学校网络信息安全探究

学校网络信息安全探究

牛继来

江苏省徐州技师学院 江苏徐州  221000

网络安全是指网络上的信息安全，具体内容为当网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。

一、网络安全内容评估

网络安全问题是目前网络管理中最重要的问题，这是一个很复杂的问题，不仅是技术的问题，还涉及人的心理、社会环境以及法律等多方面的内容。

1、学校网络安全的定义

计算机网络安全是指网络系统中硬件、软件和各种数据的安全，有效防止各种资源不被有意或无意地破坏、被非法使用。

网络安全管理的目标是保证网络中的信息安全，整个系统应能满足以下要求：

保证数据的完整性。保证计算机系统上的数据和信息处于一种完整和未受损害的状态，只能由许可的当事人更改。

保证系统的保密性。保证系统远离危险的状态和特性，既为防止蓄意破坏、犯罪、攻击而对数据进行未授权访问的状态或行为，只能由许可的当事人访问。

保证数据的可获性。不能阻止被许可的当事人使用，信息的不可抵赖性，信息不能被信息提供人员否认，信息的可信任性。信息不能被他人伪冒。

2、学校网络安全的评估

在增加网络系统安全性的同时，也必然会增加系统的复杂性，并且系统的管理和使用更为复杂，因此，并非安全性越高越好。针对不同的用户需求，可以建立不同的安全机制。

为了帮助用户区分和解决计算机网络的安全问题，美国国防部制订了“可信计算机系统标准评估准则”（习惯称为“桔黄皮书”），将多用户计算机系统的安全级别从低到高划分为四类七级，即D1、C1、C2、B1、B2、B3、A1。

D1级是不具备最低安全限度的等级，如DoS、Windows3.X系统；C1是具备最低安全限度的等级，如Windows95/98；C2级是具备基本保护能力的等级，可以满足一般应用的安全要求，一般的网络操作系统如Windows2000/NT、Netware基本上属于这一等级。B1级和B2级是具有中等安全保护能力的等级，基本可以满足一般的重要应用的安全要求；B3级和A1级属于最高安全等级，只有极其重要的应用才需要使用。

我国的计算机信息系统安全保护等级划分准则（GB 17859-1999）中规定了计算机系统安全保护能力的五个等级，第一级为用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

安全评估利用大量安全性行业经验和漏洞扫描的最先进技术，从内部和外部两个角度，对计算机网络系统进行全面的评估。

由于各种平台、应用、连接与变更的速度和有限的资源组合在一起，因此采取所有必要措施保护组织的资产比以往任何时候都困难。环境越复杂，就越需要这种措施和控制来保证组织业务流程的连续性。

在项目评估阶段，为了充分了解学校网络信息系统的当前安全状况（安全隐患），因此需要对网络系统进行安全状况分析。经我院安全小组确认，对如下被选定的项目进行评估：管理制度的评估、物理安全的评估、计算机系统安全评估、网络与通信安全的评估、日志与统计安全的评估、安全保障措施的评估、 总体评估。

经过评估，主要在于分析计算机系统存在的安全弱点和确定可能存在的威胁和风险，并且针对这些弱点、威胁和风险提出解决方案。

（1）计算机系统存在的安全弱点

安全弱点和信息资产紧密相连，它可能被威胁利用、引起资产损失或伤害。但是，安全弱点本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因，例如可能是软件开发过程中的质量问题，也可能是系统管理员配置方面的，也可能是管理方面的。但是，它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统攻击的机会。

经过对这些计算机系统和防火墙的扫描记录分析，我们发现目前该学校网络中的计算机系统主要弱点集中在以下几个方面：

①系统自身存在弱点

对于服务器windows2018 server系统的补丁更新不及时，没有安全配置过，系统还是运行在默认的安装状态非常危险。windows2018服务器系统，虽然补丁更新的比较及时，但是配置上存在很大安全隐患，用户的密码口令的强度非常低很多还在使用默认的弱口令，网络攻击者可以非常轻易的接管整个服务器。另外存在ipc$这样的匿名共享会泄漏很多服务器的敏感信息。

②系统管理存在弱点

在系统管理上缺乏统一的管理策略，比如缺乏对用户轮廓文件（profile）的支持。

③数据库系统的弱点

数据库系统的用户权限和执行外部系统指令是该系统最大的安全弱点，由于未对数据库做明显的安全措施，望进一步对数据库做最新的升级补丁。

④来自其他机器的信息干扰

手工测试发现学校计算机明显存在严重安全漏洞，来自周边机器的安全弱点可能是影响网络的最大威胁。

（2）主机存在的威胁和风险

安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其他物理因素。安全风险则是一种可能性，是指某个威胁利用弱点引起某项信息资产或一组信息资产的损害，从而直接地或间接地引起学校正常工作的损害的可能性。

（3）数据的安全性

包括SCSI热插拔硬盘没有安全锁，人员杂，硬盘很容易取走；数据的存储的冗余备份机制；数据的访问工作组方式，是否需验证；有没有备份措施，硬盘损坏能不能恢复。

（4）网络与通信安全

网络与通信的安全性在很大程度上决定着整个网络系统的安全性，因此网络与通信安全的评估是真个网络系统安全性评估的关键。可以从以下几个方面对网络与通信安全性进行详细地测试。

二、网络安全保障体系

网络安全包括系统（主机、服务器）安全、反病毒、系统安全检测、入侵检测（监控）、审计分析、网络运行安全、备份与恢复应急、局域网、子网安全、访问控制（防火墙）、网络安全检测等。

（1）内外网隔离及访问控制系统

在内部网与外部网之间，设置防火墙（包括分组过滤与应用代理）实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。

无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。

（2）内部网不同网络安全域的隔离及访问控制

隔离内部网络的一个网段与另一个网段，这样就能防止影响一个网段的问题穿过整个网络传播。对于某些网络，在某些情况下某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

（3）网络安全检测

网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节，如何最大限度地保证网络系统的安全，最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。

（4）审计与监控

审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。

学校网络安全是学校各项工作中的重要环节，在大量的实例探索中，不断总结，完善网络安全应对措施，提高学校管理水平。