论文部分内容阅读
摘要:现今互联网在各行业中的应用更宽更深。高校校园网的建设为实现教学、教务、科研及后勤的信息化管理提供了极大地便利。但同时由于校园网在建设、使用及管理等方面存在很多的安全隐患,需要建立有效的安全防御体系防御校园网存在的威胁。
关键字:校园网;系统漏洞;入侵检测;安全防御体系
中图分类号:TB文献标识码:Adoi:10.19311/j.cnki.16723198.2017.26.087
1引言
互聯网技术和信息技术已融入教育,为建立开放、共享、交互、协作的教育教学体系,校园网已成为各大高校建设和发展的重要基础设施。然而,各高校校园网规模的扩大和用户数量的上升,在校园网的建设和使用过程中,校园网面临着内部与外部众多安全隐患,单一的防病毒或入侵检测技术已经不能满足安全防御的需要,因此要综合运用各种安全技术建立一个立体化全方位的安全防御体系,才能促进高校实现信息化管理。
2校园网的发展现状
2.1校园网建设现状
(1)校园网的速度快、规模大。高校校园网的宽带速度达到了百兆、千兆并实现了整个学校的主干互联。校园网的用户包括教职工和学生,其建设主要投入在办公室、教室及寝室。
(2)有限的投入,实现统一管理存在困难。校园网的建设需要大量时间,财力及人力的投入,而大多数高校由于经费的不足,将有限的经费投在硬件上,忽视了管理和维护方面的投入,通常只有网络中心的少数管理维护人员,但他们只能维护网络的正常运行,而不能兼顾整个校园网的安全问题。学校的计算机除了统一采购的实验室设备和办公设备,还有师生自行购买的计算机,其使用的系统及安全防护措施大不相同,使用统一的安全策略是不太可能的。
(3)存在系统漏洞,监测系统不健全。系统漏洞对校园网的威胁具有长期性,因为系统的运行会随着时间的推移不可避免出现不同程度的漏洞。而安全漏洞允许未经授权的用户获得访问或提高其访问权限,为黑客攻击提供了极大地便利。虽然安全监测系统可以避免用户通过访问非法站点、传递和发布非法信息行为、滥用网络资源、泄露敏感信息,是防火墙的有效补充。然而目前校园网络监测系统普遍都不健全,并且病毒的传播及黑客的攻击使校园网安全检测系统的开发更为困难。同时,校园网建设的有限投入使安全监测系统系统的开发不仅面临技术的难题,还要面临经费和人力缺乏的难题。
2.2校园网使用现状
(1)活跃的用户群体和开放的网络环境。学生是校园网最活跃的用户群体。他们使用校园网进行学习、科研及娱乐。但如果在使用网络时没有安全意识,会对校园网造成不可估计的破坏和影响。
(2)版权意识薄弱,盗版资源泛滥。现在我国对于版权的重视正在逐步加强,但盗版资源的泛滥给网络安全带来的重大隐患,同时这些盗版资源的肆意传播不仅占用了大量的网络带宽,特别是影响校园网的流畅及安全运行。
(3)网络安全意识淡薄,网络病毒泛滥。校园网用户安全意识淡薄,不良信息的传播和大量的非正常访问不仅导致网络资源的浪费,而且可能导致网络病毒的肆虐传播,影响网络性能,甚至对计算机的正常使用造成影响。
3校園网安全防御体系建设
3.1物理层的安全防御
物理安全防护是实施其他安全措施的基础和前提条件。主要包括环境安全、设备安全、媒介安全。环境安全主要指受灾防护能力和区域防护能力。选择合适的场地,合适的环境作为机房,并通过电子监控、物理隔离及门禁访问制进行区域保护,建立灾难预警,应急处理、恢复的灾难保护机制。设备安全主要包括服务器、交换机、路由器和电源等的防盗、防毁、防电磁信息泄露、防线路截获、抗电磁干扰、电源保护。媒介安全指介质数据和介质本身的安全,防止数据拷贝、丢失,磁盘消磁。具体的措施有:定期排查计算机所处的温度、湿度、鼠害及静电等环境因素;对存在安全隐患的计算机及时进行更换或维护;在传输线、电源线、公共地线加装滤波器及进出口防辐射处理。
3.2网络层的安全防御方法
3.2.1利用防火墙技术控制用户对网络边界的访问
第一,由于硬件防火墙位于路由器的下一层,并且现在的校园网络一般都采用了百兆或千兆以上的网络,所以对硬件防火墙的性能要求极高。此外硬件防火墙要具备防黑客攻击能力及入侵检测能力,防止来自内、外部黑客攻击的能力,同时由于网络的快速发展,一些非法网站层出不穷,硬件防火墙需具有监控网络、禁止访问非法网站的功能,根据相关信息屏蔽这些非法网站。第二,软件防火墙:将软件部署单机系统或个人计算机的系统主机上,使用软件系统实现访问控制、用户认证和安全管理,其安全性能较差,并占用系统资源,在一定程度上影响系统性能。
3.2.2利用防病毒技术建设防病毒系统
计算机病毒具有寄生性、传染性、隐蔽性、潜伏性、破坏性等特征,通过各类传播途径,直接影响系统效率、占用系统资源,并可能删除、破坏数据。病毒防护系统需考虑Internet网关邮件病毒过滤、服务器病毒防范和传染控制、各种桌面的病毒防护、防病毒系统管理和防病毒系统的升级。通过加强病毒查杀能力、病毒实时监测能力、快速方便的升级能力、系统兼容性与可融合性及智能安装、远程识别等建立防病毒系统,对蠕虫病毒、木马程序和恶意代码、邮件病毒、网页病毒、系统病毒、终端用户病毒及服务器病毒进行防御。
3.2.3利用网络入侵检测技术预防校园网内、外合力攻击
入侵检测系统(IDS)就像学校的监视系统,一旦发现任何危及系统安全的行为,就发出警告并阻止其行为。入侵检测系统通过对系统、网络和用户数据的状态等信息的收集,通过模式匹配、统计分析、和完整性分析进行信息分析,识别、发现计算机网络中可能存在的不安全行为,并采取相应的防护措施,以保证网络系统资源的机密性、完整性和可用性。入侵防御系统(IPS)提供对各类攻击的实时监测和防御功能,同时具备访问控制能力,提供强大的分析和处理能力,可以深入网络数据内部,查找它所认识的攻击代码特征,并进行记载,以便事后分析。入侵防御系统是防火墙和防病毒系统的补充。 3.3应用层的安全防御
3.3.1统一的身份认证系统,并对系统安全进行审计
身份认证是指判断一个用户身份是否合法的处理过程,同时也是实现校园信息化管理的基础。校园网的身份认证一般是用户名和密码,用户提供的用户名和密码必须和系统中保存的用户名和密码一致,通过认证后才能获得权限之内的访问资源。建立统一的身份认证系统,有效地防止了IP地址的伪造和篡改,避免了信息的泄露和更改,提高了用户信息的安全性和可靠性。
对内网的业务行为审计是内网安全需求的两大趋势之一。通过对业务内容的控制,实现对业务行为的认证、控制和审计;增加内网安全审计系统,对不良信息进行有效地监控和过滤。管理员通过對安全策略实施的有效诊断及时调整和改进安全策略。
3.3.2建立安全电子邮件系统
信息化的逐步加深,电子邮件正在深入我们的工作、学习和生活,同时人们对电子邮件系统和服务的安全要求日渐提高。但目前的电子邮件系统面临着病毒侵扰、垃圾邮件、信息欺骗等安全问题,因此必须建立高准确率和低误报率的安全电子邮件系统,设立邮件网关、对垃圾邮件进行拦截、过滤,从而保证邮件及时、准确地到达。
3.3.3密码技术
密码技术是信息安全的核心技术,是网络安全的重要基石。采用密码技术可以实现对传输数据信息进行加密传送、完整性验证、数字签名等功能。简单来说密码技术就是信息资源的加密,防止信息资源传送过程中的流失、窃取,而且防止第三方人员的分析、篡改信息资源,保证信息资源在传送过程中绝对的安全。
3.3.4建立无线网络监控和记录机制
无线网络使校园网建设的一部分,用户访问行为记录对无线网络的安全非常重要,因为无线网络接入用户具有很大的移动性和变化性。在无线网络中加入无线网络控制器,对用户进行严格的权限分配。进行用户身份统一认证后,对用户接入点、交换机及流量管理进行实时监控,并记录用户名、访问时间、IP地址、MAC地址等信息,形成记录日志。通过对记录日志分析,尽可能避免一些安全隐患、排除故障。
3.3.5数据备份和恢复技术
数据备份和恢复是提高计算机数据安全措施最有效的方法。数据备份是通过把数据上传到服务器客户端数据库存储,在原数据被破坏、丢失或系统发生故障时,可以及时从服务器下载备份的数据,进行数据恢复。遵循4个原则:计算机备份时保证软、硬件的兼容性;设置自动备份功能;准备多个备份数据的媒介;数据备份的完整性。数据备份分为完全数据备份、不完全数据备份即实时备份、选择性备份。
3.4管理层的安全防御
(1)完善校园网安全管理体制,建设网络安全管理平台。校园网的管理必须要建立一套完整的制度体系,并明确告知校园网用户的行为范围和违反制度的处罚规定,有效地约束用户及管理员的行为规范。并建立一个全方位的网络安全管理平台,实时监控所有校园网用户的安全系统及设备并进行综合分析。
(2)加强校园网用户的安全意识,提高网络管理人员技术水平。目前校园网用户规模巨大,但一些用户安全意识薄弱,随意访问非法网站,下载含有病毒或恶意程序的文件,从而导致校园网存在极大地安全隐患。因此要加强校园网用户的网络安全意識教育,使其自觉遵守网络安全制度,提高防范网络隐患的能力。同时要对网络管理人员进行知识及技术的培训,提高维护网络安全的警惕性和应对各种攻击的能力,更好地对网络进行监控和管理,在发现新病毒或系统安全漏洞威胁网络安全时,管理员要及时启动应急响应。
4结语
高校校园网的安全防御涉及环境、设备、技术、管理和制度等多方面的因素,因此要综合运用防火墙技术、病毒防护技术、入侵检测技术、数据备份和恢复技术建立一个立体化全方位的安全防御体系。同时要加强安全管理,做到技术与管理并重,加强安全管理体制的执行力度,使校园网安全高效的运行,为教职工和学生提供更为便利的科研、教学及管理环境。
参考文献
[1]吴辉明,王彪. 对当前校园网络信息安全的威胁与防范分析[J]. 信息通信,2015,(7).
[2]林永菁. 多层次校园网络安全设计[J]. 吉林师范大学学报(自然科学版),2009,(3).
[3]杨凯雪. 高校校园网安全防御体系的构建[J]. 中国科技信息,2015,(02).
[4]徐大伟. 基于高校校园网安全问题的分析与对策[J]. 长春师范学院学报(自然科学版),2005,24(12):6466.
关键字:校园网;系统漏洞;入侵检测;安全防御体系
中图分类号:TB文献标识码:Adoi:10.19311/j.cnki.16723198.2017.26.087
1引言
互聯网技术和信息技术已融入教育,为建立开放、共享、交互、协作的教育教学体系,校园网已成为各大高校建设和发展的重要基础设施。然而,各高校校园网规模的扩大和用户数量的上升,在校园网的建设和使用过程中,校园网面临着内部与外部众多安全隐患,单一的防病毒或入侵检测技术已经不能满足安全防御的需要,因此要综合运用各种安全技术建立一个立体化全方位的安全防御体系,才能促进高校实现信息化管理。
2校园网的发展现状
2.1校园网建设现状
(1)校园网的速度快、规模大。高校校园网的宽带速度达到了百兆、千兆并实现了整个学校的主干互联。校园网的用户包括教职工和学生,其建设主要投入在办公室、教室及寝室。
(2)有限的投入,实现统一管理存在困难。校园网的建设需要大量时间,财力及人力的投入,而大多数高校由于经费的不足,将有限的经费投在硬件上,忽视了管理和维护方面的投入,通常只有网络中心的少数管理维护人员,但他们只能维护网络的正常运行,而不能兼顾整个校园网的安全问题。学校的计算机除了统一采购的实验室设备和办公设备,还有师生自行购买的计算机,其使用的系统及安全防护措施大不相同,使用统一的安全策略是不太可能的。
(3)存在系统漏洞,监测系统不健全。系统漏洞对校园网的威胁具有长期性,因为系统的运行会随着时间的推移不可避免出现不同程度的漏洞。而安全漏洞允许未经授权的用户获得访问或提高其访问权限,为黑客攻击提供了极大地便利。虽然安全监测系统可以避免用户通过访问非法站点、传递和发布非法信息行为、滥用网络资源、泄露敏感信息,是防火墙的有效补充。然而目前校园网络监测系统普遍都不健全,并且病毒的传播及黑客的攻击使校园网安全检测系统的开发更为困难。同时,校园网建设的有限投入使安全监测系统系统的开发不仅面临技术的难题,还要面临经费和人力缺乏的难题。
2.2校园网使用现状
(1)活跃的用户群体和开放的网络环境。学生是校园网最活跃的用户群体。他们使用校园网进行学习、科研及娱乐。但如果在使用网络时没有安全意识,会对校园网造成不可估计的破坏和影响。
(2)版权意识薄弱,盗版资源泛滥。现在我国对于版权的重视正在逐步加强,但盗版资源的泛滥给网络安全带来的重大隐患,同时这些盗版资源的肆意传播不仅占用了大量的网络带宽,特别是影响校园网的流畅及安全运行。
(3)网络安全意识淡薄,网络病毒泛滥。校园网用户安全意识淡薄,不良信息的传播和大量的非正常访问不仅导致网络资源的浪费,而且可能导致网络病毒的肆虐传播,影响网络性能,甚至对计算机的正常使用造成影响。
3校園网安全防御体系建设
3.1物理层的安全防御
物理安全防护是实施其他安全措施的基础和前提条件。主要包括环境安全、设备安全、媒介安全。环境安全主要指受灾防护能力和区域防护能力。选择合适的场地,合适的环境作为机房,并通过电子监控、物理隔离及门禁访问制进行区域保护,建立灾难预警,应急处理、恢复的灾难保护机制。设备安全主要包括服务器、交换机、路由器和电源等的防盗、防毁、防电磁信息泄露、防线路截获、抗电磁干扰、电源保护。媒介安全指介质数据和介质本身的安全,防止数据拷贝、丢失,磁盘消磁。具体的措施有:定期排查计算机所处的温度、湿度、鼠害及静电等环境因素;对存在安全隐患的计算机及时进行更换或维护;在传输线、电源线、公共地线加装滤波器及进出口防辐射处理。
3.2网络层的安全防御方法
3.2.1利用防火墙技术控制用户对网络边界的访问
第一,由于硬件防火墙位于路由器的下一层,并且现在的校园网络一般都采用了百兆或千兆以上的网络,所以对硬件防火墙的性能要求极高。此外硬件防火墙要具备防黑客攻击能力及入侵检测能力,防止来自内、外部黑客攻击的能力,同时由于网络的快速发展,一些非法网站层出不穷,硬件防火墙需具有监控网络、禁止访问非法网站的功能,根据相关信息屏蔽这些非法网站。第二,软件防火墙:将软件部署单机系统或个人计算机的系统主机上,使用软件系统实现访问控制、用户认证和安全管理,其安全性能较差,并占用系统资源,在一定程度上影响系统性能。
3.2.2利用防病毒技术建设防病毒系统
计算机病毒具有寄生性、传染性、隐蔽性、潜伏性、破坏性等特征,通过各类传播途径,直接影响系统效率、占用系统资源,并可能删除、破坏数据。病毒防护系统需考虑Internet网关邮件病毒过滤、服务器病毒防范和传染控制、各种桌面的病毒防护、防病毒系统管理和防病毒系统的升级。通过加强病毒查杀能力、病毒实时监测能力、快速方便的升级能力、系统兼容性与可融合性及智能安装、远程识别等建立防病毒系统,对蠕虫病毒、木马程序和恶意代码、邮件病毒、网页病毒、系统病毒、终端用户病毒及服务器病毒进行防御。
3.2.3利用网络入侵检测技术预防校园网内、外合力攻击
入侵检测系统(IDS)就像学校的监视系统,一旦发现任何危及系统安全的行为,就发出警告并阻止其行为。入侵检测系统通过对系统、网络和用户数据的状态等信息的收集,通过模式匹配、统计分析、和完整性分析进行信息分析,识别、发现计算机网络中可能存在的不安全行为,并采取相应的防护措施,以保证网络系统资源的机密性、完整性和可用性。入侵防御系统(IPS)提供对各类攻击的实时监测和防御功能,同时具备访问控制能力,提供强大的分析和处理能力,可以深入网络数据内部,查找它所认识的攻击代码特征,并进行记载,以便事后分析。入侵防御系统是防火墙和防病毒系统的补充。 3.3应用层的安全防御
3.3.1统一的身份认证系统,并对系统安全进行审计
身份认证是指判断一个用户身份是否合法的处理过程,同时也是实现校园信息化管理的基础。校园网的身份认证一般是用户名和密码,用户提供的用户名和密码必须和系统中保存的用户名和密码一致,通过认证后才能获得权限之内的访问资源。建立统一的身份认证系统,有效地防止了IP地址的伪造和篡改,避免了信息的泄露和更改,提高了用户信息的安全性和可靠性。
对内网的业务行为审计是内网安全需求的两大趋势之一。通过对业务内容的控制,实现对业务行为的认证、控制和审计;增加内网安全审计系统,对不良信息进行有效地监控和过滤。管理员通过對安全策略实施的有效诊断及时调整和改进安全策略。
3.3.2建立安全电子邮件系统
信息化的逐步加深,电子邮件正在深入我们的工作、学习和生活,同时人们对电子邮件系统和服务的安全要求日渐提高。但目前的电子邮件系统面临着病毒侵扰、垃圾邮件、信息欺骗等安全问题,因此必须建立高准确率和低误报率的安全电子邮件系统,设立邮件网关、对垃圾邮件进行拦截、过滤,从而保证邮件及时、准确地到达。
3.3.3密码技术
密码技术是信息安全的核心技术,是网络安全的重要基石。采用密码技术可以实现对传输数据信息进行加密传送、完整性验证、数字签名等功能。简单来说密码技术就是信息资源的加密,防止信息资源传送过程中的流失、窃取,而且防止第三方人员的分析、篡改信息资源,保证信息资源在传送过程中绝对的安全。
3.3.4建立无线网络监控和记录机制
无线网络使校园网建设的一部分,用户访问行为记录对无线网络的安全非常重要,因为无线网络接入用户具有很大的移动性和变化性。在无线网络中加入无线网络控制器,对用户进行严格的权限分配。进行用户身份统一认证后,对用户接入点、交换机及流量管理进行实时监控,并记录用户名、访问时间、IP地址、MAC地址等信息,形成记录日志。通过对记录日志分析,尽可能避免一些安全隐患、排除故障。
3.3.5数据备份和恢复技术
数据备份和恢复是提高计算机数据安全措施最有效的方法。数据备份是通过把数据上传到服务器客户端数据库存储,在原数据被破坏、丢失或系统发生故障时,可以及时从服务器下载备份的数据,进行数据恢复。遵循4个原则:计算机备份时保证软、硬件的兼容性;设置自动备份功能;准备多个备份数据的媒介;数据备份的完整性。数据备份分为完全数据备份、不完全数据备份即实时备份、选择性备份。
3.4管理层的安全防御
(1)完善校园网安全管理体制,建设网络安全管理平台。校园网的管理必须要建立一套完整的制度体系,并明确告知校园网用户的行为范围和违反制度的处罚规定,有效地约束用户及管理员的行为规范。并建立一个全方位的网络安全管理平台,实时监控所有校园网用户的安全系统及设备并进行综合分析。
(2)加强校园网用户的安全意识,提高网络管理人员技术水平。目前校园网用户规模巨大,但一些用户安全意识薄弱,随意访问非法网站,下载含有病毒或恶意程序的文件,从而导致校园网存在极大地安全隐患。因此要加强校园网用户的网络安全意識教育,使其自觉遵守网络安全制度,提高防范网络隐患的能力。同时要对网络管理人员进行知识及技术的培训,提高维护网络安全的警惕性和应对各种攻击的能力,更好地对网络进行监控和管理,在发现新病毒或系统安全漏洞威胁网络安全时,管理员要及时启动应急响应。
4结语
高校校园网的安全防御涉及环境、设备、技术、管理和制度等多方面的因素,因此要综合运用防火墙技术、病毒防护技术、入侵检测技术、数据备份和恢复技术建立一个立体化全方位的安全防御体系。同时要加强安全管理,做到技术与管理并重,加强安全管理体制的执行力度,使校园网安全高效的运行,为教职工和学生提供更为便利的科研、教学及管理环境。
参考文献
[1]吴辉明,王彪. 对当前校园网络信息安全的威胁与防范分析[J]. 信息通信,2015,(7).
[2]林永菁. 多层次校园网络安全设计[J]. 吉林师范大学学报(自然科学版),2009,(3).
[3]杨凯雪. 高校校园网安全防御体系的构建[J]. 中国科技信息,2015,(02).
[4]徐大伟. 基于高校校园网安全问题的分析与对策[J]. 长春师范学院学报(自然科学版),2005,24(12):6466.