校園網安全風險分析及安全策略

劉小飛，黃斯堯，劉洲洲

（1陜西交通職業技術學院 陜西 西安 710018；2.北京中交路橋南方工程有限公司 北京 100081）

隨著互聯網絡技術日新月異發展，校園網絡已經成為高校教學、科研、管理、后勤等工作的重要支撐手段，校園網能否在穩定安全的環境下運行直接影響著學校的各個業務的有序進行，因此，分析校園網存在的安全風險以及制定安全策略具有很強的現實意義，本文將從物理、系統、應用、管理等方面進行分析闡述。

1 校園網安全風險分析

隨著校園網絡的建設和網絡應用的擴大，網絡安全風險也變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統和主機，引起大范圍的癱瘓和損失；另外，加上一些人缺乏安全控制機制和對網絡安全政策及防護意識的認識不足，這些風險可謂日益加重。這些風險由多種因素引起，與網絡系統結構和系統的應用等因素密切相關。下面從物理安全、系統安全、應用安全及管理安全等方面進行分類描述：

1)物理安全風險分析

物理安全是整個網絡系統安全的前提。物理安全的風險主要有：

①地震、水災、火災等環境事故造成整個系統毀滅；

②電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失；

③設備被盜、被毀造成數據丟失或信息泄漏；

④電磁輻射可能造成數據信息被竊取或偷閱；

⑤報警系統的設計不足可能造成原本可以防止但實際發生了的事故。

2)系統的安全風險分析

系統安全通常是指網絡操作系統、網絡設備的安全。對一個網絡系統而言，操作系統或應用系統存在不安全因素。將是黑客攻擊得手的關鍵因素。我們都知道，就目前的操作系統或應用系統來說，無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統，都存在著BUG，據統計，在一個1000行程序將有一個BUG，而像Windows 2000操作系統約有三千五百萬行至五千萬行，其存在多少BUG？而這些BUG都意味著重大安全隱患，可想而知其安全性如何？但是從實際應用上，系統的安全程度與對其是否進行安全配置及系統的應用面有很大關系，操作系統如果沒有采用相應的安全配置，則其是漏洞百出，掌握一般攻擊技術的人都可能入侵得手。因此應正確評估自己的網絡風險并根據自己的網絡風險大小做出相應的安全解決方案。

3)應用的安全風險分析

應用的安全涉及很多方面。應用是動態的。應用的安全性也是動態的。這就需要我們對不同的應用，采取相應的安全措施，降低應用的安全風險。

①盜版介質使用安全；

②電子郵件應用安全；

③網上瀏覽應用安全；

④網上應用的安全。

4)管理的安全風險分析

內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。

機房重地如果沒有任何限制，任何人都可以進出。存有惡意的入侵者便有機會得到入侵的條件。

內部工作人員沒有按一定的安全操作規程，因人為的誤操作而帶來安全風險。

內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑，甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡帶來極大的安全風險。

內部員工在未經允許在內部網上做攻擊測試，而導致內部網重要信息丟失或者損壞。

管理是網絡安全得到保證的重要組成部分，責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

2 安全需求分析

通過對網絡結構、網絡安全風險分析，采取必要的手段解決網絡安全問題勢在必行。針對不同安全風險提出相應的安全需求，及系統要實現的安全策略。

1)物理上安全需求

在物理安全上主要考慮如下幾個方面：

①機房場地按照國家相關的規定和要求進行設計和建設；

②考慮安裝防盜裝置、報警裝置；

③備份重要設備。如：對重要網絡設備及網絡線路進行備份，對重要服務器進行備份等。

2)訪問控制需求

在訪問控制上需要考慮對以下及方面的需求：

①非法用戶非法訪問控制；

②合法用戶非授權訪問控制；

③假冒合法用戶非法訪問控制；

④認證鑒別需求；

⑤入侵檢測/防御需求；

⑥安全評估需求；

⑦病毒防護需求；

⑧安全管理需求；

⑨安全服務。

3 校園網的安全策略

3.1 網絡設備物理安全策略

網絡設備采用防雷擊設計，并進行了良好的風扇設計，保證設備的在惡劣的環境中仍然能夠正常運轉。

網絡設備還要有完善的自檢功能，能夠對內存、CPU、總線、轉發芯片等等硬件進行檢查，保證每次開機各個方面硬件的良好運轉。在高端設備還有后臺的硬件檢控任務，檢控CPU、風扇、機箱溫度等等，進行信息記錄，在異常的時候給予閃燈、發警告信息等多種報警。以上機制再加上冗余電源、冗余主控、冗余風扇等方法充分保障了設備運轉的物理安全。

3.2 網絡安全策略

1）二層轉發協議安全策略

①針對ARP的欺騙的安全策略

一方面通過校園網認證系統的IP+MAC+端口+vlan的多重綁定使PC在接入網絡時一定是正確的IP和Mac，而安裝在PC上的802.1x認證客戶端可以保證在PC接入網絡后進行IP或Mac修改時，及時的切斷PC和網絡的連接，保證錯誤的IP/Mac信息不被發布到網絡上。

另外目前主流接入交換機上還有一套非法ARP阻斷命令，通過此命令可以有效的從硬件轉發層次，阻斷搶占網關IP的非法ARP包進入網絡。這就從根本上切斷了搶占網關IP的安全威脅。同時此功能還提供計數和報警功能，可以及時的將發送非法ARP的PC找出來通知網管。

②對私建DHCP的安全策略

校園身份認證系統安裝在PC上的802.1x客戶端會自動監測PC上是否啟用了DHCP服務，一旦發現非法私建DHCP服務，那么客戶端程序將馬上切斷PC與網絡的連接。

另外接入交換機上啟用DHCPSnooping功能，可以監聽DHCP協議報文，并且設置DHCP協議的信任端口。一旦發現在非信任端口接受到DHCP服務器報文，那么將馬上向網管進行報警，同時可以根據預定策略將此端口的連接切斷

③對虛假STP欺騙的安全策略

交換機上支持在端口下設置對STP協議的信任屬性，從而避免虛假STP對交換機拓樸計算造成影響。

④對設備CPU攻擊的安全策略

網絡設備自身采用了獨特的CPU保護機制，對各種協議包根據優先級進行隊列設置，對收包進行優化，保證CPU不會被虛假的信息所淹沒，始終可以進行正常的協議運轉。

⑤對非法用戶接入的安全策略

用戶認證系統的IP+Mac+Vlan+端口+交換機IP的多信息綁定模式，再加上Dot1x客戶端對克隆PC和代理的檢查，確保了非法用戶無法接入校園網。

2）三層轉發協議安全策略

①錯誤路由信息的安全策略

目前主流網絡產品可以完整實現RIP、OSPF、BGP等路由協議的安全選項，非法的路由信息無法通告MD5加密檢查，確保網絡路由信息的安全

②非法組播的安全控制

校園網中的安全策略組播技術，可以對源和目的進行安全控制，完整實現了在接入層網絡中應用了基于IGMP源端口和目的端口檢查技術，可以完全限制合法組播在網絡中的穩定傳輸，有效控制組播建立的整個過程，保障了正常合法的組播應用的穩定運行；同時DCSCM可與AAA系統聯動實現業務控制。

3）網絡管理功能安全策略

網絡產品支持的SSH和SNMPv3協議，是對telnet和SNMPv1/v2的安全升級，傳輸的數據完全加密，從而避免了被監聽竊取密碼的可能。網絡設備的Web服務支持安全策略的cookie機制，避免用戶盜竊管理頁面的URL地址繞過登錄流程直接對設備進行管理。telnet、SNMP和Web均有對網管原IP進行檢查的功能，確保只有專門的網管設備可以訪問控制交換機。

對于登錄密碼檢查，可以在本地，也可以在遠端Radius服務器。這樣方便進行密碼管理，可以隨時變換全網的登錄密碼，提供有力的安全保障。

4）網絡出口邊界安全策略

校園網出口需要互聯網接入，而互聯網是絕大多數安全風險的來源，因此網絡出口邊界安全非常重要，目前NGFW下一代防火墻技術的出現，比較好的解決了校園網出口安全的問題。NGFW采用了先進的硬件技術—比如64位多核網絡處理器技術，能夠在一個硬件平臺上實現多數出口安全需求，比如防火墻包過濾、防病毒、IPS入侵防御、抗DoS攻擊、流量控制等。

3.3 應用安全策略

應用安全是網絡安全領域中的非常廣泛的一個領域，涵蓋內容非常多，不過對于高校校園網來說，應用安全更多的偏重于病毒防范、WEB安全、安全審計幾個方面。

通過部署網絡版防病毒軟件可以有效抵御病毒、木馬等的攻擊，保證主機及網絡的安全。另外多個權威部門統計，WEB服務器是互聯網中最容易遭受攻擊的對象，因此近幾年來WEB安全越來越得到用戶的重視，從網頁防篡改軟件到WEB應用安全網關，安全手段也是層出不窮。目前多數高校都通過部署WEB應用安全網關，對校園網站甚至重要的基于WEB的應用系統進行防護，WEB應用安全網關主要針對HTTP服務進行防護，包括WEB漏掃、敏感信息防泄漏、網頁防篡改等功能。

校園網的應用安全另外一方面就是出口安全審計，這也是公安部82號令中明確要求的內容。通過旁路或者串行部署上網安全審計設備，對校園網用戶上網行為進行監控、控制、管理等，避免非法信息上傳或下載。

4 結論

通過對校園網的安全風險及安全需求的分析，針對物理層、網絡層、應用層等不同層次需要不同的安全策略，安全策略的實施也需要相關的制度、人員和設備支撐，而且用戶的安全意識、安全管理員的能力尤其重要，純粹依賴安全設備是不能達到安全目的的。此外校園網安全雖然重要，但網絡安全并不能一蹴而就，也不能盲目建設，因為安全與投資、網絡性能、以及用戶使用便利等多個因素成反比，過多強調安全適得其反。因此針對不同學校，具體的需求和應用情況還需要單獨分析，制定的安全需求及安全策略以及安全防護手段都要符合學校的實際情況。

[1]Larry L.Peterson;Bruce S.Davie.計算機網絡—系統方法[M].4版.薛靜鋒，等譯.機械工業出版社,2009.

[2]William Stallings.密碼編碼學與網絡安全-原理與實踐[M].4版.孟慶樹，譯.北京：電子工業出版社,2006.

[3]劉兵.計算機網絡實驗教程[M].北京：中國水利水電出版社，2005.

[4]李萌.校園網安全分析及安全防范[J].電腦學習,2010(1)：55,58.LI Meng.Security analysis and safety precautions of compus network[J].Computer Study,2010(1)：55,58.

[5]董永峰.校園網安全問題及對策研究 [J].新疆大學學報,2010,27(4)：45-51.DONGYong-feng.Research on campus computer network security issues and solutions[J].Journal of Xinjiang University,2010,27(4)：45-51.

[6]祝艷茹.校園網基本網絡搭建及網絡安全設計分析[J].中國科技教育,2011(3)：35-36.ZHU Yan-ru.Analysis of basic network base and network security design of campus network [J].China Science&Technology Education,2011(3):35-36.