论文部分内容阅读
摘 要 校园网网络信息安全是一个系统工程,加强校园网络安全已经成为当前各高校网络建设中不可忽视的问题。就当前高校网络安全的现状及特点,提出校园网存在的问题及加强校园网网络安全的主要措施。
关键词 校园网;网络安全;虚拟局域网
中图分类号:TP393.08 文献标识码:B 文章编号:1671-489X(2013)06-0047-03
随着Internet的飞速发展,因特网上丰富的资源吸引着越来越多的用户接入Internet,随之而来的校园网的网络安全问题也日益显得突出,各种各样的安全问题威胁着校园网的正常运行,给学校教学、科研、管理和对外交流带来重大影响。因此,校园网安全问题已经成为当前各高校网络建设中不可忽视的问题。本文就影响校园网网络安全的主要因素及防御措施进行探讨。
1 校园网络安全存在的问题
目前校园网面临的安全问题主要有硬件设备的安全、操作系统存在的漏洞、病毒侵害、黑客攻击、垃圾邮件、网络管理方面、用户安全意识薄弱等。
1.1 硬件设备的安全问题
硬件设备是整个校园网络系统的物质基础,保证计算机信息系统各种设备的安全是保障整个校园网络系统安全的前提。由于现在很多学校受人力、物力、财力、技术水平等因素的限制,不少校园网没有采取必要的防护措施,抵御自然灾害和意外事故的能力较差,造成的网络设备损坏、数据丢失的现象屡见不鲜。
1.2 操作系统存在的漏洞
普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。网络系统的安全性能完全依赖主机安装的操作系统的安全。目前,被广泛使用的操作系统主要有Unix、Windows和Linux等,这些操作系统都存在大量已知和未知的漏洞,众多的计算机病毒就是利用操作系统的漏洞进行攻击与传染。
1.3 病毒侵害
校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速、大容量的局域网中,各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散,由于它是在网络上传播的,加快了病毒的传播速度,造成网络阻塞甚至瘫痪,给网络带来灾难性后果。如ARP病毒,病毒发作时表现为计算机网络连接正常,能Ping通局域网内机器却无法Ping通网关,用户频繁断网,IE浏览器频繁出错;或由于ARP欺骗的木马程序发作时发出大量的欺骗性广播包,导致局域网内用户上网不稳定,极大地影响用户的正常使用,给整个校园网的安全带来严重的隐患。
1.4 黑客攻击
黑客攻击是窃取信息、破坏网络、制造干扰等为目的的攻击行为。攻击的方式大致分为:
1)欺骗,在网络中,一台主机假冒另一台实体的攻击;
2)中间人攻击,攻击者往往利用一些网上监听工具,截取两台通信主机没有加密的信息;
3)拒绝服务攻击,在短时内提交大量针对某个网站的交易,该网站就可能因为不能及时处理这些交易而拒绝新的访问;
4)口令破解,它可能使黑客猜测到系统中重要用户的口令而破坏系统;
5)系统漏洞,黑客利用软件或硬件设计的缺陷来实施对目标的破坏。
1.5 垃圾邮件
随着计算机网络的普及,电子邮件已经成为人们现实生活工作中必不可少的信息交流手段,但是同时又是最容易受非法信息污染的环节。垃圾邮件的出现严重干扰了人们的日常工作与生活,特别是病毒类的垃圾邮件,已经严重威胁到用户信息的安全。有些学校虽然使用的是内部的邮件系统,但是没有任何反垃圾邮件、病毒邮件的监管措施,使得邮件系统成为大部分学校局域网内的安全隐患。
1.6 管理方面存在的问题
严格的管理是校园网安全的重要措施。很多学校在建设校园网的时候,大多是重建设、轻管理,对网络安全保护不够重视,缺乏完善的网络安全管理制度,网络安全管理意识淡薄;人力、财力、物力投入不够,并且在执行安全管理制度的时候往往并不到位;对于重要的资源,没有采用安全访问控制策略,非授权用户能够非法访问重要资源。这样会造成信息丢失、数据损坏、系统瘫痪等严重后果。
2 加强校园网网络安全的主要措施
校园网网络安全一旦出现问题,势必给校园网造成危害,因此,一定要采取措施,确保校园网的安全。
2.1 优化硬件,加强设备的管理与保护
校园网建设投资巨大,为了保障校园网硬件设备的正常运行,首先要保证硬件系统的物理安全,采取适当措施加强网络设备的管理与保护。因此,许多高校建设了高标准的IDC(Internet Data Center)机房,主要包括配置精密空调系统、机房环境监控系统、UPS系统、门禁系统、气体灭火系统、防雷与接地系统等,构建安全、稳定的网络运行环境。将主要网络设备集中在IDC(Internet Data Center)机房放置管理,共享机房资源,进行统一监管,提高网络运行的可靠性和安全性。
2.2 加强漏洞扫描,及时打上补丁
利用网络安全扫描工具,查找网络安全漏洞,评估风险并提出修改建议。采用漏洞扫描系统定期对工作站、服务器进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,建议建立校园网操作系统补丁服务器,对全校所有办公用计算机的操作系统随时提供补丁的升级更新、下载、安装服务,发现问题及时处理。最大可能地弥补最新的安全漏洞和消除安全隐患,否则计算机即使安装了防毒软件,也会反复感染,影响整个网络。
2.3 安装杀毒软件,及时升级
对于计算机病毒的防范,必须安装防病毒软件。防病毒软件分为网络版和单机版,单机版是安装在单台计算机上,只能保护单台计算机;网络版安装在网络服务器上,管理着整个网络。如果只安装单机版,网络上个别计算机感染上病毒,有时也会影响整个网段的正常工作,如某台计算机感染震荡波病毒,整个网段就会堵塞甚至瘫痪。作为校园网最好是安装网络版杀毒软件,这样才能保证整个网络的安全和稳定。杀毒软件要做到及时升级,只有及时升级才能保证防御新出现的病毒。 2.4 采用防火墙,防止受攻击
防火墙是一种隔离控制技术,是一个用以阻止网络中的黑客访问某个机构网络的屏障。通过防火墙把内、外网进行隔离,外网口与Internet连接,内网口连接核心交换机,DMZ接口连接对外访问的服务器。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、偷窃或破坏网络上的重要信息。
防火墙有硬件防火墙和软件防火墙,硬件防火墙是安装在校园网的入口处,以减少外部对校园网的攻击;软件防火墙一般安装在主机上,它既可以防止来自外网,也可以防止来自局域网内部的攻击。
2.5 邮件过滤,完善电子邮件系统
在垃圾邮件控制和防范方面,可利用邮件过滤技术,如采用eyou公司的网关系统。网关采用从TCP链接到内容识别等多层有先进技术的过滤,可有效对抗最新的垃圾邮件发送手段。网关在邮件传输中的多个阶段设置了多层过滤引擎,通过采用改进的贝叶斯算法和庞大的垃圾邮件知识库以及智能垃圾邮件识别引擎,实现对垃圾邮件、有害信息、病毒邮件的有效过滤,可有效识别多种语言的垃圾邮件,抗干扰力强,识别率超过95%,同时保持了极低的误判率,还提供了详尽的日志信息和统计功能,方便信息查询。
邮件过滤网关能有效地过滤垃圾邮件和病毒邮件,防范不良信息,保证校园网用户的信息安全。
2.6 规范制度,加强管理
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证。首先,制订一系列完善的规章制度(如《校园计算机网络管理办法》《校园网IP地址管理暂行规定》《校园信息发布及保密管理暂行规定》等),以确保校园计算机网络正常运行。其次,要不断加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识,使他们自觉遵守和执行安全制度、安全操作规程和安全技术规范,尽可能地把不安全的因素降到最低。学校还应当成立信息安全领导小组,并明确其职责和工作制度,制订安全事故处理程序、应急计划等。
2.7 建立入侵检测系统
入侵检测系统,顾名思义是对入侵行为的检测。入侵检测技术是一种主动保护自己免受攻击的网络安全技术,作为防火墙的合理补充。入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基层结构的完整性。入侵监测系统的主要功能有:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并且识别违反安全隐患策略的用户活动。如NetWatch网络监控与入侵检测系统软件,该软件具有对网络进行实时监控、自动或手动切断网络连接、孤立堵塞网络主机、防止ARP欺骗、入侵检测等功能,支持防火墙的互动,具有灵活的过滤规则制定方式。
2.8 采用VLAN技术
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。VLAN技术的实现原理是通过交换机的控制,某一VLAN成员发出的数据包只发给同一VLAN的其他成员,而不会发给该VLAN成员以外的计算机。运用VLAN技术将校园网按功能划分成几个不同的网段,各网段子网之间彼此隔离,杜绝病毒和木马在整个网络上传播,是一个加强校园网络管理的有效手段。VLAN可以改善网络的通信效率,避免广播风暴,使网络的组织更具灵活性,网络管理简单直观,提高网络的整体安全性。
2.9 网络数据备份和恢复
校园网网络系统的安全所围绕的中心是其中的数据,因此,加强数据的保护是网络安全的重中之重。设备可以替换,但数据被破坏或丢失,其损失无法计量。必须认真对待文件备份、数据冗余等问题,对重要数据及数据库系统进行定期备份,并注意备份数据的安全有效,一旦系统出现故障、网络遭到破坏时,能够在最短的时间恢复数据,保证网络系统的正常运行。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息备份包括对网络设备的配置信息、服务器数据等的备份。
3 结语
数据是整个校园网信息安全的核心,设计一套完整的数据备份和恢复系统也是校园网迫切需要的。它要考虑多方面因素,如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离及数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。
参考文献
[1]姜贵平,武装,姜贵君,等.局域网组建与管理实训教程[M].北京:清华大学出版社,2007.
[2]吴企渊.计算机网络[M].2版.北京:清华大学出版社,2004.
[3]福建星网锐捷网络有限公司网络大学.实用网络技术配置指南进阶篇[M].北京:北京希望电子出版社,2005.
[4]Cisco Networking Academy Program. Cisco Networking Academy Program CCNA 3 and 4[M].天津大学,电子科技大学,中山大学,译.北京:人民邮电出版社,2005.
[5]李庆.校园网信息安全与防范[J].辽宁师专学报,2005,7(1):29-30.
[6]陈斌.校园网络安全问题分析与防范策略研究[J].信息与电脑,2010(8):3-4.
[7]杨秋田.校园网安全研究[J].武警学院学报,2010,26(9):90-93.
[8]黄锋.高校校园网信息安全突发事件:危机预防中存在的问题及其对策研究[J].咸宁学院学报2010,30(9):159-161.
关键词 校园网;网络安全;虚拟局域网
中图分类号:TP393.08 文献标识码:B 文章编号:1671-489X(2013)06-0047-03
随着Internet的飞速发展,因特网上丰富的资源吸引着越来越多的用户接入Internet,随之而来的校园网的网络安全问题也日益显得突出,各种各样的安全问题威胁着校园网的正常运行,给学校教学、科研、管理和对外交流带来重大影响。因此,校园网安全问题已经成为当前各高校网络建设中不可忽视的问题。本文就影响校园网网络安全的主要因素及防御措施进行探讨。
1 校园网络安全存在的问题
目前校园网面临的安全问题主要有硬件设备的安全、操作系统存在的漏洞、病毒侵害、黑客攻击、垃圾邮件、网络管理方面、用户安全意识薄弱等。
1.1 硬件设备的安全问题
硬件设备是整个校园网络系统的物质基础,保证计算机信息系统各种设备的安全是保障整个校园网络系统安全的前提。由于现在很多学校受人力、物力、财力、技术水平等因素的限制,不少校园网没有采取必要的防护措施,抵御自然灾害和意外事故的能力较差,造成的网络设备损坏、数据丢失的现象屡见不鲜。
1.2 操作系统存在的漏洞
普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。网络系统的安全性能完全依赖主机安装的操作系统的安全。目前,被广泛使用的操作系统主要有Unix、Windows和Linux等,这些操作系统都存在大量已知和未知的漏洞,众多的计算机病毒就是利用操作系统的漏洞进行攻击与传染。
1.3 病毒侵害
校园网的特点是用户量大、上网时间长、在线用户比例高,在这种高速、大容量的局域网中,各种计算机病毒和蠕虫都容易通过用户的不小心或有漏洞的系统迅速传播扩散,由于它是在网络上传播的,加快了病毒的传播速度,造成网络阻塞甚至瘫痪,给网络带来灾难性后果。如ARP病毒,病毒发作时表现为计算机网络连接正常,能Ping通局域网内机器却无法Ping通网关,用户频繁断网,IE浏览器频繁出错;或由于ARP欺骗的木马程序发作时发出大量的欺骗性广播包,导致局域网内用户上网不稳定,极大地影响用户的正常使用,给整个校园网的安全带来严重的隐患。
1.4 黑客攻击
黑客攻击是窃取信息、破坏网络、制造干扰等为目的的攻击行为。攻击的方式大致分为:
1)欺骗,在网络中,一台主机假冒另一台实体的攻击;
2)中间人攻击,攻击者往往利用一些网上监听工具,截取两台通信主机没有加密的信息;
3)拒绝服务攻击,在短时内提交大量针对某个网站的交易,该网站就可能因为不能及时处理这些交易而拒绝新的访问;
4)口令破解,它可能使黑客猜测到系统中重要用户的口令而破坏系统;
5)系统漏洞,黑客利用软件或硬件设计的缺陷来实施对目标的破坏。
1.5 垃圾邮件
随着计算机网络的普及,电子邮件已经成为人们现实生活工作中必不可少的信息交流手段,但是同时又是最容易受非法信息污染的环节。垃圾邮件的出现严重干扰了人们的日常工作与生活,特别是病毒类的垃圾邮件,已经严重威胁到用户信息的安全。有些学校虽然使用的是内部的邮件系统,但是没有任何反垃圾邮件、病毒邮件的监管措施,使得邮件系统成为大部分学校局域网内的安全隐患。
1.6 管理方面存在的问题
严格的管理是校园网安全的重要措施。很多学校在建设校园网的时候,大多是重建设、轻管理,对网络安全保护不够重视,缺乏完善的网络安全管理制度,网络安全管理意识淡薄;人力、财力、物力投入不够,并且在执行安全管理制度的时候往往并不到位;对于重要的资源,没有采用安全访问控制策略,非授权用户能够非法访问重要资源。这样会造成信息丢失、数据损坏、系统瘫痪等严重后果。
2 加强校园网网络安全的主要措施
校园网网络安全一旦出现问题,势必给校园网造成危害,因此,一定要采取措施,确保校园网的安全。
2.1 优化硬件,加强设备的管理与保护
校园网建设投资巨大,为了保障校园网硬件设备的正常运行,首先要保证硬件系统的物理安全,采取适当措施加强网络设备的管理与保护。因此,许多高校建设了高标准的IDC(Internet Data Center)机房,主要包括配置精密空调系统、机房环境监控系统、UPS系统、门禁系统、气体灭火系统、防雷与接地系统等,构建安全、稳定的网络运行环境。将主要网络设备集中在IDC(Internet Data Center)机房放置管理,共享机房资源,进行统一监管,提高网络运行的可靠性和安全性。
2.2 加强漏洞扫描,及时打上补丁
利用网络安全扫描工具,查找网络安全漏洞,评估风险并提出修改建议。采用漏洞扫描系统定期对工作站、服务器进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,建议建立校园网操作系统补丁服务器,对全校所有办公用计算机的操作系统随时提供补丁的升级更新、下载、安装服务,发现问题及时处理。最大可能地弥补最新的安全漏洞和消除安全隐患,否则计算机即使安装了防毒软件,也会反复感染,影响整个网络。
2.3 安装杀毒软件,及时升级
对于计算机病毒的防范,必须安装防病毒软件。防病毒软件分为网络版和单机版,单机版是安装在单台计算机上,只能保护单台计算机;网络版安装在网络服务器上,管理着整个网络。如果只安装单机版,网络上个别计算机感染上病毒,有时也会影响整个网段的正常工作,如某台计算机感染震荡波病毒,整个网段就会堵塞甚至瘫痪。作为校园网最好是安装网络版杀毒软件,这样才能保证整个网络的安全和稳定。杀毒软件要做到及时升级,只有及时升级才能保证防御新出现的病毒。 2.4 采用防火墙,防止受攻击
防火墙是一种隔离控制技术,是一个用以阻止网络中的黑客访问某个机构网络的屏障。通过防火墙把内、外网进行隔离,外网口与Internet连接,内网口连接核心交换机,DMZ接口连接对外访问的服务器。利用防火墙在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、偷窃或破坏网络上的重要信息。
防火墙有硬件防火墙和软件防火墙,硬件防火墙是安装在校园网的入口处,以减少外部对校园网的攻击;软件防火墙一般安装在主机上,它既可以防止来自外网,也可以防止来自局域网内部的攻击。
2.5 邮件过滤,完善电子邮件系统
在垃圾邮件控制和防范方面,可利用邮件过滤技术,如采用eyou公司的网关系统。网关采用从TCP链接到内容识别等多层有先进技术的过滤,可有效对抗最新的垃圾邮件发送手段。网关在邮件传输中的多个阶段设置了多层过滤引擎,通过采用改进的贝叶斯算法和庞大的垃圾邮件知识库以及智能垃圾邮件识别引擎,实现对垃圾邮件、有害信息、病毒邮件的有效过滤,可有效识别多种语言的垃圾邮件,抗干扰力强,识别率超过95%,同时保持了极低的误判率,还提供了详尽的日志信息和统计功能,方便信息查询。
邮件过滤网关能有效地过滤垃圾邮件和病毒邮件,防范不良信息,保证校园网用户的信息安全。
2.6 规范制度,加强管理
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证。首先,制订一系列完善的规章制度(如《校园计算机网络管理办法》《校园网IP地址管理暂行规定》《校园信息发布及保密管理暂行规定》等),以确保校园计算机网络正常运行。其次,要不断加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识,使他们自觉遵守和执行安全制度、安全操作规程和安全技术规范,尽可能地把不安全的因素降到最低。学校还应当成立信息安全领导小组,并明确其职责和工作制度,制订安全事故处理程序、应急计划等。
2.7 建立入侵检测系统
入侵检测系统,顾名思义是对入侵行为的检测。入侵检测技术是一种主动保护自己免受攻击的网络安全技术,作为防火墙的合理补充。入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基层结构的完整性。入侵监测系统的主要功能有:监测并分析用户和系统的活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并且识别违反安全隐患策略的用户活动。如NetWatch网络监控与入侵检测系统软件,该软件具有对网络进行实时监控、自动或手动切断网络连接、孤立堵塞网络主机、防止ARP欺骗、入侵检测等功能,支持防火墙的互动,具有灵活的过滤规则制定方式。
2.8 采用VLAN技术
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。VLAN技术的实现原理是通过交换机的控制,某一VLAN成员发出的数据包只发给同一VLAN的其他成员,而不会发给该VLAN成员以外的计算机。运用VLAN技术将校园网按功能划分成几个不同的网段,各网段子网之间彼此隔离,杜绝病毒和木马在整个网络上传播,是一个加强校园网络管理的有效手段。VLAN可以改善网络的通信效率,避免广播风暴,使网络的组织更具灵活性,网络管理简单直观,提高网络的整体安全性。
2.9 网络数据备份和恢复
校园网网络系统的安全所围绕的中心是其中的数据,因此,加强数据的保护是网络安全的重中之重。设备可以替换,但数据被破坏或丢失,其损失无法计量。必须认真对待文件备份、数据冗余等问题,对重要数据及数据库系统进行定期备份,并注意备份数据的安全有效,一旦系统出现故障、网络遭到破坏时,能够在最短的时间恢复数据,保证网络系统的正常运行。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息备份包括对网络设备的配置信息、服务器数据等的备份。
3 结语
数据是整个校园网信息安全的核心,设计一套完整的数据备份和恢复系统也是校园网迫切需要的。它要考虑多方面因素,如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离及数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。
参考文献
[1]姜贵平,武装,姜贵君,等.局域网组建与管理实训教程[M].北京:清华大学出版社,2007.
[2]吴企渊.计算机网络[M].2版.北京:清华大学出版社,2004.
[3]福建星网锐捷网络有限公司网络大学.实用网络技术配置指南进阶篇[M].北京:北京希望电子出版社,2005.
[4]Cisco Networking Academy Program. Cisco Networking Academy Program CCNA 3 and 4[M].天津大学,电子科技大学,中山大学,译.北京:人民邮电出版社,2005.
[5]李庆.校园网信息安全与防范[J].辽宁师专学报,2005,7(1):29-30.
[6]陈斌.校园网络安全问题分析与防范策略研究[J].信息与电脑,2010(8):3-4.
[7]杨秋田.校园网安全研究[J].武警学院学报,2010,26(9):90-93.
[8]黄锋.高校校园网信息安全突发事件:危机预防中存在的问题及其对策研究[J].咸宁学院学报2010,30(9):159-161.