2016/3/29 16:11:23 案例分析高职院校数字化校园信息安全隐患及解除办法

通过对高职院校数字化校园系统的分析了解发现,对该院数字化校园信息安全隐患主要来自以下4个方面:

(1) 数字化校园服务器操作系统存在安全漏洞

目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。目前校园网的网络服务器安装的操作系统是Windows NT/Windows 2000,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞(RIP路由转移等)、服务安全漏洞等等,这些都对原有网络安全构成威胁。

数字化校园信息安全漏洞

(2) 校园内部威胁

校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

数字化校园遭遇黑客攻击

(3) 缺乏安全防护措施

随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

(4) 缺少硬件防火墙

限于该院数字化的进程,目前的网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,网络安全性完全依赖主系统的安全性,在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的和失误越来越普遍,入侵就很难避免。

数字化校园信息安全解决方案

数字化校园防火墙的选择

从性价比和实际使用情况出发,该高职院校选择“网络层防火墙+带来服务器”的方案来保护数字化校园信息安全。如下图所示:注意,图中为了方便表示把网络层防火墙和代理服务器两个防火墙只用一个防火墙记号标示。

数字化校园防火墙

数字化校园防火墙的设置

选择好了防火墙,还应对其进行正确配置才能充分发挥其安全防护的性能,在防火墙设置上按照以下配置原则来提高网络安全性:

(1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。

(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。

(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。

(5) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。

 
QQ在线咨询
销售热线
0371-53302651