校园网络安全建设方案
开篇:润墨网以专业的文秘视角,为您筛选了八篇校园网络安全建设方案范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
校园网络安全建设方案范文第1篇
论文(设计)题目:中学校园网络安全防护及对策初探---以昌吉市一中校园网络为例
1、选题来源及意义
1.1选题来源
随着信息时代的高速发展,以校园网络为平台的应用也越来越广泛,例如校园一卡通服务、办公自动化应用(OA)、教务管理、图书管理、电子邮件服务、校校通服务、网上学习等。然而在开放式网络环境下,校园网络的使用过程中面临着各种各样的安全隐患,一方面,由于使用校园网络最多的是学生和教师,学生对于网络这样的新鲜事物非常感兴趣,可能会下载一些黑客软件或带有病毒的软件,从而破坏校园网络系统,加之学生不懂得爱惜,对于暴露在外界的网络设备造成一定破坏,据统计,80%的校园网络的攻击都来自于校园网内部[1];另一方面,来自外部的网络用户对IP地址的盗用、黑客攻击、病毒攻击、系统漏洞、信息泄露等方面的隐患也会对校园网络造成破坏。综上所述,校园网络的安全问题既有内部因素,也有外部攻击。因此,如何在现有条件下,充分应用各种安全技术,有效的加强、巩固校园网络安全问题非常重要。通过笔者在昌吉市一中网络中心实习的经历,发现昌吉市一中校园网络原有方案只是简单地采用防火墙等有限措施来保护网络安全。防火墙是属于静态安全技术范畴的外围保护,需要人工实施和维护,不能主动跟踪入侵者。而管理员无法了解网络的漏洞和可能发生的攻击,严重的影响的正常的教学工作。因此针对中学校园网络安全的防护更不容轻视。[2-3]
1.2选题意义
校园网络的安全建设极其重要,源于校园网一方面为各个学校提供各种本地网络基础性应用,另一方面它也是沟通学校校园网络内部和外部网络的一座桥梁。校园网络应用遍及学校的各个角落,为师生提供了大量的数据资源,方便了师生网上教学、交流、专题讨论等活动,为教学和科研提供了很好的平台,因此存在安全隐患的校园网络对学校的教学、科研和办公管理都会造成严重的影响。根据学校的不同性质,保证网络稳定、安全和高效运行是校园网络建设的首要任务。因此做好校园网络安全的防护及相应对策至关重要,即本论文选题意义。[4]
2、国内外研究状况
2.1国外网络安全现状
由于笔者查阅文献资料的有限性,没有查到国外校园网络安全现状的资料,因此针对国外所采取的网络安全措施进行如下概述:
(1)法律法规的制定。近年来,世界各国纷纷意识到网络安全与信息安全的重要性,并制定相关的法律法规规范广大网络用户的行为。美国、俄罗斯、英国、日本、法国等其他许多国家都相继成立国家级信息安全机构,完善网络防护管理体制,采取国家行为强化信息安全建设。
(2)网络防护应急反应机制的建立。面对网络反恐、黑客、信息的泄露、网络入侵、计算机病毒及各类蠕虫木马病毒等一系列网络危机,世界各国通过建立网络防护应急反应机制。分别从防火墙技术、入侵检测系统、漏洞扫描、防查杀技术等传统的安全产品方面入手,防止各种安全风险,并加快网络安全关键技术的发展和更新.动态提升网络安全技术水平。
综上所述,网络安全的问题将随着技术的不断发展越来越受到重视。然而,网络技术不断发展的今天,网络安全问题只能相对防御,却无法真正的达到制止。[5-7]
2.2国内网络安全现状
由于我国在网络安全技术方面起步比其他信息发达国家晚,发展时间较短,技术不够纯熟,面对各种网络安全问题有些应接不暇,主要是由于自主的计算机网络核心技术和软件缺乏,信息安全的意识较为浅薄,不少事企单位没有建立相应的网络安全防范机制以及网络安全管理的人才严重缺乏,无法跟上网络的飞速发展。面对这一系列的问题,我国通过制定政策法规,如GB/T18336一2001(《信息技术安全性评估准则》)、GJB2646一96(《军用计算机安全评估准则》等来规范网络用户的使用,还通过技术方面的措施进行防护,如加密认证、数字签名、访问控制列表、数据完整性、业务流填充等措施进行网络安全的维护。然而通过技术措施进行网络维护的过程中,网络管理员对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,致使在管理、维护网络安全方面还有很大的漏洞。[5]国内网络安全整体的现状如上所述,通过大量文献的阅读,发现数据信息危害和网络设备危害是校园网络安全现在主要面临的两大问题,主要威胁有病毒的传播与攻击、黑客的入侵、信息的篡改等一系列安全隐患,通过采取加密认证、访问控制技术、防火墙、漏洞扫描等措施进行防护。[3]中学校园网络管理者如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个中学校园不可回避的问题,并且逐渐引起了各方面的重视。[8-10]
3、本选题的研究目标及内容创新点:
3.1研究目标:
本文在对当前校园网络面临的各类安全问题进行详细分析的基础上,深入、系统的探讨了目前常用的各种网络安全技术的功能以及优缺点,并以昌吉市一中等中学校园网络为研究对象,分别从中学校园网络的物理因素、技术因素、管理因素等角度分析威胁校园网络安全的因素,并结合昌吉市一中校园网络现有的条件,分别从设备管理、技术提供、管理人员意识等方面充分应用各种安全技术,有效加强、巩固校园网络安全,提出解决网络安全问题的策略及防范措施。从而综合利用各种网络安全技术保障本校的校园网络的安全、稳定、高效运行。
3.2内容创新点:
(1)通过对昌吉市一中的校园网络进行分析,并结合文献资料参考其他中学校园网络安全的问题,总结出中学校园网络安全存在常见的安全隐患,并制定出针对中学校园网络隐患所采取的防范措施。
(2)将制定出的网络安全防范措施运用于昌吉市一中校园网络,制定出真正合理的、恰当的、适合现有条件的网络安全防范措施,并对昌吉市一中的校园网络进行展望,使得校园网络可持续发展。
参考文献
[1]段海新.CERNET校园网安全问题分析与对策[J].中国教育网络,2005.03
[2]袁修春.校园网安全防范体系.[D].西北师范大学.计算机应用技术.2005,5
[3]钟平.校园网安全技术防范研究[D].广东.广东工业大学.2007,4:3
[4]蔡新春.校园网安全防范技术的研究与实现[D].软件工程2009,4
[5]董钰.基于校园网的网络安全体系结构研究与设计[D].山东.计算机软件与理论.2005,5:11-12
[6]王先国.校园网络安全系统的研究与设计.[D].南京.计算机技术.2009.12
[7]定吉安.常用网络安全技术在校园网中的应用研究[D].山东.计算机软件与理论.2011,4
[8]顾润龙.影响校园网络安全的主要因素及防范措施.[J].咸宁学院学报.2012,9(32):155-156
[9]张伯江.国外信息安全发展动向[J].信息安全动态,2002,8(7):36-38
[10]谭耀远.新世纪中国信息安全问题研究.[D].大连.大连海事大学.2011,6
一、采用的研究方法及手段(1、内容包括:选题的研究方法、手段及实验方案的可行性分析和已具备的实验条件等。2、撰写要求:宋体、小四号。)
1、文献研究法:查找文献资料时借助图书馆及网络,搜集、鉴别、整理文献。从前人的研究中得出对我们的研究有价值的观点与例证。本研究采用文献研究法的目的:
(1)查取大量校园网络安全问题常见的问题,结合昌吉市一中的校园网络现状进行分析。
(2)对国内外的网络安全防范措施进行分析,选择适合昌吉市一中校园网络安全所应对的策略。
2.访谈法:通过与昌吉市一中网络信息中心的教师交流探讨,以访谈的形式了解昌吉市一中校园网络的现状。
论文的框架结构(宋体、小四号)
第一章:绪论
第二章:影响中学校园网络安全的因素
第三章:常用的校园网络安全技术
第四章:校园网络安全建设
-----以昌吉市一中校园网络安全体系需求分析及设计
第五章:总结和展望。
论文写作的阶段计划(宋体、小四号)
第一阶段:20xx.10.1—20xx.11.20选定论文题目,学习论文写作方法及注意项;
第二阶段:20xx.11.20—20xx.12.25与孙老师见面,在孙教师的指导下,搜集材料阅读有关文献资料,按照开题报告的格式和要求完成《昌吉学院本科毕业论文(设计)开题报告》的撰写;
第三阶段:20xx.12.26—20xx.1.3写出开题报告,并与指导教师充分沟通,做好开题报告答辩准备;
第四阶段:20xx.1.5—20xx.1.13开题报告论证答辩;
第五阶段:20xx.1.17—20xx.3.25在指导教师指导下,开始毕业论文的写作,至3月25日完成初稿交指导教师;
第六阶段:20xx.3.25—20xx.3.31写出中期报告书,接受中期检查。并根据指导教师建议完成初稿的修改;
第七阶段:20xx.4.1—20xx.4.10根据指导教师建议完成二稿的修改;
第八阶段:20xx.4.11—20xx.4.20根据指导教师建议完成三稿的修改;
第九阶段:20xx.4.21—20xx.4.25完成初定稿,并复印3份交系毕业论文答辩小组;
校园网络安全建设方案范文第2篇
[关键词]网络安全;校园网;防火墙
前言
东北财经大学经过不断发展、完善的信息化历程,完成校园网络广泛覆盖和带宽升级。同时学校数据服务区运行着包括门户网站、电子邮箱、数字校园、移动办公等重要业务系统,随着各类应用系统的不断上线,逐步构成了一个服务于学校师生的重要综合性校园网络平台。但另一方面,承载学校业务流程的信息系统安全防护与检测的技术手段却仍然相对落后。在当前复杂多变的信息安全形势下,无论是外部黑客入侵、内部恶意使用,还是大多数情况下内部用户无意造成的安全隐患,都给学校的网络安全管理工作带来较大压力。而同时,勒索病毒爆发、信息泄露、上级部门要求、法律法规监管等,都在无形中让学校的信息安全管理压力越来越大。笔者根据《网络安全法》和网络安全等级保护2.0标准的要求,在现有的架构下对东北财经大学校园网络进行了安全加固设计,提升了校园网主动防御、动态防御、整体防控和精准防护的能力。
1现状及问题
在互联网攻击逐渐从网络层转移到应用层的大背景下,学校各类业务系统在开发时难免遗留一些安全漏洞,目前学校安全防护仅在校园网出口部署了网络层面的安全网关设备,传统网络层防火墙在面对层出不穷的应用层安全威胁日渐乏力。黑客利用各种各样的漏洞发动缓冲区溢出,SQL注入、XSS、CSRF等应用层攻击,并获得系统管理员权限,从而进行数据窃取和破坏,对学校核心业务数据的安全造成了严重的威胁。数据的重要性不言而喻,尤其对学校的各类学生信息、一卡通等财务数据信息更是安全防护的重中之重,如有闪失,在损害学校师生利益的同时也造成很大的不良影响和法律追责问题。东北财经大学出口7Gbps带宽,由电信、联通、移动、教育网等多家运营商组成。随着学校的网络规模扩大以及提速降费的背景,互联网出口将会达到15Gbps带宽以上,原有的带宽出口网关弊端显露:具体包括网关性能不足,无法支持大带宽,老旧设备无法胜任大流量的转发工作;IPv6网络不兼容,无法平滑升级,后续无法满足国家政策进行IPv6改造的规划;上网审计和流量控制功能不完善,原有网关未集成上网行为审计功能,未能完全满足网络安全法,保障合规上网;不支持基于应用的流量控制,带宽出口的流量控制效果不佳;对上网行为缺乏有效管理和分析手段,针对学生上网行为没有好的管理手段和分析方法。同时等级保护2.0也对云安全和虚拟化环境下的网络安全问题作了要求。东北财经大学信息化建设起步较早,目前校内数据中心的绝大部分已经实现了虚拟化,主要业务系统均在虚拟机上运行,虚拟化技术极大地提升了硬件资源的利用率和业务的高可用性,但现有的120余台虚拟机的安全隔离和虚拟化环境的东西向流量控制成为安全建设的新问题。为了响应《网络安全法》以及国家新颁发的网络安全等级保护2.0的相关要求,提高东北财经大学数据中心的整体安全防护与检测能力,需要在以下几个方面进行安全建设:(1)构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离防护、入侵防护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力,减少威胁的攻击面和漏洞暴露时间。(2)加强对网络风险识别与威胁检测。针对突破或绕过边界防御的威胁,需要增强内网的持续检测和外部的安全风险监测能力,主要技术手段包括:网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量与行为可视的能力。优化带宽分配,提升师生上网体验;过滤不良网站和违法言论,保障学生健康上网和安全上网;全面审计所有网络行为,满足《网络安全法》等法律法规要求;在网络行为可视可控的基础之上,需要进一步形成校园网络全局态势可视的能力。
2网络安全加固技术方案
按原有拓扑,将东北财经大学校园网划分为校园网出口区、核心网络区域、数据业务区域、运维管理区域、校园网接入区五个安全区域,并叠加云端的安全服务。各个区域通过核心网络区域的汇聚交换与核心交换机相互连接;校园网出口区域有多条外网线路接入,合计带宽7Gb,为校园网提供互联网及教育网资源访问服务;数据业务区部署2套VMware虚拟化集群和1套超云虚拟化集群,承载了学校门户网站、电子邮件、数字化校园、DNS等各类业务系统;运维管理区域主要负责对整体网络进行统一安全管理和日志收集;校园网接入区教学楼、办公楼、图书馆、宿舍楼等子网,存在大量PC终端供学校师生使用;另外学校的教学楼、办公楼均已实现了无线网络的覆盖。在数据业务区域与核心网络区域边界部署一台万兆高性能下一代防火墙,开启IPS、WAF、僵尸网络检测等安全防护模块,构建数据业务区融合安全边界。通过部署下一代防火墙提供网络层至应用层的访问控制能力,能够实现基于IP地址、源/目的端口、应用/服务、用户、区域/地域、时间等元素进行精细化的访问控制规则设置;提供专业的漏洞攻击检测与防护能力,支持对服务器、口令暴力破解、恶意软件等漏洞攻击防护,同时IPS模块可结合最新威胁情报对高危漏洞进行预警和自动检测;提供专业的Web应用防护能力,针对SQL注入、XSS、系统命令注入等OWASP十大Web安全威胁进行有效防护,同时提供网页防篡改、黑链检测以及恶意扫描防护能力,全面保障Web业务安全;提供内网僵尸主机检测能力,通过双向流量检测和热门威胁特征库结合,实现对木马远控、恶意脚本、勒索病毒、僵尸网络、挖矿病毒等威胁进行有效识别,快速定位感染主机真实IP地址。在校园网出口区部署高性能上网行为管理,对校园网出口流量进行全面管控,上网行为管理设备部署在核心交换机和出口路由器之间,所有流量都通过上网行为管理处理,实现对内网用户上网行为的流量管理、行为控制、日志审计等功能,设备提供IPv4/IPv6双栈协议兼容,有效满足IPv6建设趋势下网络的平滑改造。为了有效管控和审计,设备选型必须能够全面识别各种应用:(1)支持千万级URL库、支持基于关键字管控、网页智能分析系统IWAS从容应对互联网上数以万亿的网页、SSL内容识别技术;(2)拥有强大的应用识别库;(3)识别并过滤HTTP、FTP、mail方式上传下载的文件;(4)深度内容检测:IM聊天、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等;(5)通过P2P智能识别技术,识别出不常见、未来可能出现的P2P行为,进而封堵、流控和审计。通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、应用行为等都能有效实现对上网行为的封堵、流控、审计等管理。同时,也要提供网络流量可视化方案,管理员可以查看出口流量曲线图、当前流量应用、用户流量排名、当前网络异常状况(包括DOS攻击、ARP欺骗等)等信息,直观了解当前网络运行状况。对内网用户的各种网络行为流量进行记录、审计,借助图形化报表直观显示统计结果等,帮助管理员了解流量用户排名、应用排名等,并自动形成报表文档,全面掌控用户网络行为分布和带宽资源使用等情况,了解流控策略效果,为带宽管理的决策提供准确依据。同时支持多线路复用和智能选路功能,通过多线路复用及带宽叠加技术,复用多条链路形成一条互联网总出口,提升整体带宽水平。再结合多线路智能选路专利技术,将网流量自动匹配最佳出口。具备全面的合规审计及管控功能,支持对内网用户的所有上网行为进行审计记录,满足《网络安全法》的要求,能有效防范学生网上不良言论、访问非法网站等高风险行为,规避法律风险。在数据业务区物理服务和3个虚拟化服务器集群上每台虚拟机安装EDR客户端,针对终端维度提供恶意代码防护、安全基线核查、微隔离、攻击检测等安全能力,打通物理服务器、Vmware集群和超云集群,进行统一的主机/虚拟机逻辑安全域划分,同时实现云内流量可视、可控,满足等保2.0云计算扩展项要求。通过部署EDR构建立体可视的端点安全能力,实现全网风险可视,展示全网终端状态分布,显示当前安全事件总览及安全时间分布全网终端安全概览,支持针对主机参照等级保护标准进行安全基线核查,快速发现不合规项。部署于每台VM上的端点agent,能够对云内不同VM、不同业务系统之间的访问关系、访问路径、横向威胁进行检测与响应,EDR与虚拟化底层平台解耦合,解决多虚拟化环境下的兼容性问题,构建动态安全边界。构建多维度漏斗型检测框架,EDR平台内置文件信誉检测引擎、基因特征检测引擎、人工智能检测引擎、行为分析检测引擎、安全云检测引擎,从多维度全面发现各类终端威胁。
3结语
通过该方案,提升了威胁防护、风险应对能力。能够从容应应对勒索病毒、0Day攻击、APT攻击、社会工程学、钓鱼等新型威胁手段。通过全面的安全可视能力,简化运维压力,可以极大降低运维的复杂度,提升安全治理水平,达到了设计要求。
参考文献
[1]李锴淞.对于校园网络建设及网络安全的探讨[J].数字通信世界息,2019(8).
[2]李锴淞,邹鹏.高校校园网合作运营探索[J].网络安全和信息化,2019(9).
[3]臧齐圣.浅谈校园网络安全防控[J].计算机产品与流通,2019(9).
[4]王岩红.高校校园网安全现状及优化探讨[J].网络安全技术与应用,2019(8).
校园网络安全建设方案范文第3篇
关键词 防毒墙;物理网;网络安全网关;终端用户安全管理
中图分类号TP393 文献标识码A 文章编号 1674-6708(2012)79-0194-02
0 引言
随着网络的发展,高校作为积极实践新技术的群体,需要解决越来越庞大的教学,科研的网络数据处理,并保证在大访问量下的优质上网质量。现在高校通常是几百兆甚至是几个G的出口带宽。在满足广大师生上网需求的同时,也带来了一定的网络安全问题.作为国家事业单位,有些网络及数据安全也须得到一定的保障。国家教育部、公安部等相关部门也三令五申地要求各高校切实做好网络安全建设和管理工作.有鉴于此,需要在新形势下研究新的网络安全技术。
1 高校网络安全技术
现阶段高校主要通过如下技术手段实现其一定的网络安全管理:物理网隔离,网络安全网关、配备Web防毒墙,多专网,数据备份,关键部位设备冗余,采用第三方设备系统实现用户终端的安全管理。
1.1 物理网隔离
作为最基本的手段,物理网隔离技术永远有其独特的网络安全优势,主要适用于如校园财务,校园资产管理等严格要求数据安全性的系统。对于现在采用的WLAN做ACL访问控制隔离模式总不如全物理网来的有效,当然物理网对成本要求更高。
1.2 网络安全网关
校园网首先是一个大的局域网的概念,如何有效的抵御外来有害,有毒信息是涉及到校园网能否安全的主要因素,这个时候就非常有必要在校园网出口处架设一台网络安全产品。现在市场如阿姆瑞特,深信服都出产此类产品。该类系统基本包含带宽多出口管理,防火墙,入侵检测及防御,WEB内容过滤,简单流量控制等一系列功能。通过访问规则,应用层网关,动静态WEB过滤,反病毒扫描,垃圾邮件处理等配置实现其安全网关的功能。能基本抵御外来如DOS攻击,IP欺骗,提高FTP,HTTP,SMTP,pop3等协议的安全性。该类产品流量控制功能也能粗略的解决一些出口带宽问题,适当缓解现阶段高校租用运营商带宽费用过度增长的问题。但同时也会碰到多项功能模块开启造成管理平台查询配置延迟的问题。如有条件,还是建议采用专业的流控设备,及反垃圾邮件网关等以分担防火墙的处理业务。
1.3 Web应用防毒墙
通过该设备的配备,可以有效防御如SQL注入,跨站点脚本,操作系统命令注入,会话劫持,篡改参数或URL,缓冲区溢出等攻击。由于直接针对应用层处理能力,该类产品抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计,采用了更加适合应用层灵活计算能力的多核并行处理技术,多次解析的架构,采用了更为先进的一体化单次解析引擎,将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配。从而更好的保护服务器区的操作系统及数据安全。
1.4 多专网
由于高校存在数量众多的实验室机房,这些由于学生上网行为,虽然用户端基本都配有还原卡等装置,但在教学过程中所发生的病毒攻击行为从实验室管理上来说基本处于无可奈何的状态,这对校园网确实是一个极大的威胁,我校当时就碰到过各类由于机房管理不善影响全院网络的事件。针对于此,采用多台汇聚层交换机,把行政办公网和实验室网分开,基本上组建成实验室专网,并在实验室汇聚交换机连接核心交换机端配置一台防火墙,有效解决了实验室端对整体校园网的安全影响。
1.5 数据备份
为了各种教学评估,国家精品课程建设,电子图书馆建立都需存储大量的数据,其中有些还需实现异地备份,主要有定期磁带备份数据,就是制作完整的备份磁带或光盘:远程数据库备份,在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝,如有分校区的学校可采用两边数据互备方案。
1.6 关键部位设备冗余
这个方面可根据各高校实际情况进行操作,主干网络优先对核心交换机,安全网关进行冗余处理,由于像中间防火墙和防毒墙都有bypass功能可适当放低要求,毕竟还需考虑成本因素,数据中心服务器可采用类似云计算的方案进行处理,不需每台都做冗余。如有分校区的学校还需对互联光纤线路进行双路冗余处理,不然故障后影响太大。
1.7 使用第三方设备及系统实现终端用户的安全管理
由于高校集中了成千上万的用户数,在提高用户的安全意识同时,还需要对其进行全局的管理,这方面可通过第三方设备或系统进行IP/MAC绑定,采用安装客户端的方式实现如硬性安装360安全卫士等网络安全要求。并可和交换机进行联动,如发现有异常的端动,可将该交换机端口down掉,再联系用户进行处理,可避免因个人用户所引起的全网安全问题。该手段可对校园网络进行最基础的净化流程,我校在采用了锐捷SAM系统后效果明显,解决如arp欺骗等局域网存在的顽疾。
2 结论
由于高校网络的迅猛发展,为解决全校网络访问通畅,数据存储安全等一系列问题。管理方在制定全面的网络安全策略的同时,在采用上述各种网络安全技术之外,还需要建立完备的针对高校网络的管理制度,培养专门的网络管理人员,并且积极开展用户的网络安全培训,养成用户健康上网的习惯。
只有这样,才能全面地有效实现高校网络信息安全。可靠,稳定的服务于高校教学。另外如有一款产品能对网络进行实时的,全面的包括硬件,线路,数据传输等方面的监测的话,相信这是所有网络管理员共同的希望吧。
参考文献
[1]雷震甲.网络工程师教程[M].北京:清华大学出版社,2006.
[2]吴功宜,吴英.计算机网络应用技术教程[M].3版.北京:清华大学出版社,2009:17-18.
[3]李新,孙中涛.高校校园网安全管理研究[J].现代教育装备,2010.
[4]王维江.网络应用方案与实例精讲[M].北京:人民邮电出版社,2003,11:1-34.
校园网络安全建设方案范文第4篇
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2012)04-0000-00
1、校园网安全问题分析
1.1 校园网接入安全建设的烦恼
(1)整网安全状况无法掌控;(2)内部病毒泛滥;(3)用户接入随意;(4)事故屡禁不止。
1.2 校园网出口安全建设的烦恼
(1)来自外部网络的DoS攻击、病毒、恶意扫描防不胜防;(2)P2P应用大行其道,蚕食出口带宽,上网速度不堪忍受,师生怨声载道;(3)出口链路众多,多链路负载均衡和策略路由充满挑战;(4)带宽扩容,原有的路由器、防火墙超负荷运行;(5)并发连接回话激增,NAT网关频繁死机;(6)出口日志记录不详,检索复杂;(7)IPv6网络出口缺乏安全防护手段,跨栈攻击一触即发。
2、校园网络安全策略
制定安全有效的校园网安全策略,可以最大可能降低校园网受故意或无意的攻击而造成的性能下降、失效、数据丢失或泄密。好的安全策略要从环境、用户、产品、意识等方面来进行综合分析,安全策略包括严格的管理、先进的技术和行之有效的规章制度。
2.1 物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.2 防火墙控制策略
防火墙是一种网络安全设备,它可以防止某些数据的出入。防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。防火墙处于网络边缘,它就像一个边界卫士一样,每时每刻都要面对黑客的入侵,这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能,除了专门的防火墙嵌入系统外,再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
2.3 访问控制策略
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。它是保证网络安全最重要的核心策略之一,各种网络安全策略必须相互配合才能真正起到保护作用。禁止无关的对外访问,减少不必要的对外访问,从而节省带宽,降低风险,严格控制核查外来的访问,最大限度地阻止黑客的攻击破坏。
2.3.1 入网访问控制
入网访问控制是网络访问的第1层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源,控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行:用户名的识别与验证;用户口令的识别与验证;用户账户的默认权限检查,三道控制关卡中只要任何一关未过,该用户便不能进入网络。
用户登录时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。用户的口令是用户入网的关键所在,口令必须经过加密,最好是数字、字母和其他字符的组合,长度应不少于6个字符。用户名和口令通过验证之后,系统需要进一步对账户权限进行检查。控制用户登录入网的位置、限制用户登录入网的时间、入网的主机数量等等。
2.3.2 操作权限控制策略
操作权限控制是针对网络非法操作所提出的一种安全保护措施。用户被赋予一定的权限,网络管理员通过设置,可以控制用户资源访问的范围,可以指定用户对这些资源能够执行哪些操作。系统通常将操作权限控制策略,通过访问控制表来描述用户对网络资源的操作权限。
2.3.3 网络监测控制
网络管理员可以对网络实施监控, 服务器应记录用户对网络资源的访问,对非法的网络访问, 服务器应以图形、文字或声音等形式报警,以引起网络管理员的注意。对于非法试图进入网络的, 网络服务器应能够自动记录这种活动的次数,当次数达到设定数值,如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。
2.4 网络入侵检测技术
入侵检测指对入侵行为的发现。它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。
入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。在校园网络中采用入侵检测技术最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统则会构架成一套完整立体的主动防御体系。
2.5 加强网络安全管理
网络安全技术的解决方案必须依赖安全管理规范的支持。首先应对学生进行法制教育,加强学生的法制观念,约束自身的行为;第二,加强网络的安全管理,应制定有关的规章制度, 这对于确保网络安全、可靠地运行将起到十分有效的作用;第三,积极支持网络管理员的工作,妥善处理好网络安全问题。
3、校园网网络安全结构设计
校园网络结构设计主要是进行网络的物理设计和逻辑设计,在完成结构设计后才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的,它设计的成功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。
3.1 物理设计
根据需求分析,可以知道整个校园网信息点的总数、分布情况。当我们确定网络控制中心的位置后,就应该考虑如何把信息点连到网络控制中心以及各种设备的连接速率和网络使用的拓扑结构等,同时传输介质也是需要考虑的问题。
3.2 逻辑设计
网络的逻辑设计主要考虑校园网的IP子网网段的划分,通过实际的网络物理连接,依据实际需求来实现虚拟网络(VLAN)的设置。无论从网络的安全性和IP地址的可管理性来考虑,还是从有效利用IP地址资源的角度来考虑,将整个校园网划分为多个子网网段并对IP地址资源进行有效管理都是十分必要的。
3.3 组网技术
组网技术就是在把不同的网络设备按设计方案的要求连接起来所用到的各种技术。它直接关系到建设出来的网络系统能否达到设计要求,能不能投入使用这样严重的问题,如在组网中有不按规范和标准来施工的话,建出的网络系统的质量是达不到设计要求,是不能满足用户需求的。
3.3.1布线系统设计
校园内布线一般是在建筑物内、建筑群之间,这就要求布线系统均采用符合国际标准的综合布线系统,园区采用光纤、双绞线的混合布线方式。
在结构化布线完工后,必须对整个系统进行测试后才能投入使用,以保证系统能达到设计要求一次性布线,可保证在十五到二十年之内,其系统性能不会下降,功能也不会落后,真正达到一次投资,长期受益。
3.3.2网络系统平台选择
在网络系统平台的选择上,要根据用户需要以及实际情况选择合适网络系统。例如UNIX在支持应用服务器方面功能最强。在众多局域网的情况下整合构建数字校园网可靠性最好、可以长时间提供服务、安全性强、几乎不染毒。缺点是版本多、系统命令多、管理复杂。Windows 2008 server也是一款非常不错的服务器操作系。界面简单、容易上手、管理方便,目前使用者众多。
3.3.3Internet接入技术
目前校园网接入Internet的方式主要有:光纤、DDN、ISDN、ADSL等。
(1)光纤:光纤是一种在校园网建设中普遍使用的一种技术,它是通过构建专用的Internet服务器来实现的,是速度最快的Internet接入方式,光纤接入的优点是可提供比较高的网络带宽和稳定性,但它的连接较为复杂,当然它的技术要求和成本也是最高的。
(2)DDN :DDN是目前校园网接入Internet的主要方式,速度最高可达2Mbit/s。它性能稳定,成本适中,比较适合中型校园网。
(3)ISDN:对于终端较少的小型校园网,可选用ISDN接入Internet。ISDN接入Internet的标准速度是64Kbit/s(1B+D)。ISDN配置简单,虽然像Modem一样利用电话线路,但可以在上网的同时打电话。
(4)ADSL:ADSL是 Asymmetric Digital Subscriber Line的缩写,中文意思是非对称数字用户线路,它的一个明显优势是经济上实用。ADSL的使用费和维护费用远远低于DDN,而速度却高于DDN,是校园网接入 Internet的理想选择。 ADSL宽带线路通过ADSL Modem接入Internet服务器的网卡上的,不过ADSL专线的接入是用传统的模拟电话双绞线线路布线不很规范,线路质量不够好,达不到高速传输的要求,目前它只用在一些中小型网络。
3.3.4防火墙控制
防火墙也是校园网中非常重要的一个部分,它使内部网络与外部网络互相隔离、限制网络互访,用来保护内部网络,是内网和外网之间的一道安全屏障。设置防火墙的目的都是为了在内部网与外部网之间设立惟一的通道来自简化网络的安全管理,用于保护内网中信息不受外网的非法侵犯。它的原理是根据报文的源IP地址、目的IP地址、源端口、目的端口报文信息来判断是否允许报文通过,简单的可以用路由器完成,复杂的则可以用主机甚至一个子网来实现。防火墙可以经济、有效的保证网络安全。
3.4 防病毒措施和信息保密技术
3.4.1防病毒措施
计算机病毒是引起计算机故障、破坏计算机数据的程序。它能够传染其它程序,并进行自我复制,特别是在网络环境下,计算机病毒有着不可估量的威胁性和破坏力。
因此对计算机病毒的防范是校园网络安全建设的一个重要环节,应该在学校培养起集体防病毒意识,制定出防病毒管理机制。可以使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
3.4.2信息保密技术
信息保密技术是研究对信息进行变换,以防止第三方对信息进行窃取、破坏其机密性的技术。保密重要从以下几个方面入手:
第一,采用密码技术对信息加密。这是最常用、有效的安全保护手段。使用密码技术的核心目的是实现信息或数据的安全应用与安全传输,从密码技术本身所提供的基础功能上讲,可实现数据机密性、数据完整性验证及数据不可抵赖性验证。
第二,身份认证。身份认证即用户身份的确认技术,要求参与安全通信的双方在进行安全通信前,必须互相鉴别对方的身份。它是网络安全的第一道防线,也是最重要的一道防线。身份认证保证系统中的数据只能被有权限的人访问,未经授权的人则无法访问到数据。
第三,数字签名。数字签名技术就是根据某种协议来产生一个反映被签署文件的特征以及签署人的特性的数字化签名,以保证文件的真实性和有效性。数字签名是实现认证的重要工具,其根本目的在于验证消息的完整性以及数据在传输和存储过程中是否会被篡改重放或延迟等。
4、安全措施的实现
4.1 服务器的安全
校园网服务器的安全可以从以下几方面考虑;
第一,硬件系统的安全防护
硬件稳定的安全运转,是网络系统良好运行的首要保证。我们对放置服务器的机房应切实做好防雷、防火、防水、防电、防高温等工作。应配备不间断电源或采用双电源系统保证服务器时刻处于工作状态。禁止无关人员随意进入机房,防止人为的蓄意破坏和盗窃事件发生。
第二,软件系统的安全防护
软件系统的安全防护一般可以从以下几方面着手:
(1)建立服务器档案:包括服务器的硬件配置、型号、操作系统、维修记录等进行记录,以便出现故障时能进行对照。
(2)操作系统及时升级安装补丁程序。
(3)加强操作系统权限管理和口令管理:检查用户和组里是否有非法用户, 开启审核策略,修改终端管理端口,以及配置MS-SQL删除危险的存储过程。
(4)安装防火墙与杀毒软件:安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒;定期用对服务器开放的端口进行检测;用进程检测软件监测服务器所开的进程,并和以往的进程列表作比较;服务器尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。
(5)定期对服务器进行备份与维护:为防止意外的系统故障或用户非法操作,系统管理员需要定期备份服务器上的重要系统文件。文件资料可以用RAID方式进行备份,重要的资料还应用保存在存储中。
4.2 校园网络的管理安全
任何先进的系统都是为人服务的,因此想使计算机网络的各种故障减少到最低,网络管理员就要在平时做好网络的预防性维护以及重要数据的备份、计算机病毒的防护,记录网络事件等工作,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。
加强网络的安全管理, 制定有关的规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。
预防性维护也是非常重要的,预防性维护可以为系统管理员减少很多的麻烦,例如:清理污垢和其他一些污染,如果灰尘污垢太多的话就会造成设备散热不良,严重的还会引起电子器件间的短路。
检查各种网络设备的连接情况,每隔一段日期就检查一下局域网中所有计算机系统的连线是否松动,查看一下电源线、显示器、网络,串行和并行电缆以及各种配件等。
系统、数据的备份工作是必需的。在安装了服务器或者对系统进行了重大的修改之后,一定要把整个系统备份下来。在备份之后还要进行测试,以保证备份的系统能够正常工作。
校园网络的安全问题,不仅是设备、技术的问题,更是管理的问题。对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
5、结语
总之,校园网的安全问题是一个较为复杂的系统工程。随着计算机技术的飞速发展,网络的安全有待于在实践中进一步研究和探索。在目前的情况下,我们应当全面考虑综合运用防火墙、加密技术、防毒软件等多项措施,互相配合,加强管理,从中寻找确保网络安全与网络效率的平衡点,综合提高校园网络的安全性,从而建立起一套真正适合学校计算机网络的安全体系,以确保校园网正常安全运行和朝着健康有序方向发展。
参考文献
[1] 覃肖云.基于校园网分布式入侵检测系统的研究与实现.《大众科技》,2009.4.
[2] 张惠平.浅谈高校校园网络安全分析及防护策略.《网络安全》,2008.9.
[3] 网管员必备宝典――网络安全出版社:清华大学出版社.
校园网络安全建设方案范文第5篇
【关键词】 网络安全 安全风险 防火墙 入侵检测 身份认证
1 校园网络的安全风险分析
校园网安全的风险来自于网络的各个层面,首先,校园网是一个基于TCP/IP协议的大型局域网,TCP/IP协议采用四层的层级架构,由网络接口层、网络层、传输层和应用层构成,每一层在执行特定的通信任务同时面临着本身缺陷所带来的风险。其次,学校各部门业务应用以及支持这些应用运行的操作系统、数据库,存在很多的安全漏洞。最后,安全管理机制、网络安全策略以及防护意识的不足所带来的风险也不容忽视。下面从物理层、链路层、网络层、传输层、系统层、应用层、管理层七个方面对校园网面临的各种风险进行简要分析。
1.1 物理层的安全风险
物理层安全风险指的是由于物理设备的放置不合适或者环境防范措施不得力,使得网络设备、设施包括服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS等遭受水灾、火灾、地震、雷电等自然灾害、意外事故或人为破坏,造成校园网不能正常运行。
1.2 链路层的安全风险
数据链路层位于物理层上方和网络层、传输层的下方,通过各种控制协议和规程在有差错的物理信道中实现无差错的、可靠的数据帧的传输[1]。这一层遭受攻击会直接危胁其他各层。链路层的安全问题主要有:内容寻址存储器(CAM)表格淹没、地址解析协议(ARP)攻击、DHCP欺骗、媒体存取控制地址欺骗、虚拟局域网攻击等。
1.3 网络层的安全风险
网络层处于网络体系结构中物理链路层和传输层之间,该层封装IP数据报,进行路由转发,解决机器之间的通信问题。TCP/IP协议族中最为核心的协议IP在网络层应用最为广泛。TCP、UDP、 ICMP及IGMP数据都以IP数据报格式进行传输。这一层的常见安全问题主要有:明文传输威胁、IP地址欺骗、源路由欺骗、路由信息协议攻击、ICMP攻击、端口扫描威胁、IP碎片攻击等。
1.4 传输层的安全风险
传输层负责端到端可靠的交换数据传输和数据控制。在传输层使用最广泛的有两种协议:传输控制协议(TCP)和用户数据报协议(UDP)。安全问题主要有:TCP“SYN”攻击、Land攻击、TCP会话劫持、UDP淹没攻击、端口扫描攻击等。
1.5 操作系统的安全风险
绝大部分操作系统存在安全脆弱性。目前通用的Windows、 UNIX、 Linux以及其他商用操作系统,在前期设计和后期软件代码的大规模开发过程中不可避免的存在一些缺陷,为调查测试需要有的开发厂商还留下后门,使得操作系统本身存在很多安全漏洞,非常容易被攻击[2]。
1.6 业务应用的安全风险
目前基于网络的各种应用越来越多,诸如病毒、间谍软件、DDoS攻击、端口攻击、SQL注入、Web漏洞、跨站脚本、网络钓鱼、带宽滥用等形式的安全威胁飞速增长,带来信息风险、网络服务瘫痪甚至财产损失。很多在主机系统上运行的应用软件系统采购自第三方,在部署之前往往只执行了功能测试,没有进行全面标准的安全评估,部署时也往往没有进行安全加固,导致各个应用系统安全水平不一,漏洞不可避免,容易遭受黑客攻击,造成诸多安全问题。
2 计算机网络安全技术
网络系统安全的保护,必须结合网络的具体需求,将多种安全措施进行整合,建立一个立体的、完整的、多层次的网络安全防御体系。下面主要就校园网络安全防范中应用较多的技术进行介绍。
2.1 防火墙
防火墙是指设置在信任网络和不可信任网络之间执行控制策略的系统,在不同网络之间构成一道安全屏障。具体实施中可以有硬件或软件的解决方案。它按照事先设定的一系列规则,对进出内外网之间的信息流进行监测、限制和过滤,只允许匹配规则的数据通过,并能够记录有关的访问连接信息、服务通信量以及试图入侵事件,以便管理员分析检测。而且防火墙本身也有很强的抗攻击能力。
2.2 入侵检测
防火墙一种被动的防御技术,由于假设了网络边界的存在,因此它对内部的非法访问难以有效地控制,它无法防止来自防火墙内侧的攻击。防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对WEB服务的注入攻击等。
入侵检测系统可以识别针对计算机或网络资源的恶意企图和行为,并对此作出反应。它能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。提高了网络的动态安全保护。
2.3 虚拟专用网
虚拟专用网是依靠ISP( Internet Service Provider因特网服务提供商)或NSP(Network Service Provider网络服务提供商),在公用网络中建立专用的、临时的、安全的数据通信网络技术。也是在任意两个节点之间搭建的一条安全、稳定的连接隧道。使用虚拟专用网络,可以为多个分散的机构定制一个符合自己需求的网络。
3 结语
如何有效的保障信息网络的安全,已经成为一个十分重要的课题。具体的网络整体安全解决方案,必须对网络各方面的风险进行详细分析,结合系统实际,综合运用先进的安全技术,覆盖网络的各个层次、各个方位。
校园网的建设是一项持续的、复杂的系统工程,其安全建设要求统一考虑,长远规划,分步实施,确保技术的先进性和可扩展性。校园网整体安全防范体系是一个动态的、不断发展变化的综合运行机制,如何在技术上适应网络动态变化,建立自适应的安全保障体系,仍是一个值得研究的课题。
参考文献:
[1]Gilbert Held,戴志涛,郑岩.以太网(第三版)[M].人民邮电出版社,2000,2,95-103.
校园网络安全建设方案范文第6篇
【关键词】校园电子商务 发展策略
【中图分类号】F716【文献标识码】A【文章编号】1672-5158(2013)02-0408-01
校园电子商务的出现,使校园师生的生活更轻松、更快捷和更方便,满足了广大师生快节奏的学习与生活方式。
一、校园电子商务的概念及特点
校园电子商务可以定义为:校园电子商务就是利用现代信息技术在校园范围进行商务活动的统称。实际上,校园电子商务并不是因为将主要目标市场针对校园而提出的,它是电子商务复杂变型中一种新思路、新模式,是对无空间限制特点互联网的思维突破。校园电子商务意味着通过校园网络上的“商店”所从事的在线产品和劳务的买卖活动,交易内容是有形的产品和劳务等。
校园电子商务从商业运作模式来看,类似于一般电子商务,都是通过网络进行商品、服务或信息的交换。与校园传统商务活动相比,校园电子商务具有虚拟化、低成本、高效率和透明化交易等特点。除此之外,校园电子商务还具有网络环境优良、消费群体稳定、支付体系安全、物流配送方便和信用机制良好的独特特点。
二、我国校园电子商务现状
目前,国外高校校园电子商务系统已经发展到一定水平,网上购物系统、网上支付系统等均比较完善,为师生、员工提供了极大便利。我国校园电子商务当前还处在较为低级的发展阶段,校园电子商务建设还相对落后。很多学校甚至还没有开始实施,己经开始实施的学校大多数也局限在一定范围内。因此,我国校园电子商务系统建设还有待进一步加强。校园是新事物的快速接收者,而广大在校学生既是电子商务的接受者,又将是未来电子商务发展的推动者。校园电子商务多半是在校学生发起并运行,也有得到企业或学校的支持。目前,校园电子商务只局限在一定范围内,校园电子商务都以网站为平台,由于学校人群集中、单购量较小和运作范围小,一般都没有成熟的物流服务支持。由于学校校园网的建成,使得校园电子商务发展迅速。鉴于校园电子商务目前所处的发展阶段,怎样使校园电子商务摆脱本校的局限,走出校园,实现真正商业化则是研究的重点。
三、校园电子商务发展中存在的问题
(一)校园电子商务理论研究
[]欠缺。目前有关于校园电子商务的理论研究还很缺乏。由于急功近利思想,过分推崇网络教育,一些学校在教育经费欠缺的情况下盲目进行网络硬件建设,使部分教育资金浪费和流失。
(二)校园电子商务的总体规划缺乏。在建立校园电子商务初期,一些学校缺乏总体规划,只重视网络设备建设,而轻视应用系统建设。由于建网时不考虑网络技术发展方向,没有远景计划,选择便宜廉价的设备,往往使买的产品过时或已淘汰,造成后期建设无法进行,导致学校错误或重复投资。再加上观念、应用软件、管理制度和后续资金等多种因素,即使网络硬件建成了,校园网却只能作为使用网络的普通工具,并没有为科研、教学和学校管理发挥真正的作用。
(三)复合型人才缺乏。所指的复合型人才是指对校园电子商务有深刻理解的人才。要充分发挥校园电子商务的优势,应该有掌握现代教育技术理论及方法和IT技术的复合型应用人才。
(四)监督管理缺乏力度。由于信息量巨大的互联网具有开放性和交互性特点,往往造成很多负面影响。校园电子商务对此缺乏有力的监督管理。目前部分学校校园网管理混乱,尤其是对网络内容控制不够。所以,网络管理是发展校园电子商务所必须面对的重要课题。
(五)校园电子商务安全缺乏保障。(1)校园网络安全问题。网络安全性能差。(2)电子支付系统安全问题。电子商务交易的安全性得不到保障。所以,对于校园电子商务,建立可靠的安全系统是很重要的。
四、校园电子商务的发展策略
(一)加强校园电子商务建设的调研论证工作。校园电子商务建设方案关系到整个网络的性能,涉及校园电子商务的整体规划、布局、结构、带宽、扩充性、安全性、设备选型和技术标准等方面,对整个校园网建设具有决定性作用。在建设校园电子商务前应该参照相关校园电子商务建设的有关标准,认真进行调查和分析研究,结合本校实际情况,充分考虑各种因素,制定出符合本校实际的电子商务建设方案。使该方案的可行性、先进性、拓展性和完备性得到很好的保证。
(二)校园电子商务建设量力而行,稳步推进。为此要注意克服两种
倾向:一是不顾需求,一味求高,这样会因为系统需求不足,造成设备功能闲置,造成前期浪费;二是不加认证,仓促上马,会因为设备与系统不匹配,影响系统正常运行,致使对系统进行再造,造成后期浪费。
(三)针对学校师生、员工需要,提供优质服务。校园电子商务系统要提供多方面服务,满足师生、员工们日常学习、生活所需。可以建立系统完整的顾客资料数据库,才能以顾客为中心,提供方便快捷、安全有效的个性化服务。校园电子商务还可以通过建立类似会员制的环境来主动联络顾客。
(四)开展网上促销活动,解决信誉、服务和质量问题。网络营销的优点在于网上销售能使顾客直接向生产厂商订货,省掉了中间商环节,从而节省了的支出。在校大学生消费的承受能力相对较弱,对网上购物的价格更为敏感。商家只有开展网上促销活动,采取低价格策略,才能吸引大学生消费。同时,商家应该注重产品质量和服务质量,努力提高自身的信誉度,增加消费者网上购物的满意度。
(五)强化网络安全建设。网络安全直接关系到学校的日常管理和教学等方面,因此必须通过多种途径加强网络安全的建设与监管。校园电子商务安全从整体上可分为校园电子商务交易安全和校园网络安全。(1)校园电子商务交易安全。由于电子支付系统安全问题是电子商务本身在交易过程产生的问题,校园在开展电子商务时不可避免地也会受到这种威胁。从目前看,SET安全电子交易是一个设计全面、考虑周到、较为完整的安全电子商务解决方案。当然,待校园一卡通系统完善之后,利于校园一卡通进行电子支付,将是一种更加安全可靠的电子支付方式。(2)校园网络安全。①加强安全教育,增强安全保密意识。②健全有关法律法规,用法律来约束网上行为,防止网上欺诈,假冒伪劣等现象的发生。同时健全安全制度,责任明确。③强化安全管理。④发展安全防范技术。
(六)加强宣传教育,改变传统观念。现在传统的消费模式仍然占主导地位,需要不断宣传教育,才能使广大师生、员工都改变传统观念,接受校园电子商务。
(七)加强对复合型人才的培养。通过各种方式和途径,例如各高校和培训机构,培养出掌握IT技术和现代教育技术理论及方法的复合型应用人才,从而促进校园电子商务的发展。
参考文献
[1] 黄立新,袁翔珠.开展校园电子商务的对策[J]经济论坛,2005.10
校园网络安全建设方案范文第7篇
关键词:校园网络;网络安全;网络安全教育与管理措施;对策
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)27-6596-03
Thoughts and Countermeasures of Campus Network Security
CHANG Qing
(Information Technology Center, Shaanxi Energy Institute, Xi'an 710613, China)
Abstract: With the development of education informatization, relying on the campus of digital information system has become one of the important network teaching platforms and office informatization. Therefore, network security has been paid more and more attention and has become the main problem affecting campus network application. Based on the analysis of the current college campus network security threat,the paper discusses the the main factors influencing network security and puts forward the countermeasures for campus network security.
Key words: campus network; network security; network security education and management measures; countermeasures
随着教育信息化的发展,依托校园网的数字化信息资源系统成为学校重要的网络教学平台,依托校园网的OA成为学校现代办公信息化的主要手段。校园网为学校各方面建设提供了安全、可靠、快捷的网络环境,是学校的管理、教学、科研、学生思想教育等各项工作正常进行的保障。校园网络的安全状况直接影响到各项工作的顺利进行。因此,保障校园网络正常运行及其信息安全已经成为当前各高校网络建设中首先需要考虑的问题。
1 网络安全的概念
1.1 网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
1.2 网络安全的学科基础
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
1.3 网络安全的本质
网络安全的本质是针对:网络系统的运行安全和网络数据库的信息安全,两个方面的安全防护措施。
2 校园网络安全的现状分析
校园网具有速度快、规模大,计算机系统管理复杂等特点,随着网络系统应用的深入发展,校园网络的安全问题也逐渐突出,直接影响着学校的管理、教学和科研活动的进行。为此,在全面了解校园网安全现状的基础上,合理构建网络安全体系结构,改善网络应用环境的工作迫在眉睫。
当前,校园网络常见的安全隐患有以下几种:
2.1 计算机系统漏洞
目前,校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。而且随着时间的推移,将会有更多漏洞被人发现并利用。
2.2 计算机病毒的破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。计算机病毒具有以下特点:一是攻击隐蔽性强;二是繁殖能力强;三是传播途径广;四是潜伏期长;五是破坏力大。特别是近年来利用ARP协议漏洞进行窃听、流量分析、DNS劫持、资源非授权使用、植入木马病毒不断增加,严重威胁着校园网络的正常运行。
2.3 来自网络外部的入侵、攻击等恶意破坏行为
校园网与Internet相连,在享受Internet信息丰富、方便快捷的同时,也面临着遭遇攻击的风险。黑客也经常利用网络攻击校园网的服务器,以窃取一些重要信息。
2.4 校园网内部的攻击
由于高校部分学生对网络知识很感兴趣,具有相当高的专业知识水平,对内部网络的结构和应用模式又比较了解,攻击校园网就成了他们表现自己的能力,实践自己所学知识的首选,经常有意无意的攻击校园网系统,干扰校园网的安全运行。
另外有一些学生,在下载一些音/视频资料时在未进行查杀病毒的情况下,就进行应用等也是造成内部的攻击的重要因素。
2.5 校园网安全管理有缺陷
随着校园内计算机应用的迅速普及,接入校园网的计算机日益增多,如果管理措施不力,随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入,忽视软件投资;重运行,轻管理的现象。主要表现为对网络安全的认识不足,将网络系统作为一项纯技术工程来实施,没有一套完善的安全管理方案;网络系统管理人员只将精力集中于IP的申请分配和开通、帐户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上,而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。
3 造成这些现状的原因
3.1 网络安全维护的投入不足
网络安全维护的工作量是很大的,并且很困难,需要一定的人力、物力,然而大多数学校在校园网上的设备投入和人员投入不足,有限的经费也往往主要用在网络设备购置上,对于网络安全建设,普遍缺乏比较系统的投入。
3.2 网络管理人员配备不足
很多学校的网络管理人员的都具有一定的专业水平,基本可以胜任本职工作,但是可能由于人员配备不足的原因,勉强能够维护网络硬件正常的配置和运行,而无暇顾及其他。
3.3 师生的网络安全意识和观念淡薄
有的学生对网络安全重视不够,法律意识不强。在组织文艺活动和节目编排时,随意通过网络下载或通过带毒的移动存储介质,经常有意无意的传播病毒,攻击校园网络系统,干扰校园网的安全运行。
4 对策
校园网的安全问题是一个较为复杂的系统工程,要从用户、管理、技术三方面的因素来考虑。从严格的意义上来讲,100%的安全网络系统是没有的,网络安全工作是一个循序渐进、不断完善的过程。为了提高校园网络的安全性,提出以下几点安全措施:
4.1 配备高性能的防火墙产品
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。一般来说,防火墙设置在可信赖的内部网络和不可信赖的外部网络之间。防火墙相当于分析器,可用来监视或拒绝应用层的通信业务,防火墙也可以在网络层和传输层运行,根据预先设计的报文分组过滤规则来拒绝或允许报文分组通过。所以对防火墙作好安全设置,设定恰当的访问控制策略,保障网络信息资源不被非法使用和访问。
4.2 加强网络中PC机的安全防范
4.2.1 身份认证技术
身份认证是对通信方进行身份确认来阻止非授权用户进入。常用的身份认证方法有口令认证法。主要是给系统管理员帐户设置足够复杂和一定强度的密码,最好是字母+数字+符号的组合;系统管理员的口令应严格管理,不定期地予以更换。如:很多用户的Windows XP/2000系统却根本没有设置密码,有的用户,虽然也设置了密码,但密码要么全是数字的,要么很短,对于这类密码,可以轻易的被破解。
4.2.2 防范系统安全漏洞
及时更新操作系统和安装各种补丁程序非常重要。一般用户需要借助第三方产品(如:漏洞扫描系统)的帮助,及时发现安全隐患。目前,许多新型计算机病毒都是利用操作系统的漏洞进行传染的。可以通过安装360安全卫士或其它功能类似的软件来给系统的漏洞打好补丁,这样可以有效的保护系统。
4.2.3 校园内部网络中PC机的安全隔离
合理使用防火墙,可以构筑内外网之间的安全屏障,有效地将内部网与外部网隔离开来,有利于提高网络抵抗黑客攻击的能力和系统的安全性。在校园网内的所有PC机应自觉安装专业的防火墙软件,如360安全卫士防火墙等。
4.3 防范计算机病毒
1)作为校园网的网络管理人员,要为系统使用安全策略,如帐户设定、审核策略、网络访问、安全选项设定等。使用安全策略不仅可以有效防范病毒,监控系统状态,还可以防范黑客攻击。
2)选择合适的防病毒软件,及时更新病毒库。防病毒软件分为两大类:网络版和单机版。单机版防毒软件适用于个人用户,管理功能相对较弱。从网络管理和病毒监控的角度来说,校园网更适用网络版防毒软件,因为网络版防毒软件的管理功能更强大,校园网的管理员只要及时在服务器端进行升级,客户端启动后就可自动升级,网管员还可对所有安装客户端的计算机进行病毒监控、进行远程杀毒,及时了解校园网中病毒疫情。
3)计算机网络用户要增强安全意识,不要轻易使用盗版和存在安全隐患的软件;不轻易浏览一些缺乏可信度的网站;不要随便打开不明来历的电子邮件,尤其是邮件附件中的EXE和COM等可执行程序,对方发过来的电子邮件及相关附件的文档,首先使用另存为命令保存到本地硬盘,待用杀毒软件检查无毒后才可以打开使用;不要随便共享文件和文件夹,即使要共享,也得设置好权限。
4.4 网络监控措施
在不影响网络正常运行的情况下,增加内部网络监控机制,可以最大限度地保护网络信息资源。如:配备入侵检测系统(IDS, Intrusion Detection System),入侵防御系统(IPS, Intrusion Prevention System),Web、E-mail、BBS的安全监测系统和网络监听系统等。通过监控手段,增强网络安全的自我适应性和反应能力,及时发现不安全因素,从而保证网络服务的正常提供。通过使用网管软件、日志分析软件、MRTG和Sniffer等工具,形成一个功能较完整、覆盖面较广的监控管理系统。
4.5 加强网络安全教育及安全管理措施
维护网络安全是每一个网络用户共同的责任,当得知自己的CP机感染病毒时,应及时处理。包括:升级杀毒软件,杀毒操作;仍不能处理时,应及时断开本机与网络联系(避免成为病毒传染源在网上的传播),必要时格式化硬盘,重新安装系统。以确保网络系统的安全。
4.6 数据备份和恢复
对于计算机用户而言,最重要的应该是硬盘中存储的数据。用户数据不要与系统共用一个分区,避免因重装系统造成数据丢失。重要的数据要及时备份,备份前要进行病毒查杀,数据备份可采取异地备份、光盘备份等多种方式。对于校园网的管理人员来说,要做好各种应急准备工作,必须要有一套应急修复工具,如系统启动盘、DOS版杀毒盘、紧急系统恢复盘、各种操作系统盘、常用应用软件包、最新系统补丁盘等,并且做好分区表、DOS引导扇区、注册表等的备份工作,这样可提高系统维护和修复时的工作效率。
4.7 制定切实可行的网络安全管理制度
为了确保整个校园网络的安全有效运行,有必要对网络进行全面的安全性分析和研究,制定出一套满足网络实际安全需要的、切实可行的安全管理制度。主要包括以下几方面的内容:1)建立一个权威的信息安全管理机构,制定统管全局的网络信息安全规定;2)对网络管理人员加强专业知识和技能的培训,培养一支具有安全管理意识和技能的网管队伍,使他们从技术上提高应对各种攻击破坏的能力;3)把网络信息安全的基本知识纳入学校各专业教育之中;4)对学校教师和其他人员进行信息安全知识普及教育;5)在学校的网站设立网络安全信息栏目,网络法令法规、网络病毒公告、操作系统更新公告,并提供常用软件的补丁下载等信息。
总之,校园网络安全问题是一个较为复杂的系统工程,需要全方位防范,防范不仅是被动的,更要主动进行。在网络安全日益影响到校园网络运行的情况下,要完善校园网管理制度,对相关的校园网管理人员进行培训,对学生进行网络道德的教育,提高公德意识;安装最新的防病毒软件和病毒防火墙,不断安装软件补丁更新系统漏洞,对重要文件要进行备份,从多个方面进行防范,尽一切可能去制止、减小一切非法的访问和操作,把校园网络安全事故及故障率降到最低程度。
参考文献:
[1] 蒋玉芳.校园网络安全问题分析与对策[J].现代教育教研,2009(3).
[2] 曾科.高校校园网络安全隐患及对策探讨[J].商情,2009(25).
校园网络安全建设方案范文第8篇
【关键词】校园网;Internet;组网;信息
1.前言
1.1 校园网简介
校园网应为学校教学、科研和管理提供先进的信息化教学环境。这就要求校园网是一个宽带、具有交互功能强的局域网。多媒体教学软件开发平台、多媒体演示教室、教室备课系统、电子阅览室以及教学、考试资料室等,都能够通过网络运行、工作。
校园网的基本功能应该包括:教务、教学管理;图书馆管理;实验室管理;学生成绩与学籍管理;财务和行政管理;后勤管理;档案管理(包括人事、科研成果、固定资产、财务账本等);各处、室管理;学校科研管理;校园办公自动化。除此之外,还可以满足校内外的通信需求,包括英特网服务、远程教育服务、电子公告和视频会议、IC卡服务及校外服务等。
综上所述,校园网应具有教学、科研、管理和通信等功能。对于中小学校园网建设来说,目前主要侧重在教学和通信上;而对众多的高校来说,数字化校园正成为信息时代的建设重点。
1.2 校园网研究的目的和意义
在整个人类正逐渐步入学习化社会的今天,教育信息化、教育终身化和教育全球化正在和必将带来教育的全面变革。信息化校园,就是一个网络化、数字化、智能化有机结合的新型的教育和学习的校园平台,是由校园网支持的学习环境。高度发达的计算机网络是信息化校园的核心技术支撑。具体的形式就是校园网,即在校园范围内连接的计算机网络,它将行政管理、信息管理、教学服务、研究开发等各类系统连接起来,实现这些系统之间的信息交换和信息服务。网络化的内容还应该包括与校园网及其整个国际互连网的充分互连。
2.校园网组网建设重点
校园网建设重点是要实现以下六个方面的建设:
(1)校园网网络布线系统、光纤骨干系统的建设;
(2)校园网网络中心机房的建设和装修;
(3)校园网核心层、汇聚层、接入层各种网络设备的建设以及相关管理认证系统、计费系统、网络管理系统建设;
(4)校园网安全建设:防火墙系统、病毒网关系统、垃圾邮件网关系统;
(5)校园网服务器集群系统建设;
(6)校园网中心机房设备,UPS不间断电源系统建设。
3.校园网建设方案
3.1 校园网络拓扑结构
校园网络实际是多个局域网组成的网络,由多个星型结构组合而成,属于网状网。为方便维护和管理将校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备。
3.2 硬件设备的选择
(1)核心层设备
在网络设备的选择上,不仅要考虑校园网中的真实需求,还要关注供货商的信誉、发展以及技术的先进性等。在专注于IP产品的网络厂商中,目前占有主导地位并有一定的技术优势的有Cisco、华为-3com、Extreme等,这些公司专业性强、规模大、产品齐全,在后续产品的研发方面有足够的技术和资金实力,理应成为选择的对象。
(2)汇聚层设备
汇聚层是接入层和核心层之间的分界点。汇聚层的出现,进一步明确了核心层的边界。在汇聚层可以进行一些复杂的、消耗系统资源较大的数据包操作。接入层设备汇接到一台或者多台汇聚层设备上,由汇聚层设备在接入层交换机之间提供第二层连接,同时提供第三层功能,支持路由选择和网络层服务。
(3)接入层设备
接入层是最终用户被许可接入网络的节点。可以在这一层通过过滤或访问控制列表提供对用户流量的进一步控制。但是这一层的主要功能是为最终用户提供网络接入。
(4)服务器
服务器是网络中关键设备之一。通常服务器向工作站提供处理器、内存、磁盘、打印机、软件、数据库等资源和服务,并负责协调管理这些资源。由于网络服务器要同时为网络上所有用户服务,因此要求其具有较高的性能。根据网络的应用和规模,可选用高档PC服务器、UNIX工作站、小型机等。
3.3 软件的集成
(1)网络操作系统
网络操作系统是计算机系统中用来管理各种软硬件资源,提供人机交互使用的软件。网络操作系统可实现操作系统的所有功能,并且能够对网络中资源进行管理和共享。目前应用较为广泛的网络操作系统有:Microsoft公司的Windows Server系列、Novell公司的NetWare、UNIX和Linux等。
(2)网络安全管理
“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是网络安全的屏障,一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
防火墙由于只能防止外网网络攻击,然而它并不能实现对病毒的防护,所以网络操作系统必须装有防毒软件,校园网可以考虑采用的趋势科技(trend)的产品。
3.4 综合布线
综合布线系统是校园网络的重要基础,是楼宇通信与计算机网络建设的基石。它应采取模块化结构,配置灵活,设备搬迁,扩充都非常方便。综合布线系统建设应能为语音、数据、视频和图像的传输提供实用、先进、扩展方便的通道,充分保证校园计算机网络的高速可靠运行,并适应计算机和通信网络产业技术的发展,支持多种网络结构及网络设备,达到使用灵活、管理简便、扩充方便、技术先进、运行可靠的高标准布线系统要求。
为保证校园网综合布线系统的功能和发展要求,以及性能价格比,布线系统应采用光纤加铜缆布线的解决方案,拓扑结构为星型结构,这样可使系统具有配置灵活、维护管理方便、故障隔离和检测容易等优点。星型的结构化物理布线,可通过在配线室内的跳线灵活变换,可方便改变布线系统拓扑结构,根据实际可将系统改造为总线型(如Ethernet/IEEE802.3)、环型(IEEE802.5/TOKEN-RING,X3T9.5 TPDDI/FDDI)或混合型(含有环、总线等形式)等不同拓扑结构。
4.结束语
校园网的建设是推进素质教育、迎接知识经济时代的需要。在跨世纪教育改革中,世界各国都在加快教育现代化的步伐,其信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。而运用现代教育技术建设校园网,营造清新的校园网络文化氛围就是从根本上落实教育的战略地位,解放教师的生产力和师生的创造力,为现代教育增添创新优势。建设一个高质量、高带宽、多服务、范围广的整体教育综合信息网络势在必行。
参考文献
[1]廖常武,汪刚,黄瑛,等.校园网组建[M].北京:清华大学出版社,2005.11.