|
淺談校園網(wǎng)安全控制策略
(作者未知) 2009/4/16
(接上頁(yè))境��。
3.1.2 設(shè)備安全���。包括設(shè)備的防盜、防毀�����、防電磁信息輻射泄漏����、抗電磁干擾及電源保護(hù)等。
3.2 訪問(wèn)控制策略��。訪問(wèn)控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn), 它是保證網(wǎng)絡(luò)安全最重要的核心策略之一�����。
3.2.1 入網(wǎng)訪問(wèn)控制���。入網(wǎng)訪問(wèn)控制為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制, 它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源��;控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)�。
3.2.2 網(wǎng)絡(luò)的權(quán)限控制。網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施�。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄�����、子目錄��、文件和其他資源; 可以指定用戶對(duì)這些文件��、目錄�、設(shè)備能夠執(zhí)行哪些操作。
3.2.3目錄級(jí)安全控制����。網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件���、設(shè)備的訪問(wèn)���。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效, 用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限����。
3.2.4 屬性安全控制。當(dāng)用文件�����、目錄和網(wǎng)絡(luò)設(shè)備時(shí),網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件���、目錄等指定訪問(wèn)屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件��、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來(lái)�。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。
3.2.5網(wǎng)絡(luò)服務(wù)器安全控制�。網(wǎng)絡(luò)允許在服務(wù)器控制臺(tái)上執(zhí)行一系列操作�����。用戶使用控制臺(tái)可以裝載和卸載模塊,可以安裝和刪除軟件等操作���。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺(tái), 以防止非法用戶修改�、刪除重要信息或破壞數(shù)據(jù); 可以設(shè)定服務(wù)器登錄時(shí)間限制���、非法訪問(wèn)者檢測(cè)和關(guān)閉的時(shí)間間隔��。
3.2.6網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制�����。網(wǎng)絡(luò)管理員應(yīng)對(duì)網(wǎng)絡(luò)實(shí)施監(jiān)控, 服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn), 對(duì)非法的網(wǎng)絡(luò)訪問(wèn), 服務(wù)器應(yīng)以圖形或文字或聲音等形式報(bào)警, 以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進(jìn)入網(wǎng)絡(luò), 網(wǎng)絡(luò)服務(wù)器應(yīng)會(huì)自動(dòng)記錄企圖嘗試進(jìn)入網(wǎng)絡(luò)的次數(shù), 如果非法訪問(wèn)的次數(shù)達(dá)到設(shè)定數(shù)值, 那么該賬戶將被自動(dòng)鎖定���。
3.2.7 網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制��。端口是虛擬的“門(mén)戶”, 信息通過(guò)它進(jìn)入和駐留于計(jì)算機(jī)中, 網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動(dòng)回呼設(shè)備���、靜默調(diào)制解調(diào)器加以保護(hù),并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。自動(dòng)回呼設(shè)備用于防止假冒合法用戶, 靜默調(diào)制解調(diào)器用以防范黑客的自動(dòng)撥號(hào)程序?qū)τ?jì)算機(jī)進(jìn)行攻擊��。網(wǎng)絡(luò)還常對(duì)服務(wù)器端和用戶端采取控制, 用戶必須攜帶證實(shí)身份的驗(yàn)證器(如智能卡����、磁卡、安全密碼發(fā)生器) �����。在對(duì)用戶的身份進(jìn)行驗(yàn)證之后,才允許用戶進(jìn)入用戶端�����。然后, 用戶端和服務(wù)器端再進(jìn)行相互驗(yàn)證�����。
3.3 防火墻控制策略
防火墻是近期發(fā)展起來(lái)的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施, 它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障。它是位于兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)(可能是軟件或硬件或者是兩者并用) , 用來(lái)限制外部非法(未經(jīng)許可) 用戶訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源�����,通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò), 以阻擋外部網(wǎng)絡(luò)的侵入, 防止偷竊或起破壞作用的惡意攻擊���。
3.4 信息加密策略
信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)�、文件���、口令和控制信息, 保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)�。網(wǎng)絡(luò)加密常用的方法有鏈路加密����、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全;端點(diǎn)加密是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù); 節(jié)點(diǎn)加密是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)�����。信息加密過(guò)程是由各種加密算法來(lái)具體實(shí)施��。多數(shù)情況下, 信息加密是保證信息機(jī)密性的唯一方法��。
3.5網(wǎng)絡(luò)入侵檢測(cè)技術(shù)
試圖破壞信息系統(tǒng)的完整性����、機(jī)密性�、可信性的任何網(wǎng)絡(luò)活動(dòng),都稱為網(wǎng)絡(luò)入侵�。入侵檢測(cè)(IntrusionDeteetion)的定義為:識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為,并對(duì)此做出反應(yīng)的過(guò)程�����。它不僅檢測(cè)來(lái)自外部的入侵行為�����,同時(shí)也檢測(cè)來(lái)自內(nèi)部用戶的未授權(quán)活動(dòng)。入侵檢測(cè)應(yīng)用了以攻為守的策略�����,它所提供的數(shù)據(jù)不僅有可能用來(lái)發(fā)現(xiàn)合法用戶濫用特權(quán),還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)�。
3.6備份和鏡像技術(shù)
用備份和鏡像技術(shù)提高完整性。備份技術(shù)是最常用的提高數(shù)據(jù)完整性的措施�����,它是指對(duì)需要保護(hù)的數(shù)據(jù)在另一個(gè)地方制作一個(gè)備份�����,一旦失去原件還能使用數(shù)據(jù)備份���。鏡像技術(shù)是指兩個(gè)設(shè)備執(zhí)行完全相同的工作����,若其中一個(gè)出現(xiàn)故障�,另一個(gè)仍可以繼續(xù)工作���。
3.7有害信息的過(guò)濾
對(duì)于校園網(wǎng)絡(luò)����,由于使用人群的特定性���,必須要對(duì)網(wǎng)絡(luò)的有害信息加以過(guò)濾�����,防止一些色情�、暴力和反動(dòng)信息危害學(xué)生的身心健康����,必須采用一套完整的網(wǎng)絡(luò)管理和信息過(guò)濾相結(jié)合的系統(tǒng)���。實(shí)現(xiàn)對(duì)校園內(nèi)電腦訪問(wèn)互聯(lián)網(wǎng)進(jìn)行有(未完��,下一頁(yè))
|