校園網絡管理制度
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇校園網絡管理制度范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
校園網絡管理制度范文第1篇
中圖分類號:TP393 文獻標識碼:A 文章編號:2095-2163(2011)04-0070-02
0 引言
校園網管理是一個復雜的系統工程,涉及到學校各個部門,在學校教學、科研與管理中發揮著越來越重要的作用。近年來,各學校校園網用戶數量快速增加,網上各種應用廣泛開展,網絡流量大幅攀升,都帶來了一系列的校園網管理問題。如何快速響應用戶需求和解決用戶故障,如何提高網絡速度,如何保證各項網絡應用運行正常,如何保證網絡設備正常穩定運行,這些都是校園網管理中需要解決的問題。對校園網進行高效管理,滿足學校各項需求已經成為網絡中心等校園網管理部門必須完成的任務。
1 合理規劃,做好校園網設計
1.1確定明確的校園網建設目標
確定明確的校園網建設的目標,不僅要考慮網絡技術方面,更要考慮學校實際環境、應用和管理,還要與學校發展與建設相結合。高校的中心工作是教學科研,因此對教學科研提供直接支持是校園網的基本目標。換言之,校園網需要支持學校的日常辦公和行政管理。校園網建設的基本目標應該是建設一個以辦公自動化與網絡教學科研為核心,技術先進,擴展性強,覆蓋全校大部分區域的主干網絡。
1.2選用“耐用穩定”的網絡硬件設備
網絡硬件設備是校園網穩定運行的硬件基礎,是校園網運行時間長短的首要決定性因素。網絡硬件設備主要包括組成校園網所必需的路由器、交換機、服務器以及綜合布線系統。一般來說,高校的網絡管理員人數少,力量不足,而維護量比較大。只有網絡硬件設備選擇好了,校園網長期、高效和穩定的運行才有保障,網絡管理員才能把主要精力投入到相對重要的信息資源建設上來,才能在排查網絡故障的時候直接跳過網絡設備故障因素,從而大大提高故障排除效率。
1.3確定成熟的以人為本的校園網技術方案
校園網設計要采用合乎國際標準的、成熟的技術,并符合網絡技術的發展方向。網絡設計應層次分明、結構合理,便于使用、管理和維護。另外網絡設計要堅持高效實用的原則,著眼于高校教學、科研和管理的實際需要,使有限的資金優先解決工作急需的問題。校園網一般應采用“核心+匯聚+接入”的三層網絡結構,在結構上分為核心層、匯聚層、接人層。這樣的校園網布局結構清晰,維護容易,擴充方便。穩定性強。每個匯聚交換機下面的區域將成為一個相對獨立的網絡區域,使得該區域內部的各種攻擊只限于本區域,對校園網其他區域不會產生影響。
校園網的設計方案要以人為本,實用、高效、安全并舉,通過不同網絡管理方式,體現校園人文關懷。校園網設計要把方便師生使用放在第一位,為師生提供便捷舒適的教學科研學習環境,如辦公樓、實驗樓網絡設計時既要考慮有線網,也要兼顧無線網。使用者可以隨時隨地進入校園網和互聯網。
2 建設網管系統和安全防御體系
2.1建設高效率的網管系統
精細化管理是校園網管理的高境界,而要做到精細化管理就必須使用網絡管理系統。高效率的網管系統能夠明顯提高網絡管理員的工作效率和管理效果,使網絡管理工作更嚴謹,更科學。網管系統在功能上應該能夠實現整個網絡結構的拓撲發現,并且監控網絡設備的性能情況、鏈路的使用率、同時實現有線無線統一管理。對校園網不同的設備類型能夠用不同的圖標區分,通過拓撲圖上呈象豐富的設備、告警、流量信息,實時監控網絡運行的全貌,便于網絡管理員及時關注危險設備,發現問題,提前處理。能夠直接在拓撲圖上查找用戶關注的設備和鏈路節點,進行點擊獲取更加詳細的信息;網管系統能夠將拓撲圖保存或者直接導出,便于保存和檢索。網管系統還應具有良好的使用界面,便于網絡管理員操作。
2.2建設安全防御體系
隨著校園網絡應用的日益復雜,網絡安全風險與日俱增,網絡安全事件也不斷出現。病毒泛濫、黑客攻擊、信息丟失等這些安全隱患對校園網的破壞有時是致命性的。要真正解決網絡安全問題,就要通過網絡安全技術和網絡安全系統來實現。網絡安全技術是隨著新技術發展而不斷發展的。常見的網絡安全系統主要包括VPN、防火墻、安全漏洞掃描、安全評估分析、安全審計、入侵檢測、網絡陷阱、入侵取證、備份恢復和病毒防范、補丁分發等。這些系統是網絡安全體系中重要的組成部分,缺少任何一種都會存在巨大的危險,因為網絡安全防范是一個整體概念。在網絡安全體系中,各個系統不能簡單地堆砌,而是要合理部署,互聯互動,形成一個有機的整體。
校園網是學校信息系統的核心,必須建立有效的網絡安全防范體系保護學校的網絡應用的安全。以安全策略為核心、以安全技術作為支撐、以安全管理為落實、以主動防御為今后發展方向的網絡安全防范體系,將是提升校園網安全的一個全面解決方案。
3 提升網絡技術素養
3.1提高網絡中心工作人員網絡技術素養
計算機技術和通信技術的快速發展,加速了高校網絡中心的設備更新,促使網絡管理員必須樹立“終身學習”的信念,緊跟信息化的步伐,接受新知識,了解新信息,掌握新技術,提高網絡技術素養和技能。網絡管理員掌握網絡技術的技能對校園網的正常運行十分重要。這樣的網絡技術人員不但能夠處理網絡維護等常規工作和日常事務,具備快速處理故障的工作技能,還可帶動對網絡技術的深層學習和開發,積極開展科研活動,促進網絡服務水平和科研能力提高。現在高校所應用的新技術主要有虛擬化、IPV6和存儲等,學校應提供各種機會,通過技術講座,訂閱必要的技術刊物等方式做好網絡中心工作人員的新技術培訓工作。
3.2提高學校各單位工作人員的網絡技術素養
隨著校園網的發展,校園網用戶日益增多,網絡設備不斷增加和更新。為了及時處理各單位網絡問題和更好地提供網絡服務,網絡中心應指導學校各單位建立網管小組或設立網管員以協助網絡中心開展網絡維護、網絡安全管理、網站管理、故障處理的工作。另外網絡中心還可以聘請學生網絡管理員,組織學生網絡管理員參與網絡的管理和維護工作。
3.3提高校園網用戶網絡技術素養
校園網用戶網絡技術水平高低造成了校園網的資源不能被用戶有效使用,這樣不但造成了資源的浪費。也會影響用戶與校園網之間的聯系。因此對用戶進行一定的培訓是十分必要的。將校園網在使用中常見的問題和解決對策、新的服務及應用通過在網站展開宣傳、開辦講座等方式傳授給用戶,這是提高校園網管理效率和增強用戶安全防御能力的重要途徑。
4 建設管理制度
網絡中心遇到的最多的問題還是管理問題,即通常所說的,三分技術七分管理。而管理制度建設就是管理落實的一個重要方面。為了使校園網的管理和維護做到有章可循,確保校園網高效運營和管理,要制定和編寫管理制度、用戶守則、入網申辦流程、上網信息審查等規章制度。
4.1網絡中心工作制度
網絡中心的工作制度主要包括中心機房工作制度和網絡日常維護工作制度。
網絡中心機房是校園網絡的樞紐。為保障校園網的暢通,保證機房設備的正常運行,規范機房人員的工作行為,必須建立和完善各項管理制度。這些制度包括組織與職責制度、機房管理制度、網絡設備運行管理制度、網絡系統安全管理制度、用戶密碼賬號和權限管理制度、備品備件管理制度、服務器數據備份與恢復管理制度、應急預案和技術培訓等。
網絡日常維護是校園網正常運行的支持和保障。提高網絡的穩定性、降低故障報修是網絡維護工作者的追求目標。認真做好日常維護和突發事件的維護工作,對保證校園網正常運行十分重要。而制定嚴格的網絡維護制度是保障整個網絡高質量運行的關鍵。
校園網絡管理制度范文第2篇
關鍵詞:校園網 網絡管理 網絡維護
中圖分類號:G717 文獻標識碼:A 文章編號:1672-3791(2013)07(b)-0024-01
隨著計算機網絡的不斷發展,越來越多的學校接入了Internet,組建了不同規模和不同層次的校園網,并配備了專業人員進行網絡管理和維護。高校校園網具有規模龐大、系統復雜、使用人員網絡素質層次不一、使用頻率高等特點,因此對校園網的管理與維護提出了更高更嚴的要求。只有不斷加強對校園網的管理和維護,才能充分發揮網絡設備的性能,保證校園網的正常運行,更好地全方位為全校師生員工服務。結合工作實踐,筆者認為要做好校園網網絡管理必須做好以下幾方面的工作。
1 做好網絡整體規劃
在網絡建設的初期就應該做好整體網絡規劃,一次到位,避免在后期使用中再進行重新規劃。校園網網絡的層次一般都包含三層,即接入層、匯聚層和核心層,但也有只包含兩層的,即接入層和核心層。網絡規劃主要包括IP地址的分配、網絡技術的選擇、設備的采用等,要保持一致性,便于管理、維護和升級。根據筆者從事校園網網絡管理的經驗,IP地址盡量做到自動分配,由于高校部門多、人員多,且使用網絡人員的網絡素質有高有低,若是手工分配一方面網絡管理人員工作量大、維護效率低;另一方面由于IP地址沖突也會造成用戶網絡不穩定,影響用戶工作效率。而且在絕大多數校園網IP地址規劃中,都采用自動獲取IP的方式。如若校園網的規劃不夠規范,應盡快盡早拿出整改方案,進行重新規劃。在進行整改時,要非常熟悉現有網絡的規劃情況及存在的問題,提出方案后要進行充分的驗證后再實施。
2 規范網絡管理制度,做好維護日志,積累維護經驗
建立規范完善的網絡管理規章制度是保證校園網網絡正常管理、維護的基本前提。有了規章制度才能做到有規可依、有規可循,使網絡的規劃和校園網的維護管理做到有條不紊,提高效率,保證整個網絡的一體性、連續性。作為網絡管理的一個重要措施,規章制度的建立要具體、全面、切合實際,要嚴格遵守制定的各項制度,否則網絡管理也不會規范有序。
網絡管理管理員最基本的一項工作就是建立網絡文檔,很多情況要求網絡管理員必須全面一貫地記錄網絡的情況,當網絡突然出現問題必須馬上排除,或因為網管員的請假或者離職,有了一份詳盡、及時的文檔,查找問題和維護系統的時間都會大大縮短,許多錯誤和混亂也可以避免。網絡文檔中應記錄網絡的物理基礎結構,應該記錄所有網絡設備的配置信息和更改信息。在用戶進行網絡設備升級或解決網絡故障時,這些信息可以幫助技術人員盡快熟悉情況找到合適的方法。
3 進行上網行為管理
在高校校園網中,用戶主要由兩大類,一類是教職員工,使用網絡的需求主要是進行備課、學習和辦公等;另一類用戶是學生,使用網絡則比較隨意自由,在對學生施行包月收費時,就造成學生大量使用BT、電驢、迅雷等軟件來“充分”利用網絡資源下載電影、音樂或文字材料,或在線看電影、使用視頻直播等,造成了帶寬大量被搶占,學校網絡速度受到極大影響,也讓網絡管理部門面臨了很大的壓力。針對以上的問題,可以在核心層布置上網行為管理服務器,對網絡流量進行細致的管理,實現對帶寬質量的保證以及網絡的有效管理,并能對P2P軟件進行智能識別,對其下載做出控制以及完全的封堵。
此外,還必須對用戶的上網行為的內容安全進行審計過濾,對一些非法網站進行屏蔽阻攔,防止因此帶來病毒、木馬甚至法律責任;防止內網用戶通過論壇、博客、BBS等途徑上傳或下載一些非法內容,要對相關言論的發表做關鍵字過濾或對此類行為做詳細記錄,以便追查;對外發的信息進行管理和監控,要能夠進行違規警懾,事后能夠追蹤查詢。
4 組建學生管理員隊伍
對于學習計算機網絡的學生而言,校園網就是一個真實的實驗環境。培養學生管理員,既能幫助網管老師分擔工作,提高網絡維護和故障排除的響應速度,提升網絡管理部門的服務水平,又能在網管老師的培養下,學會課堂上學不到的內容,增加了實踐動手的機會,而且學生在處理網絡故障時,能從教師及學生用戶那里得到認可,這也能夠培養學生的自信心,激發學習興趣,對其他學生起到幫帶作用和良好的榜樣。在培養學生管理員時也要進行篩選,首要的是踏實好學,網絡管理和維護是很細瑣的工作,因此需要學生管理員能夠具有較強的自學能力和毅力,其次要能夠很好的與各類用戶進行溝通,體現網絡管理部門作為一個服務部門的水平。
5 提高網絡用戶基本素質
現在校園網的規模越來越大,用戶越來越多,但一個普遍存在的現象是大部分的校園網用戶的網絡使用水平、安全和病毒防范的意識、簡單網絡故障解決能力都很低,這樣既給網絡管理部門增加工作負擔,也影響用戶的工作和學習,如果對所有用戶進行培訓,只能治標不治本,因此可以利用網絡平臺來進行輔助。筆者所在學校目前已經開通了網絡學習空間,網絡管理部門在空間上提供了豐富的學習資料,簡單易懂,例如無線路由器設置、安裝殺毒軟件、簡單故障排除等,這樣既能夠給用戶在自己動手解決故障時提供一些幫助,另外也會讓用戶從依賴網絡管理部門變成自覺自愿為自己為他人服務,更減輕了網絡管理部門的工作壓力,可謂一石三鳥。
總之,校園網網絡管理部門是一個服務性部門,網絡管理是一項繁瑣卻很重要的工作,必須在日常網絡管理工作中不斷積累經驗,才能保障網絡的正常運行,為老師和學生提供一個安全、穩定和網絡環境,讓校園網在教學和科研中發揮最大的作用。
參考文獻
[1] 邱峰.論校園網絡的管理與維護[J].大眾科技,2008,8:39-40.
校園網絡管理制度范文第3篇
關鍵詞:校園網;安全;防火墻
中圖分類號:TN915文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-01
Campus Network Security Analysis and Design Solutions
Shen Yang
(Dalian Polytechnic University,Dalian116035,China)
Abstract:The campus network in the process facing various security threats,in view of the current situation of campus network,summary the relevant solutions for the campus network security operation,put forward the corresponding measures based on the campus network security operation.
Keywords:Campus network;Safety;Firewall
校園網是高等教育的重要教育資源。由于校園網信息交換頻繁,基于校園網的各種安全問題也日益突出。為了保護數據和資源的安全,校園網必須具備其安全體系的解決方案。
一、校園網的安全風險分析
目前,由于高校校園網的建設主要以教學為中心,校園網的安全問題也多種多樣,其主要的表現為以下幾個方面:
(一)集群難以集中管理。由于接入校園網計算機系統差異性較大,難以要求所有的系統實施統一的安全配置,比如接入校園網的某臺PC機后感染蠕蟲病毒,這臺電腦極有可能通過最新的安全漏洞感染其他的電腦,最終導致整個網絡無法正常使用,給校園網的正常使用帶來很大的威脅。
(二)用戶群體特殊性。作為高校的大學生,對網絡新技術充滿好奇,勇于嘗試。很多學生愿意操作一些新的網絡類的軟件,有的甚至在校園網嘗試黑客工具,通過互相攻擊去研究各種攻擊技術,這種隨意性給校園網帶來致命的威脅。
(三)網絡安全重視程度不夠。校園網的建設重視教學資源的建設和管理,通常都忽略了網絡安全,特別是在安全維護方面投入明顯不足,大部分資金都是在教學資源建設、管理系統開發等方面,造成了一定的安全隱患。
針對這種狀況需要制定基于校園網安全體系解決方案,保障教師與學生能夠安全地使用校園網資源。
二、校園網安全解決方案
(一)構建安全的防范體系。根據校園網的應用現狀情況將安全防范體系的層次劃分為物理層安全、系統層安全、網絡層安全、應用層安全和安全管理。
1.物理層安全;該層次的安全包括通信線路的安全,物理設備的安全,機房的安全等。計算機中心或機房的建設應遵照:GB50173-93《電子計算機機房設計規范》、GB2887-89《計算機站場地技術條件》的要求。需要學校計算機管理中心老師配合工程技術人員共同完成。
2.系統層安全;該層次的安全問題來自網絡內使用的操作系統的安全,如Windows XP,Win 7等系統安全升級。要求網絡中的用戶采用安全補丁更新并且選擇適合用戶本身的正版殺毒軟件,平時要定期的檢測系統有無病毒,避免感染網絡中給其他設備。
3.網絡層安全;該層次的安全問題主要體現在網絡方面的安全性,包括網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密與完整性,遠程接入的安全,域名系統的安全,路由系統的安全,入侵檢測的手段等,確保網絡正常運行。
4.應用層安全;該層次的安全問題主要由學校服務器提供服務所采用的應用軟件和數據的安全性產生,包括Web服務、電子郵件系統、BBS等。
5.管理層安全;網絡管理,是指網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作,包括配置管理、性能和記賬管理、問題管理、操作管理等。同時,針對校園網絡的實際情況,解決網絡的安全問題,必須考慮到技術難度、投入經費、維修與維護的保障等等因素,
因此,必須將各種安全技術與運行管理機制、網管人員技能水平、安全規章制度建設相結合。
(二)校園網安全解決方案的策略。針對防范體系的層次,制定相應的策略:
1.保障物理設備安全。物理設備指服務器、交換機、路由器等設備,一定要設置復雜密碼,防止黑客通過網絡輕易獲得這些設備的控制權,更改這些設備的配置,會導致整個校園網絡癱瘓。
2.設計正確的網絡拓撲。校園網絡至少要采用兩級結構:主干網和子網。校園網的主干采用成熟的千兆以太網,在校園網絡中心機房設有一個總的出口接入教育網,所有進出校園網的數據都需要通過此出口檢測過濾。網絡中心對全校進行合理VLAN劃分,這種配置結構既保證了主干網信息可靠、高速地傳輸,抑制網絡廣播風暴,又方便管理用戶。
3.利用殺毒軟件與防火墻增強網絡的安全性。安裝正版的網絡殺毒軟件,確保定期或及時升級殺毒軟件的引擎、病毒庫;在內外網之間建立了一道牢固的安全屏障即安裝硬件防火墻,專用服務器連接在防火墻的DMZ區,與內外網間進行隔離,既保障服務的正常運行,也保護內網資源不被外部非授權用戶非法訪問和破壞,加強與IDS(入侵檢測系統)的聯動,入侵檢測被認為是防火墻之后的第二道安全閘門。
4.教學資源的備份和恢復。教學資源是校園網的核心,其中學生的成績、學籍資料、教學素材等重要資源必須要進行合理的備份,以待出故障后進行有效數據恢復,通常采用雙機熱備份方法,當設備出現故障時馬上切換到備份設備,利用“熱備份”和“冷備份”兩種策略保障資源的使用。
5.完善合理的網絡管理制度。不僅利用網管軟件對使用中的設備進行實時檢測,同時要建立一套校園網絡安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防范制度等,并采取切實有效的措施,保證制度的執行。可以定期對教職工、學生開展網絡安全技術類講座,樹立正確的網絡安全防范意識。
三、結束語
總之,校園網的安全問題不僅僅是技術問題,其防范體系的安全性也不是一勞永逸的,新的安全問題不斷涌現,必須根據情況制定新的安全防范措施,不斷維護和更新校園網安全,保證校園網更安全更好地服務于高校的教學工作。
參考文獻:
校園網絡管理制度范文第4篇
目前各大高校已經完全普及校園網,基于校園網開展教學工作、教務管理、科研管理和師生之間的交流等已經成為當今高校校園網管理不可忽視的日常工作。校園網是一種利用計算機技術,將學校的各種網絡設施、工作站、局域網等連接起來的一種網絡。通過校園網,高校能順利開展教學、校園辦公,共享教學資源等各項工作。因此,進行校園網的管理和維護研究具有重要的現實意義和應用價值。
2校園網管理與維護概述
當今高校的工作幾乎都能通過校園網來完成,因此,校園網的管理和維護就顯得十分重要。校園網管理與維護的目的在于網絡全天候無故障運行,并根據不同需要及時調整或進行更新;保證各種軟件系統穩定運行、不受惡意攻擊以及各種數據的安全;確保校內網絡暢通,與互聯網安全互聯,為信息傳遞、數據共享提供安全渠道,為高校的各項工作提供網絡基礎。
3校園網管理與維護方案
校園網的管理和維護是校園網能夠正常穩定運行的重要保障,下面將詳細闡述可采用的方案或策略。
3.1校園網的管理
校園網涉及的管理項目繁多,且師生們對網絡的要求各不相同。因此,對校園網開展管理工作仍具有一定難度。以下將從推進網管隊伍建設、完善網絡管理制度、提高網絡安全管理以及加強網絡資源建設幾個方面進行詳細分析。在網管隊伍建設方面,各個高校校園網所涉及的范圍、情況和需求不盡相同,如果缺少專業化的網絡管理隊伍,則難以完成有針對性的網絡配置和管理。因此,校園網的功能能否得到充分發揮,加強網絡管理隊伍建設是校園網順利運行的關鍵。在網絡管理制度建設方面,在已有制度的基礎上及時進行合理的更新完善,建立相關的應急預案,明確網管隊伍的工作職責、個人分工、突發事件的處置程序和權限,以防止或減少因制度不明而造成的混亂。在網絡安全管理方面,網絡的開放和虛擬兩種特性對網絡安全構成嚴重挑戰,這也成為了當今網絡管理的核心主題。當前高校校園網普遍都存在各類安全問題,如網站存在漏洞、計算機病毒傳播、木馬軟件的威脅和黑客的入侵等,這些問題對校園網和各類重要數據的安全都不可小覷。面對這些不同的安全威脅,需要采取有針對性的措施。對網站上的漏洞,可通過建立先進的網絡安全管理系統,定時對校園網中的各類網站進行掃描,及時發現并修復,既提高校園網的安全性,也可提高網絡的整體穩定性;針對計算機病毒和木馬軟件,可在終端計算機或服務器上安裝殺毒軟件,定期對設備進行病毒和木馬查殺,并及時更新病毒庫。同時,在高校的內部網絡和外部網絡之間配置防火墻,將內部網絡與外部網絡進行有效的隔離;此外還可以配置入侵檢測系統等設備,進一步提高網絡的安全性。對內部網絡中相對重要的教學管理部門,如領導辦公室、財務處、教務處等根據其部門特性對其進行單獨的網絡劃分和配置,保證數據安全;針對黑客的惡意攻擊,首先需要提高師生的安全意識,在設備上設置較為復雜的登錄密碼,且不訪問未知或不安全的網頁,不隨意在存儲重要數據的計算機或服務器上插拔未知的存儲設備。在網絡資源建設方面,高校時代的資源也是學生生涯中最豐富的一個時代,讓高校資源得到充分共享,提高利用率就顯得尤為重要。在當前這個信息爆炸性增長的時代,硬件建設已經不是主要困難,對校園網來說,除了要確保網絡的暢通和穩定這些基本需求外,還應當關注信息資源的利用。通過整合多元的信息資源,使教師可利用這些資源豐富教學內容,提高教學質量;讓學生選擇適合自身特點的學習方式和途徑,提升學習效率。此外,網絡信息資源的多寡對高校對外形象及其社會影響的高低也有不可低估的作用。
3.2校園網的維護
對校園網的維護工作主要從硬件和軟件兩個方面開展。3.2.1校園網硬件的維護。校園網在運行過程中,硬件設備難免會出現各種老化、損壞等現象,這就需要高校中專業的網絡維護部門或人員,對網絡設備進行監測和定期維護。在維護硬件時,重點檢查核心路由器、交換機等重要設備是否處于正常的運行狀態,及時檢測機房的環境是否整潔干燥等,另一方面要及時了解當前校園發展和各項工作推進所帶來的需求改變,及時更改提高硬件組合配置,提高其利用率,降低故障的風險。3.2.2校園網軟件的維護。校園網軟件的維護相對復雜,既需要網絡管理員根據實際情況來制定網絡管理規定,還需要師生配合。網絡管理員需要熟悉并運用病毒查殺軟件、漏洞掃描軟件以及基于SNMP的網絡管理軟件等軟件,能定期檢查軟件更新和補丁情況,確保軟件、病毒庫和漏洞補丁目錄處于最佳的工作狀態,確保能及時發現校園網中的安全隱患,使管理員能采取相應的措施;師生應當加強網絡安全防護意識,如安裝殺毒軟件并定期更新,規范上網行為等,以最大限度減少網絡不安全性因素。
4結論
由于網絡技術應用的日益普及,校園網的不可或缺性已經成為高校師生的共識。校園網的日常管理和維護是校園網能夠正常運行的基礎。面對越發復雜的社會及網絡環境,高校應當對校園網的管理和維護工作給予相應的重視,以確保高校能健康、穩定地發展。
參考文獻
[1]張娜.新形勢下高校校園網的管理與維護[J].通訊世界,2017(04):118-118.
[2]曹東朗.高校校園網絡的安全管理與維護[J].電子技術與軟件工程,2016(01):226-226.
校園網絡管理制度范文第5篇
關鍵詞:校園網;ARP欺騙;802.1x認證
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)05-0998-02
校園網是數字化校園建設的基礎,是教學、辦公自動化和信息化的依托,隨著數字化校園建設的不斷發展,廣大師生越來越依賴于校園網內日益豐富的資源和應用。由于校園網自身的一些特點和廣大師生網絡安全意識的淡薄,我們在享受校園網帶來方便的同時,也使校園網面臨著各種安全隱患。ARP欺騙便是其中非常典型的一種,ARP病毒大規模爆發時,其造成的影響和危害都比較嚴重。它利用了ARP協議的天然缺陷,因此單純靠網絡安全軟硬件產品很難防御,這就需要校園網絡管理人員綜合利用科學有效的網絡管理制度配合最新的網絡安全軟硬件產品和網絡技術,形成立體的網絡安全體系,做到預防為主,防治結合。
1 ARP協議及欺騙原理
1.1 ARP協議
地址解析協議 (Address Resolution Protocol),簡稱ARP協議,負責將某個IP地址解析成對應的MAC地址,主要應用在以太網中,但也能在ATM和FDDI網絡中使用。在OSI網絡模型中,網絡被分為七層,IP地址位于OSI七層模型的第三層,MAC地址位于第二層,OSI網絡模型中的各層不能直接打交道,只能通過層之間的接口來相互通訊。局域網中數據通訊是基于MAC地址進行尋址的,而不是IP地址,數據幀如果要到達目的地,就必須知道對方的MAC地址。因此,為保證通訊的順利進行,在僅知道目標主機IP地址的情況下,需要使用ARP協議來實現將目標主機的IP地址解析為對應的MAC地址。
每臺安裝有TCP/IP協議的主機都有一個ARP緩存表,表里記錄了一系列IP、MAC地址對,它描述了其它主機IP地址與MAC地址的對應關系。當主機A往主機B發送數據時,主機A會查找本機的ARP緩存表,如果存在主機B的IP地址,根據ARP緩存表中的對應關系,直接返回主機B的MAC地址,把主機B的MAC地址寫入數據幀;如果不存在主機B的IP地址,主機A會廣播一個ARP請求包,ARP請求包中包含主機B的IP地址,網絡上的所有主機都會接受這個請求,但只有主機B收到這個ARP請求包時,才向主機A發送包含自身MAC地址信息的ARP應答包。這樣,主機A就獲取了主機B的IP地址與MAC地址對應關系,并以此更新本機ARP緩存表,主機A就可以向主機B發送數據了。ARP緩存表采用了老化機制,是有生存期的,生存期結束后,將再次重復以上過程,這樣大大減少ARP緩存表的長度,加快查詢速度。以上就是ARP協議的原理,由于其沒有相應的安全驗證機制,也就使得ARP欺騙產生了。
1.2 ARP欺騙原理
ARP協議是個早期的網絡協議,RFC826在1980年就出版了。早期的互聯網在科研、大學內部使用,采取的是信任模式,追求功能、速度,沒考慮網絡安全。ARP協議缺乏相應的安全驗證機制,主機會接受任何向它發送的ARP應答報文,并根據應答報文中的IP地址和MAC地址更新本地的ARP緩存表,而不管是否發送過相應的ARP請求。因此,可以用虛假ARP應答包來欺騙主機,使主機獲得不真實的IP地址與MAC地址對應關系。
假設局域網中有三臺主機,分別為主機A、主機B、主機C。它們的IP地址分別為192.168.200.11、192.168.200.22、192.168.200.33;MAC地址分別為AD-AD-AD-AD-AD-AD、BD-BD-BD-BD-BD-BD、CD-CD-CD-CD-CD-CD。
在ARP欺騙攻擊前,A和B之間能夠正常通訊。隨后,主機A收到惡意主機C偽造的ARP應答報文,偽造的ARP應答報文中IP地址為主機B的IP地址192.168.200.22,MAC地址為主機C的MAC地址CD-CD-CD-CD-CD-CD,主機A根據偽造的ARP應答報文更新ARP緩存表。此時,主機A的ARP緩存表中主機B的IP地址對應于主機C的MAC地址,由于局域網的數據通信是根據MAC地址進行尋址,主機C通過ARP欺騙就獲取了主機A原本發送給主機B的數據,這是一個簡單的ARP欺編。如果主機B是網關或路由器,主機C通過ARP欺騙,將導致主機A找不到正確的網關而使網絡中斷。ARP欺騙攻擊時,攻擊者持續不斷地發出偽造的ARP應答報文,網絡中產生大量的ARP數據包,導致網絡阻塞,嚴重時將導致局部網絡癱瘓。
2 ARP欺騙防御措施
針對ARP協議及ARP欺騙原理,大家提出了多種ARP欺騙防御措施。例如,安裝ARP防火墻;在接入交換機上做IP地址、MAC地址與交換機端口綁定;劃分足夠小的VLAN,在小規模的網絡中可以考慮將每個終端設備劃入不同VLAN;使用DHCP Snooping技術。實際操作過程中,可以根據具體的網絡情況和預算采取不同的措施或它們的組合。我們主要采用了基于802.1x協議認證對ARP的欺騙進行防御,并綜合了上述劃分VLAN等幾種防御措施,形成一個立體的ARP欺騙防御體系。網絡拓撲示意圖如圖1所示。
如圖1所示,我們主要采用神州數碼DCS-3950系列交換機的802.1x認證功能配合神州數碼DCBI-3000計費管理系統實現校園網認證接入管理。在管理上,嚴格要求校園內每臺主機要接入校園網前必須向網絡管理中心上報主機的MAC地址,申請認證賬號及密碼。網絡管理中心開通賬號、分配相應的靜態IP并與其上報的MAC地址進行綁定。主機使用網絡中心授權的賬號密碼通過802.1x撥號認證才能接入校園網,在此基礎上通過神州數碼DCBA認證才能訪問因特網。基于802.1x認證實現網絡接入,不僅能對ARP欺騙攻擊進行有效的防御并且防止了靜態IP分配策略中IP沖突問題。
3 結束語
總之,校園網的安全建設是一項長期而復雜的工作,它對網絡設備、網絡技術和相關管理制度都有著非常高的要求,只有在網絡設備、網絡技術和網絡管理制度的綜合保證下,才能在最大程度上保證校園網的安全。由于ARP協議的安全缺陷來源于自身設計上的不足,目前針對ARP欺騙,我們基本上只能立足于防御及限制ARP欺騙的影響范圍,ARP病毒攻擊根本徹底的解決只能寄望于IPv6協議應用的早日普及。
參考文獻:
[1] 夏海靜,劉光偉.ARP攻擊防范及解決方案分析[J]. 福建電腦,2011(1).
[2] 孟迪.基于802.1x協議的校園網ARP欺騙防御[J]. 遼寧科技大學學報, 2010(12).
[3] 閆實,劉占波,馮修猛.高校校園網ARP病毒欺騙原理及防御方法[J].網絡安全技術與應用,2010(6).
