高校網(wǎng)絡(luò)安全體系的設(shè)計(jì)與策略分析

鄒麗英

（浙江工業(yè)大學(xué)之江學(xué)院，浙江 杭州310024）

高校網(wǎng)絡(luò)安全體系的設(shè)計(jì)與策略分析

鄒麗英

（浙江工業(yè)大學(xué)之江學(xué)院，浙江 杭州310024）

本文根據(jù)對(duì)校園網(wǎng)絡(luò)的安全分析，提出了在校園網(wǎng)絡(luò)規(guī)劃時(shí)應(yīng)考慮的技術(shù)安全措施，通過(guò)對(duì)這些技術(shù)措施的分析，對(duì)如何選用這些技術(shù)提出了建議。文章還從技術(shù)角度提出了在日常的管理和維護(hù)中應(yīng)采取的網(wǎng)絡(luò)安全措施。

網(wǎng)絡(luò)安全；校園網(wǎng)；策略

校園網(wǎng)絡(luò)作為學(xué)校重要的基礎(chǔ)設(shè)施，在學(xué)校教學(xué)、科研、管理和對(duì)外交流等活動(dòng)中擔(dān)當(dāng)著重要角色。校園網(wǎng)安全狀況直接影響著學(xué)校的各項(xiàng)活動(dòng)。隨著校園網(wǎng)上各種數(shù)據(jù)急劇增加，如何保護(hù)系統(tǒng)不被非法訪問(wèn)就顯得越來(lái)越重要，因此校園網(wǎng)應(yīng)采用先進(jìn)的安全訪問(wèn)控制技術(shù)，構(gòu)造有效的網(wǎng)絡(luò)安全體系。由于網(wǎng)絡(luò)技術(shù)的復(fù)雜性，要想根本解決網(wǎng)絡(luò)安全問(wèn)題幾乎是不可能的，我們不僅要在網(wǎng)絡(luò)的規(guī)劃中將安全問(wèn)題列入設(shè)計(jì)方案，而且要在管理和維護(hù)中將網(wǎng)絡(luò)安全措施落到實(shí)處，這樣才能夠最大限度保障校園網(wǎng)絡(luò)安全。

一、威脅網(wǎng)絡(luò)安全的表現(xiàn)

1．不良信息的傳播

在校園網(wǎng)接入互聯(lián)網(wǎng)后，師生都可以通過(guò)校園網(wǎng)絡(luò)進(jìn)入互聯(lián)網(wǎng)。目前互聯(lián)網(wǎng)上各種信息良莠不齊，有關(guān)色情、暴力、邪教的內(nèi)容泛濫。這些有毒的信息違反人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對(duì)世界觀和人生觀正在形成的學(xué)生來(lái)說(shuō)，危害非常大。如果安全措施不到位，不僅會(huì)有部分學(xué)生進(jìn)入這些網(wǎng)站，還會(huì)把這些信息在校園內(nèi)傳播。

2．病毒的危害

通過(guò)網(wǎng)絡(luò)傳播的病毒無(wú)論是在傳播速度、破壞性還是在傳播范圍等方面都是單機(jī)病毒所不能比擬的。特別是學(xué)校接入廣域網(wǎng)后，為病毒進(jìn)入學(xué)校大開(kāi)方便之門(mén)，下載的程序和電子郵件都可能帶有病毒。

3．非法訪問(wèn)

學(xué)校涉及的機(jī)密不是很多，來(lái)自外部的非法訪問(wèn)要少一些，關(guān)鍵是內(nèi)部的非法訪問(wèn)。一些學(xué)生可能會(huì)通過(guò)非正常的手段獲得習(xí)題的答案，使正常的教學(xué)練習(xí)失去意義。更有甚者，有的學(xué)生可能在考前獲得考試內(nèi)容，嚴(yán)重地破壞了學(xué)校的管理秩序。

4．惡意破壞

包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個(gè)方面的破壞。網(wǎng)絡(luò)設(shè)備包括服務(wù)器、交換機(jī)、集線器、路由器、通信媒體、工作站等，它們分布在整個(gè)校園內(nèi)，管理起來(lái)非常困難，某些人員可能出于各種目的，有意或無(wú)意地將它們損壞，這樣會(huì)造成校園網(wǎng)絡(luò)全部或部分癱瘓。

網(wǎng)絡(luò)系統(tǒng)的破壞是指利用黑客技術(shù)對(duì)校園網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞。表現(xiàn)在以下幾個(gè)方面：對(duì)學(xué)校網(wǎng)站的主頁(yè)面進(jìn)行修改，破壞學(xué)校的形象；向服務(wù)器發(fā)送大量信息使整個(gè)網(wǎng)絡(luò)陷于癱瘓；利用學(xué)校的郵件服務(wù)器轉(zhuǎn)發(fā)各種非法的信息等。

5．口令入侵

為管理和計(jì)費(fèi)的方便，一般來(lái)說(shuō)，學(xué)校為每個(gè)上網(wǎng)的老師和學(xué)生分配一個(gè)賬號(hào)和密碼，并根據(jù)其應(yīng)用范圍，分配相應(yīng)的權(quán)限。然而某些人員為了訪問(wèn)不屬于自己應(yīng)該訪問(wèn)的內(nèi)容或?qū)⑸暇W(wǎng)的費(fèi)用轉(zhuǎn)嫁給他人，用不正常的手段竊取別人的口令，造成管理的混亂。

二、網(wǎng)絡(luò)安全技術(shù)

目前，網(wǎng)絡(luò)安全技術(shù)主要包括殺毒軟件、防火墻技術(shù)、加密技術(shù)、身份驗(yàn)證、存取控制、數(shù)據(jù)的完整性控制和安全協(xié)議等內(nèi)容。針對(duì)校園網(wǎng)來(lái)說(shuō)，筆者認(rèn)為主要應(yīng)該采取以下一些技術(shù)措施：

1．內(nèi)容過(guò)濾器和防火墻

過(guò)濾器技術(shù)可以屏蔽不良的網(wǎng)站，對(duì)網(wǎng)上色情、暴力和邪教等內(nèi)容有強(qiáng)大的堵截功能。

防火墻技術(shù)包含了動(dòng)態(tài)的封包過(guò)濾、應(yīng)用代理服務(wù)、用戶認(rèn)證、網(wǎng)絡(luò)地址轉(zhuǎn)換、IP防假冒、預(yù)警模塊、日志及計(jì)費(fèi)分析等功能，可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開(kāi)來(lái)，保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。

2．VLAN 技術(shù)

采用交換式局域網(wǎng)技術(shù)（ATM或以太交換）的校園網(wǎng)絡(luò)，可以運(yùn)用VLAN技術(shù)來(lái)加強(qiáng)內(nèi)部網(wǎng)絡(luò)管理。VLAN技術(shù)的核心是網(wǎng)絡(luò)分段。根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問(wèn)控制，可以達(dá)到限制用戶非法訪問(wèn)的目的。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層上分為若干網(wǎng)段，各網(wǎng)段相互之間無(wú)法直接通信。邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層上進(jìn)行分段。例如，對(duì)于TCP/IP網(wǎng)絡(luò)，可把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)間必須通過(guò)路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接，利用這些中間設(shè)備（含軟件、硬件）的安全機(jī)制來(lái)控制各子網(wǎng)間的訪問(wèn)。在實(shí)際應(yīng)用過(guò)程中，通常采取物理分段與邏輯分段相結(jié)合的方法。

3．殺毒軟件

選擇合適的網(wǎng)絡(luò)殺毒軟件可以有效地防止病毒在校園網(wǎng)上傳播。它應(yīng)具有以下一些特征：第一，能夠支持所有的主流平臺(tái)，并實(shí)現(xiàn)軟件安裝、升級(jí)、配置的中央管理；第二，要能保護(hù)校園網(wǎng)所有可能的病毒入口，也就是說(shuō)要支持所有可能用到的Internet協(xié)議及郵件系統(tǒng)，能適應(yīng)并且及時(shí)跟上瞬息萬(wàn)變的Internet時(shí)代步伐；第三，具有較強(qiáng)的防護(hù)功能，可以對(duì)數(shù)據(jù)、程序提供有效的保護(hù)。

布置安全措施后的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)婚如圖所示：

三、網(wǎng)絡(luò)安全的管理

以上主要談了在網(wǎng)絡(luò)規(guī)劃時(shí)從技術(shù)上保證網(wǎng)絡(luò)安全的主要措施,然而僅僅采取技術(shù)措施是不夠的，網(wǎng)絡(luò)管理也非常重要。除了建立起一套嚴(yán)格的安全管理規(guī)章制度外，學(xué)校還必須培養(yǎng)一支具有安全管理意識(shí)的網(wǎng)管隊(duì)伍。網(wǎng)絡(luò)管理人員對(duì)所有用戶設(shè)置資源使用權(quán)限與口令，對(duì)用戶名和口令進(jìn)行加密存儲(chǔ)、傳輸，提供完整的用戶使用記錄和分析等方式，有效地保證系統(tǒng)的安全。網(wǎng)管人員要定時(shí)對(duì)校園網(wǎng)系統(tǒng)的安全狀況做出評(píng)估和審核，關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)，調(diào)整相關(guān)安全設(shè)置，進(jìn)行入侵防范，發(fā)出安全公告，緊急修復(fù)系統(tǒng)等。不僅如此，網(wǎng)絡(luò)管理人員更應(yīng)該從技術(shù)角度采取相應(yīng)措施保障網(wǎng)絡(luò)的安全。

網(wǎng)上大部分的攻擊是針對(duì)網(wǎng)絡(luò)上的服務(wù)器系統(tǒng),其中包括電子郵件、匿名 FTP、WWW、DNS、News等服務(wù)系統(tǒng)。 這些系統(tǒng)大都是運(yùn)行在UNIX系統(tǒng)上的，系統(tǒng)之所以易受攻擊，有各方面的因素。首先，這些系統(tǒng)知名度高，容易引起注意，其次，系統(tǒng)本身存在漏洞。我們一方面可采用一些防衛(wèi)性措施；另一方面，網(wǎng)絡(luò)系統(tǒng)管理員可以應(yīng)用一些工具，來(lái)查找系統(tǒng)安全漏洞，或從網(wǎng)上截獲報(bào)文進(jìn)行分析。

1．安裝系統(tǒng)補(bǔ)丁程序

任何操作系統(tǒng)都有漏洞，作為網(wǎng)絡(luò)系統(tǒng)管理員就有責(zé)任及時(shí)將補(bǔ)丁打上。

2．采用最新版本的服務(wù)方軟件

和操作系統(tǒng)一樣，在服務(wù)器上運(yùn)行的服務(wù)方軟件也需要不斷更新，而且新版本的軟件往往提供了更多更好的功能來(lái)保證服務(wù)器更有效更安全的運(yùn)行。為了將安全漏洞降低到最小,系統(tǒng)管理員必須及時(shí)更新服務(wù)方軟件。這些版本更新得非?？?，大家可以跟蹤他們的正式目錄來(lái)獲得最新軟件。

3．口令安全

口令可以說(shuō)是系統(tǒng)的第一道防線，目前網(wǎng)上大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)口令開(kāi)始的，一旦黑客進(jìn)入了系統(tǒng)，那么前面的防衛(wèi)措施幾乎就沒(méi)有作用。所以對(duì)口令進(jìn)行安全地管理可以說(shuō)是系統(tǒng)管理員的重要職責(zé)。

4．文件目錄權(quán)限

一旦有黑客進(jìn)入你的系統(tǒng)，他就可以通過(guò)這些程序獲得超級(jí)用戶權(quán)限。目前Internet上有不少工具軟件可幫助你來(lái)檢查權(quán)限。

5．定期對(duì)服務(wù)器進(jìn)行備份

為了防止不能預(yù)料的系統(tǒng)故障,或用戶不小心的非法操作,必須對(duì)系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的備份外,還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行每周一次的備份。同時(shí)應(yīng)該將修改過(guò)的重要的系統(tǒng)文件存放在不同的服務(wù)器上,以便在系統(tǒng)萬(wàn)一崩潰（通常是硬盤(pán)出錯(cuò)）時(shí)，可以及時(shí)地將系統(tǒng)恢復(fù)到最佳狀態(tài)。

6．設(shè)置系統(tǒng)日志

通過(guò)運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄下所有用戶使用系統(tǒng)的情形，包括最近登錄時(shí)間，輸入過(guò)的每一條命令，磁盤(pán)空間和CPU占用情況。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，你可以知道是否有異常現(xiàn)象。 比如，如果你發(fā)現(xiàn)有某一賬號(hào)總是在半夜登錄，就要警惕了，也許該賬號(hào)已被盜用；如果某一系統(tǒng)賬號(hào)，像uucp有人登錄或占用大量的CPU或磁盤(pán)，也要引起注意。運(yùn)行系統(tǒng)日志的主要缺點(diǎn)是要占用大量的磁盤(pán)空間。

四、用戶教育

除了對(duì)用戶進(jìn)行有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和規(guī)章制度的宣傳教育外，還必須讓用戶知道如何使用密碼、管理文件、收發(fā)郵件和正確地運(yùn)行應(yīng)用程序。對(duì)于非法訪問(wèn)和黑客攻擊事件，一旦發(fā)現(xiàn)要嚴(yán)肅處理。

綜上所述，校園網(wǎng)的安全問(wèn)題是保證校園網(wǎng)絡(luò)穩(wěn)定運(yùn)行的關(guān)鍵因素，在規(guī)劃設(shè)計(jì)階段就要將安全措施作為一項(xiàng)重要內(nèi)容進(jìn)行規(guī)劃設(shè)計(jì)，不但從技術(shù)措施上想辦法，而且要從管理上定制度，只有這樣，才能確保校園網(wǎng)的正常運(yùn)行，享受到校園信息化給我們帶來(lái)的便利。

[1]譚青,李勇．淺晰防火墻與網(wǎng)絡(luò)安全技術(shù)[J].新疆職業(yè)大學(xué)學(xué)報(bào),2004,12(4)：78-79.

[2]譚躍生，黑建新.利用Web Services技術(shù)集成校園網(wǎng)應(yīng)用[J].電子科技大學(xué)學(xué)報(bào)(社科版),2002,4(1):5-7.

[3]夏齡,周德榮,舒濤．校園網(wǎng)絡(luò)的安全及對(duì)策[J].中國(guó)電化教育,2004(10)：85-87.

[4]方東權(quán),楊巋．校園網(wǎng)網(wǎng)絡(luò)安全與管理[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.2005(3):51-52.

[5]趙戈,錢(qián)德沛,范暉.用分布式防火墻構(gòu)造網(wǎng)絡(luò)安全體系[J].計(jì)算機(jī)應(yīng)用研究.2004(2):106-107.

（編輯：隗爽）

TP393.08

A

1673-8454（2010）23-0037-03