探討網(wǎng)絡安全對高校信息化建設的支撐作用

【摘要】網(wǎng)絡安全成為校園網(wǎng)信息化建設過程中面臨的關鍵問題，如何科學高效經(jīng)濟的解決網(wǎng)絡安全問題則和校園網(wǎng)建設目標有密切關系。本文通過山東商業(yè)職業(yè)技術學院校園網(wǎng)建設過程中面臨的網(wǎng)絡安全問題，結合建設目標，給出校園網(wǎng)絡安全建設規(guī)劃。

【關鍵詞】網(wǎng)絡安全；高校信息化；建設規(guī)劃；支撐

隨著校園網(wǎng)絡規(guī)模的不斷擴大、應用的日益豐富，山東商業(yè)職業(yè)技術學院的校園網(wǎng)經(jīng)基礎設施建設和應用平臺建設，進入信息資源建設時期。在這一時期，豐富的應用是關鍵，穩(wěn)定可靠的網(wǎng)絡是基礎，完善的安全和管理手段是保障，因此關注的重點是校園網(wǎng)信息化建設的安全運營管理問題。

一、該校校園網(wǎng)安全面臨的問題

對于該校校園網(wǎng)而言，其主要的安全問題有兩方面：一是防止來自互聯(lián)網(wǎng)的主動攻擊行為，包括互聯(lián)網(wǎng)上大規(guī)模爆發(fā)的蠕蟲病毒，黑客通過互聯(lián)網(wǎng)對校園網(wǎng)的攻擊行為等；二是防范內(nèi)部的違規(guī)訪問，通過技術手段保障師生健康上網(wǎng)。具體問題分析如下：

1）保障健康上網(wǎng)。對高校學生上網(wǎng)行為的適度監(jiān)控，是互聯(lián)網(wǎng)出口安全建設的首要問題。適度監(jiān)控包括：限制學生訪問非法、反動網(wǎng)站；限制學生通過地下瀏覽工具，進行“翻墻”從而繞開邊界管控設備的檢查；防止學生訪問掛馬網(wǎng)站，造成病毒傳播；對學生的上網(wǎng)行為進行監(jiān)控，防范過度使用P2P、網(wǎng)游、網(wǎng)上視頻等，過度占用帶寬，影響其他人員使用網(wǎng)絡等。

2）大規(guī)模病毒傳播。互聯(lián)網(wǎng)的開放性，與互聯(lián)網(wǎng)直連的校園網(wǎng)面臨更多的安全威脅，尤其是互聯(lián)網(wǎng)上大規(guī)模爆發(fā)的病毒，對校園網(wǎng)的正常穩(wěn)定運行造成了嚴重的威脅，因此有必要在高校互聯(lián)網(wǎng)出口的關鍵節(jié)點上，對病毒進行過濾與查殺，防止病毒通過互聯(lián)網(wǎng)，對高校校園網(wǎng)破壞。

3）應用服務器區(qū)域的安全防護。隨著應用系統(tǒng)的日趨完善與豐富，服務器區(qū)域網(wǎng)絡安全問題日漸突出。校園網(wǎng)的教學、科研、管理等應用系統(tǒng)服務器多為教育網(wǎng)IP地址，攻擊者可直接通過教育網(wǎng)完成對應用服務器的攻擊。因此服務器區(qū)域的安全防護，成為了數(shù)字化校園建設的重點。

4）缺乏有效的遠程訪問手段。校園網(wǎng)往往有較多的遠程訪問（比如校領導或教職工在校外，通過互聯(lián)網(wǎng)平臺訪問校園網(wǎng)內(nèi)的資源）而互聯(lián)網(wǎng)開放性，使得以明文的方式在網(wǎng)絡中傳遞數(shù)據(jù)時，數(shù)據(jù)很容易遭到竊聽、篡改和重放攻擊，對校園網(wǎng)正常的教學活動帶來影響。

二、該校校園網(wǎng)安全建設的目標

校園網(wǎng)絡安全問題的凸顯，阻礙了校園信息化快速建設的進程，通過多方面的考察與交流，提出以下安全建設目標：

1、打造綠色上網(wǎng)環(huán)境，加強網(wǎng)絡行為管理

開展綠色上網(wǎng)工程，對校園內(nèi)用戶，特別是學生的上網(wǎng)訪問行為，進行適度的訪問控制，對學生訪問互聯(lián)網(wǎng)的行為進行適度引導和約束，為此可在出口鏈路設備上，增加以下建設要求：

（1）限制P2P、IM、網(wǎng)游、網(wǎng)上視頻等應用所占用的帶寬資源，防止因過度使用此類應用，過度占用帶寬資源，影響其他人員對互聯(lián)網(wǎng)的訪問；

（2）限制學生訪問不健康的網(wǎng)站，包括非法網(wǎng)站、反動網(wǎng)站、色情網(wǎng)站以及掛馬網(wǎng)站等；

（3）限制學生通過翻墻軟件，進行地下瀏覽，從而繞過邊界防護設備的檢查。

2、基于角色和應用的細粒度的訪問控制

在常見的基于IP地址、協(xié)議和端口進行網(wǎng)絡訪問控制的基礎上，結合應用類型，訪問的目標地址（域名），訪問者的身份角色等因素，對上網(wǎng)會話進行進一步的深度檢測，對不同的角色能夠進行的訪問行為和訪問目標進行控制，從而進一步增強訪問控制的粒度和細度，其中包括：限制不被許可的訪問類型，限制不被許可的訪問地址，基于學生“實名制”下的訪問控制等。

基于角色應用的控制與審計，逐步實現(xiàn)“學生實名制上網(wǎng)“

3、有效防范病毒傳播

在互聯(lián)網(wǎng)出口上進行病毒過濾，采用“空中抓毒“技術，即在網(wǎng)絡關鍵鏈路節(jié)點上，對訪問數(shù)據(jù)包的內(nèi)容進行實時監(jiān)測，并分析數(shù)據(jù)包的內(nèi)容，對其中攜帶的病毒數(shù)據(jù)進行過濾，降低病毒從互聯(lián)網(wǎng)上傳入的幾率。

另外，通過在邊界上限制會話數(shù)的方式，針對所有的終端均給出會話數(shù)的上限，一旦某臺終端因中毒而導致其發(fā)送大量的掃描數(shù)據(jù)包及會話請求的數(shù)據(jù)包時，系統(tǒng)會判斷其發(fā)送的會話請求數(shù)量，一旦超過閥值，則進行報警，并對其過多的會話請求進行丟棄，保障其他終端的上網(wǎng)需求，以保障出口鏈路的穩(wěn)定性。

4、保障服務器區(qū)域的安全運行

建設入侵防御及攻擊防護系統(tǒng)，對訪問數(shù)據(jù)包進一步解包，在應用層對數(shù)據(jù)內(nèi)容進行分析，并根據(jù)一些特征字來區(qū)別哪些是正常的訪問，哪些是可能有異常行為的訪問，并進行響應，從而在防火墻進行的網(wǎng)絡訪問控制基礎上。

5、實現(xiàn)安全的遠程訪問與接入

建設SSL VPN移動辦公系統(tǒng)，方便校內(nèi)人員在校外隨時隨地的安全遠程接入校園網(wǎng)，訪問校內(nèi)應用系統(tǒng)、電子圖書等數(shù)據(jù)資源。

三、校園網(wǎng)絡安全建設規(guī)劃

根據(jù)以上目標要求，考慮到目前該校的互聯(lián)網(wǎng)出口及服務器區(qū)域設備部署的實際情況，作出以下規(guī)劃：

1、在互聯(lián)網(wǎng)出口部署安全網(wǎng)關設備

將目前互聯(lián)網(wǎng)出口處防火墻設備升級為安全網(wǎng)關，升級后的安全網(wǎng)關可同時實現(xiàn)身份認證、防火墻、攻擊防護、網(wǎng)絡行為管理、病毒防護、SSL VPN功能，部署如下：