严阵以待“安度”开学季——高校校园网络信息安全管理建议(二)
2012-08-28
又是一年开学季,新一轮的“数字迎新”工作将在各高校紧锣密鼓地开展。面对新生入学及大批学生返校,网络流量骤然增加,网络攻击事件也会与之俱增,给校园网安全稳定运行带来了压力与挑战。如何安度每年的开学季,是高校网络信息中心面临的严峻考验。因此,通过前期的规划与准备,采取装备网络信息安全管理的硬件设施和软件技术等措施,能切实加强高校网络信息安全管理。为此,本刊将继续刊载各高校在网络与信息安全方面所采取的保障措施与安全策略,为各高校构建高效、安全的校园网络提供参考与建议。
1
湖北大学的校园网安全体系主要采取了以下保障措施:⑴所有校园网出口链路设置防火墙;⑵子网间采用访问控制列表策略;⑶进行上网行为日志记录,与网监部门联动,日志最长保存期60天;⑷虚拟主机隔离,虚拟主机防注入,访问控制;⑸“一卡通”专网,视频监控专网;⑹骨干网监控,包括对网络流量和网络设备运行状态的多层次监控,如遇问题可通过短信平台自动向管理员告警;⑺建立网络防病毒服务器、操作系统升级服务器,向用户端提供网络杀毒软件、操作系统升级服务及防ARP攻击软件;⑻定期对网站进行安全扫描。
湖北大学信息与网络中心孙倩
[点 评]
ARP病毒近年来给高校网络的安全运行带来不少麻烦,它往往通过伪造IP地址和MAC地址实现ARP欺骗,在网络中产生大量的ARP通信量使网络阻塞。对于ARP欺骗的防护,除了部署大量相关的防ARP欺骗的防火墙与杀毒工具外,通过设置静态的MAC-->IP对应表或进行端口隔离,也可以防止攻击者利用MAC欺骗进行攻击。另外,通过部署防ARP攻击软件也可以帮助抵御ARP攻击。
2
福建中医药大学已建成集网络准入、病毒防范、入侵防御、防火墙、流量控制、流量均衡、信息过滤、日志审计、VPN系统、数据中心防御和网络行为监控为一体的网络安全系统,能够有效防御应用系统突发事故或存储系统突发事故。应用和存储系统同时发生事故的校园信息化灾备系统正在建设中。
福建中医药大学
[点 评]
校园数据中心是校园信息系统的核心枢纽,必须建立有机的、智能化的网络安全防范体系,保护校园数据中心内关键数据和关键应用的安全。除了在网络出口进行安全防护外,还要通过技术手段与部署安全设备,在数据中心端做到严格的管控。同时建立数据灾备机制来应对病毒破坏、黑客入侵以及硬件损坏、自然灾害等各种数据灾难,以保证数据中心安全、稳定运行。
3
北京信息科技大学的信息系统实行谁主管谁负责,通过在校园网出口部署防火墙,可以防止大量来自外部的非法攻击,另外学校主要网站设置了IPS防护,学校主页安装了网页防篡改系统;重要信息系统数据进行了数据备份。
北京信息科技大学网络中心龚汉明
[点 评]
作为一种透明设备,入侵防护系统是整个网络连接中的一部分。为了防止IPS成为网络中性能薄弱的环节,IPS需要具有出色的冗余能力和故障切换机制,这样就可以确保网络在发生故障时依然能够正常运行。除了作为防御前沿,IPS还是网络中的清洁工具,能够消灭格式不正确的数据包和非关键任务应用,使网络带宽得到保护。
4
西安电子科技大学在网络信息安全方面采取了以下措施:身份认证技术、防范系统安全漏洞、防范计算机病毒、网络监控措施、网络安全隔离、数据备份和恢复、网络安全管理制度。
西安电子科技大学信息化建设处吴琳
[点 评]
校园网统一身份认证是校园信息化建设关注的热点话题,利用统一身份认证和单点登录技术,可以建立全校统一的用户管理、认证、授权、单点和安全审计。无论对于信息系统的管理人员、还是对于普通用户,都是非常有益的。如此,不仅能为用户提供方便的认证机制,同时也保证了系统的安全性。
5
辽宁现代服务职业技术学院在网络设计中采用全网双机热备双线路接入核心、智能切换的方式,引入防火墙,运用访问控制列表,采用网康行为管理设备对网络进行管理及监测;交换机配置启用生成树协议,并启用单点网络打环,自动锁死对应端口功能。
辽宁现代服务职业技术学院现代教育技术中心潘峰
[点 评]
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问,是保证网络安全最重要的核心策略之一。访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。对于校园内滥用校园网络资源,以及针对校园网内部的攻击和非法访问等问题,可以采用基于ACL的访问控制列表进行限制和有效管理,切实起到保障校园网安全的作用。
小编
您希望从《中国教育网络》杂志中获取哪些信息?您工作中都关注哪些热点?您对我们杂志有何建议和意见?欢迎发送邮件至 yangyt@cernet.com,或来电交流:010—62603359。另外,我们杂志的官方微博——中国教育网络:http://weibo.com/mediaedu开通了,欢迎老师们关注与在线交流。