中职校园网络安全分析与对策
2012-04-29周新伟
周新伟
摘要: 目前,中职学校校园网络的安全问题越来越突出。本文分析了中职学校校园网安全的现状、隐患、防范措施等,对如何加强校园网络安全这一问题作了探讨。
关键词: 中职学校校园网安全问题防范措施
一、引言
校园网是指通过网络设备、通信介质和适宜的组网技术与协议,以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机集成在一起,用于科研、教学、管理、资源共享等方面的局域网络系统。随着各校“校校通”工程的深入实施,很多中职学校组建了自己的校园网,学校网络化、教育信息化已经成为网络时代的教育发展方向。但是,网络应用往往存在很大的安全隐患,其中校园网的安全问题日渐突出。本文针对诸暨市职教中心校园网面对的一系列的安全问题,分析中职校园网的安全措施。
二、学校网络现状
我校的计算机网络主要由以下几部分构成。
(一)学校骨干网络。采用华为Quidway S6502和华为AR28-31路由器构成核心层网络,通过光缆外接诸暨教育城域网,内接各楼宇的接入层交换机H3C 3100,实现了以千兆为主干,百兆到桌面的校园网,全校共建有网络信息节点2000多个。
(二)学校业务网络。学校各个职能部门所使用的应用系统,主要有业务系统、财务系统、其他支撑系统等。
(三)办公OA网络。分布于学校的各地,办公PC可能位于不同的VLAN中,每个VLAN通过路由网关,可以实现办公网络的互联互通。
全网通过VLAN技术对整个校园网进行网络划分及管理,以有效控制网络安全及网络流量。在网络安全方面,配置了防火墙、IDS入侵检测系统、防毒软件、垃圾邮件网关等安全设备,构成了透明的安全的网络环境。
三、校园计算机网络存在的安全隐患
学校校园网络的安全形势非常严峻,学校如何既能保证网络的安全运行,又能提供丰富的网络资源,满足办公、教学学生上网等多种需求,成为了一个难题。校园网络存在的安全隐患主要集中在以下几个方面。
(一)用户网络安全意识淡薄,管理制度不完善。
学校师生对网络安全意识淡薄,随意使用U盘、移动硬盘、手机等存储介质;师生无法唯一识别上网身份,不能有效地规范和约束师生的非法访问行为;学校机房使用频繁,登记管理制度不健全;缺乏统一的网络管理软件和网络监控、日志系统,使学校的网络管理混乱;用户对网络资源滥用,利用免费的校园网提供大容量的视频、软件资源下载,占用了大量的网络带宽,影响了校园网的应用。
(二)计算机病毒泛滥,影响用户的使用和信息的安全。
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况。师生对文件下载、电子邮件接收、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,具有传染性、隐蔽性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。从近几年的CIH病毒、ARP病毒等的爆发事件中可以看出,网络病毒的防范任务越来越严峻。
(三)外来的系统入侵、攻击等恶意破坏行为。
目前,校园网已经逐渐被某些黑客纳入攻击视野,一些学生对“黑客”充满好奇心和挑战性,从因特网上找到一些攻击软件,往往把学校网络当做尝试攻击的目标。开放的校园网络碰上一些破坏性强的软件,其后果可想而知。
(四)网络软件系统的漏洞。
网络软件系统不可能百分之百无漏洞和无缺陷,从网络上随意下载的软件中很有可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。以往多次出现的黑客攻入Internet的事件,大部分就是安全措施不完善导致的苦果。
四、学校网络安全解决方案
我根据校园网络面临的安全问题,结合我校校园网的特点,因地制宜,提出以下校园网络安全的解决方案。
(一)建立完善的网络管理制度。
安全管理是保证网络安全的基础。根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识,制定相关的网络安全管理制度。安排专人负责校园网络的安全保护管理工作,对学校相关专业技术人员定期进行安全教育和培训,提高网络安全的警惕性和自觉性,并安排管理人员定期对校园网进行维护。
(二)采用入侵检测技术。
入侵检测系统,简称IDS,是一种网络安全系统,是防火墙合理的补充。当有攻击者试图通过Internet进入网络甚至计算机系统时,IDS能够检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息、记录事件,也会自动阻断通信连接,重置路由器、防火墙,也会及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
在校园网中采用入侵检测技术,最好采用混合入侵检测,需要从两方面着手:基于网络的入侵检测和基于主机的入侵检测。(1)我校校园网分为多个网段,基于网络的入侵检测一般只针对直接连接网段的通信,不检测在不同网段的网络包,因此,在校园网比较重要的网段中放置基于网络的入侵检测产品,不停地监视网段中的各种数据包,对每个数据包或可疑的数据包进行特征分析。如果数据包与入侵检测系统中的某些规则吻合,入侵检测系统就会发出警报或者直接切断网络的连接。(2)在重要的主机上(例如www服务器、邮件服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接,以及系统审计日志进行职能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。基于主机入侵的系统除了可以指出入侵者试图执行一些“危险的命令”之外,还能分辨出入侵者干了什么事,例如,他们打开了哪些文件,运行了什么程序,执行了哪些系统调用等,提供较详尽的相关信息。基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御系统不全面。但是,它们的缺憾是互补的,在网络中采用基于网络和基于主机的入侵检测系统,就会构架成一套完整立体的主动防御体系。
(三)安装防火墙。
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的,也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,防止Internet上的不安全因素蔓延到局域网内部。防火墙从原理上可以分为两大类:包过滤(packet filtering)型和代理服务(Proxy service)型。根据我校现在的具体情况,可以采用如下的防火墙配置方案。
在系统中使用两个包过滤网关(可以称为包过滤防火墙),在内部网络和外界Internet之间隔离出一个受屏蔽的子网DMZ区,代理服务器、E-mail服务器、各种信息服务器(包括Web服务器、FTP服务器等),以及其他需要进行访问控制的系统都放在DMZ中。
在外部路由器上设置一个包过滤网关,它只让与DMZ中的代理服务器、邮件服务器、Web服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界Internet对DMZ的访问限制在特定的服务器的范围内。内部路由器上的包过滤网关也一样,通过配置,做到只有DMZ中的代理服务器、邮件服务器和Web服务器是外界可以看到的,外界无法知道其他系统的存在,无法通过他们的名字直接访问它们。
(四)防治网络病毒。
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染和传播,学校应在网内有可能感染和传播病毒的地方采取相应的防病毒手段,在服务器和各办公室、工作站上安装网络版的杀毒软件,对病毒进行定时的扫描检测,定时升级软件并查毒杀毒,使整个校园网络有防病毒能力。
(五)设置口令加密和访问控制。
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控和对用户的管理。网管理员对校园网内部网络设备路由器、防火墙、交换机、服务器的配置均要设口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐藏、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、网络服务器日志、交换机及路由器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全隐患等,有效地保护网络安全。
(六)采用VLAN技术。
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、防火墙或网关等设备进行连接,网络管理员借助VLAN技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(七)做好系统备份和数据备份。
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该由专人管理,定期做好服务器系统、网络应用软件及各种资料数据的备份工作,并建立网络资源表和网络设备档案,记录网上各工作站的资源分配情况、故障情况、维护记录。这些都是保证网络系统正常运行的重要手段。
六、结语
目前,我校校园网正处于良好的运行状态,病毒的感染率明显下降,有害信息和不健康的网络内容大大减少,机房的破坏现象也减少了,校园网安全得到了有力保障。
校园网的安全问题是一个较为复杂的系统工程,只有综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,才能提高校园网络的安全防范能力。
参考文献:
[1]罗杰红.校园网中防火墙的设计.沈阳师范学院学报(自然科学版),2002,(4).
[2]杨波.从信息安全角度看校园网发展现状[J].甘肃科技,2007,(3).
[3]陈新建.校园网的安全现状和改进对策[J].网络安全技术与应用,2007,(3).
[4]李小志.高校校园网络安全分析及解决方案[J].现代教育技术,2008,(3).
[5]邓国英.校园网络安全分析及防范措施[J].计算机安全,2010,(9).