王宇一

（江蘇信息職業(yè)技術(shù)學(xué)院現(xiàn)代教育技術(shù)中心,江蘇無錫,214153）

目前數(shù)字化校園已經(jīng)隨著網(wǎng)絡(luò)技術(shù)的日漸成熟有著很好的發(fā)展趨勢.數(shù)字校園在以校園網(wǎng)為基礎(chǔ)的前提下,為高校的教學(xué)科研、辦公學(xué)習(xí)提供了很大的便利.但校園網(wǎng)用戶在享受網(wǎng)絡(luò)給我們帶來高效工作的便利時(shí),也面臨著病毒郵件、ARP攻擊、DDoS攻擊等很多問題,不僅大大影響了用戶使用的安全性,也由于學(xué)校一些保密性文件的毀壞引起極大的麻煩.如何使校園網(wǎng)絡(luò)不遭受攻擊破壞,如何才能讓校園網(wǎng)絡(luò)不再有黑客的入侵、木馬的侵襲和病毒的泛濫等風(fēng)險(xiǎn),使數(shù)字化校園能高效安全地運(yùn)行,已經(jīng)是學(xué)校面臨的重要問題,也是網(wǎng)絡(luò)管理中心的首要任務(wù)[1].

1 數(shù)字校園的典型安全問題

隨著數(shù)字化校園中各種資源應(yīng)用的發(fā)展,各類不同的安全問題也慢慢浮出水面.目前校園網(wǎng)中最普遍的安全問題有以下幾方面.

1.1 數(shù)字資源的盜用濫用

校園網(wǎng)絡(luò)接入的目的是為教學(xué)科研服務(wù),可互聯(lián)網(wǎng)上的不良信息也因此流入校園中.特別是一些色情暴力、反動(dòng)言論等內(nèi)容對學(xué)生的危害極大,他們的思想還沒有成熟,容易受到蠱惑,造成人生觀、價(jià)值觀的偏差.如果沒有有效的安全措施控制這些信息的傳播,后果將無法想象.濫用資源主要包括PPS等網(wǎng)絡(luò)視頻、玩大型網(wǎng)游、利用P2P瘋狂下載各類軟件等,常常會(huì)導(dǎo)致網(wǎng)絡(luò)阻塞、上網(wǎng)速度極慢等問題.

1.2 ARP攻擊

校園網(wǎng)中很多用戶對計(jì)算機(jī)的安全防范意識較為薄弱,通常有不裝殺毒軟件和未打系統(tǒng)補(bǔ)丁的習(xí)慣,給病毒的蔓延提供了漏洞.老師們常用的U盤等移動(dòng)存儲介質(zhì)更是病毒傳播的間接兇手.這幾年校園網(wǎng)中最普遍發(fā)生的病毒是ARP欺騙攻擊.它是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙,能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞,造成網(wǎng)絡(luò)長時(shí)間的中斷.

1.3 木馬病毒入侵

數(shù)字校園中有很多教學(xué)辦公應(yīng)用的信息系統(tǒng),而任何系統(tǒng)和服務(wù)器只要在網(wǎng)絡(luò)上都容易受到木馬的入侵,黑客的攻擊.許多高校的網(wǎng)站曾多次發(fā)生主頁被篡改無法正常使用的情況,很大程度上影響了老師們?nèi)粘５慕虒W(xué)辦公[1]；有些學(xué)生為了顯示自己的能力在互聯(lián)網(wǎng)上下載攻擊軟件,有目的地攻擊校園網(wǎng),這都會(huì)造成網(wǎng)絡(luò)的癱瘓；更有甚者通過校園網(wǎng)散布虛假的公告,攻擊學(xué)工教務(wù)等系統(tǒng),嚴(yán)重?cái)_亂日常教學(xué)任務(wù)的開展.

1.4 網(wǎng)絡(luò)中硬件設(shè)備的破壞

網(wǎng)絡(luò)中的硬件設(shè)備（如路由器、交換機(jī)、HUB和服務(wù)器等）會(huì)遭到有意無意的破壞.因?yàn)樾@網(wǎng)絡(luò)規(guī)模大,所以連接上較為復(fù)雜.而網(wǎng)絡(luò)設(shè)備是校園網(wǎng)正常運(yùn)行的基礎(chǔ),一旦設(shè)備無法正常工作,將導(dǎo)致整個(gè)校園網(wǎng)的癱瘓.

除了這些顯著的安全問題,校園網(wǎng)還面臨著其他各方面的問題,所以建立一套網(wǎng)絡(luò)安全體系,為學(xué)校的教務(wù)系統(tǒng)、辦公系統(tǒng)、資產(chǎn)管理等提供一個(gè)安全的運(yùn)行環(huán)境是非常重要的.

2 數(shù)字校園網(wǎng)絡(luò)安全體系研究

數(shù)字校園中傳統(tǒng)的防御方法就是架設(shè)一臺臺網(wǎng)絡(luò)設(shè)備來阻止病毒蔓延、黑客入侵.如防火墻、郵件過濾器、IPS、殺毒軟件、安全接入訪問交換機(jī)等,這種哪邊有了漏洞就修補(bǔ)哪邊的方式,其實(shí)是永無止境地跟在安全問題后面賽跑,無法從根本上解決問題.能根本上解決對網(wǎng)絡(luò)安全造成的各種威脅,只有建設(shè)一個(gè)完善的校園網(wǎng)絡(luò)體系.通過高性能的安全環(huán)境,提供行為識別、行為控制、行為審計(jì)等一套具有層次的網(wǎng)絡(luò)體系來保障數(shù)據(jù)的安全傳輸,保證教學(xué)科研的順利開展.在此基礎(chǔ)上我們提出了面向用戶協(xié)同管控的方案來有效的解決網(wǎng)絡(luò)安全問題,并利用路由交換技術(shù)提供安全高效的數(shù)據(jù)傳輸.下面對面向用戶行為的協(xié)同管控方案中的關(guān)鍵技術(shù)（防火墻技術(shù)、身份認(rèn)證技術(shù)、VPN）進(jìn)行簡單介紹.

2.1 防火墻技術(shù)

防火墻有軟件與硬件之分,都能在一定程度上防止黑客入侵和病毒蔓延.我們一般把它架設(shè)在網(wǎng)絡(luò)出口處或者服務(wù)器之前,可以有效限制非法用戶對校園網(wǎng)內(nèi)部資源的訪問.網(wǎng)絡(luò)管理員要做好相應(yīng)的安全策略,如可以用Vlan來設(shè)置一定的訪問控制,有效地阻止了病毒在全網(wǎng)中的蔓延[2].提高用戶的安全意識也是極其重要的,必須要求用戶安裝最新的殺毒軟件,并按時(shí)更新病毒庫,及時(shí)打好系統(tǒng)補(bǔ)丁,禁止瀏覽具有不良信息的網(wǎng)站,讓用戶形成良好的上網(wǎng)習(xí)慣.

2.2 身份認(rèn)證技術(shù)

身份認(rèn)證是常用安全技術(shù)中的一種.它是用通信的方式來確定用戶的合法性,以此達(dá)到通訊安全的目的.一般認(rèn)證方法有口令認(rèn)證、數(shù)字簽名等.采用一定的算法將數(shù)據(jù)加密后再通過網(wǎng)絡(luò)傳輸,這樣即使黑客獲取到密文,也會(huì)因?yàn)闊o法破譯而一無所獲,很好的保證了文件的安全性.

2.3 VPN

VPN是在因特網(wǎng)上建立的一條安全穩(wěn)定的隧道.通過這條隧道,我們能夠?qū)?shù)據(jù)進(jìn)行多次加密保證其傳輸?shù)陌踩?還可以為遠(yuǎn)程用戶提供安全的管理登錄.我們還能在VPN上進(jìn)行訪問控制的設(shè)定,只有合法用戶才能使用VPN獲取相應(yīng)的數(shù)字資源,并利用VPN的加密機(jī)制,對數(shù)據(jù)進(jìn)行加密傳輸.

3 面向用戶的協(xié)同管控方案在網(wǎng)絡(luò)安全中的具體應(yīng)用

傳統(tǒng)的防御能在數(shù)字校園網(wǎng)中起到一定的安全作用,但其只是在防御的層面上,無法感知所有用戶的所有行為,更無法控制所有用戶的行為.雖然安全設(shè)備在校園網(wǎng)中分工不同,但實(shí)際上只是形成了一個(gè)個(gè)安全的孤島.因?yàn)槲覀冊诤艽蟪潭壬虾雎粤藬?shù)字校園的安全問題從根本上還是用戶行為導(dǎo)致的.所以本文提出采用面向用戶的協(xié)同管控方案,從用戶的角度出發(fā),對用戶進(jìn)行行為識別、行為控制、行為審計(jì),并通過管理系統(tǒng)負(fù)責(zé)各組件交互協(xié)同.只有這樣才能從根本上保障校園網(wǎng)的安全.方案由出口用戶協(xié)同管理、接入?yún)f(xié)同管理、全局協(xié)同管理3方面組成,下面具體介紹下這3方面的應(yīng)用.

3.1 出口用戶協(xié)同管控

可在校園網(wǎng)的出口做出口協(xié)同管控方案.采用ACG識別用戶的訪問情況和流量信息,運(yùn)用服務(wù)器進(jìn)行NAT地址的轉(zhuǎn)換.ACG可以根據(jù)流控的策略和內(nèi)容過濾的策略,對校園網(wǎng)的使用用戶進(jìn)行細(xì)粒度的控制.ACG還能為我們發(fā)送用戶上網(wǎng)行為信息,根據(jù)防火墻的NAT日志我們就可以跟蹤到某一用戶的詳細(xì)上網(wǎng)記錄,并由安全管理平臺進(jìn)行記錄,供事后審計(jì).

ACG主要的3大應(yīng)用主要為對P2P帶寬濫用訪問控制,對校園非法HTTP訪問控制,對非法E-mail傳播控制.①ACG能根據(jù)特征識別網(wǎng)絡(luò)中各種P2P應(yīng)用協(xié)議和流量,基于用戶、IP、應(yīng)用等任意組合進(jìn)行多維度細(xì)粒度的控制,并能以多種方式進(jìn)行阻斷和限流；②ACG還可以識別用戶對非法網(wǎng)站的訪問,這樣我們可以時(shí)刻關(guān)注學(xué)生的動(dòng)態(tài),還能過濾色情暴力網(wǎng)站的關(guān)鍵詞,自動(dòng)屏蔽這類網(wǎng)站的訪問,保護(hù)了學(xué)生的身心健康[1]；③ACG通過收件人、發(fā)件人、郵件主題、正文、附件識別非法郵件的傳播,還可以根據(jù)郵件標(biāo)題、正文關(guān)鍵字過濾病毒垃圾郵件,大大降低了教工們因?yàn)猷]件中毒的概率,從出口維護(hù)了網(wǎng)絡(luò)的干凈,提供了安全的辦公環(huán)境.

3.2 接入?yún)f(xié)同管控

在接入終端采用iNode客戶端來識別終端安全狀態(tài),通過EAD方案的賬號與IP、MAC綁定功能實(shí)現(xiàn)終端用戶的管理,并實(shí)現(xiàn)終端安全狀態(tài)的統(tǒng)一管理見圖1.iNode客戶端可以識別username、IP、mac的真實(shí)對應(yīng)關(guān)系,這樣我們就可以對終端用戶進(jìn)行安全加固,并檢測其電腦是否裝有殺毒軟件、是否更新病毒庫等操作.一旦發(fā)現(xiàn)沒有任何防毒安全措施的計(jì)算機(jī)連入網(wǎng)絡(luò),自動(dòng)阻斷,并提醒用戶進(jìn)行補(bǔ)丁更新的操作,有效防止了病毒在校園網(wǎng)中的蔓延.最重要的是iNode客戶端還可以識別目前最令人頭疼的ARP攻擊,鎖定攻擊的客戶端網(wǎng)關(guān)信息,這樣網(wǎng)絡(luò)管理員就能準(zhǔn)確迅速地找出ARP攻擊范圍.

圖1 接入?yún)f(xié)同管控

3.3 全局協(xié)同管控

把用戶行為安全信息都記錄在事件管理（SecCenter）中,然后通過響應(yīng)控制（IMC）,我們就可以對用戶的行為進(jìn)行識別和審計(jì),并進(jìn)行相應(yīng)的控制,如關(guān)閉病毒所在的交換機(jī)端口,強(qiáng)制非法訪問用戶下線,并給未能更新系統(tǒng)補(bǔ)丁的用戶發(fā)在線提醒的提示[3].另外安全管理中心可以對IPS識別的蠕蟲攻擊進(jìn)行展示并根據(jù)日志內(nèi)容進(jìn)行攻擊源定位,通過EAD或UAM系統(tǒng)可對攻擊源進(jìn)行拉入黑名單的處理.

4 結(jié)語

數(shù)字校園網(wǎng)絡(luò)安全是一個(gè)很復(fù)雜的問題,涉及很多方面,本文只是提出了一種較合理方便的解決方案,最大的優(yōu)點(diǎn)就是易部署和易管理.即使一些終端存在安全漏洞的用戶自己未留意,網(wǎng)絡(luò)管理員也可以很輕松的定位到“問題用戶”,隨時(shí)分析其問題的詳細(xì)原因.但方案實(shí)現(xiàn)起來仍較復(fù)雜,有待進(jìn)一步的優(yōu)化完善.

[1]張翼.校園網(wǎng)安全分析及解決方法[J].鎮(zhèn)江高專學(xué)報(bào),2002,15（4）：28-31.

[2]賈曉軍.校園網(wǎng)設(shè)計(jì)與建設(shè)[J].山西科技,2009（5）：43-44.

[3]于洪一.淺析校園網(wǎng)絡(luò)搭建及安全設(shè)計(jì)[J].黑龍江科技信息,2011（16）：90.