前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網絡安全預案主題范文,僅供參考,歡迎閱讀并收藏。
【關鍵詞】校園網 安全問題 分析 對策
高校是計算機網絡誕生的搖籃,也是最早應用網絡技術的地方。校園網是當代高校重要基礎設施之一,是促進學校提升教學質量、提高管理效率和加強對外交流合作的重要平臺,校園網的安全狀況直接影響著學校的各項工作。在校園網建設初期,網絡安全問題可能還不突出,但隨著應用的不斷深入和用戶的不斷增加,高校校園網上的數據信息急劇增長,各種各樣的安全問題層出不窮?!靶@網既是大量攻擊的發(fā)源地,也是攻擊者最容易攻破的目標”[1],校園網絡安全已經引起了各高校的高度重視。本文對高校校園網的安全問題進行了分析,并探討了加強高校校園網安全管理的對策。
1 高校校園網安全問題分析
1.1 高校校園網的特點
與其它局域網相比,高校校園網自身的特點導致網絡安全問題嚴重、安全管理復雜。其特點可以概括為兩個方面:
(1)用戶群體的特點。高校校園網用戶群體以高校學生為主。一方面,用戶數量大、網絡水平較高。隨著高校的擴招,現在各高校的在校學生規(guī)模越來越大,校園網用戶少則幾千,多則幾萬,而且往往比較集中。高校學習以自主性學習為主,決定了高校學生可供自主支配的時間寬裕。通過學習,高校學生普遍掌握了一定的計算機基礎知識和網絡知識,其計算機水平比普通商業(yè)用戶要高,而且他們對網絡新技術充滿好奇,勇于嘗試,通常是最活躍的網絡用戶。另一方面,用戶網絡安全意識、版權意識普遍較為淡薄。高校學生往往對網絡安全問題的嚴重后果認識不足、理解不深,部分學生甚至還把校園網當成自己的“練兵場”,在校園網上嘗試各種攻擊技術。另外,由于資金不足和缺乏版權意識等原因,導致高校學生在校園網上大量使用盜版軟件和盜版資源。攻擊技術的嘗試和盜版軟件的傳播既占用了大量的網絡帶寬,又給網絡安全帶來了極大的隱患。
(2)校園網建設和管理的特點。一方面,校園網建設需要投入大量的經費,少則幾百萬,多則幾千萬,而高校的經費普遍是比較緊張的,有限的投入往往用于擴展網絡規(guī)模、增加網絡應用這些師生都能看到成果的方面,而往往忽視或輕視師生不容易看到成果的網絡安全方面。由于投入少,缺少必要的網絡安全管理設備和軟件,致使管理和維護出現困難。另一方面,各高校為了學校的教學、科研、管理以及學生學習生活的需要,目前基本上都建立了千兆主干、百兆桌面,甚至萬兆主干、千兆桌面的校園網,高帶寬的校園網給校園網用戶帶來了方便,但同時也大大增加了網絡完全管理的難度。
1.2 當前高校校園網面臨的主要網絡安全問題和威脅
(1)安全漏洞。校園網內普遍存在用戶操作系統(tǒng)漏洞和應用軟件安全漏洞,這些漏洞影響用戶系統(tǒng)的正常使用和網絡的正常運行,對網絡安全構成嚴重的威脅,一旦被黑客或病毒利用,甚至有可能導致災難性的后果。
(2)病毒和攻擊。網絡病毒發(fā)病和傳播速度極快,而許多校園網用戶由于各種各樣的原因,沒有安裝殺毒軟件或不能及時更新殺毒軟件病毒庫,造成網絡病毒泛濫,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網絡資源,造成網絡擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內部用戶的攻擊越來越多、危害越來越大,已經嚴重影響到了校園網的正常使用。
(3)濫用網絡資源。在校園網內,用戶濫用網絡資源的情況嚴重,有私自開設服務器,非法獲取網絡服務的,也有校園網用戶非法下載或上載的,甚至有的用戶每天都不斷網,其流量每天都達到幾十個G,占用了大量的網絡帶寬,影響了校園網的其它應用。
(4)不良信息的傳播。不良信息的傳播對正在形成世界觀和人生觀的大學生而言,危害是非常大的。網絡上的信息良莠不齊,其中有違反人類道德標準或法律法規(guī)的,如果不對這些信息加以過濾和處理,學生就會有在校園網內瀏覽、賭博、暴力等不健康網頁的機會。要確保高校學生健康成長、積極向上,就必須采取措施對校園網絡信息進行過濾和處理,使他們盡可能少地接觸網絡上的不良信息。
(5)垃圾郵件。垃圾郵件對校園網的破壞性很大,它占用網絡帶寬,造成郵件服務器擁塞,進而降低整個網絡的運行效率,同時也是網絡病毒、攻擊和不良信息傳播的重要途徑之一。現在雖然很多高校都建立了電子郵件服務器為校園網用戶提供郵件服務,但由于缺乏郵件過濾軟件以及缺少限制郵件轉發(fā)的相關管理制度,使郵件服務器成為了垃圾郵件的攻擊對象和中轉站,大大增大了校園網的網絡流量,浪費了大量的校園網帶寬,造成校園網用戶收發(fā)郵件速度慢,甚至導致郵件服務器崩潰。
(6)惡意破壞。惡意破壞主要是指對網絡設備和網絡系統(tǒng)的破壞。設備破壞是指對網絡硬件設備的破壞?,F在各高校校園網的設備數量多、類型雜、分布比較分散,管理起來非常困難,個別用戶可能出于某些目的,會有意或無意地將它們損壞。系統(tǒng)破壞是指利用黑客技術對校園網絡各系統(tǒng)進行破壞,如:修改或刪除網絡設備的配置文件、篡改學校主頁等等。而這兩個方面的破壞均會影響校園網的安全運行,造成校園網絡全部或部分癱瘓,甚至造成網絡安全事故。
2 加強高校校園網安全管理的對策
高校校園網絡安全管理是一項復雜的系統(tǒng)工程,要提高網絡安全,必須根據實際情況,從多個方面努力。
2.1 加強網絡安全管理制度建設
“三分技術、七分管理”,網絡安全尤為如此。各高校要根據校園網的實際情況,制定并嚴格執(zhí)行有效的安全管理制度。如:校園網網絡安全管理制度、網絡主干管理與維護制度、校園網非主干維護制度、網絡安全管理崗位職責、網絡運行管理制度、主頁維護管理制度、校園網信息與管理制度、病毒防治管理制度、重要數據備份與管理制度等。此外,為更加有效控制和減少校園網絡的內部隱患,各高校必須制定網絡行為規(guī)范和違反該規(guī)范的具體處罰條例。
2.2 做好物理安全防護
物理安全防護是指通過采用輻射防護、屏幕口令、狀態(tài)檢測、報警確認、應急恢復等手段保護網絡服務器等計算機系統(tǒng)、網絡交換路由等網絡設備和網絡線纜等硬件實體免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞②。如:將防火墻、核心交換機以及各種重要服務器等重要設備盡量放在核心機房進行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設備、主干設備以及接入交換機等設備落實到人,進行嚴格管理。物理安全防護是確保校園網絡系統(tǒng)正常工作、免受干擾破壞的最基本手段。
2.3 加強對用戶的教育和培訓
通過網絡安全教育使用戶對校園網絡所面臨的各類威脅有較為系統(tǒng)、全面的認識,明確這些威脅對他們的危害,增強他們的網絡安全意識,讓所有校園網用戶都來關心、關注網絡安全。通過對校園網用戶的培訓,使他們能盡量保證自己使用的計算機安全,能處理一些簡單的安全問題,從而減少網絡安全事故的發(fā)生。遇到網絡安全問題時,能做好記錄并及時向有關部門報告。
2.4 提高網絡管理人員技術水平
高水平的網絡管理人員能夠根據校園網的實際安全狀況,通過對校園網的重要資源設置使用權限與口令、通過對相應網絡安全設備尤其是核心設備進行系統(tǒng)配置以有效地保證校園網系統(tǒng)的安全。因此要保證校園網的安全運行,就需要培養(yǎng)一支具有較高安全管理意識的網絡管理員隊伍,提高他們維護網絡安全的警惕性和應對各種攻擊的能力。各高校要從兩個方面著手:一是要加強對現有網絡管理技術人員的培訓,提高他們應對網絡安全問題的能力和水平;二是要引進高水平的網絡安全管理技術人員,提升網絡管理技術人員整體技術水平。
2.5 規(guī)范出口、入口管理
為適應管理和工作的需要,現在高校校園網都有多個網絡出口(如:教育網、電信網等),要實施校園網的整體安全策略,首先就要對多出口進行統(tǒng)一管理,以解決校園網多出口帶來的安全問題,使校園網絡安全體系能夠得以實施,為校園網的安全提供最基礎的保障,如:不同出口間的隔離,封鎖病毒端口,阻止入侵者的攻擊,應用ACL拒絕IP地址欺騙等。
2.6 配備網絡安全設備或系統(tǒng)
為減少來自校園網內外的攻擊和破壞,需要在校園網中配置必要的網絡安全設備,如網絡入侵保護系統(tǒng)、主頁防篡改系統(tǒng)、防火墻、網絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)、內容過慮系統(tǒng)、補丁升級系統(tǒng)、服務器的安全監(jiān)測系統(tǒng)等等。通過配置網絡安全設備,能夠實現對校園網絡的控制和監(jiān)管,能夠阻斷大量的非法訪問,能夠過濾來自網絡的不健康數據信息,能夠幫助網絡管理員在發(fā)生網絡故障時迅速定位。充分利用好這些網絡安全設備可以大大提高校園網的安全級別。
2.7 建立全校統(tǒng)一的身份認證系統(tǒng)
身份認證系統(tǒng)是整個校園網絡安全體系的基礎,是校園網上信息安全的第一道屏障,是保證校園網內各應用系統(tǒng)安全運行的依靠。各高校要建立基于校園網絡的全校統(tǒng)一身份認證系統(tǒng),對校園網用戶上網進行身份認證。這樣不僅可以阻止非法用戶的上網行為,而且也能統(tǒng)一監(jiān)控合法戶上網的行為。
2.8 建立更安全的電子郵件系統(tǒng)
目前有些優(yōu)秀的電子郵件安全系統(tǒng)具有強大的高準確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現郵件系統(tǒng)的管理與維護,有的電子郵件系統(tǒng)判別垃圾郵件的準確率接近百分之百。各高校要多方分析、比較,選擇優(yōu)秀的電子郵件安全系統(tǒng)保證校園網的郵件系統(tǒng)安全,以改變郵件系統(tǒng)存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現狀。
2.9 做好備份和應急處理
對校園網來說,一套完整的備份和恢復方案是迫切需要的。備份既指對校園網重要數據的備份,也指核心設備和線路的備份[3]。對網頁服務器,要配置網頁防篡改系統(tǒng),以防止網頁被更改;對校園網中的核心設備的系統(tǒng)配置要進行備份,以便設備出故障時能及時恢復;對校園網中的核心線路要留有冗余,以便線路出故障時能立即啟用冗余線路以保證校園網絡主干的運行。應急響應是校園網整體安全的重要組成部分,各高校的校園網絡管理部門要制定網絡安全的有關應急處理措施和制度,以保證在出現網絡安全問題時要及時按照應急處理措施處理以減少損失。
3 結束語
校園網的安全管理是一項復雜的系統(tǒng)工程,沒有一勞永逸的安全措施。各高校要在校園網的建設和管理過程中及時分析校園網中的安全問題,并研究方法,制訂措施,確保校園網正常、高效、安全地運行,為學校的教學、管理和科研服好務。
參考文獻
[1] 沙桂蘭.淺談校園網絡安全控制策略[M],電腦知識與技術.2007,3.
[2] 高冰.網絡安全措施探討[M],東北財經大學學報.2003,4.
【關鍵詞】校園網 安全技術 應用研究 網絡安全
網絡技術的普及已經成為社會生活中一種不可缺少的重要組成部分。校園更是一個龐大的網絡使用聚集地,校園網擔負著教學、科研、管理和對外合作交流的一種主要工具,從校園網的網絡安全層面考慮,加大力度對校園網網絡安排的管理,尤其是從網絡安全技術應用中來解決具體的網絡問題就顯得尤為重要了。網絡安全是一個復雜的系統(tǒng)工程,不僅涉及系統(tǒng)軟件、硬件環(huán)境,還有網絡管理人員及外界環(huán)境的影響有關,結合近年來對校園網網絡安全管理知識的總結,并從常見的網絡安全問題和實例中來提升防范能力,切實保障校園網穩(wěn)定可靠運行。
一、對校園網絡建設及安全問題分析
(一)校園網絡建設及網絡體系結構特點
校園網建設為推進學校教學、科研,以及管理等方面提供了信息交流的平臺。從建設系統(tǒng)來看,內部信息系統(tǒng)主要限于校園網內部用戶的使用,如教學管理系統(tǒng)、協(xié)同辦公系統(tǒng)等,而外部信息系統(tǒng)則是進行對外宣傳,以及為教學提供海量數據資源的主要陣地。其結構特點主要表現在:一是校園網絡結構相對復雜,特別是隨著網絡規(guī)模的擴大,用戶數的激增,在邏輯結構上包含核心層、匯聚層和接入層;在功能劃分上滿足教學、辦公及學生上網需要;在接入方式上有寬帶、無線等模式;二是從用戶群體來看類型復雜,校園網從建設伊始就面臨著內外用戶的訪問需要,都給網絡管理帶來了難度。
(二)校園網面臨的主要安全威脅分析
校園網的發(fā)展速度是迅速的,尤其是在教育資源的共享、信息交流及協(xié)同辦公需求上,更對高速、穩(wěn)定、可靠提出了更高要求。結合對校園網絡體系結構的分析,其存在的常見網絡安全威脅有以下幾點:一是系統(tǒng)漏洞方面的威脅,對于計算機系統(tǒng)發(fā)展至今,由于系統(tǒng)自身存在的、未經授權情況下而發(fā)生的訪問請求,如黑客攻擊、病毒感染等都給網絡安全帶來漏洞和隱患;二是對計算機病毒防范不夠,隨著計算機病毒傳播速度加快,病毒變種發(fā)作率日益嚴重,對用戶信息的泄漏,以及對信息資源的破壞是極大的,從而給網絡管理帶來難度;三是對網絡資源的利用率不夠高,特別是部分用戶私自占有大量帶寬,影響其他用戶的正常使用;四是垃圾郵件、不良信息的傳播加劇,不僅降低了網絡資源利用率,還給病毒傳播提供載體,也給校園網絡環(huán)境的凈化帶來阻礙。
二、常用網絡安全技術分析與應用
(1)網絡防火墻技術及應用。對于網絡安全威脅來說,防火墻技術能夠從軟件和硬件方面實現較好的防護目標,也是增強網絡系統(tǒng)穩(wěn)固性、可靠性的有效手段。防火墻是介于局域網和廣域網之間的安全屏障,其作用是能夠對外來用戶的訪問請求進行檢測和控制,對于非法訪問給予屏蔽,從而保護了信息傳輸的安全性、合法性,提高了網絡系統(tǒng)的安全級。其功能主要表現在以下幾點:一是作為屏障來對訪問請求進行有效過濾,如在面對源路由攻擊和基于ICMP重定向中的重定向攻擊時,防火墻能夠從防范來自路由的非法訪問;二是能夠對訪問存取操作進行記錄并監(jiān)控,利用日志記錄可以實現對網絡的使用情況進行分析統(tǒng)計,并對可疑操作給予監(jiān)測和報警;三是防范內部信息的對外泄露,通過對流經防火墻的數據和服務進行監(jiān)控,特別是對于敏感信息的監(jiān)測來防范內部信息的泄漏。
(2)入侵檢測系統(tǒng)(IDS)技術應用。入侵檢測系統(tǒng)(IDS)是基于被動防御為主的對外來訪問進行有效控制的技術,比防火墻更深入的主動攔截惡意代碼,并能夠從安全策略下對關鍵信息進行收集和分析,如異常檢測模型能夠從當前主體的活動與正常行為偏離時,從而降低漏報率;誤用檢測模型的應用,可以從設定的入侵活動特征對比中來實現對當前行為特征的檢測和匹配,從而降低誤報率。入侵檢測系統(tǒng)的優(yōu)勢是能夠對入侵行為進行主動檢測和報警,不足是檢測規(guī)則和統(tǒng)計方法限于特定網絡環(huán)境,適用性不夠。
(3)防病毒技術的應用。計算機病毒是困擾網絡安全的主要殺手,也是校園網網絡安全管理的重點。結合計算機病毒的破壞特征,從其產生的目的,破壞目標,以及對用戶和系統(tǒng)性能的危害上,并從潛伏性、隱蔽性、易傳染性等特點制定相應的防御對策。如通過建立行為規(guī)則來判定病毒的運行特征,一旦與規(guī)則匹配則報警,并作出相應的處理。如依據病毒關鍵字、特征代碼、以及病毒危害行為特征來編寫病毒特征庫,以提高檢驗和監(jiān)測病毒的效率。病毒的清除技術是對檢測結果進行的處理,它實現了對病毒感染的逆操作,如利用殺毒軟件對病毒特征庫的更新來追蹤病毒,以實現對病毒的有效清除。
(4)虛擬局域網技術(VLAN)的應用。虛擬局域網是借助于網絡技術來實現對網絡設備邏輯地址的劃分,打破了傳統(tǒng)局域網的結構特征,使其更加靈活性和便捷性。通過VLAN技術,使得數據從發(fā)送到接受都在同一個虛擬網絡中接受和轉發(fā),以此來避免交換信息被其他子網所利用。特別是對于大型網絡,VLAN能夠從信息傳輸流量上減少廣播風暴的影響,降低網絡堵塞的同時還提高了信息傳輸效率;從網絡安全性上,利用路由器來進行安全監(jiān)測和控制,提高網絡安全性。
(5)其他網絡安全技術的應用。虛擬專用網(VPN)技術是通過對公用網絡建立臨時安全的鏈接,以滿足任意兩個節(jié)點進行安全、穩(wěn)定的臨時性通信,具有較高的安全性;網絡安全掃描技術主要是針對網絡管理中可能存在的漏洞,通過資源掃描來獲取網絡安全信息,以防范可能出現的錯誤配置。數據備份技術是面向實際應用,為了減少人為誤操作,以及發(fā)生硬件故障而采取的一種數據完整性復制功能,用以挽救災難恢復,在分布式網絡環(huán)境中的應用更為廣泛和有效。
三、結語
本文以校園網的安全問題為研究對象,從制約校園網的各類風險因素進行分析,運用網絡安全技術來建立保障體系,并結合嚴格規(guī)范的管理制度與合適的解決方案,來以實現校園網的安全、可靠、高效運行。
參考文獻:
[1]周建坤.校園網環(huán)境下網絡安全體系的研究[D].山東大學,2011.
關鍵詞:校園網;網絡安全;網絡管理
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)35-2091-02
1 引言
校園網是高校信息和管理的重要平臺,是師生獲取信息、豐富知識和學習交流的重要渠道,校園網的強大功能對高校的教學、科研和管理有著至關重要的作用,在推動教育改革發(fā)展、促進思想文化交流、豐富師生精神生活等方面起到了積極影響。然而,隨著校園網規(guī)模的不斷擴大以及應用的不斷深入,校園網中的安全問題也逐步顯現出來。如何避免網絡中的攻擊、如何避免計算機病毒的大規(guī)模爆發(fā)、如何保證校園網的暢通等問題已成為目前校園網中急需解決的問題。
2 校園網安全問題分析
2.1 病毒的侵害
校園網中的用戶眾多,每天許多用戶都要通過校園網訪問Internet,而當今Internet上的許多的資源都暗藏病毒。如果某個用戶的計算機上沒有安裝防病毒系統(tǒng),那么該計算機就極易被病毒感染,當網絡中的計算機被感染后,病毒就通過Internet進入了校園網內部。而現在的決大多數病毒除了具有傳統(tǒng)病毒的一般特性(可傳播性、隱蔽性、可執(zhí)行性、破壞性)之外,還具有傳播速度極快、擴散面非常廣、不易防范、難于徹底清除等特點,如蠕蟲病毒、沖擊波病毒、振蕩波病毒等,這些病毒往往能夠在很短時內里通過網絡進行傳播。由于病毒在網絡中大規(guī)模的傳播與復制,將極大地消耗網絡資源,造成網絡性能的急劇下降,嚴重時有可能造成網絡廣播風暴甚至導致網絡癱瘓。
2.2 網絡攻擊
Internet是一個開放的網絡,計算機可以通過各種網絡設備接入Internet,如果對網絡訪問不加限制,那么Internet上所有的網絡資源都可以被任意訪問。從校園網的安全角度考慮,對于任何一個Internet用戶都有必要加以防范,因為任何一個用戶都有可能是校園網的攻擊者。攻擊者通過設置特洛伊木馬、WWW欺騙、端口掃描等方法對網絡進行攻擊,一旦攻擊成功將對學校的數據造成極大的威脅。比如一些黑客入侵學校的Web服務器,篡改學校的主頁損壞學校形象,或對學校Web服務器發(fā)送大量的攻擊數據包導致學校的主頁難以訪問。
網絡攻擊不僅來自于外部,還可能來自校園網內部。據統(tǒng)計來自內部的攻擊比例要大大高于來自外部的攻擊。這是因為校園網內部的用戶對網絡結構和應用系統(tǒng)更加熟悉,同時校園網用戶中絕大部分是具有較高知識水平的大學生群體,在學生中不乏計算機應用高手(特別是計算機專業(yè)的學生),由于對網絡攻擊的巨大的好奇心和渴望攻擊成功的心理使他們把校園網絡當作網絡攻擊的試驗場地,而這種不安全因素對校園網的破壞力往往更大。
2.3 軟件系統(tǒng)存在安全漏洞
系統(tǒng)安全漏洞指的是系統(tǒng)在設計時沒有考慮到的缺陷,特別是操作系統(tǒng),因為這些軟件一般都比較的復雜、龐大,有時會因為程序員的疏忽或軟件設計上的失誤而留下一些漏洞。理論上講任何一個系統(tǒng)都不同程度地存在著漏洞。因為系統(tǒng)漏洞的存在,使得針對系統(tǒng)漏洞的網絡攻擊和蠕蟲病毒也層出不窮。攻擊者針對系統(tǒng)漏洞進行攻擊,入侵成功后將獲得系統(tǒng)的相應的權限,進而盜取重要資料或對系統(tǒng)進行破壞活動。目前學校的計算機系統(tǒng)絕大多數都是使用Window2000/xp操作系統(tǒng),而Windows操作系統(tǒng)是不太安全的,因為Windows操作系統(tǒng)的漏洞比較多,由Windows操作系統(tǒng)漏洞引發(fā)的不安全問題時有發(fā)生。此外,應用系統(tǒng)也不例外,如IE、Office辦公軟件、Ms-Sql、 Oracal等軟件也存在安全漏洞。
2.4 管理上的欠缺
網絡的整體安全僅從技術和設備入手是不夠的,還應該有一套對工作人員行之有效的管理制度,尤其要加強對內部人員的管理和約束。這是因為內部人員對網絡的結構、模式都比較了解,若不加強管理,一旦有人出于某種目的破壞網絡,后果將不堪設想。然而,目前國內的高校中還很少有學校具備完善的校園網管理制度。同時,在對設備的操作方面也應設立相應的操作規(guī)范。如沒有規(guī)范的操作,把交換機的密碼設置得過于簡單;或者允許用戶從任何地點登陸核心交換機之類的問題都會給網絡的安全帶來巨大的隱患。在對用戶的管理方面,目前很多學校還沒有建立起一套行之有效的校園網用戶管理方法。有的學校即使有用戶上網守則,但也沒有相應的監(jiān)控措施,難以取得違規(guī)用戶的行為證據,這些都是管理上的缺陷。
3 校園網安全應對策略
3.1 建立網絡防病毒系統(tǒng)
在非網絡環(huán)境下計算機病毒的防殺一般都是靠單機版的殺毒軟件來完成,但在校園網環(huán)境下單機版的殺毒軟件已經無法適應網絡病毒的防殺要求。這是因為單機版的殺毒軟件只能防殺本地計算機中的病毒,且單機版的殺毒軟件各自為政,在病毒庫的升級以及病毒的統(tǒng)一防殺方面很難做到協(xié)調一致。
要有效地防范網絡病毒可以采用集中式病毒防殺系統(tǒng)。該系統(tǒng)包括了服務器端和客戶端兩個模塊。首先在校園網上建立一個防病毒服務器,即系統(tǒng)的控制中心,然后采用客戶端安裝或網絡分發(fā)的方式將客戶端軟件安裝到每個工作站上,并設置每個工作站接受服務器的管理。管理員只需利用控制臺軟件就能對聯網計算機進行統(tǒng)一的病毒清除,從而能有效的控制校園病毒的爆發(fā)。如果有新病毒庫,只需對服務器上的病毒庫更新,客戶端就會自動到服務器上下載并更新病毒庫。集中式病毒防殺系統(tǒng)因它的病毒庫更新及時方便、防殺行動統(tǒng)一徹底、系統(tǒng)穩(wěn)定可靠、用戶參與少等優(yōu)點成為了校園網的病毒防治中最有效的措施之一。
3.2 構建防火墻和入侵檢測系統(tǒng)
防火墻是位于兩個(或多個)網絡間實施網間訪問控制的一組組件的集合。所有進出網絡的數據流都必須經過防火墻的授權。設置防火墻是保護內部網絡免于外部網絡攻擊的重要措施,在Internet與校園網內網之間部署防火墻,就在內外網之間建立了一道牢固的安全屏障。防火墻可以限制對某些不安全端口的訪問,能封鎖特洛伊木馬,并禁止來自特殊站點的訪問和禁止某些協(xié)議的運行,從而有效地防止外部入侵者的非法攻擊行為。
入侵檢測是指對計算機和網絡資源的惡意行為的識別和響應的過程。入侵檢測系統(tǒng)從計算機網絡系統(tǒng)的若干關鍵點收集信息并對其進行分析,發(fā)現入侵以后,會及時進行記錄事件、斷開網絡連接和報警等操作,如果把防火墻比作是網絡門衛(wèi)的話,入侵檢測系統(tǒng)就是網絡中不間斷的攝像機。在校園網中部署入侵檢測系統(tǒng)可以有效地監(jiān)控校園網內的惡意攻擊行為。
3.3 使用VLAN技術
VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中,從而有助于控制流量、提高網絡安全性、簡化網絡管理。下面從幾個方面具體來談談VLAN技術在校園網中的發(fā)揮的突出作用。
由于不同的VLAN有著各自獨立的廣播域,而廣播只能在本地VLAN內進行,從而大大減少了廣播對網絡帶寬的占用,提高了帶寬傳輸效率,并可以有效地避免廣播風暴的產生。例如在我校就對每棟學生宿舍劃分兩個或兩個以上VLAN,在這種情況下即使有一棟學生宿舍的VLAN產生了廣播風暴,也不會對此VLAN之外的網絡產生影響。
在交換機上劃分VLAN以后,不同VLAN的之間將不能直接通信,VLAN間的通信必須通過三層設備(路由設備)。我們可以通過路由訪問列表和MAC地址分配等VLAN劃分原則,控制用戶訪問權限和邏輯網段大小,將不同用戶群劃分在不同VLAN中,從而提高了校園網的整體性能和安全性。如果結合相應的網絡技術還可以方便的控制校園網用戶的登陸地點,例如開啟交換機的認證功能,校園網用戶在登陸校園網前首先要進行身份認證,我們可以將認證帳號綁定到具體的VLAN中,這樣只有具備相應VLAN認證帳號的用戶才能在指定的VALN登陸校園網絡。
利用VLAN技術可以根據學校的部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段,在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用VLAN技術,大大減輕了網絡管理和維護工作的負擔,降低了網絡維護費用。
3.4 軟件系統(tǒng)的安全配置
軟件系統(tǒng)的安全問題也是不容忽視的,任何軟件都有漏洞。作為網絡系統(tǒng)的管理人員有責任及時將軟件的補丁打上。比如,校園網中的服務器所使用的操作系統(tǒng)大多是win2000/xp的操作系統(tǒng),因為使用的人多所以發(fā)現的漏洞也就特別多,這就需要網絡管理人員隨時去了解微軟公司的有關操作系統(tǒng)的安全信息,如有相關的補丁程序或升級包就應當及時地從微軟的官方網站下載并安裝。對于其他的軟件系統(tǒng)(比如:Linux,Oracal,Sql)也應當密切關注其安全問題。只有這樣才能有效的避免因軟件系統(tǒng)漏洞而導致的安全問題。
操作系統(tǒng)在服務器上剛安裝好時會自動啟動一些不必要的服務,這樣不僅給系統(tǒng)增加了額外的開銷,而且?guī)砹讼到y(tǒng)的安全隱患。對于服務器上不需要的服務我們應及時將其關閉,比如我們可以關閉web服務器的telnet等服務,同時我們還應該關閉不必要的tcp端口。
3.5建立人才隊伍,完善管理制度
在校園的建設中人才隊伍的建設是十分重要的。因為無論是校園網的合理規(guī)劃與建設,還是日常的維護及管理,都離不開一支專業(yè)水平高、業(yè)務能力過硬、責任心強的人才隊伍。只有網絡管理者具備較高的素質,才能在校園的建設中使用先進的技術,才能使網絡設備發(fā)揮其最大的價值,才能及時快捷的處理校園網中的各種軟硬件故障。
制定科學合理的規(guī)章制度,對于明確責任、確保網絡安全具有十分重要的作用。校園網安全管理制度應包括:設備的操作規(guī)范制度(比如對密碼的設置方法、系統(tǒng)權限的分配原則、核心設備的訪問規(guī)則等)、網絡系統(tǒng)的維護制度、網絡故障應急措施、機房的出入制度。校園網的管理需要建立制度更需要執(zhí)行制度,嚴格地執(zhí)行安全管理制度是校園網可靠運行的重要保障。
4 結束語
校園網的安全問題是一個較為復雜的系統(tǒng)工程,我們必須綜合考慮各種安全因素,制定合理的技術方案和管理制度。隨著網絡技術的不斷發(fā)展,新的安全問題又將不斷出現,如何長期保證校園網高效可靠的運行將對網絡管理者提出更高的要求,這就需要我們不懈地努力,隨時掌握最新的網絡安全技術,不斷地更新和完善校園網的安全體系,使校園網的運行更加穩(wěn)定可靠。
參考文獻:
[1] 肖軍模,等.網絡信息安全[M].北京:機械工業(yè)出版社,2006.
【關鍵詞】校園網絡;安全技術;管理
在中職院校的發(fā)展中國家的政策支持不斷增加,在網絡建設方面的投入也得到增多,校園網絡的應用可以使教育水平得到提高,也是時展的需要,通過網絡使得教育資源更加豐富,但是其中的網絡技術安全問題也是不可忽視的,為了能夠安全的使用校園網絡必須持續(xù)增強其安全性構建,將相關的安全管理技術應用其中,有效的解決安全威脅方面的問題。
1校園網絡安全問題分析
1.1校園網絡中操作系統(tǒng)漏洞,病毒的攻擊
校園網絡屬于局域網的一種類型,通過網絡的應用能夠將校園內外的信息進行整合共享,豐富教育教學資源,在現階段的中職院校校園網絡的建設中,網絡大部分都是在局域網的基礎結構上建立的,校園網絡的主干方案是通過以太網及光纖來建立的,然后對整個區(qū)域的寬帶網進行覆蓋,校園網絡與公眾網進行連接這樣就可以將外部的信息引入到校園內部了,但是其中最為主要的還是與教學相關的應用。在現代化的校園網絡發(fā)展中存在很多方面的安全問題,比如計算機網絡中操作系統(tǒng)的漏洞或者網絡病毒攻擊等,系統(tǒng)漏洞產生于計算機系統(tǒng)內,黑客能夠在出現漏洞的情況下對計算機的運行系統(tǒng)實行攻擊,使校園網出現安全威脅,系統(tǒng)出現漏洞惡意破壞者就能在管理者沒有授權之對計算機內部的數據進行查看,對其中的數據進行破壞。病毒的安全問題是進入計算機程序中,使計算機不能正常使用,還能夠創(chuàng)建獨立的一組指令或程序代碼下載到計算機中。它有著潛伏性、傳播性、破壞性等特點,形式多樣,危害性比較大。計算機網絡受病毒影響運行速度會減慢,內存空間減小,為校園網絡造成較大損失。
1.2校園網絡的故意破壞以及垃圾信息的傳播
在當前校園網絡的應用中存在的故意破壞的情況是其中比較嚴重的網絡安全問題之一,故意破壞指的是對校園網絡中的相關硬件設備以及計算機系統(tǒng)實行的破壞行為。比如通過校園網絡內部IP對計算機設備中的部分數據文件進行修改或刪除,還容易出現通過黑客技術對校園網站實行人為的攻擊,使得網絡用戶在訪問校園網時受到阻礙。這些破壞行為都會使校園網絡不能正常的工作,影響校園網的正常運作。在中職學校的校園網絡中,進行垃圾信息或者廣告郵件、不良信息的傳輸會使占用很多的網絡帶寬,這樣校園網絡就會發(fā)生阻塞的情況,嚴重的還會造成網絡的崩潰,很大程度上降低網絡的運行效率。而且,校園網絡中的垃圾郵件、不良信息的傳播還可能帶有病毒,造成校園網絡系統(tǒng)的感染,對安全校園網絡環(huán)境的建設是非常不利的。
2校園網絡安全技術的應用管理
2.1校園網絡中安全問題的解決
網絡是相互連接的系統(tǒng),有一定的連接通道,為網絡入侵者制造了入侵機會,校園網中存在許多信息資料,一旦被盜取,后果嚴重,所以網絡之間需要進行安全隔離。對于網絡中存在的各種漏洞,其專業(yè)性比較強,應該利用第三方軟件來進行問題的解決,而對于校園網絡病毒的危害,應該極強對病毒的掃描以及檢測,增強校園網絡系統(tǒng)的數據恢復能力,增加清除病毒類安全技術的應用。在校園網絡建設中,其中含有的各種數據信息非常寶貴,如果出現信息丟失的情況就會給校園教學帶來很大的損失。在校園網絡運行中還應該不斷的加強網絡監(jiān)控,這種方法對于網絡的正常使用沒有不良的影響,但是又會對其中存在一些安全威脅進行防護,保證信息數據的安全傳播,具有比較良好的保障作用。對于校園網絡中流傳的不健康信息應該利用信息過濾技術與監(jiān)管技術進行雙向管理,控制學生的訪問,對不良信息進行及時的清理。
2.2校園內部網絡安全技術的應用管理措施
在校園網絡的運作中首先可以通過身份認證的形式提升其安全性能,比如學生成績數據庫或者課程設置數據庫的訪問需通過嚴謹的身份認證才能進入。具體的方法可以采取令牌認證或者Kerberos等技術,第一種方式屬于比較專業(yè)的身份認證的服務器類型,對網絡用戶的訪問進行管理,按照用戶在登陸中產生的PIN來對內部的計算機網絡數據進行查找,根據令牌的Key來對用戶的合法性進行分析,身份驗證比較嚴密。第二種方法就是一個第三方的系統(tǒng)加密技術,應用也比較廣泛。另外,還可以通過設置訪問權限進行網絡安全管理,對不同的網絡用戶設置不同的使用權限,比如校園網絡信息的只讀或者修改、讀寫等。網絡安全技術能夠利用信息層與網絡層加強對使用者的管理,信息層可以使用Cookie機制,在網絡層則可以使用RADIUS,主要對網絡實行Filter形式的訪問限制。
3結語
當前階段網絡計算機技術獲得了很大的發(fā)展,校園網絡的普及也更加快速,在現階段的校園建設中確保校園網絡的安全成為了需要重點關注的問題之一,校園中網絡用戶很多,而且所涉及到的網絡操作各不相同,統(tǒng)一管理起來相當的有難度,相關安全技術的使用可以對校園網絡運行狀況進行實時的監(jiān)測,能夠提升網絡的安全程度,為校園網絡的安全應用提供保障。
參考文獻
[1]張予祥,占素環(huán).校園網網絡安全技術及解決方案[J].農機化研究,2005,06:238-240.
[2]黃健陽.網絡安全技術在中職校園網中的應用[J].信息與電腦(理論版),2013,07:139-140.
【論文摘要】:越來越多高校采用無線校園網絡這一先進網絡技術,其安全性問題是普遍高校比較關注的,著重對無線校園網絡的安全性問題進行探索和研究。
隨著無線技術的不斷成熟和普及,無線網絡在全球范圍內的應用已經成為一種趨勢。在我國,越來越多的學校開始在校園構建和鋪設無線網絡。無線校園網絡的快速發(fā)展與應用,對學校的教學模式、教學理念及教學管理產生了深遠的影響,也使學校教師、學生的學習、生活方式產生了積極的變化。 根據教育部的調查顯示,目前我國15.1%的高校建有無線校園網,同時有36.2%的高校計劃建設無線校園網。針對突飛猛進的無線校園組網計劃,有專家表示,無線校園是未來校園信息化的發(fā)展方向。
一、何謂無線局域網
無線局域網(Wireless Local Area Network,縮寫為“WLAN”)是高速發(fā)展的現代無線通信技術在計算機網絡中的應用,是計算機網絡與無線通信技術相結合的產物。不像傳統(tǒng)以太網那樣,基于802.1標準的無線網絡在空氣中傳播射頻信號,在信號范圍內的無線客戶端都可以接受到數據,為通信的移動化、個人化和多媒體應用提供了實現的手段。
二、傳統(tǒng)有線網絡面臨的問題
隨著校園網絡規(guī)模不斷擴大,網絡應用不斷增加,網絡已經成為老師和學生獲得信息的主要手段之一,校園網絡的規(guī)模從以前的幾百用戶迅速擴充到幾千用戶甚至幾萬用戶,越來越多的校園網絡應用開始部署,網絡變得前所未有的重要,細心觀察不難發(fā)現傳統(tǒng)有線網絡容易出現以下問題:
(1)校內公共網絡設施有限,而且使用頻繁,人們?yōu)榱松暇W不得不在這些地點之間奔波;
(2)計算機設備較多,其中,筆記本數目也在逐步增加。在這種情況下,全部用有線網連接終端設施,從布線到使用都會極不方便;
(3)有的教室主體結構是大開間布局,地面和墻壁已經施工完畢,若進行網絡應用改造,埋設纜線工作量巨大,而且學生上課時的位置不是很固定,導致信息點的放置也不能確定,這樣,構建一個有線局域網絡就會面對各種不便;
(4)高校通常會有幾個在地理分布上并不集中的分校區(qū),用有線光纜連接校園網工程復雜、成本極高。而使用無線網絡,無論是在教學樓、辦公樓、學生宿舍或者其他校區(qū)都可以實現全方位的無線上網。這是無線網絡在校園中的發(fā)展趨勢。
三、無線網絡的特點與優(yōu)勢
1、移動性強。無線網絡擺脫了有線網絡的束縛,能夠使學習遠離教室,可以在網絡覆蓋的范圍內的任何位置上網。無線網絡完全支持自由移動,持續(xù)連接,實現移動辦公。
2、帶寬很寬,適合進行大量雙向和多向多媒體信息傳輸。
在速度方面,802.11b的傳輸速度可提供可達11Mbps數據速率,而標準802.11g無線網速提升五倍,其數據傳輸率將達到54Mbps,充分滿足校園網用戶對網速的要求.
3、有較高的安全性和較強的靈活性
由于采用直接序列擴頻、跳頻、跳時等一系列無線擴展頻譜技術,使得其高度安全可靠;無線網絡組網靈活、增加和減少移動主機相當容易。
4、維護成本低,無線網絡盡管在搭建時投入成本高些,但后期維護方便,維護成本比有線網絡低50%左右。
四、無線網絡存在的安全問題
在無線網絡的實際使用中,有可能遇到的威脅主要包括以下幾個方面
1、 信息重放
在沒有足夠的安全防范措施的情況下,是很容易受到利用非法AP進行的中間人欺騙攻擊。對于這種攻擊行為,即使采用了VPN等保護措施也難以避免。中間人攻擊則對授權客戶端和AP進行雙重欺騙,進而對信息進行竊取和篡改。
2、WEP破解
現在互聯網上已經很普遍的存在著一些非法程序,能夠捕捉位于AP信號覆蓋區(qū)域內的數據包,收集到足夠的WEP弱密鑰加密的包,并進行分析以恢復WEP密鑰。根據監(jiān)聽無線通信的機器速度、WLAN內發(fā)射信號的無線主機數量,最快可以在兩個小時內攻破WEP密鑰。
3、網絡竊聽
一般說來,大多數網絡通信都是以明文(非加密)格式出現的,這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監(jiān)視并破解(讀?。┩ㄐ?。由于入侵者無需將竊聽或分析設備物理地接入被竊聽的網絡,所以,這種威脅已經成為無線局域網面臨的最大問題之一。
4、MAC地址欺騙
通過網絡竊聽工具獲取數據,從而進一步獲得AP允許通信的靜態(tài)地址池,這樣不法之徒就能利用MAC地址偽裝等手段合理接入網絡。
5、拒絕服務
攻擊者可能對AP進行泛洪攻擊,使AP拒絕服務,這是一種后果最為嚴重的攻擊方式。此外,對移動模式內的某個節(jié)點進行攻擊,讓它不停地提供服務或進行數據包轉發(fā),使其能源耗盡而不能繼續(xù)工作,通常也稱為能源消耗攻擊。
五、無線網絡的安全防范措施
為了保護無線網路免于攻擊入侵的威脅,用戶主要應該在提高使用的安全性、達成通信數據的保密性、完整性、使用者驗證及授權等方面予以改善,實現最基本的安全目的。
1、 規(guī)劃天線的放置,掌控信號覆蓋范圍。要部署封閉的無線訪問點,第一步就是合理放置訪問點的天線,以便能夠限制信號在覆蓋區(qū)以外的傳輸距離。最好將天線放在需要覆蓋的區(qū)域的中心,盡量減少信號泄露到墻外。部署了無線網絡之后,應該用可移動的無線設備徹底的勘測信號覆蓋情況,并反映在學校的網絡拓撲圖里。
2、 使用WEP,啟用無線設備的安全能力。
保護無線網絡安全的最基礎手段是加密,通過簡單的設置A P 和無線網卡等設備, 就可以啟用W E P加密。無線加密協(xié)議(WEP)是對無線網絡上的流量進行加密的一種標準方法。雖然WEP 加密本身存在一些漏洞并且比較脆弱,但是仍然可以給非法訪問設置不小的障礙, 有助于阻撓偶爾闖入的黑客。許多無線訪問點廠商為了方便安裝產品,交付設備時關閉了WEP 功能。但一旦采用這種做法,黑客就能立即訪問無線網絡上的流量,因為利用無線嗅探器就可以直接讀取數據。建議經常對WEP密鑰進行更換,在有條件的情況下啟用獨立的認證服務為WEP 自動分配密鑰。另外一個必須注意的問題就是用于標識每個無線網絡的SSID,在部署無線網絡的時候一定要將出廠時的缺省SSID 更換為自定義的S S I D 。現在的A P 大部分都支持屏蔽SSID 廣播,除非有特殊理由,否則應該禁用SSID廣播,這樣可以減少無線網絡被發(fā)現的可能。
3、 變更SSID 及禁止SSID 廣播。服務集標識符(SSID)是無線訪問點使用的識別字符串,客戶端利用它就能建立連接。該標識符由設備制造商設定,每種標識符使用默認短語,如101 就是3Com 設備的標識符。倘若黑客知道了這種口令短語,即使未經授權,也很容易使用無線服務。對于部署的每個無線訪問點而言,要選擇獨一無二并且很難猜中的SSID。如果可能的話,禁止通過天線向外廣播該標識符。這樣網絡仍可使用,但不會出現在可用網絡列表上。
4、 禁用DHCP。對無線網絡而言,這很有意義。如果采取這項措施,黑客不得不破譯用戶的IP 地址、子網掩碼及其它所需的TCP/IP 參數。無論黑客怎樣利用公司的訪問點,他仍需要弄清楚IP 地址。
5、 禁用或改動SNMP 設置。如果公司的訪問點支持SNMP,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用S N M P 獲得有關公司網絡的重要信息。
6、 使用訪問列表。為了進一步保護無線網絡,應使用訪問列表,如果可能的話。不是所有的無線訪問點都支持這項特性,但如果公司實施的網絡支持,就可以具體地指定允許哪些機器連接到訪問點。支持這項特性的訪問點有時會使用普通文件傳輸協(xié)議(TFTP) ,定期下載更新的列表,以避免管理員必須在每臺設備上使這些列表保持同步的棘手問題。
參考文獻:
[1]張錦.無線局域網IEEE802.11.現代圖書情報技術
[2]張俊平.無線網絡在校園建設網絡中的應用.學術研究
關鍵詞:校園一卡通;系統(tǒng)設計;網絡安全
引言
校園一卡通主要是依靠校園網來實現數據的傳輸,集校區(qū)內公眾場合身份識別、商務收費于一體。校園一卡通系統(tǒng)在設計的過程中要秉承創(chuàng)新、可操作性強、安全且可靠等特性?,F階段,校園一卡通的設計集合國內、外最先進的技術與產品,時代性和預見性十分顯著,而且還預留了擴展接口,這對數字化校園的可持續(xù)發(fā)展來說意義十分重大。筆者就校園一卡通系統(tǒng)設計目標、系統(tǒng)整體架構、主要業(yè)務流程進行介紹,并就其網絡安全體系展開深入淺出的分析,旨在將校園一卡通系統(tǒng)打造成新一代數字化的一卡通系統(tǒng),實現通信傳輸網絡化、管理結算自動化、信息資源數字化以及用戶終端智能化,從而更好地為教育管理改革服務。
1校園一卡通系統(tǒng)設計目標
1.1統(tǒng)一校園信息化標準
統(tǒng)一校園信息化標準就是要針對在校師生及相關組織機構,建立健全統(tǒng)一的信息化標準,并依托校園網讓用戶能實時共享公共信息,這樣有助于推動校園信息與數字化校園的規(guī)范化管理。
1.2建立管理規(guī)范化的校園基礎數據總平臺
通過對校園一卡通系統(tǒng)的優(yōu)化和升級,目的在于逐漸建立健全校園基礎數據總平臺,推動校園管理進一步規(guī)范化,并成為一卡通所應用的商務管理、身份識別管理、銀行轉賬等相關應用子系統(tǒng)開發(fā)建立的基礎,確保該系統(tǒng)具有一定的可擴充性。
1.3實現校園現行運行系統(tǒng)的互通
通過校園一卡通管理平臺系統(tǒng)預留的擴展接口,實現現行運行系統(tǒng)的互通及數字資源在特定范圍內的共享,全面反映學校相關部門運作情況,為學校領導重大決策提供理論支持。
1.4為持卡人理財提供方便
通過該管理平臺,持卡人能夠動態(tài)掌握校園卡的使用情況,比如電子錢包數據等,從而為持卡人理財提供一定的方便。一般來講,該卡片內的電子錢包能夠在學校所有消費網點使用。
1.5具有持卡人身份識別功能
也就是說,校園一卡通可以替代學校范圍內各類身份識別的所有證件,比如借書證、上機證。當持有校園一卡通時,可以實現和教務管理系統(tǒng)的實時對接,可以直接到學校醫(yī)院進行掛號診治,可以出入學生公寓、教學樓、圖書閱覽室等需要身份識別的公共空間及生活設施的使用。
2校園一卡通系統(tǒng)整體架構
2.1校園一卡通系統(tǒng)整體架構
現階段,金融消費類子系統(tǒng)、信息查詢類子系統(tǒng)是校園一卡通的兩大組成部分。其中,前者側重于校園一卡通專用網,后者傾向于以校園網為架構,并通過互聯網、網絡設備及終端等,將校園網絡顯著作用都利用起來,并依托卡片完善、優(yōu)化、升級信息化管理系統(tǒng),確保其先進性。一卡通系統(tǒng)平臺與應用子系統(tǒng)是校園一卡通系統(tǒng)兩大重要構件。后者又細分為身份認證類子系列、交易類子系列、綜合業(yè)務類子系統(tǒng)以及自助服務類子系列。在結構設計方面,校園一卡通系統(tǒng)對聯網與脫網的兩用性與兼容性均有全面考慮。實時與非實時通訊是現行校園一卡通系統(tǒng)運行的兩種主要模式。通過筆者多年的工作實踐經驗發(fā)現,倘若要打造一個可靠、安全的校園一卡通系統(tǒng),以上這兩種運行模式都要予以考慮,并確保二者相互融合,實現聯網時可以使用。聯網的狀態(tài)下,依托聯機通訊,校園一卡通系統(tǒng)能夠實現數據的交換與轉接。沒有網絡時,校園一卡通系統(tǒng)也不能罷工。也就是在校園網絡被襲擊或出現其他原因引起的無法預料方面的故障時,校園一卡通系統(tǒng)支付識別的卡片與終端設備都不能停止運行。筆者要提醒注意的是,系統(tǒng)終端設備均要自動適應以上兩種情況。
2.2校園一卡通主要業(yè)務角色
實質上,校園一卡通管理中心扮演的是一個代收代付的中間環(huán)節(jié),校園一卡通管理中心是幫助銀行進行資金流程管理的,而非結算單位。
3校園一卡通網絡安全體系分析
校園一卡通的應用以傳統(tǒng)校園網絡為基礎。它不僅可以實現校內各院系、部門的相互聯系,更為關鍵的是通過一卡通的應用,還要與銀行相互關聯起來。一般情況下,校園各院系部門的計算機是和主要網絡互相連通的。所以從這個角度來說,校園內的網絡成了一個大型的局域網絡,連接渠道為校園骨干網絡。在這種情況下,一卡通網絡的應用就有了變化,即成了一個由校園數據中心外連互聯網絡和專有網絡。依托校內骨干網絡,數據可以下連到一卡通網絡終端組成的三層互聯的網絡?;诖吮尘埃瑢π@一卡通可能面臨的安全問題進行簡要探析。
3.1鏈路傳輸風險
依托校園一卡通的終端和校園局域網絡,學校相關部門都可以實現與外部網絡進行數據交換的活動。眾所周知,校園一卡通的數據在通過互聯網進行傳輸的時候,都會存在一定的秘密信息或數據。所以,當其內容在進行傳輸的時候,也要有所注意。再加上網絡安全一方面包是黑客竊取內網數據信息或者攻擊,甚至直接破壞,另一方面還會出現將竊聽裝置安裝在傳輸線路上的可能,通過竊取核心信息,并進行破解、識別,最終導致泄密或者對數據進行破壞。總的來說,這些均會對校園一卡通的網絡安全造成重大影響。所以,筆者認為,數據鏈路傳輸上一代要進行加密保護,必要時實行數字簽名或者其他認證技術,只有這樣才能確保校園一卡通數據通過互聯網傳輸時的安全性、完整性及真實性。
3.2網絡結構風險
首先,Internet公網互聯的影響。當前,數字化學校的建設腳步越來越快,校內網已經與Internet公網實現了互聯。我們都知道,Internet公網不僅具有開發(fā)性,而且十分自由,用于在使用Internet公網時可以十分暢快。但與此同時,其也在一定程度上使得校內網絡受到很多干擾。一般來說,校內網絡中,尤其是校園一卡通或辦公系統(tǒng)的各類應用都具有一定的隱私性。倘若內部網絡機器安全被影響,則會直接導致處于同一網絡中的相關系統(tǒng)受到牽連。因此,筆者認為對于校內網絡系統(tǒng),有必要建立一定的安全防范機制。其次,內部局域網的影響。相關數據顯示,因內部網絡遭到侵犯而引起的網絡安全攻擊事件率達到70%。尤其是內部工作人員將網絡結構泄密給競爭者,抑或是內部工作人員故意破壞或損毀系統(tǒng)程序,抑或是安全管理員將用戶名及口令泄露出去等,這些都會給網絡的安全性帶來極大的隱患。再次,內部網絡與外部網絡互聯會帶來一些安全隱患。倘若校園一卡通系統(tǒng)內部局域網絡與系統(tǒng)外部網絡間互相隔離,相互不存在一定的安全舉措,極易使得內部網絡遭到外部網絡的侵害。
3.3系統(tǒng)安全風險
所謂系統(tǒng)安全風險主要是來自應用系統(tǒng)與網絡操作系統(tǒng)的安全?,F階段,不管是哪一種操作系統(tǒng)或應用系統(tǒng)均存在或多或少的安全漏洞,而這些安全漏洞不引起重視的話很容易產生安全事故。
4應用系統(tǒng)安全風險
一般情況下,應用系統(tǒng)不是固定不變的,而是實時變化的。因此,這就要求我們熟悉掌握各類應用系統(tǒng),了解其安全性,并針對性通過某些安全舉措進行避免或解決,從而把安全風險降到最低。筆者認為,配備防火墻是十分有效的一種的安全防范舉措。防火墻通過高標準的安全策略將內外部網絡進行隔離訪問,既能單項又能雙向,還能針對高層協(xié)議進行十分精密的訪問限制。由于高校網絡不僅涉及到內部,而且還有外部網絡,所以在進行防火墻應用相關配套工作時,內部網絡、外部網絡的安全防護機制均要考慮到,缺一不可??偠灾?,伴隨著互聯網技術的不斷發(fā)展,智能卡技術也在日益創(chuàng)新與進步。在這一背景和形勢下,校園一卡通系統(tǒng)從整體設計到執(zhí)行實施,會變得越來越智能和完善,并將廣泛應用于學校、社區(qū)、醫(yī)療以及交通等人類生產生活活動的方方面面。而在系統(tǒng)網絡安全性方面,一卡通智能管理系統(tǒng)也將邁向更高水平,比如采用人臉識別、指紋識別等較為先進的安全機制,幫助智能系統(tǒng)安全系數和服務人們的水平變得更高。
參考文獻:
[1]吳宇婷.基于NFC技術的校園手機一卡通系統(tǒng)設計及應用[J].數字技術與應用,2017(04).
[2]張晨.西安科技大學高新學院校園一卡通系統(tǒng)的設計與實現[D].西安科技大學,2016(01).
[3]高文博.基于CPU卡的“校園一卡通”系統(tǒng)在高職院校的應用與實現[D].蘭州理工大學,2017(06).
[關鍵詞]校園網絡;安全分析;防范措施
[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158(2013)06-0355-02
引言
校園網是高校教育信息化的重要基礎設施,在高校的教學、科研、管理和生活服務中起著越來越重要的作用。高等院校在不斷擴大校園建設、加強辦學條件的同時,為適應現代教育的發(fā)展和要求,也逐步開始自身校園網的建設和應用。與此對應,校園網的安全面臨著巨大的挑戰(zhàn),如何管理好校園網,保障校園網安全、穩(wěn)定的運行,是各院校校園網管理人員必須認真面對的問題。
1 校園網絡安全的現狀分析
1.1 采用開放的網絡環(huán)境
由于教學和科研的特點決定了校園網絡環(huán)境應該是開放的,管理也是較為寬松的。在企業(yè)網環(huán)境中可以限制Web瀏覽站點和用戶的網絡流量,甚至限制外部發(fā)起的連接不允許進入防火墻,但是在校園網環(huán)境下通常是行不通的,至少在校園網的主干不能實施過多的限制,否則一些新的應用、新的技術很難再校園網內部實施。面對這種開放的網絡環(huán)境,安全管理的難度很大,面臨的挑戰(zhàn)也很突出,在所有的局域網中校園網所面對的環(huán)境最為復雜。
1.2 存在操作系統(tǒng)或軟件漏洞
由于校內終端用戶對計算機認知能力存在差異,有些用戶不知如何為系統(tǒng)更新安全補丁,有些則是沒有隨時更新補丁的習慣,造成校園內大部分計算機系統(tǒng)都存在不同程度的安全漏洞,而目前網絡上的很多新型病毒和攻擊手段大部分都是針對操作系統(tǒng)漏洞攻擊并傳染的;另外校內師生在網上隨意下載的軟件中可能攜帶隱藏的木馬、后門等惡意代碼,導致系統(tǒng)運行緩慢,這些軟件也可能被攻擊者所利用。
1.3 擁有活躍的用戶群體
校園網用戶的主體是高校學生,這個年輕群體的上網行為相當活躍,由之帶來的網絡風險也十分嚴峻。一方面若學生瀏覽不良網站、下載經過偽裝的惡意軟件等網絡行為都可能將木馬、蠕蟲、病毒等程序帶人校園網,并且大多數學生不懂如何防范病毒和處理病毒,校園網一旦受到安全威脅,能很快地在校園網內蔓延,并且大面積出現相同的癥狀,嚴重時會造成校園網的癱瘓。另一方面學生對網絡新技術具有強烈的好奇心,為了滿足好奇心而勇于嘗試在網上學到的各種攻擊技術,對網絡設備、業(yè)務系統(tǒng)進行攻擊,給校園網的安全工作增加了難度。
1.4 網絡外部的入侵、攻擊等惡意破壞行為
校園網與互聯網相連,在享受方便快捷的同時,也面臨著遭遇攻擊的風險。借助網絡上泛濫的“傻瓜式”的攻擊軟件,外網非法用戶即使不具備任何計算機技術也可對校園網進行肆無忌憚的攻擊。例如通過注入漏洞檢測工具對WEB服務器進行數據庫注入式攻擊,造成學院網站主頁被篡改、數據被破壞等惡果。
1.5 校園網中的計算機系統(tǒng)管理比較復雜
校園網中的計算機系統(tǒng)的購置和管理情況非常復雜。學生宿舍中的電腦一般是學生自己花錢購買、自己維護。院系各個單位或者是統(tǒng)一采購,有技術人員負責維護或者是教師自助購買、沒有專人維護。在這種情況下,要求所有的端系統(tǒng)實施統(tǒng)一的安全策略(比如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統(tǒng)一的資產安全管理和設備安全管理,出現安全問題后通常無法分清責任。更有些計算機甚至服務器系統(tǒng)建設完畢之后無人管理,甚至被攻擊者攻破作為攻擊的跳板,變成攻擊實驗床也無人察覺。
1.6 安全專項資金投入少和技術人員缺乏
大多數高職院校將經費主要投入到校園網絡的規(guī)模建設上,往往對保證網絡安全的軟硬件設備不夠重視,未能架構起行之有效的網絡安全體系。
網絡安全是當今較前沿的計算機技術,需要較強的實踐能力和豐富的現場經驗。高校一般沒有設置專門的網絡安全技術人員,現有的網絡管理人員多只具備組網管理技術,卻缺乏處理網絡安全風險的技術與經驗,難以應付復雜多變的網絡安全問題。
2 校園網絡安全防護解決方案設計及對策
2.1 網絡安全設備的使用
2.1.1 防火墻
網絡防火墻是指設置在計算機網絡之間的一道隔離裝置,可以隔離兩個或者多個網絡、限制網絡互訪,以保護網絡用戶的安全。為了勝任安全防護的重任,防火墻自身具有非常強的抗攻擊能力和免疫力,網絡之間的所有網絡數據包都必須經過防火墻過濾,只有符合相應安全策略的數據包才可以通過防火墻。
基于以上特性,防火墻一般部署在內網與外網之間,在網絡邊界處充當一個檢查點,以此作為安全保障體系的第一道防線,防御黑客攻擊。從性能方面考慮,首選硬件防火墻,由于硬件防火墻的硬件和軟件都單獨進行設計,由專用網絡芯片處理數據包,同時采用專門的操作系統(tǒng)平臺,從而避免通用操作系統(tǒng)的安全性漏洞。并且其對軟硬件有特殊要求,因此擁有高吞吐量、安全與速度兼顧的優(yōu)點。但是選購硬件防火墻時需要注意的是,盡管許多網絡防火墻都號稱是硬件防火墻,并且硬件連同軟件一起銷售,但并沒有自己獨立的操作系統(tǒng),只是基于x86計算機架構和開放的Linux/UNIX操作系統(tǒng),以及一套自己開發(fā)的網絡防火墻軟件,其從根本意義上講,仍然是軟件防火墻。
在校園網入口處部署防火墻并不能發(fā)現和防止校園網內部針對核心服務器發(fā)起的攻擊,因此若條件允許,還可以建立多級防火墻來進一步保護校內的應用服務器群和數據庫服務器群。
2.1.2 入侵防御系統(tǒng)
隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,傳統(tǒng)的防火墻只能對三層或四層進行檢查,不能檢測應用層的內容,因此單純通過部署防火墻已經無法滿足校園網的安全需要。入侵防御系統(tǒng)(IPS)的設計基于一種全新的思想和體系架構,工作于串聯方式,采用ASIC等硬件設計技術實現網絡數據流的捕獲,檢測引擎綜合特征檢測、異常檢測、DoS/DDoS檢測、緩沖區(qū)溢出檢測等多種手段,并使用硬件加速技術進行深層數據包分析處理,能高效、準確的檢測和防御已知或未知的攻擊,并實施多種響應方式,如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等,突破了以往IDS只能檢測不能防御入侵的局限性,提供了一個較完整的入侵防護解決方案。
傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網絡流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施,而絕大多數IDS系統(tǒng)都是被動的,不是主動的。也就是說,在攻擊實際發(fā)生之前,它們往往無法預先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。
IPS之所以能夠實現實時檢查和阻止入侵,在于IPS擁有數目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發(fā)現之后,IPS就會創(chuàng)建一個新的過濾器。IPS數據包處理引擎是專業(yè)化定制的集成電路,可以深層檢查數據包的內容。如果有攻擊者利用二層至七層的漏洞發(fā)起攻擊,IPS能夠從數據流中檢查出這些攻擊并加以阻止。
IPS常常以串聯方式部署在出口處,抵御來自外網的入侵威脅。若來自校園網內部的入侵風險也較高,可以在靠近服務器群的位置處布置IPS,以增強校園網整體入侵防御的能力。
根據我們的使用經驗,IPS最好分階段、有步驟地部署實施。
第1階段:檢測,但不防御。
IPS以串聯方式工作,只進行檢測,不阻斷數據流,但它會將不符合協(xié)議的數據包丟棄,確保通過的數據包都是合乎規(guī)范的,是插入和規(guī)避類攻擊無從得手。在這個階段IPS的主要任務是適應環(huán)境,在保護校園網絡和應用的同時不會產生新的麻煩,同時也是管理員熟悉并了解IPS檢測機制的一個過程。
第2階段:檢測,并有選擇地防御。
當串聯方式被證明合適后,管理員就可以根據報警日志確定入侵檢測策略的有效性,先選擇一些最嚴重的報警,確保沒有誤報,然后對該類型的特征實施阻斷相應。在此階段,IPS檢測攻擊檢測共計并有選擇的防御,只將有明顯危害的攻擊流阻斷。
第3階段:檢測,并全面防御。
在確認了IPS的有效性并且安全策略經過不斷的調整優(yōu)化之后,管理員就可以為所有入侵特征設置響應方式,從而使IPS進入全面的防御工作模式,一旦發(fā)現有害數據包就將其丟棄并阻斷隨后的數據流。
2.2 構建全方位的漏洞與病毒防護體系
2.2.1 架設微軟更新服務器
校園網內絕大多數電腦都是使用了微軟的操作系統(tǒng),而目前網絡上相當比例的惡意攻擊都是在利用操作系統(tǒng)的設計缺陷展開的,這些缺陷或錯誤可以被不法者或電腦黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,進而會威脅到整個校園網的安全。因此及時更新操作系統(tǒng)的漏洞補丁,已成為提高系統(tǒng)安全性的主要手段。
通常系統(tǒng)自帶的Windows Update功能都是自動連接到MicrosoftUpdate來下載更新補丁,但是在校園網環(huán)境下,會帶來以下問題:
(1)校園網客戶端數量眾多,更新操作會占用學校較多的出口帶寬資源。
(2)部分電腦存在平時不接入互聯網的情況,無法及時獲取最新的漏洞補丁。
(3)部分使用者不重視補丁程序的重要性,即使出現更新提示,也不主動更新。
基于以上原因,有必要在校內建設專用的微軟更新服務器。目前微軟提供免費的補丁分發(fā)方案WSUS(Windows Server Update Services),在Windows Server 2003平臺下需要安裝WSUS 3.0 sp2來添加該項功能,在Windows Server 2008和Windows Server 2012平臺下,已經內置了WSus組件功能。該方案支持微軟公司全部產品的更新,包含Windows、Office、SQL Server等內容。通過WSUS這個內部網絡中的Windows升級服務,所有Windows更新都集中下載到內部網的WSUS服務器中,而校園網中的客戶機通過WSUS服務器來得到更新。這在很大程度上節(jié)省了網絡資源,避免了外部網絡流量的浪費并且提高了內部網絡中計算機更新的效率。此外,還能通過制訂相應更新策略來控制客戶端的更新方式,以此達到強制更新的目的。
通常情況是在校園網環(huán)境中部署一臺WSUS服務器,當網絡規(guī)模很大且一臺WSUS服務器無法滿足需求時,可以使用多臺服務器進行補丁分發(fā)工作。整個部署分服務器端和客戶端。服務器端配置不難,但需按照校園網內安裝的微軟產品數量預留足夠的硬盤空間,此外還需做好補丁的審批策略??蛻舳擞袃煞N部署方式,一種是域環(huán)境下的組策略方式進行統(tǒng)一自動部署,另一種是非域環(huán)境下修改該機注冊表或組策略。
2.2.2 建立網絡防病毒體系
由于計算機病毒形式及傳播途徑的多樣化,校園網的防病毒工作再也不能是簡單的、單臺計算機病毒的檢測及清除,而是需要建立多層次的、立體的網絡病毒防護體系。確保各終端計算機安裝網絡版防病毒軟件的客戶端,并及時更新病毒庫;制定詳細的反病毒策略,定期對網絡服務器及工作站進行掃描監(jiān)測;通過管理端設置和維護全校整體病毒防護策略,并對網絡病毒情況進行及時的監(jiān)控與報告。
在選擇網絡防病毒解決方案時可以考慮以下一些因素:
(1)擁有多種安裝平臺的客戶端。除了能提供最常見windows平臺,還能提供Mac、Linux等平臺,能提供32位及64位平臺。只有提供各種平臺的客戶端安裝程序,才能在校園網中做到真正意義上的全方位防護。
(2)擁有便捷的部署方式。針對校園內各種不同用途的計算機,能給出多種簡便的部署方式,并且安裝好后零配置,用戶無需關心后續(xù)操作。
(3)功能強大的管理控制端。管理控制端必須擁有強大的集中式管理功能,能發(fā)現所管理客戶端存在的安全風險,能自動下發(fā)統(tǒng)一制定的安全策略,當發(fā)現大規(guī)模病毒爆發(fā),能及時給出警告。針對日常的管理,擁有詳細的報表及日志功能。
(4)技術上擁有領先功能。如智能型掃描引擎能在計算機空閑時工作;針對目前主流的虛擬環(huán)境,能防止在虛擬環(huán)境中同時掃描和更新。
(5)是否還附帶了其他便于管理的功能。有些產品除了提供防病毒、反間諜軟件、桌面防火墻、網絡準入控制等功能,還提供了軟、硬件資產管理和軟件分發(fā)功能,該功能對學校來說,能極大的幫助管理員減輕相應的工作量。
3 結束語
校園網是一個復雜的綜合性系統(tǒng)工程,嚴格來說,絕對安全的校園網是不存在的。而完善的網絡安全策略是校園網網絡安全的前提,從計算機技術方面對網絡設備以及服務器進行合理的設置可以杜絕大多數的不安全因素,但是校園網內部的安全事件時有發(fā)生,期望通過硬件或是軟件一勞永逸的解決校園網安全及管理問題是不現實的。在目前,唯有綜合運用防火墻、殺毒軟件等多項措施,互相配合,從管理上規(guī)范校園網的使用,才能實現一個安全的校園網絡環(huán)境,使其可靠、高效地為廣大師生服務。
參考文獻
[1]劉遠生,辛一,計算機網絡安全(第2版)[J],清華大學出版社,2009
[2]馬宜興,網絡安全與病毒防范(第5版)[J],上海交通大學出版社,2011
[3]周世杰,陳偉,羅緒成,計算機系統(tǒng)與網絡安全技術[J],高等教育出版社,2011
關鍵詞:學校;信息安全;網絡防范;保障措施
一、學校信息安全網絡防范的內涵及特征
1.校園網絡安全的基本內涵。校園網絡安全指的是在學校范圍內對已經接入互聯網的軟件、硬件、操作系統(tǒng)和相關數據庫實施的技術保護,從而保證它們不會被惡意攻擊或破壞。校園網絡由系統(tǒng)管理平臺、教學資源系統(tǒng)、學校管理系統(tǒng)、學生使用系統(tǒng)等部分組成。高中校園網絡主要用于教學信息,宣傳各種教研活動,以及對學生檔案、資料等進行管理。高中應當采用有效的技術手段促進校園網絡的正常有效運行。2.校園網絡安全的基本特點。高中校園網主要以局域網和網站的形式存在,具有安全風險日益提高,抗風險能力弱,損失無法彌補等特點。高中校園網絡的信息安全主要維護系統(tǒng)平臺的安全,信息傳輸過程的安全,信息內容的安全和對訪問權限進行設置。主要工作任務在于防止校園網系統(tǒng)出現崩潰或損壞等現象,設置好對不同權限用戶的訪問限制,有效對學生個人數據信息進行加密,切實保證信息的真實、有效、完整。由于高中校園網日漸龐大,傳輸量日漸增多,不僅要求高中校園網絡有較好的硬件設備,還要能根據學生的使用需求,為學生提供個性化的服務,一旦校園網絡安全出現問題,不僅影響正常教學活動的開展,而且很可能使學生個人的學籍檔案、一卡通財務數據、招生報考信息等重要資料丟失,造成難以想象的嚴重后果。
二、學校信息安全網絡防范的現狀及問題
1.高中互聯網的建設漏洞。計算機接入互聯網的目的是為實現信息資源的共享。在資源共享的過程中,給高中校園網極大增加了不安全因素。為了有效的控制學生對互聯網的使用,使高中互聯網資源更有利的向教學方向傾斜,高中的校園網絡平臺在系統(tǒng)設計上加裝了更多的限制,這些限制代碼或指令使學校網絡平臺更加復雜,很有可能存在著未被發(fā)現的問題,如果這些問題被黑客發(fā)現,就可能會對學校的網絡進行攻擊,輕則使整個網絡癱瘓,重則破壞教學數據信息。由于高中互聯網是多臺機器共用一根網線,只要一臺機器下載了病毒,那么很有可能相關多臺電腦都會受到牽連。2.病毒對校園網的攻擊。在上級教育主管部門的支持下,近年來高中校園網的硬件建設取得了較快的發(fā)展,但網絡安全技術仍沒有取得實質性的進展,校園網絡發(fā)展的越快,存在的風險和問題也就越高。目前,我國高中校園網不少都沒有安裝防火墻或是防火墻的級別太低,一旦有病毒入侵就會給整個網絡帶來極大的安全隱患,而且會大量的消耗網絡資源,使高中校園網絡擁堵等問題頻發(fā)。特別是在校園共用電腦,由于缺乏有效的隔離措施,任意U盤的隨意使用,隨意安裝來路不明的軟件,這些行為都可能為校園網帶來病毒,而且病毒傳播的隱蔽性強,學校網絡管理人員不易察覺。這種情況常常導致校園網絡防不勝防,極大的影響了學生和教師的正常使用,而且使高中校園網絡中的硬件設備有驚人的淘汰率和故障維修率。3.硬件設施設備的陳舊。雖然近年來我國高中階段的計算機硬件設備取得了快速發(fā)展,但主要集中在補齊上而不是更新上。國家對高中的投入,主要傾向于沒有計算機設備或硬件設備短缺的學校,學校已有計算機設備往往要使用十年以上才能達到報廢期。學校主要由上級教育主管部門撥付絕大部分資金,學校自己再自籌部分資金解決校園網絡的建設問題。硬件設備的不足,更新換代較慢,網絡建設過程上使用較低版本的校園網絡系統(tǒng)。這些問題常常導致高中的校園網絡處于半開放的狀態(tài),網絡中的數據丟失甚至成為了常見現象,在這種情況下,對校園網絡安全預警和有效防范更是無從談起。
三、學校信息安全網絡防范存在問題原因
高中校園信息安全網絡防范工作面臨著嚴峻的挑戰(zhàn),既有來自對高中網站的威脅,也有對校園網的應用系統(tǒng)的威脅。一旦發(fā)生招生考試信息被篡改,校園財務、教務信息錯誤等問題,都會造成嚴重的后果。從高中信息安全的建設來看,高中自身在管理上存在的問題,是網絡安全防范缺失的重要原因。1.網絡安全意識淡薄。高中校園網絡管理者素質,管理者的技術水平,廣大師生是否有意識的圍護校園網絡安全,都對校園信息安全防范起到重要作用。遺憾的是,我國高中的校園網絡建設往往都是一次性建設,一次性投入使用,學校及教育管理部門普遍對校園網絡安全不重視,認為學校不是部門,沒有必要在網絡安全上加大投入力度,學校能用于校園網的安全經費更是十分有限。學校管理者認為只要能接入互聯網就可以,通常只注重網絡速度快不快,能不能使學校正常的教學活動順利進行。還有的校領導通常認為網絡安全只是技術部門的事,與學校的運行沒有太大的關系。殊不知,一旦出現了類似于招生考試報名泄露事件,學生一卡通財務數據被篡改等問題,后果甚至將是學校難以承擔的。2.學校網絡技術水平有限。目前,我國大多數高中的網絡安全工作都由學校自己維護,由于高中的技術實力相較大學等高等院校有較大差距,因此高中的校園網絡也只能維持在保證硬件不損壞的水平上。但是,在高中校園數據的傳輸是依托公共網絡實現的,高中校園數據有較大的被截獲的風險。在日常管理維護中,高中主要依靠的是計算機教師。這些教師忙于教學一線任務,并非專業(yè)的計算機安全操作和管理員,他們只具備豐厚的理論知識,缺乏對計算機病毒的系統(tǒng)的研究,更無暇每天對校園網進行全天候監(jiān)測。臨時性的校園網絡安全管理人員也不具備相關的專業(yè)知識,不能對校園網絡進行合理的維護,發(fā)現問題時的處置方式也較為隨意,還有的校園網自建立起就沒有更新過病毒庫,沒有對校園網系統(tǒng)進行必要的升級,學校各班級的終端計算機的系統(tǒng)漏洞長期得不到更新的現象十分普遍。3.管理制度不完善。高中校園信息安全網絡防范不僅有技術層面的原因,在管理制度上也存在著較大的問題,沒能建立起有效的校園網絡使用和維護管理制度,缺乏有效的校園網絡監(jiān)督管理措施,不能有效的對相關的技術人員進行合理調配使用,校園網計算機使用無據可依,校園網的使用隨意性過大,有的班級為了防止出現網絡安全事故,長期將計算機與互聯網斷開,還有的班級在接入互聯的機器上隨意下載各種盜版軟件。而且,隨著高中大量學生不停的在使用公用計算機,使全校師生都遵守一項共同的校園網絡安全管理制度也變得越發(fā)困難,而且一旦出現網絡安全問題,也很難具體分清問題的源頭和責任,這使校園網絡安全防范工作變得更加困難。
四、保障學校信息安全的有效措施及對策
圍護高中校園網絡信息安全是一項系統(tǒng)的工作,不僅需要調動廣大師生的共同參與,更需要針對具體問題采用具體的監(jiān)管措施,從而使高中校園網絡在充分依靠技術力量的前提下,使師生自覺的圍繞校園網絡安全。具體來說,保障學校信息安全的措施和應對方法有以下幾種可供選擇:1.加強對師生的有效引導。為了有效發(fā)揮全校師生在促進校園網絡安全上的合力,應當從圍護校園網絡安全的系統(tǒng)運行、數據保密、網絡使用等方面建立必要的規(guī)章制度,有條件的學校要建立專門的網絡安全監(jiān)管部門,要對網絡安全責任進行明確的劃分,要建立起教師和學生共同參與的校園網絡安全監(jiān)管體系,要多在校園內采用講座、論壇等方式,積極引導廣大師生提高網絡安全的防范意識,號召廣大師生不使用盜版軟件,不瀏覽不安全網站,不隨便共享文件,不輕易打開來歷不明郵件,不執(zhí)行不明程序。2.對校園網站進行定期維護。高中校園網絡作為一個半開放的系統(tǒng),不僅需要師生有正確的使用方法,還要定期的對校園局域網和網站進行定期的維護,要定期按照安全檢查制度逐一進行檢查,要針對學校各班級、教師辦公室、學校計算機房等的不同設備采用不同的檢查方式,切實做到檢查和維護工作有具體的可操作性。要定期為各班級和公共電腦下載安裝殺毒程序,要及時電及操作系統(tǒng)的漏洞補丁通知,要聘請專業(yè)人員定期來學校進行專業(yè)的技術維護,從而確保校園網絡在安全的環(huán)境下正常高效運行。3.對校園網進行層級限制。高中校園是全體師生的重要學習工具,是十分有限和珍貴的教育教學資源,為了保證校園網絡的有效性和安全性,應對校園網絡的訪問層級進行限制,要對校園網的可訪問區(qū)域進行加密限制,例如要將校園的重要信息變?yōu)閬y碼的加密信息,要禁止對未經授權許可的人開放網絡系統(tǒng),要對所有的網絡操作步驟進行可跟蹤調取,從而使網絡信息使用有可追溯的機制,這樣不僅限制了浪費校園網絡資源的現象發(fā)生,而且可以使校園網絡資源的利用效率更高,更有效促進學生安全文明的使用網絡。4.加強數據備份和保護工作。對最重要的信息進行保護和備份工作,可以在校園網絡出現安全問題時,將損失降低到最低程度。因此,高中校園網絡上的數據應當由專人進行定期備份,有條件的學校最好能備份兩份數據,一份用于使用更新,一份用于長期保存,同時還要定期對網絡上的數據進行恢復,從而保證校園網絡上數據的長期有效性,備份后的數據還要定期進行檢測,一旦出現網絡安全問題,可以及時對網絡上的數據進行恢復,以保證網絡流通數據的安全性。
結語
學校信息安全網絡防范的措施應當在現有技術條件下,采用有效的網絡安全防范管理制度,定期對校園網進行維護,對校園網使用進行層級限制,以及做好數據備份等方式盡可能的加強校園網絡安全,使校園網有效應對攻擊。
參考文獻
[1]邢惠麗.高校圖書館網絡信息安全問題研究[J].中國現代教育裝備,2008,(1):123-124.
關鍵詞:網絡安全;數字化校園;虛擬局域網
隨著網絡的普及以及新應用的出現,信息已經成為一種關鍵性的戰(zhàn)略資源。數字化校園網作為學校信息化建設的基礎,引起了教學方法、教學手段、教學工具的重大革新,在教學、科研、管理等方面起著舉足輕重的作用。與此同時,校園網絡的安全保障就變得十分重要。本文重點闡述了網絡安全系統(tǒng)的規(guī)劃及方案的實施,目的是建立一個完整、立體、多層次的網安全防御體系。
一、數字化校園網安全現狀
目前,世界上70%以上的學校都擁有自己的數字化校園網,并將其融入到教學中,但大部分校園網建設都對網絡安全有所忽視,逐漸使校園網的安全受到來自內部和外部的威脅與危害。校園網的主要安全問題分為下述幾方面:
1.物理層方面安全。由于網絡中物理設備的位置不合理、規(guī)章制度的不健全及防范措施不科學,導致網絡資源受到自然災害的毀壞、人為或意外事故的破壞,造成了數字化校園網不能夠正常的運行。因此,物理層安全問題是需要重視的。
2.未經受權訪問。沒有經過授權或者假冒合法的用戶獲得了權限進而訪問網絡資源,造成獲取所需資料、篡改有關數據或利用有關資源從事非法活動的情況。在校園網上,最常見的是盜用合法IP地址,給合法的用戶直接帶來了經濟損失,造成網絡沖突,使網絡不能夠正常工作,嚴重的甚至造成主機崩潰,影響到整個校園網運行。
3.計算機病毒?;ヂ摼W現在是病毒肆虐最大的來源,互聯網上發(fā)現了各色新病毒,感染快、危害嚴重,而且使用者難以防范。校園網由于計算機用戶眾多并且水平差距很大,容易感染病毒且消除困難。
4.帶寬管理。對于每個學校來說,它的帶寬資源都是有限的。而上網人數的急增和各種各樣在線游戲的流行使有限的帶寬資源不堪重負。由于沒有帶寬限制和優(yōu)先級設置,一些重要用戶和重要應用得不到必要的帶寬保證而影響了正常的教學和科研工作。
二、校園網安全方案的實現
1.網絡防火墻的部署。在核心交換機與Internet之間、核心交換機和服務器群之間部署了一道防火墻,進行網絡數據流的監(jiān)控,實現虛擬的網絡隔離。在部署防火墻之前,需要對現有網絡結構以及網絡應用作詳細的了解,然后根據網絡業(yè)務系統(tǒng)的實際需求制訂防火墻策略,以便能夠在提高網絡安全的同時不影響業(yè)務系統(tǒng)的性能。通過進行網絡拓撲結構的分析,確定防火墻的部署方式以及部署位置;根據實際的應用和安全的要求,劃定不同的安全功能區(qū)域,并制訂各個安全功能區(qū)域之間的訪問控制策略;制訂管理策略,特別是對于防火墻的日志管理、本身安全性管理。
2.路由器的設置。路由器是校園網主要設備之一,其位置在校園網與Internet接入口處。通過對路由器相關設置,可以實現帶寬限制,特定訪問規(guī)則,流量控制等,進一步保證了網絡安全。路由器主要功能是對IP地址進行設置,設置要恪守的基本原則如下:路由器的物理網絡端口需要有一個IP地址;相鄰路由器的相鄰端口IP地址在同一網段;同一路由器不同端口在不同網段上,IP地址設置的主要任務是配置端口IP地址;配置廣域網線路協(xié)議,配置IP地址與物理網絡地址如何映射;配置路由;其他設置。
3.三層交換機設置。三層交換機的出現解決了路由器的速度和二層交換機的VLAN間路由的問題,既滿足了速度的要求,還可以實現劃分VLAN,是目前數字化校園網中必不可少的網絡設備。三層交換機通過劃分VLAN有效地隔離了局域網的廣播風暴,有效地提高了網絡管理速度,很好地實現了網絡安全。劃分VLAN的基本策略從技術角度講,VLAN的劃分可依據不同原則,一般有以下三種劃分方法:(1)基于端口的VLAN部分。這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組,這種方案只需要管理者對網絡設備的交換接口重新分配就可以,不必考慮該端口所連接的設備。(2)基于MAC地址的VLAN劃分。MAC地址其實就是指網卡的標識符,每一塊網卡的MAC地址都是唯一且固化在網卡上的,網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。(3)基于路由的VLAN劃分。路由協(xié)議工作在網絡層,相應的工作設備有路由器和路由交換機,該方式允許一個VLAN跨越多個交換機,或一個端口位于多個VLAN中。
建設數字化校園網為信息資源共享提供了有力的工具和手段,將校園中的各PC機、終端設備與局域網相連接,同時與國際互聯網連接起來,構建可以滿足教學、科研以及管理工作所需的各種環(huán)境,及時收集各種反饋信息,為學校的長遠發(fā)展提供決策依據。
參考文獻:
[1]鄧尚民,袁玉珍.淺談對校園網建設中存在問題的幾點認識[J].中國遠程教育,2000(2).
[2]方欣澤.計算機網絡系統(tǒng)集成[M].北京:中國水利電利出版社,2005.