校园计算机网络安全应用实例论文

  引言

  人类已进入信息时代,计算机网络已成为当今社会必不可少的工具之一。由于网络具有的开放性,它在为人类带来便利的同时,也带来了众多安全隐患。高等院校在日常教学和管理中,无论教师还是学生已经非常依赖校园计算机网络。因此,校园网络已成为各大专院校的重要基础设施之一。而校园网络覆盖范围广,用户使用量大,各种网络故障极为普遍,种类也多种多样,要在网络出现故障时对出现故障做出准确的判断并进行维护,快速诊断、及时修复,掌握一套行之有效的网络维护理论、方法和技术是关键。同时,感染病毒,骇客窃取密码或资料等问题层出不穷,校园计算机网络安全带来的危害也越来越严重,如何保障网络安全已成为亟待解决的问题。所以,在校园网络建设中加强网络安全已经成为关键问题。

  一、校园网安全策略的制定

  校园网安全策略的制定包括制度安全和技术安全两方面的内容。

  制度安全策略的制定是根据高校的具体情况,明确和细化校园网的安全内容,制定行之有效的管理体系,明确各级管理员的用户分级和职责,针对不同用户提供对应的使用说明书,全面指导和规范校园网各级用户的网络行为。

  技术安全策略通过校园网的安全设备和安全软件来实现。具体采取以下安全设备和安全软件:

  (1)设备的物理安全;

  (2)设备安全特性;

  (3)设置防火墙;

  (4)校园网路由器;

  (5)远程访问虚拟专用网络集中器;

  (6)校园网入侵检测系统;

  (7)校园网邮件过滤系统和网页内容过滤系统;

  (8)验证、授权和记账服务器和其余相关网络的验证、授权和记账服务器;

  (9)不同网络设备上的访问控制和访问限制机制,比如ACL和CAR;

  (10)校园网设备配置的安全管理软件和数据备份系统;

  (11)校园网服务器和终端的安全管理系统。

  二、安全管理措施

  校园网安全管理的工作非常复杂,所面临的威胁主要来源于人为的无意失误,人为的恶意攻击,各种软件的漏洞和“后门”,非授权访问,信息泄露或丢失,数据完整性遭到破坏等各个方面。涉及学校各部门的人员和业务,必须由决策层统一领导,由专门的信息安全管理委员会具体负责。根据“统一领导、层层落实、外防内审”的原则,成立包括决策机构、执行机构、应急响应小组等各级网络安全责任机构。校园网络系统中的各种硬件设备、软件、技术资料以及机房场地等是重要的校园网安全保护对象,需要采取有效措施进行管理,其主要有以下方面:

  1.人员的管理。人是各个安全环节中最重要的因素,对人员的管理包括对网络管理、维护者的管理和对网络使用者的管理。重点需要加强对网络管理、维护者的管理。许多安全事件都是由内部人员引起的,正所谓堡垒最容易从内部攻破。因此,需要明确管理员分级制度,建立有效的监督机制,全面提高网络管理、维护人员的安全意识、政治觉悟和道德品质。

  2.硬件的管理。为了对硬件设备的购置、使用、维修、储存等各环节进行有效管理。对所有设备均应建立项目齐全、管理严格的登记制度,严格控制硬件设备购置、移交、使用、维护、维修和报废等各环节,管理工作正规化、日常化,而且应由第三方机构做好检查、监督工作。每台或每套设备的使用均应指定专人负责,并建立详细的运行日志,由责任人进行设备的日常清洗及定期保养维护,保证设备处于最佳状态。

  3.机房的管理。机房场地的选择、内部装修、供配电系统要满足防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃等要求,安置电磁屏蔽网,防止电磁波的干扰和泄露。重要部位需要设置有可靠的报警和消防设施。进入机房的人员必须经过有关安全管理人员的批准,进入和退出时间及进入理由要进行登记。同时,关键部位要设置门卫或者电子报警装置,防止非法闯入。

  4.软件的管理。软件的管理对象包括操作系统、应用软件、数据库、安全软件、工具软件等,软件管理要由责任心强、工作及业务能力高的专人负责。合理设置各种软件的使用权限。建立安全日志,对系统升级、软件的安装和更新、软件的各种异常情况的处理做到有据可查。

  5.重要信息文件的管理。网络管理中涉及的重要信息文件包括口令、配置、权威数据、重要技术文档等,应该分级保存、做好备份文件。同时,采取切实有效的加密措施,防止重要信息的外泄。

  三、安全设置原则

  路由器、防火墙、网络交换机、VPN集中器等组成了校园网络的关键设备,这些网络设备有着共同的安全设置原则。

  1.备份配置管理。备份配置能够允许在发生网络攻击导致配置被破坏或者被以某种方式修改时,快速恢复网络设备。因此,路由器的配置在路由器的非易失性随机存储器中保存的同时,還需要在一个适当的位置保存一个路由器配置副本。

  2.控制关键设备的访问。通过虚拟类型终端端口和控制台和辅助端口两种主要机制来防止对任何资源进行未授权的访问,实现对校园网设备的访问进行控制。

  3.网络设备的安全访问。为防止远程管理过程中的信息泄露问题,除了在网络设备上建立用户认证系统外,还应该考虑使用安全外壳协议(SSH)或者类似的方法对网络设备的通信会话加密。

  4.设备的密码管理。使用加密机、动态口令、密码键盘、密钥分发器进行密码的分级管理,放置密码的最好位置是认证服务器,对于需要在设备自身放置的密码应适当地加密,防止窥探,以确保密码安全。

  5.开启网络设备的日志功能。日志记录是网络设备安全机制的重要组成部分。建立网络的统一的日志主机,将网络设备的日志按照统一格式上传到日志服务器。利用信息完整日志的文件能够为我们分析、查找相关信息提供重要的数据来源。

  6.禁用不需要的服务。禁用不需要的服务,可提高安全性及系统运行速度,具体根据实际情况,如果网络设备上的一些服务是不需要的,就应该禁用它们。

  四、网络设备的安全设置

  1.路由体系结构。合理的路由过滤对于任何一个校园计算机网络建设都是重要的,尤其当校园网与外部公共网络连接时路由的结构设置中尤为重要。安全的路由体系结构不易受攻击,同时也不易出现体系结构的漏洞。一个好的路由基础结构设计能够在网络遭受攻击期间帮助管理员降低网络风险和缩短故障时间。在校园网络中,需要确保只有真正包含在内部网络上的路由才能正常运行。

  使用静态路由是确保安全的有效方法。静态路由能够使路由表中的代码信息在网络攻击中不受影响,防止网络中其他部分出现的安全问题对整个网络的影响。另外,为确保安全使用静态路由有必要定义默认路由信息。

  目前主要有两种提供安全使用路由器间交换路由的方法:

  (1)认证共享路由信息的路由器,确定是同一个可信源在进行交谈。

  (2)认证共享路由信息的准确性,确保在传输时数据信息没有被窜改。

  2.防火墙的设置。防火墙的正确设置原则如下:

  (1)将防火墙设置校园网边界。为保证校园网中的设备受到防火墙保护,防火墙的位置应尽可能在接近网络最终出口和最初入口。这样做也有助于校园网和公用网络保持明确的分界。分界不清楚的網络很容易遭到来自外部的攻击。

  (2)为了保护重要信息和关键网段有时还需要将防火墙设置在校园网内部。比如在校园网中财务处、图书馆或教务处服务器这些需要特殊保护隔离的网段,需要通过防火墙设置防止其他非法用户访问。

  (3)为了防止防火墙被旁路,不应该将防火墙与路由器等其他的网络设备并行设置,同时避免任何可能导致防火墙被旁路的设备在网络拓扑中加入。

  (4)校园网与公用网络之间应建立隔离区,例如通过Web服务器与校园网设备间建立联系时,应把防火墙建立在这些服务器的隔离区之上。将外部服务器放置在与校园网分离的隔离区中,可迫使拥有外部服务器控制权的人员,访问校园网络时必须通过防火墙。

  3.远程访问设置。现在高校可以采用建立远程服务器的办法解决远程管理、维护、使用的问题。但是,为防止校园网受到远程网络攻击,校园网必须设置防火墙,并且对通过远程访问服务器进入校园网的请求进行限定。同时,还应该在远程访问服务器上进行访问过滤配置,限制非法连接的进入。

  结语

  保证校园网络的高速正常运行涉及到教育教学、行政办公、后勤生活的方方面面,对于学校的教学、科研、管理具有重要意义。网络安全是通过各种科学手段使网络系统的硬件、软件及其系统中的数据受到保护,从本质上来讲就是保护网络上的信息安全,确保网络系统连续、可靠、正常地运行。如何建立一套完善可靠的校园网络安全体系,需要各级部门高度重视,通过有效手段和科技创新在不断的实践中总结提高网络的安全性能。

  参考文献:

  [1]李贺华.校园网安全管理机构与制度建设的探讨[J].中国公共安全:学术版,2009,(9).

  [2]刘赵,孙海波.校园网信息系统安全管理策略研究[J].信息与电脑:理论版,2010,(2).

相关推荐