校园网络管理与信息安全解决方案(调研报告)(共11篇)
调研报告
一
概述
随着信息化程度的提高,计算机网络得到了飞速发展,校园网络信息化也逐步发展起来了。而高校校园信息化建设工作的整体推进, 应用系统的整合、统一门户平台的实施、数据存储中心的建立以及各种信息的共享与交流, 都需要切实做好校园网络安全体系建设, 建立事故预警机制,做好善后处理工作, 结合硬件、软件, 采取各种技术措施, 建立一个基于管理措施和多种技术的高校校园网络安全体系, 确保校园信息化各类基础设施不受来自网内和网外用户非法访问和破坏, 管理内部用户对外部资源的合法访问, 全面做好校园信息化的安全保卫工作。保证校园内外信息资料顺畅的交流, 面对校园网络中的种种安全威胁,必须采取及时有效的措施来解决。
二
对当前校园网络现状的研究分析
当前校园网络普遍面临着网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备等问题。校园网通常是双出口结构,分别与 Cerner、Internet 互联。而且用户种类丰富。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。学生区主要是接入INTERNET的需求。应用系统丰富。校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。
三
校园网主要面临的安全威胁 1 计算机病毒破坏
计算机病毒已经成为影响校园网络安全的重要因素,它不仅影响系统的正常运行、破坏系统软件及文件系统、使整个网络运行效率下降,甚至造成计算机和整个网络系统的瘫痪。制病毒在校园网中的广泛传播: 一是在网关处禁止常见病毒的入侵, 关闭校园网络对外的可能产生病毒入侵的端口;二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品, 在整个校园网内采取病毒防范措施;三是查找到病毒宿主机, 对其实施隔离措施, 将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀;四是对服务器等重要设备设定安全策略,监控系统状态, 有效防范校园网络内的病毒和恶意入侵。校园网络设备管理不健全
校园网络涉及硬件的设备分布在整个校同内,管理起来有一定的难度。从网络设备所处层级看, 校园网网络层级一般可分为核心层、汇聚层、接入层, 要确保各个层级的安全, 网络设备本身的安全可靠是前提, 否则网络设备所配置的安全策略就失去了其意义。为了集中管理存放在校内各楼宇中的交换机设备, 学校一般会购置具备远程管理功能的交换机, 也同样是出于集中管理的目的, 网络管理者往往会将交换机的远程登陆帐户设置成一模一样或者就干脆采用设备的出厂默认值, 如果攻击者获取到设备的登陆帐号, 将会给用户和网络管理带来无法想象的威胁。暴露在外面的设施,可能遭到有意或无意的损坏,这就会造成校园网络全部或部分瘫痪的严重后果,而且大多数校园网络信息化设备投入由于资金投入不足,致使校园网络建设方面存在着各种开放式的安全隐患。计算机系统漏洞
入侵者攻击校园网主要是利用软件或攻击代码对网络软件或硬件的安全漏 洞加以攻击, 获得相应权限后, 非法获取目标主机的资源, 也可能会在控制目标主机后, 以其为跳板(俗称肉鸡), 对其他计算机或网络实施攻击和非法访问并隐藏真实身份。终端系统漏洞主要有三个方面:一是普通计算机和服务器操作系统等软件漏洞。校园网中广泛使用的网络操作系统主要是Windows 操作系统, 也有较少部分的其他类型操作系统, 这些系统都存在各种各样的安全漏洞, 许多计算机病毒都是利用操作系统的漏洞进行传染的。二是校园网络硬件设备漏洞。连接校园网络各基础设施的硬件设备(如交换机、防火墙等), 基本工作原理是运行存储在芯片中的程序, 实现一系列功能, 这些程序或多或少的都会存在一些漏洞, 这些漏洞给入侵者提供了攻击网络的可能。三是校园网站、各单位基于WEB 的业务管理系统等代码漏洞。校园网络上运行着大量的网站和众多的业务管理系统, 对校内和校外提供丰富多彩的工作、学习和娱乐等内容, 但这些站点的代码在编写过程中, 存在很多不严谨的地方, 甚至有些程序设计人员可能会在代码中留下一些后门程序, 这给攻击者留下了攻击的途径。用户对校园网网络资源的滥用
实际上有相当一部分的因特网访问是与正常的工作无关的,有人利用校园网资源从事商业活动或大量的视频、软件资源下载服务,有人甚至去访问一些不健康的甚至反动站点,从而导致大量非法内容或垃圾邮件甚至一些木马程序的进入,占用了大量珍贵的网络资源,严重浪费了校园网资源,造成流量堵寨、子网速度慢等问题。校园网安全管理制度缺失
随着校同内对计算机虚用的需求,接入校园网的计算机日益增加,校园网安全管理制度缺失问题也越发严重。校园网经常会发生计算机病毒泛滥、信息丢失数据损坏、网络被攻击、系统瘫痪等严重情况。校园网的建设普遍存在着重运行、轻管理的现象。而且当前很多高校校园网络建设存在重硬件、轻软件及重运行、轻管理的两种极端现象, 网络建设者通常将网络系统作为一项纯技术工程来实施, 没有建立一套完善的安全管理方案,网络管理员只需将精力集中于日常的简单事务管理上, 如上网线路的故障维护、账号的开通和维护、服务器的日常管理和业务应用系统的日常维护等, 网络规范 化、安全化管理严重不足, 很少关注和研究网络入侵手段、防范措施、安全机制等内容。网络管理者和使用者的安全技术能力低
虽然高校校园网络建设者和使用者具备足够的安全意识, 但可能会陷于安全技术能力不足的缺憾。网络管理者不具备丰富的安全管理经验和技术能力, 就无从谈起对网络的安全保障, 至多只能防范和处理一些简单的安全威胁, 遇到重大问题, 通常只能求助于校外专业人士。网络使用者的安全技术能力更是严重不足, 绝大多数的用户只是简单的使用计算机和网络, 安全防范措施一般只是安装杀毒软件, 期望杀毒软件能解决所有安全问题, 但这往往是不可能的。
四
网络安全解决方案设计 1 身份认证
对于每一个入校园网的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名、密码、用户PC机的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号,通过以上的信息的绑定,可以避免了个人信息被盗用,当安全事故发生的时候,只要能够发现肇事者的一项信息就可以准确定位到该用户,便于事情的处理。部署网络防病毒系统
网络管理者一般应通过四种策略来防范和控制病毒在校园网中的广泛传播: 一是在网关处禁止常见病毒的入侵, 关闭校园网络对外的可能产生病毒入侵的端口;二是在校园网内安装具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品, 在整个校园网内采取病毒防范措施;三是查找到病毒宿主机, 对其实施隔离措施, 将用户的网络访问强行定向到校内在线杀毒站点进行病毒查杀;四是对服务器等重要设备设定安全策略(如固定端口开放、审核策略、网络访问许可策略等),监控系统状态, 有效防范校园网络内的病毒和恶意入侵。
防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所以的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP,造成网络通讯的混乱。设置漏洞管理系统
设置漏洞管理系统,能够有效避免由漏洞攻击导致的安全问题。它从漏洞的整个生命周期着手,在周期的不同阶段采取不同的措施,是一个循环、周期执行的工作流程。对用户网络中的资产进行自动发现并按照资产重要性进行分类;自动周期对网络资产的漏洞进行评估并将结果自动发送和保存;采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析,并根据资产重要性给出可操作性强的漏洞修复方案;根据漏洞修复方案,对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避;对修复完毕的漏洞进行修复确认:定期重复上述步骤。
通过漏洞管理将网络资产按照重要性进行分类,自动周期升级并对网络资产进行评估,最后自动将风险评估结果自动发送给相关责任人,大大降低人工维护成本。漏洞管理系统包括硬件平台和管理控制台,部署在网络的核心交换机处,对整个网络中的资产提供漏洞管理功能。设置防火墙保护网络安全
防火墙系统是一种建立在现在同学网络技术和信息安全技术基础的应用性安全技术产品,是一种使用较早的,也是目前使用较广泛的网络安全防范产品。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理。在需要隔离的网络区域之间设置防火墙。典型地,在 Internet 与校园网之间部署一台防火墙,成为内外网之间一道牢固的安全屏障。将WWW、MAIL、FTP、DNS 等服务器连接在防火墙的 DMZ 区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。那么,通过 Internet 进来的公众用户只能访问到对外公开的一些服务(如 WWW、MAIL、FTP、DNS 等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。设置WEB应用防护系统
高校网络安全体系中,需要新型的技术和设备来应对WEB攻击,保证网站安全,维护高校声誉;为广大师生等用户提供持续优质服务。这种新型的技术就是WEB防火墙。
传统的边界安全设备,如防火墙,局限于自身的产品定位和防护深度,不能有效地提供针对 Web 应用攻击完善的防御能力。Web 应用防火墙(Web Application Firewall, 简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的 Web 应用安全问题。与传统防火墙不同,WAF 工作在应用层,因此对 Web 应用防护具有先天的技术优势。基于对 Web 应用业务和逻辑的深刻理解,WAF 对来自 Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。定期对服务器进行备份和维护
为防止不能预料的系统故障或用户不小心的非法操作,系统管理管理员需要定期备份服务器上的重要系统文件。比如用户账户。文件资料可以用RAID方式进行每周备份,重要的资料还应用保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。
加强校园管理
校园网络安全保障是一个硬件、软件和人力资源有机结合的整体, 三方面相辅相成, 缺一不可。因此, 在有足够可靠的安全软硬件的前提下, 必须加强校园网络管理人员安全技术能力和安全管理能力的培养, 鼓励其参加相关的技术培训, 拓展专业能力, 建立一支职责明确、技术全面、知识丰富的网络管理人才队伍, 全力保障校园网络安全。另一方面,应制定有关规章制度,确定安全管理等级和安全管理范围,制定有关网络操作使用规章制度,制定网络系统的维护制定和应急措施,构建安全管理平台,组成安全管理子网,安装统一的安安全管理软件,如网络设备管理系统、网络安全设备管理软件,实现校园网的安全管理。
1.1 网格的定义
网格是上世纪90年代末兴起的一种技术。网格就是一个集成的资源环境,或者说是一个计算资源池,它把整个互联网整合成一台巨大的超级计算机,实现计算资源、存储资源、数据资源、信息资源、知识资源、家庭资源等各种资源的全面共享,网格计算的根本特征是资源共享。
1.2 网格的特性
网格作为一种新出现的重要的网络基础设施,和其他的系统相比有四个特性:分布与共享;自相似性;动态性与多样性;自治性与管理的多重性。
1.3 网格的分类
网格从其功能强度上可分为计算网格、信息网格和知识网格。
计算网格聚合网络分布的计算机、工作站、机群、群集、数据库、高级仪器和存储设备等,形成对用户相对透明的、虚拟的高性能计算环境,目标是解决大规模的科学计算问题。基于计算网格的基础构件,信息网格主要研制一体化的智能信息处理平台,消除信息孤岛,方便用户发布、处理和获取信息。信息网格包含计算网格的全部功能,重点拓展了广域信息共享服务。在构件校园网格的设想中,信息网格提供了各种可共享的网络化软硬件资源,主要包括各种计算机平台、网络存储器、科学仪器、特定应用软件等,实现了资源共享服务,方便了用户。
知识网格是语义网和网格这两种新技术的结合,知识网格通过语义网技术来实现信息处理和知识获取,采用层次性网格体系结构来构建资源共享、信息共享的平台,为信息服务提供更高层次的集成和共享服务。
1.4 网格的主要应用[1]
目前已经展开的网格研究主要集中在四个方面:分布式超级计算、分布式仪器系统、数据密集型计算和远程沉浸。
2. 校园信息网格与安全问题
2.1 校园信息网格的出现[2]
随着教育信息化程度的提高,校园网上各种应用系统不断出现,网络资源呈几何级数增长,但是由于网络和操作系统的异构性,不同系统之间的数据共享比较困难,形成了一个个的信息孤岛,资源管理及相互操作性也难以完成。这样就出现了校园网格。
2.2 校园网格面临的安全问题[3]
校园网格的安全问题是一个较为复杂的系统工程,同时安全问题也是网格计算中的一个核心问题。具体地说,校园信息网格计算所面临的安全问题可以分为三类:现有系统和技术的集成;不同主机环境协同工作的能力;相互影响的主机环境之间的信任关系。
在设计校园网格安全机制时特别要考虑网格计算环境的动态主体特征及复杂性,要保证网格计算环境中不同主体之间的相互鉴别和各主体间通信的保密性和完整性。所以说,在校园网格环境中,安全问题比一般意义上的网络安全问题的覆盖面更广,客户机位于不同的地理空间和组织,为保证网格实体(用户、资源和程序)之间的通信安全、防止篡改、实现组织中安全机制方面的互操作性,就需要具备有一个统一的网格安全基础设施,GSI(Grid Security Infrastructure)正是一个解决网格计算中安全问题的一个集成方案。
2.3 网格环境的安全要求
在开放系统互联(OSI)安全体系结构模型中,它定义了5组安全服务:认证服务,访问控制服务,数据的完整性,数据保密性,非否认服务。网格技术也属于开放体系互联的技术范畴,因此,也需要提供上述5种标准安全服务,不过针对网格环境的特殊关键特点它还应具备:
1)网格认证要求。单一登录、委托、兼容不同的本地安全方案。
2)网格通信保护要求。灵活的消息保护机制、支持不同的可靠通信协议。
3)网格授权要求。由资源所有者或资源所有者代理决定授权,受限委托(减少风险)。
2.4 网格计算的安全策略
1)网格环境包括多个信任域。
2)单一信任域内的操作仅受局部安全策略的影响。
3)对每个信任域,都存在一个从全局到局部主体的映像。
4)位于不同信任域的实体间的操作要求相互鉴别。
5)所有访问控制决定都由局部主体在本地做出。
6)一个程序或过程可以代表用户操作,从属于用户权利的子集。
7)代表同一信任域内同一主体的过程可以共享一个单一的信用集。
3 校园信息网格安全体系结构[4]
Globus的网格计算协议建立在互联网协议之上以互联网协议中的通信、路由、名字解析等功能为基础。Globus的协议分为五层:构造层、连接层、资源层、汇集层和应用层。每层都有自己的服务、API和SDK,上层协议调用下层协议的服务。网格内的全局应用都通过协议提供的服务调用操作系统。该体系结构中的主体和对象必须包含组成计算的实体。一个计算包括许多过程,每个过程代表一个用户。这样,主体是用户和过程。该体系结构中的对象包括可用于网格环境中的大范围的资源:计算机、数据仓库、网络、显示设备等。GSI引入用户代理、资源代理的概念,并定义了四种安全操作协议:创建用户代理、代理分配资源、进程分配资源、映射权限[5]。
校园网格计算能动态地缩放,在需要解决问题的时候得到资源,在不需要的时候释放资源。每次计算得到资源,它就代表一个特定的用户。由于涉及的资源数量可能很多,并且一些应用程序可能运行很长时间(几天或几周),用户可能希望计算执行过程中不会受到干预。因此我们引入了用户代理的概念,在没有用户干预的情况下代替用户的行为。
4 校园信息网格安全的解决方案
Globus中的网格安全架构GSI(Grid Security Infrastructure)是一个解决网格计算系统的安全问题的一个集成方案,它结合目前成熟的分布式安全技术,并对这些技术进行一定的扩展,以适合网格计算系统的特点。GSI(Grid Security Infrastructure)是Globus的安全基础构件包,是保证网格计算安全性的核心,也是保证校园网格安全性的核心技术[6]。GSI支持用户代理、资源代理、认证机构和协议的实现[7]。
为了对协议和机制进行隔离,GSI采用GSS-API(Generic Security Serviceapplication programming interface)作为其安全编程接口。GSS-API定义提供了通用的安全服务,支持各种安全机制和技术,还支持应用程序在源码级的可移植性。GSS-API主要面向主体之间的安全鉴别和安全通信操作,它提供的功能包括:获得证书、执行安全鉴别、签署消息和加密消息等[8]。GSS-API在安全传输和安全机制上是独立的,这体现在两个方面:
1)传输独立性:GSS不依赖于特定的通信方法或通信库,而且某个GSS调用会产生一系列的标记并进行通信,目前可支持TCP、UDP等通信协议。
2)机制独立性:GSS不依赖于特定的安全算法,如Kerberos、DES、RSA公钥密码等。GSS是根据安全操作过程定义相应的函数,每个操作可通过不同的安全机制进行实现。
GSS-API符合简单公钥体制SPKM(Simple Public Key Mechanism),而SPKM的密钥管理与X.509兼容[9]。GSS-API支持在安全上下文建立过程中的安全授权数据通信,当然,GSS-API也支持其它的安全机制。为了保证对通信内容的保密性和高效性,可对通信内容进行加密,并提供某种程度的服务质量。
此外,GSI中的主要安全技术手段包括:安全认证、安全身份相互鉴别、通信加密、私钥保护、授权委托和用户单一登录。
5 结束语
在校园网(局域网)环境下建立网格计算平台,实现了校园网内资源共享,采用已有的校园网安全技术并对其进行扩充和补偿,以解决校园网环境下的信息资源的安全性,这对高等学校的信息化、数字化有较为积极的促进作用。网格技术作为一种新技术,也在不断成熟中,它在未来网络中的应用前景,值得继续研究。
摘要:网格是一门新兴的网络技术,是现代高科技发展的产物。目前校园网蓬勃发展,出现了良好的局面,但是由于技术问题,在校园网内形成了一个个的信息“孤岛”,给共享及管理网络资源带来了很大的困难,网格技术的出现给解决这一问题提供了新的方案。本文主要给出了网格和信息网格的定义,分析了目前网格面临的安全问题,比较详细地给出了网格安全问题的解决方案。
关键词:网格,校园信息,网络安全,校园网格,网格安全架构
参考文献
[1]清华大学高性能所网格研究组.网格应用现状与分析—从应用看网格[J].清华大学出版社,2003.
[2]李进华,焦玉英.网格(Grid)技术在信息资源管理中的应用[J].情报学,2003(7).
[3]颜世伟.基于网格信息服务的安全问题[J].河南图书馆学刊,2005(4).
[4]陈华.网格的安全体系结构[D].西安:西安电子科技大学,2004.
[5]刘建伟,王育民.网络安全——技术与实践[M].北京:清华大学出版社,2005:196-200.
[6]黄家炜,费洪晓.网格安全问题及解决方案[J].现代计算机,2004(12).
[7]金明星.基于802.1x的园区网络用户身份认证的研究[D].北京:北京林业大学,2005:52-54.
[8]唐学岭,姚跃飞,张力军等.高校校园网认证方式选择分析[J].计算机与网络,2005,16:45.
关键词:高校;校园网络;安全防护方案;设计;实施
校园网络安全指的就是校园网络中硬件、软件和网络中一切数据资源都需保护,不受偶然或者有意攻击而受到破坏、更改、泄露,保证系统连续、可靠、正常地运行,网络服务不中断,而校园网络安全的核心就是校园信息安全,通过校园网络安全防护方案保证校园信息安全,提升校园网络防护水平。
一、高校校校园网络防护方案需求性研究、校园网络使用结构变化
首先,校园网络使用人广泛,原有的有线网络已经不能适应网络需求,作为一个小社会的大学校园,校园网使用人,包括有:教师、学生、办公人员以及校园工作人员,其中有很大一部分属于科研网络,其保密性在一定程度上应该得到保证。在现在情况下出现了有线网络与无线网络并行的状况,导致原有基于有线网络的网络使用结构变成了有线与无线网络混用的使用结构,在进行网络运作时,校园网出口众多,包括教育网出口、联通出口、电信出口,原有的旧式简单的防火墙设置与准入设置已经很难进行有效网络保护,而现在校园网络中学生使用的大多是无线网络,其性能不很稳定,安全问题更是由于技术发展的前进性而变得不稳定。
其次,现在网络使用人群以及主要使用方向在校园内已经发生的重大变化,简单来说,就是网络使用主体由有线向无线转换,网络使用人员主体有学生向教师转换,网络使用目的由原来较为单纯的科研向多样化转变。在2012年3月30日,中国教育与科研计算机网发布调查结果显示,校园网络支撑平台方面,已经基本实现了高带宽、可信任、可控可管,但是在进行网络校园安全防护设计时很多学校仍旧采用原有的防火墙技术,其安全隐患不容小视。
第三,校园网络使用出现峰值状态的情况已经成为常态,且峰值情况对于网络的压力耿佳佳加大。在原有以科研为主的网络使用状况中,总提升网络使用是可控的,一定程度上说也是有计划的使用网络的一部分,但是现在校园生活网络与科研网络混用的情况已经成为一种新常态,在加上网络用户增多以及大学生课时运作等原因,很容易在晚上九点到十二点之间形成网络峰值,由此导致网络状态不稳定,为网络安全留下很大的漏洞。
二、学生半社会人状态
在进行网络安全设计时,尤其应该注意的是在高校中尤其是在现在所谓的“大学城”中,学生已经成为最主要的网络用户,而网络实际上已经成为他们的重要社会工具,完成学生们大量的社会活动,所以必须进行学生社会状体的探讨。对于现而今大学生的社会状态进行讨论,由于其在大学中存在又复杂的社会分层,所以只能进行类似于整体性的研究。大学生由于大部分经济处于不独立或者半独立状态,所以虽然他们在法律上早已是民事行为能力人,但是在不论实在社会实践中,还是在他们自我潜意识中,在很大程度上仍旧视其为“半社会人”,尤其是在关于其切身利益经济与社会活动中,典型就是银行拒绝对他们进行信用卡办理,而且这种“半社会人”设定也有其合理性,如果过分强调自身社会能力就会出现类似于“易租宝”之类的事件。虽然如此,在校园网络安全设计中我们要考虑的确是大学生社会人的属性。所谓“社会人”属性,就是人在社会上旅行的义务以及享受权利的属性,在一定程度上就是人在社会中的独立性,典型就是社会隐私保护以及相应的信息保护,而社会人要求的就是自身具有自身安全状态。
在校园中大学生处于血气方刚的状态,他们学习生活基本处于慢状态,在加上大学是思考的天堂,学生与教师是思考的主体,所以大学生们也有大量的时间来进行自己学习与生活的思考,任何针对于他们的强制措施,都要做好面临巨大压力的准备,尤其是类似于网络安全设计的工作,很容易被认为是侵犯自由且是一种不尊重他们获取信息的权力的行为。在乎烧学校因为过分强调所谓的安全,而又不与学生沟通,教育官僚缺乏协商精神,只是利用所谓“学生会”一纸通告了事,不但影响学生学习状态,而且造成学生们中间议论纷纷,甚至于引发学生与学校的冲突,得不偿失。其实,这在一定程度上是对学生社会权力的漠视以及领导者们权力思维惯性在作怪,而现在大学生的社会性更胜以往,这也是在进行高校网络安全翻书设计实施时尤应注意的问题。
三、校园网络安全形势复杂
现在网络安全形式较之以往更加复杂。首先,应该注意的就是电脑病毒,现在的电脑病毒具有传播速度快、查杀难度大、传播方式隐蔽的特点,由于学校处于电脑网络密集区,所以一旦發生电脑病毒感染,很容易引发连锁反应,引发电脑与网络大面积瘫痪,以蠕虫病毒为例,现在蠕虫病毒的传播更加隐蔽,而触发几率以及造成危害却更大,有些蠕虫病毒甚至于在重新更换系统之后仍旧停留在电脑内,窥一斑可见全豹,由此可见技术手段对校园网络安全形势的影响。
其次,就是所谓的意识形态渗透。其中的典型就是敏感事件与敏感词汇在校园网络的中的屏蔽问题,这也是校园网络安全中最复杂和最困难的方面,如何区分学术自由与意识形态渗透,如何让向学生解释敏感词汇,如何通过技术手段进行传播阻断而又不被道德谴责,都是在进行网络安全设计中必须要考虑的问题,更重要的是,在此过程中可能会出现全体型事件的诱因,引发学生与一部分教师对校园网络安全设计目的初衷的思考,对于未来校园网络安全防护实施有重大的影响。
nlc202309082138
四、现有高校校园网络方案整体性研究
1、現有校园网络安全方案建立基础。在现在的校园网络安全方案中,其建立的基础可以分为技术基础与伦理基础。所谓技术基础指的就是以网络分层结构设计思想为主要设计理念,通过密码学以及加密技术、防火墙技术、身份认证、入侵检测、扫描漏洞等进行,通过技术防范以病毒为代表技术性破坏,同时也以此为技术手段进行敏感词语与敏感事件的屏蔽,这些技术在现在基本都趋于成熟,但是在应用层面也存在因为程序漏洞而造成的安全危机的状况。
伦理基础,就是进行该行为的正当性,大学生处于人生观与价值观形成的重要阶段,在这一阶段中由于大学身价值观的不确定,同时也造成了大学生行为的不可预测性大大增强,这就要求高校在进行网络安全防护建设与实施时,充分与学生进行对话,了解他们对于此种防护方案的接受能力,并且积极做好相应的透明化措施,做到防护“防外不防内”,通过中国文化中固有的内外相制的文化结构,完成校园内部和谐。
2、现有网络安全方案典型状态。在现在的国内高校管理设置中,基本结构采用的都是三层交换网络,并且在标准化的大旗下,完成对病毒以及其他形式系统性攻击,保证系统安全,同时在此基础上以标准化为蓝本完成安全联动系统,进行源头组织,完成学校网络安全的保障,通过校园骨干网设计,提升网络安全性建立起坚强的校园网络传输体系,并且在此处上建立相配套的源头设计完成安全性整体性构建,核心交换机通过设备冗余进行故障避免,加强准入终端控制,完成源头控制,进行安全化的 NAT 配置,进行安全性稳定化。
3、现有网络安全方案带来的经验教训。现有网络安全方案使用讨论多集中于技术层面,从上文中可得现有网络安全方案使用的都是较为成熟的技术,但是其整体化设计颇显不足,存在“头痛医头脚痛医脚”的情况,但是在具体技术上可以说完全能够适应现在网络安全防护方案设计情况以及具体工程实施;但是现在对技术的关注明显多于对防护方案伦理合法性的关注,在设计方案时很多情况下,存在主观目的决定论,即我认为是在对你好,你必须无条件服从我。这使高校网络安全方案在实施过程中可能面临巨大的舆论压力,加上某些学校在实施过程中不透明,导致学生更加不信任所谓的“网络安全防护”由此造成方案实施困难。同时,我们也要看到在高校网络安全设计过程中形成了一套行之有效的制度,即通过安全策略的风险分析——扫描技术漏洞检测——启动防火墙预警——检测入侵设置——系统响应然后进行反击,对于现在网络安全方案中应该进行有机继承。在对高校校园网络防护方案未来发展以校园整体社会共识为基础,充分实现技术与尊严统一,实现技术与制度整体化操作。
三、结语
在本文以高校校园网络安全防护方案设计与实施过程中人文性为切入点,通过一部分技术性讨论,认为在现实高校环境下网络安全技术已经成熟,但是重要的就是进行校园社会共识的凝聚,实现技术与尊严的统一。
参考文献
[1] 李影.分析计算机网络的安全漏洞及对策[J].信息与电脑,2010,(9):56~58.
[2] 贺卫红.“数字湖工”校园网中安全策略的设计与实现[D].成都:电子科技大学,2010:25~30.
接供电局《开展网络信息安全生产专项检查》的通知,我公司深刻领会文件精神,积极组织落实,认真对照,对网络安全基础设施建设情况,网络与信息安全防范技术情况进行了自查,现将自查情况汇报如下:
一、自查工作组织开展情况:
此次自查工作由生产技术部牵头,安环部,热电分厂,电石分厂负责具体落实。对所属的分散控制系统(DCS),计算机监控系统,负荷控制系统进行检查,集体如下:热电所选用的控制系统为杭州和利时自动化有限公司的MACSV系统,完成对数据的采集,控制和监控。MACSV系统网络分为监控网络,系统网络和控制网络三个层次,三种网络以“站”的形式连接。包括数据站,工程师站,操作员站和现场控制站;涉及的版本号为MACSV5.2.4 中英文正式版,MACSV6.5.1和6.5.2 #3机炉和供热,操作系统版本WINXP+SP3;主从服务器系统版本为WIN SEVER2003;监控网络采用TCP/IP通讯协议,冗余高速工业以太网链接,系统网络采用HSIE通讯协议,冗余高速工业以太网链接,控制网络采用profibus-DP现场总线,位于现场控制站内部。
二、网络与信息安全工作情况:
1、硬件安全:包括防雷,防火和UPS电源链接等,运维人员每天坚持巡查,排除安全隐患,服务器,交换机,现场控制站等都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不会因突然断电导致设备无法运行或损坏。此外,局域网内所有计算机USB接口实行完全封闭,有效避免了因外接设备(如U盘,硬盘,其他移动设备)而引起中毒或泄密的发生。
2、网络安全:包括网络结构、密码管理、IP管理等;交换机、路由器、光纤收发器等都有备品备件,发生故障可以在第一时间更换,保证设备的稳定运行。
3、应急处置:我厂系统服务器运行安全,稳定,并配备了大型UPS电源,可以保证大面积断电情况下,服务器坚持运行半小时以上。虽然系统长期稳定,运行良好,但我厂依然定了应急处置预案,并定期进行事故应急演练。
总体来说,我厂对网络与信息完全工作非常重视,未发生过重大安全事故,各系统运转稳定。但自查中也发现了不足之处,如目前没有专门的技术人员,日常检查维护由热工人员担任,而且热工人员也没有经过专门的信息安全培训,安全力量有限。今后还需要加强信息技术人员的培养,更进一步提高信息安全技术水平,提高系统运行的安全性和工作效率。
4、技术防护:
1.1物理环境安全;程师站、算机房不断改造,均有门禁,防盗上锁;监视器防火防灾报警装置,供电和通信系统采用双线冗余;人员出入有出入登记制度;
1.2运维管理;根据内容要求,设备,系统的运维都有相应的日志记录和程序变更记录,以及强制单的管理和记录,并将工程师站和操作员站分离,有独自的登录账号和密码,并分别配有加密狗保证系统的运行安全。
三、网络安全存在以下几点不足:1、2、3、安全防范意识较为薄弱;
病毒监控能力有待高;
遇到恶意攻击,计算机病毒侵袭等突发事件处理不够及时。
四、整改办法与措施:
1、加强计算机操作技术水平,网络安全技术方面的培训;强化计算机操作人员对病毒,信息安全的防范意识。
2、加强计算机维护人员在计算机技术,网络技术方面的学习,不断提高计算机主管人员的技术水平。
意见建议:
建议按列支相关经费,组织相关人员进行培训,应急演练,改造等工作的开展。
热电分厂检修车间热工班
根据《关于开展网络与信息安全专项检查的通知》(田政办[2012]58号)文件精神,我乡结合实际情况,组织开展了自查。现将有关自查情况,报告如下:
我乡对网络信息安全保密工作地直十分重视,成立了专门的领导组,建立健全了网络安全保密责任制和有关规章制度,由乡网络管理室统一管理,各科室负责各自的网络信息安全工作。严格落实有关网络信息安全保密方面的各项规定,采取了多种措施防范安全保密有关事件的发生,总体上看,我乡网络信息安全保密工作做得比较扎实,效果也比较好,近年来未发现失泄密问题。
一、计算机涉密信息管理情况
今年以来,我乡加强组织领导,强化宣传教育,落实工作责任,加强日常监督检查。对于计算机磁介质(软盘、U盘、移动硬盘等)的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的磁介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。涉密计算机严禁接入乡域网,并按照有关规定落实了保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用也严格按照乡计算机保密信息系统管理办法落实了有关措施,确保了机关信息安全。
二、计算机和网络安全情况
一是网络安全方面。我乡终端计算机均安装了防病毒软件、软件防火墙,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
二是日常管理方面切实抓好乡域网和应用软件管理,确保“涉密计算机不上网,上网计算机不涉密”,严格按照保密要求处理光盘、硬盘、优盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是硬 1
件安全,包括防雷、防火、防盗和电源连接等;二是网络安全,包括网络结构、安全日志管理、密码管理、IP管理、互联网行为管理等;三是应用安全,公文传输系统、软件管理等。
三、硬件设备使用合理,软件设置规范,设备运行状况良好。
我乡每台终端机都安装了防病毒软件,系统相关设备的应用一直采取规范化管理,硬件设备的使用符合国家相关产品质量安全规定,单位硬件的运行环境符合要求。
四,通迅设备运转正常
我乡网络系统的组成结构及其配置合理,并符合有关的安全规定;网络使用的各种硬件设备、软件和网络接口是也过安全检验、鉴定合格后才投入使用的,自安装以来运转基本正常。
五、严格管理、规范设备维护
我乡对电脑及其设备实行“谁使用、谁管理、谁负责”的管理制度。在管理方面我们一定是坚持“制度管人”。二是强化信息安全教育、提高员工计算机技能。在设备维护方面,专门设置了网络设备故障和维护情况属实登记,并及时处理。对外来维护人员,要求有关人员陪同,并对其身份和处理情况进行,规范设备的维护和管理。
六、安全制度制定落实情况
为确保计算机网络安全、实行了网络专管员制度、计算机安全保密制度、网络信息安全突发事件应急预案等以有效提高管理员的工作效率。同时我乡结合自身情况制定计算机系统安全自查工作制度,做到四个确保:一是网络管理员于每周五定期检查乡域网系统,确保无隐患问题;二是制作安全检查工作记录,确保工作落实;三是领导定期询问制度,由网络管理员汇报乡域网使用情况,确保情况随时掌握;四是定期组织全乡人员学习有关网络知识,提高计算机使用水平,确保预防。
七、安全教育
为保障我乡网络安全有效地运行,减少病毒侵入,我乡就网络安全及 2
系统安全的有关知识进行了培训。期间,大家对实际工作中遇到的计算机方面的有关问题进行了详细的咨询,并得到了满意的答复。
自查存在的问题及整改意见
我们在管理过程中发现了一些管理方面存在的薄弱环节,今后我们还要在以下几个方面进行改进。
一、对于线路不整齐、暴露的,立即对线路进行期限整改,并做好防鼠、防火安全工作。
二、加强设备维护,及时更换和维护好故障设备。
三、自查中发现个别人计算机安全意识不强。在以后的工作,我们将计算加强计算机安全意识教育和防范技能训练,让员工充分认识到计算机案件的严重性。人防与技防结合,确实做好单位的信息系统安全和网络安全工作。
淮南市**乡人民政府
市卫计局:
按照《卫生和计划生育局关于进一步加强网络与信息安全工作的通知》(卫发[2016]112号,我中心立即组织开展信息系统安全检查工作,现将自查情况汇报如下:
一、信息安全状况总体评价
我院信息系统运转以来,严格按照上级部门要求,积极完善各项安全制度、充分加强信息化安全工作人员教育培训、全面落实安全防范措施、全力保障信息安全工作经费,信息安全风险得到有效降低,应急处置能力切实得到提高,保证了本会信息系统持续安全稳定运行。
二、信息安全工作情况
(一)信息安全组织管理
领导重视,机构健全。针对信息系统安全检查工作,理事会高度重视,做到了主要领导亲自抓,主管领导由高宝峰担任,成员由信息科(室)薛炜、姚姚组成,建立健全信息安全工作制度,积极主动开展信息安全自查工作,保证了网络信息工作的良好运行,确保了信息系统的安全。
(二)日常信息安全管理
1、建立了信息系统安全责任制。按责任规定:安全负责人对信息安全负首责,主管领导负总责,具体管理人负主
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我中心实际,今后要在以下几个方面进行整改。
存在不足:一是专业技术人员较少,信息系统安全方面可投入的力量有限;二是规章制度体系初步建立,但还不完善,未能覆盖相关信息系统安全的所有方面;三是遇到计算机病毒侵袭等突发事件处理不够及时。
整改方向:
一是要继续加强对干部职工的安全意识教育,提高做好安全工作的主动性和自觉性。
二是要切实增强信息安全制度的落实工作,不定期的对安全制度执行情况进行检查。
三是要以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,随时随地解决可能发生的信息系统安全事故。
四是要提高信息安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和保密工作。
五是要创新安全工作机制,提高两个院区网络信息工作的运行效率,进一步规范办公秩序。
四、对信息安全工作的意见和建议
随着科技与信息技术的不断发达,我国高校都相继完成了校园网络的建设、完善与优化工作。校园网络已成为高校最重要的教学设施之一,其丰富的信息资源可以为高校的教育科研、学校管理、后勤服务等工作提供便利,也是高校教育教学改革的重要平台,在加速数字化校园建设、促进思想文化的交流、营造浓厚的精神文化氛围等方面,发挥了无可替代的作用。但是,近年来,随着校园网使用的不断深入,网络数据信息急剧膨胀,校园网络安全问题频发。对学校教育科研、学校管理等工作造成严重影响与威胁。因此,面临高校急待解决的校园络安全问题,对校园网安全现状进行全面分析,找出问题的主要症结,推进学校网络安全防护体系的建设,使校园网更好地为学校教育教学科研及管理发挥重要作用,是摆在高校校园网络建设中的重要课题。
1 高校校园网络安全现状分析
1.1用户安全意识及学校管理问题
(1)校园网络用户安全意识淡薄
高校网络用户群体中学生占很大比重。由于高校近几年来的扩大招生,使得学生用户规模呈逐年增大趋势。学生群体用户网络水平较高,并且学生自主性学习的时间相当充足。通过网络知识的学习与实践,学生对计算机知识与网络知识都有所掌握。学生对网络技术很感兴趣,善于尝试,是校园用户群体中最活跃的部分。但是学生用户使用网络的安全意识淡薄,以及版权意识的缺乏,致使高校学生对网络安全问题及可能造成的严重后果缺乏应有的认识,由于好奇心的驱使,许多学生竟然把校园网作为自己的“试验田”,在网络上试用许多网络攻击技术。同时,因为高校学生版权意识缺乏,致使其在校园网络上使用大量的盗版软件、盗版资源。尝试攻击技术、滥用盗版软件等使用网络欠当行为,占用了校园网大量带宽,为校园网的安全正常运行带来危害。
(2)校园网络缺乏有效管理
高校存在着“重网络投资建设,忽视网络管理”的倾向。尽管高校经费处在紧张状态,但是对校园网建设的投入则是不惜资金投入,少则几百万,多至上千万。经费普遍应用于可以让师生明显看到的网络规模的扩展及增加网络应用方面,而对师生不易察觉的网络安全却缺乏应有重视。存在网络安全方面投资少的问题,必要的网络安全管理设备与软件短缺,致使网络安全的维护与管理力度不足。各高校为了给教学、科研、管理以及学生的学习生活提供方便,目前都建立了千兆主干或万兆主干、百兆桌面或千兆桌面,校园网的高宽带给校园用户带来了便捷服务的同时,也给校园网络安全管理带来更大的难度。
1.2校园网面临的网络问题与威胁
(1)安全漏洞与病毒攻击
校园网普遍存在的计算机系统漏洞和应用软件漏洞,对计算机及网络的正常运行造成极大的影响,这些漏洞极易被黑客或者病毒利用,也对网络造成了很大的威胁,甚至导致校园网络的瘫痪。网络病毒以极快的速度传播与泛滥,因为用户安全意识不强及各种原因,如未安装杀毒软件或者没有及时进行杀毒操作等,会对计算机带来威胁,并且会占用、浪费网络资源,使得网络出现堵塞,对其它用户的网络使用带来严重影响。同时,来自校园网内外的网络攻击行为时有发生,危害也越来越大,影响了校园网的正常运行。
(2)网络资源的滥用与不良信息的传播
由于校园内用户滥用网络资源的行为比较频繁,例如私下开设代理服务器、不按规定获取网络服务等,用户全天候开网,有时带宽被无为的占用与浪费,影响了网络的正常应用。网络传播的信息参差不齐,一些不良信息也乘虚而入,凶杀、黄赌毒信息等严重地侵蚀着青年学生健康成长,对于正确人生观与价值观的形成带来了负面影响,因此对网络信息采取过滤与控制应成为校园网络管理的常态。
(3)垃圾邮件与恶意攻击
垃圾邮件以侵占网络带宽而造成网络严重拥堵问题,使整个网络的运行效率大幅度降低,破坏性很大。垃圾邮件也是病毒传播的重要渠道之一。不法人员通过垃圾邮件可以攻击网络和传播不良信息。尽管大部分高校都建立了电子邮件服务器,但是因为邮件缺少过滤软件及限制相关邮件转发的措施不得力,使邮件服务器成为垃圾邮件攻击的目标和中转站。占用了大量的网络带宽,导致邮件收发速度十分缓慢,严重的可以导致邮件服务器瘫痪。网络攻击主要是不法用户或者校外不法人员利用黑客技术对校园网络系统进行恶意攻击。黑客的攻击可以导致网络设备的配置被删除,学校的主页被篡改、学校数据库瘫痪等严重安全事故。
2 校园网安全问题解决策略
2.1 强化对校园网用户安全意识教育
解决校园网安全问题的关键在于强化用户的安全意识,由于用户的安全意识不强,如不顾及校园网的脆弱性而进行违法操作、不进行查杀毒处理的现象大量存在,影响了校园网的正常运行。因此,可以根据校园网用户的类型采取相应的教育措施。如学校领导要重视校园网的维护与防范,了解维护校园网安全的紧迫性,加深对网络安全建设的重视程度;对于普通网络用户则可以向其宣传相关网络安全的法律法规,增强其遵规守纪的自觉性,掌握维护网络安全的基本操作技能;作为网络管理人员要时刻提升自身安全业务技能,提高警惕,对于日常发生的网络问题能够及时加以排除与科学处理。
2.2 建立完善校园网络安全管理制度
校园网络安全建设离不开行之有效的网络管理制度,这是确保网络安全运行的保障。要建立一个统管全局的安全管理制度,在此基础上建立一个网络安全管理机构以及与之相适应的网络安全管理机制。同时,要实施激励制度,采取行政与经济手段相结合的原则,奖罚分明,保障网络管理制度的有效实施。
2.3 采用相关技术建立校园网防护体系
(1)在校园网内实施物理分区隔离管理措施
事实证明校园网所遭受的攻击行为多来源于内网,内网的可信度并不像我们想象的那么高。因此加强内网的管理监控是校园网络管理的重中之重。我们可以根据校园部门职能、用户地理位置、网络应用类型等将校园网物理划分成不同的区域,分别配置与管理,将服务器可以进行整理集中,便于统一管理。这既可以节省重复建设投资,又可以采用防火墙的功能,来创建相应的规则,开放服务的端口,控制服务的区域,也可以对攻击者的网络地址进行监控。根据部门职能的不同,学校通常有教学区、办公区、财务区、后勤区等,各个区域可以采取三层独立的汇聚设施,可以利用虚拟局域网将各个部门进行隔离,分区内部与分区之间采用路由策略禁止互访,这样既可以控制网络流量,又可以减少一方产生病毒对全局造成影响的问题。
(2)采用防火墙技术实施逻辑网络隔离措施
采用防火墙技术不仅只局限于为学校内网与外网进行隔离。因为内网的不可靠性越来越大,所以还要采取防火墙策略控制技术,对学校内网区域之间采取逻辑网络隔离措施。对不同的区域采取不同等级的安全控制,重点要放在学生宿舍与家属区部位,利用防火墙将这些区域与内网除服务区以外进行隔离,防范网络攻击行为。
(3)对入侵攻击行为进行实时监控
对网络入侵攻击行为进行监控,可以采取入侵监测技术,这种技术可以抓取网络上所有的报文,通过分析,网络管理人员可以了解网络发生的异常,并防范可能造成的危害,对于内外部攻击以及误操作,提供实时保护。把一些预期的网络攻击阻挡于网外,并对一些非预期的攻击进行辨别并作出反应。
(4)建立病毒防范体系
校园网中要建立完善的、强大的病毒防范体系,有效防范计算机病毒的入侵,检测查杀侵入计算机的病毒,清除系统中出现的病毒。对于服务器要采取彻底堵截的有力措施,根据在校园网泛滥的不同类型的病毒,选择适合的网络杀毒软件,有效阻止病毒的泛滥与蔓延。根据实际情况可以采取多种杀毒软件交叉杀毒的方式。同时要做好重要文件的备份,防止系统崩溃等带来的危害。
3 结语
高校校园网络已经成为学校开展教育科研等活动的重要手段,只有采取各项安全防范措施,提升校园网的安全系数,营造良好的网络环境,才能更好地以安全、顺畅的网络推进学校教育教学及学校管理等工作的有序规范进行,为师生提供更优质网络安全服务。
参考文献
[1]杜芸.高校校园网络安全隐患与解决策略探析[J].信息安全与技术,2015.
[2]赵军.高校校园网安全问题及解决策略分析[J].信息安全与技术,2013.
关键词:LAN; 威胁;信息安全;病毒防治
随着信息化的不断扩展,各类网络版应用软件推广应用,计算机网络在提高数据传輸效率,实现数据集中、数据共享等方面发挥着越来越重要的作用,网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行,保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提,因此计算机网络和系统安全建设就显得尤为重要。
1、校园网安全现状
校园网络作为学校重要的基础设施,担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期,安全问题可能还不突出,随着应用的深入,校园网上各种数据会急剧增加,各种各样的安全问题开始困扰网络管理人员。由于学校是以教学活动为中心的场所,网络的安全问题也有自己的特点。主要表现在:
1.不良信息的传播,2.病毒的危害,3.非法访问,4.恶意破坏,5.口令入侵。
2、校园网安全威胁分析
校园网(LAN )是指在校园内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑,因此校园网内信息的传输速率比较高,同时校园网采用的技术比较简单,安全措施较少,同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。校园网的网络安全威胁通常有以下几类:
2.1 欺骗性的软件使数据安全性降低
由于校园网很大的一部分用处是资源共享, 而正是由于共享资源的“数据开放性”, 导致数据信息容易被篡改和删除,数据安全性较低。例如“网络钓鱼攻击”, 钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息:如用户名、口令、账号ID、ATM PIN 码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据,以往此类攻击的冒名的多是大型或著名的网站,但由于大型网站反应比较迅速,而且所提供的安全功能不断增强,网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段,因此会造成经常性的信息丢失等现象发生。
2.2 服务器区域没有进行独立防护
校园网内计算机的数据快速、便捷的传递,造就了病毒感染的直接性和快速性,如果校园网中服务器区域不进行独立保护,其中一台电脑感染病毒,并且通过服务器进行信息传递,就会感染服务器,这样校园网中任何一台通过服务器信息传递的电脑,就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击,但无法抵挡来自校园网内部的攻击。
2.3 计算机病毒及恶意代码的威胁
由于网络用户不及时安装防病毒软件和操作系统补丁,或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击,正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件,在自己寄生的文件中注入新的代码。最近几年,随着犯罪软件(crimeware) 汹涌而至,寄生软件已退居幕后,成为犯罪软件的助手。2007年,两种软件的结合推动旧有寄生软件变种增长3 倍之多。2008年,预计犯罪软件社区对寄生软件的兴趣将继续增长,寄生软件的总量预计将增长20%。
2.4校园网用户安全意识不强
许多教师使用移动存储设备来进行数据的传递,经常将外部数据不经过必要的安全检查通过移动存储设备带入内部校园网,同时将内部数据带出校园网,这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。
2.5IP 地址冲突
校园网用户在同一个网段内,经常造成IP 地址冲突,造成部分计算机无法上网。对于校园网来讲,此类IP 地址冲突的问题会经常出现,用户规模越大,查找工作就越困难,所以网络管理员必须加以解决。
正是由于校园网内应用上这些独特的特点,造成校园网内的病毒快速传递,数据安全性低,网内电脑相互感染,病毒屡杀不尽,数据经常丢失。
3、校园网安全控制与病毒防治策略
3.1加强教师的网络安全培训
安全是个过程,它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看,主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行,必须注重把每个环节落实到每个层次上,而进行这种具体操作的是人,人正是网络安全中最薄弱的环节,然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理。从而加强工作人员的安全培训。增强内部人员的安全防范意识,提高内部管理人员整体素质。
3.2校园网安全控制策略
安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分,对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,我校购买了网络杀毒软件一套,有效的缓解了校园网安全管理的难度。防火墙技术是通常安装在单独的计算机上,与网络的其余部分隔开, 它使内部网络与Internet 之间或与其他外部网络互相隔离,限制网络互访,用来保护内部网络资源免遭非法使用者的侵入,执行安全管制措施,记录所有可疑事件。它是在两个网络之间实行控制策略的系统,是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。
3.3病毒防治
病毒的侵入必将对系统资源构成威胁,影响系统的正常运行。特别是通过网络传播的计算机病毒,能在很短的时间内使整个计算机网络处于瘫痪状态,从而造成巨大的损失。因此,防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断,如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。
通过以上策略的设置,能够及时发现网络运行中存在的问题,快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点,及时、准确的切断安全事件发生点和网络。
校园网安全控制与病毒防治是一项长期而艰巨的任务,需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化,安全问题日益复杂化,网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。
参考文献
[1]冯普胜。 ARP 病毒处理方法[J]. 内蒙古电力技术,2008, (5)。
为了加强我校教育信息网络安全管理,保护信息系统的安全,促进我校信息技术的应用和发展,保障教育教学和管理工作的顺利进行,并配合省公安厅、省教育厅(豫公通[2004]220号文件精神,对我校计算机信息系统开展以“反黑客、反破坏、扫黄打非、清理垃圾邮件”为主要内容的安全大检查,净化校园网络环境,不断提高学校计算机信息系统安全防范能力,从而为学生提供健康,安全的上网环境。
一、领导重视,责任分明,加强领导
为了认真做好迎检准备工作,进一步提高教育网络信息安全工作水平,促进教育信息化健康发展,我校建立了专门的网络信息安全管理组织,成立了由分管领导、网络管理员组成的计算机网络信息安全管理领导小组。负责制定学校计算机信息系统安全管理的办法和规定,协调处理全校有关计算机信息系统安全的重大问题;负责学校计算机信息系统的建设、管理、应用等工作;负责信息系统安全的监督、事故的调查和处罚。学校网络管理人员要在学校计算机安全管理领导小组的领导下,负责校园网的安全保护工作和设备的维护工作,必须模范遵守安全管理制度,积极采取必要的防范技术措施,预防网络安全事故的发生。
二、完善制度,加强管理
为了更好的安全管理网络,我校建立了健全的安全管理制度:
(一)计算机机房安全管理制度
1、重视安全工作的思想教育,防患于未然。
2、遵守“教学仪器设备和实验室管理办法”,做好安全保卫工作。
3、凡进入机房的人员除须遵守校规校纪外,还必须遵守机房的各项管理规定,爱护机房内的所有财产,爱护仪器设备,未经管理人员许可不得随意使用,更不得损坏,如发现人为损坏将视情节按有关规定严肃处理。
4、机房内禁止吸烟,严禁明火。
5、工作人员必须熟悉实验室用电线路、仪器设备性能及安全工作的有关规定。
6、实验室使用的用电线路必须符合安全要求,定期检查、检修。
7、杜绝黄色、迷信、反动软件,严禁登录黄色、迷信、反动网站,做好计算机病毒的防范工作。
8、工作人员须随时监测机器和网络状况,确保计算机和网络安全运转。
9、机房开放结束时,工作人员必须要关妥门窗,认真检查并切断每一台微机的电源和所有电器的电源,然后切断电源总开关。
(二)操作人员权限等级分配制度
1、校领导统一确定操作人员职能权限。
2、电教组成员负责管理、维修学校所有计算机,出现重大事故应及时报上级领导。
3、教师用户帐号、密码由网络管理员发放,并统一管理。
4、学校计算机管理人员需定期维护计算机软件和数据,重要信息定期进行检查和备份。
5、网络管理员负责校园用户计算机系统能够正常上网,为用户提供日常网络维护服务和日常数据备份。
(三)账号安全保密制度
1、网络用户的账号、密码不得外传、外借。
2、非法用户使用合法用户的账号进入校园网的,追究该帐号拥有者的安全责任。
(四)计算机病毒防治制度
1、学校购买使用公安部颁布批准的电脑杀毒产品。
2、未经许可证,任何人不得携入软件使用,防止病毒传染。
3、凡需引入使用的软件,均须首先防止病毒传染。
4、电脑出现病毒,操作人员不能杀除的,须及时报电脑主管处理。
5、在各种杀毒办法无效后,须重新对电脑格式化,装入正规渠道获得的无毒系统软件。
6、建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到软盘上,以防遭病毒破坏而遗失。
7、及时关注电脑界病毒防治情况和提示,根据要求调节电脑参数,避免电脑病毒侵袭。
(五)安全教育培训制度
1、学校组织教师认真学习《计算机信息网络国际互联网安全保护管理办法》,提高教师的维护网络安全的警惕性和自觉性。
2、学校负责对本校教师进行安全教育和培训,使教师自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》,使他们具备基本的网络安全知识。
3、校管理中心对信息源接入的骨干人员进行安全教育和培训,使之自觉遵守和维护《计算机信息网络国际互联安全保护管理办法》,杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。
(六)、事故和案件及时报告制度
1、任何单位和个人不得利用互联网制作、复制、查阅和传播下列信息: 煽动抗拒、破坏宪法和法律、行政法规实施。煽动颠覆国家政权,推翻社会主义制度。煽动分裂国家、破坏国家统一。
煽动民族仇恨、民族歧视、破坏民族团结。捏造或者歪曲事实、散布谣言,扰乱社会秩序。
宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪。公然侮辱他人或者捏造事实诽谤他人。损害国家机关信誉。
其他违反宪法和法律、行政法规。如发现有上述行为,保留有关原始记录,并填写好《安全日志》,在12小时内向上级报告。
2、接受并配合区电教中心和公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
3、发现有关计算机病毒、危害国家安全、违反国家有关法律、法规等计算机安全案情的,应在12小时以内向上级报告。
4、计算机机房设管理员一名,其职责是每天不定期浏览主页或自己页面,负责领导还应经常巡视操作者,如发现有违反上述规定者应立即制止并报告校园网安全领导小组。
(七)、面对大面积病毒应急处理方案
1、制定计算机病毒防治管理制度和技术规程,并检查执行情况;
2、培训计算机病毒防治管理人员;
3、采取计算机病毒安全技术防治措施;
4、对网站计算机信息系统应用和使用人员进行计算机病毒防治教育和培训;
5、及时检测、清除计算机系统中的计算机病毒,并做好检测、清除的记录;
6、购置和使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品;
7、向公安机关报告发现的计算机病毒,并协助公安机关追查计算机病毒的来源;
8、对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
实施方案
为进一步加强网络与信息安全管理工作,提高网络与信息安全保护水平,根据省、市要求,决定从年月日至月日,对全专项检查。
一、工作目标
通过专项检查,认真查找网络与信息安全存在的隐患和漏洞,增强各单位的安全意识;全面落实安全组织、安全制度和技术防范措施,建立和完善安全防范机制,确保网络与信息安全。
二、组织领导
成立牵头,县公安局、县保密局等相关部门组成,负责对全政府网络与信息安全检查工作的督导,对重要信息系统进行现场检查,并做好检查的汇总分析和上报工作。各单位要制定具体的安全检查方案,并组织实施。
三、检查范围
专项检查的重点是党政机关门户网站和办公系统,以及基础信息网络(公众电信基础网络、广播电视传输网)和关系国计民生、国家安全、经济命脉、社会稳定的重要信息系统(金融、电力、交通、税务、财政、社会保障、供电供水等)。
四、专项检查内容
(一)信息网络安全组织落实情况。信息安全工作职责的主管领导、专职信息安全员等设置情况。
(二)信息网络安全管理规章制度的建立和落实情况。各单位制订相关的信息网络安全管理制度,重点是信息网络系统中软环境、物理环境、运行环境、软件和数据环境等方面管理制度。机房安全、系统运行、人员管理、密码口令、网络通信安全、数据管理、信息发布审核登记、病毒检测、网络安全漏洞检测、账号使用登记和操作权限管理、安全事件倒查、领导责任追究等制度建立和执行情况。
(三)技术防范措施落实情况。各单位在实体、信息、运行、系统和网络安全等方面,是否制定安全建设规划和实施方案及应急计划。在防攻击、防病毒、防篡改、防瘫痪、防窃密方面,是否有科学、合理、有效的安全技术防范措施。党政重要系统中使用的信息产品和外包服务,是否经过国家认监委、工信部、公安、安全、密码管理等相关部门认证。
(四)执行计算机信息系统安全案件、事件报告制度情况。发生信息安全事件,是否按照报告制度向有关部门报告。
(五)有害信息的制止和防范情况。重点对利用互联网散布政治谣言、扰乱社会秩序、宣扬邪教和封建迷信,以及传播淫秽、色情、暴力、赌博等有害信息进行检查。
(六)党政机关保密工作。重点检查保密规章制度建设、领导干部的保密工作,重大涉密活动和重要会议的各项内容事先是-2-
否经过保密审查审批,国家秘密文件、资料和其它物品的管理,涉密的电子设备、通信和办公自动化系统是否符合保密要求。
(七)重要信息系统等级保护工作开展情况。重点检查等级保护工作部署和组织实施情况,信息系统安全等级保护定级备案情况,信息安全设施建设情况和信息安全整改情况。
五、专项检查方法与步骤
本次专项检查分三个阶段进行:
(一)自查阶段:日—月日。
各单位根据专项检查内容对本单位的网络与信息安全工作进行一次全面的自查,对存在的突出安全隐患进行整改,切实加强本单位网络与信息安全的防护工作。
(二)抽查阶段:日—月
县网络与信息安全专项检查工作组组织有关单位对部分单位进行抽查和信息安全风险测评,并提出整改意见。
(三)整改阶段:日—月日。
各单位对自查和抽查中查出的问题、隐患进行整改,并将整改情况于月日前报县网络与信息安全专项检查工作组(联系人: 联系电话:),县网络与信息安全专项检查工作组汇总情况后报市网络与信息安全专项检查工作组、省网络与信息安全协调小组,并对全网络与信息安全专项检查工作进行通报。
六、工作要求
(一)加强组织领导。各单位要充分认识信息安全及本次专项检查工作的重要性和紧迫性。要按照谁主管谁负责、谁运行谁负责的原则,明确分管领导和工作人员。认真按照网络和信息安全专项检查内容,建立健全安全组织、安全管理制度,落实安全防范措施,切实做好重要信息系统的安全建设和管理。
(二)积极配合检查。基础信息网络和重要信息系统主管单位要积极配合专项检查及明确专人协助检查组工作,并提供必要的工作条件。
关键词:企业信息化;网络安全;系统安全;安全解决方案
中图分类号:TP393
1 项目来源
重钢集团公司按照国家“管住增量、调整存量、上大压小、扶优汰劣”的原则,将重庆市淘汰落后产能、节能减排与重钢环保搬迁改造工程结合起来。随着重庆市经济和城市化快速发展,重庆钢铁(集团)有限责任公司拟退出主城区,进行环保搬迁。重钢环保搬迁新厂区位于长寿区江南镇,主要生产设施包括码头、原料场、焦化、烧结、高炉、炼钢、连铸、宽厚板轧机、热连轧机和各工艺配套设施以及全厂的公辅设施等,生产规模为630万吨。
2 系统目标
重钢股份公司在搬迁的长寿区建立了全新的信息化机房,结合自身实际,决定部署一套符合自身需要的信息化平台。整个平台包含:财务系统、人力资源管理系统、门户.OA系统、各产线的MES系统、以及企业的原料,物流系统等。
3 系统实现
重钢信息系统全由公司自主研发,服务器端采用:中间服务器操作系统win2003server+Oracle Developer6i Runtimes,数据库服务器:Unix Ware+ORACLE 10g。开发端:Windows 9x/2000/XP+ Oracle Developer 2000 Release。根据业务需求,公司统一按国家标准部署了装修一个中心机房,选择了核心数据库服务器小型机、其他小型机服务器、FC-SAN存储柜、SAN交换机,磁带库、PC服务器、网络安全管理设备,机柜、应用服务器软件、数据备份管理软件、UPS电源。等硬件基础设施对此系统项目进行集成。在信息化建设实施过程中,本人主要参与了整个系统项目集成方案设计和实施。
4 项目特点
4.1 网络设计
中心机房通过防火墙等网络设备提供网络互联、网络监测、流量控制、带宽保证、防入侵检测等技术,抗击各种非法攻击和干扰,保证网络安全可靠。同时网络建设选择了骨干线路采用16芯单模光纤,接入层线路采用8芯单模光纤,桌面线路采用六类非屏蔽网络线;光纤骨干线部分采用万兆+千兆光纤双链路连接,接入层光纤采用千兆链路接口至桌面。整个网络体系满足千兆以上数据传输及交换要求。
4.2 系统设计
本系统采用业界流行的三层架构,客户端,应用服务器层,后台数据库层。
4.2.1 应用层设计特点
在应用层选择上,重钢选择了citrix软件来实现企业的虚拟化云平台,原先安装在客户端的应用程序客户端程序安装在Citrix服务器上,客户端不再需要安装原有的Client端软件,Client端设备只需通过IE就可以进行访问。这样就把原先的C/S的应用立刻转化为B/S的访问形式,而且无需进行任何的开发和修改源代码的工作。同时使用Citrix的“Data Collector”负载均衡调度服务器负责收集每一台服务器里面的一些动态信息,并与之进行交流;当有应用请求时,自动将请求转到负载最轻的服务器上运行。Citrix是通过自己的专利技术,把软件的计算逻辑和显示逻辑分开,这样客户端只需上传一些鼠标、键盘的命令,服务器接到命令之后进行计算,将计算完的结果传送给客户端,注意:Citrix所传送的不是数据流,而是将图像的变化部分经过压缩传给客户端,只有在客户端和服务器端才可以看到真实的数据,而中间层传输的只是代码,并且Citrix还对这些代码进行了加密。对于网络的需求,只需要10K~20K的带宽就可以满足需要,尤其是在ERP中收发邮件,经常遇到较大邮件,通常在窄带、无线网络条件下基本无法访问,但通过Citrix就可以很快打开邮件,进行文件的及时处理。
4.2.2 数据库层技术特点
在数据库层的选择上,重钢选择了oracle软件。利用oracle软件本身的技术特点,我们设计系统采用ORACLE RAC+DATAGUARD的部署方式。RAC技术是通过CPU共享和存储设备共享来实现多节点之间的无缝集群,用户提交的每一项任务被自动分配给集群中的多台机器执行,用户不必通过冗余的硬件来满足高可靠性要求。
RAC的优势在于:在Cluster、MPP体系结构中,实现一个共享数据库,支持并行处理,均分负载,保证故障时数据库的不间断运行;支持Shared Disk和Shared Nothing类型的体系结构;多个节点同时工作;节点均分负载。当RAC群组的一个A节点失效时,所有的用户会被重新链接到B节点,这一切对来说用户是完全透明的,从而实现数据库的高可用性。
Data Guard是Oracle公司提出的数据库容灾技术,它提供了一种管理、监测和自动运行的体系结构,用于创建和维护一个或多个备份数据库。与远程磁盘镜像技术的根本区别在于,Data Guard是在逻辑级,通过传输和运行数据库日志文件,来保持生产和备份数据库的数据一致性。一旦数据库因某种情况而不可用时,备份数据库将正常切换或故障切换为新的生产数据库,以达到无数据损失或最小化数据损失的目的,为业务系统提供持续的数据服务能力。
4.2.3 数据备份保护特点
备份软件采用HP Data Protector软件。HP Data Protector软件能够实现自动化的高性能备份与恢复,支持通过磁盘和磁带进行备份和恢复,并且没有距离限制,从而可实现24x7全天候业务连续性,并提高IT资源利用率。Data Protector软件的采购和部署成本比竞争对手低30-70%,能够帮助客户降低IT成本,提升运营效率。许可模式简单易懂,有助于降低复杂性。广泛的可扩展性和各种特性可以实现连续的备份和恢复,使您凭借一款产品即可支持业务增长。此外,该软件还能够与领先的HP StorageWorks磁盘和磁带产品系列以及其它异构存储基础设施完美集成。作为增长迅猛的惠普软件产品组合(包括存储资源管理、归档、复制和设备管理软件)的重要组成部分,Data Protector软件还能与HP BTO管理解决方案全面集成,使客户能够将数据保护作为整个IT服务的重要环节进行管理。该解决方案将软硬件和屡获殊荣的支持服务集于一身,借助快速安装、日常任务自动化以及易于使用等特性,Data Protector软件能够大大简化复杂的备份和恢复流程。借助集中的多站点管理,可以轻松实施多站点变更,实时适应不断变化的业务需求。
5 结束语
企业信息化平台系统集成不是简单的机器设备堆叠,需要根据企业自身使用软件特点,企业使用方式,选择合适的操作系统,应用软件作为企业生产软件部署的基础,另外要合理利用各软件提供的技术方式,对系统的稳定性,安全性,冗余性进行部署,从而达到高可用和可扩展的整体系统平台。
参考文献:
[1]肖建国.《信息化规划方法论》.
[2]雷万云.信息化与信息管理实践之道[M].北京:清华大学出版社,2012(04).
[3]《Pattern of Enterprise Application Architecture》.Martin Foeler
[4]周金银.《企业架构》.
作者简介:刘航(1984-),男,重庆人,助理工程师,研究方向:企业信息化。
【校园网络管理与信息安全解决方案(调研报告)】推荐阅读:
校园安全信息化方案01-18
浅析高校校园网信息安全的现状与防范06-01
校园网络安全改进报告05-30
关于做好冬季校园安全管理工作方案01-28
校园安全信息稿12-20
校园安全信息上报制度10-29
教育局2014年度校园安全管理培训方案09-09
信息化校园设计方案07-20
校园安全与校园周边治安环境试题11-08
关于加强校园安全管理值班工作的实施方案07-15
