谈校园网存在的问题及解决策略

作者：倪玉林

来源：《科技资讯》 2011年第14期

倪玉林

(北京电子科技职业学院 北京 100029)

摘 要:本文在校园网络管理实践的基础上,总结了校园网建设和使用中表现出来的几个常见问题,并从管理和技术两个层面提出了解决策略及具体应用,以促进校园网的不断优化。

关键词:校园网 问题 解决策略 网络应用

中图分类号:TP393.18 文献标识码:Ａ 文章编号:1672-3791(2011)05(b)-0007-02

随着社会信息化进程的不断加快,信息技术对学校教育改革产生了深刻的影响。校园网络的建设和完善不仅是实现教育现代化、管理信息自动化的一个重要途径,而且已成为衡量各级各类学校教育信息化、现代化的一个重要标志。大多数有条件的学校已经完成了校园网的硬件工程建设,但建设中盲目追求高投入而缺乏有建设性的综合规划及开发应用的现象时有发生。目前一些学校仍停留在高性能设备堆积的阶段,认为只要投资建好校园网的硬件工程,接入Internet,就等于实现了教学和办公的自动化和信息化。然而,校园网络资源浪费严重、使用效率低下,网络规划不合理,网络安全隐患多等问题,限制了网络设备性能的充分发挥,并在一定程度上消减了校园网在学校管理、教育教学中的实际效益。本文在校园网络管理实践的基础上,针对所总结的校园网建设和使用中表现出来的上述常见问题,提出了解决策略及其应用,以促进校园网的不断优化。

1 校园网存在的问题

1.1 资源浪费情况严重、使用效率低下

与校园网的硬件工程建设相比,有些学校的软件建设成效不佳,尤其体现在外购软件与学校的实际需求存在差异,软件的及时升级不易保障;部门间相对独立、重复建设,且兼容性差;信息化管理人员专业化程度参差不齐,专业软件系统使用效率不高等方面,致使学校资源浪费严重,使用效率低下。

1.2 网络规划不合理

由于盲目追求校园网建设的高速度,没有进行全面系统的需求分析等因素,在校园网建设初期往往容易忽视了校园网建设中应遵循的整体性、可靠性、适度超前性、开放性、可扩充性、多功能性、安全性和保密性等原则,从而导致了校园网络的规划不合理,如表现在网络拓扑和子网结构不合理,设备不稳定,系统生命周期不长、效益发挥不充分,设备型号断档或不配套,不适用未来的业务需求,网络运转不正常及泄密等方面。有的学校教学用网、办公用网、科研用网、学生用网等混杂在一起,局部网络有问题出现时,可能致使校园网络整体瘫痪。有的是因教学等需要将部分办公室改为教学实训室时,原有网络线路不能满足教学实训需求,还需重新建设。

1.3 网络安全隐患多

在校园网络建设中,校园网络安全防范工作自然是至关重要的,特别是核心区与互联区的安全。黑客攻击、服务被拒绝、恶意软件泛滥、数据丢失等中的任一项均可能对网络造成致命的打击。但随着校园网规模的不断扩大、用户数量的不断增加以及网络应用的快速发展,学园网络管理和安全隐患中的问题尚未得到全面而有效解决,这必然影响学校的信息化建设。例如,有的学校网络安全防范意识低,防攻击措施不到位,网络非法访问、非法信息得以传播和发布,网络设备出现意外故障,网络系统遭受人为攻击及恶意软件的破坏,网络堵塞等网络安全隐患频频出现,这些网络安全问题在不同程度上影响着校园网络的正常运行。

2 解决策略及其应用

基于校园网络管理实践,本文认为校园网建设和使用中存在的上述常见问题,可以通过管理和技术两个层面加以解决。

2.1 管理层面

2.1.1 统一规划、统一建设

各类数据库系统的建立和完善,各类网络电子教学系统的开发,各职能部门、院系、馆等的网站建设,学校OA系统建设等,都有必要在学校的统一规划管理下统一建设,以发挥整体优势,节约资源,提高效益。

2.1.2 加强校园网络制度建设

校园网络安全同样是“三分技术,七分管理”,因而用制度进行管理尤为重要。为保障校园网络建设的合理性,可建立健全校园网络建设开发及审批制度。为完善网络管理的基础性工作,可制定网络软、硬件维护工作日常制度及其工作流程、应急处理程序等。为保障校园网络安全,可建立健全网络安全管理制度及其应急响应方案,如包括:病毒防治、机房管理、保密规定、认证授权、访问控制、安全审计、安全教育、故障通报等,安全制度覆盖范围有物理环境、机房、实体设备、网络、主机、数据库、应用系统、服务等。[1]为保障对外网络信息安全,亦可建立网上信息发布审批签发程序等。

2.1.3 提高网络管理人员的能力和素质,规范校园网络用户的使用行为

可通过加强对校园网络管理人员的培训和继续教育,增强管理人员的责任意识,提升服务水平。同时通过加强对教职工和学生的用网教育,规范其行为,指导其正确使用校园网络,以实现管好校园网,用好校园网,发挥校园网的最大效益。例如,可以在校园网中使用域管理,规定教职工和学生的电脑接收域控制器的管理,严格控制用户权限;规定办公电脑实行实名负责制,以有效保护办公环境,在出现网络问题的时候,使得管理员能够准确定位,快速得出处理方案;规定学生电脑在上课期间禁止使用占用网络带宽严重的软件及工具等。

2.2 技术层面

2.2.1 网络部署方面

网络建设初期,调研小组应从学校整体的角度对校园网建设做需求分析,得出的结论要尽可能具有前瞻性,着眼未来。在建设时,应合理地规划和设计网络结构,使用路由和交换技术等将网络分出层次;使用访问控制列表(ACL)等技术控制网间的通讯方向;使用负载均衡、流量整形控制技术等,合理分配有限的网络出口带宽,提高使用效率,降低网络堵塞的范围。例如图1所示。

在此图中,即通过路由和交换技术在校园网络中设置教学用子网、办公用子网、科研用子网、学生用子网,将它们在逻辑上分出层次,做一定程度的隔离,并根据实际情况,控制子网之间的通讯方向。使用ACL技术限制学生子网终端访问办公子网终端、科研用网终端;允许办公子网终端与教学子网终端、办公子网终端与科研子网终端、科研子网终端与教学子网终端、教学子网终端与学生子网终端之间能够相互访问,以控制网络内部的广播风暴、保障信息安全等。当校园网络中的任一子网出现故障时,网络管理维护人员只需着重分析该子网的逻辑结构有没有被破坏,子网内部主机有没有遭受网络病毒的攻击等,及时将网络恢复至正常状态,而不必担心其它子网的用户会因此受到影响。在校园网络和外部网络之间架设负载均衡、流量整形等设备,可以在一定程度上有效解决校园网拥塞、断网等问题,以及提高整个校园网络系统的处理能力。

2.2.2 网络防护方面

(1)使用防火墙技术:防火墙对校园网安全具有很好的保护作用。防火墙主要由服务访问规则、验证工具、包过滤和应用网关四部分组成,是一种计算机硬件和软件的结合。使用防火墙技术,可以构造一层保护屏障,强化网络安全策略,有效记录网络日志,防止影响一个网段的问题通过整个网络传播,是可疑的访问拒之门外。如图1所示,可以在校园网络和教育网络之间、校园网络与Internet网络之间、校园网络与其内部主机之间架设防火墙,对流经它们的网络通信进行扫描,过滤掉一些攻击,关闭不使用的端口,禁止特定端口的流出通信,封锁特洛伊木马,禁止来自特殊站点的访问等,从而防止来自不明入侵者的所有通信。例如只打开80(HTTP)、21(FTP)、25(SMTP)、110(POP3)、443(HTTPS)端口等所必需的服务端口,控制不需要的流量,限制访问外网的时间,绑定IP地址和MAC地址,定期查看防火墙访问日志,严格控制管理员权限等。目前较多使用的软件防火墙主要有360防火墙、瑞星防火墙、天网防火墙等;较多使用的硬件防火墙主要有cisco防火墙、神州数码防火墙等。

(2)使用入侵检测技术:为了有效保障校园网络系统安全,使用能够及时发现并报告系统中未授权或异常现象的技术尤为必要。如可以配置用于检测校园网络中违反安全策略行为的入侵检测设备和软件,对校园网中的重要网段及主机进行入侵检测分析及采取相应的保护措施。只有不停地对校园网络中的每一个可疑数据包进行分析,及时发现异常并发出预警、限制网络连接,对校园内重要主机的系统日志和它的网络实时连接作智能分析及判断,并采取有效措施,才能有利于加强校园网络安全。

(3)使用网络防病毒技术:随着计算机病毒形式及传播途径的多样化,建立多层次、立体的防病毒体系,才能更有利于保障整个校园网络不受或尽量少受计算机病毒的侵害。网络防病毒软件也是校园网络防病毒体系中不可或缺的组成部分。如可采用赛门铁克企业网络防病毒系统,Kill网络防病毒系统等,以实时监测并记录校园网内所有网络终端的病毒监控、检测和清除信息,减少校园网安全漏洞,并保障校园网内子网间的正常通讯,有效实现对整个校园网络防护系统的自动控制,增强校园网络的病毒抵御能力。

2.3 网络应用方面

在加强网络部署和网络防护的基础上,本文认为还应重点强调以下七个应用。

(1)限制网络行为。由于现行的诸多网络应用采用P2P等技术,造成了网络“堵车”,干扰了校园网的正常运行,因而合理管理校园网络资源的首要前提是限制校园网用户的网络行为。可以使用网管软、硬件限制P2P下载,通过限制端口、服务器IP、传输协议等方法,禁止用户的某些网络行为,净化校园网络环境;同时还要防止非P2P行为的过量占用校园网带宽的行为,进而实现对校园网合理有效利用。如在控制学生在机房的上网行为方面,可以考虑利用routeros等路由操作系统将学校原有的低配置服务器配置成专业路由器,用最少的投入,利用无线、认证、策略路由、带宽控制和防火墙过滤等功能,控制学生在机房的上网行为。

(2)限制网络流量。对此,从技术和计费制度两方面着手可取得较好的效果。例如,对网段、时间段、用户终端等进行网速限制,同时建立身份认证计费系统,制定限流量等校园网使用政策。在校园网计费制度上,可每月设定一定的免费流量,以满足正常的办公和学习需求,当流量超出使用规定时,如需继续访问校园的外部网络,则需根据实际需求通过审批或是支付相应的流量费用获得流量。

(3)使用流量整形技术。为尽可能避免校园网使用中不必要的断网和拥塞,可以通过使用流量整形技术,对校园网络流量进行识别和控制。这一技术可以解决多种服务共用同一端口的问题,可以进行校园网基于业务分类(比如按协议、子网进行分类)的流量整形,可以设定带宽大小,在允许的条件下还可以允许突发传输,以保障网络通信的质量。使用流量整形技术,不需对现有网络结构进行大的调整,就可以实现校园网络流量的合理分配。目前市场上也已出现了不少使用该技术的硬件设备和软件产品。

(4)使用负载均衡设备。为了在完成同样功能的多个网络设备之间实现合理的业务量分配,提高整个校园网络系统的处理能力,满足校园网络用户需求,可以考虑采用负载均衡的方法。通过使用负载均衡设备,既可以减少用户等待响应的时间,又可以大幅提高网络系统的处理能力。因为这种方法能够把大量的并发访问或者数据流量分担到多台节点设备上分别处理,也能够将单个重负载的运算分担到多台节点设备上做并行处理,每个节点设备处理结束后,将结果汇总,再返回给用户,不会出现校园网络中一台设备过忙而其他的设备却没有充分发挥处理能力的情况。

(5)使用代理服务器,提升网络资源的使用效率。如将Squid代理服务器配置成代理缓冲器,通过使用代理缓冲器的透明模式,在不增加用户使用复杂度的前提下,达到提高校园网内部访问公网的速度,有效缓解带宽压力的目的。

(6)架设校园网络电话视频系统。为了充分校园网络资源,可以使用GUN协议下的SIP套件,配合廉价服务器会构建一套性价比极高的VOIP系统,降低校园内部语音费。其基本模式如下:构建用户代理服务器、代理服务器、重定向服务器以及注册服务器实现功能强大的IP PBX,负责建立校园网络中的所有SIP电话通话。

(7)建立校园网络U盘。即建立可以随时随地上传、下载文件且功能强大的校园网络U盘,并为每一位教职工和学生建立校园网络U盘账号。这种做法既方便教学,又可以在一段程度上有效地降低校园网用户对移动存储设备的依赖,进而降低恶意软件经移动设备在校园网内部传播的风险。

校园网存在的问题是复杂且不断变化的,随着网络信息技术的不断更新和校园网络建设的不断发展,优化校园网络仍将是一项长期的综合性的工作。及时发现并解决校园网络中存在的问题,不仅是需投入大量的资金和人力,关键是要根据网络环境和技术的发展,从学校实际情况出发,综合考虑现有软硬件情况、服务需求和安全风险等方面,不断调整解决策略,寻求最佳的管理和技术的组合,循序渐进,逐步完善。

参考文献

[1] 刘善文,郑海新,刘建宏,等.网络安全立体防护体系的构建[J].计算机安全,2009,10.