校園網(wǎng)信息安全策略探究
時間:2022-09-03 10:48:04
導(dǎo)語:校園網(wǎng)信息安全策略探究一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
1校園信息安全狀況
目前,在互聯(lián)網(wǎng)環(huán)境下,校園網(wǎng)已經(jīng)成為被攻擊的主體。隨著計算機病毒的不斷更新?lián)Q代,以及專業(yè)化病毒制造模式都使得網(wǎng)絡(luò)攻擊的手段變得越發(fā)的多樣化,而且攻擊的方式變得越來越難以察覺,破壞性也大大增加了,這都對校園網(wǎng)的安全和正常運作產(chǎn)生了嚴(yán)重的干擾,這些信息安全隱患具體表現(xiàn)為:
1.1占用資源
計算機單機病毒或網(wǎng)絡(luò)病毒都會大量占用資源,甚至控制網(wǎng)絡(luò)資源,使有效數(shù)據(jù)泄露,威脅到校園網(wǎng)的信息安全。
1.2破壞數(shù)據(jù)
計算機病毒會修改、刪除或破壞校園網(wǎng)有用數(shù)據(jù)信息,妨礙高校校園網(wǎng)正常運行。
1.3非法訪問
攻擊者能越過校園網(wǎng)權(quán)限設(shè)置,通過非法訪問獲得信息,給校園網(wǎng)信息安全帶來破壞,影響高校的日常教學(xué)和科研,也為管理帶來不便。
1.4惡意攻擊
病毒或攻擊者利用校園網(wǎng)網(wǎng)絡(luò)設(shè)置漏洞,攻擊校園網(wǎng),使校園網(wǎng)信息泄露,數(shù)據(jù)丟失,甚至使校園網(wǎng)癱瘓,影響校園網(wǎng)的正常工作。
2校園網(wǎng)信息安全策略
針對日益猖獗的計算機病毒,高校必須積極應(yīng)對,采取合理的信息安全策略配置,保障校園網(wǎng)的安全。通常所采用的策略有:
2.1校園網(wǎng)信息安全規(guī)章制度
校園網(wǎng)網(wǎng)絡(luò)管理部門制定嚴(yán)格的校園網(wǎng)信息安全制度,針對校園網(wǎng)各網(wǎng)段實施嚴(yán)格管理;校園網(wǎng)管理部門采取實時監(jiān)控策略,從各個網(wǎng)段抽樣數(shù)據(jù)包,定期分析數(shù)據(jù)包。
2.2校園網(wǎng)外網(wǎng)信息安全策略
近些年來,外網(wǎng)對校園網(wǎng)內(nèi)部的攻擊數(shù)量不斷增加,已成為影響校園網(wǎng)安全的嚴(yán)重隱患,針對此種情況,必須有針對性的配置防火墻,從而形成信息交換的屏障,可以防范校園網(wǎng)信息受到外部的攻擊。數(shù)據(jù)分組過濾機制常見的作法是在防火墻上進行數(shù)據(jù)篩查的機制設(shè)置,當(dāng)防火墻接收到訪問申請時,將此申請數(shù)據(jù)分組同自身所有的數(shù)據(jù)庫進行比對操作,從而判斷來訪的申請是否合法,最終決定是將數(shù)據(jù)放行還是進行隔離刪除操作。這種機制雖然可以避免病毒的攻擊,但其要想正常有效的運行,必須及時更新數(shù)據(jù)庫中的比對資源,否則很可能導(dǎo)致大量正常數(shù)據(jù)的無法訪問。校園網(wǎng)可以根據(jù)自身的情況,靈活的配置數(shù)據(jù)分組的過濾機制,并配備相應(yīng)的數(shù)據(jù)庫管理員來對數(shù)據(jù)庫進行及時的更新,從而保障校園網(wǎng)內(nèi)的用戶避免受到外界的攻擊。首先將校園網(wǎng)內(nèi)的所有用戶劃分成一個內(nèi)網(wǎng),同外網(wǎng)相區(qū)分,內(nèi)網(wǎng)中的所有用戶使用內(nèi)網(wǎng)地址,而校園網(wǎng)路由器的對外端口使用外部地址,也就是全球唯一的IP地址,這樣就存在內(nèi)部地址到外部地址的轉(zhuǎn)換關(guān)系,在校園網(wǎng)外部看來,整個校園網(wǎng)變成了一個或有限的幾個用戶,所有的外部數(shù)據(jù)都要通過這幾條有限的路徑才能到達校園網(wǎng)內(nèi)部用戶主機,這種做法顯然可以使得校園網(wǎng)主機成為“隱身”狀態(tài),從而使得外部主機無法主動的向校園網(wǎng)內(nèi)部主機發(fā)起攻擊。
3.校園網(wǎng)的數(shù)據(jù)安全不僅要考慮到外
部非法用戶的攻擊,同時也要考慮防范來自內(nèi)部的侵犯,如內(nèi)部某主機受到病毒感染后會迅速的向內(nèi)網(wǎng)的其他用戶傳播并繁殖。這類病毒有著廣泛的侵害目標(biāo),如設(shè)置虛假網(wǎng)關(guān),使得用戶無法正常聯(lián)網(wǎng),甚至連校園網(wǎng)絡(luò)的內(nèi)部資源也無法訪問,更不要說登錄到因特網(wǎng)訪問外部資源了;同時此類病毒還會惡意獲取內(nèi)部的一些重要數(shù)據(jù)并破壞主機信息。所以在網(wǎng)絡(luò)安全工作中,局域網(wǎng)的數(shù)據(jù)安全也是一項重要的工作,通常有效的作法有以下幾種:
3.1VLAN劃分
通過構(gòu)建VLAN并創(chuàng)建多個廣播組可以使得管理員對每個端口和每個用戶加以控制。這樣就可以杜絕某個用戶只需將其工作站插入任何交換機端口,就可以對網(wǎng)絡(luò)資源進行訪問,因為管理員現(xiàn)在有了對每個端口的控制權(quán),能夠控制端口對資源的訪問。
3.2網(wǎng)絡(luò)安全協(xié)議配置
網(wǎng)絡(luò)安全協(xié)議是定義通過網(wǎng)絡(luò)進行通信的規(guī)則,接收方的發(fā)送方同層的協(xié)議必須一致,否則一方將無法識別另一方發(fā)出的信息,以這種規(guī)則規(guī)定雙方完成信息在計算機之間的傳送過程。IPSec是一個工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議,它是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),它是基于端對端的安全模式,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性。
4校園網(wǎng)主機信息安全策略
校園網(wǎng)主機是校園網(wǎng)信息的交換平臺,在校園網(wǎng)中占重要地位,保障主機信息安全,在某種意義上說,就是保障了校園網(wǎng)信息的安全。
4.1服務(wù)器群配置
如果要把校園網(wǎng)絡(luò)安全工作具體的校園網(wǎng)內(nèi)的每一臺主機,這顯眼是不現(xiàn)實的,而由于以上提到的幾種安全隱患很難做到完全的防范,這就使得大量的網(wǎng)絡(luò)安全工作可能由于少數(shù)主機遭受攻擊而面臨全面失效的嚴(yán)重問題,所以高校網(wǎng)絡(luò)一般都會配置服務(wù)器群,采用服務(wù)器群的好處是可以將網(wǎng)絡(luò)結(jié)構(gòu)進行分層管理,并配置鏡像功能,IPS深度防護功能等,這樣就可以保證在任何時間,都會有至少一臺冗余的服務(wù)器處于準(zhǔn)備狀態(tài),一旦正在運行的服務(wù)器遭到攻擊不能正常工作,冗余服務(wù)器可以在最短的時間內(nèi)接手相關(guān)工作,從而使得校園網(wǎng)絡(luò)能夠正常運行。
4.2主機信息安全策略
主機信息是校園網(wǎng)的信息核心,主機信息安全是校園網(wǎng)的核心事件。通過正確的策略配置,就能保障主機信息安全。對數(shù)據(jù)進行分類保護是計算機信息系統(tǒng)實施安全等級保護的基本原則。按照數(shù)據(jù)的價值劃分類別,對不同類別的數(shù)據(jù),應(yīng)按照不同的安全等級保護,對不同安全等級的數(shù)據(jù)進行備份,要求也不能相同。其數(shù)據(jù)分類和對應(yīng)的安全等級備份要求如下:公開數(shù)據(jù),這類數(shù)據(jù)是用戶自己的數(shù)據(jù),按照用戶自主保護級別進行安全設(shè)計,對數(shù)據(jù)進行常規(guī)備份;一般數(shù)據(jù),這類數(shù)據(jù)一般只具有使用價值,該類數(shù)據(jù)需要保護但是不要求特別保護,通常設(shè)計對數(shù)據(jù)進行定時重點備份;重要數(shù)據(jù),這類數(shù)據(jù)具有重要價值,要進行重點保護,一般設(shè)計對數(shù)據(jù)應(yīng)進行冗余備份;關(guān)鍵數(shù)據(jù)。這類數(shù)據(jù)具有很高使用價值或機密程度,要進行特別保護,一般設(shè)計為對數(shù)據(jù)應(yīng)進行冗余備份并異地存放;核心數(shù)據(jù),這類數(shù)據(jù)具有最高使用價值或機密程度,要進行絕對保護,一般設(shè)計為對數(shù)據(jù)的備份按一式多份并異地存放的原則實施。結(jié)束語隨著計算機病毒和攻擊手段的層出不窮,校園網(wǎng)信息安全的形式日益嚴(yán)峻,高校只有根據(jù)自身特點,及時采取相應(yīng)的措施,才能在災(zāi)難降臨時將損失降到最小。
本文作者:吳銳工作單位:安徽工業(yè)經(jīng)濟職業(yè)技術(shù)學(xué)院計算機系