校园安全管理策略篇1
[关键词]校园网运营,网络安全统一身份认证防火墙
一、前言
随着高校校园网建设的逐步完成,各高校的基础网络设施建设如综合布线、光缆敷设、交换、路由设备、基础服务器的购买等已基本完成,学校的教学楼、试验楼、学生宿舍、教师宿舍区都全面接入校园计算机网络,校园网开始投入运行。校园网络除了提供常用的www、Ftp、emaiL、BBS等基础服务外,还提供了教务管理、电子图书馆、网上招生就业、办公自动化oa的服务,开始大规模为教学、科研以及生活娱乐服务。由于学校的经费有限,网络建成以后,如何加强网络安全管理、合理运营,以便收取适量的网络使用费以补贴校园网大量的维护费用开支,成为各个西部高校都面临的问题。
二、可运营校园网面临的主要威胁
1.非法接入和ip地址盗用
由于校园网采用基于tCp/ip协议的千兆交换式以太网方式组网,该协议具有开放性特点,使得校园网内主机接入安全性较差,容易形成非法主机的接入和ip地址盗用。
2.计算机病毒的侵害
计算机病毒特别是网络病毒具有高速传播、自我复制和隐蔽性强等特点,对网络带宽和计算机资源消耗巨大,具有非常高的破坏性,是校园网安全中最大的威胁。如爱虫病毒VBS.LoveLetter、冲击波病毒worm.msblast、振荡波病毒worm.Sasser等众多病毒对校园网网络的破坏性极强。
3.黑客攻击
任何系统在进行系统设计时都或多或少存在没有考虑到的缺陷或弊端,一旦软件使用者没有发现并修复这些漏洞,攻击者就很有可能通过恶意扫描发现并加以利用,成为被病毒或黑客攻击的首选目标。校园网提供各种服务和应用开始运营之后,无论是从internet上还是校园网内部,总是存在对各种服务系统发起的攻击,试图修改服务器数据、破坏服务系统,这对校园网的运营也造成极大的安全隐患。
4.不良信息的传播
目前再internet上传播的各种信息良莠不齐,有些是违反道德规范、法律法规的不良信息,这些不良信息通常可通过电子邮件、网页浏览、BBS论坛、聊天室等进行传播,对校园网的信息安全造成极大的危害。
5.账号盗用
校园网一旦开始运营,用户账号的盗用问题就必然存在,是校园网安全管理的一大重点。
三、安全管理CnSm(CampusnetworkSecuritymanagement)整体解决方案构架
要实现校园网的可运营,必须为用户提供一个稳定、安全的网络环境,就需要建立一个可管理的安全可靠的网络结构,然后对它进行管理。下图是某大学CnSm解决方案构架图。
在该结构中,选用3台思科6000系列作为核心组建一个双环主干结构,各楼宇通过片区汇聚交换机(思科4000系列和3000系列)接入3台核心设备;在校园网出口,设置一台阿母瑞特F600Up防火墙,分别联接外网和内网;在防火墙和内网之间,构架一台城市热点认证计费服务器,对内网用户进行身份审核和流量统计;
四、安全管理的具体策略
在上述网络结构中实现校园网的安全管理,达到可运营的目的,需要制定整体安全策略并加以实现。
1.制定并实施访问控制策略
(1)防火墙上策略。防火墙作为校园网内部和外部网络之间的第一道安全屏障,能很好的对外部网络和校园网络内部进行隔离,防止外网黑客对校园网的非法访问和攻击,其安全策略非常关键。在该图的网络结构中,采用屏蔽子网型防火墙,它的五个接口分别连接内网inside(if1接口,1000m带宽),DmZ1(if4接口,1000m带宽,放置对校内外公开的常规服务),DmZ2(if5接口,1000m带宽,放置学校关键的应用服务和数据库),教育网Cernet(if2接口,100m带宽)、公网Chinanet(if3接口50m带宽)。采用双出口对出口安全所作的备份,正常时两条出口可均衡负载,当某条线路出现故障时,相互之间可互为备份;采用双DmZ区,是为了对不同级别的应用分别加以保护。
(2)路由交换机策略。在校园网内部,存在容易掌握校园网内部结构的用户群体,这些用户容易对网络中的其他主机或网络设备造成威胁,因此还必须在校园网内的各级交换机上进行访问控制。
①利用Vlan技术对不同类型的用户进行子网划分并进行访问控制。校园网中的用户大致可分为行政办公区用户、教学实验室用户、教师宿舍区用户和学生宿舍区用户。可采用VLan划分技术,将同一类型用户划分到同一虚拟子网,其内部可以实现相互访问,将不同类型用户划分到不同虚拟子网,对不同的虚拟子网赋予不同的网络访问权限,以实现网络安全管理,提高整体网络运行的稳定性。
②对网络设备的访问权限进行控制。网络设备安全是确保网络安全的重要保障,因此必须对网络设备进行有效保护。除了利用设备的网络操作系统noS进行安全配置,更重要的是对这些网络设备的访问权限进行控制,以确保只有网管工作人员通过特定的方式对设备进行管理。
③在该图的结构中选用3台具有L3交换技术的CiSCo6509,采用内网oSpF路由控制策略,实现QoS,确保内网千兆主干在任何时候都能高速不间断连通。
(3)各系统上的安全管理。在校园网的安全管理中,应用系统安全以及用户系统安全尤其重要。非法访问、黑客攻击、病毒传播很多都是因为各系统存在漏洞或没有进行安全配置引起的。必须加强各系统的安全管理,定期杀毒,定期检查系统漏洞并修复。
通过以上安全策略的实施,可有效的防止黑客入侵、非法访问,并在一定程度上防止病毒传播、缩小ip地址盗用范围。
2.身份认证
身份认证用于判断用户身份的真实性,是校园网实现安全管理的重要手段,是实现校园网可运营的重要保障。网络中的账号盗用或滥用会造成他人合法使用网络的权益受损。对所有接入校园网络的用户进行身份核实,一旦出现违反网络安全管理规定的行为,可根据账号使用记录追踪到使用者,这对规范用户的上网行为、防止危害网络安全行为的发生有着极其重要的作用。
在该认证计费系统中,采用基于客户端认证方式。用户可通过客户端发起访问请求,认证服务器接到请求后,要求用户输入用户名和密码进行身份验证,验证通过对该用户的访问请求予以放行,并且记录用户上网行为。在这种方式中,用户名和密码通过加密后再通过网络传输到认证计费服务器,能有效的防止用户的账号密码被监听、盗用。
3,信息过滤
网络上不良信息大范围扩散,已经严重威胁着校园网的正常运营,也给网络用户带来了巨大损失和麻烦。在校园网上进行信息过滤,有效防止病毒和不良信息传播,净化校园网络环境,为师生员工提供高质量的服务显得尤为重要。
对病毒进行过滤可在防火墙、交换机上关闭已发现病毒使用的端口,关闭未被使用的端口,同时加装校园网集中式防病毒系统;对不良网站,可在防火墙、交换机上限制校园网用户对该类网站的访问;对垃圾邮件在原有邮件系统上加装功能强大的反垃圾邮件系统,有效过滤垃圾信息。
五、结束语
保证校园网的正常运营,必须确保校园网的安全。而网络的安全是一个动态发展的过程,随着网络应用系统的不断扩充,网络的安全越来越重要、越来越复杂。除了采用有效的技术手段加强管理外,还必须建立完善的校园网安全管理制度,加强网络管理人员的技术培训和校园网用户的安全意识教育。
参考文献:
[1]查贵庭彭其军罗国富:校园网安全威胁及安全系统构建[J],计算机应用研究,2005年第3期150-152
[2]傅光轩高鸿峰杨再仙:校园网信息安全及对策[J],贵州大学学报(自然科学版),2004年5月21(2)175-178
校园安全管理策略篇2
一、校园网中主要安全隐患
(一)病毒的危害
现在各个学校的校园网都联上了因特网,用户上网浏览信息,接收电子邮件,下载程序都非常方便,但同时更容易受到病毒的侵害。之所以把病毒危害列为影响校园网安全的第一因素,是因为根据我管理本校网络的经验和平时了解,大多数中小学校的校园网发生故障的一个主要因素就是病毒的感染,如当年最流行的冲击波(worm.Blaster)病毒,本地有好几所学校的校园网就感染上了这种病毒,使得大部分电脑只能停止工作,网络管理人员忙了几天才把所有电脑上的病毒清理干净,造成了不小的麻烦。
然而,一些学校网络管理者并没有很认真地思考过这个问题,这是因为现阶段在学校网络中就算病毒真的造成校园网瘫痪,对一般学校的正常运行也不能造成多大的危害。大部分学校对校园网的依赖还不强,校园网虽然建好了,但只停留在上网浏览信息,接收电子邮件的初级阶段,就算网络出现问题,最大影响也就是暂时不能上网而已。随着校园网应用的不断深入,到了真正实现网络办公时,安全稳定的校园网就是确保整个学校正常工作的基础,没有网络,学校就不能正常工作。因此我认为病毒的危害已成为影响校园网正常工作的第一大隐患,必须重视。
(二)黑客攻击
随着网络的飞速发展,黑客攻击活动日益猖獗,已成为当今社会关注的焦点。校园网在接入internet的时候,即使有防火墙的保护,由于技术本身的局限和其他原因,也很难保证不遭到黑客攻击,况且据我了解,有相当一部分学校(中小学)的校园网连一般的防火墙都没有。据公安部的统计,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增。有媒介报道,中国95%的与internet相连的网络管理中心都遭到过黑客的攻击或侵入。虽然校园网目前还不是黑客们注意的目标,但是,就连安全级别非常高的单位银行、金融和证券机构都能被黑客们攻破,那么,安全级别极低的学校网络更是不堪一击,如果哪天黑客们忽然对校园网感兴趣的话,到那时就晚了。
(三)不良信息的传播
现在的校园网都是宽带接入internet,教师学生只要能上校园网就可以进入internet。但互联网实际上是一把双刃剑,它在使我们从中获取大量有用价值,提高自我的同时,因其自身的复杂性,使人们往往被各种信息垃圾包围,久而久之深受其害。目前internet上各种信息良莠不齐,如黄色暴力信息、反动信息等,这对身心尚未发育完善、辨认是非能力还比较弱的中小学生来说危害非常大。如果不采取安全措施,就会导致这些信息在校园内传播、泛滥,侵蚀学生的心灵,影响我们下一代的健康成长。
(四)设备的损坏
设备的损坏主要是指网络硬件设备的损坏。网络设备包括服务器、交换机、工作站、电源等设备,它们分布在整个校园内,管理起来比较困难,主要有自然损坏和人为破坏。自然损坏是指由于不可抗因素造成的损坏,如雷击、意外停电造成的机器设备损坏;人为损坏主要是指个别人有意或无意地将它们损坏。不管是哪一种,都会造成校园网络全部或部分瘫痪。
二、安全防护的措施
(一)技术层面的措施
1.构建网络防毒体系
由于病毒在网络中存储、传播、感染的方式各异,因此学校在构建网络防毒系统时,应利用网络防病毒产品,针对网络中所有可能的病毒攻击点设置全方位、多层次的防毒系统配置,使学校网络免受病毒的入侵和危害。
校园网络中的防毒体系主要分为两种。
(1)服务器的病毒防护。防毒体系结构中的服务器端产品应该具有实时病毒监控功能,远程安装、远程调用功能,病毒码自动更新功能,以及病毒活动日志、多种报警通知方式等功能,可为学校内文件服务器的病毒防护提供便利和效能。
随着学校内部电子邮件应用日益普及,学校网络中又增加了一个病毒入侵的通道。在网络防毒体系结构中再增加了一层关卡,确保经由学校邮件服务器的邮件附件随时处于病毒免疫状态。
(2)工作站的病毒防护。网络工作站的病毒防护位于学校防毒体系中的最底层,对学校计算机用户而言,也是最后一道防、杀病毒的防线。考虑到网络中的工作站数量少则几十台,多则数百台,如果需要网管人员逐一到每台计算机上安装单机防病毒软件,费时费力,难以实施统一的防病毒策略,日后的维护和更新工作也就十分繁琐。
在选择防毒产品时,可考虑选择具有下列功能的网络版软件。
①通过服务器自动分发客户端工作站防毒软件,可简化安装过程。
②自动识别客户机操作系统并下载和安装相应的防毒程序,支持包括windowsnt工作站、windows9x/2000/xp等多种作业平台的工作站。
③通过服务器设置统一的防毒策略,获取完整的病毒活动报表,实施集中的病毒码和程序更新。
④设有密码保护功能,防止用户随意卸载病毒监控程序,从而形成学校网络的病毒“后门”。
⑤储存所有工作站硬盘引导区记录,以备工作站引导区遭受病毒破坏后的紧急救援。
具有以上功能的网络防毒软件有不少,如瑞星防毒软件网络版、乐亿阳趋势的pC-cilin和诺顿防毒软件网络版等都可实现此类功能。
2.及时安装各种补丁程序
及时更新操作系统,及时安装各种补丁程序也非常重要。一般学校里使用的操作系统主要是winXp或Vista,而正是因为这些windows操作系统的普遍性和可操作性使得它们是最容易受攻击的系统:本身系统的漏洞、浏览器的漏洞、iiS的漏洞存在安全漏洞,对网络安全构成了威胁。目前,许多新型计算机病毒就是利用操作系统的漏洞进行传染的。比如2001年出现的红色代码病毒就是利用windows2000ServeriiS漏洞进行传播的,2003年8月份发作的冲击波病毒是利用windows2000、windowsXp、windows2003操作系统的RpC漏洞进行传播的。如果不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件病毒也会反复感染。
对校园网中联入互联网的计算机,使用者还可以利用操作系统的windowsUpdate功能进行在线检测并更新。
3.配备internet防火墙
internet防火墙,是指一种将内部网和公众访问网(internet)分开的方法,实际上是一种隔离技术。它能允许你“同意”的人和数据进入你的网络,将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。用它可以增加机构内部网络的安全性。
防火墙可分为软件防火墙和硬件防火墙,至于选择哪种防火墙新产品,学校在建立校园网时可以根据不同的情况进行挑选,如资金充裕的话,建议选择硬件防火墙,如暂时资金不足,就可以选择软件防火墙。
4.建立适当的用户账号管理机制
对校园网用户管理时,建议给每一位教师一个个人账号,学生可以在固定的教室用公共账号。
谈到网络的安全意识人们想到最多的恐怕就是密码。的确,密码的安全性是网络安全性的基本内容。没有一个安全可靠的密码,就不会有什么安全,密码的设置非常重要,也最容易被用户忽视。要注意以下几点。
(1)不要使用用户名(账号)作为密码,有很多黑客软件有一项功能――以用户名做口令进行破解。
(2)不要使用用户名(账号)的变换形式作为密码,例如将用户名颠倒或者加前后缀作为口令
(3)不要使用具有特定意义的日期作为密码(如自己的生日),这种口令是最好破解的。
(4)不要使用常用的英文单词作为密码。
(5)不要使用5位或5位以下的字符作为密码。
那么,怎样的密码才是安全的呢?首先必须是8位长度,其次必须包括大小写字母、数字,如有控制符那么最好。例如:ks&1057w,ykl$24q6zp,这样的密码都是比较安全的。不过也不是无懈可击的,只有安全的密码配上3个月更换一次的安全制度才是真正安全的。建议在设置校园网服务器账号时,硬性规定用户定期更换密码,否则取消账号。
5.安装网络反黄软件
为了控制不良信息的传播,有必要安装一些网页过滤软件,并配合人工管理,保障学生的身心健康。
这类软件必须具备以下主要功能。
(1)网站过滤。能够屏蔽一些具有色情、暴力、、等不良信息的网址连接,拒绝访问该网站。
(2)文字遮盖。可对屏幕上出现的文本进行实时监控,一旦发现信有不良信息的文本,即可对此文字进行遮盖屏蔽。
具备以上功能的软件较多,如“网络卫士”、“美萍反黄软件”等。只要制定好规章制度,学生就必须在固定教室且有老师监督的条件下才可以上网,再加上一些过滤软件的设置,就可以为学生创造一个干净安全的网络世界。
6.配备较高性能的后备电源UpS系统
在校园网中,服务器能否正常运行关系着整个校园网能否正常的运行,是绝不能出问题的,而在实际运行中有不少问题源自不稳定的电源,引起了服务器的不稳定。意外停电,不仅会使数据丢失,而且会损伤昂贵的设备,另外由于国内平时供电系统的电压不够稳定,浪涌、尖峰、低压等各种情况出现的概率相对较高,这些对设备都是极大的伤害,因此为了确保校园网的稳定运行,必须选择一个较好的后备电源UpS系统。
(二)技术层面以外的措施
1.提高网络安全意识
校园网的用户是教师和学生,其中相当一部分教师和绝大部分学生的网络安全意识非常薄弱,安全知识匮乏,这些网络的使用者有时就是网络安全的最大隐患。学校必须加强对教师、学生的培训,通过阶段性的培训不断提高校园网用户的网络安全防范意识和防范技能。
2.制定严格的校园网管理规章制度
常言说:“三分技术,七分管理。”安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们要建立一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。我们还需要制定一整套的规章制度约束校园网用户的行为,让每个用户在使用、进入校园网之前都知道自己享有什么权利,负有什么责任义务,如违反之后将有什么后果。这样能起到比较好的效果。
3.引导学生善用网络技术
学校里总有一些学生对网络技术非常感兴趣,而且水平比较高,中学生们对新鲜事物又是十分的好奇,什么都想尝试,说不定他在网上试一试学黑客进行一下“破坏”,就从本校的网络做起,而从内部攻击网络比外部攻击网络要容易得多。这样的话,对校园网管理者来讲也是麻烦的。对这样的学生,应该一方面增强他们的法律意识,让他们知道网络世界和现实世界一样有法律约束,有些事情是不能想做就做的,另一方面引导他们将学到的网络技术运用到校园网的安全建设上,让他们参与学校网络的部分管理。
总之,校园网的安全问题不仅仅是技术上的问题,而且包括人为的因素,因此要想有一个安全健康的校园网,就必须坚持两手抓,一手抓技术防范,一手抓管理防范,只有通过以上两个方面的不断努力,校园网才能够在比较安全的环境下工作,才能充分发挥优势,更好地为教育事业服务。
参考文献:
校园安全管理策略篇3
的应用系统的增加,网络规模变得更加庞杂,而校园的特殊环境又使其拥有一批人数密集、思想活跃,有一定网络知识与创造性而安全意识薄弱的使用者,各种因素使其安全问题格外突出,成为校园网管理上尤其要关心的问题。
2.校园网的安全隐患
影响校园网安全的因素很多。校园网一般分为校园内网、校园外网、提供各种服务的服务器群,内网主要包括:教学网、图书馆网、办公自动化网络、财务网;而外网则是实现内网与internet的对接,服务器群提供各自服务。根据对校园网络的基本结构的剖析,可以得出结论,校园网的安全问题来自以下几个方面:
2.1tCp/ip协议簇的安全性与操作系统的安全漏洞。
tCp/ip及其许多网络协议本身在设计之初并未全面考虑安全性问题,随着网络技术的发展与普及,协议的安全性问题日益突出。
目前使用的操作系统,包括windows系列,Unix系列都不同程度上存在安全漏洞,对网络构成威胁。
2.2来自外部的威胁
校园网与internet相联,极易受到外部人员的攻击,一旦攻击成功,将有可能造成极大破坏。而校园网用户密集,速度快、规模大的特点,也使得安全问题容易被放大,影响更加严重。
2.3来自内部的安全隐患
(1)病毒、木马的威胁。由于校园内部使用网络的人员复杂,水平良莠不齐,在进行数据交换或数据上传、下载时可能造成病毒、木马在内网中的传播、泛滥。
(2)宽松、开放的网络环境也使得内网容易遭受攻击。由于教学、科研的特点,使得一些新技术、新应用在校园网上实施的时候不能施加过多的限制,这也可能会造成内网受到攻击。
(3)活跃而密集的用户群也是校园网不安全的因素之一。数量众多、具有一定的计算机方面的知识、无穷的探索精神而安全观念淡薄的学生也可能会对校园网造成一定程度的威胁。
2.4管理制度不健全、管理人员与维护力量不足成为校园网安全的一大隐患。
校园网的建设和管理对校园网安全的关注度通常不高,安全意识不强,管理制度不健全,对于管理与维护方面的投资也不大,网络中心的人员只能保证网络正常运行,对于安全问题无暇顾及。管理不到位,校园内可能出现各种网络并存,铁通、电信、光纤内网混搭,成为攻击者避开防火墙进行攻击的跳板。
3.校园网安全策略
安全策略是指在某个安全区域内,用于所有与安全相关活动的一套规则。安全有效的安全策略,可以最大程度降低校园网受到攻击而造成性能下降、失效、泄密、数据丢失的可能性。安全策略包括严格的管理、先进的技术和行之有效的管理制度。
3.1防火墙控制策略
防火墙是一种保护计算机网络安全的技术性措施,是用来阻止网络黑客进入内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计算机上的软件防火墙。无论哪一种,防火墙通常都安置在网络边界上,根据系统管理员设置的访问控制规则,对数据流进行过滤,通过网络通信监控系统隔离内部网络和外部网络,以阻档来自外部网络的入侵。防火墙是internet安全的最基本组成部分。
3.2访问控制策略
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。
3.3入侵检测系统(iDS,intrusionDetectionSystem)
入侵检测系统是为保证计算机网络系统的安全而设计的一种用于检测违反安全策略行为的技术,它能够及时发现并报告网络中未授权的访问或异常现象。违反安全策略的行为,主要是指入侵和滥用--通常将非法用户的违规访问行为称为入侵,将合法用户的违规访问行为称为滥用。
入侵检测使用两种基本的检测技术:特征检测与异常检测。前者常常是对网上流动的数据内容进行分析,找出\"黑客\"攻击的表征。后者往往是对网络上的数据流量进行分析,找出表现异常的网络通信。功能简单的入侵检测系统可能只使用这两种技术中的一种。
3.4对病毒、木马定期查杀
由于频繁的数据交换,网络中数据的上传下载以及校园网使用者的水平良莠不齐,给病毒、木马在网络中的传播提供了机会,所以应选择合适的网络杀毒软件,及时更新病毒库,定期对病毒、木马进行查杀。
3.5规范管理
校园安全管理策略篇4
关键词:校园网;网络安全;安全模型
中图分类号:tp393.18文献标识码:a文章编号:1007-9416(2017)01-0203-01
随着互联网技术的飞速发展,校园网络安全问题也日益严峻,校园网络安全的主要威胁有冒充合法用户,非授权访问,破坏数据的完整性,干扰系统正常运行,病毒与恶意攻击等。传统校园网络安全管理仅仅依靠防火墙和入侵检测系统手段来实现,面对日益严峻的网络安全问题显得拙荆见肘,因此构建一个适合校园网的安全模型显得十分必要。
1高校校园网安全模型概述
高校校园网安全问题伴随着校园网的建设一直存在,随着高校网络化和数字化进程的不断推进呈现愈演愈烈的趋势。网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。影响高校校园网安全的因素众多,大致分为网络安全技术、网络安全管理员、网络安全策略、高校师生、网络安全制度等五大因素。构建高校安全的校园网模型正是从这五大因素入手,建立一个多层次的网络安全体系,较好地解决校园网面临的网络安全问题,最大程度得保证校园网的安全、稳定运行。
2高校校园网安全模型的设计过程
校园网络安全不仅仅受到技术因素的影响,还会受到网络管理、安全策略、制度等因素的制约。建立校园网安全模型的思想强调以人为本,通过制定合适的策略并配合相关技术,形成多层次主动防御体系。
2.1网络安全技术
网络安全技术可以说是校园网络安全模型中的核心要素,目前常用的校园网安全技术有防火墙技术、安全网关技术、数据加密技术,身份认证技术、入侵检测技术、入侵防御技术、数据库和web应用防火墙、无线入侵防御系统、网闸、漏洞扫描技术、vlan技术、防病毒技术等,这里所需要的技术不是简单的技术叠加,而且根据具体的网络需求有机的联合在一起,达到检测、预警、防护联动效果,并随着互联网新的网络安全技术的发展而不断发展。可以说网络安全技术在一定程度上弥补了网络协议和信息系统上的漏洞,提高校园网安全防护能力,是构建校园安全模型的重要手段,它提供各种安全机制,来构建一个合理的校园网安全模型。
2.2网络安全管理员
网络安全管理员是校园网安全管理工作中权限最高的人员,也是校园网安全模型中的重要因素,网络安全管理员的技术水平高低直接影响到校园网安全性的高低,因此定期对网络安全管理员新技术培训,要求网络安全管理员经常不断得学习新技术新思想开阔视野和扩展思路。一个合格的网络安全管理员能够根据当前网络状态预判网络中可能的安全隐患,并及时制定合适的策略去应对可能发生的情况。网络安全管理员可谓是校园安全模型中的“指挥官”,足见其重要地位。
2.3网络安全策略
网络安全策略是最大程度保护校园网资源和用户远离病毒侵害和黑客入侵的技术实现,所有的安全检测、预警、防护等联动效果都是建立在安全策略的基础上执行的,网络安全策略也是制定网络安全模型安全等级的重要依据,网络安全策略不是一成不变的,它要更根具体的网络运行状况进行相应得调整,因此制定一套合适的安全策略显得尤为重要。
2.4高校师生
高校师生安全水平参差不齐,既有安全意识低的师生,也有喜欢尝试探索的“危险”师生,因而很容易从因特网上感染病毒,或给黑客制造从校园内部发起攻击的机会,都会对高校网络造成严重的威胁。因此,我们在制定高校网络安全模型的时候,应包含定期对高校师生进行常见的网络安全知识讲座,在校园网内部及时提供相应的操作系统漏洞补丁、杀毒软件等必备工具,来保证校园网的安全。
2.5网络安全制度
网络安全制度可以说是保证高校网络安全的一种行政手段,它能够建立有效的校园网络安全责任制,明确高校师生安全使用校园网的权利和义务,一旦发生相关的网络安全事故时,及时通知网络安全管理部门并积极配合他们开展网络安全管理工作,从而有效得保障校园网络的安全。
3结语
校园网络安全问题是一个综合性的问题,它既包含涉及到人员、行为的问题,也包含设备、制度等问题,如果不能较为全面的解决网络安全问题,那么高校校园网依然存在着诸多的安全隐患。只有通过构建一个集网络安全技术、网络安全管理员、网络安全策略、高校师生、网络安全制度等要素为一体的校园网络安全模型,形成主动防御的、多层次网络安全防护体系,才能尽最大可能将校园网络威胁降到最低。
参考文献
[1]严炯杰.校园网基本网络搭建及网络安全设计分析[J].计算机光盘软件与应用,2014(5):179-180.
[2]高校校园网安全防御体系的构建与实施[D].甘肃:兰州大学,2013.
校园安全管理策略篇5
关键词:网络安全;入侵防御;蜜罐技术
中图分类号:tp393文献标识码:a文章编号:1009-3044(2010)16-4381-02
ResearchandDesignforCampusnetworkintrusionpreventionSystem
ZHoUFeng-jie1,2
(1.SchoolofComputer&information,HefeiUniversityoftechnology,Hefei233099,China;2.anhuiVocationalcollegeofelectronics&informationtechnology,Bengbu233000,China)
abstract:inthispaper,theimportanceofsecuritycampusnetworkstarting,andproposedtheintroductionofthecampusnetworkintrusionpreventiontechnology(ipS),thefinaldesignahoneypottechnology-basedcampusnetworkintrusionpreventionsystem,usingopensourcefreesnort_inline,netfilterandHoneydbeachieved,ontheuniversitiesandSmesinnetworksecuritysystemofactivedefensehassomereferencevalue.
Keywords:networksecurity;ipS;honeypot
校园网已经成为高校的重要基础设施之一,是高校教学、科研、管理的重要手段和平台,校园网的网络安全问题日益突出。近年来,校园网安全事件屡屡发生,导致高校的重要信息的泄密、破坏,正常网络服务无法进行,更有甚者导致校园网瘫痪,造成无法估量的损失。校园网的安全隐患,给校园网的维护和管理带来严重挑战,成为校园网管理和维护中主要课题[1]。
ipS(入侵防御系统)被认为是防火墙之后的第二道安全闸门,它作为一种主动的网络安全防御技术,从网络安全立体、多层次防御的角度出发,对防范网络攻击提供了主动的实时保护,能够在网络系统遭到破坏之前拦截和响应[2-4]。本文通过校园网入侵防御系统的研究与设计,有助于校园网主动防御安全体系的构建,加强校园网安全保障。
1校园网入侵防御系统模型设计
校园网入侵防御系统由防火墙、nipS和蜜罐系统三级防御体系组成。防火墙部署在内网和外网之间,监控内、外网之间的访问流量,保障内网安全。nipS部署在防火墙之后,检测网络流量,并对攻击进行主动防御。蜜罐作为独立系统部署,一方面蜜罐是防火墙很好的补充,它能够伪装成被攻击的主机和攻击者交互,捕获黑客的入侵活动并记录日志,利用这些日志信息可以制定出新的安全策略,更新检测规则和防火墙的策略,从而起到弥补误报、漏报缺陷和完善防火墙安全策略的作用。另一方面,蜜罐吸引攻击者对真实网络的注意力,让攻击者把时间都花费在对蜜罐的攻击上,保护了真实网络的安全,减小了防火墙和未能检测到的攻击对网络造成的损失,提高了加强网络防范的效率。可见由防火墙、nipS和蜜罐系统三级防御体系构成的校园网安全防御系统大大降低了网络攻击所造成的损失。
校园网入侵防御系统的总体框架如图1所示。整个框架由防火墙系统、nipS、蜜罐系统、日志管理系统和系统控制中心组成。从图中可以看到,防火墙、nipS和蜜罐系统将各自的日志/报警信息交给日志管理系统;日志管理系统负责收集日志/报警信息并将信息交给系统控制中心处理。系统控制中心负责分析日志/报警信息,根据分析结果制定出新的安全策略并及时更新防火墙策略和nipS的检测规则。另外,系统控制中心还负责集中控制防火墙、nipS、蜜罐系统和日志管理系统的运行。
2校园网入侵防御系统实现
网络安全是个复杂的问题,必须综合采用多种安全技术,并将其有机整合到一起构成统一的网络安全防御体系。当前在互联网上以开放源代码为代表的免费资源非常多,应加以采用。通过努力设计校园网的网络安全系统,不但充实了知识,还为学校节约了大量资金,并且更能适应校园网的具体要求,便于在今后的应用中维护与更新。
2.1校园网nipS的设计
校园网安全主要是针对校园中的学生黑客,学生黑客大多采用现成的技术和工具,相应的特征库很容易提取,所以本文采用了基于特征的人侵检测技术。采用基于特征的检测技术应用在校园网的主动防御体系中有以下两个明显的好处:一是可以准确快速根据特征检测出攻击;二是在校园网主动防御体系中加入了蜜罐系统,对于一些新的攻击技术和特征也可以通过蜜罐系统提取,添加到人侵检测系统的特征库中。校园网nipS中的检测模块采用Snort-inline来实现。nipS中的防火墙模块负责实现主动防御,该模块首先获取数据包,并根据入侵检测模块的检测结果采取相应防御措施,该模块由Linux的netfilter防火墙实现。图2是Snort_inline与netfilter的联动实现ipS的示意图。
2.2蜜罐系统的设计
本文采用低交互的产品型蜜罐来实现蜜罐系统。Honeyd是Linux下的开源蜜罐,容易部署、风险较小并且不容易被入侵。蜜罐系统通过模拟操作系统、服务进程、协议、应用软件的漏洞、脆弱性来诱骗入侵者。它能在网络上创建并运行虚拟主机的后台程序。通过配置,虚拟主机可以运行任意连接和服务,并且能够提供真实的服务以致看起来就像是运行在真实的操作系统上。使入侵的受害者在实际系统的内容没有毁坏或暴露风险的情况下可以确定入侵者的意图、记录下入侵者的信息。
蜜罐主机以旁路的方式部署在防火墙和nipS的后面。如图3为蜜罐系统与其他系统的交互图。网络遭受攻击时,蜜罐系统与其交互,收集并记录攻击日志,通过发送日志消息上报日志管理模块。日志管理模块收集蜜罐日志并将其上报系统控制中心。系统控制中心分析日志并制定新的安全策略,及时更新检测规则库和防火墙的安全策略,弥补误报、漏报的缺陷和防火墙的不足。
2.3日志管理模块的设计
日志管理模块主要功能是通过日志/报警收集进程及时收集Snort_inline、netfilter、Honeyd所产生的日志/报警信息,并通过日志发送进程将这些信息发送给日志服务器,如图4所示,日志/报警信息采用mySQL数据库方式存储,日志服务器和其他各个模块交互采用客户机-服务器(C/S)模式。
2.4系统控制中心模块的设计
系统控制中心是整个系统的核心,一方面负责分析日志/报警信息并制定相应的安全策略,及时更新防火墙和nipS的策略;另一方面对防火墙、nipS、蜜罐系统和日志管理系统进行统一调配和集中管理。系统控制中心的设计如图5所示。
可以看出,系统控制中心由系统控制进程和日志分析及策略制定进程组成。日志分析和策略制定进程负责向日志服务器发出请求并获得日志信息,分析日志信息并制定出新的安全策略,然后将新的安全策略交由系统控制进程响应。一方面系统控制进程向防火墙、nipS和蜜罐系统发送控制消息进行集中控制;另一方面对防火墙和ipS的日志进行更新。系统控制中心的实现基于web服务器的访问,web服务器采用Linux上的apache服务器实现,编程基于pHH编程和mySQL数据库的访问技术。
3结束语
本文设计了基于蜜罐技术的校园网入侵防御系统,并采用开源免费的Snort_inline、netfilter和Honeyd加以实现,对高校及中小企业建立主动防御网络安全体系有一定的参考价值。
参考文献:
[1]刘刚.高校校园网安全问题解析[J].铜陵学院学报,2006,1:90-91.
[2]尹传勇,刘寿强,蒋建勋.从iDS到ipS的主动防御体系研究[J].计算机安全,2003,9:22-24.
校园安全管理策略篇6
【关键词】校园一卡通;安全性;分析和设计
1引言
校园一卡通在高校的应用非常广泛,对于提升高校校务管理效率、优化学生学习、老师教学方面具有非常重要的作用,但是目前校园一卡通的安全问题不容忽视,特别是很多学生通过一卡通在学校超市、图书馆以及餐厅进行消费,所以很多黑客通过盗取一卡通密码或者其他信息来获得不法收入,对校园一卡通的使用和推广造成一定的困难和威胁。本文结合校园一卡通的各种应用来具体分析校园一卡通的安全设计和分析,从而为学校数字化建设提供安全策略方面的支持。
2一卡通安全目标和设计原则
校园一卡通的主要应用体现在消费、门禁、身份识别以及融入学校信息管理系统成为校园数字化的基础和核心。校园一卡通不仅仅是学生在使用,凡是在学校的工作人员都可以会涉及到校园一卡通。可以说校园一卡通就是学校内部的身份系统,如果校园卡的安全性存在问题,那就会影响到整个系统的正常运行,进而会对整个学校的正常运行都会产生不良的影响。因此在建设校园一卡通系统时,安全性是放在最为重要的地位的。
在安全性设计和目标上一定要充分考虑到多方面的因素,从卡片、读卡机具以及服务器和软件、网络安全、软件安全、运行管理等诸多方面进行安全控制。在安全设计上应该紧密结合当前先进的安全技术以及管理手段来对确保系统的安全性设计能够得以贯彻执行。另外在系统的使用过程中,还需要对安全技术和管理方式进行升级,以应对可能存在的新的安全问题。
3一卡通安全策略设计和分析
校园一卡通系统主要有两大模块构成,分别是硬件模块和软件模块。
3.1一卡通硬件方面的安全策略
(1)卡片以及有关卡片的读取设备的安全策略
目前校园一卡通的卡片主要有两种,一种是iD卡也就是射频卡,另一种就是iC卡。相对于iD卡来说,iC卡仿造难度大,所以有利于卡片的安全性,目前校园一卡通所使用的卡片大多数选用的就是iC卡。iC卡主要是通过天线感应进行读写操作,这就意味着一旦在读写设备附近有电磁干扰就会导致读写错误。因此可以通过将相关信息分别放在iC卡的不同扇区就能够有效的防止这种读错的概率。另外为了防止iC卡被仿制,还需要在卡内增添信息校验算法,这样就算是能够从电子的角度上仿制一模一样的卡片,但是却不能够盗取卡片里的经过加密的信息。
读卡设备主要有poS机和圈存机两种,其中poS机是使用最为频繁的设备,各种消费以及门禁授权方面都需要使用到poS机,所以poS机的安全稳定性是非常关键的,一旦出现读取数字错误,将原本消费只要10元变成100元,或者是100元变成10元都会对消费者和经营者造成损失。为了提升poS机读写数据的安全属性一方面要从读写电路上设计安全性保护。另一方面在iC卡中还要存贮备用数据,一旦发现错误可以通过追溯的方式恢复。
圈存机是一种将银行卡中的账户金额转存到校园卡上的一种设备,这种设备操作时间较长,由于涉及到金额的转存,如果圈存机出现安全问题就很容易造成经济上的损失。因此需要从两个方面解决,其一在持卡人意外从圈存机中取出校园卡后的安全恢复设计,防止校园卡改存上银行卡账户的金额而没有存储上的问题。
(2)网络硬件方面的安全策略
一卡通系统主要是依托于整个校园网建设的,所以校园网的安全性也往往影响到一卡通系统的安全属性。如果网络设备损害或者出现故障就会导致数据的存贮问题、因此为了确保数据传输的稳定和安全,要制定硬件设备安全管理制度,加强巡检以及服务器数据的备份工作,在网络设备上要尽可能的增添冗余设备。为了确保校园一卡通的网络资源的专属性,就需要通过建立VLan虚拟专用网络的方式来完成对源地址和目的地址的访问控制。
3.2一卡通软件方面的安全策略
(1)数据库的安全策略
在软件方面,数据库的安全重要性是不言而喻的,校园卡中的所有信息都通过中心数据库进行转存,校园卡的任何交易都会记录在数据库中,是校园卡系统实现的基础。因此对于数据库的安全策略需要从三个方面进行解决:
其一要做好备份,这个备份不仅仅是对数据库的备份,而是从服务器开始,准备另一台服务器进行双机热备份,实现两台服务器数据库的同步;
其二要定期升级杀毒软件以及防火墙软件,防范黑客攻击主数据库盗取数据库中的重要数据,在操作系统上要采用更加安全的服务器操作系统,关闭一些和互联网连接的服务,比如meetinG服务,远程组件服务等;
其三要对数据库进行安全设置,为数据库中的数据增加加密保护层,同时设置密码,将数据库中的默认密码全部修改,同时利用数据库中的角色为不同的使用者设定权限,确保数据库中的数据使用能够得到授权和监控。
(2)软件系统的安全策略
一卡通系统软件在使用上需要通过各种控制和授权来提升软件的安全属性。圈存机在校园卡系统中类似银行的atm设备,不过很多用户都喜欢在柜台上办理金融事务,所以很多学生在校园卡系统中,也会选择通过柜台办理有关事宜,因此就需要对校园卡软件系统设置一定的权限,普通的操作员只能够进行存储操作,但是不能够进行删除操作。
具体的安全策略可以从登录控制、操作员权限控制以及数据库防止篡改和日志监控这四种方式进行。通过登录控制能够防范非法用户进入软件系统。通过操作员权限和数据库防篡改能够有效的规避数据风向。而日志监控手段则能够对某些拥有权限的管理者非法使用其权限进行监控,从而全面提升软件系统的安全性。
(3)交易数据的安全侧路
在一卡通系统的交易过程中,poS机会包含大容量的稳定的存储空间,能够保存足够多的黑名单以及脱机交易记录。当poS机的内存芯片存储的信息快要满仓时,就会发出警报信息。当poS机中的数据满仓时就会立刻报警并停止消费工作,这种设计能够保证poS机中的存储的信息的安全性。
另外在存储脱机交易的流水信息时,这些信息记录都会经过加密算法确保数据不被篡改。读卡机本身要在一卡通系统软件中进行注册,非注册的读卡器或者poS机是非法机,poS机中的所有数据通过通讯器传入到系统软件中都要经过数据校验,以确保采集的数据的正确性和合法性。
当数据传输过程中一旦出现硬件损害或者网络故障时,此时需要在poS或者读卡机等设备中增加可以重复采集的功能,也就是说当采集脱机信息时,只是通过内存中的指针移动内存地址找到相关信息并传输到软件系统,内存里存贮的信息并没有删除,这样只要重新采集就能够解决因为数据通讯故障导致的数据丢失问题。当然为了保证poS内存中的指针的安全性,也要增加多个指针设计,这样能够确保指针损毁导致数据读不出来的问题。
(4)网络数据传输的安全策略
目前一卡通系统大多数采用的是三层架构。软件中的诸多功能都是通过web服务来实现,用户能够通过浏览器来实现远程访问和控制,这样有利于提升软件的便捷性和易扩展性,但是同时也给安全带来了巨大的隐患。因为数据是通过网络传输,如果没有经过加密和认证那就很容易被黑客窃取到这些数据,所以为了确保校园一卡通的安全属性,可以采用Ca认证方案,当然也可以采用U盘密钥式认证。这能够有效地防范数据在网络传输过程中被盗取的问题。
另外所有接入校园一卡通的系统,都应该采用加密方式完成对身份的认证,目前大多数都是采用eKey技术,这是经过国家密码管理委员会认证的硬件加密产品,能够有效提升数据传输安全。
(5)防范网络病毒策略
这是影响校园卡系统安全的另一个非常重要的难题,而且随着网络安全威胁越来越重,这方面的问题也会变得越来越突出,因为一卡通系统采用的B/S架构模式,少不了会和互联网有联系,这就很容易为客户机甚至是服务器找来木马以及其他的病毒,所以要想提升校园卡系统的安全属性,就需要严格进行防范网络病毒的策略,除了安装企业版的网络防病毒产品之外,还需要制定信息安全管理办法,来控制操作员的不当使用。与此同时还要定期为杀毒软件升级,系统尽心升级,修复系统漏洞,引入最新的病毒防范技术,从而全面的提升整个网络系统的安全性。
4结束语
数字化校园不仅仅能够提升校园管理的效率,更是校园现代化的一个重要体现,能够对学校的发展起到积极的推动作用。校园一卡通作为数字化校园的核心系统,其安全性设计的重要性是不言而喻的,但是任何的安全防范策略都是百密一疏,所以当学校在使用一卡通系统时,要建立良好的安全防范制度,不仅仅要从技术上来提升和促进一卡通的安全性,还要从管理制度上来不断优化一卡通系统,从而提升系统的安全性。
参考文献
[1]丁蓉,余海芸.保障青海大学校园一卡通的网络安全策略[J].价值工程,2012年10期.
[2]齐冠然.基于数字化校园架构的智能卡管理系统设计与实现[D].郑州大学.2010年.
[3]金华,赵烽.ata5567卡有源仿真设计与实现研究.信息网络安全,(7),77-79,2012.
[4]张敬涛,李向阳,邹秀香.校园一卡通系统的应用研究[J].山东师范大学学报(自然科学版).2008(03).
[5]王永明.校园一卡通系统的基础平台建设和应用功能分析[J].智能建筑与城市信息,2009(01).
作者简介:
校园安全管理策略篇7
通过对数字化校园建设中的网络信息安全隐患,以及影响校园网络安全因素进分析,针对校园网安全需求,制定相应的安全策略、产品选择及部署方案,保障在数字化校园实施过程中的网络信息安全。
【关键词】
数字化校园;网络;信息安全
数字化校园[1]建设是高校信息化建设的重要内容,数字化校园以网络和数字化信息为基础,在校园网络的基础上建立起来的对教学、管理、科研、技术服务等校园网信息的集合、处理、存储、传输和应用,使得各种数字化的资源能够通过信息平台充分利用,实现学校教学管理的数字化,打破传统的校园网络概念,多维度拓展校园网的应用空间,提升校园网的运行效率,从而达到提高管理水平和效率的目的[2]。随着数字校园建设的不断深入发展,各大高校逐渐建立起了庞大的网络系统与信息系统,如何在此基础上构建一个安全的网络信息环境,抵御各种潜在的风险,保障整个系统安全可靠的运转,是数字化校园建设是最为重要的课题。
1.数字化校园网络信息安全隐患
数字化校园相对来说是一个封闭的内部运行环境,它的应用主要来至于内部教职员工和学生,但同时也是一个开放的环境,其应用打破了时间和空间的限制,对于使用者来说随时随地都可以对系统进行访问,所以其安全隐患既可来至学校内部也可以来至外部。通过分析数字化校园建设的安全隐患主要包括以下几个方面:(1)外部闯入闯入是一种最常见的攻击方式,不法分子为了达到某种不可告人的目的,闯入校园内部的计算机里,如普通合法用户一样使用学校内部的电脑,进行各种非法操作,如果闯进各种应用服务器里,其后果就不堪设想。(2)导致拒绝服务网络攻击者为了破坏学校各重要系统正常的运行,通过拒绝服务的方式攻击系统,使系统无法正常运行。拒绝服务的攻击方式原理就是攻击者利用大量的数据包“淹没”目标主机,耗尽可用的资源至系统崩溃,而无法对合法用户作出响应[5]。如:往某远程主机发大量数据或占用远程主机资源,从而导致远程主机瘫痪、重启、死机或蓝屏。(3)信息窃取攻击者通过病毒程序、木马程序、网络工具,窃取校园网重要的数据信息。比如使用网络嗅查器(Sniffer)监听系统中传输的如用户名、口令、或银行账号等重要信息等。在校园网络中通过信息窃取获得学校关键的数据,对数据的安全造成不可估量的损失。(4)内部泄密最危险的敌人潜伏在身边,数字化校园建设的推进的过程中,内部泄密已经成为校园信息安全最直接的威胁。经权威机构统计发现:来自企业内部安全威胁有超过85%;来自内部未授权的访问占16%;中国国内存网站存在安全隐患占到80%,其中20%的以上网站安全问题特别突出。
2.校园网安全考虑因素分析
通过对数字化校园的安全隐患的分析,结合现有网络的安全状况,在数字化校园建设过程中应主要从如下几个方面入手来考虑安全因素及防范措施:
2.1从物理安全方面考虑
校园网中物理硬件包括:各种服务器、工作站、交换机、路由器、存储器、通信设备、电源等,物理安全主要考虑的是避免这些设备人为的、自然环境的破坏。要保证校园网络的物理安全应从机房的安全管理措施及安全环境等入手来加以考虑。
2.2分段隔离技术
根据校园网的各个部门功能、安全、保密等不同水平,要求将校园网络进行差异分段隔离,通过安全隔离将攻击和入侵造成的威胁限制在较小的子网范围内,提高数字化校园网络的整体安全水平。校园网络可通过路由器、虚拟局域网VLan、防火墙等技术分段来实现。
2.3信息加密认证
为了保证校园网内的数据、密码、文件、网络会话和控制信息等的完整性,信息加密的是必不可缺少的安全防护手段。通过各种认证与加密技术对数字化校园网络重要的数据信息访问请求进行认证加密,以防止重要信息的泄漏。
2.4安全漏洞扫描
安全漏洞扫描是校园网络安全防御中常用的手段,就是采用模拟攻击的方式对工作站、服务器、路由器、交换机、数据库等各种目标对象,可能存在的已知安全漏洞进行逐项检查。根据漏洞扫描结果提交安全性分析报告,供网络管理员参考,为提高整体网络安全水平提供依据。
2.5网络反病毒
随着新技术的进步,网络病毒向综合性方向发展,许多网络病毒兼具文件感染、木马、蠕虫、黑客攻击等功能,同时传播途径向多样化方向发展,可通过电子邮件、共享目录、浏览网页、网络漏洞进行传播,甚至有些网络病毒能够跨平台,可感染多种不同类型的操作系统。通过统计来看现在许多网络安全事件都是由网络病毒引起的,因此在数字化校园的建设中,可针对性的采用防毒软件,实时扫描监控、查杀病毒来保护校园网系统的安全。
2.6网络入侵检测
校园网络入侵检是通过一定的监测手段,对网络上发生的入侵行为进行监测,通过收集和分析网络行为、审计数据、日志及其它网络信息,检测系统是否存在有违反安全策略的行为和被攻击的对象,如果发现有攻击或其它不正常现象就截断网络连接、记录事件和报警。在校园网建设过程中网络入侵检测应结合防火墙、反病毒软件联动,有效的阻断黑客与病毒对系统的攻击。
2.7网络最小化原则
从网络安全的角度考虑问题,打开的服务越多,可能出现的安全问题就会越多,所以校园网安全应遵从“最小化原则”对服务器进行配置:首先在服务器上安装系统要最小化,一些可有可无的应用程序不要安装;在服务器部署单一的服务应用程序,这样可把服务器的风险降低到最小范围;在配置服务器使用权限时,有针对性的开放只需要的权限,从而限制用户的操作行为在最小的范围之内,不需要的账号要及时删除等。
3数字化校园安全策略
通过对数字化校园网络拓扑结构的分析,可知校园网构成了一个intranet系统,学校本部的主干网络通过网络运营商DDn专线与外网相连,在其中运行有学校网站服务器系统,各部门的网站服务系统,教务管理系统,招生就业系统,oa办公自动化系统等及内部服务器系统。而学校本部的网络系统和分校的子网络系统的通过internet公网来完成连接通信。
3.1校园网安全需求分析
通过对校园网络安全因素及数字化校园体系结构分析,要保证校园网各重要服务器或部门子系统的安全,有如下安全需求:(1)保证服务器系统的安全。学校的服务器主要包括学校网站服务器、部门网站服务器、部门应用服务器、数据库服务器、内部服务器等。这些服务器上运行有重要的应用系统,如学院的oa系统、教务管理系统、招生就业管理系统、财务系统、科研管理系统,所有这些系统的安全防护对学校正常的工作运转起着关键作用。(2)学校总部和分部的内部网络安全。学校内部的网络会不时遭到黑客攻击,还有各种木马病毒的攻击,内部网络安全是数字系统能够正常运行基本保证;(3)网络用户身份识别与认定。学校用户量大,包括学校教职员工、学生、外访客,要求必须有一套完整统一的身份认证与识别系统,保证合法用户对系统的访问;(4)重要数据传输安全问题。在学校总部与分部之间、内部用户到服务器、应用服务器到数据库服务器之间,要求传输数据的安全性与完整性,不受第三方截取、破坏。(5)保护学校重要部门。如财务部门、教务部门、招生就业部门等重要应用系统及资料文件,如果这些部门系统遭到破坏造成数据丢失,会造成不可估量的损失。
3.2安全策略制定
根据学校数字化校园安全需求分析制定如下安全策略:(1)校园网物理安全策略:包括学校服务器机房环境保护措施、出入管理制度的制定、安全责任制度、灾难备份与恢复方案、应急电源启用,突况预警等;通信线路、路由器、交换机,无线通信设备安全策略。(2)内外访问控制策略:为学校本部与分部之间,学校内部网与互联网之间、外部网络用户与校园网络之间的实际需要制定访问控制规则,保证相互通信的安全,禁止非法访问;(3)安全配置及管理策略:对各服务器管理系统、安全产品、部署的应用服务系统,设置各级权限及信任关系,防止越权操作破坏系统;检测漏洞及修补、设置安全规则、安全审计及日志分析等。(4)认证安全策略:建立统一身份认证系统,并制定密码复杂规则,信息传输认证加密等规则;(5)突发事件应急策略:针对黑客攻击入侵、各网络病毒的破坏、自然灾难导致的结果制定应急处理法和恢复计划。
3.3选择安全产品及部署
针对校园网的安全需求及相应的安全策略,选择成熟有效的安全产品,把校园网的安全管理与安全产品有机的结合,解决数字化校园的网络安全,使网络的风险降到最低的限度。(1)交换机选择:根据交换机传输率及品质选择稳定可靠的交换机,部署在各个子网接点上,进行VLan划分使各个子网隔离、抵抗各种病毒与工具软件的攻击,尽量把风险控制在各个子网中。(2)防火墙选择:防火墙是一种软件与硬件的结合体,通过访问规则控制内外网络之间的信息交换,把不符合访问规则的请求拒之于门外,从而保护系统的安全。在构建数字化校园的时,应选择功能强大的防火墙部署在校园网与外网之间,重要部门的子网与内部网之间,或安装个人防火墙于客户端,从而阻断各网络之间的非法访问,保障系统的最大安全。(3)建立虚拟私有网:在特殊情况下可以建立虚拟私有网(Vpn)在两点之间建立可靠的安全连接,保证数据安全传输。(4)网络身份认证:网络认证包括静态密码、智能卡、短信密码、动态口令、生物识别等方式进行认证,可根据实际情况选择相应的产品,部署在专用认证服务器或需要认证的服务器系统中。(5)反病毒软件部署:包括金山、瑞星、360、卡巴斯基等防毒软件能够查杀大部分的各种流行病毒,可部署在校园网各应用服务器中及客户端个人计算机中,防范各种病毒对系统的破坏,从而保证系统的安全。(6)入侵检测系统:入侵检测系统是对网络安全攻击的一种主动防御设备,可对网络传输进行实时监控,对可疑的入侵采取主动反应措施或发出警报,主要部署在需要重点保护的服务器主机和子网中。
3.4安全教育与培训
在数字化校园安全方案里面,需要对学校的全体教职员工,特别是网络管理人员及部门负责人进行安全教育,掌握基本的安全知识,能够熟练的掌握和应用安全产品,从思想上提高安全意识,阻止或避免可能发生的安全事故。培训内容应包括以下知识:网络基本知识掌握;各种计算机网络病毒诊断与防治;掌握各种网络入侵手段,分析解决应对办法;各操作系统、应用服务器、安全产品的安装和安全配置;校园网络系统的安全管理和维护及重要数据备份与恢复。
4结束语
综上所述,数字化校园建设是利用现代网络科技手段实现学院信息化、管理科学化的重要手段,它是一个开放的过程,不断发展变化逐渐完善的过程,在这个过程中,对于信息安全因素的分析及安全策略的制定与实施,具有非常重要的意义与价值,制定合理的安全策略是整个信息化建设中是必不可少的环节。
作者:唐权周蓉单位:四川职业技术学院
参考文献:
[1]张新刚,田燕.数字化校园信息安全立体防御体系的探索与研究[J].实验技术与管理,2012-10
[2]王楠,乔爱玲.高校数字化校园规划体系结构与流程[J].中国电话教育,2008-1
[3]彭琣,高琣.计算机网络安全及防护策略研究[J].计算机与数字工程,2011-1
校园安全管理策略篇8
由于历史原因,导致现时该校的网络设备型号各异。就品牌而言,目前就有几种:思科、神码、tp-LinK等。现在使用的操作系统也有不同,有一些现在使用的是win7,而有一些在使用Xp或win2003或其它,这么多种型号的设备及操作系统,就要求我们的校园网一定要有极强的灵活性,能够灵活地面对各种设备及操作系统。同时因为现在移动办公的重要性越来越突出,所以我们的校园网也要求能灵活地适应各种移动办公的需要。
2实用性要强
校园网面向的用户决定了校园网必须具备很强的实用性。只有一个便于管理、维护的实用性网络,才可减少网络用户运用网络的难度,从而降低人为操作引起的网络故障,并可使更多的人发挥校园网的各种功能。根据该校的实际情况,建网时应考虑充分利用智能化校园网系统的功能,在先进性和可靠性及高性价比的前提下,通过优化设计和管理达到经济性的目标。不降低智能化校园网系统的功能与技术先进性,以满足信息时代的需要。
3校园网络管理策略
随着计算机多媒体和网络技术的不断发展与普及,,校园网的稳定安全和网络瓶颈等问题给校园网的管理增添了更大的难度。因此,必须有一套系统地分析和管理校园网的思路与对策。以下将从该校校园网的具体需求出发,针对设备、用户、管理者自身提高以及安全等四个方面谈一下相关的校园网管理策略。
3.1设备管理策略
设备安全是校园网网络运行安全的首要环节。所以,网络设备管理一定要综合统筹规划。要加强网络管理员对网络设备的管理,而网络设备是整个网络管理中的重点,以下就从设备购置、设备配置以及设备维护三个方面进行说明。首先在设备购置的时候,一定要利用目前成熟的技术和产品,并在此基础上考虑超前性,保证在五至十年内所建成的网络能满足进一步的需求并且不会落后于时代。为了使设备能进行灵活配置并且能降低以后的维护工作量和维护费用,尽量统一配置设备的规格和型号,这样设备之间的兼容性相对较好,以后在更换设备的时候,可以避免设备不兼容的现象发生。在设备购置时还要考虑如何避免大面积出现老化的问题,这就要求学校在采购或更换网络设备的时候一定要避免一次性购买大量同种设备。其次在设备配置过程中要求网络管理员通过配置网络设备,例如:交换机、路由器等,在校园网中实现VLan的划分、端口监控、控制网络流量以及防止外部攻击等功能。另外,管理员在配置网络设备的过程中尽量通过命令行来进行配置而不是通过weB界面来管理网络设备,这样能提高网络设备管理的安全性。最后在设备的维护过程中,要建立一套完善的《网络设备检测维护制度》,并要求网络管理人员严格按照《网络设备检测维护制度》定期对网络设备的硬件和软件系统进行检测和维护,在检测和维护过程员一旦发现问题,一定要及时处理,并将检测、维护及处理的相关记录通过纸质和电子存档,同时要严格保证网络设备运行的工作环境。
3.2用户管理策略
在网络管理中,要注重对用户的管理,通过用户管理可以规定用户使用校园网的方式,控制和统计用户使用校园网的过程,确保用户能正常使用校园网。目前,用户管理主要有两种技术:一是地址绑定技术,通过给每台接入校园网的计算机分配一个固定的ip地址,把这个ip地址和合法用户的计算机网卡的maC地址绑定后,实现用户与ip地址逻辑绑定,同时通过网络交换机端口与用户信息点的物理绑定完成全法用户的地址绑定。二是用户认证技术,每个校园网用户需要申请一个帐号,同时对这些帐号进行分级分权限管理,并授予用户一定的访问与操作权限、分配不同级别的资源给不同的用户;当用户离岗、离职时应及时变更或删除用户及权限,保证网络信息系统安全。做为校园网管理,考虑到其的灵活性和方便性,建议最好采用用户认证技术,当然对一些特殊的人员和部门也可以采用地址绑定技术。
3.3安全管理策略
校园网的安全威胁既有来自校内的,也有来自校外的。目前校园网的安全问题有其历史原因:在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普通存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网和互联网之间放一个硬件防墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。所以对于校园网来说,如何构筑一个相对安全可靠的校园网络安全体系,也变得越来越突出了,而要构筑一个相对安全可靠的校园网络体系,要从两个方面着手:一是采用先进的技术手段;二是不断改进和完善管理方法。
3.4管理员自身提升策略
不断提升网络管理人员的能力是网络管理的根本之道,现在的网络管理对管理员也提出了新的要求,要求他们不但要设备的维护能力还要具备一定网络管理能力,这就对网络管理员的技术水平有了较高的要求。另外,由于计算机网络技术的更新日新月异,网络管理员要不断地学习先进的知识和技术才能应对越来越复杂的校园网需求。这就要求管理员在平时工作的过程中一定要加强自身专业水平的提升,不断研究新的网络技术,真正做到“活到老,学到老”。最后,学校也要定期派相关的管理人员进行有针对性的培训。
4网络管理具体实施措施
4.1安装查杀病毒服务器
校园网络安装查杀病毒服务器,其目的在于:要在整个局域网内杜绝病毒的感染、传播和发作。为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。该校目前采用的是金山毒霸网络版7.0,该软件采用了业界主流的B/S开发模式,由控管中心、服务器端和客户机端三个相互关联的子系统组成了防病毒体系,并且具有强大的病毒查杀能力、双向过滤邮件病毒、实时监测病毒、快速可定制的安装部署、可移动的web管理平台等功能,能够有效拦截和清除泛滥的各种网络病毒。目前该杀毒软件已在该校园使用了近三年时间了,教师和学生对该软件的反映都比较好。
4.2采用VLan技术
VLan技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLan技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。划分VLan后,由于广播域的缩小,网络中广播包所消耗的带宽减少,有助于控制广播风暴的产生、减少设备投资、简化网络管理、提高网络的性能和安全性。该校目前的VLan的划分大致是按功能区进行划分的,学校共划分了15个VLan,并对每一个VLan的流量进行了控制。该校在进行VLan划分的时候采用的是基于端口划分的VLan。这种划分VLan的方法是根据以太网交换机的交换端口来划分的,它是将VLan交换机上的物理端口和VLan交换机内部的pVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLan交换机。
4.3安装硬件防火墙
互联网攻击者威胁着校园网络中基础设施和数据资源的安全。而多数网络地址必须转换成可在互联网上路由的地址,防火墙即是执行此功能的逻辑地点。目前,防火墙安全性已成为每个互联网边缘部署的必要组成部分,因为它在保护信息的同时也可满足企业对安全可靠的网络的需求,同时还能够通过执行策略来保持员工的工作效率。目前该校校园网使用的是CiscoaSa5525-X防火墙,该防火墙设计采用了单个互联网连接,在同一对提供防火墙功能的CiscoaSa中集成了远程接入Vpn功能。防火墙拓扑图如图2所示。
4.4安装入侵检测系统
入侵检测系统(iDS)是防火墙的合理补充,帮助系统对付网络攻击。它扩展了网络管理员的安全管理能力,提高了信息安全基础结构的完整性。目前该校网络管理中安装了“萨客嘶入侵检测系统v1.0”,该系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的实时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和阻止入侵。它具有以下主要功能:入侵检测及防御功能、行为审计功能、流量统计功能、策略自定义功能、警报响应功能、ip碎片重组、tCp状态跟踪及流重组等。目前该软件在该校的网络安全防护中发挥着重要作用。
4.5定期进行漏洞扫描
随着软件规模的不断增大。系统中的安全漏洞或“后门”也不可避免地存在。因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。在进行漏洞扫描是要注意两个方面,一是定期安装各操作系统的补丁程序,在这一点上,该校的做法是,一旦有操作系统的补丁程序更新,首先在学校中心机房的服务器上安装,并把该补丁程序上传到学校的Ftp服务器上;然后再通过该校的oa软件,告知教师和各实训室的管理人员安装最新补丁程序。另一方面,在学校中心机房的服务器上安装漏洞扫描程序,要求网络管理员每天都要运行漏洞扫描程序。该校现在使用的漏洞扫描程序是ShadowSecurityScannerv7.347。
4.6服务器数据备份
大家都知道,网络中心的数据备份是非常必要和重要的,因为通过数据备份可以保障网络中心数据的安全,防止网络中心数据的丢失。在该校的校园络管理中数据备份主要从以下两个方面来进行:一是通过制定数据备份规则和程序,在该校园网络管理中,为数据备份制定了一套详细的备份规则和程序,具体包括了:什么时间进行备份(每隔一个星期)、什么内容需要备份(全部数据备份)、谁负责进行备份(网络管理员)、谁可以访问备份内容(网络管理员以及相应有权限的人员)等等。二是通过一些技术手段,现在常用的技术手段有磁盘阵列(RaiD)、硬盘保护卡以及一些数据备份软件(Ghost)。现在中心机房主要是采用的是磁盘阵列来实现数据备份,教师机主要是通过Ghost软件来实现数据备份,而各实训机房的计算机是通过硬盘保护卡+Ghost软件来实现数据备份。正是因为严格遵循数据备份的规则和程序,再加上灵活地利用各种先进的数据备份的技术,该校网络中心从未出现过丢失数据的现象。
4.7用户管理方法
为加强校园网管理,完善校园网运行和使用规范,确保校园网安全和稳定运行,为学校的教学、科研、管理、服务营造良好的校园网应用环境,维护校园网用户的合法权益,并结合国家有关法律法规和学校相关规定,该校采用了以下用户管理方法,主要是从用户账号分类和上网认证方式两方面进行管理的。
4.8加强网络安全管理学习
校园安全管理策略篇9
关键词:区域中职;标准化校园网;建设方案设计
中图分类号:G718文献标志码:a文章编号:1673-9094-C-(2015)01-0041-03
调查可知,目前淮安市中职校园网建设存在容量明显不足、网络安全没有保障、网络管理手段落后、建设经费不足等问题。
一、区域中职校园网建设思路
近期,为夯实信息化建设基础,淮安市出台了《淮安市中等职业学校标准化校园网建设标准》,在总体设计上以“云服务”理念为核心,坚持统筹规划、统一标准、模块化部署、集中投入、校企共建的原则,建设以ipv4/ipv6双栈网络技术为基础,以有线无线一体化、统一身份认证管理、智能化资源管理为特色,高可用、高可控、高智能的云构架网络平台,以高度贴合用户应用需求,提供按需服务(如图1)。
整个系统分别由校园网络平台、数据中心平台和网络管理与网络安全平台三部分构成。校园网络平台主要由智能有线无线一体化泛载接入网、高速双栈骨干网、融合一体出口网构成;数据中心平台包括计算单元、存储单元、网络池等;网络管理与网络安全平台主要从网络正常运行与维护的角度考虑必备的软、硬件设施。
二、区域中职校园网建设方案设计
淮安市中等职业学校校园网建设方案设计主要以“四高”为标准,即“高贴合”的校园网逻辑拓扑图设计、“高可控”的校园网络平台设计、“高容量”的数据中心平台设计和“高可靠”的网络管理与安全平台设计。
(一)“高贴合”的校园网逻辑拓扑图设计
“高贴合”即是尽量满足用户应用需求,提供按需服务,从而根据各学校校园网现状,设计出科学的校园网络逻辑拓扑图。对两台核心交换设备进行虚拟化,在安全网关上做统一的出入口流控,行为日志、无线控制、身份认证、网管等由运维中心统一负责,校内各种服务、教学资源等数据全部集中在数据中心。见图2。
(二)“高可控”的校园网络平台设计
笔者认为,区域中职“高可控”的校园网络平台设计要以人为本、以客户需求为导向,其原则为“五个一体化”:一是“接入”一体化,通过将有线网和无线网无缝融合实现有线、无线客户端一体化全覆盖接入;二是“交换转发”一体化,通过aC控制器和有线交换机的一体化设计实现有线、无线流量交换转发可共用一张网进行高性能转发;三是管理认证一体化,通过统一网管平台和统一认证计费系统的一体化设计实现有线无线管理一体化、认证计费一体化;四是ipv4/ipv6一体化,有线和无线全线产品均支持全功能的ipv4/ipv6特性以及ipv4/ipv6一体化认证管理;五是安全认证一体化,有线无线均支持webportal/802.1X一体化、外网/内网一体化、准入/准出一体化。
(三)“高容量”的数据中心平台设计
数据中心是数据大集中而形成的集成it应用环境,是高性能计算、网络传输、数据存储的中心。作为it应用系统的核心,数据中心已成为支撑日常业务运作的重要核心,也是校园网建设的重点。因此,“高容量”的数据中心平台设计主要是注重“两大趋势”,即“整合化、虚拟化”。
一是整合化。随着云计算、FCoe、刀片服务器等新兴技术的引入与应用,有效地解决了整合问题。因为采用FCoe技术可有效将计算、网络、存储整合,在大幅降低设备和布线数量的同时也有效降低了人力、电力开支,从而大大降低了整体tCo,并充分简化了数据中心的物理架构、管理架构。二是虚拟化。虚拟化是一种用于共享资源,使单一的物理资源划分为许多个别独立的资源的技术手段,反过来虚拟化也可使得多个独立的物理资源整合为一个统一的资源。虚拟化的好处是以最小的成本创造更灵活的系统,可轻松地提供灵活的部署、先进的自动化,安全和易于管理。虚拟化的应用体现在3类资源上:服务器、网络和存储。数据中心设备要综合考虑服务器、存储、网络、管理、性能、业务连续性等因素,设计完整的云计算数据中心解决方案,整合服务器、存储系统、网络、安全设备等资源,形成安全可靠的虚拟主机群集,实现虚拟机热迁移,秉承“一体化容灾”特色,专注于解决虚拟化保护、存储保护、大数据量保护等难题。采用统一的管理界面可集中管理本项目的计算池、网络池、存储池、安全及优化池。要提供San存储网络架构,为虚拟化系统的部署提供统一存储空间,提供详细的存储网络架构方案,将新采购的服务器和存储设备进行整合形成为一体化的数据存储网络。方案架构设计要具有弹性的扩展能力,充分考虑用户未来的发展需求,直至实现本地与容灾端的双活云计算数据中心,最大程度降低投资风险。
(四)“高可靠”的网络管理与安全平台设计
网络管理是通过相应的管理系统对网络及其用户进行的管理,目的是保障网络及其信息服务系统的正常运行。网络安全是指通过制定网络安全政策和利用网络安全技术(包括软件和硬件)设备对网络系统和计算机系统进行安全防护。
1.网络管理设计。
一套好的网络管理系统能给学校及教师带来很大的帮助,并减轻很多繁杂的日常事务。随着学校信息化建设的逐渐展开,网络的层次也逐渐复杂。中职学校信息中心的教师人数一般不多,如何能高效、及时地管理好整个校园网络,防患于未然,堵漏于及时,是考核信息中心教师专业水平的关键指标。这种管理应针对网络平台资源、用户资源、数据资源、媒体资源进行统一配置与控制。
因此,淮安市中职的网络管理设计理念主要是做好“四种管理”。一是拓扑自动发现及管理,要设计一套软件能自动、准确、及时地发现各类大型网络的拓扑结构,并且可根据管理员设置自动完成更新;二是对设备进行管理,实时监控网络设备的CpU、内存、流量等性能指标,并可跟踪这些指标的变化情况,实时查看网络设备的网管信息,如端口列表、aRp表、Stp表、tCp/UDp会话表等信息,手动或自动备份网络设备的配置信息,监控主机的CpU、内存、磁盘等使用情况,监控Http、Ftp、pop3、Smtp、oRaCLe等应用的可用性;三是对链路进行管理,要监控网络链路的通断、带宽利用率、流量等信息,在链路带宽利用率超出阈值时报警,并可统计指定时间内链路的流量、中断时间等;四是对终端合法性监控,要设有合法性监测引擎设备,能在不额外消耗网络带宽的情况下,自动监测网内终端设备的基本属性(ip地址、maC地址、主机名、连接的交换机端口等),提供面向终端的安全性、活跃度、流量管理,并且可通过多种安全策略阻断非法终端接入。
2.网络安全设计。
网络安全是校园网建设的重点和要点,需要多维度、多层面考虑,结合充分的用户调研和实地验证,从接入安全防护、无线安全防护到边界安全防护、安全监控与日志全维度针对数字校园推出了整体安全解决方案,需解决用户所面临的所有网络安全问题。
淮安市中职校网络安全设计理念主要是注重“四个策略”。一是实施设备自身安全策略。为有效验证校园网的运营效果,就必须从接入层交换机开始,打造高效、安全、稳定的网络。对汇聚交换机提供完整的aCL策略,并使用不同的策略进行转发。通过aCL策略的实施,用户可过滤掉“冲击波”“震荡波”“红色代码”等病毒包,防止扩散和冲击核心设备。支持ieee802.1x基于端口的认证,为网络提供端口级的安全保证。配合RaDiUS等认证机制,可有效防止非法用户侵入网络;对无线安全的控制是在aC控制器中统一进行的,包括无线入侵检测、统一身份认证、统一门户、安全加密等,只需要网管人员配置安全策略到aC控制器上,就可完成整网安全策略的配置,除此之外还可结合aC和poe交换机的安全特性,轻松部署aRp立体防御、DHCpSnooping、ipv6SaVi、aCL等安全策略,有效实现无线网络的高安全防护能力。二是增加“关键协议绿色通道”策略。保障正常、合法、速度合理的关键控制报文(VRRp、Stp、mStp、Rip、oSpF、BGp、组播协议、双引擎板间心跳等)在大流量业务下不被淹没,快速处理不中断。三是使用先进的Lpm技术策略。可抵抗“冲击波”病毒、“zeroday”病毒、“SQLslammerwarm”病毒等。四是实施可控制策略。在端口信任模式上检测非法BpDU、非法DHCpServer等,从而保障网络的安全。
中职校园网建设是一个动态的、长期的过程,随着信息化建设的不断加快,多种接入方式并存、数字化学习资源总量不断扩充、各种教育管理业务的集成、天地网络全覆盖等对计算机网络建设的需求越来越高。因此,区域中职标准化校园网建设要加强顶层设计,坚持需求导向,强化信息共享、业务协同和互联互通,突出建设效能,努力向着高度开放、高度集成、高速互通、虚拟智能、移动互联等多维度方向全面展开,有效提高网络服务水平。还要加强经费投入,保持校园网的先进性,定期培训网管人员,更新设计人员理念,为区域信息化建设水平的整体提升打下坚实基础。
apreliminaryStudyontheConstructionplanofRegionalSecondary
VocationalStandardizedCampusnetwork
LiUFu&FUYu-hai
(JiangsuHuaiyinBusinessSchool,Huai'an223003,Jiangsuprovince)
校园安全管理策略篇10
关键词: 校园网格;网格系统;网格服务
网络技术在飞速发展,校园网络也在不断革新,本文结合实际探索校园网格发展中面临的诸多问题。
1 高校校园网网络资源特点以及存在的问题
1.1 高校校园网资源特点
目前,全国各所高校的校园综合资源十分丰富,但是由于各高校的自身优势、主攻专业方向和侧重点不同,导致资源分布各自为主,分散性显著。其网络资源的特点表现如下几:
1.1.1 资源异构性、多样性。各类高校校园网中的资源存放于各不相同系统环境中、不同的数据库系统、不同的硬件环境不同的网络结构中。这些现实问题导致对资源的管理、分配调用造成了一定的困难。
1.1.2 资源分散性。每一所高校都是一个大的局域网,在地域、体系和逻辑上都具有自身的分散性特征。整个网络结构是复合式的网络拓扑结构,有一个或者多个接口与互联网相连接,而在高校校园网中,也是由一个中心节点和多个多层子节点组成。中心节点一般是网络中心,子节点通常是研究所或者实验室以及各终端主机。
1.1.3 多级管理。在传统模式下建立起来的高校校园网,其资源隶属于不同的部门、实验室,为实现资源共享,需要各级的组织及部门协同参与解决多级管理的问题。
1.14 资源动态变化性。不同的组织、部分或者机构管辖处理自己的资源,与外界的资源、信息交互的渠道不统一,这就导致网络资源始终处于动态变化中,但这变化不能及时整体反馈出来。
1.1.5 负载不均衡。高校校园中大多数关键的资源服务器、网络中心或者研究中心、实验室中心大型的服务器和工作站处于相对满负荷运转之中,而很多的大型主机却处于空闲状态,导致整个高校校园网负载资源不均衡。
1.2 高校校园网络存在的问题
相当的高校校园网络建设依旧处在一个的传统模式,各自为政,导致严重的不平衡、不协调、不统一。存在严重的局限性,缺乏正确整体的规划,没有一致的标准。
1)高校校园网结构错综复杂,由很多规模和体系结构都不同的局网互联而成,导致对校园网中的资源不能实现有效地管理。
2)存在高性能的服务器等设备与日趋老化的旧设备之间的矛盾,导致效能降低,处理能力不能满足剧增的用户服务需求。
3)目前大多数高校校园网缺乏公共存储空间;有少数高校有,但很小。从而使得学习和应用的资料有效使用上受到比较大的局限。
4)高校数字化校园快速发展,各类需求也飞猛剧增,原构架下的校园网络无论在技术还是在设备上都有了很大的不适合,这在一定程度上限制了数字化校园的发展。网格技术可以很好的弥补这不足,满足大量大规模的网络资源的需求和调度,能很好地改善高校校园网现有的应用状况,如表1所示。
从表中可以看出,校园网格系统将校内资源进行的规范整合,拟建立安全、规范、可扩展、共享的校园网格管理系统,解决“数字化校园”的高耗低效问题。
2 高校校园网格的功能需求
高校校园网格是采用新兴的网格技术,将校园网络中的计算资源整合成一个整体,给全校师生提供全局高效的服务。
2.1 高校校园网格的总体需求
根据目前高校校园网资源的特点以及其发展现状,构建的高校校园网格应能满足实现信息和服务资源地有深度有宽度的共享,合理有效的解决现实中服务资源需求以及“信息孤岛”的问题。
高校校园网格系统平台的总体需求如下:
2.1.1 能实现服务资源的、发现和信息收集。能实现资源的发现和注册,并获取资源服务的条件,收集资源的相关信息,确定资源属性和资源标签以及类型。
2.1.2 能实现资源的最佳使用。平台系统中的资源管理模块根据资源请求和资源实时的使用状况,采用适当的策略(共享策略、排队策略等)协调多个请求者和多个资源有效使用之间的关系。
2.1.3 能实现最优的调度策略和调度算法。网格系统中负责调度策略和算法的子模块会根据网络的复杂情况,适时的采用不同的策略,采用不同的算法来确定适当的服务资源,这需要在构建系统的时候要考虑足够的模型、算法和策略。
2.1.4 具备可靠性和安全性。网格是一个多管理域的复杂综合环境,有专门的模块来负责网格的安全性,包括安全监测、保障等。校园网格系统是多用户、多任务的系统,系统自身的稳定性是最重要的;在服务资源的安全性和可靠性方面也要给予强大的保障,对于用户的安全保障包括账号安全,请求信息安全,反馈信息安全等。
2.1.5 门户接口简单实用。建立一个公开的网格门户网站,用户由这个统一的门户网站进入网格系统,根据用户的需求引导到不同的资源子系统中,实现用户和资源的有效对接,使用户只需关心自己需求。
2.2 高校校园网格的系统目标
校园网格系统是以校园现有网络资源为基础,具有一定的
层次性、分布性的体系架构的这样一个系统。它避免了原校园网络管理带来的可操作性不高的瓶颈,实现了可用资源的统一管理问题。
我个人认为,高校校园网格平台应具备以下几点目标:
2.2.1 解决网络异构问题。即实现不同操作系统、不同硬件、不同区域的各类资源的真正共享。用户不用关心体系结构的不用,只管服务资源的使用。
2.2.2 提供信息服务。支持在网格环境下服务资源的注册、发现、,能够及时反映出资源及服务的动态变化。
2.2.3 资源管理。资源管理是网格系统的核心服务之一,起其主要包括:资源的、注册,资源发现以及资源的管理。在资源管理中,包括对资源的有条件使用管理、资源的有效期管理、根据调度策略和算法策略提供资源,资源与用户间的信息交流和反馈等。
2.2.4 能够实现自动后台资源操作。高校校园网格能够根据需要,访问注册了的任意有效资源,在网格中所有资源都定义为服务,一个大的服务由若干小的服务构成,网格系统会采用适当的策略和算法,安排不同的主机提供不同的服务以实现用户的需求。对于用户来说,只需要提交需求,然后等待结果信息。
2.2.5 能够进行高效的任务调度。网格系统能根据网络的实际情况和网格服务资源使用情况,由服务调度子系统优化选择合理、高效的策略和算法来为用户提供优质。网格系统在构建的时候就有一整套调度的策略和算法,它会根据任务需求,搜索可用资源,并从中选择最合适的资源并提请服务。服务完成后,释放资源并给出反馈结果。
2.2.6 安全策略。网格系统有全面而又高效的安全保障子系统,能提供用户注册、验证、密码管理,服务资源使用条件审查,服务资源的生命周期等一系列的安全服务。网格系统中的所有服务都是在有条件的使用,网格系统使用安全中间件来保证服务提供者和服务使用者的各类安全。
3 小结
校园网格正在迅速发展壮大,在这样一个发展的期间,有许多不成熟、不完善的地方会在这样的发展过程中得到有效的解决。
参考文献:
[1]覃丹,网格技术在校园网中的设计与实现[D].电子科技大学,2011.
[2]王晖,基于Gt4的网格信息服务的研究与应用[D].兰州理工大学,2006.
[3]Joshy Joseph、Craig Fellenstein,网格计算[m].北京:清华大学出版社,2005.