首页 -> 2007年第1期
校园网络的安全性策略
作者:薛彩菊
一、技术方面
1.防火墙技术
防火墙是实现网络安全最基本、最经济、最有效的安全措施之一,其特征是通过在网络边界建立相应的网络通信监控系统,通过监测、限制、更改跨越防火墙的数据流,并通过制定严格的安全策略,实现内外网络或内部网络不同信任域之间的隔离与访问控制,进而实现对应用系统的安全保护。设置防火墙,可实现外网与校园内网的隔离。
2.入侵检测系统
入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E mail),从而防止针对网络攻击行为。入侵检测系统一般包括控制台和探测器(网络引擎):控制台用于管理所有探测器(网络引擎);探测器(网络引擎)用于监控进出网络的访问行为并根据控制台的指令执行相应行为。配置入侵检测系统,可实时监控外来入侵和内部用户的非授权操作。
3.漏洞扫描技术
漏洞扫描技术是一种弥补入侵检测系统不足的技术手段,用以自动检测系统的脆弱点,发现安全漏洞,及时进行修补,并可提供相应的安全建议,是一种非常积极的安全防护技术。如配备操作系统安全扫描系统,有利于发现操作系统可能存在的安全漏洞,从而提高了更新配置或升级的针对性。关闭一些不经常用的端口,从而减少受攻击的漏洞。定期对系统漏洞进行扫描和修补,确保系统的正常运行。
4.身份认证技术
认证技术有多种,如PKI公钥基础设施数字证书,主要用于确认数据信息的身份信任、完整性、不可否认性和秘密性。通过对外来用户的身份验证来保证外来访问的安全。
5.病毒防御
杀毒系统可以预防、扫描和杀除计算机病毒,防止病毒的传播扩散。“预防”——通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,当有病毒入侵时会对用户提示,从而阻止计算机病毒进入计算机系统和对系统进行破坏;“扫描”——通过对计算机病毒特征的判断(如自身校验、关键字、文件长度的变化等),对文件进行全方位扫描,确定病毒的类型,检测出病毒;“杀除”——通过对计算机病毒代码的分析,来杀除计算机病毒。
二、管理方面
在反病毒软件中,防火墙等构成的网络防御体系足以对抗网外的攻击。
建立全校统一的身份认证系统。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
针对来自校园网内的威胁,学校必须对学生进行网络安全教育的同时,进行道德教育,防止校园网内用户的相互攻击,从而引起网络故障和数据丢失。
(责任编辑 陈国庆)