前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網(wǎng)絡(luò)安全論文主題范文,僅供參考,歡迎閱讀并收藏。
將PKI技術(shù)植入VPN中能夠獲得一個(gè)加強(qiáng)型的VPN,因此將該技術(shù)應(yīng)用到高職校園網(wǎng)絡(luò)安全架構(gòu)上,從而允許用戶在不更換原有的數(shù)據(jù)庫系統(tǒng)和應(yīng)用軟件的條件下將校園網(wǎng)的數(shù)據(jù)安全提升到更高的層次,有效保護(hù)校園網(wǎng)絡(luò)情況下的智能化管理與辦公自動(dòng)化方面的投資。下面我們就怎樣確保其安全運(yùn)行進(jìn)行詳細(xì)的探討。首先,必須將用來進(jìn)行儲(chǔ)存數(shù)據(jù)的服務(wù)器安置在服務(wù)器專用網(wǎng)絡(luò)中,進(jìn)而有效的隔離它跟其他網(wǎng)絡(luò)的連接,確保無論使用什么樣的技術(shù)都不能掃描到服務(wù)器的端口和地址上,這樣就能夠有效的避免侵入者侵入專用網(wǎng)絡(luò),從而對(duì)信息進(jìn)行拷貝、修改和篡改,進(jìn)而在最大程度上確保了數(shù)據(jù)信息的安全性和完整性。其次,把連接內(nèi)、外網(wǎng)的VPN網(wǎng)關(guān)通過技術(shù)設(shè)置后,從而確保高職校園網(wǎng)絡(luò)的合法用戶只要在有需求的情況下,無論是在何時(shí)、何地,都可以通過VPN網(wǎng)關(guān)與服務(wù)器建立專門的連接對(duì)服務(wù)器相關(guān)數(shù)據(jù)進(jìn)行訪問和瀏覽,進(jìn)而確保合法用戶能夠完全運(yùn)用信息和信息系統(tǒng),從而在最大程度上提高了數(shù)據(jù)信息的可用性。再次,將PKI技術(shù)植入VPN技術(shù)中,從而使得無論是么樣的用戶都必須先入侵檢測系統(tǒng)、防火墻以及VPN網(wǎng)關(guān)相關(guān)核證后,并且還必須跟服務(wù)器能夠建立正確的VPN連接,后才能正式對(duì)服務(wù)器進(jìn)行瀏覽,其中任何一項(xiàng)不正確,都無法瀏覽服務(wù)器,用戶的身份是VPN網(wǎng)關(guān)強(qiáng)制認(rèn)證的,在有了防火墻和入侵檢測系統(tǒng)雙保護(hù)外,VPN主機(jī)自身還必須將全部不相關(guān)的端口都關(guān)閉,同時(shí)還必須安裝最新的補(bǔ)訂程序,從而使漏洞大大降低,以便在最大程度上提高信息的保密性。最后,數(shù)據(jù)傳輸過程必須經(jīng)過VPN中的IPSec安全協(xié)議才能進(jìn)行,這樣做的目的是為了有效的避免偽造、修改或者是在傳輸過程中被攔截現(xiàn)象的發(fā)生,隨著PKI技術(shù)植入到VPN技術(shù),能夠有效地避免對(duì)自己操作行為的否定,進(jìn)而確保信息可控性的實(shí)現(xiàn)。
2模型的可行性分析論證
2.1從技術(shù)上進(jìn)行可行性分析論證
PKI技術(shù)植入到VPN技術(shù)的校園網(wǎng)安全網(wǎng)絡(luò)架構(gòu)模型是把傳統(tǒng)的校園網(wǎng)絡(luò)數(shù)據(jù)存儲(chǔ)服務(wù)器安置在一個(gè)專門的網(wǎng)絡(luò)中,從而使得高職校園公共網(wǎng)和專用網(wǎng),無論是他們的組網(wǎng)方式還是網(wǎng)絡(luò)構(gòu)造都跟當(dāng)前社會(huì)上先進(jìn)的局域網(wǎng)完全一樣,另外新模型網(wǎng)絡(luò)中使用的操作系統(tǒng)、通信協(xié)議以及軟硬件都沒有進(jìn)行任何改變,跟以前的高職校園網(wǎng)絡(luò)的所有資源一樣,都可以正常使用,所以在改造過程中基本不沒有出現(xiàn)任何技術(shù)上的問題,這也是高職校園網(wǎng)絡(luò)數(shù)據(jù)確保安全的最終目的要求。新模型最主要的部分就是要求構(gòu)建一個(gè)實(shí)際上,整個(gè)模型的關(guān)鍵技術(shù)在于構(gòu)建基于PKI認(rèn)證的VPN網(wǎng)關(guān),主要滿足以下兩個(gè)方面的要求:一是,完全符合VPN技術(shù)的要求;二是,完全認(rèn)同PKI的認(rèn)證技術(shù)。而在實(shí)際處理過程中,只要采用雙重宿主機(jī)服務(wù)器和通過在過濾路由器上做NAT就能夠達(dá)到以上要求,網(wǎng)關(guān)采用的操作系統(tǒng)既可以是WindowsServer2003也可以是WindowsServer2008,只需要充分將這兩個(gè)操作系統(tǒng)中提供的VPN服務(wù)和內(nèi)置的PKI功能利用起來,就能夠在不使用任何第三方軟件的前提下就能夠確保該網(wǎng)關(guān)達(dá)到以上兩方面的要求。由此可以看出,當(dāng)前已有的技術(shù)完全能夠確保該模型在現(xiàn)實(shí)中實(shí)現(xiàn),從而說明在技術(shù)方面是沒有任何問題的。
2.2從經(jīng)濟(jì)上進(jìn)行可行性分析論證
現(xiàn)有的高職院校的校園網(wǎng)網(wǎng)絡(luò)拓樸圖和根據(jù)模型設(shè)計(jì)的某高職院校的校園網(wǎng)拓樸結(jié)構(gòu)圖。通過對(duì)這兩幅圖進(jìn)行對(duì)比分析可以發(fā)現(xiàn)稍加改進(jìn),其中改進(jìn)前后的校園網(wǎng)部分沒有發(fā)生變化,基礎(chǔ)上多加了一個(gè)服務(wù)器專用網(wǎng)絡(luò),以及一個(gè)帶PKI認(rèn)證的IPSec-VPN網(wǎng)關(guān),因此所需要的費(fèi)用也就是在跟原先不同之處稍微增加。雖然改進(jìn)后的模型中多了一個(gè)服務(wù)器專用網(wǎng)絡(luò),但是卻并沒有新增多一個(gè)網(wǎng)絡(luò),所以唯一改變的就是在原有的基礎(chǔ)上稍微進(jìn)行改進(jìn),從而對(duì)這些服務(wù)器進(jìn)行集中管理即可,然后再將這些服務(wù)器通過交換機(jī)有效的連接起來,進(jìn)而構(gòu)成了一個(gè)獨(dú)立的網(wǎng)絡(luò),交換機(jī)也只需要2000-3000元即可;除此之外就是再需要一個(gè)25000元左右的一臺(tái)雙重宿主機(jī)服務(wù)器,網(wǎng)關(guān)采用的操作系統(tǒng)既可以是WindowsServer2003也可以是WindowsServer2008,這些費(fèi)用在絕大多數(shù)高職學(xué)校都是可以實(shí)現(xiàn)的,因此在經(jīng)濟(jì)方面也完全沒有問題。
3結(jié)論
1.1黑客攻擊的問題
因?yàn)樾@網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接,從而給師生查找資料提供便利,不過也因此容易受到黑客攻擊。當(dāng)代黑客攻擊的技術(shù)越來越高明,破壞程度同樣越來越嚴(yán)重,黑客攻擊校園網(wǎng)絡(luò),有著時(shí)間長、范圍廣、損失大以及處理難的特點(diǎn),校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方[8],黑客很多時(shí)候使用專業(yè)工具攻擊校園挽留過,導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡(luò),同時(shí)篡改校園網(wǎng)絡(luò)的主頁、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序。
1.2內(nèi)部用戶的問題
現(xiàn)在學(xué)生對(duì)于網(wǎng)絡(luò)了解程度比較深,這就導(dǎo)致部分學(xué)生會(huì)在好奇心趨勢下,攻擊校園網(wǎng)絡(luò)系統(tǒng),從而給校園網(wǎng)絡(luò)的正常運(yùn)行帶來不利影響,提高了校園網(wǎng)絡(luò)管理的難度。統(tǒng)計(jì)顯示內(nèi)部用戶造成的校園網(wǎng)絡(luò)攻擊占到30%左右,大部分情況由學(xué)生好奇心而引起,同時(shí)學(xué)校對(duì)于學(xué)生的管理以及教育不夠重視,縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為。
2防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用
2.1選擇合適的防火墻產(chǎn)品
最簡單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過濾路由器。為更好實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全,很多時(shí)候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)。這就需要明確設(shè)置防火墻設(shè)置的方案,然后選擇合適的防火墻產(chǎn)品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設(shè)備,并且集成生產(chǎn)廠商防火墻軟件,功能上通過內(nèi)置安全軟件,并且使用強(qiáng)化甚至專屬的操作系統(tǒng),有著管理方便以及更換容易的特點(diǎn),并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關(guān)系,可以根據(jù)校園網(wǎng)絡(luò)的具體情況來加以選擇。
2.2使用服務(wù)器
服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān),這一網(wǎng)關(guān)運(yùn)行服務(wù)軟件,可以實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。服務(wù)器可以在用戶以及服務(wù)器間實(shí)現(xiàn)協(xié)同工作,所以提供應(yīng)用級(jí)的網(wǎng)關(guān)??蛻舳送?wù)器發(fā)送請(qǐng)求,請(qǐng)求到達(dá)服務(wù)器,然后服務(wù)器在接收連接請(qǐng)求之后,進(jìn)行身份認(rèn)證以及訪問控制,要是客戶端確認(rèn)服務(wù)器身份認(rèn)證以及訪問控制,那么就代替客戶端發(fā)送請(qǐng)求。服務(wù)器在響應(yīng)之后,服務(wù)器則將數(shù)據(jù)反饋到客戶端。
2.3配置路由器防火墻
從安全技術(shù)架構(gòu)來說,網(wǎng)站群的安全問題主要在于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全。高職院校一般都具備獨(dú)立的數(shù)據(jù)中心。以浙江醫(yī)藥高等??茖W(xué)校為例,目前已建有MIS+S(基本信息安全保障)系統(tǒng)架構(gòu),隨著硬件驅(qū)動(dòng)已轉(zhuǎn)變?yōu)閼?yīng)用驅(qū)動(dòng),網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施和服務(wù)都有了大幅度的提升,能夠從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全四個(gè)環(huán)節(jié),打造網(wǎng)站群安全防范技術(shù)體系,實(shí)現(xiàn)動(dòng)態(tài)防御、主機(jī)安全、備份和恢復(fù)、安全審計(jì)、安全測試配置、安全監(jiān)控,應(yīng)用分析等目標(biāo)。
1.1動(dòng)態(tài)防御
網(wǎng)站群安全防范技術(shù)體系以往,我們通常利用防火墻、雙核心網(wǎng)絡(luò)設(shè)備以及DMZ區(qū)來實(shí)現(xiàn)應(yīng)用防護(hù),防范惡意攻擊和病毒入侵的能力有限。在網(wǎng)絡(luò)安全問題日趨嚴(yán)重和復(fù)雜的情況下,需要加固原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),增加應(yīng)用防護(hù)系統(tǒng)、統(tǒng)一防惡意代碼軟件、網(wǎng)絡(luò)管理系統(tǒng),與防火墻一起建立動(dòng)態(tài)防御體系。只有為網(wǎng)站群和服務(wù)建立訪問控制體系,才能將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前,或攻擊者在突破第一道防線后,延緩或阻斷其到達(dá)攻擊目標(biāo),最終提升網(wǎng)站群系統(tǒng)的物理安全、網(wǎng)絡(luò)安全和應(yīng)用安全。我們將網(wǎng)站群系統(tǒng)所在區(qū)域從原DMZ區(qū)劃分出來,與其他Web應(yīng)用一起規(guī)劃為安全級(jí)別較高的WebServer服務(wù)區(qū)域。同時(shí),在該區(qū)域部署統(tǒng)一惡意代碼防范管理系統(tǒng),建立安全的病毒防護(hù)措施。在核心交換和WebServer服務(wù)區(qū)域間,通過串聯(lián)部署方式,增加一臺(tái)WAF(應(yīng)用防護(hù)系統(tǒng)),起到防護(hù)Web應(yīng)用、漏洞檢測作用,確保網(wǎng)站群在內(nèi)的Web應(yīng)用完整性。同時(shí),開啟硬件防火墻上的網(wǎng)站防篡改、IPS功能、日志功能,建立攻擊監(jiān)控體系,實(shí)時(shí)檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(dòng)(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源,等)。網(wǎng)站群系統(tǒng)管理員在統(tǒng)一惡意代碼防范管理平臺(tái)上,對(duì)網(wǎng)站群主機(jī)進(jìn)行遠(yuǎn)程控制。包括:遠(yuǎn)程啟動(dòng)或停止實(shí)時(shí)監(jiān)控、手動(dòng)掃描、實(shí)時(shí)更新、功能組件配置、設(shè)定分組任務(wù)或策略,等,以有效阻隔外來病毒入侵及內(nèi)部病毒清除,有效保障系統(tǒng)安全。眾所周知,網(wǎng)絡(luò)攻擊也可以來自于局域網(wǎng)內(nèi)部,如內(nèi)網(wǎng)DoS攻擊、ARP等病毒攻擊。對(duì)于內(nèi)網(wǎng)攻擊的防范,通常采取的應(yīng)對(duì)方法有:為內(nèi)網(wǎng)終端安裝病毒防護(hù)軟件、加強(qiáng)用戶病毒查殺意識(shí),在網(wǎng)絡(luò)設(shè)備上劃分VLAN進(jìn)行邏輯隔離、設(shè)置ACL訪問控制。現(xiàn)階段,我們還啟用硬件防火墻上的IPS、DDoS/DoS內(nèi)網(wǎng)防護(hù)、病毒防御策略等功能來加強(qiáng)防范。同時(shí),利用上網(wǎng)行為管理設(shè)備,對(duì)內(nèi)網(wǎng)終端實(shí)施安全檢查、網(wǎng)絡(luò)準(zhǔn)入控制、行為審計(jì)、危險(xiǎn)流量封堵、木馬病毒查殺等安全防護(hù)措施,針對(duì)內(nèi)網(wǎng)攻擊事件查看分析用戶行為記錄并定位,并且依據(jù)學(xué)校相關(guān)規(guī)章制度進(jìn)行處置處理(如《校園網(wǎng)用戶守則》、《校園網(wǎng)聯(lián)網(wǎng)安全保護(hù)管理辦法》、《校園網(wǎng)系統(tǒng)安全管理制度》,等),提高局域網(wǎng)內(nèi)部的綜合防范能力,減少內(nèi)網(wǎng)攻擊事件的發(fā)生。
1.2主機(jī)安全
主機(jī)安全是網(wǎng)站群系統(tǒng)安全的保障??梢圆捎秒p機(jī)熱備的方式來解決主機(jī)冗余問題。但是,由于網(wǎng)站群系統(tǒng)應(yīng)用的重要性和網(wǎng)絡(luò)安全的復(fù)雜性,為提高主機(jī)安全能力,還需要構(gòu)建主機(jī)集群環(huán)境,以保障網(wǎng)站群系統(tǒng)的持續(xù)運(yùn)行。目前,高職院校為提高數(shù)據(jù)中心的利用率和采購運(yùn)行成本,通常會(huì)采用服務(wù)器虛擬化軟件規(guī)劃虛擬數(shù)據(jù)中心。在該環(huán)境中,統(tǒng)一存儲(chǔ)設(shè)備部署在后端,為物理服務(wù)器(虛擬主機(jī))提供空間資源,并為前端虛擬機(jī)提供數(shù)據(jù)存儲(chǔ)資源;數(shù)臺(tái)高性能服務(wù)器作為虛擬主機(jī),隨時(shí)劃分前端虛擬機(jī),并提供虛擬機(jī)所需的CPU、內(nèi)存資源、存儲(chǔ)器訪問權(quán)和網(wǎng)絡(luò)連接能力,滿足各項(xiàng)應(yīng)用的服務(wù)器需求。采用虛擬機(jī)(VM)部署網(wǎng)站群雙機(jī)熱備,在降低采購成本的同時(shí),提高了網(wǎng)站群主機(jī)的靈活性、冗余保障和容災(zāi)遷移能力,保障網(wǎng)站群主機(jī)操作系統(tǒng)的安全需求。為了減少網(wǎng)站群所在虛擬主機(jī)(物理服務(wù)器)的單點(diǎn)故障,實(shí)現(xiàn)網(wǎng)站群系統(tǒng)的不間斷運(yùn)行,我們利用vSphere集群功能,在虛擬數(shù)據(jù)中心內(nèi),配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個(gè)集群中在資源許可的情況下,將一臺(tái)出現(xiàn)故障的虛擬主機(jī)上面的網(wǎng)站群虛擬機(jī)切換到集群中另一臺(tái)虛擬主機(jī)上運(yùn)行(如192.168.0.116和192.168.0.118)。應(yīng)用業(yè)務(wù)時(shí)間間斷由VM系統(tǒng)啟動(dòng)時(shí)間、應(yīng)用啟動(dòng)時(shí)間、心跳檢測時(shí)間構(gòu)成。
1.3備份和恢復(fù)
數(shù)據(jù)資料是整個(gè)網(wǎng)站群系統(tǒng)運(yùn)作的核心,建立良好的備份和恢復(fù)機(jī)制,可以在應(yīng)用系統(tǒng)遭受攻擊時(shí),盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。以往,為降低備份容災(zāi)成本,會(huì)采用純軟件模式,通過編輯腳本文件,連接兩臺(tái)熱備服務(wù)器,將數(shù)據(jù)實(shí)時(shí)復(fù)制到另一臺(tái)服務(wù)器上,如果一臺(tái)服務(wù)器出現(xiàn)故障,可以及時(shí)切換到另一臺(tái)服務(wù)器,避免了磁盤陣列的單點(diǎn)故障。在網(wǎng)絡(luò)安全的新形勢下,為實(shí)現(xiàn)應(yīng)用數(shù)據(jù)及業(yè)務(wù)存儲(chǔ)系統(tǒng)的完整性和可靠性,我們在網(wǎng)絡(luò)拓樸的DMZ區(qū)域,接入存儲(chǔ)備份一體機(jī)(浙江醫(yī)藥高等??茖W(xué)校采用SymantecBE3600),構(gòu)建高可用性的存儲(chǔ)備份環(huán)境。利用其存儲(chǔ)空間及備份管理系統(tǒng),實(shí)現(xiàn)有效的異地備份,為網(wǎng)站群的容災(zāi)備份提供了進(jìn)一步的安全保障。通過制定備份策略,選擇合適的備份頻率,采用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時(shí)恢復(fù)失敗的網(wǎng)站群虛擬機(jī),快速恢復(fù)丟失的應(yīng)用程序服務(wù),全面提升網(wǎng)站群的數(shù)據(jù)安全及備份恢復(fù)能力,避免在各種極端情況下造成的重大損失和惡劣影響。
1.4安全審計(jì)
網(wǎng)站群要達(dá)到可控性與可審查性,就必須對(duì)站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄。安全審計(jì)是網(wǎng)站群主機(jī)安全和應(yīng)用安全中的重要環(huán)節(jié),審計(jì)范圍要覆蓋到主機(jī)上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶,審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關(guān)事件,及時(shí)發(fā)現(xiàn)非法入侵行為。以旁路方式部署了一臺(tái)審計(jì)設(shè)備,并接入核心交換。審計(jì)設(shè)備通過對(duì)交換機(jī)的鏡像口進(jìn)行旁路監(jiān)聽。網(wǎng)站群系統(tǒng)管理員可通過B/S方式使用日志管理綜合審計(jì)系統(tǒng),從網(wǎng)絡(luò)運(yùn)行維護(hù)、數(shù)據(jù)庫安全及系統(tǒng)安全審計(jì)等方面,采集所有網(wǎng)站群的數(shù)據(jù)庫訪問行為記錄,收集客觀、實(shí)時(shí)的分析數(shù)據(jù)。一旦發(fā)生網(wǎng)站群網(wǎng)絡(luò)信息安全事件,系統(tǒng)管理員可根據(jù)網(wǎng)站群用戶對(duì)數(shù)據(jù)庫系統(tǒng)的所有操作信息,進(jìn)行準(zhǔn)確快速定位,并排除安全隱患。此外,為確保安全審計(jì),還應(yīng)要求網(wǎng)站群開發(fā)人員去除或隱藏程序中的刪除日志功能。
1.5安全測試與配置
由于網(wǎng)絡(luò)安全不是絕對(duì)的,因此,在建立技術(shù)防范體系后,我們按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中的第二級(jí)基本要求,對(duì)網(wǎng)站群的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)進(jìn)行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數(shù)據(jù)完整性和保密性,從而確保信息和管理安全。我們采用Centos和Oracle來構(gòu)建網(wǎng)站群的操作系統(tǒng)和數(shù)據(jù)庫環(huán)境,相關(guān)配置如下:
1.5.1身份鑒別良好的身份認(rèn)證體系可防止攻擊者假冒合法用戶。為此,須對(duì)登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站群的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標(biāo)識(shí)應(yīng)具有不易冒用的特點(diǎn),并確保用戶名具有惟一性。因此,我們做了相關(guān)配置:編輯操作系統(tǒng)文件etc/login.defs文件,應(yīng)達(dá)到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數(shù)PASS_MIN_LEN6#最小密碼長度6編輯操作系統(tǒng)文件/etc/pam.d/system-auth文件,應(yīng)達(dá)到密碼復(fù)雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數(shù)字、至少包含2個(gè)特殊字符數(shù)編輯操作系統(tǒng)文件etc/pam.d/system-auth文件,采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施,實(shí)現(xiàn)登錄失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設(shè)置密碼連續(xù)錯(cuò)誤6次鎖定,鎖定時(shí)間300s。對(duì)于數(shù)據(jù)庫的身份鑒別,我們通過配置Oracle公司提供的驗(yàn)證密碼復(fù)雜度的函數(shù)來實(shí)現(xiàn)。對(duì)于網(wǎng)站群系統(tǒng),后臺(tái)管理用戶密碼復(fù)雜度設(shè)置高級(jí)別,對(duì)密碼的長度、大小寫、特殊字符都方面都要做要求,同時(shí)設(shè)置口令有效期。
1.5.2訪問控制訪問控制更側(cè)重于管理層面,要求操作系統(tǒng)和數(shù)據(jù)庫管理帳號(hào)和實(shí)際操作都必須為不同人員。我們制定相關(guān)崗位職責(zé)文件,實(shí)現(xiàn)權(quán)限分離,責(zé)任分離。如:依據(jù)安全策略控制用戶對(duì)資源的訪問;實(shí)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶權(quán)限期的分離;限制默認(rèn)帳戶的訪問權(quán)限,重命名系統(tǒng)默認(rèn)帳戶,修改帳戶的默認(rèn)口令;應(yīng)及時(shí)刪除多余的、過期的帳戶,避免共享帳戶的存在。此外,我們對(duì)網(wǎng)站群的角色權(quán)限進(jìn)行細(xì)分,做到權(quán)限相互制約。如超級(jí)管理員具有所有功能的操作權(quán)限,二級(jí)網(wǎng)站管理員只能具有自己站點(diǎn)的操作權(quán)限,審計(jì)員只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系統(tǒng)方面,我們遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,使得端口和服務(wù)實(shí)現(xiàn)最小化;通過對(duì)安全漏洞的周期檢查,設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁及時(shí)得到更新,從而使絕大多數(shù)攻擊無效。
1.5.4資源控制系統(tǒng)資源控制主要指終端接入的方式、IP地址范圍及登錄次數(shù)限制。我們做了相關(guān)配置。
2網(wǎng)站群安全防范措施
單純期望某一個(gè)安全技術(shù)或體系架構(gòu)就能夠全面消除或解決網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)的想法是不現(xiàn)實(shí)的。高職院校網(wǎng)站安全問題突出,還歸結(jié)于學(xué)校對(duì)網(wǎng)站安全不重視,網(wǎng)站信息保護(hù)意識(shí)差,網(wǎng)站日常維護(hù)缺失,等。我們只能通過大量實(shí)踐,在網(wǎng)絡(luò)安全實(shí)戰(zhàn)對(duì)抗中不斷完善,明確責(zé)任和義務(wù),建立管理制度和安全制度。管理是網(wǎng)絡(luò)安全的重要部分,在對(duì)網(wǎng)站群部署進(jìn)行有效的安全風(fēng)險(xiǎn)(安全威脅)識(shí)別和評(píng)估后,我們還圍繞技術(shù)層面、組織層面、管理層面、服務(wù)層面,完善網(wǎng)站群安全防范措施。建立學(xué)校、部門兩級(jí)運(yùn)行維護(hù)的組織體系,按集中建站、分級(jí)管理、制度約束、服務(wù)保障的原則,通過統(tǒng)一策劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一資源、統(tǒng)一平臺(tái)來實(shí)現(xiàn)集中建站。按照國家有關(guān)規(guī)章制度和安全辦法(策略),形成制度約束機(jī)制,確保網(wǎng)站群在高效、安全、有序的體系下運(yùn)作。理順管理體制與職責(zé),構(gòu)建主站和子站間的垂直管理體系,制定網(wǎng)站群管理辦法、建立網(wǎng)站群管理和信息員制度、制定安全規(guī)范及操作手冊、建立內(nèi)容管理與審核制度、明確各網(wǎng)站內(nèi)容管理與運(yùn)行管理崗位職責(zé)、規(guī)范工作流程、完善信息等環(huán)節(jié),全面做好網(wǎng)站群安全管理工作。通過提升服務(wù)管理水平,構(gòu)建健全的網(wǎng)站群服務(wù)體系。我們參考ISO/IEC20000-1采用的PDCA方法論,從規(guī)劃(P)、實(shí)施(D)、檢查(C)、改進(jìn)(A)四個(gè)方面著手,根據(jù)學(xué)校技術(shù)、政策和資源等實(shí)際環(huán)境,加強(qiáng)安全服務(wù)管理,確保網(wǎng)站群服務(wù)水平。并參考信息安全服務(wù)體系,從安全評(píng)估服務(wù)、安全修復(fù)服務(wù)、安全保障服務(wù)、安全信息服務(wù)、安全培訓(xùn)服務(wù)、數(shù)據(jù)恢復(fù)服務(wù)、產(chǎn)品集成服務(wù)八個(gè)方面,加強(qiáng)安全服務(wù)。
3網(wǎng)站群保障體系構(gòu)建效果
論文(設(shè)計(jì))題目:中學(xué)校園網(wǎng)絡(luò)安全防護(hù)及對(duì)策初探---以昌吉市一中校園網(wǎng)絡(luò)為例
1、選題來源及意義
1.1選題來源
隨著信息時(shí)代的高速發(fā)展,以校園網(wǎng)絡(luò)為平臺(tái)的應(yīng)用也越來越廣泛,例如校園一卡通服務(wù)、辦公自動(dòng)化應(yīng)用(OA)、教務(wù)管理、圖書管理、電子郵件服務(wù)、校校通服務(wù)、網(wǎng)上學(xué)習(xí)等。然而在開放式網(wǎng)絡(luò)環(huán)境下,校園網(wǎng)絡(luò)的使用過程中面臨著各種各樣的安全隱患,一方面,由于使用校園網(wǎng)絡(luò)最多的是學(xué)生和教師,學(xué)生對(duì)于網(wǎng)絡(luò)這樣的新鮮事物非常感興趣,可能會(huì)下載一些黑客軟件或帶有病毒的軟件,從而破壞校園網(wǎng)絡(luò)系統(tǒng),加之學(xué)生不懂得愛惜,對(duì)于暴露在外界的網(wǎng)絡(luò)設(shè)備造成一定破壞,據(jù)統(tǒng)計(jì),80%的校園網(wǎng)絡(luò)的攻擊都來自于校園網(wǎng)內(nèi)部[1];另一方面,來自外部的網(wǎng)絡(luò)用戶對(duì)IP地址的盜用、黑客攻擊、病毒攻擊、系統(tǒng)漏洞、信息泄露等方面的隱患也會(huì)對(duì)校園網(wǎng)絡(luò)造成破壞。綜上所述,校園網(wǎng)絡(luò)的安全問題既有內(nèi)部因素,也有外部攻擊。因此,如何在現(xiàn)有條件下,充分應(yīng)用各種安全技術(shù),有效的加強(qiáng)、鞏固校園網(wǎng)絡(luò)安全問題非常重要。通過筆者在昌吉市一中網(wǎng)絡(luò)中心實(shí)習(xí)的經(jīng)歷,發(fā)現(xiàn)昌吉市一中校園網(wǎng)絡(luò)原有方案只是簡單地采用防火墻等有限措施來保護(hù)網(wǎng)絡(luò)安全。防火墻是屬于靜態(tài)安全技術(shù)范疇的外圍保護(hù),需要人工實(shí)施和維護(hù),不能主動(dòng)跟蹤入侵者。而管理員無法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊,嚴(yán)重的影響的正常的教學(xué)工作。因此針對(duì)中學(xué)校園網(wǎng)絡(luò)安全的防護(hù)更不容輕視。[2-3]
1.2選題意義
校園網(wǎng)絡(luò)的安全建設(shè)極其重要,源于校園網(wǎng)一方面為各個(gè)學(xué)校提供各種本地網(wǎng)絡(luò)基礎(chǔ)性應(yīng)用,另一方面它也是溝通學(xué)校校園網(wǎng)絡(luò)內(nèi)部和外部網(wǎng)絡(luò)的一座橋梁。校園網(wǎng)絡(luò)應(yīng)用遍及學(xué)校的各個(gè)角落,為師生提供了大量的數(shù)據(jù)資源,方便了師生網(wǎng)上教學(xué)、交流、專題討論等活動(dòng),為教學(xué)和科研提供了很好的平臺(tái),因此存在安全隱患的校園網(wǎng)絡(luò)對(duì)學(xué)校的教學(xué)、科研和辦公管理都會(huì)造成嚴(yán)重的影響。根據(jù)學(xué)校的不同性質(zhì),保證網(wǎng)絡(luò)穩(wěn)定、安全和高效運(yùn)行是校園網(wǎng)絡(luò)建設(shè)的首要任務(wù)。因此做好校園網(wǎng)絡(luò)安全的防護(hù)及相應(yīng)對(duì)策至關(guān)重要,即本論文選題意義。[4]
2、國內(nèi)外研究狀況
2.1國外網(wǎng)絡(luò)安全現(xiàn)狀
由于筆者查閱文獻(xiàn)資料的有限性,沒有查到國外校園網(wǎng)絡(luò)安全現(xiàn)狀的資料,因此針對(duì)國外所采取的網(wǎng)絡(luò)安全措施進(jìn)行如下概述:
(1)法律法規(guī)的制定。近年來,世界各國紛紛意識(shí)到網(wǎng)絡(luò)安全與信息安全的重要性,并制定相關(guān)的法律法規(guī)規(guī)范廣大網(wǎng)絡(luò)用戶的行為。美國、俄羅斯、英國、日本、法國等其他許多國家都相繼成立國家級(jí)信息安全機(jī)構(gòu),完善網(wǎng)絡(luò)防護(hù)管理體制,采取國家行為強(qiáng)化信息安全建設(shè)。
(2)網(wǎng)絡(luò)防護(hù)應(yīng)急反應(yīng)機(jī)制的建立。面對(duì)網(wǎng)絡(luò)反恐、黑客、信息的泄露、網(wǎng)絡(luò)入侵、計(jì)算機(jī)病毒及各類蠕蟲木馬病毒等一系列網(wǎng)絡(luò)危機(jī),世界各國通過建立網(wǎng)絡(luò)防護(hù)應(yīng)急反應(yīng)機(jī)制。分別從防火墻技術(shù)、入侵檢測系統(tǒng)、漏洞掃描、防查殺技術(shù)等傳統(tǒng)的安全產(chǎn)品方面入手,防止各種安全風(fēng)險(xiǎn),并加快網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的發(fā)展和更新.動(dòng)態(tài)提升網(wǎng)絡(luò)安全技術(shù)水平。
綜上所述,網(wǎng)絡(luò)安全的問題將隨著技術(shù)的不斷發(fā)展越來越受到重視。然而,網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天,網(wǎng)絡(luò)安全問題只能相對(duì)防御,卻無法真正的達(dá)到制止。[5-7]
2.2國內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀
由于我國在網(wǎng)絡(luò)安全技術(shù)方面起步比其他信息發(fā)達(dá)國家晚,發(fā)展時(shí)間較短,技術(shù)不夠純熟,面對(duì)各種網(wǎng)絡(luò)安全問題有些應(yīng)接不暇,主要是由于自主的計(jì)算機(jī)網(wǎng)絡(luò)核心技術(shù)和軟件缺乏,信息安全的意識(shí)較為淺薄,不少事企單位沒有建立相應(yīng)的網(wǎng)絡(luò)安全防范機(jī)制以及網(wǎng)絡(luò)安全管理的人才嚴(yán)重缺乏,無法跟上網(wǎng)絡(luò)的飛速發(fā)展。面對(duì)這一系列的問題,我國通過制定政策法規(guī),如GB/T18336一2001(《信息技術(shù)安全性評(píng)估準(zhǔn)則》)、GJB2646一96(《軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則》等來規(guī)范網(wǎng)絡(luò)用戶的使用,還通過技術(shù)方面的措施進(jìn)行防護(hù),如加密認(rèn)證、數(shù)字簽名、訪問控制列表、數(shù)據(jù)完整性、業(yè)務(wù)流填充等措施進(jìn)行網(wǎng)絡(luò)安全的維護(hù)。然而通過技術(shù)措施進(jìn)行網(wǎng)絡(luò)維護(hù)的過程中,網(wǎng)絡(luò)管理員對(duì)技術(shù)的偏好和運(yùn)營意識(shí)的不足,普遍都存在“重技術(shù)、輕安全、輕管理”的傾向,致使在管理、維護(hù)網(wǎng)絡(luò)安全方面還有很大的漏洞。[5]國內(nèi)網(wǎng)絡(luò)安全整體的現(xiàn)狀如上所述,通過大量文獻(xiàn)的閱讀,發(fā)現(xiàn)數(shù)據(jù)信息危害和網(wǎng)絡(luò)設(shè)備危害是校園網(wǎng)絡(luò)安全現(xiàn)在主要面臨的兩大問題,主要威脅有病毒的傳播與攻擊、黑客的入侵、信息的篡改等一系列安全隱患,通過采取加密認(rèn)證、訪問控制技術(shù)、防火墻、漏洞掃描等措施進(jìn)行防護(hù)。[3]中學(xué)校園網(wǎng)絡(luò)管理者如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)中學(xué)校園不可回避的問題,并且逐漸引起了各方面的重視。[8-10]
3、本選題的研究目標(biāo)及內(nèi)容創(chuàng)新點(diǎn):
3.1研究目標(biāo):
本文在對(duì)當(dāng)前校園網(wǎng)絡(luò)面臨的各類安全問題進(jìn)行詳細(xì)分析的基礎(chǔ)上,深入、系統(tǒng)的探討了目前常用的各種網(wǎng)絡(luò)安全技術(shù)的功能以及優(yōu)缺點(diǎn),并以昌吉市一中等中學(xué)校園網(wǎng)絡(luò)為研究對(duì)象,分別從中學(xué)校園網(wǎng)絡(luò)的物理因素、技術(shù)因素、管理因素等角度分析威脅校園網(wǎng)絡(luò)安全的因素,并結(jié)合昌吉市一中校園網(wǎng)絡(luò)現(xiàn)有的條件,分別從設(shè)備管理、技術(shù)提供、管理人員意識(shí)等方面充分應(yīng)用各種安全技術(shù),有效加強(qiáng)、鞏固校園網(wǎng)絡(luò)安全,提出解決網(wǎng)絡(luò)安全問題的策略及防范措施。從而綜合利用各種網(wǎng)絡(luò)安全技術(shù)保障本校的校園網(wǎng)絡(luò)的安全、穩(wěn)定、高效運(yùn)行。
3.2內(nèi)容創(chuàng)新點(diǎn):
(1)通過對(duì)昌吉市一中的校園網(wǎng)絡(luò)進(jìn)行分析,并結(jié)合文獻(xiàn)資料參考其他中學(xué)校園網(wǎng)絡(luò)安全的問題,總結(jié)出中學(xué)校園網(wǎng)絡(luò)安全存在常見的安全隱患,并制定出針對(duì)中學(xué)校園網(wǎng)絡(luò)隱患所采取的防范措施。
(2)將制定出的網(wǎng)絡(luò)安全防范措施運(yùn)用于昌吉市一中校園網(wǎng)絡(luò),制定出真正合理的、恰當(dāng)?shù)摹⑦m合現(xiàn)有條件的網(wǎng)絡(luò)安全防范措施,并對(duì)昌吉市一中的校園網(wǎng)絡(luò)進(jìn)行展望,使得校園網(wǎng)絡(luò)可持續(xù)發(fā)展。
參考文獻(xiàn)
[1]段海新.CERNET校園網(wǎng)安全問題分析與對(duì)策[J].中國教育網(wǎng)絡(luò),2005.03
[2]袁修春.校園網(wǎng)安全防范體系.[D].西北師范大學(xué).計(jì)算機(jī)應(yīng)用技術(shù).2005,5
[3]鐘平.校園網(wǎng)安全技術(shù)防范研究[D].廣東.廣東工業(yè)大學(xué).2007,4:3
[4]蔡新春.校園網(wǎng)安全防范技術(shù)的研究與實(shí)現(xiàn)[D].軟件工程2009,4
[5]董鈺.基于校園網(wǎng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)研究與設(shè)計(jì)[D].山東.計(jì)算機(jī)軟件與理論.2005,5:11-12
[6]王先國.校園網(wǎng)絡(luò)安全系統(tǒng)的研究與設(shè)計(jì).[D].南京.計(jì)算機(jī)技術(shù).2009.12
[7]定吉安.常用網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[D].山東.計(jì)算機(jī)軟件與理論.2011,4
[8]顧潤龍.影響校園網(wǎng)絡(luò)安全的主要因素及防范措施.[J].咸寧學(xué)院學(xué)報(bào).2012,9(32):155-156
[9]張伯江.國外信息安全發(fā)展動(dòng)向[J].信息安全動(dòng)態(tài),2002,8(7):36-38
[10]譚耀遠(yuǎn).新世紀(jì)中國信息安全問題研究.[D].大連.大連海事大學(xué).2011,6
一、采用的研究方法及手段(1、內(nèi)容包括:選題的研究方法、手段及實(shí)驗(yàn)方案的可行性分析和已具備的實(shí)驗(yàn)條件等。2、撰寫要求:宋體、小四號(hào)。)
1、文獻(xiàn)研究法:查找文獻(xiàn)資料時(shí)借助圖書館及網(wǎng)絡(luò),搜集、鑒別、整理文獻(xiàn)。從前人的研究中得出對(duì)我們的研究有價(jià)值的觀點(diǎn)與例證。本研究采用文獻(xiàn)研究法的目的:
(1)查取大量校園網(wǎng)絡(luò)安全問題常見的問題,結(jié)合昌吉市一中的校園網(wǎng)絡(luò)現(xiàn)狀進(jìn)行分析。
(2)對(duì)國內(nèi)外的網(wǎng)絡(luò)安全防范措施進(jìn)行分析,選擇適合昌吉市一中校園網(wǎng)絡(luò)安全所應(yīng)對(duì)的策略。
2.訪談法:通過與昌吉市一中網(wǎng)絡(luò)信息中心的教師交流探討,以訪談的形式了解昌吉市一中校園網(wǎng)絡(luò)的現(xiàn)狀。
論文的框架結(jié)構(gòu)(宋體、小四號(hào))
第一章:緒論
第二章:影響中學(xué)校園網(wǎng)絡(luò)安全的因素
第三章:常用的校園網(wǎng)絡(luò)安全技術(shù)
第四章:校園網(wǎng)絡(luò)安全建設(shè)
-----以昌吉市一中校園網(wǎng)絡(luò)安全體系需求分析及設(shè)計(jì)
第五章:總結(jié)和展望。
論文寫作的階段計(jì)劃(宋體、小四號(hào))
第一階段:20xx.10.1—20xx.11.20選定論文題目,學(xué)習(xí)論文寫作方法及注意項(xiàng);
第二階段:20xx.11.20—20xx.12.25與孫老師見面,在孫教師的指導(dǎo)下,搜集材料閱讀有關(guān)文獻(xiàn)資料,按照開題報(bào)告的格式和要求完成《昌吉學(xué)院本科畢業(yè)論文(設(shè)計(jì))開題報(bào)告》的撰寫;
第三階段:20xx.12.26—20xx.1.3寫出開題報(bào)告,并與指導(dǎo)教師充分溝通,做好開題報(bào)告答辯準(zhǔn)備;
第四階段:20xx.1.5—20xx.1.13開題報(bào)告論證答辯;
第五階段:20xx.1.17—20xx.3.25在指導(dǎo)教師指導(dǎo)下,開始畢業(yè)論文的寫作,至3月25日完成初稿交指導(dǎo)教師;
第六階段:20xx.3.25—20xx.3.31寫出中期報(bào)告書,接受中期檢查。并根據(jù)指導(dǎo)教師建議完成初稿的修改;
第七階段:20xx.4.1—20xx.4.10根據(jù)指導(dǎo)教師建議完成二稿的修改;
第八階段:20xx.4.11—20xx.4.20根據(jù)指導(dǎo)教師建議完成三稿的修改;
第九階段:20xx.4.21—20xx.4.25完成初定稿,并復(fù)印3份交系畢業(yè)論文答辯小組;
論文摘要:從當(dāng)前校園網(wǎng)建設(shè)中存在的諸多問題出發(fā),對(duì)威脅校園網(wǎng)安全的因素進(jìn)行了分析;針對(duì)服務(wù)器系統(tǒng)安全、校園網(wǎng)絡(luò)層安全、校園網(wǎng)應(yīng)用層安全等,提出了構(gòu)建校園網(wǎng)絡(luò)安全體系方案。
1威脅校園網(wǎng)安全的因素
隨著計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用的發(fā)展,校園網(wǎng)建設(shè)在全國各高等院校越來越普及,網(wǎng)上教學(xué)、網(wǎng)上辦公、網(wǎng)上信息等校園網(wǎng)絡(luò)信息服務(wù)越來越廣,但校園網(wǎng)的安全問題也逐漸顯現(xiàn)出來。構(gòu)架安全的校園網(wǎng)絡(luò)環(huán)境,保證關(guān)鍵數(shù)據(jù)的安全性及各類信息的準(zhǔn)確性,使校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)轉(zhuǎn),已成為各高等院校越來越重視的問題。
校園網(wǎng)及其信息系統(tǒng)所面臨的安全威脅既可能來自校園外部網(wǎng)絡(luò)的“黑客”人侵,又可能來自校園內(nèi)部,校園網(wǎng)經(jīng)常成為一些居心巨測的人的實(shí)驗(yàn)?zāi)繕?biāo)。校園網(wǎng)存在的安全間題主要有以下幾種情況:“黑客”人侵、數(shù)據(jù)泄露.IP盜用、病毒攻擊、非法站點(diǎn)的訪問、垃圾郵件等。所有的人侵攻擊都是從用戶終端上發(fā)起的,他們往往利用校園網(wǎng)系統(tǒng)的漏洞并肆意進(jìn)行破壞。針對(duì)校園網(wǎng)的各種安全隱患,深人分析產(chǎn)生這些安全問題的根源以及隨時(shí)出現(xiàn)的網(wǎng)絡(luò)安全需求,通過采取相應(yīng)的網(wǎng)絡(luò)安全策略,將安全技術(shù)、統(tǒng)一身份認(rèn)證技術(shù)與嚴(yán)格的網(wǎng)絡(luò)管理結(jié)合起來,從而構(gòu)架一個(gè)安全、通用、高效的校園網(wǎng)絡(luò)系統(tǒng)。
2校園網(wǎng)安全方案設(shè)計(jì)
2. 1服務(wù)器系統(tǒng)安全方案
(1)禁用某些不必要的服務(wù)。W indows提供了許許多多的服務(wù),其中有很多我們根本用不上。如windows 2000的Terminal Services(終端服務(wù))、"Telnet服務(wù)、NetBI0S服務(wù)、IIS服務(wù)和RAS服務(wù),都可能給校園網(wǎng)帶來安全漏洞。為了能夠在遠(yuǎn)程方便地管理服務(wù)器,很多機(jī)器的終端服務(wù)都是開著的.如果你的也開了,要確認(rèn)你已經(jīng)正確地配置了終端服務(wù)。有些惡意的程序也能以某種服務(wù)的方式悄悄地運(yùn)行,要留意服務(wù)器上面開啟的所有服務(wù),每天檢查它們??梢愿鶕?jù)校園網(wǎng)的實(shí)際情況禁止某些服務(wù),Windows 9x的用戶,可以啟用新版的優(yōu)化大師禁用服務(wù)。禁用不必要的服務(wù)可以減少安全隱患.還可以增加Windows的運(yùn)行速度。
論文摘要:當(dāng)今社會(huì),信息技術(shù)高速發(fā)展,各行各業(yè)都離不開網(wǎng)絡(luò)。各學(xué)校也越來越重視校園網(wǎng)絡(luò)建設(shè),網(wǎng)絡(luò)已經(jīng)悄然無聲的走進(jìn)了校園。如何建設(shè)和管理好校園網(wǎng)絡(luò),保證校園網(wǎng)絡(luò)的安全,已成為校園網(wǎng)絡(luò)建設(shè)的首要任務(wù)。如何讓校園網(wǎng)絡(luò)在病毒肆虐的時(shí)代穩(wěn)固運(yùn)行,保證學(xué)校信息化、數(shù)字化網(wǎng)絡(luò)環(huán)境暢通,已成為網(wǎng)管員的首要責(zé)任。
在網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用下,許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,網(wǎng)絡(luò)的優(yōu)勢勢不可擋:加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享、降低勞動(dòng)強(qiáng)度。但是當(dāng)網(wǎng)絡(luò)給學(xué)校帶來方便的同時(shí),網(wǎng)絡(luò)安全這一問題是否被學(xué)校重視。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、信息論、數(shù)論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全從本質(zhì)上說就是網(wǎng)絡(luò)上的信息安全。它是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。本文從以下方面闡述校園網(wǎng)絡(luò)的安全管理:
一、設(shè)備安全
暢通的網(wǎng)絡(luò)環(huán)境、安全的網(wǎng)絡(luò)設(shè)備,為校園網(wǎng)絡(luò)的信息化、數(shù)字化提供了最基礎(chǔ)的硬件保障。這里除了信息網(wǎng)絡(luò)設(shè)備的供電、防水、防雷電、溫濕度、防鼠和防盜等常規(guī)安全之外。還要強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備的配置安全。主要包括:
(一)對(duì)網(wǎng)絡(luò)設(shè)備設(shè)置8位以上復(fù)雜密碼,并需要根據(jù)業(yè)務(wù)需求分配合適的管理用戶和權(quán)限。目前大多數(shù)安全問題,是由于密碼過于簡單、密碼管理不嚴(yán),使“入侵者”乘虛而入。因此密碼口令的有效管理是非常重要的。
(二)設(shè)置獨(dú)立的設(shè)備管理虛擬局域網(wǎng),把網(wǎng)管設(shè)備使用的ip地址與普通用戶使用的ip地址段分開,并指定專用電腦進(jìn)行接入管理和監(jiān)控。
二、劃分vlan
對(duì)校園網(wǎng)絡(luò)合理的劃分vlan。vlan就是虛擬局域網(wǎng)。目前大多數(shù)學(xué)校都配備了三層交換機(jī)和可管理的二層交換機(jī),可是還有相當(dāng)一部分學(xué)校把這些設(shè)備當(dāng)作普通的交換機(jī)使用,沒有進(jìn)行vlan的劃分。這樣一方面是對(duì)設(shè)備資源的浪費(fèi),另一方面更是降低了網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)性能。
采用虛擬局域網(wǎng)有如下優(yōu)勢:有效抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;增加網(wǎng)絡(luò)的安全性;集中化的管理控制?;诙丝诘奶摂M局域網(wǎng)是最實(shí)用的虛擬局域網(wǎng),它保持了最普通、常用的虛擬局域網(wǎng)成員定義方法,配置也相當(dāng)直觀簡單,不同的虛擬局域網(wǎng)之間進(jìn)行通信需要通過路由器或具有路由功能的三層交換機(jī)。因此,有條件的學(xué)校首先就應(yīng)該充分利用已有的硬件資源,采用vlan技術(shù)構(gòu)筑高效安全的網(wǎng)絡(luò)基礎(chǔ)環(huán)境。
三、流量監(jiān)控、協(xié)議分析、網(wǎng)絡(luò)審計(jì)
使用專業(yè)設(shè)備如:網(wǎng)康。可以進(jìn)行監(jiān)控流量、協(xié)議分析及網(wǎng)絡(luò)審計(jì)。
此類設(shè)備可以方便地配置于網(wǎng)絡(luò)內(nèi)部,用來預(yù)測網(wǎng)絡(luò)的性能和發(fā)展趨勢;實(shí)時(shí)檢測校園網(wǎng)絡(luò)內(nèi)部終端的流量狀況、分析網(wǎng)絡(luò)的異常流量;提供全網(wǎng)的ip地址、機(jī)器名、mac地址等信息完備的地址表,方便網(wǎng)絡(luò)的分析和管理;能對(duì)網(wǎng)絡(luò)訪問事件作統(tǒng)一記錄、分析;還可生成各種報(bào)表用于存檔。有利于早期發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為,預(yù)防不良網(wǎng)絡(luò)行為的發(fā)生。
另外在網(wǎng)絡(luò)管理當(dāng)中,要貫徹實(shí)名制,既用機(jī)器使用者的真實(shí)姓名作為計(jì)算機(jī)命名的管理模式,直接監(jiān)控到個(gè)人,當(dāng)出現(xiàn)異常時(shí)可以準(zhǔn)確定位,快速響應(yīng)。
四、部署防火墻
防火墻是網(wǎng)絡(luò)安全的屏障。防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,這會(huì)使網(wǎng)絡(luò)環(huán)境變得更為安全。在防火墻設(shè)置上我們按照以下原則配置用來提高網(wǎng)絡(luò)安全性:
第一、根據(jù)校園網(wǎng)安全目標(biāo)和安全策略,規(guī)劃設(shè)置正確的安全過濾規(guī)則,審核ip數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)禁來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問??傮w上遵從“不被允許的服務(wù)就是被禁止的”原則。
第二、將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的ip包。這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法ip地址離開內(nèi)部網(wǎng)絡(luò)的ip包,這樣可以防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。
第三、定期查看防火墻訪問日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。
五、部署入侵防御系統(tǒng)
為了彌補(bǔ)防火墻的不足,可使用入侵防御系統(tǒng):如ips。他能夠及時(shí)識(shí)別攻擊程序、有害代碼及其克隆和變種,盡量將病毒擋在校園網(wǎng)之外。另外,對(duì)于已經(jīng)傳入校園網(wǎng)內(nèi)的病毒,必須防止其擴(kuò)散,可以利用核心交換機(jī)的訪問控制列表,屏蔽掉某些可能被病毒利用的端口。這樣就可以控制病毒,使其只能在某一子網(wǎng)內(nèi)傳播,而不至于在校園網(wǎng)內(nèi)大范圍擴(kuò)散。
另外還可以在交換機(jī)上建立內(nèi)網(wǎng)計(jì)算機(jī)的ip地址和mac地址的對(duì)應(yīng)表,實(shí)現(xiàn)專人專用,防止ip地址被盜用。
六、服務(wù)器的安全
校園網(wǎng)的服務(wù)器為用戶提供各種應(yīng)用,但是應(yīng)用提供得越多,系統(tǒng)就存在越多的漏洞,也就有更多的危險(xiǎn)。因此從安全角度考慮,應(yīng)將不必要的服務(wù)關(guān)閉.只向用戶提供他們所需的基本服務(wù)。例如:我們在校園網(wǎng)服務(wù)器中對(duì)用戶只提供web服務(wù)功能,而沒有必要向用戶提供ftp功能。這樣。在對(duì)服務(wù)器配置時(shí),只開放web服務(wù),而將ftp服務(wù)禁止。如果要開放ftp功能,則要規(guī)定端口、賬號(hào)及密碼,向指定的用戶開放。因?yàn)橛脩敉ㄟ^ftp可以上傳資源,如果給了用戶可執(zhí)行權(quán)限,那么,通過運(yùn)行上傳的某些程序,就可能使服務(wù)器受到攻擊。所以,控制好服務(wù)器的用戶群體也是保障網(wǎng)絡(luò)安全的一個(gè)重要因素。
七、部署防病毒
校園網(wǎng)內(nèi)部署防病毒系統(tǒng),并且定時(shí)升級(jí)病毒庫。部署防病系統(tǒng)是為了防止因某個(gè)客戶端的病毒或木馬程序在校園網(wǎng)中流竄,從而干擾網(wǎng)絡(luò)主干、傳染其他的客戶端。部署防病毒能夠在源頭上保障校園網(wǎng)絡(luò)的安全。在選擇防病毒軟件時(shí)應(yīng)選用口碑比較好的名牌產(chǎn)品。
八、定時(shí)更新
任何一個(gè)操作系統(tǒng)、防病毒軟件、防火墻系統(tǒng)、入侵檢測系統(tǒng)、路由交換設(shè)備等網(wǎng)絡(luò)節(jié)點(diǎn)、系統(tǒng)或多或少都存在著各種漏洞。系統(tǒng)漏洞的存在就成為網(wǎng)絡(luò)安全的首要問題。發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員的主要任務(wù)。當(dāng)然,從系統(tǒng)中找到漏洞不是我們一般網(wǎng)絡(luò)管理人員所能做的.但是及早地發(fā)現(xiàn)有報(bào)告的漏洞,并進(jìn)行補(bǔ)丁升級(jí)卻是我們應(yīng)該做的。經(jīng)常登錄各有關(guān)網(wǎng)絡(luò)安全網(wǎng)站,密切關(guān)注我們所有使用的軟件和服務(wù)程序的最新版本和安全信息,一旦發(fā)現(xiàn)與這些程序有關(guān)的安全問題就立即對(duì)軟件進(jìn)行必要的補(bǔ)丁和升級(jí)。網(wǎng)絡(luò)管理員應(yīng)該養(yǎng)成勤打補(bǔ)丁的習(xí)慣。
九、規(guī)范管理
以上提及的安全管理辦法只是對(duì)網(wǎng)絡(luò)設(shè)備和硬件所說,為校園網(wǎng)絡(luò)提供技術(shù)手段和措施,但是還需要制定一系列的信息網(wǎng)絡(luò)規(guī)章制度來規(guī)范網(wǎng)絡(luò)管理員的操作流程,提高網(wǎng)絡(luò)管理員的安全意識(shí)和責(zé)任。包括制定網(wǎng)絡(luò)安全管理范圍規(guī)章制度、制訂有關(guān)校園網(wǎng)網(wǎng)絡(luò)操作使用規(guī)程、制定人員出入校園網(wǎng)主控機(jī)房的管理制度、制定校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施、確定校園網(wǎng)信息安全管理的一般責(zé)任和具體責(zé)任,以及規(guī)定出現(xiàn)安全事故以及違反安全策略的后果等。
網(wǎng)絡(luò)管理的規(guī)范程度直接反映一個(gè)網(wǎng)絡(luò)的應(yīng)用保障系數(shù),通過以上幾個(gè)方面的管理,并結(jié)合定期的內(nèi)部網(wǎng)絡(luò)的掃描巡檢,科學(xué)的管理分工制度,要把一個(gè)網(wǎng)絡(luò)管好、用好不難。
相信隨著校園網(wǎng)絡(luò)管理和校園網(wǎng)絡(luò)安全不斷優(yōu)化發(fā)展。必然會(huì)給校園信息化、數(shù)字化應(yīng)用提供暢通環(huán)境,校園網(wǎng)絡(luò)的效益將會(huì)越來越大。也必將會(huì)進(jìn)一步提高學(xué)校的教學(xué)質(zhì)量和管理效率,使學(xué)校成為一所具有先進(jìn)的信息化網(wǎng)絡(luò)環(huán)境和數(shù)字化應(yīng)用的現(xiàn)代化學(xué)校。
參考文獻(xiàn):
[1]黃開枝,孫巖.網(wǎng)絡(luò)防御與安全對(duì)策[m].北京:清華大學(xué)出版社
[2]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第2版)[m].北京:清華大學(xué)出版社
一高校網(wǎng)絡(luò)信息的重要性
隨著我國經(jīng)濟(jì)的高速發(fā)展,國家對(duì)高校網(wǎng)絡(luò)建設(shè)越來越關(guān)注,同時(shí)也投入了大量的資金用于發(fā)展高校的計(jì)算機(jī)網(wǎng)絡(luò),我國的高校的計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)工作已經(jīng)初顯成效。傳統(tǒng)的校園局域網(wǎng)僅僅用于學(xué)校自身的信息系統(tǒng),而現(xiàn)在的學(xué)校的多媒體教室設(shè)備、視頻監(jiān)控設(shè)備、空調(diào)控制設(shè)備以及供電、供水控制等,全部都是由網(wǎng)絡(luò)媒介傳輸數(shù)據(jù)和信息[2]。
網(wǎng)格化是近些年輔助教學(xué)儀器設(shè)備發(fā)展的一個(gè)方向,任何一種教學(xué)輔助設(shè)備都需要網(wǎng)絡(luò)的支持,這些設(shè)備傳輸數(shù)據(jù)需要依靠學(xué)校網(wǎng)絡(luò)。輔助教學(xué)設(shè)備依靠網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)共享和傳輸[3]。例如實(shí)驗(yàn)室的光譜分析儀,需要通過遠(yuǎn)程控制實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程傳輸,同時(shí)還可以將不同分析儀產(chǎn)生出來的結(jié)果匯聚到一臺(tái)儀器上,從而實(shí)現(xiàn)數(shù)據(jù)的共享和分析對(duì)比。
高校網(wǎng)絡(luò)互聯(lián)的規(guī)模逐步增大,網(wǎng)絡(luò)應(yīng)用的種類迅速擴(kuò)大,由此高校網(wǎng)絡(luò)信息安全問題顯得尤為重要。網(wǎng)絡(luò)信息安全的保證是高校網(wǎng)絡(luò)平穩(wěn)運(yùn)行的基本條件,其重要性是高校網(wǎng)絡(luò)中任何環(huán)節(jié)都無法達(dá)到的。為了使得高校網(wǎng)絡(luò)具有防范威脅的抵抗力,必須抵制外部入侵,同時(shí)對(duì)于內(nèi)部的防范也不容忽視。擁有一套真正的全方位、多角度的高校網(wǎng)絡(luò)安全機(jī)制是保證高校網(wǎng)絡(luò)安全的必備手段。營造一個(gè)高效、安全的網(wǎng)絡(luò)環(huán)境不只是需要技術(shù)上的支撐,同時(shí)在網(wǎng)絡(luò)管理方面也必須十分規(guī)范。只有在技術(shù)和管理兩個(gè)方面同時(shí)加大力度,才能使得高校網(wǎng)絡(luò)充分地被利用[4]。
二高校網(wǎng)絡(luò)安全受到的威脅
1網(wǎng)絡(luò)病毒
網(wǎng)絡(luò)病毒是指網(wǎng)絡(luò)中的計(jì)算機(jī)由于被植入了能夠自我復(fù)制的計(jì)算機(jī)程序代碼,從而使得自身計(jì)算機(jī)軟件、硬件遭到破壞,計(jì)算機(jī)中部分或者全部數(shù)據(jù)被泄露。許多網(wǎng)絡(luò)病毒藏身于網(wǎng)絡(luò)之中,而且種類和規(guī)模以驚人的數(shù)量增長,同時(shí)還不斷地變異成新的病毒。網(wǎng)絡(luò)病毒通過很多方式進(jìn)行傳播,例如郵箱、下載等方式。網(wǎng)絡(luò)病毒經(jīng)常造成嚴(yán)重的網(wǎng)絡(luò)故障,甚至造成大面積網(wǎng)絡(luò)癱瘓,大量數(shù)據(jù)被篡改或者泄露。
2操作系統(tǒng)漏洞
操作系統(tǒng)漏洞以及各種應(yīng)用程序軟件的漏洞給校園網(wǎng)絡(luò)安全帶來了很大的威脅。隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,計(jì)算機(jī)的軟件系統(tǒng)變得越來越高級(jí),同時(shí)也帶來了許多負(fù)面的問題。例如隨著系統(tǒng)軟件的不斷更新?lián)Q代,系統(tǒng)軟件自身的復(fù)雜度越來越高,程序代碼越來越龐大,因此系統(tǒng)軟件的漏洞也隨之增加。不論是非常簡單的軟件還是特別完善的軟件都有其漏洞,這些漏洞部分是由于編程人員考慮不周或者是疏忽大意造成的軟件漏洞,還有一部分是程序員為了方便自己的管理或者調(diào)試專門設(shè)置的。這些軟件漏洞對(duì)于網(wǎng)絡(luò)安全來說是非常大的威脅。據(jù)國外某公司調(diào)查,操作系統(tǒng)每年平均需要更新3000個(gè)網(wǎng)絡(luò)漏洞,如果這些網(wǎng)絡(luò)漏洞被蓄意破壞網(wǎng)絡(luò)的黑客利用的話會(huì)造成非常嚴(yán)重的損失。
3黑客攻擊
全世界的黑客攻擊事件的數(shù)量以驚人的速度不斷增長。目前黑客對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的威脅已經(jīng)成為互聯(lián)網(wǎng)安全的主要威脅[5]。由于系統(tǒng)和安裝在電腦上的軟件有一些漏洞,這些漏洞就是黑客們攻擊的手段,通過利用這些漏洞,將病毒代碼植入目標(biāo)計(jì)算機(jī)從而進(jìn)行破壞或者更改盜取數(shù)據(jù)。
任意一臺(tái)計(jì)算機(jī),只要連接到網(wǎng)絡(luò),就有被黑客攻擊的風(fēng)險(xiǎn)。教師和學(xué)生在享受高校網(wǎng)絡(luò)的便利之時(shí)也面臨著一定的風(fēng)險(xiǎn)。在當(dāng)前的高校中,大體上有四類黑客攻擊:個(gè)人利益黑客攻擊、報(bào)復(fù)校園黑客攻擊、表現(xiàn)自我黑客攻擊和無意攻擊。某些人為了自身的利益對(duì)學(xué)校的管理系統(tǒng)以及數(shù)據(jù)庫進(jìn)行侵入,通過修改和竊取數(shù)據(jù)庫中的信息,從而達(dá)到竊取保密論文、修改個(gè)人污點(diǎn)信息等目的。有些人是以報(bào)復(fù)學(xué)校為目的,對(duì)學(xué)校網(wǎng)絡(luò)進(jìn)行攻擊,這些人由于受到學(xué)校處分,因此他們侵入學(xué)校網(wǎng)絡(luò)系統(tǒng),進(jìn)行大肆地破壞,使得正常的教學(xué)活動(dòng)不能進(jìn)行,同時(shí)有些人通過在學(xué)校網(wǎng)站虛假信息的方式對(duì)學(xué)校進(jìn)行報(bào)復(fù)。
4校園網(wǎng)絡(luò)利用不合理
高校網(wǎng)絡(luò)最主要的目的是為廣大師生提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境,使得他們能夠更好底進(jìn)行科研、工作和學(xué)習(xí)。由于學(xué)校網(wǎng)絡(luò)的監(jiān)管存在漏洞,使得各高校網(wǎng)絡(luò)資源普遍存在濫用和盜用的問題。盜用網(wǎng)絡(luò)資源主要是指采用非法途徑接入學(xué)校網(wǎng)絡(luò),從而無償?shù)乩镁W(wǎng)絡(luò)帶寬。濫用網(wǎng)絡(luò)資源主要是指利用占用網(wǎng)絡(luò)資源觀看網(wǎng)絡(luò)視頻以及利用BT軟件進(jìn)行大量數(shù)據(jù)的下載,給網(wǎng)絡(luò)帶寬造成擁堵,使得日常的教學(xué)或者科研很難順利進(jìn)行。
5高校網(wǎng)絡(luò)管理問題
隨著高校信息化的發(fā)展,校園網(wǎng)絡(luò)對(duì)于高校越來越重要,校園網(wǎng)絡(luò)所承載的設(shè)備逐步增多,但是學(xué)校對(duì)網(wǎng)絡(luò)的管理卻不是特別重視,主要表現(xiàn)在如下幾個(gè)方面。高校的網(wǎng)絡(luò)設(shè)備嚴(yán)重老化,很多設(shè)備一旦出現(xiàn)問題,設(shè)備的部件甚至都已經(jīng)無法買到,致使校園網(wǎng)絡(luò)長時(shí)間中斷。高校對(duì)于網(wǎng)絡(luò)方面投入的資金和物力過少,使得高校的網(wǎng)絡(luò)難以跟上網(wǎng)絡(luò)技術(shù)發(fā)展速度。同時(shí)由于資金的問題,對(duì)于網(wǎng)絡(luò)的管理也是非常不完善的,致使很多問題相繼出現(xiàn),例如服務(wù)器年久失修造成系統(tǒng)癱瘓、防病毒軟件更新不及時(shí)導(dǎo)致病毒廣泛傳播等。
三防范校園網(wǎng)絡(luò)威脅的措施
1防病毒技術(shù)
高校網(wǎng)絡(luò)可以通過防火墻技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。通過在網(wǎng)絡(luò)的軟件或者硬件上安裝防火墻,從而有效地隔離內(nèi)部和外部的用戶,方便地對(duì)外部用戶訪問內(nèi)部進(jìn)行管理。防火墻的合理應(yīng)用,為高校網(wǎng)絡(luò)提供了一個(gè)安全的策略,通過有效地隔離內(nèi)、外網(wǎng)的手段,使得高校網(wǎng)絡(luò)抵抗外部威脅的能力有了很大的提高,而且防火墻也是隔離病毒最高效、最經(jīng)濟(jì)、最安全的手段。防火墻技術(shù)在高校網(wǎng)絡(luò)中的應(yīng)用是非常普遍的。校園網(wǎng)絡(luò)最大且最常見的威脅是計(jì)算機(jī)網(wǎng)絡(luò)病毒,非常有必要建立一套完整的、全面的病毒威脅防范系統(tǒng),從而有效地抵抗病毒的威脅。首先是根據(jù)學(xué)校網(wǎng)絡(luò)的承載能力,選擇適合當(dāng)前學(xué)校網(wǎng)絡(luò)的防病毒軟件。其次是校園網(wǎng)絡(luò)安全策略的詳細(xì)制定也是十分必要,例如:通過局域網(wǎng)的劃分,達(dá)到防止病毒在校園網(wǎng)絡(luò)中大規(guī)模傳播的目的。最后是要求高校網(wǎng)絡(luò)用戶提高自身的防病毒意識(shí),用戶通過及時(shí)更新防病毒軟件,定期修補(bǔ)系統(tǒng)漏洞,以及查殺病毒,不輕易打開未知文件以及郵件,擁有良好的電腦操作習(xí)慣。
2身份認(rèn)證技術(shù)和數(shù)據(jù)加密技術(shù)
身份認(rèn)證技術(shù)是一種常用的網(wǎng)絡(luò)安全技術(shù),是對(duì)通信方進(jìn)行身份確認(rèn)來確定通信方是否為合法授權(quán)用戶,以保證通信的安全。常用的認(rèn)證方法有口令認(rèn)證、數(shù)字簽名等。數(shù)據(jù)加密技術(shù)通過加密算法將明文加密為密文后再進(jìn)行傳輸,密文就算被黑客截取也很難獲得明文,因?yàn)槊芪闹挥型ㄟ^對(duì)應(yīng)解碼技術(shù)解碼后,才能還原成明文,黑客要是沒有對(duì)應(yīng)的解碼技術(shù),得到的密文數(shù)據(jù)也是無用的數(shù)據(jù)。
3數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)
數(shù)據(jù)備份主要是為了防止硬盤、閃盤、光盤等存儲(chǔ)設(shè)備中的重要數(shù)據(jù)丟失。數(shù)據(jù)恢復(fù)主要是當(dāng)數(shù)據(jù)遇到災(zāi)難后可以在最短時(shí)間恢復(fù)數(shù)據(jù)。在校園網(wǎng)中數(shù)據(jù)丟失主要有病毒破壞、黑客惡意破壞以及個(gè)人或管理人員無意間刪除等,當(dāng)然也有因地震、火災(zāi)、水災(zāi)等不可抗拒的外因的破壞。因此,管理人員和個(gè)人都要做好數(shù)據(jù)備份工作,以便數(shù)據(jù)出現(xiàn)災(zāi)難后能夠迅速恢復(fù),而不至于造成重大損失,常用的備份有異地備份、分區(qū)備份、移動(dòng)設(shè)備備份等。
4建立完善的網(wǎng)絡(luò)管理制度
嚴(yán)格的管理是校園網(wǎng)安全的重要措施。事實(shí)上,很多學(xué)校都疏于這方面的管理,對(duì)網(wǎng)絡(luò)安全保護(hù)不夠重視。為了確保整個(gè)網(wǎng)絡(luò)的安全有效運(yùn)行,有必要制定出一套滿足網(wǎng)絡(luò)實(shí)際安全需要的、切實(shí)可行的安全管理制度。如:加強(qiáng)管理員的責(zé)任心和敬業(yè)精神,提高管理員的專業(yè)知識(shí)和技能,增強(qiáng)網(wǎng)絡(luò)用戶的防范意識(shí),對(duì)網(wǎng)絡(luò)用戶進(jìn)行有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)教育和信息安全知識(shí)普及教育,對(duì)于非法訪問和黑客攻擊事件,一旦發(fā)現(xiàn)要嚴(yán)肅處理。
校園網(wǎng)絡(luò)管理員要對(duì)用戶的用戶名和密碼采用加密的方式進(jìn)行存儲(chǔ)和傳輸,同時(shí)對(duì)用戶進(jìn)行權(quán)限設(shè)置。網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)用戶數(shù)據(jù)庫進(jìn)行嚴(yán)格的管理與維護(hù),對(duì)于系統(tǒng)日志加強(qiáng)管理。對(duì)于開放的計(jì)算機(jī)機(jī)房,應(yīng)該有專人監(jiān)管,同時(shí)還應(yīng)該做到上網(wǎng)實(shí)名制,即使出現(xiàn)問題,可以根據(jù)系統(tǒng)提供的信息精確地定位。定期對(duì)學(xué)校網(wǎng)絡(luò)安全情況進(jìn)行調(diào)查,全面了解網(wǎng)絡(luò)安全工作的展開情況,從而從根本上解決網(wǎng)絡(luò)安全問題。
總體來說,高校網(wǎng)絡(luò)安全威脅的防范是非常系統(tǒng)、非常復(fù)雜的高技術(shù)含量的工作。嚴(yán)格地說,絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)是不存在的,任何網(wǎng)絡(luò)系統(tǒng)都存在安全隱患。即便這樣,高校還是應(yīng)該加大對(duì)于網(wǎng)絡(luò)建設(shè)的投入,從而將安全系數(shù)提高一個(gè)級(jí)別。從當(dāng)前的情況來看,應(yīng)該將防病毒軟件的應(yīng)用、加密技術(shù)的引入、防火墻的建立等多中手段綜合到一起,建立一套真正的高校計(jì)算機(jī)網(wǎng)絡(luò)安全體系。
參考文獻(xiàn)
[1]王育民,劉建偉.通信網(wǎng)的安全理論與技術(shù)[M].西安:西安電子科技大學(xué)出版社,1999.
[2]GB19716-2005.信息安全管理實(shí)用規(guī)則.
關(guān)鍵詞:網(wǎng)絡(luò)信息安全,高職學(xué)院,校園網(wǎng)
二十一世紀(jì),信息化建設(shè)在不斷廣泛地鋪展開來,其中教育信息化的推進(jìn)可謂是速度飛快。各高校都相繼建成了自己的校園網(wǎng)絡(luò),而高職學(xué)院也不例外,也有了自己學(xué)院的校園網(wǎng)絡(luò)以及基于校園網(wǎng)絡(luò)的教務(wù)網(wǎng)絡(luò)管理平臺(tái)、信息化辦公平臺(tái)和學(xué)生網(wǎng)上選修課目系統(tǒng)等網(wǎng)絡(luò)信息系統(tǒng)。因此,當(dāng)下校園網(wǎng)絡(luò)安全問題日趨放大,各種各樣的安全隱患使“牽一發(fā)動(dòng)全身”的校園網(wǎng)絡(luò)越顯脆弱。本文就高職學(xué)院校園網(wǎng)絡(luò)安全存在的問題及解決方法談幾點(diǎn)看法。
1校園網(wǎng)絡(luò)信息安全的威脅
所有校園網(wǎng)絡(luò)都需要提供開放的網(wǎng)絡(luò)資源、上網(wǎng)服務(wù),同時(shí)又要保證整個(gè)校園網(wǎng)絡(luò)的安全。目前校園網(wǎng)絡(luò)的威脅分為非人為威脅和人為威脅,其中非人為威脅主要是指物理設(shè)備如:學(xué)校的路由器、交換機(jī)、工作站、各種網(wǎng)絡(luò)服務(wù)器等硬件設(shè)備和通信鏈路容易遭受自然災(zāi)害的破壞,從而導(dǎo)致校園網(wǎng)絡(luò)無法正常運(yùn)作。而人為威脅是校園網(wǎng)絡(luò)威脅的主要來源。校園網(wǎng)絡(luò)的人為威脅主要來自兩個(gè)方面,一是來自外部公網(wǎng)的威脅,另一方面是來自內(nèi)部的威脅。下面本文從校園網(wǎng)絡(luò)內(nèi)部威脅和外部威脅兩個(gè)方面談一下校園網(wǎng)絡(luò)信息安全的威脅。
1.1內(nèi)部威脅
1.1.1內(nèi)部用戶威脅
校園網(wǎng)的用戶群體一般也比較大,少則數(shù)千人、多則數(shù)萬人,數(shù)據(jù)量大、速度要求高。隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)節(jié)點(diǎn)日漸增多,學(xué)生通過網(wǎng)絡(luò)在線看電影、聽音樂,很容易造成網(wǎng)絡(luò)堵塞和病毒傳播。而這些問題大部分校園網(wǎng)絡(luò)都沒有采取一定的防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。。同時(shí),還要注意防范校園網(wǎng)內(nèi)部的黑客攻擊。
1.1.2盜版軟件威脅
由于缺乏版權(quán)意識(shí),盜版軟件、影視資源在校園網(wǎng)中普遍使用,這些軟件的傳播一方面占用了大量的網(wǎng)絡(luò)帶寬,另一方面也給網(wǎng)絡(luò)安全帶來了一定的隱患。比如,Microsoft公司對(duì)盜版的XP操作系統(tǒng)的更新作了限制,盜版安裝的計(jì)算機(jī)系統(tǒng)今后會(huì)留下大量的安全漏洞。。另一方面,從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。
1.1.3管理威脅
管理方面的困難性也是互聯(lián)網(wǎng)安全問題的重要原因。校園網(wǎng)的建設(shè)和管理通常都輕視了網(wǎng)絡(luò)安全,特別是管理和維護(hù)人員方面的投入明顯不足。在中國大多數(shù)的校園網(wǎng)中,通常只有網(wǎng)絡(luò)中心的少數(shù)工作人員,他們只能維護(hù)網(wǎng)絡(luò)的正常運(yùn)行,無暇顧及、也沒有條件管理和維護(hù)數(shù)萬臺(tái)計(jì)算機(jī)的安全,院、系一級(jí)的專職的計(jì)算機(jī)系統(tǒng)管理員對(duì)計(jì)算機(jī)系統(tǒng)的安全是非常重要的。
1.2外部威脅
1.2.1病毒
計(jì)算機(jī)網(wǎng)絡(luò)病毒是在計(jì)算機(jī)網(wǎng)絡(luò)上傳播擴(kuò)散,專門攻擊網(wǎng)絡(luò)薄弱環(huán)節(jié)、破壞網(wǎng)絡(luò)資源的計(jì)算機(jī)病毒。計(jì)算機(jī)病毒攻擊網(wǎng)絡(luò)的途徑主要是通過拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等等。由于校園網(wǎng)拷貝頻繁所以病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都存在著一定的缺陷,尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此網(wǎng)絡(luò)病毒利用軟件的破綻和研制時(shí)因疏忽而留下的“后門”,大肆發(fā)起攻擊。網(wǎng)絡(luò)病毒可以突破網(wǎng)絡(luò)的安全的防御,侵入到網(wǎng)絡(luò)的主機(jī)上,導(dǎo)致計(jì)算機(jī)工作效率下降,資源遭到嚴(yán)重破壞,甚至造成網(wǎng)絡(luò)系統(tǒng)的癱瘓。
1.2.2非法軟件
一些非法軟件采用多種技術(shù)手段,強(qiáng)行或者秘密安裝,并抵制卸載;強(qiáng)行修改用戶軟件設(shè)置,如瀏覽器主頁,軟件自動(dòng)啟動(dòng)選項(xiàng),安全選項(xiàng);強(qiáng)行彈出廣告,或者其他干擾用戶占用系統(tǒng)資源行為;有侵害用戶信息和財(cái)產(chǎn)安全的潛在因素或者隱患;未經(jīng)用戶許可,或者利用用戶疏忽,或者利用用戶缺乏相關(guān)知識(shí),秘密收集用戶個(gè)人信息、秘密和隱私。非法軟件具備部分病毒和黑客特征,屬于正常軟件和病毒之間的灰色地帶。殺毒軟件一般不作處理,使其經(jīng)常破壞校園網(wǎng)安全。
1.2.3黑客
黑客侵入校園網(wǎng)計(jì)算機(jī)系統(tǒng)是造成破壞以及破壞的程序,因其主觀機(jī)不同而有很大的差別。確有一些黑客(特別是“初級(jí)”黑客),純粹出于好奇心和自我表現(xiàn)欲而闖入他人的計(jì)算機(jī)系統(tǒng)。他們可能只是窺探一下你的秘密或隱私,并不打算竊取任何住處或破壞你的系統(tǒng),危害性倒也不是很大。另有一些黑客,出于某種原因進(jìn)行泄憤、報(bào)復(fù)、抗議而侵入,篡改目標(biāo)網(wǎng)頁的內(nèi)容,羞辱對(duì)方,雖不對(duì)系統(tǒng)進(jìn)行致命性的破壞,也足以令對(duì)方傷腦筋。第三類就是惡意的攻擊、破壞了。其危害性最大,所占的比例也最大。
綜合以上大部分校園網(wǎng)絡(luò)破壞是脆弱網(wǎng)絡(luò)環(huán)境所致。服務(wù)過多、監(jiān)控不力,外部破壞、或是起于惡作劇心理的學(xué)生,加劇校園網(wǎng)的內(nèi)憂外患局面。
2威脅解決策略
2.1提高管理水平
這是解決網(wǎng)絡(luò)安全問題的所有對(duì)策中最重要的一點(diǎn)。主要包括以下幾方面的內(nèi)容:建立一個(gè)高度權(quán)威的信息安全管理機(jī)構(gòu),并不斷強(qiáng)化其權(quán)限和職能;制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全法規(guī),做到有章可循、有法可依;制定網(wǎng)絡(luò)管理員的激勵(lì)制度,促使他們提高工作熱情,加強(qiáng)工作責(zé)任心;對(duì)網(wǎng)絡(luò)管理員進(jìn)行專業(yè)知識(shí)和技能的培訓(xùn);把網(wǎng)絡(luò)信息安全的基本知識(shí)納入學(xué)校各專業(yè)教育之中;對(duì)學(xué)校教師和其他人員進(jìn)行信息安全知識(shí)普及教育;在學(xué)校的網(wǎng)站設(shè)立網(wǎng)絡(luò)安全信息欄目,網(wǎng)絡(luò)法令法規(guī)、網(wǎng)絡(luò)病毒公告、操作系統(tǒng)更新公告等,并提供常用軟件的補(bǔ)丁下載。。
2.2采用安全技術(shù)
2.2.1采用安全交換機(jī)
由于內(nèi)網(wǎng)的信息傳輸采用廣播技術(shù),數(shù)據(jù)包在廣播中很容易受到監(jiān)聽和截獲,因此需要使用安全交換機(jī),利用網(wǎng)絡(luò)分段及 VLAN的方法從物理上或邏輯上隔離網(wǎng)絡(luò)資源,以加強(qiáng)內(nèi)網(wǎng)的安全性。
2.2.2操作系統(tǒng)的安全
從終端用戶的程序到服務(wù)器應(yīng)用服務(wù)、以及網(wǎng)絡(luò)安全的很多技術(shù),都是運(yùn)行在操作系統(tǒng)上的,因此,保證操作系統(tǒng)的安全是整個(gè)安全系統(tǒng)的根本。除了不斷增加安全補(bǔ)丁之外,還需要建立一套對(duì)系統(tǒng)的監(jiān)控系統(tǒng),并建立和實(shí)施有效的用戶口令和訪問控制等制度。
2.2.3設(shè)置防火墻
防火墻的選擇應(yīng)該適當(dāng),對(duì)于高校內(nèi)部網(wǎng)絡(luò)來說,可選擇在路由器上進(jìn)行相關(guān)的設(shè)置或者購買更為強(qiáng)大的防火墻產(chǎn)品。對(duì)于幾乎所有的路由器產(chǎn)品而言,都可以通過內(nèi)置的防火墻防范部分的攻擊,而硬件防火墻的應(yīng)用,可以使安全性得到進(jìn)一步加強(qiáng)。
2.2.4信息保密防范
為了保障網(wǎng)絡(luò)的安全,也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以 Windows 為例,進(jìn)行用戶名登錄注冊,設(shè)置登錄密碼,設(shè)置目錄和文件訪問權(quán)限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設(shè)置用戶訪問級(jí)別控制,以及通過主機(jī)訪問Internet等。 同時(shí),可以加強(qiáng)對(duì)數(shù)據(jù)庫信息的保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫兩種。由于文件組織形式的數(shù)據(jù)缺乏共享性,數(shù)據(jù)庫現(xiàn)已成為網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的主要形式。由于操作系統(tǒng)對(duì)數(shù)據(jù)庫沒有特殊的保密措施,而數(shù)據(jù)庫的數(shù)據(jù)以可讀的形式存儲(chǔ)其中,所以數(shù)據(jù)庫的保密也要采取相應(yīng)的方法。電子郵件是企業(yè)傳遞信息的主要途徑,電子郵件的傳遞應(yīng)行加密處理。針對(duì)計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質(zhì)的剩磁效應(yīng)等也可以采取相應(yīng)的保密措施。
2.2.5防范計(jì)算機(jī)病毒
從病毒發(fā)展趨勢來看,現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為,變成依賴互聯(lián)網(wǎng)傳播,集電子郵件、文件傳染等多種傳播方式,融黑客木馬等多種攻擊手段為一身的廣義的“新病毒”。 因此,在網(wǎng)內(nèi)考慮防病毒時(shí)選擇產(chǎn)品需要重點(diǎn)考慮以下幾點(diǎn):防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合,不僅有傳統(tǒng)的手動(dòng)查殺與文件監(jiān)控,還必須對(duì)網(wǎng)絡(luò)層、郵件客戶端進(jìn)行實(shí)時(shí)監(jiān)控,防止病毒入侵;產(chǎn)品應(yīng)有完善的在線升級(jí)服務(wù),使用戶隨時(shí)擁有最新的防病毒能力;對(duì)病毒經(jīng)常攻擊的應(yīng)用程序提供重點(diǎn)保護(hù);產(chǎn)品廠商應(yīng)具備快速反應(yīng)的病毒檢測網(wǎng),在病毒爆發(fā)的第一時(shí)間即能提供解決方案;廠商能提供完整即時(shí)的反病毒咨詢,提高用戶的反病毒意識(shí)與警覺性,盡快地讓用戶了解到新病毒的特點(diǎn)和解決方案。
結(jié)束語:高職學(xué)院網(wǎng)絡(luò)通信安全是一個(gè)系統(tǒng)的過程,它不僅僅是軟件、硬件方面的安全,還應(yīng)該從管理者的角度加強(qiáng)安全管理和從使用者的角度加強(qiáng)安全指導(dǎo)。因此,必須強(qiáng)化高職學(xué)院校園網(wǎng)絡(luò)安全管理工作意識(shí),健全校園網(wǎng)絡(luò)通信安全管理工作體制,完善校園網(wǎng)絡(luò)安全管理工作制度,構(gòu)建校園網(wǎng)絡(luò)安全技術(shù)支持體系,建立校園網(wǎng)絡(luò)安全管理工作隊(duì)伍,營造校園網(wǎng)絡(luò)安全工作環(huán)境氛圍,確保高職學(xué)院校園網(wǎng)絡(luò)的安全運(yùn)行。
參考文獻(xiàn):
1 石淑華.《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版)》.人民郵電出版社 2008-12
2 楊麗英. 高校師德建設(shè)的問題與對(duì)策 J .中國成人教育 2008(23):88-91
關(guān)鍵詞:遠(yuǎn)程監(jiān)控;校園網(wǎng);服務(wù)器;措施
中圖分類號(hào):TP393.07 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2011) 03-0000-01
Remote Monitoring Application Research and Implementation Measures in the Campus Web Server
Zhangan Feng
(Century College of Beijing University of Posts&Telecommunications,Beijing102613,China)
Abstract:The campus network has become a campus building an important part,especially in institutions of higher learning,its importance has become increasingly prominent,not only can improve the level of school information,and to the work of teachers and students learn a big help.However,some risks unique to the network need to be concerned,which requires schools to strengthen school management and supervision of the network server.Way of using remote monitoring system to monitor the network has become an important measure of network security management,how to remote control used in the management of campus web server,is this paper's main focus.
Keywords:Remote monitoring;Campus network;Server;Measures
一、校園網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控的必要性分析
隨著整個(gè)社會(huì)網(wǎng)絡(luò)信息工程的更加普及,高校對(duì)校園網(wǎng)絡(luò)建設(shè)的工作也日益重視,在眾多的校園中,校園網(wǎng)絡(luò)的建設(shè)工作已經(jīng)初具規(guī)模,網(wǎng)絡(luò)結(jié)構(gòu)的構(gòu)建也更加復(fù)雜,服務(wù)器的數(shù)量也越來越多,特別是我國有一些高校校園結(jié)構(gòu)特殊,有下級(jí)學(xué)院或者分校,對(duì)這種情況的校園網(wǎng)絡(luò)進(jìn)行管理,就需要一個(gè)更加科學(xué)更加靈活的管理方式。利用遠(yuǎn)程監(jiān)控對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)控管理,是當(dāng)前比較常見的一種監(jiān)控方式。那么,為什么要對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)控,我們從以下幾個(gè)方面來分析:
(一)網(wǎng)絡(luò)正常運(yùn)行的管理需要
網(wǎng)絡(luò)雖然是一種虛擬的抽象存在,但是它同眾多的客觀事物一樣,正常規(guī)范的運(yùn)行也必須依賴監(jiān)督和管理。在網(wǎng)絡(luò)的運(yùn)行中,也會(huì)出現(xiàn)網(wǎng)絡(luò)擁堵、程序癱瘓、服務(wù)器異常等情況,導(dǎo)致這個(gè)校園網(wǎng)絡(luò)的運(yùn)行出現(xiàn)障礙。一旦網(wǎng)絡(luò)運(yùn)行出現(xiàn)障礙,會(huì)對(duì)學(xué)生的學(xué)習(xí),老師教學(xué)的展開,校園各項(xiàng)管理工作帶來極大地不方便,特別是當(dāng)前高校中已經(jīng)普遍實(shí)現(xiàn)了信息化管理,對(duì)網(wǎng)絡(luò)依賴的程度越來越高,如果不能保證網(wǎng)絡(luò)的通暢穩(wěn)定,就會(huì)給高校各種工作的開展帶來困難。同時(shí),這些導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定的狀況不具有可預(yù)測性,所以必須長期的靈活的關(guān)注,一旦出現(xiàn)問題立即做出反應(yīng),這是校園網(wǎng)絡(luò)要求利用遠(yuǎn)程監(jiān)控的一個(gè)重要原因。
(二)信息安全的管理需要
隨著高校信息化水平的提高,高校的各項(xiàng)數(shù)據(jù)通過網(wǎng)絡(luò)的方式進(jìn)行存儲(chǔ)和傳遞的數(shù)量越來越多。信息時(shí)代的一個(gè)重要問題就是網(wǎng)絡(luò)安全問題,在高校的網(wǎng)絡(luò)運(yùn)行中,安全管理工作同樣重要。保障高校網(wǎng)絡(luò)運(yùn)行的數(shù)據(jù)安全是利用遠(yuǎn)程監(jiān)控對(duì)校園網(wǎng)絡(luò)服務(wù)器進(jìn)行監(jiān)控的一個(gè)重要原因,因?yàn)樾@網(wǎng)絡(luò)中可能包含高校行政管理的相關(guān)方案和數(shù)據(jù)、校園發(fā)展的相關(guān)動(dòng)態(tài)、學(xué)校的文獻(xiàn)資料、圖書資料等內(nèi)容,一旦這些內(nèi)容被泄露,會(huì)對(duì)高校管理的工作帶來不必要的麻煩和損失。在當(dāng)前的社會(huì)中,由于對(duì)網(wǎng)絡(luò)安全的犯罪在法律條文和具體的執(zhí)行操作上都存有弊端,所以網(wǎng)絡(luò)安全犯罪也屢見不鮮,惡意的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取已經(jīng)成為危害信息數(shù)據(jù)安全的常見案例。通過遠(yuǎn)程監(jiān)控對(duì)校園網(wǎng)絡(luò)安全進(jìn)行管理,一是要防患與未然,做好積極的應(yīng)對(duì);二是要在情況發(fā)生以后,迅速及時(shí)的予以攔截和反擊。通過主動(dòng)和被動(dòng)兩種方式,來保證校園網(wǎng)絡(luò)的正常運(yùn)行。
(三)這是校園網(wǎng)絡(luò)群體特征的要求
校園網(wǎng)絡(luò)的一個(gè)最主要群體就是高校校園中的在校學(xué)生,學(xué)生作為網(wǎng)絡(luò)運(yùn)行的適用主體,就對(duì)整個(gè)網(wǎng)絡(luò)提出了更高的要求。遠(yuǎn)程監(jiān)控不但體現(xiàn)在監(jiān)督作用上,而且還體現(xiàn)在管理功效。對(duì)校園網(wǎng)絡(luò)進(jìn)行管理,這其中對(duì)于學(xué)生的學(xué)習(xí)而言就是要做好網(wǎng)絡(luò)運(yùn)行的時(shí)間管理分配工作,避免因?yàn)閷W(xué)生對(duì)網(wǎng)絡(luò)的過于依賴導(dǎo)致了對(duì)學(xué)業(yè)的偏廢甚至荒廢,通過外界力量的干涉,對(duì)這種不良的行為予以克制和規(guī)制,使校園網(wǎng)絡(luò)更好的為學(xué)生的學(xué)習(xí)服務(wù),盡量發(fā)揮其積極功效的一面,這是使用遠(yuǎn)程監(jiān)控對(duì)校園網(wǎng)絡(luò)服務(wù)器進(jìn)行監(jiān)管的一個(gè)重要方面。
二、校園網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控的內(nèi)容分析
校園網(wǎng)絡(luò)的遠(yuǎn)程監(jiān)控,無論是從內(nèi)容上還是功效上來看,都是一項(xiàng)極為復(fù)雜的工作。按照對(duì)校園網(wǎng)絡(luò)進(jìn)行監(jiān)控的目的來對(duì)遠(yuǎn)程監(jiān)控的內(nèi)容進(jìn)行分析,主要有以下幾個(gè)方面:
(一)對(duì)校園網(wǎng)絡(luò)運(yùn)行的區(qū)域和時(shí)間進(jìn)行監(jiān)控
很顯然,校園網(wǎng)絡(luò)是一個(gè)覆蓋范圍較大的局域網(wǎng)絡(luò),局域網(wǎng)絡(luò)的特征就是在特定的區(qū)域范圍內(nèi)能夠正常的使用該網(wǎng)絡(luò),信號(hào)或網(wǎng)絡(luò)連接器的設(shè)置比較特殊。對(duì)校園網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程監(jiān)控的首要內(nèi)容就是對(duì)校園網(wǎng)絡(luò)作為一種局域網(wǎng)的特性進(jìn)行監(jiān)督,對(duì)服務(wù)器接入的范圍進(jìn)行監(jiān)管,將范圍控制在校園運(yùn)行的范圍內(nèi),這也是保證校園網(wǎng)絡(luò)穩(wěn)定安全運(yùn)行的有一個(gè)重要內(nèi)容。另外,對(duì)校園網(wǎng)絡(luò)的運(yùn)行時(shí)間進(jìn)行管理和監(jiān)控,這是校園網(wǎng)路的特性所決定的。在當(dāng)前的高校中,很多高校的信息網(wǎng)絡(luò)為了保證學(xué)生正常的休息時(shí)間,對(duì)網(wǎng)絡(luò)的運(yùn)行也按照學(xué)生正常的作息時(shí)間來安排。例如一般高校在晚上十一點(diǎn)半以后都選擇關(guān)閉校園網(wǎng)絡(luò),避免學(xué)生因?yàn)槌撩杂诰W(wǎng)絡(luò)而出現(xiàn)的熬夜等不良現(xiàn)象的出現(xiàn)。從這點(diǎn)上來看,我們可以知道校園網(wǎng)絡(luò)的運(yùn)行,也必須為校園的學(xué)習(xí)氛圍進(jìn)行考量,畢竟高校是一個(gè)讓學(xué)生學(xué)習(xí)知識(shí),強(qiáng)大自身的一個(gè)地方,各項(xiàng)工作的開展,都必須為這一主旨思想而服務(wù),這也就決定了校園網(wǎng)絡(luò)監(jiān)管的任務(wù)和對(duì)象。
(二)對(duì)校園網(wǎng)絡(luò)進(jìn)行流量監(jiān)管
流量監(jiān)管是對(duì)網(wǎng)絡(luò)運(yùn)行進(jìn)行監(jiān)管的一個(gè)比較常用的手段,流量是考察一個(gè)網(wǎng)絡(luò)是否穩(wěn)定運(yùn)行的一個(gè)重要方面。在校園網(wǎng)絡(luò)中,對(duì)流量的監(jiān)管就更為重要。網(wǎng)絡(luò)作為一種校園的公共資源,同樣必須遵循的合理均衡的原則,但是在現(xiàn)實(shí)生活中,有很多行為非常占用流量的使用,例如利用軟件進(jìn)行一些高強(qiáng)度的下載,玩大型網(wǎng)游,一些視頻播放的加速器等,這些都是非常占用流量資源的。一個(gè)網(wǎng)絡(luò)服務(wù)器能夠提供的能量和資源始終有限,如果這些有限的資源被某一個(gè)體高強(qiáng)度的占用,那么就意味著其他個(gè)體只能少用或者不用,當(dāng)然,這種情況通常表現(xiàn)的就是網(wǎng)絡(luò)無法正常運(yùn)行。這種資源的分配不均勻,會(huì)給他人的工作和學(xué)習(xí)帶來阻礙和困擾。當(dāng)然對(duì)這種行為的規(guī)制需要靠自覺,但是我們也可以通過對(duì)流量的監(jiān)控對(duì)這種現(xiàn)象予以應(yīng)對(duì)。對(duì)于IP地址流量不正?;蛘哒f流量過于大的,管理人員可以通過技術(shù)手段對(duì)其進(jìn)行限制和規(guī)制,以此來保證整個(gè)網(wǎng)絡(luò)的有序進(jìn)行,不因某個(gè)體的行為對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行工作帶來困擾。
(三)對(duì)校園網(wǎng)絡(luò)的信息安全進(jìn)行監(jiān)管
這里所說的信息安全,與文中第一部分提到的信息安全有所區(qū)別,除了數(shù)據(jù)安全的內(nèi)容以外,信息安全的范圍應(yīng)該包含更加豐富的內(nèi)容,例如信息傳播的內(nèi)容和思想是否健康,是否會(huì)對(duì)學(xué)生的發(fā)展產(chǎn)生不良的影響。校園網(wǎng)絡(luò)的受眾群體就是廣大的學(xué)生,高校的學(xué)生在這一時(shí)期還處在自己的人生觀和價(jià)值觀形成的階段,而此時(shí),也是他們獲取大量的知識(shí)來形成個(gè)人價(jià)值觀的重要時(shí)期。網(wǎng)絡(luò)時(shí)代是一個(gè)信息高速膨脹的社會(huì),通過網(wǎng)絡(luò)可以搜索到各種各樣的新聞或者資料,積極健康的資料自然有利于學(xué)生科學(xué)價(jià)值觀的正確形成,但同時(shí)我們也應(yīng)該意識(shí)到,消極不健康的信息資料在網(wǎng)絡(luò)上大量存在也是不爭的事實(shí)。另外,網(wǎng)絡(luò)論壇、BBS、SNS社區(qū)等越來越多網(wǎng)上交流版塊已經(jīng)越來越普遍,這些已經(jīng)成為高校學(xué)生交流思想的重要原地,各大學(xué)校的BBS論壇已經(jīng)成為每一個(gè)高校文化獨(dú)特的風(fēng)景線,但是,一些不法分子,或者說別有用心的人,正是利用這些工具散播不實(shí)信息,影響學(xué)生的判斷,故意挑起事端引導(dǎo)網(wǎng)絡(luò)上的激烈爭辯。這些現(xiàn)象都是校園網(wǎng)絡(luò)監(jiān)管也應(yīng)當(dāng)關(guān)注的內(nèi)容,通過對(duì)話題的敏感度進(jìn)行篩選分析,對(duì)不良的內(nèi)容和信息予以排除,以此來保證整個(gè)校園網(wǎng)絡(luò)的健康運(yùn)行。
三、校園網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控的措施分析
(一)基于軟件的方式
這種方式既有屬于操作系統(tǒng)自帶的功能,如:Windows 2000Server所支持的終端服務(wù)以及Win-dows XP 和 Windows 2003 所支持的遠(yuǎn)程桌面等,也有一些商業(yè)軟件或第三方免費(fèi)軟件,可供選擇的軟件種類繁多。但是這些功能或軟件的應(yīng)用無一例外都是與操作系統(tǒng)本身的狀態(tài)有關(guān),當(dāng)操作系統(tǒng)由于種種原因停止響應(yīng),甚至崩潰死機(jī)的時(shí)候,遠(yuǎn)程管理也就無從談起,因此這種方式更適合作為監(jiān)控系統(tǒng)狀態(tài)、性能以及日常系統(tǒng)維護(hù)之用,實(shí)施常規(guī)性預(yù)防性的管理,而對(duì)于較為嚴(yán)重的系統(tǒng)故障和問題則無能為力。
(二)基于硬件的方式
基于硬件的遠(yuǎn)程管理技術(shù)是通過服務(wù)器內(nèi)置的硬件模塊或特殊遠(yuǎn)程管理卡來實(shí)現(xiàn),它是由專用的存儲(chǔ)控制器、以太網(wǎng)控制器以及使用單獨(dú)指令集和數(shù)據(jù)緩存的管理芯片等組成的自主管理子系統(tǒng),完全獨(dú)立于服務(wù)器的操作系統(tǒng),相對(duì)更為底層。這樣,無論服務(wù)器是否開機(jī),是否安裝有操作系統(tǒng)或者系統(tǒng)是否正常運(yùn)行,都可以使用標(biāo)準(zhǔn)的WEB瀏覽器通過網(wǎng)絡(luò)對(duì)其進(jìn)行全面的控制操作,實(shí)施遠(yuǎn)距離管理。硬件方案只需連接線材,無需逐一安裝及設(shè)定,如通常所用的KVM具備OSD工具,支持多種多計(jì)算機(jī)管理功能,再如KN9116具備畫面切割顯示的功能(Panel Array),所以硬件方案在集群式服務(wù)器遠(yuǎn)程控制管理上有著絕佳的優(yōu)勢。
(三)iLO技術(shù)
現(xiàn)在許多服務(wù)器制造廠商,如:IBM、DELL、惠普等,都有各自的服務(wù)器硬件級(jí)遠(yuǎn)程管理技術(shù)和解決方案,實(shí)現(xiàn)的方式和所用名稱可能各有不同,但在功能和原理上還是基本類似的。以惠普ProLiant服務(wù)器為例作一介紹?;萜誔roLiant服務(wù)器的集成式遠(yuǎn)程管理技術(shù)叫iLO(IntegratedLights-Out),按其使用功能可以分為標(biāo)準(zhǔn)功能和增值功能2種。普通ProLiant服務(wù)器缺省內(nèi)置的是標(biāo)準(zhǔn)功能軟件包,而其刀片式服務(wù)器則包含完整的功能軟件包。iLO的使用非常簡便,如果局域網(wǎng)內(nèi)存在DHCP服務(wù)器,用戶只需把網(wǎng)線插入服務(wù)器上的iLO網(wǎng)絡(luò)管理端口,使用服務(wù)器上的標(biāo)簽所示出廠時(shí)初始的 DNS和密碼,就可以通過標(biāo)準(zhǔn)的WEB瀏覽器進(jìn)行訪問,不需要安裝任何客戶端軟件,當(dāng)然,其中部分功能需要JVM(Java Virtual Machine)的支持。若沒有DHCP服務(wù)器,則可以通過 RBSU(ROM-Based SetupUtility)來設(shè)置相關(guān)參數(shù)。在服務(wù)器啟動(dòng)自檢過程中顯示“IntegratedLights-Out press [F8] toconfigure”時(shí),按下“F8”鍵,即可進(jìn)入iLO設(shè)置界面。因?yàn)閕LO已經(jīng)提供了工業(yè)標(biāo)準(zhǔn)的128位SSL(安全套接層)加密技術(shù)和 SSH(SecureShell)Security等一些安全措施,因此當(dāng)管理員在企業(yè)外部進(jìn)行遠(yuǎn)程訪問時(shí),既可以選擇通過防火墻端口映射或主機(jī)映射到iLO端口,也可以選擇更為安全的、通過VPN(虛擬專用網(wǎng))的方式接入內(nèi)部網(wǎng)。
參考文獻(xiàn):
[1]張榮明.基于Internet的遠(yuǎn)程監(jiān)控系統(tǒng)研究與設(shè)計(jì)[D].中國優(yōu)秀碩士學(xué)位論文全文數(shù)據(jù)庫,2007,2
[2]HP.Remote Management Strategy[Z]USA:HP Development Company,L.P.,2004
[3]HP.HP Integrated Lights-Out 1.80 User Guide[Z].USA:HP Development Company,L.P.,2005