漢中職業技術學院校園網絡安全整體設計實施方案

田立國 王靜

摘 要：科學、全面、可操作性的校園網絡安全整體設計是保證數字化校園網絡正常運行的核心；該文通過分析目前校園網絡狀況；根據安全需求及面臨的威脅制定出科學合理的安全設計方案；且在實際運行中所體現的特色及創新點，對高職院校進行校園網絡安全整體設計具有一定的借鑒意義。

關鍵詞：校園網 安全 背景分析 設計策略 特色

中圖分類號：TP393 文獻標識碼：A 文章編號：1674-098X（2013）03（a）-0-02

漢中職業技術學院新校區弱電數字化校園網設計以“統一規劃、分步實施、加強應用、資源整合、數據共享” 為指導思想，本著“數字與安全并重，常態與非常態結合的原則，建立起現代化的數字化校園”，嚴格按照新校區的有關要求和具體場地的使用情況進行設計和施工。具體設計原則體現了先進性、成熟性、開放性、標準化、可擴展性、安全性、可靠性、實用性、可集成性、宜管理性。同時《陜西省教育信息化十年發展規劃》（2011—2020年）頒布后，我院認真組織學習，根據全國教育信息化工作電視電話會議精神，結合我院實際情況，深化實施我院信息化試點建設。為保障我院信息化試點建設和整個校園網絡的正常運行，以上原則中，系統的安全性是非常重要的內容，提供機制增強整個系統的安全防范能力。主要考慮：網絡設備的安全性，包括數據包過濾、防火墻等功能；用戶接入的控制；實現完善的統一認證及計費系統；入侵檢測和病毒防范；校園網系統對外出口及入口的安全性的考慮。所以合理，科學、全面、可操作性的校園網絡安全整體設計顯的尤為重要。

1 背景分析

1.1 校園網狀況分析

校園網網絡信息十分豐富，網絡用戶的活動也非常活躍，校園網內部網絡數據往往用于滿足學校正常的行政辦公需要、廣大師生的教務教學需要、學生們的課余校園文化生活等，這些信息都需要進行完整性、真實性保護和控制，這就需要對進出校園網的訪問行為進行必要的控制，避免損失。

校園網絡系統中計算機數量多，物理位置不同、操作用戶不同、用途不同，由于這些差異，使得校園網網絡中計算機中的漏洞問題十分嚴重。因為使用者的安全意識不強，或者采取措施不及時造成的損失在校園網內時有發生，因此采用科學管理方法和先進的技術，可以進一步提高校園網絡信息安全保障水平。

網絡上的信息良蕎不齊，對正在形成世界觀和人生觀的學生來說，還不能正確地對待這類內容，這些違反道德標準和有關法律規范的不良信息對他們危害極大，如果信息安全措施不好，有部分學生會進入這些網站，還可能在校園內傳播這類不良

信息。

教育信息化、校園網絡化作為網絡時代的教育方式和教育環境。隨著各高校網絡規模的膨脹、網絡用戶數目的快速增長，校園網網絡信息安全問題已經成為當前各高校網絡建設中不可忽視的首要問題。作為資源共享和信息交流的平臺，校園網絡的安全顯的尤為重要。

1.2 校園網安全需求

1.2.1 高校面臨著嚴峻的網絡安全形勢。越來越多的報道表明高校校園網己意識的淡薄，而另一方面，高校學生—這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責任感。有關數字顯示，目前校園網遭受的惡意攻擊，70%來自高校網絡內部，如何保障校園網絡的安全成為高校校園網絡建設時不得不考慮的問題。

1.2.2 網絡安全一定是全方位的安全。首先，網絡出口、數據中心、服務器等重點區域要做到安全過濾；其次，不管接入設備，還是骨干設備，設備本身需要具備強大的安全防護，要具備強大的安全防護能力，并且安全策略部署不能影響到網絡的性能，不造成網絡單點故障；最后，要充分考慮全局統一的安全部署，需要能夠從接入控制，到對網絡安全事件進行深度探測，到現有安全設備有機的聯動，到對安全事件觸發源的準確定位和根據身份進行的隔離、修復措施，從而能對網絡形成一個由內至外的整體安全架構。

1.3 校園網安全面臨的威脅

通過認真分析可以總結出校園網主要面臨如下的安全威脅：各種操作系統以及應用系統自身的漏洞帶來的安全威脅；Internet網絡用戶對校園網存在非法訪問或惡意入侵的威脅；來自校園網內外的各種病毒的威脅；內部用戶下載文件可能將木馬、蠕蟲等程序帶入校園內網；內外網惡意用戶可能利用利用一些工具對網絡及服務器發起DOS/DDOS攻擊，導致網絡及服務不可用等。

2 校園網安全設計策略

對于以上威脅，我們只有不斷改進管理方法和采用先進的技術結合起來，才能切實構筑一個安全的校園網。

2.1 校園網安全管理

針對目前高校校園網安全現狀，在防病毒軟件、防火墻或智能網關等構成的防御體系下，對于防止來自校園網外的攻擊已經足夠。以下是我院的安全管理策略。

2.1.1 規范出口管理，實施校園網的整體安全架構，必須解決多出口的問題。規范統一的對出口進行管理，使校園網絡安全體系能夠得以實施。為校園網的安全提供最基礎的保障。

2.1.2 配備完整系統的網絡安全設備，在網內和網外接口處配置一定的統一網絡安全控制和監管設備，就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統、漏洞掃描系統等。另外，通過配置安全產品可以實現對校園網絡進行系統的防護、預警和監控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網絡的故障可以迅速定位并解決。

2.1.3 解決用戶上網身份問題，建立全校統一的身份認證系統 。校園網絡必須要解決用戶上網身份問題，而身份認證系統是整個校園網絡安全體系的基礎，否則即便發現了安全問題也大多只能不了了之，只有建立了基于校園網絡的全校統一身份認證系統，才能徹底的解決用戶上網身份問題。

2.1.4 嚴格規范上網場所的管理，集中進行監控和管理。上網用戶不但要通過統一的校級身份認證系統確認，而且，合法用戶上網的行為也要受到統一的監控，上網行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。

2.2 校園網絡安全技術

前述各種網絡安全威脅，都是通過網絡安全缺陷和系統軟硬件漏洞來對網絡發起攻擊的。為杜絕網絡威脅，主要手段就是完善網絡病毒監管能力，堵塞網絡漏洞，從而達到網絡安全。

2.2.1 殺毒產品的部署

在該網絡防病毒方案中，要達到一個目的就是：要在整個局域網內杜絕病毒的感染、傳播和發作。為了實現這一點，應在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、集中管理、分布查殺等多種功能。

2.2.2 采用VLAN技術

VLAN技術根據不同的應用業務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。

2.2.3 內容過濾器

內容過濾器是有效保護網絡系免于誤用和無意識服務拒絕的工具。同時，可以限制外來的垃圾郵件。

2.2.4 防火墻

在每一臺電腦上都安裝裝防火墻，成為內外網之間一道牢固的安全屏障。在防火墻設置上按照以下原則配置來提高網絡安全性：規劃設置正確的安全過濾規則；規則審核協議、端口、源地址等IP數據包內容；嚴格禁止外網對校園內部網不必要的、非法的訪問；使用動態規則管理，允許授權運行的程序開放的端口服務；正確設置你在局域網中的IP，防火墻系統才能識別數據包的來向，從而保證你在局域網中正常使用網絡服務功能；定期查看防火墻訪問日志，及時發現攻擊行為和不良上網記錄。

2.2.5 入侵檢測

入侵檢測系統是防火墻的合理補充，幫助系統對付網絡攻擊，提高信息安全基礎結構的完整性。入侵檢測系統能實時捕獲內外網之間傳輸的數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發生的入侵行為和異常現象，并記錄有關事件。

2.2.6 漏洞掃描

隨著軟件規模的不斷增大.系統中的安全漏洞或“后門”會存在.因此，應采用先進的漏洞掃描系統定期對工作站、服務器等進行安全檢查，并寫出詳細的安全性分析報告，及時地將發現的安全漏洞打上“補丁”。

2.2.7 數據加密

數據加密是核心的對策，是保障數據安全最基本的技術措施和理論基礎。

2.2.8 加強網絡安全管理

首先，加強網絡安全知識的培訓和普及；其次，是健全完善管理制度和相應的考核機制，以提高網絡管理的效率。

3 特色創新點

3.1 校企合作

學院通過招標公司面向全國分別于2011年、2012年進行規劃設計及施工、監理招標。2012年下半年開始具體實施信息化建設。與此同時，學院本著長期合作、共同發展的原則，與中國移動漢中分公司、中國電信漢中分公司建立長期戰略合作伙伴關系，由兩家公司承擔學院綜合布線、一卡通等項目的建設，并長期提供技術支持。

3.2 五位一體化認證體系

多年的摸索和實踐使我們認識到，校園網安全運營管理的核心需求及特點可歸納為五個方面。

準入準出一體化：準入和準出一體化采用統一的安全認證平臺，用戶僅需1套賬號密碼并能夠自由、自主的在內外網訪問間實現方便的切換，管理難度小、用戶體驗高；流控設備與網關一體化，提供精確的流量和帶寬同時不影響性能，減少單點故障。保護用戶投資，實現增值。

802.1x和Web一體化：在接入交換機實現802.1x準入和Web準入的同時支持，達到部署靈活、保護投資的目的。實現基于用戶身份和所在區域的多種認證方式，安全性高、便于管理。可通過統一的認證管理平臺進行管理減少投資成本、降低管理難度。802.1X認證方式主要適用于學生群體，控制比較嚴格，Web方式適用于教職工群體上網方便。

有線和無線一體化：校園網同時具備有線網絡和無線網絡接入能力，通過不同的認證方式，可以統一認證管理平臺進行管理，可以減少成本，部署靈活，降低管理難度。使用一體化的控制器使設備的利用率升高，保護了投資。同時一體化的網管能夠提供有線設備和無線設備的統一配置和管理達到減少投資成本的目的。

校內和校外一體化：VPN網關支持基于Web認證方式的SSL VPN，支持USB key等安全機制，部署靈活、便于管理。運維管理人員僅需對1套系統、1份用戶身份信息進行操作，降低了運維管理復雜度。而網絡用戶在校內和校外僅需1套賬號密碼，保證了高安全性和便捷的用戶體驗。

IPv4和IPv6一體化：在身份認證、用戶管理、安全管理、管理等方面，使校園網同時承載IPv4和IPv6協議，滿足接入需求。以達到減少投資成本、降低管理難度的目的，并且優化了用戶使用體驗、改善了網絡安全審計。

面向數字校園的校園網安全運營管理要求對這五個方面進行完整的涵蓋，五個方面的分別一體化是過程、五個方面的整合一體化是目標，直至實現校園網的全網統一認證運營管理。

3.3 緊密四平臺

網絡設備管理平臺、網絡健康監控管理平臺、網站安全防護平臺、網絡實名制平臺相互依賴。

參考文獻

[1] 鄧小善.網絡服務器配置與管理[M].北京：中國鐵道出版社，2003.

[2] 劉曉輝.網絡硬件設備完全技術[M].北京：中國鐵道出版社，2011.

[3] 諶璽.企業網絡整體安全[M].北京：電子工業出版社，2011.

[4] 劉曉輝.網絡綜合布線應用指南[M].北京：人民郵電出版社，2009.