唐超

摘要：隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，校園網(wǎng)已經(jīng)成為高校的教學(xué)、科研的主要支撐，校園網(wǎng)安全狀況直接影響著高校的教學(xué)和科研活動?；诖髮W(xué)校園網(wǎng)絡(luò)安全進行調(diào)研和需求分析的基礎(chǔ)上，綜合性地描述了校園網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；可靠性；安全體系

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)18-4367-02

Analysis of the University Campus Network Security System

TANG Chao

(Guangzhou Vocational College of Science and Technology, Guangzhou 510550,China)

Abstract: With the rapid development of Internet technologies, university campus network has become the most important means to sup port university teaching, research and reform，but the security situation in the campus network directly affect teaching in schools，therefore，study the campus network security Construction of the system ,give a comprehensive description of the construction of the campus net work security system.

Key words: network security；reliability；security system

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，校園網(wǎng)不僅只提供上網(wǎng)服務(wù)，而且已經(jīng)成為教學(xué)和科研的主要輔助工具?，F(xiàn)在各大學(xué)正在推行的數(shù)字化校園建設(shè)。希望能夠根據(jù)本校實際情況，建設(shè)一個集性能和安全于一體的校園網(wǎng)。隨著網(wǎng)絡(luò)應(yīng)用的擴展，計算機安全問題也越來越多，例如病毒的泛濫、黑客的入侵，影響學(xué)生心智的不良信息等，成為校園網(wǎng)建設(shè)中不容回避的問題[1]。

1當前高校校園網(wǎng)在的特點

高等院校均已建設(shè)了自己的校園網(wǎng)，基本上按照核心層采用萬兆或千兆，匯聚層采用千兆，終端用戶百兆方式相連。但在整個校園網(wǎng)中缺乏對信息和設(shè)備安全保護的措施，再加上校園內(nèi)用戶非常集中，一旦出現(xiàn)信息安全事件將會快速擴散，直接影響學(xué)校教學(xué)和科研[2]。由于校園網(wǎng)作為學(xué)校教學(xué)和科研的平臺，所以校園網(wǎng)不可能部署較嚴的限制策略。高校的學(xué)生通常對網(wǎng)絡(luò)新技術(shù)非常好奇，并付諸行動，可能會有意無意對校園網(wǎng)形成威脅。學(xué)生喜歡從網(wǎng)上下載各種軟件進行嘗試，而下載的軟件中可能捆綁木馬、病毒程序，導(dǎo)致校園網(wǎng)被攻擊和入侵。影視資源在校園網(wǎng)傳播，侵占了校園網(wǎng)帶寬同時也帶來了安全的隱患。數(shù)字化校園的建設(shè)，學(xué)生成績管理、財務(wù)系統(tǒng)、辦公自動化系統(tǒng)等應(yīng)用，對網(wǎng)絡(luò)安全要求很高。

2校園網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)蠕蟲病毒的肆虐，可能會使校園網(wǎng)癱瘓，比如前幾年的沖擊波、震蕩波病毒。

協(xié)議安全漏洞，比如有同學(xué)利用地址解析協(xié)議（ARP）的漏洞進行中間人欺騙的攻擊。

軟件系統(tǒng)的漏洞，許多病毒就是利用軟件系統(tǒng)的漏洞來進行攻擊和傳播的。比如黑客常常使用緩沖區(qū)溢出漏洞進行攻擊[3]。

非授權(quán)訪問，有同學(xué)利用黑客技術(shù)竊取考試題庫，或非法修改考試成績，嚴重影響教學(xué)。

網(wǎng)絡(luò)監(jiān)聽，使用一些網(wǎng)絡(luò)監(jiān)聽工具，非法獲取他人賬號和密碼信息。

網(wǎng)絡(luò)系統(tǒng)設(shè)計缺陷，比如核心服務(wù)器、核心網(wǎng)絡(luò)設(shè)備的單點故障。

3校園網(wǎng)的安全設(shè)計

從網(wǎng)絡(luò)安全管理角度來看，網(wǎng)絡(luò)安全的目標則是要實現(xiàn)“4W”控制，即掌握什么人(Who)、在什么地點(where)、在什么時間( when)、正在干什么(what)。校園網(wǎng)的整體設(shè)計采用層次化的網(wǎng)絡(luò)結(jié)構(gòu)，即校園網(wǎng)由核心(Core)層、匯聚(Distribution)層和接入(Access)層構(gòu)成。這種設(shè)計利于當局部網(wǎng)絡(luò)變化時不影響整個網(wǎng)絡(luò)，同時也利于及時發(fā)現(xiàn)和隔離網(wǎng)絡(luò)故障。從校園網(wǎng)的安全管理上來看，校園網(wǎng)包括邊界安全模塊、核心安全模塊、接入安全模塊、網(wǎng)絡(luò)安全管理模塊、服務(wù)器安全模塊四部分。下面分別分析各安全模塊面臨的威脅和相應(yīng)的安全解決方案。

3.1邊界安全模塊

邊界網(wǎng)絡(luò)起到連接校園網(wǎng)和國際互連網(wǎng) （Internet）的橋梁作用，所面臨的安全威脅有黑客入侵、網(wǎng)絡(luò)病毒傳播與黑客的攻擊。可使用的解決方法有：在內(nèi)外網(wǎng)邊界設(shè)置防火墻，通過制定規(guī)則實現(xiàn)內(nèi)外網(wǎng)的隔離來達到保護校園網(wǎng)的安全；在網(wǎng)絡(luò)邊界部署NAT技術(shù)，隱藏校園網(wǎng)內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)以避免黑客的直接攻擊；應(yīng)用多重安全網(wǎng)關(guān)技術(shù)，使用統(tǒng)一威脅（Unified Threat Management）安全網(wǎng)關(guān)設(shè)備，以抵御常見的入侵與病毒；在網(wǎng)絡(luò)邊界部署內(nèi)容審計，對學(xué)生訪問和發(fā)布的內(nèi)容進行審計、實時監(jiān)控并作好日志記錄。

3.2核心安全模塊

核心層的功能主要功能是實現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸，冗余能力、可靠性和高速的傳輸。所面臨主要安全威脅是網(wǎng)絡(luò)設(shè)備單點故障。為解決網(wǎng)絡(luò)設(shè)備的單點故障問題，在所有的核心網(wǎng)絡(luò)設(shè)備配置雙電源和UPS設(shè)備，防止因為電源故障而導(dǎo)致校園網(wǎng)癱瘓；核心層網(wǎng)絡(luò)設(shè)備采用多節(jié)點組網(wǎng)來達到提升性能和提供冗余容錯能力，多臺核心交換機之間采用網(wǎng)狀拓撲進行連接，以防止單鏈路或單臺設(shè)備出現(xiàn)故障而引起大面積網(wǎng)絡(luò)故障；在核心網(wǎng)絡(luò)設(shè)備配置熱備份路由協(xié)議（HSRP）或虛擬路由器冗余協(xié)議（VRRP）來應(yīng)對的網(wǎng)絡(luò)設(shè)備單點故障。即使其中的一個核心網(wǎng)絡(luò)設(shè)備失敗的情形下仍能維護網(wǎng)絡(luò)的連通性。

3.3接入安全模塊

接入層是用戶連接到校園網(wǎng)的部分。所面臨的主要安全威脅有未授權(quán)訪問、ARP攻擊、DHCP攻擊、廣播風(fēng)暴。在接入層模塊應(yīng)采取以下的安全措施：在接入層交換機上進行VLAN劃分將廣播控制在較小的范圍；在接入層交換機配置端口安全防范ARP攻擊[4]；配置DHCP窺探保護來防范DHCP攻擊；部署訪問控制列表，根據(jù)需求定義好的相應(yīng)的規(guī)則對包進行過濾，從而達到訪問控制的目的；部署流量控制，保證了正常用網(wǎng)的帶寬；部署802.1X認證，限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問校園網(wǎng)。

3.4管理模塊

管理模塊的功能是實現(xiàn)校園網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備及服務(wù)器的管理[5]。面臨主要的威脅有未授權(quán)訪問、口令攻擊、中間人攻擊等。采取以下的安全措施：盡可能使用安全性高的帶外管理，帶內(nèi)管理應(yīng)使用IPSec和SSH協(xié)議登錄方式；采用安全審計技術(shù)對網(wǎng)絡(luò)進行記錄和分析，以便快速定位網(wǎng)絡(luò)故障，以便為今后的網(wǎng)絡(luò)整改提供依據(jù)；部署網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS），以便及時發(fā)現(xiàn)可能的入侵行為。

3.5服務(wù)器模塊

服務(wù)器模塊的主要目標是向最終用戶和設(shè)備提供應(yīng)用服務(wù)。所面臨的主要安全威脅有未授權(quán)訪問、漏洞攻擊、單點故障、拒絕服務(wù)攻擊、數(shù)據(jù)被竊等?？刹扇∫韵碌陌踩胧翰渴鸹谥鳈C的入侵檢測（HIDS）/入侵防御系統(tǒng)（HIPS）；在校園網(wǎng)中設(shè)置SUS服務(wù)器，為全校的服務(wù)器和所有的計算機及時打上最新的補丁程序；采用集群技術(shù)提升服務(wù)器訪問速度及防止發(fā)生單點故障；在服務(wù)器上應(yīng)用訪問控制技術(shù)防止非法訪問；及時對重要的數(shù)據(jù)備份并設(shè)置備份策略。

3.6遠程訪問模塊

遠程接入模塊可以讓身在外地的學(xué)生和教師能訪問校園網(wǎng)內(nèi)網(wǎng)的資源。遠程接入模塊面臨的主要安全威脅有口令攻擊、未授權(quán)訪問、中間人攻擊等。應(yīng)采取以下的安全措施：遠程訪問使用VPN技術(shù)；推薦使用基于IPSec協(xié)議的VPN接入；遠程管理服務(wù)器使用加密傳輸技術(shù)防止被非法監(jiān)聽。

4結(jié)束語

網(wǎng)絡(luò)安全一個綜合工程。校園安全設(shè)計，任何單一的技術(shù)不可能保護網(wǎng)絡(luò)的安全，應(yīng)使用多層次的防護體系來實現(xiàn)，安全體系應(yīng)該是技術(shù)和管理的結(jié)合體。網(wǎng)絡(luò)安全應(yīng)該根據(jù)校園網(wǎng)本身的特點尋求的解決之道，以便建立更加完善的、可靠的校園網(wǎng)。

參考文獻：

[1]蘇燕.淺談構(gòu)建校園網(wǎng)網(wǎng)絡(luò)安全[J].電腦知識與技術(shù),2011,1:552-554.

[2]張鐵斌.高校校園網(wǎng)絡(luò)安全分析及解決方案[J].福建電腦,201,1:140-141.

[3]王建章.防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].信息與電腦,2011,1:10-10.

[4]侯靖.計算機網(wǎng)絡(luò)安全與防范策略[J].信息與電腦,2011,1:1.

[5]陳慶偉.淺談計算機網(wǎng)絡(luò)的安全隱患問題與應(yīng)對措施[J].信息安全與技術(shù),2011,1: 30-31.