基于校園網的多校區網絡安全設計

姚愷榮

摘要：在對各校區現有網絡結構及其管理體系進行細致分析的基礎上，結合整個學校校園網絡中信息源的分布及重要級別，對整個校園網絡進行了結構劃分，設計了一個三層集中管理網絡安全模型，以確保校園網絡系統的安全。

關鍵詞：網絡安全；入侵檢測；網絡安全模型

1 設計目標

某高職院校由4所學校合并組建，該校的校園分布在一個城市的不同區域，形成了多個校區。該校下屬十幾個教學、行政管理部門，還有多個系一級的教學單位。目前該校網絡已經完成了主校區的核心網絡主控中心建設及分校區與主校區內部網建設，主校區和各分校區之間、各校區內部采用百兆光纖進行連接。為了進一步提高網絡安全性，該校決定搭建一套專門的網絡和信息安全管理系統，以確保整個校園網絡的安全。

2 校園網模型分析

在信息安全管理系統建立之前，考慮到該校目前已經在網絡安全設計上采取了一些基本措施，并且涉及到進行整體網絡建設的步驟與保護投資等問題，我們首先對其網絡中存在的安全問題及隱患進行分析，以保證提供方案的針對性與高效性。

（1）該校現在的工作系統大多是基于瀏覽器/服務器(B/S)、客戶端/服務器(C/S)模式和Internet/Intranet網絡計算模式的分布式應用。在這樣一個分布式應用的環境中，學校的電子郵件服務器、WWW服務器、文件服務器、數據庫服務器、應用服務器等等，每一個都是一個供人出入的“門戶”，只要有一個“門戶”沒有完全保護好，“黑客”就會通過這道門進入系統，竊取或破壞所有系統資源。

（2）目前該校的網絡主要采用TCP/IP作為網絡通訊協議，主要服務器為Windows2000 Server操作系統。TCP/IP以開放性著稱，共享信息的設計思路貫穿于系統的方方面面，對訪問控制、用戶驗證授權、實時和事后審計等安全內容考慮較少，只實現了基本安全控制功能，還存在一些各種各樣的漏洞。

（3）在該校園網中存在著多種應用系統，包括WWW、郵件系統、數據庫系統等等。這些系統都可能存在一些安全隱患。從應用系統情況看，目前大多數業務系統使用單機處理教學、科研、財務、人事和文檔等工作。利用HTTP服務器的一些漏洞，特別是在大量使用服務器腳本的系統上，利用某些可執行的腳本程序，入侵者可以很容易獲得系統的控制權。數據庫系統本身也存在很多安全問題。如何保證和加強數據庫系統的安全性和保密性對于該校的正常、安全運行至關重要。此外，雖然該校當前也對安全問題也做了一定的考慮，安裝了防病毒軟件并設計了防火墻系統，但是鑒于當前校園網系統安全性的嚴重狀況，這些考慮還是不足的，并沒有形成一套完整的防護體系。

鑒于上述考慮，我們對整個校園網絡結構分布及其各自的防護措施進行了調整和完善，引入分布式網絡入侵檢測系統，建立了整個學校校園網絡的安全管理體系，并設計了一個自上而下的三層集中—分散管理體系：由主校區網絡管理為中心，負責整個學校校園網絡管理；各分校區網絡管理分別負責各自轄區內的二層網絡的管理；各單位網絡管理具體負責各自工作站的管理，以入侵檢測系統為主，以防病毒軟件、防火墻為輔，建立一個多方位的安全保障體系，以確保整個校園網絡系統的安全。

3 安全模型設計

3.1 設計的基本思想

由于該學校的網絡系統是建立在主校區、分校區等基礎上的多級分布式網絡系統，其網絡構成包括Unix/NT服務器、郵件服務器、Windows98/2000/XP等聯網客戶機等，而且各分校區的局域網之間的通訊都要通過相對不安全的公共網。這樣一種網絡結構采用分布式入侵檢測系統較為適合，為發揮分布集中管理的優勢，我們試圖設計一個結合該校園網絡特點的三層集中管理的網絡模型。然后，在這個模型中融防火墻、防病毒軟件和入侵檢測系統三位一體，構建從邊界防護到核心主機防護的深層防御體系。由于黑客在網絡入侵中攻擊方式各異而且途徑多種多樣，因此在構建校園網絡防御系統時，可以通過移動代理建立完整的防御體系，實施“層層設防、集中控制”的防御策略。

3.2 三層集中管理模型設計

根據校園網結構，我們將其安全防護體系的部署重點分為了以下幾個方面：PC機防護、實時保護文件/數據庫服務器、實時防護郵件服務器、實時Internet網關的防護、在關鍵網段部署入侵檢測系統保護核心數據安全。

具體的架構及設備在網絡中的部署如下：

在防御體系的設計中，我們擬在該校主校區(總部所在地)安裝一臺管理服務器作為全校網絡防御安全管理中心。在各校區分別安裝一臺管理服務器作為二層防御安全管理中心。在其全校十幾個部門和二級單位中，則可根據規模和實際管理需要，安裝管理服務器作為第三層網絡防御安全管理中心，并在各地相應的管理員工作站上安裝管理員客戶端。管理員可以直接通過管理員客戶端登錄到管理服務器進行遠程策略配置分發等管理工作。在網絡中其他服務器和客戶端上分別安裝客戶端設備，客戶端所有的防御配置(包括防毒軟件)都可以從管理服務器分發獲得。這樣在整個校園網中就形成了一個自上而下的三層集中管理結構。

第一層：主校區的管理服務器負責新區網絡防御策略的制定分發和信息收集，同時負責二層管理服務器群的策略制定。在防毒方面，主校區服務器還可以負責從有關網站上下載病毒庫和殺毒引擎升級代碼，向新校區網絡和二層管理中心提供升級服務。

第二層：二層管理服務器負責各分校區網絡和各部門的防御策略制定和分發，同時負責向下屬的沒有設置管理中心的部門分發安全策略和升級代碼。

第三層：三層管理服務器負責自己網絡的客戶端的安全策略的制定和分發。

根據需要，上級管理員可以直接登錄到下級管理控制中心進行安全策略檢查和配置。這樣的防御結構，可以幫助該校園網在網絡中所有可能遭受攻擊的地方均采取相應的防范手段，從而形成一個完整的網絡防御體系。

此外，管理員可以集中制定適用于網絡的所有防御策略，然后分別部署到各個組中去，通過集中管理模式可以使管理員能夠通過一臺管理服務器完成對網絡中的所有機器的集中配置，在客戶端實現零管理。

4 結語

該校園防御結構從各個環節增強了校園網絡系統對于入侵者的防御能力，從而為校園網信息系統的高可靠性、可用性提供了保證。同時，校園網三層集中管理結構為在其中實現入侵檢測系統奠定了基礎。

參考文獻

[1]張曉．入侵檢測系統的發展［J］．信息安全與通信保密，2004，7（3）：23

[2]劉惠方．基于主機的入侵檢測系統分析［J］．信息網絡安全，2005，9（2）：14

[3]李索科．分布式入侵檢測系統［J］．信息網絡安全，2006，6（3）：18