職業(yè)院校校園網(wǎng)安全體系的構(gòu)建與維護

黎 明

(肇慶科技職業(yè)技術(shù)學院信息工程系，廣東肇慶 526020)

0 引 言

為進一步貫徹落實國家和省市關(guān)于“以教育信息化，促進教育現(xiàn)代化”的戰(zhàn)略指導思想，全面促進職業(yè)教育的全面改革和提高整體辦學水平。在教育信息化已成為當代學校發(fā)展主流的今天，構(gòu)建一個信息化校園對于院校的可持續(xù)性發(fā)展具有重要意義。而校園網(wǎng)作為重要的數(shù)字化信息傳輸載體和思想政治教育的重要平臺，在學校數(shù)字信息化建設(shè)中起著決定性的地位。伴隨著互聯(lián)網(wǎng)的日益普及和網(wǎng)絡的不斷發(fā)展，網(wǎng)絡信息資源的安全受到越來越多的關(guān)注。而校園網(wǎng)作為網(wǎng)絡技術(shù)應用于教育事業(yè)的一種體現(xiàn)，也面臨諸多的安全性問題[1]。職業(yè)教育在我國的起步比較晚，導致大部分職業(yè)院校的校園信息化建設(shè)仍處于比較低的階段。盡管隨著近幾年職業(yè)教育的高速發(fā)展，職業(yè)院校也紛紛加大了對校園網(wǎng)建設(shè)的投入，但是一個完善的校園網(wǎng)整體安全防范體系的建立并非一日之功。而最近發(fā)展過快導致的安全事件頻發(fā)，使職業(yè)院校校園網(wǎng)安全問題也再次顯現(xiàn)出重要性。

1 校園網(wǎng)現(xiàn)狀分析及隱患

1.1 網(wǎng)絡用戶規(guī)模大而密集

由于職業(yè)院校的特殊性，學生基本上都集中居住在校園內(nèi)，導致學校用戶群密集化，一旦遭遇感染性強的蠕蟲病毒或目前常見的ARP攻擊，就會造成大面積的用戶癱瘓，從而嚴重影響校園網(wǎng)絡的正常使用。

1.2 系統(tǒng)管理復雜

接入校園網(wǎng)的計算機絕大多數(shù)是學生或老師自主購買的，種類和系統(tǒng)繁雜，與此同時，各種系統(tǒng)、軟件的漏洞頻出，更是增大了出現(xiàn)安全問題的頻率[2]。

1.3 活躍的內(nèi)部群體

學生是最活躍的網(wǎng)絡群體，學生對黑客技術(shù)往往充滿了好奇，這就導致來自校園網(wǎng)內(nèi)部的攻擊逐年遞增。同時，隨著校園網(wǎng)用戶不斷增加，并且隨著網(wǎng)絡應用的不斷豐富，F(xiàn)TP、論壇、在線劇場以及流行的P2P的應用都在嚴重消耗網(wǎng)絡帶寬，造成網(wǎng)速和帶寬效率下降，從而使正常業(yè)務的通訊得不到保障。

1.4 網(wǎng)絡環(huán)境開放，安全管理不足

目前，大部分職業(yè)院校的校園網(wǎng)都處于半開放狀態(tài)，缺乏有效的預警和防范措施。而且由于校園網(wǎng)直接與互聯(lián)網(wǎng)相連，在擁有海量資訊的同時也存在大量的色情、反動等信息。這些負面的信息對世界觀和人生觀正在形成的職業(yè)院校學生來說，具有很大的危害性。與此同時，因為管理的不足導致學校系統(tǒng)掛馬、篡改，遭遇DDoS攻擊癱瘓，個人信息被竊取的事件時有發(fā)生，嚴重的甚至擾亂了校園正常次序。

以上種種，同時也是大部分職業(yè)院校所正在面臨的困境。由此可見，重建一套完善的校園網(wǎng)整體安全防范體系，對校園網(wǎng)內(nèi)部進行有效的安全與管理便顯得尤其重要。

2 安全策略的制定與安全體系的構(gòu)建

2.1 安全策略的制定

要解決校園網(wǎng)的安全威脅，必須從多方面著手，由于校園網(wǎng)內(nèi)部系統(tǒng)和應用環(huán)境的復雜性，數(shù)據(jù)中心建立時，需按職業(yè)學院目前網(wǎng)絡安全的現(xiàn)狀和特點制定符合實際的安全策略。并以此為依據(jù)進行校園網(wǎng)絡安全體系的構(gòu)建，并對各種安全設(shè)備進行合理的配置，從而達到校園網(wǎng)安全體系的平衡[8]。

2.2 校園網(wǎng)網(wǎng)絡體系的構(gòu)建

根據(jù)前期制定的安全策略對校園網(wǎng)網(wǎng)絡進行了重新規(guī)劃，形成一個基本完善的的網(wǎng)絡安全體系，如圖1所示。

圖1 校園網(wǎng)安全體系拓補圖

首先，在校園網(wǎng)入口處架設(shè)企業(yè)級智能防火墻，并實現(xiàn)VPN的功能。同時利用DMZ防火墻方案設(shè)置非軍事化區(qū)(DMZ區(qū))，并對內(nèi)、外網(wǎng)的訪問定制專門訪問控制策略。利用核心交換機按學校職能進行VLAN劃分，在一定程度上起到了網(wǎng)絡隔離的作用，V LAN的劃分與實現(xiàn)有效地抑制網(wǎng)絡上的廣播風暴，同時也能有效控制用戶之間的通訊，起到隔離和保密的作用。在中間添加入侵監(jiān)測系統(tǒng)和認證服務器對中心內(nèi)的所有數(shù)據(jù)流進行實時監(jiān)測，對所有的數(shù)據(jù)訪問進行統(tǒng)一的認證。架設(shè)網(wǎng)絡控毒中心，為數(shù)據(jù)中心和辦公網(wǎng)絡提供有效的病毒防護。使用多級防火墻進一步保護應用服務器群和數(shù)據(jù)庫服務器群。利用日志及審計服務器對網(wǎng)絡上的訪問進行全面記錄和審計，作為遇到突發(fā)事件時取證的依據(jù)。

2.3 網(wǎng)絡安全設(shè)備的配備

根據(jù)職業(yè)院校網(wǎng)絡的構(gòu)架特點及所面臨的各種問題，我們將通過一系列的安全方案，實現(xiàn)校園網(wǎng)絡的各種安全需求。

2.3.1 智能防火墻的部署

在內(nèi)外網(wǎng)之間部署企業(yè)級智能防火墻，把一些公用的服務器設(shè)施，如網(wǎng)頁、郵件、域名等服務器設(shè)置在防火墻的DMZ區(qū)。在有效地保護了內(nèi)網(wǎng)資源不被非法訪問或破壞的同時，能夠?qū)Πl(fā)生的安全事件進行有效跟蹤和審查。

2.3.2 入侵檢測系統(tǒng)(IDS)與入侵防御系統(tǒng)(IPS)的部署

部署IDS的核心價值在于通過對全網(wǎng)信息的分析，讓管理員了解信息系統(tǒng)的各種安全狀況，進而指導其對信息系統(tǒng)安全建設(shè)目標以及安全策略的設(shè)置和調(diào)整。同時，通過IPS系統(tǒng)的部署深度感知并檢測流經(jīng)的數(shù)據(jù)流量，通過高效信息分析過濾功能，利用各種安全策略的實施——對惡意黑客行為進行阻擊和隔斷，保護網(wǎng)絡帶寬資源的安全性。

2.3.3 網(wǎng)絡版殺毒軟件的部署

網(wǎng)絡防病毒產(chǎn)品的最主要特性之一就是能通過控管中心遠程實現(xiàn)防病毒節(jié)點的部署和管理。管理員借助SAM T以及殺毒軟件的移動控制中心，可以在任意時間、任意地點實現(xiàn)對內(nèi)網(wǎng)絡的24 h無縫隙安全管理，有效地管理和保護所有的病毒入口。在大大減少管理員工作量的同時，更有效地確保網(wǎng)內(nèi)用戶信息的安全。

2.3.4 行為管理系統(tǒng)的部署

上網(wǎng)行為管理系統(tǒng)如圖2所示。

圖2 上網(wǎng)行為管理系統(tǒng)

針對1.3和1.4校園網(wǎng)隱患中的問題，對宿舍區(qū)和辦公區(qū)部署“上網(wǎng)行為管理系統(tǒng)”，在核心交換機配置端口鏡像功能，鏡像數(shù)據(jù)源端口為連接互聯(lián)網(wǎng)路由器端口，鏡像數(shù)據(jù)目的端口則連接“上網(wǎng)行為管理系統(tǒng)”監(jiān)聽網(wǎng)卡端口，對校園用戶連接網(wǎng)絡的數(shù)據(jù)進行全面分析，并實時記錄互聯(lián)網(wǎng)行為日志，全面細致地幫助用戶實現(xiàn)上網(wǎng)行為管理、內(nèi)容安全管理、帶寬分配管理、網(wǎng)絡應用管理、外發(fā)信息管理，有效解決互聯(lián)網(wǎng)帶來的管理、安全、效率、資源、法律等各種問題，實現(xiàn)對校園網(wǎng)絡用戶互聯(lián)網(wǎng)行為的監(jiān)控與管理。

3 校園網(wǎng)內(nèi)部安全管理與維護

由于校園網(wǎng)本身結(jié)構(gòu)和環(huán)境的復雜性以及硬件本身的局限性，根據(jù)校園網(wǎng)方案搭建而成的校園網(wǎng)絡投入運行之后，仍然面臨著各式各樣的安全問題。比如安全設(shè)備的硬件老化、各種線路的損壞、各種層出不窮的黑客攻擊等。這時候就需要組建一個高效的校園網(wǎng)管理和維護團隊來進行專業(yè)維護，而維護團隊的工作主要有以下幾項。

3.1 硬件設(shè)備的維護與性能優(yōu)化

設(shè)備故障是校園網(wǎng)中的最常見問題。當網(wǎng)絡中某個組成失效時，網(wǎng)管人員必須迅速查找到故障并及時排除，以保證網(wǎng)絡的正常運行，這是校園網(wǎng)安全的最基本保障。同時，在保證設(shè)備日常正常運行之外，還必須定期對各種網(wǎng)絡設(shè)備進行有效地維護和系統(tǒng)優(yōu)化，以確保其性能的高效和穩(wěn)定，這是維護校園網(wǎng)安全的必須任務。

3.2 對防火墻安全策略的合理定制

面對不斷進步的黑客技術(shù)，光靠原有的防火墻安全策略是不夠的，這就要管理人員根據(jù)實際情況進行不斷更新和完善。比如定期利用各種端口掃描、測試防火墻的安全性、及時發(fā)現(xiàn)通常應當禁止的任何服務或系統(tǒng)響應(如ICMP、路由協(xié)議和開放管理端口的響應)。對與防火墻相連的所有網(wǎng)段的每個主機(包括防火墻)進行掃描，并且把發(fā)現(xiàn)結(jié)果同基于策略的預期結(jié)果進行對照。還要求維護人員可以根據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括:協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問，以保證防火墻的有效性，從而達到網(wǎng)絡的長期安全。

3.3 身份認證系統(tǒng)

建立全校統(tǒng)一的身份認證系統(tǒng)，身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎(chǔ)。對于每一個需要訪問網(wǎng)絡的用戶，都需要對其身份進行驗證，包括用戶的用戶名/密碼、用戶IP地址、MAC地址、端口號等。通過以上信息的綁定，避免了個人信息被盜用，防止非法用戶的非法接入，以及發(fā)生各種安全事故后的有效追蹤處理。

3.4 網(wǎng)絡安全日志和審查系統(tǒng)以及入侵檢測和防御系統(tǒng)

有效地利用已有的網(wǎng)絡安全日志和審查系統(tǒng)，建立詳細的用戶信息庫、主機登錄日志、交換機及路由器日志、服務器日志、內(nèi)部用戶非法活動日志等。而通過IDS與IPS系統(tǒng)幫助系統(tǒng)有效地抵御來自網(wǎng)絡的攻擊，更加有效地監(jiān)視、審計、評估網(wǎng)絡系統(tǒng)。

3.5 定時進行重要數(shù)據(jù)的備份

隨著校園網(wǎng)絡的不斷發(fā)展，校園網(wǎng)訪問信息量、存儲需求高速增長，而網(wǎng)絡數(shù)據(jù)安全性也愈發(fā)重要。所以，管理團隊必須做到定時對重要數(shù)據(jù)進行安全備份。一套安全、穩(wěn)定、可靠的數(shù)據(jù)備份與恢復系統(tǒng)都經(jīng)常能起著決定性的作用。同時，良好的數(shù)據(jù)備份機制也是保障校園網(wǎng)穩(wěn)定安全運行的必要條件。

4 結(jié) 語

校園網(wǎng)安全是一個復雜的綜合性系統(tǒng)工程，一套完善的校園網(wǎng)整體安全防范體系的建立必須結(jié)合軟硬件防護、網(wǎng)絡管理、維護等多方面的安全措施。只有這樣建立起來的校園網(wǎng)安全防范體系，才能經(jīng)受越來越嚴峻的校園安全形勢的考驗，使其更安全、可靠、高效地為廣大師生服務。

[1] 彭文勝，毛叔平.校園信息化規(guī)劃、管理及案例[M].上海:復旦大學出版社，2002.

[2] 向勇，柯和平.教育信息技術(shù)實用教程[M].廣州:廣東高教出版社，2003.

[3] 張志華.高校校園網(wǎng)的安全策略及其實現(xiàn)[J].肇慶學院學報，2006(4):26-28.

[4] 萬嵩.校園網(wǎng)總體架構(gòu)及其安全系統(tǒng)的研究與設(shè)計[D]:[碩士學位論文].南昌:南昌大學，2009.

[5] 吳海燕，戚麗.校園數(shù)據(jù)中心網(wǎng)絡安全防范體系研究[J].實驗技術(shù)與管理，2004(3):91-95.

[6] 鐘建偉.基于防火墻與入侵檢測技術(shù)的網(wǎng)絡安全策略[J].武漢科技學院學報，2004(4):63-65.

[7] 張建標.校園網(wǎng)絡安全運行架構(gòu)研究[J].計算機工程與設(shè)計，2007，20:4878-4879.

[8] 王繼成.大學校園網(wǎng)的網(wǎng)絡安全與防范策略[J].沈陽農(nóng)業(yè)大學學報:社會科學版，2007(9):727-729.