緒論:在尋找寫(xiě)作靈感嗎�����?愛(ài)發(fā)表網(wǎng)為您精選了8篇校園網(wǎng)絡(luò)安全論文�����,愿這些內(nèi)容能夠啟迪您的思維���,激發(fā)您的創(chuàng)作熱情,歡迎您的閱讀與分享���!
篇1
關(guān)鍵詞:校園網(wǎng)��;網(wǎng)絡(luò)安全����;防范措施�;防火墻;VLAN技術(shù)
校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備����、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類(lèi)系統(tǒng)管理軟件和應(yīng)用軟件�����,將校園內(nèi)計(jì)算機(jī)和各種終端設(shè)備有機(jī)地集成在一起���,用于教學(xué)、科研���、管理�、資源共享等方面的局域網(wǎng)絡(luò)系統(tǒng)��。校園網(wǎng)絡(luò)安全是指學(xué)校網(wǎng)絡(luò)系統(tǒng)的硬件����、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然和惡意等因素而遭到破壞����、更改、泄密����,保障校園網(wǎng)的正常運(yùn)行���。隨著“校校通”工程的深入實(shí)施,學(xué)校教育信息化�����、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代的教育的發(fā)展方向�。目前校園網(wǎng)絡(luò)內(nèi)存在很大的安全隱患����,建立一套切實(shí)可行的校園網(wǎng)絡(luò)防范措施,已成為校園網(wǎng)絡(luò)建設(shè)中面臨和亟待解決的重要問(wèn)題��。
一�、校園網(wǎng)絡(luò)安全現(xiàn)狀分析
(一)網(wǎng)絡(luò)安全設(shè)施配備不夠
學(xué)校在建立自己的內(nèi)網(wǎng)時(shí),由于意識(shí)薄弱與經(jīng)費(fèi)投入不足等方面的原因�����,比如將原有的單機(jī)互聯(lián)����,使用原有的網(wǎng)絡(luò)設(shè)施;校園網(wǎng)絡(luò)的各種硬件設(shè)備以及保存數(shù)據(jù)的光盤(pán)等都有可能因?yàn)樽匀灰蛩氐膿p害而導(dǎo)致數(shù)據(jù)的丟失���、泄露或網(wǎng)絡(luò)中斷����;機(jī)房設(shè)計(jì)不合理,溫度��、濕度不適應(yīng)以及無(wú)抗靜電�����、抗磁干擾等設(shè)施��;網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足�����,沒(méi)有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備等等��;以上情況都使得校園網(wǎng)絡(luò)基本處在一個(gè)開(kāi)放的狀態(tài)��,沒(méi)有有效的安全預(yù)警手段和防范措施��。
(二)學(xué)校校園網(wǎng)絡(luò)上的用戶(hù)網(wǎng)絡(luò)信息安全意識(shí)淡薄���、管理制度不完善
學(xué)校師生對(duì)網(wǎng)絡(luò)安全知識(shí)甚少���,安全意識(shí)淡薄��,U盤(pán)���、移動(dòng)硬盤(pán)、手機(jī)等存貯介質(zhì)隨意使用����;學(xué)校網(wǎng)絡(luò)管理人員缺乏必要的專(zhuān)業(yè)知識(shí)�����,不能安全地配置和管理網(wǎng)絡(luò)����;學(xué)校機(jī)房的登記管理制度不健全,允許不應(yīng)進(jìn)入的人進(jìn)入機(jī)房����;學(xué)校師生上網(wǎng)身份無(wú)法唯一識(shí)別,不能有效的規(guī)范和約束師生的非法訪問(wèn)行為�;缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)���,使學(xué)校的網(wǎng)絡(luò)管理混亂�;缺乏校園師生上網(wǎng)的有效監(jiān)控和日志�����;計(jì)算機(jī)安裝還原卡或使用還原軟件��,關(guān)機(jī)后啟動(dòng)即恢復(fù)到初始狀態(tài)����,這些導(dǎo)致校園網(wǎng)形成很大的安全漏洞。
(三)學(xué)校校園網(wǎng)中各主機(jī)和各終端所使用的操作系統(tǒng)和應(yīng)用軟件均不可避免地存在各種安全“漏洞”或“后門(mén)”
大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞”及“后門(mén)”所造成的����。網(wǎng)絡(luò)中所使用的網(wǎng)管設(shè)備和軟件絕大多數(shù)是舶來(lái)品,加上系統(tǒng)管理員以及終端用戶(hù)在系統(tǒng)設(shè)置時(shí)可能存在各種不合理操作�����,在網(wǎng)絡(luò)上運(yùn)行時(shí)���,這些網(wǎng)絡(luò)系統(tǒng)和接口都相應(yīng)增加網(wǎng)絡(luò)的不安全因素��。
(四)計(jì)算機(jī)病毒�����、網(wǎng)絡(luò)病毒泛濫�,造成網(wǎng)絡(luò)性能急劇下降,重要數(shù)據(jù)丟失
網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性��,傳播到網(wǎng)絡(luò)服務(wù)器�,進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染,危害極大����。感染計(jì)算機(jī)病毒、蠕蟲(chóng)和木馬程序是最突出的網(wǎng)絡(luò)安全情況�����,遭到端口掃描�����、黑客攻擊�、網(wǎng)頁(yè)篡改或垃圾郵件次之�����。校園網(wǎng)中教師和學(xué)生對(duì)文件下載、電子郵件�、QQ聊天的廣泛使用,使得校園網(wǎng)內(nèi)病毒泛濫���。計(jì)算機(jī)病毒是一種人為編制的程序���,它具有傳染性、隱蔽性��、激發(fā)性�、復(fù)制性、破壞性等特點(diǎn)�����。它的破壞性是巨大的��,一旦學(xué)校網(wǎng)絡(luò)中的一臺(tái)電腦感染上病毒�,就很可能在短短幾分鐘中內(nèi)使病毒蔓延到整個(gè)校園網(wǎng)絡(luò),只要網(wǎng)絡(luò)中有幾臺(tái)電腦中毒����,就會(huì)堵塞出口�����,導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”���,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓?���!秴⒖枷ⅰ?989年8月2日刊登的一則評(píng)論,列出了下個(gè)世紀(jì)的國(guó)際恐怖活動(dòng)將采用五種新式武器和手段����,計(jì)算機(jī)病毒名列第二,這給未來(lái)的信息系統(tǒng)投上了一層陰影�。從近期的“熊貓燒香”、“灰鴿子”�����、“仇英”���、“艾妮”等網(wǎng)絡(luò)病毒的爆發(fā)中可以看出,網(wǎng)絡(luò)病毒的防范任務(wù)越來(lái)越嚴(yán)峻���。
綜上所述��,學(xué)校校園網(wǎng)絡(luò)的安全形勢(shì)非常嚴(yán)峻���,在這種情況下�����,學(xué)校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行����,同時(shí)又能提供豐富的網(wǎng)絡(luò)資源���,保障辦公�、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題����。根據(jù)校園網(wǎng)絡(luò)面臨的安全問(wèn)題,文章提出以下校園網(wǎng)絡(luò)安全防范措施���。
二�、校園網(wǎng)絡(luò)的主要防范措施
(一)服務(wù)器
學(xué)校在建校園網(wǎng)絡(luò)之時(shí)配置一臺(tái)服務(wù)器����,它是校園網(wǎng)和互聯(lián)網(wǎng)之間的中介�����,在服務(wù)器上執(zhí)行服務(wù)的軟件應(yīng)用程序����,對(duì)服務(wù)器進(jìn)行一些必要的設(shè)置��。校園網(wǎng)內(nèi)用戶(hù)訪問(wèn)Internet都是通過(guò)服務(wù)器�����,服務(wù)器會(huì)檢查用戶(hù)的訪問(wèn)請(qǐng)求是否符合規(guī)定�����,才會(huì)到被用戶(hù)訪問(wèn)的站點(diǎn)取回所需信息再轉(zhuǎn)發(fā)給用戶(hù)��。這樣��,既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶(hù)非法訪問(wèn)或破壞����,也可以阻止內(nèi)部用戶(hù)對(duì)外部不良資源的濫用,外部網(wǎng)絡(luò)只能看到該服務(wù)器而無(wú)法獲知內(nèi)部網(wǎng)絡(luò)上的任何計(jì)算機(jī)信息��,整個(gè)校園網(wǎng)絡(luò)只有服務(wù)器是可見(jiàn)的�,從而大大增強(qiáng)了校園網(wǎng)絡(luò)的安全性(二)防火墻
防火墻系統(tǒng)是一種建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)產(chǎn)品,是一種使用較早的�����、也是目前使用較廣泛的網(wǎng)絡(luò)安全防范產(chǎn)品之一��。它是軟件或硬件設(shè)備的組合���,通常被用來(lái)進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù)����。防火墻通過(guò)控制和檢測(cè)網(wǎng)絡(luò)之中的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理�,在網(wǎng)絡(luò)間建立一個(gè)安全網(wǎng)關(guān),對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行過(guò)濾(允許/拒絕)�����,控制數(shù)據(jù)包的進(jìn)出����,封堵某些禁止行為����,提供網(wǎng)絡(luò)使用狀況(網(wǎng)絡(luò)數(shù)據(jù)的實(shí)時(shí)/事后分析及處理�,網(wǎng)絡(luò)數(shù)據(jù)流動(dòng)情況的監(jiān)控分析,通過(guò)日志分析��,獲取時(shí)間��、地址���、協(xié)議和流量��,網(wǎng)絡(luò)是否受到監(jiān)視和攻擊)�����,對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)和告警等等�,最大限度地防止惡意或非法訪問(wèn)存取����,有效的阻止破壞者對(duì)計(jì)算機(jī)系統(tǒng)的破壞,可以最大限度地保證校園網(wǎng)應(yīng)用服務(wù)系統(tǒng)的安全工作�。(三)防治網(wǎng)絡(luò)病毒
校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系�����,建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度��,定期對(duì)各工作站進(jìn)行維護(hù),對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施����。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作����,學(xué)校應(yīng)在網(wǎng)內(nèi)有可能感染和傳播病毒的地方采用相應(yīng)的防病毒手段,在服務(wù)器和各辦公室�、工作站上安裝瑞星殺毒軟件網(wǎng)絡(luò)版,對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù)����,定時(shí)升級(jí)文件并查毒殺毒,使整個(gè)校園網(wǎng)絡(luò)有防病毒能力����。
(四)口令加密和訪問(wèn)控制
校園網(wǎng)絡(luò)管理員通過(guò)對(duì)校園師生用戶(hù)設(shè)置用戶(hù)名和口令加密驗(yàn)證,加強(qiáng)對(duì)網(wǎng)絡(luò)的監(jiān)控以及對(duì)用戶(hù)的管理���。網(wǎng)管理員要對(duì)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)設(shè)備路由器���、交換機(jī)����、防火墻�、服務(wù)器的配置均設(shè)有口令加密保護(hù),賦予用戶(hù)一定的訪問(wèn)存取權(quán)限���、口令字等安全保密措施����,用戶(hù)只能在其權(quán)限內(nèi)進(jìn)行操作���,合理設(shè)置網(wǎng)絡(luò)共享文件��,對(duì)各工作站的網(wǎng)絡(luò)軟件文件屬性可采取隱含��、只讀等加密措施���,建立嚴(yán)格的網(wǎng)絡(luò)安全日志和審查系統(tǒng),建立詳細(xì)的用戶(hù)信息數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)主機(jī)登錄日志����、交換機(jī)及路由器日志、網(wǎng)絡(luò)服務(wù)器日志����、內(nèi)部用戶(hù)非法活動(dòng)日志等,定時(shí)對(duì)其進(jìn)行審查分析���,及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)中發(fā)生的安全事故,有效地保護(hù)網(wǎng)絡(luò)安全����。
(五)VLAN(虛擬局域網(wǎng))技術(shù)
VLAN(虛擬局域網(wǎng))技術(shù),是指在交換局域網(wǎng)的基礎(chǔ)上�����,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段�、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。根據(jù)實(shí)際需要?jiǎng)澐殖龆鄠€(gè)安全等級(jí)不同的網(wǎng)絡(luò)分段�。學(xué)校要將不同類(lèi)型的用戶(hù)劃分在不同的VLAN中,將校園網(wǎng)絡(luò)劃分成幾個(gè)子網(wǎng)�。將用戶(hù)限制在其所在的VLAN里���,防止各用戶(hù)之間隨意訪問(wèn)資源。各個(gè)子網(wǎng)間通過(guò)路由器��、交換機(jī)�、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,網(wǎng)絡(luò)管理員借助VLAN技
術(shù)管理整個(gè)網(wǎng)絡(luò)����,通過(guò)設(shè)置命令,對(duì)每個(gè)子網(wǎng)進(jìn)行單獨(dú)管理�,根據(jù)特定需要隔離故障,阻止非法用戶(hù)非法訪問(wèn)�����,防止網(wǎng)絡(luò)病毒���、木馬程序����,從而在整個(gè)網(wǎng)絡(luò)環(huán)境下�����,計(jì)算機(jī)能安全運(yùn)行。
(六)系統(tǒng)備份和數(shù)據(jù)備份
雖然有各種防范手段���,但仍會(huì)有突發(fā)事件給網(wǎng)絡(luò)系統(tǒng)帶來(lái)不可預(yù)知的災(zāi)難�,對(duì)網(wǎng)絡(luò)系統(tǒng)軟件應(yīng)該有專(zhuān)人管理���,定期做好服務(wù)器系統(tǒng)�、網(wǎng)絡(luò)通信系統(tǒng)����、應(yīng)用軟件及各種資料數(shù)據(jù)的數(shù)據(jù)備份工作,并建立網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案�,對(duì)網(wǎng)上各工作站的資源分配情況���、故障情況�、維修記錄分別記錄在網(wǎng)絡(luò)資源表和網(wǎng)絡(luò)設(shè)備檔案上��。這些都是保證網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行的重要手段�����。
(七)入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem��,IDS)
IDS是一種網(wǎng)絡(luò)安全系統(tǒng),是對(duì)防火墻有益的補(bǔ)充����。當(dāng)有敵人或者惡意用戶(hù)試圖通過(guò)Internet進(jìn)入網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí),IDS能檢測(cè)和發(fā)現(xiàn)入侵行為并報(bào)警�����,通知網(wǎng)絡(luò)采取措施響應(yīng)����。即使被入侵攻擊,IDS收集入侵攻擊的相關(guān)信息����,記錄事件,自動(dòng)阻斷通信連接��,重置路由器��、防火墻����,同時(shí)及時(shí)發(fā)現(xiàn)并提出解決方案,列出可參考的網(wǎng)絡(luò)和系統(tǒng)中易被黑客利用的薄弱環(huán)節(jié)���,增強(qiáng)系統(tǒng)的防范能力����,避免系統(tǒng)再次受到入侵。入侵檢測(cè)系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)����,提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)����,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵,大大提高了網(wǎng)絡(luò)的安全性�����。
(八)增強(qiáng)網(wǎng)絡(luò)安全意識(shí)����、健全學(xué)校統(tǒng)一規(guī)范管理制度
根據(jù)學(xué)校實(shí)際情況�����,對(duì)師生進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)教育�����,使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。制定相關(guān)的網(wǎng)絡(luò)安全管理制度(網(wǎng)絡(luò)操作使用規(guī)程���、人員出入機(jī)房管理制度�、工作人員操作規(guī)程和保密制度等)�。安排專(zhuān)人負(fù)責(zé)校園網(wǎng)絡(luò)的安全保護(hù)管理工作,對(duì)學(xué)校專(zhuān)業(yè)技術(shù)人員定期進(jìn)行安全教育和培訓(xùn)�,提高工作人員的網(wǎng)絡(luò)安全的警惕性和自覺(jué)性,并安排專(zhuān)業(yè)技術(shù)人員定期對(duì)校園網(wǎng)進(jìn)行維護(hù)��。
三�、結(jié)論
校園網(wǎng)的安全問(wèn)題是一個(gè)較為復(fù)雜的系統(tǒng)工程,長(zhǎng)期以來(lái)��,從病毒���、黑客與防范措施的發(fā)展來(lái)看�,總是“道高一尺����,魔高一丈”,沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),只有通過(guò)綜合運(yùn)用多項(xiàng)措施����,加強(qiáng)管理,建立一套真正適合校園網(wǎng)絡(luò)的安全體系���,提高校園網(wǎng)絡(luò)的安全防范能力���。
參考文獻(xiàn):
1、王文壽,王珂.網(wǎng)管員必備寶典——網(wǎng)絡(luò)安全[M].清華大學(xué)出版社,2006.
2���、張公忠.現(xiàn)代網(wǎng)絡(luò)技術(shù)教程[M].清華大學(xué)出版社,2004.
3���、劉清山.網(wǎng)絡(luò)安全措施[M].電子工業(yè)出版社,2000.
4、謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].大連理工大學(xué)出版社,2000.
5����、張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財(cái)經(jīng)高等專(zhuān)科學(xué)校學(xué)報(bào),2002(8).
6、李衛(wèi).計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2004.
篇2
網(wǎng)絡(luò)系統(tǒng)構(gòu)建之前����,首選需要弄清楚的就是網(wǎng)絡(luò)安全運(yùn)行需求�,這是后期制定安全運(yùn)行方案的基礎(chǔ)和前提。一般情況下,校園網(wǎng)絡(luò)安全需求主要涉及到以下幾個(gè)方面內(nèi)容:其一����,在網(wǎng)絡(luò)互聯(lián)的基礎(chǔ)上保證通訊處于安全狀態(tài),這是最基本的要求����;其二,服務(wù)器系統(tǒng)安全檢測(cè)�,評(píng)估效能的發(fā)揮,能夠?qū)τ诓话踩袨檫M(jìn)行阻擋���,以保證系統(tǒng)的安全運(yùn)行����;其三�����,應(yīng)用系統(tǒng)的安全性需求����,也就是說(shuō)關(guān)鍵應(yīng)用系統(tǒng)能夠在認(rèn)證管理下,形成防病毒體系��,保證各個(gè)入口的安全連接;其四����,業(yè)務(wù)系統(tǒng)的安全需求,避免網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)對(duì)于業(yè)務(wù)系統(tǒng)造成危害���;其五����,健全的校園網(wǎng)絡(luò)安全管理規(guī)章�,保證校園網(wǎng)的安全運(yùn)行。
2校園網(wǎng)絡(luò)安全總體設(shè)計(jì)思路
針對(duì)于校園網(wǎng)網(wǎng)絡(luò)運(yùn)行的基本需求�,對(duì)于校園網(wǎng)絡(luò)安全進(jìn)行規(guī)劃設(shè)計(jì),并且在此基礎(chǔ)上構(gòu)建完善的校園安全體系結(jié)構(gòu)��,是保證校園網(wǎng)安全性的關(guān)鍵一步���。在此過(guò)程中不僅僅需要滿(mǎn)足上述的安全需求��,還要對(duì)于可能出現(xiàn)的安全問(wèn)題進(jìn)行預(yù)警���,以保證設(shè)計(jì)體系的合理性和科學(xué)性。具體來(lái)講����,其主要設(shè)計(jì)到以下內(nèi)容:其一,以獨(dú)立的VLAN��,MAC地址綁定和ACL訪問(wèn)控制列表來(lái)進(jìn)行VPN網(wǎng)絡(luò)子系統(tǒng)的安全控制和管理����,可以保證數(shù)據(jù)傳輸?shù)陌踩燃?jí)達(dá)到最佳水平;其二�����,以網(wǎng)絡(luò)安全檢測(cè)子系統(tǒng)的構(gòu)建�����,并在校園網(wǎng)中WWW服務(wù)器和Email服務(wù)器進(jìn)行應(yīng)用�,在此基礎(chǔ)上對(duì)于網(wǎng)絡(luò)傳輸內(nèi)容進(jìn)行監(jiān)督和管理,并且形成相應(yīng)的數(shù)據(jù)庫(kù)�����,避免非法內(nèi)容進(jìn)入校園網(wǎng)��;其三�����,針對(duì)于安全需求,設(shè)置相應(yīng)的安全防火墻��,以雙機(jī)設(shè)備方式去運(yùn)行���,實(shí)現(xiàn)防火墻子系統(tǒng)的構(gòu)建���;其三,基于控制中西和探測(cè)引擎技術(shù)構(gòu)建入侵檢測(cè)子系統(tǒng)體系��,對(duì)于入侵行為進(jìn)行監(jiān)督和管理�,并且將其屏蔽在網(wǎng)絡(luò)安全范圍之外;其四�,全面升級(jí)網(wǎng)絡(luò)系統(tǒng)的防毒系統(tǒng),實(shí)現(xiàn)對(duì)于客戶(hù)端PC機(jī)器的安全控制��,形成統(tǒng)一的防毒服務(wù)器��;其五����,建立有效的漏洞掃描系統(tǒng),實(shí)現(xiàn)自動(dòng)修復(fù)和檢查漏洞����,保證補(bǔ)丁工作的全面開(kāi)展��;其六�����,針對(duì)于校園內(nèi)部的侵襲行為,可以以建立內(nèi)部子網(wǎng)審計(jì)功能的方式去實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)運(yùn)行質(zhì)量的提高�;其七,建立健全完善的校園網(wǎng)安全運(yùn)行管理制度體系�����,為開(kāi)展一切安全管理工作打下基礎(chǔ)�����。
3整體構(gòu)建校園網(wǎng)絡(luò)安全體系的實(shí)現(xiàn)途徑
校園網(wǎng)絡(luò)安全體系涉及到多方面的內(nèi)容����,一般情況下會(huì)將其歸結(jié)為物理層,鏈路層�,網(wǎng)絡(luò)層����,應(yīng)用層等幾個(gè)方面��。
3.1物理層安全體系實(shí)現(xiàn)途徑物理層的安全性能主要針對(duì)于線路的破壞�,線路的竊聽(tīng),物理通路的干擾等安全缺陷問(wèn)題����。對(duì)此,需要做好以下工作:其一����,采用雙網(wǎng)結(jié)構(gòu)作為拓?fù)渚W(wǎng)絡(luò)結(jié)構(gòu)方式,內(nèi)外網(wǎng)使用不同的服務(wù)器�����,實(shí)現(xiàn)不同信道的運(yùn)行��,使得信息處于不同的高度路上運(yùn)轉(zhuǎn)��,不僅僅可以營(yíng)造安全的運(yùn)行狀態(tài)�,還可以使得系統(tǒng)運(yùn)行壓力降低;其二��,以雙網(wǎng)物理隔離的方式去實(shí)現(xiàn)內(nèi)外網(wǎng)布線系統(tǒng)的構(gòu)建,從根本上杜絕了黑客入侵的可能性����,同時(shí)還合理設(shè)置,避免出現(xiàn)內(nèi)外網(wǎng)同時(shí)使用的情況����。
3.2鏈路層安全體系實(shí)現(xiàn)途徑鏈路層安全體系構(gòu)建是保證網(wǎng)絡(luò)鏈路傳送數(shù)據(jù)安全性為根本性目的,主要使用的技術(shù)手段有局域網(wǎng)和加密通訊手段�����。具體來(lái)講���,其一,在交換機(jī)配置端口安全選項(xiàng)中�,盡量將CAM表進(jìn)行淹沒(méi);其二��,在中繼端口實(shí)現(xiàn)VLANID的專(zhuān)業(yè)化設(shè)置�����,保證端口設(shè)置成為非中繼模式��;其三��,進(jìn)行MAC地址綁定設(shè)置,避免出現(xiàn)IP地址被盜用���。
3.3網(wǎng)絡(luò)層安全體系實(shí)現(xiàn)途徑網(wǎng)絡(luò)層安全體系構(gòu)建���,主要是保證網(wǎng)絡(luò)時(shí)能給授予權(quán)限的客戶(hù)使用,避免出現(xiàn)攔截或者監(jiān)聽(tīng)的情況��。為了實(shí)現(xiàn)這樣的目標(biāo)����,應(yīng)該從以下幾個(gè)角度入手:其一,設(shè)置硬件防火墻����,運(yùn)行訪問(wèn)控制技術(shù)程序,一旦遇到安全問(wèn)題�����,使得其處于隔離狀態(tài)�;其二,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS的使用��,能夠?qū)τ诰W(wǎng)絡(luò)入侵行為進(jìn)行監(jiān)督,由此構(gòu)建起來(lái)第二道安全閘門(mén)�����;其三���,在路由交換設(shè)備上進(jìn)行安全技術(shù)應(yīng)用�����,如VPN技術(shù)�����,加密機(jī)制及時(shí),審計(jì)和監(jiān)控技術(shù)等�����,都是其重要內(nèi)容�����。
3.4應(yīng)用層安全體系的實(shí)現(xiàn)途徑對(duì)于應(yīng)用層來(lái)講��,其安全體系的構(gòu)建需要做到以下幾點(diǎn):其一,建立網(wǎng)絡(luò)病毒防火墻��,避免內(nèi)外病毒對(duì)于網(wǎng)絡(luò)文件系統(tǒng)的破壞���;其二�,設(shè)置服務(wù)器�����,盡可能的保護(hù)自己的IP地址����;其三,構(gòu)建操作系統(tǒng)補(bǔ)丁自動(dòng)分發(fā)系統(tǒng)�,保證能夠及時(shí)的進(jìn)行安全漏洞的修復(fù);其四����,積極開(kāi)展認(rèn)證和授權(quán)管理工作,對(duì)于多重身份認(rèn)證和用戶(hù)角色授權(quán)進(jìn)行審計(jì)�,以保證系統(tǒng)的安全性。
4結(jié)束語(yǔ)
篇3
關(guān)鍵詞:SNMP����;RRDTOOL�;CACTI���;流量監(jiān)控
1引言
隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和各種網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的普及,用戶(hù)對(duì)網(wǎng)絡(luò)資源的需求不斷增長(zhǎng),網(wǎng)絡(luò)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具,同時(shí)人們對(duì)網(wǎng)絡(luò)性能的要求也越高,在眾多影響網(wǎng)絡(luò)性能的因素中網(wǎng)絡(luò)流量是最為重要的因素之一,它包含了用戶(hù)利用網(wǎng)絡(luò)進(jìn)行活動(dòng)的所有的信息�����。通過(guò)對(duì)網(wǎng)絡(luò)流量的監(jiān)測(cè)分析���,可以為網(wǎng)絡(luò)的運(yùn)行和維護(hù)提供重要信息,對(duì)于網(wǎng)絡(luò)性能分析、異常監(jiān)測(cè)���、鏈路狀態(tài)監(jiān)測(cè)���、容量規(guī)劃等發(fā)揮著重要作用。
SNMP(簡(jiǎn)單網(wǎng)絡(luò)維護(hù)管理協(xié)議)是Internet工程任務(wù)組(IETF)在SGMP基礎(chǔ)上開(kāi)發(fā)的,SNMP是由一系列協(xié)議組和規(guī)范組成的,SNMP的體系結(jié)構(gòu)包括SNMP管理者(SNMPManager)��、SNMP者(SNMPAgent)和管理信息庫(kù)(MIB)�。每個(gè)支持SNMP的網(wǎng)絡(luò)設(shè)備中都包含一個(gè),不斷地收集統(tǒng)計(jì)數(shù)據(jù),并把這些數(shù)據(jù)記錄到一個(gè)管理信息庫(kù)(MIB)中,網(wǎng)絡(luò)維護(hù)管理程序再通過(guò)SNMP通信協(xié)議查詢(xún)或修改所紀(jì)錄的信息��。從被管理設(shè)備中收集數(shù)據(jù)有兩種方法:輪詢(xún)方法和基于中斷的方法�。SNMP最大的特點(diǎn)是簡(jiǎn)單性,容易實(shí)現(xiàn)且成本低,利用SNMP協(xié)議能夠?qū)Ρ槐O(jiān)視的各個(gè)網(wǎng)絡(luò)端口輸入字節(jié)數(shù)、輸入非廣播包數(shù)�����、輸入廣播包數(shù)、輸入包丟棄數(shù)�����、輸入包錯(cuò)誤數(shù)���、輸入未知協(xié)議包數(shù)���、輸出字節(jié)數(shù)、輸出非廣播包數(shù)�����、輸出廣播包數(shù)�����、輸出包丟棄數(shù)��、輸出包錯(cuò)誤數(shù)���、輸出隊(duì)長(zhǎng)等進(jìn)行采集��。
2RRDTOOL的工作原理
RRDTOOL代表“RoundRobinDatabasetool”�����,是TobiasOetiker設(shè)計(jì)的一個(gè)基于Perl的功能強(qiáng)大的數(shù)據(jù)儲(chǔ)存和圖形生成工具,最初設(shè)計(jì)目的是為流量統(tǒng)計(jì)分析工具M(jìn)RTG提供更好的數(shù)據(jù)存儲(chǔ)性能和更強(qiáng)的圖形生成功能�����。所謂的“RoundRobin”其實(shí)是一種存儲(chǔ)數(shù)據(jù)的方式���,使用固定大小的空間來(lái)存儲(chǔ)數(shù)據(jù)���,并有一個(gè)指針指向最新的數(shù)據(jù)的位置。我們可以把用于存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫(kù)的空間看成一個(gè)圓��,上面有很多刻度��。這些刻度所在的位置就代表用于存儲(chǔ)數(shù)據(jù)的地方��。所謂指針�����,可以認(rèn)為是從圓心指向這些刻度的一條直線��。指針會(huì)隨著數(shù)據(jù)的讀寫(xiě)操作自動(dòng)移動(dòng)��。要注意的是�,這個(gè)圓沒(méi)有起點(diǎn)和終點(diǎn),所以指針可以一直移動(dòng)���,而不用擔(dān)心到達(dá)終點(diǎn)后就無(wú)法前進(jìn)的問(wèn)題�。在一段時(shí)間后���,當(dāng)所有的空間都存滿(mǎn)了數(shù)據(jù)����,就又從頭開(kāi)始存放�。這樣整個(gè)存儲(chǔ)空間的大小就是一個(gè)固定的數(shù)值。所以RRDtool就是使用類(lèi)似的方式來(lái)存放數(shù)據(jù)的工具�����,RRDtool所使用的數(shù)據(jù)庫(kù)文件的后綴名是''''.rrd''''��。
和其它數(shù)據(jù)庫(kù)工具相比����,它具有如下特點(diǎn):
首先RRDtool存儲(chǔ)數(shù)據(jù)�,扮演了一個(gè)后臺(tái)工具的角色�。但同時(shí)RRDtool又允許創(chuàng)建圖表,這使得RRDtool看起來(lái)又像是前端工具����。其他的數(shù)據(jù)庫(kù)只能存儲(chǔ)數(shù)據(jù),不能創(chuàng)建圖表�。
RRDtool的每個(gè)rrd文件的大小是固定的,而普通的數(shù)據(jù)庫(kù)文件的大小是隨著時(shí)間而增加的���。
其他數(shù)據(jù)庫(kù)只是被動(dòng)的接受數(shù)據(jù)��,RRDtool可以對(duì)收到的數(shù)據(jù)進(jìn)行計(jì)算���,例如前后兩個(gè)數(shù)據(jù)的變化程度(rateofchange),并存儲(chǔ)該結(jié)果�。
RRDtool要求定時(shí)獲取數(shù)據(jù),其他數(shù)據(jù)庫(kù)則沒(méi)有該要求����。如果在一個(gè)時(shí)間間隔內(nèi)(heartbeat)沒(méi)有收到值,則會(huì)用UNKN代替���,其他數(shù)據(jù)庫(kù)則不會(huì)這樣做����。
3監(jiān)測(cè)系統(tǒng)的安裝與配置
(1)配置路由器和交換機(jī):
開(kāi)始配置RRDTool之前,必須對(duì)需要監(jiān)測(cè)的網(wǎng)絡(luò)及設(shè)備進(jìn)行良好的規(guī)劃��、設(shè)計(jì)與配置,包括配置設(shè)備互聯(lián)地址���、網(wǎng)管地址及路由,保證流量監(jiān)測(cè)計(jì)算機(jī)可以與被監(jiān)測(cè)設(shè)備網(wǎng)絡(luò)層的互通;配置SNMP通信字符串和端口號(hào),掌握需要的監(jiān)測(cè)對(duì)象號(hào)(SNMPOID),確保流量監(jiān)測(cè)計(jì)算機(jī)可以獲取正確的SNMP信息�。在路由器和交換機(jī)上啟動(dòng)SNMP,并設(shè)置只讀團(tuán)體名���。命令如下:
(config)#snmp-serverenabletraps
(config)#snmp-servercommunitytestro
(2)安裝配置RRDTool:
我們以Debian平臺(tái)來(lái)安裝配置RRDTOOL系統(tǒng),在安裝RRDTOOL前首先要安裝支持RRDTOOL運(yùn)行的環(huán)境:Zlib��、libart_lgpl�、cgilib��、Libpng���、freetype軟件包��。
①安裝apache����、mysql、php:apt-getinstallapache2php4mysql-serverphp4-mysql�����;安裝成功后通過(guò)瀏覽器訪問(wèn)客戶(hù)器����,可以得到“Itworks!”的提示���;利用mysqladmin工具給mysql添加好管理員密碼����。
②安裝RRDTOOL:apt-getinstallrrdtool���。
③安裝NET-SNMP:apt-getinstallsnmp���。
④安裝Cacti:apt-getinstallcacti,在安裝過(guò)程中會(huì)提示你輸入mysql管理員密碼和cacti數(shù)據(jù)庫(kù)管理員密碼�����。
(3)系統(tǒng)配置:
安裝好系統(tǒng)后就要進(jìn)行簡(jiǎn)單的初始化和配置�����,步驟如下:
①訪問(wèn)x.x.x.x/cacti,按照向?qū)崾具M(jìn)行cacti的初始化安裝��;
②利用crontab-e添加計(jì)劃任務(wù):
*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1
③利用cacti進(jìn)行設(shè)備的添加�;
④利用cacti進(jìn)行繪圖管理。
cacti其實(shí)是一套php程序�,它運(yùn)用snmpget采集數(shù)據(jù)�,使用rrdtool繪圖。它的界面非常漂亮�,能讓你根本無(wú)需明白rrdtool的參數(shù)能輕易的繪出漂亮的圖形。更難能可貴的是����,它提供了強(qiáng)大的數(shù)據(jù)管理和用戶(hù)管理功能,一張圖是屬于一個(gè)host的��,每一個(gè)host又可以?huà)燧d到一個(gè)樹(shù)狀的結(jié)構(gòu)上�。用戶(hù)的管理上,作為一個(gè)開(kāi)源軟件����,它居然做到為指定一個(gè)用戶(hù)能查看的“樹(shù)”、host�、甚至每一張圖,還可以與LDAP結(jié)合進(jìn)行用戶(hù)的驗(yàn)證!我不由得佩服作者考慮的周到�����!Cacti還提供自己增加模板的功能�����,讓你添加自己的snmp_query和script���!可以說(shuō)����,cacti將rrdtool的所有“缺點(diǎn)”都補(bǔ)足了����!
網(wǎng)絡(luò)地圖
篇4
系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全,主要措施有反病毒�。入侵檢測(cè)、審計(jì)分析等技術(shù)����。
1、反病毒技術(shù):計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障��、破壞計(jì)算機(jī)數(shù)據(jù)的程序,它能夠傳染其它程序�����,并進(jìn)行自我復(fù)制�,特別是要網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力�����,因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)�����,具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè)���,或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。如我校就安裝了遠(yuǎn)程教育中心配置的金山毒霸進(jìn)行實(shí)時(shí)監(jiān)控���,效果不錯(cuò)����。
2���、入侵檢測(cè):入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)��。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析���,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象����,以提高系統(tǒng)管理員的安全管理能力����,及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件����,主要功能有:檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng);檢查系統(tǒng)的配置和操作系統(tǒng)的日志���;發(fā)現(xiàn)漏洞�����、統(tǒng)計(jì)分析異常行為等等�。
從目前來(lái)看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問(wèn)題��,發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。當(dāng)然�����,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的�����,但是及早地發(fā)現(xiàn)有報(bào)告的漏洞�,并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法��,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站���,對(duì)于我們有使用的軟件和服務(wù)����,應(yīng)該密切關(guān)注其程序的最新版本和安全信息��,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)�����。許多的網(wǎng)絡(luò)管理員對(duì)此認(rèn)識(shí)不夠�,以至于過(guò)了幾年,還能掃描到機(jī)器存在許多漏洞��。在校園網(wǎng)中服務(wù)器�,為用戶(hù)提供著各種的服務(wù),但是服務(wù)提供的越多�,系統(tǒng)就存在更多的漏洞,也就有更多的危險(xiǎn)����。因此從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉��,只向公眾提供了他們所需的基本的服務(wù)�。最典型的是,我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能���,而沒(méi)有必要向公眾提供FTP功能�����,這樣���,在服務(wù)器的服務(wù)配置中,我們只開(kāi)放WEB服務(wù)���,而將FTP服務(wù)禁止����。如果要開(kāi)放FTP功能,就一定只能向可能信賴(lài)的用戶(hù)開(kāi)放�,因?yàn)橥ㄟ^(guò)FTP用戶(hù)可以上傳文件內(nèi)容,如果用戶(hù)目錄又給了可執(zhí)行權(quán)限�,那么,通過(guò)運(yùn)行上傳某些程序����,就可能使服務(wù)器受到攻擊。所以����,信賴(lài)了來(lái)自不可信賴(lài)數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素。
3�、審計(jì)監(jiān)控技術(shù)。審計(jì)是記錄用戶(hù)使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程���,它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)��,還能指出系統(tǒng)正被怎樣地使用���。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況����,審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要。同時(shí)�����,系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題����,并且它是后面階段事故處理的重要依據(jù)。另外��,通過(guò)對(duì)安全事件的不斷收集���、積聚和分析���,有選擇性地對(duì)其中的某些站點(diǎn)或用戶(hù)進(jìn)行審計(jì)跟蹤,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞����。
因此,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備��,以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見(jiàn)操作進(jìn)行實(shí)時(shí)檢查���、監(jiān)控��、報(bào)警和阻斷����,從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為�����。二��、網(wǎng)絡(luò)運(yùn)行安全
網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外����,還要有備份與恢復(fù)等應(yīng)急措施來(lái)保證網(wǎng)絡(luò)受到攻擊后,能盡快地全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)�����。
一般數(shù)據(jù)備份操作有三種��。一是全盤(pán)備份����,即將所有文件寫(xiě)入備份介質(zhì);二是增量備份��,只備份那些上次備份之后更改過(guò)的文件�����,這種備份是最有效的備份方法��;三是差分備份�����,備份上次全盤(pán)備份之后更改過(guò)的所有文件�。
根據(jù)備份的存儲(chǔ)媒介不同,有“冷備份”和“熱備份”兩種方案����。“熱備份”是指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中����,只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放,具有速度快和調(diào)用方便的特點(diǎn)?!袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲(chǔ)媒介中,而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系�����,在系統(tǒng)恢復(fù)時(shí)重新安裝���。其特點(diǎn)是便于保管����,用以彌補(bǔ)了熱備份的一些不足����。進(jìn)行備份的過(guò)程中,常使用備份軟件���,如GHOST等����。
三��、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全�����,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè)�����,以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性�。
1��、訪問(wèn)控制:在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中����,采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的,同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一��。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口�,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力����。它是提供信息安全服務(wù)。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施����。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn)�����,外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)����,以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)�����。其基本功能有:過(guò)濾進(jìn)�、出的數(shù)據(jù);管理進(jìn)����、出網(wǎng)絡(luò)的訪問(wèn)行為;封堵某些禁止的業(yè)務(wù)等����。應(yīng)該強(qiáng)調(diào)的是,防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分��,而不是全部�。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中,才能實(shí)現(xiàn)真正的安全����。
另外����,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制���。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段�,防止一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播��。針對(duì)某些網(wǎng)絡(luò)���,在某些情況下,它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任����,或者某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響����。
2、網(wǎng)絡(luò)安全檢測(cè):保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評(píng)估分析����,用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)���,檢查報(bào)告系存在的弱點(diǎn)和漏洞,建議補(bǔ)救措施和安全策略�,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
以上只是對(duì)防范外部入侵���,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法�����。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項(xiàng)重要措施��,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來(lái)維護(hù)�����。
參考文獻(xiàn)
篇5
關(guān)鍵詞:網(wǎng)絡(luò)安全系統(tǒng)安全網(wǎng)絡(luò)運(yùn)行安全內(nèi)部網(wǎng)絡(luò)安全防火墻
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及�,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用���,這無(wú)疑對(duì)加快信息處理����,提高工作效率�,減輕勞動(dòng)強(qiáng)度���,實(shí)現(xiàn)資源共享都起到了無(wú)法估量的作用。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問(wèn)題��,登陸了一些非法網(wǎng)站和使用了帶病毒的軟件���,導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰��,給計(jì)算機(jī)教師帶來(lái)了大量的工作負(fù)擔(dān)�,也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行���。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)�����,教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視�����。正如人們經(jīng)常所說(shuō)的:網(wǎng)絡(luò)的生命在于其安全性�����。因此,如何在現(xiàn)有的條件下����,如何搞好網(wǎng)絡(luò)的安全,就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題����。
作為一位中學(xué)電腦教師兼負(fù)著校園網(wǎng)絡(luò)的維護(hù)和管理,我們一起來(lái)探討一下校園網(wǎng)絡(luò)安全技術(shù)�。
網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性,包括系統(tǒng)安全�����、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全��。
一����、系統(tǒng)安全
系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全,主要措施有反病毒����。入侵檢測(cè)、審計(jì)分析等技術(shù)。
1����、反病毒技術(shù):計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序��,它能夠傳染其它程序���,并進(jìn)行自我復(fù)制��,特別是要網(wǎng)絡(luò)環(huán)境下�����,計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力�����,因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié),具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測(cè)�����,或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等�。如我校就安裝了遠(yuǎn)程教育中心配置的金山毒霸進(jìn)行實(shí)時(shí)監(jiān)控,效果不錯(cuò)。
2�����、入侵檢測(cè):入侵檢測(cè)指對(duì)入侵行為的發(fā)現(xiàn)��。它通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析�����,從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象����,以提高系統(tǒng)管理員的安全管理能力,及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范���。入侵檢測(cè)系統(tǒng)包括進(jìn)行入侵檢測(cè)的軟件和硬件�,主要功能有:檢測(cè)并分析用戶(hù)和系統(tǒng)的活動(dòng)�;檢查系統(tǒng)的配置和操作系統(tǒng)的日志;發(fā)現(xiàn)漏洞�、統(tǒng)計(jì)分析異常行為等等。
從目前來(lái)看系統(tǒng)漏洞的存在成為網(wǎng)絡(luò)安全的首要問(wèn)題���,發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)�����。當(dāng)然���,從系統(tǒng)中找到發(fā)現(xiàn)漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的��,但是及早地發(fā)現(xiàn)有報(bào)告的漏洞���,并進(jìn)行升級(jí)補(bǔ)丁卻是我們應(yīng)該做的。而發(fā)現(xiàn)有報(bào)告的漏洞最常用的方法���,就是經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站��,對(duì)于我們有使用的軟件和服務(wù)�,應(yīng)該密切關(guān)注其程序的最新版本和安全信息���,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問(wèn)題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)��。許多的網(wǎng)絡(luò)管理員對(duì)此認(rèn)識(shí)不夠����,以至于過(guò)了幾年��,還能掃描到機(jī)器存在許多漏洞����。在校園網(wǎng)中服務(wù)器,為用戶(hù)提供著各種的服務(wù)���,但是服務(wù)提供的越多����,系統(tǒng)就存在更多的漏洞��,也就有更多的危險(xiǎn)�。因此從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉�����,只向公眾提供了他們所需的基本的服務(wù)�。最典型的是,我們?cè)谛@網(wǎng)服務(wù)器中對(duì)公眾通常只提供WEB服務(wù)功能��,而沒(méi)有必要向公眾提供FTP功能���,這樣���,在服務(wù)器的服務(wù)配置中�����,我們只開(kāi)放WEB服務(wù)���,而將FTP服務(wù)禁止。如果要開(kāi)放FTP功能�,就一定只能向可能信賴(lài)的用戶(hù)開(kāi)放,因?yàn)橥ㄟ^(guò)FTP用戶(hù)可以上傳文件內(nèi)容�,如果用戶(hù)目錄又給了可執(zhí)行權(quán)限,那么�����,通過(guò)運(yùn)行上傳某些程序���,就可能使服務(wù)器受到攻擊��。所以�����,信賴(lài)了來(lái)自不可信賴(lài)數(shù)據(jù)源的數(shù)據(jù)也是造成網(wǎng)絡(luò)不安全的一個(gè)因素�����。
3���、審計(jì)監(jiān)控技術(shù)。審計(jì)是記錄用戶(hù)使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程�����,它是提高安全性的重要工具���。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了系統(tǒng)�,還能指出系統(tǒng)正被怎樣地使用�。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況,審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要����。同時(shí),系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題��,并且它是后面階段事故處理的重要依據(jù)�。另外,通過(guò)對(duì)安全事件的不斷收集�、積聚和分析����,有選擇性地對(duì)其中的某些站點(diǎn)或用戶(hù)進(jìn)行審計(jì)跟蹤���,可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞��。
因此��,除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外�����,還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備�����,以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見(jiàn)操作進(jìn)行實(shí)時(shí)檢查�、監(jiān)控�����、報(bào)警和阻斷����,從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為�。二����、網(wǎng)絡(luò)運(yùn)行安全
網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測(cè)和控制技術(shù)來(lái)防止各種安全隱患外,還要有備份與恢復(fù)等應(yīng)急措施來(lái)保證網(wǎng)絡(luò)受到攻擊后���,能盡快地全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。
一般數(shù)據(jù)備份操作有三種��。一是全盤(pán)備份��,即將所有文件寫(xiě)入備份介質(zhì)���;二是增量備份���,只備份那些上次備份之后更改過(guò)的文件,這種備份是最有效的備份方法�����;三是差分備份���,備份上次全盤(pán)備份之后更改過(guò)的所有文件����。
根據(jù)備份的存儲(chǔ)媒介不同,有“冷備份”和“熱備份”兩種方案���?��!盁醾浞荨笔侵赶螺d備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中,只不過(guò)傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放���,具有速度快和調(diào)用方便的特點(diǎn)�����?��!袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲(chǔ)媒介中,而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系��,在系統(tǒng)恢復(fù)時(shí)重新安裝��。其特點(diǎn)是便于保管����,用以彌補(bǔ)了熱備份的一些不足�。進(jìn)行備份的過(guò)程中�,常使用備份軟件,如GHOST等�����。
三�����、內(nèi)部網(wǎng)絡(luò)安全
為了保證局域網(wǎng)安全����,內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問(wèn)隔離�,常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問(wèn)控制和進(jìn)行網(wǎng)絡(luò)安全檢測(cè),以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性����。
1、訪問(wèn)控制:在內(nèi)外網(wǎng)隔離及訪問(wèn)系統(tǒng)中�,采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的,同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一��。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流�,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)�����。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施�。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問(wèn),外界的哪些人可以訪問(wèn)內(nèi)部的哪些服務(wù)�����,以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)����。其基本功能有:過(guò)濾進(jìn)、出的數(shù)據(jù)�;管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為�;封堵某些禁止的業(yè)務(wù)等。應(yīng)該強(qiáng)調(diào)的是����,防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分,而不是全部�����。因此必須將防火墻的安全保護(hù)融合到系統(tǒng)的整體安全策略中,才能實(shí)現(xiàn)真正的安全��。
另外���,防火墻還用于內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問(wèn)控制���。防火墻可以隔離內(nèi)部網(wǎng)絡(luò)的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段,防止一個(gè)網(wǎng)段的問(wèn)題穿過(guò)整個(gè)網(wǎng)絡(luò)傳播��。針對(duì)某些網(wǎng)絡(luò)�����,在某些情況下����,它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任�,或者某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更敏感。而在它們之間設(shè)置防火墻就可以限制局部網(wǎng)絡(luò)安全問(wèn)題對(duì)全局網(wǎng)絡(luò)造成的影響�。
2、網(wǎng)絡(luò)安全檢測(cè):保證網(wǎng)絡(luò)系統(tǒng)安全最有效的辦法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性評(píng)估分析����,用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)�����,檢查報(bào)告系存在的弱點(diǎn)和漏洞�����,建議補(bǔ)救措施和安全策略���,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
以上只是對(duì)防范外部入侵���,維護(hù)網(wǎng)絡(luò)安全的一些粗淺看法��。建立健全的網(wǎng)絡(luò)管理制度是校園網(wǎng)絡(luò)安全的一項(xiàng)重要措施����,健康正常的校園網(wǎng)絡(luò)需要廣大師生共同來(lái)維護(hù)����。
參考文獻(xiàn)
1.局域網(wǎng)組建與維護(hù)DIY.人民郵電出版社,2003.05
篇6
1.1黑客攻擊的問(wèn)題
因?yàn)樾@網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接,從而給師生查找資料提供便利����,不過(guò)也因此容易受到黑客攻擊��。當(dāng)代黑客攻擊的技術(shù)越來(lái)越高明��,破壞程度同樣越來(lái)越嚴(yán)重���,黑客攻擊校園網(wǎng)絡(luò),有著時(shí)間長(zhǎng)�����、范圍廣�����、損失大以及處理難的特點(diǎn)��,校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器�、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方[8]�,黑客很多時(shí)候使用專(zhuān)業(yè)工具攻擊校園挽留過(guò),導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無(wú)法正常使用���,部分攻擊軟件甚至可以讓非法用戶(hù)可以隨便攻擊校園網(wǎng)絡(luò)����,同時(shí)篡改校園網(wǎng)絡(luò)的主頁(yè)、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序��。
1.2內(nèi)部用戶(hù)的問(wèn)題
現(xiàn)在學(xué)生對(duì)于網(wǎng)絡(luò)了解程度比較深�����,這就導(dǎo)致部分學(xué)生會(huì)在好奇心趨勢(shì)下�����,攻擊校園網(wǎng)絡(luò)系統(tǒng)�����,從而給校園網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)不利影響���,提高了校園網(wǎng)絡(luò)管理的難度�。統(tǒng)計(jì)顯示內(nèi)部用戶(hù)造成的校園網(wǎng)絡(luò)攻擊占到30%左右����,大部分情況由學(xué)生好奇心而引起,同時(shí)學(xué)校對(duì)于學(xué)生的管理以及教育不夠重視���,縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為���。
2防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用
2.1選擇合適的防火墻產(chǎn)品
最簡(jiǎn)單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過(guò)濾路由器�。為更好實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全��,很多時(shí)候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)�����。這就需要明確設(shè)置防火墻設(shè)置的方案�����,然后選擇合適的防火墻產(chǎn)品�����。從形式的角度而言���,防火墻可以分成硬件防火墻以及軟件防火墻這2大類(lèi)���,硬件防火墻同軟件防火墻比較而言����,由于使用專(zhuān)用硬件設(shè)備�,并且集成生產(chǎn)廠商防火墻軟件����,功能上通過(guò)內(nèi)置安全軟件,并且使用強(qiáng)化甚至專(zhuān)屬的操作系統(tǒng)��,有著管理方便以及更換容易的特點(diǎn)��,并且軟硬件的搭配往往比較固定���。也就是說(shuō)硬件防火墻的效率更高�����,可以解決防火墻性能以及效率之間的關(guān)系�,可以根據(jù)校園網(wǎng)絡(luò)的具體情況來(lái)加以選擇�����。
2.2使用服務(wù)器
服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān)���,這一網(wǎng)關(guān)運(yùn)行服務(wù)軟件���,可以實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互相通信����。服務(wù)器可以在用戶(hù)以及服務(wù)器間實(shí)現(xiàn)協(xié)同工作�,所以提供應(yīng)用級(jí)的網(wǎng)關(guān)?��?蛻?hù)端往服務(wù)器發(fā)送請(qǐng)求�,請(qǐng)求到達(dá)服務(wù)器�����,然后服務(wù)器在接收連接請(qǐng)求之后�,進(jìn)行身份認(rèn)證以及訪問(wèn)控制,要是客戶(hù)端確認(rèn)服務(wù)器身份認(rèn)證以及訪問(wèn)控制��,那么就代替客戶(hù)端發(fā)送請(qǐng)求���。服務(wù)器在響應(yīng)之后����,服務(wù)器則將數(shù)據(jù)反饋到客戶(hù)端。
2.3配置路由器防火墻
篇7
數(shù)據(jù)鏈層位于物理層和網(wǎng)絡(luò)層之間����,數(shù)據(jù)鏈層受到的破壞會(huì)直接作用到其他各層�。數(shù)據(jù)鏈層的安全隱患又容易被忽略,數(shù)據(jù)鏈層的安全問(wèn)題有:MAC地址泛洪攻擊����、ARP攻擊、存取控制地址欺騙��、VLAN攻擊����、VTP攻擊和VLAN跳躍攻擊。
2網(wǎng)絡(luò)層的安全
網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間�����,是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層�,TCP/IP協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層,廣泛應(yīng)用的TCP���、UDP���、IGMP及ICMP數(shù)據(jù)包���,都以IP數(shù)據(jù)報(bào)文形式傳輸。網(wǎng)絡(luò)層封裝IP數(shù)據(jù)包����,并路由轉(zhuǎn)發(fā),解決機(jī)器之間的通信問(wèn)題�。網(wǎng)絡(luò)層常見(jiàn)安全問(wèn)題有:明文傳輸面臨的威脅、IP地址欺騙��、源路由欺騙和ICMP攻擊�。
3傳輸層的安全
傳輸層在OSI模型中起著關(guān)鍵作用,負(fù)責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制��。在傳輸層使用最廣泛的有兩種協(xié)議:傳輸控制協(xié)議和用戶(hù)數(shù)據(jù)報(bào)協(xié)議��。傳輸層常見(jiàn)安全問(wèn)題有:TCP"SYN"攻擊���、Land攻擊�、TCP會(huì)話(huà)劫持和端口掃描攻擊��。
4操作系統(tǒng)的安全
目前在職業(yè)院校����,除了服務(wù)器是使用UNIX���、Linux外,其它工作站基本是使用微軟操作系統(tǒng)�����,存在以下風(fēng)險(xiǎn)���。(1)安全隱患的產(chǎn)生,主要是操作系統(tǒng)配置不合理���,例如:沒(méi)有管理員口令���,用戶(hù)弱口令,未刪除和禁用不必要的帳號(hào)��,設(shè)置完全共享的目錄����、沒(méi)有防病毒軟件、不合理的訪問(wèn)控制�����,資源共享的訪問(wèn)權(quán)限配置不當(dāng)?shù)取#?)操作系統(tǒng)的正常運(yùn)行需要很多系統(tǒng)服務(wù)支撐�,這些系統(tǒng)服務(wù)向用戶(hù)和應(yīng)用程序提供功能接口,有些是操作系統(tǒng)正常運(yùn)行必需的��,有些則是不必要的����。不必要的服務(wù)不僅會(huì)占用系統(tǒng)資源,還會(huì)給操作系統(tǒng)帶來(lái)安全威脅���。如果用戶(hù)不知道自已的操作系統(tǒng)�����,哪些服務(wù)是可以訪問(wèn)網(wǎng)絡(luò)的�����,就容易被入侵者利用�。
5業(yè)務(wù)應(yīng)用的安全
職業(yè)院校為了滿(mǎn)足科研�����、教學(xué)、辦公的需要���,校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng)��,如:信息��、教務(wù)管理��、辦公自動(dòng)化��、圖書(shū)管理等。這些應(yīng)用系統(tǒng)很重要���,但也存在風(fēng)險(xiǎn)如下:(1)身份認(rèn)證:操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全���,采取了身份認(rèn)證措施,這些機(jī)制各有特點(diǎn)����,但是入侵者仍可以利用網(wǎng)絡(luò)竊聽(tīng)、非法數(shù)據(jù)庫(kù)訪問(wèn)���、窮舉攻擊�、重放攻擊手段獲取口令。用戶(hù)安全意識(shí)淡薄�����,使用系統(tǒng)默認(rèn)或者弱密碼��,并且長(zhǎng)期不改動(dòng)�,形同虛設(shè)。(2)WEB服務(wù):WEB服務(wù)是學(xué)校用于對(duì)外宣傳���、開(kāi)展網(wǎng)絡(luò)遠(yuǎn)程教學(xué)的重要手段��,應(yīng)用極其普遍�����,使得Web服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)�。存在的安全隱患較多��,網(wǎng)頁(yè)代碼本身就存在后門(mén)和一些缺陷�����,比如IIS漏洞�、ASP的上傳漏洞����、SQL注入��、緩沖區(qū)溢出等���。入侵者一旦攻陷WEB服務(wù)器�����,可以把WEB服務(wù)器作為跳板�,通過(guò)中間件或數(shù)據(jù)庫(kù)連接部件����,非法訪問(wèn)學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)�����,并可利用網(wǎng)頁(yè)腳本訪問(wèn)本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源��。(3)數(shù)據(jù)庫(kù):數(shù)據(jù)庫(kù)是信息系統(tǒng)的核心��,校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴(lài)于各種數(shù)據(jù)庫(kù)系統(tǒng)��,保證數(shù)據(jù)的安全和完整,正確配置數(shù)據(jù)庫(kù)系統(tǒng)顯得至關(guān)重要��。數(shù)據(jù)庫(kù)是個(gè)復(fù)雜的系統(tǒng)����。非專(zhuān)業(yè)人員是無(wú)法正確配置數(shù)據(jù)庫(kù)系統(tǒng)的。關(guān)系型數(shù)據(jù)庫(kù)是可從端口尋址的����,通過(guò)查詢(xún)工具就可建立與數(shù)據(jù)庫(kù)的連接,例如通過(guò)TCP1521和1526端口�����,就能侵入一個(gè)弱防護(hù)的數(shù)據(jù)庫(kù)���;數(shù)據(jù)庫(kù)運(yùn)行過(guò)程中���,出現(xiàn)的錯(cuò)誤信息,可以泄漏數(shù)據(jù)庫(kù)結(jié)構(gòu)�����,分析這些信息就能實(shí)施攻擊。(4)網(wǎng)絡(luò)資源共享:為了工作方便�����,內(nèi)部人員經(jīng)常會(huì)使用網(wǎng)絡(luò)共享����,如果沒(méi)有對(duì)資源共享,作必要的訪問(wèn)控制策略��,重要的數(shù)據(jù)信息���,就無(wú)防護(hù)地暴露在網(wǎng)絡(luò)中����。
6網(wǎng)絡(luò)管理的安全
安全管理對(duì)于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來(lái)說(shuō)是極其重要的��。如果沒(méi)有相應(yīng)制度約束�����,就會(huì)帶來(lái)風(fēng)險(xiǎn):網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)�、系統(tǒng)的一些重要信息傳播給外人����,會(huì)造成信息泄漏����;密碼和密鑰管理風(fēng)險(xiǎn)�����,管理員賬戶(hù)及密碼被外人竊?。辉诩s束缺失的情況下���,利用網(wǎng)絡(luò)和系統(tǒng)的弱點(diǎn)����,實(shí)施入侵��、修改�����、刪除數(shù)據(jù)等非法行為�;審計(jì)不力或無(wú)審計(jì),當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時(shí)�,沒(méi)有相應(yīng)的檢測(cè)�、監(jiān)控����、報(bào)告與預(yù)警機(jī)制。事件發(fā)生后�,不能提供任何記錄,無(wú)法追蹤線索�,缺乏對(duì)網(wǎng)絡(luò)的可控和可審查性。
7結(jié)束語(yǔ)
篇8
高校校園網(wǎng)安全問(wèn)題分析
某高校對(duì)校園網(wǎng)存在的問(wèn)題進(jìn)行調(diào)查得出的分析圖�。其中涉及到的很多問(wèn)題都可能是由校園網(wǎng)的安全隱患所引起的,例如:網(wǎng)絡(luò)攻擊�、無(wú)法認(rèn)證等。一些看似無(wú)關(guān)的問(wèn)題也不能排除安全隱患的影響因素在里面��,例如:很多“黑客”就經(jīng)常制造一些“病毒”影響系統(tǒng)的正常運(yùn)行�����,導(dǎo)致系統(tǒng)運(yùn)行速度變慢甚至斷線�����。
(一)用戶(hù)數(shù)量大而密集目前����,校園網(wǎng)的使用者大多數(shù)是來(lái)自高校的學(xué)生,這就導(dǎo)致了高校的校園網(wǎng)用戶(hù)群體龐大而且分布相對(duì)密集�����,容易引高校計(jì)算機(jī)網(wǎng)絡(luò)安全管理工作初探文/王紅云發(fā)內(nèi)外兩方面的安全隱患���。一方面�����,由于校園網(wǎng)與因特網(wǎng)相連接����,運(yùn)行速度快���、使用規(guī)模大�,在使用因特網(wǎng)服務(wù)的時(shí)候�,很容易面臨一些“黑客”的群體攻擊;另一方面��,校園網(wǎng)用戶(hù)由于多數(shù)以大學(xué)生為主��,對(duì)新鮮事物以及網(wǎng)絡(luò)新技術(shù)比較好奇�����,敢于嘗試,成為網(wǎng)絡(luò)上最活躍的用戶(hù)����,正是這一特點(diǎn)很容易對(duì)網(wǎng)絡(luò)產(chǎn)生一定的影響和破壞,而且其自身也很有可能成為一些“病毒”的攻擊目標(biāo)���。
(二)網(wǎng)絡(luò)環(huán)境架構(gòu)問(wèn)題校園網(wǎng)的主要服務(wù)對(duì)象就是教學(xué)與科研應(yīng)用��。在這些應(yīng)用中��,相對(duì)安全管理意識(shí)不強(qiáng)���,管理制度也比較寬松,從而導(dǎo)致存在很多的安全管理漏洞�。并且,目前大多使用的操作系統(tǒng)普遍存在著一些安全漏洞�,這無(wú)疑為網(wǎng)絡(luò)安全造成了不小的威脅。例如:WindowsNT/2000是一種常用且易于操作的��,這反而失去成為最不安全的網(wǎng)絡(luò)系統(tǒng)�。
(三)校園網(wǎng)系統(tǒng)管理過(guò)程中存在的問(wèn)題由于高校的計(jì)算機(jī)管理系統(tǒng)不可能在同一時(shí)間內(nèi)將所有的計(jì)算機(jī)等設(shè)備全部統(tǒng)一購(gòu)買(mǎi),加上對(duì)設(shè)備的后期管理工作也是異常復(fù)雜�,所以�����,很難將制定的安全政策在所有的端系統(tǒng)統(tǒng)一實(shí)施���。進(jìn)而使得網(wǎng)絡(luò)的維護(hù)與管理工作難度增大����,這對(duì)于原本就人員不足網(wǎng)絡(luò)管理部門(mén)更是雪上加霜。安全隱患的存在也就不可避免了�。
(四)缺乏完善的網(wǎng)絡(luò)使用以及管理制度相對(duì)寬松的管理模式,導(dǎo)致校園網(wǎng)的管理者在制定相應(yīng)的管理制度以及監(jiān)督辦法時(shí)過(guò)于隨意�����,從而很難有效的進(jìn)行網(wǎng)絡(luò)用戶(hù)行為的監(jiān)督管理工作�。
高校網(wǎng)絡(luò)安全管理工作改革
未來(lái)的信息技術(shù)發(fā)展將成為廣大高校的核心競(jìng)爭(zhēng)力之一,勢(shì)必以科研以及教學(xué)等工作的核心支持呈現(xiàn)���。因此����,對(duì)于確保高校的網(wǎng)絡(luò)安全��、可靠、順暢是網(wǎng)絡(luò)安全管理工作的重點(diǎn)����。
(一)端點(diǎn)設(shè)備的接入目前,廣大高校已經(jīng)基本實(shí)現(xiàn)了入網(wǎng)用戶(hù)的身份認(rèn)證管理系統(tǒng)的建立�。但是,卻無(wú)法判斷出系統(tǒng)用戶(hù)的計(jì)算機(jī)是否處于安全狀態(tài)���,從而也就很難對(duì)其網(wǎng)絡(luò)行為進(jìn)行管理。端點(diǎn)設(shè)備安全接入能夠?qū)θ刖W(wǎng)用戶(hù)的網(wǎng)絡(luò)行為進(jìn)行有效的安全控制�。其工作原理如下:首先,身份驗(yàn)證��,當(dāng)用戶(hù)的電腦進(jìn)入到系統(tǒng)時(shí)�����,系統(tǒng)會(huì)對(duì)其身份進(jìn)行安全檢測(cè)����,一旦確認(rèn)其身份違法,則會(huì)禁圖1校園網(wǎng)問(wèn)題分析圖止其入網(wǎng)行為�,然后,對(duì)其的安全狀態(tài)進(jìn)行監(jiān)測(cè),如果存在漏洞則需隔離處理����。只有符合要求的方可進(jìn)入。
(二)確保網(wǎng)絡(luò)出入口安全目前���,防火墻技術(shù)主要作用于三到四層的檢測(cè)與篩查�����,而對(duì)應(yīng)用層的病毒攻擊效果不明顯,致使在校園網(wǎng)以及數(shù)據(jù)中心的輸入口經(jīng)常受到病毒的威脅�����。因此��,需要對(duì)其進(jìn)行有效的安全防御手段����。并與防火墻技術(shù)相配合,保證校園網(wǎng)的應(yīng)用安全�����。
(三)實(shí)現(xiàn)校園網(wǎng)透明化對(duì)網(wǎng)絡(luò)的管理以及應(yīng)用進(jìn)行優(yōu)化��,必須做到網(wǎng)絡(luò)的高度透明,并對(duì)大規(guī)模的流量數(shù)據(jù)進(jìn)行分析�,利用實(shí)時(shí)狀態(tài)信息的收集與整體,對(duì)流量的分布詳細(xì)掌握�,從而為各種優(yōu)化措施以及QoS方案的執(zhí)行做好準(zhǔn)備,確保關(guān)鍵業(yè)務(wù)的順利運(yùn)行。
(四)IP技術(shù)的存儲(chǔ)整合目前���,存儲(chǔ)資源主要是依靠服務(wù)器和應(yīng)用��,多數(shù)都是分散存在的���,很難實(shí)現(xiàn)資源共享,因此�����,對(duì)存儲(chǔ)資源的整合是解決資源和信息孤立的重要環(huán)節(jié)���。利用高校數(shù)據(jù)中心的深入建設(shè)����,能夠?qū)崿F(xiàn)資源的存儲(chǔ)����、整合以及共享�����。從而為數(shù)據(jù)和應(yīng)用系統(tǒng)的整合提供支撐平臺(tái)��。校園數(shù)據(jù)中心的特點(diǎn)不同于其他行業(yè)���,是分布式數(shù)據(jù)中心的建設(shè),這既是高校管理模式的需要����,也是實(shí)現(xiàn)異地容災(zāi)備份的需要�。同時(shí),不同區(qū)域的數(shù)據(jù)分布式多物理位置存放可滿(mǎn)足校園應(yīng)用對(duì)資料的高速訪問(wèn)的特點(diǎn)需求����,即大多數(shù)的應(yīng)用需要對(duì)于數(shù)據(jù)的高速并發(fā)訪問(wèn)。那么在多數(shù)據(jù)中心的建設(shè)需求下����,基于IP技術(shù)將大大降低數(shù)據(jù)和存儲(chǔ)資源的整合難度,并極大地降低了總體擁有成本��。安全數(shù)據(jù)網(wǎng)絡(luò)是與校園網(wǎng)絡(luò)物理融合、邏輯分離的安全VPN網(wǎng)絡(luò)��,在充分保證數(shù)據(jù)安全性的前提下�����,復(fù)用校園的基礎(chǔ)網(wǎng)絡(luò)資源��,降低基礎(chǔ)建設(shè)的投資����,同時(shí)也解決了存儲(chǔ)系統(tǒng)在物理距離方面的限制,最終以低成本實(shí)現(xiàn)了效果滿(mǎn)意的數(shù)據(jù)備份�����、容災(zāi)�。
(五)完善校園網(wǎng)的安全管理制度無(wú)論是先進(jìn)的網(wǎng)絡(luò)安全技術(shù),還是最新的軟硬件設(shè)備支撐�,都需要有優(yōu)秀的管理人才進(jìn)行管理。而管理人才更是離不開(kāi)完善的網(wǎng)絡(luò)安全管理制度與其配合�。因此,管理人員要對(duì)網(wǎng)絡(luò)安全進(jìn)行深入���、全面的研究���,并不斷的對(duì)現(xiàn)有網(wǎng)絡(luò)管理制度進(jìn)行完善��,使其做到與時(shí)俱進(jìn)����。并在高校當(dāng)中進(jìn)行安全管理培訓(xùn)�,幫助用戶(hù)提升網(wǎng)絡(luò)安全防范意識(shí),自覺(jué)遵守和維護(hù)網(wǎng)絡(luò)管理規(guī)章制度��,將網(wǎng)絡(luò)安全隱患降到最低��。
