校園網絡安全管理方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網絡安全管理方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:校園網絡安全管理方案范文
高職院校校園信息網絡的廣泛應用,能夠為學生提供便利的社交條件和網絡信息,同時也帶來了學生使用網絡過程中的相關問題。院校應當站在學生角度上,分析網絡社交和學習行為存在的安全隱患,對信息網絡安全防護提出疑問,并通過實行一定的網絡安全管理方式,提高學生的網絡交友意識和科學交友觀念,使學生在網絡中謹慎發表自己的言論,防止任何名義的聚集性消費活動,避免被他人獲取身份信息進行違法犯罪。
1高職院校校園信息網絡安全防護的問題
(1)校園信息網絡承載的私密數據過多高職院校的許多學生都會通過信息網絡,接觸自己周邊的新鮮事物或者集體活動。很多人使用校園信息網絡,是為了結識志同道合的朋友,擴展自己的社交圈子和知識見聞。但對于信息網絡的不合理使用,會泄露學生自己的個人隱私,讓不法分子進入到高職院校的校園環境中,對學生進行以騙取錢財為目的的交往。部分學生所遭受到的網絡詐騙行為,都是自己已經接觸過的陌生人,通過找到學生在網絡中留下的私密數據,了解他們需要怎樣的社交服務,再選取適當的時機實施自己的違法行為。(2)校園信息網絡缺少了學生防護教育校園信息網絡的存在,讓學生能夠通過虛擬環境獲取到自己需要的各種信息。學生感覺到有人在和自己相互溝通時,他們會忘了自己使用信息網絡的學習目的,更加重視在溝通過程中獲得的情緒,并持續完成在信息網絡上的交友活動和考試學習。這種現象讓信息網絡不能夠對學生進行一定的防護教育,使他們能夠接觸到社會經驗相當豐富的職場人士并幻想通過信息網絡找到能夠滿足自己各種需求的領路者。在網絡中活躍的人普遍沒有太大的生活生存本領,反而使學生缺少完整的受教育過程,出現各種各樣的心理問題。(3)校園信息網絡容易遭受到外來攻擊校園信息網絡屬于由學生自行組建的社交環境,所提供的信息大都來源于高年級學生對低年級學生進行的學習指導,缺少一定的專業性和教育性。教師在信息網絡中所進行的教育活動,與學生在日常生活使用的信息網絡,存在賬號功能、溝通形式等方面的很多差異。而且教師并不會占用學生的課余時間,與他們進行有關于自己隱私社交生活的溝通,這讓學生在信息網絡中獲取的信息,缺少權威人士的驗證和教職人員的監督。學生在網絡虛擬環境中留下的痕跡,讓他人能夠很容易找到他們的真實位置和網絡位置,并對他們進行有目的性的病毒攻擊,使校園信息網絡容易受到不明外來攻擊。
2高職院校校園信息網絡安全管理的實行
2.1及時清理學生個人身份信息
(1)向學生宣傳信息網絡的安全隱患高職院校要明令禁止學生私自侵入信息網絡,進行他人身份信息的查證和考試信息的修改,減少信息網絡呈現出的防護漏洞,并做好網絡虛擬環境的安全管理。很多學生為保證院校不侵犯他們的私人生活,會選擇進入學校領導不知道的信息網絡環境中,存儲自己認為很珍貴的個人資料或者他人信息。部分學生沒有長期進行網絡交友的習慣,并不能夠對自己的個人信息進行安全保管,因此就讓他人幫助自己進行網絡環境中的信息備份,防止自己在需要驗證身份信息過程中,出現遺漏現象或者錯誤填寫。這兩種做法都是將自己的身份信息泄露給了校園信息網絡。(2)對學生進行網絡安全防護教育網絡作為能夠讓大家隨意進出的虛擬環境,必然存在對學生身份的嚴格要求。但學生之間,偶爾也會存在社交行為上的矛盾,容易誘發他人實行各類報復行為。比如兩位學生因同時競爭學生會崗位,其中一人因教師推薦而獲得了這一重要崗位。而落選的那位學生,為了向大家證實自己的能力,就會選擇泄露已獲勝者的身份信息或者個人隱私,讓眾人覺得某人在道德品質上存在缺陷,或者存在隨意泄露他人信息的不當競爭行為。高職院校應當做好學生個人身份信息的必要清理,減少學生之間因惡意報復而出現的任何侵犯網絡安全的違法行為,向他們普及必要的網絡法律法規和學生管理制度。
2.2避免學生沉迷網絡社交生活
(1)重視對學生良好社交理念的教育很多學生把信息網絡作為展現自己生活的舞臺,希望得到更多人的關注。但關注學生的很多網絡用戶,他們是想要通過進入學生的日常生活,獲取一定的自我滿足感和自我價值,并不能夠對學生進行良好社交理念的灌輸,反而會讓他們形成過分注重消費的不當行為。學生在進入高職院校進行學習的過程中,可能會接觸到與自己家庭環境截然不同的許多學生。他們會產生因外表或者經濟條件而導致的自卑心理,十分在意他人對自己的評價或者贊美。一些家境優越的學生,也會在信息網絡中曬出自己在生活中常用的奢侈品信息,這也誘發了學生之間的惡意攀比現象和各類消費活動。高職院校應當重視學生教育過程,避免他們因沉迷網絡社交而出現一定的心理扭曲,要求學生隱藏自己的真實生活和消費信息,減少一部分人對另一部分人的不當影響。(2)強調對學生進行社交活動的管理有很多學生會通過信息網絡結交生活好友,并通過一起進行娛樂消費的方式穩定社交關系。但學生長期沉浸在這樣的社交活動中,會逐步脫離院校生活環境和周圍學生好友。院校要對學生進行社交活動方面的安全教育,避免發生他們深夜外出和脫離集體活動的現象,減少他們被他人誘拐或者欺騙的概率,幫助學生增加一定的社會見聞和學科知識,使高職學生具有良好的、適應校園生活的思考能力。院校教師要禁止這部分學生的在校兼職行為,避免其他學生在校期間遭受到周邊網絡社交活動中的引導消費陷阱。
2.3重視學生自我防護網絡教育
(1)對學生進行網絡安全知識的教學許多學生在使用校園信息網絡時,比較注重它在獲取學習信息上的便利,并通過信息網絡與身邊好友進行必要溝通。由于長時間的不見面聯系,讓學生逐漸與真實好友關系疏離,反而通過信息網絡結交虛擬好友或者進行長期文化學習。他們對信息網絡的使用,相對于真實生活中的社交,呈現出過分看重個人想法的封閉環境。一旦信息網絡出現使用過程中的不便利,將會嚴重影響到學生們的學習熱情和學習情緒,也會在短期內阻斷學生與群里好友建立的社交關系。而這些不便利情況的出現,很有可能是部分人所進行的遠程電腦控制,目的就是讓學生刪除他們了解到的他人信息。(2)保護好學生在校期間的教育信息學生在高職院校就讀期間所產生的大量信息,與他們的個人身份信息有著密不可分的聯系。高職院校應當做好學生教育信息的保護,避免有人通過校園信息網絡找到學生的真實住址,并對學生家人進行敲詐或者勒索,不利于學生社交生活的個人隱私。這種情況大部分來源于,學生有在信息網絡中過一些影響到他人生活的言論,使社會人士產生對學生本人的不滿,從而利用網絡信息差制造輿論,讓學生能夠意識到自己行為的不當。但并不是所有學生都是有意侵犯到他人的生活,他們的言論僅僅代表當時對某件事物產生的看法,并不會造成太大的社會影響。院校應當對學生的教育信息進行反復核對,了解他們是否是高職院校中的在讀學生或者已離校學生,避免他人冒充學生信息所進行的擾亂網絡社交行為,并對部分社會人士所進行的學生信息使用行為進行保護學生教育信息方向上的依法舉報。
2.4增強校園信息網絡技術管理
(1)整治信息網絡的不良交友風氣學生在信息網絡中接觸到的社會人士,會在不經意間給他們透露消費活動,并為他們提供利于消費的網絡環境。很多學生就是在網絡社交中,了解到了怎樣使用網絡支付工具和網絡借貸工具,完成對奢侈品的購買和預訂。而且現在許多商品,都可以通過分期付款的形式進行購買。這減少了學生在消費過程中的心理壓力,使他們敢于瞞著家人進行透支消費。因網絡交友所誘發的詐騙案件數不勝數,也有越來越多的學生開始陷入消費主義的負面影響中。高職院校應當整治學生群體中的不良交友風氣,通過信息技術幫助警方偵破校園詐騙案件,幫助學生找出身邊隱藏著的不安因素。(2)處理信息網絡受到的攻擊行為學生在使用信息網絡瀏覽網頁信息的過程中,會在搜索界面上留下一定的信息搜索痕跡或者隨機打開痕跡。這讓商家或者網絡好友,能夠通過大數據展示的學生消費喜好,了解他們存在怎樣的潛在學習需求或者交友訴求。部分學生會選擇隱藏自己的社交動態和在線狀態,避免陌生好友對他們進行不良言論的騷擾,但這種行為并不能夠有效阻止,學生網絡好友通過使用黑客技術入侵學生賬號,能夠十分全面的了解學生本人需求,并出現在學生的現實生活中。高職院校要落實校園信息網絡的防護技術,避免他人對學生所進行的一系列網絡攻擊行為,并合理舉報已經觸犯法律的惡意騷擾行為,讓學生能夠在安全的信息網絡中學習生活,減少他們因信息泄露所產生的社交矛盾,及時制止學生對身邊人的猜忌和傷害。高職院校要對校園信息網絡進行安全防護,禁止學生通過網絡環境建立虛擬社交關系,提醒他們注意隨身攜帶的個人財產,重視對學生網絡安全知識的培訓。教師應當配合院校實行的一系列管理制度,確保學生在校期間的社交安全和學習質量,減少他們在網絡環境中搜索學習資源的頻率,使院校教學工作能夠做好學生學習指導,并落實對信息網絡進行管理的嚴格技術。
參考文獻:
[1]李基初.談高職院校校園信息網絡安全防護與管理[J].中外交流,2019,026(029):89.
[2]邢娟.高職院校學生網絡安全教育現狀探析[J].科學大眾,2020,000(002):57-57.
第2篇:校園網絡安全管理方案范文
關鍵詞:網絡安全、安全隱患、安全策略設計
中圖分類號:G642 文獻標識碼:A
1引言
繼中國科技大學、清華大學、北京大學等第一批鋪設數字化校園網的高校之后,全國各地的大中專院校都掀起了轟轟烈烈的數字化校園浪潮。在結合該院自身實際條件下,各大高校都以建立一個以校園網為基礎的集教學管理、消費、身份認證等服務為一體的新型數字化的工作、學習、生活環境為奮斗目標。在數字化校園規劃與建設過程中,有一個非常關鍵而棘手的問題,那就是網絡安全問題。在當今網絡開放式互聯的環境下,各種病毒蔓延和黑客攻擊令人叫苦不迭,網絡安全問題已成為數字化校園建設的一個重要問題。
2數字化校園及其網絡安全
數字化校園是利用計算機技術、網絡技術、通訊技術對學校與教學、科研、管理和生活服務有關的所有信息資源進行全面的數字化;并用科學規范的管理對這些信息資源進行整合和集成,以構成統一的用戶管理、統一的資源管理和統一的權限控制;把學校建設成面向校園內,也面向社會的一個超越時間、超越空間的虛擬學校。
針對數字化校園網絡化和信息化的特點,其安全問題成為當今亟待解決的重要問題。網絡安全包括物理安全和邏輯安全兩方面:
系統的物理安全指網絡系統中各通信計算機設備以及相關設備的物理保護,免予破壞、丟失等;系統的邏輯安全包括數字化校園的整合網絡系統和承擔各個業務流程的功能子系統的安全。邏輯安全包括信息的完整性、保密性和可用性三個要素。保密性是指信息不會泄漏給未經授權的人,完整性是指計算機系統能夠防止非法修改和刪除數據和程序,可用性是指能夠防止非法獨占計算機資源和數據,合法用戶的正常請求能及時、正確、安全的得到服務或回應。
隨著現代計算機系統功能的日漸復雜,網絡體系日漸強大,正在對社會產生巨大而深遠的影響,但同時由于計算機網絡具有聯接形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡易受黑客、惡意軟件和其他不軌的攻擊,所以使得安全問題越來越突出。校園的網絡系統是整合數字化校園的基礎,它連接了各個功能子系統,各個系部,還有大量的個人電腦(如校園內學生、教師的PC等),所以它的安全是至關重要的。因此,要提高計算機網絡的防御能力,加強網絡的安全措施,以保證其正常運行。眾所周知,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅,故此,網絡的防御措施應是能全方位地針對各種不同的威脅和脆弱性進行預防,這樣才能確保網絡信息的保密性、完整性和可用性。俗話說“知己知彼,百戰百勝”,要保證校園網絡安全,首先必須深入了解威脅校園網絡安全的“敵人”,即必須了解校園網絡安全的隱患。
3數字化校園網絡安全隱患
校園網絡是借助主干通信網,將各地的分部門和總部聯接,同時與Internet互聯,這就勢必會出現如下的安全隱患問題:
(1) 總部局域網和各分、子部門局域網之間,分、子部門與下屬機構局域網之間以及廣域網干線上信息傳輸的安全保密問題。
(2) 總部局域網及各分、子部門局域網自身的安全,要確保這些局域網不受網內用戶非法授權訪問和破壞等。
(3) 來自外部的非授權用戶非法攻擊和破壞,以及內部用戶對外部非法站點的訪問。
現實存在的網絡安全問題涉及面很廣,但不安全因素主要集中在網絡傳播介質及網絡協議的缺陷、主機操作系統的缺陷以及安全管理不善等因素上。由此可見,根據存在的安全隱患進行科學的安全策略設計,構筑必要的信息安全防護體系,建立一套有效的網絡安全機制顯得尤其重要。
4校園數字化網絡安全策略設計
安全策略是指在一個特定的環境里,為保證提供一定級別的安全保護所必須遵守的規則。該安全策略設計包括了建立安全環境的三個重要組成部分,即:
先進的技術。先進和安全技術是信息安全的根本保障,用戶對自身面臨的威脅進行風險評估,決定其需要的安全服務種類,選擇相應的安全機制然后集成先進的安全技術,這樣才能保證對安全問題的徹底解決。先進的安全技術主要包括訪問控制、防火墻、加密、鑒別、數字簽名、審計監控、入侵防范、防病毒、網絡安全檢測等技術。
嚴格的管理。網絡安全問題在很大程度上是非技術因素,安全管理漏洞和疏忽是最大的安全隱患。只有把安全管理制度與安全技術手段結合起來,這個網絡的安全性才有保障。所以應嚴格執行相關的安全管理制度,握手操作規程、維護制度等,加強內部管理,建立審計和跟蹤體系,提高整體安全意識。安全管理的原則一般有以下三個原則:(1) 多人負責原則。每一項與安全有關的活動,都必須有兩人或多人在場,例如訪問控制使用證件的發放與回收;信息處理系統使用媒介的發放與回收;處理保密信息;硬件和軟件的維護等等。(2)任期有限原則。一般地講任何人最好不要長期擔任與安全有關的職務,以免使他認為這個職務是專有的或永久性的,為了遵循任期有限原則,工作人員應不定期地循環任職,強制實行休假制度,并規定對工作人員進行輪流培訓,以使得任期有限制度切實可行。(3)職責分離原則。在信息處理系統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情,如有必要了解則需經系統主管領導批準。例如在計算機操作與計算機編程;機密資料的接收和傳送;安全管理和系統管理;應用程序和系統程序的編制等情況下應當盡量讓工作人員分開。
威嚴的法律和規章制度。安全的基石是社會法律、法規與手段,這部分用于建立一套安全管理標準和方法。即通過建立與信息安全相關的法律、法規,使非法分子懾于法律的威嚴,不敢輕舉妄動。網絡系統安全方面的法律和規章制度分兩部分,一是國家及主管部門在信息安全方面的法律、法規與規定;另一部分是數字化校園自身的制度和規定,它應該與系統所采取的各種安全機制相輔相成,互為補充。既然安全策略的設計涉及到了這么多網絡安全的措施,那怎樣對一個數字化校園網絡進行安全管理呢?現擬某學院數字化網絡為例,擬定一個校園網的安全策略。具體工作是:
(1) 根據工作的重要程度,確定該系統的安全等級。
(2) 根據確定的安全等級,確定安全管理范圍。
(3) 制訂相應的機房出入管理制度。
對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與已無關的區域,出入管理可采用證件識別或安裝自動識別登記系統,采用磁卡、身分卡等手段,對人員進行識別、登記管理。
(4) 制訂嚴格的操作規程。操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍。
(5) 制訂完備的系統維護制度。對系統進行維護時,應采取數據保護措施,如數據備份等,維護時要首先經主管部門批準,并有安全管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄。
(6) 制訂應急措施。要制訂系統在特殊情況下,如何恢復的應急措施,使損失減至最小。
5數字化校園網絡安全案例
以某技術職業學院校園網絡安全策略為例,介紹安全策略的設計。該學院是一所面向全國招生,以培養專科層次的應用型高等職業技術人才的全日制普通高等院校。該校數字化網絡一期工程為全校教育和科研建立了計算機信息網絡,實現了校園內計算機聯網,信息資源共享并通過與Internet互聯,實現了與信息世界的多元化、直接流,其服務對象主要是校內的教學、學生實驗機房、行政管理單位等。下圖為該院校園網絡拓撲結構圖:
對該院校園網中的安全現狀進行分析,隱患大致來自以下五個方面:
(1) 校園網通過與Internet相聯,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
(2) 目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅。目前校園網的網絡服務器安裝的操作系統是WindowsNT/Windows2000,這些系統安全風險級別不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系統:本身系統的漏洞、瀏覽器的漏洞(RIP路由轉移等)、服務安全漏洞等等,這些都對原有網絡安全構成威脅。
(3) 校園網內部也存在很大的安全隱患,由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些。現在,黑客攻擊工具在網上泛濫成災,而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。
(4) 隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,而這些節點大部分沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。
(5) 限于該院數字化的進程,目前的網絡防護體系中還缺少硬件級防火墻這一防護環節,即沒有對內部網和外部網進行有效的隔離,網絡安全性完全依賴主系統的安全性,在一定意義上,所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大,把所有主系統保持在相同的安全性水平上的可管理能力就越小,隨著安全性的和失誤越來越普遍,入侵就很難避免。曾經嘗試過在服務器上(機)安裝防火墻軟件進行安全隔離,即建立應用級防火墻。但在實際使用中,用戶在受信任的網絡上通過服務器訪問Internet時,經常會發現存在延遲并且必須進行多次訪問才能訪問Internet的情況。這是因為該軟件必須分析網絡數據包并做出訪問控制決定,從而影響了網絡的性能。一般來說,如果計劃選用應用級防火墻,最好選用較高性能的計算機運行服務器。但由于涉及到帶寬、經費等多方面的限制,該院用作服務器的計算機性能并不是很理想,導致網絡速度較慢,網絡服務質量還有待提高。因此這必須在校園數字化網絡中必須采用一定的安全策略,就這一問題,結合當前實際的前提下作者進行了廣泛的調研和悉心比較,最后決定融合思科公司和瑞星設計的校園網絡安全系統方案再整合其它相關先進的管理技術以拓展安全管理范圍和增強安全管理的效果。提出了兩種方案可供選擇:
方案一:智能防火墻型。即用一臺智能防火墻,成為內外網之間一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等對外服務器連接在防火墻的DMZ區,與內外網間進行隔離,內網口連接校園網內網交換機,外網口通過路由器與Internet連接。那么,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、E-mail、FTP、DNS等),既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,并能夠對發生在網絡中的安全事件進行跟蹤和審計。現在比較流行的智能型防火墻有CISCOPIX系列防火墻、ONTECHNOLOGY軟件公司生產的ONGUARD和CHECKPOINT軟件公司生產的FIREWALL-1防火墻等。這一方案的優點是:在實際應用中,對用戶的“透明度”較高,便于管理和控制。而缺點就是價格昂貴,不易被一般用戶所接受。
方案二:網絡層防火墻+服務器。即把網絡層防火墻和應用層防火墻綜合在一起。因為網絡層防火墻具有速度快、費用低、對用戶透明等優點,但是它對網絡的保護很有限,因為它只檢查地址和端口,對網絡更高協議層的信息無理解能力,特別是對于應用層上的黑客行為無能為力。而應用層防火墻(主要為服務器)有較好的訪問控制,目前存在HTTP、TELNET、FTP、POP3和GOPHER等服務器,并且這些服務只需要一個服務器就可以實現。這一方案的優點是:費用低,性價比較高。而缺點則是“透明底”較低,需要由經驗相對豐富的管理人員人進行管理,即對管理人員的要求較高。
由此看來,兩種方案各有千秋,應用中可以根據自身實際進行選擇,在此,從性價比和實際情況的角度考慮,選擇方案二,見圖2。注意,圖中為了方便表示把網絡層防火墻和服務器兩個防火墻只用一個防火墻記號標示。
選擇好了防火墻,還應對其進行正確配置才能充分發揮其安全防護的性能,在防火墻設置上按照以下配置原則來提高網絡安全性:
(1) 根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。
(2) 將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊,過濾掉以非法IP地址離開內部網絡的IP包,防止內部網絡發起的對外攻擊。
(3) 在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
(4) 定期查看防火墻訪問日志,及時發現攻擊行為和不良上網記錄。
(5) 允許通過配置網卡對防火墻設置,提高防火墻管理安全性。
6檢測系統的部署
數字化校園網中包含了幾個系統的部署,其中有入侵檢測系統部署、網絡安全系統檢測系統部署和殺毒產品部署等。
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,因為防火墻的策略都是事先設置好的,無法動態設置,缺少針對攻擊的必要性和靈活性,不能更好的保護網絡的安全,所以部署IDS并使IDS與防火墻聯動的目的就是為了更有效地阻斷所發生的攻擊事件,從而使網絡隱患降至較低限度,強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。根據該院網絡的特點,采取思科公司的網絡IDS和主機并用的措施,對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,并采取相應的措施。具體來講就是將思科IDS入系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據,如果情況嚴重,思科IDS還會發出實時報警,使得學校管理員及時采取應對措施。
在網絡安全檢測系統上考慮采用網絡安全檢測工具如SATAN等定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供詳細可靠的安全性報告,為提高網絡安全整體水平產生重要依據。
殺毒產品部署上采用了瑞星網絡版的殺毒產品,為了達到要在整個局域網內病毒感染、傳播和發作這一目的,在整個網絡內可能傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能,提出以下建議:
(1) 在學校網絡中心配置一臺高效的WINDOWS2000服務器,負責管理多個主機網點的計算機。
(2) 在各行政、教學單位等多個分支機構分別安裝殺毒軟件。
(3) 管理員在安裝完殺毒軟件以后,要由網絡中心的系統定期地、自動地到網站上獲取最新的升級文件,然后自動將更新的升級文件分發到其它各個主機網點的客戶端與服務器端,并且對殺毒軟件進行更新。
常言說:“三分技術,七分管理”,安全的處理是保證網絡安全的基礎,安全技術是配合安全管理的輔助措施。建議以下一套校園網絡安全管理的模式:
第一:網絡規劃階段的一些安全策略。
(1) 明確網絡安全的責任人和安全策略的實施者。人是制定和執行網絡安全策略的主體,對于校園網絡來說網絡管理員可以是網絡安全責任人。
(2) 對網絡上所有的服務器和網絡設備,設置物理上的安全措施(防火、防盜)和環境上的安全措施(供電、溫度),對校園的局域網要將網絡上的公用服務器和主交換設備安置在一間中心機房內集中放置。
(3) 進行容錯和備份。安全策略不可能保證網絡絕對安全和硬件不出故障,網絡應允許出現一些故障,并且可以很快從災難中恢復,網絡的主備份應位于中心機房。
(4) 因為網絡與Internet有固定聯接(靜態的IP地址),要在網絡和INTERNET之間安裝防火墻。
(5) 網絡使用服務器訪問Internet,不僅可以降低訪問成本,而且隱藏了網絡規模和特性,加強了網絡的安全性。
第二:對網絡管理員的一些安全策略建議。
對校園網絡來說網絡管理員一般承擔安全管理員的角色。網絡管理員采取的安全策略,最主要的是保證服務器的安全和分配好各類用戶的權限。
(1) 網絡管理員必須了解整個網絡中的重要公共數據(限制寫)和機密數據(限制讀)分別是哪些,它在哪兒,哪些人在使用,屬于哪些人,丟失或泄密會造成怎樣的損失,這些重要數據集中位于中心服務器上,置于有安全經驗的專人管理之下。
(2) 定期對和各類用戶進行安全培訓。
(3) 一般不直接給用戶賦權,而通過用戶組分配用戶權限。
(4) 新增用戶時分配一個口令,并控制用戶“首次登錄必須更改口令”,最好進一步設置成的口令不低于6個字符,杜絕安全漏洞。
(5) 至少對用戶“登錄和注銷”網絡、“重新啟動、關機及系統”、“安全規則更改”活動進行審計,但不要忘了過多的審計將影響系統性能。
(6) 文件服務器不與Internet直接連接,專用服務器,不允許客戶機通過MODEM連到INTERNET,形成在防火墻內的連接。
(7) 可以利用“TCP/IP安全”對話框,關閉INTERNET上機器不用的TCP/UDP端口,過濾流入服務器的請求,特別是限制使用TCP/UDP的137、138、139端口。
(8) 可以考慮將對外的Web服務器放在防火墻之外,隔離外界對內的訪問以保護內部的敏感數據。
(9) 對只提供內部訪問的服務器和客戶機可以采用非TCP/IP實現連接,這樣可以隔離Internet訪問。
(10) 利用端口掃描工具,定期在防火墻外對網絡內所有的服務器和客戶進行端口掃描。
第三:對校園網絡用戶的一些安全策略建議。
數字化校園網絡的安全不僅僅是網絡管理員的事,校園網絡上的每一個用戶都有責任,網絡用戶也可以了解一下以下的網絡安全知識:
(1) 用一個長且難猜的口令,不要將自己的口令告訴任何人。
(2) 清楚自己私有數據存儲的位置,知道如何備份和恢復。
(3) 定期參加網絡知識和網絡安全的培訓,了解網絡安全知識,養成注意安全的工作習慣。
(4) 盡量不要在本地硬盤上共享文件,因為這樣做將影響自己的機器安全,最好將共享文件存放在服務器上,既安全又方便了他人隨時使用文件。
(5) 通過“系統策略編輯器/注冊表編輯器”控制在Windows 9x工作站上的“不顯示最后一次登錄的用戶名”和“禁止使用口令緩存”,防止口令從緩存中被獲取和最后一次登錄的用戶被利用。
(6) 設置有顯示的(即非黑屏,防止誤認為關機)屏幕保護,并且加上口令保護。
(7) 當你較長時間離開機器時一定要退出網絡。
(8) 安裝啟動時病毒掃描軟件。
結束語:可以預見,隨著計算機技術和通信技術的發展,計算機網絡不會僅局限于數字化校園,還將日益成為信息交換的重要手段,滲透到社會生活的各個領域。因此,認清網絡的脆弱性和潛在的隱患,采取強而有力的安全策略,對于保障網絡的安全性將變得越來越重要。
參考文獻:
[1] 王育民,劉建偉. 通信網的安全-理念與技術[M]. 西安電子科技大學出版社,1999.
[2] 張小斌,嚴望佳. 網絡安全與黑客防范[M]. 北京;清華大學出版社,1999.
[3] 21世紀計算機網絡工程叢書編委會. 網絡技術基礎[M]. 北京希望電子出版社,2000.
[4] 鐘小平,張金石. 網絡服務器的配置與應用[M].北京:人民郵電出版社,2002.
第3篇:校園網絡安全管理方案范文
關鍵詞:信息技術;校園網絡建設;安全管理;防范措施
隨著計算機網絡技術的快速發展與普及,網絡已深入到各個行業以及日常生活中并起著關鍵性的作用,也極大的推動了校園網絡的建設,成為了校園重要的基礎設施。校園網絡的建設對教學管理、科研管理等活動帶來方便的同時校園網絡也存在著安全隱患,導致計算機網絡系統的崩潰,嚴重影響了校園網絡的正常運行,為校園管理工作帶來了大量的工作負擔。為了保證校園網絡的保密性與安全性,校園網絡的運行管理與安全措施顯得格外重要,不容忽視。
1 校園網絡存在的安全隱患
1.1 系統自身存在的漏洞
自從微軟推出Windows操作系統到至今的Vista系統的誕生,都存在著不可避免的,一直讓人頭疼的漏洞,而且校園使用的網絡大部分都是Windows系統,系統本身存在著防火墻、服務器、IP協議等諸多方面的漏洞,隨著用戶的不斷使用導致安全問題產生,為學校管理帶來了諸多麻煩與負擔。
1.2 計算機病毒嚴重入侵
隨著網絡的迅速發展,給學校帶來方便的同時,也成為了計算機病毒傳播的最快的捷徑。病毒編制者水平的提高以及與黑客軟件的結合,使網絡病毒經常爆發,嚴重的情況下會破壞計算機的硬件和軟件,致使機密數據外泄,使計算機運行緩慢、頻繁死機不能正常運行,整個網絡完全處于癱瘓的狀態,對校園網絡使用造成了嚴重的威脅。
1.3 自然災害突然襲擊
自然災害帶來的破壞與損失讓人措手不及,防不勝防,主要的災害有:地震、風暴、水災和火災等,還有環境帶來的影響,如濕度、溫度和污染等破壞。大部分的高校計算機機房都沒有防水、防電、防火、避雷等防范措施,事故不斷發生,沒有抵御自然災害的能力,設備損壞、數據丟失、信息外露的現象屢見不鮮。
1.4 內部與外部的攻擊
攻擊有兩種方式,一個是來自互聯網外部的攻擊,一個是來自學校內部學生的攻擊。學生是學校網絡的活躍用戶,對網絡充滿了好奇心,不斷嘗試各種玩法,在網上學到的以及自己研究的各種攻擊方法企圖去破解學校的各種信息。
2 校園網絡安全隱患的成因
2.1 網絡安全意識薄弱
學校管理人員以及教師對網絡安全沒有足夠的重視,而大部分校園學生認為校園網絡是集體系統,網絡安全維護不是自己的責任,自然有相關的網絡管理人員進行維護,防范意識淡薄、缺乏責任心。此外,除了計算機專業的教師與學生對計算機的結構框架有所了解外,大部分用戶都不具備最基本的網絡知識和網絡安全抵御能力與防范意識,導致校園網絡經常性遭受病毒入侵,影響正常運行。
2.2 盜版資源的干擾
互聯網拓寬了人們的視野,豐富了人們的生活,但是無處不在的盜版成為了社會的隱患,多種網絡資源都存在著盜版現象。盜版資源成為網絡急需解決的問題,校園網絡中的盜版軟件、盜版資源的使用也非常普遍,隨著用戶的不斷使用給系統留下了安全隱患,而且下載盜版軟件時還隱藏著后門、木馬等相關的代碼,對校園系統產生了破壞性的攻擊。
2.3 資金投入不足
高校校園把大部分的資金投入到購買硬件設備上,技術性的投入比例相對較大,而對于校園網絡安全維護的投入相對較小。另外,普遍缺乏防范安全意識,只是簡單安裝設備,保證網絡能夠正常、安全運行就可以了,忽視了網絡安全的維護,缺乏責任心,缺乏抵御外部與內部入侵的能力。因此,要在網絡技術投入與安全措施上做到平衡,加強安全防御,使網絡正常有序的運行。
3 校園網絡安全管理措施
3.1 提高師生網絡安全意識
高校內發生網絡安全危機,多數是因為沒有網絡方面的安全知識,導致黑客入侵進行破壞,因此學校要加強網絡安全防御意識,抵御來自校園網內外部的攻擊。學校可以利用網絡優勢進行安全常識教育,例如校園廣播,在學生休息或者上放學期間播放有關網絡的一些常識。此外,還應開設網絡安全課程,如《信息安全技術》、《計算機網絡》、《網絡安全與管理技術》等,使學生掌握基本網絡知識,不輕易使用盜版軟件、不隨便瀏覽誠信度低的網站,養成文明上網的好習慣,提高網絡安全意識和辨別能力。
3.2 引進網絡管理人才
高校校園網絡的不斷普及和發展,校園網上的相關數據、信息、資料越來越多,越來越重要,同時校園網絡的攻擊、資源的盜用也越來越嚴重,因此,加強網絡技術人員和網絡用戶對網絡技術與安全使用尤為重要。學校應該引進網絡安全管理的優秀人才,形成網絡安全管理隊伍,或者學校也可以派出本校優秀的計算機網絡管理人才參加網絡安全管理培訓,或者不定期的聘請專業的網絡管理專家進入校園講授網絡技術相關知識,通過“引進來和走出去”的方式來提高網絡人員的專業素質和管理能力。
3.3 加強防火墻技術
防火墻是實現校園網絡安全的一個有效的方法,它使互聯網與內部網建立了一個安全網關,保護內部網免受非法用戶的強烈入侵。為了防止內部網絡發起對外攻擊,要在防火墻上建立計算機的IP和MAC地址,如果兩個地址不是一一對應的一律禁止,還要定期查看防火墻的訪問日志以及時發現是否有攻擊行為,提高防火墻的安全管理性,減少給校園網絡帶來的安全隱患。
4 結語
校園網絡安全與技術管理問題是一個復雜的系統工程,校園網絡對此要進行全方位的防范,因此,提高校園網絡是一個非常迫切和具有挑戰性的任務,要將技術和管理相結合,建立一個安全的校園網。雖然網絡存在著各種安全威脅,但在校園建設中起著靈活、快捷的作用。總而言之,在利用校園網絡的同時,要不斷的加強校園網絡建設,完善校園網絡管理制度,建立堅固的校園網絡安全防線,建立一個安全、綠色的校園網絡環境。
[參考文獻]
[1]牛曉旺.校園網絡安全問題及維護方案[J].辦公業務,2013(8).
第4篇:校園網絡安全管理方案范文
關鍵詞:校園網;安全;防火墻
中圖分類號:TN915文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-01
Campus Network Security Analysis and Design Solutions
Shen Yang
(Dalian Polytechnic University,Dalian116035,China)
Abstract:The campus network in the process facing various security threats,in view of the current situation of campus network,summary the relevant solutions for the campus network security operation,put forward the corresponding measures based on the campus network security operation.
Keywords:Campus network;Safety;Firewall
校園網是高等教育的重要教育資源。由于校園網信息交換頻繁,基于校園網的各種安全問題也日益突出。為了保護數據和資源的安全,校園網必須具備其安全體系的解決方案。
一、校園網的安全風險分析
目前,由于高校校園網的建設主要以教學為中心,校園網的安全問題也多種多樣,其主要的表現為以下幾個方面:
(一)集群難以集中管理。由于接入校園網計算機系統差異性較大,難以要求所有的系統實施統一的安全配置,比如接入校園網的某臺PC機后感染蠕蟲病毒,這臺電腦極有可能通過最新的安全漏洞感染其他的電腦,最終導致整個網絡無法正常使用,給校園網的正常使用帶來很大的威脅。
(二)用戶群體特殊性。作為高校的大學生,對網絡新技術充滿好奇,勇于嘗試。很多學生愿意操作一些新的網絡類的軟件,有的甚至在校園網嘗試黑客工具,通過互相攻擊去研究各種攻擊技術,這種隨意性給校園網帶來致命的威脅。
(三)網絡安全重視程度不夠。校園網的建設重視教學資源的建設和管理,通常都忽略了網絡安全,特別是在安全維護方面投入明顯不足,大部分資金都是在教學資源建設、管理系統開發等方面,造成了一定的安全隱患。
針對這種狀況需要制定基于校園網安全體系解決方案,保障教師與學生能夠安全地使用校園網資源。
二、校園網安全解決方案
(一)構建安全的防范體系。根據校園網的應用現狀情況將安全防范體系的層次劃分為物理層安全、系統層安全、網絡層安全、應用層安全和安全管理。
1.物理層安全;該層次的安全包括通信線路的安全,物理設備的安全,機房的安全等。計算機中心或機房的建設應遵照:GB50173-93《電子計算機機房設計規范》、GB2887-89《計算機站場地技術條件》的要求。需要學校計算機管理中心老師配合工程技術人員共同完成。
2.系統層安全;該層次的安全問題來自網絡內使用的操作系統的安全,如Windows XP,Win 7等系統安全升級。要求網絡中的用戶采用安全補丁更新并且選擇適合用戶本身的正版殺毒軟件,平時要定期的檢測系統有無病毒,避免感染網絡中給其他設備。
3.網絡層安全;該層次的安全問題主要體現在網絡方面的安全性,包括網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密與完整性,遠程接入的安全,域名系統的安全,路由系統的安全,入侵檢測的手段等,確保網絡正常運行。
4.應用層安全;該層次的安全問題主要由學校服務器提供服務所采用的應用軟件和數據的安全性產生,包括Web服務、電子郵件系統、BBS等。
5.管理層安全;網絡管理,是指網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作,包括配置管理、性能和記賬管理、問題管理、操作管理等。同時,針對校園網絡的實際情況,解決網絡的安全問題,必須考慮到技術難度、投入經費、維修與維護的保障等等因素,
因此,必須將各種安全技術與運行管理機制、網管人員技能水平、安全規章制度建設相結合。
(二)校園網安全解決方案的策略。針對防范體系的層次,制定相應的策略:
1.保障物理設備安全。物理設備指服務器、交換機、路由器等設備,一定要設置復雜密碼,防止黑客通過網絡輕易獲得這些設備的控制權,更改這些設備的配置,會導致整個校園網絡癱瘓。
2.設計正確的網絡拓撲。校園網絡至少要采用兩級結構:主干網和子網。校園網的主干采用成熟的千兆以太網,在校園網絡中心機房設有一個總的出口接入教育網,所有進出校園網的數據都需要通過此出口檢測過濾。網絡中心對全校進行合理VLAN劃分,這種配置結構既保證了主干網信息可靠、高速地傳輸,抑制網絡廣播風暴,又方便管理用戶。
3.利用殺毒軟件與防火墻增強網絡的安全性。安裝正版的網絡殺毒軟件,確保定期或及時升級殺毒軟件的引擎、病毒庫;在內外網之間建立了一道牢固的安全屏障即安裝硬件防火墻,專用服務器連接在防火墻的DMZ區,與內外網間進行隔離,既保障服務的正常運行,也保護內網資源不被外部非授權用戶非法訪問和破壞,加強與IDS(入侵檢測系統)的聯動,入侵檢測被認為是防火墻之后的第二道安全閘門。
4.教學資源的備份和恢復。教學資源是校園網的核心,其中學生的成績、學籍資料、教學素材等重要資源必須要進行合理的備份,以待出故障后進行有效數據恢復,通常采用雙機熱備份方法,當設備出現故障時馬上切換到備份設備,利用“熱備份”和“冷備份”兩種策略保障資源的使用。
5.完善合理的網絡管理制度。不僅利用網管軟件對使用中的設備進行實時檢測,同時要建立一套校園網絡安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防范制度等,并采取切實有效的措施,保證制度的執行。可以定期對教職工、學生開展網絡安全技術類講座,樹立正確的網絡安全防范意識。
三、結束語
總之,校園網的安全問題不僅僅是技術問題,其防范體系的安全性也不是一勞永逸的,新的安全問題不斷涌現,必須根據情況制定新的安全防范措施,不斷維護和更新校園網安全,保證校園網更安全更好地服務于高校的教學工作。
參考文獻:
第5篇:校園網絡安全管理方案范文
關鍵詞 數字時代;學校;計算機網絡;維護
中圖分類號:TP309 文獻標識碼:A 文章編號:1671-7597(2013)18-0044-01
現在的學校越來越離不開計算機網絡。首先,學校的辦公、會議、計算機實驗室等都依賴于計算機網絡;其次,學生宿舍、教室、圖書館等場所,均需要實現計算機網絡覆蓋。尤其在快速發展的移動互聯網趨勢下,移動終端將在校園內得到普及,無線網絡覆蓋已成為學校網絡建設的重點。而有線、無線網絡的全覆蓋,將帶來網絡流量的暴增,對學校網絡安全維護提出了更高的要求。
1 數字時代校園網絡發展現狀
隨著互聯網的普及以及電子教學的應用,我國大多數學校都進行了校園計算機網絡的建設。但許多學校由于資金、技術等原因,不僅沒有最大程度的利用校園計算網絡資源,更在網絡流量管理及安全等方面處于初級水平。而隨著學生對互聯網應用需求的快速增長,學校在整體網絡規劃、軟硬件配置、管理與維護等方面都需要有本質提升。
1.1 多種接入模式并存
現在的學生幾乎人手一臺電腦、智能手機,還有PAD等等,而這些設備都能夠通過有線、無線、3G等多種接入模式連入校園計算機網絡。對于計算機網絡建設剛起步的學校而言,其未來的建設重點在于:一是對有線網絡進行擴容,為宿舍、教學區等場所提供更多的端口、更寬的帶寬;二是建設無線網絡,實現如教室、圖書館等場所的無線覆蓋。教室及圖書館是學生集中上網的區域,但學校不可能為每一個學生提供一個有線端口,因此必須利用無線覆蓋。此外,智能手機等智能終端數量增加,因此學校需要加強校園良好的基站信號覆蓋。
1.2 網元種類增加
近年來,學校逐漸提升宿舍、教室、圖書館等區域的網絡提速和覆蓋范圍,以滿足學生學習和娛樂的網絡需求。一個較為完善的校園網絡包括了服務器、交換機、路由器、無線接入點、安全設備等等。在有線、無線、3G網多個網絡復合,且當多種終端接入、多種網絡業務并行的情況下時,校園網絡管理維護的對象和范圍都大大提升。
1.3 管理維護難度加大
用戶數量及數字業務的暴增,帶來了流量的幾何級數增加。校園網的應用已經不局限于辦公、實驗室,每個學生都有長時間瀏覽網頁、觀看視頻等需求,而且用戶在線時間較為集中。另外,許多學校已經實現了校園外接入校園網的功能。因此,學校計算機網絡的流量和安全管理及維護需要提升至更高的水平。
2 數字時代校園網絡維護面臨的主要難題
盡管全國各地的學校都在熱火朝天地進行校園計算機網絡的建設、擴容或升級。但從學生使用的反映來看,校園網不僅沒有很好地被利用,更是存在各種各樣的管理維護問題。
2.1 重形式、輕利用
校園計算機網絡已成為學校建設的標準配置,學校領導在響應國家號召上十分積極,不斷加強硬件設施的投資,如機房面積、計算機數量等等,但卻很少關心網絡的使用和維護。最終導致的結果是,學校計算機網絡從硬件配備上看十分先進,但整體網絡缺乏規劃、使用效率低下,缺乏有效的管理維護措施。學生很少有機會使用學校的計算機網絡資源,即使使用,也會經常遇到各種故障。
2.2 流量激增,資源分配效率有待加強
校園網絡用戶數的增加,要求更大的帶寬及更快的網絡速度。其次,學生上網的時間和區域較為集中,而且具有周期性,因此需要學校網絡管理團隊,根據學生的上網行為,進行網絡流量分析。從而對帶寬資源進行合理分配、對網絡業務進行分類分級,并特定時間段進行優化管理。
2.3 網絡安全管理挑戰提升
相對其他單位而言,高校網絡安全相對較低。學校同樣面臨各種網絡安全的挑戰,如病毒入侵、非法網站滲透等等。隨著無線和校外的網絡接入范圍擴大,網絡用戶的行為不可控的程度提高,因此要求高校加強網絡安全管理。另外,在加強網絡安全管理的同時,還必須保證網絡使用的便利性。
3 校園網絡安全及流量維護的措施
校園網絡的網絡安全及流量變化與學生的上網行為密切相關,因此,學校IT人員應當首先從用戶消費行為的分析入手,明確網絡安全及流量維護的關鍵點。進而定制解決方案、采購專業管理工具或網絡套餐,用以匹配校園網絡應用的特點。
3.1 用戶上網行為分析
學生的上網行為既有共性又有差異。首先共性體現在業務類型及使用時間,學生的上網需求主要集中在瀏覽網頁、觀看視頻、交友互動等。因此學校能夠對網絡整體流量有準確的估計,并可以通過跟蹤學生的上網行為,準確計算個體流量需求。同時,學生的使用網絡的時間主要集中在在校晚間,而地點主要集中在宿舍和圖書館。此外,不同的年紀的學生的上網流量有所差異,如研究生比本科生有更多的時間在線。因此,運維團隊必須依據學生的上網行為分析流量變化及安全風險。
3.2 定制解決方案及網絡套餐
校園網絡的使用主要集中在學期,而寒暑假則利用率非常低。因此,學校可以對學校的網絡帶寬、運維服務等套餐進行定制。并對網絡資源進行分時、分區,如針對晚間訂購更大的貸款和更好的網絡服務。而在寒暑假期間則可以以自我維護為主,從而降低校園網絡的維護成本。
3.3 提升IT隊伍素質
多種網絡疊加、多網元管理,以及用戶規模的提高、用戶行為不確定性加強,迫使校園網絡運用更加高端的管理工具及技術。而許多計算機網絡還處于起步階段的學校而言,加強IT隊伍的建設迫在眉睫。當然,學校可以將網絡運維服務進行外包。通過與設備提供商或專業服務提供商進行合作,可以提升校園計算機網絡運維的效率。尤其是當遇到故障時,專業服務機構能夠支持全天候的服務,以確保校園網絡的暢通。
參考文獻
[1]王峰等.獨立學院學生宿舍校園網絡運維淺談[J].電子制作,2013(11).
[2]王壽福.關于院校網絡安全建設的思考[J].大眾科技,2013(1).
第6篇:校園網絡安全管理方案范文
[關鍵詞]校園網絡;安全分析;防范措施
[中圖分類號]TN915.08 [文獻標識碼]A [文章編號]1672-5158(2013)06-0355-02
引言
校園網是高校教育信息化的重要基礎設施,在高校的教學、科研、管理和生活服務中起著越來越重要的作用。高等院校在不斷擴大校園建設、加強辦學條件的同時,為適應現代教育的發展和要求,也逐步開始自身校園網的建設和應用。與此對應,校園網的安全面臨著巨大的挑戰,如何管理好校園網,保障校園網安全、穩定的運行,是各院校校園網管理人員必須認真面對的問題。
1 校園網絡安全的現狀分析
1.1 采用開放的網絡環境
由于教學和科研的特點決定了校園網絡環境應該是開放的,管理也是較為寬松的。在企業網環境中可以限制Web瀏覽站點和用戶的網絡流量,甚至限制外部發起的連接不允許進入防火墻,但是在校園網環境下通常是行不通的,至少在校園網的主干不能實施過多的限制,否則一些新的應用、新的技術很難再校園網內部實施。面對這種開放的網絡環境,安全管理的難度很大,面臨的挑戰也很突出,在所有的局域網中校園網所面對的環境最為復雜。
1.2 存在操作系統或軟件漏洞
由于校內終端用戶對計算機認知能力存在差異,有些用戶不知如何為系統更新安全補丁,有些則是沒有隨時更新補丁的習慣,造成校園內大部分計算機系統都存在不同程度的安全漏洞,而目前網絡上的很多新型病毒和攻擊手段大部分都是針對操作系統漏洞攻擊并傳染的;另外校內師生在網上隨意下載的軟件中可能攜帶隱藏的木馬、后門等惡意代碼,導致系統運行緩慢,這些軟件也可能被攻擊者所利用。
1.3 擁有活躍的用戶群體
校園網用戶的主體是高校學生,這個年輕群體的上網行為相當活躍,由之帶來的網絡風險也十分嚴峻。一方面若學生瀏覽不良網站、下載經過偽裝的惡意軟件等網絡行為都可能將木馬、蠕蟲、病毒等程序帶人校園網,并且大多數學生不懂如何防范病毒和處理病毒,校園網一旦受到安全威脅,能很快地在校園網內蔓延,并且大面積出現相同的癥狀,嚴重時會造成校園網的癱瘓。另一方面學生對網絡新技術具有強烈的好奇心,為了滿足好奇心而勇于嘗試在網上學到的各種攻擊技術,對網絡設備、業務系統進行攻擊,給校園網的安全工作增加了難度。
1.4 網絡外部的入侵、攻擊等惡意破壞行為
校園網與互聯網相連,在享受方便快捷的同時,也面臨著遭遇攻擊的風險。借助網絡上泛濫的“傻瓜式”的攻擊軟件,外網非法用戶即使不具備任何計算機技術也可對校園網進行肆無忌憚的攻擊。例如通過注入漏洞檢測工具對WEB服務器進行數據庫注入式攻擊,造成學院網站主頁被篡改、數據被破壞等惡果。
1.5 校園網中的計算機系統管理比較復雜
校園網中的計算機系統的購置和管理情況非常復雜。學生宿舍中的電腦一般是學生自己花錢購買、自己維護。院系各個單位或者是統一采購,有技術人員負責維護或者是教師自助購買、沒有專人維護。在這種情況下,要求所有的端系統實施統一的安全策略(比如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統一的資產安全管理和設備安全管理,出現安全問題后通常無法分清責任。更有些計算機甚至服務器系統建設完畢之后無人管理,甚至被攻擊者攻破作為攻擊的跳板,變成攻擊實驗床也無人察覺。
1.6 安全專項資金投入少和技術人員缺乏
大多數高職院校將經費主要投入到校園網絡的規模建設上,往往對保證網絡安全的軟硬件設備不夠重視,未能架構起行之有效的網絡安全體系。
網絡安全是當今較前沿的計算機技術,需要較強的實踐能力和豐富的現場經驗。高校一般沒有設置專門的網絡安全技術人員,現有的網絡管理人員多只具備組網管理技術,卻缺乏處理網絡安全風險的技術與經驗,難以應付復雜多變的網絡安全問題。
2 校園網絡安全防護解決方案設計及對策
2.1 網絡安全設備的使用
2.1.1 防火墻
網絡防火墻是指設置在計算機網絡之間的一道隔離裝置,可以隔離兩個或者多個網絡、限制網絡互訪,以保護網絡用戶的安全。為了勝任安全防護的重任,防火墻自身具有非常強的抗攻擊能力和免疫力,網絡之間的所有網絡數據包都必須經過防火墻過濾,只有符合相應安全策略的數據包才可以通過防火墻。
基于以上特性,防火墻一般部署在內網與外網之間,在網絡邊界處充當一個檢查點,以此作為安全保障體系的第一道防線,防御黑客攻擊。從性能方面考慮,首選硬件防火墻,由于硬件防火墻的硬件和軟件都單獨進行設計,由專用網絡芯片處理數據包,同時采用專門的操作系統平臺,從而避免通用操作系統的安全性漏洞。并且其對軟硬件有特殊要求,因此擁有高吞吐量、安全與速度兼顧的優點。但是選購硬件防火墻時需要注意的是,盡管許多網絡防火墻都號稱是硬件防火墻,并且硬件連同軟件一起銷售,但并沒有自己獨立的操作系統,只是基于x86計算機架構和開放的Linux/UNIX操作系統,以及一套自己開發的網絡防火墻軟件,其從根本意義上講,仍然是軟件防火墻。
在校園網入口處部署防火墻并不能發現和防止校園網內部針對核心服務器發起的攻擊,因此若條件允許,還可以建立多級防火墻來進一步保護校內的應用服務器群和數據庫服務器群。
2.1.2 入侵防御系統
隨著攻擊者知識的日趨成熟,攻擊工具與手法的日趨復雜多樣,傳統的防火墻只能對三層或四層進行檢查,不能檢測應用層的內容,因此單純通過部署防火墻已經無法滿足校園網的安全需要。入侵防御系統(IPS)的設計基于一種全新的思想和體系架構,工作于串聯方式,采用ASIC等硬件設計技術實現網絡數據流的捕獲,檢測引擎綜合特征檢測、異常檢測、DoS/DDoS檢測、緩沖區溢出檢測等多種手段,并使用硬件加速技術進行深層數據包分析處理,能高效、準確的檢測和防御已知或未知的攻擊,并實施多種響應方式,如丟棄數據包、終止會話、修改防火墻策略、實時生成警報和日志記錄等,突破了以往IDS只能檢測不能防御入侵的局限性,提供了一個較完整的入侵防護解決方案。
傳統的防火墻旨在拒絕那些明顯可疑的網絡流量,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計可施,而絕大多數IDS系統都是被動的,不是主動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。而入侵防御系統IPS則傾向于提供主動防御,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。
IPS之所以能夠實現實時檢查和阻止入侵,在于IPS擁有數目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發現之后,IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定制的集成電路,可以深層檢查數據包的內容。如果有攻擊者利用二層至七層的漏洞發起攻擊,IPS能夠從數據流中檢查出這些攻擊并加以阻止。
IPS常常以串聯方式部署在出口處,抵御來自外網的入侵威脅。若來自校園網內部的入侵風險也較高,可以在靠近服務器群的位置處布置IPS,以增強校園網整體入侵防御的能力。
根據我們的使用經驗,IPS最好分階段、有步驟地部署實施。
第1階段:檢測,但不防御。
IPS以串聯方式工作,只進行檢測,不阻斷數據流,但它會將不符合協議的數據包丟棄,確保通過的數據包都是合乎規范的,是插入和規避類攻擊無從得手。在這個階段IPS的主要任務是適應環境,在保護校園網絡和應用的同時不會產生新的麻煩,同時也是管理員熟悉并了解IPS檢測機制的一個過程。
第2階段:檢測,并有選擇地防御。
當串聯方式被證明合適后,管理員就可以根據報警日志確定入侵檢測策略的有效性,先選擇一些最嚴重的報警,確保沒有誤報,然后對該類型的特征實施阻斷相應。在此階段,IPS檢測攻擊檢測共計并有選擇的防御,只將有明顯危害的攻擊流阻斷。
第3階段:檢測,并全面防御。
在確認了IPS的有效性并且安全策略經過不斷的調整優化之后,管理員就可以為所有入侵特征設置響應方式,從而使IPS進入全面的防御工作模式,一旦發現有害數據包就將其丟棄并阻斷隨后的數據流。
2.2 構建全方位的漏洞與病毒防護體系
2.2.1 架設微軟更新服務器
校園網內絕大多數電腦都是使用了微軟的操作系統,而目前網絡上相當比例的惡意攻擊都是在利用操作系統的設計缺陷展開的,這些缺陷或錯誤可以被不法者或電腦黑客利用,通過植入木馬、病毒等方式來攻擊或控制整個電腦,進而會威脅到整個校園網的安全。因此及時更新操作系統的漏洞補丁,已成為提高系統安全性的主要手段。
通常系統自帶的Windows Update功能都是自動連接到MicrosoftUpdate來下載更新補丁,但是在校園網環境下,會帶來以下問題:
(1)校園網客戶端數量眾多,更新操作會占用學校較多的出口帶寬資源。
(2)部分電腦存在平時不接入互聯網的情況,無法及時獲取最新的漏洞補丁。
(3)部分使用者不重視補丁程序的重要性,即使出現更新提示,也不主動更新。
基于以上原因,有必要在校內建設專用的微軟更新服務器。目前微軟提供免費的補丁分發方案WSUS(Windows Server Update Services),在Windows Server 2003平臺下需要安裝WSUS 3.0 sp2來添加該項功能,在Windows Server 2008和Windows Server 2012平臺下,已經內置了WSus組件功能。該方案支持微軟公司全部產品的更新,包含Windows、Office、SQL Server等內容。通過WSUS這個內部網絡中的Windows升級服務,所有Windows更新都集中下載到內部網的WSUS服務器中,而校園網中的客戶機通過WSUS服務器來得到更新。這在很大程度上節省了網絡資源,避免了外部網絡流量的浪費并且提高了內部網絡中計算機更新的效率。此外,還能通過制訂相應更新策略來控制客戶端的更新方式,以此達到強制更新的目的。
通常情況是在校園網環境中部署一臺WSUS服務器,當網絡規模很大且一臺WSUS服務器無法滿足需求時,可以使用多臺服務器進行補丁分發工作。整個部署分服務器端和客戶端。服務器端配置不難,但需按照校園網內安裝的微軟產品數量預留足夠的硬盤空間,此外還需做好補丁的審批策略。客戶端有兩種部署方式,一種是域環境下的組策略方式進行統一自動部署,另一種是非域環境下修改該機注冊表或組策略。
2.2.2 建立網絡防病毒體系
由于計算機病毒形式及傳播途徑的多樣化,校園網的防病毒工作再也不能是簡單的、單臺計算機病毒的檢測及清除,而是需要建立多層次的、立體的網絡病毒防護體系。確保各終端計算機安裝網絡版防病毒軟件的客戶端,并及時更新病毒庫;制定詳細的反病毒策略,定期對網絡服務器及工作站進行掃描監測;通過管理端設置和維護全校整體病毒防護策略,并對網絡病毒情況進行及時的監控與報告。
在選擇網絡防病毒解決方案時可以考慮以下一些因素:
(1)擁有多種安裝平臺的客戶端。除了能提供最常見windows平臺,還能提供Mac、Linux等平臺,能提供32位及64位平臺。只有提供各種平臺的客戶端安裝程序,才能在校園網中做到真正意義上的全方位防護。
(2)擁有便捷的部署方式。針對校園內各種不同用途的計算機,能給出多種簡便的部署方式,并且安裝好后零配置,用戶無需關心后續操作。
(3)功能強大的管理控制端。管理控制端必須擁有強大的集中式管理功能,能發現所管理客戶端存在的安全風險,能自動下發統一制定的安全策略,當發現大規模病毒爆發,能及時給出警告。針對日常的管理,擁有詳細的報表及日志功能。
(4)技術上擁有領先功能。如智能型掃描引擎能在計算機空閑時工作;針對目前主流的虛擬環境,能防止在虛擬環境中同時掃描和更新。
(5)是否還附帶了其他便于管理的功能。有些產品除了提供防病毒、反間諜軟件、桌面防火墻、網絡準入控制等功能,還提供了軟、硬件資產管理和軟件分發功能,該功能對學校來說,能極大的幫助管理員減輕相應的工作量。
3 結束語
校園網是一個復雜的綜合性系統工程,嚴格來說,絕對安全的校園網是不存在的。而完善的網絡安全策略是校園網網絡安全的前提,從計算機技術方面對網絡設備以及服務器進行合理的設置可以杜絕大多數的不安全因素,但是校園網內部的安全事件時有發生,期望通過硬件或是軟件一勞永逸的解決校園網安全及管理問題是不現實的。在目前,唯有綜合運用防火墻、殺毒軟件等多項措施,互相配合,從管理上規范校園網的使用,才能實現一個安全的校園網絡環境,使其可靠、高效地為廣大師生服務。
參考文獻
[1]劉遠生,辛一,計算機網絡安全(第2版)[J],清華大學出版社,2009
[2]馬宜興,網絡安全與病毒防范(第5版)[J],上海交通大學出版社,2011
[3]周世杰,陳偉,羅緒成,計算機系統與網絡安全技術[J],高等教育出版社,2011
第7篇:校園網絡安全管理方案范文
校園的計算機使用和網絡的應用不僅實現了教學資源的共享,同時也加強了對教學信息的快速處理,為師生之間的學術討論提供了一條便捷的渠道,使學生的學校生活質量得到明顯改善。但人們卻也往往會忽略了學校的網絡安全。
1校園網絡安全管理的意義
計算機網絡在教學和科研中的作用越突出,網絡的安全管理就越是不能忽視。
1.1關乎學校的利益
目前,大多數學校的校園網都存儲了大量的內部教學資料,其中包括學生的成績信息、檔案文件等,很多重要的工作要依賴網絡才能得以實施,一旦出現個人數據丟失或被盜的事件,會帶給學校和學生很大的損失。所以,加強學校的校園網絡安全的管理具有十分重要的意義的。
1.2關乎學校的形象
學校要想在現今計算機網絡技術不斷發展的信息化時代中脫穎而出,就必須強化對網絡安全的關注。今后校園教育管理的發展趨勢必然是一步步的走向智能化、網絡化。因此,維護校園的網絡安全對學校的整體形象及其長遠發展有著很重要的意義。
2現階段學校網絡安全的現狀及主要問題
就目前來說,校園網絡安全管理的現狀不容樂觀,存在著許多問題,由于學校校內網用戶群體比較特殊,相對來說學校網路的用戶較多,產生的數據量也就會大,直接導致校園網絡的不容易管理。而且學生通過校園網進行上網娛樂的時間大都在下課及休息期間,很容易造成網絡的堵塞,甚至造成會導致病毒的擴散。而另一方面,因為很多學生他們并沒有采取任何保護措施,無形中就導致了病毒的快速傳播,從而出現網絡性能下降,或是造成數據受到破壞、信息丟失的現象,更嚴重者會造成系統癱瘓等無法彌補的后果。關于校園網絡安全問題主要表現在以下幾個方面:
2.1病毒侵入嚴重
校園網絡為教師和學生的日常生活和學習提供了極大的便利,但與此同時也成為了病毒傳播的主要路徑。隨著科學技術的進步,黑客的技術水平也得到了不斷的提高,網絡病毒的傳播性和破壞性已經變得越來越嚴重。有些病毒可能會損壞用戶的硬盤驅動器,甚至更嚴重的話還會導致重要的數據信息丟失,對師生個人和學校都造成了無法彌補的損失。
2.2惡意破壞現象嚴重
對計算機網絡的惡意破壞主要包括對系統破壞和設備損壞兩個方面。設備主要包括校園的網絡交換機和服務器等,它們分布在校園的各個區域,相對來說對它們的管理也不是很容易。而有些人可能會利用維護人員對這些設備的管理方面的漏洞,破壞網絡設備,從而導致整個校園網絡的癱瘓。
3形成校園網絡安全隱患的原因
3.1對于網絡安全維護投入不足
對網絡安全進行維護是一項龐大的系統工程,在維護工作當中會存在人力和物力資源的難度,但由于很多學校的經費有限或者已經將大部分資金投入到購買設備上,對網絡安全的建設并不完備,因此校內網是在一個沒有有效的安全預警狀態中,時刻受到來自各方的威脅。
3.2學生網絡安全意識淡薄
很多學生由于缺乏版權意識,對目前的盜版資源的利用并不能得到遏制,也造成了盜版系統及盜版資源的肆意橫流,這無形中為網絡安全問題埋下了隱患。例如盜版Windows操作系統在安裝后可能會導致計算機系統存在大量的安全漏洞。此外,許多學生對網絡安全沒有足夠的認知,所以他們依然隨意的在互聯網上下載不明軟件,但此軟件很有可能隱藏了木馬病毒,會導致黑客系統的直接侵入。還有一些學生缺乏法律意識,用自己學到的計算機網絡系統知識對校園網絡進行攻擊,這在很大程度上影響了校園網絡的安全運行。
4加強學校網絡安全管理的措施
4.1加快建設網絡防毒體系
在校園網絡的保護系統中可分為服務器保護和保護工作站兩方面。首先是服務器的防病毒設置,防病毒系統應該做到能夠遠程安裝服務器產品,而且還可以實時監控病毒入侵情況。現在,師生利用校園網對電子郵件的應用越來越多,它又增加了一個病毒入侵的途徑。所以,需要在防止病毒入侵的體系中再增設一道關卡以確保了郵件的安全;此外就是工作站的防毒工作,工作站的病毒防護處于防病毒體系的最底層,所以,校內網的用戶要特別注意該工作站的保護工作。
4.2建立用戶賬號管理機制
在對校園網的用戶進行管理的時候,應該給每一位教師設置一個賬號,學生可以使用公共賬號。除此之外,還要加強對密碼的設置和管理。密碼的安全性是網絡安全性的基本內容。因此,在設置密碼的時候,必須保證三個月更換一次,只有這樣才能確保密碼安全。對于校園用戶來說,應該規定按時對密碼進行更新。綜上所述,學校計算機網絡安全管理對于保證學校信息安全,加快學校信息化建設具有十分重要的意義。對于網絡安全管理中存在的問題,一定要高度重視。在制定管理措施的時候,不僅要提升技術水平,更要加強制度建設,唯有如此,學校計算機網絡的安全才能得到保證,才能更好地服務于教學管理。
4.3部署防火墻
為了建立學校內外網的安全屏障,可以在Internet與校園網內網之間部署一臺防火墻,將內、外網間進行隔離,內網口連接校園網內網交換機,外網口通過路由器與Internet連接。這樣的話,通過Internet進來的公眾用戶就只能訪問一些特定的對外公開的服務,內網資源也不能在未授權的情況下被隨意地訪問或者破壞,內部也不能對外網資源進行濫用。一旦在網絡中發生安全事件,學校內部網絡也可以進行跟蹤和審計。在設置防火墻時要遵循校園網安全策略和安全目標,以網絡規劃為依據,設置正確的安全過濾規則,要確保審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總地來說,就是網絡設置要以不允許即禁止為原則。
4.4添加漏洞掃描系統
校園的網絡安全建設可以采用最先進的網絡安全漏洞掃描系統,并定期通過服務器、工作站、交換機等設備對學校的網絡安全進行檢查,與此同時通過設備監測得到的數據也能為系統管理員提供可靠的安全報告,以此作為提高網絡安全級別的重要依據。
4.5建立完善的安全管理制度
因為大多數學校缺乏嚴格的網絡安全管理制度,所以在管理上很容易出現漏洞,這就降低了學校的網絡安全級別。所以,學校應建立一個具有高度權威性的信息安全管理機構,制定完善的管理體系,同時可以增強網絡完全管理人員自身的責任感。與此同時,學校還可以定期的進行網絡安全專業知識和技能的培訓,加強學校教師和學生的網絡安全知識的普及,提高網絡安全的自覺性。最重要的是,學校需要建立應急處置預案的網絡管理部門,確保及時發現存在的網絡安全威脅,并及時安排有效的解決措施。只有學校的網絡管理部門和廣大校園網用戶齊心協力幫助校園網絡安全的維護,才能保證校園網的穩定運行,從而為學校的教學管理提供更好的服務。
4.6建立系統漏洞補丁文件庫
學校需要在網絡中心服務器上下載、安裝系統補丁軟件,及時更新最新的系統補丁,在更新后通過網絡出去,確保所有的內部計算機都是通過漏洞掃描軟件從此服務器下載補丁安裝,這樣既可以保證內部網絡系統的迅速更新,也可以避免系統漏洞受到攻擊。系統漏洞補丁文件庫也可以盡快對受到黑客攻擊的網絡進行修復,彌補漏洞,避免黑客的二次襲擊。
5結束語
網絡安全性日益影響校園網絡的操作,這個過程需要是個復雜細致的解決方案,但實際上并沒有絕對安全的校網絡,所以我們只有通過一定的方法來填充網絡安全漏洞,最大限度地減少網絡安全隱患,確保校園網的安全性。學校同時還必須加強對教師和學生的網絡安全意識、規范互聯網的使用,才能使校園網穩定運行,為師生的工作、學習生活提供更好的服務,是校園網為學校的教學和管理提供優質服務。
作者:陸明昕 單位:西安武警工程大學研究生14隊
引用:
[1]關啟云.校園網絡安全問題分析及對策探討[J].網絡安全技術與應用,2013.
[2]許美玉.校園網安全建設的研究[J].中國電子商務,2013.
第8篇:校園網絡安全管理方案范文
關鍵字 網絡 安全 設計 對策
中圖分類號:TP393 文獻標識碼:A
1校園網絡安全的意義
網絡的高速發展,網絡的安全問題日益突出,近年來,黑客攻擊、網絡病毒等屢屢曝光,國家相關部門也三令五申要求切實做好網絡安全建設和管理工作。但是在高校網絡建設的過程中,由于對技術的偏好和運營意識的不足,普遍都存在“重技術、輕安全、輕管理”的傾向,隨著網絡規模的急劇膨脹,網絡用戶的快速增長,關鍵性應用的普及和深入,校園網從早先教育、科研的試驗網的角色已經轉變成教育、科研和服務并重的帶有運營性質的網絡,校園網在學校的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題,解決網絡安全問題刻不容緩。
2校園網絡安全
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。網絡的生命在于其安全性。因此,在現有的技術條件下,如何構建相對可靠的校園網絡安全體系,就成了校園網絡管理人員的一個重要課題。
網絡的發展極大地改變了人們的生活和工作方式,Internet更是給人們帶來了無盡的便捷。我們的教育也正朝著信息化、網絡化發展,隨著“校校通”工程的深入開展,許多學校都投資建設了校園網絡并投入使用。校園網絡在我們的校園管理、日常教學等方面正扮演著越來越重要的角色。但是,在我們驚嘆于網絡的強大功能時,還應當清醒地看到,網絡世界并不是一方凈土。“網絡天空(sky)”、“高波(Worm.Agobot)”、“愛情后門(Worm.Lovgate)”及“震蕩波(Worm.Sasser)”等病毒,使人們更加深刻的認識到了網絡安全的重要性。因此,在現有的技術條件下,如何構建相對可靠的校園網絡安全體系,就成了校園網絡管理人員的一個重要課題。
3校園網絡安全策略
校園網的安全威脅既有來自校內的,也有來自校外的,只有將技術和管理都重視起來,才能切實構筑一個安全的校園網。
國內高校校園網的安全問題有其歷史原因:在以前的網絡時期,因為意識與資金方面的原因,以及對技術的偏好和運營意識的不足,普遍都存在“重技術、輕安全、輕管理”的傾向,常常只是在內部網與互聯網之間放一個防火墻就萬事大吉,有些學校甚至直接連接互聯網,這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等,這些安全隱患只要發生一次,對整個網絡都將是致命性的。
作為高等院校,如何構筑相對可靠的校園網絡安全體系問題,變得越來越突出了。一般來說,構筑校園網絡安全體系,要從兩個方面著手:一是采用先進的技術;二是不斷改進管理方法。
4校園網絡安全系統設計
學校校園網是為學校師生提供教學、管理、科研和綜合信息服務的寬帶多媒體網絡;是學校信息化教學環境的基礎設施和實現各項管理的物質基礎;是建立遠程教育體系的基本保證;是提高全民素質的重要手段;也是一項靈魂工程。其設計方案應注意以下原則:實用性校園網設計應能滿足學校目前對網絡應用的要求,充分實現學校內部管理、教學和科研的網絡化、信息化的要求,使網絡的整體性能盡快得到充分的發揮,并且便于掌握。可靠性校園網的系統及網絡結構較為復雜,同時在部分子系統中存在較高的技術性,因此必須保證系統的穩定、可靠和安全運行,具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率),提高容錯設計,支持故障檢測和恢復,可管理性強。統一性在系統的設計過程中,堅持“三統一”,即統一規劃、統一標準、統一出口。先進性在系統的開發過程中,既能滿足當前院校對網絡的應用需求,又可以在將來需要擴展的時候,能方便地擴展,保護目前的所有投資;設計的配置可以靈活變通,以便適應客戶的其他要求。
5結語
互聯網絡的飛速發展,對校園網絡中師生的工作和學習已經產生了深遠的影響,網絡在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時,我們需要清醒的認識到,網絡安全問題的日益嚴重也越來越成為網絡應用的巨大阻礙,校園網絡安全已經到了必須要統一管理和徹底解決的地步,只有很好的解決了網絡安全問題,校園網絡的應用才能健康、高速的發展。
參考文獻
[1] 徐亞鳳.解析校園網絡的安全及管理.牡丹江大學學報.2008,17(8):118-125.
[2] 鄭春.軟硬件結合的校園網安全策略.軟件導刊.2008,7(8):181-183.
第9篇:校園網絡安全管理方案范文
【關鍵詞】網絡安全;網絡攻擊;建設與規劃;校園網
1、網絡現狀
揚州Z校擁有多個互聯網出口線路,分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境,網絡核心區是思科7609的雙核心交換機組,確保了Z校校園骨干網絡的可用性與高冗余性;數據中心是由直連在核心交換機上的眾多服務器組成;終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外,還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模,校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。
2、安全威脅分析
目前,Z校網絡安全保障能力雖然初具規模,但是,在信息安全建設方面仍然面臨諸多的問題,如,網絡中缺乏網管與安管系統、對網絡中的可疑情況,沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態,風險管理全憑感覺等等,以上種種問題表明,Z校需要對網絡安全進行一次全面的規劃,以便在今后的網絡安全工作中,建立一套有序、高效和完善的網絡安全體系。
2.1安全設備現狀
Z校部署的網絡安全防護設備較少。在校區的互聯網出口處,部署了一臺山石防火墻,在WEB服務器群前面部署了一臺WEB應用防火墻。
2.2外部網絡安全威脅
互聯網出現的網絡威脅種類繁多,外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的,對內網中的各種網絡設備發起攻擊,網絡中雖然有一些基礎的防護,但是,黑客們只要找到漏洞,就會利用內網用戶作跳板進行攻擊,最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。
2.3內部網絡安全威脅
內部惡意入侵的主體是學生,還有一些網絡安全意識薄弱的教職工。Z校學生眾多,學生們可能本著好奇、試驗、炫技或者惡意破壞等目的,入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件,照成網絡堵塞甚至癱瘓。
3、安全改造需求分析
本次安全改造,以提升鏈路穩定性,提高網絡的服務能力為出發點,Z校在安全改造實施中,應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率:Z校網絡出口與CERNET、Internet互聯,選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源,提升網絡訪問速度,最大化保障校園網內部用戶的網絡使用滿意度,同時又要合理節約鏈路成本,均衡使用各互聯網出口鏈路,是網絡安全建設的首要需求。2)實現關鍵設備的冗余性:互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備,均以NAT模式或者路由模式部署,承載了整個校園網的業務處理,任何一個設備出現問題將直接導致業務不能夠連續運行,無任何備份措施,只能替換或者跳過出故障的設備,且只能以手工方式完成切換,無論從響應的及時性,還是從保障業務連續性的角度,都存在很大的延遲,為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求:本次安全改造涉及安全設備數量較多,需要對所有安全設備進行統一日志收集、查詢工作,傳統單臺操作單臺部署的方式運維效率低下,所以需要專業集中監控、配置、管理的安全設備,統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。
4、解決方案
網絡安全建設是一個長期的項目,不可能一蹴而就,一步到位,網絡安全過程建設中,在利用學校原有設備的基礎上,在資金、技術成熟的條件下,逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。
4.1短期網絡建設規劃
4.1.1短期部署規劃以安全區域的劃分為設計主線,從安全的角度分析各業務系統可能存在的安全隱患,根據應用系統的特點和安全評估是數據,劃分不同安全等級的區域[3]。通過安全區域的劃分,明確網絡邊界,形成清晰、簡潔的網絡架構,實現各業務系統之間嚴格的訪問安全互聯,有效的實現網絡之間,各業務系統之間的隔離和訪問控制。本次短期網絡建設,把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2,從圖2可以看出,出口區域,互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備,以NAT模式或者路由模式部署,無任何備份措施,為此需要再引入一臺同型號的防火墻設備,實現雙機冗余部署。同理,原城市熱點認證網關和行為管理設備需要再各補充一臺,組成雙機冗余方案。安全管理區域根據學校預算,部署幾臺安全設備。首先,部署一臺堡壘機,建立集中、主動的安全運維管控模式,降低人為安全風險;其次,部署一臺入侵檢測設備(IDS),實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量,防止在出現攻擊后無數據可查;再部署一臺漏洞掃描設備,對網絡內部的設備進行漏洞掃描,找出存在的安全漏洞,根據漏洞掃描報告與安全預警通告,制定安全加固實施方案,以保證各系統功能的正常性和堅固性;最后,部署一臺安全審計設備(SAS),實時監控網絡環境中的網絡行為、通信內容,實現對網絡信息數據的監控。服務器集群區域,除了原有的WEB防火墻外,再部署一臺入侵防護設備(IPS),攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量,保護Z校的信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機[4]。
4.2長期網絡建設規劃
網絡安全的防護是動態的、整體的,病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域,不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統,需要建立一套全方位的,從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前,網絡安全體系化建設結合重點設備保護的策略,再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程,建立一個科學的安全體系和模型,再根據安全體系和模型來分析網絡中存在的各種安全隱患,對這些安全隱患提出解決方案,最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手,建立統一的安全保障體系。組織體系著眼于人員的組織架構,包括崗位設置、人員錄用、離崗、考核等[5];技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等;管理體系側重于制度的梳理,包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎,以管理體系為保障,以技術體系為支撐[6],全局、均衡的考慮面臨的安全風險,采取不同強度的安全措施,提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點,安全體系為核心,安全指導為原則,體系建設為抓手,組織和制定安全實施策略和防范措施,在建設過程中不斷完善安全體系結構和安全防御體系,全方位、多層次滿足安全需求。
5、結語
從整個信息化安全體系來說,安全是技術與管理的一個有機整體,僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題,是從設備到人,從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題,每一個環節,都是邁向網絡安全的步驟之一。文中的研究思路、解決方案,對兄弟院校的網絡安全建設和改造有參考價值。
參考文獻:
[1]王霞.數字化校園中網絡與信息安全問題及其解決方案[J].科技信息,2012.7:183-184
[2]黃智勇.網絡安全防護系統設計與實現[D].成都:電子科技大學,2011.11:2-3
[3]徐奇.校園網的安全信息安全體系與關鍵技術研究[D].上海:上海交通大學,2009.5:1-4
[4]張旭輝.某民辦高校網絡信息安全方案的設計與實現[D].西安:西安電子科技大學,2015.10:16-17
[5]陳堅.高校校園網網絡安全問題分析及解決方案設計[D]長春:長春工業大學,2016.3:23-31
