黎 明

(肇慶科技職業(yè)技術(shù)學(xué)院信息工程系，廣東肇慶 526020)

0 引 言

為進(jìn)一步貫徹落實(shí)國(guó)家和省市關(guān)于“以教育信息化，促進(jìn)教育現(xiàn)代化”的戰(zhàn)略指導(dǎo)思想，全面促進(jìn)職業(yè)教育的全面改革和提高整體辦學(xué)水平。在教育信息化已成為當(dāng)代學(xué)校發(fā)展主流的今天，構(gòu)建一個(gè)信息化校園對(duì)于院校的可持續(xù)性發(fā)展具有重要意義。而校園網(wǎng)作為重要的數(shù)字化信息傳輸載體和思想政治教育的重要平臺(tái)，在學(xué)校數(shù)字信息化建設(shè)中起著決定性的地位。伴隨著互聯(lián)網(wǎng)的日益普及和網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)信息資源的安全受到越來越多的關(guān)注。而校園網(wǎng)作為網(wǎng)絡(luò)技術(shù)應(yīng)用于教育事業(yè)的一種體現(xiàn)，也面臨諸多的安全性問題[1]。職業(yè)教育在我國(guó)的起步比較晚，導(dǎo)致大部分職業(yè)院校的校園信息化建設(shè)仍處于比較低的階段。盡管隨著近幾年職業(yè)教育的高速發(fā)展，職業(yè)院校也紛紛加大了對(duì)校園網(wǎng)建設(shè)的投入，但是一個(gè)完善的校園網(wǎng)整體安全防范體系的建立并非一日之功。而最近發(fā)展過快導(dǎo)致的安全事件頻發(fā)，使職業(yè)院校校園網(wǎng)安全問題也再次顯現(xiàn)出重要性。

1 校園網(wǎng)現(xiàn)狀分析及隱患

1.1 網(wǎng)絡(luò)用戶規(guī)模大而密集

由于職業(yè)院校的特殊性，學(xué)生基本上都集中居住在校園內(nèi)，導(dǎo)致學(xué)校用戶群密集化，一旦遭遇感染性強(qiáng)的蠕蟲病毒或目前常見的ARP攻擊，就會(huì)造成大面積的用戶癱瘓，從而嚴(yán)重影響校園網(wǎng)絡(luò)的正常使用。

1.2 系統(tǒng)管理復(fù)雜

接入校園網(wǎng)的計(jì)算機(jī)絕大多數(shù)是學(xué)生或老師自主購(gòu)買的，種類和系統(tǒng)繁雜，與此同時(shí)，各種系統(tǒng)、軟件的漏洞頻出，更是增大了出現(xiàn)安全問題的頻率[2]。

1.3 活躍的內(nèi)部群體

學(xué)生是最活躍的網(wǎng)絡(luò)群體，學(xué)生對(duì)黑客技術(shù)往往充滿了好奇，這就導(dǎo)致來自校園網(wǎng)內(nèi)部的攻擊逐年遞增。同時(shí)，隨著校園網(wǎng)用戶不斷增加，并且隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，F(xiàn)TP、論壇、在線劇場(chǎng)以及流行的P2P的應(yīng)用都在嚴(yán)重消耗網(wǎng)絡(luò)帶寬，造成網(wǎng)速和帶寬效率下降，從而使正常業(yè)務(wù)的通訊得不到保障。

1.4 網(wǎng)絡(luò)環(huán)境開放，安全管理不足

目前，大部分職業(yè)院校的校園網(wǎng)都處于半開放狀態(tài)，缺乏有效的預(yù)警和防范措施。而且由于校園網(wǎng)直接與互聯(lián)網(wǎng)相連，在擁有海量資訊的同時(shí)也存在大量的色情、反動(dòng)等信息。這些負(fù)面的信息對(duì)世界觀和人生觀正在形成的職業(yè)院校學(xué)生來說，具有很大的危害性。與此同時(shí)，因?yàn)楣芾淼牟蛔銓?dǎo)致學(xué)校系統(tǒng)掛馬、篡改，遭遇DDoS攻擊癱瘓，個(gè)人信息被竊取的事件時(shí)有發(fā)生，嚴(yán)重的甚至擾亂了校園正常次序。

以上種種，同時(shí)也是大部分職業(yè)院校所正在面臨的困境。由此可見，重建一套完善的校園網(wǎng)整體安全防范體系，對(duì)校園網(wǎng)內(nèi)部進(jìn)行有效的安全與管理便顯得尤其重要。

2 安全策略的制定與安全體系的構(gòu)建

2.1 安全策略的制定

要解決校園網(wǎng)的安全威脅，必須從多方面著手，由于校園網(wǎng)內(nèi)部系統(tǒng)和應(yīng)用環(huán)境的復(fù)雜性，數(shù)據(jù)中心建立時(shí)，需按職業(yè)學(xué)院目前網(wǎng)絡(luò)安全的現(xiàn)狀和特點(diǎn)制定符合實(shí)際的安全策略。并以此為依據(jù)進(jìn)行校園網(wǎng)絡(luò)安全體系的構(gòu)建，并對(duì)各種安全設(shè)備進(jìn)行合理的配置，從而達(dá)到校園網(wǎng)安全體系的平衡[8]。

2.2 校園網(wǎng)網(wǎng)絡(luò)體系的構(gòu)建

根據(jù)前期制定的安全策略對(duì)校園網(wǎng)網(wǎng)絡(luò)進(jìn)行了重新規(guī)劃，形成一個(gè)基本完善的的網(wǎng)絡(luò)安全體系，如圖1所示。

圖1 校園網(wǎng)安全體系拓補(bǔ)圖

首先，在校園網(wǎng)入口處架設(shè)企業(yè)級(jí)智能防火墻，并實(shí)現(xiàn)VPN的功能。同時(shí)利用DMZ防火墻方案設(shè)置非軍事化區(qū)(DMZ區(qū))，并對(duì)內(nèi)、外網(wǎng)的訪問定制專門訪問控制策略。利用核心交換機(jī)按學(xué)校職能進(jìn)行VLAN劃分，在一定程度上起到了網(wǎng)絡(luò)隔離的作用，V LAN的劃分與實(shí)現(xiàn)有效地抑制網(wǎng)絡(luò)上的廣播風(fēng)暴，同時(shí)也能有效控制用戶之間的通訊，起到隔離和保密的作用。在中間添加入侵監(jiān)測(cè)系統(tǒng)和認(rèn)證服務(wù)器對(duì)中心內(nèi)的所有數(shù)據(jù)流進(jìn)行實(shí)時(shí)監(jiān)測(cè)，對(duì)所有的數(shù)據(jù)訪問進(jìn)行統(tǒng)一的認(rèn)證。架設(shè)網(wǎng)絡(luò)控毒中心，為數(shù)據(jù)中心和辦公網(wǎng)絡(luò)提供有效的病毒防護(hù)。使用多級(jí)防火墻進(jìn)一步保護(hù)應(yīng)用服務(wù)器群和數(shù)據(jù)庫(kù)服務(wù)器群。利用日志及審計(jì)服務(wù)器對(duì)網(wǎng)絡(luò)上的訪問進(jìn)行全面記錄和審計(jì)，作為遇到突發(fā)事件時(shí)取證的依據(jù)。

2.3 網(wǎng)絡(luò)安全設(shè)備的配備

根據(jù)職業(yè)院校網(wǎng)絡(luò)的構(gòu)架特點(diǎn)及所面臨的各種問題，我們將通過一系列的安全方案，實(shí)現(xiàn)校園網(wǎng)絡(luò)的各種安全需求。

2.3.1 智能防火墻的部署

在內(nèi)外網(wǎng)之間部署企業(yè)級(jí)智能防火墻，把一些公用的服務(wù)器設(shè)施，如網(wǎng)頁(yè)、郵件、域名等服務(wù)器設(shè)置在防火墻的DMZ區(qū)。在有效地保護(hù)了內(nèi)網(wǎng)資源不被非法訪問或破壞的同時(shí)，能夠?qū)Πl(fā)生的安全事件進(jìn)行有效跟蹤和審查。

2.3.2 入侵檢測(cè)系統(tǒng)(IDS)與入侵防御系統(tǒng)(IPS)的部署

部署IDS的核心價(jià)值在于通過對(duì)全網(wǎng)信息的分析，讓管理員了解信息系統(tǒng)的各種安全狀況，進(jìn)而指導(dǎo)其對(duì)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的設(shè)置和調(diào)整。同時(shí)，通過IPS系統(tǒng)的部署深度感知并檢測(cè)流經(jīng)的數(shù)據(jù)流量，通過高效信息分析過濾功能，利用各種安全策略的實(shí)施——對(duì)惡意黑客行為進(jìn)行阻擊和隔斷，保護(hù)網(wǎng)絡(luò)帶寬資源的安全性。

2.3.3 網(wǎng)絡(luò)版殺毒軟件的部署

網(wǎng)絡(luò)防病毒產(chǎn)品的最主要特性之一就是能通過控管中心遠(yuǎn)程實(shí)現(xiàn)防病毒節(jié)點(diǎn)的部署和管理。管理員借助SAM T以及殺毒軟件的移動(dòng)控制中心，可以在任意時(shí)間、任意地點(diǎn)實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)絡(luò)的24 h無縫隙安全管理，有效地管理和保護(hù)所有的病毒入口。在大大減少管理員工作量的同時(shí)，更有效地確保網(wǎng)內(nèi)用戶信息的安全。

2.3.4 行為管理系統(tǒng)的部署

上網(wǎng)行為管理系統(tǒng)如圖2所示。

圖2 上網(wǎng)行為管理系統(tǒng)

針對(duì)1.3和1.4校園網(wǎng)隱患中的問題，對(duì)宿舍區(qū)和辦公區(qū)部署“上網(wǎng)行為管理系統(tǒng)”，在核心交換機(jī)配置端口鏡像功能，鏡像數(shù)據(jù)源端口為連接互聯(lián)網(wǎng)路由器端口，鏡像數(shù)據(jù)目的端口則連接“上網(wǎng)行為管理系統(tǒng)”監(jiān)聽網(wǎng)卡端口，對(duì)校園用戶連接網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行全面分析，并實(shí)時(shí)記錄互聯(lián)網(wǎng)行為日志，全面細(xì)致地幫助用戶實(shí)現(xiàn)上網(wǎng)行為管理、內(nèi)容安全管理、帶寬分配管理、網(wǎng)絡(luò)應(yīng)用管理、外發(fā)信息管理，有效解決互聯(lián)網(wǎng)帶來的管理、安全、效率、資源、法律等各種問題，實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)用戶互聯(lián)網(wǎng)行為的監(jiān)控與管理。

3 校園網(wǎng)內(nèi)部安全管理與維護(hù)

由于校園網(wǎng)本身結(jié)構(gòu)和環(huán)境的復(fù)雜性以及硬件本身的局限性，根據(jù)校園網(wǎng)方案搭建而成的校園網(wǎng)絡(luò)投入運(yùn)行之后，仍然面臨著各式各樣的安全問題。比如安全設(shè)備的硬件老化、各種線路的損壞、各種層出不窮的黑客攻擊等。這時(shí)候就需要組建一個(gè)高效的校園網(wǎng)管理和維護(hù)團(tuán)隊(duì)來進(jìn)行專業(yè)維護(hù)，而維護(hù)團(tuán)隊(duì)的工作主要有以下幾項(xiàng)。

3.1 硬件設(shè)備的維護(hù)與性能優(yōu)化

設(shè)備故障是校園網(wǎng)中的最常見問題。當(dāng)網(wǎng)絡(luò)中某個(gè)組成失效時(shí)，網(wǎng)管人員必須迅速查找到故障并及時(shí)排除，以保證網(wǎng)絡(luò)的正常運(yùn)行，這是校園網(wǎng)安全的最基本保障。同時(shí)，在保證設(shè)備日常正常運(yùn)行之外，還必須定期對(duì)各種網(wǎng)絡(luò)設(shè)備進(jìn)行有效地維護(hù)和系統(tǒng)優(yōu)化，以確保其性能的高效和穩(wěn)定，這是維護(hù)校園網(wǎng)安全的必須任務(wù)。

3.2 對(duì)防火墻安全策略的合理定制

面對(duì)不斷進(jìn)步的黑客技術(shù)，光靠原有的防火墻安全策略是不夠的，這就要管理人員根據(jù)實(shí)際情況進(jìn)行不斷更新和完善。比如定期利用各種端口掃描、測(cè)試防火墻的安全性、及時(shí)發(fā)現(xiàn)通常應(yīng)當(dāng)禁止的任何服務(wù)或系統(tǒng)響應(yīng)(如ICMP、路由協(xié)議和開放管理端口的響應(yīng))。對(duì)與防火墻相連的所有網(wǎng)段的每個(gè)主機(jī)(包括防火墻)進(jìn)行掃描，并且把發(fā)現(xiàn)結(jié)果同基于策略的預(yù)期結(jié)果進(jìn)行對(duì)照。還要求維護(hù)人員可以根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問，以保證防火墻的有效性，從而達(dá)到網(wǎng)絡(luò)的長(zhǎng)期安全。

3.3 身份認(rèn)證系統(tǒng)

建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)，身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)。對(duì)于每一個(gè)需要訪問網(wǎng)絡(luò)的用戶，都需要對(duì)其身份進(jìn)行驗(yàn)證，包括用戶的用戶名/密碼、用戶IP地址、MAC地址、端口號(hào)等。通過以上信息的綁定，避免了個(gè)人信息被盜用，防止非法用戶的非法接入，以及發(fā)生各種安全事故后的有效追蹤處理。

3.4 網(wǎng)絡(luò)安全日志和審查系統(tǒng)以及入侵檢測(cè)和防御系統(tǒng)

有效地利用已有的網(wǎng)絡(luò)安全日志和審查系統(tǒng)，建立詳細(xì)的用戶信息庫(kù)、主機(jī)登錄日志、交換機(jī)及路由器日志、服務(wù)器日志、內(nèi)部用戶非法活動(dòng)日志等。而通過IDS與IPS系統(tǒng)幫助系統(tǒng)有效地抵御來自網(wǎng)絡(luò)的攻擊，更加有效地監(jiān)視、審計(jì)、評(píng)估網(wǎng)絡(luò)系統(tǒng)。

3.5 定時(shí)進(jìn)行重要數(shù)據(jù)的備份

隨著校園網(wǎng)絡(luò)的不斷發(fā)展，校園網(wǎng)訪問信息量、存儲(chǔ)需求高速增長(zhǎng)，而網(wǎng)絡(luò)數(shù)據(jù)安全性也愈發(fā)重要。所以，管理團(tuán)隊(duì)必須做到定時(shí)對(duì)重要數(shù)據(jù)進(jìn)行安全備份。一套安全、穩(wěn)定、可靠的數(shù)據(jù)備份與恢復(fù)系統(tǒng)都經(jīng)常能起著決定性的作用。同時(shí)，良好的數(shù)據(jù)備份機(jī)制也是保障校園網(wǎng)穩(wěn)定安全運(yùn)行的必要條件。

4 結(jié) 語(yǔ)

校園網(wǎng)安全是一個(gè)復(fù)雜的綜合性系統(tǒng)工程，一套完善的校園網(wǎng)整體安全防范體系的建立必須結(jié)合軟硬件防護(hù)、網(wǎng)絡(luò)管理、維護(hù)等多方面的安全措施。只有這樣建立起來的校園網(wǎng)安全防范體系，才能經(jīng)受越來越嚴(yán)峻的校園安全形勢(shì)的考驗(yàn)，使其更安全、可靠、高效地為廣大師生服務(wù)。

[1] 彭文勝，毛叔平.校園信息化規(guī)劃、管理及案例[M].上海:復(fù)旦大學(xué)出版社，2002.

[2] 向勇，柯和平.教育信息技術(shù)實(shí)用教程[M].廣州:廣東高教出版社，2003.

[3] 張志華.高校校園網(wǎng)的安全策略及其實(shí)現(xiàn)[J].肇慶學(xué)院學(xué)報(bào)，2006(4):26-28.

[4] 萬嵩.校園網(wǎng)總體架構(gòu)及其安全系統(tǒng)的研究與設(shè)計(jì)[D]:[碩士學(xué)位論文].南昌:南昌大學(xué)，2009.

[5] 吳海燕，戚麗.校園數(shù)據(jù)中心網(wǎng)絡(luò)安全防范體系研究[J].實(shí)驗(yàn)技術(shù)與管理，2004(3):91-95.

[6] 鐘建偉.基于防火墻與入侵檢測(cè)技術(shù)的網(wǎng)絡(luò)安全策略[J].武漢科技學(xué)院學(xué)報(bào)，2004(4):63-65.

[7] 張建標(biāo).校園網(wǎng)絡(luò)安全運(yùn)行架構(gòu)研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2007，20:4878-4879.

[8] 王繼成.大學(xué)校園網(wǎng)的網(wǎng)絡(luò)安全與防范策略[J].沈陽(yáng)農(nóng)業(yè)大學(xué)學(xué)報(bào):社會(huì)科學(xué)版，2007(9):727-729.