鄒麗英

（浙江工業(yè)大學之江學院，浙江 杭州310024）

高校網(wǎng)絡(luò)安全體系的設(shè)計與策略分析

鄒麗英

（浙江工業(yè)大學之江學院，浙江 杭州310024）

本文根據(jù)對校園網(wǎng)絡(luò)的安全分析，提出了在校園網(wǎng)絡(luò)規(guī)劃時應(yīng)考慮的技術(shù)安全措施，通過對這些技術(shù)措施的分析，對如何選用這些技術(shù)提出了建議。文章還從技術(shù)角度提出了在日常的管理和維護中應(yīng)采取的網(wǎng)絡(luò)安全措施。

網(wǎng)絡(luò)安全；校園網(wǎng)；策略

校園網(wǎng)絡(luò)作為學校重要的基礎(chǔ)設(shè)施，在學校教學、科研、管理和對外交流等活動中擔當著重要角色。校園網(wǎng)安全狀況直接影響著學校的各項活動。隨著校園網(wǎng)上各種數(shù)據(jù)急劇增加，如何保護系統(tǒng)不被非法訪問就顯得越來越重要，因此校園網(wǎng)應(yīng)采用先進的安全訪問控制技術(shù)，構(gòu)造有效的網(wǎng)絡(luò)安全體系。由于網(wǎng)絡(luò)技術(shù)的復雜性，要想根本解決網(wǎng)絡(luò)安全問題幾乎是不可能的，我們不僅要在網(wǎng)絡(luò)的規(guī)劃中將安全問題列入設(shè)計方案，而且要在管理和維護中將網(wǎng)絡(luò)安全措施落到實處，這樣才能夠最大限度保障校園網(wǎng)絡(luò)安全。

一、威脅網(wǎng)絡(luò)安全的表現(xiàn)

1．不良信息的傳播

在校園網(wǎng)接入互聯(lián)網(wǎng)后，師生都可以通過校園網(wǎng)絡(luò)進入互聯(lián)網(wǎng)。目前互聯(lián)網(wǎng)上各種信息良莠不齊，有關(guān)色情、暴力、邪教的內(nèi)容泛濫。這些有毒的信息違反人類的道德標準和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學生來說，危害非常大。如果安全措施不到位，不僅會有部分學生進入這些網(wǎng)站，還會把這些信息在校園內(nèi)傳播。

2．病毒的危害

通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性還是在傳播范圍等方面都是單機病毒所不能比擬的。特別是學校接入廣域網(wǎng)后，為病毒進入學校大開方便之門，下載的程序和電子郵件都可能帶有病毒。

3．非法訪問

學校涉及的機密不是很多，來自外部的非法訪問要少一些，關(guān)鍵是內(nèi)部的非法訪問。一些學生可能會通過非正常的手段獲得習題的答案，使正常的教學練習失去意義。更有甚者，有的學生可能在考前獲得考試內(nèi)容，嚴重地破壞了學校的管理秩序。

4．惡意破壞

包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機、集線器、路由器、通信媒體、工作站等，它們分布在整個校園內(nèi)，管理起來非常困難，某些人員可能出于各種目的，有意或無意地將它們損壞，這樣會造成校園網(wǎng)絡(luò)全部或部分癱瘓。

網(wǎng)絡(luò)系統(tǒng)的破壞是指利用黑客技術(shù)對校園網(wǎng)絡(luò)系統(tǒng)進行破壞。表現(xiàn)在以下幾個方面：對學校網(wǎng)站的主頁面進行修改，破壞學校的形象；向服務(wù)器發(fā)送大量信息使整個網(wǎng)絡(luò)陷于癱瘓；利用學校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息等。

5．口令入侵

為管理和計費的方便，一般來說，學校為每個上網(wǎng)的老師和學生分配一個賬號和密碼，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。然而某些人員為了訪問不屬于自己應(yīng)該訪問的內(nèi)容或?qū)⑸暇W(wǎng)的費用轉(zhuǎn)嫁給他人，用不正常的手段竊取別人的口令，造成管理的混亂。

二、網(wǎng)絡(luò)安全技術(shù)

目前，網(wǎng)絡(luò)安全技術(shù)主要包括殺毒軟件、防火墻技術(shù)、加密技術(shù)、身份驗證、存取控制、數(shù)據(jù)的完整性控制和安全協(xié)議等內(nèi)容。針對校園網(wǎng)來說，筆者認為主要應(yīng)該采取以下一些技術(shù)措施：

1．內(nèi)容過濾器和防火墻

過濾器技術(shù)可以屏蔽不良的網(wǎng)站，對網(wǎng)上色情、暴力和邪教等內(nèi)容有強大的堵截功能。

防火墻技術(shù)包含了動態(tài)的封包過濾、應(yīng)用代理服務(wù)、用戶認證、網(wǎng)絡(luò)地址轉(zhuǎn)換、IP防假冒、預(yù)警模塊、日志及計費分析等功能，可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來，保護校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

2．VLAN 技術(shù)

采用交換式局域網(wǎng)技術(shù)（ATM或以太交換）的校園網(wǎng)絡(luò)，可以運用VLAN技術(shù)來加強內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，各網(wǎng)段相互之間無法直接通信。邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層上進行分段。例如，對于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機制來控制各子網(wǎng)間的訪問。在實際應(yīng)用過程中，通常采取物理分段與邏輯分段相結(jié)合的方法。

3．殺毒軟件

選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。它應(yīng)具有以下一些特征：第一，能夠支持所有的主流平臺，并實現(xiàn)軟件安裝、升級、配置的中央管理；第二，要能保護校園網(wǎng)所有可能的病毒入口，也就是說要支持所有可能用到的Internet協(xié)議及郵件系統(tǒng)，能適應(yīng)并且及時跟上瞬息萬變的Internet時代步伐；第三，具有較強的防護功能，可以對數(shù)據(jù)、程序提供有效的保護。

布置安全措施后的校園網(wǎng)絡(luò)拓撲結(jié)婚如圖所示：

三、網(wǎng)絡(luò)安全的管理

以上主要談了在網(wǎng)絡(luò)規(guī)劃時從技術(shù)上保證網(wǎng)絡(luò)安全的主要措施,然而僅僅采取技術(shù)措施是不夠的，網(wǎng)絡(luò)管理也非常重要。除了建立起一套嚴格的安全管理規(guī)章制度外，學校還必須培養(yǎng)一支具有安全管理意識的網(wǎng)管隊伍。網(wǎng)絡(luò)管理人員對所有用戶設(shè)置資源使用權(quán)限與口令，對用戶名和口令進行加密存儲、傳輸，提供完整的用戶使用記錄和分析等方式，有效地保證系統(tǒng)的安全。網(wǎng)管人員要定時對校園網(wǎng)系統(tǒng)的安全狀況做出評估和審核，關(guān)注網(wǎng)絡(luò)安全動態(tài)，調(diào)整相關(guān)安全設(shè)置，進行入侵防范，發(fā)出安全公告，緊急修復系統(tǒng)等。不僅如此，網(wǎng)絡(luò)管理人員更應(yīng)該從技術(shù)角度采取相應(yīng)措施保障網(wǎng)絡(luò)的安全。

網(wǎng)上大部分的攻擊是針對網(wǎng)絡(luò)上的服務(wù)器系統(tǒng),其中包括電子郵件、匿名 FTP、WWW、DNS、News等服務(wù)系統(tǒng)。 這些系統(tǒng)大都是運行在UNIX系統(tǒng)上的，系統(tǒng)之所以易受攻擊，有各方面的因素。首先，這些系統(tǒng)知名度高，容易引起注意，其次，系統(tǒng)本身存在漏洞。我們一方面可采用一些防衛(wèi)性措施；另一方面，網(wǎng)絡(luò)系統(tǒng)管理員可以應(yīng)用一些工具，來查找系統(tǒng)安全漏洞，或從網(wǎng)上截獲報文進行分析。

1．安裝系統(tǒng)補丁程序

任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責任及時將補丁打上。

2．采用最新版本的服務(wù)方軟件

和操作系統(tǒng)一樣，在服務(wù)器上運行的服務(wù)方軟件也需要不斷更新，而且新版本的軟件往往提供了更多更好的功能來保證服務(wù)器更有效更安全的運行。為了將安全漏洞降低到最小,系統(tǒng)管理員必須及時更新服務(wù)方軟件。這些版本更新得非?？欤蠹铱梢愿櫵麄兊恼侥夸泚慝@得最新軟件。

3．口令安全

口令可以說是系統(tǒng)的第一道防線，目前網(wǎng)上大部分對系統(tǒng)的攻擊都是從截獲或猜測口令開始的，一旦黑客進入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒有作用。所以對口令進行安全地管理可以說是系統(tǒng)管理員的重要職責。

4．文件目錄權(quán)限

一旦有黑客進入你的系統(tǒng)，他就可以通過這些程序獲得超級用戶權(quán)限。目前Internet上有不少工具軟件可幫助你來檢查權(quán)限。

5．定期對服務(wù)器進行備份

為了防止不能預(yù)料的系統(tǒng)故障,或用戶不小心的非法操作,必須對系統(tǒng)進行安全備份。除了對全系統(tǒng)進行每月一次的備份外,還應(yīng)對修改過的數(shù)據(jù)進行每周一次的備份。同時應(yīng)該將修改過的重要的系統(tǒng)文件存放在不同的服務(wù)器上,以便在系統(tǒng)萬一崩潰（通常是硬盤出錯）時，可以及時地將系統(tǒng)恢復到最佳狀態(tài)。

6．設(shè)置系統(tǒng)日志

通過運行系統(tǒng)日志程序，系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形，包括最近登錄時間，輸入過的每一條命令，磁盤空間和CPU占用情況。日志程序會定期生成報表，通過對報表進行分析，你可以知道是否有異?，F(xiàn)象。 比如，如果你發(fā)現(xiàn)有某一賬號總是在半夜登錄，就要警惕了，也許該賬號已被盜用；如果某一系統(tǒng)賬號，像uucp有人登錄或占用大量的CPU或磁盤，也要引起注意。運行系統(tǒng)日志的主要缺點是要占用大量的磁盤空間。

四、用戶教育

除了對用戶進行有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和規(guī)章制度的宣傳教育外，還必須讓用戶知道如何使用密碼、管理文件、收發(fā)郵件和正確地運行應(yīng)用程序。對于非法訪問和黑客攻擊事件，一旦發(fā)現(xiàn)要嚴肅處理。

綜上所述，校園網(wǎng)的安全問題是保證校園網(wǎng)絡(luò)穩(wěn)定運行的關(guān)鍵因素，在規(guī)劃設(shè)計階段就要將安全措施作為一項重要內(nèi)容進行規(guī)劃設(shè)計，不但從技術(shù)措施上想辦法，而且要從管理上定制度，只有這樣，才能確保校園網(wǎng)的正常運行，享受到校園信息化給我們帶來的便利。

[1]譚青,李勇．淺晰防火墻與網(wǎng)絡(luò)安全技術(shù)[J].新疆職業(yè)大學學報,2004,12(4)：78-79.

[2]譚躍生，黑建新.利用Web Services技術(shù)集成校園網(wǎng)應(yīng)用[J].電子科技大學學報(社科版),2002,4(1):5-7.

[3]夏齡,周德榮,舒濤．校園網(wǎng)絡(luò)的安全及對策[J].中國電化教育,2004(10)：85-87.

[4]方東權(quán),楊巋．校園網(wǎng)網(wǎng)絡(luò)安全與管理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2005(3):51-52.

[5]趙戈,錢德沛,范暉.用分布式防火墻構(gòu)造網(wǎng)絡(luò)安全體系[J].計算機應(yīng)用研究.2004(2):106-107.

（編輯：隗爽）

TP393.08

A

1673-8454（2010）23-0037-03