前言:尋找寫作靈感?中文期刊網用心挑選的數字化校園網絡信息安全分析,希望能為您的閱讀和創作帶來靈感,歡迎大家閱讀并分享。
【摘要】
通過對數字化校園建設中的網絡信息安全隱患,以及影響校園網絡安全因素進分析,針對校園網安全需求,制定相應的安全策略、產品選擇及部署方案,保障在數字化校園實施過程中的網絡信息安全。
【關鍵詞】
數字化校園;網絡;信息安全
數字化校園[1]建設是高校信息化建設的重要內容,數字化校園以網絡和數字化信息為基礎,在校園網絡的基礎上建立起來的對教學、管理、科研、技術服務等校園網信息的集合、處理、存儲、傳輸和應用,使得各種數字化的資源能夠通過信息平臺充分利用,實現學校教學管理的數字化,打破傳統的校園網絡概念,多維度拓展校園網的應用空間,提升校園網的運行效率,從而達到提高管理水平和效率的目的[2]。隨著數字校園建設的不斷深入發展,各大高校逐漸建立起了龐大的網絡系統與信息系統,如何在此基礎上構建一個安全的網絡信息環境,抵御各種潛在的風險,保障整個系統安全可靠的運轉,是數字化校園建設是最為重要的課題。
1.數字化校園網絡信息安全隱患
數字化校園相對來說是一個封閉的內部運行環境,它的應用主要來至于內部教職員工和學生,但同時也是一個開放的環境,其應用打破了時間和空間的限制,對于使用者來說隨時隨地都可以對系統進行訪問,所以其安全隱患既可來至學校內部也可以來至外部。通過分析數字化校園建設的安全隱患主要包括以下幾個方面:(1)外部闖入闖入是一種最常見的攻擊方式,不法分子為了達到某種不可告人的目的,闖入校園內部的計算機里,如普通合法用戶一樣使用學校內部的電腦,進行各種非法操作,如果闖進各種應用服務器里,其后果就不堪設想。(2)導致拒絕服務網絡攻擊者為了破壞學校各重要系統正常的運行,通過拒絕服務的方式攻擊系統,使系統無法正常運行。拒絕服務的攻擊方式原理就是攻擊者利用大量的數據包“淹沒”目標主機,耗盡可用的資源至系統崩潰,而無法對合法用戶作出響應[5]。如:往某遠程主機發大量數據或占用遠程主機資源,從而導致遠程主機癱瘓、重啟、死機或藍屏。(3)信息竊取攻擊者通過病毒程序、木馬程序、網絡工具,竊取校園網重要的數據信息。比如使用網絡嗅查器(Sniffer)監聽系統中傳輸的如用戶名、口令、或銀行賬號等重要信息等。在校園網絡中通過信息竊取獲得學校關鍵的數據,對數據的安全造成不可估量的損失。(4)內部泄密最危險的敵人潛伏在身邊,數字化校園建設的推進的過程中,內部泄密已經成為校園信息安全最直接的威脅。經權威機構統計發現:來自企業內部安全威脅有超過85%;來自內部未授權的訪問占16%;中國國內存網站存在安全隱患占到80%,其中20%的以上網站安全問題特別突出。
2.校園網安全考慮因素分析
通過對數字化校園的安全隱患的分析,結合現有網絡的安全狀況,在數字化校園建設過程中應主要從如下幾個方面入手來考慮安全因素及防范措施:
2.1從物理安全方面考慮
校園網中物理硬件包括:各種服務器、工作站、交換機、路由器、存儲器、通信設備、電源等,物理安全主要考慮的是避免這些設備人為的、自然環境的破壞。要保證校園網絡的物理安全應從機房的安全管理措施及安全環境等入手來加以考慮。
2.2分段隔離技術
根據校園網的各個部門功能、安全、保密等不同水平,要求將校園網絡進行差異分段隔離,通過安全隔離將攻擊和入侵造成的威脅限制在較小的子網范圍內,提高數字化校園網絡的整體安全水平。校園網絡可通過路由器、虛擬局域網VLAN、防火墻等技術分段來實現。
2.3信息加密認證
為了保證校園網內的數據、密碼、文件、網絡會話和控制信息等的完整性,信息加密的是必不可缺少的安全防護手段。通過各種認證與加密技術對數字化校園網絡重要的數據信息訪問請求進行認證加密,以防止重要信息的泄漏。
2.4安全漏洞掃描
安全漏洞掃描是校園網絡安全防御中常用的手段,就是采用模擬攻擊的方式對工作站、服務器、路由器、交換機、數據庫等各種目標對象,可能存在的已知安全漏洞進行逐項檢查。根據漏洞掃描結果提交安全性分析報告,供網絡管理員參考,為提高整體網絡安全水平提供依據。
2.5網絡反病毒
隨著新技術的進步,網絡病毒向綜合性方向發展,許多網絡病毒兼具文件感染、木馬、蠕蟲、黑客攻擊等功能,同時傳播途徑向多樣化方向發展,可通過電子郵件、共享目錄、瀏覽網頁、網絡漏洞進行傳播,甚至有些網絡病毒能夠跨平臺,可感染多種不同類型的操作系統。通過統計來看現在許多網絡安全事件都是由網絡病毒引起的,因此在數字化校園的建設中,可針對性的采用防毒軟件,實時掃描監控、查殺病毒來保護校園網系統的安全。
2.6網絡入侵檢測
校園網絡入侵檢是通過一定的監測手段,對網絡上發生的入侵行為進行監測,通過收集和分析網絡行為、審計數據、日志及其它網絡信息,檢測系統是否存在有違反安全策略的行為和被攻擊的對象,如果發現有攻擊或其它不正常現象就截斷網絡連接、記錄事件和報警。在校園網建設過程中網絡入侵檢測應結合防火墻、反病毒軟件聯動,有效的阻斷黑客與病毒對系統的攻擊。
2.7網絡最小化原則
從網絡安全的角度考慮問題,打開的服務越多,可能出現的安全問題就會越多,所以校園網安全應遵從“最小化原則”對服務器進行配置:首先在服務器上安裝系統要最小化,一些可有可無的應用程序不要安裝;在服務器部署單一的服務應用程序,這樣可把服務器的風險降低到最小范圍;在配置服務器使用權限時,有針對性的開放只需要的權限,從而限制用戶的操作行為在最小的范圍之內,不需要的賬號要及時刪除等。
3數字化校園安全策略
通過對數字化校園網絡拓撲結構的分析,可知校園網構成了一個Intranet系統,學校本部的主干網絡通過網絡運營商DDN專線與外網相連,在其中運行有學校網站服務器系統,各部門的網站服務系統,教務管理系統,招生就業系統,OA辦公自動化系統等及內部服務器系統。而學校本部的網絡系統和分校的子網絡系統的通過Internet公網來完成連接通信。
3.1校園網安全需求分析
通過對校園網絡安全因素及數字化校園體系結構分析,要保證校園網各重要服務器或部門子系統的安全,有如下安全需求:(1)保證服務器系統的安全。學校的服務器主要包括學校網站服務器、部門網站服務器、部門應用服務器、數據庫服務器、內部服務器等。這些服務器上運行有重要的應用系統,如學院的OA系統、教務管理系統、招生就業管理系統、財務系統、科研管理系統,所有這些系統的安全防護對學校正常的工作運轉起著關鍵作用。(2)學校總部和分部的內部網絡安全。學校內部的網絡會不時遭到黑客攻擊,還有各種木馬病毒的攻擊,內部網絡安全是數字系統能夠正常運行基本保證;(3)網絡用戶身份識別與認定。學校用戶量大,包括學校教職員工、學生、外訪客,要求必須有一套完整統一的身份認證與識別系統,保證合法用戶對系統的訪問;(4)重要數據傳輸安全問題。在學校總部與分部之間、內部用戶到服務器、應用服務器到數據庫服務器之間,要求傳輸數據的安全性與完整性,不受第三方截取、破壞。(5)保護學校重要部門。如財務部門、教務部門、招生就業部門等重要應用系統及資料文件,如果這些部門系統遭到破壞造成數據丟失,會造成不可估量的損失。
3.2安全策略制定
根據學校數字化校園安全需求分析制定如下安全策略:(1)校園網物理安全策略:包括學校服務器機房環境保護措施、出入管理制度的制定、安全責任制度、災難備份與恢復方案、應急電源啟用,突發情況預警等;通信線路、路由器、交換機,無線通信設備安全策略。(2)內外訪問控制策略:為學校本部與分部之間,學校內部網與互聯網之間、外部網絡用戶與校園網絡之間的實際需要制定訪問控制規則,保證相互通信的安全,禁止非法訪問;(3)安全配置及管理策略:對各服務器管理系統、安全產品、部署的應用服務系統,設置各級權限及信任關系,防止越權操作破壞系統;檢測漏洞及修補、設置安全規則、安全審計及日志分析等。(4)認證安全策略:建立統一身份認證系統,并制定密碼復雜規則,信息傳輸認證加密等規則;(5)突發事件應急策略:針對黑客攻擊入侵、各網絡病毒的破壞、自然災難導致的結果制定應急處理法和恢復計劃。
3.3選擇安全產品及部署
針對校園網的安全需求及相應的安全策略,選擇成熟有效的安全產品,把校園網的安全管理與安全產品有機的結合,解決數字化校園的網絡安全,使網絡的風險降到最低的限度。(1)交換機選擇:根據交換機傳輸率及品質選擇穩定可靠的交換機,部署在各個子網接點上,進行VLAN劃分使各個子網隔離、抵抗各種病毒與工具軟件的攻擊,盡量把風險控制在各個子網中。(2)防火墻選擇:防火墻是一種軟件與硬件的結合體,通過訪問規則控制內外網絡之間的信息交換,把不符合訪問規則的請求拒之于門外,從而保護系統的安全。在構建數字化校園的時,應選擇功能強大的防火墻部署在校園網與外網之間,重要部門的子網與內部網之間,或安裝個人防火墻于客戶端,從而阻斷各網絡之間的非法訪問,保障系統的最大安全。(3)建立虛擬私有網:在特殊情況下可以建立虛擬私有網(VPN)在兩點之間建立可靠的安全連接,保證數據安全傳輸。(4)網絡身份認證:網絡認證包括靜態密碼、智能卡、短信密碼、動態口令、生物識別等方式進行認證,可根據實際情況選擇相應的產品,部署在專用認證服務器或需要認證的服務器系統中。(5)反病毒軟件部署:包括金山、瑞星、360、卡巴斯基等防毒軟件能夠查殺大部分的各種流行病毒,可部署在校園網各應用服務器中及客戶端個人計算機中,防范各種病毒對系統的破壞,從而保證系統的安全。(6)入侵檢測系統:入侵檢測系統是對網絡安全攻擊的一種主動防御設備,可對網絡傳輸進行實時監控,對可疑的入侵采取主動反應措施或發出警報,主要部署在需要重點保護的服務器主機和子網中。
3.4安全教育與培訓
在數字化校園安全方案里面,需要對學校的全體教職員工,特別是網絡管理人員及部門負責人進行安全教育,掌握基本的安全知識,能夠熟練的掌握和應用安全產品,從思想上提高安全意識,阻止或避免可能發生的安全事故。培訓內容應包括以下知識:網絡基本知識掌握;各種計算機網絡病毒診斷與防治;掌握各種網絡入侵手段,分析解決應對辦法;各操作系統、應用服務器、安全產品的安裝和安全配置;校園網絡系統的安全管理和維護及重要數據備份與恢復。
4結束語
綜上所述,數字化校園建設是利用現代網絡科技手段實現學院信息化、管理科學化的重要手段,它是一個開放的過程,不斷發展變化逐漸完善的過程,在這個過程中,對于信息安全因素的分析及安全策略的制定與實施,具有非常重要的意義與價值,制定合理的安全策略是整個信息化建設中是必不可少的環節。
作者:唐權 周蓉 單位:四川職業技術學院
參考文獻:
[1]張新剛,田燕.數字化校園信息安全立體防御體系的探索與研究[J].實驗技術與管理,2012-10
[2]王楠,喬愛玲.高校數字化校園規劃體系結構與流程[J].中國電話教育,2008-1
[3]彭琣,高琣.計算機網絡安全及防護策略研究[J].計算機與數字工程,2011-1
[4]史嘉林.計算機網絡信息安全與管理.電腦開發與應用[J],2012-3
[5]甘群文.網絡信息技術的安全的威脅與防范技術研究[J].計算機安全,2009-5
