周健飛

摘 要：隨著高校網(wǎng)絡(luò)在高校教育信息化建設(shè)中的作用日益提高，各種依賴校園網(wǎng)的應(yīng)用大量出現(xiàn)，高校網(wǎng)絡(luò)的運行維護(hù)管理和安全問題也逐漸暴露出來，并且嚴(yán)重影響了高校信息化建設(shè)的進(jìn)程。文章在當(dāng)前的網(wǎng)絡(luò)安全大環(huán)境下分析了高校網(wǎng)絡(luò)的現(xiàn)狀和存在的問題，并提出了從管理制度、思想意識、技術(shù)手段等多方面解決問題的思路和策略。

關(guān)鍵詞：高校網(wǎng)絡(luò)；運維管理；網(wǎng)絡(luò)安全；流量控制

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-8937（2014）11-0070-02

1 背景

2014年是中國接入國際互聯(lián)網(wǎng)20周年，據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的報告，截止2013年底，中國網(wǎng)民規(guī)模突破6億，國內(nèi)域名總數(shù)1 844萬個，網(wǎng)站近400萬家，全球十大互聯(lián)網(wǎng)企業(yè)中我國有3家，中國已是名副其實的“網(wǎng)絡(luò)大國”。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，中共中央總書記、國家主席、中央軍委主席習(xí)近平親自擔(dān)任組長，李克強、劉云山任副組長，顯示出中國最高層在保障網(wǎng)絡(luò)安全、維護(hù)國家利益、推動信息化發(fā)展的決心。

作為網(wǎng)絡(luò)的重要組成部分，高校網(wǎng)絡(luò)在我國教育信息化工程的建設(shè)中的作用越來越重要，已經(jīng)成為高校的一個重要組成部分，極大地促進(jìn)了高校的發(fā)展。高校的教學(xué)、科研以及學(xué)校的行政工作等對校園網(wǎng)的依賴也日益增強，但隨著校園網(wǎng)用戶爆炸式的增長，以及各種Web應(yīng)用系統(tǒng)的投入使用，高校整體網(wǎng)絡(luò)對安全穩(wěn)定、運營效率和管理等方面的要求也越來越高，高校網(wǎng)絡(luò)的運維管理和安全問題也逐漸突出。

2 問題分析

2.1 高校網(wǎng)絡(luò)的特點

高校網(wǎng)絡(luò)在建設(shè)中呈現(xiàn)出兩大特點：一方面，隨著高校學(xué)生數(shù)量增多、信息化教學(xué)的要求增多，高校網(wǎng)絡(luò)建設(shè)的終端節(jié)點數(shù)量迅速攀升，網(wǎng)絡(luò)規(guī)模也不斷擴大，這要求高校網(wǎng)絡(luò)的數(shù)據(jù)傳輸能力也要隨之增強，因此高效運行是高校網(wǎng)絡(luò)的最基本要求；另一方面，高校網(wǎng)絡(luò)在實現(xiàn)高效運行的同時，管理工作不可或缺，以保證網(wǎng)絡(luò)安全穩(wěn)定運行，確保校園網(wǎng)的整體運營。特別是各高校目前都已基本實現(xiàn)學(xué)生的實名認(rèn)證并計費上網(wǎng)，對于龐大的學(xué)生用戶群體，如何滿足復(fù)雜的網(wǎng)絡(luò)需求，保證網(wǎng)絡(luò)的安全穩(wěn)定則是需要重點考慮的問題。因此，建設(shè)高校網(wǎng)絡(luò)除了要保證高效、安全穩(wěn)定的運行，還要實現(xiàn)靈活的認(rèn)證計費和有效的管理。

2.2 高校網(wǎng)絡(luò)的現(xiàn)狀

2.2.1 網(wǎng)絡(luò)安全意識淡薄，管理制度不健全

在發(fā)生的網(wǎng)絡(luò)安全問題中，有些是由于管理制度不健全、管理人員的安全意識不強等造成的。一些網(wǎng)絡(luò)管理人員平時不注意對網(wǎng)絡(luò)系統(tǒng)的安全檢測、病毒的防治，對交換機、服務(wù)器等網(wǎng)絡(luò)設(shè)備沒有做定期的維護(hù)，這些都很容易造成病毒的廣泛傳播，并給一些黑客造成可乘之機。而高校的網(wǎng)絡(luò)用戶，大部分都是非計算機專業(yè)人員，他們的計算機知識比較缺乏，對網(wǎng)絡(luò)信息安全防范意識較為薄弱，對威脅信息安全的內(nèi)容認(rèn)知和識別能力較差，難于防范。在網(wǎng)絡(luò)管理制度未完善的情況下，一旦發(fā)生網(wǎng)絡(luò)安全狀況，將無法得到及時響應(yīng)，網(wǎng)絡(luò)系統(tǒng)在短時間內(nèi)也無法得到及時處理，最終導(dǎo)致更嚴(yán)重的后果。

2.2.2 技術(shù)存在漏洞或缺陷

高校網(wǎng)絡(luò)環(huán)境復(fù)雜，信息點眾多，在局域網(wǎng)內(nèi)運行的Web應(yīng)用程序豐富多樣，并且還要區(qū)分教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)兩大局域網(wǎng)，所以在設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時就必須從整體規(guī)劃。很多高校早期建設(shè)的校園網(wǎng)絡(luò)，受資金和技術(shù)的限制，只是簡單的在內(nèi)部校園網(wǎng)和外部互聯(lián)網(wǎng)之間加了一個防火墻，甚至直接連到互聯(lián)網(wǎng)，沒有做任何安全措施、流量控制及路由策略。那么隨著高校信息化建設(shè)不斷推進(jìn)，學(xué)校內(nèi)部龐大的內(nèi)網(wǎng)資源就完全暴露在互聯(lián)網(wǎng)中，存在極大的安全隱患，并且隨著高校網(wǎng)絡(luò)用戶的活躍，網(wǎng)絡(luò)帶寬會很快耗盡，用戶的上網(wǎng)體驗也越來越差，對于接入網(wǎng)絡(luò)用戶的管理也越來越困難。

2.2.3 網(wǎng)路出口鏈路單一

目前我國的三家主要的網(wǎng)絡(luò)運營商電信、聯(lián)通和移動之間的網(wǎng)絡(luò)互聯(lián)互通問題始終沒得得到解決，而在早期高校網(wǎng)絡(luò)的建設(shè)中，往往只有一家網(wǎng)絡(luò)運營商參與其中，那么對于高校網(wǎng)絡(luò)用戶來說，互聯(lián)網(wǎng)資源可能會出現(xiàn)無法訪問的情況。并且更大的風(fēng)險是一旦網(wǎng)絡(luò)出口鏈路出現(xiàn)物理損壞，例如網(wǎng)絡(luò)出口光纖被破壞，那么高校內(nèi)所有網(wǎng)絡(luò)用戶將無法訪問互聯(lián)網(wǎng)。

3 高校網(wǎng)絡(luò)運維管理策略

3.1 建立完善的高校網(wǎng)絡(luò)管理制度

高校要成立網(wǎng)絡(luò)安全管理部門，明確網(wǎng)絡(luò)安全負(fù)責(zé)人、網(wǎng)絡(luò)安全管理員及計算機系統(tǒng)安全管理員，建立安全事件的報告和處理渠道。并且要制定網(wǎng)絡(luò)和機房的管理規(guī)劃，做好日常網(wǎng)絡(luò)維護(hù)工作，做好系統(tǒng)安全日志記錄，并對日志進(jìn)行定期的分析檢查，遇到網(wǎng)絡(luò)安全事件要采取果斷的技施，并及時地上報。另外，還要對全校的網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)安全管理教育，簽訂用戶責(zé)任書，加強網(wǎng)絡(luò)安全意識。

3.2 通過技術(shù)手段，提高網(wǎng)絡(luò)利用率

3.2.1 網(wǎng)絡(luò)結(jié)構(gòu)整體規(guī)劃

首先必須從高校整體結(jié)構(gòu)上規(guī)劃網(wǎng)絡(luò)，劃分出兩大功能區(qū)域：教學(xué)行政區(qū)和學(xué)生生活區(qū)，然后分別在兩大區(qū)域里做具體細(xì)化，例如教學(xué)行政區(qū)里再細(xì)化出教學(xué)樓、行政辦公樓、實訓(xùn)樓、圖書館等，在學(xué)生生活區(qū)細(xì)化出學(xué)生食堂、每棟學(xué)生宿舍樓、學(xué)生活動中心等。每個樓棟之間劃分VLAN隔離，各自通過匯聚交換機連接到中心機房，同時，在中心機房設(shè)置流量控制、防火墻、用戶身份認(rèn)證、上網(wǎng)行為管理等系統(tǒng)，再通過出口網(wǎng)關(guān)設(shè)備連接到互聯(lián)網(wǎng)。

3.2.2 流量控制與負(fù)載均衡

首先保障關(guān)鍵應(yīng)用帶寬，例如高校網(wǎng)站、校園一卡通服務(wù)、OA辦公系統(tǒng)等應(yīng)用服務(wù)。然后分別建立網(wǎng)絡(luò)通道，根據(jù)學(xué)校所購買的運營商帶寬，配合時間段設(shè)置，在相應(yīng)的網(wǎng)絡(luò)通道中規(guī)劃流量策略。例如上班時段，將宿舍區(qū)網(wǎng)絡(luò)帶寬適當(dāng)降低，將閑置的帶寬放到教學(xué)行政區(qū)域的網(wǎng)絡(luò)通道，而在下班時段，則相反操作。全局上，對P2P、視頻等高帶寬應(yīng)用做流量限制，對單個用戶，作最大帶寬限制，并按網(wǎng)絡(luò)上下行分別做限制，合理控制網(wǎng)絡(luò)會話數(shù)，阻止網(wǎng)絡(luò)的異常行為。

將高校網(wǎng)絡(luò)用戶的認(rèn)證計費放到接入層交換機處理，這樣能在最大程度上做到分布認(rèn)證，提高認(rèn)證效率，有效減少每棟樓匯聚層交換機的負(fù)擔(dān)，夠?qū)尤刖W(wǎng)絡(luò)的用戶實行全面、有效、完整的控制，為大規(guī)模的用戶認(rèn)證計費提供保障和技術(shù)基礎(chǔ)。

3.2.3 引入多家網(wǎng)絡(luò)運營商，采用策略路由

為了提高網(wǎng)絡(luò)鏈路的質(zhì)量，加強網(wǎng)絡(luò)鏈路的抗風(fēng)險能力，須引入多家網(wǎng)絡(luò)運營商。在網(wǎng)絡(luò)規(guī)劃時，將各家運營商提供的線路帶寬合理分配，使用策略路由和智能DNS等技術(shù)，不僅讓外部網(wǎng)絡(luò)訪問高校的線路智能切換，還讓高校內(nèi)部用戶向互聯(lián)網(wǎng)的訪問智能識別運營商線路，達(dá)到最快速度訪問，規(guī)避運營商之間互聯(lián)互通的問題。并且一旦發(fā)生某家運營商線路的物理損壞中斷，備用網(wǎng)絡(luò)線路將立即被啟用，高校與外部互聯(lián)網(wǎng)的連接始終保持通暢。

4 結(jié) 語

隨著教育信息化的不斷發(fā)展，校園網(wǎng)網(wǎng)絡(luò)將日益成為高校日常教學(xué)、教研和管理工作必不可缺的基礎(chǔ)設(shè)施。要構(gòu)建高校網(wǎng)絡(luò)系統(tǒng)的安全體系，做好網(wǎng)絡(luò)運維管理，首先必須認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅，建立完整的高校信息系統(tǒng)安全管理制度，再配合流量控制、策略路由、身份認(rèn)證，上網(wǎng)行為管理等相關(guān)技術(shù)手段，讓高校網(wǎng)絡(luò)在高校信息化建設(shè)中發(fā)揮更大的價值。

參考文獻(xiàn)：

[1] 李可.大學(xué)校園網(wǎng)絡(luò)運維體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（1）.