構建安全的校園網

摘要：近年來隨著高校信息化建設的高速發展，校園網的安全問題也日益突出。該文就如何建構一套完善可行的高校網絡安全體系作了詳細的分析，并提出相應的安全策略與解決方案。

關鍵詞：校園網；安全體系；建設

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)35-2446-03

Construction of the Campus Network Security

TAO Liang， GUO Lin

(Jinling Institute of Technology Network Information Center，Nanjing 210000，China)

Abstract: in recent years with high-speed development of information construction， the safety problems of campus intranet turn acute in colleges and universities. this article make the detailed analysishow to build a set of feasible colleges' network safety system and proposethem the corresponding security policy and the solution method.

Key words: campus net; safety system; constraction

1 引言

隨著網絡技術應用的推廣普及，應用層次的不斷深入，網絡應用領域也正從傳統的、小型業務系統向大型、關鍵業務系統擴展。網絡所具有的開放性、國際性和自由性在增加應用自由度的同時，也為網絡安全增加了更多的風險，網絡安全正日益成為影響網絡效能的重要因素。如何建構一套完善可行的高校網絡安全體系，也是校園網建設過程中所必須考慮的重要事情之一。

2 安全防護體系建設

信息安全系統由物理安全、信息安全、系統安全、終端安全等多部分構成。

物理安全主要是保障網絡的物理環境、網絡設備、數據介質及其它相關物理實體的安全。其主要目的是為各種應用系統提供一個安全的物理運行環境，提供可靠的物理保障。

網絡安全主要是保證網絡結構的安全，對網絡設備進行安全配置、在網絡層加強訪問控制能力；加強對攻擊的實時檢測能力；加強網絡病毒的防范能力。

接入安全是對為了防止網絡遭受潛在的破壞性攻擊（來自內部的有意或者無意的攻擊）而設計，可以解決大部分內部網絡安全問題，包括威脅防御、病毒防范、身份驗證、訪問授權和安全通信等。

系統安全是指保障應用系統的正常運行。它建立在物理安全和網絡安全的基礎之上，主要包括系統的終端安全、統一病毒防護管理、操作系統安全、數據庫系統安全、應用服務安全幾個方面。

終端安全是整個信息安全體系中最脆弱的部分，也是最易被利作的部分，因此需要對終端安全進行重點防護。終端安全包括終端用戶、終端用戶的補丁升級管理、終端資產管理、終端軟件管理幾個方面。

2.1 物理安全

保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提。 對于校園網物理層的安全策略與解決方案主要考慮以下兩個方面：

1)物理訪問控制方面

校園網需建立基于網絡系統的數字化視頻監控系統，部分重點區域采用紅外線報警系統。對主機房及重要信息存儲系統，首先要保證重要地點的安全防范工作，如：非工莫入、出入記錄、錄像監控、門磁、窗磁、紅外報警等。以上非工莫入、出入記錄可以采用IC卡技術、指紋技術等來實現，可以做到實時記錄，方便查詢等優點。

2)物理安全方面

對主機房及重要信息存儲等重要部門來說，一旦電源發生故障，就會造成信息的丟失，正常工作無法進行。通常，網絡主機房內部會部署專用UPS等，因此需要考慮的是對UPS的合理監控與維護。

另外，電源質量對用電設備的使用壽命、安全等有重大影響。在電源系統中，存在尖峰、浪涌等情況，一旦發生會使用電設備處于危險境地，為避免因電源質量而造成不安全因素，可以采用電源凈化系統。另外還需要考慮安全接地問題與防雷問題。

2.2 網絡安全

網絡安全是校園網安全的核心和靈魂，在這里需要考慮以下的安全策略與解決方案。

1)網絡邊界防護

對內部網絡不同的安全區域有不同的安全需求，做不同的安全訪問控制措施。

對于廣域網的安全接入，要考慮使用防火墻的機制來完成訪問控制。

對于Internet的安全接入，建議才用具有防火墻和IPS功能的UTM設備完成訪問控制。

對于數據中心（服務器群）區域，通過采用服務器接入交換機，雙鏈路上連核心交換機清晰劃分出服務器安全域，同時通過防火墻技術對服務器區域進行安全防護。

2)入侵檢測與防御

建立網絡安全主動防御機制，采用入侵檢測和入侵防御系統對校園網網絡的重要網段提供主動性的安全保證措施。

3)網絡設備安全加固

加強網絡設備的自身安全就是保證網絡基礎設施的安全性。通過對校園網網絡中所有的網絡設備進行安全加固，提高網絡設備自身的安全性。

4)網絡設備和服務器的身份認證

為了保證校園網內部網絡中重要的網絡設備（路由交換）服務器和其它的網絡設備的有序管理，校園網絡通過802.1X進行集中式的身份認證。

2.3 系統安全

對于校園網網絡安全的系統安全，在這里我們需要考慮以下的安全策略與解決方案：

1)建立完善的防病毒體系

在校園網網絡中配備網絡版的防病毒系統進行文件病毒的防護。將校園網現有的網絡版防病毒系統升級到統一版本，并布署統一防病毒管理和監控平臺。

2)郵件系統安全

校園網在建立安全郵件系統的同時，必須考慮對垃圾郵件的防御。

3)系統的加固

通過對校園網網絡中各系統進行安全評估，根據評估報告，針對各系統的漏洞進行配置加固和完整。包括操作系統的配置加固、數據庫系統的配置加固以及各應用系統的配置加固等。

2.4 終端安全

對于校園網網絡來說，終端設備的安全建設主要從幾個方面來進行：

終端資產的管理。包括：終端軟、硬件、應用程序以及相關責任人，讓管理員能夠隨時了解終端資產的狀況；

終端安全策略的管理。包括：審計策略、帳戶策略、密碼策略、服務及端口開放策略、注冊表安全策略等。通過建立一套安全策略基線，可以大大降低終端自身的脆弱性，提高抵御能力；

終端安全補丁的分發和管理。實現Windows補丁的及時更新，避免由于安全漏洞而引起的風險；

終端訪問控制管理。包含兩個方面的內容：a、通過個人防火墻或者其他設備，防止外部系統對終端主機的分發訪問；b、限制終端主機對外部資源的非法訪問，或者，作為一種對不遵守學校安全策略用戶的懲罰性措施；

終端訪問行為審計。對于用戶的訪問行為進行相關的記錄，同時，能夠集中的存儲和統計、查詢用戶訪問行為，保障出現問題的時候能夠進行有效的審計和定位。

終端安全防護和管理。對于整個校園網的終端系統來講，統一采用一個安全控制手段，統一的安全策略來保障終端系統自身的安全，提升整個的安全防護水平。并使得整個校園網的終端系統安全做到可控和可管理。

3 安全檢測體系建設

3.1 漏洞掃描

由于入侵手段的日益復雜和常用系統出現的安全缺陷，分析網絡系統對破壞的抵抗能力有助于保障安全。漏洞掃描分析系統當前的設置和防御，指出潛在的安全漏洞，以改進系統對入侵的防御能力。漏洞掃描技術主要是用來評估計算機網絡系統的安全性能，是網絡安全防御中的一項重要技術，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務器、交換機、數據庫應用等各種對象。然后根據掃描結果向系統管理員提供安全性分析報告，為提高網絡安全整體水平產生重要依據。

漏洞掃描系統安全檢測涉及到網絡中的防火墻、路由器、主機（MS Windows、 LINUX 、SUN Solaris、HPUX 等）漏洞及開啟的服務，文件的內容和配置以及系統安全補丁等問題。應用漏洞掃描系統可以提前警告網絡系統中的弱點所在，防止黑客入侵和內部人員的誤用，是維護網絡系統信息安全的好幫手。

為了能對全網的安全水平有所了解，并且能及早發現網絡上存在的問題，對全網的安全做比較全面評估，在校園網網絡中配置布署一套漏洞掃描軟件，對所管理的服務器、主機、網絡設備、安全設備進行掃描，生成掃描評估報告，對不同的業務系統采取不同的掃描策略進行分析掃描，從網絡的內部、外部對整個網絡進行分析評估，生成分析報告，以供網絡管理人員分析，以制定出針對全網的合理的安全防護策略。

3.2 安全評估

3.2.1 掃描評估

在安全評估服務中我們將借助先進的評估工具和科學的工程方法，對客戶信息系統進行測試、掃描，發現已經存在或可能存在的信息系統安全威脅，并形成客戶信息系統安全威脅評估報告。

掃描評估主要是根據已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協議、網絡服務、網絡設備、應用系統等各種信息資產所存在的安全隱患和漏洞。掃描的方式可以采用網絡掃描和主機掃描。

基于網絡的掃描工具是通過網絡遠程探測其他主機的安全風險與漏洞。

基于系統的掃描工具主要關注軟件所在主機或網絡設備上的風險與漏洞。

3.2.2 人工評估

為了彌補工具掃描的不足，通過人工的方式對系統的安全性各方面進行檢查，主要的人工分析包括：

1)安全配置檢查

系統管理和維護的正常配置，合理配置及優化配置。例如系統目錄權限，帳號管理策略，文件系統配置，進程通信管理等。

2)安全機制檢查

安全機制的使用和正常配置，合理配置及優化配置。例如日志及審計、備份和恢復，簽名與校驗，加密與通信，特殊授權及訪問控制。

3)文檔調查

相關文檔包括系統開發的安全需求文檔，應用開發文檔，相關安全策略及安全管理制度等。

4)問卷調查及訪談

通過問卷調查及訪談的方式，明確關鍵資產的業務職能，現有的安全策略以及實際的安全需求，全面了解系統的安全現狀及運行狀況。

3.2.3 滲透測試

完全模擬黑客可能使用的攻擊技術和漏洞發現技術，對目標系統的安全作深入的探測，發現系統最脆弱的環節。滲透性測試的目的是為了找到系統中隱藏的安全漏洞，能夠直觀的讓管理人員知道自己網絡所面臨的問題。

滲透性測試涉及到以下內容：系統帳戶檢查、系統日志檢查、后門進程檢查、木馬程序檢查、本地溢出程序檢查、信任主機檢查、攻擊來源檢查。

4 校園網安全管理

“三分技術，七分管理”是網絡安全領域的一句至理名言，在安全業界，安全重在管理的觀念已被廣泛接受，因此，對用戶安全管理、安全制度等問題的建議也應當作為安全解決方案的重要組成部分。國際上，以ISO17799/BS7799為基礎的信息安全管理體系已經確立，并已被廣泛采用。校園網應以此為標準進行網絡信息系統的安全現狀評估、安全策略與安全制度建立等。通過加強安全管理，才能保證由安全產品和安全技術組成的安全防護體系發揮應有的作用。

4.1 網絡設備的口令管理

校園網網絡設備的口令可分為重要口令和普通口令。重要口令包括各級路由器的特權口令和各主機的超級用戶口令。普通口令包括各級路由器的普通口令和各主機的普通帳號口令。

重要口令必須定期更換，重要口令應只限于必需的相關人員掌握。不得傳遞給任何其他人。各級口令不得以任何形式的明文存放在連入互連網的主機電子文檔中。各級口令不得以明文形式在電子郵件、傳真中傳播。

工程施工、廠商技術支持完成后，相關的各級用戶口令必須盡快修改。掌握口令的重要網絡管理人員離開崗位后，有關的各級用戶口令必須盡快修改。

4.2 配置數據備份

網絡系統的備份工作是系統出現故障、甚至崩潰時的重要恢復手段，是安全工作的重中之中，必須高度重視。

網絡所有路由器配置均應保留備份，一般應放置在安全的tftp server中，(tftp server平時關閉，用時方可打開)同時將路由器配置以txt文件復制放置在安全的電子文檔中，若路由器路由配置有所變動，應待路由器運行穩定后將路由器配置重新備份。

4.3 網絡攻擊和入侵應急處理

對于一個完整的安全體系，還必須建立相關的應急機制。網絡管理人員在發現可疑網絡攻擊和入侵跡象時，必須盡快處理并記錄。情況嚴重時，必須盡快聯系網絡安全管理人員取得技術支持。

4.4 網絡安全負責人與電子郵件通報制度

信息中心必須指定專門人員負責網絡安全工作并備案。在其工作變動或者長期出差時，必須指定接替人員，并作好交接工作。

電子郵件和網絡安全站點是各級領導、網絡安全管理人員、網絡管理人員、網絡安全負責人等之間進行及時有效的交流溝通的重要手段，它們互為補充。

5 結束語

校園網安全建設是一項非常復雜的系統工程，不是純粹的技術問題，也不是簡單產品與技術的堆砌，而是策略、技術與管理的綜合。安全策略是校園網安全最核心的問題，是整個校園網安全建設的依據；安全技術包含工具、產品和服務等，是實現校園網安全的有力保證；安全管理主要是人員、組織和流程的管理，是實現校園網安全策略和技術手段的得以成功應用的前提。另外值得我們注意的是，由于安全問題的日趨復雜， 加之校園網自身的情況也在不斷地發展變化，因此校園網安全防范沒有一勞永逸的方法，只有每個人都參與并堅持不懈地努力才能確保它的有效性和先進性。

參考文獻：

[1] 秦宗全，于詠梅，等.校園網絡安全防范體系研究[J].計算機時代，2007(2):16-18.

[2] 陳文冠，曹亮， 陳興華.高校校園網信息安全的研究[J].科技管理研究.2007(2):207-209.

[3] 王達.網管員必讀——網絡安全[M].北京:電子工業出版社，2005.