田立國 王靜

摘 要：科學(xué)、全面、可操作性的校園網(wǎng)絡(luò)安全整體設(shè)計(jì)是保證數(shù)字化校園網(wǎng)絡(luò)正常運(yùn)行的核心；該文通過分析目前校園網(wǎng)絡(luò)狀況；根據(jù)安全需求及面臨的威脅制定出科學(xué)合理的安全設(shè)計(jì)方案；且在實(shí)際運(yùn)行中所體現(xiàn)的特色及創(chuàng)新點(diǎn)，對高職院校進(jìn)行校園網(wǎng)絡(luò)安全整體設(shè)計(jì)具有一定的借鑒意義。

關(guān)鍵詞：校園網(wǎng) 安全 背景分析 設(shè)計(jì)策略 特色

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2013）03（a）-0-02

漢中職業(yè)技術(shù)學(xué)院新校區(qū)弱電數(shù)字化校園網(wǎng)設(shè)計(jì)以“統(tǒng)一規(guī)劃、分步實(shí)施、加強(qiáng)應(yīng)用、資源整合、數(shù)據(jù)共享” 為指導(dǎo)思想，本著“數(shù)字與安全并重，常態(tài)與非常態(tài)結(jié)合的原則，建立起現(xiàn)代化的數(shù)字化校園”，嚴(yán)格按照新校區(qū)的有關(guān)要求和具體場地的使用情況進(jìn)行設(shè)計(jì)和施工。具體設(shè)計(jì)原則體現(xiàn)了先進(jìn)性、成熟性、開放性、標(biāo)準(zhǔn)化、可擴(kuò)展性、安全性、可靠性、實(shí)用性、可集成性、宜管理性。同時(shí)《陜西省教育信息化十年發(fā)展規(guī)劃》（2011—2020年）頒布后，我院認(rèn)真組織學(xué)習(xí)，根據(jù)全國教育信息化工作電視電話會議精神，結(jié)合我院實(shí)際情況，深化實(shí)施我院信息化試點(diǎn)建設(shè)。為保障我院信息化試點(diǎn)建設(shè)和整個(gè)校園網(wǎng)絡(luò)的正常運(yùn)行，以上原則中，系統(tǒng)的安全性是非常重要的內(nèi)容，提供機(jī)制增強(qiáng)整個(gè)系統(tǒng)的安全防范能力。主要考慮：網(wǎng)絡(luò)設(shè)備的安全性，包括數(shù)據(jù)包過濾、防火墻等功能；用戶接入的控制；實(shí)現(xiàn)完善的統(tǒng)一認(rèn)證及計(jì)費(fèi)系統(tǒng)；入侵檢測和病毒防范；校園網(wǎng)系統(tǒng)對外出口及入口的安全性的考慮。所以合理，科學(xué)、全面、可操作性的校園網(wǎng)絡(luò)安全整體設(shè)計(jì)顯的尤為重要。

1 背景分析

1.1 校園網(wǎng)狀況分析

校園網(wǎng)網(wǎng)絡(luò)信息十分豐富，網(wǎng)絡(luò)用戶的活動(dòng)也非常活躍，校園網(wǎng)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)往往用于滿足學(xué)校正常的行政辦公需要、廣大師生的教務(wù)教學(xué)需要、學(xué)生們的課余校園文化生活等，這些信息都需要進(jìn)行完整性、真實(shí)性保護(hù)和控制，這就需要對進(jìn)出校園網(wǎng)的訪問行為進(jìn)行必要的控制，避免損失。

校園網(wǎng)絡(luò)系統(tǒng)中計(jì)算機(jī)數(shù)量多，物理位置不同、操作用戶不同、用途不同，由于這些差異，使得校園網(wǎng)網(wǎng)絡(luò)中計(jì)算機(jī)中的漏洞問題十分嚴(yán)重。因?yàn)槭褂谜叩陌踩庾R不強(qiáng)，或者采取措施不及時(shí)造成的損失在校園網(wǎng)內(nèi)時(shí)有發(fā)生，因此采用科學(xué)管理方法和先進(jìn)的技術(shù)，可以進(jìn)一步提高校園網(wǎng)絡(luò)信息安全保障水平。

網(wǎng)絡(luò)上的信息良蕎不齊，對正在形成世界觀和人生觀的學(xué)生來說，還不能正確地對待這類內(nèi)容，這些違反道德標(biāo)準(zhǔn)和有關(guān)法律規(guī)范的不良信息對他們危害極大，如果信息安全措施不好，有部分學(xué)生會進(jìn)入這些網(wǎng)站，還可能在校園內(nèi)傳播這類不良

信息。

教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和教育環(huán)境。隨著各高校網(wǎng)絡(luò)規(guī)模的膨脹、網(wǎng)絡(luò)用戶數(shù)目的快速增長，校園網(wǎng)網(wǎng)絡(luò)信息安全問題已經(jīng)成為當(dāng)前各高校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。作為資源共享和信息交流的平臺，校園網(wǎng)絡(luò)的安全顯的尤為重要。

1.2 校園網(wǎng)安全需求

1.2.1 高校面臨著嚴(yán)峻的網(wǎng)絡(luò)安全形勢。越來越多的報(bào)道表明高校校園網(wǎng)己意識的淡薄，而另一方面，高校學(xué)生—這群精力充沛的年輕一族對新鮮事物有著強(qiáng)烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。有關(guān)數(shù)字顯示，目前校園網(wǎng)遭受的惡意攻擊，70%來自高校網(wǎng)絡(luò)內(nèi)部，如何保障校園網(wǎng)絡(luò)的安全成為高校校園網(wǎng)絡(luò)建設(shè)時(shí)不得不考慮的問題。

1.2.2 網(wǎng)絡(luò)安全一定是全方位的安全。首先，網(wǎng)絡(luò)出口、數(shù)據(jù)中心、服務(wù)器等重點(diǎn)區(qū)域要做到安全過濾；其次，不管接入設(shè)備，還是骨干設(shè)備，設(shè)備本身需要具備強(qiáng)大的安全防護(hù)，要具備強(qiáng)大的安全防護(hù)能力，并且安全策略部署不能影響到網(wǎng)絡(luò)的性能，不造成網(wǎng)絡(luò)單點(diǎn)故障；最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從接入控制，到對網(wǎng)絡(luò)安全事件進(jìn)行深度探測，到現(xiàn)有安全設(shè)備有機(jī)的聯(lián)動(dòng)，到對安全事件觸發(fā)源的準(zhǔn)確定位和根據(jù)身份進(jìn)行的隔離、修復(fù)措施，從而能對網(wǎng)絡(luò)形成一個(gè)由內(nèi)至外的整體安全架構(gòu)。

1.3 校園網(wǎng)安全面臨的威脅

通過認(rèn)真分析可以總結(jié)出校園網(wǎng)主要面臨如下的安全威脅：各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；Internet網(wǎng)絡(luò)用戶對校園網(wǎng)存在非法訪問或惡意入侵的威脅；來自校園網(wǎng)內(nèi)外的各種病毒的威脅；內(nèi)部用戶下載文件可能將木馬、蠕蟲等程序帶入校園內(nèi)網(wǎng)；內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用等。

2 校園網(wǎng)安全設(shè)計(jì)策略

對于以上威脅，我們只有不斷改進(jìn)管理方法和采用先進(jìn)的技術(shù)結(jié)合起來，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。

2.1 校園網(wǎng)安全管理

針對目前高校校園網(wǎng)安全現(xiàn)狀，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下是我院的安全管理策略。

2.1.1 規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。規(guī)范統(tǒng)一的對出口進(jìn)行管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。

2.1.2 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備，就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。

2.1.3 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題。

2.1.4 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。

2.2 校園網(wǎng)絡(luò)安全技術(shù)

前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。

2.2.1 殺毒產(chǎn)品的部署

在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實(shí)現(xiàn)這一點(diǎn)，應(yīng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、集中管理、分布查殺等多種功能。

2.2.2 采用VLAN技術(shù)

VLAN技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。

2.2.3 內(nèi)容過濾器

內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時(shí)，可以限制外來的垃圾郵件。

2.2.4 防火墻

在每一臺電腦上都安裝裝防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性：規(guī)劃設(shè)置正確的安全過濾規(guī)則；規(guī)則審核協(xié)議、端口、源地址等IP數(shù)據(jù)包內(nèi)容；嚴(yán)格禁止外網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問；使用動(dòng)態(tài)規(guī)則管理，允許授權(quán)運(yùn)行的程序開放的端口服務(wù)；正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能識別數(shù)據(jù)包的來向，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)功能；定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。

2.2.5 入侵檢測

入侵檢測系統(tǒng)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測系統(tǒng)能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并記錄有關(guān)事件。

2.2.6 漏洞掃描

隨著軟件規(guī)模的不斷增大.系統(tǒng)中的安全漏洞或“后門”會存在.因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報(bào)告，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。

2.2.7 數(shù)據(jù)加密

數(shù)據(jù)加密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。

2.2.8 加強(qiáng)網(wǎng)絡(luò)安全管理

首先，加強(qiáng)網(wǎng)絡(luò)安全知識的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機(jī)制，以提高網(wǎng)絡(luò)管理的效率。

3 特色創(chuàng)新點(diǎn)

3.1 校企合作

學(xué)院通過招標(biāo)公司面向全國分別于2011年、2012年進(jìn)行規(guī)劃設(shè)計(jì)及施工、監(jiān)理招標(biāo)。2012年下半年開始具體實(shí)施信息化建設(shè)。與此同時(shí)，學(xué)院本著長期合作、共同發(fā)展的原則，與中國移動(dòng)漢中分公司、中國電信漢中分公司建立長期戰(zhàn)略合作伙伴關(guān)系，由兩家公司承擔(dān)學(xué)院綜合布線、一卡通等項(xiàng)目的建設(shè)，并長期提供技術(shù)支持。

3.2 五位一體化認(rèn)證體系

多年的摸索和實(shí)踐使我們認(rèn)識到，校園網(wǎng)安全運(yùn)營管理的核心需求及特點(diǎn)可歸納為五個(gè)方面。

準(zhǔn)入準(zhǔn)出一體化：準(zhǔn)入和準(zhǔn)出一體化采用統(tǒng)一的安全認(rèn)證平臺，用戶僅需1套賬號密碼并能夠自由、自主的在內(nèi)外網(wǎng)訪問間實(shí)現(xiàn)方便的切換，管理難度小、用戶體驗(yàn)高；流控設(shè)備與網(wǎng)關(guān)一體化，提供精確的流量和帶寬同時(shí)不影響性能，減少單點(diǎn)故障。保護(hù)用戶投資，實(shí)現(xiàn)增值。

802.1x和Web一體化：在接入交換機(jī)實(shí)現(xiàn)802.1x準(zhǔn)入和Web準(zhǔn)入的同時(shí)支持，達(dá)到部署靈活、保護(hù)投資的目的。實(shí)現(xiàn)基于用戶身份和所在區(qū)域的多種認(rèn)證方式，安全性高、便于管理?？赏ㄟ^統(tǒng)一的認(rèn)證管理平臺進(jìn)行管理減少投資成本、降低管理難度。802.1X認(rèn)證方式主要適用于學(xué)生群體，控制比較嚴(yán)格，Web方式適用于教職工群體上網(wǎng)方便。

有線和無線一體化：校園網(wǎng)同時(shí)具備有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)接入能力，通過不同的認(rèn)證方式，可以統(tǒng)一認(rèn)證管理平臺進(jìn)行管理，可以減少成本，部署靈活，降低管理難度。使用一體化的控制器使設(shè)備的利用率升高，保護(hù)了投資。同時(shí)一體化的網(wǎng)管能夠提供有線設(shè)備和無線設(shè)備的統(tǒng)一配置和管理達(dá)到減少投資成本的目的。

校內(nèi)和校外一體化：VPN網(wǎng)關(guān)支持基于Web認(rèn)證方式的SSL VPN，支持USB key等安全機(jī)制，部署靈活、便于管理。運(yùn)維管理人員僅需對1套系統(tǒng)、1份用戶身份信息進(jìn)行操作，降低了運(yùn)維管理復(fù)雜度。而網(wǎng)絡(luò)用戶在校內(nèi)和校外僅需1套賬號密碼，保證了高安全性和便捷的用戶體驗(yàn)。

IPv4和IPv6一體化：在身份認(rèn)證、用戶管理、安全管理、管理等方面，使校園網(wǎng)同時(shí)承載IPv4和IPv6協(xié)議，滿足接入需求。以達(dá)到減少投資成本、降低管理難度的目的，并且優(yōu)化了用戶使用體驗(yàn)、改善了網(wǎng)絡(luò)安全審計(jì)。

面向數(shù)字校園的校園網(wǎng)安全運(yùn)營管理要求對這五個(gè)方面進(jìn)行完整的涵蓋，五個(gè)方面的分別一體化是過程、五個(gè)方面的整合一體化是目標(biāo)，直至實(shí)現(xiàn)校園網(wǎng)的全網(wǎng)統(tǒng)一認(rèn)證運(yùn)營管理。

3.3 緊密四平臺

網(wǎng)絡(luò)設(shè)備管理平臺、網(wǎng)絡(luò)健康監(jiān)控管理平臺、網(wǎng)站安全防護(hù)平臺、網(wǎng)絡(luò)實(shí)名制平臺相互依賴。

參考文獻(xiàn)

[1] 鄧小善.網(wǎng)絡(luò)服務(wù)器配置與管理[M].北京：中國鐵道出版社，2003.

[2] 劉曉輝.網(wǎng)絡(luò)硬件設(shè)備完全技術(shù)[M].北京：中國鐵道出版社，2011.

[3] 諶璽.企業(yè)網(wǎng)絡(luò)整體安全[M].北京：電子工業(yè)出版社，2011.

[4] 劉曉輝.網(wǎng)絡(luò)綜合布線應(yīng)用指南[M].北京：人民郵電出版社，2009.