中小学校园网安全探索与实践.docVIP

中小学校园网安全探索与实践 　　普通中小学一般没有专业校园网安全保障团队。为降低网络安全威胁、保证校园网络安全，总结了校园网管理过程中的探索与实践，重点从严格规范的接入管理、适当部署防火墙和上网行为管理路由器、设置VLAN划分IP子网、做好计算机系统安全和服务器安全管理等方面提出了有效的操作方案。 　　校园网安全保障黑客攻击防火墙VLAN设置随着因特网的日益普及，普通中小学建设自己的校园网已成为大势所趋。应发展需要，我校建设了自己的校园网。可学校没有专业网络安全保障团队，如何保证校园网的安全已成为校园网建设与使用中的难题。在建网之初，我接过了规划与维护校园网的重任，通过着自己不断地学习、探索与实践，使学校网络运行保持安全稳定。现将探索与实践的收获总结出来与各位同仁探讨，以求抛砖引玉。 　　一、校园网安全面临的威胁 　　校园网建成后，特别是接入因特网后，面临多方面的威胁，概括起来主要有：网络设备的威胁、人为的无意失误、恶意攻击的威胁和软件漏洞的威胁。 　　具体威胁有：网络中的路由器、防火墙等设备本身是否预留后门或安装窃听装置，其是否可靠对网络的威胁；地震、雷击等自然灾难对网络设备的威胁；操作员安全配置不当造成的安全漏洞；操作员安全意识不强，不慎重地选择用户口令，或将自己的账号随意告诉他人或与他人共享等都会对网络安全带来威胁；恶意攻击是计算机网络所面临的最大威胁；网络自身在操作系统、数据库以及通信协议等方面存在着安全漏洞和隐蔽信道等不安全因素；网络软件也不可能百分之百的无缺陷和无漏洞。而这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客侵入网络内部的事件，大部分就是安全措施不完善招致的苦果。 　　二、校园网安全策略探索与实践 　　要保证校园网安全，首先应确定网络安全保护工作的目标和对象，即校园网安全策略。网络安全应包括：设备安全、用户安全、数据安全和软件系统安全。即保证网络设备运行可靠，在发生自然灾难或遭到硬摧毁时仍能不间断运行，具有容灾抗毁和备份恢复能力；保证接入网络的用户是可信的，用户接入网络应严格受控，上网必须登记并许可，防止恶意用户对网络系统的攻击破坏；保证在网络上传输、处理、存储的数据是可信的，防止搭线窃听、非授权访问或恶意篡改；保证软件系统安全可信，没有预留后门或逻辑炸弹。 　　校园安全是校园网安全的前提与保障。确保校园安全，就要先做好校园防盗、防雷和用电安全。重要网络设备还要安装不间断电源和稳压设备，做到不间断稳定运行。校园网接入因特网后，黑客泛滥问题是校园网安全面临的最大难题。为了消除隐患，保证校园网的安全，我主要进行了以下探索与实践： 　　1.严格规范的接入管理 　　保证校园网安全首先要保证接入网络的用户是可信的，这包括校园网内部用户和访问校园网的用户。校园网内部用户接入网络应严格受控，上网必须登记并许可，防止恶意用户对网络系统的攻击破坏；对从因特网访问校园网的用户，要验证用户的身份和权限、防止用户越权操作，以保证网络资源不被非法使用和访问，防止恶意用户对网络系统进行攻击破坏。在实践中，我们执行入网登记制度，给每台入网计算机分配固定IP地址，并在路由器上做好IP地址与MAC地址绑定，然后再配合账号认证对接入用户进行实名登记，确保每个入网用户都是可信的。 　　2.部署防火墙和上网行为管理路由器 　　首先在校园网最前端部署防火墙，用来在校园内网和公网的通信通道上建立一个访问控制点，限制和控制校园网和外网之间的相互访问。其次在办公区、教学区和生活区的网络连接处各部署上网行为管理路由器来认证接入用户和控制访问权限，确保访问安全通畅。 　　3.设置VLAN划分IP子网 　　除了防止外来黑客攻击之外，校园网内部的访问控制也极为重要，特别是办公区、教学区和生活区网络间的访问控制。设置VLAN划分IP子网是解决内部安全问题的一个有效方法。 　　IP子网一般基于VLAN划分，即一个VLAN分配一个IP子网。我将整个校园网划分成教学、生活和办公三个子网，即三个VLAN。从网络角度看各个子网内部可以实现无控制的资源共享，子网间通信必须通过第三IP包的源地址和目的地址及端口号、协议等决定转发或丢弃该包，从而达到控制子网间访问的目的。 　　4.确保计算机系统安全 　　入网的每台计算机都要安装杀毒软件，做好病毒防治工作。该项工作首先由入网用户选择安装高安全性能的杀毒软件，如360杀毒、金山毒霸等，并对该软件进行及时地升级与更新，使用最新的病毒库定期对系统进行扫描，以防范和在第一时间内消灭病毒。其次要安装漏洞修复软件，定期扫描系统，及时封堵操作系统和应用软件的安全漏洞。我校现主要通过单机病毒防治与漏洞修复来保证各计算机系统安全，有条件时将会考虑使用网络版软件统一管理，对整个网络安全进行全面防