论文部分内容阅读
摘 要 为规范中小学学生学籍管理,加快推进中小学学生学籍管理信息化工作,某省教育厅决定组织建设省级中小学学籍管理系统平台,实现义务教育阶段、高中教育阶段的学籍管理信息化、网络化和规范化,为教育规划、行政决策提供科学依据。本文以该项目为例,结合作者实践,讨论网络安全方案的规划与设计,主要采用了一种静态技术和动态技术相结合的安全解决方案:即在网络中的各个部分采取多种安全防范技术来构筑网络整体安全体系。包括物理安全、接入安全、虚拟网络(VLAN)划分、防病毒技术、健全网络安全管理制度等。最后,对网络安全中存在的一些实际问题进行了探讨。
关键词 学籍管理;信息化;网络安全
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)13-0153-01
学籍管理制度是一项基本的教育管理制度,学籍管理是学校和教育行政部门重要的日常工作。为规范中小学学生学籍管理,加快推进中小学学生学籍管理信息化工作,某省教育厅决定组织建设省级中小学学籍管理系统平台,实现义务教育阶段、高中教育阶段的学籍管理信息化、网络化和规范化,为教育规划、行政决策提供了科学的依据,并为省内其他教育业务管理系统提供所需的基础数据服务。
1 物理安全
我们认为,物理安全是系统安全的第一道关口,所以,我们采取严格的中心机房建设和管理规范,采取双回路UPS供电和严格的防火、防盗、防静电、防雷击等措施,对进入中心机房的人员进行严格管理。网络线路尽可能进桥架、管道,注意设备的安装环境,特别是室外设备的物理安全。
2 接入安全
为了保证内部网的安全,防止外部对内部网络的攻击,我们在网络边界部署一台华为USG 3030防火墙,USG 3030华为公司新一代网关型安全防护设备,基于华为专业的硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完善的虚拟专网(VPN)功能以及完备的地址转换(NAT)功能,实现基于安全区域的隔离和防护。我们在防火墙中制定了如下规则:允许外部网络访问我们DMZ区的WEB SERVER及 MAIL SERVER,但只能访问几个特定的端口,如80/tcp(http),25/tcp(smtp),110/tcp(pop3)等,允许内部网络访问DMZ区和外部网络;拒绝所有的外部IP地址对内部网络的访问,拒绝DMZ区对内部网络的访问;内部网络有限制的访问数据库服务器和文件服务器;为出差人员建立了安全、可靠的VPN通道,他们可以通过VPN方式接入到内部网络。这样,首先可以保证我们的学籍管理系统对外服务不受影响,同时可以保证我们内部系统的安全。
3 虚拟网络(VLAN)划分
内部网络的核心交换机采用一台华为S5328C-EI三层交换机。该交换机能够识别和处理四到七层的应用业务流,能根据不同的业务流进行不同的管理和控制。我们使用华为S5328C-EI三层交换机将内部网划分为10个VLAN,VLAN 1-VLAN 8分配给不同的科室和部门,VLAN9分配给信息中心,VLAN10分配给内部服务器组(数据库服务器和文件服务器),不同的VLAN之间通过三层交换机通讯,并根据实际需要设置不同的访问权限;通过合理划分VLAN,隔离了不同VLAN之间的广播包,提高了网络的性能,同时大大增强了内部网络的安全性
4 防病毒技术
为实现病毒的全面防范,我们部署了瑞星杀毒软件网络版 2008。首先,在信息中心建立一个一级系统中心,在科室和其他部门分别建立二级系统中心。上级中心统一发送查杀病毒命令、下达版本升级提示,并及时掌握全部系统中心的病毒分布情况等。另外,下级中心既可以在收到上级中心的命令后做出响应,也可以管理本级,并主动向上级中心发送请求和汇报信息。通过该系统,可实现反病毒的统一管理和分级管理。通过部署网络版反病毒软件,整个单位和省级数据中心的计算机受到病毒和恶意软件破坏的情况得到明显改善。
5 健全网络安全管理机制
网络安全问题不是单纯的技术问题,影响网络安全的因素有很多,但其中最重要的因素是人的因素。在省级数据中心建成之后,我们制订了网络安全管理办法,主要措施如下:多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核;任期有限原则,技术人员不定期轮岗;职责分离原则,非本岗人员不得掌握用户名、密码等关键信息;及时升级系统补丁,关闭不用的服务和端口;对重要的数据服务器,每日必须进行数据备份;管理员的密码必须达到一定的强度并且每周修改一次等等。
目前,省级数据中心网络系统运行良好,网络安全状况大大改善,网络系统的安全性有很大程度的提高。但还存在不少问题,比如说防止网络攻击方面,尽管使用了防火墙,但是,对内部网络的攻击防范力度有限,我们计划在下一步部署入侵检测系统,并与防火墙实现联动,进一步提高防范内外网攻击的能力。网络系统的安全是一项长期的工作,需要我们不断地学习新技术、不断地积累和借鉴经验,并及时付诸实施,才能确保省级数据中心网络系统的安全。
参考文献
[1]刘振华.B/S模式高职学生管理系统研究与设计[D].天津大学,2006.
[2]翟哲.基于ASP的学籍管理系统的设计与实现[J].网络安全技术与应用,2010(08).
[3]马合木提·买买提.新疆教育学院学籍管理系统的开发与研究[D].江南大学,2008.
关键词 学籍管理;信息化;网络安全
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2013)13-0153-01
学籍管理制度是一项基本的教育管理制度,学籍管理是学校和教育行政部门重要的日常工作。为规范中小学学生学籍管理,加快推进中小学学生学籍管理信息化工作,某省教育厅决定组织建设省级中小学学籍管理系统平台,实现义务教育阶段、高中教育阶段的学籍管理信息化、网络化和规范化,为教育规划、行政决策提供了科学的依据,并为省内其他教育业务管理系统提供所需的基础数据服务。
1 物理安全
我们认为,物理安全是系统安全的第一道关口,所以,我们采取严格的中心机房建设和管理规范,采取双回路UPS供电和严格的防火、防盗、防静电、防雷击等措施,对进入中心机房的人员进行严格管理。网络线路尽可能进桥架、管道,注意设备的安装环境,特别是室外设备的物理安全。
2 接入安全
为了保证内部网的安全,防止外部对内部网络的攻击,我们在网络边界部署一台华为USG 3030防火墙,USG 3030华为公司新一代网关型安全防护设备,基于华为专业的硬件平台以及强大的VRP软件平台,不仅具备优异的攻击防范处理能力,而且能够提供完善的虚拟专网(VPN)功能以及完备的地址转换(NAT)功能,实现基于安全区域的隔离和防护。我们在防火墙中制定了如下规则:允许外部网络访问我们DMZ区的WEB SERVER及 MAIL SERVER,但只能访问几个特定的端口,如80/tcp(http),25/tcp(smtp),110/tcp(pop3)等,允许内部网络访问DMZ区和外部网络;拒绝所有的外部IP地址对内部网络的访问,拒绝DMZ区对内部网络的访问;内部网络有限制的访问数据库服务器和文件服务器;为出差人员建立了安全、可靠的VPN通道,他们可以通过VPN方式接入到内部网络。这样,首先可以保证我们的学籍管理系统对外服务不受影响,同时可以保证我们内部系统的安全。
3 虚拟网络(VLAN)划分
内部网络的核心交换机采用一台华为S5328C-EI三层交换机。该交换机能够识别和处理四到七层的应用业务流,能根据不同的业务流进行不同的管理和控制。我们使用华为S5328C-EI三层交换机将内部网划分为10个VLAN,VLAN 1-VLAN 8分配给不同的科室和部门,VLAN9分配给信息中心,VLAN10分配给内部服务器组(数据库服务器和文件服务器),不同的VLAN之间通过三层交换机通讯,并根据实际需要设置不同的访问权限;通过合理划分VLAN,隔离了不同VLAN之间的广播包,提高了网络的性能,同时大大增强了内部网络的安全性
4 防病毒技术
为实现病毒的全面防范,我们部署了瑞星杀毒软件网络版 2008。首先,在信息中心建立一个一级系统中心,在科室和其他部门分别建立二级系统中心。上级中心统一发送查杀病毒命令、下达版本升级提示,并及时掌握全部系统中心的病毒分布情况等。另外,下级中心既可以在收到上级中心的命令后做出响应,也可以管理本级,并主动向上级中心发送请求和汇报信息。通过该系统,可实现反病毒的统一管理和分级管理。通过部署网络版反病毒软件,整个单位和省级数据中心的计算机受到病毒和恶意软件破坏的情况得到明显改善。
5 健全网络安全管理机制
网络安全问题不是单纯的技术问题,影响网络安全的因素有很多,但其中最重要的因素是人的因素。在省级数据中心建成之后,我们制订了网络安全管理办法,主要措施如下:多人负责原则,每一项与安全有关的活动,都必须有两人或多人在场,并且一人操作一人复核;任期有限原则,技术人员不定期轮岗;职责分离原则,非本岗人员不得掌握用户名、密码等关键信息;及时升级系统补丁,关闭不用的服务和端口;对重要的数据服务器,每日必须进行数据备份;管理员的密码必须达到一定的强度并且每周修改一次等等。
目前,省级数据中心网络系统运行良好,网络安全状况大大改善,网络系统的安全性有很大程度的提高。但还存在不少问题,比如说防止网络攻击方面,尽管使用了防火墙,但是,对内部网络的攻击防范力度有限,我们计划在下一步部署入侵检测系统,并与防火墙实现联动,进一步提高防范内外网攻击的能力。网络系统的安全是一项长期的工作,需要我们不断地学习新技术、不断地积累和借鉴经验,并及时付诸实施,才能确保省级数据中心网络系统的安全。
参考文献
[1]刘振华.B/S模式高职学生管理系统研究与设计[D].天津大学,2006.
[2]翟哲.基于ASP的学籍管理系统的设计与实现[J].网络安全技术与应用,2010(08).
[3]马合木提·买买提.新疆教育学院学籍管理系统的开发与研究[D].江南大学,2008.