陳 輝

(淮南職業(yè)技術學院, 安徽淮南232001)

?

校園網(wǎng)安全策略與應用

陳 輝

(淮南職業(yè)技術學院, 安徽淮南232001)

[摘 要]校園網(wǎng)絡系統(tǒng)是學校的日常教學管理和科研管理的必備基礎設施,校園網(wǎng)的安全、可靠、快捷,成為學校教學、科研、管理中的重要支柱,校園網(wǎng)網(wǎng)絡安全是現(xiàn)代高校面臨的共同威脅,通過校園網(wǎng)的合理規(guī)劃、規(guī)范規(guī)章制度、配置硬件防護措施、合理規(guī)劃訪問權限、配置校園網(wǎng)主機和客戶端的網(wǎng)絡安全策略,保障校園網(wǎng)網(wǎng)絡安全。

[關鍵詞]校園網(wǎng); 安全策略; 防火墻

現(xiàn)代高校教育趨向無紙化、信息化、分散和集中化、模塊化和多媒體化等,校園網(wǎng)絡系統(tǒng)是學校的日常教學管理和科研管理的必備基礎設施,校園網(wǎng)的安全、可靠、快捷,成為學校教學、科研、管理中的重要支柱。校園網(wǎng)的健康運行直接影響到學校的正常運轉(zhuǎn),如何讓校園網(wǎng)在高校的教學、管理、科研中充分發(fā)揮其重要的作用,如何保障其高效、安全、穩(wěn)定、健康地運行,已成為一個突出問題。所以,采取必要的網(wǎng)絡安全防范控制策略與措施是校園網(wǎng)安全建設的根本。

一、校園網(wǎng)網(wǎng)絡安全現(xiàn)狀分析

校園網(wǎng)在學校教學管理中的作用日益突出,其存在的問題也越來越引起重視,合理構(gòu)建安全體系結(jié)構(gòu),改善網(wǎng)絡應用環(huán)境才能擔負起學校的發(fā)展。當前,校園網(wǎng)網(wǎng)絡常見的安全隱患有以下幾種。

(一)物理設備的問題

校園網(wǎng)的逐步發(fā)展中,不可避免地產(chǎn)生網(wǎng)絡體系結(jié)構(gòu)的更新、網(wǎng)絡設備的更換、各節(jié)點和通信鏈路的安全性能的提高等一系列問題,這些隱患威脅著校園網(wǎng)的安全,某一環(huán)節(jié)的損壞,可能造成整個網(wǎng)絡的癱瘓。

(二)計算機系統(tǒng)漏洞

校園網(wǎng)的各個終端或多或少地使用盜版WINDOWS系統(tǒng),該系統(tǒng)在為用戶提供方便的同時,給校園網(wǎng)也帶來各種安全隱患,各種漏洞和病毒的交叉感染可能在某一時刻造成校園網(wǎng)信息泄露、帶寬占用或網(wǎng)絡局部癱瘓。

(三)計算機病毒的破壞

計算機病毒是校園網(wǎng)的破壞者,單機病毒會破壞文件、感染系統(tǒng)、占用資源或造成系統(tǒng)癱

瘓,影響正常教學管理;局域網(wǎng)病毒會發(fā)布網(wǎng)絡欺騙,破壞網(wǎng)絡的正常運行,使網(wǎng)絡效率下降或癱瘓網(wǎng)絡。

(四)惡意攻擊

校園網(wǎng)和外網(wǎng)鏈接給師生員工提供服務的同時也面臨有意無意的攻擊,校園網(wǎng)主機和網(wǎng)絡隨時處于被攻擊的狀態(tài),主要有計算機系統(tǒng)漏洞、計算機病毒的破壞、校園網(wǎng)內(nèi)部的攻擊等時刻有意無意的攻擊校園網(wǎng)系統(tǒng),干擾校園網(wǎng)的安全運行。

二、校園網(wǎng)網(wǎng)絡安全策略

制定嚴格合理的規(guī)章制度,根據(jù)自身特點,配置合理的網(wǎng)絡安全策略,能有效地避免錯誤,保障校園網(wǎng)的健康運行。

(一)制定明確的規(guī)章制度

制定校園網(wǎng)安全管理制度并嚴格執(zhí)行,對單機、網(wǎng)絡鏈路、網(wǎng)絡節(jié)點和主機的使用原則和安全管理規(guī)范做詳細規(guī)定,本著誰使用誰負責,誰管理誰監(jiān)督,杜絕人為破壞和避免無意損壞。

(二)物理設備安全保護

優(yōu)化校園網(wǎng)的拓撲結(jié)構(gòu),節(jié)點和網(wǎng)絡通訊線路安裝避雷設施和設置提示標語,避免自然災害和人為損壞。

(三)合理配置網(wǎng)絡安全策略

1.防火墻技術

防火墻是校園網(wǎng)的門戶,合理配置防火墻既可以保障校園網(wǎng)的流暢運行,又能保障校園網(wǎng)的安全。

端口映射規(guī)則。端口映射又叫端口轉(zhuǎn)發(fā),防火墻根據(jù)實際應用要求,把合法地址端口轉(zhuǎn)換成內(nèi)網(wǎng)網(wǎng)絡端口,為內(nèi)網(wǎng)提供服務,一般把合法的地址按應用要求分別設置成提供不同的服務,把對外服務的端口映射成內(nèi)網(wǎng)地址相應端口,既可以保護主機安全,又不影響服務的使用。

包過濾規(guī)則。包過濾規(guī)則就是在防火墻上配置規(guī)則,高校根據(jù)自身需求設置相應規(guī)則,規(guī)范校園網(wǎng)訪問安全,即當防火墻接收到訪問要求時,把接收到的訪問包和自己的規(guī)則庫匹配,匹配成功的放行,匹配不成功的拒絕,從而保護校園網(wǎng)安全。

IP映射規(guī)則。IP映射就是在防火墻的外部出口上綁定多個合法IP地址,再通過地址轉(zhuǎn)換技術把地址分別分配給內(nèi)部不同的服務器,當發(fā)生訪問時,防火墻先把訪問包轉(zhuǎn)發(fā)到內(nèi)部相應IP的服務器上,然后再將該內(nèi)部服務器響應包偽裝成該合法IP發(fā)出的包。

NAT規(guī)則。NAT規(guī)則是針對校園網(wǎng)自身公網(wǎng)IP資源,將外部網(wǎng)的公有IP地址和端口號與內(nèi)部網(wǎng)絡的私有網(wǎng)絡IP地址及端口號相互映射,從而隱藏校園網(wǎng)主機,校園網(wǎng)主機和內(nèi)部網(wǎng)絡只響應防火墻放行的訪問,從而保護服務器和校園網(wǎng)的網(wǎng)絡安全。

2.網(wǎng)絡入侵檢測技術

入侵檢測技術是通過從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息并對其進行分析,如果從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,就做出自動的響應。

3.防病毒技術

隨著計算機應用的深入發(fā)展,計算機病毒也越來越多,危害越來越嚴重,對計算機病毒的防護越發(fā)重要。單機病毒防護,安裝正版殺毒軟件,定期升級病毒庫;局域網(wǎng)病毒,學院校園網(wǎng)各節(jié)點處,配置網(wǎng)管交換機,把各客戶端Mark地址和IP地址綁定,IP地址和交換機端口綁定,一旦發(fā)現(xiàn)局域網(wǎng)病毒,可及時切斷單機或本段網(wǎng)絡,避免病毒廣泛傳播,有效杜絕arp病毒地址欺騙[1]。

4.訪問控制技術

訪問控制技術就是通過使用規(guī)則限制,保證網(wǎng)絡資源不被非法使用和非法訪問[2]。配置入網(wǎng)訪問控制策略,根據(jù)用戶需求分配用戶或用戶段能夠獲取到的服務器的網(wǎng)絡資源;配置不同用戶的權限控制策略,指定用戶和用戶組可以訪問的目錄、子目錄、文件和其它資源;配置目錄安全控制策略,配置用戶對目錄、文件、設備的訪問權限;配置服務器安全控制策略,預防非法用戶修改、刪除重要信息或破壞數(shù)據(jù)。

5.漏洞掃描技術

通過漏洞掃描軟件檢測單機和網(wǎng)絡的安全漏洞,安裝補丁軟件,保障單機和網(wǎng)絡的安全。

6.數(shù)據(jù)備份和恢復技術

針對校園網(wǎng)數(shù)據(jù),按照其價值劃分類別,并配置相應的安全等級保護;配置數(shù)據(jù)備份策略,對不同安全等級的數(shù)據(jù)采用相應的備份策略,一旦系統(tǒng)遭到攻擊或因自然因素導致數(shù)據(jù)的破壞或丟失,災難恢復可以最大程度恢復系統(tǒng)和數(shù)據(jù),保證系統(tǒng)的可用性。

7.虛擬專用網(wǎng)

對于不同校區(qū)的校園網(wǎng)的內(nèi)網(wǎng)數(shù)據(jù)的安全傳輸,可以在公共通道線路上使用虛擬專用網(wǎng)技術,既保障數(shù)據(jù)的安全性,又可以把公共通訊通道當內(nèi)網(wǎng)使用。

8.VLAN設置

校園網(wǎng)按照網(wǎng)絡使用的具體情況和將來的發(fā)展,對校園網(wǎng)劃分了VLAN。配置VLAN的訪問控制策略,規(guī)范VLAN中的成員之間能否相互通信。根據(jù)校園網(wǎng)自身的特點,劃分不同訪問權限的VLAN,可以保障校園網(wǎng)信息安全;可以將校園網(wǎng)廣播風暴遏制在本VLAN的范圍之內(nèi),其他VLAN用戶不受影響;節(jié)約了網(wǎng)絡帶寬,提高了帶寬利用率;方便校園網(wǎng)管理和維護。

參考文獻:

[1] 謝宗仁.木馬原理分析與實現(xiàn)[M].濟南:山東大學出版社,2009.

[2] Andrew,Tanenbaum.計算機網(wǎng)絡[M].熊貴喜,譯,北京:清華大學出版社,2000.

[3] 陳輝.談小型校園網(wǎng)站的建設[J].淮南職業(yè)技術學報,2004(1):90-92.

[4] 陳輝.高職校園網(wǎng)絡安全防范對策[J].淮南職業(yè)技術學院學報,2009(1):117-119.

[5] 李平原.泛在知識環(huán)境下高校圖書館服務模式的構(gòu)建[J].淮南職業(yè)技術學院學報,2015(6):80-82.

文獻類型和標志代碼

[作者簡介]陳輝(1976-),男,安徽淮南人,副教授,從事計算機信息安全工作,電話:0554-6656770。

[基金項目]淮南職業(yè)技術學院教研項目(項目編號:HJX14-2);安徽省省級質(zhì)量工程項目“泛在知識環(huán)境下高校圖書館學科服務模式創(chuàng)新研究“(項目編號:2014jyxm483)

[收稿日期]2016-01-11

[中圖分類號]TP393.18

[文獻標識碼]A

[文章編號]1671-4733(2016)01-0014-03

DOI:10.3969/j.issn.1671-4733.2016.01.004