多校区校园网络安全分析及防护策略

2010-01-07陈磊李容权

新校园·阅读 2010年11期

陈磊李容权

摘要：本文针对高校多校区校园网络规模不断扩大、网络用户急速增加的特点，考虑多校区情况下网络存在的多出口、网络病毒、网络安全漏洞、及制度管理等安全隐患，指出应在物理安全、网络运行安全、信息安全及安全管理等方面实施安全措施，提出了全面的安全防护策略。

关键词：校园网络；网络安全；安全防护策略

目前，全球信息化大潮正推动着高校的信息化进程，各高校积极拓宽网络范围。网络范围不断扩展，加之多校区教学模式越来越多地出现在各大高校，在这种网络用户急速增加、校区之间通信要求越来越高的情况下，网络安全隐患逐渐摆在了各高校网络工作者的面前，面对如此严峻的网络形式，如何最大程度地减小网络安全隐患也是网络工作者所需考虑的问题，那么究竟如何来完善高校多校区的网络安全呢？本文将从校园网络功能出发，逐渐提出一套全面的网络管理策略。

一、高校网络安全功能

校园网的功能架构大致可以分为对内部分、对外部分和网络管理部分。对内部分主要是指校园Internet，包括多媒体教室、办公室、电子图书馆的建设，服务于学校的教学和管理；对外部分包括与Internet的连接与其他兄弟院校以及上级主管单位的连接，提供宽带的接人服务等；而网络管理则是这两部分的桥梁和核心，担负着整个网络系统的管理和安全工作。一个安全状态下的校园网，应该能够通过与广域网的连接，实现远程教育，为学校的教学、管理、日常办公、内外交流等方面提供全面、实用的支持。

二、校园网络面临的侵害

作为一种丰富的学习资源，信息化为教育所做的贡献是毋庸质疑的，但是同时，网络社会与生俱来的不安全因素也无时无刻不在威胁教育网络的健康发展，成为教育信息化建设中不可忽视的问题。

校园网面临的威胁大体可分为对网络中数据信息的威胁和对网络设备的威胁。具体来说，危害网络安全的主要威胁有：侵害网络物理安全，非授权访问，冒充合法用户，破坏数据的完整性，干扰系统正常运行，减慢系统的响应时间，利用病毒恶意攻击、线路窃听等。

三、多校区网络安全隐患

随着高校的发展，越来越多的学校开辟了多个校区共同教学这一模式。由于各校区网络建设不平衡，采用的技术有差异，合并组建的多校区的校园网络存在较多的安全隐患，主要有：

1.多出口问题。原来各个校区有独立的到互联网络的出口，现在一个校区就有几个出口，这就增加了网络安全设备的投入和管理的难度。

2.物理安全问题。由于物理设备的放置不合适、规范措施不健全、防范措施不得力，使网络资源遭受自然灾害、意外事故或人为破坏，从而造成校园网不能正常运行。

3.网络安全漏洞。许多校园网络拥有WWW、邮件、数据库等服务器，还有重要的教学服务器，对于非专业人员来说，无法确切了解和解决每个服务器系统和整个网络的安全缺陷及安全漏洞。

4.网络中的病毒。在网络中，病毒己从存储介质的感染发展为网络通讯和电子邮件的感染上来，其传播速度极快，破坏力更强，校园网上因主机与众多用户相连且用户水平参差不齐，计算机病毒易爆发大规模感染且清除困难。

5.网络安全等级差异问题。开辟了新校区的高校会根据新的规划对学校各个部门进行重组和地理位置的迁移，那么势必会影响到信息安全要求的重新调整，进而带来网络安全防范措施的调整，也带来硬件和软件的重新调整与配置。

6.安全制度问题。缺乏完整统一的安全策略，缺乏完善的、切实可行的管理和技术规范以及规章制度。

四、多校区网络安全策略

随着Internet的飞速发展，网络安全技术也在与网络攻击的对抗中不断发展完善，主要有：数字加密与数字签名、身份认证、存取控制、堵漏、检测、审核等，了解了高校网络的安全隐患，可以依据网络安全的需求，在实际网络系统的安全实施中，配合使用各种安全技术来实现一个完整的网络安全解决方案。

１．安全目标

①保证整个网络的正常运行，尤其在遭受黑客攻击的情况下；②保证信息数据的完整性和保密性，在网络传输时数据不被修改和不被窃取；③具有科学的安全风险评估；④保证网络的稳定性，安全措施不形成网络的负担而且提供全天候满意服务和应用。

２．安全策略

针对校园网的安全隐患，结合校园网的主要功能，分析网络安全的主要目标后，可以根据网络的层次结构模型，系统地架构各层的安全措施，实施一系列安全策略。

4.2.1采用一系列物理安全技术

建设校园网时，设备的选用在校园网中占据举足轻重的作用，硬件系统安全因素主要有：

1）提高服务器性能

在校园网中服务器起着主导作用，其性能的优劣直接影响着校园网的运行安全性以及网络服务的质量。在服务器选用上，要求该服务器具有较高的可用性、可靠性、可扩展性，支持对称多处理器。(下转第51页)

（上接第26页）

2）采用多层交换技术

随着网络交换技术的发展，三层交换机或更多层交换机业已应运而生，规划校园网时，中心交换机应考虑采用三层交换技术。三层交换技术可以完成常规交换机的网络连接功能，又可以解决局域网网段划分问题，解决了传统路由器低速、复杂所造成的网络瓶颈问题。

3）采用电源保护技术

采取良好的屏蔽及避雷措施，防止雷电干扰；防盗技术，安装报警器和各种监视系统及安全门锁；环境保护，按计算机安全场地要求采取防火、防水、防震、防静电技术措施；磁兼容性，采取电磁屏蔽及良好的接地手段，使系统中的设备不与周围其他设备互相影响；抑制和防止电磁漏洞，为防止电磁泄露，需采取低辐射的设备和电磁屏蔽等措施；合理配置系统，限制普通用户登录，校园网主机的操作系统尽量采用UNIX。

4.2.2广域网和局域网之间的访问控制

对特定的网段、服务，建立有效的访问控制体系，使大多数攻击到达之前就能进行阻止。通过路由器上的防火墙来实现广域网和校园网之间的访问控制，应选用包过滤型防火墙，包过滤安装在路由器上，对IP源地址、IP目的地址、封装协议、端口号等进行筛选，以达到限制非法网络访问的目的。

4.2.3局域网的安全访问控制

内部网络安全控制的指导思想是将非法用户和网络资源之间相隔离。不同系统的用户能够访问其他系统这是安全的隐患，采用技术手段控制内部网络的访问是必要的。

4.2.4对集中访问者的鉴别在建立全网通信的身份识别系统后可实现用户的统一管理，统一授权，防止未经授权的用户非法使用系统资源。

4.2.5网络病毒的防范

计算机病毒的威胁力和破坏力不可估量。在校园网系统中，应建立多层次的病毒防卫体系，以保证信息的安全和系统的正常运行，预防病毒、检测病毒技术、消除病毒技术也应在网络防毒工作中全面采用。

4.2.6备份

备份包括网络通信运行系统的备份和网络设备、通信线路的备份。网络通信参数、配置的备份应根据网络的重要性制订详细的备份计划，确保故障发生后可快速地恢复运行数据。设备和线路的备份可根据网络运行的故障率准备一定冗余，在网络某部分发生故障时，其他部分可自行启用或迅速切换。

4.2.7信息过滤

在网络中采用镜像侦听方式对侦听端口的所有数据进行收集，收集的信息包括各种协议的网络传输数据，根据关键字对有害信息进行过滤。

4.2.8建立完善的管理制度