者明偉 彭桂芬 韓華

摘? 要：隨著昆明醫(yī)科大學(xué)不斷深入的信息化建設(shè)，校園網(wǎng)已成為教學(xué)、科研、辦公、生活的重要支撐平臺(tái)。學(xué)校經(jīng)過(guò)多年的基礎(chǔ)設(shè)施建設(shè)和應(yīng)用平臺(tái)建設(shè)，已經(jīng)形成了較為穩(wěn)定的校園網(wǎng)基礎(chǔ)架構(gòu)和相對(duì)完善的校園網(wǎng)應(yīng)用平臺(tái)。但是，校園網(wǎng)的安全問(wèn)題一直困擾著我校，基于此，本文通過(guò)一次安全項(xiàng)目建設(shè)實(shí)踐，探索醫(yī)科類院校怎樣建設(shè)網(wǎng)絡(luò)安全，并對(duì)建設(shè)過(guò)程做出一些總結(jié)。

關(guān)鍵詞：網(wǎng)絡(luò)安全設(shè)備;信息安全;校園網(wǎng)

中圖分類號(hào)：TP393.08? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2019）08-0146-04

Abstract：With the development of information technology in Kunming Medical University，campus network has become an important supporting platform for teaching，scientific research，office and life. After years of infrastructure construction and application platform construction，the school has formed a relatively stable campus network infrastructure and relatively perfect campus network application platform. However，the security of the campus network has been plagued by our school. Based on this，through a safety project construction practice，this paper explores how to build network security in medical colleges and universities，and summarizes the construction process.

Keywords：network security equipment;information security;campus network

0? 引? 言

隨著學(xué)校招生規(guī)模的不斷擴(kuò)大，校園網(wǎng)出口帶寬不斷地增加，單臺(tái)出口設(shè)備已遠(yuǎn)遠(yuǎn)不能滿足日益增加的互聯(lián)網(wǎng)用戶需求，導(dǎo)致上網(wǎng)流量不斷被新增用戶吞噬，網(wǎng)速越來(lái)越慢，師生用戶對(duì)網(wǎng)絡(luò)的體驗(yàn)較差，學(xué)校多鏈路邊界出口及增加高帶寬方面的優(yōu)勢(shì)無(wú)法體現(xiàn);其次，雖然學(xué)校基礎(chǔ)網(wǎng)絡(luò)建設(shè)取得了一定的進(jìn)展和成效，但信息安全領(lǐng)域還很薄弱，面對(duì)日益快速增長(zhǎng)的網(wǎng)絡(luò)應(yīng)用，保守的網(wǎng)絡(luò)防范已不能適應(yīng)當(dāng)前大規(guī)模應(yīng)用層防護(hù)的需要，為保證學(xué)校信息化建設(shè)的順利進(jìn)行和發(fā)展，需要一個(gè)良好的網(wǎng)絡(luò)安全環(huán)境，網(wǎng)絡(luò)安全建設(shè)變得非常迫切。

1? 安全需求

昆明醫(yī)科大學(xué)通過(guò)前期的項(xiàng)目建設(shè)，目前基本完成基礎(chǔ)網(wǎng)絡(luò)建設(shè)、校園信息管理系統(tǒng)建設(shè)、認(rèn)證計(jì)費(fèi)系統(tǒng)建設(shè)等，但校園網(wǎng)絡(luò)安全體系建設(shè)缺乏，校園網(wǎng)面臨以下幾個(gè)方面的安全問(wèn)題：

（1）當(dāng)前主干設(shè)備為千兆設(shè)備，網(wǎng)絡(luò)速率低，已無(wú)法滿足昆明醫(yī)科大學(xué)信息化網(wǎng)絡(luò)的需求。

（2）網(wǎng)絡(luò)出口無(wú)任何安全設(shè)備，只有一臺(tái)負(fù)載均衡設(shè)備，存在性能問(wèn)題，也存在單點(diǎn)故障，設(shè)備損壞將導(dǎo)致全校斷網(wǎng)，產(chǎn)生重大影響。

（3）數(shù)據(jù)中心無(wú)入侵防護(hù)設(shè)備，導(dǎo)致服務(wù)器經(jīng)常被攻擊，網(wǎng)頁(yè)經(jīng)常被篡改。

（4）校園網(wǎng)的流控和認(rèn)證計(jì)費(fèi)設(shè)備都為千兆網(wǎng)絡(luò)接口設(shè)備，已經(jīng)成為網(wǎng)絡(luò)發(fā)展瓶頸，制約學(xué)校出口帶寬的增加。

（5）無(wú)上網(wǎng)行為審計(jì)，流量分析設(shè)備，無(wú)法對(duì)廣大師生的輿論進(jìn)行有效的監(jiān)督和引導(dǎo)。

（6）現(xiàn)有的認(rèn)證計(jì)費(fèi)系統(tǒng)不支持智能終端認(rèn)證計(jì)費(fèi)，對(duì)宿舍無(wú)線路由器的使用無(wú)法進(jìn)行很好的管理。

（7）校園網(wǎng)站經(jīng)常受到非法攻擊，網(wǎng)頁(yè)被篡改的安全事件時(shí)有發(fā)生，對(duì)昆明醫(yī)科大學(xué)的社會(huì)形象造成一定影響。

2? 項(xiàng)目建設(shè)思路與原則

2.1? 項(xiàng)目建設(shè)思路

根據(jù)網(wǎng)絡(luò)安全法和信息安全等級(jí)保護(hù)的要求，進(jìn)行建設(shè)方案的設(shè)計(jì)。

2.2? 項(xiàng)目建設(shè)原則

昆醫(yī)大校園網(wǎng)安全系統(tǒng)應(yīng)有統(tǒng)一的體系結(jié)構(gòu)，而不應(yīng)是多個(gè)分系統(tǒng)的迭加或總和，因此昆醫(yī)大校園網(wǎng)安全系統(tǒng)的設(shè)計(jì)和實(shí)施，應(yīng)遵循以下原則：統(tǒng)一規(guī)劃原則、技術(shù)先進(jìn)性原則、可控性原則、適度安全性原則、系統(tǒng)可擴(kuò)充性原則、示范和推廣原則、技術(shù)與管理相結(jié)合原則。

3? 方案設(shè)計(jì)

3.1? 總體思路：總體規(guī)劃，分期建設(shè)，逐步加強(qiáng)及完善

本次方案設(shè)計(jì)，根據(jù)資金和實(shí)際情況，我們將項(xiàng)目分為兩期進(jìn)行建設(shè)：第一期，完善基礎(chǔ)安全設(shè)備設(shè)施;第二期，將一期項(xiàng)目建設(shè)中單鏈路設(shè)備進(jìn)行擴(kuò)容升級(jí)為雙鏈路。

3.2? 本期項(xiàng)目建設(shè)拓?fù)?/p>

根據(jù)昆醫(yī)目前的網(wǎng)絡(luò)現(xiàn)狀，結(jié)合行業(yè)內(nèi)較為成熟和通常的解決方案提出本方案，邊界接入?yún)^(qū)域作為整個(gè)系統(tǒng)的唯一互聯(lián)網(wǎng)接口，實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)業(yè)務(wù)的緩沖，主要用于承載互聯(lián)網(wǎng)數(shù)據(jù)。為下屬分支互聯(lián)網(wǎng)以及各互聯(lián)網(wǎng)用戶和單位提供互聯(lián)網(wǎng)安全接入通路，主要包含萬(wàn)兆線路負(fù)載均衡設(shè)備、出口與內(nèi)網(wǎng)區(qū)域隔離防護(hù)的萬(wàn)兆下一代防火墻網(wǎng)關(guān)以及用于對(duì)網(wǎng)絡(luò)流量進(jìn)行分析、輿情管理的萬(wàn)兆上網(wǎng)審計(jì)設(shè)備，做到三位一體的出口管理。下一代防火墻其功能融合了基礎(chǔ)防火墻、DOS/DDOS、IDS、IPS、防毒墻、漏洞掃描等各種底層乃至應(yīng)用層安全防護(hù)功能模塊，一臺(tái)設(shè)備就具備了整網(wǎng)安全防護(hù)能力。

服務(wù)器區(qū)域部署萬(wàn)兆下一代防火墻主要側(cè)重于服務(wù)器方面的防護(hù)，除基礎(chǔ)的Web應(yīng)用攻擊特征庫(kù)防護(hù)以外，結(jié)合了更加高級(jí)的服務(wù)器漏洞防護(hù)、網(wǎng)頁(yè)防篡改等功能，結(jié)合SQL注入防護(hù)、XSS攻擊防護(hù)以及新近熱火朝天的APT攻擊防護(hù)等高級(jí)功能，讓W(xué)eb服務(wù)可以更加安全可靠的發(fā)布給終端用戶，免去后顧之憂。具體部署如圖1所示。

（1）在網(wǎng)絡(luò)出口部署1臺(tái)萬(wàn)兆負(fù)載均衡設(shè)備，替換原有設(shè)備，連接目前4條外部線路，有效進(jìn)行鏈路負(fù)載調(diào)配和地址轉(zhuǎn)換工作，提升出口速率;同時(shí)原有的千兆負(fù)載均衡作為冷備。

（2）在網(wǎng)絡(luò)出口處部署1臺(tái)下一代萬(wàn)兆防火墻設(shè)備，并配置防病毒功能，實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)控制和網(wǎng)關(guān)處的病毒過(guò)濾，保障網(wǎng)絡(luò)出口的安全。

（3）部署1臺(tái)萬(wàn)兆上網(wǎng)審計(jì)及流控、流量分析設(shè)備，對(duì)網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的使用情況進(jìn)行分析，優(yōu)化網(wǎng)絡(luò)資源，維護(hù)網(wǎng)絡(luò)環(huán)境穩(wěn)定。本次配置1臺(tái)，具備雙鏈路模塊，且?guī)ypass功能，如設(shè)備故障，不會(huì)影響到鏈路的通斷;原有的兩臺(tái)千兆流控系統(tǒng)作為冷備，在二期建設(shè)中再增加1臺(tái)形成雙鏈路。

（4）在數(shù)據(jù)中心區(qū)域部署1臺(tái)萬(wàn)兆Web應(yīng)用防火墻，能夠解決網(wǎng)站、Web應(yīng)用經(jīng)常被攻擊、網(wǎng)頁(yè)被篡改和病毒攻擊的現(xiàn)狀。在二期建設(shè)中再增加1臺(tái)形成雙鏈路。

（5）核心機(jī)交換機(jī)旁路部署SSL VPN網(wǎng)關(guān)，提供完整的SSL VPN服務(wù)。

（6）原有千兆認(rèn)證計(jì)費(fèi)設(shè)備下架，部署萬(wàn)兆認(rèn)證計(jì)費(fèi)設(shè)備，要求能夠支持不同的計(jì)費(fèi)策略，并能對(duì)智能終端和無(wú)線路由器的使用有完善的解決方案。

3.3? 二期項(xiàng)目建設(shè)拓?fù)?/p>

二期建設(shè)主要實(shí)現(xiàn)核心主干線路雙鏈路部署，分別增加一臺(tái)萬(wàn)兆負(fù)載均衡、萬(wàn)兆下一代防火墻、萬(wàn)兆上網(wǎng)行為審計(jì)，萬(wàn)兆Web防火墻和堡壘機(jī)系統(tǒng)。具體部署如圖2所示。

4? 設(shè)備選型

4.1? 負(fù)載設(shè)備

為防止單條線路出現(xiàn)單點(diǎn)故障導(dǎo)致業(yè)務(wù)不可用，同時(shí)防止跨運(yùn)營(yíng)商問(wèn)題導(dǎo)致業(yè)務(wù)訪問(wèn)速度慢，影響辦公效率等問(wèn)題，本次方案通過(guò)專業(yè)的鏈路負(fù)載均衡設(shè)備，實(shí)現(xiàn)多線路的智能選路。通過(guò)鏈路健康檢查機(jī)制，實(shí)現(xiàn)對(duì)每條鏈路的健康狀況進(jìn)行實(shí)時(shí)的探測(cè)，當(dāng)一條鏈路出現(xiàn)問(wèn)題時(shí)，能夠快速的切換到另外一條鏈路上，只要其中一條鏈路可用，即可保證整個(gè)網(wǎng)絡(luò)的持續(xù)不間斷。此次方案建設(shè)采用的是深信服的萬(wàn)兆負(fù)載均衡設(shè)備。

4.2? 出口防火墻

互聯(lián)網(wǎng)接入?yún)^(qū)域作為整個(gè)系統(tǒng)的唯一互聯(lián)網(wǎng)接口，隨時(shí)面對(duì)著互聯(lián)網(wǎng)上各種各樣的安全威脅，需要做好絕對(duì)的安全防護(hù)。因此，傳統(tǒng)的建設(shè)思路即是在出口到內(nèi)網(wǎng)核心之間部署防火墻、IPS、漏掃、AV等各種安全設(shè)備，實(shí)現(xiàn)安全防護(hù)的需求。但由于多設(shè)備串接方式又會(huì)引入新的單點(diǎn)故障風(fēng)險(xiǎn)點(diǎn)，由于多設(shè)備可能存在功能重合且多次拆解數(shù)據(jù)處理也會(huì)導(dǎo)致業(yè)務(wù)效率急劇低下，也存在著很大的運(yùn)維問(wèn)題。

因此，本次方案建設(shè)采用深信服萬(wàn)兆下一代防火墻設(shè)備，單臺(tái)設(shè)備即可實(shí)現(xiàn)防火墻、IPS、漏掃、AV殺毒等功能，不需要再專門(mén)部署入侵檢測(cè)機(jī)入侵防御等設(shè)備，在保證安全功能完整的前提下提升業(yè)務(wù)處理性能，降低單點(diǎn)故障風(fēng)險(xiǎn)，提供2-7層立體化的安全防御，實(shí)現(xiàn)區(qū)域的安全隔離防護(hù)。通過(guò)附帶的流量管理及控制引擎，可以對(duì)業(yè)務(wù)進(jìn)行識(shí)別分析，對(duì)流量進(jìn)行梳理，對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行帶寬保障，確保數(shù)據(jù)傳輸?shù)挠行浴?/p>

4.3? 行為審計(jì)及流控設(shè)備

要做到“實(shí)名+上網(wǎng)賬號(hào)+內(nèi)網(wǎng)地址+外網(wǎng)地址+Mac地址+網(wǎng)絡(luò)動(dòng)作”的詳細(xì)網(wǎng)絡(luò)日志，當(dāng)出現(xiàn)網(wǎng)絡(luò)違法犯罪行為時(shí)，能夠給公安機(jī)關(guān)出示上網(wǎng)日志證據(jù)，對(duì)外能夠?qū)⒒ヂ?lián)網(wǎng)中不良網(wǎng)站進(jìn)行過(guò)濾，對(duì)內(nèi)能夠設(shè)置多關(guān)鍵字過(guò)濾，過(guò)濾對(duì)外發(fā)表的不當(dāng)言論。本方案使用深信服的上網(wǎng)行為安全審計(jì)設(shè)備。

4.4? 數(shù)據(jù)中心Web防火墻

數(shù)據(jù)中心區(qū)域是昆醫(yī)大校園網(wǎng)安全系統(tǒng)的核心區(qū)域，該區(qū)域中包含所有數(shù)據(jù)庫(kù)服務(wù)器、虛擬化服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備等，為整個(gè)數(shù)字校園系統(tǒng)提供數(shù)據(jù)存儲(chǔ)服務(wù)、數(shù)據(jù)調(diào)用服務(wù)、業(yè)務(wù)應(yīng)用服務(wù)等服務(wù)，本區(qū)域?yàn)橹攸c(diǎn)防護(hù)區(qū)域。本方案使用的是深信服的萬(wàn)兆Web防火墻。該系列防火墻串聯(lián)透明模式部署在內(nèi)網(wǎng)服務(wù)器的應(yīng)用系統(tǒng)之前，主要針對(duì)Web應(yīng)用系統(tǒng)進(jìn)行防護(hù)，降低安全風(fēng)險(xiǎn)，維護(hù)網(wǎng)站的公信度;分別針對(duì)安全漏洞、攻擊手段及最終攻擊結(jié)果進(jìn)行掃描、防護(hù)及診斷，提供綜合Web應(yīng)用安全解決方案;事前評(píng)估：通過(guò)Web掃描器對(duì)網(wǎng)站系統(tǒng)架構(gòu)進(jìn)行整體評(píng)估，評(píng)估網(wǎng)站應(yīng)用在開(kāi)發(fā)過(guò)程中，開(kāi)發(fā)人員忽視的安全問(wèn)題，提前找出系統(tǒng)漏洞問(wèn)題，便于解決問(wèn)題。事中防護(hù)：提供Web攻擊行為的特征庫(kù)，針對(duì)黑客的攻擊流量進(jìn)行逐一特征匹配，匹配上的流量就是黑客攻擊流量，及時(shí)進(jìn)行Web安全過(guò)濾;事后彌補(bǔ)：針對(duì)網(wǎng)站網(wǎng)頁(yè)頻繁被篡改事件的發(fā)生，提供防篡改功能，并提供多重防護(hù)組合模型，包括內(nèi)核保護(hù)、本地備份、異地備份，可以根據(jù)實(shí)際情況進(jìn)行多種防護(hù)組合。

4.5? VPN接入網(wǎng)關(guān)

學(xué)校經(jīng)常有領(lǐng)導(dǎo)、老師等出差在外或臨時(shí)需要接入到校內(nèi)網(wǎng)進(jìn)行辦公，網(wǎng)絡(luò)通信安全及安全接入訪問(wèn)很關(guān)鍵，基于此，部署深信服的SSL VPN系統(tǒng)。該設(shè)備旁路部署，不影響網(wǎng)絡(luò)主干路業(yè)務(wù);能實(shí)現(xiàn)隨時(shí)隨地校內(nèi)網(wǎng)遠(yuǎn)程安全訪問(wèn)、快速接入服務(wù)，允許通過(guò)電腦終端、智能手機(jī)、PAD等多類設(shè)備安全接入，支持LAN-To-LAN互訪;多種安全認(rèn)證對(duì)用戶身份進(jìn)行認(rèn)證，支持本地認(rèn)證、短信認(rèn)證、USB Key身份認(rèn)證、國(guó)密辦認(rèn)證體系、動(dòng)態(tài)令牌認(rèn)證、X.509數(shù)字證書(shū)認(rèn)證以及LDAP，RADIUS、E-mail賬戶認(rèn)證等第三方服務(wù)器認(rèn)證;點(diǎn)對(duì)點(diǎn)全程加密，用戶終端對(duì)資源的每一次操作都經(jīng)過(guò)安全的身份驗(yàn)證和加密，確保點(diǎn)到點(diǎn)的遠(yuǎn)程訪問(wèn)安全;可以根據(jù)用戶的不同身份，給予不同的訪問(wèn)權(quán)限，細(xì)致的用戶鎖定策略。

5? 實(shí)施后的效果

項(xiàng)目于2016年實(shí)施完畢，我校部署了萬(wàn)兆負(fù)載均衡設(shè)備，出口萬(wàn)兆防火墻，WAF萬(wàn)兆防火墻，VPN設(shè)備、萬(wàn)兆上網(wǎng)行為審計(jì)設(shè)備，通過(guò)網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)，具備了網(wǎng)絡(luò)安全預(yù)警監(jiān)控、網(wǎng)絡(luò)輿情監(jiān)控、內(nèi)外網(wǎng)資源隔離、網(wǎng)頁(yè)防篡改等能力，同時(shí)所部屬的都是萬(wàn)兆設(shè)備，實(shí)現(xiàn)了學(xué)校主干鏈路的升級(jí)改造工作，由千兆主干鏈路升級(jí)到了萬(wàn)兆主干鏈路。

6? 結(jié)? 論

網(wǎng)絡(luò)安全需要安全設(shè)備，建設(shè)安全設(shè)備以后，更需要專業(yè)人員管理，典型的是規(guī)則庫(kù)與應(yīng)用系統(tǒng)合規(guī)性存在矛盾，出口的防火墻對(duì)很多應(yīng)用系統(tǒng)進(jìn)行不合理規(guī)則攔截，導(dǎo)致應(yīng)用系統(tǒng)無(wú)法對(duì)外提供服務(wù)，需要不斷調(diào)整規(guī)則，磨合防火墻和應(yīng)用系統(tǒng)之間的匹配性，這就需要耗費(fèi)更多的人力;下一代防火墻可以作為路由出口代替?zhèn)鹘y(tǒng)的路由器，項(xiàng)目中學(xué)校就用負(fù)載設(shè)備和防火墻替換了路由器;網(wǎng)絡(luò)安全管理規(guī)章制度尤為重要，可以說(shuō)三分技術(shù)，七分管理。隨著本期安全項(xiàng)目建設(shè)完成，日后工作的重點(diǎn)將放在防火墻策略的調(diào)整上做研究。

參考文獻(xiàn)：

[1] 黃美娟.構(gòu)建高校網(wǎng)絡(luò)意識(shí)形態(tài)安全機(jī)制的思考 [J].學(xué)校黨建與思想教育，2017（12）：14-17.

[2] 戴文健.網(wǎng)絡(luò)安全及辦公網(wǎng)絡(luò)建設(shè)安全防范 [J].甘肅科技縱橫，2018，47（12）：9-11+92.

[3] 袁昌，朱鵬飛，李濤.廣電行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)思路 [J].廣播與電視技術(shù)，2018，45（6）：30-32.

[4] 賈雪飛，劉玉嶺，嚴(yán)妍，等.基于能力機(jī)會(huì)意圖模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法 [J].計(jì)算機(jī)應(yīng)用研究，2016，33（6）：1775-1779.

[5] 鄭毅平.基于知識(shí)發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（9）：51+53.

[6] 李騰飛，李強(qiáng)，余祥，等.基于拓?fù)渎┒捶治龅木W(wǎng)絡(luò)安全態(tài)勢(shì)感知模型 [J].計(jì)算機(jī)應(yīng)用，2018，38（S2）：157-163+169.

[7] 劉強(qiáng).網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)研究 [J].中國(guó)新通信，2017，19（1）：113-114.

作者簡(jiǎn)介：者明偉（1983.09-），男，漢族，云南玉溪人，助理工程師，碩士研究生，研究方向：計(jì)算機(jī)應(yīng)用系統(tǒng)開(kāi)發(fā);通訊作者：彭桂芬（1979.09-），女，漢族，云南大理人，就職于現(xiàn)代教育技術(shù)中心，講師，碩士研究生，主要研究方向：計(jì)算機(jī)應(yīng)用和現(xiàn)代教育技術(shù)。