談高校校園網安全的現狀及解決方案

摘要：隨著高校校園網在高校教學、科研、行政辦公等方面發(fā)揮著越來越重要的作用，如何依托現有的網絡基礎架構，整合建設高校網絡，支持高校各種業(yè)務系統的運行，支持跨部門、跨地區(qū)的信息資源共享，促進高校教學能力和信息化水平的提高，已經成為各高校優(yōu)先考慮的內容。建設高校網絡安全防護體系、網絡信任系統、安全管理體系和統一的技術標準規(guī)范體系，保障高校業(yè)務系統的可靠運行與有效的應用。

關鍵詞：高校校園網；網絡安全；防火墻；入侵檢測

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9599 （2012） 23-0000-02

1 高校校園網的普遍現狀

接下來，結合筆者曾經參與過的某高校二級學院局域網安全項目為例，來具體探討下高校校園網的安全現狀以及一些較為有效的解決方案。在我們提出的安全項目方案實施前該學院雖建立了信息化的網絡，但沒有采取任何安全措施。為了保障網絡的安全，該學院一直在尋求各種合適的安全設備來加強網絡安全防護，希望能對現有的網絡進行安全加固，以確保在信息化建設中各種業(yè)務系統及網絡基礎架構的穩(wěn)定、可靠、安全等需要。實施前該學院網絡存在的主要問題，也是很多高校校園局域網普遍存在的問題，具體有以下三大方面：

1.1 網絡安全方面的投入嚴重不足。沒有系統的網絡安全設施配備，網絡建設經費嚴重不足，有限的經費也主要投在網絡設備上，對于網絡安全建設一直沒有比較系統的投入。網絡還基本處在一個開放的狀態(tài)，缺乏有效的安全預警手段和防范措施。

1.2 內部上網混亂，無任何安全管理和監(jiān)控的手段。內部IP管理較混亂，無法限制用戶上網權限，同時也沒有任何安全管理和監(jiān)控的手段。交換機無法進行管理，出現網絡事件時無法進行響應處理問題。

1.3 網絡安全意識淡薄，沒有指定完善的網絡安全管理制度。網絡上的攻擊、侵入他人機器，盜用他人帳號非法使用網絡、非法獲取未授權的文件、通過郵件等方式進行騷擾和人身攻擊等事件經常發(fā)生、屢見不鮮。由此可見，為了能夠追查攻擊的來源，系統應該具備有效的工具，記錄攻擊行為的全過程，為調查工作提供依據，同時也是對非法入侵者的有效震懾。另外，由于人手有限，某些工作人員經常身兼數職，違反安全系統原則，對系統安全構成嚴重威脅。因此，我們應該從技術和管理等多種渠道加強管理和監(jiān)控，杜絕這個層面上的安全問題。

2 常采用的一些有效網絡安全解決方案

首先，配置防火墻是保證校園網絡系統安全的第一步，也是系統建設時首要考慮的問題。防火墻通過監(jiān)測、限制、更改通過防火墻的數據流，可以保護網絡系統不受來自外部的攻擊。筆者推薦部署一臺網絡防火墻系統用于邊界的基本安全防護措施。

在防火墻的部署方面，建議將防火墻安裝在內外網的邊界，這樣就避免了內部網絡暴露在外網上，對內、外網絡進行了有效的隔離，對外部屏蔽了網絡內部的信息、結構和運行狀況。同時通過在防火墻上設置訪問控制規(guī)則，使內外網絡之間有條件的互訪，過濾掉非法的訪問請求，大大減少了網絡內部服務器/主機受到外部攻擊的機會，解決了網絡邊界的安全問題。

市面上一些常見的防火墻產品基本上能實現如下功能：（1）通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網絡上與業(yè)務無關的主機的越權訪問。（2）防火墻可以限制內部用戶的網絡訪問行為，如限制在上班時間上游戲網站、看電影，限制內部用戶上不良網站等。（3）防火墻可以限制內部用戶的網絡訪問行為，如限制在上班時間上游戲網站、看電影，限制內部用戶上不良網站等。（4）防火墻可以制定訪問策略，限制內部特定的主機可以訪問外部網絡，同時，只有被授權的外部主機只可以訪問內部網絡的有限的IP地址，保證外部網絡只能訪問內部網絡中必要的資源，與業(yè)務無關的操作將被拒絕。（5）安裝了防火墻后，網絡的安全策略由防火墻集中管理，因此，黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的，而直接攻擊防火墻幾乎是不可能的。（6）使用防火墻身份認證模塊，對每一個上網的用戶進行身份認證，確保每一個使用互聯網的用戶都可以對應到具體的人員，有效解決了IP/MAC盜用，多人共用電腦等帶來的網絡訪問審計問題，實現網絡訪問的“實名制”，避免匿名網絡訪問帶來的生產力流失，法律后果等問題。（7）通過防火墻的各種功能模塊，實現有效的訪問控制機制。如：P2P軟件限制、流量帶寬控制、并發(fā)數控制等。

這里有必要重點介紹下防火墻身份認證模塊的使用，以上述項目該學院使用的黑盾防火墻為例。該防火墻身份認證模塊由防火墻身份認證服務端、內網用戶客戶端，并配合黑盾日志系統進行統一工作：（具體部署見上圖2）

（1）防火墻身份認證服務端負責統一配置用戶數據庫，用戶授權訪問規(guī)則；采集分析數據；并把數據發(fā)送到日志系統中；（2）內網用戶客戶端負責發(fā)送認證請求到服務端，認證通訊通過加密的信道完成；（3）日志系統負責存儲，整理，分析數據。

其次，除了防火墻外，網絡入侵檢測部署對于高校校園局域網的安全防范也很重要。在上述的項目中，該學院連接互聯網的網絡出口通過使用黑盾防火墻作為網絡邊界的安全防護設備，可以有效的阻止從互聯網進入的有害信息。但如果網絡中只有防火墻作為安全防護是不夠的主要存在以下弱點：（1）對于從內網發(fā)起針對互聯網網的攻擊行為防火墻無能為力；（2）從內網發(fā)起針對內網的攻擊行為防火墻無能為力；（3）利用合法途徑進入網絡的攻擊行為防火墻無能為力?；谝陨系木W絡安全現狀及需求，提出如下方案示意

針對該學院的現有網絡情況，我們建議在核心交換機上連接網絡入侵檢測系統的探測引擎，通過在交換機上配置端口鏡像，使其監(jiān)聽特定端口的網絡流量，監(jiān)聽網絡中是否存在攻擊行為。同時安裝網絡入侵檢測系統的監(jiān)控臺，監(jiān)控探測引擎的工作情況、設置策略等。當網絡入侵檢測系統的探測引擎探測到網絡攻擊的發(fā)生或網絡病毒傳播時，可實施報警、阻斷、防火墻聯動阻斷、記錄等多種響應動作，以保護服務器及網絡的安全。同時，網絡入侵檢測系統作為一種審計的工具，可以詳細記錄所有的網絡訪問，以便審查。

3 結論

堅持積極防御、綜合防范的方針，全面提高信息安全防護能力是國家信息安全保障工作的總體要求之一。“積極防御、綜合防范”也應作為高校校園網進行信息安全保障的總體戰(zhàn)略方針。但“積極防御、綜合防范”方針并不意味著無限制地加強安全保障措施。根據信息系統的重要性，對重要的信息系統進行重點保障，根據系統面臨的實際安全威脅，采用適當的安全保障措施，才能提高高校校園網絡信息安全保障的整體效能，保證積極防御、綜合防范方針的落實。

參考資料：

[1]黃敏.內網安全的發(fā)展趨勢[C].第十屆信息安全技術大會論文集，2006.

[2]焦允.企業(yè)的網絡信息安全現狀分析與解決方案[J].鄭州航院學報，2006.

[3]陸英南.企業(yè)內網安全管理策略研究[J].電腦知識與技術，2008，8.