石家庄市第二职业中专是一所以计算机为主要专业的国办专业学校,校内的网络专业在河北中职学校中具有很强实力。笔者是网络专业的负责人,经过近10年的网络教学和实践,对计算机专业尤其是拥有网络专业的学校的校园网的安全有自己的一些思考和实践。
学校校园网系统的具体情况是:
● 就以往的安全管理来看,以整体防御确保每一台计算机的安全对于学校来说只存在理论的可能性,实践起来较为困难;
● 学校只有一个专职网管人员而且脱离教学任务,对实际情况掌握的不是很熟悉。只能完成网管中心的局部安全;
● 就功能而言,学校的计算机网络可分为4大类型:教师集中办公的微机网络、学生上机的微机网络、网管中心网络、学校职能部门例如档案室、会计室、校长室、试卷库等部门网络;
● 学校了解网络安全的专业教师非常多,而且专业各有特长;
● 网络安全课程必须开设,内部攻击不能从制度上禁止。
分区防守,增强“壁垒”
根据以上具体情况结合网络安全问题我们得出了以下的分析结果:
1、靠网管一个人实现整个网络的安全是不可能的。
2、四个不同功能的网络对网络安全的要求是不同的。教师网络因为权限较大所以主动染毒性非常强,但是由教师网络发起的对校园网络的内部攻击非常少。网管中心的网络非常重要但是相对安全。学生机房由于纪律的约束,主动染毒性不存在,但是针对网络的内部攻击次数非常多。学校职能部门网络由于涉及到学校的重要信息以及相关考试的信息,所以对网络安全要求非常高。
3、如果仍然采用习惯的整体防御,会出现一个区域网络安全出了问题导致其他功能区域全部出现问题。
针对学校的具体情况和网络安全问题的分析,我们制定了分区域防守与增强网段“壁垒”的总体安全策略。具体策略如下:
1、 由专业教师包括网管在内组成网络安全小组负责校园网络安全。小组成员根据专业方向的不同负责对威胁网络安全因素的具体防守,从人员方面加强力量。
2、 针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。
3、 整个网络安全体系由主防火墙和子防火墙一起构成。主防火墙由网管负责,进行网络整体防守。子防火墙由专业老师具体负责,配置到具体网段进行区域防守。
4、 不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/IPS几个方面区别配置来适应不同区域的具体要求。
新闻热点
疑难解答
