时间:2022-08-18 03:31:37
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇校园网络安全论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
(一)网络安全设施配备不够
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
6、李卫.计算机网络安全与管理[M].清华大学出版社,2004.
1.1黑客攻击的问题
因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方[8],黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
1.2内部用户的问题
现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
2防火墙技术在校园网络安全中的应用
2.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
2.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
2.3配置路由器防火墙
关键词:校园网 安全防范技术
一、校园网络安全概述
计算机网络是信息社会的基础,己经进入社会的各个角落。经济、文化、军事、教育和社会日常生活越来越多地依赖计算机网络。但是不容忽略的是网络本身的开放性、不设防和无法律约束等特点,在给人们带来巨大便利的同时,也带来了一些问题,网络安全就是其中最为显著的问题之一。计算机系统安全的定义主要指为数据处理系统建立和采用的安全保护技术。计算机系统安全主要涉及计算机硬件、软件和数据不被破坏、泄漏等。由此,网络安全主要涉及硬件、软件和系统数据的安全。
近几年,随着计算机网络的迅速发展,全国各高校都普遍建立了校园网。校园网成为学校重要的基础设施。同时,校园网也同样面临着越来越多的网络安全问题。但在高校网络建设的过程中,普遍存在着“重技术、轻安全”的倾向,随着网络规模的迅速发展,网络用户的快速增长,校园网从早先的教育试验网的转变成教育、科研和服务并重的带有运营性质的网络。校园网作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络安全问题逐渐引起了各方面的重视。
从根本上说,校园计算机网络系统的安全隐患都是利用了网络系统本身存在的安全弱点,而系统在使用、管理过程中的失误和疏漏更加剧了问题的严重性。威胁校园网安全的因素主要包括:网络协议漏洞造成的威胁,操作系统及应用系统的漏洞造成的威胁,攻击工具获取容易、使用简单,校园网用户的安全意识不强,计算机及网络应用水平有限等方面。
关于网络安全的法律法规都已出台,学校网络中心也制定了各自的管理制度,但是还存在着各种现实问题,宣传教育的力度不够,许多师生法律意识淡薄。网上活跃的黑客交流活动,也为网络破坏活动奠定了技术基础。这是本论文讨论的背景和亟待解决的问题。
二、校园网的安全防范技术
校园网络的安全是整体的、动态的,主要有网络物理安全、系统安全、网络安全、应用安全等多方面的内容,通过采用防火墙、授权认证、数据加密、入侵检测等安全技术为手段,才有利于更有效地实现校园网络安全、稳定运行。论文将对常用的校园网络安全技术进行研究。
首先是认证技术,认证技术是网络通信中建立安全通信信道的重要步骤,是安全信息系统的“门禁”模块,是保证网络信息安全的重要技术。认证的主要目的是验证信息的完整性,确认被验证的信息在传递或存储过程中没有被篡改或重组,并验证信息发送者的真实性,确认他没有被冒充。认证技术是防止黑客对系统进行主动攻击的一种重要技术手段,主要通过数字信封、数字摘要、数字签名、智能卡和生物特征识别等技术来实现。
第二是密码技术,目前保障数据的安全主要采用现代密码技术对数据进行主动保护,如数据保密、双向身份认证。数据完整性等,由此密码技术是保证信息的安全性的关键技术。密码技术在古代就己经得到相当的应用,但仅限于外交和军事等重要领域。随着计算机技术的迅速发展,密码技术发展成为集数学、电子与通信、计算机科学等学科于一身的交叉学科。密码技术不仅能够保证机密性信息的加密,而且完成了数字签名、系统安全等功能。所以,使用密码技术不仅可以保证信息的机密性,而且可以防止信息被篡改、假冒和伪造。现在密码技术主要是密码学。密码学也是密码技术的理论基础,主要包括密码编码学和密码分析学。密码编码学主要研究如何对信息进行编码,以此来隐藏、伪装信息,通过对给定的有意义的数据进行可逆的数学变换,将其变为表面上杂乱无章的数据,而只有合法的接收者才能恢复原来的数据,由此保证了数据安全。密码分析学是研究如何破译经过加密的消息并识别伪造消息。总之,密码编码技术和密码分析技术相互支持、密不可分。
第三是防火墙技术,防火墙是指放置在不同网络或网络安全域之间的系列部件的组合。防火墙在不同网络区域之间建立起控制数据交换的唯一通道,通过允许或拒绝等手段实现对进出内部网络的服务和访问的控制。防火墙本身也具有较强的抗攻击能力,能有效加强不同网络区域之间的访问控制,是提供信息安全服务,实现网络安全的重要的基础设施。
第四是入侵检测系统。网络安全风险系数越来越高,防火墙技术己经不能满足人们对网络安全的需求。入侵检测系统作为对防火墙及其有益的补充,不仅能帮助网络系统快速发现攻击的发生,也扩展了系统管理员的安全管理能力,有效提高了信息安全基础结构的完整性。
三、结语
网络技术迅速发展的同时,也带来了越来越多的网络安全问题,校园网安全防范的建设更是一项复杂的系统工程,需要相关工作人员予以更多的重视。论文在辨清网络安全和校园网络安全的定义的基础上,从认证技术、密码技术、防火墙、入侵检测系统、访问控制技术、虚拟专用网六个方面分析了校园网安全防范技术,这不仅是理论上的分析,也为网络安全实践提供了一定的借鉴。
参考文献:
[1]蔡新春.校园安全防范技术的研究与实现[J].合肥工业大学,2009(04).
[2]谢慧琴.校园网安全防范技术研究[J].福建电脑,2009(09).
[3]卜银侠.校园网安全防范技术体系[J].硅谷,2011(24).
[4]陶甲寅.校园网安全与防范技术[J].电脑知识与技术,2007(01).
[5]袁修春.校园网安全防范体系[D].兰州:西北师范大学,2005.
[6]钟平.校园网安全防范技术研究[D].广州:广东工业大学,2007.
论文摘 要:简要分析了目前一般校园网的不安全因素与风险。结合信息系统与安全对抗理论,设计校园网络安全体系。
1.引言
校园网网络作为学校重要的基础设施,承担着学校科研、管理、教学和对外交流等诸多责任。校园网网络也从开始的高等院校,逐步向低层次的中等院校、初等院校发展。近些年来,不断有相关技术的发明,以逐步增强校园网络的安全性能。作者认为,校园网网络安全,应该是一个系统性的问题,必须构建校园网网络安全保障体系,才能使个体防护措施得以整合,发挥效用。
2.校园网的不安全因素
2.1 有害信息的传播
大学生的世界观、人生观、价值观尚未成熟,很容易受到不法分子或不良信息的影响,甚至损害国家、社会、集体的利益。
2.2 计算机病毒
计算机病毒是最常见的危害信息系统的手段,可以说防不胜防。拥有潜伏与自我复制能力、传播能力,会对系统或网络造成破坏。校园网,作为一个信息量传输比较大的计算机网络,计算机病毒是主要防范对象之一。
2.3 非法访问
大学生以好奇心重为特点,对于校园网络中应用系统以及重要数据充满兴趣,可能会有有意或无意的非法访问情况发生。这使得校园网内涉密信息,个性信息的安全受到威胁。
3.校园网常见风险
对于一般校园网网络,存在以下4点基本风险:
一些大学生计算机知识浅薄,不懂得如何保护自己的计算机,比如不会为自己的计算机系统打补丁。致使跳板、肉鸡横行,对信息系统安全、网络的正常运行构成了严重的威胁。
计算机病毒泛滥。由于校园网信息流动性大,尤其是U盘等便携式设备普遍使用,助长了病毒传播的速率,严重影响到用户的使用。
外来的系统入侵、攻击等恶意破坏行为。校园网具有丰富的信息资源,甚至是一些涉密信息,这对于外界攻击者来说具有一定的吸引力。比如在每年高考考生报志愿时期,各大高校校园网主页遭挂马。
内部用户的无意或有意的破坏行为。不乏有一些对此有兴趣爱好的学生尝试一些攻击行为和病毒传播,这都给校园网的正常运行造成不良的影响。
4.校园网网络安全防范与管理
校园网的安全问题是一个较为复杂的系统工程,要考虑到技术、组织和用户三方面的因素。
4.1 自身网络资产备案
所谓“知己知彼,百战不殆”,在构建校园网络安全保障体系的之初,应该首先了解自己,即确定校园网络本身所包含的资产,不仅包括硬件设施的备案,对于处于校园网络上的数据更应该加以重视。备案过程中分级处理,比如可以分为绝密级、机密级、秘密级,各级有相对的防范措施、涉密权限。
4.2 合理的网络结构
作为校园网的核心要素,网络结构布局影响着整个系统的安全性能。整个校园网可划分为三个层次:核心层、汇聚层和接入层。
核心层: 将多个汇聚层连接起来,为汇聚层提供数据的高速转发,同时实现与其他骨干网络的互联,高速IP数据出口。该层网络结构重点考虑高速的交换能力、高带宽、高可靠性、良好的扩展能力、清晰的网络结构。
A. 汇聚层: 负责处理接入层的数据转发,将网络物理上隔离为几个子网,保证校园网的整体可靠性。这里运用了技术核心措施转移构成串行链结构,从而形成“脆弱性”原理,全局安全性能由薄弱环节所主宰,必须对各级别子网进行物理划分。
B. 接入层: 接入层直接面向终端客户,负责处理终端用户的数据转发。接入层交换机与汇聚层交换机之间保持VLAN三层路由。核心层和汇聚层均采用三层路由功能的交换机,分别负责数据的集中处理和各个网络分支的管理,通过VLAN抑制广播风暴,同时保证不同子网间的正常访问。
4.3 身份认证系统
在网络中心组建Radius(远程身份验证拨号用户服务)认证计费服务器,同时在用户电脑中安装相应的客户端软件。这也是目前各大高校流行的方案。
4.4 合理设置防火墙
设立防火墙的主要目的是保护一个网络不受来自另一个网络的攻击。应用网关防火墙是通过打破客户端/服务器模式,使客户端/服务器通信拆分成两个连接: 一是从客户端到防火墙,二是从防火墙到服务器,从而提高网络的安全性。
对于防火墙的设置,采用对抗复合式攻击方法,组织多层次、多剖面时间、空间攻击防守。首先,应该把防火墙安装在内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果内部网络规模较大,并且设置有 (VLAN)虚拟专用网,则应该在各个VLAN之间设置防火墙;第三,通过公网连接的校本部与各分校区之间也应该设置防火墙。
4.5 入侵检测系统部署及检测
入侵检测系统是一种重要的安全辅助系统,作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵攻击。
4.6 阻止病毒传播
校园网防病毒工作主要包括预防计算机病毒入侵、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。
在校园网中需建立统一集中的病毒防范体系,特别是针对重要的网段和服务器,要进行彻底堵截。
5.结束语
校园网涉及的网络设备、信息数据相当复杂,不可能有一套完美的防护体系,故它是脆弱的。从系统的角度考虑校园网络安全系统的搭建是有效的,也是必要的。信息系统的安全与攻击,是一类正反矛盾斗争,是永远存在的。只有不断地加强和完善校园网网络安全建设,校园网络才能朝着更健康、更快捷、更高效的目标发展。这需要我们管理者与使用者共同的努力。
参考文献:
论文摘要:随着网络技术发展和人类对网络依赖性增强,网络安全问题日益突出。特别是校园网络的通讯安全已经威胁到了广大师生的正常工作和学习,校园网络安全已经成为当前各校园网络建设中迫在眉睫的问题。
1 引言
目前,网络应用的焦点问题是网络通讯安全问题。其主要表现在信息泄露、信息篡改、非法使用网络资源、非法信息渗透、假冒等方面。在Intemet上网络系统既要开放,又要安全,以至于从技术方面讲安全问题是整个互联网技术里较为困难的问题。从lnternet的角度看,对网络的威胁主要来自于网络硬件和软件两方面的不安全因素。一方面,电磁泄露、搭线窃听、非法人侵、线路干扰、意外原因、病毒感染、信息截获等。另一方面,操作系统本身的问题,各种应用服务存在安全问题。特别是近年来学校网络安全问题日益严重,已经严重威胁到广大师生的使用安全,因此,我们要加强校园网络的安全管理。
2 校园网网络结构简介
校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等 校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。校园外网的服务器群构成了校园网的服务系统.一般包括DNS、WEB、FFP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入,使学校教职工和学生能使
用电子邮件和浏览器等应用方式.在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。
3 校园内网络通讯安全的主要威胁
校园网常见的风险威胁主要是校园网内外的各种病毒的威胁,外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;外来的系统对网络及服务器发起DOS/DDOS攻击,入侵等恶意破坏行为,有些计算机已经被攻破,用作黑客攻击的工具;拒绝服务攻击目前越来越普遍,不少开始针对重点高校的网站和服务器;校园网内管理人员以及全体师生的安全意识不强、管理制度不健全,带来校园网的威胁。
这些威胁主要表现在:
3.1黑客
黑客是网络上的一个复杂群体,他们以发现和攻击网络操作系统的漏洞和缺陷作为乐趣,利用网络通讯安全的脆弱性进行非法活动,如修改网页,非法进入主机破坏程序,窃取网上信息,进行电子邮件骚扰,阻塞网络和窃取网络用户口令等。
3.2计算机病毒
计算机病毒已成为很多黑客入侵的先导,是目前威胁网络通讯安全的重大祸首.它的侵入在严重的情况下会使网络系统瘫痪,重要数据无法访问甚至丢失。
3.3拒绝服务
拒绝服务是指导致系统难以或不可能继续执行任务的所有问题,它具有很强的破坏性,“电子邮件炸弹”、“垃圾邮件”等,就是一些典型的例子.用户受到它的攻击时,在很短的时间内收到大量的电子邮件,从而使用户系统丧失功能,无法进行正常工作。
通过以上校园网的三种威胁,我们可以更深入的分析其原因,主要有以下几点:
(1)校园网内的用户数量较大,局域网络数目较多。校园网的速度快和规模大。少则数千人、多则数万人。正是由于高带宽和大用户量的特点,网络安全问题一般蔓延快、对网络的影响比较严重;
(2)校园网中的计算机系统管理比较复杂。校园网中的计算机系统的购置和管理情况非常复杂,比如学生宿舍中的电脑一般是学生自己花钱购买、自己维护的。有的则是统一采购、有技术人员负责维护的,有的则是教师自主购买、没有专人维护的。这种情况下要求所有的端系统实施统一的安全政策(比如安装防病毒软件、设置可靠的口令)是非常困难的。由于没有统一的资产管理和设备管理。出现安全问题后通常无法分清责任。更有些计算机甚至服务器系统建设完毕之后无人管理,甚至被攻击者攻破作为攻击的跳板、变成攻击试验床也无人觉察;
(3)活跃的用户群体。学校的学生通常是最活跃的网络用户。
对网络新技术充满好奇,勇于尝试。如果没有意识到后果的严重性.有些学生会尝试使用网上学到的、甚至自己研究的各种攻击技术.可能对网络造成一定的影响和破坏:
由于以上各种原因导致校园网既是大量攻击的发源地,也是广大攻击者最容易攻破的目标。
4 网络通讯安全的管理策略
4.1通过技术手段实现网络安全
运用学校计算机网络在技术上实现网络系统的安全管理,确保网络系统的安全、可靠地运行,如实行个人网访问控制、网络权限控制、网络监测和锁定控制、服务器的安全控制、防火墙和杀毒软件结合进行安全控制等技术控制非法用户对目录、文件和其他网络资源的访问。校园网计算机网络系统管理员对网络系统进行网络监控,网络服务器应记录用户对网络资源的访问。对非法的网络访问,服务器应以文字、图形或声音等形式报警来提醒网络管理员。如有非法黑客企图攻击、破坏网络系统,网络服务器应实
(上接第720页)
施锁定控制,自动记录企图攻击网络系统的次数,达到所设定的数值,该账户将被自动锁定,确保网络安全。
同时校园计算机中心应加强内部管理,建立事件的审计和跟踪体系,提高整体信息安全意识。应由专人负责管理服务器或网络设备,其他工作人员未经允许不得随意更改配置;对服务器或网络设备的操作应建立详细的日志,减少内部工作人员的误操作而弓l起的故障。对于学生,应加强网络方面法律、法规的教育,提高学生的法律意识,防止出现破坏网络安全的违法行为。
4.2建立一整套安全防护体系
4.2.1防火墙
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Intemet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界。从而保护内部网免受外部非法用户的入侵。同时防火墙是预防黑客攻击,病毒入侵的重要屏障。防火墙的建立提供了对网络流量的可控过滤,以限制访问特定的因特网端口号,而其余则被堵塞,这一点要求它必须是唯一的人口点。用来阻止未经认证的外部登录。这就是防火墙与路由器是一个整体的原因。
4.2.2端口控制机制
计算机服务器使用自动回呼设备、调制解调器对端口加以保护。并以加密的形式来识别节点的身份。外部用户对校园网进行访问时。端口对其进行身份探查,当确定其身份和法后才允许访问校园网。
4.2.3加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用。加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。
4.2.4封锁系统安全漏洞
在发现新病毒或因系统安全漏洞威胁网络安全时。应当及时提供各种补丁程序以便下载.许多操作系统和应用软件也在不断更新版本以修正错误或完善功能.对于校园网管理过程中,要及时下载和安装各种补丁、升级程序,封锁系统安全漏洞。这样对保护网络和信息系统的安全会起到很大作用,可以有效的防止一些“黑客”因为操作系统和各种应用软件的设计漏洞对校园网资源进行非法访问和有关操作。
4.3建立用户管理制度
在保证学校教职工和广大学生用户合法权力的同时,限制非法用户入侵,保证数据的安全,特别应制定和做好身份验证和访问授权限制。为了识别并证实用户,系统可给合法用户提供唯一的用户标识符,提供一种验证手段,来验证登录的用户是不是真正的拥有该用户标识符的合法用户。也可通过口令、卡片密钥、签名或指纹来实现,通过身份验证确保用户机与服务器的相互身份。
总之,校园网络安全是一个涉及多方面的系统工程,必须全面协调地运用各种防范技术手段,加强对人与物的管理,才能达到预期的目的,为学校建设多作贡献。建立一个安全、稳定、高效的校园系统,是各大校园竞相努力的目标。
参考文献:
[1]龚静.计算机网络安全策略的探讨[J].福建电脑,2004,5:18-l9.
[2]张公忠.统代网络技术教育[M].电子工业出版社出版,2004.
[3]王彦波.计算机网络安全系统[J].信息技术,2003,1(27):15-16.
一高校网络信息的重要性
随着我国经济的高速发展,国家对高校网络建设越来越关注,同时也投入了大量的资金用于发展高校的计算机网络,我国的高校的计算机网络建设工作已经初显成效。传统的校园局域网仅仅用于学校自身的信息系统,而现在的学校的多媒体教室设备、视频监控设备、空调控制设备以及供电、供水控制等,全部都是由网络媒介传输数据和信息[2]。
网格化是近些年辅助教学仪器设备发展的一个方向,任何一种教学辅助设备都需要网络的支持,这些设备传输数据需要依靠学校网络。辅助教学设备依靠网络进行数据共享和传输[3]。例如实验室的光谱分析仪,需要通过远程控制实现数据的远程传输,同时还可以将不同分析仪产生出来的结果汇聚到一台仪器上,从而实现数据的共享和分析对比。
高校网络互联的规模逐步增大,网络应用的种类迅速扩大,由此高校网络信息安全问题显得尤为重要。网络信息安全的保证是高校网络平稳运行的基本条件,其重要性是高校网络中任何环节都无法达到的。为了使得高校网络具有防范威胁的抵抗力,必须抵制外部入侵,同时对于内部的防范也不容忽视。拥有一套真正的全方位、多角度的高校网络安全机制是保证高校网络安全的必备手段。营造一个高效、安全的网络环境不只是需要技术上的支撑,同时在网络管理方面也必须十分规范。只有在技术和管理两个方面同时加大力度,才能使得高校网络充分地被利用[4]。
二高校网络安全受到的威胁
1网络病毒
网络病毒是指网络中的计算机由于被植入了能够自我复制的计算机程序代码,从而使得自身计算机软件、硬件遭到破坏,计算机中部分或者全部数据被泄露。许多网络病毒藏身于网络之中,而且种类和规模以惊人的数量增长,同时还不断地变异成新的病毒。网络病毒通过很多方式进行传播,例如邮箱、下载等方式。网络病毒经常造成严重的网络故障,甚至造成大面积网络瘫痪,大量数据被篡改或者泄露。
2操作系统漏洞
操作系统漏洞以及各种应用程序软件的漏洞给校园网络安全带来了很大的威胁。随着互联网技术的飞速发展,计算机的软件系统变得越来越高级,同时也带来了许多负面的问题。例如随着系统软件的不断更新换代,系统软件自身的复杂度越来越高,程序代码越来越庞大,因此系统软件的漏洞也随之增加。不论是非常简单的软件还是特别完善的软件都有其漏洞,这些漏洞部分是由于编程人员考虑不周或者是疏忽大意造成的软件漏洞,还有一部分是程序员为了方便自己的管理或者调试专门设置的。这些软件漏洞对于网络安全来说是非常大的威胁。据国外某公司调查,操作系统每年平均需要更新3000个网络漏洞,如果这些网络漏洞被蓄意破坏网络的黑客利用的话会造成非常严重的损失。
3黑客攻击
全世界的黑客攻击事件的数量以惊人的速度不断增长。目前黑客对计算机网络的威胁已经成为互联网安全的主要威胁[5]。由于系统和安装在电脑上的软件有一些漏洞,这些漏洞就是黑客们攻击的手段,通过利用这些漏洞,将病毒代码植入目标计算机从而进行破坏或者更改盗取数据。
任意一台计算机,只要连接到网络,就有被黑客攻击的风险。教师和学生在享受高校网络的便利之时也面临着一定的风险。在当前的高校中,大体上有四类黑客攻击:个人利益黑客攻击、报复校园黑客攻击、表现自我黑客攻击和无意攻击。某些人为了自身的利益对学校的管理系统以及数据库进行侵入,通过修改和窃取数据库中的信息,从而达到窃取保密论文、修改个人污点信息等目的。有些人是以报复学校为目的,对学校网络进行攻击,这些人由于受到学校处分,因此他们侵入学校网络系统,进行大肆地破坏,使得正常的教学活动不能进行,同时有些人通过在学校网站虚假信息的方式对学校进行报复。
4校园网络利用不合理
高校网络最主要的目的是为广大师生提供一个良好的网络环境,使得他们能够更好底进行科研、工作和学习。由于学校网络的监管存在漏洞,使得各高校网络资源普遍存在滥用和盗用的问题。盗用网络资源主要是指采用非法途径接入学校网络,从而无偿地利用网络带宽。滥用网络资源主要是指利用占用网络资源观看网络视频以及利用BT软件进行大量数据的下载,给网络带宽造成拥堵,使得日常的教学或者科研很难顺利进行。
5高校网络管理问题
随着高校信息化的发展,校园网络对于高校越来越重要,校园网络所承载的设备逐步增多,但是学校对网络的管理却不是特别重视,主要表现在如下几个方面。高校的网络设备严重老化,很多设备一旦出现问题,设备的部件甚至都已经无法买到,致使校园网络长时间中断。高校对于网络方面投入的资金和物力过少,使得高校的网络难以跟上网络技术发展速度。同时由于资金的问题,对于网络的管理也是非常不完善的,致使很多问题相继出现,例如服务器年久失修造成系统瘫痪、防病毒软件更新不及时导致病毒广泛传播等。
三防范校园网络威胁的措施
1防病毒技术
高校网络可以通过防火墙技术对网络进行保护。通过在网络的软件或者硬件上安装防火墙,从而有效地隔离内部和外部的用户,方便地对外部用户访问内部进行管理。防火墙的合理应用,为高校网络提供了一个安全的策略,通过有效地隔离内、外网的手段,使得高校网络抵抗外部威胁的能力有了很大的提高,而且防火墙也是隔离病毒最高效、最经济、最安全的手段。防火墙技术在高校网络中的应用是非常普遍的。校园网络最大且最常见的威胁是计算机网络病毒,非常有必要建立一套完整的、全面的病毒威胁防范系统,从而有效地抵抗病毒的威胁。首先是根据学校网络的承载能力,选择适合当前学校网络的防病毒软件。其次是校园网络安全策略的详细制定也是十分必要,例如:通过局域网的划分,达到防止病毒在校园网络中大规模传播的目的。最后是要求高校网络用户提高自身的防病毒意识,用户通过及时更新防病毒软件,定期修补系统漏洞,以及查杀病毒,不轻易打开未知文件以及邮件,拥有良好的电脑操作习惯。
2身份认证技术和数据加密技术
身份认证技术是一种常用的网络安全技术,是对通信方进行身份确认来确定通信方是否为合法授权用户,以保证通信的安全。常用的认证方法有口令认证、数字签名等。数据加密技术通过加密算法将明文加密为密文后再进行传输,密文就算被黑客截取也很难获得明文,因为密文只有通过对应解码技术解码后,才能还原成明文,黑客要是没有对应的解码技术,得到的密文数据也是无用的数据。
3数据备份和数据恢复
数据备份主要是为了防止硬盘、闪盘、光盘等存储设备中的重要数据丢失。数据恢复主要是当数据遇到灾难后可以在最短时间恢复数据。在校园网中数据丢失主要有病毒破坏、黑客恶意破坏以及个人或管理人员无意间删除等,当然也有因地震、火灾、水灾等不可抗拒的外因的破坏。因此,管理人员和个人都要做好数据备份工作,以便数据出现灾难后能够迅速恢复,而不至于造成重大损失,常用的备份有异地备份、分区备份、移动设备备份等。
4建立完善的网络管理制度
严格的管理是校园网安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络安全保护不够重视。为了确保整个网络的安全有效运行,有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。如:加强管理员的责任心和敬业精神,提高管理员的专业知识和技能,增强网络用户的防范意识,对网络用户进行有关网络安全的法律法规教育和信息安全知识普及教育,对于非法访问和黑客攻击事件,一旦发现要严肃处理。
校园网络管理员要对用户的用户名和密码采用加密的方式进行存储和传输,同时对用户进行权限设置。网络管理人员对网络用户数据库进行严格的管理与维护,对于系统日志加强管理。对于开放的计算机机房,应该有专人监管,同时还应该做到上网实名制,即使出现问题,可以根据系统提供的信息精确地定位。定期对学校网络安全情况进行调查,全面了解网络安全工作的展开情况,从而从根本上解决网络安全问题。
总体来说,高校网络安全威胁的防范是非常系统、非常复杂的高技术含量的工作。严格地说,绝对安全的网络系统是不存在的,任何网络系统都存在安全隐患。即便这样,高校还是应该加大对于网络建设的投入,从而将安全系数提高一个级别。从当前的情况来看,应该将防病毒软件的应用、加密技术的引入、防火墙的建立等多中手段综合到一起,建立一套真正的高校计算机网络安全体系。
参考文献
[1]王育民,刘建伟.通信网的安全理论与技术[M].西安:西安电子科技大学出版社,1999.
[2]GB19716-2005.信息安全管理实用规则.
关键词:网络信息安全,高职学院,校园网
二十一世纪,信息化建设在不断广泛地铺展开来,其中教育信息化的推进可谓是速度飞快。各高校都相继建成了自己的校园网络,而高职学院也不例外,也有了自己学院的校园网络以及基于校园网络的教务网络管理平台、信息化办公平台和学生网上选修课目系统等网络信息系统。因此,当下校园网络安全问题日趋放大,各种各样的安全隐患使“牵一发动全身”的校园网络越显脆弱。本文就高职学院校园网络安全存在的问题及解决方法谈几点看法。
1校园网络信息安全的威胁
所有校园网络都需要提供开放的网络资源、上网服务,同时又要保证整个校园网络的安全。目前校园网络的威胁分为非人为威胁和人为威胁,其中非人为威胁主要是指物理设备如:学校的路由器、交换机、工作站、各种网络服务器等硬件设备和通信链路容易遭受自然灾害的破坏,从而导致校园网络无法正常运作。而人为威胁是校园网络威胁的主要来源。校园网络的人为威胁主要来自两个方面,一是来自外部公网的威胁,另一方面是来自内部的威胁。下面本文从校园网络内部威胁和外部威胁两个方面谈一下校园网络信息安全的威胁。
1.1内部威胁
1.1.1内部用户威胁
校园网的用户群体一般也比较大,少则数千人、多则数万人,数据量大、速度要求高。随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,学生通过网络在线看电影、听音乐,很容易造成网络堵塞和病毒传播。而这些问题大部分校园网络都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。。同时,还要注意防范校园网内部的黑客攻击。
1.1.2盗版软件威胁
由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这些软件的传播一方面占用了大量的网络带宽,另一方面也给网络安全带来了一定的隐患。比如,Microsoft公司对盗版的XP操作系统的更新作了限制,盗版安装的计算机系统今后会留下大量的安全漏洞。。另一方面,从网络上随意下载的软件中可能隐藏木马、后门等恶意代码,许多系统因此被攻击者侵入和利用。
1.1.3管理威胁
管理方面的困难性也是互联网安全问题的重要原因。校园网的建设和管理通常都轻视了网络安全,特别是管理和维护人员方面的投入明显不足。在中国大多数的校园网中,通常只有网络中心的少数工作人员,他们只能维护网络的正常运行,无暇顾及、也没有条件管理和维护数万台计算机的安全,院、系一级的专职的计算机系统管理员对计算机系统的安全是非常重要的。
1.2外部威胁
1.2.1病毒
计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。计算机病毒攻击网络的途径主要是通过拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等等。由于校园网拷贝频繁所以病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。因此网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”,大肆发起攻击。网络病毒可以突破网络的安全的防御,侵入到网络的主机上,导致计算机工作效率下降,资源遭到严重破坏,甚至造成网络系统的瘫痪。
1.2.2非法软件
一些非法软件采用多种技术手段,强行或者秘密安装,并抵制卸载;强行修改用户软件设置,如浏览器主页,软件自动启动选项,安全选项;强行弹出广告,或者其他干扰用户占用系统资源行为;有侵害用户信息和财产安全的潜在因素或者隐患;未经用户许可,或者利用用户疏忽,或者利用用户缺乏相关知识,秘密收集用户个人信息、秘密和隐私。非法软件具备部分病毒和黑客特征,属于正常软件和病毒之间的灰色地带。杀毒软件一般不作处理,使其经常破坏校园网安全。
1.2.3黑客
黑客侵入校园网计算机系统是造成破坏以及破坏的程序,因其主观机不同而有很大的差别。确有一些黑客(特别是“初级”黑客),纯粹出于好奇心和自我表现欲而闯入他人的计算机系统。他们可能只是窥探一下你的秘密或隐私,并不打算窃取任何住处或破坏你的系统,危害性倒也不是很大。另有一些黑客,出于某种原因进行泄愤、报复、抗议而侵入,篡改目标网页的内容,羞辱对方,虽不对系统进行致命性的破坏,也足以令对方伤脑筋。第三类就是恶意的攻击、破坏了。其危害性最大,所占的比例也最大。
综合以上大部分校园网络破坏是脆弱网络环境所致。服务过多、监控不力,外部破坏、或是起于恶作剧心理的学生,加剧校园网的内忧外患局面。
2威胁解决策略
2.1提高管理水平
这是解决网络安全问题的所有对策中最重要的一点。主要包括以下几方面的内容:建立一个高度权威的信息安全管理机构,并不断强化其权限和职能;制定统管全局的网络信息安全法规,做到有章可循、有法可依;制定网络管理员的激励制度,促使他们提高工作热情,加强工作责任心;对网络管理员进行专业知识和技能的培训;把网络信息安全的基本知识纳入学校各专业教育之中;对学校教师和其他人员进行信息安全知识普及教育;在学校的网站设立网络安全信息栏目,网络法令法规、网络病毒公告、操作系统更新公告等,并提供常用软件的补丁下载。。
2.2采用安全技术
2.2.1采用安全交换机
由于内网的信息传输采用广播技术,数据包在广播中很容易受到监听和截获,因此需要使用安全交换机,利用网络分段及 VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。
2.2.2操作系统的安全
从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。
2.2.3设置防火墙
防火墙的选择应该适当,对于高校内部网络来说,可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。
2.2.4信息保密防范
为了保障网络的安全,也可以利用网络操作系统所提供的保密措施。以 Windows 为例,进行用户名登录注册,设置登录密码,设置目录和文件访问权限和密码,以控制用户只能操作什么样的目录和文件,或设置用户访问级别控制,以及通过主机访问Internet等。 同时,可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性,数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径,电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道,如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等也可以采取相应的保密措施。
2.2.5防范计算机病毒
从病毒发展趋势来看,现在的病毒已经由单一传播、单种行为,变成依赖互联网传播,集电子邮件、文件传染等多种传播方式,融黑客木马等多种攻击手段为一身的广义的“新病毒”。 因此,在网内考虑防病毒时选择产品需要重点考虑以下几点:防杀毒方式需要全面地与互联网结合,不仅有传统的手动查杀与文件监控,还必须对网络层、邮件客户端进行实时监控,防止病毒入侵;产品应有完善的在线升级服务,使用户随时拥有最新的防病毒能力;对病毒经常攻击的应用程序提供重点保护;产品厂商应具备快速反应的病毒检测网,在病毒爆发的第一时间即能提供解决方案;厂商能提供完整即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地让用户了解到新病毒的特点和解决方案。
结束语:高职学院网络通信安全是一个系统的过程,它不仅仅是软件、硬件方面的安全,还应该从管理者的角度加强安全管理和从使用者的角度加强安全指导。因此,必须强化高职学院校园网络安全管理工作意识,健全校园网络通信安全管理工作体制,完善校园网络安全管理工作制度,构建校园网络安全技术支持体系,建立校园网络安全管理工作队伍,营造校园网络安全工作环境氛围,确保高职学院校园网络的安全运行。
参考文献:
1 石淑华.《计算机网络安全技术(第二版)》.人民邮电出版社 2008-12
2 杨丽英. 高校师德建设的问题与对策 J .中国成人教育 2008(23):88-91
关键词:远程监控;校园网;服务器;措施
中图分类号:TP393.07 文献标识码:A文章编号:1007-9599 (2011) 03-0000-01
Remote Monitoring Application Research and Implementation Measures in the Campus Web Server
Zhangan Feng
(Century College of Beijing University of Posts&Telecommunications,Beijing102613,China)
Abstract:The campus network has become a campus building an important part,especially in institutions of higher learning,its importance has become increasingly prominent,not only can improve the level of school information,and to the work of teachers and students learn a big help.However,some risks unique to the network need to be concerned,which requires schools to strengthen school management and supervision of the network server.Way of using remote monitoring system to monitor the network has become an important measure of network security management,how to remote control used in the management of campus web server,is this paper's main focus.
Keywords:Remote monitoring;Campus network;Server;Measures
一、校园网络远程监控的必要性分析
随着整个社会网络信息工程的更加普及,高校对校园网络建设的工作也日益重视,在众多的校园中,校园网络的建设工作已经初具规模,网络结构的构建也更加复杂,服务器的数量也越来越多,特别是我国有一些高校校园结构特殊,有下级学院或者分校,对这种情况的校园网络进行管理,就需要一个更加科学更加灵活的管理方式。利用远程监控对校园网络进行监控管理,是当前比较常见的一种监控方式。那么,为什么要对校园网络进行监控,我们从以下几个方面来分析:
(一)网络正常运行的管理需要
网络虽然是一种虚拟的抽象存在,但是它同众多的客观事物一样,正常规范的运行也必须依赖监督和管理。在网络的运行中,也会出现网络拥堵、程序瘫痪、服务器异常等情况,导致这个校园网络的运行出现障碍。一旦网络运行出现障碍,会对学生的学习,老师教学的展开,校园各项管理工作带来极大地不方便,特别是当前高校中已经普遍实现了信息化管理,对网络依赖的程度越来越高,如果不能保证网络的通畅稳定,就会给高校各种工作的开展带来困难。同时,这些导致网络不稳定的状况不具有可预测性,所以必须长期的灵活的关注,一旦出现问题立即做出反应,这是校园网络要求利用远程监控的一个重要原因。
(二)信息安全的管理需要
随着高校信息化水平的提高,高校的各项数据通过网络的方式进行存储和传递的数量越来越多。信息时代的一个重要问题就是网络安全问题,在高校的网络运行中,安全管理工作同样重要。保障高校网络运行的数据安全是利用远程监控对校园网络服务器进行监控的一个重要原因,因为校园网络中可能包含高校行政管理的相关方案和数据、校园发展的相关动态、学校的文献资料、图书资料等内容,一旦这些内容被泄露,会对高校管理的工作带来不必要的麻烦和损失。在当前的社会中,由于对网络安全的犯罪在法律条文和具体的执行操作上都存有弊端,所以网络安全犯罪也屡见不鲜,恶意的网络攻击、数据窃取已经成为危害信息数据安全的常见案例。通过远程监控对校园网络安全进行管理,一是要防患与未然,做好积极的应对;二是要在情况发生以后,迅速及时的予以拦截和反击。通过主动和被动两种方式,来保证校园网络的正常运行。
(三)这是校园网络群体特征的要求
校园网络的一个最主要群体就是高校校园中的在校学生,学生作为网络运行的适用主体,就对整个网络提出了更高的要求。远程监控不但体现在监督作用上,而且还体现在管理功效。对校园网络进行管理,这其中对于学生的学习而言就是要做好网络运行的时间管理分配工作,避免因为学生对网络的过于依赖导致了对学业的偏废甚至荒废,通过外界力量的干涉,对这种不良的行为予以克制和规制,使校园网络更好的为学生的学习服务,尽量发挥其积极功效的一面,这是使用远程监控对校园网络服务器进行监管的一个重要方面。
二、校园网络远程监控的内容分析
校园网络的远程监控,无论是从内容上还是功效上来看,都是一项极为复杂的工作。按照对校园网络进行监控的目的来对远程监控的内容进行分析,主要有以下几个方面:
(一)对校园网络运行的区域和时间进行监控
很显然,校园网络是一个覆盖范围较大的局域网络,局域网络的特征就是在特定的区域范围内能够正常的使用该网络,信号或网络连接器的设置比较特殊。对校园网络进行远程监控的首要内容就是对校园网络作为一种局域网的特性进行监督,对服务器接入的范围进行监管,将范围控制在校园运行的范围内,这也是保证校园网络稳定安全运行的有一个重要内容。另外,对校园网络的运行时间进行管理和监控,这是校园网路的特性所决定的。在当前的高校中,很多高校的信息网络为了保证学生正常的休息时间,对网络的运行也按照学生正常的作息时间来安排。例如一般高校在晚上十一点半以后都选择关闭校园网络,避免学生因为沉迷于网络而出现的熬夜等不良现象的出现。从这点上来看,我们可以知道校园网络的运行,也必须为校园的学习氛围进行考量,毕竟高校是一个让学生学习知识,强大自身的一个地方,各项工作的开展,都必须为这一主旨思想而服务,这也就决定了校园网络监管的任务和对象。
(二)对校园网络进行流量监管
流量监管是对网络运行进行监管的一个比较常用的手段,流量是考察一个网络是否稳定运行的一个重要方面。在校园网络中,对流量的监管就更为重要。网络作为一种校园的公共资源,同样必须遵循的合理均衡的原则,但是在现实生活中,有很多行为非常占用流量的使用,例如利用软件进行一些高强度的下载,玩大型网游,一些视频播放的加速器等,这些都是非常占用流量资源的。一个网络服务器能够提供的能量和资源始终有限,如果这些有限的资源被某一个体高强度的占用,那么就意味着其他个体只能少用或者不用,当然,这种情况通常表现的就是网络无法正常运行。这种资源的分配不均匀,会给他人的工作和学习带来阻碍和困扰。当然对这种行为的规制需要靠自觉,但是我们也可以通过对流量的监控对这种现象予以应对。对于IP地址流量不正常或者说流量过于大的,管理人员可以通过技术手段对其进行限制和规制,以此来保证整个网络的有序进行,不因某个体的行为对整个网络的运行工作带来困扰。
(三)对校园网络的信息安全进行监管
这里所说的信息安全,与文中第一部分提到的信息安全有所区别,除了数据安全的内容以外,信息安全的范围应该包含更加丰富的内容,例如信息传播的内容和思想是否健康,是否会对学生的发展产生不良的影响。校园网络的受众群体就是广大的学生,高校的学生在这一时期还处在自己的人生观和价值观形成的阶段,而此时,也是他们获取大量的知识来形成个人价值观的重要时期。网络时代是一个信息高速膨胀的社会,通过网络可以搜索到各种各样的新闻或者资料,积极健康的资料自然有利于学生科学价值观的正确形成,但同时我们也应该意识到,消极不健康的信息资料在网络上大量存在也是不争的事实。另外,网络论坛、BBS、SNS社区等越来越多网上交流版块已经越来越普遍,这些已经成为高校学生交流思想的重要原地,各大学校的BBS论坛已经成为每一个高校文化独特的风景线,但是,一些不法分子,或者说别有用心的人,正是利用这些工具散播不实信息,影响学生的判断,故意挑起事端引导网络上的激烈争辩。这些现象都是校园网络监管也应当关注的内容,通过对话题的敏感度进行筛选分析,对不良的内容和信息予以排除,以此来保证整个校园网络的健康运行。
三、校园网络远程监控的措施分析
(一)基于软件的方式
这种方式既有属于操作系统自带的功能,如:Windows 2000Server所支持的终端服务以及Win-dows XP 和 Windows 2003 所支持的远程桌面等,也有一些商业软件或第三方免费软件,可供选择的软件种类繁多。但是这些功能或软件的应用无一例外都是与操作系统本身的状态有关,当操作系统由于种种原因停止响应,甚至崩溃死机的时候,远程管理也就无从谈起,因此这种方式更适合作为监控系统状态、性能以及日常系统维护之用,实施常规性预防性的管理,而对于较为严重的系统故障和问题则无能为力。
(二)基于硬件的方式
基于硬件的远程管理技术是通过服务器内置的硬件模块或特殊远程管理卡来实现,它是由专用的存储控制器、以太网控制器以及使用单独指令集和数据缓存的管理芯片等组成的自主管理子系统,完全独立于服务器的操作系统,相对更为底层。这样,无论服务器是否开机,是否安装有操作系统或者系统是否正常运行,都可以使用标准的WEB浏览器通过网络对其进行全面的控制操作,实施远距离管理。硬件方案只需连接线材,无需逐一安装及设定,如通常所用的KVM具备OSD工具,支持多种多计算机管理功能,再如KN9116具备画面切割显示的功能(Panel Array),所以硬件方案在集群式服务器远程控制管理上有着绝佳的优势。
(三)iLO技术
现在许多服务器制造厂商,如:IBM、DELL、惠普等,都有各自的服务器硬件级远程管理技术和解决方案,实现的方式和所用名称可能各有不同,但在功能和原理上还是基本类似的。以惠普ProLiant服务器为例作一介绍。惠普ProLiant服务器的集成式远程管理技术叫iLO(IntegratedLights-Out),按其使用功能可以分为标准功能和增值功能2种。普通ProLiant服务器缺省内置的是标准功能软件包,而其刀片式服务器则包含完整的功能软件包。iLO的使用非常简便,如果局域网内存在DHCP服务器,用户只需把网线插入服务器上的iLO网络管理端口,使用服务器上的标签所示出厂时初始的 DNS和密码,就可以通过标准的WEB浏览器进行访问,不需要安装任何客户端软件,当然,其中部分功能需要JVM(Java Virtual Machine)的支持。若没有DHCP服务器,则可以通过 RBSU(ROM-Based SetupUtility)来设置相关参数。在服务器启动自检过程中显示“IntegratedLights-Out press [F8] toconfigure”时,按下“F8”键,即可进入iLO设置界面。因为iLO已经提供了工业标准的128位SSL(安全套接层)加密技术和 SSH(SecureShell)Security等一些安全措施,因此当管理员在企业外部进行远程访问时,既可以选择通过防火墙端口映射或主机映射到iLO端口,也可以选择更为安全的、通过VPN(虚拟专用网)的方式接入内部网。
参考文献:
[1]张荣明.基于Internet的远程监控系统研究与设计[D].中国优秀硕士学位论文全文数据库,2007,2
[2]HP.Remote Management Strategy[Z]USA:HP Development Company,L.P.,2004
[3]HP.HP Integrated Lights-Out 1.80 User Guide[Z].USA:HP Development Company,L.P.,2005
论文摘要 高校校园网络在各种教学活动中的应用越来越广泛,如何进行合理、有效的网络管理,使网络技术更好的为高校教学教研服务,是校园网络管理人员的首要任务。本文就校园网络管理、硬软件的维护等方面提出了几点体会。
校园网是一种教育科研网络,它构建在多媒体技术与现代网络技术之上,为校园内的各种教学活动服务,是一种与互联网连接的局域网络环境。随着社会的发展,互联网的应用越来越广泛,因此,只有合理、有效的网络管理才能使网络技术更好的为高校教育服务。笔者结合工作实践,总结了几点高校校园网络管理与维护的经验,现汇报如下。
1 制定出行之有效的校园网络规章制度
高校教育现代化的实现依托于校园网络的建立,因此,必须制定出一系列的规章制度来保证校园网络的正常管理与维护,只有这样才能做到有规可依、有规可循,才能使校园网络的管理与维护做到有条不紊,才能保证整个校园网络的一体性和连续性。有效的规章制度是校园网络管理与维护的重要措施,因此规章制度的建立一定要具体、全面并且切合实际,制定出了制度就要要求校园内的师生严格执行,否则就起不到应有的效果。
2 维护好硬件设备是校园网络正常运转的基础
高校校园网络中,服务器是正个网络的命脉,如果出现硬件方面的故障,就会导致整个校园网络无法运转,陷入瘫痪;而某一台计算机的硬件有问题,则会到这这台计算机无法使用,影响到学生上机实训。所以,校园网络管理人员必须认真做好校园网硬件的日常保养及维护、维修工作。
2.1硬件设备的日常保养
校园网络硬件的日常保养要严格遵守规章制度,计算机不能随意开关机,尤其是在微机运行过程中更不能随意冷启动机器。在机器运行过程中,网络管理人员要随时注意观察,如有问题发生,则要第一时间处理,以免影响正常使用。同时还要注意机房内的温度和湿度,卫生环境保持整洁、干净。
2.2硬件设备的维护与维修
计算机的硬件设备在使用过程中难免会出现一些故障,如:元件老化导致机器无法正常运转;环境因素及机器内部灰尘过多引起接触不良等等情况。这就要求校园网络管理人员必须熟知计算机工作原理,对硬件设备定期进行维护,同时还应设立各种零配件储备仓库,便于在机器硬件出现故障时及时更换使用。
3 维护好软件设备是校园网络正常运转的保证
软件设备的维护在校园网络中起着举足轻重的作用,维护工作更为复杂、频繁。网络在日常运转中看似正常,如果不进行维护,出现故障之后不能及时修复,就会影响到整个校园网络的使用。因此,网络管理人员在平时工作中就要不断学习网络新知识,紧跟技术发展潮流,才能做好软件设备维护工作。
3.1定期做好数据备份及系统保护工作
校园内计算机数量较多,因此要做好数据备份及系统保护工作。网络管理人员应将服务器上的一些重要文件定期进行备份存档,以免因数据丢失或损坏带来不可挽回的损失;对于计算机系统,可采用软件还原或是硬件还原来保护,这样就可以在系统遭到破坏时快速还原,节约系统重装的时间。 转贴于
3.2定期做好杀毒工作
网络病毒是无处不在的,一旦被病毒入侵校园网的服务器,就会导致系统瘫痪,使各种程序及数据遭到破坏。因此,网络管理人员必须对服务器设置全面的保护措施,并在服务器和邮件系统上安装网络杀毒软件,这样就可以在校园网络正常运转中自行进行病毒扫描任务,同时这些杀毒软件都支持定时升级、全网杀毒的功能,可以大大减少网络管理人员的工作量。
4校园网络安全管理
网络环境是一个开放的环境,要防范没有授权的用户擅自使用校园网络资源、破坏网络系统资源,就要随时做好安全管理。首先,要有专门的网络安全管理人员来对系统进行维护,并指导其他用户一些计算机基本设置和网络方面的知识,提高他们的防范意识;其次要建立完整的账户管理和身份认证制度,这是入网的关键性问题,同时也是保证网络畅通、免遭恶意用户攻击的前提。
5 积极开发利用网络信息资源
高校应用校园网络就是要使它能够最大限度的为教学教研所服务,校园网络管理人员在做好网络管理的同时还要充分开发利用网络信息资源。目前,我国校园网络建设中普遍存在的问题就是缺乏教育信息资源,因此,在校园网络教学资源库等软件逐渐配备,网络环境已经搭建好的情况,校园网络管理人员应有效的利用这些硬软件资源,积极出开发有利于教学教研的网络信息资源。
高校校园网络在各种教学活动中的应用越来越广泛,网络管理工作是校园网络正常运转的有效保障。校园网络管理与维护任重而道远,要让日常网络管理工作有条不紊地开展,高效又有条理,使校园网络更好的为教学教研所服务,是每一位校园网络管理人员的不懈追求的目标。
参考文献
[1]韩塞北.新形势下校园网管理探析[J].长春师范学院学报:自然科学版,2009(10).
[2]王关祥.浅谈我校网络信息化建设与管理[J].电子商务,2010(6).
[3]胡顺楼.校园网络改造优化运行的简单分析[J].光盘技术,2009(6).
[4]肖红.图书馆网络升级设计与应用[J].甘肃科技,2010(15) .
? ? ? ?1.1是智慧校园运行的基础。
? ? ? ?无线网络使校园用网更为方便,快捷,智能,因而校园也被冠上了智慧的头衔。现今无线局域网技术和无线产品的日益成熟,无线网络也逐渐在全校覆盖,无论师生们走到体育场、食堂、宿舍等地,都能够通过他们手中的移动设备连入校园无线网络之中,这样不仅丰富了师生的业余生活,加强师生之间以及和家人的联系,也可以让师生通过网络来学习,增加学生获取信息的途径,促进师生终生学习。因此必须保证无线网络安全,让智慧校园更好地运行。
? ? ? ? ?1? .2是智慧校园质量的保证。
? ? ? ?学生不仅可以通过无线网络时时办理网费,饭卡充值,手机话费,购买往返车票等各种业务,智能又便捷。还可以在教学楼、宿舍楼、图书馆等校园内任何地方运用无线网络向老师请教问题、提交作业,再也不需要满世界的找网线了。无线网络极大地推动了信息化校园的构建,使工作摆脱空间时间束缚,效率更高的完成。
? ? ? ?1.3为智慧校园发展提供方向。
? ? ? ?人们对无线网络安全问题的关注使从事智慧校园建设相关工作人员提供了技术发展方向。促使他们在我国智慧校园的建设中研发更适应人们需求的技术。作为智慧校园运行的基础和前提,无线网络相关技术的深入发展,给智慧校园建设提供了更多的方向和可能。
? ? ? ?2智慧校园建设中无线网络的安全隐患
? ? ? ?2.1黑客病毒入侵问题。
? ? ? ?校园中的公共机房开放性强,共享率高,更加方便黑客利用校园网络管理的疏漏来进行攻击破坏,造成及其恶劣的影响。黑客编写病毒代码在互联网上传播,学生长时间的使用电脑加速了病毒在局域网的传播,令人头疼的是这些病毒广泛散播,破坏性强,隐蔽性高且难以清除,因此智慧校园无线网络中存在很大的安全隐患。不法分子通过会话欺骗、拦截等手段入侵网络系统,进而窃取校园中的科研项目、师生论文等数据资料,严重影响了校园网的用网安全。
? ? ? ?2.2网络虚假信息问题。
互联网所营造的是一个没有太多限制的自由世界,是一个不可触摸的虚拟世界,别有用心之人可能会利用虚拟世界编造虚假信息实施假冒攻击,进行诈骗,勒索,迷惑等行为。也许大多数学生都会遵守法律和社会秩序,但有的学生单纯不成熟且易被欺骗,又或者是盲目听从,因此造成经济损失,甚至影响心理或身体健康。
? ? ? ?2.3网络开放共享问题。
? ? ? ?无线网络是开放的,并没有对其他使用者设限校园无线网络覆盖范围很广,人们同时使用校园网会出现网络传输速低、信号质量不稳定甚至崩溃的情况。在自己不知情的情况下与他人共享网络,网络会不流畅或者流量耗损大,损害了自己的利益。
? ? ? ?3如何提高智慧校园建设中无线网络的安全性
? ? ? ?3.1用户实名制,筛查网络用户。
? ? ? ?实行用户实名制,对入网用户进行筛查,将不法分子入侵的计划扼杀在摇篮里。无线网络的使用的确存在很多安全隐患,给校园师生的数据信息安全带来了威胁。标识每一个用户,防止不法分子鱼目混珠,非法入侵。每个学生入学时都有自己独一无二的学号或其他身份证明如学号,身份证等,而学号就可以作为学生使用互联网的凭证,登录时需要进行身份验证,并要求用户实名验证,此外,为了有效防止学生盗用他人账号,每人必须自行设计无线密码,输入错误密码则不可使用网络。这种方法可以有效提高学校无线网络的安全性。
? ? ? ?3.2确保只有唯一用户。
? ? ? ?为了高效且切合实际地维护校园无线网络的使用安全,最好采用一个实名只能同时登录一台设备终端的方法,这样学生就能知道自己的账号是否被他人盗用,学生就能够及时发现问题、解决问题。就像用户在电脑上登陆了校园网,就不能在另一台电脑或手机上登陆了。用户使用权唯一性制度也能让学生更加注重保护自己的密码信息,提高安全意识。
? ? ? ?3.3规范网络运营体系。
? ? ? ?提高智慧校园建设中无线网络的安全性,要求我们规范网络运营体系,打造纯洁的网络环境,加强网络上信息的监管,严惩诈骗分子;一旦发现违法入侵行为果断采取措施,立即对异常终端设备进行屏蔽,绝不姑息。定期更新网络安全策略以及安全设备,净化网络环境。在学校建立无线网络运营体系,分配资源维护数据库,实现规范化运营。时刻警惕安全漏洞,做好后勤保障工作。未雨绸缪,要有极强的预见性,降低危险性,以此赢得学生和教师的信任。
? ? ? ?4结论
? ? ? ?构建和谐、安全和高效的无线网络顺应了时展的潮流,智慧校园的建设也需要每一个学生和相关工作人员的努力。面对无线网络在智慧校园中可能存在的安全问题,应该从多个角度入手,并着眼于多个方面,不断调整应对策略。通过本研究的分析,能够提高智慧校园建设中无线网络的安全性,为校内师生提供一个良好的网络环境。
参考文献
关键词:无线网络;安全;Portal认证;802.1x
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)35-2103-01
Campus Wireless Network Security Strategy
LI Qiang
(Network Management Center of North University for Ethics,Yinchuan 750021,China)
Abstract: With the information-based colleges and universities continue to raise the level of the building,the wireless network is becoming the campus network solution is an important component.In this paper,the campus wireless network access for research,and campus wireless network security analysis,the final paper,a campus network for wireless network security solutions.
Key words: wireless network;security;portal certificate;802.1 x
1 引言
在过去的很多年,计算机组网的传输媒介主要依赖铜缆或光缆,构成有线局域网。但有线网络在实施过程中工程量大,破坏性强,网中的各节点移动性不强。为了解决这些问题,无线网络作为有线网络的补充和扩展,逐渐得到的普及和发展。
在校园内,教师与学生的流动性很强,很容易在一些地方人员聚集,形成“公共场所”。而且随着笔记本电脑的普及和Intemet接入需求的增长,无论是教师还是学生都迫切要求在这些场所上网并进行网上教学互动活动。移动性与频繁交替性,使有线网络无法灵活满足他们对网络的需求,造成网络互联和Intemet接入瓶颈。
将无线网络的技术引入校园网,在某些场所,如网络教室,会议室,报告厅、图书馆等区域,可以率先覆盖无线网络,让用户能真正做到无线漫游,给工作和生活带来巨大的便利。随后,慢慢把无线的覆盖范围扩大,最后做到全校无线的覆盖。
2 校园网无线网络安全现状
在无线网络技术成熟的今天,无线网络解决方案能够很好满足校园网的种种特殊的要求,并且拥有传统网络所不能比拟的易扩容性和自由移动性,它已经逐渐成为一种潮流,成为众多校园网解决方案的重要选择之一。随着校园网无线网络的建成,在学校的教室、办公室、会议室、甚至是校园草坪上,都有不少的教师和学生手持笔记本电脑通过无线上网,这都源于无线局域网拓展了现有的有线网络的覆盖范围,使随时随地的网络接入成为可能。但在使用无线网络的同时,无线接入的安全性也面临的严峻的考验。目前无线网络提供的比较常用的安全机制有如下三种:① 基于MAC地址的认证。基于 MAC地址的认证就是MAC地址过滤,每一个无线接入点可以使用 MAC地址列表来限制网络中的用户访问。实施 MAC地址访问控制后,如果MAC列表中包含某个用户的MAC地址,则这个用户可以访问网络,否则如果列表中不包含某个用户的MAC地址,则该用户不能访问网络。② 共享密钥认证。共享密钥认证方法要求在无线设备和接入点上都使用有线对等保密算法。如果用户有正确的共享密钥,那么就授予该用户对无线网络的访问权。③ 802.1x认证。802.1x协议称为基于端口的访问控制协议,它是个二层协议,需要通过 802.1x客户端软件发起请求,通过认证后打开逻辑端口,然后发起 DHCP请求获得IP以及获得对网络的访问。
可以说 ,校园网的不少无线接入点都没有很好地考虑无线接入的安全问题,就连最基本的安全,如基于MAC地址的认证或共享密钥认证也没有设置,更不用说像 802.1 x这样相对来说比较难设置的认证方法了。如果我们提着笔记本电脑在某个校园内走动,会搜索到很多无线接入点,这些接入点几乎没有任何的安全防范措施,可以非常方便地接入。试想,如果让不明身份的人进入无线网络,进而进入校园网,就会对我们的校园网络构成威胁。
3 校园网无线网络安全解决方案
校园网内无线网络建成后,怎样才能有效地保障无线网络的安全?前面提到的基于 MAC地址的认证存在两个问题,一是数据管理的问题,要维护 MAC数据库,二是 MAC可嗅探,也可修改;如果采用共享密钥认证,攻击者可以轻易地搞到共享认证密钥;802.1x定义了三种身份:申请者(用户无线终端)、认证者(AP)和认证服务器。整个认证的过程发生在申请者与认证服务器之间,认证者只起到了桥接的作用。申请者向认证服务器表明自己的身份,然后认证服务器对申请者进行认证,认证通过后将通信所需要的密钥加密再发给申请者。申请者用这个密钥就可以与AP进行通信。
虽然 802.1x仍旧存在一定的缺陷,但较共享密钥认证方式已经有了很大的改善,IEEE 802.11i和 WAPI都参考了802.1x的机制。802.1x选用EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有EAP-MD5、EAP-TLS和PEAP等。Microsoft为多种使用802.1x的身份验证协议提供了本地支持。在大多数情况下,选择无线客户端身份验证的依据是基于密码凭据验证,或基于证书验证。建议在执行基于证书的客户端身份验证时使用EAP-TLS;在执行基于密码的客户端身份验证时使用EAP-Microsoft质询握手身份验证协议版本2(MSCHAPv2),该协议在PEAP(Protected Extensible Authentication Protoco1)协议中,也称作PEAP-EAP-MSCHAPv2。
考虑到校园群体的特殊性,为了保障校园无线网络的安全,可对不同的群体采取不同的认证方法。在校园网内,主要分成两类不同的用户,一类是校内用户,一类是来访用户。校内用户主要是学校的师生。由于工作和学习的需要,他们要求能够随时接入无线网络,访问校园网内资源以及访问Internet。这些用户的数据,如工资、科研成果 、研究资料和论文等的安全性要求比较高。对于此类用户,可使用 802.1x认证方式对用户进行认证。来访用户主要是来校参观、培训或进行学术交流的一些用户。这类用户对网络安全的需求不是特别高,对他们来说最重要的就是能够非常方便而且快速地接入Intemet,以浏览相关网站和收发邮件等。针对这类用户,可采用DHCP+强制Portal认证的方式接入校园无线网络。
如图所示,开机后,来访用户先通过DHCP服务器获得IP地址。当来访用户打开浏览器访问Intemet网站时,强制Porta控制单元首先将用户访问的Intemet定向到Portal服务器中定制的网站,用户只能访问该网站中提供的服务,无法访问校园网内部的其他受限资源,比如学校公共数据库、图书馆期刊全文数据库等。如果要访问校园网以外的资源,必须通过强制Portal认证.认证通过就可以访问Intemet。对于校内用户,先由无线用户终端发起认证请求,没通过认证之前,不能访问任何地方,并且不能获得IP地址。可通过数字证书(需要设立证书服务器)实现双向认证,既可以防止非法用户使用网络,也可以防止用户连入非法AP。双向认证通过后,无线用户终端从DHCP服务器获得IP地址。无线用户终端获得IP地址后,就可以利用双方约定的密钥,运用所协商的加密算法进行通信,并且可以重新生成新的密钥,这样就很好地保证了数据的安全传输。
使用强制 Portal+802.1x这两种认证方式相结合的方法能有效地解决校园网无线网络的安全,具有一定的现实意义。来访用户所关心的是方便和快捷,对安全性的要求不高。强制 Portal认证方式在用户端不需要安装额外的客户端软件,用户直接使用Web浏览器认证后即可上网。采用此种方式,对来访用户来说简单、方便、快速,但安全性比较差。虽然用户名和密码可以通过 SSL加密,但传输的数据没有任何加密,任何人都可以监听。当然,必须通过相应的权限来限制和隔离此类用户,确保来访用户无法访问校园网内部资料,从而保证校园网络的高安全性。校内用户所关心的主要是其信息的安全,安全性要求比较高。802.1x认证方式安装设置比较麻烦,设置步骤也比较多,且要有专门的802.1x客户端,但拥有极好的安全性,因此针对校内用户可使用802.1x认证方式,以保障传输数据的安全。
4 结束语
校园网各区域分别覆盖无线局域网络以后,用户只需简单的设置就可以连接到校园网,从而实现上网功能。特别是随着迅驰技术的发展,将进一步促进校园网内无线网络的建设。 现在,不少高校都已经实现了整个校园的无线覆盖。但在建设无线网络的同时,由于对无线网络的安全不够重视,对校园网无线网络的安全考虑不够。在这点上,学校信息化办公室和网管中心应该牵头,做好无线网络的安全管理工作,并完成全校无线网络的统一身份验证,做到无线网络与现有有线网络的无缝对接,确保无线网络的高安全性。
参考文献:
关键词:校园网,中小型校园网,中小型校园网管理
随着Internet的出现及其爆炸式的发展和“教育要面向现代化,面向世界,面向未来”指导思想的贯彻实施,各中专、高职院校及中小学相继建成或正在建设校园网。校园网的建成,使其成为学校必不可少的信息基础设施,也成为了学校提高教学质量、加强管理、促进科研的重要工具和手段。然而,校园网络在带来高效便利的同时,也带来了日益突出的管理问题,尤其是在中专、高职院校及中小学的中小型校园网内。由于种种原因,此类院校在网络管理方面的技术实力相比一般本科院校要差些,在管理方面投入的资金也往往捉襟见肘,但不能因此而被排除在教育信息化的浪潮之外。本文将结合我们的一些实践活动,来浅析一下中小型校园网的管理。
1、中小型校园网自身特点
(1)没有足够资金投入
由于中专、高职院校及中小学自身基础的原因,此类院校很难像本科院校一样有足够的财力支持来进行完善的、大规模的校园网的建设,这就造成了此类院校的校园网中普遍存在的先天不足的现象,硬件基础建设投入不足,校园网的规划没有前瞻性,所提供的服务功能简单,整体上仅能实现接入互联网、提供学校门户及办公网站等基础。。
(2)人员配备不足
“三分技术,七分管理”,网络的效能发挥的多少就集中在技术与管理的合理配置上。此类院校在校园网的应用上需求虽然与普通高校有所区别,但还是有很多类似的,但是由于投入的不足,所以设备大多老化、落后;在管理的人员配置上,很多此类院校的网络管理人员往往身兼数职,一方面是网络管理技术人员,另一方面是学校的教学人员,学生管理人员。校园网的管理是人对校园网的管理,人员这个问题日渐突出,在管理职能上由于很多学校都还没有成立独立的网络中心;即使成立有,人员配备也是很有限的,对网络管理也不能责权到人。再加上学校对网络管理者的业务、技术培训往往又不够重视,网络管理者相当于救火员的角色,疲于奔命,既难以有效地管理校园网络,又给网络管理者造成很大的管理任务。
(3)校园网普通用户的网络安全意识淡薄,计算机应用水平不高
一般的普通用户对于网络安全问题,认识不到人人有责,总认为安全问题是网络管理者的事情,与自己没多大关系,但在目前网络病毒无孔不入的情况下,病毒往往通过这些用户进入校园网络,为校园络的安全管理带来了极大的安全隐患,同时,无形中大幅增加了网络管理者的工作量。除此之外,由于普通用户对网络知识所知不多,自然会对整个校园网造成大的困扰,比如常遇到的lP地址冲突问题,就是由于用户乱设1P造成的。这些方面影响了校园网的正常运行,另一方面,由于用户计算机应用水平不高带来的需求不足也造成校园网建设进展缓慢,从而影响了学校的信息化建设。。
2、中小型校园网管理
(1)合理规划、分布改造
由于此类中小型校园网普遍存在的先天不足的现象,要改变这种现象,只能按照先进性、可扩展性、高可靠性、开放性、易管理性、安全性的校园网设计原则重新整体规划。为了避免一次性投入费用太高而无法进行校园网建设的问题,建议采用分布实施的方式,对现有校园网分布改造,实现校园网的平稳升级。
(2)要制订行之有效的管理规章制度并严格执行
再好的校园网平台,如果没有规章制度来约束和保障,它就不可能高效、长期的运行下去,为使校园网能够高效、长期的运行下去,就需要制定一系列行之有效的规章制度并严格按照规章制度实行。管理制度要根据各学校的校园网环境和工作性质恰如其分的制定。这主要是为学校的教师和学生提供了一个良好的微机操作环境,明确机房管理人员、教师、学生等人员的职责及违规的处罚等内容。这样既有利于工作又有利于管理。
(3)为管理和维护校园网配备良好的团队
组成学校、网络中心和各级网络管理人员的管理体系。培养专、兼职结合的网络管理队伍,具体行使校园网管理事宜并加强与各职能部门协调和沟通。宣传校园网的重要性和安全性,大学生是校园网的主要使用者,也是网络技术的主要传播者,如果能让学生在使用网络的同时自发维护、管理网络,校园网的使用环境将大为改善。校园网管理队伍建设,除保证校园网正常运行外,同时也提高了网络信息的质量和数量,推动校园网的发展和应用,可使越来越多的师生成为校园网的受益者、管理者、建设者和服务者,并共同来开发信息资源。
(4)加大对校园网用户的培训,提高用户的计算机应用水平
校园网归根到底是供用户来工作学习的,校园网的建设的方向就是对用户需求的反馈,但是计算机应用水平不高造成校园网的一些服务由于用户的不了解或者使用上的误区而闲置浪费,这样不但造成了资源的浪费也会影响用户与校园网之间的联系。因此对用户进行必要的培训是十分必要的,将校园网在使用中常见的问题以及解决的对策、新的服务及应用传授给用户,加强用户与校园网之间的联系,使之成为用户工作学习的必备工具是十分必要的。可以通过在网站宣传、开展讲座等方式来进行。
(5)硬件维护是校园网能否正常运行的基础、软件维护是校园网能否高效运行的保障。
由于校园网的数据传输都是靠硬件设备来完成,任何一个设备出现故障都会对校园网局部或全局产生影响,所以网管人员必须作好校园网硬件的日常维护工作。在条件允许的情况下,为影响全局的主干设备准备备用设备。
没有软件的计算机对我们来说是毫无意义的,同样,没有软件支持的校园网,就好似一个空架子,发挥不了任何作用。所以,软件维护在校园网中起着举足轻重的作用。软件维护较之硬件维护也更为频繁,工作量也相当的大。
3、结束语
校园网规模的日益扩大,网络的管理和维护工作显得繁杂与重要。。网络硬件设备的故障问题;网络软件的设置、优化问题;网络病毒的破坏和网络安全问题等等,是确保网络可靠和稳定运行的核心问题。进行网络有效的管理和维护,是我们网络管理人员的努力目标和永恒话题。
参看文献
[1]游佳,易宇峰.校园网络管理难点及对策研究[J].西南科技大学学报(哲学社会科学版),2008
[2]李信满.坚持主动的网络管理观念透视网络性能管理几大要素.中国教育网络,2007(1)
