学校网络安全探讨
2014-04-16孙春艳
孙春艳
(湖北省恩施州卫生学校,湖北恩施 445000)
学校网络安全探讨
孙春艳
(湖北省恩施州卫生学校,湖北恩施 445000)
在信息化时代,学校网络即校园网在各级各类学校中的作用和地位愈来愈大,在很大程度上反映了一个学校的硬件建设情况。因此,为使学校网络正常运转,各学校除了资金投入外,更要有专业的网络管理人员,以保证网络的合理安全利用。
学校网络 网络安全 解决方案
学校网络即校园网是在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。它是一个具有交互功能和专业性很强的局域网络。近年来各级各类学校大力实施现代化教育技术工程:以电脑网络为基础,以图书馆、电教中心为信息源,以数字化为模式,提高学校教育教学的档次和质量。现对学校网络安全作简要分析并提出解决方案。
1 学校网络安全存在的问题
第一,不良信息的传播。互联网直接连接到每个学生宿舍和教工宿舍,网上的各种信息如关于色情、暴力等内容的网站泛滥。
第二,计算机病毒的肆虐。由于计算机病毒具有隐蔽性、破坏性、传染性等特性,一般不容易被发现,并且一旦某台机器感染病毒将迅速蔓延整个网络,对校园网络安全有着巨大的破坏性;同是计算机病毒的传播方式也发生了根本性改变,它给网络的安全管理带来了很多麻烦。
第三,人为的恶意攻击。校园网的开放性及技术的公开性,一些人为了使自己获得某种非法利益,利用网络协议,服务器和操作系统的安全漏洞以及管理上的疏忽非法访问资源、删改数据、破坏系统。
第四,操作系统存在安全漏洞。目前使用的操作系统存在很多安全漏洞,对网络安全构成了威胁。许多校园网络服务器的操作系统的安全风险级别不同加上系统管理员或使用人对该系统了解不够和安全设置不当,这些都将对校园网络构成威胁。
第五,网络安全意识淡薄和管理制度的不完善。校园网上的安全威胁也来自管理意识的欠缺,管理机构的不健全,管理制度的不完善和管理技术的不先进等因素。由于学校的规章制度还不够完善,还不能够有效的规范和约束学生、教工的上网行为。
第六,电子邮件系统不够完善。电子邮件是接入因特网的一个不可缺少的应用之一,同时也是病毒和垃圾的重要传播途径。目前,校园网邮件系统很多还是因特网上免费版本的邮件系统,它没有提供完善的安全保护措施,更没有提供对用户的来往信件进行过滤、监控和管理的手段。
第七,间谍软件。间谍软件恶意病毒代码有进出现在各种免费软件或共享软件中,也会出现在文件共享客户端中。它们可以监控系统性能,窃取帐户口令等信息,并将用户数据发送给间谍软件开发者。
第八,僵尸网络。僵尸网络已成为日益严重的安全威胁。僵尸程序通过聊天室、文件共享网络感染存在漏洞的计算机,它们难以被发现,而能够远程控制被害人的计算机,然后组成僵尸军团对其它计算机与网站发动攻击,发送垃圾邮件或者窃取数据。
2 学校网络安全解决方案
(1)规范出口的管理。学校网络管理机构必须将所有的出口统一管理,为安全的实施提供最基础的保障。
(2)配备完整系统的网络安全设备。加大对学校网络方面的资金投入,在网内和网外接口处配置一定的统一的安全设备。具体包括防火墙、入侵检测系统、漏洞扫描系统、网络版防病毒系统等。通过这些安全设备可以有效地控制病毒的入侵。
(3)构建一个覆盖全网的防病毒、查漏体系。在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段,同时应实现远程安装、智能升级、远程报警、分布查杀等多种功能。从以下几个方面来解决:
1)架设防火墙。防火墙是在两个网络之间实现访问控制的一个或一组软件或硬件系统,是一种非常有效的网络安全模型。利用防火墙,一是可以限制他人进入内部网络,过滤掉不安全的服务和非法用户;二是限定用户访问特殊站点;三是为监视互连网安全提供方便。一般来说,防火墙物理位置位于内部网络和外部网络之间。
2)建立一个有效合理的病毒防御和查杀机制。主要做法是:网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。
3)采用安全扫描技术。安全扫描技术是指手工地或使用特定的软件工具——健全扫描器,对系统脆弱点进行评估,寻找可能对系统造成损害的安全漏洞。扫描主要分为系统扫描和网络扫描两个方面,系统扫描侧重于主机系统的平台安分性以及基于此平台的应用系统的安全,而网络扫描则侧重于系统提供的网络应用和服务以及相关的协议分析。
4)采用入侵检测技术(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。IDS一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。如服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
5)解决I P盗用问题。方法是在路由器上捆绑IP和MAC地址。
(4)建立上网行为管理系统。上网行为管理系统,通过内容过滤、应用控制、带宽管理、网页过滤、流量分样、监控审计等功能,实现上网行为规范管理。
(5)严格规范上网场所的管理,集中进行监控和管理。要解决用户上网身份认证、上网日志保存和查询的问题,最有效的解决方法就是采用集中身份认证、集中管理监控的方式,具体有以下两个步骤:
第一,用户使用网络首先通过统一的校级身份系统确认,非合法用户无法使用校园网络。
第二,合法用户上网的行为受到统一的监控并且上网行为日志集中保存在中心服务器上。
(6)改造电子邮件系统,提供多种安全监控和管理功能。
(7)采用VLAN技术服务器。VLAN技术的核心是网络分段,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,以达到限制非法访问的目的。
(8)账号和密码保护。除管理好密码外,对于一些不常用的账户要关闭,比如匿名登录账号等。
(9)采用网络安全协议。它是在ISO七层协议中的任何一层采取安全措施。如在网络层采用IPSec协议,在传输层采用SSL协议。
(10)Email安全措施。采用身份认证、加密和签名、协议过滤等措施,还可在邮件服务器上安装邮件过滤软件,使大部分邮件病毒在邮件分发时被分检过滤。
学校网络是否安全不仅要考察其手段,还要考虑对网络所采取的各种措施,其中不光是物理防范,还有人员的素质等其他“软”因素,进行综合评估,才能得出是否安全的结论。
[1]彭文胜,毛叔平.校园信息化规划、管理及案例[M].上海:复旦大学出版社 ,2002.
[2]张惠平.浅谈高校校园网络安全分析及防护策略.《网络安全》,2008.9.
[3]曾振东.校园网网络安全解决方案初探.广东青年干部学院学报,2009.
[4]段云所等.信息安全概论.