周瑾
摘要:网络安全对于保护网络和服务免受未经授权的修改、破坏或泄露非常重要。至关重要的是,保护信息和用于交付的支持基础设施必须建立在SJSU的网络和文化中,以遵守“纵深防御”模式。网络安全标准定义了所有SJSU计算机和通信系统信息的网络安全要求,目的是保护SJSU存储、处理和传输的信息的机密性、完整性和可用性。本文描述了访问高职院校网络,通过网络传输数据,网络授权和身份验证以及网络管理安全威胁的控制和过程。
关键词:高职院校;计算机网络;安全管理
1 入口过滤
网络从其他网络接收数据包。通常,数据包将包含最初发送它的计算机的IP地址。这允许接收网络中的设备知道它来自何处,允许回复路由(除其他事项外),除非通过代理或欺骗性IP地址使用IP地址。发件人IP地址可以伪造。这掩盖了发送的数据包的来源,例如在拒绝服务攻击中。
在计算机网络中,入口过滤是一种用于确保传入数据包实际来自它们声称来自的网络的技术。这可以用作针对各种欺骗攻击的对策,其中攻击者的数据包包含伪造的IP地址,使得难以找到攻击源。此技术通常用于拒绝服务攻击,这是入口过滤的主要目标。
一种可能的解决方案涉及实现中间因特网网关的使用(即,沿着路径跟随任何给定分组的不同网络的那些服务器)过滤或拒绝任何被认为是非法的分组。处理数据包的网关可能完全忽略数据包。在可能的情况下,它可能会将数据包发送回发送方,从而中继非法数据包被拒绝的消息。主机入侵防御系统(HIPS)是技术工程应用程序的一个示例,其有助于识别、预防或阻止不想要的、未预料到的或可疑的事件和入侵。
任何实现入口过滤的路由器都会检查它收到的IP数据包的源IP字段,如果数据包在接口所连接的IP地址块中没有IP地址,则丢弃数据包。
在入口过滤中,如果发送它的网络不应该从始发IP地址发送数据包,则过滤进入网络的数据包。如果终端主机是末节网络或主机,则路由器需要过滤所有IP数据包,这些IP数据包具有作为源IP的私有地址(RFC 1918),bogon地址或与接口不具有相同网络地址的地址。
网络入口过滤依赖于ISP之间的合作以实现互利。网络入口过滤的最佳实践由BCP 38和BCP 84中的互联网工程任务组记录,分别由RFC 2827和3704定义。BCP 84建议IP连接的上游提供商过滤从下游客户进入其网络的数据包,并丢弃任何源地址未分配给该客户的数据包。
有许多可能的方法来实施这一政策。一种常见的机制是在客户链接上启用反向路径转发,这将根据提供商对其客户路线公告的路由过滤间接应用此策略。
禁止从公共互联网(包括实验室,工作站和测试系统)对校园台式机、笔记本电脑和平板电脑进行入站访问,包括RDP和SSH。校园部门的每个信息所有者负责确保资产的网络端口和服务具有防火墙,仅允许必要的端口和服务,并且所有其他端口和服务都被阻止。信息安全办公室每年都會对遵守情况进行风险审查。
2 安全网络配置
IT服务将使用配置管理和变更控制流程主动管理网络基础设施设备的安全配置。IT服务将使用防火墙更改控制程序主动管理防火墙设备的安全配置,并通过信息安全办公室进行审批。只应向用户提供对他们特别授权使用的服务的访问权限。
与ICSUAM8105保持一致,IT服务保留在发生信息安全风险时随时阻止、隐藏、拒绝或终止其网络服务的权利。部门IT团队应在面向Internet的服务器停止服务时通知IT服务。IT服务可以根据需要选择阻止已知协议或应用程序类型(即SMTP,RDP BitTorrent,Ares)以维护安全环境。
除非首先获得信息安全官的事先批准,否则工作人员不得建立任何允许非校园用户访问校园网络系统和信息的外部网络连接。高职院校提供的网络服务是在合同承运人的基础上提供的,而不是共同的运营商。这意味着学校与用户的关系取决于合同中的条款和条件,而不是通常适用于电话公司和相关服务提供商的法律要求。
必须放置无线网络接入点,并设计覆盖区域,以便最大限度地减少未经授权的信号拦截的可能性。应使用适当的身份验证方法来控制远程用户的访问。不得允许使用出厂默认设置,空白或空密码(无字符的密码)或不符合或超过密码标准要求的密码的用户ID远程访问任何校园计算机或网络。在允许使用连接到网络的校园计算机之前,所有用户必须使用用户ID和密码验证其身份,或者通过其他方式提供相同或更高的安全性。
桥接校园和外部网络所需的任何诊断线路都应得到信息安全办公室的批准。所有通过Internet在其内部网络上与SJSU计算机建立连接的用户必须首先在采用信息安全办公室批准的扩展用户身份验证过程的防火墙上进行身份验证。必须将涉及信息安全办公室认可的公共目录服务用于涉及连接到互联网的服务器的所有用户认证过程。在与校园内部网络建立连接时,可以自动扫描所有外部计算机以确定他们是否已安装和操作足够的安全措施。无法扫描的计算机以及未充分保护的计算机可能会被拒绝进行网络访问。
3 远程诊断和配置端口保护
应控制对诊断和配置端口的物理和逻辑访问。必须使用钥匙锁或相关措施安全地控制对所有诊断和维护端口的访问,并与有效程序一起使用。应在网络上隔离信息服务,用户和信息系统组。访问者连接必须使用与校园内部网络无连接的单独子网。除非事先得到信息安全办公室的批准,否则由校园管理或拥有的每个高安全性和高可靠性系统都必须拥有自己的专用计算机和网络。通过Internet访问的所有Web服务器都必须受到信息安全办公室批准的路由器或防火墙的保护。所有无线接入点必须使用信息安全办公室批准的配置,在逻辑上与校园内部网络区分开来。
校园网络对于高职院校各项工作的开展具有重要意义,因此必须采取有效措施保障校园网络安全。本文对常用的校园计算机网络安全管理措施进行了总结和分析,希望进一步提升高职院校校园网络的安全性。
参考文献:
[1]蔡昂.高职院校计算机网络安全管理系统的设计与实现[D].天津大学,2012.
[2]黄清.高职院校计算机网络安全研究与分析[J].计算机光盘软件与应用,2011(20):207207.