南京農(nóng)業(yè)大學：五個手段布立體安全網(wǎng)

文/羅國富

南京農(nóng)業(yè)大學：五個手段布立體安全網(wǎng)

文/羅國富

信息安全是體現(xiàn)學校信息化建設(shè)成果及應(yīng)用效果的根本保證，本文通過分析目前校園網(wǎng)信息安全現(xiàn)狀，并結(jié)合南京農(nóng)業(yè)大學校園網(wǎng)實際應(yīng)用方案，對高校信息安全保障體系架構(gòu)進行層次分析。

校園網(wǎng)信息安全現(xiàn)狀

管理體制不健全，管理流程不規(guī)范

網(wǎng)絡(luò)信息安全的保障，首先需要有健全的安全管理體制。目前很多高校沒有規(guī)范的網(wǎng)絡(luò)信息安全管理制度，缺少合理網(wǎng)絡(luò)設(shè)備的操作規(guī)程和信息系統(tǒng)的分級管理，沒有指定專門的安全管理人員等，使得網(wǎng)絡(luò)信息安全很難得到保障。

網(wǎng)絡(luò)結(jié)構(gòu)多樣，管理難度較大

校園網(wǎng)有不同的功能分區(qū)，包括教學網(wǎng)絡(luò)，辦公網(wǎng)絡(luò)和學生宿舍網(wǎng)絡(luò)等，還有一些學校有多個校區(qū)或者校區(qū)合并等情況，往往存在不同的網(wǎng)絡(luò)架構(gòu)。同時，高校校園網(wǎng)絡(luò)對新技術(shù)應(yīng)用比較超前，很多網(wǎng)絡(luò)管理人員經(jīng)常在校園網(wǎng)嘗試新的技術(shù)和管理方式。由此而帶來的安全問題或安全隱患就很難避免。

網(wǎng)絡(luò)應(yīng)用系統(tǒng)數(shù)量眾多，管理水平差異較大

信息化建設(shè)的過程中，為了滿足教學科研的需要，校園網(wǎng)建設(shè)了很多應(yīng)用系統(tǒng)，包括教務(wù)管理、學工系統(tǒng)、電子郵件、網(wǎng)絡(luò)辦公和各種網(wǎng)站等，卻缺少專業(yè)技術(shù)人員管理，甚至委托一些愛好計算機技術(shù)的學生來管理，從而導(dǎo)致系統(tǒng)存在很多安全隱患。

網(wǎng)絡(luò)安全意識淡薄 投入不足

在信息系統(tǒng)建設(shè)初期，很多單位都是滿足于功能的實現(xiàn)，存在著“重技術(shù)、輕安全、輕管理”的傾向，還有很多高校網(wǎng)絡(luò)管理人員投入嚴重不足，一個管理人員可能肩負著建設(shè)、管理和安全的工作，或者有些學校在網(wǎng)絡(luò)規(guī)劃和安全管理方面干脆全部依賴網(wǎng)絡(luò)公司或網(wǎng)絡(luò)集成商，這種情況下，網(wǎng)絡(luò)信息安全根本無法得到保障。

圖1 三維網(wǎng)絡(luò)安全防范技術(shù)體系結(jié)構(gòu)

圖2 網(wǎng)絡(luò)信息安全防范體系

網(wǎng)絡(luò)信息安全保障體系框架

在校園網(wǎng)管理應(yīng)用中，網(wǎng)絡(luò)信息安全體系根本任務(wù)就是防范安全攻擊，建立安全機制并提供安全服務(wù)。而網(wǎng)絡(luò)信息傳遞是以網(wǎng)絡(luò)設(shè)施為載體，我們可以結(jié)合網(wǎng)絡(luò)協(xié)議結(jié)構(gòu)層次，建構(gòu)一個針對網(wǎng)絡(luò)信息安全的三維網(wǎng)絡(luò)安全防范技術(shù)體系框架結(jié)構(gòu)（如圖1所示）。

第一維是安全服務(wù)，給出了八種安全屬性（ITU-T REC-X.800-199103-I）；二維是系統(tǒng)單元，給出了信息網(wǎng)絡(luò)系統(tǒng)的組成；三維是結(jié)構(gòu)層次，給出并擴展了國際標準化組織ISO的開放系統(tǒng)互聯(lián)（OSI）模型。框架結(jié)構(gòu)中的每一個系統(tǒng)單元都對應(yīng)于某一個協(xié)議層次，需要采取若干種安全服務(wù)才能保證該系統(tǒng)單元的安全。網(wǎng)絡(luò)平臺需要有網(wǎng)絡(luò)節(jié)點之間的認證、訪問控制，應(yīng)用平臺需要有針對用戶的認證、訪問控制，需要保證數(shù)據(jù)傳輸?shù)耐暾浴⒈Ｃ苄裕枰锌沟仲嚭蛯徲嫷墓δ埽枰ＷC應(yīng)用系統(tǒng)的可用性和可靠性。針對網(wǎng)絡(luò)信息系統(tǒng)，如果在各個系統(tǒng)單元都有相應(yīng)的安全措施來滿足其安全需求，則我們認為該信息網(wǎng)絡(luò)是安全的。

因此，我們可以把網(wǎng)絡(luò)信息安全保障體系根據(jù)網(wǎng)絡(luò)架構(gòu)進行層次劃分，不同層次反映了不同的安全問題，根據(jù)網(wǎng)絡(luò)的應(yīng)用現(xiàn)狀情況和網(wǎng)絡(luò)的結(jié)構(gòu)，我們將防范體系的層次（見圖2）劃分為物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全和安全管理。

物理層安全

該層次的安全包括通信線路的安全、物理設(shè)備的安全、機房的安全等。物理層的安全主要體現(xiàn)在通信線路的可靠性（線路備份、網(wǎng)管軟件、傳輸介質(zhì)），軟硬件設(shè)備安全性（替換設(shè)備、拆卸設(shè)備、增加設(shè)備），設(shè)備的備份、防災(zāi)害能力、防干擾能力，設(shè)備的運行環(huán)境（溫度、濕度、煙塵），不間斷電源保障等。

系統(tǒng)層安全

該層次的安全問題來自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)的安全，如Windows、Linux和Unix等，主要表現(xiàn)在三方面：一是操作系統(tǒng)本身的缺陷帶來的不安全因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是對操作系統(tǒng)的安全配置問題；三是病毒對操作系統(tǒng)的威脅。

網(wǎng)絡(luò)層安全

該層次的安全問題主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性，包括網(wǎng)絡(luò)層身份認證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的手段以及網(wǎng)絡(luò)設(shè)施防病毒等。

應(yīng)用層安全

該層次的安全問題主要由提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性產(chǎn)生，包括Web服務(wù)、電子郵件系統(tǒng)、DNS等。此外，還包括病毒對用戶和系統(tǒng)的威脅。

管理層安全

安全管理包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化極大程度地影響著整個網(wǎng)絡(luò)的安全，嚴格的安全管理制度、明確的部門安全職責劃分、合理的人員角色配置都可以在很大程度上降低其它層次的安全漏洞。

校園網(wǎng)信息安全體系構(gòu)建

南京農(nóng)業(yè)大學校園信息化起步于1995年，經(jīng)過1 0余年的建設(shè)與發(fā)展，現(xiàn)已建成覆蓋全校的、較完整的網(wǎng)絡(luò)體系，基于校園網(wǎng)的信息應(yīng)用系統(tǒng)更是發(fā)展迅猛，據(jù)不完全統(tǒng)計：我校已有網(wǎng)絡(luò)公共服務(wù)系統(tǒng)超過100個，網(wǎng)絡(luò)業(yè)務(wù)管理系統(tǒng)數(shù)十套，網(wǎng)絡(luò)信息資源保有量超過了50TB，各類網(wǎng)絡(luò)接入用戶數(shù)在20000左右。在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)方面，實現(xiàn)了萬兆校園網(wǎng)主干和高速出口帶寬。校園網(wǎng)目前主要有四個功能分區(qū)，教學實驗、辦公網(wǎng)絡(luò)、公共機房和學生宿舍，大部分信息應(yīng)用服務(wù)器都放入我校數(shù)據(jù)中心進行集中管理。根據(jù)我校網(wǎng)絡(luò)布局和應(yīng)用系統(tǒng)架構(gòu)，我們主要從以下幾方面來構(gòu)建網(wǎng)絡(luò)信息安全保障體系。

1. 構(gòu)建冗余的、高穩(wěn)定性的校園網(wǎng)絡(luò)主干和重要信息平臺服務(wù)器冗余備份。

為了保障校園網(wǎng)絡(luò)性能和可靠性，我校對主要教學樓宇均采用萬兆互聯(lián)和實現(xiàn)線路冗余，對重要信息應(yīng)用采用容災(zāi)、容錯等安全防范措施，避免由于單點故障造成網(wǎng)絡(luò)傳輸路徑的中斷。在信息應(yīng)用服務(wù)器和業(yè)務(wù)服務(wù)器管理方面，我校在2004年就建立了專門的數(shù)據(jù)中心，實現(xiàn)服務(wù)器硬件平臺集中管理和實時監(jiān)測，采用專門的防雷防火設(shè)計和提供多線路UPS供電保障。

2. 加強系統(tǒng)安全管理，建立漏洞主動掃描系統(tǒng)，杜絕系統(tǒng)漏洞造成的安全隱患。

很多蠕蟲病毒和木馬程序都是利用系統(tǒng)漏洞來傳播，而且傳播速度很快，造成的影響也非常大。目前，學校的網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)通常有Windows、Unix、Linux等，這些系統(tǒng)安全風險級別不同，其中Windows的普遍性和可操作性使得它成為最不安全的系統(tǒng)，系統(tǒng)本身的漏洞、瀏覽器的漏洞、IIS的漏洞等等，在用戶沒有主動更新補丁的情況下，經(jīng)常會導(dǎo)致蠕蟲在校園網(wǎng)中泛濫。我校通過在校園網(wǎng)提供Windows系統(tǒng)補丁自動更新服務(wù)，并建立一套漏洞主動掃描系統(tǒng)，定時對校園網(wǎng)服務(wù)器進行掃描檢查；同時，在用戶端上網(wǎng)管理方面，設(shè)置上網(wǎng)客戶端軟件自動檢測補丁和殺毒軟件安裝情況，并及時發(fā)布漏洞公告和檢測用戶端系統(tǒng)補丁情況。

3. 增強網(wǎng)絡(luò)檢測監(jiān)控，建立網(wǎng)絡(luò)設(shè)備權(quán)限分級管理機制。

為了防范校園內(nèi)外入侵攻擊，我校分別在校園網(wǎng)和公網(wǎng)入口以及校園網(wǎng)與信息系統(tǒng)之間架設(shè)專用高性能硬件防火墻，通過設(shè)置相應(yīng)的安全策略，對各種資源進行網(wǎng)絡(luò)權(quán)限控制等來增強網(wǎng)絡(luò)信息安全性。同時，在校園網(wǎng)關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)，實時對網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進行監(jiān)測和報警。為了提高網(wǎng)絡(luò)設(shè)備和信息服務(wù)器的安全，我校建立了設(shè)備權(quán)限分級管理機制，做到權(quán)限職責分明，安全界限清晰。同時，在用戶接入交換機管理上，實現(xiàn)了精細化管理，動態(tài)強制DHCP地址分配，各端口間二層隔離。

4. 建立多個應(yīng)用防護系統(tǒng)和統(tǒng)一身份認證平臺，進行安全審計和日志記錄。

為了防范病毒和木馬的侵入，建立了一套病毒立體防御體系：一方面在校園網(wǎng)出口設(shè)置高性能防病毒網(wǎng)關(guān)系統(tǒng)，另外一方面在校園網(wǎng)內(nèi)部建立多種網(wǎng)絡(luò)版防病毒軟件，對網(wǎng)絡(luò)的出入口數(shù)據(jù)流量進行病毒掃描和過濾。通過病毒防御體系可以監(jiān)控網(wǎng)絡(luò)運行情況，能夠在第一時間內(nèi)檢測到網(wǎng)絡(luò)異常和病毒攻擊。針對垃圾郵件的泛濫，我校專門購買了反垃圾郵件網(wǎng)關(guān)系統(tǒng)，通過采用改進的貝葉斯算法和龐大的垃圾郵件知識庫以及智能垃圾郵件識別引擎實現(xiàn)了對垃圾郵件、有害信息、病毒郵件的有效過濾。

在用戶信息安全管理方面，我校建立統(tǒng)一的身份認證系統(tǒng)，身份認證可以對網(wǎng)絡(luò)用戶的身份進行鑒別，根據(jù)其權(quán)限開放相應(yīng)服務(wù)，在出現(xiàn)網(wǎng)絡(luò)安全問題時，身份認證系統(tǒng)可以提供肇事者的身份資料，通過這些資料幫助網(wǎng)絡(luò)管理員解決網(wǎng)絡(luò)問題。通過網(wǎng)絡(luò)安全管理平臺，將全網(wǎng)系統(tǒng)的安全日志、安全事件集中收集管理，以實現(xiàn)事件和日志的集中分析、審計和報告。安全審計和日志通過一些特定的、預(yù)先定義的規(guī)則來發(fā)現(xiàn)日志中潛在的問題，它可以用來對網(wǎng)絡(luò)安全攻擊進行取證，也可以發(fā)現(xiàn)潛在的攻擊征兆，確保任何安全事件得到及時的響應(yīng)和處理。根據(jù)分層次網(wǎng)絡(luò)架構(gòu)建立信息安全保障體系（如圖3所示）。

5. 不斷完善安全管理制度，規(guī)范管理流程，建立安全監(jiān)控和恢復(fù)體系。

安全管理貫穿于安全防范體系的始終。實踐經(jīng)驗告訴我們僅有安全技術(shù)防范，而無嚴格的安全管理體系相配套，是難以保障網(wǎng)絡(luò)信息系統(tǒng)安全的。必須制訂一系列安全管理制度，對安全技術(shù)和安全設(shè)施進行管理。在不同層面采取可靠的安全防范措施，建立行之有效的信息安全管理制度和流程，形成一套完整的安全保障體系，實現(xiàn)嚴密、多渠道的安全控制，保證信息系統(tǒng)的安全穩(wěn)定運行，保證數(shù)據(jù)安全可靠，實現(xiàn)數(shù)字校園信息環(huán)境的可控、可信、可查。

南京農(nóng)業(yè)大學在數(shù)據(jù)中心建立后，不斷制定和完善了各種安全管理制度，包括操作安全管理、設(shè)備安全使用管理、操作系統(tǒng)和數(shù)據(jù)庫安全管理、異常情況管理、系統(tǒng)安全恢復(fù)管理、應(yīng)急管理、運行維護安全規(guī)定、第三方服務(wù)商的安全管理、對系統(tǒng)安全狀況的定期評估策略等。另外，在信息化建設(shè)的過程中，學校非常注重培養(yǎng)師生信息素養(yǎng)，不斷通過講座、培訓(xùn)、網(wǎng)站等宣傳方式提高和強化信息安全觀念意識，確立信息安全管理的基本思想與策略，加快信息安全人才培養(yǎng)，同時倡導(dǎo)信息倫理，提高教師和學生的信息安全自律水平。

圖3 南京農(nóng)業(yè)大學網(wǎng)絡(luò)信息安全保障體系

隨著校園網(wǎng)絡(luò)設(shè)施的不斷完善和應(yīng)用需求的不斷擴大，網(wǎng)絡(luò)信息安全已成為學校信息化建設(shè)的基石。校園網(wǎng)是一個分層次的拓撲結(jié)構(gòu)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全問題是一個較為復(fù)雜的系統(tǒng)工程，因此網(wǎng)絡(luò)信息安全防護應(yīng)該采用分層次的拓撲防護措施。通過從物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層全方位考慮，針對性不同的層次架構(gòu)采用相應(yīng)技術(shù)或設(shè)備，并設(shè)計合理的管理策略以及建立完善的管理制度和規(guī)范，才能確保建立一個全面、立體、高效的校園網(wǎng)絡(luò)信息安全保障體系。

(作者單位為南京農(nóng)業(yè)大學圖書與信息中心）

大運會引入IPv6

本刊訊 近日，第26屆世界大學生運動會在深圳閉幕。執(zhí)行局局長梁道行指出：“本屆大運會全面引入新一代互聯(lián)網(wǎng)IPv6技術(shù)，大運會信息系統(tǒng)由運動會IT系統(tǒng)、賽事成績系統(tǒng)、信息發(fā)布系統(tǒng)、運行保障與支持系統(tǒng)四大部分組成，這四大系統(tǒng)全部獲得IPv6網(wǎng)絡(luò)環(huán)境支撐，并采用IPv4/v6雙棧技術(shù)方案。這也是國內(nèi)首個采用IPv6技術(shù)的大型賽事網(wǎng)絡(luò)。”

銳捷網(wǎng)絡(luò)作為集成商，根據(jù)大運會的十大核心業(yè)務(wù)，定制了IT運維監(jiān)控解決方案：以關(guān)鍵賽事系統(tǒng)為核心構(gòu)筑一體化運維體系，整個大運會全部IT資源，包括賽事系統(tǒng)、服務(wù)器、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、流控設(shè)備等等都被納入7×24監(jiān)控范圍內(nèi)，保證提前發(fā)現(xiàn)、快速響應(yīng)和解決賽中遇到的各種網(wǎng)絡(luò)問題。

本屆深圳世界大學生大運會的賽事成績(GAMES)網(wǎng)、賽事指揮(ADMIN)網(wǎng)以及媒體INTER網(wǎng)(I網(wǎng))均全面采用了銳捷網(wǎng)絡(luò)自主研發(fā)的全系列網(wǎng)絡(luò)產(chǎn)品及解決方案，覆蓋范圍涉及41個競賽場館、13個非競賽場館以及7個核心匯聚機樓，分布在深圳各區(qū)。賽時運維保障工作主要面臨三大挑戰(zhàn)。第一，運行保障范圍廣、強度高。第二，賽時故障事件恢復(fù)時效性要求高。第三，賽時臨時需求緊急且多變。銳捷網(wǎng)絡(luò)結(jié)合奧運、亞運等大型國際體育賽事網(wǎng)絡(luò)保障的經(jīng)驗制定了專門針對大運會計算機網(wǎng)絡(luò)平臺的應(yīng)急預(yù)案，并組建了一支強大的運維團隊。

繼北京奧運、廣州亞運之后，銳捷網(wǎng)絡(luò)再次獲得國際賽事組委會的認可,并榮獲本屆大運會“優(yōu)秀合作伙伴”、“最佳保障團隊”稱號。對于成為大運會“幕后冠軍”的成功經(jīng)驗，銳捷網(wǎng)絡(luò)副總裁劉弘瑜回答說 ：“十余年來，銳捷網(wǎng)絡(luò)沉淀出了自己獨特的DNA。第一，無限貼近客戶、努力幫助客戶成功的理念。如果一家公司把全部有限的資源用于解決精心挑選的專注行業(yè)客戶群的需求，那么該公司就能興旺發(fā)達，銳捷網(wǎng)絡(luò)正是遵循了‘一切為客戶’的原則始終如一。第二，遵循利基思想的價值創(chuàng)新實踐。遵循利基思想的價值創(chuàng)新是銳捷網(wǎng)絡(luò)的靈魂所在，劉總認為，利基的本質(zhì)是以客戶的需求為根本出發(fā)點的差異化價值創(chuàng)新，也是本土廠商能夠戰(zhàn)勝國際巨頭的最核心要素。第三，務(wù)實求真的精神。務(wù)實求真的精神指引著銳捷網(wǎng)絡(luò)客觀評估市場、科學地選擇市場，并精益求精地做好每一款產(chǎn)品、每一次服務(wù)。第四，強大的學習文化。銳捷網(wǎng)絡(luò)力求用強大的學習文化打造學習型組織，一批又一批應(yīng)屆畢業(yè)生加入到銳捷網(wǎng)絡(luò)并成長為獨當一面的人才，學習進取成為銳捷網(wǎng)絡(luò)全體員工的座右銘。這正是銳捷網(wǎng)絡(luò)能夠在競爭激烈的市場環(huán)境中得以生存并壯大的必要因素。”

構(gòu)造高效協(xié)同的數(shù)字校園

本刊訊 日前，北明軟件推出了最新的數(shù)字化校園解決方案，可以提供從基礎(chǔ)設(shè)施到信息門戶、從咨詢方案到運行維護的全系列產(chǎn)品、解決方案和服務(wù)。方案著眼于實現(xiàn)高校資源的統(tǒng)一管理，建立協(xié)同的管理體系，實現(xiàn)教學業(yè)務(wù)流程的信息化和數(shù)據(jù)的共享，最終推動學校的發(fā)展戰(zhàn)略。

據(jù)介紹，北明軟件數(shù)字校園解決方案的一大特色就是建立在SOA的基礎(chǔ)上，其技術(shù)架構(gòu)就是多種信息集成的技術(shù)框架。由于高校中一般已經(jīng)采購了許多獨立的應(yīng)用系統(tǒng)，建設(shè)數(shù)字校園的首要任務(wù)是打通這些“信息孤島”之間的聯(lián)系。針對新舊系統(tǒng)的整合問題，北明軟件提供了一個信息集成的綜合框架，這個框架基于信息資源規(guī)劃的思想，建立在SOA架構(gòu)的基礎(chǔ)上，通過共享數(shù)據(jù)中心、集成應(yīng)用平臺、信息門戶等技術(shù)，實現(xiàn)數(shù)據(jù)整合、應(yīng)用整合、內(nèi)容整合、流程整合等四個方面的信息集成目標。

目前，北明軟件數(shù)字校園解決方案已經(jīng)在南京財經(jīng)大學、華南師范大學等高校成功上線，大大提升了學校管理的效率。