時間:2023-09-21 16:55:30
導語:在如何加強網絡安全防范的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
【關鍵詞】校園網絡;網絡安全;信息安全;防范體系
【中圖分類號】G40-057 【文獻標識碼】A 【論文編號】1009-8097(2012)09-0053-04
隨著信息技術的快速發展和高校網絡基礎設施的不斷完善,資源整合、應用系統和校園信息化平臺建設已經成為校園信息化的主要任務。在新的網絡信息環境下,信息資源也得到更大程度地共享,3G、IPV6、虛擬化和云計算等新技術開始研究和實施應用;三網融合、云服務及“智慧校園”等服務新理念的不斷提出,使得校園網規模不斷擴大,復雜性和異構性也不斷增加,而這些需求都要求有一個能夠承載大容量、高可信、高冗余和快速穩定安全的校園網作為基礎條件。與此同時,高校用戶在享受信息化成果所帶來的工作高效和便利的同時,也面臨著來自校園網內部和外部帶來的各種安全威脅和挑戰。因此,有必要建立一套高效、安全、動態網絡安全防范體系,來加強校園網絡安全防護和監控,為校園信息化建設奠定更加良好的網絡基礎。
一 校園網絡安全面臨的問題
1、網絡安全投入少,安全管理不足
在校園網建設過程中,管理單位主要側重技術和設備投入,對網絡安全管理不重視,在網絡安全方面投入也較少,一般通過架設出口防火墻來保護校園內部網,缺少對安全漏洞的分析和病毒的主動防范的系統。同時,由于高校機構設置的原因,很多高校在網絡管理方面存在人員不足,同一個技術人員同時肩負著建設、管理和安全的工作情況Ⅲ,在校園網安全管理方面,實踐經驗告訴我們,校園網絡安全的保障不僅需要安全設備和安全技術,更需要有健全的安全管理體系。很多高校沒有成立信息安全機構,缺乏完善的安全管理制度和管理規范,在網絡和信息安全方面沒有根據重要程度進行分級管理。有統計表明,70%以上的信息安全問題是由管理不善造成的,而這些安全問題的95%是可以通過科學的信息安全管理制度來避免。
2、系統和應用軟件漏洞較多,存在嚴重威脅
傳統的計算機網絡是基于TCP/IP協議的網絡。在實際運用中,TCP/IP協議在設計的時候是以簡單高效為目標,缺少完善的安全機制。因此,基于TCP/IP而開發的各種網絡系統都存在安全漏洞,黑客往往把這些漏洞作為攻擊的突破口。安全漏洞主要包括交換機IOS漏洞、操作系統漏洞和應用系統漏洞等,操作系統漏洞如WINDOWS、UNIX、LINUX等往往存在著某些組件的安全漏洞,如果管理員沒有及時更新系統補丁或升級軟件,就會成為眾多黑客攻擊的目標。應用程序漏洞往往出現在最常用的軟件上,如IE、QQ、迅雷、暴風影音等經常存在一些安全漏洞,這些漏洞很容易成為黑客攻擊最直接的目標,給校園網帶來了嚴重威脅,使得校園網絡安全需要投入更多的精力,需要從各個層次進行防范。
3、網絡安全意識淡薄,計算機病毒較多
高校校園網主要的服務群體是教職工和學生,用戶計算機網絡水平參差不齊,在日常上網行為和使用計算機過程中,很多用戶缺少足夠的網絡安全意識,比如教職工為了教學科研和日常辦公方便,經常使用簡單的密碼來管理計算機和各種業務系統,造成密碼容易被非法盜用,從而導致系統和網絡安全問題,黑客通過盜取個人信息進行詐騙或者獲取用戶賬號信息來謀求不法利益,甚至有些黑客在用戶的計算機安裝后門木門,并作為僵尸網絡的攻擊工具。另外,計算機技術的飛速發展也使得計算機病毒獲得了更加快捷多樣的傳輸途徑,各種新型病毒不斷升級變異,并通過U盤、移動終端、局域網等各種方式進行廣泛傳播。如何提高用戶的網絡安全意識,有效解決病毒對校園網絡安全的威脅,也是校園網管理人員必須面臨的一個問題。
二 構建校園網絡安全防范體系
針對校園網絡安全的各種安全隱患和威脅,要有效地進行防范,我們必須了解網絡安全的體系結構及其包含的主要內容,國際電信聯盟電信標準部(ITU-T)在X-800建議中提出了開放系統互連(OSI)安全體系結構,OSI安全體系結構集中在三個方面:安全攻擊,安全機制和安全服務。安全攻擊是指損害機構所擁有信息的安全的任何行為;安全機制是指設計用于檢測、預防安全攻擊或者恢復系統的機制;安全服務是指采用一種或多種安全機制以抵御安全攻擊、提高機構的數據處理系統安全和信息傳輸安全的服務。三者之間的關系如圖1所示。
在校園網絡管理中,網絡安全防范根本任務就是防范安全攻擊,提供安全可靠的信息服務。在計算機網絡發展過程中,人們在不斷實踐總結的基礎上逐漸形成了動態信息安全理論體系模型,如P2DR模型,主要包括:Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。該模型以安全策略為指導,將安全防護、安全檢測和及時響應有機地結合起來,形成了一個完整的、動態的安全循環,有效地保障了保證網絡信息系統的安全。
關鍵詞:校園網絡;安全管理;優化
隨著教育信息化的發展,網絡已經成為學校重要的教學資源。無論是教師,還是學生越來越離不開網絡。校園網絡為師生提高了新的教學手段和工具,給師生帶來極大利好。但是,不容忽視的是,目前我國校園網絡安全管理存在許多問題,這對學校的教學及教育信息化的發展都是一個威脅。如何解決這些問題的方法是我們需要思考的問題。
一、校園網絡安全管理中存在的問題
目前,校園網絡安全管理存在的問題比較多,概括起來主要有五個。
1、網絡安全在校園網絡的建設存在中未得到足夠的重視。現在校園網絡的建設有一個誤區,那就是重規模輕安全。有些學校,一直非常重視校園網的擴容建設,而忽視校園網絡安全需要。在這樣的誤區下,學校的網絡安全防衛系統肯定不能很好的建構起來。
2、缺乏合格的網絡安全管理人才。我國許多學校都沒有專業的網絡安全管理人才,網管人員技術水平普遍不高,經驗也不足。一些網管人員也不投入足夠的時間和精力來研究網絡安全問題。因此,他們沒有能力來處理突發網絡安全事故,更無法應付復雜多變的網絡環境。
3、師生的安全防范意識薄弱,網絡安全防御技術和能力也比較缺乏。相關調查顯示,校園師生的網絡安全防范意識比較薄弱,許多人認為網絡安全是網管的事,自己只管使用就行了。就算有些師生有較高的網絡安全防范意識,但如果不是計算機相關專業的師生也不懂得網絡安全防御技術,所以沒有相應的安全防御能力。
4、網絡道德教育嚴重滯后。在校園里,有些學生惡意使用網絡資源,也有些學生瀏覽黃色網頁,還有些學生接受或不良信息。這些不良現象的出現說明當前我國網絡道德教育嚴重滯后,迫切需要加強。
5、監管機制不完善,管理存在許多漏洞。一方面,校園網絡安全管理方面,國家還沒有明確的管理法規、制度。另一方面,由于學校對國家出臺相關的網絡安全法規的宣傳力度不到位,使得許多師生不怎么了解。此外,由于學校領導不夠重視,部分學校的網管未發揮應有的作用。
二、優化校園網絡安全管理的措施
1、強化網絡安全管理意識
校園網絡安全事故的發生,很大程度上是因為師生網絡安全管理意識不強,不能在使用網絡時提高警惕。因此學校需要強化師生的網絡安全管理意識,在思想上、心理上為校園網絡安全裝上保護盾。首先學校要加大網絡道德、網絡心理的宣傳力度,是校園網絡用戶認識到校園網絡安全與自己息息相關,所以自己有責任來維護校園網絡安全。學校可以把網絡道德、信息安全教育納入課堂,盡快改變學校網絡道德教育脫節、滯后的現狀,遏制大學生網絡犯罪率的上升。例如:可以開設一些類似于《網絡安全與管理技術》《信息安全技術》的網絡安全課程。其次,學校要加強國家的法律法規和學校制定的規章的宣傳,是廣大師生自覺遵守國家相關的法律法規,做到文明使用網絡,以抵御外在的不法攻擊。比如:向師生介紹宣傳《國家安全法》《計算機信息系統安全保護條例》《算機信息網絡國際聯網安全保護管》《計算機犯罪法》等法律和法規性文件,使師生明確自己在校園網絡安全中所享有的權利和所應承擔的義務。
2、加強網絡安全隊伍建設,建立高素質的校園網絡安全管理工作隊伍
面對目前校園網絡安全問題,學校應加強隊伍建設,建立高素質的校園網絡安全管理工作隊伍。首先需要做好優質網絡安全管理人才的引進工作。因為,校園網絡安全的實現離不開高水平的網絡安全管理人才。學校應當在引進人才時有所側重,將那些安全意識又高、管理技能有好的優秀人才引入學校來。再者,學校要加強對學校網管人員的職業道德和技能培訓。學校既可以請一些專業的網絡安全管理專家進校培訓,也可以讓相應網絡管理人員去校外參加網絡安全管理培訓。
3、構建校園網絡安全管理工作體制,落實相關的責任
校園網絡安全要實現常態化,必須構建校園網絡安全管理工作體制。學校要堅持“誰使用、誰主管、誰負責”的原則,切實加強校園網絡安全的組織管理工作,基金構建一個統一領導、分級負責、部門參與、管理體制、管理和技術人員協同工作的管理體制。在網絡安全管理工作體制下,校園網絡安全管理工作要做到歸口管理與分級負責制度,明確學校各單位在校園網絡安全管理工作中的職責,把責任落實到位、具體到人。
4、建立健全校園網絡安全技術支持系統
校園網絡安全要有保障,必須采取多種安全技術,建立健全校園網絡安全技術支持系統。可以采用的安全技術主要有五種:防火墻技術、反病毒技術、密碼技術、VLAN(虛擬局域網)技術。
5、加大校園網絡安全經費投入
校園網絡安全經費投入是加強校園網絡安全建設的物質基礎和財力保障。沒有校園網絡安全經費投入,就無法引入專業的技術人才和管理人才,也無法加強網絡道德、網絡心理和法律法規的宣傳力度,再有效的措施也無法實施。因此學習必須撥出專款,以增加校園網絡安全設施、人員的投入。這樣,加強校園網絡安全才不是一句空話,才能真正得到落實。綜上所述,我國校園網絡安全存在一些問題,有許多地方需要優化和完善的地方。優化校園網絡安全管理,可以強化網絡安全管理意識,加強網絡安全隊伍建設,構建校園網絡安全管理工作體制,建立健全校園網絡安全技術支持系統,加大校園網絡安全經費投入。
作者:崔寶才 單位:天津電子信息職業技術學院
參考文獻:
[1]瞿朝成,朱小軍.校園網建設對網絡安全技術和策略的相關應用[J].中國建材科技.2016(01)
關鍵詞信息安全;PKI;CA;VPN
1引言
隨著計算機網絡的出現和互聯網的飛速發展,企業基于網絡的計算機應用也在迅速增加,基于網絡信息系統給企業的經營管理帶來了更大的經濟效益,但隨之而來的安全問題也在困擾著用戶,在2003年后,木馬、蠕蟲的傳播使企業的信息安全狀況進一步惡化。這都對企業信息安全提出了更高的要求。
隨著信息化技術的飛速發展,許多有遠見的企業都認識到依托先進的IT技術構建企業自身的業務和運營平臺將極大地提升企業的核心競爭力,使企業在殘酷的競爭環境中脫穎而出。面對這瞬息萬變的市場,企業就面臨著如何提高自身核心競爭力的問題,而其內部的管理問題、效率問題、考核問題、信息傳遞問題、信息安全問題等,又時刻在制約著自己,企業采用PKI技術來解決這些問題已經成為當前眾多企業提高自身競爭力的重要手段。
在下面的描述中,以某公司為例進行說明。
2信息系統現狀
2.1信息化整體狀況
1)計算機網絡
某公司現有計算機500余臺,通過內部網相互連接,根據公司統一規劃,通過防火墻與外網互聯。在內部網絡中,各計算機在同一網段,通過交換機連接。
圖1
2)應用系統
經過多年的積累,某公司的計算機應用已基本覆蓋了經營管理的各個環節,包括各種應用系統和辦公自動化系統。隨著計算機網絡的進一步完善,計算機應用也由數據分散的應用模式轉變為數據日益集中的模式。
2.2信息安全現狀
為保障計算機網絡的安全,某公司實施了計算機網絡安全項目,基于當時對信息安全的認識和安全產品的狀況,信息安全的主要內容是網絡安全,部署了防火墻、防病毒服務器等網絡安全產品,極大地提升了公司計算機網絡的安全性,這些產品在此后防范網絡攻擊事件、沖擊波等網絡病毒攻擊以及網絡和桌面日常保障等方面發揮了很大的作用。
3風險與需求分析
3.1風險分析
通過對我們信息系統現狀的分析,可得出如下結論:
(1)經營管理對計算機應用系統的依賴性增強,計算機應用系統對網絡的依賴性增強。計算機網絡規模不斷擴大,網絡結構日益復雜。計算機網絡和計算機應用系統的正常運行對網絡安全提出了更高的要求。
(2)計算機應用系統涉及越來越多的企業關鍵數據,這些數據大多集中在公司總部數據中心,因此有必要加強各計算機應用系統的用戶管理和身份的認證,加強對數據的備份,并運用技術手段,提高數據的機密性、完整性和可用性。
通過對現有的信息安全體系的分析,也可以看出:隨著計算機技術的發展、安全威脅種類的增加,某公司的信息安全無論在總體構成、信息安全產品的功能和性能上都存在一定的缺陷,具體表現在:
(1)系統性不強,安全防護僅限于網絡安全,系統、應用和數據的安全存在較大的風險。
目前實施的安全方案是基于當時的認識進行的,主要工作集中于網絡安全,對于系統和應用的安全防范缺乏技術和管理手段。如缺乏有效的身份認證,對服務器、網絡設備和應用系統的訪問都停留在用戶名/密碼的簡單認證階段,很容易被冒充;又如數據備份缺乏整體方案和制度規范,容易造成重要數據的丟失和泄露。
當時的網絡安全的基本是一種外部網絡安全的概念,是基于這樣一種信任模型的,即網絡內部的用戶都是可信的。在這種信任模型下,假設所有可能的對信息安全造成威脅的攻擊者都來自于組織外部,并且是通過網絡從外部使用各種攻擊手段進入內部網絡信息系統的。
針對外部網絡安全,人們提出了內部網絡安全的概念,它基于這樣一種信任模型:所有的用戶都是不可信的。在這種信任模型中,假設所有用戶都可能對信息安全造成威脅,并且可以各種更加方便的手段對信息安全造成威脅,比如內部人員可以直接對重要的服務器進行操控從而破壞信息,或者從內部網絡訪問服務器,下載重要的信息并盜取出去。內部網絡安全的這種信任模型更符合現實的狀況。
美國聯邦調查局(FBI)和計算機安全機構(CSI)等權威機構的研究也證明了這一點:超過80%的信息安全隱患是來自組織內部,這些隱患直接導致了信息被內部人員所竊取和破壞。
信息系統的安全防范是一個動態過程,某公司缺乏相關的規章制度、技術規范,也沒有選用有關的安全服務。不能充分發揮安全產品的效能。
(2)原有的網絡安全產品在功能和性能上都不能適應新的形勢,存在一定的網絡安全隱患,產品亟待升級。
已購買的網絡安全產品中,有不少在功能和性能上都不能滿足進一步提高信息安全的要求。如為進一步提高全網的安全性,擬對系統的互聯網出口進行嚴格限制,原有的防火墻將成為企業內網和公網之間的瓶頸。同時病毒的防范、新的攻擊手段也對防火墻提出了更多的功能上的要求,現有的防火墻不具備這些功能。
網絡信息系統的安全建設建立在風險評估的基礎上,這是信息化建設的內在要求,系統主管部門和運營、應用單位都必須做好本系統的信息安全風險評估工作。只有在建設的初期,在規劃的過程中,就運用風險評估、風險管理的手段,用戶才可以避免重復建設和投資的浪費。
3.2需求分析
如前所述,某公司信息系統存在較大的風險,信息安全的需求主要體現在如下幾點:
(1)某公司信息系統不僅需要安全可靠的計算機網絡,也需要做好系統、應用、數據各方面的安全防護。為此,要加強安全防護的整體布局,擴大安全防護的覆蓋面,增加新的安全防護手段。
(2)網絡規模的擴大和復雜性的增加,以及新的攻擊手段的不斷出現,使某公司計算機網絡安全面臨更大的挑戰,原有的產品進行升級或重新部署。
(3)信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求,為此要加快規章制度和技術規范的建設,使安全防范的各項工作都能夠有序、規范地進行。
(4)信息安全防范是一個動態循環的過程,如何利用專業公司的安全服務,做好事前、事中和事后的各項防范工作,應對不斷出現的各種安全威脅,也是某公司面臨的重要課題。
4設計原則
安全體系建設應按照“統一規劃、統籌安排、統一標準、分步實施”的原則進行,避免重復投入、重復建設,充分考慮整體和局部的利益。
4.1標準化原則
本方案參照信息安全方面的國家法規與標準和公司內部已經執行或正在起草標準及規定,使安全技術體系的建設達到標準化、規范化的要求,為拓展、升級和集中統一打好基礎。
4.2系統化原則
信息安全是一個復雜的系統工程,從信息系統的各層次、安全防范的各階段全面地進行考慮,既注重技術的實現,又要加大管理的力度,以形成系統化的解決方案。
4.3規避風險原則
安全技術體系的建設涉及網絡、系統、應用等方方面面,任何改造、添加甚至移動,都可能影響現有網絡的暢通或在用系統的連續、穩定運行,這是安全技術體系建設必須面對的最大風險。本規劃特別考慮規避運行風險問題,在規劃與應用系統銜接的基礎安全措施時,優先保證透明化,從提供通用安全基礎服務的要求出發,設計并實現安全系統與應用系統的平滑連接。
4.4保護投資原則
由于信息安全理論與技術發展的歷史原因和自身的資金能力,某公司分期、分批建設了一些整體的或區域的安全技術系統,配置了相應的設施。因此,本方案依據保護信息安全投資效益的基本原則,在合理規劃、建設新的安全子系統或投入新的安全設施的同時,對現有安全系統采取了完善、整合的辦法,以使其納入總體安全技術體系,發揮更好的效能,而不是排斥或拋棄。
4.5多重保護原則
任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
4.6分步實施原則
由于某公司應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,系統脆弱性也會不斷增加。一勞永逸地解決安全問題是不現實的。針對安全體系的特性,尋求安全、風險、開銷的平衡,采取“統一規劃、分步實施”的原則。即可滿足某公司安全的基本需求,亦可節省費用開支。
5設計思路及安全產品的選擇和部署
信息安全防范應做整體的考慮,全面覆蓋信息系統的各層次,針對網絡、系統、應用、數據做全面的防范。信息安全防范體系模型顯示安全防范是一個動態的過程,事前、事中和事后的技術手段應當完備,安全管理應貫穿安全防范活動的始終,如圖2所示。
圖2網絡與信息安全防范體系模型
信息安全又是相對的,需要在風險、安全和投入之間做出平衡,通過對某公司信息化和信息安全現狀的分析,對現有的信息安全產品和解決方案的調查,通過與計算機專業公司接觸,初步確定了本次安全項目的內容。通過本次安全項目的實施,基本建成較完整的信息安全防范體系。
5.1網絡安全基礎設施
證書認證系統無論是企業內部的信息網絡還是外部的網絡平臺,都必須建立在一個安全可信的網絡之上。目前,解決這些安全問題的最佳方案當數應用PKI/CA數字認證服務。PKI(PublicKeyInfrastructure,公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系,它從技術上解決了網上身份認證、信息完整性和抗抵賴等安全問題,為網絡應用提供可靠的安全保障,向用戶提供完整的PKI/CA數字認證服務。通過建設證書認證中心系統,建立一個完善的網絡安全認證平臺,能夠通過這個安全平臺實現以下目標:
身份認證(Authentication):確認通信雙方的身份,要求通信雙方的身份不能被假冒或偽裝,在此體系中通過數字證書來確認對方的身份。
數據的機密性(Confidentiality):對敏感信息進行加密,確保信息不被泄露,在此體系中利用數字證書加密來完成。
數據的完整性(Integrity):確保通信信息不被破壞(截斷或篡改),通過哈希函數和數字簽名來完成。
不可抵賴性(Non-Repudiation):防止通信對方否認自己的行為,確保通信方對自己的行為承認和負責,通過數字簽名來完成,數字簽名可作為法律證據。
5.2邊界防護和網絡的隔離
VPN(VirtualPrivateNetwork)虛擬專用網,是將物理分布在不同地點的網絡通過公用骨干網(如Internet)連接而成的邏輯上的虛擬專用網。和傳統的物理方式相比,具有降低成本及維護費用、易于擴展、數據傳輸的高安全性。
通過安裝部署VPN系統,可以為企業構建虛擬專用網絡提供了一整套安全的解決方案。它利用開放性網絡作為信息傳輸的媒體,通過加密、認證、封裝以及密鑰交換技術在公網上開辟一條隧道,使得合法的用戶可以安全的訪問企業的私有數據,用以代替專線方式,實現移動用戶、遠程LAN的安全連接。
集成的防火墻功能模塊采用了狀態檢測的包過濾技術,可以對多種網絡對象進行有效地訪問監控,為網絡提供高效、穩定地安全保護。
集中的安全策略管理可以對整個VPN網絡的安全策略進行集中管理和配置。
5.3安全電子郵件
電子郵件是Internet上出現最早的應用之一。隨著網絡的快速發展,電子郵件的使用日益廣泛,成為人們交流的重要工具,大量的敏感信息隨之在網絡上傳播。然而由于網絡的開放性和郵件協議自身的缺點,電子郵件存在著很大的安全隱患。
目前廣泛應用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標準)發展而來的。首先,它的認證機制依賴于層次結構的證書認證機構,所有下一級的組織和個人的證書由上一級的組織負責認證,而最上一級的組織(根證書)之間相互認證,整個信任關系基本是樹狀的。其次,S/MIME將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。
5.4桌面安全防護
對企業信息安全的威脅不僅來自企業網絡外部,大量的安全威脅來自企業內部。很早之前安全界就有數據顯示,近80%的網絡安全事件,是來自于企業內部。同時,由于是內部人員所為,這樣的安全犯罪往往目的明確,如針對企業機密和專利信息的竊取、財務欺騙等,因此,對于企業的威脅更為嚴重。對于桌面微機的管理和監控是減少和消除內部威脅的有效手段。
桌面安全系統把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起,形成一個整體,是針對客戶端安全的整體解決方案。
1)電子簽章系統
利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術,可以無縫嵌入OFFICE系統,用戶可以在編輯文檔后對文檔進行簽章,或是打開文檔時驗證文檔的完整性和查看文檔的作者。
2)安全登錄系統
安全登錄系統提供了對系統和網絡登錄的身份認證。使用后,只有具有指定智能密碼鑰匙的人才可以登錄計算機和網絡。用戶如果需要離開計算機,只需拔出智能密碼鑰匙,即可鎖定計算機。
3)文件加密系統
文件加密應用系統保證了數據的安全存儲。由于密鑰保存在智能密碼鑰匙中,加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法,從而保證了存儲數據的安全性。
5.5身份認證
身份認證是指計算機及網絡系統確認操作者身份的過程。基于PKI的身份認證方式是近幾年發展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式,很好地解決了安全性與易用性之間的矛盾。USBKey是一種USB接口的硬件設備,它內置單片機或智能卡芯片,可以存儲用戶的密鑰或數字證書,利用USBKey內置的密碼算法實現對用戶身份的認證。
基于PKI的USBKey的解決方案不僅可以提供身份認證的功能,還可構建用戶集中管理與認證系統、應用安全組件、客戶端安全組件和證書管理系統通過一定的層次關系和邏輯聯系構成的綜合性安全技術體系,從而實現上述身份認證、授權與訪問控制、安全審計、數據的機密性、完整性、抗抵賴性的總體要求。
6方案的組織與實施方式
網絡與信息安全防范體系流程主要由三大部分組成:攻擊前的防范、攻擊過程中的防范和攻擊后的應對。安全管理貫穿全流程如圖3所示。網絡與信息安全防范體系模型流程不僅描述了安全防范的動態過程,也為本方案的實施提供了借鑒。
圖3
因此在本方案的組織和實施中,除了工程的實施外,還應重視以下各項工作:
(1)在初步進行風險分析基礎上,方案實施方應進行進一步的風險評估,明確需求所在,務求有的放矢,確保技術方案的針對性和投資的回報。
(2)把應急響應和事故恢復作為技術方案的一部分,必要時可借助專業公司的安全服務,提高應對重大安全事件的能力。
(3)該方案投資大,覆蓋范圍廣,根據實際情況,可采取分地區、分階段實施的方式。
(4)在方案實施的同時,加強規章制度、技術規范的建設,使信息安全的日常工作進一步制度化、規范化。
7結論
本文以某公司為例,分析了網絡安全現狀,指出目前存在的風險,隨后提出了一整套完整的解決方案,涵蓋了各個方面,從技術手段的改進,到規章制度的完善;從單機系統的安全加固,到整體網絡的安全管理。本方案從技術手段上、從可操作性上都易于實現、易于部署,為眾多行業提供了網絡安全解決手段。
也希望通過本方案的實施,可以建立較完善的信息安全體系,有效地防范信息系統來自各方面的攻擊和威脅,把風險降到最低水平。
關鍵詞:醫院信息網絡;信息系統安全;防范
中圖分類號:TP309 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0057-02
隨著我國醫療信息化快速發展,醫院信息系統的普及,信息系統在數字化醫院中的作用越發重要,信息作為無形資產與其它資產一樣受到重視和保護。如果信息系統在運行時出現故障,醫院的各掛號、收費、醫囑、取藥、電子病歷、物資管理等各種工作都將無法正常運行,加強和重視醫院信息網絡安全已經成為醫院信息化建設刻不容緩的問題,醫院信息系統安全性的設計與實現,在信息系統建設的投資中將會占據越來越大的比重[1]。一旦醫院信息系統發生故障,甚至癱瘓,不但讓醫院蒙受巨大的經濟損失,而且將給醫院社會效益帶來無法估量的負面影響。如何科學分析網絡安全隱患途徑和切實有效做好醫院信息網絡安全隱患防范越發顯得極其重要。在信息網絡應用技術不斷發展升級的同時,非法訪問,惡意攻擊等網絡安全的威脅越演越烈,層出不窮。VPN、防火墻、放病毒、IDS、身份認證、安全審計、數據加密等安全防護手段在網絡中不斷得到廣泛應用。結合我院的實際情況,本人提出以下防范措施供參考:
一、針對服務器存儲設備硬件故障的安全防范措施
服務器是信息系統的核心設備,如果損壞將使醫院整個信息系統癱瘓。對此,我們采用主、備兩臺服務器加主、備兩臺存儲設備,利用賽門鐵克公司的雙機軟件做2+2群集。當某一臺服務器因硬件故障或軟件操作系統故障宕機時,另一臺服務器通過心跳線測到后,將宕機服務器的所有服務自動接管過來進行服務,信息系統仍然可以正常運行。同時,每臺服務器均采用雙硬盤RAID1技術,RAID技術是通過數據條塊化方法與磁盤陣列相結合,來提高數據可用率的一種結構。同時利用“奇偶檢驗”技術在硬盤失效時重新產生數據,保證服務器任意一塊硬盤損壞都不會影響服務器正常運行。實現熱備的主、備兩臺數據儲備中所有硬盤,又均采用RAID6技術保障某一存儲同時損壞兩塊硬盤時,也不會丟失數據。結合各設備硬盤熱插拔技術,在不停業務情況下,隨時更換故障硬盤,保證數據的安全和完整。
二、針對網絡設備硬件安全防范
核心交換機亦是網絡數據傳送的核心,我們也采用主、備雙核心交換機,兩臺核心交換機之間,心跳線應用為萬兆光纖。當其中一臺核心交換機宕機時,另一臺核心交換機自動接管運行數據。所有匯聚層交換機均采用千兆光纖雙鏈路連接至核心交換機。每個匯聚交換機下端的計算機用戶劃分不同的VLAN,核心到匯聚,匯聚到接入層,劃分各交換機均設置獨立的管理地址,并由專人保密管理。整個三層結構的網絡鏈路上,安裝網強網絡運維管理系統,實現各項遠程運維監控和管理功能。時時監察各網段網管設備各種運營情況,發現問題及時解決。同時,在接入層交換機上,對終端計算機的IP和MAC地址與各端口進行綁定,再通過交換機和防火墻之間的設置聯動,來防止一些非法用戶利用偽MAC、偽IP地址進行越權訪問網絡資源隱患,雖然在更換設備和用戶時有些繁瑣,但安全防范效果非常好,從而避免各類網絡安全隱患的發生。
三、針對移動存儲介質的安全防范
醫院信息系統工作日常工作操作內容繁多,工作量大。幾乎醫院所有的臨床科室與機關職能部門均有相應的子系統應用。醫院各終端用戶如果使用U盤等移動存儲介質,可能造成各終端計算機操作系統受病毒感染,這些病毒嚴重威脅醫院信息網絡安全,如何量減少終端計算機上移動存儲介質的接入是網絡安全至關重要的問題之一。我們在網絡鏈接上的每臺計算機上都使用網強桌面管理軟件,根據需要對計算機的各種I/O設備接口進行管理,包括:U盤、光驅、串口、并口等。雖然USB封閉,但可以使用USB接口打印機、鍵盤、鼠標等非數據讀寫的外部設備,禁止和限制移動存儲介質接入,避免和減少了病毒傳播。桌面終端管理系統可以應用多種設置策略,隨時授權專人管理,并實現計算機IP地址的鎖定,禁止終端計算機修改自身IP地址,防止因終端計算機隨時修改IP地址產生相互沖突,造成對信息系統的威脅。桌面管理軟件還可以對一些關鍵科室的計算機24小時截屏,隨時調閱。同時,我們在每臺終端計算機上安裝了小哨兵硬盤還原卡,利用還原卡對每臺計算機進行相應還原設置,當每臺計算機重新啟動后,均能回到我們所配置的標準操作狀態,有效避免了少數病毒長時間殘留于某臺工作站的情況。
四、針對網絡病毒的安全防范
隨著信息技術的高速發展,計算機病毒也在飛速成長,全世界幾乎每天都有無數網絡系統被病毒感染。病毒是當前網絡面臨的巨大威脅之一,一旦信息系統受病毒攻擊,極有可能造成全院網絡系統的癱瘓,將給醫院帶來不可估量的損失。為此,我們采用一套趨勢科技的最新網絡版殺毒軟件,并時時更新升級病毒庫,并把殺毒軟件設置為:機器每次啟動時,對關鍵區域自動病毒掃描,查殺各種新型病毒,保護網絡系統安全運行。
在與外埠醫保、農合平臺鏈接和進行數據交換方面,我們租用電信專線光纖,并在進戶前端,安裝VPN或防火墻,防火墻作用是介于我院安全的內部網絡和非安全的外部網絡之間,進行網絡訪問控制的網絡設備,用來防止未授權的或不期望的用戶和主機我院內部網絡,避免外部設備接入我院網絡對我院網絡的惡意攻擊或病毒傳播。在安全使用防火墻時,同時應用入侵檢測系統,入侵檢測系統就是防火墻系統的合理延伸和補充。如果防火墻是第一道安全閘門,入侵檢測系統就可以稱為第二道砸門,入侵檢測系統通過計算機網絡系統的關鍵是收集信息,并進行分析,從中發現網絡中是否有違反安全策略的行為和被攻擊對象,有效的彌補了防火墻所能達到的防護極限。經常定期檢測各服務器系統和終端計算機操作系統的漏洞情況,進行相關的配置和補丁管理,通過對已發現的安全缺陷快速反應,從而大大提高各網絡抵抗病毒風險的能力。
五、針對IP地址沖突的安全防范
醫院信息網絡中每臺計算機都有各自的IP地址,如果IP地址沖突,會導致相同IP地址計算機均無法正常工作,甚至可能會導致整個網絡癱瘓。雖然終端桌面系統做了IP綁定,但無法對外來非法接入計算機進行綁定IP。因此,我科采用多種辦法解決IP地址沖突問題。如:
1.在整個網絡上接匯聚交換機管理區域,劃分多個VLAN,每個VLAN就是一個虛擬局域網,優點就是通過VLAN的劃分來防范廣播風暴,并能夠形成虛擬工作組。利用網絡功能動態管理網絡,同時,每個VLAN之間可以定向訪問、多向訪問和訪問公共網段時的各類服務器。其中機房設備使用專用VLAN,并切實做好VLAN地址的各種保密工作。
2.在核心交換機的傍路安裝銳捷ESS1000端點準入系統專用設備,對所有接入網絡終端計算機進行IP、MAC和硬盤信息認證并綁定。沒有經過授權的終端計算機無法登錄網絡,還能對網絡上任何設備技能型方位操作,在訪問控制方面,確保了網絡安全。
六、針對數據管理和備份的安全防范
隨著信息系統的健全和醫院整體建設的不斷發展,信息數據將是醫院最寶貴的財富,如果業務數據的丟失,更是一場巨大的災難。即使其它各種安全防范措施2+2群集平臺,僅能防范硬件損壞造成的威脅,卻不能防范數據庫病毒感染、數據庫邏輯損壞等數據丟失。因此,我們在數據備份機制上,采用賽門鐵克數據備份軟件,把數據通過每天凌晨和中午各做一次全備、5分鐘一次增量備份、20分鐘一次差量備份等多種方式遠程備份到異地冗災服務器上,實時備份對數據的每一個操作時間進行記錄,通過對時間點和操作步驟的回溯修復錯誤,所有數據回退是完全建立在實時備份的基礎上的,需要數據恢復時,只要選擇需要恢復的操作步數和操作時間即可,這樣極大程度保證了數據庫冗災,縮短數據恢復的時間和減少醫院信息數據的丟失。為了防止備份數據的外流或非法他用,對備份的數據必須有加密措施,來保證備份數據即使被竊取出去,也無法在非法環境中進行恢復使用。同時,我們還每月一次定期對所有數據庫進行異地離線數據備份,把所有的數據分類別分時間段離線備份到一臺RAID5方式60TB容量的海量磁盤陣列上面,滿足醫院信息系統數據保存30年的要求。同時按照數據庫管理規范的要求,數據庫超級用戶權限嚴格控制專人負責,最大限制并盡可能減少超級用戶的使用。并實行分級授權、分級管理,達到“用所必須”的目的。
綜上所述,醫院信息系統是整個醫院運營的神經系統,信息系統安全關系到醫院的整體利益,醫院信息系統運行的成敗很大程度上取決于信息網絡的完整性和安全性,而醫院信息系統安全的關鍵是減少各環節的單點故障的發生。隨著信息技術不斷發展,信息網絡存在的安全隱患將不斷呈現出來。除上述各項安全解決方案外,我們在現有基礎上,還通過其它各種方式來保護信息網絡。在院領導高度重視下,培養一支操作規范,技術過硬的醫院信息系統管理團隊,認真執行科學合理的制度,也是醫院信息系統溫度安全、高效運行的有力保證。如:
1.制定各項信息系統管理制度和規范,如:《機房安全操作管理制度》、《數據安全管理和保密制度》、《信息中心人員工作制度》等并嚴格認真執行。從主觀上,增強信息系統安全防范能力。
2.對一些口令或密碼的不定期修改,密碼設計盡量多樣化、組合式來增加復雜度,防止因密碼泄漏造成的安全隱患。
3.安裝數據庫審計設備提高數據庫讀寫時的安全性,對數據庫操作進行全方面監控和記錄等。實現數據讀寫的可追溯及數據細節分析。
總之,醫院信息系統的安全,只是相對的安全,永遠不可能是絕對的安全。只有以高度重視的態度,嚴謹認真,措施落實的進行,才能把醫院信息系統安全隱患做到最低。網絡安全管理所涉及的功能復雜,實現方式各異,需要綜合應用以形式,完整的安全統一域管理體系。因此,保障一個安全域至少需要幾個部分安全功能協調作用[2]。
醫院信息系統安全防范之路任重道遠。
參考文獻:
關鍵詞:計算機 網絡信息安全 管理
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1672-3791(2017)03(c)-0003-02
在當今這個以互聯網技術為核心的信息時代,計算機信息技術的發展給我們的工作和學習生活都帶來了巨大便利,也正是由于近年來網絡的迅速普及,電腦走近千萬家,計算機網絡信息安全事故也頻頻發生,時有個人信息泄露,利用網絡漏洞行騙,非法釣魚網站等安全隱患不斷增大,病毒和木馬程序日益猖狂,計算機網絡信息安全面臨著巨大的挑戰。結合計算機網絡信息技術在當今科技中所處地位不難發現,網絡信息安全直接影響用戶、企業甚至是國家的信息安全,所以關注計算機網絡信息安全問題迫在眉睫,保障網絡信息安全,完善計算機網絡信息防護技術是當前最亟待解決的問題之一。
1 當前我國計算機網絡信息安全現狀
1.1 計算機網絡信息安全防護技術落后
計算機網絡是指,多臺計算機通過通信線路連接,在網絡操作系統、網絡管理軟件以及網絡通信管理的協調下,實現資源共享、數據傳輸和信息傳遞。在此共享、傳輸、傳遞的過程中,由于所傳輸的數據和信息量巨大,所以無論是數據傳輸,信息運行,安全意識等任何一項計算機網絡信息安全的決定因素產生問題都會造成計算機網絡信息安全漏洞,威脅我們的信息安全。
當前存在的主要信息安全問題有:黑客威脅,黑客指精通計算機網絡技術的人,擅長利用計算機病毒和系統漏洞侵入他人網站非法獲得他人信息,更有嚴重者可以進行非法監聽,線上追蹤,侵入系統,破解機密文件造成商業泄密等對社會財產產生威脅的違法行為。相對而言病毒更為簡單常見,病毒是破壞計算機功能或者毀壞數據影響計算機使用的程序代碼,它具有傳染速度快,破壞性強、可觸發性高的特點,能通過特定指令侵入他人文件,直接造成文件丟失或泄露,或用于盜取用戶重要個人信息,如身份證號碼、銀行賬戶及密碼等。此外計算機本身的安全漏洞也是一大問題,操作系統自身并不安全、軟件存在固有漏洞加之計算機管理人員操作不當在系統設計之初便留下破綻,為網絡安全埋下隱患。從物理層面來講,計算機所處環境條件對其硬件保護具有很大的影響,潮濕和塵土容易使計算機出現系統故障、設備故障、電源故障等,此類問題出現頻率低,但不易解決。
相較于頻繁出現的計算機網絡信息安全問題,當前的計算機信息安全防護技術單一落后,仍然只靠防火墻等低端技術來解決問題,根本于事無補。新的病毒和木馬程序不斷更新換代,層出不窮,只有我們的計算機信息安全防護技術提高水準才能規避信息安全隱患。
1.2 計算機網絡信息安全管理制度缺失
制定計算機網絡安全管理制度的目的是加強日常計算機網絡和軟件管理,保障網絡系統安全,保證軟件設計和計算機的安全,保障系統數據庫安全運營。常見計算機網絡信息安全管理制度包括日常W絡維修,系統管理員定時檢查維修漏洞,及時發現問題提出解決方案并記錄在《網絡安全運行日志》中。然而當前使用計算機的個人企業和事業單位眾多,卻鮮有企業用戶制定相應的計算機網絡安全管理制度,公司也沒有相應部門專門負責計算機系統網絡打的定時檢查,做數據備份和服務器防毒措施和加密技術,更加沒有聘用專業技術人員解決修復計算機本身的系統漏洞,加之平時不注意對計算機的物理保護,軟硬件設施都有巨大的安全泄密隱患。
長期以來,由于相關機構沒有完整、完善的管理制度和措施,造成了管理人員的懈怠,滋生了計算機工作者的懶惰心理和部分內部人員從內部泄密的違法行為。參照國外成熟的計算機網絡信息安全管理模式,我們不難發現一個良好的計算機網絡信息安全管理機制所起到的作用不僅僅是保障了我們的信息安全,并且提高了日常辦公效率,對更好地發展計算機技術有促進作用。解決計算機網絡信息安全迫在眉睫,從管理制度缺失上面入手,實質上是從源頭避免計算機網絡信息安全問題的產生,具有很深刻的實踐意義。
1.3 缺乏計算機網絡信息安全意識
對計算機網絡信息安全來說,技術保障是基礎,管理保障是關鍵環節,盡管前兩者在對計算機網絡信息安全保護的過程中起到了巨大的作用。但是僅僅依賴與計算機網絡信息技術保障我們會發現計算機病毒不斷更新換代,應用的侵入程序技術越來越高級,專業技術人員提高遏制病毒的技術,新型病毒再次產生,如此一來陷入“道高一尺魔高一丈”的惡性循環,僅僅依賴計算機網絡信息管理制度,取得成效所需時間長,浪費人力物力多,程序繁雜與提高計算機網絡管理效率的初衷相悖。為制止計算機網絡信息安全威脅的社會危害性,我國已經制定相關法律通過加強計算機使用者的安全意識和法律強制手段打擊計算機網絡犯罪。網絡信息安全意識的培養和法律法規的強制規定,提高計算機使用者的網絡安全防范意識,主動使用加密設置和殺毒程序,法律法規能夠打擊網絡違法犯罪,彌補法律漏洞,使其無法逃脫。
我們還必須意識到,法律保障計算機網絡信息安全的措施才剛剛起步,大部分計算機安全防范意識并不成熟。在我國大中小城市中,區域發展不平衡,計算機網絡安全防范意識對比明顯,信息安全防護技術不成熟,計算機網絡信息安全問題依然嚴峻。
2 根據計算機網絡信息安全現狀分析相關管理措施
2.1 計算機信息加密技術應用
隨著近年來網上購物的火速發展,第三方支付系統出現,支付寶、微信、網上銀行等貨款交易都是線上進行,對計算機防護系統提出了更高的標準,計算機加密技術成為了最常用的安全技術,即所謂的密碼技術,現在已經演變為二維碼技術,驗證碼技術,對賬戶進行加密,保證賬戶資金安全。在該技術的應用中,如果出現信息竊取,竊取者只能竊取亂碼無法竊取實際信息。
從1986年的首例計算機病毒――小球病毒開始,計算機病毒呈現出了傳染性強,破壞性強,觸發性高的特點,迅速成為計算機網絡信息安全中最為棘手的問題之一。針對病毒威脅,最有效的方法是對機關單位計算機網絡應用系統設防,將病毒攔住在計算機應用程序之外。通過掃描技術對計算機進行漏洞掃描,如若出現病毒,即刻殺毒并修復計算機運行中所產生的漏洞和危險。對計算機病毒采取三步消除政策:第一步,病毒預防,預防低級病毒侵入;第二步,病毒檢驗,包括病毒產生的原因,如數據段異常,針對具體的病毒程序做分析研究登記方便日后殺毒;第三步,病毒清理,利用殺毒軟件殺毒,現有的病毒清理技術需要計算機病毒檢驗后進行研究分析,具體情況具體分析利用不同殺毒軟件殺毒,這也正是當前計算機病毒的落后性和局限性所在。我們應當開發新型殺毒軟件,研究如何清除不斷變化著的計算機病毒,該研究對技術人員的專業性要求高,對程序數據精確性要求高,同時對計算機網絡信息安全具有重要意義。
2.2 完善改進計算機網絡信息安全管理制度
根據近些年來的計算機網絡安全問題事件來看,許多網絡安全問題的產生都是由于計算機管理者內部疏于管理,未能及時更新防護技術,檢查計算機管理系統,使得病毒、木馬程序有了可乘之機,為計算機網絡信息安全運行留下了巨大安全隱患。
企業事業單位領導應該高度重視計算機網絡信息安全管理制度的建立,有條件的企業事業單位應當成立專門的信息保障中心,具體負責日常計算機系統的維護,漏洞的檢查,病毒的清理,保護相關文件不受損害。
建議組織開展信息系統等級測評,同時堅持管理與技術并重的原則,邀請專業技術人員開展關于“計算機網絡信心安全防護”的主題講座,增加員工對計算機網絡安全防護技術的了解,對信息安全工作的有效開展起到了很好的指導和規范作用。
2.3 提高信息安全防護意識,制定相關法律
在網絡信息時代,信息具有無可比擬的重要性,關系著國家的利益,影響著國家發展的繁榮和穩定,目前我國計算機網絡信息安全的防護技術和能力從整體上看還不盡如人意,但在出臺《國家信息安全報告》探討在互聯網信息時代應如何建設我國計算機網絡信息安全的問題后,我國計算機網絡安全現狀已經有所改觀。根據國家計算機病毒應急處理中心的最新統計數據,2016年的計算機信息網絡安全事故較上一年有所下降。事實說明計算機信息安全防護意識在法律規定作用下是有所進步的。
3 結語
計算機網絡信息技術在給我們帶來了極大便捷的同時,也有它的缺陷,以正確的態度面對和解決這些問題,是該文今天的目的所在。因計算機網絡信息安全這個課題涉及范圍廣,該文只是描述了當前計算機網絡信息安全的現狀,諸如計算機防護技術落后,管理制度缺失,安全防范意識不高等,并針對該現象給出了科學的建議。希望在提高計算機安全防護技術,完善計算機網絡信息安全制度,提高公民計算機安全防范意識的同時,達到最終目的:保障我們的信息安全,為社會穩定繁榮作出貢獻。
參考文獻
關鍵詞:計算機網絡;網絡安全;隱患;防范策略
計算機的廣泛應用把我們的各項事業都融入其中,特別是計算機網絡的社會化,已經成為了信息時代的主要推動力。隨著計算機信息化建設的飛速發展,計算機已普遍應用到日常工作、生活的每一個領域,比如政府機關、學校、醫院、社區及家庭等。但隨之而來的是,計算機網絡安全也受到前所未有的威脅,計算機病毒無處不在,黑客的猖獗,都防不勝防。本文將對計算機信息網絡安全存在的問題進行深入剖析,并提出相應的安全防范措施。如何培養出創新人才是當今社會的新要求,也是教學研究的重要課題。
一、計算機網絡的現狀
當今網絡在安全攻擊面前顯得如此脆弱源于以下幾個方面的原因:(1) Internet所用底層TCP/IP網絡協議本身就很容易受到攻擊,該協議本身的安全問題極大地影響到上層應用的安全。(2) Internet上廣為傳插的傻瓜式黑客軟件和解密工具使很多網絡用戶輕易地獲得了攻擊網絡的方法和手段。(3) 快速的軟件升級周期,會造成問題軟件的出現,經常會出現操作系統和應用程序存在新的攻擊漏洞。(4) 現行法規政策和管理方面存在不足。目前我國針對計算機及網絡信息保護的條款不細致,網上保密的法規制度可操作性不強,執行不力。
二、計算機網絡面臨的威脅
計算機信息系統之所以存在著脆弱性,主要是由于技術本身存在著安全弱點、系統的安全性差、缺乏安全性實踐等。由于計算機信息系統已經成為信息社會另一種形式的“金庫”和“保密室”,因而,成為一些人窺視的目標。計算機信息系統的安全威脅主要來自于以下幾個方面:
(1)自然災害。計算機信息系統僅僅是一個智能的機器,易受自然災害及環境(溫度、濕度、振動、沖擊、污染)的影響。
(2)黑客的威脅和攻擊。計算機信息網絡上的黑客攻擊事件越演越烈,這些黑客具有計算機系統和網絡脆弱性的知識,通常采用非法侵入重要信息系統,竊聽、獲取、攻擊侵人網的有關敏感性重要信息,修改和破壞信息網絡的正常使用狀態,造成數據丟失或系統癱瘓,給國家造成重大政治影響和經濟損失。
(3)計算機病毒。90年代,出現了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。計算機感染上病毒后,輕則使系統上作效率下降,重則造成系統死機或毀壞,使部分文件或全部數據丟失,甚至造成計算機主板等部件的損壞。
(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統的“可廣播性”進行商業、宗教、政治等活動,把自己的電子郵件強行“推入”別人的電子郵箱,強迫他人接受垃圾郵件。與計算機病毒不同,間諜軟件的主要目的不在于對系統造成破壞,而是竊取系統或是用戶信息。
(5)信息戰的嚴重威脅。信息戰,即為了國家的軍事戰略而采取行動,取得信息優勢,干擾敵方的信息和信息系統,同時保衛自己的信息和信息系統。信息技術從根本上改變了進行戰爭的方法,其攻擊的首要目標主要是連接國家政治、軍事、經濟和整個社會的計算機網絡系統。
(6)計算機犯罪。計算機犯罪,通常是利用竊取口令等手段非法侵人計算機信息系統,傳播有害信息,惡意破壞計算機系統,實施貪污、盜竊、詐騙和金融犯罪等活動。
三、計算機網絡安全防范策略
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
(1)防火墻技術。防火墻是網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。如果所有的訪問都經過防火墻,
(2)數據加密與用戶授權訪問控制技術。與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。
(3)入侵檢測技術。入侵檢測系統(Intrusion Detection System簡稱IDS)是從多種計算機系統及網絡系統中收集信息,再通過這此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊。
(4)防病毒技術。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺PC上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除。
(5)安全管理隊伍的建設。在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,強化使用人員和管理人員的安全防范意識。
四、結束語
計算機網絡的安全問題越來越受到人們的重視,本文簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
【參考文獻】
[1]張千里.網絡安全新技術[M].北京:人民郵電出版社,2008
【關鍵詞】計算機網絡;系統安全;網絡權限;防范
隨著網絡時代的來臨,人們在享受著網絡帶來無盡的快樂的同時,也面臨著越來越嚴重和復雜的網絡安全威脅和難以規避的風險。因此,如何全面了解影響計算機網絡安全的因素,強化安全防范措施,使計算機網絡系統更好地發揮其應有作用,是網絡安全管理者亟待解決的問題。
一、影響計算機網絡安全的因素
1.網絡系統安全策略。由于網絡系統設計不規范、不合理以及缺乏安全性考慮,致使網絡系統的穩定性和可擴充性受到影響。
2.硬件的配置不協調。一是文件服務器。它是網絡的中樞,其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從而使網絡功能發揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。
3.后門和木馬程序。后門的功能主要有:使管理員無法阻止種植者再次進入系統、使種植者在系統中不易被發現、使種植者進入系統花費最少時間。
4.計算機病毒。計算機病毒指編制或在計算機程序中插入的破壞計算機功能和數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。
5.應用系統安全漏洞。WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對原程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。
二、確保計算機網絡安全的防范措施
1.突出頂層設計,重點考慮計算機網絡安全策略問題。
安全策略是一個成功的網絡安全體系的基礎與核心。安全策略包括網絡拓撲結構和為了網絡安全、穩定、可持續發展能夠承受的安全風險,以及保護對象的安全優先級等方面的內容。
2.加強設施管理,確保計算機網絡系統實體安全。
建立健全安全管理制度,防止非法用戶進入計算機控制室;著重在保護計算機系統、網絡服務器、打印機等外部設備和通信鏈路上下功夫,并不定期的對運行環境進行檢查、測試和維護;著力改善抑制和防止電磁泄漏的能力,確保計算機系統有一個良好的電磁兼容的工作環境。
3.強化訪問控制,力促計算機網絡系統運行正常。
訪問控制是網絡安全防范和保護的主要措施,它的任務是保證網絡資源不被非法用戶使用和訪問,是網絡安全最重要的核心策略之一,要突出抓好以下幾項內容。
第一,建立入網訪問控制功能模塊。入網訪問控制為網絡提供了第一層訪問控制。它允許哪些用戶可以登錄到網絡服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個過程:用戶名的識別與驗證;用戶口令的識別與驗證;用戶帳號的檢查。在三個過程中如果其中一個不能成立,系統就視為非法用戶,不能訪問該網絡。
第二,建立網絡權限控制模塊。網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。可以根據訪問權限將用戶分為三種類型:特殊用戶(系統管理員);一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;審計用戶,負責網絡的安全控制與資源使用情況的審計。
第三,建立屬性安全服務模塊。屬性安全控制可以將給定的屬性與網絡服務器的文件、目錄和網絡設備聯系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。
第四,建立網絡服務器安全設置模塊。網絡服務器的安全控制包括設置口令鎖定服務器控制臺;設置服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔;安裝防非法訪問設備等。防非法訪問裝置最有效的設施是防火墻。它是一個用以阻止網絡中非法用戶訪問某個網絡的屏障,也是控制進、出兩個方向通信的門檻。
第五,建立檔案信息加密制度。保密性是計算機系統安全的一個重要方面,主要是利用密碼信息對加密數據進行處理,防止數據非法泄漏。利用計算機進行數據處理可大大提高工作效率,但在保密信息的收集、處理、使用和傳輸同時,也增加了泄密的可能性。因此對要傳輸的信息和存儲在各種介質上的數據按密級進行加密是行之有效的保護措施之一。
第六,建立網絡智能型日志系統。日志系統具有綜合性數據記錄功能和自動分類檢索能力。在該系統中,日志將記錄自某用戶登錄時起,到其退出系統時止,其所執行的所有操作,包括登錄失敗操作,對數據庫的操作及系統功能的使用。日志所記錄的內容有執行某操作的用戶、執行操作的機器IP地址、操作類型、操作對象及操作執行時間等,以備日后審計核查之用。
第七,建立完善的備份及恢復機制。為了防止存儲設備的異常損壞,可采用由熱插拔SCSI硬盤所組成的磁盤容錯陣列,以RAID5的方式進行系統的實時熱備份。同時,建立強大的數據庫觸發器和恢復重要數據的操作以及更新任務,確保在任何情況下使重要數據均能最大限度地得到恢復。
隨著信息與網絡技術的飛速發展,網絡的安全問題將會變得日益嚴重起來。黑客的攻擊、病毒的騷擾、信息的安全,巨大的經濟利益和潛伏著的危機使我們必須高度重視網絡安全、嚴格加強防范,切實增進網絡安全系數。科學、有效的安全防范措施,可以盡最大可能地保證網絡連續、穩定、安全和高效的運行。
參考文獻:
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.
1高校校園網絡面臨的不安全因素
高校校園網負荷很大,要保障成幾千甚至上萬臺電腦、交換機等設備的良好運行。這些設備分布于校園的不同部位,遍及各個角落,功能不同,用處各異,用戶操作水平差異很大,由于部分用戶缺乏基本的網絡知識,沒有樹立強烈的安全意識,不能及時識別和處理網絡產生的安全問題,沒有掌握有效的處理技能,常常會導致網絡安全事故的發生。校園網絡的運行經常存在如下不安全因素。
1.1網絡病毒的侵襲
對網絡造成嚴重威脅的是網絡病毒,如常見的木馬病毒等。病毒的特點是傳播速度很快,會在短時間內對網終造成破壞,甚至使整個網絡處于癱瘓狀態,再加之防御措施不得力,如校園殺毒軟件得不到及時更新,就會出現病毒漫延的問題,對校園計算機造成極大危害,如造成信息丟失、泄露、計算機癱瘓等嚴重問題。病毒泛濫于整個網絡,造成網絡資源的大量損失。目前的計算機網絡受內外攻擊的情況越來越嚴重,對校園網的安全造成很大威脅。高校的網站建設都是以WEB管理系統為基礎的,往往會出現代碼漏洞。由于代碼編寫過程存在著安全漏洞的問題,使得病毒的傳播通過收發郵件、瀏覽網頁及網絡資源下載等渠道,廣泛傳播,無孔不入,對于網絡的軟硬件都會造成損害。對校園網絡產生最大威脅的是計算機病毒對系統文件的破壞,以及對網絡軟硬件資源的侵占與破壞,問題可以嚴重到導致計算機與網絡的全部癱瘓。
1.2終端系統存在安全隱患
計算機系統軟件存在的安全漏洞及用戶操作系統漏洞對校園網的安全造成很大的安全威脅。這些漏洞都是校園網安全的隱患,因為這些漏洞極易被黑客發現并利用,對校園網發起攻擊破壞。黑客可以利用這些漏洞通過軟件或者代碼進行攻擊,他們又是隱秘的,即不易識別他們的身份。我們使用的操作系統都存在安全漏洞,一些變化了的計算機木馬病毒都利用系統漏洞進行破壞性很強的攻擊,應對攻擊的重要措施是及時更新系統漏洞補丁,減少黑客利用漏洞進行攻擊的危害。
1.3黑客的入侵攻擊
校外不法人員利用黑客技術對校園網服務器等計算機系統展開攻擊,竊取重要的數據與信息,對校園網絡相關業務系統造成危害。校內人員因為對校園網絡系統結構比較熟悉,利用自己掌握的黑客技術侵入系統,竊取學校數據庫信息,如獲取學生測試題,修改教學成績等。網絡中有相當數量的黑客技術下載軟件,這些軟件操作簡單,利用這些軟件任何人都可以對網絡造成危害。
1.4網絡非法信息的傳播
校園網是與互聯網相接的,師生可以通過校園網獲取互聯網信息,而互聯網的信息傳播由于缺乏有效的規范治理措施,導致一些非法信息的傳播泛濫,一些兇殺、黃賭毒、等非法信息也通過互聯網進行肆意傳播,對學生的健康成長及正確人生觀與價值觀的形成造成了負面影響。不良的網絡環境,對青少年的成長造成了嚴重的危害。
1.5用戶網絡安全意識不強
目前高校校園網絡覆蓋面很廣,遍及校園的每個角落,住宅區、教學區及辦公區等,端口不斷增加,網絡使用戶群體迅速擴大,但是網絡用戶對于互聯網的安全使用知識缺乏了解,存在著違規操作與誤操作現象,不懂如何防范網絡病毒、黑客攻擊等常識,為校園網絡安全埋下了隱患。再者目前部分高校網絡管理員的素質不高,專業技術不強,缺乏應對各種網絡安全問題的能力,網絡管理人員的素質有待于進一步提升。
2信息化環境下的校園網絡安全建設與管理策略
2.1運用數據處理技術加強網絡安全防護
針對校園網絡的安全問題,學校要采取相關數據處理技術,有效加以防范與保護。作為校園網絡管理人員及使用者要認識到網絡安全的脆弱性,保障校園網的安全運行,網絡管理人員要通過數據處理技術防范校園網軟件以及數據被惡意攻擊造成數據的泄露,甚至是網絡癱瘓的風險。從計算機網絡的物理安全與邏輯安全著手,加大安全防范力度。例如,校園網絡經常遭遇計算機病毒及黑客攻擊,可以采用防火墻技術進行防御。利用防火墻技術有效阻斷安全網絡與風險區域的連接,有效防止黑客攻擊帶來的數據泄露、頁面篡改、網絡癱瘓等安全問題,保障網絡安全暢通,有效運行。
2.2加大病毒檢測的密度提高網絡安全系數
(1)運用防病毒技術保障網絡安全在校園網安全建設與管理的過程中,要確保校園每一臺電腦的安全,要采取每臺電腦都安裝殺毒軟件,并定期通過殺毒軟件進行網絡殺毒等措施,消除存在于校園網中的安全隱患。通過對校園網絡安全病毒的防御,防止校園網遭遇病毒入侵而導致文件及數據丟失、網絡癱瘓等重大網絡安全事故。安裝殺毒軟件這只是確保網絡安全的第一步,因為病毒是不斷變化的,所以網絡管理人員還要定期對網絡殺毒軟件進行升級,對于不明來歷的帶有病毒的移動硬盤及磁盤要先行殺毒,然后使用。(2)運用信息加密及身份驗證等方式進行安全防范加強網絡安全建設,校園管理人員要采用對外來網絡的報文驗證、數字簽名、信息加密等安全技術進行防范。外來網絡訪問校園網絡要通過身份密碼驗證。在此基礎上,要對校園網的相關信息進行加密處理。
2.3加強對校園網絡用戶的管理力度
網絡用戶是校園網使用的主體,只有每個用戶都樹立網絡安全防范意識,才能確保網絡安全。因此,要以校園網絡安全為主題,加強對校園用戶群體的宣傳力度,通過有效的形式對用戶進行安全防范操作培訓,如也可以在網絡設立網絡安全培訓專欄,宣傳網絡安全使用知識,確保每個網絡用戶的規范操作,禁止由于安全操作帶來的安全隱患。在此基礎上,要建立校園網絡安全管理機制,制訂網絡安全管理條例,完善相關網絡管理制度,并且針對網絡安全問題對網絡管理制度做到及時更新與完善。要求校園網絡用戶嚴格按管理條例使用網絡。校園網管理人員要有效運用監控策略,杜絕來自校園內外的網絡攻擊,提高學生的網絡使用技能。要教會師生用殺毒軟件進行殺毒處理,并且養成正確使用電腦并養成定期殺毒的習慣,約束教職員工及學生的上網行為,確保規范上網,學會及時防御危險病毒侵襲。
2.4提高網絡管理人員的安全與責任意識
網絡安全問題的發生大多是網絡管理者的安全意識淡薄造成的。如網絡管理者不按學校管理安全措施進行網絡管理,甚至是違規管理,都會給一些網絡不法分子留下可乘之機,影響學校網絡安全運行,因此校園網絡管理人員要提高安全意識,充分認識校園網絡安全的重要性。作為校園網管理人員還要自覺加強自身的責任意識,要做到盡職盡責地加強網絡安全管理,認識到校園網的安全關系到教育教學活動能否順利進行,學校的科研成果能否得到有效保護的意義。要用由于校園網絡漏洞及遭受黑客攻擊等原因,而導致科研成果外泄的案例時刻警示自己,提高自身的安全責任意識與危機意識。
2.5做好校園網的物理安全保護
要加大檢查與檢測力度,對于網絡設備、網絡電纜遭受自然災害、電磁泄露、人為搭線干擾等影響校園網絡物理安全的因素進行及時檢查與排除。對于核心交換機和防火墻等這些重要核心設備,要安放在集中的安全區域以便于管理與調試,采取對線纜通信線深埋等措施,為校園網的正常使用與運用采取得力的物理維護措施,確保網絡安全運行的物理硬件保障。總之,校園網的安全關系到高校教育教學、教學管理等一切活動是否能夠順利進行與開展。要根據校園網面臨的危險因素,采取綜合防御的措施,加大校園網終安全建設與管理力度,確保校園網安全,推進高校教育教學等活動的正常開展。
作者:金山 單位:沈陽醫學院教育技術中心
參考文獻:
[1]包金鋒,孫鵬.網絡環境下的校園安全管理系統設計與實現[J].電腦編程技巧與維護,2014.