公務(wù)員期刊網(wǎng) 論文中心 正文

高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理分析范文,希望能給你帶來靈感和參考,敬請閱讀。

高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理分析

摘要:網(wǎng)絡(luò)安全對于保護(hù)網(wǎng)絡(luò)和服務(wù)免受未經(jīng)授權(quán)的修改、破壞或泄露非常重要。至關(guān)重要的是,保護(hù)信息和用于交付的支持基礎(chǔ)設(shè)施必須建立在SJSU的網(wǎng)絡(luò)和文化中,以遵守“縱深防御”模式。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)定義了所有SJSU計(jì)算機(jī)和通信系統(tǒng)信息的網(wǎng)絡(luò)安全要求,目的是保護(hù)SJSU存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性。本文描述了訪問高職院校網(wǎng)絡(luò),通過網(wǎng)絡(luò)傳輸數(shù)據(jù),網(wǎng)絡(luò)授權(quán)和身份驗(yàn)證以及網(wǎng)絡(luò)管理安全威脅的控制和過程。

關(guān)鍵詞:高職院校;計(jì)算機(jī)網(wǎng)絡(luò);安全管理

1入口過濾

網(wǎng)絡(luò)從其他網(wǎng)絡(luò)接收數(shù)據(jù)包。通常,數(shù)據(jù)包將包含最初發(fā)送它的計(jì)算機(jī)的IP地址。這允許接收網(wǎng)絡(luò)中的設(shè)備知道它來自何處,允許回復(fù)路由(除其他事項(xiàng)外),除非通過或欺騙性IP地址使用IP地址。發(fā)件人IP地址可以偽造。這掩蓋了發(fā)送的數(shù)據(jù)包的來源,例如在拒絕服務(wù)攻擊中。在計(jì)算機(jī)網(wǎng)絡(luò)中,入口過濾是一種用于確保傳入數(shù)據(jù)包實(shí)際來自它們聲稱來自的網(wǎng)絡(luò)的技術(shù)。這可以用作針對各種欺騙攻擊的對策,其中攻擊者的數(shù)據(jù)包包含偽造的IP地址,使得難以找到攻擊源。此技術(shù)通常用于拒絕服務(wù)攻擊,這是入口過濾的主要目標(biāo)。一種可能的解決方案涉及實(shí)現(xiàn)中間因特網(wǎng)網(wǎng)關(guān)的使用(即,沿著路徑跟隨任何給定分組的不同網(wǎng)絡(luò)的那些服務(wù)器)過濾或拒絕任何被認(rèn)為是非法的分組。處理數(shù)據(jù)包的網(wǎng)關(guān)可能完全忽略數(shù)據(jù)包。在可能的情況下,它可能會(huì)將數(shù)據(jù)包發(fā)送回發(fā)送方,從而中繼非法數(shù)據(jù)包被拒絕的消息。主機(jī)入侵防御系統(tǒng)(HIPS)是技術(shù)工程應(yīng)用程序的一個(gè)示例,其有助于識(shí)別、預(yù)防或阻止不想要的、未預(yù)料到的或可疑的事件和入侵。任何實(shí)現(xiàn)入口過濾的路由器都會(huì)檢查它收到的IP數(shù)據(jù)包的源IP字段,如果數(shù)據(jù)包在接口所連接的IP地址塊中沒有IP地址,則丟棄數(shù)據(jù)包。在入口過濾中,如果發(fā)送它的網(wǎng)絡(luò)不應(yīng)該從始發(fā)IP地址發(fā)送數(shù)據(jù)包,則過濾進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包。如果終端主機(jī)是末節(jié)網(wǎng)絡(luò)或主機(jī),則路由器需要過濾所有IP數(shù)據(jù)包,這些IP數(shù)據(jù)包具有作為源IP的私有地址(RFC1918),bogon地址或與接口不具有相同網(wǎng)絡(luò)地址的地址。網(wǎng)絡(luò)入口過濾依賴于ISP之間的合作以實(shí)現(xiàn)互利。網(wǎng)絡(luò)入口過濾的最佳實(shí)踐由BCP38和BCP84中的互聯(lián)網(wǎng)工程任務(wù)組記錄,分別由RFC2827和3704定義。BCP84建議IP連接的上游提供商過濾從下游客戶進(jìn)入其網(wǎng)絡(luò)的數(shù)據(jù)包,并丟棄任何源地址未分配給該客戶的數(shù)據(jù)包。有許多可能的方法來實(shí)施這一政策。一種常見的機(jī)制是在客戶鏈接上啟用反向路徑轉(zhuǎn)發(fā),這將根據(jù)提供商對其客戶路線公告的路由過濾間接應(yīng)用此策略。禁止從公共互聯(lián)網(wǎng)(包括實(shí)驗(yàn)室,工作站和測試系統(tǒng))對校園臺(tái)式機(jī)、筆記本電腦和平板電腦進(jìn)行入站訪問,包括RDP和SSH。校園部門的每個(gè)信息所有者負(fù)責(zé)確保資產(chǎn)的網(wǎng)絡(luò)端口和服務(wù)具有防火墻,僅允許必要的端口和服務(wù),并且所有其他端口和服務(wù)都被阻止。信息安全辦公室每年都會(huì)對遵守情況進(jìn)行風(fēng)險(xiǎn)審查。

2安全網(wǎng)絡(luò)配置

IT服務(wù)將使用配置管理和變更控制流程主動(dòng)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全配置。IT服務(wù)將使用防火墻更改控制程序主動(dòng)管理防火墻設(shè)備的安全配置,并通過信息安全辦公室進(jìn)行審批。只應(yīng)向用戶提供對他們特別授權(quán)使用的服務(wù)的訪問權(quán)限。與ICSUAM8105保持一致,IT服務(wù)保留在發(fā)生信息安全風(fēng)險(xiǎn)時(shí)隨時(shí)阻止、隱藏、拒絕或終止其網(wǎng)絡(luò)服務(wù)的權(quán)利。部門IT團(tuán)隊(duì)?wèi)?yīng)在面向Internet的服務(wù)器停止服務(wù)時(shí)通知IT服務(wù)。IT服務(wù)可以根據(jù)需要選擇阻止已知協(xié)議或應(yīng)用程序類型(即SMTP,RDPBitTorrent,Ares)以維護(hù)安全環(huán)境。除非首先獲得信息安全官的事先批準(zhǔn),否則工作人員不得建立任何允許非校園用戶訪問校園網(wǎng)絡(luò)系統(tǒng)和信息的外部網(wǎng)絡(luò)連接。高職院校提供的網(wǎng)絡(luò)服務(wù)是在合同承運(yùn)人的基礎(chǔ)上提供的,而不是共同的運(yùn)營商。這意味著學(xué)校與用戶的關(guān)系取決于合同中的條款和條件,而不是通常適用于電話公司和相關(guān)服務(wù)提供商的法律要求。必須放置無線網(wǎng)絡(luò)接入點(diǎn),并設(shè)計(jì)覆蓋區(qū)域,以便最大限度地減少未經(jīng)授權(quán)的信號(hào)攔截的可能性。應(yīng)使用適當(dāng)?shù)纳矸蒡?yàn)證方法來控制遠(yuǎn)程用戶的訪問。不得允許使用出廠默認(rèn)設(shè)置,空白或空密碼(無字符的密碼)或不符合或超過密碼標(biāo)準(zhǔn)要求的密碼的用戶ID遠(yuǎn)程訪問任何校園計(jì)算機(jī)或網(wǎng)絡(luò)。在允許使用連接到網(wǎng)絡(luò)的校園計(jì)算機(jī)之前,所有用戶必須使用用戶ID和密碼驗(yàn)證其身份,或者通過其他方式提供相同或更高的安全性。橋接校園和外部網(wǎng)絡(luò)所需的任何診斷線路都應(yīng)得到信息安全辦公室的批準(zhǔn)。所有通過Internet在其內(nèi)部網(wǎng)絡(luò)上與SJSU計(jì)算機(jī)建立連接的用戶必須首先在采用信息安全辦公室批準(zhǔn)的擴(kuò)展用戶身份驗(yàn)證過程的防火墻上進(jìn)行身份驗(yàn)證。必須將涉及信息安全辦公室認(rèn)可的公共目錄服務(wù)用于涉及連接到互聯(lián)網(wǎng)的服務(wù)器的所有用戶認(rèn)證過程。在與校園內(nèi)部網(wǎng)絡(luò)建立連接時(shí),可以自動(dòng)掃描所有外部計(jì)算機(jī)以確定他們是否已安裝和操作足夠的安全措施。無法掃描的計(jì)算機(jī)以及未充分保護(hù)的計(jì)算機(jī)可能會(huì)被拒絕進(jìn)行網(wǎng)絡(luò)訪問。

3遠(yuǎn)程診斷和配置端口保護(hù)

應(yīng)控制對診斷和配置端口的物理和邏輯訪問。必須使用鑰匙鎖或相關(guān)措施安全地控制對所有診斷和維護(hù)端口的訪問,并與有效程序一起使用。應(yīng)在網(wǎng)絡(luò)上隔離信息服務(wù),用戶和信息系統(tǒng)組。訪問者連接必須使用與校園內(nèi)部網(wǎng)絡(luò)無連接的單獨(dú)子網(wǎng)。除非事先得到信息安全辦公室的批準(zhǔn),否則由校園管理或擁有的每個(gè)高安全性和高可靠性系統(tǒng)都必須擁有自己的專用計(jì)算機(jī)和網(wǎng)絡(luò)。通過Internet訪問的所有Web服務(wù)器都必須受到信息安全辦公室批準(zhǔn)的路由器或防火墻的保護(hù)。所有無線接入點(diǎn)必須使用信息安全辦公室批準(zhǔn)的配置,在邏輯上與校園內(nèi)部網(wǎng)絡(luò)區(qū)分開來。校園網(wǎng)絡(luò)對于高職院校各項(xiàng)工作的開展具有重要意義,因此必須采取有效措施保障校園網(wǎng)絡(luò)安全。本文對常用的校園計(jì)算機(jī)網(wǎng)絡(luò)安全管理措施進(jìn)行了總結(jié)和分析,希望進(jìn)一步提升高職院校校園網(wǎng)絡(luò)的安全性。

參考文獻(xiàn):

[1]蔡昂.高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].天津大學(xué),2012.

[2]黃清.高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全研究與分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011(20)

作者:周瑾 單位:湖南交通職業(yè)技術(shù)學(xué)院