淺談實(shí)現(xiàn)教育信息網(wǎng)絡(luò)安全的對(duì)策(2)
時(shí)間:
張彭 李若思 王蓓1由 分享
二、實(shí)現(xiàn)教育信息網(wǎng)絡(luò)安全的對(duì)策
網(wǎng)絡(luò)安全是指為了保護(hù)網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。不同屬性的網(wǎng)絡(luò)具有不同的安全需求。對(duì)于教育信息網(wǎng)絡(luò),受投資規(guī)模等方面的限制,不可能全部最高強(qiáng)度的實(shí)施,但是正確的做法是分析網(wǎng)絡(luò)中最為脆弱的部分而著重解決,將有限的資金用在最為關(guān)鍵的地方。實(shí)現(xiàn)整體網(wǎng)絡(luò)安全需要依靠完備適當(dāng)?shù)木W(wǎng)絡(luò)安全策略和嚴(yán)格的管理來落實(shí)。
網(wǎng)絡(luò)的安全策略就是針對(duì)網(wǎng)絡(luò)的實(shí)際情況(被保護(hù)信息價(jià)值、被攻擊危險(xiǎn)性、可投入的資金),在網(wǎng)絡(luò)管理的整個(gè)過程,具體對(duì)各種網(wǎng)絡(luò)安全措施進(jìn)行取舍。網(wǎng)絡(luò)的安全策略可以說是在一定條件下的成本和效率的平衡。
教育信息網(wǎng)絡(luò)包括各級(jí)教育數(shù)據(jù)中心和信息系統(tǒng)運(yùn)行的局域網(wǎng),連接各級(jí)教育內(nèi)部局域網(wǎng)的廣域網(wǎng),提供信息發(fā)布和社會(huì)化服務(wù)的國(guó)際互聯(lián)網(wǎng)。它具有訪問方式多樣,用戶群龐大,網(wǎng)絡(luò)行為突發(fā)性較高等特點(diǎn)。網(wǎng)絡(luò)的安全問題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就仔細(xì)考慮,并在實(shí)際運(yùn)行中嚴(yán)格管理。為保證網(wǎng)絡(luò)的安全性,一般采用以下一些策略:
1、安全技術(shù)策略。目前,網(wǎng)絡(luò)安全的技術(shù)主要包括殺毒軟件、防火墻技術(shù)、加密技術(shù)、身份驗(yàn)證、存取控制、數(shù)據(jù)的完整性控制和安全協(xié)議等內(nèi)容。對(duì)教育信息網(wǎng)絡(luò)來說,主要應(yīng)該采取以下一些技術(shù)措施:(1)防火墻。網(wǎng)絡(luò)防火墻技術(shù),作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,包含動(dòng)態(tài)的封包過濾、應(yīng)用代理服務(wù)、用戶認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)接、IP防假冒、預(yù)警模聲、日志及計(jì)費(fèi)分析等功能,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,能夠控制網(wǎng)絡(luò)上往來的信息,而且僅僅容許合法用戶進(jìn)出局域網(wǎng)。根據(jù)防火墻的位置,可以分為外部防火墻和內(nèi)部防火墻。外部防火墻將局域網(wǎng)與外部廣域網(wǎng)隔離開來,而內(nèi)部防火墻的任務(wù)經(jīng)常是在各個(gè)部門子網(wǎng)之間進(jìn)行通信檢查控制。網(wǎng)絡(luò)安全體系不應(yīng)該提供外部系統(tǒng)跨越安全系統(tǒng)直接到達(dá)受保護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的途徑。(2)加密機(jī)。加密機(jī)可以對(duì)廣域網(wǎng)上傳輸?shù)臄?shù)據(jù)和信息進(jìn)行加解密,保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)絡(luò)會(huì)話的完整性,并可防止非授權(quán)用戶的搭線竊聽和入網(wǎng)。(3)網(wǎng)絡(luò)隔離VLAN技術(shù)應(yīng)用。采用交換式局域網(wǎng)技術(shù)的網(wǎng)絡(luò),可以用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段,根據(jù)功能、保密水平、安全水平等要求的差異將網(wǎng)絡(luò)進(jìn)行分段隔離,實(shí)現(xiàn)相互間的訪問控制,可以達(dá)到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可以分為物理分段和邏輯分段兩種方式。(4)殺毒軟件。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在網(wǎng)絡(luò)上傳播。(5)訪問控制。這是網(wǎng)絡(luò)安全防范和保護(hù)的最主要措施之一,其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬戶的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后,網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限,用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣,就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。(6)入侵檢測(cè)。入侵檢測(cè)是對(duì)入侵行為的發(fā)覺,通過對(duì)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集并進(jìn)行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。(7)網(wǎng)絡(luò)安全漏洞掃描。安全掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù),其原理是采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對(duì)象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。(8)“最小授權(quán)”原則。從網(wǎng)絡(luò)安全的角度考慮問題,打開的服務(wù)越多,可能出現(xiàn)的安全漏洞就會(huì)越多。“最小授權(quán)”原則指的是網(wǎng)絡(luò)中賬號(hào)設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小 限度、及時(shí)刪除不必要的賬號(hào)等措施可以將系統(tǒng)的危險(xiǎn)性大大降低。
2、物理安全及其保障。物理安全的目的是保護(hù)路由器、交換機(jī)、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)階段就應(yīng)該充分考慮到設(shè)備的安全問題。將一些重要的設(shè)備建立完備的機(jī)房安全管理制度,妥善保管備份磁帶和文檔資料;防止非法人員進(jìn)入機(jī)房進(jìn)行偷竊和破壞活動(dòng)。抑制和防止電磁泄漏是物理安全的一個(gè)主要問題。目前主要防護(hù)措施有兩類:一類是對(duì)傳導(dǎo)發(fā)射的防護(hù),主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器,減小傳輸阻抗和導(dǎo)線間的交叉。另一類是對(duì)輻射的防護(hù),這類防護(hù)措施又可分為以下兩種:一是采用各種電磁屏蔽措施,如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離;二是干擾的防護(hù)措施,即在計(jì)算機(jī)系統(tǒng)工作的同時(shí),利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。
3、網(wǎng)絡(luò)安全管理。即使是一個(gè)完美的安全策略,如果得不到很好的實(shí)施,也是空紙一張。網(wǎng)絡(luò)安全管理除了建立起一套嚴(yán)格的安全管理制度外,還必須培養(yǎng)一支具有安全管理意識(shí)的網(wǎng)絡(luò)隊(duì)伍。
網(wǎng)絡(luò)管理人員通過對(duì)所有用戶設(shè)置資源使用權(quán)限和口令,對(duì)用戶名和口令進(jìn)行加密、存儲(chǔ)、傳輸、提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。
網(wǎng)管人員還需要建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫,嚴(yán)格對(duì)系統(tǒng)日志進(jìn)行管理。定時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全狀況做出評(píng)估和審核,關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài),調(diào)整相關(guān)安全設(shè)置,進(jìn)行入侵防范,發(fā)出安全公告,緊急修復(fù)系統(tǒng)。同時(shí)需要責(zé)任明確化、具體化,將網(wǎng)絡(luò)的安全維護(hù)、系統(tǒng)和數(shù)據(jù)備份、軟件配置和升級(jí)等責(zé)任具體到網(wǎng)管人員,實(shí)行包機(jī)制度和機(jī)歷本制度等,保證責(zé)任人之間的備份和替換關(guān)系。
4、網(wǎng)絡(luò)安全的培訓(xùn)教育。除了對(duì)用戶進(jìn)行有關(guān)網(wǎng)絡(luò)安全的法律和規(guī)章制度進(jìn)行宣傳教育外,還必須讓網(wǎng)絡(luò)用戶知道和了解一些安全策略:包括口令的選取、保存、更改周期、定期檢查、保密。盡量不要在本地硬盤上共享文件,因?yàn)檫@樣做將影響自己的機(jī)器安全。最好將共享文件存放在服務(wù)器上,既安全又方便了他人隨時(shí)使用文件。設(shè)置有顯示的屏幕保護(hù),并且加上口令保護(hù)。定期參加網(wǎng)絡(luò)知識(shí)和網(wǎng)絡(luò)安全的培訓(xùn),了解網(wǎng)絡(luò)安全知識(shí),養(yǎng)成注意安全的工作習(xí)慣等等。
5、應(yīng)急處理和災(zāi)難恢復(fù)。為保證網(wǎng)絡(luò)系統(tǒng)發(fā)生災(zāi)難后做到有的放矢,必須制定一套完整可行的事件救援,災(zāi)難恢復(fù)計(jì)劃及方案。備份磁帶是在網(wǎng)絡(luò)系統(tǒng)由于各種原因出現(xiàn)災(zāi)難事件時(shí)最為重要的恢復(fù)和分析的手段和依據(jù)。網(wǎng)絡(luò)運(yùn)行部門應(yīng)該制定完整的系統(tǒng)備份計(jì)劃,并嚴(yán)格實(shí)施。備份計(jì)劃中應(yīng)包括網(wǎng)絡(luò)系統(tǒng)和用戶數(shù)據(jù)備份、完全和增量備份的頻度和責(zé)任人。
備份數(shù)據(jù)磁帶的物理安全是整個(gè)網(wǎng)絡(luò)安全體系中最重要的環(huán)節(jié)之一。通過備份磁帶,一方面可以恢復(fù)被破壞的系統(tǒng)和數(shù)據(jù);另一方面需要定期地檢驗(yàn)備份磁帶的有效性??梢酝ㄟ^定期的恢復(fù)演習(xí)對(duì)備份數(shù)據(jù)有效性進(jìn)行鑒定,同時(shí)對(duì)網(wǎng)管人員數(shù)據(jù)恢復(fù)技術(shù)操作的演練做到遇問題不慌,從容應(yīng)付,保障網(wǎng)絡(luò)服務(wù)的提供。
教育信息網(wǎng)絡(luò)的安全問題是一個(gè)較為復(fù)雜的系統(tǒng)工程。從嚴(yán)格的意義上來講,沒有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)。提高網(wǎng)絡(luò)的安全系數(shù)是要以降低網(wǎng)絡(luò)效率和增加投入為代價(jià)的。隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)的安全有待于在實(shí)踐中進(jìn)一步研究和探索。在目前的情況下,我們應(yīng)當(dāng)全面考慮綜合運(yùn)用防火墻、加密技術(shù)、防毒軟件等多項(xiàng)措施,互相配合,加強(qiáng)管理,從中尋找到確保網(wǎng)絡(luò)安全與網(wǎng)絡(luò)效率的平衡點(diǎn),綜合提高網(wǎng)絡(luò)的安全性,從而建立起一套真正適合教育信息網(wǎng)絡(luò)的安全體系。
參考文獻(xiàn)
[1]Jay Ramachandran(美).《設(shè)計(jì)安全的體系結(jié)構(gòu)》[M].機(jī)械工業(yè)出版社,2003年.
[2]Stallingsw,(美),《信息與網(wǎng)絡(luò)安全叢書:網(wǎng)絡(luò)安全要素——應(yīng)用與標(biāo)準(zhǔn)》[M],人民郵電出版社,2000年.
[3]網(wǎng)絡(luò)安全策略的探討http://www.happycampus.cn/pages/2003/05/30/D112865.html.