时间:2022-10-01 16:08:12
引言:寻求写作上的突破?我们特意为您精选了12篇校园网络论文范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
要规范地架建好校园网,必须做到“三先”,即先规划再建网、先培训后建网、先建库后建网。
一、先规划后建网。
规划胜于一切,没有好的规划,校园网建设“入倍出半”。在计算机技术和信息技术迅猛发展的今天,全国各地经济比较发达的地方绝大部分中、小学都已经先后架建起了自己的校园网络或准备架建自己的校园网络,但真正能充分利用好校园网络的学校却并不多见,问题的根源就是在于没有很好的规划好如何架建校园网络。
要规范地架建校园网络,必须清楚你需要什么样的校园网络,你需要校园网络来干什么?
要架建校园网,首先我们要知道我们需要什么样的校园网。通常学校对校园网络的要求有以下几种:
1、最简单的校园网络:包括一个微机房、一个教师电脑办公室以及几台教师办公室使用的电脑。这样的配置基本可以应付日常的计算机课程和教师办公、校务管理。学校也可以使用校长管理系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统等几个独立的管理系统。
2、中档配置的校园网络:包括若干个微机房、一个网络服务中心、每个教室配备电脑一台、每个教师办公室配备教师办公电脑。这样的配置可以满足管理、办公、教学、辅助教学的大部分要求。学校可以使用校长办公系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统、医务所药物管理系统、教师学生就诊系统、教师备课系统、图书馆管理系统、多媒体教学资源库系统、校园网站等。
3、高档配置的校园网络:包括足够的微机房,一个大型的网络服务中心,每个教室配备微机若干台(甚至学生人手一台微机),每个教师配备办公电脑,这样的配置可以实现所有的自动化校园管理和教育教学信息自动化。学校可以使用各种的管理系统、电子图书馆、网上学校,实现真正的网上教学。
要架建校园网络,还要知道我们需要校园网来干什么,这样才能根据自己的实际需要来架建适合自己的校园网络。
利用校园网络最基本可以做到学校管理自动化,例如:人事档案管理、教师办公、行政管理、学生学习、学生生活、校产管理、学生的成绩、评语、奖惩记录、身体发育的管理。如果配置允许,还可以实现校内无纸化办公、教师电子备课系统、教师辅助教学系统、校园网页、网上学校等。所以要架建校园网络前必须先根据自己的需要规划好校园网络。
另外,架建校园网还需要适应学校的长远发展规划,根据具体的情况采取统一的规划,分阶段实施,逐步到位的建网原则。
必须认清形势,了解到学校日后的发展规模、学校的发展方向、学校的发展潜力,然后根据学校的这些情况,统一规划好校园网络的架设。切忌一窝蜂上马项目,应该循序渐进,规划好架建的先后顺序,再根据学校的需要,先上马什么,然后再增加些什么内容。而且在设备的购置清单中必须考虑到计算机的更新换代和对软件的要求等几个方面。先是硬件到位,然后再是软件跟进,使整个校园网的建设能有序进行,这样才会省钱省力。
架建校园网的设备,除了考虑到日后的更新换代外,摆在首位的是学校的实际需要问题。根据学校的实际需要,确定计算机的主要配置,而且如何使用最佳的配置来实现最理想的要求而只花费最少的成本,这是每个校园网都必须考虑到的问题。这就必须要对学校的要求有一个大概的了解。
下面我们举一个例子来探讨一下架建校园网络的规划:
一个中型城市的完全中学拟架建自己学校的校园网,学校教室和教师办公室相当比较集中。根据学校的需要,首先要建起两个微机房,每个机房拥有电脑60台,两个机房不宜配置同样的电脑,我认为最好一个机房配置低一点,只需要能支持一些简单的操作、文字处理、程序编辑、互联网冲浪等。那么每台机器大概需要3500元左右,60台机器也就是21万元左右,然后加上一台服务器以及网络设备,大概需要22.5万元左右。另外一个机房则需要配置高一点,除了有上述的要求外还要支持多媒体的运行以及一些图像的处理,这样每台机器大概需要5500元左右,60台机器也就是33万元左右,另外加上一台服务器以及网络设备,大概需要34.5万元左右,那么光是两个机房的设备就花费了57万元。
另外全校一共有六个年级三十六个班,每个班配备电脑一台,配置与高配置机房的电脑一样,需要大概20万元。学校一共有办公室10个,也配备同样的电脑各2台,共11万元。学校还需要建立起一个网络服务中心,配备服务器5台,共5万元。加上一批的网络设备和办公设备,约7万元。
也就是说建立一个中档配置的校园网络光设备的购置就约花费100万元。接下来就是选择技术、施工力量雄厚,经验丰富,有良好售后服务,信誉良好的厂商承包工程。施工前必须先规划好网络线的布局,网络服务中心的位置,以免出现网络设备的浪费。
工程实施前,还要找到一家技术力量雄、经验丰富、有良好售后服务、信誉良好的公司来编写学校的各种管理系统。这样,一个颇具规模的校园网络的规划也就差不多完成了。
二、先培训后建网。
校园网的建设,必须先进行全员培训,即先要实现学校教师、技术人员和管理人员的全员培训,才考虑架建网络。如何没有一支技术过硬手教师、技术人员和管理人员队伍,校园网就算是架设好了,也会由于使用人员水平问题而不能正常运行或发挥最佳的运行效果。而且还要由于使用人员和管理人员的误操作而导致网络瘫痪,引致的损失无法估量。
所以当规划好校园网,找到了合适的硬件厂商和软件公司后,立即要着手做的就是对全校教师和管理系统使用者进行全员培训。教师和管理系统使用者的全员培训可以分成几个部分。
1、全体教师的培训。教师的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,教师办公系统的使用;第三,教师电子备课系统的使用;第四,多媒体辅助教学软件的使用;第五,国际互联网的使用;第六,计算机系统的安装和常用软件的安装;第七,常见的软、硬件故障的解决方法。2、管理系统使用者的培训。管理系统使用者的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,相应的管理系统的使用,第三,国际互联网的使用;第四,计算机系统的安装和常用软件的安装;第五,常见的软、硬件故障的解决方法。
3、网络管理员的培训。网络管理员可以说是最重要的人,整个校园网络能否正常运行就取决于这个管理员的水平。学校最好是聘请有经验的专职人员来从事这一项工作,如果聘请不到专职人员的话,也可以聘请一位对电脑熟悉的教师来担任,网络管理员的培训主要着眼于几个方面:第一,服务器的安装和维护;第二,服务器操作系统的使用;第三,服务器操作系统的安装和维护;第四,互联网技术,第五,网络安全的技术。
4、硬件维修人员的培训。拥有一个校园网络,不可能长期依赖于硬件供应商的售后服务,学校必须拥有一到两个硬件的维修人员来维护学校的网络和硬件以及办公设备。硬件维修人员应该参预到学校的整个网络铺建的工作中,熟悉全校的网络线路的布局。硬件维修人员的培训主要着眼于几个方面:第一,网络的架设技术;第二,微机的安装和保养;第三,微机故障的处理和维修;第四,网络故障的处理和维修。
5、软件维护人员的培训。拥有一个校园网络的管理系统,也不可能长期依赖于软件公司的售后服务,学校必须拥有一到两个软件的维护人员来维护学校管理系统的正常运作。软件维护人员应该参预到学校的管理系统的开发中,熟悉学校管理系统的结构和原理。软件维护人员的培训主要着眼于几个方面:第一,数据库的技术;第二,软件开发平台软件的技术;第三,系统设计的原理;第四,系统故障的处理和维护。
以上五种人员的培训工作都必须走在学校架建校园网络的前面,尤其是第四、第五种人员。而上述的五种人员中,教师的培训主要由学校自己找合适的人士来培训;第二、三、五种人员则应该由为学校编写管理系统的软件公司负责培训;第四种人员则应该由为学校铺设校园网络的厂商负责培训。
只有上述五种人员配备好,培训好,校园网络建成后才能马上投入使用,并发挥其最大的效用,否则,就像前面说的一样,由于网络及管理系统使用人员的水平问题而导致不可估量的损失。
三、先建库后建网。
要建立校园管理系统,必须先要建立校园的档案库;要建立学生管理系统,必须先要建立学生档案库;要建立教师电子备课系统,必须先建立多媒体教学资源库。所以说,要建立校园网络,必须先建立好校园数据库。校园数据库内容包括很多很多的内容,但总的来说,我们都称之为教育教学资源。也就是要建立好校园网络,必须先建立起学校的教育教学资源库。
教育教学资源库包括的内容有:人事档案库、财务档案库、文件档案库、教学信息库、教育信息库、多媒体信息库等。
人事档案库包括:教师档案库、职工档案库、学生档案库。教师档案库中包括了教师的一些基本个人资料、教师在学校的历任和现任职务、教师在学校期间的考核资料、教师在学校期间的奖惩情况等。学生档案库中包括学生的成绩、评语、奖惩、身体发育状况等。
财务档案库包括:校产档案库、工资档案库、收支档案库。校产档案库中包括了常规教学设备资料、电脑电教设备资料、图书资料、水电维修和木工资料、环境保护资料。
文件档案库包括:政府下达文件库、学校下发文件库、学校各种获奖文献库、学校的各种计划和总结文件库。
教学信息库包括:各学科教案库、各学科试题库、各学科升中/升大资料库、教学改革信息库、教学研究信息库。教案库中包括了各学科教师对每一节新授课、复习课的教案,以便日后教学总结及提高教学能力之用。试题库中包括了各种难度、各阶段的练习、测试、考查的试题,而且是每一题试题都已经经过分析并得出其难度的题目,以便从题库找出相应的题目组成一份试题。
教育信息库包括:学生基本档案库(也就是学生的人事档案库)、后进生改变档案库、教师与学生谈话记录档案库、教育活动档案库、教育信息档案库。其中教育活动档案库包括了每次教育活动的计划、总结、效果的记录,教育信息档案库包括了教育文摘库、教育改革信息库。
多媒体信息库:包括了声音素材库、图像素材库、影视素材库。多媒体信息库是为了教学服务,教师电子备课系统、辅助教学系统、学生学习系统都必须使用到这一类的信息。
只有把这部分信息库都建好或者规划好,校园网建起来才会很好的运转起来。如果这部分信息库没有建好,那么校园网建好后也只是一个空壳,空有外表,内在运作不起来,校园网没有充分利用起来,资金投入了没有好的收获。
2校园安全网络构建有效措施分析
面对着校园网络存在着的威胁,如果要维护网络安全,那么就要采取一定的策略进行解决。
2.1加强对网络权限的管理分析
通过网络控制用户组和用户可以访问的资源范围,并且控制这些用户组与用户对这些资源进行一定的操作。在加强权限管理的过程中,可以在汇聚层的路由器或者是交换机上应用访问,对列表进行一定的控制,并对用户访问服务器的权限进行一定的限制,同时,还需要根据校园网的实际需求,与实际的情况相结合,选择出与之相适应的应用程序。
2.2对系统安全漏洞采取一定的防范措施
对系统安全漏洞进行一定的管理,能够有效的避免出现漏洞攻击的现象。在防范的过程中,将漏洞管理软件充分的利用起来,就能够在最短的时间里找出漏洞的存在,并且也能够将漏洞的信息进行一定的了解,这样一来,就无需对厂商的漏洞公告进行关注。在漏洞管理软件当中,拥有完善的漏洞管理机制,管理者能够根据实际需要展开跟踪、记录以及验证评估的工作。漏洞管理系统一般都包括管理控制太以及硬件平台,在交换机出进行漏洞管理系统的部署,方便对整个网络展开漏洞管理的工作。
2.3计算机病毒的方法工作分析
用户在使用计算机的过程中,用户需要提高网络安全认识。我们都知道,网络信息比较广泛,信息也比较杂乱,在这些信息中存在着很多的安全问题。为此,用户在使用问价的过程中,要慎重的考虑,不要轻易的共享文件,如果必须要将文件共享,那么也应该在共享前设置好访问的权限。如果有来源不清的邮件,那么不要轻易的打开,因为这些邮件很有可能带着很多的病毒,一旦打开,那么病毒就会扩散到整个系统当中。为此,要在计算机及时的安装杀毒软件,并要及时升级,这样一来,就可以将那些恶意网页代码病毒有效的防范在计算机系统外部,以免给计算机系统造成瘫痪。
对网络的使用的度量方式有按照时间和流量两种方式。按照时间作为度量易于实现和检测。但由于网络访问不是一个匀速的过程,使用时间并不能准确描述用户对网络的使用量,因而使用访问产生的流量作为网络使用的度量是一个合理的选择。我校就是采用对入流量进行计费的计费策略。在我校使用根据流量进行计费的计费策略以来,网络流量成为了有价值的资源,因而出现了一些问题,主要有以下三点:①计费系统流量计量的准确性问题②IP地址抢夺方式的流量盗用问题③帐号被盗后的IP地址定位问题这些问题本身不是依靠计费系统所能解决的,需要通过网络管理的角度寻找解决方案。下面分别说明。
2网络管理计费系统流量计量的准确性
计费系统是根据每个IP包的包长进行累加的方法进行流量统计的。这个过程对用户来说是很难进行检验的,用户通常根据以前的经验值来估计每次访问所产生的流量。当用户的计算机上运行了非用户主动发起的程序(如各种系统打补丁程序或其他木马程序)而产生了非预期的网络时,计费系统所统计出的流量就会大大超过用户的经验值,用户就会产生计费系统流量统计不准的疑问,并向系统管理员提出质疑。管理员如果不能对用户的疑问进行解答,用户就会认为计费系统的流量计量有误,则使用计费系统进行流量计费的合理性就会得到校园网用户的质疑。计费系统会记录用户访问的日志,一方面这些日志不是很完备,另一方面如果仅使用计费系统自己的日志信息来验证自己流量统计的正确性,这就是通常所说的“既当运动员又当裁判员”,不具备客观性,因此需要通过独立于计费系统的方法来解决这个问题。网络上能够独立的捕获用户流量的最常见的设备就是交换机。我们通过从交换机获取的用户流信息来对计费系统流量统计的准确性进行验证。在处理此类问题的实际工作中,用户还需我们帮助分析产生流量的原因,比如是访问哪些IP地址产生的,这就需要网络层和传输层的信息。要达到这个目标,需要详细记录数据流的这些信息。
2.1流信息的获取来源
网络流天然的最小的单元就是数据包,每个数据包包含了其所属流的传输层和网络层的完整的信息,如果能将这些信息收集并存储下来,理论上就可以完成我们所需的功能。我们在计费系统的测试阶段就是按照这个方法去进行的,数据报的获取通过交换机的端口镜像功能来实现。使用这种方法在实践中帮助我们初步解决了这个问题,但是我们也发现了这种方法存在的问题:镜像口的流量需要和实际数据端口的流量一样大,当实际的数据端口超过千兆后,将很难找到合适的镜像端口。因此需要寻找其他的流量测量手段。以流为单位的流量测量正以其低测量开销的方式取代以分组为单位的流量测量[1]。我校出口网络是使用Cisco公司的网络设备,因而采用Cisco公司开发的用于采集IP数据流量的网络协议Netflow。我们在连接计费系统的网络设备上启用了netflow的相关配置,并且在三层接口下使用“ipflowingress”配置使交换机吐出的netflow数据与我校只对入流量进行计费的策略相一致。Netflow数据被发送到指定的服务器上,该服务器运行我们自己编制的程序获取netflow数据,提取所需的信息然后生成访问日志文件。该程序使用winpacp获取网络数据。
2.2日志文件组成
我们采用固定大小的文本文件来存储获取到的netflow数据。Netflow协议中包含流的定义和流的信息。流的定义使用五元组(源地址、目标地址、源端口、目标端口、协议类型),流的信息包含数据包数、流量数和时间。流的定义字段对分析流量的来源都是帮助的,要保留。流的信息中的数据包数和流量数是统计流量的重要数据,必须保留。流量测量中一个很重要的输入条件是时间,因而时间信息是需要保留的。但是过多的时间信息会占用大量的存储空间,而流量测量对时间的精确性没有很高的要求,只要能够将来自同一个IP的不同终端的网络流区分开就可以了。我校用户的IP地址采用DHCP方式获取,地址的租期是24小时。当计算机的IP的使用达到租期的一半时,计算机会自动重新进行地址的获取。这说明在IP地址停止使用后的至少12个小时内,该IP地址是不会分配给其他计算机的。也就是说来自同一个IP的不同终端的网络流从时间上至少相差12个小时。只要日志文件首尾两个网络流的时间间隔小于12小时,我们就可以使用首尾两个流的时间来满足上述区分网络流的要求。实践表明,当采用10M大小的文件时即使在访问量最小的凌晨每小时最少也要生成2个文件,完全可以满足上述要求。由于末尾网络流的时间和下一个文件的起始网络的时间几乎一样,因而我们只记录起始流的时间,并以此时间(准确到秒)作为文件名。Netflow日志文件中包含每条流的信息。流的信息中IP地址信息会大量重复的出现,是冗余度很高的信息。如果能够减少这些冗余信息将会减小日志文件的大小。流数据在文件的位置不影响流量测量和分析工作,因而我们采用将目标地址和源地址相同的流连续输出,如果和上一条流记录的目标IP地址相同,则不输出本条记录的目标IP。如果源IP地址也一样,则本条记录的源IP地址也不输出。通过这种方式日志文件的大小减少了近50%。
2.3从日志文件中查询流量详细信息
为了方便日志的查询工作,编写了流量统计的程序。输入条件是校内IP和查询的起止时间。读取当天的每个日志文件,根据文件名判断是否在查询的时间段内。如果在则查找对应的校内IP的流量记录,将来自相同校外IP的流的流量进行累加。由于netflow中的流量单位是字节,长整形的长度是32位,因而如果统计时采用1个长整形,最大的流量是4G字节。为了处理总量大于4G的流量查询,我们采用两个长整形来记录流量统计结果。一个的单位是字节,一个的单位是兆字节。
3IP地址抢夺方式的流量盗用问题
计费系统部署在校园网的出口,将相同目标IP的数据包的长度进行累计,作为该IP对应的帐号的访问流量。如果抢夺已经注册了帐号的IP地址,就等于盗取了别人的流量。目前我校校园网使用以太网。以太网是一种多路访问的广播网,同一个网段内的多个网络可终端共享同一个网络介质。这样一个IP地址可以被同网段的任何终端所共享,只要能够成功“欺骗”网络设备,抢夺他人的IP是可能的。我们需要采用其他的网络安全策略来防止IP地址的抢夺。根据IP抢夺的方式不同介绍两种安全策略。3.1修改IP的抢夺方式这种方法利用默认情况下网路设备对ARP的应答不进行检查,完全信任的问题。针对这个问题,多数网络设备已经开发出了ARP检查的功能,即用一种可信的IP和物理地址对应表来ARP的数据包进行检测,丢弃与可信对应表不一致的ARP数据包。由于DHCP是在学校得到广泛使用的IP地址分配方式,而且通过配置可以控制DHCP应答数据包仅来自可信的服务器,因而DHCP应答数据包中包含了可信的IP和物理地址对应关系,只要能够捕获并存储这些数据,就能够得到一张可信的IP和物理地址对应表,这就是DHCP嗅探功能,也已经成为主流交换机的基本功能。将DHCP嗅探功能和ARP检测功能配合起来就可以防止修改IP的抢夺方式的攻击。3.2修改MAC的抢夺方式攻击人还可以通过修改自己终端的物理地址的方式来获取他人的IP地址。网络层的参数如IP地址和网卡地址都可以仿冒,但是难以仿冒的是交换机接口。一旦用户的上网位置确定了,交换机的接口是固定的。因而只要将物理地址和交换机端口的对应关系存储下来,就可以有效的防止此类攻击。交换机的端口安全策略可以实现这种功能。交换机上的端口和MAC地址的对应表应该有老化时间。我校计费系统的账号的自行下线的条件是从发送最后一个数据包后一定时间之后。当IP地址对应的账号的已经下线了,IP地址抢夺过去也就没有意义了,MAC地址就应该可以不被绑定了。因而MAC地址的老化时间也应该按照此方式处理:(1)老化时间的起点以发出最后一个数据包开始;(2)老化时间的时长等于计费系统自行下线的时长。实际应用中,我们采用的网络设备多数已满足这个需求。添加了这些配置后用户终端的移动性受到了些影响,但是由于提高了安全性还是得到了校园网用户的认可。
4IP地址的定位问题
网络账号被盗用总是难以避免的,当盗用的案件发生时,账号注册的IP的位置信息对于破案是有极大的帮助的,这就需要网络能够进行IP定位。IP地址定位的需求是根据IP和时间可以确定IP对应的终端所在的位置,通常情况下位置能准确到房间就可以大大缩小嫌疑人排查的范围。目前我校的校园网综合布线的密度为每个自然间1-2个信息点,每个信息点对应一个接入层交换机的接口。因而使用接入层交换机的接口就足以描述IP地址的位置信息。IP地址的接入信息可以使用时间、IP、MAC和接口这个四元组进行描述。IP和MAC的关系存储在汇聚层交换机的ARP地址表中,MAC和接口的对应关系存储在接入层交换机的MAC地址表中。这两个数据表可以通过SNMP协议从网络设备中读取。通过对交换机上启用SNMP协议的相关配置,可定期从网络设备中读取所需的数据表信息,然后将互联接口的信息从MAC地址接入表中过滤掉,通过MAC地址将两个表格联合起来再加上执行读取操作时的时间戳就可以得到IP地址的接入信息。将这些信息存储起来就可以作为IP地址定位所需的日志。
学校在建立自己的内网时,由于意识薄弱与经费投入不足等方面的原因,比如将原有的单机互联,使用原有的网络设施;校园网络的各种硬件设备以及保存数据的光盘等都有可能因为自然因素的损害而导致数据的丢失、泄露或网络中断;机房设计不合理,温度、湿度不适应以及无抗静电、抗磁干扰等设施;网络安全方面的投入严重不足,没有系统的网络安全设施配备等等;以上情况都使得校园网络基本处在一个开放的状态,没有有效的安全预警手段和防范措施。
(二)学校校园网络上的用户网络信息安全意识淡薄、管理制度不完善
学校师生对网络安全知识甚少,安全意识淡薄,U盘、移动硬盘、手机等存贮介质随意使用;学校网络管理人员缺乏必要的专业知识,不能安全地配置和管理网络;学校机房的登记管理制度不健全,允许不应进入的人进入机房;学校师生上网身份无法唯一识别,不能有效的规范和约束师生的非法访问行为;缺乏统一的网络出口、网络管理软件和网络监控、日志系统,使学校的网络管理混乱;缺乏校园师生上网的有效监控和日志;计算机安装还原卡或使用还原软件,关机后启动即恢复到初始状态,这些导致校园网形成很大的安全漏洞。
(三)学校校园网中各主机和各终端所使用的操作系统和应用软件均不可避免地存在各种安全“漏洞”或“后门”
大部分的黑客入侵网络事件就是由系统的“漏洞”及“后门”所造成的。网络中所使用的网管设备和软件绝大多数是舶来品,加上系统管理员以及终端用户在系统设置时可能存在各种不合理操作,在网络上运行时,这些网络系统和接口都相应增加网络的不安全因素。
(四)计算机病毒、网络病毒泛滥,造成网络性能急剧下降,重要数据丢失
网络病毒是指病毒突破网络的安全性,传播到网络服务器,进而在整个网络上感染,危害极大。感染计算机病毒、蠕虫和木马程序是最突出的网络安全情况,遭到端口扫描、黑客攻击、网页篡改或垃圾邮件次之。校园网中教师和学生对文件下载、电子邮件、QQ聊天的广泛使用,使得校园网内病毒泛滥。计算机病毒是一种人为编制的程序,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。它的破坏性是巨大的,一旦学校网络中的一台电脑感染上病毒,就很可能在短短几分钟中内使病毒蔓延到整个校园网络,只要网络中有几台电脑中毒,就会堵塞出口,导致网络的“拒绝服务”,严重时会造成网络瘫痪。《参考消息》1989年8月2日刊登的一则评论,列出了下个世纪的国际恐怖活动将采用五种新式武器和手段,计算机病毒名列第二,这给未来的信息系统投上了一层阴影。从近期的“熊猫烧香”、“灰鸽子”、“仇英”、“艾妮”等网络病毒的爆发中可以看出,网络病毒的防范任务越来越严峻。
综上所述,学校校园网络的安全形势非常严峻,在这种情况下,学校如何能够保证网络的安全运行,同时又能提供丰富的网络资源,保障办公、教学以及学生上网的多种需求成为了一个难题。根据校园网络面临的安全问题,文章提出以下校园网络安全防范措施。
二、校园网络的主要防范措施
(一)服务器
学校在建校园网络之时配置一台服务器,它是校园网和互联网之间的中介,在服务器上执行服务的软件应用程序,对服务器进行一些必要的设置。校园网内用户访问Internet都是通过服务器,服务器会检查用户的访问请求是否符合规定,才会到被用户访问的站点取回所需信息再转发给用户。这样,既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,外部网络只能看到该服务器而无法获知内部网络上的任何计算机信息,整个校园网络只有服务器是可见的,从而大大增强了校园网络的安全性。(二)防火墙
防火墙系统是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术产品,是一种使用较早的、也是目前使用较广泛的网络安全防范产品之一。它是软件或硬件设备的组合,通常被用来进行网络安全边界的防护。防火墙通过控制和检测网络之中的信息交换和访问行为来实现对网络安全的有效管理,在网络间建立一个安全网关,对网络数据进行过滤(允许/拒绝),控制数据包的进出,封堵某些禁止行为,提供网络使用状况(网络数据的实时/事后分析及处理,网络数据流动情况的监控分析,通过日志分析,获取时间、地址、协议和流量,网络是否受到监视和攻击),对网络攻击行为进行检测和告警等等,最大限度地防止恶意或非法访问存取,有效的阻止破坏者对计算机系统的破坏,可以最大限度地保证校园网应用服务系统的安全工作。(三)防治网络病毒
校园网络的安全必须在整个校园网络内形成完整的病毒防御体系,建立一整套网络软件及硬件的维护制度,定期对各工作站进行维护,对操作系统和网络系统软件采取安全保密措施。为了实现在整个内网杜绝病毒的感染、传播和发作,学校应在网内有可能感染和传播病毒的地方采用相应的防病毒手段,在服务器和各办公室、工作站上安装瑞星杀毒软件网络版,对病毒进行定时的扫描检测及漏洞修复,定时升级文件并查毒杀毒,使整个校园网络有防病毒能力。
(四)口令加密和访问控制
校园网络管理员通过对校园师生用户设置用户名和口令加密验证,加强对网络的监控以及对用户的管理。网管理员要对校园网内部网络设备路由器、交换机、防火墙、服务器的配置均设有口令加密保护,赋予用户一定的访问存取权限、口令字等安全保密措施,用户只能在其权限内进行操作,合理设置网络共享文件,对各工作站的网络软件文件属性可采取隐含、只读等加密措施,建立严格的网络安全日志和审查系统,建立详细的用户信息数据库、网络主机登录日志、交换机及路由器日志、网络服务器日志、内部用户非法活动日志等,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(五)VLAN(虚拟局域网)技术
VLAN(虚拟局域网)技术,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。根据实际需要划分出多个安全等级不同的网络分段。学校要将不同类型的用户划分在不同的VLAN中,将校园网络划分成几个子网。将用户限制在其所在的VLAN里,防止各用户之间随意访问资源。各个子网间通过路由器、交换机、网关或防火墙等设备进行连接,网络管理员借助VLAN技
术管理整个网络,通过设置命令,对每个子网进行单独管理,根据特定需要隔离故障,阻止非法用户非法访问,防止网络病毒、木马程序,从而在整个网络环境下,计算机能安全运行。
(六)系统备份和数据备份
虽然有各种防范手段,但仍会有突发事件给网络系统带来不可预知的灾难,对网络系统软件应该有专人管理,定期做好服务器系统、网络通信系统、应用软件及各种资料数据的数据备份工作,并建立网络资源表和网络设备档案,对网上各工作站的资源分配情况、故障情况、维修记录分别记录在网络资源表和网络设备档案上。这些都是保证网络系统正常运行的重要手段。
(七)入侵检测系统(IntrusionDetectionSystem,IDS)
IDS是一种网络安全系统,是对防火墙有益的补充。当有敌人或者恶意用户试图通过Internet进入网络甚至计算机系统时,IDS能检测和发现入侵行为并报警,通知网络采取措施响应。即使被入侵攻击,IDS收集入侵攻击的相关信息,记录事件,自动阻断通信连接,重置路由器、防火墙,同时及时发现并提出解决方案,列出可参考的网络和系统中易被黑客利用的薄弱环节,增强系统的防范能力,避免系统再次受到入侵。入侵检测系统作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,大大提高了网络的安全性。
(八)增强网络安全意识、健全学校统一规范管理制度
根据学校实际情况,对师生进行网络安全防范意识教育,使他们具备基本的网络安全知识。制定相关的网络安全管理制度(网络操作使用规程、人员出入机房管理制度、工作人员操作规程和保密制度等)。安排专人负责校园网络的安全保护管理工作,对学校专业技术人员定期进行安全教育和培训,提高工作人员的网络安全的警惕性和自觉性,并安排专业技术人员定期对校园网进行维护。
三、结论
校园网的安全问题是一个较为复杂的系统工程,长期以来,从病毒、黑客与防范措施的发展来看,总是“道高一尺,魔高一丈”,没有绝对安全的网络系统,只有通过综合运用多项措施,加强管理,建立一套真正适合校园网络的安全体系,提高校园网络的安全防范能力。
摘要:随着“校校通”工程的深入实施,校园网作为学校重要的基础设施,担负着学校教学、教研、管理和对外交流等许多重要任务。校园网的安全问题,直接影响着学校的教学活动。文章结合十几年来校园网络使用安全及防范措施等方面的经验,对如何加强校园网络安全作了分析和探讨。
关键词:校园网;网络安全;防范措施;防火墙;VLAN技术
校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件,将校园内计算机和各种终端设备有机地集成在一起,用于教学、科研、管理、资源共享等方面的局域网络系统。校园网络安全是指学校网络系统的硬件、软件及其系统中的数据受到保护,不因偶然和恶意等因素而遭到破坏、更改、泄密,保障校园网的正常运行。随着“校校通”工程的深入实施,学校教育信息化、校园网络化已经成为网络时代的教育的发展方向。目前校园网络内存在很大的安全隐患,建立一套切实可行的校园网络防范措施,已成为校园网络建设中面临和亟待解决的重要问题。
参考文献:
1、王文寿,王珂.网管员必备宝典——网络安全[M].清华大学出版社,2006.
2、张公忠.现代网络技术教程[M].清华大学出版社,2004.
3、刘清山.网络安全措施[M].电子工业出版社,2000.
4、谢希仁.计算机网络[M].大连理工大学出版社,2000.
5、张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002(8).
二、中职校园网络建设与发展中存在的问题
(一)校园网络建设规模与实际需求不匹配
中职校园网络建设规模与中职院校的实际需求之间的差距主要表现在两个方面:一是中职校园网络的建设规模较小,实际需求增长的速度比较快。二是中职校园网络的建设规模较大,实际需求较小,导致购进的设备闲置。前者造成的结果是网络资源的紧缺,后者造成的后果是网络资源的浪费,这都不利于中职院校自身的发展。
(二)校园网络建设的资金有限
中职校园网络建设的的资金有限主要是因为院校的思路不活,没有考虑到从多渠道筹集资金。建设校园网络,首先就要自筹资金;其次就要以网养网,因为有投入就有产出;最后,中职院校要努力争取当地政府和社会的支持。
(三)国家和中职院校对校园网络建设的重视程度不一
国家对中职院校校园网络的重视主要表现在地方政府对中职院校校园网络的重视之上,地方政府对中职院校校园网络建设程度更多取决于本地区中职院校的数量,通常情况下,中职院校数量越多,政府的重视程度也就越高。这里所说的重视程度不一主要是指不同地方政府对中职院校网络建设的重视程度不同,而各大中职院校对校园网络建设的重视程度也是有所不同的。
三、加强中职校园网络建设的对策
(一)促进全国中职院校校园网络一体化
针对目前很多中职院校都自主建设校园网络,而且发展速度很快,在这种情况下,国家教育行政部门应全面研究中职校园网络的建设,力求将全国中职院校的校园网络整合成为一个相互联系的整体,让各个中职院校之间的联系更加紧密,真正实现各种教育资源的共享,解决中职院校各自为政的问题,使得我国中职院校的教育跟上时展的潮流。
(二)加强建设中职院校的内外部信息资源
中职院校的校园网的内部信息资源主要有内部网站、电子图书馆、网上管理系统、网上办公系统等等,新一代的校园网不仅要具有以上功能,还要具有远程教育系统、网络多媒体教学系统、网络资源库、办公自动化管理系统等等,以适应新时展的潮流和师生的需求。中职院校的外部信息资源主要有对外的学校网站、internet访问、电子邮件系统等等,新一代的校园网除了要具有以上的服务功能和交流功能,还应该具备可共享的数字图书馆、满足新时代学生需求的校园电子商务、本着优势互补、互惠互利为原则的跨校选课等功能。
(三)中职院校从多渠道引进校园网络投资
中职院校进行校园网络建设需要大量的资金,筹集集资需要院校领导拓宽思路,从多种渠道筹集资金。首先,中职院校领导要自筹资金,将用于学校建设的资金分出一部分作为校园网络建设的资金;其次,院校领导要积极争取当地政府资金中用于信息化建设的资金的一部分;第三,中职院校领导要与社会合作,以互惠互利的原则积极吸引民间投资,让民间团体与本院校共同发展、共同获利。因为民间投资是一个“潜力股”;最后,中职院校要有以网养网的意识,可以在校园网络上将教学网和商业网融合在一起,这也是新一代校园网的发展趋势,是一种混合型网络。也就是说,将学区内的校园网作为教学网,为教工区和学生宿舍区提供相应的需求服务,也就是所谓的商业网。教学网与商业网的不同之处就是教学网是免费的,而商业网是付费的,这需要中职院校具备性价比比较高的网络运行设备。
(四)政府应重视中职校园网络建设
中职院校校园网的建设离不开政府的大力支持,这种支持既包括精神上的理解和支持,还包括资金上的支持。中职院校校园网络的建设不仅对院校本身的发展和学生的发展具有重要的促进作用,而且还间接促进当地经济、文化等方面的发展。所以,政府要从资金和精神两个方面支持中职院校校园网络的建设。
2实用性要强
校园网面向的用户决定了校园网必须具备很强的实用性。只有一个便于管理、维护的实用性网络,才可减少网络用户运用网络的难度,从而降低人为操作引起的网络故障,并可使更多的人发挥校园网的各种功能。根据该校的实际情况,建网时应考虑充分利用智能化校园网系统的功能,在先进性和可靠性及高性价比的前提下,通过优化设计和管理达到经济性的目标。不降低智能化校园网系统的功能与技术先进性,以满足信息时代的需要。
3校园网络管理策略
随着计算机多媒体和网络技术的不断发展与普及,,校园网的稳定安全和网络瓶颈等问题给校园网的管理增添了更大的难度。因此,必须有一套系统地分析和管理校园网的思路与对策。以下将从该校校园网的具体需求出发,针对设备、用户、管理者自身提高以及安全等四个方面谈一下相关的校园网管理策略。
3.1设备管理策略
设备安全是校园网网络运行安全的首要环节。所以,网络设备管理一定要综合统筹规划。要加强网络管理员对网络设备的管理,而网络设备是整个网络管理中的重点,以下就从设备购置、设备配置以及设备维护三个方面进行说明。首先在设备购置的时候,一定要利用目前成熟的技术和产品,并在此基础上考虑超前性,保证在五至十年内所建成的网络能满足进一步的需求并且不会落后于时代。为了使设备能进行灵活配置并且能降低以后的维护工作量和维护费用,尽量统一配置设备的规格和型号,这样设备之间的兼容性相对较好,以后在更换设备的时候,可以避免设备不兼容的现象发生。在设备购置时还要考虑如何避免大面积出现老化的问题,这就要求学校在采购或更换网络设备的时候一定要避免一次性购买大量同种设备。其次在设备配置过程中要求网络管理员通过配置网络设备,例如:交换机、路由器等,在校园网中实现VLAN的划分、端口监控、控制网络流量以及防止外部攻击等功能。另外,管理员在配置网络设备的过程中尽量通过命令行来进行配置而不是通过WEB界面来管理网络设备,这样能提高网络设备管理的安全性。最后在设备的维护过程中,要建立一套完善的《网络设备检测维护制度》,并要求网络管理人员严格按照《网络设备检测维护制度》定期对网络设备的硬件和软件系统进行检测和维护,在检测和维护过程员一旦发现问题,一定要及时处理,并将检测、维护及处理的相关记录通过纸质和电子存档,同时要严格保证网络设备运行的工作环境。
3.2用户管理策略
在网络管理中,要注重对用户的管理,通过用户管理可以规定用户使用校园网的方式,控制和统计用户使用校园网的过程,确保用户能正常使用校园网。目前,用户管理主要有两种技术:一是地址绑定技术,通过给每台接入校园网的计算机分配一个固定的IP地址,把这个IP地址和合法用户的计算机网卡的MAC地址绑定后,实现用户与IP地址逻辑绑定,同时通过网络交换机端口与用户信息点的物理绑定完成全法用户的地址绑定。二是用户认证技术,每个校园网用户需要申请一个帐号,同时对这些帐号进行分级分权限管理,并授予用户一定的访问与操作权限、分配不同级别的资源给不同的用户;当用户离岗、离职时应及时变更或删除用户及权限,保证网络信息系统安全。做为校园网管理,考虑到其的灵活性和方便性,建议最好采用用户认证技术,当然对一些特殊的人员和部门也可以采用地址绑定技术。
3.3安全管理策略
校园网的安全威胁既有来自校内的,也有来自校外的。目前校园网的安全问题有其历史原因:在以前的网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普通存在“重技术、轻安全、轻管理”的倾向,常常只是在内部网和互联网之间放一个硬件防墙就万事大吉,有些学校甚至直接连接互联网,这就给病毒、黑客提供了充分施展身手的空间。所以对于校园网来说,如何构筑一个相对安全可靠的校园网络安全体系,也变得越来越突出了,而要构筑一个相对安全可靠的校园网络体系,要从两个方面着手:一是采用先进的技术手段;二是不断改进和完善管理方法。
3.4管理员自身提升策略
不断提升网络管理人员的能力是网络管理的根本之道,现在的网络管理对管理员也提出了新的要求,要求他们不但要设备的维护能力还要具备一定网络管理能力,这就对网络管理员的技术水平有了较高的要求。另外,由于计算机网络技术的更新日新月异,网络管理员要不断地学习先进的知识和技术才能应对越来越复杂的校园网需求。这就要求管理员在平时工作的过程中一定要加强自身专业水平的提升,不断研究新的网络技术,真正做到“活到老,学到老”。最后,学校也要定期派相关的管理人员进行有针对性的培训。
4网络管理具体实施措施
4.1安装查杀病毒服务器
校园网络安装查杀病毒服务器,其目的在于:要在整个局域网内杜绝病毒的感染、传播和发作。为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。该校目前采用的是金山毒霸网络版7.0,该软件采用了业界主流的B/S开发模式,由控管中心、服务器端和客户机端三个相互关联的子系统组成了防病毒体系,并且具有强大的病毒查杀能力、双向过滤邮件病毒、实时监测病毒、快速可定制的安装部署、可移动的Web管理平台等功能,能够有效拦截和清除泛滥的各种网络病毒。目前该杀毒软件已在该校园使用了近三年时间了,教师和学生对该软件的反映都比较好。
4.2采用VLAN技术
VLAN技术是在局域网内将工作站逻辑的划分成多个网段,从而实现虚拟工作组的技术。VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。划分VLAN后,由于广播域的缩小,网络中广播包所消耗的带宽减少,有助于控制广播风暴的产生、减少设备投资、简化网络管理、提高网络的性能和安全性。该校目前的VLAN的划分大致是按功能区进行划分的,学校共划分了15个VLAN,并对每一个VLAN的流量进行了控制。该校在进行VLAN划分的时候采用的是基于端口划分的VLAN。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
4.3安装硬件防火墙
互联网攻击者威胁着校园网络中基础设施和数据资源的安全。而多数网络地址必须转换成可在互联网上路由的地址,防火墙即是执行此功能的逻辑地点。目前,防火墙安全性已成为每个互联网边缘部署的必要组成部分,因为它在保护信息的同时也可满足企业对安全可靠的网络的需求,同时还能够通过执行策略来保持员工的工作效率。目前该校校园网使用的是CiscoASA5525-X防火墙,该防火墙设计采用了单个互联网连接,在同一对提供防火墙功能的CiscoASA中集成了远程接入VPN功能。防火墙拓扑图如图2所示。
4.4安装入侵检测系统
入侵检测系统(IDS)是防火墙的合理补充,帮助系统对付网络攻击。它扩展了网络管理员的安全管理能力,提高了信息安全基础结构的完整性。目前该校网络管理中安装了“萨客嘶入侵检测系统v1.0”,该系统是一种积极主动的网络安全防护工具,提供了对内部和外部攻击的实时保护,它通过对网络中所有传输的数据进行智能分析和检测,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和阻止入侵。它具有以下主要功能:入侵检测及防御功能、行为审计功能、流量统计功能、策略自定义功能、警报响应功能、IP碎片重组、TCP状态跟踪及流重组等。目前该软件在该校的网络安全防护中发挥着重要作用。
4.5定期进行漏洞扫描
随着软件规模的不断增大。系统中的安全漏洞或“后门”也不可避免地存在。因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。在进行漏洞扫描是要注意两个方面,一是定期安装各操作系统的补丁程序,在这一点上,该校的做法是,一旦有操作系统的补丁程序更新,首先在学校中心机房的服务器上安装,并把该补丁程序上传到学校的FTP服务器上;然后再通过该校的OA软件,告知教师和各实训室的管理人员安装最新补丁程序。另一方面,在学校中心机房的服务器上安装漏洞扫描程序,要求网络管理员每天都要运行漏洞扫描程序。该校现在使用的漏洞扫描程序是ShadowSecurityScannerv7.347。
4.6服务器数据备份
大家都知道,网络中心的数据备份是非常必要和重要的,因为通过数据备份可以保障网络中心数据的安全,防止网络中心数据的丢失。在该校的校园络管理中数据备份主要从以下两个方面来进行:一是通过制定数据备份规则和程序,在该校园网络管理中,为数据备份制定了一套详细的备份规则和程序,具体包括了:什么时间进行备份(每隔一个星期)、什么内容需要备份(全部数据备份)、谁负责进行备份(网络管理员)、谁可以访问备份内容(网络管理员以及相应有权限的人员)等等。二是通过一些技术手段,现在常用的技术手段有磁盘阵列(RAID)、硬盘保护卡以及一些数据备份软件(Ghost)。现在中心机房主要是采用的是磁盘阵列来实现数据备份,教师机主要是通过Ghost软件来实现数据备份,而各实训机房的计算机是通过硬盘保护卡+Ghost软件来实现数据备份。正是因为严格遵循数据备份的规则和程序,再加上灵活地利用各种先进的数据备份的技术,该校网络中心从未出现过丢失数据的现象。
4.7用户管理方法
为加强校园网管理,完善校园网运行和使用规范,确保校园网安全和稳定运行,为学校的教学、科研、管理、服务营造良好的校园网应用环境,维护校园网用户的合法权益,并结合国家有关法律法规和学校相关规定,该校采用了以下用户管理方法,主要是从用户账号分类和上网认证方式两方面进行管理的。
1引言
随着网络技术的迅速发展和各种网络业务应用的普及,用户对网络资源的需求不断增长,网络已成为人们日常工作生活中不可或缺的信息承载工具,同时人们对网络性能的要求也越高,在众多影响网络性能的因素中网络流量是最为重要的因素之一,它包含了用户利用网络进行活动的所有的信息。通过对网络流量的监测分析,可以为网络的运行和维护提供重要信息,对于网络性能分析、异常监测、链路状态监测、容量规划等发挥着重要作用。
SNMP(简单网络维护管理协议)是Internet工程任务组(IETF)在SGMP基础上开发的,SNMP是由一系列协议组和规范组成的,SNMP的体系结构包括SNMP管理者(SNMPManager)、SNMP者(SNMPAgent)和管理信息库(MIB)。每个支持SNMP的网络设备中都包含一个,不断地收集统计数据,并把这些数据记录到一个管理信息库(MIB)中,网络维护管理程序再通过SNMP通信协议查询或修改所纪录的信息。从被管理设备中收集数据有两种方法:轮询方法和基于中断的方法。SNMP最大的特点是简单性,容易实现且成本低,利用SNMP协议能够对被监视的各个网络端口输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出字节数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等进行采集。
2RRDTOOL的工作原理
RRDTOOL代表“RoundRobinDatabasetool”,是TobiasOetiker设计的一个基于Perl的功能强大的数据储存和图形生成工具,最初设计目的是为流量统计分析工具MRTG提供更好的数据存储性能和更强的图形生成功能。所谓的“RoundRobin”其实是一种存储数据的方式,使用固定大小的空间来存储数据,并有一个指针指向最新的数据的位置。我们可以把用于存储数据的数据库的空间看成一个圆,上面有很多刻度。这些刻度所在的位置就代表用于存储数据的地方。所谓指针,可以认为是从圆心指向这些刻度的一条直线。指针会随着数据的读写操作自动移动。要注意的是,这个圆没有起点和终点,所以指针可以一直移动,而不用担心到达终点后就无法前进的问题。在一段时间后,当所有的空间都存满了数据,就又从头开始存放。这样整个存储空间的大小就是一个固定的数值。所以RRDtool就是使用类似的方式来存放数据的工具,RRDtool所使用的数据库文件的后缀名是''''.rrd''''。
和其它数据库工具相比,它具有如下特点:
首先RRDtool存储数据,扮演了一个后台工具的角色。但同时RRDtool又允许创建图表,这使得RRDtool看起来又像是前端工具。其他的数据库只能存储数据,不能创建图表。
RRDtool的每个rrd文件的大小是固定的,而普通的数据库文件的大小是随着时间而增加的。
其他数据库只是被动的接受数据,RRDtool可以对收到的数据进行计算,例如前后两个数据的变化程度(rateofchange),并存储该结果。
RRDtool要求定时获取数据,其他数据库则没有该要求。如果在一个时间间隔内(heartbeat)没有收到值,则会用UNKN代替,其他数据库则不会这样做。
3监测系统的安装与配置
(1)配置路由器和交换机:
开始配置RRDTool之前,必须对需要监测的网络及设备进行良好的规划、设计与配置,包括配置设备互联地址、网管地址及路由,保证流量监测计算机可以与被监测设备网络层的互通;配置SNMP通信字符串和端口号,掌握需要的监测对象号(SNMPOID),确保流量监测计算机可以获取正确的SNMP信息。在路由器和交换机上启动SNMP,并设置只读团体名。命令如下:
(config)#snmp-serverenabletraps
(config)#snmp-servercommunitytestro
(2)安装配置RRDTool:
我们以Debian平台来安装配置RRDTOOL系统,在安装RRDTOOL前首先要安装支持RRDTOOL运行的环境:Zlib、libart_lgpl、cgilib、Libpng、freetype软件包。
①安装apache、mysql、php:apt-getinstallapache2php4mysql-serverphp4-mysql;安装成功后通过浏览器访问客户器,可以得到“Itworks!”的提示;利用mysqladmin工具给mysql添加好管理员密码。
②安装RRDTOOL:apt-getinstallrrdtool。
③安装NET-SNMP:apt-getinstallsnmp。
④安装Cacti:apt-getinstallcacti,在安装过程中会提示你输入mysql管理员密码和cacti数据库管理员密码。
(3)系统配置:
安装好系统后就要进行简单的初始化和配置,步骤如下:
①访问x.x.x.x/cacti,按照向导提示进行cacti的初始化安装;
②利用crontab-e添加计划任务:
*/5****/usr/bin/php/usr/share/cacti/site/poller.php>/dev/null2>&1
③利用cacti进行设备的添加;
④利用cacti进行绘图管理。
cacti其实是一套php程序,它运用snmpget采集数据,使用rrdtool绘图。它的界面非常漂亮,能让你根本无需明白rrdtool的参数能轻易的绘出漂亮的图形。更难能可贵的是,它提供了强大的数据管理和用户管理功能,一张图是属于一个host的,每一个host又可以挂载到一个树状的结构上。用户的管理上,作为一个开源软件,它居然做到为指定一个用户能查看的“树”、host、甚至每一张图,还可以与LDAP结合进行用户的验证!我不由得佩服作者考虑的周到!Cacti还提供自己增加模板的功能,让你添加自己的snmp_query和script!可以说,cacti将rrdtool的所有“缺点”都补足了!
近几年,网络上的钓鱼网站、中奖信息到处都是,很多学生都还没有辨别真伪的能力,学生被骗事件时有发生,高校学生成为了行骗机构的重点对象,而且很多学生想找一份兼职,经不住骗子的诱惑。虽然我国互联网技术得到了空前发展,但很多学生都不怎么懂得计算机,尤其是来自于一些农村的学生,大多数都没接触过电脑,又怎么谈其网络安全意识。据了解,很多高校都没有具体的关于网络安全的课程,导致学生网络安全意识不强,无法辨别网络上信息的真伪。
1.2部分高校对校园网络安全没有好的管理,导致档案数据泄露。
一些高校还没有认识到网络安全的重要性,没有建立完善的网络安全管理制度,没有好的评估网络系统安全性的手段,导致系统存在很多漏洞,大量信息就容易被篡改,甚至有一些重要的文档资料泄密,影响到正常的办公,使校园网络安全受到威胁。
1.3一些计算机容易受到黑客的攻击。
现在计算机技术发展速度很快,很多计算机安全技术并未被研究出来,从而导致一些黑客利用每一次这样的机会,研究该系统存在的问题,对网络系统进行破坏。这种恶意的对计算机网络进行人为攻击是网络安全不可忽视的问题,黑客都擅长于对计算机进行病毒攻击,由于病毒破坏性、隐蔽性和潜伏性的特征,人们难以对其进行有效的处理,只有等其出现,才去采取有效的手段,只能坐以待毙。第四,校园网容易受到病毒感染。一些教职工和学生在使用多媒体时,网络安全意识不够强,在U盘插在电脑上复制资料时,没有先检查自己存储器,导致有时候将病毒带入学校电脑,从而影响数字校园网络的正常使用,严重时使学校重要资料、档案外泄,甚至导致整个校园网络系统崩溃,严重干扰学校的管理与正常教学。
2高校数字校园网络安全系统的设计方案
目前,完全解决数字校园网络的安全隐患是不可能的,因为开放的、虚拟的和自由的网络使人们无法预知将会发生什么。为了有效的保护校园网络,需要结合多种防护策略来实现。下面笔者就网络安全问题阐述一下几种方案。
2.1学校应该多开设关于网络安全的课程,加强对学生网络安全知识教育,提高学生的网络安全意识,让学生学会辨别网络陷阱。
同时,加强对数字多媒体的管理,让学生与教职工能够安全的使用校园网络,避免有计算机病毒侵入学校网络管理系统,从而给学校的管理和教学带来不便。曾经就有人认为解决校园网络安全问题必要先提高学生的网络安全意识,这一点足以说明提高学生的网络安全意识是多么的重要。
2.2对学校的网络系统进行有效的管理,防止系统漏洞对网络造成不可估量的损坏。
对此,学校可以加强对校园网络安全的风险评估,网络安全评估能够有效的预测网络系统可能受到危害的风险的大小,还能估计其带来的影响。而且它还能够对网络系统进行全面掌控,能够及时发现系统漏洞并有效的进行处理。要实现这一技术,需要结合检测网络漏洞、模拟网络攻击和对服务进程进行报告等技术,从而达到最大可能的降低校园安全隐患,帮助学校控制、管理好网络系统。
2.3对学校的电脑安装有效的安全卫士,并采用防火墙技术,尽可能大的消除网络安全风险。
在数字校园的背景下,利用防火墙的技术,可以防止数字校园平台的出口被不法侵入,从而从根本上解决病毒从外面入侵的风险。同时,对校园网的资料进行加密技术,这样做可以很好的防止网络资料的泄露,并减小被篡改的可能性。对网页设置访问控制,从而保护校园网上的资源被非法使用。对此,可以采用身份认证的措施,对访问进行有效的管理,从而控制访问权限。第四,学校应该建立完善的校园网络管理制度,这一点能够有效的保障校园网络的安全。同时组织学生对制度进行学生,加强学生对网络安全的认识,这对解决校园网络安全至关重要。目前,很多高校都缺少专门针对校园网络安全的制度,因此,在一些高校建立网络管理制度已经刻不容缓。
2采用云计算技术的网络设备整合
采用云计算技术对网络中的设备进行整合,通过互联网这个必须的桥梁,将网络中的每个设备直接连接至云计算中心,用户只需通过服务接口(通常是Web浏览器)与云计算中心进行通信,完成用户的注册与登录,此时即可获取一个身份唯一标识。用户通过这个唯一身份标识登录成功后,云计算中心即会迅速处理用户的需求操作。云计算中心相当于一个庞大的服务器集群组,它主要提供软件服务SaaS、平台服务PaaS、基础设施服务IaaS以及虚拟化的资源和物理资源池。学校的合并,校园网的应用和网络规模需求的不断扩大,现有网络规划已经不能满足网络需求,数据冲突和资源浪费现象严重。同时,学校网络中心机房由于托管的服务器数量不断增加,大量的服务器资源既造成了电能的浪费,又增加了学校的开支成本。一个开放的资源集成、资源管理和资源服务等资源管理体系,是学校信息化发展与网络整合的必然需求。
2.1现有设备及状况
A校区网络始建于2004年,实现了电信出口100M、教科网出口2M、三个校区的网络互连,2011年进行了第二次网络扩展和更新改造。近期,A校区与B校区合并,需要进行网络的第三次整合、扩展和更新改造。核心交换机、汇集和接入层交换机、一台城市热点认证计费设备、一台公安系统网络监控设备与后备电源系统。目前,网络中心能实现路由、NAT、防火墙功能、数据交换、网络日志、身份认证、教务系统、OA系统、精品课程等功能,见图2。B校区网络中心现有主要设备有:思科CIS-CO7609交换机,作为校园网络的主要路由交换设备。身份认证系统、网络设备管理系统、防火墙、网络安全审计系统、精品课程系统等专用服务器36套。实现路由、NAT、防火墙、数据交换、地址映射、VPN、FTP服务、数据存储系统、防病毒、身份认证、网络分析等网络功能,见图3。
2.2规划网络架构
云计算包括多种模式,如果以云计算中的私有云模式来对A校区已有的大量的服务器等硬件资源进行整合,然后统一提供服务,既能够通过对已有硬件资源的整合提升利用率,降低购置新硬件的成本,又能够提高资源利用率,实现节能减排,一举两得。具体整合方法:(1)在维持原有配置功能不变的前提下,用CISCO7609核心交换机替换原有的CISCO6509核心交换机,第二台CIS-CO7609上实现核心交换设备的双机热备功能,以满足VLAN与DHCP等功能的使用;(2)实现用CISCOASA5520替代原有的CISCOASA5510增加VPN网络访问功能;(3)对原有的6506核心交换机进行整合,维护引擎和业务模块,作为二级核心汇聚校园网的数据中心IDC、服务器群。将原网络中的WWW、FTP、存储、一卡通、在线教育系统、精品课程系统等25台服务器加入到服务器群中。
2.3规划网络管理功能
整合后网络管理功能为:(1)解决A校区网络整合中部分汇聚交换机与接入交换机不能实现远程发现与管理的问题;(2)利用堡垒主机技术提高主校区IIS服务器的安全性和可靠性;(3)建设DMZ区,为不低于20套服务器架设服务器群,提高网络服务质量。将指定的应用系统进行归并。
2.4加强网络远程监控与管理
利用远程管理手段,增加A校区网络中心机房的电源、温度与湿度管理。利用B校区的门禁系统,实现A校区门禁系统的网络化远程管理。综合云计算技术手段,实现网络统一认证、管理和调度的目标。从而实现一次认证,多点登陆,方便使用。
2.5解决学校服务器利用率低的问题
每个学院需要大量供教学和实验使用的服务器,如何解决现存的服务器不足、资源利用低下、管理模式单一的问题,是通过云计算技术整合网络资源重点要解决的问题。具体做法:运用云计算技术,整合服务器资源,创建云存储空间,实现服务器资源的合理分配;利用虚拟化技术,构建必要的虚拟机,优化服务器资源,满足全校师生应用需求;按照数字化校园的要求,实现网络空间资源有效的整合与集成,实现统一身份认证、统一资源管理和统一权限控制。
1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。
2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。
从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。
3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。
因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全
网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。
一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。
根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。
三、内部网络安全
为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。
1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。
另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。
(1)计算机系统漏洞。目前,校园网中被广泛使用的网络操作系统主要是WINDOWS,存在各种各样的安全问题,服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。
(2)病毒的破坏。病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪,是影响校园网络安全的主要因素。
(3)来自网络外部的入侵、攻击等恶意破坏行为。校园网与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(4)校园网内部的攻击。
2Honeynet技术
在校园网网络安全中的应用根据学院实际情况和校园网总体设计需求,为了更好地防御校园网中的各类网络木马、病毒(僵尸网络、网络钓鱼等),部署了Honeynet系统,但由于整个校园内部网络威胁较为严重,各种病毒较为猖獗,校园网常被病毒感染,因此部署的Honeynet系统主要是监控校园网内部的网络攻击。为了更好地采集信息,充分发挥Honeynet系统在校园网安全防护中的主动防御功能,将Honeynet系统放到黑客容易访问到的地方。根据实际校园环境的要求,笔者部署一个带有不同操作系统的Honeynet,这个蜜网存在着各种各样的漏洞,以吸引攻击者进行有效的访问,从而获取访问信息的和其日志记录并加以深入分析和研究。通过使用虚拟软件(VMWare)和物理计算机建立一个混合虚拟Honeynet,从而减少了物理计算机的需要。宿主主机的二个网卡设置:一个是设置作为虚拟控制机,并通过虚拟网桥连接Honeywall,另一个设置连接校园内网路由器。这里把eth1的IP设为192.168.1.2,而把eth2的IP设为192.168.1.3,这样管理机和虚拟Honeypot就不在同一个网段上,保证了管理机的安全性。在本次Honeynet系统中所有主机都可以通过ssh或MYSQL连通”firewall”;所有主机都可以连接到Honeynet系统;Honeynet允许连接到任意主机;除次之外,所有的通信都被拦截,同时防火墙允许通过的数据均被记录。当完成对虚拟Honeynet系统的配置后,需要对其进行测试,看是否能够正常运行,首先测试虚拟机蜜罐和宿主主机之间的网络连接,包括宿主主机和蜜罐上通过互相ping对方的IP地址测试网络连通性,经测试网络连通性正常。在Honeynet网关上监听ICMPping包是否通过外网口和内网口。tcpdump-ieth0icmptcpdump-ieth1icmp通过测试后,说明虚拟机蜜罐和外部网络之间的网络连接(通过Honeynet网关eth0和eth1所构成的网桥)没有问题。对Honeynet网关的远程管理进行测试,需要使用SecureCRT软件,远程ssh连接Honeynet网关管理口,经过测试表示该虚拟Honeynet可用。
随着校园信息化水平的快速提高,教务管理、学籍管理、成绩管理、宿舍管理、网络大学等信息化产品层出不穷,独立的软件集成在一起,各自软件开发的语言不通,导致校园网络自身存在很大的缺陷,降低了校园网安全性能。
1.2入侵手段越来越智能
目前,校园网用户计算机专业技术水平不同,导致用户使用网络的过程中,携带的病毒、木马种类越来越多,并且随着黑客的手段越来越高,病毒、木马区域智能化,潜伏周期更长,更具隐蔽性,破坏性也越来越大。
1.3校园网络管理制度不健全,管理模式简单
网络应用发展迅速,网络管理制度不健全,管理模式较为单一,也同样导致学校的校园网用户安全意识淡薄,导致许多接入校园网络的终端存在很多病毒和木马,并且非常容易被黑客利用,攻击整个网络。
二、网络安全主动防御系统
2.1主动防御系统模型
目前,网络安全主动防御模型包括三个方面,分别是管理、策略和技术,可以大幅度提高网络的入侵防御、响应能力。
(1)管理。
校园网管理具有重要的作用,其位于安全模型的核心层次。网络用户管理可以通过制定相关的网络安全防范制度、网络使用政策等,通过学习、培训,提高网络用户的安全意识,增强网络用户的警觉性。
(2)策略。
校园网安全防御策略能够将相关的网络技术有机整合,优化组合在一起,根据网络用户的规模、网络的覆盖范围、网络的用途等,制定不同等级的安全策略,实现网络安全运行的行为准则。
(3)技术。
校园网防御技术是实现网络安全的基础,校园网主动防御技术包括六种,分别是网络预警、保护、检测、响应、恢复、反击等,能够及时有效地发现网络中存在的安全威胁,采取保护措施。
2.2主动防御技术
校园网主动防御技术可以有效地检测已经发生的、潜在发生的安全威胁,采取保护、响应和反击措施,阻止网络安全威胁破坏网络,保证网络安全运行。
(1)预警。
校园网预警技术可以预测网络可能发生的攻击行为,及时发出警告。网络应包括漏洞预警、行为预警、攻击趋势预警、情报收集分析预警等多种技术。
(2)保护。
校园网安全保护是指采用静态保护措施,保证网络信息的完整性、机密性,通常采用防火墙、虚拟专用网等具体技术实现。
(3)检测。
校园网采用入侵检测技术、网络安全扫描技术、网络实时监控技术等及时检测网络中是否存在非法的数据流,本地网络是否存在安全漏洞,目的是发现网络中潜在的攻击行为,有效地阻止网络攻击。
(4)响应。
校园网主动响应技术能够及时判断攻击源位置,搜集网络攻击数据,阻断网络攻击。响应需要将多种技术进行整合,比如使用网络监控系统、防火墙等阻断网络攻击;可以采用网络僚机技术或网络攻击诱骗技术,将网络攻击引导到一个无用的主机上去,避免网络攻击造成网络瘫痪,无法使用。
(5)恢复。
校园网攻击发生后,可以及时采用恢复技术,使网络服务器等系统提供正常的服务,降低校园网网络攻击造成的损害。
(6)反击。
校园网反击可以采用的具体措施包括病毒类攻击、欺骗类攻击、控制类攻击、漏洞类攻击、阻塞类攻击、探测类攻击等,这些攻击手段可以有效地阻止网络攻击行为继续发生,但是反击需要遵循网络安全管理法规等。