【转】探讨校园局域网安全解决方案(Study of campus LAN security solutions)

发布:admin | 发布时间: 2011年12月15日

（韩多龙，河北正定中学，河北石家庄）
（HAN DUO-long，HeBei ZhengDing Middle School，ShiJiaZhuang HeBei，050800，China ）
摘要：随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，学校在教育教学很大程度上依赖于网络，数据、信息的不安全性同时也暴露出来，很多时候学校的一些信息或者被删除、丢失，校园网内经常有大规模的病毒出现，因此，校园网络必须有足够强的安全措施，无论是公众网还是校园网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，本文主要从五个安全层面考虑来保护校园网的安全，这样才能确保网络信息的保密性、完整性和可用性。
Abstract：With the wide use of computer networks and network information transmission between the rapid growth of the quantity, the school education is largely dependent on the network, data, information security has also exposed, many times the school some information or deleted, lost, the campus network often have large-scale virus appeared, therefore, the campus network must have a strong enough safety measures, whether the public network or campus network, the network security measure should be able to address the full range of a variety of threats and vulnerabilities, this article mainly from the five aspects of safety to protect the safety of campus network, so as to ensure that the network of information confidentiality, integrity and availability。
关键词：校园网；安全；网络
Key words：Campus LAN；Security；Network
分类号：TP393.08
随着学校教育信息化的不断发展，计算机及网络规模越来越大。现在我校已有计算机1200多台，交换机、路由器等网络设备将近100台，家属院网络也由我校网络中心接入，网络接点更是很多，2006年我校新校区从主校区接入Internet网络，而且以后规模将逐渐增大，因此网络硬件、软件安全问题已显得十分突出。现从如下几个方面进行考虑：
1、物理安全
1.1、网络中心设备安全
网络中心已安装防盗网，建议外窗也安装上，平时注意窗户和门的上锁，定期对网络中心和服务器进行整理和保养，防止服务器受潮和灰尘的污染，定期对电线及各种线路进行检查，以免发生电源故障，平时还要注意防火和防雷，保障机房的安全。
1.2办公楼、图书馆等各个交换点的安全
对办公楼、图书馆及各个教学楼的网络设备进行定期检查，对数量进行清查，定期清扫设备，线路进行整理，防止出现漏电现象的发生；家属院的网络设备每学期进行检查，更要注意上锁，保障设备的安全，还要检查各网络节点，以防止外部环境进入我校网络。
2、网络层安全
我校已有上千台机器，随着网络的不断增大，需要对网络进行划分，划分成多个网络及网络分出不同的等级，还要对各个网络之间进行访问控制。
2.1划分多个子网
我校现已划分18个虚拟局域网，主要分为办公楼1个、各个教学楼1个、电教楼和图书馆及后勤3个、学生机房3个、备课室3个、家属院2个、新校区5个，这样可以防止网络广播风暴的发生，还可以在各个vlan之间进行网络层访问控制。
2.2加强各个网络之间的访问控制
在中心交换机上对校园网内各个vlan只允许必要的协议通过，对于具有威胁性或者易受病毒感染的协议和端口进行屏蔽；对服务器vlan进行重点设置，只开放必要的端口；在路由器上进行一些设置，对学生教室和机房进行有效控制；还要注意学校内网与Internet之间的访问控制，在路由器和外网之间加上防火墙，对外部的内容进行过滤，这样可有效地解决一些外网对我校的攻击。
2.3定期对网络安全进行检测
现在互联网病毒日益泛滥，黑客攻击较多，每天要查看中心交换机、路由器的运行情况，提供快速响应故障的手段，同时还可以具备较好的安全取证，消除网络隐患；定期对交换机和路由器做出备份，以在发生灾难性破坏时对系统进行恢复，保障校园网的正常运行。
3、系统安全
3.1服务器端系统安全
现在服务器分为win2003和win2000操作系统，服务器划分为独立的Vlan，由于各个服务器承担了不同的功能和资源，对服务器要做出相应的安全策略，对于win2003系统做出防火墙策略。只开放服务器及软件相应的功能和端口，防止黑客的攻击和病毒的感染，如果出现恶意攻击及时向领导部门汇报。定时对服务器进行漏洞扫描，及早发现隐患，定时升级和打补丁，以及打好各个软件的补丁。还要注意密码的保护和设置，对服务器整个系统进行备份。
3.2客户端系统安全
我校现已达到每人一台计算机，加上各科室计算机，数量较多，这样要求每台计算机使用机主和科室的拼音名字，以防止重名，而且能够快速查出网络故障和安全隐患的根源，有效的控制了对于整个网络造成的影响。
4、软件安全
4.1服务器资源安全
我校拥有WWW、FTP、CNKI、校信通等多个服务器资源，对于有数据变化的资源，要做到每天对数据库进行备份。服务器资源的访问，也要做到不同等级的控制，对于对外公布的WWW服务，每天要注意网页内容，对于反动、不安全因素及时删除，以免造成不良影响。除WWW、FTP以外所有资源只允许校内访问，对于有后台管理页面的只允许管理员进行访问，以防止程序和资源的破坏。
4.2杀毒软件的安装
服务器端定时对杀毒软件进行升级，每台计算机要求安装、运行瑞星杀毒软件，对杀毒软件进行防病毒安全策略设置，每天对计算机进行杀毒汇总，及时注意流行病毒的发作，对于一些流行病毒要及时找出专杀工具，放置学校主页上供客户端下载，防止我校大规模病毒传染，保障校园网网络的正常运行。
4.3帐号和密码保护
首先是服务器帐号、密码，设置要复杂，符合密码安全设置要求，只允许微机调教组管理员拥有，注意密码的保密，并且每学期对服务器密码进行修改。其次是ftp应用，由于我校ftp使用量较大，并且对外发布，对于ftp有管理权限的帐号和密码不能公布于网上，现在很多老师的帐号和密码设置过于简单，建议重新设置密码，或者经常修改，防止黑客进行漏洞攻击，造成数据的丢失。对于网页和软件后台管理的帐号和密码，只允许管理员拥有，需要其他非专业老师知道的，使他的权限和功能降低至最低，以免发生误操作。
5、管理层安全
5.1网络中心管理制度
网络中心由专人负责，非网管人员不得随意进入，在网络中心内不得随意安装其它电气和非服务器工作站。对网络的核心资源实行备份保护(含硬件、软件、数据)，存放核心资源的场所要有严密的安全保障措施。未经网络中心许可，各部门不得对现有网络(包括网络设备和软件配置)随意改动。加强对有权限进入网络工作的人员的管理，对网络口令实行分权分级别管理，同级别的口令不得互用，要定期对口令进行修改并备案存档。
5.2网络设备及软件的管理
随着我校网络网络设备不断增多，对于网络设备只允许网络管理员进行管理，管理员需掌握每个网络设备的安装地点和相关配置，对于施工和其他维修人员必须有一位管理员陪同或协助进行管理，在期间注意密码及资料的保密。
在软件光盘管理方面，必须严格其使用和借出程序，只允许管理员进行使用，并且在学校范围内，平时还要注意软件的维护和保养，对一些操作系统和软件正版盘做出备份。
以上从多个层次来构造我校局域网安全解决方案，需要强调的是，网络安全是一个系统工程，不是单一的产品或技术可以完全解决的。这是因为网络安全包含多个层面，既有层次上的划分、结构上的划分，也有防范目标上的差别。在层次上涉及到物理层的安全、网络层的安全、传输层的安全、应用层的安全等；在结构上，不同节点考虑的安全是不同的；在目标上，有些系统专注于防范破坏性的攻击，有些系统是用来检查系统的安全漏洞，有些系统用来增强基本的安全环节（如审计），有些系统解决信息的加密、认证问题，有些系统考虑的是防病毒的问题。任何一个产品不可能解决全部层面的问题，这与系统的复杂程度、运行的位置和层次都有很大关系，因而一个完整的安全体系应该是一个由具有分布性的多种安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。用户需要根据自己的实际情况选择适合自己需求的技术、产品、安全解决方案。
参考文献：
[1]李寿廷. 计算机网络安全技术[J]才智, 2009,(12) .
[2] 虞坤源. PLC控制技术在横排头闸门控制中的应用[J]安徽水利水电职业技术学院学报, 2009,(02) [3] 严有日. 论计算机网络安全问题及防范措施[J]赤峰学院学报(自然科学版), 2010,(03) .