浅谈校园网管理与安全
导读:校园网的网络安全是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
随着“校校通”工程的日益推进,很多中小学校都建设了校园网并通过各种渠道接入了Internet。现代化的信息处理方式和知识获取手段促进了教育的发展,但随之而来的网络安全问题也日渐明显地摆在了校园网络管理员面前。中小学校园网对安全性的要求有其自身的特殊性,除了传统意义上的信息安全(如对色情、暴力、反动等不良信息的过滤)以外,还应提高对病毒、恶意攻击以及物理设备的安全防范。以现将我在校园网日常管理中发现的一些安全隐患以及管理实践,与广大同行共勉。谈谈如何构筑一个比较实用的校园网安全防范体系。
一、校园内部网络安全与病毒防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
1、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
2、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
3、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时采取有效措施。
4、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
5、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
6、加强学生的法制教育和德育教育。学生机房管理时感慨地说:“学生的破坏能力是无穷无尽的”,我觉得这句话应该改成“学生的创新能力是无穷无尽的”,问题关键在于我们如何去正确引导他们。作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年。
二、校园网服务器的安全
校园网服务器的安全一般可分为硬件系统的安全与软件系统的安全。
1、硬件系统的安全防护
放置服务器的机房应切实做好防雷、防火、防水、防电、防高温等工作。为保证服务器24小时处于工作状态还应配备不间断电源。同时管理员要管理好机房的和机柜的钥匙,不要让无关人员随意进入机房,防止人为的蓄意破坏和盗窃事件发生。
2、软件系统的安全防护
同硬件系统相比,服务器软件系统的安全问题是最多的,也是最琐碎的。一般来说可以从以下几方面着手:
①、建立服务器档案
对于服务器内部的硬件型号、软件版本、维修记录等进行记录,以便今后出现故障时能进行对照。
②、安装补丁程序
目前大部分校园网服务器使用的是微软的Windows2003操作系统,由于使用的人多,BUG也不断被发现,微软的操作系统成了不少黑客攻击的对象。所以装好windows2003系统后一定要升级至ServicePack2,管理员还要经常关注微软公司的网站及时下载最新的系统补丁打到服务器中。
③、安装防火墙与杀毒软件
在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。安装病毒防火墙和网络防火墙,定期对病毒库进行更新,按计划查毒杀毒。定期用对服务器开放的端口进行检测,将检测结果和以往备份的端口列表进行比较。用进程检测软件监测服务器所开的进程,并和以往的进程列表作比较。服务器尽可能不要设置文件共享,不要打开写文件的权限,即使开启共享,也应设置相应密码。
④、加强操作系统权限管理和口令管理
打开“计算机管理”,检查用户和组里是否有非法用户,尤其小心管理员权限的非法用户。禁止系统提供的Guest用户,因为黑客常用Guest进行系统控制,对于Administrator则应进行改名操作并设置足够复杂的密码。开启审核策略,修改终端管理端口,以及配置MS-SQL,删除危险的存储过程。
⑤、监测系统日志
管理员要定期查看系统日志记录,及时解决出现的问题,无法解决的问题及时向上级汇报;任何人不得动手删除运行记录数据库中的文档。定期对日志进行备份,并设置防止日志的大小,以免日志文件过大影响系统速度。
⑥、定期对服务器进行备份与维护
为防止不能预料的系统故障或用户不小心的非法操作,系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘、用户账号等。文件资料可以用RAID方式进行每周备份,重要的资料还应用保存在另外的服务器上或者备份在光盘中。监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。
任何先进的系统都是为人服务的,因此人永远是决定性的因素,配合先进的技术手段,建立起一整套完善的现代化网络运行、使用、管理规范永远是保证其发挥出最大效益的重要保障。
三、校园网基于VLAN的安全部署
采用以太交换的校园网络,可以用VLAN技术来加强内部网络管理。VLAN能够帮助控制流量,提供更高的安全性,使网络设备的变更或移动更加方便。VLAN技术的核心是网络分段,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,以达到限制非法访问的目的。网络分段分为物理分段和逻辑分段两种方式。物理分段通常是将网络在物理层和数据段链路层分为若干网段,各网段相互之间无法直接通信。逻辑分段则是将整个系统在网络层上进行分段。例如:对于TCP/IP网络,可以把网络分成若干IP子网,各子网间必须通过路由器、路由交换机或网关等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。实际应用时,通常采取物理分段与逻辑分段相结合的方法。
如图所示,为了提高网络的安全性,应避免将教师和学生处于同一网段,可将教师和学生划分为两个子网VLAN。利用网关保证信息的有效过滤,机房处于一个相对安全与过滤型的网络状况下运行。
校园网的网络安全是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
建设校园网时要本着从实际出发,以应用为目的,综观全局、统筹安排。同时对建设好的校园网络我们应加强安全防御意识,建立相应的安全防御体系和管理维护制度。以确保校园网正常安全运行和朝着健康有序方向发展。
【参考文献】
1、刘繁华.对中小学校园网建设若干问题的探讨.《中小学电教》2006.3
2、王洪、魏惠琴等著.《计算机网络应用教程》.2006.2
3、张思宜、李尚臣.校园网络信息安全防御对策与体系设计.《中国电化教育》
4、郑明达.校园网的建设与思考.《教育信息化》.2007.1
5、胡伏湘.校园网安全分析及解决方法.《计算机与网络》2006.5
安徽淮南毛集实验区花家湖学校 马敏