论文部分内容阅读
摘 要:随着校园数字化飞速发展,校园网络的应用越来越广泛,网络安全的重要性日益增加,网络安全是多方面、多层次的,全局性的部署才能确保校园网更加高效稳定的运行。
关键词:
网络;安全;数据中心
中图分类号:F49
文献标识码:A
文章编号:1672-3198(2011)11-0244-02
0 引言
随着网络通信技术的发展以及教育科研管理水平的不断提高,目前我国大部分高校的计算机网络已经从过去的以满足学生互联网访问需求为主、校内各管理信息系统相对独立,数据缺乏有效交互的“信息孤岛”阶段,发展到了“数字化校园”阶段.以统一数据库平台、统一身份认证平台、统一门户平台为基础,教学管理系统、人事管理系统、学生管理系统、网络学习系统、校情综合展示系统、校园网站系统、资产管理系统、图书管理系统、科研管理系统等应用、已经深入到了学校日常教学、科研管理等业务活动中,实现了“网上办公、网上管理、网上教学、网上服务”,因此,如何提高计算机网络的安全性和可靠性,保障业务网络稳定、高效运行成为了摆在我们眼前的重要课题。
1 网络硬件设备安全
1.1 楼宇配线间
高校的校园网目前大多万兆核心、千兆到楼宇、百兆到桌面。网络中心与各楼宇之间采用多模光纤进行互联,并且留有备份线路。楼宇交换机到计算机采用非屏蔽双绞线,线路之间避免交叉缠绕,并与强电保持50CM以上的距离,以减少对弱电线路的干扰。新增网点,距离交换机尽可能短,最长距离不能超过100米,以防止信号衰减。平时做好跳线备份,以备急用。分置配线间内的强电电源应争取单独供电,和供电部门协调保证24小时不断电。综合考虑供电、场地、温湿度、防尘、防水、防鼠、防盗、电磁环境以及接地防雷。
1.2 数据中心
对于数据中心来说,如何保证所提供服务的可靠性和不间断性以及数据存储的安全是决定一个信息系统安全的关键。因此,数据中心必须使用不间断电源(UPS)并配置足够容量的电池,才能保证服务器的24小时不间断工作,防止因为意外停电而造成的数据丢失。对于中心服务器,目前大部分学校采用的是双机热备份+存储阵列的模式,当主服务器发生故障时,在短时间内切换到备份服务器,启动数据库,在5分钟内恢复数据处理。这样只做到了主服务器出现故障不能正常工作时,能保网络系统的正常运行,如果阵列出现故障,整个系统仍会停止运行,一般在条件允许的情况下应该备有应急服务器。应急服务器在日常工作时,通过数据库的备份服务实时地进行异地备份,保证数据与中心服务器的同步,当双机服务器或阵列出现故障时,系统能够顺利转移到应急服务器上运行,所有用户的使用方法保持不变,业务数据信息连续,不仅方便了操作人员,而且大大的提高了系统的安全性、稳定性。
此外,重要的业务网络应设计为专网,进行物理隔离,这样才能彻底消除因外网黑客的入侵,而带来的网络安全问题。当专网需要与外界交换信息时采用U盘或移动硬盘等可移动存储设备作为中介,并做好防病毒工作。
1.3 外界环境对网络设备安全的影响
温度湿度等外界环境对网络设备的安全有重要影响:
温度过高会导致逻辑电路产生逻辑错误,技术参数偏离,还会导致系统内部电源烧毁或烧坏某些元器件,影响机器运转和导致一些热敏器件内部损坏或不能正常工作。温度过低,由于磁盘驱动器金属钝化,可能会造成数据读写错误,软磁盘片也会由于温度低而变脆。主机风扇轴承中的润滑油和硬盘轴承中的润滑剂也会因为温度过低而凝固,影响正常工作甚至造成硬件设备损坏。主板和内存在低于5度的环境下工作也极不正常。
湿度过高,会使接插件和集成电路的引线等结合部位产生氧化、生绣、霉烂,造成接触不良、断路或短路;尤其是有较电压工作的设备,极易出现故障。如果空气湿度过大会引起元器件间放电、打火,从而损坏设备,严重的还会引起火灾。湿度过低,会吸附灰尘,加剧噪声,过分干燥容易产生静电,过高的静电有可能击穿半导体芯片,影响硬件设备正常工作。
对于机器内部的电路板上的双列直插或组件的接线器,灰尘的阻塞会形成错误的运行结果。过多的尘埃可造成绝缘电阻减小、泄漏电流增加,机器出现错误动作,灰尘过多还会影响风扇转速,加速老化,影响散热。
静电对网络设备也有比较严重的问题,以上谈到的温度、湿度、尘埃等很多原因都可能引起静电。计算机元器件和集成电路对静电非常敏感,静电虽然电荷少,但与电子元件间放电时瞬间电压很高。因此,在人体接触网络硬件设备时,最好用手去接触暖气管水管等与大地有良好接触的导体,放掉人体自身的静电,防止对网络设备造成损害靠近网络的计算机、大型电器电源设备和网络设备自身等,都能产生电磁辐射,通过辐射、传导等方式对网络系统形成干扰。他们造成的问题是:设备的一些部件会失效,但那些部件的失效看起来又是由于其他部件引起的,像这样的问题很容易被忽略,而且很难诊断,需要专门的诊断软件和硬件来检测。
2 防火墙
防火墙是设置在不同网络或网络安全区域之间的一系列部件组合,是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问来实现对网络安全的有效管理。
防火墙能强化安全策略。有效的记录网络上的活动。限制暴露拥护点,隔开网络中的不同网段,防止影响一个网段的问题通过网络影响整个网络,所有进出的信息都必须通过防火墙,遇可以信息便进行拦截。
防火墙作为网络安全的屏障,极大的提高网络的安全性,并通过过滤不安全服务而降低风险,在校园网与因特网之间或者在受保护的内外网之间采用防火墙技术,可以有效的保护校园网的安全。单一的防火墙技术可以在一定程度上起到保护作用,将多种防火墙技术混合使用,会更有效的解决校园网安全问题。
3 软件系统的安全措施
3.1 操作系统的安全
目前,学校普通办公计算机的操作系统多采用微软WINDOWS系列,由于Windows系统操作系统应用广泛,已知的系统漏洞和针对该系统的网络攻击也较多,因此需要及时下载并安装好系统补丁,并尽可能关闭不需要的网络端口,以减少因系统漏洞带来的各类安全隐患。并且对用户所使用的系统帐号、用户权限、网络访问以及文件访问等实行严格的控制和管理,做好日常的监控、审计和事件日志记录和分析,一方面可以减少各类违规访问,另一方面,通过系统日志记下来的警告和报错信息,有助于发现相关问题的症结所在。另外还应对各类工作站和服务器的CMOS设置密码,取消不必要的光驱、软驱,屏蔽USB接口,以防止外来光盘、软盘和U盘的使用。并对关键数据实行加密存储。
3.2 数据库的安全
数据库的选型、配置、备份是网络信息安全管理中的重要问题。信息系统一旦投入运行,就要求24小时不间断,而一旦发生中断,后果将不堪设想。数据库平台作为系统平台的基本组件,选型显得尤为重要。所以在系统软件开发之前,就应该对数据库系统平台进行充分的调研,经过我们对大连高校的走访和调研,发现绝大部分高校数据库系统使用Oracle数据库。
学院的数据访问存在一个特殊的特点,就是数据访问相对集中,选课、成绩查询、招生录取、新生报到期间都是数据访问的高峰。考虑到服务器的高可用问题与数据访问相对集中的问题,我校选择的OracleRAC的方案。该方案通过集群的方式同时解决了数据访问性能与数据库的高可用性问题。
网管人员需要制定并严格执行数据备份计划,因为一旦系统崩溃,势必造成业务数据的部分丢失。所以建立一套完善的数据备份系统,这对学校来说是非常重要的。现在很多学院采用本地磁盘阵列备份的方式进行对数据的实时备份,但是成本比较大,安全系数也不是很高。由于高校大多拥有多个校区,并且校区之间通过高速网络互联。根据学校这个特殊的特点,建议设计数据保护计划来实现文件系统和网络数据全脱机备份。例如,将总校的数据异地备份到分校区。或者直接在分校区建立灾难备份中心,并对业务数据进行实时的同步。一旦总校区服务器出现问题,分校区的服务器能够马上投入使用。这种运行机制,已经在一些学校取得了很好的效果。
3.3 病毒防范与入侵检测
当前网络病毒传播速度惊人,除了依靠防火墙进行防范之外,在客户机和服务器上分别安装企业版本防病毒软件,并及时更新病毒库和杀毒引擎,对于服务器和安全性要求较高的机器上安装入侵检测系统,实时监控网内各类入侵、违规和破坏行为。针对网络中所有可能存在的病毒攻击点采取对应的措施,全方位,多层次的保证网络安全。
4 加强管理制度建设
人为因素是影响网络安全的重要因素,应该引起我们足够的重视,需要采取必要的措施减少因为人为因素而产生的网络安全问题。因此需要制订并落实详细的规章制度,做到责任到人。
对全体教职员工,特别是对管理人员进行网络安全知识培训,让他们树立参与意识和主人翁意识,学习网络信息安全的法律法规、规章制度。了解网络信息安全的必要性和管理流程,对相关人员进行新业务模式和流程教育,对操作人员进行技术培训,使他们能够做到准确、熟练。
落实规章制度,严禁未经许可将笔记本电脑、集线器、网络交换机、无线AP、手机等设备接入到办公网络中。这也是网络安全问题的重要原因之一,有时维护人员要反复到现场数次解决此类问题。
加强施工管理,加强施工单位与网络管理维护人员的协调和沟通,如需对数据中心、楼宇网络配线间断电施工,必需提前制定详细的设备切换方案和应急方案。
制订网络安全突发事件应急预案,并组织演练。加强内部人员管理,加强系统日常监控与维护。
参考文献
[1]曾湘黔.网络安全与防火墙技术[M].重庆:重庆大学出版社,2005.
[2]田波.浅谈计算机网络安全技术问题[J].中国科技博览,2011,(2).
[3]周爽.计算机网络安全维护[J].科技风,2010,(6).
关键词:
网络;安全;数据中心
中图分类号:F49
文献标识码:A
文章编号:1672-3198(2011)11-0244-02
0 引言
随着网络通信技术的发展以及教育科研管理水平的不断提高,目前我国大部分高校的计算机网络已经从过去的以满足学生互联网访问需求为主、校内各管理信息系统相对独立,数据缺乏有效交互的“信息孤岛”阶段,发展到了“数字化校园”阶段.以统一数据库平台、统一身份认证平台、统一门户平台为基础,教学管理系统、人事管理系统、学生管理系统、网络学习系统、校情综合展示系统、校园网站系统、资产管理系统、图书管理系统、科研管理系统等应用、已经深入到了学校日常教学、科研管理等业务活动中,实现了“网上办公、网上管理、网上教学、网上服务”,因此,如何提高计算机网络的安全性和可靠性,保障业务网络稳定、高效运行成为了摆在我们眼前的重要课题。
1 网络硬件设备安全
1.1 楼宇配线间
高校的校园网目前大多万兆核心、千兆到楼宇、百兆到桌面。网络中心与各楼宇之间采用多模光纤进行互联,并且留有备份线路。楼宇交换机到计算机采用非屏蔽双绞线,线路之间避免交叉缠绕,并与强电保持50CM以上的距离,以减少对弱电线路的干扰。新增网点,距离交换机尽可能短,最长距离不能超过100米,以防止信号衰减。平时做好跳线备份,以备急用。分置配线间内的强电电源应争取单独供电,和供电部门协调保证24小时不断电。综合考虑供电、场地、温湿度、防尘、防水、防鼠、防盗、电磁环境以及接地防雷。
1.2 数据中心
对于数据中心来说,如何保证所提供服务的可靠性和不间断性以及数据存储的安全是决定一个信息系统安全的关键。因此,数据中心必须使用不间断电源(UPS)并配置足够容量的电池,才能保证服务器的24小时不间断工作,防止因为意外停电而造成的数据丢失。对于中心服务器,目前大部分学校采用的是双机热备份+存储阵列的模式,当主服务器发生故障时,在短时间内切换到备份服务器,启动数据库,在5分钟内恢复数据处理。这样只做到了主服务器出现故障不能正常工作时,能保网络系统的正常运行,如果阵列出现故障,整个系统仍会停止运行,一般在条件允许的情况下应该备有应急服务器。应急服务器在日常工作时,通过数据库的备份服务实时地进行异地备份,保证数据与中心服务器的同步,当双机服务器或阵列出现故障时,系统能够顺利转移到应急服务器上运行,所有用户的使用方法保持不变,业务数据信息连续,不仅方便了操作人员,而且大大的提高了系统的安全性、稳定性。
此外,重要的业务网络应设计为专网,进行物理隔离,这样才能彻底消除因外网黑客的入侵,而带来的网络安全问题。当专网需要与外界交换信息时采用U盘或移动硬盘等可移动存储设备作为中介,并做好防病毒工作。
1.3 外界环境对网络设备安全的影响
温度湿度等外界环境对网络设备的安全有重要影响:
温度过高会导致逻辑电路产生逻辑错误,技术参数偏离,还会导致系统内部电源烧毁或烧坏某些元器件,影响机器运转和导致一些热敏器件内部损坏或不能正常工作。温度过低,由于磁盘驱动器金属钝化,可能会造成数据读写错误,软磁盘片也会由于温度低而变脆。主机风扇轴承中的润滑油和硬盘轴承中的润滑剂也会因为温度过低而凝固,影响正常工作甚至造成硬件设备损坏。主板和内存在低于5度的环境下工作也极不正常。
湿度过高,会使接插件和集成电路的引线等结合部位产生氧化、生绣、霉烂,造成接触不良、断路或短路;尤其是有较电压工作的设备,极易出现故障。如果空气湿度过大会引起元器件间放电、打火,从而损坏设备,严重的还会引起火灾。湿度过低,会吸附灰尘,加剧噪声,过分干燥容易产生静电,过高的静电有可能击穿半导体芯片,影响硬件设备正常工作。
对于机器内部的电路板上的双列直插或组件的接线器,灰尘的阻塞会形成错误的运行结果。过多的尘埃可造成绝缘电阻减小、泄漏电流增加,机器出现错误动作,灰尘过多还会影响风扇转速,加速老化,影响散热。
静电对网络设备也有比较严重的问题,以上谈到的温度、湿度、尘埃等很多原因都可能引起静电。计算机元器件和集成电路对静电非常敏感,静电虽然电荷少,但与电子元件间放电时瞬间电压很高。因此,在人体接触网络硬件设备时,最好用手去接触暖气管水管等与大地有良好接触的导体,放掉人体自身的静电,防止对网络设备造成损害靠近网络的计算机、大型电器电源设备和网络设备自身等,都能产生电磁辐射,通过辐射、传导等方式对网络系统形成干扰。他们造成的问题是:设备的一些部件会失效,但那些部件的失效看起来又是由于其他部件引起的,像这样的问题很容易被忽略,而且很难诊断,需要专门的诊断软件和硬件来检测。
2 防火墙
防火墙是设置在不同网络或网络安全区域之间的一系列部件组合,是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问来实现对网络安全的有效管理。
防火墙能强化安全策略。有效的记录网络上的活动。限制暴露拥护点,隔开网络中的不同网段,防止影响一个网段的问题通过网络影响整个网络,所有进出的信息都必须通过防火墙,遇可以信息便进行拦截。
防火墙作为网络安全的屏障,极大的提高网络的安全性,并通过过滤不安全服务而降低风险,在校园网与因特网之间或者在受保护的内外网之间采用防火墙技术,可以有效的保护校园网的安全。单一的防火墙技术可以在一定程度上起到保护作用,将多种防火墙技术混合使用,会更有效的解决校园网安全问题。
3 软件系统的安全措施
3.1 操作系统的安全
目前,学校普通办公计算机的操作系统多采用微软WINDOWS系列,由于Windows系统操作系统应用广泛,已知的系统漏洞和针对该系统的网络攻击也较多,因此需要及时下载并安装好系统补丁,并尽可能关闭不需要的网络端口,以减少因系统漏洞带来的各类安全隐患。并且对用户所使用的系统帐号、用户权限、网络访问以及文件访问等实行严格的控制和管理,做好日常的监控、审计和事件日志记录和分析,一方面可以减少各类违规访问,另一方面,通过系统日志记下来的警告和报错信息,有助于发现相关问题的症结所在。另外还应对各类工作站和服务器的CMOS设置密码,取消不必要的光驱、软驱,屏蔽USB接口,以防止外来光盘、软盘和U盘的使用。并对关键数据实行加密存储。
3.2 数据库的安全
数据库的选型、配置、备份是网络信息安全管理中的重要问题。信息系统一旦投入运行,就要求24小时不间断,而一旦发生中断,后果将不堪设想。数据库平台作为系统平台的基本组件,选型显得尤为重要。所以在系统软件开发之前,就应该对数据库系统平台进行充分的调研,经过我们对大连高校的走访和调研,发现绝大部分高校数据库系统使用Oracle数据库。
学院的数据访问存在一个特殊的特点,就是数据访问相对集中,选课、成绩查询、招生录取、新生报到期间都是数据访问的高峰。考虑到服务器的高可用问题与数据访问相对集中的问题,我校选择的OracleRAC的方案。该方案通过集群的方式同时解决了数据访问性能与数据库的高可用性问题。
网管人员需要制定并严格执行数据备份计划,因为一旦系统崩溃,势必造成业务数据的部分丢失。所以建立一套完善的数据备份系统,这对学校来说是非常重要的。现在很多学院采用本地磁盘阵列备份的方式进行对数据的实时备份,但是成本比较大,安全系数也不是很高。由于高校大多拥有多个校区,并且校区之间通过高速网络互联。根据学校这个特殊的特点,建议设计数据保护计划来实现文件系统和网络数据全脱机备份。例如,将总校的数据异地备份到分校区。或者直接在分校区建立灾难备份中心,并对业务数据进行实时的同步。一旦总校区服务器出现问题,分校区的服务器能够马上投入使用。这种运行机制,已经在一些学校取得了很好的效果。
3.3 病毒防范与入侵检测
当前网络病毒传播速度惊人,除了依靠防火墙进行防范之外,在客户机和服务器上分别安装企业版本防病毒软件,并及时更新病毒库和杀毒引擎,对于服务器和安全性要求较高的机器上安装入侵检测系统,实时监控网内各类入侵、违规和破坏行为。针对网络中所有可能存在的病毒攻击点采取对应的措施,全方位,多层次的保证网络安全。
4 加强管理制度建设
人为因素是影响网络安全的重要因素,应该引起我们足够的重视,需要采取必要的措施减少因为人为因素而产生的网络安全问题。因此需要制订并落实详细的规章制度,做到责任到人。
对全体教职员工,特别是对管理人员进行网络安全知识培训,让他们树立参与意识和主人翁意识,学习网络信息安全的法律法规、规章制度。了解网络信息安全的必要性和管理流程,对相关人员进行新业务模式和流程教育,对操作人员进行技术培训,使他们能够做到准确、熟练。
落实规章制度,严禁未经许可将笔记本电脑、集线器、网络交换机、无线AP、手机等设备接入到办公网络中。这也是网络安全问题的重要原因之一,有时维护人员要反复到现场数次解决此类问题。
加强施工管理,加强施工单位与网络管理维护人员的协调和沟通,如需对数据中心、楼宇网络配线间断电施工,必需提前制定详细的设备切换方案和应急方案。
制订网络安全突发事件应急预案,并组织演练。加强内部人员管理,加强系统日常监控与维护。
参考文献
[1]曾湘黔.网络安全与防火墙技术[M].重庆:重庆大学出版社,2005.
[2]田波.浅谈计算机网络安全技术问题[J].中国科技博览,2011,(2).
[3]周爽.计算机网络安全维护[J].科技风,2010,(6).