劉　鍇

摘要：本文分析并總結(jié)了目前國內(nèi)高校普遍存在的網(wǎng)絡(luò)安全問題，從校園網(wǎng)安全、信息安全以及全局安全三個方面提出了相應(yīng)的規(guī)劃任務(wù)，通過加強網(wǎng)絡(luò)設(shè)施安全建設(shè)。終端安全防范措施、應(yīng)用服務(wù)器安全措施、信息與數(shù)據(jù)安全建設(shè)等一系列措施，逐步實現(xiàn)校園網(wǎng)安全的可信(credible)、可管(control)，可恢復(comeback)的3c目標。

關(guān)鍵詞：安全；信息化；規(guī)劃

中圖分類號：TP393文獻標識碼：A

1校園網(wǎng)安全運行現(xiàn)狀與需求

1.1校園網(wǎng)安全建設(shè)現(xiàn)狀分析

網(wǎng)絡(luò)環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。隨著高校的發(fā)展，用網(wǎng)人數(shù)的增加，校園網(wǎng)用戶對信息與網(wǎng)絡(luò)安全的要求也越來越高。大部分高校以往的網(wǎng)絡(luò)建設(shè)，重點是“建設(shè)”，強調(diào)網(wǎng)絡(luò)的覆蓋范圍，出口帶寬，基礎(chǔ)應(yīng)用等，而對網(wǎng)絡(luò)安全的關(guān)注度不夠，往往是“想起一個建一個，需要一個建～個”，沒有形成系統(tǒng)、全面、高效的網(wǎng)絡(luò)安全體系。隨著高?！靶畔⒒苯ㄔO(shè)的呼聲越來越高，網(wǎng)絡(luò)安全體系的建設(shè)也在逐步受到學校各級領(lǐng)導的重視。

1.2校園網(wǎng)安全體系建設(shè)需求

網(wǎng)絡(luò)安全建設(shè)一直是各高校網(wǎng)絡(luò)建設(shè)的難點和薄弱環(huán)節(jié)，一方面，技術(shù)管理手段的不全面以及管理機制的不完善制約了安全防范的力度；另一方面，校園網(wǎng)用戶甚至是系統(tǒng)管理員的安全意識淡漠，以及學生用戶網(wǎng)絡(luò)行為的不確定性成為各高校網(wǎng)絡(luò)安全工作的瓶頸。因此，網(wǎng)絡(luò)中心需要通過采取一系列的網(wǎng)絡(luò)安全措施、制定一系列的網(wǎng)絡(luò)安全管理制度，在提高網(wǎng)絡(luò)管理技術(shù)手段的同時，逐步增強用戶的網(wǎng)絡(luò)安全意識，構(gòu)建穩(wěn)定、安全、綠色的校園網(wǎng)。

2網(wǎng)絡(luò)安全體系建設(shè)規(guī)劃

隨著學校網(wǎng)絡(luò)與信息化建設(shè)的逐步深入，網(wǎng)絡(luò)安全問題、信息數(shù)據(jù)安全問題日益突出。建立一套網(wǎng)絡(luò)安全體系，是各高校在信息化過程中的重要任務(wù)之一。

2.1校園網(wǎng)安全建設(shè)規(guī)劃

根據(jù)各高校網(wǎng)絡(luò)建設(shè)規(guī)劃，結(jié)合現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)手段，應(yīng)從以下幾個方面做好校園網(wǎng)安全建設(shè)工作。

2.1.1加強網(wǎng)絡(luò)設(shè)施安全建設(shè)

網(wǎng)絡(luò)設(shè)施安全主要指網(wǎng)絡(luò)設(shè)備、服務(wù)器等硬件設(shè)備的物理安全。某高校網(wǎng)絡(luò)中心曾經(jīng)發(fā)生過同批次多塊硬盤損壞，機柜門被撬開。學生惡意偷用電源。光纜被挖斷等安全事件，因此。在信息化的建設(shè)中，保證設(shè)備的物理安全尤為重要。

建立機房、設(shè)備間的防火、防盜、監(jiān)控和報警方案：

對一些關(guān)鍵設(shè)備。系統(tǒng)和鏈路，應(yīng)設(shè)置冗余備份系統(tǒng)，避免網(wǎng)絡(luò)設(shè)備因天災(zāi)或人為因素對網(wǎng)絡(luò)造成的影響。

2.1.2終端安全防范措施

隨著各高校網(wǎng)絡(luò)覆蓋范圍的逐步增加，用網(wǎng)人數(shù)不斷增多(如某高校校園網(wǎng)同時在線用戶已經(jīng)達到4500人)，用戶終端的安全問題成為校園網(wǎng)內(nèi)網(wǎng)安全的主要問題之一。由于用網(wǎng)人員的計算機水平參差不齊，以及學生用戶網(wǎng)絡(luò)行為的不可控性，給網(wǎng)絡(luò)安全帶來了很大的隱患，因此需要從以下幾個方面完善終端安全防范措施：

提供并推廣可供全校師生員工使用的網(wǎng)絡(luò)版殺毒軟件，以及校內(nèi)WSUS服務(wù)，逐步建立“沒有殺毒軟件”、“不打系統(tǒng)補丁”不上網(wǎng)的安全意識；

對校內(nèi)突發(fā)的終端安全事故進行監(jiān)控，及時提供必要的專殺工具、漏洞補丁：

提高技術(shù)人員的技術(shù)水平，采取相應(yīng)的檢測手段，利用先進的儀器設(shè)備，減少用戶端安全事故的排查和定位時間。

2.1.3應(yīng)用服務(wù)器安全措施

應(yīng)用服務(wù)器是數(shù)字化校園的基礎(chǔ)，是各個業(yè)務(wù)系統(tǒng)的載體，所以它的安全是至關(guān)重要的，因此，系統(tǒng)管理員的技術(shù)手段和安全意識在服務(wù)器的安全管理中起到至關(guān)重要的作用。

制定相關(guān)技術(shù)文檔，規(guī)范應(yīng)用服務(wù)器上線前的安全檢查，督促管理員使用正版操作系統(tǒng)、安裝殺毒軟件、防火墻、自動更新等，并且定期掃描系統(tǒng)漏洞，更改系統(tǒng)密碼。保證操作系統(tǒng)安全；

建立完善可靠的容災(zāi)恢復方案，對關(guān)鍵服務(wù)器采用雙機熱備方式，并且提供可靠的數(shù)據(jù)備份系統(tǒng)，如采用RAID技術(shù)以及利用磁帶備份數(shù)據(jù)，確保事故發(fā)生時業(yè)務(wù)數(shù)據(jù)不丟失，系統(tǒng)能夠快速恢復；

建立授權(quán)控制體系，對不同管理員設(shè)定不同的系統(tǒng)、數(shù)據(jù)庫管理權(quán)限：

完善訪問日志分析系統(tǒng)，定期對日志進行整理和分析，制定相應(yīng)的安全策略。

2.1.4網(wǎng)絡(luò)出口及邊界安全

目前高校網(wǎng)絡(luò)出口及邊界設(shè)備主要分為路由器。防火墻、VPN等三類設(shè)備，網(wǎng)絡(luò)出口及邊界的安全主要包括配置合理、全面的安全策略，以及如何提高安全響應(yīng)速度和快速、準確地定位攻擊來源。針對這些方面，需要在出口及邊界設(shè)備的管理中做到以下幾點：

建立密碼維護制度。定期更換設(shè)備Telnet、SSH登錄密碼以及SNMP共同體名；

>制定詳細的ACL策略，限制登錄設(shè)備的IP地址；

采取NAT機制。在保證校內(nèi)用戶正常上網(wǎng)的同時，繼續(xù)優(yōu)化8812路由器的安全功能；

啟用防火墻的防病毒功能，在源頭阻斷病毒入侵；

合理規(guī)劃SSL VPN的用戶權(quán)限；

建立IDS+IPS的聯(lián)動機制。完善網(wǎng)絡(luò)監(jiān)控與入侵防范；

建立出入雙向的訪問日志系統(tǒng)。

2.1.5應(yīng)用分析控制技術(shù)的應(yīng)用

在網(wǎng)絡(luò)安全管理中，網(wǎng)絡(luò)流量、網(wǎng)絡(luò)應(yīng)用的分析至關(guān)重要，網(wǎng)絡(luò)管理人員需要明確地知道網(wǎng)絡(luò)中有哪些網(wǎng)絡(luò)應(yīng)用，各種應(yīng)用在網(wǎng)絡(luò)中所占的帶寬以及是否存在不良應(yīng)用，如圖1。

隨著上網(wǎng)人數(shù)的增多，網(wǎng)絡(luò)出口不可避免地出現(xiàn)擁堵現(xiàn)象，因此，需要進一步對網(wǎng)絡(luò)應(yīng)用進行分析，并制定有效的控制策略。

實時記錄出口帶寬使用情況，對惡意占用帶寬的應(yīng)用進行限制，確保基本應(yīng)用的高效運行；

對網(wǎng)絡(luò)流量進行監(jiān)控，利用相關(guān)協(xié)議分析工具對網(wǎng)絡(luò)應(yīng)用進行深層坎的分析。

2.2信息安全建設(shè)規(guī)劃

信息安全指保證系統(tǒng)中的信息不被破壞、不被竊取、不被非法復制和使用等。

2.2.1信息安全保障措施

通過一系列的措施，保證信息在傳輸和存儲時的安全。

建立完善的實名上網(wǎng)制度，并且與各系統(tǒng)的日志配合，建立“上網(wǎng)ID+上網(wǎng)時間+上網(wǎng)IP+上網(wǎng)入”的一一對應(yīng)關(guān)系；

建立合理的文件上傳、審查制度，對關(guān)鍵數(shù)據(jù)采取數(shù)字簽名技術(shù)，做到誰上傳誰負責，安全事故責任到人；

對論壇、留言板等提供用戶交流的版塊加強監(jiān)管力度。對有害和敏感信息進行監(jiān)控；

數(shù)字校園關(guān)鍵服務(wù)器問數(shù)據(jù)傳輸采取加密方式，防止網(wǎng)絡(luò)竊聽、數(shù)據(jù)泄露等安全事故的發(fā)生；

對病毒郵件、垃圾郵件以及含有敏感信息的郵件進行過濾。

2.2.2數(shù)據(jù)安全建設(shè)

隨著高校信息化建設(shè)的推進，各部門工作信息化的程度也將越來越高，如何保證數(shù)據(jù)安全，提高管理信息系統(tǒng)(MIS)的安全性是信息化過程中必須考慮的問題。

各部門需要制定MIS的相關(guān)管理制度：

制定MIS系統(tǒng)數(shù)據(jù)備份、災(zāi)難恢復方案；

定期對MIS漏洞進行修補。防止數(shù)據(jù)泄露。

2.3全局安全體系建設(shè)

根據(jù)對網(wǎng)絡(luò)體系分層的概念，針對不同的層次制定不同的網(wǎng)絡(luò)安全措施。做到有的放矢，從技術(shù)上實現(xiàn)檢測、上報和控制一體化。例如銳捷公司提出的全局安全網(wǎng)絡(luò)(GSN)，如圖2。

整合已建立的安全措施，增加針對上網(wǎng)用戶的準入策略。在用戶連入網(wǎng)絡(luò)之前先進行客戶端病毒及漏洞掃描，保證連入網(wǎng)絡(luò)的客戶端的安全性，從而最大限度地降低網(wǎng)絡(luò)安全風險：

建立統(tǒng)一的安全管理平臺(SMP)，通過下發(fā)警告消息，下發(fā)修復程序，下發(fā)阻斷或者隔離策略等手段智能處理安全事件。

3校園網(wǎng)安全建設(shè)目標

隨著網(wǎng)絡(luò)建設(shè)的穩(wěn)步推進，各高校也將進一步完善網(wǎng)絡(luò)安全體系建設(shè)，將校園網(wǎng)建設(shè)成可信(Credible)、可管(Control)、可恢復(comeback)的3C網(wǎng)絡(luò)，建立一個全方位、多層次、系統(tǒng)的網(wǎng)絡(luò)安全體系。為校園網(wǎng)信息化建設(shè)提供安全保障。