李珊珊 張潤
摘要:隨著信息網(wǎng)的高速發(fā)展,每個高校都已經(jīng)擁有自己的校園網(wǎng)體系。它的覆蓋服務(wù)著學校師生的生活,學習,人事,教學,為了校園網(wǎng)的安全、本文將從安全技術(shù)的應(yīng)用與體系為校園網(wǎng)的防護提供參考。
關(guān)鍵詞:校園網(wǎng)體系;信息安全;安全體系;
引言
如今網(wǎng)絡(luò)攻擊的行為在我們的生活中無處不在,例如我們能頻繁的收到一些針對個人信息的垃圾郵件或者信息。而且一般具有計算機常識的初學者也能完成對網(wǎng)絡(luò)的攻擊,所以導(dǎo)致的各種網(wǎng)絡(luò)病毒頻繁的爆發(fā)和泛濫??上攵@網(wǎng)的信息系統(tǒng)安全面臨的局勢是十分嚴峻的,因此建立一個動態(tài)的防御體系是十分重要的。
1.校園網(wǎng)研究背景及其意義
在國際上包括國內(nèi),校園網(wǎng)其實至今都沒有一個十分準確,權(quán)威的定義。而大部份專業(yè)人士解釋為校園網(wǎng)是利用現(xiàn)代網(wǎng)絡(luò)技術(shù),多媒體技術(shù)以及Internet技術(shù)等基礎(chǔ)建立起來,可以連接學校內(nèi)部子網(wǎng)和分散于校園內(nèi)計算機的網(wǎng)絡(luò)結(jié)構(gòu)。這個結(jié)構(gòu)可以為師生提供教學、科研、綜合信息并具有交互功能和專業(yè)性很強的局域網(wǎng)絡(luò)就是校園網(wǎng)。[2]在這個校園網(wǎng)系統(tǒng)中必須有實用的軟硬件,其中一部分保證這個系統(tǒng)能運行,保證信息可以和外界進行相互交流,一部分是作為防御,堪比是這個系統(tǒng)的保護膜,這個保護膜更像生物中的細胞膜,對于有益的信息它能進行交換,對于病毒進行排斥、消滅;甚至于可以產(chǎn)生抗體。[1]
2.校園網(wǎng)中常見的安全問題:
(1)非法授權(quán)訪問:對一些網(wǎng)絡(luò)設(shè)備及其信息資源非法的進行使用或者越權(quán)使用。
(2)非法使用:非法的用戶以未授權(quán)方式使用。例如攻擊者通過猜測帳號和密碼的組合冒充他人的合法身份,然后進入計算機系統(tǒng)使用資源。還有就是盜用他人的信息獲取重要的數(shù)據(jù)或者信息。
(3)拒絕服務(wù):服務(wù)器拒絕合法用戶正常訪問信息或資源的請求。例如,攻擊者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務(wù)器不斷發(fā)起連接或請求回應(yīng),致使服務(wù)器負荷過重而不能處理合法任務(wù)。
(4)數(shù)據(jù)篡改(破壞數(shù)據(jù)完整性):攻擊者對系統(tǒng)數(shù)據(jù)或消息流進行目的般的修改、刪除、延誤、重排序及插入虛假消息等操作,破壞數(shù)據(jù)的完整性,造成數(shù)據(jù)的不準確。
(5)病毒的侵入與惡意攻擊:在進行信息交流過程中,惡意的軟件或者文件攜帶了傳播病毒或者惡意代碼。
(6)干擾系統(tǒng)的正常運行:指改變系統(tǒng)的正常運行,減慢系統(tǒng)的響應(yīng)時間等手段。
3.校園網(wǎng)的安全需求分析:
主要體現(xiàn)在以下幾個方面:
(1)攻擊防范的需求:網(wǎng)絡(luò)信息從誕生發(fā)展到現(xiàn)在,也相繼伴生出了一些協(xié)議,而TCP/IP協(xié)議(傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議)成為了當今全世界“人與人之間的牽手協(xié)議”,而由于它開放的特性,尤其是IPv4和IPv6的出現(xiàn),缺少足夠的安全特性的考慮,因此帶來很大的安全風險,例如眾所周知的IP地址被竊取、假冒、網(wǎng)絡(luò)端口掃描和拒絕服務(wù)攻擊等??梢姳仨毺峁@些攻擊行為有效的檢測和防范能力的措施。
(2)安全管理與安全技術(shù)需求:要對于訪問的內(nèi)部校園網(wǎng)進行規(guī)范化,禁止非校園用戶未經(jīng)許可訪問內(nèi)網(wǎng)的數(shù)據(jù),同時要完善QOS的技術(shù)(網(wǎng)絡(luò)能夠利用各種基礎(chǔ)技術(shù),為指定的網(wǎng)絡(luò)通信提供更好的服務(wù)能力),保證數(shù)據(jù)在安全的機制下更好的完成傳輸。同時要加強數(shù)據(jù)加密性的需求,通過網(wǎng)絡(luò)監(jiān)控與防范體系系統(tǒng)檢測數(shù)據(jù)泄密攻擊行為并及時的進行阻斷。
(3)用戶管理的需求:當校園網(wǎng)用戶接入內(nèi)部網(wǎng)絡(luò)時需要對這些用戶的網(wǎng)絡(luò)應(yīng)用行為進行管理,并采取相應(yīng)的身份信息認證步驟,確定是否是本人,同時還要對用戶的訪問資源進行限制,對網(wǎng)絡(luò)訪問行為進行控制等,避免出現(xiàn)用戶進入高危的網(wǎng)絡(luò)頁面。同時進入網(wǎng)絡(luò)頁面時可以插入相應(yīng)安全信息操作的提示。
4.校園網(wǎng)安全防護體系
(1)安全技術(shù)層:常見的安全技術(shù)和工具主要包括防火墻、安全漏洞掃描、安全評估分析、入侵檢測與取證、網(wǎng)絡(luò)陷阱、備份恢復(fù)和病毒防御等。這些工具和技術(shù)手段是網(wǎng)絡(luò)安全體系中直觀的部分,缺少任何一種都會有巨大的危險,因為網(wǎng)絡(luò)安全防范是一個整體概念。這時就需要我們在安全策略的指導(dǎo)下,統(tǒng)一規(guī)劃、分步實施。在網(wǎng)絡(luò)安全體系中它們不能簡單地堆砌,而是要合理部署,互聯(lián)互動,形成一個有機的整體。
(2)安全管理:安全管理貫穿整個安全防范體系,是安全防范體系的核心。代表了安全防范體系中人的因素。安全不是簡單的技術(shù)問題,不落實到管理,再好的技術(shù)、設(shè)備也是徒勞的。一個有效的安全防范體系應(yīng)該是以安全策略為核心,以安全技術(shù)為支,以安全管理為落實。安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術(shù)和安全策略的管理。通過安全制度的落實,獲得有效的網(wǎng)絡(luò)安全保障。
(3)用戶的培訓(xùn)與管理:最終用戶的安全意識是信息系統(tǒng)是否安全的決定因素,因此對校園網(wǎng)絡(luò)用戶的安全培訓(xùn)是整個安全體系中重要、不可或缺的一部分,通過網(wǎng)絡(luò)安全服務(wù)商,定期對貴州師范大學的網(wǎng)絡(luò)管理人員、安全管理制度、網(wǎng)絡(luò)設(shè)備進行安全巡查、技術(shù)咨詢和技術(shù)檢測,對發(fā)現(xiàn)的問題及時解決。安全服務(wù)內(nèi)容包括系統(tǒng)級安全服務(wù),應(yīng)用級安全服務(wù),客戶級應(yīng)用安全服務(wù)。
5.校園網(wǎng)防火墻部署方案設(shè)計
防火墻分為三部分
(1)網(wǎng)絡(luò)防火墻(Network Firewall):它是用于內(nèi)部網(wǎng)與外部網(wǎng)之間,以及內(nèi)部網(wǎng)各子網(wǎng)之間的防護。與傳統(tǒng)邊界式防火墻相比,它多了一種用于對內(nèi)部子網(wǎng)之間的安全防護層,這樣整個網(wǎng)絡(luò)的安全防護體系就顯得更加全面,更加可靠。不過在功能上與傳統(tǒng)的邊界式防火墻類似。
(2)主機防火墻(Host Firewall):通常采用的是純軟件產(chǎn)品,用于對網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護。這也是傳統(tǒng)邊界式防火墻所不具有的,也算是對傳統(tǒng)邊界式防火墻在安全體系方面的一個完善。它是作用在同一內(nèi)部子網(wǎng)之間的工作站與服務(wù)器之間,以確保內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全。這樣防火墻的作用不僅是用于內(nèi)部與外部網(wǎng)之間的防護,還可應(yīng)用于內(nèi)部網(wǎng)各子網(wǎng)之間、同一內(nèi)部子網(wǎng)工作站與服務(wù)器之間??梢哉f達到了應(yīng)用層的安全防護,比起網(wǎng)絡(luò)層更加徹底。[5]
6.總結(jié)
校園網(wǎng)信息安全是復(fù)雜 的系統(tǒng)工程,除了必要的硬件和技術(shù)作為有力支撐外,用戶的安全意識 不斷的提高是非 常重要的,同時建立信息安全評估和審計體系也是必要的。
參考文獻:
[1]? 袁修春.校園網(wǎng)安全防范體系.[D].西北師范大學.計算機應(yīng)用技術(shù).2005,05
[2]? 鎖志海,任煒,劉宏磊,徐墨,羅軍鋒,西安交通大學:探索“多校區(qū)”業(yè)務(wù)服務(wù)新模式,[J]中國教育網(wǎng)絡(luò),2019.09
[3]? 鄭先偉,CCERT月報:防范大數(shù)據(jù)平臺信息泄漏風險[J]. 中國教育網(wǎng)絡(luò),2019.09
[4]? 張鵬,謝曉堯,劉志杰,景鳳宣:貴州師范大學花溪校區(qū)WLAN解決方案的研究與設(shè)計[J].通信技術(shù),2013.11
[5]? 駱耀祖,葉宇風. 網(wǎng)絡(luò)管理技術(shù)[M]. 北京. 人民郵電出版社.? 2015.06
(作者單位:貴州師范大學)