前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的校园网络安全建设方案主题范文,仅供参考,欢迎阅读并收藏。
关键词:安全;信息化;规划
中图分类号:TP393 文献标识码:A
1 校园网安全运行现状与需求
1.1校园网安全建设现状分析
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。随着高校的发展,用网人数的增加,校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设,重点是“建设”,强调网络的覆盖范围,出口带宽,基础应用等,而对网络安全的关注度不够,往往是“想起一个建一个,需要一个建~个”,没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高,网络安全体系的建设也在逐步受到学校各级领导的重视。
1.2校园网安全体系建设需求
网络安全建设一直是各高校网络建设的难点和薄弱环节,一方面,技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度;另一方面,校园网用户甚至是系统管理员的安全意识淡漠,以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此,网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度,在提高网络管理技术手段的同时,逐步增强用户的网络安全意识,构建稳定、安全、绿色的校园网。
2 网络安全体系建设规划
随着学校网络与信息化建设的逐步深入,网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系,是各高校在信息化过程中的重要任务之一。
2.1校园网安全建设规划
根据各高校网络建设规划,结合现有的网络安全技术手段,应从以下几个方面做好校园网安全建设工作。
2.1.1加强网络设施安全建设
网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏,机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件,因此。在信息化的建设中,保证设备的物理安全尤为重要。
建立机房、设备间的防火、防盗、监控和报警方案:
对一些关键设备。系统和链路,应设置冗余备份系统,避免网络设备因天灾或人为因素对网络造成的影响。
2.1.2终端安全防范措施
随着各高校网络覆盖范围的逐步增加,用网人数不断增多(如某高校校园网同时在线用户已经达到4500人),用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐,以及学生用户网络行为的不可控性,给网络安全带来了很大的隐患,因此需要从以下几个方面完善终端安全防范措施:
提供并推广可供全校师生员工使用的网络版杀毒软件,以及校内WSUS服务,逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识;
对校内突发的终端安全事故进行监控,及时提供必要的专杀工具、漏洞补丁:
提高技术人员的技术水平,采取相应的检测手段,利用先进的仪器设备,减少用户端安全事故的排查和定位时间。
2.1.3应用服务器安全措施
应用服务器是数字化校园的基础,是各个业务系统的载体,所以它的安全是至关重要的,因此,系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。
制定相关技术文档,规范应用服务器上线前的安全检查,督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等,并且定期扫描系统漏洞,更改系统密码。保证操作系统安全;
建立完善可靠的容灾恢复方案,对关键服务器采用双机热备方式,并且提供可靠的数据备份系统,如采用RAID技术以及利用磁带备份数据,确保事故发生时业务数据不丢失,系统能够快速恢复;
建立授权控制体系,对不同管理员设定不同的系统、数据库管理权限:
完善访问日志分析系统,定期对日志进行整理和分析,制定相应的安全策略。
2.1.4网络出口及边界安全
目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备,网络出口及边界的安全主要包括配置合理、全面的安全策略,以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面,需要在出口及边界设备的管理中做到以下几点:
建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名;
>制定详细的ACL策略,限制登录设备的IP地址;
采取NAT机制。在保证校内用户正常上网的同时,继续优化8812路由器的安全功能;
启用防火墙的防病毒功能,在源头阻断病毒入侵;
合理规划SSL VPN的用户权限;
建立IDS+IPS的联动机制。完善网络监控与入侵防范;
建立出入双向的访问日志系统。
2.1.5应用分析控制技术的应用
在网络安全管理中,网络流量、网络应用的分析至关重要,网络管理人员需要明确地知道网络中有哪些网络应用,各种应用在网络中所占的带宽以及是否存在不良应用,如图1。
随着上网人数的增多,网络出口不可避免地出现拥堵现象,因此,需要进一步对网络应用进行分析,并制定有效的控制策略。
实时记录出口带宽使用情况,对恶意占用带宽的应用进行限制,确保基本应用的高效运行;
对网络流量进行监控,利用相关协议分析工具对网络应用进行深层坎的分析。
2.2信息安全建设规划
信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。
2.2.1信息安全保障措施
通过一系列的措施,保证信息在传输和存储时的安全。
建立完善的实名上网制度,并且与各系统的日志配合,建立“上网ID+上网时间+上网IP+上网入”的一一对应关系;
建立合理的文件上传、审查制度,对关键数据采取数字签名技术,做到谁上传谁负责,安全事故责任到人;
对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控;
数字校园关键服务器问数据传输采取加密方式,防止网络窃听、数据泄露等安全事故的发生;
对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。
2.2.2数据安全建设
随着高校信息化建设的推进,各部门工作信息化的程度也将越来越高,如何保证数据安全,提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。
各部门需要制定MIS的相关管理制度:
制定MIS系统数据备份、灾难恢复方案;
定期对MIS漏洞进行修补。防止数据泄露。
2.3全局安全体系建设
根据对网络体系分层的概念,针对不同的层次制定不同的网络安全措施。做到有的放矢,从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN),如图2。
整合已建立的安全措施,增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描,保证连入网络的客户端的安全性,从而最大限度地降低网络安全风险:
建立统一的安全管理平台(SMP),通过下发警告消息,下发修复程序,下发阻断或者隔离策略等手段智能处理安全事件。
关键词:大学;校园网络;网络通信安全;现状;对策
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2011) 24-0000-01
University Campus Network Communication Security Situation and Countermeasures
Wang Xiaowen,Chai Dapeng
(Engineering College of Shanxi University,Taiyuan030013,China)
Abstract:This paper campus network traffic status and countermeasures to do a series of elaborate,for your reference.
Keywords:College;Campus network;Network communications security;Status;Countermeasures
网络技术在当今已经渗透了社会的各个领域,大学校园的网络也已经投入使用。校园网是互联网极为重要的组成部分,对于大学生的生活和学习影响很大。当前大学校园的网络存在着很多安全隐患,不利于学生的身心健康。大学的校园网络系统具有开放性和信息的共享性,很容易导致网络遭到病毒或者黑客攻击,大学的校园网在教学、管理、科研及对外联络的工作当中起着举足轻重的作用。如何保证校园网络安全、高效、稳定地运转,成了越来越多的人员开始关注的问题。
一、大学校园的网络特征
互联网技术已经广泛应用于大学的各个学科教学当中,并且取得了一定成效。大学的校园网络能够实现校内的计算机、局域网、国际互联网的互连,实现了资源共享和信息的沟通。由于使用校园网的用户群比较密集和活跃,所以存在着很多安全隐患,其安全管理极为复杂。
(一)管理的复杂性。大学的校园网络并不同于其它领域的网络系统管理,校园网当中的计算机购置及管理情况极为复杂。通常学生宿舍当中的电脑都是由学生自己购买和维护的,院系的电脑一般都是统一购买、有专门技术人员维护或者教师自己购买,没有专门人员的维护。在这样的情况下,如果要求对所有计算机系统实施统一安全管理是很困难的。
(二)用户的规模大。一般大学生都是集中住宿的,所以用户群较为密集,而且数目比较多,这就形成了大学的校园网具有高带宽和用户量大的特点,使得网络的安全问题蔓延快,对网络所产生的影响极为严重。
(三)网络安全的意识淡薄,管理制度不完善。大学的教学及科研特点决定校园网络的环境具有开放性,其管理也较为宽松。大学生往往是比较活跃的,对网络技术有强烈的好奇心,很多非正常的访问都有可能导致网络的资源浪费,与此同时也会为校园网络的安全带来隐患。
(四)资金的投入有限。大学校园的网络建设与管理通常对网络安全没有足够的重视,仅仅将有限经费投入到关键的设备方面,对于网络的安全建设并没有系统投入,尤其是对于维护和管理人员方面没有足够的投入。
二、大学的校园网络中所存在的问题
(一)操作系统的漏洞。当前大学的校园网中使用的操作系统中所存在的IIS漏洞、游览器的漏洞及TCP/IP协议的漏洞对信息安全和系统的使用都有可能构成严重威胁,导致系统瘫痪等状况。很多校园网中计算机的病毒都借助操作系统中所存在的漏洞传播,不利于校园网络为学生服务。
(二)病毒危害。众所周知,病毒会对计算机的系统运行产生一定影响,甚至有可能导致计算机及网络系统瘫痪,影响着校园的网络安全。病毒如果通过网络进行传播的话,其传播速度及破坏性远超过其它类型的病毒,学校所接入的INTERNET网络有可能为外界病毒的进入提供使得条件,学生们所下载的电子邮件和程序都有可能携带着病毒。
(三)安全管理方面的缺陷。校园网是近些年才发展起来的,在很多方面校园网络建设并不完善,大学校园的网络建设大都存在着软件投资方面的问题。纯粹把网络系统当成技术工程进行实施,而没有系统、安全的管理政策,势必不利于校园网络的安全。校园网络管理措施如果不够得力的话,随时都可能导致病毒传播的泛滥或信息丢失等,后果相当严重。
三、大学校园的网络安全防范策略
当今大学的校园网络已经成为了一个极为复杂的系统。如果想确保校园网站的安全,应当从管理及技术等多个层面入手,针对校园网用户的情况制定相关政策。由于校园网的用户大多都是学校管理及教学人员,不能够对用户做太多限制,一定要尽可能的利用现有设备,发挥现有设备所具有的技术潜力,同时也要考虑到添置的设备先进性及扩展性,为今后的网络发展创造更为有利的条件。
(一)网络监控。校园网络系统的管理人员在不影响校园网络系统正常运转的情况之下,应当增强内部的网络监控制度,以便最大限度保护校园网络资源,为学生提供更为有利的资源。管理人员可以通过有效的监控方式,增强校园网络系统安全的反应和自我适应能力,对不安全的因素及时做好防范,保证网络的服务能够正常提供,形成功能完善的监控系统。
(二)培养素质高的维护队伍。高等院校的网络中心可以组建起网络安全维护的队伍,对其进行网络安全的管理培训及指导,以便加强对大学的校园网络管理力度,保证校园的网络能够快捷、规范、方便地运行。
(三)构建良好文化氛围。信息安全对于实现高校教育的信息化来说极为重要,除了安全技术的管理之外,文化氛围是否良好对于高校信息的安全工作开展也起着至关重要的作用。
大学校园的网络信息安全日益复杂化,其安全建设应当以校园网的信息安全现状作为前提,通过对信息安全知识的培训来加强用户安全意识。只有建立起便捷、安全的网络环境,保障了校园网安全,才能够提高校园网络信息资源的保密性、可用性及完整性。
四、结论
在大学校园中,计算机技术在迅速发展着,为师生学习、工作提供了方便。然而我们在享受科技带来方便的时,也应当认识到网络安全的问题已经成为了网络应用过程中的巨大障碍。一定要根据校园网情况的发展变化制定一系列解决方案,保证校园网络的安全,使得校园网向着良性方向发展,为学生的成长创造有利条件。
参考文献:
[1]林瑞云.大学校园网网络安全对策[J].现代通信,2003,10期
[2]田进华.高校校园网无线局域网通信安全策略探析[J].信息系统工程,2011,3
关键词:全局安全;校园网;安全体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校园网作为高校信息化的重要基础,承担着学校教学、科研、管理和社会服务等重要角色,给教师和学生的工作、学习、生活带来了很多便利。但当今校园网面临着严峻的威胁网络安全问题,目前面对威胁,应对问题的主要技术有身份认证技术、入侵检测技术、防火墙技术、防病毒技术等。这些技术都只是针对局部威胁的安全措施,无法保障校园网的整体安全。因此,新的校园网安全思路,注重从“局部防御”到“整体防范”的转变,将安全理念融合到网络基础架构中,依靠多种安全组件联动,实现整体网络的安全,即全局安全解决方案。
1 农职院网络安全现状
广西农业职业技术学院校园网始建于2002年,通过100M链路CERNET、30M电信链路接入Internet,己形成覆盖教学、科研、办公、宿舍等区域的所有建筑物,“千兆主干、百兆到桌面”的网络带宽格局。计算机网络自身的开放性、互联性和共享性,使之不可避免地会受到病毒、黑客、木马等安全威胁和攻击,校园网数据丢失、系统被篡改、网络瘫痪的情形常有发生。其原因主要如下:
① 缺乏有效的身份管理系统
校园网缺少用户身份认证机制,外来用户、非法用户随意接入;缺少可控的身份集中认证系统,对用户进行管理难度大;用户账号存在被盗用的风险,安全审计无法有效进行,在实际发生问题后不能够迅速定位及取证分析。
② 无法保证用户终端合法性
Windows系列系统存在致命漏洞,系统补丁没有及时更新;没有按要求安装杀毒软件,安装后从来不升级或者从来不主动查杀;随意下载违禁软件,不规范使用网络;上述问题造成了病毒和攻击在校园网内泛滥,严重影响正常应用。
③ 网络安全无法有效控制
校园网内部分用户出于对网络的好奇,经常会用学习到的各种方法,非法攻击校园网络核心设备及应用系统,严重影响校园网络的安全稳定运行和校园管理秩序。目前互联网上相关的黑客工具种类繁多、功能丰富、设置简单、使用方便、破坏力大,给这类学生提供了攻击的便利。
2 全局安全校园网络的设计
校园网全局安全理念,由锐捷网络公司于2005年提出,即GSN( Global Security Network),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护作用的新型网络安全模式。具体构架如图1所示,其由三个层面、五个部分组成。
hx01.tif
图1 全局安全网络
校园网全局安全方案通过将校园网用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成起来,从而对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,达到对未知网络安全事件防范目的。其工作原理如下:
1) 用户使用网络之前,首先由接入的交换机+SAM对其进行身份认证。
2) SAM检查用户身份,批准或拒绝用户的接入请求。
3) SAM学习用户的身份、主机环境等信息,并将制定好的策略发送多SU客户端。
4) SU对用户主机进行健康性检查,并将检查结果反馈回SMP服务器。
5) IDS对网络安全事件进行检测收集,将安全事件报告给SEP(安全事件解析器),并由SEP反馈至SMP。
6) SMP对IDS反馈的安全事件进行统一管理,将安全事件关联至用户。
7) SMP对每个用户的健康性检测结果和安全事件进行处理,生成相应的策略,并下发至交换机执行。
3 全局安全网络在我院的部署
根据校园网全局安全设计方案,可把服务器部署在校园网的服务器群中,而IDS的传感器则可根据需要部署在核心或者汇聚层上,越靠近边缘则效果越好,而安全智能交换机则要部署在接入层,保障客户的安全。构建好的广西农职院部署的典型拓扑如图2所示。
hx02.tif
图2 典型的全局安全校园网部署拓扑图
3.1 身份认证系统的部署
作为全局安全的身份基础平台,SAM系统实现了广西农业职业技术学院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.lx技术,实现了对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定。 SAM系统提供的完善的计费运营功能,为校园网运营提供了足够的数据支撑。通过该系统的部署,有效的防止了IP地址盗用,极大的减轻了校园网管理的运营负担,并为全局网络安全提供了基础身份平台。如图3。
其次,SAM提供了完善的自助服务系统,包括快捷注册,个人信息、密码进行修改,上网明细、交费记录、余额查询,在线充值、注销用户等功能。不但方便了终端用户缴费,同时也极大地减轻管理者的管理和收费工作负担,有效缓解学生缴费和学校收费的矛盾。而入网身份验证的多元素绑定,也有效的杜绝了IP地址冲突现象的发生,用户漫游功能,实现了用户在不同地区认证上网的需求。
hx03.tif
图3 身份认证
3.2 安全管理平台的部署
一、高职院校校园网络现状
(1)考虑到投入和收益的比例,众多学校对校园网络的经费投入不足,再加上掌握决策权的学校领导对信息技术的了解不多,对建设校园网的目的不明确,所以就将有限的经费投资在关键的硬件设备上,而对于网络的安全建设一直没有比较系统的投入,从而导致校园网络安全防范能力不够,随时都有被侵袭的危险,存在极大的安全隐患。
(2)计算机蠕虫病毒泛滥与网络蠕虫病毒的危害日益严重,种类和数量日益增多,发作日益频繁。现在蠕虫病毒往往与黑客技术结合,计算机中毒发作后,常导致拒绝服务攻击,连累全网服务中断。过去病毒最大的“本事”是复制自身到其他程序,现在它具有了蠕虫的特点,通过网络到处乱窜。还有些病毒具有黑客程序的功能,一旦侵入计算机系统后,病毒控制者可以从入侵的系统中窃取信息,远程控制这些系统了。
(3)来自网络外部的入侵攻击等恶意破坏行为频率越来越高。某些计算机被攻破后,可能成为黑客的工具,进行再次攻击。例如,系统攻击就是攻击针对单个主机,并通过RealSecure系统对它进行监视。
(4)众多学校技术人员技术参差不齐,责任心不强,多数网络管理员都从大中专院校毕业,在工作之前没有受过系统的专业培训,所以,不能很好地胜任本职工作。如把在计算机中装上还原卡当作是万能管理方法;不设置系统管理员密码;在系统中不安装防火墙和杀毒软件等等。另外,有些网络管理员敷衍塞责,对出现的系统故障置之不理。
二、高职院校校园网中的安全隐患
(1)校园网通过与Internet相联,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险;
(2)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁;
(3)校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些;
(4)S着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果;
(5)限于学院数字化的进程,目前的网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,入侵就很难避免。
三、高职院校校园网络安全解决方案
1.升级网络基础交换设备。
将校园网内所有交换机全部升级为安全智能接入交换机。智能接入交换机具备大容量访问控制功能,能够屏蔽常见病毒端口,将病毒攻击、网关攻击等行为限制在接入层。并结合用户上网认证系统,对用户进入校园网的权限及可用资源实行规范、分级管理。
2.配备完整的系统的网络安全设备。
校园网络虽然比较复杂,但从整体技术架构来看,还是属于局域网范畴,因此,在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外需要注意的是,校园网络现在基本上都是高速网络,因此配置安全设备既要考虑到功能,又必须考虑性能,将配置安全设备后对网络性能的影响尽可能的降到最低。据此要求,校园网络需要配备以下安全设备:高性能的硬件防火墙;旁路监听型的入侵检测系统;漏洞扫描系统;安全审计系统;旁路监听型不良内容过滤系统;覆盖全校范围的网络版防病毒系统;网络故障检测,以及网络故障诊断设备。通过配置这些安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3.安装补丁程序和网络杀毒软件。
任何操作系统都有漏洞,大部分校园网服务器使用的操作系统都有漏洞,尤其是Windows2000、Windows2003等微软的操作系统。网络系统管理员需要及时对系统进行升级,有时候也可以借助第三方安全软件来对系统进行升级。电脑病毒的防范,根据校园网现状,在充分考虑可行性的基础上,可采用杀毒软件网络版的分级管理,多重防护体系作为校园网的防病毒管理架构。充分使用杀毒软件网络版所拥有的“远程安装”、“智能升级”、“集中管理”等多种功能,为校园网络建立起一个完善的防病毒体系。
4.采取有利措施防止内部用户非正常使用和对校园网的的攻击行为。
建立各部门计算机使用制度,明确用户的责任和义务,严禁各部门随意安装和运行一些带有黑客性质的软件。严禁使用未检验的光盘、软盘和其他移动存储设备。对校园网上的计算机实施IP和MAC地址的绑定,防止私自乱改IP的现象发生。
关键词:信息安全;信息化建设;校园网
近十年来,我国的高校信息化建设步入了飞速发展阶段,各类学校官网建设、教学资源的共享、教务系统的应用、校园一卡通等信息系统的建设,成了高校信息化的展示平台和重点,信息系统在学校教务工作中占据了非常重要的地位.原本的大学信息化平台只能提供普通的通知公告、学校形象展示等功能,随着信息技术的发展,如今的大学信息化平台发生了很大变化,汇集了学校网站宣传、微信、微博账号、师生互动沟通、教学教务系统、选课评教系统、教学资源共享等功能.这些系统和信息已经成为高校重要的业务展示和应用平台.其中涉及的信息安全方面的问题日趋值得我们重视.
1高校信息安全现状
一般的高校信息化建设主要经过以下几个阶段:网络基础设施建设、旧应用系统整合、新应用系统开发等.[1]在高校信息化建设发展的同时,整体安全状况却不容乐观.高校网络应用日趋增加,网络系统越来越庞大,对外要能够抵御各种黑客攻击,负载均衡等问题,对内要解决规范网络资源使用.信息化安全是当前高校信息业务应用发展需要关注的核心和重点,而高校信息安全需要解决以下安全内容:1)操作系统安全.2)网络信息通信安全.3)网络系统信息内容安全.中国高校网站安全情况极差,根据国内信息安全公司的报告,在2012年5月,国内截获了61万个遭黑客网页挂马的网址,其中教育教学类的网址就有18万个以上.此外,根据《2013年中国高校网站安全检测报告》,高校网站的安全性在全国各类网址中,体检分数排名仅仅比倒数第一名多2分(见图1).值得注意的是,各大学校的科研、教务网站上保存有大量的敏感数据和学生信息,如不加以重视安全保护,极易受到黑客的攻击和窃取,由此引发的高校网站被篡改、被挂马的安全事件频繁出现,最终给高校带来严重的形象及经济损失.另外,高校网站在百度、搜狗等搜索引擎中是热门关键词,由于其安全性薄弱及多方面的利益驱使,是黑客攻击并传播病毒的优先选择目标.信息安全隐患已经成为高校信息化建设过程中无法回避的问题,其严重威胁着高校信息化的推广和使用,[2]威胁着公共安全的多个方面.
2高校信息安全面临的挑战
当前,各大高校都在加大信息化平台的投入,对官网、教务管理系统进行建设,让各类教学资源联网共享,优化校内网络资源等,这些高校信息化的建设是各大高校适应当前形势发展需求而开展的,每个学校都有自己的实际情况和需求,业务开展初期没有一个宏观的规划架构,各个系统之间互不连通,数据不能同步共享、更新,这些系统的功能特性、安全需求和等级、服务的群体、所面临的风险各不相同.高校信息安全面临的挑战,主要有以下几点:1)高校官网易受到攻击:高校官网是学校重要对外交流窗口,浏览访问量巨大,又因为高校网站多为各高校自主搭建,缺乏足够的安全防范技术与措施,所以较容易引起网络黑客的攻击兴趣,黑客利用网页挂马,分布式拒绝服务攻击等方式对学校官网进行攻击,轻则造成网站响应速度变慢,重则导致访问者中毒,或者学校网站无法访问等严重后果.图2和图3分别列出了中国高校网站安全漏洞分布情况和黑客攻击高校网站技术手段分布情况.图2中国高校网站安全漏洞分布情况Fig.2DistributionofsecurityvulnerabilitiesinChinesecolleges图3黑客攻击高校网站技术手段分布情况Fig.3Hackers'attackmethoddistribution2)高校敏感数据被入侵、篡改.高校信息中心的业务数据,包括“校园一卡通”、教务管理系统、图书馆借阅系统、精品课程资源库等,由于保存有大量学生身份证、联系电话、成绩、银行卡号、住址、学生饭卡资金等敏感信息,也成为网络黑手攻击的对象,黑客入侵修改学生成绩、学历,甚至修改毕业证信息等信息安全事件屡见不鲜.3)校园网的内部威胁.高校内部用户上网带来的威胁,包括机房、宿舍、办公楼用户等.由于信息技术发展速度较快,高校在信息安全教育方面没有跟上技术发展的步伐,导致校园上网用户对信息安全重视程度不够,缺乏信息安全保护能力和意识,通过学校局域网或者机房感染计算机病毒的概率很高,使得各种计算机病毒在校园内迅速传播,给学校内网带来安全威胁.另外,有些学生对黑客盲目崇拜,在校内尝试黑客攻击技术,也造成了一些信息安全事故.4)技术人员方面的短缺.很多高校信息管理人员缺乏成熟的管理经验,整体素质比较低,加上管理和制度上的欠缺,使得高校信息系统在运行过程中遇到入侵的概率大大增加.5)需要加大资金投入.越来越多的高校已经认识到校园信息化建设的重要性.但是,由于信息化建设的硬件投入需要较大资金,而很多高校存在资金缺口,导致安全设备硬件的缺乏,进而成为整个安全建设的短板.另外,信息化服务、信息化应用、人员培训等方面也需要大量资金,这些问题不解决,将使得高校的信息化建设失去动力支持.
3解决方案
对于高校校园网的安全建设而言,主要考虑以下几个方面:1)对整个高校的信息安全进行统一规划,建立并实施体系化的信息保障标准,实现学校门户部门公共服务网站教学资源等各类型网站的整合,简化技术维护难度,确保网站的建设质量和安全防护能力.2)全方位的进行建设,在基础层建设方面、网络层建设方面、系统集成方面、管理应用方面,多角度多层面的设计和建设安全需求.3)对涉及敏感数据的区域进行重点保护,划分重点区域,有利于集中管理.4)针对学校的业务需求,引入先进的安全硬件软件等产品,紧跟安全领域的步伐.5)定期进行校园网络体系化建设咨询,风险评估,攻击测试等活动,不断提高安全防护能力.6)信息安全建设过程中要严格遵守国家等级保护要求,结合等级化的方法来设计.7)高校信息化建设与人员的素质息息相关,在加强信息化管理的过程中,需要对校园中使用网络的人员进行安全教育和培训,提高人员的安全意识,[3]形成人人关心信息安全工作,事事重视信息安全保护的工作氛围.
4具体安全措施框架
根据高校自身系统的特点,结合等级保护相关技术要求和标准规范,笔者提出了以下解决方案(见图4).该方案的安全措施框架是依据“防范优先,全面防御”的方针,以及“制度与技术结合”的原则,并结合等级保护基本要求进行设计,主要包括技术体系,管理体系以及安全监控体系三大方面,在核心应用系统方面使用入侵检测系统、软硬件防火墙、杀毒软件定期查杀等常用信息防范措施,保障网络业务在具有一定的安全防护能力下的正常开展.
4.1技术体系
4.1.1架构规划
划分重点保护区域、访问控制、防DDOS攻击,针对重点保护区域使用防火墙进行隔离,配置规范的访问控制权限和策略,交叉使用多家安全厂商的产品,构建严密、专业的网络安全保障体系.
4.1.2应用层面
对校内各Web应用进行入侵检测,及时修补漏洞,利用防火墙对SQL注入、跨站脚本等通过应用层的入侵动作实时阻断,并结合网页防篡改子系统,真正达到“网页防篡改”效果.
4.1.3数据层面
将校内重要的数据放置在重点保护区域,提升数据库自身的安全指数与配置,对数据库的访问权限进行严格设定,最大限度地保证数据库安全.同时,利用SAN、异地数据备份系统有效保护重要信息数据的健康度.
4.2管理体系
任何安全设施和安全产品都需要专业管理人员的审核、跟踪和维护,在安全管理体系的设计中,引入安全经验丰富和对等级保护管理要求理解清晰的专业公司,为高校量身定做符合实际的、可操作的安全管理体系.
4.3安全监控体系
4.3.1风险评估
评估和分析在网络上存在的安全技术,分析业务运作和管理方面存在的安全缺陷,调查系统现有的安全控制措施,评价当前高校的业务安全风险承担能力;聘请资深的安全专家对各种安全事件的日志、记录实时监控与分析,发现各种潜在的危险,并提供及时的修补和防御措施建议.
4.3.2渗透测试
利用网络安全扫描器、专用安全测试工具和专业的安全工程师的人工经验对网络中的核心服务器及重要的网络设备进行非破坏性质的模拟黑客攻击,提高防范意识与技术.
4.3.3应急响应
针对信息系统危机状况的紧急响应设有预案,当信息系统发生意外的突发安全事件时,可以提供紧急的救援措施.通过以上方案的实施,学校业务系统得到安全保障,高校科研、教务、学籍等重要数据免受黑客入侵威胁.高校官网抗攻击性得到加强,在遭受一般的网络攻击下能持续提供网络服务,并检测攻击出处.规范校内用户的上网行为,提高校内用户的整体信息安全意识,提高了网络利用率,减少了内部的网络攻击.另外能逐步完善安全制度并提升管理人员素质.因此该系统的建设能够满足当前高校网络系统的要求.
5结语
当前高校网络系统是一个不断发展壮大的多功能复杂系统,在提供日常的教务管理、学校宣传的同时,也面临着越来越复杂的信息安全威胁,网络技术不断发展的同时,现有的系统自身的漏洞与弱点也会不断被发现,信息安全风险日益突出,成为当前高职院校中信息化建设过程中必须面对与亟待解决的问题.信息化建设和发展对于高校未来的教育工作有着非常重要的现实意义,因此,需要加大资金投入,保证校园向着信息化方向发展,[4]以信息安全为出发点,将系统从项目立项开始就纳入管理范畴,从而实现对高校信息系统的有效管理.[5]在高校信息化建设中实施信息安全保护建设工作有利于提高全校的信息系统安全建设水平,能不断的同步建设各种信息安全设施,让信息化建设与信息安全同步发展,能提供全面的并有针对性的信息系统安全建设,降低网络系统建设成本,有利于优化信息安全资源配置,保护信息系统分类,确保高校信息平台的安全运行.
作者:聂晶 单位:南宁职业技术学院
[参考文献]
[1]于莉洁,王松盛,唐丽华,等.高校信息化建设中的信息安全问题研究[J].信息安全与技术,2016(3).
[2]赵欢,陈熙.高校信息安全体系的研究与实现[J].中国教育信息化,2013(13).
[3]谭博.高校信息化建设进程中信息安全问题成因及对策探析[J].信息与电脑:理论版,2016(11).
关键词:校园网 信息化建设 网络安全
中D分类号:TP393.08 文献标识码:A 文章编号:1672-3791(2017)02(b)-0031-02
1 校园网信息化建设所面临的主要安全威胁
随着学校信息化建设的不断推进,校园网得到了飞速的发展,校园网作为学校信息化建设的重要基础设施,它给学校的教学、管理以及师生的工作、生活和学习带来了极大的便利。但由于校园网自身的特性,它在带给师生便利的同时,其安全性也是不容忽视一大问题,尤其是在互联网飞速发展的今天,校园网已被列入黑客重点攻击的对象。目前,校园网信息化建设中面临的主要安全威胁有以下几个方面。
1.1 通信协议的威胁
TCP/IP是Internet上应用最为广泛的通信协议,它也是国内很多学校校园网采用的网络通信协议。该协议在最初设计时,仅考虑了如何将信息进行互传,并未充分考虑信息传输过程中的安全问题,由此给网络安全带来了巨大的威胁。ISO提出的OSI协议虽然可以确保网络信息传输的安全性,但由于TCP/IP所具有的开放性及通用性,占据了整个网络市场,致使OSI协议的推广受阻。在这一前提下,黑客常常会针对TCP/IP进行攻击,主要的攻击手段有数据窃听、APP欺骗等等。
1.2 漏洞的威胁
从计算机网络诞生至今,尚且没有任何一种软件是不存在漏洞的,如果漏洞修复的不及时,则会对网络系统造成巨大的安全威胁。若是主机被攻破,与之相连接的网络以及其它设备的信息安全均会受到威胁,情况严重时,会导致网络瘫痪的后果。Windows操作系统是校园网普遍采用的操作系统,也是漏洞较多的一类系统,若是漏洞未能及时修补,将会对整个校园网的安全构成威胁。
1.3 计算机病毒的威胁
计算机病毒是网络安全最为严重的威胁之一,随着网络的大范围普及应用,加之各种开源软件的增多,给计算机病毒的传播提供了渠道。不仅如此,一些网络黑客会针对攻击对象植入计算机病毒,并以此作为攻击的跳板,对网络上的其它设备进行非法入侵,由此给网络安全带来了极大的威胁。
1.4 校园网用户的威胁
用户对校园网安全的威胁主要体现在两个方面:
(1)用户基数大。校园网有着数量庞大的用户群体,并且所有的用户都在同一个局域网当中,不仅如此,网内的服务器数量也比较多,上述条件很容易吸引黑客攻击。
(2)安全意识薄弱。校园网的主要用户群体是教师和学生,他们的网络安全意识比较薄弱,如一些用户不安装安全软件,系统补丁更新不及时,从而增大了网络安全风险,给黑客以可乘之机。
2 校园网信息化建设安全问题的处置方式
校园网的安全性是信息化建设过程中不容忽视的主要问题之一,为此,必须针对各种威胁,采取有效的处置和预防措施,从而最大限度地提升校园网的安全性。
2.1 信息加密技术
加密技术就是利用相应的加密算法确保网络信息的安全传输,信息经过加密处理之后,会从原本的明文转化为他人无法读懂的密文,借助解密算法,可将密文重新转化为明文。目前,网络信息安全加密算法的种类较多,如DES算法、RSA算法等。DES是数据加密标准,属于迭代分组密码,RSA公钥密码体制,它的安全性主要体现在分解大整数的困难性上。在加密和解密的处理效率上,DES要优于RSA,这是因为DES的长度较短,可借助软硬件实现高速处理,其适用于大量信息的加密。而RSA由于是大数计算,所以它的处理速度要比DES慢很多,故其仅适用于少量数据的加密。但RSA在密钥管理方面的性能要优于DES,这是因为它可以采用公开形式对加密密钥进行分配,并且密钥的更新也更容易,对于不同的通讯对象只需要对自身的解密密钥进行保密便可确保信息的安全性。虽然任何一种算法都能对网络信息的安全性提供保障,但是每种加密算法都或多或少存在一些缺陷和不足,单独使用很难达到理想的加密效果。通过上述分析可知,这两种加密算法在网络信息加密方面具有良好的互补性,因此,可联合使用,这样便能达到保证校园网信息安全的目的。在校园网信息化建设过程中,可将加密技术应用于服务器登录、文档保密等方面,以此来确保信息的安全、可靠传输。
2.2 防火墙技术
防火墙是确保网络信息安全最为有效的技术措施之一,较为常用的防火墙技术有以下几种:
(1)数据包过滤技术。该技术可以借助软硬件系统预先设定好一个过滤机制,由此实现对数据包通过的选择与控制,从而达到保证网络信息安全传输的目的。其特点是设计简单、成本低、可以抵御黑客攻击,因此,可将该技术应用于校园网的网络层当中。
(2)状态检测技术。这是一种新型的防火墙技术,它可将同一个连接上的所有数据包视作为一个整体,并将之连接为状态表,利用预先设定好的机制与连接状态配合,对数据包中的状态进行识别,以此来对非法状态进行检测。与防火墙的机制表相比,连接状态表的灵活性更强。在校园网当中对该技术进行具体应用时,可通过状态检测系统对网内的数据包进行分析,只有受到保护的数据包方可通行。不仅如此,其还能对数据包的来源进行追踪,并对包的行为进行记录,由此大幅度提升了内网的安全性。作为一种新型的防火墙,它除了性能优良之外,还能与其它防火墙技术联合使用,由此可对绝大多数的网络非法入侵进行抵御,网络信息的安全随之获得了保证。
(3)技术。该技术的核心是服务器,用户可通过服务器对互联网进行访问。当相关的数据流从服务器上经过时,服务器会对其中的异常数据进行滤除,这与防火墙的作用相类似,由此便可确保达到用户处的数据安全、可靠。同时,借助服务器可对校园网内的用户进行分级管理,有助于节省IP开销,可在保证网络信息安全的前提下,提高网络性能。
2.3 访问控制技术
这是网络安全资源保护中效果最佳的一项技术措施,其能够对用户的身份及所要访问的数据资源进行限制,有效避免了信息泄密。该技术最为突出的作用是可以保护合法用户的权利,避免非法用户的恶意入侵,确保网络信息的安全。在校园网信息化建设中通过对访问控制技术的应用,可以拒绝所有非法用户对校园网的访问,同时还能进行网络安全监控,当发现用户越权对某个文件进行访问时,会自行记录,并对此进行安全统计。
3 结语
综上所述,学校在进行校园网信息化建设的过程中,必须将网络安全放在首位,应当全面分析校园网建设中的主要安全威胁,并据此采取合理可行的网络安全技术措施,从而在确保校园网安全的基础上,推动校园网信息化建设的持续发展。
参考文献
[1] 黄志宏,巫莉莉,张波,等.校园网信息安全建设中安全基线的研究与应用[J].重庆理工大学学报(自然科学),2014(10):88-89.
[2] 张彬.高校数字化校园安全防护与管理系统设计与实现[D].电子科技大学,2015.
[3] 花丽.高校校园网安全需求及安全方案设计[J].电子世界,2014(7):76-78.
关键词:高校;图书馆;网络安全;设计与实现
中图分类号:TP393.08
随着网络阅读形式的普及,高校作为文化与技术资源的汇聚地,图书馆的运作逐渐走向网络化和数字化。高校图书馆的数据库系统具有资源覆盖范围广、学科与技术种类丰富、数字资源量大等特点,能够为广大的高校教师与学生提供全面的学术研究信息服务。然而同时高校图书馆也将面临着网络安全的问题。图书馆资源网络化是将图书馆资源面向更加广泛的受众用户群,而网络中存在着木马、病毒、黑客等安全隐患,同时环境因素、认为因素等也威胁着高校图书馆网络的安全,因此,在高校图书馆网络安全建设上采用完善的安全防护设计和制定相应的安全防护制度对于高校图书馆网络安全都具有非常重要的意义。
1 高校图书馆网络面临的安全威胁
1.1 运行环境安全威胁
计算机与联网设备属于高精度电子设备,其运行环境对于温度、湿度、供电稳定性、电磁干扰等具有一定的要求,而在这方面大多数高校图书馆并没有在机房建设时充分考虑到这些方面的因素,因此,对图书馆服务器、计算机设备的稳定性和安全性带来一定的隐患。同时,数字图书馆的建设要考虑到一些自然环境因素对图书馆网络安全的影响,譬如:雷电、火灾、地震、腐蚀性物质等,对于图书馆的网络安全都具有一定的威胁性。
1.2 硬件环境安全威胁
高校图书馆拥有强大的服务器和交换机,能够为近千台终端计算机提供服务,图书馆服务器的稳定是图书馆网络应用的关键。由于目前所使用的操作系统,无论是Windows、Linux还是UNIX都存在一定的系统漏洞,因此,在网络攻击上,对于图书馆服务器的攻击形式非常的多,譬如:DOS攻击、ARP入侵、SQL注入、木马植入等。此外,为了更好的服务于高校师生,大多数高校图书馆网络TCP/IP协议采用的是系统默认设置,方便多用户接入,但是这给图书馆服务器安全带来了较大的威胁。
1.3 软件环境安全威胁
数字图书馆的建设需要大量的软件应用,而目前很多病毒都集成在应用软件中,用户下载软件、安装软件过程中容易携带对图书馆服务器造成破坏的恶意程序,尤其是当图书馆与互联网相接入后,各种具有隐藏性、触发性、植入性、寄生性的病毒隐藏在互联网应用中,而高校图书馆网络互连很容易相互传染,最终导致整体瘫痪。
1.4 网络系统安全威胁
高校图书馆网络与互联网连接,给黑客攻击创造了条件,他们利用网路漏洞扫描、嗅探、欺骗、后门、口令破译等手段直接进入高校网络图书馆后台服务器管理系统中,删除重要文献资料、篡改信息、盗用资源等,给高校数字图书馆造成了严重的威胁。
2 高校图书馆网络安全建设的设计与实现
2.1 高校图书馆网络安全运行环境设计与实现
高校图书馆系统运行的安全是数字图书馆建设的首要环节,在建设运行环境方面要对图书馆服务器主机房的选址和环境布置进行科学的规划,并采用多种安全防护系统加以保护,譬如:建设稳定的供电系统、防火系统、通风系统和安保系统。
高校数字图书馆用电量大,对电压的稳定性要求高,因此,在供电系统设计上要采用具有功率大、耐用时间长、防雷电等性能的双机并联UPS系统。
高校图书馆服务器机房防火系统建设可以采用针对计算机等大用电量的电子设备专用灭火系统,譬如:采用七氟丙烷气体自动灭火系统,具有较好的清洁、绝缘、高效能等特点,同时该系统要具备自动火灾探测预警系统和火灾环境超标自动灭火机制。
高校图书馆主机房由于设备散热量较大,应配备24小时运转的机房专用空调,机房专用空调具有上送、下回送风功能,能够保证高校图书馆主机房各个方向的温度均衡。同时,机房专用空调具有温度自动探测功能和温度超标预警功能,条件允许的状况下,可配置双空调系统,为出现故障时可备用。
由于高校图书馆主机房设备具有很高的价值,因此,对于防盗监控应专门设计安保系统。安保系统应具备机房各个角落全方位监控功能,并具备红外预警装置,当发生偷盗设备时,可及时发出警告,并通过校园网直接连入校园保安室。在管理上可采用专人专管,设置门禁系统。
2.2 高校图书馆网络安全硬件系统设计与实现
高校图书馆硬件配置要首先具备双机热备系统,可确保图书馆服务器安全运转。其次,要具备数字图书馆资源独立存储系统和独立应用系统,图书资源存放在存储系统中,不附加应用软件,降低被恶意攻击的威胁,应用系统在调用存储系统中资源时需要提供正确的密钥,确保资源调出安全。第三,数字图书馆与校园网络相连接要建立安全防护机制,譬如建立防火墙等。第四,硬件选择要具备国家认可的相关合格证明,同时设备要具备后续改造升级的能力,设备接口采用标准化接入,具有良好的兼容性,以降低升级改造费用。
2.3 高校图书馆网络安全软件系统设计与实现
高校图书馆网络安全软件系统包括系统软件和应用软件。在系统软件设计上采用稳定性、安全性高的操作系统,通常在UNIX系统环境下的操作系统抗威胁能力较Windows和Linux更强,尤其是UNIX所衍生出的针对于图书馆应用的操作系统,如:AIX、Solaris等。在操作系统安装过程中,选择自定义安装,根据需要设置较为安全的权限管理,同时为操作系统安装最新的安全补丁、杀毒软件、防火墙等。停止使用Guest用户登陆,设计较为复杂的管理员用户名及密码,将IIS访问权限设为高级。
在应用软件应用上,在应用系统中安装正版的应用软件,并根据用户级别设置数据库的访问权限,加强应用软件安装的安全检测能力,如检测到用户安装的应用软件携带病毒或者木马则强行停止安装。
2.4 高校图书馆网络安全网络系统设计与实现
目前,高校图书馆面向社会化开放,这就导致来自互联网的威胁给高校图书馆网络安全性面临着严峻的考验。高校图书馆与外部网络连接需要通过高端的防火墙和完善的用户认证,阻止外部用户直接访问高校图书馆数据库,并且对外隐藏IP、网关等信息。在高校图书馆内部网络建设上要建立独立的局域网络,采用VLAN技术对不同图书馆资源利用区域进行划分管理,设置自动软件升级、防火墙升级和定期杀毒。
3 高校图书馆网络安全防护对策
建设高校图书馆网络安全防护体系,需要对高校图书馆网络构建成为多层次、多方面监管的安全防护网络,在安全防护对策上应遵循以下几方面原则,确保高校图书馆网络安全运转。
3.1 安全防护的全面性
在构建高校图书馆网络安全体系时,要从软、硬件、环境等方面进行物理性安全防护,还要不断的提高安全技术能力和监管力度,确保图书馆机房的安全运转。同时,要做好突发问题应急处理机制,当出现故障时能够将损失降到最低。
3.2 安全防护的最小权限性
构建高校图书馆网络安全等级权限分类,以可提供最少服务权限为原则,建立最大安全防护措施,权限等级要分明,严格执行权限管理制度。将数据库系统与应用系统区分管理,数据库管理权限设置管理人数越少越好,尽量避免用户浏览非图书馆允许类网站,将恶意网站登记到应用数据库中,禁止访问。
3.3 安全防护的集中管理性
高校图书馆网络安全集中管理是将多种安全防护措施进行统一管理,由专业的网络安全管理专家进行监控。在管理上不仅要从技术上进行研究,而且需要在制度上进行严格管理,譬如:建立安全责任制度、日常维护制度、数字图书馆应用制度、资料备份制度、保密制度等。对于各项制度的落实要进行统一集中的管理,方便制度的执行与落实。
3.4安全防护的长期性
网络环境更新速度快,恶意攻击、病毒类型等不断演变,新型的攻击手段和木马病毒不断涌现,这就要求高校图书馆网络安全建设要具有可升级、可扩建能力,不仅要及时更近防火墙、杀毒软件,在硬件设备上要具备可扩展性,能够提高硬件安全,建立长期的安全防护机制,做到实时监管、实时控制。
4 结束语
高校图书馆是高校文化与技术资源聚集融汇的地方,在面对数字化图书馆的需求方面,高校图书馆不仅要建立丰富的资源网络,而且要确保高校数字图书馆的应用安全。在高校图书馆网络安全建设上,环境、设备、软件、管理要统一目标,科学建设、加强监管,利用先进的网络安全技术和完善的管理制度实现高校图书馆数字化安全运转。
参考文献:
[1]马敏,刘芳兰,宁娇丽.高校数字图书馆网络安全风险分析与策略[J].中国安全科学学报,2010(04):130-135.
[2]高琦.数字图书馆网络信息安全分析及对策研究[J].图书馆学刊,2012(06):132-133.
[3]王元.高校数字图书馆信息安全保障研究[J].图书情报工作(增刊),2010(02):327-331.
[4]颜昌茂,周吟剑,.高校图书馆网络安全系统的构建[J].情报探索,2014(01)108-111.
[5]金文新,高校图书馆计算机网络系统安全策略的设计与实现[J].图书馆论坛,2009(06)80-83.
关键词:高校网;网络安全;解决办法;防火墙
网络目前已进入高速发展的阶段,在人们的日常生活中无处不在。高校网目前在各大院校中均已建设并且得以使用。可以说高校网的应用为工作效率的提高、信息处理速度的提升以及资源的共享起到了无法比拟的作用。但是与此同时,高校网的安全问题也引起了人们的重视,本文就高校网的现状做了浅析,并由此提出了相应的防范对策,从而确保高校网的安全运行。
1.现阶段高校网的网络安全问题
1.1各种计算机病毒的侵犯。计算机病毒已经成为影响高校网安全运行的主要因素,其对计算机网络的破坏程度是不容忽视的。病毒主要是对计算机文件系统以及系统软件进行破坏,对网络进行不同程度的侵犯和破坏,一般情况下会影响到网络的运行,但是重则则可以影响整个高校网的教学以及办公环境,会对部分设备进行破坏,从而致使整个高校网处于瘫痪状态。病毒将网络传播作为载体,其在传播速度、传播范围以及破坏程度上与以往的单机病毒是不能相比的。
1.2未经过授权的访问。一些人出于某种原因对其未经过授权的信息利用非法手段进行访问。高校网内对存在的诸多系统(如食堂卡管理系统、教学档案管理系统、考试成绩管理系统等等)是实行用户凭用户名和密码登陆的,这样的运行方式主要是为了确保系统中数据的真实性以及完整性。然而有些人处于不同的目的,利用高校网操作系统、网络设备以及管理上的一些漏洞,对访问权限进行非法的获得,从而进入高校网的管理系统,对信息进行恶意修改、删除、信息等可耻的行为。这使得高校网内部数据招到了恶意的修改,从而很难确保数据的真实性、可靠性和完整性。
1.3网络中硬件设备存在的隐患。在大型网络建设中,计算机硬件数量庞大,单位个体较多,计算机个体、交换机、UPS、办公设备等诸多元素存在质量隐患,如果单独个体出现死机或者出现故障,损失不会太大,一旦服务器、交换机、UPS等出现故障,那后果可以说是不堪设想。、
1.4安全防护软件的设备隐患。当今的网络安全防护软件种类众多,但要是提及比较好的软件,那费用也是可想而知的,每天必须的病毒库升级让人很是反感,不过不这样安全又得不到保障,即使是天天更新,日日提防,也难免百密一疏。计算机就是计算机,软件也就是一款软件,肯定要有它不完美的地方,万一漏洞出现,被病毒或是黑客利用,打击也是毁灭性的。
2.高校网络安全解决办法
2.1软硬件安全的解决办法。在整个网络中,网络环境、网络设备和设施、网络介质等的安全是最为基本的。应该使其免受自然灾害、人为失误、人为破坏、计算机犯罪等的损坏。机房或系统中枢的组建和搭设应该遵照:GB2887-89《计算机站场地安全要求》、GB2887-89《计算机站场地技术条件》以及GB50173-93《电子计算机机房设计规范》的要求。
2.2登陆访问权限安全的解决办法。网络安全的保护和防范主要对策即为安全访问控制权限,是指网络资源不会被他人非法访问和使用。其中包括:人为访问控制、网络登录安全权限控制、目录安全级别高低控制、文件属性安全控制、服务器安全级别控制、计算机端口控制、计算机节点控制、病毒的消杀控制、信息日志的控制以及不良信息过滤的控制等。出于对高校网络的特点的考虑,网络安全权限访问的控制极为重要,比如对VPN的访问的控制要尤为加强。VPN即为虚拟专用网,其是VLAN和远程工作站的集成体。说白了就是在IP通道中实施加密,然后实现网络协议包和私有包在INT网上的传输,从而实现在WAN上的各个LAN的不同协议的虚拟连接。这种连接是处于操作系统的防火墙的保护之外的,其对内网的安全构成了严重的威胁,所以,应该避免分配VPN用户访问的全部权限,可以针对登陆控制权限列表来限制VPN用户的访问级别,只分配给用户所需的登录权限级别就可以了,例如登陆邮件服务器或自动化办公服务器等的网络资源权限,如此就可以有效地保护网络的安全。
2.3防火墙在网络安全解决办法中的作用。众所周知,防火墙是网络安全非常奏效的安全模式之一。防火墙是一种把内网、外网隔离的技术手段,普遍应用在计算机安全领域。在高校网络安全建设中是不可或缺,举足轻重的,更是一道网络安全的保护网,防火墙往往被安装在内网和外网连接的节点上,它把外网和内网隔离开来,在两者之间搭建一道检测过滤的系统,这样只有安全且被选择的协议包才能经过防火墙,不但加强了网络安全,也使内网的结构隐藏起来,从而达到不使信息外露的目的,还可以通过追查日志等信息提供详细的网络状况的报告,以便确保网络环境更加安全。
2.4安装病毒防护系统并且定期更新病毒库。在互联网高速发展的今天,病毒传播已经从单一形式向多元化发展,集木马、攻击系统、攻击内存等为一身的“超级病毒”。它不但会变种传播,而且传播方式多种多样,依赖载体也是变化无穷,如电子邮件、互联网页、下载文件、U盘、光存储等,真可谓是防不胜防啊。在网络中只要有一台单机中毒,可能病毒就会在全网中迅速传播,致使整个网络瘫痪。这会给高校网络带来极大的麻烦,结局可能会不可收拾。所以在网络中建立病毒防护系统是非常必要且刻不容缓的,还要定期对服务器和传输终端进行检查。如能实现定期升级病毒库、远程安装及报警、集中规划管理并查杀等多功能一起进行,这样会使病毒无处藏身,也会使整个高校网络的安全系数提高。
2.5建立用户认证体制和上网管理系统。用户认证系统必须让用户实名制注册,当用户上网时,网络随时可以检测到用户的身份,这样会避免人为的刻意滥用网络资源和故意毁坏网络安全。网络管理系统则会通过认证方式来确认用户是否安全登录和认证,区别于计算机系统中自带的登录系统,安全性更高,更可靠。
2.6数据备份及恢复。高校网络中,每台计算机中的信息都非常重要,针对这个事实,我们要做到有备无患,防范于未来,一旦出现不可挽回的局面,数据恢复会带 来意想不到的效果。
2.7用户安全知识的增强。高校网络应用的主体为学生和老师,他们普遍文化水平和自身素质较高。在高信息化时代,发送E-MAIL、网络聊天、下载文件和歌曲等行为非常普遍,也比较时尚。不过,网络知安全防范意识的薄弱却是不争的事实。这样,就需要对网络的主体使用者进行网络安全教育与培训,使整个主体人群通过培训在网络安全防范意识方面有所增强,提高安全防范技能。还要及时病毒预警,督促大家修补安全漏洞,防患于未然。
2.8在校园内建立网络安全管理体制。在校园网中的用户相对较多,人群也比较集中,在实施了硬件网络安全技术的前提下,加强网络安全的管理也是不错的办法,切实可行的网络安全制度会约束每个人的上网行为。大学生的文化素质较高,黑纸白字的规章制度对其规范和管理的力度不大不小,会加强学生自身的安全意识和道德规范。从而使高校网络的安全水平提高到一个新的档次。
3.结束语
综合了以上对高校网络安全的现状、看法以及解决方案。校园信息化、校园网络的建设都是基石,建立和谐的高科技化网络环境和信息化的教育体系是重要组成部分。现代化的教育方法和高科技的技术手段相结合,才能实现及网络资源共享、远程教学、网络教学与一身的高校网络系统,而网络安全是重要保障,为其保驾护航。最后,高校网络应重视安全策略,增加组织管理及人员的培训。共同搞好校园网络的安全管理工作,保障网络安全防范体系,更好的为广大师生服务。
参考文献:
[1]董学森.多校区校园网络的资源共享与管理[J].电脑知识与技术,2006(5);200-202
[2]金琦.校园网的建设和管理[J]。网络应用,2007(7).
[3]孟祥宏.浅谈高校校园网的安全及对策[J].内蒙古师范大学学报,2004,17(11).
[4]陈文冠,曹亮,陈兴华.高校校园网信息安全的研究[J].科技管理研究,2007,(2).
关键词:数字化校园建设;信息数字化;实施;管理;基础平台
中图分类号:TP315文献标识码:A文章编号:1007-9599 (2011) 16-0000-01
Digitalization Campus Information Platform Strategy Study
Jiang Hongtao
(Chongqing Railway Advanced Technical School,Chongqing400037,China)
Abstract:This paper studies the digital campus platform constitutes a system,the core functionality,data sharing and promote the implementation of such strategies,then discusses the construction of the digital campus-based platform and application management system planning and implementation.
Keywords:Digitalization Campus;Information Digitalization;Implementation;Management;Basic platform
一、引言
根据高校本身发展的需要,顺应信息技术的发展潮流,采用先进的信息技术来构建数字化校园,加快信息化建设的步伐是高校占领信息制高点的一个有力的举措,也为各个高校信息化建设提供了机遇和条件。但平台建设包括若干设计和策略问题,需要根据学校的具体情况进行策略研究、分析、布局和实施,在此过程中策略决策是需要重点考察的课程,例如校园数据中心的安全策略、校园网上办公和网上教学的数据共享策略等。
本文从当前国内大学的实际出发,就数字化校园平台建设的若干问题进行策略研究,探讨对策和部署方式,进而研究更先进的校园网络平台建设思路。
二、数字化校园平台建设的策略问题及研究
学校数字化校园建设是一项系统工程,主要建设的策略问题包括以下几方面:
(一)数字校园建设的总体解决策略
校园网建设的首要问题是,如何确定数字校园的体系结构,制定数字校园的信息标准,以及各子系统的功能。
(二)校园平台数据中心的建设与内容共享策略
建设一个为全校提供服务的数据中心,根据服务对象和数据性质的不同,实施的策略是建立不同的数据中心,以区分功能和避免灾害损害全部数据。各个数据中心包括服务器主机托管、虚拟主机、应用服务、数据存储服务、数据备份服务、数据安全服务等数据中心。
不同数据中心虽然功能不同,但内部数据将有交互共享的需求。实现内容共享的基本策略包括如下两点:
整合资源,实现数据的高效存取:将各类共享信息数据,存放于共享数据库中,使得数据的存放更为精简有效,避免存取不需要的数据,并且减少了数据存取时的开销,同时能够保证数据及时更新,保证了全校信息的一致性,有利于管理部门的工作。
整合平台,实施有效的安全防护与管理:随着校园网提供的信息服务质和量的提升,对信息安全的需要也越来越强烈。同时,校园网提供更高层次服务的时候,对于用户的身份认证、服务权限管理的要求也相应地提高。原来各个服务系统各自为政的身份认证的方式难以达到这个要求。这就必须要一个独立的,高安全性和可靠性的身份认证及权限管理系统。该系统可以完成对整个校园网用户的身份和权限管理,同时让用户无需频繁登录,方便使用。
(三)建设一整套校园信息管理策略
需建设一套管理界面系统,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持。
学校数字化校园管理界面建设是一项复杂的系统工程,涉及面广.对内牵涉学校各个部门,对外牵涉多家公司,既有技术层面交流、控制,又有管理层面的沟通、协调,同时数字化校园建设周期长,为保证管理系统的正常化,我们运用以下的策略。(1)统一领导、统一规划、统一标准、统一管理的组织保障体系。(2)总体规划、抓住重点、分步实施、逐步推广的建设步骤。(3)内合外联、资源共享、优化配置、形成特色的建设方式。
(四)基于身份认证安全的校园平台网络安全建设策略
利用全校的电子身份认证体系,并使用统一的电子身份体系为各种网络应用系统服务,可保证校园网络的安全、保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行.
可行的策略是:数字化校园应该要有一个统一身份认证平台.这个平台给学校所有使用数字化校园系统的人员发放一套用户名密码,对他们的角色进行统一管理。对各种程序开发语言开放认证接口.使现有系统经过很小的改动就可把身份认证转到统一身份认证平台上.新建设的业务系统也要使用统一身份认证进行认证。
(五)校园平台的硬件设施布置策略
随者近几年的发展.各个高校的都已建成相当规模的网络环境.网络速度大幅提高。但是要建设和实施数字化校园仍需要满足一些基本的策略。首先.从行政到学生思政管理的老师应该在办公环境有人手一台计算机.这条件应该比较容易实现;对于授课的老师.应该在其家里能够连上校园网,这包括本身就在校园网内.或通过VPN连回学校,这样老师在家里就可以进行批改作业或对学生答疑。其次.对于个人拥有计算机的学生,要让他们在宿舍里连得进校园网.对于买不起计算机的学生而言,学校应该对这部分人的数量进行调查.以建成一定规模的公共机房.让这部分学生能有足够的机会上机,以完成他们应该完成的作业和与本人相关的业务,比如奖学金申请、勤工俭学岗位申请、作业提交等等。
三、结论与下一步工作
综上所述,要建设好数字化校园需要管理机构高屋建瓴、统一规划。各个业务系统分步实施,责任到部门,责任到个人。层层把关.做到每个业务系统都发挥最大作用。不仅要做好硬件设备和软件系统的准备.还要做好人员方面的准备,充分做好宣传工作,让全校的师生员工认识到数字化校园建设的重要性和必要性.使这个系统完全溶入到他们的工作和学习中去.这样才能体现数字化校园的价值、使数字化校园的作用发挥到最大。
参考文献:
[1]蒋东兴,史宗恺,陈怀楚.大学资源计划的方案研究[J].清华大学学报:自然科学版,2004,4:141-145