校园网络安全方案的设计与实现
- 格式:doc
- 大小:29.00 KB
- 文档页数:4
校园网络安全方案的设计与实现【摘要】随着高校信息化建设的不断开展,几乎所有的高校都建立了自己的校园网,由于网络具有开放性,以及本身存在的技术弱点和人为疏忽,网络安全就成了至关重要的问题,本文从软件,硬件及管理方面阐述了解决方案。
【关键词】校园网;网络安全;防火墙;VLAN【Abstract】With the continuous development of the University information system, almost all colleges and universities have established their own campus network. network security has become a critical issue , it is because the network has the openness and Inherent weaknesses and human negligence, this article described from the software, hardware and management solutions.【Key words】Campus Network;Network security;Firewalls;VLAN在当今社会,网络逐渐取代了很多传统信息通道,成为一种不可缺少的信息交换媒体应用在各个领域。
然而,由于网络具有开放性、互联性、连接方式的多样性及终端分布的不均匀性,再加上本身存在的技术弱点和人为的疏忽,网络安全就成了至关重要的问题。
随着高校信息化建设的不断开展,几乎所有的高校都建立了自己的校园网,为加快信息处理、合理配置和充分利用优质教育资源、科研和管理提供资源共享、信息交流和协同工作的平台,同时也是衡量一个高校教育信息化、现代化的重要标志。
在校园网的建设过程中,由于安全意识淡薄和资金欠缺,技术落后等多方面的原因,使得各高校普遍都存在着“轻安全、轻管理”的现象。
但是随着网络规模的急剧膨胀,学生网络用户的快速增长,u盘的普及应用,校园网已经不仅仅服务于教育、科研和行政管理,它应用已经逐渐渗透到校园生活的方方面面。
同时,学生是一个比较特殊的群体,他们思想单纯,心性不定,又对新鲜事物存在极大好奇心,容易受外界影响,学校有责任限制他们登陆不健康网站。
在这种情况下,校园网的安全问题日益严峻起来。
那么,如何在开放网络环境下保证校园网正常、安全、高效地运行就成为各个高校不可回避的一个十分重要的问题。
1.网络安全定义网络信息安全一般分为网络安全和信息安全两个层面。
网络安全包括系统安全,即硬件平台、操作系统、应用软件和运行服务安全,即保证服务的连续性、高效率。
信息安全是指数据安全,包括数据加密、备份、程序等,我院主要是使用数据终端设备来进行数据信息保护的技术,如防火墙、防病毒等技术。
我们天津滨海职业学院的校园网络系统构成除了新校的十多个部门外,还包括成教的旧校区,而每一个部门或用户都有宝贵的或机密的信息,校园网络内部的信息也可以说是门类较多、丰富多彩。
其中有的信息可以被外部访问,而有的信息相对外部来说是保密的。
对这些信息如何去很好的管理,也是一个很重要的问题。
管理作为信息安全保障三大要素之一,常常在保障信息安全的“链条”中,它成为最重要的一环。
2.校园网络的现状2.1我校园网络的拓扑结构天津滨海职业学院校园网作为服务于全校教育、科研和行政管理的计算机信息网络,实现了校园内局域网互通,并通过交换机与互联网相联。
校园网由核心层、汇聚层和接入层构成星型千兆以太网络,网络的设计思想是万兆可扩展,千兆为主干,百兆到桌面。
核心层作为整个网络的核心,选用思科三层交换机为服务器作为这个网络数据快速转发的核心基础;接入层直接面向客户端,选用的是思科二层交互机连接不同的VLAN;汇聚层作为核心层和接入层的分界点。
校园内建筑物之间的连接选用多模光纤,以行政楼为中心,向其他建筑物辐射;楼内采用非屏双绞线缆。
网络拓扑结构十分简单,网络入口在学院的网络中心,由电信光纤经过防火墙,最后到达核心交换机,再从核心交换机向四周辐射通向各个汇聚交换机。
2.2我校园网络面临的问题我校园网的安全问题有其历史原因:在以前,主要因为意识与资金方面的原因,学校网络建设经费投入严重不足,所以就将有限的经费投在关键设备上,对于网络安全建设一直没有比较系统的投入,致使校园网处在一个开放的状态,没有任何有效的安全预警手段和防范措施。
只是在内部网与互联网之间放一个防火墙就万事大吉,同时对学生上网不加限制,从而导致病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安全隐患只要发生一次,对整个网络都将是致命性的。
我校园网建设中面临的问题有如下几个方面:2.2.1硬件设备简陋校园网的出口是网络规划和建设中需要重点考虑的问题,它关系到校园网用户对Internet访问的速度。
我校网络整体结构设备简陋,现有设备技术指标低,没有路由器,路由选择由三层交换机来完成,为了提高速度,防火墙设置也不是很高。
校园网建设的目的是为学校的各项工作信息化服务,提高工作效率,应强调其应用,应多购置服务器,每个服务器满足一个应用,把应用平台搭建起来,供师生逐渐熟悉,最终完全接受。
2.2.2 IP地址欺骗、盗用现在TCP/IP协议广泛用于各种网络。
但是TCP/IP协议本身就存在很多问题,几乎所有的internet协议都没有考虑安全机制。
TCP/IP协议是采用物理地址来为网络节点的唯一标识,但是由于我们采用的是DHCP服务器技术,节点的IP地址是不固定的,是一个公共数据,因此攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址,进行攻击。
2.2.3操作系统不防盗我校大部分都使用windows操作系统,它虽然属于C2级安全操作系统,拥有用户标识、身份认证、存储控制和审计跟踪等功能,但由于整体设计的缺陷和其软件代码的巨大开发规模,系统本身存在安全漏洞也在所难免,校园网中大部分都使用盗版的操作系统,安全系数更加难以保证。
人们很容易从网上获得相关的核心技术资料,特别是有关internet自身的技术资料及各类黑客软件,很容易造成网络安全问题。
尤其是在学校,校园网内经常的病毒泛滥,这是因为学生的好奇心重,总在校园网内显示自己的自人能力。
3.信息安全技术由一于我校的网络设备相对简陋,所以在软件、设置问题上也受到一定局限性,好多高级安全功能没有,便无从设置,这就在网络安全方面留下了比较大的漏洞。
校园网中的计算机系统的购置和管理情况也非常复杂。
这样我们就必须在服务器设置,校园网络管理上多下功夫。
3.1防火墙技术防火墙的英文名为“Firewall”,它是目前最重要的一种网络安全防护设备,从专业角度讲,防火墙是位于两个(或多个)网络间,实施网络之间访问控制的一组组件集合。
它结合硬件和软件来共同防御未经过授权的出入访问,目的是保护我们的网络和系统不受侵犯。
它的物理载体可以简单地表现为一个路由器、主机或任何一个可提供网络安全的设备,更可以是它们的组合。
防火墙是一种将局域网和广域网分开的方法,通常设置在内网和外网之间,是内网和外网之间信息流通的唯一通道,它能限制被保护的内网与外网之间的信息存取和交换操作。
防火墙可以作为不同网络或网络安全域之间交换信息的出入,在防火墙的工作日志中,会记录和统计网络的使用情况,即何人何时去往何处及做什么,哪怕他的访问未被允许。
当然,它的控制规则是具有可设计性的,对于一些不健康网站可以禁止访问,可是网站众多,不可能一一设置,所以火墙设计时多数采用的是“没有被允许就是禁止”的策略,其意是说防火墙的安全作用是首要的。
防火墙“防外不防内”,在内部网络中实施攻击,防火墙是无能为力的,目前对于这类来自内部网络用户的威胁,只能要求加强内部管理,如主机安全和用户教育等。
3.2 VLAN划分VLAN(虚拟局域网)是一种将物理网络划分成多个逻辑(虚拟)局域网的技术。
在传统局域网中,任何一台机器都可以截取同一局域网中其他计算机之间传输的数据包,存在着安全漏洞。
但当划分了VLAN后,由于各个VLAN之间不能直接进行数据通信,而必须通过路由来转发VLAN之间的数据,因此,如果VLAN之间没有路由器,那么VLAN就是与外界其他设备相隔的,相当于一个独立的局域网,安全性可以得到较大程度的提高另外,我们还可以在VLAN 之间的路由器上进行适当的设置,来防止大部分网络监听手段的入侵。
校园局域网与其他企事业单位的局域网相比,联网计算机及网络用户的群体更为复杂,有多媒体教室、学生机房、学生宿舍、图书馆、以及行政办公计算机等。
不同的用户对于网络有着不同的需求。
对于自身信息的安全性要求也不同,据此可以将校园网划分为多个VLAN。
3.3流量控制在我们校园网中,网速一直都是个学生和教师们抱怨的问题。
这是因为同时在线人数众多,一般在3000人以上,由于上网人数很多,而带宽有限,学生又大量使用BT等P2P类软件下载资源,网络常常因为流量过大而导致拥塞,连正常的网页都很难打开。
增加流量控制设备是一个很好的解决方案。
通过网络流量控制设备的流量管理功能为日常的关键应用分配到了足够的带宽资源,以优先保护重要的应用稳定的运行;过滤一些浪费网络资源的P2P下载等网络应用,从而节省了宝贵的网络资源;通过网络流量控制设备的网络流量监视功能详细的了解网络中应用流量的分布情况,当有突发网络异常流量时可以提前处理,并利用报告生成功能,生成详细的网络流量应用报告,很大程度上提高了网络管理人员的工作效率。
4.小结校园网络是一个比较特殊的网络,他既要满足校园的正常教学,科研,教务管理工作的需求,又要确保学生在安全健康的环境下学习,因此如何在开放网络环境下保证校园网正常、安全运行就成为了一个至关重要的问题。
我们要在技术与管理等多方面进行维护,以确保校园网安全。
【参考文献】[1]基于任务的访问控制模型在高校图书馆的应用[J].山西电子技术,2009,1.[2]计算机网络安全[M].清华大学出版社,2011,8.[3]基于分类技术的Blog用户兴趣挖掘[J].科学之友,2010,2.[4]校园网络信息安全保护研究与实现[D].内蒙古大学,2010,6.[5]刘冬霞.基于移动Agent的入侵检测系统的研究[D].济南:山东师范大学,2006.[6]网络安全系统集成与建设[M].机械工业出版社,2010,09.。