会员注册 | 登录 | 微信快捷登录 支付宝快捷登录 QQ登录 微博登录 | 帮助中心 人人文库renrendoc.com美如初恋!
站内搜索 百度文库

热门搜索: 直缝焊接机 矿井提升机 循环球式转向器图纸 机器人手爪发展史 管道机器人dwg 动平衡试验台设计

   首页 人人文库网 > 资源分类 > DOC文档下载

职业教育论文-网络教育站点安全性能的改进 .doc

  • 资源星级:
  • 资源大小:22.53KB   全文页数:14页
  • 资源格式: DOC        下载权限:注册会员/VIP会员
您还没有登陆,请先登录。登陆后即可下载此文档。
  合作网站登录: 微信快捷登录 支付宝快捷登录   QQ登录   微博登录
友情提示
2:本站资源不支持迅雷下载,请使用浏览器直接下载(不支持QQ浏览器)
3:本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰   

职业教育论文-网络教育站点安全性能的改进 .doc

职业教育论文网络教育站点安全性能的改进摘要网络教育站点的安全是网络教育机构组织不得不严肃考虑的问题。除了建立网络安全策略用于指导和规范各网络教育管理人员的网络安全管理职责外,对网络教育站点的安全改进是使站点安全运行的重要方法。本文从服务器主机选择、虚拟网络(VLAN)运用和划分原则、服务器主机和服务器软件的配置、服务器管理等四方面论述了如何对网络教育站点进行安全改进。关键词VLAN网络隔离服务器安全模式AbstractThesecurityofnetworkeducationWEBsitesisaproblemwhichnetworkeducationorganizationshouldconsider.TheimprovementofthesecurityontheWEBsitesisanimportantwayfortheoperationofthesites,besidestheemphasisoftheestablishedstrategiesforguidanceanddutyofworkingstaff.Inthispaper,theimprovementsonthesecurityoftheWEBsitesarereviewedbasedontheselectionofservers,sortingofnetwork,applicationofVLAN,configurationofserverhardwareandsoftware,andmanagementofservers.KeyWordsVLANIsolatednetworkserversafemodel1教育站点服务器主机的选择在选择教育站点服务器主机时,除了考虑诸如功能、性能和价格等因素外,更重要的要考虑安全需求,服务器很多,但它们的安全性能是不一样的,要使教育站点具有安全性就必须选择满足安全需求的服务器,网络教育站点的安全需求一般包括⑴较小的易受攻击性⑵只能由授权用户进行管理的限制能力⑶拒绝访问服务器中没有发布的信息的能力⑷关闭操作系统或服务器软件中不必要的网络服务的能力⑸访问各种外部可执行程序(如CGIscripts、服务器plugins)的可控能力⑹为侦测入侵或企图入侵,记录教育站点服务器活动的能力2教育网络分段及虚拟网络(VLAN)运用和划分原则对局域网来说,网络分段和VLAN的运用是保证教育网络安全的有效措施。2.1教育网络分段改善安全性能。教育网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。教育网络分段可分为物理分段和逻辑分段两种方式物理分段通常是指将网络从物理层和数据链路层ISO/OSI模型中的第一层和第二层上分为若干网段,各网段相互之间无法直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各自网间的访问。在实际应用过程中可采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性能控制。2.2运用VLAN改变安全性能以太网从本质基于广播机制,但应用了交换和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。由以上运行机制带来的网络安全的好处是显而易见的信息只到达应该到达的地点。因此、防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。2.3VLAN之间的划分原则VLAN的划分方式的目的是保证系统的安全性。因此,可以按照系统的安全性来划分VLAN可以将主要的服务器系统单独划分作一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照教育机构、对象的设置来划分VLAN,如可以按照教育机构服务器管理员所在的网络单独作为一个leaderVLANLVLAN,其它层次的分别作为另一个或几个VLAN,并且控制LVLAN与其他VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。VLAN之内的连接采用交换实现,VLAN与VLAN之间采用路由实现。3服务器主机和服务器软件的配置3.1教育站点服务器与内部网络隔离公用服务器主机是一个供公众访问的计算机,无论主机及其应用软件配置的如何好,总会有人发现新的入侵点,入侵者可以观察或捕获到内部主机之间的网络通信,也可能进入内部主机,获得更详细的信息,为此需要把服务器主机与内部网络隔离,如图1所示。图1WEB服务器网络结构3.2在一个更安全的主机上维持一个可靠的教育站点内容拷贝。当服务器上的信息完整性受到破坏时,需要一个可信赖的拷贝来恢复.建议把一个可靠的信息拷贝存贮于与服务器主机隔离的更安全的主机上(即放在网络防火墙内的内部网络上),并且除了教育站点管理员可以访问这个拷贝外,其它用户(无论是内部还是外部的)都不能访问拷贝。3.3教育站点服务器主机只提供基本的网络服务现代的计算机具有可提供多种服务和应用的功能,如果多项服务和应用同时在一台主机上提供,会使主机的安全性能减弱,为此,应该按以下方法来配置教育站点服务器⑴.尽可能多地关掉服务和应用,然后有选择地打开那些基本的教育服务⑵.确定你打算支持教育服务器的功能(如CGI脚本)⑶.如果有其它的方法提供同样功能,选择更安全的方法⑷.一旦最少的教育服务和应用确定后,确保它们在主机上是可用的⑸.当所有配置选项确定后,为关键系统软件生成并记录加密校验或其它完整校验信息。3.4配置教育站点服务器,增加安全性由于不同的机构组织对公用站点的需求是不一样的,因此服务器软件已提供了各种软件配置选项以满足不同站点的需求.省缺的配置设定可能是对典型站点的最优设定,当然这是销售商想象的最优化,一般是基于性能需求或容易安装来设定的.但在安装教育站点服务器软件时,必须认真仔细地按安全需求配置服务器.⑴.配置教育站点服务器日志能力教育站点服务器日志文件记录着服务器对每一请求的响应行为信息,分析这些日志可以得到有用的用户信息和安全信息.目前有许多日志文件分析工具,大部分可对两种标准日志文件格式进行分析,这两种格式是CommonLogFormat和ExtendedCommonLogFormat,服务器应该配置成能生成两种格式中任意一种格式的日志文件。⑵.配置教育站点服务器的辅助网络服务一般教育站点服务器可同时提供其它的网络服务,如文件传输协议(FTP),gopher协议,电子邮件或按受从客户机来的文件上载等,为增加教育站点服务器的安全性,在确定不需要这些服务的条件下,建议关闭所有的辅助服务⑷.配置教育站点服务器的本地或远程管理利用教育站点主机控制台来管理教育站点,这样可以控制在教育站点服务器(防火墙外)与管理工作站(防火墙内)之间的网络传输,以增加安全性。但是在许多情况下,教育站点服务器管理不得不从远程进行管理,这时必须要保证①.服务器主机有很强的验证用户身份能力,特别要避免传送明文口令,除非这是一个一次性口令。②.服务器主机只允许从某个特定远程主机进行远程管理③.在管理主机与服务器之间的网络传输不应有这样的信息,这些信息如果入侵者截获后,可访问到服务器或内部网络。⑸.确定操作系统提供什么样的访问控制有些操作系统可以对教育站点服务的远程访问文件加以限制,这些进程可以限制为对某些文件的只读访问,而对一些文件不允许访问。⑹.利用文件访问控制来实现①.公用教育站点的内容文件只能读,不能由服务器管理进程来写②.存贮教育站点内容的目录不能由服务器管理进程来写③.公用教育站点内容文件只能由服务器管理进程来写④.教育站点服务器日志文件可由服务器进程写,但不能作为教育站点内容来读⑤.教育站点服务器日志文件只能由管理进程读⑥.任何由教育站点服务器进程生成的临时文件(如在生成动态页面时所需的临时文件)必须限制在某个特定的子目录下。⑺.不允许目录列表服务按照教育站点协议(http),一个以斜杠结束的URL是请求列出一个目录中的文件。按一般的规则,即使该目录下的所有文件都是准备发布的文件,也不允许服务器对这类请求有响应。这类请求表示试图用非教育站点提供的方法来定位信息,当浏览有困难或链接断裂了,用户就可能企图重新排序。入侵者可用此方法定位那些由教育站点接口隐藏的信息。可以从服务器日志文件中查出这类请求。⑻.配置服务器使之不能提供指定文件目录数以外文件的服务。具体的实现可以通过服务器软件本身的配置选择,也可以通过操作系统选择。必须避免在文件目录树中使用链接或别名,因为它指出了服务器主机或网络中的其它文件。⑼.确保服务器日志文件或配置文件不能作为公用教育站点内容文件。日志文件应该存贮在服务器主机上,而不是传送到内部网络的另一台主机上,同样,服务器配置文件或参考文件也应保持在服务器主机上。利用服务器配置选项和操作系统访问控制,确保这些文件不能传送给用户,即使用户知道这些文件的名字(URLs)。如果可能,把这些文件放在公用数据目录树以外的地方。⑽.当所有的的配置选择完成好后,要为服务器软件生成一个密码校验或其它的完整检验基准信息。4网络教育站点服务器管理4.1用安全模式管理教育站点服务器教育站点服务器管理包括为服务器增加新内容,检查服务器日志,安装新的外部程序以及改变服务器配置等等。这些管理可以在服务器控制台上完成,也可以通过网络在另一主机上来管理,无论从哪里来管,一定要确保其安全性,特别是以远程主机管理服务器时,安全更加重要。⑴.当选用远程主机来管理教育站点服务器时,应选用安全的方式来管理①.教育站点服务器主机应有很强的用户身份验证功能,要避免使用明文形式传输密码口令。②.教育站点服务器从某一特定主机进行管理,主机的验证不依赖于网络解析信息,如IP地址或DNS名等。③.在管理员主机与服务器之间的网络传输过程中,不应给入侵者提供访问服务器或内部网络的信息。⑵.如果允许,可使用活动存贮介质把教育站点的内容拷贝到教育站点服务器上。⑶.当需要在另一台主机上检查服务器的日志文件时,要用安全方法把日志文件传送到那台主机上。⑷.当服务器的配置或站点内容改变后,要生成一个新的加密校验或其它的完整校验信息。4.2检查目录和文件有无意外的改变网络环境中的文件系统包括了大量软件和数据文件,目录和文件的意外改变,特别是那些访问受到限制的目录和文件的意外改变,表明发生了某种入侵。入侵者为了隐藏他们在系统中的存在,通常用相同功能的程序替换系统的原有程序并修改日志文件,或在系统中生成新的文件。所以,利用检查系统的目录和文件的更改信息的方法,可尽早发现入侵。

注意事项

本文(职业教育论文-网络教育站点安全性能的改进 .doc)为本站会员(doc88)主动上传,人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知人人文库网([email protected]),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。

copyright@ 2015-2017 人人文库网网站版权所有
苏ICP备12009002号-5