高校網絡運維管理與安全討論

周健飛

摘 要：隨著高校網絡在高校教育信息化建設中的作用日益提高，各種依賴校園網的應用大量出現，高校網絡的運行維護管理和安全問題也逐漸暴露出來，并且嚴重影響了高校信息化建設的進程。文章在當前的網絡安全大環境下分析了高校網絡的現狀和存在的問題，并提出了從管理制度、思想意識、技術手段等多方面解決問題的思路和策略。

關鍵詞：高校網絡；運維管理；網絡安全；流量控制

中圖分類號：TP393.18 文獻標識碼：A 文章編號：1006-8937（2014）11-0070-02

1 背景

2014年是中國接入國際互聯網20周年，據中國互聯網網絡信息中心發布的報告，截止2013年底，中國網民規模突破6億，國內域名總數1 844萬個，網站近400萬家，全球十大互聯網企業中我國有3家，中國已是名副其實的“網絡大國”。2014年2月27日，中央網絡安全和信息化領導小組宣告成立，中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長，顯示出中國最高層在保障網絡安全、維護國家利益、推動信息化發展的決心。

作為網絡的重要組成部分，高校網絡在我國教育信息化工程的建設中的作用越來越重要，已經成為高校的一個重要組成部分，極大地促進了高校的發展。高校的教學、科研以及學校的行政工作等對校園網的依賴也日益增強，但隨著校園網用戶爆炸式的增長，以及各種Web應用系統的投入使用，高校整體網絡對安全穩定、運營效率和管理等方面的要求也越來越高，高校網絡的運維管理和安全問題也逐漸突出。

2 問題分析

2.1 高校網絡的特點

高校網絡在建設中呈現出兩大特點：一方面，隨著高校學生數量增多、信息化教學的要求增多，高校網絡建設的終端節點數量迅速攀升，網絡規模也不斷擴大，這要求高校網絡的數據傳輸能力也要隨之增強，因此高效運行是高校網絡的最基本要求；另一方面，高校網絡在實現高效運行的同時，管理工作不可或缺，以保證網絡安全穩定運行，確保校園網的整體運營。特別是各高校目前都已基本實現學生的實名認證并計費上網，對于龐大的學生用戶群體，如何滿足復雜的網絡需求，保證網絡的安全穩定則是需要重點考慮的問題。因此，建設高校網絡除了要保證高效、安全穩定的運行，還要實現靈活的認證計費和有效的管理。

2.2 高校網絡的現狀

2.2.1 網絡安全意識淡薄，管理制度不健全

在發生的網絡安全問題中，有些是由于管理制度不健全、管理人員的安全意識不強等造成的。一些網絡管理人員平時不注意對網絡系統的安全檢測、病毒的防治，對交換機、服務器等網絡設備沒有做定期的維護，這些都很容易造成病毒的廣泛傳播，并給一些黑客造成可乘之機。而高校的網絡用戶，大部分都是非計算機專業人員，他們的計算機知識比較缺乏，對網絡信息安全防范意識較為薄弱，對威脅信息安全的內容認知和識別能力較差，難于防范。在網絡管理制度未完善的情況下，一旦發生網絡安全狀況，將無法得到及時響應，網絡系統在短時間內也無法得到及時處理，最終導致更嚴重的后果。

2.2.2 技術存在漏洞或缺陷

高校網絡環境復雜，信息點眾多，在局域網內運行的Web應用程序豐富多樣，并且還要區分教學辦公區和學生宿舍區兩大局域網，所以在設計網絡拓撲結構時就必須從整體規劃。很多高校早期建設的校園網絡，受資金和技術的限制，只是簡單的在內部校園網和外部互聯網之間加了一個防火墻，甚至直接連到互聯網，沒有做任何安全措施、流量控制及路由策略。那么隨著高校信息化建設不斷推進，學校內部龐大的內網資源就完全暴露在互聯網中，存在極大的安全隱患，并且隨著高校網絡用戶的活躍，網絡帶寬會很快耗盡，用戶的上網體驗也越來越差，對于接入網絡用戶的管理也越來越困難。

2.2.3 網路出口鏈路單一

目前我國的三家主要的網絡運營商電信、聯通和移動之間的網絡互聯互通問題始終沒得得到解決，而在早期高校網絡的建設中，往往只有一家網絡運營商參與其中，那么對于高校網絡用戶來說，互聯網資源可能會出現無法訪問的情況。并且更大的風險是一旦網絡出口鏈路出現物理損壞，例如網絡出口光纖被破壞，那么高校內所有網絡用戶將無法訪問互聯網。

3 高校網絡運維管理策略

3.1 建立完善的高校網絡管理制度

高校要成立網絡安全管理部門，明確網絡安全負責人、網絡安全管理員及計算機系統安全管理員，建立安全事件的報告和處理渠道。并且要制定網絡和機房的管理規劃，做好日常網絡維護工作，做好系統安全日志記錄，并對日志進行定期的分析檢查，遇到網絡安全事件要采取果斷的技施，并及時地上報。另外，還要對全校的網絡用戶進行網絡安全管理教育，簽訂用戶責任書，加強網絡安全意識。

3.2 通過技術手段，提高網絡利用率

3.2.1 網絡結構整體規劃

首先必須從高校整體結構上規劃網絡，劃分出兩大功能區域：教學行政區和學生生活區，然后分別在兩大區域里做具體細化，例如教學行政區里再細化出教學樓、行政辦公樓、實訓樓、圖書館等，在學生生活區細化出學生食堂、每棟學生宿舍樓、學生活動中心等。每個樓棟之間劃分VLAN隔離，各自通過匯聚交換機連接到中心機房，同時，在中心機房設置流量控制、防火墻、用戶身份認證、上網行為管理等系統，再通過出口網關設備連接到互聯網。

3.2.2 流量控制與負載均衡

首先保障關鍵應用帶寬，例如高校網站、校園一卡通服務、OA辦公系統等應用服務。然后分別建立網絡通道，根據學校所購買的運營商帶寬，配合時間段設置，在相應的網絡通道中規劃流量策略。例如上班時段，將宿舍區網絡帶寬適當降低，將閑置的帶寬放到教學行政區域的網絡通道，而在下班時段，則相反操作。全局上，對P2P、視頻等高帶寬應用做流量限制，對單個用戶，作最大帶寬限制，并按網絡上下行分別做限制，合理控制網絡會話數，阻止網絡的異常行為。

將高校網絡用戶的認證計費放到接入層交換機處理，這樣能在最大程度上做到分布認證，提高認證效率，有效減少每棟樓匯聚層交換機的負擔，夠對接入網絡的用戶實行全面、有效、完整的控制，為大規模的用戶認證計費提供保障和技術基礎。

3.2.3 引入多家網絡運營商，采用策略路由

為了提高網絡鏈路的質量，加強網絡鏈路的抗風險能力，須引入多家網絡運營商。在網絡規劃時，將各家運營商提供的線路帶寬合理分配，使用策略路由和智能DNS等技術，不僅讓外部網絡訪問高校的線路智能切換，還讓高校內部用戶向互聯網的訪問智能識別運營商線路，達到最快速度訪問，規避運營商之間互聯互通的問題。并且一旦發生某家運營商線路的物理損壞中斷，備用網絡線路將立即被啟用，高校與外部互聯網的連接始終保持通暢。

4 結 語

隨著教育信息化的不斷發展，校園網網絡將日益成為高校日常教學、教研和管理工作必不可缺的基礎設施。要構建高校網絡系統的安全體系，做好網絡運維管理，首先必須認清網絡的脆弱性和潛在威脅，建立完整的高校信息系統安全管理制度，再配合流量控制、策略路由、身份認證，上網行為管理等相關技術手段，讓高校網絡在高校信息化建設中發揮更大的價值。

參考文獻：

[1] 李可.大學校園網絡運維體系研究[J].網絡安全技術與應用，2014，（1）.