淺談高校校園網絡安全管理

【摘 要】本文分析了高校校園計算機網絡面臨的安全風險，將校園網絡按照功能劃分為主機保護區、服務器群保護區、接入層保護區、核心匯聚保護區和網絡邊界保護區五個部分，分別進行相應的風險評估，有針對性地實施安全措施來確保該部分的安全運行，并從管理的角度分析如何保障校園網絡的正常運行。

【關鍵詞】校園網絡 網絡安全 網絡管理

【中圖分類號】G647 【文獻標識碼】A 【文章編號】1674-4810（2015）29-0143-02

高校校園網絡拓撲結構采用比較成熟的分層方式設計，一般由核心層、匯聚層和接入層構成，校園網絡安全管理可以從這三方面去實施，但是考慮到高校校園網絡繁雜的應用和復雜的網絡結構，在此基礎上將校園網絡按照功能分區域劃分，針對每個校園網絡功能區域進行分析，對校園網絡系統的管理和維護是非常有利的。本文將高校校園網絡劃分為主機保護區、服務器群保護區、接入層保護區、核心匯聚保護區和網絡邊界保護區，闡述對其的安全管理措施。

一 主機保護區

主機保護區就是要保證接入校園網絡中的每一個客戶端主機盡可能地不會給校園網絡帶來安全威脅。主機作為校園網絡的接入點，面臨的安全威脅主要是病毒破壞、木馬入侵、網絡協議漏洞攻擊、軟件系統漏洞攻擊、利用缺陷攻擊和非法用戶訪問。

確保主機保護區安全是相當困難的，根源在于主機系統的脆弱性、用戶身份的復雜性以及風險的不確定性。目前針對這些安全威脅采取的主要措施是為主機安裝網絡安全軟件，如防病毒軟件、桌面防火墻軟件、漏洞掃描工具和為相關軟件及時升級打補丁，同時采取嚴格地訪問控制措施，防止非法用戶帶來的風險，盡可能地保證接入主機的安全，同時要求合法用戶提高防范意識，杜絕有風險的操作。

二 服務器群保護區

高校校園網絡的服務器一般集中在核心機房，一般包含學校的門戶網站服務器、VPN服務器以及用于內網的各種應用系統服務器。為了確保這些服務器的安全主要從管理、技術和防范三個方面入手。根據服務器的用途可以分成對校外服務和對校內服務兩個保護區域。對外的服務器保護區放置的服務器相對于應用于校園內網的服務器來說屬于高風險區域，所以必須將對外應用的服務器與校園內網的通信進行控制。另外校園內網中各種應用服務器的安全性也有等級之分，為了防止黑客利用已被入侵的服務器（黑客稱為“肉雞”）來進一步攻擊其他服務器，所以在各服務器之間還必須實施隔離。確保服務器安全應采取的主要措施：（1）將各個服務器用不同的網段進行隔離；（2）端口訪問控制，將不用和有安全隱患的端口關閉；（3）設置隔離緩沖區（DMZ）；（4）服務器安裝并及時升級防病毒軟件；（5）進行常態化的漏洞掃描；（6）對服務器系統及時進行補丁升級；（7）建立日志服務器，專門收集各個網絡設備日志以備事后審計和追溯，定期對日志服務器進行審計，可以及時發現安全風險，及時杜絕安全漏洞。

三 接入層保護區

接入層保護區主要面臨的威脅是接入主機感染的病毒利用二層協議的相關漏洞進行攻擊，如MAC地址泛洪攻擊、ARP欺騙攻擊等。接入層設備直接與用戶的主機相連，如何識別接入主機用戶身份的合法性也是接入層設備在部署和配置時要做的工作。另外校園網絡提供的接入點數量龐大，而且用戶成分不同，可以人為地制造端口環路。因此，確保接入層保護區安全的措施為：（1）在接入交換機中配置接入主機對應的VLAN。（2）在接入交換機中配置接入服務器對應的PVLAN，PVLAN使用了兩層VLAN隔離，只有高層VLAN全局可見，而對底層VLAN隔離。PVLAN保證與默認網關能夠進行通信，隔離連接到一些接口的網絡設備之間通信。不同PVLAN的設備，能夠使用一樣的IP子網。通過PVLAN技術，可以很方便地在相同的VLAN里將不同的服務器進行隔離，這樣服務器群就有了二次隔離帶來的安全保護。所以現在校園網絡對服務器主要的做法就是將各種用途的服務器劃到Isolated VLAN里，而Isolated VLAN可以很好地隔離交換，防止服務器之間的安全隱患。另外，將對外的學校門戶網站服務器劃到Community VLAN里。（3）對接入交換機配置主機端口綁定，防止接入主機物理位置改變以及未經許可接入新的主機設備。（4）采用二次身份認證，一般在dot1x基礎上，再利用特定的認證系統二次認證，確保用戶身份的合法性。（5）對接入交換端口配置接入主機的數量，限制多個用戶主機接入網絡。（6）對接入交換機端口配置防ARP攻擊命令。（7）接入交換機端口環路檢測。

四 核心匯聚保護區

核心匯聚保護區域的設備是整個校園網絡的關鍵節點，在校園網絡中確保所連接的主干網絡高速和穩定地傳輸，并作為校園網絡流量的匯聚中心。核心匯聚設備在控制數據傳輸方面起著重要作用。核心匯聚保護區的安全策略決定了校園網絡的安全體系。核心匯聚保護區安全設計要確保網絡層的通信安全，主要的措施為：（1）通過劃分VLAN，將整個校園網絡劃分出多個不同網段，目的是隔離有風險的廣播數據包，限制二層互訪，縮小廣播域，一方面是防止基于廣播的病毒感染整個校園網絡，比如“熊貓燒香”病毒就是一個基于廣播的病毒，另一方面可以實現某種用途的訪問控制，這樣就能控制VLAN間的數據傳輸，比如辦公段、宿舍區段、校園卡段等；（2）在核心匯聚設備上對各網段間實施訪問控制；（3）根據下連設備用途對核心匯聚設備端口進行綁定；（4）對交換機的IP地址范圍設置管理，防止非法用戶通過對交換機的侵入來實施攻擊；（5）過濾蠕蟲病毒使用的端口，防止各種蠕蟲病毒的掃描和攻擊。

五 網絡邊緣保護區

網絡邊緣保護區所處的位置在校園網絡與外網的銜接處，是校園網絡的出入口，處在整個校園網絡的邊界區域。高校的校園網絡出入口一般有兩個，一個連接中國教育網，另一個則通過互聯網服務提供商（ISP）接入Internet。所以網絡邊緣保護區的物理設備主要的功能一是通過互聯網服務提供商（ISP）接入Internet；二是接入中國教育網；三是聯接學校內網并實現校內資源共享上網；四是發布對外服務器和提供遠程訪問服務。

網絡邊緣保護區直接面臨的就是外部的高風險連接，在這個網絡區域的物理設備既要保證聯接外網又要保證校園網絡正常事務的運行。所以網絡邊緣保護區必須采取的措施是：（1）禁止外部用戶非法訪問校內網絡資源；配置日志服務器，從邊界設備上獲取校園網絡進出的流量記錄。（2）通過NAT轉換，將校園網絡內網IP地址隱藏。（3）根據用戶的需求，有條件地提供安全的遠程訪問服務。（4）部署入侵檢測系統（IDS），雖然入侵檢測系統并不能做到萬無一失，但是在校園網絡管理上是不可或缺的。（5）部署防火墻設備，目前防火墻設備的功能不斷地增加，和UTM設備之間的界線也越來越模糊，除了網絡過濾，還能對數據流量進行監控和記錄。通常防火墻設備一般有數據包過濾防火墻和應用層防火墻。應用層防火墻的安全性比較高，主要能對高層應用進行數據包過濾和識別，但相對數據包過濾防火墻，其運行的速度比較慢，如果校園網絡采用應用層防火墻，會影響校園網絡的整體訪問速度，所以選擇使用數據包過濾技術的防火墻是明智的選擇。（6）配置反向代理服務器，當反向代理服務器受到攻擊，不會讓保存具體網頁數據的服務器受到威脅，從而達到對外服務器的安全，這樣不但能夠提高外網用戶訪問服務器的速度，也為應用系統服務器提供更多的保護。（7）配置審計系統，確保校園網絡用戶身份真實可靠，這是保證校園網絡安全的最基本要求，另外合法的用戶也會有威脅校園網絡安全的行為，所以還需詳細記錄合法用戶對校園網絡資源的訪問行為和訪問信息，便于之后的審計和追溯。

六 其他安全管理措施

校園網絡傳輸線路的安全。校園網絡傳輸線路所經過的物理位置必須遠離具有電磁干擾、輻射干擾等數據信號干擾源，如移動和聯通的信號基站。校園網絡線路的安全傳輸。必須采取相應的檢測手段來減少傳輸線路中數據的偵聽、竊取、QoS下降及欺騙等。

加強網絡維護人員的管理。配置門禁系統、監控系統，增強相關設施的安全保衛，對進入機房的人員進行管理（比如刷校園卡進行管理），建立機房出入記錄日志。

七 結束語

通過拓撲結構將校園網絡劃分為主機保護區、服務器群保護區、接入層保護區、核心匯聚保護區和網絡邊緣保護區五個區域，然后分別根據各保護區的安全需求做出安全防范措施，從而使管理者能夠確保校園網絡的安全運行。

參考文獻

[1]邢西深.校園網網絡安全掃描系統的設計與實現[J].中國電化教育，2006（2）

[2]容強.網絡入侵誘騙技術在高校網絡安全中的研究與實現[J].計算機安全，2009（6）

[3]崔孝林.網絡安全評估系統的設計與實現[D].中國科學技術大學，2009

〔責任編輯：林勁、李婷婷〕