引論:我們為您整理了13篇校園網絡論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
一、先規劃后建網。
規劃勝于一切,沒有好的規劃,校園網建設“入倍出半”。在計算機技術和信息技術迅猛發展的今天,全國各地經濟比較發達的地方絕大部分中、小學都已經先后架建起了自己的校園網絡或準備架建自己的校園網絡,但真正能充分利用好校園網絡的學校卻并不多見,問題的根源就是在于沒有很好的規劃好如何架建校園網絡。
要規范地架建校園網絡,必須清楚你需要什么樣的校園網絡,你需要校園網絡來干什么?
要架建校園網,首先我們要知道我們需要什么樣的校園網。通常學校對校園網絡的要求有以下幾種:
1、最簡單的校園網絡:包括一個微機房、一個教師電腦辦公室以及幾臺教師辦公室使用的電腦。這樣的配置基本可以應付日常的計算機課程和教師辦公、校務管理。學校也可以使用校長管理系統、教師辦公系統、學生成績管理系統、人事檔案管理系統、財務管理系統等幾個獨立的管理系統。
2、中檔配置的校園網絡:包括若干個微機房、一個網絡服務中心、每個教室配備電腦一臺、每個教師辦公室配備教師辦公電腦。這樣的配置可以滿足管理、辦公、教學、輔助教學的大部分要求。學校可以使用校長辦公系統、教師辦公系統、學生成績管理系統、人事檔案管理系統、財務管理系統、醫務所藥物管理系統、教師學生就診系統、教師備課系統、圖書館管理系統、多媒體教學資源庫系統、校園網站等。
3、高檔配置的校園網絡:包括足夠的微機房,一個大型的網絡服務中心,每個教室配備微機若干臺(甚至學生人手一臺微機),每個教師配備辦公電腦,這樣的配置可以實現所有的自動化校園管理和教育教學信息自動化。學校可以使用各種的管理系統、電子圖書館、網上學校,實現真正的網上教學。
要架建校園網絡,還要知道我們需要校園網來干什么,這樣才能根據自己的實際需要來架建適合自己的校園網絡。
利用校園網絡最基本可以做到學校管理自動化,例如:人事檔案管理、教師辦公、行政管理、學生學習、學生生活、校產管理、學生的成績、評語、獎懲記錄、身體發育的管理。如果配置允許,還可以實現校內無紙化辦公、教師電子備課系統、教師輔助教學系統、校園網頁、網上學校等。所以要架建校園網絡前必須先根據自己的需要規劃好校園網絡。
另外,架建校園網還需要適應學校的長遠發展規劃,根據具體的情況采取統一的規劃,分階段實施,逐步到位的建網原則。
必須認清形勢,了解到學校日后的發展規模、學校的發展方向、學校的發展潛力,然后根據學校的這些情況,統一規劃好校園網絡的架設。切忌一窩蜂上馬項目,應該循序漸進,規劃好架建的先后順序,再根據學校的需要,先上馬什么,然后再增加些什么內容。而且在設備的購置清單中必須考慮到計算機的更新換代和對軟件的要求等幾個方面。先是硬件到位,然后再是軟件跟進,使整個校園網的建設能有序進行,這樣才會省錢省力。
架建校園網的設備,除了考慮到日后的更新換代外,擺在首位的是學校的實際需要問題。根據學校的實際需要,確定計算機的主要配置,而且如何使用最佳的配置來實現最理想的要求而只花費最少的成本,這是每個校園網都必須考慮到的問題。這就必須要對學校的要求有一個大概的了解。
下面我們舉一個例子來探討一下架建校園網絡的規劃:
一個中型城市的完全中學擬架建自己學校的校園網,學校教室和教師辦公室相當比較集中。根據學校的需要,首先要建起兩個微機房,每個機房擁有電腦60臺,兩個機房不宜配置同樣的電腦,我認為最好一個機房配置低一點,只需要能支持一些簡單的操作、文字處理、程序編輯、互聯網沖浪等。那么每臺機器大概需要3500元左右,60臺機器也就是21萬元左右,然后加上一臺服務器以及網絡設備,大概需要22.5萬元左右。另外一個機房則需要配置高一點,除了有上述的要求外還要支持多媒體的運行以及一些圖像的處理,這樣每臺機器大概需要5500元左右,60臺機器也就是33萬元左右,另外加上一臺服務器以及網絡設備,大概需要34.5萬元左右,那么光是兩個機房的設備就花費了57萬元。
另外全校一共有六個年級三十六個班,每個班配備電腦一臺,配置與高配置機房的電腦一樣,需要大概20萬元。學校一共有辦公室10個,也配備同樣的電腦各2臺,共11萬元。學校還需要建立起一個網絡服務中心,配備服務器5臺,共5萬元。加上一批的網絡設備和辦公設備,約7萬元。
也就是說建立一個中檔配置的校園網絡光設備的購置就約花費100萬元。接下來就是選擇技術、施工力量雄厚,經驗豐富,有良好售后服務,信譽良好的廠商承包工程。施工前必須先規劃好網絡線的布局,網絡服務中心的位置,以免出現網絡設備的浪費。
工程實施前,還要找到一家技術力量雄、經驗豐富、有良好售后服務、信譽良好的公司來編寫學校的各種管理系統。這樣,一個頗具規模的校園網絡的規劃也就差不多完成了。
二、先培訓后建網。
校園網的建設,必須先進行全員培訓,即先要實現學校教師、技術人員和管理人員的全員培訓,才考慮架建網絡。如何沒有一支技術過硬手教師、技術人員和管理人員隊伍,校園網就算是架設好了,也會由于使用人員水平問題而不能正常運行或發揮最佳的運行效果。而且還要由于使用人員和管理人員的誤操作而導致網絡癱瘓,引致的損失無法估量。
所以當規劃好校園網,找到了合適的硬件廠商和軟件公司后,立即要著手做的就是對全校教師和管理系統使用者進行全員培訓。教師和管理系統使用者的全員培訓可以分成幾個部分。
1、全體教師的培訓。教師的培訓主要著眼于幾個方面:第一,對電腦操作的熟悉及常用軟件的使用;第二,教師辦公系統的使用;第三,教師電子備課系統的使用;第四,多媒體輔助教學軟件的使用;第五,國際互聯網的使用;第六,計算機系統的安裝和常用軟件的安裝;第七,常見的軟、硬件故障的解決方法。2、管理系統使用者的培訓。管理系統使用者的培訓主要著眼于幾個方面:第一,對電腦操作的熟悉及常用軟件的使用;第二,相應的管理系統的使用,第三,國際互聯網的使用;第四,計算機系統的安裝和常用軟件的安裝;第五,常見的軟、硬件故障的解決方法。
3、網絡管理員的培訓。網絡管理員可以說是最重要的人,整個校園網絡能否正常運行就取決于這個管理員的水平。學校最好是聘請有經驗的專職人員來從事這一項工作,如果聘請不到專職人員的話,也可以聘請一位對電腦熟悉的教師來擔任,網絡管理員的培訓主要著眼于幾個方面:第一,服務器的安裝和維護;第二,服務器操作系統的使用;第三,服務器操作系統的安裝和維護;第四,互聯網技術,第五,網絡安全的技術。
4、硬件維修人員的培訓。擁有一個校園網絡,不可能長期依賴于硬件供應商的售后服務,學校必須擁有一到兩個硬件的維修人員來維護學校的網絡和硬件以及辦公設備。硬件維修人員應該參預到學校的整個網絡鋪建的工作中,熟悉全校的網絡線路的布局。硬件維修人員的培訓主要著眼于幾個方面:第一,網絡的架設技術;第二,微機的安裝和保養;第三,微機故障的處理和維修;第四,網絡故障的處理和維修。
5、軟件維護人員的培訓。擁有一個校園網絡的管理系統,也不可能長期依賴于軟件公司的售后服務,學校必須擁有一到兩個軟件的維護人員來維護學校管理系統的正常運作。軟件維護人員應該參預到學校的管理系統的開發中,熟悉學校管理系統的結構和原理。軟件維護人員的培訓主要著眼于幾個方面:第一,數據庫的技術;第二,軟件開發平臺軟件的技術;第三,系統設計的原理;第四,系統故障的處理和維護。
以上五種人員的培訓工作都必須走在學校架建校園網絡的前面,尤其是第四、第五種人員。而上述的五種人員中,教師的培訓主要由學校自己找合適的人士來培訓;第二、三、五種人員則應該由為學校編寫管理系統的軟件公司負責培訓;第四種人員則應該由為學校鋪設校園網絡的廠商負責培訓。
只有上述五種人員配備好,培訓好,校園網絡建成后才能馬上投入使用,并發揮其最大的效用,否則,就像前面說的一樣,由于網絡及管理系統使用人員的水平問題而導致不可估量的損失。
三、先建庫后建網。
要建立校園管理系統,必須先要建立校園的檔案庫;要建立學生管理系統,必須先要建立學生檔案庫;要建立教師電子備課系統,必須先建立多媒體教學資源庫。所以說,要建立校園網絡,必須先建立好校園數據庫。校園數據庫內容包括很多很多的內容,但總的來說,我們都稱之為教育教學資源。也就是要建立好校園網絡,必須先建立起學校的教育教學資源庫。
教育教學資源庫包括的內容有:人事檔案庫、財務檔案庫、文件檔案庫、教學信息庫、教育信息庫、多媒體信息庫等。
人事檔案庫包括:教師檔案庫、職工檔案庫、學生檔案庫。教師檔案庫中包括了教師的一些基本個人資料、教師在學校的歷任和現任職務、教師在學校期間的考核資料、教師在學校期間的獎懲情況等。學生檔案庫中包括學生的成績、評語、獎懲、身體發育狀況等。
財務檔案庫包括:校產檔案庫、工資檔案庫、收支檔案庫。校產檔案庫中包括了常規教學設備資料、電腦電教設備資料、圖書資料、水電維修和木工資料、環境保護資料。
文件檔案庫包括:政府下達文件庫、學校下發文件庫、學校各種獲獎文獻庫、學校的各種計劃和總結文件庫。
教學信息庫包括:各學科教案庫、各學科試題庫、各學科升中/升大資料庫、教學改革信息庫、教學研究信息庫。教案庫中包括了各學科教師對每一節新授課、復習課的教案,以便日后教學總結及提高教學能力之用。試題庫中包括了各種難度、各階段的練習、測試、考查的試題,而且是每一題試題都已經經過分析并得出其難度的題目,以便從題庫找出相應的題目組成一份試題。
教育信息庫包括:學生基本檔案庫(也就是學生的人事檔案庫)、后進生改變檔案庫、教師與學生談話記錄檔案庫、教育活動檔案庫、教育信息檔案庫。其中教育活動檔案庫包括了每次教育活動的計劃、總結、效果的記錄,教育信息檔案庫包括了教育文摘庫、教育改革信息庫。
多媒體信息庫:包括了聲音素材庫、圖像素材庫、影視素材庫。多媒體信息庫是為了教學服務,教師電子備課系統、輔助教學系統、學生學習系統都必須使用到這一類的信息。
只有把這部分信息庫都建好或者規劃好,校園網建起來才會很好的運轉起來。如果這部分信息庫沒有建好,那么校園網建好后也只是一個空殼,空有外表,內在運作不起來,校園網沒有充分利用起來,資金投入了沒有好的收獲。
篇2
知識管理是指以系統的方法發現、選擇、組織、摘取信息,并向需要知識的人傳遞有用的信息。它包括了對顯性知識和隱性知識的管理,其基本內涵是創新、反應能力和效率。對于顯性知識,高校可通過通常的信息管理手段進行搜集和整理,但對于隱性知識,高校就只能運用知識管理手段來獲得和充分利用。知識管理是在知識經濟時代高校對知識這一戰略資源進行爭奪和有效利用的一種手段,是實現顯性、隱性知識共享而提供的一條途徑,其目標是充分挖掘高校教師的隱性知識,同時通過知識運作創造價值,因此,應把對知識的管理作為高校管理活動的焦點,通過完善的知識管理來實現高校建設的系統化、協作化,提高自身研究和開發的能力,加速多門類學科體系邊緣知識的開發、認識和研究進程,省研發的時間、人力和經費。知識管理的應用將會對中國高校的管理產生深遠的影響。
高校知識管理的任務是將高校中的顯性知識通過一定的方式組織起來,利用信息技術進行存儲與管理,它要求把信息、活動、人三者有機地聯系起來,在人際系統的互動過程中實現知識的共享和創新。信息基礎建設是高校實施知識管理的先決條件,也是構造知識交流網絡的要求,因此必須建設一個遍布校園各個角落的多媒體網絡平臺,將其作為溝通組織內部各個部門的橋梁,并為教師和學生提供便利而有效地獲取信息的手段。
1目前高校校園網平臺建設的現狀
1.1缺乏統一接口和標準
全校的信息化建設得不到統一的規劃,各院、系、職能部門在信息化建設方面各自為戰。在全校范圍內人為地形成了一個個的信息孤島,不但導致了校內大量的低水平重復建設,資金浪費嚴重。還給教學、科研帶來了極大的麻煩。
1.2缺乏深層次的增值服務
高校信息化建設是基于高質量的校園網絡,但僅依靠傳統的www,丌,E—mail。BBS和電子教室等服務遠遠不能滿足信息化建設的要求,短信平臺、消息中心、招生就業數據倉庫、知識庫、評估系統籌增值服務的作用越來越重要,但卻沒有充分實現。
1.3重硬件而輕軟件
在高校信息化建設過程中,這種趨勢表現得非常明顯,硬件投資大,軟件投資小,網絡利用率低,教師、學生、管理方面的許多資源沒有及時整合,信息服務力度大。
1.4領導方向不明
雖然各高校均成立了信息化工作領導小組,但往往對信息化建設的進度和規模估計不足,對如何充分利用校園網,實現虛擬大學、無紙化辦公、管理決策智能化等缺乏足夠的思想準備和成熟的方案,致使信息化建設發展到一定階段后無所適從,甚至停滯不前。
2基于知識管理的高校校園網絡平臺的基本功能設計
2.1動態信息與管理
信息數據庫的建立,包括學校基本信息、新聞、產品等;信息類別的增加、修改、刪除,可根據需要創建多級目錄或類別;根據信息性質設定瀏覽用戶類別;文字、圖片信息、編輯、刪除;附加文檔(PDF,WORD,XLS,PPT等格式)的與刪除;信息應州(瀏覽、授權瀏覽、下載)類別的確定;信息頁面集成BBS系統,網站戶可針對當前頁信息發表評論和查看評論;集成搜索引擎系統。
2.2集成的文檔管理
文檔:在特定的文件版本前,用戶可以制作多份草稿,而使朋者只能在信息門戶上查找或是檢閱已的文件。
文檔審核:系統允許作者在文件時,自動將文件轉給一個以上的人員進行檢閱,審核者具有審核或拒絕文件的權限。如果有文件需要檢閱,審核者便會收到電子郵件通知。
文檔版本控制:系統將記錄文件的歷史,可幫助用戶追蹤文件的變更,并可為文檔分配不同的版本號,以便以后的審閱和回復工作。文檔協作:用戶可以使用Office和HTML文檔中的討論特性實現內嵌式內容審閱,同時文件作者和瀏覽者也可以通過Web文件討論溝通意見,而無需通過電子郵件討論文件。
文檔生存周期管理:用戶可通過可選的審批路由特性創建私有的草稿,對其進行審閱和修訂,然后再該文檔,并對文檔生命周期進行限定。
2.3信息搜索
搜索中心是知識管理系統的一個重要組成模塊,它根據操作者的權限,對整個系統的所有文件資料進行集中搜索,用戶可以在搜索中心找到系統中允許其搜索的全部信息。
個性化門戶設計:提供每個不同的用戶以個性化的用戶人口,讓每個用戶都可以方便地看到跟自己有關的信息,如需審批的文件、已審批的文件等,將知識的沉淀和積累與員工的正常工作結合在一起。定制高校管理工作流程:系統允許客戶依據自身需求及組織體系結構,設計適當的流程,并可通過流程進行文檔跟蹤與控制。系統提供的工作流引擎可容納復雜的組織體系結構與角色定義,更可負荷大量的用戶需求,讓系統運行順暢。
2.4師生互動和知識交流
師生互動和知識交流是知識管理系統為所有教師與學生提供的一個交流思想、發表意見、將知識共享的一個重要通道。它由一個在線調查、論壇信息反饋等系統組成,通過師生互動和知識交流可以收集一些非正式的知識,然后通過篩選,把這些零散的知識凝聚成重要的共享知識,同時為決策和判斷提供理論依據。
3基于知識管理的高校校園網絡平臺的體系結構
3.1界面層
界面層整合各個獨立的平臺,優化系統內容,負責知識管理系統巾信息的輸人和輸出。它把人和信息技術的基礎措施連接起來.并使員工創造、表達、使用、檢索并共享知識,是知識管理架構中的最高層。在很大程度上,它是唯一能與最終用戶直接交互的層面。
3.2訪問與身份驗證層
這一層的主要作用是對合法用戶進行身份驗證,并負責下面幾層的安全以及訪問權限的控制。下面幾點是必須引起注意的:
(1)訪問權限:對不同的用戶應授予不同層次的數據訪問權限,比如只讀、可寫、可編輯和可刪除。
(2)防火墻:在內聯網與互聯網之間構建防火墻,并通過模擬攻擊來測試防火墻的可靠性。
(3)備份:進行系統復制,建立緩沖區域。對信息進行復制的目的是為了在遇到災難性的打擊時能夠迅速地恢復,重建數據。通過網絡來進行備份非常劃算,并且也非常安全。
3.3協同過濾與智能層
這一層構成了知識管理系統的智能處理巾心。為知識元素(稱為可付諸行動的信息單元)增加標志和元標志.智能可能是在各種各樣的web應用巾最能產生人工智能的工具。
3.4應用層
應用層的工具使得信息能夠集成,這些信息包括隱性的信息源和顯性的知識源,有助于倉建和共享語境,以便于做出判斷,例如:頭腦風暴會議、問題求解、思想產生和戰略計劃會議。
3.5傳輸層
這一層至少包括以下這些組件來支持知識管理網絡平臺;貫穿整個組織的TCP/IP網絡;I臺總是在線的互聯網服務器;1臺POP3/SMTP或郵件服務器;可以支持遠程通信、反問和連接的虛擬個人網絡設置。
3.6中間件與集成層
集成層是將遺產數據和現有的新系統進行整合的一層。中間件層的功能是實現新舊數據格式之問的轉換,一般通過web前臺來實現的。
3.7存儲庫層
篇3
1.2完整性
網絡系統的完整性是指網絡信息在傳輸過程中不能因為任何原因,發生網絡信摻入、重放、偽造、修改、刪除等破壞現象[1],影響網絡信息的完整性。通過信息攻擊、網絡病毒、人為攻擊、誤碼、設備故障等原因都會造成網絡信息完整性的破壞。
1.3保密性
網絡系統的保密性是指網絡系統要保證用戶信息不能發生泄露,主要體現在網絡系統的可用性和可靠性,是網絡系統安全的重要指標。保密性不同于完整性,完整性強調的是網絡信息不能被破壞,保密性是指防止網絡信息的發生泄露[2]。
1.4真實性
網絡系統的真實性是指網絡用戶對網絡系統操作的不可抵賴性,任何用戶都不能抵賴或者否定曾經對網絡系統的承諾和操作。
1.5可靠性
網絡系統的可靠性是指系統的安全穩定運行,網絡系統要在一定的時間和條件下穩定的完成網絡用戶指定的任務和功能,網絡系統的可靠性是網絡安全最基本的要求。
1.6可控性
網絡系統的可控性是指網絡系統可以控制和調整網絡信息傳播方式和傳播內容的能力,為了保障國家和廣大人民的利益,為正常的社會管理秩序,網絡系統管理者有必要對網絡信息進行適當的監督和控制,避免外地侵犯和社會犯罪,維護網絡安全。
2網絡安全技術在校園網中的應用
2.1防火墻
防火墻是指管理校園網和外界互聯網之間用戶訪問權限的軟件和硬件的組合設備[3],防火墻處于校園網和外界互聯網之間的通道中,能夠有效地阻斷來自外界的病毒和非法訪問,能夠有效地提高校園網的網絡安全。防火墻可以有效攔截來自外界的不安全的訪問服務,同時還可以對防火墻進行設置,屏蔽有危害、不健康的網絡網站,降低校園網的安全危害。另外防火墻還可以有效地監控用戶對校園網的訪問,記錄用戶的訪問記錄,保存到網絡數據庫中,可以快速統計校園網的使用情況,在分析用戶訪問記錄如果發現用戶的操作存在安全問題,防火墻可以及時發出報警信號,提醒用戶的這個非法操作,防止校園網內部信息的泄露、另外,防火墻可以和NAT技術高效地結合起來,用于隱藏校園網的網絡結構信息,提高校園網的安全系數,同時防火墻和NAT技術的高效結合很好地解決了校園網IP不足的情況,提高了校園網的運行效率。防火墻在校園網中的應用,完善了校園網內部的網絡隔斷,即使校園網發生安全問題,也可以在短時間內控制問題擴散的速度和范圍。防火墻在校園網中發揮著重要的作用,能夠有效地阻斷來自外界互聯網的安全侵害,但是防火墻不能阻止校園網內部的安全問題,不能拒絕和控制校園網內部的感染病毒。
2.2VPN技術
VPN技術在校園網的應用,通過VPN設備將校內局域網和外部的互聯網連接起來,可以提高校園網的數據安全。VPN服務器經過設置后,只有符合相應條件的用戶經過連接VPN服務器才能獲得訪問特定網絡信息的權限,拒絕校園網內用戶的危險操作。VPN技術可以實現用戶驗證,通過驗證校內網用戶的身份,只有符合條件的授權用戶才能連接到VPN服務器,進行相關訪問。其次實現校園網數據加密,VPN技術可以將通過互聯網通道傳輸的數據進行加密,只有經過授權的用戶才能訪問這些信息。再次實現校園網密鑰管理,通過生成校園網和互聯網的基本協議,提高校園網的可靠性。并且VPN技術在校園網中的應用不需要安裝VPN的客戶端設備,降低了校園網安全管理的成本。通過VPN技術,校園網絡管理員可以對校園網內用戶的操作進行實時監控,及時發現校園網絡故障點,進行遠程維護,提高校園網維護管理能力。
2.3入侵檢測技術
入侵檢測技術在校園網中的應用,可以檢測校園網絡中一些不安全的網絡操作行為,一旦檢測到網絡系統中的一些異常現象和未授權的網絡操作,就會發出網絡報警信號。入侵檢測技術可以自動分析校園網絡的用戶活動,檢測出校園網中授權用戶的非法使用和未授權用戶的越權使用[4]。入侵檢測技術還可以監控校園網絡系統的配置情況,檢測出系統安全漏洞,提醒校園網絡管理人員及時進行維護。另外,入侵檢測技術在識別網絡攻擊和網絡威脅方面具有重要的作用,可以及時發出報警信號,并且拒絕和處理網絡攻擊入侵行為,結合發現的網絡攻擊模式,檢測校園網系統結構是否存在安全漏洞,提高校園網的數據完整性,進行系統評估。
2.4訪問控制技術
訪問控制技術主要是用來控制校園網用戶的非法訪問和非法操作,用戶想要進入校園網,首先要通過訪問控制,經過驗證識別用用戶口令、戶名、密碼等,確定該用戶是否具有訪問校園網的權限,當用戶進入校園網后,就會賦予用戶訪問操作權限,使校園網絡資源不會被未授權用戶非法使用和非法訪問。
2.5網絡數據恢復和備份技術
校園網中的網絡數據恢復和備份技術,可以防止校園網信息數據丟失,保護校園網重要信息資源。網絡數據恢復和備份技術可以實現集中式的網絡信息資源管理,對整個校園網系統中的信息資源進行備份管理,可以極大地提高校園網管理員的工作效率,實現網絡資源的統一管理,利用網絡備份設備實時監控校園網絡中的備份作業,結合校園網的運行情況,及時修改網絡備份策略[5],提高系統備份效率。校園網管理員可以利用網絡數據恢復和備份技術,定時對網絡數據庫中的數據進行備份,這是網絡管理重要環節。校園網的備份系統可以在用戶進行校園網訪問時,建立在線網絡索引,當用戶需要恢復網絡信息時,通過在線網絡索引中的備份系統就可以自動恢復網絡數據文件。網絡數據恢復和備份技術實現了校園網絡的歸檔管理,通過時間定期和項目管理對網絡信息數據進行歸檔管理,在網絡環境建立統一的數據備份和儲存格式,使所有網絡信息數據在統一格式中完成長時間的保存[6]。
2.6災難恢復技術
校園網中的災難恢復主要包括兩類:個別數據文件的恢復和所有信息數據的恢復。當校園網中的個別數據文件恢復可以利用網絡中備份系統完成個別受損數據文件的恢復,校園網絡管理員可以瀏覽目錄或者數據庫,觸動受損數據文件的恢復功能,系統會自動加載存儲軟件,恢復受損文件。所有信息數據的恢復主要應用在當發生意外災難時導致整個校園網系統重組、系統升級、系統崩潰和信息數據丟失等情況。
篇4
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技
術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
摘要:隨著“校校通”工程的深入實施,校園網作為學校重要的基礎設施,擔負著學校教學、教研、管理和對外交流等許多重要任務。校園網的安全問題,直接影響著學校的教學活動。文章結合十幾年來校園網絡使用安全及防范措施等方面的經驗,對如何加強校園網絡安全作了分析和探討。
關鍵詞:校園網;網絡安全;防范措施;防火墻;VLAN技術
校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件,將校園內計算機和各種終端設備有機地集成在一起,用于教學、科研、管理、資源共享等方面的局域網絡系統。校園網絡安全是指學校網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然和惡意等因素而遭到破壞、更改、泄密,保障校園網的正常運行。隨著“校校通”工程的深入實施,學校教育信息化、校園網絡化已經成為網絡時代的教育的發展方向。目前校園網絡內存在很大的安全隱患,建立一套切實可行的校園網絡防范措施,已成為校園網絡建設中面臨和亟待解決的重要問題。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
篇5
(一)校園網絡建設規模與實際需求不匹配
中職校園網絡建設規模與中職院校的實際需求之間的差距主要表現在兩個方面:一是中職校園網絡的建設規模較小,實際需求增長的速度比較快。二是中職校園網絡的建設規模較大,實際需求較小,導致購進的設備閑置。前者造成的結果是網絡資源的緊缺,后者造成的后果是網絡資源的浪費,這都不利于中職院校自身的發展。
(二)校園網絡建設的資金有限
中職校園網絡建設的的資金有限主要是因為院校的思路不活,沒有考慮到從多渠道籌集資金。建設校園網絡,首先就要自籌資金;其次就要以網養網,因為有投入就有產出;最后,中職院校要努力爭取當地政府和社會的支持。
(三)國家和中職院校對校園網絡建設的重視程度不一
國家對中職院校校園網絡的重視主要表現在地方政府對中職院校校園網絡的重視之上,地方政府對中職院校校園網絡建設程度更多取決于本地區中職院校的數量,通常情況下,中職院校數量越多,政府的重視程度也就越高。這里所說的重視程度不一主要是指不同地方政府對中職院校網絡建設的重視程度不同,而各大中職院校對校園網絡建設的重視程度也是有所不同的。
三、加強中職校園網絡建設的對策
(一)促進全國中職院校校園網絡一體化
針對目前很多中職院校都自主建設校園網絡,而且發展速度很快,在這種情況下,國家教育行政部門應全面研究中職校園網絡的建設,力求將全國中職院校的校園網絡整合成為一個相互聯系的整體,讓各個中職院校之間的聯系更加緊密,真正實現各種教育資源的共享,解決中職院校各自為政的問題,使得我國中職院校的教育跟上時展的潮流。
(二)加強建設中職院校的內外部信息資源
中職院校的校園網的內部信息資源主要有內部網站、電子圖書館、網上管理系統、網上辦公系統等等,新一代的校園網不僅要具有以上功能,還要具有遠程教育系統、網絡多媒體教學系統、網絡資源庫、辦公自動化管理系統等等,以適應新時展的潮流和師生的需求。中職院校的外部信息資源主要有對外的學校網站、internet訪問、電子郵件系統等等,新一代的校園網除了要具有以上的服務功能和交流功能,還應該具備可共享的數字圖書館、滿足新時代學生需求的校園電子商務、本著優勢互補、互惠互利為原則的跨校選課等功能。
(三)中職院校從多渠道引進校園網絡投資
中職院校進行校園網絡建設需要大量的資金,籌集集資需要院校領導拓寬思路,從多種渠道籌集資金。首先,中職院校領導要自籌資金,將用于學校建設的資金分出一部分作為校園網絡建設的資金;其次,院校領導要積極爭取當地政府資金中用于信息化建設的資金的一部分;第三,中職院校領導要與社會合作,以互惠互利的原則積極吸引民間投資,讓民間團體與本院校共同發展、共同獲利。因為民間投資是一個“潛力股”;最后,中職院校要有以網養網的意識,可以在校園網絡上將教學網和商業網融合在一起,這也是新一代校園網的發展趨勢,是一種混合型網絡。也就是說,將學區內的校園網作為教學網,為教工區和學生宿舍區提供相應的需求服務,也就是所謂的商業網。教學網與商業網的不同之處就是教學網是免費的,而商業網是付費的,這需要中職院校具備性價比比較高的網絡運行設備。
(四)政府應重視中職校園網絡建設
中職院校校園網的建設離不開政府的大力支持,這種支持既包括精神上的理解和支持,還包括資金上的支持。中職院校校園網絡的建設不僅對院校本身的發展和學生的發展具有重要的促進作用,而且還間接促進當地經濟、文化等方面的發展。所以,政府要從資金和精神兩個方面支持中職院校校園網絡的建設。
篇6
一、校園網絡安全現狀分析
(一)網絡安全設施配備不夠
學校在建立自己的內網時,由于意識薄弱與經費投入不足等方面的原因,比如將原有的單機互聯,使用原有的網絡設施;校園網絡的各種硬件設備以及保存數據的光盤等都有可能因為自然因素的損害而導致數據的丟失、泄露或網絡中斷;機房設計不合理,溫度、濕度不適應以及無抗靜電、抗磁干擾等設施;網絡安全方面的投入嚴重不足,沒有系統的網絡安全設施配備等等;以上情況都使得校園網絡基本處在一個開放的狀態,沒有有效的安全預警手段和防范措施。
(二)學校校園網絡上的用戶網絡信息安全意識淡薄、管理制度不完善
學校師生對網絡安全知識甚少,安全意識淡薄,U盤、移動硬盤、手機等存貯介質隨意使用;學校網絡管理人員缺乏必要的專業知識,不能安全地配置和管理網絡;學校機房的登記管理制度不健全,允許不應進入的人進入機房;學校師生上網身份無法唯一識別,不能有效的規范和約束師生的非法訪問行為;缺乏統一的網絡出口、網絡管理軟件和網絡監控、日志系統,使學校的網絡管理混亂;缺乏校園師生上網的有效監控和日志;計算機安裝還原卡或使用還原軟件,關機后啟動即恢復到初始狀態,這些導致校園網形成很大的安全漏洞。
(三)學校校園網中各主機和各終端所使用的操作系統和應用軟件均不可避免地存在各種安全“漏洞”或“后門”
大部分的黑客入侵網絡事件就是由系統的“漏洞”及“后門”所造成的。網絡中所使用的網管設備和軟件絕大多數是舶來品,加上系統管理員以及終端用戶在系統設置時可能存在各種不合理操作,在網絡上運行時,這些網絡系統和接口都相應增加網絡的不安全因素。
(四)計算機病毒、網絡病毒泛濫,造成網絡性能急劇下降,重要數據丟失
網絡病毒是指病毒突破網絡的安全性,傳播到網絡服務器,進而在整個網絡上感染,危害極大。感染計算機病毒、蠕蟲和木馬程序是最突出的網絡安全情況,遭到端口掃描、黑客攻擊、網頁篡改或垃圾郵件次之。校園網中教師和學生對文件下載、電子郵件、QQ聊天的廣泛使用,使得校園網內病毒泛濫。計算機病毒是一種人為編制的程序,它具有傳染性、隱蔽性、激發性、復制性、破壞性等特點。它的破壞性是巨大的,一旦學校網絡中的一臺電腦感染上病毒,就很可能在短短幾分鐘中內使病毒蔓延到整個校園網絡,只要網絡中有幾臺電腦中毒,就會堵塞出口,導致網絡的“拒絕服務”,嚴重時會造成網絡癱瘓。《參考消息》1989年8月2日刊登的一則評論,列出了下個世紀的國際恐怖活動將采用五種新式武器和手段,計算機病毒名列第二,這給未來的信息系統投上了一層陰影。從近期的“熊貓燒香”、“灰鴿子”、“仇英”、“艾妮”等網絡病毒的爆發中可以看出,網絡病毒的防范任務越來越嚴峻。
綜上所述,學校校園網絡的安全形勢非常嚴峻,在這種情況下,學校如何能夠保證網絡的安全運行,同時又能提供豐富的網絡資源,保障辦公、教學以及學生上網的多種需求成為了一個難題。根據校園網絡面臨的安全問題,文章提出以下校園網絡安全防范措施。
二、校園網絡的主要防范措施
(一)服務器
學校在建校園網絡之時配置一臺服務器,它是校園網和互聯網之間的中介,在服務器上執行服務的軟件應用程序,對服務器進行一些必要的設置。校園網內用戶訪問Internet都是通過服務器,服務器會檢查用戶的訪問請求是否符合規定,才會到被用戶訪問的站點取回所需信息再轉發給用戶。這樣,既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,外部網絡只能看到該服務器而無法獲知內部網絡上的任何計算機信息,整個校園網絡只有服務器是可見的,從而大大增強了校園網絡的安全性。
(二)防火墻
防火墻系統是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術產品,是一種使用較早的、也是目前使用較廣泛的網絡安全防范產品之一。它是軟件或硬件設備的組合,通常被用來進行網絡安全邊界的防護。防火墻通過控制和檢測網絡之中的信息交換和訪問行為來實現對網絡安全的有效管理,在網絡間建立一個安全網關,對網絡數據進行過濾(允許/拒絕),控制數據包的進出,封堵某些禁止行為,提供網絡使用狀況(網絡數據的實時/事后分析及處理,網絡數據流動情況的監控分析,通過日志分析,獲取時間、地址、協議和流量,網絡是否受到監視和攻擊),對網絡攻擊行為進行檢測和告警等等,最大限度地防止惡意或非法訪問存取,有效的阻止破壞者對計算機系統的破壞,可以最大限度地保證校園網應用服務系統的安全工作。
(三)防治網絡病毒
校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系,建立一整套網絡軟件及硬件的維護制度,定期對各工作站進行維護,對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作,學校應在網內有可能感染和傳播病毒的地方采用相應的防病毒手段,在服務器和各辦公室、工作站上安裝瑞星殺毒軟件網絡版,對病毒進行定時的掃描檢測及漏洞修復,定時升級文件并查毒殺毒,使整個校園網絡有防病毒能力。
(四)口令加密和訪問控制
校園網絡管理員通過對校園師生用戶設置用戶名和口令加密驗證,加強對網絡的監控以及對用戶的管理。網管理員要對校園網內部網絡設備路由器、交換機、防火墻、服務器的配置均設有口令加密保護,賦予用戶一定的訪問存取權限、口令字等安全保密措施,用戶只能在其權限內進行操作,合理設置網絡共享文件,對各工作站的網絡軟件文件屬性可采取隱含、只讀等加密措施,建立嚴格的網絡安全日志和審查系統,建立詳細的用戶信息數據庫、網絡主機登錄日志、交換機及路由器日志、網絡服務器日志、內部用戶非法活動日志等,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(五)VLAN(虛擬局域網)技術
VLAN(虛擬局域網)技術,是指在交換局域網的基礎上,采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。根據實際需要劃分出多個安全等級不同的網絡分段。學校要將不同類型的用戶劃分在不同的VLAN中,將校園網絡劃分成幾個子網。將用戶限制在其所在的VLAN里,防止各用戶之間隨意訪問資源。各個子網間通過路由器、交換機、網關或防火墻等設備進行連接,網絡管理員借助VLAN技術管理整個網絡,通過設置命令,對每個子網進行單獨管理,根據特定需要隔離故障,阻止非法用戶非法訪問,防止網絡病毒、木馬程序,從而在整個網絡環境下,計算機能安全運行。
(六)系統備份和數據備份
雖然有各種防范手段,但仍會有突發事件給網絡系統帶來不可預知的災難,對網絡系統軟件應該有專人管理,定期做好服務器系統、網絡通信系統、應用軟件及各種資料數據的數據備份工作,并建立網絡資源表和網絡設備檔案,對網上各工作站的資源分配情況、故障情況、維修記錄分別記錄在網絡資源表和網絡設備檔案上。這些都是保證網絡系統正常運行的重要手段。
(七)入侵檢測系統(IntrusionDetectionSystem,IDS)
IDS是一種網絡安全系統,是對防火墻有益的補充。當有敵人或者惡意用戶試圖通過Internet進入網絡甚至計算機系統時,IDS能檢測和發現入侵行為并報警,通知網絡采取措施響應。即使被入侵攻擊,IDS收集入侵攻擊的相關信息,記錄事件,自動阻斷通信連接,重置路由器、防火墻,同時及時發現并提出解決方案,列出可參考的網絡和系統中易被黑客利用的薄弱環節,增強系統的防范能力,避免系統再次受到入侵。入侵檢測系統作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,大大提高了網絡的安全性。
(八)增強網絡安全意識、健全學校統一規范管理制度
根據學校實際情況,對師生進行網絡安全防范意識教育,使他們具備基本的網絡安全知識。制定相關的網絡安全管理制度(網絡操作使用規程、人員出入機房管理制度、工作人員操作規程和保密制度等)。安排專人負責校園網絡的安全保護管理工作,對學校專業技術人員定期進行安全教育和培訓,提高工作人員的網絡安全的警惕性和自覺性,并安排專業技術人員定期對校園網進行維護。
三、結論
校園網的安全問題是一個較為復雜的系統工程,長期以來,從病毒、黑客與防范措施的發展來看,總是“道高一尺,魔高一丈”,沒有絕對安全的網絡系統,只有通過綜合運用多項措施,加強管理,建立一套真正適合校園網絡的安全體系,提高校園網絡的安全防范能力。
參考文獻:
1、王文壽,王珂.網管員必備寶典——網絡安全[M].清華大學出版社,2006.
2、張公忠.現代網絡技術教程[M].清華大學出版社,2004.
3、劉清山.網絡安全措施[M].電子工業出版社,2000.
4、謝希仁.計算機網絡[M].大連理工大學出版社,2000.
5、張冬梅.網絡信息安全的威脅與防范[J].湖南財經高等專科學校學報,2002(8).
篇7
校園網面向的用戶決定了校園網必須具備很強的實用性。只有一個便于管理、維護的實用性網絡,才可減少網絡用戶運用網絡的難度,從而降低人為操作引起的網絡故障,并可使更多的人發揮校園網的各種功能。根據該校的實際情況,建網時應考慮充分利用智能化校園網系統的功能,在先進性和可靠性及高性價比的前提下,通過優化設計和管理達到經濟性的目標。不降低智能化校園網系統的功能與技術先進性,以滿足信息時代的需要。
3校園網絡管理策略
隨著計算機多媒體和網絡技術的不斷發展與普及,,校園網的穩定安全和網絡瓶頸等問題給校園網的管理增添了更大的難度。因此,必須有一套系統地分析和管理校園網的思路與對策。以下將從該校校園網的具體需求出發,針對設備、用戶、管理者自身提高以及安全等四個方面談一下相關的校園網管理策略。
3.1設備管理策略
設備安全是校園網網絡運行安全的首要環節。所以,網絡設備管理一定要綜合統籌規劃。要加強網絡管理員對網絡設備的管理,而網絡設備是整個網絡管理中的重點,以下就從設備購置、設備配置以及設備維護三個方面進行說明。首先在設備購置的時候,一定要利用目前成熟的技術和產品,并在此基礎上考慮超前性,保證在五至十年內所建成的網絡能滿足進一步的需求并且不會落后于時代。為了使設備能進行靈活配置并且能降低以后的維護工作量和維護費用,盡量統一配置設備的規格和型號,這樣設備之間的兼容性相對較好,以后在更換設備的時候,可以避免設備不兼容的現象發生。在設備購置時還要考慮如何避免大面積出現老化的問題,這就要求學校在采購或更換網絡設備的時候一定要避免一次性購買大量同種設備。其次在設備配置過程中要求網絡管理員通過配置網絡設備,例如:交換機、路由器等,在校園網中實現VLAN的劃分、端口監控、控制網絡流量以及防止外部攻擊等功能。另外,管理員在配置網絡設備的過程中盡量通過命令行來進行配置而不是通過WEB界面來管理網絡設備,這樣能提高網絡設備管理的安全性。最后在設備的維護過程中,要建立一套完善的《網絡設備檢測維護制度》,并要求網絡管理人員嚴格按照《網絡設備檢測維護制度》定期對網絡設備的硬件和軟件系統進行檢測和維護,在檢測和維護過程員一旦發現問題,一定要及時處理,并將檢測、維護及處理的相關記錄通過紙質和電子存檔,同時要嚴格保證網絡設備運行的工作環境。
3.2用戶管理策略
在網絡管理中,要注重對用戶的管理,通過用戶管理可以規定用戶使用校園網的方式,控制和統計用戶使用校園網的過程,確保用戶能正常使用校園網。目前,用戶管理主要有兩種技術:一是地址綁定技術,通過給每臺接入校園網的計算機分配一個固定的IP地址,把這個IP地址和合法用戶的計算機網卡的MAC地址綁定后,實現用戶與IP地址邏輯綁定,同時通過網絡交換機端口與用戶信息點的物理綁定完成全法用戶的地址綁定。二是用戶認證技術,每個校園網用戶需要申請一個帳號,同時對這些帳號進行分級分權限管理,并授予用戶一定的訪問與操作權限、分配不同級別的資源給不同的用戶;當用戶離崗、離職時應及時變更或刪除用戶及權限,保證網絡信息系統安全。做為校園網管理,考慮到其的靈活性和方便性,建議最好采用用戶認證技術,當然對一些特殊的人員和部門也可以采用地址綁定技術。
3.3安全管理策略
校園網的安全威脅既有來自校內的,也有來自校外的。目前校園網的安全問題有其歷史原因:在以前的網絡時期,一方面因為意識與資金方面的原因,以及對技術的偏好和運營意識的不足,普通存在“重技術、輕安全、輕管理”的傾向,常常只是在內部網和互聯網之間放一個硬件防墻就萬事大吉,有些學校甚至直接連接互聯網,這就給病毒、黑客提供了充分施展身手的空間。所以對于校園網來說,如何構筑一個相對安全可靠的校園網絡安全體系,也變得越來越突出了,而要構筑一個相對安全可靠的校園網絡體系,要從兩個方面著手:一是采用先進的技術手段;二是不斷改進和完善管理方法。
3.4管理員自身提升策略
不斷提升網絡管理人員的能力是網絡管理的根本之道,現在的網絡管理對管理員也提出了新的要求,要求他們不但要設備的維護能力還要具備一定網絡管理能力,這就對網絡管理員的技術水平有了較高的要求。另外,由于計算機網絡技術的更新日新月異,網絡管理員要不斷地學習先進的知識和技術才能應對越來越復雜的校園網需求。這就要求管理員在平時工作的過程中一定要加強自身專業水平的提升,不斷研究新的網絡技術,真正做到“活到老,學到老”。最后,學校也要定期派相關的管理人員進行有針對性的培訓。
4網絡管理具體實施措施
4.1安裝查殺病毒服務器
校園網絡安裝查殺病毒服務器,其目的在于:要在整個局域網內杜絕病毒的感染、傳播和發作。為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。該校目前采用的是金山毒霸網絡版7.0,該軟件采用了業界主流的B/S開發模式,由控管中心、服務器端和客戶機端三個相互關聯的子系統組成了防病毒體系,并且具有強大的病毒查殺能力、雙向過濾郵件病毒、實時監測病毒、快速可定制的安裝部署、可移動的Web管理平臺等功能,能夠有效攔截和清除泛濫的各種網絡病毒。目前該殺毒軟件已在該校園使用了近三年時間了,教師和學生對該軟件的反映都比較好。
4.2采用VLAN技術
VLAN技術是在局域網內將工作站邏輯的劃分成多個網段,從而實現虛擬工作組的技術。VLAN技術根據不同的應用業務以及不同的安全級別,將網絡分段并進行隔離,實現相互間的訪問控制,可以達到限制用戶非法訪問的目的。劃分VLAN后,由于廣播域的縮小,網絡中廣播包所消耗的帶寬減少,有助于控制廣播風暴的產生、減少設備投資、簡化網絡管理、提高網絡的性能和安全性。該校目前的VLAN的劃分大致是按功能區進行劃分的,學校共劃分了15個VLAN,并對每一個VLAN的流量進行了控制。該校在進行VLAN劃分的時候采用的是基于端口劃分的VLAN。這種劃分VLAN的方法是根據以太網交換機的交換端口來劃分的,它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC(永久虛電路)端口分成若干個組,每個組構成一個虛擬網,相當于一個獨立的VLAN交換機。
4.3安裝硬件防火墻
互聯網攻擊者威脅著校園網絡中基礎設施和數據資源的安全。而多數網絡地址必須轉換成可在互聯網上路由的地址,防火墻即是執行此功能的邏輯地點。目前,防火墻安全性已成為每個互聯網邊緣部署的必要組成部分,因為它在保護信息的同時也可滿足企業對安全可靠的網絡的需求,同時還能夠通過執行策略來保持員工的工作效率。目前該校校園網使用的是CiscoASA5525-X防火墻,該防火墻設計采用了單個互聯網連接,在同一對提供防火墻功能的CiscoASA中集成了遠程接入VPN功能。防火墻拓撲圖如圖2所示。
4.4安裝入侵檢測系統
入侵檢測系統(IDS)是防火墻的合理補充,幫助系統對付網絡攻擊。它擴展了網絡管理員的安全管理能力,提高了信息安全基礎結構的完整性。目前該校網絡管理中安裝了“薩客嘶入侵檢測系統v1.0”,該系統是一種積極主動的網絡安全防護工具,提供了對內部和外部攻擊的實時保護,它通過對網絡中所有傳輸的數據進行智能分析和檢測,從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象,在網絡系統受到危害之前攔截和阻止入侵。它具有以下主要功能:入侵檢測及防御功能、行為審計功能、流量統計功能、策略自定義功能、警報響應功能、IP碎片重組、TCP狀態跟蹤及流重組等。目前該軟件在該校的網絡安全防護中發揮著重要作用。
4.5定期進行漏洞掃描
隨著軟件規模的不斷增大。系統中的安全漏洞或“后門”也不可避免地存在。因此,應采用先進的漏洞掃描系統定期對工作站、服務器等進行安全檢查,并寫出詳細的安全性分析報告,及時地將發現的安全漏洞打上“補丁”。在進行漏洞掃描是要注意兩個方面,一是定期安裝各操作系統的補丁程序,在這一點上,該校的做法是,一旦有操作系統的補丁程序更新,首先在學校中心機房的服務器上安裝,并把該補丁程序上傳到學校的FTP服務器上;然后再通過該校的OA軟件,告知教師和各實訓室的管理人員安裝最新補丁程序。另一方面,在學校中心機房的服務器上安裝漏洞掃描程序,要求網絡管理員每天都要運行漏洞掃描程序。該校現在使用的漏洞掃描程序是ShadowSecurityScannerv7.347。
4.6服務器數據備份
大家都知道,網絡中心的數據備份是非常必要和重要的,因為通過數據備份可以保障網絡中心數據的安全,防止網絡中心數據的丟失。在該校的校園絡管理中數據備份主要從以下兩個方面來進行:一是通過制定數據備份規則和程序,在該校園網絡管理中,為數據備份制定了一套詳細的備份規則和程序,具體包括了:什么時間進行備份(每隔一個星期)、什么內容需要備份(全部數據備份)、誰負責進行備份(網絡管理員)、誰可以訪問備份內容(網絡管理員以及相應有權限的人員)等等。二是通過一些技術手段,現在常用的技術手段有磁盤陣列(RAID)、硬盤保護卡以及一些數據備份軟件(Ghost)。現在中心機房主要是采用的是磁盤陣列來實現數據備份,教師機主要是通過Ghost軟件來實現數據備份,而各實訓機房的計算機是通過硬盤保護卡+Ghost軟件來實現數據備份。正是因為嚴格遵循數據備份的規則和程序,再加上靈活地利用各種先進的數據備份的技術,該校網絡中心從未出現過丟失數據的現象。
4.7用戶管理方法
為加強校園網管理,完善校園網運行和使用規范,確保校園網安全和穩定運行,為學校的教學、科研、管理、服務營造良好的校園網應用環境,維護校園網用戶的合法權益,并結合國家有關法律法規和學校相關規定,該校采用了以下用戶管理方法,主要是從用戶賬號分類和上網認證方式兩方面進行管理的。
篇8
中等職業學校校園網絡狀況大多是校內組建局域網,劃分不同的局域網網段并實現互聯互通。另外,根據各局域網使用者的實際需求將校內子網絡通過路由及相關網絡協議實現與外部網絡運營商提供的主干網,實現互聯網絡相通,實現互聯萬維網的訪問。那么,一旦與外部網絡實現互聯互通,網絡危險自然而然就相繼接踵而來。本文將中職學校校園網面臨或存在的主要安全問題歸結如下:
2.1外部網絡攻擊一些不法分子通過進行端口掃描軟件或網絡攻擊、垃圾郵件和網頁被篡改等竊取學校網絡服務器中一些重要數據。另外一些網絡愛好者出于虛榮心作祟或以試探為目的的對網絡進行攻擊,導致網絡擁堵、性能水平受限。
2.2內部網絡問題依據相關網絡管理部門的數據顯示:影響局域網絡安全的主要因素在于內部的使用者。中等職業學校的校園網內部用戶對網絡的結構和應用模式認識不深,對于專業的網絡方面知識接觸較少也比較膚淺。學生對網絡新技術的發展,充滿極大的好奇欲望,在講授計算機方面的專業課程時,學生會窮追不舍的對于病毒木馬提出一系列問題,諸如:運用病毒木馬會給制作者帶來哪些好處?當學生通過外部網絡得到答案之后,就會訪問相關“黑客”資源網站,進行小惡作劇的嘗試,進而影響網絡的正常運行。另一方面,由于某些網絡軟件、程序的大量應用,其程序本身包含了不為使用著所知的木馬程序。因此,來自校園局域網絡內部的威脅構成了危害校園網絡安全的第一因素。
2.3網絡用戶安全意識淡薄學校的教師、學生及網絡相關使用者網絡安全意識非常淡薄。在學校機房或班班通多媒體教室中隨意使用U盤、移動硬盤等外部存儲設備,導致病毒相互傳播,難以徹底查殺。另外部分機房管理人員崗位責任意識淡薄,不能安全地配置計算機和嚴格管理公共實訓機房,例如:計算機U口沒有封閉。
3校園的網絡安全管理與保障策略涉及的主要方面
3.1準確了解信息化課件資源的附加服務在校園內部的課程資源服務器等附加資源方面,讓訪問者準確地了解信息化課件資源的附加服務,提高資源質量,同時增強網絡用戶的個人電腦安全使用意識。
3.2符合公安監控安裝相關的安檢及訪問監控軟件與設備應用公安監控管理安裝相關的安檢及訪問監控軟件與設備,對流動人員的網絡使用進行控制。
3.3將風險及不安全因素隔離于校園之外應用防火墻設備設置不同安全域,保護學校內部局域網資源不被外部非授權用戶非法使用或竊取;安全數據區設置訪問控制權限,阻止內部用戶對數據的修改和濫用。局域網除了采用防火墻之外,還必須妥善的規劃其架構,擬定其安全政策,而防火墻是落實這些安全政策的必要且重要的工具之一。
3.4加強內部網絡安全
(1)局域網劃分不同網段。通過不同網段的劃分將不同類型的用戶劃分在不同的VLAN中,這樣可以使不同的使用者訪問不同的資源,避免發生網絡廣播風暴以及資源外泄情況的發生。例如:將IP廣播系統單獨劃分一個VLAN,避免其他用戶的操作干擾廣播系統的正常運行。在這里,建議中等職業學校的校園網絡布局分配以建筑樓座為單元,每一個建筑物劃分一個網段,如果條件容許的情況下,將每個職能部門劃分不同的網段,這樣就可以避免一些網絡安全問題的產生也可以對文件資源及教學數據資源進行合理的保護,避免無關人員訪問。
(2)對網絡用戶進行實名認證。采取網絡用戶與IP地址綁定的策略,一旦哪個IP地址的主機發生不安全因素,上傳不合乎規定的資源,可以快速的追蹤到其使用者,讓其停止危害校園網絡,避免更大的網絡損失。目前比較成熟的網絡接入認證方式有很多,如MAC認證、ESS等。
(3)建議選用其他一些知名的殺毒軟件作為現有殺毒軟件的補充,比如在用戶中廣受好評的卡巴斯基殺毒軟件。
(4)建立數據備份制度并嚴格執行。為防止不可預見的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。同時,應該將修改過的重要系統文件存放在不同的存儲設備上,一旦出現系統癱瘓、崩潰或遭到攻擊,要能夠通過備份信息快速、無誤地還原系統和數據。
3.5對于校園網管理員、公共實訓基地機房管理員進行足夠網絡安全教育和培訓因為他們是校園網的維護骨干中堅力量,只有他們有豐厚的安全意識及嚴謹的工作態度,我們的校園網絡才能平穩、安全的運行。
篇9
黑客入侵校園網往往是選擇網站管理比較薄弱的環節,具體可以有以下幾種侵入方式:
2.1硬件部分的切入
黑客入侵指的是一些擁有較高的計算機技術員,通過非法的方法和途徑入侵他人的網站,修改或盜取信息。獲取計算機信息的一個途徑可以通過電腦硬件來實現,例如,以計算機的傳輸線路以及端口等信息的傳輸設備為切入點,以電磁屏蔽為切入點,以電話線為切入點。黑客利用這些突破點配合通信技術,對信息進行非法的竊取、上傳非法信息以及清空網盤的數據,還會通過端口來置入病毒,利用U盤的插口來實現入侵,對計算機系統進行攻擊,以達到破壞網絡正常運轉的目的。
2.2軟件部分的切入
對網絡系統而言,由于其本身就具有脆弱的可靠性和監控性,在其認證時的缺陷以及局域網與的不可控性,造成了網絡安全的薄弱性。由于部分軟件開發商只顧追求自身利益而缺乏對軟件安全性的構建,大部分的軟件都存在著不同程度的漏洞,在進行路由選擇時發生錯誤,不同的使用者進行通信時路徑被阻斷或更換。有的黑客則利用木馬等病毒人為的破壞學校網絡系統,通過對信息傳遞時的內存將沒有防范的信息傳遞到其他的終端上面。另一方面,由于網絡鏈接的廣泛性,致使在點擊學校網絡的同時與外界網絡連接時,就非常容易成為黑客的切入點。由于在網絡上面我們就可以下載一些盜取信息的工具,在一定程度上增加了黑客的數量,而學校的網絡建設中缺乏安全防范措施的建立,在學校網絡中多為一些應用軟件的設置,這也就使得學校的網絡系統容易被侵入,對學校網絡產生破壞。
2.3管理人員的切入
在學校的網絡安全管理中,由于管理人員素質差異,被黑客選作了一個切入點。大部分學校的網絡安全管理人員往往因學校的不重視而只是隨便的選擇一個懂點計算機的人就算完成,而這部分人因為缺乏專業的學習和培訓,致使其在工作中沒有保密的意識,對打印等設備也沒有進行嚴格的限制性使用。有的管理員,則由于其對計算機技術掌握程度不高,在某一操作中出現錯誤,從而造成了信息的丟失或是泄露。還有部分管理員則為一己私利主動進行信息的泄露,對網絡系統造成了破壞,如四六級英語考試的題目泄露事件等。
三、黑客入侵的防范措施
3.1構建優良的學校網絡系統
在我們進行學習網絡建設時,要注重網絡安全性的建設。在系統設計構建時,要確保網絡系統的完整性,建設兩級以上網絡結構。在學校的網絡系統中,設置一個主網絡中心,構建安全有效的認證環節,保證學校網絡信息流通都要進行認證通道才能通過。在這部分的建設中,可以用光纖將網絡中心的信息傳遞到教室或辦公室中,然后再設置一個分節點,通過交換機將大樓的每一個用戶連接起來。在主機的電源設置中,要建設備用電源,在停電時確保主機的正常運轉。在完成整個網絡系統的構建之后,要對計算機硬件進行安全性的驗證,對連接線的短路等問題進行排除,確保各個物理硬件是安全有效的。
3.2完善網絡安全管理體系
首先,要加強對網絡安全管理作用的宣傳,讓每一個使用者都認識到網絡安全管理的重要性。可以通過講座培訓或者計算機課程講解一些簡單的網絡安全防范措施,動員每一個人都參與到學校的網絡安全管理中。引導學生自動的屏蔽一些不良網站信息,鼓勵學生發現一些軟件的漏洞,如在使用某軟件就出現了賬號被盜等情況。其次,要加強網絡中心的管理。對于網絡中心的管理,要積極建設防范系統,加強防火墻的穩定性,要選擇專業人員,確保制度的落地。對網絡中心要做到禁止任何無關人員的進入,不能隨意的關閉和啟動不斷電系統,保證交換機不被任何人碰觸。管理人員還要定期的對網絡中心進行清潔,保證機房的干燥和清潔。作為管理人員還需要時刻保證計算機技術的學習,能夠及時處理出現的網絡安全問題。
篇10
2、入侵檢測:入侵檢測指對入侵行為的發現。它通過對計算機網絡或計算機系統中的若干關鍵點收集信息并對它們進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象,以提高系統管理員的安全管理能力,及時對系統進行安全防范。入侵檢測系統包括進行入侵檢測的軟件和硬件,主要功能有:檢測并分析用戶和系統的活動;檢查系統的配置和操作系統的日志;發現漏洞、統計分析異常行為等等。
從目前來看系統漏洞的存在成為網絡安全的首要問題,發現并及時修補漏洞是每個網絡管理人員主要任務。當然,從系統中找到發現漏洞不是我們一般網絡管理人員所能做的,但是及早地發現有報告的漏洞,并進行升級補丁卻是我們應該做的。而發現有報告的漏洞最常用的方法,就是經常登錄各有關網絡安全網站,對于我們有使用的軟件和服務,應該密切關注其程序的最新版本和安全信息,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。許多的網絡管理員對此認識不夠,以至于過了幾年,還能掃描到機器存在許多漏洞。在校園網中服務器,為用戶提供著各種的服務,但是服務提供的越多,系統就存在更多的漏洞,也就有更多的危險。因此從安全角度考慮,應將不必要的服務關閉,只向公眾提供了他們所需的基本的服務。最典型的是,我們在校園網服務器中對公眾通常只提供WEB服務功能,而沒有必要向公眾提供FTP功能,這樣,在服務器的服務配置中,我們只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,就一定只能向可能信賴的用戶開放,因為通過FTP用戶可以上傳文件內容,如果用戶目錄又給了可執行權限,那么,通過運行上傳某些程序,就可能使服務器受到攻擊。所以,信賴了來自不可信賴數據源的數據也是造成網絡不安全的一個因素。
3、審計監控技術。審計是記錄用戶使用計算機網絡系統進行所有活動的過程,它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統,還能指出系統正被怎樣地使用。對于確定是否有網絡攻擊的情況,審計信息對于確定問題和攻擊源很重要。同時,系統事件的記錄能夠更迅速和系統地識別問題,并且它是后面階段事故處理的重要依據。另外,通過對安全事件的不斷收集、積聚和分析,有選擇性地對其中的某些站點或用戶進行審計跟蹤,可以及早發現可能產生的破壞。
因此,除使用一般的網管軟件系統監控管理系統外,還應使用目前已較為成熟的網絡監控設備,以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷,從而防止針對網絡的攻擊與犯罪行為。二、網絡運行安全
網絡運行安全除了采用各種安全檢測和控制技術來防止各種安全隱患外,還要有備份與恢復等應急措施來保證網絡受到攻擊后,能盡快地全盤恢復運行計算機系統所需的數據。
一般數據備份操作有三種。一是全盤備份,即將所有文件寫入備份介質;二是增量備份,只備份那些上次備份之后更改過的文件,這種備份是最有效的備份方法;三是差分備份,備份上次全盤備份之后更改過的所有文件。
根據備份的存儲媒介不同,有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數據還在整個計算機系統和網絡中,只不過傳到另一個非工作的分區或是另一個非實時處理的業務系統中存放,具有速度快和調用方便的特點。“冷備份”是將下載的備份存入到安全的存儲媒介中,而這種存儲媒介與正在運行的整個計算機系統和網絡沒有直接聯系,在系統恢復時重新安裝。其特點是便于保管,用以彌補了熱備份的一些不足。進行備份的過程中,常使用備份軟件,如GHOST等。
三、內部網絡安全
為了保證局域網安全,內網和外網最好進行訪問隔離,常用的措施是在內部網與外部網之間采用訪問控制和進行網絡安全檢測,以增強機構內部網的安全性。
1、訪問控制:在內外網隔離及訪問系統中,采用防火墻技術是目前保護內部網安全的最主要的,同時也是最在效和最經濟的措施之一。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據安全政策控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務。實現網絡和信息安全的基礎設施。防火墻技術可以決定哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的哪些服務,以及哪些外部服務可以被內部人員訪問。其基本功能有:過濾進、出的數據;管理進、出網絡的訪問行為;封堵某些禁止的業務等。應該強調的是,防火墻是整體安全防護體系的一個重要組成部分,而不是全部。因此必須將防火墻的安全保護融合到系統的整體安全策略中,才能實現真正的安全。
另外,防火墻還用于內部網不同網絡安全域的隔離及訪問控制。防火墻可以隔離內部網絡的一個網段與另一個網段,防止一個網段的問題穿過整個網絡傳播。針對某些網絡,在某些情況下,它的一些局域網的某個網段比另一個網段更受信任,或者某個網段比另一個網段更敏感。而在它們之間設置防火墻就可以限制局部網絡安全問題對全局網絡造成的影響。
2、網絡安全檢測:保證網絡系統安全最有效的辦法是定期對網絡系統進行安全性評估分析,用實踐性的方法掃描分析網絡系統,檢查報告系存在的弱點和漏洞,建議補救措施和安全策略,達到增強網絡安全性的目的。
以上只是對防范外部入侵,維護網絡安全的一些粗淺看法。建立健全的網絡管理制度是校園網絡安全的一項重要措施,健康正常的校園網絡需要廣大師生共同來維護。
篇11
1.2內部用戶的問題
現在學生對于網絡了解程度比較深,這就導致部分學生會在好奇心趨勢下,攻擊校園網絡系統,從而給校園網絡的正常運行帶來不利影響,提高了校園網絡管理的難度。統計顯示內部用戶造成的校園網絡攻擊占到30%左右,大部分情況由學生好奇心而引起,同時學校對于學生的管理以及教育不夠重視,縱容他們破壞校園網絡安全的種種行為。
2防火墻技術在校園網絡安全中的應用
2.1選擇合適的防火墻產品
最簡單的防火墻是在校園網絡的內部網以及外部網間加裝應用網關或者是過濾路由器。為更好實現校園網絡的安全,很多時候需要綜合使用不同的防火墻技術從而組合防火墻系統。這就需要明確設置防火墻設置的方案,然后選擇合適的防火墻產品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設備,并且集成生產廠商防火墻軟件,功能上通過內置安全軟件,并且使用強化甚至專屬的操作系統,有著管理方便以及更換容易的特點,并且軟硬件的搭配往往比較固定。也就是說硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關系,可以根據校園網絡的具體情況來加以選擇。
2.2使用服務器
服務器指的是連接校園網絡局域網以及Internet的網關,這一網關運行服務軟件,可以實現不同網絡之間的互相通信。服務器可以在用戶以及服務器間實現協同工作,所以提供應用級的網關。客戶端往服務器發送請求,請求到達服務器,然后服務器在接收連接請求之后,進行身份認證以及訪問控制,要是客戶端確認服務器身份認證以及訪問控制,那么就代替客戶端發送請求。服務器在響應之后,服務器則將數據反饋到客戶端。
篇12
(2)病毒的破壞。病毒影響計算機系統的正常運行、破壞系統軟件和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓,是影響校園網絡安全的主要因素。
(3)來自網絡外部的入侵、攻擊等惡意破壞行為。校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
(4)校園網內部的攻擊。
2Honeynet技術在校園網網絡安全中的應用
根據學院實際情況和校園網總體設計需求,為了更好地防御校園網中的各類網絡木馬、病毒(僵尸網絡、網絡釣魚等),部署了Honeynet系統,但由于整個校園內部網絡威脅較為嚴重,各種病毒較為猖獗,校園網常被病毒感染,因此部署的Honeynet系統主要是監控校園網內部的網絡攻擊。為了更好地采集信息,充分發揮Honeynet系統在校園網安全防護中的主動防御功能,將Honeynet系統放到黑客容易訪問到的地方。根據實際校園環境的要求,筆者部署一個帶有不同操作系統的Honeynet,這個蜜網存在著各種各樣的漏洞,以吸引攻擊者進行有效的訪問,從而獲取訪問信息的和其日志記錄并加以深入分析和研究。通過使用虛擬軟件(VMWare)和物理計算機建立一個混合虛擬Honeynet,從而減少了物理計算機的需要。宿主主機的二個網卡設置:一個是設置作為虛擬控制機,并通過虛擬網橋連接Honeywall,另一個設置連接校園內網路由器。這里把eth1的IP設為192.168.1.2,而把eth2的IP設為192.168.1.3,這樣管理機和虛擬Honeypot就不在同一個網段上,保證了管理機的安全性。在本次Honeynet系統中所有主機都可以通過ssh或MYSQL連通”firewall”;所有主機都可以連接到Honeynet系統;Honeynet允許連接到任意主機;除次之外,所有的通信都被攔截,同時防火墻允許通過的數據均被記錄。當完成對虛擬Honeynet系統的配置后,需要對其進行測試,看是否能夠正常運行,首先測試虛擬機蜜罐和宿主主機之間的網絡連接,包括(1)宿主主機和蜜罐上通過互相ping對方的IP地址測試網絡連通性,經測試網絡連通性正常。(2)在Honeynet網關上監聽ICMPping包是否通過外網口和內網口。 通過測試后,說明虛擬機蜜罐和外部網絡之間的網絡連接(通過Honeynet網關eth0和eth1所構成的網橋)沒有問題。對Honeynet網關的遠程管理進行測試,需要使用SecureCRT軟件,遠程ssh連接Honeynet網關管理口,經過測試表示該虛擬Honeynet可用。
篇13
計算機病毒的預防查殺
購買正版瑞星網絡殺毒軟件,重要部門裝機時必須安裝正版殺毒軟件,建議其它部門安裝正版殺毒軟件。其它地方除安裝有硬盤還原卡、全盤保護的教室終端和學生機房外,校園網內所有的終端都必須安裝殺毒軟件。同時,指定專人定期、經常對各處機器進行殺毒軟件升級,打補和查殺病毒。
嚴格執行數據備份
為主控室、二級交換機機柜安裝防盜報警設備、不間斷電源、防雷擊及通風降溫設備。校園網服務器選用熱插拔硬盤、RAID5格式;在服務器段VLAN7設置一臺裝有三個大容量IDE硬盤的備份PC(磁帶機的價格太高5000-50000¥),將常用數據存儲在服務器硬盤,不常用的數據存儲在這臺PC的硬盤中;利用Win2000Sserver自帶的備份工具對服務器中的有效數據定期備份,放在備份PC的硬盤上;對教務室和財務室的電腦也要求定期備份;將學校需要保存的數據、圖像、資料每個學期末進行一次分類、編號、整理、壓縮,然后刻成光盤存檔。
對不良信息過濾
購買信息過濾軟件,在技術上避免師生有意無意地瀏覽帶有暴力、黃色、內容的網絡信息。比如選用“藍眼睛智能信息過濾系統”之類的由公安部等部門監制的信息過濾工具,以期達到凈化校園網網絡信息的目的。當非法的網絡地址被訪問到,或者應該被過濾的由系統監測到的信息在傳播時,過濾工具除了中斷信息的交流外,還會記錄相關信息,以備查詢和明確責任。同時,加強對學校師生的法制教育和道德培養,使他們自覺不主動上網瀏覽、下載、傳播這類非法信息。另外,還要使用過濾工具對公共電腦或校內辦公電腦上傳輸的信息進行過濾,杜絕信息的非法傳播。
入侵檢測
1、在校園網中較重要的服務器網段中配置S100等產品,進行網絡的入侵檢測。不停地檢測和監視各個網段中的各種數據包,對每個可疑的數據包進行詳細的特征分析。如果數據包信息與入侵檢測系統中的某些規則或特征相吻合,入侵檢測系統立即會發出警報,甚至直接切斷網絡連接信號。
2、在校園網中的重要主機,如財務室電腦、教務室電腦等上面安裝基于網絡主機入侵檢測的系統S120,對主機所在網絡的實時連接,以及系統檢測日志進行分析、判斷,如果其中主體的活動可疑,入侵檢測系統也立即會采取相應措施。
3、同時使用基于主機和基于網絡的入侵檢測系統,使它們實現優勢互補,構架成一套立體而又完整的主動防御體系。
4、對校園網中的部分重點主機進行高級的安全設置,去除不必要的訪問,并在必要的網絡訪問周圍建立嚴格的訪問控制權限,避免有意者的非法入侵和破壞。
