淺議校園局域網(wǎng)的安全設(shè)計

摘 要：目前校園局域網(wǎng)正逐步深入到學(xué)校工作的各個方面，對于提高學(xué)校的管理水平、教學(xué)質(zhì)量和工作效率發(fā)揮著越來越重要的作用。同時，校園局域網(wǎng)也時常發(fā)生安全性問題，影響了校園網(wǎng)穩(wěn)定高效的運行，妨礙了教師學(xué)生正常的學(xué)習(xí)工作。研究解決校園網(wǎng)的安全問題，已經(jīng)勢在必行。文章在總結(jié)校園網(wǎng)的特點的基礎(chǔ)上，著重分析了現(xiàn)階段校園網(wǎng)存在的主要安全問題，并提出了解決這些問題的具體措施，希望對于創(chuàng)建安全高效的校園網(wǎng)絡(luò)環(huán)境能有所助益。

關(guān)鍵詞：校園網(wǎng)；局域網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號：TP393.08

網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展推動了學(xué)校的網(wǎng)絡(luò)化和信息化建設(shè)，校園網(wǎng)絡(luò)已遍及學(xué)校的各個部門，促進了現(xiàn)代管理方式、教學(xué)手段和生活方式在學(xué)校的傳播，對提高學(xué)校的管理水平、教學(xué)質(zhì)量和工作效率發(fā)揮著越來越重要的作用。但是，網(wǎng)絡(luò)中存在的各種不安全因素也時刻都在威脅校園網(wǎng)絡(luò)的健康發(fā)展，影響了學(xué)校、教師和學(xué)生正常的工作學(xué)習(xí)生活，成為必須重視和解決的問題。

1 校園網(wǎng)的結(jié)構(gòu)和特點

高校校園網(wǎng)絡(luò)具有如下特點：

1.1 校園網(wǎng)一般分為三個層次。可分為核心層、匯聚層和接入層等3個層次，包含很多計算機終端和服務(wù)器等主機設(shè)備，還有交換機、路由器等網(wǎng)絡(luò)設(shè)備。

1.2 用戶種類豐富。按用戶類型可以劃分為教學(xué)區(qū)、辦公區(qū)、學(xué)生生活區(qū)、家屬區(qū)等。不同用戶對網(wǎng)絡(luò)功能的要求不同。教學(xué)區(qū)和辦公區(qū)要求局域網(wǎng)絡(luò)共享，實現(xiàn)基于網(wǎng)絡(luò)的應(yīng)用，并能接入互聯(lián)網(wǎng)。學(xué)生區(qū)和家屬區(qū)主要是接入互聯(lián)網(wǎng)的需求。

1.3 應(yīng)用系統(tǒng)豐富。校園網(wǎng)單位眾多，有很多基于局域網(wǎng)的應(yīng)用，如學(xué)生檔案管理系統(tǒng)，多媒體教學(xué)系統(tǒng)，圖書館管理系統(tǒng)，財務(wù)處理系統(tǒng)等。這些應(yīng)用之間互相隔離。各種應(yīng)用服務(wù)器，如DNS，WWW，E-MAIL，F(xiàn)TP等與核心交換機高速連接，對內(nèi)外網(wǎng)提供服務(wù)。

高校校園網(wǎng)絡(luò)拓撲示意圖如下：

圖1

2 校園局域網(wǎng)存在的安全問題

2.1 普遍存在的校園網(wǎng)安全漏洞。在計算機及由計算機所構(gòu)成的網(wǎng)絡(luò)世界，安全漏洞是普遍存在的，這包括計算機操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞（尤其是TCP/IP協(xié)議漏洞）、程序漏洞、網(wǎng)絡(luò)結(jié)構(gòu)漏洞等各個方面，而且隨著計算機及網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，各種新的設(shè)備和新的程序不斷的開發(fā)出來，新的安全漏洞也在不斷的被發(fā)現(xiàn)，并被人用來攻擊計算機和網(wǎng)絡(luò)。而學(xué)校尤其是高校因為管理、教學(xué)和科研的需要，大量的服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序和數(shù)據(jù)庫必須存在的并構(gòu)成一個龐大的網(wǎng)絡(luò)，在這個網(wǎng)絡(luò)中不可避免的就存在許多安全漏洞。

2.2 來自外部網(wǎng)絡(luò)的威脅。因為校園網(wǎng)雖然有著一定的獨立性，但是總得來說，因為校園網(wǎng)使用主體一般會對信息交流有著較大的需求，這就要求校園網(wǎng)必須保持相當(dāng)程度的開放性，從而使外部網(wǎng)絡(luò)入侵攻擊校園網(wǎng)成為可能。在各類外部攻擊中危害較大一類就是拒絕服務(wù)攻擊，這類攻擊一般通過使被攻擊對象的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)，主要方法有Ping Flood、SYN Flood等。隨著技術(shù)進步，現(xiàn)在的外部攻擊更加普遍，在互聯(lián)網(wǎng)上，各類攻擊工具都能夠自由下載，而且操作簡單方面，原來需要很高技術(shù)水平黑客才能造成的傷害，現(xiàn)在一個普通攻擊者就能夠做到。

2.3 各種計算機病毒泛濫。網(wǎng)絡(luò)蠕蟲病毒的種類和數(shù)量日益增多，危害越加嚴重?，F(xiàn)在的病毒除了具備復(fù)制能力外，還往往具備蠕蟲特性，可以在網(wǎng)絡(luò)上到處游走，有著強大的感染性。而校園網(wǎng)有著龐大的用戶群體，每一個用戶都用可能成為病毒入口點，這就使校園網(wǎng)成為病毒易感染體，而且一旦感染就很難完全清除。除了網(wǎng)絡(luò)蠕蟲病毒之外，還有ARP欺騙病毒需要重點防范，這是在校園網(wǎng)中存在較為廣泛的一種病毒，這種病毒是一種木馬病毒，不具備自我復(fù)制的主動傳播特性，但是會向整個校園網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，造成在網(wǎng)絡(luò)連接正常情況下的網(wǎng)絡(luò)掉線或網(wǎng)速緩慢，影響校園網(wǎng)的正常運作。

2.4 校園網(wǎng)內(nèi)部用戶的不合法行為。一種是嘗試進行未被授權(quán)的操作，也就是對被保護文件進行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護訪問權(quán)限所做的嘗試，這里面又包括了預(yù)攻擊探測，一般指攻擊者在連續(xù)進行未授權(quán)操作嘗試的過程中，為了獲得信息，使用包括Satan掃描、端口掃描和IP半途掃描等方式進行攻擊探測。一種是用戶試圖實現(xiàn)多臺計算機利用同一賬戶接入互聯(lián)網(wǎng)，主要包括利用代理服務(wù)器軟件、SOHO路由器和IP、MAC地址假冒等方式實現(xiàn)多人利用同一帳號上網(wǎng)。

3 校園局域網(wǎng)的安全設(shè)計

3.1 部署網(wǎng)絡(luò)防火墻。防火墻是用來控制信息流的設(shè)施，根據(jù)在防火墻上配置的安全策略來控制出入網(wǎng)絡(luò)的信息流。在Internet與校園網(wǎng)之間部署一臺防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(wù)，既能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進行跟蹤和審計，也可以阻止內(nèi)部用戶對外部不良資源的濫用。

3.2 部署入侵檢測。在現(xiàn)代技術(shù)條件下，單獨的防火墻是無法確保校園網(wǎng)的安全性的，部署了防火墻的安全保障體系仍需要進一步完善。就是部署入侵保護系統(tǒng) IPS，IPS作為入侵檢測系統(tǒng)IDS的替代產(chǎn)品，改變了IDS重檢測輕防護的缺陷，提供主動的、實時的防護，其設(shè)計目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊性的流量，尤其是應(yīng)用層的威脅進行實時阻斷，而不是簡單地在監(jiān)測到惡意流量的同時或之后才發(fā)出告警。

3.3 部署漏洞掃描及管理系統(tǒng)。漏洞掃描系統(tǒng)在校園局域網(wǎng)中發(fā)揮的作用是非常大的，它可以對于校園局域網(wǎng)系統(tǒng)進行安全評估，所以，有必要在校園局域網(wǎng)中部署此系統(tǒng)。漏洞掃描系統(tǒng)可以定期或不定期對校園局域網(wǎng)的一些關(guān)鍵設(shè)備和系統(tǒng)進行漏洞掃描，通過漏洞測試、網(wǎng)絡(luò)模擬攻擊等來給網(wǎng)絡(luò)提供安全建議和改進措施等功能。通過漏洞掃描系統(tǒng)對校園局域網(wǎng)設(shè)備和系統(tǒng)的安全情況進行評估，可以找出存在的弱點和漏洞并提出建議補救措施。

4 病毒防御系統(tǒng)

杜絕病毒完全進入網(wǎng)絡(luò)是不可能的，那就只能通過加強預(yù)防措施來減少病毒攻擊的成功次數(shù)。而一個完整的校園網(wǎng)病毒防御系統(tǒng)應(yīng)當(dāng)是雙層的，一層是核心服務(wù)器層，一層是客戶端層，核心服務(wù)器提供最終的殺毒服務(wù)，而客戶端則必須具備檢測功能，這樣一個雙層的防御系統(tǒng)就能夠?qū)崿F(xiàn)在客戶端快速準確發(fā)現(xiàn)病毒位置并確定感染病毒的類型，之后就可以由防病毒的核心服務(wù)器提供殺毒服務(wù)，將病毒從網(wǎng)絡(luò)中剔除，防止病毒擴散。

5 結(jié)束語

網(wǎng)絡(luò)安全建設(shè)是一個需求不斷變化的過程。所以高校在對校園局域網(wǎng)進行網(wǎng)絡(luò)安全建設(shè)時有必要做到以下幾點。做好安全建設(shè)初期，以滿足局域網(wǎng)基本安全的需要；可以部署入侵檢測/防御系統(tǒng)以應(yīng)對病毒的深度攻擊；可以部署WEB應(yīng)用防火墻和內(nèi)容安全管理系統(tǒng)來滿足高級防護。

參考文獻：

[1]朱海平.友邦保險保單管理系統(tǒng)設(shè)計與實現(xiàn)[D].大連理工大學(xué)，2009.

[2]祁向明.大連市公共衛(wèi)生信息化規(guī)劃研究[D].大連理工大學(xué)，2008.

作者單位：天津現(xiàn)代職業(yè)技術(shù)學(xué)院，天津 300350