校園網絡安全防范體系研究與應用

羅國富　王乙明

【摘要】在高校信息化建設過程中，學校面臨的網絡安全威脅較多。網絡安全防范是一個系統工程，可以將安全策略、安全技術以及安全管理方面進行有機結合構建動態的安全防范體系。校園網絡安全防范體系建立不僅依靠安全設備和技術，還需要安全管理，在安全策略的指導下，逐步推進，合理部署，并加強安全培訓。

【關鍵詞】校園網絡；網絡安全；信息安全；防范體系

【中圖分類號】G40-057【文獻標識碼】A【論文編號】1009－8097(2012)09－0053－04

隨著信息技術的快速發展和高校網絡基礎設施的不斷完善，資源整合、應用系統和校園信息化平臺建設已經成為校園信息化的主要任務。在新的網絡信息環境下，信息資源也得到更大程度地共享，3G、IPV6、虛擬化和云計算等新技術開始研究和實施應用；三網融合、云服務及“智慧校園”等服務新理念的不斷提出，使得校園網規模不斷擴大，復雜性和異構性也不斷增加，而這些需求都要求有一個能夠承載大容量、高可信、高冗余和快速穩定安全的校園網作為基礎條件。與此同時，高校用戶在享受信息化成果所帶來的工作高效和便利的同時，也面臨著來自校園網內部和外部帶來的各種安全威脅和挑戰。因此，有必要建立一套高效、安全、動態網絡安全防范體系，來加強校園網絡安全防護和監控，為校園信息化建設奠定更加良好的網絡基礎。

一校園網絡安全面臨的問題

1、網絡安全投入少，安全管理不足

在校園網建設過程中，管理單位主要側重技術和設備投入，對網絡安全管理不重視，在網絡安全方面投入也較少，一般通過架設出口防火墻來保護校園內部網，缺少對安全漏洞的分析和病毒的主動防范的系統。同時，由于高校機構設置的原因，很多高校在網絡管理方面存在人員不足，同一個技術人員同時肩負著建設、管理和安全的工作情況Ⅲ，在校園網安全管理方面，實踐經驗告訴我們，校園網絡安全的保障不僅需要安全設備和安全技術，更需要有健全的安全管理體系。很多高校沒有成立信息安全機構，缺乏完善的安全管理制度和管理規范，在網絡和信息安全方面沒有根據重要程度進行分級管理。有統計表明，70％以上的信息安全問題是由管理不善造成的，而這些安全問題的95％是可以通過科學的信息安全管理制度來避免。

2、系統和應用軟件漏洞較多，存在嚴重威脅

傳統的計算機網絡是基于TCP/IP協議的網絡。在實際運用中，TCP/IP協議在設計的時候是以簡單高效為目標，缺少完善的安全機制。因此，基于TCP/IP而開發的各種網絡系統都存在安全漏洞，黑客往往把這些漏洞作為攻擊的突破口。安全漏洞主要包括交換機IOS漏洞、操作系統漏洞和應用系統漏洞等，操作系統漏洞如WINDOWS、UNIX、LINUX等往往存在著某些組件的安全漏洞，如果管理員沒有及時更新系統補丁或升級軟件，就會成為眾多黑客攻擊的目標。應用程序漏洞往往出現在最常用的軟件上，如IE、QQ、迅雷、暴風影音等經常存在一些安全漏洞，這些漏洞很容易成為黑客攻擊最直接的目標，給校園網帶來了嚴重威脅，使得校園網絡安全需要投入更多的精力，需要從各個層次進行防范。

3、網絡安全意識淡薄，計算機病毒較多

高校校園網主要的服務群體是教職工和學生，用戶計算機網絡水平參差不齊，在日常上網行為和使用計算機過程中，很多用戶缺少足夠的網絡安全意識，比如教職工為了教學科研和日常辦公方便，經常使用簡單的密碼來管理計算機和各種業務系統，造成密碼容易被非法盜用，從而導致系統和網絡安全問題，黑客通過盜取個人信息進行詐騙或者獲取用戶賬號信息來謀求不法利益，甚至有些黑客在用戶的計算機安裝后門木門，并作為僵尸網絡的攻擊工具。另外，計算機技術的飛速發展也使得計算機病毒獲得了更加快捷多樣的傳輸途徑，各種新型病毒不斷升級變異，并通過U盤、移動終端、局域網等各種方式進行廣泛傳播。如何提高用戶的網絡安全意識，有效解決病毒對校園網絡安全的威脅，也是校園網管理人員必須面臨的一個問題。

二構建校園網絡安全防范體系

針對校園網絡安全的各種安全隱患和威脅，要有效地進行防范，我們必須了解網絡安全的體系結構及其包含的主要內容，國際電信聯盟電信標準部(ITU-T)在X－800建議中提出了開放系統互連(OSI)安全體系結構，OSI安全體系結構集中在三個方面：安全攻擊，安全機制和安全服務。安全攻擊是指損害機構所擁有信息的安全的任何行為；安全機制是指設計用于檢測、預防安全攻擊或者恢復系統的機制；安全服務是指采用一種或多種安全機制以抵御安全攻擊、提高機構的數據處理系統安全和信息傳輸安全的服務。三者之間的關系如圖1所示。

在校園網絡管理中，網絡安全防范根本任務就是防范安全攻擊，提供安全可靠的信息服務。在計算機網絡發展過程中，人們在不斷實踐總結的基礎上逐漸形成了動態信息安全理論體系模型，如P2DR模型，主要包括：Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應)。該模型以安全策略為指導，將安全防護、安全檢測和及時響應有機地結合起來，形成了一個完整的、動態的安全循環，有效地保障了保證網絡信息系統的安全。

在飛速發展的網絡信息環境下，網絡安全防范體系構建是一項復雜的系統工程，不是純粹的技術問題，也不是簡單的安全產品和技術的堆砌，我們必須從觀念轉變，在建設過程中，合理地部署安全策略和采用先進的技術手段，并有效地和安全管理結合起來，使之成為一個動態體系結構。根據傳統的網絡安全體系結構，結合P2DR模型，我們可以構建一種動態的、可靠的、可以實際運用部署的校園網絡安全防范體系模型。如圖2所示，該模型是以安全策略為核心，以安全設備為基礎，以安全技術作為手段，通過安全管理作為保障，通過安全培訓來提高用戶安全意識，并在運行過程中，不斷完善安全體系各個環節，從而提供安全可靠的服務。

1、安全策略：安全策略是用于網絡安全管理相關活動的一套規章，是校園網絡安全體系核心。它主要描述了校園網絡所規劃的安全目標、對各種安全風險的承受能力和保護對象的安全等級等內容，包括出現安全事故應急處理措施和恢復辦法。

2、安全技術；安全技術是指根據安全目標需要，通過部署安全設備和采用技術策略來對校園網各個層次(物理層、網絡層、系統層和應用層)來進行安全防護，其包括的設備或采用的技術主要包括入侵檢測、防火墻、防病毒網關、流量控制帶寬保障、通信加密、漏洞掃描、網站防篡改、安全審計、備份容災等。這些設備和技術是網絡安全防范體系中的實施應用基本條件或手段，它們形成了一個完整的網絡安全防范系統，因為網絡安全防范不是單一的技術手段和多個安全設備的堆疊，而是一個整體概念，需要保障校園網絡各個層次和應用的安全。在實際應用部署中，由于不同的高校經費投入差異和信息化程度不同，需要根據學校的實際情況建立合理的安全策略，在安全策略的指導下，分步實施，部署安全設備，采用相應的安全技術手段。

3、安全管理：安全管理是安全體系能夠充分發揮作用的基本前提，主要包括建立安全管理制度規范和對安全設備和技術的有效管理。安全體系的建設是一個復雜的工程，不僅需要考慮人、設備、技術等要素，更需要安全管理。對于安全設備部署和安全技術的實施，必須建立規范管理制度，使設備技術與安全管理機制有機地結合起來。安全管理不僅包括行政意義上的安全管理，還包括對人、設備、技術的管理。

4、安全培訓：網絡安全防范體系是一個整體，涉及在里面的每一個角色都是一個重要安全組成部分，各級用戶包括領導、管理員和普通用戶等都是安全體系中的一部分[”。加強和提高用戶安全意識，起到的安全防護效果往往比單一的技術和安全設備更加有效，因為大部分網絡安全都是人為的和可以防范的。因此安全培訓是整個安全防范體系中非常重要的一部分。

三校園網絡安全防范體系的應用方案

南京農業大學校園網建設起步于1995年，經過10余年的建設與發展，現己建成覆蓋全校的、較完整的網絡基礎體系，基于校園網的信息應用系統更是發展迅猛，據不完全統計：學校已有網絡公共服務系統超過100個、網絡業務管理系統數十套、網絡信息資源保有量超過了50TB；各類網絡接入用戶數在22000以上。2004年，我校在圖書館建立了統一的網絡數據中心，對學校內部的主要網絡設備和服務器進行集中管理，并制定了符合實際的管理規范，但隨著校園網的快速發展和信息化建設的推進，一些規范已經不能滿足實際管理的需要。2011年，我校在理科大樓新建了以綠色節能為特色，高性能、高安全性的新數據中心，與原有數據中心形成相互冗余，互為補充的網絡架構，同時，結合我校網絡和信息化建設現狀，提出了比較明確的安全目標。

1、制定安全策略，確定安全目標

我校目前校園網安全結構覆蓋了兩個校區，通過教育、電信、聯通、移動四個類別的網絡出口跟國際互聯網相連，學校用戶使用的操作系統包括Windows、Linux、UNIX等。為了保障校園網絡安全，確定的近期安全目標是要求所有聯網設備必須嚴格執行校園網安全管理規范，設置相應的安全策略、安裝校內自動更新補丁和病毒防護軟件，保證能夠防護一般的病毒和攻擊，同時校園網管理中心建立防病毒中心和漏洞掃描系統，實現病毒和漏洞預警；中期目標：我們建立安全審計和取證機制，保證安全事情有據可查、有責可分，建立通信加密和網站防篡改系統，保障網絡數據傳輸和信息安全，根據信息安全等級保護，對服務器的安全優先級進行劃分，進行不同等級的防護保障；遠期目標是建立立體化網絡安全預警和應急恢復系統，實現網絡安全自動告警和應急恢復機制自動化，建立有機結合、責權分明和可靠有序的規范管理制度。

2、部署安全設備，應用安全技術

在安全策略的指導下，結合校園網絡各層次的特點，從物理層、網絡層、傳輸層和應用層進行分級部署安全設備和運用安全技術，形成了如圖3所示防范體系架構。

在物理層安全方面，對校園網結構進行扁平化改造，各樓宇匯聚交換機集中于數據交換中心，主干采用萬兆互聯和實現線路冗余，避免由于單點故障造成網絡傳輸路徑的中斷。在服務器管理方面，我校分別在圖書館和理科樓各建立了一個數據中心，實現互為冗余和異地容災從而有效保障了數據安全，在機房環境中，采用專門的氣體消防和提供多線路大功率的UPS供電保障。建立專門的備份用刀片服務器，用于重要信息平臺的容災備份和雙機并行，提高了應用系統的可靠性和穩定性。

在網絡層安全防護方面，在校園網入口架設高性能防火墻和路由器，建立VPN通道，在網絡核心架設入侵檢測設備，學校用戶利用VPN可以在校外能夠安全接入校園網。使用入侵監測系統對進入校園網核心的所有數據流動進行實時檢測分析。利用防火墻的包過濾和隔離功能，設置DMZ區來保障郵件和DNS等服務器的安全。通過在防火墻和核心交換的中間架設網絡流量控制系統，對網絡協議進行分類控制，保障重要的業務應用，對一些娛樂影視帶寬進行有效控制，有效地提高了網絡的使用效率。

傳輸層方面，為了防止ARP病毒和蠕蟲病毒影響網絡性能和網絡安全，我校在校園網上網區域等實施用戶上網客戶端強制使用DHCP獲取IP地址措施，對于教學科研管理中必須使用的靜態IP聯網的設備，申請登記后由網絡管理員分配IP并對應交換機端口綁定設備MAC地址，防止信息被非法獲取，有效地保證了傳輸層的網絡數據安全。

在應用層的防護上，我校建立統一的身份認證系統，用于加強用戶信息安全管理身份認證，根據用戶的身份對用戶進行分級管理并開通相應服務。對用戶上網日志和服務器日志方面，通過計費網關對用戶上網日志進行收集，通過網絡管理系統對服務器日志進行收集，用日志軟件來對事件和日志的集中分析，查找安全事件的來源，針對互聯網上的垃圾郵件的泛濫，我校部署專業反垃圾郵件網關系統，為用戶并提供詳盡的郵件日志和發送隔離通知。在防病毒方面，我校在數據中心建立病毒防控中心，用戶可以選擇安裝學校提供防病毒客戶端來實現網絡防病毒功能，為數據中心和校園網絡接入終端提供防毒服務。為了防范系統漏洞導致的攻擊，我校建立WINDOWS補丁更新服務器，實現校園網系統補丁自動分發。為了加強校園網安全，我們定時對校園網服務器進行掃描檢查，對存在安全隱患的服務器或系統進行安全警告并通知相關管理人員進行及時修復。

3、注重安全管理，完善規章制度

實踐經驗告訴我們僅有安全技術和安全設備防范，而無良好安全管理體系相配套，是很難保障網絡信息安全的。構建網絡安全防范體系，必須制訂一系列安全管理制度和安全管理規范，對安全技術和安全設施進行規范管理，建立行之有效的信息安全管理制度和流程，實現嚴密、多層次的安全控制，保證各級系統的安全穩定運行，保證數據安全可靠，實現數字校園網絡環境的可控、可信、可查。

南京農業大學在信息化建設開展后，成立了專門的信息化建設領導小組，組長是校長，并成立了信息安全小組，由各院系單位派專人負責各自部門的信息安全工作，服從學校總體安全管理工作安排。同時，我校圖書與信息中心也不斷制定和完善各種安全管理制度，包括校園網安全管理規范，設備操作規范、設備安全使用管理、操作系統和數據庫安全管理、異常情況管理、系統安全恢復管理、應急管理、運行維護安全規定、第三方服務商的安全管理以及對系統安全狀況的定期評估策略等，努力建構和完善網絡信息安全體系。

4、開展安全培訓，提高安全意識

網絡和系統的是否安全的決定因素是用戶的安全意識和技術能力，在安全體系建立后，必須不斷提高用戶的安全意識，使管理員和各級用戶有很強的主人翁意識，積極參與和防范網絡威脅和及時堵住相應漏洞，尤其是新的系統和技術在校園網中的應用、新的病毒或漏洞被發現，必須通過定期培訓、在網上發布相應公告、通過電話提醒來敦促大家及時升級或更新補丁等方法，用戶整體安全意識高，可以極大地提高整個網絡的安全性。我校在信息化建設過程中，經常開展應用講座、使用培訓，通過信息門戶網站宣傳來提高和強化全校師生的信息安全觀念意識。

四結束語

高校信息化建設在不斷推進，用戶對網絡的需求也在不斷擴大，網絡安全建設需要不斷關注和投入。結合學校的實際情況，我們可以確定清晰的安全策略，制定合理的安全目標，采用先進的技術手段，建立一個全面、立體、可靠地校園網絡安全防范體系，來為學校信息化建設提供強有力的安全保障，從而更好地位教學科研服務。