| 标题 | 基于校园网的网络安全风险及防护方案设计 |
| 范文 | 郝亚平 摘要:随着各行各业信息化程度的提高,尤其在高校教学改革中信息化的普遍使用,带动了高校学生信息化水平的提高,但是随之而来的却是信息安全问题。如何构建一个安全的校园网环境是目前各个学校面临的一个迫切的问题,文章通过对校园网络的安全风险分析,给出一个校园网络安全防护方案。 关键词:信息化; 校园网; 网络安全; 风险分析; 防护方案 中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)29-0018-02 Abstract: With the improvement of information technology in all walks of life, especially in the teaching reform in Colleges and universities, the widespread use of information has led to the improvement of the university students' information level, but it has been followed by information security problems. How to build a safe campus network environment is an urgent problem for all schools. This paper gives a campus network security protection scheme through the analysis of campus network security risk. Key words: information technology;campus network;network security;risk analysis;protection scheme 1 概述 在校园网中,无论是学生有意无意或是好奇与尝试引起的误操作,都可能给校园网信息系统带来损失。攻击者能监听网络上传输的信息、修改数据库里的数据信息、伪造用户的签名,更严重的是攻击者可以破坏网络节点、上传电脑病毒等。校园网信息系统管理人员可以更改系统配置、操作核心管理数据,任何误操作都可能会导致信息系统的崩溃从而导致校园网稳定性受到影响。 2 校园网安全设计目标 1) 网络系统保密性 保证校园网中的信息资源不会被越权访问,做到信息系统访问可控,只有授权用户才可以对信息系统管理、配置及数据操作。 2) 网络系统可用性 确保校园网合法使用者可以安全及时地在需要时候访问校园网相关网络资源。 3) 网络系统完整性 保证校园网内的信息资源的完整性及准确性。 3 校园网安全风险分析 根据校园网信息安全的分析具体情况,从信息系统弱点、安全威胁等方面出发,归纳出校园网存在的潜在的安全风险,从而引导出校园网络防护需求。 3.1风险分析方法 根据标准化组织的ISO13335网络安全风险的方法,从网络威胁、系统漏洞、信息资产及安全風险等多个要素进行评估(如图1所示)。 根据模型分析可推导出以下结论: 1) 校园网安全面临的风险大小对应校园网具有的信息资产,而信息资产增加了安全风险的等级; 2) 校园网信息系统总会存在漏洞,而这些漏洞被利用后,会造成网络安全风险的增加; 3) 对于校园网的信息资源,会有一些人为或非人为的安全因素,在利用了信息资源的弱点之后会把安全因素转换为安全风险; 4) 为降低校园网络存在安全风险,校园网管理部门要做好网络安全防护;采取必要的安全措施保障校园网的正常运行。 3.2安全风险分析 针对校园网安全威胁特点,从各个角度对信息资源安全分析,提出校园网安全防范措施方案,用于保障校园网信息的完整性、可用性及保密性。 1) 网络层安全风险 由于校园网使用的TCP/ IP网络协议自身就存在一些安全隐患,导致很多网络安全问题都是通过网络层来进行传播,网络黑客会利用协议上漏洞发起网络攻击,有些严重的攻击行会导致校园网瘫痪,影响师生工作与学习造成不良的影响。 2) 系统层安全风险 在校园网中,所有的信息系统应用都是基于各种网络操作系统,而很多操作系统自身就存在许多安全漏洞。操作系统的参数配置及其应用内容决定了操作系统的安全程度,如果操作系统没有完善相关的安全配置,则漏洞就会被入侵者利用,给校园网的正常运行造成极大的破坏。操作系统是各种信息系统的重要支撑,如果因各种原因受到入侵和破坏,则很容易对信息系统在安全性方面造成威胁,产生信息外泄或者系统瘫痪的结果,使整个学校无法开展正常的教学任务。 3) 应用层安全风险 对支撑校园网内重要业务的信息系统,如WEB、邮件系统、域名解析服务等网络基本服务以及各业务系统如OA、财务系统、教务系统等构成了最重要的校园网信息资源,因为这些信息系统与整个校园内的各业务关联紧密,当受到入侵后将影响学校的正常教学活动,所以要重点加以防护。 目前业务系统的安全依赖于网络层、操作系统及数据库的安全,因为业务系统种类繁多,现在还没有特定的安全解决方案来完全解决所有业务系统的安全问题。 4 校园网安全防护设计 4.1设计原则 校园网安全体系的构建应参照教育行业等级保护的要求和国家信息安全保障体系建设的原则,按照统一标准、统一规划、适度超前,重点部门推进、分步实施;以业务安全需求为导向,遵从以下的信息系统建设原则: 1) 坚持综合防范的原则 通过主动防御、全面防范的策略,增强信息系统安全防护能力,重点防护校园网主干网络和关键业务系统的安全,净化校园网络环境,保障信息化发展,保护校园网信息资产的安全,维护国家信息安全。 2) 管理与技术并进的原则 校园网是一个技术含量相对较高的综合工程,要做到校园网即有较高的运行速度又要保障其安全,需要采用先进的网络安全防护策略,对已建立的信息系统实施高效管理。在进行项目建设时应建立相应的安全管理机制。 3) 经济实用性原则 在做安全整体规划时,不仅要考虑校园网络安全风险和需求,还要考虑建设成本。在满足校园网安全的前提下,尽量减少不必要的人力及物力的投入,优化安全体系设计,合理的配置信息系统各项参数,使用的安全产品要实用高效便于操作。 4) 标准化原则 标准化是校园网信息系统建设的前提条件。校园网的安全体系建设是一个涉及面比较广的系统工程,安全设备种类多,网络拓扑结构复杂,各种业务应用多种多样。为了确保业务系统的信息能安全的互通互连,保障校园网络安全体系建设,要严格遵循有关部门关于信息系统安全管理和建设规范,按照统一的标准规划设计。 5) 适度安全原则 在安全规划建设时不能做到校园网中的信息系统都绝对的安全,所以在安全体系规划设计时,在满足安全需求、降低安全风险和安全成本之间进行平衡和折中,过量的安全需要会造成系统运行的复杂性和建设成本的迅速增加。 6) 分期分步实施原则 校园网信息安全体系建设是一个庞大的、复杂的系统工程,安全体系建设时需要根据校园网运行的实际情况提出项目应分系统、分阶段实施。 4.2 业务系统安全防护设计 1) 网络安全边界设计 校园网的出入口安全是校园网安全建设的重点之一,需要在互联网总出口部署防火墙系统,以便根据不同安全要求设定相应的安全规则,在保障内外网络通讯的同时阻止非法用户的入侵和破坏行为。 2) 网络入侵防御设计 入侵防御系统主要防范网络攻击行为,特别是对网络应用层协议分析,能阻断恶意攻击。入侵防御系统可以提供主动防御,预先对入侵行为和攻击性数据包进行阻拦,防止网络信息系统造成损失,在恶意网络流量通过时发出警报。 3) 网络入侵检测设计 入侵检测系统(IDS)能根据特征库自动识别业务系统被入侵的状态,它可以监视活动的网络流量,发现有攻击意图和非法的访问活动。使用入侵检测系统的目的是防止业务系统被入侵及入侵时提供相应的防护措施。入侵检测系统以主动防御、动态检测及实时响应为特点,很好地填补了防火墙等安全设备动态防御功能的不足。 4) 上网行为管理设计 校园网络管理人员可以通过上网行为管理系统了解网络使用带宽资源的情况,并根据网络带宽使用情况制定管理策略,验证策略有效性。上网行为管理系统可以保障核心用户及核心业务所需带宽,同时可以在网络带宽利用率低时实现资源再分配,以充分利用网络资源。 5) 漏洞扫描设计 校园网信息系统的安全是动态变化发展的,选用合适的防火墙与制定安全策略是系统安全防护的开始,这种方式能解决60%至80%的网络安全问题,剩下的仍需其他安全系统来配合。漏洞扫描是对网络信息系统进行风险评估的重要手段,通过扫描,能及时发现网络信息系统中薄弱的环节,检查存在的不安全配置及漏洞,并给出对应安全解决策略和补救措施,从而达到保障业务信息系统安全的目的。 6) 网站防护系统设计 网站防护系统(WAF)主要用于保护B/S架构业务系统的安全性和可靠性,提升网站型业务系统的运行质量。WAF可以监视网站型业务系统的流量、运行动态,资源使用情况,实时监测服务质量和服务能力,并建立网络安全威胁预警机制。从网站威胁防御、防篡改、防拒绝服务攻击和网站应用优化等多个角度保障业务系统网站的运行质量。 7) 日志审计系统部署设计 日志审计系统建设应能采集和分析操作系统、网络设备、安全设备、应用系统等多种产品及系统的日志数据,当系统出现异常时能根据日志记录信息还原事件发生经过。 8) 流量控制系统设计 流量控制系统可以通过对数据包检测及流量状态监测等方式对校园网络的应用深度解析,实现从数据链路层到应用层的应用识别分类、流量策略管理、流量属性分析、分类统计报告以及安全状态预警等多种功能。通过对业务系统网络流量分析从而达到控制的目的,增强网络的安全管理能力。 9) 网络安全管理系统 校园网的管理是网络构建中非常重要的组成部分。一个良好的网络管理系统可以在很大程度上帮助校园网系统管理人员优化网络结构、预防和及时排除故障,减少网络的维护费用。校园网如果缺少网络管理和网络控制的功能将导致网络运行效率低下,难以诊断网络故障及运行状态,也难以实现网络计费等功能。 5 结束语 在校园网中部署安全防护系统以一种立体的组合型角度从数据链路层到应用层全面地保护了整个应用系统的运行。但是校园网安全会随着应用环境、使用时间的变化而变化的,在特定的环境下是安全的系统,如果环境发生变化,原来安全的信息系统可能就会变的不安全了。在特定时间里安全的信息系统,如果时间发生变化了,原来的信息系统就会变的不安全,因此在新的安全系统部署的同时,安全服务和策略调整也要随之跟上。建立好的校园网安全体系结构不是一劳永逸的事情,只有好的安全系统与安全管理相结合才能保证安全技术得到正确、合理和及时的使用,三分技术,七分管理就是这样来的。应当通过安全管理和安全技术的有效结合,实现动态的、可持续发展的安全循环。 参考文献: [1] 李海光. 计算机网络安全技术与防范策略[J]. 电子技术与软件工程, 2017,(01):210-211. [2] 韓雨桥, 范宏. 校园网中网络安全技术的应用策略[J]. 网络安全技术与应用, 2016(03):91-91. [3] 谢晖辉. 网络安全技术在校园网中的应用[J]. 电脑知识与技术, 2009, 5(9):2087-2088. [4] 辛皓炜. 校园网中网络安全技术及策略的应用研究[J]. 网络安全技术与应用, 2015(05):91-93. |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。