建站
咨詢
售后
建站咨詢
新聞中心
網(wǎng)絡(luò)安全的解決方案!急,滿意再給100!
談對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)
成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供涿州企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作、成都做網(wǎng)站、html5、小程序制作等業(yè)務(wù)。10年已為涿州眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。
近幾年來,網(wǎng)絡(luò)越來越深入人心,它是人們工作、學(xué)習(xí)、生活的便捷工具和豐富資源。但是,我們不得不注意到,網(wǎng)絡(luò)雖然功能強(qiáng)大,也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元,而全球平均每20秒鐘就發(fā)生一起Internet 計(jì)算機(jī)侵入事件。在我國,每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí),對(duì)網(wǎng)絡(luò)安全問題也決不能忽視。作為學(xué)校,如何建立比較安全的校園網(wǎng)絡(luò)體系,值得我們關(guān)注研究。
建立校園網(wǎng)絡(luò)安全體系,主要依賴三個(gè)方面:一是威嚴(yán)的法律;二是先進(jìn)的技術(shù);三是嚴(yán)格的管理。
從技術(shù)角度看,目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認(rèn)證、訪問控制、安全路由、網(wǎng)絡(luò)防病毒等,這些技術(shù)對(duì)防止非法入侵系統(tǒng)起到了一定的防御作用。代理及防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù),普遍運(yùn)用于校園網(wǎng)安全建設(shè)中。
網(wǎng)絡(luò)現(xiàn)狀
我校是一所市一級(jí)中學(xué),目前有兩所網(wǎng)絡(luò)教室、200多臺(tái)教學(xué)辦公電腦,校園網(wǎng)一期工程為全校教教學(xué)教研建立了計(jì)算機(jī)信息網(wǎng)絡(luò),實(shí)現(xiàn)了校園內(nèi)計(jì)算機(jī)聯(lián)網(wǎng),信息資源共享并通過中國公用Internet網(wǎng)(CHINANET)與Internet互連,校園網(wǎng)結(jié)構(gòu)是:校園內(nèi)建筑物之間的連接選用多模光纖,以網(wǎng)管中心為中心,輻射向其他建筑物,樓內(nèi)水平線纜采用超五類非屏雙絞線纜。3Com 4900交換機(jī)作為核心交換機(jī);二級(jí)交換機(jī)為3Com 3300。
安全隱患
當(dāng)時(shí),校園網(wǎng)絡(luò)存在的安全隱患和漏洞有:
1、校園網(wǎng)通過CHINANET與Internet相連,在享受Internet方便快捷的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。
2、校園網(wǎng)內(nèi)部也存在很大的安全隱患,由于內(nèi)部用戶對(duì)網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解,因此來自內(nèi)部的安全威脅更大一些。現(xiàn)在,黑客攻擊工具在網(wǎng)上泛濫成災(zāi),而個(gè)別學(xué)生的心理特點(diǎn)決定了其利用這些工具進(jìn)行攻擊的可能性。
3、目前使用的操作系統(tǒng)存在安全漏洞,對(duì)網(wǎng)絡(luò)安全構(gòu)成了威脅。我校的網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有Windows2000 Server,其普遍性和可操作性使得它也是最不安全的系統(tǒng):本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞,這些都對(duì)原有網(wǎng)絡(luò)安全構(gòu)成威脅。
4、隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及,接入校園網(wǎng)節(jié)點(diǎn)日漸增多,而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施,隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。
由此可見,構(gòu)筑具有必要的信息安全防護(hù)體系,建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要。
措施及解決方案
根據(jù)我校校園網(wǎng)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患,我們決定采用下面一些安全方案和措施。
一、安全代理部署
在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺(tái)安全代理(ISA),并具防火墻等功能,形成內(nèi)外網(wǎng)之間的安全屏障。其中WWW、MAIL、FTP、DNS對(duì)外服務(wù)器連接在安全代理,與內(nèi)、外網(wǎng)間進(jìn)行隔離。那么,通過Internet進(jìn)來的公眾用戶只能訪問到對(duì)外公開的一些服務(wù)(如WWW、MAIL、FTP、DNS等),既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用,并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。在安全代理設(shè)置上可以按照以下原則配置來提高網(wǎng)絡(luò)安全性:
1、據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“關(guān)閉一切,只開有用”的原則。
2、安全代理配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入Internet的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包,防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。
3、安全代理上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表,防止IP地址被盜用。
4、定期查看安全代理訪問日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄,并保留日志90天。
5、允許通過配置網(wǎng)卡對(duì)安全代理設(shè)置,提高安全代理管理安全性。
二、入侵檢測(cè)系統(tǒng)部署
入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素,強(qiáng)大完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。對(duì)來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖,并采取相應(yīng)的措施。具體來講,就是將入侵檢測(cè)引擎接入中心交換機(jī)上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),利用內(nèi)置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象,并在數(shù)據(jù)庫中記錄有關(guān)事件,作為網(wǎng)絡(luò)管理員事后分析的依據(jù);如果情況嚴(yán)重,系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警,使得學(xué)校管理員能夠及時(shí)采取應(yīng)對(duì)措施。
三、漏洞掃描系統(tǒng)
采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。
四、諾頓網(wǎng)絡(luò)版殺毒產(chǎn)品部署
在該網(wǎng)絡(luò)防病毒方案中,我們最終要達(dá)到一個(gè)目的就是:要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實(shí)現(xiàn)這一點(diǎn),我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系,應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。
1、在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)諾頓軟件網(wǎng)絡(luò)版的系統(tǒng)中心,負(fù)責(zé)管理200多個(gè)主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。
2、在各行政、教學(xué)單位等200多臺(tái)主機(jī)上分別安裝諾頓殺毒軟件網(wǎng)絡(luò)版的客戶端。
3、安裝完諾頓殺毒軟件網(wǎng)絡(luò)版后,在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。
4、網(wǎng)管中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見,由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到諾頓網(wǎng)站上獲取最新的升級(jí)文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動(dòng)將最新的升級(jí)文件分發(fā)到其它200多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端,并自動(dòng)對(duì)諾頓殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新,使全校的防毒病毒庫始終處于最新的狀態(tài)。
五、劃分內(nèi)部虛擬專網(wǎng)(VLAN),針對(duì)內(nèi)部有效VLAN設(shè)置合法地址池,針對(duì)不同VLAN開放相應(yīng)端口,阻止廣播風(fēng)暴發(fā)生。
六、實(shí)時(shí)升級(jí)Windows2000 Server、IE等各軟件補(bǔ)丁,減少漏洞;實(shí)行個(gè)人辦公電腦實(shí)名制。
七、安全管理
常言說:“三分技術(shù),七分管理”,安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ),安全技術(shù)是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡(luò)安全管理模式,制定詳細(xì)的安全管理制度,如機(jī)房管理制度、病毒防范制度、上網(wǎng)規(guī)定等,同時(shí)要注意物理安全,防止設(shè)備器材的暴力損壞,防火、防雷、防潮、防塵、防盜等,并采取切實(shí)有效的措施保證制度的執(zhí)行。
近幾年,通過對(duì)以上措施的逐步實(shí)施,我校校園網(wǎng)絡(luò)能鴝安全正常運(yùn)行,為學(xué)校教育教學(xué)工作的順利開展提供了有力輔助,并漸入佳境。
校園網(wǎng)安全措施有哪些?
校園網(wǎng)絡(luò)安全及防范措施
校園網(wǎng)絡(luò)安全及防范措施。現(xiàn)在這個(gè)時(shí)代是網(wǎng)絡(luò)的時(shí)代,校園網(wǎng)絡(luò)里面包含著各種各樣的資料,校園網(wǎng)絡(luò)也需要一定的安全防范。接下來就由我?guī)Т蠹伊私庑@網(wǎng)絡(luò)安全及防范措施的相關(guān)內(nèi)容。
校園網(wǎng)絡(luò)安全及防范措施1
一、前言
當(dāng)前,構(gòu)架在網(wǎng)絡(luò)環(huán)境之上的"校園網(wǎng)",已成為學(xué)校信息化建設(shè)的焦點(diǎn)。校園網(wǎng)建設(shè)的宗旨,是服務(wù)于教學(xué)、科研和管理,其建設(shè)原則也無外乎先進(jìn)性、實(shí)用性、高性能性、開放性、可擴(kuò)展性、可維護(hù)性、可操作性,但人們大多都忽略了網(wǎng)絡(luò)的安全性,或者說在建設(shè)校園網(wǎng)過程中對(duì)安全性的考慮不夠。據(jù)美國FBI統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元,而全球平均每20秒鐘就發(fā)生一起Internet 計(jì)算機(jī)侵入事件。在我國,每年因黑客入侵、計(jì)算機(jī)病毒的破壞給企業(yè)造成的損失令人觸目驚心。人們?cè)谙硎艿骄W(wǎng)絡(luò)的優(yōu)越性的同時(shí),對(duì)網(wǎng)絡(luò)安全問題變得越來越重視。
由此可見,校園網(wǎng)的安全性問題貫穿于校園網(wǎng)建設(shè)、管理、使用的全過程,是非常重要的。
二、校園網(wǎng)絡(luò)安全問題的特點(diǎn)
由于學(xué)校是以教學(xué)活動(dòng)為中心的場(chǎng)所,網(wǎng)絡(luò)的安全問題也有自己的特點(diǎn)。主要表現(xiàn)在:
1、不良信息的傳播。
在校園網(wǎng)接入Internet后,師生都可以通過校園網(wǎng)絡(luò)在自己的機(jī)器上進(jìn)入Internet。目前Internet上各種信息良莠不齊,有關(guān)色情、暴-力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反-人-類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī),對(duì)世界觀和人生觀正在形成的學(xué)生來說,危害非常大。如果安全措施不好,不僅會(huì)有部分學(xué)生進(jìn)入這些網(wǎng)站,還會(huì)把這些信息在校園內(nèi)傳播。
2、病毒的危害。
通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是在學(xué)校接入Internet后,為外面病毒進(jìn)入學(xué)校大開方便之門,下載的程序和電子郵件都可能帶有病毒。
3、非法訪問。
學(xué)校涉及到的機(jī)密不是很多,來自外部的非法訪問的可能性要少一些,關(guān)鍵是內(nèi)部的非法訪問。一些學(xué)生可能會(huì)通過非正常的手段獲得習(xí)題的答案,使正常的教學(xué)練習(xí)失去意義。更有甚者,有的學(xué)生可能在考前獲得考試內(nèi)容,嚴(yán)重地破壞了學(xué)校的管理秩序。
4、惡意破壞。
這包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。
網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、通信媒體、工作站等,它們分布在整個(gè)校園內(nèi),管理起來非常困難,某些人員可能出于各種目的,有意或無意地將它們損壞,這樣會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。
另一方面是利用黑客技術(shù)對(duì)校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個(gè)方面:對(duì)學(xué)校網(wǎng)站的主頁面進(jìn)行修改,破壞學(xué)校的形象;向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓;利用學(xué)校的BBS轉(zhuǎn)發(fā)各種非法的信息等。
5、使用者自身的特點(diǎn)
校園網(wǎng)絡(luò)有別于一般的Intranet。首先,它的主要使用者為處于青少年階段的學(xué)生,他們好奇心強(qiáng)、求勝逞強(qiáng)心重、法律意識(shí)比較淡泊,大部分學(xué)校對(duì)他們的信息道德教育不到位,使他們產(chǎn)生崇拜黑客的想法,總想一試身手;其次,某些網(wǎng)站為了點(diǎn)擊率及自身的利益,提供黑客軟件及教程下載;此外,學(xué)生精力旺盛,掌握了大量的計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)知識(shí),所以他們易產(chǎn)生黑客行為或編寫病毒程序。
三、校園網(wǎng)安全的防范措施
目前,比較成熟的網(wǎng)絡(luò)安全技術(shù)產(chǎn)品有:防火墻、入侵檢測(cè)、身份認(rèn)證、病毒防范、信息過濾、數(shù)據(jù)加密、V PN、VLAN、容錯(cuò)、數(shù)據(jù)備份、地址綁定等。但網(wǎng)絡(luò)安全不只是這些技術(shù)產(chǎn)品的簡(jiǎn)單堆砌,它是包括從系統(tǒng)到應(yīng)用、從設(shè)備到服務(wù)的比較完整的、體系性的安全系列產(chǎn)品的有機(jī)結(jié)合。
1、根據(jù)用戶的`特性和需求劃分VLAN
校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比,聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)用戶的群體更為復(fù)雜。有教師備課機(jī)、學(xué)生機(jī)房、學(xué)生宿舍、圖書館、家屬區(qū)以及人事、財(cái)務(wù)、后勤等行政辦公計(jì)算機(jī)等。不同的用戶對(duì)于網(wǎng)絡(luò)有著不同的需求,對(duì)于自身信息的安全性要求也不同,據(jù)此可以將校園網(wǎng)劃分為多個(gè)VLAN。
2、在校園網(wǎng)出口設(shè)置防火墻網(wǎng)關(guān)
防火墻網(wǎng)關(guān)能有效隔離校園網(wǎng)和外部互聯(lián)網(wǎng),使校園網(wǎng)與互聯(lián)網(wǎng)之間的訪問連接得到有效控制,阻止黑客對(duì)校園網(wǎng)的非法訪問和攻擊。針對(duì)校園網(wǎng)中部分重要的網(wǎng)段(如院長(zhǎng)辦公室、教務(wù)、財(cái)務(wù)、人事、科研中心、重要實(shí)驗(yàn)室等)設(shè)置防火墻網(wǎng)關(guān),將他們和學(xué)生機(jī)房、學(xué)生宿舍及家屬區(qū)的網(wǎng)段隔離,提供最基本的網(wǎng)絡(luò)層的訪問控制,使之不會(huì)受到來自校內(nèi)其他網(wǎng)段的攻擊。
3、合理運(yùn)用入侵檢測(cè)技術(shù)
入侵檢測(cè)技術(shù)是主動(dòng)保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。作為防火墻的合理補(bǔ)充,入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管-理-員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。可以利用入侵檢測(cè)技術(shù)構(gòu)架校園網(wǎng)的主動(dòng)防御體系,加強(qiáng)對(duì)校園網(wǎng)-特別是行政、教研、服務(wù)器等重點(diǎn)網(wǎng)段的保護(hù)。
校園網(wǎng)絡(luò)安全及防范措施2
如何維護(hù)校園網(wǎng)絡(luò)安全
1、校園網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng),就是說他們可以上學(xué)校的內(nèi)網(wǎng)也可以同時(shí)上互聯(lián)網(wǎng),大學(xué)的學(xué)生平時(shí)要玩游戲購物,學(xué)校本身有自己的服務(wù)器需要維護(hù);
2、在大環(huán)境下,首先在校園網(wǎng)之間及其互聯(lián)網(wǎng)接入處,需要設(shè)置防火墻設(shè)備,防止外部攻擊,并且要經(jīng)常更新抵御外來攻擊;
3、由于要保護(hù)校園網(wǎng)所有用戶的安全,我們要安全加固,除了防火墻還要增加如ips,ids等防病毒入侵檢測(cè)設(shè)備對(duì)外部數(shù)據(jù)進(jìn)行分析檢測(cè),確保校園網(wǎng)的安全;
4、外面做好防護(hù)措施,內(nèi)部同樣要做好防護(hù)措施,因?yàn)橛械膶W(xué)生電腦可能帶回家或者在外面感染,所以內(nèi)部核心交換機(jī)上要設(shè)置vlan隔離,旁掛安全設(shè)備對(duì)端口進(jìn)行檢測(cè)防護(hù);
5、內(nèi)網(wǎng)可能有ddos攻擊或者arp病毒等傳播,所以我們要對(duì)服務(wù)器或者電腦安裝殺毒軟件,特別是學(xué)校服務(wù)器系統(tǒng)等,安全正版安全軟件,保護(hù)重要電腦的安全;
6、對(duì)服務(wù)器本身我們要安全server版系統(tǒng),經(jīng)常修復(fù)漏洞及更新安全軟件,普通電腦一般都是撥號(hào)上網(wǎng),如果有異常上層設(shè)備監(jiān)測(cè)一般不影響其他電腦。做好安全防范措施,未雨綢繆。
校園網(wǎng)絡(luò)安全及防范措施3
校園網(wǎng)絡(luò)安全知識(shí)
一、切實(shí)加強(qiáng)對(duì)學(xué)生的網(wǎng)絡(luò)安全知識(shí)教育,要求各教學(xué)系部按照國家課程方案的要求,積極開設(shè)計(jì)算機(jī)網(wǎng)絡(luò)課程,讓學(xué)生掌握必要的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)。學(xué)校網(wǎng)絡(luò)教室要盡可能延長(zhǎng)開放時(shí)間,滿足學(xué)生的上網(wǎng)要求。同時(shí)要結(jié)合學(xué)生年齡特點(diǎn),采用靈活多樣的形式,教給學(xué)生必要的網(wǎng)絡(luò)安全知識(shí),增強(qiáng)其安全防范意識(shí)和能力。
二、進(jìn)一步深入開展《全國青少年網(wǎng)絡(luò)文明公約》學(xué)習(xí)宣傳活動(dòng)。教育學(xué)生要善于網(wǎng)上學(xué)習(xí),不瀏覽不良信息;
要誠實(shí)友好交流,不侮辱欺詐他人;要增強(qiáng)自護(hù)意識(shí),不隨意約會(huì)網(wǎng)友;要維護(hù)網(wǎng)絡(luò)安全,不破壞網(wǎng)絡(luò)秩序;要有益身心健康,不沉溺虛擬時(shí)空。
三、加強(qiáng)電子閱覽室、多媒體教室、計(jì)算機(jī)房等學(xué)生上網(wǎng)場(chǎng)所的管理,防止反動(dòng)、色情、暴力等不健康的內(nèi)容危害學(xué)生,引導(dǎo)學(xué)生正確對(duì)待網(wǎng)絡(luò),文明上網(wǎng)。
四、加強(qiáng)網(wǎng)絡(luò)文明、網(wǎng)絡(luò)安全建設(shè)和管理。采取各種有效措施,提高青少年學(xué)生分辨是非的能力、網(wǎng)絡(luò)道德水平和自律意識(shí),以及在網(wǎng)絡(luò)環(huán)境下防范傷害、自我保護(hù)的能力。注重在校園網(wǎng)絡(luò)建設(shè)過程中,建立網(wǎng)絡(luò)安全措施,提供多層次安全控制手段,建立安全管理體系。
五、加強(qiáng)校園網(wǎng)絡(luò)文明宣傳教育。要求各處室部門和學(xué)校各教學(xué)系部注意研究防止網(wǎng)絡(luò)對(duì)青少年的不良影響,積極引導(dǎo)青少年健康上網(wǎng)。加強(qiáng)教師隊(duì)伍建設(shè),使每一位教育工作者都了解網(wǎng)絡(luò)知識(shí),遵守網(wǎng)絡(luò)道德,學(xué)習(xí)網(wǎng)絡(luò)法規(guī),通過課堂教學(xué)和課外校外活動(dòng),有針對(duì)性地對(duì)學(xué)生進(jìn)行網(wǎng)絡(luò)道德與網(wǎng)絡(luò)安全教育。
六、加大與國家網(wǎng)絡(luò)安全相關(guān)部門交流與合作,加強(qiáng)對(duì)校園周邊互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場(chǎng)所的治理力度。積極主動(dòng)聯(lián)合市公安、消防、文化、工商、城管等部門,開展學(xué)校內(nèi)部及學(xué)校周邊互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場(chǎng)所監(jiān)控和管理,杜絕學(xué)生沉迷于網(wǎng)吧。
校園網(wǎng)結(jié)構(gòu)與安全問題
在教學(xué)教育領(lǐng)域,資源共享、教學(xué)網(wǎng)絡(luò)化、辦公自動(dòng)化無疑是大勢(shì)所趨,為了讓師生之間、教工之間達(dá)成互聯(lián)互通,很多中小學(xué)校、大學(xué)都需要急需建立校園網(wǎng),然而在校園局域網(wǎng)建設(shè)方面,由于各學(xué)校的情況不同,應(yīng)用方向也有差異,導(dǎo)致在建設(shè)方案上有一定的區(qū)別,但歸根結(jié)底,校園局域網(wǎng)的基本方案都相似,因此在部署校園局域網(wǎng)時(shí),很多學(xué)校部署校園網(wǎng)方案時(shí)都會(huì)遇到類似的問題,為了校園內(nèi)外"班班通"、"室室通"、"校校通"的目的,我們需要掌握校園的的施工、聯(lián)網(wǎng)、使用與調(diào)式等知識(shí),并對(duì)不同方案的部署情況進(jìn)行詳細(xì)思考,根據(jù)學(xué)校對(duì)信息點(diǎn)的安排和網(wǎng)絡(luò)應(yīng)用的需求,制定合理的校園網(wǎng)總體建設(shè)規(guī)劃和實(shí)施方案,甚至需要解決一些部署后的實(shí)際問題,以滿足目前校園局域網(wǎng)的實(shí)際應(yīng)用需求。
一、用什么"線"聯(lián)網(wǎng)?
在組建校園局域網(wǎng)時(shí),很多用戶對(duì)交換機(jī)、路由器、網(wǎng)卡等設(shè)備加以重視,這不可否認(rèn)是正確的,但有時(shí)他們卻忽視了一個(gè)不起眼的問題,那就是網(wǎng)線,在校園局域網(wǎng)中,一般布線系統(tǒng)有六個(gè)子系統(tǒng)組成:建筑群間子系統(tǒng),設(shè)備間子系統(tǒng),管理區(qū)子系統(tǒng),垂直(主干)子系統(tǒng),水平子系統(tǒng),工作區(qū)子系統(tǒng),不同的子系統(tǒng),設(shè)備之間使用的網(wǎng)線也不同,這在很大程度上讓用戶感到迷茫。一般而言,局域網(wǎng)所使用的連線具有雙絞線、同軸電纜、光纜三種,在校園局域網(wǎng)中,需要根據(jù)實(shí)際情況,選擇對(duì)應(yīng)的布線線纜比如對(duì)于校園內(nèi)樓宇間的連接線纜,由于是暴露在室外,常年受到日曬雨林的影響和雷電的干擾,此時(shí)使用光纜作傳輸介質(zhì)最為適宜。因?yàn)楣饫|具有高帶寬,傳輸距離遠(yuǎn),抗干擾能力強(qiáng)、安全性好、抗老化和高壽命等顯著特點(diǎn),此外,就目前大多數(shù)校園網(wǎng)的應(yīng)用情況而言,校園網(wǎng)上承載的傳輸信息中,多媒體信息的傳輸量將會(huì)越來越大,如多媒體教學(xué),電子閱覽、視屏點(diǎn)播等應(yīng)用,主干網(wǎng)傳輸介質(zhì)必須具有承載千兆速率的能力,此時(shí)只有光纜才能滿足戶外主干網(wǎng)的布線需求。對(duì)于同軸電纜,由于貨源難覓,其成本已超過光纜,比較適合短距離的核心設(shè)備連接,比如交換機(jī)與路由器的連接線纜。
校園網(wǎng)為園區(qū)網(wǎng),樓群間子系統(tǒng)采用光纜連接,可提供千兆位的帶寬,有充分的擴(kuò)展余地,如果選擇雙絞線,由于沒有屏蔽層,在室外很容易感應(yīng)雷電而產(chǎn)生干擾,甚至損壞設(shè)備。雙絞線因受室外惡劣環(huán)景的影響,容易老化,壽命短。而且雙絞線不容許超過100米,它不適合作連接樓與樓之間的主干電纜。不過對(duì)于校園室內(nèi)的布線介質(zhì),由于需要管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng),集中管理,所以線纜的長(zhǎng)度比較大,由于光纜價(jià)格昂貴,選擇雙絞線是比較實(shí)際的,而且目前的屏蔽雙絞銅線(STP)的抗干擾和傳輸距離比較好,不僅可支持一般的學(xué)校信息管理應(yīng)用對(duì)網(wǎng)絡(luò)傳輸帶寬的要求,而且完全支持MPEG-2等格式的多媒體信息傳輸。 在校園網(wǎng)局域網(wǎng)中,常用的網(wǎng)絡(luò)協(xié)議有NetBEUI、IPX/SPX和TCP/IP三種,在實(shí)際組網(wǎng)時(shí),到底選擇哪種網(wǎng)絡(luò)協(xié)議,需要根據(jù)校園網(wǎng)的實(shí)際規(guī)模、網(wǎng)絡(luò)應(yīng)用需求、網(wǎng)絡(luò)平臺(tái)兼容性和網(wǎng)絡(luò)管理等情況而定。其中NetBEUI協(xié)議是為中小局域網(wǎng)設(shè)計(jì),它是用Single-Partnames定義網(wǎng)絡(luò)節(jié)點(diǎn),不支持多網(wǎng)段網(wǎng)絡(luò)(不可路由),但具有安裝非常簡(jiǎn)單、不需要進(jìn)行配置、占用內(nèi)存少等特點(diǎn),因而對(duì)于中小學(xué)校的局域網(wǎng)而言,由于機(jī)器性能比較低,往往只安裝了比老的Windows 95/98/NT系統(tǒng),只是為了簡(jiǎn)單的文件和設(shè)備共享,并且暫時(shí)沒有對(duì)外連接的需要,此時(shí)建議選擇NetBEUI協(xié)議進(jìn)行組網(wǎng)。
對(duì)于大學(xué)校園局域網(wǎng)而言,由于存在多個(gè)網(wǎng)段或要通過路由器與外部相連,加之學(xué)校配備的電腦性能比較好,此時(shí)NetBEUI協(xié)議就無法滿足組網(wǎng)需求,建議選擇IPX/SPX或TCP/IP協(xié)議組網(wǎng),其中IPX/SPX 協(xié)議在復(fù)雜環(huán)境下具有很強(qiáng)的適應(yīng)性,具有強(qiáng)大的路由功能,適合于大型網(wǎng)絡(luò)使用,不過它局限于使用在NetWare網(wǎng)絡(luò)環(huán)境中,在Windows網(wǎng)絡(luò)環(huán)境中無法直接使用IPX/SPX通信協(xié)議。不過為了實(shí)現(xiàn)與NetWare平臺(tái)的互聯(lián),Windows 系統(tǒng)提供了兩個(gè)IPX/SPX兼容協(xié)議:NWLink SPX/SPX和NWLink NetBIOS,前者只能作為客戶端的協(xié)議實(shí)現(xiàn)對(duì)NetWare服務(wù)器訪問,而后者可在NetWare平臺(tái)與Windows 平臺(tái)之間傳遞信息,也能夠作為Windows系統(tǒng)之間的通信協(xié)議。
盡管如此,大多數(shù)學(xué)生、教師依然習(xí)慣使用Windows平臺(tái),此時(shí)校園網(wǎng)選擇TCP/IP協(xié)議是必然趨勢(shì),無論在局域網(wǎng)、廣域網(wǎng)還是Internet,無論是Unix系統(tǒng)或Windows平臺(tái),TCP/IP協(xié)議都可以實(shí)現(xiàn)校園網(wǎng)的組網(wǎng)需要,TCP/IP是一種可路由協(xié)議,它采用一種分級(jí)的命名規(guī)則,通過給每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)配置一個(gè)IP地址、一個(gè)子網(wǎng)掩碼、一個(gè)網(wǎng)關(guān)和一個(gè)主機(jī)名,使得它容易確定網(wǎng)絡(luò)和子網(wǎng)段之間的關(guān)系,獲得很好的網(wǎng)絡(luò)適應(yīng)性、可管理性和較高的網(wǎng)絡(luò)帶寬使用效率。不過TCP/IP協(xié)議的配置和管理比NetBEUI 和IPX/SPX 更復(fù)雜,并且占用系統(tǒng)資源更多,所以對(duì)于機(jī)器性能不高或維護(hù)知識(shí)不夠的中小學(xué)校,TCP/IP協(xié)議在校園網(wǎng)中存在一定的使用門檻。很多中小學(xué)校、大學(xué)分校依然存在著多個(gè)局域網(wǎng)沒有互聯(lián)的情況,此時(shí)如果重新進(jìn)行校園網(wǎng)布局,不僅增加了建設(shè)成本,而且對(duì)于維護(hù)也帶來一定麻煩。為此,學(xué)校應(yīng)該使用適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備,實(shí)現(xiàn)多個(gè)局域網(wǎng)的互聯(lián),讓學(xué)生、教師、辦公人員可以進(jìn)行資源共享、網(wǎng)絡(luò)互通的目的。比如某中學(xué)希望將校園網(wǎng)和教師樓LAN連接起來,而校園網(wǎng)和教師樓LAN之間距離為500米,此時(shí)可以使用廉價(jià)的10base5方法互聯(lián),互聯(lián)時(shí)使用直徑10mm的50歐姆粗同軸電纜,每個(gè)網(wǎng)段允許有100個(gè)站點(diǎn),每個(gè)網(wǎng)段最大允許距離為500m,可以由5個(gè)500m長(zhǎng)的網(wǎng)段和4個(gè)中繼器組成,不過這種互聯(lián)方案存在一定的局限性,只適合校園內(nèi)部的局域網(wǎng)互聯(lián),因而無法滿足大學(xué)分校局域網(wǎng)互連的需要。
如果是大學(xué)校園網(wǎng),由于有多個(gè)分校,希望將每個(gè)分校的局域網(wǎng)進(jìn)行互聯(lián),此時(shí)采用無線路由器或無線AP進(jìn)行互聯(lián),不過無線設(shè)備投入成本高,傳輸速率損失嚴(yán)重,而且安全性也沒有保障,此時(shí)建議采用更為廉價(jià)的VPN方案,它可以通過特殊的加密通訊協(xié)議,在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)校園內(nèi)部網(wǎng)之間建立一條專有的通訊線路,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路,這就好比去電信局申請(qǐng)專線,但不用給鋪設(shè)線路的費(fèi)用,也不用購買路由器等硬件設(shè)備,而且網(wǎng)絡(luò)之間的數(shù)據(jù)交換非常安全,只需選擇支持VPN功能的交換機(jī),防火墻設(shè)備,就可以實(shí)現(xiàn)多校園網(wǎng)局域網(wǎng)之間的互聯(lián)。
在很多大學(xué)校園網(wǎng)中,學(xué)生寢室、教師宿舍都與主干網(wǎng)互聯(lián),在上網(wǎng)高峰階段,一些用戶進(jìn)行BT下載或玩網(wǎng)絡(luò)游戲,使得局域網(wǎng)資源大量占用,造成校園網(wǎng)出口帶寬嚴(yán)重不足,速度極慢,給正常的工作帶來了嚴(yán)重的影響,甚至?xí)斐尚@網(wǎng)癱瘓的尷尬局面,為此,校方可以通過在主服務(wù)器上安裝流量控制軟件,讓他們不要使用在線播放音視頻或在線游戲,如發(fā)現(xiàn)者,則封IP 斷網(wǎng)24小時(shí),如果覺得占用系統(tǒng)資源,也可以使用具有網(wǎng)管功能的交換機(jī),通過交換機(jī)內(nèi)置的控制程序,對(duì)局域網(wǎng)內(nèi)的所有機(jī)器進(jìn)行流量權(quán)限限制使用。
在校園局域網(wǎng)中,遠(yuǎn)程控制可能是最常見的教學(xué)應(yīng)用,它可以提高工作效率,充分發(fā)揮校內(nèi)電教設(shè)備的利用率,以及加強(qiáng)校園內(nèi)電教設(shè)備的管理。比如校園廣播系統(tǒng),可以播放出操、升旗音樂,上下課音樂鈴聲,課間背景音樂,進(jìn)行德育教育和外語教學(xué)、自辦節(jié)目等,比如大型活動(dòng)、臨時(shí)通知等,往往需要電教員跑到廣播室放音,而且由于放音人員離現(xiàn)聲較遠(yuǎn),很難看清現(xiàn)場(chǎng)的動(dòng)態(tài),有時(shí)會(huì)出現(xiàn)錯(cuò)誤,帶來不必要損失。遠(yuǎn)程控制就解決了問題,只須現(xiàn)場(chǎng)有一根網(wǎng)線就可以在現(xiàn)場(chǎng)控制遠(yuǎn)在廣播室的電腦放音。如果現(xiàn)場(chǎng)沒有連接到廣播室的話筒線,還可以通過網(wǎng)絡(luò)上的語音軟件與廣播室的電腦進(jìn)行對(duì)話,達(dá)到話筒的功能,聲音同樣能在廣播中聽到。
為了實(shí)現(xiàn)所有設(shè)備的遠(yuǎn)程控制,要給每臺(tái)電腦都裝網(wǎng)卡,接入校園局域網(wǎng)。內(nèi)部網(wǎng)絡(luò)布線到每個(gè)教室和辦公室,教師每人一臺(tái)筆記本電腦,局域網(wǎng)內(nèi)部建議使用一臺(tái)遠(yuǎn)程控制服務(wù)器,可以讓兼職的網(wǎng)管教師在自己的辦公室或者學(xué)校的其它電腦上完成各項(xiàng)管理工作。實(shí)際組網(wǎng)時(shí),主控電腦連接校園廣播自動(dòng)播放系統(tǒng)(一個(gè)由一臺(tái)電腦通過端口命令管理系統(tǒng)電源開關(guān)的單片機(jī)。),然后在服務(wù)器、廣播主控電腦、電視編輯機(jī)上裝好被控端軟件,添加一個(gè)用戶和密碼。安裝語音通話軟件(如MSN、局域網(wǎng)會(huì)議系統(tǒng)、企業(yè)QQ、NETMEETING等),在其它電腦上安裝主控端軟件,語音通話軟件。如果有通知或者講話,只要在此同時(shí)打開兩臺(tái)電腦的語音軟件就可以了。 在校園網(wǎng)局域網(wǎng)中,經(jīng)常遇到一些使用和維護(hù)上的問題,比如網(wǎng)卡在重啟時(shí)正常檢測(cè),但不能同其他機(jī)器互聯(lián)。這主要是由于子網(wǎng)掩碼或IP地址配置錯(cuò)誤、網(wǎng)線不通、網(wǎng)絡(luò)協(xié)議不對(duì)、路由不對(duì)等幾種情況。解決方法是首先ping本網(wǎng)卡的回送地址(127.0.0.1),若通,則說明本機(jī)TCP/IP工作正常;若不通,則需重新配置并重新啟動(dòng)電腦。有些網(wǎng)卡缺省設(shè)置其速率為100M,也會(huì)導(dǎo)致網(wǎng)絡(luò)不通,需要根據(jù)所連交換機(jī)的速率,將其速率設(shè)置為10M、100M或設(shè)成自適應(yīng)網(wǎng)線速率。
校園網(wǎng)網(wǎng)絡(luò)安全解決方案
校園網(wǎng)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu),因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次,并且與安全管理相結(jié)合。
一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)原則
1.1滿足Internet分級(jí)管理需求
1.2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原ze
1.3綜合性、整體性原則
1.4可用性原則
1.5分步實(shí)施原則
目前,對(duì)于新建網(wǎng)絡(luò)及已投入運(yùn)行的網(wǎng)絡(luò),必須盡快解決網(wǎng)絡(luò)的安全保密問題,設(shè)計(jì)時(shí)應(yīng)遵循如下思想:
(1)大幅度地提高系統(tǒng)的安全性和保密性;
(2)保持網(wǎng)絡(luò)原有的性能特點(diǎn),即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性;
(3)易于操作、維護(hù),并便于自動(dòng)化管理,而不增加或少增加附加操作;
(4)盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展;
(5)安全保密系統(tǒng)具有較好的性能價(jià)格比,一次性投資,可以長(zhǎng)期使用;
(6)安全與密碼產(chǎn)品具有合法性,并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。
基于上述思想,網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則:
滿足因特網(wǎng)的分級(jí)管理需求根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn),對(duì)Internet/Intranet信息安全實(shí)施分級(jí)管理的解決方案,將對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管理。
--第一級(jí):中心級(jí)網(wǎng)絡(luò),主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離;內(nèi)外網(wǎng)用戶的訪問控制;內(nèi)部網(wǎng)的監(jiān)控;內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。
--第二級(jí):部門級(jí),主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制;同級(jí)部門間的訪問控制;部門網(wǎng)內(nèi)部的安全審計(jì)。
-第三級(jí):終端/個(gè)人用戶級(jí),實(shí)現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制;數(shù)據(jù)庫及終端信息資源的安全保護(hù)。
需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò),絕對(duì)安全難以達(dá)到,也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等),并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析,然后制定規(guī)范和措施,確定本系統(tǒng)的安全策略。
綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法,分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò),包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用,也只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 可用性原則安全措施需要人為去完成,如果措施過于復(fù)雜,要求過高,本身就降低了安全性,如密鑰管理就有類似的問題。其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行,如不采用或少采用極大地降低運(yùn)行速度的密碼算法。 分步實(shí)施原則:分級(jí)管理分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加,網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施,即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求,亦可節(jié)省費(fèi)用開支。
二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)步驟
網(wǎng)絡(luò)安全需求分析
確立合理的目標(biāo)基線和安全策略
明確準(zhǔn)備付出的代價(jià)
制定可行的技術(shù)方案
工程實(shí)施方案(產(chǎn)品的選購與定制)
制定配套的法規(guī)、條例和管理辦法
本方案主要從網(wǎng)絡(luò)安全需求上進(jìn)行分析,并基于網(wǎng)絡(luò)層次結(jié)構(gòu),提出不同層次與安全強(qiáng)度的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案。
三、網(wǎng)絡(luò)安全需求
確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求的基礎(chǔ)。一般來講,校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題:
局域網(wǎng)LAN內(nèi)部的安全問題,包括網(wǎng)段的劃分以及VLAN的實(shí)現(xiàn)
在連接Internet時(shí),如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全
應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對(duì)網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵
如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩C苄?/p>
加密系統(tǒng)如何布置,包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等
如何實(shí)現(xiàn)遠(yuǎn)程訪問的安全性
如何評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性
基于這些安全問題的提出,網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制:訪問控制、安全檢測(cè)、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息(如NAT)等。
四、網(wǎng)絡(luò)安全層次及安全措施
4.1鏈路安全
4.2網(wǎng)絡(luò)安全
4.3信息安全網(wǎng)絡(luò)的安全層次分為:鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見下表。
信息安全信息傳輸安全(動(dòng)態(tài)安全)數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲(chǔ)安全(靜態(tài)安全)數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計(jì)用戶鑒別授權(quán)(CA)
網(wǎng)絡(luò)安全訪問控制(防火墻)網(wǎng)絡(luò)安全檢測(cè)入侵檢測(cè)(監(jiān)控) IPSEC(IP安全)審計(jì)分析鏈路安全鏈路加密
4.1鏈路安全 鏈路安全保護(hù)措施主要是鏈路加密設(shè)備,如各種鏈路加密機(jī)。它對(duì)所有用戶數(shù)據(jù)一起加密,用戶數(shù)據(jù)通過通信線路送到另一節(jié)點(diǎn)后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此,在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下,如DDN直通專線用戶就可以選擇路由加密設(shè)備。
一般,線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點(diǎn)對(duì)點(diǎn)通信環(huán)境,它包括異步線路密碼機(jī)和同步線路密碼機(jī)。異步線路密碼機(jī)主要用于電話網(wǎng),同步線路密碼機(jī)則可用于許多專線環(huán)境。
4.2網(wǎng)絡(luò)安全 網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的,所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來,成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn),實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能,而最基本的分隔手段就是防火墻。利用防火墻,可以實(shí)現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))與外部不可信任網(wǎng)絡(luò)(如因特網(wǎng))之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。
目前市場(chǎng)上成熟的防火墻主要有如下幾類,一類是包過濾型防火墻,一類是應(yīng)用代理型防火墻,還有一類是復(fù)合型防火墻,即包過濾與應(yīng)用代理型防火墻的結(jié)合。包過濾防火墻通常基于IP數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類型、協(xié)議端口號(hào)等對(duì)數(shù)據(jù)流進(jìn)行過濾,包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層,一般可以對(duì)多種應(yīng)用協(xié)議進(jìn)行代理,并對(duì)用戶身份進(jìn)行鑒別,并提供比較詳細(xì)的日志和審計(jì)信息;其缺點(diǎn)是對(duì)每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序,并且基于代理的防火墻常常會(huì)使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是,在網(wǎng)絡(luò)安全問題日益突出的今天,防火墻技術(shù)發(fā)展迅速,目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當(dāng)中,這些功能有:VPN功能、計(jì)費(fèi)功能、流量統(tǒng)計(jì)與控制功能、監(jiān)控功能、NAT功能等等。
信息系統(tǒng)是動(dòng)態(tài)發(fā)展變化的,確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個(gè)良好的開端,但它只能解決60%-80%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動(dòng)性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、對(duì)安全風(fēng)險(xiǎn)的感知程度低、動(dòng)態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等,這些都是對(duì)信息系統(tǒng)安全的挑戰(zhàn)。
信息系統(tǒng)的安全應(yīng)該是一個(gè)動(dòng)態(tài)的發(fā)展過程,應(yīng)該是一種檢測(cè)——監(jiān)視——安全響應(yīng)的循環(huán)過程。動(dòng)態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和入侵監(jiān)測(cè)產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。
網(wǎng)絡(luò)安全檢測(cè)是對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要措施,通過使用網(wǎng)絡(luò)安全性分析系統(tǒng),可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié),檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置,建議補(bǔ)救措施和安全策略,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。
入侵檢測(cè)系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方,通過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流,能夠識(shí)別、記錄入侵和破壞性代碼流,尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時(shí),入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實(shí)時(shí)報(bào)警、事件登錄,自動(dòng)阻斷通信連接或執(zhí)行用戶自定義的安全策略等。
另外,使用IP信道加密技術(shù)(IPSEC)也可以在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間建立透明的安全加密信道。其中利用IP認(rèn)證頭(IP AH)可以提供認(rèn)證與數(shù)據(jù)完整性機(jī)制。利用IP封裝凈載(IP ESP)可以實(shí)現(xiàn)通信內(nèi)容的保密。IP信道加密技術(shù)的優(yōu)點(diǎn)是對(duì)應(yīng)用透明,可以提供主機(jī)到主機(jī)的安全服務(wù),并通過建立安全的IP隧道實(shí)現(xiàn)虛擬專網(wǎng)即VPN。目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡(luò)加密機(jī),另外,有些防火墻也提供相同功能。
五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案
5.1基本防護(hù)體系(包過濾防火墻+NAT+計(jì)費(fèi))
用戶需求:全部或部分滿足以下各項(xiàng)·解決內(nèi)外網(wǎng)絡(luò)邊界安全,防止外部攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò)·解決內(nèi)部網(wǎng)安全問題,隔離內(nèi)部不同網(wǎng)段,建立VLAN ·根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾·內(nèi)外網(wǎng)絡(luò)采用兩套IP地址,需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能·支持安全服務(wù)器網(wǎng)絡(luò)SSN ·通過IP地址與MAC地址對(duì)應(yīng)防止IP欺騙·基于IP地址計(jì)費(fèi)·基于IP地址的流量統(tǒng)計(jì)與限制·基于IP地址的黑白名單。
·防火墻運(yùn)行在安全操作系統(tǒng)之上·防火墻為獨(dú)立硬件·防火墻無IP地址解決方案:采用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW1000
5.2標(biāo)準(zhǔn)防護(hù)體系(包過濾防火墻+NAT+計(jì)費(fèi)+代理+VPN)
用戶需求:在基本防護(hù)體系配置的基礎(chǔ)之上,全部或部分滿足以下各項(xiàng)·提供應(yīng)用代理服務(wù),隔離內(nèi)外網(wǎng)絡(luò)·用戶身份鑒別·權(quán)限控制·基于用戶計(jì)費(fèi)·基于用戶的流量統(tǒng)計(jì)與控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護(hù)能力,防范對(duì)防火墻的常見攻擊
解決方案:
(1)選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000 (2)防火墻基本配置+網(wǎng)絡(luò)加密機(jī)(IP協(xié)議加密機(jī))
5.3強(qiáng)化防護(hù)體系(包過濾+NAT+計(jì)費(fèi)+代理+VPN+網(wǎng)絡(luò)安全檢測(cè)+監(jiān)控) 用戶需求:在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上,全部或部分滿足以下各項(xiàng)·網(wǎng)絡(luò)安全性檢測(cè)(包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備) ·操作系統(tǒng)安全性檢測(cè)·網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)
解決方案:選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000+網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控器
文章名稱:學(xué)校信息安全解決方案 學(xué)校信息安全發(fā)布方案
轉(zhuǎn)載來源:http://ef60e0e.cn/article/doejcgs.html
