谈校园网安全访问控制体系Word文件下载.docx
- 文档编号:20075554
- 上传时间:2023-01-16
- 格式:DOCX
- 页数:9
- 大小:37.62KB
谈校园网安全访问控制体系Word文件下载.docx
《谈校园网安全访问控制体系Word文件下载.docx》由会员分享,可在线阅读,更多相关《谈校园网安全访问控制体系Word文件下载.docx(9页珍藏版)》请在冰豆网上搜索。
2.2.4防火墙软件2
2.2.5Intranet服务软件3
3校园网建设中有关安全方面的问题及解决3
3.1来自外部的安全威胁及防范3
3.2来自内部的安全威胁及防范4
3.2.1IP盗用4
3.2.2病毒攻击5
3.2.3非法站点的访问5
3.2.4数据泄露5
4关于建设更安全校园网络思考7
4.1采用入侵检测系统7
4.2身份验证7
4.3Web、E-mail、BBS的安全监测系统7
4.4漏洞扫描系统7
4.5利用网络监听维护子网系统安全7
4.6建立并严格执行规章制度8
4.7应急处理和数据备份8
4.8遵循“最小授权”原则和采用“信息加密”技术8
参考文献9
1引言
随着校园网建设在各地的开展,我校(郑州电子信息职业技术学院)初步建成自己的校园网,这样有关校园网的安全问题也就显现出来。
本校教师有300多名,校园网上的用户达150余户。
为了保障教师的心血及电脑的安全,防止被他人所破坏;
在这种复杂的应用面前,如何保证关键资产数据的安全性,保证校园网的畅通性,保证各类信息的准确性,成了校园网系统管理员面临的难题。
如何在校园网络及其信息系统中搭建安全控制体系,使本校的校园网安全、稳定、高效地运转,已成为学校领导越来越重视的问题。
2校园网硬件结构与软件系统
2.1硬件结构
1、网络硬件:
百兆以太主干网,楼与楼之间使用光纤连接,楼内使用双绞线到户。
2、拓扑结构:
树形拓扑结构。
3、主干网连接:
中心机房采用光纤接入Internet,带宽20M。
4、网络分布图:
图2.1
图2.2
2.2软件系统
2.2.1操作系统
网关服务器及应用服务器均使用WindowsServer2003SP2,用户计算机采用Windows98/Me/2000/XP/2003/Vista等操作系统。
2.2.2网关软件
KerioWinRouteFirewall6.5.1(简称KWF),该软件在提供路由的同时还内置防火墙、VPN、带宽限制、病毒检测等功能。
2.2.3杀毒软件
网关服务器及应用服务器均安装SymantecAntivirus10.1.7.7000企业版客户端,用户计算机使用诺顿、Mcafee、金山毒霸、瑞星、江民等杀毒软件。
2.2.4防火墙软件
网关服务器使用KWF内置的防火墙,应用服务器使用ISSBlackICEServerProtection,用户计算机采用WindowsXP自带的防火墙或ZoneAlarmPro、瑞星个人防火墙、金山网镖、天网个人防火墙、费尔个人防火墙等。
2.2.5Intranet服务软件
⑴Web服务:
使用Windows2000Server内置的IIS5.0。
⑵FTP服务:
使用Serv-UFTPServer5.2。
⑶即时通讯服务:
使用腾讯通3.61实时协作版。
3校园网建设中有关安全方面的问题及解决
校园网及其信息系统所面临的安全威胁既可能来自校园内部,又可能来自校园外部。
主要有以下几种情况:
“黑客”、数据泄露、IP盗用、病毒攻击、非法站点的访问和E-mail问题。
所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。
针对校园网的各种安全隐患,深入分析产生这些安全问题的根源、以及随时出现的网络安全需求,通过采取相应的网络安全策略,将安全技术与教育管理结合起来,就可以建成一个安全、通用、高效的校园网络系统。
3.1来自外部的安全威胁及防范
从学校的网络拓补结构可以发现,“黑客”要想从外部威胁校园网,只有通过网关服务器,因此,做好网关服务器的安全工作是关键。
刚开始网关使用的是“阿尔法V6路由器”,经过一段时间的使用,发现该路由器不太适用,原因如下:
①不能支持B类地址掩码,局域网的掩码只能支持255.255.255.0,而无法支持255.255.0.0。
②不能针对不同用户设置不同的访问Internet的权限。
③日志功能太弱,难以对网络出现的问题进行分析。
④Internet出口带宽被限制为10M,而学校从电信局接入的光纤带宽是20M,造成巨大的浪费。
⑤路由器的处理器性能太低,内存不够大,难以适应越来越多的网络应用。
所以决定改用一台专门的计算机安装网关软件作为网关服务器。
最终采用一台赛扬D2.53G、256M内存、40G硬盘、双百兆网卡的计算机担任网关。
该网关服务器安装WindowsServer2003SP2,安装时选择最小化安装,一些不需要的组件如:
IIS、FTP、SMTP等均不安装,网络协议也只安装“Microsoft网络客户端”和“Internet协议(TCP/IP)”两项,安装后立即进行“WindowsUpdate”,安装最新的系统补丁,最大限度的减小系统漏洞对网络安全的威胁。
操作系统安装完成后,立即安装SymantecAntivirus10.1.7.7000企业版客户端杀毒软件,并更新病毒库,保证对最新病毒的查杀。
最后安装网关软件。
在网关软件的选择上也费了一番功夫,最终选定了“KerioWinRouteFirewall6.5.1”(以下简称KWF),因为该软件在提供最基本的网关、路由功能的同时,还提供了两样对网络安全来说至关重要的功能:
防火墙和反病毒功能。
有了防火墙功能,可以有效的防范外部威胁,并可将各种威胁记录到日志中以供分析与防范。
反病毒功能则可以对内部网与Internet之间传输的数据进行双向扫描,检测到病毒时,将终止病毒的传输,并记录到日志中,这样就可阻止大部分病毒进入校园网。
3.2来自内部的安全威胁及防范
3.2.1IP盗用
每个校园网用户都分配一个固定IP,该IP与用户所在的位置关联,其规则是IP的第三段代表楼号,第四段代表房号。
房号通常由3位数组成,将中间一位去掉即可:
101房间、208房间、310房间转换后就是11、28、30。
如:
2号楼204房间,IP就是172.16.2.24;
4号楼410房间的IP就是172.16.4.40。
按此规则设置后,只要看IP就能马上知道该IP的位置,对于网络管理十分方便。
每个用户还有两个备用IP,当用户有多台计算机时可以使用,如2号楼204房有三台电脑,其分配的IP就是172.16.2.24、172.16.2.124和172.16.2.224。
为防止盗用别人的IP,在网关服务器上,使用“arp–sIP地址网卡MAC地址”命令将IP与MAC绑定。
如果资金、条件许可,还应将网络中所有交换机更换为网管型交换机,直接在交换机上将端口与MAC绑定,防止用户将自已网卡的MAC地址修改为他人网卡的MAC地址,进行IP欺骗,盗用他人IP上网。
在KWF的“Configuration(配置)”→“Definitions(定义)”→“AddressGroups(地址组)”中,将已分配的IP逐一添加,然后在“Configuration(配置)”→“TrafficPolicy(流量策略)”中,设定只为地址组中的IP提供“NAT(网络地址转换)”服务,这样就只有被授权的IP能访问Internet。
3.2.2病毒攻击
KWF软件内置了Mcafee杀毒软件。
当用户访问带有病毒的网站、上传或下载被病毒感染的文件、发送带病毒的邮件时,都会被网关服务器终止传输,阻止病毒传播。
但病毒还是可能进入校园网内,如尚未被检测到的新病毒、用户使用了带毒的软盘、光盘、可移动磁盘(如:
U盘)等。
因此,要求每台计算机都要安装并启用杀毒软件,并且要经常更新病毒库以应对不断出现的新病毒。
当用户的计算机出现不正常时,要及时报告网络管理员,以确定是不是由病毒引起的故障。
用户的计算机不仅要安装杀毒软件,最好也都要安装启用防火墙软件,如:
瑞星个人防火墙、金山网镖、天网个人防火墙、WindowsXP自带的防火墙、ZoneAlarmPro等,都可以有效防止通过WindowsRPC(RemoteProcedureCall远程过程调用)漏洞进行传播的病毒。
3.2.3非法站点的访问
色情、暴力、赌博等非法站点的屏蔽一向是网络管理员头疼的问题,因为这些站点数量不少,且经常变动,幸好KWF提供了非常方便的过滤功能。
在KWF的“Configuration(配置)”→“ContentFiltering(内容过滤)”下提供了“HTTPPolicy(HTTP策略)”、“FTPPolicy(FTP策略)”,可以按网址、网页中包含的内容等进行过滤。
当访问到被限制的内容时,将被禁止,并可将访问者的信息记录到日志中。
3.2.4数据泄露
硬盘中的私人数据被盗,甚至一些重要的文件被人恶意删除,有时真会给人一种痛不欲生的感觉。
一台计算机最值钱的东西并不是CPU、硬盘等这些硬件,而是保存在计算机中的数据!
数据泄露的原因有很多,可能是计算机中了木马、病毒等,也可能是因为开放了匿名共享的目录或共享目录的密码过于简单等。
对于木马、病毒可通过杀毒软件和防火墙软件来解决,而对于因共享造成的数据被人非法访问等,就要依靠对系统进行相应的设置来解决。
现在越来越多的用户计算机是安装WindowsXP或WindowsVista,有不少用户在安装过程中为了方便,将管理员Administrator的密码设为空,这给系统留下了一个巨大的安全漏洞。
因为WindowsXP和WindowsVista都是基于NT核心,每个用户名都分属不同的用户组,不同的用户组拥有不同的权限。
在WindowsXP中常见的有以下几个用户组:
①Administrators:
管理员对计算机/域有不受限制的完全访问权;
②BackupOperators:
备份操作员为了备份或还原文件可以替代安全限制;
③Guests:
按默认值,来宾跟用户组的成员有同等访问权,但来宾帐户的限制更多;
④NetworkConfigurationOperators:
此组中的成员有部分管理权限来管理网络功能的配置;
⑤PowerUsers:
PowerUser拥有大部分管理权限,但也有限制。
因此,PowerUser可以运行经过验证的应用程序,也可以运行旧版应用程序;
⑥RemoteDesktopUsers:
此组中的成员被授予远程登录的权限;
⑦Replicator:
支持域中的文件复制;
⑧Users:
用户无法进行有意或无意的改动。
因此,用户可以运行经过证明的文件,但不能运行大多数旧版应用程序;
⑨HelpServicesGroup:
帮助和支持中心组。
在WindowsXP“控制面板”的“用户帐户”中创建的帐户通常可选择两种帐户类型:
计算机管理员、受限用户。
计算机管理员类型属于Administrators组,拥有不受限制的完全访问权,而受限用户属于Users组,无法对系统进行有意或无意的改动。
Administrator用户也是属于Administrators组,将其密码设置为空或弱口令,则恶意者很容易就获取对系统的完全控制权,只要在InternetExplorer中输入“\\你的IP地址\c$”就能看到你C盘的所有内容!
将c$改为d$就能看到D盘的内容,可以说,每个盘都将一览无遗。
“c$、d$……”这些是Windows2000/2003/XP/Vista安装后自动生成的,要防止被人偷窥,只要给你的每个用户名加上强壮的密码即可。
何谓强壮的密码呢?
以下几个规则可供参考:
①至少7位字符,系统用户一定要用8位字符的口令;
②大小写字母混合,把数字无序地插在字母中;
③口令中包含“~、!
、#、¥、%、*、?
、{、}”等符号;
④不使用英语单词,不使用个人信息(如生日、姓名、电话等);
⑤不要在不同系统上使用同一口令。
⑥再强壮的密码也有可能被泄漏,因此定期更换口令是至关重要的一步。
以上重点分析了该学校校园网硬件结构、软件系统及安全维护方案措施。
下面重点谈谈自己对校园网安全的几点思考。
4关于建设更安全校园网络思考
4.1采用入侵检测系统
在校园网中构架一套完整立体的主动防御体系,需要同时采用基于网络和基于主机的入侵检测系统。
首先,在校园网比较重要的网段中放置基于网络的入侵检测产品,不停地监视网段中的各种数据包。
如果数据包与入侵检测系统中的某些规则吻合,就会发出警报或者直接切断网络的连接。
其次,在重要的主机上(如WWW服务器、E-mail服务器和FTP服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。
4.2身份验证
身份验证技术可用于判断对象身份的真实性,是校园网上信息安全的第一道屏障。
除校园卡外,校园网上的身份验证技术主要是口令机制,如各种开机口令、登录口令、共享权限口令等。
对这些口令的保护除建立严格的保密机制外,口令的设置方法非常重要。
4.3Web、E-mail、BBS的安全监测系统
在校园网的WWW服务器、E-mail服务器中使用网络安全监测系统,实时跟踪、监视网络,截获Internet上传输的内容,并将其还原成完整的内容,建立保存相应记录的数据库。
及时发现在网络上传输的非法内容,并向上级安全网管中心报告。
4.4漏洞扫描系统
解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式,最大可能地弥补最新的安全漏洞并消除安全隐患。
4.5利用网络监听维护子网系统安全
要解决校园网内部的侵袭问题,可以对各个子网做一个审计文件,为管理人员分析自己的网络运作状态提供依据。
设计一个子网专用的监听程序,其主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
4.6建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。
校园网络的安全管理制度应包括:
确定安全管理等级和安全管理范围,制定有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等。
任何规章制度的意义都在于实施,严格执行安全管理制度是网络可靠运行的重要保障。
4.7应急处理和数据备份
应急响应是校园网整体安全构架中不可分割的重要组成部分。
校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时,应及时向用户发出安全通告,并提供各种补丁程序以便下载。
数据是整个网络的核心,做一套完整的数据备份和恢复措施是校园网迫切需要的。
对易受到攻击的Web服务器,配置网站监控与恢复系统,一旦主页被篡改,能够及时恢复。
针对网络安全而言,备份既包括网络通信参数、配置的备份,又包括设备和线路的备份。
网络中心应定期将重要数据打包,并将副本存放在专用的服务器中,还可采用RAID技术对重要磁盘做镜像。
4.8遵循“最小授权”原则和采用“信息加密”技术
从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。
“最小授权”原则是指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。
关闭网络安全策略中没有定义的网络服务,将用户的权限配置为策略定义的最小限度,及时删除不必要的账号等。
“信息加密”是包括算法、协议、管理在内的庞大体系,加密算法是基础,密码协议是关键,密钥管理是保障。
其核心及相关程序,如登录系统、用户管理系统等在可能的情况下应自行开发。
加强对校园网用户的安全意识教育和安全技术培训,提高遵守相关的安全制度的自觉性,增强整体安全防范能力。
对于非法访问和黑客攻击事件,一旦发现要严肃处理。
加强对校园网安全技术和管理人员的培训,使他们从技术上提高应对各种攻击的能力。
培养一支具有安全管理意识的网管队伍。
网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
参考文献
[1]苏秀强、梁启荣,《中学校园网建设与应用初探》
[2]王锐,搭建校园网安全访问控制体系,计算机世界报,第05期:
D14、D15
[3]吴和秀,《浅谈网络的安全访问》
[4]季福坤,《数据通信与计算机网络》
[5]梁亚声、汪永益、刘京菊,《计算机网络安全技术教程》
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园网 安全 访问 控制 体系