網絡安全小論文8篇

時間：2023-03-23 15:13:47

緒論：在尋找寫作靈感嗎？愛發表網為您精選了8篇網絡安全小論文，愿這些內容能夠啟迪您的思維，激發您的創作熱情，歡迎您的閱讀與分享！

篇1

關鍵詞：校園網；網絡安全；防范措施；防火墻；VLAN技術

校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件，將校園內計算機和各種終端設備有機地集成在一起，用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然和惡意等因素而遭到破壞、更改、泄密，保障校園網的正常運行。隨著“校校通”工程的深入實施，學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患，建立一套切實可行的校園網絡防范措施，已成為校園網絡建設中面臨和亟待解決的重要問題。

一、校園網絡安全現狀分析

（一）網絡安全設施配備不夠

學校在建立自己的內網時，由于意識薄弱與經費投入不足等方面的原因，比如將原有的單機互聯，使用原有的網絡設施；校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷；機房設計不合理，溫度、濕度不適應以及無抗靜電、抗磁干擾等設施；網絡安全方面的投入嚴重不足，沒有系統的網絡安全設施配備等等；以上情況都使得校園網絡基本處在一個開放的狀態，沒有有效的安全預警手段和防范措施。

（二）學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善

學校師生對網絡安全知識甚少，安全意識淡薄，U盤、移動硬盤、手機等存貯介質隨意使用；學校網絡管理人員缺乏必要的專業知識，不能安全地配置和管理網絡；學校機房的登記管理制度不健全，允許不應進入的人進入機房；學校師生上網身份無法唯一識別，不能有效的規范和約束師生的非法訪問行為；缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統，使學校的網絡管理混亂；缺乏校園師生上網的有效監控和日志；計算機安裝還原卡或使用還原軟件，關機后啟動即恢復到初始狀態，這些導致校園網形成很大的安全漏洞。

（三）學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”

大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品，加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作，在網絡上運行時，這些網絡系統和接口都相應增加網絡的不安全因素。

（四）計算機病毒、網絡病毒泛濫，造成網絡性能急劇下降，重要數據丟失

網絡病毒是指病毒突破網絡的安全性，傳播到網絡服務器，進而在整個網絡上感染，危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況，遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用，使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序，它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的，一旦學校網絡中的一臺電腦感染上病毒，就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡，只要網絡中有幾臺電腦中毒，就會堵塞出口，導致網絡的“拒絕服務”，嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論，列出了下個世紀的國際恐怖活動將采用五種新式武器和手段，計算機病毒名列第二，這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出，網絡病毒的防范任務越來越嚴峻。

綜上所述，學校校園網絡的安全形勢非常嚴峻，在這種情況下，學校如何能夠保證網絡的安全運行，同時又能提供豐富的網絡資源，保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題，文章提出以下校園網絡安全防范措施。

二、校園網絡的主要防范措施

（一）服務器

學校在建校園網絡之時配置一臺服務器，它是校園網和互聯網之間的中介，在服務器上執行服務的軟件應用程序，對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器，服務器會檢查用戶的訪問請求是否符合規定，才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣，既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息，整個校園網絡只有服務器是可見的，從而大大增強了校園網絡的安全性。

（二）防火墻

防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品，是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合，通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理，在網絡間建立一個安全網關，對網絡數據進行過濾（允許/拒絕），控制數據包的進出，封堵某些禁止行為，提供網絡使用狀況（網絡數據的實時/事后分析及處理，網絡數據流動情況的監控分析，通過日志分析，獲取時間、地址、協議和流量，網絡是否受到監視和攻擊），對網絡攻擊行為進行檢測和告警等等，最大限度地防止惡意或非法訪問存取，有效的阻止破壞者對計算機系統的破壞，可以最大限度地保證校園網應用服務系統的安全工作。

（三）防治網絡病毒

校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系，建立一整套網絡軟件及硬件的維護制度，定期對各工作站進行維護，對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作，學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段，在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版，對病毒進行定時的掃描檢測及漏洞修復，定時升級文件并查毒殺毒，使整個校園網絡有防病毒能力。

（四）口令加密和訪問控制

校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證，加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護，賦予用戶一定的訪問存取權限、口令字等安全保密措施，用戶只能在其權限內進行操作，合理設置網絡共享文件，對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施，建立嚴格的網絡安全日志和審查系統，建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等，定時對其進行審查分析，及時發現和解決網絡中發生的安全事故，有效地保護網絡安全。

（五）VLAN(虛擬局域網)技術

VLAN(虛擬局域網)技術，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中，將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里，防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接，網絡管理員借助VLAN技術管理整個網絡，通過設置命令，對每個子網進行單獨管理，根據特定需要隔離故障，阻止非法用戶非法訪問，防止網絡病毒、木馬程序，從而在整個網絡環境下，計算機能安全運行。

（六）系統備份和數據備份

雖然有各種防范手段，但仍會有突發事件給網絡系統帶來不可預知的災難，對網絡系統軟件應該有專人管理，定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作，并建立網絡資源表和網絡設備檔案，對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。

（七）入侵檢測系統（IntrusionDetectionSystem，IDS）

IDS是一種網絡安全系統，是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時，IDS能檢測和發現入侵行為并報警，通知網絡采取措施響應。即使被入侵攻擊，IDS收集入侵攻擊的相關信息，記錄事件，自動阻斷通信連接，重置路由器、防火墻，同時及時發現并提出解決方案，列出可參考的網絡和系統中易被黑客利用的薄弱環節，增強系統的防范能力，避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，大大提高了網絡的安全性。

（八）增強網絡安全意識、健全學校統一規范管理制度

根據學校實際情況，對師生進行網絡安全防范意識教育，使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度（網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等）。安排專人負責校園網絡的安全保護管理工作，對學校專業技術人員定期進行安全教育和培訓，提高工作人員的網絡安全的警惕性和自覺性，并安排專業技術人員定期對校園網進行維護。

三、結論

校園網的安全問題是一個較為復雜的系統工程，長期以來，從病毒、黑客與防范措施的發展來看，總是“道高一尺，魔高一丈”，沒有絕對安全的網絡系統，只有通過綜合運用多項措施，加強管理，建立一套真正適合校園網絡的安全體系，提高校園網絡的安全防范能力。

參考文獻：

1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.

2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.

3、劉清山.網絡安全措施[M].電子工業出版社,2000.

4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.

5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).

6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.

篇2

（一）網絡安全設施配備不夠

（二）學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善

（三）學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”

（四）計算機病毒、網絡病毒泛濫，造成網絡性能急劇下降，重要數據丟失

二、校園網絡的主要防范措施

（一）服務器

（四）口令加密和訪問控制

（五）VLAN(虛擬局域網)技術

術管理整個網絡，通過設置命令，對每個子網進行單獨管理，根據特定需要隔離故障，阻止非法用戶非法訪問，防止網絡病毒、木馬程序，從而在整個網絡環境下，計算機能安全運行。

（六）系統備份和數據備份

（七）入侵檢測系統（IntrusionDetectionSystem，IDS）

（八）增強網絡安全意識、健全學校統一規范管理制度

三、結論

摘要：隨著“校校通”工程的深入實施，校園網作為學校重要的基礎設施，擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題，直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗，對如何加強校園網絡安全作了分析和探討。

關鍵詞：校園網；網絡安全；防范措施；防火墻；VLAN技術

參考文獻：

1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.

2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.

3、劉清山.網絡安全措施[M].電子工業出版社,2000.

4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.

5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).

6、李衛.計算機網絡安全與管理[M].清華大學出版社,2004.

篇3

1.1加強網絡安全教育，增強校園網用戶安全意識及防護技能

目前，所有高校基本都普及了校園網絡，高校學生在校園內部隨處都可以上網，教師和其它人員的工作也離不開網絡的輔助，高校內部的網絡端口日益增多，上網的人數也是與日俱增，其中大多數人并不具備網絡安全方面相關知識，這為高校信息安全埋下了隱患，信息安全方面的教育勢在必行。用戶的流動性強是校園網用戶群體的一個顯著特征，因此，學生的信息安全教育是一項重要并且需要長期堅持的工作。學校應將信息安全知識和防護技能的培訓納入學生計算機基礎課程中，并將有關的教學內容、實驗與學校的信息安全工作聯系起來，在實現教學目標的同時，也可以起到對學校信息安全的促進與保障作用。目前，高校雖然已經普遍開設了計算機應用基礎課程，仍然有必要選擇性地開設網絡安全課程或專題講座，宣傳網絡安全知識和網絡道德教育，提高所有學生和教師的網絡安全意識，并且可以開展有針對性的實踐技能培訓，提高學生和教師的網絡防護技能。新形勢下，高校學生應當具備一定的網絡基礎知識，讓學生學會正確對待各類網絡信息、合理使用網絡資源的能力，形成正確的價值觀，維護網絡道德規范。此外，對校園網中其他用戶的信息安全教育與培訓也是一項需要長期堅持的工作。

1.2加強校園網安全維護，增強網絡管理人員的安全意識和技能

校園網信息安全既有管理方面的漏洞，也有技術層面的風險。專業的網絡管理人員負責整個校園網絡的維護、網絡系統的更新、升級及新技術的研發。建立一支既懂管理又有技術的信息安全人才隊伍是很有必要的，保障網絡的信息安全首先應當提升這部分專業人士的安全意識及專業技術水平，定期進行培訓和考核。其次要從技術層面做好信息安全防御工作。使用必要的網絡安全防護技術，如:身份認證技術、入侵檢測技術、防火墻技術、防病毒網關技術、垃圾郵件過濾系統以及安全審計等技術來防御來自外部或內部的攻擊，有效地對校園網的進行防護。另外，現在市場上網絡安全的新產品、新技術非常多，也可以為校園網提供更好的保護功能。

1.3建立健全校園網安全保障體系

健全的信息安全管理體制，對于在管理層面維護信息安全至關重要。除了建立一支高素質的網絡管理專業技術人員隊伍外，還必須建立一套嚴格的管理規章制度。有了技術水平足夠高的設備、軟件支持，再加上有針對其網絡建設和應用設計的完善的規章制度，整個網絡安全體系才有了根本保障。此外，在科學合理的信息安全管理機制中，應急響應機制尤為重要，因為，沒有絕對安全的網絡系統，關鍵在于發現或發生安全風險時，能否及時正確做出應對，進行防御，采取措施消除風險，或將損失降到最低，使網絡系統能夠快速恢復正常運行。

2結語

篇4

校園網作為因特網的重要組成部分，為教學提供了極大的方便。由于管理和使用等因素，校園網面臨著嚴重的安全威脅。其中主要體現為水災、雷擊或者操作人員的操作不當而導致的硬件或者網絡系損壞，另外黑客攻擊是校園網系統的主要安全影響因素。近年來，隨著網絡技術的發達，木馬安裝程序也越來越精密，不但影響公共網絡，也給校園網的安全帶來極大的沖擊。學生作為主要操作者，缺乏專業的技術，因此容易出現操作失誤現象。另外，學生的好奇心會導致系IP被修改，或者進入不安全網頁，導致計算機系統被病毒侵害。另外，校園網系統還面臨著系統應用問題和管理風險。系統應用問題主要體現為操作系統安全隱患和數據庫安全隱患。由于系統自身設計不完善，將導致操作系統存在致命的安全隱患，這需要檢修人員和技術人員及時發現并對其進行處理，以免出現重大安全事故。計算機服務器終端安全風險將導致整個系統的安全系統下降，出現安全漏洞，影響計算機的使用壽命。從這一點上，確保操作系統的信息安全是管理者的重要任務。但在校園網管理上，由于受到高校制度和對網絡教學或者計算機實踐教學重視程度不夠的影響，管理安全隱患十分明顯。目前，校園網安全管理依然是人在管理，管理效率低下的主要原因在于管理人員的綜合素質不高，管理制度不明確。要解決這一問題，就需要對校園網管理制度進行調整。

2校園網絡安全防范設計方案

為了提高校園網的安全系數，應建立可靠的拓撲結構，其中包括備份鏈路、必要的網絡防火墻以及VPN的構建。具體過程如下：

2.1利用備份鏈路優化校園網的容錯能力

備份鏈路的使用可有效提高網絡的容錯能力，降低安全風險。主要應用于路由器同系統核心交換機之間，其作用在于對學生連接的外網進行檢驗和排查，控制非法連接，從而提高被訪問網頁的安全系數。在核心交換機之間同樣可進行雙鏈路連接和端口聚合技術，從而確保鏈路之間的備份，提高交換帶寬。

2.2計算機防火墻的合理應用

計算機防火墻在校園網安全中起著決定性的作用。通過防火墻的建立，可攔截存在安全隱患的網頁。操作人員可在防火墻上預設適當的安全規則ACL，對通過防火墻的數據信息進行檢測，處理存在安全隱患的信息，禁止其通過，這一原理使得防火墻具有安裝方便，效率高等特點。在計算機系統中，防火墻實際上是外網與內網之間連接的唯一出口，實現了二者之間的隔離，是一種典型的拓撲結構。根據校園網自身特點，可對這一拓撲進行調整，將防火墻放置于核心交換機與服務器群中間。其主要原因為：防止內部操作人員對計算機網絡系統發起攻擊；降低了黑客對網絡的影響，同時實現對計算機網絡系統的內部保護和外部保護，使流經防火墻的流量降低，實現其高效性。但是隨著科技的發達，網絡木馬的類型逐漸增多，這要求防火墻技術也要不斷的更新，以發揮其積極作用。將計算機防火墻同木馬入侵檢測緊密結合在一起，一旦入侵檢測系統捕捉到某一惡性攻擊，系統就會自動進行檢測。而這一惡性攻擊設置防火墻阻斷，則入侵檢測系統就會發給防火墻對應的動態阻斷方案。這樣能夠確保防火墻完全按照檢測系統所提供的動態策略來進行系統維護。

2.3VPN的構建

VPN主要針對校園網絡的外用，尤其是針對出差人員，要盡量控制其使用校內網絡資源。如必須使用，則要構建VPN系統，即在構建動態的外部網絡通往校園網的虛擬專用通道，也可建立多個校園網絡區域之間的VPN系統連接，提高安全防護效率。

2.4網絡層其他安全技術

網絡層其他安全技術主要體現為：防網絡病毒和防網絡攻擊。現在網絡病毒對網絡的沖擊影響已經越來越大，如：非常猖狂的紅色代碼、沖擊波等網絡病毒，所以有必要對網絡病毒繼續有效的控制；而網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種：MAC攻擊、DHCP攻擊、ARP攻擊、IP/MAC欺騙攻擊、STP攻擊、IP掃描攻擊和網絡設備管理安全。

3校園網的安全管理方案

計算機管理也是校園網安全的主要控制方案。在促進管理效率提高的過程中，主要可以采取VLAN技術、網絡存儲技術和交換機端口安全性能提高等方案，具體表現為以下幾個方面：

3.1應用VLAN技術提升網絡安全性能

VLAN技術是校園網安全管理中應用的主要技術，這一技術的應用有效的提高了計算機安全管理效率，優化了設備的性能。同時對系統的帶寬和靈活性都具有促進作用。VLAN可以獨立設計，也可以聯動設計，具有靈活性，并且這一技術操作方便有利于資源的優化管理，只要設置必要的訪問權限，便可實現其功能。

3.2利用網絡存儲技術，確保網絡數據信息安全

校園網絡數據信息安全一直是網絡安全管理中的主要任務之一。除了技術層面的防火墻，還要求采用合理的存儲技術，確保數據安全。這樣，不但可以防止數據篡改，還要防止數據丟失。目前，主要的存儲技術包括DAS、RAID和NAS等。

3.3配置交換機端口控制非法網絡接入

交換機端口安全可從限制接入端口的最大連接數、IP地址與接入的MAC地址來實現安全配置。對學生由于好奇而修改IP地址的行為具有控制作用。其原理在于一旦出現不合理操作，將會觸發和該設備連接的交換機端口產生一個違例并對其實施強制關閉。設置管理員權限，降低不合理操作。配置交換機端口可實現將非法接入的設備擋在最低層。

4總結

篇5

要求重要部門（校領導、財務、機房重地）文件夾進行加密，主要提供給單個用戶使用，對放置機密文件的文件夾進行加密，打開時需要輸入密碼。

USB接口加密，在重要部門機器安裝屏蔽USB設備或綁定USB存儲設備，對于綁定以外的USB設備無法識別。四、實施認證機制通過多層交換機設置配置VLAN的路由接口，使任意兩個VLAN相互之間均能進行通信，實現網絡資源的共享。隨著網絡的規模不斷擴大升級，網絡使用者的管理越來越難，給校園網穩定、高效和安全運行帶來了新的隱患，這種通過在VLAN間使用訪問控制策略，加強了網絡的整體安全性。網絡交換機的控制通過訪問控制列表進行包過濾（PacketFiltering）：對每個數據包按照用戶所定義的項目進行過濾，如比較數據包的源地址、目的地址是否符合規則等。包過濾不涉及會話的狀態，也不分析數據，只分析數據包的包頭信息。如果配置的規則合理，在這一層能夠過濾掉很多有安全隱患的數據包。以太網交換機支持多種訪問控制列表，并把這些訪問控制列表分為四類：基本訪問控制列表、高級訪問控制列表、接口訪問控制列表和基于二層的訪問控制列表。在定義訪問控制列表時，必須定義其類型。如果是用數字對訪問控制列表進行標識，則可以通過不同的數字范圍來表示不同的列表類型。如（1）1～99：基本訪問控制列表（ba-sic），（2）100～199：高級訪問控制列表（advanced），（3）1000～1999：接口訪問控制列表（interface），（4）200～299：基于二層的高級訪問控制列表。在學校的辦公網絡中，每一個VLAN對應一個唯一的IP子網，管理者可以根據VLAN的子網地址進行IP過濾，創建擴展的IP訪問列表，實現各個部門之間的訪問控制。

計算機病毒的預防查殺

購買正版瑞星網絡殺毒軟件，重要部門裝機時必須安裝正版殺毒軟件，建議其它部門安裝正版殺毒軟件。其它地方除安裝有硬盤還原卡、全盤保護的教室終端和學生機房外，校園網內所有的終端都必須安裝殺毒軟件。同時，指定專人定期、經常對各處機器進行殺毒軟件升級，打補和查殺病毒。

嚴格執行數據備份

為主控室、二級交換機機柜安裝防盜報警設備、不間斷電源、防雷擊及通風降溫設備。校園網服務器選用熱插拔硬盤、RAID5格式；在服務器段VLAN7設置一臺裝有三個大容量IDE硬盤的備份PC（磁帶機的價格太高5000-50000￥），將常用數據存儲在服務器硬盤，不常用的數據存儲在這臺PC的硬盤中；利用Win2000Sserver自帶的備份工具對服務器中的有效數據定期備份，放在備份PC的硬盤上；對教務室和財務室的電腦也要求定期備份；將學校需要保存的數據、圖像、資料每個學期末進行一次分類、編號、整理、壓縮，然后刻成光盤存檔。

對不良信息過濾

購買信息過濾軟件，在技術上避免師生有意無意地瀏覽帶有暴力、黃色、內容的網絡信息。比如選用“藍眼睛智能信息過濾系統”之類的由公安部等部門監制的信息過濾工具，以期達到凈化校園網網絡信息的目的。當非法的網絡地址被訪問到，或者應該被過濾的由系統監測到的信息在傳播時，過濾工具除了中斷信息的交流外，還會記錄相關信息，以備查詢和明確責任。同時，加強對學校師生的法制教育和道德培養，使他們自覺不主動上網瀏覽、下載、傳播這類非法信息。另外，還要使用過濾工具對公共電腦或校內辦公電腦上傳輸的信息進行過濾，杜絕信息的非法傳播。

入侵檢測

1、在校園網中較重要的服務器網段中配置S100等產品，進行網絡的入侵檢測。不停地檢測和監視各個網段中的各種數據包，對每個可疑的數據包進行詳細的特征分析。如果數據包信息與入侵檢測系統中的某些規則或特征相吻合，入侵檢測系統立即會發出警報，甚至直接切斷網絡連接信號。

2、在校園網中的重要主機，如財務室電腦、教務室電腦等上面安裝基于網絡主機入侵檢測的系統S120，對主機所在網絡的實時連接，以及系統檢測日志進行分析、判斷，如果其中主體的活動可疑，入侵檢測系統也立即會采取相應措施。

3、同時使用基于主機和基于網絡的入侵檢測系統，使它們實現優勢互補，構架成一套立體而又完整的主動防御體系。

4、對校園網中的部分重點主機進行高級的安全設置，去除不必要的訪問，并在必要的網絡訪問周圍建立嚴格的訪問控制權限，避免有意者的非法入侵和破壞。

其它方面的措施

篇6

從安全技術架構來說，網站群的安全問題主要在于網絡層、操作系統、數據庫的安全。高職院校一般都具備獨立的數據中心。以浙江醫藥高等專科學校為例，目前已建有MIS+S(基本信息安全保障)系統架構，隨著硬件驅動已轉變為應用驅動，網絡信息基礎設施和服務都有了大幅度的提升，能夠從物理安全、網絡安全、系統安全、應用安全四個環節，打造網站群安全防范技術體系，實現動態防御、主機安全、備份和恢復、安全審計、安全測試配置、安全監控，應用分析等目標。

1．1動態防御

網站群安全防范技術體系以往，我們通常利用防火墻、雙核心網絡設備以及DMZ區來實現應用防護，防范惡意攻擊和病毒入侵的能力有限。在網絡安全問題日趨嚴重和復雜的情況下，需要加固原有的網絡拓撲結構，增加應用防護系統、統一防惡意代碼軟件、網絡管理系統，與防火墻一起建立動態防御體系。只有為網站群和服務建立訪問控制體系，才能將絕大多數攻擊阻止在到達攻擊目標之前，或攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標，最終提升網站群系統的物理安全、網絡安全和應用安全。我們將網站群系統所在區域從原DMZ區劃分出來，與其他Web應用一起規劃為安全級別較高的WebServer服務區域。同時，在該區域部署統一惡意代碼防范管理系統，建立安全的病毒防護措施。在核心交換和WebServer服務區域間，通過串聯部署方式，增加一臺WAF(應用防護系統)，起到防護Web應用、漏洞檢測作用，確保網站群在內的Web應用完整性。同時，開啟硬件防火墻上的網站防篡改、IPS功能、日志功能，建立攻擊監控體系，實時檢測出絕大多數攻擊，并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源，等)。網站群系統管理員在統一惡意代碼防范管理平臺上，對網站群主機進行遠程控制。包括:遠程啟動或停止實時監控、手動掃描、實時更新、功能組件配置、設定分組任務或策略，等，以有效阻隔外來病毒入侵及內部病毒清除，有效保障系統安全。眾所周知，網絡攻擊也可以來自于局域網內部，如內網DoS攻擊、ARP等病毒攻擊。對于內網攻擊的防范，通常采取的應對方法有:為內網終端安裝病毒防護軟件、加強用戶病毒查殺意識，在網絡設備上劃分VLAN進行邏輯隔離、設置ACL訪問控制。現階段，我們還啟用硬件防火墻上的IPS、DDoS/DoS內網防護、病毒防御策略等功能來加強防范。同時，利用上網行為管理設備，對內網終端實施安全檢查、網絡準入控制、行為審計、危險流量封堵、木馬病毒查殺等安全防護措施，針對內網攻擊事件查看分析用戶行為記錄并定位，并且依據學校相關規章制度進行處置處理(如《校園網用戶守則》、《校園網聯網安全保護管理辦法》、《校園網系統安全管理制度》，等)，提高局域網內部的綜合防范能力，減少內網攻擊事件的發生。

1．2主機安全

主機安全是網站群系統安全的保障。可以采用雙機熱備的方式來解決主機冗余問題。但是，由于網站群系統應用的重要性和網絡安全的復雜性，為提高主機安全能力，還需要構建主機集群環境，以保障網站群系統的持續運行。目前，高職院校為提高數據中心的利用率和采購運行成本，通常會采用服務器虛擬化軟件規劃虛擬數據中心。在該環境中，統一存儲設備部署在后端，為物理服務器(虛擬主機)提供空間資源，并為前端虛擬機提供數據存儲資源;數臺高性能服務器作為虛擬主機，隨時劃分前端虛擬機，并提供虛擬機所需的CPU、內存資源、存儲器訪問權和網絡連接能力，滿足各項應用的服務器需求。采用虛擬機(VM)部署網站群雙機熱備，在降低采購成本的同時，提高了網站群主機的靈活性、冗余保障和容災遷移能力，保障網站群主機操作系統的安全需求。為了減少網站群所在虛擬主機(物理服務器)的單點故障，實現網站群系統的不間斷運行，我們利用vSphere集群功能，在虛擬數據中心內，配置HA(highavailability)高可用集群(如圖4所示)。HA允許一個集群中在資源許可的情況下，將一臺出現故障的虛擬主機上面的網站群虛擬機切換到集群中另一臺虛擬主機上運行(如192．168．0．116和192．168．0．118)。應用業務時間間斷由VM系統啟動時間、應用啟動時間、心跳檢測時間構成。

1．3備份和恢復

數據資料是整個網站群系統運作的核心，建立良好的備份和恢復機制，可以在應用系統遭受攻擊時，盡快地恢復數據和系統服務。以往，為降低備份容災成本，會采用純軟件模式，通過編輯腳本文件，連接兩臺熱備服務器，將數據實時復制到另一臺服務器上，如果一臺服務器出現故障，可以及時切換到另一臺服務器，避免了磁盤陣列的單點故障。在網絡安全的新形勢下，為實現應用數據及業務存儲系統的完整性和可靠性，我們在網絡拓樸的DMZ區域，接入存儲備份一體機(浙江醫藥高等專科學校采用SymantecBE3600)，構建高可用性的存儲備份環境。利用其存儲空間及備份管理系統，實現有效的異地備份，為網站群的容災備份提供了進一步的安全保障。通過制定備份策略，選擇合適的備份頻率，采用完全備份、增量備份、差分備份或按需備份的組合方式，確保及時恢復失敗的網站群虛擬機，快速恢復丟失的應用程序服務，全面提升網站群的數據安全及備份恢復能力，避免在各種極端情況下造成的重大損失和惡劣影響。

1．4安全審計

網站群要達到可控性與可審查性，就必須對站點的訪問活動進行多層次的記錄。安全審計是網站群主機安全和應用安全中的重要環節，審計范圍要覆蓋到主機上的每個操作系統用戶和數據庫用戶，審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等安全相關事件，及時發現非法入侵行為。以旁路方式部署了一臺審計設備，并接入核心交換。審計設備通過對交換機的鏡像口進行旁路監聽。網站群系統管理員可通過B/S方式使用日志管理綜合審計系統，從網絡運行維護、數據庫安全及系統安全審計等方面，采集所有網站群的數據庫訪問行為記錄，收集客觀、實時的分析數據。一旦發生網站群網絡信息安全事件，系統管理員可根據網站群用戶對數據庫系統的所有操作信息，進行準確快速定位，并排除安全隱患。此外，為確保安全審計，還應要求網站群開發人員去除或隱藏程序中的刪除日志功能。

1．5安全測試與配置

由于網絡安全不是絕對的，因此，在建立技術防范體系后，我們按照《信息安全技術信息系統安全等級保護基本要求》中的第二級基本要求，對網站群的操作系統、數據庫和應用系統進行集成測試和配置。主要包括身份鑒別、訪問控制、入侵防范、資源控制、數據完整性和保密性，從而確保信息和管理安全。我們采用Centos和Oracle來構建網站群的操作系統和數據庫環境，相關配置如下:

1．5．1身份鑒別良好的身份認證體系可防止攻擊者假冒合法用戶。為此，須對登錄操作系統、數據庫系統、網站群的用戶進行身份標識和鑒別，操作系統和數據庫系統管理用戶身份標識應具有不易冒用的特點，并確保用戶名具有惟一性。因此，我們做了相關配置:編輯操作系統文件etc/login．defs文件，應達到密碼定期更換要求。如:PASS_MAX_DAYS90#新建用戶的密碼最長使用天數PASS_MIN_DAYS0#新建用戶的密碼最短使用天數PASS_WARN_AGE7#新建用戶的密碼到期提前提醒天數PASS_MIN_LEN6#最小密碼長度6編輯操作系統文件/etc/pam．d/system-auth文件，應達到密碼復雜度要求，如:passwordrequisitepam_cracklib．sominlen=6dcr-edit=2ocredit=2#限制密碼最小長度6位和至少包含2數字、至少包含2個特殊字符數編輯操作系統文件etc/pam．d/system-auth文件，采取結束會話、限制非法登錄次數和自動退出等措施，實現登錄失敗處理功能。如:authrequiredpam_tally．soonerr=faildeny=6un-lock_time=300#設置密碼連續錯誤6次鎖定，鎖定時間300s。對于數據庫的身份鑒別，我們通過配置Oracle公司提供的驗證密碼復雜度的函數來實現。對于網站群系統，后臺管理用戶密碼復雜度設置高級別，對密碼的長度、大小寫、特殊字符都方面都要做要求，同時設置口令有效期。

1．5．2訪問控制訪問控制更側重于管理層面，要求操作系統和數據庫管理帳號和實際操作都必須為不同人員。我們制定相關崗位職責文件，實現權限分離，責任分離。如:依據安全策略控制用戶對資源的訪問;實現操作系統和數據庫系統用戶權限期的分離;限制默認帳戶的訪問權限，重命名系統默認帳戶，修改帳戶的默認口令;應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。此外，我們對網站群的角色權限進行細分，做到權限相互制約。如超級管理員具有所有功能的操作權限，二級網站管理員只能具有自己站點的操作權限，審計員只能查看安全日志。

1．5．3入侵防范做好入侵防范措施。在操作系統方面，我們遵循最小安裝的原則，僅安裝需要的組件和應用程序，使得端口和服務實現最小化;通過對安全漏洞的周期檢查，設置升級服務器等方式保持系統補丁及時得到更新，從而使絕大多數攻擊無效。

1．5．4資源控制系統資源控制主要指終端接入的方式、IP地址范圍及登錄次數限制。我們做了相關配置。

2網站群安全防范措施

單純期望某一個安全技術或體系架構就能夠全面消除或解決網絡安全威脅和風險的想法是不現實的。高職院校網站安全問題突出，還歸結于學校對網站安全不重視，網站信息保護意識差，網站日常維護缺失，等。我們只能通過大量實踐，在網絡安全實戰對抗中不斷完善，明確責任和義務，建立管理制度和安全制度。管理是網絡安全的重要部分，在對網站群部署進行有效的安全風險(安全威脅)識別和評估后，我們還圍繞技術層面、組織層面、管理層面、服務層面，完善網站群安全防范措施。建立學校、部門兩級運行維護的組織體系，按集中建站、分級管理、制度約束、服務保障的原則，通過統一策劃、統一標準、統一資源、統一平臺來實現集中建站。按照國家有關規章制度和安全辦法(策略)，形成制度約束機制，確保網站群在高效、安全、有序的體系下運作。理順管理體制與職責，構建主站和子站間的垂直管理體系，制定網站群管理辦法、建立網站群管理和信息員制度、制定安全規范及操作手冊、建立內容管理與審核制度、明確各網站內容管理與運行管理崗位職責、規范工作流程、完善信息等環節，全面做好網站群安全管理工作。通過提升服務管理水平，構建健全的網站群服務體系。我們參考ISO/IEC20000-1采用的PDCA方法論，從規劃(P)、實施(D)、檢查(C)、改進(A)四個方面著手，根據學校技術、政策和資源等實際環境，加強安全服務管理，確保網站群服務水平。并參考信息安全服務體系，從安全評估服務、安全修復服務、安全保障服務、安全信息服務、安全培訓服務、數據恢復服務、產品集成服務八個方面，加強安全服務。

3網站群保障體系構建效果

篇7

一、校園網絡安全隱患

1.安全管理有缺陷

主要是由于網絡管理員安全意識淡薄、防盜工作不到位，容易造成信息丟失。例如，管理員在進行信息加密時，除預留原始文件外，還需備份處理，防止文件丟失，但是實際管理員過于信任網絡環境，未對數據信息實行備份，導致原始數據丟失后，無法進行二次copy，大量信息不能被及時還原，導致信息處于不安全的環境中，有可能隨時遭遇篡改、竊取的威脅。

2.網絡的安全漏洞

計算機網絡內，由于存在部分安全漏洞，或者部分軟件含有設計缺陷，導致其成為惡意攻擊和入侵的途徑，此類型的安全漏洞，遭遇攻擊時，不易察覺。例如：TCP/IP，其在認證方面，存在漏洞，部分攻擊者對用戶計算機中的TCP/IP實行軟件解析，快速分析信息傳輸路徑，發起惡意攻擊或攔截，導致計算機拒絕各類服務。

3.網絡的外界攻擊

外界攻擊主要包括：木馬植入、黑客攻擊以及病毒入侵。病毒與木馬是黑客入侵最常用的方式，一般黑客會自行編寫程序，攻擊用戶計算機，有目的地對用戶信息進行復制、監視或破壞，當黑客達到一定目的后，會以木馬、病毒的方式，致使計算機無法進行正常工作，由于病毒隱蔽性高、破壞能力強，最終導致系統癱瘓，降低安全度。

二、造成這些現狀的原因

1.網絡安全維護的投入不足

網絡安全維護的工作量是很大的，并且很困難，需要一定的人力、物力，然而大多數學校在校園網上的設備投入和人員投入很不充足，有限的經費也往往主要用在網絡設備購置上，對于網絡安全建設，普遍沒有比較系統的投入。

2.網絡管理員責任心不強

很多學校的網絡管理員都具有一定的專業水平，基本可以勝任本職工作，但是可能由于學校領導對網絡安全不是很重視，或者因為個人原因，造成工作熱情不高、責任心不強，所以也就不會花很多心思去維護網絡、維護硬件。

3.盜版資源泛濫

由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這些軟件的傳播一方面占用了大量的網絡帶寬，另一方面也給網絡安全帶來了一定的隱患。

三、對策措施

校園網受到的安全威脅是不可避免的，但是我們可以采取有效的措施確保網絡信息安全。通常情況下，一般采用以下措施來保障校園網的安全性：

1.及時安裝漏洞補丁

軟件和系統具有漏洞是不可避免的，這是因為設計者和程序員不可能考慮到所有方面。但是，黑客會輕易通過漏洞對計算機信息網絡造成嚴重影響。我們普通用戶在使用計算機網絡時，應該及時更新系統最新補丁，這樣黑客就不會有機可乘。同時，我們也可以通過QQ管家或者360安全衛士等更新軟件和下載掃描漏洞。

2.采購配備必要軟件

校園網絡安全軟件主要有：防火墻、殺毒軟件、存取控制、身份認證、加密措施、數據的完整性控制和安全協議等內容。但針對中小學校園網特點，以下軟件是必須配備的。（1）過濾器和防火墻軟件。由于校園網主要面對學生和教職工，因此對一些涉及黃賭毒、暴力、等不良網站必須嚴加防范，而過濾器軟件可以有效屏蔽這些不良網站；防火墻軟件主要包含了用戶認證、動態的封包過濾、預警模聲、應用服務、IP防假冒、網絡地址轉接等方面內容，可以將校園網與外網十分有效地隔離開來，切實保障校園網絡不受未經授權的外部侵入。（2）使用殺毒軟件。殺毒軟件有個人版和網絡版，選擇合適的網絡殺毒軟件可以有效地防止病毒在校園網上傳播。網絡版殺毒軟件有如下優點：A.集中式管理、分布式殺毒效率高；B.采用數據庫技術、LDAP技術；C.多引擎支持，殺毒速度更快；D.從入口處攔截病毒；E.全面解決方案；F.擴展性比較高；G.可以進行遠程安裝或分發安裝。國內外比較知名的網絡版殺毒軟件有卡巴斯基、諾頓、江民、瑞星等廠商，根據校園的實際需要，選擇合適的廠商。

3.更換管理員賬戶

管理員賬戶是計算機用戶中擁有最大權限的用戶，能夠對計算機的所有重要信息做出更改或設置。如果黑客在入侵的過程中獲取了管理員賬戶的密碼，那么計算機中所有用戶的信息都會受到威脅。為了防止黑客輕易竊取管理員賬戶，管理員的密碼應該復雜，而且要不定期予以更換。

校園網的安全問題是一個較為復雜的系統工程，需要全方位防范。防范不能一味地被動，更要主動進行。除了要有相關的硬件和技術保障外，還需要相關的制度保障和校方的重視。當然，關于校園網更多的信息安全應用技術的開發和應用，還有待于廣大網絡信息安全工作人員的共同努力，才能最終實現校園網信息的安全防護應用。

篇8

1.1網絡攻擊

開放性的互聯網環境很容易成為網絡攻擊的對象，老師和同學在網絡上完成查閱資料、下載程序、郵件收發、訪問網頁等教學活動，龐大的使用人群造就了校園網絡環境的相對復雜，使用者的網絡安全意識薄落，在下載資料或瀏覽網頁時打開來歷不明的電子郵件及文件，或則在下載相關學習資料時附帶下載安裝諸多不知名的軟件、游戲程式病毒，進而造成網絡環境的安全問題。網絡攻擊使服務器無法正常工作，使數據庫信息丟失或者破壞其完整性，導致校園網絡系統出現混亂，這些攻擊行為影響了高校應用系統的正常。

1.2系統漏洞

由于專業建設的需求，學生需要掌握的專業軟件也就增多，高校實驗室電腦會安裝多種軟件和應用程序，操作系統本身就有很多管理模塊，因此在操作系統中不可避免會有各種漏洞，漏洞就給計算機病毒及非法入侵者就輕松地攻入實驗室網絡開了后門。高校網絡一般采用Linux、Unix以及Windows三種操作系統，每種操作系統都會存在一些安全問題，及時隨時更新的漏洞補丁，仍存在有些漏洞能夠使攻擊者通過管理員賬號攻入網絡，破壞網絡系統，嚴重威脅著校園網的網絡信息的安全。1.4人為因素由于網絡的安全的知識薄弱，不當的網絡操作、不規范的網絡使用行為會導致病毒傳播，大量占用網絡資源，破壞網絡設備，給校園網絡帶來安全隱患。網絡管理員在日常網絡維護工作中，由于服務器和數據接入端的設置不合理、用戶權限設計不恰當等都會校園網帶來了嚴重的安全隱患。

2網絡安全防護對策

在校園數字化建設的進程中，計算機網絡安全問題顯得尤為突出，因此，要解決網絡中的安全問題，需要從加強學校網絡安全教育、健全網絡安全管理體制和加強技術人員的培養等方面來展開工作。

2.1加強學校網絡安全教育

開展網絡安全專題講座，開辟網站專欄，張貼安全知識布告欄等途徑加強網絡安全的宣傳，同時在計算機應用課程授課時加大網絡安全章節內容的介紹，使學生了解基本的網絡防護技能。通過進行網絡道德的教育，讓師生建立起網絡安全的意識，養成良好的網絡使用習慣，使廣大師生參與到學校的網絡安全管理和監督過程中來，每一位用戶在使用校園網的同時，明確自己對于校園網絡信息安全防護的責任。

2.2健全網絡安全管理體制

采用實名制登錄方式，通過對用戶身份識別，密碼驗證，權限訪問控制等有效措施對校園網絡的使用進行保護，按照網絡使用用戶類別及權限，分為教師、行政和學生用戶，根據不同的訪問身份設置訪問權限，用戶半小時沒有使用自動斷網以防止信息泄露。防火墻能夠提高內部網絡的安全性，并通過過濾不安全的服務協議而降低訪問風險，防火墻體系設計采用多層防范系統，進行實現全面的網絡保護，同時做到系統漏洞的及時監測與修補，才能夠很好地抵制外界的網絡攻擊，營造安全的校園網絡環境完善網絡日志情況，做好服務器數據的備份，落實各操作系統的配置、使用、修復和網絡安全防范技術措施，對于服務器上重要的數據信息，要定時進行系統備份或者文件加密處理，防止來自網絡攻擊或認為物理操作損壞造成的數據丟失；定期對學校的網絡運行環境和安全情況進行檢測、監管，及時發現安全隱患，對存在的系統漏洞和管理上制度上的缺失及時進行修補和完善；系統一旦遇到突發狀況，立即開啟系統響應機制，采取有效的對策措施，將風險和損失降低到最小。

2.3加強技術人員的培養

培養具有信息安全管理意識的網絡管理隊伍，維護系統數據庫，嚴格管理系統日志。加強網絡管理人員的隊伍建設要不斷提升網絡管理員的技術水平，支持相關人員接受網絡安全方面的培訓學習活動，提升網絡防御能力，提高網站、網絡管理人員水平。

3結語

推薦范文