时间:2023-03-21 17:04:44
导语:在校园网络安全论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1.1真实性所谓的真实性,是指用户在对网络系统使用的网络痕迹,都是真实可靠地存在于现实中,所用用户都无法抵赖自己对于网络功能的使用和调用。任何的操作都可以通过原始的操作记录来进行证实和确定,操作存在真实性。
1.2可控性可控性指的是,网络系统自身具备对于网络信息的传播和内容的审核具备控制和调整的能力,因为出于国家安全,社会公共管理秩序的需求,有必要对于网络上的信息进行控制和调整,以确保公民和国家的信息安全和保障。尤其是这对网络中实行的社会犯罪,情报收集,信息窃取等都需要对网络的信息进行严格的管理和控制。
2网络安全技术在校园网络中的运用
2.1防火墙技术所谓防火墙技术,指的就是校园网络针对网络所设置的权限和用户访问权限的所有的硬件和软件的总和,可以视为是内部网络和外部网络之间的保护性防御设置,其最为根本的功能就是,针对一些非法的访问和登陆进行有效的阻断和隔离,是校园网络安全性的基本保障措施和功能。其主要体现在,防火墙可以针对外网的一些具有不安全性的用户访问进行识别和拒绝隔断,同时采取调整防火墙的安全等级,还可以对一些具有危害性的信息和内容进行屏蔽和阻断,尤其是识别网络上安全性较低的网路时,能够主动提出警报,并组织用户访问这些危险性的网站,减少了病毒的传播和入侵。同时还可以对于外网访问校园网络的信息进行登记和备份,以便于针对访问信息的统计和监控。这样在日后的数据分析过程中,能够有效发现系统中存在的漏洞,尤其是发现用户的操作存在非法性,时,能够及时并主动对其进行提醒和警报。如果校园网络防火墙技术和NAT技术有效地结合起来,还能够对于校园网络的结构性进行隐蔽,大大增强了网络系统的安全性,并且这种结合能够非常有效地解决校园网络中,用户群较大,IP不足的问题,极大地提升了校园网络的使用效率和通畅性。
2.2VPN技术VPN技术的运用,能够在校内用户和校外网络连接的过程中,形成一道安全监测的通道,那些只有符合设定的目标用户,才能够通过通路进行顺利的访问和登陆,其余的非法登陆和连接都会被视为非法操作而进行阻断,这样能够大大提升校园网络的安全性,同时对校内用户的危险性操作也做出了控制和规范。该技术可以通过校内的验证码技术、登陆用户验证等技术来区分有资格的用户身份,将具备资格的用户和非法用户区分开来再连接到服务器,并采用信息加密技术,有效地保证了通过验证的用户信息的安全性和完整性,实现了校园网的密匙管理。
2.3发现入侵的检测技术该技术的运用,对于校园网络的安全性具有非常重大的意义,尤其是对于校园网路中的一些不规范,非法的操作行为进行检测,一旦发现之后及时发出网络警报,并对其危险的操作做出网络分析,检测出用户在未授权的情况下所进行的越权操作行为,并及时对其进行控制和终止。同时,对于系统中的漏洞进行进行的提醒和备注,以便于网络维护人员及时对网络漏洞进行修改,因此入侵的检测技术对于网络的安全性而言,具有非常主动的防御功能。它对于维护校园网络数据的稳定性和安全性,都具有非常重要的意义。
2.4控制访问技术该技术的运用,主要是针对采取非法性的操作和访问,一般而言,用户需要登录校园网,首先需要登录校园网的访问控制台,经过正确的口令登录和识别之后才能获得相应的访问权限和身份。一旦登录输入不正确或者不具备登录资格,将被拒绝访问,因此那些不具备资格的非法访问用户都不会获得相应的授权和进入访问入口。
2.5数据恢复和备份技术该技术的运用,一般是对校园网络信息安全性的事后保障和后期安全性保障,一旦发生了网络安全性事件,校园网络系统受到了入侵,信息受到了删除或者篡改,可以调用系统自卑的数据恢复功能来对数据进行数据的恢复,但是数据的恢复是基于数据被定期备份在数据库中的。因此,校园网络的管理员可以定期对校园网络中的信息数据进行备份,并在数据库中建立索引,一旦有需要恢复的时候,可以及时按照所需的索引来快速查找到所需要回复的信息内容。这种归档的数据处理模式能够保证校园网络的数据信息在一段的时间内的完整性和自我修复能力,是校园网络安全性的有效保障。
3总结
随着网络应用的深入,学院校园网络的安全问题也逐渐突出,大量的网络病毒攻击校园网络,比如网络钓鱼、僵尸网络等。主要的安全隐患有以下几种:
(1)计算机系统漏洞。目前,校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。
(2)病毒的破坏。病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。
(3)来自网络外部的入侵、攻击等恶意破坏行为。校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(4)校园网内部的攻击。
2Honeynet技术在校园网网络安全中的应用
根据学院实际情况和校园网总体设计需求,为了更好地防御校园网中的各类网络木马、病毒(僵尸网络、网络钓鱼等),部署了Honeynet系统,但由于整个校园内部网络威胁较为严重,各种病毒较为猖獗,校园网常被病毒感染,因此部署的Honeynet系统主要是监控校园网内部的网络攻击。为了更好地采集信息,充分发挥Honeynet系统在校园网安全防护中的主动防御功能,将Honeynet系统放到黑客容易访问到的地方。根据实际校园环境的要求,笔者部署一个带有不同操作系统的Honeynet,这个蜜网存在着各种各样的漏洞,以吸引攻击者进行有效的访问,从而获取访问信息的和其日志记录并加以深入分析和研究。通过使用虚拟软件(VMWare)和物理计算机建立一个混合虚拟Honeynet,从而减少了物理计算机的需要。宿主主机的二个网卡设置:一个是设置作为虚拟控制机,并通过虚拟网桥连接Honeywall,另一个设置连接校园内网路由器。这里把eth1的IP设为192.168.1.2,而把eth2的IP设为192.168.1.3,这样管理机和虚拟Honeypot就不在同一个网段上,保证了管理机的安全性。在本次Honeynet系统中所有主机都可以通过ssh或MYSQL连通”firewall”;所有主机都可以连接到Honeynet系统;Honeynet允许连接到任意主机;除次之外,所有的通信都被拦截,同时防火墙允许通过的数据均被记录。当完成对虚拟Honeynet系统的配置后,需要对其进行测试,看是否能够正常运行,首先测试虚拟机蜜罐和宿主主机之间的网络连接,包括(1)宿主主机和蜜罐上通过互相ping对方的IP地址测试网络连通性,经测试网络连通性正常。(2)在Honeynet网关上监听ICMPping包是否通过外网口和内网口。 通过测试后,说明虚拟机蜜罐和外部网络之间的网络连接(通过Honeynet网关eth0和eth1所构成的网桥)没有问题。对Honeynet网关的远程管理进行测试,需要使用SecureCRT软件,远程ssh连接Honeynet网关管理口,经过测试表示该虚拟Honeynet可用。
3结束语
[关键词]校园网安全分析解决方案
一、校园网络安全隐患综合分析
1.物理层的安全问题
校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。
物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。
2.系统和应用软件存在的漏洞威胁
在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。
3.计算机病毒入侵和黑客攻击
计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。
4.内部用户滥用网络资源
校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。
二、采取安全控制策略
1.硬件安全策略
硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。
2.访问控制策略
访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。
(1)防火墙控制策略
防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。
(2)入侵监测控制策略
入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(IntrusionDetectionSystems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
(3)服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。
3.病毒防护策略
病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。
4.不良信息的防护策略
Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。
5.建立安全评估策略
校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。
三、结束语
高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
参考文献:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]张武军,李雪安.高校校园网安全整体解决方式研究[J].电子科技,2006,(3):64-67.
[3],王纪凤,尚玉莲,等.防火墙与入侵监测系统在高校校园网中的应用[J].泰山医学院学报,2007,(11):906-907.
关键词:数字化校园网,安全隐患,安全机制,安全实施
数字化校园是在校园网的基础之上,以计算机网络和信息数字化技术为依托,利用先进的信息手段和工具,来支撑学校的教学和管理信息流,实现了教育、教学、科研、管理、技术服务等校园信息的收集、处理、整合、存储、传输、应用等方面的全部数字化,使教学资源得到充分优化利用的一种虚拟教育环境。
一、高校数字化校园网的安全隐患分析
高校校园网的应用以及服务主要是面向学生,学生经常玩游戏、下电影、浏览未知以及可能存在安全隐患的网站、接收陌生人的电子邮件、用聊天软件时随意接受陌生人传送的文件,这些安全隐患都有可能导致校园网病毒泛滥;观看网上直播,严重影响网络速度,甚至阻塞网络运行;同时高校的学生人数较多,学生对网络安全的认识也参差不齐:很多学生认为网络中的安全威胁就是计算机病毒。所以,整个校园网中的大部分用户,对网络中存在的安全威胁还是没有一个清晰、系统的认识。
经过调查、分析、研究,高校校园网存在以下安全隐患:
1.校园网直接与因特网相连,所以会遭受黑客以及网络安全缺陷方面的攻击;
2.校园网内部安全隐患;
3.用户接入点数量大,使用率高,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;
4.缺乏统一管理;
5.网络中心负荷量大:绝大部分网络管理功能都是由网络中心来完成的,包括校园网络的建设维护、网络使用的政策制定以及相关费用的收取;
总之,实施一个科学、合理的安全机制数字化校园网,对校园网的正常运行起着至关重要的作用。
二、数字化校园网安全机制的实施
为了有效地解决校园网将会遇到的种种网络安全问题,需要在网络中的各个环节都采取必要的安全防范措施,通过多种安全防范技术和措施的综合运用,从而来保证校园网能够高性能、高安全性的正常运行。
1、防火墙的实施
防火墙技术是抵抗黑客入侵和防止未授权访问的最有效手段之一,也是目前网络系统实现网络安全策略应用最为广泛的工具之一。
防火墙是一种保护内部网络操作环境的特殊网络互联设备;同时防火墙也是设置在不同网络或网络安全域之间的一系列部件的组合。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。论文格式,安全实施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网和Internet之间的活动,保证内部网络的安全。
可根据具体的校园网实际环境,在防火墙上设置如下安全策略:
1)解决内外网络边界安全,防止外部攻击,保护内部网络(禁止外部网络访问内部网络);2)根据IP地址、协议类型、端口等进行数据包过滤;3)内外网络采用两套IP地址,实现双向地址转换功能;4)支持安全服务器网络(DMZ区),允许内外网络访问DMZ区,但禁止DMZ区访问内部网络;5)通过IP与MAC地址绑定防止IP盗用,避免乱用网络资源;6)防止IP欺骗;7)防DDoS攻击;8)开启黑白名单功能,实现URL过滤,过滤不健康网站;9)提供应用服务,隔离内外网络;10)具有自身保护能力,可防范对防火墙的常见攻击;11)启动入侵检测及告警功能;12)学生访问不良信息网站后的日志记录,做到有据可查;13)多种应用协议的支持,等等。
2、网闸的实施
安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。安全隔离网闸可以在保证安全的前提下,使用户可以浏览网页、收发电子邮件、在不同网络上的数据库之间交换数据,并可以在网络之间交换定制的文件。论文格式,安全实施。
可根据具体的校园网实际环境,在网闸上设置如下安全策略:
1)阻断内外网络的物理连接,防止外部攻击,保护内部网络;2)剥离内外网络传输的TCP/IP以及应用层协议,避免因为TCP/IP以及应用层协议造成的漏洞; 3)内外网络采用一套IP地址,实现指定协议通讯功能; 4)允许内网访问外网特定服务、应用(HTTP,FTP,FILE,DB等);5)允许外网指定机器访问内网特定应用(FILE,DB等);6)防止IP欺骗; 7)防DDoS攻击;8)具有自身保护能力,可防范常见DoS、DDoS攻击; 9)多种应用协议的支持,等等。
3、 防病毒的实施
计算机病毒对计算机网络的影响是灾难性的。计算机病毒的传播方式已经由在单机之间传播转向到各个网络系统之间的传播,一旦病毒侵入到某一局域网并发作,那么造成的危害是难以承受的。病毒和防病毒之间的斗争已经进入了由“杀”病毒到“防”病毒的时代。只有将病毒拒绝于内部网之外,或者及时查杀内部网的病毒,以此防范病毒在网络内泛滥传播,才能保证数据的真正安全。论文格式,安全实施。
我们结合计算机网络、计算机病毒的特征,给出以下防范防治策略:
1)阻止外网的病毒入侵(这是病毒入侵最常见的方式,因此在两个或多个网络边界之间,在网关处进行病毒拦截是效率最高,耗费资源最少的措施,但只能阻挡来自外部病毒的入侵);2)阻止网络邮件/群件系统传播病毒(在邮件系统上部署防病毒体系);3)设置文件服务器防病毒保护;4)最终用户:病毒绝大部分是潜伏在计算机网络的客户端机器上,因此在网络内对所有的客户机也要进行防毒控制;5)内容保护:为了能够在第一时间主动的阻止新型病毒的入侵,在防病毒系统中对附加内容进行过滤和保护是非常必要的;6)集中管理:通过一个监控中心对整个系统内的防毒服务和情况进行管理和维护,这样可以大大降低维护人员的数量和维护成本,并且缩短了升级、维护系统的响应时间。
4、学生宿舍区域802.1x认证
考虑到认证效率、接入安全、管理特性等多方面的因素,对于学生宿舍区域的用户接入建议采用已经标准化的802.1x认证方式:
1)网络环境复杂,接入用户数量巨大:建议采用分布式的用户认证方式,把认证分散到楼栋汇聚交换机上去完成,如果发生故障,不至于会影响到整个网络的所有用户;2)网络流量大,认证用户数量大:所采用的认证方式要具有很高的效率,以保证用户能及时通过认证,在网络流量大,认证用户数多时不会对设备的性能产生影响,以保证整个网络高效、稳定的运行;3)某些用户技术层次高,存在对网络安全造成影响的可能:难免存在某些用户因好奇使用一些黑客软件或病毒软件而造成对网络的影响,因此所采用的认证方式要能够有比较高的安全性,能防止如DHCP的恶意攻击等安全功能。
5、数据存储方案的实施
数字化校园是计算机技术的一个新兴应用领域,涉及的内容非常广泛,包括资料数字化、海量存储及数据管理、全方位查询检索、多渠道等技术,提供包括电子图书、视频、音频及其他多种形式的媒体资料等等。在数字化校园环境下,各种数字信息的增长非常迅猛,同时,数字信息存储的容量需求越来越大。
因此,设计一种高容量、可扩充的存储技术方案也是校园网络安全的重点。可以容纳、甚至可以无限制地容纳更多信息的“海量”存储技术:如NAS存储、SAN存储等应用支撑平台解决方案,在系统结构上满足用户未来的应用需求,同时合理使用用户投资,建立满足用户现有需求的系统,并且易于扩展的系统,来帮助用户解决在数据存储和应用需求方面所面临的挑战。
三、总结
随着Internet技术突飞猛进的发展,网络的应用范围和领域迅速扩大,新的网络技术、安全技术不断推陈出新,黑客技术也逐渐多元化,导致安全问题日益突出。在计算机网络里,安全防范体系的建立不是一劳永逸的,没有绝对的安全,我们只能不断的采用新的网络技术,以及新的安全设备与技术,这样才有可能将网络中威胁降到最低限度。论文格式,安全实施。
防火墙、网闸、病毒防范是信息安全领域的主流技术,这些网络安全技术为整个网络安全的建设起到至关重要的作用,任何一个网络或者用户都不能够忽视。论文格式,安全实施。到目前为止,尽管相关研究人员已经在理论和实践方面都作了大量的工作,而影响校园网的安全因素在不断地变化,黑客与病毒的攻击方式在不断地更新。论文格式,安全实施。要确保网络的安全就只有根据实际情况,在安全技术上采用最新的技术成果,及时调整安全策略,有效整合现有安全资源,并且不断引入新的安全机制,才能保证网络安全防范体系的良性发展,确保数字化校园网的有效性和先进性。
参考文献:
[1]焦中明.高校数字化校园建设的几个问题.赣南师范学院学报
[2]徐立.我国高校校园网建设的研究.中南大学硕士论文
[3]沈培华.数字校园的五个层次.计算机世界
[4]赵思辉.数字化校园基础平台体系架构.福建电脑
[5]宋金玲.数字校园的相关技术及方法研究.中国矿业大学
[6]曾力炜,徐鹰.关于数字化校园建设的研究.计算机与现代化
[7]占素环.校园网网络安全技术及解决方案.农机化研究
[8]张武军,李雪安.高校校园网安全整体解决方案研究.电子科技
关键词: 安全隐患; 全网动态安全体系模型; 信息安全化; 安全防御
中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
随着现代校园网接入互联网以及各种应用急剧增加,在享受高速互联网带来无限方便的同时,我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程,必须要对现代校园网进行全方位多层次安全分析,综合运用先进的安全技术和产品,制定相应的安全策略,建立一套深度防御体系[1],以自动适应现代校园网的动态安全需求。
1 现代校园网络的安全隐患分析
现代校园网作为信息交换平台重要的基础设施,承担着教学、科研、办公等各种应用,信息安全隐患重重,面临的安全威胁可以分为以下几个层面。
⑴ 物理层的安全分析:物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏,造成现代校园网不能正常运行。在考虑现代校园网安全时,首先要考虑到物理安全风险,它是整个网络系统安全的前提保障。
⑵ 网络层的安全分析:网络层处于网络体系结构中物理层和传输层之间,是网络入侵者进入信息系统的渠道和通路,网络核心协议TCP/IP并非专为安全通信而设计,所以网络系统存在大量安全隐患和威胁。
⑶ 系统层的安全分析:现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性,并且当今漏洞被发现与漏洞被利用之间的时间差越来越小,这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。
⑷ 数据层的安全分析:数据审计平台的原始数据来源各种应用系统及设备,采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集,采用多种方式和被收集设备进行数据交互,主要面临着基于应用层数据的攻击。
⑸ 应用层的安全分析[2]:为满足学校教学、科研、办公等需要,在现代校园网中提供了各层次的网络应用,用户提交的业务信息被监听或篡改等存在很多的信息安全隐患,主机系统上运行的应用软件系统采购自第三方,直接使用造成诸多安全要素。
⑹ 管理层的安全分析:人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。
⑺ 非法入侵后果风险分析:非法入侵者一旦获得对资源的控制权,就可以随意对数据和文件进行删除和修改,主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。
2 现代校园网安全APPDRR模型提出
全网动态安全体系模型[3](APPDRR)从建立全网自适应的、动态安全体系的角度出发,充分考虑了涉及网络安全技术的六方面,如风险分析(Analysis)、安全策略(Policy)、安全防护(Protection)、安全检测(Detection)、实时响应(Response)、数据恢复(Recovery)等,并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示,该模型紧紧围绕安全策略构建了五道防线:第一道防线是风险分析,这是整体安全的前提和基础;第二道防线是安全防护,阻止对现代校园网的入侵和破坏;第三道防线是安全监测,及时跟踪发现;第四道防线是实时响应,保证现代校园网的可用性和可靠性;第五道防线是数据恢复,保证有用的数据在系统被入侵后能迅速恢复,并把灾难降到最低程度。
3 现代校园网主流网络信息安全化的技术研究
为了保护现代校园网的信息安全,结合福建农业职业技术学院网络的实际需求,现代校园网信息中心将多种安全措施进行整合,建立一个立体的、完善的、多层次的现代校园网安全防御体系,主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等,如图2所示。
3.1 加解密技术
现代校园网中将部署各种应用系统,许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性,需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。
3.2 防火墙技术
防火墙技术是网络基础设施必要的不可分割的组成元素,是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则,对进出内外网之间的信息数据流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录相关的访问连接信息、通信服务量以及试图入侵事件,以便管理员分析检测、迅速响应和反馈调整。
3.3 防病毒系统
抗病毒技术可以及时发现内外网病毒的入侵和破坏,并通过以下两种有效的手段进行相应地控制:一是有效阻止网络病毒的广泛传播,采用蜜罐技术、隔离技术等;二是杀毒技术,使用网络型防病毒系统进行预防、实时检测和杀毒技术,让现代校园网系统免受其危害。
3.4 虚拟专用网
虚拟专用网(全称为Virtual Private NetWork,简称VPN)指的是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展,由若干个不同的站点组成的集合,一个站点可以属于不同的VPN,站点具有IP连通性,VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率,而且学校各校区间的连接更加灵活。只要能够上网,各校区均可以安全访问到主校区网。使用VPN数据加密传输,保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有:①数据链路层有PPTP、L2F和L2TP;②网络层有GRE、IPSEC、 MPLS和DMVPN;③应用层有SSL。
3.5 入侵防护技术
入侵防护技术包含入侵检测系统(IDS)和入侵防御系统(IPS)。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为,并能对此及时作出防控。IDS不仅能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时能监控授权对象对系统资源的非法操作,提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和及时响应),提高现代校园网基础结构的完整性。
3.6 身份认证系统
现代校园网殊部门(如档案、财务、招生等)要建设成系统。要采用身份认证系统[5],应建立相应的身份认证基础平台,加强用户的身份认证,防止对网络资源的非授权访问以及越权操作,加强口令的管理。
3.7 数据备份系统
在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段,可保证在灾难突发时,系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份,备份策略采用完全备份与增量备份相结合的方式。
3.8 预警防控系统
现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级,严格履行国家标准的信息安全管理制度,构建现代校园网统一的安全管理与监控机制,能实行现代校园网统一安全配置,调控多层面分布式的安全问题,提高现代校园网的安全预警能力,加强对现代校园网应急事件的处理能力,切实建立起一个方便快捷、安全高效的现代校园网预警防控系统,实现现代校园网信息安全化的可控性。
4 现代校园网络安全问题的解决方案
通过对现代校园网主流网络信息安全化技术的深入研究,针对现代校园网的安全隐患,提出现代校园网络安全问题的各层解决方案。
⑴ 物理层安全:主要指物理设备的安全,机房的安全等,包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。
⑵ 网络层安全:针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分,并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6],采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。
⑶ 系统层安全:现代校园网管理平台的主机选择安全可靠的操作系统,采取以下技术手段进行安全防护:补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。
⑷ 数据层安全:主要使用数据库审计系统进行监控管理,对审计记录结果进行保存,检索和查询,按需审计;同时还能够对危险行为进行报警及阻断,并提供对数据库访问的统计和分析,实现分析结果的可视化,能够针对数据库性能进行改进提供参考依据。
⑸ 应用层安全:应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。
⑹ 管理层安全:现代校园网应依法来制订安全管理制度,提供数据审计平台。一方面,对站点的访问活动进行多层次的记录,及时发现非法入侵行为。另一方面,当事故发生后,提供黑客攻击行为的追踪线索及破案依据,实现对网络的可控性与可审查性。
5 构筑现代校园网的整体安全防御体系
现代校园网络安全问题的各层解决方案综合应用到实际工作环境中,在配套安全管理制度规范下[7],现代校园网可实现全方位多层次的信息安全化管理,配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系,可有效防范、阻止和切断各种入侵者,构筑现代校园网的整体安全屏障。
6 结束语
信息安全化是现代校园网实施安全的有效举措,并建立一套切实可行的现代校园网络安全保护措施,提高现代校园网信息和应急处置能力,发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素,时时威胁现代校园网的健康发展,要至始至终保持与时俱进的思想,适时调整相应的网络安全设备。
参考文献(Reference):
[1] [美]Sean Convery著,王迎春,谢琳,江魁译.网络安全体系结
构[M].人民邮电出版社,2005.
[2] Cbris McNab著,王景新译.网络安全评估[M].中国电力出版
社,2006.
[3] 陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学
位论文,2010.
[4] Teare D.著,袁国忠译.Cisco CCNP Route学习指南[M].北京
人民邮电出版社.2011.
[5] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].
电子科技大学硕士学位论文,2015.5.
[6] 彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术,
2012.11.
论文摘要:当今社会,信息技术高速发展,各行各业都离不开网络。各学校也越来越重视校园网络建设,网络已经悄然无声的走进了校园。如何建设和管理好校园网络,保证校园网络的安全,已成为校园网络建设的首要任务。如何让校园网络在病毒肆虐的时代稳固运行,保证学校信息化、数字化网络环境畅通,已成为网管员的首要责任。
在网络技术的广泛应用下,许多学校都建立了校园网络并投入使用,网络的优势势不可挡:加快信息处理、提高工作效率、实现资源共享、降低劳动强度。但是当网络给学校带来方便的同时,网络安全这一问题是否被学校重视。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论、数论等多种学科的综合性学科。网络安全从本质上说就是网络上的信息安全。它是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。本文从以下方面阐述校园网络的安全管理:
一、设备安全
畅通的网络环境、安全的网络设备,为校园网络的信息化、数字化提供了最基础的硬件保障。这里除了信息网络设备的供电、防水、防雷电、温湿度、防鼠和防盗等常规安全之外。还要强调网络设备的配置安全。主要包括:
(一)对网络设备设置8位以上复杂密码,并需要根据业务需求分配合适的管理用户和权限。目前大多数安全问题,是由于密码过于简单、密码管理不严,使“入侵者”乘虚而入。因此密码口令的有效管理是非常重要的。
(二)设置独立的设备管理虚拟局域网,把网管设备使用的IP地址与普通用户使用的IP地址段分开,并指定专用电脑进行接入管理和监控。
二、划分VLAN
对校园网络合理的划分VLAN。VLAN就是虚拟局域网。目前大多数学校都配备了三层交换机和可管理的二层交换机,可是还有相当一部分学校把这些设备当作普通的交换机使用,没有进行VLAN的划分。这样一方面是对设备资源的浪费,另一方面更是降低了网络安全性和网络性能。
采用虚拟局域网有如下优势:有效抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通、常用的虚拟局域网成员定义方法,配置也相当直观简单,不同的虚拟局域网之间进行通信需要通过路由器或具有路由功能的三层交换机。因此,有条件的学校首先就应该充分利用已有的硬件资源,采用VLAN技术构筑高效安全的网络基础环境。
三、流量监控、协议分析、网络审计
使用专业设备如:网康。可以进行监控流量、协议分析及网络审计。
此类设备可以方便地配置于网络内部,用来预测网络的性能和发展趋势;实时检测校园网络内部终端的流量状况、分析网络的异常流量;提供全网的IP地址、机器名、MAC地址等信息完备的地址表,方便网络的分析和管理;能对网络访问事件作统一记录、分析;还可生成各种报表用于存档。有利于早期发现网络中的可疑行为,预防不良网络行为的发生。
另外在网络管理当中,要贯彻实名制,既用机器使用者的真实姓名作为计算机命名的管理模式,直接监控到个人,当出现异常时可以准确定位,快速响应。
四、部署防火墙
防火墙是网络安全的屏障。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。只有经过精心选择的应用协议才能通过防火墙,这会使网络环境变得更为安全。在防火墙设置上我们按照以下原则配置用来提高网络安全性:
第一、根据校园网安全目标和安全策略,规划设置正确的安全过滤规则,审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严禁来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止的”原则。
第二、将防火墙配置成过滤掉以内部网络地址进入路由器的IP包。这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,这样可以防止内部网络发起的对外攻击。
第三、定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
五、部署入侵防御系统
为了弥补防火墙的不足,可使用入侵防御系统:如IPS。他能够及时识别攻击程序、有害代码及其克隆和变种,尽量将病毒挡在校园网之外。另外,对于已经传入校园网内的病毒,必须防止其扩散,可以利用核心交换机的访问控制列表,屏蔽掉某些可能被病毒利用的端口。这样就可以控制病毒,使其只能在某一子网内传播,而不至于在校园网内大范围扩散。 转贴于
另外还可以在交换机上建立内网计算机的IP地址和MAC地址的对应表,实现专人专用,防止IP地址被盗用。
六、服务器的安全
校园网的服务器为用户提供各种应用,但是应用提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭.只向用户提供他们所需的基本服务。例如:我们在校园网服务器中对用户只提供WEB服务功能,而没有必要向用户提供FTP功能。这样。在对服务器配置时,只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,则要规定端口、账号及密码,向指定的用户开放。因为用户通过FTP可以上传资源,如果给了用户可执行权限,那么,通过运行上传的某些程序,就可能使服务器受到攻击。所以,控制好服务器的用户群体也是保障网络安全的一个重要因素。
七、部署防病毒
校园网内部署防病毒系统,并且定时升级病毒库。部署防病系统是为了防止因某个客户端的病毒或木马程序在校园网中流窜,从而干扰网络主干、传染其他的客户端。部署防病毒能够在源头上保障校园网络的安全。在选择防病毒软件时应选用口碑比较好的名牌产品。
八、定时更新
任何一个操作系统、防病毒软件、防火墙系统、入侵检测系统、路由交换设备等网络节点、系统或多或少都存在着各种漏洞。系统漏洞的存在就成为网络安全的首要问题。发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从系统中找到漏洞不是我们一般网络管理人员所能做的.但是及早地发现有报告的漏洞,并进行补丁升级却是我们应该做的。经常登录各有关网络安全网站,密切关注我们所有使用的软件和服务程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。网络管理员应该养成勤打补丁的习惯。
九、规范管理
以上提及的安全管理办法只是对网络设备和硬件所说,为校园网络提供技术手段和措施,但是还需要制定一系列的信息网络规章制度来规范网络管理员的操作流程,提高网络管理员的安全意识和责任。包括制定网络安全管理范围规章制度、制订有关校园网网络操作使用规程、制定人员出入校园网主控机房的管理制度、制定校园网网络系统的维护制度和应急措施、确定校园网信息安全管理的一般责任和具体责任,以及规定出现安全事故以及违反安全策略的后果等。
网络管理的规范程度直接反映一个网络的应用保障系数,通过以上几个方面的管理,并结合定期的内部网络的扫描巡检,科学的管理分工制度,要把一个网络管好、用好不难。
相信随着校园网络管理和校园网络安全不断优化发展。必然会给校园信息化、数字化应用提供畅通环境,校园网络的效益将会越来越大。也必将会进一步提高学校的教学质量和管理效率,使学校成为一所具有先进的信息化网络环境和数字化应用的现代化学校。
参考文献:
[1]黄开枝,孙岩.网络防御与安全对策[M].北京:清华大学出版社
[2]谢希仁.计算机网络(第2版)[M].北京:清华大学出版社
1 适应新技术发展,建设“泛在”的校园网络,满足各类用户需求
经过20多年的发展,我国高校的数字校园建设经历了从系统应用到系统集成的发展过程,而随着新技术的不断发展,尤其是物联网技术、无线移动网络技术的不断演进,更加重视用户的应用体现,表现在用户对数字校园使用的便捷性,对各种事务操作的便利性上来。这种转变,对新一代数字校园中网络基础设施也即校园网络的硬件条件提出了更高的要求,这些要求体现在:
一是运行更加高速、快捷。校园网络的发展从最早的百兆以太网、ATM网已全面发展为以万兆主干的以太网络为主体的校园网络体系,校园网络的运行效率、运行稳定性有了质的飞跃。二是无线网络的全覆盖成为校园网络发展的趋势。为了适应掌上电脑、移动终端、手机用户应用群不断扩大的趋势,建立覆盖整个校园,稳定、可靠的无线网络成为校园网络建设与发展的重点与方向。三是对校园网络的安全性提出了更高的提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临要求。由于数字校园的建设,将整个院校内部各种人、财、物的数据联网,这一方面为学校的决策管理提供了最直接的数据支撑,另一方面也对信息安全提出了更高的要求。如何在保证信息安全的基础上提高应用效益成为校园网络建设与管理者不得不考虑的问题。
基于新一代数字校园对校园网络提出的更高要求,在进行网络基础设施建设时,必须要进行充分考虑。
第一,在网络架构上,要充分认识到有线网络与无线网络的关系,将两者作为互相补充的有机整体,综合考虑建设、运维的成本,安全性与稳定性等各种要素,综合衡量网络建设的类型与使用范围。第二,在网络链路中需要设计一定的冗余。通过双链路或多链路架构的方式在一定程度上解决网络运行的稳定性问题。第三,考虑到校园内各种用户应用层次的不同,对校园网资源的使用权限也要有所不同;在进行校园网建设时,需要同时考虑到安全体系的建设,不仅仅是加装必要的安全防护设备,同时还需要在网络设备的选择上做好必要的准备。第四,云计算技术的持续发展,为高校的信息化建设与发展提供了机遇,校园网络也必须要考虑到未来的发展,尤其是虚拟桌面、云终端等网络应用对校园网的要求更高,需要充分论证与规划,以适应新技术的发展与应用。
2 基于云计算技术,建设集中化、虚拟化的数字校园数据中心
云计算以其超强的计算能力以及高可靠性、安全性等优势在各个领域都掀起了应用。高校的数字校园,由于其功能的日益完善,所涉及领域的应用更加深入,对数据中心的存储以及计算能力提出了更高的要求,传统的数据中心在一定程度上已经无法满足日益增长的计算、存储需求。因此,为其引入新型的、更具可控性、可扩容以及超强计算能力的云计算技术,成为新一代数字校园在进行数据中心建设时需要考虑的问题。
2.1 通过服务器虚拟化满足各种新功能的需求
在传统的数字校园数据中心建设中,采用服务器集群的方式,由于数字校园各种功能部署的需要,需要采用几十台甚至上百台单片服务器才能满足。而通过服务器虚拟化技术,可以有效、充分地利用服务器资源,通过将单台服务器虚拟出多台的方式,有效解决服务器的硬件投入过大、单台利用效率低下和管理维护以及运行成本过高等问题。通常服务器CPU占用率一般不超过15%,而虚拟化后物理主机的CPU使用率将提高到60~80%。
2.2 通过数据的集中存储,适应数字校园大数据、智能化发展的需求
云计算在进行服务器虚拟化的同时,要求数据中心提供强大的集中存储功能。而数字校园也需要将各个部门的数据统一集中到一个平台中来,不但要便于数据的统一采集与调度,更需便于数据的管理与维护。因此,通过建设必要的数据存储体系,包括容灾备份体系建设等方面。
2.3 坚持在原有基础上的“扬弃”,以满足需求为目标建设数据中心
在进行数据中心建设时应充分考虑院校内已经建成或者正在运行的各种系统、各种物理资源的价值,而不是完全抛弃,应当将其纳入到云计算数据中心建设中来统一考虑,充分利用现有资源,进行必要的整合与集成,做好资产的保护。
与此同时,还应当注意到云计算数据中心所带来的一些负面影响。一是由虚拟服务器应用带来的资源过度利提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临用,要以保障稳定运行为前提,提前作好充分的论证。二是要防止虚拟主机的随意蔓延。由于增加一台服务器的配置不再像以往那样,需要通过采购、安装、部署等一系列过程,只需要数据中心通过技术虚拟出一个主机即可,这也可能导致各种主机的不断扩张,因此,还需要加强对服务器需要的管理与审批。
3 以智能感知、自动交换、主动推送为目标,加强数字校园平台建设
数字校园建设为院校教学科研与日常管理等活动提供强有力的支撑,本质上是利用现代化的手段对信息进行获取、加工和处理,为以教学科研为中心的院校各项活动提供保障。因此,对校园内信息的获取、处理与利用,在进行新一代数字校园设计与建设时应作为重中之重来进行考量。
3.1 充分利用物联网技术,建设“智能感知”的数字校园数据采集体系
随着物联网技术的不断成熟,射频识别、红外感应、全球定位、激光扫描等信息传感技术的应用越来越广,为数字校园中的对人、财、物的自动感知与信息采集提供了广阔的应用前景。在高校重点可以从几个方面来展开。
一是智能教室、实验室的管理。伴随高校数字化建设水平的提升,对大量不同的教室、实验室设备进行有效管理是急需解决的课题。二是智能文档管理。图书文献,包括由于各种原因无法通过电子文档进行流转的公文、各种档案资料的管理等,通过加贴FRID标签等方式,可以准确掌握这些重要文档资料的流向,让无声的东西变成 “有声”的,便于查找利用。 三是智能校园安保系统。将物联网技术与安保系统进行结合,在原有校园视频监控系统的基础上,让固定的财物能够随时发送位置、状态信息,便于及时了解其去向,也为各种物资的有效利用提供方便。四是远程水电管理系统。通过物联网技术,可以及时发现水电的开关状态,了解实时的使用情况,通过校园网可以有效管理路灯、室内照明以及公共水房等资源,从源头上做到环保节能。
3.2 以应用集成为主线,建立自动交换的数据共享体系
传统的数字校园一般采用系统集成的方式,将高校内部各种应用系统通过数据、身份、门户集成等方式统一到一个平台上。从表面上看,各种系统已经统一在数字校园内,但在其内核应用层面,还没有做到真正的统一,尤其是底层数据的交换,有些复杂的触发机制需要人工干预。而在新一代数字校园的建设中,应当摒弃传统观念,真正从“做事”的角度出发,以应用为主线,划分出清晰的数据流、事务流,根据数据的流向、事务的处理流程来规划数字校园的各项功能,从底层数据库的设计开始,做好数据的统一规划,确保高校内部各个层面的应用都能做到真正的数据共享。
3.3 通过订阅、推送平台,建立主动推送的信息应用体系
传统的数字校园的信息门户,虽然会根据用户身份的不同,有一些差异化的设计,但是实际上这些差异是有限的提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临、不全面的。新一代的数字校园,这些差异化应当与数据订阅机制、身份认证平台实施联动,将共享数据库中与用户相关的信息及时推送到用户的门户中去。推送的方式,可以根据信息的重要程度、用户的身份特征等进行区别。通过数据订阅与信息推送体系的建设,在最大程度上解决无法找到合适信息以及“垃圾”信息泛滥等问题。
4 强化管理,统一建设,建设安全、可靠的数字校园运行平台
自从互联网进入实际运用以来,网络安全始终是各方关注的重点,尤其是前期“棱镜”监控事件进入公众视野,国家采取了加强对互联信息的管控等一系列措施,对网络安全提出了更高的要求。 因此,在进行新一代数字校园建设时,信息安全也应当作为重要的一个环节。
4.1 适应网络安全新形势,将安全体系建设真正统一纳入到数字校园工程建设中来
从网络初期建设开始,有关部门就对信息安全提出了一系列的要求,但由于网络安全一定程度上并不能产生直接的效益,许多院校在进行数字校园乃至网络基础设计建设时虽然将网络安全纳入了方案,但实际操作中则是能省就省,存在着重应用轻安全的观念。
在进行新一代数字校园建设时,由于各种上网的信息涉及面广,这些信息对某些有心人而言都是具有一定的应用价值。尤其是一些重点高校,加强网络安全体系建设不能仅仅是停在口头上、写在书面上,而应当真正做到实际工作中,将之统一纳入到数字校园建设中来,在网络基础设施、数字中心建设,以及数字校园各种应用系统的开发与应用等环节,充分考虑到信息的安全,通过统一的设计、统一的建设,有效地从源头上管控信息安全。
4.2 强化制度保障,统一数据采集与应用标准,有效管制各种信息的采集与应用
新一代的数字校园,从设计与建设理念上来说,许多信息的采集都需要自动安全,智能采集。而在管理与应用层面,更加强调的是身份认证体系与应用权限,采用主动推送的方式进行。这对数字校园的建设者与管理者来说,必须从开始阶段就做好信息的甄别工作,通过严格的规则制度,确定哪些信息通过何种方式采集与提供使用,同时也应当根据不同人员的身份特征,强化信息的应用范围控制,确保把好数字校园内各种信息的入口与出口关,始终绷紧信息安全之弦。
4.3 坚持内外有别、上下有别,强化数据应用与下载的管控,确保信息安全
数字校园的身份认证体系是决定每个用户提供、使用信息的依据,在加强数字校园的信息安全体系建设时,必须坚持做到内外有别、上下有别,即区分校内、校外用户,领导、教职员工与学生有自己的不同的信息提供与获取权限。要做到这些,应当从几个方面来着手。
一是加强身份认证系统的建设与管理。不仅对身份认证系统的选择要更加科学,注重其安全性;而且要加强对用户身份变更等信息的更新维护,确保每个用户都能获取与其身份相对应的信息。二是区别一般信息与提供论文写作和写作服务lunwen. 1KEJI AN. C OM,欢迎您的光临保密信息的管理与使用。这是通常的信息安全管理措施,对信息的涉密程度进行区分,通过逻辑子网等方式加以管控,有些甚至需要与公共的校园网络进行安全隔离,确保安全。三是区别不同用户对象的使用方式。对重要的用户,即信息使用级别较高的校园网用户,应当控制其使用方式。
新技术的应用为数字校园的建设与应用提供了广阔的前景,但也带来了更大的挑战,在物联网技术、云计算技术以及移动互联网等为数字校园使用效益的发挥提供更大的舞台的同时,也应当根据各个院校的实际情况,综合考量新技术应用的范围与规模,以最大的性价比获取最大的使用效益。
【关键词】校园网络;网络安全;防范体系
【中图分类号】G40-057 【文献标识码】B 【论文编号】1009―8097(2011)11―0066-05
引言
随着国内高校新一轮信息化建设的不断深入,高校校园网规模越来越大,承载的应用系统越来越多,校园网络的结构也变得越来越庞大和复杂。随着人才培养、科学研究等各项工作对校园网的依赖性不断增加,校园网及各类应用系统的服务质量也应不断提高标准和要求,作为一个使用成熟技术和成熟设备的园区网络,网络安全是影响网络服务质量的重要因素。
但目前各高校的校园网“重建设,轻管理”的现象仍然十分普遍。在社会信息化发展的大潮中,各高校都已清楚地认识到校园网在学校各项工作中的基础地位,因此在校园网硬软件系统建设上进行了大量的投入,而正是硬件和软件系统的大规模快速增长,使得对网络的管理难以跟上建设的步伐,而网络管理是软性的工作,是不能够通过统计报表看得出问题或成绩的,因此网络管理工作很难引起学校领导的重视。但在实际工作中,相对滞后的网络管理会导致网络安全问题的频频发生,反言之,网络安全防范也是网络管理的重要内容。
本文根据目前高校校园网络存在的安全隐患来分析其成因,并在实际工作经验的基础上提出构建一套基于分层控制的“IAAPNS”网络安全防范体系,自底向上、由内到外、从技术到管理层面排查高校校园网络中潜在的安全威胁并给出防护建议。
一 高校校园网络的安全隐患及成因
目前高校校园网络的主干网都是基于TCP/IP协议的以太网,与其他类型的Intranet网络相比有其自身的特点,相应的安全隐患也就有其特定的成因。目前国内高校校园网络普遍存在的安全隐患和漏洞主要来自以下几个方面:
1 校园面积广阔,网络基础设施管理困难
经过兼并和扩张,高校的校区面积动辄上千亩、几千亩,许多高校还有地域上独立的新老校区,作为楼宇间连线的光纤布线遍布校区各处,而且往往跟其他强电或弱电线缆共用走线沟槽。对这些光纤的管理要涉及基建、后勤等多个部门,需要协调的工作也很繁杂,如果缺少一个明确的安全管理体系,就不容易分清工作界限,在出现突发故障后往往互相推诿,导致难以在短时间内恢复网络畅通。
另外一方面,校园内楼宇繁多,楼字里每几层都会有楼层网络设备间放置汇聚层或接入层网络设备,这些设备间的数量众多,但往往安全防范措施简易,门锁形同虚设,甚至有些设备间连门都没有,极易出现人为破坏或私拉乱接网线的情况,严重影响网络的运行安全。除此以外,雷击等外界原因也容易造成对网络设备的破坏。
2 网络设备种类繁多,不利于统一管理
校园网的建设一般是分批建设,不同批次、不同层次的网络设备使用的规格、品牌往往不尽相同,而这些网络设备的管理软件大多都是基于私有MIB库进行开发,这就造成了很难有一套统一的全网管理软件。病毒或黑客对网络设备进行攻击时,就很难在第一时间发现和应对,常常是在设备瘫痪之后才意识到出现了问题、进行紧急恢复。
3 网络终端数量众多,安全措施薄弱
一般高校的学生人数都是以万计,教师以干计,密集的用户群意味着网络终端的数量巨大,绝大多数网络终端以计算机为主,随着无线的普及,智能手机和平板电脑也成为重要的网络终端设备。数量众多的用户使用计算机或手机的技术水平差异很大,尤其是文科专业的师生对计算机的使用掌握得并不熟练,未装防火墙和杀毒软件的计算机比比皆是。而高校校园网只要一处出现漏洞,整个网络就无安全可言。近年来智能手机上也出现了不少的病毒和木马程序,智能手机的系统安全问题正变得日益严重。
4 系统软件本身并不安全
在目前的校园网环境中,个人终端装机占有率最高的仍然是Windows操作系统,由于使用面广,研究其漏洞的人也就更多,不少黑客都是利用其系统漏洞侵入用户的计算机,再以这些被控制的计算机作为跳板,攻击整个网络。
与个人计算机相比,服务器操作系统漏洞更具有灾难性。服务器的操作系统种类较多,除Windows之外还有Linux、Solaris等Unix系列的操作系统,而高校网络管理人才队伍中,对此类操作系统熟悉的人员比例不高,包括打补丁、差错、优化在内的各种操作系统管理手段很难周全到位。除了操作系统本身,其上所运行的各类服务软件(如IIS、Tomc~等)也存在安全漏洞问题,需要管理人员投入大量的精力进行研究和学习。
5 应用系统的安全漏洞
由于建设成本的考虑,高校的网络应用系统提供商的层次差异很大,有些就是自行组织教师或学生进行开发,缺少软件开发过程中各个层次的安全规划设计与实现,使得应用系统层面的漏洞层出不穷,这些漏洞很容易成为黑客攻击最直接的目标。还有些高校在建立Web网站时使用了开源程序,这类系统的漏洞更是容易被利用,甚至不懂黑客原理的用户经过几分钟的学习便可以掌握攻击方法。
二 高校校园网络的安全防范体系
由此可见,形成高校校园网络安全隐患的原因是多层次的,也是相互关联的,但目前各高校的网络管理部门往往采用的是“头痛医头、脚痛医脚”的“救火式”解决办法,只从某个方面或某个层次来应对。网络管理人员每天都在疲于解决各种突发性的网络安全事故,但问题还是与日俱增,网络服务质量和用户满意度仍然处于较低的水平,这种“费力不讨好”的现象迫使我们去思考更好的解决方案。
为此,针对目前高校校园网络的安全现状和威胁,结合实际工作经验,我们运用系统论的分析方法,提出构建一套名为“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security,网络安全集成关联架构策略,同时也是体系中六个层次的英语词组首字母组合)的网络安全防范体系,为高校校园网络安全提供一套完整的解决方案,以求由点到面、由“标”到“本”地系统地解决校园网络的安全问题。该体系从六个层次和角度来阐述网络安全的内容,并分析每个层次可能存在的隐患以及相应的应对策略,其中自底向上的五个层次分别是物理安全、网络安全、系统安全、应用安全和信息安全,管理安全则融合、穿插于这五个层次之中。整个安全体系的示意图如图l所示。
该体系将现行的高校校园网络安全性划分为5个横向层次和1个纵向层次,在5个横向层次中,最底层的物理安全是基础,网络安全是关键,系统安全、应用安全、信息安全是重点,管理安全是保障。下面分别对六个层次的内容、隐患来源以及应对措施进行详细阐述。
1 物理安全(Physical Security)
物理安全,主要工作是防止物理通路的损坏、窃听和对物理通路的攻击(干扰等)。保证高校校园网络和信息系统各种设备的物理安全是网络整体安全的前提,通常包括环境安全(系统所在环境的安全保护)、设备安全和媒体安全三个部分。抗干扰、防窃听是物理安全措施制定的重点。目前,物理实体的安全管理已有大量标准和规范,如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》、GB50173-93《电子计算机机房设计规范》等。
这一层次的安全威胁主要包括自然威胁和人为破坏等方面。自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和干扰、网络设备的自然老化等。这些无目的离散事件有时会直接或间接地威胁网络的安全,影响信息的存储和交换。人为破坏则主要来自于高校校园网周边内外的人为性的损坏,这些损坏有时是主观故意的(如学生发泄对网络服务质量的不满而对网络设备或线路进行故意损坏),有时是客观意外的(如园区周边建筑施工导致挖断网络线路)。
面对以上威胁,为保证网络的正常运行,在物理安全层次上应重点考虑两个方面:
(1)校园网规划、设计、建设时将物理安全作为重点工作对待,适当提高安全标准,为网络设备或线路搭建防护设施、建立安全控制区域,尽量降低自然威胁可能带来的风险。
(2)加强巡查,将重点网络设备或线路所在地定为安全巡逻必到点,定期安排保卫人员在巡逻时查看网络设备或线路的外观和运行状态(如各种状态指示灯是否正常等),降低人为破坏的几率。
2 网络安全(Network Security)
网络安全主要包括链路安全、传输安全和网络访问安全三个部分。链路安全需要保证通过网络链路传送的数据不被窃听,主要针对共用信道的传输安全;传输安全需要保证信息的完整性、机密性、不可抵赖性和可用性等;网络访问安全需要保证网络架构、网络访问控制、漏洞扫描、网络监控与入侵检测等。
这一层次的安全威胁主要包括:
(1)通信链路上的窃听、篡改、重放、流量分析等攻击。
(2)网络架构设计问题、错误的路由配置、网络设备与主机的漏洞、病毒等。
相应地应对措施主要有:
(1)在局域网内可以采用划分VLAN(虚拟局域网)来对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间的窃听可能;若是远程网,可以采用链路加密等手段。
(2)加强网络边界的访问控制。对于有明显安全等级差别的网络区域尽量增加防火墙设备进行隔离。如在校园内网、服务器区域之间设置防火墙;校园网出口处、与Intemet之间设置防火墙。
(3)在交换机上启用DHCP-Snooping技术,使任何接入校园网的计算机只能动态获得IP地址,同时杜绝未经批准建立的网站通过私自手工设置静态IP地址来架设服务器。
(4)使用IDS(入侵检测系统)。入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够阻止攻击者的入侵。当检测到有网络攻击或入侵时,可以实时发出报警,并详细保存相关证据,以便用于追查或系统恢复。
(5)对网络安全进行定期检测,以实现安全的持续性。可以利用漏洞扫描类的工具软件定期对系统进行扫描,根据扫描结果进行安全性评估,通过评估报告指出系统存在的安全漏洞,组织专家讨论后给出补救措施和安全策略。
(6)建立网络防病毒系统。在校园网中部署网络版的防病毒系统,统一管理服务器和各类网络终端的防毒软件,定时自动升级与维护,以保护全网不被病毒侵害。通过对网络中的病毒扫描集中控制,建立各种定时任务,统一集中触发,然后由各被管理机器运行,同时可对日志文件的各种格式进行控制。在管理服务器上建立了集中的病毒分发报告、各被管机器的病毒扫描报告、所安装软件的版本等报告,所有病毒扫描状态信息都可由控制台得到。
3 系统安全(System Security)
系统安全即运行在网络上的服务器、交换机、路由器、客户端主机等具有完整网络操作系统的设备的操作系统的安全。这一层次的安全威胁主要来自因操作系统本身的设计缺陷被攻击者利用从而引发的后果。对于高校校园网络而言,半数以上的攻击往往属于这一层次。这一层次的主要应对措施主要有:
(1)更新操作系统、安装补丁程序。任何操作系统都有漏洞,因此,系统管理员的主要工作内容之一就是监控运行在网络上的各类设备的状态,发现异常应当及时解决、排除故障。对于交换机、路由器等设备而言,主要是更新操作系统的版本,这一类设备主要用于数据交换,因此其内置固化的操作系统往往功能简单、体积很小,厂商的常规做法是新版本的系统,因此只需直接刷新即可。对于服务器、客户端主机等设备,因其主要是用于数据处理,操作系统功能复杂、体积庞大,厂商通常是一些补丁程序来进行更新,因此直接安装即可。
(2)优化系统。现代操作系统往往是多功能、多模块、多组件的,可能一项系统设置可能会影响多个功能,也可能多个选项来共同作用于一个功能。因此,对操作系统进行优化是一项非常必要的工作,甚至个别系统的个别选项如果不加以优化可能会被攻击者利用,从而产生威胁。实际当中包括关闭不需要的服务和端口并建立监测日志等。
(3)实行“最小授权”原则,分配正确和合适的权限。仅仅保持系统的版本最新、并做了优化是不够的,试想如果网络上的设备被设置了“123456”这样的密码,而且使用这个密码登录后还是最高权限的系统用户帐号,那么整套网络和信息系统的危险可想而知。实行“最小授权”原则(网络中的帐号设置、服务配置、主机间信任关系配置等为网络正常运行所需的最小限度),关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的帐号等措施可以将系统的危险大大降低。例如,根据需要设置帐号和权限,并为帐号设置强密码策略是必须完成的工作,如至少应该在8位以上,而且不要设置成容易猜测的密码,并强制用户每个月更改一次密码等等。
(4)及时查杀服务器系统中的病毒、木马和后门程序。
4 应用安全(Application Security)
应用安全主要是针对网络中提供的各种功能和服务而提出的,例如Web服务:E-Mail服务、数据库服务、各种业务系统、各种信息系统等等。应用安全的威胁主要有:应用系统缺陷、非法入侵等。这一层次的主要应对措施有:
(1)及时升级和更新各应用软件和信息系统,降低因软件设计缺陷引起的风险。若应用软件或业务系统是高校自行开发,系统的使用部门(往往是业务部门)应联系开发人员及时跟进,发现漏洞及时修补。
(2)对应用软件和信息系统实行身份认证和安全审计。
与系统安全类似,应用软件和信息系统也应对使用者进行分类、分配权限、认证身份并审计各种操作。例如可以按照需要在高校校园网内部建立基于PKI的身份认证体系(有条件还可以建立基于PMI的授权管理体系),实现增强型身份认证,并为实现内容完整性和不可抵赖性提供支持。在身份认证机制上还可以考虑采用IC卡、USB-Key、一次性口令、指纹识别器、虹膜识别器等辅助硬件实现双因子或多因子的身份认证功能。同时,还应特别注意对移动用户拨入的身份认证和授权访问控制。
5 信息安全(Information Security)
信息安全注重的是网络上各类数据、信息的内容安全。这一层次可能的威胁和相应的应对措施有:
(1)植入恶意代码或其他有害信息。一部分攻击者经常采用的攻击方法是扫描网段找到有漏洞的主机,接着使用黑客软件或攻击程序进行刺探,在获得系统权限后将恶意代码植入到在该主机上运行的各应用软件或信息系统中,待其他用户正常使用时发作,或修改页面的内容造成不良影响。针对这种情况,可以部署网页防篡改系统,减少Web站点的内容被恶意更改植入恶意代码或其他有害信息。
(2)垃圾邮件和病毒的传播。目前,电子邮件已经成为垃圾信息和病毒的主要传播途径之一,采用垃圾邮件网关并部署电子邮件反病毒模块能够在一定程度上减轻危害,缺点是垃圾邮件识别模块和反病毒模块需要经常性升级,在查杀和拦截上有一定的滞后性。
(3)负面舆论导向。高校历来是思想碰撞的场所,网络作为新兴载体己经发挥着越来越大的作用,因此,舆情监督和正面舆论导向将逐渐成为高校信息安全的重点工作内容。除了采取技术手段进行监督管理外,高校的信息化管理部门还应与宣传部门一道培养舆论导向的专业人员或学生,主动将信息安全的风险降到最低。
6 管理安全(Administration Security)
目前,部分高校的网络管理人员及其用户的安全意识总的来说较为淡薄,且大多数高校的网络管理制度不完善、管理技术落后、管理机构不健全。上述因素不仅使得校园网络性能下降、运行成本提高,而且还会造成大量非正常访问,导致整个网络资源浪费,带来极大的安全隐患,使得网络受到攻击的概率大幅提高。
管理安全是整个防范体系的主线和基础,贯穿于整个体系的始终。如果仅有安全技术方面的防范,而无配套的安全管理体系,也难以保障网络安全的。必须制订相应的安全管理制度,对安全技术的实施落实到具体的执行者和执行程度。
网络安全工作可以说是一项群体性的工作,网络用户的安全意识是网络安全的决定因素,对校园网络用户安全意识的教育是安全防范体系中至关重要的环节,是形成高校校园网络安全体系的基础。尤其是在病毒泛滥的大环境下,需要通过定期培训、及时通过各种手段病毒预警通知、监督和促使用户尽快打补丁等方法,达到增强师生用户的安全意识,提高必要的安全防范技能的目的。
以上便是我们提出的网络安全防护体系的六个层次,除管理安全层次外,其余五层与TCP/IP协议的层次类似,上一层的安全是建立在其下一层的安全基础之上,下一层的安全是上一层安全的重要保障,层次之间环环相扣,不留安全死角。
本体系中的六个层次也基本涵盖了高校网络管理工作的方方面面,将网络安全工作的思路分层次清晰化,具有极强的实用价值和指导作用。
三 应用效果
重庆理工大学从2001年开始大规模建设校园网络,2003年开始建设数字化校园系统。校园网按照核心层、汇聚层和接入层三个层次进行规划设计,共有各类网络设备600多台,接入信息点18000个,活跃用户大约2万人,各类服务器40多台,安装有Windows、Linux和Solaris等操作系统,数据库以Oracle和SQL Server为主。数字化校园系统覆盖办公、教务、学工、人事、财务、后勤等各个方面的工作,共计有各类系统模块80余个。在大规模的硬件和软件系统建设前期,缺乏对网络安全的系统认识,在遭遇网络安全事故时,常常只能采取临时性的应对措施。随着网络和系统规模的不断扩大,网络安全已经成为影响网络服务质量的重要根源,网络信息中心的员工几乎天天都在疲于应对各类突发性的网络安全事件。
学校从2008年开始总结网络安全工作的经验与教训,运用系统工程的分析方法,从整体和系统的角度提出网络安全防范方案,形成了“IAAPNS”网络安全防范体系,并应用到校园网的建设与维护工作中,经过三年多的运行,学校校园网络安全工作进得了明显的成绩(如图2所示):
对网络设备攻击(包括病毒)而导致网络故障的次数由2008年的334次降到2010年的65次,2011年上半年为19次;利用操作系统漏洞(包括Web服务器漏洞)攻击成功次数由2008年的46次降到2010年的6次,2011年上半年为2次;利用应用软件的安全漏洞攻击成功次数由2008年的125次降到2010年的43次,2011年上半年为15次。
随着网络安全防范工作的加强,网络服务质量明显提升,如图3所示,用户满意度从2008年61%提升到2010年的73%,2011年上半年为78%。
论文摘要:随着高校信息化建设水平的不断提高,无线网络逐渐成为校园网解决方案的一个重要组成部分。该文对校园无线网接入进行研究,并对校园无线网络的安全进行了分析,最后给出了一种适合校园网无线网络的安全解决方案。
1引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:①基于MAC地址的认证。基于MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用MAC地址列表来限制网络中的用户访问。实施MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。②共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起DHCP请求获得IP以及获得对网络的访问。
可以说,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像802.1x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于MAC地址的认证存在两个问题,一是数据管理的问题,要维护MAC数据库,二是MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE802.11i和WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(ProtectedExtensibleAuthenticationProtoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果、研究资料和论文等的安全性要求比较高。对于此类用户,可使用802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
购物车(0)