第一篇:朱舜堅(jiān) 校園網(wǎng)安全論文
湖南第一師范學(xué)院 畢業(yè)論文(設(shè)計(jì))題目 學(xué)生姓名學(xué)號(hào) 指導(dǎo)教師系(部)專業(yè)班級(jí)完成時(shí)間
校園網(wǎng)安全 朱舜堅(jiān) 03090130846 余麗群 信息科學(xué)與工程系 08通信一班 2011年4月5日
目錄
第1章 緒論..........................................................................................................3 第2章
校園網(wǎng)安全............................................................................................4
2.1 校園網(wǎng)概述............................................................................................4 2.2 校園網(wǎng)安全現(xiàn)狀分析............................................................................5 2.3 校園網(wǎng)安全威脅....................................................................................6 第3章
校園網(wǎng)安全措施....................................................................................9
3.1 校園網(wǎng)安全管理......................................................................................9 3.2 校園網(wǎng)安全措施..................................................................................10 第4章
校園網(wǎng)安全系統(tǒng)設(shè)計(jì)..........................................................................10 4.1 校園網(wǎng)建設(shè)需求分析..........................................................................10 4.2 技術(shù)方案..............................................................................................13 4.3 校園網(wǎng)的運(yùn)行......................................................................................26 4.4 校園網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)庫的不安全因素......................................................28 結(jié)束語..................................................................................................................28 參考文獻(xiàn)..............................................................................................................28
校園網(wǎng)安全
摘要:校園網(wǎng)的安全十分重要,它承載著學(xué)校的教務(wù)、行政、后勤、圖書資料、對(duì)外聯(lián)絡(luò)方面的事務(wù)處理。網(wǎng)絡(luò)安全是任何計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)必須解決的重要問題,校園網(wǎng)建設(shè)應(yīng)把網(wǎng)絡(luò)管理與安全放在突出地位,對(duì)網(wǎng)上信息提供多層次的、基于策略的安全保護(hù)措施。
關(guān)鍵字:安全產(chǎn)品;INTERNET接入方式;校園網(wǎng)威脅;
第1章 緒論
隨著網(wǎng)絡(luò)的高速發(fā)展,網(wǎng)絡(luò)的安全問題日益突出,近年來,黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光,國家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在高校網(wǎng)絡(luò)建設(shè)的過程中,由于對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足,普遍都存在“重技術(shù)、輕安全、輕管理”的傾向,隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),關(guān)鍵性應(yīng)用的普及和深入,校園網(wǎng)從早先教育、科研的試驗(yàn)網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò),校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色,作為數(shù)字化信息的最重要傳輸載體,如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問題。
隨著教育信息化的不斷推進(jìn),各高等院校都相繼建成了自己的校園網(wǎng)絡(luò)并連入互聯(lián)網(wǎng),校園網(wǎng)在學(xué)校的信息化建設(shè)中扮演了至關(guān)重要的角色。但必須看到,隨著校園網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),尤其是校園網(wǎng)絡(luò)所面對(duì)的使用群體的特殊性(擁有一定的網(wǎng)絡(luò)知識(shí)、具備強(qiáng)烈的好奇心和求知欲、法律紀(jì)律意識(shí)卻相對(duì)淡漠),如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問題,解決網(wǎng)絡(luò)安全問題刻不容緩。
第2章 校園網(wǎng)安全
網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安
共28頁第1頁
全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)的生命在于其安全性。因此,在現(xiàn)有的技術(shù)條件下,如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系,就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。
網(wǎng)絡(luò)的發(fā)展極大地改變了人們的生活和工作方式,Internet更是給人們帶來了無盡的便捷。我們的教育也正朝著信息化、網(wǎng)絡(luò)化發(fā)展,隨著“校校通”工程的深入開展,許多學(xué)校都投資建設(shè)了校園網(wǎng)絡(luò)并投入使用。校園網(wǎng)絡(luò)在我們的校園管理、日常教學(xué)等方面正扮演著越來越重要的角色。但是,在我們驚嘆于網(wǎng)絡(luò)的強(qiáng)大功能時(shí),還應(yīng)當(dāng)清醒地看到,網(wǎng)絡(luò)世界并不是一方凈土。“網(wǎng)絡(luò)天空(Worm Netsky)”、“高波(Worm Agobot)”、“愛情后門(Worm Lovgate)”及“震蕩波(Worm Sasser)”等病毒,使人們更加深刻的認(rèn)識(shí)到了網(wǎng)絡(luò)安全的重要性。因此,在現(xiàn)有的技術(shù)條件下,如何構(gòu)建相對(duì)可靠的校園網(wǎng)絡(luò)安全體系,就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。
網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。2.1 校園網(wǎng)概述
信息技術(shù)已引起了全面而深刻的社會(huì)變革,為此,世界各國政府都對(duì)教育的發(fā)展給予了前所未有的關(guān)注,把信息化教育放到重要的位置上,紛紛提出了本國的信息化教育規(guī)劃。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個(gè)有決定性意義的問題,而且十分重要的是,學(xué)校應(yīng)該處于影響整個(gè)社會(huì)深刻變革的中心地位。因此校園網(wǎng)信息系統(tǒng)的建設(shè),是非常必要的,也是可行的。主要表現(xiàn)在:
1、當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動(dòng)態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段,發(fā)展對(duì)學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。
2、教育信息量的不斷增多,使各級(jí)各類學(xué)校、家庭和教育管理部門對(duì)教育信息計(jì)算機(jī)管理和教育信息服務(wù)的要求越來越強(qiáng)烈。
3、我國各級(jí)教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級(jí)學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運(yùn)行的軟件及多媒體系統(tǒng),并且越來越形象化、實(shí)用
共28頁第2頁
化,迫切需要網(wǎng)絡(luò)環(huán)境。
4、現(xiàn)代教育改革的需要。
5、計(jì)算機(jī)技術(shù)的飛速發(fā)展,使相應(yīng)產(chǎn)品價(jià)格不斷下降;同時(shí)人們的認(rèn)識(shí)水平和經(jīng)濟(jì)實(shí)力不斷提高。大量計(jì)算機(jī)進(jìn)入學(xué)校和家庭,使得計(jì)算機(jī)用于教育信息管理和信息服務(wù)是完全可行的。2.2 校園網(wǎng)安全現(xiàn)狀分析
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用,這對(duì)加快信息處理、提高工作效率、實(shí)現(xiàn)資源共享都起到了無法估量的作用,但在積極發(fā)展辦公自動(dòng)化、信息電子化、實(shí)現(xiàn)資源共享的同時(shí),網(wǎng)絡(luò)的安全問題越來越成為一個(gè)非常嚴(yán)重的隱患,就好像一顆定時(shí)炸彈一樣,深深的埋在教育現(xiàn)代化的進(jìn)程中,如果這一個(gè)隱患不除,那么也許有一天,學(xué)校信息平臺(tái)服務(wù)器遭到攻擊而停止工作、整個(gè)校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了,導(dǎo)致辛苦積累的大量教育資源被破壞。比如2003年暴發(fā)的“震蕩波”、“沖擊波”、“FORMA”等病毒,雖沒有造成很大的損失,但足以使人民認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性。因此,如何在現(xiàn)有的條件下避免這樣事件發(fā)生,搞好網(wǎng)絡(luò)的安全工作已成了一個(gè)重要課題。
1997年開始,我國校園網(wǎng)絡(luò)建設(shè)悄然興起。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。
1999年9月,教育部決定正式啟動(dòng)國家現(xiàn)代遠(yuǎn)程教育工程,清華大學(xué)、浙江大學(xué)、北京郵電大學(xué)、湖南大學(xué)等高校獲準(zhǔn)進(jìn)行試點(diǎn)。目前,這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。
各校在實(shí)踐中逐漸意識(shí)到:一所學(xué)校教育質(zhì)量的好壞,學(xué)術(shù)水平層次的高低,與教學(xué)手段的先進(jìn)程度有一定關(guān)系,教學(xué)手段對(duì)學(xué)校整體的發(fā)展有著直接影響。
在世界各發(fā)達(dá)國家,校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。現(xiàn)代教育的實(shí)施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。如美國要求所有中小學(xué)生都能上網(wǎng),都能使用電子郵件,并計(jì)劃將全國122所一流大學(xué)與社會(huì)廣泛連接,構(gòu)筑一個(gè)教育與研究的專用網(wǎng)絡(luò);英國提出要在2000年成立網(wǎng)上工業(yè)大學(xué),到2002年所有中小學(xué)、圖書館、學(xué)院和大學(xué)全部介入全國的學(xué)習(xí)網(wǎng);新加坡提出八歲兒童能閱讀,十二歲兒童能上網(wǎng)。
共28頁第3頁
1996年,教育部提出要以全國1000所中小學(xué)校作為試點(diǎn),建立起各自的校園網(wǎng)絡(luò)。截止2000年年初,教育部宣布有500多家已建立。可以說,在國家政策扶持下,我國校園網(wǎng)建設(shè)取得了飛速發(fā)展。但現(xiàn)實(shí)中,各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題,如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃,從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢,或是導(dǎo)致后期整體效率不高;有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員,將項(xiàng)目交給一些實(shí)力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé),結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低,后期維護(hù)費(fèi)用偏大;還有的學(xué)校認(rèn)為校園網(wǎng)就是“一攬子”計(jì)劃,忽視了后期維護(hù)和配套建設(shè)工作,從而導(dǎo)致后期預(yù)算偏緊,校園網(wǎng)難以正常運(yùn)作。為了解決上述問題,在建網(wǎng)時(shí)應(yīng)注意:
1、校園網(wǎng)建設(shè)沒有通用方案,每個(gè)學(xué)校應(yīng)根據(jù)自身實(shí)際情況(資金和技術(shù)能力),設(shè)計(jì)自身的校園網(wǎng)絡(luò)。
2、校園網(wǎng)建設(shè)是一個(gè)周期較長(zhǎng),規(guī)模龐大的系統(tǒng)工程,不能“一蹴而就”,更不能只考慮局部建設(shè),而缺乏整體規(guī)劃。
3、重視對(duì)教師的培訓(xùn),避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高,從而導(dǎo)致資源的浪費(fèi)。
隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長(zhǎng),一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí),其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復(fù)制,數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。
校園網(wǎng)也同樣不能幸免。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生,非法更改考試成績(jī);更改英語全國四、六級(jí)統(tǒng)考成績(jī);更改考研成績(jī);非法盜取學(xué)校招生、分配機(jī)密等。
綜上所述,網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是公眾網(wǎng)還是校園網(wǎng)中,網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。2.3 校園網(wǎng)安全威脅
1、計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。當(dāng)程序運(yùn)行時(shí),嵌入的病毒也隨之運(yùn)行并感染其它程序。計(jì)算機(jī)病毒種類繁多,形形色色,但就已經(jīng)發(fā)現(xiàn)的計(jì)算機(jī)病毒而言,其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏
共28頁第4頁
性和激發(fā)性幾大特征。
破壞性是指計(jì)算機(jī)病毒可能會(huì)干擾軟件的運(yùn)行,或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行,又或者毀掉部分?jǐn)?shù)據(jù)或程序,使之無法恢復(fù),甚至可以毀壞整個(gè)系統(tǒng),導(dǎo)致系統(tǒng)崩潰。傳染性則是計(jì)算機(jī)病毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在.而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計(jì)算機(jī)病毒可以長(zhǎng)時(shí)間地潛伏在文件中,在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并不影響計(jì)算機(jī),但當(dāng)被觸發(fā)后,則后果嚴(yán)重。激發(fā)性是指病毒程序可以按照沒計(jì)者的要求,例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。
計(jì)算機(jī)病毒的傳染性證明其具有傳播性,防止病毒傳播,首先必須認(rèn)識(shí)其傳播途徑和傳播機(jī)理。計(jì)算機(jī)病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時(shí)候的病毒傳播還是線下傳播。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,計(jì)算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。
病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計(jì)算機(jī)網(wǎng)絡(luò)。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都存在著一定的缺陷,尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。因此,網(wǎng)絡(luò)病毒利用軟件的破綻和研制時(shí)因疏忽而留下的“后門”大肆發(fā)起攻擊。
2、網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。
廣義的網(wǎng)絡(luò)攻擊包括很多方面。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn),重點(diǎn)介紹拒絕服務(wù)(DoS,Daniel of Service)攻擊。之所以介紹拒絕服務(wù)攻擊,因?yàn)榫芙^服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大,為拒絕服務(wù)攻擊提供了天然條件。加之學(xué)生的好奇心的因素,導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高,是危害校園網(wǎng)安全的重要類型之一。
拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備,導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。
拒絕服務(wù)攻擊的方法多樣。攻擊者在發(fā)起攻擊時(shí),可能采取單一手段的攻擊模式,也可能采取多種攻擊手段聯(lián)合使用的模式。就其攻擊手段來說,主要有以下幾種:
(1)死亡之Ping。早期的網(wǎng)絡(luò)不支持大包,攻擊者通過網(wǎng)絡(luò)發(fā)送大量的數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò),造成網(wǎng)絡(luò)堵塞以致癱瘓。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包,共28頁第5頁
這種方式已經(jīng)不再出現(xiàn)。
(2)淚滴攻擊。攻擊者采用修改包片段字頭的方式,使得包無法正確組裝,導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。
(3)UDP洪水攻擊。攻擊利用如chargen和echo等簡(jiǎn)單的TCP/IP服務(wù)。相互發(fā)送大量數(shù)據(jù)以占滿帶寬,從而癱瘓網(wǎng)絡(luò)的方式。
(4)SYN洪水攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的SYN握手信息,以達(dá)到癱瘓服務(wù)器的攻擊方式。
(5)LAND攻擊。該攻擊是讓服務(wù)器自己向自己發(fā)送SYN握手信息,已達(dá)到癱瘓主機(jī)的目的。
(6)Smurf攻擊。攻擊者將報(bào)文地址設(shè)為Echo地址,這樣Echo78地址就必須不簡(jiǎn)短地響應(yīng)該報(bào)文,使得網(wǎng)絡(luò)帶寬被侵占,從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。
(7)Fraggle攻擊。Fraggle攻擊對(duì)Smurf攻擊做了修改。
(8)電子郵件炸彈。通過向一臺(tái)服務(wù)器大量的不間斷的發(fā)送電子郵件,起到癱瘓服務(wù)器的作用。
(9)急性消息攻擊。借助機(jī)器對(duì)某些消息為進(jìn)行錯(cuò)誤校驗(yàn)來攻擊服務(wù)器。(10)分布式拒絕服務(wù)攻擊。它是威力最強(qiáng)大的拒絕服務(wù)攻擊方式,其主要采用多臺(tái)服務(wù)器對(duì)同一網(wǎng)絡(luò)同時(shí)發(fā)起攻擊,導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。
常見的拒絕服務(wù)攻擊主要有以上幾種,攻擊者攻擊目的和攻擊水平不同,選用的方式不同。無論哪種方式,都對(duì)網(wǎng)絡(luò)安全造成很大的危害。、存在的安全隱患。以我校為例,校園網(wǎng)絡(luò)存在的安全隱患和漏洞有:
(1)計(jì)算機(jī)與Internet相連,卻沒有安裝相應(yīng)的殺毒軟件及防火墻。(2)使用的操作系統(tǒng)存在安全漏洞,網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞,校園網(wǎng)絡(luò)又對(duì)社會(huì)開放,這樣一來只要接入INTERNET的用戶就可以對(duì)校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊,而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的,加上帶毒的木馬程序,一感染便駐留在你的計(jì)算機(jī)當(dāng)中,在以后的計(jì)算機(jī)啟動(dòng)后,木馬就在機(jī)器中打開一個(gè)服務(wù),通過這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞。
(3)目錄共享導(dǎo)致信息的外泄,在校園網(wǎng)絡(luò)中,利用在對(duì)等網(wǎng)中對(duì)計(jì)算機(jī)中的某個(gè)目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個(gè)方法。但可以說幾乎所有的人都沒有充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后,就不光是校園網(wǎng)內(nèi)的用戶
共28頁第6頁
可以訪問到,而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。這也成了數(shù)據(jù)資料安全的一個(gè)隱患。本人曾經(jīng)搜索過外地機(jī)器的一個(gè)C類IP網(wǎng)段,發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái),而且許多機(jī)器是將整個(gè)C盤和D盤進(jìn)行共享,并且在共享時(shí)將屬性設(shè)置為完全共享,且不進(jìn)行密碼保護(hù),這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤,就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。因而對(duì)目錄共享安全意識(shí)的單薄,會(huì)導(dǎo)致信息的外泄。
(4)網(wǎng)絡(luò)安全意識(shí)淡薄,校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器,盜用他人帳號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮,本校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試,而其中一大部分的非法訪問源自校內(nèi),說明校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡薄。另外,沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度,各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn),這也是網(wǎng)絡(luò)安全問題泛濫的一個(gè)重要原因。由此可見,構(gòu)筑具有必要的信息安全防護(hù)體系,建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要。
第3章
校園網(wǎng)安全措施
3.1 校園網(wǎng)安全管理
針對(duì)目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識(shí)與理解,在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下,對(duì)于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點(diǎn)是高校的安全策略:
1、規(guī)范出口管理,實(shí)施校園網(wǎng)的整體安全架構(gòu),必須解決多出口的問題。對(duì)于出口進(jìn)行規(guī)范統(tǒng)一的管理,使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。
2、配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備,在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞,一般包括:防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外,通過配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控,對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用,對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。
共28頁第7頁
3、解決用戶上網(wǎng)身份問題,建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題,而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ),否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之,只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng),才能徹底的解決用戶上網(wǎng)身份問題,同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。
4、嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理,集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn),而且,合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控,上網(wǎng)行為的日志要集中保存在中心服務(wù)器上,保證了這個(gè)記錄的法律性和準(zhǔn)確性。
5、根據(jù)相關(guān)部門的要求,配備專門的安全管理人員,出臺(tái)網(wǎng)絡(luò)安全管理制度。網(wǎng)絡(luò)安全的技術(shù)是多樣化的,現(xiàn)狀還是“道高一尺,魔高一丈”,因此管理的工作就愈發(fā)重要和艱巨,必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢,保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。3.2 校園網(wǎng)安全措施
前述各種網(wǎng)絡(luò)安全威脅,都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對(duì)網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅,主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力,堵塞網(wǎng)絡(luò)漏洞,從而達(dá)到網(wǎng)絡(luò)安全。
1、殺毒軟件
殺毒產(chǎn)品的部署。在該網(wǎng)絡(luò)防病毒方案中,要達(dá)到一個(gè)目的就是:要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn),應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段;同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系,應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。
(1)在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的Windows2000服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心,負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。
(2)在各辦公室分別安裝殺毒軟件的客戶端。
(3)安裝完殺毒軟件,在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置,保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。
(4)網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。
共28頁第8頁
2、采用VLAN技術(shù)
VLAN技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,將網(wǎng)絡(luò)分段并進(jìn)行隔離,實(shí)現(xiàn)相互間的訪問控制,可以達(dá)到限制用戶非法訪問的目的。
3、內(nèi)容過濾
內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識(shí)服務(wù)拒絕的工具。同時(shí),可以限制外來的垃圾郵件。
4、防火墻
在與Internet相連的每一臺(tái)電腦上都裝上防火墻,成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:
(1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo),規(guī)劃設(shè)置正確的安全過濾規(guī)則,規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目,嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。
(2)禁止訪問系統(tǒng)級(jí)別的服務(wù)(如HTTP,F(xiàn)TP等)。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。使用動(dòng)態(tài)規(guī)則管理,允許授權(quán)運(yùn)行的程序開放的端口服務(wù),比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。
(3)如果在局域網(wǎng)中使用你的機(jī)器,那么你就必須正確設(shè)置你在局域網(wǎng)中的IP,防火墻系統(tǒng)才能認(rèn)識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來,哪些是從互聯(lián)網(wǎng)來,從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)(如文件、打印機(jī)共享)功能。
(4)定期查看防火墻訪問日志,及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。(5)允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置,提高防火墻管理安全性。
5、入侵檢測(cè)
入侵檢測(cè)系統(tǒng)是防火墻的合理補(bǔ)充,幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊。擴(kuò)展系統(tǒng)管理員的安全管理能力。提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù),利用內(nèi)置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象,并記錄有關(guān)事件。入侵檢測(cè)系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警,使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施。
6、漏洞掃描
共28頁第9頁
隨著軟件規(guī)模的不斷增大。系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。因此,應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查,并寫出詳細(xì)的安全性分析報(bào)告,及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。
7、數(shù)據(jù)加密
數(shù)據(jù)加密是核心的對(duì)策,是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。
8、加強(qiáng)網(wǎng)絡(luò)安全管理
加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先,加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn)和普及;其次,是健全完善管理制度和相應(yīng)的考核機(jī)制,以提高網(wǎng)絡(luò)管理的效率。
第4章
校園網(wǎng)安全系統(tǒng)設(shè)計(jì)
4.1 校園網(wǎng)建設(shè)需求分析
4.1.1 需求分析
局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用,如:共享磁盤設(shè)備、打印機(jī)等,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺(tái)共享打印機(jī)上進(jìn)行打印。當(dāng)然也可以借助Wingate或Sygate等軟件多機(jī)共享一臺(tái)Modem上網(wǎng);或者通過代理服務(wù)器連上Internet,享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為:10Mbps網(wǎng)卡(ISA 插口或PCI插口)、100Mbps PCI插口網(wǎng)卡、10Mbps/100Mbps自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。目前10Mbps ISA插口的網(wǎng)卡仍以其低廉的價(jià)格占有市場(chǎng)的一定份額,但由于10Mbps ISA插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低,且占用大量的CPU資源,只適應(yīng)于那些對(duì)速度要求不高的局域網(wǎng),因此用100Mbps PCI插口的網(wǎng)卡或者10Mbps/100Mbps自適應(yīng)網(wǎng)卡,夠適應(yīng)于用戶比較多,網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn)行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。
BNC口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口,RJ45的接口酷似電話線的接口,但網(wǎng)絡(luò)線使用的是8芯的接頭,使用RJ45的缺點(diǎn)是架設(shè)成本高,但安裝和維護(hù)較為方便,因此我們一般使用RJ45接口。根據(jù)微機(jī)的數(shù)量,利用 HUB構(gòu)成星形結(jié)構(gòu),在工作站較多的情況下,會(huì)因 HUB的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度,從而造成瓶頸問題。因此有條件的話可選用交換機(jī)。一個(gè) Hub所組成的域稱為沖突
共28頁第10頁
域,也就是說,網(wǎng)絡(luò)上任何一臺(tái)計(jì)算機(jī)在收發(fā)數(shù)據(jù)時(shí),其他所有計(jì)算機(jī)都能夠收到,且這些計(jì)算機(jī)不能同時(shí)進(jìn)行數(shù)據(jù)的收發(fā),否則會(huì)發(fā)生碰撞(CSMA/ CD協(xié)議能阻止碰撞)。此外每臺(tái)接入 Hub的計(jì)算機(jī),都要檢測(cè)接收到的數(shù)據(jù)目的地址,以確認(rèn)是否是收到自己的通信信息,因此計(jì)算機(jī) CPU占用率高,全網(wǎng)通信效率低,只適用于小型工作組級(jí)別應(yīng)用。
學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò);是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ);是建立遠(yuǎn)程教育體系的基本保證;是提高全民素質(zhì)的重要手段;也是一項(xiàng)靈魂工程。其設(shè)計(jì)方案應(yīng)注意以下原則:
實(shí)用性校園網(wǎng)設(shè)計(jì)應(yīng)能滿足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求,充分實(shí)現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求,使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮,并且便于掌握。
可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜,同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性,因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行,具有很高的MTBF(平均無故障工作時(shí)間)和極低的MTBR(平均無故障率),提高容錯(cuò)設(shè)計(jì),支持故障檢測(cè)和恢復(fù),可管理性強(qiáng)。
統(tǒng)一性在系統(tǒng)的設(shè)計(jì)過程中,堅(jiān)持“三統(tǒng)一”,即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。
先進(jìn)性在系統(tǒng)的開發(fā)過程中,既能滿足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求,又可以在將來需要擴(kuò)展的時(shí)候,能方便地?cái)U(kuò)展,保護(hù)目前的所有投資;設(shè)計(jì)的配置可以靈活變通,以便適應(yīng)客戶的其他要求。4.1.2 關(guān)鍵設(shè)備
在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析,這次參與組網(wǎng)的機(jī)構(gòu)選用美國Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī),Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī),Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)。可以通過千兆的光纖鏈路連接到核心交換機(jī),而所有的用戶終端可以通過10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī),為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪問
共28頁第11頁
路由器,既可以滿足上級(jí)單位Internet的DDN、ISDN接入的需求,又可以滿足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器,提供分支機(jī)構(gòu)的撥號(hào)接入。
網(wǎng)絡(luò)核心層:用一臺(tái)Cisco的高端三層交換機(jī)Catalyst 6506作為整個(gè)交換系統(tǒng)的核心,由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度,從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電,彼此分擔(dān)負(fù)荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機(jī)的心臟,它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。Catalyst6506交換機(jī)引擎卡上的MSFC2(Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力,利用Cisco特有的Netflow技術(shù),完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。
匯聚層:在分配線間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備,匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去,終端用戶可以通過超5類UTP線纜連接到各層交換機(jī)中去,可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。
接入層:在網(wǎng)絡(luò)接入層中我們選用了一臺(tái)Cisco 3660路由器作為廣域互連和外部用戶撥號(hào)訪問網(wǎng)關(guān),其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能:
1、ADSL接入方式。
2、FTTX+LAN接入方式。4.1.3 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo),本設(shè)計(jì)方案采用交換式千兆以太網(wǎng)作為主干,百兆交換到桌面。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu),網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。
共28頁第12頁
圖4。1。3
圖4-1校園網(wǎng)的拓?fù)?/p>
4.2 技術(shù)方案
4.2.1 校園網(wǎng)的建設(shè)規(guī)劃
校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程,與任何一項(xiàng)工程建設(shè)一樣,在開始建設(shè)前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析,它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行,因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對(duì)于校園網(wǎng)來說,必須對(duì)技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識(shí),只有這樣,才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。
1、校園網(wǎng)的應(yīng)用特點(diǎn)
隨著現(xiàn)代化教學(xué)活動(dòng)的開展和與國內(nèi)外教學(xué)機(jī)構(gòu)交往的增多,對(duì)通過網(wǎng)絡(luò)進(jìn)行信息交流的需求越來越迫切,為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮師生的創(chuàng)造力,校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng),以園區(qū)局域網(wǎng)為主,一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn):
高速的局域網(wǎng)連接--校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò),因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn),由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多,而且信息中包含大量多媒體信息,故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求。
信息結(jié)構(gòu)多樣化--校園網(wǎng)應(yīng)用分為電子教學(xué)(多媒體教室、電子圖書館等)、學(xué)校管理和遠(yuǎn)程通訊(遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入)三大部分內(nèi)容:電子教學(xué)包含大量多媒體信息,學(xué)校管理以數(shù)據(jù)庫為主,遠(yuǎn)程通訊則多為www.tmdps.cn 的 3C905B-TX 100MB網(wǎng)卡。為使校園網(wǎng)能訪問Internet,網(wǎng)絡(luò)中心的代理服務(wù)器可連接ASDL等通訊線路。
共28頁第20頁
(3)計(jì)算機(jī)教室
配置400臺(tái)左右586以上微機(jī),通過星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)將所有微機(jī)連接到可堆疊交換機(jī)上,再通過交換機(jī)連接校園主干網(wǎng)。為方便教學(xué),可在以上網(wǎng)絡(luò)教室的基礎(chǔ)上安裝多媒體教學(xué)平臺(tái),使之成為一個(gè)既能完成信息技術(shù)學(xué)科教學(xué),又能進(jìn)行多媒體輔助教學(xué),還能開展基于Internet技術(shù)的網(wǎng)絡(luò)活動(dòng)的多媒體網(wǎng)絡(luò)活動(dòng)室。
(4)教師備課機(jī)房
為了能給廣大教師提供一個(gè)完備的多媒體網(wǎng)絡(luò)備課環(huán)境,校園網(wǎng)應(yīng)能為每位教師提供網(wǎng)絡(luò)接入終端,即每位教師都配有一臺(tái)連接校園網(wǎng)的多媒體計(jì)算機(jī),這將是一項(xiàng)投資很大的綜合布線工程。為降低成本,一般中小學(xué)校可采用建設(shè)一個(gè)配置有10-20臺(tái)酷睿2以上多媒體計(jì)算機(jī)的教師網(wǎng)絡(luò)備課機(jī)房的方案。配有多媒體的連網(wǎng)計(jì)算機(jī)既能滿足廣大教師電子備課、電子閱覽的需要,同時(shí)也能滿足教師進(jìn)行遠(yuǎn)程通訊、網(wǎng)上檢索等基于Internet環(huán)境的教科研活動(dòng)。
(5)圖書館系統(tǒng)
圖書館系統(tǒng)應(yīng)該包括兩個(gè)方面,第一是圖書編目、借閱管理系統(tǒng),它為圖書館管理提供了標(biāo)準(zhǔn)化、自動(dòng)化、網(wǎng)絡(luò)化的采編、流通、查詢、統(tǒng)計(jì)以及讀者管理等手段,如省教委推薦使用的共創(chuàng)圖書管理系統(tǒng);第二是多媒體視聽閱覽室,滿足讀者使用越來越多的電子音像讀物的要求。多媒體視聽閱覽室從技術(shù)本質(zhì)上來講就是一個(gè)多媒體計(jì)算機(jī)網(wǎng)絡(luò)室,如果學(xué)校已建好前面所述的多媒體網(wǎng)絡(luò)活動(dòng)室或教師備課機(jī)房,只要在網(wǎng)絡(luò)上連接有一套光盤鏡像服務(wù)器,即可實(shí)現(xiàn)多媒體視聽閱覽的功能。
(6)多媒體綜合教室
信息化環(huán)境的構(gòu)筑其根本目的是為教學(xué)服務(wù)的,因此課堂信息化教學(xué)環(huán)境的建立應(yīng)該是校園網(wǎng)建設(shè)的一個(gè)重要目標(biāo)。針對(duì)課堂教學(xué)而言,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)能為師生合作教學(xué)模式提供支持。在合作教學(xué)模式下,教師通過網(wǎng)絡(luò)安排教學(xué)計(jì)劃,指導(dǎo)學(xué)生學(xué)習(xí),批改學(xué)生作業(yè),實(shí)施網(wǎng)上教學(xué);學(xué)生既可以在教師幫助下進(jìn)行自主學(xué)習(xí),也可通過小組討論等形式在同伴中開展合作學(xué)習(xí)。在當(dāng)前情況下,在每個(gè)教室構(gòu)建信息化教學(xué)環(huán)境還處在摸索探討階段,存在著投資大、可參考方案少等不利因素。有的學(xué)校采用在每個(gè)班級(jí)配置高亮度液晶投影儀、多媒體計(jì)算機(jī)、多功能視頻展示臺(tái)等設(shè)備的方法來實(shí)施教學(xué)環(huán)境信息化,教學(xué)仍舊還是在一個(gè)典型的以教師為中心的教學(xué)模式下進(jìn)行著,這與構(gòu)建校園信息化教學(xué)環(huán)境的初衷相
共28頁第21頁
距尚遠(yuǎn)。因此在當(dāng)前形勢(shì)下,一般中小學(xué)可在具有多媒體網(wǎng)絡(luò)環(huán)境的計(jì)算機(jī)教室內(nèi)開展基于多媒體網(wǎng)絡(luò)環(huán)境下的合作教學(xué)模式的實(shí)驗(yàn)活動(dòng),而為開展多媒體輔助教學(xué)活動(dòng)配設(shè)專用的多媒體綜合教室。多媒體綜合教室內(nèi)配備有多媒體計(jì)算機(jī)、高亮度液晶投影儀、多功能視頻展示臺(tái)各一臺(tái),功放音響一套,其中多媒體計(jì)算機(jī)通過網(wǎng)卡連入校園主干網(wǎng),從而方便調(diào)用網(wǎng)絡(luò)內(nèi)其它計(jì)算機(jī)上的教學(xué)資源,實(shí)現(xiàn)資源共享。多媒體綜合教室不僅可滿足正常的輔助教學(xué)活動(dòng),還可以用來舉辦講座、開展培訓(xùn),不失為當(dāng)前形勢(shì)下一種經(jīng)濟(jì)實(shí)惠的選擇。學(xué)校可根據(jù)教學(xué)實(shí)際需要配置一到二個(gè)多媒體綜合教室。
(7)校長(zhǎng)辦公室及其它相關(guān)處室
配置相應(yīng)數(shù)量的酷睿2以上多媒體計(jì)算機(jī),通過網(wǎng)卡與校園主干網(wǎng)相連,以實(shí)現(xiàn)學(xué)校信息管理的自動(dòng)化、無紙化。
以上只是整個(gè)校園網(wǎng)中一些主要的網(wǎng)絡(luò)組成部分,此外還有學(xué)生宿舍樓、教師宿舍樓、實(shí)驗(yàn)室教學(xué)樓等。
2、虛擬網(wǎng)設(shè)計(jì)
由于整個(gè)網(wǎng)絡(luò)較大,所以必須通過劃分VLAN來實(shí)現(xiàn)流量的合理分配、內(nèi)部網(wǎng)絡(luò)的安全。通常VLAN的實(shí)現(xiàn)有以下幾種方法:
(1)基于端口的虛擬工作組。
(2)基于MAC、協(xié)議、子網(wǎng)的虛擬工作組。
(3)Tagged VLAN:通過在數(shù)據(jù)幀中增加VLAN標(biāo)記位來區(qū)分不同的工作組。
本文選用的Catalyst 6506等交換機(jī)都支持以上各種VLAN的劃分方法。
雖然三種方式各有千秋,但是從實(shí)際出發(fā),采用基于交換端口的VLAN劃分方式是一種理想的選擇,也是目前實(shí)際中普遍采用的劃分方式。
考慮到網(wǎng)絡(luò)安全性的需要,還可以在路由交換機(jī)上進(jìn)行相應(yīng)的設(shè)置,實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制。比如可以限制哪些用戶擁有訪問中心服務(wù)器的權(quán)利,哪些則沒有。
根據(jù)以上思想,將計(jì)算機(jī)網(wǎng)絡(luò)(根據(jù)不同的部門劃分)劃分成幾個(gè)不同的虛擬網(wǎng),并賦予不同的IP子網(wǎng)地址。
由于系統(tǒng)的特殊性,可以配合虛擬網(wǎng)的劃分,給不同的虛擬網(wǎng)配置不同的子網(wǎng)段,整個(gè)網(wǎng)絡(luò)可以非常方便地劃分為幾個(gè)子網(wǎng),子網(wǎng)之間的通信由中心路由式交換機(jī)來實(shí)現(xiàn),具體可以采用OSPF路由協(xié)議。
3、網(wǎng)絡(luò)軟件運(yùn)行平臺(tái)
共28頁第22頁
(1)服務(wù)器操作系統(tǒng):由于美國Microsoft公司推出的網(wǎng)絡(luò)操作系統(tǒng)Windows 2003具有與有著廣泛應(yīng)用基礎(chǔ)的在Windows 2003服務(wù)器上,對(duì)直接連接到 Internet 的計(jì)算機(jī)啟用防火墻功能,支持網(wǎng)絡(luò)適配器、DSL 適配器或者撥號(hào)調(diào)制解調(diào)器連接到 Internet。
(2)Web服務(wù)系統(tǒng):選用Windows NT下的IIS信息服務(wù)系統(tǒng)。另外也有許多免費(fèi)的BBS電子公告、中文論壇、網(wǎng)絡(luò)聊天軟件可以在NT下安全運(yùn)行。
(3)數(shù)據(jù)庫軟件:建議采用“甲骨文”oracle數(shù)據(jù)庫軟件。
(4)電子郵件系統(tǒng):可采用Microsoft公司的Exchange Server,為簡(jiǎn)便使用也可采用一些共享軟件如Sharemail、Imail等,這些軟件都是基于標(biāo)準(zhǔn)SMTP/POP3/IMAP4/LDAP協(xié)議的郵件服務(wù)器軟件,用戶界面簡(jiǎn)單直觀,非常易于管理。
(5)網(wǎng)頁維護(hù)制作軟件:Macrosoft公司的FrontPage、Macromedia 公司的Dreamweaver、Flash都是很好選擇。
(6)多媒體課件制作軟件:Macromedia 公司的Authorware、Director,洪圖多媒體著作工作等都有著非常友好的界面,使用方便,擁有著大量的用戶,推薦使用。
(7)代理服務(wù)軟件:可采用WinGate3.05 for NT,這是一個(gè)功能完善、性能穩(wěn)定的代理服務(wù)軟件,非常好用。
(8)工作站操作系統(tǒng): Windows XP、Windows 2003。
9)校園辦公管理用軟件:選用省教委統(tǒng)一推薦使用的“共創(chuàng)校園辦公管理信息系統(tǒng)”網(wǎng)絡(luò)版。
10)工作站其它應(yīng)用軟件:文字處理、數(shù)據(jù)表格、圖形處理、瀏覽器、電子郵件等都有許多大家熟悉并經(jīng)常使用的軟件。
隨著網(wǎng)絡(luò)使用的日益廣泛,今后校園網(wǎng)絡(luò)在此基礎(chǔ)上還將不斷擴(kuò)充,覆蓋面將越來越廣,如視頻點(diǎn)播系統(tǒng)、遠(yuǎn)程登錄管理系統(tǒng)、各類收費(fèi)服務(wù)IC卡系統(tǒng)等。4.3 校園網(wǎng)的運(yùn)行
4.3.1 校園網(wǎng)的應(yīng)用
1.校園網(wǎng)管理信息系統(tǒng)
國基礎(chǔ)教育校園網(wǎng)集成系統(tǒng)CFES面向全校,覆蓋教育行政管理、圖書館管
共28頁第23頁
理、后勤管理和互聯(lián)網(wǎng)連接等領(lǐng)域,分為教學(xué)管理、學(xué)生管理、行政管理、通用服務(wù)、互聯(lián)網(wǎng)絡(luò)和圖書館管理等分系統(tǒng),以及教務(wù)管理、教師管理、教材管理、設(shè)備管理、學(xué)籍管理、考績(jī)管理、人事管理、文書管理、綜合查詢、通用查詢、電子郵件、遠(yuǎn)程登錄、圖書編目、圖書流通、圖書檢索和館長(zhǎng)查詢等近七十個(gè)管理子系統(tǒng)。
2.校園網(wǎng)計(jì)算機(jī)教學(xué)系統(tǒng)
計(jì)算機(jī)教學(xué)系統(tǒng)主要包括多媒體網(wǎng)絡(luò)教室、多媒體視頻點(diǎn)播、多媒體視頻廣播系統(tǒng)。
3.校園網(wǎng)站
校園網(wǎng)不是一個(gè)獨(dú)立的、封閉的體系,校園網(wǎng)與Internet互連后,校園網(wǎng)用戶在權(quán)限允許的范圍內(nèi)可以使用Internet上的Web訪問、Email收發(fā)、FTP、Telnet、BBS、新聞組、討論組、個(gè)人主頁等服務(wù)。
校園網(wǎng)站連接Internet,用于宣傳學(xué)校形象、教學(xué)信息發(fā)布、提供信息查詢等,以后可成為網(wǎng)上教學(xué)的渠道。網(wǎng)站主頁的設(shè)計(jì),主要由老師創(chuàng)意,學(xué)生制作,體現(xiàn)學(xué)生的創(chuàng)造性,培養(yǎng)學(xué)生的動(dòng)手能力。4.3.2 校園網(wǎng)的管理
根據(jù)前面介紹的校園網(wǎng)設(shè)計(jì)方案建設(shè)而成的一個(gè)校園網(wǎng)絡(luò)投入運(yùn)行之后,它的穩(wěn)定性及可靠性是很高。網(wǎng)絡(luò)系統(tǒng)出現(xiàn)的問題,一般情況下主要有人為操作失誤(包括計(jì)算機(jī)病毒引起的故障)和整個(gè)網(wǎng)絡(luò)系統(tǒng)本身不可避免的故障。因此要想使計(jì)算機(jī)網(wǎng)絡(luò)的各種故障減少到最低的話,網(wǎng)絡(luò)管理員就要在平時(shí)做好網(wǎng)絡(luò)的預(yù)防性維護(hù)以及重要數(shù)據(jù)的備份、計(jì)算機(jī)病毒的防護(hù),記錄網(wǎng)絡(luò)事件等工作。同時(shí)人為操作造成的故障在整個(gè)網(wǎng)絡(luò)故障的絕大部分,因此要注意加強(qiáng)網(wǎng)絡(luò)使用人員的應(yīng)用技能和道德品質(zhì),可減少人員有意無意對(duì)網(wǎng)絡(luò)造成的傷害。
預(yù)防性維護(hù)是非常重要的,日常維護(hù)的主要工作是:清理污垢和其他一些污染,如果灰塵等污垢太多的話就會(huì)造成設(shè)備散熱不良,嚴(yán)重的還會(huì)引起電子器件間的短路。還要檢查各種網(wǎng)絡(luò)設(shè)備的連接情況,在一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中各種連接是現(xiàn)容易出問題的,因此,每隔一段日期就檢查一下局域網(wǎng)中所有計(jì)算機(jī)系統(tǒng)的連線是否松動(dòng),還要查看一下電源線、顯示器、網(wǎng)絡(luò),串行和并行電纜以及各種配件等。任何提供服務(wù)的網(wǎng)絡(luò)都應(yīng)該擁有備份系統(tǒng),在備份之后還要進(jìn)行測(cè)試,以保證備份的系統(tǒng)能夠正常工作。要確保備份系統(tǒng)的完整性,在安裝了服務(wù)器或備
共28頁第24頁
份設(shè)備之后,或者對(duì)系統(tǒng)進(jìn)行了重大的修改之后(如升級(jí)),一定要把整個(gè)系統(tǒng)備份下來,再恢復(fù)其中的部分文件進(jìn)行測(cè)試。根據(jù)系統(tǒng)中的數(shù)據(jù) 情況,可能每一項(xiàng)都要進(jìn)行完全備份,也可能只做增量備份就可以滿足需要了,具體需要備份的數(shù)量應(yīng)由系統(tǒng)環(huán)境來決定。4.4 校園網(wǎng)絡(luò)數(shù)據(jù)庫的不安全因素
1、環(huán)境分析
網(wǎng)絡(luò)數(shù)據(jù)庫一般采用客戶機(jī)/服務(wù)器(Client/Server)模式。在客戶機(jī)/服務(wù)器結(jié)構(gòu)中,客戶機(jī)向服務(wù)器發(fā)出請(qǐng)求,服務(wù)器為客戶機(jī)提供完成這個(gè)請(qǐng)求的服務(wù)。例如,當(dāng)某用戶查詢信息時(shí),客戶機(jī)將用戶的要求轉(zhuǎn)換成一個(gè)或多個(gè)標(biāo)準(zhǔn)的信息查詢請(qǐng)求,通過計(jì)算機(jī)網(wǎng)絡(luò)發(fā)給服務(wù)器,服務(wù)器接到客戶機(jī)的查詢請(qǐng)求后,完成相應(yīng)操作,并將查出的結(jié)果通過網(wǎng)絡(luò)回送給客戶機(jī)。
2、不安全因素分析
對(duì)網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)運(yùn)行環(huán)境的分析,網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)正常運(yùn)行的管理包括:硬件組成的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的管理、網(wǎng)絡(luò)操作系統(tǒng)及網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的管理、日常工作中制度和人的管理。它的安全性問題相應(yīng)包括三個(gè)方面的內(nèi)容:
(1)運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的硬件安全性,即物理安全。包括服務(wù)器、交換機(jī)、網(wǎng)線、電源等設(shè)備故障;水災(zāi)、火災(zāi)等環(huán)境事故。
(2)運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的網(wǎng)絡(luò)安全性。主要指網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)自身安全性以及網(wǎng)絡(luò)數(shù)據(jù)庫所處的網(wǎng)絡(luò)環(huán)境面臨的安全風(fēng)險(xiǎn)。如病毒入侵和黑客攻擊、網(wǎng)絡(luò)操作系統(tǒng)及應(yīng)用系統(tǒng)的安全,主要表現(xiàn)在開發(fā)商的后門(Back-door)以系統(tǒng)本身的漏洞上。
(3)運(yùn)行網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的管理安全性。主要包括管理不善、人員操作失誤、制度不健全,造成日常管理中出現(xiàn)安全風(fēng)險(xiǎn)。
結(jié)束語
沒有安全保證的校園網(wǎng)絡(luò)就像沒有剎車的車子跑在高速公路上。互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展,對(duì)校園網(wǎng)絡(luò)中師生的工作和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響,網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時(shí),我們需要清醒的認(rèn)識(shí)
共28頁第25頁
到,網(wǎng)絡(luò)安全問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙,校園網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步,只有很好的解決了網(wǎng)絡(luò)安全問題,校園網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展。
本文分析了校園網(wǎng)絡(luò)面臨的主要危害,并針對(duì)危害提出了相應(yīng)的安全解決措施。文中分析認(rèn)為,校園網(wǎng)絡(luò)安全重點(diǎn)在防病毒和防攻擊。為此,文中針對(duì)病毒的特點(diǎn)和網(wǎng)絡(luò)攻擊的特性,提出了校園網(wǎng)絡(luò)的相應(yīng)措施。采用上述措施,基本能夠解決校園網(wǎng)絡(luò)面臨威脅風(fēng)險(xiǎn),從而建構(gòu)一個(gè)安全、高效的網(wǎng)絡(luò)。
參考文獻(xiàn)
[1]徐亞鳳.解析校園網(wǎng)絡(luò)的安全及管理.牡丹江大學(xué)學(xué)報(bào).2008,17(8):118—125 [2]鄭春.軟硬件結(jié)合的校園網(wǎng)安全策略.軟件導(dǎo)刊.2008,7(8):181—183 [3]江鐵.高校校園網(wǎng)安全策略設(shè)計(jì).科技信息.2008,20:422—423 [4]孫力.淺談校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用[J] 甘肅科技,2009(09)
[5]容強(qiáng).網(wǎng)絡(luò)入侵誘騙技術(shù)在高校網(wǎng)絡(luò)安全中的研究與實(shí)現(xiàn)[J]
計(jì)算機(jī)安全,2009(06)[6]周麗娟.校園網(wǎng)絡(luò)安全策略研究[J] 長(zhǎng)春師范學(xué)院學(xué)報(bào)(自然科學(xué)版)2009(06)
共28頁第26頁
第二篇:校園網(wǎng)安全分析及策略計(jì)算機(jī)原創(chuàng)論文
新 鄉(xiāng) 學(xué) 院
畢
業(yè)
論
文
論文題目 院(系)名稱 專業(yè)名稱 班
級(jí) 學(xué)生姓名 學(xué)
號(hào) 指導(dǎo)教師姓名
校園網(wǎng)安全分析及策略 國際教育與交流中心 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù) 07級(jí) 張新 2007123401018 葉濤 2010年4月完成
目錄
內(nèi)容摘要..........................................................1 關(guān)鍵詞.............................................................1 Abstract...........................................................1 Key words..........................................................1 1.緒論.............................................................2
1.1課題背景..................................................2 1.2校園網(wǎng)的發(fā)展...........................................2 2.校園網(wǎng)發(fā)展現(xiàn)狀與分析.............................................3 2.1校園網(wǎng)發(fā)展現(xiàn)狀..............................................3 2.2校園網(wǎng)的安全需求............................................4 2.3校園網(wǎng)安全面臨的威脅........................................5 3.校園網(wǎng)可采用的安全技術(shù)策略.......................................5 3.1防火墻部署..................................................6 3.2入侵檢測(cè)系統(tǒng)部署..........................................6 3.3訪問控制..................................................7 3.4運(yùn)用虛擬局域網(wǎng)(VLAN)技術(shù)................................8 3.5安裝補(bǔ)丁程序和網(wǎng)絡(luò)版殺毒產(chǎn)品..............................8 4.校園網(wǎng)的安全設(shè)計(jì)方案.............................................9 5.校園網(wǎng)安全方案實(shí)施后的效果......................................11
5.1校園網(wǎng)安全方面..........................................11 5.2網(wǎng)絡(luò)管理方面............................................12 5.3小結(jié)....................................................16 參考文獻(xiàn).........................................................18 致謝.............................................................19
內(nèi)容摘要:隨著網(wǎng)絡(luò)在世界范圍的普及,校園網(wǎng)作為服務(wù)于教育、科研和行政管理的計(jì)算機(jī)網(wǎng)絡(luò),實(shí)現(xiàn)了校園網(wǎng)內(nèi)聯(lián)網(wǎng)、信息共享,并與Internet互聯(lián)。為教師和學(xué)生的工作、學(xué)習(xí)、生活、娛樂帶來了許多便利。但校園網(wǎng)同時(shí)也面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),本文將圍針對(duì)校園網(wǎng)安全問題提出解決方法及策略,確保校園網(wǎng)正常、高效、安全的運(yùn)行。
關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 設(shè)計(jì)
Abstract:With the popularity of the network in the world, campus network who supplies service for education, science research and administration, joins the Intranet and the Internet shares the information, It's convenient for teachers and students' work, study,living and entertainments, but also facing serious network security situation.To ensure campus network be operated normally, efficiently and safely is the problem for collages,the paper carried out a new solution.Key words:Campus network Network security Network design
1.緒論
1.1課題背景
隨著Internet的迅速發(fā)展和應(yīng)用的普及,計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入教育、政府、商業(yè)、軍事等各行各業(yè),成為社會(huì)重要的基礎(chǔ)設(shè)施,同時(shí)網(wǎng)絡(luò)安全問題也日益突出。
校園網(wǎng)作為學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施,在教學(xué)、科研、管理和對(duì)外交流等方面都起著舉足輕重的作用。隨著高校網(wǎng)絡(luò)規(guī)模的急劇膨脹,網(wǎng)絡(luò)用戶的快速增長(zhǎng),網(wǎng)絡(luò)數(shù)據(jù)的急劇增加,校園網(wǎng)的安全問題也不斷暴露出來,如病毒侵蝕、惡意軟件、黑象攻擊等,校園網(wǎng)時(shí)刻都會(huì)受到來自內(nèi)部和外部的威脅與危害,針對(duì)校園網(wǎng)的安全向題,構(gòu)建完善的網(wǎng)絡(luò)安全體系是越來越重要。而且校園網(wǎng)與其它網(wǎng)絡(luò)比具有以下一些特點(diǎn):(I)校園網(wǎng)的數(shù)據(jù)流量大、速度快、規(guī)模大
近年來,隨著高校擴(kuò)招和合并,校園網(wǎng)的用戶群體一般比較大,少則數(shù)千人、多則數(shù)萬人。許多校園網(wǎng)已經(jīng)發(fā)展為一個(gè)跨城域的網(wǎng)絡(luò)。校園網(wǎng)已發(fā)展成為了一個(gè)全面信息的化階段。多媒體教學(xué)和網(wǎng)絡(luò)視頻應(yīng)用的推廣對(duì)網(wǎng)絡(luò)交換速度和數(shù)據(jù)量提出更 2 高的要求,同時(shí)也要求網(wǎng)絡(luò)安全部件要有更快的處理速度和更高的性能。(2)校園網(wǎng)中的設(shè)備來源多樣化、管理復(fù)雜
校園網(wǎng)是一個(gè)平臺(tái),面向高校的師生,校園網(wǎng)中的設(shè)備來源比較復(fù)雜。容易出現(xiàn)計(jì)算機(jī)病毒“交叉感染”,無法分清責(zé)任。(3)活躍的用戶群體
高校的學(xué)生是最活躍的網(wǎng)絡(luò)用戶,對(duì)網(wǎng)絡(luò)新技術(shù)充滿好奇,面對(duì)精力充沛的高校學(xué)生,網(wǎng)絡(luò)安全更為迫切。(4)有限的投入
校園網(wǎng)的后期管理容易被忽視,特別是管理和維護(hù)吧人員方面的投入明顯不足,無暇顧及、也沒有條件管理和維護(hù)千臺(tái)、萬臺(tái)計(jì)算機(jī)的安全。(5)盜版資源泛濫
從網(wǎng)絡(luò)上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統(tǒng)因此被攻擊者侵入和利用。
1.2校園網(wǎng)的發(fā)展
網(wǎng)絡(luò)技術(shù)的發(fā)展,尤其是Internet的出現(xiàn),使我們校園生活、學(xué)習(xí)、工作和環(huán)境發(fā)生了巨大的變化。利用學(xué)校計(jì)算機(jī)網(wǎng)絡(luò),采用先進(jìn)的管理軟件,可規(guī)范學(xué)校的管理行為,提高管理水平和工作效率;在減輕工作量的同時(shí),利用計(jì)算機(jī)存儲(chǔ)量大、處理快速準(zhǔn)確的特點(diǎn),為學(xué)校的決策提供準(zhǔn)確及時(shí)的信息。在學(xué)校的辦公、信息交流和通信方面充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用,在軟件的支持下實(shí)現(xiàn)網(wǎng)上協(xié)同工作。
計(jì)算機(jī)網(wǎng)絡(luò)將使教學(xué)模式上有比較大突破,原來的老師、學(xué)生和網(wǎng)絡(luò)三者之間的關(guān)系將發(fā)生變化,教師不再是知識(shí)的惟一擁有者和權(quán)威者,把知識(shí)傳授給學(xué)生。學(xué)生應(yīng)是學(xué)習(xí)的主體,校園網(wǎng)為學(xué)生的探索式學(xué)習(xí)提供情景和資源,老師只作為學(xué)習(xí)的指導(dǎo)者。在教學(xué)過程中將采用網(wǎng)絡(luò)技術(shù)、多媒體技術(shù),利用網(wǎng)絡(luò)上豐富的教學(xué)資源,激發(fā)學(xué)生的學(xué)習(xí)興趣,提高教學(xué)質(zhì)量。多媒體技術(shù)將文本、聲音、圖像、動(dòng)畫和視頻技術(shù)融為一體,使的教學(xué)活動(dòng)變得生動(dòng)且形式多變,從而提高學(xué)生學(xué)習(xí)的積極性、效率和效果。
高校校園網(wǎng)早期應(yīng)用主要局限于行政辦公、后勤、教學(xué)與計(jì)算中心,分離性較大,大部分采用企業(yè)網(wǎng)模式。而現(xiàn)在大部分高校在規(guī)劃校園網(wǎng)時(shí)已計(jì)劃將網(wǎng)絡(luò)覆蓋至學(xué)生宿舍區(qū)以及教師家屬區(qū),向在校學(xué)生及教職工提供園區(qū)內(nèi)部互連以及Internet接入 3 服務(wù)。
2.校園網(wǎng)的發(fā)展現(xiàn)狀與分析
2.1校園網(wǎng)現(xiàn)狀
校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施,其安全狀況直接影響著學(xué)校的教學(xué)活動(dòng),校園網(wǎng)網(wǎng)絡(luò)上各種信息數(shù)據(jù)急劇的增加,校園網(wǎng)絡(luò)信息安全面臨嚴(yán)峻問題。
校園網(wǎng)網(wǎng)絡(luò)信息十分豐富,網(wǎng)絡(luò)用戶的活動(dòng)也非常活躍,校園網(wǎng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)往往用于滿足學(xué)校正常的行政辦公需要、廣大師生的教務(wù)教學(xué)需要、學(xué)生們的課余校園文化生活等等,這些無論是涉及個(gè)人隱私或利益的信息,還是學(xué)校行政辦公的文檔信息,以及用于政治宣傳和管理的信息都需要進(jìn)行完整性、真實(shí)性保護(hù)和控制,這就需要對(duì)進(jìn)出校園網(wǎng)的訪問行為進(jìn)行必要的、有效性的控制,封堵某些禁止的行為和業(yè)務(wù),避免損失。
校園網(wǎng)絡(luò)系統(tǒng)中接入著成百上千臺(tái)計(jì)算機(jī),這些計(jì)算機(jī)的操作系統(tǒng)各種各樣,通常分布在不同的物理位置,由不同的用戶操作,用于不同的用途,由于這些差異,使得校園網(wǎng)網(wǎng)絡(luò)中計(jì)算機(jī)中的漏洞問題十分嚴(yán)重。因?yàn)槭褂谜叩陌踩庾R(shí)不強(qiáng),或者采取措施不及時(shí)造成的損失在校園網(wǎng)網(wǎng)內(nèi)時(shí)有發(fā)生,因此采用安全、及時(shí)的漏洞掃描技術(shù)對(duì)校園網(wǎng)網(wǎng)絡(luò)中的系統(tǒng)漏洞進(jìn)行掃描,在攻擊發(fā)生之前發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中的漏洞,并及時(shí)采取措施進(jìn)行修復(fù),可以進(jìn)一步提高校園網(wǎng)絡(luò)信息安全保障水平。
校園網(wǎng)接入互聯(lián)網(wǎng)以后,用戶通過校園網(wǎng)進(jìn)入互聯(lián)網(wǎng)。網(wǎng)絡(luò)上的各種信息良蕎不齊,色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫,對(duì)正在形成世界觀和人生觀的學(xué)生來說,有可能還不能正確地對(duì)待這類內(nèi)容,這些違反人類道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)的有毒信息對(duì)他們危害極大,如果信息安全措施不好,不僅會(huì)有部分學(xué)生進(jìn)入這些網(wǎng)站,還可能在校園內(nèi)傳播這類不良信息。
校園網(wǎng)網(wǎng)絡(luò)的方便快捷同時(shí)也為病毒的肆意傳播留下可能,下載的程序和電子郵件都有可能帶有病毒。通過網(wǎng)絡(luò)傳播病毒無論在傳播速度,還是破壞性和傳播范圍等方面都是單機(jī)病毒不能比擬的。大量病毒傳播不僅占用網(wǎng)絡(luò)資源,而且破壞服務(wù)器或單機(jī),最終影響整個(gè)學(xué)校網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)作,嚴(yán)重的還可能造成校園網(wǎng)網(wǎng)絡(luò)的癱瘓,因此郵件監(jiān)控和防病毒工作也是校園網(wǎng)絡(luò)信息安全的一個(gè)重要方面。
教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和教育環(huán)境,己經(jīng)成為教育發(fā)展的方向。隨著各高校網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快速增長(zhǎng),校園網(wǎng)網(wǎng)絡(luò)信息 4 安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展與普及,校園網(wǎng)早已成為現(xiàn)代化教育建設(shè)的基礎(chǔ)設(shè)施,校園網(wǎng)建設(shè)己經(jīng)不僅僅只是局限于實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部資源共享和外部信息互換。各學(xué)校為了能夠?qū)崿F(xiàn)以網(wǎng)養(yǎng)網(wǎng),對(duì)網(wǎng)絡(luò)設(shè)計(jì)提出了更高的要求,可運(yùn)營(yíng)、更安全、更實(shí)用成了今天對(duì)校園網(wǎng)絡(luò)關(guān)注的焦點(diǎn)。
2.2校園網(wǎng)安全需求
第一,高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)。越來越多的報(bào)道表明高校校園網(wǎng)己意識(shí)的淡薄,而另一方面,高校學(xué)生—這群精力充沛的年輕一族對(duì)新鮮事物有著強(qiáng)烈的好奇心,他們有著探索的高智商和沖勁,卻缺乏全面思考的責(zé)任感。有關(guān)數(shù)字顯示,目前校園網(wǎng)遭受的惡意攻擊,70%來自高校網(wǎng)絡(luò)內(nèi)部,如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問題。
第二,網(wǎng)絡(luò)安全一定是全方位的安全。首先,網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾;其次,不管接入設(shè)備,還是骨干設(shè)備,設(shè)備本身需要具備強(qiáng)大的安全防護(hù),要具備強(qiáng)大的安全防護(hù)能力,并且安全策略部署不能影響到網(wǎng)絡(luò)的性能,不造成網(wǎng)絡(luò)單點(diǎn)故障;最后,要充分考慮全局統(tǒng)一的安全部署,需要能夠從接入控制,到對(duì)網(wǎng)絡(luò)安全事件進(jìn)行深度探測(cè),到現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動(dòng),到對(duì)安全事件觸發(fā)源的準(zhǔn)確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施,從而能對(duì)網(wǎng)絡(luò)形成一個(gè)由內(nèi)至外的整體安全架構(gòu)。
所以,在對(duì)出口等重點(diǎn)區(qū)域進(jìn)行安全部署的同時(shí),要更加全面的考慮安全問題,讓整個(gè)網(wǎng)絡(luò)從設(shè)備級(jí)的安全上升一個(gè)臺(tái)階,擺脫僅僅局部加強(qiáng)某個(gè)單點(diǎn)的安全強(qiáng)度的手段。根據(jù)校園網(wǎng)的需求和現(xiàn)狀,校園網(wǎng)在安全方面要滿足以下幾點(diǎn)安全需求:(I)校園網(wǎng)禁止外部非校園網(wǎng)用戶未經(jīng)許可訪問內(nèi)部的數(shù)據(jù),實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)和重要服務(wù)器數(shù)據(jù)的安全防護(hù)。
(2)校園網(wǎng)內(nèi)部各部門,個(gè)人之間網(wǎng)絡(luò)訪問進(jìn)行控制,各部門,個(gè)人之間在未經(jīng)授權(quán)的情況下,不能相互訪問,實(shí)現(xiàn)網(wǎng)絡(luò)的隔離。
(3)加強(qiáng)網(wǎng)絡(luò)監(jiān)控,實(shí)現(xiàn)對(duì)涉及重要服務(wù)器數(shù)據(jù)的攻擊行為的紀(jì)錄與分析。
(4)加強(qiáng)網(wǎng)絡(luò)病毒的防范。
(5)加強(qiáng)安全管理,對(duì)校園網(wǎng)內(nèi)部訪問進(jìn)行規(guī)范化。
2.3校園網(wǎng)安全面臨的威脅
校園網(wǎng)內(nèi)的用戶數(shù)量較大,局域網(wǎng)絡(luò)數(shù)目較多,認(rèn)真分析可以總結(jié)出校園網(wǎng)面 5 臨如下的安全威脅:
(I)各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅;(2)Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在非法訪問或惡意入侵的威脅;
(3)來自校園網(wǎng)內(nèi)外的各種病毒的威脅,外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng);
(4)內(nèi)部用戶對(duì)Internet的非法訪問威脅,如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng);
(5)內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊,導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用;
(6)校園網(wǎng)內(nèi)的學(xué)生群體是主要的OICQ用戶,目前針對(duì)OICQ的黑客程序隨處可見;
(7)可能會(huì)因?yàn)樾@網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全,帶來校園網(wǎng)的威脅;
3.校園網(wǎng)可采用的安全技術(shù)策略
3.1防火墻技術(shù)
防火墻是網(wǎng)絡(luò)安全的一種防護(hù)手段,它是位于兩個(gè)信任程度不同的軟件或硬件設(shè)備之間的組合,對(duì)兩個(gè)網(wǎng)絡(luò)之間的通信進(jìn)行控制,通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,防止外部網(wǎng)絡(luò)不安全的信息流入內(nèi)部網(wǎng)絡(luò)和限制內(nèi)部網(wǎng)絡(luò)的重要信息流到外部網(wǎng)絡(luò),以達(dá)到保護(hù)系統(tǒng)安全的目的。
防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù),普遍運(yùn)用于校園網(wǎng)安全建設(shè)中。防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng), 或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離), 從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)。部署防火墻技術(shù), 構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障, 可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來, 保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。通過Internet 進(jìn)來的公眾用戶只能訪問到對(duì)外公開的一些服務(wù)(如WWW、MAIL、FTP、DNS 等), 既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對(duì)外部不良資源的濫用, 并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。現(xiàn)在有許多基于硬件或軟件的防火墻, 如華為、神州數(shù)碼、聯(lián)想、瑞星等廠商的產(chǎn)品。
防火墻技術(shù)有一些局限性。防火墻不能防范不經(jīng)過它的攻擊,不能防止來自網(wǎng)絡(luò)內(nèi)部的攻擊和安全問題,不具備實(shí)時(shí)監(jiān)控入侵的能力,不能防止策略配置不當(dāng)或錯(cuò)誤配置引起的安全威脅,不能防止受病毒感染的文件的傳輸,不能防止利用服務(wù)器系統(tǒng)和網(wǎng)絡(luò)協(xié)議漏洞進(jìn)行的攻擊,不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊,不能夠防止內(nèi)部合法用戶的主動(dòng)泄密行為,不能防止本身的安全漏洞威脅。
防火墻作為第一道安全防線,部署防火墻無疑可以保護(hù)校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的安全,但是由于防火墻本身的局限性,僅僅在校園網(wǎng)內(nèi)部網(wǎng)絡(luò)入口處部署防火墻系統(tǒng)還不能完全有效的保護(hù)整個(gè)校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)的信息安全。3.2入侵檢測(cè)系統(tǒng)部署
入侵檢測(cè)系統(tǒng)為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控,并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段,入侵檢測(cè)系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)信息安全架構(gòu)中必要的附加手段。
入侵檢測(cè)系統(tǒng)通常被認(rèn)為是防火墻之后的第二道安全閘門,部署于防火墻之后,對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測(cè),是防火墻的延續(xù)和合理補(bǔ)充。入侵監(jiān)測(cè)系統(tǒng)可以記錄和禁止網(wǎng)絡(luò)活動(dòng),可以和防火墻、路由器配合工作,在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的處理,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的實(shí)時(shí)保護(hù)。入侵檢測(cè)系統(tǒng)通過幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測(cè)系統(tǒng)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)系統(tǒng)通過掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng),監(jiān)視和記錄網(wǎng)絡(luò)的流量,并根據(jù)定義好的規(guī)則來過濾從主機(jī)網(wǎng)卡到網(wǎng)線上的流量,提供實(shí)時(shí)報(bào)警。入侵檢測(cè)系統(tǒng)可以完成監(jiān)視、分析用戶及系統(tǒng)活動(dòng),系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì),識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警,評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性,操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為等等任務(wù)。
在校園網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng),能夠有效防御各種攻擊,控制網(wǎng)絡(luò)資源濫用,利用該系統(tǒng)的日志,還可以部分分析出用戶的上網(wǎng)行為,可以進(jìn)一步保證校園網(wǎng)的穩(wěn)定運(yùn)行、保障網(wǎng)絡(luò)系統(tǒng)的信息安全。
根據(jù)對(duì)校園網(wǎng)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)分析,入侵防護(hù)安全需求的重點(diǎn)是校園網(wǎng)的中心服務(wù)器群和網(wǎng)絡(luò)骨干區(qū)域。通過入侵檢測(cè)設(shè)備對(duì)核心交換機(jī)的流量進(jìn)行監(jiān)控,從而實(shí)現(xiàn)入侵檢測(cè)的功能。一般采用具備入侵防護(hù)與入侵檢測(cè)功能相結(jié)合的產(chǎn)品就可以滿 7 足需求。
入侵防護(hù)需求主要防御的方面包括防御來自外部的威脅,阻止蠕蟲、網(wǎng)絡(luò)病毒、間諜軟件和黑客攻擊對(duì)校園網(wǎng)重要網(wǎng)絡(luò)區(qū)域和服務(wù)器群造成的安全損失,提高校園網(wǎng)絡(luò)的整體抗攻擊能力;防御來自網(wǎng)絡(luò)內(nèi)部的威脅,阻止蠕蟲、網(wǎng)絡(luò)病毒爆發(fā)對(duì)校園網(wǎng)絡(luò)重要網(wǎng)絡(luò)區(qū)域和服務(wù)器群的破壞,保障校園網(wǎng)絡(luò)的正常運(yùn)行;有效控制校園網(wǎng)絡(luò)資源的濫用情況,阻止用戶因使用各種即時(shí)通訊軟件、P2P下載、網(wǎng)絡(luò)在線游戲以及在線視頻而影響網(wǎng)絡(luò)的正常運(yùn)行,通過凈化網(wǎng)絡(luò)流量,實(shí)現(xiàn)網(wǎng)絡(luò)加速;監(jiān)測(cè)和防護(hù)校園網(wǎng)絡(luò)系統(tǒng)中重要區(qū)域和服務(wù)器群的安全運(yùn)行,全面把握安全狀態(tài),以便于及時(shí)發(fā)現(xiàn)可能的安全攻擊,防止安全事件的發(fā)生,保證整個(gè)校園網(wǎng)系統(tǒng)的網(wǎng)絡(luò)信息安全。
3.3訪問控制
訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。用戶的入網(wǎng)訪問控制通常有用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳戶的缺省限制檢查等。當(dāng)用戶進(jìn)入網(wǎng)絡(luò)后, 網(wǎng)絡(luò)系統(tǒng)就賦予這一用戶一定的訪問權(quán)限, 用戶只能在其權(quán)限內(nèi)進(jìn)行操作。這樣, 就保證網(wǎng)絡(luò)資源不被非法訪問和非法使用。訪問控制必須遵從最小特權(quán)原則, 即用戶在其合法的訪問授權(quán)之外而無其他的訪問特權(quán), 以保證有效防止網(wǎng)絡(luò)因超權(quán)限訪問而造成的損失。
賬號(hào)和密碼保護(hù)可以說是系統(tǒng)的第一道防線, 目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開始的。一旦黑客進(jìn)入了系統(tǒng), 那么前面的防衛(wèi)措施幾乎就沒有作用, 所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。
系統(tǒng)管理員密碼的位數(shù)一定要多, 至少應(yīng)該在8位以上, 而且不要設(shè)置成容易猜測(cè)的密碼, 如自己的名字、出生日期等。對(duì)于普通用戶, 設(shè)置一定的賬號(hào)管理策略, 如各種開機(jī)口令、登陸口令、共享權(quán)限口令等等, 并強(qiáng)制用戶每個(gè)月更改一次密碼。對(duì)于一些不常用的賬戶要關(guān)閉, 比如匿名登錄賬號(hào)。
3.4 運(yùn)用虛擬局域網(wǎng)(VLAN)技術(shù)
VLAN(Virtual Local Area Network)即虛擬局域網(wǎng), 是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地(而不是物理地)劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。采用交換式局域網(wǎng)技術(shù)(ATM或以太交換)的校園網(wǎng)絡(luò), 可以用VLAN 技術(shù)來加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段, 根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別, 8 將網(wǎng)絡(luò)分段并進(jìn)行隔離, 實(shí)現(xiàn)相互間的訪問控制, 可以達(dá)到限制用戶非法訪問的目的。
3.5安裝補(bǔ)丁程序和網(wǎng)絡(luò)版殺毒產(chǎn)品
操作系統(tǒng)都有漏洞, 作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)地將“補(bǔ)丁”(Patch)打上。大部分校園網(wǎng)服務(wù)器使用的是微軟的Windows NT/2000 操作系統(tǒng), 因?yàn)槭褂玫娜颂貏e多, 所以發(fā)現(xiàn)的Bug 也特別多, 同時(shí),蓄意攻擊它們的人也特別多。微軟公司為了彌補(bǔ)操作系統(tǒng)的安全漏洞, 在其網(wǎng)站上提供了許多補(bǔ)丁, 可以到網(wǎng)上下載并安裝相關(guān)升級(jí)包。計(jì)算機(jī)病毒的特點(diǎn)是具有非授權(quán)的可執(zhí)行性、隱蔽性好、感染性強(qiáng)、潛伏得深、破壞性廣泛、有條件地觸發(fā)而發(fā)作、新病毒層出不窮等。計(jì)算機(jī)病毒的危害多種多樣。病毒程序會(huì)消耗資源使網(wǎng)絡(luò)速度變慢;病毒會(huì)干擾、改變用戶終端的圖像或聲音, 使用戶無法正常工作: 有些病毒還會(huì)破壞文件、存儲(chǔ)器、軟件和硬件。使部分網(wǎng)絡(luò)癱瘓有些病毒會(huì)在硬盤上設(shè)置遠(yuǎn)程共享區(qū), 形成后門, 為黑客大開方便之門。目前, 大多數(shù)反病毒廠商(如瑞星、冠群金辰、趨勢(shì)、賽門鐵克、熊貓等)都已經(jīng)推出了網(wǎng)絡(luò)版的殺毒軟件;同時(shí), 在網(wǎng)絡(luò)版的殺毒軟件使用中, 必須要定期或及時(shí)升級(jí)殺毒軟件。
安全防范體系的建立不是一勞永逸的,校園網(wǎng)絡(luò)自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)情況的變化和現(xiàn)有體系中暴露出的一些問題,不斷對(duì)此體系進(jìn)行及時(shí)的維護(hù)和更新,保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展,確保它的有效性和先進(jìn)性。
4.校園網(wǎng)安全設(shè)計(jì)方案
針對(duì)上述分析當(dāng)今校園網(wǎng)普遍面臨的安全隱患。特別是近年來,隨著學(xué)生宿舍、教職工家屬等接入校園網(wǎng)后,網(wǎng)絡(luò)規(guī)模急劇增大。同時(shí),校園網(wǎng)絡(luò)的應(yīng)用水平也在不斷提高。規(guī)模的壯大和運(yùn)用水平的提高就決定了校園網(wǎng)面臨的隱患也相應(yīng)加劇。下圖是比較普遍的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)。基于此圖,我將從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個(gè)層次分析和設(shè)計(jì)適合于校園網(wǎng)的安全建議方案。
1.物理層安全
物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照:GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887-89《計(jì)算機(jī)站場(chǎng)地安全要求》及GB2887-89《計(jì)算機(jī)站場(chǎng)地技術(shù)條件》的要求。在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏。同時(shí),要注意保護(hù)線路的安全,防止用戶的搭線行為。2.系統(tǒng)安全
系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種:
①用主機(jī)加固手段對(duì)主機(jī)加固,如升級(jí)、打補(bǔ)丁、關(guān)閉不需要的端口等;
②用主機(jī)訪問控制手段加強(qiáng)對(duì)主機(jī)的訪問控制; 3.網(wǎng)絡(luò)層安全
校園網(wǎng)中局域網(wǎng)數(shù)目較多,根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián),使我們對(duì)網(wǎng)絡(luò)層的安全要極度重視。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù):
①劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級(jí)的安全域,可以通過劃分子網(wǎng)及 10 VLAN的方法加以訪問控制。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可以通過劃分子網(wǎng)來控制,不允許學(xué)生機(jī)房的機(jī)器訪問多媒體機(jī)房的機(jī)器。
②加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制。安全等級(jí)差別較大的邊界需要采用防火墻來控制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和Internet之間,利用防火墻進(jìn)行訪問控制和內(nèi)容過濾。可有效地解決需求中提到的多種威脅
③防止內(nèi)外的攻擊威脅。在每個(gè)安全域內(nèi)或多個(gè)安全域之間安裝入侵檢測(cè)系統(tǒng)(IDS),可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。
④定期的網(wǎng)絡(luò)安全性檢測(cè)實(shí)現(xiàn)持續(xù)安全。利用漏洞掃描器(Scanner),定期對(duì)系統(tǒng)進(jìn)行安全性評(píng)估,及時(shí)發(fā)現(xiàn)安全隱患并實(shí)施修補(bǔ),可達(dá)到網(wǎng)絡(luò)的相對(duì)持續(xù)安全。
⑤建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng),集中控制、管理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒,保護(hù)全網(wǎng)不被病毒侵害。
4.應(yīng)用層安全
應(yīng)用層的安全措施主要有以下幾點(diǎn):
①應(yīng)用系統(tǒng)自身的加固; ②建立身份驗(yàn)證系統(tǒng); ③建立審計(jì)系統(tǒng); ④建立備份系統(tǒng); 5. 管理層安全
實(shí)現(xiàn)管理層的安全主要注意以下幾點(diǎn):
① 建立安全管理平臺(tái)。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。
② 建立、健全安全管理體制。校園網(wǎng)用戶較多,一定要建立一套合理可行的安全管理制度。只有制度和設(shè)備的完美結(jié)合才能真正提高校園網(wǎng)的安全水平。③ 提高全員的安全意識(shí)。
5.安全方案實(shí)施后的效果
校園網(wǎng)在實(shí)施全局安全方案后,校園網(wǎng)在安全方面和管理方面都有大的改善。5.1校園網(wǎng)安全方面
校園網(wǎng)在實(shí)施了全局安全防御系統(tǒng)后實(shí)現(xiàn)了校園網(wǎng)全局的安全部署,包括:全部學(xué) 生宿舍、教師宿舍、機(jī)房和辦公區(qū)域。
全局安全防御系統(tǒng)可以對(duì)所有安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主 11 機(jī)安全信息進(jìn)行深入分析和全局監(jiān)控。通過這種實(shí)時(shí)全網(wǎng)偵測(cè),可以在第一時(shí)間內(nèi)將網(wǎng)絡(luò)異常現(xiàn)象通過接入層隔離出網(wǎng)絡(luò),使得網(wǎng)絡(luò)異常現(xiàn)象完全不影響核心網(wǎng)絡(luò):在發(fā)現(xiàn)安全問題后能自動(dòng)對(duì)用戶進(jìn)行安全事件告警,并迅速根據(jù)用戶身份選擇將用戶隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流該系統(tǒng)部署完成后,對(duì)網(wǎng)絡(luò)內(nèi)的安全事件和網(wǎng)絡(luò)病毒進(jìn)行了有效抑止。
另外,通過校園網(wǎng)全局安全防御系統(tǒng)的主機(jī)信息獲取和完整性(HostIntegrity)檢測(cè),能夠清楚網(wǎng)絡(luò)中的應(yīng)用情況,并約定用戶主機(jī)的準(zhǔn)入標(biāo)準(zhǔn),比如:校園網(wǎng)用戶可以安裝什么軟件,禁止安裝何種軟件。這一方面,獲取的主機(jī)信息可以為校園網(wǎng)管理的決策提供判斷依據(jù)。另一方面,從側(cè)面體現(xiàn)了學(xué)院網(wǎng)絡(luò)中心的職責(zé)轉(zhuǎn)變,從單一的維護(hù)向?qū)W(wǎng)絡(luò)平臺(tái)的可靠運(yùn)行負(fù)責(zé)的轉(zhuǎn)變,其中就涉及對(duì)網(wǎng)絡(luò)相應(yīng)規(guī)則、制度的制定。
此外,通過校園網(wǎng)全局安全防御系統(tǒng)先進(jìn)的“免疫型”防ARP欺騙改擊手段,能夠徹底解決ARP攻擊帶來的安全漏洞和斷網(wǎng)事件的發(fā)生。過去,我們只有在某個(gè)區(qū)域發(fā)生斷網(wǎng)之后,才去判斷是否是ARP欺騙,并進(jìn)行手工處理。若用戶未能完全殺毒,極可能又會(huì)引起該區(qū)域的網(wǎng)絡(luò)中斷。由于校園網(wǎng)全局安全防御系統(tǒng)自動(dòng)的ARP防范,網(wǎng)絡(luò)中心的老師再也不用為了一個(gè)小小的欺騙犯愁了,而是可以將大量的時(shí)間和精力投入到更有意義的事情中去。
5.1.1完善的主機(jī)完整性檢測(cè)
校園網(wǎng)全局安全防御系統(tǒng)通過獲取接入網(wǎng)絡(luò)的主機(jī)信息(軟件安裝情況、硬件配置、網(wǎng)絡(luò)信息)來了解主機(jī)的情況,管理員通過對(duì)主機(jī)的安全狀態(tài)進(jìn)行判斷后,即可制定出對(duì)應(yīng)的主機(jī)完整性即HI(Host Integrity)規(guī)則,來保障主機(jī)必須/禁止安裝哪些軟件、必須/禁止開啟嘟些服務(wù)、必須/禁止運(yùn)行哪些進(jìn)程以及管理注冊(cè)表中對(duì)應(yīng)鍵值的數(shù)值,通過這些檢測(cè),對(duì)主機(jī)的安全情況有了一個(gè)細(xì)致的檢測(cè),同時(shí),在檢測(cè)失敗后,給出用戶如何修復(fù)不安全因素的解決方法,同時(shí),對(duì)用戶的上網(wǎng)行為進(jìn)行限制,例如只允許訪問修復(fù)服務(wù)器去下載補(bǔ)丁或這相關(guān)軟件。通過主機(jī)完整性檢測(cè)的啟用,保障了用戶安裝并開啟必須的防范軟件和服務(wù),同時(shí)對(duì)病毒所引起的注冊(cè)表修改等行為也可以有效的恢復(fù),最重要的是,通過這些行為與網(wǎng)絡(luò)控制的結(jié)合,使得用戶必須通過主機(jī)完整性檢測(cè)才能入網(wǎng),否則就是無法上網(wǎng)辦公,保障了安全手段的強(qiáng)制 12 性,也將不安全因素排除在了網(wǎng)外。如圖5-1
圖5-1 SMP的主機(jī)完整性(HI)檢測(cè)
5.1.2安全的聯(lián)動(dòng)防范網(wǎng)絡(luò)攻擊
在校園網(wǎng)的全局安全解決方案中,除了傳統(tǒng)的入侵檢測(cè)設(shè)備IDS的加入外,還加入了IDS跟安全管理平臺(tái)SMP的聯(lián)動(dòng),在發(fā)現(xiàn)安全事件之后,可以及時(shí)準(zhǔn) 確的定位到攻擊的發(fā)起者,并通過下發(fā)安全策略、警告消息和修復(fù)程序來制止攻擊者保護(hù)被攻擊者,必要時(shí)可以通過定位攻擊者采取行政手段。在ARP病毒防 范方面,全局安全防御通過安全網(wǎng)關(guān)、安全智能交換機(jī)、SMP和SU之間的聯(lián)動(dòng),實(shí)現(xiàn)了網(wǎng)關(guān)的綁定,ARP表的靜態(tài)維護(hù),客戶端IP-MAC的綁定,通過多重工 事的立體防御。
第一重:網(wǎng)關(guān)防御,如圖5-2 13
網(wǎng)關(guān)防御的實(shí)現(xiàn)過程如下:(1)SMP通過SAM學(xué)習(xí)已通過認(rèn)證的合法用戶的IP-MAC對(duì)應(yīng)關(guān)系.(2)SMP將用戶的ARP信息通知相應(yīng)網(wǎng)關(guān)。(3)網(wǎng)關(guān)生成對(duì)應(yīng)用戶的可信任ARP表項(xiàng)。通過網(wǎng)關(guān)防御可以實(shí)現(xiàn)以下效果:(1)攻擊者冒充用戶IP對(duì)網(wǎng)關(guān)進(jìn)行欺騙。
(2)真正的用戶已經(jīng)在網(wǎng)關(guān)的可信任ARP表項(xiàng)中,欺騙行為失敗。
可信任ARP是全局安全防御系統(tǒng)功能專署的表項(xiàng)。通過聯(lián)動(dòng)SMP,動(dòng)態(tài)學(xué)習(xí)己通過認(rèn)證的用戶ARP,保障合法用戶的上網(wǎng)質(zhì)量。可信任ARP是一種介于 靜態(tài)和動(dòng)態(tài)ARP之間的地址表項(xiàng)。與靜態(tài)ARP不同,可信任ARP也有老化機(jī) 制,過期自動(dòng)刪除;可信任ARP有專門預(yù)留的地址空間,不會(huì)被動(dòng)態(tài)ARP所修 改。可信任ARP能夠自動(dòng)檢測(cè)用戶是否在線。可信任ARP老化時(shí),會(huì)自動(dòng)檢側(cè)用戶在線情況,如果用戶在線,會(huì)自動(dòng)恢復(fù)生存周期。
第二重:用戶端防御,如圖5-3 14
用戶端防御的實(shí)現(xiàn)方法如下:(1)在SMP上設(shè)置網(wǎng)關(guān)的正確IP-MAC對(duì)應(yīng)信息。(2)用戶認(rèn)證通過,SMP將網(wǎng)關(guān)的ARP信息下傳至SUo(3)SU靜態(tài)綁定網(wǎng)關(guān)的ARP o 通過用戶端防御,可以實(shí)現(xiàn)以下效果:(1)攻擊者冒充網(wǎng)關(guān)欺騙合法用戶。
(2)用戶已經(jīng)靜態(tài)綁定網(wǎng)關(guān)地址,欺騙攻擊無效。
第三重:交換機(jī)非法報(bào)文過濾,如圖5-4
交換機(jī)非法報(bào)文過濾,是通過S21和29系列交換機(jī)的安全功能來實(shí)現(xiàn)的,具體實(shí)現(xiàn)方法如下:(1)用戶認(rèn)證通過后,21交換機(jī)會(huì)在接入端口上綁定用戶的IP-MAC對(duì)應(yīng)信 息。
15(2)21交換機(jī)對(duì)報(bào)文的源地址進(jìn)行檢查,對(duì)非法的攻擊報(bào)文一律丟棄處理。(3)該操作不占用交換機(jī)CPU資源,直接由端口芯片處理。圖S-4 ARP防御的第三重—交換機(jī)非法報(bào)文過濾 交換機(jī)非法報(bào)文過濾可以實(shí)現(xiàn)以下的效果:(1)攻擊者偽造源IP和MAC地址發(fā)起攻擊。(2)報(bào)文不符合綁定規(guī)則,被交換機(jī)丟棄。
通過以上的三重立體ARP防護(hù)方法,解決了ARP欺騙中的網(wǎng)關(guān)型欺騙,中間人欺騙以及ARP泛洪攻擊,給我們的局域網(wǎng)帶來更加干凈的網(wǎng)絡(luò)環(huán)境。
5.2網(wǎng)絡(luò)管理方面
5.2.1入網(wǎng)身份驗(yàn)證
作為全局安全的身份基礎(chǔ)平臺(tái),SAM系統(tǒng)實(shí)現(xiàn)了蘇州托普信息職業(yè)技術(shù)學(xué) 院全體學(xué)生宿舍、教師宿舍、辦公和公共機(jī)房身份認(rèn)證。該系統(tǒng)基于802.1 x技 術(shù),實(shí)現(xiàn)了對(duì)用戶的身份和IP, MAC、交換機(jī)端口、交換機(jī)IP等信息嚴(yán)格綁定,一旦出現(xiàn)安全事件,可迅速追查到人。SAM系統(tǒng)提供的完善的計(jì)費(fèi)運(yùn)營(yíng)功能,為校園網(wǎng)運(yùn)營(yíng)提供了足夠的數(shù)據(jù)支撐。通過該系統(tǒng)的部署,有效的防止了IP地 址盜用,極大的減輕了校園網(wǎng)管理的運(yùn)營(yíng)負(fù)擔(dān),并為全局網(wǎng)絡(luò)安全提供了基礎(chǔ)身 份平臺(tái)。如下圖5-5,5-5份認(rèn)證
而入網(wǎng)身份驗(yàn)證的多元素綁定,也有效的杜絕了IP地址沖突現(xiàn)象的發(fā)生,只有用自己的IP才能登陸上網(wǎng),而通過用戶漫游功能,也實(shí)現(xiàn)了用戶在不同地 區(qū)認(rèn)證上網(wǎng)的需求。如圖5-6 16
5-6網(wǎng)身份驗(yàn)證多元素綁定
5.2.2防非法外聯(lián)
通過SAM的防非法外聯(lián)功能,可以限制接入主機(jī)的撥號(hào)、架設(shè)代理的功能,防止不受控的上網(wǎng)行為發(fā)生,將危險(xiǎn)置之網(wǎng)外,如圖5-3
圖
5-7加接入控制組
5.3小結(jié)
隨著網(wǎng)絡(luò)的普及,校園網(wǎng)給教師和老師的學(xué)習(xí)、生活、工作和院校的管理帶來了很大的便利,但隨之而來,也產(chǎn)生了許多問題。校園網(wǎng)系統(tǒng)龐大,設(shè)備來源多,管理復(fù)雜,師生的安全意識(shí)不強(qiáng),管理層資金短缺,各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞等諸多因素導(dǎo)致了校園網(wǎng)的不安全,如信息的泄露,非法用戶入侵,黑客攻擊等。17 因此,校園網(wǎng)的安全問題越來越受關(guān)注。本文分析了校園網(wǎng)的現(xiàn)狀及對(duì)校園網(wǎng)安全造成威脅的諸多因素,從而提出了校園網(wǎng)安全設(shè)計(jì)方案,解決了校園網(wǎng)的安全問題。
參考文獻(xiàn)
[1]劉永華,解圣慶,張鳳云。局域網(wǎng)組建、管理與維護(hù)[M]北京:清華大學(xué)出版社。
[2]劉欽創(chuàng)。網(wǎng)絡(luò)安全技術(shù)與應(yīng)用[J]2006.2.1期
[3]賈鐵軍,王堅(jiān),沈?qū)W東。網(wǎng)絡(luò)安全技術(shù)及應(yīng)用實(shí)踐教程[M]北京:機(jī)械工業(yè)出版社,2009.2 [4]趙安軍,徐邦海。網(wǎng)絡(luò)安全及應(yīng)用[M]北京:北京人民出版社。[5]田寶玉。計(jì)算機(jī)網(wǎng)絡(luò)與信息安全[M] 北京:北京郵電大學(xué)出版社。[6]劉欽創(chuàng)。現(xiàn)代計(jì)算機(jī)。[J]2006.3.25 期
致謝
首先感謝葉濤老師在我論文的選題、寫作過程中給予的細(xì)致關(guān)心和指導(dǎo)。在論文的選題和研究方面,葉老師提出了很多指導(dǎo)性的意見,很受啟發(fā)。
感謝學(xué)院三年來的授業(yè)解惑,使我在專業(yè)技術(shù)方面得到了很大的提高,開闊了視野,為今后的工作打下了良好的基礎(chǔ)。
感謝新鄉(xiāng)學(xué)院的同學(xué)們,大家一起學(xué)習(xí),一起探討,互相幫助合作,度過了充實(shí)快樂的時(shí)光。
最后,再次向所有幫助和關(guān)心過我的人們表示由衷的感謝!
張新
2010年4月12日
第三篇:物理教研工作總結(jié) 朱堅(jiān)
物理教研工作總結(jié) 朱堅(jiān)
本學(xué)期,物理科組在校領(lǐng)導(dǎo)的關(guān)心與支持下,本著團(tuán)結(jié)互助,努力工作的態(tài)度,以常規(guī)教學(xué)為重點(diǎn),以第二課堂活動(dòng)為發(fā)展的目標(biāo),扎實(shí)的做好各項(xiàng)基本工作,取得了一些成績(jī),現(xiàn)總結(jié)如下幾個(gè)方面 一:扎實(shí)做好常規(guī)教學(xué)工作
1、開學(xué)初,開了全組教師會(huì)議,學(xué)習(xí)了學(xué)校在本學(xué)期的工作計(jì)劃和校教導(dǎo)處的工作設(shè)想,明確了工作目標(biāo),制訂了物理組在本學(xué)的工作計(jì)劃,要求教師們認(rèn)真做好教學(xué)的常規(guī)工作,各班統(tǒng)一教學(xué)進(jìn)度,統(tǒng)一練習(xí),本學(xué)期的分層教學(xué)工作開展正常。課堂上注重分層教學(xué),在學(xué)生中開展“一幫一”活動(dòng),讓好成績(jī)學(xué)生在課外輔導(dǎo)成績(jī)較差學(xué)生,爭(zhēng)取共同上進(jìn)。
2、做好科組備課工作,按學(xué)校的要求,本學(xué)期認(rèn)真做好科組集體備課與備課組工作,在本學(xué)期共開展了11次科組活動(dòng),傳達(dá)與落實(shí)有關(guān)工作要求與交流教學(xué)心得與經(jīng)驗(yàn),在活動(dòng)中,大家積極發(fā)言,暢所欲言,把自己的教學(xué)困惑在科組中進(jìn)行交流,探討解決辦法,取得了較好的效果,實(shí)現(xiàn)了教研的有效性。
3、“一幫一”工作開展正常。本學(xué)期科組許文龍與黃丹、陳文龍與周潔芳結(jié)對(duì)子,實(shí)行幫扶工作,通過互相聽課,互相交流等方式,促進(jìn)教學(xué)水平的發(fā)展,效果還有待觀察。
4、以“三案定學(xué)”為教研平臺(tái),進(jìn)行“核心循環(huán)教學(xué)法”課堂教學(xué)改革:努力提高科組教師的教學(xué)水平,本學(xué)期許多老師上了公開課。本學(xué)期,在江主任親自帶領(lǐng)下,本科組在“核心循環(huán)教學(xué)法”方面做了嘗試,以“三案定學(xué)”為平臺(tái),由國正老師上了一堂“天平”的“同課異構(gòu)”課。江主任的親自參與課堂教學(xué),對(duì)全科組是一種極大的激勵(lì)。科組全體老師通過認(rèn)真聽課,課后,大家對(duì)“天平”一課進(jìn)行了熱烈的討論,并就三案定學(xué)的疑問與校長(zhǎng)進(jìn)行了交流與討論,讓大家對(duì)“三案定學(xué)”有了較全面與深刻的體會(huì)與認(rèn)識(shí)。通過本次活動(dòng),大家又積極參與到“三案定學(xué)稿”的編寫中,通過每人編寫一個(gè),在進(jìn)行討論的方式,大家確定了三案定學(xué)的編寫要求與原則,寒假期間也分工了大家對(duì)初二下冊(cè)的全冊(cè)內(nèi)容進(jìn)行分工。下學(xué)期將在初二進(jìn)行三案定學(xué)的教學(xué)嘗試。
5、積極參加市各種交流活動(dòng),提高教師的業(yè)務(wù)能力。本學(xué)期共參加了在龍洞中學(xué)、龍?zhí)吨袑W(xué)、舉行的“初中物理教學(xué)研討會(huì)”,通過聽課,講座,提高了大家教學(xué)水平。二:認(rèn)真開展第二課堂活動(dòng)
1、在校慶科技節(jié)活動(dòng)中,全組教師同心協(xié)力。承擔(dān)了校慶科技節(jié)的主要工作,如朱老師負(fù)責(zé)雞蛋撞地球,佘海英負(fù)責(zé)了科技知識(shí)大比拼,葉逸偉負(fù)責(zé)遙控車比賽,許文龍負(fù)責(zé)機(jī)器人滅火表演,葉樹權(quán)負(fù)責(zé)遙控飛機(jī)表演,陳文龍、葉逸偉、周潔芳負(fù)責(zé)紙火箭的知識(shí)講座與比賽。這些科技活動(dòng)的開展豐富了學(xué)生的知識(shí)。煅煉了學(xué)生能力,培養(yǎng)了學(xué)生學(xué)習(xí)興趣。
2、第二課堂活動(dòng)內(nèi)容豐富取得了一些成績(jī):本學(xué)期科組共承擔(dān)了初二奧物競(jìng)賽、初三奧物競(jìng)賽中學(xué)生物理創(chuàng)意實(shí)驗(yàn)興趣小組。這些活動(dòng)能做到定地點(diǎn),定時(shí)間,定人員。有計(jì)劃的開展。獲得單項(xiàng)比賽冠軍1人次,亞軍二等獎(jiǎng)2人次,季軍三等獎(jiǎng)3人次的好成績(jī)。
3、加強(qiáng)學(xué)生的科技創(chuàng)新與科技制作,在校科技節(jié)活動(dòng)中,共收到學(xué)生作品52件,在此基礎(chǔ)上評(píng)出了一、二、三等獎(jiǎng),并篩選出22件優(yōu)秀作品,在鎮(zhèn)博物館進(jìn)行展覽,取得了較好的效果。
第四篇:校園網(wǎng)安全管理?xiàng)l例
校園網(wǎng)安全管理?xiàng)l例
校園網(wǎng)是學(xué)校重要的基礎(chǔ)設(shè)施之一,為全體師生員工提供一種先進(jìn)、可靠、安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境,支持學(xué)校的教學(xué)、科研和管理工作。為充分發(fā)揮校園網(wǎng)的作用,特制訂本條例。
1.校園網(wǎng)的所有工作人員必須遵守國家有關(guān)法律、法規(guī),嚴(yán)格執(zhí)行安全保密制度,并對(duì)所提供的信息負(fù)責(zé)。
2.任何個(gè)人不得利用計(jì)算機(jī)網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密的活動(dòng);不得查閱、復(fù)制和傳播有礙社會(huì)治安和傷風(fēng)敗俗的信息。
3.校園網(wǎng)的所有工作人員和用戶必須接受和配合學(xué)校治安部門依法進(jìn)行的監(jiān)督檢查和采取的必要措施。
4.校園網(wǎng)實(shí)行統(tǒng)一管理、分層負(fù)責(zé)制。網(wǎng)絡(luò)中心對(duì)校管資源進(jìn)行管理,各部門管理人員負(fù)責(zé)部門級(jí)資源的管理,計(jì)算機(jī)系統(tǒng)管理員對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行管理。
5.嚴(yán)禁任何用戶擅自連入校園網(wǎng),入網(wǎng)單位和個(gè)人要辦理入網(wǎng)登記手續(xù),并簽署相應(yīng)的信息安全協(xié)議。
6.各部門設(shè)專人負(fù)責(zé)審查上網(wǎng)信息,嚴(yán)禁涉及國家機(jī)密的信息上網(wǎng)。
7.校園網(wǎng)工作人員和用戶在網(wǎng)絡(luò)上發(fā)現(xiàn)有礙社會(huì)治安和不健康的信息時(shí)有義務(wù)及時(shí)上報(bào)網(wǎng)絡(luò)管理人員,并自覺立即刪除。
8.校園網(wǎng)各部門管理機(jī)構(gòu)設(shè)定網(wǎng)絡(luò)安全員,負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作,并定期對(duì)網(wǎng)絡(luò)用戶進(jìn)行有關(guān)信息安全和網(wǎng)絡(luò)安全教育。
9.違反本條例規(guī)定,有下列行為之一者,校園網(wǎng)絡(luò)中心可提出警告或停止其使用網(wǎng)絡(luò);情節(jié)嚴(yán)重者,提交校行政部門或有關(guān)司法部門處理。
查閱、復(fù)制或傳播下列信息的;
煽動(dòng)分裂國家、破壞國家統(tǒng)一和民族團(tuán)結(jié)、推翻社會(huì)主義制度;
煽動(dòng)抗拒、破壞憲法和國家法律、行政法規(guī)的實(shí)施;
捏造或者歪曲事實(shí),故意散布謠言,擾亂社會(huì)秩序;
公然侮辱他人或者捏造事實(shí)誹謗他人;
宣揚(yáng)封建迷信、淫穢、色情、暴力、兇殺、恐怖等;
破壞、盜用計(jì)算機(jī)網(wǎng)絡(luò)中的信息資源和危害計(jì)算機(jī)網(wǎng)絡(luò)安全活動(dòng);
盜用他人賬號(hào);
私自轉(zhuǎn)借、轉(zhuǎn)讓用戶賬號(hào)造成危害;
故意制作、傳播計(jì)算機(jī)病毒等破壞性程序;
不按國家和學(xué)校有關(guān)規(guī)定擅自接納網(wǎng)絡(luò)用戶;
上網(wǎng)信息審查不嚴(yán),造成嚴(yán)重后果。
第五篇:校園網(wǎng)安全管理?xiàng)l例
校園網(wǎng)安全管理?xiàng)l例
校園網(wǎng)是學(xué)校重要的基礎(chǔ)設(shè)施之一,為全體師生提供一種先進(jìn)、可靠安全的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境,支持學(xué)校的教學(xué)、科研管理工作。為充分發(fā)揮校園網(wǎng)的作用,特制訂本條例。
1、校園網(wǎng)的所有工作人員和用戶必須遵守國家有關(guān)法律、法規(guī),嚴(yán)格執(zhí)行安全保密制度,并對(duì)所提供的信息負(fù)責(zé)。
2、任何個(gè)人不得利用計(jì)算機(jī)網(wǎng)絡(luò)從事危害國家安全、泄露國家秘密的活動(dòng)。不得查閱、復(fù)制和傳播有礙社會(huì)治安和傷風(fēng)敗俗的信息。
3、校園網(wǎng)的所有工作人員和用戶必須接受并配合學(xué)校治安部門依法進(jìn)行的監(jiān)督檢查和采取必要的措施。
4、校園網(wǎng)實(shí)行統(tǒng)一管理,分層負(fù)責(zé)制,網(wǎng)絡(luò)中心對(duì)校管資源進(jìn)行管理,各科室、部門管理人負(fù)責(zé)對(duì)各科室、部門資源進(jìn)行管理,計(jì)算機(jī)系統(tǒng)管理人員負(fù)責(zé)對(duì)各計(jì)算機(jī)系統(tǒng)的管理。
5、嚴(yán)禁任何用戶擅自連入校園網(wǎng),入網(wǎng)單位和個(gè)人要辦理入網(wǎng)登記手續(xù),并簽署相應(yīng)的信息安全協(xié)議。
6、各單位設(shè)專人負(fù)責(zé)審查上網(wǎng)信息,嚴(yán)禁涉及國家機(jī)密的信息上網(wǎng)。
7、校園網(wǎng)工作人員和用戶在網(wǎng)絡(luò)上發(fā)現(xiàn)有礙社會(huì)治安和不健康的信息時(shí),有義務(wù)及時(shí)上報(bào)網(wǎng)絡(luò)管理人員并自覺立即銷毀。
8、校園網(wǎng)各級(jí)管理機(jī)構(gòu)設(shè)定網(wǎng)絡(luò)安全員,負(fù)責(zé)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作,并定期對(duì)網(wǎng)絡(luò)用戶進(jìn)行有關(guān)信息安全的網(wǎng)絡(luò)安全教育。
9、違返本條例規(guī)定,有一列行為之一者,校園網(wǎng)絡(luò)中心可提出警告,并停止其使用網(wǎng)絡(luò)。情節(jié)嚴(yán)重者,提交校行政部門和有關(guān)司法部門處理。
1)查閱復(fù)制傳播下列信息的:
A)煽動(dòng)分裂國家,破壞國家統(tǒng)一和民族團(tuán)結(jié)、推翻社會(huì)主義制度。
B)煽動(dòng)抗拒、破壞憲法和國家法律、行政法規(guī)的實(shí)施。
C)捏造或者歪曲事實(shí),故意散布謠言,擾亂社會(huì)次序。
D)公然侮辱他人或捏造事實(shí)毀謗他人。
E)宣揚(yáng)封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
2)破壞、盜用計(jì)算機(jī)網(wǎng)絡(luò)中的信息資源和危害計(jì)算機(jī)網(wǎng)絡(luò)安全活動(dòng)。
3)盜用他人帳號(hào)。
4)私自轉(zhuǎn)借、轉(zhuǎn)讓用戶帳號(hào)造成危害。
5)故意制作、傳播計(jì)算機(jī)病毒等破壞性程序。
6)不按國家和學(xué)校有關(guān)規(guī)定擅自接納網(wǎng)絡(luò)用戶。
7)上網(wǎng)信息審查不嚴(yán),造成嚴(yán)重后果。
點(diǎn)擊咨詢 