要保证校园网信息安全、健康地运营,需从两个方面入手: 一是保证校园网安全的整体方案,另一个是校园网个人用户的安全策略。
现代校园网是一个开放的网络环境,校园网的用户各种各样。由于校园网安全与人的安全意识和技能紧密相关,因此,对校园网不同类型用户进行安全教育,将有利于校园网的安全应用。
校园网整体安全需求
校园网边界安全管理需求
为了保护校园网的安全,校园网边界安全管理总体目标就是确保校园网与外界网络的信息交换安全可控,既要能够保证正常的校园网和互联网的信息交换,同时也能阻挡恶意网络访问,例如端口扫描、非授权访问行为、病毒、不良网站等。
校园网漏洞及补丁管理安全需求
校园网是一个由多协议、多系统、多应用、多用户组成的复杂性网络环境,校园网中的网络设备、操作系统、数据库、应用软件都存在难以避免的安全漏洞。为了要保障校园网安全,必须做好校园网漏洞管理。
校园网服务器安全需求
校园网服务器存储大量信息,例如学生档案、学生作业、考试数据、网页文件等。其安全需求有: 对服务器访问要进行安全身份认证,非认证用户无法进行访问; 服务器提供的资源受控制,防止非授权人员拷贝、修改、发送; 支持远程安全管理,校园网管理员能够从远程进行安全登录,为其传输的信息加密; 服务器的操作行为有严格审计,能够防止黑客有意删除; 服务的安全状态能够实时显示,各种安全组件的工作状态能够被监测到; 服务器在受到损害时,至少能做到数据恢复可用。
校园网安全监控管理安全需求
对校园网络进行安全监控,就如同在教学大楼内安装的闭路电视监控系统。其主要需求有: 对校园网关键区域的信息流动进行动态监测,能够把网络上流过的所有数据包,通过实时检测和分析,及时发现非法或异常行为; 对校园网紧急事件(网页篡改、试题盗窃)以最快的速度阻止; 能够按要求存储校园网访问日志记录,提供进行关键词查找和离线分析功能; 对校园网特殊安全事件进行回放。
校园网病毒安全管理需求
病毒是校园网安全隐患之一,必须做到有效控制。其主要需求包括: 杀毒软件不仅要能保护文件服务,同时也要对邮件服务器、网站服务器、学生和教职员工用的PC、网关等所有计算机设备进行保护; 杀毒软件能从邮件、FTP文件、网页、软盘、光盘等所有可能带来病毒的信息源进行监控和病毒拦截; 杀毒软件查杀能力能够覆盖最新病毒,查杀病毒是多多益善,重点是目前的流行病毒。
校园网安全运维管理需求
校园网的硬件环境建设完毕后,一项重要的工作就是做好校园网的维护工作,保证校园网的稳定、安全运行,能够满足学校教学活动的要求。校园网的安全运维需要有一个校园网安全运营中心(School Security Operations Center,简称SSOC),通过SSOC强化安全管理工作,对校园网不同教学场所设备、不同计算机系统中的安全事件进行监控、汇总和关联分析,提供可视化校园网安全状况展示。针对不同类型安全事件提供紧急应对措施。实现校园网络集中安全管控,保护校园网络数字资产安全。
校园网个人用户的安全
要保证校园网个人用户的信息安全,必须从环境、自身、产品和意识等方面出发,逐个解决存在的问题,把可能的危险排除在发生之前。一般来说,校园网个人用户需从八个方面入手来解决。
物理环境安全
物理环境安全也称实体安全,是指包括环境、设备和记录介质在内的所有支持信息系统运行
的硬件的总体安全,是网络系统安全、可靠、不间断运行的基本保证。在校园网络环境中,要尽量防止意外事件或人为破坏具体的物理设备,如服务器、交换机、路由器、机柜、线路等。
个人计算机设备安全
对于校园网中存在的个人设备,不要给攻击者创造能接触主机的机会,不要以为机器没有加电就是安全的,攻击者可以把硬盘拿走复制数据后再拿回来。要保证个人计算机设备的安全,最好对机箱采取一定的防护措施,把不用的设备在系统中禁止掉,防止从软驱或USB 等接口窃取数据。
个人计算机启动安全
计算机在出厂的时候,系统的启动设置默认为优先从软盘启动,这样会给能从物理上接触计算机的攻击者提供了机会,攻击者只需要用一张软盘就能启动计算机,然后自由地访问用户数据,从而绕开操作系统的密码验证功能。所以,在不需要软盘作为启动设备的时候,一定要在BIOS设置成系统优先从硬盘启动。另外,对于校园网中重要的服务器,最好能对BIOS做一些其他的安全设置,例如,设置计算机系统开机保护口令,禁止使用移动存储设备启动等等。
使用个人防火墙
个人防火墙是抵御各类网络攻击最有效的手段之一,它能够在一定程度上保护操作系统信息
不对外泄漏,也能监控个人电脑正在进行的网络连接,把有害的数据拒绝于门外。
使用反病毒软件个人版
目前互联网上的病毒非常猖獗,达几万种之多,传播途径也相当广泛,有软盘、光盘、E-mail 和甚至利用系统漏洞进行主动传播的网络病毒,这就需要在个人计算机上安装防病毒软件来控制病毒的传播。在单机版的防病毒软件使用中,必须要定期或及时升级防病毒软件和病毒码特征库。
使用加密软件
在对操作系统系统添加了防火墙和防病毒等安全防护措施后,并不等于系统就处于安全的状态了,比如: 你的数据仍然可能被人查看、你的E-mail 内容也有可能会被截获,因为这些数据都是明文的。采用加密软件能够很好地保证数据安全。例如,Windows系统下,加密文件系统的使用能够保护系统数据不被泄密; 采用PGP邮件加密软件能够保证邮件加密传输。
提高安全意识
网络安全本身涉及到法律、道德、知识、管理、技术、策略等多个方面,这是一个有机的结合体,而不是功能的简单叠加。在做好技术防护的同时,还需要把安全意识的提高放到议事日程上来。
链接:加固个人用户的桌面系统
迄今为止,没有任何一个桌面操作系统厂商能说自己的产品是绝对安全的。随着技术的发展,桌面操作系统越来越复杂,代码量越来越大,从而导致桌面操作系统的脆弱点也越来越多,所以很多操作系统厂商在推出产品以后定期发布补丁包或更新程序等,Windows和Unix 等桌面操作系统的官方网站发布的大量网络安全漏洞证实了这点。主要从以下三个方面入手:
安装系统补丁: 针对安全漏洞最有效的方法就是安装系统补丁。需要注意的是,下载补丁程序前一定要仔细阅读附带的安装说明书,以便做好数据备份等预防工作,以免导致系统无法启动或数据破坏等情况。
最小化安装系统: 在系统集成的时候,90%的计算机用户会采用系统的默认安装,而实际上不少系统功能模块不是必需的,要保证系统安全,需遵循最小化原则,能不装的一定不装,一定要装的要尽量少装,以免带来安全隐患。
进行必要的安全设置: 操作系统安装完成后,要对系统的安全策略进行必要的设置。例如,用户权限的分配、共享目录的开放与否、磁盘空间的限制、注册表的安全配置、浏览器的安全等级等等,系统默认的配置适合大多数人使用,但其安全性往往是较差的,所以要对系统中和安全有关的项目进行仔细的设置,以使得系统达到较高的安全等级。
作者:蒋建春 文伟平 吕洪利 覃祖军 来源:计算机世界·技术与应用 2007年14期