構建安全的校園網系統

摘要：文章從技術和管理層面討論了安全校園網系統的建設問題。在技術層面上，根據校園網應用的不同，劃分不同的安全等級區域，并針對各個區域的應用需求進行網絡安全設計；在管理層面上，強調建立網絡安全管理及應急響應機制，保障網絡管理的規范化、制度化，提高網絡安全管理能力。

關鍵詞：校園網；網絡安全；網絡管理

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)35-2453-02

Campus Network Security System Construction

CHEN Yan

(Yongzhou Vocational and Technical College Hunan Province，Yonzhou 425006，China)

Abstract: The campus network security system construction be discussed from technology and management in this article. In technology， the security classification be divided by the different applications of campus network， thus， the network security system should be designed to meet the application requirements of each region. In management， it emphasizes on the network security management and emergency response system should be established to guarantee the standardization and institutionalization of network management， so the security management of network will be improved.

Key words: campus network; network security; network management

1 引言

校園網絡作為信息化校園的重要組成部分，在全國各高校大規模展開，已近十年的歷程。校園網的建設重點已從最初單純的網絡硬件鋪設，簡單的Internet接入，小規模離散的應用，發展到大規模成系統的網絡應用。近年隨著網絡技術的快速發展，網絡應用日益普及，學校的教學和管理對校園網的依賴程度不斷加大。網絡的脆弱性，使得依賴于網絡的教學與管理面臨著安全威脅，網絡安全成了校園網建設的焦點問題。構建安全的校園網并不是簡單的堆砌網絡安全技術或安全產品，它不僅涉及到技術層面，也涉及到非技術層面。本文似從技術和管理兩個層面來探討如何構建安全的校園網絡系統。

2 校園網的特點及安全現狀分析

校園網有著自己鮮明的特點：一是大規模、高速網絡環境，主要表現為用戶數據龐大、地域分布的多校區網絡和快速局域網技術；二是復雜的應用和業務類型，主要表現為公共服務、科研應用、教學輔助、學生管理、行政管理、教學管理和普通上網應用等；三是活躍的、不同使用水平的網絡用戶群體，即有普通的用戶群、又有管理用戶群，還有網絡相關專業的學生用戶群，他們網絡應用目的不同，對網絡的熟悉程度不同；三是大量的非正版軟件和電子資源；五是開放的環境和寬松的安全管理體制；六有限的資金投入。這些特點使得校園網既不像Internet那樣毫無限制，又不像電子商務企業那樣為強化安全與保密而嚴加管理和控制。

校園網的上述特點，使得校園網一方面要面臨一般企業網絡所必須面對的各種安全威脅，如：普遍存在的計算機系統漏洞產生的各種安全隱患；計算機蠕蟲、木馬、病毒泛濫，對用戶主機、應用系統和網絡運行構成的嚴重威脅；外來的攻擊、入侵等惡意行為、垃圾信息和不良信息的傳播行為等。另一方面校園網又不得不應付來自內部的安全威脅，如內部用戶的攻擊行為，對網絡資源的濫用行為等等。

3 校園網安全需求分析

在校園網的安全設計中，必須考慮到校園網的上述特殊性。不能將整個校園網作為單一的安全區域，必須根據不同的應用類型、不同的服務對象將校園網劃分為具有不同安全等級的區域，并針對這些區域進行專門的安全設計。一般來說，我們可以將校園網分為：學生網絡、教學管理網絡、公共應用服務網絡、網絡管理系統和分校區網絡等幾個部分。下面對這些網絡的安全需求進行分析。

3.1 Internet連通性的安全需求

Internet連通性是校園網最重要的功能，一方面要滿足內部用戶的Internet訪問要求，另一方面又要對外發布Web服務、電子郵件服務和FTP服務等公共服務。而Internet卻是攻擊和威脅的重要來源，阻斷所有不能接受的訪問流量是最基本的安全需求，同時保持對來自Internet的網絡攻擊的檢測能力，是防范求知攻擊的必然要求。與內部用戶的上網需求相比，校網園對外發布的公共服務應該受到更好的安全保護，在設計時必須給予重點考慮。

3.2 學生網絡的安全需求

學生網絡兩大特點：一是用戶數量多數據流量大，學生是P2P(peer-to-peer)應用的熱衷者，而P2P應用則是網絡帶寬的“殺手”，2006年我院對擁有1100多用戶的學生網絡進行了一項測試，使用一款“P2P終結者”軟件來屏蔽P2P數據包，結果網絡出口總流量驟降一半，據此可以估算有50%網絡帶寬被P2P軟件所消耗。事實上這個估算是保守的，有研究表明，P2P流量取代了HTTP流量成為Internet流量的主體，占Internet中總流量的60%~70%，占最后一公里接入網流量的80%[1]；二是用戶類型復雜，2007年我院的一次問卷調查表明，85%以上的學生缺乏網絡安全意識，近5%的學生用戶偶爾嘗試過網絡攻擊，近0.2%的學生在研究網絡攻擊技術，他們是內部攻擊的主要來源，也是最主要的病毒源和木馬源。因此在進行網絡安全考慮時，首先要對來自學生網絡的帶寬進行限制，以保證網絡資源的合理分配；其次要約束學生網絡對校園網關鍵服務的訪問，盡最大努力過濾其運行特定應用程序的能力；同時還需要加強對網絡流量嗅探和中間人攻擊(MITM)的防范能力，以減少學生相互間的攻擊。

3.3 教學管理網絡的安全需求

鑒于教學管理數據的安全性需求高，教學管理網絡與學生網絡絕對不能位于同一個信任級別，應該有更高的安全需求，給予保護并與校園網絡的其他部分進行隔離。主要有以下三項安全措施，一是設置防火墻實施訪問控制；二是設置入侵檢測系統進行網絡安全監測；三是強化論證，雖然加密所有教學管理應用程序太過繁重，但是對于某些關鍵系統（會計和學生記錄）應該要求強認證。

3.4 網絡管理系統的安全需求

網絡管理系統負責整個校園網的通暢和安全管理工作，確保網絡管理系統的安全是非常重要的工作，因此應該設置防火墻將管理網絡與校園網的其它部分進行隔離加以保護。

3.5 分校區網絡連接的安全需求

分校區和遠程用戶都需要直接訪問校園網內部的服務，出于資金考慮，多數的分校網絡都沒有專線連通，部分學校嘗試無線通信，實際情況看來，其保密性和穩定性都不高。比較經濟實用的解決方案就是，使用虛擬專用網（VPN）技術穿過廣域網(WAN)。

4 校園網結構的安全設計

基于上述校園網安全的分析，我們可以設計出如圖1所示的安全校園網絡系統。

4.1 校園網邊界安全設計

Internet接入是校園網最基本的業務需求，與Internet相比，校園網內部自然是一塊相對單純的可信任安全區域，為保證校園網內部的安全性和校園網公共服務的可訪問性，需在校園網邊界進行如下安全設置。

一是設置防火墻：防火墻首先要提供入網級的訪問控制功能，以有效地阻斷來自Internet的非法訪問；其次要提供虛擬專用網（VPN）功能，借助廣域網實現遠程分校區網絡的安全連接，使得訪問遠程校園網絡，如同訪問本地網絡一個方便安全，在保證安全性的同時還可以節省出專線費用；最后還應具備網絡地址轉換功能（NAT），使得Internet用戶可以訪問校園網內部的公共服務。二是設置AAA認證服務器，提供對用戶身份認證、安全管理、安全責任跟蹤和計費等功能。三是設置網絡入侵檢測系統（NIDS），同時可在邊界路由器上啟用NetFlow功能，以加強對非法入侵和惡意攻擊行為的檢測和發現能力，為網絡管理員提供網絡異常事件的處理能力。

4.2 學生網絡的安全設計

從前面的校園網業務需求的安全性分析可知，校園網內部并非鐵板一塊，不同的業務需求對安全性的要求是不同的，相對來說學生網絡的安全級別最低。針對學生網絡用戶數量龐大、用戶類型的復雜性的特點，主要可采取以下安全措施：一是為保證網絡資源的合理有效分配，必須進行網絡流量限制；二是在交換機處提供必要的第二層安全控制，以減少網絡流量嗅探攻擊，中間人攻擊(Man-in-the-middle-attacks，簡稱:MITM攻擊)；三是在不同學生網段的路由器上設置無狀態ACL，以實現數據過濾。后兩項措施可以緩解學生系統之間的相互攻擊。總體上講，學生網絡的安全防護功能是相當弱的，主要的安全防護功能落在了學生主機上，因此必須加強網絡安全教育，提高學生的安全防范意識和能力。但是較低的安全防護設計卻給學生創造了一個相當寬松的網絡環境。

4.3 教學管理網絡和公共服務網絡的安全設計

教學管理網絡和公共服務網絡的服務器中存在著大量敏感的數據，比如說學生成績和學生注冊信息，它們極易受到來自于Internet及學生網絡的攻擊，因此也就提出了更高的安全需求。對教學管理網絡和公共服務網絡的安全設計，相當于在校網絡的基礎上建立起一個安全性更高的內部網絡。其安全設置類似于校園網與Internet之間的安全設計，如添加防火墻進行訪問控制，增加NIDS進行入侵檢測。從圖中可以看到，對學生網絡來說，它有一道防護屏障，而相對于Internet再說，它受到兩道防護屏障的保護。這是一個合理的安全等級層次。

4.4 管理網絡的安全設計

管理網絡看似類似于行政網管，需要使用防火墻進行保護。但是它有完全不同的業務需求，它負責整個網絡的安全管理，要根據各種校園網絡設備的管理需求，設置允許入站和出站的特定連接。因為它的周圍有許多不可信的網絡，在網絡設備與管理網絡進行數據傳送時，必須保證數據的安全保密性，因此數據傳遞過程中的安全要求較高，在數據通信需要使用SSH/SSL等安全通信協議。對于那些不支持SSH/SSL的網絡設置，只能使用如Telnet之類的明文管理協議，在這種缺乏安全協議的情況下，應該限制可訪問Telnet后臺程序的IP地址，以增加這些網絡設備管理的安全性。

5 校園網安全管理

校園網的安全性不僅僅是一個技術問題，還需要安全管理的支持。安全的校園網絡系統是安全技術與安全管理有機結合的整體，它遵循所謂的“木桶原理”。正如木桶的容積決定于它最短的木板一樣，校園網系統的安全強度等于它最薄弱環節的安全強度。經驗表明，得不到足夠重視的網絡安全管理恰恰是校園網安全系統中最薄弱的一個環節。安全專家們則強調網絡安全靠的是“三分技術，七分管理”。

為加強校園網的管理，需要做好以下四項工作：一是觀念的更新，網絡安全不止是技術部門和專業人員的責任，應該得到學校高層的充分重視，需要所有的網絡用戶的共同遵循安全規則；二是建立網絡安全管理機構，明確權力和負責，從組織機構上保障網絡安全管理的有效實施；三是制訂網絡安全管理制度，明確校園網用戶的權利和義務，使用戶共同遵循校園網使用規則；四是建立完善的安全管理及應急響應機制，以對突發性安全事件做出迅速準確的處理，最大限度地減少損失。

安全事件處理機制的建立往往是校園網安全管理的盲區。與國防、金融等機構比起來校園網的安全級別低，應付安全突發事件的重要性并不是太突出。而且在一般情況下，意外事件發生的幾率不高，應付安全突發事件的必要性也往往被忽視。但是100%安全的網絡是不存在的，如果不能對網絡安全事件做出迅速而準確的響應，就有可能造成重大的損失。事實是，歷史上幾次重大的安全突發事件所造成的惡劣影響，使得各國都非常重視緊急事件響應處理。美國國防部于1989年資助卡內基.梅隆大學建立了世界上第一個計算機緊急響應小組CERT（Computer Emergency Response Team）及其協調中心CC(Coordination Center)。CERT/CC的成立標志著信息安全由傳統的靜態保護手段開始轉變為完善的動態防護機制。此后在20世紀90年代，計算機安全應急處理得到了廣泛而深入的研究。在我國，中國計算機教育與科研網(CERNET)于1999年成立計算機緊急事件響應組織(CCERT)，是國內第一個安全事件響應組織；2000年3月，中國計算機網絡應急處理協調中心(CNCERT/CC)成立，該中心在國家因特網應急小組協調辦公室的直接領導下，協調全國范圍內計算機安全事件響應小組的工作，并加強與國際計算機安全組織的交流。

在校園網建設中，借助CERT的理念和研究成果，建立必要的網絡管理和應急響應機制將有利于規范和提高校園網安全管理能力。圖2所示，是一個可行的網絡管理和應急響應機制構建方案，說明如下。

1) 網絡安全的日常管理：在校園網的關鍵部分加強網絡安全的日常管理，使日志檢查、漏洞掃描、系統升級、病毒防御等工作制度化、常規化，盡量減少因管理員疏忽等主觀因素而引起的安全事件。建立責任追究制度，強化網絡管理人員的責任心。

2) 網絡安全應急小組：接收并處理來自用戶的安全突發事件，NetFowl等流量分析的異常報告、入侵檢測系統的入侵警告和日常管理中的安全事件報告。通過分析調查，決定采取相應的應急處理措施，如系統隔離、事件跟蹤、漏洞修補、安全策略調整、系統恢復和統計報告等等。同時為廣大用戶提供各種安全服務，如安全咨詢、安全教育和安全工具等等。

6 小結

網絡安全是當前校園網建設和應用的焦點問題，本文從技術和管理層面深入地討論了安全校園網系統的建設問題。在技術層面上，需要根據校園網應用的不同，劃分不同的安全等級區域，并針對各個區域的應用需求進行安全設計；在管理層面上，特別強調建立網絡安全管理及應急響應機制，保障網絡管理的規范化、制度化，提高網絡安全管理能力。

參考文獻：

[1] CacheLogicResearch. The true pictures of P2P file sharing [EB/OL].http://cachelogic.com/research/slide1.php，2004.

[2] Convery S.網絡安全體系結構[M].江魁，譯.北京:人民郵電出版社，2005.

[3] 連一峰，戴英俠.計算機應急響應系統體系研究[J].中國科學院研究生院學報，2004，21(2):202-209.

[4] 傅光軒，高鴻峰.校園網信息安全及對策[J].貴州大學學報(自然科學版)，2004，21(2):175-178.

[5] 顧國飛，沈建莉.基于六層安全體系的校園網整體安全解決方案[J].計算機工程，2002(28):294-299.