1網路與資訊保安的定義
所謂網路與資訊保安,是指在計算機、數學、應用通訊等諸多領域,保證資訊的保密性,只有通過授權的使用者,才能夠獲取與處理資訊,在資訊的保護與處理過程中,保證資訊的準確性和完整性,在授權使用人需要資訊的情況下,能夠及時地獲取資訊,使用相關的資產。無論是資訊,還是在資訊使用過程中利用的資訊網路,都屬於重要的資產。隨著科學技術的不斷髮展,各種計算機詐騙、盜取商業機密、對網路系統的惡意破壞等問題都嚴重威脅著網路與資訊的安全,對網路與資訊保安的保護任務變得日益重要與艱鉅。
2保護高校網路與資訊保安過程中面臨的問題
1)網路入侵者的攻擊
在保護高校網路與資訊保安過程中,經常會遇到各種試圖從外部非法訪問內部網路的使用者。使用者中既有像hacker、破壞者之類對校園網路進行資訊轟炸從而導致服務中斷,或惡意篡改與刪除資料致使網路癱瘓,也有完全是基於對校園網路內容的好奇心的學生。而高校網路由於要適應學校的教學與科研,通常管理較為寬鬆,存在一定的開放性和脆弱性,因此容易遭受外來的攻擊。無論是基於何種目的,網路入侵者都將對校園網路與資訊保安造成威脅,不利於對安全的保護。
2)網路病毒的攻擊
隨著網路的不斷髮展,網路病毒日益成為威脅網路資訊保安的重要因素。網路病毒通常利用U盤、硬碟等傳輸工具,在複製與傳送檔案、執行程式的過程中對網路系統進行破壞。在對程式和資料造成破壞的同時,對網路效率也會造成嚴重影響,部分網路病毒甚至對裝置也能造成嚴重的破壞。學生的資訊與成績記錄等資料一旦被丟失,將會對學校造成嚴重的後果。而諸如特洛伊木馬之類的有害程式碼,也會對網路的作業系統以及應用軟體造成破壞,從而導致網路系統的癱瘓。
3)教職工人員與學生的誤用
部分教職工人員在使用校園網路與資訊的過程中,由於存在一系列的操作失誤,或者為了一己的好奇或洩憤,造成對校園網路關鍵資訊的洩露。部分學生在使用校園網路的過程中,為了滿足自身的好奇心,或為了炫耀自己的能力,利用自己所學的網路技術,刻意地去攻擊校園網路或獲取機密資訊,而校園網路的IP地址在學校內部是暴露的,在學生針對校園網路進行諸如IP碎片攻擊、WinNuke等攻擊的情況下,將會對校園網路與資訊保安帶來極大的威脅。
4)網路系統自身的漏洞
由於網路技術的高速發展,部分高校的網路難以適應網路技術的發展形勢,仍使用傳統的WindowsNT和Windows2000Serwer,造成一定的技術落後。傳統的系統在使用的過程中通常存在一定的安全漏洞,雖然部分高校推出了相應的補丁程式,但仍然不可避免地遭受病毒或人為的破壞,從而給學校造成難以挽回的損失。此外,部分高校在軟體和硬體配置的過程中存在配置不當的問題,也容易造成一定的安全漏洞,從而對高校網路與資訊保安的保護帶來嚴重的問題。
3網路與資訊保安治理定義
網路資訊保安治理,是指通過一定的管理程式、技術,以及相關的保證措施,使管理者增強信任度,能夠抵抗各種蓄意攻擊和不正當的操作,從而確保資訊科技服務的正常進行,以及在遭受故障時能夠恢復,建立良好資訊保安治理機制,確保資訊及資訊系統的安全執行。在當前的科技時代大潮中,資訊日益成為一個國家最重要的資源之一,網路與資訊的安全,逐漸成為保障一個國家保持自身競爭力、組織再造和國防戰備的重要保證。根據當前各種媒體關於資訊系統安全事故的報道,目前關於因資訊保安被破壞而導致的各種災難性事件正在逐年增長。因此,關於網路與資訊保安治理的重要性也就愈發凸顯。
4高校網路與資訊保安治理的策略
1)網路系統防禦攻擊的策略
網路系統針對網路控制,通常會利用防火牆防止外部使用者非法進入內部網路,從而保證內部網路裝置的安全,保證內部網路的核心資訊不被竊取。雖然防火牆不能完全的防止外部網路對內部網路的攻擊,但可以有效地避免和阻止部分的攻擊。高校在自身網路建設的過程中,通過配置高效能的防火牆,並及時制定相應的安全策略,從而有效的避免外部網路的入侵,保證校園內部網路服務的正常進行。在高校網路系統保護過程中,可以在網路的出口處安裝入侵防禦系統,在遇到攻擊的情況下,能夠自動的將攻擊源切斷。此外,在應用程式與網路傳輸遇到異常的情況時,如使用者違反條例使用網路、應用程式的漏洞被利用等,入侵防禦系統能夠做到輔助識別入侵與攻擊,從而更好地保護校園網路與資訊的安全。此外,針對校園網路與資訊的安全治理,還可以利用漏洞掃描的技術,在本地主機安全性較為脆弱的情況下,對系統中諸多不合理的設定,以及與安全規則不符合的現象進行排查。或通過對系統進行模擬攻擊的行為,從而找出系統中存在的漏洞。在漏洞掃描的同時,對系統進行合理的配置,將系統服務中很難用到的服務與埠關掉,將不需要的協議與服務刪除,從而規範了網路系統的使用操作,對hacker利用網路中預設的服務進行的網路攻擊做到有效地防禦。
2)對訪問進行控制的策略
設定入口訪問控制,通過對使用者名稱、使用者口令和使用者賬號的識別與驗證,設定三道關卡來控制使用者能否利用校園網路,以及利用校園網路能夠獲取的資源。在校園網的伺服器中設定某些客戶組可以訪問某些資訊資源,並針對使用者與口令做到一一識別,從而減少管理漏洞,減少網路安全的隱患。在使用者訪問校園網路的過程中設定一定的訪問許可權,部分使用者和使用者組被賦予許可權,從而能夠訪問某些資訊資源,從而執行某些操作。而沒有被賦予許可權的人則不能訪問相關的資訊資源並進行相應操作,從而保證某些核心資訊的安全使用。在校園網路系統中設定目錄級安全控制,控制使用者對目錄、檔案等的訪問,從而做到對教師和學生設定適當的訪問許可權,控制著教師與學生對校園網路的訪問。教師為了方便學生的學習,可以設定相應的目錄級訪問許可權,允許學生訪問屬於自己的本機資源。網路管理員在使用者訪問校園網路的'過程中實行網路監控,針對使用者的違反條例的操作,伺服器利用影象或聲音的形式進行報警,從而提醒網路管理員注意,阻止使用者的繼續操作。此外,網路管理員還可以對不法使用者進行鎖定控制,在不法使用者每次企圖進入網路之時,伺服器都會自動予以記錄,當記錄次數達到一定數值時,該使用者的賬戶就會被自動鎖定。網路管理員密切關注網路動態,及時調整安全設定,修復系統漏洞,就能有效地保證網路與資訊的安全。另外,可以在網路埠和節點對網路進行安全控制,當用戶需要訪問校園網路時,通過利用智慧卡、磁卡等驗證器證實使用者的身份。利用自動回呼裝置以及靜默調變解調器來保護伺服器埠,從而有效地防範假冒使用者對校園網路進行攻擊,保護高校網路與資訊的安全。
3)積極防範病毒的策略
為了防止病毒的感染與傳播,高校應當在校園網路內所有可能感染和傳播病毒的地方採取相關的防毒措施,在校園網路伺服器和各辦公室的電腦上安裝強大的防毒軟體,定時對網路校園伺服器進行病毒掃描,及時掃除網路病毒,修復系統漏洞。定期關注病毒的新動態,及時升級防毒軟體。在選擇防毒軟體的過程中,要認識到各種防毒軟體的優劣,根據自身電腦的特性,選擇合適的防毒軟體。定期備份資料庫資料,在系統遭到破壞時能夠恢復資料,從而避免難以挽回的損失。此外,定期的更新系統,將傳統的WindowsNT和Windows2000Serwer加以更新,從而有效的提升網路的安全效能,減少系統漏洞,更好地防範病毒的攻擊。網路病毒通常是通過U盤、硬碟、網路等方式進行傳播,因此在校園網路的防毒過程中,針對使用者所用的U盤、硬碟等移動裝置,做到及時的防毒,防止病毒通過移動裝置在校園網路大肆傳播,導致網路系統癱瘓。針對網路上的一些不健康資訊,應及時利用內容過濾器和防火牆加以過濾,防止學生在瀏覽的過程中點選此類資訊,造成病毒的感染與傳播
4)基於VLAN的安全部署
校園VLAN時校園網的虛擬子網,通過自身的功能將分佈在校園各處的使用者進行劃分,成為相對獨立的工作組。通過對同一個VLAN的交換機埠進行連線,使用者實現對廣播的共享,從而形成一定的廣播域,VLAN可以在控制流量、提供網路安全性、更加迅捷的改變和行動網路裝置等方面給使用者提供幫助。VLAN可分為兩種形式,一種為物理分段,利用物理層和相關的資料段連線層,對網路進行若干段劃分,各網段之間難以互相通訊。另一種為邏輯分段,在網路層面對整個網路系統進行分段。在實際運用過程中,利用物理分段和邏輯分段相結合的方式,將教師和學生的網段分開,通過閘道器的形式,過濾出有效的資訊,使中心機房始終處於一種較為安全與過濾型的網路狀態,從而提高網路的安全性。
5結束語
在高校網路和資訊保安的保護與治理過程中,針對高校網路和資訊保安所面臨的諸如網路入侵者和網路病毒的攻擊、教職人員和學生誤用以及網路系統自身存在漏洞等問題,各高校應做到積極地治理,制定網路系統防禦攻擊的策略、對訪問進行控制的策略、積極防範病毒的策略、基於VLAN的安全部署等一系列措施,不斷提高相關人員的安全意識,建立健全的安全組織機構,從而做到有效地治理校園網路和資訊的安全,保證校園網路的正常執行。