職業院校校園網安全體系的構建與維護

黎 明

(肇慶科技職業技術學院信息工程系，廣東肇慶 526020)

0 引 言

為進一步貫徹落實國家和省市關于“以教育信息化，促進教育現代化”的戰略指導思想，全面促進職業教育的全面改革和提高整體辦學水平。在教育信息化已成為當代學校發展主流的今天，構建一個信息化校園對于院校的可持續性發展具有重要意義。而校園網作為重要的數字化信息傳輸載體和思想政治教育的重要平臺，在學校數字信息化建設中起著決定性的地位。伴隨著互聯網的日益普及和網絡的不斷發展，網絡信息資源的安全受到越來越多的關注。而校園網作為網絡技術應用于教育事業的一種體現，也面臨諸多的安全性問題[1]。職業教育在我國的起步比較晚，導致大部分職業院校的校園信息化建設仍處于比較低的階段。盡管隨著近幾年職業教育的高速發展，職業院校也紛紛加大了對校園網建設的投入，但是一個完善的校園網整體安全防范體系的建立并非一日之功。而最近發展過快導致的安全事件頻發，使職業院校校園網安全問題也再次顯現出重要性。

1 校園網現狀分析及隱患

1.1 網絡用戶規模大而密集

由于職業院校的特殊性，學生基本上都集中居住在校園內，導致學校用戶群密集化，一旦遭遇感染性強的蠕蟲病毒或目前常見的ARP攻擊，就會造成大面積的用戶癱瘓，從而嚴重影響校園網絡的正常使用。

1.2 系統管理復雜

接入校園網的計算機絕大多數是學生或老師自主購買的，種類和系統繁雜，與此同時，各種系統、軟件的漏洞頻出，更是增大了出現安全問題的頻率[2]。

1.3 活躍的內部群體

學生是最活躍的網絡群體，學生對黑客技術往往充滿了好奇，這就導致來自校園網內部的攻擊逐年遞增。同時，隨著校園網用戶不斷增加，并且隨著網絡應用的不斷豐富，FTP、論壇、在線劇場以及流行的P2P的應用都在嚴重消耗網絡帶寬，造成網速和帶寬效率下降，從而使正常業務的通訊得不到保障。

1.4 網絡環境開放，安全管理不足

目前，大部分職業院校的校園網都處于半開放狀態，缺乏有效的預警和防范措施。而且由于校園網直接與互聯網相連，在擁有海量資訊的同時也存在大量的色情、反動等信息。這些負面的信息對世界觀和人生觀正在形成的職業院校學生來說，具有很大的危害性。與此同時，因為管理的不足導致學校系統掛馬、篡改，遭遇DDoS攻擊癱瘓，個人信息被竊取的事件時有發生，嚴重的甚至擾亂了校園正常次序。

以上種種，同時也是大部分職業院校所正在面臨的困境。由此可見，重建一套完善的校園網整體安全防范體系，對校園網內部進行有效的安全與管理便顯得尤其重要。

2 安全策略的制定與安全體系的構建

2.1 安全策略的制定

要解決校園網的安全威脅，必須從多方面著手，由于校園網內部系統和應用環境的復雜性，數據中心建立時，需按職業學院目前網絡安全的現狀和特點制定符合實際的安全策略。并以此為依據進行校園網絡安全體系的構建，并對各種安全設備進行合理的配置，從而達到校園網安全體系的平衡[8]。

2.2 校園網網絡體系的構建

根據前期制定的安全策略對校園網網絡進行了重新規劃，形成一個基本完善的的網絡安全體系，如圖1所示。

圖1 校園網安全體系拓補圖

首先，在校園網入口處架設企業級智能防火墻，并實現VPN的功能。同時利用DMZ防火墻方案設置非軍事化區(DMZ區)，并對內、外網的訪問定制專門訪問控制策略。利用核心交換機按學校職能進行VLAN劃分，在一定程度上起到了網絡隔離的作用，V LAN的劃分與實現有效地抑制網絡上的廣播風暴，同時也能有效控制用戶之間的通訊，起到隔離和保密的作用。在中間添加入侵監測系統和認證服務器對中心內的所有數據流進行實時監測，對所有的數據訪問進行統一的認證。架設網絡控毒中心，為數據中心和辦公網絡提供有效的病毒防護。使用多級防火墻進一步保護應用服務器群和數據庫服務器群。利用日志及審計服務器對網絡上的訪問進行全面記錄和審計，作為遇到突發事件時取證的依據。

2.3 網絡安全設備的配備

根據職業院校網絡的構架特點及所面臨的各種問題，我們將通過一系列的安全方案，實現校園網絡的各種安全需求。

2.3.1 智能防火墻的部署

在內外網之間部署企業級智能防火墻，把一些公用的服務器設施，如網頁、郵件、域名等服務器設置在防火墻的DMZ區。在有效地保護了內網資源不被非法訪問或破壞的同時，能夠對發生的安全事件進行有效跟蹤和審查。

2.3.2 入侵檢測系統(IDS)與入侵防御系統(IPS)的部署

部署IDS的核心價值在于通過對全網信息的分析，讓管理員了解信息系統的各種安全狀況，進而指導其對信息系統安全建設目標以及安全策略的設置和調整。同時，通過IPS系統的部署深度感知并檢測流經的數據流量，通過高效信息分析過濾功能，利用各種安全策略的實施——對惡意黑客行為進行阻擊和隔斷，保護網絡帶寬資源的安全性。

2.3.3 網絡版殺毒軟件的部署

網絡防病毒產品的最主要特性之一就是能通過控管中心遠程實現防病毒節點的部署和管理。管理員借助SAM T以及殺毒軟件的移動控制中心，可以在任意時間、任意地點實現對內網絡的24 h無縫隙安全管理，有效地管理和保護所有的病毒入口。在大大減少管理員工作量的同時，更有效地確保網內用戶信息的安全。

2.3.4 行為管理系統的部署

上網行為管理系統如圖2所示。

圖2 上網行為管理系統

針對1.3和1.4校園網隱患中的問題，對宿舍區和辦公區部署“上網行為管理系統”，在核心交換機配置端口鏡像功能，鏡像數據源端口為連接互聯網路由器端口，鏡像數據目的端口則連接“上網行為管理系統”監聽網卡端口，對校園用戶連接網絡的數據進行全面分析，并實時記錄互聯網行為日志，全面細致地幫助用戶實現上網行為管理、內容安全管理、帶寬分配管理、網絡應用管理、外發信息管理，有效解決互聯網帶來的管理、安全、效率、資源、法律等各種問題，實現對校園網絡用戶互聯網行為的監控與管理。

3 校園網內部安全管理與維護

由于校園網本身結構和環境的復雜性以及硬件本身的局限性，根據校園網方案搭建而成的校園網絡投入運行之后，仍然面臨著各式各樣的安全問題。比如安全設備的硬件老化、各種線路的損壞、各種層出不窮的黑客攻擊等。這時候就需要組建一個高效的校園網管理和維護團隊來進行專業維護，而維護團隊的工作主要有以下幾項。

3.1 硬件設備的維護與性能優化

設備故障是校園網中的最常見問題。當網絡中某個組成失效時，網管人員必須迅速查找到故障并及時排除，以保證網絡的正常運行，這是校園網安全的最基本保障。同時，在保證設備日常正常運行之外，還必須定期對各種網絡設備進行有效地維護和系統優化，以確保其性能的高效和穩定，這是維護校園網安全的必須任務。

3.2 對防火墻安全策略的合理定制

面對不斷進步的黑客技術，光靠原有的防火墻安全策略是不夠的，這就要管理人員根據實際情況進行不斷更新和完善。比如定期利用各種端口掃描、測試防火墻的安全性、及時發現通常應當禁止的任何服務或系統響應(如ICMP、路由協議和開放管理端口的響應)。對與防火墻相連的所有網段的每個主機(包括防火墻)進行掃描，并且把發現結果同基于策略的預期結果進行對照。還要求維護人員可以根據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問，以保證防火墻的有效性，從而達到網絡的長期安全。

3.3 身份認證系統

建立全校統一的身份認證系統，身份認證系統是整個校園網絡安全體系的基礎。對于每一個需要訪問網絡的用戶，都需要對其身份進行驗證，包括用戶的用戶名/密碼、用戶IP地址、MAC地址、端口號等。通過以上信息的綁定，避免了個人信息被盜用，防止非法用戶的非法接入，以及發生各種安全事故后的有效追蹤處理。

3.4 網絡安全日志和審查系統以及入侵檢測和防御系統

有效地利用已有的網絡安全日志和審查系統，建立詳細的用戶信息庫、主機登錄日志、交換機及路由器日志、服務器日志、內部用戶非法活動日志等。而通過IDS與IPS系統幫助系統有效地抵御來自網絡的攻擊，更加有效地監視、審計、評估網絡系統。

3.5 定時進行重要數據的備份

隨著校園網絡的不斷發展，校園網訪問信息量、存儲需求高速增長，而網絡數據安全性也愈發重要。所以，管理團隊必須做到定時對重要數據進行安全備份。一套安全、穩定、可靠的數據備份與恢復系統都經常能起著決定性的作用。同時，良好的數據備份機制也是保障校園網穩定安全運行的必要條件。

4 結 語

校園網安全是一個復雜的綜合性系統工程，一套完善的校園網整體安全防范體系的建立必須結合軟硬件防護、網絡管理、維護等多方面的安全措施。只有這樣建立起來的校園網安全防范體系，才能經受越來越嚴峻的校園安全形勢的考驗，使其更安全、可靠、高效地為廣大師生服務。

[1] 彭文勝，毛叔平.校園信息化規劃、管理及案例[M].上海:復旦大學出版社，2002.

[2] 向勇，柯和平.教育信息技術實用教程[M].廣州:廣東高教出版社，2003.

[3] 張志華.高校校園網的安全策略及其實現[J].肇慶學院學報，2006(4):26-28.

[4] 萬嵩.校園網總體架構及其安全系統的研究與設計[D]:[碩士學位論文].南昌:南昌大學，2009.

[5] 吳海燕，戚麗.校園數據中心網絡安全防范體系研究[J].實驗技術與管理，2004(3):91-95.

[6] 鐘建偉.基于防火墻與入侵檢測技術的網絡安全策略[J].武漢科技學院學報，2004(4):63-65.

[7] 張建標.校園網絡安全運行架構研究[J].計算機工程與設計，2007，20:4878-4879.

[8] 王繼成.大學校園網的網絡安全與防范策略[J].沈陽農業大學學報:社會科學版，2007(9):727-729.