前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的校园网络安全管理方案主题范文,仅供参考,欢迎阅读并收藏。
高职院校校园信息网络的广泛应用,能够为学生提供便利的社交条件和网络信息,同时也带来了学生使用网络过程中的相关问题。院校应当站在学生角度上,分析网络社交和学习行为存在的安全隐患,对信息网络安全防护提出疑问,并通过实行一定的网络安全管理方式,提高学生的网络交友意识和科学交友观念,使学生在网络中谨慎发表自己的言论,防止任何名义的聚集性消费活动,避免被他人获取身份信息进行违法犯罪。
1高职院校校园信息网络安全防护的问题
(1)校园信息网络承载的私密数据过多高职院校的许多学生都会通过信息网络,接触自己周边的新鲜事物或者集体活动。很多人使用校园信息网络,是为了结识志同道合的朋友,扩展自己的社交圈子和知识见闻。但对于信息网络的不合理使用,会泄露学生自己的个人隐私,让不法分子进入到高职院校的校园环境中,对学生进行以骗取钱财为目的的交往。部分学生所遭受到的网络诈骗行为,都是自己已经接触过的陌生人,通过找到学生在网络中留下的私密数据,了解他们需要怎样的社交服务,再选取适当的时机实施自己的违法行为。(2)校园信息网络缺少了学生防护教育校园信息网络的存在,让学生能够通过虚拟环境获取到自己需要的各种信息。学生感觉到有人在和自己相互沟通时,他们会忘了自己使用信息网络的学习目的,更加重视在沟通过程中获得的情绪,并持续完成在信息网络上的交友活动和考试学习。这种现象让信息网络不能够对学生进行一定的防护教育,使他们能够接触到社会经验相当丰富的职场人士并幻想通过信息网络找到能够满足自己各种需求的领路者。在网络中活跃的人普遍没有太大的生活生存本领,反而使学生缺少完整的受教育过程,出现各种各样的心理问题。(3)校园信息网络容易遭受到外来攻击校园信息网络属于由学生自行组建的社交环境,所提供的信息大都来源于高年级学生对低年级学生进行的学习指导,缺少一定的专业性和教育性。教师在信息网络中所进行的教育活动,与学生在日常生活使用的信息网络,存在账号功能、沟通形式等方面的很多差异。而且教师并不会占用学生的课余时间,与他们进行有关于自己隐私社交生活的沟通,这让学生在信息网络中获取的信息,缺少权威人士的验证和教职人员的监督。学生在网络虚拟环境中留下的痕迹,让他人能够很容易找到他们的真实位置和网络位置,并对他们进行有目的性的病毒攻击,使校园信息网络容易受到不明外来攻击。
2高职院校校园信息网络安全管理的实行
2.1及时清理学生个人身份信息
(1)向学生宣传信息网络的安全隐患高职院校要明令禁止学生私自侵入信息网络,进行他人身份信息的查证和考试信息的修改,减少信息网络呈现出的防护漏洞,并做好网络虚拟环境的安全管理。很多学生为保证院校不侵犯他们的私人生活,会选择进入学校领导不知道的信息网络环境中,存储自己认为很珍贵的个人资料或者他人信息。部分学生没有长期进行网络交友的习惯,并不能够对自己的个人信息进行安全保管,因此就让他人帮助自己进行网络环境中的信息备份,防止自己在需要验证身份信息过程中,出现遗漏现象或者错误填写。这两种做法都是将自己的身份信息泄露给了校园信息网络。(2)对学生进行网络安全防护教育网络作为能够让大家随意进出的虚拟环境,必然存在对学生身份的严格要求。但学生之间,偶尔也会存在社交行为上的矛盾,容易诱发他人实行各类报复行为。比如两位学生因同时竞争学生会岗位,其中一人因教师推荐而获得了这一重要岗位。而落选的那位学生,为了向大家证实自己的能力,就会选择泄露已获胜者的身份信息或者个人隐私,让众人觉得某人在道德品质上存在缺陷,或者存在随意泄露他人信息的不当竞争行为。高职院校应当做好学生个人身份信息的必要清理,减少学生之间因恶意报复而出现的任何侵犯网络安全的违法行为,向他们普及必要的网络法律法规和学生管理制度。
2.2避免学生沉迷网络社交生活
(1)重视对学生良好社交理念的教育很多学生把信息网络作为展现自己生活的舞台,希望得到更多人的关注。但关注学生的很多网络用户,他们是想要通过进入学生的日常生活,获取一定的自我满足感和自我价值,并不能够对学生进行良好社交理念的灌输,反而会让他们形成过分注重消费的不当行为。学生在进入高职院校进行学习的过程中,可能会接触到与自己家庭环境截然不同的许多学生。他们会产生因外表或者经济条件而导致的自卑心理,十分在意他人对自己的评价或者赞美。一些家境优越的学生,也会在信息网络中晒出自己在生活中常用的奢侈品信息,这也诱发了学生之间的恶意攀比现象和各类消费活动。高职院校应当重视学生教育过程,避免他们因沉迷网络社交而出现一定的心理扭曲,要求学生隐藏自己的真实生活和消费信息,减少一部分人对另一部分人的不当影响。(2)强调对学生进行社交活动的管理有很多学生会通过信息网络结交生活好友,并通过一起进行娱乐消费的方式稳定社交关系。但学生长期沉浸在这样的社交活动中,会逐步脱离院校生活环境和周围学生好友。院校要对学生进行社交活动方面的安全教育,避免发生他们深夜外出和脱离集体活动的现象,减少他们被他人诱拐或者欺骗的概率,帮助学生增加一定的社会见闻和学科知识,使高职学生具有良好的、适应校园生活的思考能力。院校教师要禁止这部分学生的在校兼职行为,避免其他学生在校期间遭受到周边网络社交活动中的引导消费陷阱。
2.3重视学生自我防护网络教育
(1)对学生进行网络安全知识的教学许多学生在使用校园信息网络时,比较注重它在获取学习信息上的便利,并通过信息网络与身边好友进行必要沟通。由于长时间的不见面联系,让学生逐渐与真实好友关系疏离,反而通过信息网络结交虚拟好友或者进行长期文化学习。他们对信息网络的使用,相对于真实生活中的社交,呈现出过分看重个人想法的封闭环境。一旦信息网络出现使用过程中的不便利,将会严重影响到学生们的学习热情和学习情绪,也会在短期内阻断学生与群里好友建立的社交关系。而这些不便利情况的出现,很有可能是部分人所进行的远程电脑控制,目的就是让学生删除他们了解到的他人信息。(2)保护好学生在校期间的教育信息学生在高职院校就读期间所产生的大量信息,与他们的个人身份信息有着密不可分的联系。高职院校应当做好学生教育信息的保护,避免有人通过校园信息网络找到学生的真实住址,并对学生家人进行敲诈或者勒索,不利于学生社交生活的个人隐私。这种情况大部分来源于,学生有在信息网络中过一些影响到他人生活的言论,使社会人士产生对学生本人的不满,从而利用网络信息差制造舆论,让学生能够意识到自己行为的不当。但并不是所有学生都是有意侵犯到他人的生活,他们的言论仅仅代表当时对某件事物产生的看法,并不会造成太大的社会影响。院校应当对学生的教育信息进行反复核对,了解他们是否是高职院校中的在读学生或者已离校学生,避免他人冒充学生信息所进行的扰乱网络社交行为,并对部分社会人士所进行的学生信息使用行为进行保护学生教育信息方向上的依法举报。
2.4增强校园信息网络技术管理
(1)整治信息网络的不良交友风气学生在信息网络中接触到的社会人士,会在不经意间给他们透露消费活动,并为他们提供利于消费的网络环境。很多学生就是在网络社交中,了解到了怎样使用网络支付工具和网络借贷工具,完成对奢侈品的购买和预订。而且现在许多商品,都可以通过分期付款的形式进行购买。这减少了学生在消费过程中的心理压力,使他们敢于瞒着家人进行透支消费。因网络交友所诱发的诈骗案件数不胜数,也有越来越多的学生开始陷入消费主义的负面影响中。高职院校应当整治学生群体中的不良交友风气,通过信息技术帮助警方侦破校园诈骗案件,帮助学生找出身边隐藏着的不安因素。(2)处理信息网络受到的攻击行为学生在使用信息网络浏览网页信息的过程中,会在搜索界面上留下一定的信息搜索痕迹或者随机打开痕迹。这让商家或者网络好友,能够通过大数据展示的学生消费喜好,了解他们存在怎样的潜在学习需求或者交友诉求。部分学生会选择隐藏自己的社交动态和在线状态,避免陌生好友对他们进行不良言论的骚扰,但这种行为并不能够有效阻止,学生网络好友通过使用黑客技术入侵学生账号,能够十分全面的了解学生本人需求,并出现在学生的现实生活中。高职院校要落实校园信息网络的防护技术,避免他人对学生所进行的一系列网络攻击行为,并合理举报已经触犯法律的恶意骚扰行为,让学生能够在安全的信息网络中学习生活,减少他们因信息泄露所产生的社交矛盾,及时制止学生对身边人的猜忌和伤害。高职院校要对校园信息网络进行安全防护,禁止学生通过网络环境建立虚拟社交关系,提醒他们注意随身携带的个人财产,重视对学生网络安全知识的培训。教师应当配合院校实行的一系列管理制度,确保学生在校期间的社交安全和学习质量,减少他们在网络环境中搜索学习资源的频率,使院校教学工作能够做好学生学习指导,并落实对信息网络进行管理的严格技术。
参考文献:
[1]李基初.谈高职院校校园信息网络安全防护与管理[J].中外交流,2019,026(029):89.
[2]邢娟.高职院校学生网络安全教育现状探析[J].科学大众,2020,000(002):57-57.
关键词:网络安全、安全隐患、安全策略设计
中图分类号:G642 文献标识码:A
1引言
继中国科技大学、清华大学、北京大学等第一批铺设数字化校园网的高校之后,全国各地的大中专院校都掀起了轰轰烈烈的数字化校园浪潮。在结合该院自身实际条件下,各大高校都以建立一个以校园网为基础的集教学管理、消费、身份认证等服务为一体的新型数字化的工作、学习、生活环境为奋斗目标。在数字化校园规划与建设过程中,有一个非常关键而棘手的问题,那就是网络安全问题。在当今网络开放式互联的环境下,各种病毒蔓延和黑客攻击令人叫苦不迭,网络安全问题已成为数字化校园建设的一个重要问题。
2数字化校园及其网络安全
数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化;并用科学规范的管理对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制;把学校建设成面向校园内,也面向社会的一个超越时间、超越空间的虚拟学校。
针对数字化校园网络化和信息化的特点,其安全问题成为当今亟待解决的重要问题。网络安全包括物理安全和逻辑安全两方面:
系统的物理安全指网络系统中各通信计算机设备以及相关设备的物理保护,免予破坏、丢失等;系统的逻辑安全包括数字化校园的整合网络系统和承担各个业务流程的功能子系统的安全。逻辑安全包括信息的完整性、保密性和可用性三个要素。保密性是指信息不会泄漏给未经授权的人,完整性是指计算机系统能够防止非法修改和删除数据和程序,可用性是指能够防止非法独占计算机资源和数据,合法用户的正常请求能及时、正确、安全的得到服务或回应。
随着现代计算机系统功能的日渐复杂,网络体系日渐强大,正在对社会产生巨大而深远的影响,但同时由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其他不轨的攻击,所以使得安全问题越来越突出。校园的网络系统是整合数字化校园的基础,它连接了各个功能子系统,各个系部,还有大量的个人电脑(如校园内学生、教师的PC等),所以它的安全是至关重要的。因此,要提高计算机网络的防御能力,加强网络的安全措施,以保证其正常运行。众所周知,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁,故此,网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性进行预防,这样才能确保网络信息的保密性、完整性和可用性。俗话说“知己知彼,百战百胜”,要保证校园网络安全,首先必须深入了解威胁校园网络安全的“敌人”,即必须了解校园网络安全的隐患。
3数字化校园网络安全隐患
校园网络是借助主干通信网,将各地的分部门和总部联接,同时与Internet互联,这就势必会出现如下的安全隐患问题:
(1) 总部局域网和各分、子部门局域网之间,分、子部门与下属机构局域网之间以及广域网干线上信息传输的安全保密问题。
(2) 总部局域网及各分、子部门局域网自身的安全,要确保这些局域网不受网内用户非法授权访问和破坏等。
(3) 来自外部的非授权用户非法攻击和破坏,以及内部用户对外部非法站点的访问。
现实存在的网络安全问题涉及面很广,但不安全因素主要集中在网络传播介质及网络协议的缺陷、主机操作系统的缺陷以及安全管理不善等因素上。由此可见,根据存在的安全隐患进行科学的安全策略设计,构筑必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。
4校园数字化网络安全策略设计
安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。该安全策略设计包括了建立安全环境的三个重要组成部分,即:
先进的技术。先进和安全技术是信息安全的根本保障,用户对自身面临的威胁进行风险评估,决定其需要的安全服务种类,选择相应的安全机制然后集成先进的安全技术,这样才能保证对安全问题的彻底解决。先进的安全技术主要包括访问控制、防火墙、加密、鉴别、数字签名、审计监控、入侵防范、防病毒、网络安全检测等技术。
严格的管理。网络安全问题在很大程度上是非技术因素,安全管理漏洞和疏忽是最大的安全隐患。只有把安全管理制度与安全技术手段结合起来,这个网络的安全性才有保障。所以应严格执行相关的安全管理制度,握手操作规程、维护制度等,加强内部管理,建立审计和跟踪体系,提高整体安全意识。安全管理的原则一般有以下三个原则:(1) 多人负责原则。每一项与安全有关的活动,都必须有两人或多人在场,例如访问控制使用证件的发放与回收;信息处理系统使用媒介的发放与回收;处理保密信息;硬件和软件的维护等等。(2)任期有限原则。一般地讲任何人最好不要长期担任与安全有关的职务,以免使他认为这个职务是专有的或永久性的,为了遵循任期有限原则,工作人员应不定期地循环任职,强制实行休假制度,并规定对工作人员进行轮流培训,以使得任期有限制度切实可行。(3)职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情,如有必要了解则需经系统主管领导批准。例如在计算机操作与计算机编程;机密资料的接收和传送;安全管理和系统管理;应用程序和系统程序的编制等情况下应当尽量让工作人员分开。
威严的法律和规章制度。安全的基石是社会法律、法规与手段,这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规,使非法分子慑于法律的威严,不敢轻举妄动。网络系统安全方面的法律和规章制度分两部分,一是国家及主管部门在信息安全方面的法律、法规与规定;另一部分是数字化校园自身的制度和规定,它应该与系统所采取的各种安全机制相辅相成,互为补充。既然安全策略的设计涉及到了这么多网络安全的措施,那怎样对一个数字化校园网络进行安全管理呢?现拟某学院数字化网络为例,拟定一个校园网的安全策略。具体工作是:
(1) 根据工作的重要程度,确定该系统的安全等级。
(2) 根据确定的安全等级,确定安全管理范围。
(3) 制订相应的机房出入管理制度。
对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与已无关的区域,出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身分卡等手段,对人员进行识别、登记管理。
(4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。
(5) 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等,维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(6) 制订应急措施。要制订系统在特殊情况下,如何恢复的应急措施,使损失减至最小。
5数字化校园网络安全案例
以某技术职业学院校园网络安全策略为例,介绍安全策略的设计。该学院是一所面向全国招生,以培养专科层次的应用型高等职业技术人才的全日制普通高等院校。该校数字化网络一期工程为全校教育和科研建立了计算机信息网络,实现了校园内计算机联网,信息资源共享并通过与Internet互联,实现了与信息世界的多元化、直接流,其服务对象主要是校内的教学、学生实验机房、行政管理单位等。下图为该院校园网络拓扑结构图:
对该院校园网中的安全现状进行分析,隐患大致来自以下五个方面:
(1) 校园网通过与Internet相联,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(2) 目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。目前校园网的网络服务器安装的操作系统是WindowsNT/Windows2000,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞(RIP路由转移等)、服务安全漏洞等等,这些都对原有网络安全构成威胁。
(3) 校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。
(4) 随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
(5) 限于该院数字化的进程,目前的网络防护体系中还缺少硬件级防火墙这一防护环节,即没有对内部网和外部网进行有效的隔离,网络安全性完全依赖主系统的安全性,在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的和失误越来越普遍,入侵就很难避免。曾经尝试过在服务器上(机)安装防火墙软件进行安全隔离,即建立应用级防火墙。但在实际使用中,用户在受信任的网络上通过服务器访问Internet时,经常会发现存在延迟并且必须进行多次访问才能访问Internet的情况。这是因为该软件必须分析网络数据包并做出访问控制决定,从而影响了网络的性能。一般来说,如果计划选用应用级防火墙,最好选用较高性能的计算机运行服务器。但由于涉及到带宽、经费等多方面的限制,该院用作服务器的计算机性能并不是很理想,导致网络速度较慢,网络服务质量还有待提高。因此这必须在校园数字化网络中必须采用一定的安全策略,就这一问题,结合当前实际的前提下作者进行了广泛的调研和悉心比较,最后决定融合思科公司和瑞星设计的校园网络安全系统方案再整合其它相关先进的管理技术以拓展安全管理范围和增强安全管理的效果。提出了两种方案可供选择:
方案一:智能防火墙型。即用一台智能防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等对外服务器连接在防火墙的DMZ区,与内外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。现在比较流行的智能型防火墙有CISCOPIX系列防火墙、ONTECHNOLOGY软件公司生产的ONGUARD和CHECKPOINT软件公司生产的FIREWALL-1防火墙等。这一方案的优点是:在实际应用中,对用户的“透明度”较高,便于管理和控制。而缺点就是价格昂贵,不易被一般用户所接受。
方案二:网络层防火墙+服务器。即把网络层防火墙和应用层防火墙综合在一起。因为网络层防火墙具有速度快、费用低、对用户透明等优点,但是它对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力,特别是对于应用层上的黑客行为无能为力。而应用层防火墙(主要为服务器)有较好的访问控制,目前存在HTTP、TELNET、FTP、POP3和GOPHER等服务器,并且这些服务只需要一个服务器就可以实现。这一方案的优点是:费用低,性价比较高。而缺点则是“透明底”较低,需要由经验相对丰富的管理人员人进行管理,即对管理人员的要求较高。
由此看来,两种方案各有千秋,应用中可以根据自身实际进行选择,在此,从性价比和实际情况的角度考虑,选择方案二,见图2。注意,图中为了方便表示把网络层防火墙和服务器两个防火墙只用一个防火墙记号标示。
选择好了防火墙,还应对其进行正确配置才能充分发挥其安全防护的性能,在防火墙设置上按照以下配置原则来提高网络安全性:
(1) 根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击,过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
(4) 定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
(5) 允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
6检测系统的部署
数字化校园网中包含了几个系统的部署,其中有入侵检测系统部署、网络安全系统检测系统部署和杀毒产品部署等。
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,因为防火墙的策略都是事先设置好的,无法动态设置,缺少针对攻击的必要性和灵活性,不能更好的保护网络的安全,所以部署IDS并使IDS与防火墙联动的目的就是为了更有效地阻断所发生的攻击事件,从而使网络隐患降至较低限度,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据该院网络的特点,采取思科公司的网络IDS和主机并用的措施,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲就是将思科IDS入系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据,如果情况严重,思科IDS还会发出实时报警,使得学校管理员及时采取应对措施。
在网络安全检测系统上考虑采用网络安全检测工具如SATAN等定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性报告,为提高网络安全整体水平产生重要依据。
杀毒产品部署上采用了瑞星网络版的杀毒产品,为了达到要在整个局域网内病毒感染、传播和发作这一目的,在整个网络内可能传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能,提出以下建议:
(1) 在学校网络中心配置一台高效的WINDOWS2000服务器,负责管理多个主机网点的计算机。
(2) 在各行政、教学单位等多个分支机构分别安装杀毒软件。
(3) 管理员在安装完杀毒软件以后,要由网络中心的系统定期地、自动地到网站上获取最新的升级文件,然后自动将更新的升级文件分发到其它各个主机网点的客户端与服务器端,并且对杀毒软件进行更新。
常言说:“三分技术,七分管理”,安全的处理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。建议以下一套校园网络安全管理的模式:
第一:网络规划阶段的一些安全策略。
(1) 明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体,对于校园网络来说网络管理员可以是网络安全责任人。
(2) 对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度),对校园的局域网要将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。
(3) 进行容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障,网络应允许出现一些故障,并且可以很快从灾难中恢复,网络的主备份应位于中心机房。
(4) 因为网络与Internet有固定联接(静态的IP地址),要在网络和INTERNET之间安装防火墙。
(5) 网络使用服务器访问Internet,不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
第二:对网络管理员的一些安全策略建议。
对校园网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略,最主要的是保证服务器的安全和分配好各类用户的权限。
(1) 网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些,它在哪儿,哪些人在使用,属于哪些人,丢失或泄密会造成怎样的损失,这些重要数据集中位于中心服务器上,置于有安全经验的专人管理之下。
(2) 定期对和各类用户进行安全培训。
(3) 一般不直接给用户赋权,而通过用户组分配用户权限。
(4) 新增用户时分配一个口令,并控制用户“首次登录必须更改口令”,最好进一步设置成的口令不低于6个字符,杜绝安全漏洞。
(5) 至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计,但不要忘了过多的审计将影响系统性能。
(6) 文件服务器不与Internet直接连接,专用服务器,不允许客户机通过MODEM连到INTERNET,形成在防火墙内的连接。
(7) 可以利用“TCP/IP安全”对话框,关闭INTERNET上机器不用的TCP/UDP端口,过滤流入服务器的请求,特别是限制使用TCP/UDP的137、138、139端口。
(8) 可以考虑将对外的Web服务器放在防火墙之外,隔离外界对内的访问以保护内部的敏感数据。
(9) 对只提供内部访问的服务器和客户机可以采用非TCP/IP实现连接,这样可以隔离Internet访问。
(10) 利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描。
第三:对校园网络用户的一些安全策略建议。
数字化校园网络的安全不仅仅是网络管理员的事,校园网络上的每一个用户都有责任,网络用户也可以了解一下以下的网络安全知识:
(1) 用一个长且难猜的口令,不要将自己的口令告诉任何人。
(2) 清楚自己私有数据存储的位置,知道如何备份和恢复。
(3) 定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。
(4) 尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全,最好将共享文件存放在服务器上,既安全又方便了他人随时使用文件。
(5) 通过“系统策略编辑器/注册表编辑器”控制在Windows 9x工作站上的“不显示最后一次登录的用户名”和“禁止使用口令缓存”,防止口令从缓存中被获取和最后一次登录的用户被利用。
(6) 设置有显示的(即非黑屏,防止误认为关机)屏幕保护,并且加上口令保护。
(7) 当你较长时间离开机器时一定要退出网络。
(8) 安装启动时病毒扫描软件。
结束语:可以预见,随着计算机技术和通信技术的发展,计算机网络不会仅局限于数字化校园,还将日益成为信息交换的重要手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在的隐患,采取强而有力的安全策略,对于保障网络的安全性将变得越来越重要。
参考文献:
[1] 王育民,刘建伟. 通信网的安全-理念与技术[M]. 西安电子科技大学出版社,1999.
[2] 张小斌,严望佳. 网络安全与黑客防范[M]. 北京;清华大学出版社,1999.
[3] 21世纪计算机网络工程丛书编委会. 网络技术基础[M]. 北京希望电子出版社,2000.
[4] 钟小平,张金石. 网络服务器的配置与应用[M].北京:人民邮电出版社,2002.
关键词:信息技术;校园网络建设;安全管理;防范措施
随着计算机网络技术的快速发展与普及,网络已深入到各个行业以及日常生活中并起着关键性的作用,也极大的推动了校园网络的建设,成为了校园重要的基础设施。校园网络的建设对教学管理、科研管理等活动带来方便的同时校园网络也存在着安全隐患,导致计算机网络系统的崩溃,严重影响了校园网络的正常运行,为校园管理工作带来了大量的工作负担。为了保证校园网络的保密性与安全性,校园网络的运行管理与安全措施显得格外重要,不容忽视。
1 校园网络存在的安全隐患
1.1 系统自身存在的漏洞
自从微软推出Windows操作系统到至今的Vista系统的诞生,都存在着不可避免的,一直让人头疼的漏洞,而且校园使用的网络大部分都是Windows系统,系统本身存在着防火墙、服务器、IP协议等诸多方面的漏洞,随着用户的不断使用导致安全问题产生,为学校管理带来了诸多麻烦与负担。
1.2 计算机病毒严重入侵
随着网络的迅速发展,给学校带来方便的同时,也成为了计算机病毒传播的最快的捷径。病毒编制者水平的提高以及与黑客软件的结合,使网络病毒经常爆发,严重的情况下会破坏计算机的硬件和软件,致使机密数据外泄,使计算机运行缓慢、频繁死机不能正常运行,整个网络完全处于瘫痪的状态,对校园网络使用造成了严重的威胁。
1.3 自然灾害突然袭击
自然灾害带来的破坏与损失让人措手不及,防不胜防,主要的灾害有:地震、风暴、水灾和火灾等,还有环境带来的影响,如湿度、温度和污染等破坏。大部分的高校计算机机房都没有防水、防电、防火、避雷等防范措施,事故不断发生,没有抵御自然灾害的能力,设备损坏、数据丢失、信息外露的现象屡见不鲜。
1.4 内部与外部的攻击
攻击有两种方式,一个是来自互联网外部的攻击,一个是来自学校内部学生的攻击。学生是学校网络的活跃用户,对网络充满了好奇心,不断尝试各种玩法,在网上学到的以及自己研究的各种攻击方法企图去破解学校的各种信息。
2 校园网络安全隐患的成因
2.1 网络安全意识薄弱
学校管理人员以及教师对网络安全没有足够的重视,而大部分校园学生认为校园网络是集体系统,网络安全维护不是自己的责任,自然有相关的网络管理人员进行维护,防范意识淡薄、缺乏责任心。此外,除了计算机专业的教师与学生对计算机的结构框架有所了解外,大部分用户都不具备最基本的网络知识和网络安全抵御能力与防范意识,导致校园网络经常性遭受病毒入侵,影响正常运行。
2.2 盗版资源的干扰
互联网拓宽了人们的视野,丰富了人们的生活,但是无处不在的盗版成为了社会的隐患,多种网络资源都存在着盗版现象。盗版资源成为网络急需解决的问题,校园网络中的盗版软件、盗版资源的使用也非常普遍,随着用户的不断使用给系统留下了安全隐患,而且下载盗版软件时还隐藏着后门、木马等相关的代码,对校园系统产生了破坏性的攻击。
2.3 资金投入不足
高校校园把大部分的资金投入到购买硬件设备上,技术性的投入比例相对较大,而对于校园网络安全维护的投入相对较小。另外,普遍缺乏防范安全意识,只是简单安装设备,保证网络能够正常、安全运行就可以了,忽视了网络安全的维护,缺乏责任心,缺乏抵御外部与内部入侵的能力。因此,要在网络技术投入与安全措施上做到平衡,加强安全防御,使网络正常有序的运行。
3 校园网络安全管理措施
3.1 提高师生网络安全意识
高校内发生网络安全危机,多数是因为没有网络方面的安全知识,导致黑客入侵进行破坏,因此学校要加强网络安全防御意识,抵御来自校园网内外部的攻击。学校可以利用网络优势进行安全常识教育,例如校园广播,在学生休息或者上放学期间播放有关网络的一些常识。此外,还应开设网络安全课程,如《信息安全技术》、《计算机网络》、《网络安全与管理技术》等,使学生掌握基本网络知识,不轻易使用盗版软件、不随便浏览诚信度低的网站,养成文明上网的好习惯,提高网络安全意识和辨别能力。
3.2 引进网络管理人才
高校校园网络的不断普及和发展,校园网上的相关数据、信息、资料越来越多,越来越重要,同时校园网络的攻击、资源的盗用也越来越严重,因此,加强网络技术人员和网络用户对网络技术与安全使用尤为重要。学校应该引进网络安全管理的优秀人才,形成网络安全管理队伍,或者学校也可以派出本校优秀的计算机网络管理人才参加网络安全管理培训,或者不定期的聘请专业的网络管理专家进入校园讲授网络技术相关知识,通过“引进来和走出去”的方式来提高网络人员的专业素质和管理能力。
3.3 加强防火墙技术
防火墙是实现校园网络安全的一个有效的方法,它使互联网与内部网建立了一个安全网关,保护内部网免受非法用户的强烈入侵。为了防止内部网络发起对外攻击,要在防火墙上建立计算机的IP和MAC地址,如果两个地址不是一一对应的一律禁止,还要定期查看防火墙的访问日志以及时发现是否有攻击行为,提高防火墙的安全管理性,减少给校园网络带来的安全隐患。
4 结语
校园网络安全与技术管理问题是一个复杂的系统工程,校园网络对此要进行全方位的防范,因此,提高校园网络是一个非常迫切和具有挑战性的任务,要将技术和管理相结合,建立一个安全的校园网。虽然网络存在着各种安全威胁,但在校园建设中起着灵活、快捷的作用。总而言之,在利用校园网络的同时,要不断的加强校园网络建设,完善校园网络管理制度,建立坚固的校园网络安全防线,建立一个安全、绿色的校园网络环境。
[参考文献]
[1]牛晓旺.校园网络安全问题及维护方案[J].办公业务,2013(8).
关键词:校园网;安全;防火墙
中图分类号:TN915文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Campus Network Security Analysis and Design Solutions
Shen Yang
(Dalian Polytechnic University,Dalian116035,China)
Abstract:The campus network in the process facing various security threats,in view of the current situation of campus network,summary the relevant solutions for the campus network security operation,put forward the corresponding measures based on the campus network security operation.
Keywords:Campus network;Safety;Firewall
校园网是高等教育的重要教育资源。由于校园网信息交换频繁,基于校园网的各种安全问题也日益突出。为了保护数据和资源的安全,校园网必须具备其安全体系的解决方案。
一、校园网的安全风险分析
目前,由于高校校园网的建设主要以教学为中心,校园网的安全问题也多种多样,其主要的表现为以下几个方面:
(一)集群难以集中管理。由于接入校园网计算机系统差异性较大,难以要求所有的系统实施统一的安全配置,比如接入校园网的某台PC机后感染蠕虫病毒,这台电脑极有可能通过最新的安全漏洞感染其他的电脑,最终导致整个网络无法正常使用,给校园网的正常使用带来很大的威胁。
(二)用户群体特殊性。作为高校的大学生,对网络新技术充满好奇,勇于尝试。很多学生愿意操作一些新的网络类的软件,有的甚至在校园网尝试黑客工具,通过互相攻击去研究各种攻击技术,这种随意性给校园网带来致命的威胁。
(三)网络安全重视程度不够。校园网的建设重视教学资源的建设和管理,通常都忽略了网络安全,特别是在安全维护方面投入明显不足,大部分资金都是在教学资源建设、管理系统开发等方面,造成了一定的安全隐患。
针对这种状况需要制定基于校园网安全体系解决方案,保障教师与学生能够安全地使用校园网资源。
二、校园网安全解决方案
(一)构建安全的防范体系。根据校园网的应用现状情况将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
1.物理层安全;该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。计算机中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地技术条件》的要求。需要学校计算机管理中心老师配合工程技术人员共同完成。
2.系统层安全;该层次的安全问题来自网络内使用的操作系统的安全,如Windows XP,Win 7等系统安全升级。要求网络中的用户采用安全补丁更新并且选择适合用户本身的正版杀毒软件,平时要定期的检测系统有无病毒,避免感染网络中给其他设备。
3.网络层安全;该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段等,确保网络正常运行。
4.应用层安全;该层次的安全问题主要由学校服务器提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、BBS等。
5.管理层安全;网络管理,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理等。同时,针对校园网络的实际情况,解决网络的安全问题,必须考虑到技术难度、投入经费、维修与维护的保障等等因素,
因此,必须将各种安全技术与运行管理机制、网管人员技能水平、安全规章制度建设相结合。
(二)校园网安全解决方案的策略。针对防范体系的层次,制定相应的策略:
1.保障物理设备安全。物理设备指服务器、交换机、路由器等设备,一定要设置复杂密码,防止黑客通过网络轻易获得这些设备的控制权,更改这些设备的配置,会导致整个校园网络瘫痪。
2.设计正确的网络拓扑。校园网络至少要采用两级结构:主干网和子网。校园网的主干采用成熟的千兆以太网,在校园网络中心机房设有一个总的出口接入教育网,所有进出校园网的数据都需要通过此出口检测过滤。网络中心对全校进行合理VLAN划分,这种配置结构既保证了主干网信息可靠、高速地传输,抑制网络广播风暴,又方便管理用户。
3.利用杀毒软件与防火墙增强网络的安全性。安装正版的网络杀毒软件,确保定期或及时升级杀毒软件的引擎、病毒库;在内外网之间建立了一道牢固的安全屏障即安装硬件防火墙,专用服务器连接在防火墙的DMZ区,与内外网间进行隔离,既保障服务的正常运行,也保护内网资源不被外部非授权用户非法访问和破坏,加强与IDS(入侵检测系统)的联动,入侵检测被认为是防火墙之后的第二道安全闸门。
4.教学资源的备份和恢复。教学资源是校园网的核心,其中学生的成绩、学籍资料、教学素材等重要资源必须要进行合理的备份,以待出故障后进行有效数据恢复,通常采用双机热备份方法,当设备出现故障时马上切换到备份设备,利用“热备份”和“冷备份”两种策略保障资源的使用。
5.完善合理的网络管理制度。不仅利用网管软件对使用中的设备进行实时检测,同时要建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施,保证制度的执行。可以定期对教职工、学生开展网络安全技术类讲座,树立正确的网络安全防范意识。
三、结束语
总之,校园网的安全问题不仅仅是技术问题,其防范体系的安全性也不是一劳永逸的,新的安全问题不断涌现,必须根据情况制定新的安全防范措施,不断维护和更新校园网安全,保证校园网更安全更好地服务于高校的教学工作。
参考文献:
关键词 数字时代;学校;计算机网络;维护
中图分类号:TP309 文献标识码:A 文章编号:1671-7597(2013)18-0044-01
现在的学校越来越离不开计算机网络。首先,学校的办公、会议、计算机实验室等都依赖于计算机网络;其次,学生宿舍、教室、图书馆等场所,均需要实现计算机网络覆盖。尤其在快速发展的移动互联网趋势下,移动终端将在校园内得到普及,无线网络覆盖已成为学校网络建设的重点。而有线、无线网络的全覆盖,将带来网络流量的暴增,对学校网络安全维护提出了更高的要求。
1 数字时代校园网络发展现状
随着互联网的普及以及电子教学的应用,我国大多数学校都进行了校园计算机网络的建设。但许多学校由于资金、技术等原因,不仅没有最大程度的利用校园计算网络资源,更在网络流量管理及安全等方面处于初级水平。而随着学生对互联网应用需求的快速增长,学校在整体网络规划、软硬件配置、管理与维护等方面都需要有本质提升。
1.1 多种接入模式并存
现在的学生几乎人手一台电脑、智能手机,还有PAD等等,而这些设备都能够通过有线、无线、3G等多种接入模式连入校园计算机网络。对于计算机网络建设刚起步的学校而言,其未来的建设重点在于:一是对有线网络进行扩容,为宿舍、教学区等场所提供更多的端口、更宽的带宽;二是建设无线网络,实现如教室、图书馆等场所的无线覆盖。教室及图书馆是学生集中上网的区域,但学校不可能为每一个学生提供一个有线端口,因此必须利用无线覆盖。此外,智能手机等智能终端数量增加,因此学校需要加强校园良好的基站信号覆盖。
1.2 网元种类增加
近年来,学校逐渐提升宿舍、教室、图书馆等区域的网络提速和覆盖范围,以满足学生学习和娱乐的网络需求。一个较为完善的校园网络包括了服务器、交换机、路由器、无线接入点、安全设备等等。在有线、无线、3G网多个网络复合,且当多种终端接入、多种网络业务并行的情况下时,校园网络管理维护的对象和范围都大大提升。
1.3 管理维护难度加大
用户数量及数字业务的暴增,带来了流量的几何级数增加。校园网的应用已经不局限于办公、实验室,每个学生都有长时间浏览网页、观看视频等需求,而且用户在线时间较为集中。另外,许多学校已经实现了校园外接入校园网的功能。因此,学校计算机网络的流量和安全管理及维护需要提升至更高的水平。
2 数字时代校园网络维护面临的主要难题
尽管全国各地的学校都在热火朝天地进行校园计算机网络的建设、扩容或升级。但从学生使用的反映来看,校园网不仅没有很好地被利用,更是存在各种各样的管理维护问题。
2.1 重形式、轻利用
校园计算机网络已成为学校建设的标准配置,学校领导在响应国家号召上十分积极,不断加强硬件设施的投资,如机房面积、计算机数量等等,但却很少关心网络的使用和维护。最终导致的结果是,学校计算机网络从硬件配备上看十分先进,但整体网络缺乏规划、使用效率低下,缺乏有效的管理维护措施。学生很少有机会使用学校的计算机网络资源,即使使用,也会经常遇到各种故障。
2.2 流量激增,资源分配效率有待加强
校园网络用户数的增加,要求更大的带宽及更快的网络速度。其次,学生上网的时间和区域较为集中,而且具有周期性,因此需要学校网络管理团队,根据学生的上网行为,进行网络流量分析。从而对带宽资源进行合理分配、对网络业务进行分类分级,并特定时间段进行优化管理。
2.3 网络安全管理挑战提升
相对其他单位而言,高校网络安全相对较低。学校同样面临各种网络安全的挑战,如病毒入侵、非法网站渗透等等。随着无线和校外的网络接入范围扩大,网络用户的行为不可控的程度提高,因此要求高校加强网络安全管理。另外,在加强网络安全管理的同时,还必须保证网络使用的便利性。
3 校园网络安全及流量维护的措施
校园网络的网络安全及流量变化与学生的上网行为密切相关,因此,学校IT人员应当首先从用户消费行为的分析入手,明确网络安全及流量维护的关键点。进而定制解决方案、采购专业管理工具或网络套餐,用以匹配校园网络应用的特点。
3.1 用户上网行为分析
学生的上网行为既有共性又有差异。首先共性体现在业务类型及使用时间,学生的上网需求主要集中在浏览网页、观看视频、交友互动等。因此学校能够对网络整体流量有准确的估计,并可以通过跟踪学生的上网行为,准确计算个体流量需求。同时,学生的使用网络的时间主要集中在在校晚间,而地点主要集中在宿舍和图书馆。此外,不同的年纪的学生的上网流量有所差异,如研究生比本科生有更多的时间在线。因此,运维团队必须依据学生的上网行为分析流量变化及安全风险。
3.2 定制解决方案及网络套餐
校园网络的使用主要集中在学期,而寒暑假则利用率非常低。因此,学校可以对学校的网络带宽、运维服务等套餐进行定制。并对网络资源进行分时、分区,如针对晚间订购更大的贷款和更好的网络服务。而在寒暑假期间则可以以自我维护为主,从而降低校园网络的维护成本。
3.3 提升IT队伍素质
多种网络叠加、多网元管理,以及用户规模的提高、用户行为不确定性加强,迫使校园网络运用更加高端的管理工具及技术。而许多计算机网络还处于起步阶段的学校而言,加强IT队伍的建设迫在眉睫。当然,学校可以将网络运维服务进行外包。通过与设备提供商或专业服务提供商进行合作,可以提升校园计算机网络运维的效率。尤其是当遇到故障时,专业服务机构能够支持全天候的服务,以确保校园网络的畅通。
参考文献
[1]王峰等.独立学院学生宿舍校园网络运维浅谈[J].电子制作,2013(11).
[2]王寿福.关于院校网络安全建设的思考[J].大众科技,2013(1).
[关键词]校园网络;安全分析;防范措施
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0355-02
引言
校园网是高校教育信息化的重要基础设施,在高校的教学、科研、管理和生活服务中起着越来越重要的作用。高等院校在不断扩大校园建设、加强办学条件的同时,为适应现代教育的发展和要求,也逐步开始自身校园网的建设和应用。与此对应,校园网的安全面临着巨大的挑战,如何管理好校园网,保障校园网安全、稳定的运行,是各院校校园网管理人员必须认真面对的问题。
1 校园网络安全的现状分析
1.1 采用开放的网络环境
由于教学和科研的特点决定了校园网络环境应该是开放的,管理也是较为宽松的。在企业网环境中可以限制Web浏览站点和用户的网络流量,甚至限制外部发起的连接不允许进入防火墙,但是在校园网环境下通常是行不通的,至少在校园网的主干不能实施过多的限制,否则一些新的应用、新的技术很难再校园网内部实施。面对这种开放的网络环境,安全管理的难度很大,面临的挑战也很突出,在所有的局域网中校园网所面对的环境最为复杂。
1.2 存在操作系统或软件漏洞
由于校内终端用户对计算机认知能力存在差异,有些用户不知如何为系统更新安全补丁,有些则是没有随时更新补丁的习惯,造成校园内大部分计算机系统都存在不同程度的安全漏洞,而目前网络上的很多新型病毒和攻击手段大部分都是针对操作系统漏洞攻击并传染的;另外校内师生在网上随意下载的软件中可能携带隐藏的木马、后门等恶意代码,导致系统运行缓慢,这些软件也可能被攻击者所利用。
1.3 拥有活跃的用户群体
校园网用户的主体是高校学生,这个年轻群体的上网行为相当活跃,由之带来的网络风险也十分严峻。一方面若学生浏览不良网站、下载经过伪装的恶意软件等网络行为都可能将木马、蠕虫、病毒等程序带人校园网,并且大多数学生不懂如何防范病毒和处理病毒,校园网一旦受到安全威胁,能很快地在校园网内蔓延,并且大面积出现相同的症状,严重时会造成校园网的瘫痪。另一方面学生对网络新技术具有强烈的好奇心,为了满足好奇心而勇于尝试在网上学到的各种攻击技术,对网络设备、业务系统进行攻击,给校园网的安全工作增加了难度。
1.4 网络外部的入侵、攻击等恶意破坏行为
校园网与互联网相连,在享受方便快捷的同时,也面临着遭遇攻击的风险。借助网络上泛滥的“傻瓜式”的攻击软件,外网非法用户即使不具备任何计算机技术也可对校园网进行肆无忌惮的攻击。例如通过注入漏洞检测工具对WEB服务器进行数据库注入式攻击,造成学院网站主页被篡改、数据被破坏等恶果。
1.5 校园网中的计算机系统管理比较复杂
校园网中的计算机系统的购置和管理情况非常复杂。学生宿舍中的电脑一般是学生自己花钱购买、自己维护。院系各个单位或者是统一采购,有技术人员负责维护或者是教师自助购买、没有专人维护。在这种情况下,要求所有的端系统实施统一的安全策略(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产安全管理和设备安全管理,出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板,变成攻击实验床也无人察觉。
1.6 安全专项资金投入少和技术人员缺乏
大多数高职院校将经费主要投入到校园网络的规模建设上,往往对保证网络安全的软硬件设备不够重视,未能架构起行之有效的网络安全体系。
网络安全是当今较前沿的计算机技术,需要较强的实践能力和丰富的现场经验。高校一般没有设置专门的网络安全技术人员,现有的网络管理人员多只具备组网管理技术,却缺乏处理网络安全风险的技术与经验,难以应付复杂多变的网络安全问题。
2 校园网络安全防护解决方案设计及对策
2.1 网络安全设备的使用
2.1.1 防火墙
网络防火墙是指设置在计算机网络之间的一道隔离装置,可以隔离两个或者多个网络、限制网络互访,以保护网络用户的安全。为了胜任安全防护的重任,防火墙自身具有非常强的抗攻击能力和免疫力,网络之间的所有网络数据包都必须经过防火墙过滤,只有符合相应安全策略的数据包才可以通过防火墙。
基于以上特性,防火墙一般部署在内网与外网之间,在网络边界处充当一个检查点,以此作为安全保障体系的第一道防线,防御黑客攻击。从性能方面考虑,首选硬件防火墙,由于硬件防火墙的硬件和软件都单独进行设计,由专用网络芯片处理数据包,同时采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。并且其对软硬件有特殊要求,因此拥有高吞吐量、安全与速度兼顾的优点。但是选购硬件防火墙时需要注意的是,尽管许多网络防火墙都号称是硬件防火墙,并且硬件连同软件一起销售,但并没有自己独立的操作系统,只是基于x86计算机架构和开放的Linux/UNIX操作系统,以及一套自己开发的网络防火墙软件,其从根本意义上讲,仍然是软件防火墙。
在校园网入口处部署防火墙并不能发现和防止校园网内部针对核心服务器发起的攻击,因此若条件允许,还可以建立多级防火墙来进一步保护校内的应用服务器群和数据库服务器群。
2.1.2 入侵防御系统
随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,传统的防火墙只能对三层或四层进行检查,不能检测应用层的内容,因此单纯通过部署防火墙已经无法满足校园网的安全需要。入侵防御系统(IPS)的设计基于一种全新的思想和体系架构,工作于串联方式,采用ASIC等硬件设计技术实现网络数据流的捕获,检测引擎综合特征检测、异常检测、DoS/DDoS检测、缓冲区溢出检测等多种手段,并使用硬件加速技术进行深层数据包分析处理,能高效、准确的检测和防御已知或未知的攻击,并实施多种响应方式,如丢弃数据包、终止会话、修改防火墙策略、实时生成警报和日志记录等,突破了以往IDS只能检测不能防御入侵的局限性,提供了一个较完整的入侵防护解决方案。
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施,而绝大多数IDS系统都是被动的,不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防御系统IPS则倾向于提供主动防御,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
IPS之所以能够实现实时检查和阻止入侵,在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用二层至七层的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。
IPS常常以串联方式部署在出口处,抵御来自外网的入侵威胁。若来自校园网内部的入侵风险也较高,可以在靠近服务器群的位置处布置IPS,以增强校园网整体入侵防御的能力。
根据我们的使用经验,IPS最好分阶段、有步骤地部署实施。
第1阶段:检测,但不防御。
IPS以串联方式工作,只进行检测,不阻断数据流,但它会将不符合协议的数据包丢弃,确保通过的数据包都是合乎规范的,是插入和规避类攻击无从得手。在这个阶段IPS的主要任务是适应环境,在保护校园网络和应用的同时不会产生新的麻烦,同时也是管理员熟悉并了解IPS检测机制的一个过程。
第2阶段:检测,并有选择地防御。
当串联方式被证明合适后,管理员就可以根据报警日志确定入侵检测策略的有效性,先选择一些最严重的报警,确保没有误报,然后对该类型的特征实施阻断相应。在此阶段,IPS检测攻击检测共计并有选择的防御,只将有明显危害的攻击流阻断。
第3阶段:检测,并全面防御。
在确认了IPS的有效性并且安全策略经过不断的调整优化之后,管理员就可以为所有入侵特征设置响应方式,从而使IPS进入全面的防御工作模式,一旦发现有害数据包就将其丢弃并阻断随后的数据流。
2.2 构建全方位的漏洞与病毒防护体系
2.2.1 架设微软更新服务器
校园网内绝大多数电脑都是使用了微软的操作系统,而目前网络上相当比例的恶意攻击都是在利用操作系统的设计缺陷展开的,这些缺陷或错误可以被不法者或电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,进而会威胁到整个校园网的安全。因此及时更新操作系统的漏洞补丁,已成为提高系统安全性的主要手段。
通常系统自带的Windows Update功能都是自动连接到MicrosoftUpdate来下载更新补丁,但是在校园网环境下,会带来以下问题:
(1)校园网客户端数量众多,更新操作会占用学校较多的出口带宽资源。
(2)部分电脑存在平时不接入互联网的情况,无法及时获取最新的漏洞补丁。
(3)部分使用者不重视补丁程序的重要性,即使出现更新提示,也不主动更新。
基于以上原因,有必要在校内建设专用的微软更新服务器。目前微软提供免费的补丁分发方案WSUS(Windows Server Update Services),在Windows Server 2003平台下需要安装WSUS 3.0 sp2来添加该项功能,在Windows Server 2008和Windows Server 2012平台下,已经内置了WSus组件功能。该方案支持微软公司全部产品的更新,包含Windows、Office、SQL Server等内容。通过WSUS这个内部网络中的Windows升级服务,所有Windows更新都集中下载到内部网的WSUS服务器中,而校园网中的客户机通过WSUS服务器来得到更新。这在很大程度上节省了网络资源,避免了外部网络流量的浪费并且提高了内部网络中计算机更新的效率。此外,还能通过制订相应更新策略来控制客户端的更新方式,以此达到强制更新的目的。
通常情况是在校园网环境中部署一台WSUS服务器,当网络规模很大且一台WSUS服务器无法满足需求时,可以使用多台服务器进行补丁分发工作。整个部署分服务器端和客户端。服务器端配置不难,但需按照校园网内安装的微软产品数量预留足够的硬盘空间,此外还需做好补丁的审批策略。客户端有两种部署方式,一种是域环境下的组策略方式进行统一自动部署,另一种是非域环境下修改该机注册表或组策略。
2.2.2 建立网络防病毒体系
由于计算机病毒形式及传播途径的多样化,校园网的防病毒工作再也不能是简单的、单台计算机病毒的检测及清除,而是需要建立多层次的、立体的网络病毒防护体系。确保各终端计算机安装网络版防病毒软件的客户端,并及时更新病毒库;制定详细的反病毒策略,定期对网络服务器及工作站进行扫描监测;通过管理端设置和维护全校整体病毒防护策略,并对网络病毒情况进行及时的监控与报告。
在选择网络防病毒解决方案时可以考虑以下一些因素:
(1)拥有多种安装平台的客户端。除了能提供最常见windows平台,还能提供Mac、Linux等平台,能提供32位及64位平台。只有提供各种平台的客户端安装程序,才能在校园网中做到真正意义上的全方位防护。
(2)拥有便捷的部署方式。针对校园内各种不同用途的计算机,能给出多种简便的部署方式,并且安装好后零配置,用户无需关心后续操作。
(3)功能强大的管理控制端。管理控制端必须拥有强大的集中式管理功能,能发现所管理客户端存在的安全风险,能自动下发统一制定的安全策略,当发现大规模病毒爆发,能及时给出警告。针对日常的管理,拥有详细的报表及日志功能。
(4)技术上拥有领先功能。如智能型扫描引擎能在计算机空闲时工作;针对目前主流的虚拟环境,能防止在虚拟环境中同时扫描和更新。
(5)是否还附带了其他便于管理的功能。有些产品除了提供防病毒、反间谍软件、桌面防火墙、网络准入控制等功能,还提供了软、硬件资产管理和软件分发功能,该功能对学校来说,能极大的帮助管理员减轻相应的工作量。
3 结束语
校园网是一个复杂的综合性系统工程,严格来说,绝对安全的校园网是不存在的。而完善的网络安全策略是校园网网络安全的前提,从计算机技术方面对网络设备以及服务器进行合理的设置可以杜绝大多数的不安全因素,但是校园网内部的安全事件时有发生,期望通过硬件或是软件一劳永逸的解决校园网安全及管理问题是不现实的。在目前,唯有综合运用防火墙、杀毒软件等多项措施,互相配合,从管理上规范校园网的使用,才能实现一个安全的校园网络环境,使其可靠、高效地为广大师生服务。
参考文献
[1]刘远生,辛一,计算机网络安全(第2版)[J],清华大学出版社,2009
[2]马宜兴,网络安全与病毒防范(第5版)[J],上海交通大学出版社,2011
[3]周世杰,陈伟,罗绪成,计算机系统与网络安全技术[J],高等教育出版社,2011
校园的计算机使用和网络的应用不仅实现了教学资源的共享,同时也加强了对教学信息的快速处理,为师生之间的学术讨论提供了一条便捷的渠道,使学生的学校生活质量得到明显改善。但人们却也往往会忽略了学校的网络安全。
1校园网络安全管理的意义
计算机网络在教学和科研中的作用越突出,网络的安全管理就越是不能忽视。
1.1关乎学校的利益
目前,大多数学校的校园网都存储了大量的内部教学资料,其中包括学生的成绩信息、档案文件等,很多重要的工作要依赖网络才能得以实施,一旦出现个人数据丢失或被盗的事件,会带给学校和学生很大的损失。所以,加强学校的校园网络安全的管理具有十分重要的意义的。
1.2关乎学校的形象
学校要想在现今计算机网络技术不断发展的信息化时代中脱颖而出,就必须强化对网络安全的关注。今后校园教育管理的发展趋势必然是一步步的走向智能化、网络化。因此,维护校园的网络安全对学校的整体形象及其长远发展有着很重要的意义。
2现阶段学校网络安全的现状及主要问题
就目前来说,校园网络安全管理的现状不容乐观,存在着许多问题,由于学校校内网用户群体比较特殊,相对来说学校网路的用户较多,产生的数据量也就会大,直接导致校园网络的不容易管理。而且学生通过校园网进行上网娱乐的时间大都在下课及休息期间,很容易造成网络的堵塞,甚至造成会导致病毒的扩散。而另一方面,因为很多学生他们并没有采取任何保护措施,无形中就导致了病毒的快速传播,从而出现网络性能下降,或是造成数据受到破坏、信息丢失的现象,更严重者会造成系统瘫痪等无法弥补的后果。关于校园网络安全问题主要表现在以下几个方面:
2.1病毒侵入严重
校园网络为教师和学生的日常生活和学习提供了极大的便利,但与此同时也成为了病毒传播的主要路径。随着科学技术的进步,黑客的技术水平也得到了不断的提高,网络病毒的传播性和破坏性已经变得越来越严重。有些病毒可能会损坏用户的硬盘驱动器,甚至更严重的话还会导致重要的数据信息丢失,对师生个人和学校都造成了无法弥补的损失。
2.2恶意破坏现象严重
对计算机网络的恶意破坏主要包括对系统破坏和设备损坏两个方面。设备主要包括校园的网络交换机和服务器等,它们分布在校园的各个区域,相对来说对它们的管理也不是很容易。而有些人可能会利用维护人员对这些设备的管理方面的漏洞,破坏网络设备,从而导致整个校园网络的瘫痪。
3形成校园网络安全隐患的原因
3.1对于网络安全维护投入不足
对网络安全进行维护是一项庞大的系统工程,在维护工作当中会存在人力和物力资源的难度,但由于很多学校的经费有限或者已经将大部分资金投入到购买设备上,对网络安全的建设并不完备,因此校内网是在一个没有有效的安全预警状态中,时刻受到来自各方的威胁。
3.2学生网络安全意识淡薄
很多学生由于缺乏版权意识,对目前的盗版资源的利用并不能得到遏制,也造成了盗版系统及盗版资源的肆意横流,这无形中为网络安全问题埋下了隐患。例如盗版Windows操作系统在安装后可能会导致计算机系统存在大量的安全漏洞。此外,许多学生对网络安全没有足够的认知,所以他们依然随意的在互联网上下载不明软件,但此软件很有可能隐藏了木马病毒,会导致黑客系统的直接侵入。还有一些学生缺乏法律意识,用自己学到的计算机网络系统知识对校园网络进行攻击,这在很大程度上影响了校园网络的安全运行。
4加强学校网络安全管理的措施
4.1加快建设网络防毒体系
在校园网络的保护系统中可分为服务器保护和保护工作站两方面。首先是服务器的防病毒设置,防病毒系统应该做到能够远程安装服务器产品,而且还可以实时监控病毒入侵情况。现在,师生利用校园网对电子邮件的应用越来越多,它又增加了一个病毒入侵的途径。所以,需要在防止病毒入侵的体系中再增设一道关卡以确保了邮件的安全;此外就是工作站的防毒工作,工作站的病毒防护处于防病毒体系的最底层,所以,校内网的用户要特别注意该工作站的保护工作。
4.2建立用户账号管理机制
在对校园网的用户进行管理的时候,应该给每一位教师设置一个账号,学生可以使用公共账号。除此之外,还要加强对密码的设置和管理。密码的安全性是网络安全性的基本内容。因此,在设置密码的时候,必须保证三个月更换一次,只有这样才能确保密码安全。对于校园用户来说,应该规定按时对密码进行更新。综上所述,学校计算机网络安全管理对于保证学校信息安全,加快学校信息化建设具有十分重要的意义。对于网络安全管理中存在的问题,一定要高度重视。在制定管理措施的时候,不仅要提升技术水平,更要加强制度建设,唯有如此,学校计算机网络的安全才能得到保证,才能更好地服务于教学管理。
4.3部署防火墙
为了建立学校内外网的安全屏障,可以在Internet与校园网内网之间部署一台防火墙,将内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。这样的话,通过Internet进来的公众用户就只能访问一些特定的对外公开的服务,内网资源也不能在未授权的情况下被随意地访问或者破坏,内部也不能对外网资源进行滥用。一旦在网络中发生安全事件,学校内部网络也可以进行跟踪和审计。在设置防火墙时要遵循校园网安全策略和安全目标,以网络规划为依据,设置正确的安全过滤规则,要确保审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总地来说,就是网络设置要以不允许即禁止为原则。
4.4添加漏洞扫描系统
校园的网络安全建设可以采用最先进的网络安全漏洞扫描系统,并定期通过服务器、工作站、交换机等设备对学校的网络安全进行检查,与此同时通过设备监测得到的数据也能为系统管理员提供可靠的安全报告,以此作为提高网络安全级别的重要依据。
4.5建立完善的安全管理制度
因为大多数学校缺乏严格的网络安全管理制度,所以在管理上很容易出现漏洞,这就降低了学校的网络安全级别。所以,学校应建立一个具有高度权威性的信息安全管理机构,制定完善的管理体系,同时可以增强网络完全管理人员自身的责任感。与此同时,学校还可以定期的进行网络安全专业知识和技能的培训,加强学校教师和学生的网络安全知识的普及,提高网络安全的自觉性。最重要的是,学校需要建立应急处置预案的网络管理部门,确保及时发现存在的网络安全威胁,并及时安排有效的解决措施。只有学校的网络管理部门和广大校园网用户齐心协力帮助校园网络安全的维护,才能保证校园网的稳定运行,从而为学校的教学管理提供更好的服务。
4.6建立系统漏洞补丁文件库
学校需要在网络中心服务器上下载、安装系统补丁软件,及时更新最新的系统补丁,在更新后通过网络出去,确保所有的内部计算机都是通过漏洞扫描软件从此服务器下载补丁安装,这样既可以保证内部网络系统的迅速更新,也可以避免系统漏洞受到攻击。系统漏洞补丁文件库也可以尽快对受到黑客攻击的网络进行修复,弥补漏洞,避免黑客的二次袭击。
5结束语
网络安全性日益影响校园网络的操作,这个过程需要是个复杂细致的解决方案,但实际上并没有绝对安全的校网络,所以我们只有通过一定的方法来填充网络安全漏洞,最大限度地减少网络安全隐患,确保校园网的安全性。学校同时还必须加强对教师和学生的网络安全意识、规范互联网的使用,才能使校园网稳定运行,为师生的工作、学习生活提供更好的服务,是校园网为学校的教学和管理提供优质服务。
作者:陆明昕 单位:西安武警工程大学研究生14队
引用:
[1]关启云.校园网络安全问题分析及对策探讨[J].网络安全技术与应用,2013.
[2]许美玉.校园网安全建设的研究[J].中国电子商务,2013.
关键字 网络 安全 设计 对策
中图分类号:TP393 文献标识码:A
1校园网络安全的意义
网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
2校园网络安全
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络的生命在于其安全性。因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
网络的发展极大地改变了人们的生活和工作方式,Internet更是给人们带来了无尽的便捷。我们的教育也正朝着信息化、网络化发展,随着“校校通”工程的深入开展,许多学校都投资建设了校园网络并投入使用。校园网络在我们的校园管理、日常教学等方面正扮演着越来越重要的角色。但是,在我们惊叹于网络的强大功能时,还应当清醒地看到,网络世界并不是一方净土。“网络天空(sky)”、“高波(Worm.Agobot)”、“爱情后门(Worm.Lovgate)”及“震荡波(Worm.Sasser)”等病毒,使人们更加深刻的认识到了网络安全的重要性。因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
3校园网络安全策略
校园网的安全威胁既有来自校内的,也有来自校外的,只有将技术和管理都重视起来,才能切实构筑一个安全的校园网。
国内高校校园网的安全问题有其历史原因:在以前的网络时期,因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。
作为高等院校,如何构筑相对可靠的校园网络安全体系问题,变得越来越突出了。一般来说,构筑校园网络安全体系,要从两个方面着手:一是采用先进的技术;二是不断改进管理方法。
4校园网络安全系统设计
学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络;是学校信息化教学环境的基础设施和实现各项管理的物质基础;是建立远程教育体系的基本保证;是提高全民素质的重要手段;也是一项灵魂工程。其设计方案应注意以下原则:实用性校园网设计应能满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。可靠性校园网的系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强。统一性在系统的设计过程中,坚持“三统一”,即统一规划、统一标准、统一出口。先进性在系统的开发过程中,既能满足当前院校对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;设计的配置可以灵活变通,以便适应客户的其他要求。
5结语
互联网络的飞速发展,对校园网络中师生的工作和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好的解决了网络安全问题,校园网络的应用才能健康、高速的发展。
参考文献
[1] 徐亚凤.解析校园网络的安全及管理.牡丹江大学学报.2008,17(8):118-125.
[2] 郑春.软硬件结合的校园网安全策略.软件导刊.2008,7(8):181-183.
【关键词】网络安全;网络攻击;建设与规划;校园网
1、网络现状
扬州Z校拥有多个互联网出口线路,分别是电信100M、电信50M、网通100M、联通1G和校园网100M。Z校拥有多个计算环境,网络核心区是思科7609的双核心交换机组,确保了Z校校园骨干网络的可用性与高冗余性;数据中心是由直连在核心交换机上的众多服务器组成;终端区分别是教学楼、院系楼、实验、实训楼和图书馆大楼。此外,还有一个独立的无线校园网络。Z校网络信息安全保障能力已经初具规模,校园网络中已部署防火墙、身份认证、上网行为管理、web应用防火墙等设备。原拓扑结构见图1。
2、安全威胁分析
目前,Z校网络安全保障能力虽然初具规模,但是,在信息安全建设方面仍然面临诸多的问题,如,网络中缺乏网管与安管系统、对网络中的可疑情况,没有分析、响应和处理的手段和流程、无法了解网络的整体安全状态,风险管理全凭感觉等等,以上种种问题表明,Z校需要对网络安全进行一次全面的规划,以便在今后的网络安全工作中,建立一套有序、高效和完善的网络安全体系。
2.1安全设备现状
Z校部署的网络安全防护设备较少。在校区的互联网出口处,部署了一台山石防火墙,在WEB服务器群前面部署了一台WEB应用防火墙。
2.2外部网络安全威胁
互联网出现的网络威胁种类繁多,外部网络威胁一般是恶意入侵的网络黑客。此类威胁以炫技、恶意破坏、敲诈钱财、篡改数据等为目的,对内网中的各种网络设备发起攻击,网络中虽然有一些基础的防护,但是,黑客们只要找到漏洞,就会利用内网用户作跳板进行攻击,最终攻破内网。此类攻击随机性强、方向不确定、复杂度不断提高、破坏后果严重[1]。
2.3内部网络安全威胁
内部恶意入侵的主体是学生,还有一些网络安全意识薄弱的教职工。Z校学生众多,学生们可能本着好奇、试验、炫技或者恶意破坏等目的,入侵学校网络[2]。Z校某些教职工也可能浏览挂马网站或者点击来历不明的邮件,照成网络堵塞甚至瘫痪。
3、安全改造需求分析
本次安全改造,以提升链路稳定性,提高网络的服务能力为出发点,Z校在安全改造实施中,应满足如下的安全建设需求1)提升链路的均衡性和利用率:Z校网络出口与CERNET、Internet互联,选择了与电信和联通两家运营商合作。利用现有网络出口链路资源,提升网络访问速度,最大化保障校园网内部用户的网络使用满意度,同时又要合理节约链路成本,均衡使用各互联网出口链路,是网络安全建设的首要需求。2)实现关键设备的冗余性:互联网边界的下一代防火墙设备为整个网络安全改造的核心设备,均以NAT模式或者路由模式部署,承载了整个校园网的业务处理,任何一个设备出现问题将直接导致业务不能够连续运行,无任何备份措施,只能替换或者跳过出故障的设备,且只能以手工方式完成切换,无论从响应的及时性,还是从保障业务连续性的角度,都存在很大的延迟,为此需要将互联网出口的下一代防火墙设备进行双机冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全设备数量较多,需要对所有安全设备进行统一日志收集、查询工作,传统单台操作单台部署的方式运维效率低下,所以需要专业集中监控、配置、管理的安全设备,统一对众多安全设备进行集中监控、策略统一调度、统一升级备份和审计。
4、解决方案
网络安全建设是一个长期的项目,不可能一蹴而就,一步到位,网络安全过程建设中,在利用学校原有设备的基础上,在资金、技术成熟的条件下,逐步实施。Z校网络安全建设规划分为短期建设和长期建设两部分。
4.1短期网络建设规划
4.1.1短期部署规划以安全区域的划分为设计主线,从安全的角度分析各业务系统可能存在的安全隐患,根据应用系统的特点和安全评估是数据,划分不同安全等级的区域[3]。通过安全区域的划分,明确网络边界,形成清晰、简洁的网络架构,实现各业务系统之间严格的访问安全互联,有效的实现网络之间,各业务系统之间的隔离和访问控制。本次短期网络建设,把整个网络划分为边界安全防护区域、核心交换区域、安全管理区域、办公接入区域、服务器集群区域和无线访问控制区域。4.1.2部署设计网络拓扑结构见图2,从图2可以看出,出口区域,互联网边界处的防火墙设备是整个网络安全改造的核心设备,以NAT模式或者路由模式部署,无任何备份措施,为此需要再引入一台同型号的防火墙设备,实现双机冗余部署。同理,原城市热点认证网关和行为管理设备需要再各补充一台,组成双机冗余方案。安全管理区域根据学校预算,部署几台安全设备。首先,部署一台堡垒机,建立集中、主动的安全运维管控模式,降低人为安全风险;其次,部署一台入侵检测设备(IDS),实时、主动告警黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量,防止在出现攻击后无数据可查;再部署一台漏洞扫描设备,对网络内部的设备进行漏洞扫描,找出存在的安全漏洞,根据漏洞扫描报告与安全预警通告,制定安全加固实施方案,以保证各系统功能的正常性和坚固性;最后,部署一台安全审计设备(SAS),实时监控网络环境中的网络行为、通信内容,实现对网络信息数据的监控。服务器集群区域,除了原有的WEB防火墙外,再部署一台入侵防护设备(IPS),拦截网络病毒、黑客攻击、后门木马、蠕虫、D.o.S等恶意流量,保护Z校的信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机[4]。
4.2长期网络建设规划
网络安全的防护是动态的、整体的,病毒传播、黑客攻击也不是静态的。在网络安全领域,不存在一个能完美的防范任何攻击的网络安全系统。在网络中添加再多的网络安全设备也不可能解决所有网络安全方面的问题。想要构建一个相对安全的网络系统,需要建立一套全方位的,从检测、控制、响应、管理、保护到容灾备份的安全保障体系。目前,网络安全体系化建设结合重点设备保护的策略,再配合第三方安全厂商的安全服务是网络安全建设的优选。4.2.1网络体系化建设体系化建设指通过分析网络的层次关系、安全需要和动态实施过程,建立一个科学的安全体系和模型,再根据安全体系和模型来分析网络中存在的各种安全隐患,对这些安全隐患提出解决方案,最大程度解决网络存在的安全风险。体系化建设需要从网络安全的组织体系、技术体系和管理体系三方面着手,建立统一的安全保障体系。组织体系着眼于人员的组织架构,包括岗位设置、人员录用、离岗、考核等[5];技术体系分为物理安全、网络安全、主机安全、系统运维管理、应用安全、数据安全及备份恢复等;管理体系侧重于制度的梳理,包括信息安全工作的总体方针、规范、策略、安全管理活动的管理制度和操作、管理人员日常操作、管理的操作规程。4.2.2体系化设计网络体系化建设要以组织体系为基础,以管理体系为保障,以技术体系为支撑[6],全局、均衡的考虑面临的安全风险,采取不同强度的安全措施,提出最佳解决方案。具体流程见图3。体系化建设以风险评估为起点,安全体系为核心,安全指导为原则,体系建设为抓手,组织和制定安全实施策略和防范措施,在建设过程中不断完善安全体系结构和安全防御体系,全方位、多层次满足安全需求。
5、结语
从整个信息化安全体系来说,安全是技术与管理的一个有机整体,仅仅借助硬件产品进行的安全防护是不完整的、有局限的。安全问题,是从设备到人,从服务器上每个服务程序到Web防火墙、入侵防御系统、抗拒绝服务系统、漏洞扫描、传统防火墙等安全产品的综合问题,每一个环节,都是迈向网络安全的步骤之一。文中的研究思路、解决方案,对兄弟院校的网络安全建设和改造有参考价值。
参考文献:
[1]王霞.数字化校园中网络与信息安全问题及其解决方案[J].科技信息,2012.7:183-184
[2]黄智勇.网络安全防护系统设计与实现[D].成都:电子科技大学,2011.11:2-3
[3]徐奇.校园网的安全信息安全体系与关键技术研究[D].上海:上海交通大学,2009.5:1-4
[4]张旭辉.某民办高校网络信息安全方案的设计与实现[D].西安:西安电子科技大学,2015.10:16-17
[5]陈坚.高校校园网网络安全问题分析及解决方案设计[D]长春:长春工业大学,2016.3:23-31