高校校園網絡安全分析及防范體系研究

【摘要】高校校園網由于自身的特點面臨著各種安全威脅，安全問題日益受到嚴重關注。文章根據目前校園網絡存在的安全隱患來分析其成因，并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系，全方位、多層次應對高校校園網絡安全的潛在威脅。

【關鍵詞】校園網絡；網絡安全；防范體系

【中圖分類號】G40-057 【文獻標識碼】B 【論文編號】1009—8097(2011)11—0066－05

引言

隨著國內高校新一輪信息化建設的不斷深入，高校校園網規模越來越大，承載的應用系統越來越多，校園網絡的結構也變得越來越龐大和復雜。隨著人才培養、科學研究等各項工作對校園網的依賴性不斷增加，校園網及各類應用系統的服務質量也應不斷提高標準和要求，作為一個使用成熟技術和成熟設備的園區網絡，網絡安全是影響網絡服務質量的重要因素。

但目前各高校的校園網“重建設，輕管理”的現象仍然十分普遍。在社會信息化發展的大潮中，各高校都已清楚地認識到校園網在學校各項工作中的基礎地位，因此在校園網硬軟件系統建設上進行了大量的投入，而正是硬件和軟件系統的大規模快速增長，使得對網絡的管理難以跟上建設的步伐，而網絡管理是軟性的工作，是不能夠通過統計報表看得出問題或成績的，因此網絡管理工作很難引起學校領導的重視。但在實際工作中，相對滯后的網絡管理會導致網絡安全問題的頻頻發生，反言之，網絡安全防范也是網絡管理的重要內容。

本文根據目前高校校園網絡存在的安全隱患來分析其成因，并在實際工作經驗的基礎上提出構建一套基于分層控制的“IAAPNS”網絡安全防范體系，自底向上、由內到外、從技術到管理層面排查高校校園網絡中潛在的安全威脅并給出防護建議。

一 高校校園網絡的安全隱患及成因

目前高校校園網絡的主干網都是基于TCP／IP協議的以太網，與其他類型的Intranet網絡相比有其自身的特點，相應的安全隱患也就有其特定的成因。目前國內高校校園網絡普遍存在的安全隱患和漏洞主要來自以下幾個方面：

1 校園面積廣闊，網絡基礎設施管理困難

經過兼并和擴張，高校的校區面積動輒上千畝、幾千畝，許多高校還有地域上獨立的新老校區，作為樓宇間連線的光纖布線遍布校區各處，而且往往跟其他強電或弱電線纜共用走線溝槽。對這些光纖的管理要涉及基建、后勤等多個部門，需要協調的工作也很繁雜，如果缺少一個明確的安全管理體系，就不容易分清工作界限，在出現突發故障后往往互相推諉，導致難以在短時間內恢復網絡暢通。

另外一方面，校園內樓宇繁多，樓字里每幾層都會有樓層網絡設備間放置匯聚層或接入層網絡設備，這些設備間的數量眾多，但往往安全防范措施簡易，門鎖形同虛設，甚至有些設備間連門都沒有，極易出現人為破壞或私拉亂接網線的情況，嚴重影響網絡的運行安全。除此以外，雷擊等外界原因也容易造成對網絡設備的破壞。

2 網絡設備種類繁多，不利于統一管理

校園網的建設一般是分批建設，不同批次、不同層次的網絡設備使用的規格、品牌往往不盡相同，而這些網絡設備的管理軟件大多都是基于私有MIB庫進行開發，這就造成了很難有一套統一的全網管理軟件。病毒或黑客對網絡設備進行攻擊時，就很難在第一時間發現和應對，常常是在設備癱瘓之后才意識到出現了問題、進行緊急恢復。

3 網絡終端數量眾多，安全措施薄弱

一般高校的學生人數都是以萬計，教師以干計，密集的用戶群意味著網絡終端的數量巨大，絕大多數網絡終端以計算機為主，隨著無線的普及，智能手機和平板電腦也成為重要的網絡終端設備。數量眾多的用戶使用計算機或手機的技術水平差異很大，尤其是文科專業的師生對計算機的使用掌握得并不熟練，未裝防火墻和殺毒軟件的計算機比比皆是。而高校校園網只要一處出現漏洞，整個網絡就無安全可言。近年來智能手機上也出現了不少的病毒和木馬程序，智能手機的系統安全問題正變得日益嚴重。

4 系統軟件本身并不安全

在目前的校園網環境中，個人終端裝機占有率最高的仍然是Windows操作系統，由于使用面廣，研究其漏洞的人也就更多，不少黑客都是利用其系統漏洞侵入用戶的計算機，再以這些被控制的計算機作為跳板，攻擊整個網絡。

與個人計算機相比，服務器操作系統漏洞更具有災難性。服務器的操作系統種類較多，除Windows之外還有Linux、Solaris等Unix系列的操作系統，而高校網絡管理人才隊伍中，對此類操作系統熟悉的人員比例不高，包括打補丁、差錯、優化在內的各種操作系統管理手段很難周全到位。除了操作系統本身，其上所運行的各類服務軟件(如IIS、Tomc~等)也存在安全漏洞問題，需要管理人員投入大量的精力進行研究和學習。

5 應用系統的安全漏洞

由于建設成本的考慮，高校的網絡應用系統提供商的層次差異很大，有些就是自行組織教師或學生進行開發，缺少軟件開發過程中各個層次的安全規劃設計與實現，使得應用系統層面的漏洞層出不窮，這些漏洞很容易成為黑客攻擊最直接的目標。還有些高校在建立Web網站時使用了開源程序，這類系統的漏洞更是容易被利用，甚至不懂黑客原理的用戶經過幾分鐘的學習便可以掌握攻擊方法。

二 高校校園網絡的安全防范體系

由此可見，形成高校校園網絡安全隱患的原因是多層次的，也是相互關聯的，但目前各高校的網絡管理部門往往采用的是“頭痛醫頭、腳痛醫腳”的“救火式”解決辦法，只從某個方面或某個層次來應對。網絡管理人員每天都在疲于解決各種突發性的網絡安全事故，但問題還是與日俱增，網絡服務質量和用戶滿意度仍然處于較低的水平，這種“費力不討好”的現象迫使我們去思考更好的解決方案。

為此，針對目前高校校園網絡的安全現狀和威脅，結合實際工作經驗，我們運用系統論的分析方法，提出構建一套名為“IAAPNS”(Integrated Associated Architecture Policy ofNetwork Security，網絡安全集成關聯架構策略，同時也是體系中六個層次的英語詞組首字母組合)的網絡安全防范體系，為高校校園網絡安全提供一套完整的解決方案，以求由點到面、由“標”到“本”地系統地解決校園網絡的安全問題。該體系從六個層次和角度來闡述網絡安全的內容，并分析每個層次可能存在的隱患以及相應的應對策略，其中自底向上的五個層次分別是物理安全、網絡安全、系統安全、應用安全和信息安全，管理安全則融合、穿插于這五個層次之中。整個安全體系的示意圖如圖l所示。

該體系將現行的高校校園網絡安全性劃分為5個橫向層次和1個縱向層次，在5個橫向層次中，最底層的物理安全是基礎，網絡安全是關鍵，系統安全、應用安全、信息安全是重點，管理安全是保障。下面分別對六個層次的內容、隱患來源以及應對措施進行詳細闡述。

1 物理安全(Physical Security)

物理安全，主要工作是防止物理通路的損壞、竊聽和對物理通路的攻擊(干擾等)。保證高校校園網絡和信息系統各種設備的物理安全是網絡整體安全的前提，通常包括環境安全(系統所在環境的安全保護)、設備安全和媒體安全三個部分。抗干擾、防竊聽是物理安全措施制定的重點。目前，物理實體的安全管理已有大量標準和規范，如GB9361-88《計算機場地安全要求》、GFB2887-88《計算機場地技術條件》、GB50173-93《電子計算機機房設計規范》等。

這一層次的安全威脅主要包括自然威脅和人為破壞等方面。自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和干擾、網絡設備的自然老化等。這些無目的離散事件有時會直接或間接地威脅網絡的安全，影響信息的存儲和交換。人為破壞則主要來自于高校校園網周邊內外的人為性的損壞，這些損壞有時是主觀故意的(如學生發泄對網絡服務質量的不滿而對網絡設備或線路進行故意損壞)，有時是客觀意外的(如園區周邊建筑施工導致挖斷網絡線路)。

面對以上威脅，為保證網絡的正常運行，在物理安全層次上應重點考慮兩個方面：

(1)校園網規劃、設計、建設時將物理安全作為重點工作對待，適當提高安全標準，為網絡設備或線路搭建防護設施、建立安全控制區域，盡量降低自然威脅可能帶來的風險。

(2)加強巡查，將重點網絡設備或線路所在地定為安全巡邏必到點，定期安排保衛人員在巡邏時查看網絡設備或線路的外觀和運行狀態(如各種狀態指示燈是否正常等)，降低人為破壞的幾率。

2 網絡安全(Network Security)

網絡安全主要包括鏈路安全、傳輸安全和網絡訪問安全三個部分。鏈路安全需要保證通過網絡鏈路傳送的數據不被竊聽，主要針對共用信道的傳輸安全；傳輸安全需要保證信息的完整性、機密性、不可抵賴性和可用性等；網絡訪問安全需要保證網絡架構、網絡訪問控制、漏洞掃描、網絡監控與入侵檢測等。

這一層次的安全威脅主要包括：

(1)通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。

(2)網絡架構設計問題、錯誤的路由配置、網絡設備與主機的漏洞、病毒等。

相應地應對措施主要有：

(1)在局域網內可以采用劃分VLAN(虛擬局域網)來對物理和邏輯網段進行有效的分割和隔離，消除不同安全級別邏輯網段間的竊聽可能；若是遠程網，可以采用鏈路加密等手段。

(2)加強網絡邊界的訪問控制。對于有明顯安全等級差別的網絡區域盡量增加防火墻設備進行隔離。如在校園內網、服務器區域之間設置防火墻；校園網出口處、與Intemet之間設置防火墻。

(3)在交換機上啟用DHCP-Snooping技術，使任何接入校園網的計算機只能動態獲得IP地址，同時杜絕未經批準建立的網站通過私自手工設置靜態IP地址來架設服務器。

(4)使用IDS(入侵檢測系統)。入侵檢測系統是近年出現的新型網絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如記錄證據用于跟蹤和恢復、斷開網絡連接等。實時入侵檢測能力之所以重要首先它能夠對付來自內部網絡的攻擊，其次它能夠阻止攻擊者的入侵。當檢測到有網絡攻擊或入侵時，可以實時發出報警，并詳細保存相關證據，以便用于追查或系統恢復。

(5)對網絡安全進行定期檢測，以實現安全的持續性。可以利用漏洞掃描類的工具軟件定期對系統進行掃描，根據掃描結果進行安全性評估，通過評估報告指出系統存在的安全漏洞，組織專家討論后給出補救措施和安全策略。

(6)建立網絡防病毒系統。在校園網中部署網絡版的防病毒系統，統一管理服務器和各類網絡終端的防毒軟件，定時自動升級與維護，以保護全網不被病毒侵害。通過對網絡中的病毒掃描集中控制，建立各種定時任務，統一集中觸發，然后由各被管理機器運行，同時可對日志文件的各種格式進行控制。在管理服務器上建立了集中的病毒分發報告、各被管機器的病毒掃描報告、所安裝軟件的版本等報告，所有病毒掃描狀態信息都可由控制臺得到。

3 系統安全(System Security)

系統安全即運行在網絡上的服務器、交換機、路由器、客戶端主機等具有完整網絡操作系統的設備的操作系統的安全。這一層次的安全威脅主要來自因操作系統本身的設計缺陷被攻擊者利用從而引發的后果。對于高校校園網絡而言，半數以上的攻擊往往屬于這一層次。這一層次的主要應對措施主要有：

(1)更新操作系統、安裝補丁程序。任何操作系統都有漏洞，因此，系統管理員的主要工作內容之一就是監控運行在網絡上的各類設備的狀態，發現異常應當及時解決、排除故障。對于交換機、路由器等設備而言，主要是更新操作系統的版本，這一類設備主要用于數據交換，因此其內置固化的操作系統往往功能簡單、體積很小，廠商的常規做法是發布新版本的系統，因此只需直接刷新即可。對于服務器、客戶端主機等設備，因其主要是用于數據處理，操作系統功能復雜、體積龐大，廠商通常是發布一些補丁程序來進行更新，因此直接安裝即可。

(2)優化系統。現代操作系統往往是多功能、多模塊、多組件的，可能一項系統設置可能會影響多個功能，也可能多個選項來共同作用于一個功能。因此，對操作系統進行優化是一項非常必要的工作，甚至個別系統的個別選項如果不加以優化可能會被攻擊者利用，從而產生威脅。實際當中包括關閉不需要的服務和端口并建立監測日志等。

(3)實行“最小授權”原則，分配正確和合適的權限。僅僅保持系統的版本最新、并做了優化是不夠的，試想如果網絡上的設備被設置了“123456”這樣的密碼，而且使用這個密碼登錄后還是最高權限的系統用戶帳號，那么整套網絡和信息系統的危險可想而知。實行“最小授權”原則(網絡中的帳號設置、服務配置、主機間信任關系配置等為網絡正常運行所需的最小限度)，關閉網絡安全策略中沒有定義的網絡服務并將用戶的權限配置為策略定義的最小限度、及時刪除不必要的帳號等措施可以將系統的危險大大降低。例如，根據需要設置帳號和權限，并為帳號設置強密碼策略是必須完成的工作，如至少應該在8位以上，而且不要設置成容易猜測的密碼，并強制用戶每個月更改一次密碼等等。

(4)及時查殺服務器系統中的病毒、木馬和后門程序。

4 應用安全(Application Security)

應用安全主要是針對網絡中提供的各種功能和服務而提出的，例如Web服務：E-Mail服務、數據庫服務、各種業務系統、各種信息系統等等。應用安全的威脅主要有：應用系統缺陷、非法入侵等。這一層次的主要應對措施有：

(1)及時升級和更新各應用軟件和信息系統，降低因軟件設計缺陷引起的風險。若應用軟件或業務系統是高校自行開發，系統的使用部門(往往是業務部門)應聯系開發人員及時跟進，發現漏洞及時修補。

(2)對應用軟件和信息系統實行身份認證和安全審計。與系統安全類似，應用軟件和信息系統也應對使用者進行分類、分配權限、認證身份并審計各種操作。例如可以按照需要在高校校園網內部建立基于PKI的身份認證體系(有條件還可以建立基于PMI的授權管理體系)，實現增強型身份認證，并為實現內容完整性和不可抵賴性提供支持。在身份認證機制上還可以考慮采用IC卡、USB-Key、一次性口令、指紋識別器、虹膜識別器等輔助硬件實現雙因子或多因子的身份認證功能。同時，還應特別注意對移動用戶撥入的身份認證和授權訪問控制。

5 信息安全(Information Security)

信息安全注重的是網絡上各類數據、信息的內容安全。這一層次可能的威脅和相應的應對措施有：

(1)植入惡意代碼或其他有害信息。一部分攻擊者經常采用的攻擊方法是掃描網段找到有漏洞的主機，接著使用黑客軟件或攻擊程序進行刺探，在獲得系統權限后將惡意代碼植入到在該主機上運行的各應用軟件或信息系統中，待其他用戶正常使用時發作，或修改頁面的內容造成不良影響。針對這種情況，可以部署網頁防篡改系統，減少Web站點的內容被惡意更改植入惡意代碼或其他有害信息。

(2)垃圾郵件和病毒的傳播。目前，電子郵件已經成為垃圾信息和病毒的主要傳播途徑之一，采用垃圾郵件網關并部署電子郵件反病毒模塊能夠在一定程度上減輕危害，缺點是垃圾郵件識別模塊和反病毒模塊需要經常性升級，在查殺和攔截上有一定的滯后性。

(3)負面輿論導向。高校歷來是思想碰撞的場所，網絡作為新興載體己經發揮著越來越大的作用，因此，輿情監督和正面輿論導向將逐漸成為高校信息安全的重點工作內容。除了采取技術手段進行監督管理外，高校的信息化管理部門還應與宣傳部門一道培養輿論導向的專業人員或學生，主動將信息安全的風險降到最低。

6 管理安全(Administration Security)

目前，部分高校的網絡管理人員及其用戶的安全意識總的來說較為淡薄，且大多數高校的網絡管理制度不完善、管理技術落后、管理機構不健全。上述因素不僅使得校園網絡性能下降、運行成本提高，而且還會造成大量非正常訪問，導致整個網絡資源浪費，帶來極大的安全隱患，使得網絡受到攻擊的概率大幅提高。

管理安全是整個防范體系的主線和基礎，貫穿于整個體系的始終。如果僅有安全技術方面的防范，而無配套的安全管理體系，也難以保障網絡安全的。必須制訂相應的安全管理制度，對安全技術的實施落實到具體的執行者和執行程度。

網絡安全工作可以說是一項群體性的工作，網絡用戶的安全意識是網絡安全的決定因素，對校園網絡用戶安全意識的教育是安全防范體系中至關重要的環節，是形成高校校園網絡安全體系的基礎。尤其是在病毒泛濫的大環境下，需要通過定期培訓、及時通過各種手段發布病毒預警通知、監督和促使用戶盡快打補丁等方法，達到增強師生用戶的安全意識，提高必要的安全防范技能的目的。

以上便是我們提出的網絡安全防護體系的六個層次，除管理安全層次外，其余五層與TCP／IP協議的層次類似，上一層的安全是建立在其下一層的安全基礎之上，下一層的安全是上一層安全的重要保障，層次之間環環相扣，不留安全死角。

本體系中的六個層次也基本涵蓋了高校網絡管理工作的方方面面，將網絡安全工作的思路分層次清晰化，具有極強的實用價值和指導作用。

三 應用效果

重慶理工大學從2001年開始大規模建設校園網絡，2003年開始建設數字化校園系統。校園網按照核心層、匯聚層和接入層三個層次進行規劃設計，共有各類網絡設備600多臺，接入信息點18000個，活躍用戶大約2萬人，各類服務器40多臺，安裝有Windows、Linux和Solaris等操作系統，數據庫以Oracle和SQL Server為主。數字化校園系統覆蓋辦公、教務、學工、人事、財務、后勤等各個方面的工作，共計有各類系統模塊80余個。在大規模的硬件和軟件系統建設前期，缺乏對網絡安全的系統認識，在遭遇網絡安全事故時，常常只能采取臨時性的應對措施。隨著網絡和系統規模的不斷擴大，網絡安全已經成為影響網絡服務質量的重要根源，網絡信息中心的員工幾乎天天都在疲于應對各類突發性的網絡安全事件。

學校從2008年開始總結網絡安全工作的經驗與教訓，運用系統工程的分析方法，從整體和系統的角度提出網絡安全防范方案，形成了“IAAPNS”網絡安全防范體系，并應用到校園網的建設與維護工作中，經過三年多的運行，學校校園網絡安全工作進得了明顯的成績(如圖2所示)：

對網絡設備攻擊(包括病毒)而導致網絡故障的次數由2008年的334次降到2010年的65次，2011年上半年為19次；利用操作系統漏洞(包括Web服務器漏洞)攻擊成功次數由2008年的46次降到2010年的6次，2011年上半年為2次；利用應用軟件的安全漏洞攻擊成功次數由2008年的125次降到2010年的43次，2011年上半年為15次。

隨著網絡安全防范工作的加強，網絡服務質量明顯提升，如圖3所示，用戶滿意度從2008年61％提升到2010年的73％，2011年上半年為78％。

四 結語

由于高校校園網的特殊性，常見的各種安全威脅在其運行和管理中表現得尤為突出，加強校園網的安全管理已經成為當前非常迫切、充滿挑戰的任務。目前的網絡惡意攻擊往往是多種技術組合使用，呈現出多樣化的趨勢，對應的安全威脅也往往是上面提到的兩種或多種，因此，必須建立全方位、多層次的網絡安全防范體系以保護高校校園網絡內關鍵數據和關鍵應用的安全，同時也需要加強安全政策、安全管理組織和技術培訓，不斷增加投入，共同做好校園網的安全管理工作，建設一個安全、可信的教育和科研網絡環境。