羅國富　王乙明

【摘要】在高校信息化建設(shè)過程中，學(xué)校面臨的網(wǎng)絡(luò)安全威脅較多。網(wǎng)絡(luò)安全防范是一個系統(tǒng)工程，可以將安全策略、安全技術(shù)以及安全管理方面進行有機結(jié)合構(gòu)建動態(tài)的安全防范體系。校園網(wǎng)絡(luò)安全防范體系建立不僅依靠安全設(shè)備和技術(shù)，還需要安全管理，在安全策略的指導(dǎo)下，逐步推進，合理部署，并加強安全培訓(xùn)。

【關(guān)鍵詞】校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；信息安全；防范體系

【中圖分類號】G40-057【文獻標(biāo)識碼】A【論文編號】1009－8097(2012)09－0053－04

隨著信息技術(shù)的快速發(fā)展和高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，資源整合、應(yīng)用系統(tǒng)和校園信息化平臺建設(shè)已經(jīng)成為校園信息化的主要任務(wù)。在新的網(wǎng)絡(luò)信息環(huán)境下，信息資源也得到更大程度地共享，3G、IPV6、虛擬化和云計算等新技術(shù)開始研究和實施應(yīng)用；三網(wǎng)融合、云服務(wù)及“智慧校園”等服務(wù)新理念的不斷提出，使得校園網(wǎng)規(guī)模不斷擴大，復(fù)雜性和異構(gòu)性也不斷增加，而這些需求都要求有一個能夠承載大容量、高可信、高冗余和快速穩(wěn)定安全的校園網(wǎng)作為基礎(chǔ)條件。與此同時，高校用戶在享受信息化成果所帶來的工作高效和便利的同時，也面臨著來自校園網(wǎng)內(nèi)部和外部帶來的各種安全威脅和挑戰(zhàn)。因此，有必要建立一套高效、安全、動態(tài)網(wǎng)絡(luò)安全防范體系，來加強校園網(wǎng)絡(luò)安全防護和監(jiān)控，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)基礎(chǔ)。

一校園網(wǎng)絡(luò)安全面臨的問題

1、網(wǎng)絡(luò)安全投入少，安全管理不足

在校園網(wǎng)建設(shè)過程中，管理單位主要側(cè)重技術(shù)和設(shè)備投入，對網(wǎng)絡(luò)安全管理不重視，在網(wǎng)絡(luò)安全方面投入也較少，一般通過架設(shè)出口防火墻來保護校園內(nèi)部網(wǎng)，缺少對安全漏洞的分析和病毒的主動防范的系統(tǒng)。同時，由于高校機構(gòu)設(shè)置的原因，很多高校在網(wǎng)絡(luò)管理方面存在人員不足，同一個技術(shù)人員同時肩負著建設(shè)、管理和安全的工作情況Ⅲ，在校園網(wǎng)安全管理方面，實踐經(jīng)驗告訴我們，校園網(wǎng)絡(luò)安全的保障不僅需要安全設(shè)備和安全技術(shù)，更需要有健全的安全管理體系。很多高校沒有成立信息安全機構(gòu)，缺乏完善的安全管理制度和管理規(guī)范，在網(wǎng)絡(luò)和信息安全方面沒有根據(jù)重要程度進行分級管理。有統(tǒng)計表明，70％以上的信息安全問題是由管理不善造成的，而這些安全問題的95％是可以通過科學(xué)的信息安全管理制度來避免。

2、系統(tǒng)和應(yīng)用軟件漏洞較多，存在嚴重威脅

傳統(tǒng)的計算機網(wǎng)絡(luò)是基于TCP/IP協(xié)議的網(wǎng)絡(luò)。在實際運用中，TCP/IP協(xié)議在設(shè)計的時候是以簡單高效為目標(biāo)，缺少完善的安全機制。因此，基于TCP/IP而開發(fā)的各種網(wǎng)絡(luò)系統(tǒng)都存在安全漏洞，黑客往往把這些漏洞作為攻擊的突破口。安全漏洞主要包括交換機IOS漏洞、操作系統(tǒng)漏洞和應(yīng)用系統(tǒng)漏洞等，操作系統(tǒng)漏洞如WINDOWS、UNIX、LINUX等往往存在著某些組件的安全漏洞，如果管理員沒有及時更新系統(tǒng)補丁或升級軟件，就會成為眾多黑客攻擊的目標(biāo)。應(yīng)用程序漏洞往往出現(xiàn)在最常用的軟件上，如IE、QQ、迅雷、暴風(fēng)影音等經(jīng)常存在一些安全漏洞，這些漏洞很容易成為黑客攻擊最直接的目標(biāo)，給校園網(wǎng)帶來了嚴重威脅，使得校園網(wǎng)絡(luò)安全需要投入更多的精力，需要從各個層次進行防范。

3、網(wǎng)絡(luò)安全意識淡薄，計算機病毒較多

高校校園網(wǎng)主要的服務(wù)群體是教職工和學(xué)生，用戶計算機網(wǎng)絡(luò)水平參差不齊，在日常上網(wǎng)行為和使用計算機過程中，很多用戶缺少足夠的網(wǎng)絡(luò)安全意識，比如教職工為了教學(xué)科研和日常辦公方便，經(jīng)常使用簡單的密碼來管理計算機和各種業(yè)務(wù)系統(tǒng)，造成密碼容易被非法盜用，從而導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)安全問題，黑客通過盜取個人信息進行詐騙或者獲取用戶賬號信息來謀求不法利益，甚至有些黑客在用戶的計算機安裝后門木門，并作為僵尸網(wǎng)絡(luò)的攻擊工具。另外，計算機技術(shù)的飛速發(fā)展也使得計算機病毒獲得了更加快捷多樣的傳輸途徑，各種新型病毒不斷升級變異，并通過U盤、移動終端、局域網(wǎng)等各種方式進行廣泛傳播。如何提高用戶的網(wǎng)絡(luò)安全意識，有效解決病毒對校園網(wǎng)絡(luò)安全的威脅，也是校園網(wǎng)管理人員必須面臨的一個問題。

二構(gòu)建校園網(wǎng)絡(luò)安全防范體系

針對校園網(wǎng)絡(luò)安全的各種安全隱患和威脅，要有效地進行防范，我們必須了解網(wǎng)絡(luò)安全的體系結(jié)構(gòu)及其包含的主要內(nèi)容，國際電信聯(lián)盟電信標(biāo)準(zhǔn)部(ITU-T)在X－800建議中提出了開放系統(tǒng)互連(OSI)安全體系結(jié)構(gòu)，OSI安全體系結(jié)構(gòu)集中在三個方面：安全攻擊，安全機制和安全服務(wù)。安全攻擊是指損害機構(gòu)所擁有信息的安全的任何行為；安全機制是指設(shè)計用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機制；安全服務(wù)是指采用一種或多種安全機制以抵御安全攻擊、提高機構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。三者之間的關(guān)系如圖1所示。

在校園網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)安全防范根本任務(wù)就是防范安全攻擊，提供安全可靠的信息服務(wù)。在計算機網(wǎng)絡(luò)發(fā)展過程中，人們在不斷實踐總結(jié)的基礎(chǔ)上逐漸形成了動態(tài)信息安全理論體系模型，如P2DR模型，主要包括：Policy(安全策略)、Protection(防護)、Detection(檢測)和Response(響應(yīng))。該模型以安全策略為指導(dǎo)，將安全防護、安全檢測和及時響應(yīng)有機地結(jié)合起來，形成了一個完整的、動態(tài)的安全循環(huán)，有效地保障了保證網(wǎng)絡(luò)信息系統(tǒng)的安全。

在飛速發(fā)展的網(wǎng)絡(luò)信息環(huán)境下，網(wǎng)絡(luò)安全防范體系構(gòu)建是一項復(fù)雜的系統(tǒng)工程，不是純粹的技術(shù)問題，也不是簡單的安全產(chǎn)品和技術(shù)的堆砌，我們必須從觀念轉(zhuǎn)變，在建設(shè)過程中，合理地部署安全策略和采用先進的技術(shù)手段，并有效地和安全管理結(jié)合起來，使之成為一個動態(tài)體系結(jié)構(gòu)。根據(jù)傳統(tǒng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，結(jié)合P2DR模型，我們可以構(gòu)建一種動態(tài)的、可靠的、可以實際運用部署的校園網(wǎng)絡(luò)安全防范體系模型。如圖2所示，該模型是以安全策略為核心，以安全設(shè)備為基礎(chǔ)，以安全技術(shù)作為手段，通過安全管理作為保障，通過安全培訓(xùn)來提高用戶安全意識，并在運行過程中，不斷完善安全體系各個環(huán)節(jié)，從而提供安全可靠的服務(wù)。

1、安全策略：安全策略是用于網(wǎng)絡(luò)安全管理相關(guān)活動的一套規(guī)章，是校園網(wǎng)絡(luò)安全體系核心。它主要描述了校園網(wǎng)絡(luò)所規(guī)劃的安全目標(biāo)、對各種安全風(fēng)險的承受能力和保護對象的安全等級等內(nèi)容，包括出現(xiàn)安全事故應(yīng)急處理措施和恢復(fù)辦法。

2、安全技術(shù)；安全技術(shù)是指根據(jù)安全目標(biāo)需要，通過部署安全設(shè)備和采用技術(shù)策略來對校園網(wǎng)各個層次(物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層)來進行安全防護，其包括的設(shè)備或采用的技術(shù)主要包括入侵檢測、防火墻、防病毒網(wǎng)關(guān)、流量控制帶寬保障、通信加密、漏洞掃描、網(wǎng)站防篡改、安全審計、備份容災(zāi)等。這些設(shè)備和技術(shù)是網(wǎng)絡(luò)安全防范體系中的實施應(yīng)用基本條件或手段，它們形成了一個完整的網(wǎng)絡(luò)安全防范系統(tǒng)，因為網(wǎng)絡(luò)安全防范不是單一的技術(shù)手段和多個安全設(shè)備的堆疊，而是一個整體概念，需要保障校園網(wǎng)絡(luò)各個層次和應(yīng)用的安全。在實際應(yīng)用部署中，由于不同的高校經(jīng)費投入差異和信息化程度不同，需要根據(jù)學(xué)校的實際情況建立合理的安全策略，在安全策略的指導(dǎo)下，分步實施，部署安全設(shè)備，采用相應(yīng)的安全技術(shù)手段。

3、安全管理：安全管理是安全體系能夠充分發(fā)揮作用的基本前提，主要包括建立安全管理制度規(guī)范和對安全設(shè)備和技術(shù)的有效管理。安全體系的建設(shè)是一個復(fù)雜的工程，不僅需要考慮人、設(shè)備、技術(shù)等要素，更需要安全管理。對于安全設(shè)備部署和安全技術(shù)的實施，必須建立規(guī)范管理制度，使設(shè)備技術(shù)與安全管理機制有機地結(jié)合起來。安全管理不僅包括行政意義上的安全管理，還包括對人、設(shè)備、技術(shù)的管理。

4、安全培訓(xùn)：網(wǎng)絡(luò)安全防范體系是一個整體，涉及在里面的每一個角色都是一個重要安全組成部分，各級用戶包括領(lǐng)導(dǎo)、管理員和普通用戶等都是安全體系中的一部分[”。加強和提高用戶安全意識，起到的安全防護效果往往比單一的技術(shù)和安全設(shè)備更加有效，因為大部分網(wǎng)絡(luò)安全都是人為的和可以防范的。因此安全培訓(xùn)是整個安全防范體系中非常重要的一部分。

三校園網(wǎng)絡(luò)安全防范體系的應(yīng)用方案

南京農(nóng)業(yè)大學(xué)校園網(wǎng)建設(shè)起步于1995年，經(jīng)過10余年的建設(shè)與發(fā)展，現(xiàn)己建成覆蓋全校的、較完整的網(wǎng)絡(luò)基礎(chǔ)體系，基于校園網(wǎng)的信息應(yīng)用系統(tǒng)更是發(fā)展迅猛，據(jù)不完全統(tǒng)計：學(xué)校已有網(wǎng)絡(luò)公共服務(wù)系統(tǒng)超過100個、網(wǎng)絡(luò)業(yè)務(wù)管理系統(tǒng)數(shù)十套、網(wǎng)絡(luò)信息資源保有量超過了50TB；各類網(wǎng)絡(luò)接入用戶數(shù)在22000以上。2004年，我校在圖書館建立了統(tǒng)一的網(wǎng)絡(luò)數(shù)據(jù)中心，對學(xué)校內(nèi)部的主要網(wǎng)絡(luò)設(shè)備和服務(wù)器進行集中管理，并制定了符合實際的管理規(guī)范，但隨著校園網(wǎng)的快速發(fā)展和信息化建設(shè)的推進，一些規(guī)范已經(jīng)不能滿足實際管理的需要。2011年，我校在理科大樓新建了以綠色節(jié)能為特色，高性能、高安全性的新數(shù)據(jù)中心，與原有數(shù)據(jù)中心形成相互冗余，互為補充的網(wǎng)絡(luò)架構(gòu)，同時，結(jié)合我校網(wǎng)絡(luò)和信息化建設(shè)現(xiàn)狀，提出了比較明確的安全目標(biāo)。

1、制定安全策略，確定安全目標(biāo)

我校目前校園網(wǎng)安全結(jié)構(gòu)覆蓋了兩個校區(qū)，通過教育、電信、聯(lián)通、移動四個類別的網(wǎng)絡(luò)出口跟國際互聯(lián)網(wǎng)相連，學(xué)校用戶使用的操作系統(tǒng)包括Windows、Linux、UNIX等。為了保障校園網(wǎng)絡(luò)安全，確定的近期安全目標(biāo)是要求所有聯(lián)網(wǎng)設(shè)備必須嚴格執(zhí)行校園網(wǎng)安全管理規(guī)范，設(shè)置相應(yīng)的安全策略、安裝校內(nèi)自動更新補丁和病毒防護軟件，保證能夠防護一般的病毒和攻擊，同時校園網(wǎng)管理中心建立防病毒中心和漏洞掃描系統(tǒng)，實現(xiàn)病毒和漏洞預(yù)警；中期目標(biāo)：我們建立安全審計和取證機制，保證安全事情有據(jù)可查、有責(zé)可分，建立通信加密和網(wǎng)站防篡改系統(tǒng)，保障網(wǎng)絡(luò)數(shù)據(jù)傳輸和信息安全，根據(jù)信息安全等級保護，對服務(wù)器的安全優(yōu)先級進行劃分，進行不同等級的防護保障；遠期目標(biāo)是建立立體化網(wǎng)絡(luò)安全預(yù)警和應(yīng)急恢復(fù)系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)安全自動告警和應(yīng)急恢復(fù)機制自動化，建立有機結(jié)合、責(zé)權(quán)分明和可靠有序的規(guī)范管理制度。

2、部署安全設(shè)備，應(yīng)用安全技術(shù)

在安全策略的指導(dǎo)下，結(jié)合校園網(wǎng)絡(luò)各層次的特點，從物理層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層進行分級部署安全設(shè)備和運用安全技術(shù)，形成了如圖3所示防范體系架構(gòu)。

在物理層安全方面，對校園網(wǎng)結(jié)構(gòu)進行扁平化改造，各樓宇匯聚交換機集中于數(shù)據(jù)交換中心，主干采用萬兆互聯(lián)和實現(xiàn)線路冗余，避免由于單點故障造成網(wǎng)絡(luò)傳輸路徑的中斷。在服務(wù)器管理方面，我校分別在圖書館和理科樓各建立了一個數(shù)據(jù)中心，實現(xiàn)互為冗余和異地容災(zāi)從而有效保障了數(shù)據(jù)安全，在機房環(huán)境中，采用專門的氣體消防和提供多線路大功率的UPS供電保障。建立專門的備份用刀片服務(wù)器，用于重要信息平臺的容災(zāi)備份和雙機并行，提高了應(yīng)用系統(tǒng)的可靠性和穩(wěn)定性。

在網(wǎng)絡(luò)層安全防護方面，在校園網(wǎng)入口架設(shè)高性能防火墻和路由器，建立VPN通道，在網(wǎng)絡(luò)核心架設(shè)入侵檢測設(shè)備，學(xué)校用戶利用VPN可以在校外能夠安全接入校園網(wǎng)。使用入侵監(jiān)測系統(tǒng)對進入校園網(wǎng)核心的所有數(shù)據(jù)流動進行實時檢測分析。利用防火墻的包過濾和隔離功能，設(shè)置DMZ區(qū)來保障郵件和DNS等服務(wù)器的安全。通過在防火墻和核心交換的中間架設(shè)網(wǎng)絡(luò)流量控制系統(tǒng)，對網(wǎng)絡(luò)協(xié)議進行分類控制，保障重要的業(yè)務(wù)應(yīng)用，對一些娛樂影視帶寬進行有效控制，有效地提高了網(wǎng)絡(luò)的使用效率。

傳輸層方面，為了防止ARP病毒和蠕蟲病毒影響網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全，我校在校園網(wǎng)上網(wǎng)區(qū)域等實施用戶上網(wǎng)客戶端強制使用DHCP獲取IP地址措施，對于教學(xué)科研管理中必須使用的靜態(tài)IP聯(lián)網(wǎng)的設(shè)備，申請登記后由網(wǎng)絡(luò)管理員分配IP并對應(yīng)交換機端口綁定設(shè)備MAC地址，防止信息被非法獲取，有效地保證了傳輸層的網(wǎng)絡(luò)數(shù)據(jù)安全。

在應(yīng)用層的防護上，我校建立統(tǒng)一的身份認證系統(tǒng)，用于加強用戶信息安全管理身份認證，根據(jù)用戶的身份對用戶進行分級管理并開通相應(yīng)服務(wù)。對用戶上網(wǎng)日志和服務(wù)器日志方面，通過計費網(wǎng)關(guān)對用戶上網(wǎng)日志進行收集，通過網(wǎng)絡(luò)管理系統(tǒng)對服務(wù)器日志進行收集，用日志軟件來對事件和日志的集中分析，查找安全事件的來源，針對互聯(lián)網(wǎng)上的垃圾郵件的泛濫，我校部署專業(yè)反垃圾郵件網(wǎng)關(guān)系統(tǒng)，為用戶并提供詳盡的郵件日志和發(fā)送隔離通知。在防病毒方面，我校在數(shù)據(jù)中心建立病毒防控中心，用戶可以選擇安裝學(xué)校提供防病毒客戶端來實現(xiàn)網(wǎng)絡(luò)防病毒功能，為數(shù)據(jù)中心和校園網(wǎng)絡(luò)接入終端提供防毒服務(wù)。為了防范系統(tǒng)漏洞導(dǎo)致的攻擊，我校建立WINDOWS補丁更新服務(wù)器，實現(xiàn)校園網(wǎng)系統(tǒng)補丁自動分發(fā)。為了加強校園網(wǎng)安全，我們定時對校園網(wǎng)服務(wù)器進行掃描檢查，對存在安全隱患的服務(wù)器或系統(tǒng)進行安全警告并通知相關(guān)管理人員進行及時修復(fù)。

3、注重安全管理，完善規(guī)章制度

實踐經(jīng)驗告訴我們僅有安全技術(shù)和安全設(shè)備防范，而無良好安全管理體系相配套，是很難保障網(wǎng)絡(luò)信息安全的。構(gòu)建網(wǎng)絡(luò)安全防范體系，必須制訂一系列安全管理制度和安全管理規(guī)范，對安全技術(shù)和安全設(shè)施進行規(guī)范管理，建立行之有效的信息安全管理制度和流程，實現(xiàn)嚴密、多層次的安全控制，保證各級系統(tǒng)的安全穩(wěn)定運行，保證數(shù)據(jù)安全可靠，實現(xiàn)數(shù)字校園網(wǎng)絡(luò)環(huán)境的可控、可信、可查。

南京農(nóng)業(yè)大學(xué)在信息化建設(shè)開展后，成立了專門的信息化建設(shè)領(lǐng)導(dǎo)小組，組長是校長，并成立了信息安全小組，由各院系單位派專人負責(zé)各自部門的信息安全工作，服從學(xué)?？傮w安全管理工作安排。同時，我校圖書與信息中心也不斷制定和完善各種安全管理制度，包括校園網(wǎng)安全管理規(guī)范，設(shè)備操作規(guī)范、設(shè)備安全使用管理、操作系統(tǒng)和數(shù)據(jù)庫安全管理、異常情況管理、系統(tǒng)安全恢復(fù)管理、應(yīng)急管理、運行維護安全規(guī)定、第三方服務(wù)商的安全管理以及對系統(tǒng)安全狀況的定期評估策略等，努力建構(gòu)和完善網(wǎng)絡(luò)信息安全體系。

4、開展安全培訓(xùn)，提高安全意識

網(wǎng)絡(luò)和系統(tǒng)的是否安全的決定因素是用戶的安全意識和技術(shù)能力，在安全體系建立后，必須不斷提高用戶的安全意識，使管理員和各級用戶有很強的主人翁意識，積極參與和防范網(wǎng)絡(luò)威脅和及時堵住相應(yīng)漏洞，尤其是新的系統(tǒng)和技術(shù)在校園網(wǎng)中的應(yīng)用、新的病毒或漏洞被發(fā)現(xiàn)，必須通過定期培訓(xùn)、在網(wǎng)上發(fā)布相應(yīng)公告、通過電話提醒來敦促大家及時升級或更新補丁等方法，用戶整體安全意識高，可以極大地提高整個網(wǎng)絡(luò)的安全性。我校在信息化建設(shè)過程中，經(jīng)常開展應(yīng)用講座、使用培訓(xùn)，通過信息門戶網(wǎng)站宣傳來提高和強化全校師生的信息安全觀念意識。

四結(jié)束語

高校信息化建設(shè)在不斷推進，用戶對網(wǎng)絡(luò)的需求也在不斷擴大，網(wǎng)絡(luò)安全建設(shè)需要不斷關(guān)注和投入。結(jié)合學(xué)校的實際情況，我們可以確定清晰的安全策略，制定合理的安全目標(biāo)，采用先進的技術(shù)手段，建立一個全面、立體、可靠地校園網(wǎng)絡(luò)安全防范體系，來為學(xué)校信息化建設(shè)提供強有力的安全保障，從而更好地位教學(xué)科研服務(wù)。