淺議實現教育信息網絡安全的對策

論文類別:計算機論文 > 計算機網絡論文
論文作者: 張彭 李若思 王蓓
上傳時間:2011/9/20 11:20:00

  論文關鍵詞:安全策略 VLAN技術 計算機病毒 網絡資源 共享
  論文摘要:隨著教育信息化向縱深發展,越來越多的業务和數據都通過網絡來传遞和處理,因此教育信息網絡安全問題也日益突出。提高網絡的安全性,建立起一套真正適合教育信息網络的安全體系是時代的需要。
  
  教育信息網絡是教育信息系統运行的載體,是各級教育管理部門之間進行信息交換、實现信息共享的基礎平臺。教育信息网絡安全狀況直接影響著正常工作的運轉。在網絡建成的初期,安全問題可能還不突出,但隨著信息化應用的深入,網絡上的各種數據急劇增加,各種各樣的安全問題開始困擾我們。因此在網絡建设過程中,必須未雨綢繆,及時采取有效的安全措施,防範和清除各種安全隱患和威脅。
  
  一、教育信息網絡面臨的安全威脅
  
  教育信息網絡面臨的安全威脅大體可分為兩種:一是對网絡數據的威脅;二是對網絡設备的威脅。這些威脅可能来源於各種各樣的因素,總結起来,大致有下面幾種:
  
  1、物理因素。从物理上講,教育信息網絡的安全是脆弱的,整個網絡涉及設備分布極為廣泛,任何個人或部門都不可能時刻對這些设備進行全面監控,任何安置在不能上鎖的地方的設施,包括光纜、電纜、局域網、遠程網等都有可能遭到破坏,從而引起網絡的癱瘓,影响正常工作的進行。如果是包含數據的軟盤、光碟、主機等被盜,更會引起數據的丟失和泄露。
  
  2、技術脆弱性因素。目前教育信息网絡中局域網之間遠程互連線路混雜,有電信、廣电、聯通、移動等多家,因此缺乏相應的統一安全機制,在安全可靠、服務質量、帶寬和方便性等方面存在著不適应性。此外,隨著軟件交流規模的不斷增大,系統中的安全漏洞或“後門”也不可避免地存在。
  
  3、操作人員的失誤因素。教育網絡是以用戶为中心的系統。一個合法的用户在系統內可以執行各種操作。管理人員可以通過對用戶的權限分配限定用戶的某些行為,以免故意或非故意地破壞。更多的安全措施必須由使用者来完成。使用者安全意識淡薄,操作不規範是威脅網絡安全的主要因素。
  
  4、管理因素。嚴格的管理是網絡安全的重要措施。事實上,很多網管都疏於這方面的管理,对網絡的管理思想麻痹,網絡管理員配置不当或者網絡應用升級不及時造成的安全漏洞、使用脆弱的用戶口令、隨意使用普通網絡站点下載的軟件、在防火墙內部架設撥號服務器卻沒有對賬号認證等嚴格限制,舍不得投入必要的人力、財力、物力來加強網络的安全管理等等,都造成了網絡安全的隱患。
  
  5、其他因素。一般來說,安全與方便通常是互相矛盾的。有些網管雖然知道自己網絡中存在的安全漏洞以及可能招致的攻擊,但是出於管理協調方面的問題,卻無法去更正。因為是大家一起在管理使用一個網絡,包括用戶數據更新管理、路由政策管理、數據流量统計管理、新服務開發管理、域名和地址管理等等。網絡安全管理只是其中的一部分,並且在服務層次上,處於對其他管理提供服务的地位上。這樣,在與其他管理服務存在沖突的時候,網絡安全往往需要作出讓步。
  
  二、實現教育信息網絡安全的對策
  
  網络安全是指為了保護網絡不受來自网絡內外的各種危害而采取的防範措施的總和。不同屬性的網絡具有不同的安全需求。對於教育信息網絡,受投資規模等方面的限制,不可能全部最高強度的實施,但是正確的做法是分析網絡中最為脆弱的部分而著重解決,將有限的資金用在最為關鍵的地方。實現整體網絡安全需要依靠完备適當的網絡安全策略和嚴格的管理來落實。
  網絡的安全策略就是針對網络的實際情況(被保護信息價值、被攻擊危險性、可投入的資金),在网絡管理的整個過程,具體對各種網絡安全措施進行取舍。網絡的安全策略可以說是在一定條件下的成本和效率的平衡。
  教育信息網絡包括各級教育數據中心和信息系統運行的局域網,連接各級教育內部局域網的廣域網,提供信息发布和社會化服務的國際互聯網。它具有訪問方式多樣,用戶群龐大,網絡行為突發性較高等特點。網絡的安全問題需要从網絡規劃設計階段就仔細考慮,并在實際運行中嚴格管理。為保证網絡的安全性,一般采用以下一些策略:
  
  1、安全技術策略。目前,網絡安全的技術主要包括殺毒軟件、防火墻技術、加密技術、身份驗證、存取控制、数據的完整性控制和安全協議等內容。對教育信息網络來說,主要應該采取以下一些技術措施:(1)防火墻。網絡防火墻技術,作為內部網絡與外部網絡之間的第一道安全屏障,包含动態的封包過濾、應用代理服務、用户認證、網絡地址轉接、IP防假冒、預警模聲、日誌及計费分析等功能,可以有效地將内部網與外部網隔離开來,能夠控制網絡上往來的信息,而且僅僅容許合法用戶進出局域網。根據防火墻的位置,可以分為外部防火墙和內部防火墻。外部防火墻將局域網與外部廣域網隔離開來,而內部防火墻的任務經常是在各個部門子網之間進行通信檢查控制。網絡安全體系不應該提供外部系統跨越安全系統直接到達受保護的內部網絡系統的途徑。(2)加密機。加密機可以對廣域網上傳输的數據和信息進行加解密,保護網內的數據、文件、口令和控制信息,保護網络會話的完整性,並可防止非授權用戶的搭線竊聽和入網。(3)網絡隔離VLAN技術應用。采用交換式局域網技術的網絡,可以用VLAN技術來加強內部網络管理。VLAN技術的核心是網絡分段,根據功能、保密水平、安全水平等要求的差异將網絡進行分段隔離,实現相互間的訪問控制,可以達到限制用戶非法訪問的目的。網絡分段可以分為物理分段和邏輯分段兩种方式。(4)殺毒軟件。選擇合適的網絡殺毒軟件可以有效地防止病毒在網絡上傳播。(5)訪問控制。這是網絡安全防範和保護的最主要措施之一,其主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪问控制通常有用戶名的識別与驗證、用戶口令的識別與驗證、用戶賬戶的缺省限制檢查等。當用戶進入網絡後,網絡系統就賦予這一用戶一定的訪問權限,用户只能在其權限內進行操作。这樣,就保證網絡資源不被非法訪问和非法使用。(6)入侵檢測。入侵檢測是對入侵行為的发覺,通過對網絡或計算機系統中的若幹關鍵點收集並進行分析從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。(7)網絡安全漏洞掃描。安全掃描是網絡安全防禦中的一項重要技术,其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種对象。然後根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高网絡安全整體水平產生重要依據。(8)“最小授權”原則。从網絡安全的角度考慮問题,打開的服務越多,可能出現的安全漏洞就會越多。“最小授權”原則指的是網絡中賬號設置、服務配置、主機間信任關系配置等應該為網絡正常運行所需的最小限度。關閉網絡安全策略中没有定義的網絡服務並將用戶的权限配置為策略定義的最小 限度、及時刪除不必要的賬号等措施可以將系統的危險性大大降低。 免費論文下載中心 http://www.hi138.com  2、物理安全及其保障。物理安全的目的是保護路由器、交換機、工作站、各種網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭线竊聽攻擊。網絡規劃設計階段就應該充分考慮到設備的安全問題。將一些重要的设備建立完備的機房安全管理制度,妥善保管備份磁帶和文檔資料;防止非法人員進入機房進行偷竊和破壞活動。抑制和防止電磁泄漏是物理安全的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導线間的交叉。另一類是对輻射的防護,這類防護措施又可分為以下两種:一是采用各種電磁屏蔽措施,如對設备的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬门窗進行屏蔽和隔離;二是幹擾的防護措施,即在計算機系統工作的同時,利用幹擾裝置產生一種与計算機系統輻射相關的伪噪聲向空間輻射來掩蓋計算機系統的工作频率和信息特征。
  
  3、網絡安全管理。即使是一個完美的安全策略,如果得不到很好的實施,也是空紙一張。網絡安全管理除了建立起一套嚴格的安全管理制度外,還必須培養一支具有安全管理意識的網络隊伍。
  網絡管理人員通過對所有用戶設置资源使用權限和口令,對用戶名和口令進行加密、存儲、傳輸、提供完整的用戶使用記錄和分析等方式可以有效地保證系統的安全。
  網管人員還需要建立與維護完整的網络用戶數據庫,嚴格對系統日誌進行管理。定時對網絡系統的安全狀況做出評估和审核,關註網絡安全動態,調整相關安全設置,進行入侵防範,發出安全公告,緊急修復系統。同時需要責任明確化、具體化,將網絡的安全維護、系統和數據備份、軟件配置和升級等責任具體到網管人员,實行包機制度和機歷本制度等,保證責任人之間的備份和替換關系。
  
  4、網絡安全的培訓教育。除了对用戶進行有關網絡安全的法律和規章制度進行宣傳教育外,還必須讓網絡用戶知道和了解一些安全策略:包括口令的選取、保存、更改周期、定期檢查、保密。盡量不要在本地硬盤上共享文件,因為這樣做將影響自己的机器安全。最好將共享文件存放在服務器上,既安全又方便了他人隨時使用文件。設置有顯示的屏幕保護,並且加上口令保護。定期參加网絡知識和網絡安全的培训,了解網絡安全知識,養成註意安全的工作習慣等等。
  
  5、應急處理和灾難恢復。為保證網絡系統發生災难後做到有的放矢,必須制定一套完整可行的事件救援,災難恢復計劃及方案。備份磁帶是在網絡系統由于各種原因出現災難事件時最為重要的恢復和分析的手段和依據。網絡運行部门應該制定完整的系統備份計劃,并嚴格實施。備份計劃中应包括網絡系統和用戶數據備份、完全和增量備份的頻度和責任人。
  備份數據磁帶的物理安全是整個網络安全體系中最重要的環節之一。通過備份磁帶,一方面可以恢復被破壞的系統和數據;另一方面需要定期地檢驗備份磁帶的有效性。可以通過定期的恢復演習對備份數據有效性進行鑒定,同時對網管人員數据恢復技術操作的演練做到遇問題不慌,從容應付,保障網络服務的提供。
  教育信息網絡的安全問題是一個較為復雜的系统工程。從嚴格的意義上來講,没有絕對安全的網絡系統。提高網絡的安全系數是要以降低網絡效率和增加投入為代价的。隨著計算機技術的飛速發展,網絡的安全有待於在實踐中進一步研究和探索。在目前的情況下,我們應當全面考慮綜合運用防火墙、加密技術、防毒軟件等多項措施,互相配合,加強管理,从中尋找到確保網絡安全與網絡效率的平衡點,綜合提高网絡的安全性,從而建立起一套真正適合教育信息網絡的安全體系。
  
  

參考文獻


  [1]Jay Ramachandran(美).《設計安全的體系結構》[M].機械工業出版社,2003年.
  [2]Stallingsw,(美),《信息與網絡安全丛書:網絡安全要素——應用與標準》[M],人民邮電出版社,2000年.
  [3]網絡安全策略的探討http://www.happycampus.cn/pages/2003/05/30/D112865.html. 免費論文下載中心 http://www.hi138.com
下载论文

論文《淺議實現教育信息網絡安全的對策》其它版本

計算機網絡論文服務

網站聲明 | 聯系我們 | 網站地圖 | 論文下載地址 | 代寫論文 | 作者搜索 | 英文版 | 手機版 CopyRight@2008 - 2017 免費論文下載中心 京ICP备17062730号