淺談校園網(wǎng)網(wǎng)絡安全及解決方案

摘要：由于校園網(wǎng)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性、開放性、互連性、無邊界性、自由性等特征，致使網(wǎng)絡易受黑客和病毒的攻擊，給社會、學校帶來了巨大的損失。為此，針對校園網(wǎng)的各種安全隱患，本文分析了產(chǎn)生隱患的根源和網(wǎng)絡安全需求，采取相應的網(wǎng)絡安全策略，將安全技術與教育管理結(jié)合起來，以實現(xiàn)校園網(wǎng)絡體系安全、實用、高效的目標。

關鍵詞：校園網(wǎng)；網(wǎng)絡安全技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)10-1pppp-0c

Shallowly Discusses the Campus Network Security and the Solution

GU Sheng

(Taizhou Normal College，Taizhou 225300，China)

Abstract:Because the campus fishing gear has the joint form multiplicity，the terminal distribution non-uniformity， openness，interlocks characteristic and so on nature，boundless nature，freedom，causes the network easily the hacker and virus's attack，for the society，the school has brought massive loss.Therefore，in view of the campus net each kind of security hidden danger，this article analyzed has had the hidden danger root and the network security demand，adopted the corresponding network security strategy，unified the security technology and the education administration，realizes the campus network system security，practical，the highly effective goal.

Key words:Campus network;Network security technology

1 校園網(wǎng)絡安全概述

1.1 網(wǎng)絡病毒

(1)計算機感染病毒的途徑：校園內(nèi)部網(wǎng)感染和校園外部網(wǎng)感染。

(2)病毒入侵渠道：來自Internet 或外網(wǎng)的病毒入侵、網(wǎng)絡郵件/群件系統(tǒng)、文件服務器和最終用戶。主要的病毒入口是Internet，主要的傳染方式是群件系統(tǒng)。

(3)計算機病毒發(fā)展趨勢：病毒與黑客程序相結(jié)合，病毒破壞性更大，制作病毒的方法更簡單，病毒傳播速度更快，傳播渠道更多，病毒的實時檢測更困難。

(4)切斷病毒源的途徑：要防止計算機病毒在網(wǎng)絡上傳播、擴散，需要從Internet、郵件、文件服務器和用戶終端四個方面來切斷病毒源。

1.2 網(wǎng)絡攻擊

(1)校園網(wǎng)與Internet 相連，面臨著遭遇攻擊的風險。

(2)校園網(wǎng)內(nèi)部用戶對網(wǎng)絡的結(jié)構和應用模式都比較了解，存在的安全隱患更大一些。

(3)目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡安全構成了威脅。

(4)存在“重技術、輕安全、輕管理”的傾向。

(5)服務器與系統(tǒng)一般都沒有經(jīng)過細密的安全配置。

2 校園網(wǎng)絡安全分析

2.1 物理安全分析

網(wǎng)絡的物理安全風險主要有環(huán)境事故（如地震、水災、火災、雷電等）、電源故障、人為操作失誤或錯誤、設備被盜或被毀、電磁干擾、線路截獲等。

2.2 網(wǎng)絡結(jié)構的安全分析

網(wǎng)絡拓撲結(jié)構設計也直接影響到網(wǎng)絡系統(tǒng)的安全性。從結(jié)構上講，校園網(wǎng)可以分成核心、匯聚和接入三個層次；從網(wǎng)絡類型上講，可以劃分為教學子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點是接入方式多，包括撥號上網(wǎng)、寬帶接入、無線上網(wǎng)等各種形式，接入的用戶類型也非常復雜。

2.3 系統(tǒng)的安全分析

系統(tǒng)安全是指整個網(wǎng)絡的操作系統(tǒng)和網(wǎng)絡硬件平臺是否可靠且值得信賴，其層次分為鏈路安全、網(wǎng)絡安全、信息安全。目前，沒有完全安全的操作系統(tǒng)。

2.4 應用系統(tǒng)的安全分析

應用系統(tǒng)的安全是動態(tài)的、不斷變化的，涉及到信息、數(shù)據(jù)的安全性。

2.5 管理的安全風險分析

安全管理制度不健全、責權不明確及缺乏可操作性等，都可能引起管理安全的風險。

3 校園網(wǎng)絡安全解決方案

3.1 校園內(nèi)部網(wǎng)絡安全方案

3.1.1 內(nèi)網(wǎng)病毒防范

在網(wǎng)絡的匯聚三層交換機上實施不同的病毒安全策略。網(wǎng)絡通過在交換機上設置相應的病毒策略，配合網(wǎng)絡的認證客戶端軟件，能偵測到具體的計算機上是否有病毒。

3.1.2 單機病毒防范

教師機安裝NT 內(nèi)核的操作系統(tǒng)，使用NTFS 格式的分區(qū)；服務器可以使用Windows Server甚至UNIX或類UNIX系統(tǒng)。學生機安裝硬盤還原卡、保護卡或者還原精靈，充分利用NTFS分區(qū)的“安全”特性，設置好各個分區(qū)、目錄、文件的訪問權限。安裝簡單的包過濾防火墻。

3.1.3 內(nèi)部網(wǎng)絡安全監(jiān)控

采用寬帶接入、安全控制和訪問跟蹤綜合為一體的安全路由交換機，能把網(wǎng)絡訪問安全控制前移到用戶的接入點。利用三層交換機的網(wǎng)絡監(jiān)控軟件，對網(wǎng)絡進行即時監(jiān)控。

3.1.4 防毒郵件網(wǎng)關系統(tǒng)

校園網(wǎng)網(wǎng)關病毒防火墻安裝在Internet 服務器或網(wǎng)關上，在電腦病毒通過Internet 入侵校園內(nèi)部網(wǎng)絡的第一個入口處設置一道防毒屏障，使得電腦病毒在進入網(wǎng)絡之前即被阻截。

3.1.5 文件服務器的病毒防護

服務器上安裝防病毒系統(tǒng)，可以提供系統(tǒng)的實時病毒防護功能、實時病毒監(jiān)控功能、遠程安裝和遠程調(diào)用功能、病毒碼自動更新功能以及病毒活動日志、多種報警通知方式等。

3.1.6 中央控制管理中心防病毒系統(tǒng)

建立中央控制管理中心系統(tǒng)，能有效地將跨平臺、跨路由、跨產(chǎn)品的所有防毒產(chǎn)品的管理綜合起來，使管理人員能在單點實現(xiàn)對全網(wǎng)的管理。

3.2 校園外部網(wǎng)絡安全方案

3.2.1 校園網(wǎng)分層次的拓撲防護措施

層次一是中心級網(wǎng)絡，主要實現(xiàn)內(nèi)外網(wǎng)隔離、內(nèi)外網(wǎng)用戶的訪問控制、內(nèi)部網(wǎng)的監(jiān)控、內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查；層次二是部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制、同級部門間的訪問控制、部門網(wǎng)內(nèi)部的安全審計；層次三是終端/個人用戶級，主要實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制、數(shù)據(jù)庫及終端信息資源的安全保護。

3.2.2 校園網(wǎng)安全防護要點

(1)防火墻技術。目前，防火墻分為三類，包過濾型防火墻、應用代理型防火墻和復合型防火墻（由包過濾與應用代理型防火墻結(jié)合而成）。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)絡之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。

(2)防火墻設置原則。一是根據(jù)校園網(wǎng)安全策略和安全目標，遵從“不被允許的服務就是被禁止”的原則；二是過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包和以非法IP地址離開內(nèi)部網(wǎng)絡的IP包；三是在防火墻上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表，防止IP地址被盜用；四是定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良的上網(wǎng)記錄；五是允許通過配置網(wǎng)卡對防火墻進行設置，提高防火墻管理的安全性。

(3)校園網(wǎng)部署防火墻。系統(tǒng)中使用防火墻，在內(nèi)部網(wǎng)絡和外界Internet之間隔離出一個受屏蔽的子網(wǎng)，其中WWW、E-mail、FTP、DNS 服務器連接在防火墻的DMZ區(qū)，對內(nèi)、外網(wǎng)進行隔離。內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機，外網(wǎng)口通過路由器與Internet 連接。

(4)入侵檢測系統(tǒng)的部署。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，可以彌補防火墻相對靜態(tài)防御的不足。根據(jù)校園網(wǎng)絡的特點，將入侵檢測引擎接入中心交換機上，對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測。

(5)漏洞掃描系統(tǒng)。采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。

3.2.3 校園網(wǎng)防護體系

構造校園網(wǎng)“包過濾防火墻+NAT+計費+代理+VPN＋網(wǎng)絡安全檢測＋監(jiān)控”防護體系，具體解決的問題是：內(nèi)外網(wǎng)絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡；隔離內(nèi)部不同網(wǎng)段，建立VLAN；根據(jù)IP地址、協(xié)議類型、端口進行過濾；內(nèi)外網(wǎng)絡采用兩套IP地址，需要網(wǎng)絡地址轉(zhuǎn)換NAT功能；通過IP地址與MAC地址對應防止IP欺騙；基于用戶和IP地址計費和流量統(tǒng)計與控制；提供應用代理服務，隔離內(nèi)外網(wǎng)絡；用戶身份鑒別、權限控制；支持透明接入和VPN 及其管理；網(wǎng)絡監(jiān)控與入侵檢測。

4 校園網(wǎng)絡運營安全

4.1 認證的方式

網(wǎng)絡運營是對網(wǎng)絡用戶的管理，通過“認證的方式”使用網(wǎng)絡。方式如下：

(1)802.1x的基本思想是端口的控制。一般是在二層交換機上實現(xiàn)，需要接入的所有交換機都支持802.1x協(xié)議，實現(xiàn)整網(wǎng)的認證。

(2)基于流的認證方式。指交換機可以用基于用戶設備的MAC地址、VLAN、IP等實現(xiàn)認證和控制，能解決傳統(tǒng)802.1x無法解決但對于運營是十分重要的一些問題，如假代理、假冒IP和MAC、假冒DHCP SERVER。

4.2 代理管理

利用客戶端機器上安裝代理服務器軟件實現(xiàn)多人共用一個賬號上網(wǎng)的現(xiàn)象非常普遍，給學校的運營帶來很大的損失。使用三層交換機上的802.1x擴展功能和802.1x客戶端，防止非認證的用戶借助代理軟件從已認證的端口使用服務或訪問網(wǎng)絡資源，做到學校提供一個網(wǎng)絡端口只能一個用戶上網(wǎng)。

4.3 賬戶管理

學生是好奇心強的群體，假冒DHCP SERVER和IP、MAC給學校的運營管理帶來很大的麻煩。通過匯聚三層交換機和客戶端軟件配合，發(fā)現(xiàn)有假冒的DHCP SERVER，立即封掉該賬戶。

5 校園網(wǎng)絡的訪問控制策略

5.1 建立并嚴格執(zhí)行規(guī)章制度

規(guī)章制度作為一項核心內(nèi)容，應始終貫穿于系統(tǒng)的安全生命周期。

5.2 身份驗證

對用戶訪問網(wǎng)絡資源的權限進行嚴格的認證和控制。

5.3 病毒防護

主要包括預防計算機病毒侵入、檢測侵入系統(tǒng)的計算機病毒、定位已侵入系統(tǒng)的計算機病毒、防止病毒在系統(tǒng)中的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒和調(diào)查病毒來源。

6 校園網(wǎng)絡安全監(jiān)測

校園網(wǎng)絡安全監(jiān)測可采用以下系統(tǒng)或措施：入侵檢測系統(tǒng)；Web、E-mail、BBS的安全監(jiān)測系統(tǒng)；漏洞掃描系統(tǒng)；網(wǎng)絡監(jiān)聽系統(tǒng)；在路由器上捆綁IP和MAC地址。這些系統(tǒng)或措施在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行檢測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

7 校園網(wǎng)絡系統(tǒng)配置安全

7.1 設置禁用

禁用Guest賬號；為Administrator設置一個安全的密碼；將各驅(qū)動器的共享設為不共享；關閉不需要的服務，運用掃描程序堵住安全漏洞，封鎖端口。

7.2 設置IIS

通過設置，彌補校園網(wǎng)服務器的IIS 漏洞。

7.3 運用VLAN 技術來加強內(nèi)部網(wǎng)絡管理VLAN 技術的核心是網(wǎng)絡分段，網(wǎng)絡分段可分為物理分段和邏輯分段兩種方式。在實際應用過程中，通常采用二者相結(jié)合的方法。

7.4 遵循“最小授權”原則

指網(wǎng)絡中的賬號設置、服務配置、主機間信任關系配置等都應為網(wǎng)絡正常運行所需的最小限度，這可以將系統(tǒng)的危險性大大降低。

7.5 采用“信息加密”技術

包括算法、協(xié)議、管理在內(nèi)的龐大體系。加密算法是基礎，密碼協(xié)議是關鍵，密鑰管理是保障。

8 校園網(wǎng)絡安全管理措施

安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。

9 結(jié)束語

校園網(wǎng)安全是一個動態(tài)的發(fā)展過程，應該是檢測、監(jiān)視、安全響應的循環(huán)過程。確定安全技術、安全策略和安全管理只是一個良好的開端，只能解決60%～90%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，這些都是對信息系統(tǒng)安全的挑戰(zhàn)。

參考文獻：

[1]孫念龍.后門防范技巧[J].網(wǎng)管員世界，2005(6).

[2]段新海.校園網(wǎng)安全問題分析與對策[J].中國教育網(wǎng)絡，2005(3).

[3]王子榮，李軍義，胡峰松.IPv6 發(fā)展與部署之冷靜思考[J].教育信息化，2005(12).

收稿日期：2008-01-22

作者簡介：顧晟（1977-），男，江蘇興化人，泰州師范高等專科學校助教，研究方向：實驗室建設與管理，計算機網(wǎng)絡安全。