校园网安全防御策略

校园网安全防御策略（精选10篇）

校园网安全防御策略 第1篇

关键词：蜜罐,主动防御,安全策略

引言:

随着高等院校教育网络的不断发展, 加大了信息资源共享度, 提高了工作效率。校园网可以轻松实现辅助学生学习、无纸化办公、教师查阅资料等。许多学校为了保证校园网的安全运转, 通常会采用防火墙加入侵检测系统来保障。但是这种防御手段具有一定的局限性, 难于防范校园网内部的攻击, 而且入侵检测也存在一些问题, 漏报、对于加密的通信, 未知攻击, 还没有在防火墙规则库和入侵检测模式库中建立规则和模式定义的攻击、非法行为, 防火墙和入侵检测将无能为力。而且被动的工作方式, 只能检测攻击而不能阻断攻击。

1 校园网安全系统模型及设计

本文主要采用蜜罐技术, 蜜罐技术在于防御的一方第一次具有了掌控局势的能力, 安全防御一方有了主动还击的手段。使用者可以利用蜜罐系统开展主动的研究活动, 也可以通过蜜罐系统对攻击者进行控制和引导。它的核心价值在于对校园网内的非法活动进行监视、检测, 并进行分析。

根据对蜜罐的技术分析, 基于主动防御的校园网安全策略主要解决七个技术问题, 分别是: (1) 入侵检测; (2) 入侵行为控制; (3) 入侵行为分析; (4) 入侵行为记录; (5) 服务模拟; (6) 行为捕获; (7) 数据融合。

校园网安全系统以P2DR模型为基础, 合理利用主动防御技术和被动防御技术来构建动态安全防御体系, 根据现有安全措施和工具, 在安全策略的基础上, 提出基于主动策略的校园网安全系统模型, 如下图所示:

在这个系统模型中, 入侵检测主要负责监视网络异常, 当发现有可疑动作或者是攻击行为时, 立即将这一结果通知入侵行为控制, 并将该数据提交给服务模拟系统;服务模拟在入侵行为控制的监控下向可疑行为提供服务, 并调用行为捕获对系统所有活动进行详细的记录;数据融合定期从入侵行为记录的不同数据源提取数据, 按照统一数据格式整理, 融合, 提炼后, 发给入侵行为分析, 对可疑行为记入侵行为作进一步分析, 并通知入侵行为控制对入侵行为进行控制, 并提取未知攻击特征, 通过入侵行为控制对入侵结检测模式库进行更新, 将新的模式添加进取, 通过这一过程, 实现对校园网安全的防范和控制。

根据系统模型, 我们的安全系统主要由四个模块组成, 它们分别是数据捕获模块、数据控制模块、日志模块和响应模块。

数据捕获模块通过捕获到数据, 利用这些数据研究攻击者的技术、工具和动机。基于主动防御的校园网安全系统实现了三层数据捕获:防火墙日志、嗅探器捕获的网络数据包、蜜罐主机系统日志。

响应模块通过日志分析对报警事件进行响应, 以响铃、邮件或是短信等方式提醒管理员注意。

2 基于主动防御的校园网安全系统的实现

出于对系统的有效性的考虑, 可以采用已有的网络技术来完成相应的功能, 因此, 采用虚拟机技术和Linux脚]平台来搭建系统平台。采用一台较高性能的IBM服务器作为主动防御系统的平台。该平台配置如下:处理器两个INTEL P4, 内存2G, 两块73G SCSI硬盘, 。网络环境:内网1000M到楼宇, 100M到桌面, 外网10OM。

系统的网桥实现。网桥部分是主动防御系统的关键部分。在网桥主机上集合了信息收集与控制功能, 并且还在上面设置了日志系统。由于硬件田间有限, 我们使用VMware软件建立了Linux虚拟机系统, 并在上面配置网桥。Linux2.6.x系列的内核默认情况下就支持网桥功能, 它通过IPTables防火墙的支持来实现, 任何穿过网桥的数据包可以被递交给IPTables规则进行过滤处理。结果是防火墙可以是完全透明于网络的, 不需要特殊的路由功能。就互联网而言, 防火墙并不存在, 除了特定的连接被阻塞。。为方便配置的实施, 可以通过编写网桥配置脚本bridge.sh来配置。

通过IPTables扩展选项limit可实现蜜网外出连接数限制。利用limit在FORWARD链配置规则, 限制对外发起的连接数上限, 这个限制可以是每秒 (或者分、小时、天) 多少个连接。根据要求, 我们添加了IPTables规则来限制对外连接数, 下面我们以限制TCP包为例加以说明, UDP、ICMP和其它数据包作同样处理。

使用Mysql数据库来记录Snort报警日志、Sebek系统活动日志和网络数据日志, 这需要定义三个数据存储表, 分别是网络数据存储表net_data、Snort报警数据存储表ids和Sebek系统活动存储表sebek。数据库定义好了之后, 我们通过Walleye的基于Web的图形界面来分析我们保存在数据库的日志。

设计的系统利用Swatch自动在系统日志中提取管理员感兴趣的记录, 并通过电子邮件等方式把警报信息发送给管理员。

3 结束语

蜜罐技术应用于基于主动防御的校园网安全系统, 可以解决现有校园网网络安全防御体系的缺点, 在这个系统中, 利用Linux的防火墙网桥功能对外部网络与蜜罐网络进行桥接, 利用防火墙和网络入侵检测系统对蜜罐网络进行数据控制和捕获, 不让攻击者易察觉受到了监视, 同时, 了解攻击者攻击的技术和方法;发现系统的弱点和漏洞;收集攻击者攻击的证据;对攻击进行预警, 从而有效保障校园网的安全。

参考文献

[1]唐世伟, 梁兴柱, 司国海.基于虚拟机技术的产品型蜜网设计与实现.大庆石油学院学报.2005.10

[2]应锦鑫, 曹元大.利用蜜罐技术捕捉来自内部的威胁.网络安全.2005.1

校园网安全防御策略 第2篇

关键词：高校;信息系统;主动安全防御;安全预警

0引言

校园网安全防御策略 第3篇

关键词：网络安全；防御；安全策略

中图分类号：TP393.1文献标识码：A文章编号：1007-9599 (2011) 05-0000-01

Windows-based Network Security Defense and Security Policy

Yin Pengfei

(Dalian Jiaotong University,Dalian116028,China)

Abstract:Internet and the growing popularity of Intranet,network security issues are also increasingly prominent in the open network environment to ensure data and system security have become issues of concern to many people in the industry,and increasingly urgent and important.In this paper,Windows network security defenses under the corresponding analyzed,and how to develop appropriate security policies.

Keywords:Network security;Defense;Security policy

随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。在各种攻击行为日益猖獗的情况下，如何为客户构建一个完善的网络安全防御系统就成为一个迫切需要解决的问题，以下本文将结合工作实践，重点论述构建一个网络安全防御系统和如何指定系统安全策略。

一、确定方案的目标与用户职责

设计一个网络安全防御系统的方案，其目标首先在于定义整个系统中期望的计算机和网络的正确使用策略，其次是防卫安全事故的程序以及发生安全事故的解决程序，要完成整个方案，你必须考虑你的系统的目标。同时，在你制定一个网络安全方案之前，确定每个用户为整个安全方案承担的责任是非常重要的。安全方案的相关人员可能有多个责任层次，例如在每个层次里，每个用户都有保护私人账号的职责，而系统管理员有另外的保证系统安全的职责，网络管理者则又是另外一个层次。在你确定谁应参与系统开发和谁负责实施之后，下一步就是确定风险何在而你的保护对象又是什么。

二、风险分析

在进行风险分析时有两个因素是必须要考虑的：1.确定资产大小；2.确定风险大小。你的安全方案对每个资产者都应该进行完整有力的保护，而对每一个风险，你就应确定风险如何影响到安全性，及对这些风险如何进行防卫。以下将分别叙述资产与风险大小的确定。

（一）确定系统资产情况。进行资产确定的目标是列出安全事故能够影响到的任何资产，一般来说，信息系统资产应该包括以下的六个种类：1.数据：所有数据都受到保护；2.软件：应保护组织开发的任何软件和安装于系统中的任何软件；3.硬件；4.人员：保护用户账号和权限；5.档案：应保护自己的档案；6.物资：保护纸张，表格和磁介质的清单。

以下的分类方式将信息分为四个级别，其中一级为敏感度最低的级别，而四级为敏感度最高，最重要的信息级别。以下分别就四个级别的信息特点加以描述：

级别1：公开或未分类信息：该类信息数据不需要经过公司任何批准就可以向大众公开。这类的信息的完整性并不重要，如果由于恶意攻击造成该类信息的服务不能正常工作，这种情况也是完全可以接受的。

级别2：内部信息。外部对这类信息访问是被禁止的，但如果这些信息被公开，其后果也并不严重，对内部用户的访问授权是有选择性的，该类信息的完整性重要但并不关键。

级别3：私有信息。该类信息在公司内部是私有的，而且严格禁止外部访问，如果该类信息被未授权用户访问，将对公司正常运作产生影响，并导致经济上的损失，为竞争对手提供有力的帮助，或导致客户对公司的信任度严重降低，该类信息的完整性是非常关键的。

级别4：秘密信息。未授权的外部或内部用户对这类数据的访问对公司是非常致命的，数据完整性非常关键，有权访问这类数据的用户数目应该限制在很小的范围内，对这类数据的使用需要施加严格的规则。

在你开发安全方案之前，务必要列出属于上述每个项目的每个资产的清单，并确定所有相应的信息资源的安全级别及相应的系统安全性需求。以清楚的认识和了解你的系统资产状况。

（二）确定风险大小。确定网络系统的风险大小，需要确定以下五个因素：1.系统漏洞；2.可能的攻击者及攻击目的；3.可能使用的攻击工具及攻击地点；4.攻击可能导致的后果；5.网络系统本身的用户风险。

三、制定安全策略

（一）整体安全策略。任何的网络系统都应该建立自己的一套安全策略，这套策略的目标在于保护重要数据的目的，并根据你的资产的重要程度以及面临的安全威胁提出相应的应对措施。

（二）信息安全策略。信息安全牵涉到三个方面的内容，包括信息存储，信息传输，信息销毁。针对我们前面提出的信息分类级别，应该在这三个方面采取不同的安全策略。

（三）个人安全策略。个人信息在处理或传输过程中应该根据国家有关法律得到保护。具体应该包括：

1.口令策略。采用一个好的口令策略是防制未授权访问的一个最重要的屏障，好的口令应满足如下的条件：

口令应该混合数字，大写字母，以及小写字母，以及标点。

口令应该容易记忆

口令应该能够快速敲入

2.软件策略。前面己经提到根据不同的信息级别，系统安全性也就有不同的要求，同样分为4个级别，软件策略在这四个级别的系统安全性上也就有相应的不同要求。

3.网络安全策略。私有信息在公网中传输时必须加密。因此，可以指定网络连接策略，也可以进行拨号策略。此外，还需要制定电子邮件策略，从而在极大的程度上维护系统安全。

4.互联网策略。在今天的信息社会中连接到互联网已经是不可避免的事了，假如用户被允许访问互联网，他们必须清楚的知道以上提到的可能带来的危险，以及公司对于使用互联网的安全策略，也就是说必须为使用互联网制定一套专门的安全策略。

参考文献：

[1]彭文波.网络欺骗方法及攻防实例[J].计算机安全,2006,1:54-56

高校校园网安全防御体系的构建 第4篇

1 安全现状

最近几年, 校园网的用户不断增多, 网络管理的难度加大, 网络建设的缺点和漏洞导致的不安全因素也日渐明显, 影响网络的正常运转。主要表现在:由于校园网外部用户有可能通过文件传输或者是一些聊天工具把病毒传入校园网内, 内部的教师和学生也有可能在不经意间传播了网络病毒, 所以校园网随时都会受到网内、外病毒的威胁;校园网内部的用户如果对Internet进行非正常操作, 浏览一些带有病毒的网站, 或者是下载并使用病毒软件, 那么校园网就会受到木马、蠕虫等病毒的破坏;部分网络黑客恶意对校园网络及服务器发起攻击, 致使校园网络全面陷入瘫痪;大部分校园网的管理人员和师生并没有网络安全防御意识, 学校对校园网的管理不予以重视, 也是潜在的威胁之一。

2安全防御体系的构建

当网络受到各方面的攻击时, 虽然例如360防病毒软件和防火墙等网络安全产品对校园网网络的安全起到了一定的保护作用, 但是当对网络的攻击连绵不断时, 这些安全软件就会暴露出自身的缺点。不难想象, 这种“各扫门前雪”的安全系统无法抵御错综复杂的病毒。面对这种情况, 我们要清楚的意识到:目前, 网络信息安全技术与安全隐患正在进行一场深入的、多元化的较量。因此, 只有使用多面化、科学化的安全网络体系才能彻底地解决“各自为战”的传统局面, 才能取代或者是完善陈旧的防御措施。

组成安全体系的要素

由于我国各高校网络设备和技术水平的不同, 其实施的安全防御体系方案也有所区别。我们可按照校园网的组成因素和安全隐患, 将校园网安全管理措施分为网络安全设施、网络管理员两类。

实施策略

1. 系统安全

系统层面的安全主要包括硬件和软件系统的安全。硬件系统的安全是指环境安全、设备安全和线路安全。对主要设备的安全管理, 是建立完善的安全管理体系的前提, 要对路由器、服务器和主干交换机硬件设施实施集中管理;避免网络硬件物体和通信线路受到自然灾害以及人为的破坏;对通信线路要采取深埋或者是穿管、架空的措施, 并做明显记号, 预防受到损坏;严格执行国家关于网络信息系统中心或是对机房建设的要求进行设计和施工。

软件系统的安全重点面对的是电脑内各种软件系统以及相关应用产品的安全缺陷带来的威胁, 主要可以采用以下技术方式来解决:

首先, 利用电脑自身系统或者是第三方可信任软件自动检查和更新机制, 经常对电脑系统进行体检或者是大扫除、升级等。

其次, 关闭容易被木马等病毒袭击的端口, 时刻警惕最新病毒的攻击, 及时更新系统。

2. 网络安全预防方法

(1) 严格控制用户对网络边界的访问

由于安全问题, 对于安全等级不同的网络边界, 必须要用防火墙加以控制, 利用防火墙对用户关于校园外网和Internet访问内容加强控制和过滤, 可有效地预防多种网络安全问题。私人电脑也应该安装相应的安全软件, 提高电脑的防御能力。

(2) 网络区域的规划

如果等级不一的安全域出现在同一局域网内, 可以采取规划子网并划分VLAN和设置控制列表的措施加以控制, 例如:通过划分子网对学生宿舍电脑和学校办公网络加以控制, 限制学生用自己的电脑访问办公网络。

(3) 预防校园网内、外合力攻击

为更好地预防网络内、外病毒的攻击, 建议把入侵检测系统安装在每个安全域内。

(4) 建设预防病毒系统

在校园网内, 安装相应的防毒系统, 对网络的服务器、终端的病毒进行集中的防控、管理和检查, 保护全网安全。

3. 应用方面的安全措施

在应用方面, 主要的安全措施有以下几点。

(1) 身份许可

为了分辨校内、校外用户以及使用校园网信息资源的不同, 要采取不同的措施, 只允许被授权的用户进入网络, 保证校园网络的安全。

(2) 对安全系统进行审计

针对用户的认证资料和其他一些信息, 成立安全审计系统, 保证审计效果的真实性, 并做成报表, 并使其成为网络通信管理者管理网络的依据。

(3) 对网络数据进行备份

网络数据备份是在出现意外情况时, 短时间内将网络原有的信息进行还原, 将损失降到最低, 是保证网络安全的最后一道防线。

(4) 设立邮件网关

目前各种垃圾邮件泛滥, 针对这种情况, 校方要在邮件系统的配合下设立邮件网关, 保证电子邮件的安全, 采用先进的科学技术拦截、过滤垃圾邮件。

(5) 在集中区域实现共享上网

用代理的方式确保学校机房、办公区域等上网比较集中的区域能够共享上网, 不仅有利于提高网站的访问速度, 而且有利于网络安全的控制。网络中还原卡使用起来比较方便, 正因为这样也容易出现安全漏洞, 使用户的电脑无法保留任何安全方面的信息。

4. 管理层面的安全

俗话说:“三分技术, 七分管理”, 也就是说安全管理和安全技术的相互配合是网络安全实现的前提。因此, 为了实现管理层的安全, 必须做到以下几点。

(1) 完善校园网安全的管理体制

由于校园网的用户日益增多, 建立一套行之有效的安全管理体制很有必要。校园网安全水平的提高需要制度和设备的有效结合。建立一个依据我国有关法律、法规和学校的管理条例为基础的管理体制, 并以网络安全条例或者是安全管理办法的形式予以公布。

(2) 加强校园网用户的安全意识

保证校园网安全的关键是加强安全意识的培养和用户的管理。对于使用人员, 进行必要的网络安全意识的教育, 使其自觉遵守有关的网络安全制度, 提高整体人员对网络安全的防范能力;对于网络管理人员, 要定期不定期地进行知识和技术培训, 提高网络技能和网络管理水平, 更好地对网络进行监控和管理, 把危险降到最低。

(3) 建设网络安全管理平台

集中监控所有的安全系统和设备并进行综合分析, 以公布安全制度的形式告知用户有效的行为范围和违反制度的处罚规定。

3 结语

校园网安全防御策略 第5篇

前言

在计算机软件开发的过程中，算法或数据逻辑的问题经常会导致计算机软件及操作系统出现异常，此类异常是计算机软件的重大安全隐患，一般会造成用户数据丢失、损坏或软件系统崩溃[1]。软件开发人员在软件设计中首先要考虑的是用户的需求问题，之后通过相应的算法实现用户所需功能，但是为防止其他人员剽窃其软件开发思路，软件开发者一般采用数据加密的方式进行防御；软件的用户则更加关注软件的稳定性及数据的安全性，这些都是软件安全问题的一部分。

一、主要安全问题

计算机软件在计算机系统中具有极其重要的作用，相当于人类解决问题的知识，不包含软件的计算机系统仅等同于植物人，只有在安装相应的软件之后，计算机才可以看做是一个具有思想的“人”[2]。根据对计算机的资源调用能力可将计算机软件分为系统软件和应用软件，系统软件主要负责对计算机硬件资源的分配，以实现其他软件的正常运行，而应用软件在计算机系统中则负责实现对应的功能。

根据以上分类则可将计算机软件安全分为系统安全和应用程序安全。系统安全一般是指系统程序在设计中存在的逻辑缺陷，针对这些系统逻辑缺陷，黑客、病毒及木马能够进入计算机系统并进行操作，盗取计算机用户的数据或者对数据进行破坏。应用程序安全则是指应用程序在设计中存在的逻辑缺陷，一般情况下应用程序的缺陷并不会对系统运行产生影响，仅软件自身存在问题，但一些特殊的应用软件具有调用系统底层命令的功能，若此类软件出现逻辑缺陷则会影响系统的安全，使计算机系统在运行中出现安全隐患。总之，计算机软件系统的安全问题会给用户带来极大的损失，应给予足够的重视，下面着重探讨计算机应用程序的安全问题。

二、软件安全检测

通过安全检测能够发现计算机软件在设计过程中出现的逻辑错误和数据错误，并针对已知的错误对软件的设计进行修正，故软件的安全检测在程序设计中占有极其重要的地位，作用也十分显著。在计算机软件安全检测中能够通过较少的时间将软件中存在的安全漏洞进行及时的修复，已经成为计算机软件设计中有效保证程序安全的关键步骤。虽然通过软件安全检测能够发现程序中存在的大部分漏洞，但对于部分符合逻辑却影响程序运行的漏洞则很难检测出，这证明采用安全检测并不能完全保证软件的正常运行，还需要在实际使用中对软件进行各种测试，以收集软件漏洞，同时采取主动防御措施，完善计算机软件的安全性[3]。

三、软件安全防御策略

（一）安全检测方案

采用安全检测方案对计算机软件的安全性进行测试，这需要测试者对程序的设计有充分的了解，并根据软件的需求和功能选择相应的检测手段，以保证检测能够顺利进行并达成预期目标。由于测试人员一般不参与软件的开发过程，故在测试过程中应与程序开发者进行密切沟通，确保信息的及时性和准确性，只有与开发人员通力合作才能够顺利完成软件安全性的检测。在计算机软件安全性检测中，涉及到的领域十分广泛，首先应针对软件的各个模块进行检测，确保各模块的功能均能实现，在此基础之上再进行整个软件系统的功能检测和逻辑检测则相对简单得多。目前使用的软件安全性检测方法有以下几种，分别为形式化的安全检测、逻辑检测、语法检测、静态检测和动态检测。在不同领域的应用软件其功能和服务对象均有一定的差异，这就需要在检测中选择合适的方法，以实现快速、有效的检测软件的安全性。随着信息技术的不断发展，检测技术也逐步完善和创新，为未来的软件安全领域提供了更多的便利。

（二）培养良好的软件使用习惯

计算机软件存在的逻辑错误若被不法分子利用则会给用户带来严重的损失，其中包括数据丢失、用户信息丢失以及数据损坏等[4]。故计算机用户应提高自身的安全意识、规范操作，在计算机系统中安装杀毒软件并采用硬件防火墙，在上网过程中应避免打开不熟悉的网页和邮件，对于需要从网络中下载使用的软件，应在下载之后进行病毒和木马扫描，以保证软件的安全性。近年来由于电子商务系统的流行，用户网络购物及网上支付的频率逐渐提高，特别是在网上支付的过程中，一定要有防范意识，避免不必要的损失。在退出网页之前一定要点击安全登出，以免其他用户使用时获取前一用户的信息。总之，只有提高安全防范意识并规范自己的操作才能够避免损失。

（三）在程序设计中完善软件功能

软件在设计过程中不可避免的会存在一定数量的漏洞，这就需要程序设计人员在进行软件开发过程中尽量简化代码，采用通用的格式进行编写，以方便后期代码检查及安全性检测过程中测试人员的操作。在软件设计之初，开发人员应充分了解用户的需求，从而全面规划用户的功能模块和设计细节。通过用户反馈的信息修改软件设计中的不足之处，以用户的需求作为软件开发的第一目标才能够很好的解决设计中的问题，提高软件的安全性和实用性。

软件开发由于其工作量较大，故各部分功能的实现一般由不同的软件工程师完成，在开发过程中因为开发人员存在不同的设计理念，故在实际操作中会采取不同的方案，对同一方案也会有不同的理解，这也会导致程序在完成之后会有数量不等的漏洞。对于以上因素则需要软件开发人员在设计中进行充分的沟通，减少软件的逻辑错误，提高其安全性。

结论：综上所述，计算机软件的安全问题已经成为软件开发人员和用户共同关注的问题，虽然在软件开发中不可避免的会存在一定的漏洞，但通过开发人员和检测人员的努力，应当将软件的安全隐患降至最低。同时用户也需要养成良好的软件使用习惯，建立足够的安全防范意识，以避免操作失误所导致的软件安全问题。

参考文献

[1]左岑.计算机软件的安全防御策略探析[J].计算机光盘软件与应用，2013，20（12）：151-152.

[2]陶穆.浅谈电脑软件安全问题与防御对策[J].计算机光盘软件与应用，2014，05（01）：295-297.

[3]荆卫国.计算机软件的安全防御对策探讨[J].电子技术与软件工程，2013，11（04）：41-42.

[4]贾杰.计算机软件安全检测技术研究[J].计算机光盘软件与应用，2012，05（06）：204-205.

基于校园网安全的主动防御系统部署 第6篇

主动防御系统是一种主动的、智能的入侵检测、防范及阻止的系统，它能够对网络的入侵行为和攻击性流量进行主动拦截，即在攻击行为发生前就加以遏制[1]。因此，在校园网中设计和部署主动防御系统能够给校园网的安全带来较好的保障，也有助于学校的各项教学、科研和管理工作的正常开展。

1 校园网安全问题与防御

1.1 校园网安全现状

校园网面临的安全问题主要有很多，其中，既有网络管理员的专业知识和技能不够或责任心不强而造成网络系统本身的故障或不稳定，也有对外部攻击(如黑客、病毒或木马等)的防御能力不足而造成网络资源的无法访问、数据损坏、信息泄漏，甚至整个网络系统的瘫痪。

针对上述的安全问题，目前，在校园网络中主要采用传统的安全防御机制如下：

1)加密机制：主要用于对校园网中的各种服务在通信过程中的信息进行保密，通常采用加密算法对数据或者通信的业务流进行加密，如采用SSL的安全站点。

2)数字签名机制：主要用于保证通信过程中的不可否认性，它能验证文件在传输过程中是否被改动，确保传输文件的完整性、真实性和不可抵赖性。它一般应用于校园网的邮件系统和办公自动化系统中。

3)访问控制机制：主要用于控制对网络系统资源的访问，一般对被访问资源设置相应的访问权限，防止未经授权的访问。网络文件系统(NFS)是校园网访问控制机制的主要应用。

4)信息过滤机制：主要用于对进出网络的信息进行控制，允许或者禁止指定的信息进出网络，防止非法的信息对网络系统进行破坏。校园网中，防火墙就是完成此项工作。

当前，校园网络受到的安全威胁趋向于综合化、复杂化和大规模化，另外，黑客攻击的手段也越来越高明和隐蔽，因此，对于检测和防御这些入侵和攻击行为的难度也不断在增加，而这些传统的安全防御机制已经很难在校园网复杂的环境下发挥其安全防御的作用。

1.2 主动防御技术原理

主动防御机制是指在动态过程中，直接对网络信息进行监控，能够完成牵制和转移黑客的攻击，对黑客入侵方法进行技术分析，对网络入侵进行取证甚至对入侵者进行跟踪[2]。主动防御技术一般可以分为：1)以入侵检测为主要手段，如流量分析、漏洞监测、日志审计等，此技术主要通过检测到有攻击行为发生后来进行实时的主动防御;2)以网络伪装为主要手段，通过对真实的信息中添加虚假的信息来误导攻击者，使得攻击者很难利用这些虚假信息来对网络实施攻击;3)以网络诱骗为主要手段，在攻击者未实施攻击或破坏之前，预先设置了一些陷阱，诱导攻击者对其进行攻击，从而获取黑客的攻击行为，并对其进行分析，进而设置相应的防御策略，必要时还可以对其进行警告或反击，典型的技术有Honeynet(“蜜网”)、Honeypot(“蜜罐”)等。

建立主动防御系统需要将各种安全产品进行有机的结合，使之形成一个动态的、多层次的立体化防御系统，P2DR模型是网络动态安全防御的主要模型，它包含四个主要部分：策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[3]，如图2所示。防护、检测和响应构成了一个“动态的、完整的”安全循环，在策略的整体指导下保证网络系统的安全[4]。

P2DR模型可以综合利用防御工具(如加密、数字签名、身份认证和防火墙等)，同时，还可以利用检测防御工具(如漏洞扫描、入侵检测、入侵防御等系统)来了解和评测网络系统的安全状况。

2 校园网主动防御系统部署

P2DR模型可以将现有的校园网内的安全防御设备进行综合利用，使之成为一个有机的防御系统，增强校园网的安全防御能力。

2.1 校园网主动防御系统架构

本文按照P2DR的模型，设计了校园网主动防御系统拓扑图，如图2所示，其中，按照校园网的功能结构分成三个主要部分，即教学科研子网、实验室子网和宿舍子网，在这些子网的入口处设置了硬件入侵防御系统IPS(Intrusion Prevention System)，如Cisco IPS 4200、RG-IPS等;在各子网的汇聚层交换机处设置一台高性能的计算机入侵检测传感器(Sensor)，其上运行入侵检测程序，如基于Linux平台的Libpcap、Tcpdump等;另外，在网络入口处设置一个模拟真实的网络环境的，用来捕获且研究入侵行为的Honeynet[5]。

2.2 具体实现

1)策略子系统

从图1中可以看到，策略子系统在整个P2DR模型中处于核心位置，防护、检测和响应三个子系统都是以此为中心的。因此它的设计尤为重要，本文对校园网主动防御策略的设计如图3所示。

Firewall(防火墙)是校园网入侵防御的基本设施，它能将常见的攻击信息进行过滤;而Sensor的主要作用是实时检测攻击行为，并在特征库中进行模式匹配，如果匹配成功即对其阻断，如果发现有不能匹配的可疑行为(Suspicious Action)，则报告给IPS进行相应的特征、流量、协议等异常分析，并做出关键字过滤、阻断SCAN、会话监控、流量监控和相关网络应用服务的防护等防御措施。如果IPS仍不能处理，则通过Router(路由器)导入到Honeynet中，在其中对其行为进行分析取证，获取相应的特征码，再交由IPS，增强IPS的入侵免疫力。

2)防护子系统

此部分作为校园网络安全的第一道安全防线，它主要的功能是预防网络的攻击行为对校园网络及其中的主机进行破坏，图2中，防火墙和路由器就属于此系统的硬件设备部分。

主要的实施策略是：(1)设计合理的网络拓扑结构，充分应用防火墙和路由器的访问控制策略对进出网络的非法信息进行过滤，利用VPN的数据加密和身份认证技术来阻止非法用户对网络的访问，同时保证信息在通信过程中不被窃听或篡改;(2)对于网络中不需要的服务应该关闭，对系统需要和应用软件及时更新补丁，防止黑客利用系统的漏洞来实施攻击。

3)检测子系统

防护子系统不能够100%的拦截对网络安全有威胁的信息，因为，黑客的攻击方法、系统和软件的漏洞都在不断地推陈出新，以及校园网络中部分用户的安全防范意识较差，所以，仅靠被动的防御还不够，而需要能够实时检测网络中的通信，以便及时发现恶意的攻击信息并做处理。

目前主要采用的检测设备可以是专门的硬件IDS或基于Linux平台的入侵检测系统IDS(Intrusion Detection System)入侵检测软件。采用的检测模式可以是模式匹配或异常检测，异常检测模式的误报率相对较高，而模式匹配模式的漏报率则相对较高。

4)响应子系统

响应子系统主要是在检测到网络中的异常行为时，能够及时对其进行判断，并做出相应的处理，具体的响应技术可以有报警响应、自动响应系统和手动响应系统。在本系统中，入侵检测程序如果检测到入侵行为后可以报警响应，也可以使用和防火墙进行联动的自动响应方式，当检测到入侵行为时，通知防火墙制定相应的策略进行拦截。同时，IPS也采用主动响应方式，它能够检测发现对入侵行为并能对其进行阻断。另外，网络管理员可以通过对相关日志的审核来查看是否有入侵行为，然后再制定对应的防御策略来进行手动响应。

3 结束语

随着校园网络应用规模的扩大化和复杂化，其面临安全问题也变的越来越复杂，而主动防御系统改变了传统的被动防御的理念，不是等到入侵和攻击行为发生之后才去制定防御策略，而是主动去预先阻止这些行为的发生，保障校园网络的安全。但是，目前，主动防御系统在校园网中的部署还没有普及，主要原因是：首先是入侵的检测技术还不够成熟，存在大量的漏报和误报现象;其次，对安全威胁的自动响应能力还不足，各种安全防御设备的联动性还不够好。因此，校园网的主动防御技术还需要继续深入研究，使之真正形成一个有机的防御体系，增强校园网络的安全。

摘要：随着校园网办公自动化的不断普及,校园网络的安全问题也越来越受到更多地重视,它关系到学校的教学、科研和管理地工作是否能够正常进行。而传统的校园网安全防御体系已经很难适应当前复杂、大规模的攻击行为。虽然主动防御系统还存在着一些技术上的不足,但是它能够主动地检测、分析这些攻击行为,并对其及时阻断并提高系统的免疫力。该文以P2DR为实施模型,并结合现有的安全防御技术,构建了针对校园网存在的安全问题的主动防御系统及其相关的实施策略。

关键词：校园网,主动防御,P2DR,IDS,IPS

参考文献

[1]李小平,王意洁,王勇军.入侵防御系统的研究与设计[J].微计算机信息,2006,22(11):88-90.

[2]王利林,许榕生.基于主动防御的陷阱网络系统[J].计算机工程与应用,2002,(17):177-179.

[3]韩锐生,徐开勇,赵彬.P2DR模型中策略部署模型的研究与设计[J].计算机工程,2008,34(20):180-183.

[4]黄家林,张征帆.主动防御系统及应用研究[J].网络安全技术与应用,2007,(3):48-51.

校园网信息系统安全防御体系的构建 第7篇

1 信息系统的特点

基于校园网的信息系统具有类别广泛、网络依赖性强、访问模式明确以及数据的高度安全性等特点。一般包括学籍管理、成绩管理、教学评估、网上选课等方面，所有这些都要借助于良好的信息网络才能实现，而信息系统的数据覆盖教学环节等各个方面，系统一旦运行异常将会造成严重后果，因此对校园网络的稳定性、网络及信息的安全性以及数据保密性等有很高的要求。就用户访问系统模式而言，可以采用B/S模式，而对安全性能较高的系统则使用C/S模式。一般综合应用系统则采用C/S与B/S复合模式。

2 网络环境安全

网络安全可以分为外部网络安全和内部网络安全两部分。外网安全主要由网关、防火墙等产品来实现。

2.1 加强校园网安全管理

一方面建立健全校园网安全管理制度，另一方面有意识地加强专职网络管理员的安全意识，严格执行安全保密制度。通过不断完善信息系统网络数据库，建立健全系统日志，定期监测校园网络的安全态势。必要时，可以借助于磁盘阵列的高存储速度和自动数据备份的特性等方式来构建安全可靠的数据存储、备份和还原体系，以保障信息网络安全可靠。

2.2 定制网络安全策略

网络安全策略是指为了使网络免受来自内外网络的各种危害而采取的一系列防范措施。主要根据网络的实际情况，在网络管理的整个过程中，对各种网络安全措施进行取舍。校园网信息系统具有用户数大、上网形式各异以及并网用户数不定等特点，所以网络的安全策略需要根据学校网络的实际使用情况具体分析、统筹考虑，力求科学合理。

2.3 网络环境安全措施

2.3.1 加强防病毒治理

在网络服务器上安装网络版杀毒软件防止病毒侵害，通过人工或自动升级病毒库，定期查杀联网计算机，建立科学有效地的病毒预警机制。条件具备时，可以考虑在某些权限较高的机器上安装保护卡和软件还原系统。

2.3.2 配置过滤器和防火墙

防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。从某种程度上，可以把防火墙视为是一个过滤器或控制器，通过它能实时有效地监视和控制内外网络间的通信活动。事实上，防火墙只有合理选择并设置具体应用协议才能发挥其安全优势，通过滤除不安全的信息来达到降低网络风险的目的。与传统的将网络安全问题分散给不同的机器相比较，防火墙的集中安全管理更为方便。根据自身安全需要，可以选择网络层防火墙、应用层防火墙或数据包过滤防火墙，通过配置切实可行的安全策略，来决定数据信息的通过与否，以确保系统的安全。

2.3.3 增强网络传输安全

对校园网来说，可以用VLAN技术来加强内部网络管理。根据业务及安全程度的需要，给予一定区域网络分段并有效隔离，从而实现不同网段的访问控制以达到非法用户不能访问指定网段机器信息。特别是对于权限较高的用户来说，网络分段能限制其在某些特定的机器上进入信息系统。各子网通过智能交换机、路由器等中间设备进行连接，利用其较强的安全机制来控制各子网间的互相访问。在校园网应用中，常用物理分段或逻辑分段来实现，一般的做法是将二者结合起来，亦可配合IP地址、MAC地址的绑定和客户端程序的控制来实现。

2.3.4 使用入侵检测和漏洞扫描系统

入侵检测系统(简称IDS)是通过从网络或系统的关键点收集并分析信息，从中发现是否有违反安全策略的行为和迹象。入侵检测系统可以视为更高一级的防火墙，它能更加有效地实时保护网络安全，免遭来自网络的各种攻击。从多层次安全防御的角度出发，入侵检测不失为一种积极主动的安全防护技术，能有效、实时进行拦截和响应，增加了提前量。而漏洞扫描技术则是检测远程或本地系统安全脆弱性的一种安全技术，通过程序来自动完成。使用漏洞扫描系统能及时查看系统、网络设备及数据库等存在的安全隐患，为整体网络安全提供决策支持。通过与目标主机TCP/IP端口建立连接并请求某些服务，记录并搜集目标主机相关信息及时发现目标主机存在的安全弱点，缩短了检测时间，帮助人们及早排除安全隐患。

3 服务器端安全措施

校园网信息系统中，服务器端一般使用Win2000 Server操作系统。一般只有正确安装、设置操作系统，才能发挥其强大的安全机制。

3.1 建立独立分区

微软的IIS组件漏洞较多，在其安装过程中，倘若和win2000操作系统放在同一个分区中，将会给操作系统带来各种不安全隐患。为了防止这类事故，可以建立三个逻辑分区，C分区安装操作系统及常用的日志等文件，D分区单独安装IIS组件，其他如FTP服务等放在E分区中，这样的好处是：当IIS或FTP服务受到非法攻击时将不会直接影响到主系统文件，从而减轻了安全维护工作。

3.2 正确安装操作系统

在Win2000 Server安装实践中，须认真对待以下事项：首先是何时接入网络。在安装操作系统时，当输入管理员密码的同时，系统也建立了用户管理员账户的共享，但设定的密码却保护不了admin账户，在没有重新启动系统之前，其他行为很容易通过已共享的系统账户进入系统。而当安装结束以后，系统将经常启动各种应用服务程序，而此时就会暴露出操作系统太多的漏洞，因此，建议在未安装完和配置好服务器操作系统之前，禁止机器联网。其次是安装程序补丁的问题。一定要在各程序安装完毕后再进行安装操作系统或应用程序补丁程序，否则可能导致补丁不能起到应有的作用。

3.3 服务器端安全配置

3.3.1 端口配置

:端口是计算机和外部网络相连的逻辑接口，原则上，只打开需要使用的端口，方法是网卡属性—TCP/IP—高级选项—TCP/IP，选中启用TCP/IP筛选。

3.3.2 IIS配置

IIS组件漏洞很多，最好不要选择默认安装模式，建议去除Inetpub及Scripts等目录的网络共享或直接删除它们，否则，极易受到黑客攻击。若一定保留，选择服务属性，对主目录那个选项更改为新的位置。如设置IIS时，在其他分区建一个文件夹Inetpub，将默认的主目录重新定向即可。此外，对权限和执行程序的权限不设置或慎重设置。

3.3.3 应用程序配置

在IIS管理器中删除不必要的映射，方法是：右键单击IIS管理器主机，选择属性、服务编辑，在主目录配置选项中勾选应用程序映射，删除这些映射。退出时要让虚拟站点继承前面所设定的属性。

4 信息系统软件安全

网络内部的安全是通过操作系统和系统数据库软件提供的安全机制来解决。这里主要讨论校园网信息系统数据库及应用程序的安全。

4.1 严格限制用户访问

限制和审查用户访问一般包括用户账户名、登录密码的合法性认证以及及指定帐户的缺省限制审查等内容。当用户被确定合法后，允许进入信息系统，只能进行有限范围的功能操作，这样就保证了信息系统资源不被非法用户访问和使用。校园网信息系统的使用面广，对某些权限较高用户，要严格审批。当用户第一次登录时必须有强制更改口令的策略并及时更新。此外关闭一般性用户的文件上传功能，以免病毒上传到服务器。

4.2 加强系统数据库安全

校园网信息系统一般使用SQL Server数据库，数据库本身拥有较强的安全机制。

4.2.1 身份认证

数据库身份认证包括Windows身份认证和混合认证两种模式。前者是数据库系统的默认模式，使用操作系统的安全机制，当用户通过操作系统认证连接数据库时，数据库许可用户请求。而混合认证则是当用户被确信可靠合法时，数据库系统直接采用Window认证模式。否则，系统采用混合认证(数据库认证)模式。即系统首先要检查用户账户名及口令，确认后允许访问SQL Server服务器，否则不响应请求。两种模式各具优点，前者安全性高，后者安全性低，但后者操作简便、容易实现。一般地，当强调集中管理用户或安全要求较高时，选用Windows认证;否则选择混合认证。

4.2.2 存取控制

SQL Server数据库是基于角色的权限管理。它将用户分成若干组(角色)，采用存取控制来实现控制用户对数据库的访问。通常，存取控制分为客户端存取控制和服务器端存取控制两种方法。前者通过建立数据库表，存放不同用户的存取权限为用户规定不同的操作界面，当用户访问数据库服务器时，系统检索数据库表记录，分配其指定的的存取等操作权限;服务器端存取控制则是信息系统使用数据库组管理办法，由系统管理员通过系统权限设定界面统一管理分配不同组的存取等操作权限。实际应用中，应根据应用系统不同需求采取有效的存取控制方法。

4.2.3 数据库审计

数据库审计主要是某些应用需要对数据库的访问做审计记录，通过审计发现哪些用户何时以何种方式访问过数据库的哪些对象以及对象有何变化，通过全面监视插入、修改、删除等一系列行为及事件，来分析、比较数据库数据信息的状态面貌等，为最终发现威胁数据安全的事项以便采取相关措施。通常可以使用日志文件和数据库触发器两种安全策略，若系统数据信息保密性不强，一般采用日志文件安全策略。

4.3 信息系统功能安全

为了全面增强信息系统的安全性能，通常在其功能层面上考虑如下措施。

4.3.1 功能权限管理

不同职责的人员，对信息系统各功能模块操作的的权限也不一样。一般可分为功能权限管理和资源权限的管理两部分，通过严格的权限管理可以对各类用户功能进行科学划分，从而阻止用户非法及越权等功能操作，保证了校园网信息系统的安全。

4.3.2 登录身份认证

登录身份(SESSION)认证是信息系统为防止非法用户不经登录界面直接进入信息系统功能页而采取的安全措施。简单地说，就是服务器给客户端的一个编号，当每个用户首次与服务器建立连接时，就与这个服务器建立了一个Session，同时服务器自动为其分配一个SessionID，初始值置空。通过判断SessionID值是否为空来防止非法用户直接进入系统功能界面。

4.3.3 IP限制

虽然信息系统将用户大都指定为有3种身份，但只有在指定IP范围内的用户才能访问系统资源。限制IP方法很多，本文不再累述。

5 结束语

校园网信息系统的安全防御本质上是一个系统工程，需要结合校园网络及具体信息系统本身的特点，多层次综合考虑网络内外系统的安全需求，将各种管理策略措施与行之有效的安全技术有机地结合起来，构建出较为严密的安全防御体系，从而有效地预防各种安全隐患，确保信息系统安全稳定地运行。

摘要：在校园网应用过程中,人们往往侧重于网络环境安全,而忽视了信息系统层面的安全防范。针对校园网信息系统的特点,阐述了网络环境安全(网络层)、操作系统安全(服务器层)、信息系统软件安全(数据库应用程序层)等安全防范措施,构建了一套应用系统多层次安全防御体系。

关键词：校园网,信息系统,安全,体系

参考文献

[1]李思齐,文洋.Internet安全构建[M].北京:电子工业出版社,2006.

[2]李晓黎,张巍.ASP+SQL SERVER网络应用系统开发与实例,2005.

[3]卢云燕.网络安全及其防范措施[J],科技情报开发与经济,2006(10):35-36.

校园无线网络安全综合防御 第8篇

随着带有无线功能笔记本的普及,校园内无线需求激增。无论是教师或者是学生都希望在校园内随时随地接入网络,因此无线校园网迅速得到了普及。但是由于无线网络采用的是公共电磁波,类似早期的HUB,任何人都有条件窃听或干扰信息。使用Omni Peek等抓包工具分析后,能够比较容易的免费上网甚至入侵学校的服务器[1]。2008 WPA加密首先已经被国外人员率先破解[2]。最近,Elcomsoft推出Elcom Soft Distributed Password Recovery分布式密码暴力破解工具,能够利用Nvidia显卡使WPA和WPA2无线密钥破解速度提高100倍。由于软件还允许数千台计算机联网进行分布式并行计算[3],无线网络受到的极大的威胁。

1 传统的无线安全措施及其缺点

1.1 软件安全设置及其优缺点

传统的软件安全设置主要包括修改默认的SSID并禁止广播和设置黑白MAC地址名单并绑定相应的VLAN[4,5]。

每个无线网络都有一个服务区标识符(SSID),类似windows中的域,只有SSID相同的无线客户端(STA)才能通过AP(无线接入点)接入网络。为适应商业网络STA经常流动的需要,无线交换机通常默认启用SSID的广播。因为校园网的上网成员相对固定,因此,有必要禁用SSID广播来提高网络的安全性。通常设备制造商都在他们的产品中设了一个默认的SSID。例如思科linksys设备的SSID通常是“linksys”,TP-LINK的为“TP-LINK”。修改以阻止非授权的无线客户端通过猜测来进入该网络是最基础的防护手段。

理论上说,任何一个网络设备都一个独一无二的物理地址,称之为MAC地址。因此,在无线交换机上可以设置黑白名单:在黑名单上可以禁止一些MAC用户接入,白名单为合法用户,允许接入。

不过,上面的两条安全措施仅仅只能在一定程度上防止网络入侵。例如在XP系统下,用户很容易修改自己网卡的MAC地址。另外,通过对无线抓包软件的仔细分析后,也可以得到白名单的MAC地址。即使接入点禁止广播SSID,在客户端和接入点之间来回传送的流量最终也会暴露出SSID。即使攻击者并非刻意监控RF频段,也可在上述传输过程中通过无线抓包软件嗅探到SSID,因为它是以纯文本格式发送的。

1.2 无线加密传输及其优缺点

由于WEP天然的缺陷[6],所以很快推出了WPA。802.11i规定了两种企业级加密机制,分别是:TKIP(临时密钥完整性协议)和AES(高级加密标准),这两种加密机制已分别被Wi-Fi联盟纳入WPA和WPA 2认证中。

由于WPA TKIP协议的缺陷,破解者可以得到通信的密钥,从而看到通信的数据。但是,由于WPA协议采用的是每一节点均使用一个不同的密钥对其数据进行加密,因此不存在全部破解的问题,看到的仅仅某个用户的数据。因此,校园网用户不必草木皆兵。在关键区域,用户可以采用其它的通信加密措施,让整个通信过程更安全。比如可以使用VPN系统配合WPA进行工作,这样即使数据被截获,也无法看到真正的信息。

由于加密会耗费无线交换机的CPU资源,尤其在低档的校园无线交换机上,无线网络的安全特性极大影响传输性能。多次测试表明,当采用WEP128位加密传输模式时,网络传输性能会损失28%-75%,传输性能的损失与交换机CPU处理速度直接相关。

2 综合无线安全防护措施

软件和加密协议简单易行,但是仅仅靠上述方法无法实现校园网络的安全。而应该和其他手段共同配合来提高安全性。

2.1 天线的合理选用和布局

WLAN是工作在2.4G或者5.8G频段。由于频点很高,因此穿墙的能力非常弱,只能穿过一般的门窗。由于考虑的成本和覆盖范围考虑,不少学校AP配置的天线为杆状全向天线。这种天线向周围均匀发射,造成覆盖范围过大,使得入侵者很容易收到信号,从而入侵网络。在校园的不同区域,应该选用不同的天线类型和安装方式。比如在普通教学区域,可以把AP布放在走廊边,采用吸顶式定向天线伸出天花板进行安装。如下图所示。吸顶天线与平常使用的全向天线不同,它在内部设计上增加了一个反射板,把辐射更多地向下反射,能够提高辐射范围的信号强度。使得覆盖范围内信号很强,也覆盖范围之外信号变得非常弱(因为天线方向向下)。一方面可以实现有效覆盖。另外,其他楼层来说由于是定向天线,加上穿过楼板后信号衰减,网络不能覆盖。因此入侵网络基本变得极其困难。吸顶式天线价格很便宜,仅仅几十元,很容易推广。

在操场开阔地区,应该采用全向天线以加强覆盖。但是在天线选址的时候一定要注意尽可能的在操场中间,避免无线信号覆盖校园其他部位。为了防止非法用户入侵,还应该加上其他身份认证措施。

2.2 合理配置AP发射功率

如果能够满足覆盖要求的话,一定要设法降低AP的发射功率。功率降低会减少对其他AP的干扰,因为覆盖范围有限,又降低了网络入侵的可能性。对于H3C无线AP来说,多数默认最大发射功率为100m W(20d Bm),可以通过max-power15命令,将最大功率降低为15d Bm。在降低发射功率的时候,千万不要采用摘掉天线的做法,否则可能对AP的发射管造成损坏。

2.3 接入进行身份认证

在有线网络中,通常接入局域网中不进行身份认证。也有的学校在无线网络建设中,采用了类似的模式,特别是部分高校和运营商合作,即校园网内部不进行认证和收费,如果要上互联网必须通过运营商的认证收费系统。这种认证模式客观上会造成非法终端不经过任何认证入侵校园网内部,必须加以避免。

在图1中,任何接入到AP的无线网络设备,必须通过认证服务器的认证才能够接入网络。设置身份认证身份验证拨号用户服务后,没有合法授权的用户将不能通过身份验证,因此无线校园网解决了接入的安全问题。在实践中可以通过应用WPA、802.1x/EAP等无线安全技术,与校园内部的统一账号管理平台或者一卡通数据库进行联动联动认证,无线接入认证系统对接入校园的无线办公网络的终端进行身份认证[7]。

2.4 对入侵者诉诸法律

无线定位可以分为软件和硬件。硬件的有专门的无线电测向仪,可以对无线用户进行定位。软件如Ekahau公司的Ekahau Vision软件,无需增加额外的硬件设施(如读卡器、exciter、激励器、天线等),利用现有无线网络Wi Fi的网络设备即可进行定位。其基于专利技术高精度算法的软件,通过定位引擎计算定位,定位精度在3米左右,最高能至1米。如果发现有入侵的无线客户端,可以使用定位系统或者无线电测向仪等共同配合进行查找[8],将入侵者诉诸法律。

3 结论

由于无线网络的开发性,在无线校园网时代,必须采用综合的安全措施才能最大程度的保证网络安全。这些措施不仅包括技术上的问题,必要的时候,对入侵者诉诸法律,将大大威慑网络入侵行为。

摘要：由于无线网络的开放性,使得校园无线网络频繁受到攻击。文章针对无线网络的特点,在传统进行软件安全设置、加密的基础上,提出了综合的无线安全防护对策。包括软件安全设置、无线加密、控制无线信号覆盖、接入认证、诉诸法律等综合方法。

关键词：校园,无线网络,安全,综合,防御

参考文献

[1]罗燕羽.WPA被破解后的对策[J].网络安全技术与应用,2009,4.

[2]WILDPACKETS,INC.OmniPeek Network Analyzer.[DB/OL].http://www.wildpackets.com/products/network_analysis_and_monitoring/omnipeek_network_analyzer.[2009-9-1].

[3]Elcomsoft.Password recovery software.[DB/OL].http://www.elcomsoft.com/edpr.html#formats.[2010-9-1].

[4]吕海燕,吕红,任颖,赵媛,周立军.无线网络的安全机制及其实施[J].中国现代教育装备,2010,(03).

[5]杨天化.浅谈无线网络安全及防范策略[J].浙江工贸职业技术学院学报,2010,(02).

[6]袁爱杰,胡中栋,万梅芬.基于无线网络安全WEP协议的探究[J].计算机时代2009,(04).

[7]陈亮,张鹏,陈旭翔,蔡世贵,毛仕文.基于统一账号认证的无线接入综合管理平台[J].电信工程技术与标准化,2010,(06):48-51.

高校校园网络安全防御体系研究 第9篇

互联网的快速发展改变了人们的生活, 而我们所说的信息安全已经从一般性的安全防卫, 变成了一种非常普通的安全防范, 从一种研究型的学科, 转变成了影响着人们的学习、生活和工作的一门技术。校园网络是实现高效教育信息化的重要设施, 作为高等院校的信息、管理平台, 在教职员工及学生的日常工作、学习、娱乐以及生活中发挥着举足轻重的作用。因此, 建立健全校园网络的安全防御体系, 网络管理者运用科学的方法、端正的态度、严密的管理来维护和管理校园网络是非常必要的。本文中, 我们以咸阳师范学院校园网络为例进行研究。

1 校园网现状与问题

1.1 校园网建设现状

咸阳师范学院校园网络的骨干网已经达到了千兆, 100M到桌面, 总体分为三级架构即核心层、汇聚层和接入层。咸阳师范学院校园网接入服务商是咸阳电信, 其提供100M光纤宽带服务。网络提供的服务主要有:Web主页服务、DNS域名解析服务、E-mail邮件服务、Internet接入服务、校内网络杀毒服务、办公自动化服务等。

1.2 面临的主要问题

(1) 校园网络覆盖范围发生变化。由于近几年招生规模的不断扩大, 学校相应配套设施也在逐年增加, 这些都必须加入校园网, 并且原来未曾入网的学生宿舍也将纳入网络覆盖范围, 因此必将引起网络结构的变化。

(2) 原有网络设备也落后于发展的需要。学校现有的网络设备已经不能满足日益发展的网络需求, 性能已经远远低于现在网络的发展和应用。

(3) 校园网用户的安全意识不强、网络的管理制度不够完善, 缺少行之有效的监控措施。

了网络中各种不稳定因素大量的存在。比如, 各种操作系统以及应用系统自身的漏洞带来的安全风险。Internet网络用户对校园网存在的非法访问或恶意入侵的风险等。

2 网络安全方案设计

2.1 防止内外的攻击威胁的入侵检测系统

为了校园网的安全, 我们可以在防火墙的基础上再引进入侵检测系统 (IDS) , 作为防火墙的有益补充, 这样可有效地防止来自网络内外的攻击。防火墙由于性能的限制通常不能提供实时的入侵检测能力, 对于校内用户所做的攻击, 防火墙更是形同虚设。为了在网络安全的层次和网络安全区域方面进一步加强, 我们可以选择在校园网络中建立一套入侵检测系统。IDS入侵检测技术是一种主动保护自己免受攻击的网络安全技术。入侵检测技术能够帮助系统对付网络攻击, 扩展系统管理员的安全管理能力 (包括安全审计、监视、攻击识别和响应) , 提高信息安全基础结构的完整性。

2.2 建立VPN系统

VPN即虚拟私有网络技术, 它的安全功能包括:通道协议、身份验证和数据加密。VPN的工作原理是这样的:远程外网客户机向校园网内的VPN服务器发出请求, VPN服务器响应请求并向客户机发出身份质询, 客户机将加密的响应信息发送到VPN服务端, VPN服务器根据用户数据库检查该响应, 如果账户有效, VPN服务器将检查该用户是否具有远程访问的权限, 如果该用户拥有远程访问的权限, VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

2.3 网络防病毒平台的建立

目前, 计算机病毒的种类与传播媒介日益繁多, 病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。计算机病毒防护已经成为计算机网络系统安全策略中的重要手段。

鉴于校园网内部行政及办公部门数据资较为重要, 所以配备病毒防护软件是十分重要的。为了减轻病毒更新及软件维护的繁重工作量, 一般应采用企业版防病毒软件作为防病毒整体解决方案。企业版防病毒软件, 除了提供在工作站的防病毒程序外, 更在服务器上提供了管理程序 (对所有工作站的防病毒软件进行中央控管) 以及软件分发 (Deployment) 程序, 从而解决了“防病毒软件统一安装”及“病毒码统一更新”两大难题。

2.4 科学的流量控制策略

随着校园规模的不断扩大, 在校师生员工的逐渐增多, 为了满足老师和学生的上网需要, 就要通过对网络设施的提升来扩大校园网的规模, 出口带宽也不断在增加, 各种网络应用也更加的丰富。但是宝贵的带宽却被流媒体和软件的下载大量占用了, 甚至影响到学校正常的网络应用。当然, 导致校园网络异常流量的因素还有很多, 有病毒木马等有害程序, 有网络教学软件错误使用, 设备线路故障, 最主要的还是P2P软件的使用。

3 总结

目前高校校园网络普遍存在网络连接形势复杂、网络设备种类数量繁多、使用的操作系统平台不统一等诸多问题, 同时高校师生作为一个特殊的使用网络的群体, 其用户与一般局域网用户不同, 网络高手众多, 对于技术的尝试性、好奇性、新鲜感, 时时考验着校园网络的安全。

本文根据当前咸阳师范学院校园网的现状和当前网络技术的发展趋势, 提出了校园网建设方案, 相关的工作包括:

(1) 通过需求分析, 提出了校园网络架构的升级设计, 其主要特征是核心层线路的冗余及各核心交换机的功能区域的划分。

(2) 针对网络安全的实际需求, 提出了安全技术要求及具体的设计方案, 包括入侵检测、VPN技术、病毒防护、存储备份等。

本文应用网络系统工程思想, 在对咸阳师范学院校园网进行整体规划的基础上, 紧紧围绕基础网络安全畅通、出口网络安全畅通和数据、服务的安全稳定进行了研究、分析和设计。论文在网络工程改造、技术选型、出口线路设计及重要设备的选型上进行了较为详细的分析, 重点突出。

校园网安全防御策略 第10篇

为了提高网络资源的共享性能, 很多大学已结合校园的实际情况组建了完善可靠的有线局域网络, 便于无线网络用校园原有有线网络间进行数据信息资源的实时共享, 提供WLAN无线局域网络组成的经济可靠性, 大学校园无线局域网通常采用接点网络。WLAN主要针对流动性较强的教学楼、老师办公楼、以及一些大型的会议室等布线不太方便的地方进行网络设计。对于大学校园内的一栋流动性较强的综合大楼其无线局域网的组网结构如图1所示。

从图1可知, 对于一个布线不太便捷的流动性较强的综合大楼而言, 通常采用多个无线AP来实现综合大楼无线局域网络的组建。通过在每楼层中布置一个无线AP, 将网络信号覆盖到该层所需组建无线局域网络的每一个角落, 从而实现网络信息资源的实时共享。但是对于一个大型会议室而言, 其在召开大型会议时所需使用的笔记本和PDA数量必定很多, 这样就很可能造成连接到无线接入终端的无线网络设备过多, 造成网络发生拥塞等影响网络数据通信性能问题;同时多个无线AP同时在同一地方使用, 必定会造成网络信号发生覆盖重复, 从而大大降低网络通信性能。无线局域网络虽然有效克服了有线局域网络使用不灵活等不足, 但由于其组网结构的灵活性必然会引进新型数据传输不安全因素。

2 校园无线网络信息安全综合防御方案

为了确保大学校园无线局域网数据传输的安全可靠性, 在无线局域网组网过程中, 应该结合校园网络的实际情况, 采取多种安全防御策略方案有效提高大学校园无线局域网络的网络数据信息资源的传输和接收安全可靠性能。

2.1 严格监控校园无线网络信号覆盖区域

针对大学校园群体的权限特点, 应该对不同用户使用不同的权限认证安全防护方法, 以此来确保校园无线局域网网络使用的安全可靠性。为了保证大学校园无线局域网网络进行数据信息传得安全可靠性, 在无线局域网络组建过程中, 必须结合校园的实际情况合理布设无线网络用户访问点的天线, 使无线访问点始终控制在校园网络封闭监控范围内, 避免无线网络信号超过校园监控范围。对于大学校园无线网络系统而言, 通常将无线网络天线布设在校园计算机网络监控中心, 尽量减少网络信号泄露到校园外部。在校园无线网络安装调试过程中, 应该使用可移动的无线监测设备对无线网络信号范围进行彻底勘测, 并动态反映在校园无线网络拓扑结构图中, 有效提高无线局域网络信号监测安全可靠性。

2.2 采取不同权限认证体系

对于校园网络而言, 为了充分发挥大学校园内的网络数据信息资源, 通常可以按照校内用户和校外访问用户两类进行权限划分。校内用户主要是学校的教师和学生, 由于其工作学习等需求, 必须能够满足其在校园内随时随地访问校园无线网络资源以及访问Internet数据资源。由于校内用户所访问的数据信息中, 大多是科研成果、研究数据资料、论文、以及教师和学生基本资料信息等, 因此此类用户访问校园无线网络进行无线数据传送和接收的安全性要求非常高。对于安全权限较高的校内用户, 可以采用802.1x认证模式对此类用户权限进行认证, 提供无线网络的安全可靠性。对于校外访问的无线网络用户而言, 其多办是来进行学校概况了解、培训、以及短期学术性交流网络用户, 对于此类用户其安全性较校内用户要低, 对其进行校园无线网络访问最为重要的是访问的方便快速性, 以其浏览校园网相关开放资源和收发邮件等功能。对于校外访问用户可以采用HCP+强制Portal认证模式接入到校园无线网络中, 提高校园无线网络的运行便捷可靠性。

2.3 加强校园无线网络用户密码控制

由于校园无线局域网信息传输的特殊性, 在校园无线局域网不同服务站点上, 应该根据用户权限认证体系对用户密码进行动态控制。严格的用户密码控制策略会使校园无线网络的安全级别得到进一步提高, 不同权限用户密码及认证措施应结合网络的实际情况给予严密的监视, 并采取经常更换WEP密钥等技术手段。采取严密的无线网络用户密码控制可以确认在校园无线局域网服务站点中使用的用户是否具有合法的使用权限, 有效保障校园无线局域网信息数据资源传输的安全可靠性。

3 结语

校园无线网络已经在大学校园网络中得到广泛推广使用, 有效提高了校园资源数据信息的综合利用效率水平。进行校园无线网络组网过程中, 必须严格重视无线校园网络信息安全防护系统的构建, 加强对校园无线网络的安全管理, 尽可能通过严格监控校园无线网络信号覆盖区域、统一身份验证、用户密码控制等技术手段, 以实现校园无线网络和有线网络间的无缝连接, 有效提高校园无线网络信息安全性能水平。

参考文献