淺談高校校園網(wǎng)絡(luò)安全管理

【摘 要】本文分析了高校校園計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全風(fēng)險(xiǎn)，將校園網(wǎng)絡(luò)按照功能劃分為主機(jī)保護(hù)區(qū)、服務(wù)器群保護(hù)區(qū)、接入層保護(hù)區(qū)、核心匯聚保護(hù)區(qū)和網(wǎng)絡(luò)邊界保護(hù)區(qū)五個(gè)部分，分別進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評估，有針對性地實(shí)施安全措施來確保該部分的安全運(yùn)行，并從管理的角度分析如何保障校園網(wǎng)絡(luò)的正常運(yùn)行。

【關(guān)鍵詞】校園網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)管理

【中圖分類號(hào)】G647 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1674-4810（2015）29-0143-02

高校校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)采用比較成熟的分層方式設(shè)計(jì)，一般由核心層、匯聚層和接入層構(gòu)成，校園網(wǎng)絡(luò)安全管理可以從這三方面去實(shí)施，但是考慮到高校校園網(wǎng)絡(luò)繁雜的應(yīng)用和復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)，在此基礎(chǔ)上將校園網(wǎng)絡(luò)按照功能分區(qū)域劃分，針對每個(gè)校園網(wǎng)絡(luò)功能區(qū)域進(jìn)行分析，對校園網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)是非常有利的。本文將高校校園網(wǎng)絡(luò)劃分為主機(jī)保護(hù)區(qū)、服務(wù)器群保護(hù)區(qū)、接入層保護(hù)區(qū)、核心匯聚保護(hù)區(qū)和網(wǎng)絡(luò)邊界保護(hù)區(qū)，闡述對其的安全管理措施。

一 主機(jī)保護(hù)區(qū)

主機(jī)保護(hù)區(qū)就是要保證接入校園網(wǎng)絡(luò)中的每一個(gè)客戶端主機(jī)盡可能地不會(huì)給校園網(wǎng)絡(luò)帶來安全威脅。主機(jī)作為校園網(wǎng)絡(luò)的接入點(diǎn)，面臨的安全威脅主要是病毒破壞、木馬入侵、網(wǎng)絡(luò)協(xié)議漏洞攻擊、軟件系統(tǒng)漏洞攻擊、利用缺陷攻擊和非法用戶訪問。

確保主機(jī)保護(hù)區(qū)安全是相當(dāng)困難的，根源在于主機(jī)系統(tǒng)的脆弱性、用戶身份的復(fù)雜性以及風(fēng)險(xiǎn)的不確定性。目前針對這些安全威脅采取的主要措施是為主機(jī)安裝網(wǎng)絡(luò)安全軟件，如防病毒軟件、桌面防火墻軟件、漏洞掃描工具和為相關(guān)軟件及時(shí)升級打補(bǔ)丁，同時(shí)采取嚴(yán)格地訪問控制措施，防止非法用戶帶來的風(fēng)險(xiǎn)，盡可能地保證接入主機(jī)的安全，同時(shí)要求合法用戶提高防范意識(shí)，杜絕有風(fēng)險(xiǎn)的操作。

二 服務(wù)器群保護(hù)區(qū)

高校校園網(wǎng)絡(luò)的服務(wù)器一般集中在核心機(jī)房，一般包含學(xué)校的門戶網(wǎng)站服務(wù)器、VPN服務(wù)器以及用于內(nèi)網(wǎng)的各種應(yīng)用系統(tǒng)服務(wù)器。為了確保這些服務(wù)器的安全主要從管理、技術(shù)和防范三個(gè)方面入手。根據(jù)服務(wù)器的用途可以分成對校外服務(wù)和對校內(nèi)服務(wù)兩個(gè)保護(hù)區(qū)域。對外的服務(wù)器保護(hù)區(qū)放置的服務(wù)器相對于應(yīng)用于校園內(nèi)網(wǎng)的服務(wù)器來說屬于高風(fēng)險(xiǎn)區(qū)域，所以必須將對外應(yīng)用的服務(wù)器與校園內(nèi)網(wǎng)的通信進(jìn)行控制。另外校園內(nèi)網(wǎng)中各種應(yīng)用服務(wù)器的安全性也有等級之分，為了防止黑客利用已被入侵的服務(wù)器（黑客稱為“肉雞”）來進(jìn)一步攻擊其他服務(wù)器，所以在各服務(wù)器之間還必須實(shí)施隔離。確保服務(wù)器安全應(yīng)采取的主要措施：（1）將各個(gè)服務(wù)器用不同的網(wǎng)段進(jìn)行隔離；（2）端口訪問控制，將不用和有安全隱患的端口關(guān)閉；（3）設(shè)置隔離緩沖區(qū)（DMZ）；（4）服務(wù)器安裝并及時(shí)升級防病毒軟件；（5）進(jìn)行常態(tài)化的漏洞掃描；（6）對服務(wù)器系統(tǒng)及時(shí)進(jìn)行補(bǔ)丁升級；（7）建立日志服務(wù)器，專門收集各個(gè)網(wǎng)絡(luò)設(shè)備日志以備事后審計(jì)和追溯，定期對日志服務(wù)器進(jìn)行審計(jì)，可以及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)，及時(shí)杜絕安全漏洞。

三 接入層保護(hù)區(qū)

接入層保護(hù)區(qū)主要面臨的威脅是接入主機(jī)感染的病毒利用二層協(xié)議的相關(guān)漏洞進(jìn)行攻擊，如MAC地址泛洪攻擊、ARP欺騙攻擊等。接入層設(shè)備直接與用戶的主機(jī)相連，如何識(shí)別接入主機(jī)用戶身份的合法性也是接入層設(shè)備在部署和配置時(shí)要做的工作。另外校園網(wǎng)絡(luò)提供的接入點(diǎn)數(shù)量龐大，而且用戶成分不同，可以人為地制造端口環(huán)路。因此，確保接入層保護(hù)區(qū)安全的措施為：（1）在接入交換機(jī)中配置接入主機(jī)對應(yīng)的VLAN。（2）在接入交換機(jī)中配置接入服務(wù)器對應(yīng)的PVLAN，PVLAN使用了兩層VLAN隔離，只有高層VLAN全局可見，而對底層VLAN隔離。PVLAN保證與默認(rèn)網(wǎng)關(guān)能夠進(jìn)行通信，隔離連接到一些接口的網(wǎng)絡(luò)設(shè)備之間通信。不同PVLAN的設(shè)備，能夠使用一樣的IP子網(wǎng)。通過PVLAN技術(shù)，可以很方便地在相同的VLAN里將不同的服務(wù)器進(jìn)行隔離，這樣服務(wù)器群就有了二次隔離帶來的安全保護(hù)。所以現(xiàn)在校園網(wǎng)絡(luò)對服務(wù)器主要的做法就是將各種用途的服務(wù)器劃到Isolated VLAN里，而Isolated VLAN可以很好地隔離交換，防止服務(wù)器之間的安全隱患。另外，將對外的學(xué)校門戶網(wǎng)站服務(wù)器劃到Community VLAN里。（3）對接入交換機(jī)配置主機(jī)端口綁定，防止接入主機(jī)物理位置改變以及未經(jīng)許可接入新的主機(jī)設(shè)備。（4）采用二次身份認(rèn)證，一般在dot1x基礎(chǔ)上，再利用特定的認(rèn)證系統(tǒng)二次認(rèn)證，確保用戶身份的合法性。（5）對接入交換端口配置接入主機(jī)的數(shù)量，限制多個(gè)用戶主機(jī)接入網(wǎng)絡(luò)。（6）對接入交換機(jī)端口配置防ARP攻擊命令。（7）接入交換機(jī)端口環(huán)路檢測。

四 核心匯聚保護(hù)區(qū)

核心匯聚保護(hù)區(qū)域的設(shè)備是整個(gè)校園網(wǎng)絡(luò)的關(guān)鍵節(jié)點(diǎn)，在校園網(wǎng)絡(luò)中確保所連接的主干網(wǎng)絡(luò)高速和穩(wěn)定地傳輸，并作為校園網(wǎng)絡(luò)流量的匯聚中心。核心匯聚設(shè)備在控制數(shù)據(jù)傳輸方面起著重要作用。核心匯聚保護(hù)區(qū)的安全策略決定了校園網(wǎng)絡(luò)的安全體系。核心匯聚保護(hù)區(qū)安全設(shè)計(jì)要確保網(wǎng)絡(luò)層的通信安全，主要的措施為：（1）通過劃分VLAN，將整個(gè)校園網(wǎng)絡(luò)劃分出多個(gè)不同網(wǎng)段，目的是隔離有風(fēng)險(xiǎn)的廣播數(shù)據(jù)包，限制二層互訪，縮小廣播域，一方面是防止基于廣播的病毒感染整個(gè)校園網(wǎng)絡(luò)，比如“熊貓燒香”病毒就是一個(gè)基于廣播的病毒，另一方面可以實(shí)現(xiàn)某種用途的訪問控制，這樣就能控制VLAN間的數(shù)據(jù)傳輸，比如辦公段、宿舍區(qū)段、校園卡段等；（2）在核心匯聚設(shè)備上對各網(wǎng)段間實(shí)施訪問控制；（3）根據(jù)下連設(shè)備用途對核心匯聚設(shè)備端口進(jìn)行綁定；（4）對交換機(jī)的IP地址范圍設(shè)置管理，防止非法用戶通過對交換機(jī)的侵入來實(shí)施攻擊；（5）過濾蠕蟲病毒使用的端口，防止各種蠕蟲病毒的掃描和攻擊。

五 網(wǎng)絡(luò)邊緣保護(hù)區(qū)

網(wǎng)絡(luò)邊緣保護(hù)區(qū)所處的位置在校園網(wǎng)絡(luò)與外網(wǎng)的銜接處，是校園網(wǎng)絡(luò)的出入口，處在整個(gè)校園網(wǎng)絡(luò)的邊界區(qū)域。高校的校園網(wǎng)絡(luò)出入口一般有兩個(gè)，一個(gè)連接中國教育網(wǎng)，另一個(gè)則通過互聯(lián)網(wǎng)服務(wù)提供商（ISP）接入Internet。所以網(wǎng)絡(luò)邊緣保護(hù)區(qū)的物理設(shè)備主要的功能一是通過互聯(lián)網(wǎng)服務(wù)提供商（ISP）接入Internet；二是接入中國教育網(wǎng)；三是聯(lián)接學(xué)校內(nèi)網(wǎng)并實(shí)現(xiàn)校內(nèi)資源共享上網(wǎng)；四是發(fā)布對外服務(wù)器和提供遠(yuǎn)程訪問服務(wù)。

網(wǎng)絡(luò)邊緣保護(hù)區(qū)直接面臨的就是外部的高風(fēng)險(xiǎn)連接，在這個(gè)網(wǎng)絡(luò)區(qū)域的物理設(shè)備既要保證聯(lián)接外網(wǎng)又要保證校園網(wǎng)絡(luò)正常事務(wù)的運(yùn)行。所以網(wǎng)絡(luò)邊緣保護(hù)區(qū)必須采取的措施是：（1）禁止外部用戶非法訪問校內(nèi)網(wǎng)絡(luò)資源；配置日志服務(wù)器，從邊界設(shè)備上獲取校園網(wǎng)絡(luò)進(jìn)出的流量記錄。（2）通過NAT轉(zhuǎn)換，將校園網(wǎng)絡(luò)內(nèi)網(wǎng)IP地址隱藏。（3）根據(jù)用戶的需求，有條件地提供安全的遠(yuǎn)程訪問服務(wù)。（4）部署入侵檢測系統(tǒng)（IDS），雖然入侵檢測系統(tǒng)并不能做到萬無一失，但是在校園網(wǎng)絡(luò)管理上是不可或缺的。（5）部署防火墻設(shè)備，目前防火墻設(shè)備的功能不斷地增加，和UTM設(shè)備之間的界線也越來越模糊，除了網(wǎng)絡(luò)過濾，還能對數(shù)據(jù)流量進(jìn)行監(jiān)控和記錄。通常防火墻設(shè)備一般有數(shù)據(jù)包過濾防火墻和應(yīng)用層防火墻。應(yīng)用層防火墻的安全性比較高，主要能對高層應(yīng)用進(jìn)行數(shù)據(jù)包過濾和識(shí)別，但相對數(shù)據(jù)包過濾防火墻，其運(yùn)行的速度比較慢，如果校園網(wǎng)絡(luò)采用應(yīng)用層防火墻，會(huì)影響校園網(wǎng)絡(luò)的整體訪問速度，所以選擇使用數(shù)據(jù)包過濾技術(shù)的防火墻是明智的選擇。（6）配置反向代理服務(wù)器，當(dāng)反向代理服務(wù)器受到攻擊，不會(huì)讓保存具體網(wǎng)頁數(shù)據(jù)的服務(wù)器受到威脅，從而達(dá)到對外服務(wù)器的安全，這樣不但能夠提高外網(wǎng)用戶訪問服務(wù)器的速度，也為應(yīng)用系統(tǒng)服務(wù)器提供更多的保護(hù)。（7）配置審計(jì)系統(tǒng)，確保校園網(wǎng)絡(luò)用戶身份真實(shí)可靠，這是保證校園網(wǎng)絡(luò)安全的最基本要求，另外合法的用戶也會(huì)有威脅校園網(wǎng)絡(luò)安全的行為，所以還需詳細(xì)記錄合法用戶對校園網(wǎng)絡(luò)資源的訪問行為和訪問信息，便于之后的審計(jì)和追溯。

六 其他安全管理措施

校園網(wǎng)絡(luò)傳輸線路的安全。校園網(wǎng)絡(luò)傳輸線路所經(jīng)過的物理位置必須遠(yuǎn)離具有電磁干擾、輻射干擾等數(shù)據(jù)信號(hào)干擾源，如移動(dòng)和聯(lián)通的信號(hào)基站。校園網(wǎng)絡(luò)線路的安全傳輸。必須采取相應(yīng)的檢測手段來減少傳輸線路中數(shù)據(jù)的偵聽、竊取、QoS下降及欺騙等。

加強(qiáng)網(wǎng)絡(luò)維護(hù)人員的管理。配置門禁系統(tǒng)、監(jiān)控系統(tǒng)，增強(qiáng)相關(guān)設(shè)施的安全保衛(wèi)，對進(jìn)入機(jī)房的人員進(jìn)行管理（比如刷校園卡進(jìn)行管理），建立機(jī)房出入記錄日志。

七 結(jié)束語

通過拓?fù)浣Y(jié)構(gòu)將校園網(wǎng)絡(luò)劃分為主機(jī)保護(hù)區(qū)、服務(wù)器群保護(hù)區(qū)、接入層保護(hù)區(qū)、核心匯聚保護(hù)區(qū)和網(wǎng)絡(luò)邊緣保護(hù)區(qū)五個(gè)區(qū)域，然后分別根據(jù)各保護(hù)區(qū)的安全需求做出安全防范措施，從而使管理者能夠確保校園網(wǎng)絡(luò)的安全運(yùn)行。

參考文獻(xiàn)

[1]邢西深.校園網(wǎng)網(wǎng)絡(luò)安全掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].中國電化教育，2006（2）

[2]容強(qiáng).網(wǎng)絡(luò)入侵誘騙技術(shù)在高校網(wǎng)絡(luò)安全中的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2009（6）

[3]崔孝林.網(wǎng)絡(luò)安全評估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].中國科學(xué)技術(shù)大學(xué)，2009

〔責(zé)任編輯：林勁、李婷婷〕