公务员期刊网 精选范文 校园网络安全建设范文

校园网络安全建设精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的校园网络安全建设主题范文,仅供参考,欢迎阅读并收藏。

校园网络安全建设

第1篇:校园网络安全建设范文

【关键词】校园网;网络安全;安全策略

【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158(2013)07-0329-02

1 校园网络安全规范

校园的网络安全是指利用各种网络监控和管理技术措施,对网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。

学校网络中心负责网络设备的运行管理,信息中心负责网络资源,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。

2 安全方案建议

2.1 校园网络状况分析

(1)资源分布和应用服务体系

校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(Email),远程登录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。

(2)网络结构的划分

整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。

2.2 网络安全目标

为了增加网络安全性,必须对信息资源加以保护,对服务资源加以控制管理。

(1)信息资源

a:公众信息;即不需要访问控制。

b:内部信息;即需要身份验证以及根据根据身份进行访问控制。

C:敏感信息;即需要验证身份和传输加密。

(2)服务资源包括:内部服务资源、公众服务资源

内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。

公众服务资源:面向匿名客户,防止和抵御外来的攻击。

3 校园网络安全技术的应用

3.1 建立网络安全模型

通信双方在网络上传输信息时,需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息,需要对信息提供安全机制和安全服务。

为了信息的安全传输,通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息,并在双方发生争议时进行仲裁。设计一个网络安全方案时,需要完成以下四个基本任务:

(1)设计一个算法,执行安全相关的转换;

(2)生成该算法的秘密信息;

(3)研制秘密信息的分发与共享的方法;

(4)设定两个责任者使用的协议,利用算法和秘密信息取得安全服务。

3.2 数据备份方法

数据备份有多种实现形式,从备份模式看,分为物理备份和逻辑备份;从备份策略看,分为完全备份、增量备份和差异备份。

(1)逻辑备份

逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成,每个逻辑块存储在连续的物理磁盘块上,备份系统能识别文件结构,并拷贝所有文件和目录到备份资源上。

(2)物理备份。

物理又称“基于块的备份”或“基于设备的备份”,其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为在执行过程中,花在搜索操作上的开销很少。

(3)完全备份

完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以使用备份文件快速地恢复数据。

(4)增量备份

为了解决完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变,既节省空间,又缩短了备份的时间。因而这种备份方法比较经济,可以频繁地进行。

(5)差异备份

差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。

3.3 防火墙技术

防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。

防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用服务器都可以作为防火墙使用。

3.4 入侵检测技术

入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为,包括来自系统外部的入侵行为和来自内部的非法授权行为,并采取相应的防护手段。它的基本功能包括:

(1)监控、分析用户和系统的行为。

(2)检查系统的配置和漏洞。

(3)评估重要的系统和数据文件的完整性。

(4)对异常行为的统计分析,识别攻击类型,并向网络管理人员报警。

(5)对操作系统进行审计、跟踪管理,识别违反授权的用户活动。

4 校园网主动防御体系

校园网的安全威胁既有来自校内的,也有来自校外的。在设计校园网网络安全系统时,首先要了解学校的需要和目标,制定安全策略。因此网络安全防范体系应该是动态变化的,必须不断适应安全环境的变化,以保证网络安全防范体系的良性发展,确保它的有效性和先进性。

安全管理贯穿整个安全防范体系,是安全防范体系的核心。网络系统的安全性不只是技术方面的问题,一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理, 安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时,无法进行实时的检测、监控、报告与预警。同时,也无法提供黑客攻击的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵。

结论

通过上述分析,我提出如下校园网络安全防范策略:

(1)利用防火墙将内网和外网进行有效隔离,避免与外部网络直接通信;

(2)利用防火墙建立网络的安全保护措施,保证系统安全;

(3)利用防火墙对网上服务请求内容进行控制,使非法访问被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将访问权限控制在最低限度内;

(4)在Internet出口处,使用NetHawk监控系统进行网络活动实时监控;

(5)在本校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;

(6)加强网络安全管理,提高全体人员的网络安全意识和防范技术。

[1] 冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3

[2] 蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社, 2005, 52-56

[3] 陈健伟,张辉.计算机网络与信息安全[M].北京:希望电子出版社,2006.2:42-43

第2篇:校园网络安全建设范文

【 关键词 】 校园网;信息安全;网络技术,技术应用

On the Construction of Campus Network and Network Information Security

Luo Qiong

(Sichuan College of Chemical Technology SichuanLuzhou 646005)

【 Abstract 】 campus network is a local area network, LAN is one or several buildings in the computer, terminal, with a mass storage peripheral device, controller, display, as well as for connections to other network and use network connectors connected with each other, with a high speed for the purpose of the network ". With the development of computer technology and network technology, Internet has penetrated into all aspects of the school, the school has established a campus network, campus network construction to help students access to information, to help teachers in the teaching and research activities, helps improve teaching environment, conducive to the school to establish a good image, attract students, improve level of management and management efficiency.

【 Keywords 】 campus network; information security; network technology, technology application

0 前言

现代化信息社会里,要想建一流的学校,要想实现学校的科学高效管理,就必须将网络技术应用到日常教学管理中。校园网的主要应用范围大概分为几种情况:①从教师角度来说,帮助教师从网络中获取知识、帮助教师备课、丰富课堂教学内容;②从学生角度来说,校园网是学生学习的工具,是学生之间交流的工具,有利于学生学习文化知识和培养学生良好的人际沟通能力;③从学校后勤管理工作来说,校园网能够很好地服务于教学管理工作,无论是财务管理、行政管理还是人事管理等都离不开计算机,离不开网络技术;④从学校整体来说,校园网是一个媒介,是学校与外面沟通的窗口,是一个信息平台,在这个平台上既可以从校外获取各种信息,也可以向外各种信息。

1 校园网建设关键技术分析

校园网建设是一个系统工程,需要大量的软件和硬件,主要分为几方面。

网络协议技术:在校园局域网上用到的协议主要有ICP/IP协议、IPX/SPX协议等,协议是通信双方共同遵守的约定和规范,网络设备必须安装或设置各种网络协议之后才能完成数据的传输和发送。

OSI网络体系结构:主要由应用层、表示层、会话层、运输层、网络层、数据链路层和物理层组成,其中物理层是位于体系结构的最低层,它定义了OSI网络中的物理特性和电气特性。

HTTP、FTP、Telnet协议。HTTP是用于分布式协作超文本信息系统的、通用的、面向对象的应用层协议。FTP是客户/服务器方式服务的各种规则所组成的集合,主要用来支持Internet文件传输。Telnet是采用客户/服务器模式的应用层协议,提供终端设备与面向进程接口的标准方法,Telnet应用广泛,功能强大,尤其适用于用户登录远端主机和允许用户执行远端主机命令这两方面,可以在有限的网络空间下获取无限的网络资源。

常用网络硬件设备:一般来说,网络设备有网卡、集线器、交换机等,这些设备按照一定的组合方式连接起来,在整个网络中分别发挥着自己的功能又同时存在着密切的联系。网卡是实现网络通讯的重要设备之一,它是计算机与网络的接口,选用网卡时要注意,网卡有很多种,不同类型的网络需要使用不同种类的网卡,如从校园网建设的实际应用情况来看,工作站网卡选择PCI总线的10M /100Mbit/s自适应网卡最适合。路由器主要分为软路由和硬路由,有静态的和动态的,路由器是校园网中不可缺少的设备,它的功能比较强大,主要用来将不同的网络物理分支和不同的通信媒介连接在一起及过滤和隔离网络数据流、控制和管理复杂的路径、在网络分支之间提供安全屏障层等功能,当数据流到达路由器后,路由器根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。服务器,校园网中的服务器有数据库服务器和服务器,学校里计算机数量众多而且集中,服务器的选择应该针对校园网特点,选择具有较大容量、较高处理速度和稳定性的大型服务器。

2 校园网建设思路

校园是一个特殊的网络环境,校园网的建设应该结合学校实际情况,进行详细规划。校园网的建设要体现分布式、开放式、安全可靠,维护简单等原则,重点是应用局域网技术以及多媒体技术为主的各种网络应用技术。

校园网建设的目的是为日常教学和后勤行政管理提供服务,不断提高教学管理水平,拓宽教师和学生的知识面,利用现代信息技术可以推动和改变传统的教学模式,加速教学方式的改革,改变传统的灌输式教育,改变以往老师讲、学生听,死记硬背的传统教学方式,实施以学生为主的教育教学方式。

校园网建设过程中,应该校园网的功能与作用,结合学校应注重硬件设备、软件跟上、“智件”超前、“潜件”保障,即“四件”平衡。其中“智件”是主题,是指富有文化知识的教师,“潜件”主要指服务于教学的各种保障措施。

校园网建设过程注重高效、避免重复浪费,校园网是一个复杂的系统工程,在建设之初就应该做好整体规划,使工程形成良性循环,保证各个环节成本最低,尤其是避免重复投资和不合理利用资源现象的发生,校园网建设过程中要尽量使用成熟技术,因为成熟技术既可以减少风险,又能做到性能稳定、实施快、见效快,维护更新更有保障。

3 校园网的信息安全现状及解决对策

3.1 校园网的信息安全现状

校园网本身存在“重技术、轻安全、轻管理”的倾向,在各种论坛、聊天室出现的不良言论无法用人工审核监督的方式有效解决,作为教育信息化基石和院校形象保障的校园信息安全问题不容乐观。加上院校各类应用系统的不断增加和扩充,网络中心等管理单位所维护并管理的服务器逐渐增多,特别是诸多的Linux服务器占据着许多重要应用,比如网站服务器、邮件服务器、解析服务器等,不同于Windows的界面化操作,Linux系统在提供稳定服务的同时对维护人员和维护工作都有较高的要求,从而导致必须为Linux服务器配备较多的技术人员和工作强度。

校园网连接的除了各级行政单位网络,还连接校内学生机,因此存在许多安全隐患,主要表现有校园网与 Internet 相连,存在着外网攻击的风险;来自校园网内部的安全威胁;接入校园网的节点数日益增多,这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。

3.2 针对校园网的信息安全所采取的解决对策

随着网络的高速发展,信息交流和共享的速度逐渐加快,网络不断出现新病毒,校园网存在很大安全隐患,如何更好地对计算机进行防护,如何保护校园网络的安全是计算机专业人员重点考虑的问题,与此同时,学校对网络信息安全问题越来越重视,纷纷建立了一套有效的网络安全机制,重点防范网络病毒、黑客攻击。通过瑞星防毒墙、瑞星网络安全预警系统、网络版杀毒软件,实现网络安全隔离、网络监控措施、网络病毒的防范等安全需求。

1)防毒墙的部署

在Internet与校园网内网之间部署了一台瑞星防毒墙,其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与 Internet 连接。这样,通过 Internet 进来的外网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被非法访问或破坏,也阻止了内部用户对外部不良资源的使用,并能够对发生的安全事件进行跟踪和审计。

2)瑞星网络安全预警系统的部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素,根据校园网络的特点,我们采用瑞星网络安全预警系统,接入 Cisco 中心交换机上,对来自外部网和校园网内部的各种行为进行实时检测。

3)瑞星网络版杀毒软件的部署

为了实现在整个局域网内病毒的防护,我们在可能感染和传播病毒的地方采取相应的防病毒手段。实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。

4)整体实现的主要功能

通过对大学校园网络的安全设计,在不改变原有网络结构的基础上实现多种信息安全,保障大学校内部网络安全;实现对整个校园网病毒防范和查杀,有效防止病毒在校园网内的传播;保护脆弱的服务,通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险;控制内部和外部用户对校内各种应用系统的访问,有效保护内部各种应用服务器,例如防火墙允许外部访问特定的Mail Server和Web Server;提供集中的统一安全管理,管理员可以通过管理控制台对内部和外部用户指定统一的安全策略;提供强大的安全日志记录和统计,管理员可以通过各种安全日志对网络进行实时监控和统计分析,及时发现网络的各种安全事件。

4 结束语

校园网的发展对教育事业的发展起到了催化剂的作用,教育依托信息技术实现了教学与管理的信息化和现代化,校园网的建设提高了教师的教学水平,提高了学生的学习兴趣,提升了教育科研水平,大大增强了学校的综合实力。虽然,校园网络技术发展过程中遇到了很多网络安全考验和硬件维护等困难,但是只要采取合理的措施,杀毒软件及时更新,防火墙时时监护等,就一定能在最大程度上保证校园网的信息安全。

参考文献

[1] 官金安,傅德荣.“基于Internet/Intranet的学校CBE系统的建设”,电化教育研究,2000(2).

[2] 刘庆瑜.校园网中的网络安全问题浅谈[J].宁波大红鹰职业技术学院学报;2006年01期.

[3] 纪楠楠.浅析校园网络安全[J].商业经济,2007年09期.

[4] 厉晓华.高校网络安全管理模式的探索与实践[J].科技创新导报,2009年04期.

第3篇:校园网络安全建设范文

校园网安全系统的建设是一个庞大而复杂的工程,不可能在短时间内完成,也不能有一个完整而周全的解决方案。我们只能是想方设法使学校的网络更加安全,尽量减少因为网络安全带来的损失。在WPDRRC模型中,连接的依次是预警(Warning)、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Restore)、反击(Counterattack)六个环节,内层是人、策略、技术三个逐步扩展的同心六边形(如上图)。将安全策略变为安全现实,人是核心,策略是桥梁,技术是保证。下面,我们主要从技术保障、安全策略、人员素质等三个方面,谈谈对学校网络安全系统建设的一些建议和做法。

第一道关――硬件技术保障是防线

通过添加硬件防火墙或者“计算机+软件”式的防火墙,在内部网与外部网之间、专用网与公用网之间构造起第一道保护屏障,最大限度地阻止网络中的黑客入侵网络。防火墙对通过的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,而且还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。防火墙是一个安全策略的检查站,所有进出的信息都必须通过防火墙,使可疑的访问被拒绝于门外。

现在笔者所在区域大部分学校都采用“海蜘蛛”作为路由器,目前使用的是“海蜘蛛”V6.1.0,此版特别适用于校园等对网络应用高要求的环境。专门解决校园网电脑中毒、相互攻击、上网缓慢等现象。此设备能够轻松实现以下功能。

用户安全管理:支持各种防火墙策略。提供DNS/IP/网址/关键字过滤功能。支持“PPPoE认证+Web认证+验证码”的三重防护,有效地防止ARP、DoS类攻击。

安全隔离每个用户:采用一户一线,杜绝用户间互相攻击的现象,即使个别电脑中毒也不会对周围用户产生任何影响。

智能QoS功能:能对P2P下载、在线视频等高带宽应用采用智能化QoS流量控制,有效防止了这些应用对其他用户网络的影响。方便对小区内用户提供高质量的网络服务。

长期稳定运行:路由系统基于linux内核,能在长时间不间断的情况下稳定运作。

完善的备份支持:支持定时关机重启,远程备份路由配置文件,简化了管理员的工作任务。

日常网络的监管采用《傲科天蓝蓝安全设备》,可以轻松实现:日志审计、信息过滤、行为管理、内容监控、P2P下载控制、流量管理、策略管理、数据安全管理等功能。

通过采用各种防火墙技术和网络监管设备的防护,为校园网的安全建立起第一道安全防线,为学校网络安全提供有力的技术保障。当然,各所学校的具体情况和网络规模有所不同,采用的校园网安全系统也应有所差别,不可能按照同样的方法,但是可以采用同样的模式。

第二道关――网络安全策略是桥梁

校园网使用者或者说接入点越来越多,随之而来的网络安全问题也会越来越多,合理的、优化的网络安全策略可以有效地降低安全风险,在技术上实现网络系统的安全管理,制定有关网络安全管理的规章制度,确保网络系统安全、可靠地运行。网络安全策略主要涉及以下几个方面。

物理安全策略:主要包括机房网络和办公网络的物理隔离、机房环境的建设、防火防盗、电磁干扰、非法用户入侵等。

访问控制策略:主要包括重要数据的加密、服务器密码的安全性、密码定期更新、用户权限的控制、对于目录的访问权限、敏感数据的控制、用户验证机制等。

VLAN划分策略:当学校网络规模较大时,建议对学校的网络进行合理地划分VLAN,划分可以按照基于端口、基于MAC地址、基于网络层协议、根据IP组播、按策略、按用户定义、非用户授权划分VLAN等多种划分方式。划分VLAN的目的主要是避免用户之间的相互干扰,根据学校用户的特点,可以根据学科进行划分、根据课程表进行划分,可以有效地隔离用户干扰和进行流量控制。

网络安全管理策略:为保障校园网的正常运行,规范各项操作,通过建立各项规章制度、规范用户操作、安全等级管理、管理范围、有关人员的操作流程、机房管理制度、定期维护制度及应急预案等措施,以起到明确职责,责任到人、有理有据、保障有力,将网络安全的风险降到最低,从内部管理上防范网络安全事故的发生。

第三道关――人员素质提升是核心

人员素质的提升对校园网的安全起着非常关键的作用,我们这里讲的人员主要包括两个方面:一是网络管理人员,简单来讲就是学校的网管员;二是网络使用人员,主要是指教师,还包括使用校园网的学生。

网络管理员技术水平的高低对于保障学校网络的安全运行起着至关重要的作用,但由于现在很多学校的网管员都是兼职的,没有接受过专门的培训,水平参差不齐,短时间内很难提升。网管员要通过多种途径,学习和掌握足够的信息安全知识,充分理解相关的安全技术、操作系统和应用软件的安全性能,不断跟踪安全新闻动态、安全技术发展,养成良好的信息安全习惯,成为学校网络安全管理的主力军。

对于普通网络用户来说,网络安全威胁来自两个方面:一方面是被动的,来自病毒、木马、恶意脚本和插件以及黑客的攻击等;另一方面却是主动的,比如浏览挂有木马的非法网站、钓鱼网站、含有病毒的垃圾邮件、含有非法链接的聊天信息等。根据调查显示,由于自己无意识地点击恶意网站而导致中毒木马的竟然占到了绝大部分。半年内有40.5%的用户没有遭遇过病毒和木马的攻击,这部分网络用户有一个共同点:普遍具有良好的网络安全意识。由此可见,教师网络安全意识的提升是整个学校网络安全系统的核心所在。教师网络安全意识的提升需要经常组织相关的网络安全知识的培训,使得某些网络安全隐患被消除在萌芽状态。

第4篇:校园网络安全建设范文

【关键词】智慧校园;无线网络安全

随着信息技术的快速发展,数字化校园乃至智慧校园是高校信息化建设的必然趋势。

由于校园信息化建设与应用牵扯的面宽、量大,涉及的部门众多、人员复杂,包含了大量的网络应用、事务管理、周边模块等子系统,迫切需要一个部署简便、联通快捷、便于扩展的网络平台。尽管有线网络以速度较快、传输稳定、成本低廉等优点始终在网络建设中处于优势地位,但其在布设与维护过程中存在的工程量大、破坏性强、移动困难、后期维护成本高、系统覆盖面积小等缺陷也限制了其进一步的发展。此外,随着各种无线终端设备的日益普及,原有的校园有线网络已经难以满足广大师生随时随地网络接入的需要,构建稳定、高效、安全的无线局域网逐渐成为高校信息化发展的必然趋势。

无线局域网是计算机网络与无线通信技术相结合的产物,它以电磁波作为传输媒介,依托802.11a、802.11b、802.11g等协议,实现数据传输功能。无线网络的建成,使得校园网的覆盖范围得到拓展、部署方式更加灵活、设备维护更为便捷。目前,无线网络已经在高校网络建设中得到了广泛的推广和应用,有效提高了数据信息的综合利用效率。但是,由于无线局域网的信息传输媒介是电磁波,这一传输的特殊性就导致了它比有线介质(双绞线、光纤)更容易受到干扰、窃取和破坏。因此,无线局域网的信息安全技术比有线介质网络显得更为复杂,其面临的安全威胁也更加多样。

一、校园无线局域网面临的安全威胁

1.网络窃听

传统有线网络采用物理连接,数据在传输时已经由传输介质(如双绞线、同轴电缆、光纤等)提供了物理保护,数据具有封闭性。而无线网络通过无线电波传送数据,只要是无线信号覆盖范围内的任何无线终端设备都可以接受这些数据,因此无线传输的数据很容易被他人窃取,一般说来,大多数网络通信都是以明文格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解通信。如果这些数据未加密或被恶意破解,则会对个人用户的隐私及整个无线网络的安全构成严重威胁。

2.非法接入

有线网络能明显地分辨出计算机是否连接在网线上。而无线网络则不同。无线局域网具有开放性,理论上只要是无线接入点(AP)覆盖范围内的任何无线终端设备都可以通过AP接入网络,而AP又无法像有线局域网那样对接入设备数量与位置进行严格的限定和管理,所以如果无线局域网中没有加入用户认证体系,那么未经授权的用户可以很轻松地通过AP接入网络,这种接入如果是恶意的,就会对整个网络的安全构成严重威胁。

3.病毒攻击

无线网络和有线局域网一样,都会遭受病毒攻击。不同的是无线网络中的AP一般都没有防病毒和防攻击的功能。一旦黑客知道了某个AP的IP地址,并向其发起拒绝服务攻击的话,该AP很快就会瘫痪。

二、应对策略

1.物理地址绑定

每个无线客户端网卡都有唯一的物理地址标识,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。

物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作。这种方式的扩展能力较低,只适合于小型网络。此外,非法用户利用网络侦听手段很容易窃取合法的MAC地址,而且MAC地址并不难修改,因此非法用户完全可以盗用合法的MAC地址进行非法接入。对于这一问题,目前所用的解决方法是通过AC对用户进行绑定,采用VLAN+IP地址+MAC地址来唯一标识一个用户。

2.SSID访问控制

服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定。无线客户端必须出示正确的SSID才能访问无线接入点AP。利用SSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题,从而为无线局域网提供一定的安全性。然而无线接入点AP周期向外广播其SSID,使安全性一定程度下降。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问点而言,要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。

3.802.1x扩展认证协议

IEEE802.1x使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构,其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理,可将无线网络安全风险减小到最低程度。在此条件下,作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求,根据所选身份验证方法,该客户端获得身份验证,并且为会话生成唯一密钥。然后,客户机与AP激活WEP,利用密钥进行通信。

4.加强无线局域网监测与日常管理

第5篇:校园网络安全建设范文

【关键词】网络安全;网络攻击;建设与规划;校园网

1、网络现状

扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。

2、安全威胁分析

目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。

2.1安全设备现状

Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。

2.2外部网络安全威胁

互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。

2.3内部网络安全威胁

内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。

3、安全改造需求分析

本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。

4、解决方案

网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。

4.1短期网络建设规划

4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。

4.2长期网络建设规划

网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。

5、结语

从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。

参考文献:

[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184

[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3

[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4

[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17

[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31

第6篇:校园网络安全建设范文

【关键词】校园网安全 威胁 防范策略 防火墙

随着教育与科研网工程的快速发展,许多高校建立起自己的校园网络。但与此同时,也带来了网络安全问题。建立全新校园网络安全机制。保障网络的安全运行,使校园网络成为一个具有良好的安全性、可扩充性和易管理性的信息网络。

1 校园网络面临的威胁

目前,高校校园网络正处在蓬勃发展阶段,网络基础设施有了较好的基础,但网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。国内高校校园网的安全问题有其历史原因。在以前的网络建设时期,由于意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在重技术、轻安全、轻管理的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,这就面临更多的安全威胁。不完善的计算机网络系统、潜在的强大黑客、嚣张的计算机病毒、缺乏防范意识的用户等等,都是威胁网络安全的隐患。这些安全隐患一旦成为事实,所造成的对整个网络的损失都是难以估计的。因此,网络的安全建设是校园网建设过程中重要的一环。

2 校园网络安全的防范策略

2.1 物理安全策略

网络的物理安全是整个网络系统安全的前提。在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,应该对场地的封闭、防火、防盗、防静电、适当的通风、温度的控制以及电源的安全等提供符合网络设备要求的安全保证。还要考虑布线系统与照明电线、通信线路及暖气管道之间的距离,考虑布线系统和绝缘线、线以及接地与焊接的安全。

2.2 制定严格的网络安全管理制度策略

网络安全最重要的还是要思想上高度重视,校园网的安全需要用完备的安全制度来保障。健全校园网络安全管理制度是网络安全的核心。成立专门负责管理信息安全的部门,制定一系列规定。这些规定应包括:计算机网络安全建设规定,计算机网络安全管理规定,安全保密管理规定,机房出入管理等。选择有较高职业道德修养的人做网络管理员,提高管理人员的管理技术和计算机网络安全的防范意识,要从基本上保证和巩固计算机网络安全。对于使用人员来说,要加大宣传力度,进行计算机网络安全教育,提高使用人员的防范意识,保证计算机网络的相对安全。

2.3 系统安全策略

计算机网络应用与服务的基础是操作系统,但是不论采用什么操作系统,恐怕没有绝对安全的操作系统可以选择,无论啊个操作系统,其开发厂商必然有其后门。高校校园网络不但要选用尽可能可靠的操作系统,而且必须对操作系统进行安全配置。

在缺省安装的条件下计算机系统都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。同时采用最先进的漏洞扫描系统定期对网络中心的网络设备进行安全检查。也要优化操作系统,可以通过修正补丁,完善漏洞,加强监控,将服务和应用建立在安全级别较高的操作系统上。而且,必须加强登录服务器过程的认证,确保用户的合法性,也应该严格限制登录者的操作权限,将其操作限制在最小的范围内。

2.4 防火墙安全策略

防火墙是一个系统或一组系统, 它是由一个软件或和硬件设备组合而成,在内部网与公用的互联网间执行一定的安全策略,它实际上是一种隔离技术。在校园网中安全防火墙进行双向限制,一方面限制外界用户访问校园内部网络,较好的防止非法用户的入侵,一方面限制校园内部用户访问外界网络,通过这双方的限制保证网络的安全,就像是一道门将内部网络和外界通道进行了阻隔。

同时防火墙监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记。所以使用防火墙来保护计算机、服务器和局域网,使其在一定程度上避免受到攻击并保护网络资源的安全。

2.5 数据加密策略

数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破坏所采用的主要技术手段之一。数据加密技术相比防火墙来说,更加灵活,可以用以进行动态信息的保护。

在校园网络系统中,涉及到很多重要信息,如学生成绩,科研资料等,如果这些重要信息遭到窃取或破坏,它的经济和社会影响将是很严重的。对于传输的重要信息,必须采用加密技术,保证网上传输的信息的机密性与完整性。

2.6 部署入侵检测系统策略

入侵检测系统是公认的一种对抗网络安全的有效方式。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,通过检测再采用一定的方式进行阻止或封闭等。强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。

对来自外部网和校园网内部的各种行为进行实时检测。当检测到网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据,如果情况严重,系统可以发出实时报警,使得学校网络管理员能够及时采取应对措施。

2.7 防病毒策略

计算机病毒给上网用户带来极大的危害,病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在校园网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、自动升级、病毒扫描和清除、远程报警等多种功能。杀毒时要注意使用多种杀毒软件,尤其要安装网络杀毒软件,结合各种查杀方式交叉清理,可以有效对抗病毒、木马等对计算机有危害的程序。

3 总结

本文针对目前校园网络中存在的主要威胁,提出一些网络安全防范的措施。网络安全防范策略涵盖面广,综合性强,需要不断的完善和努力。校园网络安全是一个循序渐近不断完善的过程,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。

参考文献

[1]谢晖辉.网络安全技术在校园网中的应用,电脑知识与技术,2009年第09期.

[2]李红,薛礼.云计算与物联网[J],硅谷,2012,09:17+64.

第7篇:校园网络安全建设范文

校园的计算机使用和网络的应用不仅实现了教学资源的共享,同时也加强了对教学信息的快速处理,为师生之间的学术讨论提供了一条便捷的渠道,使学生的学校生活质量得到明显改善。但人们却也往往会忽略了学校的网络安全。

1校园网络安全管理的意义

计算机网络在教学和科研中的作用越突出,网络的安全管理就越是不能忽视。

1.1关乎学校的利益

目前,大多数学校的校园网都存储了大量的内部教学资料,其中包括学生的成绩信息、档案文件等,很多重要的工作要依赖网络才能得以实施,一旦出现个人数据丢失或被盗的事件,会带给学校和学生很大的损失。所以,加强学校的校园网络安全的管理具有十分重要的意义的。

1.2关乎学校的形象

学校要想在现今计算机网络技术不断发展的信息化时代中脱颖而出,就必须强化对网络安全的关注。今后校园教育管理的发展趋势必然是一步步的走向智能化、网络化。因此,维护校园的网络安全对学校的整体形象及其长远发展有着很重要的意义。

2现阶段学校网络安全的现状及主要问题

就目前来说,校园网络安全管理的现状不容乐观,存在着许多问题,由于学校校内网用户群体比较特殊,相对来说学校网路的用户较多,产生的数据量也就会大,直接导致校园网络的不容易管理。而且学生通过校园网进行上网娱乐的时间大都在下课及休息期间,很容易造成网络的堵塞,甚至造成会导致病毒的扩散。而另一方面,因为很多学生他们并没有采取任何保护措施,无形中就导致了病毒的快速传播,从而出现网络性能下降,或是造成数据受到破坏、信息丢失的现象,更严重者会造成系统瘫痪等无法弥补的后果。关于校园网络安全问题主要表现在以下几个方面:

2.1病毒侵入严重

校园网络为教师和学生的日常生活和学习提供了极大的便利,但与此同时也成为了病毒传播的主要路径。随着科学技术的进步,黑客的技术水平也得到了不断的提高,网络病毒的传播性和破坏性已经变得越来越严重。有些病毒可能会损坏用户的硬盘驱动器,甚至更严重的话还会导致重要的数据信息丢失,对师生个人和学校都造成了无法弥补的损失。

2.2恶意破坏现象严重

对计算机网络的恶意破坏主要包括对系统破坏和设备损坏两个方面。设备主要包括校园的网络交换机和服务器等,它们分布在校园的各个区域,相对来说对它们的管理也不是很容易。而有些人可能会利用维护人员对这些设备的管理方面的漏洞,破坏网络设备,从而导致整个校园网络的瘫痪。

3形成校园网络安全隐患的原因

3.1对于网络安全维护投入不足

对网络安全进行维护是一项庞大的系统工程,在维护工作当中会存在人力和物力资源的难度,但由于很多学校的经费有限或者已经将大部分资金投入到购买设备上,对网络安全的建设并不完备,因此校内网是在一个没有有效的安全预警状态中,时刻受到来自各方的威胁。

3.2学生网络安全意识淡薄

很多学生由于缺乏版权意识,对目前的盗版资源的利用并不能得到遏制,也造成了盗版系统及盗版资源的肆意横流,这无形中为网络安全问题埋下了隐患。例如盗版Windows操作系统在安装后可能会导致计算机系统存在大量的安全漏洞。此外,许多学生对网络安全没有足够的认知,所以他们依然随意的在互联网上下载不明软件,但此软件很有可能隐藏了木马病毒,会导致黑客系统的直接侵入。还有一些学生缺乏法律意识,用自己学到的计算机网络系统知识对校园网络进行攻击,这在很大程度上影响了校园网络的安全运行。

4加强学校网络安全管理的措施

4.1加快建设网络防毒体系

在校园网络的保护系统中可分为服务器保护和保护工作站两方面。首先是服务器的防病毒设置,防病毒系统应该做到能够远程安装服务器产品,而且还可以实时监控病毒入侵情况。现在,师生利用校园网对电子邮件的应用越来越多,它又增加了一个病毒入侵的途径。所以,需要在防止病毒入侵的体系中再增设一道关卡以确保了邮件的安全;此外就是工作站的防毒工作,工作站的病毒防护处于防病毒体系的最底层,所以,校内网的用户要特别注意该工作站的保护工作。

4.2建立用户账号管理机制

在对校园网的用户进行管理的时候,应该给每一位教师设置一个账号,学生可以使用公共账号。除此之外,还要加强对密码的设置和管理。密码的安全性是网络安全性的基本内容。因此,在设置密码的时候,必须保证三个月更换一次,只有这样才能确保密码安全。对于校园用户来说,应该规定按时对密码进行更新。综上所述,学校计算机网络安全管理对于保证学校信息安全,加快学校信息化建设具有十分重要的意义。对于网络安全管理中存在的问题,一定要高度重视。在制定管理措施的时候,不仅要提升技术水平,更要加强制度建设,唯有如此,学校计算机网络的安全才能得到保证,才能更好地服务于教学管理。

4.3部署防火墙

为了建立学校内外网的安全屏障,可以在Internet与校园网内网之间部署一台防火墙,将内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样的话,通过Internet进来的公众用户就只能访问一些特定的对外公开的服务,内网资源也不能在未授权的情况下被随意地访问或者破坏,内部也不能对外网资源进行滥用。一旦在网络中发生安全事件,学校内部网络也可以进行跟踪和审计。在设置防火墙时要遵循校园网安全策略和安全目标,以网络规划为依据,设置正确的安全过滤规则,要确保审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总地来说,就是网络设置要以不允许即禁止为原则。

4.4添加漏洞扫描系统

校园的网络安全建设可以采用最先进的网络安全漏洞扫描系统,并定期通过服务器、工作站、交换机等设备对学校的网络安全进行检查,与此同时通过设备监测得到的数据也能为系统管理员提供可靠的安全报告,以此作为提高网络安全级别的重要依据。

4.5建立完善的安全管理制度

因为大多数学校缺乏严格的网络安全管理制度,所以在管理上很容易出现漏洞,这就降低了学校的网络安全级别。所以,学校应建立一个具有高度权威性的信息安全管理机构,制定完善的管理体系,同时可以增强网络完全管理人员自身的责任感。与此同时,学校还可以定期的进行网络安全专业知识和技能的培训,加强学校教师和学生的网络安全知识的普及,提高网络安全的自觉性。最重要的是,学校需要建立应急处置预案的网络管理部门,确保及时发现存在的网络安全威胁,并及时安排有效的解决措施。只有学校的网络管理部门和广大校园网用户齐心协力帮助校园网络安全的维护,才能保证校园网的稳定运行,从而为学校的教学管理提供更好的服务。

4.6建立系统漏洞补丁文件库

学校需要在网络中心服务器上下载、安装系统补丁软件,及时更新最新的系统补丁,在更新后通过网络出去,确保所有的内部计算机都是通过漏洞扫描软件从此服务器下载补丁安装,这样既可以保证内部网络系统的迅速更新,也可以避免系统漏洞受到攻击。系统漏洞补丁文件库也可以尽快对受到黑客攻击的网络进行修复,弥补漏洞,避免黑客的二次袭击。

5结束语

网络安全性日益影响校园网络的操作,这个过程需要是个复杂细致的解决方案,但实际上并没有绝对安全的校网络,所以我们只有通过一定的方法来填充网络安全漏洞,最大限度地减少网络安全隐患,确保校园网的安全性。学校同时还必须加强对教师和学生的网络安全意识、规范互联网的使用,才能使校园网稳定运行,为师生的工作、学习生活提供更好的服务,是校园网为学校的教学和管理提供优质服务。

作者:陆明昕 单位:西安武警工程大学研究生14队

引用:

[1]关启云.校园网络安全问题分析及对策探讨[J].网络安全技术与应用,2013.

[2]许美玉.校园网安全建设的研究[J].中国电子商务,2013.

第8篇:校园网络安全建设范文

关键词 数字化校园应用 网络安全 数字教学 数字管理

中图分类号:G64 文献标识码:A

通过数字化校园网络基础建设和应用系统的功能开发,构建一个融教学、科研、管理、生活和服务为一体的数字化校园环境,提高学院的科学管理水平,营造学生的优良学习环境,创建职工工作生活的便利条件。

数字化校园是将现实校园的各项资源数字化,形成的一个数字空间,以现实校园在时间和空间上延伸。它是以网络为基础,从环境、资源到活动的全部数字化。校园网络及其应用系统构成整个校园的神经系统,完成校园的信息传递和服务。

随着数字校园建设的推进和信息系统的广泛应用,也产生了网络信息安全的问题。需要各高校和网络使用单位建立校园网络安全体系,构建校园网络安全屏障,实现用户分级管理、网络监控、上网行为控制、网络异常报警等功能,保证校园网络的安全,保证关键数据、关键应用、关键部门的安全,实现校园网络及其应用系统安全高效的运行信息时代,信息可以让企业或个人受益,一些不法分子也会盗取破坏信息来谋利。

1实现目标

数字化校园建设的总体设计目标是:建设一个包括数字环境建设、数字管理建设、数字教学建设、数字生活建设在内,能充分使用教育技术手段的数字化学校,以资源和数据共享为主导,有步骤、分层次地完成学校数字化校园的建设。实现校园服务一卡通系统的建设要求,实现数据、监控、广播的综合一体化通信平台。建设覆盖全校有线、无线通讯网络,实现有线及无线通讯系统。

建设智能化系统,建立相应的软、硬件平台,实现信息共享、资源共享、科学管理和网络信息集成。

2需求分析

数字化校园基础设施建设要将校园网络与教学系统、管理系统、安全监控系统、电视系统、广播系统、校园一卡通系统等进行合理的结合,构建成一套科学、便捷、稳定、有效的,能满足学校教学和管理智能化和数字化运行的综合系统。因此,必须建设好硬件基础平台和网络支撑平台以及若干应用系统。

3硬件平台

(1)中心机房建设。该中心往往是全校主要服务器、交换机等设备放置地,是全校办公、管理、科研、教学、运营中心。综合布线系统。该系统用于传输数据、语音、影像等信息,可将教学楼、办公室、电脑、电话等的传输网络与其他信息管理系统相互连接。

(2)网络管理系统。整个校园网建成后,将有大量的交换机、服务器等网络设备,需通过一种高效的、快捷的手段来完成对网络设备及系统的安全控制、性能优化、运营管理等,同时节约人员成本。

4基础应用

(1)校园一卡通系统。主要包括POS消费机、读卡器、条码机、写卡器、水控器等,从而实现学生收费管理、校园消费、上机管理、学籍管理、图书管理、转账(银行)、会计业务、查询服务、综合业务、门禁考勤、医疗管理、水控管理、科研经费、巡更等。LED屏幕显示系统,用于显示文字、表格、动画、视频等,也可实现新闻节目、文艺晚会、运动会、体育比赛的直播或转播等。

(2)监控及报警系统。对校门、校园内、图书信息楼等要害部位和重点部门进行监控及入侵报警,只要通过该系统在监控中心就能发现校门、园内、要害部位等的情况,发现问题即时解决,不需要保卫人员到处巡逻,节约人员成本。

(3)多媒体教学查询系统。节目播出均可以实现电脑控制,可以接收并播放音视频信号,具有教学评估功能,多媒体教室也可接收并集中控制各类节目源等。

(4)计费系统。可以按流量、时间和包月计费,可以对接入的用户进行验证和控制,为数字校园的规范管理提供可靠保障。

(5)电话语音系统。学校可与当地电信运营商协商,由运营商投资建设和管理,学校只是按照使用付给投资方使用费。

(6)信息网络安全系统。以整个校园网安全建设、管理、运行为重点,保障整个校园网络、各类应用、管理等的正常运行,降低校园网系统存在的各种安全隐患。

5建设项目

根据以上需求情况,设置建设项目:综合布线;中心机房、计算机网络及整体网络建设;校园一卡通;监控及报警;防雷、接地;有线电视、校园广播;多媒体教学和查询;LED屏幕显示;学生机房、数字语音室、模拟导游室、电子阅览室等;办公会议室、教学多功能厅、演播室等;校园精品课程全自动录播;网络数字教学点播平台;各类教育教务、办公自动化及其他网络管理软件;楼宇自控系统、建筑智能管理等。

6网络规划

网络建设是建设数字化校园的基础,必须放在第一位。网络建设包括:网络基础设施建设包括供电系统;校园管道系统;机房:双路供电、不间断电源、制冷、防雷与接地等系统。网络环境建设包括校园主干光纤;数字结构化布线;校园网络架构;IP地址与NAT;统一储存;认证与计费;出口管理;网络安全;网络管理;运行与维护;行政管理与制度。

网络应用系统建设包括网站;基于网络的视频监控系统;多媒体系统;多种教学系统;精品课程等。

7数字化校园建设中易出现的问题

第9篇:校园网络安全建设范文

[关键词]网络安全;校园网;防火墙

前言

东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统,随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平台。但另一方面,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理压力越来越大。笔者根据《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整体防控和精准防护的能力。

1现状及问题

在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传统网络层防火墙在面对层出不穷的应用层安全威胁日渐乏力。黑客利用各种各样的漏洞发动缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽,由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关性能不足,无法支持大带宽,老旧设备无法胜任大流量的转发工作;IPv6网络不兼容,无法平滑升级,后续无法满足国家政策进行IPv6改造的规划;上网审计和流量控制功能不完善,原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于应用的流量控制,带宽出口的流量控制效果不佳;对上网行为缺乏有效管理和分析手段,针对学生上网行为没有好的管理手段和分析方法。同时等级保护2.0也对云安全和虚拟化环境下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性,但现有的120余台虚拟机的安全隔离和虚拟化环境的东西向流量控制成为安全建设的新问题。为了响应《网络安全法》以及国家新颁发的网络安全等级保护2.0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足《网络安全法》等法律法规要求;在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视的能力。

2网络安全加固技术方案

按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核心网络区域的汇聚交换与核心交换机相互连接;校园网出口区域有多条外网线路接入,合计带宽7Gb,为校园网提供互联网及教育网资源访问服务;数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务系统;运维管理区域主要负责对整体网络进行统一安全管理和日志收集;校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用;另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制规则设置;提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测;提供专业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全面保障Web业务安全;提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4/IPv6双栈协议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能够全面识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等;(5)通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术,复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网行为进行审计记录,满足《网络安全法》的要求,能有效防范学生网上不良言论、访问非法网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每台虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现云内流量可视、可控,满足等保2.0云计算扩展项要求。通过部署EDR构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎,从多维度全面发现各类终端威胁。

3结语

通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、0Day攻击、APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。

参考文献

[1]李锴淞.对于校园网络建设及网络安全的探讨[J].数字通信世界息,2019(8).

[2]李锴淞,邹鹏.高校校园网合作运营探索[J].网络安全和信息化,2019(9).

[3]臧齐圣.浅谈校园网络安全防控[J].计算机产品与流通,2019(9).

[4]王岩红.高校校园网安全现状及优化探讨[J].网络安全技术与应用,2019(8).