論文關鍵詞:校園網 網絡管理 網絡安全 病毒
論文摘要:當今社會,資訊技術高速發展,各行各業都離不開網絡。各學校也越來越重視校園網絡建設,網絡已經悄然無聲的走進了校園。如何建設和管理好校園網絡,保證校園網絡的安全,已成爲校園網絡建設的首要任務。如何讓校園網絡在病毒肆虐的時代穩固執行,保證學校資訊化、數字化網絡環境暢通,已成爲網管員的首要責任。
在網絡技術的廣泛應用下,許多學校都建立了校園網絡並投入使用,網絡的優勢勢不可擋:加快資訊處理、提高工作效率、實現資源共享、降低勞動強度。但是當網絡給學校帶來方便的同時,網絡安全這一問題是否被學校重視。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、資訊安全技術、應用數學、資訊論、數論等多種學科的綜合性學科。網絡安全從本質上說就是網絡上的資訊安全。它是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地執行,網絡服務不中斷。本文從以下方面闡述校園網絡的安全管理:
一、設備安全
暢通的網絡環境、安全的網絡設備,爲校園網絡的資訊化、數字化提供了最基礎的硬件保障。這裏除了資訊網絡設備的供電、防水、防雷電、溫溼度、防鼠和防盜等常規安全之外。還要強調網絡設備的配置安全。主要包括:
(一)對網絡設備設定8位以上覆雜密碼,並需要根據業務需求分配合適的管理用戶和權限。目前大多數安全問題,是由於密碼過於簡單、密碼管理不嚴,使“入侵者”乘虛而入。因此密碼口令的有效管理是非常重要的。
(二)設定獨立的設備管理虛擬局域網,把網管設備使用的IP位址與普通用戶使用的IP位址段分開,並指定專用電腦進行接入管理和監控。
二、劃分VLAN
對校園網絡合理的劃分VLAN。VLAN就是虛擬局域網。目前大多數學校都配備了三層交換機和可管理的二層交換機,可是還有相當一部分學校把這些設備當作普通的交換機使用,沒有進行VLAN的劃分。這樣一方面是對設備資源的浪費,另一方面更是降低了網絡安全性和網絡性能。
採用虛擬局域網有如下優勢:有效抑制網絡上的廣播風暴;增加網絡的安全性;集中化的管理控制。基於端口的虛擬局域網是最實用的虛擬局域網,它保持了最普通、常用的虛擬局域網成員定義方法,配置也相當直觀簡單,不同的虛擬局域網之間進行通信需要透過路由器或具有路由功能的三層交換機。因此,有條件的學校首先就應該充分利用已有的硬件資源,採用VLAN技術構築高效安全的網絡基礎環境。
三、流量監控、協議分析、網絡審計
使用專業設備如:網康。可以進行監控流量、協議分析及網絡審計。
此類設備可以方便地配置於網絡內部,用來預測網絡的性能和發展趨勢;實時檢測校園網絡內部終端的流量狀況、分析網絡的異常流量;提供全網的IP位址、機器名、MAC地址等資訊完備的地址表,方便網絡的分析和管理;能對網絡訪問事件作統一記錄、分析;還可生成各種報表用於存檔。有利於早期發現網絡中的可疑行爲,預防不良網絡行爲的發生。
另外在網絡管理當中,要貫徹實名制,既用機器使用者的真實姓名作爲計算機命名的管理模式,直接監控到個人,當出現異常時可以準確定位,快速響應。
四、部署防火牆
防火牆是網絡安全的屏障。防火牆能極大地提高一個內部網絡的安全性,並透過過濾不安全的服務而降低風險。只有經過精心選擇的應用協議才能透過防火牆,這會使網絡環境變得更爲安全。在防火牆設定上我們按照以下原則配置用來提高網絡安全性:
第一、根據校園網安全目標和安全策略,規劃設定正確的安全過濾規則,審覈IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴禁來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止的”原則。
第二、將防火牆配置成過濾掉以內部網絡地址進入路由器的IP包。這樣可以防範源地址假冒和源路由類型的攻擊;過濾掉以非法IP位址離開內部網絡的IP包,這樣可以防止內部網絡發起的對外攻擊。
第三、定期檢視防火牆訪問日誌,及時發現攻擊行爲和不良上網記錄。
五、部署入侵防禦系統
爲了彌補防火牆的不足,可使用入侵防禦系統:如IPS。他能夠及時識別攻擊程序、有害代碼及其克隆和變種,儘量將病毒擋在校園網之外。另外,對於已經傳入校園網內的病毒,必須防止其擴散,可以利用核心交換機的訪問控制列表,屏蔽掉某些可能被病毒利用的端口。這樣就可以控制病毒,使其只能在某一子網內傳播,而不至於在校園網內大範圍擴散。
另外還可以在交換機上建立內網計算機的IP位址和MAC地址的'對應表,實現專人專用,防止IP位址被盜用。
六、服務器的安全
校園網的服務器爲用戶提供各種應用,但是應用提供得越多,系統就存在越多的漏洞,也就有更多的危險。因此從安全形度考慮,應將不必要的服務關閉.只向用戶提供他們所需的基本服務。例如:我們在校園網服務器中對用戶只提供WEB服務功能,而沒有必要向用戶提供FTP功能。這樣。在對服務器配置時,只開放WEB服務,而將FTP服務禁止。如果要開放FTP功能,則要規定端口、賬號及密碼,向指定的用戶開放。因爲用戶透過FTP可以上傳資源,如果給了用戶可執行權限,那麼,透過執行上傳的某些程序,就可能使服務器受到攻擊。所以,控制好服務器的用戶羣體也是保障網絡安全的一個重要因素。
七、部署防病毒
校園網內部署防病毒系統,並且定時升級病毒庫。部署防病系統是爲了防止因某個客戶端的病毒或木馬程序在校園網中流竄,從而干擾網絡主幹、傳染其他的客戶端。部署防病毒能夠在源頭上保障校園網絡的安全。在選擇防病毒軟件時應選用口碑比較好的名牌產品。
八、定時更新
任何一個操作系統、防病毒軟件、防火牆系統、入侵檢測系統、路由交換設備等網絡節點、系統或多或少都存在着各種漏洞。系統漏洞的存在就成爲網絡安全的首要問題。發現並及時修補漏洞是每個網絡管理人員的主要任務。當然,從系統中找到漏洞不是我們一般網絡管理人員所能做的.但是及早地發現有報告的漏洞,並進行補丁升級卻是我們應該做的。經常登入各有關網絡安全網站,密切關注我們所有使用的軟件和服務程序的最新版本和安全資訊,一旦發現與這些程序有關的安全問題就立即對軟件進行必要的補丁和升級。網絡管理員應該養成勤打補丁的習慣。
九、規範管理
以上提及的安全管理辦法只是對網絡設備和硬件所說,爲校園網絡提供技術手段和措施,但是還需要制定一系列的資訊網絡規章制度來規範網絡管理員的操作流程,提高網絡管理員的安全意識和責任。包括制定網絡安全管理範圍規章制度、制訂有關校園網網絡操作使用規程、制定人員出入校園網主控機房的管理制度、制定校園網網絡系統的維護制度和應急措施、確定校園網資訊安全管理的一般責任和具體責任,以及規定出現安全事故以及違反安全策略的後果等。
網絡管理的規範程度直接反映一個網絡的應用保障係數,透過以上幾個方面的管理,並結合定期的內部網絡的掃描巡檢,科學的管理分工制度,要把一個網絡管好、用好不難。
相信隨着校園網絡管理和校園網絡安全不斷優化發展。必然會給校園資訊化、數字化應用提供暢通環境,校園網絡的效益將會越來越大。也必將會進一步提高學校的教學質量和管理效率,使學校成爲一所具有先進的資訊化網絡環境和數字化應用的現代化學校。
參考文獻:
[1]黃開枝,孫巖.網絡防禦與安全對策[M].北京:清華大學出版社
[2]謝希仁.計算機網絡(第2版)[M].北京:清華大學出版社
[3]楊義先,鈕心忻.網絡安全理論與技術[M].北京:人民郵電出版社
[4]罄立軍.計算機網絡安全技術.北京:中國水利水電出版社