高校網(wǎng)絡(luò)安全技術(shù)淺析及應(yīng)用

王清水，佟媛媛

浙江傳媒學(xué)院信息化辦公室，浙江杭州 310018

0 引言

隨著網(wǎng)絡(luò)的發(fā)展，高校作為積極實(shí)踐新技術(shù)的群體，需要解決越來越龐大的教學(xué)，科研的網(wǎng)絡(luò)數(shù)據(jù)處理，并保證在大訪問量下的優(yōu)質(zhì)上網(wǎng)質(zhì)量?，F(xiàn)在高校通常是幾百兆甚至是幾個(gè)G的出口帶寬。在滿足廣大師生上網(wǎng)需求的同時(shí)，也帶來了一定的網(wǎng)絡(luò)安全問題.作為國家事業(yè)單位，有些網(wǎng)絡(luò)及數(shù)據(jù)安全也須得到一定的保障。國家教育部、公安部等相關(guān)部門也三令五申地要求各高校切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作.有鑒于此，需要在新形勢下研究新的網(wǎng)絡(luò)安全技術(shù)。

1 高校網(wǎng)絡(luò)安全技術(shù)

現(xiàn)階段高校主要通過如下技術(shù)手段實(shí)現(xiàn)其一定的網(wǎng)絡(luò)安全管理：物理網(wǎng)隔離，網(wǎng)絡(luò)安全網(wǎng)關(guān)、配備Web防毒墻，多專網(wǎng)，數(shù)據(jù)備份，關(guān)鍵部位設(shè)備冗余，采用第三方設(shè)備系統(tǒng)實(shí)現(xiàn)用戶終端的安全管理。

1.1 物理網(wǎng)隔離

作為最基本的手段，物理網(wǎng)隔離技術(shù)永遠(yuǎn)有其獨(dú)特的網(wǎng)絡(luò)安全優(yōu)勢，主要適用于如校園財(cái)務(wù)，校園資產(chǎn)管理等嚴(yán)格要求數(shù)據(jù)安全性的系統(tǒng)。對(duì)于現(xiàn)在采用的WLAN做ACL訪問控制隔離模式總不如全物理網(wǎng)來的有效，當(dāng)然物理網(wǎng)對(duì)成本要求更高。

1.2 網(wǎng)絡(luò)安全網(wǎng)關(guān)

校園網(wǎng)首先是一個(gè)大的局域網(wǎng)的概念，如何有效的抵御外來有害，有毒信息是涉及到校園網(wǎng)能否安全的主要因素，這個(gè)時(shí)候就非常有必要在校園網(wǎng)出口處架設(shè)一臺(tái)網(wǎng)絡(luò)安全產(chǎn)品?，F(xiàn)在市場如阿姆瑞特，深信服都出產(chǎn)此類產(chǎn)品。該類系統(tǒng)基本包含帶寬多出口管理，防火墻，入侵檢測及防御，WEB內(nèi)容過濾，簡單流量控制等一系列功能。通過訪問規(guī)則，應(yīng)用層網(wǎng)關(guān)，動(dòng)靜態(tài)WEB過濾，反病毒掃描，垃圾郵件處理等配置實(shí)現(xiàn)其安全網(wǎng)關(guān)的功能。能基本抵御外來如DOS攻擊，IP欺騙，提高FTP，HTTP，SMTP，pop3等協(xié)議的安全性。該類產(chǎn)品流量控制功能也能粗略的解決一些出口帶寬問題，適當(dāng)緩解現(xiàn)階段高校租用運(yùn)營商帶寬費(fèi)用過度增長的問題。但同時(shí)也會(huì)碰到多項(xiàng)功能模塊開啟造成管理平臺(tái)查詢配置延遲的問題。如有條件，還是建議采用專業(yè)的流控設(shè)備，及反垃圾郵件網(wǎng)關(guān)等以分擔(dān)防火墻的處理業(yè)務(wù)。

1.3 Web應(yīng)用防毒墻

通過該設(shè)備的配備，可以有效防御如SQL注入，跨站點(diǎn)腳本，操作系統(tǒng)命令注入，會(huì)話劫持，篡改參數(shù)或URL，緩沖區(qū)溢出等攻擊。由于直接針對(duì)應(yīng)用層處理能力，該類產(chǎn)品拋棄了傳統(tǒng)防火墻NP、ASIC等適合執(zhí)行網(wǎng)絡(luò)層重復(fù)計(jì)算工作的硬件設(shè)計(jì)，采用了更加適合應(yīng)用層靈活計(jì)算能力的多核并行處理技術(shù)，多次解析的架構(gòu)，采用了更為先進(jìn)的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應(yīng)用層威脅統(tǒng)一進(jìn)行檢測匹配。從而更好的保護(hù)服務(wù)器區(qū)的操作系統(tǒng)及數(shù)據(jù)安全。

1.4 多專網(wǎng)

由于高校存在數(shù)量眾多的實(shí)驗(yàn)室機(jī)房，這些由于學(xué)生上網(wǎng)行為，雖然用戶端基本都配有還原卡等裝置，但在教學(xué)過程中所發(fā)生的病毒攻擊行為從實(shí)驗(yàn)室管理上來說基本處于無可奈何的狀態(tài)，這對(duì)校園網(wǎng)確實(shí)是一個(gè)極大的威脅，我校當(dāng)時(shí)就碰到過各類由于機(jī)房管理不善影響全院網(wǎng)絡(luò)的事件。針對(duì)于此，采用多臺(tái)匯聚層交換機(jī)，把行政辦公網(wǎng)和實(shí)驗(yàn)室網(wǎng)分開，基本上組建成實(shí)驗(yàn)室專網(wǎng)，并在實(shí)驗(yàn)室匯聚交換機(jī)連接核心交換機(jī)端配置一臺(tái)防火墻，有效解決了實(shí)驗(yàn)室端對(duì)整體校園網(wǎng)的安全影響。

1.5 數(shù)據(jù)備份

為了各種教學(xué)評(píng)估，國家精品課程建設(shè)，電子圖書館建立都需存儲(chǔ)大量的數(shù)據(jù)，其中有些還需實(shí)現(xiàn)異地備份，主要有定期磁帶備份數(shù)據(jù)，就是制作完整的備份磁帶或光盤：遠(yuǎn)程數(shù)據(jù)庫備份，在與主數(shù)據(jù)庫所在生產(chǎn)機(jī)相分離的備份機(jī)上建立主數(shù)據(jù)庫的一個(gè)拷貝，如有分校區(qū)的學(xué)校可采用兩邊數(shù)據(jù)互備方案。

1.6 關(guān)鍵部位設(shè)備冗余

這個(gè)方面可根據(jù)各高校實(shí)際情況進(jìn)行操作，主干網(wǎng)絡(luò)優(yōu)先對(duì)核心交換機(jī)，安全網(wǎng)關(guān)進(jìn)行冗余處理，由于像中間防火墻和防毒墻都有bypass功能可適當(dāng)放低要求，畢竟還需考慮成本因素，數(shù)據(jù)中心服務(wù)器可采用類似云計(jì)算的方案進(jìn)行處理，不需每臺(tái)都做冗余。如有分校區(qū)的學(xué)校還需對(duì)互聯(lián)光纖線路進(jìn)行雙路冗余處理，不然故障后影響太大。

1.7 使用第三方設(shè)備及系統(tǒng)實(shí)現(xiàn)終端用戶的安全管理

由于高校集中了成千上萬的用戶數(shù)，在提高用戶的安全意識(shí)同時(shí)，還需要對(duì)其進(jìn)行全局的管理，這方面可通過第三方設(shè)備或系統(tǒng)進(jìn)行IP/MAC綁定，采用安裝客戶端的方式實(shí)現(xiàn)如硬性安裝360安全衛(wèi)士等網(wǎng)絡(luò)安全要求。并可和交換機(jī)進(jìn)行聯(lián)動(dòng)，如發(fā)現(xiàn)有異常的端口活動(dòng)，可將該交換機(jī)端口down掉，再聯(lián)系用戶進(jìn)行處理，可避免因個(gè)人用戶所引起的全網(wǎng)安全問題。該手段可對(duì)校園網(wǎng)絡(luò)進(jìn)行最基礎(chǔ)的凈化流程，我校在采用了銳捷SAM系統(tǒng)后效果明顯，解決如arp欺騙等局域網(wǎng)存在的頑疾。

2 結(jié)論

由于高校網(wǎng)絡(luò)的迅猛發(fā)展，為解決全校網(wǎng)絡(luò)訪問通暢，數(shù)據(jù)存儲(chǔ)安全等一系列問題。管理方在制定全面的網(wǎng)絡(luò)安全策略的同時(shí)，在采用上述各種網(wǎng)絡(luò)安全技術(shù)之外，還需要建立完備的針對(duì)高校網(wǎng)絡(luò)的管理制度，培養(yǎng)專門的網(wǎng)絡(luò)管理人員，并且積極開展用戶的網(wǎng)絡(luò)安全培訓(xùn)，養(yǎng)成用戶健康上網(wǎng)的習(xí)慣。

只有這樣，才能全面地有效實(shí)現(xiàn)高校網(wǎng)絡(luò)信息安全?？煽?，穩(wěn)定的服務(wù)于高校教學(xué)。另外如有一款產(chǎn)品能對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的，全面的包括硬件，線路，數(shù)據(jù)傳輸?shù)确矫娴谋O(jiān)測的話，相信這是所有網(wǎng)絡(luò)管理員共同的希望吧。

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京：清華大學(xué)出版社，2006.

[2]吳功宜，吳英.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)教程[M].3版.北京：清華大學(xué)出版社，2009：17-18.

[3]李新，孫中濤.高校校園網(wǎng)安全管理研究[J].現(xiàn)代教育裝備，2010.

[4]王維江.網(wǎng)絡(luò)應(yīng)用方案與實(shí)例精講[M].北京：人民郵電出版社，2003，11：1-34.

[5]范國果.高校數(shù)字化校園整體構(gòu)建策略與實(shí)施[D].山東師范大學(xué)，2009，12.

[6]聶武超，張彥興.802.1x認(rèn)證技術(shù)分析[J].深圳華為技術(shù)報(bào)，2002(133).