公務(wù)員期刊網(wǎng) 論文中心 正文

高職院校計算機網(wǎng)絡(luò)安全管理分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了高職院校計算機網(wǎng)絡(luò)安全管理分析范文,希望能給你帶來靈感和參考,敬請閱讀。

高職院校計算機網(wǎng)絡(luò)安全管理分析

摘要:網(wǎng)絡(luò)安全對于保護網(wǎng)絡(luò)和服務(wù)免受未經(jīng)授權(quán)的修改、破壞或泄露非常重要。至關(guān)重要的是,保護信息和用于交付的支持基礎(chǔ)設(shè)施必須建立在SJSU的網(wǎng)絡(luò)和文化中,以遵守“縱深防御”模式。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)定義了所有SJSU計算機和通信系統(tǒng)信息的網(wǎng)絡(luò)安全要求,目的是保護SJSU存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性。本文描述了訪問高職院校網(wǎng)絡(luò),通過網(wǎng)絡(luò)傳輸數(shù)據(jù),網(wǎng)絡(luò)授權(quán)和身份驗證以及網(wǎng)絡(luò)管理安全威脅的控制和過程。

關(guān)鍵詞:高職院校;計算機網(wǎng)絡(luò);安全管理

1入口過濾

網(wǎng)絡(luò)從其他網(wǎng)絡(luò)接收數(shù)據(jù)包。通常,數(shù)據(jù)包將包含最初發(fā)送它的計算機的IP地址。這允許接收網(wǎng)絡(luò)中的設(shè)備知道它來自何處,允許回復(fù)路由(除其他事項外),除非通過或欺騙性IP地址使用IP地址。發(fā)件人IP地址可以偽造。這掩蓋了發(fā)送的數(shù)據(jù)包的來源,例如在拒絕服務(wù)攻擊中。在計算機網(wǎng)絡(luò)中,入口過濾是一種用于確保傳入數(shù)據(jù)包實際來自它們聲稱來自的網(wǎng)絡(luò)的技術(shù)。這可以用作針對各種欺騙攻擊的對策,其中攻擊者的數(shù)據(jù)包包含偽造的IP地址,使得難以找到攻擊源。此技術(shù)通常用于拒絕服務(wù)攻擊,這是入口過濾的主要目標(biāo)。一種可能的解決方案涉及實現(xiàn)中間因特網(wǎng)網(wǎng)關(guān)的使用(即,沿著路徑跟隨任何給定分組的不同網(wǎng)絡(luò)的那些服務(wù)器)過濾或拒絕任何被認為是非法的分組。處理數(shù)據(jù)包的網(wǎng)關(guān)可能完全忽略數(shù)據(jù)包。在可能的情況下,它可能會將數(shù)據(jù)包發(fā)送回發(fā)送方,從而中繼非法數(shù)據(jù)包被拒絕的消息。主機入侵防御系統(tǒng)(HIPS)是技術(shù)工程應(yīng)用程序的一個示例,其有助于識別、預(yù)防或阻止不想要的、未預(yù)料到的或可疑的事件和入侵。任何實現(xiàn)入口過濾的路由器都會檢查它收到的IP數(shù)據(jù)包的源IP字段,如果數(shù)據(jù)包在接口所連接的IP地址塊中沒有IP地址,則丟棄數(shù)據(jù)包。在入口過濾中,如果發(fā)送它的網(wǎng)絡(luò)不應(yīng)該從始發(fā)IP地址發(fā)送數(shù)據(jù)包,則過濾進入網(wǎng)絡(luò)的數(shù)據(jù)包。如果終端主機是末節(jié)網(wǎng)絡(luò)或主機,則路由器需要過濾所有IP數(shù)據(jù)包,這些IP數(shù)據(jù)包具有作為源IP的私有地址(RFC1918),bogon地址或與接口不具有相同網(wǎng)絡(luò)地址的地址。網(wǎng)絡(luò)入口過濾依賴于ISP之間的合作以實現(xiàn)互利。網(wǎng)絡(luò)入口過濾的最佳實踐由BCP38和BCP84中的互聯(lián)網(wǎng)工程任務(wù)組記錄,分別由RFC2827和3704定義。BCP84建議IP連接的上游提供商過濾從下游客戶進入其網(wǎng)絡(luò)的數(shù)據(jù)包,并丟棄任何源地址未分配給該客戶的數(shù)據(jù)包。有許多可能的方法來實施這一政策。一種常見的機制是在客戶鏈接上啟用反向路徑轉(zhuǎn)發(fā),這將根據(jù)提供商對其客戶路線公告的路由過濾間接應(yīng)用此策略。禁止從公共互聯(lián)網(wǎng)(包括實驗室,工作站和測試系統(tǒng))對校園臺式機、筆記本電腦和平板電腦進行入站訪問,包括RDP和SSH。校園部門的每個信息所有者負責(zé)確保資產(chǎn)的網(wǎng)絡(luò)端口和服務(wù)具有防火墻,僅允許必要的端口和服務(wù),并且所有其他端口和服務(wù)都被阻止。信息安全辦公室每年都會對遵守情況進行風(fēng)險審查。

2安全網(wǎng)絡(luò)配置

IT服務(wù)將使用配置管理和變更控制流程主動管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全配置。IT服務(wù)將使用防火墻更改控制程序主動管理防火墻設(shè)備的安全配置,并通過信息安全辦公室進行審批。只應(yīng)向用戶提供對他們特別授權(quán)使用的服務(wù)的訪問權(quán)限。與ICSUAM8105保持一致,IT服務(wù)保留在發(fā)生信息安全風(fēng)險時隨時阻止、隱藏、拒絕或終止其網(wǎng)絡(luò)服務(wù)的權(quán)利。部門IT團隊?wèi)?yīng)在面向Internet的服務(wù)器停止服務(wù)時通知IT服務(wù)。IT服務(wù)可以根據(jù)需要選擇阻止已知協(xié)議或應(yīng)用程序類型(即SMTP,RDPBitTorrent,Ares)以維護安全環(huán)境。除非首先獲得信息安全官的事先批準(zhǔn),否則工作人員不得建立任何允許非校園用戶訪問校園網(wǎng)絡(luò)系統(tǒng)和信息的外部網(wǎng)絡(luò)連接。高職院校提供的網(wǎng)絡(luò)服務(wù)是在合同承運人的基礎(chǔ)上提供的,而不是共同的運營商。這意味著學(xué)校與用戶的關(guān)系取決于合同中的條款和條件,而不是通常適用于電話公司和相關(guān)服務(wù)提供商的法律要求。必須放置無線網(wǎng)絡(luò)接入點,并設(shè)計覆蓋區(qū)域,以便最大限度地減少未經(jīng)授權(quán)的信號攔截的可能性。應(yīng)使用適當(dāng)?shù)纳矸蒡炞C方法來控制遠程用戶的訪問。不得允許使用出廠默認設(shè)置,空白或空密碼(無字符的密碼)或不符合或超過密碼標(biāo)準(zhǔn)要求的密碼的用戶ID遠程訪問任何校園計算機或網(wǎng)絡(luò)。在允許使用連接到網(wǎng)絡(luò)的校園計算機之前,所有用戶必須使用用戶ID和密碼驗證其身份,或者通過其他方式提供相同或更高的安全性。橋接校園和外部網(wǎng)絡(luò)所需的任何診斷線路都應(yīng)得到信息安全辦公室的批準(zhǔn)。所有通過Internet在其內(nèi)部網(wǎng)絡(luò)上與SJSU計算機建立連接的用戶必須首先在采用信息安全辦公室批準(zhǔn)的擴展用戶身份驗證過程的防火墻上進行身份驗證。必須將涉及信息安全辦公室認可的公共目錄服務(wù)用于涉及連接到互聯(lián)網(wǎng)的服務(wù)器的所有用戶認證過程。在與校園內(nèi)部網(wǎng)絡(luò)建立連接時,可以自動掃描所有外部計算機以確定他們是否已安裝和操作足夠的安全措施。無法掃描的計算機以及未充分保護的計算機可能會被拒絕進行網(wǎng)絡(luò)訪問。

3遠程診斷和配置端口保護

應(yīng)控制對診斷和配置端口的物理和邏輯訪問。必須使用鑰匙鎖或相關(guān)措施安全地控制對所有診斷和維護端口的訪問,并與有效程序一起使用。應(yīng)在網(wǎng)絡(luò)上隔離信息服務(wù),用戶和信息系統(tǒng)組。訪問者連接必須使用與校園內(nèi)部網(wǎng)絡(luò)無連接的單獨子網(wǎng)。除非事先得到信息安全辦公室的批準(zhǔn),否則由校園管理或擁有的每個高安全性和高可靠性系統(tǒng)都必須擁有自己的專用計算機和網(wǎng)絡(luò)。通過Internet訪問的所有Web服務(wù)器都必須受到信息安全辦公室批準(zhǔn)的路由器或防火墻的保護。所有無線接入點必須使用信息安全辦公室批準(zhǔn)的配置,在邏輯上與校園內(nèi)部網(wǎng)絡(luò)區(qū)分開來。校園網(wǎng)絡(luò)對于高職院校各項工作的開展具有重要意義,因此必須采取有效措施保障校園網(wǎng)絡(luò)安全。本文對常用的校園計算機網(wǎng)絡(luò)安全管理措施進行了總結(jié)和分析,希望進一步提升高職院校校園網(wǎng)絡(luò)的安全性。

參考文獻:

[1]蔡昂.高職院校計算機網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計與實現(xiàn)[D].天津大學(xué),2012.

[2]黃清.高職院校計算機網(wǎng)絡(luò)安全研究與分析[J].計算機光盤軟件與應(yīng)用,2011(20)

作者:周瑾 單位:湖南交通職業(yè)技術(shù)學(xué)院