论文部分内容阅读
摘要:随着信息化工程的推进,校园网建设日渐成熟。与之相应的Web安全问题日益突出。文章深入细致地分析了校园网所面临的安全问题以及应对策略,提供了一个较系统、较科学的分析和解决Web安全问题的思路,为目前高校校园网的Web安全建设提供一些参考。
关键词:防火墙;用户验证;安全扫描器;入侵检测系统(IDS);入侵防御系统(IPS)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)05-10ppp-0c
1 引言
随着计算机网络的普及和信息技术的发展,高校校园网建设已进入成熟期,无论是在规模、功能还是服务方面都有了长足的发展,为学校与外界实现资源共享和信息共享提供了有力的平台,如通过Cernet(中教网)与国内外各院校、各部、各省等相连,又如通过Internet与各国相连;也有利于实现校内的资源共享与信息交换,如校园行政管理系统、教学管理系统、各年级师生对图书馆资源的远程检索和资料阅读系统等等。现代化的信息处理方式和知识获取手段促进了教育的发展,但随之而来的网络安全问题也日渐明显的摆在了校园网络管理员面前。校园网由于用户结点多、网络结构复杂,所以比一般的商业网络更容易受到来自病毒、黑客及内部滥用的破坏。网络的安全性指标已经成为当前校园网建设和应用的关键要素。本文试图将校园网Web安全机制和防范措施采用类似系统工程架构的方式来分析阐述,努力创造一个“真正安全的校园网”。
2 校园网络安全现状
2.1 基础设施安全
主要有以下表现:
(1)市电供应不能保障,停电时有发生;
(2)空调备份、外机割管、温度、湿度不能保障;
(3)光缆断,楼内布线不通、端口坏;
(4)雷击导致设备不能工作,火灾以及无关人员闯入。
2.2 网络运行安全
2.2.1 黑客攻击
在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。校园网通过 CERNET 与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇攻击的风险。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。
2.2.2 病毒破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响高校校园网络安全的主要因素。
2.2.3 操作系统漏洞
在目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
2.2.4 口令入侵
为管理和计费的方便,一般来说,学校为每个上网的老师和学生分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成了费用管理的混乱
2.2.5 非正常途径访问或内部破坏
由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
2.2.6 不良信息的传播
在校园网接入Internet后,师生都可以通过校园网络在自己的电脑上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。
2.2.7 带宽资源的浪费
伴随互联网技术的不断发展,各种P2P的应用也在校园网内部广泛的应用,作为一种时下流行的下载手段,各种P2P应用可以让用户很方便的找到自己需要的网络资源,但从另外一个方面来说,大量无限制的P2P连接将极大的消耗网络带宽资源,也给高校正常的网络业务带来极大的困扰。
由此可见,构建必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
3 Web安全机制的建立
针对以上列举的校园网常见安全问题,我们从以下几个方面建立起完善的安全机制:
3.1 基础设施保证
将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理,并设置良好的环境监控体系,包括防火、防盗、门禁监控设施等,以及电源保障体系,包括市电、UPS稳压、空调等设施。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏。对于终端设备,如工作站、小型交换机、集线器和其他转接设备要落实到人,进行严格管理。
3.2 技术保证
根据各高校校园网具体情况选用所需的Web安全控件模块。以下几个特征和领域需要着重考虑。
3.2.1 防火墙部署
防火墙是保护Web及相关应用服务器免于外部攻击的最基本的措施。利用防火墙,在网络通信时可执行一种访问控制尺度,允许防火墙同意的人或数据进入自己的内部网络,同时将不允许的用户与数据拒之门外。最大限度的阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
在防火墙设置上可以按照以下原则配置来提高网络安全性:
(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。
(5)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。
3.2.2 用户验证
确保只有授权用户才能访问指定内容的最好办法就是采用用户验证。有增强的、弱的用户验证机制可以采用。通常,增强的用户验证用来控制来自校园网外部的访问(如Internet),弱的验证用于校园网内部的访问。
3.2.3 入侵检测/防御系统的部署
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统(Ids)集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,可以发出实时报警,使得学校管理员能够及时采取应对措施。在校园网中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
而入侵防御技术则是在传统防火墙技术加传统IDS的技术已经无法应对一些安全威胁的情况下产生的一种新技术。IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
各高校可根据校园网实际情况进行产品选择和配置。
3.2.4 网络安全扫描器
发现漏洞的最好方法是模拟攻击自己,而不是等着别人来攻击。一个安全扫描器可以基于已知攻击的数据库,通过网络探测防火墙、各种Web应用服务器和其他系统。采用的扫描器还应有足够的智能利用它所发现的各种信息来模拟攻击我们的系统并证实如何能将它攻破。
3.2.5网络版杀毒产品部署
为了在整个局域网内杜绝病毒的感染、传播和发作,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
(1)在学校网络中心配置一台高效的 Windows2000 服务器安装一个杀毒软件网络版的系统中心,负责管理多个主机网点的计算机。
(2)在各行政、教学单位等多个分支机构分别安装杀毒软件网络版的客户端。
(3)安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
(4)网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
3.3 安全管理
常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。这种管理除了建立起一套严格的安全管理规章制度(基本包括机房管理制度、病毒防范制度等)外,还必须培养一支具有安全管理意识的网管队伍。网路管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效的保证系统的安全。
网管人员还需要建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的使用登记制度,就可对网络用户和服务帐号进行精确的控制。定时对校园网系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统等。
3.4 用户教育
除了对用户进行有关网络安全的法律法规和规章制度进行宣传教育外,还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。对于非法访问和黑客攻击事件,一旦发现要严肃处理。
4 结束语
校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细进行考虑,并在实际运行中严格管理。而且校园网Web安全是个系统性的工程,不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效,通用、安全的校园网络系统。当然,各校具体情况不同。希望本文提出的Web安全机制能够为各校校园网安全建设有所帮助。
参考文献:
[1]王继克.浅议高校图书馆Web安全机制和防范措施[J].中国教育信息化,2007(5):55-58.
[2]胡国胜.电子商务安全[M].华南理工大学出版社,2004(8).
[3]马敏.浅谈校园网管理与安全. http://www.ahhnedu.cn/.
[4]胡伏湘.校园网安全分析及解决方法[J].计算机与网络,2003(5):60-62.
收稿日期:2007-12-27
作者简介:冯蓓蓓(1982-),女,毕业于安徽师范大学计算机系,研究方向:电子商务。
关键词:防火墙;用户验证;安全扫描器;入侵检测系统(IDS);入侵防御系统(IPS)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)05-10ppp-0c
1 引言
随着计算机网络的普及和信息技术的发展,高校校园网建设已进入成熟期,无论是在规模、功能还是服务方面都有了长足的发展,为学校与外界实现资源共享和信息共享提供了有力的平台,如通过Cernet(中教网)与国内外各院校、各部、各省等相连,又如通过Internet与各国相连;也有利于实现校内的资源共享与信息交换,如校园行政管理系统、教学管理系统、各年级师生对图书馆资源的远程检索和资料阅读系统等等。现代化的信息处理方式和知识获取手段促进了教育的发展,但随之而来的网络安全问题也日渐明显的摆在了校园网络管理员面前。校园网由于用户结点多、网络结构复杂,所以比一般的商业网络更容易受到来自病毒、黑客及内部滥用的破坏。网络的安全性指标已经成为当前校园网建设和应用的关键要素。本文试图将校园网Web安全机制和防范措施采用类似系统工程架构的方式来分析阐述,努力创造一个“真正安全的校园网”。
2 校园网络安全现状
2.1 基础设施安全
主要有以下表现:
(1)市电供应不能保障,停电时有发生;
(2)空调备份、外机割管、温度、湿度不能保障;
(3)光缆断,楼内布线不通、端口坏;
(4)雷击导致设备不能工作,火灾以及无关人员闯入。
2.2 网络运行安全
2.2.1 黑客攻击
在《中华人民共和国公共安全行业标准》中,黑客的定义是:“对计算机系统进行非授权访问的人员”,这也是目前大多数人对黑客的理解。校园网通过 CERNET 与 Internet 相连,在享受 Internet 方便快捷的同时,也面临着遭遇攻击的风险。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具,他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有:端口监听、端口扫描、口令入侵、JAVA炸弹等。
2.2.2 病毒破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响高校校园网络安全的主要因素。
2.2.3 操作系统漏洞
在目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等,这些操作系统都存在各种各样的安全问题,许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。
2.2.4 口令入侵
为管理和计费的方便,一般来说,学校为每个上网的老师和学生分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成了费用管理的混乱
2.2.5 非正常途径访问或内部破坏
由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
2.2.6 不良信息的传播
在校园网接入Internet后,师生都可以通过校园网络在自己的电脑上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。
2.2.7 带宽资源的浪费
伴随互联网技术的不断发展,各种P2P的应用也在校园网内部广泛的应用,作为一种时下流行的下载手段,各种P2P应用可以让用户很方便的找到自己需要的网络资源,但从另外一个方面来说,大量无限制的P2P连接将极大的消耗网络带宽资源,也给高校正常的网络业务带来极大的困扰。
由此可见,构建必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
3 Web安全机制的建立
针对以上列举的校园网常见安全问题,我们从以下几个方面建立起完善的安全机制:
3.1 基础设施保证
将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理,并设置良好的环境监控体系,包括防火、防盗、门禁监控设施等,以及电源保障体系,包括市电、UPS稳压、空调等设施。各种通信线路尽量实行深埋、穿线或架空,并有明显标记,防止无意损坏。对于终端设备,如工作站、小型交换机、集线器和其他转接设备要落实到人,进行严格管理。
3.2 技术保证
根据各高校校园网具体情况选用所需的Web安全控件模块。以下几个特征和领域需要着重考虑。
3.2.1 防火墙部署
防火墙是保护Web及相关应用服务器免于外部攻击的最基本的措施。利用防火墙,在网络通信时可执行一种访问控制尺度,允许防火墙同意的人或数据进入自己的内部网络,同时将不允许的用户与数据拒之门外。最大限度的阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
在防火墙设置上可以按照以下原则配置来提高网络安全性:
(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容,包括协议、端口、源地址、目的地址、流向等项目,严格禁止来自外网的对校园内网的不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2)配置防火墙,过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外的攻击。
(3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4)定期查看防火墙访问日志,及时发现攻击行为和不良的上网记录。
(5)允许通过配置网卡对防火墙设置,提高防火墙管理的安全性。
3.2.2 用户验证
确保只有授权用户才能访问指定内容的最好办法就是采用用户验证。有增强的、弱的用户验证机制可以采用。通常,增强的用户验证用来控制来自校园网外部的访问(如Internet),弱的验证用于校园网内部的访问。
3.2.3 入侵检测/防御系统的部署
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统(Ids)集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,可以发出实时报警,使得学校管理员能够及时采取应对措施。在校园网中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
而入侵防御技术则是在传统防火墙技术加传统IDS的技术已经无法应对一些安全威胁的情况下产生的一种新技术。IPS技术可以深度感知并检测流经的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源。
各高校可根据校园网实际情况进行产品选择和配置。
3.2.4 网络安全扫描器
发现漏洞的最好方法是模拟攻击自己,而不是等着别人来攻击。一个安全扫描器可以基于已知攻击的数据库,通过网络探测防火墙、各种Web应用服务器和其他系统。采用的扫描器还应有足够的智能利用它所发现的各种信息来模拟攻击我们的系统并证实如何能将它攻破。
3.2.5网络版杀毒产品部署
为了在整个局域网内杜绝病毒的感染、传播和发作,应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
(1)在学校网络中心配置一台高效的 Windows2000 服务器安装一个杀毒软件网络版的系统中心,负责管理多个主机网点的计算机。
(2)在各行政、教学单位等多个分支机构分别安装杀毒软件网络版的客户端。
(3)安装完杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。
(4)网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
3.3 安全管理
常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。这种管理除了建立起一套严格的安全管理规章制度(基本包括机房管理制度、病毒防范制度等)外,还必须培养一支具有安全管理意识的网管队伍。网路管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效的保证系统的安全。
网管人员还需要建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的使用登记制度,就可对网络用户和服务帐号进行精确的控制。定时对校园网系统的安全状况做出评估和审核,关注网络安全动态,调整相关安全设置,进行入侵防范,发出安全公告,紧急修复系统等。
3.4 用户教育
除了对用户进行有关网络安全的法律法规和规章制度进行宣传教育外,还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。对于非法访问和黑客攻击事件,一旦发现要严肃处理。
4 结束语
校园网具有访问方式多样、用户群庞大、网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细进行考虑,并在实际运行中严格管理。而且校园网Web安全是个系统性的工程,不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效,通用、安全的校园网络系统。当然,各校具体情况不同。希望本文提出的Web安全机制能够为各校校园网安全建设有所帮助。
参考文献:
[1]王继克.浅议高校图书馆Web安全机制和防范措施[J].中国教育信息化,2007(5):55-58.
[2]胡国胜.电子商务安全[M].华南理工大学出版社,2004(8).
[3]马敏.浅谈校园网管理与安全. http://www.ahhnedu.cn/.
[4]胡伏湘.校园网安全分析及解决方法[J].计算机与网络,2003(5):60-62.
收稿日期:2007-12-27
作者简介:冯蓓蓓(1982-),女,毕业于安徽师范大学计算机系,研究方向:电子商务。