高職院校計算機網(wǎng)絡(luò )安全管理分析論文

　　摘要：網(wǎng)絡(luò )安全對于保護網(wǎng)絡(luò )和服務(wù)免受未經(jīng)授權的修改、破壞或泄露非常重要。至關(guān)重要的是，保護信息和用于交付的支持基礎設施必須建立在SJSU的網(wǎng)絡(luò )和文化中，以遵守“縱深防御”模式。網(wǎng)絡(luò )安全標準定義了所有SJSU計算機和通信系統信息的網(wǎng)絡(luò )安全要求，目的是保護SJSU存儲、處理和傳輸的信息的機密性、完整性和可用性。本文描述了訪(fǎng)問(wèn)高職院校網(wǎng)絡(luò )，通過(guò)網(wǎng)絡(luò )傳輸數據，網(wǎng)絡(luò )授權和身份驗證以及網(wǎng)絡(luò )管理安全威脅的控制和過(guò)程。

　　關(guān)鍵詞：高職院校；計算機網(wǎng)絡(luò )；安全管理

　　1、入口過(guò)濾

　　網(wǎng)絡(luò )從其他網(wǎng)絡(luò )接收數據包。通常，數據包將包含最初發(fā)送它的計算機的IP地址。這允許接收網(wǎng)絡(luò )中的設備知道它來(lái)自何處，允許回復路由（除其他事項外），除非通過(guò)代理或欺騙性IP地址使用IP地址。發(fā)件人IP地址可以偽造。這掩蓋了發(fā)送的數據包的來(lái)源，例如在拒絕服務(wù)攻擊中。在計算機網(wǎng)絡(luò )中，入口過(guò)濾是一種用于確保傳入數據包實(shí)際來(lái)自它們聲稱(chēng)來(lái)自的網(wǎng)絡(luò )的技術(shù)。這可以用作針對各種欺騙攻擊的對策，其中攻擊者的數據包包含偽造的IP地址，使得難以找到攻擊源。此技術(shù)通常用于拒絕服務(wù)攻擊，這是入口過(guò)濾的主要目標。一種可能的解決方案涉及實(shí)現中間因特網(wǎng)網(wǎng)關(guān)的使用（即，沿著(zhù)路徑跟隨任何給定分組的不同網(wǎng)絡(luò )的那些服務(wù)器）過(guò)濾或拒絕任何被認為是非法的分組。處理數據包的網(wǎng)關(guān)可能完全忽略數據包。在可能的情況下，它可能會(huì )將數據包發(fā)送回發(fā)送方，從而中繼非法數據包被拒絕的消息。主機入侵防御系統（HIPS）是技術(shù)工程應用程序的一個(gè)示例，其有助于識別、預防或阻止不想要的、未預料到的或可疑的事件和入侵。

　　任何實(shí)現入口過(guò)濾的路由器都會(huì )檢查它收到的IP數據包的源IP字段，如果數據包在接口所連接的IP地址塊中沒(méi)有IP地址，則丟棄數據包。在入口過(guò)濾中，如果發(fā)送它的網(wǎng)絡(luò )不應該從始發(fā)IP地址發(fā)送數據包，則過(guò)濾進(jìn)入網(wǎng)絡(luò )的數據包。如果終端主機是末節網(wǎng)絡(luò )或主機，則路由器需要過(guò)濾所有IP數據包，這些IP數據包具有作為源IP的私有地址（ＲFC1918），bogon地址或與接口不具有相同網(wǎng)絡(luò )地址的地址。網(wǎng)絡(luò )入口過(guò)濾依賴(lài)于ISP之間的合作以實(shí)現互利。網(wǎng)絡(luò )入口過(guò)濾的最佳實(shí)踐由BCP38和BCP84中的互聯(lián)網(wǎng)工程任務(wù)組記錄，分別由ＲFC2827和3704定義。BCP84建議IP連接的上游提供商過(guò)濾從下游客戶(hù)進(jìn)入其網(wǎng)絡(luò )的數據包，并丟棄任何源地址未分配給該客戶(hù)的數據包。有許多可能的方法來(lái)實(shí)施這一政策。一種常見(jiàn)的機制是在客戶(hù)鏈接上啟用反向路徑轉發(fā)，這將根據提供商對其客戶(hù)路線(xiàn)公告的路由過(guò)濾間接應用此策略。禁止從公共互聯(lián)網(wǎng)（包括實(shí)驗室，工作站和測試系統）對校園臺式機、筆記本電腦和平板電腦進(jìn)行入站訪(fǎng)問(wèn)，包括ＲDP和SSH。校園部門(mén)的每個(gè)信息所有者負責確保資產(chǎn)的網(wǎng)絡(luò )端口和服務(wù)具有防火墻，僅允許必要的端口和服務(wù)，并且所有其他端口和服務(wù)都被阻止。信息安全辦公室每年都會(huì )對遵守情況進(jìn)行風(fēng)險審查。

　　2、安全網(wǎng)絡(luò )配置

　　IT服務(wù)將使用配置管理和變更控制流程主動(dòng)管理網(wǎng)絡(luò )基礎設施設備的安全配置。IT服務(wù)將使用防火墻更改控制程序主動(dòng)管理防火墻設備的安全配置，并通過(guò)信息安全辦公室進(jìn)行審批。只應向用戶(hù)提供對他們特別授權使用的服務(wù)的訪(fǎng)問(wèn)權限。與ICSUAM8105保持一致，IT服務(wù)保留在發(fā)生信息安全風(fēng)險時(shí)隨時(shí)阻止、隱藏、拒絕或終止其網(wǎng)絡(luò )服務(wù)的權利。部門(mén)IT團隊應在面向Internet的服務(wù)器停止服務(wù)時(shí)通知IT服務(wù)。IT服務(wù)可以根據需要選擇阻止已知協(xié)議或應用程序類(lèi)型（即SMTP，ＲDPBitTorrent，Ares）以維護安全環(huán)境。除非首先獲得信息安全官的事先批準，否則工作人員不得建立任何允許非校園用戶(hù)訪(fǎng)問(wèn)校園網(wǎng)絡(luò )系統和信息的外部網(wǎng)絡(luò )連接。高職院校提供的網(wǎng)絡(luò )服務(wù)是在合同承運人的基礎上提供的，而不是共同的運營(yíng)商。這意味著(zhù)學(xué)校與用戶(hù)的關(guān)系取決于合同中的條款和條件，而不是通常適用于電話(huà)公司和相關(guān)服務(wù)提供商的法律要求。必須放置無(wú)線(xiàn)網(wǎng)絡(luò )接入點(diǎn)，并設計覆蓋區域，以便最大限度地減少未經(jīng)授權的信號攔截的可能性。應使用適當的身份驗證方法來(lái)控制遠程用戶(hù)的訪(fǎng)問(wèn)。不得允許使用出廠(chǎng)默認設置，空白或空密碼（無(wú)字符的密碼）或不符合或超過(guò)密碼標準要求的密碼的用戶(hù)ID遠程訪(fǎng)問(wèn)任何校園計算機或網(wǎng)絡(luò )。在允許使用連接到網(wǎng)絡(luò )的校園計算機之前，所有用戶(hù)必須使用用戶(hù)ID和密碼驗證其身份，或者通過(guò)其他方式提供相同或更高的安全性。橋接校園和外部網(wǎng)絡(luò )所需的任何診斷線(xiàn)路都應得到信息安全辦公室的批準。

　　所有通過(guò)Internet在其內部網(wǎng)絡(luò )上與SJSU計算機建立連接的用戶(hù)必須首先在采用信息安全辦公室批準的擴展用戶(hù)身份驗證過(guò)程的防火墻上進(jìn)行身份驗證。必須將涉及信息安全辦公室認可的公共目錄服務(wù)用于涉及連接到互聯(lián)網(wǎng)的服務(wù)器的所有用戶(hù)認證過(guò)程。在與校園內部網(wǎng)絡(luò )建立連接時(shí)，可以自動(dòng)掃描所有外部計算機以確定他們是否已安裝和操作足夠的安全措施。無(wú)法掃描的計算機以及未充分保護的計算機可能會(huì )被拒絕進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)。

　　3、遠程診斷和配置端口保護

　　應控制對診斷和配置端口的物理和邏輯訪(fǎng)問(wèn)。必須使用鑰匙鎖或相關(guān)措施安全地控制對所有診斷和維護端口的訪(fǎng)問(wèn)，并與有效程序一起使用。應在網(wǎng)絡(luò )上隔離信息服務(wù)，用戶(hù)和信息系統組。訪(fǎng)問(wèn)者連接必須使用與校園內部網(wǎng)絡(luò )無(wú)連接的單獨子網(wǎng)。除非事先得到信息安全辦公室的批準，否則由校園管理或擁有的每個(gè)高安全性和高可靠性系統都必須擁有自己的專(zhuān)用計算機和網(wǎng)絡(luò )。通過(guò)Internet訪(fǎng)問(wèn)的所有Web服務(wù)器都必須受到信息安全辦公室批準的路由器或防火墻的保護。所有無(wú)線(xiàn)接入點(diǎn)必須使用信息安全辦公室批準的配置，在邏輯上與校園內部網(wǎng)絡(luò )區分開(kāi)來(lái)。校園網(wǎng)絡(luò )對于高職院校各項工作的開(kāi)展具有重要意義，因此必須采取有效措施保障校園網(wǎng)絡(luò )安全。本文對常用的校園計算機網(wǎng)絡(luò )安全管理措施進(jìn)行了總結和分析，希望進(jìn)一步提升高職院校校園網(wǎng)絡(luò )的安全性。

　　參考文獻：

　�。�1］蔡昂．高職院校計算機網(wǎng)絡(luò )安全管理系統的設計與實(shí)現［D］．天津大學(xué)，2012．

　�。�2］黃清．高職院校計算機網(wǎng)絡(luò )安全研究與分析［J］．計算機光盤(pán)軟件與應用，2011（20）

【高職院校計算機網(wǎng)絡(luò )安全管理分析論文】相關(guān)文章：

高職院校學(xué)生公寓管理模式10-04

對于計算機網(wǎng)絡(luò )安全的入侵檢測技術(shù)分析論文11-01

高職院校面試自我介紹05-23

淺談高職院校藝術(shù)設計專(zhuān)業(yè)形態(tài)構成課程整合論文10-13

高職院校自主招生自我介紹11-16

高職院校輔導員培訓心得11-15

淺析高職院校聲樂(lè )課教學(xué)的創(chuàng )新與實(shí)踐09-28

高職院校輔導員工作總結09-11

建筑施工企業(yè)資質(zhì)管理分析論文10-10

計算機信息管理論文11-05