馬新華
摘 要:目前技工院?;旧隙紭嫿诵@網(wǎng)絡,通過校園網(wǎng)對教育教學進行管理,從互聯(lián)網(wǎng)獲取教育教學資源,以實現(xiàn)辦公自動化,但是校園網(wǎng)給我們帶來便利的同時,也給我們提出了如何加強校園網(wǎng)絡安全管理的問題。
關鍵詞:校園網(wǎng);計算機病毒;防火墻;黑客;網(wǎng)絡安全
校園網(wǎng)絡作為學校重要的基礎設施,在技工院校的教學、教研、管理和對外聯(lián)絡工作過程中起著重要的作用。隨著校園網(wǎng)應用的深入,校園網(wǎng)的安全問題日益突出。安全策略越來越成為校園網(wǎng)絡的關健因素。如何使校園網(wǎng)安全、穩(wěn)定、高效地運轉,已成為技工院校越來越重視的問題,針對目前技工院校園網(wǎng)存在的安全問題、特點和常見的威脅進行分析,提出加強校園網(wǎng)絡安全管理的相應對策。
一、技工院校校園網(wǎng)的特點
校園網(wǎng)是覆蓋校園范圍的計算機網(wǎng)絡,主要采用計算機局域網(wǎng)技術、互聯(lián)網(wǎng)技術及網(wǎng)絡接入技術。校園網(wǎng)由于網(wǎng)絡普及、用戶群密集而且活躍的特點,是安全問題比較突出的地方,安全管理也較為復雜、困難。與政府或企業(yè)網(wǎng)相比,技工院校園網(wǎng)的以下特點導致安全管理非常復雜。
(一)資金投入不足,網(wǎng)絡管理人員不夠。校園網(wǎng)的建設和管理常都輕視網(wǎng)絡安全,其主要原因是技工院校網(wǎng)絡建設經費不足和現(xiàn)有網(wǎng)絡管理員的人手不夠,技工院校一般將有限的經費投在其他關健設備上,對于網(wǎng)絡安全建設一直沒有比較系統(tǒng)的投入;再則,由于網(wǎng)絡管理員人手缺少網(wǎng)絡管理難于到位。致使校園網(wǎng)處在一個開放的狀態(tài),無法實時監(jiān)控,缺少有效的安全預警手段和防范措施。
(二)校園網(wǎng)中的計算機系統(tǒng)管理比較復雜。校園網(wǎng)中的計算機系統(tǒng)的購置和管理情況非常復雜。比如學生宿舍中的電腦一般是學生自己花錢購買、自己維護的,在這種情況下,要求所有的客戶端系統(tǒng)實行統(tǒng)一的安全政策(如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統(tǒng)一的設備管理,出現(xiàn)安全問題后通常無法分清責任。
(三)用戶群規(guī)模大。校園內用戶群體密集,由于高寬帶和大用戶量的特點,網(wǎng)絡安全問題一般蔓延較快,對網(wǎng)絡影響比較嚴重。
(四)網(wǎng)絡安全意識淡薄,沒有制定完善的網(wǎng)絡安全管理制度。校園網(wǎng)絡上的用戶安全意識淡薄,大量非正常訪問導致網(wǎng)絡資源的浪費,同時也為網(wǎng)絡帶來了極大的安全隱患。另外,由于網(wǎng)絡安全管理機制不完善,致使不能有效地管理好校園網(wǎng)。
二、技工院校校園網(wǎng)絡存在的安全問題
(一)系統(tǒng)漏洞。普遍存在的計算機系統(tǒng)的漏洞,對信息安全、系統(tǒng)的使用、網(wǎng)絡的運行構成嚴重的威脅。主要存在以下安全隱患;本身系統(tǒng)的漏洞,瀏覽器的漏洞,IIS的漏洞等。
(二)病毒的危害。通過網(wǎng)絡傳播病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機病毒所不能比擬的。特別是在學校接入internet后,為外面的病毒進入學校網(wǎng)絡打開方便之門,下載的程序和電子郵件都可能帶有病毒。
(三)外來的系統(tǒng)入侵、攻擊等嚴重破壞行為。校園網(wǎng)中有些計算機已經被攻破,用作黑客攻擊的工具;不少黑客技術開始針對院校網(wǎng)站和服務器。黑客技術對校園網(wǎng)絡系統(tǒng)進行破壞,表現(xiàn)在以下幾個方面:對學校網(wǎng)站的主頁面進行修改,破壞學校形象;向服務器發(fā)送大量信息使整個網(wǎng)絡陷于癱瘓;利用學院的郵件服務器轉發(fā)各種非法的信息等。
(四)校園網(wǎng)內部用戶對網(wǎng)絡資源的濫用。有的校園網(wǎng)用戶利用免費的校園資源提供商或者免費視頻、軟件資源下載,占用了大量的帶寬影響了校園網(wǎng)的應用。
三、技工院校校園網(wǎng)絡安全管理策略
針對技工院校校園網(wǎng)內用戶的特殊情況,網(wǎng)絡用戶大部分是學院的各教學、教研、行政機關的教師和管理人員,我們不能對用戶做過多的限制。因此,技工院校校園網(wǎng)絡安全的建設與管理必須依據(jù)以下原則進行:對用戶的硬件要求較低,盡可能利用原有設備,充分發(fā)揮原有設備的技術潛力。同時考慮添置設備的先進性和可擴展性,為今后網(wǎng)絡的不斷發(fā)展創(chuàng)造良好的條件。校園網(wǎng)涉及的用戶較多,使用全網(wǎng)管理軟件或全網(wǎng)部署的網(wǎng)絡版殺毒軟件,會給網(wǎng)絡管理帶來巨大的負擔,因此只有采用軟硬件結合,多種手段相互配合的方式才能達到最佳的效果。
(一)部署硬件防火墻。防火墻技術是建立現(xiàn)代通信技術和信息安全基礎上的應用安全技術,越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境中。防火墻是網(wǎng)絡安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理,有效地將內部網(wǎng)絡與外部網(wǎng)隔離開來,保護校園網(wǎng)絡不受未經授權的第三方侵入。
從總體上看,防火墻應該具有以下五大基本功能:過濾進、出網(wǎng)絡數(shù)據(jù);管理進、出網(wǎng)絡訪問行為;封堵某些禁止行為;記錄通過防火墻信息內容和活動;對網(wǎng)絡攻擊進行檢測和警告。
根據(jù)技工院校網(wǎng)絡拓撲結構的實際情況和運行的要求,我們可以采用網(wǎng)絡入口與WEB服務器分離管理的安全措施,以確保網(wǎng)絡訪問速度不受影響;其具體方案詳見如下網(wǎng)絡拓撲結構,即:網(wǎng)絡入口采用高速緩存、地址映射的方法(客戶不需訪問WEB服務器時,客戶的就可以不經WEB防火墻直接訪問外網(wǎng)),WEB服器采用WAF型防火墻,這樣基本可以做到對內網(wǎng)和WEB服務器萬無一失的保護。
校園網(wǎng)絡拓撲結構
(二)建立一個有效合理的病毒防御和查殺機制。通過在網(wǎng)絡中部署分布式、網(wǎng)絡化的防病毒系統(tǒng),不僅可以讓單機有效地防病毒侵害,還可以使管理員從中央位置對整個網(wǎng)絡進行實時狀態(tài)下的病毒保護。主要做法是:網(wǎng)絡中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便起見,由網(wǎng)絡中心系統(tǒng)中心定期地、自動地到殺毒軟件廠家網(wǎng)站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發(fā)到其他多個主機網(wǎng)點的客戶端與服務器端,并自動對殺毒軟件網(wǎng)絡版進行更新。采取這種升級方式,一方面確保校園網(wǎng)內的殺毒軟件的更新保持同步,使整個校園網(wǎng)都具有最強的防病毒功能;另一方面,由于整個網(wǎng)絡的升級、更新都是由程序自動、智能地完成,可以避免由于人為因素造成網(wǎng)絡中部分用戶因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。
(三)安裝補丁程序。目前技工院校校園網(wǎng)服務器一般使用的是微軟windows server 2008操作系統(tǒng),由于使用較多,漏洞也不斷發(fā)現(xiàn),微軟的操作系統(tǒng)成了黑客攻擊的對象。所以裝好系統(tǒng)后一定要進行升級和打補丁,同時管理員還要經常關注微軟公司的網(wǎng)站,及時下載最新的操作系統(tǒng)補丁。
(四)定期對服務器進行備份與維護。為防止不能預料的系統(tǒng)故障或用戶服務不小心非法操作,必須對系統(tǒng)進行安全備份。除了對全系統(tǒng)進行每月一次備份外, 還應及時對修改過的數(shù)據(jù)進行備份。同時應將修改過的重要文件存放在不同服務器上,以便出現(xiàn)系統(tǒng)崩潰時可及時將系統(tǒng)恢復到正常狀態(tài)。
(五)帳號和密碼保護。帳號和密碼保護可以說是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分系統(tǒng)的攻擊都是從截獲或猜測密碼開始的,一旦黑客進入系統(tǒng),那么前面防衛(wèi)措施幾乎沒有作用,所以對服務器管理員的帳號和密碼進行管理是保證系統(tǒng)安全的非常重要的措施。系統(tǒng)管理員密碼的位數(shù)要多,至少應該在8位以上,而且不要設置成容易猜測的密碼,如自己的姓名、出生年日期等。對普通用戶,設置一定帳號管理策略,如強制用戶每月更新一次密碼。對于一些不常用的帳戶要關閉,比如匿名登錄帳號。
(六)監(jiān)測系統(tǒng)日志。建立客戶端上網(wǎng)日志和WEB服務器上網(wǎng)日志的運行監(jiān)測機制,通過運行日志程序,系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形,包括最近登錄時間、使用的帳號、進行的活動等。日志程序會定期生成報表,通過對報表進行了分析,你可以知道是否有異?,F(xiàn)象。
(七)加強內部安全管理,提高用戶的安全意識。在使用外來移動存儲設備時應確保無病毒后再在校內機器上使用,防止病毒利用校園網(wǎng)進行傳播。電子郵件的安全只能由用戶自己控制;在瀏覽網(wǎng)頁時,可能會遇上陷阱,這些都要求用戶保持警惕。
(八)配備專職校園網(wǎng)絡信息安全管理員,強化網(wǎng)絡信息安全管理職能。根據(jù)技工院校校園網(wǎng)絡信息安全的實際情況和校園網(wǎng)絡信息安全管理的要求,校園網(wǎng)絡信息安全管理工作至少配備3名專職校園網(wǎng)絡信息安全管理員(其中:網(wǎng)絡操作系統(tǒng)及系統(tǒng)安全管理1人,網(wǎng)絡設備維護及設備安全管理 1人,網(wǎng)絡數(shù)據(jù)庫維護及網(wǎng)絡信息安全管理 1人),使之能全面的、有效的履行校園網(wǎng)絡安全管理的職能;進一步完善校園網(wǎng)絡安全管理機制,進一步拓展校園網(wǎng)絡資源,不斷提升網(wǎng)絡安全技術的水平,以確保校園網(wǎng)絡安全、穩(wěn)定、高效地運轉。
結語:互聯(lián)網(wǎng)絡的飛速發(fā)展對校園網(wǎng)絡師生的生活和學習已產生了深遠的影響,網(wǎng)絡在我們的生活中無處不在。但在享受高科技帶來的便利的同時,我們需要清醒地認識到,網(wǎng)絡安全問題的日益突出,越來越成為網(wǎng)絡應用的巨大阻礙,只有很好地解決網(wǎng)絡安全問題,校園網(wǎng)絡的應用才能健康、高速的發(fā)展。校園網(wǎng)絡安全問題決不是一勞永逸的事情。校園網(wǎng)絡自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)情況的變化和現(xiàn)有解決方案中暴露的一些問題,不斷進行及時的維護和更新,保證網(wǎng)絡安全防范體系的良好發(fā)展,確保它的有效性和先進性。
參考文獻:
[1] 賈鐵軍著,《網(wǎng)絡安全實用技術》,北京:清華大學出版社 ,2011.8[M]
[2] (美)比德韋爾(Bidwell,T.)等著,吳東升等譯,《信息時代的個人安全策略》,北京:科學出版社,2003.6[M]