高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理分析

周瑾

摘要：網(wǎng)絡(luò)安全對(duì)于保護(hù)網(wǎng)絡(luò)和服務(wù)免受未經(jīng)授權(quán)的修改、破壞或泄露非常重要。至關(guān)重要的是，保護(hù)信息和用于交付的支持基礎(chǔ)設(shè)施必須建立在SJSU的網(wǎng)絡(luò)和文化中，以遵守“縱深防御”模式。網(wǎng)絡(luò)安全標(biāo)準(zhǔn)定義了所有SJSU計(jì)算機(jī)和通信系統(tǒng)信息的網(wǎng)絡(luò)安全要求，目的是保護(hù)SJSU存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性。本文描述了訪問(wèn)高職院校網(wǎng)絡(luò)，通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)，網(wǎng)絡(luò)授權(quán)和身份驗(yàn)證以及網(wǎng)絡(luò)管理安全威脅的控制和過(guò)程。

關(guān)鍵詞：高職院校；計(jì)算機(jī)網(wǎng)絡(luò)；安全管理

1 入口過(guò)濾

網(wǎng)絡(luò)從其他網(wǎng)絡(luò)接收數(shù)據(jù)包。通常，數(shù)據(jù)包將包含最初發(fā)送它的計(jì)算機(jī)的IP地址。這允許接收網(wǎng)絡(luò)中的設(shè)備知道它來(lái)自何處，允許回復(fù)路由（除其他事項(xiàng)外），除非通過(guò)代理或欺騙性IP地址使用IP地址。發(fā)件人IP地址可以偽造。這掩蓋了發(fā)送的數(shù)據(jù)包的來(lái)源，例如在拒絕服務(wù)攻擊中。

在計(jì)算機(jī)網(wǎng)絡(luò)中，入口過(guò)濾是一種用于確保傳入數(shù)據(jù)包實(shí)際來(lái)自它們聲稱來(lái)自的網(wǎng)絡(luò)的技術(shù)。這可以用作針對(duì)各種欺騙攻擊的對(duì)策，其中攻擊者的數(shù)據(jù)包包含偽造的IP地址，使得難以找到攻擊源。此技術(shù)通常用于拒絕服務(wù)攻擊，這是入口過(guò)濾的主要目標(biāo)。

一種可能的解決方案涉及實(shí)現(xiàn)中間因特網(wǎng)網(wǎng)關(guān)的使用（即，沿著路徑跟隨任何給定分組的不同網(wǎng)絡(luò)的那些服務(wù)器）過(guò)濾或拒絕任何被認(rèn)為是非法的分組。處理數(shù)據(jù)包的網(wǎng)關(guān)可能完全忽略數(shù)據(jù)包。在可能的情況下，它可能會(huì)將數(shù)據(jù)包發(fā)送回發(fā)送方，從而中繼非法數(shù)據(jù)包被拒絕的消息。主機(jī)入侵防御系統(tǒng)（HIPS）是技術(shù)工程應(yīng)用程序的一個(gè)示例，其有助于識(shí)別、預(yù)防或阻止不想要的、未預(yù)料到的或可疑的事件和入侵。

任何實(shí)現(xiàn)入口過(guò)濾的路由器都會(huì)檢查它收到的IP數(shù)據(jù)包的源IP字段，如果數(shù)據(jù)包在接口所連接的IP地址塊中沒(méi)有IP地址，則丟棄數(shù)據(jù)包。

在入口過(guò)濾中，如果發(fā)送它的網(wǎng)絡(luò)不應(yīng)該從始發(fā)IP地址發(fā)送數(shù)據(jù)包，則過(guò)濾進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包。如果終端主機(jī)是末節(jié)網(wǎng)絡(luò)或主機(jī)，則路由器需要過(guò)濾所有IP數(shù)據(jù)包，這些IP數(shù)據(jù)包具有作為源IP的私有地址（RFC 1918），bogon地址或與接口不具有相同網(wǎng)絡(luò)地址的地址。

網(wǎng)絡(luò)入口過(guò)濾依賴于ISP之間的合作以實(shí)現(xiàn)互利。網(wǎng)絡(luò)入口過(guò)濾的最佳實(shí)踐由BCP 38和BCP 84中的互聯(lián)網(wǎng)工程任務(wù)組記錄，分別由RFC 2827和3704定義。BCP 84建議IP連接的上游提供商過(guò)濾從下游客戶進(jìn)入其網(wǎng)絡(luò)的數(shù)據(jù)包，并丟棄任何源地址未分配給該客戶的數(shù)據(jù)包。

有許多可能的方法來(lái)實(shí)施這一政策。一種常見(jiàn)的機(jī)制是在客戶鏈接上啟用反向路徑轉(zhuǎn)發(fā)，這將根據(jù)提供商對(duì)其客戶路線公告的路由過(guò)濾間接應(yīng)用此策略。

禁止從公共互聯(lián)網(wǎng)（包括實(shí)驗(yàn)室，工作站和測(cè)試系統(tǒng)）對(duì)校園臺(tái)式機(jī)、筆記本電腦和平板電腦進(jìn)行入站訪問(wèn)，包括RDP和SSH。校園部門的每個(gè)信息所有者負(fù)責(zé)確保資產(chǎn)的網(wǎng)絡(luò)端口和服務(wù)具有防火墻，僅允許必要的端口和服務(wù)，并且所有其他端口和服務(wù)都被阻止。信息安全辦公室每年都會(huì)對(duì)遵守情況進(jìn)行風(fēng)險(xiǎn)審查。

2 安全網(wǎng)絡(luò)配置

IT服務(wù)將使用配置管理和變更控制流程主動(dòng)管理網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的安全配置。IT服務(wù)將使用防火墻更改控制程序主動(dòng)管理防火墻設(shè)備的安全配置，并通過(guò)信息安全辦公室進(jìn)行審批。只應(yīng)向用戶提供對(duì)他們特別授權(quán)使用的服務(wù)的訪問(wèn)權(quán)限。

與ICSUAM8105保持一致，IT服務(wù)保留在發(fā)生信息安全風(fēng)險(xiǎn)時(shí)隨時(shí)阻止、隱藏、拒絕或終止其網(wǎng)絡(luò)服務(wù)的權(quán)利。部門IT團(tuán)隊(duì)?wèi)?yīng)在面向Internet的服務(wù)器停止服務(wù)時(shí)通知IT服務(wù)。IT服務(wù)可以根據(jù)需要選擇阻止已知協(xié)議或應(yīng)用程序類型（即SMTP，RDP BitTorrent，Ares）以維護(hù)安全環(huán)境。

除非首先獲得信息安全官的事先批準(zhǔn)，否則工作人員不得建立任何允許非校園用戶訪問(wèn)校園網(wǎng)絡(luò)系統(tǒng)和信息的外部網(wǎng)絡(luò)連接。高職院校提供的網(wǎng)絡(luò)服務(wù)是在合同承運(yùn)人的基礎(chǔ)上提供的，而不是共同的運(yùn)營(yíng)商。這意味著學(xué)校與用戶的關(guān)系取決于合同中的條款和條件，而不是通常適用于電話公司和相關(guān)服務(wù)提供商的法律要求。

必須放置無(wú)線網(wǎng)絡(luò)接入點(diǎn)，并設(shè)計(jì)覆蓋區(qū)域，以便最大限度地減少未經(jīng)授權(quán)的信號(hào)攔截的可能性。應(yīng)使用適當(dāng)?shù)纳矸蒡?yàn)證方法來(lái)控制遠(yuǎn)程用戶的訪問(wèn)。不得允許使用出廠默認(rèn)設(shè)置，空白或空密碼（無(wú)字符的密碼）或不符合或超過(guò)密碼標(biāo)準(zhǔn)要求的密碼的用戶ID遠(yuǎn)程訪問(wèn)任何校園計(jì)算機(jī)或網(wǎng)絡(luò)。在允許使用連接到網(wǎng)絡(luò)的校園計(jì)算機(jī)之前，所有用戶必須使用用戶ID和密碼驗(yàn)證其身份，或者通過(guò)其他方式提供相同或更高的安全性。

橋接校園和外部網(wǎng)絡(luò)所需的任何診斷線路都應(yīng)得到信息安全辦公室的批準(zhǔn)。所有通過(guò)Internet在其內(nèi)部網(wǎng)絡(luò)上與SJSU計(jì)算機(jī)建立連接的用戶必須首先在采用信息安全辦公室批準(zhǔn)的擴(kuò)展用戶身份驗(yàn)證過(guò)程的防火墻上進(jìn)行身份驗(yàn)證。必須將涉及信息安全辦公室認(rèn)可的公共目錄服務(wù)用于涉及連接到互聯(lián)網(wǎng)的服務(wù)器的所有用戶認(rèn)證過(guò)程。在與校園內(nèi)部網(wǎng)絡(luò)建立連接時(shí)，可以自動(dòng)掃描所有外部計(jì)算機(jī)以確定他們是否已安裝和操作足夠的安全措施。無(wú)法掃描的計(jì)算機(jī)以及未充分保護(hù)的計(jì)算機(jī)可能會(huì)被拒絕進(jìn)行網(wǎng)絡(luò)訪問(wèn)。

3 遠(yuǎn)程診斷和配置端口保護(hù)

應(yīng)控制對(duì)診斷和配置端口的物理和邏輯訪問(wèn)。必須使用鑰匙鎖或相關(guān)措施安全地控制對(duì)所有診斷和維護(hù)端口的訪問(wèn)，并與有效程序一起使用。應(yīng)在網(wǎng)絡(luò)上隔離信息服務(wù)，用戶和信息系統(tǒng)組。訪問(wèn)者連接必須使用與校園內(nèi)部網(wǎng)絡(luò)無(wú)連接的單獨(dú)子網(wǎng)。除非事先得到信息安全辦公室的批準(zhǔn)，否則由校園管理或擁有的每個(gè)高安全性和高可靠性系統(tǒng)都必須擁有自己的專用計(jì)算機(jī)和網(wǎng)絡(luò)。通過(guò)Internet訪問(wèn)的所有Web服務(wù)器都必須受到信息安全辦公室批準(zhǔn)的路由器或防火墻的保護(hù)。所有無(wú)線接入點(diǎn)必須使用信息安全辦公室批準(zhǔn)的配置，在邏輯上與校園內(nèi)部網(wǎng)絡(luò)區(qū)分開(kāi)來(lái)。

校園網(wǎng)絡(luò)對(duì)于高職院校各項(xiàng)工作的開(kāi)展具有重要意義，因此必須采取有效措施保障校園網(wǎng)絡(luò)安全。本文對(duì)常用的校園計(jì)算機(jī)網(wǎng)絡(luò)安全管理措施進(jìn)行了總結(jié)和分析，希望進(jìn)一步提升高職院校校園網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]蔡昂.高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].天津大學(xué)，2012.

[2]黃清.高職院校計(jì)算機(jī)網(wǎng)絡(luò)安全研究與分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（20）：207207.