導(dǎo)讀:校園網(wǎng)的網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性工程,不能僅僅依靠防火墻和其它網(wǎng)絡(luò)安全技術(shù)����,而需要仔細(xì)考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度�,并將各種安全技術(shù)與管理手段結(jié)合在一起,才能生成一個(gè)高效���、通用���、安全的校園網(wǎng)絡(luò)系統(tǒng)。
隨著“校校通”工程的日益推進(jìn)��,很多中小學(xué)校都建設(shè)了校園網(wǎng)并通過各種渠道接入了Internet�����,F(xiàn)代化的信息處理方式和知識(shí)獲取手段促進(jìn)了教育的發(fā)展����,但隨之而來的網(wǎng)絡(luò)安全問題也日漸明顯地?cái)[在了校園網(wǎng)絡(luò)管理員面前。中小學(xué)校園網(wǎng)對(duì)安全性的要求有其自身的特殊性,除了傳統(tǒng)意義上的信息安全(如對(duì)色情�����、暴力����、反動(dòng)等不良信息的過濾)以外,還應(yīng)提高對(duì)病毒�����、惡意攻擊以及物理設(shè)備的安全防范��。以現(xiàn)將我在校園網(wǎng)日常管理中發(fā)現(xiàn)的一些安全隱患以及管理實(shí)踐���,與廣大同行共勉���。談?wù)勅绾螛?gòu)筑一個(gè)比較實(shí)用的校園網(wǎng)安全防范體系。
一�����、校園內(nèi)部網(wǎng)絡(luò)安全與病毒防范
在網(wǎng)絡(luò)環(huán)境下����,病毒傳播擴(kuò)散快,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒��,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品���。校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)���,就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網(wǎng)相連��,就需要網(wǎng)關(guān)的防病毒軟件�����,加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全�����。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換���,還需要一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件��,識(shí)別出隱藏在電子郵件和附件中的病毒�����。所以最好使用全方位的防病毒產(chǎn)品����,針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件,通過全方位�、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動(dòng)升級(jí)����,使網(wǎng)絡(luò)免受病毒的侵襲。
1�、配置防火墻。利用防火墻�,在網(wǎng)絡(luò)通訊時(shí)執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)����,同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)�����,防止他們隨意更改��、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制�,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部,所以�����,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)���。
2、采用入侵檢測系統(tǒng)�����。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異�����,F(xiàn)象的技術(shù)�,是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計(jì)記錄��,入侵檢測系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)�����,從而達(dá)到限制這些活動(dòng),以保護(hù)系統(tǒng)的安全�。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù),最好采用混合入侵檢測���,在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)�,則會(huì)構(gòu)架成一套完整立體的主動(dòng)防御體系�����。
3���、Web����,Email��,BBS的安全監(jiān)測系統(tǒng)����。在網(wǎng)絡(luò)的www服務(wù)器、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)���,實(shí)時(shí)跟蹤�����、監(jiān)視網(wǎng)絡(luò)�����,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容���,并將其還原成完整的www、Email��、FTP��、Telnet應(yīng)用的內(nèi)容�����,建立保存相應(yīng)記錄的數(shù)據(jù)庫��。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容����,及時(shí)采取有效措施。
4�����、漏洞掃描系統(tǒng)。解決網(wǎng)絡(luò)層安全問題�����,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患����、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況����,僅僅依靠一個(gè)人的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出評(píng)估��,顯然是不現(xiàn)實(shí)的�����。解決的方案是����,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具�,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患���。在要求安全程度不高的情況下,可以利用各種黑客工具����,對(duì)網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。
5�、IP盜用問題的解決。在路由器上捆綁IP和MAC地址��。當(dāng)某個(gè)IP通過路由器訪問Internet時(shí)����,路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符�����,如果相符就放行�����。否則不允許通過路由器���,同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息����。
6、加強(qiáng)學(xué)生的法制教育和德育教育�����。學(xué)生機(jī)房管理時(shí)感慨地說:“學(xué)生的破壞能力是無窮無盡的”����,我覺得這句話應(yīng)該改成“學(xué)生的創(chuàng)新能力是無窮無盡的”,問題關(guān)鍵在于我們?nèi)绾稳フ_引導(dǎo)他們��。作為教師我們?cè)诮淌诰W(wǎng)絡(luò)知識(shí)的同時(shí)��,應(yīng)該加強(qiáng)學(xué)生的法制教育和德育教育�����,讓學(xué)生了解我國在計(jì)算機(jī)應(yīng)用方面的相應(yīng)法規(guī)����,做一個(gè)遵紀(jì)守法的好青年。
二���、校園網(wǎng)服務(wù)器的安全
校園網(wǎng)服務(wù)器的安全一般可分為硬件系統(tǒng)的安全與軟件系統(tǒng)的安全��。
1���、硬件系統(tǒng)的安全防護(hù)
放置服務(wù)器的機(jī)房應(yīng)切實(shí)做好防雷����、防火���、防水���、防電、防高溫等工作�����。為保證服務(wù)器24小時(shí)處于工作狀態(tài)還應(yīng)配備不間斷電源����。同時(shí)管理員要管理好機(jī)房的和機(jī)柜的鑰匙�,不要讓無關(guān)人員隨意進(jìn)入機(jī)房,防止人為的蓄意破壞和盜竊事件發(fā)生�。
2、軟件系統(tǒng)的安全防護(hù)
同硬件系統(tǒng)相比,服務(wù)器軟件系統(tǒng)的安全問題是最多的�,也是最瑣碎的。一般來說可以從以下幾方面著手:
����、佟⒔⒎⻊(wù)器檔案
對(duì)于服務(wù)器內(nèi)部的硬件型號(hào)�����、軟件版本��、維修記錄等進(jìn)行記錄�����,以便今后出現(xiàn)故障時(shí)能進(jìn)行對(duì)照��。
����、凇惭b補(bǔ)丁程序
目前大部分校園網(wǎng)服務(wù)器使用的是微軟的Windows2003操作系統(tǒng)���,由于使用的人多�,BUG也不斷被發(fā)現(xiàn),微軟的操作系統(tǒng)成了不少黑客攻擊的對(duì)象���。所以裝好windows2003系統(tǒng)后一定要升級(jí)至ServicePack2��,管理員還要經(jīng)常關(guān)注微軟公司的網(wǎng)站及時(shí)下載最新的系統(tǒng)補(bǔ)丁打到服務(wù)器中�����。
③��、安裝防火墻與殺毒軟件
在校園網(wǎng)中�����,重要的數(shù)據(jù)往往保存在整個(gè)中心結(jié)點(diǎn)的服務(wù)器上���,這也是病毒攻擊的首要目標(biāo)。安裝病毒防火墻和網(wǎng)絡(luò)防火墻�����,定期對(duì)病毒庫進(jìn)行更新���,按計(jì)劃查毒殺毒。定期用對(duì)服務(wù)器開放的端口進(jìn)行檢測,將檢測結(jié)果和以往備份的端口列表進(jìn)行比較�。用進(jìn)程檢測軟件監(jiān)測服務(wù)器所開的進(jìn)程,并和以往的進(jìn)程列表作比較���。服務(wù)器盡可能不要設(shè)置文件共享����,不要打開寫文件的權(quán)限���,即使開啟共享����,也應(yīng)設(shè)置相應(yīng)密碼�����。
④��、加強(qiáng)操作系統(tǒng)權(quán)限管理和口令管理
打開“計(jì)算機(jī)管理”��,檢查用戶和組里是否有非法用戶�����,尤其小心管理員權(quán)限的非法用戶。禁止系統(tǒng)提供的Guest用戶����,因?yàn)楹诳统S肎uest進(jìn)行系統(tǒng)控制,對(duì)于Administrator則應(yīng)進(jìn)行改名操作并設(shè)置足夠復(fù)雜的密碼�����。開啟審核策略�����,修改終端管理端口����,以及配置MS-SQL,刪除危險(xiǎn)的存儲(chǔ)過程��。
⑤���、監(jiān)測系統(tǒng)日志
管理員要定期查看系統(tǒng)日志記錄����,及時(shí)解決出現(xiàn)的問題����,無法解決的問題及時(shí)向上級(jí)匯報(bào);任何人不得動(dòng)手刪除運(yùn)行記錄數(shù)據(jù)庫中的文檔�。定期對(duì)日志進(jìn)行備份,并設(shè)置防止日志的大小��,以免日志文件過大影響系統(tǒng)速度�����。
�����、����、定期對(duì)服務(wù)器進(jìn)行備份與維護(hù)
為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作,系統(tǒng)管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件���。比如操作系統(tǒng)盤�����、用戶賬號(hào)等����。文件資料可以用RAID方式進(jìn)行每周備份,重要的資料還應(yīng)用保存在另外的服務(wù)器上或者備份在光盤中�����。監(jiān)視服務(wù)器上資源的使用情況�,刪除過期和無用的文件,確保服務(wù)器高效運(yùn)行��。
任何先進(jìn)的系統(tǒng)都是為人服務(wù)的���,因此人永遠(yuǎn)是決定性的因素��,配合先進(jìn)的技術(shù)手段�,建立起一整套完善的現(xiàn)代化網(wǎng)絡(luò)運(yùn)行����、使用、管理規(guī)范永遠(yuǎn)是保證其發(fā)揮出最大效益的重要保障��。
三�、校園網(wǎng)基于VLAN的安全部署
采用以太交換的校園網(wǎng)絡(luò),可以用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN能夠幫助控制流量���,提供更高的安全性���,使網(wǎng)絡(luò)設(shè)備的變更或移動(dòng)更加方便。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段�����,根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別���,將網(wǎng)絡(luò)分段并進(jìn)行隔離,實(shí)現(xiàn)相互間的訪問控制�����,以達(dá)到限制非法訪問的目的�。網(wǎng)絡(luò)分段分為物理分段和邏輯分段兩種方式。物理分段通常是將網(wǎng)絡(luò)在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段����,各網(wǎng)段相互之間無法直接通信。邏輯分段則是將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段����。例如:對(duì)于TCP/IP網(wǎng)絡(luò)���,可以把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器����、路由交換機(jī)或網(wǎng)關(guān)等設(shè)備進(jìn)行連接,利用這些中間設(shè)備(含軟件��、硬件)的安全機(jī)制來控制各子網(wǎng)間的訪問�。實(shí)際應(yīng)用時(shí),通常采取物理分段與邏輯分段相結(jié)合的方法����。
如圖所示,為了提高網(wǎng)絡(luò)的安全性����,應(yīng)避免將教師和學(xué)生處于同一網(wǎng)段,可將教師和學(xué)生劃分為兩個(gè)子網(wǎng)VLAN��。利用網(wǎng)關(guān)保證信息的有效過濾�,機(jī)房處于一個(gè)相對(duì)安全與過濾型的網(wǎng)絡(luò)狀況下運(yùn)行。
校園網(wǎng)的網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性工程����,不能僅僅依靠防火墻和其它網(wǎng)絡(luò)安全技術(shù)��,而需要仔細(xì)考慮系統(tǒng)的安全需求���,建立相應(yīng)的管理制度,并將各種安全技術(shù)與管理手段結(jié)合在一起��,才能生成一個(gè)高效��、通用�、安全的校園網(wǎng)絡(luò)系統(tǒng)�����。
建設(shè)校園網(wǎng)時(shí)要本著從實(shí)際出發(fā)�����,以應(yīng)用為目的�����,綜觀全局����、統(tǒng)籌安排����。同時(shí)對(duì)建設(shè)好的校園網(wǎng)絡(luò)我們應(yīng)加強(qiáng)安全防御意識(shí)�,建立相應(yīng)的安全防御體系和管理維護(hù)制度。以確保校園網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展��。
【參考文獻(xiàn)】
1����、劉繁華.對(duì)中小學(xué)校園網(wǎng)建設(shè)若干問題的探討.《中小學(xué)電教》2006.3
2、王洪��、魏惠琴等著.《計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用教程》.2006.2
3���、張思宜���、李尚臣.校園網(wǎng)絡(luò)信息安全防御對(duì)策與體系設(shè)計(jì).《中國電化教育》
4、鄭明達(dá).校園網(wǎng)的建設(shè)與思考.《教育信息化》.2007.1
5����、胡伏湘.校園網(wǎng)安全分析及解決方法.《計(jì)算機(jī)與網(wǎng)絡(luò)》2006.5
安徽淮南毛集實(shí)驗(yàn)區(qū)花家湖學(xué)校 馬敏
相關(guān)推薦:
小升初試題、期中期末題�、小學(xué)奧數(shù)題
盡在奧數(shù)網(wǎng)公眾號(hào)
歡迎使用手機(jī)���、平板等移動(dòng)設(shè)備訪問幼教網(wǎng),幼兒教育我們一路陪伴同行����!>>點(diǎn)擊查看
