校園網(wǎng)安全策略的分析與探討

黃麗芬

（廣西工業(yè)職業(yè)技術(shù)學(xué)院建筑工程系，廣西 南寧 530001）

如何讓校園網(wǎng)能正常運(yùn)行，為師生與行政管理人員的工作、學(xué)習(xí)提供優(yōu)質(zhì)服務(wù)，并確保網(wǎng)絡(luò)中的重要信息與數(shù)據(jù)的保密性與安全性，是校園網(wǎng)絡(luò)管理中不容忽視的環(huán)節(jié)。本文針對(duì)校園網(wǎng)絡(luò)的特點(diǎn)，對(duì)網(wǎng)絡(luò)的實(shí)際安全狀況和應(yīng)用進(jìn)行全面的分析，設(shè)計(jì)并制定了安全防范策略。

1 校園網(wǎng)安全策略的原則

校園網(wǎng)安全策略，是針對(duì)校園網(wǎng)安全而制定的一整套規(guī)則和決策，網(wǎng)絡(luò)的安全策略可以說(shuō)是在一定條件下的成本和效率的平衡[1~2]，雖然網(wǎng)絡(luò)的具體應(yīng)用環(huán)境不同，但在制定安全策略時(shí)，應(yīng)遵循一些總的原則。

（1）適應(yīng)性原則。制定的安全策略，必須是和網(wǎng)絡(luò)的實(shí)際應(yīng)用環(huán)境相結(jié)合的，例如校園網(wǎng)的開(kāi)放環(huán)境，就必須允許匿名登錄，而一般的企業(yè)網(wǎng)絡(luò)的安全策略，可能不允許匿名登錄。對(duì)于具體網(wǎng)絡(luò)的安全策略，應(yīng)從實(shí)際情況出發(fā)，根據(jù)自身的特點(diǎn)，制定出有針對(duì)性的切實(shí)可行的安全措施。

（2）動(dòng)態(tài)性原則。安全策略又是在一定時(shí)期采取的安全措施。由于用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴(kuò)大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展也很快，而安全檢查措施是防范性的，持續(xù)不斷的，所以制定的安全檢查措施，必須不斷適應(yīng)網(wǎng)絡(luò)發(fā)展和環(huán)境的變化。

（3）簡(jiǎn)單性原則。網(wǎng)絡(luò)用戶越多，網(wǎng)絡(luò)拓樸越復(fù)雜，采用的網(wǎng)絡(luò)設(shè)備種類和軟件種類越多，網(wǎng)絡(luò)提供的服務(wù)和捆綁的協(xié)議越多，出現(xiàn)安全漏洞的可能性就越大；出現(xiàn)安全問(wèn)題后，找出問(wèn)題原因和責(zé)任者的難度就越大。

（4）系統(tǒng)性原則。網(wǎng)絡(luò)安全管理是一個(gè)系統(tǒng)化的工作，必須考慮到整個(gè)網(wǎng)絡(luò)的各個(gè)方面。也就是在制定安全策略時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備和各種情況，有計(jì)劃有準(zhǔn)備地采取相應(yīng)的策略。

以下的安全策略，是筆者根據(jù)所在的學(xué)院的具體環(huán)境和現(xiàn)有條件所制定的，是一種小型校園網(wǎng)的安全策略。校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)模型如圖1所示。

圖1 校園網(wǎng)絡(luò)結(jié)構(gòu)圖

2 安全策略的制定

2.1 技術(shù)安全策略

（1）關(guān)閉不必要的服務(wù)和服務(wù)端口。端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，也是計(jì)算機(jī)的第一道屏障[3]，端口配置正確與否，直接影響到主機(jī)的安全，很多黑客攻擊程序，是針對(duì)特定服務(wù)和特定端口的，為了降低遭受黑客攻擊的危險(xiǎn)，應(yīng)該關(guān)閉那些不必要的服務(wù)和服務(wù)端口。例如：如果學(xué)校不對(duì)外提供網(wǎng)絡(luò)服務(wù)的話，則代理服務(wù)器應(yīng)將所有對(duì)外的端口關(guān)閉，否則只開(kāi)放相應(yīng)的端口；而對(duì)內(nèi)則僅開(kāi)放一些必須的服務(wù)端口，例如DNS服務(wù)端口UDP 53、HTTP服務(wù)端口TCP 80、FTP服務(wù)端口TCP 21、SMTP服務(wù)端口TCP 25、POP3服務(wù)端口TCP 110等。根據(jù)需要，可限制教學(xué)子網(wǎng)上的學(xué)生機(jī)上網(wǎng)，或?qū)υL問(wèn)的站點(diǎn)作出限制，或禁止與正常教學(xué)無(wú)關(guān)的服務(wù)。

（2）規(guī)劃網(wǎng)絡(luò)隔離。其一，內(nèi)外網(wǎng)之間的隔離。通過(guò)代理服務(wù)器實(shí)現(xiàn)了校園網(wǎng)和Internet的有效隔離。網(wǎng)絡(luò)使用代理服務(wù)器訪問(wèn)Internet，不僅可以降低訪問(wèn)成本，而且隱藏了內(nèi)部網(wǎng)絡(luò)的規(guī)模和特性，加強(qiáng)了網(wǎng)絡(luò)的安全性。從綜合性能上考慮，我校使用了Win Route作為代理服務(wù)器軟件，實(shí)現(xiàn)通過(guò)一個(gè)IP地址供全校用戶訪問(wèn)Internet。通過(guò)代理服務(wù)器提供防火墻動(dòng)態(tài)包過(guò)濾功能，對(duì)穿越代理服務(wù)器的信息流進(jìn)行全面的控制。可以讓過(guò)濾機(jī)制動(dòng)態(tài)決定，哪些數(shù)據(jù)包得以穿越代理服務(wù)器進(jìn)入校園網(wǎng)，供內(nèi)部網(wǎng)應(yīng)用服務(wù)使用；也可以手動(dòng)配置數(shù)據(jù)包過(guò)濾器，指定允許透過(guò)代理服務(wù)器的數(shù)據(jù)包類型。而采用在需要網(wǎng)絡(luò)通信時(shí)自動(dòng)打開(kāi)端口，通信結(jié)束時(shí)立即關(guān)閉端口的方式。校園網(wǎng)在Internet上顯露的出入端口數(shù)量被減少到最低程度，安全性大大提高。

其二，辦公子網(wǎng)和教學(xué)子網(wǎng)的隔離。為了便于安全管理，合理分配IP地址資源，把校園網(wǎng)劃分為教學(xué)子網(wǎng)和辦公子網(wǎng)。從以上的網(wǎng)絡(luò)結(jié)構(gòu)模型可看到，從物理上把教學(xué)網(wǎng)和辦公網(wǎng)單獨(dú)配置為一個(gè)子網(wǎng)，通過(guò)兩級(jí)交換機(jī)與服務(wù)器相連。其中教學(xué)子網(wǎng)配置有域控制器/文件服務(wù)器、WEB/FTP服務(wù)器、郵件服務(wù)器等，辦公子網(wǎng)則配置有域控制器/文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等。由各域控制器充當(dāng)DHCP服務(wù)器角色，分別負(fù)責(zé)本子網(wǎng)的IP地址分配工作，并通過(guò)域模式實(shí)現(xiàn)用戶與資源的管理。辦公子網(wǎng)主要面向?qū)W校的各級(jí)領(lǐng)導(dǎo)及各職能部門，能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的查詢、修改、添加、刪除等操作。教學(xué)子網(wǎng)的用戶主要是學(xué)生，主要面向教學(xué)，能夠根據(jù)專業(yè)教學(xué)要求，實(shí)現(xiàn)教育資源的合理配置和充分利用。

（3）使用雙向NAT（網(wǎng)絡(luò)地址翻譯轉(zhuǎn)換）技術(shù)。利用雙向NAT轉(zhuǎn)換技術(shù)，在內(nèi)部網(wǎng)絡(luò)通過(guò)內(nèi)部網(wǎng)卡訪問(wèn)外部網(wǎng)絡(luò)時(shí)，將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口，使其和端口通過(guò)外部網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過(guò)外部網(wǎng)卡訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，其并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過(guò)一個(gè)開(kāi)放的IP地址和端口來(lái)請(qǐng)求訪問(wèn)。

學(xué)院目前上Internet的途徑，是采用ADSL方式，對(duì)外只有一個(gè)合法的IP地址。通過(guò)采用上述的NAT技術(shù)，實(shí)現(xiàn)了全校所有計(jì)算機(jī)的正常Internet訪問(wèn)。

（4）目錄和文件安全控制。校園網(wǎng)絡(luò)管理員為不同的用戶設(shè)置不同的權(quán)限。為了控制服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防可能出現(xiàn)的入侵行為，必須非常小心地設(shè)置目錄和文件夾的訪問(wèn)權(quán)限。如對(duì)于提供給學(xué)生訪問(wèn)的資源，就必須把權(quán)限嚴(yán)格限制在正常的教學(xué)需要范圍內(nèi)。

（5）用戶操作權(quán)限控制。分配各種用戶權(quán)限，用戶只能在授權(quán)范圍內(nèi)進(jìn)行訪問(wèn)。網(wǎng)絡(luò)管理員根據(jù)訪問(wèn)權(quán)限，將用戶分為：

特殊用戶——包括網(wǎng)絡(luò)管理員的對(duì)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用軟件服務(wù)有特權(quán)操作許可的用戶；

普通用戶——指那些由網(wǎng)絡(luò)管理員根據(jù)實(shí)際需要，為其分配操作權(quán)限的用戶，如教師和學(xué)生。

（6）數(shù)據(jù)備份。對(duì)校園網(wǎng)的重要信息進(jìn)行備份。人員的錯(cuò)誤操作、設(shè)備的物理?yè)p壞、以及意外故障的發(fā)生，都會(huì)造成系統(tǒng)癱瘓，甚至使網(wǎng)絡(luò)數(shù)據(jù)信息無(wú)法恢復(fù)，給學(xué)校造成重大損失。根據(jù)學(xué)校的具體情況，采用軟件自動(dòng)及手工備份方式，并使用硬盤和可刻錄光盤等介質(zhì)實(shí)施數(shù)據(jù)的備份。

（7）防病毒。建立防病毒中心服務(wù)器。在服務(wù)器上安裝殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心控制臺(tái)，負(fù)責(zé)管理整個(gè)校園網(wǎng)的防病毒。安裝客戶機(jī)與服務(wù)器防病毒軟件，通過(guò)防病毒系統(tǒng)中心控制臺(tái)，設(shè)置校園網(wǎng)中的每臺(tái)用戶機(jī)殺毒軟件網(wǎng)絡(luò)版的客戶端。在中心控制臺(tái)上，對(duì)所有客戶機(jī)進(jìn)行定時(shí)查殺毒的設(shè)置，使在沒(méi)有聯(lián)網(wǎng)時(shí)，也能夠定時(shí)查殺本機(jī)病毒。為了安全和管理方便，設(shè)置防病毒系統(tǒng)中心服務(wù)器自動(dòng)定期到相關(guān)網(wǎng)站獲取最新的升級(jí)文件，并自動(dòng)將最新的升級(jí)文件分發(fā)到所有客戶端和服務(wù)端，自動(dòng)對(duì)殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。

2.2 管理策略

為了確保網(wǎng)絡(luò)的安全，除了采用各種技術(shù)手段外，還應(yīng)從管理上采取有效的措施。制定一套嚴(yán)格的規(guī)章制度并切實(shí)執(zhí)行，對(duì)確保網(wǎng)絡(luò)的安全，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略的內(nèi)容，包括確定安全管理的范圍、制定各種安全管理制度，以及一旦出現(xiàn)問(wèn)題時(shí)，采取的各種應(yīng)急措施等。

（1）物理安全。保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的所有硬件基礎(chǔ)設(shè)施免受自然災(zāi)害、人為破壞。機(jī)房按有關(guān)的安全標(biāo)準(zhǔn)構(gòu)建，安裝防盜、防火報(bào)警系統(tǒng)，安裝防雷電系統(tǒng)等安全設(shè)施。以確保財(cái)產(chǎn)安全。

（2）規(guī)章制度。學(xué)院針對(duì)不同的用戶制定各種規(guī)章制度，來(lái)規(guī)范網(wǎng)絡(luò)用戶特別是網(wǎng)絡(luò)管理員的工作及行為，明確其權(quán)利和義務(wù)。如安全消防制度、機(jī)房管理制度、上機(jī)人員守則等。

（3）網(wǎng)管員用戶分組管理與訪問(wèn)控制。網(wǎng)管員按任務(wù)的不同，分成若干用戶組，不同的用戶組，有不同的權(quán)限范圍，對(duì)用戶的操作由訪問(wèn)控制檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。

（4）監(jiān)控。針對(duì)近年來(lái)學(xué)生素質(zhì)普遍不高，機(jī)房設(shè)備往往受到損壞的情況，實(shí)施現(xiàn)場(chǎng)實(shí)時(shí)監(jiān)控，并保存記錄。出現(xiàn)問(wèn)題時(shí)，可通過(guò)記錄核實(shí)情況并及時(shí)作出有效的處理，有效地增大了安全系數(shù)。

3 結(jié)束語(yǔ)

本文主要從技術(shù)和管理兩個(gè)方面，闡述了校園網(wǎng)的安全策略，先進(jìn)的安全檢查技術(shù)，是信息安全的根本保障，用戶應(yīng)對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)安全服務(wù)的種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。

[1]蔡慧萍.影響校園網(wǎng)安全的幾個(gè)因素及常見(jiàn)防范措施[J].江西師范學(xué)院學(xué)報(bào)，2003，10(5)：26-28.

[2]雷崢嶸，吳為春.校園網(wǎng)的安全問(wèn)題及策略[J].計(jì)算機(jī)應(yīng)用研究，2003，3(3)：130-132.

[3]郭拯危，閔 林.校園網(wǎng)安全策略的設(shè)計(jì)[J].河南大學(xué)學(xué)報(bào)（自然科學(xué)版），2003，3（32）：23-28.