在科学技术高度发展、信息技术不断取得突破的背景下,教育城域网也就应运而生,并且对教育确实起到了促进创新和很好的辅助作用。确实给我们各级中小学校的教学、教育管理、科研会议、学习、交流带来了巨大便利。同时,网络安全问题已变得越来越突出。因此,合理构建安全体系结构,改善网络应用环境的工作迫在眉睫。
一、教育城域网的主要特点分析
笔者在此所称教育城域网的服务对象是指中小学学校,它应用了当前最先进的网络技术具有网络应用普及、用户密集且活跃的特点,笔者将其特点主要归纳为以下几点:
1.用户群体活跃
教育城域网的用户主要集中在学校年轻老师和学生,对网络新技术充满好奇,勇于探索。如果没有意识到后果的严重性,有些学生会尝试使用网上学到的、甚至自己的各种攻击技术,可能对网络生成一定的影响和破坏。
2.教育城域网的速度和规模大
目前以重庆市北碚区为例,我们区的教育城域网是吧地理分散在本区各校的校园网以100Mbps光纤为主干互联在一起而构成的。入网主机数量庞大,上网用户数量较多。
3.网络环境比较开放
由于教学的特点决定了教育城域网络环境应该是开放的、管理也是较为宽松的。比如,企业网可以限制允许Web浏览和电子邮件的流量,甚至限制连接不允许进入防火墙,而在教育城域网环境下通常是行不通的,至少在教育城域网的主干不能实施过多的限制,否则一些新的应用、新的技术很难在教育城域网内部实施。
4.网络建设投入有限
大多对于教育城域网的建设都只是重视建设而不重视网络安全,就目前以我们北碚区来看,特别在网络管理和维护的人员方面的投入明显不足。
5.盗版猖獗和知识产权问题突出
笔者通过深入的调查和研究,主要发现盗版猖獗破坏知识产权主要表现在以下几个方面:
(1)程序安全漏洞。操作系统、应用软件和网络设备的漏洞,这些漏洞一旦被黑客利用,会导致大规模有组织的攻击网络、侵占,导致计算机工作效率下降、资源严重破坏,甚至严重占用网络带宽造成网络系统的瘫痪。
(2)计算机病毒。在网络环境下,病毒的传播途径更加丰富,有时病毒将造成系统的崩溃、网络的重要数据破坏和丢失,已经直接威胁到了教育城域网的正常运行。
(3)网络攻击。外来的入侵、攻击等恶意破坏行为,这些攻击可能来自教育城域网的外部,也可能来自教育城域网的外部。当城域网内某台计算机被黑客攻破,还可能被用作黑客攻击的工具。
(4)BT下载。教育城域网内部用户对网络的滥用,有的教育城域网用户利用BT等软件下载电影,占用了大量的网络带宽,影响了教育城域网的应用。
(5)垃圾邮件。很多教育城域网都建立起自己的电子邮件服务器,但由于缺乏有效的邮件过滤机制和限制邮件转发机制,从而成为大量垃圾邮件的中转站和垃圾邮件的攻击对象,造成邮件服务器阻塞,增大教育城域网的网络流量,甚至导致邮件服务器崩溃。
另外还有例如监控机制不完善,上网高峰期系统反应跟不上等一系列问题。
二、完善教育城域网网络安全的几点建议
教育城域网的特点使得教育城域网的安全问题更突出,安全管理也更为复杂,困难。要解决教育城域网所面临的风险,可以从以下几个方面上加以防范。
(1)VLAN技术,采用了VLAN技术将整个教育城域网络划分为若干个不同的广播域,实现教育城域网内部的一个网段与其他网段的隔离,但不同地理位置的网络用户仍然可以加入到一个逻辑子网中。这样,不仅能够抑制网络广播风暴,而且防止一个网段的安全问题传播到其他网段。
(2)访问控制列表。教育城域网接入因特网时,使用网络防火墙构建非军事化区,保护向广大用户提供服务的网络应用服务器,防止少部分用户利用这些公共网络服务恶意散播网络病毒。配制访问控制规则,限制网络病毒的扩散。大多数网络蠕虫的传播利用了一些常用端口。例如:“震荡波”病毒利用TCP445端口,“冲击波”病毒利用TCP135端口。可利用教育城域网边界上网络防火墙设备,通过访问控制策略拒绝所有企图连接TCP445、TCP35端口的数据包,将病毒挡在教育城域网之外。另外,对于已经传入教育城域网内的病毒,要防止其扩散。可以利用核心层和接入层交换机的控制列表,屏蔽掉TCP445、TCP135端口。这样就可以控制病毒,使其只能在某一子网里传播,而不会在教育城域网大范围扩散。
(3)更新操作系统的补丁。很多网络病毒都是利用Win-dows的系统漏洞入侵个人电脑,进而在教育城域网里广泛传播。只有及时更新系统补丁,才可能防范这一类网络病毒,但这并没有引起用户的注意,从而给了病毒可乘之机。所以,教育城域网中的各学校网络中心可部署WSUS(windows updateser-vices)服务器,可以让用户的Windows操作系统随时保持在最新的状态,操作系统漏洞补丁可以直接从此服务器上下载安装,而不必从微软网络上去更新,可以节省校外带宽,而且可以从控制台临近机操作系统的更新状态。
(4)安装网络版杀毒软件。使用网络版杀毒软件进行统一防范,网络版杀毒软件能够集中管理用户计算机,从宏观上控制校内网络病毒。若用户计算机多可以安装多台防病毒网络版服务器,分别管理特定的网段,然后通过管控制中心统一管理下面的网络版服务器。服务器端设置扫描处理措施保持病毒库最新、定时进行全网的病毒扫描,而计算机用户统一安装使用网络版的客户端,共享服务器的病毒库,只要网络服务器端病毒库升级,其客户端会自动同步升级。从而极大加强整个网络的病毒的防范和控制。
(5)利用身份验证和访问控制技术来控制对系统的访问身份验证是用户向系统出示自己身份证明的过程,一般包括用户名和密码验证。访问控制是规定登录系统的用户对计算机信息系统具有哪些操作权限。访问控制技术一般与身份验证技术一起使用,赋予不同身份的用户以不同的操作权限,实现不同安全级别的信息分级管理。对此,可以把WindowsNT的文件系统设置为NTFS。NTFS采用两种措施对文件和目录进行加密。
互联网的各种安全问题在教育城域网中暴露得尤为明显,教育城域网的安全运行是广大教育城域网用户最为关心的问题之一。但是,构建一个安全的教育城域网环境,不可能只依靠某一种安全措施来保障安全,而必须把各种安全措施有机地结合起来,并加以合理的运用,并且得采取完善的教育城域网安全管理制度,才能实现教育城域网的安全运行。
