豆瓣酱7
物理安全物理安全包括环境、设备及线路的安全,需做好防火、防盗、防雷击等工作。数据安全数据传输安全,指在传输过程中保护数据信息的机密性和完整性,以防被他人截获、修改,具体可通过数据加密技术、数字签名及VPN等技术来实现。数据存储安全,指要保证存储存服务器或加密终端上的数据的安全,对于要求保密的数据,如科迅数字化校园平台用户身份认证的口令,需采用加密的方式进行存储,另外,保证存储介质的安全也是数据存储安全的一个重要方面。数据备份和恢复可以确保在系统遭到攻击或因自然因素导致数据不可用时,利用备份的数据进行恢复,避免数据丢失,具体可采用日增量、周全备等方式设置备份策略。网络安全网络层面安全防御的重点都是阻断外部用户的恶意攻击和非法访问,如利用传统防火墙进行网络边界的访问控制;运用VLAN技术将内网划分为不同的子网;部署入侵检测系统(IDS)以检测网络上发生的入侵行为和异常现象;安装网络防病毒系统等。(1)接入安全:统一身份认证保证校园网中每一个接入用户都“合法”是数字化校园安全的第一步。(2)边界防护:防火墙+入侵防御系统。在校园网边界部署网络防火墙,通过设置访问控制规则来限制外网对内网的访问几乎是所有高校校园网边界防护的主要措施。(3)内网安全管理:上网行为管理+流量控制设备可以通过在校园网内部部署上网行为管理和流量控制设备可以对在线炒股、P2P、网络游戏、在线聊天、邮件外发及论坛发帖等各种网络行为进行全面的控制和管理。可以根据学校的实际,对不同的用户、不同网络行为、不同时间设置不同的管理策略,从而保证在有限的带宽资源下数字化校园关键业务的顺利开展。主机安全主机安全是应用安全和数据安全的基石可以从账户安全、系统安全、访问控制、安全审计等几个方面来保证主机安全。账户安全是指利用身份验证来鉴别用户身份,用户的口令应具有一定的复杂度并定期更换,限制非法登录次数,设置登录连接超时处理:系统安全包括及时更新补丁程序,定期进行系统漏洞扫描和病毒查杀,关闭不必要的服务和端口等;访问控制可以通过限制终端的登录方式和网络地址范围,限制单个用户的会话数等方式来实现;安全审计内容包括审计每个操作系统用户的行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件,同时记录这些事件的日期、事件、类型、主体标识(访问者账户、IP地址)和结果等。应用安全首先要避免因设计上的不完善而导致的安全漏洞,比如未对合法用户进行权限控制造成越权操作、缺乏资源控制能力导致拒绝服务攻击等;其次,要避免因编程的不完善引起的安全漏洞,如缓冲区溢出、SQL注入等。第三,可通过部署Web应用防火墙(WAF)抵御来自应用层的攻击传统的防火墙工作在网络层,而对应用层的攻击则显得无能为力。
