陽子軒++方建超++蔡冰凌

摘 要：校園網(wǎng)作為高校基礎(chǔ)設(shè)施，在日常教學(xué)、行政管理、科研活動(dòng)以及對(duì)外宣傳方面發(fā)揮了重要作用。傳統(tǒng)采用身份認(rèn)證、防火墻、漏洞掃描、防病毒、入侵檢測、虛擬專用網(wǎng)等技術(shù)來保障網(wǎng)絡(luò)安全運(yùn)行的防護(hù)辦法無法及時(shí)調(diào)整安全策略以適應(yīng)新的安全挑戰(zhàn)?？膳渲玫幕谝?guī)則的前置式接入控制系統(tǒng)可以最小化網(wǎng)絡(luò)安全威脅。本文分析了校園網(wǎng)絡(luò)目前的安全現(xiàn)狀，提出了網(wǎng)絡(luò)接入控制系統(tǒng)需求，介紹了其實(shí)現(xiàn)功能以及部署后的實(shí)際效果。

關(guān)鍵詞：校園網(wǎng)；接入控制系統(tǒng)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)志碼：B 文章編號(hào)：1673-8454（2017）03-0091-03

伴隨著網(wǎng)絡(luò)安全威脅的產(chǎn)生，各高校廣泛運(yùn)用身份認(rèn)證、防火墻、漏洞掃描、防病毒、入侵檢測、虛擬專用網(wǎng)等技術(shù)來保障網(wǎng)絡(luò)的安全運(yùn)行。但是，這些安全技術(shù)均只針對(duì)于某一個(gè)特定的領(lǐng)域，不能形成完整的安全防護(hù)體系，且都是被動(dòng)防御方式，不能有效保護(hù)校園網(wǎng)絡(luò)和各類信息終端的安全。因此，如何對(duì)接入校園網(wǎng)的終端實(shí)現(xiàn)從安全認(rèn)證、IP地址綁定及授權(quán)、IP準(zhǔn)入直至對(duì)上網(wǎng)行為進(jìn)行實(shí)時(shí)管控成為校園網(wǎng)絡(luò)信息安全管理的重要課題，建設(shè)一套可配置的基于規(guī)則的前置式接入控制系統(tǒng)刻不容緩。

一、校園網(wǎng)絡(luò)安全現(xiàn)狀分析

資源共享是計(jì)算機(jī)網(wǎng)絡(luò)的重要特性。當(dāng)前，各高校將大量的視頻、語音、文獻(xiàn)等教學(xué)資料在校園網(wǎng)內(nèi)部實(shí)現(xiàn)共享，但也正是因?yàn)檫@種共享，給網(wǎng)絡(luò)本身和信息設(shè)備帶來了各種威脅：

一是操作人員的無意失誤帶來的。比如：操作人員安全意識(shí)淡薄、用戶使用不當(dāng)、系統(tǒng)安全配置不規(guī)范、配套規(guī)章制度不健全、網(wǎng)絡(luò)安全培訓(xùn)工作滯后等等，都會(huì)給網(wǎng)絡(luò)信息安全帶來隱患。

二是人為的惡意攻擊帶來的。人為的惡意攻擊是校園網(wǎng)絡(luò)面臨的最大威脅，根據(jù)攻擊所作用于網(wǎng)絡(luò)的協(xié)議層不同，校園網(wǎng)中常見的攻擊行為如表1所示。

三是系統(tǒng)漏洞和軟件“后門”帶來的。各類硬件或軟件在設(shè)計(jì)開發(fā)和系統(tǒng)部署過程中，部分廠商沒有充分考慮安全性和可靠性，同時(shí)為了管理或者在出現(xiàn)問題時(shí)能方便跟蹤查找，無意或有意的留下了部分漏洞、“后門”等，這些也成為了攻擊的突破口。

雖然在校園網(wǎng)建設(shè)時(shí)，各高校通常會(huì)部署入侵檢測系統(tǒng)、防火墻、殺毒軟件等來作為網(wǎng)絡(luò)安全防護(hù)手段，但這些手段功能單一，而且采用被動(dòng)防御方式，無法完全抵御來自各個(gè)層面的惡意攻擊，再加上部分防護(hù)手段（如殺毒軟件）雖然部署在校園網(wǎng)絡(luò)的信息終端，但由于長時(shí)間沒有升級(jí)或沒有及時(shí)安裝系統(tǒng)補(bǔ)丁，給校園網(wǎng)絡(luò)安全帶來更為嚴(yán)峻的挑戰(zhàn)。

二、網(wǎng)絡(luò)接入控制系統(tǒng)設(shè)計(jì)需求

針對(duì)校園網(wǎng)絡(luò)安全現(xiàn)狀，迫切的需要建設(shè)一套“主動(dòng)防御、整體安全”的網(wǎng)絡(luò)接入終端控制系統(tǒng)，部署后，應(yīng)達(dá)到以下目標(biāo)：

（1）不符合安全要求的終端將無法接入校園網(wǎng)。

（2）沒有授權(quán)的非校園網(wǎng)用戶無法訪問校園網(wǎng)內(nèi)部信息資源。

（3）合法用戶只能按權(quán)限訪問相應(yīng)等級(jí)的網(wǎng)絡(luò)資源，并對(duì)信息終端所必需的防護(hù)手段（如系統(tǒng)補(bǔ)丁、殺毒軟件）等進(jìn)行檢測，能自動(dòng)升級(jí)更新，提高網(wǎng)絡(luò)安全防護(hù)等級(jí)。

（4）提供網(wǎng)絡(luò)安全狀況評(píng)估，并具備一定的數(shù)據(jù)分析與處理能力，為校園大數(shù)據(jù)應(yīng)用提供基礎(chǔ)數(shù)據(jù)。

為此，網(wǎng)絡(luò)接入控制系統(tǒng)應(yīng)具備以下三項(xiàng)基本功能：

1.用戶身份認(rèn)證

通過對(duì)MAC地址、IP地址、硬盤序列號(hào)等多重綁定，為接入校園網(wǎng)絡(luò)的每個(gè)信息終端分配一個(gè)用戶名，用戶終端在接入校園網(wǎng)之前，只有通過用戶身份認(rèn)證才能合法訪問網(wǎng)絡(luò)，為在源頭上控制信息終端訪問網(wǎng)絡(luò)打好基礎(chǔ)。

2.終端安全狀態(tài)檢測

對(duì)各類終端的安全性能進(jìn)行檢測，主要包括操作系統(tǒng)完整性檢測（如漏洞掃描、自動(dòng)更新、補(bǔ)丁安裝等）、必裝軟件檢測（如殺毒軟件）、非法安裝軟件檢測、防病毒軟件版本、病毒特征庫版本檢查、應(yīng)用軟件黑白名單檢查、共享目錄檢查、分區(qū)表檢查等功能。通過對(duì)終端安全性能的檢測，從而抵御由于信息終端本身安全問題帶來的攻擊行為。

3.網(wǎng)絡(luò)安全評(píng)估

根據(jù)身份認(rèn)證結(jié)果和網(wǎng)絡(luò)終端安全檢測結(jié)果，限制不同的訪問權(quán)限，讓用戶在接入網(wǎng)絡(luò)后，只能訪問自己權(quán)限之內(nèi)的服務(wù)器、網(wǎng)絡(luò)區(qū)域等，同時(shí)，如果終端通過身份認(rèn)證，但安全性能低，要能引導(dǎo)低安全性能終端自動(dòng)升級(jí)，提高安全水平。

另外，還要根據(jù)身份認(rèn)證結(jié)果和網(wǎng)絡(luò)終端安全檢測結(jié)果，將某些關(guān)鍵數(shù)據(jù)存儲(chǔ)在系統(tǒng)服務(wù)器中，并進(jìn)行簡單的圖表分析和處理，給網(wǎng)絡(luò)管理員直觀的、可視的網(wǎng)絡(luò)安全性能結(jié)果。

三、網(wǎng)絡(luò)接入控制系統(tǒng)功能及應(yīng)用

某高校于2010年重新建設(shè)本校校園網(wǎng)網(wǎng)絡(luò)，該網(wǎng)絡(luò)主要用于校園內(nèi)部教學(xué)和辦公，不與互聯(lián)網(wǎng)相聯(lián)。在建設(shè)初期，充分考慮系統(tǒng)兼容，所有交換機(jī)均選用銳捷系列產(chǎn)品，包括2臺(tái)RG-S8610核心交換機(jī)，4臺(tái)RG-S5750萬兆匯聚交換機(jī)，1臺(tái)RG-S2951XG千兆匯聚交換機(jī)，47臺(tái)RG-S2951XG網(wǎng)絡(luò)交換機(jī)，44臺(tái)RG-S2924G及3臺(tái)STAR-S2126G網(wǎng)絡(luò)交換機(jī)。在對(duì)各樓宇所承擔(dān)的教學(xué)、科研、管理等相關(guān)任務(wù)進(jìn)行充分論證后，完成信息網(wǎng)絡(luò)節(jié)點(diǎn)的合理規(guī)劃，其網(wǎng)路拓?fù)鋱D如圖1所示。

網(wǎng)絡(luò)投入運(yùn)營以來，由于均采用統(tǒng)一廠家產(chǎn)品，系統(tǒng)兼容性較好。但隨著系統(tǒng)的長期運(yùn)行，其安全問題也逐步顯現(xiàn)：

（1）由于該網(wǎng)絡(luò)沒有接入互聯(lián)網(wǎng)，教職員工經(jīng)常將光盤、U盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)在本地信息終端上插拔，進(jìn)行數(shù)據(jù)的導(dǎo)入與導(dǎo)出操作。在插拔過程中，移動(dòng)介質(zhì)不可避免的將一些病毒、木馬程序帶入到校園網(wǎng)網(wǎng)絡(luò)，不斷對(duì)本地網(wǎng)絡(luò)和服務(wù)器進(jìn)行各種類型的攻擊，一方面造成了病毒擴(kuò)散的局面，另一方面給服務(wù)器健康穩(wěn)定運(yùn)行帶來不良影響。

（2）由于用戶類型多，信息終端類型多，很難進(jìn)行全網(wǎng)的統(tǒng)一管理，不同區(qū)域終端及系統(tǒng)的不同要求管理人員熟悉并掌握不同的設(shè)備及系統(tǒng)管理辦法，加重了網(wǎng)絡(luò)維護(hù)人員的負(fù)擔(dān)，降低了管理效率，增大了管理成本。

（3）在網(wǎng)絡(luò)運(yùn)行維護(hù)過程中，對(duì)經(jīng)費(fèi)投入觀念也有所偏差。初期投入較大，后期投入較少，偏重于主干線路設(shè)備的升級(jí)換代，對(duì)于各類安全設(shè)備及管理系統(tǒng)的投入則不太重視。

（4）沒有建設(shè)一套良好的接入控制機(jī)制，對(duì)網(wǎng)絡(luò)中出現(xiàn)的病毒、木馬無法從源頭上得到有效管控，特別是信息終端到底有沒有進(jìn)行軟件升級(jí)，操作系統(tǒng)是否存在漏洞均無法得知。

為解決以上問題，該校以銳捷上網(wǎng)實(shí)名策略外置認(rèn)證產(chǎn)品RG-ESS1000和統(tǒng)一上網(wǎng)行為管理與審計(jì)產(chǎn)品RG-UAC6000為基礎(chǔ)，建設(shè)了一套配置的基于規(guī)則的前置式接入控制系統(tǒng)，實(shí)現(xiàn)以下功能：

1.用戶身份認(rèn)證

合理為每名用戶劃分網(wǎng)段，分配IP地址，并通過嚴(yán)格的6元素（IP地址、MAC地址、交換機(jī)IP、交換機(jī)端口、用戶名、密碼）綁定措施，確保接入用戶身份的合法性，用戶未進(jìn)行合法登錄將無法上網(wǎng)。用戶登錄成功界面如圖2所示。

同時(shí)，對(duì)操作系統(tǒng)重裝后更改IP地址的用戶或在其它IP地址登錄本人賬號(hào)的用戶，均不能登錄。

2.終端安全狀態(tài)檢測

終端登錄成功后，系統(tǒng)對(duì)每臺(tái)終端進(jìn)行狀態(tài)檢測，如果終端未安裝殺毒軟件、操作系統(tǒng)需要更新等，系統(tǒng)將強(qiáng)制用戶進(jìn)行安裝和更新，提升整個(gè)網(wǎng)絡(luò)的安全水平。信息終端提醒界面如圖3所示。

在服務(wù)器端，系統(tǒng)提示整個(gè)網(wǎng)絡(luò)終端殺毒軟件安裝情況、系統(tǒng)漏洞修復(fù)情況，并以餅圖、柱狀圖等形式對(duì)用戶是否進(jìn)行了漏洞修復(fù)、是否安裝了殺毒軟件等情況進(jìn)行圖像顯示，使網(wǎng)絡(luò)管理員實(shí)時(shí)掌握網(wǎng)絡(luò)安全狀況。同時(shí)，對(duì)不符合要求的用戶，以列表的形式通知網(wǎng)絡(luò)管理員，顯示界面如圖4所示。

3.網(wǎng)絡(luò)安全評(píng)估

系統(tǒng)能提供各種網(wǎng)絡(luò)安全狀況評(píng)估，并具備一定的數(shù)據(jù)分析與處理能力。以流量統(tǒng)計(jì)為例，某時(shí)段網(wǎng)絡(luò)中各VLAN實(shí)時(shí)流量如圖5所示。

為進(jìn)一步分析實(shí)時(shí)流量是由哪些服務(wù)、用戶訪問了哪些站點(diǎn)帶來的，系統(tǒng)能自動(dòng)進(jìn)行分析與處理，其分析結(jié)果如圖6、圖7所示。

四、結(jié)束語

基于校園網(wǎng)這個(gè)特殊的網(wǎng)絡(luò)平臺(tái)，建設(shè)一套可配置的基于規(guī)則的前置式接入控制系統(tǒng)，對(duì)接入網(wǎng)絡(luò)的所有用戶實(shí)現(xiàn)統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)、統(tǒng)一管理是確保校園網(wǎng)絡(luò)信息安全的重要手段。一個(gè)良好的接入控制管理系統(tǒng)能充分利用網(wǎng)絡(luò)資源、提高網(wǎng)絡(luò)效率、增強(qiáng)用戶體驗(yàn)度，并減少網(wǎng)絡(luò)管理員的工作量。

參考文獻(xiàn)：

[1]張棟毅.校園網(wǎng)絡(luò)安全分析與安全體系方案設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用，2011，31（2）：116-118.

[2]楊哂哂，宋曉光.高校統(tǒng)一身份認(rèn)證的探討與研究[J].現(xiàn)代電子技術(shù)，2010（9）：104-106，111.

[3]王鎮(zhèn)海.基于校園網(wǎng)的接入控制系統(tǒng)的研究[D].上海：上海交通大學(xué)，2014.7.

[4]William Stallings， Network Security Essentials： Applications and Standards（3rd Edition），Prentice Hall，2007.08.

[5]RG-ESS1000易安全管理系統(tǒng)硬件安裝手冊[Z].銳捷網(wǎng)絡(luò).2012.

（編輯：王曉明）