探索中等职业学校校园网网络安全技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么是网络安全
所谓网络安全就是指在网络环境中识别和消除不安全因 素的能力。网络安全包括五要素。机密性指信息资源不被未授 权的用户使用;完整性指信息资源不被篡改或者重放;可用性 指可以持续被合法的用户使用;可控性指信息资源在授权与要 求的范围内对外提供服务;可审计性指在发生安全事件后可为
后续的安全调查提供有效的依据和手段。网络安全是一个系统 工程,学校则强调教育的有效性和信息内容的健康文明等。
中职学校的管理模式逐渐网络化、信息化。网络化和信 息化的支撑平台是校园网。如何优化校园网,消除网络安全 隐患是本篇阐述的要点。
目前校园网存在哪些安全隐患
通过传播病毒、蠕虫、木马危害校园网网络安全的事件 屡见不鲜,黑客窃取、篡改学校重要数据信息也时有发生。 为了构建中职校园网网络安全策略,首先分析造成中职校园 网网络不安全的原因。
IPS 可以根据实际要求,进行合理化部署。IPS 可以是 IPS 在线部署方式或 IDS 旁路部署方式。
在中职校园网中,IPS 部署可以根据实际需求灵活部署, 不过不同部署开启的安全策略有所不同。IPS 在校园网网络 安全技术中可以实现相对较完备的安全防御功能,但是,网 络攻击无孔不入,抵御了外部攻击还会存在内部攻击,抵御 了网络层攻击,还会存在应用层攻击,因此网络安全是一个 复杂的系统工程。
构建以 IPS 为核心的网络安全技术
在中职校园网中,如果中职学校网络规模较大,资金也 相对有冗余,并且要求解决应用层的安全威胁,那么可以引 进 IPS 安全防范技术。
IPS 是通过对数据流进行重组,然后进行协议识别分析 和特征模式的比对,将符合特定条件的数据进行限流、整形, 或进行阻断、重定向、隔离,对正常的流量则进行转发,如 图 4 所示。
当然,如果学校对校园网不间断运行要求较高,网络规 模比较大,综合安全要求更为复杂,则可以选择多个防火墙 实现双机热备功能。双机热备功能通过会话同步机制,实现 主设备和备份设备会话表项完全一致。双机热备的工作模式 可以选择主备模式或负载分担模式,双机热备流量的切换可 以通过 VRRP 或动态路由实现。双机热备的工作模型如图 2 和图 3 所示。
现代防火墙有三种工作模式,即路由模式,透明模式和 混合模式。路由模式支持路由转发功能;透明模式主要依据
-105-
科技工作
中国科技信息 2019 年第 7 期·CHINA SCIENCE AND TECHNOLOGY INFORMATION Apr.2019
图 1 防火墙安全域模型图
图 4 IPS 的工作原理 图 5 IPS 在线部署模式
真实度
刘炎火 探索中等职业学校校园网网络安全技术
中职校园网是中等职业学校信息化管理,教育教学创新的重要平 台,是中职学生进行网络学习的技术支撑平台。保障校园网稳健安全 可靠运行,是每个中等职业学校追求的目标。在开放的网络系统环境 中,校园网存在诸多的安全威胁,要解决这些威胁,必须从管理、技术、 设备等多方面进行改进和提高。
图 2 双机热备之主备模式
图 6 IDS 旁路部署模式
图 7 终端用户安全示意图
图 3 双机热备之负载分担模式
地址表转发,地址表由 MAC 地址和端口组成;混合模式指 防火墙既存在路由模式接口,又存在透明模式接口的工作模 式。从防火墙工作模式可以看出防火墙无法对应用层报文进 行识别,也就是说防火墙无法对应用层提供安全保障。
利益驱动导致网络安全威胁越来越大。有了利益驱动, 网络攻击已经从个体行为转化为产业化规模化有组织的集团 行为,比如“熊猫烧香”病毒就暗藏着一个黑色产业链,攻 击行为变得更疯狂更具破坏性。
网络攻击的专业要求越来越低,攻击变的越来越简单。 通过对网络安全威胁的分析,可以看出黑客攻击技术在不断发 展,如果没有与时俱进的网络安全策略,网络将越来越不安全。
构建以防火墙为核心的网络安全技术
防火墙是一种放置于本地网络和外部网络之间的一系列 软硬件组合的防御系统。防火墙居于内外网之间,根据安全 策略放行或拦截数据流。现代主流防火墙的功能越来越强大, 可以实现的功能包括安全域和安全域策略、包过滤、黑名单 服务、ASPF、NAT、ALG、ARP 防攻击、Web 过滤、常 见攻击防范、双机热备等网络安全技术。
中职校园网是开放的互联网。为了保证网络安全可靠稳 健运行,首先要求同时防范外部和内部的网络攻击;其次要 求具备保护数据信息安全的能力;第三要求拥有完整的抗病 毒、抵御木马攻击和防止蠕虫的能力;第四要求杜绝传播不 健康的信息;第五要求网络具备审计功能。
分析中职校园网网络安全技术的应用
前面分析了网络安全的威胁类型和中职校园网希望达到 的网络安全要求,结合各校实际情况,我分别以防火墙、IPS 和 iMC 技术介绍如何构建安全可靠稳健的中职校园网网络。
CHINA SCIENCE AND TECHNOLOGY INFORMATION Apr.2019·中国科技信息 2019 年第 7 期
link 集美工业学校 信息工程产业系
行业曲线 industry
科技工作
DOI:10.3969/j.issn.1001- 8972.201术的发展,网络边界逐渐消失,网络规模越 来越大。黑客可以透过无边界的网络,在任何地点任何时间 都可以发起网络攻击,危害网络安全。
漏洞的普遍存在为黑客攻击提供了便利。漏洞是不受保 护的入口点。各种网络系统、协议和应用程序都可能存在漏 洞,常见的漏洞有操作系统漏洞,SQL 注入漏洞,数据库漏洞, 应用软件漏洞等。黑客经常利用漏洞发起网络攻击,从而导 致网络不安全。
中职学校可以根据本校校园网规模、技术要求和资金情 况综合考虑,选择合适的网络安全体系结构。比如,校园网 规模较小,网络安全要求不高,学校资金比较紧张,那么可 以利用一个防火墙构建一个简单防御体系,如图 1 所示。
图 1 的网络安全体系结构,把内部网络加入 Trust 域, 服务器加入 DMZ 域,公网加入 Untrust 域。 学校网络管理 员可以根据实际需要制定安全策略和域间策略,保证校园网 网络安全运行。
所谓网络安全就是指在网络环境中识别和消除不安全因 素的能力。网络安全包括五要素。机密性指信息资源不被未授 权的用户使用;完整性指信息资源不被篡改或者重放;可用性 指可以持续被合法的用户使用;可控性指信息资源在授权与要 求的范围内对外提供服务;可审计性指在发生安全事件后可为
后续的安全调查提供有效的依据和手段。网络安全是一个系统 工程,学校则强调教育的有效性和信息内容的健康文明等。
中职学校的管理模式逐渐网络化、信息化。网络化和信 息化的支撑平台是校园网。如何优化校园网,消除网络安全 隐患是本篇阐述的要点。
目前校园网存在哪些安全隐患
通过传播病毒、蠕虫、木马危害校园网网络安全的事件 屡见不鲜,黑客窃取、篡改学校重要数据信息也时有发生。 为了构建中职校园网网络安全策略,首先分析造成中职校园 网网络不安全的原因。
IPS 可以根据实际要求,进行合理化部署。IPS 可以是 IPS 在线部署方式或 IDS 旁路部署方式。
在中职校园网中,IPS 部署可以根据实际需求灵活部署, 不过不同部署开启的安全策略有所不同。IPS 在校园网网络 安全技术中可以实现相对较完备的安全防御功能,但是,网 络攻击无孔不入,抵御了外部攻击还会存在内部攻击,抵御 了网络层攻击,还会存在应用层攻击,因此网络安全是一个 复杂的系统工程。
构建以 IPS 为核心的网络安全技术
在中职校园网中,如果中职学校网络规模较大,资金也 相对有冗余,并且要求解决应用层的安全威胁,那么可以引 进 IPS 安全防范技术。
IPS 是通过对数据流进行重组,然后进行协议识别分析 和特征模式的比对,将符合特定条件的数据进行限流、整形, 或进行阻断、重定向、隔离,对正常的流量则进行转发,如 图 4 所示。
当然,如果学校对校园网不间断运行要求较高,网络规 模比较大,综合安全要求更为复杂,则可以选择多个防火墙 实现双机热备功能。双机热备功能通过会话同步机制,实现 主设备和备份设备会话表项完全一致。双机热备的工作模式 可以选择主备模式或负载分担模式,双机热备流量的切换可 以通过 VRRP 或动态路由实现。双机热备的工作模型如图 2 和图 3 所示。
现代防火墙有三种工作模式,即路由模式,透明模式和 混合模式。路由模式支持路由转发功能;透明模式主要依据
-105-
科技工作
中国科技信息 2019 年第 7 期·CHINA SCIENCE AND TECHNOLOGY INFORMATION Apr.2019
图 1 防火墙安全域模型图
图 4 IPS 的工作原理 图 5 IPS 在线部署模式
真实度
刘炎火 探索中等职业学校校园网网络安全技术
中职校园网是中等职业学校信息化管理,教育教学创新的重要平 台,是中职学生进行网络学习的技术支撑平台。保障校园网稳健安全 可靠运行,是每个中等职业学校追求的目标。在开放的网络系统环境 中,校园网存在诸多的安全威胁,要解决这些威胁,必须从管理、技术、 设备等多方面进行改进和提高。
图 2 双机热备之主备模式
图 6 IDS 旁路部署模式
图 7 终端用户安全示意图
图 3 双机热备之负载分担模式
地址表转发,地址表由 MAC 地址和端口组成;混合模式指 防火墙既存在路由模式接口,又存在透明模式接口的工作模 式。从防火墙工作模式可以看出防火墙无法对应用层报文进 行识别,也就是说防火墙无法对应用层提供安全保障。
利益驱动导致网络安全威胁越来越大。有了利益驱动, 网络攻击已经从个体行为转化为产业化规模化有组织的集团 行为,比如“熊猫烧香”病毒就暗藏着一个黑色产业链,攻 击行为变得更疯狂更具破坏性。
网络攻击的专业要求越来越低,攻击变的越来越简单。 通过对网络安全威胁的分析,可以看出黑客攻击技术在不断发 展,如果没有与时俱进的网络安全策略,网络将越来越不安全。
构建以防火墙为核心的网络安全技术
防火墙是一种放置于本地网络和外部网络之间的一系列 软硬件组合的防御系统。防火墙居于内外网之间,根据安全 策略放行或拦截数据流。现代主流防火墙的功能越来越强大, 可以实现的功能包括安全域和安全域策略、包过滤、黑名单 服务、ASPF、NAT、ALG、ARP 防攻击、Web 过滤、常 见攻击防范、双机热备等网络安全技术。
中职校园网是开放的互联网。为了保证网络安全可靠稳 健运行,首先要求同时防范外部和内部的网络攻击;其次要 求具备保护数据信息安全的能力;第三要求拥有完整的抗病 毒、抵御木马攻击和防止蠕虫的能力;第四要求杜绝传播不 健康的信息;第五要求网络具备审计功能。
分析中职校园网网络安全技术的应用
前面分析了网络安全的威胁类型和中职校园网希望达到 的网络安全要求,结合各校实际情况,我分别以防火墙、IPS 和 iMC 技术介绍如何构建安全可靠稳健的中职校园网网络。
CHINA SCIENCE AND TECHNOLOGY INFORMATION Apr.2019·中国科技信息 2019 年第 7 期
link 集美工业学校 信息工程产业系
行业曲线 industry
科技工作
DOI:10.3969/j.issn.1001- 8972.201术的发展,网络边界逐渐消失,网络规模越 来越大。黑客可以透过无边界的网络,在任何地点任何时间 都可以发起网络攻击,危害网络安全。
漏洞的普遍存在为黑客攻击提供了便利。漏洞是不受保 护的入口点。各种网络系统、协议和应用程序都可能存在漏 洞,常见的漏洞有操作系统漏洞,SQL 注入漏洞,数据库漏洞, 应用软件漏洞等。黑客经常利用漏洞发起网络攻击,从而导 致网络不安全。
中职学校可以根据本校校园网规模、技术要求和资金情 况综合考虑,选择合适的网络安全体系结构。比如,校园网 规模较小,网络安全要求不高,学校资金比较紧张,那么可 以利用一个防火墙构建一个简单防御体系,如图 1 所示。
图 1 的网络安全体系结构,把内部网络加入 Trust 域, 服务器加入 DMZ 域,公网加入 Untrust 域。 学校网络管理 员可以根据实际需要制定安全策略和域间策略,保证校园网 网络安全运行。