时间:2023-03-17 18:10:49
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇校园网络论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
校园网络:指学校校园内部信息设备互相连接运行的局域网络。是由计算机、网络技术和应用软件等构成的,为学校管理和教育教学服务的集成应用系统,并可通过与广域网的连接而实现远距离住处交流和资源共享。
如何规范架建校园网络,这是每一个现代化学校都必须面对的问题,有的学校花了大力气,架起了自己的校园网络,但却不能收到理想的效果,而且许多的电脑都只是流于文字处理,网络也只是用于文件的传输,大大浪费了网络资源。而有的学校花的钱不多,但由于充分利用起网络的优势,为学校管理和教育教学提供了最大的方便,网络在学校里起到了举足轻重的作用。
要规范地架建好校园网,必须做到“三先”,即先规划再建网、先培训后建网、先建库后建网。
一、先规划后建网。
规划胜于一切,没有好的规划,校园网建设“入倍出半”。在计算机技术和信息技术迅猛发展的今天,全国各地经济比较发达的地方绝大部分中、小学都已经先后架建起了自己的校园网络或准备架建自己的校园网络,但真正能充分利用好校园网络的学校却并不多见,问题的根源就是在于没有很好的规划好如何架建校园网络。
要规范地架建校园网络,必须清楚你需要什么样的校园网络,你需要校园网络来干什么?
要架建校园网,首先我们要知道我们需要什么样的校园网。通常学校对校园网络的要求有以下几种:
1、最简单的校园网络:包括一个微机房、一个教师电脑办公室以及几台教师办公室使用的电脑。这样的配置基本可以应付日常的计算机课程和教师办公、校务管理。学校也可以使用校长管理系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统等几个独立的管理系统。
2、中档配置的校园网络:包括若干个微机房、一个网络服务中心、每个教室配备电脑一台、每个教师办公室配备教师办公电脑。这样的配置可以满足管理、办公、教学、辅助教学的大部分要求。学校可以使用校长办公系统、教师办公系统、学生成绩管理系统、人事档案管理系统、财务管理系统、医务所药物管理系统、教师学生就诊系统、教师备课系统、图书馆管理系统、多媒体教学资源库系统、校园网站等。
3、高档配置的校园网络:包括足够的微机房,一个大型的网络服务中心,每个教室配备微机若干台(甚至学生人手一台微机),每个教师配备办公电脑,这样的配置可以实现所有的自动化校园管理和教育教学信息自动化。学校可以使用各种的管理系统、电子图书馆、网上学校,实现真正的网上教学。
要架建校园网络,还要知道我们需要校园网来干什么,这样才能根据自己的实际需要来架建适合自己的校园网络。
利用校园网络最基本可以做到学校管理自动化,例如:人事档案管理、教师办公、行政管理、学生学习、学生生活、校产管理、学生的成绩、评语、奖惩记录、身体发育的管理。如果配置允许,还可以实现校内无纸化办公、教师电子备课系统、教师辅助教学系统、校园网页、网上学校等。所以要架建校园网络前必须先根据自己的需要规划好校园网络。
另外,架建校园网还需要适应学校的长远发展规划,根据具体的情况采取统一的规划,分阶段实施,逐步到位的建网原则。
必须认清形势,了解到学校日后的发展规模、学校的发展方向、学校的发展潜力,然后根据学校的这些情况,统一规划好校园网络的架设。切忌一窝蜂上马项目,应该循序渐进,规划好架建的先后顺序,再根据学校的需要,先上马什么,然后再增加些什么内容。而且在设备的购置清单中必须考虑到计算机的更新换代和对软件的要求等几个方面。先是硬件到位,然后再是软件跟进,使整个校园网的建设能有序进行,这样才会省钱省力。
架建校园网的设备,除了考虑到日后的更新换代外,摆在首位的是学校的实际需要问题。根据学校的实际需要,确定计算机的主要配置,而且如何使用最佳的配置来实现最理想的要求而只花费最少的成本,这是每个校园网都必须考虑到的问题。这就必须要对学校的要求有一个大概的了解。
下面我们举一个例子来探讨一下架建校园网络的规划:
一个中型城市的完全中学拟架建自己学校的校园网,学校教室和教师办公室相当比较集中。根据学校的需要,首先要建起两个微机房,每个机房拥有电脑60台,两个机房不宜配置同样的电脑,我认为最好一个机房配置低一点,只需要能支持一些简单的操作、文字处理、程序编辑、互联网冲浪等。那么每台机器大概需要3500元左右,60台机器也就是21万元左右,然后加上一台服务器以及网络设备,大概需要22.5万元左右。另外一个机房则需要配置高一点,除了有上述的要求外还要支持多媒体的运行以及一些图像的处理,这样每台机器大概需要5500元左右,60台机器也就是33万元左右,另外加上一台服务器以及网络设备,大概需要34.5万元左右,那么光是两个机房的设备就花费了57万元。
另外全校一共有六个年级三十六个班,每个班配备电脑一台,配置与高配置机房的电脑一样,需要大概20万元。学校一共有办公室10个,也配备同样的电脑各2台,共11万元。学校还需要建立起一个网络服务中心,配备服务器5台,共5万元。加上一批的网络设备和办公设备,约7万元。
也就是说建立一个中档配置的校园网络光设备的购置就约花费100万元。接下来就是选择技术、施工力量雄厚,经验丰富,有良好售后服务,信誉良好的厂商承包工程。施工前必须先规划好网络线的布局,网络服务中心的位置,以免出现网络设备的浪费。
工程实施前,还要找到一家技术力量雄、经验丰富、有良好售后服务、信誉良好的公司来编写学校的各种管理系统。这样,一个颇具规模的校园网络的规划也就差不多完成了。
二、先培训后建网。
校园网的建设,必须先进行全员培训,即先要实现学校教师、技术人员和管理人员的全员培训,才考虑架建网络。如何没有一支技术过硬手教师、技术人员和管理人员队伍,校园网就算是架设好了,也会由于使用人员水平问题而不能正常运行或发挥最佳的运行效果。而且还要由于使用人员和管理人员的误操作而导致网络瘫痪,引致的损失无法估量。
所以当规划好校园网,找到了合适的硬件厂商和软件公司后,立即要着手做的就是对全校教师和管理系统使用者进行全员培训。教师和管理系统使用者的全员培训可以分成几个部分。
1、全体教师的培训。教师的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,教师办公系统的使用;第三,教师电子备课系统的使用;第四,多媒体辅助教学软件的使用;第五,国际互联网的使用;第六,计算机系统的安装和常用软件的安装;第七,常见的软、硬件故障的解决方法。
2、管理系统使用者的培训。管理系统使用者的培训主要着眼于几个方面:第一,对电脑操作的熟悉及常用软件的使用;第二,相应的管理系统的使用,第三,国际互联网的使用;第四,计算机系统的安装和常用软件的安装;第五,常见的软、硬件故障的解决方法。
3、网络管理员的培训。网络管理员可以说是最重要的人,整个校园网络能否正常运行就取决于这个管理员的水平。学校最好是聘请有经验的专职人员来从事这一项工作,如果聘请不到专职人员的话,也可以聘请一位对电脑熟悉的教师来担任,网络管理员的培训主要着眼于几个方面:第一,服务器的安装和维护;第二,服务器操作系统的使用;第三,服务器操作系统的安装和维护;第四,互联网技术,第五,网络安全的技术。
4、硬件维修人员的培训。拥有一个校园网络,不可能长期依赖于硬件供应商的售后服务,学校必须拥有一到两个硬件的维修人员来维护学校的网络和硬件以及办公设备。硬件维修人员应该参预到学校的整个网络铺建的工作中,熟悉全校的网络线路的布局。硬件维修人员的培训主要着眼于几个方面:第一,网络的架设技术;第二,微机的安装和保养;第三,微机故障的处理和维修;第四,网络故障的处理和维修。
5、软件维护人员的培训。拥有一个校园网络的管理系统,也不可能长期依赖于软件公司的售后服务,学校必须拥有一到两个软件的维护人员来维护学校管理系统的正常运作。软件维护人员应该参预到学校的管理系统的开发中,熟悉学校管理系统的结构和原理。软件维护人员的培训主要着眼于几个方面:第一,数据库的技术;第二,软件开发平台软件的技术;第三,系统设计的原理;第四,系统故障的处理和维护。
以上五种人员的培训工作都必须走在学校架建校园网络的前面,尤其是第四、第五种人员。而上述的五种人员中,教师的培训主要由学校自己找合适的人士来培训;第二、三、五种人员则应该由为学校编写管理系统的软件公司负责培训;第四种人员则应该由为学校铺设校园网络的厂商负责培训。
只有上述五种人员配备好,培训好,校园网络建成后才能马上投入使用,并发挥其最大的效用,否则,就像前面说的一样,由于网络及管理系统使用人员的水平问题而导致不可估量的损失。
三、先建库后建网。
要建立校园管理系统,必须先要建立校园的档案库;要建立学生管理系统,必须先要建立学生档案库;要建立教师电子备课系统,必须先建立多媒体教学资源库。所以说,要建立校园网络,必须先建立好校园数据库。校园数据库内容包括很多很多的内容,但总的来说,我们都称之为教育教学资源。也就是要建立好校园网络,必须先建立起学校的教育教学资源库。
教育教学资源库包括的内容有:人事档案库、财务档案库、文件档案库、教学信息库、教育信息库、多媒体信息库等。
人事档案库包括:教师档案库、职工档案库、学生档案库。教师档案库中包括了教师的一些基本个人资料、教师在学校的历任和现任职务、教师在学校期间的考核资料、教师在学校期间的奖惩情况等。学生档案库中包括学生的成绩、评语、奖惩、身体发育状况等。
财务档案库包括:校产档案库、工资档案库、收支档案库。校产档案库中包括了常规教学设备资料、电脑电教设备资料、图书资料、水电维修和木工资料、环境保护资料。
文件档案库包括:政府下达文件库、学校下发文件库、学校各种获奖文献库、学校的各种计划和总结文件库。
教学信息库包括:各学科教案库、各学科试题库、各学科升中/升大资料库、教学改革信息库、教学研究信息库。教案库中包括了各学科教师对每一节新授课、复习课的教案,以便日后教学总结及提高教学能力之用。试题库中包括了各种难度、各阶段的练习、测试、考查的试题,而且是每一题试题都已经经过分析并得出其难度的题目,以便从题库找出相应的题目组成一份试题。
教育信息库包括:学生基本档案库(也就是学生的人事档案库)、后进生改变档案库、教师与学生谈话记录档案库、教育活动档案库、教育信息档案库。其中教育活动档案库包括了每次教育活动的计划、总结、效果的记录,教育信息档案库包括了教育文摘库、教育改革信息库。
多媒体信息库:包括了声音素材库、图像素材库、影视素材库。多媒体信息库是为了教学服务,教师电子备课系统、辅助教学系统、学生学习系统都必须使用到这一类的信息。
只有把这部分信息库都建好或者规划好,校园网建起来才会很好的运转起来。如果这部分信息库没有建好,那么校园网建好后也只是一个空壳,空有外表,内在运作不起来,校园网没有充分利用起来,资金投入了没有好的收获。
高校是典型的知识密集型组织,集知识生产、传播、创新、应用于一体,知识是其创造价值的核心资产,知识管理作为影响学校办学水平和效益的管理模式,已成为提升高校竞争力的核心战略。
知识管理是指以系统的方法发现、选择、组织、摘取信息,并向需要知识的人传递有用的信息。它包括了对显性知识和隐性知识的管理,其基本内涵是创新、反应能力和效率。对于显性知识,高校可通过通常的信息管理手段进行搜集和整理,但对于隐性知识,高校就只能运用知识管理手段来获得和充分利用。知识管理是在知识经济时代高校对知识这一战略资源进行争夺和有效利用的一种手段,是实现显性、隐性知识共享而提供的一条途径,其目标是充分挖掘高校教师的隐性知识,同时通过知识运作创造价值,因此,应把对知识的管理作为高校管理活动的焦点,通过完善的知识管理来实现高校建设的系统化、协作化,提高自身研究和开发的能力,加速多门类学科体系边缘知识的开发、认识和研究进程,省研发的时间、人力和经费。知识管理的应用将会对中国高校的管理产生深远的影响。
高校知识管理的任务是将高校中的显性知识通过一定的方式组织起来,利用信息技术进行存储与管理,它要求把信息、活动、人三者有机地联系起来,在人际系统的互动过程中实现知识的共享和创新。信息基础建设是高校实施知识管理的先决条件,也是构造知识交流网络的要求,因此必须建设一个遍布校园各个角落的多媒体网络平台,将其作为沟通组织内部各个部门的桥梁,并为教师和学生提供便利而有效地获取信息的手段。
1目前高校校园网平台建设的现状
1.1缺乏统一接口和标准
全校的信息化建设得不到统一的规划,各院、系、职能部门在信息化建设方面各自为战。在全校范围内人为地形成了一个个的信息孤岛,不但导致了校内大量的低水平重复建设,资金浪费严重。还给教学、科研带来了极大的麻烦。
1.2缺乏深层次的增值服务
高校信息化建设是基于高质量的校园网络,但仅依靠传统的www,丌,E—mail。BBS和电子教室等服务远远不能满足信息化建设的要求,短信平台、消息中心、招生就业数据仓库、知识库、评估系统筹增值服务的作用越来越重要,但却没有充分实现。
1.3重硬件而轻软件
在高校信息化建设过程中,这种趋势表现得非常明显,硬件投资大,软件投资小,网络利用率低,教师、学生、管理方面的许多资源没有及时整合,信息服务力度大。
1.4领导方向不明
虽然各高校均成立了信息化工作领导小组,但往往对信息化建设的进度和规模估计不足,对如何充分利用校园网,实现虚拟大学、无纸化办公、管理决策智能化等缺乏足够的思想准备和成熟的方案,致使信息化建设发展到一定阶段后无所适从,甚至停滞不前。
2基于知识管理的高校校园网络平台的基本功能设计
2.1动态信息与管理
信息数据库的建立,包括学校基本信息、新闻、产品等;信息类别的增加、修改、删除,可根据需要创建多级目录或类别;根据信息性质设定浏览用户类别;文字、图片信息、编辑、删除;附加文档(PDF,WORD,XLS,PPT等格式)的与删除;信息应州(浏览、授权浏览、下载)类别的确定;信息页面集成BBS系统,网站户可针对当前页信息发表评论和查看评论;集成搜索引擎系统。
2.2集成的文档管理
文档:在特定的文件版本前,用户可以制作多份草稿,而使朋者只能在信息门户上查找或是检阅已的文件。
文档审核:系统允许作者在文件时,自动将文件转给一个以上的人员进行检阅,审核者具有审核或拒绝文件的权限。如果有文件需要检阅,审核者便会收到电子邮件通知。
文档版本控制:系统将记录文件的历史,可帮助用户追踪文件的变更,并可为文档分配不同的版本号,以便以后的审阅和回复工作。文档协作:用户可以使用Office和HTML文档中的讨论特性实现内嵌式内容审阅,同时文件作者和浏览者也可以通过Web文件讨论沟通意见,而无需通过电子邮件讨论文件。
文档生存周期管理:用户可通过可选的审批路由特性创建私有的草稿,对其进行审阅和修订,然后再该文档,并对文档生命周期进行限定。
2.3信息搜索
搜索中心是知识管理系统的一个重要组成模块,它根据操作者的权限,对整个系统的所有文件资料进行集中搜索,用户可以在搜索中心找到系统中允许其搜索的全部信息。
个性化门户设计:提供每个不同的用户以个性化的用户人口,让每个用户都可以方便地看到跟自己有关的信息,如需审批的文件、已审批的文件等,将知识的沉淀和积累与员工的正常工作结合在一起。定制高校管理工作流程:系统允许客户依据自身需求及组织体系结构,设计适当的流程,并可通过流程进行文档跟踪与控制。系统提供的工作流引擎可容纳复杂的组织体系结构与角色定义,更可负荷大量的用户需求,让系统运行顺畅。
2.4师生互动和知识交流
师生互动和知识交流是知识管理系统为所有教师与学生提供的一个交流思想、发表意见、将知识共享的一个重要通道。它由一个在线调查、论坛信息反馈等系统组成,通过师生互动和知识交流可以收集一些非正式的知识,然后通过筛选,把这些零散的知识凝聚成重要的共享知识,同时为决策和判断提供理论依据。
3基于知识管理的高校校园网络平台的体系结构
3.1界面层
界面层整合各个独立的平台,优化系统内容,负责知识管理系统巾信息的输人和输出。它把人和信息技术的基础措施连接起来.并使员工创造、表达、使用、检索并共享知识,是知识管理架构中的最高层。在很大程度上,它是唯一能与最终用户直接交互的层面。
3.2访问与身份验证层
这一层的主要作用是对合法用户进行身份验证,并负责下面几层的安全以及访问权限的控制。下面几点是必须引起注意的:
(1)访问权限:对不同的用户应授予不同层次的数据访问权限,比如只读、可写、可编辑和可删除。
(2)防火墙:在内联网与互联网之间构建防火墙,并通过模拟攻击来测试防火墙的可靠性。
(3)备份:进行系统复制,建立缓冲区域。对信息进行复制的目的是为了在遇到灾难性的打击时能够迅速地恢复,重建数据。通过网络来进行备份非常划算,并且也非常安全。
3.3协同过滤与智能层
这一层构成了知识管理系统的智能处理巾心。为知识元素(称为可付诸行动的信息单元)增加标志和元标志.智能可能是在各种各样的web应用巾最能产生人工智能的工具。
3.4应用层
应用层的工具使得信息能够集成,这些信息包括隐性的信息源和显性的知识源,有助于仓建和共享语境,以便于做出判断,例如:头脑风暴会议、问题求解、思想产生和战略计划会议。
3.5传输层
这一层至少包括以下这些组件来支持知识管理网络平台;贯穿整个组织的TCP/IP网络;I台总是在线的互联网服务器;1台POP3/SMTP或邮件服务器;可以支持远程通信、反问和连接的虚拟个人网络设置。
3.6中间件与集成层
集成层是将遗产数据和现有的新系统进行整合的一层。中间件层的功能是实现新旧数据格式之问的转换,一般通过web前台来实现的。
3.7存储库层
对网络的使用的度量方式有按照时间和流量两种方式。按照时间作为度量易于实现和检测。但由于网络访问不是一个匀速的过程,使用时间并不能准确描述用户对网络的使用量,因而使用访问产生的流量作为网络使用的度量是一个合理的选择。我校就是采用对入流量进行计费的计费策略。在我校使用根据流量进行计费的计费策略以来,网络流量成为了有价值的资源,因而出现了一些问题,主要有以下三点:①计费系统流量计量的准确性问题②IP地址抢夺方式的流量盗用问题③帐号被盗后的IP地址定位问题这些问题本身不是依靠计费系统所能解决的,需要通过网络管理的角度寻找解决方案。下面分别说明。
2网络管理计费系统流量计量的准确性
计费系统是根据每个IP包的包长进行累加的方法进行流量统计的。这个过程对用户来说是很难进行检验的,用户通常根据以前的经验值来估计每次访问所产生的流量。当用户的计算机上运行了非用户主动发起的程序(如各种系统打补丁程序或其他木马程序)而产生了非预期的网络时,计费系统所统计出的流量就会大大超过用户的经验值,用户就会产生计费系统流量统计不准的疑问,并向系统管理员提出质疑。管理员如果不能对用户的疑问进行解答,用户就会认为计费系统的流量计量有误,则使用计费系统进行流量计费的合理性就会得到校园网用户的质疑。计费系统会记录用户访问的日志,一方面这些日志不是很完备,另一方面如果仅使用计费系统自己的日志信息来验证自己流量统计的正确性,这就是通常所说的“既当运动员又当裁判员”,不具备客观性,因此需要通过独立于计费系统的方法来解决这个问题。网络上能够独立的捕获用户流量的最常见的设备就是交换机。我们通过从交换机获取的用户流信息来对计费系统流量统计的准确性进行验证。在处理此类问题的实际工作中,用户还需我们帮助分析产生流量的原因,比如是访问哪些IP地址产生的,这就需要网络层和传输层的信息。要达到这个目标,需要详细记录数据流的这些信息。
2.1流信息的获取来源
网络流天然的最小的单元就是数据包,每个数据包包含了其所属流的传输层和网络层的完整的信息,如果能将这些信息收集并存储下来,理论上就可以完成我们所需的功能。我们在计费系统的测试阶段就是按照这个方法去进行的,数据报的获取通过交换机的端口镜像功能来实现。使用这种方法在实践中帮助我们初步解决了这个问题,但是我们也发现了这种方法存在的问题:镜像口的流量需要和实际数据端口的流量一样大,当实际的数据端口超过千兆后,将很难找到合适的镜像端口。因此需要寻找其他的流量测量手段。以流为单位的流量测量正以其低测量开销的方式取代以分组为单位的流量测量[1]。我校出口网络是使用Cisco公司的网络设备,因而采用Cisco公司开发的用于采集IP数据流量的网络协议Netflow。我们在连接计费系统的网络设备上启用了netflow的相关配置,并且在三层接口下使用“ipflowingress”配置使交换机吐出的netflow数据与我校只对入流量进行计费的策略相一致。Netflow数据被发送到指定的服务器上,该服务器运行我们自己编制的程序获取netflow数据,提取所需的信息然后生成访问日志文件。该程序使用winpacp获取网络数据。
2.2日志文件组成
我们采用固定大小的文本文件来存储获取到的netflow数据。Netflow协议中包含流的定义和流的信息。流的定义使用五元组(源地址、目标地址、源端口、目标端口、协议类型),流的信息包含数据包数、流量数和时间。流的定义字段对分析流量的来源都是帮助的,要保留。流的信息中的数据包数和流量数是统计流量的重要数据,必须保留。流量测量中一个很重要的输入条件是时间,因而时间信息是需要保留的。但是过多的时间信息会占用大量的存储空间,而流量测量对时间的精确性没有很高的要求,只要能够将来自同一个IP的不同终端的网络流区分开就可以了。我校用户的IP地址采用DHCP方式获取,地址的租期是24小时。当计算机的IP的使用达到租期的一半时,计算机会自动重新进行地址的获取。这说明在IP地址停止使用后的至少12个小时内,该IP地址是不会分配给其他计算机的。也就是说来自同一个IP的不同终端的网络流从时间上至少相差12个小时。只要日志文件首尾两个网络流的时间间隔小于12小时,我们就可以使用首尾两个流的时间来满足上述区分网络流的要求。实践表明,当采用10M大小的文件时即使在访问量最小的凌晨每小时最少也要生成2个文件,完全可以满足上述要求。由于末尾网络流的时间和下一个文件的起始网络的时间几乎一样,因而我们只记录起始流的时间,并以此时间(准确到秒)作为文件名。Netflow日志文件中包含每条流的信息。流的信息中IP地址信息会大量重复的出现,是冗余度很高的信息。如果能够减少这些冗余信息将会减小日志文件的大小。流数据在文件的位置不影响流量测量和分析工作,因而我们采用将目标地址和源地址相同的流连续输出,如果和上一条流记录的目标IP地址相同,则不输出本条记录的目标IP。如果源IP地址也一样,则本条记录的源IP地址也不输出。通过这种方式日志文件的大小减少了近50%。
2.3从日志文件中查询流量详细信息
为了方便日志的查询工作,编写了流量统计的程序。输入条件是校内IP和查询的起止时间。读取当天的每个日志文件,根据文件名判断是否在查询的时间段内。如果在则查找对应的校内IP的流量记录,将来自相同校外IP的流的流量进行累加。由于netflow中的流量单位是字节,长整形的长度是32位,因而如果统计时采用1个长整形,最大的流量是4G字节。为了处理总量大于4G的流量查询,我们采用两个长整形来记录流量统计结果。一个的单位是字节,一个的单位是兆字节。
3IP地址抢夺方式的流量盗用问题
计费系统部署在校园网的出口,将相同目标IP的数据包的长度进行累计,作为该IP对应的帐号的访问流量。如果抢夺已经注册了帐号的IP地址,就等于盗取了别人的流量。目前我校校园网使用以太网。以太网是一种多路访问的广播网,同一个网段内的多个网络可终端共享同一个网络介质。这样一个IP地址可以被同网段的任何终端所共享,只要能够成功“欺骗”网络设备,抢夺他人的IP是可能的。我们需要采用其他的网络安全策略来防止IP地址的抢夺。根据IP抢夺的方式不同介绍两种安全策略。3.1修改IP的抢夺方式这种方法利用默认情况下网路设备对ARP的应答不进行检查,完全信任的问题。针对这个问题,多数网络设备已经开发出了ARP检查的功能,即用一种可信的IP和物理地址对应表来ARP的数据包进行检测,丢弃与可信对应表不一致的ARP数据包。由于DHCP是在学校得到广泛使用的IP地址分配方式,而且通过配置可以控制DHCP应答数据包仅来自可信的服务器,因而DHCP应答数据包中包含了可信的IP和物理地址对应关系,只要能够捕获并存储这些数据,就能够得到一张可信的IP和物理地址对应表,这就是DHCP嗅探功能,也已经成为主流交换机的基本功能。将DHCP嗅探功能和ARP检测功能配合起来就可以防止修改IP的抢夺方式的攻击。3.2修改MAC的抢夺方式攻击人还可以通过修改自己终端的物理地址的方式来获取他人的IP地址。网络层的参数如IP地址和网卡地址都可以仿冒,但是难以仿冒的是交换机接口。一旦用户的上网位置确定了,交换机的接口是固定的。因而只要将物理地址和交换机端口的对应关系存储下来,就可以有效的防止此类攻击。交换机的端口安全策略可以实现这种功能。交换机上的端口和MAC地址的对应表应该有老化时间。我校计费系统的账号的自行下线的条件是从发送最后一个数据包后一定时间之后。当IP地址对应的账号的已经下线了,IP地址抢夺过去也就没有意义了,MAC地址就应该可以不被绑定了。因而MAC地址的老化时间也应该按照此方式处理:(1)老化时间的起点以发出最后一个数据包开始;(2)老化时间的时长等于计费系统自行下线的时长。实际应用中,我们采用的网络设备多数已满足这个需求。添加了这些配置后用户终端的移动性受到了些影响,但是由于提高了安全性还是得到了校园网用户的认可。
4IP地址的定位问题
网络账号被盗用总是难以避免的,当盗用的案件发生时,账号注册的IP的位置信息对于破案是有极大的帮助的,这就需要网络能够进行IP定位。IP地址定位的需求是根据IP和时间可以确定IP对应的终端所在的位置,通常情况下位置能准确到房间就可以大大缩小嫌疑人排查的范围。目前我校的校园网综合布线的密度为每个自然间1-2个信息点,每个信息点对应一个接入层交换机的接口。因而使用接入层交换机的接口就足以描述IP地址的位置信息。IP地址的接入信息可以使用时间、IP、MAC和接口这个四元组进行描述。IP和MAC的关系存储在汇聚层交换机的ARP地址表中,MAC和接口的对应关系存储在接入层交换机的MAC地址表中。这两个数据表可以通过SNMP协议从网络设备中读取。通过对交换机上启用SNMP协议的相关配置,可定期从网络设备中读取所需的数据表信息,然后将互联接口的信息从MAC地址接入表中过滤掉,通过MAC地址将两个表格联合起来再加上执行读取操作时的时间戳就可以得到IP地址的接入信息。将这些信息存储起来就可以作为IP地址定位所需的日志。
因为对网络服务不够了解,加上思想观念落后和资金匮乏等方面的原因,管理人员没有真正意识到校园网络可以给学校的日常教学工作提供巨大的便利,所以在购进网络安全设备的时候显得有点小气。想靠极少的投入就获得充足的网络管理人员、安全的网络运行也只能是痴人说梦。
1.2网络安全管理制度、人员、设备缺乏
由于对校园网络建设的投入较小,使得校园网络设备落后,不能满足最先进的网络建设需求,学校也很难从企业中竞争到精通网络技术和管理的各类高薪人才,而且学校本身又培育不出这种人才,送人去企业学习培养也不太可能实现。每所学校的网络应用都有其自身的独特性,加上很多学校都是刚发展校园网络,想去参考借鉴别人的成功经验也好像行不通,更无法去向企业学习了。以上这些原因一定程度上阻碍了校园网络的发展与完善。
1.3技术落后,网络管理不完善
操作系统存在安全漏洞,严重影响校园网络的安全性。因为操作系统的安全是信息系统的基础,是楼房的地基,如果它被攻击者当做主要攻击目标,那么一旦出现问题,整个学校的网络服务器和终端计算机的操作系统都会遭受不同程度的损害,也就留下了安全隐患和漏洞。网络给大家带来便捷的同时也让病毒享受了这种便捷,一旦校园网被病毒占据,那么网速下降是肯定的,但更严重的是会导致大量有用数据的丢失和校园网用户隐私的泄露,这种威胁才是最可怕的。除此之外,黑客也是防范的目标,因为它不仅能从外网攻击,而且也有可能是校园网内部人员充当黑客从校园网内部攻击,使本就不完善的校园网腹背受敌,那时校园网络就岌岌可危了。因为校园网络接入商的盈利性需求和设计施工方便性要求,大多数校园网络按普通用户的方式进行设计,使得网络结构混乱。对校园网络的多项功能没有考虑到,让学校在对校园网络进行有效管理时问题百出,而且还不能及时排查处理,给故障节点的查找和处理制造了不小的难度。
2校园网络建设安全现状
网络安全问题一直是个大问题,而校园网络安全问题则是重中之重,且是属于易发的那种。因为校园网络不像别的网络有严格的认证和权限控制机制,使得很多有意无意的错误操作都能给整个校园网络安全性带来一定程度威胁。由于大多数人的安全意识不够,这种小错误的概率出现的也不低,但排查处理一个小问题所消耗的时间和精力是一个不经意操作的千百万倍。
2.1没有用网络身份认证来确定用户身份的合法性
没有用网络身份认证来确定用户身份,使得接入校园网络的主机与设备缺乏特定的身份识别系统。因此,只要有一台主机就可以访问任何区域了,这就相当于有辆好车,人人都有把钥匙可以开走这辆车。也正因如此,各种病毒就会常常来光顾了。
2.2对网络设备的保护维修不到位
因为学校对设备的性能和管理手段没有特别了解,导致网络设备处于一种放养状态,人人可以接触,从而使机器按错误操作运行而让机器的寿命减短。除人为不当操作外,外界环境因素对没专人管理的机器来说也是致命的,比如夏天较多的降水对设备的损害情况就非常普遍。
2.3不恰当的网络行为对校园网络的冲击损害是不可忽视的
如浏览一些不良的非法网站,就可能使网络染上病毒,进入校园网内部从而产生严重危害;或者是下载一些占用内存较大的视频音乐等文件也会给网络造成拥堵,影响校园网络的正常使用。
3加强校园建设和网络安全防范的措施
3.1网络安全技术
为了保障校园网的安全,提高学校校园网的安全度,我们可以尝试使用一些先进的网络安全技术,下面进行详细的分析:
(1)精心配制防火墙,防火墙主要应用在网络和网络之间的链接上,通过在网络和网络之间使用防火墙,例如在校园网和外界的互联网之间使用防火墙,能够有效控制进入校园网络的信息,同时也能够很好的控制内部网络访问互联网的权限,通过防火墙的使用,能够有选择的决定哪些内部站点能够允许被外界访问,哪些内部站点不能够被外界访问,从而能够减少外界用户非法访问内部网络的现象的发生。
(2)加强入侵检测,入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。通过使用该项技术能够有效的检测出校园网络中违反安全策略的行为。
(3)建立和健全防病毒系统,虽然计算机系统已经安装使用了杀毒软件,对于普通的已经被识别的病毒能够有效的进行查杀,但是因为病毒层出不穷,仅凭杀毒软件是不能彻底控制病毒入侵计算机的,这就要求我们加大对计算机防病毒系统的建立,不仅要优化和创新杀毒软件,使用先进的杀毒软件,及时的对杀毒软件进行更新,还要加强日常的工作,建立和健全科学的病毒防范措施,制定相关的制度规范电脑的使用章程。
3.2网络安全管理
网络安全管理是网络安全体系的核心,在整个网络安全体系中起到管理、协调和决策的作用。网络安全管理应具有以下主要功能:
(1)进行用户身份认证,在校园网内使用身份认证系统,不同的用户在使用网络之前都要注册自己的账号,填充自己的真实信息,这样一旦在使用校园网络出现问题的时候,网络工作人员能够快速的查询到用户的信息,从而在第一时间内解决校园网络出现的问题。
(2)建立和健全安全评估策略,对于校园网络的安全保障上,仅凭借先进的网络安全技术和建立防火墙是不足够的,我们还需要建立和完善相应的网络安全管理制度,将网络安全技术和网络安全管理制度结合起来,形成一个较为完整的系统性的网络安全体系。
二、中职校园网络建设与发展中存在的问题
(一)校园网络建设规模与实际需求不匹配
中职校园网络建设规模与中职院校的实际需求之间的差距主要表现在两个方面:一是中职校园网络的建设规模较小,实际需求增长的速度比较快。二是中职校园网络的建设规模较大,实际需求较小,导致购进的设备闲置。前者造成的结果是网络资源的紧缺,后者造成的后果是网络资源的浪费,这都不利于中职院校自身的发展。
(二)校园网络建设的资金有限
中职校园网络建设的的资金有限主要是因为院校的思路不活,没有考虑到从多渠道筹集资金。建设校园网络,首先就要自筹资金;其次就要以网养网,因为有投入就有产出;最后,中职院校要努力争取当地政府和社会的支持。
(三)国家和中职院校对校园网络建设的重视程度不一
国家对中职院校校园网络的重视主要表现在地方政府对中职院校校园网络的重视之上,地方政府对中职院校校园网络建设程度更多取决于本地区中职院校的数量,通常情况下,中职院校数量越多,政府的重视程度也就越高。这里所说的重视程度不一主要是指不同地方政府对中职院校网络建设的重视程度不同,而各大中职院校对校园网络建设的重视程度也是有所不同的。
三、加强中职校园网络建设的对策
(一)促进全国中职院校校园网络一体化
针对目前很多中职院校都自主建设校园网络,而且发展速度很快,在这种情况下,国家教育行政部门应全面研究中职校园网络的建设,力求将全国中职院校的校园网络整合成为一个相互联系的整体,让各个中职院校之间的联系更加紧密,真正实现各种教育资源的共享,解决中职院校各自为政的问题,使得我国中职院校的教育跟上时展的潮流。
(二)加强建设中职院校的内外部信息资源
中职院校的校园网的内部信息资源主要有内部网站、电子图书馆、网上管理系统、网上办公系统等等,新一代的校园网不仅要具有以上功能,还要具有远程教育系统、网络多媒体教学系统、网络资源库、办公自动化管理系统等等,以适应新时展的潮流和师生的需求。中职院校的外部信息资源主要有对外的学校网站、internet访问、电子邮件系统等等,新一代的校园网除了要具有以上的服务功能和交流功能,还应该具备可共享的数字图书馆、满足新时代学生需求的校园电子商务、本着优势互补、互惠互利为原则的跨校选课等功能。
(三)中职院校从多渠道引进校园网络投资
中职院校进行校园网络建设需要大量的资金,筹集集资需要院校领导拓宽思路,从多种渠道筹集资金。首先,中职院校领导要自筹资金,将用于学校建设的资金分出一部分作为校园网络建设的资金;其次,院校领导要积极争取当地政府资金中用于信息化建设的资金的一部分;第三,中职院校领导要与社会合作,以互惠互利的原则积极吸引民间投资,让民间团体与本院校共同发展、共同获利。因为民间投资是一个“潜力股”;最后,中职院校要有以网养网的意识,可以在校园网络上将教学网和商业网融合在一起,这也是新一代校园网的发展趋势,是一种混合型网络。也就是说,将学区内的校园网作为教学网,为教工区和学生宿舍区提供相应的需求服务,也就是所谓的商业网。教学网与商业网的不同之处就是教学网是免费的,而商业网是付费的,这需要中职院校具备性价比比较高的网络运行设备。
(四)政府应重视中职校园网络建设
中职院校校园网的建设离不开政府的大力支持,这种支持既包括精神上的理解和支持,还包括资金上的支持。中职院校校园网络的建设不仅对院校本身的发展和学生的发展具有重要的促进作用,而且还间接促进当地经济、文化等方面的发展。所以,政府要从资金和精神两个方面支持中职院校校园网络的建设。
2模型的可行性分析论证
2.1从技术上进行可行性分析论证
PKI技术植入到VPN技术的校园网安全网络架构模型是把传统的校园网络数据存储服务器安置在一个专门的网络中,从而使得高职校园公共网和专用网,无论是他们的组网方式还是网络构造都跟当前社会上先进的局域网完全一样,另外新模型网络中使用的操作系统、通信协议以及软硬件都没有进行任何改变,跟以前的高职校园网络的所有资源一样,都可以正常使用,所以在改造过程中基本不没有出现任何技术上的问题,这也是高职校园网络数据确保安全的最终目的要求。新模型最主要的部分就是要求构建一个实际上,整个模型的关键技术在于构建基于PKI认证的VPN网关,主要满足以下两个方面的要求:一是,完全符合VPN技术的要求;二是,完全认同PKI的认证技术。而在实际处理过程中,只要采用双重宿主机服务器和通过在过滤路由器上做NAT就能够达到以上要求,网关采用的操作系统既可以是WindowsServer2003也可以是WindowsServer2008,只需要充分将这两个操作系统中提供的VPN服务和内置的PKI功能利用起来,就能够在不使用任何第三方软件的前提下就能够确保该网关达到以上两方面的要求。由此可以看出,当前已有的技术完全能够确保该模型在现实中实现,从而说明在技术方面是没有任何问题的。
2.2从经济上进行可行性分析论证
现有的高职院校的校园网网络拓朴图和根据模型设计的某高职院校的校园网拓朴结构图。通过对这两幅图进行对比分析可以发现稍加改进,其中改进前后的校园网部分没有发生变化,基础上多加了一个服务器专用网络,以及一个带PKI认证的IPSec-VPN网关,因此所需要的费用也就是在跟原先不同之处稍微增加。虽然改进后的模型中多了一个服务器专用网络,但是却并没有新增多一个网络,所以唯一改变的就是在原有的基础上稍微进行改进,从而对这些服务器进行集中管理即可,然后再将这些服务器通过交换机有效的连接起来,进而构成了一个独立的网络,交换机也只需要2000-3000元即可;除此之外就是再需要一个25000元左右的一台双重宿主机服务器,网关采用的操作系统既可以是WindowsServer2003也可以是WindowsServer2008,这些费用在绝大多数高职学校都是可以实现的,因此在经济方面也完全没有问题。
随着无线技术的不断成熟和普及,无线网络在全球范围内的应用已经成为一种趋势。在我国,越来越多的学校开始在校园构建和铺设无线网络。无线校园网络的快速发展与应用,对学校的教学模式、教学理念及教学管理产生了深远的影响,也使学校教师、学生的学习、生活方式产生了积极的变化。根据教育部的调查显示,目前我国15.1%的高校建有无线校园网,同时有36.2%的高校计划建设无线校园网。针对突飞猛进的无线校园组网计划,有专家表示,无线校园是未来校园信息化的发展方向。
一、何谓无线局域网
无线局域网(WirelessLocalAreaNetwork,缩写为“WLAN”)是高速发展的现代无线通信技术在计算机网络中的应用,是计算机网络与无线通信技术相结合的产物。不像传统以太网那样,基于802.1标准的无线网络在空气中传播射频信号,在信号范围内的无线客户端都可以接受到数据,为通信的移动化、个人化和多媒体应用提供了实现的手段。
二、传统有线网络面临的问题
随着校园网络规模不断扩大,网络应用不断增加,网络已经成为老师和学生获得信息的主要手段之一,校园网络的规模从以前的几百用户迅速扩充到几千用户甚至几万用户,越来越多的校园网络应用开始部署,网络变得前所未有的重要,细心观察不难发现传统有线网络容易出现以下问题:
(1)校内公共网络设施有限,而且使用频繁,人们为了上网不得不在这些地点之间奔波;
(2)计算机设备较多,其中,笔记本数目也在逐步增加。在这种情况下,全部用有线网连接终端设施,从布线到使用都会极不方便;
(3)有的教室主体结构是大开间布局,地面和墙壁已经施工完毕,若进行网络应用改造,埋设缆线工作量巨大,而且学生上课时的位置不是很固定,导致信息点的放置也不能确定,这样,构建一个有线局域网络就会面对各种不便;
(4)高校通常会有几个在地理分布上并不集中的分校区,用有线光缆连接校园网工程复杂、成本极高。而使用无线网络,无论是在教学楼、办公楼、学生宿舍或者其他校区都可以实现全方位的无线上网。这是无线网络在校园中的发展趋势。
三、无线网络的特点与优势
1、移动性强。无线网络摆脱了有线网络的束缚,能够使学习远离教室,可以在网络覆盖的范围内的任何位置上网。无线网络完全支持自由移动,持续连接,实现移动办公。
2、带宽很宽,适合进行大量双向和多向多媒体信息传输。
在速度方面,802.11b的传输速度可提供可达11Mbps数据速率,而标准802.11g无线网速提升五倍,其数据传输率将达到54Mbps,充分满足校园网用户对网速的要求.
3、有较高的安全性和较强的灵活性
由于采用直接序列扩频、跳频、跳时等一系列无线扩展频谱技术,使得其高度安全可靠;无线网络组网灵活、增加和减少移动主机相当容易。
4、维护成本低,无线网络尽管在搭建时投入成本高些,但后期维护方便,维护成本比有线网络低50%左右。
四、无线网络存在的安全问题
在无线网络的实际使用中,有可能遇到的威胁主要包括以下几个方面
1、信息重放
在没有足够的安全防范措施的情况下,是很容易受到利用非法AP进行的中间人欺骗攻击。对于这种攻击行为,即使采用了VPN等保护措施也难以避免。中间人攻击则对授权客户端和AP进行双重欺骗,进而对信息进行窃取和篡改。
2、WEP破解
现在互联网上已经很普遍的存在着一些非法程序,能够捕捉位于AP信号覆盖区域内的数据包,收集到足够的WEP弱密钥加密的包,并进行分析以恢复WEP密钥。根据监听无线通信的机器速度、WLAN内发射信号的无线主机数量,最快可以在两个小时内攻破WEP密钥。
3、网络窃听
一般说来,大多数网络通信都是以明文(非加密)格式出现的,这就会使处于无线信号覆盖范围之内的攻击者可以乘机监视并破解(读取)通信。由于入侵者无需将窃听或分析设备物理地接入被窃听的网络,所以,这种威胁已经成为无线局域网面临的最大问题之一。
4、MAC地址欺骗
通过网络窃听工具获取数据,从而进一步获得AP允许通信的静态地址池,这样不法之徒就能利用MAC地址伪装等手段合理接入网络。
5、拒绝服务
攻击者可能对AP进行泛洪攻击,使AP拒绝服务,这是一种后果最为严重的攻击方式。此外,对移动模式内的某个节点进行攻击,让它不停地提供服务或进行数据包转发,使其能源耗尽而不能继续工作,通常也称为能源消耗攻击。
五、无线网络的安全防范措施
为了保护无线网路免于攻击入侵的威胁,用户主要应该在提高使用的安全性、达成通信数据的保密性、完整性、使用者验证及授权等方面予以改善,实现最基本的安全目的。
1、规划天线的放置,掌控信号覆盖范围。要部署封闭的无线访问点,第一步就是合理放置访问点的天线,以便能够限制信号在覆盖区以外的传输距离。最好将天线放在需要覆盖的区域的中心,尽量减少信号泄露到墙外。部署了无线网络之后,应该用可移动的无线设备彻底的勘测信号覆盖情况,并反映在学校的网络拓扑图里。
2、使用WEP,启用无线设备的安全能力。
保护无线网络安全的最基础手段是加密,通过简单的设置AP和无线网卡等设备,就可以启用WEP加密。无线加密协议(WEP)是对无线网络上的流量进行加密的一种标准方法。虽然WEP加密本身存在一些漏洞并且比较脆弱,但是仍然可以给非法访问设置不小的障碍,有助于阻挠偶尔闯入的黑客。许多无线访问点厂商为了方便安装产品,交付设备时关闭了WEP功能。但一旦采用这种做法,黑客就能立即访问无线网络上的流量,因为利用无线嗅探器就可以直接读取数据。建议经常对WEP密钥进行更换,在有条件的情况下启用独立的认证服务为WEP自动分配密钥。另外一个必须注意的问题就是用于标识每个无线网络的SSID,在部署无线网络的时候一定要将出厂时的缺省SSID更换为自定义的SSID。现在的AP大部分都支持屏蔽SSID广播,除非有特殊理由,否则应该禁用SSID广播,这样可以减少无线网络被发现的可能。
3、变更SSID及禁止SSID广播。服务集标识符(SSID)是无线访问点使用的识别字符串,客户端利用它就能建立连接。该标识符由设备制造商设定,每种标识符使用默认短语,如101就是3Com设备的标识符。倘若黑客知道了这种口令短语,即使未经授权,也很容易使用无线服务。对于部署的每个无线访问点而言,要选择独一无二并且很难猜中的SSID。如果可能的话,禁止通过天线向外广播该标识符。这样网络仍可使用,但不会出现在可用网络列表上。
4、禁用DHCP。对无线网络而言,这很有意义。如果采取这项措施,黑客不得不破译用户的IP地址、子网掩码及其它所需的TCP/IP参数。无论黑客怎样利用公司的访问点,他仍需要弄清楚IP地址。
5、禁用或改动SNMP设置。如果公司的访问点支持SNMP,要么禁用,要么改变公开及专用的共用字符串。如果不采取这项措施,黑客就能利用SNMP获得有关公司网络的重要信息。
6、使用访问列表。为了进一步保护无线网络,应使用访问列表,如果可能的话。不是所有的无线访问点都支持这项特性,但如果公司实施的网络支持,就可以具体地指定允许哪些机器连接到访问点。支持这项特性的访问点有时会使用普通文件传输协议(TFTP),定期下载更新的列表,以避免管理员必须在每台设备上使这些列表保持同步的棘手问题。
参考文献:
[1]张锦.无线局域网IEEE802.11.现代图书情报技术
2中等职业学校校园网络现状及问题
中等职业学校校园网络状况大多是校内组建局域网,划分不同的局域网网段并实现互联互通。另外,根据各局域网使用者的实际需求将校内子网络通过路由及相关网络协议实现与外部网络运营商提供的主干网,实现互联网络相通,实现互联万维网的访问。那么,一旦与外部网络实现互联互通,网络危险自然而然就相继接踵而来。本文将中职学校校园网面临或存在的主要安全问题归结如下:
2.1外部网络攻击一些不法分子通过进行端口扫描软件或网络攻击、垃圾邮件和网页被篡改等窃取学校网络服务器中一些重要数据。另外一些网络爱好者出于虚荣心作祟或以试探为目的的对网络进行攻击,导致网络拥堵、性能水平受限。
2.2内部网络问题依据相关网络管理部门的数据显示:影响局域网络安全的主要因素在于内部的使用者。中等职业学校的校园网内部用户对网络的结构和应用模式认识不深,对于专业的网络方面知识接触较少也比较肤浅。学生对网络新技术的发展,充满极大的好奇欲望,在讲授计算机方面的专业课程时,学生会穷追不舍的对于病毒木马提出一系列问题,诸如:运用病毒木马会给制作者带来哪些好处?当学生通过外部网络得到答案之后,就会访问相关“黑客”资源网站,进行小恶作剧的尝试,进而影响网络的正常运行。另一方面,由于某些网络软件、程序的大量应用,其程序本身包含了不为使用着所知的木马程序。因此,来自校园局域网络内部的威胁构成了危害校园网络安全的第一因素。
2.3网络用户安全意识淡薄学校的教师、学生及网络相关使用者网络安全意识非常淡薄。在学校机房或班班通多媒体教室中随意使用U盘、移动硬盘等外部存储设备,导致病毒相互传播,难以彻底查杀。另外部分机房管理人员岗位责任意识淡薄,不能安全地配置计算机和严格管理公共实训机房,例如:计算机U口没有封闭。
3校园的网络安全管理与保障策略涉及的主要方面
3.1准确了解信息化课件资源的附加服务在校园内部的课程资源服务器等附加资源方面,让访问者准确地了解信息化课件资源的附加服务,提高资源质量,同时增强网络用户的个人电脑安全使用意识。
3.2符合公安监控安装相关的安检及访问监控软件与设备应用公安监控管理安装相关的安检及访问监控软件与设备,对流动人员的网络使用进行控制。
3.3将风险及不安全因素隔离于校园之外应用防火墙设备设置不同安全域,保护学校内部局域网资源不被外部非授权用户非法使用或窃取;安全数据区设置访问控制权限,阻止内部用户对数据的修改和滥用。局域网除了采用防火墙之外,还必须妥善的规划其架构,拟定其安全政策,而防火墙是落实这些安全政策的必要且重要的工具之一。
3.4加强内部网络安全
(1)局域网划分不同网段。通过不同网段的划分将不同类型的用户划分在不同的VLAN中,这样可以使不同的使用者访问不同的资源,避免发生网络广播风暴以及资源外泄情况的发生。例如:将IP广播系统单独划分一个VLAN,避免其他用户的操作干扰广播系统的正常运行。在这里,建议中等职业学校的校园网络布局分配以建筑楼座为单元,每一个建筑物划分一个网段,如果条件容许的情况下,将每个职能部门划分不同的网段,这样就可以避免一些网络安全问题的产生也可以对文件资源及教学数据资源进行合理的保护,避免无关人员访问。
(2)对网络用户进行实名认证。采取网络用户与IP地址绑定的策略,一旦哪个IP地址的主机发生不安全因素,上传不合乎规定的资源,可以快速的追踪到其使用者,让其停止危害校园网络,避免更大的网络损失。目前比较成熟的网络接入认证方式有很多,如MAC认证、ESS等。
(3)建议选用其他一些知名的杀毒软件作为现有杀毒软件的补充,比如在用户中广受好评的卡巴斯基杀毒软件。
(4)建立数据备份制度并严格执行。为防止不可预见的系统故障或用户不小心的非法操作,必须对系统进行安全备份。同时,应该将修改过的重要系统文件存放在不同的存储设备上,一旦出现系统瘫痪、崩溃或遭到攻击,要能够通过备份信息快速、无误地还原系统和数据。
3.5对于校园网管理员、公共实训基地机房管理员进行足够网络安全教育和培训因为他们是校园网的维护骨干中坚力量,只有他们有丰厚的安全意识及严谨的工作态度,我们的校园网络才能平稳、安全的运行。
2采用云计算技术的网络设备整合
采用云计算技术对网络中的设备进行整合,通过互联网这个必须的桥梁,将网络中的每个设备直接连接至云计算中心,用户只需通过服务接口(通常是Web浏览器)与云计算中心进行通信,完成用户的注册与登录,此时即可获取一个身份唯一标识。用户通过这个唯一身份标识登录成功后,云计算中心即会迅速处理用户的需求操作。云计算中心相当于一个庞大的服务器集群组,它主要提供软件服务SaaS、平台服务PaaS、基础设施服务IaaS以及虚拟化的资源和物理资源池。学校的合并,校园网的应用和网络规模需求的不断扩大,现有网络规划已经不能满足网络需求,数据冲突和资源浪费现象严重。同时,学校网络中心机房由于托管的服务器数量不断增加,大量的服务器资源既造成了电能的浪费,又增加了学校的开支成本。一个开放的资源集成、资源管理和资源服务等资源管理体系,是学校信息化发展与网络整合的必然需求。
2.1现有设备及状况
A校区网络始建于2004年,实现了电信出口100M、教科网出口2M、三个校区的网络互连,2011年进行了第二次网络扩展和更新改造。近期,A校区与B校区合并,需要进行网络的第三次整合、扩展和更新改造。核心交换机、汇集和接入层交换机、一台城市热点认证计费设备、一台公安系统网络监控设备与后备电源系统。目前,网络中心能实现路由、NAT、防火墙功能、数据交换、网络日志、身份认证、教务系统、OA系统、精品课程等功能,见图2。B校区网络中心现有主要设备有:思科CIS-CO7609交换机,作为校园网络的主要路由交换设备。身份认证系统、网络设备管理系统、防火墙、网络安全审计系统、精品课程系统等专用服务器36套。实现路由、NAT、防火墙、数据交换、地址映射、VPN、FTP服务、数据存储系统、防病毒、身份认证、网络分析等网络功能,见图3。
2.2规划网络架构
云计算包括多种模式,如果以云计算中的私有云模式来对A校区已有的大量的服务器等硬件资源进行整合,然后统一提供服务,既能够通过对已有硬件资源的整合提升利用率,降低购置新硬件的成本,又能够提高资源利用率,实现节能减排,一举两得。具体整合方法:(1)在维持原有配置功能不变的前提下,用CISCO7609核心交换机替换原有的CISCO6509核心交换机,第二台CIS-CO7609上实现核心交换设备的双机热备功能,以满足VLAN与DHCP等功能的使用;(2)实现用CISCOASA5520替代原有的CISCOASA5510增加VPN网络访问功能;(3)对原有的6506核心交换机进行整合,维护引擎和业务模块,作为二级核心汇聚校园网的数据中心IDC、服务器群。将原网络中的WWW、FTP、存储、一卡通、在线教育系统、精品课程系统等25台服务器加入到服务器群中。
2.3规划网络管理功能
整合后网络管理功能为:(1)解决A校区网络整合中部分汇聚交换机与接入交换机不能实现远程发现与管理的问题;(2)利用堡垒主机技术提高主校区IIS服务器的安全性和可靠性;(3)建设DMZ区,为不低于20套服务器架设服务器群,提高网络服务质量。将指定的应用系统进行归并。
2.4加强网络远程监控与管理
利用远程管理手段,增加A校区网络中心机房的电源、温度与湿度管理。利用B校区的门禁系统,实现A校区门禁系统的网络化远程管理。综合云计算技术手段,实现网络统一认证、管理和调度的目标。从而实现一次认证,多点登陆,方便使用。
2.5解决学校服务器利用率低的问题
每个学院需要大量供教学和实验使用的服务器,如何解决现存的服务器不足、资源利用低下、管理模式单一的问题,是通过云计算技术整合网络资源重点要解决的问题。具体做法:运用云计算技术,整合服务器资源,创建云存储空间,实现服务器资源的合理分配;利用虚拟化技术,构建必要的虚拟机,优化服务器资源,满足全校师生应用需求;按照数字化校园的要求,实现网络空间资源有效的整合与集成,实现统一身份认证、统一资源管理和统一权限控制。
因为校园网络需要同互联网连接,从而给师生查找资料提供便利,不过也因此容易受到黑客攻击。当代黑客攻击的技术越来越高明,破坏程度同样越来越严重,黑客攻击校园网络,有着时间长、范围广、损失大以及处理难的特点,校园网络当中的DNS服务器、WEB服务器以及邮件服务器是容易遭到黑客攻击的地方[8],黑客很多时候使用专业工具攻击校园挽留过,导致校园网络服务器无法正常使用,部分攻击软件甚至可以让非法用户可以随便攻击校园网络,同时篡改校园网络的主页、破坏各种数据从而扰乱教学秩序。
1.2内部用户的问题
现在学生对于网络了解程度比较深,这就导致部分学生会在好奇心趋势下,攻击校园网络系统,从而给校园网络的正常运行带来不利影响,提高了校园网络管理的难度。统计显示内部用户造成的校园网络攻击占到30%左右,大部分情况由学生好奇心而引起,同时学校对于学生的管理以及教育不够重视,纵容他们破坏校园网络安全的种种行为。
2防火墙技术在校园网络安全中的应用
2.1选择合适的防火墙产品
最简单的防火墙是在校园网络的内部网以及外部网间加装应用网关或者是过滤路由器。为更好实现校园网络的安全,很多时候需要综合使用不同的防火墙技术从而组合防火墙系统。这就需要明确设置防火墙设置的方案,然后选择合适的防火墙产品。从形式的角度而言,防火墙可以分成硬件防火墙以及软件防火墙这2大类,硬件防火墙同软件防火墙比较而言,由于使用专用硬件设备,并且集成生产厂商防火墙软件,功能上通过内置安全软件,并且使用强化甚至专属的操作系统,有着管理方便以及更换容易的特点,并且软硬件的搭配往往比较固定。也就是说硬件防火墙的效率更高,可以解决防火墙性能以及效率之间的关系,可以根据校园网络的具体情况来加以选择。
2.2使用服务器
服务器指的是连接校园网络局域网以及Internet的网关,这一网关运行服务软件,可以实现不同网络之间的互相通信。服务器可以在用户以及服务器间实现协同工作,所以提供应用级的网关。客户端往服务器发送请求,请求到达服务器,然后服务器在接收连接请求之后,进行身份认证以及访问控制,要是客户端确认服务器身份认证以及访问控制,那么就代替客户端发送请求。服务器在响应之后,服务器则将数据反馈到客户端。
一、引言
校园网是指利用网络设备、适宜的组网技术与协议、通信介质以及各类系统软件和应用管理软件,将校园内各种终端设备和计算机有机地集成在一起,并用于教学、科研、学校管理等方面工作的计算机局域网络系统。最近几年来,随着网络技术的高速发展和高等教育改革的逐年加快现代高等教育正在朝网络教学、远程教学、教育资源共享的方向发展。校园网显现了以下关键特征,促使许多高校在对校园网及其信息应用进行不断的升级改造和完善,文章将以长沙通信职业技术学院校园网的升级做为实例探讨了校园网改造的设计与实现这一课题。
二、校园网升级改造的设计与实现
2.1长沙通信职业技术学院校园网的现状
长沙通信职业技术学院托隶属电信企业的优势,很早就组建了校园网,期间对一些关键网络设备和技术进行了更换和提升,近年来,随着学院发展速度的不断加快,建筑楼宇的不断增多以及信息化的需求加大,原有校园网在运行中暴露出许多问题,主要表现在:
1、网络覆盖:覆盖范围不够。随着新培训大楼和体育馆的建成及的实验楼的改造,原有规模的校园网设备的端口数严重缺乏,不能满足现有需求。
2、网络性能:性能不稳定。原有网络带宽和主交换机交换能力及服务器的配置均己经不能满足学院多媒体教学和开展远程教育等业务流量的需求。
3、网络管理:管理难度大。随着入网用户的增加,网络设备的维护和网络用户的管理难度越来越大。
4、网络安全:安全体系差。没有一套完备的网络安全体系;原有防火墙性能较差,大大限制了外网访问速度。
5、与外网互联方面。出口带宽较低,而且是单条专线接入互联网,远远不能满足需求,教育科研网与公众网间互联不尽人意,网络性能不太稳定。
2.2升级改造的方案设计
2.2.1网络拓扑结构
校园网一般采用三层层次模型,将整个网络划分成不同的层次,各个层次各司其职。网络由三个层次组成:接入层、汇聚层、核心层。接入层的功能:可以是直接连接桌面PC,也可以是建筑物楼内的交换机,做为网络接入安全控制和QOS策略实现的边缘点,可以实现接入用户的802.1x认证。汇聚层的功能:承上启下,提供负载平衡、快速收敛和扩展性;完成路由选择,汇聚接入层设备的流量,高速无阻塞地转发给核心层设备。核心层的功能:提供负载平衡、快速收敛和扩展性;连接各汇聚设备;完成数据流的高速转发。
2.2.2网络管理系统的总体设计
在校园网升级改造项目中,网络管理系统依照“技术管理为主,行政管理为辅”的方式,在行政上,通过委派有网管经验的网管工作人员,专职负责校园网设备的配置和管理,信息定期收集统计和分析,性能和安全性监控。在技术层面上,选用一款专业的网络管理软件,安装在网管中心,通过提升整个的校园网的管理水平。
2.2.3校园网安全系统设计
合适的安全产品选型和部署、完善的系统加固处理、良好的安全管理培训及快速的安全事件响应,才是安全有保障的解决之道。因此,要想很好地实现网络安全管理,需要从以下两个方面着手:1、部署合适的安全产品和防御系;
2、网络安全管理措施。
2.3升级改造的实现
2.3.1网络拓扑结构
根据单位现有的设备,以及以上这些设计要求,长沙通信职业技术学院的网络结构分为三级:
第一级是网络中心。网络中心选址在学校地域的中心建筑(实验大楼),布置了校园网的核心设备,如路由器、交换机、服务器(WWW服务器、电子邮件服务器、拨号服务器、域名服务器等),并预留了将来与本部以外的几个园区的通信接口。
第二级是建筑群的主干结点。校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑群,并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第二层,它向上与网络中心的主干交换机相连,向下与各楼层的集线器相连。学校校园网主干带宽全部为1000Mbps。
第三级是建筑物楼内的交换机。三级节点主要是指直接与服务器和工作站连接的局域网设备,即以太网或快速以太网交换机。网络中心设施是华三公司的H3C-7510交换机。H3C-7510交换机具有良好的虚拟网络支持能力,可以跨越各个建筑物的地理限制,在全校范围内建立必要的虚拟网络,从而为网络的应用、管理和维护带来极大的便利。网络中心用的各种服务器都可直接连接到中心的H3C-7510交换机速以太网端口上,以解决可能会出现的瓶颈问题。各建筑物楼内配置H3C-E126交换机,用于按地域将连续IP地址划分子网,建立虚拟局域网。各系或部门的服务器可直接挂在H3C-E126交换机上。所有这些H3C-E126交换机都连在第二级的主干节点H3C-E3610交换机上。
2.3.2网络管理系统部署
校园网的管理对保证网络平稳运行至关重要。校园网的管理分行政手段管理和技术手段管理。
1、建立一支高水平的网络安全管理队伍
要真正实现网络安全,各种制度、策略和技术措施只是前提条件,日常的管理和维护工作才是重点。要维护大规模网络的安全,需要有一批经验丰富的专门的网络安全管理人员,让他们在有关信息安全部门的领导下做好重要系统的管理和监控、协助建设各类网络设施和系统、协助配置各类系统和设备、协助应用部门查杀计算机病毒、协助信息安全部门处理各种安全事件、在信息安全部门的授权下检查解决各类系统的安全漏洞和弱点等工作。
2、布署稳定实用的网络管理系统软件
在众多的网络管理系统中,有著名的IBMTivoli、HPOpenView等网管平台软件,也有CiscoWorks、HammerView等设备厂商提供的网元管理软件,更有美萍网管这种网上盛行的软件和免费软件。选择网络管理软件最重要的是适合网络业务的需求,我们根据学院本身的特点选择了安装上海北塔通讯网络科技发展有限公司完全自主开发的一套BTNM网络运维管理系统。:
2.3.3网络安全系统部署
校园网整体结构是一个通过千兆和百兆以太网链路连接的网络。从网络安全的角度来看,整个网络分为三大部分,第一部分为重点的安全保护区,即为校园网中的重要应用服务器群,同时该部分还可包含网络其它重要部门的网络设备与用户;第二部分为校园网普通网络区域,即为校园内除重点信息安全保护区外的其它网络设备和用户,第三部分为外部网络区域,即指与校园网连接的Internet网络和教育网。升级改造后主要通过以下几种技术的综合应用来部署网络安全系统。1、防火墙的部署;2、入侵检测系统的部署;3、漏洞扫描系统的部署;4、防病毒系统的部署;5、备份系统的部署;6、过滤不良网络信息等其它安全手段。
三、结束语
目前,解决方案己经在学校实施了,学院的网络系统已经处于一种稳定忙碌的运行状态和一个严密的安全管理和防范系统的保护之下了。
参考文献
