嚴(yán)陣以待“安度”開學(xué)季——高校校園網(wǎng)絡(luò)信息安全管理建議（二）

又是一年開學(xué)季，新一輪的“數(shù)字迎新”工作將在各高校緊鑼密鼓地開展。面對(duì)新生入學(xué)及大批學(xué)生返校，網(wǎng)絡(luò)流量驟然增加，網(wǎng)絡(luò)攻擊事件也會(huì)與之俱增，給校園網(wǎng)安全穩(wěn)定運(yùn)行帶來(lái)了壓力與挑戰(zhàn)。如何安度每年的開學(xué)季，是高校網(wǎng)絡(luò)信息中心面臨的嚴(yán)峻考驗(yàn)。因此，通過(guò)前期的規(guī)劃與準(zhǔn)備，采取裝備網(wǎng)絡(luò)信息安全管理的硬件設(shè)施和軟件技術(shù)等措施，能切實(shí)加強(qiáng)高校網(wǎng)絡(luò)信息安全管理。為此，本刊將繼續(xù)刊載各高校在網(wǎng)絡(luò)與信息安全方面所采取的保障措施與安全策略，為各高校構(gòu)建高效、安全的校園網(wǎng)絡(luò)提供參考與建議。

1

湖北大學(xué)的校園網(wǎng)安全體系主要采取了以下保障措施：⑴所有校園網(wǎng)出口鏈路設(shè)置防火墻；⑵子網(wǎng)間采用訪問(wèn)控制列表策略；⑶進(jìn)行上網(wǎng)行為日志記錄，與網(wǎng)監(jiān)部門聯(lián)動(dòng)，日志最長(zhǎng)保存期60天；⑷虛擬主機(jī)隔離，虛擬主機(jī)防注入，訪問(wèn)控制；⑸“一卡通”專網(wǎng)，視頻監(jiān)控專網(wǎng)；⑹骨干網(wǎng)監(jiān)控，包括對(duì)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)的多層次監(jiān)控，如遇問(wèn)題可通過(guò)短信平臺(tái)自動(dòng)向管理員告警；⑺建立網(wǎng)絡(luò)防病毒服務(wù)器、操作系統(tǒng)升級(jí)服務(wù)器，向用戶端提供網(wǎng)絡(luò)殺毒軟件、操作系統(tǒng)升級(jí)服務(wù)及防ARP攻擊軟件；⑻定期對(duì)網(wǎng)站進(jìn)行安全掃描。

湖北大學(xué)信息與網(wǎng)絡(luò)中心孫倩

[點(diǎn) 評(píng)]

ARP病毒近年來(lái)給高校網(wǎng)絡(luò)的安全運(yùn)行帶來(lái)不少麻煩，它往往通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞。對(duì)于ARP欺騙的防護(hù)，除了部署大量相關(guān)的防ARP欺騙的防火墻與殺毒工具外，通過(guò)設(shè)置靜態(tài)的MAC-->IP對(duì)應(yīng)表或進(jìn)行端口隔離，也可以防止攻擊者利用MAC欺騙進(jìn)行攻擊。另外，通過(guò)部署防ARP攻擊軟件也可以幫助抵御ARP攻擊。

2

福建中醫(yī)藥大學(xué)已建成集網(wǎng)絡(luò)準(zhǔn)入、病毒防范、入侵防御、防火墻、流量控制、流量均衡、信息過(guò)濾、日志審計(jì)、VPN系統(tǒng)、數(shù)據(jù)中心防御和網(wǎng)絡(luò)行為監(jiān)控為一體的網(wǎng)絡(luò)安全系統(tǒng)，能夠有效防御應(yīng)用系統(tǒng)突發(fā)事故或存儲(chǔ)系統(tǒng)突發(fā)事故。應(yīng)用和存儲(chǔ)系統(tǒng)同時(shí)發(fā)生事故的校園信息化災(zāi)備系統(tǒng)正在建設(shè)中。

福建中醫(yī)藥大學(xué)

[點(diǎn) 評(píng)]

校園數(shù)據(jù)中心是校園信息系統(tǒng)的核心樞紐，必須建立有機(jī)的、智能化的網(wǎng)絡(luò)安全防范體系，保護(hù)校園數(shù)據(jù)中心內(nèi)關(guān)鍵數(shù)據(jù)和關(guān)鍵應(yīng)用的安全。除了在網(wǎng)絡(luò)出口進(jìn)行安全防護(hù)外，還要通過(guò)技術(shù)手段與部署安全設(shè)備，在數(shù)據(jù)中心端做到嚴(yán)格的管控。同時(shí)建立數(shù)據(jù)災(zāi)備機(jī)制來(lái)應(yīng)對(duì)病毒破壞、黑客入侵以及硬件損壞、自然災(zāi)害等各種數(shù)據(jù)災(zāi)難，以保證數(shù)據(jù)中心安全、穩(wěn)定運(yùn)行。

3

北京信息科技大學(xué)的信息系統(tǒng)實(shí)行誰(shuí)主管誰(shuí)負(fù)責(zé)，通過(guò)在校園網(wǎng)出口部署防火墻，可以防止大量來(lái)自外部的非法攻擊，另外學(xué)校主要網(wǎng)站設(shè)置了IPS防護(hù)，學(xué)校主頁(yè)安裝了網(wǎng)頁(yè)防篡改系統(tǒng)；重要信息系統(tǒng)數(shù)據(jù)進(jìn)行了數(shù)據(jù)備份。

北京信息科技大學(xué)網(wǎng)絡(luò)中心龔漢明

[點(diǎn) 評(píng)]

作為一種透明設(shè)備，入侵防護(hù)系統(tǒng)是整個(gè)網(wǎng)絡(luò)連接中的一部分。為了防止IPS成為網(wǎng)絡(luò)中性能薄弱的環(huán)節(jié)，IPS需要具有出色的冗余能力和故障切換機(jī)制，這樣就可以確保網(wǎng)絡(luò)在發(fā)生故障時(shí)依然能夠正常運(yùn)行。除了作為防御前沿，IPS還是網(wǎng)絡(luò)中的清潔工具，能夠消滅格式不正確的數(shù)據(jù)包和非關(guān)鍵任務(wù)應(yīng)用，使網(wǎng)絡(luò)帶寬得到保護(hù)。

4

西安電子科技大學(xué)在網(wǎng)絡(luò)信息安全方面采取了以下措施：身份認(rèn)證技術(shù)、防范系統(tǒng)安全漏洞、防范計(jì)算機(jī)病毒、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)安全隔離、數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)安全管理制度。

西安電子科技大學(xué)信息化建設(shè)處吳琳

[點(diǎn) 評(píng)]

校園網(wǎng)統(tǒng)一身份認(rèn)證是校園信息化建設(shè)關(guān)注的熱點(diǎn)話題，利用統(tǒng)一身份認(rèn)證和單點(diǎn)登錄技術(shù)，可以建立全校統(tǒng)一的用戶管理、認(rèn)證、授權(quán)、單點(diǎn)和安全審計(jì)。無(wú)論對(duì)于信息系統(tǒng)的管理人員、還是對(duì)于普通用戶，都是非常有益的。如此，不僅能為用戶提供方便的認(rèn)證機(jī)制，同時(shí)也保證了系統(tǒng)的安全性。

5

遼寧現(xiàn)代服務(wù)職業(yè)技術(shù)學(xué)院在網(wǎng)絡(luò)設(shè)計(jì)中采用全網(wǎng)雙機(jī)熱備雙線路接入核心、智能切換的方式，引入防火墻，運(yùn)用訪問(wèn)控制列表，采用網(wǎng)康行為管理設(shè)備對(duì)網(wǎng)絡(luò)進(jìn)行管理及監(jiān)測(cè)；交換機(jī)配置啟用生成樹協(xié)議，并啟用單點(diǎn)網(wǎng)絡(luò)打環(huán)，自動(dòng)鎖死對(duì)應(yīng)端口功能。

遼寧現(xiàn)代服務(wù)職業(yè)技術(shù)學(xué)院現(xiàn)代教育技術(shù)中心潘峰

[點(diǎn) 評(píng)]

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn)，是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問(wèn)控制列表不但可以起到控制網(wǎng)絡(luò)流量、流向的作用，而且在很大程度上起到保護(hù)網(wǎng)絡(luò)設(shè)備、服務(wù)器的關(guān)鍵作用。對(duì)于校園內(nèi)濫用校園網(wǎng)絡(luò)資源，以及針對(duì)校園網(wǎng)內(nèi)部的攻擊和非法訪問(wèn)等問(wèn)題，可以采用基于ACL的訪問(wèn)控制列表進(jìn)行限制和有效管理，切實(shí)起到保障校園網(wǎng)安全的作用。

小編

您希望從《中國(guó)教育網(wǎng)絡(luò)》雜志中獲取哪些信息？您工作中都關(guān)注哪些熱點(diǎn)？您對(duì)我們雜志有何建議和意見？歡迎發(fā)送郵件至 yangyt@cernet.com，或來(lái)電交流：010—62603359。另外,我們雜志的官方微博——中國(guó)教育網(wǎng)絡(luò)：http://weibo.com/mediaedu開通了，歡迎老師們關(guān)注與在線交流。