本文共计10698个文字,预计阅读时间需要43分钟。
校园网络安全方案范文第1篇
近年来,随着我国社会经济的不断发展,国家对教育事业的支持和投入不断增加,我国的高等教育从深度和广度上都有了显著的发展和提高。信息化、网络与计算机技术的不断发展也为教育事业提供了强有力的支持手段,为教育模式的创新、先进教育理念提供了可靠的实现方法。
高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;大学数字化校园建设通常先提出总体解决方案,确定数字化校园的体系结构,制定数字化校园的信息标准,以及各系统之间的接口标准,然后分阶段实施。建立全校的网络安全体系,保证校园网络的安全,保证关键数据、关键应用的安全以及关键业务部门的安全,实现校园网络及其应用系统的安全高效运行。
1教育信息化中的安全体系建设
在教育信息化建设过程中,信息安全体系是保障教育信息系统的信息完整、系统可用和信息保密的重要支撑体系,对各级学校、职业教育、教育主管机构的正常工作起到了至关重要的保障作用。各级教育主管部门对教育信息系统的安全体系建设给予了充分的重视,也是由于教育信息系统的复杂性、多样性、异构性和应用环境的开放性,给整个信息系统带来了巨大安全威胁。以高校数字校园信息系统为例,高校数字校园信息系统的建设是由高校业务需求驱动的,初始的建设大多没有统一规划,有些系统是独立的网络,有些系统又是共用一个网络。而这些系统的业务特性、安全需求和等级、使用的对象、面对的威胁和风险各不相同。当前高校网络系统是一个庞大复杂的系统,在支撑高校业务运营、发展的同时,信息系统面临的信息安全威胁也在不断增长、被发现的脆弱性或弱点越来越多、信息安全风险日益突出,成为高校面临的重要的、急需解决的问题之一。在进行数字化校园建设的过程中,也曾发生不少信息安全事件,如某高校数据中心一台服务器被黑客入侵,成为肉鸡,被植入僵尸木马程序,受黑客控制疯狂往外网发包,导致学校网络出口瘫痪;某高校在高招中发现网站被挂马、篡改,并且学校内部也曾经发现学生成绩的数据库,有被恶意篡改的痕迹。
2网络安全威胁分析
(1)高校网站的安全威胁,包括高校门户网站、高校招生网站、二级各院系等网站,由于高考、招生、学生就业等敏感时期,聚集了大量的学生及家长访问流量,也引起黑客的关注,高校网站面临的主要安全威胁有:网页被挂马、被篡改,黑客通过SQL注入、跨站脚本等攻击方式,可以轻松的拿到高校网站的管理权限,进而篡改网页代码;部分攻击者将高校网站替换成黄色网站,影响极其恶劣。每年高考招生及高校重要节日期间,高校门户网站极易被DDOS攻击,这种由互联网上发起的大量同时访问会话,导致高校网站负载加剧,无法提供正常的访问。入侵者成功获取WEB服务器的控制权限后,以该服务器为跳板,对内网进行探测扫描,发起攻击,对内网核心数据造成影响。(2)随着校园网信息化的逐步深入,业务系统众多,“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大高校采用,而这些系统由于管理及防护不到位,面临着较严重的安全威胁:业务系统缺乏必要的入侵防护手段,高校网络规模扩张迅速,网络带宽及处理能力都有很大的提升,但是管理和维护人员方面的投入明显不足,没有条件管理和维护数万台计算机的安全,一旦受到黑客攻击,无法阻断攻击并发现攻击源;部分高校“一卡通”充值系统与银行互联,边界缺乏必要的隔离和审计措施,出现问题不方便定位,难以追查取证;校园网数据中心内的系统应用众多、服务器众多,管理及维护方式也不尽相同,无法做到所有的系统实施统一的漏洞管理政策。同时,对于存在安全隐患的配置检查,也缺乏自动化的高效检查工具和控制手段;业务系统权限控制不合理,有安全隐患。
3需求分析
根据对高校校园网络的威胁分析,得出在校园网络安全体系建设中,各个网络区域和业务系统的安全需求如下:
(1)校园网络出口应对可能发生的拒绝服务攻击进行有效识别、过滤、清洗,保证网络出口的畅通,保证骨干链路的负载处于正常范围之内。(2)网络出口链路应有相应措施,对来源于公网或内网的黑客入侵、病毒传播等安全威胁进行实时识别与阻断。(3)DMZ区及内网服务器区出口链路上,应对针对WEB应用的7层攻击,如SQL注入、XSS、HTTP GET FLOOD等威胁进行全面深入的防护。(4)应对流经核心交换区域的所有流量进行深入的检测,以识别内部各网络区域之间发生的入侵事件和可疑行为。(5)应对内网用户的网络行为,如公网访问、数据库访问等进行全面的记录和审计,以满足违规事件发生后的追查取证。(6)应在不同校区之间的链路接口进行访问控制、病毒检测、入侵防护等安全控制措施。
应对全网的网络节点进行漏洞风险管理,实现漏洞预警、漏洞加固和漏洞审计的全程风险控制。(7)应对全网的网络节点进行配置合规管理,实现违规配置及时识别、配置整改全面深入、配置风险全程可控。(8)应对运维管理人员进行详细严格的权限划分,并通过技术手段控制运维行为权限,对运维行为进行全程审计,对违规运维操作进行实时告警。
4遵循等保要求
2009年11月,教育部为进一步加强教育系统信息安全工作,由办公厅印发《关于开展信息系统安全等级保护工作的通知》(教办厅函[2009]80号),决定在教育系统全面开展信息安全等级保护工作;等级保护不仅是对信息安全产品或系统的检测、评估以及定级,更重要的是,等级保护是围绕信息安全保障全过程的一项基础性的管理制度,是一项基础性和制度性的工作。通过等级化方法和高校信息安全体系建设有效结合,设计一套符合高校需求的信息安全保障体系,是适合我国国情、系统化地解决高校信息安全问题的一个非常有效的方法。
5网络安全建设方案
(1)在校园网出口处旁路部署抗拒绝服务攻击系统(ADS)对拒绝服务攻击流量进行清洗,并且旁路部署网络流量分析系统(NTA)对网络流量组成和DDOS攻击成分进行分析和判断。在正常环境下,旁路部署的ADS不参与网络出口流量的路由和交换,边界路由器通过NETFLOW等技术将流量信息发送给NTA,由NTA分析流量特征,判断是否遭受DDOS攻击。当发现遭受DDOS攻击时,NTA将激活ADS,由ADS向边界路由器发送针对特定防护目标IP的路由,将所有去往被攻击目标IP的流量牵引至ADS设备。ADS系统进行恶意流量的识别和清洗,将不含有攻击成分的合法流量回注至边界路由器,按正常路由路径发送至目标IP。(2)在出口链路部署入侵防护系统,对接入互联网的访问流量进行深入过滤,有效抵御源自公网的入侵威胁,消除安全风险。(3)在DMZ区和内网服务器出口处部署WEB应用防火墙,对服务器区的WEB服务器进行全方面的防护,对针对WEB站点的黑客攻击,恶意扫描、SQL注入、跨站脚本、病毒木马传播、暴力口令破解、网页篡改等攻击手段进行深入防护。保障网站、电子教务系统、一卡通系统等应用系统的正常工作。(4)在核心交换区旁路部署安全审计系统,通过将核心交换机上各端口的流量镜像到安全审计系统的监听链路,实现对流经核心交换机的网络数据进行全程的审计和过滤。通过制定详细的安全审计策略,对违反审计策略的网络行为进行实时告警。此外,安全审计系统由部署在网络运维区的安全中心进行统一监控与策略下发,并实时收集网络时间日志和告警信息。(5)在核心交换区域的出口链路部署下一代防火墙,实现出口链路的流量检测和安全过滤,保护内部网络安全。建议在核心交换区域与各个校区的网络边界处部署下一代防火墙,通过下一代防火墙对应用层攻击、病毒进行全面阻断,可实现基于源/目的IP地址、协议/端口、时间、用户、VLAN、VPN、安全区的访问控制,保证不同网络区域之间的安全防护边界完整。同时,通过安全管理区的安全管理服务器上安装安全中心对该设备进行全面的管理。
校园网络安全方案范文第2篇
由于计算机硬件、软件、以及网络的迅速发展,信息系统在学校公共事务管理的过程中承担着越来越多的功能,在校园网络中根据学校自身的需求和应用,一般主要有以下一些信息管理服务系统。
1.1Web信息服务高职学校需要对外宣传自己的单位形象,学院新闻、招生政策以及各类需要的公告信息,在校园网中,Web服务器是网上信息浏览的服务器,是不可缺少的信息系统服务项目,也是许多校园管理系统的集成的接口,其他的信息系统可以通过Web服务的主页进行集成。
1.2网上办公系统(OA)网上办公系统可以实现校园内部各处、系、部之间信息交流和共享,公共资源的统一安排,以及和外部相关部门之间进行信息的传播、收集处理、资源的共享存储、实现科学化决策信息管理系统。各部门之间通过办公系统的使用使得信息的沟通更加的顺畅,资源的利用更加充分,并且能够节约时间和成本。
1.3教务管理系统学校的主要功能是教育、管理服务的对象是学生,如何最大化实现对各种教学资源的充分利用,提供高效的管理功能,这就需要使用教务管理把各种资源高效利用,通过使用教务管理系统,实现对学生、教师、课程、教室等教学资源的科学管理,提高上述资源的利用效,减轻教务管理人员工作的难度。
1.4文件服务器在日常的管理中,有许多文件或信息是需要大家相互交流共享,譬如一些公共表格,或者教师的备课材料和视频等。学生可以随时随地通过视频服务器找到自己课程的视频来进行学习,教师也可以上传自己授课的视频提供给学生在课后学习或对该门课程感兴趣的学生自学。此外在校园网络中还有精品课程系统、财务系统等,这些信息系统的存在,增加了网络管理的难度。同时也增加了受到威胁、攻击的概率。
2校园网络面临的主要威胁
通过对校园网络安全威胁现状及发展趋势进行分析,这对研究网络安全技术的必要性和重要性有很高的现实意义,找出相应的解决方案措施。通过对毕节职业技术学院校园网络一年来的记录和观察,校园网络面临的主要安全威胁来自于以下两个方面:来自外部的主要威胁是黑客的攻击,校园网络一般没有特别机密的文件,但校园网络的用户众多,难免一部份用户会对网络进行攻击,在校园内部,一般都搭建有Web服务器和教务系统服务以及办公OA系统,黑客主要对Web服务器和教务系统感兴趣,他们主要目的就是在Web网页上面挂马或攻击教务服务器,获取访问用户的账户和密码、权限等。以下是常见的黑客攻击的技术:
2.1端口扫描端口扫描是利用端口扫描程序对服务器的TCP端口进行扫描,并记录反馈信息,通过对反馈信息进行分析,检查目标主机在哪些端口可以建立连接,如果能够建立连接,则说明主机在那个端口被监听。常用的扫描工具有Superscan端口扫描工具、Satan网络分析工具。常用的扫描方法有
(1)TCPConnect扫描使用这种方法可以检测到目标主机上开放了哪些端口,但这种扫描也容易被目标系统检测到。
(2)TCPSYN扫描这种扫描也称为“半”扫描,因为它不必和目标主机通过三次握手建立TCP连接。
(3)TCPFIN一些防火墙和包过滤程序能监测到SYN分组访问未经许可的端口,TCPSYN扫描的原理是向目标端口发送一个FIN分组,所有关闭着的端口会返回一个RST端口,而打开的端口会忽略这些请求,从而获知哪些端口是打开的。
2.2网络网络监听主要是利用网络监听工具对计算机网络接口截获其他计算机的数据报文的一种工具,通过监听,可能捕获到用户用明文传送的账户和密码。
2.3密码破解通过一些专用的密码破解工具来猜测和获取用户的帐户和密码,从而获取用户的权限对网络或资源进行破坏,常用的方法有密码字典等。
2.4特洛伊木马特洛伊木马指隐藏在计算机正常程序代码中的一段具有特殊功能程序的恶意代码,具有破坏、删除文件、发送账户密码和记录键盘和攻击功能的后门程序。通常情况伪装成实用工具或游戏程序,引诱用户点击将其安装在用户计算机上,实现黑客远程控制用户计算机的手段。
2.5缓冲区溢出缓冲区溢出攻击是指黑客利用操作系统或软件的漏洞,通过程序往缓冲区中写入超过其长度的程序指令,造成缓冲区溢出,从而改变程序正常执行的顺序改变为攻击者安排的另一种顺序,以达到黑客攻击的目的。
2.6拒绝服务攻击拒绝服务攻击指黑客利用Internet网络中的服务器不停的向目标主机发送请求和信息,强迫目标主机不停回复这些无用的请求和信息,消耗目标主机的网络带宽和系统硬件资源,最终导致网络系统瘫痪而停止服务的网络攻击方式。另外其他的攻击有网络钓鱼、电子邮件攻击、即时通信的攻击等。内部的网络安全主要是计算机病毒和木马感染,根据《中华人民共和国计算机信息系统安全保护条例》定义,计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据、影响计算机使用并且能够自我复制的一组计算机指令或都程序代码。校园网络由于大量公共计算机的存在,公共机房的计算机用户不固定,学生使用U盘或网上下载软件,容易使电脑感染病毒和木马,只要有一台计算机感染,很快会扩散到其他的计算机,因此,防治计算机病毒是校园机房管理的一个难点。当然,除了上述两个重要的安全因素以外,设备老化、设计缺陷、自然灾害、人为的破坏也是网络安全威胁因素,那么,怎样才能减少校园网络安全威胁呢?构建一个安全的校园网络体系结构,最大限度减少网络受到攻击。
3网络安全体系结构的构建
世界上绝对安全的技术是不存在的,任何安全技术的所谓“安全”都是相对的,因此,在构建校园网络安全体系结构的时候,除了技术以外,重要的是日常网络的管理与维护,人们常说“三分技术,七分管理”,再完美的安全技术,只要管理不当,也会出现漏洞。那么如何构建安全的校园网络体系结构呢?
3.1网络安全体系结构的构建方法
(1)制定安全管理规章制度,严格按照规定操作,避免出现人为的失误,责任到人。严格按照安全技术评估标准对校园网络进行评估,找出漏洞,及时封堵。
(2)安装防火干墙,在校园网络与Internet的接口安装硬件防火墙或网关,防范来自外部网络的攻击。
(3)在连接外网的路由器上做访问控制列表,控制对关键信息和区域的访问。
(4)在核交换机上划分VLAN,避免发生网络广播风暴和减少不同网络网段之间的互访,增加网络的安全性。
(5)安装网络版杀毒软件,及时对内部网络中的计算机进行病毒扫描,清出计算机中残留的病毒,对于公共使用的计算机安全立即还原软件,减少被交叉感染的机会。
(6)安装入侵检测系统,入侵检测系统能够检测闯入、冒充其他用户或合法用户对系统进行破坏或恶意使用的安全行为。
3.2针对网络面临的威胁,我校制定以下安全措施;
(1)提高安全防范意识,按照安全防范要求不要随便从网上下载文件、不要打开运行来历不明的软件、不要打开来历不明的邮件,预防病毒感染。
(2)设置口令时严格按照复杂口令来设置,要有字母、数字和控制符号,长度一定足够长,对于具有管理权限的账户,要经常变换更改密码。
(3)及时更新操作系统或软件,封堵系统中的安全漏洞。
(4)定期分析系统日志,分析系统是否遭到黑客攻击,一般黑客在攻击之前都会对目标主机进行扫描,系统日志会记录对主机的操作记录,做好对应准备,从而预防黑客攻击。
(5)进行动态监控,建立完善的访问控制制度,及时发现网络遭到攻击的情况并加以防范,减少网络攻击的损失
(6)安全检测,运用专业的攻击检测软件对系统进
行扫描,及时发现系统中的安全漏洞并预防。
(7)数据备份,数据备份是网络管理中重要的一环,当系统遭到攻击或者是各种自然灾难时,有了完整的数据备份,可以尽快的恢复数据系统。
(8)安装硬件防火墙或网关,防火墙实现内外网的隔离的技术,它根据访问控制策略来控制内外网的数据通信,最大限度地阻止网络中黑客的入侵。
(9)安装网络杀毒软件,校园网络中,感染病毒是最常见的,一般感染以后就是能及时处理,不要让病毒进行扩散。我们一般在公共机房安装杀毒软件,学生上机使用的U盘在使用时都会对其进行扫描,避免病毒交叉感染,另外我们在电脑上安装还原系统,只要电脑重新启动以后,所有的数据进行恢复。避免病毒存留在计算机上,最大限度减少电脑和用户U盘上的病毒进行扩散。
4总结
校园网络安全方案范文第3篇
一、强化领导,提升校园网络安全防范意识。按照“谁主管、谁主办、谁负责”的原则,加强工作领导,细化管理分工,落实责任到人,建立有效防范、及时发现、果断处置有害信息的工作机制。学校要建立健全安全管理组织机构,校长是网络安全管理工作的第一责任人,要指定一名校领导直接负责,加强校园网上网服务场所和网站信息安全管理工作的领导;要建立、健全和落实相关制度,进一步加强校园网络应用的管理、检查、监督,发现问题及时纠正、整改,要采取一切措施,坚决杜绝各种有害信息、虚假信息在校园网上散布;要明确管理责任,严肃工作纪律,对不履行职责、管理不严造成严重后果的要追究相关人员的责任,对违反国家有关法律法规的将移交公安机关处理。
二、加强管理,保障校园网络安全稳定运行。校园内联网计算机要统一分配静态IP地址,实现网卡MAC和IP绑定,禁止使用DHCP分配IP地址,建立网络运行维护日志和校园网管理、应用、维护等技术文档,网络日志至少要保存60天以上;规范校园网管理,落实网络安全技术防范措施,按要求做好各项信息安全管理制度及技术措施的建立及落实,对校园网上各类有害信息做到防范得力、删除及时,确保对在校园网上制造和传播色情、反动有害信息嫌疑人的查处;有开通留言板、交流论坛等性质的栏目的学校网站必须实行24小时监管,信息须审核后才能;要加强对路由器、服务器等网络设备管理员帐号、密码的保密和安全管理,定期更换管理员帐号、密码,管理员帐号、密码须专人使用;定期检查和检测服务器信息及日志文件,发现异常,及时同公安部门联系,尽快解决出现的问题。
三、严格审查,确保网上信息规范合法。要建立和落实严格的用户管理和信息审核、监督等制度,其所的各类信息、资源必须严格遵守国家有关政策法规规定,严格执行信息保密工作条例的有关要求;查看学校网站的文件类的内部信息要实行用户名、密码登录制度;学校网站的教育信息要有分管领导审批,教育教学资源要由学科组长审批;对在网络信息管理不力导致出现问题并情节严重的,将追究有关领导及网络管理员的责任。
四、加强引导,倡导全体师生健康文明上网。进一步加强网络精神文明建设和青少年学生安全文明上网教育引导工作。要高度重视网络思想政治教育工作,建设一批融思想性、知识性、趣味性、服务性于一体的主题教育网站;要充分发掘优秀的中小学校网络文化资源对学生开放,丰富中小学生文明健康的网络生活;要在学校中广泛开展远离色情等有害信息宣传教育活动和文明上网活动,增强青少年学生上网的法制意识、自律意识和安全意识;学生上网场所的计算机网络要有网站过滤功能,对不利于学生身心健康的有害信息要进行屏蔽;严禁利用计算机联网从事危害国家安全、泄露秘密等犯罪活动,不得制作、查阅、复制和传播有敏感信息和有害信息。
校园网络安全方案范文第4篇
?
1概述
?
随着计算机网络的飞速发展,带动了信息产业的提升;在巨大的信息产业面前,网络建设的势头也是急剧增加;作为培育人才的摇篮,校园网络的建设和发展,逐渐被人们所重视;目前我国的校园网络建设尚存在应用层次比较差的特点;而基于校园网络的可靠性、安全性、适用性的矛盾也日益突出。如何利用现有资源,保障校园网络改造、扩充网络应用水平,以实现校园网络飞速发展,是摆在校园网络建设者面前重要问题和挑战。
?
2网络方案设计建设原则
?
2.1方案设计原则
?
校园网络系统由软件、硬件两个部分组成。软件部分包括应用软件和系统软件。Internet应用、规模化教学管理、办公管理系统是应用软件部分;系统软件主要是服务器操作系统、工作站操作系统、网络设备上的操作系统、网络管理系统以及安全系统。硬件部分主要由网络布线系统、网络设备、主机(服务器)系统以及各种外设组成。
?
2.2方案建设原则
?
2.2.1网络规模。规模决定应用的大小,校园网络要实现与相关横向的网站互联、实现Internet的互联、还要实现国际网络的通信流畅,能够快速搜索国内外最新学术信息,并在使用功能上能够辅助课堂和实践教学的作用。为学院各部门的信息交流和资源共享提供保证;并保证网络高性能、可扩展。
?
2.2.2网络业务。电子邮件功能及OA;电子图书馆;讨论和交流功能;视频点播;无线网络;宽带上网。
?
3网络方案技术选择
?
3.1方案技术选择前提
?
校区网络建设应该以应用为核心,在设计中充分考虑到教育管理、教学和专业性质的教学要求,并且网络技术上应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。以太网技术是现在最富有弹性的网络技术之一,从校园网的要求来看,使用以太网技术是最佳选择。
?
3.2方案技术选择要求
?
一是网络的可靠性;二是网络的速度反应性;三是完整维护性;四是安全性;五是可控管理性;六是符合发展趋势性。
?
4网络设计实施
?
4.1.1网络拓扑总体设计
?
石家庄邮电学院园区的网络点主要分布在办公大楼(145个信息点)、教学楼六栋(160个信息点)、图书馆(90个信息点)、实验楼电脑室(共两间,分别62个和64个点)、教师宿舍(70个信息点),学生宿舍(六栋楼,共约384个信息点),饭堂(5个信息点),体育馆(10个信息点),实验楼的部分实验室(15个信息点)。
?
拓扑总体设计:
?
4.1.2IP及VLAN方案
?
4.1.3Internet接入方案
?
(1)Internet接入规划:校区网络出口为双路千兆光纤接入,在成本允许的情况下,采用双路固定公网IP的方式接入骨干网;设置权限同时采用有线加无线方式在校区布置内网。
?
(2)Internet接入方式:校园网与骨干网通过固定IP方式,采用光纤接入,在校园网入口处,添加安全防火墙;网络内部用户,在使用校园网的时候,可以通过多终端进行接入。
?
4.1.4网络管理及安全
?
(1)网络管理模式
?
校园网管理模式主要分为两个方面,用户管理和设备管理。用户管理的内容:校园网络的用户分为多种,多数是学生,剩下部分有教师;用户管理在大体上可以分为:流量统计、行为分析、访问控制三方面。设备管理内容:数据网络是光纤和双绞线通过综合布线的方式把各式各样的设备连接起来的,网络渗透到校园的各个角落。
?
(2)网络流量统计方案
?
网络流量统计方案,现在惯常做法是使用代理服务器和直接使用路由器两种操作手法;代理服务器有日志功能,读取即可;路由器则可通过采集数据和分析手段来实现。
?
(3)安全方案
?
安全问题最大的防范手段就是安全管理能够彻底被执行,所以安全方案的实施,必须在技术上保证安全管理的可实施性。一是网络分段技术;二是交换式集线器到桌面技术;三是虚拟局域网(VLAN)划分技术。
?
4.1.5设备选型及依据
?
校园网中主要的设备是路由器和交换机一是选择交换机时,应选择在国内市场上有相当的份额,具有高性能、高可靠性、高安全性、高可扩展性、高可维护性的产品,以及良好的售后服务。二是选择路由器时,采用成熟的、经实践证明其实用性技术的产品。
?
4.2网络安装与维护
?
校园网络规划设计实施完成以后,尔后最大的问题就是网络就是网络的安装和维护问题;安装维护有几个点必须要把握好,一是系统的集成方案问题,这要在安装之前彻底进行考证和分析;二是基础建设是否给予支持,基础建设内容包括布线、设备性能以及实施的平台环境等因素;三是对应用软件的测评工作;四是安装后的维护管理功能方面,主要是针对于校园网的特殊性,而采取的网络管理是否能到位问题的纠错工作。
?
结语
?
校园网络的建设是大势所趋,信息化的硬件设施是每一个高校必备的物质保证,只有将校园网络规划设计好,那么,校园网络才能发挥更好的作用,也才能完成为社会未来发展培育人才的伟大任务。
校园网络安全方案范文第5篇
关键词:校园网;安全;防火墙
中图分类号:TN915文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Campus Network Security Analysis and Design Solutions
Shen Yang
(Dalian Polytechnic University,Dalian116035,China)
Abstract:The campus network in the process facing various security threats,in view of the current situation of campus network,summary the relevant solutions for the campus network security operation,put forward the corresponding measures based on the campus network security operation.
Keywords:Campus network;Safety;Firewall
校园网是高等教育的重要教育资源。由于校园网信息交换频繁,基于校园网的各种安全问题也日益突出。为了保护数据和资源的安全,校园网必须具备其安全体系的解决方案。
一、校园网的安全风险分析
目前,由于高校校园网的建设主要以教学为中心,校园网的安全问题也多种多样,其主要的表现为以下几个方面:
(一)集群难以集中管理。由于接入校园网计算机系统差异性较大,难以要求所有的系统实施统一的安全配置,比如接入校园网的某台PC机后感染蠕虫病毒,这台电脑极有可能通过最新的安全漏洞感染其他的电脑,最终导致整个网络无法正常使用,给校园网的正常使用带来很大的威胁。
(二)用户群体特殊性。作为高校的大学生,对网络新技术充满好奇,勇于尝试。很多学生愿意操作一些新的网络类的软件,有的甚至在校园网尝试黑客工具,通过互相攻击去研究各种攻击技术,这种随意性给校园网带来致命的威胁。
(三)网络安全重视程度不够。校园网的建设重视教学资源的建设和管理,通常都忽略了网络安全,特别是在安全维护方面投入明显不足,大部分资金都是在教学资源建设、管理系统开发等方面,造成了一定的安全隐患。
针对这种状况需要制定基于校园网安全体系解决方案,保障教师与学生能够安全地使用校园网资源。
二、校园网安全解决方案
(一)构建安全的防范体系。根据校园网的应用现状情况将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。
1.物理层安全;该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。计算机中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地技术条件》的要求。需要学校计算机管理中心老师配合工程技术人员共同完成。
2.系统层安全;该层次的安全问题来自网络内使用的操作系统的安全,如Windows XP,Win 7等系统安全升级。要求网络中的用户采用安全补丁更新并且选择适合用户本身的正版杀毒软件,平时要定期的检测系统有无病毒,避免感染网络中给其他设备。
3.网络层安全;该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段等,确保网络正常运行。
4.应用层安全;该层次的安全问题主要由学校服务器提供服务所采用的应用软件和数据的安全性产生,包括Web服务、电子邮件系统、BBS等。
5.管理层安全;网络管理,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理等。同时,针对校园网络的实际情况,解决网络的安全问题,必须考虑到技术难度、投入经费、维修与维护的保障等等因素,
因此,必须将各种安全技术与运行管理机制、网管人员技能水平、安全规章制度建设相结合。
(二)校园网安全解决方案的策略。针对防范体系的层次,制定相应的策略:
1.保障物理设备安全。物理设备指服务器、交换机、路由器等设备,一定要设置复杂密码,防止黑客通过网络轻易获得这些设备的控制权,更改这些设备的配置,会导致整个校园网络瘫痪。
2.设计正确的网络拓扑。校园网络至少要采用两级结构:主干网和子网。校园网的主干采用成熟的千兆以太网,在校园网络中心机房设有一个总的出口接入教育网,所有进出校园网的数据都需要通过此出口检测过滤。网络中心对全校进行合理VLAN划分,这种配置结构既保证了主干网信息可靠、高速地传输,抑制网络广播风暴,又方便管理用户。
3.利用杀毒软件与防火墙增强网络的安全性。安装正版的网络杀毒软件,确保定期或及时升级杀毒软件的引擎、病毒库;在内外网之间建立了一道牢固的安全屏障即安装硬件防火墙,专用服务器连接在防火墙的DMZ区,与内外网间进行隔离,既保障服务的正常运行,也保护内网资源不被外部非授权用户非法访问和破坏,加强与IDS(入侵检测系统)的联动,入侵检测被认为是防火墙之后的第二道安全闸门。
4.教学资源的备份和恢复。教学资源是校园网的核心,其中学生的成绩、学籍资料、教学素材等重要资源必须要进行合理的备份,以待出故障后进行有效数据恢复,通常采用双机热备份方法,当设备出现故障时马上切换到备份设备,利用“热备份”和“冷备份”两种策略保障资源的使用。
5.完善合理的网络管理制度。不仅利用网管软件对使用中的设备进行实时检测,同时要建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施,保证制度的执行。可以定期对教职工、学生开展网络安全技术类讲座,树立正确的网络安全防范意识。
三、结束语
总之,校园网的安全问题不仅仅是技术问题,其防范体系的安全性也不是一劳永逸的,新的安全问题不断涌现,必须根据情况制定新的安全防范措施,不断维护和更新校园网安全,保证校园网更安全更好地服务于高校的教学工作。
参考文献:
下一篇:校园网建设实施方案{集合5篇}