购物车(0)
校园网络安全模板(10篇)
时间:2023-02-14 05:14:49
导言:作为写作爱好者,不可错过为您精心挑选的10篇校园网络安全,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。
篇1
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)08-1836-01
On Campus Network Security
CHEN Cheng-zhao
(Computer School of Wuhan University, Wuhan 430072, China; Network Center of Jianghan University of Arts and Science, Wuhan 430072, China)
Abstract: people are attaching more attention to Network security, combined with the experiences in network management, talk about some views on the security of campus network, from password security, system security, shared directories, security and Trojan horse prevention and so on.
Key words: campus network; network security; virus; firewall
网络的应用日益丰富,目前e-mail、ftp、WWW已经非常普遍。近几年发展起来的VOD点播、网上交友、网上游戏、网上求职、网上购物、网上医疗以及网上学习等也是如火如荼、虽然这些应用还处于发展阶段,但是有很大的发展前景。目前校园网的建设也得到了快速的发展,全国绝大多数的高校建成了自己的校园网络。
随着网络规模的急剧膨胀、网络用户的快速增长,关键性应用的不断普及和深入,校园网已经成为教育行业信息化的关键网络基础设施。伴随着校园网络的发展,“数字校园”概念逐渐被高等院校采纳并实施。可以说,高速、稳定、安全、可管理是“数字校园”建设的基本要求和最终目标。下面就我个人在工作中的经验,谈谈对校园网安全的一些看法。
1 系统的安全
虽然操作系统的功能及安全性日趋完善,但从目前来看,最近流行于网络上的“ARP”、“机器狗”等病毒都是利用系统的漏洞进行传播的。各种系统都或多或少存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题。作为一个网络管理人员,及时发现并修补系统漏洞是主要任务。对于正在使用的软件和服务,应该密切关注其官网的最新版本和安全信息,一旦发现有关的安全问题就立即对软件进行必要的补丁和升级。
一般启动操作系统时,会同时启动数十个服务,但有些服务时没有必要的,反而会成为黑客、病毒和木马入侵的隐患。如允许远程修改注册表、提供IPC连接、默认共享等,应及时关闭这些服务。同时严格控制用户向系统的访问,可以利用身份验证和用户权限控制技术,两者结合使用,给予不同的用户不同的操作权限,实现信息安全的分级管理。
2 防火墙与入侵检测系统的使用
应用服务器在校园网中的使用量很大,极易成为黑客攻击的主要对象。因此们需要对所有的外部网络接口隔离,用防火墙在内 外网之间构建一道安全屏障。防火墙会对数据包进行过滤,阻止外部非法用户的访问和破坏。所以在防火墙配置上,我们要根据每个学校的需求设置正确的安全过滤规则,网络管理人员应定期查看防火墙的记录日志,及时发现攻击行为和不良记录并采取相应的对策。
入侵检测系统相对防火墙,是一种积极主动的安全防护技术,能够在系统受到危害前发出警报。即使一个系统中不存在某个漏洞,但是检测系统仍然可以检测到相应的攻击事件并调整状态做出警告。所以,入侵监测系统能够及时发现攻击行为,防火墙能够有效的阻止和处理攻击行为,将两者集合使用能更加有效的保护网络安全,将安全隐患降到最低。
3 个人用户安全
大多数的校园网用户安全意识淡薄,比如不使用杀毒软件或不及时更新病毒库;不及时更新系统漏洞;使用移动存储时没有事先杀毒;接受或运行来历不明的文件或邮件;浏览黄色或非法网站等行为,这些行为都有可能导致电脑中毒。中毒后对方能在你的电脑上上传、下载文件,偷取你的各种账号信息及密码。除了能泄露个人资料外,如今很多病毒能够通过用户单机对校园网进行攻击,恶意的向被攻击服务器发送信息,严重的占用校园网带宽,致使网络运行速度慢,严重的更处于一种瘫痪的状态。
所以个人用户的安全也不能小视,作为网络管理人员,在推广网络应用的同时,也要加强上网行为安全的宣传教育工作,并制定相应的制度,防范和制止各种违法行为。
4 结论
校园网安全体系是一个动态的、不断发展的机制,当然不论我们怎么防范,由于系统和软件本身的局限性和计算机网络的开放性,我们都不可能彻底的消除所有网络系统的安全隐患。但是作为一名网络管理人员,我们需要提高工作热情,加强责任心,头脑中时刻具备安全意识,提高自己的专业知识和技能,为广大师生提供更快、更安全的校园网环境。
参考文献:
[1] 贾遂民.校园网络安全分析与对策[J].卿城大学学报:自然科学版. 2005(2):83-86.
篇2
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
篇3
中图分类号:TP393.18
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。社会信息化的高速发展提高了人们的生活水平和工作效率,但是,在高速发展的过程中也给人们的生活、工作带了了巨大的安全隐患,高校校园网络安全问题更是层出不穷。由于校园网承载着学校日常办公和生活的各个方面,这些安全隐患的存在无疑是对学校工作的巨大威胁。校园网大体上可分为两部分:内网和外网。内网是学校信息管理系统的核心,是学校日常工作正常进行的保障,外网是学校和外界接触,进行互联和信息交换的通道。这两者的安全问题是学校工作有条不紊地进行的基础保障。因此,深入探讨校园网络安全问题并提出相应的解决方案是十分必要的。
1 目前高校校园网安全现状
影响网络安全的因素有很多,但是由于校园网功能的特殊性,使得校园网的安全问题也有一定的特殊性。
(1)校园网运行方式。为了学生入网和计费的方便,学校一般会下分给学生入网账号并分配IP,同时将不同的使用权限分配给相应的用户。某些用户为了访问自己访问权限以外的内容或者为了转嫁上网费用,用不正常的手段窃取别人的账号和密码,从而造成了校园网计费和管理上的混乱。
(2)病毒入侵。计算机病毒可以破坏计算机的软件系统,更有甚者可以破坏整个校园网络使其处于瘫痪状态。计算机病毒是影响校园网络安全的主要因素。计算机感染病毒以后,轻则系统运行速度明显变慢,频繁宕机,重则文件被删除,硬盘分区表被破坏,甚至硬盘被非法格式化,还可能引发硬件的损坏。还有些病毒一旦感染主机,就会将系统中的防病毒程序关掉,让防病毒防线整个崩溃。
(3)操作系统本身的缺陷。校园网络用户使用的操作系统相对较单一,目前校园网用户使用最多的当属windows。黑客可以利用系统本身的缺陷而制造病毒入侵校园网,这种入侵由于用户操作系统的单一性将是大范围高强度的。
(4)用户浏览网页。校园网用户较多,用户所浏览的网页信息也是多种多样。一些不健康信息的流入往往夹带着不易察觉的病毒而导致个人信息的流出。
(5)内部人员操作不规范。在日常教学活动中,用户使用网络设备不规范很容易导致网络安全问题的发生。比如用户在公共设备上使用U盘时不注意杀毒,在设备上随意安装软件等。
(6)传输协议漏洞。现在用的一些传输协议如TCP、UDP等在制定时本身有一些漏洞,一些攻击者就会利用这些漏洞恶意请求资源而造成服务器超载,其结果是目标系统不能正常运行而超载。
2 校园网络安全问题解决方案
网络安全问题已经不仅仅是一个网络技术问题了,它还可能涉及到法律问题。完整的网络安全解决方案应该是人、网络技术、法律三者的协调统一。从常见的网络安全问题着手,应对策略应包括硬件维护、软件维护、管理员自身素质的提升、用户良好习惯的养成等方面。
(1)合理的网络规划。网络规划初期就应该考虑到网络安全隐患的存在。网络规模、网络服务类型、速度、使用与维护、划分节点等都要考虑到。在网络总体设计上要考虑到尽量使用成熟的网络交换技术。在布线上要使得各个大楼的布线标准统一,按照国际化标准和工业化标准规范化布线,防止将来维护出现困难。
(2)访问控制。访问控制策略是网络安全防范最重要的策略之一。访问控制第一应该是入网访问控制,规定哪些用户可以通过校园网访问网络资源,通过用户登录和密码认证方式来控制入网人员将会大大提高网络安全性能。第二是访问权限控制,规定不同的用户拥有不同的访问intenet资源的权限,规定哪些用户或用户组可以访问哪些目录或子目录。
(3)校园网分段。在分布式网络环境下,应该以部门或机构来划分VLAN。限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。
(4)防火墙技术。提到网络安全就不得不提到防火墙。防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件 。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全 。防火墙是网络中不可缺少的安全措施,加强防火墙的功能是保障校园网安全的重要措施。
(5)病毒防护系统。由于计算机网络的特点,病毒传播起来是非常迅速的。校园网可以看做是机遇服务器操作平台的内部局域网,如果与网络互连则必须要考虑到网络病毒入侵问题。病毒的猖獗促使我们必须在校园网络服务器上安装网络版的杀毒软件以从源头上就开始保护计算机网络。用户端也应该安装杀毒软件来保护网络,用户在日常使用计算机时应养成良好的习惯,并掌握一些常用的杀毒技巧,一旦发现感染病毒,首先进行隔离,将其从联网状态中分离出来,然后杀毒。
(6)定期备份服务器。系统的定期备份可以解决一些不能预料的故障或用户误操作带来的不可逆的问题。定期备份服务器可以保障网络安全。
(7)加强学生的道德法制教育。学生的好奇心和上网的不规范往往给服务器带来很多的问题,加强学生的道德法制教育,让学生了解正确上网和绿色上网的规范,做遵纪守法的人。
3 校园网发展前景
展望未来,随着计算机技术的不断进步、信息化的不断发展、网络通信的不断推广、网络技术与计算机技术的有机结合,这些将为我们打造一个信息高度共享以及信息互动办事高效的现代化校园。我们可以利用物联网技术实现学校资产的管理,利用无线传输和射频技术实现师生在日常生活中高效便捷的交流。我们可以将云计算、大数据、计算机技术、信息自动采集等等一些前沿技术结合起来,塑造一个高效便捷的现代化校园。
4 结语
计算机网络的发展无疑给我们的生活带来了巨大的方便,校园网络只有通过有效的设计和管理,保证其安全有效地运行才能实现它的真正价值。校园网络的每一次进步都需要考虑到网络的安全性,保障信息安全是校园网络的主要工作之一。在升级校园网络的同时一定要结合现有的高端技术,分析本校网络特性,在结合实际的基础上构造一个安全高效便捷的校园网络。
参考文献:
[1]张德庆.Internet网络安全管理研究,2001.
[2]刘钦创.高校校园网的安全现状与对策,2005.
[3]杨波.从信息安全角度看校园网发展现状,2007.
[4]陈新建.校园网的安全现状和改进对策,2007.
[5]王越,罗森林.信息系统与安全对抗理论[M].北京:北京理工大学出版社,2006.
篇4
随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享起到了无法估量的作用。但一些教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。网络的生命在于其安全性。因此,如何在现有的条件下,搞好网络的安全,就成了校园网络管理人员的一个重要课题。
一、校园网络现状
随着电脑的普及,计算机技术并没有像早年想象的那么遥远。几乎每个人都知道一些最基本的电脑维护的知识,对于生活在学校的学生们就更不用说了。几乎每所学校都有其自身的网络体系,无论是无线网络还是有线网络。有了网络的帮助后老师可以提高课堂内容的丰富度,不必拘泥于灌输死板的概念内容,而是灵活的动态模式,这样才能更好地激发学生的学习兴趣。在大家看来每所学校所关心的安全领域问题是大致相同的,无论是在哪方面,无疑就是网络是否畅通,上网是否安全,网络是否可以抵御黑客攻击,上网时我们的账号是否存在风险等问题。网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。
二、系统安全
系统安全包括主机和服务器的运行安全,主要措施有反病毒、入侵检测、审计分析等技术。
(一)反病毒技术
计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染给其它程序,并进行自我复制,特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
(二)入侵检测
入侵检测指对入侵行为的发现。它通过对计算机网络或计算C系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。在校园网中服务器为用户提供着各种的服务,但是服务提供得越多,系统就存在越多的漏洞,也就有更多的危险。因此,从安全角度考虑,应将不必要的服务关闭,只向公众提供他们所需的基本的服务。
(三)审计监控技术
审计监控不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、类聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。
三、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施,保证网络受到攻击后能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补“热备份”的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
四、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
(一)访问控制
在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全最主要,同时也是最有效和最经济的措施之一。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。
篇5
中图分类号:TP393 文献标识码:A
1 恶意代码概述
1.1 恶意代码的定义及起源
恶意代码又可叫做Malware,现在对恶意代码的定义有很多种,本人对恶意代码的定义是:凡是阻碍计算机正常运行或者是破坏计算机数据及硬件的指令或程序统称为恶意代码。
第一个蠕虫恶意代码是在1988年美国康奈尔大学,释放该恶意代码的人叫做Robert Morris,在该恶意代码释放的短短几小时内,当时整个Internet联网计算机因感染恶意代码而瘫痪的计算机多达6000余台,占当时整个联网计算机总数10个百分点,直接造成1000多万美元的经济损失。而到二十世纪末,CIH病毒及其变种爆发后对Internet联网计算机造成的危害更加严重,据不完全统计,仅1999年4月爆发的CIH病毒变种就造成了超过十亿美元的损失,有超过6000万台计算机被破坏。截至2011年上半年安天实验室对互联网恶意代码疫情统计表明,恶意代码的数量在不断增长,仅2011年上半年该实验室就捕获489万多个恶意代码样本,同比增长了10个百分点。
1.2 恶意代码的类型及特点
根据恶意代码的运行特点,可以将恶意代码分为独立运行和需要宿主的两大类。独立运行的恶意代码是指操作系统能够调度和运行的完整程序;而需要宿主的是指在脱离了特定的程序或环境下不能独立存在的程序片断。恶意代码具有传染性、隐蔽性、潜伏性、多态性和破坏性等特点。为扩大感染范围,恶意代码通过各种办法从已感染的计算机传播扩散到未感染的计算机,一旦进入未感染的计算机后,潜伏在计算机内部,当用户执行恶意代码程序后,就会迅速搜索目标感染繁殖,这就是恶意代码的传染性;另外恶意代码由于其非法性,为了不被在感染前查杀删除,恶意代码经常通过各种手段躲在合法程序中隐蔽起来,等用户运行后,迅速夺取系统控制权并大量感染其他程序,而用户都不会感到异常,这就是恶意代码的隐蔽性和潜伏性;恶意代码每次感染后都试图改变其形态,恶意代码的主体相同,但是其改变了表达方式,通过不同的字节序列来防止被扫描特征字符串查出,这就是恶意代码的多态性;另外有些恶意代码由于设计者的目的就是为了彻底破坏系统数据,这些恶意代码一旦被执行就会毁灭系统数据,使系统瘫痪,这就是恶意代码的破坏性。
2 现有恶意代码检测方法及评价
至今为止,对于恶意代码的检测还没有一个能检测所有恶意代码的方案,究其检测的难易程度来说,针对应用系统的恶意代码检测相对容易一些,而内核级的恶意代码检测就困难复杂很多。目前,对恶意代码攻击防范的研究主要包括误用检测方法、权限控制方法、完整性控制方法。通过对达到计算机的代码扫描匹配恶意代码特征库来检测恶意代码并对符合恶意代码特征库特征的代码进行阻断,防范恶意代码入侵称之为误用检测法;因为恶意代码本身只是一段可执行的代码,只有执行后取得系统权限再进行破坏的,所以我们可以通过控制系统权限,让恶意代码的各种请求不被许可,使得恶意代码丧失破坏力,这就是权限控制法;加入恶意代码已经感染破坏了某个文件,我们可以通过破坏该文件的完整性,来阻断恶意代码对整个系统资源的感染破坏,保护其它未被感染破坏的系统重要资源的完整性,这就是完整性控制方法。
3 校园网恶意代码防范思考及实践
尽管人们对恶意代码作了大量研究并采取了各种方法措施,但问题远远没有解决,而且新的破坏性更强的恶意代码不断出现,校园网信息安全面临这越来越大的威胁。因此,研究校园网络如何应对恶意代码攻击具有重要的现实意义。从上述分析看出,攻击和防范技术的竞争不会停止,而在竞争中,防范技术相对来说总是被动的,想一劳永逸的解决恶意代码问题是不实际的,只有不停的进步,不停的创新,才能更好的防范恶意代码攻击。校园网由于具有开放自由、控制自主、投入较少等特点,导致校园网络安全更为严重,而由于每个校园网具体情况不同,难以制定一个统一的解决方法,但是可以借鉴兄弟院校的网络安全防范经验,对自身校园网不同点进行必要的调整。基于上述考虑,中国教育和科研网络应急响应组和《中国教育网络》杂志社共同组织成立了一个名为“校园网运行于安全管理论坛”,各高等院校校园网运维技术人员参加,以技术交流和信息共享促进校园网安全管理为宗旨,共同讨论校园网常见的安全问题。现该论坛已经成为高等院校校园网络安全技术交流的一个重要的平台。
4 结束语
随着网络技术的发展,计算机网络安全威胁越来越大,构成威胁的因素很多,造成的损失也越来越大,现在网络安全已经越来越受到重视。因此,构建一个全面的校园网络安全防御体系有着非常重要的意义。
篇6
现在的校园网络仅仅实现上网查资料的功能已经远远不能满足广大师生的需求,随时随地能上网,稳定快速安全的网络才是大家需要的网络。然而校园的面积大,办公区分散,用网人员复杂并且网络安全意识薄弱,没有明确的用网管理体制导致校园网络安全隐患随处可见。
下面结合我校的实际情况来探讨一下关于校园网安全的常见解决方案。
一、服务器
在整个校园网络结构中,服务器有着非常重要的地位,它是整个网络运行的前提,也是整个网络数据存储的核心。因此核心服务器安全设置对这个校园网络的安全起着重要的作用。所以在实际的应用中我们对于服务器的安全设置是必须要做的,下面我们以windows server 2003为例来介绍如何设置让服务器更安全。
服务器的安全很大程度上取决于操作系统的安全, Windows server 2003作为服务器的操作系统,它具有高性能,高可靠性和高安全性的特点,决定其便于部署、管理和使用。Windows server 2003系统安全包括系统服务安全、文件权限安全、用户账户安全等方面。
1)关闭不必要的服务
通常情况下,为了方便远程管理服务器,windows server 2003中会开启相关的如中断服务、IIS和RAS等服务,这就在便于远程管理的同时,给系统安全留下的漏洞,所以应该尽量关闭这些不必要的服务。
有些恶意的程序也可能以服务的方式在系统中运行,所以还要定期对系统开启的服务进行检查。需要强调的是,系统的“文件和打印机共享功能”也要关闭。
2)身份验证和访问控制
身份验证时系统安全的基础,应该对尝试登陆访问网络资源的任何用户进行身份确认,Windows server 2003家族身份验证启用对所有网络资源的单一登陆,允许用户使用一个密码登陆到域,然后向域中的任何计算机验证身份。
访问控制是批准用户、组合计算机访问网络上的对象的过程。构成访问控制的主要概念是权限、用户权利和对象审查。在这里我们可以为每一个登陆到域的用户设置读、写和完全控制权限。
3)账户策略
对于校园网内的用户账户的保护主要使用密码保护机制。为了避免因为用户密码被破译而导致系统被入侵,可采取提高密码的破解难度、启用账户锁定策略、限制用户登陆等措施,所有安全策略都是基于计算机配置的策略,用户策略的定义在计算机上,却影响用户账户与计算机的交互。
4)用户权限分配
对用户账户权限的分配,是限制用户访问特定的网络资源的有效方法,对于不同的资源可以特定的用户访问,访问的权限是只读、读写或者是完全控制,这个在“Active Directory用户和计算机”管理工具或者设置组策略来实现这个功能
5)防病毒和防火墙的配置
杀毒软件和防火墙的更新工作要及时,防火墙软件根据自己不同的使用情况使用不同的网络访问策略,对日志的审查要及时有效的利用日志解决网络或者病毒问题。
二、有线网络
有线网络是我们校园网内网的重要组成部分,承载了大部分数据交换。有线网络的存在常见的问题如下:
1、 资产管理失控。由于学校的管理人员有限,计算机数量众多而且分布在不同的教学区,这样就带来很多管理的难题如网络终端用户硬件配备肆意组装拆卸,操作系统随意更换,各类应用软件胡乱安装卸载等。面对这种情况我们唯一能做的就是统一发放计算机,统计详细的配置信息,安排专门的人定期检查计算机的配置是否被更改。安装好常用的应用软件,杀毒软件和防火墙,定期由服务器为各个终端分发补丁,不给黑客和病毒可趁之机。
2、 网络资源乱用。IP地址滥用,流量滥用。IP地址滥用,我们只能在做一台DHCP服务器为网络的所有的终端自动获取IP地址,从而防止IP泛滥。同一台DHCP服务器给多个VLAN分配IP的问题我们可以建立几个作用域,通过三层交换机做DHCP中继来实现。流量滥用问题我们最简单的方法就是在路由器上做限速,这样防止带宽被严重占用导致网络拥堵。
3、 病毒入侵。由于补丁打的不及时、网络滥用、非法接入等因素导致网络内病毒泛滥、网络堵塞、数据丢失损坏,而且无法找到灾难的源头以迅速采取隔离等处理措施,从而为正常的上网带来灾难性的持续的影响。对于这种常见的问题我们的解决方案是把问题的范围缩小,然后在小范围内逐个排查,因此就非常有必要把不同的工作区内设备整合到一个局域网内,这个技术就是我们常用的VLAN,支持VLAN的硬件设备我们可以用三层交换机来实现,把不同的工作区划分不同的VLAN。这样做有助于我们正确的定位问题的区域,从而进行排并提高工作效率。另外一个好处在于有效的抑制了广播风暴,提高网络的利用效率。
4、 三、无线网络
随着笔记本的普及,无线网络在校园网内起着很大作用,然而无线网络的安全与否会影响整个校园网安全。
学校无线网络的部署是以TP-LINK无线路由器为基础,下面我们以TP-LINK为例探讨无线网络安全的问题:
1、 我们要做的就是修改无线路由器默认管理员密码,虽然这个操作是最基本的,但还是有很多人忽略,无论是校园网络和个人网络都需要注意这一点。修改方法很简单,登陆路由器的IP即可。
2、 修改路由器的默认管理IP。虽然各个厂商的路由器默认已经设置好IP地址和DHCP网段,但是避免被别人恶意破解还是把它改成符合我们应用的IP,不同的VLAN中无线路由器的IP设置成本VLAN的网段的IP即可。
3、 使用静态IP地址。物理地址过滤的方法能够不分配IP给未经授权用户,但如果有客户端使用MAC地址进行欺骗的方法,也就是使局域网中已经授权用户的MAC地址,则这样的过滤方法就没用了,这是可以使用客户端设置静态IP地址的的方法,也就是关闭无线路由器的DHCP服务。
无线网络安全不是技术问题,而是管理问题,当前无线网络的很多系统都有安全机制,只要我们利用好,无线网的安全问题就会迎刃而解。
四、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,从而保证整个校园网络的安全。
参考文献:
1、戴有炜 windows server 2003网络专业指南 清华大学出版社 2004 年6月
篇7
新型病毒层出不穷,传播速度快,破坏能力越来越强。校园网必须在网络系统的各个环节严加防范,才能控制或阻止病毒的侵害。考虑学校教学用机数量庞大,要建立全面的主动病毒防护体系,在每台工作站、服务器上都要有反病毒软件并能统一管理。校园网与Internet相连的网关,也要安装防病毒软件进行拦截,以阻止病毒进入校园网传播扩散。由于师生信息浏览和EMAIL通信的普遍性,在Internet浏览、下载的信息时有可能传播病毒到内部网络上,防病毒软件要能阻止网页携带的Applet小应用程序、ActiveX等病毒破坏,发现并清除隐藏在EMAIL、QQ、MSN、附件中的欺骗性病毒和木马。
目前,主流的防病毒产品主要有赛门铁克、趋势、江民、金山等,网络上也不乏免费杀毒软件,如360杀毒。首次安装防病毒软件时,一定要对计算机做一次彻底的病毒扫描,注意定期查杀,及时进行软件的更新。
二、防火墙与网络隔离技术
配置防火墙可以最大限度防止Internet上的不安全因素蔓延到校园网内部。校内单机可以使用个人防火墙,网上这样的免费或限时软件很多,比如:360安全卫士、天网。校园内外网之间,可根据学校需要配置软件或硬件防火墙。软件防火墙依赖于服务器的操作系统,安全性有较大限制,速度也比较慢,建议有条件的学校配置硬件防火墙。硬件防火墙有专用硬件平台和专用操作系统,甚至芯片级硬件防火墙使用专门芯片硬件平台。没有操作系统,它们的速度快、性能高、处理能力强。目前,常用的软件防火墙有Checkpoint、KFW傲盾、天网等,常用的硬件防火墙有Net Screen、Cisco、Hill stone等,还可根据学校需要选配NAT、DNS、VPN、IDS等不同模块。
网络隔离技术在内、外部主机系统中嵌入安全加固且不同的操作系统,内部主机的操作系统对外部攻击者是不可见的。在校园网和外部网络之间形成了物理隔离带,消除了基于网络协议的攻击。这种技术的应用,必将使校园网络管理高效化、简单化,安全级别也更高。
三、VLAN技术
随着校园网络规模扩大,网内机器超过200台时网络管理将极为困难。在实际应用时,采取VLAN技术把校园网划分为行政办公、教师、学生等子网。划分可以跨过物理设备,各子网之间无法直接通信,信息仅在VLAN内的成员之间传送,限制非成员数据转发,从而减少了主干网的数据流量,控制网络风暴在必要范围内,并增强网络的安全性,利于管理。根据校园网管理特点,通常选择下面三种方法划分VLAN。
(1)基于端口的划分。根据以太网交换机的端口划分不同VLAN,可以把跨交换机的端口划分到同一VLAN中,一个VLAN对应一个端口集合,一个端口在某一时间只能位于一个VLAN中。比如可以把交换机SWl的端口1、4-5和SW2的端口2-3、6划为VLANl;把交换机SWl的端口2、3和SW2的端口1、4、5划为VLAN2。这种方法简单易行,但是灵活性差。当教学用机需要移动时,新端口不位于原VLAN中时,机器不能直接连接通信,需要管理员重新定义端口配置。
(2)基于MAC地址的划分。校园网中的每个MAC地址对应一台计算机,一个VLAN就是一个MAC地址集合。比如把所有教师机的MAC地址添加到VLANl中,所有学生机的MAC地址添加到VLAN2中。配置完成后,交换机根据MAC地址识别和跟踪教学用机。即使教学用机或服务器移动位置,更换端口,也不会改变其所属的VLAN。这种方法,用户使用灵活,但是管理员工作量大而烦琐:初始化时,如果用户数量较多,要收集所有计算机MAC地址,对所有计算机进行配置,工作量极大;后期,每一台新计算机入网时,也需要添加到对应的VLAN中,否则不能连接。
(3)基于IP地址划分。校园网中的网络层IP地址对应一台计算机,一个VLAN就是一个IP地址集合。例如:把IP地址192.168.1.1-192.168.1.100设置为VLANI给教师使用,把192.168.2.1-192.168.2.200设置为VLAN2给学生使用。它具有第2种划分方法的优点,用户计算机可以不修改网络配置移动,并且无需收集MAC地址对所有计算机单独配置。但校园网中每次数据转发,都需要检查TCP/IP协议的网络层,网络工作效率低。
目前,应用比较广泛的具备VLAN功能的交换机、路由器主要有Cisco、锐捷、神州数码等,这些网络设备也不一定具备VLAN所有划分方式。因此,学校要根据自己的要求和价格承受能力,选择不同层次和功能的VLAN网络设备,再根据实际设备选择适合的VLAN划分方式配置网络。
四、云防护技术
篇8
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
一、校园网络安全现状分析
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
篇9
中图分类号:TN94 文献标识码:A DOI:10.3969/j.issn.1672-0407.2012.02.003
文章编号:1672-0407(2012)02-008-03 收稿日期:2011-11-9
随着科学技术的进步,尤其是计算机网络的迅猛发展,人类已经逐渐步入信息时代 ,因而导致了人们的生活方式、思维方式,工作方式,以及教育方式将随之而改变。特别是在教育领域,网络、多媒体与教育的结合,将会彻底改变传统的教育思想、观念、内容、方法,改变传统的人才培养模式。信息化已经成为当今世界经济和社会发展的大趋势,以多媒体和网络技术为核心的信息技术已成为拓展人类能力的创造性工具。教育信息化是教育改革与发展的必然。教育信息化是社会信息化的一个重要组成部分,是教育现代化的一个重要标志,国家教育部将信息技术课程列入中小学的必修课程,随着教育信息化的深入,信息技术课程将会越来越重要。
在这样的一个前提下,各中小学纷纷组建自己的校园网。校园网的建设,不仅使得信息技术这一门课程在具体的教育教学上得到了有力的硬件保证,更重要的是使得校园网内部的资源得到了最大的共享,方便了各科目的教育教学。同时,基于校园网络这个平台所建设的管理信息系统和办公自动化系统等各种应用系统,极大地提高了学校的教育教学管理效率。
但是,在校园网的使用和建设中,我们享受它给我们带来的极大便利的同时也面临着很多严重的网络安全问题。这些问题,有的是看得到的甚至已经在使用的过程中彰显出来了的,有的是我们短时间内看不到的,但是却可以预见的。
总的来说,引起校园网络安全问题主要有以下几个因素:自然因素,人为因素,硬件设备因素和系统及网络服务因素。
一、自然因素
说到自然因素,大家都可以想得到的,那就是如水灾、火灾、雷击等等自然灾害。这些自然因素可以对我们的校园网设备和系统造成各种各样可大可小的损失。譬如我们的一个机房就曾因为遭受水灾损坏了几台电脑的主机,原因就是天花板出现了漏水的情况,导致水滴进入主机。所以在校园网的建设过程中一定要保证不能出现类似情况,否则损失的可能是几台电脑,也可能是整个机房。再者就是雷击,在雷雨天里,尽量切断相关网络硬件和系统设备的电源,尽量不使用电脑,以免造成不必要的损失。
以上所说的是影响我们网络安全的一些自然灾害,还有一类就是环境干扰,主要是跟电的使用有关,因为突然断电而导致整个网络服务的中断,造成数据丢失或存储设备的损坏;因为电压的不稳定而造成电脑硬件设备的损坏,这样的例子不胜枚举。带来的损失也让我们心痛不已。所以我们校园网的建设要尽量使用独立电源并能够有稳压措施。在经济允许的条件下购买相应功率的UPS电源,要给校园网的中心大脑――服务器配备一台UPS,以保证校园资源平台的正常运行。去年的时候,我校教学楼施工,结果施工单位使用了大功率的电力工具,导致教学楼的电压极不稳定,忽高忽低,进而造成几个办公室的电脑陷入瘫痪,幸而发现及时,没有造成过大的损失。由此可见,独立电源和稳定的电压对我们校园网络的建设是何等的重要。
无论是自然灾害还是环境干扰都会给我们的校园网络带来一定程度上的损失,甚至是毁灭性的损失。有的发生概率比较小,但我们不能忽视它,有的发生的概率比较大,那我们更应该给予相当程度的重视。这些因素都不是不可防范的,只要我们的措施到位,那么就可以避免安全事故的发生。如装置避雷针防止雷击,如装置稳压设备防止电压波动。
二、人为因素
说到人为因素,可能每一位网络管理人员都会苦笑。因为人为因素实在是校园网络安全面临的最大问题。因为人是使用者,使用者的素质和水平直接影响校园网络安全。
我校校园网络建设初期,人为因素主要表现在机房。由于使用者是学生,所以管理起来比较容易。只要跟同学们强调需要注意的各种事项,他们还是能够比较规范地去使用电脑。即使有个别的同学出于对电脑的好奇与探求而造成一些电脑故障也比较容易解决。
近两年来,我校在信息技术方面加大了投资,不断对校园网进行升级。不仅每个办公室配置了一定数量的电脑,还给每个教室配置了多媒体一体化设备。使得我们的校园网日趋成熟、完善。在硬件得到保证的前提下,一些以前未曾出现过的网络安全隐患也纷纷彰显出来了。具体表现在这样几个方面:
一个是各办公室的电脑使用不当造成电脑频繁出现故障。因为老师们使用电脑水平的参差不齐,所以出现的问题千奇百怪。给管理者的维护和维修工作带来了极大的不便。今天这个反映电脑不能上网了,明天那个反映WORD不能用了。当我们去维修的时候结果发现要么系统文件被删除,要么安装了形形的软件,要么中了病毒。怎样才能有效地解决这样一个问题?只有靠制度,因此在校长室的督促下,我校信息技术小组出台了《徐霞客中学教师电脑使用管理制度》。之后,办公室电脑出现故障的机率大大减少。再一个就是对老师们进行系统的培训,提高他们的使用水平。这一点,我们电教中心的工作做得非常到位。年轻教师通过模块一、二、三的学习与考试,极大提高了自身的电脑使用水平,这样不仅有助我们校园网络的管理,更有利于老师们自己的教学工作,因为信息技术与其他学科的整合是必然的趋势。
再一个就是教室里多媒体设备的使用不当造成设备不能正常使用,浪费了资源。我们的多媒体包括背投、投影仪和一台电脑,是我们校园网络的一个新的组成部分。因为对新设备的陌生,所以很多老师使用的时候不能够按照步骤去执行操作。在这样的情况下,我们信息技术组组织了多媒体设备使用的培训班。每个学期培训一到两次,直到老师们能够熟练操作为止。
第三个就是一些管理系统的用户和口令的泄漏将会给教学管理带来一些不安定的因素。比如我们的公文流转,有很多文件是任课老师不应该看到的。那我们就要做好这方面的保护措施。
今年我校校长室出台了一项文件,要求每位老师通过相应的校内培训,领取由我们信息技术小组监督制作的校级“现代教育设备操作证”。共有五张,一号证为移动存储设备的使用,合格者可以领取一张证书及一个学校配借的U盘;二号证为三个模块考试或OFFICE完全合格通过;三号证为课件的制作,要求每个老师自己独立制作一个本学科的课件,经审核合格后方可领取该证;四号证为熟练电脑基本操作、熟练进行中英文字符的输入;五号证为教室多媒体的使用,要求老师经过培训合格并能够正确使用教室多媒体即可领取该证。
我觉得这个做法很有意义,不仅提高了每位老师的操作水平,更增强了他们的进取心和责任心。
当然在一再强调别人应该如何规范使用电脑的同时,作为管理者,我们更应该严格要求自己,时刻记住自己是一个监督者、管理者,有意地进行一些破坏行为。
三、硬件设备因素
校园网络的硬件设备主要包括主机系统、工作站、个人PC、打印机、交换机、路由器等以及连接这些设备的电缆、光纤、双绞线等传输线。综合来看,硬件设备因素造成网络安全主要表现在以下几个方面:
(一)硬件设备的质量问题引起的网络安全问题
这是一个非常客观的问题。如果我们所购买的设备质量不是很过硬,那么在使用的寿命方面就不能够得到保证。对于硬件设备的质量的安全因素,主要在校园网络各种传输线路和计算机网络设备选型和购买时通过严格的对比、选择和检验来减小风险。
(二)校园网络体系结构不合理引起的网络安全问题
一个好的校园网关键在于有一个好的规划。如果没有好的规划,整个网络框架混乱,那么肯定会存在相当大的安全隐患。校园网的初期建设一般都是在电脑公司的协助下完成,而接下来的升级工作则由网络管理人员来规划,怎样使得整个网络在升级后显得依然协调、合理,是一件非常重要的事情。我们不能用加减乘除的生硬手法来改造我们的校园网,那样的升级只会让校园网整体臃肿不堪,而起到的作用并没有明显的增强。那样就跟升级这个初衷不吻合了。我们理想中的升级是使得校园网运转起来更流畅,工作起来效率更高。这一切都离不开合理的升级规划。我校早期的校园网规划就存在着不合理性,从而导致机房无法进行正常的网络教学管理。在校园网升级时我们重新调整了中心机房的位置并重新布线,这样一来,我们二楼三楼的机房都可以正常运转起来,不再存在不必要的管理工作。减少了网络安全故障的发生。
(三)硬件设备自然损坏引起的网络安全问题
硬件设备中原器件的老化将导致设备不能正常使用,线路的老化同样会影响到网络数据传输的完整性。为了减小硬件自然损坏安全因素造成的损失,在校园网建设中对于重要的硬件系统都应该有相应的备用设备,并且针对硬件系统的损坏制订有效的应急计划。
(四)硬件设备的人为破坏或盗窃引起的网络安全问题
怎样解决因为人为破坏或盗窃引起的网络安全问题?我认为可以通过机房管理、人员管理相应管理措施的制订和实施,以及对于机房、硬件设备和传输线路的安全保安措施来防范。
四、系统及网络服务因素
一个校园网络仅有硬件设备肯定是不够的,就如同我们称呼一台什么都没有安装的电脑为裸机一样。校园网的正式运转还得需要软件的激活。而软件又分为系统软件和应用软件。在这两类软件中所存在的安全因素一般来源于以下两个方面,一是软件系统本身体系结构的不安全,一是软件系统在编程过程中由于疏忽或者其他原因造成的软件臭虫而引起的安全漏洞。
没有绝对完美的软件系统,尤其是我们当前所用的操作系统更是存在着许多漏洞。虽然功能强大了,但操作系统本身也变得臃肿了。所以产生一些BUG的机率也大大增加了,更易引起系统的崩溃。
操作系统是一个平台,我们需要的文件服务、网络服务都是基于这个平台来工作的。所以它一旦崩溃,不仅会给网络管理带来麻烦,更会丢失文件、中断网络服务等。而防范这些网络安全故障发生的有效措施就是要经常备份文件,并做好系统文件的备份工作。
而网络服务同样是我们校园网不可缺少的重要组成部分,也是我们校园网络建设的主方向,它主要依靠操作系统来实现。一般的理解就是利用网络服务来访问互联网,进而查找资料。其实它所包含的内容远不止于此,我们平常所用的文件共享、打印机共享都属于网络服务,当然还包括电子邮件的收发、通过FTP实现文件的共享和传送等等。在我们开放这些服务,让用户享受了网络服务的方便性的同时,也带来了很多影响网络安全隐患。
篇10
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9416(2012)07-0163-02
学校作为培养人才的基地,愈来愈多的校园网通过专线与互联网接轨,让学校中的老师和学生可以自由到互联网上浏览、查找他们感兴趣的内容和所渴求的知识,感受网络所带来的这些丰富的信息资源,提供更广阔的学习环境。与此同时,网上的“黑客”也很可能趁机攻入学校内网,破坏校内服务器上的数据,使校园网的安全受到威胁。并且,学校对学生的网上教育和上网管理也面临着新的挑战。
1、校园网所面临的问题
1.1 内部资料库安全问题
校园网与普通企业网不同,因为一般企业网主要是“防外”,防止互联网上的黑客对内部网络的攻击,对互联网上、或者是校园网内部服务器进行攻击,主要对学校内部的某些可能存放着重要资料的服务器,诸如,存放主要给教师使用的试题库,对于学生就有着极大的诱惑力,在好奇心或者是为了满足某些单纯的心理需要,而不顾后果的对校园内部服务器进行的攻击,使学校的内部资料遭受到不必要的损失。
1.2 对学生上网的管理
学生上网的管理主要从三个方面进行管理:
(1)学生所浏览网站的限制。
(2)学生上网费用统计的问题。
(3)学生上网对热门网点的统计,及时了解学生的网上动向,有利于更一步引导学生过好网上生活。
如何才能从内、外网两方面共同建设安全、可信赖、有效的新网络呢?根据校园网全安的相关知识,网络内部的安全措施应包括:在终端设备上全面安装防病毒软件,在网络接入交换机上进行客户端的安全认证,汇聚设备上使用ACL软件防火墙技术,建立内部网络规章制度,保障内部网络的所有设备的安全可信赖。另外,在接入外部网络的入口处使用硬件防火墙设备作为防止外部网络非法的、未授权的访问,对流经的每一个数据流进行检晒,以保护整个校园网的安全。
2、安装杀毒软件
校园信息化建设极大地方便了学校的教学工作,同时也为计算机病毒的蔓延打开了方便之门。各种病毒无时无刻不在威胁着网络的安全,对于计算机网络病毒防治,只有把技术手段和管理机制紧密结合,切断病毒的传播途径,尽可能地降低感染病毒的风险;其次不要随便使用含有病毒的程序;在使用前最好先进行查杀病毒;最后建立全方位、立体化防毒反黑网络,基本原则是防杀结合、以防为主、以杀为辅、软硬互补、标本兼治。
3、网络设备安全
先是从内部网络所有设备安全出发,对网络中接入设备进行安全设置,在接入交换机的端口上,对网络中所有接入的用户进行认证和安全管理。
校园网安全中主要存在以下三个问题,一个是由于学生宿舍上网人数较多,在学生宿舍中安装网络端口,需要上网的学生可以在学校网络管理中心申请帐户。另一个是由于后来由申请账户的数目很多,有的宿舍只开通一个账户后,在端口上接一个小型路由器或交换机,宿舍中的学生就可能通过路由器或交换机上网,由于网络管理中心无法确认最终用户,给网络带来了很多不安全因素。最后一个是要为所有的交换设备控制台端口配置密码,以保证非管理员进行登录设备,修改设备配置参数。
网络设备安全部分配置如下:
(1)配置接入交换机端口的安全和最大连接数限制。
Switch(config-if-range)#switchport port-security !开启1-23端口安全端口的功能
Switch(config-if-range)#switchport port-secruity maximum 1!开启1-23端口安全地址个数为1
Switch(config-if-range)#switchport port-secruity violation shutdown!配置安全违例的处理方式为shutdown
(2)配置交换机控制台密码安全。
配置交换机登录密码
Switch(config)#enable secret level 1 0 abc
配置交换机的特权密码
Switch(config)#enable secret level 15 0 abc
(3)配置交换机端口的地址绑定。
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security mac-address 0002.3FEA.8C3F ip address 172.16.8.2!配置IP地址和MAC地址的绑定
4、网络区域安全
在校园网中,由于学生访问量较大,有的学生登录到教师办公网查看考试试卷,有的学生向学校FTP服务器上上传垃圾文件等现象。
由于教师网中的FTP服务器上存有大量的教师考试资料和教学资料,如果要禁止学生进行访问,但允许学生访问其他服务器(WWW服务器、E-mail服务器等)的话,要在网络中心交换机的接口上配置应用扩展ACL技术,如(表1)所示,在s1和s2 上分别进行相关的配置,即可满足需要。
表1 校园网部分地址规划
5、虚拟专用网VPN
目前我们所说的VPN安全技术主要是指隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
根据校园网的实际情况,简要分析、校园网专用网VPN的情况。各自都有自已的专用网,要想使这两个不同区域的部门经常进行通信,又要保证部门数据的安全,学校采用隧道虚拟专用网VPN技术。
使用遂道技术建立了新、老两个校区的专用网,其网络地址分别为172.16.0.0和192.168.0.0。新、老校区通过公用的Internet网构成一个VPN。新、老校区都有一个路由器具有合法的公网IP地址,如(图2)所示路由器R1和R2。各自路由器在和新、老校区内部网络的接口地址是新、老校区的本地地址。
6、全网络的安全
在校园网互联互通的基础上,当校园网连接到Internet上时,除了利用ACL“软”手段防范来自内部网络攻击外,还需要在网络上的关键部位,部置硬件防火墙来防范来自外部网络的攻击。
在校园网安全设备中防火墙是相对最有效的网络安全设备,它是一种综合性的技术,它涉及计算机网络技术、密码技术、安全技术、软件技术、安全协议、安全规范及操作系统等多方面内容。
参考文献
[1]韩争胜.IPv6关键技术及其网络安全研究[D].西北工业大学,2005.
[2]钟林.基于Linux平台的IPv4/IPv6校园网研究与设计[D].南京理工大学,2006.
