12.43k
11.48k
如果有新病毒库发布,只需对服务器上的病毒库更新,客户端就会自动到服务器上下载并更新病毒库。
集中式病毒防杀系统因它的病毒库更新及时方便、防杀行动统一彻底、系统稳定可靠、用户参与少等优点成为了校园网的病毒防治中最有效的措施之一。
8、构建防火墙和入侵检测系统
防火墙是位于两个(或多个)网络间实施网间访问控制的一组组件的集合。
所有进出网络的数据流都必须经过防火墙的授权。
设置防火墙是保护内部网络免于外部网络攻击的重要措施,在Internet与校园网内网之间部署防火墙,就在内外网之间建立了一道牢固的安全屏障。
防火墙可以限制对某些不安全端口的访问,能封锁特洛伊木马,并禁止来自特殊站点的访问和禁止某些协议的运行,从而有效地防止外部入侵者的非法攻击行为。
入侵检测是指对计算机和网络资源的恶意行为的识别和响应的过程。
入侵检测系统从计算机网络系统的若干关键点收集信息并对其进行分析,发现入侵以后,会及时进行记录事件、断开网络连接和报警等操作,如果把防火墙比作是网络门卫的话,入侵检测系统就是网络中不间断的摄像机。
在校园网中部署入侵检测系统可以有效地监控校园网内的恶意攻击行为。
建立一个有效合理的病毒防御和查杀机通过在网络中部署分布式、网络化的防病毒系统,不仅可以让单机有效地防止病毒侵害,还可以使管理员从中央位置对整个网络进行实时状态下的病毒防护。
主要做法是:网络中心负责整个校园网的升级工作。
为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是由程序自动、智能地完成,可以避免由于人为因素造成网络中部分用户因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
建立一个有效合理的病毒防御和查杀机通过在网络中部署分布式、网络化的防病毒系统,不仅可以让单机有效地防止病毒侵害,还可以使管理员从中央位置对整个网络进行实时状态下的病毒防护。
主要做法是:网络中心负责整个校园网的升级工作。
为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到杀毒软件厂家网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其他多个主机网点的客户端与服务器端,并自动对杀毒软件网络版进行更新。
采取这种升级方式,一方面确保校园网内的杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是由程序自动、智能地完成,可以避免由于人为因素造成网络中部分用户因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。
9、使用VLAN技术VLAN是一种通过将局域网內的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
每一个VLAM都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、提高网络安全性、简化网络管理。
下面从几个方面具体来谈谈VLAN技术在校园网中的发挥的突出作用。
由于不同的VLAN有着各自独立的广播域,而广播只能在本地VLAM内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
例如在我校就对每栋学生宿舍划分两个或两个以上VLAN,在这种情况下即使有一栋学生宿舍的VLAN产生了广播风暴,也不会对此VLAN之外的网络产生影响。
在交换机上划分VLAN以后,不同VLAN的之间将不能直接通信,VLAN间的通信必须通过三层设备(路由设备)。
我们可以通过路由访问列表和MAC地址分配等VLAN划分原则,控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN中,从而提髙了校园网的整体性能和安全性。
如果结合相应的网络技术还可以方便的控制校园网用户的登陆地点,例如开启交换机的认证功能,校园网用户在登陆校园网前首先要进行身份认证,我们可以将认证帐号绑定到具体的VLAN中,这样只有具备相应VLAN认证帐号的用户才能在指定的VALN登陆校园网络。
利用VLAN技术可以根据学校的部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。
10、软件系统的安全配置
软件系统的安全问题也是不容忽视的,任何软件都有漏洞。
作为网络系统的管理人员有责任及时将软件的补丁打上。
比如,校园网中的服务器所使用的操作系统大多是win2000/xp的操作系统,因为使用的人多所以发现的漏洞也就特别多,这就需要网络管理人员随时去了解微软公司发布的有关操作系统的安全信息,如有相关的补丁程序或升级包就应当及时地从微软的官方网站下载并安装。
对于其他的软件系统(比如:Linux,Or acai,SQL)也应当密切关注其安全问题。
只有这样才能有效的避免因软件系统漏洞而导致的安全问题。
操作系统在服务器上刚安装好时会自动启动一些不必要的服务,这样不仅给系统增加了额外的开销,而且带来了系统的安全隐患。
对于服务器上不需要的服务我们应及时将其关闭,比如我们可以关闭web服务器的telNET等服务,同时我们还应该关闭不必要的tcp端口。
11、访问控制
访问控制的主要任务是保证网络资源不被非法使用和非法访问。
用户的入网访问控制通常有用户名和口令的识别与验证、用户帐号的缺省限制检查等。
反馈