淺析網路系統控制安全措施探究

  論文關鍵詞: 網路安全 安全需求 措施 
  論文摘要: 隨著資訊的發展,網路安全問題已經引起越來越多人的關注。而校園網作為學校重要的基礎設施,擔當著學校教學、科研、管理和對外交流等許多角色。隨著校園網應用的深入,校園網上各種資料急劇增加,結構性不斷提高,使用者對網路效能要求的不斷提高,網路安全也逐步成為網路技術發展中一個極為關鍵的任務。從分析校園網資訊保安需求入手,就校園網路系統控制安全措施提出筆者的幾點淺見。 
   
  1 校園網的概念 
  簡單地說,校園網路是“校校通”專案的基礎,是為學院教師和學生提供教學,科研等綜合資訊服務的寬頻多媒體。根據上述要求,校園網必須是一個寬頻,互動功能和高度專業化的區域網絡。 
  2 校園網的特點 
  校園網的設計應具備以下特點: 
  1)提供高速網路連線;2)滿足複雜的資訊結構;3)強大的可靠性和安全性保證;4)操作方便,易於管理;5)提供可運營的特性;6)經濟實用。 
  3 校園網路系統資訊保安需求 
  3.1 使用者安全 
  使用者安全分成兩個層次即管理員使用者安全和業務使用者安全。 
  1)管理員使用者擁有校園網的最高執行許可權,因此對資訊系統的安全負有最大的執行責任。應該制定相應的管理制度,例如對管理員的政治素質和網路資訊保安技術管理的業務素質,對於涉及到某大學的網路安全策略配置、調整、審計資訊調閱等重要操作,應實行多人蔘與措施等等。 
  2)業務使用者必須在管理員分配的許可權內使用校園網資源和進行操作,嚴禁超越許可權使用資源和洩露、轉讓合法許可權,需要對業務人員進行崗前安全培訓。 
  3.2 網路硬環境安全 
  通過調研分析,初步定為有以下需求: 
  1)校園網與教育網的網路連線安全二需要在連線處,對進/出的資料包進行訪問控制與隔離,重點對源地址為教育網,而目的地址為某大學的資料包進行嚴格的控制。2)校園網中,教師/學生宿舍網路與其他網路連線的網路安全。3)校園網中,教學單位網路與其他網路的網路連線安全。4)校園網中,行政辦公網路與其他網路的網路連線安全。5)校園網中,網路管理中心網路與其他網路的網路連線安全。6)校園網中,公眾伺服器所在的網路與其他網路的網路連線安全。7)各個專用的業務子網的安全,即按資訊的敏感程度,將各教學單位的網路和行政辦公網路劃分為多個子網,例如:專用業務子網(財務處、教務處、人事部等)和普通子網,對這些專用業務子網提供網路連線控制。 
  3.3 網路軟環境安全 
  網路軟環境安全即校園網的應用環境安全。對於一些涉及到有敏感資訊的業務專用網,如:財務處、教務處、人事處等等,必須確保這些子網的資訊保安,包括:防病毒、資料備份與災難恢復、規範網路通訊秩序、對儲存有敏感資訊的重要伺服器軟/硬體資源進行層次化監控,防止敏感資訊被竊取。 
  3.4 傳輸安全 
  資料的傳輸安全,主要是指校園網內部的傳輸安全、校園網與教育網之間的資料傳輸安全以及校園網與老校區之間的資料傳輸安全。
 4 校園網路系統控制安全措施 
  4.1 通過使用訪問控制及內外網的隔離 
  訪問控制體現在如下幾個方面: 
  1)要制訂嚴格的規章管理制度:可制定的相應:《使用者授權實施細則》、《口令字及賬戶管理規範》、《許可權管埋制度》。例如在內網辦公系統中使用的使用者登入及管理模組就是基於這些制度建立。 
  2)要配備相應的軟硬體安全裝置:在內部網與外部網之間,在不同網路或網路安全域之間資訊的唯一出設定防火牆。設定防火牆就是實現內外網的隔離與訪問控制,保護內部網安全的最主要、同時也是最快捷、最節省的措施之一。防火牆一般具有以下五大基本功能:過濾進、出網路的資料;管理進、出網路的訪問行為;封堵某些禁止的業務;記錄通過防火牆的資訊內容和活動;對網路攻擊的檢測和報警。防火牆主要型別有包過濾型,包過濾防火牆就是利用IP和TCP包的頭資訊對進出被保護網路的IP包資訊進行過濾,能依據我們制定安全防範策略來控制(允許、拒絕、監測)出入網路的資訊流,也可實現網路IP地址轉換(NAT)、審記與實時告警等功能。因為防火牆安裝在被保護網路與路由器之間的通道上,所有也對被保護網路和外部網路起到隔離作用。 
  4.2 通過使用內部網不同網路安全域的隔離及訪問控制 
  主要是利用VLAN技術來實現對內部子網的物理隔離。可以通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域,實現內部一個網段與另一個網段的物理隔離。因此就能防止影響一個網段的問題穿過整個網路傳播。對於某些網路,一部分區域網的某個網段比另一個網段更受信任,或者某個網段比另一個更加敏感,在不同的譏AN段內劃分信任網段和不信任網段,就可以限制區域性網路安全問題對全部網路造成的影響。 
  4.3 通過使用網路安全檢測 
  根據短板原理,可以說網路系統的安全性完全取決於網路系統中最薄弱的環節。最有效的方法就是定時對網路系統進行安全性分析,及時準確發現並修正存在的弱點和漏洞,能及時準確發現網路系統中最薄弱的環節,也能最大限度地保證網路系統安全。 
  網路安全檢測工具是一款網路安全性評估分析軟體,其具備網路監控、分析功能和自動響應功能,能及時找出經常發生問題的根源所在;建立必要的迴圈過程確保隱患時刻被糾正;及時控制各種網路安全危險;進行漏洞分析和響應;進行配置分析和響應;進行認證和趨勢分析。 
  它的主要功能就是用實踐性的方法掃描分析網路系統,檢查報告系統存在的弱點和漏洞,建議採用補救措施和安全策略,從而達到增強網路安全性的目的。 
   
  參考文獻: 
  [1]劉俊、姜廣明等,校園網路規劃和實施[J].瀋陽化工學院學報,2004年第一期. 
  [2]張俊平,校園網路的安全及對策.浙江工貿職業技術學院學報[J].2004.12. 
  [3]王湘渝、陳立,基於多層防護的校園網女全體系研究仁[J].計一算機安全,2009.8.