導(dǎo)語：如何才能寫好一篇學(xué)校網(wǎng)絡(luò)安全建設(shè)，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

1.1網(wǎng)絡(luò)信息安全事件頻繁發(fā)生，給社會造成了嚴(yán)重?fù)p失

在科學(xué)技術(shù)快速發(fā)展的環(huán)境下，計算機網(wǎng)絡(luò)技術(shù)的發(fā)展步伐不斷加快，為人們的生產(chǎn)、生活帶來了極大的便利，但是隨之而來的網(wǎng)絡(luò)信息安全問題的威脅也在不斷加大，一些釣魚網(wǎng)站、黑客、木馬、間諜軟件、網(wǎng)絡(luò)漏洞攻擊等各種形式的網(wǎng)絡(luò)信息安全問題經(jīng)常出現(xiàn)。隨著社會各界對網(wǎng)絡(luò)與信息安全問題認(rèn)識的不斷提升，網(wǎng)絡(luò)信息安全問題越來越得到人們的重視，根據(jù)相關(guān)部門的統(tǒng)計，2005年一年內(nèi)我國相關(guān)部門接受的國內(nèi)外網(wǎng)絡(luò)安全事件已經(jīng)超過了12萬件，使我國計算機用戶造成了巨大的損失。

1.2高校網(wǎng)絡(luò)與信息安全實驗教學(xué)的要求

高校是國家培訓(xùn)專門技術(shù)人才的重要機構(gòu)，也是社會專業(yè)人才的主要來源，當(dāng)前我國高校網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全實驗教學(xué)硬件已經(jīng)不能滿足現(xiàn)階段網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)安全實驗教學(xué)的需求。因此為了適應(yīng)新形勢下網(wǎng)絡(luò)與信息安全的需求，高校應(yīng)該不斷加大對網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)信息安全實驗的建設(shè)，提升網(wǎng)絡(luò)信息安全實驗的硬件條件，從而更好地滿足新形勢下高校網(wǎng)絡(luò)與信息安全對實驗的需求，提升學(xué)生網(wǎng)絡(luò)信息安全的實踐能力，滿足社會發(fā)展對網(wǎng)絡(luò)信息安全人才的需求。

2、關(guān)于網(wǎng)絡(luò)與信息安全教學(xué)實驗室建設(shè)原則的分析

2.1遵循層次性原則，滿足不同層次網(wǎng)絡(luò)與信息安全課程實驗的需求

網(wǎng)絡(luò)信息安全關(guān)系到國家安全和社會發(fā)展，涉及面十分廣闊。但是，不同層次和不同專業(yè)的學(xué)生對網(wǎng)絡(luò)與信息安全專業(yè)技能和理論需求都不相同。因此，網(wǎng)絡(luò)安全實驗室的構(gòu)建要充分滿足不同層次的學(xué)生需求，讓更多層次的學(xué)生受益。

2.2提升網(wǎng)絡(luò)安全實驗室的可擴充性，滿足時展的需求

網(wǎng)絡(luò)信息技術(shù)的發(fā)展十分迅速，因此，高校網(wǎng)絡(luò)信息安全實驗室建設(shè)，應(yīng)充分考慮這一點，實驗室平臺要滿足升級、更新的需求，要跟得上時展的步伐。實驗室的構(gòu)建要保證實驗室能夠具有較強的可擴充性，從而保證高校網(wǎng)絡(luò)與信息安全實驗教學(xué)能夠滿足信息安全技術(shù)的發(fā)展趨勢，體現(xiàn)高校網(wǎng)絡(luò)與信息安全實驗教學(xué)的時代性特征。

2.3保證實驗室軟硬件設(shè)備先進性和實用性

網(wǎng)絡(luò)信息安全技術(shù)是以網(wǎng)絡(luò)通訊協(xié)議為技術(shù)基礎(chǔ)而構(gòu)建的。而當(dāng)前使用的基于IPv4的IP網(wǎng)絡(luò)正處于向IPv6轉(zhuǎn)變和過渡的過程中。這次轉(zhuǎn)變極大地提升了網(wǎng)絡(luò)信息的安全性，同時也為網(wǎng)絡(luò)計算機提供了大量的IPv6地址。針對這一系列變化，高校在網(wǎng)絡(luò)信息安全實驗室建設(shè)時，要充分考慮到實驗室設(shè)備與IPv6協(xié)議的兼容性。網(wǎng)絡(luò)信息安全實驗室建設(shè)，要在為學(xué)生提供良好實驗環(huán)境的基礎(chǔ)上，考慮學(xué)生將來的就業(yè)需求，因此，實驗室軟硬件設(shè)備必須要具有較強的先進性和實用性，從而保證實驗室能夠發(fā)揮出更大的效用。

3、關(guān)于高校網(wǎng)絡(luò)安全實驗室項目設(shè)計的分析

3.1網(wǎng)絡(luò)信息安全實驗室應(yīng)滿足高級實驗的需求

對于網(wǎng)絡(luò)信息安全專業(yè)的學(xué)生來講，他們在掌握常規(guī)的實驗基礎(chǔ)上還應(yīng)該具備較高的網(wǎng)絡(luò)信息安全技術(shù)和相關(guān)的實驗?zāi)芰Α．?dāng)前高級的實驗和技術(shù)主要包括：VPN技術(shù)和相關(guān)配置、數(shù)字證書發(fā)放的實驗、身份認(rèn)證實驗等等。數(shù)字證書發(fā)放實驗就是使用服務(wù)器網(wǎng)絡(luò)中的CA證書服務(wù)器，實現(xiàn)對實驗小組發(fā)放數(shù)字證書。通過這個實驗幫助學(xué)生有效掌握公鑰密碼運行機制以及相關(guān)技術(shù)，提升學(xué)生對數(shù)字證書的理解和使用能力。在進行數(shù)字證書認(rèn)證的過程中，以發(fā)放的數(shù)字證書作為身份的依據(jù)，完成對網(wǎng)絡(luò)服務(wù)的訪問。服務(wù)器為使用者提供相關(guān)服務(wù)之前，需要具有合法的身份才能夠獲得系統(tǒng)提供的有效服務(wù)。

3.2建設(shè)網(wǎng)絡(luò)平臺

建設(shè)網(wǎng)絡(luò)平臺是高校網(wǎng)絡(luò)與信息安全教學(xué)實驗室建設(shè)的第一步，高校在建設(shè)過程中，要在原有的實驗室基礎(chǔ)上補充一些網(wǎng)絡(luò)信息安全設(shè)備，包括每個試驗臺布置一臺防火墻，一臺IDS，在核心處布置一臺安全隔離網(wǎng)閘、一臺UTM、一臺APM應(yīng)用安全管理系統(tǒng)；高校實驗室建設(shè)人員在已經(jīng)補充好的網(wǎng)絡(luò)信息安全設(shè)備上，設(shè)置安全管理平臺，并對設(shè)備日志進行審計和分析，以便更好的對網(wǎng)絡(luò)安全設(shè)備進行控制和管理。同時，每個試驗臺可以根據(jù)情況防止IPS入侵防護系統(tǒng)和安全隔離網(wǎng)閘。

3.3為學(xué)生提供網(wǎng)絡(luò)安全創(chuàng)新實驗的平臺

信息安全方面的知識學(xué)習(xí)具有很強的實踐性，因此，信息安全專業(yè)課程的學(xué)習(xí)對信息安全實驗室的要求很高。而當(dāng)前我國高校的網(wǎng)絡(luò)信息安全教學(xué)基本都是停留在理論層面，對學(xué)生實踐能力培養(yǎng)的關(guān)注相對較少，學(xué)校的網(wǎng)絡(luò)安全實驗室條件很差，實踐課程很難高效開展，導(dǎo)致網(wǎng)絡(luò)信息安全實驗教學(xué)環(huán)節(jié)之后，學(xué)生的實踐能力較差，無法滿足社會對網(wǎng)絡(luò)信息安全的需求。因此，配備一個合格的網(wǎng)絡(luò)安全實驗室具有極其深遠(yuǎn)的意義。高校的網(wǎng)絡(luò)信息安全實驗室在完成一般實驗教學(xué)的基礎(chǔ)上，還可為更高層次學(xué)生提供創(chuàng)新實驗的機會和平臺，讓學(xué)生在現(xiàn)有軟硬件條件的基礎(chǔ)上，對當(dāng)前的軟件進行創(chuàng)新和改進，優(yōu)化軟件的效果，提升學(xué)生的網(wǎng)絡(luò)信息安全創(chuàng)新能力。

3.4全面模塊化的網(wǎng)絡(luò)安全實驗室解決方案

模塊化的網(wǎng)絡(luò)安全實驗室解決方案把防火墻設(shè)備，WEB應(yīng)用安全設(shè)備，非法信息檢測設(shè)備，輿情分析系統(tǒng)，作為一個安全有效的防御整體，架設(shè)到高校信息安全專業(yè)的實驗室中，使師生全面地對網(wǎng)絡(luò)安全的多樣性，復(fù)雜性從理論上和實際操作中得到了全方位的了解。一方面使學(xué)生畢業(yè)后真正走向網(wǎng)絡(luò)安全方向的學(xué)生不會再和現(xiàn)行的網(wǎng)絡(luò)攻擊和威脅脫節(jié)，不會單獨依靠簡單膚淺的理論知識對繁瑣復(fù)雜多樣的攻擊摸不到頭腦，另一方面可以讓學(xué)生和研究人員可以深入地了解網(wǎng)絡(luò)安全問題，加深對網(wǎng)絡(luò)原理、協(xié)議的理解，同時最重要的是在整個網(wǎng)絡(luò)安全實驗室中，實驗者通過學(xué)習(xí)可以很清楚地了解如何進行有效的網(wǎng)絡(luò)安全設(shè)計，避免網(wǎng)絡(luò)風(fēng)險的發(fā)生以及在網(wǎng)絡(luò)安全事件發(fā)生的第一時間，如何有效地解決安全問題。

參考文獻：

[1] 張衛(wèi)東，李暉，尹鈺.網(wǎng)絡(luò)安全實驗教學(xué)方法的研究[J]_實驗室研究與探索，2007（12）

[2] 容治.計算機網(wǎng)絡(luò)教學(xué)實驗環(huán)境存在的問題和改革探討[J].科技信息（科學(xué)教研），2007（21）

[3] 陳峰，沈雅婕，馮朝輝。高校網(wǎng)絡(luò)與信息安全教學(xué)實驗室建設(shè)研究[J】.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007（07）

作者簡介：

篇2

一、校園網(wǎng)絡(luò)安全體系設(shè)計的原則

網(wǎng)絡(luò)安全對校園網(wǎng)的建設(shè)至關(guān)重要，技術(shù)人員對網(wǎng)絡(luò)安全性的設(shè)計要遵循以下幾點原則:第一，安全性。它是保障網(wǎng)絡(luò)安全的首要目標(biāo)，對保護信息和網(wǎng)絡(luò)系統(tǒng)尤為關(guān)鍵，校園網(wǎng)的安全性必須要做好網(wǎng)絡(luò)體系的完備性和可擴展性。第二，可行性。校園網(wǎng)網(wǎng)絡(luò)安全體系的設(shè)計要把理論與現(xiàn)實情況相結(jié)合，降低實施的難度。第三，高效性。網(wǎng)絡(luò)安全體系主要包括軟件和硬件設(shè)施，它在運行過程中也會對校園網(wǎng)產(chǎn)生影響，所以在進行網(wǎng)絡(luò)安全設(shè)計時要考慮系統(tǒng)資源的開銷，確保整個校園網(wǎng)的正常運轉(zhuǎn)。第四，可承擔(dān)性。學(xué)校承擔(dān)著網(wǎng)絡(luò)安全體系各方面工作的代價和開銷，校園網(wǎng)的安全系統(tǒng)設(shè)計要根據(jù)學(xué)校的特點和實際承受能力而開展，沒有必要按銀行級標(biāo)準(zhǔn)來設(shè)計。

二、校園網(wǎng)絡(luò)安全建設(shè)的措施

網(wǎng)絡(luò)安全是社會各界非常關(guān)注的問題，學(xué)校在建設(shè)校園網(wǎng)絡(luò)時要充分重視和支持，依靠先進的網(wǎng)絡(luò)安全技術(shù)，保障校園網(wǎng)絡(luò)的安全。目前，校園網(wǎng)絡(luò)安全建設(shè)的主要利用的是以下幾個方面的技術(shù):

(一)防火墻技術(shù)。目前防火墻是對網(wǎng)絡(luò)系統(tǒng)進行安全保護的最常用防護措施，在社會各界的網(wǎng)絡(luò)和系統(tǒng)中被廣泛應(yīng)用。校園網(wǎng)絡(luò)管理員可以通過防火墻對網(wǎng)絡(luò)中的數(shù)據(jù)進行監(jiān)控，對于特定數(shù)據(jù)包可以方便快捷地允許或禁止其通過，同時還能監(jiān)控和記錄網(wǎng)絡(luò)中的所有事件，保證內(nèi)部網(wǎng)絡(luò)不會遭到攻擊，還能正常提供網(wǎng)絡(luò)訪問、下載等服務(wù)。校園網(wǎng)絡(luò)安全要做好防火墻設(shè)置方案，目前主要應(yīng)用的是雙宿主機網(wǎng)關(guān)、屏蔽主網(wǎng)、屏蔽子網(wǎng)三種方式，其中屏蔽子網(wǎng)在保護校園網(wǎng)安全、提高防火墻抗攻擊能力方面作用最為顯著。校園網(wǎng)防火墻的設(shè)置要遵守以下幾點原則:一是要根據(jù)校園網(wǎng)的用途和特點，正確設(shè)置安全過濾規(guī)則，防止公網(wǎng)非法訪問校園網(wǎng)絡(luò);二是要對防火墻訪問日志進行定期檢測和查看，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為和不良上網(wǎng)記錄;三是為提高防火墻管理安全性，還要加強網(wǎng)卡對防火墻的設(shè)置。

(二)防病毒技術(shù)。計算機病毒嚴(yán)重威脅著網(wǎng)絡(luò)安全，防止計算機病毒傳播不但要建立完善的管理措施，還要有病毒掃描、病毒查殺、系統(tǒng)恢復(fù)等工具和技術(shù)。學(xué)校領(lǐng)導(dǎo)、教師、學(xué)生使用電子郵件的情況比較廣泛，這就造成了計算機病毒的迅速傳播，學(xué)校信息系統(tǒng)因此受到侵害，造成了學(xué)校的嚴(yán)重?fù)p失。隨著互聯(lián)網(wǎng)的快速發(fā)展，計算機病毒的種類和傳播途徑也日益多樣化，校園網(wǎng)的防病毒工作急需建立一個多層次、立體的病毒防護體系，并依靠先進的管理系統(tǒng)防止計算機病毒的侵害。防病毒軟件在校園網(wǎng)絡(luò)安全中得到了最為廣泛的應(yīng)用，學(xué)校在對防病毒軟件進行選擇時，要充分考慮到軟件的易用性、系統(tǒng)的兼容性、對資源的占用情況及病毒查殺能力，同時還要綜合考慮軟件的價格、軟件開發(fā)商的實力等。除了安裝防病毒軟件之外，學(xué)校還要采用集中式安全管控的防毒策略，它的優(yōu)點主要體現(xiàn)在:第一，可對校內(nèi)所有聯(lián)網(wǎng)計算機進行統(tǒng)一的病毒清除;第二，具有病毒預(yù)警機制，可及時更新、升級病毒庫;第三，可在線幫助域外計算機查毒、殺毒;第四，可整合電子郵件系統(tǒng)，有效過濾病毒郵件。

(三)訪問控制技術(shù)。訪問控制技術(shù)是針對不同身份的用戶對網(wǎng)絡(luò)數(shù)據(jù)資源進行限制，防止非法用戶的入侵，保護合法用戶的權(quán)利，同時保證網(wǎng)絡(luò)數(shù)據(jù)的保密性和網(wǎng)絡(luò)系統(tǒng)的完整性。網(wǎng)絡(luò)系統(tǒng)的安全防范和保護需要重視訪問控制技術(shù)的應(yīng)用，它的應(yīng)用類型主要有三種:網(wǎng)絡(luò)訪問控制、應(yīng)用程序訪問控制和主機、操作系統(tǒng)訪問控制。做好校園網(wǎng)的訪問控制的應(yīng)用要遵循以下三個原則:一是最小特權(quán)原則，即最小化分配用戶的所需權(quán)限。這樣可以對用戶權(quán)限進行最大程度的限制，用戶只能進行權(quán)限內(nèi)的操作，越權(quán)的操作一律不被允許，只有把用戶錯誤操作的概率降到最低，才能保證系統(tǒng)最大程度上的安全。二是最小泄密原則。這一原則是在最小特權(quán)原則的基礎(chǔ)上進行的，只有分配到用戶身上的權(quán)限越小，才能保證用戶信息被竊取的越少，規(guī)避重大損失的產(chǎn)生。三是多級安全策略。用戶權(quán)限具有安全級別，若用戶強制訪問，則需其權(quán)限高于安全級別，訪問控制技術(shù)中多級安全策略的應(yīng)用可保證系統(tǒng)的安全，防止敏感資源的擴散。校園網(wǎng)的安全建設(shè)需重視訪問控制技術(shù)的應(yīng)用，保證校園內(nèi)不同角色登錄校園網(wǎng)權(quán)限的級別和差異性，防止機密信息的泄漏與擴散。

(四)網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)。計算機病毒、黑客攻擊等都會造成校園網(wǎng)信息數(shù)據(jù)的泄漏、丟失，應(yīng)用網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)可以有效保護校園網(wǎng)的重要數(shù)據(jù)信息資源。學(xué)校運用網(wǎng)絡(luò)備份設(shè)備可以對網(wǎng)絡(luò)信息資源進行集中管理，不僅可以提高網(wǎng)絡(luò)管理員的工作效率，還可以對校園網(wǎng)絡(luò)中的備份作業(yè)進行實時監(jiān)控。校園網(wǎng)運行過程中結(jié)合網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)，可以根據(jù)出現(xiàn)的問題及時對網(wǎng)絡(luò)備份策略進行修改，有效提高系統(tǒng)備份的效率。校園網(wǎng)網(wǎng)絡(luò)管理的重要環(huán)節(jié)是定時對網(wǎng)絡(luò)數(shù)據(jù)庫中的數(shù)據(jù)資源進行備份，校園網(wǎng)要建立在線網(wǎng)絡(luò)索引，保證用戶在訪問校園網(wǎng)過程中可以根據(jù)需求隨時恢復(fù)網(wǎng)絡(luò)數(shù)據(jù)文件。同時校園網(wǎng)的歸檔管理在網(wǎng)絡(luò)數(shù)據(jù)恢復(fù)和備份技術(shù)上得以實現(xiàn)，校園網(wǎng)絡(luò)管理員可以利用統(tǒng)一的數(shù)據(jù)備份和儲存格式保障網(wǎng)絡(luò)信息數(shù)據(jù)的長期保存。

(五)身份認(rèn)證和數(shù)據(jù)加密技術(shù)。身份認(rèn)證技術(shù)是指網(wǎng)絡(luò)用戶在使用計算機網(wǎng)絡(luò)時身份需要被確認(rèn)并獲得準(zhǔn)入權(quán)限的技術(shù)。在校園網(wǎng)絡(luò)中，每一個校園網(wǎng)絡(luò)使用者都需要在網(wǎng)絡(luò)管理員處獲得一個身份，憑借這個身份，網(wǎng)絡(luò)用戶在登錄校園網(wǎng)絡(luò)后需要首先輸入相應(yīng)的帳號和密碼，通過身份認(rèn)證后才被準(zhǔn)入校園網(wǎng)絡(luò)而進行查找、瀏覽、下載等活動，這對網(wǎng)絡(luò)黑客的惡意攻擊產(chǎn)生了巨大的抑制作用，從而提高了校園網(wǎng)絡(luò)的安全性。但隨著科技的快速發(fā)展，一些網(wǎng)絡(luò)攻擊者通過特殊手段進入了校園網(wǎng)絡(luò)，對用戶信息進行修改、盜竊的違法犯罪活動，這時學(xué)校就應(yīng)當(dāng)做好數(shù)據(jù)加密工作。數(shù)據(jù)加密主要是針對通信數(shù)據(jù)和路由數(shù)據(jù)而進行的加密處理，網(wǎng)絡(luò)攻擊者竊取數(shù)據(jù)之后，沒有能力對其解密，從而無法獲得有用的數(shù)據(jù)信息，這樣就保障了數(shù)據(jù)的機密性。

三、結(jié)語

篇3

關(guān)鍵詞：校園網(wǎng) 安全 防范體系

中圖分類號：TP393.18 文獻標(biāo)識碼：A 文章編號：1007-9416（2015）11-0000-00

當(dāng)今社會，網(wǎng)絡(luò)已經(jīng)成為信息傳播的主要渠道，廣泛應(yīng)用于社會的各個領(lǐng)域，但由于網(wǎng)絡(luò)的開放性、多樣性以及自身安全漏洞的存在等，網(wǎng)絡(luò)安全成為一個不可忽視的問題。信息化建設(shè)已經(jīng)成為高校重點開展的項目之一，利用網(wǎng)絡(luò)能夠加快信息處理的速度、合理優(yōu)化和配置教育資源、及時分享和獲取科研成果等[1]。

1 網(wǎng)絡(luò)安全的含義

網(wǎng)絡(luò)安全和信息安全是網(wǎng)絡(luò)信息安全的兩個組成部分。網(wǎng)絡(luò)安全主要指的是系統(tǒng)平臺層面的安全范疇，包括硬件組成、操作系統(tǒng)、軟件運行的環(huán)境、各種應(yīng)用軟件等。信息安全指的是數(shù)據(jù)通信過程中的安全保障，包括數(shù)據(jù)加密、過濾、備份等，常用的安全技術(shù)有防火墻、殺毒軟件等。

學(xué)校內(nèi)每個部門和學(xué)生都屬于校園網(wǎng)的一個用戶，每個用戶的信息都需要得到很好的保護。如何有效地管理和保護用戶的信息是校園網(wǎng)安全建設(shè)的重要問題，也是信息安全保證環(huán)節(jié)中最為重要的一環(huán)。

2 校園網(wǎng)網(wǎng)絡(luò)現(xiàn)狀

校園網(wǎng)通過校內(nèi)局域網(wǎng)互通的方式，實現(xiàn)了整個學(xué)校的教育、科研、管理的統(tǒng)一結(jié)合。校園網(wǎng)主要分為三個層次：核心層、匯聚層、接入層。核心層是整個校園網(wǎng)絡(luò)的保障，一般選用交換機等作為服務(wù)器進行數(shù)據(jù)的收發(fā)工作；接入層直接面向用戶，通過不同的VLAN進行用戶與主機的相連；匯聚層則是相當(dāng)于核心層與接入層之間的通道。目前主流的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)比較簡單，學(xué)校網(wǎng)絡(luò)中心作為校園網(wǎng)的入口，經(jīng)過一道防火墻，到達中心交換機處，再由中心交換機向四周的匯聚交換機輻射，形成一個星型拓?fù)浣Y(jié)構(gòu)。

大多數(shù)學(xué)校由于在校園網(wǎng)建設(shè)初期經(jīng)費有限，往往對網(wǎng)絡(luò)安全的建設(shè)投入不足，使得校園網(wǎng)絡(luò)在一個缺乏有效安全預(yù)警和防范措施的環(huán)境中使用，僅僅通過一個防火墻的方式來進行防范。同時沒有對用戶的網(wǎng)絡(luò)進行設(shè)置，從而導(dǎo)致病毒的傳播、網(wǎng)絡(luò)攻擊、信息竊取等安全隱患。這些隱患一旦發(fā)生，對校園網(wǎng)絡(luò)是致命的。校園網(wǎng)建設(shè)過程中面臨的主要的問題有：硬件設(shè)備簡陋、IP地址攻擊、操作系統(tǒng)漏洞。

硬件設(shè)備的優(yōu)劣關(guān)系到校園網(wǎng)內(nèi)的用戶訪問互聯(lián)網(wǎng)的速度。設(shè)備簡陋、設(shè)備技術(shù)指標(biāo)低是目前校園網(wǎng)硬件平臺的通病，學(xué)校往往為了提高用戶的訪問速度，而把防火墻設(shè)置較低的等級，這就為網(wǎng)絡(luò)建設(shè)留下了安全隱患。學(xué)校應(yīng)該加大硬件投入力度，購置多臺性能好的服務(wù)器設(shè)備，滿足廣大校園網(wǎng)用戶日益增長的網(wǎng)絡(luò)使用需求，真正做到安全、高效、便捷的網(wǎng)絡(luò)化應(yīng)用。

TCP/IP協(xié)議是互聯(lián)網(wǎng)應(yīng)用的主要傳輸協(xié)議，其用物理地址作為網(wǎng)絡(luò)節(jié)點的唯一標(biāo)識，校園網(wǎng)中一般采用DHCP 服務(wù)器技術(shù)，即是說每個節(jié)點的IP地址都是不固定的公共數(shù)據(jù)，這樣，一些不法人員就可以通過直接修改IP地址進行偽裝、冒充可信節(jié)點，在網(wǎng)絡(luò)中進行攻擊，威脅著校園網(wǎng)絡(luò)安全。

Windows系統(tǒng)目前作為學(xué)生群體的主流使用的操作系統(tǒng)，屬于 C2 級安全操作系統(tǒng)，擁有用戶標(biāo)識、身份認(rèn)證、存儲控制和審計跟蹤等功能，但其本身也存在一些安全漏洞，如果系統(tǒng)中沒有安裝高效的殺毒軟件等，很容易造成病毒的入侵并傳播，造成整個校園網(wǎng)絡(luò)的癱瘓或信息的流失。

3 信息安全防范技術(shù)

目前主流的信息安全防范技術(shù)主要有：防火墻技術(shù)、VLAN劃分、流量控制。

防火墻作為最重要的網(wǎng)絡(luò)安全設(shè)備，是一種位于兩個或多個網(wǎng)絡(luò)之間，用于控制訪問的組件集合。它通過軟件和硬件上限制沒有授權(quán)的網(wǎng)絡(luò)訪問，達到保護網(wǎng)絡(luò)和系統(tǒng)不受未知侵犯的目的。硬件上，防火墻可以是路由器、交換機或其他可提供網(wǎng)絡(luò)交互的設(shè)備，也可以這些設(shè)備的組合，它將廣域網(wǎng)和局域網(wǎng)區(qū)分開來，作為內(nèi)網(wǎng)和外網(wǎng)之間信息流通的唯一通道，通過安全設(shè)置，將內(nèi)外網(wǎng)間交互的信息進行限制和保護。管理員可以通過查詢防火墻的工作日志，了解網(wǎng)絡(luò)的使用情況。防火墻的缺點就是“防外不防內(nèi)”，如果攻擊者在內(nèi)部網(wǎng)絡(luò)中實施攻擊，防火墻是無法進行防御的，所以目前對于來自內(nèi)部網(wǎng)絡(luò)用戶的安全威脅，只能通過加強內(nèi)部管理，如用戶安全教育、定時安全檢查等方式進行規(guī)范。

VLAN 又稱虛擬局域網(wǎng)，是一種將物理網(wǎng)絡(luò)劃分成多個邏輯（虛擬）局域網(wǎng)的技術(shù)。傳統(tǒng)的局域網(wǎng)當(dāng)中，用戶可以隨意地截取同一局域網(wǎng)內(nèi)的其他計算機之間的通訊數(shù)據(jù)，這就給局域網(wǎng)的通信留下了較大的安全隱患。通過劃分VLAN，每一個虛擬局域網(wǎng)之間只能通過路由轉(zhuǎn)發(fā)而不能直接地進行數(shù)據(jù)交互，大大提高了網(wǎng)絡(luò)的安全性。同時，每個路由器可以進行單獨地設(shè)置，進而對網(wǎng)絡(luò)監(jiān)聽等一些入侵手段采取有效防范。校園網(wǎng)擁有的用戶群體比較龐大，也比較集中，比如教室、圖書館、宿舍、辦公樓等，每個區(qū)域?qū)W(wǎng)絡(luò)的使用需求以及對安全性的要求都不相同。因此，采用VLAN技術(shù)將校園網(wǎng)劃分成各個不同的局域網(wǎng)區(qū)域，滿足各個用戶群體的使用需求和相應(yīng)的安全防范設(shè)置。

校園中網(wǎng)絡(luò)使用群體較多，一般都達到數(shù)千或上萬人，網(wǎng)絡(luò)訪問速度一直是校園網(wǎng)中一個比較關(guān)注的問題。上網(wǎng)人數(shù)眾多、P2P類軟件下載使用頻繁、加之校園網(wǎng)網(wǎng)絡(luò)帶寬有限，常常會因流量負(fù)荷過大造成網(wǎng)絡(luò)阻塞，嚴(yán)重影響用戶的使用體驗效果。因此，增加流量控制設(shè)備可以作為一個較好的解決手段，通過流量管理功能合理的分配有限的帶寬資源，優(yōu)先滿足比較重要的系統(tǒng)應(yīng)用，保證其正常的運行，同時限制或過濾占用資源大的P2P下載等網(wǎng)絡(luò)應(yīng)用，降低網(wǎng)絡(luò)的負(fù)荷[2]。同時通過查詢和分析網(wǎng)絡(luò)使用過程中的流量分布情況，對一些可能發(fā)生的突況進行預(yù)控，也可以根據(jù)報告定制功能或網(wǎng)絡(luò)流量應(yīng)用管理措施，能夠大大提高網(wǎng)絡(luò)管理人員的工作效率。

4 結(jié)語

校園網(wǎng)作為一個特殊的網(wǎng)絡(luò)形態(tài)，在滿足學(xué)校教育、科研、管理工作需求的同時，也要保證學(xué)生在一個安全健康的網(wǎng)絡(luò)環(huán)境中學(xué)習(xí)。因此校園網(wǎng)的網(wǎng)絡(luò)安全建設(shè)成為整個校園信息化建設(shè)的一個重要組成部分，從技術(shù)和管理層面相結(jié)合，建立一套完善的安全管理體系和安全防范措施。

參考文獻

篇4

隨著現(xiàn)代智能感應(yīng)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等現(xiàn)代技術(shù)的飛速發(fā)展，高校傳統(tǒng)校園和智慧校園已越來越不可分割，師生教育活動已經(jīng)置身于現(xiàn)代智慧校園中，這不僅是信息技術(shù)不斷進步的結(jié)果，更是信息化深入高校發(fā)展、融入高等教育后的一種回應(yīng)。

1智慧校園內(nèi)涵

目前，iot、aiot和ai等互聯(lián)網(wǎng)教育技術(shù)在國內(nèi)已逐步得到廣泛應(yīng)用和有效普及，在國家互聯(lián)網(wǎng)+智慧教育創(chuàng)新理念的強大影響下，國內(nèi)高校出現(xiàn)了多所學(xué)校的教育跨專業(yè)領(lǐng)域教育理念智慧教育，學(xué)校的教育信息化專業(yè)教育已由傳統(tǒng)數(shù)字化教育走向?qū)I(yè)信息化和智慧教育化。在宏觀政策層面上，構(gòu)建高校校園信息化體育教學(xué)管理體系，可以為促進學(xué)校的自身發(fā)展和推進校園教育改革建設(shè)提供有力支撐，可以為高校不斷尋找自身發(fā)展的新方向。實際上在教學(xué)管理改革過程中，積極探索構(gòu)建一所智慧素質(zhì)校園，是直接促進高校師生綜合素質(zhì)不斷提高的有利驅(qū)動因素，可以做到實現(xiàn)高校不斷創(chuàng)新管理機制，不斷加強高校的教育組織管理機構(gòu)，為廣大學(xué)生家長提供優(yōu)質(zhì)全方位的素質(zhì)教育，主要包括教育學(xué)習(xí)、研究、教育、服務(wù)、管理教育文化和信息科技等領(lǐng)域內(nèi)容?！爸腔坌@”是指運用“互聯(lián)網(wǎng)+”的思維方式，結(jié)合物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)，將分散的、各自為政的學(xué)校信息化系統(tǒng)與資源整合為一個有機整體，構(gòu)建具有高度感知、協(xié)作和服務(wù)能力的新型信息化校園環(huán)境，提供網(wǎng)絡(luò)化、智能化、一體化的教學(xué)、科研、管理和服務(wù)支撐平臺，推動教育教學(xué)體制改革，提高教育教學(xué)質(zhì)量和教學(xué)效益，促進師生成長和發(fā)展。“互聯(lián)網(wǎng)+”信息時代，伴隨著現(xiàn)代物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、人工智能等各種新一代校園信息基礎(chǔ)技術(shù)的不斷出現(xiàn)及在專業(yè)校園教育中的廣泛應(yīng)用，高校專業(yè)校園教育信息化建設(shè)發(fā)展已經(jīng)進入了一個全新的發(fā)展階段，智能自動感知的校園網(wǎng)絡(luò)學(xué)習(xí)環(huán)境、云端服務(wù)平臺上的支持信息服務(wù)、大規(guī)模數(shù)據(jù)中心的智能建設(shè)、業(yè)務(wù)管理系統(tǒng)的智能集成化與整合、一站式校園信息服務(wù)入口、可視化信息展示等，使我國校園教育信息化從數(shù)字化發(fā)展階段逐步進入智慧化發(fā)展階段。

2新時代背景下高校智慧校園網(wǎng)絡(luò)安全問題

在“智慧校園”的時代背景下，校園一卡通、校園安全無線網(wǎng)絡(luò)、網(wǎng)絡(luò)安全檢測設(shè)備等被廣泛地深入應(yīng)用于大學(xué)校園環(huán)境安全建設(shè)宣傳活動中，在取得促進大學(xué)校園環(huán)境安全建設(shè)成效的同時，也給大學(xué)校園文化環(huán)境建設(shè)工作帶來了安全隱患。

2.1校園一卡通系統(tǒng)中的安全問題

校園管理網(wǎng)絡(luò)服務(wù)是我國現(xiàn)代化大學(xué)校園服務(wù)建設(shè)的一個重要組成部分，教師和在校學(xué)生可隨時通過各級校園服務(wù)網(wǎng)絡(luò)直接開展學(xué)校圖書管理借閱、成績管理查詢、信息管理登記、飲食娛樂消費等服務(wù)活動。校園網(wǎng)絡(luò)一卡通通信系統(tǒng)能否安全穩(wěn)定運行，會直接影響到全體師生的正常學(xué)習(xí)生活，是學(xué)校網(wǎng)絡(luò)通信系統(tǒng)安全規(guī)范建設(shè)重要的技術(shù)出發(fā)點和落腳點。一般而言，如果學(xué)校計算機在個人信息的收集記錄、統(tǒng)計、處理、歸檔等操作過程中一旦出現(xiàn)安全漏洞，教師和在校學(xué)生一卡通就很有可能被不法分子利用網(wǎng)絡(luò)病毒進行攻擊。計算機病毒因其具有場域性和空間聯(lián)動性，一旦學(xué)校計算機電腦控制器和系統(tǒng)硬件受到嚴(yán)重破壞，整個大學(xué)校園的網(wǎng)絡(luò)計算機安全系統(tǒng)就可能會因此受到嚴(yán)重影響，最終可能導(dǎo)致整個校園內(nèi)的網(wǎng)絡(luò)安全系統(tǒng)癱瘓。與此同時，校園一卡通也是一種學(xué)生電子貨幣，一旦受到黑客攻擊，不僅可能會直接泄露整個校園的管理系統(tǒng)信息，包括教師和學(xué)生的個人信息，還可能直接給整個校園師生造成不同程度的生命財產(chǎn)安全威脅。

2.2校園無線網(wǎng)的網(wǎng)絡(luò)安全問題

校園無線網(wǎng)以利用電磁波傳播作為學(xué)校信息網(wǎng)絡(luò)傳播的主要載體，不法分子通過借助一些專業(yè)通信設(shè)備和其他專業(yè)通信技術(shù)，可以對校園無線網(wǎng)絡(luò)連接造成一定的網(wǎng)絡(luò)干擾，從而容易產(chǎn)生非法竊聽他人信息、盜竊他人信息、篡改他人信息等不法行為;有的學(xué)校市場營銷工作人員還可以利用一些個人電腦設(shè)備或者虛擬電腦處理一些校園無線網(wǎng)絡(luò)中的熱點，創(chuàng)建網(wǎng)絡(luò)釣魚軟件網(wǎng)站，竊取網(wǎng)絡(luò)用戶的電子賬戶登錄信息、密碼驗證信息等。

2.3校內(nèi)設(shè)備的網(wǎng)絡(luò)安全問題

校園網(wǎng)絡(luò)安全技術(shù)設(shè)備配置是有效解決當(dāng)前校園網(wǎng)絡(luò)安全問題的重要技術(shù)手段，是引導(dǎo)學(xué)校深入開展校園網(wǎng)絡(luò)安全建設(shè)的關(guān)鍵。但就目前校園網(wǎng)絡(luò)安全管理設(shè)備的實際應(yīng)用而言，由于長期受到網(wǎng)絡(luò)硬件管理設(shè)備運行質(zhì)量、軟件管理系統(tǒng)工作性能及其他網(wǎng)絡(luò)相關(guān)設(shè)備配置軟件屬性等諸多因素的雙重影響，其實際使用時的安全性相對較低，工作效率不高，在整個設(shè)備運行使用過程中，容易受到各種不法分子的惡意攻擊。

2.4校園網(wǎng)絡(luò)系統(tǒng)漏洞的安全問題

“網(wǎng)絡(luò)系統(tǒng)漏洞”安全泛指一個網(wǎng)絡(luò)安全系統(tǒng)在日常設(shè)計使用過程中所不能忽視的或固有的主要缺陷，這些主要缺陷很有可能是由于網(wǎng)絡(luò)技術(shù)不斷發(fā)展卻不及時更新所導(dǎo)致的安全問題。理論上講，隨著網(wǎng)絡(luò)系統(tǒng)的不斷升級和網(wǎng)絡(luò)技術(shù)的不斷改進，網(wǎng)絡(luò)安全系統(tǒng)可能會不斷出現(xiàn)各種形式的安全漏洞。網(wǎng)絡(luò)安全漏洞的不斷產(chǎn)生，會不斷加大網(wǎng)絡(luò)病毒和其他網(wǎng)絡(luò)攻擊對系統(tǒng)的直接危害，因此，必須不斷提高系統(tǒng)的安全故障保護意識，把網(wǎng)絡(luò)安全系統(tǒng)保障維護作為一個長期的重要工作目標(biāo)去抓。當(dāng)前最常見的一種計算機操作系統(tǒng)就是Windows，在實際系統(tǒng)設(shè)計中也同樣可能存在一些缺陷，而且大多數(shù)勒索病毒都不只是針對一個Windows系統(tǒng)而設(shè)計的。例如2006年，我國第一個專門用于惡意敲詐其他用戶系統(tǒng)數(shù)據(jù)的惡意木馬病毒被警方發(fā)現(xiàn)并進行攔截，稱其代碼為“敲詐者”，該木馬病毒軟件可以在用戶系統(tǒng)文件遭到惡意攻擊并隱藏其他用戶系統(tǒng)數(shù)據(jù)后，以惡意修復(fù)系統(tǒng)文件的加密名義向其他用戶進行敲詐。在勒索病毒被警方截獲后的幾天內(nèi)，國內(nèi)成千上萬的個人計算機受到了嚴(yán)重危害，大部分的個人和事業(yè)單位也都遭受了嚴(yán)重?fù)p失。

3新時代背景下高校智慧校園網(wǎng)絡(luò)安全問題的解決策略

3.1接入層安全優(yōu)化

高校需要建立一個智慧大學(xué)校園系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控平臺，實現(xiàn)接入層對整個智慧校園系統(tǒng)的安全進行全面監(jiān)控優(yōu)化。為了有效優(yōu)化學(xué)校接入到基層學(xué)校設(shè)備的網(wǎng)絡(luò)安全性，需要從整個學(xué)校正常辦公或其他教學(xué)使用區(qū)域中自動抽取學(xué)校靜態(tài)i和ip，以有效保證學(xué)校靜態(tài)i和ip的地址唯一性，同時也要保證整個智慧校園在正常使用網(wǎng)絡(luò)過程中完全不會因?qū)W校地址的自動變化而產(chǎn)生一系列復(fù)雜的學(xué)校網(wǎng)絡(luò)安全問題。總體而言，相關(guān)端口管理人員通?？梢岳枚丝谔崛∑鬏敵龅囊粋€靜態(tài)端口ip值來過濾出一些不可靠的端口信息，配置不可靠的配置端口，將舊的配置端口設(shè)備與新的mac端口綁定。同時，相關(guān)網(wǎng)絡(luò)管理者也希望可以通過網(wǎng)絡(luò)端口配置設(shè)計來不斷提高網(wǎng)絡(luò)安全性，主要就是依靠學(xué)校相關(guān)網(wǎng)絡(luò)管理者在配置交換機網(wǎng)絡(luò)端口、mac通訊地址等方面的綜合能力合理設(shè)計，并從具體網(wǎng)絡(luò)通訊地址配置入手，不斷完善優(yōu)化整個大學(xué)校園網(wǎng)絡(luò)，最終真正達到網(wǎng)絡(luò)整體安全的效果。

3.2數(shù)據(jù)信息安全優(yōu)化

網(wǎng)絡(luò)環(huán)境下校園數(shù)據(jù)安全保護問題還需要從訪問控制、數(shù)據(jù)安全隔離、數(shù)據(jù)安全加密等多個方面對其進行深入探討，以有效保證我國校園網(wǎng)絡(luò)數(shù)據(jù)的信息完整性和數(shù)據(jù)有效性。實施虛擬數(shù)據(jù)資源隔離處理技術(shù)時，需要考慮建立一個新的虛擬數(shù)據(jù)資源庫，即系統(tǒng)用戶可將數(shù)據(jù)通過這種虛擬資源技術(shù)直接導(dǎo)入并將其存儲到一個數(shù)據(jù)共享式的物理資源數(shù)據(jù)庫中。這樣的虛擬存儲應(yīng)用環(huán)境仍然存在許多數(shù)據(jù)安全隱患，需要根據(jù)高校應(yīng)用發(fā)展需求及時采取安全隔離保護措施，對相關(guān)學(xué)校現(xiàn)有數(shù)據(jù)資源進行實時分類采集處理，以有效提高學(xué)校數(shù)據(jù)的使用安全性。并且它還要特別重視訪問控制，采用系統(tǒng)數(shù)據(jù)遠(yuǎn)程加密技術(shù)，明確不同級別用戶的系統(tǒng)訪問權(quán)限，用戶每次輸入新的用戶名、密碼后，就已經(jīng)可以實時查詢整個系統(tǒng)的相關(guān)信息。為了有效順利進行手機數(shù)據(jù)安全訪問，建立手機身份信息認(rèn)證管理平臺，加強手機用戶端的身份認(rèn)證管理，是保證數(shù)據(jù)安全訪問有序順利進行的關(guān)鍵。對于出現(xiàn)多用戶訪問情況，一般建議采用數(shù)字簽名、雙重訪問登錄身份認(rèn)證等多種技術(shù)手段來同時實現(xiàn)多個用戶的同時訪問登錄權(quán)限和用戶身份信息認(rèn)證實時管理，使多個用戶能夠同時對整個數(shù)據(jù)庫的信息安全進行實時查詢。另外，還逐步加強了對敏感數(shù)據(jù)安全加密的高度重視，可以通過數(shù)據(jù)加密技術(shù)提高手機用戶及其個人敏感數(shù)據(jù)的安全，尤其是可以保證用戶敏感數(shù)據(jù)的安全私密性，在現(xiàn)有數(shù)據(jù)被非法惡意竊取的危險情況下，保證數(shù)據(jù)的商業(yè)機密不被惡意泄露。目前我國有很多不同類型的校園數(shù)據(jù)信息加密傳輸算法，需要根據(jù)我國校園加密網(wǎng)絡(luò)使用規(guī)模和各種數(shù)據(jù)加密傳輸方式分別選擇合適的加密算法，為數(shù)據(jù)的加密傳輸和數(shù)據(jù)存儲處理提供可靠的網(wǎng)絡(luò)外部環(huán)境。

3.3云安全技術(shù)優(yōu)化

云安全技術(shù)的應(yīng)用，可以把平面變成立體。在智能校園建設(shè)中，傳統(tǒng)的殺毒軟件只對安裝在本地硬盤上的軟件程序進行殺毒，通過對病毒信息的對比分析，實現(xiàn)殺毒效果。但這種殺毒方法不能對惡意程序進行攔截處理，同時國內(nèi)還有許多手機木馬程序不能正常檢測。利用云安全識別技術(shù)，可以對多個病毒節(jié)點進行快速自動識別，在整個中國智慧大學(xué)校園網(wǎng)絡(luò)結(jié)構(gòu)中對病毒傳感器中的節(jié)點群病毒進行全方位、立體化的病毒查殺。云安全管理技術(shù)把整個智慧型的校園病毒網(wǎng)絡(luò)系統(tǒng)看作一個龐大的自動殺毒管理軟件，幾乎可以在多個病毒傳感器中的節(jié)點上同時進行自動定位，實時跟蹤采集和分析整理惡意病毒信息，防止惡意病毒在快速查殺文件過程中被漏殺。

3.4網(wǎng)絡(luò)設(shè)備安全優(yōu)化

在研究構(gòu)建現(xiàn)有智慧智能校園設(shè)備網(wǎng)絡(luò)管理系統(tǒng)時，要有計劃地定期對現(xiàn)有智能校園設(shè)備系統(tǒng)進行日常維護和更新，以有效保證校園網(wǎng)絡(luò)中智能硬件和軟件設(shè)備的正常運行，保證所有網(wǎng)絡(luò)通信設(shè)備的安全。通常用戶可考慮采取下列軟件設(shè)備安全應(yīng)急保護措施：有效減少室內(nèi)地震、火災(zāi)、洪水等自然災(zāi)害對軟件資源和相關(guān)硬件基礎(chǔ)設(shè)備的直接破壞;有效減少室內(nèi)溫度、濕度、電磁干擾和空氣灰塵對系統(tǒng)正常運行的直接影響。網(wǎng)絡(luò)設(shè)備的供電選型系統(tǒng)應(yīng)盡量選擇可靠性強、擴展性好的智能服務(wù)器，采用vvups方式供電，保證系統(tǒng)正常工作運行時也能穩(wěn)定正常供電;對于校園通信網(wǎng)絡(luò)數(shù)據(jù)中心智能交換機的系統(tǒng)設(shè)計，應(yīng)優(yōu)先綜合考慮系統(tǒng)采用三層智能交換機的技術(shù)，既能實現(xiàn)校園網(wǎng)絡(luò)間的有效相互連接，又能有效解決校園局域網(wǎng)空間劃分的問題，避免由于校園路由器運行速度過低而造成的校園通信網(wǎng)絡(luò)障礙中斷現(xiàn)象。該支持技術(shù)在我國校園網(wǎng)絡(luò)的建設(shè)中已經(jīng)得到廣泛應(yīng)用，其支持系統(tǒng)實現(xiàn)了校園網(wǎng)絡(luò)信息系統(tǒng)的實時數(shù)據(jù)共享、傳輸管理等功能；在數(shù)據(jù)存儲設(shè)備的方式選擇上，應(yīng)盡量選用穩(wěn)定性高、性能好的存儲設(shè)備，以有效保證數(shù)據(jù)實時存儲的可靠性和完整性。

篇5

【關(guān)鍵詞】校園網(wǎng)安全 威脅 防范策略 防火墻

隨著教育與科研網(wǎng)工程的快速發(fā)展，許多高校建立起自己的校園網(wǎng)絡(luò)。但與此同時，也帶來了網(wǎng)絡(luò)安全問題。建立全新校園網(wǎng)絡(luò)安全機制。保障網(wǎng)絡(luò)的安全運行，使校園網(wǎng)絡(luò)成為一個具有良好的安全性、可擴充性和易管理性的信息網(wǎng)絡(luò)。

1 校園網(wǎng)絡(luò)面臨的威脅

目前，高校校園網(wǎng)絡(luò)正處在蓬勃發(fā)展階段，網(wǎng)絡(luò)基礎(chǔ)設(shè)施有了較好的基礎(chǔ)，但網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因。在以前的網(wǎng)絡(luò)建設(shè)時期，由于意識與資金方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍都存在重技術(shù)、輕安全、輕管理的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就面臨更多的安全威脅。不完善的計算機網(wǎng)絡(luò)系統(tǒng)、潛在的強大黑客、囂張的計算機病毒、缺乏防范意識的用戶等等，都是威脅網(wǎng)絡(luò)安全的隱患。這些安全隱患一旦成為事實，所造成的對整個網(wǎng)絡(luò)的損失都是難以估計的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。

2 校園網(wǎng)絡(luò)安全的防范策略

2.1 物理安全策略

網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，應(yīng)該對場地的封閉、防火、防盜、防靜電、適當(dāng)?shù)耐L(fēng)、溫度的控制以及電源的安全等提供符合網(wǎng)絡(luò)設(shè)備要求的安全保證。還要考慮布線系統(tǒng)與照明電線、通信線路及暖氣管道之間的距離，考慮布線系統(tǒng)和絕緣線、線以及接地與焊接的安全。

2.2 制定嚴(yán)格的網(wǎng)絡(luò)安全管理制度策略

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，校園網(wǎng)的安全需要用完備的安全制度來保障。健全校園網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全的核心。成立專門負(fù)責(zé)管理信息安全的部門，制定一系列規(guī)定。這些規(guī)定應(yīng)包括：計算機網(wǎng)絡(luò)安全建設(shè)規(guī)定，計算機網(wǎng)絡(luò)安全管理規(guī)定，安全保密管理規(guī)定，機房出入管理等。選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，提高管理人員的管理技術(shù)和計算機網(wǎng)絡(luò)安全的防范意識，要從基本上保證和鞏固計算機網(wǎng)絡(luò)安全。對于使用人員來說，要加大宣傳力度，進行計算機網(wǎng)絡(luò)安全教育，提高使用人員的防范意識，保證計算機網(wǎng)絡(luò)的相對安全。

2.3 系統(tǒng)安全策略

計算機網(wǎng)絡(luò)應(yīng)用與服務(wù)的基礎(chǔ)是操作系統(tǒng)，但是不論采用什么操作系統(tǒng)，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論啊個操作系統(tǒng)，其開發(fā)廠商必然有其后門。高校校園網(wǎng)絡(luò)不但要選用盡可能可靠的操作系統(tǒng)，而且必須對操作系統(tǒng)進行安全配置。

在缺省安裝的條件下計算機系統(tǒng)都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進行相關(guān)的和嚴(yán)格的安全配置，才能達到一定的安全程度。同時采用最先進的漏洞掃描系統(tǒng)定期對網(wǎng)絡(luò)中心的網(wǎng)絡(luò)設(shè)備進行安全檢查。也要優(yōu)化操作系統(tǒng)，可以通過修正補丁，完善漏洞，加強監(jiān)控，將服務(wù)和應(yīng)用建立在安全級別較高的操作系統(tǒng)上。而且，必須加強登錄服務(wù)器過程的認(rèn)證，確保用戶的合法性，也應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其操作限制在最小的范圍內(nèi)。

2.4 防火墻安全策略

防火墻是一個系統(tǒng)或一組系統(tǒng)， 它是由一個軟件或和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)與公用的互聯(lián)網(wǎng)間執(zhí)行一定的安全策略，它實際上是一種隔離技術(shù)。在校園網(wǎng)中安全防火墻進行雙向限制，一方面限制外界用戶訪問校園內(nèi)部網(wǎng)絡(luò)，較好的防止非法用戶的入侵，一方面限制校園內(nèi)部用戶訪問外界網(wǎng)絡(luò)，通過這雙方的限制保證網(wǎng)絡(luò)的安全，就像是一道門將內(nèi)部網(wǎng)絡(luò)和外界通道進行了阻隔。

同時防火墻監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，還應(yīng)做日志登記。所以使用防火墻來保護計算機、服務(wù)器和局域網(wǎng)，使其在一定程度上避免受到攻擊并保護網(wǎng)絡(luò)資源的安全。

2.5 數(shù)據(jù)加密策略

數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破壞所采用的主要技術(shù)手段之一。數(shù)據(jù)加密技術(shù)相比防火墻來說，更加靈活，可以用以進行動態(tài)信息的保護。

在校園網(wǎng)絡(luò)系統(tǒng)中，涉及到很多重要信息，如學(xué)生成績，科研資料等，如果這些重要信息遭到竊取或破壞，它的經(jīng)濟和社會影響將是很嚴(yán)重的。對于傳輸?shù)闹匾畔?，必須采用加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔⒌臋C密性與完整性。

2.6 部署入侵檢測系統(tǒng)策略

入侵檢測系統(tǒng)是公認(rèn)的一種對抗網(wǎng)絡(luò)安全的有效方式。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，通過檢測再采用一定的方式進行阻止或封閉等。強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。

對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測。當(dāng)檢測到網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)，如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實時報警，使得學(xué)校網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。

2.7 防病毒策略

計算機病毒給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在校園網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、自動升級、病毒掃描和清除、遠(yuǎn)程報警等多種功能。殺毒時要注意使用多種殺毒軟件，尤其要安裝網(wǎng)絡(luò)殺毒軟件，結(jié)合各種查殺方式交叉清理，可以有效對抗病毒、木馬等對計算機有危害的程序。

3 總結(jié)

本文針對目前校園網(wǎng)絡(luò)中存在的主要威脅，提出一些網(wǎng)絡(luò)安全防范的措施。網(wǎng)絡(luò)安全防范策略涵蓋面廣，綜合性強，需要不斷的完善和努力。校園網(wǎng)絡(luò)安全是一個循序漸近不斷完善的過程，只有將技術(shù)和管理都重視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。

參考文獻

[1]謝暉輝.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用，電腦知識與技術(shù)，2009年第09期.

[2]李紅，薛禮.云計算與物聯(lián)網(wǎng)[J]，硅谷，2012，09：17+64.

篇6

關(guān)鍵詞： 高校；網(wǎng)絡(luò)安全管理；校園網(wǎng)；數(shù)據(jù)庫；身份認(rèn)證

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1671－7597（2012）0320149－01

校園網(wǎng)是高校基礎(chǔ)設(shè)施中重要的組成部分，也是高等學(xué)校在創(chuàng)辦國家“211”工程院校的必備條件，可見校園網(wǎng)絡(luò)安全在高校中被重視的力度，學(xué)校大力加強網(wǎng)絡(luò)安全的管理更有利于學(xué)生在日常生活中來使用網(wǎng)絡(luò)。

1 數(shù)據(jù)庫統(tǒng)一

隨著網(wǎng)絡(luò)通訊技術(shù)的發(fā)展和教育水平的逐漸提高，計算機網(wǎng)絡(luò)的應(yīng)用已不再僅僅是為了滿足學(xué)生之間的互訪以及學(xué)校信息的單獨處理，而是發(fā)展成為集局域網(wǎng)、學(xué)校系統(tǒng)管理、學(xué)校各部門之間信息傳遞等數(shù)據(jù)一體化的趨勢。

a

校園網(wǎng)絡(luò)的使用和其他企業(yè)網(wǎng)絡(luò)的使用有著很大的差別，校園網(wǎng)絡(luò)的使用有自身的獨特性與非獨性，比如在學(xué)校一些簡單的局域網(wǎng)技術(shù)就能給學(xué)生帶來不一樣方便的使用，如P2P的技術(shù)，學(xué)生在使用此技術(shù)后可以共享學(xué)習(xí)中的一些資料，以達到資料內(nèi)部共享，可以互相討論學(xué)習(xí)，就能夠更加節(jié)約時間與空間，這樣的學(xué)校效率可謂事半功倍。

在高校中管理校園網(wǎng)絡(luò)負(fù)責(zé)學(xué)校網(wǎng)絡(luò)的日常安全還可以借助各種應(yīng)用軟件，比如說，SAM安全運營管理，這個是專為教育行業(yè)而開發(fā)的一款軟件，借助這種管理平臺不僅僅能安全的實現(xiàn)學(xué)生之間以及學(xué)生與教師之間以及學(xué)校工作人員之間的緊密聯(lián)系與信息反饋，而且可以達到數(shù)據(jù)統(tǒng)一的作用，在管理和計費方面有著及其優(yōu)秀的特性，在學(xué)校采集數(shù)據(jù)及其入庫時可以通過建立專屬數(shù)據(jù)庫的防火墻以便來過濾采集時的一些垃圾信息，而且還可以阻止病毒的攻擊，非常有利于學(xué)校數(shù)據(jù)信息化的統(tǒng)一，為學(xué)校的網(wǎng)絡(luò)安全管理做出積極的貢獻。

2 身份認(rèn)證統(tǒng)一

關(guān)于高校網(wǎng)絡(luò)安全措施之一身份認(rèn)證統(tǒng)一，相信大家并不陌生，在各個學(xué)校中，學(xué)校網(wǎng)絡(luò)管理系統(tǒng)會設(shè)置學(xué)生和學(xué)校工作人員的登錄帳號，這就是為了讓師生更安全的使用校園網(wǎng)絡(luò)，而且相信大家也都知道學(xué)校的校園網(wǎng)絡(luò)有部分屬于內(nèi)部信息只提供師生在學(xué)校的局域網(wǎng)絡(luò)范圍內(nèi)使用共享，這就是為了網(wǎng)絡(luò)不受外部人員的攻擊，更又有利于網(wǎng)絡(luò)安全的管理。

學(xué)校網(wǎng)絡(luò)安全建設(shè)中統(tǒng)一身份驗證是完全有必要的，在這方面往往也要借助學(xué)校所購買的一些功能軟件，其安全性就更加能夠得到保障，很多高校在學(xué)校信息化建設(shè)中投入了很大的資金和人力，其中采購、管理、維護等方面。在學(xué)校統(tǒng)一身份認(rèn)證后，學(xué)校一系列的網(wǎng)絡(luò)建設(shè)就更加安全，如遠(yuǎn)程教育、辦公自動化、精品課堂、數(shù)字圖書館的建設(shè)都得到了保障，保障這些網(wǎng)絡(luò)應(yīng)用發(fā)揮到極致，從而在另一方面推動了學(xué)校數(shù)字化建設(shè)，讓校園網(wǎng)絡(luò)發(fā)揮到更多更大的作用，安全性大大提高，在垃圾郵件、網(wǎng)絡(luò)病毒、內(nèi)部攻擊等方面起到了遏制作用。

對于學(xué)校管理人員來講，統(tǒng)一身份認(rèn)證更加是有必要的，在其減輕工作力度上又做積極作用，據(jù)了解，在學(xué)校，校園網(wǎng)絡(luò)成為了廣大師生學(xué)習(xí)娛樂生活的重大動脈，以至于廣大校園網(wǎng)絡(luò)使用者對其產(chǎn)生依賴，在遇到一些突況后會對校園網(wǎng)絡(luò)進行惡意的批評乃至攻擊，這是因為，如今的信息時代，學(xué)生已經(jīng)完全依賴這種方便快速的生活模式，在遇到些許不便然后或大或小的對學(xué)校網(wǎng)絡(luò)進行正常的咨詢以及非正常的投訴。

在網(wǎng)絡(luò)應(yīng)用上，如新學(xué)期的網(wǎng)絡(luò)選課大家再熟悉不過，同一時間內(nèi)大量人員進行訪問校內(nèi)網(wǎng)，造成網(wǎng)絡(luò)堵塞，以至于主頁癱瘓，難以進行正常的選課，給學(xué)校管理人員帶來極大的困擾，避開高峰進行選課是最常用的方式，不過這僅僅是治標(biāo)不治本，優(yōu)化學(xué)校服務(wù)器才是王道，進行數(shù)據(jù)更新才是根本，這也是統(tǒng)一認(rèn)證給校園網(wǎng)絡(luò)帶來的困擾，事物兩面性在這里得到體現(xiàn)，不過為了更安全的使用以便不至于資源浪費，所以建議在統(tǒng)一認(rèn)證后升級系統(tǒng)服務(wù)才會跟有利校園網(wǎng)絡(luò)的建設(shè)。

3 結(jié)束語

可持續(xù)發(fā)展是網(wǎng)絡(luò)最高追求，特別是校園網(wǎng)同一個主頁同一個客服系統(tǒng)，同一個校內(nèi)公告，都是在循序漸進中完善更新，每個網(wǎng)絡(luò)服務(wù)每個平臺，校園網(wǎng)絡(luò)就更加能體現(xiàn)這一點，如何維護網(wǎng)絡(luò)正常安全運行是每一個學(xué)者都應(yīng)該去探究的科學(xué)問題，加強校內(nèi)多處站點網(wǎng)絡(luò)的監(jiān)測，購進更強大的網(wǎng)絡(luò)殺毒系統(tǒng)，就能夠近一步遏制網(wǎng)絡(luò)病毒泛濫的特性，保證網(wǎng)絡(luò)安全高效的運行。

參考文獻：

篇7

職業(yè)院校網(wǎng)絡(luò)迅速發(fā)展的同時，層出不窮的網(wǎng)絡(luò)安全問題影響了校園網(wǎng)的正常運行。為了更好地建設(shè)職業(yè)院校園網(wǎng)絡(luò)，本文在APPDRR模型的風(fēng)險分析指導(dǎo)下，從職業(yè)院校網(wǎng)絡(luò)的特點出發(fā)，探討當(dāng)前職業(yè)院校網(wǎng)絡(luò)所面臨的安全風(fēng)險。

【關(guān)鍵詞】APPDRR 風(fēng)險分析

1 引言

在國家實施科教興國戰(zhàn)略的背景下，校園網(wǎng)絡(luò)已經(jīng)成為職業(yè)院校的必備硬件基礎(chǔ)，是衡量職業(yè)院校教育現(xiàn)代化、信息化的重要標(biāo)志。目前，大多數(shù)有條件的職業(yè)院校在校園網(wǎng)硬件工程建設(shè)投入巨資。校園網(wǎng)為職業(yè)院校的教學(xué)、科研、行政辦公搭建了一個信息平臺，并產(chǎn)生了明顯的效果。

2 APPDRR網(wǎng)絡(luò)安全模型

APPDRR（全網(wǎng)動態(tài)安全理論）網(wǎng)絡(luò)安全模型是一種動態(tài)，自適應(yīng)的現(xiàn)代網(wǎng)絡(luò)安全模型，[1]即：網(wǎng)絡(luò)安全= 風(fēng)險分析+ 制定策略+ 系統(tǒng)防護+ 實時監(jiān)測+ 實時響應(yīng)+ 災(zāi)難恢復(fù)，本文是基于APPDRR模型的風(fēng)險分析指導(dǎo)下展開的。

風(fēng)險分析是APPDRR模型的重要組成部分，通過對資產(chǎn)、脆弱性和威脅，綜合評估分析網(wǎng)絡(luò)所面臨的風(fēng)險，對所發(fā)現(xiàn)的風(fēng)險提出相應(yīng)的處理意見和安全建議，并指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。

3 職業(yè)院校網(wǎng)絡(luò)風(fēng)險分析

職業(yè)院校網(wǎng)絡(luò)面臨著諸多的問題，首先是規(guī)劃建設(shè)并不是一步到位的，是經(jīng)過不斷升級改造后才形成的規(guī)模。安全設(shè)備品牌種類不一，在功能和處理能力上存差別，有的職業(yè)院校管理的重點側(cè)重于網(wǎng)絡(luò)邊界和主機安全等方面，但是在校園網(wǎng)絡(luò)的運行過程中，所出現(xiàn)的的威脅，大量集中在應(yīng)用層攻擊、網(wǎng)絡(luò)資源濫用和基于二層的網(wǎng)絡(luò)攻擊。

本文從鏈路層、網(wǎng)絡(luò)層、操作系統(tǒng)、應(yīng)用層和網(wǎng)絡(luò)管理等6個方面，對職業(yè)院校網(wǎng)絡(luò)所面臨的風(fēng)險作一個粗略的分析。

3.1 數(shù)據(jù)鏈層的安全

數(shù)據(jù)鏈層位于物理層和網(wǎng)絡(luò)層之間，數(shù)據(jù)鏈層受到的破壞會直接作用到其他各層。數(shù)據(jù)鏈層的安全隱患又容易被忽略，數(shù)據(jù)鏈層的安全問題有： MAC 地址泛洪攻擊、ARP攻擊、存取控制地址欺騙、VLAN 攻擊、VTP 攻擊和VLAN 跳躍攻擊。

3.2 網(wǎng)絡(luò)層的安全

網(wǎng)絡(luò)層處于數(shù)據(jù)鏈層和傳輸層之間，是網(wǎng)絡(luò)體系結(jié)構(gòu)中的第三層，TCP/IP 協(xié)議族中最核心的IP協(xié)議就在網(wǎng)絡(luò)層，廣泛應(yīng)用的TCP、UDP、IGMP及ICMP 數(shù)據(jù)包，都以 IP 數(shù)據(jù)報文形式傳輸。網(wǎng)絡(luò)層封裝 IP 數(shù)據(jù)包，并路由轉(zhuǎn)發(fā)，解決機器之間的通信問題。網(wǎng)絡(luò)層常見安全問題有：明文傳輸面臨的威脅、IP 地址欺騙、源路由欺騙和ICMP 攻擊。

3.3 傳輸層的安全

傳輸層在 OSI 模型中起著關(guān)鍵作用，負(fù)責(zé)端到端可靠的交換數(shù)據(jù)傳輸和數(shù)據(jù)控制。在傳輸層使用最廣泛的有兩種協(xié)議：傳輸控制協(xié)議和用戶數(shù)據(jù)報協(xié)議。傳輸層常見安全問題有：TCP"SYN"攻擊、Land 攻擊、TCP 會話劫持和端口掃描攻擊。

3.4 操作系統(tǒng)的安全

目前在職業(yè)院校，除了服務(wù)器是使用UNIX、Linux外，其它工作站基本是使用微軟操作系統(tǒng)，存在以下風(fēng)險。

（1）安全隱患的產(chǎn)生，主要是操作系統(tǒng)配置不合理，例如：沒有管理員口令，用戶弱口令，未刪除和禁用不必要的帳號，設(shè)置完全共享的目錄、沒有防病毒軟件、不合理的訪問控制，資源共享的訪問權(quán)限配置不當(dāng)?shù)取?/p>

（2）操作系統(tǒng)的正常運行需要很多系統(tǒng)服務(wù)支撐，這些系統(tǒng)服務(wù)向用戶和應(yīng)用程序提供功能接口，有些是操作系統(tǒng)正常運行必需的，有些則是不必要的。不必要的服務(wù)不僅會占用系統(tǒng)資源，還會給操作系統(tǒng)帶來安全威脅。如果用戶不知道自已的操作系統(tǒng)，哪些服務(wù)是可以訪問網(wǎng)絡(luò)的，就容易被入侵者利用。

3.5 業(yè)務(wù)應(yīng)用的安全

職業(yè)院校為了滿足科研、教學(xué)、辦公的需要，校園網(wǎng)搭建了很多網(wǎng)絡(luò)應(yīng)用系統(tǒng)，如：信息、教務(wù)管理、辦公自動化、圖書管理等。這些應(yīng)用系統(tǒng)很重要，但也存在風(fēng)險如下：

（1）身份認(rèn)證：操作系統(tǒng)和應(yīng)用系統(tǒng)為了保證安全，采取了身份認(rèn)證措施，這些機制各有特點，但是入侵者仍可以利用網(wǎng)絡(luò)竊聽、非法數(shù)據(jù)庫訪問、窮舉攻擊、重放攻擊手段獲取口令。用戶安全意識淡薄，使用系統(tǒng)默認(rèn)或者弱密碼，并且長期不改動，形同虛設(shè)。

（2）WEB 服務(wù)：WEB 服務(wù)是學(xué)校用于對外宣傳、開展網(wǎng)絡(luò)遠(yuǎn)程教學(xué)的重要手段，應(yīng)用極其普遍，使得 Web 服務(wù)經(jīng)常成為非法攻擊的首選目標(biāo)。存在的安全隱患較多，網(wǎng)頁代碼本身就存在后門和一些缺陷，比如 IIS 漏洞、ASP 的上傳漏洞、SQL 注入、緩沖區(qū)溢出等。入侵者一旦攻陷WEB 服務(wù)器，可以把WEB 服務(wù)器作為跳板，通過中間件或數(shù)據(jù)庫連接部件，非法訪問學(xué)校內(nèi)部應(yīng)用系統(tǒng)和數(shù)據(jù)庫，并可利用網(wǎng)頁腳本訪問本地文件系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)中其它資源。

（3）數(shù)據(jù)庫：數(shù)據(jù)庫是信息系統(tǒng)的核心，校園網(wǎng)內(nèi)的業(yè)務(wù)應(yīng)用依賴于各種數(shù)據(jù)庫系統(tǒng)，保證數(shù)據(jù)的安全和完整，正確配置數(shù)據(jù)庫系統(tǒng)顯得至關(guān)重要。數(shù)據(jù)庫是個復(fù)雜的系統(tǒng)。非專業(yè)人員是無法正確配置數(shù)據(jù)庫系統(tǒng)的。關(guān)系型數(shù)據(jù)庫是可從端口尋址的，通過查詢工具就可建立與數(shù)據(jù)庫的連接，例如通過 TCP1521 和 1526端口，就能侵入一個弱防護的數(shù)據(jù)庫；數(shù)據(jù)庫運行過程中，出現(xiàn)的錯誤信息，可以泄漏數(shù)據(jù)庫結(jié)構(gòu)，分析這些信息就能實施攻擊。

（4）網(wǎng)絡(luò)資源共享：為了工作方便，內(nèi)部人員經(jīng)常會使用網(wǎng)絡(luò)共享，如果沒有對資源共享，作必要的訪問控制策略，重要的數(shù)據(jù)信息，就無防護地暴露在網(wǎng)絡(luò)中。

3.6 網(wǎng)絡(luò)管理的安全

安全管理對于有一定規(guī)模的職業(yè)院校網(wǎng)絡(luò)來說是極其重要的。如果沒有相應(yīng)制度約束，就會帶來風(fēng)險：網(wǎng)絡(luò)管理人員把校園網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)的一些重要信息傳播給外人，會造成信息泄漏；密碼和密鑰管理風(fēng)險，管理員賬戶及密碼被外人竊??；在約束缺失的情況下，利用網(wǎng)絡(luò)和系統(tǒng)的弱點，實施入侵、修改、刪除數(shù)據(jù)等非法行為；審計不力或無審計，當(dāng)網(wǎng)絡(luò)受到攻擊或其它威脅時，沒有相應(yīng)的檢測、監(jiān)控、報告與預(yù)警機制。事件發(fā)生后，不能提供任何記錄，無法追蹤線索，缺乏對網(wǎng)絡(luò)的可控和可審查性。

4 結(jié)束語

綜上， 為了把職業(yè)院校網(wǎng)絡(luò)建成一個全方位、多層次的網(wǎng)絡(luò)安全防范體系，從根本上解決校園網(wǎng)絡(luò)內(nèi)外部對網(wǎng)絡(luò)安全造成的威脅，首先我們得作風(fēng)險分析，發(fā)現(xiàn)風(fēng)險，并提出相應(yīng)的意見和建議，并指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)。

參考文獻

[1]彭飛，龍敏.計算機網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2013.

篇8

關(guān)鍵詞：計算機教育；信息安全；郵件

目前，網(wǎng)絡(luò)大數(shù)據(jù)是全球信息化發(fā)展的趨勢，人們越來越依賴于電腦、手機等電子設(shè)備，隨之而來的信息在網(wǎng)絡(luò)上被竊取，用于非法的事件也不斷頻發(fā)，對保障網(wǎng)絡(luò)信息安全帶來了新的挑戰(zhàn)，愈發(fā)受到人們的重視。網(wǎng)絡(luò)信息安全不僅跟個人生活密切相關(guān)，更是國家信息戰(zhàn)略不可或缺的部分。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心的青少年上網(wǎng)行為研究報告顯示，中國青少年網(wǎng)民規(guī)模龐大，占整體網(wǎng)民的42.7%，占青少年總體的79.6%。60.1%的青少年網(wǎng)民信任互聯(lián)網(wǎng)上的信息，青少年網(wǎng)民對互聯(lián)網(wǎng)有較強的依賴性，網(wǎng)絡(luò)信息安全意識淡薄，因此，教師要從學(xué)生時代開始灌輸信息安全的重要性。網(wǎng)絡(luò)在給學(xué)生的學(xué)習(xí)和生活帶來便利的同時，也可能對其身心健康造成不良影響。如果不能讓學(xué)生認(rèn)識到網(wǎng)絡(luò)信息安全的重要性，那么，學(xué)生很可能錯誤地理解網(wǎng)絡(luò)信息安全，更可能受到網(wǎng)絡(luò)不良信息的侵害。下面就教育中的信息安全問題做個簡單的探討：

一、計算機網(wǎng)絡(luò)安全教育面臨的問題

1.學(xué)校對網(wǎng)絡(luò)信息安全教育的重視不夠

當(dāng)前大多數(shù)學(xué)校對信息網(wǎng)絡(luò)安全教育的重要性認(rèn)識不足，比起當(dāng)今網(wǎng)絡(luò)的飛速發(fā)展，學(xué)校對于網(wǎng)絡(luò)信息安全教育的認(rèn)知相對滯后。加強網(wǎng)絡(luò)信息安全教育，不僅可以讓學(xué)生的身心健康發(fā)展得到保證，也是網(wǎng)絡(luò)化社會安全的基本需求，可以最大限度地保證學(xué)生免受不良信息的侵害，避免學(xué)生因受網(wǎng)絡(luò)不良信息的引導(dǎo)而做出違法犯罪的事情，更是為國家培養(yǎng)高素質(zhì)信息安全人才提供了保障。

2.對信息安全教育的重要性認(rèn)識不足

目前，學(xué)校校園網(wǎng)絡(luò)隨著國家信息化建設(shè)的步伐，已經(jīng)逐步走上正軌。許多學(xué)校都配備了無線、有線網(wǎng)絡(luò)，使學(xué)生和老師的生活和教學(xué)更加方便。義務(wù)教育階段，學(xué)校也普遍開設(shè)信息課程，但是重視程度遠(yuǎn)遠(yuǎn)不夠，開設(shè)信息安全教育只是較為簡單的論述，導(dǎo)致學(xué)生對網(wǎng)絡(luò)信息安全的知識沒有一個系統(tǒng)的了解。學(xué)校也沒有正規(guī)、科學(xué)地把網(wǎng)絡(luò)信息安全教育納入教學(xué)計劃中。為了全面提高學(xué)生的網(wǎng)絡(luò)信息安全意識，學(xué)校應(yīng)該重視普及信息安全教育，這對加速國家網(wǎng)絡(luò)信息安全建設(shè)的進程具有十分重要意義。

3.教育方法較為落后單一

部分學(xué)校信息安全教育的教材、教育方法落后，只有老舊的理論教育，缺乏與現(xiàn)實的緊密聯(lián)系，相關(guān)信息安全的教育人才缺失也是影響教育效果的關(guān)鍵因素。學(xué)校應(yīng)該順應(yīng)信息化時代的需求挑選教材和更新教育方法，使之更加適應(yīng)當(dāng)前社會網(wǎng)絡(luò)信息安全發(fā)展的需求。

二、信息網(wǎng)絡(luò)安全的危害及其表現(xiàn)形式

1.自然災(zāi)害

計算機是一個電子設(shè)備，其使用對環(huán)境有一定的要求，受環(huán)境影響也比較大。目前大部分學(xué)校機房沒有相關(guān)的保護措施，抵御自然災(zāi)害和意外事故的能力較差。在日常學(xué)習(xí)工作中由于缺乏相關(guān)保護措施，導(dǎo)致電腦損壞、數(shù)據(jù)丟失的現(xiàn)象也時有發(fā)生。

2.“惡意”網(wǎng)絡(luò)軟件和“后門”

網(wǎng)絡(luò)世界的開放及多樣性導(dǎo)致軟件的質(zhì)量參差不齊，其安全性也沒有統(tǒng)一的機構(gòu)進行審核，犯罪分子往往利用軟件中的漏洞或缺陷攻擊或破壞計算機系統(tǒng)。另外，軟件公司的開發(fā)人員出于某種目的，會在開發(fā)的軟件代碼中留有“后門”，一般不為普通用戶所知，在特定的情況下，“后門”會被打開，其造成的影響和后果是不可估量的。2014年的“Shellshock”和美國的“棱鏡門”事件是近年來最為典型的網(wǎng)絡(luò)安全事件。

3.黑客的威脅和攻擊

自從世界第一臺計算機”ENIAC“誕生以來，網(wǎng)絡(luò)技術(shù)不斷發(fā)展，其中也包括“黑客”技術(shù)。黑客通常指在未經(jīng)他人許可的情況下，侵入他人系統(tǒng)，這是信息網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊手段一般可分為破壞性攻擊和假冒型攻擊（非破壞型攻擊）。破壞性攻擊是為了達到某種目的，侵入網(wǎng)絡(luò)電腦系統(tǒng)、盜取系統(tǒng)資料信息、破壞網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)。黑客們常用的攻擊手段有獲取口令、木馬攻擊、電子郵件攻擊的欺騙技術(shù)和尋找系統(tǒng)漏洞等，假冒型攻擊是指黑客冒用你的賬號向別人輸送信息。

4.垃圾郵件和間諜軟件

一些不法分子利用電子郵件地址的“公開性”和“可廣播性”強行給別人發(fā)送電子郵件，這些郵件一般是帶有廣告推銷性質(zhì)或是帶有惡意代碼，一旦打開郵件就可能導(dǎo)致不良后果。間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶數(shù)據(jù)。

三、加強學(xué)校信息安全教育的方法和途徑

1.建立信息安全教育體制

首先將信息安全教育歸納進學(xué)校的安全教育中，制定切實可行的信息安全教育內(nèi)容和計劃。在日常教育與教學(xué)活動中開展信息網(wǎng)絡(luò)安全教育工作。

2.增加學(xué)生信息網(wǎng)絡(luò)安全意識

網(wǎng)絡(luò)提供了求知學(xué)習(xí)的廣闊空間，使學(xué)習(xí)能夠不受空間和時間的限制，這對學(xué)生的學(xué)習(xí)有著巨大在幫助作用。在網(wǎng)絡(luò)上學(xué)生能夠接觸到更多的知識，但是學(xué)生對這些信息缺乏辨別能力，自身的安全意識和對網(wǎng)絡(luò)的自律能力不足，容易受到不良信息誘惑，使其人生觀、價值觀發(fā)生轉(zhuǎn)變。因此，教師要注重培養(yǎng)學(xué)生的信息安全意識，使他們既能保護自己的信息，又能抵制進行網(wǎng)絡(luò)犯罪，共創(chuàng)安全和諧信息網(wǎng)絡(luò)環(huán)境。

3.加強信息安全的教學(xué)實踐

信息安全不僅僅要進行理論學(xué)習(xí)，更要強化學(xué)生的實踐環(huán)節(jié)，廣泛組織以《青少年網(wǎng)絡(luò)文明公約》為主題的各項活動，積極引導(dǎo)學(xué)生養(yǎng)成正確的網(wǎng)絡(luò)觀，豎立信息網(wǎng)絡(luò)正能量，提高學(xué)生適應(yīng)信息化社會的能力，使學(xué)生能夠勇于直面網(wǎng)絡(luò)的善與惡，投入到建設(shè)安全網(wǎng)絡(luò)的實踐中去。

參考文獻：

篇9

隨著教育網(wǎng)基礎(chǔ)建設(shè)的逐步完成，其構(gòu)成的信息化高速公路在學(xué)校教學(xué)、科研、管理和對外交流等多方面扮演著越來越重要的角色。

楊浦區(qū)早在1996年就成立了區(qū)教育信息中心，并將其建成了連接各校園網(wǎng)的門戶站點，校際共享的教育教學(xué)的資料庫，教育行政部門管理的網(wǎng)絡(luò)中心。

全區(qū)中小學(xué)信息中心網(wǎng)絡(luò)實現(xiàn)24小時開通，建立了全區(qū)中小學(xué)電子郵件系統(tǒng)，通知、提示、文件全部網(wǎng)上運行，加快了信息的傳遞速度，提高了工作效率。分批推進校園網(wǎng)建設(shè)，實施“校校通”工程，做到“線路通、資源通、應(yīng)用通”。

但是，數(shù)字化技術(shù)的大量應(yīng)用，也使惡意和非惡意性的侵害和攻擊行為發(fā)生的可能性大大提高，如何保障信息系統(tǒng)安全、優(yōu)良的運行，實行高效、及時的管理?同時維護也成為重點考慮的問題。

楊浦區(qū)教育信息系統(tǒng)是教育行業(yè)內(nèi)發(fā)展快、基礎(chǔ)架構(gòu)完善的網(wǎng)絡(luò)，承載著整個區(qū)的網(wǎng)絡(luò)教育以及教職員的研究項目的任務(wù)。由于網(wǎng)絡(luò)系統(tǒng)比較出名，容易招致黑客的惡意攻擊。

每當(dāng)攻擊導(dǎo)致網(wǎng)絡(luò)出現(xiàn)故障時，學(xué)生將無法完成自己的課堂作業(yè)，教職人員無法進行自己的研究項目，行政管理人員則無法完成日常的管理任務(wù)。攻擊也會給網(wǎng)絡(luò)小組造成極大的麻煩，此外，學(xué)校還必須投入數(shù)十萬元的資金用于恢復(fù)網(wǎng)絡(luò)。

如何尋求新的解決方案給網(wǎng)絡(luò)安全再上一道門。那么，什么樣的門才能實現(xiàn)這個功能呢?防火墻的目標(biāo)是用于網(wǎng)絡(luò)訪問控制，對于黑客使用緩沖區(qū)溢出等應(yīng)用或攻擊OS弱點無能為力。

另外，對于通過郵件傳播的蠕蟲病毒，防火墻也無法阻擋。而且，黑客的攻擊都是利用防火墻允許通過的協(xié)議發(fā)起的針對主機漏洞的攻擊。IDS只能是被動的報警，有時候還有相當(dāng)大的漏報和誤報現(xiàn)象發(fā)生。

最終，IPS(入侵防護系統(tǒng))吸引了信息中心同事們的注意。他們發(fā)現(xiàn)，IPS不僅具有IDS的預(yù)警功能，而且，還可以在報警的同時，截獲惡意的數(shù)據(jù)包，實現(xiàn)主動防御。

通過對防火墻、IDS以及IPS等安全工具的優(yōu)劣勢進行比較分析，楊浦區(qū)教育信息中心的技術(shù)人員都覺得IPS是最佳的選擇，于是，他們決定引進IPS系統(tǒng)。

通過多家公司的產(chǎn)品測試，最后決定購買McAfee的設(shè)備。McAfee具有全面的安全產(chǎn)品，如防病毒、病毒網(wǎng)關(guān)、入侵防護以及安全風(fēng)險管理。目前主要是解決網(wǎng)絡(luò)安全事情，特別是蠕蟲和非法攻擊。經(jīng)過嚴(yán)格的測試和對比，最后決定選擇McAfee Intrushield 2600。

McAfee Intmshield 2600可同時以In-Line的方式防護四條鏈路，做到對網(wǎng)絡(luò)入侵攻擊的實時阻斷。提供一對千兆端口和三對百兆快速以太網(wǎng)端口，吞吐量高達600Mb／s，不僅滿足了楊浦區(qū)教育信息中心的現(xiàn)有網(wǎng)絡(luò)需求，并且為信息中心網(wǎng)絡(luò)今后的擴展提供了很大空間。

同時，可以根據(jù)楊浦區(qū)教育城局域的需求，在McAfee Intrushield2600上針對VLAN和CIDR設(shè)定虛擬IPS，以做到更進一步的細(xì)致防護，確保整個楊浦區(qū)教育城域網(wǎng)網(wǎng)絡(luò)的安全。

在安全系統(tǒng)中，將McAfee Intrushield 2600的一對檢測防護端口以In-Line的方式串接在核心交換機和鏈路負(fù)載均衡設(shè)備Radware LinkProof之間，以做到實時的阻斷整個楊浦區(qū)教育城域網(wǎng)內(nèi)網(wǎng)對外網(wǎng)及外網(wǎng)對內(nèi)網(wǎng)的入侵攻擊。

一對檢測防護端口同樣以In-Line的方式串接在核心交換機和電信MPLSVPN接入之間，以做到實時的阻斷內(nèi)部網(wǎng)絡(luò)中各學(xué)校對信息中心應(yīng)用服務(wù)器群的入侵攻擊，有效的保護信息中心的安全。

MsAfee IntruShield能夠通過先進的簽名檢測、異常檢測以及DoS攻擊檢測來預(yù)防各種各樣的攻擊，其先進的功能也使楊浦區(qū)教育信息中心的工作人員受益匪淺。自從部署了McAfee IntruShield以后，楊浦區(qū)教育城域網(wǎng)被攻擊的次數(shù)顯著降低了。

加油IC卡：防毒也“加油”

文　斌

如今80％的病毒通過電子郵件進行傳播，那么加油IC卡系統(tǒng)是如何對整個防病毒系統(tǒng)進行集中管理，如何在網(wǎng)關(guān)處就將帶病毒的電子郵件掃除門外?

中國石化加油IC卡系統(tǒng)是中國石化集團公司與銀行合作開展的跨系統(tǒng)、跨地區(qū)的特大型IC卡應(yīng)用項目。

IC卡系統(tǒng)通過以現(xiàn)代支付工具IC卡取代傳統(tǒng)的現(xiàn)金、油票等結(jié)算，實現(xiàn)加油款的電子支付和交易數(shù)據(jù)的自動采集，在各級石油公司和加油站建設(shè)零售業(yè)務(wù)管理信息系統(tǒng)，以高科技的經(jīng)營管理和服務(wù)提高工作效率、降低經(jīng)營成本，使企業(yè)在市場競爭中處于有利的地位。

項目的建設(shè)不僅為開展油品電子商務(wù)業(yè)務(wù)奠定基礎(chǔ)，也有利于逐步以加油卡這一現(xiàn)代金融工具替代傳統(tǒng)的現(xiàn)金、油票結(jié)算，同時采用銀企合作方式建設(shè)通用加油卡系統(tǒng)，也為國有商業(yè)銀行開辟了新的業(yè)務(wù)領(lǐng)域和新的服務(wù)市場。由于中國石化加油IC卡系統(tǒng)需要完成各種交易信息的傳送和處理，因此，確保系統(tǒng)的安全可靠至關(guān)重要。

全方位保護系統(tǒng)

為了全面實現(xiàn)“中國石化加油Ic卡防病毒管理系統(tǒng)”的目標(biāo)，最大限度地防范病毒危害，在建立“中國石化加油IC卡防病毒管理系統(tǒng)”時，針對網(wǎng)絡(luò)構(gòu)造和應(yīng)用環(huán)境的實際情況，采用McAfee Active Virus Defense(AVD)和McAfee安全網(wǎng)關(guān)解決方案。

建立全方位的、統(tǒng)一完整的加油IC卡防病毒系統(tǒng)，從桌面客戶端、服務(wù)器、群件以及網(wǎng)關(guān)上進行全方位、多層次的整體防護，并通過McAfee AVD的核心產(chǎn)品ePolicy Orchestrator(ePO)對整個防病毒系統(tǒng)進行集中管理，分級控制，確保保護整個企業(yè)網(wǎng)絡(luò)遠(yuǎn)離各種病毒攻擊。

針對桌面客戶端的防病毒產(chǎn)品VirusScan，VirusScan支持多種操作系統(tǒng)，從而能夠?qū)ψ顝V大的用戶群提供支持，同時集成了一些功能強大的輔助技術(shù)，可以自動地保護系統(tǒng)免于崩潰和數(shù)據(jù)的意外丟失。

針對服務(wù)器的防病毒產(chǎn)品NetShield，NetShield支持Novell、Win NT、Win2000S和NetApp等多種操作系統(tǒng)，能夠從一個直觀的控制臺保護整個企業(yè)的文件、應(yīng)用程序和群件服務(wù)器，方便地從本地服務(wù)器或工作站監(jiān)測、配置和執(zhí)行遠(yuǎn)程服務(wù)。

分別專門針對Lotus Domino和Microsoft Exchange群件環(huán)境的防病毒產(chǎn)品GroupShield for Domino和GroupShield for Exchange。

傳統(tǒng)的反病毒產(chǎn)品并不能對專有數(shù)據(jù)庫內(nèi)部以及群件環(huán)境中使用的通信進行掃 描，但群件服務(wù)器級的病毒防護功能對于企業(yè)防止病毒的擴散是十分重要的。應(yīng)用了McAfee高級掃描技術(shù)的GroupShield能夠有效防止病毒在信息傳遞過程中發(fā)作，在病毒擴散到網(wǎng)絡(luò)其他部分時有效地將其查殺。

VirusScan防范多威脅

VirusScan Enterprise 8．Oi使得用戶和管理員能夠從容應(yīng)對最常見的潛在惡意軟件程序，包括蠕蟲、間諜軟件以及廣告軟件。

VirusScan Enterprise 8．Oi擴展了對新類型惡意代碼的檢測功能，這就意味著它能夠為企業(yè)的敏感信息和資產(chǎn)提供更有效、更強大的保護。該產(chǎn)品在初始配置情況下能夠預(yù)防約200多種最具危險性的潛在惡意程序，用戶還可以按照計劃在潛在惡意程序安全列表中添加新發(fā)現(xiàn)的惡意程序。

網(wǎng)關(guān)攔截病毒

電子郵件已經(jīng)成為計算機病毒傳播的主要媒介，據(jù)統(tǒng)計，80％的病毒通過電子郵件進行傳播。

如果能夠在網(wǎng)關(guān)處就開始對電子郵件進行掃描，在病毒進入網(wǎng)絡(luò)之前就將其截住，從而將對關(guān)鍵業(yè)務(wù)系統(tǒng)可能造成的危害減到最低。

McAfee安全網(wǎng)關(guān)全面集成了軟硬件技術(shù)的防病毒硬件設(shè)備。利用McAfee安全網(wǎng)關(guān)，企業(yè)用戶能夠?qū)Τ鋈刖W(wǎng)絡(luò)的電子郵件、HTTP數(shù)據(jù)與FTP數(shù)據(jù)進行掃描以搜尋病毒信號。一旦偵探到病毒信號，能夠?qū)⑵淝宄?、阻止或隔離該信息或數(shù)據(jù)。

中國石化加油IC卡系統(tǒng)是中國石化集團公司的重要系統(tǒng)，整個系統(tǒng)的穩(wěn)定性直接影響著業(yè)務(wù)的發(fā)展。自從利用McAfee構(gòu)建起全面防病毒系統(tǒng)后，整個系統(tǒng)運行穩(wěn)定，實現(xiàn)了全方位的病毒防護，確保了整個系統(tǒng)免遭病毒的攻擊和危害，保障了業(yè)務(wù)的順利發(fā)展。

SOC建設(shè)劍指金融安全

劉　巖

安全管理已經(jīng)被業(yè)界所認(rèn)可，那么如何將這些管理上的制度和規(guī)范落實，將這些安全管理目標(biāo)真正用技術(shù)手段加以控制?

正如ISO 17799國際標(biāo)準(zhǔn)所強調(diào)的，“信息安全是管理的過程，而不能僅僅考慮技術(shù)因素?！彪S著信息技術(shù)的發(fā)展，金融領(lǐng)域的科技工作重點已經(jīng)由網(wǎng)絡(luò)建設(shè)、數(shù)據(jù)大集中、安全基礎(chǔ)設(shè)施建設(shè)，發(fā)展到安全管理的階段。

那么如何才能更加體系化、流程化、平臺化的進行信息安全管理系統(tǒng)的建設(shè)呢?

從BS7799談起

由英國標(biāo)準(zhǔn)協(xié)會(BSI)在1999年首次提出的BS7799安全管理標(biāo)準(zhǔn)，2000年正式成為ISO／IEC 17799，并于2005年發(fā)展為最新版本ISO／IEC 27001。

該標(biāo)準(zhǔn)通過11個大類的安全目標(biāo)和安全控制，構(gòu)建了信息安全管理系統(tǒng)的框架，為各機構(gòu)進行信息安全管理工作提供基礎(chǔ)的依據(jù)。

七分管理，三分技術(shù)，管理和技術(shù)在金融領(lǐng)域的安全工作中是密不可分的，管理需要以強大的技術(shù)手段作為依托，技術(shù)的實施需要以管理目標(biāo)作為依據(jù)。

近年來，國內(nèi)的各大銀行均在加強安全策略和規(guī)范的建設(shè)，如人民銀行早在2003年牽頭編制了《銀行和相關(guān)金融服務(wù)信息安全管理規(guī)范》，而交通銀行也正在制定信息安全總體規(guī)劃，并制定相應(yīng)的規(guī)范。

國外的同行業(yè)機構(gòu)已經(jīng)將7799的認(rèn)證工作確實的落實到具體的安全技術(shù)體系之上，例如英國的SmileBank，其網(wǎng)上銀行最早獲得了英國BSI的7799 ISMS認(rèn)證，并以此認(rèn)證工作為契機為網(wǎng)銀的客戶提供強有力的安全保障。

如何將安全管理上的目標(biāo)真正用技術(shù)手段做到控制呢?SOC(Seevturity Op-eration Center)就是在這樣的大環(huán)境之下順理成章出現(xiàn)并不斷發(fā)展，它是從單一的技術(shù)手段向管理過渡的重要里程碑。

四個中心，五個模塊

啟明星辰提出的SOC解決方案，其體系架構(gòu)如圖1所示，由“四個中心、五個功能模塊”組成：

“四個中心”是漏洞評估中心、事件流量監(jiān)控中心、綜合分析決策支持與預(yù)警中心和響應(yīng)管理中心；

“五個功能模塊”是策略管理、資產(chǎn)管理、用戶管理、安全知識管理和自身系統(tǒng)維護管理。常用的關(guān)鍵系統(tǒng)功能：

脆弱性管理

通過脆弱性管理可以掌握全網(wǎng)各個系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前安全的安全動態(tài)和預(yù)警信息，有助于各級安全管理機構(gòu)及時調(diào)整安全策略，開展有針對性的安全工作，并且可以借助弱點評估中心的技術(shù)手段和安全考核機制可以有效督促各級安全管理機構(gòu)將安全工作落實。

綜合分析與預(yù)警

綜合分析與預(yù)警是安全運營中心的核心模塊，依據(jù)資產(chǎn)管理和脆弱性管理中心進行綜合的事件協(xié)同關(guān)聯(lián)分析，并基于資產(chǎn)(CIA屬性+價值)進行風(fēng)險評估分析，按照風(fēng)險優(yōu)先級針對各個業(yè)務(wù)區(qū)域和具體事件產(chǎn)生預(yù)警，參照網(wǎng)絡(luò)安全運行知識管理平臺的信息，并依據(jù)安全策略管理平臺的策略驅(qū)動響應(yīng)管理中心進行響應(yīng)處理。

響應(yīng)管理

響應(yīng)管理是根據(jù)當(dāng)前的網(wǎng)絡(luò)安全狀態(tài)，及時調(diào)動有關(guān)資源做出響應(yīng)，降低風(fēng)險對網(wǎng)絡(luò)的負(fù)面影響。

網(wǎng)絡(luò)安全響應(yīng)模塊負(fù)責(zé)根據(jù)預(yù)定義好的安全策略規(guī)則，及時工作指令，調(diào)動有關(guān)資源做出響應(yīng)。實現(xiàn)人機接口，通過人工派單方式發(fā)送到相應(yīng)的工單處理部門。工單的通知方式包括圖形顯示、SNMP Trap、郵件和短信。

安全策略管理

網(wǎng)絡(luò)安全的整體性要求需要有統(tǒng)一安全策略和基于工作流程的管理。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導(dǎo)各級安全管理機構(gòu)因地制宜的做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力。

同時通過策略和配置管理平臺的建設(shè)可以進一步完善整個IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項安全工作的開展提供行動指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險問題。

安全知識管理

安全信息管理是安全信息的WEB系統(tǒng)，不僅可以充分共享各種安全信息資源，而且也會成為各級網(wǎng)絡(luò)安全運行管理機構(gòu)和技術(shù)人員之間進行安全知識和經(jīng)驗交流的平臺，有助于提高人員的安全技術(shù)水平和能力。

實現(xiàn)在安全管理中心WEB門戶提供統(tǒng)一界面以安全WEB的形式最新的安全信息，并將處理的安全事件方法和方案收集起來，形成一個安全共享知識庫，該信息庫的數(shù)據(jù)以數(shù)據(jù)庫的形式存儲及管理，為培養(yǎng)高素質(zhì)的網(wǎng)絡(luò)技術(shù)人員提供培訓(xùn)資源。

SOC架起安全橋梁

SOC是安全管理工作的重要工具之一。機構(gòu)資產(chǎn)的梳理、防火墻的配置、入侵檢測系統(tǒng)的事件分析、甚至整個信息系統(tǒng)的脆弱性和威脅分析，這些都不能做到整體的安全管理。因為管理者不可能過多的關(guān)注某些細(xì)節(jié)，安全管理需要對整體的安全現(xiàn)狀和態(tài)勢進行宏觀地把握，并果斷 有效的傳達旨意，采取措施。所以SOC的首要價值是通過技術(shù)的實現(xiàn)手段加強對安全管理的關(guān)注。應(yīng)該關(guān)注的問題有：

銜接宏觀與微觀

金融機構(gòu)的安全建設(shè)提出了更多管理層面的問題，需要對多種資源的整合管理更加重視。目前企業(yè)的安全運行管理普遍現(xiàn)象是，不同類安全產(chǎn)品分別有其自身的管理控制臺，網(wǎng)絡(luò)與主機設(shè)備由網(wǎng)管系統(tǒng)管理。特別對于金融行業(yè)而言，需要有效地整合各系統(tǒng)，對事件的數(shù)據(jù)格式、分級進行標(biāo)準(zhǔn)化，從全局上對整個網(wǎng)絡(luò)安全事件進行分析。

解決人員依賴性

企業(yè)需要解決人力嚴(yán)重不足的問題，降低對人員技術(shù)水平、經(jīng)驗以及責(zé)任心的依賴，把人員所造成的安全風(fēng)險降到最低?？紤]到事件優(yōu)先級判斷與參與人員的技術(shù)水平和經(jīng)驗相關(guān)，很難有客觀的分析和判斷，需要建立一套完整的事件采集、統(tǒng)計、判斷和處理機制。

關(guān)注業(yè)務(wù)風(fēng)險

對于技術(shù)型的人員來說，往往采用技術(shù)型語言來描述問題。這種情況下，容易與領(lǐng)導(dǎo)和非技術(shù)部門人員產(chǎn)生溝通和交流的問題。因此需要將技術(shù)型問題上升到管理型的問題，風(fēng)險數(shù)字化，損失數(shù)據(jù)化。

合規(guī)性

BS 7799作為系統(tǒng)的安全管理標(biāo)準(zhǔn)，在國際金融界廣為使用。所謂7分管理、3分技術(shù)。管理和技術(shù)一直很難整合起來，管理不僅是制度，還需要有一種系統(tǒng)來實現(xiàn)管理的目的。SOC將安全管理需求與安全技術(shù)解決方案的整合，將管理和日常技術(shù)工作融合在一起。

有效顯示

第一時間發(fā)現(xiàn)病毒或者入侵事件源頭和發(fā)展趨勢，通過圖形化顯示，直觀了解全網(wǎng)的情況。

SOC能夠把問題顯示出來，能夠量化。每天發(fā)現(xiàn)了多少次，解決了多少次，從而了解到網(wǎng)絡(luò)安全的真實現(xiàn)狀。

通過監(jiān)控大屏幕的顯示可以將整個網(wǎng)絡(luò)管理的現(xiàn)狀和態(tài)勢展示出來，機構(gòu)領(lǐng)導(dǎo)者可以直觀的在監(jiān)控中心了解宏觀安全，并指揮各地的安全工作的落實。

例如，交通管理指揮中心人員不需要親自前往各個擁堵的路段，他們只需要通過各種手段采集交通信息作匯總和，統(tǒng)一的指揮調(diào)度。安全管理工作也同樣需要這樣的機制進行全局的管控。

有效提煉，實施預(yù)警

SOC系統(tǒng)可以從海量的安全事件報警中得出有價值的信息，及時采取報警措施。

有效投資

安全風(fēng)險是無限的，而安全投資是有限的。應(yīng)該利用有限的安全投資解決無限的安全風(fēng)險(安全投資ROI=減少的安全損失／安全投入)。

與安全域劃分相結(jié)合

安全域的劃分和賦值是金融行業(yè)網(wǎng)絡(luò)安全建設(shè)的重要環(huán)節(jié)。啟明星辰的泰合SOC解決方案的另一大特點，也是安全建設(shè)非常有價值的功能之一，是可以部署基于安全域的SOC平臺，從而實現(xiàn)多層次可定制的安全域管理，基于域的細(xì)粒度風(fēng)險計算和監(jiān)控能力，并且以安全域的思想進行風(fēng)險管理。

安全域作為安全建設(shè)的核心，需要長期的管理，SOC是安全域管理監(jiān)控的有效工具。使用資源管理中的安全域管理的核心功能，可以使安全建設(shè)從單純的信息安全工作向業(yè)務(wù)保障轉(zhuǎn)換，同時將宏觀的信息安全建設(shè)向下落實。

中國的信息安全起步和發(fā)展都處于世界前列，特別是在金融領(lǐng)域，2000年以來信息安全的技術(shù)和管理層面都已經(jīng)作了大量的工作。但是行業(yè)科技人員和管理者還需要繼續(xù)腳踏實地的落實信息安全管理工作，從而切實地為我們的金融客戶提供高可靠、高質(zhì)量的服務(wù)，使金融機構(gòu)穩(wěn)步健康地發(fā)展。

雙認(rèn)證護航遠(yuǎn)程安全

滿　欣

由于RSA SecurlD認(rèn)證器上每隔60秒轉(zhuǎn)換一次6位數(shù)的無窮盡無重復(fù)口令多么高明的黑客都無法在如此短的時間內(nèi)猜測出如此復(fù)雜的口令。

中國大地財產(chǎn)保險股份有限公司(簡稱大地財險)由包括中國再保險(集團)公司在內(nèi)的10家境內(nèi)外投資人共同發(fā)起設(shè)立，總部設(shè)在上海，目前全國有15家分公司。

為了建設(shè)一個高起點和高標(biāo)準(zhǔn)的信息化系統(tǒng)，大地財險與IBM公司合作，引進國際先進的保險理念和信息技術(shù)，初步建立起公司的信息技術(shù)基礎(chǔ)平臺。

基于VPN的種種優(yōu)勢以及最大化保險人的工作效率，大地財險的許多業(yè)務(wù)資源訪問已經(jīng)開始通過VPN實現(xiàn)，具備合法身份的工作人員可以利用VPN訪問公司的核心資源。

VPN是把雙刃劍?

大地財險的運營越來越依賴企業(yè)的核心力系統(tǒng)和數(shù)據(jù)，在通過VPN提高工作效率的同時，也看到了潛在的安全風(fēng)險。

畢竟，VPN所應(yīng)用的通信隧道，需要通過公共網(wǎng)絡(luò)并且必須向各種各樣的用戶打開自己的“網(wǎng)絡(luò)之門”。如果是正確的人存取了正確的信息，就等于你找到了一種功能無與倫比的商務(wù)工具。但是，當(dāng)VPN的遠(yuǎn)程存取權(quán)落入錯誤的掌握之下時，就無疑是一場大災(zāi)難。

如何為企業(yè)的VPN訪問建立一個更加安全的環(huán)境，成為大地財險完善VPN服務(wù)的一個關(guān)鍵因素。

VPN網(wǎng)絡(luò)安全認(rèn)證主要有以下幾種形式：密碼屬于一種最弱的安全形式，密碼公認(rèn)的優(yōu)點在于易于部署應(yīng)用并且費用非常低廉。但是，密碼非常容易被猜中、被竊取或者受到其他的破壞。

雙因素認(rèn)證必須提供兩種形式的認(rèn)證內(nèi)容。這就象是一部銀行的自動取款機(ATM)，用戶既需要知道身份(卡)號碼，還需要擁有認(rèn)證設(shè)備(令牌或者智能卡)。

隨著互聯(lián)網(wǎng)交易數(shù)量的增長，將數(shù)字證書作為一種認(rèn)證形式變得更加廣泛。數(shù)字證書可以幫助識別用戶，因為它要求使用具有唯一性的數(shù)字信用證明。

使用智能卡的安全等級最強。這不僅在于使用智能卡得到了雙因素認(rèn)證保護，而且還因為雙密鑰可以在智能卡上生成并儲存。

生物認(rèn)證利用的是某個用戶所擁有的唯一生物特征。利用這種技術(shù)需要掌握某些生物數(shù)據(jù)，例如：指紋、視網(wǎng)膜掃描以及聲波紋等等。

最終，大地財險決定采用雙因素認(rèn)證來保障其VPN網(wǎng)絡(luò)的安全登錄。

虛擬專用網(wǎng)絡(luò)(VPN)正迅速成為遠(yuǎn)程存取應(yīng)用中最普及的一種方法。通過建立在復(fù)雜交織的公共網(wǎng)絡(luò)中的一個專用通信隧道，VPN可以使用戶充分利用互聯(lián)網(wǎng)的強大功能，不僅大大節(jié)省了用戶遠(yuǎn)程存取應(yīng)用的費用，而且還進一步提高了工作效率。

但是，作為個人專用并不一定意味著一個虛擬的個人網(wǎng)絡(luò)具備應(yīng)有的安全性，這是由于VPN經(jīng)常采用的保護手段僅限于一種門檻偏低的密碼屏障。

大地財險通過對業(yè)界知名安全廠商所提供解決方案的對比，最終采用了RSA SecurID和Web Express認(rèn)證解決方案。

同步令牌雙認(rèn)證

目前，大地財險僅僅為其符合資格的保險人配備了RSA SecurID令牌。RSA SecurID時間同步令牌提供功能強大的雙因素認(rèn)證，這種技術(shù)要求用戶提供他們知道的口令和他們擁有的硬件令牌。

這些令牌被設(shè)計成一種易于操作使用并且便于攜帶的小件產(chǎn)品，用來替代口令這種可以被輕松猜中或破解的安全性能偏弱的認(rèn)證形式。

雙因素用戶認(rèn)證系統(tǒng)能夠代替基本的密碼安全機制，有效抵御非法入侵，使寶貴的網(wǎng)絡(luò)資源獲得完善的保護，免受意外造成的破壞及惡意入侵。

RSA SecurID雙因素用戶認(rèn)證產(chǎn)品的操作，如同使用取款卡一樣簡單方便。用戶只需在進入受保護的網(wǎng)絡(luò)前，先行輸入個人識別密碼，以及在RSA SecurlD認(rèn)證器上每隔60秒轉(zhuǎn)換一次口令，就能通過認(rèn)證。

篇10

信息安全是一個復(fù)雜的系統(tǒng)工程,涉及到了系統(tǒng)軟件、硬件、環(huán)境以及人員等各種因素.本文以赤峰學(xué)院為研究對象,詳細(xì)討論了一般高校信息安全風(fēng)險點,及網(wǎng)絡(luò)安全技術(shù)在解決校園網(wǎng)絡(luò)安全問題中的應(yīng)用,并提出了綜合利用各種網(wǎng)絡(luò)安全技術(shù)保障校園網(wǎng)絡(luò)安全的具體措施.

關(guān)鍵詞：

校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全技術(shù)

當(dāng)前互聯(lián)網(wǎng)發(fā)展迅速,高校的校園網(wǎng)建設(shè)也隨之快速發(fā)展,一方面有力推進我國高?，F(xiàn)代化建設(shè)進程,另一方面有效促進了高校教學(xué)、辦公、科研和學(xué)術(shù)交流等方面的發(fā)展.但是這也使得辦公系統(tǒng)、教務(wù)管理系統(tǒng)、信息門戶、校園一卡通系統(tǒng)等內(nèi)網(wǎng)服務(wù)都直接暴露在開放式的網(wǎng)絡(luò)環(huán)境之下運行,這無疑給黑客提供攻擊機會,造成病毒入侵、信息泄露等不良后果.在高校校園網(wǎng)中,參與人員情況十分復(fù)雜,不僅有校園內(nèi)部的老師和同學(xué),還有一些外來辦事及培訓(xùn)訪學(xué)人員,這種參與人員成分的復(fù)雜性決定了校園網(wǎng)絡(luò)管理的難度增大.當(dāng)然,由于校園網(wǎng)絡(luò)其本身種種特殊性,除了上面提到的互聯(lián)網(wǎng)和校園網(wǎng)內(nèi)部人員的威脅之外,還有其本身體系結(jié)構(gòu)的網(wǎng)絡(luò)安全問題值得警惕.這對建立校園網(wǎng)絡(luò)的工作人員提出了較高要求,需要進行充分的調(diào)研與考量,采取正確的設(shè)計與布置模式,建立一個安全合理有效的校園網(wǎng)絡(luò).本文所講正是根據(jù)自己幾年來在校園網(wǎng)絡(luò)的運行與維護的工作經(jīng)驗總結(jié)而來,以校園網(wǎng)絡(luò)的配置和網(wǎng)絡(luò)體系設(shè)計為基礎(chǔ),對校園網(wǎng)絡(luò)的運行風(fēng)險進行分析,并對相應(yīng)的安全保護措施進行詳細(xì)研究.在分析校園網(wǎng)絡(luò)的運行風(fēng)險時,不僅考慮到校園網(wǎng)絡(luò)本身的體系結(jié)構(gòu)安全問題,也要考慮到網(wǎng)絡(luò)配置時的軟硬件安全、技術(shù)安全、使用和管理安全等等,在這些方面都需要制定詳細(xì)的安全保護規(guī)則,在實際操作中嚴(yán)格遵守,使校園網(wǎng)絡(luò)的安全性得到保障,最終建立一個真正讓人放心使用的安全校園網(wǎng)絡(luò).

1校園網(wǎng)安全面臨的風(fēng)險分析

1.1硬件安全

眾所周知,信息系統(tǒng)的運行之初就是要建立一個合格標(biāo)準(zhǔn)的機房———系統(tǒng)核心硬件的所在地,所以,機房要嚴(yán)格按照國家相關(guān)標(biāo)準(zhǔn)進行建設(shè),包括機房本身的防火防水防盜等問題,機房所在樓板的承受力問題,機房位置選擇問題等等,只有這樣才能保證機房內(nèi)設(shè)施不受侵害,對其安全性進行充分的考慮,確保信息系統(tǒng)的平穩(wěn)安全運行.另一方面,信息系統(tǒng)運行的硬件設(shè)備還對周圍環(huán)境有著較高要求,例如濕度、溫度、空氣顆粒物濃度、周圍磁場強度等等,所以要對機房配備專門的管理人員監(jiān)測環(huán)境問題,保證一個合理有效的硬件運行環(huán)境.

1.2系統(tǒng)及數(shù)據(jù)庫安全

對于校園網(wǎng)絡(luò)來說,由于資金有限,很多服務(wù)器或者相關(guān)系統(tǒng)硬件都會被延期使用,一旦硬件沒有得到及時更新,過度使用,就會導(dǎo)致其穩(wěn)定性不可預(yù)估,例如發(fā)生斷電時,這些非法關(guān)機形式的發(fā)生,都會使得相關(guān)數(shù)據(jù)或者運行系統(tǒng)發(fā)生異常,從而導(dǎo)致進一步的不可預(yù)測性的異常工作形態(tài)發(fā)生.

1.3網(wǎng)絡(luò)安全

赤峰學(xué)院的網(wǎng)絡(luò)建設(shè)已經(jīng)告一段落,有線網(wǎng)方面,光纖直通各個樓宇辦公室及宿舍樓區(qū)域的弱電井,千兆入戶;無線網(wǎng)方面,已經(jīng)實現(xiàn)包括教學(xué)區(qū)、宿舍、運動場、食堂等位置的全校覆蓋.但是,隨著網(wǎng)絡(luò)速度的不斷提高,網(wǎng)絡(luò)覆蓋范圍的不斷擴大,網(wǎng)絡(luò)內(nèi)容和資源的不斷豐富,也伴隨著網(wǎng)絡(luò)安全問題顯得日益突出,需要我們給予高度重視.

a、漏洞注入威脅

無論是網(wǎng)絡(luò)系統(tǒng)也好,還是各種軟件的形成,其都是由相關(guān)代碼編寫人員進行開發(fā),這無可避免的會產(chǎn)生一些漏洞問題,這些漏洞的存在就是一種潛在的安全威脅,沒有及時地修補漏洞,就會有可能導(dǎo)致安全問題.而且這種威脅一旦發(fā)生,就會從某一臺主機,通過網(wǎng)絡(luò),對網(wǎng)絡(luò)內(nèi)其他主機產(chǎn)生安全威脅,這會是一個連鎖反應(yīng),情況進一步惡化,會直接造成整個網(wǎng)絡(luò)的癱瘓.近些年來,在操作系統(tǒng)上,Linux和Win-dows都在不斷地各種網(wǎng)絡(luò)漏洞補丁,如校園網(wǎng)內(nèi)的絕大部分主機系統(tǒng)都是Windows系統(tǒng),因此,如果Windows系統(tǒng)漏洞被發(fā)現(xiàn)而沒有及時更新漏洞補丁進行修復(fù),很有可能被不法分子進行攻擊,最終影響到整個校園網(wǎng)絡(luò)的安全.

b、DDOS攻擊（DistributedDenialofService)）.

DDOS攻擊,即分布式拒絕服務(wù)攻擊,它是指通過借助一系列工具或手段,把許多個計算機聯(lián)合起來構(gòu)成一個平臺,針對一個或者多個目標(biāo)發(fā)動DOS攻擊.DOS攻擊最基本的方式就是發(fā)送合法的服務(wù)請求,以便占用目標(biāo)主機的大量的服務(wù)資源,目標(biāo)主機的資源一旦被大量占用,其他正常用戶將無法正常訪問該主機.DOS攻擊必須占有大量的帶寬,這樣的話,對于攻擊者本身很難實現(xiàn)這一目標(biāo),于是攻擊者就通過其他攻擊手段先把很多主機變成“肉雞”,再通過這些“肉雞”一起對目標(biāo)發(fā)起攻擊,最終使得目標(biāo)主機無法正常工作乃至處于癱瘓的狀態(tài).

c、ARP攻擊（Addressresolutionprotocolspoofing）.

ARP協(xié)議（地址解析協(xié)議）,就是根據(jù)目標(biāo)IP地址,轉(zhuǎn)換為相應(yīng)的MAC物理地址.我們所談的校園網(wǎng)絡(luò),更多的主機是基于MAC地址進行傳輸?shù)?這樣就造成了ARP協(xié)議就更多地發(fā)揮著使兩臺主機之間進行通信的作用.黑客正是利用了這一原理,一方面,可以通過實時監(jiān)測,攔截竊聽如A主機某一節(jié)點信息,獲得相應(yīng)的IP地址和MAC地址,然后就可以偽裝A主機,給其他主機信息,為自己獲得有用信息.另一方面,黑客還可以完全偽造一個MAC地址和IP地址信息,使其在局域網(wǎng)內(nèi)傳播,在網(wǎng)絡(luò)上會產(chǎn)生網(wǎng)絡(luò)風(fēng)暴效應(yīng),使網(wǎng)絡(luò)通信變得異常堵塞,也很有可能造成網(wǎng)絡(luò)的失效或者癱瘓.

d、病毒、木馬

高校的辦公電腦分為幾類:專屬電腦、多媒體教室教學(xué)電腦、還有學(xué)工辦、教學(xué)辦等非專用的辦公電腦.這些電腦在使用的過程中,由于很多人員并沒有專業(yè)的計算機基礎(chǔ)知識,或者電腦安全意識并不高,導(dǎo)致U盤使用、非法網(wǎng)站下載等可能導(dǎo)致病毒攻擊的行為偶有發(fā)生,再加之電腦系統(tǒng)的殺毒軟件等防護措施并沒有及時更新與使用,最終這些主機很容易被黑客利用,成為“肉雞”,進而使得校園網(wǎng)絡(luò)安全出現(xiàn)問題.

1.4人員管理

a、安全管理安全管理是一項十分重要的內(nèi)容.在所有安全措施的發(fā)生有效影響之前,安全管理就是這一切的前提.一個健全的安全體系是需要建立十分詳盡并且能被嚴(yán)格執(zhí)行的安全規(guī)范,安全體系在建設(shè)過程中,人、設(shè)備、技術(shù)都是必須要考量的因素,這些安全規(guī)范或者規(guī)則要在所有安全設(shè)備部署和具體施工過程中進行約束,所以安全管理不僅是一種表面行為上的規(guī)范,也是對人、技術(shù)、設(shè)備、架構(gòu)等等的一種深層次要求.

b、安全意識在高校的校園網(wǎng)絡(luò)里,主體使用人員就是學(xué)生和教職人員,這個群體的計算機應(yīng)用水平有高有低,更多的人是缺乏計算機網(wǎng)絡(luò)安全意識的.例如,某些老師和學(xué)生往往在使用計算機網(wǎng)絡(luò)時,設(shè)置一些十分簡單易破解的密碼,這就是一種缺乏安全意識的表現(xiàn),黑客很容易抓住這一點,通過某些破解方法獲得密碼,進而獲取計算機中對他們有用的信息,可能會進一步產(chǎn)生盜用銀行卡、詐騙、透漏個人重要信息等等不法行為；另外,當(dāng)前計算機網(wǎng)絡(luò)快速發(fā)展,計算機病毒等木馬程序也在呈現(xiàn)出多方式、多渠道的攻擊模式,如U盤傳播、移動端傳播、局域網(wǎng)內(nèi)傳播等等,這些問題一旦發(fā)生,就會產(chǎn)生一些不良后果.因此,我們需要提高用戶的網(wǎng)絡(luò)安全意識,增強其網(wǎng)絡(luò)使用規(guī)范,并讓用戶學(xué)習(xí)一些基本的網(wǎng)絡(luò)安全知識,這都是當(dāng)代網(wǎng)絡(luò)管理人員需要注意的問題.

2校園網(wǎng)安全的防護措施

2.1硬件防護

(1)防火墻

我校于2012年校園網(wǎng)絡(luò)建成后在出口處用功能和安全性更高的華為下一代防火墻（華為USG5500）代替原來的防火墻（華為Eudemon）,同時在出口鏈路上加裝了入侵檢測設(shè)備(華為NIP5100),以防止外網(wǎng)對內(nèi)網(wǎng)及數(shù)據(jù)中心的入侵攻擊,將替代下來的防火墻部署在數(shù)據(jù)中心服務(wù)器存儲和內(nèi)網(wǎng)之間,這樣加強出口鏈路安全的同時,也進一步提升了內(nèi)網(wǎng)的數(shù)據(jù)安全.

(2)流量控制設(shè)備

我校使用銳捷ACE流量控制設(shè)備,ACE可以有效防止各種關(guān)鍵應(yīng)用（如ERP、CRM、OA系統(tǒng)、視頻會議系統(tǒng)等）受到其它網(wǎng)絡(luò)應(yīng)用（P2P等）的沖擊,導(dǎo)致這些關(guān)鍵業(yè)務(wù)的應(yīng)用得不到保障.同時,通過對網(wǎng)絡(luò)異常流量和網(wǎng)絡(luò)攻擊進行預(yù)先防護,大大提高了網(wǎng)絡(luò)的可靠性和穩(wěn)定性.

(3)行為審計

校園網(wǎng)絡(luò)配置行為審計設(shè)備.可以針對網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析.用戶所有訪問的網(wǎng)頁地址都會被系統(tǒng)監(jiān)控、追蹤及記錄,如果是設(shè)定為合法地址的訪問則不做限制,如果是非法地址則會被禁止或發(fā)出警告,而且每一次對訪問行為的監(jiān)控都是具體到每一個人的.

(4)防毒墻

計算機病毒的日益猖狂,盡管許多企業(yè)已經(jīng)具有了一定的安全防范意識,并且部署了網(wǎng)絡(luò)版殺毒軟件和硬件防火墻,但是在面對諸如SQLSlammer等新的蠕蟲病毒時,仍然顯得力不從心.我校針對上網(wǎng)人數(shù)多,使用網(wǎng)絡(luò)人員能力參差不齊,網(wǎng)絡(luò)蠕蟲病毒傳播廣泛,控制吃力的情況,主干網(wǎng)絡(luò)配置防毒墻,用來解決對諸如SQLSlammer等新的蠕蟲病毒.

(5)DDOS防護

DDOS攻擊通過大量合法的請求占用大量網(wǎng)絡(luò)資源,以達到癱瘓網(wǎng)絡(luò)的目的.而我校校園網(wǎng)絡(luò)配置DDOS防護設(shè)備,可解決通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊;通過向服務(wù)器提交大量請求,使服務(wù)器超負(fù)荷;阻斷某一用戶訪問服務(wù)器;阻斷某服務(wù)與特定系統(tǒng)或個人的通訊等情況.

(6)UPS不間斷電源

我校中心機房、圖書館機房及災(zāi)備機房都配備UPS不間斷電源,在學(xué)校斷電時為機房內(nèi)的服務(wù)器供電,延長服務(wù)器工作時間,同時能夠防止服務(wù)器因為斷電導(dǎo)致的物理故障、數(shù)據(jù)丟失問題.

2.2VPN的管理

VPN是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),進行加密通訊,而我校的數(shù)字化應(yīng)用系統(tǒng)及數(shù)字圖書館資源等重要的信息系統(tǒng)均使用深信服公司的專業(yè)的SSLVPN設(shè)備為所有供教職工、學(xué)生提供校外訪問.我校對對校內(nèi)應(yīng)用系統(tǒng)和資源都作了內(nèi)網(wǎng)IP地址的鎖定,保證了網(wǎng)絡(luò)訪問的安全控制,進一步提高校內(nèi)信息系統(tǒng)的安全指數(shù).同時,針對不同的廠商及使用者的身份,區(qū)分訪問權(quán)限,做到嚴(yán)格控制VPN的使用人員,保證只有操作相關(guān)業(yè)務(wù)系統(tǒng)的人員才可獲得相應(yīng)權(quán)限.比如:在校教職工使用工號及密碼登陸后只可以訪問基礎(chǔ)資源及業(yè)務(wù)系統(tǒng),不能訪問服務(wù)器等敏感網(wǎng)段；工程師需要通過實名制注冊,并使用真實手機號碼接受隨機驗證碼及管理員指定的用戶名和密碼（復(fù)雜密碼）進行訪問,并且不同的廠商只能訪問跟自己業(yè)務(wù)相關(guān)的網(wǎng)段(目前正在建設(shè)中)；其他使用人員需要嚴(yán)格遵守申請流程就行審批.

2.3軟件防護

(1)校園網(wǎng)認(rèn)證系統(tǒng)

我校使用專業(yè)的校園網(wǎng)認(rèn)證系統(tǒng),該系統(tǒng)能夠?qū)尤胄@網(wǎng)絡(luò)的所有用戶進行訪問控制管理,同時,我校教職工用工號登陸,學(xué)生用學(xué)號進行登錄,校外人員需要提供有效證件并且獲得相關(guān)部門的統(tǒng)一方可獲得由網(wǎng)絡(luò)中心統(tǒng)一發(fā)放的上網(wǎng)賬號,我校的網(wǎng)絡(luò)認(rèn)證系統(tǒng)配有日志服務(wù)器,能夠?qū)τ脩舻纳暇W(wǎng)行為實時記錄,并且保存用戶上網(wǎng)行為日志90天以上.

(2)機房服務(wù)器安全

赤峰學(xué)院機房的服務(wù)器使用兩套虛擬化軟件（華為Fu-sionComputeV100R005C00SPC300和曙光虛擬化軟件）動態(tài)分配部署,用虛擬計算、虛擬存儲、虛擬網(wǎng)絡(luò)等技術(shù),完成計算資源、存儲資源、網(wǎng)絡(luò)資源的虛擬化；同時通過統(tǒng)一的接口,對這些虛擬資源進行集中調(diào)度和管理.系統(tǒng)通過獲取異常日志和程序堆棧,縮短問題定位時間,快速解決異常問題.支持自動化健康檢查.系統(tǒng)通過自動化的健康狀態(tài)檢查,及時發(fā)現(xiàn)故障并預(yù)警,確保虛擬機可運營管理.

(3)存儲（數(shù)據(jù)）安全

我校的存儲設(shè)備用專業(yè)的軟件做RAID6,做完RAID6,在存儲中任意一個硬盤故障時,仍可讀出數(shù)據(jù),在數(shù)據(jù)重構(gòu)時,將數(shù)據(jù)經(jīng)計算后重新置入新硬盤中從而保證了數(shù)據(jù)安全.同時,華為虛擬化軟件具備快照功能,可以記錄某一時間點的系統(tǒng)情況,并且可以手動恢復(fù)到快照的時間點,保證系統(tǒng)的運行安全.

(4)運維系統(tǒng)

我校使用校園網(wǎng)絡(luò)運維管理系統(tǒng),能夠?qū)崟r監(jiān)控機房的溫度濕度,工作人員可進行水災(zāi)、火災(zāi)的防控,同時,可以對校園網(wǎng)各個設(shè)備的運行情況進行實時監(jiān)控,可隨時查看某一線路的帶寬、設(shè)備在線情況等.如遇問題可在一時間收到短信通知,將風(fēng)險降到最低.

3校園網(wǎng)絡(luò)安全管理策略

3.1信息系統(tǒng)定級備案

我校堅持嚴(yán)格執(zhí)行備案制度的原則,分別于赤峰市宣傳部、聯(lián)通公司、電信公司做了網(wǎng)站備案,嚴(yán)格管理,校內(nèi)一切網(wǎng)絡(luò)資源只限于教職工和學(xué)生工作學(xué)習(xí)使用,堅決禁止一切商務(wù)等盈利用途.赤峰學(xué)院主頁及二級網(wǎng)站使用統(tǒng)一建站系統(tǒng)CMS,使用統(tǒng)一建站系統(tǒng)能有效管理網(wǎng)站訪問者的登陸權(quán)限,使內(nèi)網(wǎng)數(shù)據(jù)庫不受攻擊,并且前端靜態(tài)頁面顯示,同時,服務(wù)器安裝了正版的網(wǎng)頁防篡改軟件一套,能夠定期升級版本,確保了信息的安全.

3.2信息安全事件應(yīng)急處置

制定健全的應(yīng)急預(yù)案,如:《赤峰學(xué)院校園網(wǎng)絡(luò)信息安全應(yīng)急預(yù)案》、《數(shù)據(jù)中心機房突發(fā)事件應(yīng)急預(yù)案》、《信息技術(shù)安全事件的應(yīng)急報告與處置流程》等,周末及節(jié)假日有相關(guān)的值班人員每天對應(yīng)用系統(tǒng)及機房進行檢監(jiān)測,以保證緊急事件緊急處理.

4小結(jié)

校園網(wǎng)絡(luò)安全建設(shè)是一個不斷推進、不斷深入、不斷完善的動態(tài)過程.需要清楚當(dāng)前學(xué)校的網(wǎng)絡(luò)情況及風(fēng)險點,面對多種多樣的安全威脅,從安全技術(shù)手段的角度出發(fā),確保校園網(wǎng)絡(luò)安全體系滿足防護、檢測、響應(yīng)模式,從而降低安全風(fēng)險,實現(xiàn)校園網(wǎng)絡(luò)穩(wěn)定可靠運行.

作者：吉嵐 辛欣 單位：內(nèi)蒙古廣播電視大學(xué) 赤峰學(xué)院網(wǎng)絡(luò)與信息管理處

參考文獻：

〔1〕齊菊紅,李春霞.校園網(wǎng)網(wǎng)絡(luò)安全分析[J].蘭州文理學(xué)院學(xué)報（自然科學(xué)版）,2014,28（1）:69-74.

〔2〕李小志.高校校園網(wǎng)絡(luò)安全分析及解決方案[J].現(xiàn)代教育技術(shù),2008,18（3）:91-93．

〔3〕胡光民,柯立新.校園網(wǎng)絡(luò)安全與準(zhǔn)入身份認(rèn)證[J].上海海洋大學(xué)學(xué)報,2010,19（2）:271-274．