|
校園網(wǎng)安全分析與解決方案
資源天下 2019/8/17 10:00:05
(接上頁(yè))毒系統(tǒng)等�����。另外����,通過配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)����、預(yù)警和監(jiān)控��,對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用���,對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。
(3) 解決用戶上網(wǎng)身份問題�����,建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) ���。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題,而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)����,否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之,只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)��,才能徹底的解決用戶上網(wǎng)身份問題���,同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證���。
(4) 嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理,集中進(jìn)行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)���,而且��,合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控����,上網(wǎng)行為的日志要集中保存在中心服務(wù)器上�,保證了這個(gè)記錄的法律性和準(zhǔn)確性。
4.2 校園網(wǎng)絡(luò)安全技術(shù)
前述各種網(wǎng)絡(luò)安全威脅�����,都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對(duì)網(wǎng)絡(luò)發(fā)起攻擊的����。為杜絕網(wǎng)絡(luò)威脅,主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力�����,堵塞網(wǎng)絡(luò)漏洞�����,從而達(dá)到網(wǎng)絡(luò)安全。
4.2.1 殺毒產(chǎn)品的部署
在該網(wǎng)絡(luò)防病毒方案中�,要達(dá)到一個(gè)目的就是:要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作����。為了實(shí)現(xiàn)這一點(diǎn),應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段����;同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系����,應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝��、智能升級(jí)���、遠(yuǎn)程報(bào)警�����、集中管理����、分布查殺等多種功能。
4.2.2 采用VLAN技術(shù)
VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個(gè)網(wǎng)段�,從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別���,將網(wǎng)絡(luò)分段并進(jìn)行隔離�����,實(shí)現(xiàn)相互間的訪問控制�,可以達(dá)到限制用戶非法訪問的目的����。
4.2.3 內(nèi)容過濾器
內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無(wú)意識(shí)服務(wù)拒絕的工具。同時(shí)�����,可以限制外來的垃圾郵件��。
4.2.4 防火墻
在與Internet相連的每一臺(tái)電腦上都裝上防火墻�,成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:
(1) 根據(jù)校園網(wǎng)安全策略和安全目標(biāo)����,規(guī)劃設(shè)置正確的安全過濾規(guī)則�,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議�����、端口�����、源地址�、目的地址、流向等項(xiàng)目���,嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的��、非法的訪問��?傮w上遵從“不被允許的服務(wù)就是被禁止”的原則.
(2) 禁止訪問系統(tǒng)級(jí)別的服務(wù)( 如HTTP , FTP等)����。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)����。使用動(dòng)態(tài)規(guī)則管理���,允許授權(quán)運(yùn)行的程序開放的端口服務(wù),比如網(wǎng)絡(luò)游戲或者視頻語(yǔ)音電話軟件提供的服務(wù)�。
(3) 如果你在局域網(wǎng)中使用你的機(jī)器,那么你就必須正確設(shè)置你在局域網(wǎng)中的IP�,防火墻系統(tǒng)才能認(rèn)識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來,哪些是從互聯(lián)網(wǎng)來�,從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)(如文件、打印機(jī)共享)功能��。
(4) 定期查看防火墻訪問日志��,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄���。
(5) 允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置����,提高防火墻管理安全性.
4.2.5 入侵檢測(cè)
入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充����,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的安全管理能力.提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性�����。入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù),利用內(nèi)置的攻擊特征庫(kù)�����,使用模式匹配和智能分析的方法�,檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象�����,并記錄有關(guān)事件�����。入侵檢測(cè)系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警�����,使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施�。
4.2.6 漏洞掃描
隨著軟件規(guī)模的不斷增大.系統(tǒng)中的安全漏洞或“后門”也不可避免地存在.因此����,應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查����,并寫出詳細(xì)的安全性分析報(bào)告�,及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”�����。
4.2.7 數(shù)據(jù)加密
數(shù)據(jù)加密是核心的對(duì)策�����,是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)�����。
4.2.8 加強(qiáng)網(wǎng)絡(luò)安全管理
加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作�。首先,加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)和普及�����;其次���,是健全完善管理制度和相應(yīng)的考核機(jī)制��,以提高網(wǎng)絡(luò)管理的效率�。
5. 校園網(wǎng)安全策略實(shí)施
(1)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)示意
圖1 本校網(wǎng)絡(luò)拓?fù)鋱D
圖2 簡(jiǎn)化拓?fù)?b>(未完,下一頁(yè))
|