導讀:校園網(wǎng)的網(wǎng)絡安全是一個系統(tǒng)性工程���,不能僅僅依靠防火墻和其它網(wǎng)絡安全技術�����,而需要仔細考慮系統(tǒng)的安全需求��,建立相應的管理制度�,并將各種安全技術與管理手段結合在一起�����,才能生成一個高效�����、通用�、安全的校園網(wǎng)絡系統(tǒng)。
隨著“校校通”工程的日益推進,很多中小學校都建設了校園網(wǎng)并通過各種渠道接入了Internet�,F(xiàn)代化的信息處理方式和知識獲取手段促進了教育的發(fā)展,但隨之而來的網(wǎng)絡安全問題也日漸明顯地擺在了校園網(wǎng)絡管理員面前���。中小學校園網(wǎng)對安全性的要求有其自身的特殊性��,除了傳統(tǒng)意義上的信息安全(如對色情����、暴力���、反動等不良信息的過濾)以外�,還應提高對病毒�、惡意攻擊以及物理設備的安全防范。以現(xiàn)將我在校園網(wǎng)日常管理中發(fā)現(xiàn)的一些安全隱患以及管理實踐��,與廣大同行共勉�����。談談如何構筑一個比較實用的校園網(wǎng)安全防范體系�����。
一���、校園內部網(wǎng)絡安全與病毒防范
在網(wǎng)絡環(huán)境下��,病毒傳播擴散快����,僅用單機防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡病毒�,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。校園網(wǎng)絡是內部局域網(wǎng)�,就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連�,就需要網(wǎng)關的防病毒軟件,加強上網(wǎng)計算機的安全�。如果在網(wǎng)絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件����,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產(chǎn)品�����,針對網(wǎng)絡中所有可能的病毒攻擊點設置對應的防病毒軟件��,通過全方位、多層次的防病毒系統(tǒng)的配置����,通過定期或不定期的自動升級,使網(wǎng)絡免受病毒的侵襲�。
1、配置防火墻��。利用防火墻�����,在網(wǎng)絡通訊時執(zhí)行一種訪問控制尺度���,允許防火墻同意訪問的人與數(shù)據(jù)進入自己的內部網(wǎng)絡�����,同時將不允許的用戶與數(shù)據(jù)拒之門外����,最大限度地阻止網(wǎng)絡中的黑客來訪問自己的網(wǎng)絡��,防止他們隨意更改�����、移動甚至刪除網(wǎng)絡上的重要信息�。防火墻是一種行之有效且應用廣泛的網(wǎng)絡安全機制,防止Internet上的不安全因素蔓延到局域網(wǎng)內部���,所以�����,防火墻是網(wǎng)絡安全的重要一環(huán)��。
2�、采用入侵檢測系統(tǒng)�。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術����,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄����,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制這些活動�,以保護系統(tǒng)的安全���。在校園網(wǎng)絡中采用入侵檢測技術,最好采用混合入侵檢測�,在網(wǎng)絡中同時采用基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng),則會構架成一套完整立體的主動防御體系�。
3、Web����,Email,BBS的安全監(jiān)測系統(tǒng)���。在網(wǎng)絡的www服務器����、Email服務器等中使用網(wǎng)絡安全監(jiān)測系統(tǒng)����,實時跟蹤、監(jiān)視網(wǎng)絡��,截獲Internet網(wǎng)上傳輸?shù)膬热��,并將其還原成完整的www���、Email����、FTP、Telnet應用的內容���,建立保存相應記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡上傳輸?shù)姆欠▋热���,及時采取有效措施�。
4���、漏洞掃描系統(tǒng)�����。解決網(wǎng)絡層安全問題��,首先要清楚網(wǎng)絡中存在哪些安全隱患��、脆弱點�����。面對大型網(wǎng)絡的復雜性和不斷變化的情況����,僅僅依靠一個人的技術和經(jīng)驗尋找安全漏洞、做出評估���,顯然是不現(xiàn)實的����。解決的方案是�,尋找一種能查找網(wǎng)絡安全漏洞、評估并提出修改建議的網(wǎng)絡安全掃描工具��,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患���。在要求安全程度不高的情況下���,可以利用各種黑客工具,對網(wǎng)絡模擬攻擊從而暴露出網(wǎng)絡的漏洞�����。
5����、IP盜用問題的解決�。在路由器上捆綁IP和MAC地址��。當某個IP通過路由器訪問Internet時��,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符�,如果相符就放行。否則不允許通過路由器�,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。
6�����、加強學生的法制教育和德育教育���。學生機房管理時感慨地說:“學生的破壞能力是無窮無盡的”,我覺得這句話應該改成“學生的創(chuàng)新能力是無窮無盡的”�,問題關鍵在于我們如何去正確引導他們。作為教師我們在教授網(wǎng)絡知識的同時���,應該加強學生的法制教育和德育教育�,讓學生了解我國在計算機應用方面的相應法規(guī)�,做一個遵紀守法的好青年��。
二、校園網(wǎng)服務器的安全
校園網(wǎng)服務器的安全一般可分為硬件系統(tǒng)的安全與軟件系統(tǒng)的安全����。
1、硬件系統(tǒng)的安全防護
放置服務器的機房應切實做好防雷�����、防火�、防水、防電���、防高溫等工作����。為保證服務器24小時處于工作狀態(tài)還應配備不間斷電源。同時管理員要管理好機房的和機柜的鑰匙��,不要讓無關人員隨意進入機房,防止人為的蓄意破壞和盜竊事件發(fā)生���。
2��、軟件系統(tǒng)的安全防護
同硬件系統(tǒng)相比,服務器軟件系統(tǒng)的安全問題是最多的���,也是最瑣碎的�����。一般來說可以從以下幾方面著手:
�、����、建立服務器檔案
對于服務器內部的硬件型號�、軟件版本、維修記錄等進行記錄���,以便今后出現(xiàn)故障時能進行對照�����。
�、凇惭b補丁程序
目前大部分校園網(wǎng)服務器使用的是微軟的Windows2003操作系統(tǒng)����,由于使用的人多,BUG也不斷被發(fā)現(xiàn)���,微軟的操作系統(tǒng)成了不少黑客攻擊的對象�����。所以裝好windows2003系統(tǒng)后一定要升級至ServicePack2����,管理員還要經(jīng)常關注微軟公司的網(wǎng)站及時下載最新的系統(tǒng)補丁打到服務器中��。
③��、安裝防火墻與殺毒軟件
在校園網(wǎng)中�����,重要的數(shù)據(jù)往往保存在整個中心結點的服務器上�,這也是病毒攻擊的首要目標�����。安裝病毒防火墻和網(wǎng)絡防火墻���,定期對病毒庫進行更新,按計劃查毒殺毒���。定期用對服務器開放的端口進行檢測����,將檢測結果和以往備份的端口列表進行比較���。用進程檢測軟件監(jiān)測服務器所開的進程�����,并和以往的進程列表作比較�。服務器盡可能不要設置文件共享��,不要打開寫文件的權限�����,即使開啟共享��,也應設置相應密碼���。
④�、加強操作系統(tǒng)權限管理和口令管理
打開“計算機管理”�,檢查用戶和組里是否有非法用戶,尤其小心管理員權限的非法用戶�����。禁止系統(tǒng)提供的Guest用戶�����,因為黑客常用Guest進行系統(tǒng)控制�,對于Administrator則應進行改名操作并設置足夠復雜的密碼。開啟審核策略����,修改終端管理端口,以及配置MS-SQL����,刪除危險的存儲過程�����。
⑤����、監(jiān)測系統(tǒng)日志
管理員要定期查看系統(tǒng)日志記錄����,及時解決出現(xiàn)的問題,無法解決的問題及時向上級匯報���;任何人不得動手刪除運行記錄數(shù)據(jù)庫中的文檔���。定期對日志進行備份,并設置防止日志的大小�,以免日志文件過大影響系統(tǒng)速度。
�����、�����、定期對服務器進行備份與維護
為防止不能預料的系統(tǒng)故障或用戶不小心的非法操作��,系統(tǒng)管理員需要定期備份服務器上的重要系統(tǒng)文件�����。比如操作系統(tǒng)盤����、用戶賬號等。文件資料可以用RAID方式進行每周備份�,重要的資料還應用保存在另外的服務器上或者備份在光盤中。監(jiān)視服務器上資源的使用情況�,刪除過期和無用的文件,確保服務器高效運行��。
任何先進的系統(tǒng)都是為人服務的��,因此人永遠是決定性的因素�,配合先進的技術手段,建立起一整套完善的現(xiàn)代化網(wǎng)絡運行�、使用、管理規(guī)范永遠是保證其發(fā)揮出最大效益的重要保障�。
三、校園網(wǎng)基于VLAN的安全部署
采用以太交換的校園網(wǎng)絡�����,可以用VLAN技術來加強內部網(wǎng)絡管理。VLAN能夠幫助控制流量���,提供更高的安全性�,使網(wǎng)絡設備的變更或移動更加方便�。VLAN技術的核心是網(wǎng)絡分段,根據(jù)不同的應用業(yè)務以及不同的安全級別�,將網(wǎng)絡分段并進行隔離,實現(xiàn)相互間的訪問控制�,以達到限制非法訪問的目的。網(wǎng)絡分段分為物理分段和邏輯分段兩種方式��。物理分段通常是將網(wǎng)絡在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段���,各網(wǎng)段相互之間無法直接通信�����。邏輯分段則是將整個系統(tǒng)在網(wǎng)絡層上進行分段�����。例如:對于TCP/IP網(wǎng)絡���,可以把網(wǎng)絡分成若干IP子網(wǎng)�����,各子網(wǎng)間必須通過路由器、路由交換機或網(wǎng)關等設備進行連接����,利用這些中間設備(含軟件、硬件)的安全機制來控制各子網(wǎng)間的訪問�����。實際應用時�����,通常采取物理分段與邏輯分段相結合的方法�。
如圖所示,為了提高網(wǎng)絡的安全性�,應避免將教師和學生處于同一網(wǎng)段,可將教師和學生劃分為兩個子網(wǎng)VLAN�。利用網(wǎng)關保證信息的有效過濾,機房處于一個相對安全與過濾型的網(wǎng)絡狀況下運行�。
校園網(wǎng)的網(wǎng)絡安全是一個系統(tǒng)性工程�,不能僅僅依靠防火墻和其它網(wǎng)絡安全技術�,而需要仔細考慮系統(tǒng)的安全需求,建立相應的管理制度��,并將各種安全技術與管理手段結合在一起�����,才能生成一個高效���、通用�、安全的校園網(wǎng)絡系統(tǒng)�。
建設校園網(wǎng)時要本著從實際出發(fā),以應用為目的��,綜觀全局�����、統(tǒng)籌安排���。同時對建設好的校園網(wǎng)絡我們應加強安全防御意識�����,建立相應的安全防御體系和管理維護制度�����。以確保校園網(wǎng)正常安全運行和朝著健康有序方向發(fā)展����。
【參考文獻】
1����、劉繁華.對中小學校園網(wǎng)建設若干問題的探討.《中小學電教》2006.3
2、王洪��、魏惠琴等著.《計算機網(wǎng)絡應用教程》.2006.2
3���、張思宜���、李尚臣.校園網(wǎng)絡信息安全防御對策與體系設計.《中國電化教育》
4、鄭明達.校園網(wǎng)的建設與思考.《教育信息化》.2007.1
5���、胡伏湘.校園網(wǎng)安全分析及解決方法.《計算機與網(wǎng)絡》2006.5
安徽淮南毛集實驗區(qū)花家湖學校 馬敏
相關推薦:
小升初試題�����、期中期末題����、小學奧數(shù)題
盡在奧數(shù)網(wǎng)公眾號
歡迎使用手機、平板等移動設備訪問幼教網(wǎng)����,幼兒教育我們一路陪伴同行!>>點擊查看
