校園網(wǎng)網(wǎng)絡(luò)信息安全及防范策略探討

賀衛(wèi)紅　詹瑾瑜

摘 要:隨著教學(xué)、科研、管理和對(duì)外交流對(duì)網(wǎng)絡(luò)和數(shù)據(jù)支持的依賴逐步加強(qiáng),校園網(wǎng)網(wǎng)絡(luò)信息安全和保密是一個(gè)至關(guān)重要的問(wèn)題。網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對(duì)各種不同的威脅,確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。本文在分析校園網(wǎng)安全因素和我院校園網(wǎng)特點(diǎn)的基礎(chǔ)上,提出了校園網(wǎng)信息安全及防范策略的解決方案,提高了校園網(wǎng)的整體安全性能,取得了一定的成果。

關(guān)鍵詞:校園網(wǎng) 網(wǎng)絡(luò)安全 解決方案

中圖分類號(hào):TP309.2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1673-8454(2009)19-0024-03

信息化建設(shè)是我院的一項(xiàng)核心工作,升本以來(lái),為進(jìn)一步提高學(xué)院信息化建設(shè)與教學(xué)水平,學(xué)院投入1200萬(wàn)元建設(shè)校園網(wǎng)絡(luò),搭建信息化教學(xué)平臺(tái),開(kāi)發(fā)信息資源,校園網(wǎng)已經(jīng)成為我院數(shù)字化高校的重要基礎(chǔ)組成部分,承擔(dān)著為學(xué)校教學(xué)、科研以及管理等服務(wù)的角色。然而由于管理制度體系的不完善;校園網(wǎng)設(shè)計(jì)中存在的問(wèn)題;惡意軟件、病毒在校園網(wǎng)中傳播;黑客攻擊等因素造成校園網(wǎng)網(wǎng)速變慢、信息丟失以及網(wǎng)絡(luò)癱瘓等嚴(yán)重后果,對(duì)校園網(wǎng)安全構(gòu)成巨大威脅。我院是一所新的本科學(xué)院,其校園網(wǎng)建設(shè)具有分散、開(kāi)放、復(fù)雜、規(guī)模大、應(yīng)用廣泛、兼顧過(guò)去基礎(chǔ)和未來(lái)發(fā)展的特點(diǎn),因此,建立一套保證網(wǎng)絡(luò)安全、穩(wěn)定、高效運(yùn)行的安全策略,是校園網(wǎng)建設(shè)及應(yīng)用過(guò)程中必須解決的一個(gè)現(xiàn)實(shí)問(wèn)題。

一、校園網(wǎng)安全因素分析

隨著Internet技術(shù)的迅速發(fā)展,數(shù)字化校園得到了蓬勃的發(fā)展,校園網(wǎng)作為數(shù)字化校園的重要基礎(chǔ),擔(dān)當(dāng)著學(xué)校教學(xué)、科研、管理和對(duì)外交流等重要任務(wù)。然而由于各種因素的影響,校園網(wǎng)并不安全。在使用的過(guò)程中,因?yàn)檫@樣或那樣的原因,造成網(wǎng)絡(luò)變慢、信息丟失乃至網(wǎng)絡(luò)癱瘓的嚴(yán)重后果,極大地影響了校園網(wǎng)作用的發(fā)揮。

當(dāng)前威脅校園網(wǎng)安全的因素有來(lái)自于校園網(wǎng)外部或內(nèi)部的因素,也有是物理因素、技術(shù)因素和管理因素等等。

1.校園網(wǎng)內(nèi)外部因素

校園網(wǎng)一般與Internet相連,在享受Internet快捷方便的同時(shí),也面臨著遭遇攻擊的風(fēng)險(xiǎn)。校園網(wǎng)一般會(huì)重點(diǎn)考慮對(duì)外服務(wù)器的安全性,但校園網(wǎng)內(nèi)部也存在很大的安全隱患,對(duì)內(nèi)服務(wù)器則是暴露在內(nèi)部交換機(jī)上,隨時(shí)可能受到來(lái)自內(nèi)部用戶的掃描、窺探和攻擊。特別是校園網(wǎng)的大部分用戶是學(xué)生,很多學(xué)生(特別是理工科學(xué)生)的計(jì)算機(jī)水平非常高,再加上Intenet的普及,使一些黑客程序可以很容易在網(wǎng)上獲得。這個(gè)具有很高知識(shí)水平,朝氣蓬勃的用戶群體,具有旺盛的精力、強(qiáng)烈的好奇心和實(shí)踐知識(shí)欲望。在實(shí)現(xiàn)自我價(jià)值的刺激下,他們有足夠的理由對(duì)抗校園網(wǎng)的運(yùn)行。他們所引發(fā)的安全隱患比來(lái)自校園網(wǎng)外部的各種不安全因素往往破壞力更大、影響更廣、威脅更大。

另外一方面,由于校園網(wǎng)絡(luò)的開(kāi)放性以及技術(shù)的公開(kāi)性,每天都會(huì)有一些人出于好奇心,蓄意破壞和為了使自己獲得某種非法利益等目的,利用網(wǎng)絡(luò)協(xié)議、服務(wù)器和操作系統(tǒng)的安全漏洞以及管理上的疏漏非法訪問(wèn)資源、刪改數(shù)據(jù)、破壞系統(tǒng)。而校園網(wǎng)中,很多行政和教學(xué)單元的電腦中存有涉及機(jī)密的文件,比如試卷、學(xué)生成績(jī)等。在拒絕服務(wù)(DOS)攻擊在Internet上活動(dòng)猖獗的時(shí)候,大部分攻擊都是利用主機(jī)在管理上的松懈來(lái)達(dá)到攻擊的目的,同時(shí)也隱藏了自己。這些行為給校園網(wǎng)的安全運(yùn)行造成了嚴(yán)重的威脅,同時(shí)也損害了高校的聲譽(yù)。

2.物理因素

電源、通信等設(shè)備的物理安全,也是引起校園網(wǎng)安全的一個(gè)重要因素,如交換機(jī)、通信光纖、供電設(shè)備、電話線、局域網(wǎng)、遠(yuǎn)程網(wǎng)等遭到破壞引起校園網(wǎng)絡(luò)的癱瘓。這一點(diǎn)在很多大學(xué)新建校區(qū)或?qū)闲^(qū)進(jìn)行維修改造時(shí)經(jīng)常遇到,例如許多大學(xué)在基本建設(shè)中或進(jìn)行校園綠化時(shí)通信光纜、電纜可能隨時(shí)遭到破壞,防雷措施不到位,一個(gè)雷擊就可能造成整個(gè)校園網(wǎng)的癱瘓等等。

3.技術(shù)因素

受制于當(dāng)前網(wǎng)絡(luò)通信技術(shù)的限制,網(wǎng)絡(luò)通信的帶寬和速度并沒(méi)有達(dá)到人們理想的狀態(tài),往往可能出現(xiàn)因?yàn)閭鬏斁嚯x遠(yuǎn)、傳輸信息量不堪重負(fù)導(dǎo)致網(wǎng)絡(luò)癱瘓的情況也時(shí)有發(fā)生。比如在視頻會(huì)議、視頻點(diǎn)播、軟件下載(常見(jiàn)的是類似于BT下載)等應(yīng)用時(shí)會(huì)造成帶寬被大量占用,從而影響大多數(shù)正常校園網(wǎng)用戶的網(wǎng)速,嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓。另外,計(jì)算機(jī)系統(tǒng)本身存在的漏洞、病毒的威脅、黑客的入侵、人為因素進(jìn)行的破壞等安全隱患都嚴(yán)重地干擾和破壞了學(xué)校的管理秩序。

4.管理因素

嚴(yán)格的管理是校園網(wǎng)安全的重要措施。雖然各個(gè)學(xué)校都相應(yīng)地出臺(tái)了一些關(guān)于網(wǎng)絡(luò)使用的規(guī)章制度,但對(duì)網(wǎng)絡(luò)的管理思想麻痹,對(duì)網(wǎng)絡(luò)安全保護(hù)不夠重視,在人力、財(cái)力、物力投入不夠,缺乏完善的網(wǎng)絡(luò)安全管理制度,并且在執(zhí)行安全管理制度的時(shí)候往往并不到位。

二、我院校園網(wǎng)的特點(diǎn)分析

我院的網(wǎng)絡(luò)建設(shè)主要是對(duì)于原校園網(wǎng)絡(luò)進(jìn)行改造,改善原有校園網(wǎng)的帶寬小、性能低的現(xiàn)狀,在改建過(guò)程中,充分考慮到學(xué)校內(nèi)部的校園網(wǎng)多業(yè)務(wù)以及特色業(yè)務(wù)等擴(kuò)展性,涉及基礎(chǔ)網(wǎng)絡(luò)設(shè)施的建設(shè)和業(yè)務(wù)應(yīng)用平臺(tái)建設(shè)兩個(gè)不同的層面,具有以下主要特點(diǎn)。

1.多出口的需求

典型的組網(wǎng)有中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)出口和運(yùn)營(yíng)商網(wǎng)絡(luò)出口。多出口帶來(lái)了以下兩個(gè)需求:首先是多權(quán)限ISP需求,用戶可通過(guò)不同的賬號(hào)名或采用相同的賬號(hào),不同的域名認(rèn)證,獲得不同的上網(wǎng)權(quán)限。譬如做到用戶不認(rèn)證前能自由訪問(wèn)校園內(nèi)部分服務(wù)器,采用“user@163”登錄,可實(shí)現(xiàn)Internet和校園網(wǎng)絡(luò)自由訪問(wèn),采用“user@crenet”登錄,可訪問(wèn)CERNET和校園網(wǎng)。其次,考慮到用戶的需求,需要在學(xué)校的內(nèi)部提供不同的路由策略,即用戶訪問(wèn)教育網(wǎng)的相關(guān)站點(diǎn),通過(guò)CERNET的線路,而訪問(wèn)其他如新浪、網(wǎng)易等站點(diǎn)則選擇運(yùn)營(yíng)商的線路作為出口路由,這要求核心的交換機(jī)或出口路由器能夠提供策略路由以支持該特性。

2.良好的可管理性

首先要解決好用戶管理的Web認(rèn)證需求,能實(shí)現(xiàn)進(jìn)行身份認(rèn)證、多ISP選擇、用戶費(fèi)率查詢、帶寬動(dòng)態(tài)調(diào)整等功能;其次,需要解決賬號(hào)和端口綁定問(wèn)題,限制賬號(hào)的使用區(qū)域,實(shí)現(xiàn)全網(wǎng)的安全管理;最后,具有對(duì)用戶的上網(wǎng)行為實(shí)現(xiàn)實(shí)時(shí)的跟蹤與追查,并對(duì)用戶帶寬進(jìn)行控制的功能。

3.多種教學(xué)方式并行的需求

隨著校園網(wǎng)的發(fā)展,依托于校園網(wǎng)絡(luò)給學(xué)生提供多種的特色教學(xué)模式,通過(guò)校園網(wǎng)為學(xué)生提供全方面的教學(xué)資料,建立VOD視頻服務(wù)平臺(tái),實(shí)現(xiàn)VOD點(diǎn)播業(yè)務(wù)等功能。

三、我院校園網(wǎng)絡(luò)信息安全及防范策略解決方案

1.采用的技術(shù)路線和實(shí)施方案

通過(guò)分析有可能造成校園網(wǎng)安全問(wèn)題的各種因素,并且研究利用目前已經(jīng)成熟的、先進(jìn)的解決方法建立一個(gè)較為完善的、先進(jìn)的、合理的安全策略體系,從而保障校園網(wǎng)安全、健康的運(yùn)行,安全策略體系如圖1所示。

(1)利用工程的思想。把本網(wǎng)絡(luò)的安全策略體系建立當(dāng)做一個(gè)相對(duì)獨(dú)立的系統(tǒng)工程來(lái)做,并且在建立過(guò)程中始終以系統(tǒng)工程的思想作為指導(dǎo)。

(2)采用內(nèi)部控制的責(zé)任分離機(jī)制。在整個(gè)策略體系的實(shí)現(xiàn)過(guò)程中,始終以責(zé)任分離為又一指導(dǎo)思想。首先是將各種策略責(zé)任分離到不同的模塊:技術(shù)和非技術(shù),再將其分離到各種不同的層次上;其次是將策略的實(shí)施由各個(gè)不同的人來(lái)承擔(dān),做到各負(fù)其責(zé)。

(3)借鑒類似網(wǎng)絡(luò)ISO/OSI模型原理。在安全策略體系的建立過(guò)程中,將涉及安全技術(shù)的方方面面歸結(jié)到物理系統(tǒng)層、操作系統(tǒng)層、數(shù)據(jù)庫(kù)系統(tǒng)層、應(yīng)用系統(tǒng)層、網(wǎng)絡(luò)系統(tǒng)層這五個(gè)層次中解決。

(4)重視影響安全的非技術(shù)因素的解決。根據(jù)對(duì)網(wǎng)絡(luò)安全問(wèn)題產(chǎn)生原因的分析,當(dāng)今網(wǎng)絡(luò)安全問(wèn)題有98%是因?yàn)槿藗兊陌踩庾R(shí)、管理保障、故障響應(yīng)機(jī)制不完善和不充分造成的,因此在本安全策略體系的建立過(guò)程中,將以上非技術(shù)因素單獨(dú)拿出來(lái)作為一個(gè)模塊來(lái)處理。

(5)安全策略技術(shù)的使用以先進(jìn)性、成熟性、易用性、可擴(kuò)展性、合理性為原則。比如在解決內(nèi)外網(wǎng)絡(luò)安全問(wèn)題時(shí),就采用成熟的代理服務(wù)器技術(shù),是內(nèi)網(wǎng)的服務(wù)只能被外網(wǎng)有限訪問(wèn),從而解決相關(guān)安全隱患;在解決核心網(wǎng)絡(luò)安全問(wèn)題時(shí),就采用較先進(jìn)的多元綁定技術(shù);在解決網(wǎng)絡(luò)廣播風(fēng)暴等安全問(wèn)題時(shí),采用建立多個(gè)邏輯子網(wǎng),使用的技術(shù)是易擴(kuò)展的VLAN。

2.校園網(wǎng)絡(luò)信息安全研究的方法

(1)重視系統(tǒng)分析

以系統(tǒng)科學(xué)的思想為指導(dǎo)來(lái)分析影響校園網(wǎng)絡(luò)安全的各種問(wèn)題因素,并研究影響因素間的內(nèi)在聯(lián)系,確定其相互之間的重要度,探討其量化和規(guī)范化的方法,將國(guó)外先進(jìn)國(guó)家的研究成果與我院網(wǎng)絡(luò)實(shí)際相結(jié)合,建立解決問(wèn)題的方法體系。

(2)重視調(diào)查研究

校園網(wǎng)建設(shè)是一個(gè)龐大而復(fù)雜的工程,要保證工程能順利實(shí)施并發(fā)揮作用,必須將成果建立在客觀基礎(chǔ)上才可以發(fā)揮其作用,閉門造車只能使工程成為擺設(shè),在校園網(wǎng)建設(shè)過(guò)程中應(yīng)重視調(diào)查研究。從國(guó)內(nèi)外成功和失敗的案例中,發(fā)現(xiàn)問(wèn)題、分析問(wèn)題,歸納和總結(jié)出可以為工程建設(shè)借鑒的經(jīng)驗(yàn)和教訓(xùn)。

(3)引入系統(tǒng)工程的思想來(lái)研究

從宏觀的層次來(lái)看,我們可以把研究涉及的安全策略建立看作是一個(gè)系統(tǒng)工程,而且用工程的觀念來(lái)對(duì)問(wèn)題進(jìn)行研究,有助于研究的全面、透徹。使最終建立的安全策略體系,能夠盡可能地解決誘發(fā)網(wǎng)絡(luò)安全的因素。

四、我院校園網(wǎng)信息安全及防范所取得的成果

我院現(xiàn)代教育技術(shù)中心以科學(xué)發(fā)展觀為指導(dǎo),結(jié)合我院的實(shí)際情況,成立了校園網(wǎng)建設(shè)項(xiàng)目組,并建立起可以實(shí)際應(yīng)用的安全策略體系,保障校園網(wǎng)的安全、健康運(yùn)行。現(xiàn)在我院校園網(wǎng)絡(luò)建設(shè)第一期已完成并安全運(yùn)行近兩年,在此網(wǎng)絡(luò)平臺(tái)上我們開(kāi)發(fā)和引進(jìn)了教學(xué)管理、學(xué)生學(xué)籍管理、教職工人事管理、精品課程平臺(tái)等系統(tǒng),并全都能安全高效運(yùn)行。在網(wǎng)絡(luò)上建設(shè)精品課程二十余門,獲教學(xué)成果獎(jiǎng)多項(xiàng),建成省級(jí)示范實(shí)驗(yàn)室一個(gè),為學(xué)院的信息化建設(shè)做出了巨大貢獻(xiàn)。

參考文獻(xiàn):

[1]趙婧如,王宣政.互聯(lián)網(wǎng)安全與計(jì)算機(jī)系統(tǒng)安全標(biāo)準(zhǔn)研究[J].信息安全,2006(9).

[2]孔凡士.高校校園網(wǎng)絡(luò)安全管理策略[J].信陽(yáng)師范學(xué)院學(xué)報(bào),2006(6).

[3]李荷華.計(jì)算機(jī)網(wǎng)絡(luò)安全策略與技術(shù)的研究[J].陜西師范大學(xué)學(xué)報(bào)(自然科學(xué)版),2003(3).

[4]肖雪.計(jì)算機(jī)網(wǎng)絡(luò)安全的研究[J].科技創(chuàng)新導(dǎo)報(bào),2008(8)

[5]胡勤鑫.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題研究[J].信息科技,2006(5).

[6]劉晟.淺析高校校園網(wǎng)安全所面臨的威脅及對(duì)策[J].電腦知識(shí)與技術(shù),2005(9).

[7]王明安,丘文.基于校園網(wǎng)的網(wǎng)絡(luò)安全對(duì)策[J].河北理工學(xué)院學(xué)報(bào),2006(11).

(編輯:于黎明)