这一个协议漏洞,采取不断建立连接,然后丢弃该连接数据包,使得服务器处于等待状态,如果攻击者一直持续连接和丢弃的过程,则服务器和网络所有的资源会被完全消耗,导致计算机或网络无法正常工作,从而达到攻击目的.
(7)DDoS攻击(DistributedDenialofServ-ice).DDoS攻击,即分布式拒绝服务攻击,它是指攻击者借助一系列工具或手段,联合多个计算机组成攻击平台,对一个或数个目标发动DoS攻击.最基本的DoS是利用合法的服务请求,占用攻击目标主机大量服务资源,使得正常用户无法访问.然而DoS服务需要占用大量带宽,单个计算机攻击肯定无法达到攻击者想要的目标.因此网络黑客会抓取网络“肉鸡”,集合大量网络带宽,组成庞大的攻击平台,可以在瞬间让被攻击目标处于瘫痪状态.
(8)TCP序列号欺骗和攻击(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以伪造TCP序列号,形成一个TCP封包,对网络中可信节点进行攻击.而且最重要的是,黑客可能利用伪造的TCP封包发动SYN攻击,让服务器无法完成三次握手,造成服务器开放大量等待端口,影响正常网络访问,严重时,可直接造成服务器死机,如果该服务器是WEB服务器或者DNS服务器,那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络.
(9)ICMP攻击(InternetControlMessageProtocolAttacks).ICMP协议是Internet控制报文协议,它属于TCP/IP协议下的一个子协议,用于在IP主机和路由器之间传递控制消息.其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息,它对数据传输有很重要的作用.而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定,发动“PingofDeath”攻击,当主机ICMP数据包尺寸超过64KB时,主机会发生内存分配错误,导致TCP/IP堆栈崩溃,使得目标主机死机.虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞,但是向目标主机发动持续、大规模的ICMP攻击,会消耗主机CPU、内存等资源,严重时也会导致目标主机瘫痪,无法提供正常服务.
2.2漏洞威胁
软件和操作系统是由程序员编写的,而在开发的过程中,多多少少会存在各种各样的漏洞问题,这些漏洞如果不能及时修复,将会对主机造成重大安全威胁.一旦该主机被攻破,同时也会给该主机处在的局域网中的其它机器造成威胁,情况严重时,甚至会造成整个网络瘫痪.近几年来,无论是Windows操作系统,还是Linux操作系统,的补丁数目一直持续增加.特别是Windows操作系统,在校园网内拥有的用户众多,如果没能及时修复各种漏洞,势必会影响整个校园网安全.
2.3病毒、木马威胁
近些年来,随着互联网的普及,网络上各种各样的开源软件繁多,有些开源软件打着免费的旗号,暗留后门或者对操作系统植入木马,稍不注意,就会对整个系统造成重大影响.同时,网络上黑客也会主动攻击,种植木马,抓取网络肉鸡,作为自己攻击的跳板,对互联网上其它的计算机造成严重威胁.
2.4初级黑客攻击
校园网因为自身局限性,其网络管理水平无法与企业相比,因此很容易受到网络上初级黑客的攻击,作为他们试手的目标.另外一方面,互联网出现的一系列黑客教程、黑客工具,这些教程和工具可以自由查阅和下载,加上很多黑客工具属于使用简单,这让许多初级黑客也能在一段时间内对网络造成严重的攻击.且根据心理学研究分析,很多普通攻击者往往有炫耀心理,即把校园网作为自己攻击的目标,以获取所谓的成功感,这让校园网增加更多的威胁.
3目前校园网网络建设中存在的主要安全问题
目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题.
3.1人为因素导致的网络安全问题
3.1.1校园网用户数量庞大
校园网内用户量众多且处在同一个局域网中,同时,校园网内服务器数量也是别的局域网不能比拟的.用户量加上数目可观、功能强大的服务器,这些条件也吸引着互联网上众多黑客的攻击,因此存在着很大的安全隐患.
3.1.2校园网用户安全意识低
根据调查研究发现,校园网的用户大部分都安全意识不强,用户计算机整体水平偏低,有一部分校园网用户基本上不安装杀毒软件,也没能及时给系统打补丁,系统处于“裸奔”状态.这对于当今如此开放的互联网,将直接为黑客提供攻击目标.而且校园网用户极少学习相应的安全防范知识,在下载和使用软件时,基本上不考虑其风险性,这些都将会给黑客制造攻击机会,影响整个校园网安全[5].
3.1.3信息泄密
信息泄密是指将信息透漏给非授权用户,它在一定程度上破坏了计算机系统的保密性.目前,常见的信息泄密有:操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序.
3.1.4拒绝服务攻击(DoS)
攻击者使用一切办法让被攻击计算机停止提供服务,让合法的信息或资源访问被拒绝或者严重推迟.常见的DoS攻击有:SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等.
3.1.5完整性破坏
攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性,使得信息乱码.
3.1.6网络滥用
由于授权的用户因操作或行为不当,导致网络滥用,从而导致网络安全威胁,例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等.
3.2非人为因素导致的网络安全问题
网络安全除去人为因素外,很大一部分安全威胁来自安全工具和操作系统自身的局限性.其具体特征为:每一种安全工具(如:杀毒软件)都有其自身的应用范围和环境,同时安全工具受到人为因素、系统漏洞、程序BUG的影响,这些因素反而给攻击者带来了一定的便利.对于操作系统而言,没有绝对安全的操作系统,无论是微软的Windows系列操作系统,还是开源的Linux操作系统,都有存在后门或漏洞的可能.世界上没有绝对安全的操作系统,因此在搭建校园网时,要选择安全性尽可能高的操作系统,而且要随时提供校园网用户漏洞补丁下载,以及杀毒软件,保证用户系统安全性始终最高.由上所述,我们可以说网络安全问题绝大部分是由人为因素引起的.现在,国家也制定了相应的法律来保护网络安全,打击相应的网络犯罪活动.但是校园网作为一个庞大的用户群,如何防范这些网络犯罪活动显得尤为重要.我们不能等着整个网络被攻击导致瘫痪后再想着去防范,而是要在攻击之前做好准备工作,让校园网在安全中运行.
4加强校园网网络安全建设的对策和建议
加强校园网网络安全建设主要从以下几个方面来进行.
4.1应重视校园网网络的安全搭建
在校园网工程的建设中,网络系统的搭建是属于弱电工程,它的耐压值比较低.由此,在校园网工程的设计和建设中,一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题;考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离;考虑网络中物理电路的接地安全;考虑建设合理的防雷系统,保证建筑物、计算机以及其它物理设备的防雷[6].
4.2应加强校园网网络的安全维护技术
从技术层面来说,网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成,单独的一个组件是无法保证当前网络信息安全的.最早的网络安全技术是采用边界阈值控制法,即通过对网络边界的数据包进行监测,符合规定的数据包可通过,不符合规定的数据包就抛弃,这种方式在一定程度上能阻止对网络的入侵和攻击,但是不能有效防止网络攻击.目前,应用比较广泛的网络安全基本技术有:防火墙技术、防病毒技术、数据加密技术等.防火墙[7]指的是一个由硬件和软件混合组成的设备,用于将内部网络和外部网络隔离起来,建立一层安全保护屏障,它是一种隔离控制技术.常见的防火墙有包过滤技术、技术、状态监测技术等.相对于防火墙来说,防病毒技术将是从计算机网络内部进行防控,主要预防病毒程序、后门程序、网络监听等.目前采取比较多的防病毒手段是对系统进行监听,阻止不合规定进程.而且防病毒技术永远是滞后性的,即防病毒工具一直在病毒出现后才能组织.现在的防病毒技术和云平台技术结合,已经对病毒起到了一定的控制作用.相对前面两种技术来说,数据加密技术就比较灵活了.可以将用户的信息经过加密后,再在网络上传输,及时数据被黑客截获,没有有效的密钥,数据对黑客来说也只是一堆无效数据而已.在开放的互联网平台,数据加密能够有效的保证了用户的隐私以及数据的安全[8].
4.3应建立科学的校园网网络管理人员岗位职责
计算机网络安全绝大部分是人为因素引起的.因此在校园网搭建过程中,关于对计算机系统管理员的培训及管理,是校园网网络安全中最重要的一部分.一个不合理的操作,很有可能让整个网络系统瘫痪,因此必须建立健全管理规范,明确管理员责任和权利.同时,要记录管理员操作信息,当发现不合规定的记录时,可以及时分析,如果发现黑客入侵,则及时采取必要措施杜绝黑客进一步入侵,必要时需向当地公安机关报案,减少学校损失.另外一方面,建立健全的管理制度以及严格的管理模式,可以保证校园网的正常、安全运行.总而言之,网络安全涉及的领域很多,是一个综合性的问题.只有合理的运用相关技术以及人员培训,才能尽最大可能的把安全威胁降到最低.
篇2
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
篇3
随着电脑的普及,计算机技术已并没有向早年想象的那么遥远。几乎每个人都知道一些最基本的电脑维护的知识,对于生活在高校的学生们就更不用说了。几乎每所高校都有其自身的网络体系,无论是无线网络还是有线网络。有了网络的帮助后老师可以提高课堂内容的丰富度,不必拘匿与灌输死板的概念内容,而是灵活的动态模式,这样才能更好的激发学生的学习兴趣。在大家看来每所高校所关心的安全领域问题是大致相同的,无论是在哪方面,无疑就是网络是否畅通,上网是否安全,网络是否可以抵御黑客攻击,上网是我们的账号是否存在风险等问题。
1.2校园网络架构分析
学校校园网跟随着信息化建设的步伐,已经逐步走上正轨。许多高校都配备了无线、有线网络,使学生和老师的生活和教学就更加方便,XX学校网络的拓扑图(图1)。根据图片可知XX学校将Internet汇总通过防火墙,总的路由器分配至每个教学楼路由器,再由交换机分到各个房间,这样每个房间就能有其自己的端口号。这样如果遇到电路、网络中断的话就可以就可以根据端口直接检查出问题所在的地方以及进行及时的修理,例如在一个教学楼的房间,网路连接不上,我们可以通过以下步骤来找到问题所在,首先用测线器来测试下网线是否正常,若不正常首先判断是交叉线还是直通线,换一根网线继续使用;若网线正常在看下网线插口里的芯片是否有接触,可以用小的钳子给它摆正再插上网线试下;若还是不行将模块拆下检查下铜导线与模块是否是接触不良同时可以将铜导线头接触处剥下一点讲他们捏在一起,在交换机上观察是否通,通的话将铜导线重新装回至模块内,正常使用。我们可以从图中得知,这样的架构可以帮助我们尽快查到问题的出处,防止更加难以控制的局面的发生。
1.3校园网络面临的威胁
学校网络大多都使用TCP/IP协议,而该协议的网络所提供的网络服务都包含许多不安全的因素,存在许多漏洞。同时网络的普及是信息共享达到了一个新的层次,信息被暴露的机会大大增加,特别是internet,他就是一个开放大系统。另外,数据处理的可访问性和资源共享的目的性之间的一对矛盾,这些都给校园网络带来了威胁。计算机网络所面临的威胁大体可分为两种:一是,对网络中信息的威胁,即所谓的软威胁;二是,对网络中设备的威胁,即所谓的硬威胁。影响计算机网络的安全因素很多,有意的、无意的、人为的、自然的以及外来黑客对网络系统资源的非法使用等,归结起来,针对网络安全的威胁主要有以下几种:第一,入侵者:入侵者包括黑客、破坏者和其他从外部试图非法访问内部网络的网络用户。这些访问者或者有特定的目的,或者只是基于兴趣和好奇心,都会对校网信息形成威肋。并且,由于互联网的广泛应用,更多的黑客工具和破坏程序被共享,许多青少年对此兴趣极高,形成了一大批潜在的攻击者。第二,病毒和有害代码:便利的网络环境使病毒成为网络信息安全的另一个重要威胁,病毒不仅破坏程序和数据,还会严重影响网络效率,甚至破坏设备;特洛伊木马为入侵者所利用进行网络攻击和刺探,操作系统或应用软件的后门也被开发者利用进行攻击和破坏。目前病毒与黑客技术的结合,使得病毒的危害更进一层,不仅仅针对计算机,同时也针对网络,近几年的一次利用SQLServer漏洞的“蠕虫王”病毒就几乎使得全国计算机网络瘫痪。第三,内部教职员工与学生:其实更为重要的安全威胁来自网络内部,由于误操作、好奇或泄愤,内部教职员工和学生会对校园网中关键信息安全和完整性构成威胁。尤其是学生,极强烈的好奇心和争胜欲望,为了炫耀或者学习实践,对网络有比较大的攻击性。第四,系统和应用的安全漏洞:网络设备、操作系统和应用软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。除此之外,软件和硬件的配置/设置不当同样会造成相当严重的安全问题。第五,用户安全意识:用户对信息安全认识不足,对安全的简单理解和关注不足,对安全设备的利用和投入不足、不及时,都会构成校网信息安全缺陷。第六,其他安全威胁:包括自然灾害、物理设备故障以及其他破坏网络基础设施和数据的意外事故。
2校园网络信息安全策略
2.1信息安全含义及策略概述信息安全是指采取措施保护信息网络的硬件、软件及其系统中的数据,使之不因偶然的或者恶意的原因而遭受破坏、更改、泄露,保证信息系统能够连续、可靠、正常地运行。信息安全是一门涉及网络技术、数据库技术、密码技术、信息安全技术、通信技术、应用数学、信息论等多种学科的综合性学科。信息安全本身包括的范围很广,大到国家军事政治等机密安全,小到防范青少年对不良信息的浏览以及个人信息的泄露等。而信息安全策略是一个有效的信息安全项目的基础。信息安全策略可以划分为两个部分,问题策略和功能策略。问题策略描述了一个组织所关心的安全领域和对这些领域内安全问题的基本态度。功能策略描述如何解决所关心的问题,包括制定具体的硬件和软件配置规格说明、使用策略以及雇员行为策略。从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显。例如,没有安全策略,系统管理员将不能安全的安装防火墙。策略规定了所允许的访问控制、协议以及怎样记录与安全有关的事件。策略的制定需要达成下述目标:减少风险,遵从法律和规则,确保组织运作的连续性、信息完整性和机密性。信息安全策略应主要依靠组织所处理和使用的信息特性推动制定。同时应当重视对信息系统了解深刻的员工所提出的组织当前信息的主要特性,具体包括:什么信息是敏感的、什么信息是有价值的以及什么信息是关键的。在制定一整套信息安全策略时,应当参考一份近期的风险评估,以便清楚了解组织当前的信息安全需所要面临的风险管理。对曾出现的安全事件的总结,也是一份有价值的资料。信息安全策略应当与已有的信息系统结构相一致,并对其完全支持。这一点不是针对信息安全体系结构,而是针对信息系统体系结构。信息安全策略一般在信息系统体系结构确立以后制定,以保障信息安全体系实施、运行。例如,互联网访问控制策略可使安全体系结构具体化,也有利于选择和实施恰当的防火墙产品。关于风险评估,我们可以根据每一项任务来进行一个风险评估具体流程(如图2),做好一个风险评估能很大程度上的提高信息安全度,也便于今后的管理。
2.2防范校园网络安全措施
在校园网络日渐普及的今天,关于如何应对和防范校园网络安全这一块也存在着许多不足和漏洞,所以各个学校都要从各个方面来保障校园网路的安全运行。首先是管理层面,通过申请在校园网络中各种功能的开通和使用,来实现从源头抓问题,学校也应该制定出明确的计划与流程,使得一些行为可以按照流程一步步完成,这样就能更加安全了。以学生宽带申请为例,学校规定从学校网站上统一下载,统一领导签字,统一分发,统一管理。这种模式能提高管理和工作的效率,正是因为这样的管理和工作模式,让学校的工作井井有条的开展。通过对申请信息的填写,当遇到网络安全威胁时,可以通过信息查询到有问题的主机,然后及时解决问题,不至于拖延很长时间。再次是技术方面,学校配备有上网认证控制器,可以保证在教学楼范围内上网都是有认证的,每个人的上网记录都是可以查询的,以及还有流量控制器,可以保证基本上网的畅通,VPN认证可以保证在校外访问校内网有迹可循,同时学校还配有负载均衡器以扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力,提高网络的灵活性和可用性。同时这些设备也是信息安全策略中功能策略的反映。
篇4
2模型的可行性分析论证
2.1从技术上进行可行性分析论证
PKI技术植入到VPN技术的校园网安全网络架构模型是把传统的校园网络数据存储服务器安置在一个专门的网络中,从而使得高职校园公共网和专用网,无论是他们的组网方式还是网络构造都跟当前社会上先进的局域网完全一样,另外新模型网络中使用的操作系统、通信协议以及软硬件都没有进行任何改变,跟以前的高职校园网络的所有资源一样,都可以正常使用,所以在改造过程中基本不没有出现任何技术上的问题,这也是高职校园网络数据确保安全的最终目的要求。新模型最主要的部分就是要求构建一个实际上,整个模型的关键技术在于构建基于PKI认证的VPN网关,主要满足以下两个方面的要求:一是,完全符合VPN技术的要求;二是,完全认同PKI的认证技术。而在实际处理过程中,只要采用双重宿主机服务器和通过在过滤路由器上做NAT就能够达到以上要求,网关采用的操作系统既可以是WindowsServer2003也可以是WindowsServer2008,只需要充分将这两个操作系统中提供的VPN服务和内置的PKI功能利用起来,就能够在不使用任何第三方软件的前提下就能够确保该网关达到以上两方面的要求。由此可以看出,当前已有的技术完全能够确保该模型在现实中实现,从而说明在技术方面是没有任何问题的。
2.2从经济上进行可行性分析论证
现有的高职院校的校园网网络拓朴图和根据模型设计的某高职院校的校园网拓朴结构图。通过对这两幅图进行对比分析可以发现稍加改进,其中改进前后的校园网部分没有发生变化,基础上多加了一个服务器专用网络,以及一个带PKI认证的IPSec-VPN网关,因此所需要的费用也就是在跟原先不同之处稍微增加。虽然改进后的模型中多了一个服务器专用网络,但是却并没有新增多一个网络,所以唯一改变的就是在原有的基础上稍微进行改进,从而对这些服务器进行集中管理即可,然后再将这些服务器通过交换机有效的连接起来,进而构成了一个独立的网络,交换机也只需要2000-3000元即可;除此之外就是再需要一个25000元左右的一台双重宿主机服务器,网关采用的操作系统既可以是WindowsServer2003也可以是WindowsServer2008,这些费用在绝大多数高职学校都是可以实现的,因此在经济方面也完全没有问题。
篇5
USB接口加密,在重要部门机器安装屏蔽USB设备或绑定USB存储设备,对于绑定以外的USB设备无法识别。四、实施认证机制通过多层交换机设置配置VLAN的路由接口,使任意两个VLAN相互之间均能进行通信,实现网络资源的共享。随着网络的规模不断扩大升级,网络使用者的管理越来越难,给校园网稳定、高效和安全运行带来了新的隐患,这种通过在VLAN间使用访问控制策略,加强了网络的整体安全性。网络交换机的控制通过访问控制列表进行包过滤(PacketFiltering):对每个数据包按照用户所定义的项目进行过滤,如比较数据包的源地址、目的地址是否符合规则等。包过滤不涉及会话的状态,也不分析数据,只分析数据包的包头信息。如果配置的规则合理,在这一层能够过滤掉很多有安全隐患的数据包。以太网交换机支持多种访问控制列表,并把这些访问控制列表分为四类:基本访问控制列表、高级访问控制列表、接口访问控制列表和基于二层的访问控制列表。在定义访问控制列表时,必须定义其类型。如果是用数字对访问控制列表进行标识,则可以通过不同的数字范围来表示不同的列表类型。如(1)1~99:基本访问控制列表(ba-sic),(2)100~199:高级访问控制列表(advanced),(3)1000~1999:接口访问控制列表(interface),(4)200~299:基于二层的高级访问控制列表。在学校的办公网络中,每一个VLAN对应一个唯一的IP子网,管理者可以根据VLAN的子网地址进行IP过滤,创建扩展的IP访问列表,实现各个部门之间的访问控制。
计算机病毒的预防查杀
购买正版瑞星网络杀毒软件,重要部门装机时必须安装正版杀毒软件,建议其它部门安装正版杀毒软件。其它地方除安装有硬盘还原卡、全盘保护的教室终端和学生机房外,校园网内所有的终端都必须安装杀毒软件。同时,指定专人定期、经常对各处机器进行杀毒软件升级,打补和查杀病毒。
严格执行数据备份
为主控室、二级交换机机柜安装防盗报警设备、不间断电源、防雷击及通风降温设备。校园网服务器选用热插拔硬盘、RAID5格式;在服务器段VLAN7设置一台装有三个大容量IDE硬盘的备份PC(磁带机的价格太高5000-50000¥),将常用数据存储在服务器硬盘,不常用的数据存储在这台PC的硬盘中;利用Win2000Sserver自带的备份工具对服务器中的有效数据定期备份,放在备份PC的硬盘上;对教务室和财务室的电脑也要求定期备份;将学校需要保存的数据、图像、资料每个学期末进行一次分类、编号、整理、压缩,然后刻成光盘存档。
对不良信息过滤
购买信息过滤软件,在技术上避免师生有意无意地浏览带有暴力、黄色、内容的网络信息。比如选用“蓝眼睛智能信息过滤系统”之类的由公安部等部门监制的信息过滤工具,以期达到净化校园网网络信息的目的。当非法的网络地址被访问到,或者应该被过滤的由系统监测到的信息在传播时,过滤工具除了中断信息的交流外,还会记录相关信息,以备查询和明确责任。同时,加强对学校师生的法制教育和道德培养,使他们自觉不主动上网浏览、下载、传播这类非法信息。另外,还要使用过滤工具对公共电脑或校内办公电脑上传输的信息进行过滤,杜绝信息的非法传播。
入侵检测
1、在校园网中较重要的服务器网段中配置S100等产品,进行网络的入侵检测。不停地检测和监视各个网段中的各种数据包,对每个可疑的数据包进行详细的特征分析。如果数据包信息与入侵检测系统中的某些规则或特征相吻合,入侵检测系统立即会发出警报,甚至直接切断网络连接信号。
2、在校园网中的重要主机,如财务室电脑、教务室电脑等上面安装基于网络主机入侵检测的系统S120,对主机所在网络的实时连接,以及系统检测日志进行分析、判断,如果其中主体的活动可疑,入侵检测系统也立即会采取相应措施。
3、同时使用基于主机和基于网络的入侵检测系统,使它们实现优势互补,构架成一套立体而又完整的主动防御体系。
4、对校园网中的部分重点主机进行高级的安全设置,去除不必要的访问,并在必要的网络访问周围建立严格的访问控制权限,避免有意者的非法入侵和破坏。
篇6
2中等职业学校校园网络现状及问题
中等职业学校校园网络状况大多是校内组建局域网,划分不同的局域网网段并实现互联互通。另外,根据各局域网使用者的实际需求将校内子网络通过路由及相关网络协议实现与外部网络运营商提供的主干网,实现互联网络相通,实现互联万维网的访问。那么,一旦与外部网络实现互联互通,网络危险自然而然就相继接踵而来。本文将中职学校校园网面临或存在的主要安全问题归结如下:
2.1外部网络攻击一些不法分子通过进行端口扫描软件或网络攻击、垃圾邮件和网页被篡改等窃取学校网络服务器中一些重要数据。另外一些网络爱好者出于虚荣心作祟或以试探为目的的对网络进行攻击,导致网络拥堵、性能水平受限。
2.2内部网络问题依据相关网络管理部门的数据显示:影响局域网络安全的主要因素在于内部的使用者。中等职业学校的校园网内部用户对网络的结构和应用模式认识不深,对于专业的网络方面知识接触较少也比较肤浅。学生对网络新技术的发展,充满极大的好奇欲望,在讲授计算机方面的专业课程时,学生会穷追不舍的对于病毒木马提出一系列问题,诸如:运用病毒木马会给制作者带来哪些好处?当学生通过外部网络得到答案之后,就会访问相关“黑客”资源网站,进行小恶作剧的尝试,进而影响网络的正常运行。另一方面,由于某些网络软件、程序的大量应用,其程序本身包含了不为使用着所知的木马程序。因此,来自校园局域网络内部的威胁构成了危害校园网络安全的第一因素。
2.3网络用户安全意识淡薄学校的教师、学生及网络相关使用者网络安全意识非常淡薄。在学校机房或班班通多媒体教室中随意使用U盘、移动硬盘等外部存储设备,导致病毒相互传播,难以彻底查杀。另外部分机房管理人员岗位责任意识淡薄,不能安全地配置计算机和严格管理公共实训机房,例如:计算机U口没有封闭。
3校园的网络安全管理与保障策略涉及的主要方面
3.1准确了解信息化课件资源的附加服务在校园内部的课程资源服务器等附加资源方面,让访问者准确地了解信息化课件资源的附加服务,提高资源质量,同时增强网络用户的个人电脑安全使用意识。
3.2符合公安监控安装相关的安检及访问监控软件与设备应用公安监控管理安装相关的安检及访问监控软件与设备,对流动人员的网络使用进行控制。
3.3将风险及不安全因素隔离于校园之外应用防火墙设备设置不同安全域,保护学校内部局域网资源不被外部非授权用户非法使用或窃取;安全数据区设置访问控制权限,阻止内部用户对数据的修改和滥用。局域网除了采用防火墙之外,还必须妥善的规划其架构,拟定其安全政策,而防火墙是落实这些安全政策的必要且重要的工具之一。
3.4加强内部网络安全
(1)局域网划分不同网段。通过不同网段的划分将不同类型的用户划分在不同的VLAN中,这样可以使不同的使用者访问不同的资源,避免发生网络广播风暴以及资源外泄情况的发生。例如:将IP广播系统单独划分一个VLAN,避免其他用户的操作干扰广播系统的正常运行。在这里,建议中等职业学校的校园网络布局分配以建筑楼座为单元,每一个建筑物划分一个网段,如果条件容许的情况下,将每个职能部门划分不同的网段,这样就可以避免一些网络安全问题的产生也可以对文件资源及教学数据资源进行合理的保护,避免无关人员访问。
(2)对网络用户进行实名认证。采取网络用户与IP地址绑定的策略,一旦哪个IP地址的主机发生不安全因素,上传不合乎规定的资源,可以快速的追踪到其使用者,让其停止危害校园网络,避免更大的网络损失。目前比较成熟的网络接入认证方式有很多,如MAC认证、ESS等。
(3)建议选用其他一些知名的杀毒软件作为现有杀毒软件的补充,比如在用户中广受好评的卡巴斯基杀毒软件。
(4)建立数据备份制度并严格执行。为防止不可预见的系统故障或用户不小心的非法操作,必须对系统进行安全备份。同时,应该将修改过的重要系统文件存放在不同的存储设备上,一旦出现系统瘫痪、崩溃或遭到攻击,要能够通过备份信息快速、无误地还原系统和数据。
3.5对于校园网管理员、公共实训基地机房管理员进行足够网络安全教育和培训因为他们是校园网的维护骨干中坚力量,只有他们有丰厚的安全意识及严谨的工作态度,我们的校园网络才能平稳、安全的运行。
篇7
近几年,网络上的钓鱼网站、中奖信息到处都是,很多学生都还没有辨别真伪的能力,学生被骗事件时有发生,高校学生成为了行骗机构的重点对象,而且很多学生想找一份兼职,经不住骗子的诱惑。虽然我国互联网技术得到了空前发展,但很多学生都不怎么懂得计算机,尤其是来自于一些农村的学生,大多数都没接触过电脑,又怎么谈其网络安全意识。据了解,很多高校都没有具体的关于网络安全的课程,导致学生网络安全意识不强,无法辨别网络上信息的真伪。
1.2部分高校对校园网络安全没有好的管理,导致档案数据泄露。
一些高校还没有认识到网络安全的重要性,没有建立完善的网络安全管理制度,没有好的评估网络系统安全性的手段,导致系统存在很多漏洞,大量信息就容易被篡改,甚至有一些重要的文档资料泄密,影响到正常的办公,使校园网络安全受到威胁。
1.3一些计算机容易受到黑客的攻击。
现在计算机技术发展速度很快,很多计算机安全技术并未被研究出来,从而导致一些黑客利用每一次这样的机会,研究该系统存在的问题,对网络系统进行破坏。这种恶意的对计算机网络进行人为攻击是网络安全不可忽视的问题,黑客都擅长于对计算机进行病毒攻击,由于病毒破坏性、隐蔽性和潜伏性的特征,人们难以对其进行有效的处理,只有等其出现,才去采取有效的手段,只能坐以待毙。第四,校园网容易受到病毒感染。一些教职工和学生在使用多媒体时,网络安全意识不够强,在U盘插在电脑上复制资料时,没有先检查自己存储器,导致有时候将病毒带入学校电脑,从而影响数字校园网络的正常使用,严重时使学校重要资料、档案外泄,甚至导致整个校园网络系统崩溃,严重干扰学校的管理与正常教学。
2高校数字校园网络安全系统的设计方案
目前,完全解决数字校园网络的安全隐患是不可能的,因为开放的、虚拟的和自由的网络使人们无法预知将会发生什么。为了有效的保护校园网络,需要结合多种防护策略来实现。下面笔者就网络安全问题阐述一下几种方案。
2.1学校应该多开设关于网络安全的课程,加强对学生网络安全知识教育,提高学生的网络安全意识,让学生学会辨别网络陷阱。
同时,加强对数字多媒体的管理,让学生与教职工能够安全的使用校园网络,避免有计算机病毒侵入学校网络管理系统,从而给学校的管理和教学带来不便。曾经就有人认为解决校园网络安全问题必要先提高学生的网络安全意识,这一点足以说明提高学生的网络安全意识是多么的重要。
2.2对学校的网络系统进行有效的管理,防止系统漏洞对网络造成不可估量的损坏。
对此,学校可以加强对校园网络安全的风险评估,网络安全评估能够有效的预测网络系统可能受到危害的风险的大小,还能估计其带来的影响。而且它还能够对网络系统进行全面掌控,能够及时发现系统漏洞并有效的进行处理。要实现这一技术,需要结合检测网络漏洞、模拟网络攻击和对服务进程进行报告等技术,从而达到最大可能的降低校园安全隐患,帮助学校控制、管理好网络系统。
2.3对学校的电脑安装有效的安全卫士,并采用防火墙技术,尽可能大的消除网络安全风险。
在数字校园的背景下,利用防火墙的技术,可以防止数字校园平台的出口被不法侵入,从而从根本上解决病毒从外面入侵的风险。同时,对校园网的资料进行加密技术,这样做可以很好的防止网络资料的泄露,并减小被篡改的可能性。对网页设置访问控制,从而保护校园网上的资源被非法使用。对此,可以采用身份认证的措施,对访问进行有效的管理,从而控制访问权限。第四,学校应该建立完善的校园网络管理制度,这一点能够有效的保障校园网络的安全。同时组织学生对制度进行学生,加强学生对网络安全的认识,这对解决校园网络安全至关重要。目前,很多高校都缺少专门针对校园网络安全的制度,因此,在一些高校建立网络管理制度已经刻不容缓。
篇8
二、黑客入侵校园网的切入点
黑客入侵校园网往往是选择网站管理比较薄弱的环节,具体可以有以下几种侵入方式:
2.1硬件部分的切入
黑客入侵指的是一些拥有较高的计算机技术员,通过非法的方法和途径入侵他人的网站,修改或盗取信息。获取计算机信息的一个途径可以通过电脑硬件来实现,例如,以计算机的传输线路以及端口等信息的传输设备为切入点,以电磁屏蔽为切入点,以电话线为切入点。黑客利用这些突破点配合通信技术,对信息进行非法的窃取、上传非法信息以及清空网盘的数据,还会通过端口来置入病毒,利用U盘的插口来实现入侵,对计算机系统进行攻击,以达到破坏网络正常运转的目的。
2.2软件部分的切入
对网络系统而言,由于其本身就具有脆弱的可靠性和监控性,在其认证时的缺陷以及局域网与的不可控性,造成了网络安全的薄弱性。由于部分软件开发商只顾追求自身利益而缺乏对软件安全性的构建,大部分的软件都存在着不同程度的漏洞,在进行路由选择时发生错误,不同的使用者进行通信时路径被阻断或更换。有的黑客则利用木马等病毒人为的破坏学校网络系统,通过对信息传递时的内存将没有防范的信息传递到其他的终端上面。另一方面,由于网络链接的广泛性,致使在点击学校网络的同时与外界网络连接时,就非常容易成为黑客的切入点。由于在网络上面我们就可以下载一些盗取信息的工具,在一定程度上增加了黑客的数量,而学校的网络建设中缺乏安全防范措施的建立,在学校网络中多为一些应用软件的设置,这也就使得学校的网络系统容易被侵入,对学校网络产生破坏。
2.3管理人员的切入
在学校的网络安全管理中,由于管理人员素质差异,被黑客选作了一个切入点。大部分学校的网络安全管理人员往往因学校的不重视而只是随便的选择一个懂点计算机的人就算完成,而这部分人因为缺乏专业的学习和培训,致使其在工作中没有保密的意识,对打印等设备也没有进行严格的限制性使用。有的管理员,则由于其对计算机技术掌握程度不高,在某一操作中出现错误,从而造成了信息的丢失或是泄露。还有部分管理员则为一己私利主动进行信息的泄露,对网络系统造成了破坏,如四六级英语考试的题目泄露事件等。
三、黑客入侵的防范措施
3.1构建优良的学校网络系统
在我们进行学习网络建设时,要注重网络安全性的建设。在系统设计构建时,要确保网络系统的完整性,建设两级以上网络结构。在学校的网络系统中,设置一个主网络中心,构建安全有效的认证环节,保证学校网络信息流通都要进行认证通道才能通过。在这部分的建设中,可以用光纤将网络中心的信息传递到教室或办公室中,然后再设置一个分节点,通过交换机将大楼的每一个用户连接起来。在主机的电源设置中,要建设备用电源,在停电时确保主机的正常运转。在完成整个网络系统的构建之后,要对计算机硬件进行安全性的验证,对连接线的短路等问题进行排除,确保各个物理硬件是安全有效的。
3.2完善网络安全管理体系
首先,要加强对网络安全管理作用的宣传,让每一个使用者都认识到网络安全管理的重要性。可以通过讲座培训或者计算机课程讲解一些简单的网络安全防范措施,动员每一个人都参与到学校的网络安全管理中。引导学生自动的屏蔽一些不良网站信息,鼓励学生发现一些软件的漏洞,如在使用某软件就出现了账号被盗等情况。其次,要加强网络中心的管理。对于网络中心的管理,要积极建设防范系统,加强防火墙的稳定性,要选择专业人员,确保制度的落地。对网络中心要做到禁止任何无关人员的进入,不能随意的关闭和启动不断电系统,保证交换机不被任何人碰触。管理人员还要定期的对网络中心进行清洁,保证机房的干燥和清洁。作为管理人员还需要时刻保证计算机技术的学习,能够及时处理出现的网络安全问题。
篇9
1.1计算机病毒的感染
计算机病毒是目前影响网络安全的主要危害之一,病毒感染对计算机系统的影响是非常大的,它会导致计算机系统正常运行受到影响。计算机病毒主要是通过网络下载或者文件传输等方式侵入计算机系统。高校网络由于其用户非常多,网络接入相对复杂,因此高校很难在根本上对网络病毒进行全面的监控,因此一旦高校网络出现病毒感染会影响整个高校网络资源的正常运行,甚至会导致高校相关数据的丢失。
1.2黑客攻击
黑客攻击是网络安全威胁中技术含量最高的一种威胁形式,黑客攻击一般情况下带有非常明显的目的性,他们不以破坏高校网络系统资源为目的,而是为了获取某种高校资源。高校网络资源由于其内容丰富,其一些资源可能会涉及到一些机密信息等,具有非常高的经济价值,因此高校网络常常会受到黑客的攻击。
1.3网络不良信息传播
高校网络对于高校教育来说是一把双刃剑,其既可以拓展学生的知识,其网络环境的复杂性也会给学生带来不良的影响。高校网络可以实现校园内的信息交流,同时也通过网络的外界连接,拓展了学生了解世界的途径,但是外部网络环境含有大量的不健康的内容,这些内容会影响学生的身心健康发展。
2常用的计算机信息技术减少高校网络安全
影响网络安全的计算机安全信息技术很多,除了计算机基础安全硬件设施外,其还包括一些网络软件系统。①防火墙技术。防火墙技术是介于私有网络和公共网络之间的,用于防止外来不安全因素入侵的一种安全防御设备,防火墙通过对进出网络数据的检测,分析其是否符合安全数据流,如果其不符合,防火墙就会阻止其进入网络系统,对防火墙本身来说,其具有非常强悍的抗外来网络攻击的能力以及自我的免疫能力。②入侵检测技术。入侵检测技术是对防火墙缺陷的补充,其可以对网路异常访问行为进行自主检测,并且根据收集到的各种信息对检测行为做出相应的反应,并且报告检测的结果。③数据加密技术。数据加密技术主要是通过改变信息的编码以及对信息的内容进行某种手段的处理防止信息被外界所窃取或者发生泄露的技术。目前数据加密技术主要包括:数据加密、密钥密码技术以及数字签名认证技术三种。④漏洞扫描技术。计算机系统都存在一定的系统漏洞,因此其必然会存在安全隐患,漏洞扫描技术就是通过对网络系统的扫描发现漏洞,并且采取相应的措施进行修补的技术。⑤杀毒软件技术。杀毒软件技术是人们经常使用的一种网络安全防范技术,杀毒软件是通过一种外在的软件系统对计算机的各个配置进行优化,防止其被外界病毒侵犯。
3计算机信息技术在高校网络安全中的应用分析
高校网络安全受到的威胁因素比较多,对此本文只是将经常应用的集中信息技术进行分析。
3.1防火墙技术在高校网络安全中的应用
防火墙技术是高校网络安全最早的信息系统,其主要是通过对网络流量进行控制实现网络的安全。防火墙将网络非为信任网络和非信任网络,防火墙对非信任网络进行网络访问控制,防火墙一般设置在高校校园网和外部网络的边界接口处,通过对网络内部的ARP数据包进行过滤,可以防止外部的非法ARP数据包入侵,保护高校网络安全。
3.2数据加密技术在高校网络安全中的应用
数据加密技术在高校网络安全中的应用方式主要是:节点加密、链路加密以及端到端加密。节点加密就是在信息的节点处进行加密保证高校信息的传输过程不被外界窃取;链路加密就是在高校网络信息的传递过程中对高校的接受处进行加密设置,它加密保护是物理层面以前;端到端加密就是在高校内部网络信息端和外界网络端同时进行加密,以此保证整个网络信息传递过程不被外界所窃取和发生泄漏。数据加密技术主要表现在:
3.2.1密钥密码技术在高校网络安全中的应用
高校网络资源的保护需要采取密钥密码技术,然而由于高校网络资源使用的对象比较多,因此单靠私钥密码是不能很好的保护高校网络安全的,私钥具有一定的缺陷和漏洞,对此在高校网络安全保护中要采取公用密钥与私用密钥相结合的形式,提高信息传递的安全性。
3.2.2数字签名认证技术在高校网络安全中的应用
数字签名认证技术是高校网络安全中的重要技术,其主要包括口令认证和数字认证两种形式,口令认证一般操作简单,而数字口令则是通过加密技术实现,高校网络资源中心在传递信息资源的时候会通过加密技术来识别信息传递方的身份,如果传递方的身份没有经过认证,那么高校的网络资源管理系统就可以拒接接受信息,进而避免不安全信息的侵入,保护高校网络资源的安全。
3.3入侵检测技术在高校网络安全中的应用
目前防火墙技术与入侵检测技术联动是高校网络安全控制的主要措施,通过入侵检测技术可以有效弥补防火墙技术进行防御的缺陷,入侵检测技术主要是通过对高校内部网络和外部环境的行为识别做出相应的反映,并且提供帮助的技术。入侵检测技术系统主要包括对网络的入侵检测系统和对高校网络主机入侵检测系统,在应用入侵检测技术时在校园网的安全中心部署基于网络的入侵检测系统,将探测端安装在网络核心交换机处,这样就可以对网络访问行为实施全局的监控。在用户终端上,可以部署基于主机的入侵检测系统,通过对主系统日志、安全日志及应用程序日志的分析,发现对终端的攻击行为。
篇10
计算机软件本身的缺陷,对财务信息安全也产生重要影响。一是软件管理功能不足,用户权限设置不合理,存在权限真空,给人为破坏财务信息提供了机会;二是软件升级更新缓慢,相关漏洞未能得到及时弥补;三是软件安全性和保密性不够,没有操作日志,对数据库数据缺乏必要的加密措施。财务用户口令设置简单,密码明文存储在数据库中,保密性差,存在财务信息安全隐患。
(二)服务器环境风险。
服务器良好运行,是财务信息安全的基础。出于节约费用,有些高校的财务服务器运行环境很不理想,放置服务器的机房选择或安排比较随意,易受外部光照或受潮。机房防火、防潮、防尘、防磁、防盗、防断电及恒温设备或设施不足或配备不齐,容易导致服务器故障。
(三)内部控制风险。
财务信息网络化的步伐越来越快,有些高校还没有建立起针对数字化处理的相应内控管理制度,以应对财务管理手段的新变化。对网络环境下的财务数据处理流程及岗位职责,还没从制度上进行规范。对财务信息进行拦截、转移、伪造、隐匿、窃取、删除、篡改等各种人为破坏及失职行为,不能有效控制与责任追究。
(四)感染病毒木马风险。
计算机病毒是网络安全最大的威胁因素,具有隐蔽性高、破坏力强、自我复制、清除难度大、难以防范等特点。高校财务由于业务需要经常与外界进行数据交换或信息上报,特别是多校区办公,大量的会计信息必须通过公开网络在校区之间实时传送,再加上浏览网页、下载文件、收发E—mail、使用QQ等,使计算机系统感染病毒木马的机率大增。而计算机病毒的感染会威胁整个财务计算机网络系统和数据安全。
(五)非法访问风险。
在网络环境下,一切的财务信息都被电子化,理论上都可以被访问到,除非在物理上断开链接。因此,高校在实现财务网络化的同时,很难避免非法侵扰。有些人可能出于某种目的,有意或无意地损坏网络设备,在网络上对管理系统进行攻击,一旦侵入将会对网络财务系统造成极大破坏。
(六)数据备份风险。
在财务信息化程度越来越高的环境下,电子财务档案是财务管理的主体,其安全的重要性可想而知。目前不少高校或多或少存在以下几个问题:1.对数据备份缺乏足够的重视,没有形成定期备份制度。2.数据备份存储介质单一,一旦数据存储介质消磁或遭损坏,数据便无法找回。3.财务电子档案由财务档案人员兼管,纸质档案与电子档案托管于一处,数据丢失后往往无从考证。4.数据备份存储介质存放环境不良,容易被消磁、受潮、染尘等。
二、网络环境下的财务信息安全风险防范
(一)做好对软硬件的升级与更新。
财务网络软硬件的安全稳定运行是保证数据准确可靠的基础。加大对软件的升级改造与更新,弥补系统漏洞,完善其内控与管理功能;对硬件设备应定时清洁与检查,适时更新,做好日常维保工作。对需要配备的备份、加密等软硬件,应给予安装与配备,以保证财务网络的安全稳定运行。
(二)建立良好的服务器环境。
财务数据存放在服务器数据库中,要保证数据的安全,需建立良好的服务器运作环境,选择合适的房间用作放置服务器的机房,机房应远离水源、安装好空调,铺设防静电地板,配备不间断电源,满足防火、防潮、防尘、防磁和防辐射及恒温技术要求。机房应安装防盗门及防盗警报装置,以防机房设备被盗。
(三)完善内部控制。
只有制订完善的管理制度和科学、合理的业务操作流程,明确岗位职责,规范内部控制,才能够保证高校财务数据信息的安全性和可靠性。完善内部控制工作主要包括以下几个方面:1.加强内控制度建设,建立健全机房管理制度、计算机硬件使用与维护制度,计算机软件操作及维护制度、数据安全与维护制度等,从制度上进行约束工作人员行为。2.明确财务数据处理流程及岗位职责,规定各岗位人员权限,各司其职,杜绝越权操作。3.加强对数据访问和运用的监控,建立安全稽核机制。对系统参数和状态,以及敏感资源进行实时监视和记录。定期查看系统日志,对系统访问人员的身份与操作记录,进行安全检查和评估。
(四)防范病毒及人为恶意破坏,保证系统安全运行。
1.病毒防范。计算机病毒对系统正常运行及数据安全产生严重威胁,须建立完善的防病毒体系,将所有计算机和NT服务器都安装杀毒软件及网络防火墙,启动实时监控系统;定期升级病毒库和查杀病毒,杜绝使用盗版软件;严格执行防病毒措施,禁止在工作机上安装及玩游戏,软件、U盘等存储介质等使用前须通过计算机病毒检测。2.人为破坏防范。加强计算机网络安全监控,限制非法访问,防止窃取会计数据;加强系统的内部控制,防止人为对系统的恶意破坏;严格密码权限管理,杜绝未经授权人员进行越权操作,防止会计数据泄密、丢失或被非法篡改。
(五)做好数据备份,确保数据安全。
财务数据应定期做好备份,备份可采用硬盘、磁带、移动硬盘、光盘等存储介质,多种方式同时备份,配备专门的备份服务器,甚至还可以在校区间的服务器上做远程备份,即使某个校区的数据受到破坏,也能从另一校区进行数据恢复,保证财务数据万无一失。会计档案应指定专人负责,对备份数据的磁盘、光盘等存储介质,按国家规定的档案管理办法进行归档及存放,做好防磁、防火、防潮、防尘等工作,谨防外部因素对会计档案的破坏。
篇11
一、密码的安全
众所周知,用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使"入侵者"得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。
在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。一些网络管理人员,为了图方便,认为服务服务器只由自己一个人管理使用,常常对系统不设置密码。这样,"入侵者"就能通过网络轻而易举的进入系统。笔者曾经就发现并进入多个这样的系统。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为"入侵者"留下后门。比如,对WEB网页的修改权限设置,在WINDOWSNT4.0+IIS4.0版系统中,就常常将网站的修改权限设定为任何用户都能修改(可能是IIS默认安装造成的),这样,任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。
其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。笔者就猜过几个这样的站点,他们的共同特点就是利用自己名字的缩写或6位相同的数字进行密码设置。
密码的长度也是设置者所要考虑的一个问题。在WINDOWSNT系统中,有一个sam文件,它是windowsNT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果"入侵者"通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用"暴力破解"方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,所以说,在密码设置时一定要有足够的长度。总之在密码设置上,最好使用一个不常见、有一定长度的但是你又容易记得的密码。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。
二、系统的安全
最近流行于网络上的"红色代码"、"蓝色代码"及"尼姆达"病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起"红色代码"、"蓝色代码"及"尼姆达"病毒的传播流行的Unicode解码漏洞,早在去年的10月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了将近一年,还能扫描到许多机器存在该漏洞。
在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
在WINDOWSNT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:
首先,不要将IIS安装在默认目录里(默认目录为C:\Inetpub),可以在其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。
其次,IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。
第三,在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。
三、目录共享的安全
在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。笔者曾搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。
四、木马的防范
相信木马对于大多数人来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。
篇12
1.2网络信息安全事件时有发生,社会因此遭受了严重损失互联网在运行过程中会受到网络蠕虫、木马病毒等形式的攻击,给计算机用户造成了巨大损失。网络信息安全事件日渐频繁,社会因此遭受了严重损失,当前社会各界对网络信息安全问题都给与了足够重视,为提高网络信息安全投入了大量人力、物力和财力,但是收效甚微,面对多种形式的攻击仍是有心无力。
1.3高校网络信息安全的实验教学要求高校是各种专业人才培养的重要基地,是社会专业人才的主要来源。随着计算机技术的发展,对高校网络安全与网络技术实验教学提出了更高需求,但当前我国多数高校网络安全与网络技术实验教学硬件根本无法满足这一教学需求。高校只有不断提升网络信息安全实验的硬件条件,加强对网络信息和网络技术安全实验教学的建设,才能使学生的网络信息安全实践能力得到有效提高,满足当前社会发展对网络信息安全的人才需求,为社会输送更多具有高专业水准的信息安全技术人才。
2高校网络安全实验室的建设目标及网络实验室的功能
2.1网络安全实验室的建设目标高校实验室主要包括以下三种类型:中心实验室、研究实验室、公共基础实验室。专业基础课的训练是在公共基础实验室进行的,该实验室所面向的是专业基础课的学生。专项研究项目实验是在研究实验室进行的,该实验室所面向的是某一项目的研究人员,研究实验室建设具有较强的局限性及针对性。中心实验室则是为专业课实验而设置的,该实验室所面向的是该专业的学生,中心实验室具有一定的普遍性和针对性。网络安全实验室被定位到了中心实验室当中,网络安全实验室所面向的是信息安全专业的学生,该实验室以网络安全类实验为主,具体实验内容主要包括:网络防御实验、网络攻击实验、网络扫描实验、网络入侵检测实验、网络协议分析实验、网络安全通信实验、网络病毒实验、访问控制实验、身份验证实验等,并将网络攻击实验作为教学重点。
2.2网络实验室功能分析高校网络实验室应该具备以下几项功能:(1)综合布线方面的主要功能:①具有展示端接设备和步骤、光纤的端接方式的功能。②具有展示RJ45模块、双绞线的常用工具和打线方法。③实验室内的布线应该满足语言、数据要求,具有灵活多变的拓朴结构,能构成各种网络拓朴结构(2)网络方面的主要功能:①能够展示集线器、路由器、交换机等网络设备。②通过布线系统的跳线跳接能够实现局域网、广域网络、局域网与局域网互联等形式的网络拓朴结构。③通过配置DDN、拨号等方式能够连接广域网,进行交换机路由器的配置,可实现VIAN。(3)①能够安装、配置、维护Unix、WindowsNT、Linux、Novell等操作系统。②配置网络服务器的各种服务。③具有数据的备份和恢复功能。
3高校网络安全实验室建设所需遵循的原则
确保实验室能够安全稳定的运行,高校所构建的网络安全实验室必须具备较高的可靠性能。(5)标准性与开放性相结合原则,采用符合国家标准的通讯协议和接口。(6)统一性和综合性相统一原则。最好采用一个厂家的设备来组建网络实验室,完成上面提到的众多网络实验。(7)安全性原则,制订统一的安全策略。(8)可管理性原则。对网络实行集中监测,分权管理,并统一分配宽带资源。
4分析高校网络安全实验室的项目设计要求
为提高学生的网络安全技术水平,不仅要为学生安排常规的实验,在此基础上还应该为学生安排VPN技术以及相关配置、外侵检测实验、身份认证实验等高级实验,使学生具备较高层级的网络信息安全技术以及相关的实验能力。高校的网络信息安全实验室在完成一般实验教学的基础上,还可以为学生提供创新实验的平台,在进行实验建设时,要考虑到创新实验的需要,例如进行Linux防火墙设计与实现、Linux网络源代码分析等技术研究。在现有软硬件条件的基础上,优化软件的效果,对当前的软件进行创新和改进,使学生的网络信息安全创新能力得到进一步的提升。
