傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略分析

周怡燕

（南華工商學(xué)院，廣東　清遠(yuǎn)　511510）

?

傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略分析

周怡燕

（南華工商學(xué)院，廣東清遠(yuǎn)511510）

摘要：高校在建設(shè)的時(shí)候，網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)安全設(shè)計(jì)等都是根據(jù)當(dāng)時(shí)的實(shí)際情況再預(yù)計(jì)未來(lái)一段時(shí)間的擴(kuò)展性來(lái)設(shè)計(jì)，許多網(wǎng)絡(luò)系統(tǒng)、設(shè)備等到目前為止已經(jīng)開(kāi)始落后。網(wǎng)絡(luò)數(shù)據(jù)的井噴與網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展，更是進(jìn)一步考驗(yàn)高校現(xiàn)有網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性。雖然，許多高校隨著時(shí)代的不斷發(fā)展，也在不斷地更新?lián)Q代新的設(shè)備，但是更換新一代的設(shè)備只是性能上的進(jìn)一步提升，對(duì)于數(shù)據(jù)處理、轉(zhuǎn)發(fā)是跟得上時(shí)代的發(fā)展，不過(guò)對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)卻遠(yuǎn)遠(yuǎn)不足。

關(guān)鍵詞：網(wǎng)絡(luò)安全；校園網(wǎng)；策略

1　校園網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

早期大部分高等院校校園建設(shè)的時(shí)候，信息化規(guī)劃跟不上學(xué)校教育的擴(kuò)展，許多高等院校的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)都是簡(jiǎn)單的層次化網(wǎng)絡(luò)結(jié)構(gòu)（見(jiàn)圖1）：接入層、匯聚層、核心層級(jí)聯(lián)，再通過(guò)防火墻出口外部網(wǎng)絡(luò)，同時(shí)保證外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的威脅被阻止，相對(duì)高級(jí)一些的設(shè)計(jì)還可能包括IDS（入侵檢測(cè)系統(tǒng)），隨著學(xué)校的不斷發(fā)展，一步步在原有的基礎(chǔ)網(wǎng)絡(luò)上添加新設(shè)備來(lái)豐富網(wǎng)絡(luò)組成，并提供更多的網(wǎng)絡(luò)服務(wù)。

圖1　院?；A(chǔ)網(wǎng)絡(luò)架構(gòu)

2　傳統(tǒng)網(wǎng)絡(luò)攻擊過(guò)程

在從前，主要的網(wǎng)絡(luò)安全威脅來(lái)自基于各種漏洞而進(jìn)行的網(wǎng)絡(luò)攻擊和下載帶病毒的軟件包而導(dǎo)致的系統(tǒng)病毒感染。而這些傳統(tǒng)的網(wǎng)絡(luò)攻擊手段之后，才是在被攻破的系統(tǒng)中留下木馬、后門(mén)，或者破壞、竊取數(shù)據(jù)。這些傳統(tǒng)的攻擊手段是層層遞進(jìn)式的（見(jiàn)圖2），從攻擊的開(kāi)始到結(jié)束以遞進(jìn)的形式進(jìn)行，如果前面的步驟無(wú)法實(shí)現(xiàn)，則整個(gè)網(wǎng)絡(luò)攻擊過(guò)程將會(huì)中斷。這些傳統(tǒng)的網(wǎng)絡(luò)攻擊包括諸如DoS攻擊、DDoS攻擊、系統(tǒng)入侵、網(wǎng)絡(luò)滲透等。

圖2　傳統(tǒng)網(wǎng)絡(luò)攻擊過(guò)程

不斷重復(fù)這樣的一個(gè)網(wǎng)絡(luò)攻擊過(guò)程，當(dāng)累積到一定的量后所組成的網(wǎng)絡(luò)僵尸大軍將對(duì)整個(gè)網(wǎng)絡(luò)造成非常嚴(yán)重的影響。

3　傳統(tǒng)校園網(wǎng)絡(luò)安全防范體系

根據(jù)傳統(tǒng)的網(wǎng)絡(luò)攻擊過(guò)程，在許多的院校的基礎(chǔ)網(wǎng)絡(luò)中都會(huì)加入相應(yīng)的網(wǎng)絡(luò)安全防范措施，這些網(wǎng)絡(luò)安全防范措施就構(gòu)成了常見(jiàn)的校園網(wǎng)絡(luò)安全防范體系（見(jiàn)圖3）。而在傳統(tǒng)的高校校園網(wǎng)絡(luò)安全防范體系中，將網(wǎng)絡(luò)安全防御定義為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和用戶3個(gè)層次，而每個(gè)層次中有針對(duì)該層次的網(wǎng)絡(luò)安全設(shè)備和措施。

對(duì)于外部網(wǎng)絡(luò)這一個(gè)層面，直接面對(duì)的是防火墻，很多的院校網(wǎng)絡(luò)都采用防火墻作網(wǎng)絡(luò)出口，承擔(dān)著網(wǎng)關(guān)與防火墻的雙重功能。采用防火墻作為外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的邊界，可以有效地阻止大部分來(lái)自于外部網(wǎng)絡(luò)的惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定。在防火墻之后部署一臺(tái)入侵防御系統(tǒng)，可以進(jìn)一步檢測(cè)可能避過(guò)防火墻的安全檢測(cè)而進(jìn)入網(wǎng)絡(luò)的惡意流量。

在內(nèi)部網(wǎng)絡(luò)這個(gè)層面，傳統(tǒng)的網(wǎng)絡(luò)安全體系中一般沒(méi)有什么網(wǎng)絡(luò)安全設(shè)備，在這個(gè)層次主要采用的是基于策略的網(wǎng)絡(luò)安全措施，也就是所謂的軟設(shè)備。通過(guò)網(wǎng)絡(luò)設(shè)備中進(jìn)行軟件層面的安全策略設(shè)計(jì)，保證內(nèi)部網(wǎng)絡(luò)流量的正常穩(wěn)定的轉(zhuǎn)發(fā)。例如，采用訪問(wèn)控制列表來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行一些控制，不允許學(xué)生訪問(wèn)教師網(wǎng)絡(luò)資源；使用QoS功能保證數(shù)據(jù)的高效轉(zhuǎn)發(fā)，設(shè)置安全端口，MAC與IP地址的綁定，甚至更高級(jí)的基于802.1x的認(rèn)證。

到了用戶層面，主要確保的是操作系統(tǒng)的安全，因?yàn)楹芏鄲阂獾墓糗浖⒉《?、木馬或入侵軟件都是基于操作系統(tǒng)漏洞進(jìn)行滲透破壞的，所以在用戶這個(gè)層面，針對(duì)操作系統(tǒng)要打好操作系統(tǒng)的補(bǔ)丁、安裝功能強(qiáng)大的殺毒軟件，開(kāi)啟操作系統(tǒng)自帶的軟件防火墻或者殺毒軟件的防火墻，進(jìn)一步，加強(qiáng)用戶層面的安全性。即使用有瞞過(guò)防火墻，混過(guò)入侵防護(hù)系統(tǒng)的漏網(wǎng)之魚(yú)，也可以在用戶層面進(jìn)行補(bǔ)救。

圖3　傳統(tǒng)網(wǎng)絡(luò)安全防御體系

采用這種傳統(tǒng)的網(wǎng)絡(luò)安全體系進(jìn)行網(wǎng)絡(luò)安全的設(shè)計(jì)部署，在以前的網(wǎng)絡(luò)時(shí)代還是有很好的效果的，但是，現(xiàn)今進(jìn)入了網(wǎng)絡(luò)時(shí)代2.0，新的技術(shù)、新的威脅層出不窮，此時(shí)舊的網(wǎng)絡(luò)安全體系在網(wǎng)絡(luò)安全防護(hù)上表現(xiàn)得就有些捉襟見(jiàn)肘了。校園網(wǎng)絡(luò)需要推陳出新，結(jié)合現(xiàn)在的校園網(wǎng)絡(luò)及互聯(lián)網(wǎng)絡(luò)的發(fā)展趨勢(shì)，設(shè)計(jì)更合適更合理的網(wǎng)絡(luò)安全解決方案。

4　傳統(tǒng)網(wǎng)絡(luò)安全策略應(yīng)用分析

傳統(tǒng)校園網(wǎng)絡(luò)安全解決方案使用的網(wǎng)絡(luò)安全策略應(yīng)用是基于不同層面進(jìn)行區(qū)分的，針對(duì)不同層面分別部署相對(duì)應(yīng)的網(wǎng)絡(luò)安全設(shè)備或網(wǎng)絡(luò)安全策略。這種網(wǎng)絡(luò)安全策略應(yīng)用主要是針對(duì)從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行檢測(cè)控制，正如防火墻功能一樣，定義了外部非安全區(qū)域、內(nèi)部安全區(qū)域和DMZ區(qū)域，然后給這些區(qū)域定義安全等級(jí)和默認(rèn)策略。

這種安全體系的設(shè)計(jì)對(duì)于以前的網(wǎng)絡(luò)攻擊過(guò)程（見(jiàn)圖4）來(lái)說(shuō)是可以滿足校園網(wǎng)絡(luò)安全的需求的。在以前的網(wǎng)絡(luò)環(huán)境中，攻擊主要來(lái)自外部，內(nèi)部的安全等級(jí)是可信的，所以外部的攻擊流量經(jīng)過(guò)防火墻后，基本上已經(jīng)抵御了，再經(jīng)過(guò)IPS或IDS設(shè)備后，到達(dá)用戶層面時(shí)還要經(jīng)過(guò)操作系統(tǒng)或殺毒軟件防火墻后，可以成功攻擊目標(biāo)的惡意行為已經(jīng)降到了可接受層面范圍。所以，從前的校園網(wǎng)絡(luò)安全情況比現(xiàn)在相對(duì)要好一些。

如圖4的攻擊過(guò)程示意所示，基于原有的網(wǎng)絡(luò)安全策略應(yīng)用對(duì)于起源自外部網(wǎng)絡(luò)的攻擊可以做到有效防范，但是正如前文提到的，現(xiàn)在越來(lái)越多的現(xiàn)象是，內(nèi)部用戶通過(guò)其他途徑感染了自動(dòng)下載代碼或木馬端等惡意源后，從內(nèi)部發(fā)起攻擊或者自動(dòng)下載各式各樣病毒木馬直接破壞用戶操作系統(tǒng)，并以此為跳板，從內(nèi)部網(wǎng)絡(luò)感染、攻擊其他用戶主機(jī)、學(xué)校服務(wù)器等設(shè)備，導(dǎo)致學(xué)校網(wǎng)絡(luò)受到嚴(yán)重影響進(jìn)一步影響學(xué)校的正常教學(xué)秩序。

圖4　原有校園網(wǎng)絡(luò)安全體系的攻擊過(guò)程

原有的校園網(wǎng)絡(luò)安全策略應(yīng)用基于單向防護(hù)、由3個(gè)獨(dú)立層面以遞進(jìn)的方式構(gòu)建的校園網(wǎng)絡(luò)防御系統(tǒng)，其性能已經(jīng)無(wú)法適應(yīng)現(xiàn)時(shí)復(fù)雜多樣化的校園網(wǎng)絡(luò)環(huán)境。因此，針對(duì)這個(gè)舊的網(wǎng)絡(luò)安全策略應(yīng)用的不足，需要一個(gè)更合適更優(yōu)秀的校園網(wǎng)絡(luò)安全策略。

5　傳統(tǒng)網(wǎng)絡(luò)安全策略架構(gòu)分析

在院校用的舊的校園網(wǎng)絡(luò)解決方案中，采用的基礎(chǔ)架構(gòu)簡(jiǎn)單實(shí)用，在從前的網(wǎng)絡(luò)時(shí)代，無(wú)論是外部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量都不并是很大，而且那時(shí)候無(wú)論是師生的日常生活還是教學(xué)活動(dòng)中，對(duì)網(wǎng)絡(luò)的依賴程度也不高，所以如圖1所示的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也足夠用。

不過(guò)，隨著人們對(duì)網(wǎng)絡(luò)的依賴性的不斷加強(qiáng)，以及信息化教學(xué)的廣泛推廣，校園網(wǎng)絡(luò)中產(chǎn)生了越來(lái)越多的數(shù)據(jù)，并且日常教學(xué)也有絕大部分是基于網(wǎng)絡(luò)的。這個(gè)時(shí)候，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)就存在不足，主要體現(xiàn)在網(wǎng)絡(luò)單點(diǎn)故障現(xiàn)象導(dǎo)致的網(wǎng)絡(luò)中斷而影響師生的生活學(xué)習(xí)和學(xué)校的教學(xué)秩序。

現(xiàn)在新規(guī)劃的校園網(wǎng)絡(luò)中，校園網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相對(duì)復(fù)雜，但是性能和安全性都有所提升?，F(xiàn)有校園網(wǎng)絡(luò)基本上都是基于雙網(wǎng)絡(luò)核心熱備以提高網(wǎng)絡(luò)的安全性和可靠性的設(shè)計(jì)，根據(jù)學(xué)校的需求，可以選擇在關(guān)鍵節(jié)點(diǎn)部署雙機(jī)熱備提供安全可靠性，避免了原有基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的不足。

6　網(wǎng)絡(luò)安全策略應(yīng)用技術(shù)分析

經(jīng)過(guò)調(diào)查了解，現(xiàn)在校園網(wǎng)絡(luò)中采用的技術(shù)有很多都不符合標(biāo)準(zhǔn)，例如密碼的復(fù)雜性，這個(gè)最基本的一條都做不到。另外，學(xué)校管理中使用的技術(shù)不足，如管理網(wǎng)絡(luò)設(shè)備使用telnet協(xié)議而不是采用ssh，對(duì)管理流量與數(shù)據(jù)流量沒(méi)有區(qū)分控制，無(wú)線網(wǎng)絡(luò)的加密算法采用容易破解的算法等等。這些技術(shù)細(xì)節(jié)上的不足，也會(huì)導(dǎo)致校園網(wǎng)絡(luò)安全受到威脅。因此，在新的網(wǎng)絡(luò)安全策略應(yīng)用中，應(yīng)該注意相關(guān)網(wǎng)絡(luò)安全技術(shù)的使用是否符合安全等級(jí)的要求。

7　傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略應(yīng)用的優(yōu)點(diǎn)

對(duì)于傳統(tǒng)的高校校園網(wǎng)絡(luò)安全解決辦法來(lái)說(shuō)，好處就是學(xué)校的信息化建設(shè)方案相對(duì)簡(jiǎn)單，管理相對(duì)便捷，在數(shù)據(jù)量以及網(wǎng)絡(luò)依賴性不高的院校，或資金不足的院校具有一定的參考作用。

8　傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略應(yīng)用的缺點(diǎn)

對(duì)于傳統(tǒng)的高校校園網(wǎng)絡(luò)安全解決辦法來(lái)說(shuō)，弊端就是學(xué)校校園網(wǎng)絡(luò)安全受到嚴(yán)重威脅，來(lái)自校園網(wǎng)絡(luò)外部、內(nèi)部、系統(tǒng)自身產(chǎn)生的安全威脅匯集起來(lái)使用整個(gè)校園網(wǎng)絡(luò)的復(fù)雜性、不穩(wěn)定性大大增加，最后導(dǎo)致網(wǎng)絡(luò)安全性大大降低。

［參考文獻(xiàn)］

［1］鄒縣芳，孫道德.高校校園網(wǎng)絡(luò)安全問(wèn)題及策略研究［J］.阜陽(yáng)師范學(xué)院學(xué)報(bào)：自然科學(xué)版，2010（27）：87-90.

［2］杜蕓.高校校園網(wǎng)網(wǎng)絡(luò)安全隱患與解決策略探析［J］.信息安全與技術(shù)，2015（6）：13-15.

［3］王超，林峰.高校校園網(wǎng)絡(luò)安全管理策略［J］.科技資訊，2007（7）：160-161.

［4］杜波.高校校園網(wǎng)絡(luò)信息安全技術(shù)與策略研究［J］.中國(guó)校外教育，2011（6）：165-166.

［5］王濤.高校校園網(wǎng)絡(luò)安全策略分析［J］.硅谷，2009（9）：174.

Analysis on Traditional College Campus Network Security Policy

Zhou Yiyan
(South China Industrial and Commercial College, Qingyuan511510, China)

Abstract：In the construction of colleges and universities, the network planning, network security design and so on all is according to the actual situation in the next period of time again extensibility to design, many network system, device, until now has already started to fall behind. Blowout network data with the rapid development of network applications, to further test the existing network security, reliability and stability. Although many colleges and universities, with the continuous development of the era, is in constant upgrading of new equipment, but the replacement of a new generation of devices is to further improve the performance, for data processing, forwarding is keep up with the development of The Times, but far less than for network security.

Key words：network security; campus network; strategy

作者簡(jiǎn)介：周怡燕（1985-），女，江西新干，本科；研究方向：計(jì)算機(jī)科學(xué)與技術(shù)。