校園網絡安全體系結構解決方案
前言:本站為你精心整理了校園網絡安全體系結構解決方案范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
1校園網絡的主要信息服務系統
由于計算機硬件、軟件、以及網絡的迅速發展,信息系統在學校公共事務管理的過程中承擔著越來越多的功能,在校園網絡中根據學校自身的需求和應用,一般主要有以下一些信息管理服務系統。
1.1Web信息服務高職學校需要對外宣傳自己的單位形象,學院新聞、招生政策以及各類需要的公告信息,在校園網中,Web服務器是網上信息瀏覽的服務器,是不可缺少的信息系統服務項目,也是許多校園管理系統的集成的接口,其他的信息系統可以通過Web服務的主頁進行集成。
1.2網上辦公系統(OA)網上辦公系統可以實現校園內部各處、系、部之間信息交流和共享,公共資源的統一安排,以及和外部相關部門之間進行信息的傳播、收集處理、資源的共享存儲、實現科學化決策信息管理系統。各部門之間通過辦公系統的使用使得信息的溝通更加的順暢,資源的利用更加充分,并且能夠節約時間和成本。
1.3教務管理系統學校的主要功能是教育、管理服務的對象是學生,如何最大化實現對各種教學資源的充分利用,提供高效的管理功能,這就需要使用教務管理把各種資源高效利用,通過使用教務管理系統,實現對學生、教師、課程、教室等教學資源的科學管理,提高上述資源的利用效,減輕教務管理人員工作的難度。
1.4文件服務器在日常的管理中,有許多文件或信息是需要大家相互交流共享,譬如一些公共表格,或者教師的備課材料和視頻等。學生可以隨時隨地通過視頻服務器找到自己課程的視頻來進行學習,教師也可以上傳自己授課的視頻提供給學生在課后學習或對該門課程感興趣的學生自學。此外在校園網絡中還有精品課程系統、財務系統等,這些信息系統的存在,增加了網絡管理的難度。同時也增加了受到威脅、攻擊的概率。
2校園網絡面臨的主要威脅
通過對校園網絡安全威脅現狀及發展趨勢進行分析,這對研究網絡安全技術的必要性和重要性有很高的現實意義,找出相應的解決方案措施。通過對畢節職業技術學院校園網絡一年來的記錄和觀察,校園網絡面臨的主要安全威脅來自于以下兩個方面:來自外部的主要威脅是黑客的攻擊,校園網絡一般沒有特別機密的文件,但校園網絡的用戶眾多,難免一部份用戶會對網絡進行攻擊,在校園內部,一般都搭建有Web服務器和教務系統服務以及辦公OA系統,黑客主要對Web服務器和教務系統感興趣,他們主要目的就是在Web網頁上面掛馬或攻擊教務服務器,獲取訪問用戶的賬戶和密碼、權限等。以下是常見的黑客攻擊的技術:
2.1端口掃描端口掃描是利用端口掃描程序對服務器的TCP端口進行掃描,并記錄反饋信息,通過對反饋信息進行分析,檢查目標主機在哪些端口可以建立連接,如果能夠建立連接,則說明主機在那個端口被監聽。常用的掃描工具有Superscan端口掃描工具、Satan網絡分析工具。常用的掃描方法有
(1)TCPConnect掃描使用這種方法可以檢測到目標主機上開放了哪些端口,但這種掃描也容易被目標系統檢測到。
(2)TCPSYN掃描這種掃描也稱為“半”掃描,因為它不必和目標主機通過三次握手建立TCP連接。
(3)TCPFIN一些防火墻和包過濾程序能監測到SYN分組訪問未經許可的端口,TCPSYN掃描的原理是向目標端口發送一個FIN分組,所有關閉著的端口會返回一個RST端口,而打開的端口會忽略這些請求,從而獲知哪些端口是打開的。
2.2網絡網絡監聽主要是利用網絡監聽工具對計算機網絡接口截獲其他計算機的數據報文的一種工具,通過監聽,可能捕獲到用戶用明文傳送的賬戶和密碼。
2.3密碼破解通過一些專用的密碼破解工具來猜測和獲取用戶的帳戶和密碼,從而獲取用戶的權限對網絡或資源進行破壞,常用的方法有密碼字典等。
2.4特洛伊木馬特洛伊木馬指隱藏在計算機正常程序代碼中的一段具有特殊功能程序的惡意代碼,具有破壞、刪除文件、發送賬戶密碼和記錄鍵盤和攻擊功能的后門程序。通常情況偽裝成實用工具或游戲程序,引誘用戶點擊將其安裝在用戶計算機上,實現黑客遠程控制用戶計算機的手段。
2.5緩沖區溢出緩沖區溢出攻擊是指黑客利用操作系統或軟件的漏洞,通過程序往緩沖區中寫入超過其長度的程序指令,造成緩沖區溢出,從而改變程序正常執行的順序改變為攻擊者安排的另一種順序,以達到黑客攻擊的目的。
2.6拒絕服務攻擊拒絕服務攻擊指黑客利用Internet網絡中的服務器不停的向目標主機發送請求和信息,強迫目標主機不停回復這些無用的請求和信息,消耗目標主機的網絡帶寬和系統硬件資源,最終導致網絡系統癱瘓而停止服務的網絡攻擊方式。另外其他的攻擊有網絡釣魚、電子郵件攻擊、即時通信的攻擊等。內部的網絡安全主要是計算機病毒和木馬感染,根據《中華人民共和國計算機信息系統安全保護條例》定義,計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據、影響計算機使用并且能夠自我復制的一組計算機指令或都程序代碼。校園網絡由于大量公共計算機的存在,公共機房的計算機用戶不固定,學生使用U盤或網上下載軟件,容易使電腦感染病毒和木馬,只要有一臺計算機感染,很快會擴散到其他的計算機,因此,防治計算機病毒是校園機房管理的一個難點。當然,除了上述兩個重要的安全因素以外,設備老化、設計缺陷、自然災害、人為的破壞也是網絡安全威脅因素,那么,怎樣才能減少校園網絡安全威脅呢?構建一個安全的校園網絡體系結構,最大限度減少網絡受到攻擊。
3網絡安全體系結構的構建
世界上絕對安全的技術是不存在的,任何安全技術的所謂“安全”都是相對的,因此,在構建校園網絡安全體系結構的時候,除了技術以外,重要的是日常網絡的管理與維護,人們常說“三分技術,七分管理”,再完美的安全技術,只要管理不當,也會出現漏洞。那么如何構建安全的校園網絡體系結構呢?
3.1網絡安全體系結構的構建方法
(1)制定安全管理規章制度,嚴格按照規定操作,避免出現人為的失誤,責任到人。嚴格按照安全技術評估標準對校園網絡進行評估,找出漏洞,及時封堵。
(2)安裝防火干墻,在校園網絡與Internet的接口安裝硬件防火墻或網關,防范來自外部網絡的攻擊。
(3)在連接外網的路由器上做訪問控制列表,控制對關鍵信息和區域的訪問。
(4)在核交換機上劃分VLAN,避免發生網絡廣播風暴和減少不同網絡網段之間的互訪,增加網絡的安全性。
(5)安裝網絡版殺毒軟件,及時對內部網絡中的計算機進行病毒掃描,清出計算機中殘留的病毒,對于公共使用的計算機安全立即還原軟件,減少被交叉感染的機會。
(6)安裝入侵檢測系統,入侵檢測系統能夠檢測闖入、冒充其他用戶或合法用戶對系統進行破壞或惡意使用的安全行為。
3.2針對網絡面臨的威脅,我校制定以下安全措施;
(1)提高安全防范意識,按照安全防范要求不要隨便從網上下載文件、不要打開運行來歷不明的軟件、不要打開來歷不明的郵件,預防病毒感染。
(2)設置口令時嚴格按照復雜口令來設置,要有字母、數字和控制符號,長度一定足夠長,對于具有管理權限的賬戶,要經常變換更改密碼。
(3)及時更新操作系統或軟件,封堵系統中的安全漏洞。
(4)定期分析系統日志,分析系統是否遭到黑客攻擊,一般黑客在攻擊之前都會對目標主機進行掃描,系統日志會記錄對主機的操作記錄,做好對應準備,從而預防黑客攻擊。
(5)進行動態監控,建立完善的訪問控制制度,及時發現網絡遭到攻擊的情況并加以防范,減少網絡攻擊的損失
(6)安全檢測,運用專業的攻擊檢測軟件對系統進
行掃描,及時發現系統中的安全漏洞并預防。
(7)數據備份,數據備份是網絡管理中重要的一環,當系統遭到攻擊或者是各種自然災難時,有了完整的數據備份,可以盡快的恢復數據系統。
(8)安裝硬件防火墻或網關,防火墻實現內外網的隔離的技術,它根據訪問控制策略來控制內外網的數據通信,最大限度地阻止網絡中黑客的入侵。
(9)安裝網絡殺毒軟件,校園網絡中,感染病毒是最常見的,一般感染以后就是能及時處理,不要讓病毒進行擴散。我們一般在公共機房安裝殺毒軟件,學生上機使用的U盤在使用時都會對其進行掃描,避免病毒交叉感染,另外我們在電腦上安裝還原系統,只要電腦重新啟動以后,所有的數據進行恢復。避免病毒存留在計算機上,最大限度減少電腦和用戶U盤上的病毒進行擴散。
4總結
網絡安全是目前大家所面臨的重要課題,如何有效減輕網絡安全所面臨的威脅是很多計算機專家都在研究的問題,高職校園網絡由于其自身的復雜性和特殊性,其安全體系結構不可能完全照搬別人的經驗,每個學校都要根據其自身網絡體系結構的設計來設計符合自身網絡安全的一套體系結構“。三分技術、七分管理”,管理和安全技術并重,兩者相互補充,最大限度地對網絡中的設備和信息進行保障。
作者:沙吉俊單位:畢節職業技術學院電子信息工程系
