南京農業大學：五個手段布立體安全網

文/羅國富

南京農業大學：五個手段布立體安全網

文/羅國富

信息安全是體現學校信息化建設成果及應用效果的根本保證，本文通過分析目前校園網信息安全現狀，并結合南京農業大學校園網實際應用方案，對高校信息安全保障體系架構進行層次分析。

校園網信息安全現狀

管理體制不健全，管理流程不規范

網絡信息安全的保障，首先需要有健全的安全管理體制。目前很多高校沒有規范的網絡信息安全管理制度，缺少合理網絡設備的操作規程和信息系統的分級管理，沒有指定專門的安全管理人員等，使得網絡信息安全很難得到保障。

網絡結構多樣，管理難度較大

校園網有不同的功能分區，包括教學網絡，辦公網絡和學生宿舍網絡等，還有一些學校有多個校區或者校區合并等情況，往往存在不同的網絡架構。同時，高校校園網絡對新技術應用比較超前，很多網絡管理人員經常在校園網嘗試新的技術和管理方式。由此而帶來的安全問題或安全隱患就很難避免。

網絡應用系統數量眾多，管理水平差異較大

信息化建設的過程中，為了滿足教學科研的需要，校園網建設了很多應用系統，包括教務管理、學工系統、電子郵件、網絡辦公和各種網站等，卻缺少專業技術人員管理，甚至委托一些愛好計算機技術的學生來管理，從而導致系統存在很多安全隱患。

網絡安全意識淡薄 投入不足

在信息系統建設初期，很多單位都是滿足于功能的實現，存在著“重技術、輕安全、輕管理”的傾向，還有很多高校網絡管理人員投入嚴重不足，一個管理人員可能肩負著建設、管理和安全的工作，或者有些學校在網絡規劃和安全管理方面干脆全部依賴網絡公司或網絡集成商，這種情況下，網絡信息安全根本無法得到保障。

圖1 三維網絡安全防范技術體系結構

圖2 網絡信息安全防范體系

網絡信息安全保障體系框架

在校園網管理應用中，網絡信息安全體系根本任務就是防范安全攻擊，建立安全機制并提供安全服務。而網絡信息傳遞是以網絡設施為載體，我們可以結合網絡協議結構層次，建構一個針對網絡信息安全的三維網絡安全防范技術體系框架結構（如圖1所示）。

第一維是安全服務，給出了八種安全屬性（ITU-T REC-X.800-199103-I）；二維是系統單元，給出了信息網絡系統的組成；三維是結構層次，給出并擴展了國際標準化組織ISO的開放系統互聯（OSI）模型。框架結構中的每一個系統單元都對應于某一個協議層次，需要采取若干種安全服務才能保證該系統單元的安全。網絡平臺需要有網絡節點之間的認證、訪問控制，應用平臺需要有針對用戶的認證、訪問控制，需要保證數據傳輸的完整性、保密性，需要有抗抵賴和審計的功能，需要保證應用系統的可用性和可靠性。針對網絡信息系統，如果在各個系統單元都有相應的安全措施來滿足其安全需求，則我們認為該信息網絡是安全的。

因此，我們可以把網絡信息安全保障體系根據網絡架構進行層次劃分，不同層次反映了不同的安全問題，根據網絡的應用現狀情況和網絡的結構，我們將防范體系的層次（見圖2）劃分為物理層安全、系統層安全、網絡層安全、應用層安全和安全管理。

物理層安全

該層次的安全包括通信線路的安全、物理設備的安全、機房的安全等。物理層的安全主要體現在通信線路的可靠性（線路備份、網管軟件、傳輸介質），軟硬件設備安全性（替換設備、拆卸設備、增加設備），設備的備份、防災害能力、防干擾能力，設備的運行環境（溫度、濕度、煙塵），不間斷電源保障等。

系統層安全

該層次的安全問題來自網絡內使用的操作系統的安全，如Windows、Linux和Unix等，主要表現在三方面：一是操作系統本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統漏洞等；二是對操作系統的安全配置問題；三是病毒對操作系統的威脅。

網絡層安全

該層次的安全問題主要體現在網絡方面的安全性，包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入的安全、域名系統的安全、路由系統的安全、入侵檢測的手段以及網絡設施防病毒等。

應用層安全

該層次的安全問題主要由提供服務所采用的應用軟件和數據的安全性產生，包括Web服務、電子郵件系統、DNS等。此外，還包括病毒對用戶和系統的威脅。

管理層安全

安全管理包括安全技術和設備的管理、安全管理制度、部門與人員的組織規則等。管理的制度化極大程度地影響著整個網絡的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。

校園網信息安全體系構建

南京農業大學校園信息化起步于1995年，經過1 0余年的建設與發展，現已建成覆蓋全校的、較完整的網絡體系，基于校園網的信息應用系統更是發展迅猛，據不完全統計：我校已有網絡公共服務系統超過100個，網絡業務管理系統數十套，網絡信息資源保有量超過了50TB，各類網絡接入用戶數在20000左右。在網絡基礎設施的建設方面，實現了萬兆校園網主干和高速出口帶寬。校園網目前主要有四個功能分區，教學實驗、辦公網絡、公共機房和學生宿舍，大部分信息應用服務器都放入我校數據中心進行集中管理。根據我校網絡布局和應用系統架構，我們主要從以下幾方面來構建網絡信息安全保障體系。

1. 構建冗余的、高穩定性的校園網絡主干和重要信息平臺服務器冗余備份。

為了保障校園網絡性能和可靠性，我校對主要教學樓宇均采用萬兆互聯和實現線路冗余，對重要信息應用采用容災、容錯等安全防范措施，避免由于單點故障造成網絡傳輸路徑的中斷。在信息應用服務器和業務服務器管理方面，我校在2004年就建立了專門的數據中心，實現服務器硬件平臺集中管理和實時監測，采用專門的防雷防火設計和提供多線路UPS供電保障。

2. 加強系統安全管理，建立漏洞主動掃描系統，杜絕系統漏洞造成的安全隱患。

很多蠕蟲病毒和木馬程序都是利用系統漏洞來傳播，而且傳播速度很快，造成的影響也非常大。目前，學校的網絡服務器安裝的操作系統通常有Windows、Unix、Linux等，這些系統安全風險級別不同，其中Windows的普遍性和可操作性使得它成為最不安全的系統，系統本身的漏洞、瀏覽器的漏洞、IIS的漏洞等等，在用戶沒有主動更新補丁的情況下，經常會導致蠕蟲在校園網中泛濫。我校通過在校園網提供Windows系統補丁自動更新服務，并建立一套漏洞主動掃描系統，定時對校園網服務器進行掃描檢查；同時，在用戶端上網管理方面，設置上網客戶端軟件自動檢測補丁和殺毒軟件安裝情況，并及時發布漏洞公告和檢測用戶端系統補丁情況。

3. 增強網絡檢測監控，建立網絡設備權限分級管理機制。

為了防范校園內外入侵攻擊，我校分別在校園網和公網入口以及校園網與信息系統之間架設專用高性能硬件防火墻，通過設置相應的安全策略，對各種資源進行網絡權限控制等來增強網絡信息安全性。同時，在校園網關鍵部位安裝網絡入侵檢測系統，實時對網絡和信息系統訪問的異常行為進行監測和報警。為了提高網絡設備和信息服務器的安全，我校建立了設備權限分級管理機制，做到權限職責分明，安全界限清晰。同時，在用戶接入交換機管理上，實現了精細化管理，動態強制DHCP地址分配，各端口間二層隔離。

4. 建立多個應用防護系統和統一身份認證平臺，進行安全審計和日志記錄。

為了防范病毒和木馬的侵入，建立了一套病毒立體防御體系：一方面在校園網出口設置高性能防病毒網關系統，另外一方面在校園網內部建立多種網絡版防病毒軟件，對網絡的出入口數據流量進行病毒掃描和過濾。通過病毒防御體系可以監控網絡運行情況，能夠在第一時間內檢測到網絡異常和病毒攻擊。針對垃圾郵件的泛濫，我校專門購買了反垃圾郵件網關系統，通過采用改進的貝葉斯算法和龐大的垃圾郵件知識庫以及智能垃圾郵件識別引擎實現了對垃圾郵件、有害信息、病毒郵件的有效過濾。

在用戶信息安全管理方面，我校建立統一的身份認證系統，身份認證可以對網絡用戶的身份進行鑒別，根據其權限開放相應服務，在出現網絡安全問題時，身份認證系統可以提供肇事者的身份資料，通過這些資料幫助網絡管理員解決網絡問題。通過網絡安全管理平臺，將全網系統的安全日志、安全事件集中收集管理，以實現事件和日志的集中分析、審計和報告。安全審計和日志通過一些特定的、預先定義的規則來發現日志中潛在的問題，它可以用來對網絡安全攻擊進行取證，也可以發現潛在的攻擊征兆，確保任何安全事件得到及時的響應和處理。根據分層次網絡架構建立信息安全保障體系（如圖3所示）。

5. 不斷完善安全管理制度，規范管理流程，建立安全監控和恢復體系。

安全管理貫穿于安全防范體系的始終。實踐經驗告訴我們僅有安全技術防范，而無嚴格的安全管理體系相配套，是難以保障網絡信息系統安全的。必須制訂一系列安全管理制度，對安全技術和安全設施進行管理。在不同層面采取可靠的安全防范措施，建立行之有效的信息安全管理制度和流程，形成一套完整的安全保障體系，實現嚴密、多渠道的安全控制，保證信息系統的安全穩定運行，保證數據安全可靠，實現數字校園信息環境的可控、可信、可查。

南京農業大學在數據中心建立后，不斷制定和完善了各種安全管理制度，包括操作安全管理、設備安全使用管理、操作系統和數據庫安全管理、異常情況管理、系統安全恢復管理、應急管理、運行維護安全規定、第三方服務商的安全管理、對系統安全狀況的定期評估策略等。另外，在信息化建設的過程中，學校非常注重培養師生信息素養，不斷通過講座、培訓、網站等宣傳方式提高和強化信息安全觀念意識，確立信息安全管理的基本思想與策略，加快信息安全人才培養，同時倡導信息倫理，提高教師和學生的信息安全自律水平。

圖3 南京農業大學網絡信息安全保障體系

隨著校園網絡設施的不斷完善和應用需求的不斷擴大，網絡信息安全已成為學校信息化建設的基石。校園網是一個分層次的拓撲結構網絡，網絡安全問題是一個較為復雜的系統工程，因此網絡信息安全防護應該采用分層次的拓撲防護措施。通過從物理層、系統層、網絡層、應用層和管理層全方位考慮，針對性不同的層次架構采用相應技術或設備，并設計合理的管理策略以及建立完善的管理制度和規范，才能確保建立一個全面、立體、高效的校園網絡信息安全保障體系。

(作者單位為南京農業大學圖書與信息中心）

大運會引入IPv6

本刊訊 近日，第26屆世界大學生運動會在深圳閉幕。執行局局長梁道行指出：“本屆大運會全面引入新一代互聯網IPv6技術，大運會信息系統由運動會IT系統、賽事成績系統、信息發布系統、運行保障與支持系統四大部分組成，這四大系統全部獲得IPv6網絡環境支撐，并采用IPv4/v6雙棧技術方案。這也是國內首個采用IPv6技術的大型賽事網絡?！?/p>

銳捷網絡作為集成商，根據大運會的十大核心業務，定制了IT運維監控解決方案：以關鍵賽事系統為核心構筑一體化運維體系，整個大運會全部IT資源，包括賽事系統、服務器、數據庫、中間件、網絡設備、安全設備、流控設備等等都被納入7×24監控范圍內，保證提前發現、快速響應和解決賽中遇到的各種網絡問題。

本屆深圳世界大學生大運會的賽事成績(GAMES)網、賽事指揮(ADMIN)網以及媒體INTER網(I網)均全面采用了銳捷網絡自主研發的全系列網絡產品及解決方案，覆蓋范圍涉及41個競賽場館、13個非競賽場館以及7個核心匯聚機樓，分布在深圳各區。賽時運維保障工作主要面臨三大挑戰。第一，運行保障范圍廣、強度高。第二，賽時故障事件恢復時效性要求高。第三，賽時臨時需求緊急且多變。銳捷網絡結合奧運、亞運等大型國際體育賽事網絡保障的經驗制定了專門針對大運會計算機網絡平臺的應急預案，并組建了一支強大的運維團隊。

繼北京奧運、廣州亞運之后，銳捷網絡再次獲得國際賽事組委會的認可,并榮獲本屆大運會“優秀合作伙伴”、“最佳保障團隊”稱號。對于成為大運會“幕后冠軍”的成功經驗，銳捷網絡副總裁劉弘瑜回答說 ：“十余年來，銳捷網絡沉淀出了自己獨特的DNA。第一，無限貼近客戶、努力幫助客戶成功的理念。如果一家公司把全部有限的資源用于解決精心挑選的專注行業客戶群的需求，那么該公司就能興旺發達，銳捷網絡正是遵循了‘一切為客戶’的原則始終如一。第二，遵循利基思想的價值創新實踐。遵循利基思想的價值創新是銳捷網絡的靈魂所在，劉總認為，利基的本質是以客戶的需求為根本出發點的差異化價值創新，也是本土廠商能夠戰勝國際巨頭的最核心要素。第三，務實求真的精神。務實求真的精神指引著銳捷網絡客觀評估市場、科學地選擇市場，并精益求精地做好每一款產品、每一次服務。第四，強大的學習文化。銳捷網絡力求用強大的學習文化打造學習型組織，一批又一批應屆畢業生加入到銳捷網絡并成長為獨當一面的人才，學習進取成為銳捷網絡全體員工的座右銘。這正是銳捷網絡能夠在競爭激烈的市場環境中得以生存并壯大的必要因素。”

構造高效協同的數字校園

本刊訊 日前，北明軟件推出了最新的數字化校園解決方案，可以提供從基礎設施到信息門戶、從咨詢方案到運行維護的全系列產品、解決方案和服務。方案著眼于實現高校資源的統一管理，建立協同的管理體系，實現教學業務流程的信息化和數據的共享，最終推動學校的發展戰略。

據介紹，北明軟件數字校園解決方案的一大特色就是建立在SOA的基礎上，其技術架構就是多種信息集成的技術框架。由于高校中一般已經采購了許多獨立的應用系統，建設數字校園的首要任務是打通這些“信息孤島”之間的聯系。針對新舊系統的整合問題，北明軟件提供了一個信息集成的綜合框架，這個框架基于信息資源規劃的思想，建立在SOA架構的基礎上，通過共享數據中心、集成應用平臺、信息門戶等技術，實現數據整合、應用整合、內容整合、流程整合等四個方面的信息集成目標。

目前，北明軟件數字校園解決方案已經在南京財經大學、華南師范大學等高校成功上線，大大提升了學校管理的效率。