文/曲清
在各类职业院校中,校园网是最基本的设施,通过校园网,院校可进行教授课程、科学研究、工作管理以及对外交流等多项工作,对于学校数字化信息化建设起着重要作用。近几年来,职业教育愈加流行,校园网发展迅速,随之而来的校园网安全问题日益严重。那么怎样保证校园网安全运行成为了职业院校急需解决的重要问题。
中职学校通过将有关人员聚集一起形成安全管理组织,制定出安全管理方面的规章制度,实现学校财产和老师学生的安全不受侵犯的目标,防止学校突发事故,同时能够对已发事故进行合理解决的全面系统的过程叫做中职学校安全管理。当今社会,经济发展迅速,社会问题逐渐出现,而且职业学校里也会有不同安全问题出现,因此,中职校园安全问题亟待解决,尤其是中职学校的安全管理工作。
众多因素对校园网正常、安全运行有重要影响,包括内部问题和其他网站威胁等外部境。校园网安全方面的问题主要体现在以下四个方面。
中职校具有特殊性,校园网有众多的用户,十分复杂的人员结构,在固定区域密集居住。网上的一些论坛、视频和P2P越来越多人使用,导致校园网宽带损耗严重,拥挤的网路,因此影响正常业务的进行。如果校园网被传播蠕虫病毒或者被ARR侵入攻击,那么会有大量用户瘫痪的现象出现,并且,有些同学喜欢冒险和新鲜、刺激的事物,对黑客技术有强烈好奇心,从而会导致数据库内容的缺失、被修改或删减,这对整个校园网络的影响极大。
全校的教职工和学生都是校园网的用户,因此,计算机系统的采购、安置及管理都十分复杂。校园网之所以会出现遭受攻击、感染病毒、数据信息出现问题、系统瘫痪等严重安全问题,是因为学校内的全体师生都是自行购买电脑,导致种类繁多、有盗版系统、软件的出现及扩散,从而致使学校网络对所有系统无法进行统一控制,进行安全维护(如安装防病毒的软件、设置可靠易操作的口令等)。
网络安全的威胁分为两种形式,即外部入侵和内部攻击。校园内网络的攻击大部分是来自局域网的内部,但校园网管理人员对于防火墙遭受外部攻击的情况几乎不能有效解决。个别的用户发现校园网邮件服务系统不完善,易破坏,会对其进行恶意攻击,他们主要是通过发送众多无用的垃圾邮件,增加流量,使邮件服务器出故障,进而导致系统瘫痪。另外,有些用户扫描识别和攻击校园网服务器和网络设备,使网络超负荷工作,服务器又抵抗如此运作。在学校网络中,比较简单容易被入侵攻击的有两种应用服务器,即DNS服务器和Web应用服务器,对DNS服务器的攻击有两种方式,一种是缓存区病毒,另一种是域劫持。相比较来说,Web应用服务器更加脆弱,多数的Web应用程序有十分严重的安全漏洞,容易被攻击。
在职业学校中,一般情况下,网络交换设备被安装在建筑内部,在学校内比较分散,因此监管人员不能全天监控维护,设备会出现故障、由于天气和人为影响被破坏,进而造成硬件设备不易被管理维护。
由于IP地址会造成校园网严重安全问题,需对校园内的所有用户绑定身份,主要分为两种情况,一种是对内部学生和老师将IP与身份进行绑定,另一种是对于外来用户,他们需要申请暂时的账号登录,禁止非法进入。据目前来看,网络接入方式包括PPP0E认证、MAC认证、WEB认证、802.1x等多种方式。其中,802.1X认证方式是最新提出的安全认证协议,且是属于国家标准的,目前逐渐受到厂商和运营商的关注,以后会越来越多的接入设备支持、选用该标准,从而其会得到更好、更广泛的应用。
最传统的维护网络安全防止系统故障的方法是入侵检测系统(IDS, Intrusion Detection System),从而随时观察网络传输过程,如果发现疑似不良传输,则会立即发出警报或采取制止的举措,阻止活动发生,以便维护系统安全。虽然此方式从部分上解决安全问题,但由于被动性,极易遭到黑客攻击。因此,另一种有效方式出现——入侵防御系统(IPS, Intrusion Prevention System)。IPS具有主动性,能够自觉发起进攻,及时阻止恶意侵入,维护系统,它与网络串联(与网桥式防火墙类似),能够筛选出防火墙不能过滤的攻击进行阻止进入。检测到有攻击将会进入时,它会立即阻止攻击源进入。此方式能够更有效、及时的维护系统安全。
防火墙是指通过遵循某一规则,监控信息交换过程,主要是专门网络与互联网之间或者是互联网其中的一部分和其余部分进行信息交换,以便防止系统进行不利的网络通信。防火墙主要是维护好校园网安全,禁止未认证身份用户进入,监控用户对网站的访问情况。隐蔽智能网关是目前较为流行的防火墙,其拥有复杂的技术,最高的安全级别,且隐蔽,及不易遭到破坏。管理人员以现实情况为依据,随时对防火墙安全进行维护和完善,例如:在规定时间扫描端口,以便及时发现有非法侵入和系统的反映情况;扫描所有网段主机(包括防火墙),将扫描结果与提前预期的结果进行比较,发现问题。此外,维护人员需要以校园网络安全方案和目标为依据,制定出相应规则,以便安全过滤,坚决防范公网对内部网的非法攻击,要确保防火墙能有效、及时维护网络,进而实现网络长期安全的目标。
首先,Vlan技术是以网络分段为关键的技术,它将整个网络分成不同的段,并且分段的依据是对安全等级和业务的不同,对不同的段之间的访问进行控制,制止没有访问权限的用户进行跨段访问。Vlan技术适合应用校园网的分段管理,尤其是采用交换式局域网的学校。网络分段分为两种情况:
(1)物理分段,其在网络的物理层或者数据链路层上进行分段操作,不同的段之间不能交互。
(2)逻辑分段,指在网络层上进行分段技术。以TCP/IP网络为例,将该网络划分成若干不同的网段,若各个网段之间进行交互,可通过中间设备来对各个网段间的交互进行控制,中间设备包括路由器、网关、防火墙等。在现实生活中,将这两种分段技术结合起来使用最为常见。
由于校园网内储存着资源,所以需要通过信息备份和更新功能对丢失的信息及时恢复。备份不仅涉及校园网重要数据还包含了关键设备和线路的相关信息。网络管理人员应对关键线路数据进行备份,当出现故障时,可通过备份线路确保校园网安全正常运行。此外,确保校园网络安全关键举措是提前做好应急方案措施,如果校园网出现故障,可保证在有预案的情况下减少外部环境或人为的破坏。
管理人员要对分散在校园各个地方的网络设置进一步加强监控维护,以防设备遭到自然条件或人为的破坏,最基础的是要保障机房、网络布线和供应电等环节的正常、安全进行。不仅需要建立校园网全管理机制和组织相关人员建立了解安全管理知识的网络队伍,而且对员工进行岗前安全管理知识培训,对新入学的新生进行网络安全知识教育。校园网逐渐被人们认可所应用,地位日益提升,与此同时,各式各样安全问题随之出现。系统和软件具有局限性,计算机网络是开放的,因此再严格的防范措施也不能从根本上杜绝网络安全问题,因此,我们需要从自身做起,提高安全意识,防止无权限用户访问和和黑客攻击,进而促进校园网安全、迅速发展。
网络通信技术发展越来越迅速,校园网发展指日可待,那么,目前主要任务就是怎样让中职院校的校园网能够安全发展。由于中职院校中的学生,也就是用户众多,操作过程十分复杂。所以,要利用不同有效网络管理技术对运行情况进行监控和维护,提高校园网安全性,实现学生和教师安全上网的目标。