网络发展至今日, 随着各种应用系统的大量推广和部署, 以及校园网络规模的不断扩大, 网络以及网络系统的安全稳定与否, 已经日益影响到我们的生活和工作。网络安全越来越成为校园网络成功运行的关键因素, 随着多协议、新业务的发展, 网上教学、远程教育、一卡通等各种应用的推广, 网络建设中制定网络安全策略, 部署相应安全防护方案, 保证校园网络的安全顺畅的运行成为迫切需要解决的问题。如何做好网络安全工作, 是我们必须面对的一个非常紧迫的问题。
下面我将从3个方面开始着手, 讲解具体的网络安全实施步骤以及规划:
一、物理层安全
我们对于核心机房的选址以及建设, 全程参与, 机房拥有24小时不间断环境监控系统, 对于机房的温度和湿度, 进行着实时的监控, UPS能够提供在断电情况下, 提供对核心设备的电力支撑。对于管理人员的审核我们有着严格的制度, 钥匙登记到人。
所有的核心交换, 汇聚交换机以及接入层交换机, 都由专人调试以及管理, 交换机都配置了ACL访问控制列表, 登陆密码进行周期式的更换。我们实现了核心层到汇聚层的万兆双线路互联工作, 一主一备, 双链路备份, 底层安全是安全可以得到足够保障的。
二、网络层安全
对于网络层安全, 我们主要依赖于厂商提供的安全设备以及网络设备来进行网络安全管理工作。
(1) 对所有汇聚层以及接入层交换机, 进行一些基本的设置, 例如防ARP欺骗的过滤功能, 针对我校中心校区DHCP的接入方式, 一些私装的路由器容易影响到网络的稳定, 需要在接入交换机上启用DHCP-Snooping。
(2) 对于全网的路由表进行优化, 利用流量控制系统对网络的带宽进行优化和管理, 实时监控各种突发的网络流量, 进行阻断和控制。利用网络管理软件对全校的交换机和路由器进行监控。保证网络层畅通。
三、应用层安全
(1) 对全网用户进行统一身份认证, 利用城市热点, 锐捷SAM等厂家的认证设备, 对用户接入校园网, 进行一个准入检查, 每个用户都拥有自己的上网账号, 结合上网行为管理系统, 这样就能将上网行为定位到个人, 结合日志系统, 切实的做到对每个用户的上网行为做到有据可查。
(2) 加强对一些业务系统的防护, 这里我们可以利用网页防护系统 (WAF) , 以及防火墙在服务器群组的前端架设, 对各种应用系统进行保护。另外提高管理员的安全管理水平, 对服务器进行细致的安全配置工作, 加强日常监控。对于各级重要系统, 进行日常巡查工作。另外可以借助漏洞扫描, 对服务器以及虚拟机进行扫描, 及时发现漏洞, 进行修补。
(3) 推进软件的正版化工作, 对于校园网用户, 我们提供一个正版的操作系统, 这样能降低客户端被攻击的概率。指导用户进行防火墙以及杀毒软件的安装以及配置工作, 提高用户对于在使用计算机以及互联网过程中的一些安全意识。定期对校园网用户进行一些基础的培训, 指导他们进行对自己的电脑进行一些安全方面的配置。
四、数据中心安全
我们的数据中心, 还处于建设初期, 目前拥有思科数据交换机N7K两台, N5K两台, 以及N2K一台, 作为数据中心的骨干交换机, EMC存储一台, 在胡老师的努力工作下, 已经对绝大多数的服务器进行了虚拟化, 大大提高了服务器利用率, 以及工作效率。我们的数据中心该如何建立自己的安全体系呢?总结四点:
(一) 虚拟机底层安全
针对我校的情况, 可以采用趋势科技Deep Security, 这是一套保护服务器和应用程序的综合安全系统, Deep Security Virtual Appliance (DSVA) 在VMware vSphere虚拟机器上提供无代理的病毒查杀。
功能主要包括:深度包检查与过滤、入侵侦测和防御、完整性监控、网页应用程序保护、应用程序控制、双向状态防火墙、日志审计。
(二) 虚拟机备份系统
系统底层安全之后, 我们应该考虑的应该就是数据的安全问题了, 对于数据的保护, 有很多方法, 包括备份和数据容灾, 就目前来看, 数据备份是最适合我们学校的方法。对于备份系统:采用EMC AVAMAR AVE的解决方案
五、数据容灾设计
建议采用数据同步的方式实现数据容灾, 采用两台VNX5300 (目前有一台, 建议再购置一台) , 通过EMC远程数据保护实现基于数据块的同步, 最大程度保证数据中心的数据安全, 业务不间断。另外, 配合VMware基于存储数据迁移功能, 我们也可以实现对虚拟机的快速迁移, 保障业务连续性。
六、对于业务系统的保护
建议采用网页防护系统, 以及专业防火墙, 架设与数据中心前端, 对各级应用系统进行重点保护。对各系统进行定期巡视, 争取在第一时间内, 发现问题, 并解决。
网络安全关系到校园网运行的稳定, 随着网络安全法的颁布, 国家也将网络安全工作提上日程, 所以用户实名制上网, 做到可溯源, 防火墙的NAT日志, 上网行为管理系统, 堡垒机, 存储备份一体机以及身份认证系统, 都为校园网的安全工作提供了依据, 网络安全工作只有从最基础的做起, 才能保障校园网能够稳定而高效的运行。
摘要:信息化技术日益发展, 各种应用系统充斥于校园网内, 为教师和学生的日常工作提供各种服务, 如何在网络攻击日益猖獗的今天去保障校网络稳定而安全的运行, 是我们需要重视的问题。网络安全工作应该成为高校信息化发展的一个重点, 针对校园网建设以及运行过程中出现的问题, 设置一套完整的网络安全解决方案, 具有一定的研究价值。
关键词:高校校园网,网络安全,OSI参考模型
参考文献
[1] 陈广山.网络与信息安全技术[M].机械工业出版社, 2007.7-9.
[2] 袁津生.计算机网络安全基础[M].北京:人民邮电出版社, 2013.99-101.
[3] 郑平.浅谈计算机网络安全漏洞及防范措施[J].计算机光盘软件与应用, 2012 (3) :31-32.
【高校校园网网络安全规划与研究——以徐州工程学院为例】相关文章:
手机媒体环境下PU口袋校园在高职院校应用现状研究——以徐州职业技术学院为例09-12
高校校园环境与安全管理机能构成的融合研究——以南京理工大学为例09-11
高校数字化校园基础平台建设研究——以山东化工职业学院为例09-12
高校实验室建设与创新人才培养的研究——以大学校园为例10-24
电子商务环境下的高校校园快递发展研究——以南阳师范学院为例09-12
WebQuest在《计算机网络原理》教学的应用——以《校园网规划与设计》为例02-12
大学生校园网络贷款的危机分析及对策研究——以保定市高校为例09-11