黃麗芬

（廣西工業(yè)職業(yè)技術(shù)學(xué)院建筑工程系，廣西 南寧 530001）

如何讓校園網(wǎng)能正常運行，為師生與行政管理人員的工作、學(xué)習(xí)提供優(yōu)質(zhì)服務(wù)，并確保網(wǎng)絡(luò)中的重要信息與數(shù)據(jù)的保密性與安全性，是校園網(wǎng)絡(luò)管理中不容忽視的環(huán)節(jié)。本文針對校園網(wǎng)絡(luò)的特點，對網(wǎng)絡(luò)的實際安全狀況和應(yīng)用進行全面的分析，設(shè)計并制定了安全防范策略。

1 校園網(wǎng)安全策略的原則

校園網(wǎng)安全策略，是針對校園網(wǎng)安全而制定的一整套規(guī)則和決策，網(wǎng)絡(luò)的安全策略可以說是在一定條件下的成本和效率的平衡[1~2]，雖然網(wǎng)絡(luò)的具體應(yīng)用環(huán)境不同，但在制定安全策略時，應(yīng)遵循一些總的原則。

（1）適應(yīng)性原則。制定的安全策略，必須是和網(wǎng)絡(luò)的實際應(yīng)用環(huán)境相結(jié)合的，例如校園網(wǎng)的開放環(huán)境，就必須允許匿名登錄，而一般的企業(yè)網(wǎng)絡(luò)的安全策略，可能不允許匿名登錄。對于具體網(wǎng)絡(luò)的安全策略，應(yīng)從實際情況出發(fā)，根據(jù)自身的特點，制定出有針對性的切實可行的安全措施。

（2）動態(tài)性原則。安全策略又是在一定時期采取的安全措施。由于用戶在不斷增加，網(wǎng)絡(luò)規(guī)模在不斷擴大，網(wǎng)絡(luò)技術(shù)本身的發(fā)展也很快，而安全檢查措施是防范性的，持續(xù)不斷的，所以制定的安全檢查措施，必須不斷適應(yīng)網(wǎng)絡(luò)發(fā)展和環(huán)境的變化。

（3）簡單性原則。網(wǎng)絡(luò)用戶越多，網(wǎng)絡(luò)拓樸越復(fù)雜，采用的網(wǎng)絡(luò)設(shè)備種類和軟件種類越多，網(wǎng)絡(luò)提供的服務(wù)和捆綁的協(xié)議越多，出現(xiàn)安全漏洞的可能性就越大；出現(xiàn)安全問題后，找出問題原因和責(zé)任者的難度就越大。

（4）系統(tǒng)性原則。網(wǎng)絡(luò)安全管理是一個系統(tǒng)化的工作，必須考慮到整個網(wǎng)絡(luò)的各個方面。也就是在制定安全策略時，應(yīng)全面考慮網(wǎng)絡(luò)上各類用戶、各種設(shè)備和各種情況，有計劃有準(zhǔn)備地采取相應(yīng)的策略。

以下的安全策略，是筆者根據(jù)所在的學(xué)院的具體環(huán)境和現(xiàn)有條件所制定的，是一種小型校園網(wǎng)的安全策略。校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)模型如圖1所示。

圖1 校園網(wǎng)絡(luò)結(jié)構(gòu)圖

2 安全策略的制定

2.1 技術(shù)安全策略

（1）關(guān)閉不必要的服務(wù)和服務(wù)端口。端口是計算機和外部網(wǎng)絡(luò)相連的邏輯接口，也是計算機的第一道屏障[3]，端口配置正確與否，直接影響到主機的安全，很多黑客攻擊程序，是針對特定服務(wù)和特定端口的，為了降低遭受黑客攻擊的危險，應(yīng)該關(guān)閉那些不必要的服務(wù)和服務(wù)端口。例如：如果學(xué)校不對外提供網(wǎng)絡(luò)服務(wù)的話，則代理服務(wù)器應(yīng)將所有對外的端口關(guān)閉，否則只開放相應(yīng)的端口；而對內(nèi)則僅開放一些必須的服務(wù)端口，例如DNS服務(wù)端口UDP 53、HTTP服務(wù)端口TCP 80、FTP服務(wù)端口TCP 21、SMTP服務(wù)端口TCP 25、POP3服務(wù)端口TCP 110等。根據(jù)需要，可限制教學(xué)子網(wǎng)上的學(xué)生機上網(wǎng)，或?qū)υL問的站點作出限制，或禁止與正常教學(xué)無關(guān)的服務(wù)。

（2）規(guī)劃網(wǎng)絡(luò)隔離。其一，內(nèi)外網(wǎng)之間的隔離。通過代理服務(wù)器實現(xiàn)了校園網(wǎng)和Internet的有效隔離。網(wǎng)絡(luò)使用代理服務(wù)器訪問Internet，不僅可以降低訪問成本，而且隱藏了內(nèi)部網(wǎng)絡(luò)的規(guī)模和特性，加強了網(wǎng)絡(luò)的安全性。從綜合性能上考慮，我校使用了Win Route作為代理服務(wù)器軟件，實現(xiàn)通過一個IP地址供全校用戶訪問Internet。通過代理服務(wù)器提供防火墻動態(tài)包過濾功能，對穿越代理服務(wù)器的信息流進行全面的控制?？梢宰屵^濾機制動態(tài)決定，哪些數(shù)據(jù)包得以穿越代理服務(wù)器進入校園網(wǎng)，供內(nèi)部網(wǎng)應(yīng)用服務(wù)使用；也可以手動配置數(shù)據(jù)包過濾器，指定允許透過代理服務(wù)器的數(shù)據(jù)包類型。而采用在需要網(wǎng)絡(luò)通信時自動打開端口，通信結(jié)束時立即關(guān)閉端口的方式。校園網(wǎng)在Internet上顯露的出入端口數(shù)量被減少到最低程度，安全性大大提高。

其二，辦公子網(wǎng)和教學(xué)子網(wǎng)的隔離。為了便于安全管理，合理分配IP地址資源，把校園網(wǎng)劃分為教學(xué)子網(wǎng)和辦公子網(wǎng)。從以上的網(wǎng)絡(luò)結(jié)構(gòu)模型可看到，從物理上把教學(xué)網(wǎng)和辦公網(wǎng)單獨配置為一個子網(wǎng)，通過兩級交換機與服務(wù)器相連。其中教學(xué)子網(wǎng)配置有域控制器/文件服務(wù)器、WEB/FTP服務(wù)器、郵件服務(wù)器等，辦公子網(wǎng)則配置有域控制器/文件服務(wù)器、數(shù)據(jù)庫服務(wù)器等。由各域控制器充當(dāng)DHCP服務(wù)器角色，分別負責(zé)本子網(wǎng)的IP地址分配工作，并通過域模式實現(xiàn)用戶與資源的管理。辦公子網(wǎng)主要面向?qū)W校的各級領(lǐng)導(dǎo)及各職能部門，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的查詢、修改、添加、刪除等操作。教學(xué)子網(wǎng)的用戶主要是學(xué)生，主要面向教學(xué)，能夠根據(jù)專業(yè)教學(xué)要求，實現(xiàn)教育資源的合理配置和充分利用。

（3）使用雙向NAT（網(wǎng)絡(luò)地址翻譯轉(zhuǎn)換）技術(shù)。利用雙向NAT轉(zhuǎn)換技術(shù)，在內(nèi)部網(wǎng)絡(luò)通過內(nèi)部網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，使其和端口通過外部網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過外部網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，其并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。

學(xué)院目前上Internet的途徑，是采用ADSL方式，對外只有一個合法的IP地址。通過采用上述的NAT技術(shù)，實現(xiàn)了全校所有計算機的正常Internet訪問。

（4）目錄和文件安全控制。校園網(wǎng)絡(luò)管理員為不同的用戶設(shè)置不同的權(quán)限。為了控制服務(wù)器上用戶的權(quán)限，同時也為了預(yù)防可能出現(xiàn)的入侵行為，必須非常小心地設(shè)置目錄和文件夾的訪問權(quán)限。如對于提供給學(xué)生訪問的資源，就必須把權(quán)限嚴(yán)格限制在正常的教學(xué)需要范圍內(nèi)。

（5）用戶操作權(quán)限控制。分配各種用戶權(quán)限，用戶只能在授權(quán)范圍內(nèi)進行訪問。網(wǎng)絡(luò)管理員根據(jù)訪問權(quán)限，將用戶分為：

特殊用戶——包括網(wǎng)絡(luò)管理員的對網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用軟件服務(wù)有特權(quán)操作許可的用戶；

普通用戶——指那些由網(wǎng)絡(luò)管理員根據(jù)實際需要，為其分配操作權(quán)限的用戶，如教師和學(xué)生。

（6）數(shù)據(jù)備份。對校園網(wǎng)的重要信息進行備份。人員的錯誤操作、設(shè)備的物理損壞、以及意外故障的發(fā)生，都會造成系統(tǒng)癱瘓，甚至使網(wǎng)絡(luò)數(shù)據(jù)信息無法恢復(fù)，給學(xué)校造成重大損失。根據(jù)學(xué)校的具體情況，采用軟件自動及手工備份方式，并使用硬盤和可刻錄光盤等介質(zhì)實施數(shù)據(jù)的備份。

（7）防病毒。建立防病毒中心服務(wù)器。在服務(wù)器上安裝殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心控制臺，負責(zé)管理整個校園網(wǎng)的防病毒。安裝客戶機與服務(wù)器防病毒軟件，通過防病毒系統(tǒng)中心控制臺，設(shè)置校園網(wǎng)中的每臺用戶機殺毒軟件網(wǎng)絡(luò)版的客戶端。在中心控制臺上，對所有客戶機進行定時查殺毒的設(shè)置，使在沒有聯(lián)網(wǎng)時，也能夠定時查殺本機病毒。為了安全和管理方便，設(shè)置防病毒系統(tǒng)中心服務(wù)器自動定期到相關(guān)網(wǎng)站獲取最新的升級文件，并自動將最新的升級文件分發(fā)到所有客戶端和服務(wù)端，自動對殺毒軟件網(wǎng)絡(luò)版進行更新。

2.2 管理策略

為了確保網(wǎng)絡(luò)的安全，除了采用各種技術(shù)手段外，還應(yīng)從管理上采取有效的措施。制定一套嚴(yán)格的規(guī)章制度并切實執(zhí)行，對確保網(wǎng)絡(luò)的安全，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略的內(nèi)容，包括確定安全管理的范圍、制定各種安全管理制度，以及一旦出現(xiàn)問題時，采取的各種應(yīng)急措施等。

（1）物理安全。保護計算機網(wǎng)絡(luò)系統(tǒng)的所有硬件基礎(chǔ)設(shè)施免受自然災(zāi)害、人為破壞。機房按有關(guān)的安全標(biāo)準(zhǔn)構(gòu)建，安裝防盜、防火報警系統(tǒng)，安裝防雷電系統(tǒng)等安全設(shè)施。以確保財產(chǎn)安全。

（2）規(guī)章制度。學(xué)院針對不同的用戶制定各種規(guī)章制度，來規(guī)范網(wǎng)絡(luò)用戶特別是網(wǎng)絡(luò)管理員的工作及行為，明確其權(quán)利和義務(wù)。如安全消防制度、機房管理制度、上機人員守則等。

（3）網(wǎng)管員用戶分組管理與訪問控制。網(wǎng)管員按任務(wù)的不同，分成若干用戶組，不同的用戶組，有不同的權(quán)限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。

（4）監(jiān)控。針對近年來學(xué)生素質(zhì)普遍不高，機房設(shè)備往往受到損壞的情況，實施現(xiàn)場實時監(jiān)控，并保存記錄。出現(xiàn)問題時，可通過記錄核實情況并及時作出有效的處理，有效地增大了安全系數(shù)。

3 結(jié)束語

本文主要從技術(shù)和管理兩個方面，闡述了校園網(wǎng)的安全策略，先進的安全檢查技術(shù)，是信息安全的根本保障，用戶應(yīng)對自身面臨的威脅進行風(fēng)險評估，根據(jù)安全服務(wù)的種類，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)。

[1]蔡慧萍.影響校園網(wǎng)安全的幾個因素及常見防范措施[J].江西師范學(xué)院學(xué)報，2003，10(5)：26-28.

[2]雷崢嶸，吳為春.校園網(wǎng)的安全問題及策略[J].計算機應(yīng)用研究，2003，3(3)：130-132.

[3]郭拯危，閔 林.校園網(wǎng)安全策略的設(shè)計[J].河南大學(xué)學(xué)報（自然科學(xué)版），2003，3（32）：23-28.