王宏利
浙江省温州中学 浙江 温州 325000
【摘要】
数字化校园网是教育城域网的一个类别,是教育行业的一个专网,为学校部门所拥有和使用,提供学校、教育单位等局域网的互联途径,是以网络技术为基础的区域性教育整体信息化集成应用系统。
【关键字】 校园网 网络安全 防范
要想清楚校园网的安全需求及应对防范措施,首先要了解一下为什么要建设数字化校园网。建设校园网的目的有:
(1)为了满足各类信息化教育应用,像基于IP网络的视频会议和远程评教、网络教研、教育资源建设、无纸化办公等。
(2)购买交换机和应用服务器,集中存放学校WEB网站、OA办公系统等,实现(1)中提到的功能。
(3)规范用户上网行为,拦截不良网站内容,记录用户上网日志。
由此,可看出校园网的安全需求以及要应对的防范措施首先是要保障这些应用的稳定运行与其数据的安全可靠;其次要保障内网的畅通,数据流量的健康,以便公安部门调查取证。
一、校园网应用面临的威胁
威胁一,安全制度可操作性不强、不健全
学校网络中心都建立了相应的管理制度和安全制度,甚至都张贴在墙上或印刷成手册的形式。但笔者发现这些制度的可操作性一般都不强。比如:某人负责网络安全和保密工作,建立健全安全保护管理制度,建立计算机信息网络电子公告系统的用户登记和信息管理制度,定期更改超级口令……。而且,对于这些制度的执行也缺乏相应的监督机制,即使有,也大多形同虚设。
威胁二,服务器和网络设备被扫描或攻击
这类威胁主要是指一些来自外网的攻击。对学校校园网来说,来自外网的扫描和攻击主要集中在网络出口处。校园网的出口多集中在市级电教馆网络中心,这些常受扫描和攻击的设备包括服务器、防火墙、路由器和专用出口设备等,尤其是服务器,受攻击的可能性更大。
威胁三,异常流量泛滥
异常流量的危害不言而喻,产生的原因有很多,但通常情况下有以下几种:
1、使用P2P软件
这类软件的特点是在处于外网的各个客户端软件之间,使用点对点的连接,能提高软件的互联网访问速度,也就是提高了单位时间内用户的网络使用流量。如现在较流行的迅雷下载软件,采用了网络资源共享方式,笔者曾做过测试,下载500MB的文件,用时9分钟,上行流量却达到1.5GB,即你开着迅雷不件下载,也会为其他用户提供共享。
2、计算机病毒或木马产生流量
计算机感染一些特定的病毒、蠕虫、或木马程序后,会自动在操作系统后台向外网某些服务器发送大量数据。当用户电脑资源占用较多或网卡流量过大时,通常会感觉上网慢或打不开网页,有时正常的鼠标操作都会受到影响。此时产生的流量之大,可能是致命的,不但占用大量的带宽,还可能冲垮与之直连的交换机,冲垮上层的NAT设备。
3、程序插件产生的流量
老师们在上网或安装软件的过程中,在没有仔细观察的情况下安装了一些系统插件,这些插件虽然不会被杀毒软件认为是病毒,但很有可能在系统后台向外某些服务器发送大量数据,从而造成一定的网络流量。例:百度、谷歌工具条等。
4、坏掉的网卡或交换机端口产生流量
当网卡坏掉或交换机的某些端口坏掉时,可能会产生大量的数据包,此时通过抓包工具分析数据包的MAC信息,可以判断出信息的来源。
笔者曾经碰到一个交换机的多个物理端口同时坏掉的情况,当时是该交换机坏掉的端口指示灯闪烁频率非常高,而它下面连接的用户电脑根本无法打开网页,网关也Ping不通。通过抓包发现,该交换机正不断地发送大量半连接或无效的连接,重启或恢复出厂配置都无法恢复正常。
5、黑客软件的使用
网内一些好奇心较强的教师和学生、有时会使用一些网络执法官、网络剪刀手之类的黑客软件,尝试对校园内部网络交换和服务器进行攻击,由此产生的广播风暴影响更大。
威胁五,操作系统和应用软件的安全漏洞
漏洞也可以理解为某种形式的脆弱性,网络结构、服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞,给校园网内用户造成的不良影响更大。用户对外网的非法访问威胁(如浏览一些不良网站等)以及不正常下载文件等行为,都可能将木马、蠕虫、病毒等程序带入内网,产生网络安全问题。
二、校园网应用的防范措施
针对校园网上述存在的特点,必须进行统一管理和安全规划。具体来说,需要做好以下几方面的工作:
第一、建立切实可行的安全管理制度
根据笔者的经验,管理制度的制定首先要注意制度的可操作性,一定要具体,不能笼统,要明确要求每个人做什么。
比如,把安全管理工作写入具体日期的工作计划。例:信息处主任每月的哪一天检查网络管理员的工作情况,每周的哪几天备份各类应用数据,每月的哪一天彻底清理一次机房设备的灰尘等。
第二、服务器和网络设备的安全配置
笔者学校为了提高网速和网络的冗余性,还配置了多个Isp出口。针对网络攻击还配置了防火墙、路由器等网络设备。出于安全考虑,常规做法是:在外网通过Web管理网络时,一定要用HTTPS协议。只需开放服务器的80,21端口即可,内外网只能访问服务器开放的服务,服务器不能主动访问外网。
服务器除了上述安全问题考虑外,在数据应用备份方面还应采取更安全的办法。从性价比和中长期发展来说,笔者建议采用以下二种方式:
(1)共享存储。适用于数据量较大、稳定性较高的应用。两台服务器通过双机软件、网卡连接实现。连接存储采用HBA卡,每服务器采用两块HBA卡,6块以上硬盘做RAID6,做到双卡备份和允许同时损坏任何两块硬盘而系统不受影响,如图1所示。
(2)NAS存储。适用于后台数据量较大的应用,像教学资源库、网络硬盘平台等。NAS设备主要用来实现在不同操作系统平台下的文件共享。NAS设备的使用和管理比较简单,并且容量大,扩展成本低。而且进行数据在线扩容时也无需停顿,从而保证数据流畅存储,如图2所示。服务器1与服务器2做双机,独立服务器3,独立服务器4,它们虽然可能装有不同的操作系统,但是可以共享NAS存储。
.png)
第三,合理分配IP,确保内网安全
采用私有IP可以保证校园网的每一台电脑都可以分到一个IP地址,且校园网内划分多个VLAN,有效减少或隔断某些异常流量或广播风暴。教师电脑第一次接入校园网,首先要进行登记所有用户的IP和MAC地址,便其是教师姓名一一对应,并通过上网行为管理设备或接入层交换机把用户IP与MAC地址绑定。
第四,加强入侵检测和漏洞扫描管理
校园网络安全不可能完全依靠防火墙单一产品来实现,网络安全是整体的,必须配相应的安全产品,作为防火墙的必要补充。入侵检测是在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
漏洞扫描程序是一种自动检测远程或本地主机安全漏洞的程序。网络扫描系统可以对网络中所有部件进行攻击性扫描、分析和评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施,并生成报告和安全建议,帮助管理员强化网络的安全性。
第五,加强对网内用户管理和培训
用学校每周要召开的例会时间,向参会者的教师培训一些简易的网络安全做法;通过在校园网上不定期发布个人电脑的安全做法,并提供一些免费的杀毒软件及相关的安全辅助产品,让用户自由下载;并通过上网行为管理设备过滤黄色、暴力、反动、弹出网页游戏等网站或关键字,限制用户的上网行为。
随着数字化校园建设的推进,原先低效的、被动式的、面向硬件系统为主的校园网监管体系必须要提升到更高效、主动式的、面向服务为主的运维管理模式,只有这样才能满足数字化校园网安全稳定绿色可持续发展的需求。
【参考文献】
[1]黄 东 《网管员世界》
[2]秦国周 《校园网的安全分析及防范措施》