導(dǎo)讀:校園網(wǎng)的網(wǎng)絡(luò)安全是一個系統(tǒng)性工程��,不能僅僅依靠防火墻和其它網(wǎng)絡(luò)安全技術(shù)����,而需要仔細(xì)考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度����,并將各種安全技術(shù)與管理手段結(jié)合在一起�����,才能生成一個高效�、通用��、安全的校園網(wǎng)絡(luò)系統(tǒng)�����。
隨著“校校通”工程的日益推進(jìn)�����,很多中小學(xué)校都建設(shè)了校園網(wǎng)并通過各種渠道接入了Internet�,F(xiàn)代化的信息處理方式和知識獲取手段促進(jìn)了教育的發(fā)展���,但隨之而來的網(wǎng)絡(luò)安全問題也日漸明顯地擺在了校園網(wǎng)絡(luò)管理員面前�。中小學(xué)校園網(wǎng)對安全性的要求有其自身的特殊性��,除了傳統(tǒng)意義上的信息安全(如對色情�����、暴力�、反動等不良信息的過濾)以外,還應(yīng)提高對病毒���、惡意攻擊以及物理設(shè)備的安全防范��。以現(xiàn)將我在校園網(wǎng)日常管理中發(fā)現(xiàn)的一些安全隱患以及管理實(shí)踐�����,與廣大同行共勉���。談?wù)勅绾螛?gòu)筑一個比較實(shí)用的校園網(wǎng)安全防范體系���。
一、校園內(nèi)部網(wǎng)絡(luò)安全與病毒防范
在網(wǎng)絡(luò)環(huán)境下�����,病毒傳播擴(kuò)散快��,僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒����,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。校園網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)��,就需要一個基于服務(wù)器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件�����。如果與互聯(lián)網(wǎng)相連�����,就需要網(wǎng)關(guān)的防病毒軟件���,加強(qiáng)上網(wǎng)計算機(jī)的安全����。如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換���,還需要一套基于郵件服務(wù)器平臺的郵件防病毒軟件�����,識別出隱藏在電子郵件和附件中的病毒��。所以最好使用全方位的防病毒產(chǎn)品�,針對網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件���,通過全方位�、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級�����,使網(wǎng)絡(luò)免受病毒的侵襲��。
1���、配置防火墻�����。利用防火墻��,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度����,允許防火墻同意訪問的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)�����,同時將不允許的用戶與數(shù)據(jù)拒之門外���,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問自己的網(wǎng)絡(luò)���,防止他們隨意更改��、移動甚至刪除網(wǎng)絡(luò)上的重要信息����。防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制����,防止Internet上的不安全因素蔓延到局域網(wǎng)內(nèi)部�����,所以��,防火墻是網(wǎng)絡(luò)安全的重要一環(huán)��。
2����、采用入侵檢測系統(tǒng)。入侵檢測技術(shù)是為保證計算機(jī)系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異���,F(xiàn)象的技術(shù)�,是一種用于檢測計算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。在入侵檢測系統(tǒng)中利用審計記錄�,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達(dá)到限制這些活動���,以保護(hù)系統(tǒng)的安全����。在校園網(wǎng)絡(luò)中采用入侵檢測技術(shù)���,最好采用混合入侵檢測��,在網(wǎng)絡(luò)中同時采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)���,則會構(gòu)架成一套完整立體的主動防御體系。
3�、Web,Email����,BBS的安全監(jiān)測系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器�����、Email服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實(shí)時跟蹤���、監(jiān)視網(wǎng)絡(luò)��,截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容�����,并將其還原成完整的www、Email��、FTP��、Telnet應(yīng)用的內(nèi)容�,建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容�����,及時采取有效措施�。
4、漏洞掃描系統(tǒng)��。解決網(wǎng)絡(luò)層安全問題�,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患�、脆弱點(diǎn)����。面對大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況,僅僅依靠一個人的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞�����、做出評估����,顯然是不現(xiàn)實(shí)的。解決的方案是�,尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具����,利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下��,可以利用各種黑客工具����,對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞。
5、IP盜用問題的解決��。在路由器上捆綁IP和MAC地址���。當(dāng)某個IP通過路由器訪問Internet時����,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符���,如果相符就放行���。否則不允許通過路由器�����,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息���。
6����、加強(qiáng)學(xué)生的法制教育和德育教育�。學(xué)生機(jī)房管理時感慨地說:“學(xué)生的破壞能力是無窮無盡的”,我覺得這句話應(yīng)該改成“學(xué)生的創(chuàng)新能力是無窮無盡的”��,問題關(guān)鍵在于我們?nèi)绾稳フ_引導(dǎo)他們。作為教師我們在教授網(wǎng)絡(luò)知識的同時��,應(yīng)該加強(qiáng)學(xué)生的法制教育和德育教育���,讓學(xué)生了解我國在計算機(jī)應(yīng)用方面的相應(yīng)法規(guī)���,做一個遵紀(jì)守法的好青年。
二�、校園網(wǎng)服務(wù)器的安全
校園網(wǎng)服務(wù)器的安全一般可分為硬件系統(tǒng)的安全與軟件系統(tǒng)的安全。
1�、硬件系統(tǒng)的安全防護(hù)
放置服務(wù)器的機(jī)房應(yīng)切實(shí)做好防雷、防火����、防水、防電�、防高溫等工作。為保證服務(wù)器24小時處于工作狀態(tài)還應(yīng)配備不間斷電源���。同時管理員要管理好機(jī)房的和機(jī)柜的鑰匙���,不要讓無關(guān)人員隨意進(jìn)入機(jī)房,防止人為的蓄意破壞和盜竊事件發(fā)生。
2����、軟件系統(tǒng)的安全防護(hù)
同硬件系統(tǒng)相比,服務(wù)器軟件系統(tǒng)的安全問題是最多的����,也是最瑣碎的。一般來說可以從以下幾方面著手:
����、佟⒔⒎⻊(wù)器檔案
對于服務(wù)器內(nèi)部的硬件型號���、軟件版本���、維修記錄等進(jìn)行記錄,以便今后出現(xiàn)故障時能進(jìn)行對照�����。
�、����、安裝補(bǔ)丁程序
目前大部分校園網(wǎng)服務(wù)器使用的是微軟的Windows2003操作系統(tǒng)���,由于使用的人多,BUG也不斷被發(fā)現(xiàn)����,微軟的操作系統(tǒng)成了不少黑客攻擊的對象。所以裝好windows2003系統(tǒng)后一定要升級至ServicePack2���,管理員還要經(jīng)常關(guān)注微軟公司的網(wǎng)站及時下載最新的系統(tǒng)補(bǔ)丁打到服務(wù)器中��。
③�、安裝防火墻與殺毒軟件
在校園網(wǎng)中��,重要的數(shù)據(jù)往往保存在整個中心結(jié)點(diǎn)的服務(wù)器上�����,這也是病毒攻擊的首要目標(biāo)�。安裝病毒防火墻和網(wǎng)絡(luò)防火墻,定期對病毒庫進(jìn)行更新���,按計劃查毒殺毒�����。定期用對服務(wù)器開放的端口進(jìn)行檢測����,將檢測結(jié)果和以往備份的端口列表進(jìn)行比較。用進(jìn)程檢測軟件監(jiān)測服務(wù)器所開的進(jìn)程����,并和以往的進(jìn)程列表作比較。服務(wù)器盡可能不要設(shè)置文件共享�����,不要打開寫文件的權(quán)限��,即使開啟共享��,也應(yīng)設(shè)置相應(yīng)密碼���。
④��、加強(qiáng)操作系統(tǒng)權(quán)限管理和口令管理
打開“計算機(jī)管理”,檢查用戶和組里是否有非法用戶���,尤其小心管理員權(quán)限的非法用戶����。禁止系統(tǒng)提供的Guest用戶,因?yàn)楹诳统S肎uest進(jìn)行系統(tǒng)控制��,對于Administrator則應(yīng)進(jìn)行改名操作并設(shè)置足夠復(fù)雜的密碼���。開啟審核策略�,修改終端管理端口����,以及配置MS-SQL,刪除危險的存儲過程��。
⑤�、監(jiān)測系統(tǒng)日志
管理員要定期查看系統(tǒng)日志記錄,及時解決出現(xiàn)的問題�,無法解決的問題及時向上級匯報;任何人不得動手刪除運(yùn)行記錄數(shù)據(jù)庫中的文檔��。定期對日志進(jìn)行備份���,并設(shè)置防止日志的大小����,以免日志文件過大影響系統(tǒng)速度。
�、蕖⒍ㄆ趯Ψ⻊(wù)器進(jìn)行備份與維護(hù)
為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作���,系統(tǒng)管理員需要定期備份服務(wù)器上的重要系統(tǒng)文件����。比如操作系統(tǒng)盤�����、用戶賬號等�����。文件資料可以用RAID方式進(jìn)行每周備份�����,重要的資料還應(yīng)用保存在另外的服務(wù)器上或者備份在光盤中����。監(jiān)視服務(wù)器上資源的使用情況�����,刪除過期和無用的文件,確保服務(wù)器高效運(yùn)行�。
任何先進(jìn)的系統(tǒng)都是為人服務(wù)的,因此人永遠(yuǎn)是決定性的因素����,配合先進(jìn)的技術(shù)手段,建立起一整套完善的現(xiàn)代化網(wǎng)絡(luò)運(yùn)行���、使用�����、管理規(guī)范永遠(yuǎn)是保證其發(fā)揮出最大效益的重要保障�����。
三��、校園網(wǎng)基于VLAN的安全部署
采用以太交換的校園網(wǎng)絡(luò)��,可以用VLAN技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理�����。VLAN能夠幫助控制流量�����,提供更高的安全性�,使網(wǎng)絡(luò)設(shè)備的變更或移動更加方便。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段�,根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,將網(wǎng)絡(luò)分段并進(jìn)行隔離���,實(shí)現(xiàn)相互間的訪問控制����,以達(dá)到限制非法訪問的目的����。網(wǎng)絡(luò)分段分為物理分段和邏輯分段兩種方式。物理分段通常是將網(wǎng)絡(luò)在物理層和數(shù)據(jù)段鏈路層分為若干網(wǎng)段���,各網(wǎng)段相互之間無法直接通信��。邏輯分段則是將整個系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段���。例如:對于TCP/IP網(wǎng)絡(luò)��,可以把網(wǎng)絡(luò)分成若干IP子網(wǎng)����,各子網(wǎng)間必須通過路由器�、路由交換機(jī)或網(wǎng)關(guān)等設(shè)備進(jìn)行連接�����,利用這些中間設(shè)備(含軟件��、硬件)的安全機(jī)制來控制各子網(wǎng)間的訪問����。實(shí)際應(yīng)用時,通常采取物理分段與邏輯分段相結(jié)合的方法���。
如圖所示���,為了提高網(wǎng)絡(luò)的安全性,應(yīng)避免將教師和學(xué)生處于同一網(wǎng)段,可將教師和學(xué)生劃分為兩個子網(wǎng)VLAN����。利用網(wǎng)關(guān)保證信息的有效過濾,機(jī)房處于一個相對安全與過濾型的網(wǎng)絡(luò)狀況下運(yùn)行�。
校園網(wǎng)的網(wǎng)絡(luò)安全是一個系統(tǒng)性工程,不能僅僅依靠防火墻和其它網(wǎng)絡(luò)安全技術(shù)����,而需要仔細(xì)考慮系統(tǒng)的安全需求,建立相應(yīng)的管理制度��,并將各種安全技術(shù)與管理手段結(jié)合在一起����,才能生成一個高效、通用�����、安全的校園網(wǎng)絡(luò)系統(tǒng)����。
建設(shè)校園網(wǎng)時要本著從實(shí)際出發(fā),以應(yīng)用為目的��,綜觀全局、統(tǒng)籌安排���。同時對建設(shè)好的校園網(wǎng)絡(luò)我們應(yīng)加強(qiáng)安全防御意識�����,建立相應(yīng)的安全防御體系和管理維護(hù)制度�����。以確保校園網(wǎng)正常安全運(yùn)行和朝著健康有序方向發(fā)展。
【參考文獻(xiàn)】
1���、劉繁華.對中小學(xué)校園網(wǎng)建設(shè)若干問題的探討.《中小學(xué)電教》2006.3
2��、王洪�����、魏惠琴等著.《計算機(jī)網(wǎng)絡(luò)應(yīng)用教程》.2006.2
3�����、張思宜��、李尚臣.校園網(wǎng)絡(luò)信息安全防御對策與體系設(shè)計.《中國電化教育》
4�����、鄭明達(dá).校園網(wǎng)的建設(shè)與思考.《教育信息化》.2007.1
5����、胡伏湘.校園網(wǎng)安全分析及解決方法.《計算機(jī)與網(wǎng)絡(luò)》2006.5
安徽淮南毛集實(shí)驗(yàn)區(qū)花家湖學(xué)校 馬敏
相關(guān)推薦:
小升初試題、期中期末題�����、小學(xué)奧數(shù)題
盡在奧數(shù)網(wǎng)公眾號
歡迎使用手機(jī)����、平板等移動設(shè)備訪問幼教網(wǎng),幼兒教育我們一路陪伴同行�!>>點(diǎn)擊查看
