1、1中学校园网络安全管理经验谈刘有长(广东肇庆高新区大旺中学,广东佛山 528145)摘要:随着中学校园网络应用的越来越深入,网络安全问题也越来越突出。经过对中学校园网络安全管理的多年实践,现分别从网络实体的物理安全管理和网络信息的逻辑安全管理总结自己的经验。关键词:中学校园网 网络安全 防护技术一、引言随着信息技术和互联网技术的飞速发展,中学校园网作为学校信息化建设的基础设施,在教学教研、学校管理和对外交流等方面起着举足轻重的作用。随着中学校园网络应用的不断深入,校园网上各种应用和信息急剧增多,网络用户数量的成倍增加,网络的安全问题也不断暴露出来,如何保障中学网络的正常运行、确保资源的安全访问
2、,避免校园网络遭受病毒、恶意软件和黑客的攻击就显得十分重要。中学校园网络在建设和运行的过程中,必须针对不同的安全威胁,采用不同的网络安全管理方法,制定相应的安全防范措施,确保校园网络的正常工作。中学校园网络安全管理主要包括两方面:一方面是针对校园网络实体的物理安全管理,另一方面是针对网络信息的逻辑安全管理。二、物理安全管理1防静电管理静电是由物体的摩擦或电子设备感应而引起的,产生静电后的电子设备元件极易吸附灰尘,导致设备加速老化或出现故障,校园网络的电子设备应配备良好的接地系统避免静电,同时,应将容易生产静电的设备分开安装,防止由于静电放电损坏校园网络设备的线路板。2防雷击管理校园网络设备采用
3、大规模集成电路芯片,其耐过电压,过电流的能力极低,要防止其遭到雷击。因此应根据被保护设备的特点和雷电侵入的不同途径,对于校园网络的中心机房和一般设备,采取相应的防护措施,分类分级保护。23防电磁泄露管理校园网络中电子设备工作时会产生电磁波,这些电磁信号可被高灵敏度的接收设备接收并进行分析、还原,造成信息泄露。防电磁泄露的常用方法有三种:一是抑制电磁波发射,二是屏蔽隔离电磁波,三是对电磁波进行相关干扰。4防火管理火灾一般是由于电气原因,人为或外部火灾蔓延引起的,应经常检查校园网络的设备,以及校园网络各种电路的安全性,做好各种防火措施。5防盗管理校园网络设备被盗造成的损失可能远超过计算机本身的价值
4、,计算机中重要信息的丢失是无法复制恢复的,应采取严格的防范措施,对于重要的计算机系统及外部设备,可安装防资报警装置及制定相应的安全保护措施。三、逻辑安全管理1防病毒管理计算机病毒是能够通过某种途径潜伏在计算机存储介质或程序里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。在中学校园网络条件下计算机病毒除了具有可传播性、可执行性、破坏性等共性外,还具有传播性强、扩散面广、传播的形式复杂多样等一些新的特点。中学校园网预防病毒的措施主要是备份重要数据、安装杀毒软件、为操作系统打上补丁、及时关注流行病毒以及下载专杀工具、注意使用电脑时候的异常情况、注意定期扫描系统病毒、建
5、立有效的计算机病毒防护体系。中学计算机校园网络预防病毒的方法主要有三种:一是软件防治病毒,通过定期或不定期地利用反病毒软件检测计算机的病毒感染情况;二是在计算机上安插防病毒卡,防病毒卡可以达到实时检测的日的,但防病毒卡的升级不方便,从实际应用的效果看,对计算机的运行速度有一定的影响;三是在网络接口卡上安装防病毒芯片。上述三种方法,都是防病毒的有效手段,应根据网络的规模、数据传输负荷等具体情况确定使用哪一种方法。中学校园网络防病毒的管理,首先应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员加强法制教育和职业道德教育,规范工作程序和操作规程,对校园网
6、络普通用户,尤其是对学生用户应进行思想教育,培养他们正确使用校园网络的好习惯,树立起校园网络防病毒的观念。我们应该注意定期扫描系统,在上网时避免访问非正规的网站及下载文件,在收到带有附件的电子邮件时,应该先对附件进行病毒3扫描确保安全后再打开。2防火墙管理防火墙工作方式是将校园内部网络与外部网络(如互联网)之间或者内部不同网段间互相隔离,通过访问控制的方式来保护内部网络。防火墙最常见的应用是用来防止外部网络(如互联网路)上的危险(非法访问和攻击等)传播到需要保护的内部校园网络,也可能在校园网络内部为了保护一些关键部门而设置内部网络防火墙。防火墙有多种形式,有以软件形式运行在普通计算机之上的,也
7、有以固件形式设计在路由器之中的、目前,防火墙主要有三类:包过滤防火墙、应用代理型防火墙和状态监测型防火墙。包过滤型防火墙它对用户来说透明的,处理速度快而且易于维护。应用代理型防火墙它比包过滤更为可靠,但对用户不透明。状态监测型防火墙非常坚固的,但它会降低网络的速度,而且配置也比较复杂。中学校园网防火墙的管理有自己的原则,校园网与普通企业上网不同,因为一般企业上网主要是“防外” ,防止互联网上的黑客对内部网络的攻击,而安装在校园网上的防火墙,既要有“防外”的功能,又要有“防内”的功能。所谓“防内” ,是因为学生中有不少网络爱好者,在好奇心的驱使下或者是为了满足某种单纯的心理需要,会从互联网上下载
8、黑客工具,不顾后果的对校园网内部网络进行攻击,特别是对学校内部某此可能存放着重要资料的服务器进行攻击,使学校的校园网络遭受到不必要的损失。所以设置校园网防火墙一方而要建立合理有效的安全过滤原则,对网络数抓包的协议、端口、源/目的地址、流向进行审核,严格控制内网用户的非法访问。对于校园的一些 WEB 服务、FTP服务和 Email 等公共服务,可以利用防火墙建立 DMZ(非军事化区)进行防护。3VPN 管理VPN 是虑拟专用网,它是利用公共网络基础设施,通过“隧道”技术、加密技术、认证技术和访问控制等手段为我们提供了一种通过公用网络安全地对内部专用网络进行远程访问的连接方式,达到与专用网络类似的
9、安全性能。使用者可以非常安全地传输重要信息和数据,而不必担心会被拦截、从而轻松实现互联网络办公现代化。VPN 的主要目的是建立一种灵活、低成本、可扩展的网络互连手段以替代传统的长途专线连接和远程拨号连接,但同时 VPN 也是一种实现校园网络内部网安全隔离的有效方式。其优点是:成木低。VPN 在设备的使用量上比专线方式的架构节省,故能使网络的总成本降低。良好的安全性。VPN 架构中采用了多种安全机制,如隧道、加密、认证、数字签名等技术,确保资料在公众4网络中传输时的安全。网络架构弹性大。VPN 的平台具备完整的扩展性,从大学校园网络的设备到小学幼儿园校园网络的设备,甚至个人拨号用户设备,均可被包
10、含在整体的 VPN 架构中,以致他们可以在任何地方,都可以通过Internet 网络访问校园网络的内部资源。我校坐落于广东佛山三水迳口华侨经济区内,而中山大学附属中学位于广州市,每个校区都有自己独立的校园网络,通过光纤接入互联网络,提供的公共网络服务有电子邮件服务、WEB 服务、DNS 域名服务、多媒体视频点播等。为了加强两校区的合作,开展教学和科研的联合办公,考虑到校园网络的安全因素,我们采用了 VPN 技术,采用 Intranet VPN 的模式来实现两校区的互联。对于在校外需要访问学校内部网络的用户,包括教师在线办公和学生在线学习,我们采用 Remote Access VPN 的模式来实
11、现。4 VLAN 管理VLAN 是一种将局域网(LAN)设备从逻辑上划分成多个网段(或者说是更小的局域网) ,从而实现虚拟工作组(单元)的数据交换技术。VLAN 在校园网络中心交换机的实现方法,可以大致划分为六类:基于端口的 VLAN ,可以防止非法入侵者从内部盗用 IP 地址;基于 MAC 地址的 VLAN ,这种方式的 VLAN 的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN;据协议类型来划分 VLAN,这对网络管理者来说很重要;根据 IP 组播的 VLAN,即认为一个 IP 组播组就是一个 VLAN;按策略划分的 VLAN,基于策略组成的 VLAN 能实现多种分配方法,包括
12、 VLAN 交换机端口、MAC 地址、IP 地址、网络层协议等; 按用户定义、非用户授权划分的 VLAN。对校园网络划分 VLAN 的好处主要有二个:控制广播风暴,一个 VLAN就是一个逻辑广播域,通过对 VLAN 的创建,可以控制广播风暴的产生。提高网络整体安全性,通过路由访问列表和 MAC 地址分配等 VLAN 划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同 VLAN,从而提高交换式网络的整体性能和安全性。中学校园网络划分 VLAN 的管理,主要考虑计算机网络,视频监控网络的安全运行,以及各部门和各处室的信息安全,提高校园网络的性能,实践中对学生计算机机房,学生电子阅
13、览室等场室划分不同的 VLAN,可以提高校园网络的安全级别。5IDS 管理IDS 是入侵检测系统,就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。5IDS 在校园网络的使用和管理,大多数的入侵检测的接入方式都是采用pass-by 方式来侦听网络上的数据流,所以这就限制了 IDS 本身的阻断功能,IDS 只有靠发阻断数据包来阻断当前行为,并且 IDS 的阻断范围也很小,只能阻断建立在 TCP 基础之上的一些行为,如 Telnet、 FTP、HTTP 等,而对于一些建立在 UDP 基础之上就无能为力了
14、。因为防火墙的策略都是事先设置好的,无法动态设置策略,缺少针对攻击的必要的灵活性,不能更好的保护网络的安全,所以需要建立 IDS 与防火墙的联动机制,其目的就是更有效地阻断所发生的攻击事件,从而最大程度保障校园网络的安全。四、结束语中学校园网络是一个复杂的网络环境,我们要根据实际情况,针对不同的网络结构和不同的网络应用,采用不同的网络安全管理方法,构建一个综合立体的安全校园网络环境,在采取安全防范措施的同时,还必须有完善的安全管理规章制度和切实可行的安全管理机构,才能有效地实现校园网安全、可靠、稳定的运行,为学校的信息化建设保驾护航。参考文献1 张治元.校园网安全威胁及其应对策略探讨.长沙通信
15、职业技术学院学报 , 2004,(04) . 2 马骏,周君仪.浅谈校园网网络安全及防范技术. 广西轻工业 , 2007, (09) . 3 周莉. 谈校园网的建设与安全管理. 电脑知识与技术(学术交流), 2007, (16) . 4 赵建伟. 浅谈校园网安全管理. 科技信息( 科学教研), 2007, (25) . 5 弋建伟. 浅析校园网安全. 陕西师范大学学报( 哲学社会科学版), 2007, (S2) . 6 王峻,刘定富. 校园网的安全问题及防护措施. 软件导刊 , 2007, (16) .作者简介刘有长,36 岁,硕士研究生,中学一级教师。主持省 “十五”课题一项,主持全国教育科学“十一五”规划重点子课题一项,参加省级“十一五”课题研究 3 项,市级“十一五”课题研究 2 项。多篇论文公开发表或获奖,其中数码城市中次短路径算法的改进发表于计算技术与自动化 , VPN 在省招生考试网络中的应用研究发表于信息化教6育通讯 。 通讯地址: 广东省佛山市三水区南山镇中山大学附属中学三水实验学校;邮编:528145;单位详细全称:中山大学附属中学三水实验学校;联系电话:15302403939;E-mail:
