淺析校園網(wǎng)的安全管理

張青蕓

摘 要|隨著校園網(wǎng)應(yīng)用的深入，其安全問(wèn)題越來(lái)越突出，數(shù)據(jù)的安全性和學(xué)校教學(xué)管理活動(dòng)受到了嚴(yán)重威脅。從校園網(wǎng)總體規(guī)劃建設(shè)及校園網(wǎng)的安全隱患的角度出發(fā)，介紹了建設(shè)安全校園網(wǎng)絡(luò)的重要性，通過(guò)理論與實(shí)踐相結(jié)合研究如何落實(shí)校園網(wǎng)絡(luò)安全防范體系，并重點(diǎn)研究網(wǎng)絡(luò)安全策略在校園網(wǎng)中的實(shí)際應(yīng)用。

關(guān)鍵詞|校園網(wǎng);規(guī)劃建設(shè);安全隱患

1?????? 校園網(wǎng)規(guī)劃設(shè)計(jì)的關(guān)鍵特點(diǎn)

（1）系統(tǒng)可靠性與安全性

在系統(tǒng)設(shè)計(jì)中，很重要的一點(diǎn)就是在盡量短的時(shí)間內(nèi)恢復(fù)正常工作，是校園網(wǎng)系統(tǒng)這樣的重點(diǎn)工程所必須考慮的。在設(shè)計(jì)時(shí)對(duì)可靠性的考慮，可以充分減少或消除因意外或事故造成的損失。隨著計(jì)算機(jī)技術(shù)的發(fā)展，尤其是網(wǎng)絡(luò)和網(wǎng)絡(luò)間互聯(lián)的規(guī)模的擴(kuò)大，信息和網(wǎng)絡(luò)的安全性日益受到重視，面臨著是網(wǎng)絡(luò)的可靠性。在外界環(huán)境或內(nèi)部條件發(fā)生突變時(shí)，怎樣使系統(tǒng)保持正常工十分嚴(yán)肅的安全性挑戰(zhàn)。在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，要從內(nèi)部訪問(wèn)控制和外部防火墻兩方面保證校園網(wǎng)系統(tǒng)的安全。

（2）系統(tǒng)的先進(jìn)性

校園網(wǎng)系統(tǒng)處理的信息量是十分龐大的，要求計(jì)算機(jī)網(wǎng)絡(luò)有很高的工作效 率。而且隨著教學(xué)科研任務(wù)的迅速發(fā)展，系統(tǒng)面臨的任務(wù)也愈來(lái)愈艱巨。所以， 設(shè)計(jì)的網(wǎng)絡(luò)在技術(shù)上必須體現(xiàn)高度的先進(jìn)性，技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù) 的高效率，技術(shù)上的先進(jìn)性將保證系統(tǒng)工作的靈活性，技術(shù)上的先進(jìn)性將保證 網(wǎng)絡(luò)的可靠性，技術(shù)上的先進(jìn)性也使系統(tǒng)的擴(kuò)展和維護(hù)變得簡(jiǎn)單。要在網(wǎng)絡(luò)架構(gòu)、硬件設(shè)備、傳輸速率、協(xié)議選擇、內(nèi)外安全控制和虛擬網(wǎng)劃分等各個(gè)方面充分 體現(xiàn)校園網(wǎng)系統(tǒng)的先進(jìn)性。

（3）容易管理和升級(jí)

校園網(wǎng)系統(tǒng)的節(jié)點(diǎn)數(shù)目大，分布范圍廣，通信介質(zhì)多種多樣，采用的網(wǎng)絡(luò)技術(shù)也較先進(jìn)，尤其引入交換式網(wǎng)絡(luò)和虛擬網(wǎng)之后，網(wǎng)絡(luò)的管理任務(wù)會(huì)加重， 如何有效地管理好網(wǎng)絡(luò)，是否充分有效地利用網(wǎng)絡(luò)的系統(tǒng)資源等問(wèn)題顯得至關(guān)重要。要盡量使用圖形化的管理界面和簡(jiǎn)潔的操作方式，提供強(qiáng)大的網(wǎng)絡(luò)管理功能，使網(wǎng)絡(luò)日常的維護(hù)和操作變得直觀、簡(jiǎn)便和高效。

隨著教學(xué)科研的快速發(fā)展，校園網(wǎng)系統(tǒng)面臨的任務(wù)將愈來(lái)愈艱巨，愈來(lái)愈復(fù)雜。為了適應(yīng)變化和日新月異的計(jì)算機(jī)技術(shù)的發(fā)展，校園網(wǎng)的建設(shè)要十分注重可擴(kuò)充性。無(wú)論是網(wǎng)絡(luò)硬件還是系統(tǒng)軟件，都應(yīng)可以方便擴(kuò)充和升級(jí)。

2?????? 校園網(wǎng)的安全隱患

隨著校園網(wǎng)絡(luò)應(yīng)用的深入，校園網(wǎng)絡(luò)的安全問(wèn)題也逐漸突出，直接影響著學(xué)校的教學(xué)、管理、科研等活動(dòng)。下文將對(duì)目前校園網(wǎng)絡(luò)的安全隱患進(jìn)行分析。

2.1?? 網(wǎng)絡(luò)部件的安全隱患

（1）?????? 系統(tǒng)的易被監(jiān)控性、薄弱的認(rèn)證環(huán)節(jié)、局域網(wǎng)服務(wù)的缺陷和系統(tǒng)主機(jī)復(fù)雜的設(shè)置與控制，使得計(jì)算機(jī)網(wǎng)絡(luò)容易遭受威脅和攻擊。

（2）?????? 網(wǎng)絡(luò)端口、傳輸線路和處理機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄漏。目前，大多數(shù)機(jī)房屏蔽和防輻射設(shè)施都不健全，通信線路也同樣容易出現(xiàn)信息泄露。

（3）?????? 非法分子通過(guò)技術(shù)滲透侵入網(wǎng)絡(luò)，非法使用、破壞或獲取數(shù)據(jù)及系統(tǒng)資源。目前的網(wǎng)絡(luò)系統(tǒng)大都采用口令來(lái)防止非法訪問(wèn)，一旦口令被竊，網(wǎng)絡(luò)很容易被侵入。

（4）?????? 隨著信息傳遞量的不斷增加，傳遞數(shù)據(jù)的密級(jí)也不斷提高，犯罪分子為了獲取大量情報(bào)，采用監(jiān)聽通信線路的手段，非法接收信息。

2.2?? 軟件的安全隱患

（1）?????? 網(wǎng)絡(luò)軟件的漏洞及缺陷被利用，能對(duì)網(wǎng)絡(luò)進(jìn)行入侵和損壞。如網(wǎng)絡(luò)軟件安全功能不健全;應(yīng)加以安全措施的軟件未予標(biāo)識(shí)和保護(hù)，要害的軟件沒(méi)有 安全措施;錯(cuò)誤地進(jìn)行路由選擇，為一個(gè)用戶與另一個(gè)用戶之間通信選擇不合 適的路徑;拒絕服務(wù)、中斷或妨礙通信，延誤對(duì)時(shí)間要求較高的操作和信息重播。

（2）?????? 黑客采用種種手段，對(duì)網(wǎng)絡(luò)及其計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，侵占系統(tǒng)資源或?qū)W(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備進(jìn)行破壞、竊取或破壞數(shù)據(jù)和信息等。

（3）?????? 校園網(wǎng)內(nèi)部用戶的計(jì)算機(jī)技術(shù)素質(zhì)較低，管理維護(hù)技術(shù)滯后，導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)病毒木馬泛濫，病毒木馬以多種方式侵入網(wǎng)絡(luò)并不斷繁殖，然后傳播到網(wǎng)上的其它計(jì)算機(jī)來(lái)攻擊和破壞系統(tǒng)，甚至可能導(dǎo)致網(wǎng)絡(luò)癱瘓。

2.3?? 網(wǎng)絡(luò)管理人員的安全隱患

（1）保密觀念不強(qiáng)或不懂保密規(guī)則，隨便向無(wú)關(guān)人員泄露機(jī)密信息。

（2）專業(yè)素質(zhì)和技術(shù)水平差，業(yè)務(wù)不熟練，不能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患并采取相應(yīng)措施。

（3）缺乏責(zé)任心，沒(méi)有良好的工作態(tài)度，訪問(wèn)權(quán)限管理混亂。

3?????? 校園網(wǎng)的安全解決策略

3.1?? 建立良好的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

合理地劃分 VLAN 校園網(wǎng)絡(luò)至少要采用兩級(jí)結(jié)構(gòu)：主干網(wǎng)和子網(wǎng)。校園網(wǎng)的主干采用成熟的 1000 M快速以太網(wǎng)，在校園網(wǎng)絡(luò)中心機(jī)房設(shè)有一個(gè)總的出口（代理服務(wù)器）訪問(wèn)互聯(lián)網(wǎng)，提供認(rèn)證系統(tǒng)，所有進(jìn)出校園網(wǎng)的數(shù)據(jù)都需要通過(guò)此出口檢測(cè)過(guò)濾。由網(wǎng)絡(luò)中心用光纖連到各座大樓的分節(jié)點(diǎn)，再經(jīng)分節(jié)點(diǎn)的交換機(jī)連接到大樓的各個(gè)用戶。這種配置結(jié)構(gòu)既保證了主干網(wǎng)信息可靠、高速、無(wú)瓶頸地傳輸，又為用戶計(jì)算機(jī)接入提供了靈活、方便的手段。

同時(shí)將校園網(wǎng)劃分為若干虛擬局域網(wǎng)，虛擬局域網(wǎng)可不受設(shè)備物理位置的限制，靈活性較大。校園網(wǎng)按網(wǎng)絡(luò)功能劃分為：接入網(wǎng)部分和內(nèi)部局域網(wǎng)部分。內(nèi)部局域網(wǎng)又按數(shù)據(jù)交換能力分為：核心層、匯聚層和接入層。將各種主要服務(wù)器（WEB、MAIL、FTP 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等）放在一個(gè)虛擬網(wǎng)內(nèi)，這樣便于管理、維護(hù)，同時(shí)也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性。另外劃分一個(gè)教學(xué)管理子網(wǎng)，方便教師進(jìn)行管理和教學(xué);其余虛擬子網(wǎng)可按教務(wù)管理系統(tǒng)、圖書館系統(tǒng)、辦公管理系統(tǒng)、多媒體網(wǎng)上教學(xué)系統(tǒng)等劃分。

3.2?? 優(yōu)化網(wǎng)絡(luò)平臺(tái)，減少外部入侵

網(wǎng)絡(luò)平臺(tái)是校園網(wǎng)軟件運(yùn)行的物理平臺(tái)，是整個(gè)網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，因此對(duì)網(wǎng)絡(luò)安全的第一步需要是對(duì)現(xiàn)有的網(wǎng)絡(luò)平臺(tái)進(jìn)行改造和優(yōu)化，利用防火墻控制網(wǎng)絡(luò)內(nèi)部的訪問(wèn)權(quán)限，由目前開放式的結(jié)構(gòu)向有條件開放式的網(wǎng)絡(luò)結(jié)構(gòu)轉(zhuǎn)變。具體可采取以下措施。

（1）?????? 應(yīng)用防火墻技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全域的劃分與隔離控制。為保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)的干擾，對(duì)所有的外部網(wǎng)絡(luò)接口用防火墻進(jìn)行隔離，對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，防止病毒和黑客的攻擊;

（2）?????? 基于 VLAN 和 VPN 的信息保護(hù)和通訊保密。根據(jù)校園內(nèi)部網(wǎng)絡(luò)與信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求，在校園網(wǎng)內(nèi)部，在各部門的交換機(jī)上設(shè)置 VLAN，同時(shí)對(duì)連接國(guó)家教育科研網(wǎng)的線路采用 VPN 方式進(jìn)行加密，保障數(shù)據(jù)安全;

（3）?????? 對(duì)外部網(wǎng)絡(luò)出口進(jìn)行統(tǒng)一管理。加強(qiáng)對(duì)所有的外部出口進(jìn)行嚴(yán)格管理，對(duì)所有出口加裝防火墻，以最小權(quán)限方式控制出入的數(shù)據(jù)包，利用入侵檢測(cè)系統(tǒng)等安全防護(hù)軟件保留外部網(wǎng)絡(luò)訪問(wèn)日志，并定期分析訪問(wèn)日志，及時(shí)掌握外網(wǎng)訪問(wèn)情況。

3.3?? 保證網(wǎng)絡(luò)中硬件系統(tǒng)的物理安全

校園網(wǎng)安全首先要保證網(wǎng)絡(luò)硬件系統(tǒng)的物理安全，它包括多方面的內(nèi)容。

（1）?????? 防盜。主機(jī)、內(nèi)存條、CPU 等被盜的事件在學(xué)校里時(shí)有發(fā)生。為此， 要采取對(duì)應(yīng)的措施，如在機(jī)房窗戶安裝防盜網(wǎng)、給機(jī)箱上鎖、實(shí)行機(jī)房所在大樓 24 小時(shí)值班制度和舉報(bào)獎(jiǎng)勵(lì)制度等。

（2）?????? 防火。機(jī)房發(fā)生火災(zāi)一般是由于電氣原因、人為事故引起的。因此， 機(jī)房均應(yīng)采用防靜電地板，通過(guò)接地泄放靜電荷;禁止在機(jī)房抽煙;安裝感溫自動(dòng)報(bào)警裝置和惰性氣體自動(dòng)滅火裝置等。

（3）防雷擊。一般做法是在樓頂設(shè)置避雷針、避雷帶以防止雷擊。

（4）防停電。在機(jī)房里添加不間斷電源 UPS，附設(shè)一定的直流電池組作為后備電源，即可保證供電。

3.4?? 制定切實(shí)可行的網(wǎng)絡(luò)安全管理制度

這是解決網(wǎng)絡(luò)安全問(wèn)題的所有對(duì)策中最重要的一點(diǎn)，主要包括以下幾方面的內(nèi)容。

（1）建立一個(gè)高度權(quán)威的信息安全管理機(jī)構(gòu)，并不斷強(qiáng)化其權(quán)限和職能;

（2）制定統(tǒng)管全局的網(wǎng)絡(luò)信息安全規(guī)章，做到有章可循、有章可依;

（3）制定網(wǎng)絡(luò)管理員崗位工作制度和激勵(lì)制度，規(guī)范他們的工作行為，并促使他們提高工作熱情，加強(qiáng)工作責(zé)任心，專心于校園網(wǎng)絡(luò)管理工作;

（4）加強(qiáng)對(duì)網(wǎng)絡(luò)管理員的專業(yè)知識(shí)和技能培訓(xùn);

（5）把網(wǎng)絡(luò)信息安全的基本知識(shí)納入學(xué)校各專業(yè)教育之中;

（6）對(duì)學(xué)校教師和其他人員進(jìn)行信息安全知識(shí)普及教育;

（7）在學(xué)校的網(wǎng)站設(shè)立網(wǎng)絡(luò)安全信息發(fā)布欄目，發(fā)布網(wǎng)絡(luò)法令法規(guī)、網(wǎng)絡(luò)病毒公告、系統(tǒng)更新、補(bǔ)丁公告等，并提供常用軟件的下載。

3.5?? 采用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)

（1）運(yùn)用網(wǎng)絡(luò)入侵檢測(cè)

入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的 入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。根據(jù)校園網(wǎng)絡(luò)的特點(diǎn)，可 以采用相應(yīng)入侵檢測(cè)系統(tǒng)，如瑞星 RIDS-100，對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè)，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。入 侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng) 之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫(kù)，使用模式匹配和智能分析的方法， 檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件，作為網(wǎng) 絡(luò)管理員事后分析的依據(jù);如果情況嚴(yán)重，入侵檢測(cè)系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警， 使得學(xué)校管理員能夠及時(shí)采取應(yīng)對(duì)措施。

（2）運(yùn)用防火墻技術(shù)

它可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過(guò)，同時(shí)將安全策略不允許的用戶和數(shù)據(jù)包隔斷，達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、阻止墻外黑客的攻擊、限制入侵蔓延等目的。根據(jù)防火墻的位置，可以分為外部防火墻和內(nèi)部防火墻。外部防火墻將校園網(wǎng)與外部因特網(wǎng)隔離開來(lái)。防火墻并不是萬(wàn)能的， 它在很多方面存在弱點(diǎn)。它無(wú)法防止來(lái)自防火墻內(nèi)側(cè)的攻擊，對(duì)各種已識(shí)別類型的攻擊的防御有賴于正確的配置，對(duì)各種最新的攻擊類型的防御取決于防火墻知識(shí)庫(kù)更新的速度和相應(yīng)的配置更新的速度。

（3）網(wǎng)絡(luò)殺毒軟件

選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的 Windows 2003 服務(wù)器，安裝一個(gè)網(wǎng)絡(luò)版殺毒軟件系統(tǒng)中心，負(fù)責(zé)管理校園網(wǎng)內(nèi)所有主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。在各主機(jī)節(jié)點(diǎn)分別安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。安裝完殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒(méi)有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。網(wǎng)絡(luò)中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級(jí)工作。為了安全和管理的方便起見(jiàn)，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到殺毒軟件網(wǎng)站上獲取最新的升級(jí)文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將最新的升級(jí)文件分發(fā)到其它各個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動(dòng)對(duì)網(wǎng)絡(luò)版殺毒軟件進(jìn)行更新。

（4）運(yùn)用 VLAN 技術(shù)

采用交換式局域網(wǎng)技術(shù)（ATM 或以太交換）的校園網(wǎng)絡(luò)，可以用 VLAN 技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN 技術(shù)的核心是網(wǎng)絡(luò)分段，根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶非法訪問(wèn)的目的。

4?????? 小結(jié)

校園網(wǎng)通過(guò)采用上述的網(wǎng)絡(luò)安全策略以及網(wǎng)絡(luò)安全技術(shù)，有了較高的安全系數(shù)，但并不能保證校園網(wǎng)是絕對(duì)安全的。因?yàn)橛绊懶@網(wǎng)的安全因素在不斷地變化，黑客與病毒的攻擊方式在不斷地更新。為此，要確保校園網(wǎng)絡(luò)的安全就只有根據(jù)實(shí)際情況，在網(wǎng)絡(luò)安全技術(shù)上采用最新的技術(shù)成果，并及時(shí)調(diào)整網(wǎng)絡(luò)安全策略，不斷地加強(qiáng)安全管理，才能使我們的網(wǎng)絡(luò)具有更高的安全性和可靠性。

參考文獻(xiàn)

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2003.

[2]查貴庭.校園網(wǎng)安全威脅及安全系統(tǒng)構(gòu)建[J].計(jì)算機(jī)應(yīng)用研究，2005

（3）.

[3]袁海燕.淺談網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技 術(shù)，2006（5）.

Analysis of Campus Network Security Management

Zhang Qingyun

Jianghan University， Wuhan

Abstract： With the deepening of campus network application， its security problem is more and more prominent， the security of data and school teaching management activities have been seriously threatened. From the perspective of the overall planning and construction of the campus network and the security risks of the campus network， this paper introduces the importance of building a safe campus network， and studies how to implement the campus network security prevention system through the combination of theory and practice， and focuses on the practical application of network security strategy in the campus network.

Key words： Campus network; Planning and construction; Safety hazards