技工院校校园网络安全管理之我见
2014-09-21马新华
马新华
摘 要:目前技工院校基本上都构建了校园网络,通过校园网对教育教学进行管理,从互联网获取教育教学资源,以实现办公自动化,但是校园网给我们带来便利的同时,也给我们提出了如何加强校园网络安全管理的问题。
关键词:校园网;计算机病毒;防火墙;黑客;网络安全
校园网络作为学校重要的基础设施,在技工院校的教学、教研、管理和对外联络工作过程中起着重要的作用。随着校园网应用的深入,校园网的安全问题日益突出。安全策略越来越成为校园网络的关健因素。如何使校园网安全、稳定、高效地运转,已成为技工院校越来越重视的问题,针对目前技工院校园网存在的安全问题、特点和常见的威胁进行分析,提出加强校园网络安全管理的相应对策。
一、技工院校校园网的特点
校园网是覆盖校园范围的计算机网络,主要采用计算机局域网技术、互联网技术及网络接入技术。校园网由于网络普及、用户群密集而且活跃的特点,是安全问题比较突出的地方,安全管理也较为复杂、困难。与政府或企业网相比,技工院校园网的以下特点导致安全管理非常复杂。
(一)资金投入不足,网络管理人员不够。校园网的建设和管理常都轻视网络安全,其主要原因是技工院校网络建设经费不足和现有网络管理员的人手不够,技工院校一般将有限的经费投在其他关健设备上,对于网络安全建设一直没有比较系统的投入;再则,由于网络管理员人手缺少网络管理难于到位。致使校园网处在一个开放的状态,无法实时监控,缺少有效的安全预警手段和防范措施。
(二)校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂。比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的,在这种情况下,要求所有的客户端系统实行统一的安全政策(如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的设备管理,出现安全问题后通常无法分清责任。
(三)用户群规模大。校园内用户群体密集,由于高宽带和大用户量的特点,网络安全问题一般蔓延较快,对网络影响比较严重。
(四)网络安全意识淡薄,没有制定完善的网络安全管理制度。校园网络上的用户安全意识淡薄,大量非正常访问导致网络资源的浪费,同时也为网络带来了极大的安全隐患。另外,由于网络安全管理机制不完善,致使不能有效地管理好校园网。
二、技工院校校园网络存在的安全问题
(一)系统漏洞。普遍存在的计算机系统的漏洞,对信息安全、系统的使用、网络的运行构成严重的威胁。主要存在以下安全隐患;本身系统的漏洞,浏览器的漏洞,IIS的漏洞等。
(二)病毒的危害。通过网络传播病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接入internet后,为外面的病毒进入学校网络打开方便之门,下载的程序和电子邮件都可能带有病毒。
(三)外来的系统入侵、攻击等严重破坏行为。校园网中有些计算机已经被攻破,用作黑客攻击的工具;不少黑客技术开始针对院校网站和服务器。黑客技术对校园网络系统进行破坏,表现在以下几个方面:对学校网站的主页面进行修改,破坏学校形象;向服务器发送大量信息使整个网络陷于瘫痪;利用学院的邮件服务器转发各种非法的信息等。
(四)校园网内部用户对网络资源的滥用。有的校园网用户利用免费的校园资源提供商或者免费视频、软件资源下载,占用了大量的带宽影响了校园网的应用。
三、技工院校校园网络安全管理策略
针对技工院校校园网内用户的特殊情况,网络用户大部分是学院的各教学、教研、行政机关的教师和管理人员,我们不能对用户做过多的限制。因此,技工院校校园网络安全的建设与管理必须依据以下原则进行:对用户的硬件要求较低,尽可能利用原有设备,充分发挥原有设备的技术潜力。同时考虑添置设备的先进性和可扩展性,为今后网络的不断发展创造良好的条件。校园网涉及的用户较多,使用全网管理软件或全网部署的网络版杀毒软件,会给网络管理带来巨大的负担,因此只有采用软硬件结合,多种手段相互配合的方式才能达到最佳的效果。
(一)部署硬件防火墙。防火墙技术是建立现代通信技术和信息安全基础上的应用安全技术,越来越多地应用于专用网络与公用网络的互联环境中。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,有效地将内部网络与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
从总体上看,防火墙应该具有以下五大基本功能:过滤进、出网络数据;管理进、出网络访问行为;封堵某些禁止行为;记录通过防火墙信息内容和活动;对网络攻击进行检测和警告。
根据技工院校网络拓扑结构的实际情况和运行的要求,我们可以采用网络入口与WEB服务器分离管理的安全措施,以确保网络访问速度不受影响;其具体方案详见如下网络拓扑结构,即:网络入口采用高速缓存、地址映射的方法(客户不需访问WEB服务器时,客户的就可以不经WEB防火墙直接访问外网),WEB服器采用WAF型防火墙,这样基本可以做到对内网和WEB服务器万无一失的保护。
校园网络拓扑结构
(二)建立一个有效合理的病毒防御和查杀机制。通过在网络中部署分布式、网络化的防病毒系统,不仅可以让单机有效地防病毒侵害,还可以使管理员从中央位置对整个网络进行实时状态下的病毒保护。主要做法是:网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒功能;另一方面,由于整个网络的升级、更新都是由程序自动、智能地完成,可以避免由于人为因素造成网络中部分用户因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
(三)安装补丁程序。目前技工院校校园网服务器一般使用的是微软windows server 2008操作系统,由于使用较多,漏洞也不断发现,微软的操作系统成了黑客攻击的对象。所以装好系统后一定要进行升级和打补丁,同时管理员还要经常关注微软公司的网站,及时下载最新的操作系统补丁。
(四)定期对服务器进行备份与维护。为防止不能预料的系统故障或用户服务不小心非法操作,必须对系统进行安全备份。除了对全系统进行每月一次备份外, 还应及时对修改过的数据进行备份。同时应将修改过的重要文件存放在不同服务器上,以便出现系统崩溃时可及时将系统恢复到正常状态。
(五)帐号和密码保护。帐号和密码保护可以说是系统的第一道防线,目前网上的大部分系统的攻击都是从截获或猜测密码开始的,一旦黑客进入系统,那么前面防卫措施几乎没有作用,所以对服务器管理员的帐号和密码进行管理是保证系统安全的非常重要的措施。系统管理员密码的位数要多,至少应该在8位以上,而且不要设置成容易猜测的密码,如自己的姓名、出生年日期等。对普通用户,设置一定帐号管理策略,如强制用户每月更新一次密码。对于一些不常用的帐户要关闭,比如匿名登录帐号。
(六)监测系统日志。建立客户端上网日志和WEB服务器上网日志的运行监测机制,通过运行日志程序,系统会记录下所有用户使用系统的情形,包括最近登录时间、使用的帐号、进行的活动等。日志程序会定期生成报表,通过对报表进行了分析,你可以知道是否有异常现象。
(七)加强内部安全管理,提高用户的安全意识。在使用外来移动存储设备时应确保无病毒后再在校内机器上使用,防止病毒利用校园网进行传播。电子邮件的安全只能由用户自己控制;在浏览网页时,可能会遇上陷阱,这些都要求用户保持警惕。
(八)配备专职校园网络信息安全管理员,强化网络信息安全管理职能。根据技工院校校园网络信息安全的实际情况和校园网络信息安全管理的要求,校园网络信息安全管理工作至少配备3名专职校园网络信息安全管理员(其中:网络操作系统及系统安全管理1人,网络设备维护及设备安全管理 1人,网络数据库维护及网络信息安全管理 1人),使之能全面的、有效的履行校园网络安全管理的职能;进一步完善校园网络安全管理机制,进一步拓展校园网络资源,不断提升网络安全技术的水平,以确保校园网络安全、稳定、高效地运转。
结语:互联网络的飞速发展对校园网络师生的生活和学习已产生了深远的影响,网络在我们的生活中无处不在。但在享受高科技带来的便利的同时,我们需要清醒地认识到,网络安全问题的日益突出,越来越成为网络应用的巨大阻碍,只有很好地解决网络安全问题,校园网络的应用才能健康、高速的发展。校园网络安全问题决不是一劳永逸的事情。校园网络自身的情况不断变化,新的安全问题不断涌现,必须根据情况的变化和现有解决方案中暴露的一些问题,不断进行及时的维护和更新,保证网络安全防范体系的良好发展,确保它的有效性和先进性。
参考文献:
[1] 贾铁军著,《网络安全实用技术》,北京:清华大学出版社 ,2011.8[M]
[2] (美)比德韦尔(Bidwell,T.)等著,吴东升等译,《信息时代的个人安全策略》,北京:科学出版社,2003.6[M]
