【摘 要】随着网络的高速发展,网络的安全问题日益突出。近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,因此,校园网的管理已经将安全因素作为网络建设、改造的关键环节。
【关键词】校园网管理 网络建设 防范对策
随着计算机网络的发展,网络已经成为各种信息快速、方便地传播的通道。目前,很多学校都建成了校园网,并通过各种方式联入了互联网。学校师生在享受互联网带来的种种便利的同时,不安全因素也常常来到他们身边肆意横行,干扰系统的正常运行,造成计算机运行速度变慢、频繁死机、一些软件不能正常使用等现象,甚至造成数据被破坏、网络及服务器瘫痪等问题,影响正常的教学、科研等工作。
一、网络面临的威胁
1.与其它网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,即对网络设备及信息资源进行非正常使用或越权使用等;冒充合法用户,即利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的;破坏数据的完整性,即使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用;干扰系统正常运行。
2.除此之外,internet非法内容也形成了对网络的另一大威胁。idc的统计曾显示,有30%-40%的internet访问是与工作无关的,甚至有的是去访问色情、暴力、反动等站点。在这样的情况下,internet资源被严重浪费。Www.133229.cOM而对校园网来说,面对形形色色、良莠不分的网络资源,如不具有识别和过滤作用,不但会造成大量非法内容或邮件出入,占用大量流量资源,造成流量堵塞、上网速度慢等问题,而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容,将极大地危害青少年的身心健康,导致无法想象的后果。
二、防范对策
1.加强校园网安全管理政策建设。安全政策描述校园网安全的目标和需求,是一个组织安全管理的需求说明,它是执行各项管理制度、技术措施的依据,一般规定“做什么”而不是“怎么做”,告诉用户哪些行为是允许的、哪些行为是不允许的,违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定,不存在通用的、可实施的安全政策。安全政策应该让所有的校园网用户知道,对校园网用户,无论是内部单位还是学生个人,都可以以签署入网协议的形式让用户知道学校的安全管理政策,一方面起到提高安全意识的作用,同时明确责任和义务,便于对安全事故的处理。
2.加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担,但是事实上,安全管理工作非常复杂,可能涉及各单位人员和业务,因此必须由学校具有决策权的机构和领导组织和协调各单位的管理工作,比如,成立信息安全管理委员会和专门的办公室。另外,安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。各单位安全管理分级负责的组织体系建设仍然是必要的。加强用户安全意识和管理员安全技术的培训工作非常重要。
3.病毒防范
各种类型网站和程序的应用,造成病毒泛滥,形成对网络安全的严重冲击,同时学生经常使用可以移动存储设备在不同的计算上拷贝文件,造成病毒感染。在整个网络中一旦有一个计算机中了病毒,病毒就会在网络中迅速传播,导致整个网络瘫痪,给校园网络的维护带来极大的麻烦。我们提出病毒安全智能点前置的安全方案,即在网络的汇聚三层交换机上实施不同的病毒安全策略。
我们通过在交换机上设置相应的病毒策略,配合我们的认证客户端软件,能具体侦测到具体的计算机上有病毒。当交换机侦测到病毒后交换机立即给用户发布信息提示用户杀毒,并启动网络管理员配置的断开该用户的时间程序,比如管理员设定的时间是2小时,在发现有病毒2小时后,开通该用户的网络,再次检测是否有病毒,如果用户已经杀掉病毒,就为他开通。如果没有杀掉继续关闭,然后以2小时为时间段循环检测,直到病毒被杀掉。这种策略做到了有病毒的计算机不能使用网络,同时网络中心也知道具体的用户中了病毒,利于网络管理员定位和发现病毒源,保证整个网络无病毒运行。
4.安全监控
针对当前内网安全薄弱的现实情况,在业内率先推出的能够实现内网个人访问控制和访问跟踪的安全产品。是首家把宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机,能把以前防火墙想做的却一直做不到的事做到了,即把出网访问安全控制前移到用户的接入点。革新了传统的网络安全模式和思维,克服了传统网络“外强中干”的缺陷。
使用三层交换机的网络监控软件,实现了对网络的即时监控,这些监控包括:实时记录电脑工作台的屏幕快照;通过重播器可随时播放已记录的历史画面;可自由选择每次记荧幕快照的时间间隔;同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括:只有用户持有usb密钥和密码才能在指定电脑上网,禁止使用指定的应用程式,禁止或只运行浏览指定的网站,锁定工作站和登出、重启或关闭工作站并对所监控的数据进行分析归类。我们的网络监控在校园网的应用,可以知道学生的上网的情况,即使发现并阻止学生上不健康的网站。正确引导学生使用网络,确保学生不受不良网络的影响。
5.防范代理
目前,在校园网网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,如wingate、sygate、 windows提供的网络共享功能或是使用soho路由器实现网络共享。这样学校提供给学生一条上网的线路,就会给多个学生使用,大大消耗了网络资源,给学校的运营带来很大的损失。使用我们的三层交换机上的802.1x扩展功能和802.1x客户端,就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源,需侦测出被代理用户和代理服务器之间代理关系,已认证通过的客户端被当作代理服务器使用。正真做到学校提供一个网络端口只能一个用户上网。
6.专业打假
学生是一个不安分、好奇心强的群体,他们会一方面把学校的网络当作一个实验环境,测试各种网络功能,另一方面,他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。现在遇到的除了代理外还有假冒dhcp sever和假冒ip、mac给学校的运营管理带来很大的麻烦。一些活跃的学生用自己的计算机和操作系统配置一个dhcp sever,使在网络上的计算机从假冒的dhcp sever了解到ip地址,导致合法用户不能登陆到dhcp提供的正确ip地址而无法使用网络资源。我们通过在会聚三层交换机和客户端软件配合,如果发现有假冒的dhcp sever,将立即封掉该账户,让他不能享用网络资源。并且,认证方式基于用户流而不是物理端口,假冒的ip和mac在这里就起不到任何作用。
以上是本人对我校校园网现状及对策的一点思考,安全互联网的各种安全威胁在校园网的运行和管理中表现得尤为突出,加强校园网的安全管理是当前非常迫切、充满挑战的任务。