学校网络安全防范制度和应急预案

1/10学校网络安全防范制度和应急预案一、硬件设备的检测与维护首先，需要对硬件设施进行全面体检，按照设备运维的标准和制度对硬件设施进行全面体检，保证网络系统的安全稳定运行，保证PC、服务器、交换机、路由器等硬件设备的稳定性。根据硬件设备，分为常规设备及网络设备两大类（一）PC机、服务器、打印机、扫描仪等设备的维护PC机检测需要检测包括电源、硬盘和网卡等，并且应用程序和数据也需要做及时的备份。此外，杀毒软件病毒库更新、安装操作系统的最新补丁包等也是需要升级更新的。服务器检测每月对服务器进行一次冷关机断电，然后对其电源、硬盘、网卡、风扇等进行检查，确保其性能良好。其次，若服务器做了RAID，一定要检查RAID卡和热插拔硬盘工作状态是否正常。此外，进行数据文件的清理及应用程序的备份，确保其有足够的磁盘空间以备份数据资料。（二）交换机、路由器的检测及其清洁性能测试对交换机、路由器进行重启对其功能进行2/10检测，测试的项目如接口测试、性能测试、协议一致性测试和网管测试等，并进行远端测试。设备清洁对其进行卫生清洁，清除其外围的灰尘，。（三）辅助设备的检测网络线路的安全，在防护措施中占重点部分，因此对于网络链路也需要进行检测，以保证其可靠和畅通。对于那些使用时间较长，磨损严重的线路进行更换。抓住网络中关键设备的检测和做好相应的准备，并注意细节检测，二、内外网安全防护措施除了硬件设备检测与防护，网络的安全防范尤其技术策略方面的措施与准备，对于网络安全来说是重中之重。网络攻击或黑客犯罪，一旦攻击，很可能会导致网络全面瘫痪，造成某些程度的伤害。因此，网络安全是各个防止网络攻击又是其中的首要任务。ARP攻击便是暴发最为常见的攻击形式之一。它是大多数内网的祸水。到目前为止，有两种方式可以做好防护IP/MAC双绑、主动防御。（一）IP/MAC双绑技术在路由器手动绑定所有PC机的IP/MAC，从而防止中毒电脑冒充PC机，欺骗路由器；在PC机端手动绑定路由器的IP/MAC，从而防止中毒3/10电脑冒充路由器，欺骗PC机。（二）主动防御技术增强路由器ARP广播频率，从而使得PC动态信任路由器的IP/MAC开启路由器ARP信任机制，从而使得路由器对PC的IP/MAC动态绑定三、防火墙技术网络安全技术就是防火墙技术，即在INTERNET和内部网络之间设一个防火墙。目前在全球连入INTERNET的计算机中约有1/3是处于防火墙保护之下。防火墙是用来阻挡外部INTERNET火情影响内部网络INTERNALNETWORK的屏障。无论外部世界多么复杂、良莠不齐，经过防火墙的过滤，内部网络大可隔岸观火，不受火灾危害。用专业一点儿的话来描述，防火墙的主要目的就是防止外部网络的未授权访问。如果某个网络决定设定防火墙，那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略（SECURITYPOLICY），即确定什么类型的信息允许通过防火墙，什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的予以放行，不符合的拒之门外。另外，还要确定防火墙类型，即防火墙拓扑。防火墙的技术实现通常是基于“包过滤“（PACKETFILTERING）。而进行包过4/10滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单（ACCESSCONTROLLIST）中设定。访问控制一般是基于以下标准A、包的源地址B、包的目的地址C、连接请求的方向（连入或连出）D、数据包协议如TCP/IP，DECNET等等E、服务请求的类型如FTP，WWW，GOPER等等另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。四、加密技术网络安全的另一个非常重要的手段就是加密技术（CRYPTOGRAPHY）。它的思想核心就是既然网络本身并不安全可靠，那么所有重要信息全部通过加密处理。（一）单匙技术。即无论加密还是解密都是用同一把钥匙（SECRETKEY）。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便，即使传输信息的网络不安全，被别人截走信息，加密后的信息也不易泄露。但这种方法也存在一个问题，即如果收信者和发信者不在同一地理位置，那么他们必须确保有一个安全渠道来传送加密钥匙。5/10（二）双匙技术。即有两个相关互补的钥匙，一个称为公用钥匙（PUBLICKEY），另一个称为私人钥匙（SECRETKEY）。公用钥匙是大家被告知的，而私人钥匙只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密，然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者，没有人，即使是发信者，能够将其解密。公用钥匙是公开的，可以通过网络告知发信人（即使网络不安全）。加密技术主要有两个用途，一是加密信息；另一个是信息数字署名，即发信者用自己的私人钥匙将信息加密，这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙，才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的，而且事后未经过他人的改动（因为只有发信息者才知道自己的私人钥匙），另一方面也确保发信者对自己发出的消息负责，消息一旦发出并署了名，他就无法再否认这一事实。如果既需要保密又希望署名，则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再发给对方，反过来收信者只需要用自己的私人钥匙解密，再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐，实际上很多软件都可以只用一条命令实现这些功能，非常简便易行。6/10五、妥善的系统管理将网络的不安全性降至最低目前，在UNIX上发现的大多问题，都归因于一些编程漏洞及管理不善，如果每个网络及系统管理员都能注意到以下几点，即可在现有条件下，将网络安全风险降至最低（一）口令管理目前发现的大多数漏洞，都是由于口令管理不善，使“黑客“得以趁虚而入。因此口令的有效管理是非常基本的，也是非常重要的。1首先绝对杜绝不设口令的帐号存在。这可以通过查看/ECT/PASSWD文件发现。2缩短口令有效时间，使用户经常更换口令。3采用新版本口令管理软件。新的口令管理软件在用户设定一些容易被猜中的口令时，会自动拒绝接受，并提示用户重新选择口令。例如用户不能使用自己的名字、生日日期等做口令，不能选用英语单词做口令，等等。另外，在比较新的UNIX系统，PASSWD文件中的第二项（存放口令密码）均用X代替，而将口令密码放在一个只有ROOT才可读的/ETC/SHADOW文件中，这就杜绝了“黑客“在获得PASSWD文件后，将口令解密的可能性，提倡用户使用复杂的口令，例如可以用一句话作为口令（PASSPHASE）。7/10（二）用户帐号管理在为用户建立帐号时，应注意保证每个用户的UID是唯一的，应避免使用公用帐号，对于过期的帐号要及时封闭，对于长期不用的帐号要定期检查，必要时封闭。（因为这样的帐号通常是“黑客“袭击的目标，他们可以在上面大做手脚而很长时间内不被发现。）（三）INETD/XINETD的妥善管理INETD是超级服务器，它使得一台机器上可以同时运行几十个服务器。它以这些服务器的名义同时侦听这些服务的口（PORT）。当有服务请求到来时，它会启动相应的服务器，通过其配置文件/ECT/可以对其进行合理配置。（四）谨慎使用R命令R命令可以使用户在不需提供密码情况下执行远程操作。因此，在方便的同时，也带来潜在的安全问题。BRUNIX系统中，系统是通过查看/ECT/及HOME/RHOSTS文件来控制可以使用R命令的节点及用户。所以，这两个文件的正确设置是使用R命令安全的基本保障。“黑客“在侵入某个UNIX系统后，最通常做的一件事就是修改在主目录下RHOSTS的文件，以便为自己日后再次进入系统留下后路。因此，建议用户在怀疑自己的系统被闯入时，马上查看RHOSTS文件，检查其最后一次修改日期及内容，注意文件中绝对不能出现“，否则网络上任何一个用户8/10不需知道你的密码就能任意进入你的帐户。另外，还要特别注意RHOSTS文件中不能涉及一些特殊帐户（例如NEWS，BBS等等），一些“黑客“就是通过这条途径进入帐户而又不留下自己的来龙去脉。可以看出，RHOSTS为外部侵入留下了潜在的危险，用户自己在设置时要格外小心，如果不是特别需要，建议在RHOSTS文件中不设入口。对于系统管理员，如果不特别需要，建议在/ETC/中不设入口。如果/ECT/中有入口，而用户个人为了安全起见，可以在RHOSTS中加入“，而关闭所有的入口。此外，在这两个文件中不要加注释行（以开头），因为有些特权的“黑客“可以将其节点名设成而获得进入你系统的权力（五）加强信息服务器的安全措施。如果对外开放的信息服务器本身是不安全的，就相当于在系统的防护罩上开了一个漏洞，那么其他的安全工作做得再多，也会付诸东流。因此，系统管理员和信息服务器的管理人员必须细心注意服务器本身的安全设置，并随时更新版本。目前，几乎所有的信息服务器（如WWW）均提供了安全设置途径。六、ETHERNETSNIFFERSNIFFER是如今众多的INTERNET闯入的一种主要途径。9/10与电话专线不同，计算机网络是共享信道，这就意味着网上的计算机可以接收到网上传输的发往其他节点的信息。以ETHERNET为例，信息被发往同一线路的每个节点，但只有地址与信息头中的目的地址相符的计算机，才接收这个信息包，而其他的机器均放弃。但是如果某台机器可能接受所有信息，而不论这些信息是发给谁的，这台机器就可以称之为SNIFFER。它可以是网络管理人员用于管理的监视器，也可能成为“黑客“用于侵犯的基地。由于帐号与口令在ETHERNET上是以文本格式传输的，因此，一旦“黑客“有办法控制SNIFFER，网络上的所有机器均处于危险中。七、网站应急预案（一）安全应急处置原则1报告原则发生突发安全事件，第一时间向负责人报告，同时积极进行处置，处置全程要及时汇报工作进展。2安全原则处置安全事件时，要科学客观，首先保证人员安全，其次保证设备数据安全。3效率原则处置突发事件要及时迅速，讲究方法，善于协调，争取在最短时间内解决问题。（二）协调配合原则出现大规模故障后，根据工作需要，积极配合，协同处理，提高工作质量与效率。（三）安全应急事件处置10/101安全事件定义分类一般故障指区域性网络安全事件，具体包括局部网络瘫痪、个别设备死机、网站服务器停止工作等。重大故障指发生大规模或整体性网络瘫痪、个别硬件设备损坏或被窃、数据丢失或网站遭恶意篡改破坏等。特大故障指机房发生火灾或遭可抗拒力破坏造成机房损毁及人员伤害等。2处置时限发生突发安全事件