高校实验室网络安全管理的策略.docVIP

高校实验室网络安全管理的策略 　　摘要：随着计算机技术的普及，各大高校都建立起计算机实验室，以满足各个专业的学生，对不同课程的学习需求。实验室网络作为教学、培训、考试等大量繁重的教学任务的基础平台，在受到校园网网络安全影响的同时，又有自己独有的安全隐患和安全需求。本文从高校计算机实验室具体应用入手，分析了实验室网络可能存在的安全隐患，进而提出了相应的安全管理策略。 　　关键词：实验室网络安全 校园网安全 防火墙 安全策略 　　中图分类号：TP303.08 文献标识码：A 文章编号：1007-9416（2013）09-0173-02 　　引言 　　高校计算机实验室承担着教学、培训、考试等大量繁重的教学任务。特点是：应用软件众多，实验操作繁杂且不固定，机器台数多，上机学生不固定。因此可能会导致很多计算机或网络异常，如何有效的对计算机实验室网络进行安全管理就成为一个值得研究的问题。 　　1 实验室网络结构与任务分析 　　1.1 网络结构 　　结合众多课程实训要求，大多数实验室为学生搭建了一套满足各种局域网交换和广域网路由测试需求的基础网络平台，使学生在学习众多应用软件的同时，还可实现用户管理、服务器配置、模拟各类实验环境。80%以上都是基于10/100M交换机或路由器连接成星型拓扑结构，利用校园局域网连入互联网。 　　1.2 实验任务 　　软件应用实验：办公自动化、网页设计、图片处理、图象、声音等媒体数据处理。 　　网络应用实验： DNS、DHCP、WWW、域控制器、邮件服务器等多种服务器的配置；网站建设，基于Socket的C/S编程，基于B/S编程等。 　　2 计算机实验室网络普遍存在的问题 　　（1）为了满足教学需要安装了多种软件，电脑的运行速度较慢。计算机实验室几乎全天对学生开放，在超负荷运行下计算机出现故障率高，机器维护任务较重。（2）学生对计算机操作不熟练或不当操作，容易造成部分系统文件删除或破坏；学生随意修改主机密码、CMOS设置、修改注册表内容或本地安全策略，导致电脑系统无法正常运行。（3）学生私自将个人移动硬盘、U盘、MP3等带入机房，安装大量的个人文件、导致电脑系统运行速度降低，甚至导致大量文件感染病毒，使管理的难度加大。（4）学生从外网下载文件或者访问带有病毒的网站时，感染病毒可能造成系统及网络的瘫痪甚至崩溃。（5）基于教学要求，在局域网上实现资源共享或者教学广播，使病毒在局域网内大面积传播，加重了计算机病毒的查杀难度。 　　（6）学生在实验室内吃零食、早餐，污染实验室环境或导致计算机短路，还有学生私自移动机器，可能造成计算机硬件损坏。 　　因此，为保证学生机快速恢复、优化，必须建立起一套行之有效的系统维护方案，用以保证实验教学的顺利进行，减轻实验室管理人员的工作量。 　　3 安全管理策略 　　3.1 基础校园网网络安全策略 　　3.1.1 网络安全结构 　　校园网络安全是实验室网络安全的基础保障。应制定统一的骨干网安全策略，保证基础网络平台的安全性。 　　校园网可采用了包括路由器、防火墙和入侵检测系统在内的三层结构化防御系统。 　　第一层防护由防火墙实现。可独立配置防火墙，对内外网之间的通信进行严格过滤，保障内网信息安全。 　　第二层防护由边界路由器实现。边界路由器提供Internet与校园网的连接，利用Cisco路由器上所具有的PIX防火墙功能，可将学校的WWW服务器、DNS服务器、E-Mail等服务器一起放于PIX防火墙的DMZ区，从而阻止外部用户对各服务器进行删除、修改等非法操作，防止来自外部的攻击。 　　第三层防护由入侵检测系统来完成。合理配置检测系统，对校园网内用户操作、设备、端口、服务、账户管理、流量等信息进行统计分析，可利用故障自动报警、检测日志，及时发现网络异常并处理。 　　3.1.2 IP规划 　　目前我校为实现网络统一管理，使用静态IP地址，学生在首次利用帐户和口令登陆校园网后，网络中心负责身份审核的服务器在身份验证的同时，将其IP与MAC地址进行绑定。在后期用户通信中定时检测地址信息，发现MAC地址变换时，强行退出连接，但此种方法IP利用率明显降低，而且给用户使用带来诸多限制，且接入层上只能使用交换机。学生为实现帐户共享而选择其他网络接入方式，给我们后期网络安全管理埋下隐患。 　　为解决上述问题，建议配置DHCP服务器，动态配置IP地址。但此举措实施后，用户如果私自建立DHCP服务器，可能造成网络管理的混乱。 　　为防止用户私自建立DHCP服务器造成网络管理的混乱，在建网初期可选用支持DHCP Snooping功能的接入交换机。保证用户的IP地址只能由网络中心分配，而不能接受非法的IP提供。 　　为防止用户将IP地址手动设置成与服务