校园网安全管理

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇校园网安全管理范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

校园网安全管理范文第1篇

关键词：校园网 网络安全 管理 规划

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2012）09-0176-01

校园网是满足学校信息化教学环境的一项重要的基础设施，是教育信息化建设的重要组成部分，是广大师生顺利接受现代远程教育的依托网络，也是教育现代化的重要标志之一。因此，保障网络的畅通就被提到了一个重要的位置，网络安全管理也就理所当然的成为了重中之重。

1、统筹兼顾，科学管理

1.1 宏观调控，科学管理

以太网拓扑结构主要有总线型、星型、环型、网状型、树型。总线型拓扑所有的站点都链接在同一电缆上，很难进行错误诊断和网络隔离，电缆上的一处故障可能会导致整个网络瘫痪；星型拓扑结构有一个中心控制点，连接简单，故障检测和隔离方便，网络访问协议简单，服务方便，成本低、易于管理、容易扩展，我校网络是以图书馆网络中心为中心点，向周围建筑物辐射，所以校园网拓扑结构主体采用星型拓扑结构。

1.2 放眼长远，选型合理

技术和设备选型不仅要考虑满足当前需要，还要考虑未来校园网络发展和应用变化，同时更要考虑自身的实际需求。根据我校的实际情况，在选择交换机的时候，只选择了一个三层交换机，其他的则选择了一般的交换机；网线则选了两种，室内用的选择一般五类线，室外则用较好的超五类线。

1.3 周密计划，配置合理

网络是一个系统，要通盘考虑网络的各种资源配置，使其互相匹配，避免顾此失彼的情况出现。因此需要制定完备的计划。我校的网络按照建筑位置，统一划分为16个子网，分别是信息中心服务器子网、图书馆子网、行政楼子网、主教学子网、C教学楼子网、B教学楼子网等。

2、安全至上，防患于未然

2.1 精心规划好VLAN

采用虚拟局域网技术（VLAN）。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。使用VLAN具有以下优点：（1）控制广播风暴，一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。（2）提高网络整体安全性，通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同的VLAN中，从而提高交换式网络的整体性能和安全性。

根据校园网的具体情况，为了达到信息流量的控制，并提供良好的安全性，通过对网络逻辑结构进行分析和合理划分，采用基于端口VLAN技术对校园内部网络不同部门之间进行逻辑隔离，同时抑制广播风暴。根据学校具体建筑物分布情况，共设置为16个VLAN，分别是各科室VLAN、办公室VLAN、多媒体教室VLAN、信息技术教室VLAN和服务器VLAN等。

2.2 构筑网络城墙，防范病毒入侵

网络病毒是指病毒突破网络的安全性，传播到网络服务器，进而在整个网络上感染，危害极大。校园网络的安全必须在整个校园网络内形成完整的病毒防御体系，建立一整套网络软件及硬件的维护制度，对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作，我们学校在服务器安装了硬件防火墙netscreen204。教师机、多媒体计算机上安装了瑞星杀毒软件网络版，对病毒进行定时的扫描检测及漏洞修复，定时升级文件并查毒杀毒，并在校园网网络中心网站上及时公布感染病毒的类型及预防措施，做到早发现，是处理，早解决，使整个校园网络有一个干净、安全的使用环境。

2.3 修补网络安全漏洞

对于非专业人员，他们无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞问题，这时，需要借助第三方产品的帮助，及时发现安全隐患，提出相应的安全解决方案。360安全卫士漏洞修复程序还是不错的，能够自动检测计算机的系统漏洞，可以对多个漏洞同时进行修补，在实际应用中，可以节省许多时间。

2.4 过滤有害信息

对于校园网来说，一套综合的网络管理和信息过滤相结合的系统，实现对用户访问互联网时进行有害信息的过滤和管理是必要的。

现在学校正在使用深信服AC1850上网行为管理与审计网关设备过滤有害信息。使用中看来，对于网页中弹出的一些文字广告、图形广告等能够有效控制，对非法、能够及时自主关闭。目前看来，效果不错。

2.5 提高防范意识

大量的安全事件表明：缺乏安全意识是导致事件发生的重要因素之一。因此还需要把安全意识提到议事日程上来。就校园网而言，在做好技术防护的同时，加强校园网的安全教育，提高安全意识，掌握使用安全工具的能力，提高遵守相关安全制度的自觉性，对于维护网络的安全也是非常重要的。

（1）向用户讲解互联网的基本知识，使用户了解到互联网给人们带来方便的同时也带来了更为不安全的因素，这种不安全性是互联网的历史原因造成的，我们一时间还不能完全避免。（2）能够掌握杀毒软件、防火墙软件的设置和使用。（3）接收电子邮件时打开杀毒软件的实时监控功能。（4）不要擅自改动机器的IP地址，虽然经常更改机器的IP地址可以防止木马类程序的攻击，可是这不是有效的途径，这样会造成IP地址的混乱，影响网络的正常运作，我们应该借助有效的工具软件来查杀木马程序，做好防范措施。（5）精选绿色网站。浏览网站时尽量去那些名气大、流量大的网站，因为它们的安全性一般是很好的。因为有些网站往往在你刚登录上去，你的机器就可能已经染上了病毒；网页里的脚本可以执行你硬盘上的程序；有时当你浏览某些网页时，浏览器会自动下载某类文件，这是很危险的；有的网页通过CGI程序就能窃取你硬盘上的资料等等，所以浏览网页时要有选择性。

校园网安全管理是一个长期艰巨的任务，我们需要不断探索和努力，才能够让整个教育系统跨入信息时代，作为网管我们应该更加努力工作，认真思考，为建立信息化校园做出贡献。

参考文献

[1]什么是VLAN，小新技术网（）.

[2]基于VLAN技术的校园网安全研究，中国论文下载中心.

校园网安全管理范文第2篇

一、物理要素

物理安全是整个校园网系统安全的前提。在校园网筹划设计阶段就应重点考虑防雷、防尘、防潮、阻燃、抗静电、降噪、防盗等物理安全要素，关键设备如路由器、主干交换机、服务器等设备尽量实行集中管理；各种通信线路尽量实行深埋、穿线，并有明显标记，防止无意损坏；终端设备，如工作站、小型交换机、无线设备和其它转接设备要落实到人，进行严格管理。

作为学校网络系统的核心所在，网络中心机房安全性应该是最高的，因为在其中不仅集中了整个校园网络的关键设备，而且它还是整个校园网络正常运行的核心、校园数据中心和管理中心。对于如此重要的工作场所，许多学校没有引起足够的重视，如机房建设不规范，配套设施缺失，机房管理不到位，有的甚至允许师生随意进入、任意登陆核心设备，这些给整个校园网安全管理带来巨大的威胁，极易使整个校园网受影响，陷入瘫痪、崩溃状态。因为即使登陆不了核心设备，但只要把某些网线搞一搞、电源动一动就可能酿成严重的安全事件。

加强网络设备和机房的日常管理，此类物理安全风险，是可以规避的。如利用门禁系统杜绝无关人员出入机房、定期除尘保洁、完善设备和用户档案，又如南方雷雨天，尽可能拔掉与网络设备相连的线路，尤其是楼宇间的悬空线缆，从这些日常细节做起，就能最大程度地保护校园网络的物理安全，减少损失。

二、使用者要素

师生是校园网中最活跃的主体，其网络行为规范管理不到位，势必将影响整个网络安全。

1.客户端的安全措施

校园网络是以为师生服务为中心的系统。一个合法的师生用户在自己的终端可以执行各种操作。管理人员可以通过对用户的权限分配，限定用户的某些行为，以规避故意的或非故意的某些破坏。然而，更多的安全措施必须由使用者自己完成，比如密码问题，师生须对自己密码的安全性、保密性负责。

2.使用者的安全意识

有一个例子，有个学生没有事情干了，就打开网上邻居，看看网络有什么资源开放着，结果发现一个文件，他打开一看，居然是学校招生的黑名单，于是他将这个名单公布在网络中，一下子就传遍了整个Internet，导致了很多的麻烦和问题。从这个简单的事件可以看出，由于安全意识的淡薄，只图便利，导致了信息外泄。笔者多次对区域内学校进行了扫描检测，发现了大量的网络安全漏洞，其中不少是图便利造成的。如某学校Ftp服务器，无须帐号密码，就能轻松进入，进一步测试，发现这个空间竟给匿名用户开放了包括写入的所有权限。这样的“裸机”，能有安全性可言吗？也许某个时刻，空间上的所有资源全被删了，或者不该公开的信息被泄露出去，再或者被人有刻意上传了不良信息。事后得知，该校多数教师和学生认为应用网络就是图方便，人为设置帐号密码，操作麻烦，同时认为学校也无信息，学校网络管理员盲从，开放了所有权限。

3、使用者的版权意识

由于缺乏版权意识，盗版软件、影视资源在校园网中普遍使用，这类文件的传输一方面占用了大量的带宽，另一方面，从网络上随意下载的文件中可能隐藏木马、后门等恶意代码，带来了一定的安全风险。如微软公司对盗版XP操作系统的更新作了限制，安装盗版系统的计算机今后会留下大量的安全漏洞。

三、技术要素

1.操作系统和网络应用

常用的操作系统，无论是Windows还是Unix几乎都存在或多或少的安全漏洞，其后门也不可避免的存在，可以这样讲：没有完全安全的操作系统。但是可以对现有的操作平台进行一些安全策略配置、对操作和和访问权限进行严格控制，以提高系统的健壮性。

网络应用也是影响校园网安全的一个重要要素。Ftp服务、Mail服务、视频服务等应用越来越多地在校园网内发挥着积极的作用，伴随着应用，安全涉及面也越来越广，安全管理的任务也越来越重。以最常见的校园网站为例，学校在建立网站的时候考虑最多的是网站内和宣传效果，网站代码的安全，很容易被忽视了。许多教师通过简单的学习和培训就可以利用ASP等语言建立动态管理的网站，而这些非专业人员设计的网站，很少对网站代码编写规范进行安全检测，从而暴露出数据库的真实参数，导致网站容易受到攻击。

2.网络攻击与入侵

网络安全与网络攻击是网络中永恒的主题，网络无时无刻不发生上万次的攻击，特别是当校园网络对社会开放后，只要接入互联网的用户或校园网内部人员都可以对校园网络设备进行攻击，而当黑客入侵服务器，就可能会导致主页被篡改，数据丢失，产生负面影响。笔者曾在内网边界架设了清华得实入侵检测系统，一年时间内，入侵检测侦听记录数据显示共发生了1146，6443次入侵报警（极少误报），即平均每分钟就要发生21.01次入侵行为，可以说校园网遭受的来自内网、外网的扫描和攻击无可避免，网络攻击与入侵无时不在。

内网攻击尤值得关注。许多学生在掌握了基本的计算机和网络知识的基础上，逐渐将之应用于其他学科的学习，充分发挥了这一先进工具的作用。但是学生对网络世界充满好奇，有些学生会尝试使用学到的、甚至自己研究的各种攻击技术，可能对学校内网造成一定的影响和破坏。笔者所在区域内一所学校网站主页内容异样，后确认是校内一名小学生所为，其目的就是炫耀自己高超的技术，以达到心理的满足。

四、管理要素

“三分技术、七分管理”，管理是校园网络安全中最重要的的部分。目前相关网络与信息安全管理的法律法规已，学校网管中心也有各自的安全管理制度，但学校网络中心难以对师生的一些违规操作作出相应的执行力度，只能以告知或警示为主。而学校领导关注的更多的是教学质量，注重的是消防、交通等传统安全，这导致下级人员在落实时不彻底，贯彻时不坚决，执行时不到位。

学校网络安全管理工作离不开懂技术、懂管理、懂教育的复合型技术人员，从管理和实践经验看，校园网安全工作的重中之重还是提升管理员的安全管理能力和责任心。如何培养好学校网管员，充分激发他们的主观能动性，打造一个有着美好远景的职业规划，是一项重要的课题。

五、经济要素

校园网安全管理范文第3篇

关键词：校园网；维护；应用

当今校园网络的安全应急措施，测试与维护已经成为现代教育技术部门函待解决的问题。网络的普及使得网络安全问题层出不穷，各种攻击的泛滥使得网络状态频出，校园网是具有教学活动、科研活动、管理活动以及对外交流等的校园内局域网，由此高校校园网络安全已被提上重要日程。网络具有共享性及开放性的原则，怎样加强高校校园网络安全，预防网络出现不安全因素并进行测试与维护已成为目前各高校安全管理校园网的关键。

1 当今高校校园网存在的安全问题

伴随着各大高校生源规模的日益扩大，原址学校的建设以及跨校区建设的情况层出不穷，使得校园网的规模日益扩大，高校校园网使用网络不够规范，网络监控难，网络使用地点不够集中等现象加大了网络安全使用的难度，当下，校园网存在的安全问题普遍有以下几种：①校园网硬件设备存在问题较多；②网络病毒的感染；③黑客的入侵行为频繁；④管理及不良信息的泛滥。

2 高校校园网管理制度存在安全问题

伴随高校招生规模的扩大，多校区发展等，出现了网络规模不断扩大，监控困难，上网地点极为分散，上网行为不够规范等现象，因此加大了校园网络使用中的隐患。当前，高校校园网络普遍存在安全隐患。

2.1 二级网站管理不够，甚至出现空白现象

高校网络管理不仅是对BBS进行管理，还对校园网主站进行管理，还包括对学校的二级部门以及各大社团的网站进行管理。目前，二级网站管理中出现很多问题：不存在二级网站的审批制度或者审批制度不够严格，责任人和分管的人不够明确，二级网站完成后管理未跟进，网站或BBS的不良信息泛滥甚至失控，一些比较有害的信息后期才会被发现。因此，对校园网加强监控力度非常重要。

2.2 校园网安全管理的模式不科学

现在有部分高校由网络中心或宣传部门承担网站信息安全工作，这样的管理不到位，在面对突发性事件时难以有效处理，日常管理有阻：还有学校采取多部门联合管理的方式，但是极不科学，分工不明确。各部门有自己的规章制度，在涉及本部门的管理中对工作分块进行管理，而多部门负责监管时出现相互扯皮的现象抑或出现管理中的矛盾致使有害不良信息处理不及时或者出现处理时的矛盾，使得不良信息扩散加重。

2.3 管理制度不健康管理人员素质低

网络安全管理内容出现很多问题，网络安全管理制度也需要不断更新和修订，一些高校重视度不够，会出现制度“空白”现象，这使得网络管理者处理问题时找不到依据，影响了正常工作。同时，由于网络信息内容安全工作是一项新兴工作，很多学校没有形成一支专业的管理团队，一些学校放手交由学生管理校园论坛、网站，造成管理者处理问题时往往感情用事，不够专业。网络信息内容安全隐患大，效率不高.

3 校园网的网络安全管理

校园网络故障有以下几方面：线路不通，路由器故障，基本上是由于路由配置错误而引起主机故障，主要是因为主机的IP地址配置不合理或存在安全方面隐患：网卡故障，电源故障，供电超载，主要是由于参数设置不当以及驱动不能正常发挥作用等。

3.1 网络安全管理的实施

高校校园网络安全涉及到很多方面要采用合理先进的技术，需要很多技术密切配合，如防火墙技术、加密技术和防黑客技术等。

3.2 解决网络设置问题

第一，对流量进行分析，帮助管理者了解各种占用网络带宽的比例，从而便于发现故障所在。第二，对网络进行监测，例如IP地址冲突，如设置出错，Net BIOS名设置错误、设备无响应等。

3.3 对网络安全管理分析

线缆作为传输信息的介质，可以把它比作为网络的动脉，它将网络设备连接起来，所有通信信号都是通过线缆传输的，由于带宽需求的升高，线缆传输的可靠性变得越来越重要。网络的安全管理，首先，线缆的检测不仅是线缆的通断、插头连接好坏的问题，而且还包括许多电气指标。如何选择网路线缆的质量可靠，这就需要检测过程不仅仅是线缆的插头通断连接的好坏，而且还包括很多电气指标，例如衰减、近端串扰等。

高校校园网存有的安全隐患，大量计算机没有及时进行安全维护以及网络系统的测试内容不明晰，这就需要从大的方面入手，通过分析校园网的整体安全性，探讨校园网的安全防护策略问题及校园网的测试问题，采取强有力的防范措施进行处理，做到知己知彼，百战不殆，充分认识到校园网络不安全的地方。要对校园网的安全防护和性能测试进行长期研究，这才对正确使用校园网具有重要的现实意义。

参考文献

[1]萍利.基于J2EE WEB服务的统一身份认证系统的设计与实现[J].电子设计工程，2012，20（24）：35―37.

校园网安全管理范文第4篇

论文摘要：随着网络技术发展和人类对网络依赖性增强，网络安全问题日益突出。特别是校园网络的通讯安全已经威胁到了广大师生的正常工作和学习，校园网络安全已经成为当前各校园网络建设中迫在眉睫的问题。

1 引言

目前，网络应用的焦点问题是网络通讯安全问题。其主要表现在信息泄露、信息篡改、非法使用网络资源、非法信息渗透、假冒等方面。在Intemet上网络系统既要开放，又要安全，以至于从技术方面讲安全问题是整个互联网技术里较为困难的问题。从lnternet的角度看，对网络的威胁主要来自于网络硬件和软件两方面的不安全因素。一方面，电磁泄露、搭线窃听、非法人侵、线路干扰、意外原因、病毒感染、信息截获等。另一方面，操作系统本身的问题，各种应用服务存在安全问题。特别是近年来学校网络安全问题日益严重，已经严重威胁到广大师生的使用安全，因此，我们要加强校园网络的安全管理。

2 校园网网络结构简介

校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等 校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。校园外网的服务器群构成了校园网的服务系统．一般包括DNS、WEB、FFP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入，使学校教职工和学生能使

用电子邮件和浏览器等应用方式．在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。

3 校园内网络通讯安全的主要威胁

校园网常见的风险威胁主要是校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网；外来的系统对网络及服务器发起DOS／DDOS攻击，入侵等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击目前越来越普遍，不少开始针对重点高校的网站和服务器；校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁。

这些威胁主要表现在：

3.1黑客

黑客是网络上的一个复杂群体，他们以发现和攻击网络操作系统的漏洞和缺陷作为乐趣，利用网络通讯安全的脆弱性进行非法活动，如修改网页，非法进入主机破坏程序，窃取网上信息，进行电子邮件骚扰，阻塞网络和窃取网络用户口令等。

3.2计算机病毒

计算机病毒已成为很多黑客入侵的先导，是目前威胁网络通讯安全的重大祸首．它的侵入在严重的情况下会使网络系统瘫痪，重要数据无法访问甚至丢失。

3.3拒绝服务

拒绝服务是指导致系统难以或不可能继续执行任务的所有问题，它具有很强的破坏性，“电子邮件炸弹”、“垃圾邮件”等，就是一些典型的例子．用户受到它的攻击时，在很短的时间内收到大量的电子邮件，从而使用户系统丧失功能，无法进行正常工作。

通过以上校园网的三种威胁，我们可以更深入的分析其原因，主要有以下几点：

(1)校园网内的用户数量较大，局域网络数目较多。校园网的速度快和规模大。少则数千人、多则数万人。正是由于高带宽和大用户量的特点，网络安全问题一般蔓延快、对网络的影响比较严重；

(2)校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂，比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的。有的则是统一采购、有技术人员负责维护的，有的则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理。出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理，甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察；

(3)活跃的用户群体。学校的学生通常是最活跃的网络用户。

对网络新技术充满好奇，勇于尝试。如果没有意识到后果的严重性．有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术．可能对网络造成一定的影响和破坏：

由于以上各种原因导致校园网既是大量攻击的发源地，也是广大攻击者最容易攻破的目标。

4 网络通讯安全的管理策略

4.1通过技术手段实现网络安全

运用学校计算机网络在技术上实现网络系统的安全管理，确保网络系统的安全、可靠地运行，如实行个人网访问控制、网络权限控制、网络监测和锁定控制、服务器的安全控制、防火墙和杀毒软件结合进行安全控制等技术控制非法用户对目录、文件和其他网络资源的访问。校园网计算机网络系统管理员对网络系统进行网络监控，网络服务器应记录用户对网络资源的访问。对非法的网络访问，服务器应以文字、图形或声音等形式报警来提醒网络管理员。如有非法黑客企图攻击、破坏网络系统，网络服务器应实

(上接第720页)

施锁定控制，自动记录企图攻击网络系统的次数，达到所设定的数值，该账户将被自动锁定，确保网络安全。

同时校园计算机中心应加强内部管理，建立事件的审计和跟踪体系，提高整体信息安全意识。应由专人负责管理服务器或网络设备，其他工作人员未经允许不得随意更改配置；对服务器或网络设备的操作应建立详细的日志，减少内部工作人员的误操作而弓l起的故障。对于学生，应加强网络方面法律、法规的教育，提高学生的法律意识，防止出现破坏网络安全的违法行为。

4.2建立一整套安全防护体系

4.2.1防火墙

防火墙是设置在不同网络之间的一系列软硬件的组合，它在校园网与Intemet网络之间执行访问控制策略，决定哪些内部站点允许外界访问和允许访问外界。从而保护内部网免受外部非法用户的入侵。同时防火墙是预防黑客攻击，病毒入侵的重要屏障。防火墙的建立提供了对网络流量的可控过滤，以限制访问特定的因特网端口号，而其余则被堵塞，这一点要求它必须是唯一的人口点。用来阻止未经认证的外部登录。这就是防火墙与路由器是一个整体的原因。

4.2.2端口控制机制

计算机服务器使用自动回呼设备、调制解调器对端口加以保护。并以加密的形式来识别节点的身份。外部用户对校园网进行访问时。端口对其进行身份探查，当确定其身份和法后才允许访问校园网。

4.2.3加密技术

在外部网络的数据传输过程中，采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法，两种方法结合使用。加上数字签名、数字时间戳、数字水印及数字证书等技术，可以使通信安全得到保证。

4.2.4封锁系统安全漏洞

在发现新病毒或因系统安全漏洞威胁网络安全时。应当及时提供各种补丁程序以便下载．许多操作系统和应用软件也在不断更新版本以修正错误或完善功能．对于校园网管理过程中，要及时下载和安装各种补丁、升级程序，封锁系统安全漏洞。这样对保护网络和信息系统的安全会起到很大作用，可以有效的防止一些“黑客”因为操作系统和各种应用软件的设计漏洞对校园网资源进行非法访问和有关操作。

4.3建立用户管理制度

在保证学校教职工和广大学生用户合法权力的同时，限制非法用户入侵，保证数据的安全，特别应制定和做好身份验证和访问授权限制。为了识别并证实用户，系统可给合法用户提供唯一的用户标识符，提供一种验证手段，来验证登录的用户是不是真正的拥有该用户标识符的合法用户。也可通过口令、卡片密钥、签名或指纹来实现，通过身份验证确保用户机与服务器的相互身份。

总之，校园网络安全是一个涉及多方面的系统工程，必须全面协调地运用各种防范技术手段，加强对人与物的管理，才能达到预期的目的，为学校建设多作贡献。建立一个安全、稳定、高效的校园系统，是各大校园竞相努力的目标。

参考文献：

[1]龚静.计算机网络安全策略的探讨[J].福建电脑,2004,5:18-l9.

[2]张公忠.统代网络技术教育[M].电子工业出版社出版,2004.

[3]王彦波.计算机网络安全系统[J].信息技术,2003,1(27):15-16.

校园网安全管理范文第5篇

本论文最终建立了适应独立学院网络安全管理的体系模型及应用模式,为校园网络中所存在的严重安全问题提出一种思路及解决办法。

关键词:校园网 网络安全 管理体系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三个系统在应用中,基本搭建起学校的整个电子资源,其中校务管理系统最为重要,此系统一但瘫痪意味着学校将基本停止正常运行。然而随着互联网技术的发展,黑客的攻击手段日益先进。单一的技术手段无法保证系统的安全运行,只有在安全策略的指导下,建立互动的安全防范体系,才能最终保证网络的安全,保证系统稳定运行。

构建网络安全管理体系模型

一般而言,各学校目前普遍采用PDRR模型来构建安全防御体系。PDRR模型属于动态信息安全理论的模型,PDRR是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分构成了一个动态的信息安全周期,如图:

该模型更多的强调通过防火墙、IDS以及VPN等技术来解决校园网络中存在的安全问题,重点在于安全应用技术,同时没有形成体系和防御层次,并忽视了两个重要的安全因素,安全管理与大流量数据拥堵造成的网络安全问题。

为能够更加有效的保证网络及各类应用的安全运行,安全管理体系的设计应突出网络安全的整个流程,从用户的发起端到校园网络的INTERNET出口,在数据流传输的各个环节进行了分布式的安全防范,同时辅以入侵检测、漏洞扫描、流量管理的多种技术手段,加以监控并降低设备不必要的运行压力,保证网络系统稳定运行。在各个环节中,以策略为中心的安全模型可以更充分的发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优、流控五个部分对我们的安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面的发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。

在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了高效校园网络安全管理体系。

针对于上述的安全架构,在具体的应用中,安全体系架构包含二个模块:分别为校园互联网接入模块、校园园区网模块,二个安全构件组成信息系统的安全架构。这种结构划的设计,有利于在不同的网络功能模块之间更好的划分安全防范的重点,并具有良好的扩展型,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。

安全模块的设计特点

校园INTERNET接入模块

校园INTERNET接入模块主要是预防INTERNET攻击的第一道门户,是防范INTERNET上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略,实现最严格的限制与最少的漏洞,同时保证最快的转发速度。

校园园区网模块

校园园区网是内部网的核心,保护着包括内网用户、重要服务器的安全。园区网由一台防火墙、两台互为冗余的主干交换机、内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙的安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分了访问的具体范围,它作为安全防护的中心。

安全架构的检测

完成基本架构的搭建,为了保证各项安全措施能够满足防御要求,采用了多种方式进行系统的模拟安全检测。

(1) 使用两种漏洞扫描软件对系统进行测试,SYMANTEC NETSTAT、及SSS软件进行比较安全测试;

(2) 在防火墙的不同位置,TRUST、UNTRUST、DMZ、DMZ1等区域对包括网络设备、主机系统进行了模拟攻击;

在一个完整的校园安全管理体系中,各个部分之间的分工清晰,相互协作,在具体应用中可以很好的应用在实际的管理模块上。这种方式将简单、高效的布置校园网络的安全,为校园网络的运行及信息化建设奠定良好的安全基础。

北京理工大学珠海学院校园网安全管理体系部署

北京理工大学珠海学院(以下简称珠海学院)自2004年建校以来,珠海学院已拥有在校生15000人,校园网络经历了6年的建设,信息点已达20000个,建成了内网骨干带宽为20G,珠海学院外网带宽600M,校内包括教务系统、网络教学平台、一卡通系统等各类应用已达40个,网络用户已达12500人左右。

本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文

安全策略

珠海学院各应用服务器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,数据库服务器采用LINUX操作系统,使用的应用软件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,网络情况、应用环境十分复杂。针对上述问题,在建网初期,即制定了相应的安全管理近期与长期目标。安全体系的近期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查。鉴于大多数安全事件来自于管理员的误操作,审计在明确事故责任上也能发挥重大作用。长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击。

分布式安全防范措施

分布式防范措施是从用户端到INTERNET出口之间进行层层设防,部署不同的安全技术和措施,从技术方面杜绝出现安全问题的举措。在珠海学院的网络上,我们采取了下列措施:

(1)限定网络用户的不同vlan。(2)实行802.1x的认证协议。(3)网络用户安全管理。(4)网络用户隔离。(5)网间设备数据传输安全。(6)交换机ip与用户ip分别管理。

(7)防止木马的管理方式。(8)设置应用的不同安全等级。(9)服务器的安全管理。

(10)VPN访问。(11)系统恢复。

漏洞扫描

珠海学院在漏洞扫描工具上采用的是俄罗斯Shadow Security Scanner软件,在安全扫描市场中享有速度最快,功效最好的盛名,其功能远远超过了其它众多的扫描分析工具。SSS 可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测,对系统全部扫面之后,SSS可以对收集的信息进行分析,发现系统设置中容易被攻击的地方和可能的错误,得出对发现问题的可能的解决方法。

在珠海学院的网络管理中,定期对各个主要的交换机、服务器进行安全扫描,以为下一步的安全管理提供依据。

入侵检测

珠海学院的入侵检测系统布置,分为两个层次,首先为NIDS,主要启用防火墙的IDS模块功能;

另外,启用HIDS功能及在服务器上安装个人防火墙设置,珠海学院采用的是MICROSOFT ISA2004。

为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。

流量管理

由于P2P技术的广泛应用,目前大多数网络用户都采用P2P技术的网络工具进行诸如下载、视频、听歌等服务,如迅雷、QQ直播、酷狗等,这些软件的优点是充分利用互联网络,为用户提供丰富的资源。应该说P2P技术的快速发展带动了互联网络的快速发展,让用户能够更加便捷的使用互联网上的资源。

但P2P技术对于网络管理与运营来说是一种严重的挑战,一方面P2P技术过于贪婪,最大化的利用网络带宽进行下载。在珠海学院建网初期,申请的100M互联网带宽在没有任何限制的情况下,仅有120多用户就占满了所有的下行带宽,对校园网络运营影响极大(带宽租用价格较贵)。而且下载的很多资源内包含有大量的木马、病毒程序,对网络的安全运行造成了极大的影响。在珠海学院校园网络运行初期,很多问题是围绕着带宽、速度产生的。P2P应用软件的广发使用对校园网络设备带来了极大的压力,根本无从保证校园网络的稳定运行和安全管理。

经过不断的摸索,珠海学院在控制P2P应用中重点采用了三种措施:

(1)限制用户的带宽:对于单个用户ip,通过防火墙对用户进行带宽管理,为每个用户保证一条相对固定的通道,而不去影响其它用户的上网;

(2)限制用户的连接数:每个服务都是通过TCP或者UDP进行的数据通信,通过防火墙对单个用户ip进行连接数的限制,从而限制诸如迅雷、p2p等贪婪占用通道的工具,以保证网络线路的通畅;

(3)限制或封闭P2P协议的总带宽:P2P协议之所以难以管理,主要是由于这种技术在使用过程中的服务端口可以随机的变化,管理者根本无法确定服务的端口号,也就无法通过传统的设备进行限制和禁止。但任何协议都有自己的特征码,我们通过技术手段对P2P协议的特征进行匹配从而控制这种协议的软件。但考虑到这种软件应用的广泛性,仅对这种软件限制总体流量而并不完全封闭。

安全管理

安全管理贯穿于安全防范体系的始终。实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。

2004年珠海学院校园网络建立后,我们形成了初步的安全管理制度,但在运行过程中,发现存在有很多的问题。校园网络建立初期,设立网管负责全校的校园网络管理、设立了系统管理员负责全校的应用服务器管理,但实际上虽然人员角色明确,但人员任务并不明确。比如,网管人员管理所有的网络设备,但具体的学生用户上网情况并不是十分了解,对存在的问题不是非常清晰。而作为系统管理员并不十分清楚服务器所安装的具体应用软件要求,往往是由应用管理人员对系统进行维护,但又经常忽视系统的安全性。

针对上述问题,我们制定了以业务为主导的管理模式,将校园网络分为两片,宿舍区网络、教学区网络,分别由专人进行管理,但网络路由统一由教学区管理,以保证网络的稳定、畅通性。而应用系统部分分为公共基础服务、校务管理系统、网络教学系统分别由三个专职人员负责维护、管理,并有一人总负责,检查、督促工作的完成情况。

这种管理方式让具体管理人员对于自身管理系统的问题十分清楚,从而保证了整个网络安全体系的动态性和有效性。

运行效果

经过对校园网络的一系列调整、改造,珠海学院的校园网络运行得到了极大的改善,我们从以下几个方面来评定:

网络基本流量对比

珠海学院学生用INTERNET线路共计有3条,2条200M电信带宽,1条100M网通带宽。三条线路分别连接在3台防火墙上,分别为3.1,3.10,4.1。下列图为对前2台防火墙的INTERNET接口进行的数据取样。

如图所示,每到高峰期时,200M带宽基本上已经全部占满,

用户网络运行稳定

珠海学院网络运行时间为8:00-24:00,其余时间断网,下表即位珠海学院上网用户的信息统计。如表所示,一天之中在中午与晚上分别为两个最高峰的运行值,用户在线率高,网络带宽消耗也相应提升。

网络运行稳定

珠海学院网络分为办公网络(教学楼部分)与学生网络(生活区部分),为了保障系统的安全,这两个部分之间的网络作了相应的策略控制,只能通过服务器进行数据交换。每天,网管对两部分网络进行监控各自的运行状态,以及时了解网络中可能出现的问题。

下图分别描述了位于教学区与生活区部分网络设备的运行状况。(测试工具为SolarWinds 2001 Enhanced Ping)

基本服务运行正常

通过对所有流经网络管理器的数据包进行监控,分析得到网络中各种协议的运行情况及流量状态。该监控囊括了网络上所有协议的定义,分作传统协议、P2P下载、网络电视、即时通信、流媒体、网络电话、网络游戏、股票交易、网络安全这些监控模块,直接体现了网络上各种协议的应用情况。

服务器系统运行稳定

通过对主要服务器的系统状态监控,了解CPU、内存、SWAP等的运行状态及各服务进程的运行状态,确定服务器的是否正常。

3 结语

校园网络作为校园信息系统的基础网络平台,网络的安全、稳定运行是保证各项业务平稳运行的基础保障,必须建立起一套可行的、有机的安全管理体系,根据学校的实际特点进行有效的部署。从北京理工大学珠海学院校园网络安全体系的建立中,我们积累了一些基础,并在此基础上,本文提出了在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了校园网络安全管理体系。

参考文献

康弗瑞.网络安全体系结构.北京:人民邮电出版社,2005年.15-21.

戴英侠.计算机网络安全.北京:清华大学出版社,2004年.89-131.

曾湘黔.防火墙与网络安全-入侵检测和VPNs.北京:清华大学出版社,2004年.

W.RICHARD STEVENS. TCP/IP详解 卷1:协议 .机械工业出版社,2000年.

W..RICHARD STEVENS.TCP/IP详解 卷2:实现TCP/IP .机械工业出版社,2000年.

W.RICHARD STEVENS. TCP/IP详解卷三:TCP事务协议.机械工业出版社,2000年.

张小斌,严望佳.黑客分析与防范技术.北京:清华大学出版社,2003.82-91.

张仕斌,谭三等.网络安全技术.北京:清华大学出版社,2004.87-121.

段钢.加密与解密(第三版).电子工业出版社,2008.

曹元大,薛静锋,祝烈煌,阎慧.入侵检测技术.人民邮电出版社,2007.