高校網(wǎng)絡(luò)安全技術(shù)淺析及應(yīng)用

王清水，佟媛媛

浙江傳媒學(xué)院信息化辦公室，浙江杭州 310018

0 引言

隨著網(wǎng)絡(luò)的發(fā)展，高校作為積極實踐新技術(shù)的群體，需要解決越來越龐大的教學(xué)，科研的網(wǎng)絡(luò)數(shù)據(jù)處理，并保證在大訪問量下的優(yōu)質(zhì)上網(wǎng)質(zhì)量。現(xiàn)在高校通常是幾百兆甚至是幾個G的出口帶寬。在滿足廣大師生上網(wǎng)需求的同時，也帶來了一定的網(wǎng)絡(luò)安全問題.作為國家事業(yè)單位，有些網(wǎng)絡(luò)及數(shù)據(jù)安全也須得到一定的保障。國家教育部、公安部等相關(guān)部門也三令五申地要求各高校切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作.有鑒于此，需要在新形勢下研究新的網(wǎng)絡(luò)安全技術(shù)。

1 高校網(wǎng)絡(luò)安全技術(shù)

現(xiàn)階段高校主要通過如下技術(shù)手段實現(xiàn)其一定的網(wǎng)絡(luò)安全管理：物理網(wǎng)隔離，網(wǎng)絡(luò)安全網(wǎng)關(guān)、配備Web防毒墻，多專網(wǎng)，數(shù)據(jù)備份，關(guān)鍵部位設(shè)備冗余，采用第三方設(shè)備系統(tǒng)實現(xiàn)用戶終端的安全管理。

1.1 物理網(wǎng)隔離

作為最基本的手段，物理網(wǎng)隔離技術(shù)永遠有其獨特的網(wǎng)絡(luò)安全優(yōu)勢，主要適用于如校園財務(wù)，校園資產(chǎn)管理等嚴(yán)格要求數(shù)據(jù)安全性的系統(tǒng)。對于現(xiàn)在采用的WLAN做ACL訪問控制隔離模式總不如全物理網(wǎng)來的有效，當(dāng)然物理網(wǎng)對成本要求更高。

1.2 網(wǎng)絡(luò)安全網(wǎng)關(guān)

校園網(wǎng)首先是一個大的局域網(wǎng)的概念，如何有效的抵御外來有害，有毒信息是涉及到校園網(wǎng)能否安全的主要因素，這個時候就非常有必要在校園網(wǎng)出口處架設(shè)一臺網(wǎng)絡(luò)安全產(chǎn)品?，F(xiàn)在市場如阿姆瑞特，深信服都出產(chǎn)此類產(chǎn)品。該類系統(tǒng)基本包含帶寬多出口管理，防火墻，入侵檢測及防御，WEB內(nèi)容過濾，簡單流量控制等一系列功能。通過訪問規(guī)則，應(yīng)用層網(wǎng)關(guān)，動靜態(tài)WEB過濾，反病毒掃描，垃圾郵件處理等配置實現(xiàn)其安全網(wǎng)關(guān)的功能。能基本抵御外來如DOS攻擊，IP欺騙，提高FTP，HTTP，SMTP，pop3等協(xié)議的安全性。該類產(chǎn)品流量控制功能也能粗略的解決一些出口帶寬問題，適當(dāng)緩解現(xiàn)階段高校租用運營商帶寬費用過度增長的問題。但同時也會碰到多項功能模塊開啟造成管理平臺查詢配置延遲的問題。如有條件，還是建議采用專業(yè)的流控設(shè)備，及反垃圾郵件網(wǎng)關(guān)等以分擔(dān)防火墻的處理業(yè)務(wù)。

1.3 Web應(yīng)用防毒墻

通過該設(shè)備的配備，可以有效防御如SQL注入，跨站點腳本，操作系統(tǒng)命令注入，會話劫持，篡改參數(shù)或URL，緩沖區(qū)溢出等攻擊。由于直接針對應(yīng)用層處理能力，該類產(chǎn)品拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計算工作的硬件設(shè)計，采用了更加適合應(yīng)用層靈活計算能力的多核并行處理技術(shù)，多次解析的架構(gòu)，采用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進行檢測匹配。從而更好的保護服務(wù)器區(qū)的操作系統(tǒng)及數(shù)據(jù)安全。

1.4 多專網(wǎng)

由于高校存在數(shù)量眾多的實驗室機房，這些由于學(xué)生上網(wǎng)行為，雖然用戶端基本都配有還原卡等裝置，但在教學(xué)過程中所發(fā)生的病毒攻擊行為從實驗室管理上來說基本處于無可奈何的狀態(tài)，這對校園網(wǎng)確實是一個極大的威脅，我校當(dāng)時就碰到過各類由于機房管理不善影響全院網(wǎng)絡(luò)的事件。針對于此，采用多臺匯聚層交換機，把行政辦公網(wǎng)和實驗室網(wǎng)分開，基本上組建成實驗室專網(wǎng)，并在實驗室匯聚交換機連接核心交換機端配置一臺防火墻，有效解決了實驗室端對整體校園網(wǎng)的安全影響。

1.5 數(shù)據(jù)備份

為了各種教學(xué)評估，國家精品課程建設(shè)，電子圖書館建立都需存儲大量的數(shù)據(jù)，其中有些還需實現(xiàn)異地備份，主要有定期磁帶備份數(shù)據(jù)，就是制作完整的備份磁帶或光盤：遠程數(shù)據(jù)庫備份，在與主數(shù)據(jù)庫所在生產(chǎn)機相分離的備份機上建立主數(shù)據(jù)庫的一個拷貝，如有分校區(qū)的學(xué)校可采用兩邊數(shù)據(jù)互備方案。

1.6 關(guān)鍵部位設(shè)備冗余

這個方面可根據(jù)各高校實際情況進行操作，主干網(wǎng)絡(luò)優(yōu)先對核心交換機，安全網(wǎng)關(guān)進行冗余處理，由于像中間防火墻和防毒墻都有bypass功能可適當(dāng)放低要求，畢竟還需考慮成本因素，數(shù)據(jù)中心服務(wù)器可采用類似云計算的方案進行處理，不需每臺都做冗余。如有分校區(qū)的學(xué)校還需對互聯(lián)光纖線路進行雙路冗余處理，不然故障后影響太大。

1.7 使用第三方設(shè)備及系統(tǒng)實現(xiàn)終端用戶的安全管理

由于高校集中了成千上萬的用戶數(shù)，在提高用戶的安全意識同時，還需要對其進行全局的管理，這方面可通過第三方設(shè)備或系統(tǒng)進行IP/MAC綁定，采用安裝客戶端的方式實現(xiàn)如硬性安裝360安全衛(wèi)士等網(wǎng)絡(luò)安全要求。并可和交換機進行聯(lián)動，如發(fā)現(xiàn)有異常的端口活動，可將該交換機端口down掉，再聯(lián)系用戶進行處理，可避免因個人用戶所引起的全網(wǎng)安全問題。該手段可對校園網(wǎng)絡(luò)進行最基礎(chǔ)的凈化流程，我校在采用了銳捷SAM系統(tǒng)后效果明顯，解決如arp欺騙等局域網(wǎng)存在的頑疾。

2 結(jié)論

由于高校網(wǎng)絡(luò)的迅猛發(fā)展，為解決全校網(wǎng)絡(luò)訪問通暢，數(shù)據(jù)存儲安全等一系列問題。管理方在制定全面的網(wǎng)絡(luò)安全策略的同時，在采用上述各種網(wǎng)絡(luò)安全技術(shù)之外，還需要建立完備的針對高校網(wǎng)絡(luò)的管理制度，培養(yǎng)專門的網(wǎng)絡(luò)管理人員，并且積極開展用戶的網(wǎng)絡(luò)安全培訓(xùn)，養(yǎng)成用戶健康上網(wǎng)的習(xí)慣。

只有這樣，才能全面地有效實現(xiàn)高校網(wǎng)絡(luò)信息安全。可靠，穩(wěn)定的服務(wù)于高校教學(xué)。另外如有一款產(chǎn)品能對網(wǎng)絡(luò)進行實時的，全面的包括硬件，線路，數(shù)據(jù)傳輸?shù)确矫娴谋O(jiān)測的話，相信這是所有網(wǎng)絡(luò)管理員共同的希望吧。

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2006.

[2]吳功宜，吳英.計算機網(wǎng)絡(luò)應(yīng)用技術(shù)教程[M].3版.北京：清華大學(xué)出版社，2009：17-18.

[3]李新，孫中濤.高校校園網(wǎng)安全管理研究[J].現(xiàn)代教育裝備，2010.

[4]王維江.網(wǎng)絡(luò)應(yīng)用方案與實例精講[M].北京：人民郵電出版社，2003，11：1-34.

[5]范國果.高校數(shù)字化校園整體構(gòu)建策略與實施[D].山東師范大學(xué)，2009，12.

[6]聶武超，張彥興.802.1x認(rèn)證技術(shù)分析[J].深圳華為技術(shù)報，2002(133).