構建校園網絡安全應用方案

◆周怡燕

（廣東南華工商職業學院 廣東 510000）

1 校園網主要的安全問題

如今隨著網絡技術的發展，80、443、25、110和21端口不再僅僅是常用的http、https、smtp、pop3和FTP等應用協議使用的專利，越來越多的應用可以自動掃描防火墻的開放端口進行通信，例如IM、P2P、流媒體、網絡游戲、網絡炒股等Internet應用，同時網絡威脅的散布于攻擊技術也不再限于網絡層，而上升到基于http、https、smtp、pop3和FTP等應用協議的數據包中。這樣一來傳統網絡層防火墻基于數據包性質的過濾規則，就沒法檢測數據包的內容，也就無法分析檢測過濾出其中的網絡應用威脅。

新的校園網絡安全體系中由內到外，內外兼顧，由整體到個體，全面到局部的模型來制定合適的校園網絡安全解決方案時，解決方案需要解決以下常見的安全問題：

（1）源自校園外部的攻擊：如DoS、DDoS、掃描、滲透、洪泛攻擊等常見攻擊。包括應用層在內的應用協議攻擊。

（2）源自校園內部的攻擊：木馬病毒的傳播、感染，信息的竊取、訪問惡意網站、下載惡意軟件等。

（3）來自內部網絡訪問釣魚網絡、發布不當的言論消息、網上賬戶安全、訪問明令禁止的網站、翻墻代理等可能導致網絡安全的行為。

（4）校內用戶在學校機房的可以影響學校網絡、學校教學的異常行為，如非法接入U盤、非法訪問學校特殊部門等。

（5）其他校園網絡安全問題，如無線網絡接入安全、無線網絡共享安全、審計安資、網絡管理安全等問題。

2 校園網絡安全應用方案設計

（1）校園網絡基礎架構的設計

一般大中型的院校網絡規模都比較大，所以按照層次化的網絡結構的網絡設計模型，大型院校網絡是符合三層結構的層次化網絡設計，即核心層、匯聚層、接入層。在三個層次的基礎上，在合適的位置添加出口的路由器、防火墻等安全設備、無線網絡的設備、以及合適的網絡策略，就構成一個適合當前實際使用的校園基礎網絡架構。

層次化的網絡設計可以使用網絡擴展更方便靈活，同時對于網絡故障的發現、排除有著非常好的幫助，有效提高了校園網絡的基礎安全性。層次化結構的網絡模型中，每一層都有著相應的功能，根據這些層面的功能的不同，可以制定不同的策略來提高網絡的安全性、可靠性、穩定性。例如，核心層承載著網絡中所有數據的轉發功能，基于內部網絡的路由也在核心層發生，所以一些路由策略應該在核心層配置；匯聚層的主要功能是承上啟下，將來自己接入層的多個接入點的數據匯聚起來處理，將其中屬于相同子網的數據在本地轉發，要跨子網的數據轉發到核心層處理，在匯聚層面，由于是承上啟下的位置，適合做訪問控制的策略；接入層的功能就是接入用戶的功能，并支持一些基于端口的安全特性，如mac地址綁定、端口隔離、基于802.1x的認證等。

如圖1，是一個常見的適合現代校園網絡的一個基礎架構，這樣的網絡架構提供了物理層上的網絡安全即關鍵節點的包括設備、線路在內的冗余。除此之外，如上文提到的根據層次的功能不同可以制定不同的邏輯層上的網絡安全，即各種各樣的策略。

圖1適合當前校園網絡的基礎網絡架構

（2）校園網絡安全技術的應用

網絡信息安全要素有五個方面，分別是：

①可用性：得到授權的實體在需要時可訪問數據，即攻擊者不能占用所有的資源而阻礙授權者的工作。

②可控性：可以控制授權范圍內的信息流向及行為方式。

③機密性：確保信息不暴露給未授權的實體或進程。

④完整性：只有得到允許的人才能修改數據，并且能夠判別出數據是否已被篡改。

⑤可審查性：對出現的網絡安全問題提供調查的依據和手段。

通過上述五要素的實現，確保了網絡安全的目標：

①使用訪問控制機制，阻止“非授權”用戶進入網絡，即“進不來”，從而保證網絡系統的可用性。

③使用加密機制，確保信息不暴露給未授權的實體或進程，即“看不懂”，從而實現信息的保密性。

④使用數據完整性鑒別機制，保證只有得到允許的人才能修改數據，而其他人“改不了”，從而確保信息的完整性。

⑤使用審計、監控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者“走不脫”，并進一步對網絡出現的安全問題提供調查依據和手段，實現信息安全的可審查性。

因此，新的校園網絡安全技術的應用需要圍繞網絡安全的五要素服務。除了前文中提到的各種技術外，根據從用戶個體的使用情況入手，從根源上提高網絡的安全性的概念，將增加采用多一項技術——上網行為管控技術來解決以前的方案中面對復雜多變的網絡環境時顯得束手無策的現象。

（3）上網行為管控的應用

從技術的角度來說，上網行為“管控”其實并不是技術上的創新，而是一種思路上的創新[16]。面對國內復雜的網絡環境，網絡安全廠商復制外國的網絡安全技術成效卻不大，有時候為實現一個目的的安全目標，可以要在網絡中加入數種網絡安全設備，大大增加網絡的復雜性和負擔，降低的網絡的性能和降低了物理網絡的安全性。國外的網絡安全環境與國內的情況大不相同，如何有效地解決網絡安全問題？過去網絡安全產品只注重網絡攻擊、病毒木馬的感染傳播這些明面上的網絡安全問題，但是忽略了校園網絡的復雜性，也許內部網絡有學生大量占用帶寬下載，也會導致網絡癱瘓。

上網行為管控技術的概念實質上就是通過管理控制使用網絡的用戶進行管理控制，將用戶上網絡產生的網絡流量進行分析管理、控制記錄、檢測放行的操作。通過“集成”多項技術應用、集成各類可在線同步升級的“檢測庫”如URL檢測、入侵攻擊特征等，還有未知應用威脅流量的檢測提交功能。通過類似分布式計算概念的檢測庫支持，可以有效判斷流量的狀態，然后根據集成的策略做流量管理控制。

(2)化探異常特標志：區內金礦化均在化探異常范圍，化探分散流及次生暈Ag、Au、Pb、Zn、Sb等元素綜合異常區是找礦的有利部位。

上網行為管控的目的在于通過對流量的管理控制對可能存在威脅的行為進行阻斷，從而將風險扼殺于開始，相對于在風險發生時才進行補救，更有效地提高了網絡的安全程度。學校的網絡環境復雜，使用網絡的用戶從高級研究人員到只懂得上網絡沖浪的入學新生都有，這樣大的用戶群體在網絡上操作，會產生大量行為，這些行為就存在大量風險因素。在學校網絡內應用上網行為管理不僅僅可以阻斷有風險的行為發生，從另一方面來看，對這些上網行為進行管控，可以很好地管理學校內部的資源利用、提高資源利用率，而且對這些上網行為的記錄，更是可以降低學校網絡安全管理難度和運營的成本。

（4）基于用戶的行為管控的應用

基于用戶的行為管控的應用其實就是指在學校校園網絡內存在很多公共多媒體電腦室，由于這些設備是公共開放使用的，使用的學生很可能在這些電腦上進行有安全風險的操作行為，對于這些行為的管控也是校園網絡安全解決方案的一大要點。由于這些電腦教室的網絡是互聯的，而且數量大，完全可能實現一些攻擊行為。所以，基于用戶的行為管控實際上是指在這些電腦上安裝一些“管控”軟件行對學生的使用行為進行管控。

另外，對于教師辦公、學生宿舍的電腦，可以實現基于安全策略的管控，如采用對這些電腦進行體檢（如系統補丁、插件的安裝），只有達到安全標準的才能接入網絡等方式對用戶個體進行管控。

（5）校園外部網絡的安全設計

新的校園網絡安全應用方案中，針對外部網絡的設計主要是在學校網絡邊界，也就是訪問學校內部網絡的入口處。主要是使用防火墻設備，如今的防火墻設備功能強大，不僅可以對網絡層的攻擊起作用，對應用層的網絡攻擊也有很好的檢測防范作用，可以很好地保護學校網絡對外的安全性。

另外，使用VPN設備可以進一步加強學校網絡對外的安全性，師生要在外部網絡訪問內部網絡，只能通VPN來訪問以提高安全性。無線網絡需求有對應的網絡安全技術，如無線網絡控制器自身支持WIPS、多重認證手段等保護無線網絡接入安全性。而對外開放的服務器一定要放在防火墻的DMZ區域，如有必要，可以增加防火墻。

（6）校園內部網絡的安全設計

針對內部網絡的安全設計，對于內部網絡主要使用基于網絡安全策略的控制，上網行為“管控”來實現，還有對特殊部門進行特殊保護。主要包括有，在學校內部的關鍵部門如研發實驗室、財務、教學研究等地方部署防火墻，并將其獨立劃分到單獨子網內。對于這些部門可以采用物理隔離的方式保證數據安全，例如上網只能允許使用某些電腦，其他電腦不允許上網，并安裝數據加密軟件。校園內部網絡的安全設計中包含整體網絡的安全設計，這些網絡安全的措施都是針對整個學校的網絡安全的，在宏觀的層面保證學校網絡的安全性。

校園內部網絡的安全設計中包含個體網絡的安全設計，主要包括用戶個人設備準入策略、接入設備安全性，以及使用設備時候的行為管控。通過這些安全策略或者說安全措施，保證每個接入網絡的個體安全性，全面保證由這些用戶個體構成的校園網絡整體的安全性。

（7）校園網絡主動防御策略

新的校園網絡安全解決方案中采用了上網行為管控技術、數據加密技術、身份認證技術、訪問控制等安全技術及相關安全策略構建了校園網絡安全的主動防御體系，通過主動控制、識別、管理用戶上網行為產生的流量進行風險規避，有效地提升學校網絡安全性。

（8）校園網絡被動防御策略

新的校園網絡安全解決方案中采用了防火墻技術、反病毒技術、內容審計、行為審計等技術構建了校園網絡安全的被動防御體系，通過對常見的網絡攻擊、病毒木馬、垃圾郵件等攻擊行為、流量進行有效的防范和記錄審核，有效地提升學校網絡安全性。

（9）完善安全機制與管理

“沒有規矩不成方圓”，有效的網絡管理對保障網絡的可用性、提高網絡的暢通性、提升網絡性能是非常有必要的。網絡發展的飛速性，又同時需促使網絡管理者不斷更新網絡管理手段，才能應對日益復雜的網絡結構和越來越多的用戶及接入點。制度建設重于技術防范，要做到防患于未然，在實際的網絡管理中，技術防范與制度保障并重。網絡環境的復雜性、多變性，以及信息系統的脆弱性，決定了網絡安全的客觀存在。校園是依據規章制度進行運作的地方，其中完善的安全機制與管理必然會給學校網絡安全管理帶來質的飛躍。

由于學校的獨立性與教研目標的不同，針對網絡安全制定的策略也有所不同，這些制度的制定應該由網絡管理者通過對校園網絡的了解、深刻認識學校教學與網絡的關系才能量身定制一套合適的安全“管現”機制。

（10）其他網絡安全策略的應用

其他的網絡安全策略主要是根據每個學校的網絡環境結合制定的策略，可以是技術上的網絡策略，如多媒體電腦教室的每臺主機需要進行端口隔離；也可以是管理上的安全策略，如規定學生無論在什么地方上網都需要認證；也可以是技術與管理結合的策略，如電腦教室學生主機不能訪問教師機，但教師機可以訪問控制學生機器等。

新的網絡安全應用方案的優點是在原來的校園網絡安全策略上查缺補漏，以新的角度闡述了主要從用戶的層面進研究，采用上網行為管控的方式構建的更適合現時校園網絡安全需求的解決方案，方案基本上可以解決舊的應用方案存在的不足，并具有一定的可擴展性，滿足了現時校園網絡對網絡安全的要求，同時方案具備良好的可行性。不過，整個應用方案可以更進一步優化，如在網絡安全管理機制上的沒有更深入地研究、優化。