【高校网络安全体系设计与实施15000字（论文）】

PAGEII高校网络安全体系设计与实施目录1网络的发展及网络安全现状 11.1网络安全的发展状况 11.2影响网络安全的因素 22、校园网络的安全状况 32.1身份认证需求 32.2校园网络安全面临的威胁 52.3存在的主要问题 63.高校网络安全体系设计方案 73.1安全管理平台 73.2网络结构 83.3操作系统节点 103.4应用访问控制系统 113.5安全管理系统 134.高校网络安全实施方案 144.1高校校园网络安全的关键问题 144.2提高高校校园网安全性的有关对策 15结束语 16参考文献 17引言随着计算机应用越来越普遍，越来越频繁，计算机网络的安全与防范成为日常工作中的关键部分。无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。教育科研主干网CERNET的不断扩建与升级，标志着我国教育信息化建设进入了高速发展的阶段，至今已取得丰硕的成果。在我国东部及中部信息相对发达地区，高等院校的网络建设覆盖率达到95%以上，很多高等院校已开始对其校园网络进行改造升级。随着校园网络的不断扩建和升级，网络规模日益庞大，网络管理的难度也越来越大，校园网络中的安全隐患也越来越多。1网络的发展及网络安全现状1.1网络安全的发展状况随着英特尔网的规模不断扩大，英特尔入网的主机人数在飞速增长，在2009年7月中国互联网络中心发布的第二十四次《中国互联网络发展状况统计报告》中描述，我国网民规模、宽带网民数、国家顶级域名注册量（1296万）三项指标仍然稳居世界第一，互联网普及率稳步提升。网民达3.38亿，手机上网用户达1.55亿。随着新兴网络技术，新型网络应用推广，计算机网络的发展正变得越来越广泛，其作用变得越来越重要。然而，由于计算机系统的硬件和软件，计算机网络及的位置，自然环境，自然破坏和人为因素以及地理分布的脆弱性，不仅增加了信息的存储，处理风险，但也带来了新的通讯问题。日益严重的计算机网络安全问题，而造成的损害网络的损失越来越大。互联网安全已成为一个亟待解决的问题。从目前的情况下，计算机网络，入侵的威胁和攻击，基本上可以概括如下：外部的攻击、黑客入侵、信息泄漏、盗窃和破坏、密码截取或中继攻击、拒绝服务或为非法信息获取、漏洞，人为破坏网络设备使得网络瘫痪等。其原因有以下几点：①Internet缺陷和网络的脆弱性；②薄弱环节和网络身份验证系统都容易受到监视；③互联网服务、网络软件缺陷和漏洞；④没有正确的安全策略和安全机制；⑤缺乏先进的网络安全技术，工具，仪器和产品；⑥缺乏先进的系统恢复，备份技术和工具；⑦设置纷繁复杂的控制主机；⑧安全策略不正确的安装；⑨无适当的安全标准，安全法规，安全政策，无章可循，无法可依。目前，网络安全问题已引起许多国家，特别是发达国家高度重视，投入大量的人力，物力和财力，提高计算机网络系统的安全。近两年来，由于我国政府对相关行业的有识之士高度重视及不懈的努力，媒体宣传以及众多黑客攻击事件已经暴露，人们对网络安全的认识有显著提高。但与世界先进国家相比，网络安全状况仍不容乐观，许多企业网络安全和系统的完整性有待建立，特别是在研究和网络安全产品的开发，大部分的大型IT企业的核心技术由国外垄断，这对我们政府加强国家安全，提高网络安全环境，提高网络安全技术水平是非常不利的。近年来，在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。CNNIC《报告》指出，半年内有1.95亿网民上网时遇到过病毒和木马的攻击，1.1亿网民遇到过账号或密码被盗的问题。据有关方面统计，美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。尽管我们正在广泛地使用各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是，无论在发达国家，还是在发展中国家，黑客活动越来越猖狂，他们无孔不入，对社会造成了严重的危害。1.2影响网络安全的因素1、物理因素网络的物理安全主要是指地震、水灾、火灾等环境事故，电源故障，认为操作失误或错误，设备被盗、被毁，电磁干扰，线路截获，以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。网络的物理安全是整个网络安全的前提。在校园网内，由于网络的物理跨度不大，只要制定健全的安全管理制度，做好备份，并加强网络设备和机房的管理，这些风险都是可以避免的。2、技术因素目前的网络基本都是利用网络技术构造的，这样的网络在安全方面存在重大隐患，其赖以生存的TCP/IP协议缺乏相应的安全机制，操作系统中不可避免地存在着“后门”或安全漏洞。同时众多的服务器、浏览器和一些桌面软件等都被发现过存在安全隐患。通过对现有的操作平台进行安全配置、对操作和访问权限进行严格控制，可以提高系统安全性。选用尽可能可靠的操作系统和硬件平台，加强登录过程的认证，确保用户的合法性；严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。3、病毒因素计算机病毒一直是计算机安全的土要威胁。据有关部门统计数据显示，有60%以上的校园网络故障是由计算机病毒造成的。随着计算机技术的不断进步，计算机病毒的发展速度也是非常惊人，每天网络上都会出现成千上万种新的病毒，国际空间每天要处理和查杀的病毒数量更是大得惊人。各种木马等恶意程序，已经成为影响校园网络安全的一个重大问题，根本无法避免，只能通过使用各种防病毒软件抵御病毒入侵，一旦遇到入侵应立即查杀或隔离，避免其继续感染其他用户。4、使用者因素校园网络用户多而且不固定。使用者安全意识淡薄，计算机操作水平低，而且操作不规范是威胁校园网安全的主要因素。5、管理因素网络安全管理思想麻痹，不重视网络安全保护，没有采取正确的安全机制和安全策略，并且缺乏先进的网络安全技术、产品和工具手段，也缺乏先进的系统备份、恢复技术和工具等，这些都是威胁网络安全的重要因素。2、校园网络的安全状况2.1身份认证需求身份验证是一个非常重要的信息内容，其中包括两个方面：识别和验证。所谓识别，是指以确定用户是谁。这就要求每个人都必须有能力识别合法用户。为了确保鉴定的有效性，我们必须确保任何两个不同的用户有不同的标识。所谓认证是指用户声称他的身份，还要验证服务器来验证其身份，防止假冒。认证是最基本的措施，是防止信息泄露的第一道防线，其目的是验证通信双方的真正的身份，防止未经授权的用户可以窃取敏感数据，假冒合法用户。在通信安全中，在有关各方的沟通必须通过某种机制的形式的验证，证明身份，验证用户的身份和要求的一致性，然后才能为不同的用户访问控制和记录实现。认证是确定旅客是否有其债权进程的现状。在这篇文章中涉及的认证技术，包括以下几个方面：1、密码技术密码技术是确保计算机系统信息安全的一种最重要的安全技术。使用加密技术来保护计算机和数据传输通道存储的数据。即使第三方已经窃取数据，但是第三方如果无法破译其内容，这只能是一堆垃圾。密码技术分为对称加密和非对称加密两种。对称密码体制又称单钥密码体制。在对称密码体制中，通信双方使用同一个密钥，密钥用K表示。在通信之前，通信双方必须通过秘密信道协商一个密钥K。使用对称密码体制可以实现保密通信，假设用户A发送一个消息M给用户B，其通信的过程如图1。图1对称密码通信过程发送方A用密钥K和对称加密算法对明文进行加密得到密文C，然后发送方A将密文C通过传输信道发送给接受方B，接受方收到密文C后，用对称解密算法和解密密钥还原出明文M。A和B的一次通信结束。对称密钥系统的安全性取决于两个因素：第一，加密算法必须足够强大，在数学证明的基础上，密文解密本身是在实践中没有可能的；第二，加密的安全取决于密钥，而不是秘密的算法，所以，我们并不需要确保该算法是保密的，但必须确保钥匙的秘密。对称加密算法非常快，这是他们广泛的应用优势。利用对称密钥的最大缺点是：1）用户之间的通信必须分享密钥，在一个通信系统采用对称密钥加密，需要大量的密钥，增加密钥管理中的困难；2）通信量在双方谈判处于一个安全密钥，密钥分配问题；3）不能达到不可否认的服务。用户也不能否认，他们进行了修改，而其他人或通信系统不能出示证据，证明该用户一直在运作。对称加密技术分为两类：流密码和分组密码。明文消息只有一个位逐位加密流密码。流密码是简单，快速，通信误码率等。密码的明文块，按组加密。这是很容易构造伪随机数，消息认证码和散列函数，然后可以信息验证，数据完整性的组织，实体认证协议，以及单键的数字签名系统的核心组成部分。DES是块的密码系统，最具代表性、分组密码理论研究和工程应用的最有影响力的。在企业中，DES也被广泛使用。非对称加密技术，也称为公共密钥加密，公钥加密众所周知，也称为双密钥密码体制。公钥加密和对称密钥是不同的，它有两个密钥：加密密钥和解密密钥。在使用公共密钥加密通信系统，每个用户都有一对密钥：加密密钥和解密密钥。而开放的公用加密密钥，所有用户都可以获取，它也被称为公共密钥加密的关键；解密密钥由用户自己保存，并严格保密，所以解密密钥也称为私钥。这两个键是相应的。随着对明文行动的主要成果之一，只能解决一个关键。公共密钥加密体制的建立必须具备两个基本条件：1）加密和解密，必须在计算中容易遇到的转变，即属于P级问题的解决；2）密码必须符合计算机分析是困难的，它属于一类NP完全问题。可以看出，公钥密码学安全的公共密钥算法依赖于结构的数学问题。当被问及一个单向加密功能，那就是逆困难。因此，公共密钥系统设计，关键是要找到一个合适的单向函数。大多数公共密钥加密系统是基于多项式生根，基于离散对数，整数分解问题。因为这样的RSA算法依赖于对大整数分解困难的安全。使用公共密钥加密的最大优点是：1）每个用户都有一个对密钥，公钥公开，私人用户保存自己的，所以关键是少，简化密钥管理和分配；2）没有密钥协商过程，只要用户都可以申请对密钥进行通信；3）可实现数据的保密性，完整性和不可抵赖性。2、数字签名数字签名与手写签名电子等值，它是基于密码学的方法，数据文件所产生的一个集团的身份和数据的代表签名数据的完整性。数字签名，以确保信息传递过程，并提供在发件人认证和不可抵赖性身份的完整信息，以解决伪造、否认、提出问题。数字签名技术，逐步取代传统的手写签名，开始使用于电子银行、电子政务等领域。也是一个强大的认证技术。2.2校园网络安全面临的威胁1、非破坏性攻击攻击者只是观察某一个网络中的协议数据单元PDU。而不干扰信息流。他通过观察PDU的协议部分，了解正在通信的协议和计算机的地址和身份。研究PDU的长度和传输的频度，以便了解所交换的数据的性质，这种攻击也叫被动攻击。2、破坏性攻击攻击者通过对某个连接中通过PDU进行各种处理，如有选择地更改、删除、延迟这些数据包，甚至将合成或伪造的PDU送人一个连接中去，这种攻击又叫主动攻击。其中破坏性攻击又分为三种：(1)拒绝报文服务：指攻击或者删除通过某一连接的所有PDU，或者将双方单元的所有PDU加以延迟；(2)更攻报文流：包括对通过连接的PDU的真实性，完整性和有序性的攻击；(3)伪造连接初始化：攻击者重放以前被记录次方法连接初始化序列或者伪造身份而企图建立连接。3、用户操作失误用户安全意识不强，用户口令设置简单，用户将自己的帐号随意泄露等，都会对网络安全带来威胁。4、恶意程序攻击这种攻击主要有以下几种：（1）计算机病毒：一种会“传染”其他程序的程序，“传染”是通过修改其它程序来把自身或其变种复制进去完成的；(2)特洛伊木马：一种执行超出程序定义之外的程序。(3)计算机蠕虫：一种通过网络的通信功能将自身从一个节点发送到另一个节点并启动之的程序；（4）逻辑炸弹：一种当运行环境满足某种特定条件时执行其它特殊功能的程序。5、软件漏洞和“后门”现在使用的网络软件或多或少存在一定的缺陷和漏洞，而黑客恰恰可以利用这些漏洞和缺陷进行攻击。另外，软件的“后门”都是软件设计编程人员为了自己方便而设置的，一般不为外人所知，但是一旦“后门”泄露，攻击者将会很容易地利用“后门”进入计算机。2.3存在的主要问题目前，校园网络存在的问题有：1、未经授权的访问校园网络，直接向计算机和移动设备接入内联网行为。经常使用的IP，IP和MAC映射表不一致。虽然这种现象不是这种入侵的非法暴力事件，但该方式的扩展可能导致内联网，内联网移植木马和机密信息被披露和其他严重后果。存在这种情况的主要原因是内部控制不严、使用措施不利和安全工作人员的认识不足。这种情况很难预防和控制。2、无线网络管理问题。随着无线网络的使用，不同的部门还未建立相应的管理制度，预防和控制技术3、IP地址盗用。主要的非法接入互联网的方式对正常用户的权利网络，网络计费，网络安全和网络运营一个巨大的负面影响，所以要解决IP地址盗用成为一个紧迫的问题。设计并在防止未经授权的访问控制子系统为下一步的行动网络实现更先进的网络是实现一个更先进的网络管理功能提供了理论和实践基础。知识产权盗窃对许多形式的非法访问，主要有以下几种常见的：他们没有自己的配送系统的IP地址配置；修订在为合法用户的IP地址和MAC地址，发送和接收数据包的IP地址修改。（1）为静态的TCP/IP实现任何IP地址发生变化，其IP地址是用户需要的配置选项。如果用户配置TCP/IP或修改TCP/IP配置，而不是使用IP地址分配到的IP地址被滥用的形成。IP地址是一个逻辑地址是一个需要用户设置的值，因此无法限制用户更改静态IP地址。但是，这只能是被盗的IP地址在同一子网的IP地址盗用。（2）修改IP-MAC地址对。修改为静态IP地址的问题，很多系统使用静态路由技术加以解决。但是，技术不能防止静态路由的IP-MAC对要修改的技术被滥用的IP地址。MAC地址是以太网设备的硬件地址是以太网地址。每一个网卡的MAC地址是唯一的所有以太网设备，它由IEEE分配，固化在卡上，一般不能随意改变，但有些是与网络卡的MAC地址可以修改兼容使用配置方案。如果一台计算机的IP和MAC地址的合法主机到另一个IP和MAC地址对应的，则静态路由就无能为力了。此外，对于那些谁不能直接修改的网卡MAC地址，用户还可以通过软件修改MAC地址，即通过修改底层网络的网络软件软件来实现欺骗顶部的目的；动态IP地址的变更。职业黑客可以写在互联网应用，发送和接收数据包，绕过上层网络软件，动态IP地址或改变他们的IP-MAC地址对，实现了IP盗用的目的。3.高校网络安全体系设计方案高校网络安全管理体系是一套由软件和硬件联动的解决方案，它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。旨在通过身份验证、主机健康性保障、网络安全性保障等多重角度，对内网用户进行有效的管理。通过这一系列措施，实现内网用户身份的合法化，上网主机安全状况的健康化，网络通信的安全化以及用户网络访问行为的规范化。换言之，即让正确的人，使用健康的主机，访问安全的网络，做规范的事。高校网络安全管理方案融合软硬件于一体，通过软件与硬件的联动、计算机领域与网络领域的结合，帮助用户实现全局安全。我们的主要工作是借鉴访问控制技术的思路，通过通用技术与协议开发软件、硬件之前协同工作的接口，所有软件、硬件的相互协同依靠稳定、健壮、可执行的联动机机制。3.1安全管理平台安全管理平台以下几个主要部分构成:一套由软件和硬件联动的解决方案。安全策略管理中心安全策略管理中心，是高校网络安全管理方案的可选组件，当高校网络安全管理方案需要采用分布式部署的时候，安全策略管理中心服务器需要部署在总部。通过安全策略管理中心服务器，管理整个集团的用户的身份信息、主机信息、网络信息、软件信息等多种信息，更重要的是，管理员可以通过安全策略管理中心系统，来给整个集团的用户制定个性化的安全策略，来保障整个集团在安全策略方面的高度统一，以实现统一的管理操作。同时安全策略管理中心系统还可以通过权限下发的方式，将管理权下放给分支机构的安全管理平台服务器，由分支机构自行管理，而在网管中心只通过安全策略管理中心进行信息的同步和收集。安全管理中心安全管理中心是高校网络安全管理解决方案的大脑、司令官，统领着所有高校网络安全管理解决方案的组成部分。在安全管理平台上，保存着用户的身份信息，用户在正式接入网络之前，需要在安全管理平台服务器上通过认证，以保障用户身份的合法性。同时，安全管理平台跟安全客户端联动来获取入网PC的安全现状，从而制定出对应的安全修补策略并通过安全客户端下发到PC上来完成主机完整性的管理。在网络安全管理方面，安全管理平台跟入侵检测设备(入侵检测设备)进行联动，对发起攻击的攻击源进行有效的处理，并对被攻击的对象进行必要的修复，实现了对网络攻击的有效管理，同时通过与安全网关和安全智能交换机的配合，还能有效的防范目前流行的A即攻击。安全事件解析器安全事件解析器的作用，是安全事件的收集、分析与上报。作为与入侵检测设备入侵检测设备直接接口的平台，安全事件解析器上预置了大量的安全事件库，从而能够对入侵检测设备反馈回来的安全事件进行准确的分析，并决定是否需要上报给安全管理平台服务器，由其进行处理。安全客户端安全客户端是一个界面友好的PC端客户端，它的作用是跟安全管理平台配合实现用户的身份认证和主机完整性检查、安全策略的下发，并在发生安全事件时接收安全管理平台发来的处理策略，来对主机进行响应的处理。同时，通过与安全网关和安全管理平台的配合，还是主机端防范A即病毒的利器。如何能够将校园网内所有的网络设备(路由器、交换机、防火墙、工DS等)有效加以整合，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，提升网络的可控制、可管理性，提高网络安全的水平；如何保证所有接入校园网的网络终端设备(用户PC、服务器等)是安全可信的；只有保证每一台网络终端设备的安全才能确保校园网整体的安全，做到无懈可击；因此，构建一个统一的安全管理平台，用以实现对校园网内所有网络设备的统一管理和调配，确保接入校园网的所有网络终端设备的安全可信，是在现有网络安全防御体系的基础上发展建立的新的网络安全防御体系。3.2网络结构网络设备安全管理体系是由物理安全、安全智能交换机和防火墙及入侵检测安全设备组成。保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程!。其目的是保护计算机系统、服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:环境安全:对系统所在环境的安全保护，确保计算机系统有一个良好的电磁兼容工作环境。设备安全包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。访问控制的主要任务是保证网络资源不被非法使用和访问，它是保证网络安全最重要的核心策略之一。相对于影响网络安全的因素，保护网络信息安全的技术、手段主要是从物理安全、网络安全、主机安全、应用安全和数据安全等几个方面进行。依靠的技术手段主要有强制访问控制机制、安全审计，还有身份鉴别、入侵检测和防火墙技术等等。等级保护制度是指导信息安全保障体系管理制度，它是各项安全技术和软硬件设备的研发标准。将高校网络划分成用户区（标记、也可成为资源区）、网络通信区、区域边界、三级安全管理中心和资源服务区5个部分。首先建立模型。以模型为基础为主体和客体做标记，按照主体和客体的访问规则实施操作系统下的强制访问控制，并向边界扩展，增强相应审计能力、数据保密性和数据完整性保密能力。对相似网络有借鉴意义。总体结构流程是通过前面从物理安全、网络安全、主机安全、应用安全及数据安全等方面的分析，得出结论：采用技术手段和安全管理制度措施，能够满足高校网络信息安全的需求，达到等保三级的要求。同时，随着国家标准的变更和安全技术的不断发展，高网络需不断变更完善。（1）操作系统节点系统：此系统对windows操作系统进行安全增强，增加标记、强制访问控制等安全功能。同时可以加强身份鉴别的安全性，实现系统的连接交互结构化。为整体系统的安全提供有效支撑，使其满足GB17859的三级要求。（2）安全区域边界系统：此系统对通过的信息进行安全检查，增强其强制访问控制功能，确保安全保护环境的安全性不会受到破坏。（3）安全通信网络系统：此系统安全系统间的信息流进行封闭保护，使之不被非法窃听和篡改。图2各系统之间的逻辑关系3.3操作系统节点三级网络体系的安全核心是强制访问控制，TCB实施的访问控制由安全操作系统来实施。安全标记与强制访问控制以安全标记为核心，将自主访问控制与强制访问控制相结合，满足等级保护三级的安全要求。高校网络环境下的操作系统普遍为windows操作系统。安全的操作系统可以认为是网络信息系统的安全的核心。GB17859规范了三级计算机系统应具备的安全功能。本文的操作系统节点系统的具体功能要求如下。（1）强制访问控制：三级windows操作系统需要能够保护信息系统的保密性及完整性。能够控制进程对文件的所有操作，并且此机制永久有效。（2）标记：三级windows操作系统要对系统中的进程及文档进行全程标记，提供实体保密性级别、完整性级别。标记对象还包括用户。（3）身份鉴别：三级windows操作系统应有基于可信硬件的身份鉴别机制，可以通过安全的机制将身份与权限绑定。（4）审计：三级windows操作系统对系统中所有违反安全策略的操作进行审计。记录的事件包括用户登录、客体的创建、删除、安全管理员、安全审计员、系统操作员、以及其他用户的与安全密切相关的行为，具体还要满足GB17859中三级系统的审计规范要求。（5）数据完整性：三级windows操作系统通过自主和强制完整性策略阻止非法用户修改或破坏敏感信息。3.4应用访问控制系统此系统为应用系统提供强制访问控制保护。根据三级标准的要求，需要具有如下功能：（1）安全标记：为主体和客体分配安全标记，包括实体的保密级别和范畴集。标记对象为使用应用系统的所有用户。确保主体客体范畴集统一。（2）强制访问控制：实施符合BLP模型的的安全策略，确保强制访问机制始终有效，不会被旁路。（3）身份鉴别：对等级保护系统中的用户身份使用系统保护机制来鉴别用户，阻止非法用户访问，保护合法用户数据信息。（4）授权访问：参照用户和资源信息，为用户授予访问的权限，形成自主访问控制表，作为访问控制的判断依据。（5）审计：对用户登录、安全标记的分配和修改、系统管理操作、访问控制决策过程和结果等记录、存档。此系统的结构包括：身份鉴别模块、安全标记模块、访问控制模块、审计模块。其中，身份鉴别通过用户信息与统一管理的登录应用系统的用户身份信息对比来鉴别是否合法。访问控制是查询当前主客体的安全标记是否符合BLP模型要求，由应用系统根据其是否具有访问其请求资源的权限而实施操作。1、严格黑白名单管理计算机软件给我们的工作和生活带来了极大的便利，我们可以基于先进的电子流完成以前复杂的工作流程，我们可以在家里通过互联网足不出户的与远方的朋友聊天、上网炒股、看电影……但是，在带来便利的同时，也带来了烦恼，一切都变得如此便利，那么在工作场所接入互联网之后，如何能保障员工的工作效率呢?如何能保障日益紧缺的网络资源都能被重要的工作数据使用呢？如何能保障在接入互联网之后企业、单位的重要信息不被泄露呢?这些都困扰着管理者。同时，一些病毒、木马也是通过运行某些指定的进程或程序来实现对用户主机的控制，如何帮助用户将这些进程中止掉，将程序删除掉，也是网络管理需要做的事情。软件黑白名单控制，指的是针对工作和网络安全、性能的需要，对内网用户使用的软件进行限制，禁止使用某些软件(黑名单)，必须使用某些软件(白名单)。举例来说，为提升工作效率、防止信息泄露、保障网络性能，在公司禁止使用炒股软件、聊天软件和P2P下载软件，而为了做好公司的资产管理和监控，必须安装资产管理软件的客户端(白名单)等等。然而，即便公司在规章制度上制定的再严格、再完善，员工的执行才是最终效果的体现，对于人数众多的大型企事业机构，如果没有完善的监控机制，依靠管理人员人工监控，恐怕是无济于事的;如果为了杜绝员工对于网络软件的滥用而切断互联网接入，又会得不偿失，毕竟诸多业务应用都要依托于互联网的访问。所以，自动的、有效的、方便的的软件使用控制，是信息化建设中重要的一环，接下来我们将详细阐释，在网络的高校网络安全管理方案中，是如何进行软件黑白名单控制的对于软件的控制，要基于多个层面，以Windows系统为例，从软件的安装，到软件的使用，再到软件的注册表植入以及后台服务的情况，各个环节均应进行监控和管理。对于软件的使用，也是高校网络安全的重要功能之一。通过对于软件的安装、进程的管理、后台服务以及注册表项的管理，高校网络安全方便的实现了对于必备软件的强制安装、使用，违禁软件的禁用等功能，有效的保障了办公效率、网络带宽以及信息的安全。高校网络安全管理解决方案中，对于软件黑白名单的控制，采用了软硬件联动、计算机与网络联动的解决思路，通过安全管理平台安全管理平台系统、安全客户端安全智能客户端与安全智能接入设备的配合，实现了对用户入网前主机完整性的严格检测，保障了入网主机的健康性，提升了整个网络的安全性，提升了员工的工作效率，降低了网络带宽的无谓损耗，加强了内网信息的保护，为建设更安全更高效的内网提供了完善的解决方案。2、基于CA证书的身份认证管理CA认证体系是比较常见的身份管理体系，广泛应用于政府、医疗、大型企业、军事单位等行业中，通过USB-Key加CA证书的方式，用户可以比较安全的进行人员身份管理，“人走Key拔”的方式，更是有效的避免了身份被伪造的风险。由于CA认证体系是一种应用层授权的技术，而其本身的认证授权过程需要网络的支持，就使得原有的高校网络安全认证方式(基于用户名和密码的802.IX)无法提供很好的支持，因为在认证之前网络不通，用户只能采用两套身份管理体系，即先使用用户名和密码进行网络身份验证，连通网络，再利用以体系完成应用系统的认证和授权，非常麻烦。为了解决上述问题，高校网络安全管理方案特开发了基于以体系的认证功能，通过该功能，用户可以实现统一身份信息，只需要一套身份管理体系，就可以实现网络层和应用层的双重授权。同时，以以体系的人员管理作为根基，用户可以只在以系统中维护用户，其权限即可同步执行到高校网络安全系统中，给用户的管理带来了极大的便利。在介绍高校网络安全的CA联动解决方案之前，我们有必要先了解一下数字证书、CA证书的相关知识，这有利于我们更好的理解联动方案。原有的单密钥加密技术采用特定加密密钥加密数据，而解密时用于解密的密钥与加密密钥相同，这称之为对称型加密算法。采用此加密技术的理论基础的加密方法如果用于网络传输数据加密，则不可避免地出现安全漏洞。因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三方在截获加密数据的同时，只需再截取相应密钥即可将数据解密使用或进行非法篡改。3.5安全管理系统此系统对高校网络信息系统中的终端、边界控制、网络通信安全集中统一管理，包括管理用户、标记对象安全等级和范畴、自主等级访问控制策略、等级改变策略等，为三级信息系统提供基础保障。三级安全管理系统主要由安全标记管理模块、策略管理模块及授权管理组成。图3安全管理系统组成结构首先对接收的安全标记请求，发给授权机构审批，通过后标记管理会对信息进行必要的验证并报告安全管理员，管理员批准后更新策略服务器中的安全标记列表。最后全局更新此标记。策略请求处理接收到用户的授权请求，会发送给授权机构审批，通过后再经策略请求处理将其发送给授权管理模块，此模块验证授权请求信息，保证用户授权符合全局规则，并通知策略服务器更新用户授权列表。最后全局更新此列表。4.高校网络安全体系实施方案4.1高校校园网络安全的关键问题通过各指标合成权重的排序可以看出，高校校园网安全性的关键问题主要集中于以下几个方面：（1）组织机构的健全以及应急预案的制定严格规范的网络管理是保证校园网络安全、提高网络运行效益的重要手段之一，是防止网络内部入侵的有效措施。高校校园网管理是一项复杂的系统工程，因此，必须成立专门的校园网络管理部门，配备专门的网络安全管理人员，制定完善而实用的紧急情况处理预案。（2）病毒防范措施随着计算机技术和网络技术的发展，计算机病毒的种类越来越多，周期越来越短，威胁也越来越大。近年来，多起恶性病毒的大规模发作对许多高校校园网都造成了极大的危害。因此，不论是对于网络管理人员，还是对于用户来说，计算机病毒的防范都是一项长期而艰巨的任务。（3）用户身份鉴别用户身份鉴别对于高校校园网来说是非常重要的。试想，如果学生通过非法连接或盗取帐号等手段登录了教务管理系统，并擅自篡改了学生的成绩，那将会带来很严重的后果。因此，应对用户的口令进行严格审查并用工具来检查口令是否妥当，以确保只有合法身份的用户才能与之建立连接。（4）信息传输安全校园网的信息传输安全面临着非常严峻的挑战，例如如何保证帐号、密码、个人信息、教学信息等重要数据在信息传输过程中不被非法盗用、篡改和破坏，这些都是校园网信息传输要解决的安全问题。因此，需要对传输的保密信息进行加密和签名，以确保只有合法的用户才能接收，并保证信息传输的保密性、完整性、可用性、可控性、非否认性和发送者的可鉴别性。（5）媒体安全如果高校能够重视媒体数据安全以及媒体自身的安全，并给予足够的资金、人力以及政策上的支持，那么校园网的安全性才能有保障。（6）防黑客入侵措施校园网的各种安全漏洞为黑客入侵并实施攻击创造了机会。利用安全漏洞，黑客可以获得不该获得的访问权限，可以修改系统资源的配置和篡改重要的数据，可以获取帐号密码、个人资料、技术成果、系统信息等重要信息，可以利用本地资源攻击远程用户，还可以占用存储空间，增加校园网负荷等等，因此，要将防黑当成日常例行工作，避免出现以上的种种情况。4.2提高高校校园网安全性的有关对策针对以上分析得出的六大关键问题，本文提出如下几点具有针对性的高校校园网络安全策略。（1）科学合理地制定网络安全规划目前的校园网在系统性、科学性和覆盖面等方面都缺乏战略层面的统筹，导致了一方面是渐趋性、块状、独立投入，另一方面是资源长期短缺的矛盾比较突出，应用平台建设滞后，网络系统控制能力差，内外信息传输渠道不畅。因此，要十分重视网络安全规划，最好是与学校的信息化建设规划同步进行，设计好校园网的安全方案。（2）健全网络管理机构高校要积极转变观念，认识到网络安全对于学校安全和稳定的重要性以及校园网在教学、科研、管理、服务等各个方面所起的积极作用，建立专门的网络管理部门，配备专业的网络安全管理人员，健全工作制度，并制定完善而实用的安全事故处理程序、紧急情况处理预案。（3）建立多层次、集中式的病毒防范体系由于计算机病毒种类及传播途径的多样化，校园网的病毒防范工作通过简单的、单台计算机病毒的检测及清除已经无法满足需求，而需要建立多层次的、集中式的病毒防范体系。多层次是指在学校的每个台式机上安装台式机的反病毒软件，在服务器上安装基于服务器的反病毒软件，在Internet网关上安装基于Internet网关的反病毒软件；集中式是指可以管理很多的联网计算机，对联网的计算机可以进行统一的病毒查杀和病毒库的更新和升级。（4）建立内网统一的身份认证系统校园网必须要解决用户上网身份鉴别的问题，而对于运行内部管理信息系统的内网来说，建立其统一的身份认证系统是非常必要的，以便对数字证书的生成、审批、发放、查询等进行统一管理。同时也为校园信息化建设的其他应用系统提供了安全可靠的保证。（5）使用VPN技术VPN（VirtualPrivateNetwork，虚拟专用网）是现在广泛应用的加密传输手段，它是让用户在互联网上建立自己的专用网络，数据通过安全的“加密通道”在公共网络中传输。对于校区分布比较分散的高校，可使用该技术延伸校园网的使用范围，并有效保护了数据传输的安全性。（6）使用漏洞扫描工具漏洞扫描是自动检测远端或本地主机安全弱点的技术，它在保障网络安全方面起到越来越重要的作用。借助于漏洞扫描工具，系统管理员可以发现网络和主机中可能会被黑客利用的漏洞，从而可以对这些漏洞及时进行修复，不给黑客有可乘之机，有效加强网络和主机安全性。（7）安装防火墙防火墙是抵御黑客程序入侵的非常有效的手段，它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络，可阻挡外部网络的入侵和攻击，是目前网络安全的一个最常用的防护措施，也广泛应用于校园网的保护。网络管理员不仅可以监控通过防火墙的数据，允许和禁止特定数据包的通过，还可以对所有事件进行监控和记录，使内部网络既能对外正常提供服务，又能保护内部网络不被恶意者攻击。同时很多硬件防火墙还提供了很多其它服务，如电子邮件防病毒、反垃圾邮件过滤、内容过滤等。（8）及时安装补丁和更新要及时到微软或其他软件厂商的站点下载并安装操作系统或其他软件对应的补丁程序，并且要形成定期检查更新软件系统的习惯。（9）加强学校全体员工的安全意识教育维护校园网络安全不仅仅是网络管理部门的职责，更是学校每一位员工的责任。因此，高校要加强学校全体员工的网络安全教育和培训，使每个人都能自觉遵守和执行国家有关安全保密的各种政策、法规，遵守本学校安全保密以及网络运行、使用的有关安全制度，从而养成良好的网络行为规范，提高网络安全防范意识。校园网络安全，大家共同维护。只有在思想上充分认识到校园网络安全的重要性，把校园网安全防范作为一个系统工程来抓，采取切实有效的安全策略，校园网络安全才能很好地得到控制，从而使校园信息化建设更好的为学校服务，为师生服务。结束语高校网络安全是信息安全领域里一个非常重要的部分，计算机网络的应用越来越广泛，使高校办公效率大大提升。等级保护是信息安全的工作中的重点内容，是建设信息安全保障体系的重要手段。信息安全等级保