淺談安徽三聯學院校園網絡安全管理

張健

（安徽三聯學院 計算機科學與技術系，安徽 合肥 230601）

淺談安徽三聯學院校園網絡安全管理

張健

（安徽三聯學院 計算機科學與技術系，安徽 合肥 230601）

隨著校園網的深入應用，學校日常工作已經離不開它，保證校園網絡安全、可靠運行成為一個基本要求.從學校的應用情況來看，校園網是否能真正發揮效益，能否安全、可靠運行，關鍵還是要看網絡的管理.通過分析安徽三聯學院校園網結構特點、需求分析、提出維護校園網安全管理的策略，進一步探索加強校園網絡安全管理的解決途徑.

安徽三聯學院；校園網；網絡安全；管理策略

信息化進程的深入和互聯網的快速發展，校園網絡化成為大學信息化建設的發展趨勢，并且作為學校信息化建設的基礎設施，在教學、科研、管理等方面起著舉足輕重的作用，尤其我們安徽三聯學院這樣新升格的本科院校.但隨著網絡的高速發展，網絡的安全問題日益突出，近兩年間，黑客攻擊、網絡病毒等等已經屢見不鮮,但是在高校網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，隨著網絡規模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，校園網在學校的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題[4,5].

1 安徽三聯學院校園網的結構特點

隨著教育科研網在中國教育科研領域的深入發展，校園網信息化建設也日趨完善.總結我校校園網信息結構的特點，主要有以下幾個方面：

(1)校園網具備完善、層次化的網絡匯結結構，有統一的教育網出口.它是全國高校網的信息互通平臺，同時也是通向國際互聯網的傳輸紐帶.

(2)校園網內建立了一系列重要的應用系統，負責我校日常的信息管理工作，如學生檔案管理、教務管理、人事管理、財務管理、后勤管理等.

(3)校園網的另一個重要網絡是學?？蒲屑爸攸c試驗室網絡.這部分網絡往往都承擔了國家級的課題項目，里面涉及到的信息級別較高.

(4)隨著信息化程度的深入，校園內學生宿舍區的終端數量日益膨脹.與此同時，教工家屬區的PC也通過校園網的網絡資源連入教育科研網.對于這兩類終端，他們的特點是數量龐大，占用帶寬較高且不易管理[3,4].

2 安徽三聯學院校園網安全需求分析

校園網內的用戶數量較大，局域網絡數目較多，認真分析可以總結出我校校園網面臨著如下的安全威脅：

（1）軟件系統自身的安全缺陷導致的威脅，包括操作系統和應用軟件自身存在的安全漏洞和網絡環境中的網絡協議存在安全漏洞；

（2）Internet網絡用戶對校園網存在非法訪問或惡意入侵的威脅；

（3）來自校園網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網.內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內網；

（4）內部用戶對Internet的非法訪問威脅，如瀏覽非法網站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內網；

（5）內外網惡意用戶可能利用利用一些工具對網絡及服務器發起DOS/DDOS攻擊，導致網絡及服務不可用；

（6）校園網內的學生群體是主要的OICQ用戶，目前針對OICQ的黑客程序隨處可見；

（7）可能會因為校園網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅[3,6].

3 安徽三聯學院校園網絡安全管理策略

3.1 規范出口的管理

實施校園網的整體安全架構，必須對原有的網絡架構進行改造，首先需要解決的就是多出口的問題.出口如果不進行規范管理，校園網絡安全體系就無法得以實施.因此，做為校園網絡管理機構必須將所有的校園網絡出口統一管理，嚴禁私自開后門的情況出現，為安全的實施提供最基礎的保障.

3.2 防火墻控制策略

防火墻技術是保證網絡安全最早,也是最廣泛使用的產品，曾經被認為是網絡安全最有效的技術措施[2].隨著網絡攻擊和病毒技術的發展,防火墻已經不是網絡安全的“萬能產品”，但是作為防止網絡攻擊，特別是來自外網的攻擊，防火墻功能仍然是目前其他產品無法替代的.

防火墻的設置可以根據具體的功能而定，作為網絡總出入口，可以設置高性能的硬件防火墻，而在內部的各個必要節點上則可以靈活設置其他的防火墻產品.通過必要的防火墻設置，可以按照服務功能將校園網劃分成多個安全區域和公共區域，并定制多種防范策略，保證網絡應用服務的正常開展[6,7].

3.3 網絡入侵檢測技術

試圖破壞信息系統的完整性、機密性、可信性的任何網絡活動，都稱為網絡入侵.入侵檢測的定義為，識別針對計算機或網絡資源的惡意企圖和行為，并對此做出反應的過程.它不僅檢測來自外部的入侵行為，同時也檢測來自內部用戶的未授權活動.入侵檢測應用了以攻為守的策略，它所提供的數據不僅有可能用來發現合法用戶濫用特權，還有可能在一定程度上提供追究入侵者法律責任的有效證據[2,8].

3.4 數據加密

由于在現實生活中，我們要確保一些敏感的數據只能被有相應權限的人看到，要確保信息在傳輸的過程中不會被篡改、截取等，僅僅通過身份驗證技術是不能做到的,這時我們就需要考慮應用數據加密技術對校園網上的信息進行加密處理了.常用的數據加密技術有兩類：對稱加密和非對稱加密.對稱加密就是對信息的加密和解密都使用相同的密鑰，也就是說一把鑰匙開一把鎖.而非對稱加密就是把密鑰被分解為一對(即公開密鑰和私有密鑰).這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存[2,8].

3.5 配備完整的系統的網絡安全設備

校園網絡雖然比較復雜，但從整體技術架構來看，還是屬于局域網范疇，因此，在局域網和外部網絡接口處配置統一的網絡安全控制和監管設備即可將絕大多數外部攻擊拒之門外.另外需要注意的是，校園網絡現在基本上都是高速網絡，因此配置安全設備既要考慮到功能同時也必須考慮性能，將配置安全設備后對網絡性能的影響盡可能的降到最低.據此要求，校園網絡需要配備以下安全設備：

（1）漏洞掃描系統

（2）安全審計系統

（3）旁路監聽型不良內容過濾系統

（4）覆蓋全校范圍的網絡版防病毒系統

（5）網絡故障檢測以及網絡故障診斷設備

通過配置以上安全產品可以實現對校園網絡進行系統的防護、預警和監控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網絡的故障可以迅速定位并解決[5].

3.6 解決用戶上網身份問題，建立全校統一的身份認證系統

校園網絡基礎安全設施配備后，必須要解決用戶上網身份問題，而身份認證系統是整個校園網絡安全體系的基礎的基礎，用戶身份如果得不到落實，即便發現了安全問題也大多只能不了了之.同時全校的統一身份認證系統，是學校信息化建設中必須要考慮的一個非常重要建設內容.現在的校園網內的一些應用系統或多或少的有具有一定的身份認證功能，但從安全性、通用性、及時性和權威性來看，都不能令人滿意，而且存在很大的安全隱患.為此，必須建立基于校園網絡的全校統一身份認證系統，才能徹底的解決用戶上網身份問題，同時也為校園信息化的各項應用系統提供了安全可靠的保證[5].

3.7 嚴格規范上網場所的管理，集中進行監控和管理

校園網絡建設從教學科研的角度出發，應該鼓勵建設更多的公眾上網場所，給學校師生提供了解網絡和通過網絡學習、工作的方便，這一點我們安徽三聯學院也做了很多工作.但從安全管理的角度來看，對于眾多上網場所的管理，只有使用統一的機房管理軟件、集中身份認證并且進行集中的管理和監控，才可以有效的保證網絡安全.要解決用戶上網身份認證、上網日志保存和查詢的問題，最有效的解決辦法就是采用集中身份認證、集中管理監控的方式，具體來說有以下兩個步驟：

（1）用戶使用網絡首先通過統一的校級身份認證系統確認，非合法用戶無法使用校園網絡.

（2）合法用戶上網的行為受到統一的監控并且上網行為日志集中保存在中心服務器上.這樣既可以不給機房管理增加負擔，同時也可以提供至少三個月以上的日志備查.另外，由于是將訪問日志直接傳送到中心監控服務器上，這保證了這個記錄的嚴肅性和準確性[3,4].

3.8 改造電子郵件系統，提供多種安全監控和管理功能

大多校園網絡使用的免費的電子郵件系統，由于功能和性能等多方面的差距，已經明顯不適應用戶使用和網絡安全對郵件系統的要求；另外，在安全管理方面，無法提供及時的監控和日志，對一些有害信息無法進行過濾，也成為了校園網絡安全管理的主要隱患.從網絡安全以及網絡應用的要求來看，改造校園網絡電子郵件系統是勢在必行的[1].

3.9 根據相關部門的要求，配備專門的安全管理人員，出臺網絡安全管理制度

網絡安全建設是“三分設備，七分管理”，沒有切實可行的安全保障體系和制度，網絡安全就變成了空談.必須要做到及時進行漏洞修補和定期詢檢，保證對網絡的監控和管理[4].另外，學校必須頒布網絡行為規范和具體處罰條例，這樣才能有效的控制和減少內部網絡的隱患.

4 結束語

互聯網的分布特性決定了不可能從主干網上解決校園網的安全問題，校園網絡的安全是整體的、動態的，同時還必須有完善的安全管理規章制度和專門管理人才，才能有效地實現校園網絡安全、可靠、穩定的運行[3].加強校園網安全管理仍然是當前形勢下教育和科研網絡環境安全管理的重點.加強校園網安全管理管理是當前非常迫切、充滿挑戰的任務.

〔1〕黃中偉.計算機網絡管理與安全技術[M].北京:人民郵電出版社,2006.

〔2〕王群.計算機網絡安全技術[M].北京:清華大學出版社, 2008.

〔3〕李振汕.關于校園網絡安全管理[J].計算機安全,2008(3).

〔4〕付沙.基于校園網的信息安全策略研究[J].科技和產業, 2007(12).

〔5〕許開宇.校園網絡安全技術和BT技術應用研究[D].長春:吉林大學,2006.

〔6〕黃峰.校園網防火墻的規劃與實現[D].合肥:中國科學技術大學,2003.

〔7〕胡谷雨.網絡管理技術教程[M].北京:北京希望電子出版社,2002.

〔8〕戚文靜.網絡安全與管理[M].北京:高等教育出版社,2004.

TP393.18

A

1673-260X（2010）05-0025-02

安徽三聯學院2009年度院級科研基金項目資助