• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      甘肅電大校園網(wǎng)等級要求下安全體系建設(shè)

      2019-07-26 09:25:46陳秀蘭
      甘肅開放大學(xué)學(xué)報 2019年3期
      關(guān)鍵詞:校園網(wǎng)黑客漏洞

      魯 江,陳秀蘭

      (甘肅廣播電視大學(xué) 理工農(nóng)醫(yī)學(xué)院,甘肅 蘭州 730030)

      甘肅電大是以網(wǎng)絡(luò)平臺為基礎(chǔ)的遠(yuǎn)程教育體系,最初的網(wǎng)絡(luò)平臺提供的服務(wù)比較單一,學(xué)生在省校、分校和中央電大在線平臺進(jìn)行注冊和學(xué)習(xí),安全問題還不是很突出。但隨著校園網(wǎng)絡(luò)的不斷發(fā)展,提供的服務(wù)越來越多,如在線點播、云教室授課、校園內(nèi)無線網(wǎng)全覆蓋等,教師的日常工作、科研等都離不開校園網(wǎng)。采用傳統(tǒng)的防火墻和殺毒軟件,已經(jīng)無法滿足網(wǎng)絡(luò)的安全和對重要數(shù)據(jù)的保護(hù),所以,對校園網(wǎng)絡(luò)進(jìn)行分析,全面查找網(wǎng)絡(luò)存在的漏洞,提出符合實際的解決方案,才能構(gòu)建安全網(wǎng)絡(luò)體系。

      一、等級保護(hù)制度及我校的等級保護(hù)現(xiàn)狀

      根據(jù)國家《關(guān)于印發(fā)〈信息安全等級保護(hù)管理辦法的通知〉(公通[2007]43 號)和教育部辦公廳印發(fā)的《教育行業(yè)信息系統(tǒng)安全等級保護(hù)定級工作指南(試行)》,要求全國各高校根據(jù)自己的實際情況,按照“誰主管誰負(fù)責(zé)、誰運維誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,對甘肅電大的信息系統(tǒng)的安全等級進(jìn)行分析[1]。

      甘肅電大根據(jù)等級保護(hù)國家信息安全建設(shè)的重要政策,對信息系統(tǒng)分等級、全盤統(tǒng)一部署兼顧適度風(fēng)險,從業(yè)務(wù)的角度考慮,保護(hù)重要學(xué)習(xí)平臺、教務(wù)系統(tǒng)、科研類信息系統(tǒng),根據(jù)服務(wù)對象和發(fā)布方式將其進(jìn)行了等級劃分。

      第一類,學(xué)生考試平臺、學(xué)習(xí)平臺及教務(wù)系統(tǒng),其中包括終結(jié)性考試、行考作業(yè)、精品課程、網(wǎng)絡(luò)核心課程、學(xué)生注冊信息、繳費平臺等。

      第二類,學(xué)校網(wǎng),主要包括宣傳網(wǎng)站、期刊網(wǎng)站、各院處網(wǎng)站、甘肅電大學(xué)報等。

      第三類,校內(nèi)服務(wù)系統(tǒng),如電子郵件、OA 系統(tǒng)、VPN、雙向視頻系統(tǒng)等。

      參照等級保護(hù)二級的標(biāo)準(zhǔn)來構(gòu)建網(wǎng)絡(luò)安全體系,從其定義可以看到,等級保護(hù)高度關(guān)注學(xué)校的利益和數(shù)據(jù)安全,學(xué)校的網(wǎng)絡(luò)系統(tǒng)一旦被不法分子入侵對社會及信息安全將造成嚴(yán)重威脅,因此學(xué)校信息系統(tǒng)至少應(yīng)該滿足二級的標(biāo)準(zhǔn)[2]。

      甘肅廣播電視大學(xué)校園網(wǎng)的建設(shè)經(jīng)歷了從無到有、從簡單到復(fù)雜的過程。20世紀(jì)90年代校園網(wǎng)絡(luò)資源和信息系統(tǒng)較為貧乏,經(jīng)過多年的建設(shè)和安全制度的不斷完善,甘肅電大建設(shè)了一個中心機(jī)房,安裝服務(wù)器和交換機(jī)數(shù)量超過二百臺,存儲資源超過120 T,出口帶寬500M,校園網(wǎng)的骨干區(qū)域為10 000 M核心網(wǎng)絡(luò),校園網(wǎng)的建設(shè)基本完成。目前網(wǎng)絡(luò)管理面臨異構(gòu)環(huán)境、業(yè)務(wù)融合、規(guī)范管理等問題,中心機(jī)房的安全運行需要考慮基礎(chǔ)設(shè)施、技術(shù)發(fā)展、業(yè)務(wù)運行、服務(wù)等各種要素,采用統(tǒng)一智能管理平臺,實現(xiàn)中心機(jī)房高可靠、自動化、24×7無人值守、可遠(yuǎn)程的智能化科學(xué)化管理。在這樣的安全防護(hù)下,防止信息資源泄露,保障校園網(wǎng)的信息系統(tǒng)正常運行同樣是網(wǎng)絡(luò)安全面對的首要問題。

      二、校園網(wǎng)絡(luò)安全威脅

      校園網(wǎng)中各種網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器、無線控制器等,存在固有的或配置的各種提供服務(wù)網(wǎng)絡(luò)平臺的操作系統(tǒng),其自身也存在系統(tǒng)漏洞和缺陷,入侵者會利用這些漏洞進(jìn)行非法操作。另外,在實際應(yīng)用中,要采用相應(yīng)的訪問控制和授權(quán)機(jī)制,配置安全策略。任何設(shè)備都是有人來控制和操作的,管理人員的素質(zhì)和業(yè)務(wù)能力都會給網(wǎng)絡(luò)帶來安全隱患。

      校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

      圖1 甘肅電大校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖

      三、網(wǎng)絡(luò)中潛在安全威脅

      第一,來自“外部”的入侵。校園網(wǎng)絡(luò)提供的各種服務(wù)需要發(fā)布到Internet網(wǎng)上,這樣容易受到黑客的攻擊。

      第二,非授權(quán)訪問。黑客可以通過各種手段對系統(tǒng)設(shè)備及資源進(jìn)行非正常使用,擴(kuò)大權(quán)限,非法訪問信息。

      第三,冒充合法用戶。黑客通過采用假冒主機(jī)欺騙合法用戶,修改口令、用戶權(quán)限、密鑰等信息,達(dá)到欺騙系統(tǒng),從而達(dá)到侵占用戶資源的目的。

      第四,破壞數(shù)據(jù)的完整性。黑客采用非法手段對竊取的信息進(jìn)行更改、刪除、以干擾合法用戶的正常使用。

      第五,數(shù)據(jù)篡改與丟失。黑客一旦入侵了學(xué)校網(wǎng)絡(luò),他們往往會針對重要信息進(jìn)行竊取、篡改和破壞,保護(hù)好核心業(yè)務(wù)數(shù)據(jù)的完整性、可靠性、保密性及不可抵賴性是我們需要考慮的重點。

      第六,破壞系統(tǒng)的可用性。黑客對提供的服務(wù)系統(tǒng)進(jìn)行干擾,影響系統(tǒng)的正常作業(yè)流程,病毒一旦入侵系統(tǒng),會使系統(tǒng)運行速度變慢甚至癱瘓。

      第七,網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒對整個網(wǎng)絡(luò)的威脅越來越大。

      第八,來自內(nèi)部人員的威脅。內(nèi)部員工的終端與Internet 相連,其計算機(jī)容易遭到黑客的攻擊,黑客就可以利用它作為跳板,攻擊重要的服務(wù)器[3]。

      四、解決方案

      通過對現(xiàn)有網(wǎng)絡(luò)的分析,根據(jù)二級等級保護(hù)要求,從信息安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、更加嚴(yán)格的訪問機(jī)制等方面進(jìn)行綜合考慮,提出以下解決方案。

      (一)整體網(wǎng)絡(luò)架構(gòu)

      1.我校教育大廈和旅游大廈校區(qū)與核心交換機(jī)之間建議部署訪問控制設(shè)備,避免未授權(quán)的用戶通過教育大廈與旅游大廈訪問核心交換機(jī);

      2.對無線網(wǎng)絡(luò)區(qū)增加訪問控制粒度;

      3.加強(qiáng)應(yīng)用服務(wù)域的安全機(jī)制,增添“WEB防火墻”中入侵檢測、惡意代碼防范、防病毒等功能;

      4.各區(qū)域之間加強(qiáng)無線網(wǎng)絡(luò)區(qū)與其他網(wǎng)絡(luò)區(qū)域之間的訪問控制粒度;

      5.解決整體的網(wǎng)絡(luò)架構(gòu)存在的缺陷,互聯(lián)網(wǎng)接入域以及核心交換域應(yīng)采取雙機(jī)冗余設(shè)備的方式,避免因一臺設(shè)備的故障從而引起全網(wǎng)網(wǎng)絡(luò)故障;

      6.在網(wǎng)絡(luò)中訪問控制設(shè)備應(yīng)具有對數(shù)據(jù)提供運行/拒絕訪問的能力,控制粒度應(yīng)能達(dá)到網(wǎng)段級;

      7.應(yīng)能夠限制網(wǎng)絡(luò)連接數(shù)以及最大流量;

      8.應(yīng)在網(wǎng)絡(luò)中部署惡意代碼防范設(shè)備,并且能夠及時得對惡意代碼進(jìn)行檢測和清除。

      (二)設(shè)備功能方面

      1.登錄設(shè)備時能夠進(jìn)行身份甄別;

      2.應(yīng)能夠在會話處于非活躍狀態(tài)下限定連接時間并且終止連接;

      3.對設(shè)備的運行狀況的有日志記錄并保存;

      4.設(shè)備應(yīng)具有登錄失敗后的處理功能,能夠限制登錄次數(shù)及時結(jié)束會話和網(wǎng)絡(luò)連接超時退出等措施;

      5.當(dāng)進(jìn)行遠(yuǎn)程管理時,采取必要的加密措施防止信息在網(wǎng)絡(luò)傳輸過程中被截??;

      6.網(wǎng)絡(luò)設(shè)備操作系統(tǒng)及應(yīng)用程序應(yīng)遵循最小安裝原則,只安裝需要的組件;

      7.應(yīng)加強(qiáng)對系統(tǒng)服務(wù)的管理、關(guān)閉默認(rèn)共享和高危端口等;

      8.應(yīng)能及時發(fā)現(xiàn)設(shè)備可能存在的漏洞,并且及時的修補(bǔ)。

      (三)設(shè)備性能方面

      1.核心設(shè)備及服務(wù)器的業(yè)務(wù)處理能力具備冗余,以滿足業(yè)務(wù)高峰期的需要;

      2.整體網(wǎng)絡(luò)架構(gòu)具有冗余,避免關(guān)鍵節(jié)點存在故障;

      3.對重要的教學(xué)資源應(yīng)有備份,存儲設(shè)備應(yīng)有冗余[4]。

      (四)校園網(wǎng)硬件設(shè)備

      根據(jù)現(xiàn)有設(shè)備使用情況以及需滿足二級等級保護(hù)要求增加設(shè)備。

      1.終端殺毒設(shè)備。網(wǎng)絡(luò)結(jié)構(gòu)中的所有終端設(shè)備需安裝防病毒軟件,且防病毒軟件必須為最新,病毒庫必須更新至最新,對防病毒軟件進(jìn)行統(tǒng)一管理和及時升級等;

      2.虛擬化服務(wù)器間安全網(wǎng)關(guān)。目前所有的服務(wù)器部署采用虛擬化平臺,各個平臺之間需要具有安全防護(hù)措施,避免由于一臺虛擬主機(jī)出現(xiàn)安全事件而影響其他的虛擬服務(wù)器;

      3.智能DNS設(shè)備。目前網(wǎng)絡(luò)結(jié)構(gòu)中部署有一臺智能DNS,但設(shè)備已老化,數(shù)據(jù)處理方面存在不足,對現(xiàn)有的智能DNS設(shè)備進(jìn)行升級,能夠判斷訪問者的IP地址并解析出對應(yīng)的IP地址,對于非法的IP用戶禁止訪問服務(wù)器。

      4.堡壘機(jī)。由于網(wǎng)絡(luò)中設(shè)備、服務(wù)器等繁多,設(shè)置堡壘機(jī)可以實現(xiàn)統(tǒng)一的分配賬戶以及集中的管控,粗放權(quán)限管理、運維賬號混用、賬號的管理無序等問題,避免了潛在的風(fēng)險,通過部署堡壘機(jī)設(shè)備,用唯一身份標(biāo)識的可以對多臺設(shè)備進(jìn)行維護(hù),確保用戶擁有的權(quán)限是完成任務(wù)所需的最小權(quán)限,防止非法、越權(quán)訪問事件發(fā)生[5]。

      5.漏洞掃描設(shè)備、WEB 漏洞掃描設(shè)備。從當(dāng)前的網(wǎng)絡(luò)結(jié)構(gòu)中分析得出,整體網(wǎng)絡(luò)中未部署漏洞掃描設(shè)備以及WEB漏洞掃描設(shè)備,無法定期進(jìn)行漏洞掃描,無法及時發(fā)現(xiàn)和修補(bǔ)系統(tǒng)安全漏洞,這樣就會存在未授權(quán)人員利用漏洞攻擊信息系統(tǒng)的風(fēng)險。建議部署漏洞掃描設(shè)備以及WEB 漏洞掃描設(shè)備,以全方位檢測IT 系統(tǒng)存在的脆弱性,解決安全配置問題及應(yīng)用系統(tǒng)安全漏洞。通過強(qiáng)制修改系統(tǒng)存在的弱口令,關(guān)閉系統(tǒng)不必要開放的賬號和端口,停止不必要的服務(wù),完善整體安全風(fēng)險報告,幫助網(wǎng)絡(luò)管理人員及時發(fā)現(xiàn)WEB 漏洞,掃描設(shè)備用于發(fā)現(xiàn)網(wǎng)站的風(fēng)險隱患,并及時采取有效的修補(bǔ)措施,降低風(fēng)險、減少損失。

      6.日志審計設(shè)備。根據(jù)當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)分析得知,網(wǎng)絡(luò)中未部署日志審計設(shè)備,無法對網(wǎng)絡(luò)中的所有設(shè)備、服務(wù)器等所產(chǎn)生的日志進(jìn)行集中管理并分析生成審計報表,且日志的保存周期無法滿足《網(wǎng)絡(luò)安全法》規(guī)定的6個月,因此,應(yīng)有部署日志審計設(shè)備,能夠針對大量分散設(shè)備的日志進(jìn)行高效采集、統(tǒng)一管理、集中存檔,為安全事件的事后取證提供可靠的依據(jù)。

      7.VPN 上網(wǎng)設(shè)備。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)分析以及滿足業(yè)務(wù)運行情況,需部署一臺VPN 上網(wǎng)設(shè)備,可方便分校地區(qū)的用戶以及在放假休息期間及時查看網(wǎng)絡(luò)的運行狀況。

      8.交換機(jī)。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)分析得知,在教育大廈以及旅游大廈校區(qū)與核心交換機(jī)之間需部署一臺匯聚交換機(jī),方便線路的部署以及訪問控制的限制,從而滿足業(yè)務(wù)的運行及安全方面的需求。

      9.網(wǎng)絡(luò)安全制度建設(shè)。在系統(tǒng)安全的各項建設(shè)內(nèi)容中,安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)。通過有效的安全管理體系建設(shè),最終實現(xiàn)采取集中控制、分級管理,建立完整的安全管理體系,能夠?qū)崿F(xiàn)動態(tài)的、系統(tǒng)的、制度化的、以預(yù)防為主的安全管理模式,從而能夠提供全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。

      五、總結(jié)

      甘肅電大校園網(wǎng)按照國家信息安全保障體系建設(shè)的政策標(biāo)準(zhǔn),按照等級保護(hù)的辦法及其相關(guān)標(biāo)準(zhǔn)規(guī)范落實,擔(dān)當(dāng)起信息安全等級保護(hù)的責(zé)任。等級保護(hù)與國家利益和社會秩序緊密聯(lián)系,學(xué)校的信息系統(tǒng)如果被入侵或破壞后可能對社會秩序和公眾利益造成嚴(yán)重?fù)p害,影響學(xué)校的聲譽(yù)。網(wǎng)絡(luò)安全需要全體人員共同參與,加強(qiáng)專業(yè)維護(hù)人的業(yè)務(wù)水平及使用人員的安全意識,加強(qiáng)對相關(guān)人員定期進(jìn)行安全方面的培訓(xùn),養(yǎng)成良好的上網(wǎng)習(xí)慣也非常重要[5]。

      猜你喜歡
      校園網(wǎng)黑客漏洞
      漏洞
      歡樂英雄
      多少個屁能把布克崩起來?
      數(shù)字化校園網(wǎng)建設(shè)及運行的幾點思考
      甘肅教育(2020年18期)2020-10-28 09:05:54
      網(wǎng)絡(luò)黑客比核武器更可怕
      試論最大匹配算法在校園網(wǎng)信息提取中的應(yīng)用
      電子制作(2019年10期)2019-06-17 11:45:26
      NAT技術(shù)在校園網(wǎng)中的應(yīng)用
      電子制作(2017年8期)2017-06-05 09:36:15
      三明:“兩票制”堵住加價漏洞
      漏洞在哪兒
      兒童時代(2016年6期)2016-09-14 04:54:43
      高鐵急救應(yīng)補(bǔ)齊三漏洞
      澳门| 平度市| 德江县| 霍城县| 庆安县| 常宁市| 苏尼特右旗| 龙岩市| 绥阳县| 金门县| 潼南县| 红原县| 盐池县| 葵青区| 紫云| 旬阳县| 蒲城县| 临夏县| 和静县| 泸西县| 泰兴市| 万全县| 太仆寺旗| 织金县| 勐海县| 石楼县| 萨嘎县| 扶绥县| 无为县| 浑源县| 亚东县| 额尔古纳市| 泾源县| 崇明县| 渭源县| 油尖旺区| 同心县| 黄大仙区| 兰西县| 永春县| 洪江市|