張健

（安徽三聯(lián)學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，安徽 合肥 230601）

淺談安徽三聯(lián)學(xué)院校園網(wǎng)絡(luò)安全管理

張健

（安徽三聯(lián)學(xué)院 計(jì)算機(jī)科學(xué)與技術(shù)系，安徽 合肥 230601）

隨著校園網(wǎng)的深入應(yīng)用，學(xué)校日常工作已經(jīng)離不開它，保證校園網(wǎng)絡(luò)安全、可靠運(yùn)行成為一個(gè)基本要求.從學(xué)校的應(yīng)用情況來看，校園網(wǎng)是否能真正發(fā)揮效益，能否安全、可靠運(yùn)行，關(guān)鍵還是要看網(wǎng)絡(luò)的管理.通過分析安徽三聯(lián)學(xué)院校園網(wǎng)結(jié)構(gòu)特點(diǎn)、需求分析、提出維護(hù)校園網(wǎng)安全管理的策略，進(jìn)一步探索加強(qiáng)校園網(wǎng)絡(luò)安全管理的解決途徑.

安徽三聯(lián)學(xué)院；校園網(wǎng)；網(wǎng)絡(luò)安全；管理策略

信息化進(jìn)程的深入和互聯(lián)網(wǎng)的快速發(fā)展，校園網(wǎng)絡(luò)化成為大學(xué)信息化建設(shè)的發(fā)展趨勢(shì)，并且作為學(xué)校信息化建設(shè)的基礎(chǔ)設(shè)施，在教學(xué)、科研、管理等方面起著舉足輕重的作用，尤其我們安徽三聯(lián)學(xué)院這樣新升格的本科院校.但隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡(luò)病毒等等已經(jīng)屢見不鮮,但是在高校網(wǎng)絡(luò)建設(shè)的過程中，由于對(duì)技術(shù)的偏好和運(yùn)營意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問題[4,5].

1 安徽三聯(lián)學(xué)院校園網(wǎng)的結(jié)構(gòu)特點(diǎn)

隨著教育科研網(wǎng)在中國教育科研領(lǐng)域的深入發(fā)展，校園網(wǎng)信息化建設(shè)也日趨完善.總結(jié)我校校園網(wǎng)信息結(jié)構(gòu)的特點(diǎn)，主要有以下幾個(gè)方面：

(1)校園網(wǎng)具備完善、層次化的網(wǎng)絡(luò)匯結(jié)結(jié)構(gòu)，有統(tǒng)一的教育網(wǎng)出口.它是全國高校網(wǎng)的信息互通平臺(tái)，同時(shí)也是通向國際互聯(lián)網(wǎng)的傳輸紐帶.

(2)校園網(wǎng)內(nèi)建立了一系列重要的應(yīng)用系統(tǒng)，負(fù)責(zé)我校日常的信息管理工作，如學(xué)生檔案管理、教務(wù)管理、人事管理、財(cái)務(wù)管理、后勤管理等.

(3)校園網(wǎng)的另一個(gè)重要網(wǎng)絡(luò)是學(xué)?？蒲屑爸攸c(diǎn)試驗(yàn)室網(wǎng)絡(luò).這部分網(wǎng)絡(luò)往往都承擔(dān)了國家級(jí)的課題項(xiàng)目，里面涉及到的信息級(jí)別較高.

(4)隨著信息化程度的深入，校園內(nèi)學(xué)生宿舍區(qū)的終端數(shù)量日益膨脹.與此同時(shí)，教工家屬區(qū)的PC也通過校園網(wǎng)的網(wǎng)絡(luò)資源連入教育科研網(wǎng).對(duì)于這兩類終端，他們的特點(diǎn)是數(shù)量龐大，占用帶寬較高且不易管理[3,4].

2 安徽三聯(lián)學(xué)院校園網(wǎng)安全需求分析

校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù)目較多，認(rèn)真分析可以總結(jié)出我校校園網(wǎng)面臨著如下的安全威脅：

（1）軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅，包括操作系統(tǒng)和應(yīng)用軟件自身存在的安全漏洞和網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞；

（2）Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在非法訪問或惡意入侵的威脅；

（3）來自校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng).內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng)；

（4）內(nèi)部用戶對(duì)Internet的非法訪問威脅，如瀏覽非法網(wǎng)站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；

（5）內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；

（6）校園網(wǎng)內(nèi)的學(xué)生群體是主要的OICQ用戶，目前針對(duì)OICQ的黑客程序隨處可見；

（7）可能會(huì)因?yàn)樾@網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全，帶來校園網(wǎng)的威脅[3,6].

3 安徽三聯(lián)學(xué)院校園網(wǎng)絡(luò)安全管理策略

3.1 規(guī)范出口的管理

實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須對(duì)原有的網(wǎng)絡(luò)架構(gòu)進(jìn)行改造，首先需要解決的就是多出口的問題.出口如果不進(jìn)行規(guī)范管理，校園網(wǎng)絡(luò)安全體系就無法得以實(shí)施.因此，做為校園網(wǎng)絡(luò)管理機(jī)構(gòu)必須將所有的校園網(wǎng)絡(luò)出口統(tǒng)一管理，嚴(yán)禁私自開后門的情況出現(xiàn)，為安全的實(shí)施提供最基礎(chǔ)的保障.

3.2 防火墻控制策略

防火墻技術(shù)是保證網(wǎng)絡(luò)安全最早,也是最廣泛使用的產(chǎn)品，曾經(jīng)被認(rèn)為是網(wǎng)絡(luò)安全最有效的技術(shù)措施[2].隨著網(wǎng)絡(luò)攻擊和病毒技術(shù)的發(fā)展,防火墻已經(jīng)不是網(wǎng)絡(luò)安全的“萬能產(chǎn)品”，但是作為防止網(wǎng)絡(luò)攻擊，特別是來自外網(wǎng)的攻擊，防火墻功能仍然是目前其他產(chǎn)品無法替代的.

防火墻的設(shè)置可以根據(jù)具體的功能而定，作為網(wǎng)絡(luò)總出入口，可以設(shè)置高性能的硬件防火墻，而在內(nèi)部的各個(gè)必要節(jié)點(diǎn)上則可以靈活設(shè)置其他的防火墻產(chǎn)品.通過必要的防火墻設(shè)置，可以按照服務(wù)功能將校園網(wǎng)劃分成多個(gè)安全區(qū)域和公共區(qū)域，并定制多種防范策略，保證網(wǎng)絡(luò)應(yīng)用服務(wù)的正常開展[6,7].

3.3 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)

試圖破壞信息系統(tǒng)的完整性、機(jī)密性、可信性的任何網(wǎng)絡(luò)活動(dòng)，都稱為網(wǎng)絡(luò)入侵.入侵檢測(cè)的定義為，識(shí)別針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)資源的惡意企圖和行為，并對(duì)此做出反應(yīng)的過程.它不僅檢測(cè)來自外部的入侵行為，同時(shí)也檢測(cè)來自內(nèi)部用戶的未授權(quán)活動(dòng).入侵檢測(cè)應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán)，還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)[2,8].

3.4 數(shù)據(jù)加密

由于在現(xiàn)實(shí)生活中，我們要確保一些敏感的數(shù)據(jù)只能被有相應(yīng)權(quán)限的人看到，要確保信息在傳輸?shù)倪^程中不會(huì)被篡改、截取等，僅僅通過身份驗(yàn)證技術(shù)是不能做到的,這時(shí)我們就需要考慮應(yīng)用數(shù)據(jù)加密技術(shù)對(duì)校園網(wǎng)上的信息進(jìn)行加密處理了.常用的數(shù)據(jù)加密技術(shù)有兩類：對(duì)稱加密和非對(duì)稱加密.對(duì)稱加密就是對(duì)信息的加密和解密都使用相同的密鑰，也就是說一把鑰匙開一把鎖.而非對(duì)稱加密就是把密鑰被分解為一對(duì)(即公開密鑰和私有密鑰).這對(duì)密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開，而另一把作為私有密鑰(解密密鑰)加以保存[2,8].

3.5 配備完整的系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備

校園網(wǎng)絡(luò)雖然比較復(fù)雜，但從整體技術(shù)架構(gòu)來看，還是屬于局域網(wǎng)范疇，因此，在局域網(wǎng)和外部網(wǎng)絡(luò)接口處配置統(tǒng)一的網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備即可將絕大多數(shù)外部攻擊拒之門外.另外需要注意的是，校園網(wǎng)絡(luò)現(xiàn)在基本上都是高速網(wǎng)絡(luò)，因此配置安全設(shè)備既要考慮到功能同時(shí)也必須考慮性能，將配置安全設(shè)備后對(duì)網(wǎng)絡(luò)性能的影響盡可能的降到最低.據(jù)此要求，校園網(wǎng)絡(luò)需要配備以下安全設(shè)備：

（1）漏洞掃描系統(tǒng)

（2）安全審計(jì)系統(tǒng)

（3）旁路監(jiān)聽型不良內(nèi)容過濾系統(tǒng)

（4）覆蓋全校范圍的網(wǎng)絡(luò)版防病毒系統(tǒng)

（5）網(wǎng)絡(luò)故障檢測(cè)以及網(wǎng)絡(luò)故障診斷設(shè)備

通過配置以上安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決[5].

3.6 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)

校園網(wǎng)絡(luò)基礎(chǔ)安全設(shè)施配備后，必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，用戶身份如果得不到落實(shí)，即便發(fā)現(xiàn)了安全問題也大多只能不了了之.同時(shí)全校的統(tǒng)一身份認(rèn)證系統(tǒng)，是學(xué)校信息化建設(shè)中必須要考慮的一個(gè)非常重要建設(shè)內(nèi)容.現(xiàn)在的校園網(wǎng)內(nèi)的一些應(yīng)用系統(tǒng)或多或少的有具有一定的身份認(rèn)證功能，但從安全性、通用性、及時(shí)性和權(quán)威性來看，都不能令人滿意，而且存在很大的安全隱患.為此，必須建立基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證[5].

3.7 嚴(yán)格規(guī)范上網(wǎng)場(chǎng)所的管理，集中進(jìn)行監(jiān)控和管理

校園網(wǎng)絡(luò)建設(shè)從教學(xué)科研的角度出發(fā)，應(yīng)該鼓勵(lì)建設(shè)更多的公眾上網(wǎng)場(chǎng)所，給學(xué)校師生提供了解網(wǎng)絡(luò)和通過網(wǎng)絡(luò)學(xué)習(xí)、工作的方便，這一點(diǎn)我們安徽三聯(lián)學(xué)院也做了很多工作.但從安全管理的角度來看，對(duì)于眾多上網(wǎng)場(chǎng)所的管理，只有使用統(tǒng)一的機(jī)房管理軟件、集中身份認(rèn)證并且進(jìn)行集中的管理和監(jiān)控，才可以有效的保證網(wǎng)絡(luò)安全.要解決用戶上網(wǎng)身份認(rèn)證、上網(wǎng)日志保存和查詢的問題，最有效的解決辦法就是采用集中身份認(rèn)證、集中管理監(jiān)控的方式，具體來說有以下兩個(gè)步驟：

（1）用戶使用網(wǎng)絡(luò)首先通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，非合法用戶無法使用校園網(wǎng)絡(luò).

（2）合法用戶上網(wǎng)的行為受到統(tǒng)一的監(jiān)控并且上網(wǎng)行為日志集中保存在中心服務(wù)器上.這樣既可以不給機(jī)房管理增加負(fù)擔(dān)，同時(shí)也可以提供至少三個(gè)月以上的日志備查.另外，由于是將訪問日志直接傳送到中心監(jiān)控服務(wù)器上，這保證了這個(gè)記錄的嚴(yán)肅性和準(zhǔn)確性[3,4].

3.8 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能

大多校園網(wǎng)絡(luò)使用的免費(fèi)的電子郵件系統(tǒng)，由于功能和性能等多方面的差距，已經(jīng)明顯不適應(yīng)用戶使用和網(wǎng)絡(luò)安全對(duì)郵件系統(tǒng)的要求；另外，在安全管理方面，無法提供及時(shí)的監(jiān)控和日志，對(duì)一些有害信息無法進(jìn)行過濾，也成為了校園網(wǎng)絡(luò)安全管理的主要隱患.從網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)應(yīng)用的要求來看，改造校園網(wǎng)絡(luò)電子郵件系統(tǒng)是勢(shì)在必行的[1].

3.9 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺(tái)網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全建設(shè)是“三分設(shè)備，七分管理”，沒有切實(shí)可行的安全保障體系和制度，網(wǎng)絡(luò)安全就變成了空談.必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理[4].另外，學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患.

4 結(jié)束語

互聯(lián)網(wǎng)的分布特性決定了不可能從主干網(wǎng)上解決校園網(wǎng)的安全問題，校園網(wǎng)絡(luò)的安全是整體的、動(dòng)態(tài)的，同時(shí)還必須有完善的安全管理規(guī)章制度和專門管理人才，才能有效地實(shí)現(xiàn)校園網(wǎng)絡(luò)安全、可靠、穩(wěn)定的運(yùn)行[3].加強(qiáng)校園網(wǎng)安全管理仍然是當(dāng)前形勢(shì)下教育和科研網(wǎng)絡(luò)環(huán)境安全管理的重點(diǎn).加強(qiáng)校園網(wǎng)安全管理管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù).

〔1〕黃中偉.計(jì)算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)[M].北京:人民郵電出版社,2006.

〔2〕王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京:清華大學(xué)出版社, 2008.

〔3〕李振汕.關(guān)于校園網(wǎng)絡(luò)安全管理[J].計(jì)算機(jī)安全,2008(3).

〔4〕付沙.基于校園網(wǎng)的信息安全策略研究[J].科技和產(chǎn)業(yè), 2007(12).

〔5〕許開宇.校園網(wǎng)絡(luò)安全技術(shù)和BT技術(shù)應(yīng)用研究[D].長春:吉林大學(xué),2006.

〔6〕黃峰.校園網(wǎng)防火墻的規(guī)劃與實(shí)現(xiàn)[D].合肥:中國科學(xué)技術(shù)大學(xué),2003.

〔7〕胡谷雨.網(wǎng)絡(luò)管理技術(shù)教程[M].北京:北京希望電子出版社,2002.

〔8〕戚文靜.網(wǎng)絡(luò)安全與管理[M].北京:高等教育出版社,2004.

TP393.18

A

1673-260X（2010）05-0025-02

安徽三聯(lián)學(xué)院2009年度院級(jí)科研基金項(xiàng)目資助