可運營的校園網絡安全管理策略

［摘要］本文分析了可運營校園網面臨的主要威脅，構建了基于防火墻和用戶認證系統的校園網安全管理CNSM系統，制定了該系統的具體管理策略，提高了校園網的整體安全性能，保證了校園網的正常運營。

［關鍵詞］校園網運營，網絡安全統一身份認證防火墻

一、前言

隨著高校校園網建設的逐步完成，各高校的基礎網絡設施建設如綜合布線、光纜敷設、交換、路由設備、基礎服務器的購買等已基本完成，學校的教學樓、試驗樓、學生宿舍、教師宿舍區都全面接入校園計算機網絡，校園網開始投入運行。校園網絡除了提供常用的WWW、FTP、EMAIL、BBS等基礎服務外，還提供了教務管理、電子圖書館、網上招生就業、辦公自動化OA的服務，開始大規模為教學、科研以及生活娛樂服務。由于學校的經費有限，網絡建成以后，如何加強網絡安全管理、合理運營，以便收取適量的網絡使用費以補貼校園網大量的維護費用開支，成為各個西部高校都面臨的問題。

二、可運營校園網面臨的主要威脅

1.非法接入和IP地址盜用

由于校園網采用基于TCP/IP協議的千兆交換式以太網方式組網，該協議具有開放性特點，使得校園網內主機接入安全性較差，容易形成非法主機的接入和IP地址盜用。

2.計算機病毒的侵害

計算機病毒特別是網絡病毒具有高速傳播、自我復制和隱蔽性強等特點，對網絡帶寬和計算機資源消耗巨大，具有非常高的破壞性，是校園網安全中最大的威脅。如愛蟲病毒VBS.LoveLetter、沖擊波病毒Worm.Msblast、振蕩波病毒Worm.Sasser等眾多病毒對校園網網絡的破壞性極強。

3.黑客攻擊

任何系統在進行系統設計時都或多或少存在沒有考慮到的缺陷或弊端，一旦軟件使用者沒有發現并修復這些漏洞，攻擊者就很有可能通過惡意掃描發現并加以利用，成為被病毒或黑客攻擊的首選目標。校園網提供各種服務和應用開始運營之后，無論是從Internet上還是校園網內部，總是存在對各種服務系統發起的攻擊，試圖修改服務器數據、破壞服務系統，這對校園網的運營也造成極大的安全隱患。

4.不良信息的傳播

目前再Internet 上傳播的各種信息良莠不齊，有些是違反道德規范、法律法規的不良信息，這些不良信息通?？赏ㄟ^電子郵件、網頁瀏覽、BBS論壇、聊天室等進行傳播，對校園網的信息安全造成極大的危害。

5.賬號盜用

校園網一旦開始運營，用戶賬號的盜用問題就必然存在，是校園網安全管理的一大重點。

三、安全管理CNSM(Campus Network Security Management)整體解決方案構架

要實現校園網的可運營，必須為用戶提供一個穩定、安全的網絡環境，就需要建立一個可管理的安全可靠的網絡結構，然后對它進行管理。下圖是某大學CNSM解決方案構架圖。

在該結構中，選用3臺思科6000系列作為核心組建一個雙環主干結構，各樓宇通過片區匯聚交換機（思科4000系列和3000系列）接入3臺核心設備；在校園網出口，設置一臺阿母瑞特F600UP防火墻，分別聯接外網和內網；在防火墻和內網之間，構架一臺城市熱點認證計費服務器，對內網用戶進行身份審核和流量統計；

四、安全管理的具體策略

在上述網絡結構中實現校園網的安全管理，達到可運營的目的，需要制定整體安全策略并加以實現。

1.制定并實施訪問控制策略

(1)防火墻上策略。防火墻作為校園網內部和外部網絡之間的第一道安全屏障，能很好的對外部網絡和校園網絡內部進行隔離，防止外網黑客對校園網的非法訪問和攻擊，其安全策略非常關鍵。在該圖的網絡結構中，采用屏蔽子網型防火墻，它的五個接口分別連接內網Inside（if1接口，1000M帶寬），DMZ1（if4接口，1000M帶寬，放置對校內外公開的常規服務），DMZ2（if5接口，1000M帶寬，放置學校關鍵的應用服務和數據庫），教育網Cernet（if2接口，100M帶寬）、公網Chinanet（if3接口50M帶寬）。采用雙出口對出口安全所作的備份，正常時兩條出口可均衡負載，當某條線路出現故障時，相互之間可互為備份；采用雙DMZ區，是為了對不同級別的應用分別加以保護。

(2)路由交換機策略。在校園網內部，存在容易掌握校園網內部結構的用戶群體，這些用戶容易對網絡中的其他主機或網絡設備造成威脅，因此還必須在校園網內的各級交換機上進行訪問控制。

①利用Vlan技術對不同類型的用戶進行子網劃分并進行訪問控制。校園網中的用戶大致可分為行政辦公區用戶、教學實驗室用戶、教師宿舍區用戶和學生宿舍區用戶?？刹捎肰LAN劃分技術，將同一類型用戶劃分到同一虛擬子網，其內部可以實現相互訪問，將不同類型用戶劃分到不同虛擬子網，對不同的虛擬子網賦予不同的網絡訪問權限，以實現網絡安全管理，提高整體網絡運行的穩定性。

②對網絡設備的訪問權限進行控制。網絡設備安全是確保網絡安全的重要保障，因此必須對網絡設備進行有效保護。除了利用設備的網絡操作系統NOS進行安全配置，更重要的是對這些網絡設備的訪問權限進行控制，以確保只有網管工作人員通過特定的方式對設備進行管理。

③在該圖的結構中選用3臺具有L3交換技術的CISCO 6509，采用內網OSPF路由控制策略，實現QoS，確保內網千兆主干在任何時候都能高速不間斷連通。

(3)各系統上的安全管理。在校園網的安全管理中，應用系統安全以及用戶系統安全尤其重要。非法訪問、黑客攻擊、病毒傳播很多都是因為各系統存在漏洞或沒有進行安全配置引起的。必須加強各系統的安全管理，定期殺毒，定期檢查系統漏洞并修復。

通過以上安全策略的實施，可有效的防止黑客入侵、非法訪問，并在一定程度上防止病毒傳播、縮小IP地址盜用范圍。

2.身份認證

身份認證用于判斷用戶身份的真實性，是校園網實現安全管理的重要手段，是實現校園網可運營的重要保障。網絡中的賬號盜用或濫用會造成他人合法使用網絡的權益受損。對所有接入校園網絡的用戶進行身份核實，一旦出現違反網絡安全管理規定的行為，可根據賬號使用記錄追蹤到使用者，這對規范用戶的上網行為、防止危害網絡安全行為的發生有著極其重要的作用。

在該認證計費系統中，采用基于客戶端認證方式。用戶可通過客戶端發起訪問請求，認證服務器接到請求后，要求用戶輸入用戶名和密碼進行身份驗證，驗證通過對該用戶的訪問請求予以放行，并且記錄用戶上網行為。在這種方式中，用戶名和密碼通過加密后再通過網絡傳輸到認證計費服務器，能有效的防止用戶的賬號密碼被監聽、盜用。

3，信息過濾

網絡上不良信息大范圍擴散，已經嚴重威脅著校園網的正常運營，也給網絡用戶帶來了巨大損失和麻煩。在校園網上進行信息過濾，有效防止病毒和不良信息傳播，凈化校園網絡環境，為師生員工提供高質量的服務顯得尤為重要。

對病毒進行過濾可在防火墻、交換機上關閉已發現病毒使用的端口，關閉未被使用的端口，同時加裝校園網集中式防病毒系統；對不良網站，可在防火墻、交換機上限制校園網用戶對該類網站的訪問；對垃圾郵件在原有郵件系統上加裝功能強大的反垃圾郵件系統，有效過濾垃圾信息。

五、結束語

保證校園網的正常運營，必須確保校園網的安全。而網絡的安全是一個動態發展的過程，隨著網絡應用系統的不斷擴充，網絡的安全越來越重要、越來越復雜。除了采用有效的技術手段加強管理外，還必須建立完善的校園網安全管理制度，加強網絡管理人員的技術培訓和校園網用戶的安全意識教育。

參考文獻:

[1]查貴庭彭其軍羅國富:校園網安全威脅及安全系統構建[J]，計算機應用研究，2005年第3期150-152

[2]傅光軒高鴻峰楊再仙:校園網信息安全及對策[J]，貴州大學學報(自然科學版)，2004年5月21(2)175-178

[3]Terry Willianm Ogletree著，李之棠譯:防火墻原理與實施[M]電子工業出版社，2001年

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。