高校网络安全方案
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇高校网络安全方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
高校网络安全方案范文第1篇
摘要:校园网的网络安全是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,更需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统,确保校园网正常安全运行和朝着健康有序方向发展。
关键词:校园网;网络安全;病毒
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2013) 02-0000-02
高校不能单单依靠将一定的安全技术和防火墙进行结合来保护校园网络的安全运行,而应根据系统安全的需要来细细思考,制定相关的管理机制,并有效地将各类安全与管理措施进行结合,如此,才能在校园中构建起一个安全而高效的网络系统,为师生带去更多的便利。随着当前计算机技术的不断发展与更新,网络安全上也随之出现了不少问题,因而需要加强改进网络安全的预防措施,真正实现对网络的安全做到有效的保障,最终使网络能在高校快速而安全的发展。
1 校园网网络安全的概念
逻辑安全和物理安全是网络安全的全部内容;逻辑安全中包含了信息的私密性、整体性和实用性。私密性是指不可将信息透入给未经允许的人,整体性是指系统能预防程序和数据信息被非法修改或删减。实用性是指系统能避免计算机信息和数据被非法霸占,是服务器能及时而准确的接收或回复客户的合理服务请求。而能够对计算机网络产生危害的主要行为有:虚假身份、篡改数据信息、恶意访问、盗用信息等。
2 高校校园网络安全的现状
首先,操作系统的安全问题。操作系统几乎是计算机中一切与其有关程序的综合体,另外,它也是计算机系统得以运行的必备条件。它不光负责对计算机程序的运行过程进行监察和调控,还负责给使用计算机的人供应一些实用而简便的软件。因此,对于计算机来说,操作系统好比就是计算机的心脏,缺失了操作系统,计算机也就无法再有效运行。而在操作系统开发时,由于疏忽了一些安全患和差异性而使得当代计算机网络运行中出现了许多问题。然而,在现代计算机网络领域,就算是小小的一个问题也会使得计算机网络面临极大的威胁,而严重时,就会使其彻底瘫痪。
其次,计算机病毒的侵害。计算机病毒是一些具有不良企图的恶性程序,而该类程序会致使计算机屏幕出现蓝屏、系统瘫痪或被别人所掌控,进而给运用计算机的人带来极大的威胁,并且病毒也会将计算机作为载体来利用其操作系统中存在的隐患性漏洞进行一些不必要的攻击,最终给使用者造成重大损失。驻守在计算机中的病毒很难作人员发现,并且很有可能会产生一些变异性的病毒,让它的攻击性与破坏性变得更大,生存能力更加强大。
第三,计算机的黑客出现。我们都知道,主要对计算机网络安全造成威胁的另一个主要因素是黑客,因为他们是人为因素,会利用计算机网络所存在的漏洞,或者会潜入到计算机室内,来盗用计算机内部系统资源,从而非法地盗取了用户的相关信息数据,并篡改一些数据,破坏了硬件设备。我们可以将计算机黑客称作为计算机网络安全环境中的外部进攻者,而这些外部进攻者经常会采取修改计算机用户的网页界面,能够非法潜入到主机内部,也就是所说的“肉鸡”,进而破坏了他们的应用程序与系统。
3 校园网安全运行的主要策略
3.1 采用入侵检测系统。入侵检测系统用于网络和系统的实时安全监控,对来自内部和外部的非法入侵行为做到及时响应、告警和记录,以弥补防火墙的不足。入侵检测系统通过实时监听网络数据流,根据在入侵检测系统上配置的安全策略(入侵模式),识别、记录入侵和破坏性的代码流,寻找违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时,网络安全检测系统的预警子系统能够根据系统安全策略作出反映,并通过监测报警日志对所有可能造成网络安全危害的数据流进行报警和响应。
3.2 网络防火墙。防火墙是用来控制信息流的设施,主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤,根据在防火墙上配置的安全策略(过滤规则)来控制(允许、拒绝、监测)出入网络的信息流,同时实现网络地址转换(NAT)、审计和实时报警功能。通过防火墙的包过滤,可实现基于地址的粗粒度访问控制(入网访问控制)。通常情况下,防火墙都被部署在网络基础设施的关键入口或出口。
防火墙主要工作在交换和路由两种模式。当防火墙工作在交换模式时,防火墙的3个接口构成一个以太网交换器,本身没有IP地址,在IP层透明。将内网、 DMZ区(非军事区)和路由器的内部端口连接起来,构成一个统一的交换式物理子网,内网和DMZ区还可以有自己的第二级路由器,这种模式不需要改变原有的网络拓朴结构和各主机、设备的网络位置。当防火墙工作在路由模式时,可以作为内网、DMZ区和外网三个区之间的路由器,提供内网到外网,DMZ区到外网的网络地址转换。内部网的用户通过地址转换可访问INTERNET,内部网、DMZ区通过反向地址转换可向INTERNET提供服务。
3.3 防止ARP的攻击。随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。在DHCP的网络环境中,使能DHCP Snooping功能,E126A交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。E126A交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。这样就有效的防止了非非法用户的ARP攻击。
3.4 计算机病毒的防范。计算病毒可以说无孔不入,首先应采用预防计算机病毒为主,需要在计算机上安装配置全方位、多层次的防病毒软件,通过定期或不定期的自动升级,使计算机网络免受病毒的侵袭。常见的杀毒软件有:360安全卫士,卡巴斯基,瑞星杀毒、KV3000,NOD32,金山毒霸等。当确定计算机系统感染病毒时,选用杀毒软件迅速清除计算机病毒,清除不了的新型病毒,可将新型病毒代码加入杀毒软件病毒库中后再次查杀病毒,或上传到杀毒网站,寻求专家建议和处理办法。另外尽可能切断病毒来源,健康上网也是预防计算机病毒的手段,不访问黄色网站,下载软件时找正规网站下载正版软件,特别对外来文件需要先进行病毒扫描,确保无病毒后再使用,从源头上杜绝计算机病毒的入侵和破坏。
4 结束语
伴随网络技术的迅猛发展,校园数字化也随之迅速崛起。校园网络是高校数字化的重要基础。另外,它也是学校管理、科研、学术交流等重要教学工作能顺利进行的必要条件,它为师生提供了一个方便而快捷的学习环境。然而,在享受这些的同时,校园网络的安全方面依然存在不少问题。因此,应加强提高校园网络的安全性,从而避免信息被窃取、程序被攻击、系统被植入病毒等风险的发生。
参考文献:
[1]张伟锋,王绍让,顾方磊.校园网络安全策略研究[J].现代物业(中旬刊).2010(03)
[2]李娜.校园网安全防护系统的设计与实现[J].魅力中国.2010(07)
[3]赵越.高校网站建设及管理存在的问题与对策[J].产业与科技论坛.2011(02)
[4]张小莉.校园网组建方案探讨[J].山西财政税务专科学校学报.2011(01)
[5]薛毅飞.探讨计算机网络安全与防火墙技术[J].信息系统工程.2011(04)
高校网络安全方案范文第2篇
Abstract: The development of the campus network technology causes it more and more complex, and the data on network is more and more large. People’s dependence on the network for the daily events has increased. However, the network security issues brings kinds of inconvenience, which is increasingly emerges. Starting from the actual situation of the campus network security, this article presents the causes and the security and protection technology of the campus network security problems.
关键词: 校园网;网络安全;网络安全防范
Key words: campus network;network security;network security and protection
中图分类号:G647文献标识码:A文章编号:1006-4311(2012)09-0134-01
0引言
随着网络技术的发展、特别是随着internet与intranet技术的成熟,越来越多的学校都建立了自己的校园网络系统,但是随着校园网络的应用越来越广泛、涉及的部门越来越多,学校在享受网络带来的便利同时也面临着日益严重的网络安全问题。
1影响校园网络安全的主要原因
影响一个校园网络安全的因素是多方面的,这既包括网络系统所存在的各种来自外在的威胁,也包括网络系统内部存在的安全弱点。归纳起来大体有以下几个方面。
1.1 人为因素的影响人为安全因素包括用户由于操作不当造成数据丢失、破坏或者应用系统的破坏、系统或者应用的用户由于口令选择不当而造成安全漏洞、用户无意泄漏口令或者其它敏感信息、由于对于网络系统访问控制策略的不理解或误操作将敏感信息暴露给对该信息没有访问权限的人员、系统管理员或者安全管理员,由于安全配置不当或者疏忽而造成网络系统安全漏洞等等。
人为安全威胁是影响校园网络校园网络安全的最大威胁,主要包括两个方面的威胁:一是来自网络内部用户的威胁。网络内部用户通常是指根据网络设计目标和管理规定,有权使用部分或者全部功能的用户。对于校园网络而言,内部用户通常由学生和教职人员构成。二是网络外部用户。当然校园网络受到的攻击和破坏可能来源于外部的人员,更有可能来源于网络用户内部。
1.2 网络系统的安全漏洞校园网络中绝大多数的应用和服务都是通过软件系统来完成的,在这些软件系统中存在的安全漏洞是影响到校园网络安全的重要因素之一。通常说来,校园网络中的软件可以分为两类,即操作系统软件和应用系统软件,在这两类软件中所存在的安全因素通常来源于两个方面,一是软件系统本身体系结构的不安全,一是软件系统在编程过程中由于疏忽或者其它原因造成的软件bug而引起的安全漏洞。
1.3 计算机病毒的破坏计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。通常其具有破坏性、隐蔽性、传染性等特征。
1.4 安全策略管理的影响安全配置不当造成安全漏洞,例如:防火墙的配置不合理,其作用无法发挥。许多校园网络在防火墙配置上增大了访问权限,忽视了这些权限可能会被其他人员滥用。网络入侵的主要目的是获得使用系统的各种权限,或者是作为进一步进入其他系统的跳板,或者恶意破坏这个系统,使其毁坏而丧失服务能力。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
2解决校园网络安全的主要技术手段
2.1 防病毒技术杀毒软件是计算机中最为常见的工具软件,也是使用的最为广泛的计算机安全防范技术,杀毒软件一般分为单机版和网络版两种。单机版对于个人用户或小型企业基本能满足需要,但对于校园网络单机版就只适合在桌面机上部署,因此在校园网络中杀毒软件可以采取网络版+单机版的部署方案,即对于一般的桌面用户可由用户根据自己的意愿进行部署,对于主干网络设备及重要的服务器、客户端可由网络管理员进行统一的网络版部署。
2.2 VLAN(虚拟局域网)技术VLAN(虚拟局域网)技术,是指在交换局域网的基础上,通过虚拟交换技术构建的可跨越不同网段、不同网络的逻辑网络。学校可以根据实际需要划分出多个安全等级不同的VLAN。对于学校而言,由于计算机部署范围比较广泛且位置相对固定,在进行VLAN划分的时候可以采取给予IP地址和MAC地址混合的划分方式,既具备一定的灵活性,也便于网络管理员的集中控制。
2.3 防火墙技术防火墙是现代通信网络技术和信息安全技术基础融合的产物,是使用较早的、也是目前使用较广泛的网络安全防范产品之一。它可以是软件或硬件设备的组合,通常被用来进行内部网络安全的防护。防火墙可以通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在不同网络之间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况。对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏。
2.4 网络冗余、备份技术随着高校对于网络的依赖性日益增加,学校中越来越多的工作流程都将在校园网中实现,这也导致网络中的数据量日益增加。虽然我们可以通过各种技术手段来强化校园网络安全,但只要网络存在我们就无法彻底避免网络安全事故的发生,同时我们也无法避免一些由于自然灾害等不可抗拒的因素导致的网络故障,因此能够在故障出现后及时的修复故障和恢复数据就显得极为重要。
3结论
网络安全问题是一个无法回避又无法避免的问题,随着网络技术的不断发展,更多的网络安全隐患将被发现,我们永远无法建立绝对安全的网络,只有通过不断的技术完善和先进的管理模式相结合,才能打造出符合高校自身特点的安全、稳定的现代化校园网络。
参考文献:
[1]王丽.宋丹.新媒体环境下大学生价值观教育初探——以网络媒介和移动通讯媒介为例[J].价值工程,2011,(28).
高校网络安全方案范文第3篇
【关键词】高职院校 网络管理 机房管理
随着计算机在学校的大量普及以及近年来高职院校的大量招生,为了满足计算机教学的需要,学校需配置大量的计算机和相关设施。和其他课程有所不一样,计算机课程主要是在机房完成的,所以机房承担了计算机大部分的教学任务。除了学生正常上课需要使用计算外,有些高职院校还在业余时间承担了各种形式的考试、培训等等,从而加重了计算机的使用频率,缩短了计算机的寿命,这给机房的管理带来了巨大的挑战。所以,面对这种复杂的局面,高职计算机机房的管理显得尤为重要,为了给学生提供良好的学习环境,如何做好机房的管理和维护是摆在高职院校的一个重要问题。机房的安全不仅包括机器等各种设备的安全,还包括网络的安全以及对病毒的防范等等,所以,学校应该在这两方面进行加强管理,以维持正常的教学。
一、如何制定有效的管理制度
计算机机房管理制度是保障机房正常运行的前提,不仅可以提高机房的使用率,而且有效的管理会达到事半功倍的效果。因此,制定出一套科学、合理和有效的管理制度对高职院校是至关重要的。除此之外,对机房管理人员的管理意识、培训等都应该严格要求并落实。具体学校应该分别从机房管理人员管理制度、学生管理制度、教师管理制度、机房设备日常检查与维修等几个角度出发。首先,机房工作人员应该明确岗位职责、确保机房每个机器的安全使用,并定期进行检查和维护。由于机房是学生的第二课堂,所以对学生的约束和管理不可忽视,应该严禁学生插拔鼠标、杜绝学生随意打开机箱,或者私自将机房内的设备与计算机配件带出机房,而对学生带入机房使用的软盘或者优盘、移动硬盘等应该严格检查,以防将病毒带入机房。除此之外,机房内应严禁抽烟、禁止吃东西、严禁放置易燃易爆、易腐蚀和强磁性物品,若发现异常要及时检查并采取相应措施。
二、网络安全管理的重要性
网络安全直接涉及到网络的安全管理、技术的安全和安全的管理制度三者的配合。网络安全的管理直接影响高职院校计算机课程的有序进行,其中一个环节有问题都会影响计算机课的进行,所以这三者缺一不可,而且必须都保障安全。这些特点也是由于高职院校自身特点所决定的,高职很多学院都设有专业的机房,而这些机房都有一套自己的管理体系,所以网络较为安全,且管理较容易。但防范工作还是不能少,目前市场上很多黑客、病毒破坏性极大,为了尽可能的提高网络的安全性,应该设置一些较长较复杂的口令、账号、问题等。
虽然电脑现在装有很多查杀病毒的软件,在一定程度上对病毒的查杀有积极的作用,但不是所有的病毒查杀软件都是万能的,病毒的查杀软件有它的局限性。比如现在通用的杀毒软件都是360、金山等 ,虽然它们的杀毒效果不错,但要为几十万台计算机服务,功效非常有限,尤其是杀毒软件的升级,所以这一矛盾如何解决,可以从以下几个方面着手。
首先,由于目前通用的杀毒软件对病毒的查杀还是有很大的作用,所以有必要给机房的每一台计算机安装病毒查杀软件、防火墙等,即操作简单,又节省时间,是一种可行的维护网络的安全的方式。
其次,由于学校计算机房一般都有主机的设置,所以可以在主机上安装一些杀毒软件,作为杀毒主机,由杀毒主机向所有的计算机、文件夹等进行查杀,它可以为任何一台从机进行杀毒,这样不仅节省劳动力,而且可以同时杀毒同时上机,既提高了电脑的安全性又增加了电脑的使用率,是一种较好的杀毒方式。
三、机房人员管理及要求
机房的管理工作是集合了技术性、专业性的综合性的复杂工作,并非所有的人都能胜任这项工作。而机房工作人员的素质、管理意识等决定了他能否达到这些专业和技术的要求。首先是过硬的专业和技术。
(一)必须具备计算机相关的知识技能。正常情况下,一台使用时间较长的计算机肯定会出现各种各样的故障,比如原件老化、环境潮湿受潮等,对这些经常出现的故障,机房管理人员必须有相关的经验,懂得计算机的一般运作原理,并且可以采取相应的措施予以解决。这是作为一名合格的机房管理人员所具备的基本的素质,懂得计算机的一般原理,并且有维修维护的能力。
(二)机房管理人员必须还懂得一些软件的相关知识和技能。机房管理人员应该懂得最常用的软件的安装、修复、调试等知识 ,还应该具备熟练的计算机操作技能等,能够对计算机出现的问题分析并及时解决,有些机房管理人员甚至要求具备一定的编程能力。总之,作为一名机房管理人员,要尽可能地充实自己的专业知识及技能,尽可能多的掌握一些软件知识、电脑修理技能等,这样才能有备无患。
四、结语
计算机网络的安全在高职院校直接影响教学的正常进行,而网络的安全主要靠计算机管理人员的维护。所以,一名合格的、优秀的计算机网络安全管理人员的职责并不亚于计算机教师,甚至责任更为重大。除了网络的安全,还要为学生创造一个良好的学习环境,这绝不是一件简单的事情。高职院校的计算机机房网络安全不仅要有健全、科学、可行的管理制度做后盾,还要有机房管理人员的实践才能使制度切实落在实处。所以,高职院校计算机机房网络的管理归根结底是人的管理,只有这样学校的计算网络才能更好地服务于学校的教学科研、服务于广大师生。
参考文献:
[1]张小虎.浅谈计算机机房的管理与维护[J].新疆职业技术教育,2007;
[2]刘永华.网络安全与维护[M].南京大学出版社,2007;
高校网络安全方案范文第4篇
关键词:高校机房;网络安全;技术防范
近年来,高校逐渐将信息化教学作为主要的教学模式,丰富教学资源的同时,网络建设也日益完善。作为信息化教学的主要阵地,高校机房承担着重要的教学任务和角色。不同专业、不同年级、不同课程使得机房内的应用系统和教学软件不断增多,网络服务范围和功能越来越大,无疑会增加网络安全隐患。因此,高校要重视网络安全管理,保障机房重地网络通畅和信息数据安全,才能确保教学顺利。
1高校机房网络安全管理中存在的问题
1.1机房管理与使用人员安全意识不足
网络安全不仅涉及教师、管理人员、办公人员,还包括学生。高校中,学生占比大,安全意识还不高,使用机房时,访问网站五花八门,高度信任网络安全的措施和努力,忽略病毒设计人员和黑客的技高一筹,给机房信息安全带来极大的隐患。而且,网络安全法普及不到位,安全管理策略升级更新不及时,以及管理人员能力与专业水平参差不齐等,更为机房的安全带来威胁。
1.2机房设备使用环境的影响
高效机房电子设备密集,使用频繁,对周围环境中的湿度、温度等方面的要求较高,如果不注意把控机房环境,使机房设备长期处于过于干燥且灰尘较大的环境,就容易产生静电吸附灰尘,机房设备易造成静电击穿或灰尘导致的接触不良,使数据中断,教学中断,甚至引起火灾隐患,轻者数据丢失,重则数据损坏、设备损毁。
1.3网络黑客的非法入侵
高校机房设备种类多、规模大,涉及的操作系统和软件问题多样化,一些专业化的操作系统和软件在开发和运行过程中,一旦存有漏洞,必会给不法分子以可乘之机。当黑客攻击机房系统,将会产生数据丢失、被删除、清空、系统瘫痪、缓冲区溢出等事故,使高校机房教学进度受到影响,考试、比赛、活动等受阻。
1.4网络病毒扩散与危害
外网攻击形式较多,常见的是网页病毒、信息病毒、邮件病毒等。这些含有病毒的数据被用户点击后就会启动病毒程序,要么自动复制导致系统瘫痪,要么用户信息被非法窃取,甚至被删除、破坏等。高校机房受网络病毒侵入的概率更大,一旦受侵入,可能会影响教学进度,甚至造成网络瘫痪。因此,要对高校机房进行多重网络安全防护。
2高校机房网络安全管理改进对策
2.1建设网络安全管理组织机构
首先,在组织机构和责任落实上要形成责任体系。校领导直接对机房安全负责,并将责任落实到各级人员中去。遵循的原则是直接责任人负责制,即直接与机房各项管理直接接触的管理人员、使用人员、维护人员对机房安全负责。全体师生都要在规范操作的基础上严格遵守网络安全防护制度。其次,成立网络安全小组,成员由各部门主要领导兼职,对高校的网络环境、机房网络等进行安全监管。再次,各教学组、实验教师和机房管理人员进行安全责任书的签订,明确所有人的网络安全责任和网络安全义务。最后,健全网络安全事故问责机制,保证事故回溯清晰通畅,学校领导、安全小组以及教学一线人员都要进行事故总结,形成事故防范措施。
2.2加强网络安全管理队伍建设
第一,建立高校网络安全维护团队。团队内成员技术能力具有互补性,职责范围清晰,交叉性低,岗位固定,具有岗位吸引性,能够留住人才,对全校的网络安全进行监管。第二,各学院安排专人进行网络安全信息沟通,能够将安全事件及时上传,并对学校的安全措施向下落实与传达。第三,将网络安全防范技术掌握较好的学生选定为机房运维护管理助手,能够对机房和校园网的安全运行进行监督与管理,定期对系统和软件进行补丁升级,确保网络安全。第四,加强高校横向网络安全信息沟通与安全措施交流,查缺补漏,提高网络安全防护能力和水平。
2.3深化网络安全知识宣传与培训
首先,对全校的师生和管理人员进行网络安全知识的培训与宣传,提高师生和管理人员的网络安全意识和能力,能够进行主动防范。其次,增强领导的网络安全意识,在指挥高校宏观发展中重视网络安全,给予网络安全建设分配更多的人才与物资。再次,从教学角度进行网络安全知识普及与应用,能够在提升网络安全能力的同时,引导学生时刻进行网络安全防护。最后,鼓励学生积极探索和开发网络安全防护技术,在防范中增强法律意识。
2.4推进高校机房设备优化升级
首先,更新机房软硬件配套。按照机房实际需求进行性能提升,该报废的一定要报废处理,为网络安全提供硬件保障。更新时要统一型号、统一规格,实现硬件统一规范,便于管理和维护。此外,在硬件配套时要尽可能走向标准化,形成标准的物理管理体系,在降低管理工作量的同时,提高管理质量和管理效率。其次,增强安全维护技术水平,确保厂商提供技术支撑和故障维护,保证机房安全维护的专业性。专用器材、耗材、设备、零件等要分类单独存放在仓库中。仓库的设立位置要与机房较近,便于机房维护。最后,加强机房环境保护,针对机房设备的运行环境需求,保证机房干燥,定期进行设备除尘,保证接触可靠,消除静电影响,配备消防器材和清晰的使用方法,出现消防问题及时处理。
2.5完善网络安全的维护机制
第一,应用正版系统和软件,并配备正版杀毒软件,定期定时对系统进行木马、病毒查杀,定期进行系统修复,定期进行磁盘碎片整理和垃圾清理。第二,经常性数据备份,特别是安装、更新、补丁修复等操作前,一定要进行全盘数据备份。第三,提前设置好系统还原,定期进行系统备份。当故障发生时,能够及时应用系统还原将数据还原。第四,禁止私接U盘、个人手机等外部设备,可在机房内准备一定数量的U盘、移动硬盘等公用设备,使用之后及时进行杀毒、维护或更新。第五,禁止进入未经认证的网络链接及下载使用来源不明的软件,培养正确的网络安全观念。
3高校机房网络安全技术防范对策
3.1VLAN技术在高校机房中的应用
应用VLAN技术,能够在方便操作的同时,将网络功能应用到机房管理中。第一,利用VLAN技术将高校所有网络进行分区、速流,充分利用网络资源,实现按需分配网络流量,从而提高网络的通畅性,保证设备运行流畅、稳定。第二,在VLAN框架下,设备自动IP,防范IP盗用产生的网络安全事故,并对机房内的网络进行监督,及时发现异常,及时封杀。第三,不同VLAN进行数据交换时,要尽量不使用第三层进行VLAN流量传递。第四,做好VLAN规划,保证机房多系统间切换自如,不会产生网络协议冲突,保证高校机房教学、活动、考试、比赛等系统能够流畅运行,不会产生网络不兼容问题。
3.2硬盘保护系统在高校机房中的应用
硬盘保护系统既可以实现硬件运行维护,又能实现系统保护和硬盘保护,是高校机房硬盘保护的主要手段。该保护系统能够利用IP自动分配、智能同传以及保护参数同传的功能对硬盘数据进行有效保护,既可以避免数据遭受病毒破坏,又可以为高校等级考试、比赛等创造良好的网络系统环境,使教学与课外活动系统自由切换,实现独立运行,互不干扰,从而保护各自的数据安全。
3.3防火墙技术在高校机房中的应用
高校机房数据多,承担着教学、考试、比赛等任务和功能,必须保证机房安全。第一,重点运用防火墙技术对机房进行安全策略的制定和完善,系统更新、修补后,再进行安全扫描直到安全可靠。第二,机房要按需升级,将软件、硬件进行更新完善。第三,在管理层面要利用防火墙策略制定管理措施。第四,按照高校专业特点进行机房设备的分类管理,利用多元化的安全手段进行网络监测,及时发现问题,及时解决。第五,安装的防毒客户端要保证正常运行,及时升级,及时完善,切不可关闭。第六,应用移动硬盘时,要先进行安全检测,规范操作,确保安全接入机房设备中。
3.4高校机房服务器的技术防护
服务器在机房中担任着中心处理器的重要角色,是机房硬件的核心。第一,对于服务器的系统安全,无论是账号还是密码都必须安全可靠,并配有一定的使用权限进行保障。第二,服务器系统在及时打好安全补丁,防止系统漏洞产生的安全事故发生。同时,将闲置端口封闭或关闭,保证系统清洁。第三,服务器外部环境要宽松,在防火墙允许条件下能够实现内外网信息流通,并即时完成信息过滤,实现服务器系统在安全环境中运行。第四,服务器被攻击后,机房管理者要迅速启动应急预案,及时阻断服务器网络,并进行报警和处理。第五,加强杀毒软件的安全性评估,深入分析安全漏洞,及时做好补漏措施。第六,数据加密工作要落到实处,运用多种加密和安全防护手段,保证数据安全。
高校网络安全方案范文第5篇
【关键词】访问控制列表;校园网;网络安全
网络的迅猛发展伴之而来的是网络的安全问题,任何使用网络的单位、个人都需要时刻注意自己的网络安全问题,高校也不例外。作为网络传输过程中的常见设备――路由器,不少人和单位仅仅认识和利用了它的一个基本功能――路由,实际上路由器作为信息数据流出入的必经之路,还可以用访问控制列表来作为防御网络外来攻击的一种重要控制策略。
1.访问控制列表及功能
访问控制列表(Access Control List,ACL)是应用到路由器和交换机接口的指令列表,用来控制端口进出的信息流。通过对数据包做相应的过滤、匹配,进而告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,其目的是为了对某种访问进行控制,从而起到保护相关设备,以及网络安全的作用。
所谓访问控制列表(Access Control List,ACL),是指应用到路由器和交换机接口的一组条件控制指令列表,用来控制端口进出的信息流。它通过对数据包做相应的过滤、匹配,进而告诉路由器哪些数据包可以接收,哪些数据包需要拒绝。因此,访问控制列表对整个网络的安全防护起着至关重要的作用。访问控制列表目前有两种基本分类:标准访问控制列表和扩展访问控制列表。标准访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作,功能较为单一,其编号范围是从1到99;扩展访问控制列表比标准访问控制列表具有更多的匹配项,包括检查数据包的源地址、目的地址、源端口号、目的端口号、协议类型、IP优先级和连接建立等,其编号范围是从100到199。特定协议类型以及TCP等。相对而言,扩展访问控制列表表现出了较标准访问控制列表所不具备的灵活性。
访问控制列表的主要功能在于:阻止非法用户访问、使用特定的网络资源或限定特定用户的网络访问权限。另外,还可以限制网络流量、提高网络性能,也可在路由器端口处决定转发或阻塞某种类型的通信数据流等。
2.访问控制列表在校园网络安全网中的应用
为了确保网络安全,网络安全工程师往往根据网络安全具体需要,在路由器等设备上建立一系列访问控制列表,巧妙地将多种网络访问控制列表策略结合起来使用。作为高校校园网的管理,我们认为网络安全不只是简单的防毒、防木马,更是应结合高校教学工作的本身特点,根据高校教学、生活各场所对网络及有关数据安全的不同要求,网络管理员可以运用访问控制列表技术在对应的网络设备上设定相应的网络访问控制列表的安全策略,起到一种人为的控制和约束效果。举例如下:
2.1 限制学生访问的网络资源
针对学生非法访问网络资源,甚至恶意攻击学校网络设备与服务器,可以设置合理、稳妥的访问控制列表来限制学生所在网段的计算机访问学校的服务器(如管理服务器)。假设学生所在网段为192.168.1.100/22,其他校园网内的用户网段为192.168.0.100/22,为了防止学生恶意攻击相关服务器,同时又不影响其他用户的正常访问网络资源,可以在相关网络设备上设置如下访问控制列表,并将其应用到相关接口上。
Router (config)#access-list 1 deny 192.168.1.0 0.0.0.255
Router (config)#access-list 1 permit any
Router (config)#interface ethernet 0/0
Router (config)#ip access-group 1 in
高校教室、实验室一般是提供给学生学习、做实验的场所。作息时间,为了确保学生能够做到自律,认真学习,防止他们去做一些与学习无关的事情(聊QQ、玩网络游戏等),这就需要网络管理员在对应的网络设备上设定相应的网络访问控制列表。假设电影、聊QQ、玩网络游戏之类的资源放在校园网网段为192.168.2.0的的FTP服务器上,而学生教室或实验室网段为192.168.3.0,这里就可采用一下的访问控制列表配置策略实现相应要求:
Router(config)#access-list 102 permit tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq wwww
Router(config)#access-list 102 deny tcp 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 eq ftp
Router(config)#access-list 102 permit ip any any Router(config)#int E1
Router(config)#ip access-group 102 out
2.2 某些场所需要单向网络访问控制
教务处、任课教师的办公室往往会存一些试卷等秘密信息或数据,因此不宜让学生访问,但是教务处、教师办公室网段要能访问学生的教室、实验室的电脑,以便对学生上课、做实验等情况进行监控。假设教师的办公室网段为192.168.1.0,教室或实验室网段为192.168.3.0,这样,要达到192.168.1.0网段到192.168.3.0网段的单向访问控制,网络管理员可采用如下的访问控制列表进行策略配置:
Router(config)#access-list 101 permit tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 estaelished
Router(config)#access-list 101 permit tcp any any
Router(config)#int E2
Router(config)#ip access-group 101 in
2.3 网络管理员需要远程控制
在校园网络安全管理过程中,为了方便网络管理员对校园内各种网络设备的管理,网络管理员可以通过远程登录的方法对遍布校园各个角落的路由器、交换机、防火墙进行配置,制订网络安全策略,阻止其他人员对网络设备进行远程访问和登陆,确保只有网络管理员的网络IP地址才能够访问该网络设备。假设网络设备所处网段为10.1.100.0,管理网段为10.1.300.0,在相关网络设备上可采用如下访问控制策略,并将其应用到相关接口上,从而只允许上述管理网段对设备访问。
Router (config)#access-list 101 permit ip 10.1.300.0 0.0.0.255 10.1.100.0 0.0.0.255
Router (config)#access-list 101 deny ip any 10.1.100.0 0.0.0.255
Router (config)#interface ethernet 0/0
Router (config)#ip access-group 101 in
2.4 限制来自P2P和网络游戏蚕食带宽流量
据相关数据显示,在高校校园网中50~90%的总流量都来自P2P,其蚕食着大量带宽,常常导致校园内对实时性要求较高的如多媒体教学、电视电话会议、教师教学科研上网和校园办公OA等无法正常的开展(谢大吉,2011)。对此,可以利用访问控制列表将其它不常用的端口关闭掉,阻断大部分P2P流量和网络游戏。目前主流的网络视频、聊天软件、在线游戏大多采用P2P技术。这些P2P软件或游戏有些是用一些固定的端口,但有些P2P工具无法确定所使用的端口号,因而最好的办法就是把除正常业务需要所使用的端口如http的80端口、ftp的21,22端口、telnet的23端口等外,在相关网络设备上通过访问控制列表将关掉其它不常用的端口,从而使得大部分P2P软件和网络游戏无法正常使用,保证正常网络业务开展。
3.结语
通过采用访问控制列表以上的系列配置策略,可对目前高校校园网构建起基本的网络安全体系。但是,在具体的网络安全防护中,访问控制列表并没有被充分地利用,也有的运行不当还可能造成网络资源浪费,降低网络的服务效率。
因而,在构建安全、可靠的网络环境时,应当结合网络安全具体需求和设备的实际支持功能,合理的配置与部署访问控制列表,这样才能既保护网络安全,又发挥了网络的服务效率。
参考文献
[1]斯桃枝,姚驰甫.路由与交换技术[M].北京:北京大学出版社,2008.
[2]莫林利.使用ACL技术的网络安全策略研究及应用[J].华东交通大学学报,2009(12).
