如何維護校園網絡安全,隨着校園網絡的普及,校園網絡的安全問題直接影響着學校各項教育教學活動的開展,校園網絡安全也越來越被重視,那如何維護校園網絡安全呢?下面就和大家一起接着往下看吧!
如何維護校園網絡安全1
網絡邊緣安全區
網絡邊緣安全區所處的位置在校園網絡與外網的銜接處,處在整個校園網絡的邊界區域,這個區域的物理設備主要的功能一是通過電信接入Internet。 二是通過學校接入中國教育網。三是聯接學校內網並實現校內資源共享上網。四是發佈對外服務器和提供遠程訪問服務。網絡邊緣安全區直接面臨的就是外部高風險連接,在這個網絡區域的物理設備既要保證聯接外網又要保證校園網絡正常事務的運行。所以網絡邊緣安全區的
網絡邊緣安全區
主要需求爲:
禁止外部用戶非法訪問校內網絡資源。校園網絡進出的流量記錄信息。將校園網絡內網IP地址隱藏。有條件的提供安全的遠程訪問服務。具備檢測和抵禦入侵的能力。確保校園網絡用戶身份真實可靠,這是保證校園網絡安全的最基本要求,當然合法的用戶也會做出威脅校園網絡安全的事情,還需詳細記錄用戶對網絡資源的訪問行爲和訪問信息,便於之後的審計和追溯。
確保校園網絡用戶身份真實可靠
核心匯聚安全區
核心匯聚安全區域的設備是整個校園網絡的關鍵節點,在校園網絡中確保所連接的主幹網絡高速和穩定的傳輸,並作爲校園網絡流量的匯聚中心,核心匯聚設備在控制數據傳輸方面起着重要作用。核心匯聚安全區主要需求爲:
根據具體用途劃分VLAN網段。各網段間實施訪問控制。根據用途對設備端口進行綁定。對設備端口的最大連接數進行限制。預防病毒流量的傳輸。劃分VLAN,主要是縮小了廣播域,一方面是防止基於廣播的病毒感染整個校園網絡,比如近期的勒索病毒就是一個基於廣播的病毒。另一方面可以實現某.種用途的訪問控制,這樣就能控制VLAN間的數據傳輸,比如辦公段、宿舍區段、校園卡段等。
某校園網絡的拓撲圖
接入層安全區
接入層安全區主要面臨的威脅是接入主機感染的病毒利用二層協議的相關漏洞進行攻擊,如MAC地址泛洪攻擊、ARP欺騙攻擊等。接入層設備直接與用戶的主機相連,如何識別接入主機用戶身份的'合法性也是接入層設備在部署和配置時要做的工作。另外校園網絡提供的接入點數量龐大,而且用戶成份不同,可能人爲的造成端口環路的現象。因此,接入層安全區的需求爲:
配置接入主機對應的VLAN段。主機端口綁定。採用二次身份認證。設備接入主機數限制。防ARP攻擊。端口環路檢測。服務器羣安全區
校園網絡的服務器主要集中在計算機中心機房,主要有學校的門戶網站服務器、VP N服務器以及各種應用系統服務器。爲了確保這些服務器的安全主要從管理、技術和防範三個方面入手。根據服務器的用途可以分成對外服務和對校內服務兩個安全區域。對外的服務器區放置的服務器相對於校園內網的服務器來說屬於高風險區域,所以必須將對外服務器區與校園內網的通訊進行控制。另外校園內網中各種應用服務器安全性也不相同,爲了防止出現被入侵的服務器成爲“肉雞”,來進一步攻擊其它的服務器,所以在服務器之間還需要實施隔離。服務器安全區的需求爲:
服務器隔離。端口訪問控制。設置DMZ區。防病毒。漏洞掃描。補丁升級。建立日誌服務器。目前還沒有專門收集各個網絡設備日誌以備事後審計和追溯的円志服務器。如果要查看某個網絡設備的日誌,必須通過該設備提供的接口訪問查詢,相對比較麻煩,所以建立日誌服務器,定期對日誌服務器進行審計,可以及時發現安全風險,及時杜絕安全漏洞。
杜絕安全漏洞
主機安全區
校園網絡中每一個客戶端帶來的安全威脅主要是病毒和木馬,它們可以作爲一個校園網絡的接入點,對校園網絡造成威脅。主機安全區的需求主要爲安裝網絡安全軟件,如防病毒軟件、桌面防火牆軟件、漏洞掃描工具和補丁升級軟件等,儘可能的保證接入主機的安全。
確保主機安全
其它的安全需求
傳輸線路的安全。校園網絡傳輸線路所經過的物理位置必須遠離具有電磁千擾、福射干擾等數據信號干擾源(如東側的移動和聯通的倍號駐站)。校園網絡線路的安全傳輸。必須採取相應的檢測手段來減少傳輸線路中數據的偵聽、竊取、QoS下降及欺騙等。加強網絡維護人員的管理。配置門禁系統、監控系統,增強相關設施的安全保衛,對進入機房的人員進行管理(比如刷校園卡進行管理),建立《機房出入記錄日誌》。
對校園網絡目前的現狀進行調研。通過基於專家評分的網絡安全評估方法對校園網絡進行風險評估,得到校園網絡安全處在高風險的結果,針對校園網絡的安全現狀及暴露的安全問題,通過拓撲結構將校園網絡劃分成網絡邊緣安全區、核心匯聚安全區、接入層安全區、服務器羣安全區和主機安全區五個區域分別的進行了安全需求分析,最後補充了其它方面的安全需求,最終完善了校園網絡的安全需求。
如何維護校園網絡安全2
校園網絡分爲內網和外網,就是說他們可以上學校的內網也可以同時上互聯網,大學的學生平時要玩遊戲購物,學校本身有自己的服務器需要維護;
在大環境下,首先在校園網之間及其互聯網接入處,需要設置防火牆設備,防止外部攻擊,並且要經常更新抵禦外來攻擊;
由於要保護校園網所有用戶的安全,我們要安全加固,除了防火牆還要增加如ips,ids等防病毒入侵檢測設備對外部數據進行分析檢測,確保校園網的安全;
外面做好防護措施,內部同樣要做好防護措施,因爲有的學生電腦可能帶回家或者在外面感染,所以內部核心交換機上要設置vlan隔離,旁掛安全設備對端口進行檢測防護
內網可能有ddos攻擊或者arp病毒等傳播,所以我們要對服務器或者電腦安裝殺毒軟件,特別是學校服務器系統等,安全正版安全軟件,保護重要電腦的安全;
對服務器本身我們要安全server版系統,經常修復漏洞及更新安全軟件,普通電腦一般都是撥號上網,如果有異常上層設備監測一般不影響其他電腦。做好安全防範措施,未雨綢繆。
如何維護校園網絡安全3
校園網絡安全及防範措施
校園網絡安全及防範措施校園網建設的宗旨,是服務於教學、科研和管理,其建設原則也無外乎先進性、實用性、高性能性、開放性、可擴展性、可維護性、可操作性,但人們大多都忽略了網絡的安全性,或者說在建設校園網過程中對安全性的考慮不夠。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起Internet計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心。人們在享受到網絡的優越性的同時,對網絡安全問題變得越來越重視。由於學校是以教學活動爲中心的場所,網絡的安全問題也有自己的特點。
主要表現在:
1.不良信息的傳播。在校園網接入Internet後,師生都可以通過校園網絡在自己的機器上進入Internet。目前Internet上各種信息良莠不齊,有關色情、暴力、邪教內容的網站氾濫。這些有毒的信息違反人類的道德標準和有關法律法規,對世界觀和人生觀正在形成的學生來說,危害非常大。如果安全措施不好,不僅會有部分學生進入這些網站,還會把這些信息在校園內傳播。
2.病毒的危害。通過網絡傳播的病毒無論是在傳播速度、破壞性和傳播範圍等方面都是單機病毒所不能比擬的。特別是在學校接入Internet後,爲外面病毒進入學校大開方便之門,下載的程序和電子郵件都可能帶有病毒。
3.非法訪問。學校涉及到的機密不是很多,來自外部的非法訪問的可能性要少一些,關鍵是內部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案,使正常的教學練習失去意義。更有甚者,有的學生可能在考前獲得考試內容,嚴重地破壞了學校的管理秩序。
4.惡意破壞。這包括對網絡設備和網絡系統兩個方面的破壞。網絡設備包括服務器、交換機、集線器、通信媒體、工作站等,它們分佈在整個校園內,管理起來非常困難,某些人員可能出於各種目的,有意或無意地將它們損壞,這樣會造成校園網絡全部或部分癱瘓。另一方面是利用黑客技術對校園網絡系統進行破壞。表現在以下幾個方面:對學校網站的主頁面進行修改,破壞學校的形象;向服務器發送大量信息使整個網絡陷於癱瘓;利用學校的BBS轉發各種非法的信息等。
