浙江省交通干部學校網絡安全策略

余文艷

摘要：數字化校園中的網絡安全已經成為當前各學校網絡建設中不可忽視的首要問題。文章基于我校網絡安全的現狀及特點，提出相應的控制策略。

關鍵詞：校園網絡；安全策略

隨著我國經濟與科技的不斷發展，教育信息化、校園網絡化作為網絡時代的教育方式和環境，已經成為教育發展的方向。同時，校園網安全問題也成為當前各學校網絡建設中不可忽視的首要問題。從以下幾方面來保證校園網的網絡安全。

一、規劃合理的網絡拓撲結構

校園網以學校的核心機房為全網中心，采用千兆以太網技術，將全校的計算機及已有的局域網全部連網，整個校園網絡分成以下幾個部分：

1.省交通廳辦公網。獨立專網：原有安全設備防火墻作為邊界安全設備，做訪問控制及安全過濾；

2.校園外網1（學生網絡）。該網絡主要用戶為流動外來學員以及內部學生使用，主要應用為訪問因特網；

3.校園外網2（教職工網絡）。該網絡主要用戶為校內教職工，主要應用有：訪問因特網、訪問校園內網資源等；并且將業務系統對外訪問的門戶網站及郵件系統等規劃到DMZ區域；

4.校園內網。主要為業務系統（核心業務，重要數據），對內、對外提供服務；通過網閘做雙網隔離，實現內網與外網隔離，并提供業務系統數據安全交換。

通過以上網絡改造，把原來的學校外網分成三個網絡：學生網，教工網和內網。其中學生網和后兩個網絡之間實現了物理隔離，這樣避免了學生網對教師網可能造成的直接隱患。而后兩者之間是通過網閘的作用實現內外網隔離。在業務系統中，把含機密性數據的服務器放在網閘之內，使外網上的用戶不能直接訪問內部數據，而只把一些不含機密信息的公用服務器放在網閘之外，這樣既簡化了網絡結構、方便上網，又實現了重要信息的保護。

二、從硬件上做好網絡安全控制

主要包括以下幾方面。

1.出口上網控制

主要是防火墻控制。在校園外網部署出口上網控制設備——防火墻設備。教職工網絡出口防火墻考慮到學校整體教職工數量和訪問流量的需求，使用核心交換機集成的模塊化萬兆防火墻設備，使核心交換機的任意端口均能成為防火墻的過濾端口。不僅擺脫了傳統防火墻端口數量上的限制，且更利于保證整體設備性能的穩定性和整體網絡情況的安全性。通過防火墻的設置，可以實現訪問控制、包過濾、上網行為管理、流量控制、抗攻擊等功能，并且支持VPN連接。

2.邊界防護設備

采用IPS入侵防御設備作為邊界防護設備，可以檢測、防御、甚至阻斷網絡。

邊界防護設備——IPS入侵防御設備可以實現以下功能：

（1）入侵檢測與防護：采用自研檢測引擎，具備基于IP碎片重組、TCP流重組、會話狀態、協議異常和七層應用行為等的攻擊識別功能

（2）旁路保護：支持硬件Bypass、軟件Bypass功能

（3）高可用性：支持雙機熱備、多機集群

3.物理隔離網閘設備

根據國家保密局頒布的《計算機信息系統國際聯網保密管理規定》，涉及機密數據和應用的信息系統與互聯網和其他公共信息網絡必須實現物理隔離。

物理隔離網閘設備是在兩個相互物理隔離的網絡間安全、高速、可靠地進行數據交換的網絡安全設備。物理隔離網閘系統必須是采用專有隔離硬件和協議，并采用國際上最新的信息輪渡機制，集成了安全操作系統、內容過濾、數字簽名、病毒查殺、訪問控制和安全審計等多種安全技術，對傳輸數據的類型、內容等進行檢查和過濾，提供可信任的專用信息交換服務，有效地克服了由于物理隔離引起的業務系統數據交換瓶頸，保持了兩個個網絡間物理隔離的特性，同時提供了一種安全、有效的數據交換途徑。

實現功能：（1）保護服務器區的數據與外網實現物理隔離。（2）服務器區可以與外界進行正常的數據庫傳輸、數據庫同步、FTP訪問、郵件訪問、安全瀏覽、定制訪問、安全通道等多種功能，但外網的攻擊無法進入服務器區。（3）對進出服務器區的數據進行抗DDoS/DoS攻擊、蠕蟲防護、病毒掃描，保證服務器區數據的完整性和安全性

三、移動訪問VPN設備

SSLVPN是解決遠程用戶訪問校園內業務和數據最簡單最安全的解決技術。與復雜的IPSecVPN相比，SSL通過簡單易用的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN，這是因為SSL內嵌在瀏覽器中，它不需要象傳統IPSecVPN一樣必須為每一臺客戶機安裝客戶端軟件。

通過SSLVPN設備，為校園內教職工和各級領導提供基于標準瀏覽器的SSLVPN接入方案，使教職工和各級領導在任何地點、任何時間，以任何方式都可以安全地訪問單位內部關鍵應用，同時以快速簡捷的應用模式、出色的穩定性、領先的性能來提升校園信息化業務系統遠程訪問的安全保障和工作效率。

實現功能：（1）可以對移動辦公的用戶實現不同部門、不同角色的權限與訪問列表分配，免客戶端、免控件，實現100％零客戶端（2）針對不同用戶開放不同的端口，以保護內網的數據安全

四、安裝企業版網絡防病毒軟件系統

企業版防病毒軟件系統擁有以下功能特性：

1.對通過https協議和POP3S協議傳輸的加密通信數據進行檢查，并且加強了在壓縮文件中檢測其他殺軟漏報的未知病毒的能力。主動防護功能在系統啟動時搶先啟動，確保終端設備的安全。

2.全面保護Email客戶端。

3.對移動設備進行不同保護級別的掃描。

4.對系統進程詳細掃描診斷查找隱藏威脅，可通過創建可供啟動救援查殺的CD/DVD或USB驅動器，協助修復被感染的電腦系統。

5.通過自我防護技術防止惡意程序破壞核心進程，保證對系統不間斷的防護。

五、從管理的角度加強網絡安全

1.加強入網訪問控制。加強用戶帳號和密碼的管理。要求各教職工及時更新、保管密碼。

2.加強網絡的權限控制。通過統一身份認證系統賦予用戶可以使用哪些系統的哪些功能可以使用哪些資源。

通過以上策略，較好地實現了網絡安全控制。當然，網絡安全的實現是無止境的，需要在工作中與時俱進，不斷完善。

（作者單位：浙江省交通干部學校）