賀衛(wèi)紅　詹瑾瑜

摘 要:隨著教學、科研、管理和對外交流對網絡和數據支持的依賴逐步加強,校園網網絡信息安全和保密是一個至關重要的問題。網絡的安全措施應能全方位地針對各種不同的威脅,確保網絡信息的保密性、完整性和可用性。本文在分析校園網安全因素和我院校園網特點的基礎上,提出了校園網信息安全及防范策略的解決方案,提高了校園網的整體安全性能,取得了一定的成果。

關鍵詞:校園網 網絡安全 解決方案

中圖分類號:TP309.2 文獻標識碼:A 文章編號:1673-8454(2009)19-0024-03

信息化建設是我院的一項核心工作,升本以來,為進一步提高學院信息化建設與教學水平,學院投入1200萬元建設校園網絡,搭建信息化教學平臺,開發(fā)信息資源,校園網已經成為我院數字化高校的重要基礎組成部分,承擔著為學校教學、科研以及管理等服務的角色。然而由于管理制度體系的不完善;校園網設計中存在的問題;惡意軟件、病毒在校園網中傳播;黑客攻擊等因素造成校園網網速變慢、信息丟失以及網絡癱瘓等嚴重后果,對校園網安全構成巨大威脅。我院是一所新的本科學院,其校園網建設具有分散、開放、復雜、規(guī)模大、應用廣泛、兼顧過去基礎和未來發(fā)展的特點,因此,建立一套保證網絡安全、穩(wěn)定、高效運行的安全策略,是校園網建設及應用過程中必須解決的一個現實問題。

一、校園網安全因素分析

隨著Internet技術的迅速發(fā)展,數字化校園得到了蓬勃的發(fā)展,校園網作為數字化校園的重要基礎,擔當著學校教學、科研、管理和對外交流等重要任務。然而由于各種因素的影響,校園網并不安全。在使用的過程中,因為這樣或那樣的原因,造成網絡變慢、信息丟失乃至網絡癱瘓的嚴重后果,極大地影響了校園網作用的發(fā)揮。

當前威脅校園網安全的因素有來自于校園網外部或內部的因素,也有是物理因素、技術因素和管理因素等等。

1.校園網內外部因素

校園網一般與Internet相連,在享受Internet快捷方便的同時,也面臨著遭遇攻擊的風險。校園網一般會重點考慮對外服務器的安全性,但校園網內部也存在很大的安全隱患,對內服務器則是暴露在內部交換機上,隨時可能受到來自內部用戶的掃描、窺探和攻擊。特別是校園網的大部分用戶是學生,很多學生(特別是理工科學生)的計算機水平非常高,再加上Intenet的普及,使一些黑客程序可以很容易在網上獲得。這個具有很高知識水平,朝氣蓬勃的用戶群體,具有旺盛的精力、強烈的好奇心和實踐知識欲望。在實現自我價值的刺激下,他們有足夠的理由對抗校園網的運行。他們所引發(fā)的安全隱患比來自校園網外部的各種不安全因素往往破壞力更大、影響更廣、威脅更大。

另外一方面,由于校園網絡的開放性以及技術的公開性,每天都會有一些人出于好奇心,蓄意破壞和為了使自己獲得某種非法利益等目的,利用網絡協議、服務器和操作系統的安全漏洞以及管理上的疏漏非法訪問資源、刪改數據、破壞系統。而校園網中,很多行政和教學單元的電腦中存有涉及機密的文件,比如試卷、學生成績等。在拒絕服務(DOS)攻擊在Internet上活動猖獗的時候,大部分攻擊都是利用主機在管理上的松懈來達到攻擊的目的,同時也隱藏了自己。這些行為給校園網的安全運行造成了嚴重的威脅,同時也損害了高校的聲譽。

2.物理因素

電源、通信等設備的物理安全,也是引起校園網安全的一個重要因素,如交換機、通信光纖、供電設備、電話線、局域網、遠程網等遭到破壞引起校園網絡的癱瘓。這一點在很多大學新建校區(qū)或對老校區(qū)進行維修改造時經常遇到,例如許多大學在基本建設中或進行校園綠化時通信光纜、電纜可能隨時遭到破壞,防雷措施不到位,一個雷擊就可能造成整個校園網的癱瘓等等。

3.技術因素

受制于當前網絡通信技術的限制,網絡通信的帶寬和速度并沒有達到人們理想的狀態(tài),往往可能出現因為傳輸距離遠、傳輸信息量不堪重負導致網絡癱瘓的情況也時有發(fā)生。比如在視頻會議、視頻點播、軟件下載(常見的是類似于BT下載)等應用時會造成帶寬被大量占用,從而影響大多數正常校園網用戶的網速,嚴重時會造成網絡癱瘓。另外,計算機系統本身存在的漏洞、病毒的威脅、黑客的入侵、人為因素進行的破壞等安全隱患都嚴重地干擾和破壞了學校的管理秩序。

4.管理因素

嚴格的管理是校園網安全的重要措施。雖然各個學校都相應地出臺了一些關于網絡使用的規(guī)章制度,但對網絡的管理思想麻痹,對網絡安全保護不夠重視,在人力、財力、物力投入不夠,缺乏完善的網絡安全管理制度,并且在執(zhí)行安全管理制度的時候往往并不到位。

二、我院校園網的特點分析

我院的網絡建設主要是對于原校園網絡進行改造,改善原有校園網的帶寬小、性能低的現狀,在改建過程中,充分考慮到學校內部的校園網多業(yè)務以及特色業(yè)務等擴展性,涉及基礎網絡設施的建設和業(yè)務應用平臺建設兩個不同的層面,具有以下主要特點。

1.多出口的需求

典型的組網有中國教育和科研計算機網(CERNET)出口和運營商網絡出口。多出口帶來了以下兩個需求:首先是多權限ISP需求,用戶可通過不同的賬號名或采用相同的賬號,不同的域名認證,獲得不同的上網權限。譬如做到用戶不認證前能自由訪問校園內部分服務器,采用“user@163”登錄,可實現Internet和校園網絡自由訪問,采用“user@crenet”登錄,可訪問CERNET和校園網。其次,考慮到用戶的需求,需要在學校的內部提供不同的路由策略,即用戶訪問教育網的相關站點,通過CERNET的線路,而訪問其他如新浪、網易等站點則選擇運營商的線路作為出口路由,這要求核心的交換機或出口路由器能夠提供策略路由以支持該特性。

2.良好的可管理性

首先要解決好用戶管理的Web認證需求,能實現進行身份認證、多ISP選擇、用戶費率查詢、帶寬動態(tài)調整等功能;其次,需要解決賬號和端口綁定問題,限制賬號的使用區(qū)域,實現全網的安全管理;最后,具有對用戶的上網行為實現實時的跟蹤與追查,并對用戶帶寬進行控制的功能。

3.多種教學方式并行的需求

隨著校園網的發(fā)展,依托于校園網絡給學生提供多種的特色教學模式,通過校園網為學生提供全方面的教學資料,建立VOD視頻服務平臺,實現VOD點播業(yè)務等功能。

三、我院校園網絡信息安全及防范策略解決方案

1.采用的技術路線和實施方案

通過分析有可能造成校園網安全問題的各種因素,并且研究利用目前已經成熟的、先進的解決方法建立一個較為完善的、先進的、合理的安全策略體系,從而保障校園網安全、健康的運行,安全策略體系如圖1所示。

(1)利用工程的思想。把本網絡的安全策略體系建立當做一個相對獨立的系統工程來做,并且在建立過程中始終以系統工程的思想作為指導。

(2)采用內部控制的責任分離機制。在整個策略體系的實現過程中,始終以責任分離為又一指導思想。首先是將各種策略責任分離到不同的模塊:技術和非技術,再將其分離到各種不同的層次上;其次是將策略的實施由各個不同的人來承擔,做到各負其責。

(3)借鑒類似網絡ISO/OSI模型原理。在安全策略體系的建立過程中,將涉及安全技術的方方面面歸結到物理系統層、操作系統層、數據庫系統層、應用系統層、網絡系統層這五個層次中解決。

(4)重視影響安全的非技術因素的解決。根據對網絡安全問題產生原因的分析,當今網絡安全問題有98%是因為人們的安全意識、管理保障、故障響應機制不完善和不充分造成的,因此在本安全策略體系的建立過程中,將以上非技術因素單獨拿出來作為一個模塊來處理。

(5)安全策略技術的使用以先進性、成熟性、易用性、可擴展性、合理性為原則。比如在解決內外網絡安全問題時,就采用成熟的代理服務器技術,是內網的服務只能被外網有限訪問,從而解決相關安全隱患;在解決核心網絡安全問題時,就采用較先進的多元綁定技術;在解決網絡廣播風暴等安全問題時,采用建立多個邏輯子網,使用的技術是易擴展的VLAN。

2.校園網絡信息安全研究的方法

(1)重視系統分析

以系統科學的思想為指導來分析影響校園網絡安全的各種問題因素,并研究影響因素間的內在聯系,確定其相互之間的重要度,探討其量化和規(guī)范化的方法,將國外先進國家的研究成果與我院網絡實際相結合,建立解決問題的方法體系。

(2)重視調查研究

校園網建設是一個龐大而復雜的工程,要保證工程能順利實施并發(fā)揮作用,必須將成果建立在客觀基礎上才可以發(fā)揮其作用,閉門造車只能使工程成為擺設,在校園網建設過程中應重視調查研究。從國內外成功和失敗的案例中,發(fā)現問題、分析問題,歸納和總結出可以為工程建設借鑒的經驗和教訓。

(3)引入系統工程的思想來研究

從宏觀的層次來看,我們可以把研究涉及的安全策略建立看作是一個系統工程,而且用工程的觀念來對問題進行研究,有助于研究的全面、透徹。使最終建立的安全策略體系,能夠盡可能地解決誘發(fā)網絡安全的因素。

四、我院校園網信息安全及防范所取得的成果

我院現代教育技術中心以科學發(fā)展觀為指導,結合我院的實際情況,成立了校園網建設項目組,并建立起可以實際應用的安全策略體系,保障校園網的安全、健康運行?，F在我院校園網絡建設第一期已完成并安全運行近兩年,在此網絡平臺上我們開發(fā)和引進了教學管理、學生學籍管理、教職工人事管理、精品課程平臺等系統,并全都能安全高效運行。在網絡上建設精品課程二十余門,獲教學成果獎多項,建成省級示范實驗室一個,為學院的信息化建設做出了巨大貢獻。

參考文獻:

[1]趙婧如,王宣政.互聯網安全與計算機系統安全標準研究[J].信息安全,2006(9).

[2]孔凡士.高校校園網絡安全管理策略[J].信陽師范學院學報,2006(6).

[3]李荷華.計算機網絡安全策略與技術的研究[J].陜西師范大學學報(自然科學版),2003(3).

[4]肖雪.計算機網絡安全的研究[J].科技創(chuàng)新導報,2008(8)

[5]胡勤鑫.計算機網絡安全問題研究[J].信息科技,2006(5).

[6]劉晟.淺析高校校園網安全所面臨的威脅及對策[J].電腦知識與技術,2005(9).

[7]王明安,丘文.基于校園網的網絡安全對策[J].河北理工學院學報,2006(11).

(編輯:于黎明)