中职校园网的安全问题与防范策略

2012-01-29 00:16王慧琳
职教通讯 2012年20期
关键词:校园网备份防火墙

王慧琳

中职校园网的安全问题与防范策略

王慧琳

随着互联网的迅速发展与普及,网络已经成为人们获取信息和资源的重要途径,其应用也越来越广泛。校园网的网络安全已经成为当前各职业院校网络建设中不可忽视的首要问题。基于当前职业院校网络安全的现状及特点分析,提出对应的控制策略和措施。

中职;校园网;安全问题;防范策略

校园网作为重要的基础设施,承担着职业院校教学、科研、管理和对外交流等诸多功能,在学校数字信息化建设中起着决定性的地位。随着近几年职业教育的高速发展,职业院校内的校园网也随之蓬勃发展,但校园网安全问题也越来越严重。如何确保校园网络正常安全地运行是职业院校所面临的主要问题。

一、中职校园网的安全问题

影响校园网安全运行的因素很多,既有来自校园网内部,也有来自其他网站或外部环境的影响。校园网安全问题主要表现在以下几个方面。

(一)用户规模大而活跃

由于中职校的特殊性,校园网用户群体一般量比较大,人员结构复杂,居住密集。随着各种论坛、在线影视以及P2P的广泛应用,校园网带宽被严重消耗,网路拥挤,从而使正常业务得不到保障。一旦感柒和传播蠕虫病毒或受到ARP攻击,必将造成大面积的用户瘫痪。[1]此外,个别学生追求刺激,喜欢在网络中尝试冒险,对黑客技术充满了好奇,常有意无意地窃取、修改或者删除数据库中的重要内容,给整个网络造成严重的危害。

(二)系统管理复杂

校园网用户是全校师生,整个网络中计算机系统的购置和管理情况非常复杂。学生和教师的电脑一般都是自己购买、维护,种类繁杂,各种盗版系统、盗版软件横行,所有的端系统缺乏统一的安全策略(安装防病毒软件、设置可靠的口令等)。这就造成了校园网安全防御困难,易受攻击,随时可能出现病毒泛滥、数据损坏、信息丢失、系统瘫痪等严重后果。

(三)各类攻击不断

网络安全的主要威胁可以分为外部入侵和内部攻击两种形式,校园网大多数的攻击来自局域网的内部,而防火墙系统主要防范外部攻击,对此几乎无能为力。

某些恶意用户利用校园网内邮件服务器系统的缺陷,对邮件服务器进行攻击。通过大量发送垃圾邮件,造成邮件服务器阻塞,增大校园网流量,甚至导致系统崩溃。还有用户对校园网的服务器和网络设备进行扫描和攻击,造成网络负载过重,致使服务器拒绝提供服务。校园网中较易受攻击的应用服务器主要是DNS服务器和Web应用服务器,目前针对DNS服务器的攻击主要有两类:一类是缓存区中毒,另一类是域劫持。Web应用服务器比较脆弱,很多Web应用程序具有严重的安全漏洞,因此,极易受到恶意用户的攻击。

(四)硬件管理困难

校园网的网络交换设备一般都安装在校园建筑内,散布于整个学校,很难进行全天候监护,由此带来的设备故障、自然损坏或人为破坏等因素,导致校园网硬件设备的管理比较困难。

二、中职校园网的防范策略

(一)采用安全认证

针对目前动态分配IP地址带给校园网的不安全性,采用对校园内所有用户进行身份认证,不仅对内部师生绑定IP与用户身份,而且对外来用户采用申请临时账号,防止其它非法接入。目前主流的网络接入认证方式有很多,如PPP0E认证、MAC认证、WEB认证、802.1x等。其中802.1X认证方式作为新推出的国际标准的安全认证协议,正越来越引起厂商和运营商的重视,随着更多的接入设备对该标准的支持,该认证方式也会得到越来越多的应用。[2]

(二)采用入侵防御系统

网络安全防范中,传统的方法是利用入侵检测系统(IDS,IntrusionDetectionSystem)对网络传输进行即时监视,发现可疑传输后发出警报或者采取主动反应措施,从而达到限制这些活动,以保护系统的安全。这种方法虽然可以部分地解决系统的安全问题,但其较为被动,难以从根本上避免黑客的攻击。于是,入侵防御系统(IPS,Intrusion PreventionSystem)应运而生。IPS则是一种主动的、积极的入侵防范、阻止系统,它串联在网络上(类似于通常所说的网桥式防火墙),对防火墙所不能过滤的攻击进行过滤。当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。这样一种过滤模式,就可以更大限度地保证系统的安全。

(三)采用防火墙技术

防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制,从而阻断不希望发生的网络间通信的系统。防火墙保护校园网内网不被非授权用户访问,控制互联网用户对网站系统的访问。目前技术最为复杂且安全级别最高的防火墙是隐蔽智能网关,它将网关隐藏在公共系统之后使其免遭直接攻击。

同时,管理人员要根据实际情况对防火墙安全策略进行不断更新和完善,如定期进行端口扫描,及时发现非法的服务或系统响应;对与防火墙相连的所有网段的每个主机(包括防火墙)进行扫描,并且把发现结果同基于策略的预期结果进行对照。还要求维护人员根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,严格禁止来自公网对校园内部网不必要的、非法的访问,以保证防火墙的有效性,从而达到网络的长期安全。[3]

(四)运用Vlan技术

采用交换式局域网技术的校园网,可以运用Vlan技术来加强内部网络管理。Vlan技术的核心是网络分段,根据不同的应用业务或不同的安全级别,将网络分段并进行隔离,并对相互间的访问加以控制,从而达到限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式。物理分段通常是指将网络从物理层和数据链路层上分为若干网段,各网段相互之间无法直接通信。逻辑分段则是指将整个系统在网络层上进行分段。例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法。

(五)对重要数据及时进行备份,做好应急预案

校园网内部存在着非常重要的信息,必须及时对这些信息进行完整的备份与及时的更新,以便在出现问题的情况下迅速恢复。备份既包括对校园网重要数据的备份,也包括对核心设备和线路的备份。对于校园网内部的核心线路,应该保持完备和做出适当的备份,进而在一些线路出现问题的情况下,可以及时采用备份线路来维持整个校园网的正常工作。[4]另外,做好应急预案也是保障校园网安全的重要一步,一旦校园网出现故障,就应立即启动相应的应急预案,进而将校园网的破坏减少到最小。

(六)网络杀毒软件的安装

为防止使用盗版软件带来的各种安全隐患,校园网内计算机必须统一安装正版网络杀毒软件,设置自动更新机制,及时的更新病毒库,防止最新型的病毒攻击。

(七)加强设备的管理

加强对散布于校园各处的网络设备的监护,防止设备的自然损毁或人为破坏,其中最基本的就是为机房、网络布线、供电等环节提供严格的安全保障。建立起一整套严格的校园网安全管理制度和一支具有安全管理技术和意识的网络队伍,还必须利用一切机会如新生入学教育和新员工上岗培训,开展校园网安全意识和基本技能的培训。

随着校园网的普及,校园网会发挥出越来越重要的作用,同时,各种新的校园网安全问题也会不断产生。由于系统和软件本身的局限性和计算机网络的开放性,不论怎么防范都不可能彻底消除所有网络系统的安全隐患,只有加强自身的安全意识,切实多措并举保证校园网安全,避免非法用户的访问以及黑客的恶意攻击等,才能保证校园网获得健康、高速的发展。

[1]陈开张.浅谈解决校园网安全问题的几种方法[J].信息与电脑,2012(2):24.

[2]谢家立.刘瑾.校园网安全规划与管理[J].信息安全与技术,2012(3):31-33.

[3]任利峰.校园网络安全问题分析与对策[J].吉林农业科技学院学报,2009(2):68-69.

[4]陈梁.关于高校校园网安全管理和维护的研究[J].中国建设教育,2011(1):67-69.

[责任编辑 秦涛]

王慧琳,女,山西阳泉交通职业中专学校讲师,主要研究方向为计算机与信息技术。

G710

A

1674-7747(2012)20-0040-02

猜你喜欢
校园网备份防火墙
VSAT卫星通信备份技术研究
数字化校园网建设及运行的几点思考
创建vSphere 备份任务
构建防控金融风险“防火墙”
试论最大匹配算法在校园网信息提取中的应用
基于VRRP和MSTP协议实现校园网高可靠性
NAT技术在校园网中的应用
旧瓶装新酒天宫二号从备份变实验室
在舌尖上筑牢抵御“僵尸肉”的防火墙
基于3G的VPDN技术在高速公路备份链路中的应用