校园网络论文模板(10篇)

时间:2023-03-21 17:13:54

导言:作为写作爱好者,不可错过为您精心挑选的10篇校园网络论文,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。

校园网络论文

篇1

(二)有利于帮助大学生树立正确的世界观、人生观、价值观。大学阶段是人生的“黄金时期”,决定大学生成长成才的“黄金阶段”。也是大学生“三观”形成并定型的关键时期。建设一个健康向上的校园网络舆论环境,可以净化校园网络环境,弘扬社会主义主旋律,帮助大学生树立正确的世界观、人生观和价值观,培养社会主义合格建设者和可靠接班人。

(三)有利于帮助大学生提高甄别信息的能力。大学生在智商上来说都是“知识精英”。在法律概念上,大学生基本上都已经成年。但是,由于我国的教育体制以及家庭教育的影响,大部分大学生生理发育成熟了,但是心理上还没有达到与其生理年龄相适应的阶段,对于网络上良莠不齐的信息的区分甄别能力还不是很具备,很容易受到一些不良信息的影响而造成思想上的波动。建设健康向上的校园网络舆论环境,能够有效地帮助大学生提高甄别信息的能力,进而避免大学生思想误入歧途,也能够帮助大学生更好地认清社会现实,坚定大学生的理想信念。

二、辅导员在建设校园网络环境中应发挥的作用

(一)加强对大学生的教育,打造健康向上的网络舆论环境。当今时代,网络舆论环境对于大学生道德人格、文化人格的形成,对于大学生自身的成长成才都产生了巨大的影响。辅导员要适时抓住时机,按照互联网传播的规律,积极主动地去把握网络舆论的主导权,打造健康向上的网络舆论环境,营造一个积极向上,健康的校园网络舆论环境,这是加强对大学生思想行为有效引导的关键。辅导员是网络舆论环境建设的重要力量。首先,在建设健康向上的网络舆论环境过程中,辅导员要积极参与,用正确的、积极向上的观念以及理论和优秀文化占领网络舆论阵地,引导大学生主动去分析、辨别、抵制网络上的错误信息,及时信息,纠正大学生的错误认识,并且要快速解答同学们集中的疑问,澄清事实,将事情在基层就消化解决掉。其次,辅导员要重视对大学生进行网络方面的法制宣传和教育,及时将这些内容补充进思想政治教育的内容中去,加强大学生树立“以遵纪守法为荣”的观念,以形成一种健康向上的网络舆论环境氛围。

(二)加强对网络舆论环境的管理监督。网络舆论环境建设不能仅仅依靠教育学生,更重要的是要加强管理监督。学校要建立完善的校园网络管理制度,制定严格的规章,加强对于校园网络的管理。辅导员要积极配合学校的相关管理部门,按照校园网络管理办法,建立所属学生的IP地址管理库,了解学生的IP地址分配情况。配合学校加强对校园网BBS论坛、百度贴吧等相关的学生大量聚集的论坛的管理和监督,对于网络上的各种不良信息要做到及时发现、及时删除,尽可能地将网络“匿名性”的不良影响降到最低。

篇2

国际标准化组织(ISO)将网络安全[2]定义为:为数据处理系统建立相应的安全保护措施,保护运行在网络系统中的硬件、软件以及系统中的数据不被黑客更改、破坏或者泄露,从而保证了网络服务不中断,使得系统可靠安全地运行.上述网络安全的定义包含两方面内容:物理安全和逻辑安全.其中物理安全是指在构建网络系统的时候,保证物理线路能够防雷、放火、防水、防盗等,能够保证物理线路连续的进行数据传输.而逻辑安全通常指的是传输在网络上数据的信息安全,即对网络上传输信息的保密性、可用性和完整性的保护.另一方面,网络安全性的涵义也可以理解成是信息安全的一种引申,即网络安全是对网络信息的保密性、可用性和完整性提供相应的保护.概括的说,可以将网络安全定义为:为保证目前网络中运行的系统、信息数据、信道传输数据和信息内容的安全而采取相应的措施,从而保证网络中信息传输、交换以及处理的保密性、可用性、可控性、可审查性、完整性.

1.2网络安全基本特征

网络安全应具有保密性、可用性、可控性、可审查性、完整性等五个方面的特征.保密性:信息未经授权不泄露给任何用户,而且信息的特性也具有保密性,其它非授权用户、实体或过程无法利用其特征.可用性:用户经过授权后可按需使用,即授权用户当需要该信息时能否正常存取.网络环境下常见的可用性的攻击包括拒绝服务攻击、破坏网络或系统的正常运行等.可控性:对网络中传播的信息及其内容具有控制能力.可审查性:当网络中出现安全问题时可提供相应的依据与手段,便于追踪攻击源.完整性:用户未经授权不能随意改变数据的特性,即信息在保存或者传输的过程中拥有不被修改、破坏或丢失的特性,保证了信息的完整性.

2校园网建设概述及其安全威胁

随着互联网的快速普及,校园网建设已经成为学校的基础建设之一,教育信息化、数字化已经成为教育发展的主方向,校园网已成为学校日常教学、办公、科研、管理、生活主要的工具和手段之一,并发挥着越来越重要的作用[3].另一方面,随着国家科教兴国战略的实施,政府加强了对学校的投资,由此也加强了学校对校园网的建设.中国教育和科研计算机网(CER-NET)的成立,标志着教育网的形成.CERNET主干网络传输速率已达到2.5Gpbs,总容量达40Gpbs,它吸引超过1000所高校的鼎力加盟,覆盖全国超过200个城市.目前,大部分学校都已建成校园网,实现了校园网的整体覆盖,包括办公楼、教学楼、宿舍楼等.校园网同时与Internet对接,实现了校园办公教学的信息化、自动化.如图1所示,为一个简单的校园网组网模型.随着CERNET的建设不断提高,校园网已经成为互联网的重要组成部分之一,是学校信息化、数字化建设的基础设施,同时担任着科研与教学的重要任务.然而,目前国内大多数学校都缺乏对校园网建设的综合规划、缺乏相应的网络管理措施、以及对校园网络的认识不足,这些都极大阻碍了校园网的发展.因此合理地对校园网络升级,是目前学校校园网工程的首要目标之一[4].同时,校园网作为学校数字化、信息化的基础设施,安全问题不容忽视.在互联网开放程度很高的今天,校园网往往最容易成为黑客攻击的目标.威胁校园网安全的因素有很多,但主要的安全威胁有以下几类.

2.1TCP/IP协议漏洞造成的威胁

现在互联网上使用最多的协议就是TCP/IP协议了,这几乎是所有校园网采用的网络传输协议.TCP/IP协议在设计之初,就没有考虑安全问题,它只考虑如何把信息互相传输,因此存在很大的安全威胁.虽然国际标准化组织提出的OSI七层协议能够很好的保证网络安全,但是由于TCP/IP协议的开放性和通用性几乎占用了整个市场,使得OSI七层协议无法推广.所以,目前网络黑客针对TCP/IP漏洞攻击有很多,例如:数据窃听、源地址欺骗、ARP欺骗等等.

(1)数据窃听(PacketSniff).TCP/IP协议从设计之初,就采取的是数据包明码传输,这种传输模式使得数据包很容易被窃听、修改和伪造.黑客可以利用一系列工具获取网络中正在传输的数据包,窃取用户有利用价值的信息,如用户账户和密码等信息.同时,黑客也能修改和伪造数据包,让用户误入钓鱼网站或者窃取网上银行信息,给用户造成直接经济损失.特别是在校园网中,数据包流通比较集中,一旦获取了校园网服务器或管理员账号信息,将会给校园网络造成重大损失.

(2)源地址欺骗(SourceAddressSpoofing).在网络安全中,一个比较重要的安全问题就是源地址欺骗.这里的源地址,能够是IP地址,也能是MAC地址.但是MAC地址随着路由转发,信息会发生变化,而且在实际的网络系统中,也有一定的限制,改造欺骗难度比较大,所以一般的源地址欺骗是指IP地址伪造欺骗.攻击者通常伪造被攻击的主机IP地址,骗取防火墙信任,从而对校园网内部发起攻击.

(3)源路由选择欺骗(SourceRoutingSpoo-fing).在一个完整的IP数据包中,通常只包含源地址和目的地址,即路由器可以知道数据包从哪个主机发送出来,将要到达哪个主机.源路由是指数据包将会列出所要经过的路由,路由器将会根据这些指定的路由将数据包送达相应的主机,然后根据其反向路由进行应答,从而实现主机之间的通信.而源路由选择欺骗,则是攻击者通过伪造主机源路由,让数据包经过该主机必经路由,使受攻击主机出现错误判断,将某些被保护的数据提供给了攻击者.另一方面,由于路由器一般对接收到的路由信息是不经过检验的,这样就给攻击者提供便利,攻击者可以发送虚假数据包,改变某些重要数据包的传递路径,使得数据在传递到正常主机前,即可抓取分析,从而也达到攻击的目的.

(4)鉴别攻击(AuthenticationAttacks).由于TCP/IP协议还无法证明网络身份的真实有效性,因此黑客可以伪造他人合法身份入侵到网络系统或者获取密钥信息,从而达到攻击目的.

(5)ARP欺骗(AddressResolutionProtocolSpoofing).ARP即地址解析协议,作用是将网络中的IP地址转换成MAC物理地址的协议.因为在局域网中,尤其是在校园网中,使用最多的往往是MAC地址进行传输,而不是IP地址进行传输,所以ARP协议能够很快的让局域网中的两台主机进行通信.而黑客只需在局域网中进行网络监听,获取到一台主机A的节点信息(IP地址和MAC地址),就能伪造A的数据包,与B进行通信,获取有用信息.另一方面,黑客可以伪造一个不存在的MAC地址在局域网内传播,形成广播风暴,这样会造成网络不通,给局域网造成致命打击.

(6)DoS攻击(DenialofService).DoS攻击,即拒绝服务攻击,攻击者的目的是让目标主机或网络无法提供正常服务.因为TCP协议采用三次握手建立一次连接,而任何一次握手失败,则会重新发送.攻击者正是利用这一个协议漏洞,采取不断建立连接,然后丢弃该连接数据包,使得服务器处于等待状态,如果攻击者一直持续连接和丢弃的过程,则服务器和网络所有的资源会被完全消耗,导致计算机或网络无法正常工作,从而达到攻击目的.

(7)DDoS攻击(DistributedDenialofServ-ice).DDoS攻击,即分布式拒绝服务攻击,它是指攻击者借助一系列工具或手段,联合多个计算机组成攻击平台,对一个或数个目标发动DoS攻击.最基本的DoS是利用合法的服务请求,占用攻击目标主机大量服务资源,使得正常用户无法访问.然而DoS服务需要占用大量带宽,单个计算机攻击肯定无法达到攻击者想要的目标.因此网络黑客会抓取网络“肉鸡”,集合大量网络带宽,组成庞大的攻击平台,可以在瞬间让被攻击目标处于瘫痪状态.

(8)TCP序列号欺骗和攻击(TCPSequenceNumberSpoofingandAttack).黑客利用一系列工具可以伪造TCP序列号,形成一个TCP封包,对网络中可信节点进行攻击.而且最重要的是,黑客可能利用伪造的TCP封包发动SYN攻击,让服务器无法完成三次握手,造成服务器开放大量等待端口,影响正常网络访问,严重时,可直接造成服务器死机,如果该服务器是WEB服务器或者DNS服务器,那么可能导致网站主页无法链接或者校园网内部用户无法访问外部网络.

(9)ICMP攻击(InternetControlMessageProtocolAttacks).ICMP协议是Internet控制报文协议,它属于TCP/IP协议下的一个子协议,用于在IP主机和路由器之间传递控制消息.其中控制消息是指网络是否畅通、主机是否可连接、路由是否可用等一系列消息,它对数据传输有很重要的作用.而ICMP攻击是指利用操作系统ICMP的尺寸大小不得超过64KB这一规定,发动“PingofDeath”攻击,当主机ICMP数据包尺寸超过64KB时,主机会发生内存分配错误,导致TCP/IP堆栈崩溃,使得目标主机死机.虽然操作系统通过取消ICMP数据包大小限制来解决该漏洞,但是向目标主机发动持续、大规模的ICMP攻击,会消耗主机CPU、内存等资源,严重时也会导致目标主机瘫痪,无法提供正常服务.

2.2漏洞威胁

软件和操作系统是由程序员编写的,而在开发的过程中,多多少少会存在各种各样的漏洞问题,这些漏洞如果不能及时修复,将会对主机造成重大安全威胁.一旦该主机被攻破,同时也会给该主机处在的局域网中的其它机器造成威胁,情况严重时,甚至会造成整个网络瘫痪.近几年来,无论是Windows操作系统,还是Linux操作系统,的补丁数目一直持续增加.特别是Windows操作系统,在校园网内拥有的用户众多,如果没能及时修复各种漏洞,势必会影响整个校园网安全.

2.3病毒、木马威胁

近些年来,随着互联网的普及,网络上各种各样的开源软件繁多,有些开源软件打着免费的旗号,暗留后门或者对操作系统植入木马,稍不注意,就会对整个系统造成重大影响.同时,网络上黑客也会主动攻击,种植木马,抓取网络肉鸡,作为自己攻击的跳板,对互联网上其它的计算机造成严重威胁.

2.4初级黑客攻击

校园网因为自身局限性,其网络管理水平无法与企业相比,因此很容易受到网络上初级黑客的攻击,作为他们试手的目标.另外一方面,互联网出现的一系列黑客教程、黑客工具,这些教程和工具可以自由查阅和下载,加上很多黑客工具属于使用简单,这让许多初级黑客也能在一段时间内对网络造成严重的攻击.且根据心理学研究分析,很多普通攻击者往往有炫耀心理,即把校园网作为自己攻击的目标,以获取所谓的成功感,这让校园网增加更多的威胁.

3目前校园网网络建设中存在的主要安全问题

目前在校园网网络建设中主要存在的安全问题分为人为因素导致的安全问题和非人为因素导致的安全问题.

3.1人为因素导致的网络安全问题

3.1.1校园网用户数量庞大

校园网内用户量众多且处在同一个局域网中,同时,校园网内服务器数量也是别的局域网不能比拟的.用户量加上数目可观、功能强大的服务器,这些条件也吸引着互联网上众多黑客的攻击,因此存在着很大的安全隐患.

3.1.2校园网用户安全意识低

根据调查研究发现,校园网的用户大部分都安全意识不强,用户计算机整体水平偏低,有一部分校园网用户基本上不安装杀毒软件,也没能及时给系统打补丁,系统处于“裸奔”状态.这对于当今如此开放的互联网,将直接为黑客提供攻击目标.而且校园网用户极少学习相应的安全防范知识,在下载和使用软件时,基本上不考虑其风险性,这些都将会给黑客制造攻击机会,影响整个校园网安全[5].

3.1.3信息泄密

信息泄密是指将信息透漏给非授权用户,它在一定程度上破坏了计算机系统的保密性.目前,常见的信息泄密有:操作系统漏洞、流氓软件、网络监听、病毒、木马、业务流分析、网络钓鱼、电磁、物理入侵、射频截获、非法授权、计算机后门程序.

3.1.4拒绝服务攻击(DoS)

攻击者使用一切办法让被攻击计算机停止提供服务,让合法的信息或资源访问被拒绝或者严重推迟.常见的DoS攻击有:SYNFlood、IP欺骗、UDP洪水攻击、Ping洪流攻击等.

3.1.5完整性破坏

攻击者通过系统漏洞、病毒、木马、后门程序等方式破坏信息的完整性,使得信息乱码.

3.1.6网络滥用

由于授权的用户因操作或行为不当,导致网络滥用,从而导致网络安全威胁,例如非法外联、非法内联、设备滥用、业务滥用、移动风险等等.

3.2非人为因素导致的网络安全问题

网络安全除去人为因素外,很大一部分安全威胁来自安全工具和操作系统自身的局限性.其具体特征为:每一种安全工具(如:杀毒软件)都有其自身的应用范围和环境,同时安全工具受到人为因素、系统漏洞、程序BUG的影响,这些因素反而给攻击者带来了一定的便利.对于操作系统而言,没有绝对安全的操作系统,无论是微软的Windows系列操作系统,还是开源的Linux操作系统,都有存在后门或漏洞的可能.世界上没有绝对安全的操作系统,因此在搭建校园网时,要选择安全性尽可能高的操作系统,而且要随时提供校园网用户漏洞补丁下载,以及杀毒软件,保证用户系统安全性始终最高.由上所述,我们可以说网络安全问题绝大部分是由人为因素引起的.现在,国家也制定了相应的法律来保护网络安全,打击相应的网络犯罪活动.但是校园网作为一个庞大的用户群,如何防范这些网络犯罪活动显得尤为重要.我们不能等着整个网络被攻击导致瘫痪后再想着去防范,而是要在攻击之前做好准备工作,让校园网在安全中运行.

4加强校园网网络安全建设的对策和建议

加强校园网网络安全建设主要从以下几个方面来进行.

4.1应重视校园网网络的安全搭建

在校园网工程的建设中,网络系统的搭建是属于弱电工程,它的耐压值比较低.由此,在校园网工程的设计和建设中,一定要首先考虑人以及网络中物理设备的防火、防电以及防雷等安全问题;考虑网络中布线系统与通信线路、照明线路、动力线路、空气对流管道以及暖气管道之间的距离;考虑网络中物理电路的接地安全;考虑建设合理的防雷系统,保证建筑物、计算机以及其它物理设备的防雷[6].

4.2应加强校园网网络的安全维护技术

从技术层面来说,网络安全主要是由防火墙系统、入侵检测系统、病毒监测系统等多个安全组件组成,单独的一个组件是无法保证当前网络信息安全的.最早的网络安全技术是采用边界阈值控制法,即通过对网络边界的数据包进行监测,符合规定的数据包可通过,不符合规定的数据包就抛弃,这种方式在一定程度上能阻止对网络的入侵和攻击,但是不能有效防止网络攻击.目前,应用比较广泛的网络安全基本技术有:防火墙技术、防病毒技术、数据加密技术等.防火墙[7]指的是一个由硬件和软件混合组成的设备,用于将内部网络和外部网络隔离起来,建立一层安全保护屏障,它是一种隔离控制技术.常见的防火墙有包过滤技术、技术、状态监测技术等.相对于防火墙来说,防病毒技术将是从计算机网络内部进行防控,主要预防病毒程序、后门程序、网络监听等.目前采取比较多的防病毒手段是对系统进行监听,阻止不合规定进程.而且防病毒技术永远是滞后性的,即防病毒工具一直在病毒出现后才能组织.现在的防病毒技术和云平台技术结合,已经对病毒起到了一定的控制作用.相对前面两种技术来说,数据加密技术就比较灵活了.可以将用户的信息经过加密后,再在网络上传输,及时数据被黑客截获,没有有效的密钥,数据对黑客来说也只是一堆无效数据而已.在开放的互联网平台,数据加密能够有效的保证了用户的隐私以及数据的安全[8].

4.3应建立科学的校园网网络管理人员岗位职责

计算机网络安全绝大部分是人为因素引起的.因此在校园网搭建过程中,关于对计算机系统管理员的培训及管理,是校园网网络安全中最重要的一部分.一个不合理的操作,很有可能让整个网络系统瘫痪,因此必须建立健全管理规范,明确管理员责任和权利.同时,要记录管理员操作信息,当发现不合规定的记录时,可以及时分析,如果发现黑客入侵,则及时采取必要措施杜绝黑客进一步入侵,必要时需向当地公安机关报案,减少学校损失.另外一方面,建立健全的管理制度以及严格的管理模式,可以保证校园网的正常、安全运行.总而言之,网络安全涉及的领域很多,是一个综合性的问题.只有合理的运用相关技术以及人员培训,才能尽最大可能的把安全威胁降到最低.

篇3

网络系统的可用性是指计算机网络系统要随时随地能够为用户服务,要保障合法用户能够访问到想要浏览的网络信息,不会出现拒绝合法用户的服务要求和非合法用户滥用的现象。计算机网络系统最重要的功能就是为合法用户提供多方面的、随时随地的网络服务。

1.2完整性

网络系统的完整性是指网络信息在传输过程中不能因为任何原因,发生网络信掺入、重放、伪造、修改、删除等破坏现象[1],影响网络信息的完整性。通过信息攻击、网络病毒、人为攻击、误码、设备故障等原因都会造成网络信息完整性的破坏。

1.3保密性

网络系统的保密性是指网络系统要保证用户信息不能发生泄露,主要体现在网络系统的可用性和可靠性,是网络系统安全的重要指标。保密性不同于完整性,完整性强调的是网络信息不能被破坏,保密性是指防止网络信息的发生泄露[2]。

1.4真实性

网络系统的真实性是指网络用户对网络系统操作的不可抵赖性,任何用户都不能抵赖或者否定曾经对网络系统的承诺和操作。

1.5可靠性

网络系统的可靠性是指系统的安全稳定运行,网络系统要在一定的时间和条件下稳定的完成网络用户指定的任务和功能,网络系统的可靠性是网络安全最基本的要求。

1.6可控性

网络系统的可控性是指网络系统可以控制和调整网络信息传播方式和传播内容的能力,为了保障国家和广大人民的利益,为正常的社会管理秩序,网络系统管理者有必要对网络信息进行适当的监督和控制,避免外地侵犯和社会犯罪,维护网络安全。

2网络安全技术在校园网中的应用

2.1防火墙

防火墙是指管理校园网和外界互联网之间用户访问权限的软件和硬件的组合设备[3],防火墙处于校园网和外界互联网之间的通道中,能够有效地阻断来自外界的病毒和非法访问,能够有效地提高校园网的网络安全。防火墙可以有效拦截来自外界的不安全的访问服务,同时还可以对防火墙进行设置,屏蔽有危害、不健康的网络网站,降低校园网的安全危害。另外防火墙还可以有效地监控用户对校园网的访问,记录用户的访问记录,保存到网络数据库中,可以快速统计校园网的使用情况,在分析用户访问记录如果发现用户的操作存在安全问题,防火墙可以及时发出报警信号,提醒用户的这个非法操作,防止校园网内部信息的泄露、另外,防火墙可以和NAT技术高效地结合起来,用于隐藏校园网的网络结构信息,提高校园网的安全系数,同时防火墙和NAT技术的高效结合很好地解决了校园网IP不足的情况,提高了校园网的运行效率。防火墙在校园网中的应用,完善了校园网内部的网络隔断,即使校园网发生安全问题,也可以在短时间内控制问题扩散的速度和范围。防火墙在校园网中发挥着重要的作用,能够有效地阻断来自外界互联网的安全侵害,但是防火墙不能阻止校园网内部的安全问题,不能拒绝和控制校园网内部的感染病毒。

2.2VPN技术

VPN技术在校园网的应用,通过VPN设备将校内局域网和外部的互联网连接起来,可以提高校园网的数据安全。VPN服务器经过设置后,只有符合相应条件的用户经过连接VPN服务器才能获得访问特定网络信息的权限,拒绝校园网内用户的危险操作。VPN技术可以实现用户验证,通过验证校内网用户的身份,只有符合条件的授权用户才能连接到VPN服务器,进行相关访问。其次实现校园网数据加密,VPN技术可以将通过互联网通道传输的数据进行加密,只有经过授权的用户才能访问这些信息。再次实现校园网密钥管理,通过生成校园网和互联网的基本协议,提高校园网的可靠性。并且VPN技术在校园网中的应用不需要安装VPN的客户端设备,降低了校园网安全管理的成本。通过VPN技术,校园网络管理员可以对校园网内用户的操作进行实时监控,及时发现校园网络故障点,进行远程维护,提高校园网维护管理能力。

2.3入侵检测技术

入侵检测技术在校园网中的应用,可以检测校园网络中一些不安全的网络操作行为,一旦检测到网络系统中的一些异常现象和未授权的网络操作,就会发出网络报警信号。入侵检测技术可以自动分析校园网络的用户活动,检测出校园网中授权用户的非法使用和未授权用户的越权使用[4]。入侵检测技术还可以监控校园网络系统的配置情况,检测出系统安全漏洞,提醒校园网络管理人员及时进行维护。另外,入侵检测技术在识别网络攻击和网络威胁方面具有重要的作用,可以及时发出报警信号,并且拒绝和处理网络攻击入侵行为,结合发现的网络攻击模式,检测校园网系统结构是否存在安全漏洞,提高校园网的数据完整性,进行系统评估。

2.4访问控制技术

访问控制技术主要是用来控制校园网用户的非法访问和非法操作,用户想要进入校园网,首先要通过访问控制,经过验证识别用用户口令、户名、密码等,确定该用户是否具有访问校园网的权限,当用户进入校园网后,就会赋予用户访问操作权限,使校园网络资源不会被未授权用户非法使用和非法访问。

2.5网络数据恢复和备份技术

校园网中的网络数据恢复和备份技术,可以防止校园网信息数据丢失,保护校园网重要信息资源。网络数据恢复和备份技术可以实现集中式的网络信息资源管理,对整个校园网系统中的信息资源进行备份管理,可以极大地提高校园网管理员的工作效率,实现网络资源的统一管理,利用网络备份设备实时监控校园网络中的备份作业,结合校园网的运行情况,及时修改网络备份策略[5],提高系统备份效率。校园网管理员可以利用网络数据恢复和备份技术,定时对网络数据库中的数据进行备份,这是网络管理重要环节。校园网的备份系统可以在用户进行校园网访问时,建立在线网络索引,当用户需要恢复网络信息时,通过在线网络索引中的备份系统就可以自动恢复网络数据文件。网络数据恢复和备份技术实现了校园网络的归档管理,通过时间定期和项目管理对网络信息数据进行归档管理,在网络环境建立统一的数据备份和储存格式,使所有网络信息数据在统一格式中完成长时间的保存[6]。

2.6灾难恢复技术

校园网中的灾难恢复主要包括两类:个别数据文件的恢复和所有信息数据的恢复。当校园网中的个别数据文件恢复可以利用网络中备份系统完成个别受损数据文件的恢复,校园网络管理员可以浏览目录或者数据库,触动受损数据文件的恢复功能,系统会自动加载存储软件,恢复受损文件。所有信息数据的恢复主要应用在当发生意外灾难时导致整个校园网系统重组、系统升级、系统崩溃和信息数据丢失等情况。

篇4

1.2可控性可控性指的是,网络系统自身具备对于网络信息的传播和内容的审核具备控制和调整的能力,因为出于国家安全,社会公共管理秩序的需求,有必要对于网络上的信息进行控制和调整,以确保公民和国家的信息安全和保障。尤其是这对网络中实行的社会犯罪,情报收集,信息窃取等都需要对网络的信息进行严格的管理和控制。

2网络安全技术在校园网络中的运用

2.1防火墙技术所谓防火墙技术,指的就是校园网络针对网络所设置的权限和用户访问权限的所有的硬件和软件的总和,可以视为是内部网络和外部网络之间的保护性防御设置,其最为根本的功能就是,针对一些非法的访问和登陆进行有效的阻断和隔离,是校园网络安全性的基本保障措施和功能。其主要体现在,防火墙可以针对外网的一些具有不安全性的用户访问进行识别和拒绝隔断,同时采取调整防火墙的安全等级,还可以对一些具有危害性的信息和内容进行屏蔽和阻断,尤其是识别网络上安全性较低的网路时,能够主动提出警报,并组织用户访问这些危险性的网站,减少了病毒的传播和入侵。同时还可以对于外网访问校园网络的信息进行登记和备份,以便于针对访问信息的统计和监控。这样在日后的数据分析过程中,能够有效发现系统中存在的漏洞,尤其是发现用户的操作存在非法性,时,能够及时并主动对其进行提醒和警报。如果校园网络防火墙技术和NAT技术有效地结合起来,还能够对于校园网络的结构性进行隐蔽,大大增强了网络系统的安全性,并且这种结合能够非常有效地解决校园网络中,用户群较大,IP不足的问题,极大地提升了校园网络的使用效率和通畅性。

2.2VPN技术VPN技术的运用,能够在校内用户和校外网络连接的过程中,形成一道安全监测的通道,那些只有符合设定的目标用户,才能够通过通路进行顺利的访问和登陆,其余的非法登陆和连接都会被视为非法操作而进行阻断,这样能够大大提升校园网络的安全性,同时对校内用户的危险性操作也做出了控制和规范。该技术可以通过校内的验证码技术、登陆用户验证等技术来区分有资格的用户身份,将具备资格的用户和非法用户区分开来再连接到服务器,并采用信息加密技术,有效地保证了通过验证的用户信息的安全性和完整性,实现了校园网的密匙管理。

2.3发现入侵的检测技术该技术的运用,对于校园网络的安全性具有非常重大的意义,尤其是对于校园网路中的一些不规范,非法的操作行为进行检测,一旦发现之后及时发出网络警报,并对其危险的操作做出网络分析,检测出用户在未授权的情况下所进行的越权操作行为,并及时对其进行控制和终止。同时,对于系统中的漏洞进行进行的提醒和备注,以便于网络维护人员及时对网络漏洞进行修改,因此入侵的检测技术对于网络的安全性而言,具有非常主动的防御功能。它对于维护校园网络数据的稳定性和安全性,都具有非常重要的意义。

2.4控制访问技术该技术的运用,主要是针对采取非法性的操作和访问,一般而言,用户需要登录校园网,首先需要登录校园网的访问控制台,经过正确的口令登录和识别之后才能获得相应的访问权限和身份。一旦登录输入不正确或者不具备登录资格,将被拒绝访问,因此那些不具备资格的非法访问用户都不会获得相应的授权和进入访问入口。

2.5数据恢复和备份技术该技术的运用,一般是对校园网络信息安全性的事后保障和后期安全性保障,一旦发生了网络安全性事件,校园网络系统受到了入侵,信息受到了删除或者篡改,可以调用系统自卑的数据恢复功能来对数据进行数据的恢复,但是数据的恢复是基于数据被定期备份在数据库中的。因此,校园网络的管理员可以定期对校园网络中的信息数据进行备份,并在数据库中建立索引,一旦有需要恢复的时候,可以及时按照所需的索引来快速查找到所需要回复的信息内容。这种归档的数据处理模式能够保证校园网络的数据信息在一段的时间内的完整性和自我修复能力,是校园网络安全性的有效保障。

篇5

2校园网络安全总体设计思路

针对于校园网网络运行的基本需求,对于校园网络安全进行规划设计,并且在此基础上构建完善的校园安全体系结构,是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求,还要对于可能出现的安全问题进行预警,以保证设计体系的合理性和科学性。具体来讲,其主要设计到以下内容:其一,以独立的VLAN,MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理,可以保证数据传输的安全等级达到最佳水平;其二,以网络安全检测子系统的构建,并在校园网中WWW服务器和Email服务器进行应用,在此基础上对于网络传输内容进行监督和管理,并且形成相应的数据库,避免非法内容进入校园网;其三,针对于安全需求,设置相应的安全防火墙,以双机设备方式去运行,实现防火墙子系统的构建;其三,基于控制中西和探测引擎技术构建入侵检测子系统体系,对于入侵行为进行监督和管理,并且将其屏蔽在网络安全范围之外;其四,全面升级网络系统的防毒系统,实现对于客户端PC机器的安全控制,形成统一的防毒服务器;其五,建立有效的漏洞扫描系统,实现自动修复和检查漏洞,保证补丁工作的全面开展;其六,针对于校园内部的侵袭行为,可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高;其七,建立健全完善的校园网安全运行管理制度体系,为开展一切安全管理工作打下基础。

3整体构建校园网络安全体系的实现途径

校园网络安全体系涉及到多方面的内容,一般情况下会将其归结为物理层,链路层,网络层,应用层等几个方面。

3.1物理层安全体系实现途径物理层的安全性能主要针对于线路的破坏,线路的窃听,物理通路的干扰等安全缺陷问题。对此,需要做好以下工作:其一,采用双网结构作为拓扑网络结构方式,内外网使用不同的服务器,实现不同信道的运行,使得信息处于不同的高度路上运转,不仅仅可以营造安全的运行状态,还可以使得系统运行压力降低;其二,以双网物理隔离的方式去实现内外网布线系统的构建,从根本上杜绝了黑客入侵的可能性,同时还合理设置,避免出现内外网同时使用的情况。

3.2链路层安全体系实现途径链路层安全体系构建是保证网络链路传送数据安全性为根本性目的,主要使用的技术手段有局域网和加密通讯手段。具体来讲,其一,在交换机配置端口安全选项中,尽量将CAM表进行淹没;其二,在中继端口实现VLANID的专业化设置,保证端口设置成为非中继模式;其三,进行MAC地址绑定设置,避免出现IP地址被盗用。

3.3网络层安全体系实现途径网络层安全体系构建,主要是保证网络时能给授予权限的客户使用,避免出现拦截或者监听的情况。为了实现这样的目标,应该从以下几个角度入手:其一,设置硬件防火墙,运行访问控制技术程序,一旦遇到安全问题,使得其处于隔离状态;其二,网络入侵检测系统IDS的使用,能够对于网络入侵行为进行监督,由此构建起来第二道安全闸门;其三,在路由交换设备上进行安全技术应用,如VPN技术,加密机制及时,审计和监控技术等,都是其重要内容。

3.4应用层安全体系的实现途径对于应用层来讲,其安全体系的构建需要做到以下几点:其一,建立网络病毒防火墙,避免内外病毒对于网络文件系统的破坏;其二,设置服务器,尽可能的保护自己的IP地址;其三,构建操作系统补丁自动分发系统,保证能够及时的进行安全漏洞的修复;其四,积极开展认证和授权管理工作,对于多重身份认证和用户角色授权进行审计,以保证系统的安全性。

篇6

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。

一、校园网络安全现状分析

(一)网络安全设施配备不够

学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。

(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善

学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。

(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”

大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。

(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失

网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。

综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。

二、校园网络的主要防范措施

(一)服务器

学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。

(二)防火墙

防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。

(三)防治网络病毒

校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。

(四)口令加密和访问控制

校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。

(五)VLAN(虚拟局域网)技术

VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。

(六)系统备份和数据备份

虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。

(七)入侵检测系统(IntrusionDetectionSystem,IDS)

IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。

(八)增强网络安全意识、健全学校统一规范管理制度

根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。

三、结论

校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。

参考文献:

1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.

2、张公忠.现代网络技术教程[M].清华大学出版社,2004.

3、刘清山.网络安全措施[M].电子工业出版社,2000.

4、谢希仁.计算机网络[M].大连理工大学出版社,2000.

5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).

篇7

2实用性要强

校园网面向的用户决定了校园网必须具备很强的实用性。只有一个便于管理、维护的实用性网络,才可减少网络用户运用网络的难度,从而降低人为操作引起的网络故障,并可使更多的人发挥校园网的各种功能。根据该校的实际情况,建网时应考虑充分利用智能化校园网系统的功能,在先进性和可靠性及高性价比的前提下,通过优化设计和管理达到经济性的目标。不降低智能化校园网系统的功能与技术先进性,以满足信息时代的需要。

3校园网络管理策略

随着计算机多媒体和网络技术的不断发展与普及,,校园网的稳定安全和网络瓶颈等问题给校园网的管理增添了更大的难度。因此,必须有一套系统地分析和管理校园网的思路与对策。以下将从该校校园网的具体需求出发,针对设备、用户、管理者自身提高以及安全等四个方面谈一下相关的校园网管理策略。

3.1设备管理策略

设备安全是校园网网络运行安全的首要环节。所以,网络设备管理一定要综合统筹规划。要加强网络管理员对网络设备的管理,而网络设备是整个网络管理中的重点,以下就从设备购置、设备配置以及设备维护三个方面进行说明。首先在设备购置的时候,一定要利用目前成熟的技术和产品,并在此基础上考虑超前性,保证在五至十年内所建成的网络能满足进一步的需求并且不会落后于时代。为了使设备能进行灵活配置并且能降低以后的维护工作量和维护费用,尽量统一配置设备的规格和型号,这样设备之间的兼容性相对较好,以后在更换设备的时候,可以避免设备不兼容的现象发生。在设备购置时还要考虑如何避免大面积出现老化的问题,这就要求学校在采购或更换网络设备的时候一定要避免一次性购买大量同种设备。其次在设备配置过程中要求网络管理员通过配置网络设备,例如:交换机、路由器等,在校园网中实现VLAN的划分、端口监控、控制网络流量以及防止外部攻击等功能。另外,管理员在配置网络设备的过程中尽量通过命令行来进行配置而不是通过WEB界面来管理网络设备,这样能提高网络设备管理的安全性。最后在设备的维护过程中,要建立一套完善的《网络设备检测维护制度》,并要求网络管理人员严格按照《网络设备检测维护制度》定期对网络设备的硬件和软件系统进行检测和维护,在检测和维护过程员一旦发现问题,一定要及时处理,并将检测、维护及处理的相关记录通过纸质和电子存档,同时要严格保证网络设备运行的工作环境。

3.2用户管理策略

在网络管理中,要注重对用户的管理,通过用户管理可以规定用户使用校园网的方式,控制和统计用户使用校园网的过程,确保用户能正常使用校园网。目前,用户管理主要有两种技术:一是地址绑定技术,通过给每台接入校园网的计算机分配一个固定的IP地址,把这个IP地址和合法用户的计算机网卡的MAC地址绑定后,实现用户与IP地址逻辑绑定,同时通过网络交换机端口与用户信息点的物理绑定完成全法用户的地址绑定。二是用户认证技术,每个校园网用户需要申请一个帐号,同时对这些帐号进行分级分权限管理,并授予用户一定的访问与操作权限、分配不同级别的资源给不同的用户;当用户离岗、离职时应及时变更或删除用户及权限,保证网络信息系统安全。做为校园网管理,考虑到其的灵活性和方便性,建议最好采用用户认证技术,当然对一些特殊的人员和部门也可以采用地址绑定技术。

3.3安全管理策略

校园网的安全威胁既有来自校内的,也有来自校外的。目前校园网的安全问题有其历史原因:在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普通存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网和互联网之间放一个硬件防墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。所以对于校园网来说,如何构筑一个相对安全可靠的校园网络安全体系,也变得越来越突出了,而要构筑一个相对安全可靠的校园网络体系,要从两个方面着手:一是采用先进的技术手段;二是不断改进和完善管理方法。

3.4管理员自身提升策略

不断提升网络管理人员的能力是网络管理的根本之道,现在的网络管理对管理员也提出了新的要求,要求他们不但要设备的维护能力还要具备一定网络管理能力,这就对网络管理员的技术水平有了较高的要求。另外,由于计算机网络技术的更新日新月异,网络管理员要不断地学习先进的知识和技术才能应对越来越复杂的校园网需求。这就要求管理员在平时工作的过程中一定要加强自身专业水平的提升,不断研究新的网络技术,真正做到“活到老,学到老”。最后,学校也要定期派相关的管理人员进行有针对性的培训。

4网络管理具体实施措施

4.1安装查杀病毒服务器

校园网络安装查杀病毒服务器,其目的在于:要在整个局域网内杜绝病毒的感染、传播和发作。为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。该校目前采用的是金山毒霸网络版7.0,该软件采用了业界主流的B/S开发模式,由控管中心、服务器端和客户机端三个相互关联的子系统组成了防病毒体系,并且具有强大的病毒查杀能力、双向过滤邮件病毒、实时监测病毒、快速可定制的安装部署、可移动的Web管理平台等功能,能够有效拦截和清除泛滥的各种网络病毒。目前该杀毒软件已在该校园使用了近三年时间了,教师和学生对该软件的反映都比较好。

4.2采用VLAN技术

VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。划分VLAN后,由于广播域的缩小,网络中广播包所消耗的带宽减少,有助于控制广播风暴的产生、减少设备投资、简化网络管理、提高网络的性能和安全性。该校目前的VLAN的划分大致是按功能区进行划分的,学校共划分了15个VLAN,并对每一个VLAN的流量进行了控制。该校在进行VLAN划分的时候采用的是基于端口划分的VLAN。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。

4.3安装硬件防火墙

互联网攻击者威胁着校园网络中基础设施和数据资源的安全。而多数网络地址必须转换成可在互联网上路由的地址,防火墙即是执行此功能的逻辑地点。目前,防火墙安全性已成为每个互联网边缘部署的必要组成部分,因为它在保护信息的同时也可满足企业对安全可靠的网络的需求,同时还能够通过执行策略来保持员工的工作效率。目前该校校园网使用的是CiscoASA5525-X防火墙,该防火墙设计采用了单个互联网连接,在同一对提供防火墙功能的CiscoASA中集成了远程接入VPN功能。防火墙拓扑图如图2所示。

4.4安装入侵检测系统

入侵检测系统(IDS)是防火墙的合理补充,帮助系统对付网络攻击。它扩展了网络管理员的安全管理能力,提高了信息安全基础结构的完整性。目前该校网络管理中安装了“萨客嘶入侵检测系统v1.0”,该系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的实时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和阻止入侵。它具有以下主要功能:入侵检测及防御功能、行为审计功能、流量统计功能、策略自定义功能、警报响应功能、IP碎片重组、TCP状态跟踪及流重组等。目前该软件在该校的网络安全防护中发挥着重要作用。

4.5定期进行漏洞扫描

随着软件规模的不断增大。系统中的安全漏洞或“后门”也不可避免地存在。因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。在进行漏洞扫描是要注意两个方面,一是定期安装各操作系统的补丁程序,在这一点上,该校的做法是,一旦有操作系统的补丁程序更新,首先在学校中心机房的服务器上安装,并把该补丁程序上传到学校的FTP服务器上;然后再通过该校的OA软件,告知教师和各实训室的管理人员安装最新补丁程序。另一方面,在学校中心机房的服务器上安装漏洞扫描程序,要求网络管理员每天都要运行漏洞扫描程序。该校现在使用的漏洞扫描程序是ShadowSecurityScannerv7.347。

4.6服务器数据备份

大家都知道,网络中心的数据备份是非常必要和重要的,因为通过数据备份可以保障网络中心数据的安全,防止网络中心数据的丢失。在该校的校园络管理中数据备份主要从以下两个方面来进行:一是通过制定数据备份规则和程序,在该校园网络管理中,为数据备份制定了一套详细的备份规则和程序,具体包括了:什么时间进行备份(每隔一个星期)、什么内容需要备份(全部数据备份)、谁负责进行备份(网络管理员)、谁可以访问备份内容(网络管理员以及相应有权限的人员)等等。二是通过一些技术手段,现在常用的技术手段有磁盘阵列(RAID)、硬盘保护卡以及一些数据备份软件(Ghost)。现在中心机房主要是采用的是磁盘阵列来实现数据备份,教师机主要是通过Ghost软件来实现数据备份,而各实训机房的计算机是通过硬盘保护卡+Ghost软件来实现数据备份。正是因为严格遵循数据备份的规则和程序,再加上灵活地利用各种先进的数据备份的技术,该校网络中心从未出现过丢失数据的现象。

4.7用户管理方法

为加强校园网管理,完善校园网运行和使用规范,确保校园网安全和稳定运行,为学校的教学、科研、管理、服务营造良好的校园网应用环境,维护校园网用户的合法权益,并结合国家有关法律法规和学校相关规定,该校采用了以下用户管理方法,主要是从用户账号分类和上网认证方式两方面进行管理的。

篇8

一、校园网络安全隐患综合分析

1.物理层的安全问题

校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。

物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。物理安全是制订校园网安全解决方案时首先应考虑的问题。

2.系统和应用软件存在的漏洞威胁

在校园网中使用的操作系统和应用软件千差万别,这些威胁,而且网络用户滥用某些共享软件也会导致计算机可能成为黑客攻击校园网的后门。

3.计算机病毒入侵和黑客攻击

计算机病毒是校园网安全最大的威胁因素,有着巨大的破坏性。尤其是通过计算机网络传播的病毒,其传播速度快、影响大、杀毒难等都不是单机病毒所能相比的。校园网在接入Internet后,便面临着内部和外部黑客双重攻击的危险,尤以内部攻击为主。由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生,学校不能有效的规范和约束学生的上网行为,学生会经常的监听或扫描学校网络,因此来自内部的安全威胁更难应付。

4.内部用户滥用网络资源

校园网内部用户对校园网资源的滥用,有的校园网用户利用校园网资源提供视频、音频、软件等资源下载,占用了大量的网络带宽。特别是近几年兴起的BT、电骡等的泛滥使用占用了大量的网络带宽,给正常的校园网应用带来了极大的威胁。

二、采取安全控制策略

1.硬件安全策略

硬件安全是网络安全最重要的部分,要保证校园网络正常,首先要保证硬件能够正常使用。通常情况下可采取的措施主要有:减少自然灾害(如火灾、水灾、地震等)对计算机硬件及软件资源的破坏,减少外界环境(如温度、湿度、灰尘、供电系统、外界强电磁干扰等)对网络信息系统运行可靠性造成的不良影响。

2.访问控制策略

访问控制方面的策略任务是保证网络资源不被非法使用或访问。包括入侵监测控制策略、服务器访问控制策略、防火墙控制策略等多个方面的内容。

(1)防火墙控制策略

防火墙控制策略维护网络安全最重要的手段。防火墙是具有网络安全功能的路由器,对网络提供的服务和访问定义,并实现更大的安全策略。它通常用来保护内部网络不受来自外部的非法或非授权侵入的逻辑装置。

(2)入侵监测控制策略

入侵监测控制策略就是使用入侵监测系统对网络进行监测。入侵检测系统(IntrusionDetectionSystems)专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

(3)服务器访问控制策略

服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。另外对用户和账户进行必要的权限设置。一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。二是取消默认账户不需要的权限选择合适的账户连接到数据库。

3.病毒防护策略

病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。那么建立统一的整体网络病毒防范体系是对校园网络整体有效防护的解决办法。

4.不良信息的防护策略

Internet上存在大量的不良信息,校园网络因为Internet连接,学生有可能无意中接触这些信息而在校园网上传播,造成恶劣的影响。可以安装非法信息过滤系统,设置非法IP过滤和非法字段过滤有效屏蔽Internet上的不良信息。

5.建立安全评估策略

校园网络安全不能仅仅依靠防火墙和其他网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。使用安全评估工具是进行安全评估的一种手段,可以对各方面进行检测和反馈信息收集,进而制定策略。

三、结束语

高校校园网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了高校校园的网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。

参考文献:

[1]KurousJF,KeithW.RossComputerNetworking[M].HigherEducationPressPearson,2003.653-657.

[2]张武军,李雪安.高校校园网安全整体解决方式研究[J].电子科技,2006,(3):64-67.

篇9

二、黑客入侵校园网的切入点

黑客入侵校园网往往是选择网站管理比较薄弱的环节,具体可以有以下几种侵入方式:

2.1硬件部分的切入

黑客入侵指的是一些拥有较高的计算机技术员,通过非法的方法和途径入侵他人的网站,修改或盗取信息。获取计算机信息的一个途径可以通过电脑硬件来实现,例如,以计算机的传输线路以及端口等信息的传输设备为切入点,以电磁屏蔽为切入点,以电话线为切入点。黑客利用这些突破点配合通信技术,对信息进行非法的窃取、上传非法信息以及清空网盘的数据,还会通过端口来置入病毒,利用U盘的插口来实现入侵,对计算机系统进行攻击,以达到破坏网络正常运转的目的。

2.2软件部分的切入

对网络系统而言,由于其本身就具有脆弱的可靠性和监控性,在其认证时的缺陷以及局域网与的不可控性,造成了网络安全的薄弱性。由于部分软件开发商只顾追求自身利益而缺乏对软件安全性的构建,大部分的软件都存在着不同程度的漏洞,在进行路由选择时发生错误,不同的使用者进行通信时路径被阻断或更换。有的黑客则利用木马等病毒人为的破坏学校网络系统,通过对信息传递时的内存将没有防范的信息传递到其他的终端上面。另一方面,由于网络链接的广泛性,致使在点击学校网络的同时与外界网络连接时,就非常容易成为黑客的切入点。由于在网络上面我们就可以下载一些盗取信息的工具,在一定程度上增加了黑客的数量,而学校的网络建设中缺乏安全防范措施的建立,在学校网络中多为一些应用软件的设置,这也就使得学校的网络系统容易被侵入,对学校网络产生破坏。

2.3管理人员的切入

在学校的网络安全管理中,由于管理人员素质差异,被黑客选作了一个切入点。大部分学校的网络安全管理人员往往因学校的不重视而只是随便的选择一个懂点计算机的人就算完成,而这部分人因为缺乏专业的学习和培训,致使其在工作中没有保密的意识,对打印等设备也没有进行严格的限制性使用。有的管理员,则由于其对计算机技术掌握程度不高,在某一操作中出现错误,从而造成了信息的丢失或是泄露。还有部分管理员则为一己私利主动进行信息的泄露,对网络系统造成了破坏,如四六级英语考试的题目泄露事件等。

三、黑客入侵的防范措施

3.1构建优良的学校网络系统

在我们进行学习网络建设时,要注重网络安全性的建设。在系统设计构建时,要确保网络系统的完整性,建设两级以上网络结构。在学校的网络系统中,设置一个主网络中心,构建安全有效的认证环节,保证学校网络信息流通都要进行认证通道才能通过。在这部分的建设中,可以用光纤将网络中心的信息传递到教室或办公室中,然后再设置一个分节点,通过交换机将大楼的每一个用户连接起来。在主机的电源设置中,要建设备用电源,在停电时确保主机的正常运转。在完成整个网络系统的构建之后,要对计算机硬件进行安全性的验证,对连接线的短路等问题进行排除,确保各个物理硬件是安全有效的。

3.2完善网络安全管理体系

首先,要加强对网络安全管理作用的宣传,让每一个使用者都认识到网络安全管理的重要性。可以通过讲座培训或者计算机课程讲解一些简单的网络安全防范措施,动员每一个人都参与到学校的网络安全管理中。引导学生自动的屏蔽一些不良网站信息,鼓励学生发现一些软件的漏洞,如在使用某软件就出现了账号被盗等情况。其次,要加强网络中心的管理。对于网络中心的管理,要积极建设防范系统,加强防火墙的稳定性,要选择专业人员,确保制度的落地。对网络中心要做到禁止任何无关人员的进入,不能随意的关闭和启动不断电系统,保证交换机不被任何人碰触。管理人员还要定期的对网络中心进行清洁,保证机房的干燥和清洁。作为管理人员还需要时刻保证计算机技术的学习,能够及时处理出现的网络安全问题。

篇10

随着网络技术的不断发展和Internet的日益普及,许多学校都建立了校园网络并投入使用,这无疑对加快信息处理,提高工作效率,减轻劳动强度,实现资源共享都起到了无法估量的作用。但教师和学生在使用校园网络的同时却忽略了网络安全问题,登陆了一些非法网站和使用了带病毒的软件,导致了校园计算机系统的崩溃,给计算机教师带来了大量的工作负担,也严重影响了校园网的正常运行。所以在积极发展办公自动化、实现资源共享的同时,教师和学生都应加强对校园网络的安全重视。正如人们经常所说的:网络的生命在于其安全性。因此,如何在现有的条件下,如何搞好网络的安全,就成了校园网络管理人员的一个重要课题。

作为一位中学电脑教师兼负着校园网络的维护和管理,我们一起来探讨一下校园网络安全技术。

网络安全主要是网络信息系统的安全性,包括系统安全、网络运行安全和内部网络安全。

一、系统安全

系统安全包括主机和服务器的运行安全,主要措施有反病毒。入侵检测、审计分析等技术。

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

参考文献