電子信息咨詢郵箱實現(xiàn)教育信息網(wǎng)絡(luò)安全

　　本篇文章是由《信息工程大學(xué)學(xué)報》發(fā)表的一篇信息論文，(雙月刊)創(chuàng)刊于2000年，是由解放軍信息工程大學(xué)主辦的公開發(fā)行的以基礎(chǔ)理論、應(yīng)用科學(xué)和工程技術(shù)為主的理工科綜合性學(xué)術(shù)刊物，本刊的主要任務(wù)是反映大學(xué)在教學(xué)、科學(xué)研究中的學(xué)術(shù)論文和科研成果，促進學(xué)術(shù)交流，發(fā)展科學(xué)技術(shù)，推動教學(xué)改革，提高科研水平。

　　論文摘要：隨著教育信息化向縱深發(fā)展，越來越多的業(yè)務(wù)和數(shù)據(jù)都通過網(wǎng)絡(luò)來傳遞和處理，因此教育信息網(wǎng)絡(luò)安全問題也日益突出。提高網(wǎng)絡(luò)的安全性，建立起一套真正適合教育信息網(wǎng)絡(luò)的安全體系是時代的需要。

　　論文關(guān)鍵詞：安全策略　VLAN技術(shù)　計算機病毒　網(wǎng)絡(luò)資源　共享

　　教育信息網(wǎng)絡(luò)是教育信息系統(tǒng)運行的載體，是各級教育管理部門之間進行信息交換、實現(xiàn)信息共享的基礎(chǔ)平臺。教育信息網(wǎng)絡(luò)安全狀況直接影響著正常工作的運轉(zhuǎn)。在網(wǎng)絡(luò)建成的初期，安全問題可能還不突出，但隨著信息化應(yīng)用的深入，網(wǎng)絡(luò)上的各種數(shù)據(jù)急劇增加，各種各樣的安全問題開始困擾我們。因此在網(wǎng)絡(luò)建設(shè)過程中，必須未雨綢繆，及時采取有效的安全措施，防范和清除各種安全隱患和威脅。

　　一、教育信息網(wǎng)絡(luò)面臨的安全威脅

　　教育信息網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種：一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅;二是對網(wǎng)絡(luò)設(shè)備的威脅。這些威脅可能來源于各種各樣的因素，總結(jié)起來，大致有下面幾種：

　　1、物理因素。從物理上講，教育信息網(wǎng)絡(luò)的安全是脆弱的，整個網(wǎng)絡(luò)涉及設(shè)備分布極為廣泛，任何個人或部門都不可能時刻對這些設(shè)備進行全面監(jiān)控，任何安置在不能上鎖的地方的設(shè)施，包括光纜、電纜、局域網(wǎng)、遠程網(wǎng)等都有可能遭到破壞，從而引起網(wǎng)絡(luò)的癱瘓，影響正常工作的進行。如果是包含數(shù)據(jù)的軟盤、光碟、主機等被盜，更會引起數(shù)據(jù)的丟失和泄露。

　　2、技術(shù)脆弱性因素。目前教育信息網(wǎng)絡(luò)中局域網(wǎng)之間遠程互連線路混雜，有電信、廣電、聯(lián)通、移動等多家，因此缺乏相應(yīng)的統(tǒng)一安全機制，在安全可靠、服務(wù)質(zhì)量、帶寬和方便性等方面存在著不適應(yīng)性。此外，隨著軟件交流規(guī)模的不斷增大，系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。

　　3、操作人員的失誤因素。教育網(wǎng)絡(luò)是以用戶為中心的系統(tǒng)。一個合法的用戶在系統(tǒng)內(nèi)可以執(zhí)行各種操作。管理人員可以通過對用戶的權(quán)限分配限定用戶的某些行為，以免故意或非故意地破壞。更多的安全措施必須由使用者來完成。使用者安全意識淡薄，操作不規(guī)范是威脅網(wǎng)絡(luò)安全的主要因素。

　　4、管理因素。嚴格的管理是網(wǎng)絡(luò)安全的重要措施。事實上，很多網(wǎng)管都疏于這方面的管理，對網(wǎng)絡(luò)的管理思想麻痹，網(wǎng)絡(luò)管理員配置不當或者網(wǎng)絡(luò)應(yīng)用升級不及時造成的安全漏洞、使用脆弱的用戶口令、隨意使用普通網(wǎng)絡(luò)站點下載的軟件、在防火墻內(nèi)部架設(shè)撥號服務(wù)器卻沒有對賬號認證等嚴格限制，舍不得投入必要的人力、財力、物力來加強網(wǎng)絡(luò)的安全管理等等，都造成了網(wǎng)絡(luò)安全的隱患。

　　5、其他因素。一般來說，安全與方便通常是互相矛盾的。有些網(wǎng)管雖然知道自己網(wǎng)絡(luò)中存在的安全漏洞以及可能招致的攻擊，但是出于管理協(xié)調(diào)方面的問題，卻無法去更正。因為是大家一起在管理使用一個網(wǎng)絡(luò)，包括用戶數(shù)據(jù)更新管理、路由政策管理、數(shù)據(jù)流量統(tǒng)計管理、新服務(wù)開發(fā)管理、域名和地址管理等等。網(wǎng)絡(luò)安全管理只是其中的一部分，并且在服務(wù)層次上，處于對其他管理提供服務(wù)的地位上。這樣，在與其他管理服務(wù)存在沖突的時候，網(wǎng)絡(luò)安全往往需要作出讓步。

　　二、實現(xiàn)教育信息網(wǎng)絡(luò)安全的對策

　　網(wǎng)絡(luò)安全是指為了保護網(wǎng)絡(luò)不受來自網(wǎng)絡(luò)內(nèi)外的各種危害而采取的防范措施的總和。不同屬性的網(wǎng)絡(luò)具有不同的安全需求。對于教育信息網(wǎng)絡(luò)，受投資規(guī)模等方面的限制，不可能全部最高強度的實施，但是正確的做法是分析網(wǎng)絡(luò)中最為脆弱的部分而著重解決，將有限的資金用在最為關(guān)鍵的地方。實現(xiàn)整體網(wǎng)絡(luò)安全需要依靠完備適當?shù)木W(wǎng)絡(luò)安全策略和嚴格的管理來落實。

　　網(wǎng)絡(luò)的安全策略就是針對網(wǎng)絡(luò)的實際情況(被保護信息價值、被攻擊危險性、可投入的資金)，在網(wǎng)絡(luò)管理的整個過程，具體對各種網(wǎng)絡(luò)安全措施進行取舍。網(wǎng)絡(luò)的安全策略可以說是在一定條件下的成本和效率的平衡。

　　教育信息網(wǎng)絡(luò)包括各級教育數(shù)據(jù)中心和信息系統(tǒng)運行的局域網(wǎng)，連接各級教育內(nèi)部局域網(wǎng)的廣域網(wǎng)，提供信息發(fā)布和社會化服務(wù)的國際互聯(lián)網(wǎng)。它具有訪問方式多樣，用戶群龐大，網(wǎng)絡(luò)行為突發(fā)性較高等特點。網(wǎng)絡(luò)的安全問題需要從網(wǎng)絡(luò)規(guī)劃設(shè)計階段就仔細考慮，并在實際運行中嚴格管理。為保證網(wǎng)絡(luò)的安全性，一般采用以下一些策略：

　　1、安全技術(shù)策略。目前，網(wǎng)絡(luò)安全的技術(shù)主要包括殺毒軟件、防火墻技術(shù)、加密技術(shù)、身份驗證、存取控制、數(shù)據(jù)的完整性控制和安全協(xié)議等內(nèi)容。對教育信息網(wǎng)絡(luò)來說，主要應(yīng)該采取以下一些技術(shù)措施：(1)防火墻。網(wǎng)絡(luò)防火墻技術(shù)，作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，包含動態(tài)的封包過濾、應(yīng)用代理服務(wù)、用戶認證、網(wǎng)絡(luò)地址轉(zhuǎn)接、IP防假冒、預(yù)警模聲、日志及計費分析等功能，可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來，能夠控制網(wǎng)絡(luò)上往來的信息，而且僅僅容許合法用戶進出局域網(wǎng)。根據(jù)防火墻的位置，可以分為外部防火墻和內(nèi)部防火墻。外部防火墻將局域網(wǎng)與外部廣域網(wǎng)隔離開來，而內(nèi)部防火墻的任務(wù)經(jīng)常是在各個部門子網(wǎng)之間進行通信檢查控制。網(wǎng)絡(luò)安全體系不應(yīng)該提供外部系統(tǒng)跨越安全系統(tǒng)直接到達受保護的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的途徑。(2)加密機。加密機可以對廣域網(wǎng)上傳輸?shù)臄?shù)據(jù)和信息進行加解密，保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)絡(luò)會話的完整性，并可防止非授權(quán)用戶的搭線竊聽和入網(wǎng)。(3)網(wǎng)絡(luò)隔離VLAN技術(shù)應(yīng)用。采用交換式局域網(wǎng)技術(shù)的網(wǎng)絡(luò)，可以用VLAN技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)功能、保密水平、安全水平等要求的差異將網(wǎng)絡(luò)進行分段隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可以分為物理分段和邏輯分段兩種方式。(4)殺毒軟件。選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在網(wǎng)絡(luò)上傳播。(5)訪問控制。這是網(wǎng)絡(luò)安全防范和保護的最主要措施之一，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬戶的缺省限制檢查等。當用戶進入網(wǎng)絡(luò)后，網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限，用戶只能在其權(quán)限內(nèi)進行操作。這樣，就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。(6)入侵檢測。入侵檢測是對入侵行為的發(fā)覺，通過對網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集并進行分析從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。(7)網(wǎng)絡(luò)安全漏洞掃描。安全掃描是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務(wù)器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。(8)“最小授權(quán)”原則。從網(wǎng)絡(luò)安全的角度考慮問題，打開的服務(wù)越多，可能出現(xiàn)的安全漏洞就會越多。“最小授權(quán)”原則指的是網(wǎng)絡(luò)中賬號設(shè)置、服務(wù)配置、主機間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運行所需的最小限度。關(guān)閉網(wǎng)絡(luò)安全策略中沒有定義的網(wǎng)絡(luò)服務(wù)并將用戶的權(quán)限配置為策略定義的最小 限度、及時刪除不必要的賬號等措施可以將系統(tǒng)的危險性大大降低。

　　2、物理安全及其保障。物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊。網(wǎng)絡(luò)規(guī)劃設(shè)計階段就應(yīng)該充分考慮到設(shè)備的安全問題。將一些重要的設(shè)備建立完備的機房安全管理制度，妥善保管備份磁帶和文檔資料;防止非法人員進入機房進行偷竊和破壞活動。抑制和防止電磁泄漏是物理安全的一個主要問題。目前主要防護措施有兩類：一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

　　3、網(wǎng)絡(luò)安全管理。即使是一個完美的安全策略，如果得不到很好的實施，也是空紙一張。網(wǎng)絡(luò)安全管理除了建立起一套嚴格的安全管理制度外，還必須培養(yǎng)一支具有安全管理意識的網(wǎng)絡(luò)隊伍。

　　網(wǎng)絡(luò)管理人員通過對所有用戶設(shè)置資源使用權(quán)限和口令，對用戶名和口令進行加密、存儲、傳輸、提供完整的用戶使用記錄和分析等方式可以有效地保證系統(tǒng)的安全。

　　網(wǎng)管人員還需要建立與維護完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴格對系統(tǒng)日志進行管理。定時對網(wǎng)絡(luò)系統(tǒng)的安全狀況做出評估和審核，關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全設(shè)置，進行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)。同時需要責任明確化、具體化，將網(wǎng)絡(luò)的安全維護、系統(tǒng)和數(shù)據(jù)備份、軟件配置和升級等責任具體到網(wǎng)管人員，實行包機制度和機歷本制度等，保證責任人之間的備份和替換關(guān)系。

　　4、網(wǎng)絡(luò)安全的培訓(xùn)教育。除了對用戶進行有關(guān)網(wǎng)絡(luò)安全的法律和規(guī)章制度進行宣傳教育外，還必須讓網(wǎng)絡(luò)用戶知道和了解一些安全策略：包括口令的選取、保存、更改周期、定期檢查、保密。盡量不要在本地硬盤上共享文件，因為這樣做將影響自己的機器安全。最好將共享文件存放在服務(wù)器上，既安全又方便了他人隨時使用文件。設(shè)置有顯示的屏幕保護，并且加上口令保護。定期參加網(wǎng)絡(luò)知識和網(wǎng)絡(luò)安全的培訓(xùn)，了解網(wǎng)絡(luò)安全知識，養(yǎng)成注意安全的工作習(xí)慣等等。

　　5、應(yīng)急處理和災(zāi)難恢復(fù)。為保證網(wǎng)絡(luò)系統(tǒng)發(fā)生災(zāi)難后做到有的放矢，必須制定一套完整可行的事件救援，災(zāi)難恢復(fù)計劃及方案。備份磁帶是在網(wǎng)絡(luò)系統(tǒng)由于各種原因出現(xiàn)災(zāi)難事件時最為重要的恢復(fù)和分析的手段和依據(jù)。網(wǎng)絡(luò)運行部門應(yīng)該制定完整的系統(tǒng)備份計劃，并嚴格實施。備份計劃中應(yīng)包括網(wǎng)絡(luò)系統(tǒng)和用戶數(shù)據(jù)備份、完全和增量備份的頻度和責任人。

　　備份數(shù)據(jù)磁帶的物理安全是整個網(wǎng)絡(luò)安全體系中最重要的環(huán)節(jié)之一。通過備份磁帶，一方面可以恢復(fù)被破壞的系統(tǒng)和數(shù)據(jù);另一方面需要定期地檢驗備份磁帶的有效性。可以通過定期的恢復(fù)演習(xí)對備份數(shù)據(jù)有效性進行鑒定，同時對網(wǎng)管人員數(shù)據(jù)恢復(fù)技術(shù)操作的演練做到遇問題不慌，從容應(yīng)付，保障網(wǎng)絡(luò)服務(wù)的提供。

　　教育信息網(wǎng)絡(luò)的安全問題是一個較為復(fù)雜的系統(tǒng)工程。從嚴格的意義上來講，沒有絕對安全的網(wǎng)絡(luò)系統(tǒng)。提高網(wǎng)絡(luò)的安全系數(shù)是要以降低網(wǎng)絡(luò)效率和增加投入為代價的。隨著計算機技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的安全有待于在實踐中進一步研究和探索。在目前的情況下，我們應(yīng)當全面考慮綜合運用防火墻、加密技術(shù)、防毒軟件等多項措施，互相配合，加強管理，從中尋找到確保網(wǎng)絡(luò)安全與網(wǎng)絡(luò)效率的平衡點，綜合提高網(wǎng)絡(luò)的安全性，從而建立起一套真正適合教育信息網(wǎng)絡(luò)的安全體系。

　　參考文獻

　　[1]Jay Ramachandran(美).《設(shè)計安全的體系結(jié)構(gòu)》[M].機械工業(yè)出版社，2003年.

　　[2]Stallingsw，(美)，《信息與網(wǎng)絡(luò)安全叢書：網(wǎng)絡(luò)安全要素——應(yīng)用與標準》[M]，人民郵電出版社，2000年.