前言：本站為你精心整理了中小學校園網安全管理探析范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

1校園網絡安全問題的分析

1.1病毒傳播“重災區”

校園網在提供給廣大師生工作方便的同時,也變成了病毒傳播最快捷的途徑,特別是P2P等網絡新技術的運用,通過P2P下載的程序、電影、軟件和電子郵件都可能帶有病毒。網絡病毒輕則會大量占用有限的帶寬,使網絡速度變慢,重則會導致用戶的信息和重要數據外泄,造成嚴重的后果。

1.2安全意識“薄弱區”

早期的網絡結構中,只有防火墻設備對服務器群進行安全防護,其主要手段是端口控制和包過濾等措施,這些防護措施在Web2.0時代到來后,在P2P技術廣泛應用和接入終端多樣化的情況下,已略顯不足,但很多網管人員還沒有引起足夠的重視,淡化了安全防范的意識。現在,隨著黑客攻擊工具(如灰鴿子、特洛伊木馬、DDoS攻擊軟件)的“傻瓜”化使用,大大增加網絡受攻擊的可能性。

1.3人為破壞“試驗區”

網絡設備包括路由器、行為管理、防火墻、服務器以及交換機等,其中路由器、行為管理、防火墻、服務器等設備一般都放置于中心機房,受到人為的破壞可能性要小一些,而接入交換機、光纖和網線則分布在校園內的各個建筑中,某些人員可能出于好奇或試驗的目的將它們有意無意地損壞,造成校園網絡的癱瘓。另一方面是好奇心重的師生或不法人員利用黑客工具對校園網絡系統進行破壞,如侵入學校數據庫,在學校論壇上鏈接非法或虛假信息,利用ARP欺騙軟件試驗網絡的管理水平等。

1.4軟件自身“漏洞區”

在目前的校園網絡中,絕大多數用戶都在使用微軟的windows操作系統和運行于windows操作系統之下的各類應用軟件,這些系統軟件和應用軟件由于技術的原因或多或少都存在著安全漏洞,而這些安全漏洞的存在,可能會被病毒或黑客利用,使得校園網絡安全受到極大的威脅。如廣大師生廣泛使用的Flash插件、Office辦公軟件、QQ等即時通訊軟件和各類在線視頻播放軟件等。特別是IE瀏覽器,不斷爆出高危漏洞,近日,又曝出cve編號為cve-2012-4969,遠程攻擊者可利用這個漏洞執行任意代碼。

1.5非法信息“集散區”

許多中小學校園網經過多年的建設,網絡拓撲結構較為復雜,使網絡的監控變得非常困難。特別是隨著無線網的高速普及應用,各種自帶設備(BYOD)和無線智能終端(如ipad、智能手機)的接入,加劇了網絡管理的難度。加上現在網絡上各種論壇、blog、微信等個人信息渠道的泛濫,網民網絡道德行為失范,導致互聯網上的非法信息泛濫成災,使校園網成為非法信息的集散區。綜上所述,校園網安全管理應從兩方面入手:一方面是建立健全網絡使用的各種制度,規范用戶的上網行為,提高校園網用戶安全防范意識;另一方面是從設備入手,選用先進的網絡設備,利用先進的網絡技術,構建相對安全的網絡體系。

2校園網絡安全問題的對策

2.1完善網絡制度建設

制度管理是保障網絡安全管理的基礎,為了加強對計算機信息網絡的安全保護,維護網絡秩序,學校應加強相關法律法規的學習和宣傳。如《中華人民共和國計算機信息系統安全保護條例》《中華人民共和國計算機信息網絡國際聯網管理暫行規定》及《“兩高”明確利用互聯網手機等傳播淫穢電子信息犯罪行為適用法律標準》等政策法規的學習。學校還可依據相關的政策法規制定學校網絡管理的制度,從制度上保證網絡的安全正常運行、規范網絡用戶的網上行為,從認識上提高網絡用戶的安全意識。

2.2強化技術防范手段

保障網絡安全運行不能僅靠制度,只有不斷強化技術防范手段,提高安全風險意識,不迷信任何安全神話,從技術上構筑相對安全的“堡壘”才是行之有效的策略。

2.2.1重視一“墻”之隔

在網絡邊界配置防火墻,利用硬件防火墻的強大功能為網絡提供安全保護是當前中小學校園網的通行做法。但很多網絡管理員并沒有高度重視防火墻的防“火”作用,策略配置不夠全面,甚至使用設備的初始密碼,將網絡之門洞開。由于技術的原因,早期的防火墻配置較為復雜,也制約了性能的發揮。隨著網絡技術的發展,部分硬件廠商已推出下一代防火墻,這些防火墻有強大的主動防御功能,配有超大URL分類過濾庫,可以有效地攔截非法、病毒等不良網站,同時集成IPS入侵防御和云查殺引擎,能大大提高網絡的安全運行能力,有條件的學校不妨在設備的升級換代時選用。

2.2.2關注一“路”由你

路由器是網絡環境中的另一個重要設備,它是一種連接多個網絡或網段的網絡設備,它能將不同網絡或網段之間的數據信息進行“翻譯”,以使它們能夠相互“讀”懂對方的數據,從而構成一個更大的網絡。我們可以利用路由器的訪問控制列表(ACL)來執行數據包的過濾,達到控制網絡上數據包的傳遞,限制虛擬終端線路的通信量或者控制路由選擇更新的目的。如網絡中只開放Web服務,則只需允許http協議通過,屏蔽像ftp、telnet等一些協議,提高網絡的安全性能。

2.2.3傾注一“網”情深

網絡安全管理不能是一味地面對虛擬世界的比特流,應用純技術手段進行攻擊與防范的技術游戲,同時也要傾注感情,進行人性化的管理。

(1)應用網絡行為管理。現在網上聊天、網上購物、在線視頻、BT下載、網絡游戲等諸多應用的同時,給網絡帶大巨大的壓力。為了有效控制、記錄用戶的上網行為,簡化管理難度,筆者使用深信服公司的行為管理,它可以根據帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬,保障OA等辦公軟件的正常使用,提升辦公應用的使用效率,還可以詳盡記錄用戶的上網軌跡,做到網絡行為有據可查。但也不能無視教職工正常的娛樂需求,進行一味的網絡封堵,在保證網絡辦公的同時,應充分考慮網絡的其它應用。

(2)部署防泄露方案。校園網中用戶的注冊信息、學生的學籍、教職工的登記信息以及財務數據都是需要保護的機密數據。這些信息一但因管理不善被入侵或丟失,會造成嚴重的后果。作為網管人員要有高度的責任心及時做好數據的備份和加密保護工作。有條件的學校甚至可以部署數據丟失防范(DLP)解決方案,DLP解決方案具有監控和防御功能,可以熱備數據,防止因機器故障導致數據丟失,還有中心化管理功能,包括策略的創建和執行,生成報告和數據過濾等。

(3)部署網絡殺毒產品。由于網絡和病毒的自身特點,網絡病毒防不勝防,盡管現在有一些如360免費殺毒產品,但我們不能過高地要求師生,不能拔高他們的信息技術能力,除了規范他們的上網行為,養成良好的上網習慣外,學校還要根據自身條件部署網絡版殺毒軟件。如卡巴斯基(Kaspersky)網絡版殺毒軟件或賽門鐵克(Symantec)公司的網絡防病毒軟件。總之,網絡安全是動態的,沒有絕對的安全。蘋果電腦(MAC)因為采用獨特的安全機制,在病毒肆虐的互聯網時代,被喻為最堅固的堡壘,然后在2012年4月,蘋果電腦大規模感染病毒,令這個堅不可摧的安全神話瞬間破滅。互聯網時代,安全和威脅永遠是一對矛盾體,不要討論矛利還是盾是堅,只要我們事事想在前,做在前,才可能真正保證校園網系統的安全和正常、穩定的運行。

作者：侯軍單位：沭陽縣東關實驗小學