浙江省交通干部學(xué)校網(wǎng)絡(luò)安全策略

余文艷

摘要：數(shù)字化校園中的網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各學(xué)校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。文章基于我校網(wǎng)絡(luò)安全的現(xiàn)狀及特點(diǎn)，提出相應(yīng)的控制策略。

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全策略

隨著我國經(jīng)濟(jì)與科技的不斷發(fā)展，教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時代的教育方式和環(huán)境，已經(jīng)成為教育發(fā)展的方向。同時，校園網(wǎng)安全問題也成為當(dāng)前各學(xué)校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問題。從以下幾方面來保證校園網(wǎng)的網(wǎng)絡(luò)安全。

一、規(guī)劃合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

校園網(wǎng)以學(xué)校的核心機(jī)房為全網(wǎng)中心，采用千兆以太網(wǎng)技術(shù)，將全校的計算機(jī)及已有的局域網(wǎng)全部連網(wǎng)，整個校園網(wǎng)絡(luò)分成以下幾個部分：

1.省交通廳辦公網(wǎng)。獨(dú)立專網(wǎng)：原有安全設(shè)備防火墻作為邊界安全設(shè)備，做訪問控制及安全過濾；

2.校園外網(wǎng)1（學(xué)生網(wǎng)絡(luò)）。該網(wǎng)絡(luò)主要用戶為流動外來學(xué)員以及內(nèi)部學(xué)生使用，主要應(yīng)用為訪問因特網(wǎng)；

3.校園外網(wǎng)2（教職工網(wǎng)絡(luò)）。該網(wǎng)絡(luò)主要用戶為校內(nèi)教職工，主要應(yīng)用有：訪問因特網(wǎng)、訪問校園內(nèi)網(wǎng)資源等；并且將業(yè)務(wù)系統(tǒng)對外訪問的門戶網(wǎng)站及郵件系統(tǒng)等規(guī)劃到DMZ區(qū)域；

4.校園內(nèi)網(wǎng)。主要為業(yè)務(wù)系統(tǒng)（核心業(yè)務(wù)，重要數(shù)據(jù)），對內(nèi)、對外提供服務(wù)；通過網(wǎng)閘做雙網(wǎng)隔離，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)隔離，并提供業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全交換。

通過以上網(wǎng)絡(luò)改造，把原來的學(xué)校外網(wǎng)分成三個網(wǎng)絡(luò)：學(xué)生網(wǎng)，教工網(wǎng)和內(nèi)網(wǎng)。其中學(xué)生網(wǎng)和后兩個網(wǎng)絡(luò)之間實(shí)現(xiàn)了物理隔離，這樣避免了學(xué)生網(wǎng)對教師網(wǎng)可能造成的直接隱患。而后兩者之間是通過網(wǎng)閘的作用實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。在業(yè)務(wù)系統(tǒng)中，把含機(jī)密性數(shù)據(jù)的服務(wù)器放在網(wǎng)閘之內(nèi)，使外網(wǎng)上的用戶不能直接訪問內(nèi)部數(shù)據(jù)，而只把一些不含機(jī)密信息的公用服務(wù)器放在網(wǎng)閘之外，這樣既簡化了網(wǎng)絡(luò)結(jié)構(gòu)、方便上網(wǎng)，又實(shí)現(xiàn)了重要信息的保護(hù)。

二、從硬件上做好網(wǎng)絡(luò)安全控制

主要包括以下幾方面。

1.出口上網(wǎng)控制

主要是防火墻控制。在校園外網(wǎng)部署出口上網(wǎng)控制設(shè)備——防火墻設(shè)備。教職工網(wǎng)絡(luò)出口防火墻考慮到學(xué)校整體教職工數(shù)量和訪問流量的需求，使用核心交換機(jī)集成的模塊化萬兆防火墻設(shè)備，使核心交換機(jī)的任意端口均能成為防火墻的過濾端口。不僅擺脫了傳統(tǒng)防火墻端口數(shù)量上的限制，且更利于保證整體設(shè)備性能的穩(wěn)定性和整體網(wǎng)絡(luò)情況的安全性。通過防火墻的設(shè)置，可以實(shí)現(xiàn)訪問控制、包過濾、上網(wǎng)行為管理、流量控制、抗攻擊等功能，并且支持VPN連接。

2.邊界防護(hù)設(shè)備

采用IPS入侵防御設(shè)備作為邊界防護(hù)設(shè)備，可以檢測、防御、甚至阻斷網(wǎng)絡(luò)。

邊界防護(hù)設(shè)備——IPS入侵防御設(shè)備可以實(shí)現(xiàn)以下功能：

（1）入侵檢測與防護(hù)：采用自研檢測引擎，具備基于IP碎片重組、TCP流重組、會話狀態(tài)、協(xié)議異常和七層應(yīng)用行為等的攻擊識別功能

（2）旁路保護(hù)：支持硬件Bypass、軟件Bypass功能

（3）高可用性：支持雙機(jī)熱備、多機(jī)集群

3.物理隔離網(wǎng)閘設(shè)備

根據(jù)國家保密局頒布的《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，涉及機(jī)密數(shù)據(jù)和應(yīng)用的信息系統(tǒng)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)必須實(shí)現(xiàn)物理隔離。

物理隔離網(wǎng)閘設(shè)備是在兩個相互物理隔離的網(wǎng)絡(luò)間安全、高速、可靠地進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。物理隔離網(wǎng)閘系統(tǒng)必須是采用專有隔離硬件和協(xié)議，并采用國際上最新的信息輪渡機(jī)制，集成了安全操作系統(tǒng)、內(nèi)容過濾、數(shù)字簽名、病毒查殺、訪問控制和安全審計等多種安全技術(shù)，對傳輸數(shù)據(jù)的類型、內(nèi)容等進(jìn)行檢查和過濾，提供可信任的專用信息交換服務(wù)，有效地克服了由于物理隔離引起的業(yè)務(wù)系統(tǒng)數(shù)據(jù)交換瓶頸，保持了兩個個網(wǎng)絡(luò)間物理隔離的特性，同時提供了一種安全、有效的數(shù)據(jù)交換途徑。

實(shí)現(xiàn)功能：（1）保護(hù)服務(wù)器區(qū)的數(shù)據(jù)與外網(wǎng)實(shí)現(xiàn)物理隔離。（2）服務(wù)器區(qū)可以與外界進(jìn)行正常的數(shù)據(jù)庫傳輸、數(shù)據(jù)庫同步、FTP訪問、郵件訪問、安全瀏覽、定制訪問、安全通道等多種功能，但外網(wǎng)的攻擊無法進(jìn)入服務(wù)器區(qū)。（3）對進(jìn)出服務(wù)器區(qū)的數(shù)據(jù)進(jìn)行抗DDoS/DoS攻擊、蠕蟲防護(hù)、病毒掃描，保證服務(wù)器區(qū)數(shù)據(jù)的完整性和安全性

三、移動訪問VPN設(shè)備

SSLVPN是解決遠(yuǎn)程用戶訪問校園內(nèi)業(yè)務(wù)和數(shù)據(jù)最簡單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過簡單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺客戶機(jī)安裝客戶端軟件。

通過SSLVPN設(shè)備，為校園內(nèi)教職工和各級領(lǐng)導(dǎo)提供基于標(biāo)準(zhǔn)瀏覽器的SSLVPN接入方案，使教職工和各級領(lǐng)導(dǎo)在任何地點(diǎn)、任何時間，以任何方式都可以安全地訪問單位內(nèi)部關(guān)鍵應(yīng)用，同時以快速簡捷的應(yīng)用模式、出色的穩(wěn)定性、領(lǐng)先的性能來提升校園信息化業(yè)務(wù)系統(tǒng)遠(yuǎn)程訪問的安全保障和工作效率。

實(shí)現(xiàn)功能：（1）可以對移動辦公的用戶實(shí)現(xiàn)不同部門、不同角色的權(quán)限與訪問列表分配，免客戶端、免控件，實(shí)現(xiàn)100％零客戶端（2）針對不同用戶開放不同的端口，以保護(hù)內(nèi)網(wǎng)的數(shù)據(jù)安全

四、安裝企業(yè)版網(wǎng)絡(luò)防病毒軟件系統(tǒng)

企業(yè)版防病毒軟件系統(tǒng)擁有以下功能特性：

1.對通過https協(xié)議和POP3S協(xié)議傳輸?shù)募用芡ㄐ艛?shù)據(jù)進(jìn)行檢查，并且加強(qiáng)了在壓縮文件中檢測其他殺軟漏報的未知病毒的能力。主動防護(hù)功能在系統(tǒng)啟動時搶先啟動，確保終端設(shè)備的安全。

2.全面保護(hù)Email客戶端。

3.對移動設(shè)備進(jìn)行不同保護(hù)級別的掃描。

4.對系統(tǒng)進(jìn)程詳細(xì)掃描診斷查找隱藏威脅，可通過創(chuàng)建可供啟動救援查殺的CD/DVD或USB驅(qū)動器，協(xié)助修復(fù)被感染的電腦系統(tǒng)。

5.通過自我防護(hù)技術(shù)防止惡意程序破壞核心進(jìn)程，保證對系統(tǒng)不間斷的防護(hù)。

五、從管理的角度加強(qiáng)網(wǎng)絡(luò)安全

1.加強(qiáng)入網(wǎng)訪問控制。加強(qiáng)用戶帳號和密碼的管理。要求各教職工及時更新、保管密碼。

2.加強(qiáng)網(wǎng)絡(luò)的權(quán)限控制。通過統(tǒng)一身份認(rèn)證系統(tǒng)賦予用戶可以使用哪些系統(tǒng)的哪些功能可以使用哪些資源。

通過以上策略，較好地實(shí)現(xiàn)了網(wǎng)絡(luò)安全控制。當(dāng)然，網(wǎng)絡(luò)安全的實(shí)現(xiàn)是無止境的，需要在工作中與時俱進(jìn)，不斷完善。

（作者單位：浙江省交通干部學(xué)校）