论文部分内容阅读
[摘 要]随着互联网的普及,黑客、病毒、信息泄密等现象严重影响网络的正常运行,校园网师生用户众多,特别是部分学生用户对于互联网好奇心重,常常对校园网和互联网进行探测,反而使校园网成为网络的攻击源。提升校园网的安全性能是保证校园网网络稳定服务的必要前提。
[关键词]校园网 网络安全 病毒
中图分类号:F713.50-4 文献标识码:A 文章编号:1009-914X(2014)41-0207-02
1.前言
本文以某高校二期网络工程网络安全改造为背景,介绍高校网络安全现状及解决方法。某高校占地60亩,开设计算机、电子通信等20个专业,50个专业方向,现有教职工600多名,在校生近万人;拥有各类教学仪器设备6500余台(套),拥有教学科研用计算机3500多台,建有实训基地、实训中心、数控实训中心、软件工厂、网络中心、数字语音室等现代化的实验和实训场所。其中:实训中心设置有各类基础和专业实验实训室42个。作为IT技术性质的院校,学院构建了覆盖全院的信息网络,为师生提供优质的网络服务和对外沟通交流的快速渠道。校园网建成了以千兆以太网作为网络主干,百兆到桌面,主干使用单模、多模光缆连接整个校园内的永久性建筑,全校10多栋建筑全部采用了综合布线系统并使用光缆连接,网络主节点15个,信息节点约8000个,联网计算机终端约3500台,分布于教学区、实训区、办公行政区、图书馆、宿舍区等区域。校园网的建设为全院师生的学习和工作提供了便利,但师生在使用校园网的工程中也为校园网的安全带来极大的隐患,建设一个安全高效的网站,是我们必须面对的问题。
2.校园网安全现状分析
目前高校校园网既有来自校园内部的安全威胁,也面临来自学校外部的安全攻击,其存在的安全隐患主要表现以下几个方面:
1)自然灾害、物理损害、电磁辐射和操作失误等物理安全问题。如雷击可能破环可能破坏供电系统,造成系统停止运行;地震或其他自然灾害可能造成整个网络中心瘫痪。由于人为施工破坏光纤,造成通信系统的中断等等。
2)网络拓扑结构不合理、操作系统自身漏洞、应用系统并行危机等系统安全问题。操作系统在设计之初,一般都考虑了安全性,但操作系统的编写工程当中还是存在许多的bug,操作系统的漏洞,给许多攻击者提供了“后门”。
3)计算机病毒是近几年校园网络的主要威胁。病毒主要有两个来源,一是从internet网传入的病毒,二是校园网内部自身的病毒。校园网内师生用户众多,U盘、电子邮件的使用频繁,由于用户安全理念的缺乏很容易造成计算机病毒的传播,并严重威胁高校网络各项应用的正常使用。
4)校园网涉及的机密不多,来自外部的非法访问相对较少,主要是内部的非法访问。学生为了得到好的成绩,在考试期间可能会通过非正常访问获取考试试卷等机密文件,破坏教学秩序。更有甚者,有些学生非法进入学校的教学管理系统恶意修改成绩、课表等,严重干扰了正常的教学秩序。
5)某高校校园网接入Internet,师生都可以通过校园网络直接进入Internet。Internet上各种信息良莠不齐,色情、暴力、邪教内容的网站泛滥。这些不健康的信息对世界观和人生观正在形成的学生来说,危害非常大。而且这类网站,大多属于非法网站带有大量病毒、木马等,浏览这类网站会造成病毒、木马在校园内传播,造成校园网网络的瘫痪。
6)校园网内师生大量使用邮箱,由于使用频繁和不当,导致邮箱内存在大量垃圾邮件。许多老师使用校园的邮件服务器,垃圾邮件的接收浪费了大量的网络空间和资源、耗费用户的时间和精力,甚至影响到其他用户对电子邮件的正常使用。
7)校园网中的师生用户常常利用免费的校园网资源,下载软件资源、视频等大容量资源,有的用户为了高速下载,使用相关软件,占用了大量的网络带宽,影响了校园网的正常使用。
3.校园网安全解决方案
1)针对物理安全问题,布线方面充分考虑电磁辐射,重要部门(例如网络中心、财务处)的机房采用电磁屏蔽措施;对于网络中心、重要机房采取身份识别,安装监控报警;对于重要的网络设备、通信线路全部采取双冗余的方式,提高网络的可靠性。对地震或其他大的自然灾害,可以建设灾难备份中心;
2)网络拓扑结构修改,采用层次化和模块化结构,整个网络分为核心层、汇聚层和接入层。核心层设备由2台高端骨干交换机组成,实现冗余备份和负载均衡;汇聚层采用VLAN划分,减少广播域,降低病毒的传播范围;接入层交换机仍沿用原Bitway3241、Bay450等简单网管交换机,充分使用其VLAN 802.1Q功能将数量较多的用户计算机划分为较小的VLAN,并使用PVLAN技术减小广播域,从而极大降低病毒、ARP欺骗的影响范围。核心层设置防火墙,所有从互联网和教育网访问学院校园网的访问请求首先到达防火墙,防火墙通过分析这些数据包的性质,控制其对网络中主机的访问,可以制定针对外部网络的安全策略,只允许与业务有关的必要通讯进入校园网,其他的一切网络服务请求都加以拒绝。所有从内部向外部访问的请求到达防火墙后,根据目标地址和策略路由将内部的数据包进行NAT转换后发送到不同的线路出口,同时也可以制定针对内部网络的安全策略,适当开放和关闭一些业务端口以减小线路带宽流量和符合管理的需要。
3)病毒防护,由于操作系统和应用软件自身的漏洞,以及用户对网络使用的安全意识薄弱等问题,造成校园网中的病毒泛滥。现在,网络中的恶意代码呈现多样化的趋势,除了传统的病毒意外,出现了许多新型的木马病毒。在病毒防护方面,一方面需要对操作系统和应用软件自身加强,经常进行操作系统的更新工作,为操作系统打打补丁。另一方面,尝试采用“云安全”的方式。高校校园网网络是一个开放性的网络,校园内的部分师生员工在使用校园网时,由于防病毒意识不强,当浏览网页,下载资源时,很容易造成病毒在校园网内传播,甚至会危害服务器安全,造成服務器数据丢失甚或瘫痪。 “云安全”技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术,通过对大量的客户端网络中软件行为的异常监测来获取互联网中木马、恶意程序等的最新信息,推送到云端服务器进行自动分析和处理,利用客户端搜集到的病毒代码,通过分析、加工、处理,判断出是否是木马或恶意程序,最后再把对病毒和木马的解决方案分发到每一个客户端,这样整个Internet就成了一个巨大的保障用户计算机安全的杀毒软件,客户端就无需每天进行病毒库的升级甚至无需安全任何的杀毒软件,极大地方便客户端用户。
“云安全”充分利用了网络的功能,即时地搜集病毒代码,进行病毒库的升级,使得企业的局域网可以随时共享“云安全”带来的完美保障。也同时希望“云安全”能够具有企业级的病毒防御能力。
校园网内的病毒大多数来源于电子邮件、下载软件及移动存储设备的使用,在“云安全”的模式下,客户端感染病毒后,立即将病毒的信息提交到服务器端,服务器端分析病毒信息以后,会自动处理病毒信息,搜索下载适合的杀毒程序,无需由网络中心关闭网络进行病毒查杀,校园网可以继续正常的运行。目前360、瑞星等杀毒软件均采用了“云安全”的模式。
4)用户身份认证
校园网络用户众多、身份不同(管理人员、教师、学生),他们对网络的需求也不相同,如何让不同身份的用户合理使用校园网的资源,并防止校园网用户恶意使用(如IP地址盗用,账号盗用)等问题,即可以有效控制非法访问者的访问,又可以对网络用户行为进行合理的规范。某高校采用的是802.1x认证技术,具体使用的技术软件是DR.com宽带计费管理系统实现校园网身份认证及计费管理。该软件采用MAC地址绑定,将IP地址和MAC地址进行绑定,只允许固定的设备使用固定的IP地址接入外网,可防止IP和MAC地址的盗用。软件采用带宽管理,能防止网络用户因为下载文件等行为恶意占用网络资源。
4.小结
本文详细介绍了某高校校园网的安全现状以及安全解决方案,校园网为师生的学习和工作提供了平台,怎样让这个平台安全,稳定,高效是网络架设的重点,可通过一些先进的技术和手段解决当前校园网络当中存在的诸多问题。校园网的安全是一个长期问题,我们还需要学习许多新兴的技术,随时面对网络当中的危险因素。
参考文献:
[1] 黄朝阳,校园网统一身份认证的协议研究、设计与性能分析[D],昆明:云南大学,2007.
[2] 朱参世,基于证书的身份认证系统的分析和研究[J],电脑应用技术,2006.
[3] 万明,聂鹏.xML在统一身份认证中的应用[J],计算机与现代化,2005.
[4] 翁小兰.VLAN技术在校园网中的应用.网管员世界.2005.
[5] 杨竣辉等.高校校园网络安全建设的思考.教育信息化2006.
[6] 刘钦创.高校校园网的安全现状与对策.现代计算机.2006.
[7] 袁伟伟.云安全_为数字化校园网络信息安全保驾护航.2011.
[8] 张 岐 柴方艳.局域网云安全技术綜述.2011.
[关键词]校园网 网络安全 病毒
中图分类号:F713.50-4 文献标识码:A 文章编号:1009-914X(2014)41-0207-02
1.前言
本文以某高校二期网络工程网络安全改造为背景,介绍高校网络安全现状及解决方法。某高校占地60亩,开设计算机、电子通信等20个专业,50个专业方向,现有教职工600多名,在校生近万人;拥有各类教学仪器设备6500余台(套),拥有教学科研用计算机3500多台,建有实训基地、实训中心、数控实训中心、软件工厂、网络中心、数字语音室等现代化的实验和实训场所。其中:实训中心设置有各类基础和专业实验实训室42个。作为IT技术性质的院校,学院构建了覆盖全院的信息网络,为师生提供优质的网络服务和对外沟通交流的快速渠道。校园网建成了以千兆以太网作为网络主干,百兆到桌面,主干使用单模、多模光缆连接整个校园内的永久性建筑,全校10多栋建筑全部采用了综合布线系统并使用光缆连接,网络主节点15个,信息节点约8000个,联网计算机终端约3500台,分布于教学区、实训区、办公行政区、图书馆、宿舍区等区域。校园网的建设为全院师生的学习和工作提供了便利,但师生在使用校园网的工程中也为校园网的安全带来极大的隐患,建设一个安全高效的网站,是我们必须面对的问题。
2.校园网安全现状分析
目前高校校园网既有来自校园内部的安全威胁,也面临来自学校外部的安全攻击,其存在的安全隐患主要表现以下几个方面:
1)自然灾害、物理损害、电磁辐射和操作失误等物理安全问题。如雷击可能破环可能破坏供电系统,造成系统停止运行;地震或其他自然灾害可能造成整个网络中心瘫痪。由于人为施工破坏光纤,造成通信系统的中断等等。
2)网络拓扑结构不合理、操作系统自身漏洞、应用系统并行危机等系统安全问题。操作系统在设计之初,一般都考虑了安全性,但操作系统的编写工程当中还是存在许多的bug,操作系统的漏洞,给许多攻击者提供了“后门”。
3)计算机病毒是近几年校园网络的主要威胁。病毒主要有两个来源,一是从internet网传入的病毒,二是校园网内部自身的病毒。校园网内师生用户众多,U盘、电子邮件的使用频繁,由于用户安全理念的缺乏很容易造成计算机病毒的传播,并严重威胁高校网络各项应用的正常使用。
4)校园网涉及的机密不多,来自外部的非法访问相对较少,主要是内部的非法访问。学生为了得到好的成绩,在考试期间可能会通过非正常访问获取考试试卷等机密文件,破坏教学秩序。更有甚者,有些学生非法进入学校的教学管理系统恶意修改成绩、课表等,严重干扰了正常的教学秩序。
5)某高校校园网接入Internet,师生都可以通过校园网络直接进入Internet。Internet上各种信息良莠不齐,色情、暴力、邪教内容的网站泛滥。这些不健康的信息对世界观和人生观正在形成的学生来说,危害非常大。而且这类网站,大多属于非法网站带有大量病毒、木马等,浏览这类网站会造成病毒、木马在校园内传播,造成校园网网络的瘫痪。
6)校园网内师生大量使用邮箱,由于使用频繁和不当,导致邮箱内存在大量垃圾邮件。许多老师使用校园的邮件服务器,垃圾邮件的接收浪费了大量的网络空间和资源、耗费用户的时间和精力,甚至影响到其他用户对电子邮件的正常使用。
7)校园网中的师生用户常常利用免费的校园网资源,下载软件资源、视频等大容量资源,有的用户为了高速下载,使用相关软件,占用了大量的网络带宽,影响了校园网的正常使用。
3.校园网安全解决方案
1)针对物理安全问题,布线方面充分考虑电磁辐射,重要部门(例如网络中心、财务处)的机房采用电磁屏蔽措施;对于网络中心、重要机房采取身份识别,安装监控报警;对于重要的网络设备、通信线路全部采取双冗余的方式,提高网络的可靠性。对地震或其他大的自然灾害,可以建设灾难备份中心;
2)网络拓扑结构修改,采用层次化和模块化结构,整个网络分为核心层、汇聚层和接入层。核心层设备由2台高端骨干交换机组成,实现冗余备份和负载均衡;汇聚层采用VLAN划分,减少广播域,降低病毒的传播范围;接入层交换机仍沿用原Bitway3241、Bay450等简单网管交换机,充分使用其VLAN 802.1Q功能将数量较多的用户计算机划分为较小的VLAN,并使用PVLAN技术减小广播域,从而极大降低病毒、ARP欺骗的影响范围。核心层设置防火墙,所有从互联网和教育网访问学院校园网的访问请求首先到达防火墙,防火墙通过分析这些数据包的性质,控制其对网络中主机的访问,可以制定针对外部网络的安全策略,只允许与业务有关的必要通讯进入校园网,其他的一切网络服务请求都加以拒绝。所有从内部向外部访问的请求到达防火墙后,根据目标地址和策略路由将内部的数据包进行NAT转换后发送到不同的线路出口,同时也可以制定针对内部网络的安全策略,适当开放和关闭一些业务端口以减小线路带宽流量和符合管理的需要。
3)病毒防护,由于操作系统和应用软件自身的漏洞,以及用户对网络使用的安全意识薄弱等问题,造成校园网中的病毒泛滥。现在,网络中的恶意代码呈现多样化的趋势,除了传统的病毒意外,出现了许多新型的木马病毒。在病毒防护方面,一方面需要对操作系统和应用软件自身加强,经常进行操作系统的更新工作,为操作系统打打补丁。另一方面,尝试采用“云安全”的方式。高校校园网网络是一个开放性的网络,校园内的部分师生员工在使用校园网时,由于防病毒意识不强,当浏览网页,下载资源时,很容易造成病毒在校园网内传播,甚至会危害服务器安全,造成服務器数据丢失甚或瘫痪。 “云安全”技术融合了并行处理、网格计算、未知病毒行为判断等新兴技术,通过对大量的客户端网络中软件行为的异常监测来获取互联网中木马、恶意程序等的最新信息,推送到云端服务器进行自动分析和处理,利用客户端搜集到的病毒代码,通过分析、加工、处理,判断出是否是木马或恶意程序,最后再把对病毒和木马的解决方案分发到每一个客户端,这样整个Internet就成了一个巨大的保障用户计算机安全的杀毒软件,客户端就无需每天进行病毒库的升级甚至无需安全任何的杀毒软件,极大地方便客户端用户。
“云安全”充分利用了网络的功能,即时地搜集病毒代码,进行病毒库的升级,使得企业的局域网可以随时共享“云安全”带来的完美保障。也同时希望“云安全”能够具有企业级的病毒防御能力。
校园网内的病毒大多数来源于电子邮件、下载软件及移动存储设备的使用,在“云安全”的模式下,客户端感染病毒后,立即将病毒的信息提交到服务器端,服务器端分析病毒信息以后,会自动处理病毒信息,搜索下载适合的杀毒程序,无需由网络中心关闭网络进行病毒查杀,校园网可以继续正常的运行。目前360、瑞星等杀毒软件均采用了“云安全”的模式。
4)用户身份认证
校园网络用户众多、身份不同(管理人员、教师、学生),他们对网络的需求也不相同,如何让不同身份的用户合理使用校园网的资源,并防止校园网用户恶意使用(如IP地址盗用,账号盗用)等问题,即可以有效控制非法访问者的访问,又可以对网络用户行为进行合理的规范。某高校采用的是802.1x认证技术,具体使用的技术软件是DR.com宽带计费管理系统实现校园网身份认证及计费管理。该软件采用MAC地址绑定,将IP地址和MAC地址进行绑定,只允许固定的设备使用固定的IP地址接入外网,可防止IP和MAC地址的盗用。软件采用带宽管理,能防止网络用户因为下载文件等行为恶意占用网络资源。
4.小结
本文详细介绍了某高校校园网的安全现状以及安全解决方案,校园网为师生的学习和工作提供了平台,怎样让这个平台安全,稳定,高效是网络架设的重点,可通过一些先进的技术和手段解决当前校园网络当中存在的诸多问题。校园网的安全是一个长期问题,我们还需要学习许多新兴的技术,随时面对网络当中的危险因素。
参考文献:
[1] 黄朝阳,校园网统一身份认证的协议研究、设计与性能分析[D],昆明:云南大学,2007.
[2] 朱参世,基于证书的身份认证系统的分析和研究[J],电脑应用技术,2006.
[3] 万明,聂鹏.xML在统一身份认证中的应用[J],计算机与现代化,2005.
[4] 翁小兰.VLAN技术在校园网中的应用.网管员世界.2005.
[5] 杨竣辉等.高校校园网络安全建设的思考.教育信息化2006.
[6] 刘钦创.高校校园网的安全现状与对策.现代计算机.2006.
[7] 袁伟伟.云安全_为数字化校园网络信息安全保驾护航.2011.
[8] 张 岐 柴方艳.局域网云安全技术綜述.2011.