前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網(wǎng)絡(luò)安全建設(shè)方案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:安全;信息化;規(guī)劃
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A
1 校園網(wǎng)安全運(yùn)行現(xiàn)狀與需求
1.1校園網(wǎng)安全建設(shè)現(xiàn)狀分析
網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡(luò)安全威脅的客觀存在。隨著高校的發(fā)展,用網(wǎng)人數(shù)的增加,校園網(wǎng)用戶(hù)對(duì)信息與網(wǎng)絡(luò)安全的要求也越來(lái)越高。大部分高校以往的網(wǎng)絡(luò)建設(shè),重點(diǎn)是“建設(shè)”,強(qiáng)調(diào)網(wǎng)絡(luò)的覆蓋范圍,出口帶寬,基礎(chǔ)應(yīng)用等,而對(duì)網(wǎng)絡(luò)安全的關(guān)注度不夠,往往是“想起一個(gè)建一個(gè),需要一個(gè)建~個(gè)”,沒(méi)有形成系統(tǒng)、全面、高效的網(wǎng)絡(luò)安全體系。隨著高?!靶畔⒒苯ㄔO(shè)的呼聲越來(lái)越高,網(wǎng)絡(luò)安全體系的建設(shè)也在逐步受到學(xué)校各級(jí)領(lǐng)導(dǎo)的重視。
1.2校園網(wǎng)安全體系建設(shè)需求
網(wǎng)絡(luò)安全建設(shè)一直是各高校網(wǎng)絡(luò)建設(shè)的難點(diǎn)和薄弱環(huán)節(jié),一方面,技術(shù)管理手段的不全面以及管理機(jī)制的不完善制約了安全防范的力度;另一方面,校園網(wǎng)用戶(hù)甚至是系統(tǒng)管理員的安全意識(shí)淡漠,以及學(xué)生用戶(hù)網(wǎng)絡(luò)行為的不確定性成為各高校網(wǎng)絡(luò)安全工作的瓶頸。因此,網(wǎng)絡(luò)中心需要通過(guò)采取一系列的網(wǎng)絡(luò)安全措施、制定一系列的網(wǎng)絡(luò)安全管理制度,在提高網(wǎng)絡(luò)管理技術(shù)手段的同時(shí),逐步增強(qiáng)用戶(hù)的網(wǎng)絡(luò)安全意識(shí),構(gòu)建穩(wěn)定、安全、綠色的校園網(wǎng)。
2 網(wǎng)絡(luò)安全體系建設(shè)規(guī)劃
隨著學(xué)校網(wǎng)絡(luò)與信息化建設(shè)的逐步深入,網(wǎng)絡(luò)安全問(wèn)題、信息數(shù)據(jù)安全問(wèn)題日益突出。建立一套網(wǎng)絡(luò)安全體系,是各高校在信息化過(guò)程中的重要任務(wù)之一。
2.1校園網(wǎng)安全建設(shè)規(guī)劃
根據(jù)各高校網(wǎng)絡(luò)建設(shè)規(guī)劃,結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)手段,應(yīng)從以下幾個(gè)方面做好校園網(wǎng)安全建設(shè)工作。
2.1.1加強(qiáng)網(wǎng)絡(luò)設(shè)施安全建設(shè)
網(wǎng)絡(luò)設(shè)施安全主要指網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件設(shè)備的物理安全。某高校網(wǎng)絡(luò)中心曾經(jīng)發(fā)生過(guò)同批次多塊硬盤(pán)損壞,機(jī)柜門(mén)被撬開(kāi)。學(xué)生惡意偷用電源。光纜被挖斷等安全事件,因此。在信息化的建設(shè)中,保證設(shè)備的物理安全尤為重要。
建立機(jī)房、設(shè)備間的防火、防盜、監(jiān)控和報(bào)警方案:
對(duì)一些關(guān)鍵設(shè)備。系統(tǒng)和鏈路,應(yīng)設(shè)置冗余備份系統(tǒng),避免網(wǎng)絡(luò)設(shè)備因天災(zāi)或人為因素對(duì)網(wǎng)絡(luò)造成的影響。
2.1.2終端安全防范措施
隨著各高校網(wǎng)絡(luò)覆蓋范圍的逐步增加,用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時(shí)在線用戶(hù)已經(jīng)達(dá)到4500人),用戶(hù)終端的安全問(wèn)題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問(wèn)題之一。由于用網(wǎng)人員的計(jì)算機(jī)水平參差不齊,以及學(xué)生用戶(hù)網(wǎng)絡(luò)行為的不可控性,給網(wǎng)絡(luò)安全帶來(lái)了很大的隱患,因此需要從以下幾個(gè)方面完善終端安全防范措施:
提供并推廣可供全校師生員工使用的網(wǎng)絡(luò)版殺毒軟件,以及校內(nèi)WSUS服務(wù),逐步建立“沒(méi)有殺毒軟件”、“不打系統(tǒng)補(bǔ)丁”不上網(wǎng)的安全意識(shí);
對(duì)校內(nèi)突發(fā)的終端安全事故進(jìn)行監(jiān)控,及時(shí)提供必要的專(zhuān)殺工具、漏洞補(bǔ)?。?/p>
提高技術(shù)人員的技術(shù)水平,采取相應(yīng)的檢測(cè)手段,利用先進(jìn)的儀器設(shè)備,減少用戶(hù)端安全事故的排查和定位時(shí)間。
2.1.3應(yīng)用服務(wù)器安全措施
應(yīng)用服務(wù)器是數(shù)字化校園的基礎(chǔ),是各個(gè)業(yè)務(wù)系統(tǒng)的載體,所以它的安全是至關(guān)重要的,因此,系統(tǒng)管理員的技術(shù)手段和安全意識(shí)在服務(wù)器的安全管理中起到至關(guān)重要的作用。
制定相關(guān)技術(shù)文檔,規(guī)范應(yīng)用服務(wù)器上線前的安全檢查,督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動(dòng)更新等,并且定期掃描系統(tǒng)漏洞,更改系統(tǒng)密碼。保證操作系統(tǒng)安全;
建立完善可靠的容災(zāi)恢復(fù)方案,對(duì)關(guān)鍵服務(wù)器采用雙機(jī)熱備方式,并且提供可靠的數(shù)據(jù)備份系統(tǒng),如采用RAID技術(shù)以及利用磁帶備份數(shù)據(jù),確保事故發(fā)生時(shí)業(yè)務(wù)數(shù)據(jù)不丟失,系統(tǒng)能夠快速恢復(fù);
建立授權(quán)控制體系,對(duì)不同管理員設(shè)定不同的系統(tǒng)、數(shù)據(jù)庫(kù)管理權(quán)限:
完善訪問(wèn)日志分析系統(tǒng),定期對(duì)日志進(jìn)行整理和分析,制定相應(yīng)的安全策略。
2.1.4網(wǎng)絡(luò)出口及邊界安全
目前高校網(wǎng)絡(luò)出口及邊界設(shè)備主要分為路由器。防火墻、VPN等三類(lèi)設(shè)備,網(wǎng)絡(luò)出口及邊界的安全主要包括配置合理、全面的安全策略,以及如何提高安全響應(yīng)速度和快速、準(zhǔn)確地定位攻擊來(lái)源。針對(duì)這些方面,需要在出口及邊界設(shè)備的管理中做到以下幾點(diǎn):
建立密碼維護(hù)制度。定期更換設(shè)備Telnet、SSH登錄密碼以及SNMP共同體名;
>制定詳細(xì)的ACL策略,限制登錄設(shè)備的IP地址;
采取NAT機(jī)制。在保證校內(nèi)用戶(hù)正常上網(wǎng)的同時(shí),繼續(xù)優(yōu)化8812路由器的安全功能;
啟用防火墻的防病毒功能,在源頭阻斷病毒入侵;
合理規(guī)劃SSL VPN的用戶(hù)權(quán)限;
建立IDS+IPS的聯(lián)動(dòng)機(jī)制。完善網(wǎng)絡(luò)監(jiān)控與入侵防范;
建立出入雙向的訪問(wèn)日志系統(tǒng)。
2.1.5應(yīng)用分析控制技術(shù)的應(yīng)用
在網(wǎng)絡(luò)安全管理中,網(wǎng)絡(luò)流量、網(wǎng)絡(luò)應(yīng)用的分析至關(guān)重要,網(wǎng)絡(luò)管理人員需要明確地知道網(wǎng)絡(luò)中有哪些網(wǎng)絡(luò)應(yīng)用,各種應(yīng)用在網(wǎng)絡(luò)中所占的帶寬以及是否存在不良應(yīng)用,如圖1。
隨著上網(wǎng)人數(shù)的增多,網(wǎng)絡(luò)出口不可避免地出現(xiàn)擁堵現(xiàn)象,因此,需要進(jìn)一步對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行分析,并制定有效的控制策略。
實(shí)時(shí)記錄出口帶寬使用情況,對(duì)惡意占用帶寬的應(yīng)用進(jìn)行限制,確?;緫?yīng)用的高效運(yùn)行;
對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控,利用相關(guān)協(xié)議分析工具對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行深層坎的分析。
2.2信息安全建設(shè)規(guī)劃
信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復(fù)制和使用等。
2.2.1信息安全保障措施
通過(guò)一系列的措施,保證信息在傳輸和存儲(chǔ)時(shí)的安全。
建立完善的實(shí)名上網(wǎng)制度,并且與各系統(tǒng)的日志配合,建立“上網(wǎng)ID+上網(wǎng)時(shí)間+上網(wǎng)IP+上網(wǎng)入”的一一對(duì)應(yīng)關(guān)系;
建立合理的文件上傳、審查制度,對(duì)關(guān)鍵數(shù)據(jù)采取數(shù)字簽名技術(shù),做到誰(shuí)上傳誰(shuí)負(fù)責(zé),安全事故責(zé)任到人;
對(duì)論壇、留言板等提供用戶(hù)交流的版塊加強(qiáng)監(jiān)管力度。對(duì)有害和敏感信息進(jìn)行監(jiān)控;
數(shù)字校園關(guān)鍵服務(wù)器問(wèn)數(shù)據(jù)傳輸采取加密方式,防止網(wǎng)絡(luò)竊聽(tīng)、數(shù)據(jù)泄露等安全事故的發(fā)生;
對(duì)病毒郵件、垃圾郵件以及含有敏感信息的郵件進(jìn)行過(guò)濾。
2.2.2數(shù)據(jù)安全建設(shè)
隨著高校信息化建設(shè)的推進(jìn),各部門(mén)工作信息化的程度也將越來(lái)越高,如何保證數(shù)據(jù)安全,提高管理信息系統(tǒng)(MIS)的安全性是信息化過(guò)程中必須考慮的問(wèn)題。
各部門(mén)需要制定MIS的相關(guān)管理制度:
制定MIS系統(tǒng)數(shù)據(jù)備份、災(zāi)難恢復(fù)方案;
定期對(duì)MIS漏洞進(jìn)行修補(bǔ)。防止數(shù)據(jù)泄露。
2.3全局安全體系建設(shè)
根據(jù)對(duì)網(wǎng)絡(luò)體系分層的概念,針對(duì)不同的層次制定不同的網(wǎng)絡(luò)安全措施。做到有的放矢,從技術(shù)上實(shí)現(xiàn)檢測(cè)、上報(bào)和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(luò)(GSN),如圖2。
整合已建立的安全措施,增加針對(duì)上網(wǎng)用戶(hù)的準(zhǔn)入策略。在用戶(hù)連入網(wǎng)絡(luò)之前先進(jìn)行客戶(hù)端病毒及漏洞掃描,保證連入網(wǎng)絡(luò)的客戶(hù)端的安全性,從而最大限度地降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn):
建立統(tǒng)一的安全管理平臺(tái)(SMP),通過(guò)下發(fā)警告消息,下發(fā)修復(fù)程序,下發(fā)阻斷或者隔離策略等手段智能處理安全事件。
關(guān)鍵詞:大學(xué);校園網(wǎng)絡(luò);網(wǎng)絡(luò)通信安全;現(xiàn)狀;對(duì)策
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 24-0000-01
University Campus Network Communication Security Situation and Countermeasures
Wang Xiaowen,Chai Dapeng
(Engineering College of Shanxi University,Taiyuan030013,China)
Abstract:This paper campus network traffic status and countermeasures to do a series of elaborate,for your reference.
Keywords:College;Campus network;Network communications security;Status;Countermeasures
網(wǎng)絡(luò)技術(shù)在當(dāng)今已經(jīng)滲透了社會(huì)的各個(gè)領(lǐng)域,大學(xué)校園的網(wǎng)絡(luò)也已經(jīng)投入使用。校園網(wǎng)是互聯(lián)網(wǎng)極為重要的組成部分,對(duì)于大學(xué)生的生活和學(xué)習(xí)影響很大。當(dāng)前大學(xué)校園的網(wǎng)絡(luò)存在著很多安全隱患,不利于學(xué)生的身心健康。大學(xué)的校園網(wǎng)絡(luò)系統(tǒng)具有開(kāi)放性和信息的共享性,很容易導(dǎo)致網(wǎng)絡(luò)遭到病毒或者黑客攻擊,大學(xué)的校園網(wǎng)在教學(xué)、管理、科研及對(duì)外聯(lián)絡(luò)的工作當(dāng)中起著舉足輕重的作用。如何保證校園網(wǎng)絡(luò)安全、高效、穩(wěn)定地運(yùn)轉(zhuǎn),成了越來(lái)越多的人員開(kāi)始關(guān)注的問(wèn)題。
一、大學(xué)校園的網(wǎng)絡(luò)特征
互聯(lián)網(wǎng)技術(shù)已經(jīng)廣泛應(yīng)用于大學(xué)的各個(gè)學(xué)科教學(xué)當(dāng)中,并且取得了一定成效。大學(xué)的校園網(wǎng)絡(luò)能夠?qū)崿F(xiàn)校內(nèi)的計(jì)算機(jī)、局域網(wǎng)、國(guó)際互聯(lián)網(wǎng)的互連,實(shí)現(xiàn)了資源共享和信息的溝通。由于使用校園網(wǎng)的用戶(hù)群比較密集和活躍,所以存在著很多安全隱患,其安全管理極為復(fù)雜。
(一)管理的復(fù)雜性。大學(xué)的校園網(wǎng)絡(luò)并不同于其它領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)管理,校園網(wǎng)當(dāng)中的計(jì)算機(jī)購(gòu)置及管理情況極為復(fù)雜。通常學(xué)生宿舍當(dāng)中的電腦都是由學(xué)生自己購(gòu)買(mǎi)和維護(hù)的,院系的電腦一般都是統(tǒng)一購(gòu)買(mǎi)、有專(zhuān)門(mén)技術(shù)人員維護(hù)或者教師自己購(gòu)買(mǎi),沒(méi)有專(zhuān)門(mén)人員的維護(hù)。在這樣的情況下,如果要求對(duì)所有計(jì)算機(jī)系統(tǒng)實(shí)施統(tǒng)一安全管理是很困難的。
(二)用戶(hù)的規(guī)模大。一般大學(xué)生都是集中住宿的,所以用戶(hù)群較為密集,而且數(shù)目比較多,這就形成了大學(xué)的校園網(wǎng)具有高帶寬和用戶(hù)量大的特點(diǎn),使得網(wǎng)絡(luò)的安全問(wèn)題蔓延快,對(duì)網(wǎng)絡(luò)所產(chǎn)生的影響極為嚴(yán)重。
(三)網(wǎng)絡(luò)安全的意識(shí)淡薄,管理制度不完善。大學(xué)的教學(xué)及科研特點(diǎn)決定校園網(wǎng)絡(luò)的環(huán)境具有開(kāi)放性,其管理也較為寬松。大學(xué)生往往是比較活躍的,對(duì)網(wǎng)絡(luò)技術(shù)有強(qiáng)烈的好奇心,很多非正常的訪問(wèn)都有可能導(dǎo)致網(wǎng)絡(luò)的資源浪費(fèi),與此同時(shí)也會(huì)為校園網(wǎng)絡(luò)的安全帶來(lái)隱患。
(四)資金的投入有限。大學(xué)校園的網(wǎng)絡(luò)建設(shè)與管理通常對(duì)網(wǎng)絡(luò)安全沒(méi)有足夠的重視,僅僅將有限經(jīng)費(fèi)投入到關(guān)鍵的設(shè)備方面,對(duì)于網(wǎng)絡(luò)的安全建設(shè)并沒(méi)有系統(tǒng)投入,尤其是對(duì)于維護(hù)和管理人員方面沒(méi)有足夠的投入。
二、大學(xué)的校園網(wǎng)絡(luò)中所存在的問(wèn)題
(一)操作系統(tǒng)的漏洞。當(dāng)前大學(xué)的校園網(wǎng)中使用的操作系統(tǒng)中所存在的IIS漏洞、游覽器的漏洞及TCP/IP協(xié)議的漏洞對(duì)信息安全和系統(tǒng)的使用都有可能構(gòu)成嚴(yán)重威脅,導(dǎo)致系統(tǒng)癱瘓等狀況。很多校園網(wǎng)中計(jì)算機(jī)的病毒都借助操作系統(tǒng)中所存在的漏洞傳播,不利于校園網(wǎng)絡(luò)為學(xué)生服務(wù)。
(二)病毒危害。眾所周知,病毒會(huì)對(duì)計(jì)算機(jī)的系統(tǒng)運(yùn)行產(chǎn)生一定影響,甚至有可能導(dǎo)致計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)癱瘓,影響著校園的網(wǎng)絡(luò)安全。病毒如果通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的話(huà),其傳播速度及破壞性遠(yuǎn)超過(guò)其它類(lèi)型的病毒,學(xué)校所接入的INTERNET網(wǎng)絡(luò)有可能為外界病毒的進(jìn)入提供使得條件,學(xué)生們所下載的電子郵件和程序都有可能攜帶著病毒。
(三)安全管理方面的缺陷。校園網(wǎng)是近些年才發(fā)展起來(lái)的,在很多方面校園網(wǎng)絡(luò)建設(shè)并不完善,大學(xué)校園的網(wǎng)絡(luò)建設(shè)大都存在著軟件投資方面的問(wèn)題。純粹把網(wǎng)絡(luò)系統(tǒng)當(dāng)成技術(shù)工程進(jìn)行實(shí)施,而沒(méi)有系統(tǒng)、安全的管理政策,勢(shì)必不利于校園網(wǎng)絡(luò)的安全。校園網(wǎng)絡(luò)管理措施如果不夠得力的話(huà),隨時(shí)都可能導(dǎo)致病毒傳播的泛濫或信息丟失等,后果相當(dāng)嚴(yán)重。
三、大學(xué)校園的網(wǎng)絡(luò)安全防范策略
當(dāng)今大學(xué)的校園網(wǎng)絡(luò)已經(jīng)成為了一個(gè)極為復(fù)雜的系統(tǒng)。如果想確保校園網(wǎng)站的安全,應(yīng)當(dāng)從管理及技術(shù)等多個(gè)層面入手,針對(duì)校園網(wǎng)用戶(hù)的情況制定相關(guān)政策。由于校園網(wǎng)的用戶(hù)大多都是學(xué)校管理及教學(xué)人員,不能夠?qū)τ脩?hù)做太多限制,一定要盡可能的利用現(xiàn)有設(shè)備,發(fā)揮現(xiàn)有設(shè)備所具有的技術(shù)潛力,同時(shí)也要考慮到添置的設(shè)備先進(jìn)性及擴(kuò)展性,為今后的網(wǎng)絡(luò)發(fā)展創(chuàng)造更為有利的條件。
(一)網(wǎng)絡(luò)監(jiān)控。校園網(wǎng)絡(luò)系統(tǒng)的管理人員在不影響校園網(wǎng)絡(luò)系統(tǒng)正常運(yùn)轉(zhuǎn)的情況之下,應(yīng)當(dāng)增強(qiáng)內(nèi)部的網(wǎng)絡(luò)監(jiān)控制度,以便最大限度保護(hù)校園網(wǎng)絡(luò)資源,為學(xué)生提供更為有利的資源。管理人員可以通過(guò)有效的監(jiān)控方式,增強(qiáng)校園網(wǎng)絡(luò)系統(tǒng)安全的反應(yīng)和自我適應(yīng)能力,對(duì)不安全的因素及時(shí)做好防范,保證網(wǎng)絡(luò)的服務(wù)能夠正常提供,形成功能完善的監(jiān)控系統(tǒng)。
(二)培養(yǎng)素質(zhì)高的維護(hù)隊(duì)伍。高等院校的網(wǎng)絡(luò)中心可以組建起網(wǎng)絡(luò)安全維護(hù)的隊(duì)伍,對(duì)其進(jìn)行網(wǎng)絡(luò)安全的管理培訓(xùn)及指導(dǎo),以便加強(qiáng)對(duì)大學(xué)的校園網(wǎng)絡(luò)管理力度,保證校園的網(wǎng)絡(luò)能夠快捷、規(guī)范、方便地運(yùn)行。
(三)構(gòu)建良好文化氛圍。信息安全對(duì)于實(shí)現(xiàn)高校教育的信息化來(lái)說(shuō)極為重要,除了安全技術(shù)的管理之外,文化氛圍是否良好對(duì)于高校信息的安全工作開(kāi)展也起著至關(guān)重要的作用。
大學(xué)校園的網(wǎng)絡(luò)信息安全日益復(fù)雜化,其安全建設(shè)應(yīng)當(dāng)以校園網(wǎng)的信息安全現(xiàn)狀作為前提,通過(guò)對(duì)信息安全知識(shí)的培訓(xùn)來(lái)加強(qiáng)用戶(hù)安全意識(shí)。只有建立起便捷、安全的網(wǎng)絡(luò)環(huán)境,保障了校園網(wǎng)安全,才能夠提高校園網(wǎng)絡(luò)信息資源的保密性、可用性及完整性。
四、結(jié)論
在大學(xué)校園中,計(jì)算機(jī)技術(shù)在迅速發(fā)展著,為師生學(xué)習(xí)、工作提供了方便。然而我們?cè)谙硎芸萍紟?lái)方便的時(shí),也應(yīng)當(dāng)認(rèn)識(shí)到網(wǎng)絡(luò)安全的問(wèn)題已經(jīng)成為了網(wǎng)絡(luò)應(yīng)用過(guò)程中的巨大障礙。一定要根據(jù)校園網(wǎng)情況的發(fā)展變化制定一系列解決方案,保證校園網(wǎng)絡(luò)的安全,使得校園網(wǎng)向著良性方向發(fā)展,為學(xué)生的成長(zhǎng)創(chuàng)造有利條件。
參考文獻(xiàn):
[1]林瑞云.大學(xué)校園網(wǎng)網(wǎng)絡(luò)安全對(duì)策[J].現(xiàn)代通信,2003,10期
[2]田進(jìn)華.高校校園網(wǎng)無(wú)線局域網(wǎng)通信安全策略探析[J].信息系統(tǒng)工程,2011,3
關(guān)鍵詞:全局安全;校園網(wǎng);安全體系
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校園網(wǎng)作為高校信息化的重要基礎(chǔ),承擔(dān)著學(xué)校教學(xué)、科研、管理和社會(huì)服務(wù)等重要角色,給教師和學(xué)生的工作、學(xué)習(xí)、生活帶來(lái)了很多便利。但當(dāng)今校園網(wǎng)面臨著嚴(yán)峻的威脅網(wǎng)絡(luò)安全問(wèn)題,目前面對(duì)威脅,應(yīng)對(duì)問(wèn)題的主要技術(shù)有身份認(rèn)證技術(shù)、入侵檢測(cè)技術(shù)、防火墻技術(shù)、防病毒技術(shù)等。這些技術(shù)都只是針對(duì)局部威脅的安全措施,無(wú)法保障校園網(wǎng)的整體安全。因此,新的校園網(wǎng)安全思路,注重從“局部防御”到“整體防范”的轉(zhuǎn)變,將安全理念融合到網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中,依靠多種安全組件聯(lián)動(dòng),實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全,即全局安全解決方案。
1 農(nóng)職院網(wǎng)絡(luò)安全現(xiàn)狀
廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院校園網(wǎng)始建于2002年,通過(guò)100M鏈路CERNET、30M電信鏈路接入Internet,己形成覆蓋教學(xué)、科研、辦公、宿舍等區(qū)域的所有建筑物,“千兆主干、百兆到桌面”的網(wǎng)絡(luò)帶寬格局。計(jì)算機(jī)網(wǎng)絡(luò)自身的開(kāi)放性、互聯(lián)性和共享性,使之不可避免地會(huì)受到病毒、黑客、木馬等安全威脅和攻擊,校園網(wǎng)數(shù)據(jù)丟失、系統(tǒng)被篡改、網(wǎng)絡(luò)癱瘓的情形常有發(fā)生。其原因主要如下:
① 缺乏有效的身份管理系統(tǒng)
校園網(wǎng)缺少用戶(hù)身份認(rèn)證機(jī)制,外來(lái)用戶(hù)、非法用戶(hù)隨意接入;缺少可控的身份集中認(rèn)證系統(tǒng),對(duì)用戶(hù)進(jìn)行管理難度大;用戶(hù)賬號(hào)存在被盜用的風(fēng)險(xiǎn),安全審計(jì)無(wú)法有效進(jìn)行,在實(shí)際發(fā)生問(wèn)題后不能夠迅速定位及取證分析。
② 無(wú)法保證用戶(hù)終端合法性
Windows系列系統(tǒng)存在致命漏洞,系統(tǒng)補(bǔ)丁沒(méi)有及時(shí)更新;沒(méi)有按要求安裝殺毒軟件,安裝后從來(lái)不升級(jí)或者從來(lái)不主動(dòng)查殺;隨意下載違禁軟件,不規(guī)范使用網(wǎng)絡(luò);上述問(wèn)題造成了病毒和攻擊在校園網(wǎng)內(nèi)泛濫,嚴(yán)重影響正常應(yīng)用。
③ 網(wǎng)絡(luò)安全無(wú)法有效控制
校園網(wǎng)內(nèi)部分用戶(hù)出于對(duì)網(wǎng)絡(luò)的好奇,經(jīng)常會(huì)用學(xué)習(xí)到的各種方法,非法攻擊校園網(wǎng)絡(luò)核心設(shè)備及應(yīng)用系統(tǒng),嚴(yán)重影響校園網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行和校園管理秩序。目前互聯(lián)網(wǎng)上相關(guān)的黑客工具種類(lèi)繁多、功能豐富、設(shè)置簡(jiǎn)單、使用方便、破壞力大,給這類(lèi)學(xué)生提供了攻擊的便利。
2 全局安全校園網(wǎng)絡(luò)的設(shè)計(jì)
校園網(wǎng)全局安全理念,由銳捷網(wǎng)絡(luò)公司于2005年提出,即GSN( Global Security Network),由安全交換機(jī)、安全管理平臺(tái)、安全計(jì)費(fèi)管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成,能實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng),使每個(gè)設(shè)備都發(fā)揮安全防護(hù)作用的新型網(wǎng)絡(luò)安全模式。具體構(gòu)架如圖1所示,其由三個(gè)層面、五個(gè)部分組成。
hx01.tif
圖1 全局安全網(wǎng)絡(luò)
校園網(wǎng)全局安全方案通過(guò)將校園網(wǎng)用戶(hù)入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成起來(lái),從而對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御,網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù),同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí),達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件防范目的。其工作原理如下:
1) 用戶(hù)使用網(wǎng)絡(luò)之前,首先由接入的交換機(jī)+SAM對(duì)其進(jìn)行身份認(rèn)證。
2) SAM檢查用戶(hù)身份,批準(zhǔn)或拒絕用戶(hù)的接入請(qǐng)求。
3) SAM學(xué)習(xí)用戶(hù)的身份、主機(jī)環(huán)境等信息,并將制定好的策略發(fā)送多SU客戶(hù)端。
4) SU對(duì)用戶(hù)主機(jī)進(jìn)行健康性檢查,并將檢查結(jié)果反饋回SMP服務(wù)器。
5) IDS對(duì)網(wǎng)絡(luò)安全事件進(jìn)行檢測(cè)收集,將安全事件報(bào)告給SEP(安全事件解析器),并由SEP反饋至SMP。
6) SMP對(duì)IDS反饋的安全事件進(jìn)行統(tǒng)一管理,將安全事件關(guān)聯(lián)至用戶(hù)。
7) SMP對(duì)每個(gè)用戶(hù)的健康性檢測(cè)結(jié)果和安全事件進(jìn)行處理,生成相應(yīng)的策略,并下發(fā)至交換機(jī)執(zhí)行。
3 全局安全網(wǎng)絡(luò)在我院的部署
根據(jù)校園網(wǎng)全局安全設(shè)計(jì)方案,可把服務(wù)器部署在校園網(wǎng)的服務(wù)器群中,而IDS的傳感器則可根據(jù)需要部署在核心或者匯聚層上,越靠近邊緣則效果越好,而安全智能交換機(jī)則要部署在接入層,保障客戶(hù)的安全。構(gòu)建好的廣西農(nóng)職院部署的典型拓?fù)淙鐖D2所示。
hx02.tif
圖2 典型的全局安全校園網(wǎng)部署拓?fù)鋱D
3.1 身份認(rèn)證系統(tǒng)的部署
作為全局安全的身份基礎(chǔ)平臺(tái),SAM系統(tǒng)實(shí)現(xiàn)了廣西農(nóng)業(yè)職業(yè)技術(shù)學(xué)院全體學(xué)生宿舍、教師宿舍、辦公和公共機(jī)房身份認(rèn)證。該系統(tǒng)基于802.lx技術(shù),實(shí)現(xiàn)了對(duì)用戶(hù)的身份和IP、MAC、交換機(jī)端口、交換機(jī)IP等信息嚴(yán)格綁定。 SAM系統(tǒng)提供的完善的計(jì)費(fèi)運(yùn)營(yíng)功能,為校園網(wǎng)運(yùn)營(yíng)提供了足夠的數(shù)據(jù)支撐。通過(guò)該系統(tǒng)的部署,有效的防止了IP地址盜用,極大的減輕了校園網(wǎng)管理的運(yùn)營(yíng)負(fù)擔(dān),并為全局網(wǎng)絡(luò)安全提供了基礎(chǔ)身份平臺(tái)。如圖3。
其次,SAM提供了完善的自助服務(wù)系統(tǒng),包括快捷注冊(cè),個(gè)人信息、密碼進(jìn)行修改,上網(wǎng)明細(xì)、交費(fèi)記錄、余額查詢(xún),在線充值、注銷(xiāo)用戶(hù)等功能。不但方便了終端用戶(hù)繳費(fèi),同時(shí)也極大地減輕管理者的管理和收費(fèi)工作負(fù)擔(dān),有效緩解學(xué)生繳費(fèi)和學(xué)校收費(fèi)的矛盾。而入網(wǎng)身份驗(yàn)證的多元素綁定,也有效的杜絕了IP地址沖突現(xiàn)象的發(fā)生,用戶(hù)漫游功能,實(shí)現(xiàn)了用戶(hù)在不同地區(qū)認(rèn)證上網(wǎng)的需求。
hx03.tif
圖3 身份認(rèn)證
3.2 安全管理平臺(tái)的部署
一、高職院校校園網(wǎng)絡(luò)現(xiàn)狀
(1)考慮到投入和收益的比例,眾多學(xué)校對(duì)校園網(wǎng)絡(luò)的經(jīng)費(fèi)投入不足,再加上掌握決策權(quán)的學(xué)校領(lǐng)導(dǎo)對(duì)信息技術(shù)的了解不多,對(duì)建設(shè)校園網(wǎng)的目的不明確,所以就將有限的經(jīng)費(fèi)投資在關(guān)鍵的硬件設(shè)備上,而對(duì)于網(wǎng)絡(luò)的安全建設(shè)一直沒(méi)有比較系統(tǒng)的投入,從而導(dǎo)致校園網(wǎng)絡(luò)安全防范能力不夠,隨時(shí)都有被侵襲的危險(xiǎn),存在極大的安全隱患。
(2)計(jì)算機(jī)蠕蟲(chóng)病毒泛濫與網(wǎng)絡(luò)蠕蟲(chóng)病毒的危害日益嚴(yán)重,種類(lèi)和數(shù)量日益增多,發(fā)作日益頻繁?,F(xiàn)在蠕蟲(chóng)病毒往往與黑客技術(shù)結(jié)合,計(jì)算機(jī)中毒發(fā)作后,常導(dǎo)致拒絕服務(wù)攻擊,連累全網(wǎng)服務(wù)中斷。過(guò)去病毒最大的“本事”是復(fù)制自身到其他程序,現(xiàn)在它具有了蠕蟲(chóng)的特點(diǎn),通過(guò)網(wǎng)絡(luò)到處亂竄。還有些病毒具有黑客程序的功能,一旦侵入計(jì)算機(jī)系統(tǒng)后,病毒控制者可以從入侵的系統(tǒng)中竊取信息,遠(yuǎn)程控制這些系統(tǒng)了。
(3)來(lái)自網(wǎng)絡(luò)外部的入侵攻擊等惡意破壞行為頻率越來(lái)越高。某些計(jì)算機(jī)被攻破后,可能成為黑客的工具,進(jìn)行再次攻擊。例如,系統(tǒng)攻擊就是攻擊針對(duì)單個(gè)主機(jī),并通過(guò)RealSecure系統(tǒng)對(duì)它進(jìn)行監(jiān)視。
(4)眾多學(xué)校技術(shù)人員技術(shù)參差不齊,責(zé)任心不強(qiáng),多數(shù)網(wǎng)絡(luò)管理員都從大中專(zhuān)院校畢業(yè),在工作之前沒(méi)有受過(guò)系統(tǒng)的專(zhuān)業(yè)培訓(xùn),所以,不能很好地勝任本職工作。如把在計(jì)算機(jī)中裝上還原卡當(dāng)作是萬(wàn)能管理方法;不設(shè)置系統(tǒng)管理員密碼;在系統(tǒng)中不安裝防火墻和殺毒軟件等等。另外,有些網(wǎng)絡(luò)管理員敷衍塞責(zé),對(duì)出現(xiàn)的系統(tǒng)故障置之不理。
二、高職院校校園網(wǎng)中的安全隱患
(1)校園網(wǎng)通過(guò)與Internet相聯(lián),在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn);
(2)目前使用的操作系統(tǒng)存在安全漏洞,對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅;
(3)校園網(wǎng)內(nèi)部也存在很大的安全隱患,由于內(nèi)部用戶(hù)對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來(lái)自?xún)?nèi)部的安全威脅更大一些;
(4)S著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)節(jié)點(diǎn)日漸增多,而這些節(jié)點(diǎn)大部分沒(méi)有采取一定的防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果;
(5)限于學(xué)院數(shù)字化的進(jìn)程,目前的網(wǎng)絡(luò)防護(hù)體系中還缺少硬件級(jí)防火墻這一防護(hù)環(huán)節(jié),即沒(méi)有對(duì)內(nèi)部網(wǎng)和外部網(wǎng)進(jìn)行有效的隔離,入侵就很難避免。
三、高職院校校園網(wǎng)絡(luò)安全解決方案
1.升級(jí)網(wǎng)絡(luò)基礎(chǔ)交換設(shè)備。
將校園網(wǎng)內(nèi)所有交換機(jī)全部升級(jí)為安全智能接入交換機(jī)。智能接入交換機(jī)具備大容量訪問(wèn)控制功能,能夠屏蔽常見(jiàn)病毒端口,將病毒攻擊、網(wǎng)關(guān)攻擊等行為限制在接入層。并結(jié)合用戶(hù)上網(wǎng)認(rèn)證系統(tǒng),對(duì)用戶(hù)進(jìn)入校園網(wǎng)的權(quán)限及可用資源實(shí)行規(guī)范、分級(jí)管理。
2.配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。
校園網(wǎng)絡(luò)雖然比較復(fù)雜,但從整體技術(shù)架構(gòu)來(lái)看,還是屬于局域網(wǎng)范疇,因此,在局域網(wǎng)和外部網(wǎng)絡(luò)接口處配置統(tǒng)一的網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備即可將絕大多數(shù)外部攻擊拒之門(mén)外。另外需要注意的是,校園網(wǎng)絡(luò)現(xiàn)在基本上都是高速網(wǎng)絡(luò),因此配置安全設(shè)備既要考慮到功能,又必須考慮性能,將配置安全設(shè)備后對(duì)網(wǎng)絡(luò)性能的影響盡可能的降到最低。據(jù)此要求,校園網(wǎng)絡(luò)需要配備以下安全設(shè)備:高性能的硬件防火墻;旁路監(jiān)聽(tīng)型的入侵檢測(cè)系統(tǒng);漏洞掃描系統(tǒng);安全審計(jì)系統(tǒng);旁路監(jiān)聽(tīng)型不良內(nèi)容過(guò)濾系統(tǒng);覆蓋全校范圍的網(wǎng)絡(luò)版防病毒系統(tǒng);網(wǎng)絡(luò)故障檢測(cè),以及網(wǎng)絡(luò)故障診斷設(shè)備。通過(guò)配置這些安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對(duì)大量的非法訪問(wèn)和不健康信息起到有效的阻斷作用,對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。
3.安裝補(bǔ)丁程序和網(wǎng)絡(luò)殺毒軟件。
任何操作系統(tǒng)都有漏洞,大部分校園網(wǎng)服務(wù)器使用的操作系統(tǒng)都有漏洞,尤其是Windows2000、Windows2003等微軟的操作系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)管理員需要及時(shí)對(duì)系統(tǒng)進(jìn)行升級(jí),有時(shí)候也可以借助第三方安全軟件來(lái)對(duì)系統(tǒng)進(jìn)行升級(jí)。電腦病毒的防范,根據(jù)校園網(wǎng)現(xiàn)狀,在充分考慮可行性的基礎(chǔ)上,可采用殺毒軟件網(wǎng)絡(luò)版的分級(jí)管理,多重防護(hù)體系作為校園網(wǎng)的防病毒管理架構(gòu)。充分使用殺毒軟件網(wǎng)絡(luò)版所擁有的“遠(yuǎn)程安裝”、“智能升級(jí)”、“集中管理”等多種功能,為校園網(wǎng)絡(luò)建立起一個(gè)完善的防病毒體系。
4.采取有利措施防止內(nèi)部用戶(hù)非正常使用和對(duì)校園網(wǎng)的的攻擊行為。
建立各部門(mén)計(jì)算機(jī)使用制度,明確用戶(hù)的責(zé)任和義務(wù),嚴(yán)禁各部門(mén)隨意安裝和運(yùn)行一些帶有黑客性質(zhì)的軟件。嚴(yán)禁使用未檢驗(yàn)的光盤(pán)、軟盤(pán)和其他移動(dòng)存儲(chǔ)設(shè)備。對(duì)校園網(wǎng)上的計(jì)算機(jī)實(shí)施IP和MAC地址的綁定,防止私自亂改IP的現(xiàn)象發(fā)生。
關(guān)鍵詞:信息安全;信息化建設(shè);校園網(wǎng)
近十年來(lái),我國(guó)的高校信息化建設(shè)步入了飛速發(fā)展階段,各類(lèi)學(xué)校官網(wǎng)建設(shè)、教學(xué)資源的共享、教務(wù)系統(tǒng)的應(yīng)用、校園一卡通等信息系統(tǒng)的建設(shè),成了高校信息化的展示平臺(tái)和重點(diǎn),信息系統(tǒng)在學(xué)校教務(wù)工作中占據(jù)了非常重要的地位.原本的大學(xué)信息化平臺(tái)只能提供普通的通知公告、學(xué)校形象展示等功能,隨著信息技術(shù)的發(fā)展,如今的大學(xué)信息化平臺(tái)發(fā)生了很大變化,匯集了學(xué)校網(wǎng)站宣傳、微信、微博賬號(hào)、師生互動(dòng)溝通、教學(xué)教務(wù)系統(tǒng)、選課評(píng)教系統(tǒng)、教學(xué)資源共享等功能.這些系統(tǒng)和信息已經(jīng)成為高校重要的業(yè)務(wù)展示和應(yīng)用平臺(tái).其中涉及的信息安全方面的問(wèn)題日趨值得我們重視.
1高校信息安全現(xiàn)狀
一般的高校信息化建設(shè)主要經(jīng)過(guò)以下幾個(gè)階段:網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、舊應(yīng)用系統(tǒng)整合、新應(yīng)用系統(tǒng)開(kāi)發(fā)等.[1]在高校信息化建設(shè)發(fā)展的同時(shí),整體安全狀況卻不容樂(lè)觀.高校網(wǎng)絡(luò)應(yīng)用日趨增加,網(wǎng)絡(luò)系統(tǒng)越來(lái)越龐大,對(duì)外要能夠抵御各種黑客攻擊,負(fù)載均衡等問(wèn)題,對(duì)內(nèi)要解決規(guī)范網(wǎng)絡(luò)資源使用.信息化安全是當(dāng)前高校信息業(yè)務(wù)應(yīng)用發(fā)展需要關(guān)注的核心和重點(diǎn),而高校信息安全需要解決以下安全內(nèi)容:1)操作系統(tǒng)安全.2)網(wǎng)絡(luò)信息通信安全.3)網(wǎng)絡(luò)系統(tǒng)信息內(nèi)容安全.中國(guó)高校網(wǎng)站安全情況極差,根據(jù)國(guó)內(nèi)信息安全公司的報(bào)告,在2012年5月,國(guó)內(nèi)截獲了61萬(wàn)個(gè)遭黑客網(wǎng)頁(yè)掛馬的網(wǎng)址,其中教育教學(xué)類(lèi)的網(wǎng)址就有18萬(wàn)個(gè)以上.此外,根據(jù)《2013年中國(guó)高校網(wǎng)站安全檢測(cè)報(bào)告》,高校網(wǎng)站的安全性在全國(guó)各類(lèi)網(wǎng)址中,體檢分?jǐn)?shù)排名僅僅比倒數(shù)第一名多2分(見(jiàn)圖1).值得注意的是,各大學(xué)校的科研、教務(wù)網(wǎng)站上保存有大量的敏感數(shù)據(jù)和學(xué)生信息,如不加以重視安全保護(hù),極易受到黑客的攻擊和竊取,由此引發(fā)的高校網(wǎng)站被篡改、被掛馬的安全事件頻繁出現(xiàn),最終給高校帶來(lái)嚴(yán)重的形象及經(jīng)濟(jì)損失.另外,高校網(wǎng)站在百度、搜狗等搜索引擎中是熱門(mén)關(guān)鍵詞,由于其安全性薄弱及多方面的利益驅(qū)使,是黑客攻擊并傳播病毒的優(yōu)先選擇目標(biāo).信息安全隱患已經(jīng)成為高校信息化建設(shè)過(guò)程中無(wú)法回避的問(wèn)題,其嚴(yán)重威脅著高校信息化的推廣和使用,[2]威脅著公共安全的多個(gè)方面.
2高校信息安全面臨的挑戰(zhàn)
當(dāng)前,各大高校都在加大信息化平臺(tái)的投入,對(duì)官網(wǎng)、教務(wù)管理系統(tǒng)進(jìn)行建設(shè),讓各類(lèi)教學(xué)資源聯(lián)網(wǎng)共享,優(yōu)化校內(nèi)網(wǎng)絡(luò)資源等,這些高校信息化的建設(shè)是各大高校適應(yīng)當(dāng)前形勢(shì)發(fā)展需求而開(kāi)展的,每個(gè)學(xué)校都有自己的實(shí)際情況和需求,業(yè)務(wù)開(kāi)展初期沒(méi)有一個(gè)宏觀的規(guī)劃架構(gòu),各個(gè)系統(tǒng)之間互不連通,數(shù)據(jù)不能同步共享、更新,這些系統(tǒng)的功能特性、安全需求和等級(jí)、服務(wù)的群體、所面臨的風(fēng)險(xiǎn)各不相同.高校信息安全面臨的挑戰(zhàn),主要有以下幾點(diǎn):1)高校官網(wǎng)易受到攻擊:高校官網(wǎng)是學(xué)校重要對(duì)外交流窗口,瀏覽訪問(wèn)量巨大,又因?yàn)楦咝>W(wǎng)站多為各高校自主搭建,缺乏足夠的安全防范技術(shù)與措施,所以較容易引起網(wǎng)絡(luò)黑客的攻擊興趣,黑客利用網(wǎng)頁(yè)掛馬,分布式拒絕服務(wù)攻擊等方式對(duì)學(xué)校官網(wǎng)進(jìn)行攻擊,輕則造成網(wǎng)站響應(yīng)速度變慢,重則導(dǎo)致訪問(wèn)者中毒,或者學(xué)校網(wǎng)站無(wú)法訪問(wèn)等嚴(yán)重后果.圖2和圖3分別列出了中國(guó)高校網(wǎng)站安全漏洞分布情況和黑客攻擊高校網(wǎng)站技術(shù)手段分布情況.圖2中國(guó)高校網(wǎng)站安全漏洞分布情況Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges圖3黑客攻擊高校網(wǎng)站技術(shù)手段分布情況Fig.3Hackers'attackmethoddistribution2)高校敏感數(shù)據(jù)被入侵、篡改.高校信息中心的業(yè)務(wù)數(shù)據(jù),包括“校園一卡通”、教務(wù)管理系統(tǒng)、圖書(shū)館借閱系統(tǒng)、精品課程資源庫(kù)等,由于保存有大量學(xué)生身份證、聯(lián)系電話(huà)、成績(jī)、銀行卡號(hào)、住址、學(xué)生飯卡資金等敏感信息,也成為網(wǎng)絡(luò)黑手攻擊的對(duì)象,黑客入侵修改學(xué)生成績(jī)、學(xué)歷,甚至修改畢業(yè)證信息等信息安全事件屢見(jiàn)不鮮.3)校園網(wǎng)的內(nèi)部威脅.高校內(nèi)部用戶(hù)上網(wǎng)帶來(lái)的威脅,包括機(jī)房、宿舍、辦公樓用戶(hù)等.由于信息技術(shù)發(fā)展速度較快,高校在信息安全教育方面沒(méi)有跟上技術(shù)發(fā)展的步伐,導(dǎo)致校園上網(wǎng)用戶(hù)對(duì)信息安全重視程度不夠,缺乏信息安全保護(hù)能力和意識(shí),通過(guò)學(xué)校局域網(wǎng)或者機(jī)房感染計(jì)算機(jī)病毒的概率很高,使得各種計(jì)算機(jī)病毒在校園內(nèi)迅速傳播,給學(xué)校內(nèi)網(wǎng)帶來(lái)安全威脅.另外,有些學(xué)生對(duì)黑客盲目崇拜,在校內(nèi)嘗試黑客攻擊技術(shù),也造成了一些信息安全事故.4)技術(shù)人員方面的短缺.很多高校信息管理人員缺乏成熟的管理經(jīng)驗(yàn),整體素質(zhì)比較低,加上管理和制度上的欠缺,使得高校信息系統(tǒng)在運(yùn)行過(guò)程中遇到入侵的概率大大增加.5)需要加大資金投入.越來(lái)越多的高校已經(jīng)認(rèn)識(shí)到校園信息化建設(shè)的重要性.但是,由于信息化建設(shè)的硬件投入需要較大資金,而很多高校存在資金缺口,導(dǎo)致安全設(shè)備硬件的缺乏,進(jìn)而成為整個(gè)安全建設(shè)的短板.另外,信息化服務(wù)、信息化應(yīng)用、人員培訓(xùn)等方面也需要大量資金,這些問(wèn)題不解決,將使得高校的信息化建設(shè)失去動(dòng)力支持.
3解決方案
對(duì)于高校校園網(wǎng)的安全建設(shè)而言,主要考慮以下幾個(gè)方面:1)對(duì)整個(gè)高校的信息安全進(jìn)行統(tǒng)一規(guī)劃,建立并實(shí)施體系化的信息保障標(biāo)準(zhǔn),實(shí)現(xiàn)學(xué)校門(mén)戶(hù)部門(mén)公共服務(wù)網(wǎng)站教學(xué)資源等各類(lèi)型網(wǎng)站的整合,簡(jiǎn)化技術(shù)維護(hù)難度,確保網(wǎng)站的建設(shè)質(zhì)量和安全防護(hù)能力.2)全方位的進(jìn)行建設(shè),在基礎(chǔ)層建設(shè)方面、網(wǎng)絡(luò)層建設(shè)方面、系統(tǒng)集成方面、管理應(yīng)用方面,多角度多層面的設(shè)計(jì)和建設(shè)安全需求.3)對(duì)涉及敏感數(shù)據(jù)的區(qū)域進(jìn)行重點(diǎn)保護(hù),劃分重點(diǎn)區(qū)域,有利于集中管理.4)針對(duì)學(xué)校的業(yè)務(wù)需求,引入先進(jìn)的安全硬件軟件等產(chǎn)品,緊跟安全領(lǐng)域的步伐.5)定期進(jìn)行校園網(wǎng)絡(luò)體系化建設(shè)咨詢(xún),風(fēng)險(xiǎn)評(píng)估,攻擊測(cè)試等活動(dòng),不斷提高安全防護(hù)能力.6)信息安全建設(shè)過(guò)程中要嚴(yán)格遵守國(guó)家等級(jí)保護(hù)要求,結(jié)合等級(jí)化的方法來(lái)設(shè)計(jì).7)高校信息化建設(shè)與人員的素質(zhì)息息相關(guān),在加強(qiáng)信息化管理的過(guò)程中,需要對(duì)校園中使用網(wǎng)絡(luò)的人員進(jìn)行安全教育和培訓(xùn),提高人員的安全意識(shí),[3]形成人人關(guān)心信息安全工作,事事重視信息安全保護(hù)的工作氛圍.
4具體安全措施框架
根據(jù)高校自身系統(tǒng)的特點(diǎn),結(jié)合等級(jí)保護(hù)相關(guān)技術(shù)要求和標(biāo)準(zhǔn)規(guī)范,筆者提出了以下解決方案(見(jiàn)圖4).該方案的安全措施框架是依據(jù)“防范優(yōu)先,全面防御”的方針,以及“制度與技術(shù)結(jié)合”的原則,并結(jié)合等級(jí)保護(hù)基本要求進(jìn)行設(shè)計(jì),主要包括技術(shù)體系,管理體系以及安全監(jiān)控體系三大方面,在核心應(yīng)用系統(tǒng)方面使用入侵檢測(cè)系統(tǒng)、軟硬件防火墻、殺毒軟件定期查殺等常用信息防范措施,保障網(wǎng)絡(luò)業(yè)務(wù)在具有一定的安全防護(hù)能力下的正常開(kāi)展.
4.1技術(shù)體系
4.1.1架構(gòu)規(guī)劃
劃分重點(diǎn)保護(hù)區(qū)域、訪問(wèn)控制、防DDOS攻擊,針對(duì)重點(diǎn)保護(hù)區(qū)域使用防火墻進(jìn)行隔離,配置規(guī)范的訪問(wèn)控制權(quán)限和策略,交叉使用多家安全廠商的產(chǎn)品,構(gòu)建嚴(yán)密、專(zhuān)業(yè)的網(wǎng)絡(luò)安全保障體系.
4.1.2應(yīng)用層面
對(duì)校內(nèi)各Web應(yīng)用進(jìn)行入侵檢測(cè),及時(shí)修補(bǔ)漏洞,利用防火墻對(duì)SQL注入、跨站腳本等通過(guò)應(yīng)用層的入侵動(dòng)作實(shí)時(shí)阻斷,并結(jié)合網(wǎng)頁(yè)防篡改子系統(tǒng),真正達(dá)到“網(wǎng)頁(yè)防篡改”效果.
4.1.3數(shù)據(jù)層面
將校內(nèi)重要的數(shù)據(jù)放置在重點(diǎn)保護(hù)區(qū)域,提升數(shù)據(jù)庫(kù)自身的安全指數(shù)與配置,對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限進(jìn)行嚴(yán)格設(shè)定,最大限度地保證數(shù)據(jù)庫(kù)安全.同時(shí),利用SAN、異地?cái)?shù)據(jù)備份系統(tǒng)有效保護(hù)重要信息數(shù)據(jù)的健康度.
4.2管理體系
任何安全設(shè)施和安全產(chǎn)品都需要專(zhuān)業(yè)管理人員的審核、跟蹤和維護(hù),在安全管理體系的設(shè)計(jì)中,引入安全經(jīng)驗(yàn)豐富和對(duì)等級(jí)保護(hù)管理要求理解清晰的專(zhuān)業(yè)公司,為高校量身定做符合實(shí)際的、可操作的安全管理體系.
4.3安全監(jiān)控體系
4.3.1風(fēng)險(xiǎn)評(píng)估
評(píng)估和分析在網(wǎng)絡(luò)上存在的安全技術(shù),分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷,調(diào)查系統(tǒng)現(xiàn)有的安全控制措施,評(píng)價(jià)當(dāng)前高校的業(yè)務(wù)安全風(fēng)險(xiǎn)承擔(dān)能力;聘請(qǐng)資深的安全專(zhuān)家對(duì)各種安全事件的日志、記錄實(shí)時(shí)監(jiān)控與分析,發(fā)現(xiàn)各種潛在的危險(xiǎn),并提供及時(shí)的修補(bǔ)和防御措施建議.
4.3.2滲透測(cè)試
利用網(wǎng)絡(luò)安全掃描器、專(zhuān)用安全測(cè)試工具和專(zhuān)業(yè)的安全工程師的人工經(jīng)驗(yàn)對(duì)網(wǎng)絡(luò)中的核心服務(wù)器及重要的網(wǎng)絡(luò)設(shè)備進(jìn)行非破壞性質(zhì)的模擬黑客攻擊,提高防范意識(shí)與技術(shù).
4.3.3應(yīng)急響應(yīng)
針對(duì)信息系統(tǒng)危機(jī)狀況的緊急響應(yīng)設(shè)有預(yù)案,當(dāng)信息系統(tǒng)發(fā)生意外的突發(fā)安全事件時(shí),可以提供緊急的救援措施.通過(guò)以上方案的實(shí)施,學(xué)校業(yè)務(wù)系統(tǒng)得到安全保障,高??蒲小⒔虅?wù)、學(xué)籍等重要數(shù)據(jù)免受黑客入侵威脅.高校官網(wǎng)抗攻擊性得到加強(qiáng),在遭受一般的網(wǎng)絡(luò)攻擊下能持續(xù)提供網(wǎng)絡(luò)服務(wù),并檢測(cè)攻擊出處.規(guī)范校內(nèi)用戶(hù)的上網(wǎng)行為,提高校內(nèi)用戶(hù)的整體信息安全意識(shí),提高了網(wǎng)絡(luò)利用率,減少了內(nèi)部的網(wǎng)絡(luò)攻擊.另外能逐步完善安全制度并提升管理人員素質(zhì).因此該系統(tǒng)的建設(shè)能夠滿(mǎn)足當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)的要求.
5結(jié)語(yǔ)
當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展壯大的多功能復(fù)雜系統(tǒng),在提供日常的教務(wù)管理、學(xué)校宣傳的同時(shí),也面臨著越來(lái)越復(fù)雜的信息安全威脅,網(wǎng)絡(luò)技術(shù)不斷發(fā)展的同時(shí),現(xiàn)有的系統(tǒng)自身的漏洞與弱點(diǎn)也會(huì)不斷被發(fā)現(xiàn),信息安全風(fēng)險(xiǎn)日益突出,成為當(dāng)前高職院校中信息化建設(shè)過(guò)程中必須面對(duì)與亟待解決的問(wèn)題.信息化建設(shè)和發(fā)展對(duì)于高校未來(lái)的教育工作有著非常重要的現(xiàn)實(shí)意義,因此,需要加大資金投入,保證校園向著信息化方向發(fā)展,[4]以信息安全為出發(fā)點(diǎn),將系統(tǒng)從項(xiàng)目立項(xiàng)開(kāi)始就納入管理范疇,從而實(shí)現(xiàn)對(duì)高校信息系統(tǒng)的有效管理.[5]在高校信息化建設(shè)中實(shí)施信息安全保護(hù)建設(shè)工作有利于提高全校的信息系統(tǒng)安全建設(shè)水平,能不斷的同步建設(shè)各種信息安全設(shè)施,讓信息化建設(shè)與信息安全同步發(fā)展,能提供全面的并有針對(duì)性的信息系統(tǒng)安全建設(shè),降低網(wǎng)絡(luò)系統(tǒng)建設(shè)成本,有利于優(yōu)化信息安全資源配置,保護(hù)信息系統(tǒng)分類(lèi),確保高校信息平臺(tái)的安全運(yùn)行.
作者:聶晶 單位:南寧職業(yè)技術(shù)學(xué)院
[參考文獻(xiàn)]
[1]于莉潔,王松盛,唐麗華,等.高校信息化建設(shè)中的信息安全問(wèn)題研究[J].信息安全與技術(shù),2016(3).
[2]趙歡,陳熙.高校信息安全體系的研究與實(shí)現(xiàn)[J].中國(guó)教育信息化,2013(13).
[3]譚博.高校信息化建設(shè)進(jìn)程中信息安全問(wèn)題成因及對(duì)策探析[J].信息與電腦:理論版,2016(11).
關(guān)鍵詞:校園網(wǎng) 信息化建設(shè) 網(wǎng)絡(luò)安全
中D分類(lèi)號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1672-3791(2017)02(b)-0031-02
1 校園網(wǎng)信息化建設(shè)所面臨的主要安全威脅
隨著學(xué)校信息化建設(shè)的不斷推進(jìn),校園網(wǎng)得到了飛速的發(fā)展,校園網(wǎng)作為學(xué)校信息化建設(shè)的重要基礎(chǔ)設(shè)施,它給學(xué)校的教學(xué)、管理以及師生的工作、生活和學(xué)習(xí)帶來(lái)了極大的便利。但由于校園網(wǎng)自身的特性,它在帶給師生便利的同時(shí),其安全性也是不容忽視一大問(wèn)題,尤其是在互聯(lián)網(wǎng)飛速發(fā)展的今天,校園網(wǎng)已被列入黑客重點(diǎn)攻擊的對(duì)象。目前,校園網(wǎng)信息化建設(shè)中面臨的主要安全威脅有以下幾個(gè)方面。
1.1 通信協(xié)議的威脅
TCP/IP是Internet上應(yīng)用最為廣泛的通信協(xié)議,它也是國(guó)內(nèi)很多學(xué)校校園網(wǎng)采用的網(wǎng)絡(luò)通信協(xié)議。該協(xié)議在最初設(shè)計(jì)時(shí),僅考慮了如何將信息進(jìn)行互傳,并未充分考慮信息傳輸過(guò)程中的安全問(wèn)題,由此給網(wǎng)絡(luò)安全帶來(lái)了巨大的威脅。ISO提出的OSI協(xié)議雖然可以確保網(wǎng)絡(luò)信息傳輸?shù)陌踩裕捎赥CP/IP所具有的開(kāi)放性及通用性,占據(jù)了整個(gè)網(wǎng)絡(luò)市場(chǎng),致使OSI協(xié)議的推廣受阻。在這一前提下,黑客常常會(huì)針對(duì)TCP/IP進(jìn)行攻擊,主要的攻擊手段有數(shù)據(jù)竊聽(tīng)、APP欺騙等等。
1.2 漏洞的威脅
從計(jì)算機(jī)網(wǎng)絡(luò)誕生至今,尚且沒(méi)有任何一種軟件是不存在漏洞的,如果漏洞修復(fù)的不及時(shí),則會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成巨大的安全威脅。若是主機(jī)被攻破,與之相連接的網(wǎng)絡(luò)以及其它設(shè)備的信息安全均會(huì)受到威脅,情況嚴(yán)重時(shí),會(huì)導(dǎo)致網(wǎng)絡(luò)癱瘓的后果。Windows操作系統(tǒng)是校園網(wǎng)普遍采用的操作系統(tǒng),也是漏洞較多的一類(lèi)系統(tǒng),若是漏洞未能及時(shí)修補(bǔ),將會(huì)對(duì)整個(gè)校園網(wǎng)的安全構(gòu)成威脅。
1.3 計(jì)算機(jī)病毒的威脅
計(jì)算機(jī)病毒是網(wǎng)絡(luò)安全最為嚴(yán)重的威脅之一,隨著網(wǎng)絡(luò)的大范圍普及應(yīng)用,加之各種開(kāi)源軟件的增多,給計(jì)算機(jī)病毒的傳播提供了渠道。不僅如此,一些網(wǎng)絡(luò)黑客會(huì)針對(duì)攻擊對(duì)象植入計(jì)算機(jī)病毒,并以此作為攻擊的跳板,對(duì)網(wǎng)絡(luò)上的其它設(shè)備進(jìn)行非法入侵,由此給網(wǎng)絡(luò)安全帶來(lái)了極大的威脅。
1.4 校園網(wǎng)用戶(hù)的威脅
用戶(hù)對(duì)校園網(wǎng)安全的威脅主要體現(xiàn)在兩個(gè)方面:
(1)用戶(hù)基數(shù)大。校園網(wǎng)有著數(shù)量龐大的用戶(hù)群體,并且所有的用戶(hù)都在同一個(gè)局域網(wǎng)當(dāng)中,不僅如此,網(wǎng)內(nèi)的服務(wù)器數(shù)量也比較多,上述條件很容易吸引黑客攻擊。
(2)安全意識(shí)薄弱。校園網(wǎng)的主要用戶(hù)群體是教師和學(xué)生,他們的網(wǎng)絡(luò)安全意識(shí)比較薄弱,如一些用戶(hù)不安裝安全軟件,系統(tǒng)補(bǔ)丁更新不及時(shí),從而增大了網(wǎng)絡(luò)安全風(fēng)險(xiǎn),給黑客以可乘之機(jī)。
2 校園網(wǎng)信息化建設(shè)安全問(wèn)題的處置方式
校園網(wǎng)的安全性是信息化建設(shè)過(guò)程中不容忽視的主要問(wèn)題之一,為此,必須針對(duì)各種威脅,采取有效的處置和預(yù)防措施,從而最大限度地提升校園網(wǎng)的安全性。
2.1 信息加密技術(shù)
加密技術(shù)就是利用相應(yīng)的加密算法確保網(wǎng)絡(luò)信息的安全傳輸,信息經(jīng)過(guò)加密處理之后,會(huì)從原本的明文轉(zhuǎn)化為他人無(wú)法讀懂的密文,借助解密算法,可將密文重新轉(zhuǎn)化為明文。目前,網(wǎng)絡(luò)信息安全加密算法的種類(lèi)較多,如DES算法、RSA算法等。DES是數(shù)據(jù)加密標(biāo)準(zhǔn),屬于迭代分組密碼,RSA公鑰密碼體制,它的安全性主要體現(xiàn)在分解大整數(shù)的困難性上。在加密和解密的處理效率上,DES要優(yōu)于RSA,這是因?yàn)镈ES的長(zhǎng)度較短,可借助軟硬件實(shí)現(xiàn)高速處理,其適用于大量信息的加密。而RSA由于是大數(shù)計(jì)算,所以它的處理速度要比DES慢很多,故其僅適用于少量數(shù)據(jù)的加密。但RSA在密鑰管理方面的性能要優(yōu)于DES,這是因?yàn)樗梢圆捎霉_(kāi)形式對(duì)加密密鑰進(jìn)行分配,并且密鑰的更新也更容易,對(duì)于不同的通訊對(duì)象只需要對(duì)自身的解密密鑰進(jìn)行保密便可確保信息的安全性。雖然任何一種算法都能對(duì)網(wǎng)絡(luò)信息的安全性提供保障,但是每種加密算法都或多或少存在一些缺陷和不足,單獨(dú)使用很難達(dá)到理想的加密效果。通過(guò)上述分析可知,這兩種加密算法在網(wǎng)絡(luò)信息加密方面具有良好的互補(bǔ)性,因此,可聯(lián)合使用,這樣便能達(dá)到保證校園網(wǎng)信息安全的目的。在校園網(wǎng)信息化建設(shè)過(guò)程中,可將加密技術(shù)應(yīng)用于服務(wù)器登錄、文檔保密等方面,以此來(lái)確保信息的安全、可靠傳輸。
2.2 防火墻技術(shù)
防火墻是確保網(wǎng)絡(luò)信息安全最為有效的技術(shù)措施之一,較為常用的防火墻技術(shù)有以下幾種:
(1)數(shù)據(jù)包過(guò)濾技術(shù)。該技術(shù)可以借助軟硬件系統(tǒng)預(yù)先設(shè)定好一個(gè)過(guò)濾機(jī)制,由此實(shí)現(xiàn)對(duì)數(shù)據(jù)包通過(guò)的選擇與控制,從而達(dá)到保證網(wǎng)絡(luò)信息安全傳輸?shù)哪康摹F涮攸c(diǎn)是設(shè)計(jì)簡(jiǎn)單、成本低、可以抵御黑客攻擊,因此,可將該技術(shù)應(yīng)用于校園網(wǎng)的網(wǎng)絡(luò)層當(dāng)中。
(2)狀態(tài)檢測(cè)技術(shù)。這是一種新型的防火墻技術(shù),它可將同一個(gè)連接上的所有數(shù)據(jù)包視作為一個(gè)整體,并將之連接為狀態(tài)表,利用預(yù)先設(shè)定好的機(jī)制與連接狀態(tài)配合,對(duì)數(shù)據(jù)包中的狀態(tài)進(jìn)行識(shí)別,以此來(lái)對(duì)非法狀態(tài)進(jìn)行檢測(cè)。與防火墻的機(jī)制表相比,連接狀態(tài)表的靈活性更強(qiáng)。在校園網(wǎng)當(dāng)中對(duì)該技術(shù)進(jìn)行具體應(yīng)用時(shí),可通過(guò)狀態(tài)檢測(cè)系統(tǒng)對(duì)網(wǎng)內(nèi)的數(shù)據(jù)包進(jìn)行分析,只有受到保護(hù)的數(shù)據(jù)包方可通行。不僅如此,其還能對(duì)數(shù)據(jù)包的來(lái)源進(jìn)行追蹤,并對(duì)包的行為進(jìn)行記錄,由此大幅度提升了內(nèi)網(wǎng)的安全性。作為一種新型的防火墻,它除了性能優(yōu)良之外,還能與其它防火墻技術(shù)聯(lián)合使用,由此可對(duì)絕大多數(shù)的網(wǎng)絡(luò)非法入侵進(jìn)行抵御,網(wǎng)絡(luò)信息的安全隨之獲得了保證。
(3)技術(shù)。該技術(shù)的核心是服務(wù)器,用戶(hù)可通過(guò)服務(wù)器對(duì)互聯(lián)網(wǎng)進(jìn)行訪問(wèn)。當(dāng)相關(guān)的數(shù)據(jù)流從服務(wù)器上經(jīng)過(guò)時(shí),服務(wù)器會(huì)對(duì)其中的異常數(shù)據(jù)進(jìn)行濾除,這與防火墻的作用相類(lèi)似,由此便可確保達(dá)到用戶(hù)處的數(shù)據(jù)安全、可靠。同時(shí),借助服務(wù)器可對(duì)校園網(wǎng)內(nèi)的用戶(hù)進(jìn)行分級(jí)管理,有助于節(jié)省IP開(kāi)銷(xiāo),可在保證網(wǎng)絡(luò)信息安全的前提下,提高網(wǎng)絡(luò)性能。
2.3 訪問(wèn)控制技術(shù)
這是網(wǎng)絡(luò)安全資源保護(hù)中效果最佳的一項(xiàng)技術(shù)措施,其能夠?qū)τ脩?hù)的身份及所要訪問(wèn)的數(shù)據(jù)資源進(jìn)行限制,有效避免了信息泄密。該技術(shù)最為突出的作用是可以保護(hù)合法用戶(hù)的權(quán)利,避免非法用戶(hù)的惡意入侵,確保網(wǎng)絡(luò)信息的安全。在校園網(wǎng)信息化建設(shè)中通過(guò)對(duì)訪問(wèn)控制技術(shù)的應(yīng)用,可以拒絕所有非法用戶(hù)對(duì)校園網(wǎng)的訪問(wèn),同時(shí)還能進(jìn)行網(wǎng)絡(luò)安全監(jiān)控,當(dāng)發(fā)現(xiàn)用戶(hù)越權(quán)對(duì)某個(gè)文件進(jìn)行訪問(wèn)時(shí),會(huì)自行記錄,并對(duì)此進(jìn)行安全統(tǒng)計(jì)。
3 結(jié)語(yǔ)
綜上所述,學(xué)校在進(jìn)行校園網(wǎng)信息化建設(shè)的過(guò)程中,必須將網(wǎng)絡(luò)安全放在首位,應(yīng)當(dāng)全面分析校園網(wǎng)建設(shè)中的主要安全威脅,并據(jù)此采取合理可行的網(wǎng)絡(luò)安全技術(shù)措施,從而在確保校園網(wǎng)安全的基礎(chǔ)上,推動(dòng)校園網(wǎng)信息化建設(shè)的持續(xù)發(fā)展。
參考文獻(xiàn)
[1] 黃志宏,巫莉莉,張波,等.校園網(wǎng)信息安全建設(shè)中安全基線的研究與應(yīng)用[J].重慶理工大學(xué)學(xué)報(bào)(自然科學(xué)),2014(10):88-89.
[2] 張彬.高校數(shù)字化校園安全防護(hù)與管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué),2015.
[3] 花麗.高校校園網(wǎng)安全需求及安全方案設(shè)計(jì)[J].電子世界,2014(7):76-78.
關(guān)鍵詞:高校;圖書(shū)館;網(wǎng)絡(luò)安全;設(shè)計(jì)與實(shí)現(xiàn)
中圖分類(lèi)號(hào):TP393.08
隨著網(wǎng)絡(luò)閱讀形式的普及,高校作為文化與技術(shù)資源的匯聚地,圖書(shū)館的運(yùn)作逐漸走向網(wǎng)絡(luò)化和數(shù)字化。高校圖書(shū)館的數(shù)據(jù)庫(kù)系統(tǒng)具有資源覆蓋范圍廣、學(xué)科與技術(shù)種類(lèi)豐富、數(shù)字資源量大等特點(diǎn),能夠?yàn)閺V大的高校教師與學(xué)生提供全面的學(xué)術(shù)研究信息服務(wù)。然而同時(shí)高校圖書(shū)館也將面臨著網(wǎng)絡(luò)安全的問(wèn)題。圖書(shū)館資源網(wǎng)絡(luò)化是將圖書(shū)館資源面向更加廣泛的受眾用戶(hù)群,而網(wǎng)絡(luò)中存在著木馬、病毒、黑客等安全隱患,同時(shí)環(huán)境因素、認(rèn)為因素等也威脅著高校圖書(shū)館網(wǎng)絡(luò)的安全,因此,在高校圖書(shū)館網(wǎng)絡(luò)安全建設(shè)上采用完善的安全防護(hù)設(shè)計(jì)和制定相應(yīng)的安全防護(hù)制度對(duì)于高校圖書(shū)館網(wǎng)絡(luò)安全都具有非常重要的意義。
1 高校圖書(shū)館網(wǎng)絡(luò)面臨的安全威脅
1.1 運(yùn)行環(huán)境安全威脅
計(jì)算機(jī)與聯(lián)網(wǎng)設(shè)備屬于高精度電子設(shè)備,其運(yùn)行環(huán)境對(duì)于溫度、濕度、供電穩(wěn)定性、電磁干擾等具有一定的要求,而在這方面大多數(shù)高校圖書(shū)館并沒(méi)有在機(jī)房建設(shè)時(shí)充分考慮到這些方面的因素,因此,對(duì)圖書(shū)館服務(wù)器、計(jì)算機(jī)設(shè)備的穩(wěn)定性和安全性帶來(lái)一定的隱患。同時(shí),數(shù)字圖書(shū)館的建設(shè)要考慮到一些自然環(huán)境因素對(duì)圖書(shū)館網(wǎng)絡(luò)安全的影響,譬如:雷電、火災(zāi)、地震、腐蝕性物質(zhì)等,對(duì)于圖書(shū)館的網(wǎng)絡(luò)安全都具有一定的威脅性。
1.2 硬件環(huán)境安全威脅
高校圖書(shū)館擁有強(qiáng)大的服務(wù)器和交換機(jī),能夠?yàn)榻_(tái)終端計(jì)算機(jī)提供服務(wù),圖書(shū)館服務(wù)器的穩(wěn)定是圖書(shū)館網(wǎng)絡(luò)應(yīng)用的關(guān)鍵。由于目前所使用的操作系統(tǒng),無(wú)論是Windows、Linux還是UNIX都存在一定的系統(tǒng)漏洞,因此,在網(wǎng)絡(luò)攻擊上,對(duì)于圖書(shū)館服務(wù)器的攻擊形式非常的多,譬如:DOS攻擊、ARP入侵、SQL注入、木馬植入等。此外,為了更好的服務(wù)于高校師生,大多數(shù)高校圖書(shū)館網(wǎng)絡(luò)TCP/IP協(xié)議采用的是系統(tǒng)默認(rèn)設(shè)置,方便多用戶(hù)接入,但是這給圖書(shū)館服務(wù)器安全帶來(lái)了較大的威脅。
1.3 軟件環(huán)境安全威脅
數(shù)字圖書(shū)館的建設(shè)需要大量的軟件應(yīng)用,而目前很多病毒都集成在應(yīng)用軟件中,用戶(hù)下載軟件、安裝軟件過(guò)程中容易攜帶對(duì)圖書(shū)館服務(wù)器造成破壞的惡意程序,尤其是當(dāng)圖書(shū)館與互聯(lián)網(wǎng)相接入后,各種具有隱藏性、觸發(fā)性、植入性、寄生性的病毒隱藏在互聯(lián)網(wǎng)應(yīng)用中,而高校圖書(shū)館網(wǎng)絡(luò)互連很容易相互傳染,最終導(dǎo)致整體癱瘓。
1.4 網(wǎng)絡(luò)系統(tǒng)安全威脅
高校圖書(shū)館網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接,給黑客攻擊創(chuàng)造了條件,他們利用網(wǎng)路漏洞掃描、嗅探、欺騙、后門(mén)、口令破譯等手段直接進(jìn)入高校網(wǎng)絡(luò)圖書(shū)館后臺(tái)服務(wù)器管理系統(tǒng)中,刪除重要文獻(xiàn)資料、篡改信息、盜用資源等,給高校數(shù)字圖書(shū)館造成了嚴(yán)重的威脅。
2 高校圖書(shū)館網(wǎng)絡(luò)安全建設(shè)的設(shè)計(jì)與實(shí)現(xiàn)
2.1 高校圖書(shū)館網(wǎng)絡(luò)安全運(yùn)行環(huán)境設(shè)計(jì)與實(shí)現(xiàn)
高校圖書(shū)館系統(tǒng)運(yùn)行的安全是數(shù)字圖書(shū)館建設(shè)的首要環(huán)節(jié),在建設(shè)運(yùn)行環(huán)境方面要對(duì)圖書(shū)館服務(wù)器主機(jī)房的選址和環(huán)境布置進(jìn)行科學(xué)的規(guī)劃,并采用多種安全防護(hù)系統(tǒng)加以保護(hù),譬如:建設(shè)穩(wěn)定的供電系統(tǒng)、防火系統(tǒng)、通風(fēng)系統(tǒng)和安保系統(tǒng)。
高校數(shù)字圖書(shū)館用電量大,對(duì)電壓的穩(wěn)定性要求高,因此,在供電系統(tǒng)設(shè)計(jì)上要采用具有功率大、耐用時(shí)間長(zhǎng)、防雷電等性能的雙機(jī)并聯(lián)UPS系統(tǒng)。
高校圖書(shū)館服務(wù)器機(jī)房防火系統(tǒng)建設(shè)可以采用針對(duì)計(jì)算機(jī)等大用電量的電子設(shè)備專(zhuān)用滅火系統(tǒng),譬如:采用七氟丙烷氣體自動(dòng)滅火系統(tǒng),具有較好的清潔、絕緣、高效能等特點(diǎn),同時(shí)該系統(tǒng)要具備自動(dòng)火災(zāi)探測(cè)預(yù)警系統(tǒng)和火災(zāi)環(huán)境超標(biāo)自動(dòng)滅火機(jī)制。
高校圖書(shū)館主機(jī)房由于設(shè)備散熱量較大,應(yīng)配備24小時(shí)運(yùn)轉(zhuǎn)的機(jī)房專(zhuān)用空調(diào),機(jī)房專(zhuān)用空調(diào)具有上送、下回送風(fēng)功能,能夠保證高校圖書(shū)館主機(jī)房各個(gè)方向的溫度均衡。同時(shí),機(jī)房專(zhuān)用空調(diào)具有溫度自動(dòng)探測(cè)功能和溫度超標(biāo)預(yù)警功能,條件允許的狀況下,可配置雙空調(diào)系統(tǒng),為出現(xiàn)故障時(shí)可備用。
由于高校圖書(shū)館主機(jī)房設(shè)備具有很高的價(jià)值,因此,對(duì)于防盜監(jiān)控應(yīng)專(zhuān)門(mén)設(shè)計(jì)安保系統(tǒng)。安保系統(tǒng)應(yīng)具備機(jī)房各個(gè)角落全方位監(jiān)控功能,并具備紅外預(yù)警裝置,當(dāng)發(fā)生偷盜設(shè)備時(shí),可及時(shí)發(fā)出警告,并通過(guò)校園網(wǎng)直接連入校園保安室。在管理上可采用專(zhuān)人專(zhuān)管,設(shè)置門(mén)禁系統(tǒng)。
2.2 高校圖書(shū)館網(wǎng)絡(luò)安全硬件系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
高校圖書(shū)館硬件配置要首先具備雙機(jī)熱備系統(tǒng),可確保圖書(shū)館服務(wù)器安全運(yùn)轉(zhuǎn)。其次,要具備數(shù)字圖書(shū)館資源獨(dú)立存儲(chǔ)系統(tǒng)和獨(dú)立應(yīng)用系統(tǒng),圖書(shū)資源存放在存儲(chǔ)系統(tǒng)中,不附加應(yīng)用軟件,降低被惡意攻擊的威脅,應(yīng)用系統(tǒng)在調(diào)用存儲(chǔ)系統(tǒng)中資源時(shí)需要提供正確的密鑰,確保資源調(diào)出安全。第三,數(shù)字圖書(shū)館與校園網(wǎng)絡(luò)相連接要建立安全防護(hù)機(jī)制,譬如建立防火墻等。第四,硬件選擇要具備國(guó)家認(rèn)可的相關(guān)合格證明,同時(shí)設(shè)備要具備后續(xù)改造升級(jí)的能力,設(shè)備接口采用標(biāo)準(zhǔn)化接入,具有良好的兼容性,以降低升級(jí)改造費(fèi)用。
2.3 高校圖書(shū)館網(wǎng)絡(luò)安全軟件系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
高校圖書(shū)館網(wǎng)絡(luò)安全軟件系統(tǒng)包括系統(tǒng)軟件和應(yīng)用軟件。在系統(tǒng)軟件設(shè)計(jì)上采用穩(wěn)定性、安全性高的操作系統(tǒng),通常在UNIX系統(tǒng)環(huán)境下的操作系統(tǒng)抗威脅能力較Windows和Linux更強(qiáng),尤其是UNIX所衍生出的針對(duì)于圖書(shū)館應(yīng)用的操作系統(tǒng),如:AIX、Solaris等。在操作系統(tǒng)安裝過(guò)程中,選擇自定義安裝,根據(jù)需要設(shè)置較為安全的權(quán)限管理,同時(shí)為操作系統(tǒng)安裝最新的安全補(bǔ)丁、殺毒軟件、防火墻等。停止使用Guest用戶(hù)登陸,設(shè)計(jì)較為復(fù)雜的管理員用戶(hù)名及密碼,將IIS訪問(wèn)權(quán)限設(shè)為高級(jí)。
在應(yīng)用軟件應(yīng)用上,在應(yīng)用系統(tǒng)中安裝正版的應(yīng)用軟件,并根據(jù)用戶(hù)級(jí)別設(shè)置數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限,加強(qiáng)應(yīng)用軟件安裝的安全檢測(cè)能力,如檢測(cè)到用戶(hù)安裝的應(yīng)用軟件攜帶病毒或者木馬則強(qiáng)行停止安裝。
2.4 高校圖書(shū)館網(wǎng)絡(luò)安全網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
目前,高校圖書(shū)館面向社會(huì)化開(kāi)放,這就導(dǎo)致來(lái)自互聯(lián)網(wǎng)的威脅給高校圖書(shū)館網(wǎng)絡(luò)安全性面臨著嚴(yán)峻的考驗(yàn)。高校圖書(shū)館與外部網(wǎng)絡(luò)連接需要通過(guò)高端的防火墻和完善的用戶(hù)認(rèn)證,阻止外部用戶(hù)直接訪問(wèn)高校圖書(shū)館數(shù)據(jù)庫(kù),并且對(duì)外隱藏IP、網(wǎng)關(guān)等信息。在高校圖書(shū)館內(nèi)部網(wǎng)絡(luò)建設(shè)上要建立獨(dú)立的局域網(wǎng)絡(luò),采用VLAN技術(shù)對(duì)不同圖書(shū)館資源利用區(qū)域進(jìn)行劃分管理,設(shè)置自動(dòng)軟件升級(jí)、防火墻升級(jí)和定期殺毒。
3 高校圖書(shū)館網(wǎng)絡(luò)安全防護(hù)對(duì)策
建設(shè)高校圖書(shū)館網(wǎng)絡(luò)安全防護(hù)體系,需要對(duì)高校圖書(shū)館網(wǎng)絡(luò)構(gòu)建成為多層次、多方面監(jiān)管的安全防護(hù)網(wǎng)絡(luò),在安全防護(hù)對(duì)策上應(yīng)遵循以下幾方面原則,確保高校圖書(shū)館網(wǎng)絡(luò)安全運(yùn)轉(zhuǎn)。
3.1 安全防護(hù)的全面性
在構(gòu)建高校圖書(shū)館網(wǎng)絡(luò)安全體系時(shí),要從軟、硬件、環(huán)境等方面進(jìn)行物理性安全防護(hù),還要不斷的提高安全技術(shù)能力和監(jiān)管力度,確保圖書(shū)館機(jī)房的安全運(yùn)轉(zhuǎn)。同時(shí),要做好突發(fā)問(wèn)題應(yīng)急處理機(jī)制,當(dāng)出現(xiàn)故障時(shí)能夠?qū)p失降到最低。
3.2 安全防護(hù)的最小權(quán)限性
構(gòu)建高校圖書(shū)館網(wǎng)絡(luò)安全等級(jí)權(quán)限分類(lèi),以可提供最少服務(wù)權(quán)限為原則,建立最大安全防護(hù)措施,權(quán)限等級(jí)要分明,嚴(yán)格執(zhí)行權(quán)限管理制度。將數(shù)據(jù)庫(kù)系統(tǒng)與應(yīng)用系統(tǒng)區(qū)分管理,數(shù)據(jù)庫(kù)管理權(quán)限設(shè)置管理人數(shù)越少越好,盡量避免用戶(hù)瀏覽非圖書(shū)館允許類(lèi)網(wǎng)站,將惡意網(wǎng)站登記到應(yīng)用數(shù)據(jù)庫(kù)中,禁止訪問(wèn)。
3.3 安全防護(hù)的集中管理性
高校圖書(shū)館網(wǎng)絡(luò)安全集中管理是將多種安全防護(hù)措施進(jìn)行統(tǒng)一管理,由專(zhuān)業(yè)的網(wǎng)絡(luò)安全管理專(zhuān)家進(jìn)行監(jiān)控。在管理上不僅要從技術(shù)上進(jìn)行研究,而且需要在制度上進(jìn)行嚴(yán)格管理,譬如:建立安全責(zé)任制度、日常維護(hù)制度、數(shù)字圖書(shū)館應(yīng)用制度、資料備份制度、保密制度等。對(duì)于各項(xiàng)制度的落實(shí)要進(jìn)行統(tǒng)一集中的管理,方便制度的執(zhí)行與落實(shí)。
3.4安全防護(hù)的長(zhǎng)期性
網(wǎng)絡(luò)環(huán)境更新速度快,惡意攻擊、病毒類(lèi)型等不斷演變,新型的攻擊手段和木馬病毒不斷涌現(xiàn),這就要求高校圖書(shū)館網(wǎng)絡(luò)安全建設(shè)要具有可升級(jí)、可擴(kuò)建能力,不僅要及時(shí)更近防火墻、殺毒軟件,在硬件設(shè)備上要具備可擴(kuò)展性,能夠提高硬件安全,建立長(zhǎng)期的安全防護(hù)機(jī)制,做到實(shí)時(shí)監(jiān)管、實(shí)時(shí)控制。
4 結(jié)束語(yǔ)
高校圖書(shū)館是高校文化與技術(shù)資源聚集融匯的地方,在面對(duì)數(shù)字化圖書(shū)館的需求方面,高校圖書(shū)館不僅要建立豐富的資源網(wǎng)絡(luò),而且要確保高校數(shù)字圖書(shū)館的應(yīng)用安全。在高校圖書(shū)館網(wǎng)絡(luò)安全建設(shè)上,環(huán)境、設(shè)備、軟件、管理要統(tǒng)一目標(biāo),科學(xué)建設(shè)、加強(qiáng)監(jiān)管,利用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)和完善的管理制度實(shí)現(xiàn)高校圖書(shū)館數(shù)字化安全運(yùn)轉(zhuǎn)。
參考文獻(xiàn):
[1]馬敏,劉芳蘭,寧嬌麗.高校數(shù)字圖書(shū)館網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析與策略[J].中國(guó)安全科學(xué)學(xué)報(bào),2010(04):130-135.
[2]高琦.數(shù)字圖書(shū)館網(wǎng)絡(luò)信息安全分析及對(duì)策研究[J].圖書(shū)館學(xué)刊,2012(06):132-133.
[3]王元.高校數(shù)字圖書(shū)館信息安全保障研究[J].圖書(shū)情報(bào)工作(增刊),2010(02):327-331.
[4]顏昌茂,周吟劍,.高校圖書(shū)館網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建[J].情報(bào)探索,2014(01)108-111.
[5]金文新,高校圖書(shū)館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全策略的設(shè)計(jì)與實(shí)現(xiàn)[J].圖書(shū)館論壇,2009(06)80-83.
關(guān)鍵詞:高校網(wǎng);網(wǎng)絡(luò)安全;解決辦法;防火墻
網(wǎng)絡(luò)目前已進(jìn)入高速發(fā)展的階段,在人們的日常生活中無(wú)處不在。高校網(wǎng)目前在各大院校中均已建設(shè)并且得以使用。可以說(shuō)高校網(wǎng)的應(yīng)用為工作效率的提高、信息處理速度的提升以及資源的共享起到了無(wú)法比擬的作用。但是與此同時(shí),高校網(wǎng)的安全問(wèn)題也引起了人們的重視,本文就高校網(wǎng)的現(xiàn)狀做了淺析,并由此提出了相應(yīng)的防范對(duì)策,從而確保高校網(wǎng)的安全運(yùn)行。
1.現(xiàn)階段高校網(wǎng)的網(wǎng)絡(luò)安全問(wèn)題
1.1各種計(jì)算機(jī)病毒的侵犯。計(jì)算機(jī)病毒已經(jīng)成為影響高校網(wǎng)安全運(yùn)行的主要因素,其對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的破壞程度是不容忽視的。病毒主要是對(duì)計(jì)算機(jī)文件系統(tǒng)以及系統(tǒng)軟件進(jìn)行破壞,對(duì)網(wǎng)絡(luò)進(jìn)行不同程度的侵犯和破壞,一般情況下會(huì)影響到網(wǎng)絡(luò)的運(yùn)行,但是重則則可以影響整個(gè)高校網(wǎng)的教學(xué)以及辦公環(huán)境,會(huì)對(duì)部分設(shè)備進(jìn)行破壞,從而致使整個(gè)高校網(wǎng)處于癱瘓狀態(tài)。病毒將網(wǎng)絡(luò)傳播作為載體,其在傳播速度、傳播范圍以及破壞程度上與以往的單機(jī)病毒是不能相比的。
1.2未經(jīng)過(guò)授權(quán)的訪問(wèn)。一些人出于某種原因?qū)ζ湮唇?jīng)過(guò)授權(quán)的信息利用非法手段進(jìn)行訪問(wèn)。高校網(wǎng)內(nèi)對(duì)存在的諸多系統(tǒng)(如食堂卡管理系統(tǒng)、教學(xué)檔案管理系統(tǒng)、考試成績(jī)管理系統(tǒng)等等)是實(shí)行用戶(hù)憑用戶(hù)名和密碼登陸的,這樣的運(yùn)行方式主要是為了確保系統(tǒng)中數(shù)據(jù)的真實(shí)性以及完整性。然而有些人處于不同的目的,利用高校網(wǎng)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及管理上的一些漏洞,對(duì)訪問(wèn)權(quán)限進(jìn)行非法的獲得,從而進(jìn)入高校網(wǎng)的管理系統(tǒng),對(duì)信息進(jìn)行惡意修改、刪除、信息等可恥的行為。這使得高校網(wǎng)內(nèi)部數(shù)據(jù)招到了惡意的修改,從而很難確保數(shù)據(jù)的真實(shí)性、可靠性和完整性。
1.3網(wǎng)絡(luò)中硬件設(shè)備存在的隱患。在大型網(wǎng)絡(luò)建設(shè)中,計(jì)算機(jī)硬件數(shù)量龐大,單位個(gè)體較多,計(jì)算機(jī)個(gè)體、交換機(jī)、UPS、辦公設(shè)備等諸多元素存在質(zhì)量隱患,如果單獨(dú)個(gè)體出現(xiàn)死機(jī)或者出現(xiàn)故障,損失不會(huì)太大,一旦服務(wù)器、交換機(jī)、UPS等出現(xiàn)故障,那后果可以說(shuō)是不堪設(shè)想。、
1.4安全防護(hù)軟件的設(shè)備隱患。當(dāng)今的網(wǎng)絡(luò)安全防護(hù)軟件種類(lèi)眾多,但要是提及比較好的軟件,那費(fèi)用也是可想而知的,每天必須的病毒庫(kù)升級(jí)讓人很是反感,不過(guò)不這樣安全又得不到保障,即使是天天更新,日日提防,也難免百密一疏。計(jì)算機(jī)就是計(jì)算機(jī),軟件也就是一款軟件,肯定要有它不完美的地方,萬(wàn)一漏洞出現(xiàn),被病毒或是黑客利用,打擊也是毀滅性的。
2.高校網(wǎng)絡(luò)安全解決辦法
2.1軟硬件安全的解決辦法。在整個(gè)網(wǎng)絡(luò)中,網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)設(shè)備和設(shè)施、網(wǎng)絡(luò)介質(zhì)等的安全是最為基本的。應(yīng)該使其免受自然災(zāi)害、人為失誤、人為破壞、計(jì)算機(jī)犯罪等的損壞。機(jī)房或系統(tǒng)中樞的組建和搭設(shè)應(yīng)該遵照:GB2887-89《計(jì)算機(jī)站場(chǎng)地安全要求》、GB2887-89《計(jì)算機(jī)站場(chǎng)地技術(shù)條件》以及GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》的要求。
2.2登陸訪問(wèn)權(quán)限安全的解決辦法。網(wǎng)絡(luò)安全的保護(hù)和防范主要對(duì)策即為安全訪問(wèn)控制權(quán)限,是指網(wǎng)絡(luò)資源不會(huì)被他人非法訪問(wèn)和使用。其中包括:人為訪問(wèn)控制、網(wǎng)絡(luò)登錄安全權(quán)限控制、目錄安全級(jí)別高低控制、文件屬性安全控制、服務(wù)器安全級(jí)別控制、計(jì)算機(jī)端口控制、計(jì)算機(jī)節(jié)點(diǎn)控制、病毒的消殺控制、信息日志的控制以及不良信息過(guò)濾的控制等。出于對(duì)高校網(wǎng)絡(luò)的特點(diǎn)的考慮,網(wǎng)絡(luò)安全權(quán)限訪問(wèn)的控制極為重要,比如對(duì)VPN的訪問(wèn)的控制要尤為加強(qiáng)。VPN即為虛擬專(zhuān)用網(wǎng),其是VLAN和遠(yuǎn)程工作站的集成體。說(shuō)白了就是在IP通道中實(shí)施加密,然后實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議包和私有包在INT網(wǎng)上的傳輸,從而實(shí)現(xiàn)在WAN上的各個(gè)LAN的不同協(xié)議的虛擬連接。這種連接是處于操作系統(tǒng)的防火墻的保護(hù)之外的,其對(duì)內(nèi)網(wǎng)的安全構(gòu)成了嚴(yán)重的威脅,所以,應(yīng)該避免分配VPN用戶(hù)訪問(wèn)的全部權(quán)限,可以針對(duì)登陸控制權(quán)限列表來(lái)限制VPN用戶(hù)的訪問(wèn)級(jí)別,只分配給用戶(hù)所需的登錄權(quán)限級(jí)別就可以了,例如登陸郵件服務(wù)器或自動(dòng)化辦公服務(wù)器等的網(wǎng)絡(luò)資源權(quán)限,如此就可以有效地保護(hù)網(wǎng)絡(luò)的安全。
2.3防火墻在網(wǎng)絡(luò)安全解決辦法中的作用。眾所周知,防火墻是網(wǎng)絡(luò)安全非常奏效的安全模式之一。防火墻是一種把內(nèi)網(wǎng)、外網(wǎng)隔離的技術(shù)手段,普遍應(yīng)用在計(jì)算機(jī)安全領(lǐng)域。在高校網(wǎng)絡(luò)安全建設(shè)中是不可或缺,舉足輕重的,更是一道網(wǎng)絡(luò)安全的保護(hù)網(wǎng),防火墻往往被安裝在內(nèi)網(wǎng)和外網(wǎng)連接的節(jié)點(diǎn)上,它把外網(wǎng)和內(nèi)網(wǎng)隔離開(kāi)來(lái),在兩者之間搭建一道檢測(cè)過(guò)濾的系統(tǒng),這樣只有安全且被選擇的協(xié)議包才能經(jīng)過(guò)防火墻,不但加強(qiáng)了網(wǎng)絡(luò)安全,也使內(nèi)網(wǎng)的結(jié)構(gòu)隱藏起來(lái),從而達(dá)到不使信息外露的目的,還可以通過(guò)追查日志等信息提供詳細(xì)的網(wǎng)絡(luò)狀況的報(bào)告,以便確保網(wǎng)絡(luò)環(huán)境更加安全。
2.4安裝病毒防護(hù)系統(tǒng)并且定期更新病毒庫(kù)。在互聯(lián)網(wǎng)高速發(fā)展的今天,病毒傳播已經(jīng)從單一形式向多元化發(fā)展,集木馬、攻擊系統(tǒng)、攻擊內(nèi)存等為一身的“超級(jí)病毒”。它不但會(huì)變種傳播,而且傳播方式多種多樣,依賴(lài)載體也是變化無(wú)窮,如電子郵件、互聯(lián)網(wǎng)頁(yè)、下載文件、U盤(pán)、光存儲(chǔ)等,真可謂是防不勝防啊。在網(wǎng)絡(luò)中只要有一臺(tái)單機(jī)中毒,可能病毒就會(huì)在全網(wǎng)中迅速傳播,致使整個(gè)網(wǎng)絡(luò)癱瘓。這會(huì)給高校網(wǎng)絡(luò)帶來(lái)極大的麻煩,結(jié)局可能會(huì)不可收拾。所以在網(wǎng)絡(luò)中建立病毒防護(hù)系統(tǒng)是非常必要且刻不容緩的,還要定期對(duì)服務(wù)器和傳輸終端進(jìn)行檢查。如能實(shí)現(xiàn)定期升級(jí)病毒庫(kù)、遠(yuǎn)程安裝及報(bào)警、集中規(guī)劃管理并查殺等多功能一起進(jìn)行,這樣會(huì)使病毒無(wú)處藏身,也會(huì)使整個(gè)高校網(wǎng)絡(luò)的安全系數(shù)提高。
2.5建立用戶(hù)認(rèn)證體制和上網(wǎng)管理系統(tǒng)。用戶(hù)認(rèn)證系統(tǒng)必須讓用戶(hù)實(shí)名制注冊(cè),當(dāng)用戶(hù)上網(wǎng)時(shí),網(wǎng)絡(luò)隨時(shí)可以檢測(cè)到用戶(hù)的身份,這樣會(huì)避免人為的刻意濫用網(wǎng)絡(luò)資源和故意毀壞網(wǎng)絡(luò)安全。網(wǎng)絡(luò)管理系統(tǒng)則會(huì)通過(guò)認(rèn)證方式來(lái)確認(rèn)用戶(hù)是否安全登錄和認(rèn)證,區(qū)別于計(jì)算機(jī)系統(tǒng)中自帶的登錄系統(tǒng),安全性更高,更可靠。
2.6數(shù)據(jù)備份及恢復(fù)。高校網(wǎng)絡(luò)中,每臺(tái)計(jì)算機(jī)中的信息都非常重要,針對(duì)這個(gè)事實(shí),我們要做到有備無(wú)患,防范于未來(lái),一旦出現(xiàn)不可挽回的局面,數(shù)據(jù)恢復(fù)會(huì)帶 來(lái)意想不到的效果。
2.7用戶(hù)安全知識(shí)的增強(qiáng)。高校網(wǎng)絡(luò)應(yīng)用的主體為學(xué)生和老師,他們普遍文化水平和自身素質(zhì)較高。在高信息化時(shí)代,發(fā)送E-MAIL、網(wǎng)絡(luò)聊天、下載文件和歌曲等行為非常普遍,也比較時(shí)尚。不過(guò),網(wǎng)絡(luò)知安全防范意識(shí)的薄弱卻是不爭(zhēng)的事實(shí)。這樣,就需要對(duì)網(wǎng)絡(luò)的主體使用者進(jìn)行網(wǎng)絡(luò)安全教育與培訓(xùn),使整個(gè)主體人群通過(guò)培訓(xùn)在網(wǎng)絡(luò)安全防范意識(shí)方面有所增強(qiáng),提高安全防范技能。還要及時(shí)病毒預(yù)警,督促大家修補(bǔ)安全漏洞,防患于未然。
2.8在校園內(nèi)建立網(wǎng)絡(luò)安全管理體制。在校園網(wǎng)中的用戶(hù)相對(duì)較多,人群也比較集中,在實(shí)施了硬件網(wǎng)絡(luò)安全技術(shù)的前提下,加強(qiáng)網(wǎng)絡(luò)安全的管理也是不錯(cuò)的辦法,切實(shí)可行的網(wǎng)絡(luò)安全制度會(huì)約束每個(gè)人的上網(wǎng)行為。大學(xué)生的文化素質(zhì)較高,黑紙白字的規(guī)章制度對(duì)其規(guī)范和管理的力度不大不小,會(huì)加強(qiáng)學(xué)生自身的安全意識(shí)和道德規(guī)范。從而使高校網(wǎng)絡(luò)的安全水平提高到一個(gè)新的檔次。
3.結(jié)束語(yǔ)
綜合了以上對(duì)高校網(wǎng)絡(luò)安全的現(xiàn)狀、看法以及解決方案。校園信息化、校園網(wǎng)絡(luò)的建設(shè)都是基石,建立和諧的高科技化網(wǎng)絡(luò)環(huán)境和信息化的教育體系是重要組成部分?,F(xiàn)代化的教育方法和高科技的技術(shù)手段相結(jié)合,才能實(shí)現(xiàn)及網(wǎng)絡(luò)資源共享、遠(yuǎn)程教學(xué)、網(wǎng)絡(luò)教學(xué)與一身的高校網(wǎng)絡(luò)系統(tǒng),而網(wǎng)絡(luò)安全是重要保障,為其保駕護(hù)航。最后,高校網(wǎng)絡(luò)應(yīng)重視安全策略,增加組織管理及人員的培訓(xùn)。共同搞好校園網(wǎng)絡(luò)的安全管理工作,保障網(wǎng)絡(luò)安全防范體系,更好的為廣大師生服務(wù)。
參考文獻(xiàn):
[1]董學(xué)森.多校區(qū)校園網(wǎng)絡(luò)的資源共享與管理[J].電腦知識(shí)與技術(shù),2006(5);200-202
[2]金琦.校園網(wǎng)的建設(shè)和管理[J]。網(wǎng)絡(luò)應(yīng)用,2007(7).
[3]孟祥宏.淺談高校校園網(wǎng)的安全及對(duì)策[J].內(nèi)蒙古師范大學(xué)學(xué)報(bào),2004,17(11).
[4]陳文冠,曹亮,陳興華.高校校園網(wǎng)信息安全的研究[J].科技管理研究,2007,(2).
關(guān)鍵詞:數(shù)字化校園建設(shè);信息數(shù)字化;實(shí)施;管理;基礎(chǔ)平臺(tái)
中圖分類(lèi)號(hào):TP315文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 16-0000-01
Digitalization Campus Information Platform Strategy Study
Jiang Hongtao
(Chongqing Railway Advanced Technical School,Chongqing400037,China)
Abstract:This paper studies the digital campus platform constitutes a system,the core functionality,data sharing and promote the implementation of such strategies,then discusses the construction of the digital campus-based platform and application management system planning and implementation.
Keywords:Digitalization Campus;Information Digitalization;Implementation;Management;Basic platform
一、引言
根據(jù)高校本身發(fā)展的需要,順應(yīng)信息技術(shù)的發(fā)展潮流,采用先進(jìn)的信息技術(shù)來(lái)構(gòu)建數(shù)字化校園,加快信息化建設(shè)的步伐是高校占領(lǐng)信息制高點(diǎn)的一個(gè)有力的舉措,也為各個(gè)高校信息化建設(shè)提供了機(jī)遇和條件。但平臺(tái)建設(shè)包括若干設(shè)計(jì)和策略問(wèn)題,需要根據(jù)學(xué)校的具體情況進(jìn)行策略研究、分析、布局和實(shí)施,在此過(guò)程中策略決策是需要重點(diǎn)考察的課程,例如校園數(shù)據(jù)中心的安全策略、校園網(wǎng)上辦公和網(wǎng)上教學(xué)的數(shù)據(jù)共享策略等。
本文從當(dāng)前國(guó)內(nèi)大學(xué)的實(shí)際出發(fā),就數(shù)字化校園平臺(tái)建設(shè)的若干問(wèn)題進(jìn)行策略研究,探討對(duì)策和部署方式,進(jìn)而研究更先進(jìn)的校園網(wǎng)絡(luò)平臺(tái)建設(shè)思路。
二、數(shù)字化校園平臺(tái)建設(shè)的策略問(wèn)題及研究
學(xué)校數(shù)字化校園建設(shè)是一項(xiàng)系統(tǒng)工程,主要建設(shè)的策略問(wèn)題包括以下幾方面:
(一)數(shù)字校園建設(shè)的總體解決策略
校園網(wǎng)建設(shè)的首要問(wèn)題是,如何確定數(shù)字校園的體系結(jié)構(gòu),制定數(shù)字校園的信息標(biāo)準(zhǔn),以及各子系統(tǒng)的功能。
(二)校園平臺(tái)數(shù)據(jù)中心的建設(shè)與內(nèi)容共享策略
建設(shè)一個(gè)為全校提供服務(wù)的數(shù)據(jù)中心,根據(jù)服務(wù)對(duì)象和數(shù)據(jù)性質(zhì)的不同,實(shí)施的策略是建立不同的數(shù)據(jù)中心,以區(qū)分功能和避免災(zāi)害損害全部數(shù)據(jù)。各個(gè)數(shù)據(jù)中心包括服務(wù)器主機(jī)托管、虛擬主機(jī)、應(yīng)用服務(wù)、數(shù)據(jù)存儲(chǔ)服務(wù)、數(shù)據(jù)備份服務(wù)、數(shù)據(jù)安全服務(wù)等數(shù)據(jù)中心。
不同數(shù)據(jù)中心雖然功能不同,但內(nèi)部數(shù)據(jù)將有交互共享的需求。實(shí)現(xiàn)內(nèi)容共享的基本策略包括如下兩點(diǎn):
整合資源,實(shí)現(xiàn)數(shù)據(jù)的高效存?。簩⒏黝?lèi)共享信息數(shù)據(jù),存放于共享數(shù)據(jù)庫(kù)中,使得數(shù)據(jù)的存放更為精簡(jiǎn)有效,避免存取不需要的數(shù)據(jù),并且減少了數(shù)據(jù)存取時(shí)的開(kāi)銷(xiāo),同時(shí)能夠保證數(shù)據(jù)及時(shí)更新,保證了全校信息的一致性,有利于管理部門(mén)的工作。
整合平臺(tái),實(shí)施有效的安全防護(hù)與管理:隨著校園網(wǎng)提供的信息服務(wù)質(zhì)和量的提升,對(duì)信息安全的需要也越來(lái)越強(qiáng)烈。同時(shí),校園網(wǎng)提供更高層次服務(wù)的時(shí)候,對(duì)于用戶(hù)的身份認(rèn)證、服務(wù)權(quán)限管理的要求也相應(yīng)地提高。原來(lái)各個(gè)服務(wù)系統(tǒng)各自為政的身份認(rèn)證的方式難以達(dá)到這個(gè)要求。這就必須要一個(gè)獨(dú)立的,高安全性和可靠性的身份認(rèn)證及權(quán)限管理系統(tǒng)。該系統(tǒng)可以完成對(duì)整個(gè)校園網(wǎng)用戶(hù)的身份和權(quán)限管理,同時(shí)讓用戶(hù)無(wú)需頻繁登錄,方便使用。
(三)建設(shè)一整套校園信息管理策略
需建設(shè)一套管理界面系統(tǒng),為實(shí)現(xiàn)“網(wǎng)上辦公、網(wǎng)上管理、網(wǎng)上教學(xué)、網(wǎng)上服務(wù)”提供全面的系統(tǒng)支持。
學(xué)校數(shù)字化校園管理界面建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程,涉及面廣.對(duì)內(nèi)牽涉學(xué)校各個(gè)部門(mén),對(duì)外牽涉多家公司,既有技術(shù)層面交流、控制,又有管理層面的溝通、協(xié)調(diào),同時(shí)數(shù)字化校園建設(shè)周期長(zhǎng),為保證管理系統(tǒng)的正?;?,我們運(yùn)用以下的策略。(1)統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一管理的組織保障體系。(2)總體規(guī)劃、抓住重點(diǎn)、分步實(shí)施、逐步推廣的建設(shè)步驟。(3)內(nèi)合外聯(lián)、資源共享、優(yōu)化配置、形成特色的建設(shè)方式。
(四)基于身份認(rèn)證安全的校園平臺(tái)網(wǎng)絡(luò)安全建設(shè)策略
利用全校的電子身份認(rèn)證體系,并使用統(tǒng)一的電子身份體系為各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù),可保證校園網(wǎng)絡(luò)的安全、保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門(mén)的安全,實(shí)現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運(yùn)行.
可行的策略是:數(shù)字化校園應(yīng)該要有一個(gè)統(tǒng)一身份認(rèn)證平臺(tái).這個(gè)平臺(tái)給學(xué)校所有使用數(shù)字化校園系統(tǒng)的人員發(fā)放一套用戶(hù)名密碼,對(duì)他們的角色進(jìn)行統(tǒng)一管理。對(duì)各種程序開(kāi)發(fā)語(yǔ)言開(kāi)放認(rèn)證接口.使現(xiàn)有系統(tǒng)經(jīng)過(guò)很小的改動(dòng)就可把身份認(rèn)證轉(zhuǎn)到統(tǒng)一身份認(rèn)證平臺(tái)上.新建設(shè)的業(yè)務(wù)系統(tǒng)也要使用統(tǒng)一身份認(rèn)證進(jìn)行認(rèn)證。
(五)校園平臺(tái)的硬件設(shè)施布置策略
隨者近幾年的發(fā)展.各個(gè)高校的都已建成相當(dāng)規(guī)模的網(wǎng)絡(luò)環(huán)境.網(wǎng)絡(luò)速度大幅提高。但是要建設(shè)和實(shí)施數(shù)字化校園仍需要滿(mǎn)足一些基本的策略。首先.從行政到學(xué)生思政管理的老師應(yīng)該在辦公環(huán)境有人手一臺(tái)計(jì)算機(jī).這條件應(yīng)該比較容易實(shí)現(xiàn);對(duì)于授課的老師.應(yīng)該在其家里能夠連上校園網(wǎng),這包括本身就在校園網(wǎng)內(nèi).或通過(guò)VPN連回學(xué)校,這樣老師在家里就可以進(jìn)行批改作業(yè)或?qū)W(xué)生答疑。其次.對(duì)于個(gè)人擁有計(jì)算機(jī)的學(xué)生,要讓他們?cè)谒奚崂镞B得進(jìn)校園網(wǎng).對(duì)于買(mǎi)不起計(jì)算機(jī)的學(xué)生而言,學(xué)校應(yīng)該對(duì)這部分人的數(shù)量進(jìn)行調(diào)查.以建成一定規(guī)模的公共機(jī)房.讓這部分學(xué)生能有足夠的機(jī)會(huì)上機(jī),以完成他們應(yīng)該完成的作業(yè)和與本人相關(guān)的業(yè)務(wù),比如獎(jiǎng)學(xué)金申請(qǐng)、勤工儉學(xué)崗位申請(qǐng)、作業(yè)提交等等。
三、結(jié)論與下一步工作
綜上所述,要建設(shè)好數(shù)字化校園需要管理機(jī)構(gòu)高屋建瓴、統(tǒng)一規(guī)劃。各個(gè)業(yè)務(wù)系統(tǒng)分步實(shí)施,責(zé)任到部門(mén),責(zé)任到個(gè)人。層層把關(guān).做到每個(gè)業(yè)務(wù)系統(tǒng)都發(fā)揮最大作用。不僅要做好硬件設(shè)備和軟件系統(tǒng)的準(zhǔn)備.還要做好人員方面的準(zhǔn)備,充分做好宣傳工作,讓全校的師生員工認(rèn)識(shí)到數(shù)字化校園建設(shè)的重要性和必要性.使這個(gè)系統(tǒng)完全溶入到他們的工作和學(xué)習(xí)中去.這樣才能體現(xiàn)數(shù)字化校園的價(jià)值、使數(shù)字化校園的作用發(fā)揮到最大。
參考文獻(xiàn):
[1]蔣東興,史宗愷,陳懷楚.大學(xué)資源計(jì)劃的方案研究[J].清華大學(xué)學(xué)報(bào):自然科學(xué)版,2004,4:141-145
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)