第22卷第2期 2007年6月 邢台学院学报 JOURNAL OF XINGTAI UNIVERSITY V01.22.No.2 June.2007 校园网络安全技木与麓决方案 李志梅 (邢台学院现教中心,河北邢台054001) 摘要:针对校园网的各种安全隐患,分析产生隐患的根源和网络安全需求,采取相应的网络安全策略,将安全技术与 教育管理结合起来,以实现校园网络体系的安全、实用、高效的目标。 关键词:计算机应用;网络安全技术;分析;解决方案 中图分类号:TP393,18 全技文献标识码-A 文章编号:1672-4658(2007)02—0104—02 随着计算机网络的迅速发展,校园网络也快速的发展 由于安全意识淡薄和技术力量的薄弱,网络安全所表现出 验分析了校园网络安全隐患的根源,提出了解决方案。 1 目前校园网络中存在的安全问题 1.1 网络安全方面的投入严重不足,没有配备系统的网络 安全设施 校园网的管理者往往没有经过网络安全方面的系统培 和普及了,学校日常工作、学习和管理都实现了现代化。但 训,管理不严格。众所周知,用密码保护系统和数据的安全 是最经常采用也是最初采用的方法之一。目前发现的大多 而人。因此密码M令的有效管理是非常基本的,也是非常 重要的。 的漏洞、隐患和其被应用的程度成正比,因此,根据工作经 数安全问题,是由于密码管理不严,使“入侵者”得以趁虚 在密码的设置安全上,首先绝对杜绝不设M令的帐号 存在,尤其是超级用户帐号。一些网络管理人员,为了图方 大多数学校网络建设经费严重不足,所以就将有限的 便,认为服务器只由自己一个人管理使用,常常对系统不设 经费投在关键设备上,对于网络安全建设一直没有比较系 置密码或使用弱密码。这样,“入侵者”就能通过网络轻而 统的投入,致使校园网处在一个开放的状态,没有任何有效 易举的进入系统。 的安全预警手段和防范措施。 1.2技术上的客观原因 1.5 目录共享导致信息的外泄 在校园网络中,利用在对等网中对计算机中的某个目 法。但可以说几乎所有的人都没有充分认识到当一个目录 共享后,就不光是校园网内的用户可以访问到,而是连在网 目前的校园网络大都是利用Intemet技术构造的。In— 录设置共享进行资料的传输与共享是人们常采用的一个方 ternet网的共享性和开放性使网上信息安全存在先天不足, 因为其不赖以生存的TCP/IP协议,缺乏相应的安全机制, 而且Internet最初的设计基本没有考虑安全问题,因此它在 络上的各台计算机都能对它进行访问。这也成了数据资料 安全可靠方面存在着比较严重的缺陷。此外,随着软件交 安全的一个隐患。 6宣传教育不够 流规模的不断增大,系统中的安全漏洞或“后门”也不可避 1.免地存在,比如我们常用的操作系统,无论是Windows还是 Unix几乎都存在或多或少的安全漏洞,众多的服务器、浏 览器、一些常用软件等等都被发现存在安全隐患。 1.3使用者安全意识淡薄 目前关于网络安全的法律法规都已出台,各校也制定 了各自的管理制度,但宣传教育的力度不够。许多师生法 律意识淡薄,出于好奇或卖弄编程技巧的心理,破坏了网络 的安全。网上的黑客交流话动,也为他们的破坏活动奠定 校园网络是以用户为中心的系统。一个合法的用户在 了技术基础。 系统内可以执行各种操作。管理人员可以通过对用户的权 2校园网络安全解决方案 限分配限定用户的某些行为,以避免故意的或非故意的某些 安全意识淡薄,操作不规范是威胁校园网安全的主要因素。 1.4管理者的因素 校园网具有访问方式多样,用户群庞大,网络行为突发 破坏。然而,更多的安全措施必须由使用者来完成。使用者 性较高等特点。网络的安全问题需要从网络规划设计阶段 就仔细考虑,并在实际进行中严格管理。为保证校园网络 的安全性,一般采用以下一些策略: 维普资讯 http://www.cqvip.com
李志梅:校园网络安全技术与解决方案 2.1配备完整的、系统的网络安全设备 内外网之间一道牢固的安全屏障。在防火墙设置上按照以 (1)根据校园网安全策略和安全目标,规划设置正确 的安全过滤规则,规则审核IP数据包的内容包括:协议、端 口、源地址、目的地址、流向等项目,严格禁止来自公网对校 在校园网规划设计阶段就应该充分考虑到网络设备的 下原则配置来提高网络安全性: 安全问题。将一些重要的设备,如各种服务器、主干交换 机、路由器等尽量实行集中管理。 在网内和网外接口处配置一定的统一网络安全控制和 非法的访问。总体上遵从“不被允许 监管设备就可杜绝大部分的攻击和破坏,一般包括:防火 园内部网不必要的、墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。 的服务就是被禁止”的原则。 通过配置安全产品可以实现对校园网络进行系统的防护、 (2)禁止访问系统级别的服务(如HT.rP,FTP等)。局 预警和监控,对大量的非法访问和不健康信息起到有效的 阻断作用,对网络的故障可以迅速定位并解决。 2,2解决用户上网身份问题,建立全校统一的身份认证系统 校园网络必须要解决用户上网身份问题,而身份认证 系统是整个校园网络安全体系基础的基础,否则即便发现 了安全问题也大多只能不了了之,只有建立了基于校园网 络的全校统一身份认证系统,才能彻底的解决用户上网身 份问题,同时也为校园信息化的各项应用系统提供了安全 可靠的保证。 2.3加强网络的管理 在校园网中的服务器,为用户提供着各种服务,但是服 务提供的越多,系统就存在更多的漏洞,也就有更多的危 险。因此从安全角度考虑,应将不必要的服务关闭,只向公 众提供他们所需的基本的服务。例如,我们在校园网服务 器中对公众通常只提供WEB服务功能,而没有必要向公众 提供FTP功能,所以,在服务器的服务配置中,只开放WEB 服务,将FTP服务禁止。如果要开放FTP功能,只能向可 以信赖的用户开放,因为通过FTP用户可以上传文件内 容。如果用户目录又给了可执行权限,那么,通过运行上传 某些程序,可能使服务器受到攻击。这是信赖了来自不可 信赖数据源的数据,造成网络不安全的一个因素。为此,除 了建立起一套严格的安全管理制度外,还必须培养一支具 有安全管理意识的网络队伍。 网络管理人员通过对所有用户设置资源的使用权限和 口令,以用户名和口令进行加密、存储、传输、提供完整的用 户使用记录和分析等方式可以有效地保证系统的安全。 网管人员还需要建立与维护完整的网络用户数据库,严 格对系统日志进行管理。对公共机房实行精确到人、到机位 的使用登记制度,则可对网络用户和帐号进行精确的控制。 定时对校园网系统的安全状况做出评估和审核,关注 网络安全动态,调整相关安全设置,进行人侵防范,发出安 全公告,紧急修复系统。 2.4安装防火墙 在与Internet相连的每一台电脑上都装上防火墙,成为 域网内部的机器只允许访问文件、打印机共享服务。使用 动态规则管理,允许授权运行的程序开放的端口服务,t:L ̄H 网络游戏或者视频语音电话软件提供的服务。 (3)如果你在局域网中使用你的机器,那么你就必须 正确设置你在局域网中的IP,防火墙系统才能认识哪些数 据包是从局域网来,哪些是从互联网来,从而保证你在局域 网中正常使用网络服务(如文件、打印机共享)功能。 (4)定期查看防火墙访问日志,及时发现攻击行为和 不良上网记录。 (5)允许通过配置网卡对防火墙设置,提高防火墙管 理安全性。 2.5密码口令有效管理 不管是上外网或是在局域网内设置资源共享时一定要 设定访问密码。在密码的设置安全上,(1)绝对杜绝不设 口令的帐号存在,尤其是超级用户帐号;(2)对于系统的一 些权限,设置得当,对用户进行密码验证;(3)在密码口令 的设置上要避免使用弱密码,就是容易被人猜出的字符作 为密码;(4)设置时考虑密码的长度。 常言说:“三分技术,七分管理”,安全管理是保证网络 安全的基础,安全技术是配合安全管理的辅助措施。学校 应建立一套校园网络安全管理模式,制定详细的安全管理 制度,如机房管理制度、病毒防范制度等,并采取切实有效 的措施保证制度的执行,定期对校内教师进行计算机网络 安全知识培训,或发放常见病毒解决方案等。 校园网安全是一个动态的发展过程,应该是检测、监 视、安全响应的循环过程,除确保安全技术和安全策略外, 还要有安全管理,包括行政法律的手段、各种管理制度以及 专业措施等,只有加强管理,提高技术,增强责任心才能应 付网络的各种威胁,迎接网络安全的挑战。 参考文献: [1]彭文胜,毛叔平.校园网信息化规划、管理及案例[c].上 海:复旦大学出版社,2002. [2]刘晓辉.网络管理标准教程[M].北京:人民邮电出版社, 2002. ・105・
因篇幅问题不能全部显示,请点此查看更多更全内容