基于校園網信息安全的研究

摘要：本文介紹了當前國內高校網絡應用現狀和出現的信息安全問題，對校園網用戶群體的特點和網絡訪問要求進行了分析，針對高校對校園網的管理需求，提出了一個校園網信息安全解決方案。

關鍵詞：分布式防火墻網絡安全校園網

0 引言

互聯網的普及與發展，已經成為社會進步和時代發展的主要標志，成為校園生活不可缺少的重要組成部分。目前，校園網的應用越來越廣泛，其功能包括應用包括電子身份、信息服務、網上辦公、網上教學、數字圖書館等，因此信息安全成為校園網絡的熱門話題。應該認識到，互聯網為教育提供了現代化手段的同時也為非主流意識和不良信息的傳播打開了方便之門，網絡道德問題已經凸現出來，不良信息的傳播和網絡謠言的擴散帶來的負面效應和新的問題，對學校思想政治教育產生了巨大的沖擊，提出了嚴峻的挑戰。

1 高校網絡應用現狀

隨著各高校人員的急劇增加以及在信息化建設上的投入，校園網的覆蓋面也越來越大，覆蓋了辦公樓、學校機房、實驗室、圖書館、學生宿舍和教工宿舍。各高校校園網通過教育高速城域網接入教育和科研計算機網，出口經改造后有些己順利升級到1000Mbps的帶寬，部分高校實現校園網1000Mbps主千，100Mbps交換到桌面，使得工作效率提高了，信息獲取及時了，大大方便了學校的教學、管理、生活。但另一方面，一些不良信息也趁機侵入了校園，色情網站、反動言論等，更有部分內部人員主動去訪問和散播不良信息，造成極壞的影響。如果網絡不能對學校的教育起到積極的促進作用，那就改變了校園網建設的初衷，因此，校園網的管理者決不能掉以輕心，必須采取有效措施，隨時保證校園網的安全、健康使用。

2 存在的主要問題

根據對部分高校園網絡的使用情況的調查和分析，我們發現存在以下需要解決的問題:①無法徹底根除病毒。學校網絡中心的重要服務器雖然在防火墻的保護之下，也安裝了防病毒軟件，但是經常仍然被病毒攻擊。嚴重的情況下當前所使用的殺毒軟件無法查殺，或者即使能檢測出，無法清除。服務器上經常連續不斷地出現病毒警報，無法徹底根除病毒。學校FTP服務器由于為學生提供上傳下載服務，FTP服務器病毒非常多。②無法控制對互聯網的訪問管理。現在多數學校還缺乏有效的管理監控手段來對學生的上網進行必要的限制和記錄，同時也沒有對上網時間進行限制，對于一些非法站點也沒有采取有效手段來過濾。一旦出現問題，往往因為沒有終端上網的歷史記錄而無法追查下去，給管理部門帶來了許多不必要的麻煩。③無法對網絡帶寬的管理。在學校網絡環境內，由于連接速度較快，有些學生會不停地下載大容量的文件或者在線聽音樂、看視頻電影，這些行為都會嚴重占用網絡帶寬，造成網絡堵塞，上網速度下降，影響其他人的正常上網行為，使正當的上網行為無法得到有效的保障。④缺乏對各類站點的分類管理。一般的代理網關軟件產品不能按照客戶的需求設置詳細的上網內容與上網時間控制策略。⑤無法對上網信息統計與分析。上網信息對學生管理工作是非常有用的數據，統計分析出來的上網信息經過各種表格圖形表現出來，對領導了解學生的上網行為與上網習慣提供教育引導的科學數據。⑥缺乏在高帶寬下對網絡進行有效管理。網絡發展非常快，有些網絡環境，軟件類上網內容管理系統并不一定能很好滿足客戶要求，存在帶寬瓶頸，硬件產品就可以滿足要求。⑦缺少網絡信息備案。根據有關規定，互聯網上網信息必須采取一定的技術手段進行備案，以備在發生惡性突發事件時提供有效的網絡信息。

3 解決方案

建立一套集中管理，靈活部署的分布式防火墻，集中管理可以減少管理的復雜度，可以實現一點設置，全網生效。靈活部署可以根據審計需求隨意布置網絡節點，并且完全不影響網絡的拓撲結構。針對需求中提出的問題，系統平臺采取特定網絡信息記錄、特定內容過濾、特定線索跟蹤和日志分析等多種技術手段進行監測控制。特定網絡信息記錄是指包含某些敏感信息的網絡內容可以如實地記錄存檔：特定內容過濾可以對有關色情、反動等不良信息進行封堵過濾；特定線索跟蹤可以實現對特定網絡特征進行實時發現，動態跟蹤該用戶的上網行為。日志分析可以從海量上網日志中分析出各個時期上網的特點、目標、內容、各協議比例、上網站點信息、訪問排行等有效信息，為學校網絡管理提供有益的參考依據。

3.1 在校園網出口處采用另購的硬件千兆高性能防火墻，可有效的保證原網絡出口的帶寬、性能和穩定性。

3.2 通過部署NetWall分布式防火墻，可以對網絡達到下面的監控管理效果：

3.2.1 發現誰在訪問：主機防火墻駐留在主機中自動運行，能夠很有效地發現訪問者的性質以及相關信息；

3.2.2 了解通過何種協議訪問：如果有人進行互聯網活動，主機防火墻能夠辨認出當前的活動類型，比如訪問網頁，上傳、下載文件，發布信息，收發郵件等，并及時反饋給NetWall管控中心；

3.2.3 發現訪問內容危險：主機防火墻能夠基于內容對進出互聯網的數據進行檢查，有效的防治信息的泄漏和非法信息的傳播。

3.2.4 阻斷危險訪問：可以通過自身阻斷以及防火墻聯動阻斷，及時將危險信息丟棄，并向網絡管理員發出報警信息。

3.2.5 分析取證：主機防火墻對非法互聯網活動內容完整回放、保存，以及豐富的日志管理功能，方便事后取證和網絡安全綜合分析。

4 實施方案及效果

在校園網絡出口處，部署外購的硬件網絡防火墻，在保證網絡性能的前提下，提供有效的過濾防護功能，高速采集進出校園網數據，對非法訪問的用戶進行第一層過濾。如果需要節省投資，可將校園出口處的路由器和網絡防火墻合二為一，選購內建有防火墻功能的路由器。

在教學樓、實驗室、圖書館等地點的計算機，可根據需要部署NetWall主機防火墻，對這些地點的用戶進行恰當的管理和監控，能夠有效地對進出本機的網絡數據進行獲取和審計，快速準確地對非法訪問或不良信息進行發現和響應，既可以實時地對問題數據進行警報，存儲，還可以依據安全策略進行及時的阻斷。

NetWall分布式防火墻的管控中心是整個系統的核心，包括網絡維護中心，策略編輯器和日志分析器等主要部件，還有遠程管理、系統設置、系統安全等其他輔助工具。

以上措施建立了一套立體的防護和監控體系，確保校園網絡的安全使用。

可以取得的效果是：

①通過網絡監控，可以極大的防止和減少學生訪問不良網站的機會，使校園網真正用于教學，提高網路使用效率。

②可以實現對不同級別用戶群的上網權限進行合理的分配，比如老師和學生的上網權限就需要有明顯的區別。

③通過不良站點的過濾，禁止學生訪問不良網站，使學生免受這些不良信息的影響。

④通過上網日志的查詢、分析及統計，可以清晰地了解校園網的具體使用情況，便于對網絡管理采取一些有針對性的措施。

⑤該系統還可以隨著網絡的擴展，進行有效的控制。

結束語：網絡信息安全的概念己被各方接受和認同，防火墻、入侵檢測、防病毒、安全審計等安全技術己經得到了廣泛的應用。在此基礎上，如何構建一個動態的、全方位的安全防護體系，必將成為網絡安全中研究的熱點。

參考文獻：

[1]《數據包過濾技術與防火墻的設計》作者：郭偉.《江漢大學學報》.

[2]《聯動網絡安全系統的實》作者：李衛等.《信息安全與通信保密》.