張健

（安徽三聯(lián)學(xué)院 計算機科學(xué)與技術(shù)系，安徽 合肥 230601）

淺談安徽三聯(lián)學(xué)院校園網(wǎng)絡(luò)安全管理

張健

（安徽三聯(lián)學(xué)院 計算機科學(xué)與技術(shù)系，安徽 合肥 230601）

隨著校園網(wǎng)的深入應(yīng)用，學(xué)校日常工作已經(jīng)離不開它，保證校園網(wǎng)絡(luò)安全、可靠運行成為一個基本要求.從學(xué)校的應(yīng)用情況來看，校園網(wǎng)是否能真正發(fā)揮效益，能否安全、可靠運行，關(guān)鍵還是要看網(wǎng)絡(luò)的管理.通過分析安徽三聯(lián)學(xué)院校園網(wǎng)結(jié)構(gòu)特點、需求分析、提出維護校園網(wǎng)安全管理的策略，進一步探索加強校園網(wǎng)絡(luò)安全管理的解決途徑.

安徽三聯(lián)學(xué)院；校園網(wǎng)；網(wǎng)絡(luò)安全；管理策略

信息化進程的深入和互聯(lián)網(wǎng)的快速發(fā)展，校園網(wǎng)絡(luò)化成為大學(xué)信息化建設(shè)的發(fā)展趨勢，并且作為學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施，在教學(xué)、科研、管理等方面起著舉足輕重的作用，尤其我們安徽三聯(lián)學(xué)院這樣新升格的本科院校.但隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見不鮮,但是在高校網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題[4,5].

1 安徽三聯(lián)學(xué)院校園網(wǎng)的結(jié)構(gòu)特點

隨著教育科研網(wǎng)在中國教育科研領(lǐng)域的深入發(fā)展，校園網(wǎng)信息化建設(shè)也日趨完善.總結(jié)我校校園網(wǎng)信息結(jié)構(gòu)的特點，主要有以下幾個方面：

(1)校園網(wǎng)具備完善、層次化的網(wǎng)絡(luò)匯結(jié)結(jié)構(gòu)，有統(tǒng)一的教育網(wǎng)出口.它是全國高校網(wǎng)的信息互通平臺，同時也是通向國際互聯(lián)網(wǎng)的傳輸紐帶.

(2)校園網(wǎng)內(nèi)建立了一系列重要的應(yīng)用系統(tǒng)，負責(zé)我校日常的信息管理工作，如學(xué)生檔案管理、教務(wù)管理、人事管理、財務(wù)管理、后勤管理等.

(3)校園網(wǎng)的另一個重要網(wǎng)絡(luò)是學(xué)?？蒲屑爸攸c試驗室網(wǎng)絡(luò).這部分網(wǎng)絡(luò)往往都承擔(dān)了國家級的課題項目，里面涉及到的信息級別較高.

(4)隨著信息化程度的深入，校園內(nèi)學(xué)生宿舍區(qū)的終端數(shù)量日益膨脹.與此同時，教工家屬區(qū)的PC也通過校園網(wǎng)的網(wǎng)絡(luò)資源連入教育科研網(wǎng).對于這兩類終端，他們的特點是數(shù)量龐大，占用帶寬較高且不易管理[3,4].

2 安徽三聯(lián)學(xué)院校園網(wǎng)安全需求分析

校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，認真分析可以總結(jié)出我校校園網(wǎng)面臨著如下的安全威脅：

（1）軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅，包括操作系統(tǒng)和應(yīng)用軟件自身存在的安全漏洞和網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞；

（2）Internet網(wǎng)絡(luò)用戶對校園網(wǎng)存在非法訪問或惡意入侵的威脅；

（3）來自校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng).內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；

（4）內(nèi)部用戶對Internet的非法訪問威脅，如瀏覽非法網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；

（5）內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；

（6）校園網(wǎng)內(nèi)的學(xué)生群體是主要的OICQ用戶，目前針對OICQ的黑客程序隨處可見；

（7）可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網(wǎng)的威脅[3,6].

3 安徽三聯(lián)學(xué)院校園網(wǎng)絡(luò)安全管理策略

3.1 規(guī)范出口的管理

實施校園網(wǎng)的整體安全架構(gòu)，必須對原有的網(wǎng)絡(luò)架構(gòu)進行改造，首先需要解決的就是多出口的問題.出口如果不進行規(guī)范管理，校園網(wǎng)絡(luò)安全體系就無法得以實施.因此，做為校園網(wǎng)絡(luò)管理機構(gòu)必須將所有的校園網(wǎng)絡(luò)出口統(tǒng)一管理，嚴禁私自開后門的情況出現(xiàn)，為安全的實施提供最基礎(chǔ)的保障.

3.2 防火墻控制策略

防火墻技術(shù)是保證網(wǎng)絡(luò)安全最早,也是最廣泛使用的產(chǎn)品，曾經(jīng)被認為是網(wǎng)絡(luò)安全最有效的技術(shù)措施[2].隨著網(wǎng)絡(luò)攻擊和病毒技術(shù)的發(fā)展,防火墻已經(jīng)不是網(wǎng)絡(luò)安全的“萬能產(chǎn)品”，但是作為防止網(wǎng)絡(luò)攻擊，特別是來自外網(wǎng)的攻擊，防火墻功能仍然是目前其他產(chǎn)品無法替代的.

防火墻的設(shè)置可以根據(jù)具體的功能而定，作為網(wǎng)絡(luò)總出入口，可以設(shè)置高性能的硬件防火墻，而在內(nèi)部的各個必要節(jié)點上則可以靈活設(shè)置其他的防火墻產(chǎn)品.通過必要的防火墻設(shè)置，可以按照服務(wù)功能將校園網(wǎng)劃分成多個安全區(qū)域和公共區(qū)域，并定制多種防范策略，保證網(wǎng)絡(luò)應(yīng)用服務(wù)的正常開展[6,7].

3.3 網(wǎng)絡(luò)入侵檢測技術(shù)

試圖破壞信息系統(tǒng)的完整性、機密性、可信性的任何網(wǎng)絡(luò)活動，都稱為網(wǎng)絡(luò)入侵.入侵檢測的定義為，識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此做出反應(yīng)的過程.它不僅檢測來自外部的入侵行為，同時也檢測來自內(nèi)部用戶的未授權(quán)活動.入侵檢測應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán)，還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)[2,8].

3.4 數(shù)據(jù)加密

由于在現(xiàn)實生活中，我們要確保一些敏感的數(shù)據(jù)只能被有相應(yīng)權(quán)限的人看到，要確保信息在傳輸?shù)倪^程中不會被篡改、截取等，僅僅通過身份驗證技術(shù)是不能做到的,這時我們就需要考慮應(yīng)用數(shù)據(jù)加密技術(shù)對校園網(wǎng)上的信息進行加密處理了.常用的數(shù)據(jù)加密技術(shù)有兩類：對稱加密和非對稱加密.對稱加密就是對信息的加密和解密都使用相同的密鑰，也就是說一把鑰匙開一把鎖.而非對稱加密就是把密鑰被分解為一對(即公開密鑰和私有密鑰).這對密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存[2,8].

3.5 配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備

校園網(wǎng)絡(luò)雖然比較復(fù)雜，但從整體技術(shù)架構(gòu)來看，還是屬于局域網(wǎng)范疇，因此，在局域網(wǎng)和外部網(wǎng)絡(luò)接口處配置統(tǒng)一的網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備即可將絕大多數(shù)外部攻擊拒之門外.另外需要注意的是，校園網(wǎng)絡(luò)現(xiàn)在基本上都是高速網(wǎng)絡(luò)，因此配置安全設(shè)備既要考慮到功能同時也必須考慮性能，將配置安全設(shè)備后對網(wǎng)絡(luò)性能的影響盡可能的降到最低.據(jù)此要求，校園網(wǎng)絡(luò)需要配備以下安全設(shè)備：

（1）漏洞掃描系統(tǒng)

（2）安全審計系統(tǒng)

（3）旁路監(jiān)聽型不良內(nèi)容過濾系統(tǒng)

（4）覆蓋全校范圍的網(wǎng)絡(luò)版防病毒系統(tǒng)

（5）網(wǎng)絡(luò)故障檢測以及網(wǎng)絡(luò)故障診斷設(shè)備

通過配置以上安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進行系統(tǒng)的防護、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決[5].

3.6 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認證系統(tǒng)

校園網(wǎng)絡(luò)基礎(chǔ)安全設(shè)施配備后，必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，用戶身份如果得不到落實，即便發(fā)現(xiàn)了安全問題也大多只能不了了之.同時全校的統(tǒng)一身份認證系統(tǒng)，是學(xué)校信息化建設(shè)中必須要考慮的一個非常重要建設(shè)內(nèi)容.現(xiàn)在的校園網(wǎng)內(nèi)的一些應(yīng)用系統(tǒng)或多或少的有具有一定的身份認證功能，但從安全性、通用性、及時性和權(quán)威性來看，都不能令人滿意，而且存在很大的安全隱患.為此，必須建立基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證[5].

3.7 嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理

校園網(wǎng)絡(luò)建設(shè)從教學(xué)科研的角度出發(fā)，應(yīng)該鼓勵建設(shè)更多的公眾上網(wǎng)場所，給學(xué)校師生提供了解網(wǎng)絡(luò)和通過網(wǎng)絡(luò)學(xué)習(xí)、工作的方便，這一點我們安徽三聯(lián)學(xué)院也做了很多工作.但從安全管理的角度來看，對于眾多上網(wǎng)場所的管理，只有使用統(tǒng)一的機房管理軟件、集中身份認證并且進行集中的管理和監(jiān)控，才可以有效的保證網(wǎng)絡(luò)安全.要解決用戶上網(wǎng)身份認證、上網(wǎng)日志保存和查詢的問題，最有效的解決辦法就是采用集中身份認證、集中管理監(jiān)控的方式，具體來說有以下兩個步驟：

（1）用戶使用網(wǎng)絡(luò)首先通過統(tǒng)一的校級身份認證系統(tǒng)確認，非合法用戶無法使用校園網(wǎng)絡(luò).

（2）合法用戶上網(wǎng)的行為受到統(tǒng)一的監(jiān)控并且上網(wǎng)行為日志集中保存在中心服務(wù)器上.這樣既可以不給機房管理增加負擔(dān)，同時也可以提供至少三個月以上的日志備查.另外，由于是將訪問日志直接傳送到中心監(jiān)控服務(wù)器上，這保證了這個記錄的嚴肅性和準(zhǔn)確性[3,4].

3.8 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能

大多校園網(wǎng)絡(luò)使用的免費的電子郵件系統(tǒng)，由于功能和性能等多方面的差距，已經(jīng)明顯不適應(yīng)用戶使用和網(wǎng)絡(luò)安全對郵件系統(tǒng)的要求；另外，在安全管理方面，無法提供及時的監(jiān)控和日志，對一些有害信息無法進行過濾，也成為了校園網(wǎng)絡(luò)安全管理的主要隱患.從網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)應(yīng)用的要求來看，改造校園網(wǎng)絡(luò)電子郵件系統(tǒng)是勢在必行的[1].

3.9 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全建設(shè)是“三分設(shè)備，七分管理”，沒有切實可行的安全保障體系和制度，網(wǎng)絡(luò)安全就變成了空談.必須要做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理[4].另外，學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患.

4 結(jié)束語

互聯(lián)網(wǎng)的分布特性決定了不可能從主干網(wǎng)上解決校園網(wǎng)的安全問題，校園網(wǎng)絡(luò)的安全是整體的、動態(tài)的，同時還必須有完善的安全管理規(guī)章制度和專門管理人才，才能有效地實現(xiàn)校園網(wǎng)絡(luò)安全、可靠、穩(wěn)定的運行[3].加強校園網(wǎng)安全管理仍然是當(dāng)前形勢下教育和科研網(wǎng)絡(luò)環(huán)境安全管理的重點.加強校園網(wǎng)安全管理管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù).

〔1〕黃中偉.計算機網(wǎng)絡(luò)管理與安全技術(shù)[M].北京:人民郵電出版社,2006.

〔2〕王群.計算機網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社, 2008.

〔3〕李振汕.關(guān)于校園網(wǎng)絡(luò)安全管理[J].計算機安全,2008(3).

〔4〕付沙.基于校園網(wǎng)的信息安全策略研究[J].科技和產(chǎn)業(yè), 2007(12).

〔5〕許開宇.校園網(wǎng)絡(luò)安全技術(shù)和BT技術(shù)應(yīng)用研究[D].長春:吉林大學(xué),2006.

〔6〕黃峰.校園網(wǎng)防火墻的規(guī)劃與實現(xiàn)[D].合肥:中國科學(xué)技術(shù)大學(xué),2003.

〔7〕胡谷雨.網(wǎng)絡(luò)管理技術(shù)教程[M].北京:北京希望電子出版社,2002.

〔8〕戚文靜.網(wǎng)絡(luò)安全與管理[M].北京:高等教育出版社,2004.

TP393.18

A

1673-260X（2010）05-0025-02

安徽三聯(lián)學(xué)院2009年度院級科研基金項目資助