基于校园网信息安全

基于校园网信息安全（精选12篇）

基于校园网信息安全 第1篇

1 蜜罐技术

1.1 物理蜜罐

物理蜜罐必须让蜜罐在物理计算机上工作, 基本为高交互型。所创建的蜜罐系统常常会被攻击者进行破坏或入侵, 且需要较高的维护成本。若是需要大量的应用系统进行服务或存在较多服务器时, 创建物理蜜罐的代价非常高, 同时配置的难度也很大。

1.2 虚拟蜜罐

虚拟蜜罐是利用虚拟化技术创建的蜜罐系统, 具备良好的度良性、维护性, 在一台服务器上能设置大量的蜜罐, 成本相对较低, 管理维护简单, 与物力蜜罐存在着较大差异。在计算机硬件配置基础上能够创建许多蜜罐, 有效的解决创建一个蜜罐存在的硬件高消耗问题, 所需求的成本也比较低。一般, 在一台服务器上能够运行多操作系统以及应用程序, 从而便于进行数据的获取。

2 虚拟蜜罐技术研究

一般情况下, 虚拟蜜罐系统将蜜罐技术Honeypot与虚拟化技术结合起来, 在欺骗服务器设置不存在的漏洞, 然后形成仿真流量, 并且伪装成现实所不存在的相关文件地址, 对整个网络进行模拟, 充分利用看似真实和有利用价值的虚假信息使Honeypot更具备吸引力。

2.1 设计IP空间欺骗

用一台服务器就能够实现多主机虚拟, 主要是在网卡上设计许多个IP, 此IP都要具备自身的MAC地址, 这好像存在许多计算机, 但实际只有一台。

2.2 网络流量仿真

为了能有效蒙蔽攻击者, 虚拟蜜罐系统对网络流量进行仿真, 由于系统不会形成网络流量, 因此攻击者难以依据流量的具体来源进行判断。然后进行系统的动态配置, 为了创建一个真实的虚拟网络, 利用系统的动态配置完成系统正常行为的模拟, 从而使此虚拟系统状态为动态, 由于部分具备丰富经验的黑客, 会通过长期观察的方法检测虚拟蜜罐自身的真实性, 若是系统的状态始终不变, 就很容易被黑客发现, 造成虚拟蜜罐失效, 难以实现长期诱骗攻击者的作用。

2.3 组织信息进行欺骗

为使虚拟蜜罐具备真实性, 部分资源信息对外开放, 例如为了不使攻击者所察觉, DNS中的个人信息可以在虚拟蜜罐中设计相应的虚假信息, 从而有效蒙蔽攻击者。

2.4 端口的重定向技术

运用重定向的代理服务, 完成地址的及时转换, 把虚假网络与真实网络有效区分, 同时利用计算机替换可信度相对较低的欺骗, 然后使利用虚拟地址融合在欺骗的系统之中。另外, 为了降低公共默认端口的损坏机率, 一定要通过端口的重定向进行隐蔽, 以达到虚拟蜜罐配置的目标。

3 虚拟蜜罐在校园网安全中的应用

通过对校园网中出现的安全问题分析, 研究表明, 校园网中存在的安全隐患主要是因为管理人员信息安全意识不高, 并且校园网中的信息安全软件和硬件等相关配置欠缺, 从而造成了管理人员难以管理。虚拟蜜罐技术中的蜜罐软件Honeyd具备简单实效和支持插件等特点, 能够对校园网的网络安全防护进行有效补充。Honeyd作为一项先进的网络框架, 将很多的虚拟蜜罐和相应的网络形式进行融合。此外, Honeyd支持IP协议, 可依据虚拟蜜罐的相关配置提供服务, 准确的处理网络发送给蜜罐的网络请求。

3.1 利用虚拟蜜罐技术强化WEB服务器的安全性

通常, 校园网中的信息资源通过WEB应用系统提供服务, 大多数院校主要利用网络防火墙技术对访问用户进行限制, 但是在运行过程中, 因多数WEB应用系统自身存在漏洞, 因此WEB服务器常受到互联网中的异常攻击。

3.2 查找安全隐患, 进行预防

计算机病毒是校园网资源的致命威胁, 病毒的扩散会造成网络瘫痪, 导致教育教学工作难以进行。一般的策略是强制用户安全认证, 在客户端安装病毒防护等安全软件, 但是对于新型病毒却难以进行防护。利用虚拟蜜罐系统中的主动捕获防范, 能及时的发现新的安全威胁, 然后利用传统安全技术进行防御, 从而加强校园网信息安全。

综上所述, 虚拟蜜罐技术在校园网中的应用, 提高了校园网络的安全性能, 有效的保证了院校信息化建设的顺利推进, 为教育教学工作提供了保障。

4 结束语

在校园信息化建设中, 虚拟蜜罐技术是基于虚拟化和传统网络安技术结合的新的信息安全技术, 已经广泛应用于校园网的安全建设中。在校园网中利用蜜罐软件创建虚拟蜜罐, 主动获取相应的攻击信息, 总结攻击信息的防范措施, 从而提高了院校校园网的安全性。

参考文献

[1]程柏良, 周洪波, 钟林辉.基于异常与误用的入侵检测系统[J].计算机工程与设计, 2011, 28 (14) :3341-3343.

[2]肖枫涛, 胡华平, 刘波, 陈新.HPBR:用于蠕虫检测的主机报文行为评级模型[J].通信学报, 2010, 29 (010) :108-111.

[3]王琦, 吴冰, 云晓春.分布式蠕虫蜜罐部署策略分析[J].微计算机信息 (管控一体化) , 2012, 23 (1-3) :65-67.

[4]翟继强, 乔佩利.利用IP分片探测Honeyd虚拟蜜罐[J].计算机应用与软件.2011 (04) .

[5]王晓洁.蠕虫病毒特征码自动提取原理与设计[J].微计算机信息 (管控一体化) , 2010, 23 (6-3) :66-68.

校园安全工作信息 第2篇

为准确、全面、及时反映全区中小学安全工作开展情况，交流工作经验，推动全区中小学安全工作顺利开展，教育局决定建立校园安全工作信息报送制度，校园安全工作信息。现将有关事宜通知如下：

一、建立信息报送制度。各校原则上每周至少报送一篇信息，重要事件、突发事件要及时报送。

二、教育局将定期通报各校报送数量及采用情况，并采用积分制方法进行考核，工作总结《校园安全工作信息》。

三、编写要求

1、文章标题能准确概括报送信息的核心内容。

2、正文文字简明、语言平实；具有真实性，反映本校工作的客观真实情况；具有时效性，反映当前工作动态及情况；具有创新性，反映工作中的新思路、新办法。

3、信息内容包括：

本校开展安全工作的思路、措施、经验和成效；

上级领导亲自关心和推动工作的情况，工作结束后半小时内上报教育局；

开展安全工作遇到的困难和问题，以及解决这些困难和问题的对策、措施、经验和成效。

重要事件、突发事件要第一时间上报，凡漏报或隐瞒不报者要追究相关责任人的责任。

4、信息采用电子版形式及时报送。

信息及相关照片请同时报送

5、请各校尽快上报一个学校校园安全工作的专用邮箱，以便教育局相关的信息及工作要求能够及时下传给各校园。

校园网的信息安全与病毒防治 第3篇

关键词：LAN; 威胁；信息安全；病毒防治

随着信息化的不断扩展，各类网络版应用软件推广应用，计算机网络在提高数据传輸效率，实现数据集中、数据共享等方面发挥着越来越重要的作用，网络与信息系统建设已逐步成为各项工作的重要基础设施。为了确保各项工作的安全高效运行，保证网络信息安全以及网络硬件及软件系统的正常顺利运转是基本前提，因此计算机网络和系统安全建设就显得尤为重要。

1、校园网安全现状

校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。由于学校是以教学活动为中心的场所，网络的安全问题也有自己的特点。主要表现在：

1．不良信息的传播，2．病毒的危害，3．非法访问，4．恶意破坏，5．口令入侵。

2、校园网安全威胁分析

校园网（LAN ）是指在校园内由服务器和多台电脑组成的工作组互联网络。由于通过交换机和服务器连接网内每一台电脑，因此校园网内信息的传输速率比较高，同时校园网采用的技术比较简单，安全措施较少，同样也给病毒传播提供了有效的通道和数据信息的安全埋下了隐患。校园网的网络安全威胁通常有以下几类：

2.1 欺骗性的软件使数据安全性降低

由于校园网很大的一部分用处是资源共享， 而正是由于共享资源的“数据开放性”， 导致数据信息容易被篡改和删除，数据安全性较低。例如“网络钓鱼攻击”， 钓鱼工具是通过大量发送声称来自于一些知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息：如用户名、口令、账号ID、ATM PIN 码或信用卡详细信息等的一种攻击方式。最常用的手法是冒充一些真正的网站来骗取用户的敏感的数据，以往此类攻击的冒名的多是大型或著名的网站，但由于大型网站反应比较迅速，而且所提供的安全功能不断增强，网络钓鱼已越来越多地把目光对准了较小的网站。同时由于用户缺乏数据备份等数据安全方面的知识和手段，因此会造成经常性的信息丢失等现象发生。

2.2 服务器区域没有进行独立防护

校园网内计算机的数据快速、便捷的传递，造就了病毒感染的直接性和快速性，如果校园网中服务器区域不进行独立保护，其中一台电脑感染病毒，并且通过服务器进行信息传递，就会感染服务器，这样校园网中任何一台通过服务器信息传递的电脑，就有可能会感染病毒。虽然在网络出口有防火墙阻断对外来攻击，但无法抵挡来自校园网内部的攻击。

2.3 计算机病毒及恶意代码的威胁

由于网络用户不及时安装防病毒软件和操作系统补丁，或未及时更新防病毒软件的病毒库而造成计算机病毒的入侵。许多网络寄生犯罪软件的攻击，正是利用了用户的这个弱点。寄生软件可以修改磁盘上现有的软件，在自己寄生的文件中注入新的代码。最近几年，随着犯罪软件（crimeware） 汹涌而至，寄生软件已退居幕后，成为犯罪软件的助手。2007年，两种软件的结合推动旧有寄生软件变种增长3 倍之多。2008年，预计犯罪软件社区对寄生软件的兴趣将继续增长，寄生软件的总量预计将增长20%。

2.4校园网用户安全意识不强

许多教师使用移动存储设备来进行数据的传递，经常将外部数据不经过必要的安全检查通过移动存储设备带入内部校园网，同时将内部数据带出校园网，这给木马、蠕虫等病毒的进入提供了方便同时增加了数据泄密的可能性。

2.5IP 地址冲突

校园网用户在同一个网段内，经常造成IP 地址冲突，造成部分计算机无法上网。对于校园网来讲，此类IP 地址冲突的问题会经常出现，用户规模越大，查找工作就越困难，所以网络管理员必须加以解决。

正是由于校园网内应用上这些独特的特点，造成校园网内的病毒快速传递，数据安全性低，网内电脑相互感染，病毒屡杀不尽，数据经常丢失。

3、校园网安全控制与病毒防治策略

3.1加强教师的网络安全培训

安全是个过程，它是一个汇集了硬件、软件、网络、人员以及他们之间互相关系和接口的系统。从行业和组织的业务角度看，主要涉及管理、技术和应用三个层面。要确保信息安全工作的顺利进行，必须注重把每个环节落实到每个层次上，而进行这种具体操作的是人，人正是网络安全中最薄弱的环节，然而这个环节的加固又是见效最快的。所以必须加强对使用网络的人员的管理。从而加强工作人员的安全培训。增强内部人员的安全防范意识，提高内部管理人员整体素质。

3.2校园网安全控制策略

安全管理保护网络用户资源与设备以及网络管理系统本身不被未经授权的用户访问。目前网络管理工作量最大的部分是客户端安全部分，对网络的安全运行威胁最大的也同样是客户端安全管理。只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，我校购买了网络杀毒软件一套，有效的缓解了校园网安全管理的难度。防火墙技术是通常安装在单独的计算机上，与网络的其余部分隔开， 它使内部网络与Internet 之间或与其他外部网络互相隔离，限制网络互访，用来保护内部网络资源免遭非法使用者的侵入，执行安全管制措施，记录所有可疑事件。它是在两个网络之间实行控制策略的系统，是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术。

3.3病毒防治

病毒的侵入必将对系统资源构成威胁，影响系统的正常运行。特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比发现和消除病毒更重要。防毒的重点是控制病毒的传染。防毒的关键是对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否的重要因素。

通过以上策略的设置，能够及时发现网络运行中存在的问题，快速有效的定位网络中病毒、蠕虫等网络安全威胁的切入点，及时、准确的切断安全事件发生点和网络。

校园网安全控制与病毒防治是一项长期而艰巨的任务，需要不断的探索。随着网络应用的发展计算机病毒形式及传播途径日趋多样化，安全问题日益复杂化，网络安全建设已不再像单台计算安全防护那样简单。计算机网络安全需要建立多层次的、立体的防护体系，要具备完善的管理系统来设置和维护对安全的防护策略。

参考文献

[1]冯普胜。 ARP 病毒处理方法[J]. 内蒙古电力技术，2008, （5）。

基于学生信息的校园安全保卫系统 第4篇

关键词：校园安全,安全保卫系统,人性化设计,心理学,人身安全

0 引言

随着我国经济的高速发展, 我国的高等教育也迅猛发展, 目前高校数量和在校生人数已居世界前列, 截止到2007年4月底中国高校数量为2268所, 在校生人数2500万人左右, 占我国人口总数的2%。但是高等教育过热的发展同时也带来了问题, 其中最突出的问题就是校园安全问题。近几年有关校园的踩踏事件、中毒事件、交通安全事件、暴力事件, 屡见报端, 而且事件发生率逐年递增。高校校园安全的重要性不言而喻, 优质的教育如果没有安全的保障, 只是一句空话。为了更好的营造高校教学及研究氛围, 保证良好的校园安全环境, 校园安全保卫系统是一所高校信息系统必须的组成部分。

众所周知校园安保系统的建立意义深远, 正如前文所说, 每年发生在高校中和安全相关的问题都达万起, 建立一个高效可行的校园安全保卫系统势在必行。本文提出基于学生信息的安全保卫系统是结合了传统安保系统稳定可靠的优点, 更为人性化的一套系统, 系统管理员能够更有效的对全校学生的安全问题和潜在的威胁做出防范和及时的应对。

1“以学生为本”的校园保卫

本文提出的安保系统更好地体现了科学发展观的核心“以人为本”, 更好的丰富了整个安保系统功能, 使传统系统更有活力, 更有效率使学生更安心的投入到学习和研究中去, 使家长对学生在高校的生活更放心。将校园安保的重点放在学生身上, 把握每名学生和安全相关的信息, 做好学生在校期间的安全保障工作。这样, 我们的安全系统就是在保证传统安保系统正常运行保卫学校基本安全的基础上, 更进一步的对学生人身安全提供保障。此外不可否认的是学校的传统安保仍然很重要, 比如说防火、防灾、食品安全问题、硬件设备损毁问题、用水用电安全问题、交通安全问题等仍是不可忽视的大问题。在做好以上这些的前提下更进一步的对学生自身相关的安全问题进行防范和保障, 做到每一个细节、每一处安全隐患都有所防范。校园安全直接关系到学校正常的教育教学秩序, 关系到学生的身心健康, 关系到家长对学校的信任。

校园安全保卫系统包括大大小小许多和校园安全相关的领域, 传统的保卫系统包括防火安全、防盗安全、学校硬件设施的维护及检修、突发事件的应急响应及出警情况、保安人员巡查、摄像头监控等诸多一系列问题, 我们的系统要包括传统安保系统的所有功能, 在此基础上开发我们基于学生信息的安保系统, 做到以学生为本, 以学生在校安全为首任的综合的校园安保系统。

和传统的安保系统最大的不同在于我们设计的系统中融入了学生信息, 这些学生信息除了姓名、班级、学号等必要的资源外, 其余的都是与学生在校安全相关的信息。比如说以学生医疗安全这部分为例, 学生表中医疗安全相关栏中记录着每名学生各自不同的信息, 诸如过往病史、过敏史、药物禁忌等信息。当出现紧急情况学校医院的医生想要了解生病学生的相关信息的时候, 只要通过自己的权限登录安保系统就能一目了然地了解到患者的信息, 对于重症患者更是能有效解决无法与医生沟通等问题。

结合了学生信息的安保系统比传统的安保系统更加细致, 更加人性化。不但能够做到对突发事件的快速反应, 还能对危险的发生做到预测和防范。可以说将学生信息融入安保系统, 可以极大改善传统的安保系统在这方面的缺陷。学生在校安全包括方方面面的环节, 通过融入学生信息能够做到将一些本该没有互动的环节有机的联系到一起, 从而对于学生安全做到细致入微的掌握。

2 系统设计方案及架构

2.1 需求分析

我们设计的基于学生信息的安全保卫系统是一个面向学校管理人员、教师、学生的系统, 校园内任何一个与学生安全问题相关的部门都可以从中得到自己有用的信息, 从学生的角度做到学生在校园内外的安全保障。系统管理人员通过本系统完成相关的日常工作, 负责对学生整个公共信息 (如院、系、部信息, 专业、班级、宿舍、校园环境信息等) 的维护与管理 (包括对这些信息的增、修、改等操作) ;管理人员可以通过系统处理在校园内发生的各类突发事件:管理人员通过客户端可以完成情况录入、打印班级、宿舍名单、打印学生留驻情况等日常学工管理工作;班主任和宿舍管理人员根据权限, 可以通过浏览器和相关设备完成人员情况查询、宿舍情况查询、环境查询等活动;学生可以通过学生权限添加自身信息或者更改有变动的信息, 有关重要信息则由系统管理人员添加;校医院的医生可以根据权限访问系统得到学生的医疗安全相关信息, 如图1所示:

2.2 设计原理

基于学生信息的安保系统比传统的安保系统更加复杂, 要视学校的具体情况设计系统, 要充分利用学校原有的局域网设施, 在全面采集学生数据和管理工作数据的基础上按照一定的逻辑架构, 设计成能够客观、真实反映学校安全保卫情况的有效系统。

在学生安全信息及校园保卫相关信息的标准化的基础上, 对信息进行合理布局, 主要措施是把各类安全保卫数据处理为规范的数据库数据;利用软件系统来规范安全保卫管理过程中的操作流程, 根据学生的具体需要, 信息的多样化设计学生安全信息数据库, 把“以学生为本”的思想融入到软件系统之中。以软件的形式来约束和规范人为管理, 以管理的思想来促进软件的健全和完善。

2.3 结合实例的具体设计方案及实现

基于学生信息的安保系统是一个庞大的系统, 包括了学生校内及校外所有的安全相关事宜, 本小节我们结合几个具体的实例给出其相关系统模块的具体设计方案及实现。

当在校学生发生意外急需治疗时, 如果学生无法清除的表达自身信息时, 校医往往无法做到有效地处理。采用基于学生信息的安保系统能有效的应对这一问题。首先安保处和校医院不再是两个独立的机构了, 两者通过我们提出的这一基于学生信息的安保系统有机的联系起来。如图2所示:

当出现紧急问题时, 安保处将通过系统通知校医院目前有医疗紧急事务及伤者姓名等信息, 这时校医院就可以在病人送到前得知信息并做好准备工作, 同时校医院的医生可以登录该系统查询学生在之前填入的医疗安全相关信息, 了解病人的详细情况诸如禁忌药物、过敏史等信息, 这些消息的输入要学生自己以学生身份登录系统填写, 除了医疗安全信息外还要填写其它安全相关信息。

该基于学生信息的安保系统是一个动态的系统, 数据库可以实时更新相关信息使得有关人员能够及时把握学生安全相关的各项事宜。采用该系统之前或者同时学校要推行校园一卡通服务, 可以有效方便学生的在校生活, 也可以和我们提出的系统进行动态的互动。对于学生在校情况的把握对学生的校内外安全起到至关重要的作用, 基于学生信息的安保系统将校园一卡通和该系统整合, 动态的对学生的在校情况进行跟踪。给出具体的方案和实行:学生出入校门都要在门卫处刷卡登记, 刷卡后动态更新系统的数据库, 该数据库存储了学生所有安全相关信息及学生基本信息, 刷卡后仅触发修改“学生在校”字段信息的事务, 将是修改为否, 或者相反。班主任、学生干部及安保处相关人员可以通过各自的权限有效的跟踪学生是否在校的信息, 及时了解学生的动态, 预防危险事件发生。

基于学生信息的安保系统力求考虑到学生安全的方方面面, 以上示例给出了两个环节的具体设计方案和实施计划, 新的安保系统是智能的动态的, 是构建学校信息化平台的一个重要组成部分之一。

基于学生信息的安保系统是在传统安保系统的基础上的完善, 其包括传统安保系统的所有功能, 并且其主要框架仍采用之前的构建, 辅以我们特有的功能, 即系统由计算机骨干网络、综合数据库、计算机辅助调度系统等各子系统, 辅以我们设计的医疗安全相关、机动车管理、学生在校情况动态监控、个人安全信息等诸多子系统而组成。

在对上述系统进行高度集成的基础上建立统一的信息接收和处理平台, 这个平台形成运营模式和相关运行规则。系统主要有五大类功能:

(1) 传统的视频监控:视频监控系统是学校安防中使用最多、最普遍的系统之一, 分为实时监控、全方位监控、联网监控等。 (2) 预防犯罪及时出警:防盗防灾一直以来都是校园安全保卫任务的重中之重, 我们设计的系统基于大量学生安全相关信息, 能够做到及时有效的预测危险。同时安装在校园各处的报警设备还能保证安保部门的出警速度。 (3) 校门安全控制:校门安全的控制对于校园的安全十分重要, 我们在上一章节着重介绍了校门安全的具体实施方案。 (4) 相关服务部门的综合保障:学生的在校安全是一个综合的系统工程, 需要校内各部门的协调和互动。本系统将校医院、原保卫处、各学院、食堂、心理诊所等部门通过学生安全信息统一到一起, 每个部门各司其职, 通过系统得知学生的情况做出正确的应对, 给予学生全面综合的安全保障。 (5) 解决学生心理问题:在校学生定期参加系统内由专家给出的心理问卷调查, 班主任可以及时得知哪些学生存在心理问题, 那么该同学就需要心理咨询, 解决心理问题。心理问题已经成为高校学生的一大安全隐患, 我们设计的系统以学生为本, 防患于未然, 对学生的心理问题进行有效的解决。

4 结束语

校园安全已成为制约各高校和谐发展的一大因素, 传统的校园安保系统不够完善, 功能单一, 不能适应当今的复杂环境。本文提出的基于学生信息的安保系统, 以学生为本, 综合学生在校安全相关的所有信息, 对学生在校安全的方方面面进行保护及预测, 使得各相关部门在学生需要帮助或出现危险的时候能够及时反映, 防止意外的发生。基于学生信息的安全保卫系统能够高校全面的保障校园安全, 但是社会环境的复杂使得我们的安全系统要与时俱进, 不断更新, 为学生提供一个安全的学习环境。

参考文献

[1]Sorensen, John. (2000) .Hazard Warning Systems:Review of 20Years of Progress.Natural Hazards Review (May) , 119-125.

[2]Florida State. (2007, July 6) .University Campus Emergency Noti-fication Systems Report.State Working Group on Domestic Pre-paredness.

[3]Bernstein, Gary. (2007, July 10) .A Planned Multimedia Emergen-cy Communications Strategy.Montreal:Network and CommunicationsServices, McGill University.

校园安全教育信息 2 第5篇

罗城乡中心小学天城校区安全专题教育 2013年11月20日，我校开展了以“强化安全管理，共建和谐校园”为主题的专题教育。为了提高同学们校内外自我防范意识，提高自我保护能力，我校利用这一有利时机，开展了一次以交通安全、防火安全、溺水安全、用电用煤等专题教育活动。

2013年11月20日，我校全体师生集中在五年教室，学生观看了关于《交通安全和防溺水知识录象》。最后，陈校长作了重要讲话，他希望同学们能自觉强化安全意识，积极学习有关安全方面的知识，将安全意识落实到具体行为之中，遵章守纪，尊重自我，为营造安全、稳定的社会环境，推进校园和谐发展作出应有的贡献。

通过此次深入细致的安全教育活动，充分调动了学生的积极性，使同学们在参与的过程中，树立了安全意识、掌握了安全知识、提高了防范能力。

基于校园网信息安全 第6篇

关键词：教学参考书 图书馆 教务管理系统

中图分类号：G250 文献标识码：A 文章编号：1673-8454（2008）07-0072-02

一、基于校园网服务系统的教参信息系统的设计目标

对教参信息用户而言，理想的服务应该是用最简便的手段，获取自己所需的图书馆各种形式的、动态更新的教学参考书馆藏信息，并且能实现师生的信息交流和沟通，能够降低用户获取教学参考书的经济和劳动成本。

在建设教学参考书信息系统时，要充分考虑到以下目标的实现：

能充分利用现有的数字图书馆发布平台，如《CALIS教学参考书全文数据库》等电子图书馆藏。

能提供教师向系统在线提交教学参考书信息的入口，数据库结构标准化，以实现与校园网其他应用系统的信息共享。分类方法应提供按中图法、学科分类法和依照院系及专业分类等多种分类方法。

可实现与图书馆公共书目检索系统（OPAC）电子版教学参考书全文实现互检和互联。

实现与数字化综合教务管理系统互联，引导学生通过教务管理系统使用个性化的教学参考书信息，进而引导学生利用图书馆其他相关资源。

能给图书馆教学参考用书的采购提供科学的依据。

系统的设计应该有提交发布、信息交互、访问统计等功能。

能够为校园网教学信息资源的整合和一体化提供思路和途径。

二、教参信息系统建设方案

1．教学参考书信息的采集

教学参考书信息包括：题名、作者、出版社、出版年、主题词/关键字、ISBN号、中图分类号、摘要、版次、开课学院、专业及专业代码（以教育部《普通高等学校本科专业目录》为准）、课程名、课程代码（以综合教务管理系统用的代码为准）等。

在采集教学参考书信息方面，一般通过以下三种方式。

（1）集中采集。要求全校任课教师将课程的指定教学参考书的信息，按照图书馆的要求，以学院或专业为单位向图书馆提交。每学期提供一次参考书目信息的更新。提交的数据，有学科馆员进行审核和完善。

（2）在线提交。通过图书馆教学参考书信息在线提交模块，任课教师可单独向系统提交指定教学参考书信息，并直接进入学科馆员的审核流程。

（3）学科馆员提交。依据对各种检索系统中读者使用馆藏的行为分析以及馆员对教学参考书从文献分析的角度进行判断的结果，给部分提交数据不全或没有教师指定教参书的课程进行补充提交。

教参信息数据采集是系统建设中工作量最大的环节，是系统的核心和成败的关键，须严格按照指定的标准执行。在组织提交数据时，应建议教师将图书馆馆藏电子教参书和纸质图书作为教参书目的首选。教学参考书目提交完成后，经采购部门在电子图书数据库和馆藏书目中查重后，可作为新的图书馆图书采购订单，以不断满足广大师生的阅读需求。

2．教学参考书信息数据库的建设

本文涉及的本科教学参考信息系统主体应用平台采用兰州理工大学图书馆已有的“Apabi数字资源平台”软件，通过该平台建设和发布“兰州理工大学本科教学参考书信息数据库”，该数据库的应用与图书馆OPAC系统、综合教务管理系统实时连接，同时，与Calis教学参考书全文数据库、本校博硕士论文全文数据库、本校特色馆藏资源全文数据库等资源实现教学参考资料的信息关联，提供了读者使用教学参考书资源的信息流向。通过课程信息与教学参考书信息等其它馆藏资源的关联，实现了师生使用教学参考资料的多渠道化。图书馆也将教学参考信息通过简洁的方式，呈现在本科生经常使用的教务管理系统中，实现了信息主动推送。如图1所示。

3．系统结构

建设项目中所含的主要模块包括：综合教务管理系统、教学参考书信息库、馆藏书目检索系统、电子图书全文系统（Apabi电子教参书）等。

教学参考书信息库由教参信息数据、信息远程在线提交模块、分类体系、检索系统、使用统计模块等构成。提交模块负责完成采集并发布全校教师为学生指定的教学参考书及教材的书目信息；教参书信息的分类采用三种分类策略：中国图书分类法、学科分类（其中包括按学院级专业分类）、课程分类等多种不同的分类体系，将所有的教学参考书信息归类，方便不同目的的用户。检索系统实现分类浏览检索、快速查询、高级检索等。统计系统设计浏览、检索、全文阅读、登录次数、来源地址等详细的读者使用行为统计。

系统配置了纸书查询功能，通过参考书的ISBN号与图书OPAC系统实现互查。对原有教务系统的“课表查询”模块进行改进，给每门课程增加“教学参考书查询”功能，使学生在看到课表时就能方便地查询、阅读老师指定的教学参考书及其馆藏的相关信息，并阅读电子书全文。系统还整合了学科资源导航、大学英语模拟练习系统等与本科生相关的馆藏资源。

三、教参信息系统的功能实现

本科教学资源信息管理与服务系统投入运行后，体现了五大功能：

教学信息揭示功能：集本科教学活动于一体，教学参考书信息网上公开，增加了教学信息的透明性，简化了信息的获取途径，教学信息和资源被广泛地查阅和使用，解决了管理者与被管理者之间、师生之间、教师之间信息不对称的问题，促进了教学管理，以教学信息化推动了本科教学水平的提高。

教学管理模式创新功能：新的共享平台改变了传统的教学管理模式，通过整合各个信息与服务系统，使教学内容、学生的学习资源等在网络空间完全展示在师生面前，促进了学生培养质量的提高。这种全新的管理与服务模式，丰富了在现代网络环境下教学管理与服务的内涵。

教学质量保障功能：教学管理及其相关资源的网上揭示，直接向学生推送，使教师教学、图书馆服务的工作透明度提高。该成果也无形中成为本科教学质量监控体系的内容之一，这对稳定教学质量具有一定的意义。

学生的自主学习功能：在该平台上，揭示了全校所有课程的教参书信息，为学生的自主学习和拓展性学习提供了十分广阔的空间；另一方面，由于学生不仅可以很透彻地了解本专业的教学信息，也可以了解其他专业的教学信息和专业情况，对学生跨专业、跨学科知识的积累提供了可能和途径，这对于培养创新性人才具有深远的意义。

电子文献资源共享和利用功能：由于该平台是与图书馆的教参书全文数据库和图书馆OPAC系统全面整合沟通的，因此，可以在该平台上方便地阅读电子图书和参看纸质图书的馆藏情况。该平台可以在学生阅读教学信息的过程中，自然引导他们发现和进入数字化图书馆资源库，了解和利用数字化图书馆的各类资源，为日益丰富的中外电子文献数据库的普及和推广使用提供了新的途径。

四、结束语

教务管理系统资源、图书馆教学参考书信息等馆藏资源的整合，实现了校内教育资源信息化，提高了教学信息传递和流通的效率和透明度，有效地推进了优质教学资源共享和利用，促进了本科教学质量的提高的同时，提高了图书馆教参类馆藏的利用率，也为校园网教育信息一体化服务提供了思路。

参考文献：

[1]曾婷,刘玉兰等.网络环境下大学图书馆教参信息服务模式探索[J].大学图书馆学报,2004(2).

[2]唐承秀.Electronic Reserves System——基于Web 的电子教学参考文献服务系统[J]. 图书馆工作与研究,2004(1).

[3]翟云仙.高校图书馆教学参考书的建设[J].图书馆论坛,2001(3).

[4]张建平.本科教学参考信息管理与服务系统建设[J].高校图书馆工作,2005(1).

[5]张国喜,王艳.基于TRS平台教学参考书全文数据库系统的开发[J].现代情报,2005(2).

[6]赵乃瑄，张红芹.基于Web的教学参考资源服务系统的设计与实践[J]. 大学图书馆学报，2006(5).

基于校园网信息安全 第7篇

“安全性、可控性、高效性”是网络发展至今所面临的重大课题,是网络进一步发展必然要解决的关键问题。作为互联网的一个重要组成部分———校园网,从1993年开始建设到如今,学校已经从只提供网站、网页的“接入”网络的阶段,发展到目前需要提供远程教育系统、点播系统、校园卡系统及电子图书馆系统等多种应用平台[1]的网络空间的“知识机构”的阶段。学校可以通过网络为社会的知识支持与传播做出更大的贡献。但是校园在网络上开放,直接给校园网的正常业务带来了许多安全隐患。尤其作为科研教学并举的现代高校,不论从知识产权、网络环境的净化、电子商务等哪一方面考虑,其信息平台的安全性都是值得重点关注的。校园网是否安全、是否可控、是否高效,直接影响校园网的应用前景。目前网络还是十分脆弱,包括校园网在内的各类内部网络,很容易受到来自网络外部与内部的威胁,这些威胁给世界各国的政府、企业和个人造成了重大的损失。据FBI和CSI对全球484家公司进行的网络安全专项调查,有93%企业网络资源使用不当,有3l%员工滥用Inter-net,内网未授权存取行为占存取行为总量的16%,有超过70%的安全威胁来自企业内部。校园网也不例外。在近些年的校园网运行过程中可以看出,校园网面临以下几种问题:因糟糕的网络环境而带来的校园网的安全问题、网络庞大致使网络很难控制、校园网使用效率不高,使校园网关键业务无法保证[1]。通过分析可以发现,目前校园网安全问题是由网络本身具有资源共享、分散控制、分组交换、开放交互等技术因素及不可控的人为因素造成的。因此,从内部着手,解决技术缺陷、控制人为因素是解决这些问题的基本思路。

目前,针对内网的监管问题越来越引起业内专家的重视,实现内部网络的自管理,构建安全、可控的内部网安全系统,防范安全威胁、提高系统资源利用率,已成为计算机安全和应用领域的热点问题。近年来许多研究者都围绕着内网安全问题进行了大量的工作,傅翠娇[2]基于内网终端Agent研究了自防御网络的开发技术,设计了可以提供客户端安全状态信息和操作系统状态信息,进而获得相应访问权限的客户端Agent,实现网络准入控制的功能,加固了终端。但是这种方法要求Agent实时扫描系统状态,这样将明显降低系统效率。另外,Agent主机必须安装相应的Agent软件才会起效,对于破坏Agent、重装系统未装Agent等主机则无法作用。周剑岚[3]则采用了基于C/S模式的移动Agent解决了上述问题。将安全审计或其它安全软件封装成移动Agent,在需要时派遣至网络各节点中完成相应的安全任务,从而实现可定制的安全策略。各种Agent之间是通过协作来完成安全任务的。但是,目前只是处于研究和原型设计阶段,其数据包过滤效率偏低,安装十分麻烦。有必要寻求更高效率的技术。张平等[4]提出了分级代理在内网安全中的应用,通过设置不同级别的代理权限,达到资源访问控制的目的,能够较好地解决内部资源分级访问的问题,但是,Agent成为安全焦点,一旦被控制则整个系统面临很大的威胁。肖竟华等[5]提出了一种P2P网络的安全信任模型,引入超级节点概念,有效减少搜索时间和所需带宽,在一定程度上能克服系统瓶颈。但是,由于超级节点本身在P2P网络中并不担任网络交易中服务器或客户机的角色,它只存储相关普通节点的信息。每个普通节点加入P2P网络都要通过相应超级节点。无形增加了网络硬件开销。另外,超级节点本身也可能成为普通节点的通讯瓶颈。Muntaha等[6]解决了组织内部共享但保护敏感信息的问题,根据组织结构或业务流组织动态域,弹性地配置相应的共享信息池,再利用认证等手段实现对共享池信息的访问控制。韩祥[7]提出了三级分布式内网监控系统,通过两级控制中心分级实现了分级集中的受控机器的监控和管理。较好地保证了内网的安全运行,但是这种集中式控制容易因网络规模的扩大而产生瓶颈。在文献[8]中绿盟分析了目前内网的安全问题所面临的挑战,针对外网安全网关功能的不足,提出了以内网安全为核心的主机入侵保护、补丁分发、防非法外联、资产管理等技术为新的内网安全管理体系。较为系统的解决了目前内网的安全问题,但是没有考虑主机间的协同潜力。

许多厂商也纷纷围绕内网安全开发出了内网安全设备和系统,CISCO、华为、微软等公司相继推出了网络准入控制产品,如NAC、EAD、NAP等。其基本思想是在向终端设备提供网络权限之前确保它们符合安全策略。这种点准入技术可以看作是对以往认证技术的加强。可将威胁“拒之门外”。但是这些产品要么性价比不高,要么需要复杂的配置甚至编程。只适合中心或专业用户使用。且对网络管理员提出很高的要求。另外,一些内网监控系统,基本是采用一级或多级集中的网络检测服务将网络的安全监测、安全告警作为主要功能,一定程度解决了网络状态子监控的目的。

以上工作都从不同的角度解决了内网安全的一些问题,但是没有考虑网络整体效率问题,发挥终端系统CPU的作用及终端维护的自动实现。在前人工作的基础上,本文通过对一般高校业务范型的抽象,提出了适用于校园网的三层组安全模型。整体设计为可扩展的网络拓扑结构,构建了校园网安全、可控、高效的运行平台。

1一般高校关键业务范型及信息分布分析

1.1一般高校关键业务流范型

一般高校的关键业务流在M(Managment)、D(Department)、G(Group)三个层次中展开。其中,M为整个学校的业务管理中心,负责学校的全局业务。D是系,是以学校所包括的学科、专业划分,负责学校中某一专业的教研活动管理工作。G是教研室,是专业系中按具体专业方向的进一步划分,负责具体课程的组织与实施。可见,一般高校关键业物流的范型可定义为一个扩展的三级树形结构。根据各层次职能定位不同,对信息的处理、访问、存储的权限也不同。关键业务流的范型及信息分布规律如图1所示。

1.2 信息分布及描述

1.2.1 IoO(Information of Organizations)

组织信息,分布于管理中心的政治部门,信息覆盖整个学校的组织信息。

1.2.2 IoB(Information of Business)

业务信息,分布于管理中心的教务部门,信息覆盖整个学校的教学、科研信息。

1.2.3 IoS(Information of Services)

服务信息,分布于管理中心的后勤部门,信息覆盖对学校的服务保障信息。

1.2.4 IoDi(Information of Departments-i)

第i个系的信息,是M级三个信息集的子集的并集,包含与Di相关的所有信息。

1.2.5 IoGij(Information of Groups-ij)

第i系的第j教研室的信息。以某系某教研室为论域组织信息。

信息的分布与各机构的职能及任务有关,决定了信息的存储及访问策略。那么,这些信息从何而来呢?其中,M级的信息由本地输入、或网外传来两种途径生成。D级信息由各系管理员生成与本系相关的信息。G级的信息主要依靠本地输入生成,与学科、教研室及具体项目相关。

从分析中可以看出,在正常工作活动中,可能对校园网造成安全威胁的是通过网络环境传来的有害数据,及内部各级的终端输入带来的威胁。网络外来数据通过配置防火墙等外围安全设备解决,本文主要讨论针对内部节点的安全防御策略。为达到安全的目的,本文首先根据现有高校网络应用需求在已有的系统拓扑结构上,加入三层协同组防御的系统逻辑层,构建高校信息安全平台。

2 基于协同组的校园网信息安全平台系统结构设计

按高校中各机构及实际物理分布情况自上而下将校园网划分成由M级设备组成的中心子网(Central Subnet)、由D级设备组成的系及子网(Department Subnet)和由G级设备组成的教研室子网(Terminal Subnet)等三层相对独立的子网;在教研室子网内按物理分布情况将5-7台机邻近计算机(共用集线器)的计算机组成终端协同组(Terminal Cooperative Group),若干个终端协同组构成教研室协同组。每层中的结点由普通结点和超级结点组成。超级结点在硬件配置上优于普通结点,配置双网卡、作为本子网与其它层子网之间通信的代理、承担本层结点的健康状态监控、通信控制、统一维护等工作。同时作为上一层协同组的普通结点,成为上层到本层的接口。如图2所示:

3 基于协同组的校园网信息安全平台性能分析

教研室协同组与系协同组分别采用混合P2P结构,而各组会有1—2台超级节点参与上一层协同组P2P结构。工作中,组内机器相互冗余又协同工作,利用空闲机器资源实现分布式防御功能。超级节点除了平等参与本组活动外,还负责监控组内设备、向上层传递信息和向下层分发服务等功能。由于各个教研室协同组的超级节点组成系协同组,可通过系级协同策略调节各教研室超级节点负载均衡,解决超级节点的“瓶颈”问题。比如,G1的负载较大,而G3的负载较小,那么我们可以通过协同策略让G3的超级节点来分担G1的任务,从而达到负载均衡的目的。

从分析中我们可以看出,该结构配以适当的安全及协同策略就能够实现对校园网络的集中监控和统一维护,这种层次化的集中管理,能够快速准确地发现系统出现的安全问题,并通过安全策略将问题主机快速隔离,从而抑制威胁在网络中的泛滥,保护整个网络的安全。通过统一的维护策略,屏蔽掉了由于操作者本人的素质、意识等因素导致的网络短板问题。最后,通过超级结点之间的冗余与协同策略均衡各超级结点的负载,达到安全性的同时,尽量降低代理对性能的影响。

综上所述,这种三层协同组(Three-Layer Cooperative Group,TLCG)结构,便于自上而下的逐级实现校园网控制、自动维护;便于实现问题结点的快速发现与隔离;便于在组内实现协同、冗余。使整个网络具有更高的可控性、安全性和高效性。

4 性能仿真实验及分析

为了验证该结构对病毒入侵的监控及维护效果,本文以一个中等规模的高校校园网为实例,在Matlab环境中构建了一个园区网模型,并在双因素蠕虫传播[9]模型的基础上将本文所提及的协同组策略加以应用,构建该系统作用下的蠕虫传播模型,如公式(1):

并仿真实验如表1。

其中,N表示网内所有的上线主机总数。

I(0)表示0时刻网内感染蠕虫的主机个数。

S(0)表示0时刻因有漏洞而容易感染的主机个数。

Q(0)表示0时刻处在被隔离状态的主机个数。

R(0)表示0时刻对将感染的蠕虫具有免疫能力的主机个数。

β表示单位时间能够感染的主机占总数概率。

γ表示对已感染主机成功免疫的概率。

μ隔离率表示对感染主机或易染主机实施隔离的概率。

t表示仿真过程运行的总时间。

仿真结果如图3。

从感染主机变化曲线可以看出,最坏情况下,即当系统遭到零日攻击,且对该攻击漏洞亦无察觉的情况下,在感染之初病毒在系统中快速蔓延感染率可达60%左右。但是有一点值得注意,根据相关统计,零日攻击只占所有攻击总数的10%左右,也就是大部分攻击都可被及时修补,并且,安全及软件厂商对漏洞的发现速度通常不会比黑客慢,所以,即使遇到还没有修补方法的零日攻击,也可以通过在安全策略中提前制定针对新发现漏洞的相关检测或隔离手段,有效提高校园网针对这类攻击的抑制能力。

另一方面,从免疫主机和隔离主机的变化曲线可以看出,针对某一已知病毒,本系统在无人参与的完全自动状态下,实现弱主机的100%免疫,同时可100%自动恢复因感染而被隔离的主机,然后自动将其接入网络。这可以通过超级结点的代理策略来实现。

5 结论

本文针对目前校园网的安全问题进行分析,并通过研究当前主流的内网安全策略,结合一般高校的关键业务流范型,找到了一种可以实现校园网“安全性、可控性、高效性”三个发展目标的方法。即通过软硬件手段,构建基于协同组的校园网信息安全模型。由仿真实验的结果可以明显看到这种方法的优势。

当然为了更好地达到保证正常工作效率的同时提高安全性、可控性,我们还需要进一步对超级结点组的协同策略、基于超级结点的感染主机的隔离策略、以及全系统统一智能维护策略进行更加深入地研究和探索。这也是我们今后工作的方向。

参考文献

[1]吴欣峰.校园网综合性能测量与评价的研究.[硕士学位论文].无锡:江苏大学,2007-12-15

[2]傅翠娇.自防御网络中客户端Agent的研究与实现.现代电子技术.2007;6:99—101

[3]周剑岚.基于Agent的内部网络安全系统研究与实现.武汉:[博士学位论文].华中科技大学.2006

[4]张平,冯勇.代理管理模型在内网安全中的应用.计算机应用与软件,2009;6(26):57—58

[5]肖竟华.一种P2P网络的安全信任模型.电脑与信息技术,2008;4:11—13

[6] Alawneh M,Abbadi I M.Proceeedings of the 22nd Annual IFIP WG 11.3 Working Conference on Data and Applications Security LNCS.2008;7;5094:229—253

[7]韩祥.多级分布式内网监控系统的研究与实现.成都:[硕士学位论文].电子科技大学,2008

[8]肖伟春.多角度构建内网安全防护新体系.计算机安全,2007;7:76—78

基于校园网络信息安全的探讨与设计 第8篇

互联网的普及不仅给日常生活带来了便利, 更在现代教育中发挥着不可估量的作用。但在互联网给人类的生活及学习带来方便的时候, 网络信息安全问题也迎刃而上, 面对着各种网络信息安全问题, 如, 身份窃取、身份假冒、数据窃取、数据篡改、操作否认、非授权访问等, 如何防范非法入侵者的攻击, 如何保建立建全的密码安全体系, 如何确保系统及共享信息的安全等问题, 已成为迫切解决的问题。

2 校园网络信息安全方案与设计

2.1 网络信息安全系统的设计策略

首先, 可选用防火墙等有效的网络隔离手段与外部网络进行隔离, 从而减小威胁的传播范围, 进而有效加强网络信息的安全性。其次, 可采Linux、Unix等高级别的网络服务系统, 并与Oracle数据库进行有效结合, 从而实现学校数据信息的安全。

2.2 网络信息安全的总体规划

网络建设最根本的目的是实现资源的共享及有效的实时通信, 网络平台上针对学校所设计的相关拓扑图包括接入互联网的基础设备如路由器、服务器、主交换机以及二级交换机等, 还包括接入互联网的基础软件系统如网络信息安全中的应用软件等。应用系统中则包括系统需求及硬件需求, 当前均选择如Linux.Unix等较为稳定的操作系统作为网络的才做系统, 在此基础上, 配备能够实现功能浏览的应用软件。

2.3 网络拓扑结构

系统网络设备又交换机、路由器、Internet接入/输出设备等组合形成, 而校园的内部网络要想接入Internet, 必须通过SDH方式并选择“中国科研教育网”通过交换式以太网或共享来实现, 各校园之间可以借助Internet实现互联, 与此同时通过采取相应的安全保护措施实现安全有效的数据通信。

校园网络拓扑图的设计必须实现为特定师生用户组提供网络的访问路径, 并同时适应未来拓扑结构的变化及网络的拓展, 也即是要实现网络不间断的运行, 即便网络需要扩展或一些网络应用需要增加, 网络结构仍能提供相应的带宽来满足其需求;同时还必须合理非配网络内部, 网络用户不同的信息流量, 可以同时支持多种网络协议, 从而扩大网络所应用的范围;除此之外, 网络系统还比支持单点的IP传送以及多点IP广播。网络拓扑结构的星型、树形、网状型以及分层的设计功能可以很好地实现上述功能, 因此必须给予厚望。

2.4 学校的分布结构

通常将学校的网络系统分为3个基本区:生活区、办公区、教学区。生活区的网络主要提供给学生, 教师以及相关商户的应用。办公区是学校的核心区域, 包括消防的财务系统、各行政办公系统以及网上一些远程招生系统等。教学区是学校网络系统的重点包括学校的电子阅览室以及图书管理系统;实验室、计算机机房等 (一般称为分析测试中心) ;以及学校的多媒体教室等。

2.5 学校防火墙的部署

防火墙相当于学校的内网与因特网连接的安全桥梁, 将其设立在内外网之间可以很好的起到安全屏障的作用, 而电子邮件、浏览器等服务器单独存在与内外网之间形成隔离状态。学校的内网与校园内网的交换机进行连接, 而外网则通过路由器实现与Internet相连接, 且从Internet进来的用户只能实现访问校园网内对外公开的部分服务信息, 这样以来就可以确保内网资源的安全性, 防止一些非法用户进行一些破坏性的操作, 同时还可以阻止内部用户访问外部一些不良的资源。

2.6 对入侵检测系统部署

通过病毒防护系统以及网络分布式的入侵检测系统, 将网络支持范围内的主机均设为保护对象。将网络病毒入侵防护系统安装到每个网段上, 确保实现各网段的访问请求能够实时地监视到, 并将其及时反馈给控制台, 实现全网的有效实时监视。认证方面, 为了确保各用户之间的相互信任, 可采用校园认证中心的方式来实现, 根据校园网络系统的结构, 可以通过构建安全中心 (CA系统) 实现与网络系统结构相互对应, 并通过CA系统签发用户数字证书, 使得每个用户在进行数据交换时都持有合法的身份, 并且在交换信息的每个环节都可以实现对对方的信息验证, 从根本上解决信任的问题。

通过将入侵检测系统与防火墙的相互结合, 可实现二者之间的联动, 且入侵检测系统会可以自动为防火墙配置防护策略, 并配合其使用, 从而确保网络在完整的网络安全方案中进行运作。

2.7 校园网的VPN连接

传统的Ipser VPN通信安全性还是非常之高, 但一些不安全因素在安全通路的两端仍然存在, 但如果采用VPN、SSL实现联机, 将不进行网络层的连接, 直接开启应用系统, 这种模式下, 黑客若想实行破环, 网络中的内部系统设置则被侦测出。而且, 就算黑客实现了攻击, 往往也只是VPN服务器的攻击, 基本无法实现后台应用服务器的攻击。由此可见通过VPN、SSL构建一个安全、高效、科学的校园网是非常值得推广的。

校园网虚拟专用网络系统经过初步设计必须符合以下要求: (1) 必须实现用户身份的验证, 并且对于回访的客户必须经过授权; (2) 是地址管理, 校园网的VPN连接必须可以为用户分配安全、专用的用户地址; (3) 实现数据的加密, 一些需要通过外网传递的信息数据必须进行加密, 从而防止信息传输过程中网络上其他非授权用户的非法读取; (4) 密钥管理, 确保VPN连接能够生成服务器和客户端的加密密钥; (5) 多协议的支持, 确保VPN连接能够支持互联网中一些如IP、IPX等普遍使用的协议。

2.8 网络的防病毒部署

为了实现校园网的安全, 以及不被病毒感染、破坏, 可对网络中一些传播病毒的地方以及可能会感染病毒地方进行防病毒的部署, 具体组件如下:

(1) 对校园内各个节点进行评估, 并确认相对脆弱的节点, 及时地给予病毒阻挡及相应的安全处理。 (2) 对一些进出网关的电子邮件以及Ftp、Web的访问, 给予全面扫描和防毒工作, 扫描中若出现病毒给予及时的处理, 并及时告知管理员。 (3) 通过智能性判断技术以及数据库对比技术, 对一些垃圾邮件进行过滤, 将其直接在网关处有效删除。 (4) 网络内所有应用服务器也必须全面防护, 将病毒消灭在服务器源点。 (5) 网络内的客户机同样进行全面防护, 将一些会对客户机产生破坏的病毒彻底消除, 确保客户端的所有计算机都能安全有效的工作。 (6) 对网络系统内的防病毒软件以及制定的相应病毒防护策略, 必须通过网络控管系统集中实现, 这样不仅保证了防病毒策略达到统一, 而且还可以实现及时更新防病毒软件。并与此同时生成一个完整的病毒报告日志, 更利用系统管理人员的操作。

2.9 校园网VOIP模拟部署

将注册服务器、代理服务器以及语音网关等设备放置在应用服务模块之中, 以方便管理员的统一集中管理, 通过语音网关将VOIP网络与PSTN网络的PRX交换机互联, 无线模块基本现有的无线网络基础设施实现VOIP移动设备的接入, 采用SHCP的方式分配私有IP以解决Ipv4的地址紧张问题, 办公区与宿舍区可以通过安装Ippone座机在计算机上。soft sip phone软件实现与VOIP网络中的计算机、IP座机、移动IP电话及PSIN中的各种类型的模拟电话进行通信。

3 结语

网络安全是一个复杂的问题, 它涉及法律、管理和技术等综合方面, 只有协调好三者之间的关系, 构建完善的安全体系, 才能有效地保护网络安全。而网络安全技术具有的复杂性和多样性, 使得网络安全越来越成为一种专门的技术和服务。网络安全自动检测和网络入侵监控预防的开发为网络信息资源的安全提供了预防和防范攻击的有效措施。当然, 网络信息不存在绝对的安全, 安全攻击也在不断地更新, 因此, 应该不断发现、总结, 及时概括最新的攻击方法, 保证校园网络的持续安全。

摘要：对校园网络信息安全现况进行了分析, 高校校园网络信息安全问题做出了相关的防范措施。并结合相关网络安全技术得出校园网的安全系统方案设计部署。

关键词：校园网网络病毒,网络信息安全,防范措施

参考文献

[1]王育民, 刘建伟.通信网的安全----理论与技术[M].西安电子科技大学出版社, 1999, (04) .

基于校园网信息安全 第9篇

高校校园网是在学校范围内, 在一定的教育思想和理论指导下, 为高校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。基于RSS技术的高校校园网络可以把信息自动发送到用户的面前, 让用户轻松获得想要的信息。利用信息安全技术通过基于角色的访问控制机制构成数据安全、事物安全来达到高校校园网络的安全。

2、高校校园网现状简介

对于高校而言, 建立校园网的作用一般有以下两方面:一是外部网络连接, 实现与INTERNET连接, 提供本校的信息服务, 融入世界信息潮流;了解外面世界, 加强学术交流与合作。另一个就是建立本校的管理信息系统, 实现管理的科学化、现代化;利用现代化的手段提高教学质量和管理水平。通过网络, 使用多媒体和通讯技术实现远程教学, 实现师资力量互补。随着管理信息系统的相对完善, 网络应用的展开, 校园网建设的重要性与效益才能充分体现。

国内高校由于校园网络发展不平衡, 目前在信息系统方面同时并存三种模式。第一种模式是单机管理模式, 在一些学校里, 计算机网络还没有建立起来, 计算机之间不能进行数据交换和信息共享, 这些学校仍然停留在面向部门的单项事务处理的水平上, 这种状况决定他们的系统经常出现数据不一致, 容易发生数据丢失、系统感染病毒等问题;第二种模式是局域网管理模式, 可以开展网络上的工作。比如建立局域网上的管理信息系统, 数据集中在部门服务器上, 为本部门的管理人员提供数据共享, 这种方式对于部门内部的管理工作起到了促进作用, 解决了部门内部的数据冗余和不一致的问题, 但是应用软件都在工作站上完成, 工作站负担过重, 服务器只是实现文件的存储、数据存储和打印共享, 网络利用率较低。校内很多单位都有自己的局域网, 各行其是, 不能实现不同单位间的数据共享, 更不能实现信息资源的合理流动;第三种模式是校园网上的全校信息系统, 这个信息系统以各部门管理系统为基础, 各部门管理的数据除了满足部门内部人员的使用之外, 还可以为其他部门甚至全校教职员工提供信息服务。

高校教育管理信息系统面临着下列需求:加强学校与国内外科技信息的往来;为学校主要信息部门建立部门的事务处理系统, 在疏通各部门之间的信息渠道的基础上, 建立全校共享数据库;取代传统的落后手工办公方式, 现代化办公的支撑环境, 提高办公效率。建立基于Web的在线网络教学系统, 利用校园网作为教学媒体, 传送教学内容, 在校园网上实施教学、管理教学, 并进行网上测试和网上交流。

3、RSS简介

3.1 RSS

RSS (简易资讯聚合) 是一种消息来源格式规范, 用以发布经常更新资料的网站, 例如部落格文章、新闻、音讯或视讯的网摘。RSS文件包含了全文或是节录的文字, 再加上使用者所订阅之网摘资料和授权的元数据。网路摘要专业层面能够自动地和阅读网摘的使动地发布他们的资料, 同时也使读者能够定期更新他们喜欢的网站或是聚合不同网站的网摘。RSS摘要可以借由RSS阅读器、Feed reader等网页或以桌面为架构的软体来阅读。标准的XML档式可允许资讯在一次发布后透过不同的程式阅览。使用者借由将网摘输入RSS阅读器或是用滑鼠点取浏览器上指向订阅程序的RSS小图示之URI (非通常称为URL) 来订阅网摘。RSS阅读器定期检阅使是否有更新, 然后下载够监看用者界面。RSS搭建了信息迅速传播的一个技术平台, 使得每个人都成为潜在的信息提供者。发布一个RSS文件后, 这个RSS Feed中包含的信息就能直接被其他站点调用, 而且由于这些数据都是标准的XML格式, 所以也能在其他的终端和服务中使用。

RSS可以是以下三种解释中任一种的缩写, 但其实这三者都是指同一种联合供稿 (Syndication) 的技术:Really Simple Syndication (RSS 2.0) 、RDF (Resource Description Framework) Site Summary (RSS 0.91, RSS 1.0) 、Rich Site Summary (RSS 0.9 and 1.0) 。

3.2 RSS发展

1999年RSS诞生于网景公司, 最初版本为0.9, 目的是用来建立一个整合了各主要新闻站点内容的门户, 但是0.9版本的RSS规范过于复杂, 而一个简化的RSS 0.91版本也随着网景公司对该项目的放弃而于2000年暂停。

不久, 一家专门从事博客写作软件开发的公司User Land接手了RSS 0.91版本的发展, 并把它作为其博客写作软件的基础功能之一继续开发, 逐步推出了0.92、0.93和0.94版本。随着网络博客的流行, RSS作为一种基本的功能也被越来越多的网站和博客软件支持。

3.3 RSS的应用

虽然RSS的版本众多, 但是并不影响其在网络中的广泛应用。RSS通过XML标准定义内容的包装和发布格式, 使内容提供者和接收者都能从中获益。RSS为内容提供者提供了一个实时、高效、安全、低成本的信息发布渠道, 为内容接收者提供了全新的阅读平台。RSS的优点在于信息来源的多样化、信息的实时性强、技术难度低、无干扰信息。

RSS的几种应用方式有:描述及发布网站内容、RSS联合、RSS聚合、个性化搜索。对于某种具体服务也可能不止使用一种应用方式。

3.4 RSS的联合和聚合

发布一个RSS文件 (一般称为RSS Feed) 后, 这个RSS Feed中包含的信息就能直接被其他站点调用, 而且由于这些数据都是标准的XML格式, 所以也能在其他的终端和服务中使用, 如PDA、手机、邮件列表等。而且一个网站联盟 (比如专门讨论旅游的网站系列) 也能通过互相调用彼此的RSS Feed, 自动的显示网站联盟中其他站点上的最新信息, 这就叫着RSS的联合 (Syndication) 。这种联合就导致一个站点的内容更新越及时、RSS Feed被调用的越多, 该站点的知名度就会越高, 从而形成一种良性循环。

而所谓RSS聚合 (Aggregation) , 就是通过软件工具的方法从网络上搜集各种RSS Feed并在一个界面中提供给读者进行阅读。这种软件也称为RSS Reader, 它能帮助读者完成诸如配置、更新、管理等对RSS Feed文件内容进行聚合的操作。

4、RSS技术在高校校园网的实现

4.1 设计目标

开发一个基于WEB的在线RSS的校园网系统, 校园网中的用户除了可以使用传统的校园信息管理功能外, 还可从网络上搜集各种RSS Feed添加到聚合器中, 并可将Feed分门别类的放到不同的自定义文件夹下, 实现RSS Feed的分类浏览。

4.2 系统实现

系统使用JAVE技术开发, 用JSP开发校园网用户页面, MySQL开发数据库。系统有以下模块:用户管理、RSS管理、RSS聚合、RSS浏览、数据库更新。关系如图1所示。

模块功能关系:

(1) 校园网用户管理在校园网内用户的注册、登陆、账户管理等使用权限验证。

(2) RSS管理校园网用户管理自己所订阅的RSS Feed。

(3) RSS聚合完成RSS Feed的注册。

(4) RSS浏览校园网内用户用来阅读所订阅的Feed。

(5) 校园网数据库更新对系统数据库惊醒自动更新, 保证RSS Feed的及时性。

5、RSS技术网络信息安全

基于RSS技术的高校校园网络, 除了有传统的信息管理功能外, 为每个用户提供了更多的专有的服务, 校园网络与管理信息系统建成后, 任何人都可以通过计算机访问高校的校园网络, 其中就可能有“黑客”试图攻击网络, 破坏网络、传播计算机病毒, 还有的可能窃取保密的技术资料及数据等等, 这样网络信息安全管理显得尤为重要。

5.1 基于角色的访问控制

基于角色的访问控制 (role-based access control, RBAC) 的基本思想是在主体和访问权限之间引入角色的概念, 将主体和角色联系起来, 通过对角色的授权来控制主体对系统资源的访问。

角色是与一定的操作活动、责任及访问权限的集合相关联的。系统中的主体可以赋予不同的角色并获得角色所拥有的访问权限。一个主体可拥有多个角色, 一个角色可授权给多个主体。一个角色可包含多个权限, 一个权限可被多个角色包含。主体通过角色享有权限, 它不直接与权限相关联。一个主体的权限是他所担任的多个角色权限的总合。

在RBAC系统中, 角色之间可存在继承关系, 即上级角色可继承下级角色的部分或全部权限, 从而形成了角色层次访问结构。RBAC的基本思想可简单地用下图来表示, 即把整个访问控制过程分成两步:访问权限与角色相关联, 角色再与用户关联, 从而实现了用户与访问权限的逻辑分离。

在一个组织机构系统中, 可针对各种工作职能定义不同的角色, 同时, 根据机构中各职员的责任和资格来分配其角色。因而可十分简单地改变主体的角色分配。当系统中增加新的应用功能时又可在角色中添加新的权限。此外, 当主体所担任的角色的职能已完成或角色的权限发生改变时, 也可很方便地撤销主体的角色或从其角色中撤销相应的权限。

由于不是直接授权给用户, 而是先授权给角色, 然后再授予用户角色, 这样在用户和权限之间引入角色, 从而大大降低了系统的复杂度, 同时RBAC体现了系统的组织结构, 简洁并具有灵活性, 大大降低了系统管理员误操作的可能性。角色之间的互斥关系可以很容易地实现任务分离, 角色访问控制还支持最小权限。

5.2 基于角色的访问控制在校园网中的应用

网络环境描述:校园网采用域管理方式, 通过域策略控制用户使用权限;拥有多个域, 部分部门有独立的域;用户划分为:各系部管理员、教师、学生、系统管理员等;服务器:文件服务器、邮件服务器、数据库服务器等;服务器操作系统:Windows。

网络安全需求:客户端采用CA证书认证, 替换传统用户名+口令的方式, 证书隐藏在SecureKey (USB智能卡) 中。系统采用基于证书形式的登录身份识别。系统采用基于角色的终端安全访问控制技术, 授予不同的用户享用局域网内不同的系统使用权限和级别。对客户端光驱、软驱、打印机等计算机外置设备的使用控制。对每日增减的大量客户端进行快速部署。基于WEB管理界面, 具备用户的集中管理和监控、访问策略制定操作日志和审计。对定制文件的加密和解密。终端控制系统拓扑图如下:

登录控制:通过校园网管理员在访问控制服务器上配置, 可以授权不同的用户对终端的访问控制, 实现MAC+IP+Secure Key的绑定;对终端机的访问采用软硬件结合的方式进行认证:校园网内的每个终端用户都有自己的数字证书, 证书存放在SecureKey (USB智能卡) 中, 用户登录个人电脑必须使用Secure Key, 一旦将SecureKey从计算机上拔出, 系统会自动锁定或注销。这样有效的防止了校园网内非法使用机器。

进程访问控制流程:用户通过登录控制软件认证进入Windows操作系统, 并记录该用户的身份, 进程控制软件随Windows自动启动;进程控制软件根据用户身份从终端访问控制服务器查询并取回进程控制策略, 然后在本机缓存;用户启动某一进程时, 进程控制软件检查本机缓存的进程控制策略, 如果不允许运行该进程, 则结束该进程并提示。实现对终端的存储设备 (光驱、软驱及USB接口等) 的安全管理。

通过对系统平滑升级, 满足了客户对信息安全的需求, 实现多域多用户的集中管理;网络信息的加密传输和加密存储;对登录的不同用户分角色管理;客户端软件硬件的控制等。

RBAC访问控制在校园网系统中, 可定义出角色, 并设计出以下访问控制策略:授权各系部管理员可修改教师或学生的账号, 同时授权各系部管理员课询问所有账号的注册内容;授权教师和学生可以查询自己的账号与注册内容, 但不可查询他人的注册内容;授权系统管理员可查询系统的注册信息及系统配置信息, 但不可读取或修改教师或学生的账号信息。

这里我们用一个简单的应用模型实例RBAC进行深入分析, 即给校园网应用假设一个管理模块, 这个模块涉及如下元素:数据资源, 各系部人员数据、教师个人数据、学生个人数据、系统注册、配置数据;具体功能:根据实际功能要求分为修改账号、查询账号、查询系统注册货配置信息;操作角色:根据学校行政职位设置有各系部管理员、教师、学生、系统管理员;操作人员:学校的内部人员各系部管理员张三、教师王名、学生李鹏、系统管理员吴刚。

系统的安全需求为各系部管理员张三只能修改各系部教师或学生的账号、询问各系部所有账号的注册内容, 教师王名只能查询自己的账号与注册内容, 不可查询他人的注册内容, 学生李鹏只有权查询自己的账号与注册内容, 不可查询他人的注册内容, 而系统管理员吴刚则可查询系统的注册信息及系统配置信息, 但不可读取或修改教师或学生的账号信息, 将此模型归纳为如下表格:

RBAC访问控制模型主要有一下特点和优势:提供了3种授权管理的控制途径:变更或增减主体所承担的角色、变更或增减角色的访问权限、变更或增减客体被访问的权限要求;系统中所有角色具有层次化的结构关系, 便于管理;支持访问控制最小权限, 具有很好的安全性;可实现角色责任分离, 使不同角色的访问权限可互相制约, 从而提高安全性;运行模式与现实世界已知, 便于理解与掌握;很容易映射到访问控制矩阵或访问控制列表方式, 因此便于实现。

6、结束语

传统的高校校园网络功能已经满足不了高校用户的多元化需求, 基于RSS技术的高校校园网络为每个校园网内用户提供了全新的信息平台, 自动的把信息呈现在用户的面前给每个用户带来了全新的校园网体验, 而基于角色的访问控制的信息安全机制很好地保护了这一系统功能的安全。

参考文献

[1]RSS技术及聚合和应用研究.计算机科学技术进展.2006

[2]徐茂智, 游林.信息安全与密码学.北京:清华大学出版社.2007

[3]朱喜福, 郭逢昌, 赵玺.Java网络应用编程入门.北京:人民邮电出版社.2005

基于校园网信息安全 第10篇

关键词：数字化校园,WEB,协同,安全性

数据是数字化校园应用系统的核心,学校运行的各种应用软件都围绕着数据来展开,对数据的合理有效存储和安全访问是系统的关键。采用Web Services技术,设计一个总体安全服务框架,建立可互操作的分布式应用程序平台,为校园网上异构、分布的资源信息提供统一的访问机制,完全屏蔽不同软件平台的差异,将会为数字化校园建设提供有力安全保障。

1 Web Services的安全性

在基于Web Services的架构之中,信息出自多个来源,同时又提供给多个目的地,数据必须在运行过程中随时打包。而一个业务流程之中可能引用许多分布式Web Services部件,它们的整体安全性问题很难解决。如果Web Services的应用范围推广到Extranet甚至面向公众的Internet,信息安全面临的威胁将会显著增加。实际上,如果信息安全问题得不到妥善解决,Web Services的推广应用将会大大延缓。

Web Services应用必须满足以下四个基本的安全性要求。

(1)机密性:信息对没有经过授权的个人、实体或进程的不可用性或不公开性,并保证消息内容不对没有经过授权的个人公开。

(2)授权:权限的授予,包括根据访问权限授予访问权和保证发送方被授权发送消息。

(3)数据完整性:数据没有以未经授权的方式或被未经授权的用户不可察觉的改变或者破坏的性质,从而确保消息在传送的过程中不会被偶然或故意修改。

(4)原始性证明:是对消息或数据的发送者进行标识的证据。

对于基于消息的体系结构,业界己经有一套现成的而且广泛接受的传输层安全机制,比如,安全套接字层(Secure Sockets Layer,SSL)和网际协议安全(Internet Protocol Security,IPSec),但现有的这些安全机制并不能在Web Services模型内提供足够的安全性。

目前己有很多采用Web Services体系结构的试验性的站点开放,但体系的完善还需要在很多方面继续做出努力,如安全、业务管理、服务质量、可靠性以及对象模型等等,这其中安全尤为重要。SOAP、WSDL和UDDI等最基本的协议中都不涉及安全方面的定义,人们期待一个能完整解决信任、授权及安全传输的完整解决方案,以提供身份确认、授权,保证数据的机密性、完整性和可靠性[1]。

2 Web Services所面临的安全攻击

要做到对Web Services安全的有效防护,首先要明确Web Services所面临的安全攻击,下面列出常见的几种攻击方法:

(1)Web Services界面(WSDL)嗅探。WSDL描述了调用特定Web Services的方法和参数,也就意味着将很多信息暴露给黑客,例如特定Web Services的位置,所调用的方法类型,以及如何与服务交互等信息。

(2)缓冲器溢出。XML解析是一个费时的处理过程,恶意的XML文件可能会造成XML解析系统出现溢出错误;另外如果在SOAP消息中的某个元素中输入特别长的字符串,而接收系统没有事先考虑对消息的长度限定以及如何处理异常情况,就可能导致系统崩溃。

(3)恶意的XML内容。如果恶意的解析或者处理指令被包装在Web Services信封中,比如SQL,XML Schema Extensions,path或者Xquery指令及XSLT指令等等都有可能改变XML解析过程,甚至连接到后台数据库执行恶意操作,严重威胁后台的应用程序和主机系统,导致对后台应用的非授权访问以及对机密、关键信息的泄露。

(4)Do S攻击。由于XML允许引用外部的文档或者数据类型,过于简单的配置,不恰当地使用外部资源都可能导致Do S(Denial of Service)攻击或者信息被盗用;另外一种Do S攻击是发送带有很多加密和签名元素的的消息,由于加密和签名操作需要耗用很多处理器资源,最终导致正常的服务被挂起,甚至系统崩溃。

(5)路由攻击。soap消息是运作在网络传输层协议之上,路由攻击采用改变soap消息的原来路由信息,使得关键信息在传输过程中经过不应经过的外界站点,致使数据被窃取或者改变,影响数据的完整性。

(6)密码攻击。字典攻击是最常用的一种窃取用户名和密码的攻击。由于很多Web Services采用简单的用户名和密码认证机制,将导致系统被非授权用户所访问。

3 Web Services模型安全性机制的不足及应采取的措施

Web Services模型中的安全性机制的不足在于:

(1)SOAP、WSDL和UDDI等最基本的协议中都不涉及安全方面的定义。SOAP信封由头和主体两个部分组成,SOAP头提供可扩展机制以扩展SOAP消息使其可以适用于多种用途,例如添加各种元信息,比如业务ID、消息路由信息和消息安全性。虽然SOAP头是向消息添加安全性功能最合理的地方,但是SOAP规范本身并没有指定这样的头元素。

(2)缺乏端对端的安全保障。已有的安全传输协议,如SSL和IPSec,在点对点的情况下,可以在传输过程中提供消息完整性和机密性,而SOAP消息是由中介体接收并处理的,因此即便两两之间的通信链路是可信任的,而在所有的中介体间没有信任关联,那么安全的端对端通信也是不可能的[2]。如果有一条通信链路不安全,那么端对端安全性更会进一步被削弱。因此就Web Services拓扑来看,缺乏对于SOAP消息的端对端传输的安全保障。

(3)传输的独立性。SOAP中介体的原意是用来把信息转发到不同的网络上去,通常使用的传输协议也会有所不同。虽然所有的通信链路都是安全的,中介体也是值得信赖的,但是,安全信息(如消息发送者的身份验证)需要被转移到消息路径上的下一个传输协议安全性域,这个过程冗长而且复杂,还可能会导致完整性方面的缺陷。

(4)互操作性问题。尽管SOAP、WSDI.和UDDI标准化了通信,但缺少对传输互操作性方面的规范。因此在整合了不同的系统之后,互操作性就成为一个严重管理问题。因此,现有的传输机制不足以满足Web Services开发和使用的安全要求,所以有必要建立一个概念性的Web Services安全层。

4 数字化校园信息模型的总体安全框架

数字化校园的建设过程中要牵涉教务、科研、人事等应用系统,而且是为教师、学生和行政人员提供不同的服务,该建设过程是一个长期完善的过程,既要考虑到已有的应用和数据,又要考虑到新的应用,最终要达到的目标是信息共享和应用集成,所以在建立之初,就应考虑一个完善的应用开发平台,通过这一稳定、可扩展的应用平台为系统的实施提供良好的支撑和服务。一般应用开发平台可分为基础网络层、基础服务层、应用服务层、安全服务层和用户服务层。Web Services从消息传输到应用都面临不同的安全威胁,因此应从以下几个方面来采取保护措施[3],如表1所示。

(1)基础网络层:包括网络、主机等基础硬件和操作系统,是数字校园建设的基础。

(2)基础服务层:包括公共服务平台和共享数据库资源,是数字校园信息传输的基础平台。

(3)应用服务层:包括教学、科研、管理等方面的管理信息系统和业务系统,是数字校园的核心。

(4)安全服务层:包括系统安全、信息安全、安全管理、安全审计等,是保障数字校园系统安全可靠运行的条件。

(5)用户服务层:包括部门及信息门户、个人工作平台,为用户提供与其身份相对应的个性化信息与服务,是数字校园的门面。

安全服务层设计的核心思想是将机构、用户的身份信息统一存储,对应用系统统一授权、规范应用系统的用户认证方式,从而达到提高整个系统的可管理性和安全性,加强应用之间的交互,方便用户使用的目的。

在Web Services的应用架构中主要包括发布服务描述、查找服务以及根据服务描述绑定或调用服务三种行为。基于Web Services的安全服务框架的实现主要包括以下内容:

首先是安全服务组件的描述:利用WSDL对上述安全服务组件的操作类型、输入输出数据流、数据类型、与传输协议和数据格式及安全控制机制等的捆绑方式、网络位置等进行规范描述,为服务提供一个标准的界面。

其次解决安全服务组件的发布问题。WSDL可以通过多种方式向网络上的其它信息系统发布,例如直接以电子邮件、FTP文件等方式传送给服务请求者,置于本系统Web服务器根目录来支持特定搜索引擎搜索,或者在内部或公共的分布服务注册系统进行服务注册,UDDI就是一个统一描述、发现和集成协议,它通过标准方式接受Web服务描述文件的登记,并进一步登记服务系统的其它识别和联系信息,支持通过标准方式对描述文件和其它信息的检索。

最后就是安全服务组件的调用。由于HTTPS和SOAP提供了通信和消息的互操作性,而采用WSDL提供对接口和消息的描述,保证了应用服务和安全服务之间的互操作性。

参考文献

[1]刘洋,葛声.一种基于Web服务的分布式工作流管理系统的研究与实现.计算机工程与应用,2003.01,208-217.

[2]柴晓路.Web服务架构与开放互操作技术[M].北京:清华大学出版社,2002

明暗两条线，编织校园安全信息网 第11篇

关键词：两条线；编织；安全网

安全工作是一项长期而复杂的工作，需要全员参与，管理到位。只有让学生参与到安全管理工作中去，强力搭建学生安全管理机构，尽力发挥群体优势，才能把安全工作真正做到边，管到位。在学校安全管理中，我们管理者要更新观念，变化管理模式，让学生成为管理参与者、制度的执行者，让学生在管理的过程中提高自身的安全防范能力和应急处置能力。

在日常的安全管理中，我们应该打造明暗两条线，着力编织校园安全信息网，进一步拓宽安全信息来源，做到明暗结合、管理到位。

明线：明线就是大家所知道的，能看得到的安全管理主线。一是成立学生会安全管理部；二是在各班级设置安全管理员；三是成立全员参与的班级安全互助小组；四是在各寝室设置安全信息员，处在明处的学生会安全管理干部和班级，安全管理员、信息员主要是配合班主任和学校参与安全管理，隱患排查、不稳定的信息上报、安全表册的记录等工作，他们是学校安全管理工作最基层的管理者，也为学生的安全自我管理、自我教育做出了表率，带动了一大批学生主动参与到学校的安全管理工作中去。

暗线：暗线就是处在暗处的不为老师和同学知道的安全管理

线。这部分学生统称安全信息情报员，安全信息情报员也参与教室、寝室，乃至整个校园的安全管理，他们直接归属学校的安全员领导，说明白一点就是安全工作的地下情报人员，学校安全员的耳目。安全信息情报员是学校安全员最信任的基层安全管理者、信息来源者，这些学生干部身处隐蔽战线，无名无分，没有人知道他们的工作，所以学生不会怀疑而去防范他们。处于暗线的安全信息情报员有着保校园平安的信心和决心，信息渠道广泛，能在第一时间掌握校园各场所存在的安全隐患和同学之间存在的矛盾纠纷，并及时给学校安全员报告。他们总是默默无闻、任劳任怨地开展工作，发现安全隐患和不安全因素就会通过电话、短信向学校安全员反映，让学校能及时地了解学生动态和掌握不安全、不稳定情报，并进行相应的应急处理。

两条线一明一暗，相互交错，充分体现了学生参与安全管理的优势，为校园编织了一道强有力的安全稳定信息网络。

探究管控校园网信息安全 第12篇

关键词：管控,校园网,信息安全,安全策略,安全审计

0 引言

数字校园是推进实现我国教育信息化的重点建设目标之一,数字信息化应用在我国教育现代化的进程中起到了强大的推动力。校园网是学校数字信息化建设重要的基础设施,是学校实现数字信息化的重要组成平台,在教学支持服务、教学教务管理、科学研究、行政管理和校内外信息交流等许多方面都起到了重大作用。许多学校的工作已经完全通过信息网络系统来运转,随着信息化建设规模的扩大深入以及计算机信息网络技术的不断扩展和增强,在校园网中潜在威胁安全问题暴露无遗,校园网络安全的形势日益严峻。如何保障学校内部重要信息的安全,使得重要数据信息不被窃取,是学校信息安全工作当前要面临的首要挑战。

1 校园网信息安全需求

随着校园网应用的深入,校园网上各种信息数据急剧增加,结构性不断提高,用户对网络性能要求的不断提高,网络信息安全成为网络技术发展中一个极其关键的任务。校园网信息安全的需求概括有四个方面。

(1)用户安全:用户安全分成管理员用户安全和业务用户安全。

(2)网络硬环境安全:网络连接安全,校园网中的子网与其他网络连接的网络安全,各个专用的业务子网的安全。

(3)网络软环境安全:即校园网的应用环境安全。

(4)传输安全:数据的传输安全,主要是指校园网内部的传输安全、校园网与公网(教科网)之间的数据传输安全以及校园网与分校区之间的数据传输安全。

校园网络系统通常只是在校内使用的教学办公网络,是一个相对封闭的局域网系统,可不考虑外来的入侵行为,所面临的风险大多始于内部,包括来自学校内部人员的威胁、非授权访问、冒充合法用户、破坏数据的完整性、数据篡改、泄漏与丢失等。众多不同的安全技术和产品,在技术上缺乏完善的综合管理平台进行统一协调管理;而在管理上则欠缺良好的安全管理体制和策略,这就直接导致了整个安全体系的薄弱,造成网络整体安全防御能力下降,无法真正达到安全要求和建设目标。因此,使用访问控制及内外网的隔离,使用内部网不同网络安全域的隔离及访问控制,使用网络安全检测。解决校园网信息安全问题的重要方法,是在校园内网中采用不同的安全产品和技术构建多层次的安全防范体系,并在这个体系中部署信息安全审计措施以监督信息系统,发现和追查信息系统中潜在的安全问题,弥补其它安全产品对信息安全管控的不足。

2 管控信息安全的策略

信息安全是高技术的对抗,信息安全问题是要通过大力发展信息安全高技术来解决。但同时必须清醒地认识到,要高效地解决信息系统的安全问题,除了从技术上下功夫外,还得依靠配套的安全管理措施来实现。一定要部署校园网安全审计与监控体系配套管理措施,对信息安全审计工作必须要坚持管理与技术并重的原则,建立和完善信息安全配套管理制度和规范,加强管理落实责任,注重通过加强管理弥补技术上的不足。

首先要建立相对独立的学校信息安全审计机构,明确管理组织内各个角色所承担的具体审计职能。在一个审计机构中具体应当包括几种角色。

(1)系统管理员:系统管理员主要负责对审计系统的配置和系统运行状况的维护。

(2)安全审计员:安全审计员主要承担具体的审计工作,借助信息安全审计系统提供的信息,结合人工处理得到最佳的审计结果。

(3)用户管理员:审计机构应具备自审功能,审计系统对于每一种权限的使用人员操作都有详细的审计记录,仅授权给用户管理员进行查看和记录的维护,及时发现审计机构内部人员是否发生违规行为。

其次要制定学校涉密信息系统审计管理规范,包括信息系统规划建设阶段的审计管理、信息系统应用过程中的审计管理。其中,审计数据作为审计工作的证据对审计结果至关重要。在信息安全审计系统中,对审计数据的管理重点是对审计数据库的管理。

最后需要注意的是,信息安全审计工作的顺利开展是需要通过培训教育来进行的。信息安全审计工作的根本,是要依靠掌握和具备技术和管理能力的专业信息安全人才作为支撑。为了迅速推动学校安全部门信息安全审计工作的顺利开展,应当从教育和培训入手,提高信息安全审计的专业技能水平以及综合安全技能水平。

3 管理校园网信息安全

提高校园网的安全性已经是各个学校的当务之急,提高安全性首要的就是加强校园网的安全管理工作。要保证校园网信息安全的第一步是向管理要安全,基于管理的安全解决技术与方法:一是建立校园网安全审计与监控中心,并实现安全管理;二是实现网络设备和主机服务管理;三是实现应急决策报警管理和报表管理。

学校安全部门要实施执行安全管理和网络信息安全事故处理预案,保障校园网络的安全运行。网络管理中心不仅能够及时、全面地掌握校园网安全产品的运作和安全状况,而且可以对网络安全审计系统、数据库审计系统主机审计、内容审计等安全产品的安全事件数据进行采集。通过安全措施的制度化,保证信息安全管理体系的正常运行。

加强网络基础架构管理,实现网络设施安全。以信息采集为主要目的,实现网络设备和主机服务管理,其中包括数据采集。加强用户管理,确保主机安全。强化服务器安全管理,保障网络服务安全。形成长效的信息安全方面监管机制,并围绕着网络安全防御体系目标,构建和健全信息安全体系。

部署应急决策报警管理主要是通过事件关联分析模块,对收集到的安全事件、性能事件进行数据挖掘,发现大量安全事件、性能事件中隐含的有价值信息。通过设置信息安全审计系统的规则响应库,定制各种阈值、处理措施、联运反应、通知方式等内容,当系统发现有紧急安全事件时就可以通过多种方式进行紧急处理。通过报表管理功能的实现,可以直接使用浏览器进行本地或远程的报表操作,而无需安装任何其他软件。报表的输出采用Web输出,这样就很方便地对报表进行异地保存和打印。

4 监控校园网信息安全

校园网信息安全第二步是向监控要安全,即利用数据保安全,实施执行网络层安全审计。网络层安全审计主要利用网络设备与防火墙的日志功能、入侵检测系统、网络行为审计等手段实现,内容包括用户访问时间、操作记录、源和目的地址与端口、操作的原始数据包等审计信息。通过这些安全审计技术的运用,能够保障在整个网络上进行的操作得到可靠监控。

网络安全审计在设计上采用网络探测引擎、安全审计与监控中心、数据管理控制中心三级结构。网络探测引擎专职负责网络数据的获取和分析,安全审计与监控中心负责存储网探上报的信息和对数据的进一步处理,数据管理控制中心负责安全管理和报警信息浏览。数据管理控制中心以一对多的方式连接管理多个网络探测引擎,安全审计与监控中心和数据管理控制中心可以多对多进行审计控制显示。网络探测引擎以旁路方式监听网络上的所有数据包,根据过滤规则从中提取出与系统安全监控要求有关的数据包,通过对TCP/IP协议和各种内网应用层协议的精细化分析,对这些数据包进行拼接处理与内容还原,然后根据安全审计与监控数据中心下发的详细安全监控策略对数据包的内容进行安全性检测,从而实现对内网中发生的安全事件的识别。

5 结束语

管理与监控结合的校园网信息安全策略,保障了校园网最终建设为一个安全、可信的教育和科研网络环境。校园网的安全和效率已经成为成功实现各类网络业务的至关重要的先决条件,网络安全与网络服务质量结合起来使到网络的总体安全效率得到更大的提升。网络的资源应用服务是数字校园终归目的,而安全则是网络运行的终极目标。

参考文献

[1]薛静锋等.基于XMLRPC的网络安全管理平台的设计与实现[J].计算机应用,2005(5).

[2]王曼维,徐立君.新形势下计算机网络安全及策略[J].长春大学学报,2008(2).

[3]张俊平.校园网络的安全及对策[J].浙江工贸职业技术学院学报,2004(12).

[4]康静,戚清波.局域网安全的管与控[N].计算机世界,2012(17&18):41.