陳 磊 李容權(quán)

摘要：本文針對高校多校區(qū)校園網(wǎng)絡(luò)規(guī)模不斷擴大、網(wǎng)絡(luò)用戶急速增加的特點，考慮多校區(qū)情況下網(wǎng)絡(luò)存在的多出口、網(wǎng)絡(luò)病毒、網(wǎng)絡(luò)安全漏洞、及制度管理等安全隱患，指出應(yīng)在物理安全、網(wǎng)絡(luò)運行安全、信息安全及安全管理等方面實施安全措施，提出了全面的安全防護策略。

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；安全防護策略

目前，全球信息化大潮正推動著高校的信息化進程，各高校積極拓寬網(wǎng)絡(luò)范圍。網(wǎng)絡(luò)范圍不斷擴展，加之多校區(qū)教學(xué)模式越來越多地出現(xiàn)在各大高校，在這種網(wǎng)絡(luò)用戶急速增加、校區(qū)之間通信要求越來越高的情況下，網(wǎng)絡(luò)安全隱患逐漸擺在了各高校網(wǎng)絡(luò)工作者的面前，面對如此嚴峻的網(wǎng)絡(luò)形式，如何最大程度地減小網(wǎng)絡(luò)安全隱患也是網(wǎng)絡(luò)工作者所需考慮的問題，那么究竟如何來完善高校多校區(qū)的網(wǎng)絡(luò)安全呢？本文將從校園網(wǎng)絡(luò)功能出發(fā)，逐漸提出一套全面的網(wǎng)絡(luò)管理策略。

一、高校網(wǎng)絡(luò)安全功能

校園網(wǎng)的功能架構(gòu)大致可以分為對內(nèi)部分、對外部分和網(wǎng)絡(luò)管理部分。對內(nèi)部分主要是指校園Internet，包括多媒體教室、辦公室、電子圖書館的建設(shè)，服務(wù)于學(xué)校的教學(xué)和管理；對外部分包括與Internet的連接與其他兄弟院校以及上級主管單位的連接，提供寬帶的接人服務(wù)等；而網(wǎng)絡(luò)管理則是這兩部分的橋梁和核心，擔(dān)負著整個網(wǎng)絡(luò)系統(tǒng)的管理和安全工作。一個安全狀態(tài)下的校園網(wǎng)，應(yīng)該能夠通過與廣域網(wǎng)的連接，實現(xiàn)遠程教育，為學(xué)校的教學(xué)、管理、日常辦公、內(nèi)外交流等方面提供全面、實用的支持。

二、校園網(wǎng)絡(luò)面臨的侵害

作為一種豐富的學(xué)習(xí)資源，信息化為教育所做的貢獻是毋庸質(zhì)疑的，但是同時，網(wǎng)絡(luò)社會與生俱來的不安全因素也無時無刻不在威脅教育網(wǎng)絡(luò)的健康發(fā)展，成為教育信息化建設(shè)中不可忽視的問題。

校園網(wǎng)面臨的威脅大體可分為對網(wǎng)絡(luò)中數(shù)據(jù)信息的威脅和對網(wǎng)絡(luò)設(shè)備的威脅。具體來說，危害網(wǎng)絡(luò)安全的主要威脅有：侵害網(wǎng)絡(luò)物理安全，非授權(quán)訪問，冒充合法用戶，破壞數(shù)據(jù)的完整性，干擾系統(tǒng)正常運行，減慢系統(tǒng)的響應(yīng)時間，利用病毒惡意攻擊、線路竊聽等。

三、多校區(qū)網(wǎng)絡(luò)安全隱患

隨著高校的發(fā)展，越來越多的學(xué)校開辟了多個校區(qū)共同教學(xué)這一模式。由于各校區(qū)網(wǎng)絡(luò)建設(shè)不平衡，采用的技術(shù)有差異，合并組建的多校區(qū)的校園網(wǎng)絡(luò)存在較多的安全隱患，主要有：

1.多出口問題。原來各個校區(qū)有獨立的到互聯(lián)網(wǎng)絡(luò)的出口，現(xiàn)在一個校區(qū)就有幾個出口，這就增加了網(wǎng)絡(luò)安全設(shè)備的投入和管理的難度。

2.物理安全問題。由于物理設(shè)備的放置不合適、規(guī)范措施不健全、防范措施不得力，使網(wǎng)絡(luò)資源遭受自然災(zāi)害、意外事故或人為破壞，從而造成校園網(wǎng)不能正常運行。

3.網(wǎng)絡(luò)安全漏洞。許多校園網(wǎng)絡(luò)擁有WWW、郵件、數(shù)據(jù)庫等服務(wù)器，還有重要的教學(xué)服務(wù)器，對于非專業(yè)人員來說，無法確切了解和解決每個服務(wù)器系統(tǒng)和整個網(wǎng)絡(luò)的安全缺陷及安全漏洞。

4.網(wǎng)絡(luò)中的病毒。在網(wǎng)絡(luò)中，病毒己從存儲介質(zhì)的感染發(fā)展為網(wǎng)絡(luò)通訊和電子郵件的感染上來，其傳播速度極快，破壞力更強，校園網(wǎng)上因主機與眾多用戶相連且用戶水平參差不齊，計算機病毒易爆發(fā)大規(guī)模感染且清除困難。

5.網(wǎng)絡(luò)安全等級差異問題。開辟了新校區(qū)的高校會根據(jù)新的規(guī)劃對學(xué)校各個部門進行重組和地理位置的遷移，那么勢必會影響到信息安全要求的重新調(diào)整，進而帶來網(wǎng)絡(luò)安全防范措施的調(diào)整，也帶來硬件和軟件的重新調(diào)整與配置。

6.安全制度問題。缺乏完整統(tǒng)一的安全策略，缺乏完善的、切實可行的管理和技術(shù)規(guī)范以及規(guī)章制度。

四、多校區(qū)網(wǎng)絡(luò)安全策略

隨著Internet的飛速發(fā)展，網(wǎng)絡(luò)安全技術(shù)也在與網(wǎng)絡(luò)攻擊的對抗中不斷發(fā)展完善，主要有：數(shù)字加密與數(shù)字簽名、身份認證、存取控制、堵漏、檢測、審核等，了解了高校網(wǎng)絡(luò)的安全隱患，可以依據(jù)網(wǎng)絡(luò)安全的需求，在實際網(wǎng)絡(luò)系統(tǒng)的安全實施中，配合使用各種安全技術(shù)來實現(xiàn)一個完整的網(wǎng)絡(luò)安全解決方案。

１．安全目標

①保證整個網(wǎng)絡(luò)的正常運行，尤其在遭受黑客攻擊的情況下；②保證信息數(shù)據(jù)的完整性和保密性，在網(wǎng)絡(luò)傳輸時數(shù)據(jù)不被修改和不被竊?。虎劬哂锌茖W(xué)的安全風(fēng)險評估；④保證網(wǎng)絡(luò)的穩(wěn)定性，安全措施不形成網(wǎng)絡(luò)的負擔(dān)而且提供全天候滿意服務(wù)和應(yīng)用。

２．安全策略

針對校園網(wǎng)的安全隱患，結(jié)合校園網(wǎng)的主要功能，分析網(wǎng)絡(luò)安全的主要目標后，可以根據(jù)網(wǎng)絡(luò)的層次結(jié)構(gòu)模型，系統(tǒng)地架構(gòu)各層的安全措施，實施一系列安全策略。

4.2.1采用一系列物理安全技術(shù)

建設(shè)校園網(wǎng)時，設(shè)備的選用在校園網(wǎng)中占據(jù)舉足輕重的作用，硬件系統(tǒng)安全因素主要有：

1）提高服務(wù)器性能

在校園網(wǎng)中服務(wù)器起著主導(dǎo)作用，其性能的優(yōu)劣直接影響著校園網(wǎng)的運行安全性以及網(wǎng)絡(luò)服務(wù)的質(zhì)量。在服務(wù)器選用上，要求該服務(wù)器具有較高的可用性、可靠性、可擴展性，支持對稱多處理器。(下轉(zhuǎn)第51頁)

（上接第26頁）

2）采用多層交換技術(shù)

隨著網(wǎng)絡(luò)交換技術(shù)的發(fā)展，三層交換機或更多層交換機業(yè)已應(yīng)運而生，規(guī)劃校園網(wǎng)時，中心交換機應(yīng)考慮采用三層交換技術(shù)。三層交換技術(shù)可以完成常規(guī)交換機的網(wǎng)絡(luò)連接功能，又可以解決局域網(wǎng)網(wǎng)段劃分問題，解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。

3）采用電源保護技術(shù)

采取良好的屏蔽及避雷措施，防止雷電干擾；防盜技術(shù)，安裝報警器和各種監(jiān)視系統(tǒng)及安全門鎖；環(huán)境保護，按計算機安全場地要求采取防火、防水、防震、防靜電技術(shù)措施；磁兼容性，采取電磁屏蔽及良好的接地手段，使系統(tǒng)中的設(shè)備不與周圍其他設(shè)備互相影響；抑制和防止電磁漏洞，為防止電磁泄露，需采取低輻射的設(shè)備和電磁屏蔽等措施；合理配置系統(tǒng)，限制普通用戶登錄，校園網(wǎng)主機的操作系統(tǒng)盡量采用UNIX。

4.2.2廣域網(wǎng)和局域網(wǎng)之間的訪問控制

對特定的網(wǎng)段、服務(wù)，建立有效的訪問控制體系，使大多數(shù)攻擊到達之前就能進行阻止。通過路由器上的防火墻來實現(xiàn)廣域網(wǎng)和校園網(wǎng)之間的訪問控制，應(yīng)選用包過濾型防火墻，包過濾安裝在路由器上，對IP源地址、IP目的地址、封裝協(xié)議、端口號等進行篩選，以達到限制非法網(wǎng)絡(luò)訪問的目的。

4.2.3局域網(wǎng)的安全訪問控制

內(nèi)部網(wǎng)絡(luò)安全控制的指導(dǎo)思想是將非法用戶和網(wǎng)絡(luò)資源之間相隔離。不同系統(tǒng)的用戶能夠訪問其他系統(tǒng)這是安全的隱患，采用技術(shù)手段控制內(nèi)部網(wǎng)絡(luò)的訪問是必要的。

4.2.4對集中訪問者的鑒別在建立全網(wǎng)通信的身份識別系統(tǒng)后可實現(xiàn)用戶的統(tǒng)一管理，統(tǒng)一授權(quán)，防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源。

4.2.5網(wǎng)絡(luò)病毒的防范

計算機病毒的威脅力和破壞力不可估量。在校園網(wǎng)系統(tǒng)中，應(yīng)建立多層次的病毒防衛(wèi)體系，以保證信息的安全和系統(tǒng)的正常運行，預(yù)防病毒、檢測病毒技術(shù)、消除病毒技術(shù)也應(yīng)在網(wǎng)絡(luò)防毒工作中全面采用。

4.2.6備份

備份包括網(wǎng)絡(luò)通信運行系統(tǒng)的備份和網(wǎng)絡(luò)設(shè)備、通信線路的備份。網(wǎng)絡(luò)通信參數(shù)、配置的備份應(yīng)根據(jù)網(wǎng)絡(luò)的重要性制訂詳細的備份計劃，確保故障發(fā)生后可快速地恢復(fù)運行數(shù)據(jù)。設(shè)備和線路的備份可根據(jù)網(wǎng)絡(luò)運行的故障率準備一定冗余，在網(wǎng)絡(luò)某部分發(fā)生故障時，其他部分可自行啟用或迅速切換。

4.2.7信息過濾

在網(wǎng)絡(luò)中采用鏡像偵聽方式對偵聽端口的所有數(shù)據(jù)進行收集，收集的信息包括各種協(xié)議的網(wǎng)絡(luò)傳輸數(shù)據(jù)，根據(jù)關(guān)鍵字對有害信息進行過濾。

4.2.8建立完善的管理制度

首先，建立機房管理制度，它包括機房值班、機房安全級劃分和工作人員進出機房與用機登記；其次建立責(zé)任分工制度，明確職責(zé)，各司其職；制定權(quán)限管理制度，規(guī)定上機人員不能越權(quán)操作；最后制定安全監(jiān)督管理制度，用專人對系統(tǒng)使用情況實行監(jiān)控，防止非法操作，對發(fā)現(xiàn)的異常情況，要采取有效措施加以控制。

五、結(jié)束語

在高校多校區(qū)共同教學(xué)這一前提下，網(wǎng)絡(luò)安全應(yīng)貫穿于校園網(wǎng)規(guī)范、設(shè)計、建設(shè)、運行、管理等各個環(huán)節(jié)，只有全面了解各校區(qū)的網(wǎng)絡(luò)狀況，及網(wǎng)絡(luò)安全中存在的軟、硬件差異，了解網(wǎng)絡(luò)安全隱患，才能因地制宜地制訂安全策略，落實安全管理制度，并加強對上網(wǎng)用戶的安全知識及相關(guān)安全法規(guī)的培訓(xùn)。

【參考文獻】

[1]方向明.高校網(wǎng)絡(luò)信息安全與管理，《安徽工業(yè)大學(xué)學(xué)報》，2003，(20).

[2]俞承抗．特殊校園網(wǎng)安全解決方案工程，碩士專業(yè)學(xué)位論文，四川大學(xué)，2003.

[3]李春玲．遼寧稅務(wù)高等?？茖W(xué)校校園網(wǎng)系統(tǒng)設(shè)計與規(guī)劃，碩士學(xué)問論文，大連理工大學(xué)，2002.

[4]于新?。筮B電力學(xué)校校園網(wǎng)設(shè)計與實現(xiàn)，碩士學(xué)位論文，大連理工大學(xué)，2003.