校園網安全策略與應用

2016-04-06 03:01:24陳輝

淮南職業技術學院學報 2016年1期

陳輝

(淮南職業技術學院, 安徽淮南232001)

校園網安全策略與應用

陳輝

(淮南職業技術學院, 安徽淮南232001)

[摘要]校園網絡系統是學校的日常教學管理和科研管理的必備基礎設施,校園網的安全、可靠、快捷,成為學校教學、科研、管理中的重要支柱,校園網網絡安全是現代高校面臨的共同威脅,通過校園網的合理規劃、規范規章制度、配置硬件防護措施、合理規劃訪問權限、配置校園網主機和客戶端的網絡安全策略,保障校園網網絡安全。

[關鍵詞]校園網; 安全策略; 防火墻

現代高校教育趨向無紙化、信息化、分散和集中化、模塊化和多媒體化等,校園網絡系統是學校的日常教學管理和科研管理的必備基礎設施,校園網的安全、可靠、快捷,成為學校教學、科研、管理中的重要支柱。校園網的健康運行直接影響到學校的正常運轉,如何讓校園網在高校的教學、管理、科研中充分發揮其重要的作用,如何保障其高效、安全、穩定、健康地運行,已成為一個突出問題。所以,采取必要的網絡安全防范控制策略與措施是校園網安全建設的根本。

一、校園網網絡安全現狀分析

校園網在學校教學管理中的作用日益突出,其存在的問題也越來越引起重視,合理構建安全體系結構,改善網絡應用環境才能擔負起學校的發展。當前,校園網網絡常見的安全隱患有以下幾種。

(一)物理設備的問題

校園網的逐步發展中,不可避免地產生網絡體系結構的更新、網絡設備的更換、各節點和通信鏈路的安全性能的提高等一系列問題,這些隱患威脅著校園網的安全,某一環節的損壞,可能造成整個網絡的癱瘓。

(二)計算機系統漏洞

校園網的各個終端或多或少地使用盜版WINDOWS系統,該系統在為用戶提供方便的同時,給校園網也帶來各種安全隱患,各種漏洞和病毒的交叉感染可能在某一時刻造成校園網信息泄露、帶寬占用或網絡局部癱瘓。

(三)計算機病毒的破壞

計算機病毒是校園網的破壞者,單機病毒會破壞文件、感染系統、占用資源或造成系統癱

瘓,影響正常教學管理;局域網病毒會發布網絡欺騙,破壞網絡的正常運行,使網絡效率下降或癱瘓網絡。

(四)惡意攻擊

校園網和外網鏈接給師生員工提供服務的同時也面臨有意無意的攻擊,校園網主機和網絡隨時處于被攻擊的狀態,主要有計算機系統漏洞、計算機病毒的破壞、校園網內部的攻擊等時刻有意無意的攻擊校園網系統,干擾校園網的安全運行。

二、校園網網絡安全策略

制定嚴格合理的規章制度,根據自身特點,配置合理的網絡安全策略,能有效地避免錯誤,保障校園網的健康運行。

(一)制定明確的規章制度

制定校園網安全管理制度并嚴格執行,對單機、網絡鏈路、網絡節點和主機的使用原則和安全管理規范做詳細規定,本著誰使用誰負責,誰管理誰監督,杜絕人為破壞和避免無意損壞。

(二)物理設備安全保護

優化校園網的拓撲結構,節點和網絡通訊線路安裝避雷設施和設置提示標語,避免自然災害和人為損壞。

(三)合理配置網絡安全策略

1.防火墻技術

防火墻是校園網的門戶,合理配置防火墻既可以保障校園網的流暢運行,又能保障校園網的安全。

端口映射規則。端口映射又叫端口轉發,防火墻根據實際應用要求,把合法地址端口轉換成內網網絡端口,為內網提供服務,一般把合法的地址按應用要求分別設置成提供不同的服務,把對外服務的端口映射成內網地址相應端口,既可以保護主機安全,又不影響服務的使用。

包過濾規則。包過濾規則就是在防火墻上配置規則,高校根據自身需求設置相應規則,規范校園網訪問安全,即當防火墻接收到訪問要求時,把接收到的訪問包和自己的規則庫匹配,匹配成功的放行,匹配不成功的拒絕,從而保護校園網安全。

IP映射規則。IP映射就是在防火墻的外部出口上綁定多個合法IP地址,再通過地址轉換技術把地址分別分配給內部不同的服務器,當發生訪問時,防火墻先把訪問包轉發到內部相應IP的服務器上,然后再將該內部服務器響應包偽裝成該合法IP發出的包。

NAT規則。NAT規則是針對校園網自身公網IP資源,將外部網的公有IP地址和端口號與內部網絡的私有網絡IP地址及端口號相互映射,從而隱藏校園網主機,校園網主機和內部網絡只響應防火墻放行的訪問,從而保護服務器和校園網的網絡安全。

2.網絡入侵檢測技術

入侵檢測技術是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,如果從中發現違反安全策略的行為和遭到攻擊的跡象,就做出自動的響應。

3.防病毒技術

隨著計算機應用的深入發展,計算機病毒也越來越多,危害越來越嚴重,對計算機病毒的防護越發重要。單機病毒防護,安裝正版殺毒軟件,定期升級病毒庫;局域網病毒,學院校園網各節點處,配置網管交換機,把各客戶端Mark地址和IP地址綁定,IP地址和交換機端口綁定,一旦發現局域網病毒,可及時切斷單機或本段網絡,避免病毒廣泛傳播,有效杜絕arp病毒地址欺騙[1]。

4.訪問控制技術

訪問控制技術就是通過使用規則限制,保證網絡資源不被非法使用和非法訪問[2]。配置入網訪問控制策略,根據用戶需求分配用戶或用戶段能夠獲取到的服務器的網絡資源;配置不同用戶的權限控制策略,指定用戶和用戶組可以訪問的目錄、子目錄、文件和其它資源;配置目錄安全控制策略,配置用戶對目錄、文件、設備的訪問權限;配置服務器安全控制策略,預防非法用戶修改、刪除重要信息或破壞數據。

5.漏洞掃描技術

通過漏洞掃描軟件檢測單機和網絡的安全漏洞,安裝補丁軟件,保障單機和網絡的安全。

6.數據備份和恢復技術

針對校園網數據,按照其價值劃分類別,并配置相應的安全等級保護;配置數據備份策略,對不同安全等級的數據采用相應的備份策略,一旦系統遭到攻擊或因自然因素導致數據的破壞或丟失,災難恢復可以最大程度恢復系統和數據,保證系統的可用性。

7.虛擬專用網

對于不同校區的校園網的內網數據的安全傳輸,可以在公共通道線路上使用虛擬專用網技術,既保障數據的安全性,又可以把公共通訊通道當內網使用。

8.VLAN設置

校園網按照網絡使用的具體情況和將來的發展,對校園網劃分了VLAN。配置VLAN的訪問控制策略,規范VLAN中的成員之間能否相互通信。根據校園網自身的特點,劃分不同訪問權限的VLAN,可以保障校園網信息安全;可以將校園網廣播風暴遏制在本VLAN的范圍之內,其他VLAN用戶不受影響;節約了網絡帶寬,提高了帶寬利用率;方便校園網管理和維護。

參考文獻:

[1] 謝宗仁.木馬原理分析與實現[M].濟南:山東大學出版社,2009.

[2] Andrew,Tanenbaum.計算機網絡[M].熊貴喜,譯,北京:清華大學出版社,2000.

[3] 陳輝.談小型校園網站的建設[J].淮南職業技術學報,2004(1):90-92.

[4] 陳輝.高職校園網絡安全防范對策[J].淮南職業技術學院學報,2009(1):117-119.

[5] 李平原.泛在知識環境下高校圖書館服務模式的構建[J].淮南職業技術學院學報,2015(6):80-82.