時間:2023-03-21 17:04:44
導語:在校園網絡安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
1.1真實性所謂的真實性,是指用戶在對網絡系統使用的網絡痕跡,都是真實可靠地存在于現實中,所用用戶都無法抵賴自己對于網絡功能的使用和調用。任何的操作都可以通過原始的操作記錄來進行證實和確定,操作存在真實性。
1.2可控性可控性指的是,網絡系統自身具備對于網絡信息的傳播和內容的審核具備控制和調整的能力,因為出于國家安全,社會公共管理秩序的需求,有必要對于網絡上的信息進行控制和調整,以確保公民和國家的信息安全和保障。尤其是這對網絡中實行的社會犯罪,情報收集,信息竊取等都需要對網絡的信息進行嚴格的管理和控制。
2網絡安全技術在校園網絡中的運用
2.1防火墻技術所謂防火墻技術,指的就是校園網絡針對網絡所設置的權限和用戶訪問權限的所有的硬件和軟件的總和,可以視為是內部網絡和外部網絡之間的保護性防御設置,其最為根本的功能就是,針對一些非法的訪問和登陸進行有效的阻斷和隔離,是校園網絡安全性的基本保障措施和功能。其主要體現在,防火墻可以針對外網的一些具有不安全性的用戶訪問進行識別和拒絕隔斷,同時采取調整防火墻的安全等級,還可以對一些具有危害性的信息和內容進行屏蔽和阻斷,尤其是識別網絡上安全性較低的網路時,能夠主動提出警報,并組織用戶訪問這些危險性的網站,減少了病毒的傳播和入侵。同時還可以對于外網訪問校園網絡的信息進行登記和備份,以便于針對訪問信息的統計和監控。這樣在日后的數據分析過程中,能夠有效發現系統中存在的漏洞,尤其是發現用戶的操作存在非法性,時,能夠及時并主動對其進行提醒和警報。如果校園網絡防火墻技術和NAT技術有效地結合起來,還能夠對于校園網絡的結構性進行隱蔽,大大增強了網絡系統的安全性,并且這種結合能夠非常有效地解決校園網絡中,用戶群較大,IP不足的問題,極大地提升了校園網絡的使用效率和通暢性。
2.2VPN技術VPN技術的運用,能夠在校內用戶和校外網絡連接的過程中,形成一道安全監測的通道,那些只有符合設定的目標用戶,才能夠通過通路進行順利的訪問和登陸,其余的非法登陸和連接都會被視為非法操作而進行阻斷,這樣能夠大大提升校園網絡的安全性,同時對校內用戶的危險性操作也做出了控制和規范。該技術可以通過校內的驗證碼技術、登陸用戶驗證等技術來區分有資格的用戶身份,將具備資格的用戶和非法用戶區分開來再連接到服務器,并采用信息加密技術,有效地保證了通過驗證的用戶信息的安全性和完整性,實現了校園網的密匙管理。
2.3發現入侵的檢測技術該技術的運用,對于校園網絡的安全性具有非常重大的意義,尤其是對于校園網路中的一些不規范,非法的操作行為進行檢測,一旦發現之后及時發出網絡警報,并對其危險的操作做出網絡分析,檢測出用戶在未授權的情況下所進行的越權操作行為,并及時對其進行控制和終止。同時,對于系統中的漏洞進行進行的提醒和備注,以便于網絡維護人員及時對網絡漏洞進行修改,因此入侵的檢測技術對于網絡的安全性而言,具有非常主動的防御功能。它對于維護校園網絡數據的穩定性和安全性,都具有非常重要的意義。
2.4控制訪問技術該技術的運用,主要是針對采取非法性的操作和訪問,一般而言,用戶需要登錄校園網,首先需要登錄校園網的訪問控制臺,經過正確的口令登錄和識別之后才能獲得相應的訪問權限和身份。一旦登錄輸入不正確或者不具備登錄資格,將被拒絕訪問,因此那些不具備資格的非法訪問用戶都不會獲得相應的授權和進入訪問入口。
2.5數據恢復和備份技術該技術的運用,一般是對校園網絡信息安全性的事后保障和后期安全性保障,一旦發生了網絡安全性事件,校園網絡系統受到了入侵,信息受到了刪除或者篡改,可以調用系統自卑的數據恢復功能來對數據進行數據的恢復,但是數據的恢復是基于數據被定期備份在數據庫中的。因此,校園網絡的管理員可以定期對校園網絡中的信息數據進行備份,并在數據庫中建立索引,一旦有需要恢復的時候,可以及時按照所需的索引來快速查找到所需要回復的信息內容。這種歸檔的數據處理模式能夠保證校園網絡的數據信息在一段的時間內的完整性和自我修復能力,是校園網絡安全性的有效保障。
3總結
隨著網絡應用的深入,學院校園網絡的安全問題也逐漸突出,大量的網絡病毒攻擊校園網絡,比如網絡釣魚、僵尸網絡等。主要的安全隱患有以下幾種:
(1)計算機系統漏洞。目前,校園網中被廣泛使用的網絡操作系統主要是WINDOWS,存在各種各樣的安全問題,服務器、操作系統、防火墻、TCP/IP協議等方面都存在大量安全漏洞。
(2)病毒的破壞。病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。
(3)來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
(4)校園網內部的攻擊。
2Honeynet技術在校園網網絡安全中的應用
根據學院實際情況和校園網總體設計需求,為了更好地防御校園網中的各類網絡木馬、病毒(僵尸網絡、網絡釣魚等),部署了Honeynet系統,但由于整個校園內部網絡威脅較為嚴重,各種病毒較為猖獗,校園網常被病毒感染,因此部署的Honeynet系統主要是監控校園網內部的網絡攻擊。為了更好地采集信息,充分發揮Honeynet系統在校園網安全防護中的主動防御功能,將Honeynet系統放到黑客容易訪問到的地方。根據實際校園環境的要求,筆者部署一個帶有不同操作系統的Honeynet,這個蜜網存在著各種各樣的漏洞,以吸引攻擊者進行有效的訪問,從而獲取訪問信息的和其日志記錄并加以深入分析和研究。通過使用虛擬軟件(VMWare)和物理計算機建立一個混合虛擬Honeynet,從而減少了物理計算機的需要。宿主主機的二個網卡設置:一個是設置作為虛擬控制機,并通過虛擬網橋連接Honeywall,另一個設置連接校園內網路由器。這里把eth1的IP設為192.168.1.2,而把eth2的IP設為192.168.1.3,這樣管理機和虛擬Honeypot就不在同一個網段上,保證了管理機的安全性。在本次Honeynet系統中所有主機都可以通過ssh或MYSQL連通”firewall”;所有主機都可以連接到Honeynet系統;Honeynet允許連接到任意主機;除次之外,所有的通信都被攔截,同時防火墻允許通過的數據均被記錄。當完成對虛擬Honeynet系統的配置后,需要對其進行測試,看是否能夠正常運行,首先測試虛擬機蜜罐和宿主主機之間的網絡連接,包括(1)宿主主機和蜜罐上通過互相ping對方的IP地址測試網絡連通性,經測試網絡連通性正常。(2)在Honeynet網關上監聽ICMPping包是否通過外網口和內網口。 通過測試后,說明虛擬機蜜罐和外部網絡之間的網絡連接(通過Honeynet網關eth0和eth1所構成的網橋)沒有問題。對Honeynet網關的遠程管理進行測試,需要使用SecureCRT軟件,遠程ssh連接Honeynet網關管理口,經過測試表示該虛擬Honeynet可用。
3結束語
[關鍵詞]校園網安全分析解決方案
一、校園網絡安全隱患綜合分析
1.物理層的安全問題
校園網需要各種設備的支持,而這些設備分布在各種不同的地方,管理困難。其中任何環節上的失誤都有可能引起校園網的癱瘓,如室外通信光纜、電纜等,分布范圍廣,不能封閉式管理;室內設備也可能發生被盜、損壞等情況。
物理層的安全問題是指由于網絡設備的放置不合適或者防范措施不得力,使得網絡設備,光纜和雙絞線等遭受意外事故或人為破壞,造成校園網不能正常運行。物理安全是制訂校園網安全解決方案時首先應考慮的問題。
2.系統和應用軟件存在的漏洞威脅
在校園網中使用的操作系統和應用軟件千差萬別,這些威脅,而且網絡用戶濫用某些共享軟件也會導致計算機可能成為黑客攻擊校園網的后門。
3.計算機病毒入侵和黑客攻擊
計算機病毒是校園網安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網絡傳播的病毒,其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網在接入Internet后,便面臨著內部和外部黑客雙重攻擊的危險,尤以內部攻擊為主。由于內部用戶對網絡的結構和應用模式都比較了解,特別是在校學生,學校不能有效的規范和約束學生的上網行為,學生會經常的監聽或掃描學校網絡,因此來自內部的安全威脅更難應付。
4.內部用戶濫用網絡資源
校園網內部用戶對校園網資源的濫用,有的校園網用戶利用校園網資源提供視頻、音頻、軟件等資源下載,占用了大量的網絡帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網絡帶寬,給正常的校園網應用帶來了極大的威脅。
二、采取安全控制策略
1.硬件安全策略
硬件安全是網絡安全最重要的部分,要保證校園網絡正常,首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災害(如火災、水災、地震等)對計算機硬件及軟件資源的破壞,減少外界環境(如溫度、濕度、灰塵、供電系統、外界強電磁干擾等)對網絡信息系統運行可靠性造成的不良影響。
2.訪問控制策略
訪問控制方面的策略任務是保證網絡資源不被非法使用或訪問。包括入侵監測控制策略、服務器訪問控制策略、防火墻控制策略等多個方面的內容。
(1)防火墻控制策略
防火墻控制策略維護網絡安全最重要的手段。防火墻是具有網絡安全功能的路由器,對網絡提供的服務和訪問定義,并實現更大的安全策略。它通常用來保護內部網絡不受來自外部的非法或非授權侵入的邏輯裝置。
(2)入侵監測控制策略
入侵監測控制策略就是使用入侵監測系統對網絡進行監測。入侵檢測系統(IntrusionDetectionSystems)專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
(3)服務器訪問控制策略
服務器和路由器這樣的網絡基礎設備,避免非法入侵的有效方法是去掉不必要的網絡訪問,在所需要的網絡訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權限設置。一是要限制數據庫管理員用戶的數量和給用戶授予其所需要的最小權限。二是取消默認賬戶不需要的權限選擇合適的賬戶連接到數據庫。
3.病毒防護策略
病毒主要由數據破壞和刪除、后門攻擊、拒絕服務、垃圾郵件傳播幾種方式的對網絡進行傳播和破壞,照成線路堵塞和數據丟失損毀。那么建立統一的整體網絡病毒防范體系是對校園網絡整體有效防護的解決辦法。
4.不良信息的防護策略
Internet上存在大量的不良信息,校園網絡因為Internet連接,學生有可能無意中接觸這些信息而在校園網上傳播,造成惡劣的影響。可以安裝非法信息過濾系統,設置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。
5.建立安全評估策略
校園網絡安全不能僅僅依靠防火墻和其他網絡安全技術,而需要仔細考慮系統的安全需求,建立相應的管理制度,并將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的校園網絡系統。使用安全評估工具是進行安全評估的一種手段,可以對各方面進行檢測和反饋信息收集,進而制定策略。
三、結束語
高校校園網絡的安全性越來越受到重視,網絡環境的復雜性、多變性,以及信息系統的脆弱性,決定了高校校園的網絡不能僅僅依靠防火墻,而涉及到管理和技術等方方面面。需要仔細考慮系統的安全需求,建立相應的管理制度,并將各種安全技術與管理手段結合在一起,才能生成一個高效、通用、安全的校園網絡系統。
參考文獻:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]張武軍,李雪安.高校校園網安全整體解決方式研究[J].電子科技,2006,(3):64-67.
[3],王紀鳳,尚玉蓮,等.防火墻與入侵監測系統在高校校園網中的應用[J].泰山醫學院學報,2007,(11):906-907.
關鍵詞:數字化校園網,安全隱患,安全機制,安全實施
數字化校園是在校園網的基礎之上,以計算機網絡和信息數字化技術為依托,利用先進的信息手段和工具,來支撐學校的教學和管理信息流,實現了教育、教學、科研、管理、技術服務等校園信息的收集、處理、整合、存儲、傳輸、應用等方面的全部數字化,使教學資源得到充分優化利用的一種虛擬教育環境。
一、高校數字化校園網的安全隱患分析
高校校園網的應用以及服務主要是面向學生,學生經常玩游戲、下電影、瀏覽未知以及可能存在安全隱患的網站、接收陌生人的電子郵件、用聊天軟件時隨意接受陌生人傳送的文件,這些安全隱患都有可能導致校園網病毒泛濫;觀看網上直播,嚴重影響網絡速度,甚至阻塞網絡運行;同時高校的學生人數較多,學生對網絡安全的認識也參差不齊:很多學生認為網絡中的安全威脅就是計算機病毒。所以,整個校園網中的大部分用戶,對網絡中存在的安全威脅還是沒有一個清晰、系統的認識。
經過調查、分析、研究,高校校園網存在以下安全隱患:
1.校園網直接與因特網相連,所以會遭受黑客以及網絡安全缺陷方面的攻擊;
2.校園網內部安全隱患;
3.用戶接入點數量大,使用率高,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果;
4.缺乏統一管理;
5.網絡中心負荷量大:絕大部分網絡管理功能都是由網絡中心來完成的,包括校園網絡的建設維護、網絡使用的政策制定以及相關費用的收取;
總之,實施一個科學、合理的安全機制數字化校園網,對校園網的正常運行起著至關重要的作用。
二、數字化校園網安全機制的實施
為了有效地解決校園網將會遇到的種種網絡安全問題,需要在網絡中的各個環節都采取必要的安全防范措施,通過多種安全防范技術和措施的綜合運用,從而來保證校園網能夠高性能、高安全性的正常運行。
1、防火墻的實施
防火墻技術是抵抗黑客入侵和防止未授權訪問的最有效手段之一,也是目前網絡系統實現網絡安全策略應用最為廣泛的工具之一。
防火墻是一種保護內部網絡操作環境的特殊網絡互聯設備;同時防火墻也是設置在不同網絡或網絡安全域之間的一系列部件的組合。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。論文格式,安全實施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網和Internet之間的活動,保證內部網絡的安全。
可根據具體的校園網實際環境,在防火墻上設置如下安全策略:
1)解決內外網絡邊界安全,防止外部攻擊,保護內部網絡(禁止外部網絡訪問內部網絡);2)根據IP地址、協議類型、端口等進行數據包過濾;3)內外網絡采用兩套IP地址,實現雙向地址轉換功能;4)支持安全服務器網絡(DMZ區),允許內外網絡訪問DMZ區,但禁止DMZ區訪問內部網絡;5)通過IP與MAC地址綁定防止IP盜用,避免亂用網絡資源;6)防止IP欺騙;7)防DDoS攻擊;8)開啟黑白名單功能,實現URL過濾,過濾不健康網站;9)提供應用服務,隔離內外網絡;10)具有自身保護能力,可防范對防火墻的常見攻擊;11)啟動入侵檢測及告警功能;12)學生訪問不良信息網站后的日志記錄,做到有據可查;13)多種應用協議的支持,等等。
2、網閘的實施
安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網絡上的數據庫之間交換數據,并可以在網絡之間交換定制的文件。論文格式,安全實施。
可根據具體的校園網實際環境,在網閘上設置如下安全策略:
1)阻斷內外網絡的物理連接,防止外部攻擊,保護內部網絡;2)剝離內外網絡傳輸的TCP/IP以及應用層協議,避免因為TCP/IP以及應用層協議造成的漏洞; 3)內外網絡采用一套IP地址,實現指定協議通訊功能; 4)允許內網訪問外網特定服務、應用(HTTP,FTP,FILE,DB等);5)允許外網指定機器訪問內網特定應用(FILE,DB等);6)防止IP欺騙; 7)防DDoS攻擊;8)具有自身保護能力,可防范常見DoS、DDoS攻擊; 9)多種應用協議的支持,等等。
3、 防病毒的實施
計算機病毒對計算機網絡的影響是災難性的。計算機病毒的傳播方式已經由在單機之間傳播轉向到各個網絡系統之間的傳播,一旦病毒侵入到某一局域網并發作,那么造成的危害是難以承受的。病毒和防病毒之間的斗爭已經進入了由“殺”病毒到“防”病毒的時代。只有將病毒拒絕于內部網之外,或者及時查殺內部網的病毒,以此防范病毒在網絡內泛濫傳播,才能保證數據的真正安全。論文格式,安全實施。
我們結合計算機網絡、計算機病毒的特征,給出以下防范防治策略:
1)阻止外網的病毒入侵(這是病毒入侵最常見的方式,因此在兩個或多個網絡邊界之間,在網關處進行病毒攔截是效率最高,耗費資源最少的措施,但只能阻擋來自外部病毒的入侵);2)阻止網絡郵件/群件系統傳播病毒(在郵件系統上部署防病毒體系);3)設置文件服務器防病毒保護;4)最終用戶:病毒絕大部分是潛伏在計算機網絡的客戶端機器上,因此在網絡內對所有的客戶機也要進行防毒控制;5)內容保護:為了能夠在第一時間主動的阻止新型病毒的入侵,在防病毒系統中對附加內容進行過濾和保護是非常必要的;6)集中管理:通過一個監控中心對整個系統內的防毒服務和情況進行管理和維護,這樣可以大大降低維護人員的數量和維護成本,并且縮短了升級、維護系統的響應時間。
4、學生宿舍區域802.1x認證
考慮到認證效率、接入安全、管理特性等多方面的因素,對于學生宿舍區域的用戶接入建議采用已經標準化的802.1x認證方式:
1)網絡環境復雜,接入用戶數量巨大:建議采用分布式的用戶認證方式,把認證分散到樓棟匯聚交換機上去完成,如果發生故障,不至于會影響到整個網絡的所有用戶;2)網絡流量大,認證用戶數量大:所采用的認證方式要具有很高的效率,以保證用戶能及時通過認證,在網絡流量大,認證用戶數多時不會對設備的性能產生影響,以保證整個網絡高效、穩定的運行;3)某些用戶技術層次高,存在對網絡安全造成影響的可能:難免存在某些用戶因好奇使用一些黑客軟件或病毒軟件而造成對網絡的影響,因此所采用的認證方式要能夠有比較高的安全性,能防止如DHCP的惡意攻擊等安全功能。
5、數據存儲方案的實施
數字化校園是計算機技術的一個新興應用領域,涉及的內容非常廣泛,包括資料數字化、海量存儲及數據管理、全方位查詢檢索、多渠道等技術,提供包括電子圖書、視頻、音頻及其他多種形式的媒體資料等等。在數字化校園環境下,各種數字信息的增長非常迅猛,同時,數字信息存儲的容量需求越來越大。
因此,設計一種高容量、可擴充的存儲技術方案也是校園網絡安全的重點。可以容納、甚至可以無限制地容納更多信息的“海量”存儲技術:如NAS存儲、SAN存儲等應用支撐平臺解決方案,在系統結構上滿足用戶未來的應用需求,同時合理使用用戶投資,建立滿足用戶現有需求的系統,并且易于擴展的系統,來幫助用戶解決在數據存儲和應用需求方面所面臨的挑戰。
三、總結
隨著Internet技術突飛猛進的發展,網絡的應用范圍和領域迅速擴大,新的網絡技術、安全技術不斷推陳出新,黑客技術也逐漸多元化,導致安全問題日益突出。在計算機網絡里,安全防范體系的建立不是一勞永逸的,沒有絕對的安全,我們只能不斷的采用新的網絡技術,以及新的安全設備與技術,這樣才有可能將網絡中威脅降到最低限度。論文格式,安全實施。
防火墻、網閘、病毒防范是信息安全領域的主流技術,這些網絡安全技術為整個網絡安全的建設起到至關重要的作用,任何一個網絡或者用戶都不能夠忽視。論文格式,安全實施。到目前為止,盡管相關研究人員已經在理論和實踐方面都作了大量的工作,而影響校園網的安全因素在不斷地變化,黑客與病毒的攻擊方式在不斷地更新。論文格式,安全實施。要確保網絡的安全就只有根據實際情況,在安全技術上采用最新的技術成果,及時調整安全策略,有效整合現有安全資源,并且不斷引入新的安全機制,才能保證網絡安全防范體系的良性發展,確保數字化校園網的有效性和先進性。
參考文獻:
[1]焦中明.高校數字化校園建設的幾個問題.贛南師范學院學報
[2]徐立.我國高校校園網建設的研究.中南大學碩士論文
[3]沈培華.數字校園的五個層次.計算機世界
[4]趙思輝.數字化校園基礎平臺體系架構.福建電腦
[5]宋金玲.數字校園的相關技術及方法研究.中國礦業大學
[6]曾力煒,徐鷹.關于數字化校園建設的研究.計算機與現代化
[7]占素環.校園網網絡安全技術及解決方案.農機化研究
[8]張武軍,李雪安.高校校園網安全整體解決方案研究.電子科技
關鍵詞: 安全隱患; 全網動態安全體系模型; 信息安全化; 安全防御
中圖分類號:TP393 文獻標志碼:A 文章編號:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
隨著現代校園網接入互聯網以及各種應用急劇增加,在享受高速互聯網帶來無限方便的同時,我們也被各種層次的安全問題困擾著。現代校園網絡安全是一個整體系統工程,必須要對現代校園網進行全方位多層次安全分析,綜合運用先進的安全技術和產品,制定相應的安全策略,建立一套深度防御體系[1],以自動適應現代校園網的動態安全需求。
1 現代校園網絡的安全隱患分析
現代校園網作為信息交換平臺重要的基礎設施,承擔著教學、科研、辦公等各種應用,信息安全隱患重重,面臨的安全威脅可以分為以下幾個層面。
⑴ 物理層的安全分析:物理層安全指的是網絡設備設施、通信線路等遭受自然災害、意外或人為破壞,造成現代校園網不能正常運行。在考慮現代校園網安全時,首先要考慮到物理安全風險,它是整個網絡系統安全的前提保障。
⑵ 網絡層的安全分析:網絡層處于網絡體系結構中物理層和傳輸層之間,是網絡入侵者進入信息系統的渠道和通路,網絡核心協議TCP/IP并非專為安全通信而設計,所以網絡系統存在大量安全隱患和威脅。
⑶ 系統層的安全分析:現代校園網中采用的各類操作系統都不可避免地存在著安全脆弱性,并且當今漏洞被發現與漏洞被利用之間的時間差越來越小,這就使得所有操作系統本身的安全性給整個現代校園網系統帶來巨大的安全風險。
⑷ 數據層的安全分析:數據審計平臺的原始數據來源各種應用系統及設備,采集引擎實現對網絡設備、安全設備、操作系統、應用服務等事件收集,采用多種方式和被收集設備進行數據交互,主要面臨著基于應用層數據的攻擊。
⑸ 應用層的安全分析[2]:為滿足學校教學、科研、辦公等需要,在現代校園網中提供了各層次的網絡應用,用戶提交的業務信息被監聽或篡改等存在很多的信息安全隱患,主機系統上運行的應用軟件系統采購自第三方,直接使用造成諸多安全要素。
⑹ 管理層的安全分析:人員有各種層次,對人員的管理和安全制度的制訂是否有效,影響由這一層次所引發的安全問題。
⑺ 非法入侵后果風險分析:非法入侵者一旦獲得對資源的控制權,就可以隨意對數據和文件進行刪除和修改,主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。
2 現代校園網安全APPDRR模型提出
全網動態安全體系模型[3](APPDRR)從建立全網自適應的、動態安全體系的角度出發,充分考慮了涉及網絡安全技術的六方面,如風險分析(Analysis)、安全策略(Policy)、安全防護(Protection)、安全檢測(Detection)、實時響應(Response)、數據恢復(Recovery)等,并強調各個方面的動態聯系與關聯程度。現代校園網安全模型如圖1所示,該模型緊緊圍繞安全策略構建了五道防線:第一道防線是風險分析,這是整體安全的前提和基礎;第二道防線是安全防護,阻止對現代校園網的入侵和破壞;第三道防線是安全監測,及時跟蹤發現;第四道防線是實時響應,保證現代校園網的可用性和可靠性;第五道防線是數據恢復,保證有用的數據在系統被入侵后能迅速恢復,并把災難降到最低程度。
3 現代校園網主流網絡信息安全化的技術研究
為了保護現代校園網的信息安全,結合福建農業職業技術學院網絡的實際需求,現代校園網信息中心將多種安全措施進行整合,建立一個立體的、完善的、多層次的現代校園網安全防御體系,主要技術有加解密技術、防火墻技術、防病毒系統、虛擬專用網、入侵防護技術、身份認證系統、數據備份系統和預警防控系統等,如圖2所示。
3.1 加解密技術
現代校園網中將部署各種應用系統,許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性,需運用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰管理分發等加解密技術。
3.2 防火墻技術
防火墻技術是網絡基礎設施必要的不可分割的組成元素,是構成現代校園網信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規則,對進出內外網之間的信息數據流進行監測、限制和過濾,只允許匹配規則的數據通過,并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件,以便管理員分析檢測、迅速響應和反饋調整。
3.3 防病毒系統
抗病毒技術可以及時發現內外網病毒的入侵和破壞,并通過以下兩種有效的手段進行相應地控制:一是有效阻止網絡病毒的廣泛傳播,采用蜜罐技術、隔離技術等;二是殺毒技術,使用網絡型防病毒系統進行預防、實時檢測和殺毒技術,讓現代校園網系統免受其危害。
3.4 虛擬專用網
虛擬專用網(全稱為Virtual Private NetWork,簡稱VPN)指的是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對現代校園網內部網的擴展,由若干個不同的站點組成的集合,一個站點可以屬于不同的VPN,站點具有IP連通性,VPN間可以實現防問控制[4]。使用VPN的學校不僅提升了效率,而且學校各校區間的連接更加靈活。只要能夠上網,各校區均可以安全訪問到主校區網。使用VPN數據加密傳輸,保證信息在公網中傳輸的私密性和安全性。VPN按OSI參考模型分層來分類有:①數據鏈路層有PPTP、L2F和L2TP;②網絡層有GRE、IPSEC、 MPLS和DMVPN;③應用層有SSL。
3.5 入侵防護技術
入侵防護技術包含入侵檢測系統(IDS)和入侵防御系統(IPS)。IDS可以識別針對現代校園網資源或計算機的惡意企圖和不良行為,并能對此及時作出防控。IDS不僅能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為,同時能監控授權對象對系統資源的非法操作,提高了現代校園網的動態安全保護。IPS幫助系統應對現代校園網的有效攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和及時響應),提高現代校園網基礎結構的完整性。
3.6 身份認證系統
現代校園網殊部門(如檔案、財務、招生等)要建設成系統。要采用身份認證系統[5],應建立相應的身份認證基礎平臺,加強用戶的身份認證,防止對網絡資源的非授權訪問以及越權操作,加強口令的管理。
3.7 數據備份系統
在現代校園網系統中建立安全可靠的數據備份系統是保證現代校園網系統數據安全和整體網絡可靠運行的必要手段,可保證在災難突發時,系統及業務有效恢復。現代校園網的數據備份系統平臺能實時對整個校園網的數據及系統進行集中統一備份,備份策略采用完全備份與增量備份相結合的方式。
3.8 預警防控系統
現代校園網絡安全管理人員必須對整個校園網體系的安全防御策略及時地進行檢測、修復和升級,嚴格履行國家標準的信息安全管理制度,構建現代校園網統一的安全管理與監控機制,能實行現代校園網統一安全配置,調控多層面分布式的安全問題,提高現代校園網的安全預警能力,加強對現代校園網應急事件的處理能力,切實建立起一個方便快捷、安全高效的現代校園網預警防控系統,實現現代校園網信息安全化的可控性。
4 現代校園網絡安全問題的解決方案
通過對現代校園網主流網絡信息安全化技術的深入研究,針對現代校園網的安全隱患,提出現代校園網絡安全問題的各層解決方案。
⑴ 物理層安全:主要指物理設備的安全,機房的安全等,包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環境和不間斷電源保障等。相關環境建設和硬件產品必須按照我國相關國家標準執行。
⑵ 網絡層安全:針對現代校園網內部不同的業務部門及應用系統安全需求進行安全域劃分,并按照這些安全功能需求設計和實現相應的安全隔離與保護措施[6],采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現信息安全化。
⑶ 系統層安全:現代校園網管理平臺的主機選擇安全可靠的操作系統,采取以下技術手段進行安全防護:補丁分發技術、系統掃描技術、主機加固技術、網絡防病毒系統。
⑷ 數據層安全:主要使用數據庫審計系統進行監控管理,對審計記錄結果進行保存,檢索和查詢,按需審計;同時還能夠對危險行為進行報警及阻斷,并提供對數據庫訪問的統計和分析,實現分析結果的可視化,能夠針對數據庫性能進行改進提供參考依據。
⑸ 應用層安全:應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密,并通過審計和記錄機制,確保服務請求和資源訪問的防抵賴。
⑹ 管理層安全:現代校園網應依法來制訂安全管理制度,提供數據審計平臺。一方面,對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。另一方面,當事故發生后,提供黑客攻擊行為的追蹤線索及破案依據,實現對網絡的可控性與可審查性。
5 構筑現代校園網的整體安全防御體系
現代校園網絡安全問題的各層解決方案綜合應用到實際工作環境中,在配套安全管理制度規范下[7],現代校園網可實現全方位多層次的信息安全化管理,配有一整套完備的現代校園網安全總需求分析、校園網風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統、安全實時監控系統、數據審計平臺、數據存儲備份與恢復等動態自適應的防御體系,可有效防范、阻止和切斷各種入侵者,構筑現代校園網的整體安全屏障。
6 結束語
信息安全化是現代校園網實施安全的有效舉措,并建立一套切實可行的現代校園網絡安全保護措施,提高現代校園網信息和應急處置能力,發揮現代校園網服務教學、科研和辦公管理的作用。現代網絡的高速發展同時伴隨著種種不確定的安全因素,時時威脅現代校園網的健康發展,要至始至終保持與時俱進的思想,適時調整相應的網絡安全設備。
參考文獻(Reference):
[1] [美]Sean Convery著,王迎春,謝琳,江魁譯.網絡安全體系結
構[M].人民郵電出版社,2005.
[2] Cbris McNab著,王景新譯.網絡安全評估[M].中國電力出版
社,2006.
[3] 陳杰新.校園網絡安全技術研究與應用[J].吉林大學碩士學
位論文,2010.
[4] Teare D.著,袁國忠譯.Cisco CCNP Route學習指南[M].北京
人民郵電出版社.2011.
[5] 張彬.高校數字化校園安全防護與管理系統設計與實現[D].
電子科技大學碩士學位論文,2015.5.
[6] 彭勝偉.高校校園計算機網絡設計與實現[J].無線互聯技術,
2012.11.
論文摘要:當今社會,信息技術高速發展,各行各業都離不開網絡。各學校也越來越重視校園網絡建設,網絡已經悄然無聲的走進了校園。如何建設和管理好校園網絡,保證校園網絡的安全,已成為校園網絡建設的首要任務。如何讓校園網絡在病毒肆虐的時代穩固運行,保證學校信息化、數字化網絡環境暢通,已成為網管員的首要責任。
在網絡技術的廣泛應用下,許多學校都建立了校園網絡并投入使用,網絡的優勢勢不可擋:加快信息處理、提高工作效率、實現資源共享、降低勞動強度。但是當網絡給學校帶來方便的同時,網絡安全這一問題是否被學校重視。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、信息論、數論等多種學科的綜合性學科。網絡安全從本質上說就是網絡上的信息安全。它是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。本文從以下方面闡述校園網絡的安全管理:
一、設備安全
暢通的網絡環境、安全的網絡設備,為校園網絡的信息化、數字化提供了最基礎的硬件保障。這里除了信息網絡設備的供電、防水、防雷電、溫濕度、防鼠和防盜等常規安全之外。還要強調網絡設備的配置安全。主要包括:
(一)對網絡設備設置8位以上復雜密碼,并需要根據業務需求分配合適的管理用戶和權限。目前大多數安全問題,是由于密碼過于簡單、密碼管理不嚴,使“入侵者”乘虛而入。因此密碼口令的有效管理是非常重要的。
(二)設置獨立的設備管理虛擬局域網,把網管設備使用的IP地址與普通用戶使用的IP地址段分開,并指定專用電腦進行接入管理和監控。
二、劃分VLAN
對校園網絡合理的劃分VLAN。VLAN就是虛擬局域網。目前大多數學校都配備了三層交換機和可管理的二層交換機,可是還有相當一部分學校把這些設備當作普通的交換機使用,沒有進行VLAN的劃分。這樣一方面是對設備資源的浪費,另一方面更是降低了網絡安全性和網絡性能。
采用虛擬局域網有如下優勢:有效抑制網絡上的廣播風暴;增加網絡的安全性;集中化的管理控制。基于端口的虛擬局域網是最實用的虛擬局域網,它保持了最普通、常用的虛擬局域網成員定義方法,配置也相當直觀簡單,不同的虛擬局域網之間進行通信需要通過路由器或具有路由功能的三層交換機。因此,有條件的學校首先就應該充分利用已有的硬件資源,采用VLAN技術構筑高效安全的網絡基礎環境。
三、流量監控、協議分析、網絡審計
使用專業設備如:網康。可以進行監控流量、協議分析及網絡審計。
此類設備可以方便地配置于網絡內部,用來預測網絡的性能和發展趨勢;實時檢測校園網絡內部終端的流量狀況、分析網絡的異常流量;提供全網的IP地址、機器名、MAC地址等信息完備的地址表,方便網絡的分析和管理;能對網絡訪問事件作統一記錄、分析;還可生成各種報表用于存檔。有利于早期發現網絡中的可疑行為,預防不良網絡行為的發生。
另外在網絡管理當中,要貫徹實名制,既用機器使用者的真實姓名作為計算機命名的管理模式,直接監控到個人,當出現異常時可以準確定位,快速響應。
四、部署防火墻
防火墻是網絡安全的屏障。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。只有經過精心選擇的應用協議才能通過防火墻,這會使網絡環境變得更為安全。在防火墻設置上我們按照以下原則配置用來提高網絡安全性:
第一、根據校園網安全目標和安全策略,規劃設置正確的安全過濾規則,審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴禁來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止的”原則。
第二、將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包。這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包,這樣可以防止內部網絡發起的對外攻擊。
第三、定期查看防火墻訪問日志,及時發現攻擊行為和不良上網記錄。
五、部署入侵防御系統
為了彌補防火墻的不足,可使用入侵防御系統:如IPS。他能夠及時識別攻擊程序、有害代碼及其克隆和變種,盡量將病毒擋在校園網之外。另外,對于已經傳入校園網內的病毒,必須防止其擴散,可以利用核心交換機的訪問控制列表,屏蔽掉某些可能被病毒利用的端口。這樣就可以控制病毒,使其只能在某一子網內傳播,而不至于在校園網內大范圍擴散。 轉貼于
另外還可以在交換機上建立內網計算機的IP地址和MAC地址的對應表,實現專人專用,防止IP地址被盜用。
六、服務器的安全
校園網的服務器為用戶提供各種應用,但是應用提供得越多,系統就存在越多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉.只向用戶提供他們所需的基本服務。例如:我們在校園網服務器中對用戶只提供WEB服務功能,而沒有必要向用戶提供FTP功能。這樣。在對服務器配置時,只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,則要規定端口、賬號及密碼,向指定的用戶開放。因為用戶通過FTP可以上傳資源,如果給了用戶可執行權限,那么,通過運行上傳的某些程序,就可能使服務器受到攻擊。所以,控制好服務器的用戶群體也是保障網絡安全的一個重要因素。
七、部署防病毒
校園網內部署防病毒系統,并且定時升級病毒庫。部署防病系統是為了防止因某個客戶端的病毒或木馬程序在校園網中流竄,從而干擾網絡主干、傳染其他的客戶端。部署防病毒能夠在源頭上保障校園網絡的安全。在選擇防病毒軟件時應選用口碑比較好的名牌產品。
八、定時更新
任何一個操作系統、防病毒軟件、防火墻系統、入侵檢測系統、路由交換設備等網絡節點、系統或多或少都存在著各種漏洞。系統漏洞的存在就成為網絡安全的首要問題。發現并及時修補漏洞是每個網絡管理人員的主要任務。當然,從系統中找到漏洞不是我們一般網絡管理人員所能做的.但是及早地發現有報告的漏洞,并進行補丁升級卻是我們應該做的。經常登錄各有關網絡安全網站,密切關注我們所有使用的軟件和服務程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。網絡管理員應該養成勤打補丁的習慣。
九、規范管理
以上提及的安全管理辦法只是對網絡設備和硬件所說,為校園網絡提供技術手段和措施,但是還需要制定一系列的信息網絡規章制度來規范網絡管理員的操作流程,提高網絡管理員的安全意識和責任。包括制定網絡安全管理范圍規章制度、制訂有關校園網網絡操作使用規程、制定人員出入校園網主控機房的管理制度、制定校園網網絡系統的維護制度和應急措施、確定校園網信息安全管理的一般責任和具體責任,以及規定出現安全事故以及違反安全策略的后果等。
網絡管理的規范程度直接反映一個網絡的應用保障系數,通過以上幾個方面的管理,并結合定期的內部網絡的掃描巡檢,科學的管理分工制度,要把一個網絡管好、用好不難。
相信隨著校園網絡管理和校園網絡安全不斷優化發展。必然會給校園信息化、數字化應用提供暢通環境,校園網絡的效益將會越來越大。也必將會進一步提高學校的教學質量和管理效率,使學校成為一所具有先進的信息化網絡環境和數字化應用的現代化學校。
參考文獻:
[1]黃開枝,孫巖.網絡防御與安全對策[M].北京:清華大學出版社
[2]謝希仁.計算機網絡(第2版)[M].北京:清華大學出版社
1 適應新技術發展,建設“泛在”的校園網絡,滿足各類用戶需求
經過20多年的發展,我國高校的數字校園建設經歷了從系統應用到系統集成的發展過程,而隨著新技術的不斷發展,尤其是物聯網技術、無線移動網絡技術的不斷演進,更加重視用戶的應用體現,表現在用戶對數字校園使用的便捷性,對各種事務操作的便利性上來。這種轉變,對新一代數字校園中網絡基礎設施也即校園網絡的硬件條件提出了更高的要求,這些要求體現在:
一是運行更加高速、快捷。校園網絡的發展從最早的百兆以太網、ATM網已全面發展為以萬兆主干的以太網絡為主體的校園網絡體系,校園網絡的運行效率、運行穩定性有了質的飛躍。二是無線網絡的全覆蓋成為校園網絡發展的趨勢。為了適應掌上電腦、移動終端、手機用戶應用群不斷擴大的趨勢,建立覆蓋整個校園,穩定、可靠的無線網絡成為校園網絡建設與發展的重點與方向。三是對校園網絡的安全性提出了更高的提供論文寫作和寫作服務lunwen. 1KEJI AN. C OM,歡迎您的光臨要求。由于數字校園的建設,將整個院校內部各種人、財、物的數據聯網,這一方面為學校的決策管理提供了最直接的數據支撐,另一方面也對信息安全提出了更高的要求。如何在保證信息安全的基礎上提高應用效益成為校園網絡建設與管理者不得不考慮的問題。
基于新一代數字校園對校園網絡提出的更高要求,在進行網絡基礎設施建設時,必須要進行充分考慮。
第一,在網絡架構上,要充分認識到有線網絡與無線網絡的關系,將兩者作為互相補充的有機整體,綜合考慮建設、運維的成本,安全性與穩定性等各種要素,綜合衡量網絡建設的類型與使用范圍。第二,在網絡鏈路中需要設計一定的冗余。通過雙鏈路或多鏈路架構的方式在一定程度上解決網絡運行的穩定性問題。第三,考慮到校園內各種用戶應用層次的不同,對校園網資源的使用權限也要有所不同;在進行校園網建設時,需要同時考慮到安全體系的建設,不僅僅是加裝必要的安全防護設備,同時還需要在網絡設備的選擇上做好必要的準備。第四,云計算技術的持續發展,為高校的信息化建設與發展提供了機遇,校園網絡也必須要考慮到未來的發展,尤其是虛擬桌面、云終端等網絡應用對校園網的要求更高,需要充分論證與規劃,以適應新技術的發展與應用。
2 基于云計算技術,建設集中化、虛擬化的數字校園數據中心
云計算以其超強的計算能力以及高可靠性、安全性等優勢在各個領域都掀起了應用。高校的數字校園,由于其功能的日益完善,所涉及領域的應用更加深入,對數據中心的存儲以及計算能力提出了更高的要求,傳統的數據中心在一定程度上已經無法滿足日益增長的計算、存儲需求。因此,為其引入新型的、更具可控性、可擴容以及超強計算能力的云計算技術,成為新一代數字校園在進行數據中心建設時需要考慮的問題。
2.1 通過服務器虛擬化滿足各種新功能的需求
在傳統的數字校園數據中心建設中,采用服務器集群的方式,由于數字校園各種功能部署的需要,需要采用幾十臺甚至上百臺單片服務器才能滿足。而通過服務器虛擬化技術,可以有效、充分地利用服務器資源,通過將單臺服務器虛擬出多臺的方式,有效解決服務器的硬件投入過大、單臺利用效率低下和管理維護以及運行成本過高等問題。通常服務器CPU占用率一般不超過15%,而虛擬化后物理主機的CPU使用率將提高到60~80%。
2.2 通過數據的集中存儲,適應數字校園大數據、智能化發展的需求
云計算在進行服務器虛擬化的同時,要求數據中心提供強大的集中存儲功能。而數字校園也需要將各個部門的數據統一集中到一個平臺中來,不但要便于數據的統一采集與調度,更需便于數據的管理與維護。因此,通過建設必要的數據存儲體系,包括容災備份體系建設等方面。
2.3 堅持在原有基礎上的“揚棄”,以滿足需求為目標建設數據中心
在進行數據中心建設時應充分考慮院校內已經建成或者正在運行的各種系統、各種物理資源的價值,而不是完全拋棄,應當將其納入到云計算數據中心建設中來統一考慮,充分利用現有資源,進行必要的整合與集成,做好資產的保護。
與此同時,還應當注意到云計算數據中心所帶來的一些負面影響。一是由虛擬服務器應用帶來的資源過度利提供論文寫作和寫作服務lunwen. 1KEJI AN. C OM,歡迎您的光臨用,要以保障穩定運行為前提,提前作好充分的論證。二是要防止虛擬主機的隨意蔓延。由于增加一臺服務器的配置不再像以往那樣,需要通過采購、安裝、部署等一系列過程,只需要數據中心通過技術虛擬出一個主機即可,這也可能導致各種主機的不斷擴張,因此,還需要加強對服務器需要的管理與審批。
3 以智能感知、自動交換、主動推送為目標,加強數字校園平臺建設
數字校園建設為院校教學科研與日常管理等活動提供強有力的支撐,本質上是利用現代化的手段對信息進行獲取、加工和處理,為以教學科研為中心的院校各項活動提供保障。因此,對校園內信息的獲取、處理與利用,在進行新一代數字校園設計與建設時應作為重中之重來進行考量。
3.1 充分利用物聯網技術,建設“智能感知”的數字校園數據采集體系
隨著物聯網技術的不斷成熟,射頻識別、紅外感應、全球定位、激光掃描等信息傳感技術的應用越來越廣,為數字校園中的對人、財、物的自動感知與信息采集提供了廣闊的應用前景。在高校重點可以從幾個方面來展開。
一是智能教室、實驗室的管理。伴隨高校數字化建設水平的提升,對大量不同的教室、實驗室設備進行有效管理是急需解決的課題。二是智能文檔管理。圖書文獻,包括由于各種原因無法通過電子文檔進行流轉的公文、各種檔案資料的管理等,通過加貼FRID標簽等方式,可以準確掌握這些重要文檔資料的流向,讓無聲的東西變成 “有聲”的,便于查找利用。 三是智能校園安保系統。將物聯網技術與安保系統進行結合,在原有校園視頻監控系統的基礎上,讓固定的財物能夠隨時發送位置、狀態信息,便于及時了解其去向,也為各種物資的有效利用提供方便。四是遠程水電管理系統。通過物聯網技術,可以及時發現水電的開關狀態,了解實時的使用情況,通過校園網可以有效管理路燈、室內照明以及公共水房等資源,從源頭上做到環保節能。
3.2 以應用集成為主線,建立自動交換的數據共享體系
傳統的數字校園一般采用系統集成的方式,將高校內部各種應用系統通過數據、身份、門戶集成等方式統一到一個平臺上。從表面上看,各種系統已經統一在數字校園內,但在其內核應用層面,還沒有做到真正的統一,尤其是底層數據的交換,有些復雜的觸發機制需要人工干預。而在新一代數字校園的建設中,應當摒棄傳統觀念,真正從“做事”的角度出發,以應用為主線,劃分出清晰的數據流、事務流,根據數據的流向、事務的處理流程來規劃數字校園的各項功能,從底層數據庫的設計開始,做好數據的統一規劃,確保高校內部各個層面的應用都能做到真正的數據共享。
3.3 通過訂閱、推送平臺,建立主動推送的信息應用體系
傳統的數字校園的信息門戶,雖然會根據用戶身份的不同,有一些差異化的設計,但是實際上這些差異是有限的提供論文寫作和寫作服務lunwen. 1KEJI AN. C OM,歡迎您的光臨、不全面的。新一代的數字校園,這些差異化應當與數據訂閱機制、身份認證平臺實施聯動,將共享數據庫中與用戶相關的信息及時推送到用戶的門戶中去。推送的方式,可以根據信息的重要程度、用戶的身份特征等進行區別。通過數據訂閱與信息推送體系的建設,在最大程度上解決無法找到合適信息以及“垃圾”信息泛濫等問題。
4 強化管理,統一建設,建設安全、可靠的數字校園運行平臺
自從互聯網進入實際運用以來,網絡安全始終是各方關注的重點,尤其是前期“棱鏡”監控事件進入公眾視野,國家采取了加強對互聯信息的管控等一系列措施,對網絡安全提出了更高的要求。 因此,在進行新一代數字校園建設時,信息安全也應當作為重要的一個環節。
4.1 適應網絡安全新形勢,將安全體系建設真正統一納入到數字校園工程建設中來
從網絡初期建設開始,有關部門就對信息安全提出了一系列的要求,但由于網絡安全一定程度上并不能產生直接的效益,許多院校在進行數字校園乃至網絡基礎設計建設時雖然將網絡安全納入了方案,但實際操作中則是能省就省,存在著重應用輕安全的觀念。
在進行新一代數字校園建設時,由于各種上網的信息涉及面廣,這些信息對某些有心人而言都是具有一定的應用價值。尤其是一些重點高校,加強網絡安全體系建設不能僅僅是停在口頭上、寫在書面上,而應當真正做到實際工作中,將之統一納入到數字校園建設中來,在網絡基礎設施、數字中心建設,以及數字校園各種應用系統的開發與應用等環節,充分考慮到信息的安全,通過統一的設計、統一的建設,有效地從源頭上管控信息安全。
4.2 強化制度保障,統一數據采集與應用標準,有效管制各種信息的采集與應用
新一代的數字校園,從設計與建設理念上來說,許多信息的采集都需要自動安全,智能采集。而在管理與應用層面,更加強調的是身份認證體系與應用權限,采用主動推送的方式進行。這對數字校園的建設者與管理者來說,必須從開始階段就做好信息的甄別工作,通過嚴格的規則制度,確定哪些信息通過何種方式采集與提供使用,同時也應當根據不同人員的身份特征,強化信息的應用范圍控制,確保把好數字校園內各種信息的入口與出口關,始終繃緊信息安全之弦。
4.3 堅持內外有別、上下有別,強化數據應用與下載的管控,確保信息安全
數字校園的身份認證體系是決定每個用戶提供、使用信息的依據,在加強數字校園的信息安全體系建設時,必須堅持做到內外有別、上下有別,即區分校內、校外用戶,領導、教職員工與學生有自己的不同的信息提供與獲取權限。要做到這些,應當從幾個方面來著手。
一是加強身份認證系統的建設與管理。不僅對身份認證系統的選擇要更加科學,注重其安全性;而且要加強對用戶身份變更等信息的更新維護,確保每個用戶都能獲取與其身份相對應的信息。二是區別一般信息與提供論文寫作和寫作服務lunwen. 1KEJI AN. C OM,歡迎您的光臨保密信息的管理與使用。這是通常的信息安全管理措施,對信息的涉密程度進行區分,通過邏輯子網等方式加以管控,有些甚至需要與公共的校園網絡進行安全隔離,確保安全。三是區別不同用戶對象的使用方式。對重要的用戶,即信息使用級別較高的校園網用戶,應當控制其使用方式。
新技術的應用為數字校園的建設與應用提供了廣闊的前景,但也帶來了更大的挑戰,在物聯網技術、云計算技術以及移動互聯網等為數字校園使用效益的發揮提供更大的舞臺的同時,也應當根據各個院校的實際情況,綜合考量新技術應用的范圍與規模,以最大的性價比獲取最大的使用效益。
【關鍵詞】校園網絡;網絡安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】B 【論文編號】1009―8097(2011)11―0066-05
引言
隨著國內高校新一輪信息化建設的不斷深入,高校校園網規模越來越大,承載的應用系統越來越多,校園網絡的結構也變得越來越龐大和復雜。隨著人才培養、科學研究等各項工作對校園網的依賴性不斷增加,校園網及各類應用系統的服務質量也應不斷提高標準和要求,作為一個使用成熟技術和成熟設備的園區網絡,網絡安全是影響網絡服務質量的重要因素。
但目前各高校的校園網“重建設,輕管理”的現象仍然十分普遍。在社會信息化發展的大潮中,各高校都已清楚地認識到校園網在學校各項工作中的基礎地位,因此在校園網硬軟件系統建設上進行了大量的投入,而正是硬件和軟件系統的大規模快速增長,使得對網絡的管理難以跟上建設的步伐,而網絡管理是軟性的工作,是不能夠通過統計報表看得出問題或成績的,因此網絡管理工作很難引起學校領導的重視。但在實際工作中,相對滯后的網絡管理會導致網絡安全問題的頻頻發生,反言之,網絡安全防范也是網絡管理的重要內容。
本文根據目前高校校園網絡存在的安全隱患來分析其成因,并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系,自底向上、由內到外、從技術到管理層面排查高校校園網絡中潛在的安全威脅并給出防護建議。
一 高校校園網絡的安全隱患及成因
目前高校校園網絡的主干網都是基于TCP/IP協議的以太網,與其他類型的Intranet網絡相比有其自身的特點,相應的安全隱患也就有其特定的成因。目前國內高校校園網絡普遍存在的安全隱患和漏洞主要來自以下幾個方面:
1 校園面積廣闊,網絡基礎設施管理困難
經過兼并和擴張,高校的校區面積動輒上千畝、幾千畝,許多高校還有地域上獨立的新老校區,作為樓宇間連線的光纖布線遍布校區各處,而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門,需要協調的工作也很繁雜,如果缺少一個明確的安全管理體系,就不容易分清工作界限,在出現突發故障后往往互相推諉,導致難以在短時間內恢復網絡暢通。
另外一方面,校園內樓宇繁多,樓字里每幾層都會有樓層網絡設備間放置匯聚層或接入層網絡設備,這些設備間的數量眾多,但往往安全防范措施簡易,門鎖形同虛設,甚至有些設備間連門都沒有,極易出現人為破壞或私拉亂接網線的情況,嚴重影響網絡的運行安全。除此以外,雷擊等外界原因也容易造成對網絡設備的破壞。
2 網絡設備種類繁多,不利于統一管理
校園網的建設一般是分批建設,不同批次、不同層次的網絡設備使用的規格、品牌往往不盡相同,而這些網絡設備的管理軟件大多都是基于私有MIB庫進行開發,這就造成了很難有一套統一的全網管理軟件。病毒或黑客對網絡設備進行攻擊時,就很難在第一時間發現和應對,常常是在設備癱瘓之后才意識到出現了問題、進行緊急恢復。
3 網絡終端數量眾多,安全措施薄弱
一般高校的學生人數都是以萬計,教師以干計,密集的用戶群意味著網絡終端的數量巨大,絕大多數網絡終端以計算機為主,隨著無線的普及,智能手機和平板電腦也成為重要的網絡終端設備。數量眾多的用戶使用計算機或手機的技術水平差異很大,尤其是文科專業的師生對計算機的使用掌握得并不熟練,未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網只要一處出現漏洞,整個網絡就無安全可言。近年來智能手機上也出現了不少的病毒和木馬程序,智能手機的系統安全問題正變得日益嚴重。
4 系統軟件本身并不安全
在目前的校園網環境中,個人終端裝機占有率最高的仍然是Windows操作系統,由于使用面廣,研究其漏洞的人也就更多,不少黑客都是利用其系統漏洞侵入用戶的計算機,再以這些被控制的計算機作為跳板,攻擊整個網絡。
與個人計算機相比,服務器操作系統漏洞更具有災難性。服務器的操作系統種類較多,除Windows之外還有Linux、Solaris等Unix系列的操作系統,而高校網絡管理人才隊伍中,對此類操作系統熟悉的人員比例不高,包括打補丁、差錯、優化在內的各種操作系統管理手段很難周全到位。除了操作系統本身,其上所運行的各類服務軟件(如IIS、Tomc~等)也存在安全漏洞問題,需要管理人員投入大量的精力進行研究和學習。
5 應用系統的安全漏洞
由于建設成本的考慮,高校的網絡應用系統提供商的層次差異很大,有些就是自行組織教師或學生進行開發,缺少軟件開發過程中各個層次的安全規劃設計與實現,使得應用系統層面的漏洞層出不窮,這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網站時使用了開源程序,這類系統的漏洞更是容易被利用,甚至不懂黑客原理的用戶經過幾分鐘的學習便可以掌握攻擊方法。
二 高校校園網絡的安全防范體系
由此可見,形成高校校園網絡安全隱患的原因是多層次的,也是相互關聯的,但目前各高校的網絡管理部門往往采用的是“頭痛醫頭、腳痛醫腳”的“救火式”解決辦法,只從某個方面或某個層次來應對。網絡管理人員每天都在疲于解決各種突發性的網絡安全事故,但問題還是與日俱增,網絡服務質量和用戶滿意度仍然處于較低的水平,這種“費力不討好”的現象迫使我們去思考更好的解決方案。
為此,針對目前高校校園網絡的安全現狀和威脅,結合實際工作經驗,我們運用系統論的分析方法,提出構建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,網絡安全集成關聯架構策略,同時也是體系中六個層次的英語詞組首字母組合)的網絡安全防范體系,為高校校園網絡安全提供一套完整的解決方案,以求由點到面、由“標”到“本”地系統地解決校園網絡的安全問題。該體系從六個層次和角度來闡述網絡安全的內容,并分析每個層次可能存在的隱患以及相應的應對策略,其中自底向上的五個層次分別是物理安全、網絡安全、系統安全、應用安全和信息安全,管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。
該體系將現行的高校校園網絡安全性劃分為5個橫向層次和1個縱向層次,在5個橫向層次中,最底層的物理安全是基礎,網絡安全是關鍵,系統安全、應用安全、信息安全是重點,管理安全是保障。下面分別對六個層次的內容、隱患來源以及應對措施進行詳細闡述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網絡和信息系統各種設備的物理安全是網絡整體安全的前提,通常包括環境安全(系統所在環境的安全保護)、設備安全和媒體安全三個部分。抗干擾、防竊聽是物理安全措施制定的重點。目前,物理實體的安全管理已有大量標準和規范,如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》、GB50173-93《電子計算機機房設計規范》等。
這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網絡的安全,影響信息的存儲和交換。人為破壞則主要來自于高校校園網周邊內外的人為性的損壞,這些損壞有時是主觀故意的(如學生發泄對網絡服務質量的不滿而對網絡設備或線路進行故意損壞),有時是客觀意外的(如園區周邊建筑施工導致挖斷網絡線路)。
面對以上威脅,為保證網絡的正常運行,在物理安全層次上應重點考慮兩個方面:
(1)校園網規劃、設計、建設時將物理安全作為重點工作對待,適當提高安全標準,為網絡設備或線路搭建防護設施、建立安全控制區域,盡量降低自然威脅可能帶來的風險。
(2)加強巡查,將重點網絡設備或線路所在地定為安全巡邏必到點,定期安排保衛人員在巡邏時查看網絡設備或線路的外觀和運行狀態(如各種狀態指示燈是否正常等),降低人為破壞的幾率。
2 網絡安全(Network Security)
網絡安全主要包括鏈路安全、傳輸安全和網絡訪問安全三個部分。鏈路安全需要保證通過網絡鏈路傳送的數據不被竊聽,主要針對共用信道的傳輸安全;傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等;網絡訪問安全需要保證網絡架構、網絡訪問控制、漏洞掃描、網絡監控與入侵檢測等。
這一層次的安全威脅主要包括:
(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。
(2)網絡架構設計問題、錯誤的路由配置、網絡設備與主機的漏洞、病毒等。
相應地應對措施主要有:
(1)在局域網內可以采用劃分VLAN(虛擬局域網)來對物理和邏輯網段進行有效的分割和隔離,消除不同安全級別邏輯網段間的竊聽可能;若是遠程網,可以采用鏈路加密等手段。
(2)加強網絡邊界的訪問控制。對于有明顯安全等級差別的網絡區域盡量增加防火墻設備進行隔離。如在校園內網、服務器區域之間設置防火墻;校園網出口處、與Intemet之間設置防火墻。
(3)在交換機上啟用DHCP-Snooping技術,使任何接入校園網的計算機只能動態獲得IP地址,同時杜絕未經批準建立的網站通過私自手工設置靜態IP地址來架設服務器。
(4)使用IDS(入侵檢測系統)。入侵檢測系統是近年出現的新型網絡安全技術,目的是提供實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊,其次它能夠阻止攻擊者的入侵。當檢測到有網絡攻擊或入侵時,可以實時發出報警,并詳細保存相關證據,以便用于追查或系統恢復。
(5)對網絡安全進行定期檢測,以實現安全的持續性。可以利用漏洞掃描類的工具軟件定期對系統進行掃描,根據掃描結果進行安全性評估,通過評估報告指出系統存在的安全漏洞,組織專家討論后給出補救措施和安全策略。
(6)建立網絡防病毒系統。在校園網中部署網絡版的防病毒系統,統一管理服務器和各類網絡終端的防毒軟件,定時自動升級與維護,以保護全網不被病毒侵害。通過對網絡中的病毒掃描集中控制,建立各種定時任務,統一集中觸發,然后由各被管理機器運行,同時可對日志文件的各種格式進行控制。在管理服務器上建立了集中的病毒分發報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告,所有病毒掃描狀態信息都可由控制臺得到。
3 系統安全(System Security)
系統安全即運行在網絡上的服務器、交換機、路由器、客戶端主機等具有完整網絡操作系統的設備的操作系統的安全。這一層次的安全威脅主要來自因操作系統本身的設計缺陷被攻擊者利用從而引發的后果。對于高校校園網絡而言,半數以上的攻擊往往屬于這一層次。這一層次的主要應對措施主要有:
(1)更新操作系統、安裝補丁程序。任何操作系統都有漏洞,因此,系統管理員的主要工作內容之一就是監控運行在網絡上的各類設備的狀態,發現異常應當及時解決、排除故障。對于交換機、路由器等設備而言,主要是更新操作系統的版本,這一類設備主要用于數據交換,因此其內置固化的操作系統往往功能簡單、體積很小,廠商的常規做法是新版本的系統,因此只需直接刷新即可。對于服務器、客戶端主機等設備,因其主要是用于數據處理,操作系統功能復雜、體積龐大,廠商通常是一些補丁程序來進行更新,因此直接安裝即可。
(2)優化系統。現代操作系統往往是多功能、多模塊、多組件的,可能一項系統設置可能會影響多個功能,也可能多個選項來共同作用于一個功能。因此,對操作系統進行優化是一項非常必要的工作,甚至個別系統的個別選項如果不加以優化可能會被攻擊者利用,從而產生威脅。實際當中包括關閉不需要的服務和端口并建立監測日志等。
(3)實行“最小授權”原則,分配正確和合適的權限。僅僅保持系統的版本最新、并做了優化是不夠的,試想如果網絡上的設備被設置了“123456”這樣的密碼,而且使用這個密碼登錄后還是最高權限的系統用戶帳號,那么整套網絡和信息系統的危險可想而知。實行“最小授權”原則(網絡中的帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度),關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險大大降低。例如,根據需要設置帳號和權限,并為帳號設置強密碼策略是必須完成的工作,如至少應該在8位以上,而且不要設置成容易猜測的密碼,并強制用戶每個月更改一次密碼等等。
(4)及時查殺服務器系統中的病毒、木馬和后門程序。
4 應用安全(Application Security)
應用安全主要是針對網絡中提供的各種功能和服務而提出的,例如Web服務:E-Mail服務、數據庫服務、各種業務系統、各種信息系統等等。應用安全的威脅主要有:應用系統缺陷、非法入侵等。這一層次的主要應對措施有:
(1)及時升級和更新各應用軟件和信息系統,降低因軟件設計缺陷引起的風險。若應用軟件或業務系統是高校自行開發,系統的使用部門(往往是業務部門)應聯系開發人員及時跟進,發現漏洞及時修補。
(2)對應用軟件和信息系統實行身份認證和安全審計。
與系統安全類似,應用軟件和信息系統也應對使用者進行分類、分配權限、認證身份并審計各種操作。例如可以按照需要在高校校園網內部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權管理體系),實現增強型身份認證,并為實現內容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現雙因子或多因子的身份認證功能。同時,還應特別注意對移動用戶撥入的身份認證和授權訪問控制。
5 信息安全(Information Security)
信息安全注重的是網絡上各類數據、信息的內容安全。這一層次可能的威脅和相應的應對措施有:
(1)植入惡意代碼或其他有害信息。一部分攻擊者經常采用的攻擊方法是掃描網段找到有漏洞的主機,接著使用黑客軟件或攻擊程序進行刺探,在獲得系統權限后將惡意代碼植入到在該主機上運行的各應用軟件或信息系統中,待其他用戶正常使用時發作,或修改頁面的內容造成不良影響。針對這種情況,可以部署網頁防篡改系統,減少Web站點的內容被惡意更改植入惡意代碼或其他有害信息。
(2)垃圾郵件和病毒的傳播。目前,電子郵件已經成為垃圾信息和病毒的主要傳播途徑之一,采用垃圾郵件網關并部署電子郵件反病毒模塊能夠在一定程度上減輕危害,缺點是垃圾郵件識別模塊和反病毒模塊需要經常性升級,在查殺和攔截上有一定的滯后性。
(3)負面輿論導向。高校歷來是思想碰撞的場所,網絡作為新興載體己經發揮著越來越大的作用,因此,輿情監督和正面輿論導向將逐漸成為高校信息安全的重點工作內容。除了采取技術手段進行監督管理外,高校的信息化管理部門還應與宣傳部門一道培養輿論導向的專業人員或學生,主動將信息安全的風險降到最低。
6 管理安全(Administration Security)
目前,部分高校的網絡管理人員及其用戶的安全意識總的來說較為淡薄,且大多數高校的網絡管理制度不完善、管理技術落后、管理機構不健全。上述因素不僅使得校園網絡性能下降、運行成本提高,而且還會造成大量非正常訪問,導致整個網絡資源浪費,帶來極大的安全隱患,使得網絡受到攻擊的概率大幅提高。
管理安全是整個防范體系的主線和基礎,貫穿于整個體系的始終。如果僅有安全技術方面的防范,而無配套的安全管理體系,也難以保障網絡安全的。必須制訂相應的安全管理制度,對安全技術的實施落實到具體的執行者和執行程度。
網絡安全工作可以說是一項群體性的工作,網絡用戶的安全意識是網絡安全的決定因素,對校園網絡用戶安全意識的教育是安全防范體系中至關重要的環節,是形成高校校園網絡安全體系的基礎。尤其是在病毒泛濫的大環境下,需要通過定期培訓、及時通過各種手段病毒預警通知、監督和促使用戶盡快打補丁等方法,達到增強師生用戶的安全意識,提高必要的安全防范技能的目的。
以上便是我們提出的網絡安全防護體系的六個層次,除管理安全層次外,其余五層與TCP/IP協議的層次類似,上一層的安全是建立在其下一層的安全基礎之上,下一層的安全是上一層安全的重要保障,層次之間環環相扣,不留安全死角。
本體系中的六個層次也基本涵蓋了高校網絡管理工作的方方面面,將網絡安全工作的思路分層次清晰化,具有極強的實用價值和指導作用。
三 應用效果
重慶理工大學從2001年開始大規模建設校園網絡,2003年開始建設數字化校園系統。校園網按照核心層、匯聚層和接入層三個層次進行規劃設計,共有各類網絡設備600多臺,接入信息點18000個,活躍用戶大約2萬人,各類服務器40多臺,安裝有Windows、Linux和Solaris等操作系統,數據庫以Oracle和SQL Server為主。數字化校園系統覆蓋辦公、教務、學工、人事、財務、后勤等各個方面的工作,共計有各類系統模塊80余個。在大規模的硬件和軟件系統建設前期,缺乏對網絡安全的系統認識,在遭遇網絡安全事故時,常常只能采取臨時性的應對措施。隨著網絡和系統規模的不斷擴大,網絡安全已經成為影響網絡服務質量的重要根源,網絡信息中心的員工幾乎天天都在疲于應對各類突發性的網絡安全事件。
學校從2008年開始總結網絡安全工作的經驗與教訓,運用系統工程的分析方法,從整體和系統的角度提出網絡安全防范方案,形成了“IAAPNS”網絡安全防范體系,并應用到校園網的建設與維護工作中,經過三年多的運行,學校校園網絡安全工作進得了明顯的成績(如圖2所示):
對網絡設備攻擊(包括病毒)而導致網絡故障的次數由2008年的334次降到2010年的65次,2011年上半年為19次;利用操作系統漏洞(包括Web服務器漏洞)攻擊成功次數由2008年的46次降到2010年的6次,2011年上半年為2次;利用應用軟件的安全漏洞攻擊成功次數由2008年的125次降到2010年的43次,2011年上半年為15次。
隨著網絡安全防范工作的加強,網絡服務質量明顯提升,如圖3所示,用戶滿意度從2008年61%提升到2010年的73%,2011年上半年為78%。
論文摘要:隨著高校信息化建設水平的不斷提高,無線網絡逐漸成為校園網解決方案的一個重要組成部分。該文對校園無線網接入進行研究,并對校園無線網絡的安全進行了分析,最后給出了一種適合校園網無線網絡的安全解決方案。
1引言
在過去的很多年,計算機組網的傳輸媒介主要依賴銅纜或光纜,構成有線局域網。但有線網絡在實施過程中工程量大,破壞性強,網中的各節點移動性不強。為了解決這些問題,無線網絡作為有線網絡的補充和擴展,逐漸得到的普及和發展。
在校園內,教師與學生的流動性很強,很容易在一些地方人員聚集,形成“公共場所”。而且隨著筆記本電腦的普及和Intemet接入需求的增長,無論是教師還是學生都迫切要求在這些場所上網并進行網上教學互動活動。移動性與頻繁交替性,使有線網絡無法靈活滿足他們對網絡的需求,造成網絡互聯和Intemet接入瓶頸。
將無線網絡的技術引入校園網,在某些場所,如網絡教室,會議室,報告廳、圖書館等區域,可以率先覆蓋無線網絡,讓用戶能真正做到無線漫游,給工作和生活帶來巨大的便利。隨后,慢慢把無線的覆蓋范圍擴大,最后做到全校無線的覆蓋。
2校園網無線網絡安全現狀
在無線網絡技術成熟的今天,無線網絡解決方案能夠很好滿足校園網的種種特殊的要求,并且擁有傳統網絡所不能比擬的易擴容性和自由移動性,它已經逐漸成為一種潮流,成為眾多校園網解決方案的重要選擇之一。隨著校園網無線網絡的建成,在學校的教室、辦公室、會議室、甚至是校園草坪上,都有不少的教師和學生手持筆記本電腦通過無線上網,這都源于無線局域網拓展了現有的有線網絡的覆蓋范圍,使隨時隨地的網絡接入成為可能。但在使用無線網絡的同時,無線接入的安全性也面臨的嚴峻的考驗。目前無線網絡提供的比較常用的安全機制有如下三種:①基于MAC地址的認證。基于MAC地址的認證就是MAC地址過濾,每一個無線接入點可以使用MAC地址列表來限制網絡中的用戶訪問。實施MAC地址訪問控制后,如果MAC列表中包含某個用戶的MAC地址,則這個用戶可以訪問網絡,否則如果列表中不包含某個用戶的MAC地址,則該用戶不能訪問網絡。②共享密鑰認證。共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網絡的訪問權。③802.1x認證。802.1x協議稱為基于端口的訪問控制協議,它是個二層協議,需要通過802.1x客戶端軟件發起請求,通過認證后打開邏輯端口,然后發起DHCP請求獲得IP以及獲得對網絡的訪問。
可以說,校園網的不少無線接入點都沒有很好地考慮無線接入的安全問題,就連最基本的安全,如基于MAC地址的認證或共享密鑰認證也沒有設置,更不用說像802.1x這樣相對來說比較難設置的認證方法了。如果我們提著筆記本電腦在某個校園內走動,會搜索到很多無線接入點,這些接入點幾乎沒有任何的安全防范措施,可以非常方便地接入。試想,如果讓不明身份的人進入無線網絡,進而進入校園網,就會對我們的校園網絡構成威脅。
3校園網無線網絡安全解決方案
校園網內無線網絡建成后,怎樣才能有效地保障無線網絡的安全?前面提到的基于MAC地址的認證存在兩個問題,一是數據管理的問題,要維護MAC數據庫,二是MAC可嗅探,也可修改;如果采用共享密鑰認證,攻擊者可以輕易地搞到共享認證密鑰;802.1x定義了三種身份:申請者(用戶無線終端)、認證者(AP)和認證服務器。整個認證的過程發生在申請者與認證服務器之間,認證者只起到了橋接的作用。申請者向認證服務器表明自己的身份,然后認證服務器對申請者進行認證,認證通過后將通信所需要的密鑰加密再發給申請者。申請者用這個密鑰就可以與AP進行通信。
雖然802.1x仍舊存在一定的缺陷,但較共享密鑰認證方式已經有了很大的改善,IEEE802.11i和WAPI都參考了802.1x的機制。802.1x選用EAP來提供請求方和認證服務器兩者之間的認證服務。最常用的EAP認證方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft為多種使用802.1x的身份驗證協議提供了本地支持。在大多數情況下,選擇無線客戶端身份驗證的依據是基于密碼憑據驗證,或基于證書驗證。建議在執行基于證書的客戶端身份驗證時使用EAP-TLS;在執行基于密碼的客戶端身份驗證時使用EAP-Microsoft質詢握手身份驗證協議版本2(MSCHAPv2),該協議在PEAP(ProtectedExtensibleAuthenticationProtoco1)協議中,也稱作PEAP-EAP-MSCHAPv2。
考慮到校園群體的特殊性,為了保障校園無線網絡的安全,可對不同的群體采取不同的認證方法。在校園網內,主要分成兩類不同的用戶,一類是校內用戶,一類是來訪用戶。校內用戶主要是學校的師生。由于工作和學習的需要,他們要求能夠隨時接入無線網絡,訪問校園網內資源以及訪問Internet。這些用戶的數據,如工資、科研成果、研究資料和論文等的安全性要求比較高。對于此類用戶,可使用802.1x認證方式對用戶進行認證。來訪用戶主要是來校參觀、培訓或進行學術交流的一些用戶。這類用戶對網絡安全的需求不是特別高,對他們來說最重要的就是能夠非常方便而且快速地接入Intemet,以瀏覽相關網站和收發郵件等。針對這類用戶,可采用DHCP+強制Portal認證的方式接入校園無線網絡。
如圖所示,開機后,來訪用戶先通過DHCP服務器獲得IP地址。當來訪用戶打開瀏覽器訪問Intemet網站時,強制Porta控制單元首先將用戶訪問的Intemet定向到Portal服務器中定制的網站,用戶只能訪問該網站中提供的服務,無法訪問校園網內部的其他受限資源,比如學校公共數據庫、圖書館期刊全文數據庫等。如果要訪問校園網以外的資源,必須通過強制Portal認證.認證通過就可以訪問Intemet。對于校內用戶,先由無線用戶終端發起認證請求,沒通過認證之前,不能訪問任何地方,并且不能獲得IP地址。可通過數字證書(需要設立證書服務器)實現雙向認證,既可以防止非法用戶使用網絡,也可以防止用戶連入非法AP。雙向認證通過后,無線用戶終端從DHCP服務器獲得IP地址。無線用戶終端獲得IP地址后,就可以利用雙方約定的密鑰,運用所協商的加密算法進行通信,并且可以重新生成新的密鑰,這樣就很好地保證了數據的安全傳輸。
使用強制Portal+802.1x這兩種認證方式相結合的方法能有效地解決校園網無線網絡的安全,具有一定的現實意義。來訪用戶所關心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。雖然用戶名和密碼可以通過SSL加密,但傳輸的數據沒有任何加密,任何人都可以監聽。當然,必須通過相應的權限來限制和隔離此類用戶,確保來訪用戶無法訪問校園網內部資料,從而保證校園網絡的高安全性。校內用戶所關心的主要是其信息的安全,安全性要求比較高。802.1x認證方式安裝設置比較麻煩,設置步驟也比較多,且要有專門的802.1x客戶端,但擁有極好的安全性,因此針對校內用戶可使用802.1x認證方式,以保障傳輸數據的安全。
4結束語
校園網各區域分別覆蓋無線局域網絡以后,用戶只需簡單的設置就可以連接到校園網,從而實現上網功能。特別是隨著迅馳技術的發展,將進一步促進校園網內無線網絡的建設。現在,不少高校都已經實現了整個校園的無線覆蓋。但在建設無線網絡的同時,由于對無線網絡的安全不夠重視,對校園網無線網絡的安全考慮不夠。在這點上,學校信息化辦公室和網管中心應該牽頭,做好無線網絡的安全管理工作,并完成全校無線網絡的統一身份驗證,做到無線網絡與現有有線網絡的無縫對接,確保無線網絡的高安全性。
參考文獻: