前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇校園網(wǎng)安全管理范文，相信會(huì)為您的寫作帶來(lái)幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

校園網(wǎng)安全管理范文第1篇

關(guān)鍵詞：校園網(wǎng) 網(wǎng)絡(luò)安全 管理 規(guī)劃

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2012）09-0176-01

校園網(wǎng)是滿足學(xué)校信息化教學(xué)環(huán)境的一項(xiàng)重要的基礎(chǔ)設(shè)施，是教育信息化建設(shè)的重要組成部分，是廣大師生順利接受現(xiàn)代遠(yuǎn)程教育的依托網(wǎng)絡(luò)，也是教育現(xiàn)代化的重要標(biāo)志之一。因此，保障網(wǎng)絡(luò)的暢通就被提到了一個(gè)重要的位置，網(wǎng)絡(luò)安全管理也就理所當(dāng)然的成為了重中之重。

1、統(tǒng)籌兼顧，科學(xué)管理

1.1 宏觀調(diào)控，科學(xué)管理

以太網(wǎng)拓?fù)浣Y(jié)構(gòu)主要有總線型、星型、環(huán)型、網(wǎng)狀型、樹(shù)型?？偩€型拓?fù)渌械恼军c(diǎn)都鏈接在同一電纜上，很難進(jìn)行錯(cuò)誤診斷和網(wǎng)絡(luò)隔離，電纜上的一處故障可能會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓；星型拓?fù)浣Y(jié)構(gòu)有一個(gè)中心控制點(diǎn)，連接簡(jiǎn)單，故障檢測(cè)和隔離方便，網(wǎng)絡(luò)訪問(wèn)協(xié)議簡(jiǎn)單，服務(wù)方便，成本低、易于管理、容易擴(kuò)展，我校網(wǎng)絡(luò)是以圖書館網(wǎng)絡(luò)中心為中心點(diǎn)，向周圍建筑物輻射，所以校園網(wǎng)拓?fù)浣Y(jié)構(gòu)主體采用星型拓?fù)浣Y(jié)構(gòu)。

1.2 放眼長(zhǎng)遠(yuǎn)，選型合理

技術(shù)和設(shè)備選型不僅要考慮滿足當(dāng)前需要，還要考慮未來(lái)校園網(wǎng)絡(luò)發(fā)展和應(yīng)用變化，同時(shí)更要考慮自身的實(shí)際需求。根據(jù)我校的實(shí)際情況，在選擇交換機(jī)的時(shí)候，只選擇了一個(gè)三層交換機(jī)，其他的則選擇了一般的交換機(jī)；網(wǎng)線則選了兩種，室內(nèi)用的選擇一般五類線，室外則用較好的超五類線。

1.3 周密計(jì)劃，配置合理

網(wǎng)絡(luò)是一個(gè)系統(tǒng)，要通盤考慮網(wǎng)絡(luò)的各種資源配置，使其互相匹配，避免顧此失彼的情況出現(xiàn)。因此需要制定完備的計(jì)劃。我校的網(wǎng)絡(luò)按照建筑位置，統(tǒng)一劃分為16個(gè)子網(wǎng)，分別是信息中心服務(wù)器子網(wǎng)、圖書館子網(wǎng)、行政樓子網(wǎng)、主教學(xué)子網(wǎng)、C教學(xué)樓子網(wǎng)、B教學(xué)樓子網(wǎng)等。

2、安全至上，防患于未然

2.1 精心規(guī)劃好VLAN

采用虛擬局域網(wǎng)技術(shù)（VLAN）。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。使用VLAN具有以下優(yōu)點(diǎn)：（1）控制廣播風(fēng)暴，一個(gè)VLAN就是一個(gè)邏輯廣播域，通過(guò)對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。（2）提高網(wǎng)絡(luò)整體安全性，通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

根據(jù)校園網(wǎng)的具體情況，為了達(dá)到信息流量的控制，并提供良好的安全性，通過(guò)對(duì)網(wǎng)絡(luò)邏輯結(jié)構(gòu)進(jìn)行分析和合理劃分，采用基于端口VLAN技術(shù)對(duì)校園內(nèi)部網(wǎng)絡(luò)不同部門之間進(jìn)行邏輯隔離，同時(shí)抑制廣播風(fēng)暴。根據(jù)學(xué)校具體建筑物分布情況，共設(shè)置為16個(gè)VLAN，分別是各科室VLAN、辦公室VLAN、多媒體教室VLAN、信息技術(shù)教室VLAN和服務(wù)器VLAN等。

2.2 構(gòu)筑網(wǎng)絡(luò)城墻，防范病毒入侵

網(wǎng)絡(luò)病毒是指病毒突破網(wǎng)絡(luò)的安全性，傳播到網(wǎng)絡(luò)服務(wù)器，進(jìn)而在整個(gè)網(wǎng)絡(luò)上感染，危害極大。校園網(wǎng)絡(luò)的安全必須在整個(gè)校園網(wǎng)絡(luò)內(nèi)形成完整的病毒防御體系，建立一整套網(wǎng)絡(luò)軟件及硬件的維護(hù)制度，對(duì)操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)軟件采取安全保密措施。為了實(shí)現(xiàn)在整個(gè)內(nèi)網(wǎng)杜絕病毒的感染、傳播和發(fā)作，我們學(xué)校在服務(wù)器安裝了硬件防火墻netscreen204。教師機(jī)、多媒體計(jì)算機(jī)上安裝了瑞星殺毒軟件網(wǎng)絡(luò)版，對(duì)病毒進(jìn)行定時(shí)的掃描檢測(cè)及漏洞修復(fù)，定時(shí)升級(jí)文件并查毒殺毒，并在校園網(wǎng)網(wǎng)絡(luò)中心網(wǎng)站上及時(shí)公布感染病毒的類型及預(yù)防措施，做到早發(fā)現(xiàn)，是處理，早解決，使整個(gè)校園網(wǎng)絡(luò)有一個(gè)干凈、安全的使用環(huán)境。

2.3 修補(bǔ)網(wǎng)絡(luò)安全漏洞

對(duì)于非專業(yè)人員，他們無(wú)法確切了解和解決服務(wù)器系統(tǒng)和整個(gè)網(wǎng)絡(luò)的安全缺陷及安全漏洞問(wèn)題，這時(shí)，需要借助第三方產(chǎn)品的幫助，及時(shí)發(fā)現(xiàn)安全隱患，提出相應(yīng)的安全解決方案。360安全衛(wèi)士漏洞修復(fù)程序還是不錯(cuò)的，能夠自動(dòng)檢測(cè)計(jì)算機(jī)的系統(tǒng)漏洞，可以對(duì)多個(gè)漏洞同時(shí)進(jìn)行修補(bǔ)，在實(shí)際應(yīng)用中，可以節(jié)省許多時(shí)間。

2.4 過(guò)濾有害信息

對(duì)于校園網(wǎng)來(lái)說(shuō)，一套綜合的網(wǎng)絡(luò)管理和信息過(guò)濾相結(jié)合的系統(tǒng)，實(shí)現(xiàn)對(duì)用戶訪問(wèn)互聯(lián)網(wǎng)時(shí)進(jìn)行有害信息的過(guò)濾和管理是必要的。

現(xiàn)在學(xué)校正在使用深信服AC1850上網(wǎng)行為管理與審計(jì)網(wǎng)關(guān)設(shè)備過(guò)濾有害信息。使用中看來(lái)，對(duì)于網(wǎng)頁(yè)中彈出的一些文字廣告、圖形廣告等能夠有效控制，對(duì)非法、能夠及時(shí)自主關(guān)閉。目前看來(lái)，效果不錯(cuò)。

2.5 提高防范意識(shí)

大量的安全事件表明：缺乏安全意識(shí)是導(dǎo)致事件發(fā)生的重要因素之一。因此還需要把安全意識(shí)提到議事日程上來(lái)。就校園網(wǎng)而言，在做好技術(shù)防護(hù)的同時(shí)，加強(qiáng)校園網(wǎng)的安全教育，提高安全意識(shí)，掌握使用安全工具的能力，提高遵守相關(guān)安全制度的自覺(jué)性，對(duì)于維護(hù)網(wǎng)絡(luò)的安全也是非常重要的。

（1）向用戶講解互聯(lián)網(wǎng)的基本知識(shí)，使用戶了解到互聯(lián)網(wǎng)給人們帶來(lái)方便的同時(shí)也帶來(lái)了更為不安全的因素，這種不安全性是互聯(lián)網(wǎng)的歷史原因造成的，我們一時(shí)間還不能完全避免。（2）能夠掌握殺毒軟件、防火墻軟件的設(shè)置和使用。（3）接收電子郵件時(shí)打開(kāi)殺毒軟件的實(shí)時(shí)監(jiān)控功能。（4）不要擅自改動(dòng)機(jī)器的IP地址，雖然經(jīng)常更改機(jī)器的IP地址可以防止木馬類程序的攻擊，可是這不是有效的途徑，這樣會(huì)造成IP地址的混亂，影響網(wǎng)絡(luò)的正常運(yùn)作，我們應(yīng)該借助有效的工具軟件來(lái)查殺木馬程序，做好防范措施。（5）精選綠色網(wǎng)站。瀏覽網(wǎng)站時(shí)盡量去那些名氣大、流量大的網(wǎng)站，因?yàn)樗鼈兊陌踩砸话闶呛芎玫摹Ｒ驗(yàn)橛行┚W(wǎng)站往往在你剛登錄上去，你的機(jī)器就可能已經(jīng)染上了病毒；網(wǎng)頁(yè)里的腳本可以執(zhí)行你硬盤上的程序；有時(shí)當(dāng)你瀏覽某些網(wǎng)頁(yè)時(shí)，瀏覽器會(huì)自動(dòng)下載某類文件，這是很危險(xiǎn)的；有的網(wǎng)頁(yè)通過(guò)CGI程序就能竊取你硬盤上的資料等等，所以瀏覽網(wǎng)頁(yè)時(shí)要有選擇性。

校園網(wǎng)安全管理是一個(gè)長(zhǎng)期艱巨的任務(wù)，我們需要不斷探索和努力，才能夠讓整個(gè)教育系統(tǒng)跨入信息時(shí)代，作為網(wǎng)管我們應(yīng)該更加努力工作，認(rèn)真思考，為建立信息化校園做出貢獻(xiàn)。

參考文獻(xiàn)

[1]什么是VLAN，小新技術(shù)網(wǎng)（）.

[2]基于VLAN技術(shù)的校園網(wǎng)安全研究，中國(guó)論文下載中心.

校園網(wǎng)安全管理范文第2篇

一、物理要素

物理安全是整個(gè)校園網(wǎng)系統(tǒng)安全的前提。在校園網(wǎng)籌劃設(shè)計(jì)階段就應(yīng)重點(diǎn)考慮防雷、防塵、防潮、阻燃、抗靜電、降噪、防盜等物理安全要素，關(guān)鍵設(shè)備如路由器、主干交換機(jī)、服務(wù)器等設(shè)備盡量實(shí)行集中管理；各種通信線路盡量實(shí)行深埋、穿線，并有明顯標(biāo)記，防止無(wú)意損壞；終端設(shè)備，如工作站、小型交換機(jī)、無(wú)線設(shè)備和其它轉(zhuǎn)接設(shè)備要落實(shí)到人，進(jìn)行嚴(yán)格管理。

作為學(xué)校網(wǎng)絡(luò)系統(tǒng)的核心所在，網(wǎng)絡(luò)中心機(jī)房安全性應(yīng)該是最高的，因?yàn)樵谄渲胁粌H集中了整個(gè)校園網(wǎng)絡(luò)的關(guān)鍵設(shè)備，而且它還是整個(gè)校園網(wǎng)絡(luò)正常運(yùn)行的核心、校園數(shù)據(jù)中心和管理中心。對(duì)于如此重要的工作場(chǎng)所，許多學(xué)校沒(méi)有引起足夠的重視，如機(jī)房建設(shè)不規(guī)范，配套設(shè)施缺失，機(jī)房管理不到位，有的甚至允許師生隨意進(jìn)入、任意登陸核心設(shè)備，這些給整個(gè)校園網(wǎng)安全管理帶來(lái)巨大的威脅，極易使整個(gè)校園網(wǎng)受影響，陷入癱瘓、崩潰狀態(tài)。因?yàn)榧词沟顷懖涣撕诵脑O(shè)備，但只要把某些網(wǎng)線搞一搞、電源動(dòng)一動(dòng)就可能釀成嚴(yán)重的安全事件。

加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房的日常管理，此類物理安全風(fēng)險(xiǎn)，是可以規(guī)避的。如利用門禁系統(tǒng)杜絕無(wú)關(guān)人員出入機(jī)房、定期除塵保潔、完善設(shè)備和用戶檔案，又如南方雷雨天，盡可能拔掉與網(wǎng)絡(luò)設(shè)備相連的線路，尤其是樓宇間的懸空線纜，從這些日常細(xì)節(jié)做起，就能最大程度地保護(hù)校園網(wǎng)絡(luò)的物理安全，減少損失。

二、使用者要素

師生是校園網(wǎng)中最活躍的主體，其網(wǎng)絡(luò)行為規(guī)范管理不到位，勢(shì)必將影響整個(gè)網(wǎng)絡(luò)安全。

1.客戶端的安全措施

校園網(wǎng)絡(luò)是以為師生服務(wù)為中心的系統(tǒng)。一個(gè)合法的師生用戶在自己的終端可以執(zhí)行各種操作。管理人員可以通過(guò)對(duì)用戶的權(quán)限分配，限定用戶的某些行為，以規(guī)避故意的或非故意的某些破壞。然而，更多的安全措施必須由使用者自己完成，比如密碼問(wèn)題，師生須對(duì)自己密碼的安全性、保密性負(fù)責(zé)。

2.使用者的安全意識(shí)

有一個(gè)例子，有個(gè)學(xué)生沒(méi)有事情干了，就打開(kāi)網(wǎng)上鄰居，看看網(wǎng)絡(luò)有什么資源開(kāi)放著，結(jié)果發(fā)現(xiàn)一個(gè)文件，他打開(kāi)一看，居然是學(xué)校招生的黑名單，于是他將這個(gè)名單公布在網(wǎng)絡(luò)中，一下子就傳遍了整個(gè)Internet，導(dǎo)致了很多的麻煩和問(wèn)題。從這個(gè)簡(jiǎn)單的事件可以看出，由于安全意識(shí)的淡薄，只圖便利，導(dǎo)致了信息外泄。筆者多次對(duì)區(qū)域內(nèi)學(xué)校進(jìn)行了掃描檢測(cè)，發(fā)現(xiàn)了大量的網(wǎng)絡(luò)安全漏洞，其中不少是圖便利造成的。如某學(xué)校Ftp服務(wù)器，無(wú)須帳號(hào)密碼，就能輕松進(jìn)入，進(jìn)一步測(cè)試，發(fā)現(xiàn)這個(gè)空間竟給匿名用戶開(kāi)放了包括寫入的所有權(quán)限。這樣的“裸機(jī)”，能有安全性可言嗎？也許某個(gè)時(shí)刻，空間上的所有資源全被刪了，或者不該公開(kāi)的信息被泄露出去，再或者被人有刻意上傳了不良信息。事后得知，該校多數(shù)教師和學(xué)生認(rèn)為應(yīng)用網(wǎng)絡(luò)就是圖方便，人為設(shè)置帳號(hào)密碼，操作麻煩，同時(shí)認(rèn)為學(xué)校也無(wú)信息，學(xué)校網(wǎng)絡(luò)管理員盲從，開(kāi)放了所有權(quán)限。

3、使用者的版權(quán)意識(shí)

由于缺乏版權(quán)意識(shí)，盜版軟件、影視資源在校園網(wǎng)中普遍使用，這類文件的傳輸一方面占用了大量的帶寬，另一方面，從網(wǎng)絡(luò)上隨意下載的文件中可能隱藏木馬、后門等惡意代碼，帶來(lái)了一定的安全風(fēng)險(xiǎn)。如微軟公司對(duì)盜版XP操作系統(tǒng)的更新作了限制，安裝盜版系統(tǒng)的計(jì)算機(jī)今后會(huì)留下大量的安全漏洞。

三、技術(shù)要素

1.操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用

常用的操作系統(tǒng)，無(wú)論是Windows還是Unix幾乎都存在或多或少的安全漏洞，其后門也不可避免的存在，可以這樣講：沒(méi)有完全安全的操作系統(tǒng)。但是可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行一些安全策略配置、對(duì)操作和和訪問(wèn)權(quán)限進(jìn)行嚴(yán)格控制，以提高系統(tǒng)的健壯性。

網(wǎng)絡(luò)應(yīng)用也是影響校園網(wǎng)安全的一個(gè)重要要素。Ftp服務(wù)、Mail服務(wù)、視頻服務(wù)等應(yīng)用越來(lái)越多地在校園網(wǎng)內(nèi)發(fā)揮著積極的作用，伴隨著應(yīng)用，安全涉及面也越來(lái)越廣，安全管理的任務(wù)也越來(lái)越重。以最常見(jiàn)的校園網(wǎng)站為例，學(xué)校在建立網(wǎng)站的時(shí)候考慮最多的是網(wǎng)站內(nèi)和宣傳效果，網(wǎng)站代碼的安全，很容易被忽視了。許多教師通過(guò)簡(jiǎn)單的學(xué)習(xí)和培訓(xùn)就可以利用ASP等語(yǔ)言建立動(dòng)態(tài)管理的網(wǎng)站，而這些非專業(yè)人員設(shè)計(jì)的網(wǎng)站，很少對(duì)網(wǎng)站代碼編寫規(guī)范進(jìn)行安全檢測(cè)，從而暴露出數(shù)據(jù)庫(kù)的真實(shí)參數(shù)，導(dǎo)致網(wǎng)站容易受到攻擊。

2.網(wǎng)絡(luò)攻擊與入侵

網(wǎng)絡(luò)安全與網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)中永恒的主題，網(wǎng)絡(luò)無(wú)時(shí)無(wú)刻不發(fā)生上萬(wàn)次的攻擊，特別是當(dāng)校園網(wǎng)絡(luò)對(duì)社會(huì)開(kāi)放后，只要接入互聯(lián)網(wǎng)的用戶或校園網(wǎng)內(nèi)部人員都可以對(duì)校園網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，而當(dāng)黑客入侵服務(wù)器，就可能會(huì)導(dǎo)致主頁(yè)被篡改，數(shù)據(jù)丟失，產(chǎn)生負(fù)面影響。筆者曾在內(nèi)網(wǎng)邊界架設(shè)了清華得實(shí)入侵檢測(cè)系統(tǒng)，一年時(shí)間內(nèi)，入侵檢測(cè)偵聽(tīng)記錄數(shù)據(jù)顯示共發(fā)生了1146，6443次入侵報(bào)警（極少誤報(bào)），即平均每分鐘就要發(fā)生21.01次入侵行為，可以說(shuō)校園網(wǎng)遭受的來(lái)自內(nèi)網(wǎng)、外網(wǎng)的掃描和攻擊無(wú)可避免，網(wǎng)絡(luò)攻擊與入侵無(wú)時(shí)不在。

內(nèi)網(wǎng)攻擊尤值得關(guān)注。許多學(xué)生在掌握了基本的計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)的基礎(chǔ)上，逐漸將之應(yīng)用于其他學(xué)科的學(xué)習(xí)，充分發(fā)揮了這一先進(jìn)工具的作用。但是學(xué)生對(duì)網(wǎng)絡(luò)世界充滿好奇，有些學(xué)生會(huì)嘗試使用學(xué)到的、甚至自己研究的各種攻擊技術(shù)，可能對(duì)學(xué)校內(nèi)網(wǎng)造成一定的影響和破壞。筆者所在區(qū)域內(nèi)一所學(xué)校網(wǎng)站主頁(yè)內(nèi)容異樣，后確認(rèn)是校內(nèi)一名小學(xué)生所為，其目的就是炫耀自己高超的技術(shù)，以達(dá)到心理的滿足。

四、管理要素

“三分技術(shù)、七分管理”，管理是校園網(wǎng)絡(luò)安全中最重要的的部分。目前相關(guān)網(wǎng)絡(luò)與信息安全管理的法律法規(guī)已，學(xué)校網(wǎng)管中心也有各自的安全管理制度，但學(xué)校網(wǎng)絡(luò)中心難以對(duì)師生的一些違規(guī)操作作出相應(yīng)的執(zhí)行力度，只能以告知或警示為主。而學(xué)校領(lǐng)導(dǎo)關(guān)注的更多的是教學(xué)質(zhì)量，注重的是消防、交通等傳統(tǒng)安全，這導(dǎo)致下級(jí)人員在落實(shí)時(shí)不徹底，貫徹時(shí)不堅(jiān)決，執(zhí)行時(shí)不到位。

學(xué)校網(wǎng)絡(luò)安全管理工作離不開(kāi)懂技術(shù)、懂管理、懂教育的復(fù)合型技術(shù)人員，從管理和實(shí)踐經(jīng)驗(yàn)看，校園網(wǎng)安全工作的重中之重還是提升管理員的安全管理能力和責(zé)任心。如何培養(yǎng)好學(xué)校網(wǎng)管員，充分激發(fā)他們的主觀能動(dòng)性，打造一個(gè)有著美好遠(yuǎn)景的職業(yè)規(guī)劃，是一項(xiàng)重要的課題。

五、經(jīng)濟(jì)要素

校園網(wǎng)安全管理范文第3篇

關(guān)鍵詞：校園網(wǎng)；維護(hù)；應(yīng)用

當(dāng)今校園網(wǎng)絡(luò)的安全應(yīng)急措施，測(cè)試與維護(hù)已經(jīng)成為現(xiàn)代教育技術(shù)部門函待解決的問(wèn)題。網(wǎng)絡(luò)的普及使得網(wǎng)絡(luò)安全問(wèn)題層出不窮，各種攻擊的泛濫使得網(wǎng)絡(luò)狀態(tài)頻出，校園網(wǎng)是具有教學(xué)活動(dòng)、科研活動(dòng)、管理活動(dòng)以及對(duì)外交流等的校園內(nèi)局域網(wǎng)，由此高校校園網(wǎng)絡(luò)安全已被提上重要日程。網(wǎng)絡(luò)具有共享性及開(kāi)放性的原則，怎樣加強(qiáng)高校校園網(wǎng)絡(luò)安全，預(yù)防網(wǎng)絡(luò)出現(xiàn)不安全因素并進(jìn)行測(cè)試與維護(hù)已成為目前各高校安全管理校園網(wǎng)的關(guān)鍵。

1 當(dāng)今高校校園網(wǎng)存在的安全問(wèn)題

伴隨著各大高校生源規(guī)模的日益擴(kuò)大，原址學(xué)校的建設(shè)以及跨校區(qū)建設(shè)的情況層出不窮，使得校園網(wǎng)的規(guī)模日益擴(kuò)大，高校校園網(wǎng)使用網(wǎng)絡(luò)不夠規(guī)范，網(wǎng)絡(luò)監(jiān)控難，網(wǎng)絡(luò)使用地點(diǎn)不夠集中等現(xiàn)象加大了網(wǎng)絡(luò)安全使用的難度，當(dāng)下，校園網(wǎng)存在的安全問(wèn)題普遍有以下幾種：①校園網(wǎng)硬件設(shè)備存在問(wèn)題較多；②網(wǎng)絡(luò)病毒的感染；③黑客的入侵行為頻繁；④管理及不良信息的泛濫。

2 高校校園網(wǎng)管理制度存在安全問(wèn)題

伴隨高校招生規(guī)模的擴(kuò)大，多校區(qū)發(fā)展等，出現(xiàn)了網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，監(jiān)控困難，上網(wǎng)地點(diǎn)極為分散，上網(wǎng)行為不夠規(guī)范等現(xiàn)象，因此加大了校園網(wǎng)絡(luò)使用中的隱患。當(dāng)前，高校校園網(wǎng)絡(luò)普遍存在安全隱患。

2.1 二級(jí)網(wǎng)站管理不夠，甚至出現(xiàn)空白現(xiàn)象

高校網(wǎng)絡(luò)管理不僅是對(duì)BBS進(jìn)行管理，還對(duì)校園網(wǎng)主站進(jìn)行管理，還包括對(duì)學(xué)校的二級(jí)部門以及各大社團(tuán)的網(wǎng)站進(jìn)行管理。目前，二級(jí)網(wǎng)站管理中出現(xiàn)很多問(wèn)題：不存在二級(jí)網(wǎng)站的審批制度或者審批制度不夠嚴(yán)格，責(zé)任人和分管的人不夠明確，二級(jí)網(wǎng)站完成后管理未跟進(jìn)，網(wǎng)站或BBS的不良信息泛濫甚至失控，一些比較有害的信息后期才會(huì)被發(fā)現(xiàn)。因此，對(duì)校園網(wǎng)加強(qiáng)監(jiān)控力度非常重要。

2.2 校園網(wǎng)安全管理的模式不科學(xué)

現(xiàn)在有部分高校由網(wǎng)絡(luò)中心或宣傳部門承擔(dān)網(wǎng)站信息安全工作，這樣的管理不到位，在面對(duì)突發(fā)性事件時(shí)難以有效處理，日常管理有阻：還有學(xué)校采取多部門聯(lián)合管理的方式，但是極不科學(xué)，分工不明確。各部門有自己的規(guī)章制度，在涉及本部門的管理中對(duì)工作分塊進(jìn)行管理，而多部門負(fù)責(zé)監(jiān)管時(shí)出現(xiàn)相互扯皮的現(xiàn)象抑或出現(xiàn)管理中的矛盾致使有害不良信息處理不及時(shí)或者出現(xiàn)處理時(shí)的矛盾，使得不良信息擴(kuò)散加重。

2.3 管理制度不健康管理人員素質(zhì)低

網(wǎng)絡(luò)安全管理內(nèi)容出現(xiàn)很多問(wèn)題，網(wǎng)絡(luò)安全管理制度也需要不斷更新和修訂，一些高校重視度不夠，會(huì)出現(xiàn)制度“空白”現(xiàn)象，這使得網(wǎng)絡(luò)管理者處理問(wèn)題時(shí)找不到依據(jù)，影響了正常工作。同時(shí)，由于網(wǎng)絡(luò)信息內(nèi)容安全工作是一項(xiàng)新興工作，很多學(xué)校沒(méi)有形成一支專業(yè)的管理團(tuán)隊(duì)，一些學(xué)校放手交由學(xué)生管理校園論壇、網(wǎng)站，造成管理者處理問(wèn)題時(shí)往往感情用事，不夠?qū)I(yè)。網(wǎng)絡(luò)信息內(nèi)容安全隱患大，效率不高.

3 校園網(wǎng)的網(wǎng)絡(luò)安全管理

校園網(wǎng)絡(luò)故障有以下幾方面：線路不通，路由器故障，基本上是由于路由配置錯(cuò)誤而引起主機(jī)故障，主要是因?yàn)橹鳈C(jī)的IP地址配置不合理或存在安全方面隱患：網(wǎng)卡故障，電源故障，供電超載，主要是由于參數(shù)設(shè)置不當(dāng)以及驅(qū)動(dòng)不能正常發(fā)揮作用等。

3.1 網(wǎng)絡(luò)安全管理的實(shí)施

高校校園網(wǎng)絡(luò)安全涉及到很多方面要采用合理先進(jìn)的技術(shù)，需要很多技術(shù)密切配合，如防火墻技術(shù)、加密技術(shù)和防黑客技術(shù)等。

3.2 解決網(wǎng)絡(luò)設(shè)置問(wèn)題

第一，對(duì)流量進(jìn)行分析，幫助管理者了解各種占用網(wǎng)絡(luò)帶寬的比例，從而便于發(fā)現(xiàn)故障所在。第二，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，例如IP地址沖突，如設(shè)置出錯(cuò)，Net BIOS名設(shè)置錯(cuò)誤、設(shè)備無(wú)響應(yīng)等。

3.3 對(duì)網(wǎng)絡(luò)安全管理分析

線纜作為傳輸信息的介質(zhì)，可以把它比作為網(wǎng)絡(luò)的動(dòng)脈，它將網(wǎng)絡(luò)設(shè)備連接起來(lái)，所有通信信號(hào)都是通過(guò)線纜傳輸?shù)?，由于帶寬需求的升高，線纜傳輸?shù)目煽啃宰兊迷絹?lái)越重要。網(wǎng)絡(luò)的安全管理，首先，線纜的檢測(cè)不僅是線纜的通斷、插頭連接好壞的問(wèn)題，而且還包括許多電氣指標(biāo)。如何選擇網(wǎng)路線纜的質(zhì)量可靠，這就需要檢測(cè)過(guò)程不僅僅是線纜的插頭通斷連接的好壞，而且還包括很多電氣指標(biāo)，例如衰減、近端串?dāng)_等。

高校校園網(wǎng)存有的安全隱患，大量計(jì)算機(jī)沒(méi)有及時(shí)進(jìn)行安全維護(hù)以及網(wǎng)絡(luò)系統(tǒng)的測(cè)試內(nèi)容不明晰，這就需要從大的方面入手，通過(guò)分析校園網(wǎng)的整體安全性，探討校園網(wǎng)的安全防護(hù)策略問(wèn)題及校園網(wǎng)的測(cè)試問(wèn)題，采取強(qiáng)有力的防范措施進(jìn)行處理，做到知己知彼，百戰(zhàn)不殆，充分認(rèn)識(shí)到校園網(wǎng)絡(luò)不安全的地方。要對(duì)校園網(wǎng)的安全防護(hù)和性能測(cè)試進(jìn)行長(zhǎng)期研究，這才對(duì)正確使用校園網(wǎng)具有重要的現(xiàn)實(shí)意義。

參考文獻(xiàn)

[1]萍利.基于J2EE WEB服務(wù)的統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程，2012，20（24）：35―37.

校園網(wǎng)安全管理范文第4篇

論文摘要：隨著網(wǎng)絡(luò)技術(shù)發(fā)展和人類對(duì)網(wǎng)絡(luò)依賴性增強(qiáng)，網(wǎng)絡(luò)安全問(wèn)題日益突出。特別是校園網(wǎng)絡(luò)的通訊安全已經(jīng)威脅到了廣大師生的正常工作和學(xué)習(xí)，校園網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各校園網(wǎng)絡(luò)建設(shè)中迫在眉睫的問(wèn)題。

1 引言

目前，網(wǎng)絡(luò)應(yīng)用的焦點(diǎn)問(wèn)題是網(wǎng)絡(luò)通訊安全問(wèn)題。其主要表現(xiàn)在信息泄露、信息篡改、非法使用網(wǎng)絡(luò)資源、非法信息滲透、假冒等方面。在Intemet上網(wǎng)絡(luò)系統(tǒng)既要開(kāi)放，又要安全，以至于從技術(shù)方面講安全問(wèn)題是整個(gè)互聯(lián)網(wǎng)技術(shù)里較為困難的問(wèn)題。從lnternet的角度看，對(duì)網(wǎng)絡(luò)的威脅主要來(lái)自于網(wǎng)絡(luò)硬件和軟件兩方面的不安全因素。一方面，電磁泄露、搭線竊聽(tīng)、非法人侵、線路干擾、意外原因、病毒感染、信息截獲等。另一方面，操作系統(tǒng)本身的問(wèn)題，各種應(yīng)用服務(wù)存在安全問(wèn)題。特別是近年來(lái)學(xué)校網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，已經(jīng)嚴(yán)重威脅到廣大師生的使用安全，因此，我們要加強(qiáng)校園網(wǎng)絡(luò)的安全管理。

2 校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)介

校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等 校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等。校園外網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)．一般包括DNS、WEB、FFP、PROXY以及MAIL服務(wù)等。外部網(wǎng)實(shí)現(xiàn)了校園網(wǎng)與CERNET及INTERNET的基礎(chǔ)接入，使學(xué)校教職工和學(xué)生能使

用電子郵件和瀏覽器等應(yīng)用方式．在教學(xué)、科研和管理工作中利用國(guó)內(nèi)和國(guó)際網(wǎng)進(jìn)行信息交流和共享。

3 校園內(nèi)網(wǎng)絡(luò)通訊安全的主要威脅

校園網(wǎng)常見(jiàn)的風(fēng)險(xiǎn)威脅主要是校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過(guò)郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；外來(lái)的系統(tǒng)對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS／DDOS攻擊，入侵等惡意破壞行為，有些計(jì)算機(jī)已經(jīng)被攻破，用作黑客攻擊的工具；拒絕服務(wù)攻擊目前越來(lái)越普遍，不少開(kāi)始針對(duì)重點(diǎn)高校的網(wǎng)站和服務(wù)器；校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全，帶來(lái)校園網(wǎng)的威脅。

這些威脅主要表現(xiàn)在：

3.1黑客

黑客是網(wǎng)絡(luò)上的一個(gè)復(fù)雜群體，他們以發(fā)現(xiàn)和攻擊網(wǎng)絡(luò)操作系統(tǒng)的漏洞和缺陷作為樂(lè)趣，利用網(wǎng)絡(luò)通訊安全的脆弱性進(jìn)行非法活動(dòng)，如修改網(wǎng)頁(yè)，非法進(jìn)入主機(jī)破壞程序，竊取網(wǎng)上信息，進(jìn)行電子郵件騷擾，阻塞網(wǎng)絡(luò)和竊取網(wǎng)絡(luò)用戶口令等。

3.2計(jì)算機(jī)病毒

計(jì)算機(jī)病毒已成為很多黑客入侵的先導(dǎo)，是目前威脅網(wǎng)絡(luò)通訊安全的重大禍?zhǔn)祝那秩朐趪?yán)重的情況下會(huì)使網(wǎng)絡(luò)系統(tǒng)癱瘓，重要數(shù)據(jù)無(wú)法訪問(wèn)甚至丟失。

3.3拒絕服務(wù)

拒絕服務(wù)是指導(dǎo)致系統(tǒng)難以或不可能繼續(xù)執(zhí)行任務(wù)的所有問(wèn)題，它具有很強(qiáng)的破壞性，“電子郵件炸彈”、“垃圾郵件”等，就是一些典型的例子．用戶受到它的攻擊時(shí)，在很短的時(shí)間內(nèi)收到大量的電子郵件，從而使用戶系統(tǒng)喪失功能，無(wú)法進(jìn)行正常工作。

通過(guò)以上校園網(wǎng)的三種威脅，我們可以更深入的分析其原因，主要有以下幾點(diǎn)：

(1)校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多。校園網(wǎng)的速度快和規(guī)模大。少則數(shù)千人、多則數(shù)萬(wàn)人。正是由于高帶寬和大用戶量的特點(diǎn)，網(wǎng)絡(luò)安全問(wèn)題一般蔓延快、對(duì)網(wǎng)絡(luò)的影響比較嚴(yán)重；

(2)校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)管理比較復(fù)雜。校園網(wǎng)中的計(jì)算機(jī)系統(tǒng)的購(gòu)置和管理情況非常復(fù)雜，比如學(xué)生宿舍中的電腦一般是學(xué)生自己花錢購(gòu)買、自己維護(hù)的。有的則是統(tǒng)一采購(gòu)、有技術(shù)人員負(fù)責(zé)維護(hù)的，有的則是教師自主購(gòu)買、沒(méi)有專人維護(hù)的。這種情況下要求所有的端系統(tǒng)實(shí)施統(tǒng)一的安全政策(比如安裝防病毒軟件、設(shè)置可靠的口令)是非常困難的。由于沒(méi)有統(tǒng)一的資產(chǎn)管理和設(shè)備管理。出現(xiàn)安全問(wèn)題后通常無(wú)法分清責(zé)任。更有些計(jì)算機(jī)甚至服務(wù)器系統(tǒng)建設(shè)完畢之后無(wú)人管理，甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗(yàn)床也無(wú)人覺(jué)察；

(3)活躍的用戶群體。學(xué)校的學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶。

對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇，勇于嘗試。如果沒(méi)有意識(shí)到后果的嚴(yán)重性．有些學(xué)生會(huì)嘗試使用網(wǎng)上學(xué)到的、甚至自己研究的各種攻擊技術(shù)．可能對(duì)網(wǎng)絡(luò)造成一定的影響和破壞：

由于以上各種原因?qū)е滦@網(wǎng)既是大量攻擊的發(fā)源地，也是廣大攻擊者最容易攻破的目標(biāo)。

4 網(wǎng)絡(luò)通訊安全的管理策略

4.1通過(guò)技術(shù)手段實(shí)現(xiàn)網(wǎng)絡(luò)安全

運(yùn)用學(xué)校計(jì)算機(jī)網(wǎng)絡(luò)在技術(shù)上實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，確保網(wǎng)絡(luò)系統(tǒng)的安全、可靠地運(yùn)行，如實(shí)行個(gè)人網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、服務(wù)器的安全控制、防火墻和殺毒軟件結(jié)合進(jìn)行安全控制等技術(shù)控制非法用戶對(duì)目錄、文件和其他網(wǎng)絡(luò)資源的訪問(wèn)。校園網(wǎng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)監(jiān)控，網(wǎng)絡(luò)服務(wù)器應(yīng)記錄用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。對(duì)非法的網(wǎng)絡(luò)訪問(wèn)，服務(wù)器應(yīng)以文字、圖形或聲音等形式報(bào)警來(lái)提醒網(wǎng)絡(luò)管理員。如有非法黑客企圖攻擊、破壞網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)服務(wù)器應(yīng)實(shí)

(上接第720頁(yè))

施鎖定控制，自動(dòng)記錄企圖攻擊網(wǎng)絡(luò)系統(tǒng)的次數(shù)，達(dá)到所設(shè)定的數(shù)值，該賬戶將被自動(dòng)鎖定，確保網(wǎng)絡(luò)安全。

同時(shí)校園計(jì)算機(jī)中心應(yīng)加強(qiáng)內(nèi)部管理，建立事件的審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。應(yīng)由專人負(fù)責(zé)管理服務(wù)器或網(wǎng)絡(luò)設(shè)備，其他工作人員未經(jīng)允許不得隨意更改配置；對(duì)服務(wù)器或網(wǎng)絡(luò)設(shè)備的操作應(yīng)建立詳細(xì)的日志，減少內(nèi)部工作人員的誤操作而弓l起的故障。對(duì)于學(xué)生，應(yīng)加強(qiáng)網(wǎng)絡(luò)方面法律、法規(guī)的教育，提高學(xué)生的法律意識(shí)，防止出現(xiàn)破壞網(wǎng)絡(luò)安全的違法行為。

4.2建立一整套安全防護(hù)體系

4.2.1防火墻

防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列軟硬件的組合，它在校園網(wǎng)與Intemet網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略，決定哪些內(nèi)部站點(diǎn)允許外界訪問(wèn)和允許訪問(wèn)外界。從而保護(hù)內(nèi)部網(wǎng)免受外部非法用戶的入侵。同時(shí)防火墻是預(yù)防黑客攻擊，病毒入侵的重要屏障。防火墻的建立提供了對(duì)網(wǎng)絡(luò)流量的可控過(guò)濾，以限制訪問(wèn)特定的因特網(wǎng)端口號(hào)，而其余則被堵塞，這一點(diǎn)要求它必須是唯一的人口點(diǎn)。用來(lái)阻止未經(jīng)認(rèn)證的外部登錄。這就是防火墻與路由器是一個(gè)整體的原因。

4.2.2端口控制機(jī)制

計(jì)算機(jī)服務(wù)器使用自動(dòng)回呼設(shè)備、調(diào)制解調(diào)器對(duì)端口加以保護(hù)。并以加密的形式來(lái)識(shí)別節(jié)點(diǎn)的身份。外部用戶對(duì)校園網(wǎng)進(jìn)行訪問(wèn)時(shí)。端口對(duì)其進(jìn)行身份探查，當(dāng)確定其身份和法后才允許訪問(wèn)校園網(wǎng)。

4.2.3加密技術(shù)

在外部網(wǎng)絡(luò)的數(shù)據(jù)傳輸過(guò)程中，采用密碼技術(shù)對(duì)信息加密是最常用的安全保護(hù)手段。目前廣泛使用的有對(duì)稱算法和非對(duì)稱算法兩類加密算法，兩種方法結(jié)合使用。加上數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字水印及數(shù)字證書等技術(shù)，可以使通信安全得到保證。

4.2.4封鎖系統(tǒng)安全漏洞

在發(fā)現(xiàn)新病毒或因系統(tǒng)安全漏洞威脅網(wǎng)絡(luò)安全時(shí)。應(yīng)當(dāng)及時(shí)提供各種補(bǔ)丁程序以便下載．許多操作系統(tǒng)和應(yīng)用軟件也在不斷更新版本以修正錯(cuò)誤或完善功能．對(duì)于校園網(wǎng)管理過(guò)程中，要及時(shí)下載和安裝各種補(bǔ)丁、升級(jí)程序，封鎖系統(tǒng)安全漏洞。這樣對(duì)保護(hù)網(wǎng)絡(luò)和信息系統(tǒng)的安全會(huì)起到很大作用，可以有效的防止一些“黑客”因?yàn)椴僮飨到y(tǒng)和各種應(yīng)用軟件的設(shè)計(jì)漏洞對(duì)校園網(wǎng)資源進(jìn)行非法訪問(wèn)和有關(guān)操作。

4.3建立用戶管理制度

在保證學(xué)校教職工和廣大學(xué)生用戶合法權(quán)力的同時(shí)，限制非法用戶入侵，保證數(shù)據(jù)的安全，特別應(yīng)制定和做好身份驗(yàn)證和訪問(wèn)授權(quán)限制。為了識(shí)別并證實(shí)用戶，系統(tǒng)可給合法用戶提供唯一的用戶標(biāo)識(shí)符，提供一種驗(yàn)證手段，來(lái)驗(yàn)證登錄的用戶是不是真正的擁有該用戶標(biāo)識(shí)符的合法用戶。也可通過(guò)口令、卡片密鑰、簽名或指紋來(lái)實(shí)現(xiàn)，通過(guò)身份驗(yàn)證確保用戶機(jī)與服務(wù)器的相互身份。

總之，校園網(wǎng)絡(luò)安全是一個(gè)涉及多方面的系統(tǒng)工程，必須全面協(xié)調(diào)地運(yùn)用各種防范技術(shù)手段，加強(qiáng)對(duì)人與物的管理，才能達(dá)到預(yù)期的目的，為學(xué)校建設(shè)多作貢獻(xiàn)。建立一個(gè)安全、穩(wěn)定、高效的校園系統(tǒng)，是各大校園競(jìng)相努力的目標(biāo)。

參考文獻(xiàn)：

[1]龔靜.計(jì)算機(jī)網(wǎng)絡(luò)安全策略的探討[J].福建電腦,2004,5:18-l9.

[2]張公忠.統(tǒng)代網(wǎng)絡(luò)技術(shù)教育[M].電子工業(yè)出版社出版,2004.

[3]王彥波.計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)[J].信息技術(shù),2003,1(27):15-16.

校園網(wǎng)安全管理范文第5篇

本論文最終建立了適應(yīng)獨(dú)立學(xué)院網(wǎng)絡(luò)安全管理的體系模型及應(yīng)用模式,為校園網(wǎng)絡(luò)中所存在的嚴(yán)重安全問(wèn)題提出一種思路及解決辦法。

關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 管理體系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三個(gè)系統(tǒng)在應(yīng)用中,基本搭建起學(xué)校的整個(gè)電子資源,其中校務(wù)管理系統(tǒng)最為重要,此系統(tǒng)一但癱瘓意味著學(xué)校將基本停止正常運(yùn)行。然而隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,黑客的攻擊手段日益先進(jìn)。單一的技術(shù)手段無(wú)法保證系統(tǒng)的安全運(yùn)行,只有在安全策略的指導(dǎo)下,建立互動(dòng)的安全防范體系,才能最終保證網(wǎng)絡(luò)的安全,保證系統(tǒng)穩(wěn)定運(yùn)行。

構(gòu)建網(wǎng)絡(luò)安全管理體系模型

一般而言,各學(xué)校目前普遍采用PDRR模型來(lái)構(gòu)建安全防御體系。PDRR模型屬于動(dòng)態(tài)信息安全理論的模型,PDRR是4個(gè)英文單詞的頭字符:Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))、Recovery(恢復(fù))。這四個(gè)部分構(gòu)成了一個(gè)動(dòng)態(tài)的信息安全周期,如圖:

該模型更多的強(qiáng)調(diào)通過(guò)防火墻、IDS以及VPN等技術(shù)來(lái)解決校園網(wǎng)絡(luò)中存在的安全問(wèn)題,重點(diǎn)在于安全應(yīng)用技術(shù),同時(shí)沒(méi)有形成體系和防御層次,并忽視了兩個(gè)重要的安全因素,安全管理與大流量數(shù)據(jù)擁堵造成的網(wǎng)絡(luò)安全問(wèn)題。

為能夠更加有效的保證網(wǎng)絡(luò)及各類應(yīng)用的安全運(yùn)行,安全管理體系的設(shè)計(jì)應(yīng)突出網(wǎng)絡(luò)安全的整個(gè)流程,從用戶的發(fā)起端到校園網(wǎng)絡(luò)的INTERNET出口,在數(shù)據(jù)流傳輸?shù)母鱾€(gè)環(huán)節(jié)進(jìn)行了分布式的安全防范,同時(shí)輔以入侵檢測(cè)、漏洞掃描、流量管理的多種技術(shù)手段,加以監(jiān)控并降低設(shè)備不必要的運(yùn)行壓力,保證網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行。在各個(gè)環(huán)節(jié)中,以策略為中心的安全模型可以更充分的發(fā)揮模型的各項(xiàng)功能。以安全策略為中心的輪形安全模型,可以從安全、監(jiān)測(cè)、測(cè)試、調(diào)優(yōu)、流控五個(gè)部分對(duì)我們的安全架構(gòu)進(jìn)行不斷的完善,使其成為一個(gè)自防御體系,能夠快速、有效、可靠、全面的發(fā)現(xiàn)各種系統(tǒng)遭受的攻擊,并實(shí)現(xiàn)有效的防范,以確保系統(tǒng)的穩(wěn)定運(yùn)行。

在PDRR基礎(chǔ)上,以安全策略為核心,以安全技術(shù)為支撐,以安全管理作為落實(shí)手段,建立了高效校園網(wǎng)絡(luò)安全管理體系。

針對(duì)于上述的安全架構(gòu),在具體的應(yīng)用中,安全體系架構(gòu)包含二個(gè)模塊:分別為校園互聯(lián)網(wǎng)接入模塊、校園園區(qū)網(wǎng)模塊,二個(gè)安全構(gòu)件組成信息系統(tǒng)的安全架構(gòu)。這種結(jié)構(gòu)劃的設(shè)計(jì),有利于在不同的網(wǎng)絡(luò)功能模塊之間更好的劃分安全防范的重點(diǎn),并具有良好的擴(kuò)展型,允許在今后的網(wǎng)絡(luò)安全規(guī)劃中,以一種層次的關(guān)系來(lái)分發(fā)安全策略。

安全模塊的設(shè)計(jì)特點(diǎn)

校園INTERNET接入模塊

校園INTERNET接入模塊主要是預(yù)防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設(shè)計(jì)思想是以最少的策略,實(shí)現(xiàn)最嚴(yán)格的限制與最少的漏洞,同時(shí)保證最快的轉(zhuǎn)發(fā)速度。

校園園區(qū)網(wǎng)模塊

校園園區(qū)網(wǎng)是內(nèi)部網(wǎng)的核心,保護(hù)著包括內(nèi)網(wǎng)用戶、重要服務(wù)器的安全。園區(qū)網(wǎng)由一臺(tái)防火墻、兩臺(tái)互為冗余的主干交換機(jī)、內(nèi)部應(yīng)用服務(wù)器與樓層交換機(jī)、IDS模塊組成。在防火墻上根據(jù)用戶、服務(wù)進(jìn)行詳細(xì)的分類,并針對(duì)每一個(gè)服務(wù)訪問(wèn)做到具體的策略應(yīng)用,園區(qū)網(wǎng)上防火墻的安全配置要求對(duì)每個(gè)訪問(wèn)做到具體、全面、嚴(yán)格的限制,為每個(gè)用戶都劃分了訪問(wèn)的具體范圍,它作為安全防護(hù)的中心。

安全架構(gòu)的檢測(cè)

完成基本架構(gòu)的搭建,為了保證各項(xiàng)安全措施能夠滿足防御要求,采用了多種方式進(jìn)行系統(tǒng)的模擬安全檢測(cè)。

(1) 使用兩種漏洞掃描軟件對(duì)系統(tǒng)進(jìn)行測(cè)試,SYMANTEC NETSTAT、及SSS軟件進(jìn)行比較安全測(cè)試;

(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區(qū)域?qū)ΠňW(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)進(jìn)行了模擬攻擊;

在一個(gè)完整的校園安全管理體系中,各個(gè)部分之間的分工清晰,相互協(xié)作,在具體應(yīng)用中可以很好的應(yīng)用在實(shí)際的管理模塊上。這種方式將簡(jiǎn)單、高效的布置校園網(wǎng)絡(luò)的安全,為校園網(wǎng)絡(luò)的運(yùn)行及信息化建設(shè)奠定良好的安全基礎(chǔ)。

北京理工大學(xué)珠海學(xué)院校園網(wǎng)安全管理體系部署

北京理工大學(xué)珠海學(xué)院(以下簡(jiǎn)稱珠海學(xué)院)自2004年建校以來(lái),珠海學(xué)院已擁有在校生15000人,校園網(wǎng)絡(luò)經(jīng)歷了6年的建設(shè),信息點(diǎn)已達(dá)20000個(gè),建成了內(nèi)網(wǎng)骨干帶寬為20G,珠海學(xué)院外網(wǎng)帶寬600M,校內(nèi)包括教務(wù)系統(tǒng)、網(wǎng)絡(luò)教學(xué)平臺(tái)、一卡通系統(tǒng)等各類應(yīng)用已達(dá)40個(gè),網(wǎng)絡(luò)用戶已達(dá)12500人左右。

本文為全文原貌 未安裝PDF瀏覽器用戶請(qǐng)先下載安裝 原版全文

安全策略

珠海學(xué)院各應(yīng)用服務(wù)器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數(shù)據(jù)庫(kù)服務(wù)器采用LINUX操作系統(tǒng),使用的應(yīng)用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網(wǎng)絡(luò)情況、應(yīng)用環(huán)境十分復(fù)雜。針對(duì)上述問(wèn)題,在建網(wǎng)初期,即制定了相應(yīng)的安全管理近期與長(zhǎng)期目標(biāo)。安全體系的近期目標(biāo)是實(shí)現(xiàn)完善的安全審計(jì)和取證機(jī)制,保證受到入侵后有證可查。鑒于大多數(shù)安全事件來(lái)自于管理員的誤操作,審計(jì)在明確事故責(zé)任上也能發(fā)揮重大作用。長(zhǎng)期目標(biāo)是建立安全預(yù)警系統(tǒng),能夠抵御較高水平的黑客攻擊。

分布式安全防范措施

分布式防范措施是從用戶端到INTERNET出口之間進(jìn)行層層設(shè)防,部署不同的安全技術(shù)和措施,從技術(shù)方面杜絕出現(xiàn)安全問(wèn)題的舉措。在珠海學(xué)院的網(wǎng)絡(luò)上,我們采取了下列措施:

(1)限定網(wǎng)絡(luò)用戶的不同vlan。(2)實(shí)行802.1x的認(rèn)證協(xié)議。(3)網(wǎng)絡(luò)用戶安全管理。(4)網(wǎng)絡(luò)用戶隔離。(5)網(wǎng)間設(shè)備數(shù)據(jù)傳輸安全。(6)交換機(jī)ip與用戶ip分別管理。

(7)防止木馬的管理方式。(8)設(shè)置應(yīng)用的不同安全等級(jí)。(9)服務(wù)器的安全管理。

(10)VPN訪問(wèn)。(11)系統(tǒng)恢復(fù)。

漏洞掃描

珠海學(xué)院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場(chǎng)中享有速度最快,功效最好的盛名,其功能遠(yuǎn)遠(yuǎn)超過(guò)了其它眾多的掃描分析工具。SSS 可以對(duì)很大范圍內(nèi)的系統(tǒng)漏洞進(jìn)行安全、高效、可靠的安全檢測(cè),對(duì)系統(tǒng)全部掃面之后,SSS可以對(duì)收集的信息進(jìn)行分析,發(fā)現(xiàn)系統(tǒng)設(shè)置中容易被攻擊的地方和可能的錯(cuò)誤,得出對(duì)發(fā)現(xiàn)問(wèn)題的可能的解決方法。

在珠海學(xué)院的網(wǎng)絡(luò)管理中,定期對(duì)各個(gè)主要的交換機(jī)、服務(wù)器進(jìn)行安全掃描,以為下一步的安全管理提供依據(jù)。

入侵檢測(cè)

珠海學(xué)院的入侵檢測(cè)系統(tǒng)布置,分為兩個(gè)層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;

另外,啟用HIDS功能及在服務(wù)器上安裝個(gè)人防火墻設(shè)置,珠海學(xué)院采用的是MICROSOFT ISA2004。

為了檢測(cè)有害的入侵者,ISA Server將網(wǎng)絡(luò)通信以及日志項(xiàng)與熟知的攻擊方法進(jìn)行比較。如發(fā)現(xiàn)可疑的行為會(huì)觸發(fā)一組預(yù)先設(shè)定的措施或者警報(bào)。這些措施包括終止鏈接、終止服務(wù)、電子郵件警報(bào)、記入日志、以及運(yùn)行一個(gè)選定的程序。

流量管理

由于P2P技術(shù)的廣泛應(yīng)用,目前大多數(shù)網(wǎng)絡(luò)用戶都采用P2P技術(shù)的網(wǎng)絡(luò)工具進(jìn)行諸如下載、視頻、聽(tīng)歌等服務(wù),如迅雷、QQ直播、酷狗等,這些軟件的優(yōu)點(diǎn)是充分利用互聯(lián)網(wǎng)絡(luò),為用戶提供豐富的資源。應(yīng)該說(shuō)P2P技術(shù)的快速發(fā)展帶動(dòng)了互聯(lián)網(wǎng)絡(luò)的快速發(fā)展,讓用戶能夠更加便捷的使用互聯(lián)網(wǎng)上的資源。

但P2P技術(shù)對(duì)于網(wǎng)絡(luò)管理與運(yùn)營(yíng)來(lái)說(shuō)是一種嚴(yán)重的挑戰(zhàn),一方面P2P技術(shù)過(guò)于貪婪,最大化的利用網(wǎng)絡(luò)帶寬進(jìn)行下載。在珠海學(xué)院建網(wǎng)初期,申請(qǐng)的100M互聯(lián)網(wǎng)帶寬在沒(méi)有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對(duì)校園網(wǎng)絡(luò)運(yùn)營(yíng)影響極大(帶寬租用價(jià)格較貴)。而且下載的很多資源內(nèi)包含有大量的木馬、病毒程序,對(duì)網(wǎng)絡(luò)的安全運(yùn)行造成了極大的影響。在珠海學(xué)院校園網(wǎng)絡(luò)運(yùn)行初期,很多問(wèn)題是圍繞著帶寬、速度產(chǎn)生的。P2P應(yīng)用軟件的廣發(fā)使用對(duì)校園網(wǎng)絡(luò)設(shè)備帶來(lái)了極大的壓力,根本無(wú)從保證校園網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和安全管理。

經(jīng)過(guò)不斷的摸索,珠海學(xué)院在控制P2P應(yīng)用中重點(diǎn)采用了三種措施:

(1)限制用戶的帶寬:對(duì)于單個(gè)用戶ip,通過(guò)防火墻對(duì)用戶進(jìn)行帶寬管理,為每個(gè)用戶保證一條相對(duì)固定的通道,而不去影響其它用戶的上網(wǎng);

(2)限制用戶的連接數(shù):每個(gè)服務(wù)都是通過(guò)TCP或者UDP進(jìn)行的數(shù)據(jù)通信,通過(guò)防火墻對(duì)單個(gè)用戶ip進(jìn)行連接數(shù)的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網(wǎng)絡(luò)線路的通暢;

(3)限制或封閉P2P協(xié)議的總帶寬:P2P協(xié)議之所以難以管理,主要是由于這種技術(shù)在使用過(guò)程中的服務(wù)端口可以隨機(jī)的變化,管理者根本無(wú)法確定服務(wù)的端口號(hào),也就無(wú)法通過(guò)傳統(tǒng)的設(shè)備進(jìn)行限制和禁止。但任何協(xié)議都有自己的特征碼,我們通過(guò)技術(shù)手段對(duì)P2P協(xié)議的特征進(jìn)行匹配從而控制這種協(xié)議的軟件。但考慮到這種軟件應(yīng)用的廣泛性,僅對(duì)這種軟件限制總體流量而并不完全封閉。

安全管理

安全管理貫穿于安全防范體系的始終。實(shí)踐一再告訴人們僅有安全技術(shù)防范,而無(wú)嚴(yán)格的安全管理體系相配套,是難以保障網(wǎng)絡(luò)系統(tǒng)安全的。必須制定一系列安全管理制度,對(duì)安全技術(shù)和安全設(shè)施進(jìn)行管理。實(shí)現(xiàn)安全管理必須遵循可操作、全局性、動(dòng)態(tài)性、管理與技術(shù)的有機(jī)結(jié)合、責(zé)權(quán)分明、分權(quán)制約及安全管理的制度化等原則。

2004年珠海學(xué)院校園網(wǎng)絡(luò)建立后,我們形成了初步的安全管理制度,但在運(yùn)行過(guò)程中,發(fā)現(xiàn)存在有很多的問(wèn)題。校園網(wǎng)絡(luò)建立初期,設(shè)立網(wǎng)管負(fù)責(zé)全校的校園網(wǎng)絡(luò)管理、設(shè)立了系統(tǒng)管理員負(fù)責(zé)全校的應(yīng)用服務(wù)器管理,但實(shí)際上雖然人員角色明確,但人員任務(wù)并不明確。比如,網(wǎng)管人員管理所有的網(wǎng)絡(luò)設(shè)備,但具體的學(xué)生用戶上網(wǎng)情況并不是十分了解,對(duì)存在的問(wèn)題不是非常清晰。而作為系統(tǒng)管理員并不十分清楚服務(wù)器所安裝的具體應(yīng)用軟件要求,往往是由應(yīng)用管理人員對(duì)系統(tǒng)進(jìn)行維護(hù),但又經(jīng)常忽視系統(tǒng)的安全性。

針對(duì)上述問(wèn)題,我們制定了以業(yè)務(wù)為主導(dǎo)的管理模式,將校園網(wǎng)絡(luò)分為兩片,宿舍區(qū)網(wǎng)絡(luò)、教學(xué)區(qū)網(wǎng)絡(luò),分別由專人進(jìn)行管理,但網(wǎng)絡(luò)路由統(tǒng)一由教學(xué)區(qū)管理,以保證網(wǎng)絡(luò)的穩(wěn)定、暢通性。而應(yīng)用系統(tǒng)部分分為公共基礎(chǔ)服務(wù)、校務(wù)管理系統(tǒng)、網(wǎng)絡(luò)教學(xué)系統(tǒng)分別由三個(gè)專職人員負(fù)責(zé)維護(hù)、管理,并有一人總負(fù)責(zé),檢查、督促工作的完成情況。

這種管理方式讓具體管理人員對(duì)于自身管理系統(tǒng)的問(wèn)題十分清楚,從而保證了整個(gè)網(wǎng)絡(luò)安全體系的動(dòng)態(tài)性和有效性。

運(yùn)行效果

經(jīng)過(guò)對(duì)校園網(wǎng)絡(luò)的一系列調(diào)整、改造,珠海學(xué)院的校園網(wǎng)絡(luò)運(yùn)行得到了極大的改善,我們從以下幾個(gè)方面來(lái)評(píng)定:

網(wǎng)絡(luò)基本流量對(duì)比

珠海學(xué)院學(xué)生用INTERNET線路共計(jì)有3條,2條200M電信帶寬,1條100M網(wǎng)通帶寬。三條線路分別連接在3臺(tái)防火墻上,分別為3.1,3.10,4.1。下列圖為對(duì)前2臺(tái)防火墻的INTERNET接口進(jìn)行的數(shù)據(jù)取樣。

如圖所示,每到高峰期時(shí),200M帶寬基本上已經(jīng)全部占滿,

用戶網(wǎng)絡(luò)運(yùn)行穩(wěn)定

珠海學(xué)院網(wǎng)絡(luò)運(yùn)行時(shí)間為8:00-24:00,其余時(shí)間斷網(wǎng),下表即位珠海學(xué)院上網(wǎng)用戶的信息統(tǒng)計(jì)。如表所示,一天之中在中午與晚上分別為兩個(gè)最高峰的運(yùn)行值,用戶在線率高,網(wǎng)絡(luò)帶寬消耗也相應(yīng)提升。

網(wǎng)絡(luò)運(yùn)行穩(wěn)定

珠海學(xué)院網(wǎng)絡(luò)分為辦公網(wǎng)絡(luò)(教學(xué)樓部分)與學(xué)生網(wǎng)絡(luò)(生活區(qū)部分),為了保障系統(tǒng)的安全,這兩個(gè)部分之間的網(wǎng)絡(luò)作了相應(yīng)的策略控制,只能通過(guò)服務(wù)器進(jìn)行數(shù)據(jù)交換。每天,網(wǎng)管對(duì)兩部分網(wǎng)絡(luò)進(jìn)行監(jiān)控各自的運(yùn)行狀態(tài),以及時(shí)了解網(wǎng)絡(luò)中可能出現(xiàn)的問(wèn)題。

下圖分別描述了位于教學(xué)區(qū)與生活區(qū)部分網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況。(測(cè)試工具為SolarWinds 2001 Enhanced Ping)

基本服務(wù)運(yùn)行正常

通過(guò)對(duì)所有流經(jīng)網(wǎng)絡(luò)管理器的數(shù)據(jù)包進(jìn)行監(jiān)控,分析得到網(wǎng)絡(luò)中各種協(xié)議的運(yùn)行情況及流量狀態(tài)。該監(jiān)控囊括了網(wǎng)絡(luò)上所有協(xié)議的定義,分作傳統(tǒng)協(xié)議、P2P下載、網(wǎng)絡(luò)電視、即時(shí)通信、流媒體、網(wǎng)絡(luò)電話、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)安全這些監(jiān)控模塊,直接體現(xiàn)了網(wǎng)絡(luò)上各種協(xié)議的應(yīng)用情況。

服務(wù)器系統(tǒng)運(yùn)行穩(wěn)定

通過(guò)對(duì)主要服務(wù)器的系統(tǒng)狀態(tài)監(jiān)控,了解CPU、內(nèi)存、SWAP等的運(yùn)行狀態(tài)及各服務(wù)進(jìn)程的運(yùn)行狀態(tài),確定服務(wù)器的是否正常。

3 結(jié)語(yǔ)

校園網(wǎng)絡(luò)作為校園信息系統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái),網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行是保證各項(xiàng)業(yè)務(wù)平穩(wěn)運(yùn)行的基礎(chǔ)保障,必須建立起一套可行的、有機(jī)的安全管理體系,根據(jù)學(xué)校的實(shí)際特點(diǎn)進(jìn)行有效的部署。從北京理工大學(xué)珠海學(xué)院校園網(wǎng)絡(luò)安全體系的建立中,我們積累了一些基礎(chǔ),并在此基礎(chǔ)上,本文提出了在PDRR基礎(chǔ)上,以安全策略為核心,以安全技術(shù)為支撐,以安全管理作為落實(shí)手段,建立了校園網(wǎng)絡(luò)安全管理體系。

參考文獻(xiàn)

康弗瑞.網(wǎng)絡(luò)安全體系結(jié)構(gòu).北京:人民郵電出版社,2005年.15-21.

戴英俠.計(jì)算機(jī)網(wǎng)絡(luò)安全.北京:清華大學(xué)出版社,2004年.89-131.

曾湘黔.防火墻與網(wǎng)絡(luò)安全-入侵檢測(cè)和VPNs.北京:清華大學(xué)出版社,2004年.

W.RICHARD STEVENS. TCP/IP詳解 卷1:協(xié)議 .機(jī)械工業(yè)出版社,2000年.

W..RICHARD STEVENS.TCP/IP詳解 卷2:實(shí)現(xiàn)TCP/IP .機(jī)械工業(yè)出版社,2000年.

W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務(wù)協(xié)議.機(jī)械工業(yè)出版社,2000年.

張小斌,嚴(yán)望佳.黑客分析與防范技術(shù).北京:清華大學(xué)出版社,2003.82-91.

張仕斌,譚三等.網(wǎng)絡(luò)安全技術(shù).北京:清華大學(xué)出版社,2004.87-121.

段鋼.加密與解密(第三版).電子工業(yè)出版社,2008.

曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測(cè)技術(shù).人民郵電出版社,2007.