题
学 Xi’an Shiyou University 课 程 报告 专业 目 基于校园网网络安全系统的分析 生 屈晓 王静 姜军
二○一一年十月
目 录
绪 论 ............................................................................................ - 2 -
1.校园网络安全 ............................................................................. - 2 -
1.1校园网概述 ............................................................................................................................... - 2 -
1.2校园网络安全概述 ................................................................................................................... - 3 -
1.3校园网络安全现状分析 ........................................................................................................... - 3 -
1.4 校园网络安全威胁 .................................................................................................................. - 4 -
2. 校园网络安全策略 ................................................................. - 5 -
2.1校园网安全管理 ....................................................................................................................... - 5 -
2.2 校园网络安全措施.................................................................................................................... - 6 -
3. 校园网络安全系统设计 ......................................................... - 7 -
3.1校园网的建设规划 ................................................................................................................... - 8 -
3.11校园网的应用特点 ............................................................................................................. - 8 -
3.12校园网的需求分析 ............................................................................................................. - 8 -
3.13网络技术 ............................................................................................................................. - 9 -
3.2 校园网建设需求分析 .............................................................................................................. - 9 -
3.3校园网建设设计原则 ............................................................................................................. - 10 -
3.4校园网网络拓扑结构 ............................................................................................................. - 10 -
3.5 校园网的运行 ........................................................................................................................ - 11 -
3.5.1校园网的应用实施 .......................................................................................................... - 11 -
3.5.2校园网的管理 .................................................................................................................. - 12 - 总 结 .......................................................................................... - 12 -
绪 论
随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
关键词:网络,安全,策略
1.校园网络安全
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全性。因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
网络的发展极大地改变了人们的生活和工作方式,Internet更是给人们带来了无尽的便捷。我们的教育也正朝着信息化、网络化发展,随着“校校通”工程的深入开展,许多学校都投资建设了校园网络并投入使用。校园网络在校园管理、日常教学等方面正扮演着越来越重要的角色。但是,在我们惊叹网络的强大功能时,还应当清醒地看到,网络世界并不是一方净土。病毒使人们更加深刻的认识到了网络安全的重要性。因此,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
1.1校园网概述
在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。概括地讲,校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。在我国,近年来校园网建设发展迅速,到目前为止仅在我国中小学就有近6000所学校
建设了校园网。他们为我国中小学内部实现教育的资源共享、信息交流和协同工作提供了较好的范例。然而,随着我国各地校园网数量的迅速增加,校园网之间如何实现教育的资源共享、信息交流和协同工作的要求越来越强烈。
1.2校园网络安全概述
自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。由于校园网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,校园网络可能存在的安全威胁来自以下方面:
1. 操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞。
2. 防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过检验;
3. 来自内部网用户的安全威胁;
4. 缺乏有效的手段监视、评估网络系统的安全性;
5. 采用的TCP/IP协议族软件,本身缺乏安全性;
6. 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少。
1.3校园网络安全现状分析
(一) 网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,u盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、qq聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上
病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
1.4 校园网络安全威胁
现实生活中,我们遇到的校园网络中存在的安全隐患概括起来分为两个大类:一是网络本身的威胁;二是网络使用者的威胁。
(一)来自网络本身的威胁
对校园网络本身的威胁大体上分成两种:一是对网络中的信息;二是对网络中使用的设备。造成威胁的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来和黑客对系统资源的破坏,也可能是内部的人员对系统资源的破坏。归结起来,威胁来自以下五个方面。
1.心理因素。从物理角度上讲,校园网络的安全性是脆弱的,它涉及的设备分布极为广泛,并存在于一定的自然环境中,任何个人或部门都不可能时时刻刻对这些设备进行全面的监控。一旦发生水灾、火灾、地震、雷击等自然灾害等事故,或者是人为因素,如:机房内突然断电、机房的温湿度控制不当、机房遭到污染和人为破坏等,都会引起网络的运行中断,给整个网络造成灾难性后果。
2.技术因素。校园网络技术的灵魂是芯片与操作系统,这些核心技术目前仅为少数国家和少数企业所拥有,使得我们的网络技术受制于人,这是目前网络安全的最大威胁。校园网络是利用因特网技术构建的,同时又与因特网相连接,因特网的共享性、开放性等特点时的网上的信息安全存在先天不足。因其赖以生存的TCP/IP协议在最初设计时,基本上没有考虑安全问题,缺乏相应的安全机制,增加了系统的复杂性和脆弱性。网络中使用的软件不可能是百分之百的无缺陷和无漏洞。另外,软件的“后门”都是软件编程人员为了方便自己而设置的,一般不为外人所知。但是一旦“后门”洞开,其造成的后果是不堪设想的,网络结构包括网络拓扑结构和网络设备,实际中的网络拓扑结构是总线型、星型等的混合结构,也存在着相应的安全问题
3.设备因素。校园网络是由计算机与通信线路连接而成,计算机又是由硬件与软件构成。任何一个环节出现问题,都可能危及整个网络的安全。网络设备种类繁多,网络有服务器、路由器、操作系统、数据库系统等组成,如配置不当,极易造成安全漏洞;在网络链路上存在着多种形式,有光缆、无线信道、电信公用网等,使访问方式呈多样化,因而造成网络安全机制复杂化;网络空间的可扩展也带来网络边界的不确定性,一个网中的资源可以有另一个网的用户访问,增加了网络信息的不安全性;硬件设备在工作会产生电磁辐射,只要借助一定的仪器设备就可以在一定的范围内接受辐射出的电磁波,再通过一定的仪器设备就能够清晰的还原收到的信息,从而导致信息泄漏;在存储的磁介质中,存储的信息是清除不掉或清除不干净的,通过一定的技术手段就可以恢复利用,造成信息泄漏;网络和通信线路易受破坏或搭线窃听,通过搭线进入网络进行非授权访问。同样,软件的使用、软件的可修改性、对软件的误操作等,也会影响到网络安全。
4.病毒因素。计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。计算机病毒程序区别于通常程序,它具有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性的特点。因此,通过网络传播的病毒,无论是在破坏性、传播速度和传播范围等方面都是单机病毒所不能比拟的。特别是校园网络接入因特网后,位于外面的病毒进入校园网大开了方便之门,现在程序和电子邮件中都可能带病毒。
5.管理因素。长期以来,高校在校园网建设中普遍存在着重技术、轻安全、轻管理的问
题。对网络安全所需的硬件、软件设施上投入不足,现有的网络安全设备和管理措施跟不上网络技术迅速发展的步伐,造成网络的安全管理滞后。由于目前各高校保卫部门普遍缺少计算机网络管理的专业人员,保卫部门基本上不参与校园网络系统的技术安全管理,而是由网络管理中心来担负此项工作,客观上造成了网络安全监测工作滞后。
(二) 来自网络使用者的威胁
由于高校是以教学活动的场所,校园网络在安全问题上具有自身的特点,但是也存在着许多薄弱环节,概括如下:
1.人为的无意失误。如:操作者对系统的安全配置不当造成不安全;用户安全意识不强;用户口令选择不慎;用户将自己的账号随意转接他人或与他人共享等。
2.人为的恶意攻击。网络面临的最大威胁是黑客可供给和利用计算机犯罪。此攻击的方式又可以分为两种:一种是主动攻击。他以各种方式有选择的破坏信息的有效性和完整性;另一种是被动攻击。他在不影响网络正常工作的情况下,进行截获、密取、破译来获取重要的机密信息。两种形式均可对网络造成极大的危害,并导致数据的泄漏。
经常采用的网络攻击方式有以下8种形式:
1) 窃听。攻击者通过监视网络数据或的敏感信息;
2) 重传。攻击者事先获得部分或全部信息,以后将此信息发送给接受者;
3) 篡改。攻击者对合法用户之间的通信信息进行修改、删除、插入,在发送给接收站;
4) 伪造。攻击者竟伪造的信息发送给接受者。
5) 拒绝服务。攻击者通过某些方法是系统响应减慢甚至瘫痪,阻止合法用户或的服务;
6) 行为否认。通信实体否认已经发生的行为;
7) 传播病毒。通过网络传播病毒,其破坏性非常高,而且用户很难防范;
8) 授权访问。没有事先经过用户同意,就使用其网络或资源。主要是假冒身份进入网络系统进行违法操作。
2. 校园网络安全策略
校园网的安全威胁既有来自校内也有来自校外,只有将技术和管理都重视,才能构筑安全的校园网。构筑校园网络安全体系,要从两个方面着手:一是采用先进的技术;二是不断改进管理方法。
2.1校园网安全管理
针对目前高校校园网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略:
1、规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。
2、配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3、解决用户上网身份问题,建立全校统一的身份认证系统 。校园网络必须要解决用户上
网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题。
4、严格规范上网场所的管理,集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
5、根据相关部门的要求,配备专门的安全管理人员,出台网络安全管理制度 。
2.2 校园网络安全措施
(一) 代理服务器
学校在建校园网络之时配置一台代理服务器,它是校园网和互联网之间的中介,在服务器上执行代理服务的软件应用程序,对代理服务器进行一些必要的设置。校园网内用户访问internet都是通过代理服务器,代理服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该代理服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有代理服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)内容过滤器
内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时,可以限制外来的垃圾邮件。
(四) 防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(五)漏洞扫描
随着软件规模的不断增大.系统中的安全漏洞或“后门”也不可避免地存在.因此,应采用先进的漏洞扫描系统定期对服务器等安全检查,详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。
(六)数据、口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对
用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。
(七) vlan(虚拟局域网)技术
vlan(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的vlan中,将校园网络划分成几个子网。将用户限制在其所在的vlan里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助vlan技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(八) 系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(九)入侵检测系统(intrusiondetectionsystem,ids)
ids是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过internet进入网络甚至计算机系统时,ids能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,ids收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(十)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
3. 校园网络安全系统设计
安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行,并定期对校内教师进行计算机网络安全知识培训,或发放常见病毒解决方案等。
3.1校园网的建设规划
校园网建设作为一项复杂的系统工程,与任何一项工程建设一样,在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析,它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系,因此要特别认真地进行系统规划。对于校园网来说,必须对技术和教育的发展前景有着清醒的认识,只有这样才能很好地为校园网进行合理的规划。
3.11校园网的应用特点
随着现代化教学活动的开展和与国内外教学机构交往的增多,对通过网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥师生的创造力,校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统,以校园局域网为主,一个基本的校园网应具备以下特点:
高速的局域网连接---园网的核心为面向校园内部师生的网络,因此校园局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;
信息结构多样化--校园网应用分为电子教学、学校管理和远程通讯三大部分内容:电子教学包含大量多媒体信息,学校管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;
操作方便,易于管理--校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化;
经济实用--学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。
3.12校园网的需求分析
在着手设计一个校园网或者计算机局域网时,其主要依据就是网络用户的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析,才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网的需求分析之后,就要对整个校园进行物理结构和逻辑结构的设计。校园网具体的需求分析有如下几点:
(1)总体目标
对于一个校园网来说,系统的总体目标就是在一个时期内,当校园网完全建设好后所要达到的功能和具有的规模。一般来说,一个校园网系统总体目标是分步实施的,包括功能的分步实施和规模的分步实施。主要原因是受资金的限制和技术发展的影响 。此我们在设计一个校园网时,要充分考虑到对已有校园网资源的再次利用,又要考虑到将来对校园网进一步的升级改造。
(2)近期目标
近期目标就是根据实际需求来设计和建设校园网,使建设好后的校园网能满足实际需求所应有的功能和规模,同时又要考虑将来能对校园网进一步的升级改造或者是后期工程的建设,系统近期目标是需求分析的重点。
3.13网络技术
学校建设校园网有许多需要考虑的问题,如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。
(1) 网络技术类型
网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则,并充分考虑性能价格比和今后技术的发展。要求系统兼容性好,易于平滑连接,避免网络瓶颈。
(2)网络拓扑的选择
当前在局域网的建设中,主要应用的拓扑结构有总线型、环型和星型。在总线型网络中,由于各计算机共享一条通信电缆,而且不需要额外的通信设备,因此,可以节约组网费用。但是其缺点也是十分明显的,网络中的任何一个节点出现故障,都将导致整个网络瘫痪,这与在网络建设要求网络具有高可靠性和沉佘性不相符,因此使用总线型拓扑结构建设的网络已趋于淘汰,在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构,环型结构的缺点与总线型的缺点是差不多的,也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉佘性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。
图3.1网络拓扑结构图
3.2 校园网建设需求分析
校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行
综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建设必须有明确的建设目标。
校园网的总体设计原则是:开放性采用开放性的网络体系,以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化。
3.3校园网建设设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。
3.4校园网网络拓扑结构
根据校园网的需求分析及建设目标,本设计方案采用交换式千兆以太网作为主干,百兆交换到桌面。网络拓扑采用星型树结构,网络中心的交换机使用堆叠方式连接。
- 10 -
图 3.2 校园网网络拓扑图
3.5 校园网的运行
3.5.1校园网的应用实施
1、在管理方面
1) 网络中的关键设备应放置于可靠的机房,并有健全的管理制度和措施;
2) 加强安全检查,定期对网络和系统进行扫描、检查和巡视;
3) 培养师生的安全意识,加强口令管理,限制用户采用容易破怿的口令;
4) 保持对国际上先进安全技术的跟踪。学习和研究,及时进行技术升级。
2、在技术方面
1) 通过VLAN技术,控制网络流量,提供网络效率,防止网络侦听(sniffer);
2) 不同的VLAN,可以根据功能区域的不同,设定不同的安全级别;对于重要网络设备和管理系统,应设置最高的安全级别;
3) 对于向外提供信息服务的重要服务器,关闭不需要开放的服务端口,限制用户的操作权限,防止非法操作;
4) 采用访问控制表进行访问限制,过滤不正当的访问和恶意攻击;
- 11 -
5) 通过防病毒软件和适当的个人电脑网络设置,建立桌面级的系统安全;
6) 校园网可以通过DHCP服务器,实现动态地址分配与认证,实现对内信息内容的访问控制。
3、定期做好备份工作
系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘,做备份存档。文件资料等可以用RAID方式进行每周备份。这样一旦服务器出现故障,可以损失降的很小。
4、定期做好网络杀毒工作
在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。为了保护这些数据,网络管理员必须在网络服务器上设置全面的保护措施。因此,网络防病毒软件安装在服务器工作站和邮件系统上。这样病毒扫描的任务是网络上所有的工作站共同承担的,这样可以在工作站的日常工作中加入病毒扫描任务,网络版杀毒软件一般都支持定时的升级,全网杀毒等功能,很好地帮助了网络人员 。
3.5.2校园网的管理
根据前面介绍的校园网设计方案建设而成的一个校园网络投入运行之后,它的稳定性及可靠性是很高。网络系统出现的问题,一般情况下出现的问题主要有人为操作失误和整个网络系统本身不可避免的故障。因此要想使计算机网络的各种故障减少到最低的话,网络管理员就要在平时做好网络的预防性维护以及重要数据的备份、计算机病毒的防护,记录网络事件等工作。同时人为操作造成的故障在整个网络故障的绝大部分,防性维护是非常重要的,日常维护的主要工作是:清理污垢和其他一些污染。
如果灰尘等污垢太多的话就会造成设备散热不良,严重的还会引起电子器件间的短路。还要检查各种网络设备的连接情况,在一个计算机网络中各种连接是现容易出问题的,因此要安排一定的时间,每隔一段日期就检查一下局域网中所有计算机系统的连线是否松动,还要查看一下电源线、显示器、网络,串行和并行电缆以及各种配件等。任何提供服务的网络都应该拥有备份系统,在备份之后还要进行测试,以保证备份的系统能够正常工作。要确保备份系统的完整性,在安装了服务器或备份设备之后,或者对系统进行了重大的修改之后,一定要把整个系统备份下来,再恢复其中的部分文件进行测试,可能每一项都进行完全备份,也可能只做增量备份可以满足需要了,具体需要备份的数量由系统环境来决定。
总 结
没有安全保证的校园网络就像没有刹车的车子跑在高速公路上。互联网络的飞速发展,对校园网络中师生的工作和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好的解决了网络安全问题,校园网络的应用才能健康、高速的发展.
校园网的安全及相应的管理策略是一个需要长期关注的实用研究课题。在校园网的使用实践的过程中,牢固树立安全意识、不断采用新技术、完善管理规章制度才能有效地保证校园网正常、安全地运行。在具体的工作中,可以根据人力、财力、物力的资源情况,在一定的安全目标预期下,进行适当组织,综合制定一个行之有效的最佳方案,保证校园网稳定可靠运行。
- 12 -
题
学 Xi’an Shiyou University 课 程 报告 专业 目 基于校园网网络安全系统的分析 生 屈晓 王静 姜军
二○一一年十月
目 录
绪 论 ............................................................................................ - 2 -
1.校园网络安全 ............................................................................. - 2 -
1.1校园网概述 ............................................................................................................................... - 2 -
1.2校园网络安全概述 ................................................................................................................... - 3 -
1.3校园网络安全现状分析 ........................................................................................................... - 3 -
1.4 校园网络安全威胁 .................................................................................................................. - 4 -
2. 校园网络安全策略 ................................................................. - 5 -
2.1校园网安全管理 ....................................................................................................................... - 5 -
2.2 校园网络安全措施.................................................................................................................... - 6 -
3. 校园网络安全系统设计 ......................................................... - 7 -
3.1校园网的建设规划 ................................................................................................................... - 8 -
3.11校园网的应用特点 ............................................................................................................. - 8 -
3.12校园网的需求分析 ............................................................................................................. - 8 -
3.13网络技术 ............................................................................................................................. - 9 -
3.2 校园网建设需求分析 .............................................................................................................. - 9 -
3.3校园网建设设计原则 ............................................................................................................. - 10 -
3.4校园网网络拓扑结构 ............................................................................................................. - 10 -
3.5 校园网的运行 ........................................................................................................................ - 11 -
3.5.1校园网的应用实施 .......................................................................................................... - 11 -
3.5.2校园网的管理 .................................................................................................................. - 12 - 总 结 .......................................................................................... - 12 -
绪 论
随着网络的高速发展,网络的安全问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中,由于对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。
随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对淡漠),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题刻不容缓。
关键词:网络,安全,策略
1.校园网络安全
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络的生命在于其安全性。因此,在现有的技术条件下,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
网络的发展极大地改变了人们的生活和工作方式,Internet更是给人们带来了无尽的便捷。我们的教育也正朝着信息化、网络化发展,随着“校校通”工程的深入开展,许多学校都投资建设了校园网络并投入使用。校园网络在校园管理、日常教学等方面正扮演着越来越重要的角色。但是,在我们惊叹网络的强大功能时,还应当清醒地看到,网络世界并不是一方净土。病毒使人们更加深刻的认识到了网络安全的重要性。因此,如何构建相对可靠的校园网络安全体系,就成了校园网络管理人员的一个重要课题。
1.1校园网概述
在学校范围内,在一定的教育思想和理论指导下,为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。概括地讲,校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。首先,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带、具有交互功能和专业性很强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校包括多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。其次,校园网应具有教务、行政和总务管理功能。在我国,近年来校园网建设发展迅速,到目前为止仅在我国中小学就有近6000所学校
建设了校园网。他们为我国中小学内部实现教育的资源共享、信息交流和协同工作提供了较好的范例。然而,随着我国各地校园网数量的迅速增加,校园网之间如何实现教育的资源共享、信息交流和协同工作的要求越来越强烈。
1.2校园网络安全概述
自信息系统开始运行以来就存在信息系统安全问题,通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。由于校园网络内运行的主要是多种网络协议,而这些网络协议并非专为安全通讯而设计。所以,校园网络可能存在的安全威胁来自以下方面:
1. 操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞。
2. 防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过检验;
3. 来自内部网用户的安全威胁;
4. 缺乏有效的手段监视、评估网络系统的安全性;
5. 采用的TCP/IP协议族软件,本身缺乏安全性;
6. 应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少。
1.3校园网络安全现状分析
(一) 网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,u盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、qq聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上
病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。
1.4 校园网络安全威胁
现实生活中,我们遇到的校园网络中存在的安全隐患概括起来分为两个大类:一是网络本身的威胁;二是网络使用者的威胁。
(一)来自网络本身的威胁
对校园网络本身的威胁大体上分成两种:一是对网络中的信息;二是对网络中使用的设备。造成威胁的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的;可能是外来和黑客对系统资源的破坏,也可能是内部的人员对系统资源的破坏。归结起来,威胁来自以下五个方面。
1.心理因素。从物理角度上讲,校园网络的安全性是脆弱的,它涉及的设备分布极为广泛,并存在于一定的自然环境中,任何个人或部门都不可能时时刻刻对这些设备进行全面的监控。一旦发生水灾、火灾、地震、雷击等自然灾害等事故,或者是人为因素,如:机房内突然断电、机房的温湿度控制不当、机房遭到污染和人为破坏等,都会引起网络的运行中断,给整个网络造成灾难性后果。
2.技术因素。校园网络技术的灵魂是芯片与操作系统,这些核心技术目前仅为少数国家和少数企业所拥有,使得我们的网络技术受制于人,这是目前网络安全的最大威胁。校园网络是利用因特网技术构建的,同时又与因特网相连接,因特网的共享性、开放性等特点时的网上的信息安全存在先天不足。因其赖以生存的TCP/IP协议在最初设计时,基本上没有考虑安全问题,缺乏相应的安全机制,增加了系统的复杂性和脆弱性。网络中使用的软件不可能是百分之百的无缺陷和无漏洞。另外,软件的“后门”都是软件编程人员为了方便自己而设置的,一般不为外人所知。但是一旦“后门”洞开,其造成的后果是不堪设想的,网络结构包括网络拓扑结构和网络设备,实际中的网络拓扑结构是总线型、星型等的混合结构,也存在着相应的安全问题
3.设备因素。校园网络是由计算机与通信线路连接而成,计算机又是由硬件与软件构成。任何一个环节出现问题,都可能危及整个网络的安全。网络设备种类繁多,网络有服务器、路由器、操作系统、数据库系统等组成,如配置不当,极易造成安全漏洞;在网络链路上存在着多种形式,有光缆、无线信道、电信公用网等,使访问方式呈多样化,因而造成网络安全机制复杂化;网络空间的可扩展也带来网络边界的不确定性,一个网中的资源可以有另一个网的用户访问,增加了网络信息的不安全性;硬件设备在工作会产生电磁辐射,只要借助一定的仪器设备就可以在一定的范围内接受辐射出的电磁波,再通过一定的仪器设备就能够清晰的还原收到的信息,从而导致信息泄漏;在存储的磁介质中,存储的信息是清除不掉或清除不干净的,通过一定的技术手段就可以恢复利用,造成信息泄漏;网络和通信线路易受破坏或搭线窃听,通过搭线进入网络进行非授权访问。同样,软件的使用、软件的可修改性、对软件的误操作等,也会影响到网络安全。
4.病毒因素。计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。计算机病毒程序区别于通常程序,它具有寄生性、隐蔽性、非法性、传染性、破坏性、潜伏性的特点。因此,通过网络传播的病毒,无论是在破坏性、传播速度和传播范围等方面都是单机病毒所不能比拟的。特别是校园网络接入因特网后,位于外面的病毒进入校园网大开了方便之门,现在程序和电子邮件中都可能带病毒。
5.管理因素。长期以来,高校在校园网建设中普遍存在着重技术、轻安全、轻管理的问
题。对网络安全所需的硬件、软件设施上投入不足,现有的网络安全设备和管理措施跟不上网络技术迅速发展的步伐,造成网络的安全管理滞后。由于目前各高校保卫部门普遍缺少计算机网络管理的专业人员,保卫部门基本上不参与校园网络系统的技术安全管理,而是由网络管理中心来担负此项工作,客观上造成了网络安全监测工作滞后。
(二) 来自网络使用者的威胁
由于高校是以教学活动的场所,校园网络在安全问题上具有自身的特点,但是也存在着许多薄弱环节,概括如下:
1.人为的无意失误。如:操作者对系统的安全配置不当造成不安全;用户安全意识不强;用户口令选择不慎;用户将自己的账号随意转接他人或与他人共享等。
2.人为的恶意攻击。网络面临的最大威胁是黑客可供给和利用计算机犯罪。此攻击的方式又可以分为两种:一种是主动攻击。他以各种方式有选择的破坏信息的有效性和完整性;另一种是被动攻击。他在不影响网络正常工作的情况下,进行截获、密取、破译来获取重要的机密信息。两种形式均可对网络造成极大的危害,并导致数据的泄漏。
经常采用的网络攻击方式有以下8种形式:
1) 窃听。攻击者通过监视网络数据或的敏感信息;
2) 重传。攻击者事先获得部分或全部信息,以后将此信息发送给接受者;
3) 篡改。攻击者对合法用户之间的通信信息进行修改、删除、插入,在发送给接收站;
4) 伪造。攻击者竟伪造的信息发送给接受者。
5) 拒绝服务。攻击者通过某些方法是系统响应减慢甚至瘫痪,阻止合法用户或的服务;
6) 行为否认。通信实体否认已经发生的行为;
7) 传播病毒。通过网络传播病毒,其破坏性非常高,而且用户很难防范;
8) 授权访问。没有事先经过用户同意,就使用其网络或资源。主要是假冒身份进入网络系统进行违法操作。
2. 校园网络安全策略
校园网的安全威胁既有来自校内也有来自校外,只有将技术和管理都重视,才能构筑安全的校园网。构筑校园网络安全体系,要从两个方面着手:一是采用先进的技术;二是不断改进管理方法。
2.1校园网安全管理
针对目前高校校园网安全现状的认识与理解,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。以下五点是高校的安全策略:
1、规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。
2、配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
3、解决用户上网身份问题,建立全校统一的身份认证系统 。校园网络必须要解决用户上
网身份问题,而身份认证系统是整个校园网络安全体系的基础的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题。
4、严格规范上网场所的管理,集中进行监控和管理 。上网用户不但要通过统一的校级身份认证系统确认,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
5、根据相关部门的要求,配备专门的安全管理人员,出台网络安全管理制度 。
2.2 校园网络安全措施
(一) 代理服务器
学校在建校园网络之时配置一台代理服务器,它是校园网和互联网之间的中介,在服务器上执行代理服务的软件应用程序,对代理服务器进行一些必要的设置。校园网内用户访问internet都是通过代理服务器,代理服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该代理服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有代理服务器是可见的,从而大大增强了校园网络的安全性。
(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。
(三)内容过滤器
内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时,可以限制外来的垃圾邮件。
(四) 防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(五)漏洞扫描
随着软件规模的不断增大.系统中的安全漏洞或“后门”也不可避免地存在.因此,应采用先进的漏洞扫描系统定期对服务器等安全检查,详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。
(六)数据、口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对
用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。
(七) vlan(虚拟局域网)技术
vlan(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的vlan中,将校园网络划分成几个子网。将用户限制在其所在的vlan里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助vlan技术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(八) 系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(九)入侵检测系统(intrusiondetectionsystem,ids)
ids是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过internet进入网络甚至计算机系统时,ids能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,ids收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(十)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
3. 校园网络安全系统设计
安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。学校建立了一套校园网络安全系统,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行,并定期对校内教师进行计算机网络安全知识培训,或发放常见病毒解决方案等。
3.1校园网的建设规划
校园网建设作为一项复杂的系统工程,与任何一项工程建设一样,在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析,它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系,因此要特别认真地进行系统规划。对于校园网来说,必须对技术和教育的发展前景有着清醒的认识,只有这样才能很好地为校园网进行合理的规划。
3.11校园网的应用特点
随着现代化教学活动的开展和与国内外教学机构交往的增多,对通过网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥师生的创造力,校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统,以校园局域网为主,一个基本的校园网应具备以下特点:
高速的局域网连接---园网的核心为面向校园内部师生的网络,因此校园局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求;
信息结构多样化--校园网应用分为电子教学、学校管理和远程通讯三大部分内容:电子教学包含大量多媒体信息,学校管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;
操作方便,易于管理--校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化;
经济实用--学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。
3.12校园网的需求分析
在着手设计一个校园网或者计算机局域网时,其主要依据就是网络用户的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析,才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网的需求分析之后,就要对整个校园进行物理结构和逻辑结构的设计。校园网具体的需求分析有如下几点:
(1)总体目标
对于一个校园网来说,系统的总体目标就是在一个时期内,当校园网完全建设好后所要达到的功能和具有的规模。一般来说,一个校园网系统总体目标是分步实施的,包括功能的分步实施和规模的分步实施。主要原因是受资金的限制和技术发展的影响 。此我们在设计一个校园网时,要充分考虑到对已有校园网资源的再次利用,又要考虑到将来对校园网进一步的升级改造。
(2)近期目标
近期目标就是根据实际需求来设计和建设校园网,使建设好后的校园网能满足实际需求所应有的功能和规模,同时又要考虑将来能对校园网进一步的升级改造或者是后期工程的建设,系统近期目标是需求分析的重点。
3.13网络技术
学校建设校园网有许多需要考虑的问题,如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络服务器的选择以及操作系统、网络应用服务、网络管理及网络安全等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。
(1) 网络技术类型
网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等原则,并充分考虑性能价格比和今后技术的发展。要求系统兼容性好,易于平滑连接,避免网络瓶颈。
(2)网络拓扑的选择
当前在局域网的建设中,主要应用的拓扑结构有总线型、环型和星型。在总线型网络中,由于各计算机共享一条通信电缆,而且不需要额外的通信设备,因此,可以节约组网费用。但是其缺点也是十分明显的,网络中的任何一个节点出现故障,都将导致整个网络瘫痪,这与在网络建设要求网络具有高可靠性和沉佘性不相符,因此使用总线型拓扑结构建设的网络已趋于淘汰,在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构,环型结构的缺点与总线型的缺点是差不多的,也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常便宜了,这种花费是可以承受的。因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉佘性,这个性能十分适合校园网这种应用环境,也是校园网的建设中必须要求做到的。
图3.1网络拓扑结构图
3.2 校园网建设需求分析
校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行
综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享,因此,校园网的建设必须有明确的建设目标。
校园网的总体设计原则是:开放性采用开放性的网络体系,以方便网络的升级、扩展和互联;同时在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化。
3.3校园网建设设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。
3.4校园网网络拓扑结构
根据校园网的需求分析及建设目标,本设计方案采用交换式千兆以太网作为主干,百兆交换到桌面。网络拓扑采用星型树结构,网络中心的交换机使用堆叠方式连接。
- 10 -
图 3.2 校园网网络拓扑图
3.5 校园网的运行
3.5.1校园网的应用实施
1、在管理方面
1) 网络中的关键设备应放置于可靠的机房,并有健全的管理制度和措施;
2) 加强安全检查,定期对网络和系统进行扫描、检查和巡视;
3) 培养师生的安全意识,加强口令管理,限制用户采用容易破怿的口令;
4) 保持对国际上先进安全技术的跟踪。学习和研究,及时进行技术升级。
2、在技术方面
1) 通过VLAN技术,控制网络流量,提供网络效率,防止网络侦听(sniffer);
2) 不同的VLAN,可以根据功能区域的不同,设定不同的安全级别;对于重要网络设备和管理系统,应设置最高的安全级别;
3) 对于向外提供信息服务的重要服务器,关闭不需要开放的服务端口,限制用户的操作权限,防止非法操作;
4) 采用访问控制表进行访问限制,过滤不正当的访问和恶意攻击;
- 11 -
5) 通过防病毒软件和适当的个人电脑网络设置,建立桌面级的系统安全;
6) 校园网可以通过DHCP服务器,实现动态地址分配与认证,实现对内信息内容的访问控制。
3、定期做好备份工作
系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘,做备份存档。文件资料等可以用RAID方式进行每周备份。这样一旦服务器出现故障,可以损失降的很小。
4、定期做好网络杀毒工作
在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。为了保护这些数据,网络管理员必须在网络服务器上设置全面的保护措施。因此,网络防病毒软件安装在服务器工作站和邮件系统上。这样病毒扫描的任务是网络上所有的工作站共同承担的,这样可以在工作站的日常工作中加入病毒扫描任务,网络版杀毒软件一般都支持定时的升级,全网杀毒等功能,很好地帮助了网络人员 。
3.5.2校园网的管理
根据前面介绍的校园网设计方案建设而成的一个校园网络投入运行之后,它的稳定性及可靠性是很高。网络系统出现的问题,一般情况下出现的问题主要有人为操作失误和整个网络系统本身不可避免的故障。因此要想使计算机网络的各种故障减少到最低的话,网络管理员就要在平时做好网络的预防性维护以及重要数据的备份、计算机病毒的防护,记录网络事件等工作。同时人为操作造成的故障在整个网络故障的绝大部分,防性维护是非常重要的,日常维护的主要工作是:清理污垢和其他一些污染。
如果灰尘等污垢太多的话就会造成设备散热不良,严重的还会引起电子器件间的短路。还要检查各种网络设备的连接情况,在一个计算机网络中各种连接是现容易出问题的,因此要安排一定的时间,每隔一段日期就检查一下局域网中所有计算机系统的连线是否松动,还要查看一下电源线、显示器、网络,串行和并行电缆以及各种配件等。任何提供服务的网络都应该拥有备份系统,在备份之后还要进行测试,以保证备份的系统能够正常工作。要确保备份系统的完整性,在安装了服务器或备份设备之后,或者对系统进行了重大的修改之后,一定要把整个系统备份下来,再恢复其中的部分文件进行测试,可能每一项都进行完全备份,也可能只做增量备份可以满足需要了,具体需要备份的数量由系统环境来决定。
总 结
没有安全保证的校园网络就像没有刹车的车子跑在高速公路上。互联网络的飞速发展,对校园网络中师生的工作和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为网络应用的巨大阻碍,校园网络安全已经到了必须要统一管理和彻底解决的地步,只有很好的解决了网络安全问题,校园网络的应用才能健康、高速的发展.
校园网的安全及相应的管理策略是一个需要长期关注的实用研究课题。在校园网的使用实践的过程中,牢固树立安全意识、不断采用新技术、完善管理规章制度才能有效地保证校园网正常、安全地运行。在具体的工作中,可以根据人力、财力、物力的资源情况,在一定的安全目标预期下,进行适当组织,综合制定一个行之有效的最佳方案,保证校园网稳定可靠运行。
- 12 -