前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全小論文主題范文,僅供參考,歡迎閱讀并收藏。
1.1加強網(wǎng)絡(luò)安全教育,增強校園網(wǎng)用戶安全意識及防護技能
目前,所有高校基本都普及了校園網(wǎng)絡(luò),高校學生在校園內(nèi)部隨處都可以上網(wǎng),教師和其它人員的工作也離不開網(wǎng)絡(luò)的輔助,高校內(nèi)部的網(wǎng)絡(luò)端口日益增多,上網(wǎng)的人數(shù)也是與日俱增,其中大多數(shù)人并不具備網(wǎng)絡(luò)安全方面相關(guān)知識,這為高校信息安全埋下了隱患,信息安全方面的教育勢在必行。用戶的流動性強是校園網(wǎng)用戶群體的一個顯著特征,因此,學生的信息安全教育是一項重要并且需要長期堅持的工作。學校應(yīng)將信息安全知識和防護技能的培訓(xùn)納入學生計算機基礎(chǔ)課程中,并將有關(guān)的教學內(nèi)容、實驗與學校的信息安全工作聯(lián)系起來,在實現(xiàn)教學目標的同時,也可以起到對學校信息安全的促進與保障作用。目前,高校雖然已經(jīng)普遍開設(shè)了計算機應(yīng)用基礎(chǔ)課程,仍然有必要選擇性地開設(shè)網(wǎng)絡(luò)安全課程或?qū)n}講座,宣傳網(wǎng)絡(luò)安全知識和網(wǎng)絡(luò)道德教育,提高所有學生和教師的網(wǎng)絡(luò)安全意識,并且可以開展有針對性的實踐技能培訓(xùn),提高學生和教師的網(wǎng)絡(luò)防護技能。新形勢下,高校學生應(yīng)當具備一定的網(wǎng)絡(luò)基礎(chǔ)知識,讓學生學會正確對待各類網(wǎng)絡(luò)信息、合理使用網(wǎng)絡(luò)資源的能力,形成正確的價值觀,維護網(wǎng)絡(luò)道德規(guī)范。此外,對校園網(wǎng)中其他用戶的信息安全教育與培訓(xùn)也是一項需要長期堅持的工作。
1.2加強校園網(wǎng)安全維護,增強網(wǎng)絡(luò)管理人員的安全意識和技能
校園網(wǎng)信息安全既有管理方面的漏洞,也有技術(shù)層面的風險。專業(yè)的網(wǎng)絡(luò)管理人員負責整個校園網(wǎng)絡(luò)的維護、網(wǎng)絡(luò)系統(tǒng)的更新、升級及新技術(shù)的研發(fā)。建立一支既懂管理又有技術(shù)的信息安全人才隊伍是很有必要的,保障網(wǎng)絡(luò)的信息安全首先應(yīng)當提升這部分專業(yè)人士的安全意識及專業(yè)技術(shù)水平,定期進行培訓(xùn)和考核。其次要從技術(shù)層面做好信息安全防御工作。使用必要的網(wǎng)絡(luò)安全防護技術(shù),如:身份認證技術(shù)、入侵檢測技術(shù)、防火墻技術(shù)、防病毒網(wǎng)關(guān)技術(shù)、垃圾郵件過濾系統(tǒng)以及安全審計等技術(shù)來防御來自外部或內(nèi)部的攻擊,有效地對校園網(wǎng)的進行防護。另外,現(xiàn)在市場上網(wǎng)絡(luò)安全的新產(chǎn)品、新技術(shù)非常多,也可以為校園網(wǎng)提供更好的保護功能。
1.3建立健全校園網(wǎng)安全保障體系
健全的信息安全管理體制,對于在管理層面維護信息安全至關(guān)重要。除了建立一支高素質(zhì)的網(wǎng)絡(luò)管理專業(yè)技術(shù)人員隊伍外,還必須建立一套嚴格的管理規(guī)章制度。有了技術(shù)水平足夠高的設(shè)備、軟件支持,再加上有針對其網(wǎng)絡(luò)建設(shè)和應(yīng)用設(shè)計的完善的規(guī)章制度,整個網(wǎng)絡(luò)安全體系才有了根本保障。此外,在科學合理的信息安全管理機制中,應(yīng)急響應(yīng)機制尤為重要,因為,沒有絕對安全的網(wǎng)絡(luò)系統(tǒng),關(guān)鍵在于發(fā)現(xiàn)或發(fā)生安全風險時,能否及時正確做出應(yīng)對,進行防御,采取措施消除風險,或?qū)p失降到最低,使網(wǎng)絡(luò)系統(tǒng)能夠快速恢復(fù)正常運行。
2結(jié)語
從安全技術(shù)架構(gòu)來說,網(wǎng)站群的安全問題主要在于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全。高職院校一般都具備獨立的數(shù)據(jù)中心。以浙江醫(yī)藥高等??茖W校為例,目前已建有MIS+S(基本信息安全保障)系統(tǒng)架構(gòu),隨著硬件驅(qū)動已轉(zhuǎn)變?yōu)閼?yīng)用驅(qū)動,網(wǎng)絡(luò)信息基礎(chǔ)設(shè)施和服務(wù)都有了大幅度的提升,能夠從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全四個環(huán)節(jié),打造網(wǎng)站群安全防范技術(shù)體系,實現(xiàn)動態(tài)防御、主機安全、備份和恢復(fù)、安全審計、安全測試配置、安全監(jiān)控,應(yīng)用分析等目標。
1.1動態(tài)防御
網(wǎng)站群安全防范技術(shù)體系以往,我們通常利用防火墻、雙核心網(wǎng)絡(luò)設(shè)備以及DMZ區(qū)來實現(xiàn)應(yīng)用防護,防范惡意攻擊和病毒入侵的能力有限。在網(wǎng)絡(luò)安全問題日趨嚴重和復(fù)雜的情況下,需要加固原有的網(wǎng)絡(luò)拓撲結(jié)構(gòu),增加應(yīng)用防護系統(tǒng)、統(tǒng)一防惡意代碼軟件、網(wǎng)絡(luò)管理系統(tǒng),與防火墻一起建立動態(tài)防御體系。只有為網(wǎng)站群和服務(wù)建立訪問控制體系,才能將絕大多數(shù)攻擊阻止在到達攻擊目標之前,或攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標,最終提升網(wǎng)站群系統(tǒng)的物理安全、網(wǎng)絡(luò)安全和應(yīng)用安全。我們將網(wǎng)站群系統(tǒng)所在區(qū)域從原DMZ區(qū)劃分出來,與其他Web應(yīng)用一起規(guī)劃為安全級別較高的WebServer服務(wù)區(qū)域。同時,在該區(qū)域部署統(tǒng)一惡意代碼防范管理系統(tǒng),建立安全的病毒防護措施。在核心交換和WebServer服務(wù)區(qū)域間,通過串聯(lián)部署方式,增加一臺WAF(應(yīng)用防護系統(tǒng)),起到防護Web應(yīng)用、漏洞檢測作用,確保網(wǎng)站群在內(nèi)的Web應(yīng)用完整性。同時,開啟硬件防火墻上的網(wǎng)站防篡改、IPS功能、日志功能,建立攻擊監(jiān)控體系,實時檢測出絕大多數(shù)攻擊,并采取相應(yīng)的行動(如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源,等)。網(wǎng)站群系統(tǒng)管理員在統(tǒng)一惡意代碼防范管理平臺上,對網(wǎng)站群主機進行遠程控制。包括:遠程啟動或停止實時監(jiān)控、手動掃描、實時更新、功能組件配置、設(shè)定分組任務(wù)或策略,等,以有效阻隔外來病毒入侵及內(nèi)部病毒清除,有效保障系統(tǒng)安全。眾所周知,網(wǎng)絡(luò)攻擊也可以來自于局域網(wǎng)內(nèi)部,如內(nèi)網(wǎng)DoS攻擊、ARP等病毒攻擊。對于內(nèi)網(wǎng)攻擊的防范,通常采取的應(yīng)對方法有:為內(nèi)網(wǎng)終端安裝病毒防護軟件、加強用戶病毒查殺意識,在網(wǎng)絡(luò)設(shè)備上劃分VLAN進行邏輯隔離、設(shè)置ACL訪問控制?,F(xiàn)階段,我們還啟用硬件防火墻上的IPS、DDoS/DoS內(nèi)網(wǎng)防護、病毒防御策略等功能來加強防范。同時,利用上網(wǎng)行為管理設(shè)備,對內(nèi)網(wǎng)終端實施安全檢查、網(wǎng)絡(luò)準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施,針對內(nèi)網(wǎng)攻擊事件查看分析用戶行為記錄并定位,并且依據(jù)學校相關(guān)規(guī)章制度進行處置處理(如《校園網(wǎng)用戶守則》、《校園網(wǎng)聯(lián)網(wǎng)安全保護管理辦法》、《校園網(wǎng)系統(tǒng)安全管理制度》,等),提高局域網(wǎng)內(nèi)部的綜合防范能力,減少內(nèi)網(wǎng)攻擊事件的發(fā)生。
1.2主機安全
主機安全是網(wǎng)站群系統(tǒng)安全的保障??梢圆捎秒p機熱備的方式來解決主機冗余問題。但是,由于網(wǎng)站群系統(tǒng)應(yīng)用的重要性和網(wǎng)絡(luò)安全的復(fù)雜性,為提高主機安全能力,還需要構(gòu)建主機集群環(huán)境,以保障網(wǎng)站群系統(tǒng)的持續(xù)運行。目前,高職院校為提高數(shù)據(jù)中心的利用率和采購運行成本,通常會采用服務(wù)器虛擬化軟件規(guī)劃虛擬數(shù)據(jù)中心。在該環(huán)境中,統(tǒng)一存儲設(shè)備部署在后端,為物理服務(wù)器(虛擬主機)提供空間資源,并為前端虛擬機提供數(shù)據(jù)存儲資源;數(shù)臺高性能服務(wù)器作為虛擬主機,隨時劃分前端虛擬機,并提供虛擬機所需的CPU、內(nèi)存資源、存儲器訪問權(quán)和網(wǎng)絡(luò)連接能力,滿足各項應(yīng)用的服務(wù)器需求。采用虛擬機(VM)部署網(wǎng)站群雙機熱備,在降低采購成本的同時,提高了網(wǎng)站群主機的靈活性、冗余保障和容災(zāi)遷移能力,保障網(wǎng)站群主機操作系統(tǒng)的安全需求。為了減少網(wǎng)站群所在虛擬主機(物理服務(wù)器)的單點故障,實現(xiàn)網(wǎng)站群系統(tǒng)的不間斷運行,我們利用vSphere集群功能,在虛擬數(shù)據(jù)中心內(nèi),配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個集群中在資源許可的情況下,將一臺出現(xiàn)故障的虛擬主機上面的網(wǎng)站群虛擬機切換到集群中另一臺虛擬主機上運行(如192.168.0.116和192.168.0.118)。應(yīng)用業(yè)務(wù)時間間斷由VM系統(tǒng)啟動時間、應(yīng)用啟動時間、心跳檢測時間構(gòu)成。
1.3備份和恢復(fù)
數(shù)據(jù)資料是整個網(wǎng)站群系統(tǒng)運作的核心,建立良好的備份和恢復(fù)機制,可以在應(yīng)用系統(tǒng)遭受攻擊時,盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。以往,為降低備份容災(zāi)成本,會采用純軟件模式,通過編輯腳本文件,連接兩臺熱備服務(wù)器,將數(shù)據(jù)實時復(fù)制到另一臺服務(wù)器上,如果一臺服務(wù)器出現(xiàn)故障,可以及時切換到另一臺服務(wù)器,避免了磁盤陣列的單點故障。在網(wǎng)絡(luò)安全的新形勢下,為實現(xiàn)應(yīng)用數(shù)據(jù)及業(yè)務(wù)存儲系統(tǒng)的完整性和可靠性,我們在網(wǎng)絡(luò)拓樸的DMZ區(qū)域,接入存儲備份一體機(浙江醫(yī)藥高等專科學校采用SymantecBE3600),構(gòu)建高可用性的存儲備份環(huán)境。利用其存儲空間及備份管理系統(tǒng),實現(xiàn)有效的異地備份,為網(wǎng)站群的容災(zāi)備份提供了進一步的安全保障。通過制定備份策略,選擇合適的備份頻率,采用完全備份、增量備份、差分備份或按需備份的組合方式,確保及時恢復(fù)失敗的網(wǎng)站群虛擬機,快速恢復(fù)丟失的應(yīng)用程序服務(wù),全面提升網(wǎng)站群的數(shù)據(jù)安全及備份恢復(fù)能力,避免在各種極端情況下造成的重大損失和惡劣影響。
1.4安全審計
網(wǎng)站群要達到可控性與可審查性,就必須對站點的訪問活動進行多層次的記錄。安全審計是網(wǎng)站群主機安全和應(yīng)用安全中的重要環(huán)節(jié),審計范圍要覆蓋到主機上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶,審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等安全相關(guān)事件,及時發(fā)現(xiàn)非法入侵行為。以旁路方式部署了一臺審計設(shè)備,并接入核心交換。審計設(shè)備通過對交換機的鏡像口進行旁路監(jiān)聽。網(wǎng)站群系統(tǒng)管理員可通過B/S方式使用日志管理綜合審計系統(tǒng),從網(wǎng)絡(luò)運行維護、數(shù)據(jù)庫安全及系統(tǒng)安全審計等方面,采集所有網(wǎng)站群的數(shù)據(jù)庫訪問行為記錄,收集客觀、實時的分析數(shù)據(jù)。一旦發(fā)生網(wǎng)站群網(wǎng)絡(luò)信息安全事件,系統(tǒng)管理員可根據(jù)網(wǎng)站群用戶對數(shù)據(jù)庫系統(tǒng)的所有操作信息,進行準確快速定位,并排除安全隱患。此外,為確保安全審計,還應(yīng)要求網(wǎng)站群開發(fā)人員去除或隱藏程序中的刪除日志功能。
1.5安全測試與配置
由于網(wǎng)絡(luò)安全不是絕對的,因此,在建立技術(shù)防范體系后,我們按照《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》中的第二級基本要求,對網(wǎng)站群的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)進行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數(shù)據(jù)完整性和保密性,從而確保信息和管理安全。我們采用Centos和Oracle來構(gòu)建網(wǎng)站群的操作系統(tǒng)和數(shù)據(jù)庫環(huán)境,相關(guān)配置如下:
1.5.1身份鑒別良好的身份認證體系可防止攻擊者假冒合法用戶。為此,須對登錄操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)站群的用戶進行身份標識和鑒別,操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理用戶身份標識應(yīng)具有不易冒用的特點,并確保用戶名具有惟一性。因此,我們做了相關(guān)配置:編輯操作系統(tǒng)文件etc/login.defs文件,應(yīng)達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數(shù)PASS_MIN_DAYS0#新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數(shù)PASS_MIN_LEN6#最小密碼長度6編輯操作系統(tǒng)文件/etc/pam.d/system-auth文件,應(yīng)達到密碼復(fù)雜度要求,如:passwordrequisitepam_cracklib.sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數(shù)字、至少包含2個特殊字符數(shù)編輯操作系統(tǒng)文件etc/pam.d/system-auth文件,采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施,實現(xiàn)登錄失敗處理功能。如:authrequiredpam_tally.soonerr=faildeny=6un-lock_time=300#設(shè)置密碼連續(xù)錯誤6次鎖定,鎖定時間300s。對于數(shù)據(jù)庫的身份鑒別,我們通過配置Oracle公司提供的驗證密碼復(fù)雜度的函數(shù)來實現(xiàn)。對于網(wǎng)站群系統(tǒng),后臺管理用戶密碼復(fù)雜度設(shè)置高級別,對密碼的長度、大小寫、特殊字符都方面都要做要求,同時設(shè)置口令有效期。
1.5.2訪問控制訪問控制更側(cè)重于管理層面,要求操作系統(tǒng)和數(shù)據(jù)庫管理帳號和實際操作都必須為不同人員。我們制定相關(guān)崗位職責文件,實現(xiàn)權(quán)限分離,責任分離。如:依據(jù)安全策略控制用戶對資源的訪問;實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶權(quán)限期的分離;限制默認帳戶的訪問權(quán)限,重命名系統(tǒng)默認帳戶,修改帳戶的默認口令;應(yīng)及時刪除多余的、過期的帳戶,避免共享帳戶的存在。此外,我們對網(wǎng)站群的角色權(quán)限進行細分,做到權(quán)限相互制約。如超級管理員具有所有功能的操作權(quán)限,二級網(wǎng)站管理員只能具有自己站點的操作權(quán)限,審計員只能查看安全日志。
1.5.3入侵防范做好入侵防范措施。在操作系統(tǒng)方面,我們遵循最小安裝的原則,僅安裝需要的組件和應(yīng)用程序,使得端口和服務(wù)實現(xiàn)最小化;通過對安全漏洞的周期檢查,設(shè)置升級服務(wù)器等方式保持系統(tǒng)補丁及時得到更新,從而使絕大多數(shù)攻擊無效。
1.5.4資源控制系統(tǒng)資源控制主要指終端接入的方式、IP地址范圍及登錄次數(shù)限制。我們做了相關(guān)配置。
2網(wǎng)站群安全防范措施
單純期望某一個安全技術(shù)或體系架構(gòu)就能夠全面消除或解決網(wǎng)絡(luò)安全威脅和風險的想法是不現(xiàn)實的。高職院校網(wǎng)站安全問題突出,還歸結(jié)于學校對網(wǎng)站安全不重視,網(wǎng)站信息保護意識差,網(wǎng)站日常維護缺失,等。我們只能通過大量實踐,在網(wǎng)絡(luò)安全實戰(zhàn)對抗中不斷完善,明確責任和義務(wù),建立管理制度和安全制度。管理是網(wǎng)絡(luò)安全的重要部分,在對網(wǎng)站群部署進行有效的安全風險(安全威脅)識別和評估后,我們還圍繞技術(shù)層面、組織層面、管理層面、服務(wù)層面,完善網(wǎng)站群安全防范措施。建立學校、部門兩級運行維護的組織體系,按集中建站、分級管理、制度約束、服務(wù)保障的原則,通過統(tǒng)一策劃、統(tǒng)一標準、統(tǒng)一資源、統(tǒng)一平臺來實現(xiàn)集中建站。按照國家有關(guān)規(guī)章制度和安全辦法(策略),形成制度約束機制,確保網(wǎng)站群在高效、安全、有序的體系下運作。理順管理體制與職責,構(gòu)建主站和子站間的垂直管理體系,制定網(wǎng)站群管理辦法、建立網(wǎng)站群管理和信息員制度、制定安全規(guī)范及操作手冊、建立內(nèi)容管理與審核制度、明確各網(wǎng)站內(nèi)容管理與運行管理崗位職責、規(guī)范工作流程、完善信息等環(huán)節(jié),全面做好網(wǎng)站群安全管理工作。通過提升服務(wù)管理水平,構(gòu)建健全的網(wǎng)站群服務(wù)體系。我們參考ISO/IEC20000-1采用的PDCA方法論,從規(guī)劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手,根據(jù)學校技術(shù)、政策和資源等實際環(huán)境,加強安全服務(wù)管理,確保網(wǎng)站群服務(wù)水平。并參考信息安全服務(wù)體系,從安全評估服務(wù)、安全修復(fù)服務(wù)、安全保障服務(wù)、安全信息服務(wù)、安全培訓(xùn)服務(wù)、數(shù)據(jù)恢復(fù)服務(wù)、產(chǎn)品集成服務(wù)八個方面,加強安全服務(wù)。
3網(wǎng)站群保障體系構(gòu)建效果
[關(guān)鍵詞]校園網(wǎng)安全分析解決方案
一、校園網(wǎng)絡(luò)安全隱患綜合分析
1.物理層的安全問題
校園網(wǎng)需要各種設(shè)備的支持,而這些設(shè)備分布在各種不同的地方,管理困難。其中任何環(huán)節(jié)上的失誤都有可能引起校園網(wǎng)的癱瘓,如室外通信光纜、電纜等,分布范圍廣,不能封閉式管理;室內(nèi)設(shè)備也可能發(fā)生被盜、損壞等情況。
物理層的安全問題是指由于網(wǎng)絡(luò)設(shè)備的放置不合適或者防范措施不得力,使得網(wǎng)絡(luò)設(shè)備,光纜和雙絞線等遭受意外事故或人為破壞,造成校園網(wǎng)不能正常運行。物理安全是制訂校園網(wǎng)安全解決方案時首先應(yīng)考慮的問題。
2.系統(tǒng)和應(yīng)用軟件存在的漏洞威脅
在校園網(wǎng)中使用的操作系統(tǒng)和應(yīng)用軟件千差萬別,這些威脅,而且網(wǎng)絡(luò)用戶濫用某些共享軟件也會導(dǎo)致計算機可能成為黑客攻擊校園網(wǎng)的后門。
3.計算機病毒入侵和黑客攻擊
計算機病毒是校園網(wǎng)安全最大的威脅因素,有著巨大的破壞性。尤其是通過計算機網(wǎng)絡(luò)傳播的病毒,其傳播速度快、影響大、殺毒難等都不是單機病毒所能相比的。校園網(wǎng)在接入Internet后,便面臨著內(nèi)部和外部黑客雙重攻擊的危險,尤以內(nèi)部攻擊為主。由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,特別是在校學生,學校不能有效的規(guī)范和約束學生的上網(wǎng)行為,學生會經(jīng)常的監(jiān)聽或掃描學校網(wǎng)絡(luò),因此來自內(nèi)部的安全威脅更難應(yīng)付。
4.內(nèi)部用戶濫用網(wǎng)絡(luò)資源
校園網(wǎng)內(nèi)部用戶對校園網(wǎng)資源的濫用,有的校園網(wǎng)用戶利用校園網(wǎng)資源提供視頻、音頻、軟件等資源下載,占用了大量的網(wǎng)絡(luò)帶寬。特別是近幾年興起的BT、電騾等的泛濫使用占用了大量的網(wǎng)絡(luò)帶寬,給正常的校園網(wǎng)應(yīng)用帶來了極大的威脅。
二、采取安全控制策略
1.硬件安全策略
硬件安全是網(wǎng)絡(luò)安全最重要的部分,要保證校園網(wǎng)絡(luò)正常,首先要保證硬件能夠正常使用。通常情況下可采取的措施主要有:減少自然災(zāi)害(如火災(zāi)、水災(zāi)、地震等)對計算機硬件及軟件資源的破壞,減少外界環(huán)境(如溫度、濕度、灰塵、供電系統(tǒng)、外界強電磁干擾等)對網(wǎng)絡(luò)信息系統(tǒng)運行可靠性造成的不良影響。
2.訪問控制策略
訪問控制方面的策略任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用或訪問。包括入侵監(jiān)測控制策略、服務(wù)器訪問控制策略、防火墻控制策略等多個方面的內(nèi)容。
(1)防火墻控制策略
防火墻控制策略維護網(wǎng)絡(luò)安全最重要的手段。防火墻是具有網(wǎng)絡(luò)安全功能的路由器,對網(wǎng)絡(luò)提供的服務(wù)和訪問定義,并實現(xiàn)更大的安全策略。它通常用來保護內(nèi)部網(wǎng)絡(luò)不受來自外部的非法或非授權(quán)侵入的邏輯裝置。
(2)入侵監(jiān)測控制策略
入侵監(jiān)測控制策略就是使用入侵監(jiān)測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)測。入侵檢測系統(tǒng)(IntrusionDetectionSystems)專業(yè)上講就是依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。
(3)服務(wù)器訪問控制策略
服務(wù)器和路由器這樣的網(wǎng)絡(luò)基礎(chǔ)設(shè)備,避免非法入侵的有效方法是去掉不必要的網(wǎng)絡(luò)訪問,在所需要的網(wǎng)絡(luò)訪問周圍建立訪問控制。另外對用戶和賬戶進行必要的權(quán)限設(shè)置。一是要限制數(shù)據(jù)庫管理員用戶的數(shù)量和給用戶授予其所需要的最小權(quán)限。二是取消默認賬戶不需要的權(quán)限選擇合適的賬戶連接到數(shù)據(jù)庫。
3.病毒防護策略
病毒主要由數(shù)據(jù)破壞和刪除、后門攻擊、拒絕服務(wù)、垃圾郵件傳播幾種方式的對網(wǎng)絡(luò)進行傳播和破壞,照成線路堵塞和數(shù)據(jù)丟失損毀。那么建立統(tǒng)一的整體網(wǎng)絡(luò)病毒防范體系是對校園網(wǎng)絡(luò)整體有效防護的解決辦法。
4.不良信息的防護策略
Internet上存在大量的不良信息,校園網(wǎng)絡(luò)因為Internet連接,學生有可能無意中接觸這些信息而在校園網(wǎng)上傳播,造成惡劣的影響??梢园惭b非法信息過濾系統(tǒng),設(shè)置非法IP過濾和非法字段過濾有效屏蔽Internet上的不良信息。
5.建立安全評估策略
校園網(wǎng)絡(luò)安全不能僅僅依靠防火墻和其他網(wǎng)絡(luò)安全技術(shù),而需要仔細考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。使用安全評估工具是進行安全評估的一種手段,可以對各方面進行檢測和反饋信息收集,進而制定策略。
三、結(jié)束語
高校校園網(wǎng)絡(luò)的安全性越來越受到重視,網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性,以及信息系統(tǒng)的脆弱性,決定了高校校園的網(wǎng)絡(luò)不能僅僅依靠防火墻,而涉及到管理和技術(shù)等方方面面。需要仔細考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個高效、通用、安全的校園網(wǎng)絡(luò)系統(tǒng)。
參考文獻:
[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.
[2]張武軍,李雪安.高校校園網(wǎng)安全整體解決方式研究[J].電子科技,2006,(3):64-67.
[3],王紀鳳,尚玉蓮,等.防火墻與入侵監(jiān)測系統(tǒng)在高校校園網(wǎng)中的應(yīng)用[J].泰山醫(yī)學院學報,2007,(11):906-907.
一、消防信息化建設(shè)的主要內(nèi)容
1.1消防信息化的范疇
消防信息化是利用先進可靠、實用有效的現(xiàn)代計算機、網(wǎng)絡(luò)及通信技術(shù)對消防信息進行采集、儲存、處理、分析和挖掘,以實現(xiàn)消防信息資源和基礎(chǔ)設(shè)施高程度、高效率、高效益的共享與共用的過程。
消防信息化建設(shè)的范疇包括通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、信息系統(tǒng)建設(shè)及應(yīng)用、安全保障體系建設(shè)、運行管理體系建設(shè)和標準規(guī)范體系建設(shè)等內(nèi)容。
1.2通信網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)
全國消防通信網(wǎng)絡(luò)從邏輯上分為三級:一級網(wǎng)是從部消防局到各省(區(qū)、市)消防總隊以及相關(guān)的消防科研機構(gòu)和消防院校;二級網(wǎng)是各省(區(qū)、市)消防總隊到市(地、州)消防支隊;三級網(wǎng)是各市(地、州)消防支隊到基層消防大隊及中隊。對北京、上海、天津、重慶等直轄市,二級網(wǎng)和三級網(wǎng)可合并考慮。每一級網(wǎng)絡(luò)所在機關(guān)均應(yīng)建設(shè)本級局域網(wǎng)。
1.3安全保障體系建設(shè)
安全保障體系是實現(xiàn)公安消防機構(gòu)信息共享、快速反應(yīng)和高效運行的重要保證。安全保障體系首先應(yīng)保證網(wǎng)絡(luò)的安全、可靠運行,在此基礎(chǔ)上保證應(yīng)用系統(tǒng)和業(yè)務(wù)的保密性、完整性和高度的可用性,同時為將來的應(yīng)用提供可擴展的空間。安全保障體系建設(shè)的基本要求是:
(1)保障網(wǎng)絡(luò)安全、可靠、持續(xù)運行,能夠防止來自外部的惡意攻擊和內(nèi)部的惡意破壞;
(2)保障信息的完整性、機密性和信息訪問的不可否認性,要求采取必要的信息加密、信息訪問控制、訪問權(quán)限認證等措施;
(3)提供容災(zāi)、容錯等風險保障;
(4)在確保安全的條件下盡量為網(wǎng)絡(luò)應(yīng)用提供方便,實行全網(wǎng)統(tǒng)一的身份認證和基于角色的訪問控制;
(5)建立完備的安全管理制度。
二、消防信息化建設(shè)中面臨的網(wǎng)絡(luò)安全問題
2.1計算機網(wǎng)絡(luò)安全的定義
從狹義的保護角度來看,計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害;從其本質(zhì)上來講就是系統(tǒng)上的信息安全。
從廣義來說,凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。
2.2網(wǎng)絡(luò)系統(tǒng)的脆弱性
2.2.1操作系統(tǒng)安全的脆弱性
操作系統(tǒng)不安全,是計算機不安全的根本原因。主要表現(xiàn)在:
(1)操作系統(tǒng)結(jié)構(gòu)體制本身的缺陷;
(2)操作系統(tǒng)支持在網(wǎng)絡(luò)上傳輸文件、加載與安裝程序,包括可執(zhí)行文件;
(3)操作系統(tǒng)不安全的原因還在于創(chuàng)建進程,甚至可以在網(wǎng)絡(luò)的結(jié)點上進行遠程的創(chuàng)建和激活;
(4)操作系統(tǒng)提供網(wǎng)絡(luò)文件系統(tǒng)(NFS)服務(wù),NFS系統(tǒng)是一個基于RPC的網(wǎng)絡(luò)文件系統(tǒng),如果NFS設(shè)置存在重大問題,則幾乎等于將系統(tǒng)管理權(quán)拱手交出;
(5)操作系統(tǒng)安排的無口令人口,是為系統(tǒng)開發(fā)人員提供的邊界入口,但這些入口也可能被黑客利用;
(6)操作系統(tǒng)還有隱蔽的信道,存在潛在的危險。
2.2.2網(wǎng)絡(luò)安全的脆弱性
由于Internet/Intmnet的出現(xiàn),網(wǎng)絡(luò)安全問題更加嚴重??梢哉f,使用TCP/IP協(xié)議的網(wǎng)絡(luò)所提供的FTP、E-Mail、RPC和NFS都包含許多不安全的因素,存在許多漏洞。
同時,網(wǎng)絡(luò)的普及使信息共享達到了一個新的層次,信息被暴露的機會大大增多。Intemet網(wǎng)絡(luò)就是一個不設(shè)防的開放大系統(tǒng),誰都可以通過未受保護的外部環(huán)境和線路訪問系統(tǒng)內(nèi)部,隨時可能發(fā)生搭線竊聽、遠程監(jiān)控、攻擊破壞。
2.2.3數(shù)據(jù)庫管理系統(tǒng)安全的脆弱性
當前,大量的信息存儲在各種各樣的數(shù)據(jù)庫中,而這些數(shù)據(jù)庫系統(tǒng)在安全方面的考慮卻很少。而且,數(shù)據(jù)庫管理系統(tǒng)安全必須與操作系統(tǒng)的安全相配套。
2.2.4防火墻的局限性
盡管利用防火墻可以保護安全網(wǎng)免受外部黑客的攻擊,但它只能提高網(wǎng)絡(luò)的安全性,不可能保證網(wǎng)絡(luò)絕對安全。
2.3基于消防通信網(wǎng)絡(luò)進行入侵的常用手段分析
由于消防工作的社會性,消防信息化建設(shè)很重要的一方面就是利用信息化手段強化為社會服務(wù)的功能,積極通過網(wǎng)絡(luò)媒體為社會提供各類消防信息,如消防法律法規(guī)、消防知識等,促進消防工作社會化;在網(wǎng)上受理消防業(yè)務(wù),公布依法行政的有關(guān)信息,為社會提供服務(wù),增強群眾對消防工作的滿意度。在利用網(wǎng)絡(luò)提高工作效率和簡化日常工作流程的同時,也面臨許多信息安全方面的問題,主要表現(xiàn)在:
2.3.1內(nèi)部資料被竊取
現(xiàn)在消防機關(guān)上傳下達的各種資料基本上都要先經(jīng)過電腦錄入并打印后再送發(fā)出去,電腦內(nèi)一般都留有電子版的備份,若此電腦直接接入局域網(wǎng)或Intemet,就有可能受到來自內(nèi)部或外部人員的威脅,其主要方式有:
(1)利用系統(tǒng)漏洞入侵,瀏覽、拷貝甚至刪除重要文件。前段時間在安全界流行一個名為DCOMRPC的漏洞,其涉及范圍非常之廣,從WindowsNT4.0、Windows2000、WindowsXP到WindowsServer2003。由于MicrosoftRPC的DCOM(分布式組件對象模塊)接口存在緩沖區(qū)溢出缺陷,如果攻擊者成功利用了該漏洞,將會獲得本地系統(tǒng)權(quán)限,并可以在系統(tǒng)上運行任何命令,如安裝程序,查看或更改、刪除數(shù)據(jù)或是建立系統(tǒng)管理員權(quán)限的帳戶等。目前關(guān)于該漏洞的攻擊代碼已經(jīng)涉及到的相應(yīng)操作系統(tǒng)和版本已有48種之多,其危害性可見一斑;
(2)電腦操作人員安全意識差,系統(tǒng)配置疏忽大意,隨意共享目錄;系統(tǒng)用戶使用空口令,或?qū)⑾到y(tǒng)帳號隨意轉(zhuǎn)借他人,都會導(dǎo)致重要內(nèi)容被非法訪問,甚至丟失系統(tǒng)控制權(quán)。
2.3.2Web服務(wù)被非法利用
據(jù)統(tǒng)計,目前全國各級公安消防部門在因特網(wǎng)上已建立近100個網(wǎng)站,提供消防法規(guī)、危險物品基礎(chǔ)數(shù)據(jù)、產(chǎn)品質(zhì)量信息、消防技術(shù)標準等重要信息,部分支隊還對轄區(qū)內(nèi)重點單位開辟網(wǎng)上受理業(yè)務(wù)服務(wù),極大地提高了工作效率,但基于網(wǎng)頁的入侵及欺詐行為也在威脅著網(wǎng)站數(shù)據(jù)的安全性及可信性。其主要表現(xiàn)在:
(1)Web頁面欺詐
許多提供各種法律法規(guī)及相關(guān)專業(yè)數(shù)據(jù)查詢的站點都提供了會員服務(wù),這些會員一般需要繳納一定的費用才能正式注冊成為會員,站點允許通過信用卡在線付費的形式注冊會員。攻擊者可以通過一種被稱為Man-In-the-Middle的方式得到會員注冊中的敏感信息。
攻擊者可通過攻擊站點的外部路由器,使進出方的所有流量都經(jīng)過他。在此過程中,攻擊者扮演了一個人的角色,在通信的受害方和接收方之間傳遞信息。人是位于正在同心的兩臺計算機之間的一個系統(tǒng),而且在大多數(shù)情況下,它能在每個系統(tǒng)之間建立單獨的連接。在此過程中,攻擊者記錄下用戶和服務(wù)器之間通信的所有流量,從中挑選自己感興趣的或有價值的信息,對用戶造成威脅。
(2)CGI欺騙
CGI(CommonGatewayInterface)即通用網(wǎng)關(guān)接口,許多Web頁面允許用戶輸入信息,進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點,這些一般都通過執(zhí)行CGI程序來完成。一些配置不當或本身存在漏洞的CGI程序,能被攻擊者利用并執(zhí)行一些系統(tǒng)命令,如創(chuàng)建具有管理員權(quán)限的用戶,開啟共享、系統(tǒng)服務(wù),上傳并運行木馬等。在奪取系統(tǒng)管理權(quán)限后,攻擊者還可在系統(tǒng)內(nèi)安裝嗅探器,記錄用戶敏感數(shù)據(jù),或隨意更改頁面內(nèi)容,對站點信息的真實性及可信性造成威脅。
(3)錯誤和疏漏
Web管理員、Web設(shè)計者、頁面制作人員、Web操作員以及編程人員有時會無意中犯一些錯誤,導(dǎo)致一些安全問題,使得站點的穩(wěn)定性下降、查詢效率降低,嚴重的可導(dǎo)致系統(tǒng)崩潰、頁面被篡改、降低站點的可信度。
2.3.3網(wǎng)絡(luò)服務(wù)的潛在安全隱患
一切網(wǎng)絡(luò)功能的實現(xiàn),都基于相應(yīng)的網(wǎng)絡(luò)服務(wù)才能實現(xiàn),如IIS服務(wù)、FTP服務(wù)、E-Mail服務(wù)等。但這些有著強大功能的服務(wù),在一些有針對性的攻擊面前,也顯得十分脆弱。以下列舉幾種常見的攻擊手段。
(1)分布式拒絕服務(wù)攻擊
攻擊者向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息,使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。對任何連接到Intemet上并提供基于TCP的網(wǎng)絡(luò)服務(wù)(如Web服務(wù)器、FrP服務(wù)器或郵件服務(wù)器)的系統(tǒng)都有可能成為被攻擊的目標。大多數(shù)情況下,遭受攻擊的服務(wù)很難接收進新的連接,系統(tǒng)可能會因此而耗盡內(nèi)存、死機或產(chǎn)生其他問題。
(2)口令攻擊
基于網(wǎng)絡(luò)的辦公過程中不免會有利用共享、FTP或網(wǎng)頁形式來傳送一些敏感文件,這些形式都可以通過設(shè)置密碼的方式來提高文件的安全性,但多數(shù)八會使用一些諸如123、work、happy等基本數(shù)字或單詞作為密碼,或是用自己的生日、姓名作為口令,由于人們主觀方面的原因,使得這些密碼形同虛設(shè),攻擊者可通過詞典、組合或暴力破解等手段得到用戶密碼,從而達到訪問敏感信息的目的。
(3)路由攻擊
攻擊者可通過攻擊路由器,更改路由設(shè)置,使得路由器不能正常轉(zhuǎn)發(fā)用戶請求,從而使得用戶無法訪問外網(wǎng)?;蛳蚵酚善靼l(fā)送一些經(jīng)過精心修改的數(shù)據(jù)包使得路由器停止響應(yīng),斷開網(wǎng)絡(luò)連接。
三、消防信息化建設(shè)中解決網(wǎng)絡(luò)安全問題的對策
3.1規(guī)范管理流程
網(wǎng)絡(luò)安全工作是信息化工作中的一個方面,信息化工作與規(guī)范化工作的根本目的一樣,就是要提高工作效率,只不過改變了規(guī)范化的手段。因此,在實行信息化的過程中,管理有著比技術(shù)更重要的作用,只有優(yōu)化管理過程、強化管理基礎(chǔ)、細化管理流程、簡化管理冗余環(huán)節(jié)、提高管理效率,才能在達到信息化目的的同時,完善網(wǎng)絡(luò)安全建設(shè)。
3.2構(gòu)建管理支持層
信息化是一項系統(tǒng)性工程,其實施自始至終需要單位最高層領(lǐng)導(dǎo)的重視和支持,包括對工作流程再造的支持、對協(xié)調(diào)各部門統(tǒng)一開展工作的支持、對軟件普及和培訓(xùn)的支持。在實際工作中,應(yīng)當建一個“信息化建設(shè)領(lǐng)導(dǎo)小組”,由各部門部長擔任成員,下設(shè)具體辦事部門,具體負責網(wǎng)絡(luò)建設(shè)和信息安全工作,這是一種較理想的做法。但要真正發(fā)揮其作用,促使信息工作的順利開展,不僅需要領(lǐng)導(dǎo)的重視,更重要的是需要負責人有能力充分協(xié)調(diào)與溝通各業(yè)務(wù)部門開展工作,更要與其他部門負責人有良好的協(xié)調(diào)配合關(guān)系。
3.3制定網(wǎng)絡(luò)安全管理制度
加強計算機網(wǎng)絡(luò)安全管理的法規(guī)建設(shè),建立、健全各項管理制度是確保計算機網(wǎng)絡(luò)安全必不可少的措施。如制定人員管理制度,加強人員審查;組織管理上,避免單獨作業(yè),操作與設(shè)計分離等。
3.4采取有效的安全技術(shù)措施
就當前消防信息化建設(shè)的程度來看,網(wǎng)絡(luò)的應(yīng)用主要體現(xiàn)在局域網(wǎng)服務(wù)、Web服務(wù)和數(shù)據(jù)庫服務(wù)上。應(yīng)當避免與Internet連接直接接入,而是配置一臺安全的服務(wù)器,整個局域網(wǎng)通過這個上網(wǎng),這樣上網(wǎng)的終端在Internet上是沒有真實IP的,能避免大多數(shù)的常規(guī)攻擊。對基于Web服務(wù)的網(wǎng)上辦公、電子政務(wù),應(yīng)當安裝經(jīng)公安部安全認證的網(wǎng)絡(luò)防火墻,由專人負責,盡量少開無用的服務(wù),對系統(tǒng)用戶的數(shù)量和權(quán)限做嚴格限制,并可采用授權(quán)證書訪問或IP限制訪問,增強站點的安全性。在數(shù)據(jù)庫方面,現(xiàn)消防部門主要應(yīng)用Microsoft的Access,此數(shù)據(jù)庫的網(wǎng)絡(luò)功能主要基于ASP、PHP等動態(tài)網(wǎng)頁平臺來實現(xiàn),通過SQL查詢語句與頁面進行交互,在保證系統(tǒng)不被侵入、數(shù)據(jù)庫不能被直接下載的前提下,數(shù)據(jù)安全主要由頁面查詢語句的嚴密性來保證。除Access之外,應(yīng)用較多的是Microsoft的SQLServer和Oracle,這兩套數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)功能很強大,其安全性首先需要一個專業(yè)的數(shù)據(jù)庫操作員,對數(shù)據(jù)庫進行正確的配置、限制數(shù)據(jù)庫用戶的數(shù)量、根據(jù)用戶的職責范圍設(shè)定權(quán)限、對敏感數(shù)據(jù)進行加密、定時備份數(shù)據(jù)庫,保證數(shù)據(jù)的連續(xù)性和完整性。
1.1對不同接入者權(quán)限的區(qū)分企業(yè)網(wǎng)絡(luò)中的接入者應(yīng)用目的是不相同的,有些必須接入互聯(lián)網(wǎng),而有些設(shè)備不能接入互聯(lián)網(wǎng);有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設(shè)多套網(wǎng)絡(luò)。通常的做法是通過3層交換機劃分虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)來區(qū)分不同的網(wǎng)段,與防火墻等網(wǎng)絡(luò)控制設(shè)備配合來實現(xiàn)有關(guān)功能。
1.2安全審計功能通過在網(wǎng)絡(luò)旁路掛載的方式,對網(wǎng)絡(luò)進行監(jiān)聽,捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包,還原出完整的協(xié)議原始信息,并準確記錄網(wǎng)絡(luò)訪問的關(guān)鍵信息,從而實現(xiàn)網(wǎng)絡(luò)訪問記錄、郵件訪問記錄、上網(wǎng)時間控制、不良站點訪問禁止等功能。審計設(shè)備安裝后不能影響原有網(wǎng)絡(luò),并需具有提供內(nèi)容安全控制的功能,使網(wǎng)絡(luò)維護人員能夠及時發(fā)現(xiàn)系統(tǒng)漏洞和入侵行為等,從而使網(wǎng)絡(luò)系統(tǒng)性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統(tǒng)SOC(SecurityOperationsCente)r,網(wǎng)管員定時查看日志來分析網(wǎng)絡(luò)狀況,并制定相應(yīng)的策略來維護穩(wěn)定網(wǎng)絡(luò)的安全運行。
1.3外網(wǎng)用戶訪問內(nèi)部網(wǎng)絡(luò)公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內(nèi)網(wǎng)獲取相關(guān)數(shù)據(jù)資料,出于安全和便捷等因素考慮,需要借助虛擬專用網(wǎng)絡(luò)技術(shù)VPN(VirtualPrivateNetwork)來實現(xiàn)。通常的做法是安裝VPN設(shè)備(應(yīng)用網(wǎng)關(guān))來實現(xiàn)。
2網(wǎng)絡(luò)安全設(shè)備的部署與應(yīng)用
通過企業(yè)網(wǎng)絡(luò)安全分析,結(jié)合中小企業(yè)網(wǎng)絡(luò)的實際需求進行設(shè)計,網(wǎng)絡(luò)拓撲如圖1所示。從拓撲圖1可以看出,該網(wǎng)絡(luò)中的核心網(wǎng)絡(luò)設(shè)備為UTM綜合安全網(wǎng)關(guān)。它集成了防病毒、入侵檢測和防火墻等多種網(wǎng)絡(luò)安全防護功能,從而成為統(tǒng)一威脅管理UTM(UnifiedThreatManagement)綜合安全網(wǎng)關(guān)。它是一種由專用硬件、專用軟件和網(wǎng)絡(luò)技術(shù)組成的具有專門用途的設(shè)備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設(shè)備,構(gòu)成一個標準的統(tǒng)一管理平臺[2]。通常,UTM設(shè)備應(yīng)該具備的基本功能有網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)入侵檢測(防御)和網(wǎng)關(guān)防病毒等功能。為使這些功能能夠協(xié)同運作,有效降低操作管理難度,研發(fā)人員會從易于操作使用的角度對系統(tǒng)進行優(yōu)化,提升產(chǎn)品的易用性并降低用戶誤操作的可能性。對于沒有專業(yè)信息安全知識的人員或者技術(shù)力量相對薄弱的中小企業(yè)來說,使用UTM產(chǎn)品可以很方便地提高這些企業(yè)應(yīng)用信息安全設(shè)施的質(zhì)量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網(wǎng)絡(luò)接入和路由轉(zhuǎn)發(fā)功能也可由UTM設(shè)備來實現(xiàn)。因其具有多個接口(即多個網(wǎng)卡),可通過設(shè)定接口組把辦公區(qū)、車間、服務(wù)器組等不同區(qū)域劃分成不同的網(wǎng)段;通過對不同網(wǎng)段設(shè)定不同的訪問規(guī)則,制定不同的訪問策略,來實現(xiàn)非軍事化區(qū)DMZ(demilitarizedzone)、可信任區(qū)以及非信任區(qū)的劃分,從而有效增強網(wǎng)絡(luò)的安全性和穩(wěn)定性。
對于上網(wǎng)行為的管理,可以通過內(nèi)置UTM設(shè)備的功能來實現(xiàn)管控,并可以實現(xiàn)Web過濾以及安全審計功能.1可以訪問互聯(lián)網(wǎng),而車間2不能訪問互聯(lián)網(wǎng)。在辦公區(qū)和部分車間安裝無線AP,可方便人員隨時接入網(wǎng)絡(luò)。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網(wǎng)絡(luò)的權(quán)限進行區(qū)分管控。市場上還有一些專用的上網(wǎng)行為管理設(shè)備,有條件的單位可進行安裝,用以實現(xiàn)對員工上網(wǎng)行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設(shè)備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業(yè)內(nèi)部網(wǎng)絡(luò),實現(xiàn)高效安全的網(wǎng)絡(luò)應(yīng)用。
3結(jié)束語
一、高職院校網(wǎng)絡(luò)安全問題形成的主要因素
高職院校網(wǎng)絡(luò)信息技術(shù)的發(fā)展較為成功,信息化建設(shè)水平相對較高。但是由于信息網(wǎng)絡(luò)的客觀因素影響,網(wǎng)絡(luò)安全時有發(fā)生。嚴重的影響著高職院校教學工作的順利開展。病毒感染、系統(tǒng)斷網(wǎng)等網(wǎng)絡(luò)安全問題困擾著高職院校的教學發(fā)展。只有確認高職院校網(wǎng)絡(luò)安全問題才能夠進行及時的有效的解決,避免危害的進一步提升。
高職院校網(wǎng)絡(luò)安全問題多樣化,發(fā)生較為頻繁,對高職院校的影響較大,針對這種情況需要不斷的強化高職院校網(wǎng)絡(luò)安全問題的研究。明確其中發(fā)生的根本原因。在網(wǎng)絡(luò)應(yīng)用高峰期是網(wǎng)絡(luò)病毒出現(xiàn)的時候,網(wǎng)絡(luò)病毒一旦影響到計算機的運行,就會造成師生網(wǎng)絡(luò)使用的困擾,降低計算機運行速度,影響工作效率,教學質(zhì)量水平不高。伴隨著病毒的侵害會發(fā)生網(wǎng)絡(luò)攻擊事件,服務(wù)器遭受破壞造成的惡意性攻擊會刪改系統(tǒng)程序,這樣就為高職院校網(wǎng)絡(luò)系統(tǒng)辦公造成困擾,為信息化建設(shè)帶來影響。針對這種情況要及時的進行解決,提升網(wǎng)絡(luò)安全運用意識。
造成高職院校網(wǎng)絡(luò)安全的因素具有多樣性特點,但是主要可以區(qū)分為內(nèi)因以及外因兩種。高職院校網(wǎng)絡(luò)安全問題的產(chǎn)生都是這兩種因素導(dǎo)致的。外因?qū)褂嬎銠C出現(xiàn)斷網(wǎng)、停電等情況。這種情況需要時刻的進行注意,做到早知道早預(yù)防。內(nèi)因是高職院校網(wǎng)絡(luò)安全出現(xiàn)的主要因素,由于網(wǎng)絡(luò)設(shè)施更新較慢,不能夠適應(yīng)新時期網(wǎng)絡(luò)需求,網(wǎng)絡(luò)系統(tǒng)建設(shè)抗病毒效果不明顯,師生對于網(wǎng)絡(luò)安全專業(yè)論文應(yīng)用不重視等都是造成高職院校網(wǎng)絡(luò)出現(xiàn)問題的主要因素。
二、提升高職院校網(wǎng)絡(luò)安全的重要措施
為了能夠保證高職院校網(wǎng)絡(luò)正常運行,需要對網(wǎng)絡(luò)存在的安全問題進行確認,明確高職院校網(wǎng)絡(luò)信息技術(shù)的應(yīng)用狀況,不斷提升對于高職院校網(wǎng)絡(luò)運行規(guī)律的研究。網(wǎng)絡(luò)安全建設(shè)水平的提升有助于構(gòu)建完善的網(wǎng)絡(luò)應(yīng)用價值取向。促進安全指導(dǎo)工作的正常進行。
宣傳網(wǎng)絡(luò)安全應(yīng)用理念,推動高職院校網(wǎng)絡(luò)安全工作的長效健康的開展。網(wǎng)絡(luò)安全工作是高職院校網(wǎng)絡(luò)安全應(yīng)用建設(shè)的重點內(nèi)容,也是未來高職院校網(wǎng)絡(luò)安全應(yīng)用建設(shè)的發(fā)展趨勢。網(wǎng)絡(luò)安全工作的開展需要堅持科學發(fā)展為基礎(chǔ),構(gòu)建安全應(yīng)用價值理念,將高職院校各部門之間的關(guān)系進行確認,實現(xiàn)高職院校網(wǎng)絡(luò)安全工作協(xié)作運行效果。網(wǎng)絡(luò)安全建設(shè)理念創(chuàng)新將會使網(wǎng)絡(luò)安全工作遵循科學發(fā)展規(guī)律,這是高職院校網(wǎng)絡(luò)安全工作重點。
網(wǎng)絡(luò)安全內(nèi)容完善將會推動高職院校網(wǎng)絡(luò)安全工作水平進一步的提升。網(wǎng)絡(luò)安全工作順利開展需要高職院校對網(wǎng)絡(luò)安全工作進行相應(yīng)的宣傳,在根本上能夠認識到高職院校校園網(wǎng)絡(luò)安全工作的重要性,將安全理念融入到網(wǎng)絡(luò)安全管理的過程中,促進校園網(wǎng)絡(luò)安全系統(tǒng)的正常運行。網(wǎng)絡(luò)安全信息理念的應(yīng)用能夠有效的預(yù)防網(wǎng)絡(luò)系統(tǒng)運行過程中故障的出現(xiàn)。高職院校日常管理的過程中注重網(wǎng)絡(luò)安全問題的研究,不斷的完善網(wǎng)絡(luò)安全體系。高職院校要注重網(wǎng)絡(luò)安全的應(yīng)用,將網(wǎng)絡(luò)安全影響作為高職院校發(fā)展的重點項目。針對網(wǎng)絡(luò)安全日常管理的要求,不斷的推動教學安全、信息安全等方面的建設(shè)。這樣能夠不斷的擴充網(wǎng)絡(luò)安全體系建設(shè)內(nèi)容。
整合網(wǎng)絡(luò)安全建設(shè)的模式與方式,提升高職院校網(wǎng)絡(luò)安全建設(shè)的強度和力度這就要求高職院校在開展網(wǎng)絡(luò)安全建設(shè)時,要多元化的促進校園網(wǎng)絡(luò)安全建設(shè)。推動校園網(wǎng)絡(luò)安全模式化發(fā)展。不斷的完善校園網(wǎng)絡(luò)監(jiān)督管理制度,制定合理的管理方式。推動校園網(wǎng)絡(luò)安全制度化運行?,F(xiàn)代高職院校發(fā)展發(fā)展的過程中更加的注重環(huán)節(jié)的影響,完善校園網(wǎng)絡(luò)辦公,根據(jù)自身的需求制定網(wǎng)絡(luò)安全應(yīng)用管理細則。
結(jié)束語:高職院校教學水平的提升需要信息化不斷的完善。高職院校網(wǎng)絡(luò)安全是信息化水平的重要體現(xiàn)。在網(wǎng)絡(luò)安全上需要不斷的強化教學質(zhì)量,這是高職院校必須面對的重大挑戰(zhàn)。高職院校網(wǎng)絡(luò)安全問題的解決需要根據(jù)自身的實際狀況,強化制度建設(shè),制定科學合理的校園網(wǎng)絡(luò)安全機制,充分的發(fā)揮網(wǎng)絡(luò)安全在高職院校教學質(zhì)量提升中的重要作用。不斷的推動高職院校網(wǎng)絡(luò)安全工作可持續(xù)發(fā)展,為高職院校教學工作的順利開展奠定基礎(chǔ),使高職院校綜合水平不斷的提升。
參考文獻: