校園網(wǎng)絡(luò)安全防范體系研究與應(yīng)用

羅國富　王乙明

【摘要】在高校信息化建設(shè)過程中，學(xué)校面臨的網(wǎng)絡(luò)安全威脅較多。網(wǎng)絡(luò)安全防范是一個系統(tǒng)工程，可以將安全策略、安全技術(shù)以及安全管理方面進(jìn)行有機(jī)結(jié)合構(gòu)建動態(tài)的安全防范體系。校園網(wǎng)絡(luò)安全防范體系建立不僅依靠安全設(shè)備和技術(shù)，還需要安全管理，在安全策略的指導(dǎo)下，逐步推進(jìn)，合理部署，并加強(qiáng)安全培訓(xùn)。

【關(guān)鍵詞】校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；信息安全；防范體系

【中圖分類號】G40-057【文獻(xiàn)標(biāo)識碼】A【論文編號】1009－8097(2012)09－0053－04

隨著信息技術(shù)的快速發(fā)展和高校網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善，資源整合、應(yīng)用系統(tǒng)和校園信息化平臺建設(shè)已經(jīng)成為校園信息化的主要任務(wù)。在新的網(wǎng)絡(luò)信息環(huán)境下，信息資源也得到更大程度地共享，3G、IPV6、虛擬化和云計算等新技術(shù)開始研究和實(shí)施應(yīng)用；三網(wǎng)融合、云服務(wù)及“智慧校園”等服務(wù)新理念的不斷提出，使得校園網(wǎng)規(guī)模不斷擴(kuò)大，復(fù)雜性和異構(gòu)性也不斷增加，而這些需求都要求有一個能夠承載大容量、高可信、高冗余和快速穩(wěn)定安全的校園網(wǎng)作為基礎(chǔ)條件。與此同時，高校用戶在享受信息化成果所帶來的工作高效和便利的同時，也面臨著來自校園網(wǎng)內(nèi)部和外部帶來的各種安全威脅和挑戰(zhàn)。因此，有必要建立一套高效、安全、動態(tài)網(wǎng)絡(luò)安全防范體系，來加強(qiáng)校園網(wǎng)絡(luò)安全防護(hù)和監(jiān)控，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)基礎(chǔ)。

一校園網(wǎng)絡(luò)安全面臨的問題

1、網(wǎng)絡(luò)安全投入少，安全管理不足

在校園網(wǎng)建設(shè)過程中，管理單位主要側(cè)重技術(shù)和設(shè)備投入，對網(wǎng)絡(luò)安全管理不重視，在網(wǎng)絡(luò)安全方面投入也較少，一般通過架設(shè)出口防火墻來保護(hù)校園內(nèi)部網(wǎng)，缺少對安全漏洞的分析和病毒的主動防范的系統(tǒng)。同時，由于高校機(jī)構(gòu)設(shè)置的原因，很多高校在網(wǎng)絡(luò)管理方面存在人員不足，同一個技術(shù)人員同時肩負(fù)著建設(shè)、管理和安全的工作情況Ⅲ，在校園網(wǎng)安全管理方面，實(shí)踐經(jīng)驗(yàn)告訴我們，校園網(wǎng)絡(luò)安全的保障不僅需要安全設(shè)備和安全技術(shù)，更需要有健全的安全管理體系。很多高校沒有成立信息安全機(jī)構(gòu)，缺乏完善的安全管理制度和管理規(guī)范，在網(wǎng)絡(luò)和信息安全方面沒有根據(jù)重要程度進(jìn)行分級管理。有統(tǒng)計表明，70％以上的信息安全問題是由管理不善造成的，而這些安全問題的95％是可以通過科學(xué)的信息安全管理制度來避免。

2、系統(tǒng)和應(yīng)用軟件漏洞較多，存在嚴(yán)重威脅

傳統(tǒng)的計算機(jī)網(wǎng)絡(luò)是基于TCP/IP協(xié)議的網(wǎng)絡(luò)。在實(shí)際運(yùn)用中，TCP/IP協(xié)議在設(shè)計的時候是以簡單高效為目標(biāo)，缺少完善的安全機(jī)制。因此，基于TCP/IP而開發(fā)的各種網(wǎng)絡(luò)系統(tǒng)都存在安全漏洞，黑客往往把這些漏洞作為攻擊的突破口。安全漏洞主要包括交換機(jī)IOS漏洞、操作系統(tǒng)漏洞和應(yīng)用系統(tǒng)漏洞等，操作系統(tǒng)漏洞如WINDOWS、UNIX、LINUX等往往存在著某些組件的安全漏洞，如果管理員沒有及時更新系統(tǒng)補(bǔ)丁或升級軟件，就會成為眾多黑客攻擊的目標(biāo)。應(yīng)用程序漏洞往往出現(xiàn)在最常用的軟件上，如IE、QQ、迅雷、暴風(fēng)影音等經(jīng)常存在一些安全漏洞，這些漏洞很容易成為黑客攻擊最直接的目標(biāo)，給校園網(wǎng)帶來了嚴(yán)重威脅，使得校園網(wǎng)絡(luò)安全需要投入更多的精力，需要從各個層次進(jìn)行防范。

3、網(wǎng)絡(luò)安全意識淡薄，計算機(jī)病毒較多

高校校園網(wǎng)主要的服務(wù)群體是教職工和學(xué)生，用戶計算機(jī)網(wǎng)絡(luò)水平參差不齊，在日常上網(wǎng)行為和使用計算機(jī)過程中，很多用戶缺少足夠的網(wǎng)絡(luò)安全意識，比如教職工為了教學(xué)科研和日常辦公方便，經(jīng)常使用簡單的密碼來管理計算機(jī)和各種業(yè)務(wù)系統(tǒng)，造成密碼容易被非法盜用，從而導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)安全問題，黑客通過盜取個人信息進(jìn)行詐騙或者獲取用戶賬號信息來謀求不法利益，甚至有些黑客在用戶的計算機(jī)安裝后門木門，并作為僵尸網(wǎng)絡(luò)的攻擊工具。另外，計算機(jī)技術(shù)的飛速發(fā)展也使得計算機(jī)病毒獲得了更加快捷多樣的傳輸途徑，各種新型病毒不斷升級變異，并通過U盤、移動終端、局域網(wǎng)等各種方式進(jìn)行廣泛傳播。如何提高用戶的網(wǎng)絡(luò)安全意識，有效解決病毒對校園網(wǎng)絡(luò)安全的威脅，也是校園網(wǎng)管理人員必須面臨的一個問題。

二構(gòu)建校園網(wǎng)絡(luò)安全防范體系

針對校園網(wǎng)絡(luò)安全的各種安全隱患和威脅，要有效地進(jìn)行防范，我們必須了解網(wǎng)絡(luò)安全的體系結(jié)構(gòu)及其包含的主要內(nèi)容，國際電信聯(lián)盟電信標(biāo)準(zhǔn)部(ITU-T)在X－800建議中提出了開放系統(tǒng)互連(OSI)安全體系結(jié)構(gòu)，OSI安全體系結(jié)構(gòu)集中在三個方面：安全攻擊，安全機(jī)制和安全服務(wù)。安全攻擊是指損害機(jī)構(gòu)所擁有信息的安全的任何行為；安全機(jī)制是指設(shè)計用于檢測、預(yù)防安全攻擊或者恢復(fù)系統(tǒng)的機(jī)制；安全服務(wù)是指采用一種或多種安全機(jī)制以抵御安全攻擊、提高機(jī)構(gòu)的數(shù)據(jù)處理系統(tǒng)安全和信息傳輸安全的服務(wù)。三者之間的關(guān)系如圖1所示。

在校園網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)安全防范根本任務(wù)就是防范安全攻擊，提供安全可靠的信息服務(wù)。在計算機(jī)網(wǎng)絡(luò)發(fā)展過程中，人們在不斷實(shí)踐總結(jié)的基礎(chǔ)上逐漸形成了動態(tài)信息安全理論體系模型，如P2DR模型，主要包括：Policy(安全策略)、Protection(防護(hù))、Detection(檢測)和Response(響應(yīng))。該模型以安全策略為指導(dǎo)，將安全防護(hù)、安全檢測和及時響應(yīng)有機(jī)地結(jié)合起來，形成了一個完整的、動態(tài)的安全循環(huán)，有效地保障了保證網(wǎng)絡(luò)信息系統(tǒng)的安全。

在飛速發(fā)展的網(wǎng)絡(luò)信息環(huán)境下，網(wǎng)絡(luò)安全防范體系構(gòu)建是一項(xiàng)復(fù)雜的系統(tǒng)工程，不是純粹的技術(shù)問題，也不是簡單的安全產(chǎn)品和技術(shù)的堆砌，我們必須從觀念轉(zhuǎn)變，在建設(shè)過程中，合理地部署安全策略和采用先進(jìn)的技術(shù)手段，并有效地和安全管理結(jié)合起來，使之成為一個動態(tài)體系結(jié)構(gòu)。根據(jù)傳統(tǒng)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，結(jié)合P2DR模型，我們可以構(gòu)建一種動態(tài)的、可靠的、可以實(shí)際運(yùn)用部署的校園網(wǎng)絡(luò)安全防范體系模型。如圖2所示，該模型是以安全策略為核心，以安全設(shè)備為基礎(chǔ)，以安全技術(shù)作為手段，通過安全管理作為保障，通過安全培訓(xùn)來提高用戶安全意識，并在運(yùn)行過程中，不斷完善安全體系各個環(huán)節(jié)，從而提供安全可靠的服務(wù)。

1、安全策略：安全策略是用于網(wǎng)絡(luò)安全管理相關(guān)活動的一套規(guī)章，是校園網(wǎng)絡(luò)安全體系核心。它主要描述了校園網(wǎng)絡(luò)所規(guī)劃的安全目標(biāo)、對各種安全風(fēng)險的承受能力和保護(hù)對象的安全等級等內(nèi)容，包括出現(xiàn)安全事故應(yīng)急處理措施和恢復(fù)辦法。

2、安全技術(shù)；安全技術(shù)是指根據(jù)安全目標(biāo)需要，通過部署安全設(shè)備和采用技術(shù)策略來對校園網(wǎng)各個層次(物理層、網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層)來進(jìn)行安全防護(hù)，其包括的設(shè)備或采用的技術(shù)主要包括入侵檢測、防火墻、防病毒網(wǎng)關(guān)、流量控制帶寬保障、通信加密、漏洞掃描、網(wǎng)站防篡改、安全審計、備份容災(zāi)等。這些設(shè)備和技術(shù)是網(wǎng)絡(luò)安全防范體系中的實(shí)施應(yīng)用基本條件或手段，它們形成了一個完整的網(wǎng)絡(luò)安全防范系統(tǒng)，因?yàn)榫W(wǎng)絡(luò)安全防范不是單一的技術(shù)手段和多個安全設(shè)備的堆疊，而是一個整體概念，需要保障校園網(wǎng)絡(luò)各個層次和應(yīng)用的安全。在實(shí)際應(yīng)用部署中，由于不同的高校經(jīng)費(fèi)投入差異和信息化程度不同，需要根據(jù)學(xué)校的實(shí)際情況建立合理的安全策略，在安全策略的指導(dǎo)下，分步實(shí)施，部署安全設(shè)備，采用相應(yīng)的安全技術(shù)手段。

3、安全管理：安全管理是安全體系能夠充分發(fā)揮作用的基本前提，主要包括建立安全管理制度規(guī)范和對安全設(shè)備和技術(shù)的有效管理。安全體系的建設(shè)是一個復(fù)雜的工程，不僅需要考慮人、設(shè)備、技術(shù)等要素，更需要安全管理。對于安全設(shè)備部署和安全技術(shù)的實(shí)施，必須建立規(guī)范管理制度，使設(shè)備技術(shù)與安全管理機(jī)制有機(jī)地結(jié)合起來。安全管理不僅包括行政意義上的安全管理，還包括對人、設(shè)備、技術(shù)的管理。

4、安全培訓(xùn)：網(wǎng)絡(luò)安全防范體系是一個整體，涉及在里面的每一個角色都是一個重要安全組成部分，各級用戶包括領(lǐng)導(dǎo)、管理員和普通用戶等都是安全體系中的一部分[”。加強(qiáng)和提高用戶安全意識，起到的安全防護(hù)效果往往比單一的技術(shù)和安全設(shè)備更加有效，因?yàn)榇蟛糠志W(wǎng)絡(luò)安全都是人為的和可以防范的。因此安全培訓(xùn)是整個安全防范體系中非常重要的一部分。

三校園網(wǎng)絡(luò)安全防范體系的應(yīng)用方案

南京農(nóng)業(yè)大學(xué)校園網(wǎng)建設(shè)起步于1995年，經(jīng)過10余年的建設(shè)與發(fā)展，現(xiàn)己建成覆蓋全校的、較完整的網(wǎng)絡(luò)基礎(chǔ)體系，基于校園網(wǎng)的信息應(yīng)用系統(tǒng)更是發(fā)展迅猛，據(jù)不完全統(tǒng)計：學(xué)校已有網(wǎng)絡(luò)公共服務(wù)系統(tǒng)超過100個、網(wǎng)絡(luò)業(yè)務(wù)管理系統(tǒng)數(shù)十套、網(wǎng)絡(luò)信息資源保有量超過了50TB；各類網(wǎng)絡(luò)接入用戶數(shù)在22000以上。2004年，我校在圖書館建立了統(tǒng)一的網(wǎng)絡(luò)數(shù)據(jù)中心，對學(xué)校內(nèi)部的主要網(wǎng)絡(luò)設(shè)備和服務(wù)器進(jìn)行集中管理，并制定了符合實(shí)際的管理規(guī)范，但隨著校園網(wǎng)的快速發(fā)展和信息化建設(shè)的推進(jìn)，一些規(guī)范已經(jīng)不能滿足實(shí)際管理的需要。2011年，我校在理科大樓新建了以綠色節(jié)能為特色，高性能、高安全性的新數(shù)據(jù)中心，與原有數(shù)據(jù)中心形成相互冗余，互為補(bǔ)充的網(wǎng)絡(luò)架構(gòu)，同時，結(jié)合我校網(wǎng)絡(luò)和信息化建設(shè)現(xiàn)狀，提出了比較明確的安全目標(biāo)。

1、制定安全策略，確定安全目標(biāo)

我校目前校園網(wǎng)安全結(jié)構(gòu)覆蓋了兩個校區(qū)，通過教育、電信、聯(lián)通、移動四個類別的網(wǎng)絡(luò)出口跟國際互聯(lián)網(wǎng)相連，學(xué)校用戶使用的操作系統(tǒng)包括Windows、Linux、UNIX等。為了保障校園網(wǎng)絡(luò)安全，確定的近期安全目標(biāo)是要求所有聯(lián)網(wǎng)設(shè)備必須嚴(yán)格執(zhí)行校園網(wǎng)安全管理規(guī)范，設(shè)置相應(yīng)的安全策略、安裝校內(nèi)自動更新補(bǔ)丁和病毒防護(hù)軟件，保證能夠防護(hù)一般的病毒和攻擊，同時校園網(wǎng)管理中心建立防病毒中心和漏洞掃描系統(tǒng)，實(shí)現(xiàn)病毒和漏洞預(yù)警；中期目標(biāo)：我們建立安全審計和取證機(jī)制，保證安全事情有據(jù)可查、有責(zé)可分，建立通信加密和網(wǎng)站防篡改系統(tǒng)，保障網(wǎng)絡(luò)數(shù)據(jù)傳輸和信息安全，根據(jù)信息安全等級保護(hù)，對服務(wù)器的安全優(yōu)先級進(jìn)行劃分，進(jìn)行不同等級的防護(hù)保障；遠(yuǎn)期目標(biāo)是建立立體化網(wǎng)絡(luò)安全預(yù)警和應(yīng)急恢復(fù)系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全自動告警和應(yīng)急恢復(fù)機(jī)制自動化，建立有機(jī)結(jié)合、責(zé)權(quán)分明和可靠有序的規(guī)范管理制度。

2、部署安全設(shè)備，應(yīng)用安全技術(shù)

在安全策略的指導(dǎo)下，結(jié)合校園網(wǎng)絡(luò)各層次的特點(diǎn)，從物理層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層進(jìn)行分級部署安全設(shè)備和運(yùn)用安全技術(shù)，形成了如圖3所示防范體系架構(gòu)。

在物理層安全方面，對校園網(wǎng)結(jié)構(gòu)進(jìn)行扁平化改造，各樓宇匯聚交換機(jī)集中于數(shù)據(jù)交換中心，主干采用萬兆互聯(lián)和實(shí)現(xiàn)線路冗余，避免由于單點(diǎn)故障造成網(wǎng)絡(luò)傳輸路徑的中斷。在服務(wù)器管理方面，我校分別在圖書館和理科樓各建立了一個數(shù)據(jù)中心，實(shí)現(xiàn)互為冗余和異地容災(zāi)從而有效保障了數(shù)據(jù)安全，在機(jī)房環(huán)境中，采用專門的氣體消防和提供多線路大功率的UPS供電保障。建立專門的備份用刀片服務(wù)器，用于重要信息平臺的容災(zāi)備份和雙機(jī)并行，提高了應(yīng)用系統(tǒng)的可靠性和穩(wěn)定性。

在網(wǎng)絡(luò)層安全防護(hù)方面，在校園網(wǎng)入口架設(shè)高性能防火墻和路由器，建立VPN通道，在網(wǎng)絡(luò)核心架設(shè)入侵檢測設(shè)備，學(xué)校用戶利用VPN可以在校外能夠安全接入校園網(wǎng)。使用入侵監(jiān)測系統(tǒng)對進(jìn)入校園網(wǎng)核心的所有數(shù)據(jù)流動進(jìn)行實(shí)時檢測分析。利用防火墻的包過濾和隔離功能，設(shè)置DMZ區(qū)來保障郵件和DNS等服務(wù)器的安全。通過在防火墻和核心交換的中間架設(shè)網(wǎng)絡(luò)流量控制系統(tǒng)，對網(wǎng)絡(luò)協(xié)議進(jìn)行分類控制，保障重要的業(yè)務(wù)應(yīng)用，對一些娛樂影視帶寬進(jìn)行有效控制，有效地提高了網(wǎng)絡(luò)的使用效率。

傳輸層方面，為了防止ARP病毒和蠕蟲病毒影響網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全，我校在校園網(wǎng)上網(wǎng)區(qū)域等實(shí)施用戶上網(wǎng)客戶端強(qiáng)制使用DHCP獲取IP地址措施，對于教學(xué)科研管理中必須使用的靜態(tài)IP聯(lián)網(wǎng)的設(shè)備，申請登記后由網(wǎng)絡(luò)管理員分配IP并對應(yīng)交換機(jī)端口綁定設(shè)備MAC地址，防止信息被非法獲取，有效地保證了傳輸層的網(wǎng)絡(luò)數(shù)據(jù)安全。

在應(yīng)用層的防護(hù)上，我校建立統(tǒng)一的身份認(rèn)證系統(tǒng)，用于加強(qiáng)用戶信息安全管理身份認(rèn)證，根據(jù)用戶的身份對用戶進(jìn)行分級管理并開通相應(yīng)服務(wù)。對用戶上網(wǎng)日志和服務(wù)器日志方面，通過計費(fèi)網(wǎng)關(guān)對用戶上網(wǎng)日志進(jìn)行收集，通過網(wǎng)絡(luò)管理系統(tǒng)對服務(wù)器日志進(jìn)行收集，用日志軟件來對事件和日志的集中分析，查找安全事件的來源，針對互聯(lián)網(wǎng)上的垃圾郵件的泛濫，我校部署專業(yè)反垃圾郵件網(wǎng)關(guān)系統(tǒng)，為用戶并提供詳盡的郵件日志和發(fā)送隔離通知。在防病毒方面，我校在數(shù)據(jù)中心建立病毒防控中心，用戶可以選擇安裝學(xué)校提供防病毒客戶端來實(shí)現(xiàn)網(wǎng)絡(luò)防病毒功能，為數(shù)據(jù)中心和校園網(wǎng)絡(luò)接入終端提供防毒服務(wù)。為了防范系統(tǒng)漏洞導(dǎo)致的攻擊，我校建立WINDOWS補(bǔ)丁更新服務(wù)器，實(shí)現(xiàn)校園網(wǎng)系統(tǒng)補(bǔ)丁自動分發(fā)。為了加強(qiáng)校園網(wǎng)安全，我們定時對校園網(wǎng)服務(wù)器進(jìn)行掃描檢查，對存在安全隱患的服務(wù)器或系統(tǒng)進(jìn)行安全警告并通知相關(guān)管理人員進(jìn)行及時修復(fù)。

3、注重安全管理，完善規(guī)章制度

實(shí)踐經(jīng)驗(yàn)告訴我們僅有安全技術(shù)和安全設(shè)備防范，而無良好安全管理體系相配套，是很難保障網(wǎng)絡(luò)信息安全的。構(gòu)建網(wǎng)絡(luò)安全防范體系，必須制訂一系列安全管理制度和安全管理規(guī)范，對安全技術(shù)和安全設(shè)施進(jìn)行規(guī)范管理，建立行之有效的信息安全管理制度和流程，實(shí)現(xiàn)嚴(yán)密、多層次的安全控制，保證各級系統(tǒng)的安全穩(wěn)定運(yùn)行，保證數(shù)據(jù)安全可靠，實(shí)現(xiàn)數(shù)字校園網(wǎng)絡(luò)環(huán)境的可控、可信、可查。

南京農(nóng)業(yè)大學(xué)在信息化建設(shè)開展后，成立了專門的信息化建設(shè)領(lǐng)導(dǎo)小組，組長是校長，并成立了信息安全小組，由各院系單位派專人負(fù)責(zé)各自部門的信息安全工作，服從學(xué)校總體安全管理工作安排。同時，我校圖書與信息中心也不斷制定和完善各種安全管理制度，包括校園網(wǎng)安全管理規(guī)范，設(shè)備操作規(guī)范、設(shè)備安全使用管理、操作系統(tǒng)和數(shù)據(jù)庫安全管理、異常情況管理、系統(tǒng)安全恢復(fù)管理、應(yīng)急管理、運(yùn)行維護(hù)安全規(guī)定、第三方服務(wù)商的安全管理以及對系統(tǒng)安全狀況的定期評估策略等，努力建構(gòu)和完善網(wǎng)絡(luò)信息安全體系。

4、開展安全培訓(xùn)，提高安全意識

網(wǎng)絡(luò)和系統(tǒng)的是否安全的決定因素是用戶的安全意識和技術(shù)能力，在安全體系建立后，必須不斷提高用戶的安全意識，使管理員和各級用戶有很強(qiáng)的主人翁意識，積極參與和防范網(wǎng)絡(luò)威脅和及時堵住相應(yīng)漏洞，尤其是新的系統(tǒng)和技術(shù)在校園網(wǎng)中的應(yīng)用、新的病毒或漏洞被發(fā)現(xiàn)，必須通過定期培訓(xùn)、在網(wǎng)上發(fā)布相應(yīng)公告、通過電話提醒來敦促大家及時升級或更新補(bǔ)丁等方法，用戶整體安全意識高，可以極大地提高整個網(wǎng)絡(luò)的安全性。我校在信息化建設(shè)過程中，經(jīng)常開展應(yīng)用講座、使用培訓(xùn)，通過信息門戶網(wǎng)站宣傳來提高和強(qiáng)化全校師生的信息安全觀念意識。

四結(jié)束語

高校信息化建設(shè)在不斷推進(jìn)，用戶對網(wǎng)絡(luò)的需求也在不斷擴(kuò)大，網(wǎng)絡(luò)安全建設(shè)需要不斷關(guān)注和投入。結(jié)合學(xué)校的實(shí)際情況，我們可以確定清晰的安全策略，制定合理的安全目標(biāo)，采用先進(jìn)的技術(shù)手段，建立一個全面、立體、可靠地校園網(wǎng)絡(luò)安全防范體系，來為學(xué)校信息化建設(shè)提供強(qiáng)有力的安全保障，從而更好地位教學(xué)科研服務(wù)。