校園網安全管理策略綜述

摘要：隨著計算機網絡的發展，校園網在高校中的應用也越來越重要，隨之也帶了一系列網絡安全方面的問題。該文結合大型校園網絡的安全管理經驗，針對當前大型校園網絡的安全管理策略進行綜述，并在此基礎上提出一些改進安全管理策略的意見。

關鍵詞：校園網；安全；管理；策略

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1595-02

Discuss the Security and Management Policy of the Campus Network

LI Chao， YU Bo， ZHOU Li

(Information and Network Center， Hefei University of Technology， Hefei 230009， China)

Abstract: With the development of internet technology， the campus network has become more and more important in the universities，a series of internet security problem has arisen accordingly. Combining the experience in security management of large-scale campus， the paper summarizes the strategy in security management of large-scale campus， and puts forward a proposal for improvement.

Key words: campus network; security; management; policy

1 前言

隨著計算機網絡的飛速發展，網絡在高校中應用也越來越廣泛，這對增進教學科研的質量，提高工作效率，建立現代化的信息化校園，豐富學生的娛樂生活都起到了積極的作用。這就要求我們建立一個安全，穩定，可靠的校園網絡。本文通過對校園網所面臨的安全問題進行了分析，并針對目前威脅校園網安全的因素，找出幾種相對應的解決策略。

2 高校計算機網絡面臨的安全問題

2.1 節點的日益增多帶來的安全壓力

隨著校園內計算機應用的不斷普及，接入校園網的節點日益增多，而這些節點基本都沒有安全防范措施，隨時有可能造成安全隱患，比如病毒泛濫、木馬攻擊、數據丟失、系統崩潰等嚴重后果。

2.2 人為的惡意攻擊

這是校園網絡面臨的最大威脅之一，黑客的攻擊和計算機犯罪都屬于這一類。而此類攻擊又分兩種：一種是主動攻擊，一種是被動攻擊，而前者又更具有破壞性。

2.3 病毒的攻擊

通過網絡、可移動介質傳播病毒是目前病毒傳播的主要途徑，這些病毒中的木馬程序會導致信息泄漏，蠕蟲類病毒則往往導致網絡運行效率下降甚至癱瘓。由于病毒變種的不斷產生，防范起來非常困難，目前各種防護手段均難以達到理想的效果。

3 造成校園網安全問題的主要原因

3.1開放式網絡環境

由于高校校園本身的特點，使得校園網絡的環境是開放的，而且由于管理方面相對電信、金融等企業更加寬松，這樣就留下了較多的安全隱患。

3.2 用戶的好奇心和克制力不足

學生通常是用戶中最活躍的因素，而且用戶數量龐大，以合肥工業大學為例，在校生、本科、碩士生、博士生可達兩萬多人，即使只有一半人使用網絡，也有一萬多個用戶。他們對網絡新技術充滿好奇，敢于嘗試，部分人對網絡中的一些誘惑自制力不足。這些都對校園網安全問題帶來了一定的壓力。

3.3 計算機系統的安全管理問題

高校學生的電腦一般是自己的買的，自己維護，而各院系也因為各種原因而沒有專人對用戶使用網絡進行維護和指導。如果要統一管理這些機器則要花費大量的時間。另外，不少用戶使用盜版軟件和破解軟件，這些軟件存在很多問題，比如攜帶病毒和木馬或者其他惡意程序等，這些將影響計算機系統和校園網絡的運行效率，蠕蟲病毒甚至會導致校園網絡癱瘓。

4 校園網安全問題解決方案綜述

通過對校園網安全問題的分析，結合大型校園網絡的安全管理經驗，下面對校園網典型的安全管理方案綜述如下。

4.1 配置交換機中訪問控制列表提高安全性

默認情況下，Windows有很多端口是開放的，在用戶上網的時候，網絡病毒和黑客可以通過這些端口連上用戶。為了消除安全隱患，應該在交換機中配置訪問控制列表，關閉危險端口。

以銳捷2126G為例，可以進行如下配置來防范危險端口的使用：

ip access-list extended 101

deny tcp anyany eq 135

deny tcp anyany eq 136

deny tcp anyany eq 137

deny tcp anyany eq 138

deny tcp anyany eq 445

deny udp anyany eq 135

deny udp anyany eq 136

deny udp anyany eq netbios-ns

deny udp anyany eq netbios-dgm

deny udp anyany eq netbios-ss

deny udp anyany eq 445

permit ip anyany

4.2 使用流量控制設備管理流量和網絡行為

網絡的使用中，不少用戶喜歡用BT、迅雷等P2P、P2SP類型的下載軟件。這類軟件的最大特點就是利用自身協議的特點，盡可能的占用網絡帶寬。對此可以采用流量控制設備，對帶寬進行按帶寬、按IP、按用戶的多視圖方式的策略控制。這種針對帶寬的控制管理在網絡安全運行上的效果是非常明顯的，以某大型校園網絡為例，實施流量控制前后的流量狀態如下圖：

■

圖1 實施流量控制之前圖2實施流量控制控制后

從前后對照圖的對比分析，可以看出，實施流量控制后，帶寬進行了有效而合理的分配。

4.3 使用802.1x認證體系實施安全認證管理

校園網絡的用戶管理涉及時間、流量控制以及交費等問題。這方面比較成熟的是使用802.1x認證。

以銳捷2150G為例，可進行如下的相關配置：

radius-server host 210.45.240.24

aaa authentication dot1x

aaa accounting server 210.45.240.24

aaa accounting

aaa accounting update

dot1x client-probe enable

dot1x accout-update-interval 60

radius-server key 9999

以上設定了radius認證服務器主機和計費主機的IP地址，并對計費時間間隔與認證密鑰匙進行了配置。

4.4 面向用戶提供各種安全支持

由于用戶計算機水平的差異，使得在下載防病毒軟件，防木馬軟件時，并不能保證軟件本身是安全可靠的，而由于校園網絡出口帶寬有限，和門戶網站本身原因，也使得常常幾個小時，也不一定下載到合適的安全軟件。因此，加強對用戶的安全支持也是安全管理的一項重要內容，比如可建立校園網絡安全網站、部署在線殺毒、校內操作系統自動更新服務、在線殺毒、部署郵件安全網關等，以期多方面解決校園網安全管理的問題。

5 結束語

安全性問題應該貫穿于校園網設計、管理、運行、維護等各個環節，應該制定多角度、全方位的整體解決方案；而提高網絡用戶的安全意識、提高安全用網的能力，并制定比較完整的規章制度來規范上網人員的行為也是不可忽視的安全管理措施。

參考文獻：

[1] 謝希仁.計算機網絡教程[M].北京:人民郵電出版社，2002.

[2] Sean C.網絡安全體系結構[M].北京:人民郵電出版社，2005.

[3] 袁保宗.互聯網及其應用[M].吉林:吉林大學出版社，2000.

[4] 代偉.維護網絡安全[M].北京:國防工業出版社，2002.