網(wǎng)絡安全體系建設范文
時間:2023-09-19 16:49:46
導語:如何才能寫好一篇網(wǎng)絡安全體系建設,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。
篇1
關鍵詞:安全;信息化;規(guī)劃
中圖分類號:TP393 文獻標識碼:A
1 校園網(wǎng)安全運行現(xiàn)狀與需求
1.1校園網(wǎng)安全建設現(xiàn)狀分析
網(wǎng)絡環(huán)境的復雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了網(wǎng)絡安全威脅的客觀存在。隨著高校的發(fā)展,用網(wǎng)人數(shù)的增加,校園網(wǎng)用戶對信息與網(wǎng)絡安全的要求也越來越高。大部分高校以往的網(wǎng)絡建設,重點是“建設”,強調(diào)網(wǎng)絡的覆蓋范圍,出口帶寬,基礎應用等,而對網(wǎng)絡安全的關注度不夠,往往是“想起一個建一個,需要一個建~個”,沒有形成系統(tǒng)、全面、高效的網(wǎng)絡安全體系。隨著高校“信息化”建設的呼聲越來越高,網(wǎng)絡安全體系的建設也在逐步受到學校各級領導的重視。
1.2校園網(wǎng)安全體系建設需求
網(wǎng)絡安全建設一直是各高校網(wǎng)絡建設的難點和薄弱環(huán)節(jié),一方面,技術管理手段的不全面以及管理機制的不完善制約了安全防范的力度;另一方面,校園網(wǎng)用戶甚至是系統(tǒng)管理員的安全意識淡漠,以及學生用戶網(wǎng)絡行為的不確定性成為各高校網(wǎng)絡安全工作的瓶頸。因此,網(wǎng)絡中心需要通過采取一系列的網(wǎng)絡安全措施、制定一系列的網(wǎng)絡安全管理制度,在提高網(wǎng)絡管理技術手段的同時,逐步增強用戶的網(wǎng)絡安全意識,構建穩(wěn)定、安全、綠色的校園網(wǎng)。
2 網(wǎng)絡安全體系建設規(guī)劃
隨著學校網(wǎng)絡與信息化建設的逐步深入,網(wǎng)絡安全問題、信息數(shù)據(jù)安全問題日益突出。建立一套網(wǎng)絡安全體系,是各高校在信息化過程中的重要任務之一。
2.1校園網(wǎng)安全建設規(guī)劃
根據(jù)各高校網(wǎng)絡建設規(guī)劃,結合現(xiàn)有的網(wǎng)絡安全技術手段,應從以下幾個方面做好校園網(wǎng)安全建設工作。
2.1.1加強網(wǎng)絡設施安全建設
網(wǎng)絡設施安全主要指網(wǎng)絡設備、服務器等硬件設備的物理安全。某高校網(wǎng)絡中心曾經(jīng)發(fā)生過同批次多塊硬盤損壞,機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件,因此。在信息化的建設中,保證設備的物理安全尤為重要。
建立機房、設備間的防火、防盜、監(jiān)控和報警方案:
對一些關鍵設備。系統(tǒng)和鏈路,應設置冗余備份系統(tǒng),避免網(wǎng)絡設備因天災或人為因素對網(wǎng)絡造成的影響。
2.1.2終端安全防范措施
隨著各高校網(wǎng)絡覆蓋范圍的逐步增加,用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時在線用戶已經(jīng)達到4500人),用戶終端的安全問題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問題之一。由于用網(wǎng)人員的計算機水平參差不齊,以及學生用戶網(wǎng)絡行為的不可控性,給網(wǎng)絡安全帶來了很大的隱患,因此需要從以下幾個方面完善終端安全防范措施:
提供并推廣可供全校師生員工使用的網(wǎng)絡版殺毒軟件,以及校內(nèi)WSUS服務,逐步建立“沒有殺毒軟件”、“不打系統(tǒng)補丁”不上網(wǎng)的安全意識;
對校內(nèi)突發(fā)的終端安全事故進行監(jiān)控,及時提供必要的專殺工具、漏洞補丁:
提高技術人員的技術水平,采取相應的檢測手段,利用先進的儀器設備,減少用戶端安全事故的排查和定位時間。
2.1.3應用服務器安全措施
應用服務器是數(shù)字化校園的基礎,是各個業(yè)務系統(tǒng)的載體,所以它的安全是至關重要的,因此,系統(tǒng)管理員的技術手段和安全意識在服務器的安全管理中起到至關重要的作用。
制定相關技術文檔,規(guī)范應用服務器上線前的安全檢查,督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動更新等,并且定期掃描系統(tǒng)漏洞,更改系統(tǒng)密碼。保證操作系統(tǒng)安全;
建立完善可靠的容災恢復方案,對關鍵服務器采用雙機熱備方式,并且提供可靠的數(shù)據(jù)備份系統(tǒng),如采用RAID技術以及利用磁帶備份數(shù)據(jù),確保事故發(fā)生時業(yè)務數(shù)據(jù)不丟失,系統(tǒng)能夠快速恢復;
建立授權控制體系,對不同管理員設定不同的系統(tǒng)、數(shù)據(jù)庫管理權限:
完善訪問日志分析系統(tǒng),定期對日志進行整理和分析,制定相應的安全策略。
2.1.4網(wǎng)絡出口及邊界安全
目前高校網(wǎng)絡出口及邊界設備主要分為路由器。防火墻、VPN等三類設備,網(wǎng)絡出口及邊界的安全主要包括配置合理、全面的安全策略,以及如何提高安全響應速度和快速、準確地定位攻擊來源。針對這些方面,需要在出口及邊界設備的管理中做到以下幾點:
建立密碼維護制度。定期更換設備Telnet、SSH登錄密碼以及SNMP共同體名;
>制定詳細的ACL策略,限制登錄設備的IP地址;
采取NAT機制。在保證校內(nèi)用戶正常上網(wǎng)的同時,繼續(xù)優(yōu)化8812路由器的安全功能;
啟用防火墻的防病毒功能,在源頭阻斷病毒入侵;
合理規(guī)劃SSL VPN的用戶權限;
建立IDS+IPS的聯(lián)動機制。完善網(wǎng)絡監(jiān)控與入侵防范;
建立出入雙向的訪問日志系統(tǒng)。
2.1.5應用分析控制技術的應用
在網(wǎng)絡安全管理中,網(wǎng)絡流量、網(wǎng)絡應用的分析至關重要,網(wǎng)絡管理人員需要明確地知道網(wǎng)絡中有哪些網(wǎng)絡應用,各種應用在網(wǎng)絡中所占的帶寬以及是否存在不良應用,如圖1。
隨著上網(wǎng)人數(shù)的增多,網(wǎng)絡出口不可避免地出現(xiàn)擁堵現(xiàn)象,因此,需要進一步對網(wǎng)絡應用進行分析,并制定有效的控制策略。
實時記錄出口帶寬使用情況,對惡意占用帶寬的應用進行限制,確保基本應用的高效運行;
對網(wǎng)絡流量進行監(jiān)控,利用相關協(xié)議分析工具對網(wǎng)絡應用進行深層坎的分析。
2.2信息安全建設規(guī)劃
信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復制和使用等。
2.2.1信息安全保障措施
通過一系列的措施,保證信息在傳輸和存儲時的安全。
建立完善的實名上網(wǎng)制度,并且與各系統(tǒng)的日志配合,建立“上網(wǎng)ID+上網(wǎng)時間+上網(wǎng)IP+上網(wǎng)入”的一一對應關系;
建立合理的文件上傳、審查制度,對關鍵數(shù)據(jù)采取數(shù)字簽名技術,做到誰上傳誰負責,安全事故責任到人;
對論壇、留言板等提供用戶交流的版塊加強監(jiān)管力度。對有害和敏感信息進行監(jiān)控;
數(shù)字校園關鍵服務器問數(shù)據(jù)傳輸采取加密方式,防止網(wǎng)絡竊聽、數(shù)據(jù)泄露等安全事故的發(fā)生;
對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。
2.2.2數(shù)據(jù)安全建設
隨著高校信息化建設的推進,各部門工作信息化的程度也將越來越高,如何保證數(shù)據(jù)安全,提高管理信息系統(tǒng)(MIS)的安全性是信息化過程中必須考慮的問題。
各部門需要制定MIS的相關管理制度:
制定MIS系統(tǒng)數(shù)據(jù)備份、災難恢復方案;
定期對MIS漏洞進行修補。防止數(shù)據(jù)泄露。
2.3全局安全體系建設
根據(jù)對網(wǎng)絡體系分層的概念,針對不同的層次制定不同的網(wǎng)絡安全措施。做到有的放矢,從技術上實現(xiàn)檢測、上報和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(GSN),如圖2。
整合已建立的安全措施,增加針對上網(wǎng)用戶的準入策略。在用戶連入網(wǎng)絡之前先進行客戶端病毒及漏洞掃描,保證連入網(wǎng)絡的客戶端的安全性,從而最大限度地降低網(wǎng)絡安全風險:
建立統(tǒng)一的安全管理平臺(SMP),通過下發(fā)警告消息,下發(fā)修復程序,下發(fā)阻斷或者隔離策略等手段智能處理安全事件。
篇2
隨著電子政務的飛速發(fā)展,其承載的政府管理和服務系統(tǒng)日趨龐雜,這就對電子政務網(wǎng)絡系統(tǒng)的安全性提出了更高的要求。因此,建立與網(wǎng)絡信息安全相適應的安全策略和安全設施,構筑完整的網(wǎng)絡安全體系,是電子政務發(fā)展的一個重要內(nèi)容。
2 電子政務網(wǎng)絡面臨的安全問題
(1)網(wǎng)絡的規(guī)劃缺乏合理性。由于技術和資金投入方面的原因,電子政務網(wǎng)絡在規(guī)劃建設時往往會在一些方面缺少前瞻性的考慮,而隨著電子政務應用需求的與日俱增,這些問題直接表現(xiàn)為網(wǎng)絡在功能上和性能上的相對滯后。
(2)網(wǎng)絡病毒問題比較突出。病毒問題對電子政務網(wǎng)絡的安全應用造成了很大的威脅,在實際中往往會忽視全網(wǎng)防毒的重要性,并且對未知病毒的防范上缺乏必要的措施。
(3)網(wǎng)絡攻擊事件日益增多。隨著網(wǎng)絡攻擊技術的發(fā)展,對電子政務網(wǎng)絡的攻擊行為日益增多,包括物理通路竊聽、鏈路數(shù)據(jù)被截獲、非法用戶入侵、政府網(wǎng)頁被惡意篡改等等,都對電子政務網(wǎng)絡的安全性提出了更高的要求。
(4)災難恢復機制不夠完善。在電子政務網(wǎng)絡建設中,存在著單點故障的隱患,這些都是電子政務網(wǎng)絡在安全防范和恢復能力方面存在的薄弱環(huán)節(jié)。
(5)網(wǎng)絡安全管理相對滯后。電子政務網(wǎng)絡的安全三分靠建設、七分靠管理,而在目前的電子政務網(wǎng)絡建設中,與網(wǎng)絡安全相關的規(guī)范、措施、預案相對較少,安全管理的意識還很淡薄。
3安全體系的設計
電子政務網(wǎng)絡安全是個復雜的綜合性問題,不能簡單地理解成為一些安全產(chǎn)品的集合,而是要形成體系化的建設,可以從安全技術和安全管理兩個方面實現(xiàn):
(1)安全技術
安全技術是實現(xiàn)電子政務網(wǎng)絡安全最直接、最普遍的方法,因而在電子政務網(wǎng)絡安全保障上應考慮以下安全技術的應用:應用防火墻技術,隔離內(nèi)外網(wǎng)絡、控制訪問權限,防止非法訪問和惡意攻擊;應用主動入侵防御技術保護核心服務器和內(nèi)部網(wǎng)絡,進行深層防御、精確阻斷;應用安全掃描技術主動探測網(wǎng)絡安全漏洞,進行網(wǎng)絡安全評估,保持網(wǎng)絡系統(tǒng)安全的一致性和連續(xù)性;應用審計技術對業(yè)務數(shù)據(jù)流和人員上網(wǎng)行為進行審計,防止網(wǎng)絡濫用情況的發(fā)生,進一步規(guī)范上網(wǎng)行為;應用流量分析技術,優(yōu)化網(wǎng)絡帶寬,實現(xiàn)網(wǎng)絡資源和網(wǎng)絡應用的可控制性;應用網(wǎng)絡負載均衡技術,提高不同網(wǎng)絡之間訪問速度;應用統(tǒng)一管理技術,實現(xiàn)對網(wǎng)絡設備、服務器和基礎設施的統(tǒng)一監(jiān)測管理。
(2)安全管理
網(wǎng)絡安全的核心是安全管理,安全管理是確保安全技術得以有效實施的保障,可以考慮兩方面的措施:一是制定本地區(qū)、本部門的電子政務網(wǎng)絡安全管理規(guī)范,充分發(fā)揮網(wǎng)絡在信息化建設中的基礎性作用,促進信息化建設健康、快速、協(xié)調(diào)發(fā)展;二是制定電子政務網(wǎng)絡突發(fā)事件應急預案,建立起完善的電子政務網(wǎng)絡系統(tǒng)保障和恢復應急工作機制,有效預防、及時控制和最大限度地消除突發(fā)網(wǎng)絡事件的危害和影響,確保電子政務網(wǎng)絡系統(tǒng)的安全、穩(wěn)定運行。
4安全體系的建設原則
(1)完整性。單一的技術手段或管理手段對安全問題的發(fā)現(xiàn)、處理、控制等能力各有優(yōu)劣,所以應該從整體安全性的角度考慮需要不同安全策略和安全設施之間的安全互補,提高對安全事件響應的準確性和全面性。
(2)經(jīng)濟性。安全體系建設要因地制宜,從本地區(qū)、本部門電子政務網(wǎng)絡建設發(fā)展的實際出發(fā),根據(jù)對安全方面的需求,制定合理的保護策略,使安全和投資達到均衡,做到低投入、高產(chǎn)出。
(3)動態(tài)性。網(wǎng)絡的安全是一個全動態(tài)的過程,無論是安全產(chǎn)品的選用,還是安全策略的制定,都必須具有延續(xù)性和前瞻性,能夠針對新的安全需求,不斷地進行技術和設備的升級換代,進行安全策略的調(diào)整,以適應新的發(fā)展需要。
(4)標準性。在電子政務網(wǎng)絡安全體系建設中,要遵守國家標準、行業(yè)標準以及國際相關的安全標準,這是構建系統(tǒng)安全的保障和基礎。
(5)可操作性。安全體系的任何一個環(huán)節(jié)都應該有很好的可控性,包括安全產(chǎn)品的易用性、安全技術手段的針對性、安全管理制度規(guī)范的可實施性,確保安全體系建設能收到良好的實際效果。
5 結束語
網(wǎng)絡安全是相對的,安全體系的建設也并非一勞永逸。隨著電子政務的進一步發(fā)展,必然會對網(wǎng)絡安全提出更高的要求,這就需要用動態(tài)的、前進的、創(chuàng)新的眼光來認識安全,定期進行安全評估、合理運用安全技術、加強安全管理措施,建立起更加完善的電子政務網(wǎng)絡安全體系。
參考文獻
篇3
網(wǎng)絡武器民用化
將導致勒索成為最流行模式
齊向東在演講中稱,網(wǎng)絡戰(zhàn)“不費一槍一炮”,就能達到傳統(tǒng)戰(zhàn)爭破壞政府、經(jīng)濟、社會正常秩序的系列目的,勒索病毒攻擊就是這種形式。
在剛剛過去的6月底,勒索病毒變種Petya卷土重來,距Wannacry事件僅過去了一個多月。齊向東總結說,經(jīng)過對比分析,勒索病毒變種有傳播速度更快、破壞性更強以及目的性更復雜的趨勢。
傳播速度上,新病毒變種的傳播速度達到了每10分鐘感染5000余臺電腦;破壞性上,大量基礎設施遭到攻擊,危害性極大;目的性上,“黑客”不再單純地以盈利為目的,而是為了搞破壞,而帶有國家背景的攻擊極有可能隱藏在黑產(chǎn)面具的背后。
齊向東認為,以“永恒之藍”勒索病毒為標志,網(wǎng)絡攻擊已經(jīng)從過去的“弱感知”變成了“強感知”,大部分人從“圍觀者”被迫成為了“受害者”。同時,“網(wǎng)絡武器民用化”的趨勢將導致勒索成為未來最流行的模式。
“以前網(wǎng)絡攻擊的目的是破壞,但在大數(shù)據(jù)時代,用網(wǎng)絡漏洞進行勒索不僅能快速地破壞企業(yè)和機構的基礎設施,還能實現(xiàn)盈利。”齊向東說。安全行業(yè)將演變?yōu)?/p>
人才密集型的服務行業(yè)
面對越來越復雜的網(wǎng)絡攻擊,傳統(tǒng)的安全防護思路和技術已經(jīng)失效,建設全新的網(wǎng)絡安全體系迫在眉睫。
齊向東表示,在建設全新的網(wǎng)絡安全體系時,人的作用會越來越大,安全行業(yè)將演變?yōu)槿瞬琶芗偷姆招袠I(yè)。原來用硬件設備和軟件構成的、以防護為主的安全體系已經(jīng)不適用了,取而代之的將是防護系統(tǒng)與安全人員應急處置相結合的新體系。
除了強調(diào)人的作用,齊向東認為,網(wǎng)絡安全態(tài)勢感知與應急響應是網(wǎng)絡安全系統(tǒng)的核心。勒索病毒事件充分證明,安全應急響應的速度和質(zhì)量,對保障網(wǎng)絡安全至關重要,而態(tài)勢感知系統(tǒng)能夠自動感知預警,為應急響應提供保證。
此外,終端、網(wǎng)絡、服務器三方聯(lián)動的防護體系是應急響應結果的關鍵。齊向東說,360對100余家機構抽樣統(tǒng)計表明,即便是大型的機構,建設了終端管控體系,也存在明顯的安全死角,導致應急措施無法有效執(zhí)行。如果能組成三方聯(lián)動的防護體系最好,如果不能,至少三條線分別能自動響應,比如在云端“一鍵執(zhí)行”統(tǒng)一安全策略,這能為響應贏得寶貴時間。
我國網(wǎng)絡安全建設的投入
與美國相差15倍
齊向東認為,一直以來,我國在網(wǎng)絡建設上存在著重業(yè)務應用、輕網(wǎng)絡安全的現(xiàn)象。目前,我網(wǎng)絡安全建設的投入與美國相差15倍,應盡快補齊。
“我國網(wǎng)絡安全投資占整體信息化建設經(jīng)費的比例不足1%,與美國的15%、歐洲的10%相比存在巨大差距。”齊向東說。
篇4
關鍵詞:校園網(wǎng)絡;建設;安全
隨著科學技術的不斷發(fā)展,以電子計算機為媒介的信息技術不斷成熟,信息技術現(xiàn)在已經(jīng)成為人們工作和生活中必不可少的一項生活需求。校園網(wǎng)絡是整個校園區(qū)域內(nèi)的電腦信息信號,通過鏈接從而形成網(wǎng)絡。校園內(nèi)的網(wǎng)絡不僅僅能夠使校園內(nèi)各個角落中的網(wǎng)絡節(jié)點聯(lián)系在一起,方便管理,還能對校園內(nèi)的資源進行有序和集中的整合,從而能夠滿足學校內(nèi)教學、辦公甚至科研等工作的需求。
一、校園網(wǎng)絡存在的問題
隨著校園網(wǎng)絡的不斷普及和發(fā)展,不可避免地出現(xiàn)很多問題,下面筆者將對校園網(wǎng)絡中存在的問題進行分析。
校園網(wǎng)的網(wǎng)絡資源是要求公開的,并且能夠和互聯(lián)網(wǎng)連接,所以就要求校園內(nèi)的整個網(wǎng)絡環(huán)境必須是安全的。因此,在校園網(wǎng)絡的建設和日常維護中,如何保證校園網(wǎng)絡的安全性就成為了最重要的問題。
1.系統(tǒng)安全
對于計算機來說,操作系統(tǒng)是非常重要的,它是保證計算機能夠正常運行的基礎,所有軟件的運行和網(wǎng)絡的瀏覽也都是在操作系統(tǒng)的平臺上得以實現(xiàn)的。在目前廣泛應用的操作系統(tǒng)中,每個系統(tǒng)的開發(fā)本身都存在著一定的漏洞,這些漏洞是非常大的安全隱患,如果沒有對操作系統(tǒng)進行安全配置,那么就會對電腦內(nèi)的文件及其他機密材料帶來非常大的隱患。
2.互聯(lián)網(wǎng)安全
互聯(lián)網(wǎng)有著豐富的資源,也必定充斥著大量的計算機網(wǎng)絡病毒,計算機網(wǎng)絡病毒的傳播速度非常快,并且覆蓋的層面也非常廣,如果學校沒有采取適當?shù)谋Wo措施,那么計算機網(wǎng)絡病毒對于校園網(wǎng)絡所造成的傷害是非常巨大的,甚至有可能造成網(wǎng)絡的癱瘓和報廢。很多學校由于建設校園網(wǎng)的過程中接入了互聯(lián)網(wǎng),及時設置了防火墻,但是由于其他安全技術工作不到位,導致校園網(wǎng)絡頻繁地受到病毒的侵蝕和黑客的攻擊。
3.客觀因素
影響校園網(wǎng)絡安全的還有很多客觀因素,如設備的毀壞、自然災害、通信光纜的損壞和雷電破壞、設備的老化及未及時更新等,都會造成整個校園網(wǎng)絡出現(xiàn)安全事故。
二、校園網(wǎng)絡安全維護策略
所謂網(wǎng)絡安全,就是指網(wǎng)絡硬件和軟件以及網(wǎng)絡中的數(shù)據(jù)系統(tǒng)能夠得到良好的保護,從而不受惡意破壞,維持數(shù)據(jù)的保密性和系統(tǒng)的正常運行,保證網(wǎng)絡服務不被中斷。筆者根據(jù)自身實際工作經(jīng)驗,認為提高校園網(wǎng)絡安全維護的策略應該從以下幾個方面進行:
1.防火墻
網(wǎng)絡防火墻能夠區(qū)分公眾網(wǎng)和內(nèi)部網(wǎng),它能夠限制被保護的網(wǎng)絡與互聯(lián)網(wǎng)及其他網(wǎng)絡之間的信息傳遞。在構架校園網(wǎng)絡安全的工作中,防火墻是最重要的一道程序。在可適用校園網(wǎng)絡安全的防火墻上,分為軟件和硬件兩種,它不僅僅能夠控制兩個網(wǎng)絡之間的信息交換,還能夠?qū)W(wǎng)絡的訪問者進行監(jiān)控和圍堵,在整個校園網(wǎng)絡安全的構建中是最為重要的。
2.入侵檢測技術
入侵檢測能夠?qū)㈦娔X和網(wǎng)絡上的惡意行為進行細致的識別,入侵檢測技術就是基于這種識別能力的系統(tǒng)。入侵檢測技術能夠檢測出外部用戶在非授權情況下進行訪問的行為,不僅能夠計算出計算機系統(tǒng)安全的配置,還能夠檢測出違反技術安全政策的不法分子,從而給校園的網(wǎng)絡提供一個良好、有序的環(huán)境,以隔絕沒有訪問權限的非法訪問者。
3.認證技術
認證技術是計算機網(wǎng)絡安全技術中一項重要的技術,現(xiàn)如今校園內(nèi)網(wǎng)絡使用的認證技術多為身份驗證,認證技術能夠為用戶對網(wǎng)絡的訪問營造出一道良好的保障。首先,校園網(wǎng)絡內(nèi)的用戶都擁有屬于自己身份的安全認證權限,在對網(wǎng)絡進行訪問的時候,輸入自己的認證信息,通過身份識別系統(tǒng)進行檢查,檢查通過方能夠?qū)W(wǎng)絡進行訪問,根據(jù)用戶不同身份還能設計出不同的認證技術手段。另外,認證技術系統(tǒng)管理員也可以根據(jù)所需對數(shù)據(jù)庫進行配置,從而建立好監(jiān)控系統(tǒng),這樣能夠更好地檢測是否有入侵,從而保證網(wǎng)絡的安全,這是最為基礎的安全保證。
4.訪問控制技術
訪問控制技術是對用戶身份定義的系統(tǒng),這樣能夠限制校園用戶訪問某些不在權限之內(nèi)的信息和資源,或者能夠達到對于某些機密材料的限制訪問工作。在網(wǎng)絡安全中,訪問控制是主要的工作,能夠保證網(wǎng)絡的資源不被惡意和非法使用,從而保證網(wǎng)絡的安全。
校園網(wǎng)絡在建成和管理中應注意良好的安全管理。由于網(wǎng)絡的外部發(fā)展使得網(wǎng)絡安全變得隱患多多,在校園網(wǎng)絡的管理中,通過防火墻、入侵檢測技術、認證技術、訪問控制技術等安全技術能夠較好地保證校園網(wǎng)絡安全,進而實現(xiàn)校園網(wǎng)絡正常、平穩(wěn)地運行。
參考文獻:
[1]樂寧麗.淺談構建完善的校園網(wǎng)絡安全防范體系[J].福建商業(yè)高等專科學校學報,2009(6).
篇5
關鍵詞:網(wǎng)絡安全;實驗教學;課程體系
作者簡介:廉龍穎(1981-),女,遼寧莊河人,黑龍江科技大學計算機學院,講師。
基金項目:本文系黑龍江省高教學會十二五教研課題(項目編號:HGJXH C110918)、黑龍江科技學院青年才俊資助項目的研究成果。
中圖分類號:G642.0 文獻標識碼:A 文章編號:1007-0079(2013)14-0089-02
“網(wǎng)絡安全”課程是黑龍江科技學院(以下簡稱“我校”)針對網(wǎng)絡工程專業(yè)本科生開設的一門專業(yè)主干課程。根據(jù)調(diào)查問卷顯示,現(xiàn)代企業(yè)對所需網(wǎng)絡安全人才的職業(yè)素質(zhì)要求排序,第一為工程實踐能力(87%),其次為工作責任心(9%)、團隊協(xié)作能力(4%)。這些數(shù)據(jù)表明,“網(wǎng)絡安全”課程必須強化實踐能力培養(yǎng),而培養(yǎng)實踐能力的基礎和重點來自于實驗課程。實驗教學直接影響到學生的實踐能力和職業(yè)素質(zhì),加強實驗課程體系建設,有利于為開展后續(xù)實踐教學任務打下一個堅實的基礎,有利于進一步推動大學生實踐教學的改革和發(fā)展。
課程組通過對網(wǎng)絡安全實驗教學進行改革,建設了一套完整的網(wǎng)絡安全實驗課程體系,不僅提高了“網(wǎng)絡安全”課程的教學質(zhì)量,而且大大提高了學生的就業(yè)競爭能力,為學生今后從事網(wǎng)絡安全管理以及網(wǎng)絡安全產(chǎn)品研發(fā)打下了堅實的基礎。本文以“網(wǎng)絡安全”課程教學改革為出發(fā)點,搭建了網(wǎng)絡安全實驗教學軟環(huán)境,闡述了網(wǎng)絡安全教學內(nèi)容設置情況,改革了實驗教學方法,最終構建了適合我校特點的網(wǎng)絡安全實驗課程體系。
一、網(wǎng)絡安全技術實驗教學中存在的問題
“網(wǎng)絡安全”是與實踐結合非常緊密的應用型課程,2010年課程組對學生進行了抽樣調(diào)查,如圖1所示。根據(jù)抽樣調(diào)查統(tǒng)計發(fā)現(xiàn)82.4%的學生缺乏實踐能力,當遇到實際網(wǎng)絡安全問題時想用理論知識解決但又不知如何使用。之所以導致這一狀況,主要原因是網(wǎng)絡安全實驗教學過程中存在著實驗軟硬件環(huán)境落后,實驗教學內(nèi)容單一,實驗教學方法守舊等問題,理論教學與實驗教學嚴重脫節(jié),能力培養(yǎng)未能具體落實,導致學生對一些網(wǎng)絡安全的知識沒有真正理解,同時也為開展后續(xù)的課程設計、工程實訓以及畢業(yè)設計等實踐環(huán)節(jié)帶來一定的困難。
二、構建網(wǎng)絡安全實驗課程體系
1.實驗教學環(huán)境建設
網(wǎng)絡安全實驗具有綜合性、應用性、攻防性、工程性等特點,對實驗環(huán)境提出了更高的要求。為全面提高“網(wǎng)絡安全”課程教學質(zhì)量,提高學生的網(wǎng)絡安全實踐能力,學校建設專業(yè)的網(wǎng)絡安全實驗環(huán)境是十分必要的。網(wǎng)絡安全實驗環(huán)境建設采用插件化無縫建設模式,建成后的實驗教學環(huán)境拓撲結構如圖2所示,各高校可根據(jù)實際教學情況進行個性化結構調(diào)整,為學生實驗提供全方位的支持。網(wǎng)絡安全實驗環(huán)境應具備以下特點:
(1)實戰(zhàn)性。實驗環(huán)境中選取Web服務器、數(shù)據(jù)庫服務器、郵件服務器等Internet中廣泛應用的信息系統(tǒng),模擬出復雜的企業(yè)網(wǎng)絡結構作為網(wǎng)絡攻防實戰(zhàn)對象。
(2)真實性。在網(wǎng)絡攻防實戰(zhàn)對象中存在的各種漏洞均來源于真實的網(wǎng)絡應用,各服務器系統(tǒng)應用不同的安全級別,以交互式體現(xiàn)網(wǎng)絡攻擊和防御過程。
(3)合作性。每個實驗小組由五名學生組成,小組內(nèi)部形成一個小型局域網(wǎng),實驗項目由小組協(xié)作完成,在培養(yǎng)學生獨立思維能力的同時,注重增強學生的團隊合作意識。
2.實驗教學內(nèi)容設置
實驗教學內(nèi)容包含網(wǎng)絡安全基礎、網(wǎng)絡安全編程、隱藏IP技術、網(wǎng)絡掃描與網(wǎng)絡監(jiān)聽、網(wǎng)絡攻擊、網(wǎng)絡后門與清除日志、病毒攻防、防火墻技術、入侵檢測、信息加密等十大專題,為每一專題中的重點理論教學內(nèi)容設計一個配套的具有綜合性、典型性、真實性、障礙性的實驗項目,實驗項目的設計采用由演示到應用再到設計的“進階式”方式。學生完成各種攻防式實驗項目,不僅可以增強學生的學習興趣,促進學生加深對理論知識的理解,還可以鍛煉學生的工程實踐能力。在實驗教學項目的選取上應注重以下幾點:
(1)綜合性。將課程中的基本原理和方法與基本實驗內(nèi)容進行有機融合,設置綜合的項目式實驗教學內(nèi)容,每個實驗項目相對獨立和完整,使學生能夠?qū)Ω鞣N網(wǎng)絡安全問題形成一種感性認識,通過完成實驗項目,提高解決實際網(wǎng)絡安全問題的能力。
(2)典型性。實驗項目能突出某個網(wǎng)絡安全理論在實踐中的典型應用,通過完成這些典型實驗項目,當學生在實際工作中遇到相似問題時,能夠借鑒這些典型實驗項目的解決方法。
(3)真實性。每個實驗項目都從某一個網(wǎng)絡安全事件入手,通過新聞視頻對本項目所依托的真實案例進行闡述,從而引發(fā)學生濃厚的興趣,引出實驗目標。
(4)障礙性。在網(wǎng)絡配置和服務器配置上使用多個網(wǎng)絡安全技術進行保護,這樣,學生在進行網(wǎng)絡安全攻擊實驗時,將遇到一些實際的障礙,學生需要根據(jù)所學的網(wǎng)絡安全知識來進行創(chuàng)造性的發(fā)揮,找出解決障礙的方法和途徑。設計障礙性的實驗項目,可以大大提高實驗教學的吸引力,充分鍛煉學生解決實際網(wǎng)絡安全問題的能力。所開設的實驗內(nèi)容見表1。
實驗項目從“攻擊準備”開始,到“網(wǎng)絡攻擊”,再到“網(wǎng)絡防御”,其中包括黑客攻擊步驟以及網(wǎng)絡安全防御方法,完整再現(xiàn)了一個“網(wǎng)絡安全”課程的攻防體系,從而讓學生在完成實驗的過程中真正體會到一個網(wǎng)絡安全工程師的工作過程。
3.實驗教學方法實施
在實驗教學方法實施過程中,采用開放性的方式進行,不強求實驗進度、不要求實驗結果,給學生一定的自由發(fā)揮的空間,重點考查學生的學習效果和實踐能力。
(1)實驗指導改“細”為“粗”。在實驗課堂中,將采用學生為主體、教師適當引導和個別輔導的方式。教師僅提出實驗項目需要解決的問題和達到的實驗效果,不規(guī)定具體的實驗步驟和方法,具體實驗方案的設計、實驗軟件的選擇、實驗步驟的實施都由學生獨立思考來完成,培養(yǎng)學生開放性思維,鼓勵學生提出不同的解決方案,結合實驗結果進行探討。
(2)實驗項目改“實”為“虛”。不對實驗項目固定化、模式化,鼓勵學生根據(jù)理論教學內(nèi)容查閱資料、確定方案、選用軟件、分析效果來自行設計實驗步驟,在設計實驗步驟的過程中培養(yǎng)學生發(fā)現(xiàn)、分析、解決問題的能力。
(3)成績評定改“一”為“多”。在實驗成績評定中,摒棄單一的由教師評定成績的方式,采用教師評定、學生互評以及學生自評相結合的方式,提高學生的積極性和主動性。
通過對網(wǎng)絡安全實驗課程體系的建設研究,建立以網(wǎng)絡安全攻防體系為核心,以實驗環(huán)境建設為基礎,以實驗項目為驅(qū)動,以改革實驗教學方法為依托的實驗課程體系,力求讓學生體驗實際網(wǎng)絡安全攻防場景,充分發(fā)揮學生的創(chuàng)新潛能,真正鍛煉出解決實際網(wǎng)絡安全問題的能力。
三、結語
經(jīng)過近3年的教學實踐,“網(wǎng)絡安全”課程的實驗課程體系建設已取得初步成效。實踐證明,建立完善的實驗課程體系,開展攻防式的網(wǎng)絡安全實驗項目,不僅使理論課程與實驗課程同步進行,實驗項目和課程內(nèi)容結合十分緊密,更重要的是拓寬了學生的知識面,激發(fā)了學生的學習熱情,培養(yǎng)了學生的網(wǎng)絡安全管理能力和工程素質(zhì)。
參考文獻:
篇6
關鍵詞:企業(yè);計算機網(wǎng)絡;信息安全
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9599 (2011) 18-0000-01
Network Security Problems in the Construction of Enterprise Informatization
Li Xiaoning
(China Petroleum Changqing Oilfield Company Hydropower Plant,Xi’an 710200)
Abstract:The advances in technology bring the rapid development of computer network technology and constant growing of enterprise informatization,which also bring the network information security to the attention of the public.In general,the network information security of enterprises in China still has many problems.This paper mainly focuses on the main network security problems confronted with the enterprises during the information construction process,and puts forward relevant protective measures on a basis of these problems.
Keywords:Enterprises;Computer network;Information security
一、企業(yè)信息化建設中網(wǎng)絡安全存在的問題
(一)安全漏洞
在計算機技術中,任何一種程序都有可能存在漏洞,當前各種操作系統(tǒng)以及相關軟件都存在一些漏洞,幾乎每一天都有漏洞被發(fā)現(xiàn),此外,操作系統(tǒng)通常還存在一些隱藏的通道,而這些通道往往成為黑客的便利通道。與此同時,系統(tǒng)中還存在著一些通用服務,如果在安裝程序的時候沒有注意到這些,那么也會給黑客創(chuàng)造可乘之機。一些企業(yè)的競爭對手或者對企業(yè)心存不滿的員工或客戶都可能利用這些漏洞,對企業(yè)進行攻擊,進而使得整個企業(yè)網(wǎng)絡喪失相應的使用能力或丟失企業(yè)資料和秘密等,給企業(yè)的網(wǎng)絡安全帶來了巨大的安全隱患。
(二)計算機病毒感染
通常情況下,計算機病毒是通過下載或者電子郵件的形式進行傳播,還有的可以通過即時的網(wǎng)絡信息進行傳播,可以說有計算機的地方,就會存在電腦病毒的問題。病毒通常具有傳播快、影響巨大的特點,給企業(yè)的網(wǎng)絡安全造成巨大的影響。這些年來,木馬病毒是計算機病毒中的主要傳播形式,根據(jù)有關的統(tǒng)計,木馬病毒占到所有計算機病毒的四分之一以上。木馬病毒是一種特殊的病毒形式,如果用戶錯將其按照應用軟件來實用的話,所使用的電腦就會被移植上木馬病毒,從而將電腦的控制權完全交到了黑客的手中,黑客能夠通過木馬盜取計算機上使用的一些銀行密碼、卡號、機密信息等,而且能夠?qū)τ嬎銠C實施實時的監(jiān)控、查看等,給企業(yè)的網(wǎng)絡安全帶來巨大的威脅。
(三)惡意攻擊和非法入侵
在當前的企業(yè)網(wǎng)絡信息安全問題中,黑客利用惡意攻擊和非法入侵的手段阻止企業(yè)利用網(wǎng)絡或進行網(wǎng)絡商業(yè)活動的行為,已經(jīng)成為讓每一個企業(yè)頭疼不已的問題。通常情況下,黑客通過惡意攻擊和非法入侵的手段對企業(yè)造成的危害表現(xiàn)為:組織企業(yè)利用網(wǎng)絡資源;利用大量信息來阻塞企業(yè)通信網(wǎng)絡;植入木馬等程序?qū)ζ髽I(yè)的實時動態(tài)進行監(jiān)控;復制、刪除、盜取企業(yè)重要信息等。不管黑客的目的是什么,這樣的入侵行為都會給企業(yè)帶來巨大的影響,使得企業(yè)重要信息的泄露甚至是企業(yè)正常生產(chǎn)的停止。
(四)相關人員管理上的失誤
對企業(yè)來說,由于相關人員管理上的失誤也會給企業(yè)網(wǎng)絡信息安全帶來巨大的威脅。當前,許多企業(yè)缺乏網(wǎng)絡信息安全的管理機制,而且相應的系統(tǒng)安全維護習慣欠缺。有的企業(yè)在發(fā)現(xiàn)病毒和漏洞的時候,并沒有對其引起重視,只是采取簡單的殺毒和修補等措施,相關員工的安全意識匱乏,沒有對系統(tǒng)進行全面的維護,從而給黑客的入侵創(chuàng)造了機會。此外,有的企業(yè)在內(nèi)部分工上存在不明了的情況,從而使得網(wǎng)絡使用權限與行政管理出現(xiàn)矛盾。總之,由于管理上存在的問題,給企業(yè)的網(wǎng)絡安全埋下了許多的隱患。
二、企業(yè)信息化建設中網(wǎng)絡安全問題的解決措施
(一)加強相關人員的素質(zhì)及意識
企業(yè)應該對其網(wǎng)絡管理人員進行專業(yè)的技術培訓,強化相關人員的能力,尤其是網(wǎng)絡安全新技術方面的知識。另外,還應該對非技術人員進行培訓,增加他們必要的網(wǎng)絡安全常識和基本的網(wǎng)絡防御知識。
(二)企業(yè)網(wǎng)絡安全可以采用的相關技術
防火墻技術:通常防火墻技術分為網(wǎng)絡防火墻和應用級防火墻兩大類。前者的主要作用是防止整個企業(yè)網(wǎng)絡中出現(xiàn)非法入侵等行為,而后者主要是對計算機中的應用程序進行必要的應用控制。大多數(shù)情況下采用應用網(wǎng)關或者服務器對二者進行區(qū)分。當前防火墻所采用的技術主要包括以下幾種:屏蔽路由技術、基于技術、包過濾技術、動態(tài)防火墻技術。
虛擬專用網(wǎng):虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,通過一個私有的通道在公共網(wǎng)絡上創(chuàng)建一個私有的連接。因此,從本質(zhì)上說VPN是一個虛擬通道,它可用來連接兩個專用網(wǎng),通過可靠的加密技術方法保證其他安全性,并且是作為一個公共網(wǎng)絡的一部分存在的。
加密技術:加密技術分為對稱加密和非對稱加密兩類,對稱加密技術有DES、3DES、IDEA,對稱加密技術是指加密系統(tǒng)的加密密鑰和解密密鑰相同,也就是說一把鑰匙開一把鎖。非對稱密鑰技術主要有RSA.非對稱密鑰技術也稱為公鑰算法,是指加密系統(tǒng)的加密密鑰和解密密鑰完全不同,這種加密方式廣泛應用于身份驗證、數(shù)字簽名、數(shù)據(jù)傳輸。
入侵檢測技術:入侵檢測技術的核心包括兩個方面,一是如何充分并可靠地提取描述行為的特征數(shù)據(jù);二是如何根據(jù)特征數(shù)據(jù),高效并準確地判斷行為的性質(zhì)。它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
總之,今后的企業(yè)信息化建設中,網(wǎng)絡安全就顯得尤為重要,如果企業(yè)不重視信息化的網(wǎng)絡安全工作。信息化不僅無法提高企業(yè)的工作效率,還會讓企業(yè)蒙受巨大的經(jīng)濟損失。
參考文獻:
[1]黃現(xiàn)代.企業(yè)信息化建設中的網(wǎng)絡安全問題研究[J].科技信息(學術版),2007,31
篇7
1 網(wǎng)絡信息安全的內(nèi)涵
網(wǎng)絡信息安全定義是:計算機網(wǎng)絡系統(tǒng)中的硬件、數(shù)據(jù)、程序等不會因為無意或惡意的原因遭到破壞、篡改、泄露,防止非授權的單位使用[1]。網(wǎng)絡系統(tǒng)能夠保持服務不受中斷,維持可靠運行。
不同的用戶對網(wǎng)絡信息安全的定義有所不同。作為普通民眾,他們希望自己的隱私信息能夠得到有效保護,不被他人竊取利用。對網(wǎng)絡安全管理員來說,他們希望始終有權限管控自己的網(wǎng)絡,并不受外界惡意入侵和破壞。對于國家安全部門而言,阻擋一切可能造成威脅的信息,并防止任何信息外泄是他們的工作目標。網(wǎng)絡信息安全,離不開技術和治理兩方面的努力。
2 目前網(wǎng)絡安全的主要技術
2.1 防火墻
防火墻是一個或一組網(wǎng)絡設備。防火墻的主要作用是加強兩個或兩個以上網(wǎng)絡中的訪問控制[2]。防火墻主要目的是保護網(wǎng)絡不受外界攻擊。通過對網(wǎng)絡設定防火墻,能對來自外部網(wǎng)絡的信息進行有效篩查,將安全的信息放行,將存在威脅的信息過濾。達到保護網(wǎng)絡安全的目的。
防火墻具有以下特點:(1)網(wǎng)絡之間的信息傳遞,都需要經(jīng)過防火墻篩查;(2)只有符合安全策略的信息數(shù)據(jù)才能通過防火墻;(3)防火墻兼具保護和預防外部網(wǎng)絡入侵的功能。雖然防火墻對保護網(wǎng)絡安全具有良好效果,但其最大的缺陷在于會造成網(wǎng)絡服務于網(wǎng)絡間的數(shù)據(jù)傳輸速度大幅下降。這也是為了達到保護網(wǎng)絡安全所必須付出的代價。
2.2 數(shù)據(jù)加密技術
當今時代,信息是一把雙刃劍。它既能幫助團體或個人,令他們從中受益,同時也能成為威脅和破壞的工具。因此這就要求出現(xiàn)某種安全技術對信息進行有效保護,防止被惡意竊取或利用。
數(shù)據(jù)加密技術,是通過使用數(shù)字,對原有的信息進行重新組織。經(jīng)過數(shù)字加密技術處理后的數(shù)據(jù),除了合法使用者外,其他人難以將信息進行恢復。數(shù)據(jù)加密主要是對傳輸中的數(shù)據(jù)流進行加密。加密方法有線路加密與端對端加密兩種。線路加密側重于對傳輸線路加密,端對端加密是使用者在段的兩頭對信息進行加密處理,再經(jīng)過TCP/IP數(shù)據(jù)包封裝后通過互聯(lián)網(wǎng)傳輸?shù)侥康牡亍5竭_目的地后收件人用相應的密匙對數(shù)據(jù)包解密,將信息恢復。
2.3 入侵檢測系統(tǒng)
入侵檢測技術是對外部網(wǎng)絡入侵行為進行檢測[3]。它通過不斷收集和分析網(wǎng)絡行為、安全日志并對數(shù)據(jù)進行審計,及時獲取系統(tǒng)中關鍵點信息,檢查網(wǎng)絡或系統(tǒng)是否存在被惡意攻擊或違反安全策略的行為。入侵檢測的任務主要包括:(1)對系統(tǒng)中用戶的各種活動進行監(jiān)視;(2)檢查網(wǎng)絡系統(tǒng)存在的弱點;(3)將工作中的異常情況進行記錄和報告;(4)對數(shù)據(jù)完整性進行檢查;(5)遭受外來攻擊時報警。
3 加強計算機網(wǎng)絡信息安全對策
3.1 強化網(wǎng)絡安全保障體系建設
強化網(wǎng)絡安全保障體系建設,離不開多方面的共同努力。當前國家信息安全保障體系建設,應當圍繞以下幾方面:(1)深入研究和開發(fā)信息加密技術;(2)健全網(wǎng)絡信息安全體系;(3)強化網(wǎng)絡信息安全風險評估;(4)建立健全信息安全監(jiān)控體系;(5)加大對信息安全應急處理工作的重視度。
在面對網(wǎng)絡信息安全威脅時,作為普通用戶應當提高自身網(wǎng)絡安全意識。在學習必要的網(wǎng)絡安全知識外,對來自外部網(wǎng)絡的突然進攻應當保持冷靜。作為企業(yè)用戶,網(wǎng)絡安全建設更加復雜,保護網(wǎng)絡信息安全的意義也更為深遠。首先,企業(yè)應當設計符合自身需要的安全策略,對重點對象提供有效保護。第二加強對用戶訪問權的控制,對非法用戶的操作進行嚴格限制,保護企業(yè)信息不受侵犯。
3.2 構建信息安全體系的措施
目前我國信息安全保障水平偏低,構建有效的網(wǎng)絡信息安全體系,需要社會各界的共同努力。沒有通力合作,難以應對日益復雜的網(wǎng)絡安全事件,而且網(wǎng)絡信息安全技術涉及面廣,技術難度大,單一組織或個人的網(wǎng)絡安全技術難以滿足各方面需求。
(1)加強國家宏觀調(diào)控。吸收發(fā)達國家網(wǎng)絡信息安全管理經(jīng)驗,建立具有國家權威的網(wǎng)絡信息安全部門,由該部門對我國網(wǎng)絡信息安全體系建設路線、方針進行統(tǒng)籌規(guī)劃。
(2)完善相關法律法規(guī)。進一步完善我國相關網(wǎng)絡安全法律法規(guī),保障信息安全產(chǎn)業(yè)的權益,加大對危害信息安全行為的處罰力度。
(3)鼓勵網(wǎng)絡安全技術領域投資。從國家的角度,鼓勵網(wǎng)絡安全技術領域投資包括加大財政對信息安全產(chǎn)業(yè)的直接投入,和給予信息安全產(chǎn)業(yè)相關企業(yè)、團體政策支持和補貼,擴大其發(fā)展規(guī)模。
(4)加強信息安全技術創(chuàng)新。我國目前正掀起“大眾創(chuàng)業(yè),萬眾創(chuàng)新”的社會浪潮。在此背景之下,鼓勵安全信息技術創(chuàng)新,并給予高額獎勵,推動我國信息安全技術的發(fā)展。
4 結語
綜上,目前網(wǎng)絡信息安全正越來越受到關注。雖然目前有許多網(wǎng)絡安全產(chǎn)品保護用戶信息,但由于網(wǎng)絡自身仍存在安全隱患,因而來自外部攻擊難以從根本上消除。建立健全網(wǎng)絡信息安全體系,對未來促進我國互聯(lián)網(wǎng)發(fā)展將發(fā)揮巨大作用。
篇8
【關鍵詞】網(wǎng)絡安全;網(wǎng)絡攻擊;建設與規(guī)劃;校園網(wǎng)
1、網(wǎng)絡現(xiàn)狀
揚州Z校擁有多個互聯(lián)網(wǎng)出口線路,分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個計算環(huán)境,網(wǎng)絡核心區(qū)是思科7609的雙核心交換機組,確保了Z校校園骨干網(wǎng)絡的可用性與高冗余性;數(shù)據(jù)中心是由直連在核心交換機上的眾多服務器組成;終端區(qū)分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網(wǎng)絡。Z校網(wǎng)絡信息安全保障能力已經(jīng)初具規(guī)模,校園網(wǎng)絡中已部署防火墻、身份認證、上網(wǎng)行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網(wǎng)絡安全保障能力雖然初具規(guī)模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網(wǎng)絡中缺乏網(wǎng)管與安管系統(tǒng)、對網(wǎng)絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網(wǎng)絡的整體安全狀態(tài),風險管理全憑感覺等等,以上種種問題表明,Z校需要對網(wǎng)絡安全進行一次全面的規(guī)劃,以便在今后的網(wǎng)絡安全工作中,建立一套有序、高效和完善的網(wǎng)絡安全體系。
2.1安全設備現(xiàn)狀
Z校部署的網(wǎng)絡安全防護設備較少。在校區(qū)的互聯(lián)網(wǎng)出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網(wǎng)絡安全威脅
互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡威脅種類繁多,外部網(wǎng)絡威脅一般是惡意入侵的網(wǎng)絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數(shù)據(jù)等為目的,對內(nèi)網(wǎng)中的各種網(wǎng)絡設備發(fā)起攻擊,網(wǎng)絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內(nèi)網(wǎng)用戶作跳板進行攻擊,最終攻破內(nèi)網(wǎng)。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內(nèi)部網(wǎng)絡安全威脅
內(nèi)部惡意入侵的主體是學生,還有一些網(wǎng)絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網(wǎng)絡[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點擊來歷不明的郵件,照成網(wǎng)絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩(wěn)定性,提高網(wǎng)絡的服務能力為出發(fā)點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網(wǎng)絡出口與CERNET、Internet互聯(lián),選擇了與電信和聯(lián)通兩家運營商合作。利用現(xiàn)有網(wǎng)絡出口鏈路資源,提升網(wǎng)絡訪問速度,最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡使用滿意度,同時又要合理節(jié)約鏈路成本,均衡使用各互聯(lián)網(wǎng)出口鏈路,是網(wǎng)絡安全建設的首要需求。2)實現(xiàn)關鍵設備的冗余性:互聯(lián)網(wǎng)邊界的下一代防火墻設備為整個網(wǎng)絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網(wǎng)的業(yè)務處理,任何一個設備出現(xiàn)問題將直接導致業(yè)務不能夠連續(xù)運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業(yè)務連續(xù)性的角度,都存在很大的延遲,為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數(shù)量較多,需要對所有安全設備進行統(tǒng)一日志收集、查詢工作,傳統(tǒng)單臺操作單臺部署的方式運維效率低下,所以需要專業(yè)集中監(jiān)控、配置、管理的安全設備,統(tǒng)一對眾多安全設備進行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級備份和審計。
4、解決方案
網(wǎng)絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網(wǎng)絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網(wǎng)絡安全建設規(guī)劃分為短期建設和長期建設兩部分。
4.1短期網(wǎng)絡建設規(guī)劃
4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設計主線,從安全的角度分析各業(yè)務系統(tǒng)可能存在的安全隱患,根據(jù)應用系統(tǒng)的特點和安全評估是數(shù)據(jù),劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分,明確網(wǎng)絡邊界,形成清晰、簡潔的網(wǎng)絡架構,實現(xiàn)各業(yè)務系統(tǒng)之間嚴格的訪問安全互聯(lián),有效的實現(xiàn)網(wǎng)絡之間,各業(yè)務系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡建設,把整個網(wǎng)絡劃分為邊界安全防護區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設計網(wǎng)絡拓撲結構見圖2,從圖2可以看出,出口區(qū)域,互聯(lián)網(wǎng)邊界處的防火墻設備是整個網(wǎng)絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現(xiàn)雙機冗余部署。同理,原城市熱點認證網(wǎng)關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區(qū)域根據(jù)學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網(wǎng)絡病毒、后門木馬、D.o.S等惡意流量,防止在出現(xiàn)攻擊后無數(shù)據(jù)可查;再部署一臺漏洞掃描設備,對網(wǎng)絡內(nèi)部的設備進行漏洞掃描,找出存在的安全漏洞,根據(jù)漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統(tǒng)功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監(jiān)控網(wǎng)絡環(huán)境中的網(wǎng)絡行為、通信內(nèi)容,實現(xiàn)對網(wǎng)絡信息數(shù)據(jù)的監(jiān)控。服務器集群區(qū)域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網(wǎng)絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統(tǒng)和網(wǎng)絡架構免受侵害,防止操作系統(tǒng)和應用程序損壞或宕機[4]。
4.2長期網(wǎng)絡建設規(guī)劃
網(wǎng)絡安全的防護是動態(tài)的、整體的,病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡安全領域,不存在一個能完美的防范任何攻擊的網(wǎng)絡安全系統(tǒng)。在網(wǎng)絡中添加再多的網(wǎng)絡安全設備也不可能解決所有網(wǎng)絡安全方面的問題。想要構建一個相對安全的網(wǎng)絡系統(tǒng),需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網(wǎng)絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網(wǎng)絡安全建設的優(yōu)選。4.2.1網(wǎng)絡體系化建設體系化建設指通過分析網(wǎng)絡的層次關系、安全需要和動態(tài)實施過程,建立一個科學的安全體系和模型,再根據(jù)安全體系和模型來分析網(wǎng)絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網(wǎng)絡存在的安全風險。體系化建設需要從網(wǎng)絡安全的組織體系、技術體系和管理體系三方面著手,建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網(wǎng)絡安全、主機安全、系統(tǒng)運維管理、應用安全、數(shù)據(jù)安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設計網(wǎng)絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產(chǎn)品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題,每一個環(huán)節(jié),都是邁向網(wǎng)絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網(wǎng)絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數(shù)字化校園中網(wǎng)絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網(wǎng)絡安全防護系統(tǒng)設計與實現(xiàn)[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網(wǎng)的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網(wǎng)絡信息安全方案的設計與實現(xiàn)[D].西安:西安電子科技大學,2015.10:16-17
[5]陳堅.高校校園網(wǎng)網(wǎng)絡安全問題分析及解決方案設計[D]長春:長春工業(yè)大學,2016.3:23-31
篇9
關鍵詞 園區(qū)網(wǎng);安全體系;規(guī)劃;運維
中圖分類號 TN9 文獻標識碼 A 文章編號 2095-6363(2015)09-0050-02
校園網(wǎng)絡變得更加開放的同時,網(wǎng)絡安全正經(jīng)受更加嚴格的挑戰(zhàn),網(wǎng)絡管理者必須切實了解保護本地網(wǎng)絡安全的手段。本文嘗試對如何創(chuàng)建安全的校園網(wǎng)絡環(huán)境并保持其穩(wěn)定運行提出一些規(guī)劃原則與管理方法。
1 常見網(wǎng)絡安全威脅類型
1)病毒、木馬、蠕蟲等自動攻擊工具。具備自我復制和傳播能力的程序可破壞計算機系統(tǒng),破壞某信息保密性和完整性,使得攻擊者從中獲得利益。早期一般通過系統(tǒng)漏洞或文件漏洞傳播,隨著操作系統(tǒng)安全代碼的日趨完善,目前主要靠欺騙性下載(如網(wǎng)站掛馬或植入惡意代碼)并被簡單觸發(fā)。
2)拒絕服務攻擊。拒絕服務是攻擊者常用攻擊手段之一。攻擊者通較強計算能力的服務器或大規(guī)模肉雞作為攻擊跳板,對目標發(fā)起洪水一般的非法請求,使得服務方難以接受正常訪問請求或造成緩沖區(qū)溢出,服務被迫關閉甚至崩潰。
3)基于服務代碼和服務漏洞的攻擊。作為官方的網(wǎng)絡窗口,運行于服務之上的網(wǎng)站代碼并不總是安全的。事實上,國內(nèi)多數(shù)網(wǎng)站都沒能做到足夠安全的代碼防護。運行于非標準的web服務器的web網(wǎng)站,對熟練的站點攻擊者而言,僅需幾分鐘即可獲得基本webshell,并據(jù)此進行權限提升。從互聯(lián)網(wǎng)上下載的免費文章系統(tǒng)(如知名的動網(wǎng)模板),由于受到關注,攻擊者更容易通過內(nèi)部技術組織聯(lián)絡獲取攻擊手段。
筆者所在學校站點早期使用ACCESS數(shù)據(jù)庫,攻擊者便經(jīng)常嘗試直接下載數(shù)據(jù)庫;升級為SQL SERVER數(shù)據(jù)庫后,我們發(fā)現(xiàn)了大量的SQL注入攻擊代碼,如晚間的一次攻擊嘗試代碼:
……
dEcLaRe%20@S%20VaRcHaR(4000)%20SeT%20@s=cAsT(0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435.......626C655F437572736F72%20aS%20VaRcHaR(4000)):eXeC(@s):--%20aNd%20'%25'=' 80 - 211.117.95.48 ……
從日志中很容易看出,攻擊者嘗試滲透數(shù)據(jù)庫獲取關鍵數(shù)值,并對注入代碼做了簡單偽裝。
4)社會工程學攻擊滲透。近年來攻擊者對攻擊目標的檢測方法變得多樣化,攻擊者通過多種渠道了解目標,利用社會工程學手段分析以獲得敏感信息,攻擊更具效率,大數(shù)據(jù)技術的快速發(fā)展則進一步加劇了此類風險的威脅水平。如網(wǎng)絡管理者總是愿意使用有類似特征的密碼體系同時管理公用設備和個人信息,一旦個人信息被猜解,所在網(wǎng)絡的安全風險便極大增加。
當代網(wǎng)絡面臨的安全風險越來越多,攻擊不可避免,網(wǎng)絡攻擊的原理趨向復雜,而攻擊者更容易獲取更具威脅的自動化攻擊工具,這意味著攻擊變得愈發(fā)容易。
2 學校園區(qū)網(wǎng)安全體系的規(guī)劃和建設
1)園區(qū)網(wǎng)安全體系的基本涵義。網(wǎng)絡安全體系由硬件安全、底層系統(tǒng)安全和服務/軟件安全三個方面構成,任何方面存在漏洞,都會導致整個網(wǎng)絡面臨安全崩潰。我國當前正在推動關鍵設備國產(chǎn)化進程,即從硬件層面考慮,保護網(wǎng)絡敏感信息不被國外生產(chǎn)廠非法商取。完整的網(wǎng)絡安全體系應在硬件層面作出合理選擇,在底層系統(tǒng)層面進行合理配置,減少系統(tǒng)漏洞暴露,在提供服務時建立多層次風險防控和數(shù)據(jù)過濾措施,保證網(wǎng)絡安全運行。
2)園區(qū)網(wǎng)安全體系規(guī)劃原則。網(wǎng)絡安全與提供服務的性能存在矛盾,管理者應以保障網(wǎng)絡服務正常提供為前提,評判網(wǎng)絡安全風險,適度規(guī)劃并保留升級彈性,以經(jīng)濟合理的方式規(guī)劃安全防御系統(tǒng)。網(wǎng)絡安全體系需要覆蓋到整個網(wǎng)絡,對高風險區(qū)域應設置網(wǎng)絡邊界,并指定數(shù)據(jù)流動規(guī)則(ACL)。
3)網(wǎng)段規(guī)劃。根據(jù)功能區(qū)分,通常將整個網(wǎng)絡劃分幾個功能獨立的子網(wǎng),至少包括網(wǎng)絡設備與網(wǎng)絡管理區(qū)域、停火區(qū)(DMZ)、學生機房、辦公區(qū)域以及普通聯(lián)網(wǎng)用戶區(qū)域等,各子網(wǎng)間保持物理或邏輯上的網(wǎng)段隔離,不同區(qū)域用戶一般禁止跨越子網(wǎng)互訪。這是保護網(wǎng)絡安全的最基本手段。
4)安全防護設備選擇。傳統(tǒng)網(wǎng)絡安全體系基于P2DR模型,即策略、防護、檢測和響應,設備組成一般包括終端安全(配置殺毒軟件);ACL(設備、端口規(guī)則和數(shù)據(jù)流向規(guī)則);防火墻以及IDS/IPS(應用于DMZ);它可以實現(xiàn)對多數(shù)病毒和傳統(tǒng)攻擊的有效抵御,以包過濾為基本檢測手段,具備部分協(xié)議檢測能力;對網(wǎng)站注入、滲透等較新的攻擊方式防御能力有限。
選擇何種設備組建網(wǎng)絡安防體系,取決于本地網(wǎng)絡規(guī)模、提供的服務類型和網(wǎng)絡管理者的技能水平。園區(qū)網(wǎng)可以考慮在傳統(tǒng)安全體系基礎上,根據(jù)本地網(wǎng)絡運行特性有針對性增加管控設備,為保障帶寬有效利用,針對內(nèi)部用戶可配置行為管理系統(tǒng),對用戶網(wǎng)絡行為進行管控,對占據(jù)帶寬資源和并發(fā)數(shù)資源的應用予以限制;針對WEB服務,可以配置WEB防護系統(tǒng),對數(shù)據(jù)庫注入、代碼攻擊、跨站腳本等作出有效防護;針對網(wǎng)絡內(nèi)部惡意行為,可以配置網(wǎng)絡日志分析記錄系統(tǒng),在惡意行為發(fā)生時提供報警,在行為發(fā)生后提供記錄。
3 學校園區(qū)網(wǎng)安全體系運維原則
1)安全網(wǎng)絡要求全部終端用戶參與。根據(jù)“木桶原理”,網(wǎng)絡中任一端點的安全風險會擴大到整個網(wǎng)絡。園區(qū)網(wǎng)絡安全體系需要覆蓋到整個網(wǎng)絡的所有端點。考慮到難以對所有用戶實行嚴格要求,管理者應考慮網(wǎng)絡不同區(qū)域的安全等級,制定對應安全策略,在不同區(qū)域間設立網(wǎng)絡邊界,保證任意區(qū)域故障不會蔓延至其他區(qū)域。
2)制度優(yōu)先。防患于未然,網(wǎng)絡安全事件總是發(fā)生在未曾受到關注的制度角落。管理者應綜合考慮網(wǎng)絡整體狀態(tài),制定安全事件責任制度,制定應急預案,制定各類安全事件和風險事件的相應制度,制定網(wǎng)絡使用制度等;完善的制度是保障網(wǎng)絡穩(wěn)定運行的必要條件。
3)數(shù)據(jù)備份。數(shù)據(jù)備份是網(wǎng)絡運維的必需手段。精確計算當前數(shù)據(jù)容量,預估數(shù)據(jù)增量,考慮數(shù)據(jù)備份措施,必要時配備數(shù)據(jù)備份設備。外部攻擊者在獲取網(wǎng)絡權限后,經(jīng)常造成有意或無意的數(shù)據(jù)損害,超過50%的情況下數(shù)據(jù)損失不可逆轉(zhuǎn)。設置數(shù)據(jù)備份機制,是保障網(wǎng)絡服務的最后手段。
4)完善事件記錄。園區(qū)網(wǎng)歷經(jīng)長期運行后,管理者將能夠發(fā)現(xiàn)和總結本地網(wǎng)絡常見威脅列表,建立網(wǎng)絡運維事件日志,能極大節(jié)省管理者故障定位和解決問題的時間與精力。這些記錄包括下述文件,網(wǎng)絡日常監(jiān)測記錄、病毒流行記錄、設備故障處置和維修記錄、攻擊處置記錄等。
4 結論
盡管網(wǎng)絡總是不安全的,管理者還是可以通過各種手段,以科學、合理的方式建設網(wǎng)絡安全體系,不斷學習提高技術水平,盡力保護本地網(wǎng)絡和服務不受非法攻擊侵害。作為多年工作經(jīng)驗的總結,筆者希望通過本文拋磚引玉,提供網(wǎng)絡安全運維的方法和原則,謹與同行共同交流。
參考文獻
篇10
近年來,隨著我國社會經(jīng)濟的不斷發(fā)展,國家對教育事業(yè)的支持和投入不斷增加,我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡與計算機技術的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段,為教育模式的創(chuàng)新、先進教育理念提供了可靠的實現(xiàn)方法。
高校信息化主要以數(shù)字化校園建設為主,主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認證、校園一卡通、網(wǎng)絡安全體系等;大學數(shù)字化校園建設通常先提出總體解決方案,確定數(shù)字化校園的體系結構,制定數(shù)字化校園的信息標準,以及各系統(tǒng)之間的接口標準,然后分階段實施。建立全校的網(wǎng)絡安全體系,保證校園網(wǎng)絡的安全,保證關鍵數(shù)據(jù)、關鍵應用的安全以及關鍵業(yè)務部門的安全,實現(xiàn)校園網(wǎng)絡及其應用系統(tǒng)的安全高效運行。
1教育信息化中的安全體系建設
在教育信息化建設過程中,信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系,對各級學校、職業(yè)教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統(tǒng)的安全體系建設給予了充分的重視,也是由于教育信息系統(tǒng)的復雜性、多樣性、異構性和應用環(huán)境的開放性,給整個信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例,高校數(shù)字校園信息系統(tǒng)的建設是由高校業(yè)務需求驅(qū)動的,初始的建設大多沒有統(tǒng)一規(guī)劃,有些系統(tǒng)是獨立的網(wǎng)絡,有些系統(tǒng)又是共用一個網(wǎng)絡。而這些系統(tǒng)的業(yè)務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網(wǎng)絡系統(tǒng)是一個龐大復雜的系統(tǒng),在支撐高校業(yè)務運營、發(fā)展的同時,信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點越來越多、信息安全風險日益突出,成為高校面臨的重要的、急需解決的問題之一。在進行數(shù)字化校園建設的過程中,也曾發(fā)生不少信息安全事件,如某高校數(shù)據(jù)中心一臺服務器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網(wǎng)發(fā)包,導致學校網(wǎng)絡出口癱瘓;某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改,并且學校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學生成績的數(shù)據(jù)庫,有被惡意篡改的痕跡。
2網(wǎng)絡安全威脅分析
(1)高校網(wǎng)站的安全威脅,包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級各院系等網(wǎng)站,由于高考、招生、學生就業(yè)等敏感時期,聚集了大量的學生及家長訪問流量,也引起黑客的關注,高校網(wǎng)站面臨的主要安全威脅有:網(wǎng)頁被掛馬、被篡改,黑客通過SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網(wǎng)站的管理權限,進而篡改網(wǎng)頁代碼;部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站,影響極其惡劣。每年高考招生及高校重要節(jié)日期間,高校門戶網(wǎng)站極易被DDOS攻擊,這種由互聯(lián)網(wǎng)上發(fā)起的大量同時訪問會話,導致高校網(wǎng)站負載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后,以該服務器為跳板,對內(nèi)網(wǎng)進行探測掃描,發(fā)起攻擊,對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。(2)隨著校園網(wǎng)信息化的逐步深入,業(yè)務系統(tǒng)眾多,“一卡通”、教學信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務系統(tǒng)均普遍的被各大高校采用,而這些系統(tǒng)由于管理及防護不到位,面臨著較嚴重的安全威脅:業(yè)務系統(tǒng)缺乏必要的入侵防護手段,高校網(wǎng)絡規(guī)模擴張迅速,網(wǎng)絡帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足,沒有條件管理和維護數(shù)萬臺計算機的安全,一旦受到黑客攻擊,無法阻斷攻擊并發(fā)現(xiàn)攻擊源;部分高校“一卡通”充值系統(tǒng)與銀行互聯(lián),邊界缺乏必要的隔離和審計措施,出現(xiàn)問題不方便定位,難以追查取證;校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應用眾多、服務器眾多,管理及維護方式也不盡相同,無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策。同時,對于存在安全隱患的配置檢查,也缺乏自動化的高效檢查工具和控制手段;業(yè)務系統(tǒng)權限控制不合理,有安全隱患。
3需求分析
根據(jù)對高校校園網(wǎng)絡的威脅分析,得出在校園網(wǎng)絡安全體系建設中,各個網(wǎng)絡區(qū)域和業(yè)務系統(tǒng)的安全需求如下:
(1)校園網(wǎng)絡出口應對可能發(fā)生的拒絕服務攻擊進行有效識別、過濾、清洗,保證網(wǎng)絡出口的暢通,保證骨干鏈路的負載處于正常范圍之內(nèi)。(2)網(wǎng)絡出口鏈路應有相應措施,對來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。(3)DMZ區(qū)及內(nèi)網(wǎng)服務器區(qū)出口鏈路上,應對針對WEB應用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。(4)應對流經(jīng)核心交換區(qū)域的所有流量進行深入的檢測,以識別內(nèi)部各網(wǎng)絡區(qū)域之間發(fā)生的入侵事件和可疑行為。(5)應對內(nèi)網(wǎng)用戶的網(wǎng)絡行為,如公網(wǎng)訪問、數(shù)據(jù)庫訪問等進行全面的記錄和審計,以滿足違規(guī)事件發(fā)生后的追查取證。(6)應在不同校區(qū)之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。
應對全網(wǎng)的網(wǎng)絡節(jié)點進行漏洞風險管理,實現(xiàn)漏洞預警、漏洞加固和漏洞審計的全程風險控制。(7)應對全網(wǎng)的網(wǎng)絡節(jié)點進行配置合規(guī)管理,實現(xiàn)違規(guī)配置及時識別、配置整改全面深入、配置風險全程可控。(8)應對運維管理人員進行詳細嚴格的權限劃分,并通過技術手段控制運維行為權限,對運維行為進行全程審計,對違規(guī)運維操作進行實時告警。
4遵循等保要求
2009年11月,教育部為進一步加強教育系統(tǒng)信息安全工作,由辦公廳印發(fā)《關于開展信息系統(tǒng)安全等級保護工作的通知》(教辦廳函[2009]80號),決定在教育系統(tǒng)全面開展信息安全等級保護工作;等級保護不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合,設計一套符合高校需求的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個非常有效的方法。
5網(wǎng)絡安全建設方案
(1)在校園網(wǎng)出口處旁路部署抗拒絕服務攻擊系統(tǒng)(ADS)對拒絕服務攻擊流量進行清洗,并且旁路部署網(wǎng)絡流量分析系統(tǒng)(NTA)對網(wǎng)絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環(huán)境下,旁路部署的ADS不參與網(wǎng)絡出口流量的路由和交換,邊界路由器通過NETFLOW等技術將流量信息發(fā)送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當發(fā)現(xiàn)遭受DDOS攻擊時,NTA將激活ADS,由ADS向邊界路由器發(fā)送針對特定防護目標IP的路由,將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統(tǒng)進行惡意流量的識別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發(fā)送至目標IP。(2)在出口鏈路部署入侵防護系統(tǒng),對接入互聯(lián)網(wǎng)的訪問流量進行深入過濾,有效抵御源自公網(wǎng)的入侵威脅,消除安全風險。(3)在DMZ區(qū)和內(nèi)網(wǎng)服務器出口處部署WEB應用防火墻,對服務器區(qū)的WEB服務器進行全方面的防護,對針對WEB站點的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁篡改等攻擊手段進行深入防護。保障網(wǎng)站、電子教務系統(tǒng)、一卡通系統(tǒng)等應用系統(tǒng)的正常工作。(4)在核心交換區(qū)旁路部署安全審計系統(tǒng),通過將核心交換機上各端口的流量鏡像到安全審計系統(tǒng)的監(jiān)聽鏈路,實現(xiàn)對流經(jīng)核心交換機的網(wǎng)絡數(shù)據(jù)進行全程的審計和過濾。通過制定詳細的安全審計策略,對違反審計策略的網(wǎng)絡行為進行實時告警。此外,安全審計系統(tǒng)由部署在網(wǎng)絡運維區(qū)的安全中心進行統(tǒng)一監(jiān)控與策略下發(fā),并實時收集網(wǎng)絡時間日志和告警信息。(5)在核心交換區(qū)域的出口鏈路部署下一代防火墻,實現(xiàn)出口鏈路的流量檢測和安全過濾,保護內(nèi)部網(wǎng)絡安全。建議在核心交換區(qū)域與各個校區(qū)的網(wǎng)絡邊界處部署下一代防火墻,通過下一代防火墻對應用層攻擊、病毒進行全面阻斷,可實現(xiàn)基于源/目的IP地址、協(xié)議/端口、時間、用戶、VLAN、VPN、安全區(qū)的訪問控制,保證不同網(wǎng)絡區(qū)域之間的安全防護邊界完整。同時,通過安全管理區(qū)的安全管理服務器上安裝安全中心對該設備進行全面的管理。
