论文部分内容阅读
摘要 随着网络技术的飞速发展,高职校园网络信息化规模不断扩大,由于计算机网络所具有开放性、分布性、互联性和自由性的特点,高职校园网络不可避免地遭遇着来自内部和外部的安全威胁。本文从安全意识、资金投入、技术、管理等方面分析了高职校园网络存在的安全隐患,并提出了相应的防御措施。
关键词 高职院校 网络安全 防范措施
中图分类号:G717 文献标识码:A
Security Defense Measures on Network of Vocational College Campus
ZHANG Xusheng
(Ningxia Industrial Vocational School, Yinchuan, Ningxia 750021)
AbstractWith the rapid development of network technology, vocational schools have been expanding the network of information technology. As computer network is open, distributed, connective and free, inevitably, the campus network confronted with security threats from internal and external network. In this paper, it analysis of the vocational school network security risks exist in safety awareness, funding, technology, management, and give the corresponding preventive measures.
Key wordsvocational College; security defense measures on network; defense measures
0 引言
随着网络技术的飞速发展和社会信息化进程的加快,以网络技术为核心的现代教育技术在高等教育领域应用非常普遍。高职院校作为高等教育重要组成部分,也充分利用了网络技术。但高职校园网络建设起步普遍较晚,受技术、资金和社会因素的影响,校园网络存在很多安全缺陷,经常受到黑客、恶意软件或病毒的攻击,来自校园内部和外部的恶意入侵和非法访问事件时有发生,并呈现出上升的趋势,因此必须要有行之有效的网络安全防御措施,来保证高职校园网络安全高效的运行。
1 高职校园网安全所面临的问题
当前,绝大部分高职院校办学经费紧张,在网络软硬件投入严重不足。并且大多数高职校园网络通过CERNET与INTERNET相连,面临着遭遇来自外部互联网攻击的风险。同时,高职校园网连接学院各个部门和校内学生机等,一些企业办学的院校还连接企业内部网络,加上管理上的疏漏,因此也面临着来自校园内部的安全威胁。总之,高职校园网络安全问题主要有:
1.1 高职校园网软硬件投入不足
长期以来,高职院校计算机网络建设普遍存在对网络安全所需的软硬件设施的投入严重不足,重技术、轻安全、轻管理。现在网络病毒、黑客工具的泛滥,也促使计算机网络设备更新速度非常快,不断地对网络安全防范措施提出新的要求,一些旧的网络安全设备已不能防范现在黑客和恶意软件的攻击。大多数高职院校因为办学经费紧张不能持续投入大量资金改善网络安全所需的软、硬件设施,致使加强高职校园网络安全的防范无法到位。
1.2 内部攻击
随着网络技术的发展和个人计算机的普及,绝大多数高职院校学生公寓都与互联网相连,但上网学生安全防范意识良莠不齐,有些学生对于一些安全防范观念、技术一无所知。另一方面高职院校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索新知识冲劲,却缺乏全面思考的责任感,加之高职院校对学生上网行为没有有效的规范和约束。相关数字显示,目前高职院校校园网遭受的恶意攻击,90%来自高职校园网络内部。
1.3 外部互联网的攻击
1.3.1 病毒攻击
高职校园网络一般都通过CERNET与Internet相连或直接,在 Internet 上有许多共享软件、免费软件和其他应用软件,然而他们也有可能带有一些病毒。计算机病毒一直是计算机安全的主要威胁。病毒的种类和传染方式也在增加,现在其种类已达上万。
1.3.2 黑客攻击
随着互联网黑客技术的飞速发展,黑客的攻击无时无刻不在进行,他们利用网络系统和管理上的漏洞,进行信息的窃取,篡改,或者对网络本身进行攻击,网络世界的安全性不断受到挑战。高职校园网络普遍起步晚,管理也比较松散,校园网络安全具有致命的脆弱性和易受攻击性。
1.4 高职校园网管理上的漏洞
管理在一个网络中是非常重要的。如果责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理上的安全风险,例如让一些非本地人员或外来人员进入网络,而管理上没有相应的制度来约束。
高职校园网的用户群体多,网络承担的数据量大,接入校园网节点在不断地增多,很容易造成网络风暴和病毒传播。绝大多数高职学院对上网场所管理比较混乱,缺乏网络行为约束、网络管理软件、日志记录,更缺乏有效监控和管理,上网用户的身份根本无法识别,存在极大的安全隐患。
2 高职校园网安全管理措施
由上面的分析可以看出,构建安全的高职校园网络需要解决以下三个关键问题:(1)如何加强内部人员特别是学生上网的道德教育,提升学生的计算机水平,对学生的上网行为有效的监控。(2)如何保证所有接入网络的终端设备(用户PC、服务器等)是安全可信的,只有保证每一台网络终端设备的安全才能确保网络整体的安全,做到无懈可击。(3)如何能够将网内所有的网络设备(路由器、交换机、防火墙等)有效加以整合,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,提升网络的可控制、可管理性,提高网络安全的水平。
2.1 增强网内用户网络安全意识
人在网络安全中起着决定性因素,重视校园网络安全首先要培养人的网络安全意识,从每一个学生、每一个员工做起。面对充满变数的互联网网络环境和日益严峻的网络安全形势,高职校园网络用户应采取以下措施进行防范:(1)安装个人防火墙软件,拦截一些常见的破坏行为;(2)安装网络版杀毒软件,及时防范病毒入侵;(3)勤打操作系统和应用程序补丁,不给破坏者提供机会。
2.2 设计健壮扩展性好网络体系
网络应用是建立在网络硬件建设的基础上,高职校园网络要具有强大的安全的防御能力,必须要有一个健壮扩展性好的网络硬件环境,因此高职校园网需要合理的规划和运营。
(1)首先设计健壮扩展性好的校园网是建立在网络硬件建设的基础上,各高职院校根据自己院校的实际情况,在综合布线时要注意设备的可扩充性,以便于以后系统需要发展时,可以有充分的余地将设备扩展进去。(2)根据各高职院校的情况,进行合理的运营收费,依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。
2.3 优化网络维护策略
维护高职校园网络的安全,必须采用多方面技术来保障。其一在路由和核心交换机之间部署1套防火墙实现防火墙、VPN 等功能。配置流量整形网关,实现应用层的流控管理和用户上网行为控制,可根据各种策略、以及不同时间段实现针对BT、P2P 应用、电游、QQ、MSN、数据库、视频等关键应用业务进行控制、分类统计和分析。记录并可分析查询用户的上网行为日志,包括记录访问的 URL、BBS 帖子的内容等。其二,为了实现网络的安全可运营管理,划分合理的VLAN,部署一套认证系统,既能完成对用户的认证,同时还可与第三方软件联动。
2.3.1 防火墙
防火墙可以抵御外来非法用户的入侵,是内部网络和外部网络之间的一道安全屏障,外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无需过滤,防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络,可以很方便地监视网络的安全性并报警。
2.3.2 流量控制
一般的流控设备都可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键应用带宽,限制非业务应用带宽,能改善和保障了高职校园网络应用的服务质量。
2.3.3 日志审计
当前解决网络安全问题的主要手段是在网络中增加防火墙、防病毒软件等网络安全设备。而日志数据则详实地记录了系统和网络的运行事件,是安全审计的重要数据,所以拥有日志服务器也是保证高职校园网络安全的有效措施。
2.3.4 VLAN安全设计
虚拟局域网(VLAN)可以有效的控制网络广播,提高网络的安全性,如限制网络计算机之间相互访问的权限,可以实现有效的网络监控,实现不同地域部门内的局域网通信。根据实际需要划分出多个安全等级不同的区域,合理地进行安全域的划分,对网络进行初步的安全防护。
2.3.5 用户身份管理
在高职校园网建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外,也是有效的网络安全防御措施。
2.3.6 网络设备与第三方软件联动
(1)第三方杀毒软件联动。如果网络设备能够通过和第三方杀毒软件的联动,强制入网用户必须正常安装、运行指定的杀毒软件。对于杀毒软件检测未通过的用户,将视情况进行警告、隔离处理。(2)与微软WSUS联动进行Windows补丁更新。WSUS是微软提供的免费Windows补丁自动更新系统,网络设备能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。
2.3.7 数据安全
按时备份数据是一种简单但又十分重要的保证数据完整性的方法,网络管理人员可以根据实际情况选择完全备份、增量备份和差分备份。在实际应用中,备份策略通常是以上三种的结合。网络数据备份系统的建成,对保障系统的安全运行,保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。
2.4 做好IPV4向IPV6过渡的准备工作
随着Internet的规模以近乎于指数的趋势增长,40亿个IPv4的地址已经用掉了3/4,IPv4的地址空间面临即将耗尽的危险,整个互联网从IPv4向IPv6过渡势在必行,因此高职院校也要提前做好IPv4向IPv6过渡的准备工作。
实现由IPv4向IPv6过渡的一种办法是先将整个网络的一小部分升级为IPv6网,IPv6网将被大量IPv4网所包围。此时可采取IP网中的节点不支持IPv4、但在网络边界处的节点必须支持IPv4的策略,这样IPv6的内部节点能相互直接通信并通过适用双IP的路由器经由隧道与其他IP网通信。
另一种办法是将各个独立的节点升级使之支持IPv6与IPv4两种IP版本,那么这些节点就可以通过各自的节点链路直接通信或通过隧道与远程IPv6/IPv4节点通信,这种方案允许某些单位为了访问远程的IPv6节点与网络而将其网络中的一些节点进行升级,但其缺点是需手工配置。
这种过渡与顺序无关,即可先对主机升级,也可先对路由器升级,甚至也可以将部分主机与部分路由器同时升级。各高职院校可根据自己的实际情况进行重点逐步的升级。
3 总结
高职校园网络的安全问题,不仅是设备和技术的问题,更是管理的问题。网络管理人员应注重对教师和学生网络安全的培训,提高他们的上网安全意识,加强他们网络安全技术。而且制定一套完整的规章制度来规范上网教师和学生的行为,也是保障高职校园网络安全的重要防御措施。
参考文献
[1]刘少明.高职院校校园网安全体系的构建与思考[J].福建电脑,2006(2):38-42.
[2]胡献泽,陈辉.浅议高职校园网络安全策略[J].淮南职业技术学院学报,2007(3).
[3]吕玉珠.计算机与信息技术[J].广西轻工业,2009(5).
[4]陈辉.高职校园网络安全防范对策[J].淮南职业技术学院学报,2009(1).
关键词 高职院校 网络安全 防范措施
中图分类号:G717 文献标识码:A
Security Defense Measures on Network of Vocational College Campus
ZHANG Xusheng
(Ningxia Industrial Vocational School, Yinchuan, Ningxia 750021)
AbstractWith the rapid development of network technology, vocational schools have been expanding the network of information technology. As computer network is open, distributed, connective and free, inevitably, the campus network confronted with security threats from internal and external network. In this paper, it analysis of the vocational school network security risks exist in safety awareness, funding, technology, management, and give the corresponding preventive measures.
Key wordsvocational College; security defense measures on network; defense measures
0 引言
随着网络技术的飞速发展和社会信息化进程的加快,以网络技术为核心的现代教育技术在高等教育领域应用非常普遍。高职院校作为高等教育重要组成部分,也充分利用了网络技术。但高职校园网络建设起步普遍较晚,受技术、资金和社会因素的影响,校园网络存在很多安全缺陷,经常受到黑客、恶意软件或病毒的攻击,来自校园内部和外部的恶意入侵和非法访问事件时有发生,并呈现出上升的趋势,因此必须要有行之有效的网络安全防御措施,来保证高职校园网络安全高效的运行。
1 高职校园网安全所面临的问题
当前,绝大部分高职院校办学经费紧张,在网络软硬件投入严重不足。并且大多数高职校园网络通过CERNET与INTERNET相连,面临着遭遇来自外部互联网攻击的风险。同时,高职校园网连接学院各个部门和校内学生机等,一些企业办学的院校还连接企业内部网络,加上管理上的疏漏,因此也面临着来自校园内部的安全威胁。总之,高职校园网络安全问题主要有:
1.1 高职校园网软硬件投入不足
长期以来,高职院校计算机网络建设普遍存在对网络安全所需的软硬件设施的投入严重不足,重技术、轻安全、轻管理。现在网络病毒、黑客工具的泛滥,也促使计算机网络设备更新速度非常快,不断地对网络安全防范措施提出新的要求,一些旧的网络安全设备已不能防范现在黑客和恶意软件的攻击。大多数高职院校因为办学经费紧张不能持续投入大量资金改善网络安全所需的软、硬件设施,致使加强高职校园网络安全的防范无法到位。
1.2 内部攻击
随着网络技术的发展和个人计算机的普及,绝大多数高职院校学生公寓都与互联网相连,但上网学生安全防范意识良莠不齐,有些学生对于一些安全防范观念、技术一无所知。另一方面高职院校学生——这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索新知识冲劲,却缺乏全面思考的责任感,加之高职院校对学生上网行为没有有效的规范和约束。相关数字显示,目前高职院校校园网遭受的恶意攻击,90%来自高职校园网络内部。
1.3 外部互联网的攻击
1.3.1 病毒攻击
高职校园网络一般都通过CERNET与Internet相连或直接,在 Internet 上有许多共享软件、免费软件和其他应用软件,然而他们也有可能带有一些病毒。计算机病毒一直是计算机安全的主要威胁。病毒的种类和传染方式也在增加,现在其种类已达上万。
1.3.2 黑客攻击
随着互联网黑客技术的飞速发展,黑客的攻击无时无刻不在进行,他们利用网络系统和管理上的漏洞,进行信息的窃取,篡改,或者对网络本身进行攻击,网络世界的安全性不断受到挑战。高职校园网络普遍起步晚,管理也比较松散,校园网络安全具有致命的脆弱性和易受攻击性。
1.4 高职校园网管理上的漏洞
管理在一个网络中是非常重要的。如果责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理上的安全风险,例如让一些非本地人员或外来人员进入网络,而管理上没有相应的制度来约束。
高职校园网的用户群体多,网络承担的数据量大,接入校园网节点在不断地增多,很容易造成网络风暴和病毒传播。绝大多数高职学院对上网场所管理比较混乱,缺乏网络行为约束、网络管理软件、日志记录,更缺乏有效监控和管理,上网用户的身份根本无法识别,存在极大的安全隐患。
2 高职校园网安全管理措施
由上面的分析可以看出,构建安全的高职校园网络需要解决以下三个关键问题:(1)如何加强内部人员特别是学生上网的道德教育,提升学生的计算机水平,对学生的上网行为有效的监控。(2)如何保证所有接入网络的终端设备(用户PC、服务器等)是安全可信的,只有保证每一台网络终端设备的安全才能确保网络整体的安全,做到无懈可击。(3)如何能够将网内所有的网络设备(路由器、交换机、防火墙等)有效加以整合,实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动,提升网络的可控制、可管理性,提高网络安全的水平。
2.1 增强网内用户网络安全意识
人在网络安全中起着决定性因素,重视校园网络安全首先要培养人的网络安全意识,从每一个学生、每一个员工做起。面对充满变数的互联网网络环境和日益严峻的网络安全形势,高职校园网络用户应采取以下措施进行防范:(1)安装个人防火墙软件,拦截一些常见的破坏行为;(2)安装网络版杀毒软件,及时防范病毒入侵;(3)勤打操作系统和应用程序补丁,不给破坏者提供机会。
2.2 设计健壮扩展性好网络体系
网络应用是建立在网络硬件建设的基础上,高职校园网络要具有强大的安全的防御能力,必须要有一个健壮扩展性好的网络硬件环境,因此高职校园网需要合理的规划和运营。
(1)首先设计健壮扩展性好的校园网是建立在网络硬件建设的基础上,各高职院校根据自己院校的实际情况,在综合布线时要注意设备的可扩充性,以便于以后系统需要发展时,可以有充分的余地将设备扩展进去。(2)根据各高职院校的情况,进行合理的运营收费,依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。
2.3 优化网络维护策略
维护高职校园网络的安全,必须采用多方面技术来保障。其一在路由和核心交换机之间部署1套防火墙实现防火墙、VPN 等功能。配置流量整形网关,实现应用层的流控管理和用户上网行为控制,可根据各种策略、以及不同时间段实现针对BT、P2P 应用、电游、QQ、MSN、数据库、视频等关键应用业务进行控制、分类统计和分析。记录并可分析查询用户的上网行为日志,包括记录访问的 URL、BBS 帖子的内容等。其二,为了实现网络的安全可运营管理,划分合理的VLAN,部署一套认证系统,既能完成对用户的认证,同时还可与第三方软件联动。
2.3.1 防火墙
防火墙可以抵御外来非法用户的入侵,是内部网络和外部网络之间的一道安全屏障,外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无需过滤,防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络,可以很方便地监视网络的安全性并报警。
2.3.2 流量控制
一般的流控设备都可以为网络链路划分多个虚拟带宽通道,能够实现最大带宽限制、保证带宽、带宽租借、带宽配额、应用优先级、随机公平队列等一系列带宽管理功能,能够有效的检测和防止不正常应用对网络带宽资源的非正常消耗,保证关键应用带宽,限制非业务应用带宽,能改善和保障了高职校园网络应用的服务质量。
2.3.3 日志审计
当前解决网络安全问题的主要手段是在网络中增加防火墙、防病毒软件等网络安全设备。而日志数据则详实地记录了系统和网络的运行事件,是安全审计的重要数据,所以拥有日志服务器也是保证高职校园网络安全的有效措施。
2.3.4 VLAN安全设计
虚拟局域网(VLAN)可以有效的控制网络广播,提高网络的安全性,如限制网络计算机之间相互访问的权限,可以实现有效的网络监控,实现不同地域部门内的局域网通信。根据实际需要划分出多个安全等级不同的区域,合理地进行安全域的划分,对网络进行初步的安全防护。
2.3.5 用户身份管理
在高职校园网建立成熟可靠的网络身份管理体系,确保入网用户身份的合法有效,将非法用户隔离在内网大门之外,也是有效的网络安全防御措施。
2.3.6 网络设备与第三方软件联动
(1)第三方杀毒软件联动。如果网络设备能够通过和第三方杀毒软件的联动,强制入网用户必须正常安装、运行指定的杀毒软件。对于杀毒软件检测未通过的用户,将视情况进行警告、隔离处理。(2)与微软WSUS联动进行Windows补丁更新。WSUS是微软提供的免费Windows补丁自动更新系统,网络设备能够与内网的WSUS服务器进行联动,引导用户使用WSUS的服务进行Windows补丁自动更新,帮助内网的用户主机及时更新操作系统补丁,避免因为操作系统漏洞带来的安全隐患威胁。
2.3.7 数据安全
按时备份数据是一种简单但又十分重要的保证数据完整性的方法,网络管理人员可以根据实际情况选择完全备份、增量备份和差分备份。在实际应用中,备份策略通常是以上三种的结合。网络数据备份系统的建成,对保障系统的安全运行,保障各种系统故障的及时排除和数据库系统的及时恢复起到关键作用。
2.4 做好IPV4向IPV6过渡的准备工作
随着Internet的规模以近乎于指数的趋势增长,40亿个IPv4的地址已经用掉了3/4,IPv4的地址空间面临即将耗尽的危险,整个互联网从IPv4向IPv6过渡势在必行,因此高职院校也要提前做好IPv4向IPv6过渡的准备工作。
实现由IPv4向IPv6过渡的一种办法是先将整个网络的一小部分升级为IPv6网,IPv6网将被大量IPv4网所包围。此时可采取IP网中的节点不支持IPv4、但在网络边界处的节点必须支持IPv4的策略,这样IPv6的内部节点能相互直接通信并通过适用双IP的路由器经由隧道与其他IP网通信。
另一种办法是将各个独立的节点升级使之支持IPv6与IPv4两种IP版本,那么这些节点就可以通过各自的节点链路直接通信或通过隧道与远程IPv6/IPv4节点通信,这种方案允许某些单位为了访问远程的IPv6节点与网络而将其网络中的一些节点进行升级,但其缺点是需手工配置。
这种过渡与顺序无关,即可先对主机升级,也可先对路由器升级,甚至也可以将部分主机与部分路由器同时升级。各高职院校可根据自己的实际情况进行重点逐步的升级。
3 总结
高职校园网络的安全问题,不仅是设备和技术的问题,更是管理的问题。网络管理人员应注重对教师和学生网络安全的培训,提高他们的上网安全意识,加强他们网络安全技术。而且制定一套完整的规章制度来规范上网教师和学生的行为,也是保障高职校园网络安全的重要防御措施。
参考文献
[1]刘少明.高职院校校园网安全体系的构建与思考[J].福建电脑,2006(2):38-42.
[2]胡献泽,陈辉.浅议高职校园网络安全策略[J].淮南职业技术学院学报,2007(3).
[3]吕玉珠.计算机与信息技术[J].广西轻工业,2009(5).
[4]陈辉.高职校园网络安全防范对策[J].淮南职业技术学院学报,2009(1).