中学校园网络安全管理经验谈
2011-08-15刘有长
☆ 刘有长
(中山大学附属中学三水实验学校,广东佛山 528145)
中学校园网络安全管理经验谈
☆ 刘有长
(中山大学附属中学三水实验学校,广东佛山 528145)
一、引言
随着中学校园网络应用的不断深入,校园网上各种应用和信息急剧增多,网络用户数量的成倍增加,网络的安全问题也不断暴露出来,如何保障中学网络的正常运行、确保资源的安全访问,避免校园网络遭受病毒、恶意软件和黑客的攻击就显得十分重要。
中学校园网络在建设和运行的过程中,必须针对不同的安全威胁,采用不同的网络安全管理方法,制定相应的安全防范措施,确保校园网络的正常工作。中学校园网络安全管理主要包括两方面:一方面是针对校园网络实体的物理安全管理,另一方面是针对网络信息的逻辑安全管理。
二、物理安全管理
1.防静电管理
静电是由物体的摩擦或电子设备感应而引起的,产生静电后的电子设备元件极易吸附灰尘,导致设备加速老化或出现故障,校园网络的电子设备应配备良好的接地系统避免静电,同时,应将容易生产静电的设备分开安装,防止由于静电放电损坏校园网络设备的线路板。
2.防雷击管理
校园网络设备采用大规模集成电路芯片,其耐过电压,过电流的能力极低,要防止其遭到雷击。因此,应根据被保护设备的特点和雷电侵入的不同途径,对于校园网络的中心机房和一般设备,采取相应的防护措施,分类分级保护。
3.防电磁泄露管理
校园网络中电子设备工作时会产生电磁波,这些电磁信号可被高灵敏度的接收设备接收并进行分析、还原,造成信息泄露。防电磁泄露的常用方法有三种:一是抑制电磁波发射;二是屏蔽隔离电磁波;三是对电磁波进行相关干扰。
4.防火管理
火灾一般是由于电气原因,人为或外部火灾蔓延引起的,应经常检查校园网络的设备,以及校园网络各种电路的安全性,做好各种防火措施。
5.防盗管理
校园网络设备被盗造成的损失可能远超过计算机本身的价值,计算机中重要信息的丢失是无法复制恢复的,应采取严格的防范措施,对于重要的计算机系统及外部设备,可安装防盗报警装置及制定相应的安全保护措施。
三、逻辑安全管理
1.防病毒管理
计算机病毒是能够通过某种途径潜伏在计算机存储介质或程序里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。在中学校园网络条件下计算机病毒除了具有可传播性、可执行性、破坏性等共性外,还具有传播性强、扩散面广、传播的形式复杂多样等一些新的特点。
中学校园网预防病毒的措施主要是备份重要数据、安装杀毒软件、为操作系统打上补丁、及时关注流行病毒以及下载专杀工具、注意使用电脑时候的异常情况、注意定期扫描系统病毒、建立有效的计算机病毒防护体系。
中学计算机校园网络预防病毒的方法主要有三种:一是软件防治病毒,通过定期或不定期地利用反病毒软件检测计算机的病毒感染情况;二是在计算机上安插防病毒卡,防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果看,对计算机的运行速度有一定的影响;三是在网络接口卡上安装防病毒芯片。上述三种方法,都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。
中学校园网络防病毒的管理,首先应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员加强法制教育和职业道德教育,规范工作程序和操作规程,对校园网络普通用户,尤其是对学生用户应进行思想教育,培养他们正确使用校园网络的好习惯,树立起校园网络防病毒的观念。我们应该注意定期扫描系统,在上网时避免访问非正规的网站及下载文件,在收到带有附件的电子邮件时,应该先对附件进行病毒扫描确保安全后再打开。
2.防火墙管理
防火墙工作方式是将校园内部网络与外部网络(如互联网)之间或者内部不同网段间互相隔离,通过访问控制的方式来保护内部网络。防火墙最常见的应用是用来防止外部网络(如互联网路)上的危险(非法访问和攻击等)传播到需要保护的内部校园网络,也可能在校园网络内部为了保护一些关键部门而设置内部网络防火墙。
防火墙有多种形式,有以软件形式运行在普通计算机之上的,也有以固件形式设计在路由器之中的。目前,防火墙主要有三类:包过滤防火墙、应用代理型防火墙和状态监测型防火墙。包过滤型防火墙对用户来说是透明的,处理速度快而且易于维护。应用代理型防火墙比包过滤更为可靠,但对用户不透明。状态监测型防火墙非常坚固,但它会降低网络的速度,而且配置也比较复杂。
中学校园网防火墙的管理有自己的原则,校园网与普通企业上网不同,因为一般企业上网主要是“防外”,防止互联网上的黑客对内部网络的攻击,而安装在校园网上的防火墙,既要有“防外”的功能,又要有“防内”的功能。所谓“防内”,是因为学生中有不少网络爱好者,在好奇心的驱使下或者是为了满足某种单纯的心理需要,会从互联网上下载黑客工具,不顾后果的对校园网内部网络进行攻击,特别是对学校内部某些可能存放着重要资料的服务器进行攻击,使学校的校园网络遭受到不必要的损失。所以,设置校园网防火墙一方面要建立合理有效的安全过滤原则,对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制内网用户的非法访问。对于校园的一些WEB服务、FTP服务和Email等公共服务,可以利用防火墙建立DMZ(非军事化区)进行防护。
3.VPN管理
VPN是虑拟专用网,它是利用公共网络基础设施,通过“隧道”技术、加密技术、认证技术和访问控制等手段为我们提供了一种通过公用网络安全地对内部专用网络进行远程访问的连接方式,达到与专用网络类似的安全性能。使用者可以非常安全地传输重要信息和数据,而不必担心会被拦截,从而轻松实现互联网络办公现代化。
VPN的主要目的是建立一种灵活、低成本、可扩展的网络互连手段以替代传统的长途专线连接和远程拨号连接,但同时VPN也是一种实现校园网络内部网安全隔离的有效方式。其优点是:其一,成木低。VPN在设备的使用量上比专线方式的架构节省,故能使网络的总成本降低。其二,良好的安全性。VPN架构中采用了多种安全机制,如隧道、加密、认证、数字签名等技术,确保资料在公众网络中传输时的安全。其三,网络架构弹性大。VPN的平台具备完整的扩展性,从大学校园网络的设备到小学幼儿园校园网络的设备,甚至个人拨号用户设备,均可被包含在整体的VPN架构中,以致他们可以在任何地方,都可以通过Internet访问校园网络的内部资源。
笔者所在校坐落于广东佛山三水迳口华侨经济区内,而中山大学附属中学位于广州市,每个校区都有自己独立的校园网络,通过光纤接入互联网络,提供的公共网络服务有电子邮件服务、WEB服务、DNS域名服务、多媒体视频点播等。为了加强两校区的合作,开展教学和科研的联合办公,考虑到校园网络的安全因素,我们采用了VPN技术,采用Intranet VPN的模式来实现两校区的互联。对于在校外需要访问学校内部网络的用户,包括教师在线办公和学生在线学习,我们采用 Remote Access VPN的模式来实现。
4.VLAN管理
VLAN是一种将局域网(LAN)设备从逻辑上划分成多个网段(或者说是更小的局域网),从而实现虚拟工作组(单元)的数据交换技术。
VLAN在校园网络中心交换机的实现方法,可以大致划分为六类:①基于端口的VLAN,可以防止非法入侵者从内部盗用IP地址;②基于MAC地址的VLAN,这种方式的VLAN的优点是用户的物理位置改变了,不需要重新配置所属的VLAN;③据协议类型来划分VLAN,这对网络管理者来说很重要;④根据IP组播的VLAN,即认为一个IP组播组就是一个VLAN;⑤按策略划分的VLAN,基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等;⑥按用户定义、非用户授权划分的VLAN。
对校园网络划分VLAN的好处主要有二个:第一,控制广播风暴,一个VLAN就是一个逻辑广播域,通过对VLAN的创建,可以控制广播风暴的产生。第二,提高网络整体安全性,通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
中学校园网络划分VLAN的管理,主要考虑计算机网络,视频监控网络的安全运行,以及各部门和各处室的信息安全,提高校园网络的性能,实践中对学生计算机机房,学生电子阅览室等场室划分不同的VLAN,可以提高校园网络的安全级别。
5.IDS管理
IDS是入侵检测系统,就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS在校园网络的使用和管理,大多数的入侵检测的接入方式都是采用 pass-by方式来侦听网络上的数据流,所以,这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前行为,并且IDS的阻断范围也很小,只能阻断建立在TCP基础之上的一些行为,如Telnet、FTP、HTTP等,而对于一些建立在UDP基础之上就无能为力了。因为,防火墙的策略都是事先设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好地保护网络的安全,所以,需要建立IDS与防火墙的联动机制,其目的就是更有效地阻断所发生的攻击事件,从而最大程度保障校园网络的安全。
四、结束语
中学校园网络是一个复杂的网络环境,我们要根据实际情况,针对不同的网络结构和不同的网络应用,采用不同的网络安全管理方法,构建一个综合立体的安全校园网络环境,在采取安全防范措施的同时,还必须有完善的安全管理规章制度和切实可行的安全管理机构,才能有效地实现校园网安全、可靠、稳定的运行,为学校的信息化建设保驾护航。
[1]张治元.校园网安全威胁及其应对策略探讨.长沙通信职业技术学院学报,2004,(04).
[2]马骏,周君仪.浅谈校园网网络安全及防范技术.广西轻工业, 2007,(09).
[3]周莉.谈校园网的建设与安全管理.电脑知识与技术(学术交流), 2007,(16).
[4]赵建伟.浅谈校园网安全管理.科技信息(科学教研),2007,(25).
[5]弋建伟.浅析校园网安全.陕西师范大学学报(哲学社会科学版), 2007,(S2).
[6]王峻,刘定富.校园网的安全问题及防护措施.软件导刊,2007, (16).
刘少颖]
