前言:本站为你精心整理了校园网络安全体系结构解决方案范文,希望能为你的创作提供参考价值,我们的客服老师可以帮助你提供个性化的参考范文,欢迎咨询。
1校园网络的主要信息服务系统
由于计算机硬件、软件、以及网络的迅速发展,信息系统在学校公共事务管理的过程中承担着越来越多的功能,在校园网络中根据学校自身的需求和应用,一般主要有以下一些信息管理服务系统。
1.1Web信息服务高职学校需要对外宣传自己的单位形象,学院新闻、招生政策以及各类需要的公告信息,在校园网中,Web服务器是网上信息浏览的服务器,是不可缺少的信息系统服务项目,也是许多校园管理系统的集成的接口,其他的信息系统可以通过Web服务的主页进行集成。
1.2网上办公系统(OA)网上办公系统可以实现校园内部各处、系、部之间信息交流和共享,公共资源的统一安排,以及和外部相关部门之间进行信息的传播、收集处理、资源的共享存储、实现科学化决策信息管理系统。各部门之间通过办公系统的使用使得信息的沟通更加的顺畅,资源的利用更加充分,并且能够节约时间和成本。
1.3教务管理系统学校的主要功能是教育、管理服务的对象是学生,如何最大化实现对各种教学资源的充分利用,提供高效的管理功能,这就需要使用教务管理把各种资源高效利用,通过使用教务管理系统,实现对学生、教师、课程、教室等教学资源的科学管理,提高上述资源的利用效,减轻教务管理人员工作的难度。
1.4文件服务器在日常的管理中,有许多文件或信息是需要大家相互交流共享,譬如一些公共表格,或者教师的备课材料和视频等。学生可以随时随地通过视频服务器找到自己课程的视频来进行学习,教师也可以上传自己授课的视频提供给学生在课后学习或对该门课程感兴趣的学生自学。此外在校园网络中还有精品课程系统、财务系统等,这些信息系统的存在,增加了网络管理的难度。同时也增加了受到威胁、攻击的概率。
2校园网络面临的主要威胁
通过对校园网络安全威胁现状及发展趋势进行分析,这对研究网络安全技术的必要性和重要性有很高的现实意义,找出相应的解决方案措施。通过对毕节职业技术学院校园网络一年来的记录和观察,校园网络面临的主要安全威胁来自于以下两个方面:来自外部的主要威胁是黑客的攻击,校园网络一般没有特别机密的文件,但校园网络的用户众多,难免一部份用户会对网络进行攻击,在校园内部,一般都搭建有Web服务器和教务系统服务以及办公OA系统,黑客主要对Web服务器和教务系统感兴趣,他们主要目的就是在Web网页上面挂马或攻击教务服务器,获取访问用户的账户和密码、权限等。以下是常见的黑客攻击的技术:
2.1端口扫描端口扫描是利用端口扫描程序对服务器的TCP端口进行扫描,并记录反馈信息,通过对反馈信息进行分析,检查目标主机在哪些端口可以建立连接,如果能够建立连接,则说明主机在那个端口被监听。常用的扫描工具有Superscan端口扫描工具、Satan网络分析工具。常用的扫描方法有
(1)TCPConnect扫描使用这种方法可以检测到目标主机上开放了哪些端口,但这种扫描也容易被目标系统检测到。
(2)TCPSYN扫描这种扫描也称为“半”扫描,因为它不必和目标主机通过三次握手建立TCP连接。
(3)TCPFIN一些防火墙和包过滤程序能监测到SYN分组访问未经许可的端口,TCPSYN扫描的原理是向目标端口发送一个FIN分组,所有关闭着的端口会返回一个RST端口,而打开的端口会忽略这些请求,从而获知哪些端口是打开的。
2.2网络网络监听主要是利用网络监听工具对计算机网络接口截获其他计算机的数据报文的一种工具,通过监听,可能捕获到用户用明文传送的账户和密码。
2.3密码破解通过一些专用的密码破解工具来猜测和获取用户的帐户和密码,从而获取用户的权限对网络或资源进行破坏,常用的方法有密码字典等。
2.4特洛伊木马特洛伊木马指隐藏在计算机正常程序代码中的一段具有特殊功能程序的恶意代码,具有破坏、删除文件、发送账户密码和记录键盘和攻击功能的后门程序。通常情况伪装成实用工具或游戏程序,引诱用户点击将其安装在用户计算机上,实现黑客远程控制用户计算机的手段。
2.5缓冲区溢出缓冲区溢出攻击是指黑客利用操作系统或软件的漏洞,通过程序往缓冲区中写入超过其长度的程序指令,造成缓冲区溢出,从而改变程序正常执行的顺序改变为攻击者安排的另一种顺序,以达到黑客攻击的目的。
2.6拒绝服务攻击拒绝服务攻击指黑客利用Internet网络中的服务器不停的向目标主机发送请求和信息,强迫目标主机不停回复这些无用的请求和信息,消耗目标主机的网络带宽和系统硬件资源,最终导致网络系统瘫痪而停止服务的网络攻击方式。另外其他的攻击有网络钓鱼、电子邮件攻击、即时通信的攻击等。内部的网络安全主要是计算机病毒和木马感染,根据《中华人民共和国计算机信息系统安全保护条例》定义,计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或都程序代码。校园网络由于大量公共计算机的存在,公共机房的计算机用户不固定,学生使用U盘或网上下载软件,容易使电脑感染病毒和木马,只要有一台计算机感染,很快会扩散到其他的计算机,因此,防治计算机病毒是校园机房管理的一个难点。当然,除了上述两个重要的安全因素以外,设备老化、设计缺陷、自然灾害、人为的破坏也是网络安全威胁因素,那么,怎样才能减少校园网络安全威胁呢?构建一个安全的校园网络体系结构,最大限度减少网络受到攻击。
3网络安全体系结构的构建
世界上绝对安全的技术是不存在的,任何安全技术的所谓“安全”都是相对的,因此,在构建校园网络安全体系结构的时候,除了技术以外,重要的是日常网络的管理与维护,人们常说“三分技术,七分管理”,再完美的安全技术,只要管理不当,也会出现漏洞。那么如何构建安全的校园网络体系结构呢?
3.1网络安全体系结构的构建方法
(1)制定安全管理规章制度,严格按照规定操作,避免出现人为的失误,责任到人。严格按照安全技术评估标准对校园网络进行评估,找出漏洞,及时封堵。
(2)安装防火干墙,在校园网络与Internet的接口安装硬件防火墙或网关,防范来自外部网络的攻击。
(3)在连接外网的路由器上做访问控制列表,控制对关键信息和区域的访问。
(4)在核交换机上划分VLAN,避免发生网络广播风暴和减少不同网络网段之间的互访,增加网络的安全性。
(5)安装网络版杀毒软件,及时对内部网络中的计算机进行病毒扫描,清出计算机中残留的病毒,对于公共使用的计算机安全立即还原软件,减少被交叉感染的机会。
(6)安装入侵检测系统,入侵检测系统能够检测闯入、冒充其他用户或合法用户对系统进行破坏或恶意使用的安全行为。
3.2针对网络面临的威胁,我校制定以下安全措施;
(1)提高安全防范意识,按照安全防范要求不要随便从网上下载文件、不要打开运行来历不明的软件、不要打开来历不明的邮件,预防病毒感染。
(2)设置口令时严格按照复杂口令来设置,要有字母、数字和控制符号,长度一定足够长,对于具有管理权限的账户,要经常变换更改密码。
(3)及时更新操作系统或软件,封堵系统中的安全漏洞。
(4)定期分析系统日志,分析系统是否遭到黑客攻击,一般黑客在攻击之前都会对目标主机进行扫描,系统日志会记录对主机的操作记录,做好对应准备,从而预防黑客攻击。
(5)进行动态监控,建立完善的访问控制制度,及时发现网络遭到攻击的情况并加以防范,减少网络攻击的损失
(6)安全检测,运用专业的攻击检测软件对系统进
行扫描,及时发现系统中的安全漏洞并预防。
(7)数据备份,数据备份是网络管理中重要的一环,当系统遭到攻击或者是各种自然灾难时,有了完整的数据备份,可以尽快的恢复数据系统。
(8)安装硬件防火墙或网关,防火墙实现内外网的隔离的技术,它根据访问控制策略来控制内外网的数据通信,最大限度地阻止网络中黑客的入侵。
(9)安装网络杀毒软件,校园网络中,感染病毒是最常见的,一般感染以后就是能及时处理,不要让病毒进行扩散。我们一般在公共机房安装杀毒软件,学生上机使用的U盘在使用时都会对其进行扫描,避免病毒交叉感染,另外我们在电脑上安装还原系统,只要电脑重新启动以后,所有的数据进行恢复。避免病毒存留在计算机上,最大限度减少电脑和用户U盘上的病毒进行扩散。
4总结
网络安全是目前大家所面临的重要课题,如何有效减轻网络安全所面临的威胁是很多计算机专家都在研究的问题,高职校园网络由于其自身的复杂性和特殊性,其安全体系结构不可能完全照搬别人的经验,每个学校都要根据其自身网络体系结构的设计来设计符合自身网络安全的一套体系结构“。三分技术、七分管理”,管理和安全技术并重,两者相互补充,最大限度地对网络中的设备和信息进行保障。
作者:沙吉俊单位:毕节职业技术学院电子信息工程系