高職院校計算機網絡安全管理分析論文
摘要:網絡安全對于保護網絡和服務免受未經授權的修改、破壞或泄露非常重要。至關重要的是,保護信息和用于交付的支持基礎設施必須建立在SJSU的網絡和文化中,以遵守“縱深防御”模式。網絡安全標準定義了所有SJSU計算機和通信系統信息的網絡安全要求,目的是保護SJSU存儲、處理和傳輸的信息的機密性、完整性和可用性。本文描述了訪問高職院校網絡,通過網絡傳輸數據,網絡授權和身份驗證以及網絡管理安全威脅的控制和過程。
關鍵詞:高職院校;計算機網絡;安全管理
1、入口過濾
網絡從其他網絡接收數據包。通常,數據包將包含最初發送它的計算機的IP地址。這允許接收網絡中的設備知道它來自何處,允許回復路由(除其他事項外),除非通過代理或欺騙性IP地址使用IP地址。發件人IP地址可以偽造。這掩蓋了發送的數據包的來源,例如在拒絕服務攻擊中。在計算機網絡中,入口過濾是一種用于確保傳入數據包實際來自它們聲稱來自的網絡的技術。這可以用作針對各種欺騙攻擊的對策,其中攻擊者的數據包包含偽造的IP地址,使得難以找到攻擊源。此技術通常用于拒絕服務攻擊,這是入口過濾的主要目標。一種可能的解決方案涉及實現中間因特網網關的使用(即,沿著路徑跟隨任何給定分組的不同網絡的那些服務器)過濾或拒絕任何被認為是非法的分組。處理數據包的網關可能完全忽略數據包。在可能的情況下,它可能會將數據包發送回發送方,從而中繼非法數據包被拒絕的消息。主機入侵防御系統(HIPS)是技術工程應用程序的一個示例,其有助于識別、預防或阻止不想要的、未預料到的或可疑的事件和入侵。
任何實現入口過濾的路由器都會檢查它收到的IP數據包的源IP字段,如果數據包在接口所連接的IP地址塊中沒有IP地址,則丟棄數據包。在入口過濾中,如果發送它的網絡不應該從始發IP地址發送數據包,則過濾進入網絡的數據包。如果終端主機是末節網絡或主機,則路由器需要過濾所有IP數據包,這些IP數據包具有作為源IP的私有地址(RFC1918),bogon地址或與接口不具有相同網絡地址的地址。網絡入口過濾依賴于ISP之間的合作以實現互利。網絡入口過濾的最佳實踐由BCP38和BCP84中的互聯網工程任務組記錄,分別由RFC2827和3704定義。BCP84建議IP連接的上游提供商過濾從下游客戶進入其網絡的數據包,并丟棄任何源地址未分配給該客戶的數據包。有許多可能的方法來實施這一政策。一種常見的機制是在客戶鏈接上啟用反向路徑轉發,這將根據提供商對其客戶路線公告的路由過濾間接應用此策略。禁止從公共互聯網(包括實驗室,工作站和測試系統)對校園臺式機、筆記本電腦和平板電腦進行入站訪問,包括RDP和SSH。校園部門的每個信息所有者負責確保資產的網絡端口和服務具有防火墻,僅允許必要的端口和服務,并且所有其他端口和服務都被阻止。信息安全辦公室每年都會對遵守情況進行風險審查。
2、安全網絡配置
IT服務將使用配置管理和變更控制流程主動管理網絡基礎設施設備的安全配置。IT服務將使用防火墻更改控制程序主動管理防火墻設備的安全配置,并通過信息安全辦公室進行審批。只應向用戶提供對他們特別授權使用的服務的訪問權限。與ICSUAM8105保持一致,IT服務保留在發生信息安全風險時隨時阻止、隱藏、拒絕或終止其網絡服務的權利。部門IT團隊應在面向Internet的服務器停止服務時通知IT服務。IT服務可以根據需要選擇阻止已知協議或應用程序類型(即SMTP,RDPBitTorrent,Ares)以維護安全環境。除非首先獲得信息安全官的事先批準,否則工作人員不得建立任何允許非校園用戶訪問校園網絡系統和信息的外部網絡連接。高職院校提供的網絡服務是在合同承運人的基礎上提供的,而不是共同的運營商。這意味著學校與用戶的關系取決于合同中的條款和條件,而不是通常適用于電話公司和相關服務提供商的法律要求。必須放置無線網絡接入點,并設計覆蓋區域,以便最大限度地減少未經授權的信號攔截的可能性。應使用適當的身份驗證方法來控制遠程用戶的訪問。不得允許使用出廠默認設置,空白或空密碼(無字符的密碼)或不符合或超過密碼標準要求的密碼的用戶ID遠程訪問任何校園計算機或網絡。在允許使用連接到網絡的校園計算機之前,所有用戶必須使用用戶ID和密碼驗證其身份,或者通過其他方式提供相同或更高的安全性。橋接校園和外部網絡所需的任何診斷線路都應得到信息安全辦公室的批準。
所有通過Internet在其內部網絡上與SJSU計算機建立連接的用戶必須首先在采用信息安全辦公室批準的擴展用戶身份驗證過程的防火墻上進行身份驗證。必須將涉及信息安全辦公室認可的公共目錄服務用于涉及連接到互聯網的服務器的所有用戶認證過程。在與校園內部網絡建立連接時,可以自動掃描所有外部計算機以確定他們是否已安裝和操作足夠的安全措施。無法掃描的計算機以及未充分保護的計算機可能會被拒絕進行網絡訪問。
3、遠程診斷和配置端口保護
應控制對診斷和配置端口的物理和邏輯訪問。必須使用鑰匙鎖或相關措施安全地控制對所有診斷和維護端口的訪問,并與有效程序一起使用。應在網絡上隔離信息服務,用戶和信息系統組。訪問者連接必須使用與校園內部網絡無連接的單獨子網。除非事先得到信息安全辦公室的批準,否則由校園管理或擁有的每個高安全性和高可靠性系統都必須擁有自己的專用計算機和網絡。通過Internet訪問的所有Web服務器都必須受到信息安全辦公室批準的路由器或防火墻的保護。所有無線接入點必須使用信息安全辦公室批準的配置,在邏輯上與校園內部網絡區分開來。校園網絡對于高職院校各項工作的開展具有重要意義,因此必須采取有效措施保障校園網絡安全。本文對常用的校園計算機網絡安全管理措施進行了總結和分析,希望進一步提升高職院校校園網絡的安全性。
參考文獻:
[1]蔡昂.高職院校計算機網絡安全管理系統的設計與實現[D].天津大學,2012.
[2]黃清.高職院校計算機網絡安全研究與分析[J].計算機光盤軟件與應用,2011(20)
【高職院校計算機網絡安全管理分析論文】相關文章:
高職院校學生公寓管理模式10-04
對于計算機網絡安全的入侵檢測技術分析論文11-01
高職院校面試自我介紹05-23
高職院校自主招生自我介紹11-16
高職院校輔導員培訓心得11-15
淺析高職院校聲樂課教學的創新與實踐09-28
高職院校輔導員工作總結09-11
建筑施工企業資質管理分析論文10-10
計算機信息管理論文11-05