浅谈实现教育信息网络安全的对策(2)

　　二、实现教育信息网络安全的对策
　　
　　网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。不同属性的网络具有不同的安全需求。对于教育信息网络，受投资规模等方面的限制，不可能全部最高强度的实施，但是正确的做法是分析网络中最为脆弱的部分而着重解决，将有限的资金用在最为关键的地方。实现整体网络安全需要依靠完备适当的网络安全策略和严格的管理来落实。
　　网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金)，在网络管理的整个过程，具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。
　　教育信息网络包括各级教育数据中心和信息系统运行的局域网，连接各级教育内部局域网的广域网，提供信息发布和社会化服务的国际互联网。它具有访问方式多样，用户群庞大，网络行为突发性较高等特点。网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为保证网络的安全性，一般采用以下一些策略：
　　
　　1、安全技术策略。目前，网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。对教育信息网络来说，主要应该采取以下一些技术措施：(1)防火墙。网络防火墙技术，作为内部网络与外部网络之间的第一道安全屏障，包含动态的封包过滤、应用代理服务、用户认证、网络地址转接、IP防假冒、预警模声、日志及计费分析等功能，可以有效地将内部网与外部网隔离开来，能够控制网络上往来的信息，而且仅仅容许合法用户进出局域网。根据防火墙的位置，可以分为外部防火墙和内部防火墙。外部防火墙将局域网与外部广域网隔离开来，而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。(2)加密机。加密机可以对广域网上传输的数据和信息进行加解密，保护网内的数据、文件、口令和控制信息，保护网络会话的完整性，并可防止非授权用户的搭线窃听和入网。(3)网络隔离VLAN技术应用。采用交换式局域网技术的网络，可以用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段，根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。网络分段可以分为物理分段和逻辑分段两种方式。(4)杀毒软件。选择合适的网络杀毒软件可以有效地防止病毒在网络上传播。(5)访问控制。这是网络安全防范和保护的最主要措施之一，其主要任务是保证网络资源不被非法使用和非法访问。用户的入网访问控制通常有用户名的识别与验证、用户口令的识别与验证、用户账户的缺省限制检查等。当用户进入网络后，网络系统就赋予这一用户一定的访问权限，用户只能在其权限内进行操作。这样，就保证网络资源不被非法访问和非法使用。(6)入侵检测。入侵检测是对入侵行为的发觉，通过对网络或计算机系统中的若干关键点收集并进行分析从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。(7)网络安全漏洞扫描。安全扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。(8)“最小授权”原则。从网络安全的角度考虑问题，打开的服务越多，可能出现的安全漏洞就会越多。“最小授权”原则指的是网络中账号设置、服务配置、主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小 限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。
　2、物理安全及其保障。物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。网络规划设计阶段就应该充分考虑到设备的安全问题。将一些重要的设备建立完备的机房安全管理制度，妥善保管备份磁带和文档资料；防止非法人员进入机房进行偷窃和破坏活动。抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。
　　
　　3、网络安全管理。即使是一个完美的安全策略，如果得不到很好的实施，也是空纸一张。网络安全管理除了建立起一套严格的安全管理制度外，还必须培养一支具有安全管理意识的网络队伍。
　　网络管理人员通过对所有用户设置资源使用权限和口令，对用户名和口令进行加密、存储、传输、提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
　　网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志进行管理。定时对网络系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。同时需要责任明确化、具体化，将网络的安全维护、系统和数据备份、软件配置和升级等责任具体到网管人员，实行包机制度和机历本制度等，保证责任人之间的备份和替换关系。
　　
　　4、网络安全的培训教育。除了对用户进行有关网络安全的法律和规章制度进行宣传教育外，还必须让网络用户知道和了解一些安全策略：包括口令的选取、保存、更改周期、定期检查、保密。尽量不要在本地硬盘上共享文件，因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上，既安全又方便了他人随时使用文件。设置有显示的屏幕保护，并且加上口令保护。定期参加网络知识和网络安全的培训，了解网络安全知识，养成注意安全的工作习惯等等。
　　
　　5、应急处理和灾难恢复。为保证网络系统发生灾难后做到有的放矢，必须制定一套完整可行的事件救援，灾难恢复计划及方案。备份磁带是在网络系统由于各种原因出现灾难事件时最为重要的恢复和分析的手段和依据。网络运行部门应该制定完整的系统备份计划，并严格实施。备份计划中应包括网络系统和用户数据备份、完全和增量备份的频度和责任人。
　　备份数据磁带的物理安全是整个网络安全体系中最重要的环节之一。通过备份磁带，一方面可以恢复被破坏的系统和数据；另一方面需要定期地检验备份磁带的有效性。可以通过定期的恢复演习对备份数据有效性进行鉴定，同时对网管人员数据恢复技术操作的演练做到遇问题不慌，从容应付，保障网络服务的提供。
　　教育信息网络的安全问题是一个较为复杂的系统工程。从严格的意义上来讲，没有绝对安全的网络系统。提高网络的安全系数是要以降低网络效率和增加投入为代价的。随着计算机技术的飞速发展，网络的安全有待于在实践中进一步研究和探索。在目前的情况下，我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施，互相配合，加强管理，从中寻找到确保网络安全与网络效率的平衡点，综合提高网络的安全性，从而建立起一套真正适合教育信息网络的安全体系。
　　
　　参考文献
　　[1]Jay Ramachandran(美).《设计安全的体系结构》[M].机械工业出版社，2003年.
　　[2]Stallingsw，(美)，《信息与网络安全丛书：网络安全要素——应用与标准》[M]，人民邮电出版社，2000年.
　　[3]网络安全策略的探讨http：//www.happycampus.cn/pages/2003/05/30/D112865.html.