来
源初 中教 师*网 w Ww.9 1
0w.net 我校校园网于2006年9月随南昌二中新校一起初步建成?整个电教设备耗资1000万。其中校园网耗资300多万。校园网采用星型以太网拓扑结构,网络交换具有三层交换功能,实现了1000兆主干,100兆交换到桌面。校园网采用3COM7750R 8槽交换主机,并配置了20个1000M电口业务板,16个光纤模块为楼层交换机的接入和数据处理都提供了保证,也可以很方便的对楼层交换机进行扩展, ,汇聚层采用3COM3824交换机,(4台 /12个光模块)接入层主要采用3COM4228G交换主机(38台)。核心交换机强大的处理能力,使校园网实现广播、电话、一卡通、数据、四网合一?
学校所有楼宇之间全部采用光纤互联,信息点安装到每间教室?每间办公室,每个教师的办公桌。共1400余个信息点,有线网络实现主干千兆网络百兆到桌面的成熟系统,同时为未来的千兆桌面预留了空间?并将通过无线AP,实现无线网络全校无盲点覆盖和全自动智能切换?Internet方面,我校采用 “校校通”10M光纤连接?目前,我校校园网支持校内各部门Internet连接?各部门信息发布?文件传递?共享激光打印机,多媒体教学课件等资源共享。网络的整体构架为我校办公网络化提供了强有力的硬件保证?
 
 
然而校园网的安全问题是我校园网的一个突出问题,一直以来人们在校园网的安全上一方面因为意识与设备方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。
而我校在现有设备的基础上在网络安全上主要采取了以下做法:
一、校园网络的IP路由信息和访问范围的控制管理
校园网络主要采用TCP/IP网络协议,网上的路由器间需要交换路由信息,IP路由信息交换有动态和静态两种方式。采用静态路由协议,与上一级网络中心相连,不采用RIP主要原因是为了防止网络上不正确的路由信息对本校园网络的影响。
由于我们现在的核心交换机没有路由功能,所以IP路由信息的交换做在防火强上,而在核心交换机器上我们主要对IP段的访问进行的控制,因为我校主要有两个比较重要的网段,一个是一卡通,一个是校园广播,这两个网段我们都对其的访问范围进行了控制,任何网段不能反问它,他不能访问任何网段,使它们在一个相对安全的状态下工作。
二、校园网络设备防雷电的防范策略
由于雷电直击,雷电及其他电磁感应,未受保护的网络负载设备将被瞬态过电压破坏的数据传输、耗损元件、或者毁坏芯片,造成不稳定的性能、的硬件故障等问题。
2.1、针对建筑物防雷
建筑物的防雷主要通过安装避雷针来实现,它可以有效的防止雷击损害建筑物并大大降低了雷直接击中网络传输线和网络设备及电源线的可能性,一定程度上起到了网络防雷的作用。
2.2、网络设备电源防雷
电源防雷的主要作用是防止雷击过电压从电源供入端进入设备,保障设备以及数据传输畅通无阻。普通插座的接地端要接地,地线的好坏不但直接影响着电源防雷器的效能而且还影响到信号防雷器的效能。
2.3、信号端口防雷
尽管在电源和通信线路等外接引入线路上安装了防雷保护装置,由于雷击发生时网络线(如双绞线)感应到的过电压,会影响网络的正常运行甚至彻底破坏网络系统。在有外来线路进入的DDN或ISDN一定要在重要线路的网络接口上做相应的保护,如防火墙内外网接口。安装RJ45防雷器等,一旦有雷击就可以避免雷击造成网络设备的严重损失。
3、校园网络安全策略
在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。
3.1、网络病毒的防御
在防治网络病毒方面,接受不明电子邮件,下载软件如:.zip .exe 等文件过程中应特别加以注意。都有潜伏病毒的可能性。
对于系统本身安全性,主要考虑服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要系统,必须加上防火墙和数据加密技术加以保护。
计算机系统安全是个很大的范畴,在操作系统、应用软件、硬件本身都可能出现的一些情况,平时应重视,加以防范。
3.2、web服务器安全预防措施:
1)对在web服务器上开的帐户,在口令长度及定期更改方面作出要求,防止被盗用。
2)在web服务器上去掉一些绝对不用的shell等之类解释器,即当在你的 cgi的程序中没用到perl时,就尽量把perl在系统解释器中删除掉。
3)设置好web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组如:www,并只分配它只读的权利。把所有的HTML文件归属WWW组,由WEB管理员管理WWW组。对于WEB的配置文件仅对WEB管理员有写的权利。
四.利用防火墙增强网络的安全性和可管理性
当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的稳定之外,更主要的是防止非法用户的入侵。而目前防止的措施主要是靠防火墙的技术完成。防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。在构建安全网络环境的过程中,防火墙是一个系统,主要用来执行两个网络之间的访问控制策略, 通常应用防火墙的目的有以下几方面:限制他人进入内部网络;过滤掉不安全的服务和非法用户;防止入侵者接近网络系统;限定用户访问特殊站点;为监视局域网安全提供方便。
5.1、防火墙工作原理和防御过程
防火墙总体安全框架为: 物理地址->IP地址->身份认证->应用层过滤,分别采用IP/MAC绑定,状态包过滤技术,身份认证,内容过滤等安全策略。通过这样的数据流程对内部网络进行全面的保护。
IP/MAC绑定技术方便了网络的IP地址管理,杜绝了内部网IP地址盗用,状态包过滤技术依据连接状态信息进行更加全面的过滤;而且在对包的网络层信息进行过滤的同时,更强调对应用层信息的过滤,因此大大提高了网络系统的安全性。在应用层实现内容过滤,主要是网页内容过滤,SMTP电子邮件标题过滤阻止病毒邮件,做到了防止外部网络不安全或管理员不希望通过的信息流入内部网络和限制内部网络的重要信息流到外部网络(如图2所示:)。
5.2、防火墙是构建整个网络安全体系的核心
防火墙是贯穿内部网络的整个防御过程:防火墙能够检测到通过防火墙的各种入侵、攻击和异常事件,并以相应的方式通知相关人员,安全员依据这些警报信息及时修改相应的安全策略,重新制定访问控制规则;由安全员分析审计信息,修正策略,制定新的过滤规则。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行,以对付黑客新增的入侵攻击手段。
六、校园网安全的隐患
目前,由于校园网刚刚建成使用,设备以及软件不是很完善,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。
由于没有网管软件使得网络管理难度加大,网络可管理程度较底,并且络上的用户网络安全意识淡薄,没有制订完善的网络安全管理制度。
值得注意的是,目前有很多老师的计算机水平相对较底,对病毒的防范和警惕性不高,所以电脑中病毒却从下手甚至不知道的情况普遍存在,有的病毒直接影响整个校园网的正常运行,甚至瘫痪,可见,目前我校校园网的安全环境可以用“内外交迫”来形容。
七、校园网安全突破在管理
那么如何解决这种“内外交迫”的安全困境?针对目前校园网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。以下五点为我校园必须具备的安全策略:
规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。
配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
解决用户上网身份问题,建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了安全可靠的保证。
严格规范上网场所的管理,集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
根据相关部门的要求,配备专门的安全管理人员,出台网络安全管理制度 。 网络安全的技术是多样化的,现状还是“道高一尺,魔高一丈”,因此管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。
八、结束语
校园网络的安全问题,不仅是设备,技术的问题,更是管理的问题。对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
【参考文献】
谢希仁.计算机网络[M].辽宁:大连理工大学出版社,2000. 来
源初 中教 师*网 w Ww.9 1
0w.net
|
