淺析網(wǎng)絡(luò)系統(tǒng)控制安全措施探究
時(shí)間:
夏浚誠(chéng) 1由 分享
論文關(guān)鍵詞: 網(wǎng)絡(luò)安全 安全需求 措施
論文摘要: 隨著信息的發(fā)展,網(wǎng)絡(luò)安全問題已經(jīng)引起越來越多人的關(guān)注。而校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。隨著校園網(wǎng)應(yīng)用的深入,校園網(wǎng)上各種數(shù)據(jù)急劇增加,結(jié)構(gòu)性不斷提高,用戶對(duì)網(wǎng)絡(luò)性能要求的不斷提高,網(wǎng)絡(luò)安全也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個(gè)極為關(guān)鍵的任務(wù)。從分析校園網(wǎng)信息安全需求入手,就校園網(wǎng)絡(luò)系統(tǒng)控制安全措施提出筆者的幾點(diǎn)淺見。
1 校園網(wǎng)的概念
簡(jiǎn)單地說,校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ),是為學(xué)院教師和學(xué)生提供教學(xué),科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求,校園網(wǎng)必須是一個(gè)寬帶,互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。
2 校園網(wǎng)的特點(diǎn)
校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn):
1)提供高速網(wǎng)絡(luò)連接;2)滿足復(fù)雜的信息結(jié)構(gòu);3)強(qiáng)大的可靠性和安全性保證;4)操作方便,易于管理;5)提供可運(yùn)營(yíng)的特性;6)經(jīng)濟(jì)實(shí)用。
3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求
3.1 用戶安全
用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。
1)管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限,因此對(duì)信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度,例如對(duì)管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì),對(duì)于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作,應(yīng)實(shí)行多人參與措施等等。
2)業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作,嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限,需要對(duì)業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。
3.2 網(wǎng)絡(luò)硬環(huán)境安全
通過調(diào)研分析,初步定為有以下需求:
1)校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處,對(duì)進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離,重點(diǎn)對(duì)源地址為教育網(wǎng),而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2)校園網(wǎng)中,教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3)校園網(wǎng)中,教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4)校園網(wǎng)中,行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5)校園網(wǎng)中,網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6)校園網(wǎng)中,公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7)各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全,即按信息的敏感程度,將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng),例如:專用業(yè)務(wù)子網(wǎng)(財(cái)務(wù)處、教務(wù)處、人事部等)和普通子網(wǎng),對(duì)這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。
3.3 網(wǎng)絡(luò)軟環(huán)境安全
網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對(duì)于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng),如:財(cái)務(wù)處、教務(wù)處、人事處等等,必須確保這些子網(wǎng)的信息安全,包括:防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對(duì)保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控,防止敏感信息被竊取。
3.4 傳輸安全
數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。
4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施
4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離
訪問控制體現(xiàn)在如下幾個(gè)方面:
1)要制訂嚴(yán)格的規(guī)章管理制度:可制定的相應(yīng):《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。
2)要配備相應(yīng)的軟硬件安全設(shè)備:在內(nèi)部網(wǎng)與外部網(wǎng)之間,在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口設(shè)置防火墻。設(shè)置防火墻就是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制,保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和報(bào)警。防火墻主要類型有包過濾型,包過濾防火墻就是利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾,能依據(jù)我們制定安全防范策略來控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,也可實(shí)現(xiàn)網(wǎng)絡(luò)IP地址轉(zhuǎn)換(NAT)、審記與實(shí)時(shí)告警等功能。因?yàn)榉阑饓Π惭b在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上,所有也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。
4.2 通過使用內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制
主要是利用VLAN技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離。可以通過在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域,實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離。因此就能防止影響一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播。對(duì)于某些網(wǎng)絡(luò),一部分局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任,或者某個(gè)網(wǎng)段比另一個(gè)更加敏感,在不同的譏AN段內(nèi)劃分信任網(wǎng)段和不信任網(wǎng)段,就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全部網(wǎng)絡(luò)造成的影響。
4.3 通過使用網(wǎng)絡(luò)安全檢測(cè)
根據(jù)短板原理,可以說網(wǎng)絡(luò)系統(tǒng)的安全性完全取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。最有效的方法就是定時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)準(zhǔn)確發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞,能及時(shí)準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),也能最大限度地保證網(wǎng)絡(luò)系統(tǒng)安全。
網(wǎng)絡(luò)安全檢測(cè)工具是一款網(wǎng)絡(luò)安全性評(píng)估分析軟件,其具備網(wǎng)絡(luò)監(jiān)控、分析功能和自動(dòng)響應(yīng)功能,能及時(shí)找出經(jīng)常發(fā)生問題的根源所在;建立必要的循環(huán)過程確保隱患時(shí)刻被糾正;及時(shí)控制各種網(wǎng)絡(luò)安全危險(xiǎn);進(jìn)行漏洞分析和響應(yīng);進(jìn)行配置分析和響應(yīng);進(jìn)行認(rèn)證和趨勢(shì)分析。
它的主要功能就是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,建議采用補(bǔ)救措施和安全策略,從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
參考文獻(xiàn):
[1]劉俊、姜廣明等,校園網(wǎng)絡(luò)規(guī)劃和實(shí)施[J].沈陽(yáng)化工學(xué)院學(xué)報(bào),2004年第一期.
[2]張俊平,校園網(wǎng)絡(luò)的安全及對(duì)策.浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報(bào)[J].2004.12.
[3]王湘渝、陳立,基于多層防護(hù)的校園網(wǎng)女全體系研究仁[J].計(jì)一算機(jī)安全,2009.8.
論文摘要: 隨著信息的發(fā)展,網(wǎng)絡(luò)安全問題已經(jīng)引起越來越多人的關(guān)注。而校園網(wǎng)作為學(xué)校重要的基礎(chǔ)設(shè)施,擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等許多角色。隨著校園網(wǎng)應(yīng)用的深入,校園網(wǎng)上各種數(shù)據(jù)急劇增加,結(jié)構(gòu)性不斷提高,用戶對(duì)網(wǎng)絡(luò)性能要求的不斷提高,網(wǎng)絡(luò)安全也逐步成為網(wǎng)絡(luò)技術(shù)發(fā)展中一個(gè)極為關(guān)鍵的任務(wù)。從分析校園網(wǎng)信息安全需求入手,就校園網(wǎng)絡(luò)系統(tǒng)控制安全措施提出筆者的幾點(diǎn)淺見。
1 校園網(wǎng)的概念
簡(jiǎn)單地說,校園網(wǎng)絡(luò)是“校校通”項(xiàng)目的基礎(chǔ),是為學(xué)院教師和學(xué)生提供教學(xué),科研等綜合信息服務(wù)的寬帶多媒體。根據(jù)上述要求,校園網(wǎng)必須是一個(gè)寬帶,互動(dòng)功能和高度專業(yè)化的局域網(wǎng)絡(luò)。
2 校園網(wǎng)的特點(diǎn)
校園網(wǎng)的設(shè)計(jì)應(yīng)具備以下特點(diǎn):
1)提供高速網(wǎng)絡(luò)連接;2)滿足復(fù)雜的信息結(jié)構(gòu);3)強(qiáng)大的可靠性和安全性保證;4)操作方便,易于管理;5)提供可運(yùn)營(yíng)的特性;6)經(jīng)濟(jì)實(shí)用。
3 校園網(wǎng)絡(luò)系統(tǒng)信息安全需求
3.1 用戶安全
用戶安全分成兩個(gè)層次即管理員用戶安全和業(yè)務(wù)用戶安全。
1)管理員用戶擁有校園網(wǎng)的最高執(zhí)行權(quán)限,因此對(duì)信息系統(tǒng)的安全負(fù)有最大的執(zhí)行責(zé)任。應(yīng)該制定相應(yīng)的管理制度,例如對(duì)管理員的政治素質(zhì)和網(wǎng)絡(luò)信息安全技術(shù)管理的業(yè)務(wù)素質(zhì),對(duì)于涉及到某大學(xué)的網(wǎng)絡(luò)安全策略配置、調(diào)整、審計(jì)信息調(diào)閱等重要操作,應(yīng)實(shí)行多人參與措施等等。
2)業(yè)務(wù)用戶必須在管理員分配的權(quán)限內(nèi)使用校園網(wǎng)資源和進(jìn)行操作,嚴(yán)禁超越權(quán)限使用資源和泄露、轉(zhuǎn)讓合法權(quán)限,需要對(duì)業(yè)務(wù)人員進(jìn)行崗前安全培訓(xùn)。
3.2 網(wǎng)絡(luò)硬環(huán)境安全
通過調(diào)研分析,初步定為有以下需求:
1)校園網(wǎng)與教育網(wǎng)的網(wǎng)絡(luò)連接安全二需要在連接處,對(duì)進(jìn)/出的數(shù)據(jù)包進(jìn)行訪問控制與隔離,重點(diǎn)對(duì)源地址為教育網(wǎng),而目的地址為某大學(xué)的數(shù)據(jù)包進(jìn)行嚴(yán)格的控制。2)校園網(wǎng)中,教師/學(xué)生宿舍網(wǎng)絡(luò)與其他網(wǎng)絡(luò)連接的網(wǎng)絡(luò)安全。3)校園網(wǎng)中,教學(xué)單位網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。4)校園網(wǎng)中,行政辦公網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。5)校園網(wǎng)中,網(wǎng)絡(luò)管理中心網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。6)校園網(wǎng)中,公眾服務(wù)器所在的網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接安全。7)各個(gè)專用的業(yè)務(wù)子網(wǎng)的安全,即按信息的敏感程度,將各教學(xué)單位的網(wǎng)絡(luò)和行政辦公網(wǎng)絡(luò)劃分為多個(gè)子網(wǎng),例如:專用業(yè)務(wù)子網(wǎng)(財(cái)務(wù)處、教務(wù)處、人事部等)和普通子網(wǎng),對(duì)這些專用業(yè)務(wù)子網(wǎng)提供網(wǎng)絡(luò)連接控制。
3.3 網(wǎng)絡(luò)軟環(huán)境安全
網(wǎng)絡(luò)軟環(huán)境安全即校園網(wǎng)的應(yīng)用環(huán)境安全。對(duì)于一些涉及到有敏感信息的業(yè)務(wù)專用網(wǎng),如:財(cái)務(wù)處、教務(wù)處、人事處等等,必須確保這些子網(wǎng)的信息安全,包括:防病毒、數(shù)據(jù)備份與災(zāi)難恢復(fù)、規(guī)范網(wǎng)絡(luò)通信秩序、對(duì)保存有敏感信息的重要服務(wù)器軟/硬件資源進(jìn)行層次化監(jiān)控,防止敏感信息被竊取。
3.4 傳輸安全
數(shù)據(jù)的傳輸安全,主要是指校園網(wǎng)內(nèi)部的傳輸安全、校園網(wǎng)與教育網(wǎng)之間的數(shù)據(jù)傳輸安全以及校園網(wǎng)與老校區(qū)之間的數(shù)據(jù)傳輸安全。
4 校園網(wǎng)絡(luò)系統(tǒng)控制安全措施
4.1 通過使用訪問控制及內(nèi)外網(wǎng)的隔離
訪問控制體現(xiàn)在如下幾個(gè)方面:
1)要制訂嚴(yán)格的規(guī)章管理制度:可制定的相應(yīng):《用戶授權(quán)實(shí)施細(xì)則》、《口令字及賬戶管理規(guī)范》、《權(quán)限管埋制度》。例如在內(nèi)網(wǎng)辦公系統(tǒng)中使用的用戶登錄及管理模塊就是基于這些制度創(chuàng)建。
2)要配備相應(yīng)的軟硬件安全設(shè)備:在內(nèi)部網(wǎng)與外部網(wǎng)之間,在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口設(shè)置防火墻。設(shè)置防火墻就是實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制,保護(hù)內(nèi)部網(wǎng)安全的最主要、同時(shí)也是最快捷、最節(jié)省的措施之一。防火墻一般具有以下五大基本功能:過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;封堵某些禁止的業(yè)務(wù);記錄通過防火墻的信息內(nèi)容和活動(dòng);對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和報(bào)警。防火墻主要類型有包過濾型,包過濾防火墻就是利用IP和TCP包的頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)的IP包信息進(jìn)行過濾,能依據(jù)我們制定安全防范策略來控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,也可實(shí)現(xiàn)網(wǎng)絡(luò)IP地址轉(zhuǎn)換(NAT)、審記與實(shí)時(shí)告警等功能。因?yàn)榉阑饓Π惭b在被保護(hù)網(wǎng)絡(luò)與路由器之間的通道上,所有也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。
4.2 通過使用內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制
主要是利用VLAN技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離。可以通過在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域,實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離。因此就能防止影響一個(gè)網(wǎng)段的問題穿過整個(gè)網(wǎng)絡(luò)傳播。對(duì)于某些網(wǎng)絡(luò),一部分局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任,或者某個(gè)網(wǎng)段比另一個(gè)更加敏感,在不同的譏AN段內(nèi)劃分信任網(wǎng)段和不信任網(wǎng)段,就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全部網(wǎng)絡(luò)造成的影響。
4.3 通過使用網(wǎng)絡(luò)安全檢測(cè)
根據(jù)短板原理,可以說網(wǎng)絡(luò)系統(tǒng)的安全性完全取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。最有效的方法就是定時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析,及時(shí)準(zhǔn)確發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞,能及時(shí)準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),也能最大限度地保證網(wǎng)絡(luò)系統(tǒng)安全。
網(wǎng)絡(luò)安全檢測(cè)工具是一款網(wǎng)絡(luò)安全性評(píng)估分析軟件,其具備網(wǎng)絡(luò)監(jiān)控、分析功能和自動(dòng)響應(yīng)功能,能及時(shí)找出經(jīng)常發(fā)生問題的根源所在;建立必要的循環(huán)過程確保隱患時(shí)刻被糾正;及時(shí)控制各種網(wǎng)絡(luò)安全危險(xiǎn);進(jìn)行漏洞分析和響應(yīng);進(jìn)行配置分析和響應(yīng);進(jìn)行認(rèn)證和趨勢(shì)分析。
它的主要功能就是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞,建議采用補(bǔ)救措施和安全策略,從而達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
參考文獻(xiàn):
[1]劉俊、姜廣明等,校園網(wǎng)絡(luò)規(guī)劃和實(shí)施[J].沈陽(yáng)化工學(xué)院學(xué)報(bào),2004年第一期.
[2]張俊平,校園網(wǎng)絡(luò)的安全及對(duì)策.浙江工貿(mào)職業(yè)技術(shù)學(xué)院學(xué)報(bào)[J].2004.12.
[3]王湘渝、陳立,基于多層防護(hù)的校園網(wǎng)女全體系研究仁[J].計(jì)一算機(jī)安全,2009.8.