构建安全校园网络探析.doc

构建安全校园网络探析摘要随着校园网的不断发展和应用，网络管理和安全防范问题也越来越复杂。本文主要是结合校园网管理工作的实际，从威胁校园网络安全的因素及维护网络安全的策略两个方面，对校园网络管理的安全作一分析，提出一些保障校园网络安全的策略。关键词网络；安全策略；数据；访问一、前言校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网络安全状况直接影响着学校的教学活动。然而，不少校园网络由于安全建设严重滞后，使得其在建设初期就埋下了安全隐患；投入运行后，又未建立或严格执行必要的规章制度，工作人员安全意识淡薄，疏于安全管理。上述这些现象都会导致校园网络安全危机，严重影响校园网信息数据与网络设备的正常运行。因此加强安全建设是建好、用好校园网的重要保障。本人结合几年来对校园网络建设安全管理中逐步摸索、积累的一些经验和教训，谈谈如何加强校园网络安全管理措施。二、威胁校园网安全的因素。1.操作系统的因素微软几乎垄断了我国的操作系统市场。目前，国内使用的操作系统绝大部分是微软产品，公开源程序代码的UNIX、WINDOWS和LINUX操作系统的使用率远远低于10。信息加密的核心技术，如DES、RSA等的研发过程中都可看到美国国家安全局（NSA）的身影。我国信息化建设需要的大量基础设备都依靠国外引进，引进设备中的核心芯片和系统内核逻辑程序都掌握在别人手中。这其实是很危险的。更何况这些操作系统本身就都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。2.黑客攻击的因素随着网络的迅猛发展，黑客攻击活动日益猖獗，成为当今社会关注的焦点。在中华人民共和国公共安全行业标准中，黑客的定义是：“对计算机系统进行非授权访问的人员”，这也是目前大多数人对黑客的理解。校园网在接入Internet的时候，即使有防火墙的保护，由于技术本身的局限或防火墙错误配置等原因，仍很难保证校园网不遭到黑客攻击。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具，他们只是能够灵活运用手中掌握的十分丰富的现成工具。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。3.病毒的因素通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入广域网后，为病毒进入学校大开方便之门，下载的程序和电子邮件都可能带有病毒。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响高校校园网络安全的主要因素。4.不良信息传播的因素在校园网接入Internet后，师生都可以通过校园网络进入Internet。目前Internet上各种信息良莠不齐，有关色情、暴力、邪教内容的网站泛滥。其中有些不良信息违反人类的道德标准和有关法律法规，对世界观和人生观正在形成中的学生危害非常大。如果不采取安全措施，会导致这些信息在校园内传播，侵蚀学生的心灵。5.设备受损的因素 设备破坏主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等，它们分布在整个校园内，管理起来非常困难。任何安置在不能上锁的地方的设施，都有可能被人有意或无意地损坏，这样会造成校园网络全部或部分瘫痪的严重后果。6.口令入侵的因素为管理和计费的方便，一般来说，学校为每个上网的老师和学生分配一个账号，并根据其应用范围，分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人，用不正常的手段窃取别人的口令，造成了费用管理的混乱。7.敏感服务器使用受限的因素由于财务等敏感服务器上存有大量重要数据库和文件，因担心安全性问题，不得不与校园网络物理隔离，使得应用软件不能发挥真正的作用。8.非正常途径访问或内部破坏的因素在校园内，有人为了报复而销毁或篡改人事档案记录；有人改变程序设置，引起系统混乱；有人越权处理公务，为了个人私利窃取机密数据；一些学生通过非正常的手段获取习题的答案或在考前获得考试内容，使正常的教学练习失去意义。这些安全隐患都严重地破坏了学校的管理秩序。9.技术之外的因素校园网是一个比较特殊的网络环境。随着校园网络规模的扩大，目前，大多数高校基本实现了教学科研办公上网，学生宿舍、教师家庭上网。由于上网地点的扩大，使得网络监管更是难上加难。由于高校部分学生对网络知识很感兴趣，而且具有相当高的专业知识水平，有的研究生甚至研究方向就是网络安全，攻击校园网就成了他们表现才华，实践自己所学知识的首选。其次，许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏。学校的规章制度还不够完善，还不能够有效的规范和约束学生、教工的上网行为。三、校园网络安全策略安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。1 物理安全策略 物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；确保网络设备有一个良好的电磁兼容工作环境；妥善保管备份磁带和文档资料；防止非法人员进入机房进行破坏活动。保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。2 访问控制策略。访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。通过入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等多种形式实现访问控制。3. 信息加密策略 “信息加密”在保护网络安全尤其是数据信息的安全方面有着不可替代、无可比拟的作用。信息加密技术是包括算法、协议、管理的庞大体系。加密算法是基础、密码协议是关键、密钥管理是保障。作为最核心的机密，加解密核心程序及相关程序，如登录系统、用户管理系统等在可能的情况下应自行开发。待添加的隐藏文字内容24防火墙控制策略防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用) , 用来限制外部非法(未经许可) 用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。5备份和镜像技术 用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。6网络入侵检测技术 试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。入侵检测（IntrusionDeteetion）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。7有害信息的过滤 对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。8网络安全管理规范在网络安全中，除了采用技术措施之外，制定有关规章制度，对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容，应始终贯穿于系统的安全生命周期。网络的安全管理制度应包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。 四、结束语校园网络的安全问题，不仅是设备，技术的问题，更是管理的问题。对于校园网络的管理人员来讲，一定要提高网络安全意识，加强网络安全技术的掌握，注重对学生教工的网络安全知识培训，而且更需要制定一套完整的规章制度来规范上网人员的行为。【参考文献】数据通信与计算机网络 高传善 高等教育出版社 2001年7月