學校網絡安全管理方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的學校網絡安全管理方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:學校網絡安全管理方案范文
關鍵詞:數字化;校園網;網絡風險;安全管理
社會要發展,人類要進步,必須依靠教育;而人類要實現真正的數字化目標,也必須依賴于教育的信息化發展。現代信息技術在教育領域的廣泛應用,促進了教育理念、教育手段和教育方式的變革。 “數字化校園建設”是時展的必然結果,是數字時代學校建設與發展的必然選擇,是學校校園文化、育人環境構建與發展的必然選擇。
一、數字化校園的建設
首先我們要了解幾個概念:數字化,是指利用計算機信息處理技術把聲、光、電、磁等信號轉換成數字信號,或把語音、文字、圖象等信息轉變為數字信息,用于傳輸與處理的過程,體現出智能化、個性化、網絡化三個方面的特征。數字化校園是以網絡為基礎,利用先進的信息化手段和工具,實現從環境(設備、教室等)、資源(圖書、課件、素材)到活動(教、學、管理、服務、娛樂)的全部數字化,從而在傳統校園的基礎上構建一個數字空間,拓展現實校園的時間和空間維度,擴展傳統校園的功能,最終實現教育過程的全面信息化。數字化校園將把學校中的管理和教學帶入一個全新的網絡信息化時代,是以數字化的方式來體現我們的工作、學習、交流與管理,是一種全新的生活、學習和管理模式。
一、高校數字化校園的基礎構架
1、校園計算機網絡平臺的建設
校園網及分布于不同物理位置的數字化設備,是開展數字化教學的重要基礎設施。必須建設一個寬帶、高速、可靠、安全的,有線和無線相結合的,遍布校園各個角落的多媒體網絡平臺,建設一批實施數字化教學的網絡教室、多媒體教室和用于自學、自主實驗的電子閱覽室、DIY實驗室等。
2、知識庫和信息庫的建設
包括課件庫、輔助資源庫、電子圖書館等,把有特色的成熟的課件、教案、教學實踐等資源集成為課件庫,把教學背景資料、史料、案例、教學參考資料集成為輔助資源庫,把圖書館建設成檢索方便、涵蓋全面的電子圖書館。這是數字化校園豐富的、賴以生存的資源基礎。
3、應用系統的建設
應用系統是教育教學的行為體現,完成教學資源的調度,為學習者創設學習情景,提供學習服務,為教師提供方便的教學環境和引導環境,為管者提供高效的管理環境。適于不同的需求,應用系統應涵蓋傳統意義上的管理信息系統、辦公自動化系統、網上教學系統等,如基于 web的公共信息系統和電子公文流轉系統、教育信息管理系統、開放資源管理系統、基于用戶的網絡和桌面管理系統、電子身認證系統等。
二、高校數字化校園建設的網絡環境
1、無線局域網絡(Wireless Local Area Networks,WLAN)是相當便利的數據傳輸系統,它利用射頻(Radio Frequency,RF)的技術,取代舊式礙手礙腳的雙絞銅線(Coaxial)所構成的局域網絡,使得無線局域網絡能利用簡單的存取架構讓用戶透過它,達到“信息隨身化,便利走天下”的理想境界。
2、3G即三代移動通信技術(3rd-generation,3G),是指支持高速數據傳輸的蜂窩移動通訊技術。3G的典型特征是能夠同時提供語音及數據的高速無線移動服務,速率一般在幾百kbps以上。
三、高校數字化校園建設的方向
1、完善數字化校園運行服務體系
為了數字化校園的穩定運行,信息主管部門應做好用戶服務、技術支持、應用管理和系統管理四個方面的工作。用戶服務指直接為最終用戶提供問題解答、操作指導、密碼修改等服務;技術支持指為學校各部門提供軟、硬件系統運行過程中的技術指導與服務;應用管理指為保證信息系統的穩定、高效運行而相應應用系統進行的安裝、配置、優化、監視等運行維護工作;系統管理指設計、安裝、配置、優化、監視網絡、服務器及數據庫等基礎軟件系統,以及電子郵件、Web主頁、FTP等基本網絡服務系統的運行維護。
2、提高網絡的安全性與可靠性
運行暢通、安全穩定、可控可管的網絡是現代高校校園網絡的目標,也是數字化校園運行的有力保障。高校應推行校園網“三全機制”,即全網認證、全網監控、全網防毒,有效監管和記錄網絡用戶的上網行為并有針對性的制定用戶管理策略;建立校園網絡應急預案,包括校園網絡安全應急預案、重要服務器和核心設備故障應急預案、數據中心異常應急預案等,以應對數字化校園運行過程中出現的異常狀況;做好數據備份工作,包括異地備份、雙機備份、多介質備份等,以保證數據完整性和安全性;建立校園網絡安全日志管理系統。
3、云計算在校園網中的作用
云計算應用于校園網需要其提供IT基礎架構,而不需購買昂貴的硬件設備。可以在信息傳輸的基礎設施的建設上實現覆蓋全面化、性能最優化、規模最大化、費用最低化,同時還能滿足教育網絡所需的實用性、穩定性、安全技術先進性等多方面需求。
二、高校數字化校園的安全管理
高校校園網作為數字化校園的重要基礎,擔當著學校教學、科研、管理和對外交流等重要任務,為學校的教育、教學、生活提供了極大的方便,如何使校園網免受黑客的入侵、病毒的侵襲和其他不良意圖的攻擊等風險,已經成為高校需要解決的重大問題,安全管理已是高校數字化校園建設后期的重要任務。
安全管理是保證網絡安全的基礎,安全技術是配合安全管理的輔助措施。學校必須建立一套校園網絡安全管理模式,制定有詳細的安全管理制度,確定安全管理等級和安全管理范圍;制訂有關網絡操作使用規章制度;制定網絡系統的維護制度和應急措施等;構建安全管理平臺,組成安全管理子網,安裝集中統一的安全管理軟件,如病毒軟件管理系統、網絡設備管理系統以及網絡安全設備統管理軟件,實現校園網的安全管理。
(一)、物理安全對策
物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤及各種計算機犯罪行為導致的破壞。它主要包括兩個方面:
1、環境安全。對系統所在環境的安全保護,如區域保護和災難保護;
2、設備安全。設備安全主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
(二)、邏輯安全對策
盡量采用安全性較高的網絡操作系統并進行必要的安全配置;關閉一些不常用卻存在安全隱患的應用程序;對一些保存有用戶信息及其口令的關鍵文件使用權限進行嚴格限制;加強口令字的使用,并及時給系統打補丁,系統內部的相互調用不對外公開。
在應用系統安全上,應用服務器盡量不要開放一些不常用的協議及協議端口號。如文件服務、電子郵件服務器等應用系統,可以關閉服務器上如TELNET、RLOGIN等服務;加強登錄身份認證,確保用戶使用的合法性,嚴格限制登錄者的操作權限;充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息做記錄,為事后審查提供依據。
三、安全管理對策
1、領導高度重視
對網絡安全而言,領導重視更重要。網絡安全管理是一個動態的系統工程,僅靠技術老師的工作職能無法完成。
2、隨需求確定安全管理
隨著網絡拓撲結構、網絡應用以及網絡安全技術的不斷發展,安全策略的制訂和實施是一個動態的延續過程。應該遵照國家和學校有關信息安全的技術標準和管理規范,針對學校專項應用,對數據管理和系統流程的各個環節進行安全評估,確定使用的安全技術,設定安全應用等級,明確人員職責,制定安全分步實施方案,達到安全和應用的科學平衡。
3、建立嚴格制度的文檔
網絡建設方案;機房管理制度;各類人員職責分工;安全保密規定;網絡安全方案;安全策略文檔;口令管理制度;系統操作規程;應急響應方案;用戶授權管理;安全防護記錄;定期對系統運行、用戶操作等進行安全評估,提交網絡安全報告以及全面建立計算機網絡各類文檔,堵塞安全管理漏洞。
三、結束語
高校數字化校園是一個動態發展過程,數字化校園的建設也是一個不斷發展的過程,需要我們不停的努力探索;校園網絡安全及技術防范任重而道遠,網絡安全防范體系的建立不可能一勞永逸。對網絡安全的防范策略也要不斷改進,保證網絡安全防范體系的良性發展,確保高校數字化校園朝著健康、安全、高速的方向發展。
參考文獻
[1]萬里鵬等.中國高校數字化校園建設與思考[J].情報科學.
第2篇:學校網絡安全管理方案范文
【關鍵詞】中職 網絡安全 解決方案
一、學校計算機網絡安全現狀及隱患
在科技迅猛發展的今天,計算機網絡已成為學校必不可少的教學和管理設施,現今大多數學校的網絡組成可歸納為以下幾部分:
(1)中心骨干網絡:以學校的中心機房為中心搭建起來的網絡。該網絡連接到學校各個部門和計算機實訓室。
(2)學校特殊職能部門網絡;以學校的財務部門的財務系統,招生就業處的對外招生系統,校企合作的對外業務系統等為主。
(3)學校辦公OA網絡:通過對學校不同位置的電腦進行劃分,通過路由網關來實現對不同位置的電腦的相連來達到網絡辦公的目的。
(4)學校與廣域網的互聯
由于學校各辦公人員分布較散,結構復雜,這給學校計算機網絡的架設帶來了一定的難度。也使得其存在了一定的安全隱患,主要體現在以下幾方面:
(1)由于學校各部門需要相互訪問合作辦公,而網絡訪問控制措施少,這給一些特殊職能部門(如財務部門等)的一些特殊信息帶來了安全隱患,對于一些稍有網絡攻擊經驗的人員來說就能夠很容易通過網絡連接到學校內部網絡的機器,對一些保密的信息進行竊取和破壞,從而給學校帶來重大的損失。
(2)操作系統和應用平臺存在漏洞。目前許多學校的辦公電腦使用的操作系統更新補丁不及時存在許多可供黑客攻擊的漏洞,這就給網絡中的一些存在惡意的人提供了攻擊的機會,從而造成個人重要數據,乃至金錢的丟失。
(3)一些網絡設備的管理賬號和登錄口令的默認。大多數學校的網絡設備和服務器等的登錄驗證采用的是出廠的默認設置,這給一些有經驗的人很容易就猜到,從而造成連接學校網絡設備進行攻擊的案例,造成學校的損失。
(4)缺少相應的網絡安全檢測設備。許多學校由于不重視或者資金不到位的情況,缺少對網絡安全檢測設備的配置,從而不能夠實時檢測校園網絡安全情況,當有人對學校網絡進行攻擊時,無法在第一時間發現和阻止。當發現的時候學校的損失或許已經慘不忍睹了。
(5)沒有完善的病毒預防措施。網絡的開放給人們帶來了許多方便,但也給許多不法分子提供了可乘之機。學校人員復雜,大多數人員缺乏計算機專業相關的安全知識,對于互聯網的大量信息和資源的安全與否缺少正確的認識和判斷,從而導致中病毒或木馬,造成個人信息損壞或丟失,甚至財產的損失。
二、如何實施有效的校園網絡安全措施
網絡安全建設的一般原則
在學校,我們所要達到的網絡安全建設的目的主要涉及保密性、完整性、可用性、可控性等。并遵循綜合性、整體性、一致性、易操作性、適應性、靈活性、最小適用等原則。
為了營造一個安全的校園網絡環境,我們可以采取下列措施:
(1)對網絡設備進行有效的訪問控制設置。因為在我們沒有對網絡設備進行任何的設置時,只要在網絡連通的情況下,校園內的任何一臺機器,甚至校園外的任意一臺連入互聯網的機器都可以通過網絡輕易連入學校內的任意一臺其他電腦甚至是服務器,這就給一些需要保護的重要數據帶來了嚴重的安全隱患。因此,我們必須在學校內部網絡和外部網絡的接口處,學校內部各部門之間的網絡設備接口處做相應的網絡訪問控制,這樣就能很好地保護學校一些特殊職能部門的數據安全,并且不影響全校的網絡辦公狀態。
(2)配備網絡監測設備。訪問控制雖然可以很好有效地控制校園網絡的安全,卻無法完全防范來自于網絡的所有攻擊,對于網絡上一些專業性很強的黑客而言,單單的訪問控制設置是不夠的,這就需要我們通過安裝相應的網絡監測設備來對全校的網絡進行實時的監測,利用防火墻等技術來濾掉大部分來自于網絡的攻擊。并成立相應的專業管理小組對網絡進行實時的監測和管理,從而達到及時發現問題,及時解決問題。
(3)對全校的辦公電腦做好補丁更新管理工作。相信很多人都還記得曾經盛行一時的沖擊波、熊貓燒香等病毒。這些病毒就是利用了操作系統的一些漏洞,補丁更新不及時來進行攻擊的,其危害之大超出了我們的想象。所以要想很好地預防此類情況的發生就需要我們對我們的辦公電腦做好維護,實時關注并安裝微軟的一些系統更新補丁,來減少我們系統上存在的一些漏洞,從而降低系統感染病毒和被攻擊的可能性。
(4)配備相應的殺毒軟件服務器。網絡是好東西,在充分享受網絡給我們帶來的便捷和資源時也要小心網絡上的一些病毒和陷阱。加上校園內辦公電腦的使用往往不固定,來來往往的移動存儲給主機帶來了一定的安全隱患,所以給主機安裝相應的殺毒軟件是十分有必要的。因此通過給校園網絡架設殺毒軟件服務器,能夠使得學校所有的辦公電腦通過殺毒軟件服務器及時更新本機殺毒軟件信息,這樣就可以很有效的控制了電腦遭受病毒危害的可能性了。
(5)對重要數據和復雜的網絡安全設置做好備份。每個學校都應該對本校的重要數據以及網絡設備的一些復雜的設置做好相應的備份,當學校網絡遭受攻擊時可以在第一時間最快地恢復網絡到正常狀態,以減少其帶來的損失和不便。
第3篇:學校網絡安全管理方案范文
關鍵詞: 校園網絡;網絡安全;防護對策
當前,計算機網絡技術飛速發展,各個學校也陸續建立了自己的校園網絡,它從根本上改變了傳統的教學模式,為教學與管理提供了更為豐富的資源和更廣闊的空間,是現代教育進行普及與創新的有力推動工具。但是,另外一方面,由于網絡本身存在著較大的復雜性,雖然具有較好的硬件和軟件資源,但是,管理跟不上,就會導致軟硬件的作用無法完全發揮出來,從而造成校園網絡安全事故頻發。所謂網絡安全,指的就是網絡系統的硬件、軟件以及系統中的數據不受偶然原因或者惡意攻擊而遭到破壞、更改、泄露,系統能連續、可靠、正常地運行,網絡服務不中斷。那么,鑒于我國各個學校的校園網絡建設起步較晚,技術相對來說還不夠成熟,我們必須盡快采取一定的應對措施來做好校園網絡的安全防護。
1 校園網絡建設現狀及其面臨安全隱患分析
校園網絡的主要任務就是為了滿足學校師生的教學、科研和綜合信息服務,這是互聯網時代的必然發展趨勢和要求,各個學校的教學、管理、科研以及對外信息交流等多方面都離不開校園網的正常運行。但是,由于互聯網本身具有的特點,使得校園網絡很容易受到不同程度的騷擾和破壞,從而引起了較為嚴重的校園網絡安全問題。目前來看,我國校園網絡運行中的安全問題較為突出的問題就是其穩定性較差。那么,這些安全問題是如何產生的呢?一般來說,校園網絡是建立在互聯網基礎之上的,因此,校園網絡安全隱患產生的原因往往根源就在于互聯網本身的安全問題和缺陷。一般來說,互聯網是一個具有開放性的網絡,其自身具有脆弱性、攻擊的普遍性、管理的困難性等缺陷。這是互聯網技術與管理多方面因素綜合造成的。而校園網絡雖然是在一個較小的范圍內使用,但是,其采用的技術相對比較簡單,防范危險的安全措施較少,其特點就是速度快、規模大、計算機系統管理比較復雜、用戶群體活躍、開放的網絡環境、有限的投入、盜版資源泛濫等,從而使得網絡病毒傳播變得非常容易。具體來說,當前校園網絡的安全隱患主要有如下幾個方面:
1)網絡硬件系統遭遇安全問題。一般來說,硬件方面遭遇的安全問題主要包含了物理安全和設備安全。從物理的角度來說,校園網絡是非常脆弱的,這是因為校園網絡布局很廣,個人或者部門都可以使用,導致了一些設備無法時時刻刻都處于有效監控當中。此外,很多學校對于校園網絡的建設經費投入不夠充足,更多的投入在網絡設備的建設方面,忽視相關的網絡安全硬件和軟件投入,從而使得整個校園網絡基本處于一種開放的狀態,幾乎沒有任何有效的安全預警機制和防范措施,這就使得網絡傳輸過程中容易遭到安全漏洞等方面的威脅,有時是設備保護不完善造成的,也有時是管理人員誤操作引發的安全隱患;
2)校園網絡遭遇的內外部攻擊增多。校園網絡的使用者主要是教師與學生,其中學生是一群特殊的使用群體,他們往往對校園網絡有著強烈的好奇心,在使用的過程中經常會顯擺下自己的網絡黑客技術等,來攻擊下操作系統中的漏洞和應用模式等,他們還使用越來越復雜的攻擊手段,這是校園網絡遭遇的最大內部攻擊來源。從外部來說,校園網絡容易遭遇的攻擊主要來自于Internet的病毒攻擊和黑客攻擊。這是因為校園網絡一般是通過CERNET或CHINANET與Internet相連,這就使得校園網絡在分享高效快捷的同時,也存在著潛在的網絡病毒感染和騷擾,它會影響到計算機系統的正常運行速度,甚至嚴重的話還會造成計算機網絡系統的癱瘓。此外,計算機網絡黑客攻擊也是校園網絡安全的最大隱患之一,這是因為校園網絡不夠成熟,管理也松散,這就使得校園網絡易遭遇致命的攻擊;
3)安全意識薄弱,管理工作不夠到位。當前很多學校的校園網絡操作系統為Windows NT,Windows 2003 Server,UNIX,Linux等,而這些系統又或多或少的存在著安全漏洞,如果不能及時更新和彌補各種安全漏洞,就會造成計算機操作系統的感染,嚴重的時候還會導致計算機系統癱瘓。還有些軟件也有安全漏洞,主要是由于老師、學生從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,從而容易遭到攻擊者入侵或者利用。還有些學校的校園網絡管理存在著不足,主要是管理較為混亂,缺乏有效的網絡監控和日志,無法準確辨別上網用戶的真實身份,這也使得校園網絡容易遭遇安全威脅。此外,校園網絡的安全防護意識還不夠,缺乏完善的網絡安全管理制度,從而無法獲得管理的統一標準而使得網絡安全問題在校園里泛濫。
2 校園網絡安全防護對策分析
校園網絡的安全防護系統中,主要的安全特性為:基于IC卡的本地系統登錄控制,基于安全存儲介質的遠程登錄系統控制,進程權限控制,系統完整性保護,核心空間加密模塊,用戶空間的通用加密接口。我們要恰當的應用這些安全防護特性,采取一定的應對措施來積極做好校園網絡的安全防護工作。具體如下:
1)校園網絡要做好管理與技術方面的防護措施。從管理的角度來說,校園網絡應該首先完善相關的安全管理,盡可能的為校園網絡提供良好的外部環境,確保計算機以及網絡的硬件設備安全,并制定相應的應急方案,一旦發生意外情況可以及時應對。學校還應該開展校園網絡安全教育,這主要是針對校園內部的用戶和學生開展的,因為他們容易造成難以解決的校園網絡內部攻擊問題。我們還要制定相關的設備配備方案和安全管理政策,使得校園網絡安全防護管理做到有章可循、有據可查。在技術方面的防護措施來看,校園網絡應該安裝防火墻和防病毒軟件,過濾流進流出的數據,防止來自外部的攻擊,在最大限度上保護網絡的安全性。解決網絡安全漏洞的問題,比如使用360安全衛士。還可以進行相關數據的備份和恢復,從而保證校園網絡的暢通、安全以及穩定。
2)校園網絡要做好設備安全管理,這就需要校園網絡在規劃設計之初,就要充分考慮到網絡設備的安全問題,尤其將一些重要的網絡設備,比如說服務器、主干交換機、路由器等盡量實行集中式管理。還要從安全角度考慮選用具有較高的可用性、可靠性、可擴展性的校園網設備,弄清楚校園網絡安全隱患中的漏洞所在,這就不僅需要依靠網絡管理員的技術和經驗來完成,更要依靠網絡安全漏洞、評估風險并提出修改建議的網絡安全掃描工具,從整體上提高網絡安全防護水平。此外,校園網絡還應該做好相關的軟件防范工作,比如說使用正版操作系統,及時打補丁和系統升級,購買專殺病毒的工具軟件,應用好信息監控過濾與防火墻技術,應用好虛擬局域網(VLAN)技術,做好入侵檢測系統第二道安全閘門,還要根據相關部門的要求,配備專門的安全管理人員,建立一套校園網絡安全管理模式,制定詳細的安全管理制度,有效的控制和減少內部網絡的隱患。
3)校園網絡要做好安全防護措施,還應該加強校園網正確使用的技能培訓,加強安全意識培訓,加強安全知識培訓,加強網絡知識培訓,從而加強人員的網絡安全培訓。還可以設置防火墻來加強兩個或多個網絡間的邊界防衛能力,封存所有空閑的IP地址,可以有效防止IP地址引起的網絡中斷和移動計算機隨意上內部校園網絡造成病毒傳播和數據泄密問題。我們還可以應用CERNET安全管理來實現對于校園網絡主干網的安全可靠運行提供幫助,比如說加強校園網安全管理政策建設,加強安全組織建設。隨著下一代互聯網示范工程CNGI項目的建設,現在校園網絡的安全防護還可以采用以IPv6技術為核心的下一代互聯網,使得許多校園網絡的安全問題在維護等階段可以得到有效解決。
參考文獻:
第4篇:學校網絡安全管理方案范文
關鍵詞:全局安全;校園網;安全體系
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校園網作為高校信息化的重要基礎,承擔著學校教學、科研、管理和社會服務等重要角色,給教師和學生的工作、學習、生活帶來了很多便利。但當今校園網面臨著嚴峻的威脅網絡安全問題,目前面對威脅,應對問題的主要技術有身份認證技術、入侵檢測技術、防火墻技術、防病毒技術等。這些技術都只是針對局部威脅的安全措施,無法保障校園網的整體安全。因此,新的校園網安全思路,注重從“局部防御”到“整體防范”的轉變,將安全理念融合到網絡基礎架構中,依靠多種安全組件聯動,實現整體網絡的安全,即全局安全解決方案。
1 農職院網絡安全現狀
廣西農業職業技術學院校園網始建于2002年,通過100M鏈路CERNET、30M電信鏈路接入Internet,己形成覆蓋教學、科研、辦公、宿舍等區域的所有建筑物,“千兆主干、百兆到桌面”的網絡帶寬格局。計算機網絡自身的開放性、互聯性和共享性,使之不可避免地會受到病毒、黑客、木馬等安全威脅和攻擊,校園網數據丟失、系統被篡改、網絡癱瘓的情形常有發生。其原因主要如下:
① 缺乏有效的身份管理系統
校園網缺少用戶身份認證機制,外來用戶、非法用戶隨意接入;缺少可控的身份集中認證系統,對用戶進行管理難度大;用戶賬號存在被盜用的風險,安全審計無法有效進行,在實際發生問題后不能夠迅速定位及取證分析。
② 無法保證用戶終端合法性
Windows系列系統存在致命漏洞,系統補丁沒有及時更新;沒有按要求安裝殺毒軟件,安裝后從來不升級或者從來不主動查殺;隨意下載違禁軟件,不規范使用網絡;上述問題造成了病毒和攻擊在校園網內泛濫,嚴重影響正常應用。
③ 網絡安全無法有效控制
校園網內部分用戶出于對網絡的好奇,經常會用學習到的各種方法,非法攻擊校園網絡核心設備及應用系統,嚴重影響校園網絡的安全穩定運行和校園管理秩序。目前互聯網上相關的黑客工具種類繁多、功能豐富、設置簡單、使用方便、破壞力大,給這類學生提供了攻擊的便利。
2 全局安全校園網絡的設計
校園網全局安全理念,由銳捷網絡公司于2005年提出,即GSN( Global Security Network),由安全交換機、安全管理平臺、安全計費管理系統、網絡入侵檢測系統、安全修復系統等多重網絡元素聯合組成,能實現同一網絡環境下的全局聯動,使每個設備都發揮安全防護作用的新型網絡安全模式。具體構架如圖1所示,其由三個層面、五個部分組成。
hx01.tif
圖1 全局安全網絡
校園網全局安全方案通過將校園網用戶入網強制安全、統一安全策略管理、動態網絡帶寬分配、嵌入式安全機制集成起來,從而對網絡安全威脅的自動防御,網絡受損系統的自動修復,同時可針對網絡環境的變化和新的網絡行為自動學習,達到對未知網絡安全事件防范目的。其工作原理如下:
1) 用戶使用網絡之前,首先由接入的交換機+SAM對其進行身份認證。
2) SAM檢查用戶身份,批準或拒絕用戶的接入請求。
3) SAM學習用戶的身份、主機環境等信息,并將制定好的策略發送多SU客戶端。
4) SU對用戶主機進行健康性檢查,并將檢查結果反饋回SMP服務器。
5) IDS對網絡安全事件進行檢測收集,將安全事件報告給SEP(安全事件解析器),并由SEP反饋至SMP。
6) SMP對IDS反饋的安全事件進行統一管理,將安全事件關聯至用戶。
7) SMP對每個用戶的健康性檢測結果和安全事件進行處理,生成相應的策略,并下發至交換機執行。
3 全局安全網絡在我院的部署
根據校園網全局安全設計方案,可把服務器部署在校園網的服務器群中,而IDS的傳感器則可根據需要部署在核心或者匯聚層上,越靠近邊緣則效果越好,而安全智能交換機則要部署在接入層,保障客戶的安全。構建好的廣西農職院部署的典型拓撲如圖2所示。
hx02.tif
圖2 典型的全局安全校園網部署拓撲圖
3.1 身份認證系統的部署
作為全局安全的身份基礎平臺,SAM系統實現了廣西農業職業技術學院全體學生宿舍、教師宿舍、辦公和公共機房身份認證。該系統基于802.lx技術,實現了對用戶的身份和IP、MAC、交換機端口、交換機IP等信息嚴格綁定。 SAM系統提供的完善的計費運營功能,為校園網運營提供了足夠的數據支撐。通過該系統的部署,有效的防止了IP地址盜用,極大的減輕了校園網管理的運營負擔,并為全局網絡安全提供了基礎身份平臺。如圖3。
其次,SAM提供了完善的自助服務系統,包括快捷注冊,個人信息、密碼進行修改,上網明細、交費記錄、余額查詢,在線充值、注銷用戶等功能。不但方便了終端用戶繳費,同時也極大地減輕管理者的管理和收費工作負擔,有效緩解學生繳費和學校收費的矛盾。而入網身份驗證的多元素綁定,也有效的杜絕了IP地址沖突現象的發生,用戶漫游功能,實現了用戶在不同地區認證上網的需求。
hx03.tif
圖3 身份認證
3.2 安全管理平臺的部署
第5篇:學校網絡安全管理方案范文
關鍵詞:防火墻;校園網;病毒;服務器;路由器
近年來互聯網技術蓬勃發展,人們網絡使用的頻率以及依賴度不斷提高,校園網絡在學校教學、管理等方面的作用日益凸顯出來,同時校園網網絡安全問題也越來越嚴重,各種計算機病毒、黑客以及非法入侵事件不斷出現。防火墻技術作為網絡安全的一項重要技術,在校園網絡安全當中有著重要的應用價值。
1防火墻技術概述
1.1防火墻的功能
防火墻可以說是校園網絡安全重要的保障,通過監測并控制網絡之間交換的數據包以及訪問行為,對網絡實行嚴格的安全管理,所以防火墻需要具備基本的功能,例如控制管理網絡訪問行為,檢測并告警網絡攻擊行為,對于不安全的服務以及信息進行限制與攔截,隱蔽校園網絡并對進出數據加以監控,記錄防火墻信息以及活動等。因為防火墻的作用非常重要,所以防火墻一方面需要具備這些常規功能,另一方面也應當具備附加功能,比如入網身份的驗證和授權,病毒的免疫功能、虛擬專用網和網絡地址轉換等等。
1.2防火墻的優缺點
在防火墻的優點方面,防火墻可以保護校園網絡安全,設置安全策略保證符合要求的那些請求才可以通過防火墻,從而有效避免非法入侵行為,并且防火墻作為校園內部網絡同外部網絡進出的控制點,可以收集并記錄網絡使用信息以及錯誤信息,確保校園網絡同外部網絡聯系的安全性。防火墻可以間隔網絡當中的網段,避免因為某個網段安全問題而影響整個校園網絡的使用,作為檢查站可以檢查那些試圖侵入校園網絡的行為,從而避免可疑訪問進入。
在防火墻的缺點方面,防火墻雖然可以保護校園網絡安全,不過作用并非是絕對的,也有其自身的缺點。防火墻可以保護校園網絡當中系統用戶發送的安全信息,不過要是用戶直接復制信息,這些復制的信息就可以繞過防火墻,從而非法帶走數據信息,對侵入的信息而言,防火墻同樣無法加以控制,并且對校園網絡內部用戶竊取數據以及信息,破壞校園網絡軟件硬件的行為,防火墻都無法發揮作用。要是信息繞過防火墻傳輸,同樣無法有效攔截入侵者。除此之外,防火墻充分發揮作用的需要良好的設計方案,設計方案合理才可以防備已知的安全威脅,而沒有防御新出現的安全威脅的作用。
2校園網絡應用防火墻技術的必要性
(1)計算機病毒問題。計算機病毒可以說是威脅校園網絡安全一個最為常見的影響因素,計算機病毒傳播的途徑多種多樣,U盤、網絡下載以及郵件等都是常見的傳播方式。同時隨著病毒產業鏈的不斷發展壯大,解密以及道好問題帶來用戶信息以及隱私泄露、網絡阻塞、文件破壞以及硬件損害等現象層出不窮,甚至有可能導致校園網絡系統癱瘓。由于校園網絡的用戶數量比較多,網絡安全管理方面存在欠缺,容易給計算機病毒傳輸提供條件,尤其是校園網絡使用涉及到各種資源的共享,從而容易使得計算機病毒造成教學科研成果的泄露。
(2)黑客攻擊的問題。因為校園網絡需要同互聯網連接,從而給師生查找資料提供便利,不過也因此容易受到黑客攻擊。當代黑客攻擊的技術越來越高明,破壞程度同樣越來越嚴重,黑客攻擊校園網絡,有著時間長、范圍廣、損失大以及處理難的特點,校園網絡當中的DNS服務器、WEB服務器以及郵件服務器是容易遭到黑客攻擊的地方,黑客很多時候使用專業工具攻擊校園挽留過,導致校園網絡服務器無法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網絡,同時篡改校園網絡的主頁、破壞各種數據從而擾亂教學秩序。
(3)內部用戶的問題。現在學生對于網絡了解程度比較深,這就導致部分學生會在好奇心趨勢下,攻擊校園網絡系統,從而給校園網絡的正常運行帶來不利影響,提高了校園網絡管理的難度。統計顯示內部用戶造成的校園網絡攻擊占到30%左右,大部分情況由學生好奇心而引起,同時學校對于學生的管理以及教育不夠重視,縱容他們破壞校園網絡安全的種種行為。
3防火墻技術在校園網絡安全中的應用
3.1選擇合適的防火墻產品
最簡單的防火墻是在校園網絡的內部網以及外部網間加裝應用網關或者是過濾路由器。為更好實現校園網絡的安全,很多時候需要綜合使用不同的防火墻技術從而組合防火墻系統。這就需要明確設置防火墻設置的方案,然后選擇合適的防火墻產品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設備,并且集成生產廠商防火墻軟件,功能上通過內置安全軟件,并且使用強化甚至專屬的操作系統,有著管理方便以及更換容易的特點,并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關系,可以根據校園網絡的具體情況來加以選擇。
3.2使用服務器
服務器指的是連接校園網絡局域網以及Internet的網關,這一網關運行服務軟件,可以實現不同網絡之間的互相通信。服務器可以在用戶以及服務器間實現協同工作,所以提供應用級的網關。客戶端往服務器發送請求,請求到達服務器,然后服務器在接收連接請求之后,進行身份認證以及訪問控制,要是客戶端確認服務器身份認證以及訪問控制,那么就代替客戶端發送請求。服務器在響應之后,服務器則將數據反饋到客戶端。
3.3配置路由器防火墻
防火墻技術在校園網絡安全當中的應用一方面除了使用服務器,另一方面就是通過路由器來接入到Internet。路由器作為連接多個網絡的設備,可以在不同網絡間實現數據信息交換。現在路由器的功能日益增多,其中一個重要功能就是具備安全功能,集成防火墻以及VPN(虛擬專有網絡)等方面的功能。通常情況下,安全路由器在接入Internet的時候采用防火墻技術,基于源以及目標IP地址和端口過濾環節的防火墻技術,并且通過防火墻技術,能夠讓內部局域網避免受到外網的攻擊,從而發揮安全防護作用。
3.4防火墻入侵檢測
第6篇:學校網絡安全管理方案范文
【關鍵詞】網絡安全;網絡管理
引言
信息化時代,高校走在前列,各個高校都提出了數字化校園的口號,這些高校也加大了網絡基礎設施方面的投入。建設校園網必然會有各種應用系統應運而生,這些系統服務于高校的教學、科研和管理。同樣,網絡也是高校對外交流的重要窗口和名片。但是,網絡也是一把雙刃劍,在給高校提供便捷的同時,也受到來自各方面的攻擊和挑戰。保證校園網安全有序運行,就成為了高校面臨的一個新問題。
1高校網絡發展模式
高校網絡是教育網和運營商網絡多網結合的特殊局域網,不同于企業網絡,更重要的是它是非盈利性的網站,它有自己的特點。
1.1網絡設備在布局上的差異
校園內教學樓,實驗樓,圖書館等各個樓宇都對網絡有一定的依賴性,但是依賴程度又不一樣,這就要求用不同的設備將網絡接入這些樓宇,然后匯聚到主核心,也正是這種差異性帶來的網絡故障使得問題錯綜復雜。
1.2網絡應用系統眾多
校園網在某種程度上是一個大型局域網,它提供了各種應用系統服務于校園師生。這些應用系統的管理員和使用者的使用習慣都會對網絡安全產生一定的安全隱患。
1.3高校資源校內共享權限
教育網資源在校內是免費共享的,這就使得校園網有一定的訪問權限,例如圖書資源只在校園內共享;同時,校內的某些重要科研信息又是保密的,要求相關人員提高網絡安全新人,警惕非法侵入或訪問。
2高校網絡安全現狀分析及安全隱患
高校網絡結合教育網和運營商網絡,有足夠的帶寬高,各式各樣的信息都能從網上快速搜索。隨著社會的發展用戶對網絡依賴感增加,個人和高校的各種信息都暴露在網上,于是這些信息就會面臨網絡內外各種攻擊的風險,同時有部分專業用戶,通過技術手段了解到網絡的整體架構后,會不斷給網絡安全帶來挑戰。綜合分析內外因素,具體可以概括為以下幾種風險:
2.1校內用戶網絡安全意識薄弱
大多用戶包括老師和學生異與具有較高攻擊防范意識的用戶,他們普遍缺乏網絡安全意識,有些時候會被攻擊,甚至被動地成為網絡黑客,使得校園網面臨來自內部的攻擊風險。
2.2病毒對校園網影響大
高校網絡要接受眾多在線用戶的考驗,這考驗既包括對校園網處理能力的要求,更包括來自網絡的攻擊。如果終端被攻擊并且沒有積極采取防御措施的話,很容易使病毒在局域網內擴散,進而影響整個校園網的正常工作,影響網內其他用戶的正常使用。
2.3大量的外部網絡攻擊
教育網有很多免費資源,訪問量也很高,因此校園網的這些網絡資源就成為被攻擊的重點目標。同樣他們也采取各種手段破解一些重點網絡設備,使得校園網每天都在接受考驗。
3解決高校網絡安全隱患的對策
3.1制定符合實際情況的操作章程
網絡安全涉及面很寬泛,并且每所高校基礎建設以及網絡結構都不一樣,但總體的指導思路大同小異,這就要求相關管理人員根據實際情況,建立符合實際情況的網絡安全管理制度,制訂操作性強的用戶上網規范,明確上網用戶的責任和義務,提高用戶的安全意識。
3.2對網絡安全管理系統重點關注
在校園網絡中,硬件投入和軟件維護同樣重要,大部分學校將精力投入到網絡設備的基礎設施建設上,卻忽視了將部分精力投入到網絡安全管理系統方面,隱患可想而知。在日益錯綜復雜的網絡形勢下,不僅要求技術人員有過硬的技術和足夠的經驗,還必須建立整套安全管理系統,及時有效排除安全隱患。
3.3定期培訓,及時更新病毒庫
網絡技術日新月異,相關人員需及時關注網絡技術的新變化和新進展,高校要提供機會讓相關人員走出去進修學習,了解兄弟院校以及技術公司的新思路,提高業務人員的綜合能力。另外,應及時更新病毒庫,讓工作事半功倍。
4總結
本文從多方面描述了網絡安全的意義,并根據高校現狀提出相應的解決方案。高校信息化和數字化校園在某種程度上也代表著高校邁入新時代的標志[3],隨著越來越多的高校領導意識到網絡的重要性,網絡安全問題就上升到學校的形象層面,信息時代,資源是共享的,但同時也是競爭的,在網絡安全方面高校要根據自身的狀況要建立和完善相應符合校情的網絡安全管理的規范和章程。作為專業技術人員,更應該增強主人翁意識,強化學習新技術的能力,找出解決新問題的方法,改善網絡環境,減少網絡風險,確保校園網絡正常運行。
參考文獻
[1]吳功宜,吳英.計算機網絡應用技術教程(第3版)[M].北京:清華大學出版社,2009:17~18.
第7篇:學校網絡安全管理方案范文
關鍵詞:校園網絡,安全隱患,防范對策
隨著全球性的網絡化、信息化不斷的發展,網絡已慢慢成為人們日常生活中必不可少的部分。近些年來,隨著計算機網絡的迅速發展,校園網絡也快速的發展和普及了,使得校園網在高校的地位越來越重要。。校園網絡作為學校重要的基礎設施,擔當著學校教學、科研、管理、宣傳和對外交流等許多角色。但由于安全意識淡薄和技術力量的薄弱,校園網絡的安全問題日益突出。如何讓校園網正常高效地發揮其宣傳、教學管理、服務等功能,已成為一個不可忽視的問題。。目前校園網絡中存在的安全隱患。1、大多數學校網絡建設經費嚴重不足,所以就將有限的經費投在關鍵設備上,對于網絡安全建設一直沒有比較系統的投入,致使校園網處在一個開放的狀態,沒有任何有效的安全預警手段和防范措施。2、學校的規章制度還不夠完善,還不能夠有效的規范和約束學生、教職工的上網行為。網絡安全制度執行不徹底,各校園網在安全管理上存在著困難,這也是網絡安全問題泛濫的一個重要原因.由此可見,構筑具有必要的信息安全防護體系,建立一套有效的網絡安全機制顯得尤其重要.3、使用的操作系統存在安全漏洞,網絡木馬、病毒和黑客攻擊影響到系統的安全,校內大部分計算機系統或多或少都存在著各種的漏洞,校園網絡對社會開放,這樣一來只要接入INTERNET的用戶就可以對校園的網絡服務器進行攻擊,而流行于網絡上的很多病毒和攻擊就是針對windows漏洞而產生的。用戶的應用程序和安裝的軟件也會存在漏洞。因為校園網是公共的計算資源,很多用戶只是用,而很少管。另外機房根據教學任務,要安裝很多軟件,造成系統負荷增大,系統運行緩慢,使攻擊者有機可乘。4、在校園網絡中,利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法,最為常用的是打印機共享。但可以說大部分的人都沒有充分認識到當一個目錄共享后,在校園網內的用戶可以訪問到,就連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的隱患。5、許多教師和學生的計算機網絡安全意識薄弱、安全知識缺乏。校園網絡上的攻擊、侵入他人機器,盜用他人帳號非法使用網絡、通過郵件等方式進行騷擾和人身攻擊等事件經常發生,我們學院的應用服務器和普通計算機平均一個星期會經受到數千次甚至上萬次的非常訪問嘗試,而其中一大部分的非法訪問源自校內,說明校園網絡上的用戶安全意識淡薄;雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。綜上所述,校園網絡安全的形勢非常嚴峻,為解決以上安全隱患,結合校園網內用戶復雜的特點和現今網絡安全的解決方案和技術,提出了以下校園網絡安全解決方案。 1、提高管理水平建立一個高度權威的信息安全管理機構,并不斷強化其權限和職能;制定統管全局的網絡信息安全法規,做到有章可循、有法可依;制定網絡管理員的激勵制度,促使他們提高工作熱情,加強工作責任心;對網絡管理員進行專業知識和技能的培訓;把網絡信息安全的基本知識納入學校各專業教育之中;對學校教師和其他人員進行信息安全知識普及教育;在學校的網站設立網絡安全信息欄目,網絡法令法規、網絡病毒公告、操作系統更新公告等,并提供常用軟件的補丁下載。。
2、設置硬件防火墻是目前保護計算機不受外界黑客攻擊的有效手段,是內部網絡與外部網絡的一道安全屏障,根據內部網絡的安全政策控制出入網絡的信息流。為了防止校園網內部的病毒、ARP、黑客等攻擊,個人電腦上需安裝防火墻軟件。
3、隨著計算機網絡的發展,攜帶病毒和黑客程序的數據包和電子郵件越來越多,打開或運行這些文件,計算機就有可能感染病毒。安裝有反病毒軟件,就可以預防、檢測一些病毒和黑客程序,有效提高安全性。
4、劃分VLAN有效控制網絡廣播信息的傳播,減輕網絡負擔,同一虛擬網的用戶可更高效通信;不同VLAN之間可以在路由模塊配置訪問控制策略,避免非法訪問,提高網絡安全性;與網絡管理系統(結合使用,網絡管理員可更有效管理網絡,包括監視網絡流量,控制網絡分流和設置安全級別等。
5、提高個人計算機用戶的自我防護能力,安裝可靠的殺毒軟件并保證殺毒軟件更新到最新的病毒庫,定期對重要區域重點掃描,對計算機進行全盤掃描;合理設置計算機的操作系統,關閉遠程協助支持及遠程桌面,關閉網絡共享;養成良好的上網及計算機使用的習慣,設置安全的密碼,保護電子郵件信息不外泄,合理使用聊天工具及在線支付工具,謹慎使用下載軟件和共享軟件,定期做好數據的備份工作等。
6、重視安裝補丁程序,補丁程序中有很大一部分就是因為某些產品或系統的一些安全漏洞被發現后,廠商提供給用戶的一種補救措施,用戶如不及時安裝使用,別人可輕易通過“補丁”程序的接口編寫程序進入目標系統,攻擊目標系統獲得非法訪問權。
參考文獻
[1] 雷震甲.網絡工程師教程[M].北京:清華大學出版社,2OO4
[2]勞幗齡.網絡安全與管理[M].北京:高等教育出版社,2OO3
[3] 袁津生,等.計算機網絡安全基礎[M].北京:人民郵電出版社,2005
第8篇:學校網絡安全管理方案范文
關鍵詞: 安全隱患; 全網動態安全體系模型; 信息安全化; 安全防御
中圖分類號:TP393 文獻標志碼:A 文章編號:1006-8228(2016)12-46-03
Abstract: This paper studies the modern campus network information security, the modern campus network security risks are analyzed in detail. Under the guidance of the whole network dynamic security system model (APPDRR), through the research of the mainstream network information security technology of the modern campus network, puts forward the solution of each layer of the modern campus network security, and applies it to all aspects of the modern campus network, to build a modern campus network of the overall security defense system.
Key words: hidden danger; APPDRR; information security; security defense
0 引言
隨著現代校園網接入互聯網以及各種應用急劇增加,在享受高速互聯網帶來無限方便的同時,我們也被各種層次的安全問題困擾著。現代校園網絡安全是一個整體系統工程,必須要對現代校園網進行全方位多層次安全分析,綜合運用先進的安全技術和產品,制定相應的安全策略,建立一套深度防御體系[1],以自動適應現代校園網的動態安全需求。
1 現代校園網絡的安全隱患分析
現代校園網作為信息交換平臺重要的基礎設施,承擔著教學、科研、辦公等各種應用,信息安全隱患重重,面臨的安全威脅可以分為以下幾個層面。
⑴ 物理層的安全分析:物理層安全指的是網絡設備設施、通信線路等遭受自然災害、意外或人為破壞,造成現代校園網不能正常運行。在考慮現代校園網安全時,首先要考慮到物理安全風險,它是整個網絡系統安全的前提保障。
⑵ 網絡層的安全分析:網絡層處于網絡體系結構中物理層和傳輸層之間,是網絡入侵者進入信息系統的渠道和通路,網絡核心協議TCP/IP并非專為安全通信而設計,所以網絡系統存在大量安全隱患和威脅。
⑶ 系統層的安全分析:現代校園網中采用的各類操作系統都不可避免地存在著安全脆弱性,并且當今漏洞被發現與漏洞被利用之間的時間差越來越小,這就使得所有操作系統本身的安全性給整個現代校園網系統帶來巨大的安全風險。
⑷ 數據層的安全分析:數據審計平臺的原始數據來源各種應用系統及設備,采集引擎實現對網絡設備、安全設備、操作系統、應用服務等事件收集,采用多種方式和被收集設備進行數據交互,主要面臨著基于應用層數據的攻擊。
⑸ 應用層的安全分析[2]:為滿足學校教學、科研、辦公等需要,在現代校園網中提供了各層次的網絡應用,用戶提交的業務信息被監聽或篡改等存在很多的信息安全隱患,主機系統上運行的應用軟件系統采購自第三方,直接使用造成諸多安全要素。
⑹ 管理層的安全分析:人員有各種層次,對人員的管理和安全制度的制訂是否有效,影響由這一層次所引發的安全問題。
⑺ 非法入侵后果風險分析:非法入侵者一旦獲得對資源的控制權,就可以隨意對數據和文件進行刪除和修改,主要有篡改或刪除信息、公布信息、盜取信息、盜用服務、拒絕服務等。
2 現代校園網安全APPDRR模型提出
全網動態安全體系模型[3](APPDRR)從建立全網自適應的、動態安全體系的角度出發,充分考慮了涉及網絡安全技術的六方面,如風險分析(Analysis)、安全策略(Policy)、安全防護(Protection)、安全檢測(Detection)、實時響應(Response)、數據恢復(Recovery)等,并強調各個方面的動態聯系與關聯程度。現代校園網安全模型如圖1所示,該模型緊緊圍繞安全策略構建了五道防線:第一道防線是風險分析,這是整體安全的前提和基礎;第二道防線是安全防護,阻止對現代校園網的入侵和破壞;第三道防線是安全監測,及時跟蹤發現;第四道防線是實時響應,保證現代校園網的可用性和可靠性;第五道防線是數據恢復,保證有用的數據在系統被入侵后能迅速恢復,并把災難降到最低程度。
3 現代校園網主流網絡信息安全化的技術研究
為了保護現代校園網的信息安全,結合福建農業職業技術學院網絡的實際需求,現代校園網信息中心將多種安全措施進行整合,建立一個立體的、完善的、多層次的現代校園網安全防御體系,主要技術有加解密技術、防火墻技術、防病毒系統、虛擬專用網、入侵防護技術、身份認證系統、數據備份系統和預警防控系統等,如圖2所示。
3.1 加解密技術
現代校園網中將部署各種應用系統,許多重要信息、電子公文涉及公眾隱私、特殊敏感信息和非公開信息。為確保特殊信息在各校區和部門之間交換過程中的保密性、完整性、可用性、真實性和可控性,需運用先進的對稱密碼算法、公鑰密碼算法、數字簽名技術、數字摘要技術和密鑰管理分發等加解密技術。
3.2 防火墻技術
防火墻技術是網絡基礎設施必要的不可分割的組成元素,是構成現代校園網信息安全化不可缺少的關鍵部分。它按照預先設定的一系列規則,對進出內外網之間的信息數據流進行監測、限制和過濾,只允許匹配規則的數據通過,并能夠記錄相關的訪問連接信息、通信服務量以及試圖入侵事件,以便管理員分析檢測、迅速響應和反饋調整。
3.3 防病毒系統
抗病毒技術可以及時發現內外網病毒的入侵和破壞,并通過以下兩種有效的手段進行相應地控制:一是有效阻止網絡病毒的廣泛傳播,采用蜜罐技術、隔離技術等;二是殺毒技術,使用網絡型防病毒系統進行預防、實時檢測和殺毒技術,讓現代校園網系統免受其危害。
3.4 虛擬專用網
虛擬專用網(全稱為Virtual Private NetWork,簡稱VPN)指的是通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛擬專用網是對現代校園網內部網的擴展,由若干個不同的站點組成的集合,一個站點可以屬于不同的VPN,站點具有IP連通性,VPN間可以實現防問控制[4]。使用VPN的學校不僅提升了效率,而且學校各校區間的連接更加靈活。只要能夠上網,各校區均可以安全訪問到主校區網。使用VPN數據加密傳輸,保證信息在公網中傳輸的私密性和安全性。VPN按OSI參考模型分層來分類有:①數據鏈路層有PPTP、L2F和L2TP;②網絡層有GRE、IPSEC、 MPLS和DMVPN;③應用層有SSL。
3.5 入侵防護技術
入侵防護技術包含入侵檢測系統(IDS)和入侵防御系統(IPS)。IDS可以識別針對現代校園網資源或計算機的惡意企圖和不良行為,并能對此及時作出防控。IDS不僅能夠檢測未授權對象(人或程序)針對系統的入侵企圖或行為,同時能監控授權對象對系統資源的非法操作,提高了現代校園網的動態安全保護。IPS幫助系統應對現代校園網的有效攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和及時響應),提高現代校園網基礎結構的完整性。
3.6 身份認證系統
現代校園網殊部門(如檔案、財務、招生等)要建設成系統。要采用身份認證系統[5],應建立相應的身份認證基礎平臺,加強用戶的身份認證,防止對網絡資源的非授權訪問以及越權操作,加強口令的管理。
3.7 數據備份系統
在現代校園網系統中建立安全可靠的數據備份系統是保證現代校園網系統數據安全和整體網絡可靠運行的必要手段,可保證在災難突發時,系統及業務有效恢復。現代校園網的數據備份系統平臺能實時對整個校園網的數據及系統進行集中統一備份,備份策略采用完全備份與增量備份相結合的方式。
3.8 預警防控系統
現代校園網絡安全管理人員必須對整個校園網體系的安全防御策略及時地進行檢測、修復和升級,嚴格履行國家標準的信息安全管理制度,構建現代校園網統一的安全管理與監控機制,能實行現代校園網統一安全配置,調控多層面分布式的安全問題,提高現代校園網的安全預警能力,加強對現代校園網應急事件的處理能力,切實建立起一個方便快捷、安全高效的現代校園網預警防控系統,實現現代校園網信息安全化的可控性。
4 現代校園網絡安全問題的解決方案
通過對現代校園網主流網絡信息安全化技術的深入研究,針對現代校園網的安全隱患,提出現代校園網絡安全問題的各層解決方案。
⑴ 物理層安全:主要指物理設備的安全,機房的安全等,包括物理層的軟硬件設備安全性、設備的備份、防災害能力、防干擾能力、設備的運行環境和不間斷電源保障等。相關環境建設和硬件產品必須按照我國相關國家標準執行。
⑵ 網絡層安全:針對現代校園網內部不同的業務部門及應用系統安全需求進行安全域劃分,并按照這些安全功能需求設計和實現相應的安全隔離與保護措施[6],采用核心交換機的訪問控制列表以及VLAN隔離功能、硬件防火墻等安全防范措施實現信息安全化。
⑶ 系統層安全:現代校園網管理平臺的主機選擇安全可靠的操作系統,采取以下技術手段進行安全防護:補丁分發技術、系統掃描技術、主機加固技術、網絡防病毒系統。
⑷ 數據層安全:主要使用數據庫審計系統進行監控管理,對審計記錄結果進行保存,檢索和查詢,按需審計;同時還能夠對危險行為進行報警及阻斷,并提供對數據庫訪問的統計和分析,實現分析結果的可視化,能夠針對數據庫性能進行改進提供參考依據。
⑸ 應用層安全:應用層安全的安全性策略包括用戶和服務器間的雙向身份認證、信息和服務資源的訪問控制和訪問資源的加密,并通過審計和記錄機制,確保服務請求和資源訪問的防抵賴。
⑹ 管理層安全:現代校園網應依法來制訂安全管理制度,提供數據審計平臺。一方面,對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。另一方面,當事故發生后,提供黑客攻擊行為的追蹤線索及破案依據,實現對網絡的可控性與可審查性。
5 構筑現代校園網的整體安全防御體系
現代校園網絡安全問題的各層解決方案綜合應用到實際工作環境中,在配套安全管理制度規范下[7],現代校園網可實現全方位多層次的信息安全化管理,配有一整套完備的現代校園網安全總需求分析、校園網風險分析、風險控制及安全風險評估、安全策略和布署處置、預警防控系統、安全實時監控系統、數據審計平臺、數據存儲備份與恢復等動態自適應的防御體系,可有效防范、阻止和切斷各種入侵者,構筑現代校園網的整體安全屏障。
6 結束語
信息安全化是現代校園網實施安全的有效舉措,并建立一套切實可行的現代校園網絡安全保護措施,提高現代校園網信息和應急處置能力,發揮現代校園網服務教學、科研和辦公管理的作用。現代網絡的高速發展同時伴隨著種種不確定的安全因素,時時威脅現代校園網的健康發展,要至始至終保持與時俱進的思想,適時調整相應的網絡安全設備。
參考文獻(Reference):
[1] [美]Sean Convery著,王迎春,謝琳,江魁譯.網絡安全體系結
構[M].人民郵電出版社,2005.
[2] Cbris McNab著,王景新譯.網絡安全評估[M].中國電力出版
社,2006.
[3] 陳杰新.校園網絡安全技術研究與應用[J].吉林大學碩士學
位論文,2010.
[4] Teare D.著,袁國忠譯.Cisco CCNP Route學習指南[M].北京
人民郵電出版社.2011.
[5] 張彬.高校數字化校園安全防護與管理系統設計與實現[D].
電子科技大學碩士學位論文,2015.5.
[6] 彭勝偉.高校校園計算機網絡設計與實現[J].無線互聯技術,
2012.11.
第9篇:學校網絡安全管理方案范文
關鍵詞:校園網;防火墻技術;網絡安全
中圖分類號:TP309
因特網逐年普及,各類學校對于網絡的使用也更是廣泛,校園網的建設對于教育教學具有深遠意義,因而保證其信息安全尤為必要。但是,校園網絡的安全問題卻著實令人堪憂,其突出的安全問題值得研究分析。所以,基于當前現狀,在校園網絡中對其安全問題實施防火墻技術是當前最為普遍的建設性技術。保護計算機信息安全,結合當前計算機安全面臨的主要威脅,當仁不讓的核心技術就是防火墻技術,同時,對防火墻技術現狀的分析研究,對其做出未來的發展設想也是很必然的。
1 校園網絡安全
1.1 校園網絡的安全需求
校園網對于網絡安全的需求是很高的,是全面的,通常表現形式為:網絡安全隔離,網絡安全漏洞;有害信息過濾等多種多樣。校園網絡對于其網絡安全正常可靠運行的需求是很大的,總之,校園中整個網絡的全面性運行的前提是需要一套科學合理的方案做支持,方案制定之后繼而合理的實施在網絡安全上面,這對于分析和研究校園網絡的安全尤其有必要。與學校而言,制定一套安全管理方案和設備配備方案是最科學的,以此來保證校園整個網絡的全面安全可靠運行。
1.2 校園網絡面對的安全威脅
針對校園網絡的安全威脅,總結來說,包括冒充合法用戶,病毒與惡意攻擊,非授權進行信息訪問,或是干擾系統正常運行等。另一方面,對校園網絡安全性構成威脅的還有因特網自身的因素,類似網絡資源的性質,其資源信息良莠不齊,各式各樣,一旦沒有進行過濾篩選就放到網絡上,一定會造成校園網絡安全威脅,其中包含的大量流量資源,造成了網絡堵塞,緩慢不運行的上網速度,大量的非法內容出入,并且對于校園生活中的青少年的身心健康造成了極大危害。
2 防火墻技術概述
2.1 包過濾類型防火墻
防火墻技術總體來講就是一系列功能不一的軟硬件組合,其功能通常包括存取,控制等,它工作的原理就是在校園網以及因特網之間進行訪問控制策略的設置,從而決定哪些內容可被讀取,哪些內容被控制在瀏覽頁之外,如此一來,就保護了校園網絡內部非法用戶非法內容的入侵。防火墻技術的主要目的在于對數據組進行控制,只對合法的內容加以釋放,過濾掉網絡雜質。
包過濾類型的防火墻技術工作原理是直接通過轉發報文,工作領域是IP層,這是網絡的底層,在合適的位置對網絡數據進行有選擇的過濾,有一個形象的稱號稱呼這一防火墻技術即為“通信警察”。包過濾防火墻對每一個傳入保的基本信息進行瀏覽,進行過濾,一般查詢內容都包括源地址、協議狀態等,這些基本信息一般性情況下都能對其內容做出大致統籌,然后與系統源設定的信息規則進行比照,指引可行性信息,攔截網絡垃圾。
包過濾類型的防火墻其優點顯而易見,其選擇性過濾的功效著實對于校園網絡安全做出了保障,并且,這一類型的防火墻技術產品通常是廉價的,有效的,安全的,現在學校一般比較通用,這一手段的運行過程完全透明,并且其運行效率,工作性能也是很高,總體來講,就是指其性價比很是驚人。然而,其必然伴隨著不少的缺陷,尚未達到很完美的境地,類似于包過濾類型的防火墻技術不能保證絕對的安全性,對于其網絡欺騙行為不能進行徹底的制止,而且有些協議的數據包壓根不適合被過濾,譬如“RPC”、“X-WINDOW”等。
2.2 服務器類型防火墻
防火墻技術的主要特征就是在網絡周邊建立相關的監控系統,以此來保障網絡安全,達到網絡可靠運行的目的,它的工作原理是通過建立一套完整的規則和系統策略來進行網絡安全檢測,繼而改變穿過防火墻的數據流,來達到保護內部網絡安全的目的。由于校園網絡與防火墻的工作環境特別兼容,因而,學校網絡實現信息安全的一大重要保障就應當是采用實施防火墻技術。
服務器類型的防火墻就是基于服務器,服務器是一種程序,其主要形式就是客戶處理在服務器的連接請求。當服務器接收到客戶的連接意圖時,它將對此請求進行網絡核實,然后將處理完成的信息進行實質性傳遞,呈現在真實的服務器上,最后對發出請求的客戶做出應答。
基于服務器類型的防火墻,雖然其安全性能很高,但是它對于用戶而言是封閉的,不透明的,工作時有很大的工作量,對于真實服務器的要求較高,另外,服務器通常是需要身份驗證或者是注冊的,這樣一來,就必然會影響到期工作的速度。所以,針對這一缺陷,基于服務器類型的防火墻不太適合于高速下的網絡監控。總之,防火墻對于網絡安全性是有很大的提高作用的,并不能絕對的根除網絡安全問題,除此以外,對于網絡內部自身攻擊或是病毒很難防御。要想保證網絡徹底安全,防火墻技術是核心,且需要輔以其他精準措施。
3 校園網絡安全方案及優缺點
3.1 專用的硬件防火墻設備
專用的硬件防火墻設備是以最先進的網絡技術和安全技術為基礎的,這一類型的防火墻速度極快,將校園內部網絡與外部網絡做出了極其有效的隔離。通過網絡控制,校園內部網絡被允許上網,而校園外的網絡用戶就被隔離,不能直接進行網絡訪問,當然,也會有其他的網絡瀏覽方式,類似加密然后授權等,這必然有效的保護了校園網絡的安全性。這一方案的防火墻,其特點就是基于硬件,并與路由器做“合體”技術,路由器購置中,便自動植入了防火墻設備,以此在很大程度上保證了網絡安全。但是,盡管這一設備安全,快速,但是如此專業的軟硬件一體設備,其價格自然可想而知,非常昂貴。
3.2 服務器及相關防火墻軟件
服務器及相關的防火墻軟件也能夠實現硬件防火墻的基本功能。采用“UNIX系統”以及該系統內部內核自帶的IP地址,當然也包括其中的防火墻軟件,能夠很好的實現硬件防火墻的基本功能。由于當下Windows 2000或是其他的操作系統自身存在著很多的漏洞,致使其對于IP地址的支持能力極為有限,存在著很大的局限性,對于病毒感染,或是漏洞頻出的現象不能很好的避免,所以對于這一安全方案,在服務器的選擇上盡量避免Windows 2000。服務器常年運行,若要保證校園網絡安全,其所有的出口流量等全都需要經過這一服務器,所以方案設備配置時,一個性能高的,經久耐用的專用服務器就顯得尤為重要了,以此加強其工作穩定性。這一配備的投資較為節省,而且性能很好,很大程度上保證了園網絡安全。因而,針對以上兩種方案,學校對投資校園網絡建設時,結合財力,性能,需求等多種因素進行防火墻方案選擇。
4 結束語
因特網的迅猛發展,必然伴隨著網絡攻擊手段的不斷跟進,保護其安全就顯得尤為迫切,防火墻技術已經基本能夠滿足計算機使用者對于其信息安全的需求,但是防火墻技術作為網絡信息安全的核心技術,它值得深入研究的課題以及項目還是很多,譬如如何對防火墻技術進行危險系數的評估等技術尚需得到研究開發,總之,防火墻技術為計算機尤其是校園網絡技術做出了巨大貢獻。
參考文獻:
[1]李欣.高校校園網絡安全探索[J].中國現代教育裝備,2012(10):45-46.
[2]唐震.校園網絡安全管理技術研究[J].硅谷,2013(08):33-34.
