校园网络安全及的策略.docVIP

校园网络安全及的策略 　　[摘要]基于校园网络的MIS的广泛应用，极大改变了传统的信息系统的结构设计、开发环境和应用环境，打破了信息共享的障碍，但同时面临新的安全问题和挑战，主要校园网络的安全隐患及策略。 　　[关键词]校园网 网络系统 网络安全 TCP/IP 安全机制 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597(2008)1010082－01 　　 　　Internet采用了开放性的体系结构，企事业团体一旦将自己的局域网联入Internet，就使一个封闭的系统变成了开放的系统，校园网就是Internet技术在企业内部网上的实现。因此，信息传输的广域性和网络协议的开放性使其面临比现在任何一种网络都更为严重的不安全问题，校园网的安全问题主要来自三个方面：一是计算机病毒的侵害；二是黑客的访问；三就是网络系统本身的安全漏洞。对于计算机系统本身来讲，从根本上解决自身所存在的隐患是安全问题的重点，因为ARPANET研究人员开发TCP/IP协议的目的是想通过这个协议将各种异种机互联起来以建立一个资源共享的网络，它强调了系统的开放性，但忽略了系统的安全性。 　　 　　一、TCP/IP协议潜在着严重的安全隐患，包括提供的网络服务，主要有下面几点 　　 　　（一）IP缺陷导致易被欺骗。IP包中的源地址可以伪造；IP包中“生成”时间可以伪造；认证不可靠。 　　（二）TCP和UDP端口结构的缺陷。端口是用来分配给专门的internet服务的一个软件结构，而每个服务所对应的端口号一般是分开的，如FTP-21，Telnet-23，HTTP-80等等。 　　（三）TCP/IP明码传送信息导致易被监视。TCP/IP网络中众多的服务均是在网络中明码传送，尽管使用者觉察不到。 　　（四）提供的不安全服务。匿名服务FTP：任何人都可以通过它取走服务器上具有读权限的文件；受托访问：在给用户提供方便的同时，也为黑客的进入提供了方便；NFS：错误的NFS服务器非授权存取导致非法用户的进入。另外，网络操作系统是管理网络资源的核心系统，而且每个使用者均是通过一个操作系统进入网络，所以，操作系统的安全性对网络的安全性起着重要的作用。 　　 　　二、UNIX与Windows NT两种操作系统说明 　　 　　（一）UNIX操作系统的缺陷。特权用户权力过大；口令与帐号只是简单的存储在一个加密的文件中；登录无次数限制；UNIX的文件系统也存在潜在的隐患：Suid和Guid。 　　（二）Windows Nt的缺陷 　　不能限制Administer帐号不成功登录的次数；实体认证和数据加密功能较弱。 　　应该说，没有绝对安全的网络系统，而且随着校园网络开发的深入，还会出现很多的安全问题，比如网页上大量的ActiveX控件、Java Appelt的使用，也会引起新的安全漏洞。这需要我们在进行信息系统开发时将安全意识放在一个非常重要的地位。校园网络的发展需求，TCP/IP协议潜在的安全漏洞以及安全机制的不健全，就必须采取一系列的安全技术，防止非法用户进入企业内部网，确保信息的真实性和完整性。影响计算机网络安全的因素有很多，所以保护网络的安全也不只一种手段，而且，在绝大多数情况下，必须综合使用这些技术手段，才能达到良好的安全效果。 　　 　　三、保护网络的安全所采取的技术 　　 　　（一）防病毒软件。安装功能强大的防病毒软件是预防病毒的有效手段。目前，有许多优秀的病毒防治软件，美国网络联盟((NAI)的TVD病毒防治套件就是其中之一，可以杀灭超过15. 000种病毒，同时还可以有效地阻止黑客利用Java, ActiveX技术编写的恶意程序对上网用户的攻击。 　　（二）防火墙。目前，防火墙在软、硬件上都有已经有了非常成熟的产品。在软件方面有：Checkpoint的Fire Wall-I，叛国网络联盟(NAI)的GAUNTLET等。这些产品都使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力。在硬件方面有：Cisco的PIX,Netscreen的Netscreen-100等，这些产品都支持包过滤、加解密、VPN控制等安全技术，而且对应用透明，并且安装方便，管理简单。用户可以根据实际需要，选用不同的产品。 　　（三）身份认证。防火墙只是系统的第一道防线，用以防止非法数据进入。但作为一个安全的系统，仅仅配置防火墙是远远不够的，一旦防火墙被攻破，还需要有其他的手段，阻止黑客对系统数据进行破坏。身份认证是一种辨别对方身份是否合法的一种技术手段。 　　（四）加密。防火墙技术只是一种被动的防卫技术，很难挡住黑客访问攻击。在防火墙被突破的情况下，信息的加密就显得尤为重要了。加密是指使用现代密码学通过对信息进行重新组合，使得只