前言:中文期刊网精心挑选了校园网络安全管理方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
校园网络安全管理方案范文1
1计算机网络管理
1.1计算机网络管理概述。计算机网络管理是对网络进行硬件和软件方面的组合管理。硬件方面主要是对网络设备(路由器、交换机、网关、防火墙)、服务器、网络存储、用户终端等进行参数配置、运行监测、故障等方面的管理。软件管理方面包括应用程序、用户账号、网络地址分配、网络文件读写访问权限等。通过软、硬件组合管理系统来管理网络,保障网络正常运行。
1.2计算机网络管理的功能。国际标准化组织(ISO)定义了5个网络管理功能域:配置管理、故障管理、性能管理、安全管理和计费管理。计算机网络管理功能的划分针对OSI环境,目前已经广泛地被标准和非标准的网络管理系统所接受。
1.3网络管理技术中存在的问题。随着校园网络的不断发展,校园计算机规模越来越大,计算机网络的复杂程度越来越高。比如在机房管理时,有的上机学生需要上网,有的课程不能上网。为了保证计算机网络具备良好的使用性,满足教学需求,确保向教室和学生提供满意的网络环境,必须使用计算机网络管理系统对计算机网络进行有效的管理。但是校园网络管理中还存在诸多问题。
1.3.1网络管理体系结构不完善。计算机网络管理体系结构不够完善是影响网络管理的最主要的原因。网络管理模式单一,网络统计数据出现漏洞,都不利于计算机网络信息管理的操作。网络管理缺乏集中性会对计算机操作系统产生不利影响。因此,不断加强网络管理体系结构建设,才能增强网络管理的执行力。
1.3.2网络管理技术配置落后。现代网络管理不断变化、不断发展,落后的网络应用设备必然会遭到淘汰。计算机网络管理的核心应用环节就是网络配置管理,在拥有先进设备的前提下,才能建立更完备的信息资源数据库。
1.3.3网络管理的检修技术落后。计算机网络技术在带来便利的同时,也产生了许多网络故障,而相关的网络故障检修软件功能也不完善,不能有效解决出现的问题,影响了网络的正常运行,制约了网络的效能。
1.4网络管理发展的前景
1.4.1实现网络管理平台化。通过网络管理平台能够为学校建立完善的数据库资源,形成有价值的数据管理模型,提高网络的综合管理能力。
1.4.2实现多种网络技术综合化。随着网络技术的发展,将会出现新的发展趋势,计算机技术、通讯技术和网络技术将会融合在一起,从而全方位地传递信息,提高网络的效率性。
1.4.3实现网络管理自动化。网络管理自动化可实现拓扑发现、告警管理等常规网管功能,还能进行配置管理、VLAN管理、VPN管理、无线管理等众多扩展功能,用户可以通过图形化界面,很方便地对网络进行全面、准确而深层次的管理和维护。比如路由器自动报警功能,当路由器的CPU资源使用率达到指定的标准后,系统会以消息或者邮件等形式向网络管理者报警。
2计算机网络安全存在的隐患
国际标准化组织(ISO)将“计算机网络安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护网络系统的硬件、软件及其系统中的数据不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠、正常地运行,网络服务不中断。”目前,在校园网络中存在诸多安全隐患。
2.1存储设备产生的隐患计算机存储设备存储着大量的数据。用户在操作数据,进行读、写、存储的过程中,数据信息容易受到不法行为的威胁。信息泄露的主要方式有以下几种:一是U盘、光盘等外存储介质很容易被复制。二是数据存储设备在接入互联网时,信息被木马、病毒等窃取或毁灭。三是计算机出故障时,存储设备不经保护而进行维修,造成泄密。四是存储设备失窃,会造成大量的信息泄露。
2.2网络产生的隐患在网络中,计算机中的数据有些是共享的(包括windows系统默认的网络共享),这些存在网络中的数据,就有信息泄露的风险。一是当计算机联网后,使得数据很容易暴露在网络系统中,这就使计算机泄密的范围大大增加。例如接入互联网,数据就有可能被远程访问而导致泄密。二是黑客利用操作系统存在的漏洞或应用软件存在的漏洞进行网络攻击,破坏数据或者泄露数据信息。三是黑客在Internet上利用特洛伊木马技术找寻“肉鸡”,植入木马病毒后,对其进行控制或窃取信息。
2.3管理不严谨产生的隐患一是违反信息操作规程,疏于管理,造成数据丢失。二是信息丢失。未经授权的人员进行操作,窃取信息。三是数据损毁。信息数据大多集中存储,保存在服务器磁盘或磁盘阵列等设备中,一旦发生意外事故,就可能使全部数据丢失或者损毁。
3计算机网络安全管理的几点建议
所谓计算机网络安全主要包括物理安全和逻辑安全。我建议从以下几个方面入手,制定相应的防范措施来确保网络的安全和稳定。3.1利用防火墙进行安全隔离与保护最基本的安全方法是使用防火墙。目的是要在内部LAN与外部WAN两个网络之间建立一个安全隔离,从而保护内部网络(Intranet)免受外部网络(Internet)非法用户的侵入。
3.2增强用户信息安全意识
3.2.1用户系统访问应设置安全密码:要求计算机用户设置账户名和密码;建议使用大小写字母、字符加数字的组合密码,增加安全强度;还要经常更换密码,减短密码使用的时间周期。
3.2.2日常病毒防护:定期更新杀毒软件,定期检查并扫描系统。
3.2.3养成良好的上网习惯:定期对电脑进行清理。个人用户要养成定期对电脑体检,定期进行病毒扫描的习惯,从而保护个人电脑安全,保护个人信息安全。
3.2.4可移动介质管理:减少或者禁止使用可移动介质,以避免恶意程序进入网络。
3.2.5数据备份:重要数据定期备份,数据库文件自动定时备份,数据容灾备份,双机热备,服务器系统具备便利的存储快照管理系统等。
3.3加强对计算机系统的常规化管理
对计算机系统的常规化管理,主要包括以下几个方面:
3.3.1业务系统的维护。在校园网络系统中,往往运行着许多业务管理系统,如教学管理、学工管理、招生就业管理、资产管理、OA系统等。业务系统是通过程序的运行而工作的,如果发生软件故障或者业务流程发生变化,就需要对应用程序进行维护。
3.3.2及时安装系统漏洞补丁。为了解决计算机系统的漏洞问题,系统开发商会及时更新系统补丁,保护系统的安全。系统漏洞是计算机网络安全的一个重要因素,计算机系统漏洞包括软件漏洞、硬件漏洞以及应用程序漏洞三个方面。计算机用户应及时安装补丁对系统漏洞进行修补。
3.3.3加强硬件设备的维护。主要包括对网络设备(路由器、交换机)、服务器、存储、计算机的日常管理和维护。为方便设备维护工作,应定期对硬件设备进行维护、保养工作,并建立设备故障记录表和设备检修记录表。
3.3.4建立维护文档。在对设备、系统等进行维护后,及时建立维护文档,记录故障原因、时间、维护方法和维护结果等情况,以便为以后的维护工作提供参考和查询依据。
4结语
校园网络安全管理方案范文2
关键词:校园网;网络安全;网络管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2453-02
Campus Network Security System Construction
CHEN Yan
(Yongzhou Vocational and Technical College Hunan Province,Yonzhou 425006,China)
Abstract: The campus network security system construction be discussed from technology and management in this article. In technology, the security classification be divided by the different applications of campus network, thus, the network security system should be designed to meet the application requirements of each region. In management, it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management, so the security management of network will be improved.
Key words: campus network; network security; network management
1 引言
校园网络作为信息化校园的重要组成部分,在全国各高校大规模展开,已近十年的历程。校园网的建设重点已从最初单纯的网络硬件铺设,简单的Internet接入,小规模离散的应用,发展到大规模成系统的网络应用。近年随着网络技术的快速发展,网络应用日益普及,学校的教学和管理对校园网的依赖程度不断加大。网络的脆弱性,使得依赖于网络的教学与管理面临着安全威胁,网络安全成了校园网建设的焦点问题。构建安全的校园网并不是简单的堆砌网络安全技术或安全产品,它不仅涉及到技术层面,也涉及到非技术层面。本文似从技术和管理两个层面来探讨如何构建安全的校园网络系统。
2 校园网的特点及安全现状分析
校园网有着自己鲜明的特点:一是大规模、高速网络环境,主要表现为用户数据庞大、地域分布的多校区网络和快速局域网技术;二是复杂的应用和业务类型,主要表现为公共服务、科研应用、教学辅助、学生管理、行政管理、教学管理和普通上网应用等;三是活跃的、不同使用水平的网络用户群体,即有普通的用户群、又有管理用户群,还有网络相关专业的学生用户群,他们网络应用目的不同,对网络的熟悉程度不同;三是大量的非正版软件和电子资源;五是开放的环境和宽松的安全管理体制;六有限的资金投入。这些特点使得校园网既不像Internet那样毫无限制,又不像电子商务企业那样为强化安全与保密而严加管理和控制。
校园网的上述特点,使得校园网一方面要面临一般企业网络所必须面对的各种安全威胁,如:普遍存在的计算机系统漏洞产生的各种安全隐患;计算机蠕虫、木马、病毒泛滥,对用户主机、应用系统和网络运行构成的严重威胁;外来的攻击、入侵等恶意行为、垃圾信息和不良信息的传播行为等。另一方面校园网又不得不应付来自内部的安全威胁,如内部用户的攻击行为,对网络资源的滥用行为等等。
3 校园网安全需求分析
在校园网的安全设计中,必须考虑到校园网的上述特殊性。不能将整个校园网作为单一的安全区域,必须根据不同的应用类型、不同的服务对象将校园网划分为具有不同安全等级的区域,并针对这些区域进行专门的安全设计。一般来说,我们可以将校园网分为:学生网络、教学管理网络、公共应用服务网络、网络管理系统和分校区网络等几个部分。下面对这些网络的安全需求进行分析。
3.1 Internet连通性的安全需求
Internet连通性是校园网最重要的功能,一方面要满足内部用户的Internet访问要求,另一方面又要对外Web服务、电子邮件服务和FTP服务等公共服务。而Internet却是攻击和威胁的重要来源,阻断所有不能接受的访问流量是最基本的安全需求,同时保持对来自Internet的网络攻击的检测能力,是防范求知攻击的必然要求。与内部用户的上网需求相比,校网园对外的公共服务应该受到更好的安全保护,在设计时必须给予重点考虑。
3.2 学生网络的安全需求
学生网络两大特点:一是用户数量多数据流量大,学生是P2P(peer-to-peer)应用的热衷者,而P2P应用则是网络带宽的“杀手”,2006年我院对拥有1100多用户的学生网络进行了一项测试,使用一款“P2P终结者”软件来屏蔽P2P数据包,结果网络出口总流量骤降一半,据此可以估算有50%网络带宽被P2P软件所消耗。事实上这个估算是保守的,有研究表明,P2P流量取代了HTTP流量成为Internet流量的主体,占Internet中总流量的60%~70%,占最后一公里接入网流量的80%[1];二是用户类型复杂,2007年我院的一次问卷调查表明,85%以上的学生缺乏网络安全意识,近5%的学生用户偶尔尝试过网络攻击,近0.2%的学生在研究网络攻击技术,他们是内部攻击的主要来源,也是最主要的病毒源和木马源。因此在进行网络安全考虑时,首先要对来自学生网络的带宽进行限制,以保证网络资源的合理分配;其次要约束学生网络对校园网关键服务的访问,尽最大努力过滤其运行特定应用程序的能力;同时还需要加强对网络流量嗅探和中间人攻击(MITM)的防范能力,以减少学生相互间的攻击。
3.3 教学管理网络的安全需求
鉴于教学管理数据的安全性需求高,教学管理网络与学生网络绝对不能位于同一个信任级别,应该有更高的安全需求,给予保护并与校园网络的其他部分进行隔离。主要有以下三项安全措施,一是设置防火墙实施访问控制;二是设置入侵检测系统进行网络安全监测;三是强化论证,虽然加密所有教学管理应用程序太过繁重,但是对于某些关键系统(会计和学生记录)应该要求强认证。
3.4 网络管理系统的安全需求
网络管理系统负责整个校园网的通畅和安全管理工作,确保网络管理系统的安全是非常重要的工作,因此应该设置防火墙将管理网络与校园网的其它部分进行隔离加以保护。
3.5 分校区网络连接的安全需求
分校区和远程用户都需要直接访问校园网内部的服务,出于资金考虑,多数的分校网络都没有专线连通,部分学校尝试无线通信,实际情况看来,其保密性和稳定性都不高。比较经济实用的解决方案就是,使用虚拟专用网(VPN)技术穿过广域网(WAN)。
4 校园网结构的安全设计
基于上述校园网安全的分析,我们可以设计出如图1所示的安全校园网络系统。
4.1 校园网边界安全设计
Internet接入是校园网最基本的业务需求,与Internet相比,校园网内部自然是一块相对单纯的可信任安全区域,为保证校园网内部的安全性和校园网公共服务的可访问性,需在校园网边界进行如下安全设置。
一是设置防火墙:防火墙首先要提供入网级的访问控制功能,以有效地阻断来自Internet的非法访问;其次要提供虚拟专用网(VPN)功能,借助广域网实现远程分校区网络的安全连接,使得访问远程校园网络,如同访问本地网络一个方便安全,在保证安全性的同时还可以节省出专线费用;最后还应具备网络地址转换功能(NAT),使得Internet用户可以访问校园网内部的公共服务。二是设置AAA认证服务器,提供对用户身份认证、安全管理、安全责任跟踪和计费等功能。三是设置网络入侵检测系统(NIDS),同时可在边界路由器上启用NetFlow功能,以加强对非法入侵和恶意攻击行为的检测和发现能力,为网络管理员提供网络异常事件的处理能力。
4.2 学生网络的安全设计
从前面的校园网业务需求的安全性分析可知,校园网内部并非铁板一块,不同的业务需求对安全性的要求是不同的,相对来说学生网络的安全级别最低。针对学生网络用户数量庞大、用户类型的复杂性的特点,主要可采取以下安全措施:一是为保证网络资源的合理有效分配,必须进行网络流量限制;二是在交换机处提供必要的第二层安全控制,以减少网络流量嗅探攻击,中间人攻击(Man-in-the-middle-attacks,简称:MITM攻击);三是在不同学生网段的路由器上设置无状态ACL,以实现数据过滤。后两项措施可以缓解学生系统之间的相互攻击。总体上讲,学生网络的安全防护功能是相当弱的,主要的安全防护功能落在了学生主机上,因此必须加强网络安全教育,提高学生的安全防范意识和能力。但是较低的安全防护设计却给学生创造了一个相当宽松的网络环境。
4.3 教学管理网络和公共服务网络的安全设计
教学管理网络和公共服务网络的服务器中存在着大量敏感的数据,比如说学生成绩和学生注册信息,它们极易受到来自于Internet及学生网络的攻击,因此也就提出了更高的安全需求。对教学管理网络和公共服务网络的安全设计,相当于在校网络的基础上建立起一个安全性更高的内部网络。其安全设置类似于校园网与Internet之间的安全设计,如添加防火墙进行访问控制,增加NIDS进行入侵检测。从图中可以看到,对学生网络来说,它有一道防护屏障,而相对于Internet再说,它受到两道防护屏障的保护。这是一个合理的安全等级层次。
4.4 管理网络的安全设计
管理网络看似类似于行政网管,需要使用防火墙进行保护。但是它有完全不同的业务需求,它负责整个网络的安全管理,要根据各种校园网络设备的管理需求,设置允许入站和出站的特定连接。因为它的周围有许多不可信的网络,在网络设备与管理网络进行数据传送时,必须保证数据的安全保密性,因此数据传递过程中的安全要求较高,在数据通信需要使用SSH/SSL等安全通信协议。对于那些不支持SSH/SSL的网络设置,只能使用如Telnet之类的明文管理协议,在这种缺乏安全协议的情况下,应该限制可访问Telnet后台程序的IP地址,以增加这些网络设备管理的安全性。
5 校园网安全管理
校园网的安全性不仅仅是一个技术问题,还需要安全管理的支持。安全的校园网络系统是安全技术与安全管理有机结合的整体,它遵循所谓的“木桶原理”。正如木桶的容积决定于它最短的木板一样,校园网系统的安全强度等于它最薄弱环节的安全强度。经验表明,得不到足够重视的网络安全管理恰恰是校园网安全系统中最薄弱的一个环节。安全专家们则强调网络安全靠的是“三分技术,七分管理”。
为加强校园网的管理,需要做好以下四项工作:一是观念的更新,网络安全不止是技术部门和专业人员的责任,应该得到学校高层的充分重视,需要所有的网络用户的共同遵循安全规则;二是建立网络安全管理机构,明确权力和负责,从组织机构上保障网络安全管理的有效实施;三是制订网络安全管理制度,明确校园网用户的权利和义务,使用户共同遵循校园网使用规则;四是建立完善的安全管理及应急响应机制,以对突发性安全事件做出迅速准确的处理,最大限度地减少损失。
安全事件处理机制的建立往往是校园网安全管理的盲区。与国防、金融等机构比起来校园网的安全级别低,应付安全突发事件的重要性并不是太突出。而且在一般情况下,意外事件发生的几率不高,应付安全突发事件的必要性也往往被忽视。但是100%安全的网络是不存在的,如果不能对网络安全事件做出迅速而准确的响应,就有可能造成重大的损失。事实是,历史上几次重大的安全突发事件所造成的恶劣影响,使得各国都非常重视紧急事件响应处理。美国国防部于1989年资助卡内基.梅隆大学建立了世界上第一个计算机紧急响应小组CERT(Computer Emergency Response Team)及其协调中心CC(Coordination Center)。CERT/CC的成立标志着信息安全由传统的静态保护手段开始转变为完善的动态防护机制。此后在20世纪90年代,计算机安全应急处理得到了广泛而深入的研究。在我国,中国计算机教育与科研网(CERNET)于1999年成立计算机紧急事件响应组织(CCERT),是国内第一个安全事件响应组织;2000年3月,中国计算机网络应急处理协调中心(CNCERT/CC)成立,该中心在国家因特网应急小组协调办公室的直接领导下,协调全国范围内计算机安全事件响应小组的工作,并加强与国际计算机安全组织的交流。
在校园网建设中,借助CERT的理念和研究成果,建立必要的网络管理和应急响应机制将有利于规范和提高校园网安全管理能力。图2所示,是一个可行的网络管理和应急响应机制构建方案,说明如下。
1) 网络安全的日常管理:在校园网的关键部分加强网络安全的日常管理,使日志检查、漏洞扫描、系统升级、病毒防御等工作制度化、常规化,尽量减少因管理员疏忽等主观因素而引起的安全事件。建立责任追究制度,强化网络管理人员的责任心。
2) 网络安全应急小组:接收并处理来自用户的安全突发事件,NetFowl等流量分析的异常报告、入侵检测系统的入侵警告和日常管理中的安全事件报告。通过分析调查,决定采取相应的应急处理措施,如系统隔离、事件跟踪、漏洞修补、安全策略调整、系统恢复和统计报告等等。同时为广大用户提供各种安全服务,如安全咨询、安全教育和安全工具等等。
6 小结
网络安全是当前校园网建设和应用的焦点问题,本文从技术和管理层面深入地讨论了安全校园网系统的建设问题。在技术层面上,需要根据校园网应用的不同,划分不同的安全等级区域,并针对各个区域的应用需求进行安全设计;在管理层面上,特别强调建立网络安全管理及应急响应机制,保障网络管理的规范化、制度化,提高网络安全管理能力。
参考文献:
[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL]./research/slide1.php,2004.
[2] Convery S.网络安全体系结构[M].江魁,译.北京:人民邮电出版社,2005.
[3] 连一峰,戴英侠.计算机应急响应系统体系研究[J].中国科学院研究生院学报,2004,21(2):202-209.
校园网络安全管理方案范文3
关键词:全局安全;校园网;安全体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校园网作为高校信息化的重要基础,承担着学校教学、科研、管理和社会服务等重要角色,给教师和学生的工作、学习、生活带来了很多便利。但当今校园网面临着严峻的威胁网络安全问题,目前面对威胁,应对问题的主要技术有身份认证技术、入侵检测技术、防火墙技术、防病毒技术等。这些技术都只是针对局部威胁的安全措施,无法保障校园网的整体安全。因此,新的校园网安全思路,注重从“局部防御”到“整体防范”的转变,将安全理念融合到网络基础架构中,依靠多种安全组件联动,实现整体网络的安全,即全局安全解决方案。
1 农职院网络安全现状
广西农业职业技术学院校园网始建于2002年,通过100M链路CERNET、30M电信链路接入Internet,己形成覆盖教学、科研、办公、宿舍等区域的所有建筑物,“千兆主干、百兆到桌面”的网络带宽格局。计算机网络自身的开放性、互联性和共享性,使之不可避免地会受到病毒、黑客、木马等安全威胁和攻击,校园网数据丢失、系统被篡改、网络瘫痪的情形常有发生。其原因主要如下:
① 缺乏有效的身份管理系统
校园网缺少用户身份认证机制,外来用户、非法用户随意接入;缺少可控的身份集中认证系统,对用户进行管理难度大;用户账号存在被盗用的风险,安全审计无法有效进行,在实际发生问题后不能够迅速定位及取证分析。
② 无法保证用户终端合法性
Windows系列系统存在致命漏洞,系统补丁没有及时更新;没有按要求安装杀毒软件,安装后从来不升级或者从来不主动查杀;随意下载违禁软件,不规范使用网络;上述问题造成了病毒和攻击在校园网内泛滥,严重影响正常应用。
③ 网络安全无法有效控制
校园网内部分用户出于对网络的好奇,经常会用学习到的各种方法,非法攻击校园网络核心设备及应用系统,严重影响校园网络的安全稳定运行和校园管理秩序。目前互联网上相关的黑客工具种类繁多、功能丰富、设置简单、使用方便、破坏力大,给这类学生提供了攻击的便利。
2 全局安全校园网络的设计
校园网全局安全理念,由锐捷网络公司于2005年提出,即GSN( Global Security Network),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护作用的新型网络安全模式。具体构架如图1所示,其由三个层面、五个部分组成。
hx01.tif
图1 全局安全网络
校园网全局安全方案通过将校园网用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成起来,从而对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,达到对未知网络安全事件防范目的。其工作原理如下:
1) 用户使用网络之前,首先由接入的交换机+SAM对其进行身份认证。
2) SAM检查用户身份,批准或拒绝用户的接入请求。
3) SAM学习用户的身份、主机环境等信息,并将制定好的策略发送多SU客户端。
4) SU对用户主机进行健康性检查,并将检查结果反馈回SMP服务器。
5) IDS对网络安全事件进行检测收集,将安全事件报告给SEP(安全事件解析器),并由SEP反馈至SMP。
6) SMP对IDS反馈的安全事件进行统一管理,将安全事件关联至用户。
7) SMP对每个用户的健康性检测结果和安全事件进行处理,生成相应的策略,并下发至交换机执行。
3 全局安全网络在我院的部署
根据校园网全局安全设计方案,可把服务器部署在校园网的服务器群中,而IDS的传感器则可根据需要部署在核心或者汇聚层上,越靠近边缘则效果越好,而安全智能交换机则要部署在接入层,保障客户的安全。构建好的广西农职院部署的典型拓扑如图2所示。
hx02.tif
图2 典型的全局安全校园网部署拓扑图
3.1 身份认证系统的部署
作为全局安全的身份基础平台,SAM系统实现了广西农业职业技术学院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.lx技术,实现了对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定。 SAM系统提供的完善的计费运营功能,为校园网运营提供了足够的数据支撑。通过该系统的部署,有效的防止了IP地址盗用,极大的减轻了校园网管理的运营负担,并为全局网络安全提供了基础身份平台。如图3。
其次,SAM提供了完善的自助服务系统,包括快捷注册,个人信息、密码进行修改,上网明细、交费记录、余额查询,在线充值、注销用户等功能。不但方便了终端用户缴费,同时也极大地减轻管理者的管理和收费工作负担,有效缓解学生缴费和学校收费的矛盾。而入网身份验证的多元素绑定,也有效的杜绝了IP地址冲突现象的发生,用户漫游功能,实现了用户在不同地区认证上网的需求。
hx03.tif
图3 身份认证
3.2 安全管理平台的部署
校园网络安全管理方案范文4
关键词:校园网;网络管理;网络安全
1 引言
最近几年来,随着网络技术的高速发展和高等教育改革的逐年加快,现代高等教育正在朝网络教学、远程教学、教育资源共享的方向发展。校园网显现了以下关键特征,促使许多高校在对校园网及其信息应用进行不断地升级改造和完善。文章将以郑州某职业技术学院校园网的升级作为实例探讨校园网改造的设计与实现这一课题。
2 校园网升级改造的设计与实现
2.1 郑州某职业技术学院校园网的现状
郑州某职业技术学院很早就组建了校园网,期间对一些关键网络设备和技术进行了更换和提升,近年来,随着学院的不断壮大,建筑楼宇的不断增多以及信息化的需求加大,原有校园网在运行中暴露出许多问题,主要表现在:
2.1.1 网络覆盖范围不够。随着新培训大楼和体育馆的建成及实验楼的改造,原有规模的校园网设备的端口数严重缺乏,不能满足现有需求。
2.1.2 网络性能不稳定。原有网络带宽和主交换机交换能力及服务器的配置均已经不能满足学院多媒体教学和开展远程教育等业务流量的需求。
2.1.3 网络管理难度大。随着入网用户的增加,网络设备的维护和网络用户的管理难度越来越大。
2.1.4 网络安全体系差。没有一套完备的网络安全体系;原有防火墙性能较差,大大限制了外网访问速度。
2.2 升级改造的方案设计
2.2.1 网络拓扑结构
校园网一般采用三层层次模型,将整个网络划分成不同的层次,各个层次各司其职。网络由三个层次组成:接入层、汇聚层、核心层。
接入层的功能:可以是直接连接桌面PC,也可以是建筑物楼内的交换机,作为网络接入安全控制和QOS策略实现的边缘点。
汇聚层的功能:承上启下,完成路由选择,汇聚接入层设备的流量,高速无阻塞地转发给核心层设备。
核心层的功能:提供负载平衡、快速收敛和扩展性,连接各汇聚设备,完成数据流的高速转发。
2.2.2 校园网安全系统设计
合适的安全产品选型和部署、完善的系统加固处理、良好的安全管理培训及快速的安全事件响应,才是安全有保障的解决之道。因此,要想很好地实现网络安全管理,需要从以下两个方面着手:1.部署合适的安全产品和防御系统;2.实施网络安全管理措施。
2.3 升级改造的实现
2.3.1 网络拓扑结构
根据单位现有的设备,以及以上这些设计要求,郑州某职业技术学院的网络结构分为三级:
第一级是网络中心。网络中心选址在学校地域的中心建筑,在此布置了校园网的核心设备,如路由器、交换机、服务器,并预留了将来与本部以外的几个园区的通信接口。
第二级是建筑群的主干结点。校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑群,并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第二层,它向上与网络中心的主干交换机相连,向下与各楼层的集线器相连。
第三级是建筑物楼内的交换机。三级节点主要是指直接与服务器和工作站连接的局域网设备,即以太网或快速以太网交换机。
2.3.2 网络管理系统部署
校园网的管理对保证网络平稳运行至关重要。校园网的管理分行政手段管理和技术手段管理。
1.建立一支高水平的网络安全管理队伍
要真正实现网络安全,各种制度、策略和技术措施只是前提条件,日常的管理和维护工作才是重点。要维护网络的安全,需要有一批经验丰富的专门的网络安全管理人员,让他们在有关信息安全部门的领导下做好重要系统的管理和监控、协助建设各类网络设施和系统、协助配置各类系统和设备、协助应用部门查杀计算机病毒、协助信息安全部门处理各种安全事件、在信息安全部门的授权下检查解决各类系统的安全漏洞和弱点等工作。
2.部署稳定实用的网络管理系统软件
在众多的网络管理系统中,有著名的IBM Tivoli、HP OpenView等网管平台软件,也有CiscoWorks、HammerView等设备厂商提供的网元管理软件。选择网络管理软件最重要的是适合网络业务的需求,我们根据学院本身的特点选择了安装HP OpenView管理系统。
2.3.3 网络安全系统部署
升级改造后主要通过以下几种技术的综合应用来部署网络安全系统。
1.防火墙的部署;
2.入侵检测系统的部署;
3.漏洞扫描系统的部署;
4.防病毒系统的部署;
5.备份系统的部署;
6.过滤不良网络信息等其他安全手段。
3 结束语
目前,解决方案已经在学校实施了,学院的网络系统已经处于一种稳定忙碌的运行状态和一个严密的安全管理和防范系统的保护之下了。
参考文献:
1.张平,浅析防火墙技术,山东轻工业学院学报(自然科学版)[J],2007(03)
校园网络安全管理方案范文5
关键词:校园网,信息安全,防范策略
1.引言
随着计算机技术、网络技术的飞速发展和普及应用,校园网在学校的教学和管理中发挥着越来越重要的作用,为师生工作、学习、生活提供了极大的方便,正在悄然改变着传统的教学和管理模式。但是,它的安全问题日渐突显:计算机病毒的侵害、黑客的攻击、数据的篡改和丢失等等网络安全隐患,对校园网信息安全构成了极大的威胁。随着网络用户的快速增长,校园网信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。在校园网建设和运行过程中必须针对不同的安全威胁制定相应的防范措施,以确保建立一个安全、稳定高效的校园网络系统。
2.校园网面临的安全威胁
2.1 操作系统漏洞。这是造成校园网自身缺陷的原因之一。目前常用的操作系统Windows2000/XP、UNIX、Linux等都存在着一些安全漏洞, 对网络安全构成了威胁。如Windows2000/XP的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS的漏洞、病毒木马等。加上系统管理员或使用人员对复杂的系统和自身的安全机制了解不够,配置不当,从而形成安全隐患。
2.2 内部用户的恶意攻击。这是校园网安全受到威胁的另一个主要原因。学校是计算机使用者集中的地方,学生中不乏高手;同时,学生的好奇心重,摹仿力强,即使水平不高,也可以用从网上下载的专门软件对他人的计算机进行攻击。据统计,校园网约有70%的攻击来自内部用户,相对于外部攻击者来说,内部用户更具有得天独厚的破坏优势。
2.3 保密意识淡薄。在校园网中内部用户的非授权访问,是校园网安全受到威胁的主要原因之一,最容易造成系统资源和重要信息的泄漏或被篡改。一些校园网为了简单省事,计算机的命名经常按部门名称命名,计算机的管理员账号也不作任何修改而采用默认账号,甚至不设登录密码,这等于给攻击者大开方便之门,让攻击者能轻而易举地发现自己感兴趣的目标而随意进入,对保密内容随意浏览,更为危险的是,有的数据非授权就可以任意改动,根本无安全可言。
2.4 计算机病毒的侵害。计算机病毒是由某些人利用计算机软、硬件系统编制的具有特殊功能的恶意程序。影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪, 是影响高校校园网络安全的主要因素。
2.5黑客的攻击。 除了面临来自内部的攻击之外,校园网还要防范来自外部黑客的攻击。外部黑客是利用黑客程序,针对系统漏洞,在远程控制计算机,甚至直接破坏计算机系统。黑客通常会在用户的计算机中植入一个木马病毒,与黑客程序内外勾结,对计算机安全构成威胁进而危及网络。
3.保障校园网安全的关键技术
3.1防火墙技术
防火墙是网络安全的屏障。一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。在防火墙设置上我们应按照以下配置来提高网络安全性:
根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。在局域网的入口架设千兆防火墙,并实现VPN的功能,在校园网络入口处建立第一层的安全屏障,VPN保证了管理员在家里或出差时能够安全接入数据中心。定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
3.2入侵检测系统
入侵检测系统是帮助网络管理者及时、准确地发现网络的各种入侵行为与网络异常现象,并能进行告警、跟踪、定位的实时检测系统;也是通过对网络面临威胁的监控与分析,展示网络总体的安全态势的安全管理工具。入侵检测系统可以弥补防火墙相对静态防御的不足,是防火墙的合理补充。防火墙属于被动的静态安全防御技术,对于网络中日新月异的攻击手段缺乏主动的反应,而入侵检测属于动态的安全技术,能帮助系统主动应对来自网络的各种攻击,扩展了系统管理员的安全管理能力,包括安全审计、监视、攻击识别和响应,提高了校园网信息系统的安全性。入侵检测系统扫描当前网络的活动,监视和记录网络的流量,根据定义好的规则来过滤从主机网卡到网线上的流量,提供实时报警,提高了信息安全基础结构的完整性。
3.3漏洞扫描系统
采用先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。要求每台主机系统必须正确配置,为操作系统打够补丁、保护好自己的密码、关闭不需要打开的端口,例如:如果主机不提供诸如FTP、HTTP等公共服务,尽量关闭它们。
3.4网络版杀毒软件
为了在整个局域网内杜绝病毒的感染、传播和发作,应该在整个网络内采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,这种防病毒手段应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
部署网络版杀毒软件就可以较好的解决这个问题。例如:在学校网络中心配置一台高效的服务器,安装一个网络版杀毒软件系统中心,负责管理校园网内所有主机网点的计算机,在各主机节点分别安装网络版杀毒软件的客户端。安装完后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机查杀毒。网络中心负责整个校园网的升级工作。由网络中心的系统中心定期地、自动地到杀毒软件网站上获取最新的升级文件,然后自动将最新的升级文件分发到其它各个主机网点的客户端与服务器端,并自动对网络版杀毒软件进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是由程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
4.校园网信息安全的防范策略
4.1 物理安全
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。一般分为两个方面: 首先是要保护校园网中的计算机、服务器、路由器、交换机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;其次则是确保计算机系统有一个良好的电磁兼容工作环境。
4.2 访问控制策略
访问控制策略是保证网络安全最重要的核心策略之一,它的主要任务是保证校园网络资源不被非法使用和非法访问。一般主要分三个方面:首先是入网访问控制,在使用和访问网络教学资源时,网络系统软件要求用户输入用户名和用户口令,系统进行对入网用户的识别和验证是防止非法访问的第一道防线;其次是用户权限控制,用户权限控制是针对网络非法操作所提出的一种安全保护措施,不同级别的用户应设置不同的权限,以此来控制用户可以访问哪些资源;第三是网络监测和锁定控制,网络系统管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的访问,服务器应报警,以引起管理员的注意。同时对非法访问次数进行记录,并能自动锁定,以保系统安全。
4.3 信息加密策略
利用加密算法对敏感的信息加密, 可以防止被非法人员窃析。现在有一些加密软件可以加密邮件、文件等。利用这些加密软件可以有效的保护数据、文件、口令和控制信息在网络中的安全传输。论文参考。
4.4 备份和镜像技术
网络系统的备份是指对网络中的核心设备和数据信息进行备份,以便在网络遭到破坏时,快速、全面地恢复网络系统的运行。论文参考。核心设备的备份主要包括核心交换机、核心路由器、重要服务器等。数据信息备份包括对网络设备的配置信息、服务器数据等的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在人侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。论文参考。镜像技术是指两个设备执行完全相同的工作, 若其中一个出现故障, 另一个仍可以继续工作。
4.5 网络安全管理规范
网络安全技术的解决方案必须依赖安全管理规范的支持,在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括: 确定安全管理等级和安全管理范围; 制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
5. 结束语
校园网信息安全是一项复杂的系统工程,不能仅仅依靠某一方面的安全策略,而需要仔细考虑系统的安全需求,网络信息安全涉及的内容既有技术方面的问题,又有管理方面的问题,应加强从网络信息安全技术和网络信息安全管理两个方面来进行网络信息安全部署,尽可能的为校园网提供安全可靠的网络运行环境。
参考文献:
[1] 张武军. 高校校园网安全整体解决方案研究. 电子科技.2006 年第3 期.
[2] 朱海虹.浅谈网络安全技术.科技创新导报,2007,32:32.
[3] 符彦惟.计算机网络安全实用技术.清华大学出版社。2008.9
校园网络安全管理方案范文6
(包头职业技术学院,包头 014035)
(Baotou Vocational & Technical College,Baotou 014035,China)
摘要: 本文从计算机网络面临的各种安全威胁,针对校园网络的安全问题进行研究,从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
Abstract: From all kinds of security threats to computer network, this paper studies the campus network security problem, from two aspects of building security defense system and strengthening the safety management, designs the campus network security policy, establishes the ideas of the P2DR model to establish the campus network security defense system. And it is concluded that the building of a set of effective network security defense system is the necessary way and measures to solve campus network main threats and hidden troubles.
关键词 : 网络安全;安全防范;校园网
Key words: network security;safety;campus network
中图分类号:TP393.1 文献标识码:A
文章编号:1006-4311(2015)02-0199-02
0 引言
随着网络信息技术的高速发展,网络安全问题日渐突出,近年,网络病毒、黑客攻击等屡见不鲜,国家相关部门也一再要求做好网络安全建设和管理工作。校园网络也同样会面临威胁,因此应该在知道的网络功防基础上构建校园网络安全体系,首先要从两方面着手:一是采用一定的技术;二是不断改进管理方法。
1 校园网络存在的安全隐患
目前,校园网络主要存在的安全隐患和漏洞有:
①校园网通过CERNET与Internet相连,在享受Internet带来的方便快捷的同时,也面临着遭遇网络攻击的风险。②校园网内部存在着很大的安全风险,当前,黑客攻击工具在网上很普遍,并不需要很复杂的知识的普通人就能操作,因此存在很大的风险。同时因为内部用户对网络的应用和结构模式有了一定的了解,所以来自校园网内部的安全隐患更大一些。③操作系统存在的安全隐患,校园网络服务器安装的操作系统有Unix、WindowsNT/Windows2000/WindowsXP、Linux等,而这些系统的风险级别不同,例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它们成为了最不安全的操作系统。④伴随着校园内计算机应用越来越普及,接入校园网的节点也逐渐增多,然而大部分节点都没有构建一定的防护措施,因此随时随地都有可能造成病毒猖獗、校园网络被攻击、数据损坏、重要信息丢失、甚至系统瘫痪等严重的后果。
由此可见,采取必要的信息安全防护措施,构建有效的校园网络安全体系尤为重要。
2 构建校园网主动防御系统
现阶段,威胁校园网的安全有来自校内的,也有来自校外的。在进行校园网络安全系统设计的时候,首先就是要了解学校的需要和目标,然后再制定相应的安全措施,但是与此同时需要重点注意的就是,网络上的安全策略和业务目标与安全设计要求相一致。所以网络安全的防御体系必须是动态的、变化的,在设计完成安全防御体系后,就需要不断地适应并随着安全环境的变化而变化,这样就可以确保安全防御系统的良好发展,并保证它的有效性和先进性。
2.1 P2DR模型 美国ISS公司提出的P2DR模型是一种动态的网络安全体系的具有代表性的模型,也是动态安全模型的最初始形态。其中P2DR模型是在整体安全策略的控制和指导下,运动防护工具将系统调整到风险最低的安全状态。而防护、检测和相应则就组成了一个完整的,并且是动态的安全循环系统,同时在安全策略的指导下能够保证信息系统的安全,这也就成为衡量一个网络系统是否是安全的标准,从而对它的安全性能进行评定。
2.2 校园网络安全防范体系 在对网络是否是安全的进行判断后,就可以针对以上校园网网络安全系统的安全系统的应用来实现以下的技术:
①在校园网中配置防火墙和入侵检测系统在校园网的进口处架设了防火墙和网络入侵检测系统。②在校园网中运用VLAN技术按照学校各部门、院系拥有的不同的应用业务和不同的安全等级为依据,如有限制非法访问的需要可以运用VLAN技术。③在校园网中利用软件配置服务器使用二级防火墙,在学生机房配置访问控制列表,并利用软件配置服务器,在服务器上安装双网卡,设置连接外网的网卡使用公网IP地址,连接内网的网卡使用私有地址,设置学生客户机IP地址与服务器内网IP地址在同一网段,网关IP设置为服务器内网IP地址。机房服务器通过服务器连接到互联网,从而可以起到控制前往Internet的所有用户的流量的功效。④在校园网安装杀毒软件防病毒手段要在整个校园网中,凡是有可能感染和传播病毒的地方都要安装应用,安装相应的防杀毒软件,可以有效地防止病毒在校园网上传播。对杀毒软件要定期进行升级病毒定义码和扫描引擎。⑤制定相关的安全策略是赋予组织机构技术人员或信息资产使用权的人员所要履行的准则,也是陈述它是一个成功的网络安全体系的基础与核心。校园网络的安全策略主要依据的就是校园网的业务需求所要描述的校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容。
2.3 完善安全制度与管理体系 安全防范体系的核心即是安全管理,它贯穿于整个安全防范体系,在安全防范体系中起到了人的作用。网络系统的安全性不仅是技术方面的问题,也是日常相应的规章制度管理的问题,不然对于网络系统的安全来说也只是纸上谈兵。
在建立了学校网络安全防御体系后,学校的网络控制中心主要负责网络设备的正常运行和日常的管理,信息中心主要负责的就是网络上教学资源能够安全管理和储存。对已服务器的日志要做到每日必须检查,每次对重要的数据服务器都要进行异地数据备份。对于操作系统和防病毒软件包,管理员也需及时打补丁和进行升级,不断完善和优化网络安全的管理制度。校园网络的安全管理是一个长期的并且是动态的过程。
3 结论
在信息技术飞速发展的今天,校园网已然成为了学校信息系统的核心,网络的不安全就使得整个校园信息系统变得不安全,甚至会造成对教学秩序的紊乱,所以必须建立一套有效且可实施的网络安全防御系统,来确保校园网络的安全。本文主要是从当今校园网络安全可能面临的一些威胁和存在的攻击入手,对网络攻击的防范进行了设计并将其实现,并且提出了以安全策略为核心,防护、检测和响应为手段,加以技术防范的一种校园网安全防御系统理念,来确保校园网络安全的一个切实的解决方案。本文中所采用的技术不能说是非常完善的,一是因为网络攻击技术都是在不断向前发展的,二是因为笔者的设计水平局限性,并且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的,所以还存在很多有待深入研究的问题。
参考文献:
[1]王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005,6:19-20.
[2]宋劲松.网络入侵检测:分析、发现和报告攻击[M].国防工业出版社,2004,9:26-28.
[3]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2001,3.