校园网络安全管理是学校教育信息化的基线,没有安全管理,各种信息化应用将无法开展。要真正做好校园网络安全管理,不妨从目前校园网普遍存在着众多安全要素入手。 一、物理要素 物理安全是整个校园网系统安全的前提。在校园网筹划设计阶段就应重点考虑防雷、防尘、防潮、阻燃、抗静电、降噪、防盗等物理安全要素,关键设备如路由器、主干交换机、服务器等设备尽量实行集中管理;各种通信线路尽量实行深埋、穿线,并有明显标记,防止无意损坏;终端设备,如工作站、小型交换机、无线设备和其它转接设备要落实到人,进行严格管理。 作为学校网络系统的核心所在,网络中心机房安全性应该是最高的,因为在其中不仅集中了整个校园网络的关键设备,而且它还是整个校园网络正常运行的核心、校园数据中心和管理中心。对于如此重要的工作场所,许多学校没有引起足够的重视,如机房建设不规范,配套设施缺失,机房管理不到位,有的甚至允许师生随意进入、任意登陆核心设备,这些给整个校园网安全管理带来巨大的威胁,极易使整个校园网受影响,陷入瘫痪、崩溃状态。因为即使登陆不了核心设备,但只要把某些网线搞一搞、电源动一动就可能酿成严重的安全事件。 加强网络设备和机房的日常管理,此类物理安全风险,是可以规避的。如利用门禁系统杜绝无关人员出入机房、定期除尘保洁、完善设备和用户档案,又如南方雷雨天,尽可能拔掉与网络设备相连的线路,尤其是楼宇间的悬空线缆,从这些日常细节做起,就能最大程度地保护校园网络的物理安全,减少损失。 二、使用者要素 师生是校园网中最活跃的主体,其网络行为规范管理不到位,势必将影响整个网络安全。 1.客户端的安全措施 校园网络是以为师生服务为中心的系统。一个合法的师生用户在自己的终端可以执行各种操作。管理人员可以通过对用户的权限分配,限定用户的某些行为,以规避故意的或非故意的某些破坏。然而,更多的安全措施必须由使用者自己完成,比如密码问题,师生须对自己密码的安全性、保密性负责。 2.使用者的安全意识 有一个例子,有个学生没有事情干了,就打开网上邻居,看看网络有什么资源开放着,结果发现一个文件,他打开一看,居然是学校招生的黑名单,于是他将这个名单公布在网络中,一下子就传遍了整个Internet,导致了很多的麻烦和问题。从这个简单的事件可以看出,由于安全意识的淡薄,只图便利,导致了信息外泄。笔者多次对区域内学校进行了扫描检测,发现了大量的网络安全漏洞,其中不少是图便利造成的。如某学校Ftp服务器,无须帐号密码,就能轻松进入,进一步测试,发现这个空间竟给匿名用户开放了包括写入的所有权限。这样的“裸机”,能有安全性可言吗?也许某个时刻,空间上的所有资源全被删了,或者不该公开的信息被泄露出去,再或者被人有刻意上传了不良信息。事后得知,该校多数教师和学生认为应用网络就是图方便,人为设置帐号密码,操作麻烦,同时认为学校也无涉密信息,学校网络管理员盲从,开放了所有权限。 3、使用者的版权意识 由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这类文件的传输一方面占用了大量的带宽,另一方面,从网络上随意下载的文件中可能隐藏木马、后门等恶意代码,带来了一定的安全风险。如微软公司对盗版XP操作系统的更新作了限制,安装盗版系统的计算机今后会留下大量的安全漏洞。 三、技术要素 1.操作系统和网络应用 常用的操作系统,无论是Windows还是Unix几乎都存在或多或少的安全漏洞,其后门也不可避免的存在,可以这样讲:没有完全安全的操作系统。但是可以对现有的操作平台进行一些安全策略配置、对操作和和访问权限进行严格控制,以提高系统的健壮性。 网络应用也是影响校园网安全的一个重要要素。Ftp服务、Mail服务、视频服务等应用越来越多地在校园网内发挥着积极的作用,伴随着应用,安全涉及面也越来越广,安全管理的任务也越来越重。以最常见的校园网站为例,学校在建立网站的时候考虑最多的是网站内和宣传效果,网站代码的安全,很容易被忽视了。许多教师通过简单的学习和培训就可以利用ASP等语言建立动态管理的网站,而这些非专业人员设计的网站,很少对网站代码编写规范进行安全检测,从而暴露出数据库的真实参数,导致网站容易受到攻击。 2.网络攻击与入侵 网络安全与网络攻击是网络中永恒的主题,网络无时无刻不发生上万次的攻击,特别是当校园网络对社会开放后,只要接入互联网的用户或校园网内部人员都可以对校园网络设备进行攻击,而当黑客入侵服务器,就可能会导致主页被篡改,数据丢失,产生负面影响。笔者曾在内网边界架设了清华得实入侵检测系统,一年时间内,入侵检测侦听记录数据显示共发生了1146,6443次入侵报警(极少误报),即平均每分钟就要发生21.01次入侵行为,可以说校园网遭受的来自内网、外网的扫描和攻击无可避免,网络攻击与入侵无时不在。 内网攻击尤值得关注。许多学生在掌握了基本的计算机和网络知识的基础上,逐渐将之应用于其他学科的学习,充分发挥了这一先进工具的作用。但是学生对网络世界充满好奇,有些学生会尝试使用学到的、甚至自己研究的各种攻击技术,可能对学校内网造成一定的影响和破坏。笔者所在区域内一所学校网站主页内容异样,后确认是校内一名小学生所为,其目的就是炫耀自己高超的技术,以达到心理的满足。 四、管理要素 “三分技术、七分管理”,管理是校园网络安全中最重要的的部分。目前相关网络与信息安全管理的法律法规已发布,学校网管中心也有各自的安全管理制度,但学校网络中心难以对师生的一些违规操作作出相应的执行力度,只能以告知或警示为主。而学校领导关注的更多的是教学质量,注重的是消防、交通等传统安全,这导致下级人员在落实时不彻底,贯彻时不坚决,执行时不到位。 学校网络安全管理工作离不开懂技术、懂管理、懂教育的复合型技术人员,从管理和实践经验看,校园网安全工作的重中之重还是提升管理员的安全管理能力和责任心。如何培养好学校网管员,充分激发他们的主观能动性,打造一个有着美好远景的职业规划,是一项重要的课题。 五、经济要素 由于各种原因,多数学校信息化建设经费并不充裕,有限的经费投在“关键”设备上,对于网络安全设备设施,缺乏系统性的投入,致使校园网处在一个开放的状态,没有有效的安全预警手段和防范措施。 综上所述,校园网安全要素来自方方面面,既有来自物理方面的,也有来自技术要素的,与使用者密不可分,更依赖于管理者和管理制度的落实,投入也必不可少,因此要解决好校园网的安全管理问题须根据实际情况,多管齐下,综合解决。提升管理员安全管理能力,对师生进行信息安全教育,提高安全意识,制定和切实落实相关安全制度,采用统一身份认证、数据加密、病毒防治、防火墙、入侵检测、容灾备份、虚拟化等技术手段加固系统,部署相应的防范体系,做好信息安全管理审计、网络风险评估和安全等级划分工作,校园网安全问题才可能得以有效缓解。同时校园网络安全管理工作是一项极其复杂、长期、持续的系统工程,不会一蹴而就,更不可能一劳永逸,唯有不断探索并进行针对性的改进。
校园网络安全管理是学校教育信息化的基线,没有安全管理,各种信息化应用将无法开展。要真正做好校园网络安全管理,不妨从目前校园网普遍存在着众多安全要素入手。 一、物理要素 物理安全是整个校园网系统安全的前提。在校园网筹划设计阶段就应重点考虑防雷、防尘、防潮、阻燃、抗静电、降噪、防盗等物理安全要素,关键设备如路由器、主干交换机、服务器等设备尽量实行集中管理;各种通信线路尽量实行深埋、穿线,并有明显标记,防止无意损坏;终端设备,如工作站、小型交换机、无线设备和其它转接设备要落实到人,进行严格管理。 作为学校网络系统的核心所在,网络中心机房安全性应该是最高的,因为在其中不仅集中了整个校园网络的关键设备,而且它还是整个校园网络正常运行的核心、校园数据中心和管理中心。对于如此重要的工作场所,许多学校没有引起足够的重视,如机房建设不规范,配套设施缺失,机房管理不到位,有的甚至允许师生随意进入、任意登陆核心设备,这些给整个校园网安全管理带来巨大的威胁,极易使整个校园网受影响,陷入瘫痪、崩溃状态。因为即使登陆不了核心设备,但只要把某些网线搞一搞、电源动一动就可能酿成严重的安全事件。 加强网络设备和机房的日常管理,此类物理安全风险,是可以规避的。如利用门禁系统杜绝无关人员出入机房、定期除尘保洁、完善设备和用户档案,又如南方雷雨天,尽可能拔掉与网络设备相连的线路,尤其是楼宇间的悬空线缆,从这些日常细节做起,就能最大程度地保护校园网络的物理安全,减少损失。 二、使用者要素 师生是校园网中最活跃的主体,其网络行为规范管理不到位,势必将影响整个网络安全。 1.客户端的安全措施 校园网络是以为师生服务为中心的系统。一个合法的师生用户在自己的终端可以执行各种操作。管理人员可以通过对用户的权限分配,限定用户的某些行为,以规避故意的或非故意的某些破坏。然而,更多的安全措施必须由使用者自己完成,比如密码问题,师生须对自己密码的安全性、保密性负责。 2.使用者的安全意识 有一个例子,有个学生没有事情干了,就打开网上邻居,看看网络有什么资源开放着,结果发现一个文件,他打开一看,居然是学校招生的黑名单,于是他将这个名单公布在网络中,一下子就传遍了整个Internet,导致了很多的麻烦和问题。从这个简单的事件可以看出,由于安全意识的淡薄,只图便利,导致了信息外泄。笔者多次对区域内学校进行了扫描检测,发现了大量的网络安全漏洞,其中不少是图便利造成的。如某学校Ftp服务器,无须帐号密码,就能轻松进入,进一步测试,发现这个空间竟给匿名用户开放了包括写入的所有权限。这样的“裸机”,能有安全性可言吗?也许某个时刻,空间上的所有资源全被删了,或者不该公开的信息被泄露出去,再或者被人有刻意上传了不良信息。事后得知,该校多数教师和学生认为应用网络就是图方便,人为设置帐号密码,操作麻烦,同时认为学校也无涉密信息,学校网络管理员盲从,开放了所有权限。 3、使用者的版权意识 由于缺乏版权意识,盗版软件、影视资源在校园网中普遍使用,这类文件的传输一方面占用了大量的带宽,另一方面,从网络上随意下载的文件中可能隐藏木马、后门等恶意代码,带来了一定的安全风险。如微软公司对盗版XP操作系统的更新作了限制,安装盗版系统的计算机今后会留下大量的安全漏洞。 三、技术要素 1.操作系统和网络应用 常用的操作系统,无论是Windows还是Unix几乎都存在或多或少的安全漏洞,其后门也不可避免的存在,可以这样讲:没有完全安全的操作系统。但是可以对现有的操作平台进行一些安全策略配置、对操作和和访问权限进行严格控制,以提高系统的健壮性。 网络应用也是影响校园网安全的一个重要要素。Ftp服务、Mail服务、视频服务等应用越来越多地在校园网内发挥着积极的作用,伴随着应用,安全涉及面也越来越广,安全管理的任务也越来越重。以最常见的校园网站为例,学校在建立网站的时候考虑最多的是网站内和宣传效果,网站代码的安全,很容易被忽视了。许多教师通过简单的学习和培训就可以利用ASP等语言建立动态管理的网站,而这些非专业人员设计的网站,很少对网站代码编写规范进行安全检测,从而暴露出数据库的真实参数,导致网站容易受到攻击。 2.网络攻击与入侵 网络安全与网络攻击是网络中永恒的主题,网络无时无刻不发生上万次的攻击,特别是当校园网络对社会开放后,只要接入互联网的用户或校园网内部人员都可以对校园网络设备进行攻击,而当黑客入侵服务器,就可能会导致主页被篡改,数据丢失,产生负面影响。笔者曾在内网边界架设了清华得实入侵检测系统,一年时间内,入侵检测侦听记录数据显示共发生了1146,6443次入侵报警(极少误报),即平均每分钟就要发生21.01次入侵行为,可以说校园网遭受的来自内网、外网的扫描和攻击无可避免,网络攻击与入侵无时不在。 内网攻击尤值得关注。许多学生在掌握了基本的计算机和网络知识的基础上,逐渐将之应用于其他学科的学习,充分发挥了这一先进工具的作用。但是学生对网络世界充满好奇,有些学生会尝试使用学到的、甚至自己研究的各种攻击技术,可能对学校内网造成一定的影响和破坏。笔者所在区域内一所学校网站主页内容异样,后确认是校内一名小学生所为,其目的就是炫耀自己高超的技术,以达到心理的满足。 四、管理要素 “三分技术、七分管理”,管理是校园网络安全中最重要的的部分。目前相关网络与信息安全管理的法律法规已发布,学校网管中心也有各自的安全管理制度,但学校网络中心难以对师生的一些违规操作作出相应的执行力度,只能以告知或警示为主。而学校领导关注的更多的是教学质量,注重的是消防、交通等传统安全,这导致下级人员在落实时不彻底,贯彻时不坚决,执行时不到位。 学校网络安全管理工作离不开懂技术、懂管理、懂教育的复合型技术人员,从管理和实践经验看,校园网安全工作的重中之重还是提升管理员的安全管理能力和责任心。如何培养好学校网管员,充分激发他们的主观能动性,打造一个有着美好远景的职业规划,是一项重要的课题。 五、经济要素 由于各种原因,多数学校信息化建设经费并不充裕,有限的经费投在“关键”设备上,对于网络安全设备设施,缺乏系统性的投入,致使校园网处在一个开放的状态,没有有效的安全预警手段和防范措施。 综上所述,校园网安全要素来自方方面面,既有来自物理方面的,也有来自技术要素的,与使用者密不可分,更依赖于管理者和管理制度的落实,投入也必不可少,因此要解决好校园网的安全管理问题须根据实际情况,多管齐下,综合解决。提升管理员安全管理能力,对师生进行信息安全教育,提高安全意识,制定和切实落实相关安全制度,采用统一身份认证、数据加密、病毒防治、防火墙、入侵检测、容灾备份、虚拟化等技术手段加固系统,部署相应的防范体系,做好信息安全管理审计、网络风险评估和安全等级划分工作,校园网安全问题才可能得以有效缓解。同时校园网络安全管理工作是一项极其复杂、长期、持续的系统工程,不会一蹴而就,更不可能一劳永逸,唯有不断探索并进行针对性的改进。