校园网络安全管理方案范文

时间:2024-03-05 18:08:48

导语:如何才能写好一篇校园网络安全管理方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

校园网络安全管理方案

篇1

校园网作为因特网的重要组成部分,为教学提供了极大的方便。由于管理和使用等因素,校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏,另外黑客攻击是校园网系统的主要安全影响因素。近年来,随着网络技术的发达,木马安装程序也越来越精密,不但影响公共网络,也给校园网的安全带来极大的冲击。学生作为主要操作者,缺乏专业的技术,因此容易出现操作失误现象。另外,学生的好奇心会导致系IP被修改,或者进入不安全网页,导致计算机系统被病毒侵害。另外,校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善,将导致操作系统存在致命的安全隐患,这需要检修人员和技术人员及时发现并对其进行处理,以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降,出现安全漏洞,影响计算机的使用寿命。从这一点上,确保操作系统的信息安全是管理者的重要任务。但在校园网管理上,由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响,管理安全隐患十分明显。目前,校园网安全管理依然是人在管理,管理效率低下的主要原因在于管理人员的综合素质不高,管理制度不明确。要解决这一问题,就需要对校园网管理制度进行调整。

2校园网络安全防范设计方案

为了提高校园网的安全系数,应建立可靠的拓扑结构,其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:

2.1利用备份链路优化校园网的容错能力

备份链路的使用可有效提高网络的容错能力,降低安全风险。主要应用于路由器同系统核心交换机之间,其作用在于对学生连接的外网进行检验和排查,控制非法连接,从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术,从而确保链路之间的备份,提高交换带宽。

2.2计算机防火墙的合理应用

计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立,可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL,对通过防火墙的数据信息进行检测,处理存在安全隐患的信息,禁止其通过,这一原理使得防火墙具有安装方便,效率高等特点。在计算机系统中,防火墙实际上是外网与内网之间连接的唯一出口,实现了二者之间的隔离,是一种典型的拓扑结构。根据校园网自身特点,可对这一拓扑进行调整,将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响,同时实现对计算机网络系统的内部保护和外部保护,使流经防火墙的流量降低,实现其高效性。但是随着科技的发达,网络木马的类型逐渐增多,这要求防火墙技术也要不断的更新,以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起,一旦入侵检测系统捕捉到某一恶性攻击,系统就会自动进行检测。而这一恶性攻击设置防火墙阻断,则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。

2.3VPN的构建

VPN主要针对校园网络的外用,尤其是针对出差人员,要尽量控制其使用校内网络资源。如必须使用,则要构建VPN系统,即在构建动态的外部网络通往校园网的虚拟专用通道,也可建立多个校园网络区域之间的VPN系统连接,提高安全防护效率。

2.4网络层其他安全技术

网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大,如:非常猖狂的红色代码、冲击波等网络病毒,所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。

3校园网的安全管理方案

计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中,主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案,具体表现为以下几个方面:

3.1应用VLAN技术提升网络安全性能

VLAN技术是校园网安全管理中应用的主要技术,这一技术的应用有效的提高了计算机安全管理效率,优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计,也可以联动设计,具有灵活性,并且这一技术操作方便有利于资源的优化管理,只要设置必要的访问权限,便可实现其功能。

3.2利用网络存储技术,确保网络数据信息安全

校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙,还要求采用合理的存储技术,确保数据安全。这样,不但可以防止数据篡改,还要防止数据丢失。目前,主要的存储技术包括DAS、RAID和NAS等。

3.3配置交换机端口控制非法网络接入

交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作,将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限,降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。

4总结

篇2

关键词:网络安全;攻防技术;校园网络;隐患;网络入侵;保护措施

中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 13-0000-02

随着高校的数量现在日益增加,校园网络的规模也在急剧地扩大。校园网络的安全已成为高职院校实现普及教育信息现代化、管理网络数字化、教学技术手段自动化的重要基础设施之一。但是,随着校园网络使用人数数量的增加,安全隐患的矛盾也日益突出。因此,如何构建安全高效的校园网络管理体系已成为其工作的重点。那么高职院校的网络安全管理方面到底存在哪些不足和缺点呢?

一、网络信息安全概念

网络具有开放性的特点,对于网络入侵、病毒传播、网络突然中断等影响网络安全的问题我们必须要深入研究网络信息安全问题。充分的了解安全性的特征,以此来分析完美的解决方案。

网络安全有以下特征:

1.保密性:没授权的用户不能使用信息资源,这样相对资源是封闭的不会外泄出去。

2.完整性:信息资源在传播或者使用中不能更改它的性质和内容,以此来确保资料的真实性。

3.可控制:对传播信息的内容和数量等都可以自由的调控。

4.可审查性:在面对问题可以提供相应的解决方案。

二、高职院校网络安全现状

随着校园网络的发展,越来越多的网络威胁不断的出现。黑客攻击、木马攻击、蠕虫病毒等安全问题都成为破坏校园网络安全运行的隐患因素。结合实际情况,高职院校网络安全现状总结为以下几方面。

(一)校园网络安全管理不合理

根据我们的大量调查和统计表明,我们高职院校的网络安全问题大部分是由于我们校园内部的缺乏管理这方面的意识,只是很注重建设网络,而忽略了很重要的安全管理。我们发现大部分校园的网络安全来自我们在管理方面存在漏洞,例如:冒充别的同学的账号上网,或者没有定期的更改服务器等。面对这样的问题,我们应该加强这方面的合理规范。

(二)校园网络各种病毒的扩大传播

大多数校园网络用户都采用移动存储设备来进行数据传递和分享。由于校园网络用户的安全意识不强,个人办公电脑上经常会遭受木马、蠕虫等病毒攻击,使得这些移动存储设备成为了病毒传播的介质,从而致使病毒在同一IP网段内迅速蔓延。如果在校园网络上大部分的传播,就会使网络瘫痪这些问题产生。

(三)校园网络入侵的具体情况

所有高职院校都部署了各种应用服务器,包括教务系统、财务系统、学生管理系统、办公系统等。这些软件代码都或多或少地存在一定的安全漏洞。黑客很容易利用系统漏洞等非法入侵网络内部,从而导致数据信息被非法拷贝、修改、删除等。这些漏洞和安全隐患使校园网不堪一击、隐患肆掠。在这样的网络环境里面,我们的各种信息严重处于危险状态,极大的影响校园网络的正常利用。

(四)校园网安全管理方案单一不注重管理思想和管理技术相结合

目前,大部分的高职院校都依靠单一的技术或独立的安全产品来保证校园网络的安全。随着网络安全风险系数地不断提高,当校园网络面对复杂的安全隐患,面对来自四面八方的攻击时,这些独立的安全产品往往各自为战,使得原有的安全防范策略也很难发挥其效力,这显然难以满足当今高职院校校园网对安全的需求。只有本来“技术和管理有机结合”的原则,从校园网的全局出发,构筑网络安全防范系统,才能保证校园网的整体安全。

三、高职院校校园网安全防范措施

结合我院实际情况,我们通过以下几个方面来加强校园网网络安全管理。

(一)增强校园网用户安全意识

我们要让校园用户明白校园网的不规范使用,会导致校园网产生一些威胁。导致一些病毒和木马这些到处传播,所以在面对这样的问题的时候在管理方面要加强在网络威胁方面知识的一些传播和安全使用网络知识的培训。

(二)加强网络安全管理

首先,应该从管理制度上加以规范和完善。网络安全管理应明确规定服务器漏洞修复、病毒库升级、数据备份、修改服务器密码的时间间隔等。

其次,实行实名认证和网络监控。校园网内的所有用户均要通过认证系统才可以上网,每个上网账号都绑定了交换机端口、MAC地址等信息,所有机房用户还绑定了IP地址。通过监控系统对用户的上网信息、网络流量和流速等网络行为进行监控。如果某个用户存在一些网络安全隐患,我们可以通过端口和地址等信息进行机器的快速定位,强制该用户下线,待解决好存在的网络安全隐患后方可连接上网。

最后,控制好用户的权限问题。只要能保证校园网络的正常运行,我们应尽量关闭一些不必要的网络服务,按照最小化的原则进行权限的配置,管理用户的权限要进行分级授权,并且定期删除不必要的账号。

四、构建全局安全管理系统加强对网络攻防技术的认识和应用解决问题

(一)网络攻击的概述

网络攻击指的是非法入侵别人计算机系统获得信息资源等。网络攻击包含两个方面,包含主动攻击和被动攻击这两个方面。

主动攻击包含盗取、假冒和破坏等是网络黑客攻击他所需要的资源信息的一种方式。从它的目的来看主要包含拒绝服务攻击、获取系统权限攻击等。

篇3

关键词:校园网;网络安全;管理策略

中图分类号:TP393 文献标识码:A文章编号:1007-9599 (2010) 16-0000-01

Building the Safe Campus Network

(Shenyang Information Engineering School,Shenyang110122,China) Zhang Jie

Abstract:Considering the various factors that are threatening the campus network security,according to the network security and the management theory,combining with some experience of my own,here I present some opinions and advice on how to build a safe and healthy campus network. Besides,I also give some management strategies about the campus network security.

Keywords:Campus network;Network security;Management strategy

目前国际互联网技术迅速发展,已经深入到教育领域。愈来愈多的校园网通过专线与互联网接轨,极大丰富了师生的信息资源,同时提供了更广阔的学习环境。这就给校园网建设提出了网络的安全提出了新的要求,在网络安全方面如何能检测预防病毒,网络攻击,实现网络的安全?如何实现对网络的应用监控,保证学生在使用的是健康的网络,构筑相对可靠的校园网络安全体系问题,就变得越来越突出了。

针对当前影响网络安全的主要因素,笔者在借鉴他人成功经验基础之上,提出如何有效地加强我院校园网络安全管理的一些措施,为学院的教学、科研、管理和对外交流提供稳定安全的网络支持,给师生创造一个健康、良好的网络应用环境。

一、校园内部网络的安全与管理

网络安全是阻碍网络发展的一个重要因素,在校园网络的建设中,网络安全也是需要重点考虑的一个方面。网络安全主要分为内部网络安全和外部网络安全,现在大多数网络建设都使用防火墙,但多数防火墙都只能对外网安全进行控制。网络在边界有强大的防火墙,而网络内部却没有很好的监控就不能算作一个安全网络。如今内部网络的应用越来越复杂,内部网络上大多数的应用是很重要的,甚至是严格保密的,一旦出现、破坏的事件,将产生严重后果。这些都使得内网安全问题变得越来越重要和突出。

二、校园内部网络的病毒防范

各种类型网站和程序的应用,造成病毒泛滥,形成对网络安全的严重冲击,同时学生经常使用可以移动存储设备在不同的计算机上拷贝文件,造成病毒感染。在整个网络中一旦有一个计算机中了病毒,病毒就会在网络中迅速传播,导致整个网络瘫痪,给校园网络的维护带来极大的麻烦。通过在交换机机上设置相应的病毒策略,配合认证客户端软件,能具体侦测到具体的计算机上是否有病毒。当交换机侦测到病毒后交换机立即给用户信息提示用户杀毒,并启动网络管理员配置的断开该用户的时间程序。这种策略作到了有病毒的计算机不能使用网络,同时网络中心也知道具体的用户中了病毒,利于网络管理员定位和发现病毒源,保证整个网络无病毒运行。

三、防火墙部署

可以在Internet与校园网内网之间部署一台瑞星RFW-100防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。

四、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点,可采用瑞星入侵检测系统RIDS-100,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲就是将RIDS-100入侵检测引擎接入CISCO Catalyst8540中心交换机上。RIDS-100入侵检测系统集入

侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,RIDS-100可以发出实时报警,使得学校管理员能够及时采取应对措施。

五、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。

六、杀毒产品部署

在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

七、安全管理

常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。

校园网是学校信息系统的核心,必须建立有效的的网络安全防范体系保护学校的网络应用的安全。通过对我市校园网络安全防范体系的研究,本文提出了一种以安全策略为核心,以安全技术作为支撑,以安全管理和安全服务作为落实手段,并通过安全培训加强所有人的安全意识,完善安全防范体系的方法,提出了一个实用的全面解决方案。

参考文献:

篇4

关键词: 安全隐患; 全网动态安全体系模型; 信息安全化; 安全防御

中图分类号:TP393 文献标志码:A 文章编号:1006-8228(2016)12-46-03

Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.

Key words: hidden danger; APPDRR; information security; security defense

0 引言

随着现代校园网接入互联网以及各种应用急剧增加,在享受高速互联网带来无限方便的同时,我们也被各种层次的安全问题困扰着。现代校园网络安全是一个整体系统工程,必须要对现代校园网进行全方位多层次安全分析,综合运用先进的安全技术和产品,制定相应的安全策略,建立一套深度防御体系[1],以自动适应现代校园网的动态安全需求。

1 现代校园网络的安全隐患分析

现代校园网作为信息交换平台重要的基础设施,承担着教学、科研、办公等各种应用,信息安全隐患重重,面临的安全威胁可以分为以下几个层面。

⑴ 物理层的安全分析:物理层安全指的是网络设备设施、通信线路等遭受自然灾害、意外或人为破坏,造成现代校园网不能正常运行。在考虑现代校园网安全时,首先要考虑到物理安全风险,它是整个网络系统安全的前提保障。

⑵ 网络层的安全分析:网络层处于网络体系结构中物理层和传输层之间,是网络入侵者进入信息系统的渠道和通路,网络核心协议TCP/IP并非专为安全通信而设计,所以网络系统存在大量安全隐患和威胁。

⑶ 系统层的安全分析:现代校园网中采用的各类操作系统都不可避免地存在着安全脆弱性,并且当今漏洞被发现与漏洞被利用之间的时间差越来越小,这就使得所有操作系统本身的安全性给整个现代校园网系统带来巨大的安全风险。

⑷ 数据层的安全分析:数据审计平台的原始数据来源各种应用系统及设备,采集引擎实现对网络设备、安全设备、操作系统、应用服务等事件收集,采用多种方式和被收集设备进行数据交互,主要面临着基于应用层数据的攻击。

⑸ 应用层的安全分析[2]:为满足学校教学、科研、办公等需要,在现代校园网中提供了各层次的网络应用,用户提交的业务信息被监听或篡改等存在很多的信息安全隐患,主机系统上运行的应用软件系统采购自第三方,直接使用造成诸多安全要素。

⑹ 管理层的安全分析:人员有各种层次,对人员的管理和安全制度的制订是否有效,影响由这一层次所引发的安全问题。

⑺ 非法入侵后果风险分析:非法入侵者一旦获得对资源的控制权,就可以随意对数据和文件进行删除和修改,主要有篡改或删除信息、公布信息、盗取信息、盗用服务、拒绝服务等。

2 现代校园网安全APPDRR模型提出

全网动态安全体系模型[3](APPDRR)从建立全网自适应的、动态安全体系的角度出发,充分考虑了涉及网络安全技术的六方面,如风险分析(Analysis)、安全策略(Policy)、安全防护(Protection)、安全检测(Detection)、实时响应(Response)、数据恢复(Recovery)等,并强调各个方面的动态联系与关联程度。现代校园网安全模型如图1所示,该模型紧紧围绕安全策略构建了五道防线:第一道防线是风险分析,这是整体安全的前提和基础;第二道防线是安全防护,阻止对现代校园网的入侵和破坏;第三道防线是安全监测,及时跟踪发现;第四道防线是实时响应,保证现代校园网的可用性和可靠性;第五道防线是数据恢复,保证有用的数据在系统被入侵后能迅速恢复,并把灾难降到最低程度。

3 现代校园网主流网络信息安全化的技术研究

为了保护现代校园网的信息安全,结合福建农业职业技术学院网络的实际需求,现代校园网信息中心将多种安全措施进行整合,建立一个立体的、完善的、多层次的现代校园网安全防御体系,主要技术有加解密技术、防火墙技术、防病毒系统、虚拟专用网、入侵防护技术、身份认证系统、数据备份系统和预警防控系统等,如图2所示。

3.1 加解密技术

现代校园网中将部署各种应用系统,许多重要信息、电子公文涉及公众隐私、特殊敏感信息和非公开信息。为确保特殊信息在各校区和部门之间交换过程中的保密性、完整性、可用性、真实性和可控性,需运用先进的对称密码算法、公钥密码算法、数字签名技术、数字摘要技术和密钥管理分发等加解密技术。

3.2 防火墙技术

防火墙技术是网络基础设施必要的不可分割的组成元素,是构成现代校园网信息安全化不可缺少的关键部分。它按照预先设定的一系列规则,对进出内外网之间的信息数据流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录相关的访问连接信息、通信服务量以及试图入侵事件,以便管理员分析检测、迅速响应和反馈调整。

3.3 防病毒系统

抗病毒技术可以及时发现内外网病毒的入侵和破坏,并通过以下两种有效的手段进行相应地控制:一是有效阻止网络病毒的广泛传播,采用蜜罐技术、隔离技术等;二是杀毒技术,使用网络型防病毒系统进行预防、实时检测和杀毒技术,让现代校园网系统免受其危害。

3.4 虚拟专用网

虚拟专用网(全称为Virtual Private NetWork,简称VPN)指的是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对现代校园网内部网的扩展,由若干个不同的站点组成的集合,一个站点可以属于不同的VPN,站点具有IP连通性,VPN间可以实现防问控制[4]。使用VPN的学校不仅提升了效率,而且学校各校区间的连接更加灵活。只要能够上网,各校区均可以安全访问到主校区网。使用VPN数据加密传输,保证信息在公网中传输的私密性和安全性。VPN按OSI参考模型分层来分类有:①数据链路层有PPTP、L2F和L2TP;②网络层有GRE、IPSEC、 MPLS和DMVPN;③应用层有SSL。

3.5 入侵防护技术

入侵防护技术包含入侵检测系统(IDS)和入侵防御系统(IPS)。IDS可以识别针对现代校园网资源或计算机的恶意企图和不良行为,并能对此及时作出防控。IDS不仅能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时能监控授权对象对系统资源的非法操作,提高了现代校园网的动态安全保护。IPS帮助系统应对现代校园网的有效攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和及时响应),提高现代校园网基础结构的完整性。

3.6 身份认证系统

现代校园网殊部门(如档案、财务、招生等)要建设成系统。要采用身份认证系统[5],应建立相应的身份认证基础平台,加强用户的身份认证,防止对网络资源的非授权访问以及越权操作,加强口令的管理。

3.7 数据备份系统

在现代校园网系统中建立安全可靠的数据备份系统是保证现代校园网系统数据安全和整体网络可靠运行的必要手段,可保证在灾难突发时,系统及业务有效恢复。现代校园网的数据备份系统平台能实时对整个校园网的数据及系统进行集中统一备份,备份策略采用完全备份与增量备份相结合的方式。

3.8 预警防控系统

现代校园网络安全管理人员必须对整个校园网体系的安全防御策略及时地进行检测、修复和升级,严格履行国家标准的信息安全管理制度,构建现代校园网统一的安全管理与监控机制,能实行现代校园网统一安全配置,调控多层面分布式的安全问题,提高现代校园网的安全预警能力,加强对现代校园网应急事件的处理能力,切实建立起一个方便快捷、安全高效的现代校园网预警防控系统,实现现代校园网信息安全化的可控性。

4 现代校园网络安全问题的解决方案

通过对现代校园网主流网络信息安全化技术的深入研究,针对现代校园网的安全隐患,提出现代校园网络安全问题的各层解决方案。

⑴ 物理层安全:主要指物理设备的安全,机房的安全等,包括物理层的软硬件设备安全性、设备的备份、防灾害能力、防干扰能力、设备的运行环境和不间断电源保障等。相关环境建设和硬件产品必须按照我国相关国家标准执行。

⑵ 网络层安全:针对现代校园网内部不同的业务部门及应用系统安全需求进行安全域划分,并按照这些安全功能需求设计和实现相应的安全隔离与保护措施[6],采用核心交换机的访问控制列表以及VLAN隔离功能、硬件防火墙等安全防范措施实现信息安全化。

⑶ 系统层安全:现代校园网管理平台的主机选择安全可靠的操作系统,采取以下技术手段进行安全防护:补丁分发技术、系统扫描技术、主机加固技术、网络防病毒系统。

⑷ 数据层安全:主要使用数据库审计系统进行监控管理,对审计记录结果进行保存,检索和查询,按需审计;同时还能够对危险行为进行报警及阻断,并提供对数据库访问的统计和分析,实现分析结果的可视化,能够针对数据库性能进行改进提供参考依据。

⑸ 应用层安全:应用层安全的安全性策略包括用户和服务器间的双向身份认证、信息和服务资源的访问控制和访问资源的加密,并通过审计和记录机制,确保服务请求和资源访问的防抵赖。

⑹ 管理层安全:现代校园网应依法来制订安全管理制度,提供数据审计平台。一方面,对站点的访问活动进行多层次的记录,及时发现非法入侵行为。另一方面,当事故发生后,提供黑客攻击行为的追踪线索及破案依据,实现对网络的可控性与可审查性。

5 构筑现代校园网的整体安全防御体系

现代校园网络安全问题的各层解决方案综合应用到实际工作环境中,在配套安全管理制度规范下[7],现代校园网可实现全方位多层次的信息安全化管理,配有一整套完备的现代校园网安全总需求分析、校园网风险分析、风险控制及安全风险评估、安全策略和布署处置、预警防控系统、安全实时监控系统、数据审计平台、数据存储备份与恢复等动态自适应的防御体系,可有效防范、阻止和切断各种入侵者,构筑现代校园网的整体安全屏障。

6 结束语

信息安全化是现代校园网实施安全的有效举措,并建立一套切实可行的现代校园网络安全保护措施,提高现代校园网信息和应急处置能力,发挥现代校园网服务教学、科研和办公管理的作用。现代网络的高速发展同时伴随着种种不确定的安全因素,时时威胁现代校园网的健康发展,要至始至终保持与时俱进的思想,适时调整相应的网络安全设备。

参考文献(Reference):

[1] [美]Sean Convery著,王迎春,谢琳,江魁译.网络安全体系结

构[M].人民邮电出版社,2005.

[2] Cbris McNab著,王景新译.网络安全评估[M].中国电力出版

社,2006.

[3] 陈杰新.校园网络安全技术研究与应用[J].吉林大学硕士学

位论文,2010.

[4] Teare D.著,袁国忠译.Cisco CCNP Route学习指南[M].北京

人民邮电出版社.2011.

[5] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].

电子科技大学硕士学位论文,2015.5.

[6] 彭胜伟.高校校园计算机网络设计与实现[J].无线互联技术,

2012.11.

篇5

关键词:校园网络;防御体系;安全

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)26-6379-03

Construction and Analysis of Campus Network Defense System

WU Dong-ni

(College of Computer and Information Science of Kaili University, Kaili 556000, China)

Abstract: With the development of camputer network, the security of network becomes more and more important. Especially for the campus, it is very important that How to defense the influence of unsafty. The paper discusses the the defensive sturcture of campus network that is established on the basis of technology, security technology management and security management, and also discusses its defensive technology.

Key words: campus network; defensive system; security

校园网络的飞速发展,已经成为了校园信息化建设的重要载体,承担了学校教学、科研、办公等日常工作的运行,其安全问题也成为了网络管理者最棘手的首要问题。校园网服务于全校师生,人数多、学生好奇心强、上网时间比较集中等原因,使得校园网络面临着各种各样的威胁。如何保证校园网络的安全,使全校师生拥有健康和谐的网络环境?我们需要构建一个全面的、互动的网络安全防御体系来阻止威胁的侵害。

1 校园网络防御体系的构建

为了保护校园内数据信息资源的安全,一般学校的校园网络在安全方面主要采取了路由器和防火墙进行保护。通过相应的端口设置,可以对内部数据包进行过滤从而达到安全的性能。但是这种防御比较单一,面对千变万化的黑客攻击手段,校园网络更加需要一套全面的、互动的防御管理体系。

1.1 校园网络防御体系的结构

网络信息安全的保护主要有三个基本的要素,即检测,响应和防护[1]。检测是及时发现各种入侵攻击行为。响应是在发现入侵行为之后,及时的切断入侵、抵抗攻击者的进一步破坏活动而做出的反击行为。防护是对网络信息的保护,使之免受黑客的攻击。同样,校园网络信息的安全也少不了这三个要素,可以通过采用IDS入侵检测系统进行信息数据检测,人工控制做出相应的阻断、扫描等响应,通过防火墙进行网络安全的保护。基于此思想,校园网络防御体系结构主要由3个层次组成,即:物理安全层、安全技术层和安全管理层。见图1所示。

物理安全层是网络安全的基础,主要是指防盗、防火、防静电、防雷击和防电磁泄漏等方面[2],目的是保障网络设备的安全。安全技术层是保证网络安全的核心,涉及到的网络管理技术有防火墙、入侵检测系统、漏洞扫描及防病毒技术,通过各种技术的互动、合理的应用来保护校园网的安全。安全管理层针对的是人员的管理,主要是由管理者对网络设备、突发事件及网络运行的管理,使之最有效的保障校园网的安全。

1.2 校园网络防御体系的实现过程

校园网络防御体系结构涉及到防火墙、入侵检测、漏洞扫描、数据备份与恢复等网络安全技术。通过这些技术的相互补充和协调工作,建立一个联动的、动态的多层自防御体系,使网络安全的性能达到最优。各系统之间既能互动、又能保持相互的独立。各种安全管理技术对网络安全的具体实现方案见图2。

第一道安全防线采用防火墙来阻止来自网络外部的攻击和入侵。防火墙是不同网络或网络安全区域之间信息的惟一出入口,它可根据网络的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。防火墙的各个端口可以通过不同的配置来进行改变,可以基于不同的策略定义不同的路由,并且防火墙本身没有操作系统,消除了操作系统本身级别上的安全漏洞问题。防火墙通过相应的设置可以保证基本服务的数据包通过,对于未知的、存在隐患的数据包则可进行禁止。设置为:[3]WWW端口为80,采用TCP或UDP协议,eth1=>允许所有来自Intranet的WWW包,eth0=>仅允许目的为内部网服务器的WWW包;ftp端口为21,ftp-data端口为20,均采用TCP协议,eth1=>允许所有来自Intranet的ftp、ftp-data包,eth0=>仅允许目的为内部ftp服务器的数据包;telnet端口为21,采用TCP协议,eth1=>允许所有来自Intranet的telnet包,eth0=>仅允许目的为bbs服务器的包;Smtp端口为21,采用TCP协议,eth1=>允许所有来自Intranet的Smtp包,eth0=>仅允许目的为email服务器的smtp请求等等的相应设置。因此,防火墙作为网络安全的第一道防线,从一定程度上可以解决网络安全存在的问题,但是防火墙并不是万能的,防火墙是一种被动的访问控制设备,而且提供的是安全区域的周边防护,只能对网络出入口的数据信息进行控制,所以,单一的防火墙是无法保障网络内部的安全。

第二道防线由入侵检测系统组成。入侵检测是一种动态的安全防护技术[4],该系统通过在网络和主机系统中主动寻找入侵行为并告警,从而提供对内部攻击、外部攻击和误操作的实时控制,它可以作为防火墙的合理补充,入侵检测技术能够帮助防火墙对付网络上存在的攻击行为,对系统管理员的安全管理能力进行扩展。入侵检测系统与防火墙进行互动,比如有一个攻击行为nmap扫描,它没有被防火墙阻断,就会扫描内部主机端口,寻找目标主机存在的漏洞,一旦发现漏洞就会进行下一步的攻击行为。与防火墙进行互动的入侵检测就能检测到跳过防火墙的nmap扫描攻击,从而自动修改防火墙的存取规则,来拒绝这个nmap扫描攻击。在互动之前,两者需要先定义设置好端口,互相配置对方的IP地址,防火墙以服务器的模式运行,IDS以客户端的模式运行。这是实现网络动态性安全的关键。

第三道防线由漏洞扫描系统构成。目的是定期扫描系统,检查并补上系统漏洞。从而减少攻击行为成功的可能性。利用漏洞扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,系统管理员还可以了解网络系统中存在的不安全的网络服务等。

第四道防线是防病毒技术。网络安全的保证,需要建立一个有效的病毒预防和查杀机制。在网络中部署分布式、网络化的防病毒系统,管理人员可以从中心位置对整个网络进行实时的病毒查杀,终端用户也能自己进行查杀。具体措施是:在学校网络的中心机房服务器上全部安装杀毒软件,由管理人员负责管理各个主机网点。并且在学校的各个行政部门及教学部门分别都安装杀毒软件的客户端。要保证所有计算机都安装杀毒软件的客户端,不能漏掉一个,防止出现“木桶效应”。

第五道防线由恢复系统构成。为了确保信息的安全性,预防数据信息丢失造成的损害,建立有效的恢复机制是必须的。对服务器和重要数据进行相应的备份,如果系统或数据一旦遭到破坏,网络将会中断、数据将会丢失,此时,我们就可以启动备份的数据,使网络在最短的时间内进行恢复回到正常。因此,为了避免意外情况的发生,一定要做好备份恢复工作,除了操作系统本身提供的一些备份功能之外,还可以选择专业的备份工具,如Veritas的Backupexce和Legato的Networker等。

各个有效的网络安全管理技术之间并不是孤立的,网络的安全需要彼此之间相互的协调进行保护。但俗话说“三分技术,七分管理”,只有安全的网络管理技术是不够的,还需要人员的管理,使各种网络安全管理技术发挥最优的作用。学校需要建立一个安全的管理制度和安全策略来确保学校网络的安全,从管理体制上保证网络安全策略的切实可行。比如,学校成立网络安全管理小组、应急小组,并应有相应的管理职责等。

2 校园网络防御体系防护的模拟分析

为了测试和分析黑客入侵时,校园网络所建立的安全防范体系在防护方面所起的作用,建立了一个模拟测试环境进行分析。在该试验环境中[5],使用防火墙、路由器作为防护工具,IDS作为侦测工具,产品响应及人工响应作为事件响应方式,备份系统作为恢复机制,通过管理平台管理这些产品,以安全政策为指导,以安全管理制度为落实手段,使学校建立的网络安全防护体系发挥作用。在分析中,分别从校园网络受到的外部攻击和内部攻击进行的。

2.1 外部攻击行为的防护性能分析

黑客攻击行为多种多样,这里采用最常见的恶意代码病毒的攻击为分析对象。以尼姆达病毒为例进行分析。

尼姆达病毒是通过电子邮件等方式传播的蠕虫病毒恶意代码。具有感染速度快、扩散面广、传播形式复杂多样等特点,通过系统漏洞、局域网共享、电子邮件和文件等四种途径传播,能感染装有各类Windows操作系统的服务器和个人电脑。

如图3所示,防范体系对尼姆达病毒攻击的防护过程如下:

Step1:如果黑客或者是被利用的用户通过尼姆达病毒来攻击被保护的校园网络中的节点A。

Step2:若该攻击行为被防病毒系统首先发现,就由防病毒系统直接杀掉,将结果报告给管理人员记录(即#,响应过程结束。若尼姆达病毒的攻击首先是被IDS检测到,则会由IDS向管理平台报告攻击警报。

Step3:管理平台受到报警信息之后,会立刻通知防病毒系统查杀节点A上的病毒。

Step4:防病毒系统会对主机A进行病毒查杀,并将处理结果报送管理平台,由管理平台进行记录存档,再将处理的结果信息反馈给IDS。

2.2内部攻击行为的防护性能分析

内部攻击以内部口令攻击为分析对象,通过内部用户或者黑客使用letmein等口令攻击内部节点A为例,防范体系对内部口令攻击的防护过程如下(如图4所示):

Step1:内部黑客使用口令攻击软件从内部对校园中被保护的节点A进行攻击。

Step2:口令的攻击行为首先被节点A上的IDS检测到,然后由IDS向管理平台报告攻击警报信息。

Step3:管理平台在收到节点A的IDS报警信息后,由管理人员根据具体的情况通过内部管理制度的规定进行处理,或者由主机A上的IDS直接阻断该攻击,过程响应结束。

3 结束语

总之,随着学校的不断发展,校园网络务必将日趋庞大,网络环境也更加复杂,面临的网络攻击也更大,因此安全防御体系的建立尤为重要,文中提到的方案基于安全技术层面、安全技术管理层面、安全管理层面组建的防御体系并不是固定不变的,它需要在实践中不断的整合、不断的完善,为学校的教学、科研、服务、生活等活动的正常开展提供一个安全的网络保障。

参考文献:

[1] 石志国,薛为民,尹浩.计算机网络安全教程[M].北京:清华大学出版社,北京交通大学出版社,2008.

[2] 汪婧.校园网络建设及网络安全的研究[D].南昌大学,2009,12.

[3] 祁宏伟.校园网络信息安全保护研究与实现[D].内蒙古大学,2010,6.

篇6

【关键词】校园网 安全问题 分析 对策

高校是计算机网络诞生的摇篮,也是最早应用网络技术的地方。校园网是当代高校重要基础设施之一,是促进学校提升教学质量、提高管理效率和加强对外交流合作的重要平台,校园网的安全状况直接影响着学校的各项工作。在校园网建设初期,网络安全问题可能还不突出,但随着应用的不断深入和用户的不断增加,高校校园网上的数据信息急剧增长,各种各样的安全问题层出不穷。“校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标”[1],校园网络安全已经引起了各高校的高度重视。本文对高校校园网的安全问题进行了分析,并探讨了加强高校校园网安全管理的对策。

1 高校校园网安全问题分析

1.1 高校校园网的特点

与其它局域网相比,高校校园网自身的特点导致网络安全问题严重、安全管理复杂。其特点可以概括为两个方面:

(1)用户群体的特点。高校校园网用户群体以高校学生为主。一方面,用户数量大、网络水平较高。随着高校的扩招,现在各高校的在校学生规模越来越大,校园网用户少则几千,多则几万,而且往往比较集中。高校学习以自主性学习为主,决定了高校学生可供自主支配的时间宽裕。通过学习,高校学生普遍掌握了一定的计算机基础知识和网络知识,其计算机水平比普通商业用户要高,而且他们对网络新技术充满好奇,勇于尝试,通常是最活跃的网络用户。另一方面,用户网络安全意识、版权意识普遍较为淡薄。高校学生往往对网络安全问题的严重后果认识不足、理解不深,部分学生甚至还把校园网当成自己的“练兵场”,在校园网上尝试各种攻击技术。另外,由于资金不足和缺乏版权意识等原因,导致高校学生在校园网上大量使用盗版软件和盗版资源。攻击技术的尝试和盗版软件的传播既占用了大量的网络带宽,又给网络安全带来了极大的隐患。

(2)校园网建设和管理的特点。一方面,校园网建设需要投入大量的经费,少则几百万,多则几千万,而高校的经费普遍是比较紧张的,有限的投入往往用于扩展网络规模、增加网络应用这些师生都能看到成果的方面,而往往忽视或轻视师生不容易看到成果的网络安全方面。由于投入少,缺少必要的网络安全管理设备和软件,致使管理和维护出现困难。另一方面,各高校为了学校的教学、科研、管理以及学生学习生活的需要,目前基本上都建立了千兆主干、百兆桌面,甚至万兆主干、千兆桌面的校园网,高带宽的校园网给校园网用户带来了方便,但同时也大大增加了网络完全管理的难度。

1.2 当前高校校园网面临的主要网络安全问题和威胁

(1)安全漏洞。校园网内普遍存在用户操作系统漏洞和应用软件安全漏洞,这些漏洞影响用户系统的正常使用和网络的正常运行,对网络安全构成严重的威胁,一旦被黑客或病毒利用,甚至有可能导致灾难性的后果。

(2)病毒和攻击。网络病毒发病和传播速度极快,而许多校园网用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,不仅严重地危害到了用户计算机安全,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。同时外来的攻击和内部用户的攻击越来越多、危害越来越大,已经严重影响到了校园网的正常使用。

(3)滥用网络资源。在校园网内,用户滥用网络资源的情况严重,有私自开设服务器,非法获取网络服务的,也有校园网用户非法下载或上载的,甚至有的用户每天都不断网,其流量每天都达到几十个G,占用了大量的网络带宽,影响了校园网的其它应用。

(4)不良信息的传播。不良信息的传播对正在形成世界观和人生观的大学生而言,危害是非常大的。网络上的信息良莠不齐,其中有违反人类道德标准或法律法规的,如果不对这些信息加以过滤和处理,学生就会有在校园网内浏览、赌博、暴力等不健康网页的机会。要确保高校学生健康成长、积极向上,就必须采取措施对校园网络信息进行过滤和处理,使他们尽可能少地接触网络上的不良信息。

(5)垃圾邮件。垃圾邮件对校园网的破坏性很大,它占用网络带宽,造成邮件服务器拥塞,进而降低整个网络的运行效率,同时也是网络病毒、攻击和不良信息传播的重要途径之一。现在虽然很多高校都建立了电子邮件服务器为校园网用户提供邮件服务,但由于缺乏邮件过滤软件以及缺少限制邮件转发的相关管理制度,使邮件服务器成为了垃圾邮件的攻击对象和中转站,大大增大了校园网的网络流量,浪费了大量的校园网带宽,造成校园网用户收发邮件速度慢,甚至导致邮件服务器崩溃。

(6)恶意破坏。恶意破坏主要是指对网络设备和网络系统的破坏。设备破坏是指对网络硬件设备的破坏。现在各高校校园网的设备数量多、类型杂、分布比较分散,管理起来非常困难,个别用户可能出于某些目的,会有意或无意地将它们损坏。系统破坏是指利用黑客技术对校园网络各系统进行破坏,如:修改或删除网络设备的配置文件、篡改学校主页等等。而这两个方面的破坏均会影响校园网的安全运行,造成校园网络全部或部分瘫痪,甚至造成网络安全事故。

2 加强高校校园网安全管理的对策

高校校园网络安全管理是一项复杂的系统工程,要提高网络安全,必须根据实际情况,从多个方面努力。

2.1 加强网络安全管理制度建设

“三分技术、七分管理”,网络安全尤为如此。各高校要根据校园网的实际情况,制定并严格执行有效的安全管理制度。如:校园网网络安全管理制度、网络主干管理与维护制度、校园网非主干维护制度、网络安全管理岗位职责、网络运行管理制度、主页维护管理制度、校园网信息与管理制度、病毒防治管理制度、重要数据备份与管理制度等。此外,为更加有效控制和减少校园网络的内部隐患,各高校必须制定网络行为规范和违反该规范的具体处罚条例。

2.2 做好物理安全防护

物理安全防护是指通过采用辐射防护、屏幕口令、状态检测、报警确认、应急恢复等手段保护网络服务器等计算机系统、网络交换路由等网络设备和网络线缆等硬件实体免受自然灾害、物理损坏、电磁泄漏、操作失误以及人为干扰和搭线攻击的破坏②。如:将防火墙、核心交换机以及各种重要服务器等重要设备尽量放在核心机房进行集中管理;将光纤等通信线路实行深埋、穿线或架空,防止无意损坏;将核心设备、主干设备以及接入交换机等设备落实到人,进行严格管理。物理安全防护是确保校园网络系统正常工作、免受干扰破坏的最基本手段。

2.3 加强对用户的教育和培训

通过网络安全教育使用户对校园网络所面临的各类威胁有较为系统、全面的认识,明确这些威胁对他们的危害,增强他们的网络安全意识,让所有校园网用户都来关心、关注网络安全。通过对校园网用户的培训,使他们能尽量保证自己使用的计算机安全,能处理一些简单的安全问题,从而减少网络安全事故的发生。遇到网络安全问题时,能做好记录并及时向有关部门报告。

2.4 提高网络管理人员技术水平

高水平的网络管理人员能够根据校园网的实际安全状况,通过对校园网的重要资源设置使用权限与口令、通过对相应网络安全设备尤其是核心设备进行系统配置以有效地保证校园网系统的安全。因此要保证校园网的安全运行,就需要培养一支具有较高安全管理意识的网络管理员队伍,提高他们维护网络安全的警惕性和应对各种攻击的能力。各高校要从两个方面着手:一是要加强对现有网络管理技术人员的培训,提高他们应对网络安全问题的能力和水平;二是要引进高水平的网络安全管理技术人员,提升网络管理技术人员整体技术水平。

2.5 规范出口、入口管理

为适应管理和工作的需要,现在高校校园网都有多个网络出口(如:教育网、电信网等),要实施校园网的整体安全策略,首先就要对多出口进行统一管理,以解决校园网多出口带来的安全问题,使校园网络安全体系能够得以实施,为校园网的安全提供最基础的保障,如:不同出口间的隔离,封锁病毒端口,阻止入侵者的攻击,应用ACL拒绝IP地址欺骗等。

2.6 配备网络安全设备或系统

为减少来自校园网内外的攻击和破坏,需要在校园网中配置必要的网络安全设备,如网络入侵保护系统、主页防篡改系统、防火墙、网络防病毒系统、漏洞扫描系统、内容过虑系统、补丁升级系统、服务器的安全监测系统等等。通过配置网络安全设备,能够实现对校园网络的控制和监管,能够阻断大量的非法访问,能够过滤来自网络的不健康数据信息,能够帮助网络管理员在发生网络故障时迅速定位。充分利用好这些网络安全设备可以大大提高校园网的安全级别。

2.7 建立全校统一的身份认证系统

身份认证系统是整个校园网络安全体系的基础,是校园网上信息安全的第一道屏障,是保证校园网内各应用系统安全运行的依靠。各高校要建立基于校园网络的全校统一身份认证系统,对校园网用户上网进行身份认证。这样不仅可以阻止非法用户的上网行为,而且也能统一监控合法户上网的行为。

2.8 建立更安全的电子邮件系统

目前有些优秀的电子邮件安全系统具有强大的高准确率和低误报率,独特的策略模块可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确率接近百分之百。各高校要多方分析、比较,选择优秀的电子邮件安全系统保证校园网的邮件系统安全,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等安全隐患的现状。

2.9 做好备份和应急处理

对校园网来说,一套完整的备份和恢复方案是迫切需要的。备份既指对校园网重要数据的备份,也指核心设备和线路的备份[3]。对网页服务器,要配置网页防篡改系统,以防止网页被更改;对校园网中的核心设备的系统配置要进行备份,以便设备出故障时能及时恢复;对校园网中的核心线路要留有冗余,以便线路出故障时能立即启用冗余线路以保证校园网络主干的运行。应急响应是校园网整体安全的重要组成部分,各高校的校园网络管理部门要制定网络安全的有关应急处理措施和制度,以保证在出现网络安全问题时要及时按照应急处理措施处理以减少损失。

3 结束语

校园网的安全管理是一项复杂的系统工程,没有一劳永逸的安全措施。各高校要在校园网的建设和管理过程中及时分析校园网中的安全问题,并研究方法,制订措施,确保校园网正常、高效、安全地运行,为学校的教学、管理和科研服好务。

参考文献

[1] 沙桂兰.浅谈校园网络安全控制策略[M],电脑知识与技术.2007,3.

[2] 高冰.网络安全措施探讨[M],东北财经大学学报.2003,4.

篇7

【关键词】校园网 网络安全 安全体系构建

校园网是开展教学工作实践的重要平台,是我国教育信息化平台构建的重要基地,保证校园网处于安全的运行状态,其实践意义重大。为此,积极从网络安全技术的角度,综合可能对于校园网安全构成为威胁,并且采取对应的措施进行改善,是当前校园网构建过程中需要思考的问题。

1 校园网络安全运行的基本需求分析

网络系统构建之前,首选需要弄清楚的就是网络安全运行需求,这是后期制定安全运行方案的基础和前提。一般情况下,校园网络安全需求主要涉及到以下几个方面内容:其一,在网络互联的基础上保证通讯处于安全状态,这是最基本的要求;其二,服务器系统安全检测,评估效能的发挥,能够对于不安全行为进行阻挡,以保证系统的安全运行;其三,应用系统的安全性需求,也就是说关键应用系统能够在认证管理下,形成防病毒体系,保证各个入口的安全连接;其四,业务系统的安全需求,避免网络内部其他系统对于业务系统造成危害;其五,健全的校园网络安全管理规章,保证校园网的安全运行。

2 校园网络安全总体设计思路

针对于校园网网络运行的基本需求,对于校园网络安全进行规划设计,并且在此基础上构建完善的校园安全体系结构,是保证校园网安全性的关键一步。在此过程中不仅仅需要满足上述的安全需求,还要对于可能出现的安全问题进行预警,以保证设计体系的合理性和科学性。具体来讲,其主要设计到以下内容:其一,以独立的VLAN,MAC地址绑定和ACL访问控制列表来进行VPN网络子系统的安全控制和管理,可以保证数据传输的安全等级达到最佳水平;其二,以网络安全检测子系统的构建,并在校园网中WWW服务器和Email服务器进行应用,在此基础上对于网络传输内容进行监督和管理,并且形成相应的数据库,避免非法内容进入校园网;其三,针对于安全需求,设置相应的安全防火墙,以双机设备方式去运行,实现防火墙子系统的构建;其三,基于控制中西和探测引擎技术构建入侵检测子系统体系,对于入侵行为进行监督和管理,并且将其屏蔽在网络安全范围之外;其四,全面升级网络系统的防毒系统,实现对于客户端PC机器的安全控制,形成统一的防毒服务器;其五,建立有效的漏洞扫描系统,实现自动修复和检查漏洞,保证补丁工作的全面开展;其六,针对于校园内部的侵袭行为,可以以建立内部子网审计功能的方式去实现内部网络运行质量的提高;其七,建立健全完善的校园网安全运行管理制度体系,为开展一切安全管理工作打下基础。

3 整体构建校园网络安全体系的实现途径

校园网络安全体系涉及到多方面的内容,一般情况下会将其归结为物理层,链路层,网络层,应用层等几个方面。

3.1 物理层安全体系实现途径

物理层的安全性能主要针对于线路的破坏,线路的窃听,物理通路的干扰等安全缺陷问题。对此,需要做好以下工作:其一,采用双网结构作为拓扑网络结构方式,内外网使用不同的服务器,实现不同信道的运行,使得信息处于不同的高度路上运转,不仅仅可以营造安全的运行状态,还可以使得系统运行压力降低;其二,以双网物理隔离的方式去实现内外网布线系统的构建,从根本上杜绝了黑客入侵的可能性,同时还合理设置,避免出现内外网同时使用的情况。

3.2 链路层安全体系实现途径

链路层安全体系构建是保证网络链路传送数据安全性为根本性目的,主要使用的技术手段有局域网和加密通讯手段。具体来讲,其一,在交换机配置端口安全选项中,尽量将CAM表进行淹没;其二,在中继端口实现VLAN ID的专业化设置,保证端口设置成为非中继模式;其三,进行MAC地址绑定设置,避免出现IP地址被盗用。

3.3 网络层安全体系实现途径

网络层安全体系构建,主要是保证网络时能给授予权限的客户使用,避免出现拦截或者监听的情况。为了实现这样的目标,应该从以下几个角度入手:其一,设置硬件防火墙,运行访问控制技术程序,一旦遇到安全问题,使得其处于隔离状态;其二,网络入侵检测系统IDS的使用,能够对于网络入侵行为进行监督,由此构建起来第二道安全闸门;其三,在路由交换设备上进行安全技术应用,如VPN技术,加密机制及时,审计和监控技术等,都是其重要内容。

3.4 应用层安全体系的实现途径

对于应用层来讲,其安全体系的构建需要做到以下几点:其一,建立网络病毒防火墙,避免内外病毒对于网络文件系统的破坏;其二,设置服务器,尽可能的保护自己的IP地址;其三,构建操作系统补丁自动分发系统,保证能够及时的进行安全漏洞的修复;其四,积极开展认证和授权管理工作,对于多重身份认证和用户角色授权进行审计,以保证系统的安全性。

4 结束语

整体构建校园网络安全体系,需要在校园网络安全需求的基础上,积极探析可能出现的安全漏洞,并且从这个角度出发,去开展系统结构设计,保证将安全理念纳入到设计方案中去,由此去保证校园网络处于安全的运行状态,这就是整体构建校园网络安全体系的是实现方法。

参考文献

[1]刘义全.浅谈校园网络的安全性[J].中国现代教育装备,2009(15).

[2]黄亚宁.校园网络安全隐患及其对策[J]. 学校党建与思想教育,2010(12).

[3]邓志华.校园网络安全浅析[J].教育信息化,2004(09).

[4]徐志超.校园网络存在的问题及解决方法[J].科技信息(科学教研),2007(20).

[5]岳雷.校园网络安全的守护神─Forefront[J].中国信息技术教育, 2010(09).

[6] 李耀麟,刘繁华.“校园网络安全”专题学习网站的建设[J].河西学院学报,2005(05).

篇8

 

1网络安全的定义

 

网络安全是指使用各种网络管理、控制和技术措施,使得网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,保证网络系统可靠、连续不间断地运行。 而网络安全包含网络硬件安全、网络软件安全、网络信息安全。从广义来说,就是我们的信息,从源头的网络设备开始,到网络的传输过程,最后到网络的设备终端,都是涉及到网络安全保护的范围,最后保证信息的完整性、保密性和可用性。

 

2校园网面临的安全问题

 

校园网面临的安全问题主要有以下几个方面:

 

(1)校园中的计算机设备千差万别。比如学生宿舍的计算机、老师的计算机、学校机房的计算机,这些计算机应用的安全策略都不尽相同,没有一个统一的计算机管理制度,就会造成校园网的安全责任难以区分。

 

(2)开放的校园环境。极大部分的高校处于一种开放式的校园,很难保证校园内的计算机和通信设备免收破坏。机房出入管理不严,使潜在的入侵者有机会接近重要的设备。所以硬件设备的物理安全是整个校园网正常运行的基本条件,高校必须重视设备的物理安全,完善学校的安保系统。

 

(3)“家贼难防”。校园网中的用户是一个多元化的群体,有老师、学生和外来人员等,要使得校园网正常稳定运行,就要确保每个用户正确使用校园网。其中学生是一个活跃的群体,他们对新知识充满好奇,一些新的网络知识,比如入侵和攻击技术,会让他们铤而走险,不考虑后果,以校园网作为对象去实施这些攻击。例如DDOS(分布式拒绝服务器攻击),对服务器会造成很大的负载,导致校园网瘫痪。

 

3校园网的信息安全应用

 

针对校园网所面对的安全问题,如何正确保护校园网的正常稳定运行,主要体现在管理安全、物理安全、数据安全、网络安全等方面。

 

3.1管理安全

 

校园网的管理安全就是对校园内的一切人、设备和环境等资源的状态管理与控制,有以下几个项目:

 

(1)对校园网进行定期维护和保养,主要的设备应当集中管理,对校园网中的路由器、交换机、服务器等网络资源进行监视、测试、配置、分析、评价和控制,对设备进行实时的监控,及时处理异常情况。

 

(2)建立完善的机房出入登记制度,任何人出入机房都必须登记姓名和部门等相关信息,而机房管理人员应当每天下班前检查机房是否完好,水电和门锁是否已关闭等。

 

(3)加强校园网安全基础设备的建设,如重要的校园网设备应当按照监控录像,如遇异常情况能提供录像证明。

 

3.2物理安全

 

硬件设备的物理安全是整个校园网正常运行的基本条件,其中包括物理位置选择、物理访问控制、防盗防破坏、防火防潮、防静电、防雷击、电力供应等方面。

 

(1)校园网主要设备的物理位置应该远离产生粉尘、油烟,以及生产或贮存具有腐蚀性、易燃、易爆物品的场所,避开强电磁场干扰(广播电视发射塔等),与垃圾房、厨房、餐厅保持相当距离,防止鼠害。

 

(2)机房应该使用专门的防静电地板,重要的设备旁边应该有灭火器等灭火工具;建立有效的制冷系统,保证设备运行在正常的温度和湿度状态下。

 

(3)机房必须配备UPS(Uninterruptible Power System/Uninterruptible Power Supply),即不间断电源,保证机房24小时不间断运行。

 

3.3数据安全

 

在信息化时代里,信息数据是最宝贵的资源,很多违法者想方设法都要窃取这些重要的数据。对于高校校园网而言,最可能的数据安全包括:重要的科研数据被破坏或泄密;财务系统数据被破坏或泄密;教务系统被破坏,教师或学生的个人资料被破坏或泄密。为了保护这些重要的数据,可以从以下几方面着手:

 

(1)利用数据加密技术(如3DES算法)对校园网中敏感数据进行加密,防止数据在通信过程当中被窃取。

 

(2)重要数据应当做好异地备份,防止数据被破坏。当出现数据丢失或损坏的时候能够迅速还原。

 

(3)利用身份认证和权限控制,把校园网内的用户分权限,不同用户依据自身获得的相关权限进行相关数据或信息的处理,从而实现数据和相关信息资源的安全。

 

3.4网络安全

 

网络安全主要是利用路由器、交换机、防火墙和入侵防御系统等设备防止数据在通信过程当中遭到破坏。具体方案有如下几点:

 

(1)构建校园网入网设备的病毒防御体系。在校园网的出口处设置网关防病毒系统。对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶性的程序和病毒进行查杀扫描。在网络中心机房建立防病毒监测与控制中心,能够及时有效地发现、抵御病毒的攻击和彻底清除病毒。

 

(2)建立7*24小时监控的网络信息入侵检测体系。入侵检测系统(IDS)是新一代动态安全防范技术,通过对计算机网络或主机中的若干关键信息的收集和分析,从中发现是否有违反安全策略的行为和被攻击的迹象。

 

(3)建立高效可靠的内网安全管理体系。对于移动设备(笔记本等)和新增设备未经过安全过滤和检查,监测内网计算机的一些违规接入网络的行为。对于一些端口(无线接入设备或固定端口)可以使用IP地址与MAC地址进行绑定。

 

4结语

 

保证信息的安全是校园网能够得到广泛应用的重要前提条件,一个方面的安全解决方案很难充分保证校园网安全,因此建立一套多方位的安全管理方案是十分必要的。虽然信息没有百分之百的安全,但这样的全面保护方案也仍然是必要的,而且必须与时俱进,随时更新各种网络技术。本文提出的信息安全应用,能够有效保证校园网的信息安全。

篇9

【关键词】高校网络 校园网 网络安全

1 引言

随着教育信息化的发展,校园网络成为高校重要的基础设施,通过校园网可以实现教学资源和教学信息的共享,促进校园内部,高校之间的信息交流;通过校园网和相应的管理软件,可以实现办公自动化,远程授课,远程辅导,这些都大大提高了教学工作的效率,校园网络在高校日常教学工作中起着越来越重要的作用。然而,来自网络中的黑客攻击、病毒、资源盗用等常常破坏着校园网络的正常进行,因此,校园网络的安全与防范就成了校园网络组建和使用中不可忽视的问题。

2 高校校园网存在的安全问题

校园网络中主要的安全问题随着校园网应用的深入,各种数据急剧增加,各种各样的安全问题也逐渐突出,当前,校园网常见的安全隐患有以下几种。

2.1 物理层的安全问题

校园网需要各种设备的支持,而这些设备分布在各种不同的地方,管理困难。其中任何环节上的失误都有可能引起校园网的瘫痪,如室外通信光缆、电缆等,分布范围广,不能封闭式管理;室内设备也可能发生被盗、损坏等情况。物理层的安全问题是指由于网络设备的放置不合适或者防范措施不得力,使得网络设备,光缆和双绞线等遭受意外事故或人为破坏,造成校园网不能正常运行。

2.2 系统漏洞,包括操作系统漏洞,软件漏洞,硬件漏洞

2.2.1 操作系统漏洞

操作系统是一个庞大的系统,无论如何仔细考虑,都可能存在未考虑到的地方,这些考虑不周的地方,就可能被攻击者利用,成为安全漏洞。目前使用的操作系统基本都存在很多的安全漏洞,对网络安全构成了威胁。许多校园网络服务器的操作系统都或多或少存在安全风险,再加上系统管理员或使用人对该系统了解不够和安全设置不当,这些都将对校园网络构成威胁。

2.2.2 软件漏洞

计算机要完成各种功能,就需要安装不同的软件,高校计算机需要安装的软件更多,如办公软件,日常用软件,教学软件,各种专业课程所需的专业软件,这么多的软件,它们中很可能有因为设计不周,或者疏忽出现一些危及系统安全的漏洞。

2.2.3 硬件设备漏洞

与软件漏洞相比,网络设备的硬件缺陷很少被人重视,实际上,硬件设计的复杂度远远超过了软件,由于生产工艺和设计水平限制,难免会存在这样或那样的缺陷和不足,硬件漏洞是不可避免的。比如网络硬件设备交换机,路由器的默认密码,万能密码,通过这些密码,可以取得相应网络设备的控制权,有了这个权限,就可以监控网络运行的数据,如果获得这些权限的人有恶意的话,会给校园网络带来严重的危害。

2.3 黑客攻击

黑客攻击是指在未经网络认证的情况下入侵到校园网络进行恶意攻击的不法行为,主要是对校园网络中的服务器、路由器、用户计算机进行破坏或者是窃取校园网络中的重要数据。校园网络通常都采用相类似的网络结构体系和用户应用模式,这使得入侵者对于入侵校园网络形成了一种固有的入侵模式。同时有一些学生出于好奇或者是彰显自己的能力,对学校的网络设备和应用系统进行攻击,这导致高校网络瘫痪,用户难以访问互联网或者校内局域网,并且造成高校重要信息资源丢失和破坏,严重威胁着校园网络的安全。

2.4 网络病毒

计算机病毒是程序设计者在程序中插入破坏计算机功能,或者破坏数据的程序代码,它会影响计算机正常使用。病毒有破坏性,传染性,如果不及时采取措施,会给学校的教学带来严重的后果。病毒的传染途径主要有几个方面,一是利用操作系统或者常用软件的漏洞制作的病毒,只要W络存在这些漏洞,并且连上了互联网,就会中毒;二是校园教职工或者学生访问不安全的网站,从而引起系统中毒;三是在日常的工作或学习中,通过U盘,移动硬盘拷贝数据,而引起的中毒。

2.5 不良的上网习惯和淡薄的安全意识

校园网的使用者主要是学校职工,教师和学生,这些用户中很多人安全意识薄弱,上网的习惯也不好,对于自己使用的计算机为了图方便,不设置密码,或者使用简单的密码,对于教学系统中的密码,也设置较简单,或者是姓名拼音,或者重复的字母,或者是用生日来做密码,对于这些简单的密码,很容易被人破解,从而利用这个身份对系统进行破坏。而且对于一些重要的信息,资源也不注意保护,这样很容易造成泄密。

2.6 维护网络安全投入的经费不足

对于网络安全维护,主要的投入有三方面,一是硬件设施的投入,目前,很多高校的规模都是越来越大,对于一些老的设备没及时淘汰,使网络承受能力受到考验,有崩溃的危险;一是各种安全软件的购买,目前有的高校由于资金紧,在日常办公中使用了很多盗版软件,这些软件中可能存在病毒,万一出现问题也没有相应的技术支持;最后是网络安全人员的人工费及培训费用,网络安全维护对维护人员要求较高,需要有较高的专业知识,同时还需要经常学习一些新的知识,技术。这就需要经常参加网络安全的培训,但很多高校对维护人员的培训较少。

3 高校网络安全问题的解决方案

对于以上提出的校园网络安全问题,可以从技术层面、管理层面、物理安全层面的因素来考虑,采取相应的措施来确保校园网络的安全。

3.1 技术层面对策

在技术方面,主要有安全漏洞防范,身份认证和数据加密,数据备份和恢复,病毒防范等,综合起来,技术层面可以采取以下对策:

3.1.1 修复系统安全漏洞

将操作系统设为自动更新,更新一些重要的补丁,对于各种软件存在的安全漏洞,也要及时更新补丁,可以下载专门的安全软件来完成这些工作,如360安全卫士,安装之后,只要连上网络,就可以自动的为系统打上必要的补丁。

3.1.2 使用身份认证和数据加密技术

对于校园网络中重要的资源和信息,要进行数据加密,还要控制它的访问权限,有权限的人才能访问这些信息,防止非授权人员访问这些资源和信息,造成重要信息的泄露。

3.1.3 χ匾数据要定时备份

校园网络要正常运行,离不开数据的支持,对于这些重要的数据,要经常备份。数据备份是为了防止出现意外情况时,比如病毒破坏,黑客攻击,硬件故障,工作人员误操作等,一旦出现意外情况,可以用备份数据使校园网络以最快的速度恢复正常工作,而不至于造成重大的损失。

3.1.4 做好网络病毒的防范工作

提高网络病毒的防范能力,必须选择相应的防病毒软件,并且要正确配置这些防病毒软件,还要及时更新防病毒软件,平时要多扫描计算机,及时检测出系统存在的漏洞,进行相应的补救,计算机的安全策略也要进行正确的配置等。

3.2 管理层面对策

对于管理层面,应该制定健全的网络安全管理制度,主要包括以下几个方面的内容:

(1)建立高效合理的安全管理制度。建立好的制度来规范用户的使用习惯,校园网内计算机,必须有最基本的防护措施,并且要经常进行杀毒,数据备份,教学系统密码必须符合一定的复杂度,而且每过一段时间必须改变密码,不能长时间使用一个固定密码,对于一些有重要信息和资源的部门,禁止非授权人员随便进入并使用计算机。

(2)学校要经常进行关于网络安全知识教育,加强教职工的安全意识,使教职工意识到网络安全的重要性,并且具备一些基本的安全防护能力。

(3)加大网络安全维护的投入。及时更新陈旧的网络设备,购买防火墙,杀毒软件,派遣维护人员到专业安全公司接受培训,以提升维护人员解决新问题的能力。

3.3 物理安全层面对策

物理安全是保护整个计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故、人为操作失误导致的破坏的过程。可以从下面几个方面采取措施:

3.3.1 物理环境选择

对于校园网络的各种网络设备,要选择适宜的存放环境,要考虑多方面的因素,比如防水,防火,防盗,防雷击等,保证物理环境的安全。

3.3.2 光缆线路的防护

网络设备都是通过光纤网线联通的,如果这些光缆路线出现故障,也会影响网络的正常运行。光缆线路的防护主要是防止雷击,防强电破坏,防止老鼠白蚁咬,防人为破坏线缆,同时要经常检查光缆线路,发现问题及时处理。

3.3.3 防止人为误操作

可以从两个方面考虑,一是完善管理制度,对于可能出现或者容易出现误操作的地方,通过制定制度作来防止出现误操作,对于已经出现误操作,要总结经验,将这些经验加入到管理制度中;二就是加强技术培训,对于相关工作人员进行技术培训,如果工作人员对相应知识、技术都比较熟悉,就可以减少误操作。

4 结束语

校园网的安全问题是一个较为复杂的系统工程, 涉及技术、设备、管理和制度等多方面的因素,制定安全解决方案需要从整体上进行考虑, 我们必须做到管理和技术并重,安全技术必须结合科学的管理制度,并将各种安全技术与管理手段配合使用,把网络不安全因素降到最少,才能确保校园网络系统的安全。

参考文献

[1]黄彬.浅析高校网络安全存在的问题及对策[J].信息安全与技术,2011(Z1):11-12.

[2]吴尚.浅析高校网络安全存在的问题和对策[J].计算机光盘软件与应用,2014(21):178.

[3]贺斌.高校网络安全存在的问题与完善策略探析[J].信息通信,2014(10):165.

篇10

对于具有开发性、国际性和自由度的互联网在增加应用自由度的同时,也存在着太多太复杂的安全隐患,信息安全令人担扰。有人这样说:“如果上网,你所受到的安全威胁将增大几倍;而如果不上网,则你所得到的服务将减少几倍”。因此,可信网络已经成为当前研究的热点话题。网络应为科研服务,作为校园网在提高管理效率、促进教科研发展、方便校园生活的同时,网络中的各种安全问题也层出不穷,提高IT安全建设和管理水平已成为高校信息化建设中不容忽视的重要工作内容。

2 校园网安全面临的困难

现在大多数校园网以Windows作为系统平台,因为其功能太多,太复杂了(Windows操作系统就有上千万行程序),致使操作系统都不可能做到完全正确,所以其它系统的安全性能都是很难保证的。对于具有更复杂环境的校园网来说,不但面临着系统安全及其威胁,而且还具有自已的特殊性。一方面,学生的好奇心强,一些学生社会责任感较轻,喜欢挑战;另一方面,校园网的网络条件普遍较好,计算机来源又较为复杂,隐蔽的IP地址使之更容易实施网络攻击。同时,教育信息化管理中长期形成的“重技术,轻管理”的思想,也使得校园网的安全形势更加严峻。

随着信息技术的不断发展,病毒传播的途径越来越多样化。对于校园网管理人员而言,还不得不面对大面积的ARP欺骗病毒,这对于用户群庞大而导致可控性和有序性很差的校园网提出了巨大的挑战,构建校园网络应急响应机制迫在眉睫。

3 校园网应急响应机制的建立

2007年6-7月间,由教育部科技发展中心主办、中国教育网络杂志承办的“2007教育行业信息安全大会”在北京等地召开。会议对“高校建立应急响应机制”进行了专题问卷调查,调查结果显示,66%的高校未建立安全应急响应机制,33%的高校计划在年内建立学校的安全应急响应机制。由此可见还有大部分高校在网络安全管理方面还需加大力度,仅凭单纯的安全产品和简单的防御技术是无法抵挡攻击的,必须依靠应急响应等一套完整的服务管理机制,建立其相应的流程,通过加强学习努力提高队伍的技术水平及响应能力,从技术和管理两个维度保证网络安全。

校园网应急响应是指在校园网内行使CERT/CC(计算机紧急响应小组及其协调中心)的职能,对校园网内的各网络应用部门和用户提供网络安全事件的快速响应或技术支持服务,也对校园网内的各接入单位及用户提供安全事件响应相关的咨询服务。校园网应急响应组的主要职能是:对计算机网络系统的安全事件一是进行紧急反应,尽快恢复系统或网络的正常运转。二是要使系统和网络设施所遭受的破坏最小化。三是对影响系统和网络安全的漏洞及防治措施进行通报,对安全风险进行评估等。

比较完善的网络安全机制,应包括网络安全服务、网络安全管理和用户安全意识三方面。因此,校园网应急响应组依据其职责不同分为以下三个安全工作小组。

(1)事件处理工作小组及职能:主要负责安全事件的应急与救援、事件的分析、安全警报的等。主要职能是服务,制定和实施校园网安全策略及网络安全突发事件应急响应预案;监测网络运行日常状态,及时安全公告、安全建议和安全警报,当发生了安全事件时及时向CERT热线响应;解答用户的安全方面的咨询;定期对网内用户进行风险评估等。

(2)技术研发工作小组及职能:主要通过研发,寻求安全漏洞的解决方案,应急处理的信息与技术支持平台。主要职能是安全研究,研究内容是校园网常用网络攻击技术及防范。

(3)教育培训工作小组及职能:建立应急处理服务队伍,通过各种形式的培训提高全校师生的网络安全意识,加强师生行为安全。主要职能是宣传教育,对校园网用户进行安全知识的教育与网络安全技术培训,使其提高自我保护意识,自觉关注网络上最新的病毒和黑客攻击,自主解决网络安全问题。

应急响应是全方位的工作,再好的经验也是具有不可复制性,无论建立何种模式的机制,最重要的是要与高校网络自身特点相结合,建立有自身特色的应急响应机制并在实践过程中不断改进和完善。一个良好的响应机制要技术力量到位、部门责任明确、合作流程清晰,并遵循可行性、高效率、高效益和低风险的原则。因此我们应通过加强主动性,使安全故障的应急响应能力从报警向预警的道路上迈出坚实的步伐,为从容不迫应对网络突发安全事件打下基础。