摘要:网络平安越来越受到人们重视。本文对校园网的平安性谈了一些看法,供大家参考。
关键词:校园网络平安,系统平安,网络运行平安,内部网络平安,防火墙
《自动化应用》主要栏目有:1.前沿技术:主要报道国内外自动化技术发展的新动向、新技术、新产品及其在各应用领域中的经验和体会。2.变频节能、软起动系统:变频器、软起动系统设计、产品选型、调试以及维护维修,报道实际系统工程,提高读者解决实际问题的能力。
许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但校园网用户在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的瘫痪,严重影响了校园网的正常运行。所以在积极发展办公自动化,实现资源共享的同时,校园网用户都应加强对校园网络安全的重视。因此,如何在现有的条件下,搞好网络安全,就成了校园网络管理人员的一个重要课题。
高校网络管理员肩负着校园网络的维护和管理责任,同时也承担维护系统安全、网络运行安全和内部网络安全的责任。维护好网络安全,我们可从以下几个方面着手。
一、系统安全
主要措施有反病毒、入侵检测、审计分析等技术。系统安全包括主机和服务器运行安全。我们可采用以下措施来保护系统的安全。
1.反病毒技术。计算机病毒是引起计算机故障、破坏计算机数据的主要原因之一。特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等,从中发现是否有违反安全策略的行为和被攻击的迹象,
2.入侵检测。入侵检测指对入侵行为的发现。通过对计算机网络或计算机系统中的若干关键点收集信息并对它进行分析,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞,统计分析异常行为,等等。
发现并及时修补漏洞是每个网络管理人员的主要任务。当然,从目前来看,系统漏洞的存在成为网络安全的首要问题。从系统中发现漏洞不是一般网络管理人员所能做到的,但是,及早地发现有报告的漏洞,并进行升级补丁却是应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于已使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多网络管理员对此认识不够,以致于过了几年,还能扫描到机器存在许多漏洞。校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统存在的漏洞也就越多,也就有更多的危险。因此从安全角度考虑,网络管理员应将不必要的服务关闭,只向公众提供所需的基本的服务。最典型的校园网服务器中对公众通常只提供Web服务功能,而没有必要向公众提供FTP功能,这样,服务器的服务配置中,只开放Web服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3.审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程。它还能指出系统正被怎样地使用。在确定是否有网络攻击的情况时,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处置的重要依据。另外,通过对安全事件的不时收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能发生的破坏性行为。除使用一般的网管软件系统、监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的罕见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。
二、网络运行安全
要保证网络运行安全,除采用各种安全检测和控制技术来防止各种安全隐患外,我们还应该具备尽快地全盘恢复运行计算机系统所需的数据的功能,即将所有文件写入备份介质。一般数据备份操作有两种:一是全盘备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法。二是差分备份,备份上次全盘备份之后更改过的所有文件,有“冷备份”和“热备份”两种方案。“热备份”指下载备份的数据还在整个计算机系统和网络中,根据备份的存储媒介不同,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,系统恢复时重新安装。其特点是便于保管,用以弥补“热备份”的一些不足。进行备份的过程中常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离。常用的措施是内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
采用防火墙技术是目前维护内部网安全的最主要的同时也是最在效和最经济的措施之一。防火墙不同网络或网络安全域之间信息的唯一出入口,防火墙在内外网隔离及访问系统中,能根据平安政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进出的数据,管理进出网络的访问行为,封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全维护融合到系统的整体安全战略中,才能实现真正的平安。
保证网络系统安全最有效的方法是定期对网络系统进行安全性评估分析,检查系统存在弱点和漏洞,采取弥补措施和安全策略,达到增强网络安全性的目的。