校园网络信息安全初探
作者:甘林 谭晓东
来源:《电脑知识与技术》2012年第34期
作者:甘林 谭晓东
来源:《电脑知识与技术》2012年第34期
摘要:互联网是一把双刃剑,它给人们的生活、工作带来便利的同时也造成了诸多不安全因素,如黑客攻击、病毒肆掠、木马入侵等等。校园网作为学校重要的基础设施,肩负着教学、科研、管理和对外交流等多重角,如何确保校园网络信息的安全,是校园网建设中的首要问题,必须花大力气解决此问题。
关键词:校园网;信息;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2012)34-8122-03
1 网络信息安全的含义及其特征
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是
敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪具有很大的隐蔽性,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
网络信息安全有五大特征[1]:
1)完整性 指信息在传输、交换、存储和处理过程保持非修改、非破坏和非丢失的特性,即保持信息原样性,使信息能正确生成、存储、传输,这是最基本的安全特征。
2)保密性 指信息按给定要求不泄漏给非授权的个人、实体或过程,或提供其利用的特性,即杜绝有用信息泄漏给非授权个人或实体,强调有用信息只被授权对象使用的特征。
3)可用性 指网络信息可被授权实体正确访问,并按要求能正常使用或在非正常情况下能恢复使用的特征,即在系统运行时能正确存取所需信息,当系统遭受攻击或破坏时,能迅速恢复并能投入使用。可用性是衡量网络信息系统面向用户的一种安全性能。
4)不可否认性 指通信双方在信息交互过程中,确信参与者本身,以及参与者所提供的
信息的真实同一性,即所有参与者都不可能否认或抵赖本人的真实身份,以及提供信息的原样性和完成的操作与承诺。
5)可控性 指对流通在网络系统中的信息传播及具体内容能够实现有效控制的特性,即网络系统中的任何信息要在一定传输范围和存放空间内可控。除了采用常规的传播站点和传播内容监控这种形式外,最典型的如密码的托管政策,当加密算法交由第三方管理时,必须严格按规定可控执行。
2 校园网络信息安全应
校园网络安全主要包括物理设备安全和网络信息安全。物理设备的安全防范主要是防止设备被盗、雷击、电流电压过大而损毁。这些问题只要能加强常规检查,做好基本防护措施就能得到解决。因此,校园网络安全的核心问题是网络信息安全。
2.1贺州学院校园网络信息安全状况
我院校园网建设与大多数地方本科院校一样,受到资金和技术条件的限制,面临着如下方面的安全威胁。
2.1.1设备的配置安全
网络设备的配置安全是指在网络设备上进行必要的设置,防止不怀好意的人取得网络设备的控制权。我院部分管理员安全意识不强,没有在网络设备上配置必要的密码或者密码设置过于简单,导致网络故障频繁发生。
2.1.2管理上的漏洞
校园网络信息安全“三分靠技术,七分靠管理”,所以,对于网络管理相关人员应该要制定严格的管理制度,明确责任,严格实行责任追究制。对于因工作上的疏忽而造成重大设备损坏,关键保密信息泄露等产生严重不良影响的事件,要追究有关责任人的责任,直接与经济利益和年考核挂钩。
2.1.3各种BUG的影响
计算机的操作系统和各类应用软件不可避免地存在各种各样的安全漏洞,流行于网络上的很多病毒和木马程序,很容易利用各种BUG窃取和泄露敏感信息。
目录共享导致信息的外泄。在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但是当一个目录共享后就成了数据资料安全的一个严重隐患。
2.1.4网络攻击
广义的网络攻击包括很多方面。这里结合校园网络安全的特点,重点介绍在校园网普遍发生的ARP攻击和拒绝服务攻击(DoS)。
ARP是一个位于TCP/IP协议中的一个底层协议,对应于数据链路层,负责将某个IP地址解析成对应的MAC地址,通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行。ARP攻击就是通过伪造受到arp攻击IP地址和MAC地址实现ARP欺骗,这种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包让网络上特定计算机或所有计算机无法正常连接,还能够在网络中产生大量的ARP通信使网络阻塞甚至造成网络中断。ARP攻击十分简单对于一般熟悉网络知识的人都可以使用WinArpAttacker软件来进行ARP攻击,使用某个用用户不能正常连接或者是造成某个用户的IP冲突。对于用户正常连接造成很太的影响。
拒绝服务攻击是通过攻击主机、服务器、路由器等网络设备,导致被攻击网络无法提供正常服务的一种攻击方式。典型的拒绝服务攻击表现为攻击者向被攻击网络大量发送数据从而消耗其资源,使得合法用户无法正常访问服务器。
拒绝服务攻击的方法多样。攻击者在发起攻击时,可能采取单一手段的攻击模式,也可能采取多种攻击手段联合使用的模式。就其攻击手段来说.主要有以下几种:
1)死亡之Ping 早期的网络不支持大数据包,攻击者通过网络发送大量的大数据包到被攻击者网络,造成网络堵塞以致瘫痪。目前的网络已经能够支持大包,这种方式已经不再是一个重要问题了。
2)UDP洪水攻击 攻击利用如chargen和echo等简单的TCP/IP服务.相互发送大量数据以占满带宽,从而瘫痪网络的方式。
3) SYN洪水攻击 攻击者通过向服务器发送连续的SYN握手信息来瘫痪服务器的攻击方式。
4) LAND攻击 该攻击是让服务器自己向自己发送SYN握手信息,以达到瘫痪主机的目
的。
5) 通过向一台服务器大量地,不间断地发送,起到瘫痪服务器的作用。
6)分布式拒绝服务攻击 它是威力最强大的拒绝服务攻击方式,其主要采用多台服务器对同一网络同时发起攻击,导致该网络瞬间瘫痪。
3 网络信息安全防范措施
根据我校校园网安全需求和安全威胁,我校的计算机网络主要采取了以下的防范措施。
3.1管理措施
我校对于校园网络的管理进行了明确的分工,责任落实到具体的部门和具体的个人。设置了校内网络中心专职管理部门,负责网络运行维护与安全检查的日常工作。网络管理员负责整个网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题,同时制定了相应的管理制度。
1) 中心机房管理制度 规定中心机房由网络中心单位负责人员进行管理,其他无关人员禁止进入中心机房。在机房中安装了空调,保持网络设备环境的适宜和干净整洁,此外,网络设备安装在固定的机柜内,并安加锁,确保网络服务器的物理安全。
2) 访问记录和检查处理制度 对每个使用网络设备的人员都要进行记名登记制度,便于监督学生使用设备情况和损坏责任追究。此外,由网络中心人员监控网络的运行,建立和定期检查网络的访问日志,发现恶意使用网络和恶意攻击时如实分析和上报并作出及时处理。
3) 口令安全管理 网络管理员对入网计算机和使用者进行登记,由网络中心负责对其进行监督和检查,任何人不得更改IP及网络设置。对于系统配置等一些统一规范的部分建立口令,防止学生等其他人员随意访问或修改。
3.2数据备份
数据备份是把文件或数据库从原来存储的地方复制到其他地方的活动,其目的是为了在设备发生故障或发生其他威胁数据安全的灾害时保护数据,将数据遭破坏的程度减到最小[2]。它是通过增加数据的冗余度来达到保护数据安全的目的。如果数据被销毁或破坏,数据
备份将是恢复资料的唯一途径。数据备份能在较短的时间内用比较小的代价,将有价值的数据存放到与初始创建的存储位置相异的地方,在数据被破坏时,再在较短的时间和非常小的代价花费下将数据全部恢复或部分恢复。
数据备份的可使用的介质很多,根据其使用的介质种类可以将数据备份方法分成如下若干种:软盘备份、磁带备份、可移动存储备份、本机多硬盘备份、网络备份[2]。由网络管理员负责网络系统的数据备份,网络管理员根据不同情况选择相应一种或几种的数据备份方法,利用Windows自带的功能也可以实现正常备份、差异备份、增量备份。网络系统的应用软件采用双机热备份的方法,这是为了防止学校的数据或系统遭到破坏时可以很快的从另一台主机那将数据或系统进行恢复。此外,数据库采用定期手工备份和系统自动备份等手段保证数据的可靠性。
3.3防火墙部署
我院在防火墙部署方案中,根据学校校园网安全策略和安全目标,配置了Cisco ASA5520防火墙,并将其部署在校园网的入口位置,它能很好的将Internet与学校内部网络隔离开来,从而对内网和外网之间的访问提供了安全保障。
防火墙是学校校园网络的网关设备。网络管理员根据学校校园网络自身的安全需求和制定的安全策略,设计必要的安全过滤规则,该规则对流经防火墙的数据所使用的网络协议和访问端口号等内容进行检测,监控通过防火墙的数据,允许和禁止特定数据包的通过,并对所有事件进行监控和记录。如此,网络管理员可以定期查看防火墙访问日志,即可及时发现攻击行为和不良的上网记录,使校园内部网络既能对外正常提供Web访问、FTP下载等服务的同时,又能保护内部网络不被恶意者攻击,从而实现对校园网进行保护。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论