孫瀛

（北華大學(xué)工程訓(xùn)練中心，吉林 吉林 132021）

隨著我國(guó)大學(xué)數(shù)字化建設(shè)的逐步深入，校園網(wǎng)作為數(shù)字化校園的基礎(chǔ)平臺(tái)己經(jīng)在各個(gè)高校普遍建立。同時(shí)，來(lái)自因特網(wǎng)的病毒、攻擊甚至色情反動(dòng)等違法內(nèi)容也進(jìn)入了校園網(wǎng)，支撐學(xué)校運(yùn)行的信息系統(tǒng)以及校園網(wǎng)的用戶要直接面對(duì)來(lái)自校園網(wǎng)內(nèi)外攻擊的威脅，校園網(wǎng)中的網(wǎng)絡(luò)安全事件成為制約校園網(wǎng)可用性的主要因素。由于歷史的原因，各個(gè)高校的校園網(wǎng)建設(shè)都盡力經(jīng)歷了若干個(gè)發(fā)展期，設(shè)備品牌種類繁多，設(shè)備在功能上、處理能力上也有較大差別。從TCP/IP模型上來(lái)看，校園網(wǎng)面臨物理層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全等全方位的威脅。

1 校園網(wǎng)分布廣泛的安全問(wèn)題

校園網(wǎng)屬于中到大型規(guī)模的園區(qū)網(wǎng)絡(luò)，過(guò)去校園網(wǎng)管理者把安全管理的重點(diǎn)側(cè)重于網(wǎng)絡(luò)邊界、主機(jī)安全和病毒防護(hù)等方面，但近一兩年大量基于二層的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)資源濫用、應(yīng)用層攻擊等現(xiàn)象的出現(xiàn)給校園網(wǎng)絡(luò)的安全運(yùn)行帶來(lái)了極大的威脅，今天網(wǎng)絡(luò)安全問(wèn)題已分布于TCP/IP模型的每一個(gè)層面上，如圖1。

1.1 物理層安全

圖1 TCP/IP協(xié)議棧中的安全關(guān)注點(diǎn)

從物理環(huán)境角度講，地震、水災(zāi)、火災(zāi)、雷擊等環(huán)境事故，電源故障，人為操作失誤或錯(cuò)誤，電磁干擾，線路截獲等，都對(duì)校園網(wǎng)絡(luò)的安全構(gòu)成威脅，保證校園網(wǎng)絡(luò)系統(tǒng)中各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。

1.2 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全是容易被忽視但又是攻擊最容易實(shí)施、也是最不容易被發(fā)現(xiàn)的安全威脅，它可以使網(wǎng)絡(luò)癱瘓或者通過(guò)非法獲取密碼等敏感信息的方式來(lái)危及網(wǎng)絡(luò)用戶的安全。由于任何一個(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限，而這些用戶都有可能成為黑客，同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候，允許不同通信層處于相對(duì)獨(dú)立的工作模式，因此承載所有客戶關(guān)鍵應(yīng)用的網(wǎng)絡(luò)第二層的安全就變得至關(guān)重要。近年來(lái)，校園網(wǎng)內(nèi)來(lái)自網(wǎng)絡(luò)第二層的攻擊數(shù)量驚人，已成為校園網(wǎng)絡(luò)管理者非常頭痛的安全問(wèn)題。根據(jù)安全威脅的特征分析，來(lái)自于網(wǎng)絡(luò)第二層的攻擊主要包括：MAC地址泛濫攻擊、DHCP服務(wù)器欺騙攻擊、ARP欺騙、IP/MAC地址欺騙。

1.3 應(yīng)用層安全

應(yīng)用層安全是指應(yīng)用系統(tǒng)的安全，包括應(yīng)用系統(tǒng)訪問(wèn)控制安全、應(yīng)用系統(tǒng)數(shù)據(jù)傳輸安全、應(yīng)用系統(tǒng)的桌面安全。今天，各種蠕蟲(chóng)、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊校園網(wǎng)核心服務(wù)器和應(yīng)用，攻擊終端用戶計(jì)算機(jī)，給用戶帶來(lái)信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失;對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DOS/DDOS攻擊，造成基礎(chǔ)設(shè)施的癱瘓;更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及，校園網(wǎng)寶貴的寬帶資源被業(yè)務(wù)無(wú)關(guān)流量浪費(fèi)，形成巨大的資源損失。面對(duì)這些問(wèn)題，傳統(tǒng)解決方案最大的問(wèn)題是，防火墻工作在TCP/IP 3～4層上，根本就“看”不到這些威脅的存在。無(wú)帶寬管理和應(yīng)用控制能力已成為多數(shù)校園網(wǎng)安全管理者普遍面臨的問(wèn)題。

1.4 管理安全

管理混亂、安全管理制度不健全，責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。管理方面的安全隱患包括：內(nèi)部管理人員或師生為了方便省事，設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單，甚至不設(shè)置用戶口令，導(dǎo)致很容易破解。責(zé)任不清，使用相同的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險(xiǎn)。

2 加強(qiáng)校園網(wǎng)絡(luò)安全的解決方案

網(wǎng)絡(luò)安全模型對(duì)大型網(wǎng)絡(luò)的安全設(shè)計(jì)與實(shí)現(xiàn)有非常重要的指導(dǎo)意義。我們可以圍繞PDRR安全模型思想設(shè)計(jì)一個(gè)有針對(duì)性的、完善的校園網(wǎng)安全體系，提高學(xué)校校園網(wǎng)的安全。PDRR是 4個(gè)英文單詞的頭字符：Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))、Recovery(恢復(fù))，如圖 2 所示。

圖2 PDRR安全模型

PDRR安全模型的基本思想是：以安全策略為核心，通過(guò)文件完整性檢查、流量統(tǒng)計(jì)、異常分析、模式匹配以及基于應(yīng)用、目標(biāo)、主機(jī)、網(wǎng)絡(luò)的入侵檢查等方法進(jìn)行安全漏洞檢測(cè)，為系統(tǒng)快速響應(yīng)提供依據(jù)。當(dāng)發(fā)現(xiàn)系統(tǒng)有異常時(shí)，根據(jù)系統(tǒng)的安全策略作出快速響應(yīng)，并將系統(tǒng)動(dòng)態(tài)調(diào)整到“最安全”或“風(fēng)險(xiǎn)最低”的狀態(tài)，從而保護(hù)系統(tǒng)安全。在安全策略的指導(dǎo)下，防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán)，從而達(dá)到不斷增強(qiáng)網(wǎng)絡(luò)安全的目的。依據(jù)PDRR模型的指導(dǎo)思想，從安全問(wèn)題分層考慮，提出下面一個(gè)解決方案：

（1）接入層安全控制區(qū)：為防范網(wǎng)絡(luò)層的攻擊，主要部署應(yīng)用DHCP偵聽(tīng)、動(dòng)態(tài)ARP防護(hù)、端口綁定、802.IX接入認(rèn)證等安全技術(shù)，這幾種技術(shù)通常關(guān)聯(lián)使用，為降低大量廣播數(shù)據(jù)給網(wǎng)絡(luò)帶來(lái)的危害，在接口上開(kāi)啟廣播報(bào)文限制。

（2）網(wǎng)絡(luò)核心安全控制區(qū)：主要使用訪問(wèn)控制列表(ACL)來(lái)控制VLAN之間的訪問(wèn)，將內(nèi)網(wǎng)用戶間的訪問(wèn)做必要的隔離和限制；利用ACL防范假冒源IP地址攻擊;同時(shí)使用防火墻設(shè)置DMZ區(qū)。

（3）服務(wù)器安全區(qū)：使用嚴(yán)格的訪問(wèn)控制限制內(nèi)外網(wǎng)對(duì)服務(wù)器網(wǎng)段的訪問(wèn)，應(yīng)用PVLAN技術(shù)，進(jìn)一步控制服務(wù)器之間不必要的訪問(wèn)。

（4）網(wǎng)絡(luò)邊際安全區(qū)：使用三區(qū)域單向或雙向的訪問(wèn)控制，禁止DMZ區(qū)域?qū)?nèi)網(wǎng)的訪問(wèn)和外網(wǎng)對(duì)內(nèi)網(wǎng)的直接訪問(wèn)；加強(qiáng)VPN服務(wù)的用戶認(rèn)證與資源訪問(wèn)的管理，避免門(mén)戶大開(kāi)現(xiàn)象的發(fā)生。

（5）部署電子郵件過(guò)濾等內(nèi)容管理系統(tǒng)，根據(jù)內(nèi)容的分類進(jìn)行訪問(wèn)控制，杜絕色情、反政府、邪教等非法、不健康內(nèi)容的接觸和傳播。阻斷對(duì)含有病毒、木馬等各種惡意代碼，以及內(nèi)容欺詐網(wǎng)站的訪問(wèn)，解決病毒、惡意代碼通過(guò)電子郵件進(jìn)入內(nèi)網(wǎng)傳播的問(wèn)題。

3 結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過(guò)程。所以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng)，人們力圖建立的只能是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。它是一個(gè)動(dòng)態(tài)加靜態(tài)的防御，是被動(dòng)加主動(dòng)的防御，甚至是抗擊，是計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)加計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的完整安全觀念。

[1]楊義先,鈕心忻.網(wǎng)絡(luò)安全的理論與技術(shù).北京:人民郵電出版社.2003.10.

[2]李濤.網(wǎng)絡(luò)安全概論.北京:電子工業(yè)出版社.2004.11.

[3]胡錚.網(wǎng)絡(luò)與信息安全.北京:清華大學(xué)出版社.2006.5.

[4]StephenNorthcutt.深入剖析網(wǎng)絡(luò)邊界安全.北京:機(jī)械工業(yè)出版社.2003.8.

[5]盧昱,王宇.計(jì)算機(jī)網(wǎng)絡(luò)安全與控制技術(shù).北京:科學(xué)出版社.2005.