校園網安全管理

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇校園網安全管理范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

校園網安全管理范文第1篇

關鍵詞：校園網 網絡安全 管理 規劃

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2012）09-0176-01

校園網是滿足學校信息化教學環境的一項重要的基礎設施，是教育信息化建設的重要組成部分，是廣大師生順利接受現代遠程教育的依托網絡，也是教育現代化的重要標志之一。因此，保障網絡的暢通就被提到了一個重要的位置，網絡安全管理也就理所當然的成為了重中之重。

1、統籌兼顧，科學管理

1.1 宏觀調控，科學管理

以太網拓撲結構主要有總線型、星型、環型、網狀型、樹型。總線型拓撲所有的站點都鏈接在同一電纜上，很難進行錯誤診斷和網絡隔離，電纜上的一處故障可能會導致整個網絡癱瘓；星型拓撲結構有一個中心控制點，連接簡單，故障檢測和隔離方便，網絡訪問協議簡單，服務方便，成本低、易于管理、容易擴展，我校網絡是以圖書館網絡中心為中心點，向周圍建筑物輻射，所以校園網拓撲結構主體采用星型拓撲結構。

1.2 放眼長遠，選型合理

技術和設備選型不僅要考慮滿足當前需要，還要考慮未來校園網絡發展和應用變化，同時更要考慮自身的實際需求。根據我校的實際情況，在選擇交換機的時候，只選擇了一個三層交換機，其他的則選擇了一般的交換機；網線則選了兩種，室內用的選擇一般五類線，室外則用較好的超五類線。

1.3 周密計劃，配置合理

網絡是一個系統，要通盤考慮網絡的各種資源配置，使其互相匹配，避免顧此失彼的情況出現。因此需要制定完備的計劃。我校的網絡按照建筑位置，統一劃分為16個子網，分別是信息中心服務器子網、圖書館子網、行政樓子網、主教學子網、C教學樓子網、B教學樓子網等。

2、安全至上，防患于未然

2.1 精心規劃好VLAN

采用虛擬局域網技術（VLAN）。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。使用VLAN具有以下優點：（1）控制廣播風暴，一個VLAN就是一個邏輯廣播域，通過對VLAN的創建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。（2）提高網絡整體安全性，通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同的VLAN中，從而提高交換式網絡的整體性能和安全性。

根據校園網的具體情況，為了達到信息流量的控制，并提供良好的安全性，通過對網絡邏輯結構進行分析和合理劃分，采用基于端口VLAN技術對校園內部網絡不同部門之間進行邏輯隔離，同時抑制廣播風暴。根據學校具體建筑物分布情況，共設置為16個VLAN，分別是各科室VLAN、辦公室VLAN、多媒體教室VLAN、信息技術教室VLAN和服務器VLAN等。

2.2 構筑網絡城墻，防范病毒入侵

網絡病毒是指病毒突破網絡的安全性，傳播到網絡服務器，進而在整個網絡上感染，危害極大。校園網絡的安全必須在整個校園網絡內形成完整的病毒防御體系，建立一整套網絡軟件及硬件的維護制度，對操作系統和網絡系統軟件采取安全保密措施。為了實現在整個內網杜絕病毒的感染、傳播和發作，我們學校在服務器安裝了硬件防火墻netscreen204。教師機、多媒體計算機上安裝了瑞星殺毒軟件網絡版，對病毒進行定時的掃描檢測及漏洞修復，定時升級文件并查毒殺毒，并在校園網網絡中心網站上及時公布感染病毒的類型及預防措施，做到早發現，是處理，早解決，使整個校園網絡有一個干凈、安全的使用環境。

2.3 修補網絡安全漏洞

對于非專業人員，他們無法確切了解和解決服務器系統和整個網絡的安全缺陷及安全漏洞問題，這時，需要借助第三方產品的幫助，及時發現安全隱患，提出相應的安全解決方案。360安全衛士漏洞修復程序還是不錯的，能夠自動檢測計算機的系統漏洞，可以對多個漏洞同時進行修補，在實際應用中，可以節省許多時間。

2.4 過濾有害信息

對于校園網來說，一套綜合的網絡管理和信息過濾相結合的系統，實現對用戶訪問互聯網時進行有害信息的過濾和管理是必要的。

現在學校正在使用深信服AC1850上網行為管理與審計網關設備過濾有害信息。使用中看來，對于網頁中彈出的一些文字廣告、圖形廣告等能夠有效控制，對非法、能夠及時自主關閉。目前看來，效果不錯。

2.5 提高防范意識

大量的安全事件表明：缺乏安全意識是導致事件發生的重要因素之一。因此還需要把安全意識提到議事日程上來。就校園網而言，在做好技術防護的同時，加強校園網的安全教育，提高安全意識，掌握使用安全工具的能力，提高遵守相關安全制度的自覺性，對于維護網絡的安全也是非常重要的。

（1）向用戶講解互聯網的基本知識，使用戶了解到互聯網給人們帶來方便的同時也帶來了更為不安全的因素，這種不安全性是互聯網的歷史原因造成的，我們一時間還不能完全避免。（2）能夠掌握殺毒軟件、防火墻軟件的設置和使用。（3）接收電子郵件時打開殺毒軟件的實時監控功能。（4）不要擅自改動機器的IP地址，雖然經常更改機器的IP地址可以防止木馬類程序的攻擊，可是這不是有效的途徑，這樣會造成IP地址的混亂，影響網絡的正常運作，我們應該借助有效的工具軟件來查殺木馬程序，做好防范措施。（5）精選綠色網站。瀏覽網站時盡量去那些名氣大、流量大的網站，因為它們的安全性一般是很好的。因為有些網站往往在你剛登錄上去，你的機器就可能已經染上了病毒；網頁里的腳本可以執行你硬盤上的程序；有時當你瀏覽某些網頁時，瀏覽器會自動下載某類文件，這是很危險的；有的網頁通過CGI程序就能竊取你硬盤上的資料等等，所以瀏覽網頁時要有選擇性。

校園網安全管理是一個長期艱巨的任務，我們需要不斷探索和努力，才能夠讓整個教育系統跨入信息時代，作為網管我們應該更加努力工作，認真思考，為建立信息化校園做出貢獻。

參考文獻

[1]什么是VLAN，小新技術網（）.

[2]基于VLAN技術的校園網安全研究，中國論文下載中心.

校園網安全管理范文第2篇

一、物理要素

物理安全是整個校園網系統安全的前提。在校園網籌劃設計階段就應重點考慮防雷、防塵、防潮、阻燃、抗靜電、降噪、防盜等物理安全要素，關鍵設備如路由器、主干交換機、服務器等設備盡量實行集中管理；各種通信線路盡量實行深埋、穿線，并有明顯標記，防止無意損壞；終端設備，如工作站、小型交換機、無線設備和其它轉接設備要落實到人，進行嚴格管理。

作為學校網絡系統的核心所在，網絡中心機房安全性應該是最高的，因為在其中不僅集中了整個校園網絡的關鍵設備，而且它還是整個校園網絡正常運行的核心、校園數據中心和管理中心。對于如此重要的工作場所，許多學校沒有引起足夠的重視，如機房建設不規范，配套設施缺失，機房管理不到位，有的甚至允許師生隨意進入、任意登陸核心設備，這些給整個校園網安全管理帶來巨大的威脅，極易使整個校園網受影響，陷入癱瘓、崩潰狀態。因為即使登陸不了核心設備，但只要把某些網線搞一搞、電源動一動就可能釀成嚴重的安全事件。

加強網絡設備和機房的日常管理，此類物理安全風險，是可以規避的。如利用門禁系統杜絕無關人員出入機房、定期除塵保潔、完善設備和用戶檔案，又如南方雷雨天，盡可能拔掉與網絡設備相連的線路，尤其是樓宇間的懸空線纜，從這些日常細節做起，就能最大程度地保護校園網絡的物理安全，減少損失。

二、使用者要素

師生是校園網中最活躍的主體，其網絡行為規范管理不到位，勢必將影響整個網絡安全。

1.客戶端的安全措施

校園網絡是以為師生服務為中心的系統。一個合法的師生用戶在自己的終端可以執行各種操作。管理人員可以通過對用戶的權限分配，限定用戶的某些行為，以規避故意的或非故意的某些破壞。然而，更多的安全措施必須由使用者自己完成，比如密碼問題，師生須對自己密碼的安全性、保密性負責。

2.使用者的安全意識

有一個例子，有個學生沒有事情干了，就打開網上鄰居，看看網絡有什么資源開放著，結果發現一個文件，他打開一看，居然是學校招生的黑名單，于是他將這個名單公布在網絡中，一下子就傳遍了整個Internet，導致了很多的麻煩和問題。從這個簡單的事件可以看出，由于安全意識的淡薄，只圖便利，導致了信息外泄。筆者多次對區域內學校進行了掃描檢測，發現了大量的網絡安全漏洞，其中不少是圖便利造成的。如某學校Ftp服務器，無須帳號密碼，就能輕松進入，進一步測試，發現這個空間竟給匿名用戶開放了包括寫入的所有權限。這樣的“裸機”，能有安全性可言嗎？也許某個時刻，空間上的所有資源全被刪了，或者不該公開的信息被泄露出去，再或者被人有刻意上傳了不良信息。事后得知，該校多數教師和學生認為應用網絡就是圖方便，人為設置帳號密碼，操作麻煩，同時認為學校也無信息，學校網絡管理員盲從，開放了所有權限。

3、使用者的版權意識

由于缺乏版權意識，盜版軟件、影視資源在校園網中普遍使用，這類文件的傳輸一方面占用了大量的帶寬，另一方面，從網絡上隨意下載的文件中可能隱藏木馬、后門等惡意代碼，帶來了一定的安全風險。如微軟公司對盜版XP操作系統的更新作了限制，安裝盜版系統的計算機今后會留下大量的安全漏洞。

三、技術要素

1.操作系統和網絡應用

常用的操作系統，無論是Windows還是Unix幾乎都存在或多或少的安全漏洞，其后門也不可避免的存在，可以這樣講：沒有完全安全的操作系統。但是可以對現有的操作平臺進行一些安全策略配置、對操作和和訪問權限進行嚴格控制，以提高系統的健壯性。

網絡應用也是影響校園網安全的一個重要要素。Ftp服務、Mail服務、視頻服務等應用越來越多地在校園網內發揮著積極的作用，伴隨著應用，安全涉及面也越來越廣，安全管理的任務也越來越重。以最常見的校園網站為例，學校在建立網站的時候考慮最多的是網站內和宣傳效果，網站代碼的安全，很容易被忽視了。許多教師通過簡單的學習和培訓就可以利用ASP等語言建立動態管理的網站，而這些非專業人員設計的網站，很少對網站代碼編寫規范進行安全檢測，從而暴露出數據庫的真實參數，導致網站容易受到攻擊。

2.網絡攻擊與入侵

網絡安全與網絡攻擊是網絡中永恒的主題，網絡無時無刻不發生上萬次的攻擊，特別是當校園網絡對社會開放后，只要接入互聯網的用戶或校園網內部人員都可以對校園網絡設備進行攻擊，而當黑客入侵服務器，就可能會導致主頁被篡改，數據丟失，產生負面影響。筆者曾在內網邊界架設了清華得實入侵檢測系統，一年時間內，入侵檢測偵聽記錄數據顯示共發生了1146，6443次入侵報警（極少誤報），即平均每分鐘就要發生21.01次入侵行為，可以說校園網遭受的來自內網、外網的掃描和攻擊無可避免，網絡攻擊與入侵無時不在。

內網攻擊尤值得關注。許多學生在掌握了基本的計算機和網絡知識的基礎上，逐漸將之應用于其他學科的學習，充分發揮了這一先進工具的作用。但是學生對網絡世界充滿好奇，有些學生會嘗試使用學到的、甚至自己研究的各種攻擊技術，可能對學校內網造成一定的影響和破壞。筆者所在區域內一所學校網站主頁內容異樣，后確認是校內一名小學生所為，其目的就是炫耀自己高超的技術，以達到心理的滿足。

四、管理要素

“三分技術、七分管理”，管理是校園網絡安全中最重要的的部分。目前相關網絡與信息安全管理的法律法規已，學校網管中心也有各自的安全管理制度，但學校網絡中心難以對師生的一些違規操作作出相應的執行力度，只能以告知或警示為主。而學校領導關注的更多的是教學質量，注重的是消防、交通等傳統安全，這導致下級人員在落實時不徹底，貫徹時不堅決，執行時不到位。

學校網絡安全管理工作離不開懂技術、懂管理、懂教育的復合型技術人員，從管理和實踐經驗看，校園網安全工作的重中之重還是提升管理員的安全管理能力和責任心。如何培養好學校網管員，充分激發他們的主觀能動性，打造一個有著美好遠景的職業規劃，是一項重要的課題。

五、經濟要素

校園網安全管理范文第3篇

關鍵詞：校園網；維護；應用

當今校園網絡的安全應急措施，測試與維護已經成為現代教育技術部門函待解決的問題。網絡的普及使得網絡安全問題層出不窮，各種攻擊的泛濫使得網絡狀態頻出，校園網是具有教學活動、科研活動、管理活動以及對外交流等的校園內局域網，由此高校校園網絡安全已被提上重要日程。網絡具有共享性及開放性的原則，怎樣加強高校校園網絡安全，預防網絡出現不安全因素并進行測試與維護已成為目前各高校安全管理校園網的關鍵。

1 當今高校校園網存在的安全問題

伴隨著各大高校生源規模的日益擴大，原址學校的建設以及跨校區建設的情況層出不窮，使得校園網的規模日益擴大，高校校園網使用網絡不夠規范，網絡監控難，網絡使用地點不夠集中等現象加大了網絡安全使用的難度，當下，校園網存在的安全問題普遍有以下幾種：①校園網硬件設備存在問題較多；②網絡病毒的感染；③黑客的入侵行為頻繁；④管理及不良信息的泛濫。

2 高校校園網管理制度存在安全問題

伴隨高校招生規模的擴大，多校區發展等，出現了網絡規模不斷擴大，監控困難，上網地點極為分散，上網行為不夠規范等現象，因此加大了校園網絡使用中的隱患。當前，高校校園網絡普遍存在安全隱患。

2.1 二級網站管理不夠，甚至出現空白現象

高校網絡管理不僅是對BBS進行管理，還對校園網主站進行管理，還包括對學校的二級部門以及各大社團的網站進行管理。目前，二級網站管理中出現很多問題：不存在二級網站的審批制度或者審批制度不夠嚴格，責任人和分管的人不夠明確，二級網站完成后管理未跟進，網站或BBS的不良信息泛濫甚至失控，一些比較有害的信息后期才會被發現。因此，對校園網加強監控力度非常重要。

2.2 校園網安全管理的模式不科學

現在有部分高校由網絡中心或宣傳部門承擔網站信息安全工作，這樣的管理不到位，在面對突發性事件時難以有效處理，日常管理有阻：還有學校采取多部門聯合管理的方式，但是極不科學，分工不明確。各部門有自己的規章制度，在涉及本部門的管理中對工作分塊進行管理，而多部門負責監管時出現相互扯皮的現象抑或出現管理中的矛盾致使有害不良信息處理不及時或者出現處理時的矛盾，使得不良信息擴散加重。

2.3 管理制度不健康管理人員素質低

網絡安全管理內容出現很多問題，網絡安全管理制度也需要不斷更新和修訂，一些高校重視度不夠，會出現制度“空白”現象，這使得網絡管理者處理問題時找不到依據，影響了正常工作。同時，由于網絡信息內容安全工作是一項新興工作，很多學校沒有形成一支專業的管理團隊，一些學校放手交由學生管理校園論壇、網站，造成管理者處理問題時往往感情用事，不夠專業。網絡信息內容安全隱患大，效率不高.

3 校園網的網絡安全管理

校園網絡故障有以下幾方面：線路不通，路由器故障，基本上是由于路由配置錯誤而引起主機故障，主要是因為主機的IP地址配置不合理或存在安全方面隱患：網卡故障，電源故障，供電超載，主要是由于參數設置不當以及驅動不能正常發揮作用等。

3.1 網絡安全管理的實施

高校校園網絡安全涉及到很多方面要采用合理先進的技術，需要很多技術密切配合，如防火墻技術、加密技術和防黑客技術等。

3.2 解決網絡設置問題

第一，對流量進行分析，幫助管理者了解各種占用網絡帶寬的比例，從而便于發現故障所在。第二，對網絡進行監測，例如IP地址沖突，如設置出錯，Net BIOS名設置錯誤、設備無響應等。

3.3 對網絡安全管理分析

線纜作為傳輸信息的介質，可以把它比作為網絡的動脈，它將網絡設備連接起來，所有通信信號都是通過線纜傳輸的，由于帶寬需求的升高，線纜傳輸的可靠性變得越來越重要。網絡的安全管理，首先，線纜的檢測不僅是線纜的通斷、插頭連接好壞的問題，而且還包括許多電氣指標。如何選擇網路線纜的質量可靠，這就需要檢測過程不僅僅是線纜的插頭通斷連接的好壞，而且還包括很多電氣指標，例如衰減、近端串擾等。

高校校園網存有的安全隱患，大量計算機沒有及時進行安全維護以及網絡系統的測試內容不明晰，這就需要從大的方面入手，通過分析校園網的整體安全性，探討校園網的安全防護策略問題及校園網的測試問題，采取強有力的防范措施進行處理，做到知己知彼，百戰不殆，充分認識到校園網絡不安全的地方。要對校園網的安全防護和性能測試進行長期研究，這才對正確使用校園網具有重要的現實意義。

參考文獻

[1]萍利.基于J2EE WEB服務的統一身份認證系統的設計與實現[J].電子設計工程，2012，20（24）：35―37.

校園網安全管理范文第4篇

論文摘要：隨著網絡技術發展和人類對網絡依賴性增強，網絡安全問題日益突出。特別是校園網絡的通訊安全已經威脅到了廣大師生的正常工作和學習，校園網絡安全已經成為當前各校園網絡建設中迫在眉睫的問題。

1 引言

目前，網絡應用的焦點問題是網絡通訊安全問題。其主要表現在信息泄露、信息篡改、非法使用網絡資源、非法信息滲透、假冒等方面。在Intemet上網絡系統既要開放，又要安全，以至于從技術方面講安全問題是整個互聯網技術里較為困難的問題。從lnternet的角度看，對網絡的威脅主要來自于網絡硬件和軟件兩方面的不安全因素。一方面，電磁泄露、搭線竊聽、非法人侵、線路干擾、意外原因、病毒感染、信息截獲等。另一方面，操作系統本身的問題，各種應用服務存在安全問題。特別是近年來學校網絡安全問題日益嚴重，已經嚴重威脅到廣大師生的使用安全，因此，我們要加強校園網絡的安全管理。

2 校園網網絡結構簡介

校園網總體上分為校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等 校園外網主要指學校提供對外服務的服務器群、與CERNET的接入以及遠程移動辦公用戶的接入等。校園外網的服務器群構成了校園網的服務系統．一般包括DNS、WEB、FFP、PROXY以及MAIL服務等。外部網實現了校園網與CERNET及INTERNET的基礎接入，使學校教職工和學生能使

用電子郵件和瀏覽器等應用方式．在教學、科研和管理工作中利用國內和國際網進行信息交流和共享。

3 校園內網絡通訊安全的主要威脅

校園網常見的風險威脅主要是校園網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內網；外來的系統對網絡及服務器發起DOS／DDOS攻擊，入侵等惡意破壞行為，有些計算機已經被攻破，用作黑客攻擊的工具；拒絕服務攻擊目前越來越普遍，不少開始針對重點高校的網站和服務器；校園網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅。

這些威脅主要表現在：

3.1黑客

黑客是網絡上的一個復雜群體，他們以發現和攻擊網絡操作系統的漏洞和缺陷作為樂趣，利用網絡通訊安全的脆弱性進行非法活動，如修改網頁，非法進入主機破壞程序，竊取網上信息，進行電子郵件騷擾，阻塞網絡和竊取網絡用戶口令等。

3.2計算機病毒

計算機病毒已成為很多黑客入侵的先導，是目前威脅網絡通訊安全的重大禍首．它的侵入在嚴重的情況下會使網絡系統癱瘓，重要數據無法訪問甚至丟失。

3.3拒絕服務

拒絕服務是指導致系統難以或不可能繼續執行任務的所有問題，它具有很強的破壞性，“電子郵件炸彈”、“垃圾郵件”等，就是一些典型的例子．用戶受到它的攻擊時，在很短的時間內收到大量的電子郵件，從而使用戶系統喪失功能，無法進行正常工作。

通過以上校園網的三種威脅，我們可以更深入的分析其原因，主要有以下幾點：

(1)校園網內的用戶數量較大，局域網絡數目較多。校園網的速度快和規模大。少則數千人、多則數萬人。正是由于高帶寬和大用戶量的特點，網絡安全問題一般蔓延快、對網絡的影響比較嚴重；

(2)校園網中的計算機系統管理比較復雜。校園網中的計算機系統的購置和管理情況非常復雜，比如學生宿舍中的電腦一般是學生自己花錢購買、自己維護的。有的則是統一采購、有技術人員負責維護的，有的則是教師自主購買、沒有專人維護的。這種情況下要求所有的端系統實施統一的安全政策(比如安裝防病毒軟件、設置可靠的口令)是非常困難的。由于沒有統一的資產管理和設備管理。出現安全問題后通常無法分清責任。更有些計算機甚至服務器系統建設完畢之后無人管理，甚至被攻擊者攻破作為攻擊的跳板、變成攻擊試驗床也無人覺察；

(3)活躍的用戶群體。學校的學生通常是最活躍的網絡用戶。

對網絡新技術充滿好奇，勇于嘗試。如果沒有意識到后果的嚴重性．有些學生會嘗試使用網上學到的、甚至自己研究的各種攻擊技術．可能對網絡造成一定的影響和破壞：

由于以上各種原因導致校園網既是大量攻擊的發源地，也是廣大攻擊者最容易攻破的目標。

4 網絡通訊安全的管理策略

4.1通過技術手段實現網絡安全

運用學校計算機網絡在技術上實現網絡系統的安全管理，確保網絡系統的安全、可靠地運行，如實行個人網訪問控制、網絡權限控制、網絡監測和鎖定控制、服務器的安全控制、防火墻和殺毒軟件結合進行安全控制等技術控制非法用戶對目錄、文件和其他網絡資源的訪問。校園網計算機網絡系統管理員對網絡系統進行網絡監控，網絡服務器應記錄用戶對網絡資源的訪問。對非法的網絡訪問，服務器應以文字、圖形或聲音等形式報警來提醒網絡管理員。如有非法黑客企圖攻擊、破壞網絡系統，網絡服務器應實

(上接第720頁)

施鎖定控制，自動記錄企圖攻擊網絡系統的次數，達到所設定的數值，該賬戶將被自動鎖定，確保網絡安全。

同時校園計算機中心應加強內部管理，建立事件的審計和跟蹤體系，提高整體信息安全意識。應由專人負責管理服務器或網絡設備，其他工作人員未經允許不得隨意更改配置；對服務器或網絡設備的操作應建立詳細的日志，減少內部工作人員的誤操作而弓l起的故障。對于學生，應加強網絡方面法律、法規的教育，提高學生的法律意識，防止出現破壞網絡安全的違法行為。

4.2建立一整套安全防護體系

4.2.1防火墻

防火墻是設置在不同網絡之間的一系列軟硬件的組合，它在校園網與Intemet網絡之間執行訪問控制策略，決定哪些內部站點允許外界訪問和允許訪問外界。從而保護內部網免受外部非法用戶的入侵。同時防火墻是預防黑客攻擊，病毒入侵的重要屏障。防火墻的建立提供了對網絡流量的可控過濾，以限制訪問特定的因特網端口號，而其余則被堵塞，這一點要求它必須是唯一的人口點。用來阻止未經認證的外部登錄。這就是防火墻與路由器是一個整體的原因。

4.2.2端口控制機制

計算機服務器使用自動回呼設備、調制解調器對端口加以保護。并以加密的形式來識別節點的身份。外部用戶對校園網進行訪問時。端口對其進行身份探查，當確定其身份和法后才允許訪問校園網。

4.2.3加密技術

在外部網絡的數據傳輸過程中，采用密碼技術對信息加密是最常用的安全保護手段。目前廣泛使用的有對稱算法和非對稱算法兩類加密算法，兩種方法結合使用。加上數字簽名、數字時間戳、數字水印及數字證書等技術，可以使通信安全得到保證。

4.2.4封鎖系統安全漏洞

在發現新病毒或因系統安全漏洞威脅網絡安全時。應當及時提供各種補丁程序以便下載．許多操作系統和應用軟件也在不斷更新版本以修正錯誤或完善功能．對于校園網管理過程中，要及時下載和安裝各種補丁、升級程序，封鎖系統安全漏洞。這樣對保護網絡和信息系統的安全會起到很大作用，可以有效的防止一些“黑客”因為操作系統和各種應用軟件的設計漏洞對校園網資源進行非法訪問和有關操作。

4.3建立用戶管理制度

在保證學校教職工和廣大學生用戶合法權力的同時，限制非法用戶入侵，保證數據的安全，特別應制定和做好身份驗證和訪問授權限制。為了識別并證實用戶，系統可給合法用戶提供唯一的用戶標識符，提供一種驗證手段，來驗證登錄的用戶是不是真正的擁有該用戶標識符的合法用戶。也可通過口令、卡片密鑰、簽名或指紋來實現，通過身份驗證確保用戶機與服務器的相互身份。

總之，校園網絡安全是一個涉及多方面的系統工程，必須全面協調地運用各種防范技術手段，加強對人與物的管理，才能達到預期的目的，為學校建設多作貢獻。建立一個安全、穩定、高效的校園系統，是各大校園競相努力的目標。

參考文獻：

[1]龔靜.計算機網絡安全策略的探討[J].福建電腦,2004,5:18-l9.

[2]張公忠.統代網絡技術教育[M].電子工業出版社出版,2004.

[3]王彥波.計算機網絡安全系統[J].信息技術,2003,1(27):15-16.

校園網安全管理范文第5篇

本論文最終建立了適應獨立學院網絡安全管理的體系模型及應用模式,為校園網絡中所存在的嚴重安全問題提出一種思路及解決辦法。

關鍵詞:校園網 網絡安全 管理體系

Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.

eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.

Key Words:campus network、Network Security、management system

上述三個系統在應用中,基本搭建起學校的整個電子資源,其中校務管理系統最為重要,此系統一但癱瘓意味著學校將基本停止正常運行。然而隨著互聯網技術的發展,黑客的攻擊手段日益先進。單一的技術手段無法保證系統的安全運行,只有在安全策略的指導下,建立互動的安全防范體系,才能最終保證網絡的安全,保證系統穩定運行。

構建網絡安全管理體系模型

一般而言,各學校目前普遍采用PDRR模型來構建安全防御體系。PDRR模型屬于動態信息安全理論的模型,PDRR是4個英文單詞的頭字符:Protection(防護)、Detection(檢測)、Response(響應)、Recovery(恢復)。這四個部分構成了一個動態的信息安全周期,如圖:

該模型更多的強調通過防火墻、IDS以及VPN等技術來解決校園網絡中存在的安全問題,重點在于安全應用技術,同時沒有形成體系和防御層次,并忽視了兩個重要的安全因素,安全管理與大流量數據擁堵造成的網絡安全問題。

為能夠更加有效的保證網絡及各類應用的安全運行,安全管理體系的設計應突出網絡安全的整個流程,從用戶的發起端到校園網絡的INTERNET出口,在數據流傳輸的各個環節進行了分布式的安全防范,同時輔以入侵檢測、漏洞掃描、流量管理的多種技術手段,加以監控并降低設備不必要的運行壓力,保證網絡系統穩定運行。在各個環節中,以策略為中心的安全模型可以更充分的發揮模型的各項功能。以安全策略為中心的輪形安全模型,可以從安全、監測、測試、調優、流控五個部分對我們的安全架構進行不斷的完善,使其成為一個自防御體系,能夠快速、有效、可靠、全面的發現各種系統遭受的攻擊,并實現有效的防范,以確保系統的穩定運行。

在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了高效校園網絡安全管理體系。

針對于上述的安全架構,在具體的應用中,安全體系架構包含二個模塊:分別為校園互聯網接入模塊、校園園區網模塊,二個安全構件組成信息系統的安全架構。這種結構劃的設計,有利于在不同的網絡功能模塊之間更好的劃分安全防范的重點,并具有良好的擴展型,允許在今后的網絡安全規劃中,以一種層次的關系來分發安全策略。

安全模塊的設計特點

校園INTERNET接入模塊

校園INTERNET接入模塊主要是預防INTERNET攻擊的第一道門戶,是防范INTERNET上黑客攻擊的最主要屏障。因此,它的設計思想是以最少的策略,實現最嚴格的限制與最少的漏洞,同時保證最快的轉發速度。

校園園區網模塊

校園園區網是內部網的核心,保護著包括內網用戶、重要服務器的安全。園區網由一臺防火墻、兩臺互為冗余的主干交換機、內部應用服務器與樓層交換機、IDS模塊組成。在防火墻上根據用戶、服務進行詳細的分類,并針對每一個服務訪問做到具體的策略應用,園區網上防火墻的安全配置要求對每個訪問做到具體、全面、嚴格的限制,為每個用戶都劃分了訪問的具體范圍,它作為安全防護的中心。

安全架構的檢測

完成基本架構的搭建,為了保證各項安全措施能夠滿足防御要求,采用了多種方式進行系統的模擬安全檢測。

(1) 使用兩種漏洞掃描軟件對系統進行測試,SYMANTEC NETSTAT、及SSS軟件進行比較安全測試;

(2) 在防火墻的不同位置,TRUST、UNTRUST、DMZ、DMZ1等區域對包括網絡設備、主機系統進行了模擬攻擊;

在一個完整的校園安全管理體系中,各個部分之間的分工清晰,相互協作,在具體應用中可以很好的應用在實際的管理模塊上。這種方式將簡單、高效的布置校園網絡的安全,為校園網絡的運行及信息化建設奠定良好的安全基礎。

北京理工大學珠海學院校園網安全管理體系部署

北京理工大學珠海學院(以下簡稱珠海學院)自2004年建校以來,珠海學院已擁有在校生15000人,校園網絡經歷了6年的建設,信息點已達20000個,建成了內網骨干帶寬為20G,珠海學院外網帶寬600M,校內包括教務系統、網絡教學平臺、一卡通系統等各類應用已達40個,網絡用戶已達12500人左右。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

安全策略

珠海學院各應用服務器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,數據庫服務器采用LINUX操作系統,使用的應用軟件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,網絡情況、應用環境十分復雜。針對上述問題,在建網初期,即制定了相應的安全管理近期與長期目標。安全體系的近期目標是實現完善的安全審計和取證機制,保證受到入侵后有證可查。鑒于大多數安全事件來自于管理員的誤操作,審計在明確事故責任上也能發揮重大作用。長期目標是建立安全預警系統,能夠抵御較高水平的黑客攻擊。

分布式安全防范措施

分布式防范措施是從用戶端到INTERNET出口之間進行層層設防,部署不同的安全技術和措施,從技術方面杜絕出現安全問題的舉措。在珠海學院的網絡上,我們采取了下列措施:

(1)限定網絡用戶的不同vlan。(2)實行802.1x的認證協議。(3)網絡用戶安全管理。(4)網絡用戶隔離。(5)網間設備數據傳輸安全。(6)交換機ip與用戶ip分別管理。

(7)防止木馬的管理方式。(8)設置應用的不同安全等級。(9)服務器的安全管理。

(10)VPN訪問。(11)系統恢復。

漏洞掃描

珠海學院在漏洞掃描工具上采用的是俄羅斯Shadow Security Scanner軟件,在安全掃描市場中享有速度最快,功效最好的盛名,其功能遠遠超過了其它眾多的掃描分析工具。SSS 可以對很大范圍內的系統漏洞進行安全、高效、可靠的安全檢測,對系統全部掃面之后,SSS可以對收集的信息進行分析,發現系統設置中容易被攻擊的地方和可能的錯誤,得出對發現問題的可能的解決方法。

在珠海學院的網絡管理中,定期對各個主要的交換機、服務器進行安全掃描,以為下一步的安全管理提供依據。

入侵檢測

珠海學院的入侵檢測系統布置,分為兩個層次,首先為NIDS,主要啟用防火墻的IDS模塊功能;

另外,啟用HIDS功能及在服務器上安裝個人防火墻設置,珠海學院采用的是MICROSOFT ISA2004。

為了檢測有害的入侵者,ISA Server將網絡通信以及日志項與熟知的攻擊方法進行比較。如發現可疑的行為會觸發一組預先設定的措施或者警報。這些措施包括終止鏈接、終止服務、電子郵件警報、記入日志、以及運行一個選定的程序。

流量管理

由于P2P技術的廣泛應用,目前大多數網絡用戶都采用P2P技術的網絡工具進行諸如下載、視頻、聽歌等服務,如迅雷、QQ直播、酷狗等,這些軟件的優點是充分利用互聯網絡,為用戶提供豐富的資源。應該說P2P技術的快速發展帶動了互聯網絡的快速發展,讓用戶能夠更加便捷的使用互聯網上的資源。

但P2P技術對于網絡管理與運營來說是一種嚴重的挑戰,一方面P2P技術過于貪婪,最大化的利用網絡帶寬進行下載。在珠海學院建網初期,申請的100M互聯網帶寬在沒有任何限制的情況下,僅有120多用戶就占滿了所有的下行帶寬,對校園網絡運營影響極大(帶寬租用價格較貴)。而且下載的很多資源內包含有大量的木馬、病毒程序,對網絡的安全運行造成了極大的影響。在珠海學院校園網絡運行初期,很多問題是圍繞著帶寬、速度產生的。P2P應用軟件的廣發使用對校園網絡設備帶來了極大的壓力,根本無從保證校園網絡的穩定運行和安全管理。

經過不斷的摸索,珠海學院在控制P2P應用中重點采用了三種措施:

(1)限制用戶的帶寬:對于單個用戶ip,通過防火墻對用戶進行帶寬管理,為每個用戶保證一條相對固定的通道,而不去影響其它用戶的上網;

(2)限制用戶的連接數:每個服務都是通過TCP或者UDP進行的數據通信,通過防火墻對單個用戶ip進行連接數的限制,從而限制諸如迅雷、p2p等貪婪占用通道的工具,以保證網絡線路的通暢;

(3)限制或封閉P2P協議的總帶寬:P2P協議之所以難以管理,主要是由于這種技術在使用過程中的服務端口可以隨機的變化,管理者根本無法確定服務的端口號,也就無法通過傳統的設備進行限制和禁止。但任何協議都有自己的特征碼,我們通過技術手段對P2P協議的特征進行匹配從而控制這種協議的軟件。但考慮到這種軟件應用的廣泛性,僅對這種軟件限制總體流量而并不完全封閉。

安全管理

安全管理貫穿于安全防范體系的始終。實踐一再告訴人們僅有安全技術防范,而無嚴格的安全管理體系相配套,是難以保障網絡系統安全的。必須制定一系列安全管理制度,對安全技術和安全設施進行管理。實現安全管理必須遵循可操作、全局性、動態性、管理與技術的有機結合、責權分明、分權制約及安全管理的制度化等原則。

2004年珠海學院校園網絡建立后,我們形成了初步的安全管理制度,但在運行過程中,發現存在有很多的問題。校園網絡建立初期,設立網管負責全校的校園網絡管理、設立了系統管理員負責全校的應用服務器管理,但實際上雖然人員角色明確,但人員任務并不明確。比如,網管人員管理所有的網絡設備,但具體的學生用戶上網情況并不是十分了解,對存在的問題不是非常清晰。而作為系統管理員并不十分清楚服務器所安裝的具體應用軟件要求,往往是由應用管理人員對系統進行維護,但又經常忽視系統的安全性。

針對上述問題,我們制定了以業務為主導的管理模式,將校園網絡分為兩片,宿舍區網絡、教學區網絡,分別由專人進行管理,但網絡路由統一由教學區管理,以保證網絡的穩定、暢通性。而應用系統部分分為公共基礎服務、校務管理系統、網絡教學系統分別由三個專職人員負責維護、管理,并有一人總負責,檢查、督促工作的完成情況。

這種管理方式讓具體管理人員對于自身管理系統的問題十分清楚,從而保證了整個網絡安全體系的動態性和有效性。

運行效果

經過對校園網絡的一系列調整、改造,珠海學院的校園網絡運行得到了極大的改善,我們從以下幾個方面來評定:

網絡基本流量對比

珠海學院學生用INTERNET線路共計有3條,2條200M電信帶寬,1條100M網通帶寬。三條線路分別連接在3臺防火墻上,分別為3.1,3.10,4.1。下列圖為對前2臺防火墻的INTERNET接口進行的數據取樣。

如圖所示,每到高峰期時,200M帶寬基本上已經全部占滿,

用戶網絡運行穩定

珠海學院網絡運行時間為8:00-24:00,其余時間斷網,下表即位珠海學院上網用戶的信息統計。如表所示,一天之中在中午與晚上分別為兩個最高峰的運行值,用戶在線率高,網絡帶寬消耗也相應提升。

網絡運行穩定

珠海學院網絡分為辦公網絡(教學樓部分)與學生網絡(生活區部分),為了保障系統的安全,這兩個部分之間的網絡作了相應的策略控制,只能通過服務器進行數據交換。每天,網管對兩部分網絡進行監控各自的運行狀態,以及時了解網絡中可能出現的問題。

下圖分別描述了位于教學區與生活區部分網絡設備的運行狀況。(測試工具為SolarWinds 2001 Enhanced Ping)

基本服務運行正常

通過對所有流經網絡管理器的數據包進行監控,分析得到網絡中各種協議的運行情況及流量狀態。該監控囊括了網絡上所有協議的定義,分作傳統協議、P2P下載、網絡電視、即時通信、流媒體、網絡電話、網絡游戲、股票交易、網絡安全這些監控模塊,直接體現了網絡上各種協議的應用情況。

服務器系統運行穩定

通過對主要服務器的系統狀態監控,了解CPU、內存、SWAP等的運行狀態及各服務進程的運行狀態,確定服務器的是否正常。

3 結語

校園網絡作為校園信息系統的基礎網絡平臺,網絡的安全、穩定運行是保證各項業務平穩運行的基礎保障,必須建立起一套可行的、有機的安全管理體系,根據學校的實際特點進行有效的部署。從北京理工大學珠海學院校園網絡安全體系的建立中,我們積累了一些基礎,并在此基礎上,本文提出了在PDRR基礎上,以安全策略為核心,以安全技術為支撐,以安全管理作為落實手段,建立了校園網絡安全管理體系。

參考文獻

康弗瑞.網絡安全體系結構.北京:人民郵電出版社,2005年.15-21.

戴英俠.計算機網絡安全.北京:清華大學出版社,2004年.89-131.

曾湘黔.防火墻與網絡安全-入侵檢測和VPNs.北京:清華大學出版社,2004年.

W.RICHARD STEVENS. TCP/IP詳解 卷1:協議 .機械工業出版社,2000年.

W..RICHARD STEVENS.TCP/IP詳解 卷2:實現TCP/IP .機械工業出版社,2000年.

W.RICHARD STEVENS. TCP/IP詳解卷三:TCP事務協議.機械工業出版社,2000年.

張小斌,嚴望佳.黑客分析與防范技術.北京:清華大學出版社,2003.82-91.

張仕斌,譚三等.網絡安全技術.北京:清華大學出版社,2004.87-121.

段鋼.加密與解密(第三版).電子工業出版社,2008.

曹元大,薛靜鋒,祝烈煌,閻慧.入侵檢測技術.人民郵電出版社,2007.