1、计算机系统和网络本身的缺陷;2、活跃的黑客交流与破坏活动;3、用户与系统管理员缺乏安全知识与安全意识;
4、规章制度相对滞后且执行不严格;
5、无处不在的病毒和用户(尤其是学生用户)的疏于防范;
6、IP盗用造成非法的访问带来信息的泄密。
对于这些问题的解决,我们首先应添加硬件的网络安全产品防火墙,从根本上竖起一道屏障,并建立非军事化隔离区,最大限度的杜绝恶意攻击者。其次,建立软硬件服务器/客户模式的病毒软件体系,从客观上防止并减少病毒的危害。再次,建立一套较为完善的管理员及用户使用条例,并定期进行安全意识的讲座。最后,采用认证、审计软件是现行信息的管理。
一、网络安全规划原则
使建成的网络系统既安全、可靠又不加大投资,是我们对安全系统进行设计时应坚持的总原则。除此之外,在安全规划方面应当考虑的原则还有:
1、需求、风险、代价平衡分析的原则对任意一个网络来说,绝对的安全难以达到。对一个网络进行实际分析,对网络面临的威胁及可能策划能够但的风险进行定性与定量结合的分析。然后制定规范和措施,确定本系统的安全策略,保护成本、被保护信息的价值必须平衡。
2、综合性、整体性原则
运用系统工程的观点、方法、分析网络的安全问题,并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括个人设计、设备、软件数据等环节,它们在网络安全的地位和影响作用,只有从系统综合的整体角度去分析,才可能获得有效可行的措施。
3、一致性原则
这主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构,必须与网络的安全需求相一致。
4、易操作性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
浅谈高校校园网络安全
刘涛 平原大学网络中心 453003
摘 要:讨论目前我国高校校园网的安全策略,举例说明高校校园网中常用的一些安全措施,并简要说明笔者在校园网安全规划时的一些想法。关键词: 校园网安全; VLAN(虚拟网技术);防火墙;认证及计费系统
Abstract: This article discuss the problem of the network security in Chinese campus network nowadays, list the usual security treatment in categories ,and simply offer the author'ssecurity image.
Keywords: networksecurity; VLAN ; firewall; authentication and billing system其次,采用的措施不能影响系统正常运行。
5、适应性、灵活性原则
安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应容易修改。
6、多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
二、外部接入网安全系统
外部的安全主要从防火墙及用户身份认证和防病毒软件上考虑。
安装硬件防火墙目前应用最为广泛的网络安全技术手段,它是计算机硬件和软件的组合,在网关服务器上运作,用于在Internet和内部网之间建立起一套访问控制策略,即一个安全网关(SecurityGateway)。它可以控制来自调制解调器池的访问,也可以用在兄弟学校和学校内部之间。它与路由软件一起工作、分析、过滤经过它的数据包。当然许多商用路由器也可以通过编程来实现包过滤功能,但策略选择不当会使其解决方案异常复杂,不便于管理。
在网络的安全上,除防火墙以外,还建议建立网络防毒系统,以防止网络病毒的侵袭。建立完善的网络防病毒系统,尤其注意对邮件病毒等网络传播病毒的查杀,对重点的机器和区域重点保护。选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播,它应具有以下一些特征:第一,能够支持所有的主流平台,并实现软件安装、升级、配置的管理;第二,要能保护校园网所有可能的病毒入口,也就是说要支持所有可能用到的Internet协议及邮件系统,能适应并且及时跟上瞬息万变的Internet时代步伐,具有远程安装、智能升级、分布查杀的功能;第三,具有较强的防护功能,可以对数据、程序提供有效的保护。因此,在网络防病毒方案中,要达到一个目的就是:要在整个校园网内杜绝病毒的感染、传播和发作,最大限度上保护校园网络的安全。
三、内部局域网安全系统
局域网的不安全因素:由于局域网采用广播的方式,因此,在某个广播域可以监听到所有的信息包,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。针对这一不安全因素,建议用户采用可分段的交换机,并且支持VLAN功能。
网络分段是保证局域网安全的重要措施,其指导思想是将非法用户与网络资源相互隔离,从而达到用户非法访问的目的。
核心交换机应具有路由功能,首先将整个系统在网络层(ISO/OSI模型的三层)进行分段,在校园网中将整个TCP/IP网络分成几个IP子网,各段之间通过具有路由功能的交换机连接,实现相互
通信。
交换机的交换技术将传统的基于广播的局域网技术发展为面向连接的技术。即VLAN(虚拟网技术),在校园网中,按整个系统的安全性来划分VLAN,将中心服务器系统单独划分为一个VLAN,以保证中心服务器系统的安全;其余各系统按照具体的情况而定。
四、网络认证及计费系统
考虑到网络应用的需要,建议选用一款网络认证及计费软件,以控制网络的应用费用,该软件可配合防火墙及路由器以达到更好的效果。
1、认证计费结构
认证计费软件的计费标准可以是IP流量,或用户的登录时间。其特点是,在对用户进行认证的基础上,实现基于对用户的计费。该认证计费可以在与其它ROUTER或FIREWALL连接的网络任意地方认证计费,系统结构如图1.1所示:
图 1.1 认证计费系统结构2、认证过程流程图:
3、软件应具有的特性
1)基于用户的计费
现有的计费系统大多是基于IP地址的。由于IP地址是可以伪造的,基于IP的计费系统有其固有的缺陷。而实行IP与MAC地址绑定的方案会给管理带来巨大的麻烦。因此所选用的认证计费平台应当能够实现真正的基于用户的计费,使管理变得更加安全和方便。
2)灵活的计费方式
认证计费系统应当既可以按用户访问流量计费,并可以将流入与流出的流量分开记录,流入与流出可以采用不同的费率(元/千字节)
。还
(下转第96页)
由此对后期道路客运量进行预测得出结果将:
