摘要：隨著高校校園網(wǎng)在高校教學(xué)、科研、行政辦公等方面發(fā)揮著越來(lái)越重要的作用，如何依托現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)，整合建設(shè)高校網(wǎng)絡(luò)，支持高校各種業(yè)務(wù)系統(tǒng)的運(yùn)行，支持跨部門、跨地區(qū)的信息資源共享，促進(jìn)高校教學(xué)能力和信息化水平的提高，已經(jīng)成為各高校優(yōu)先考慮的內(nèi)容。建設(shè)高校網(wǎng)絡(luò)安全防護(hù)體系、網(wǎng)絡(luò)信任系統(tǒng)、安全管理體系和統(tǒng)一的技術(shù)標(biāo)準(zhǔn)規(guī)范體系，保障高校業(yè)務(wù)系統(tǒng)的可靠運(yùn)行與有效的應(yīng)用。

關(guān)鍵詞：高校校園網(wǎng)；網(wǎng)絡(luò)安全；防火墻；入侵檢測(cè)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 23-0000-02

1 高校校園網(wǎng)的普遍現(xiàn)狀

接下來(lái)，結(jié)合筆者曾經(jīng)參與過的某高校二級(jí)學(xué)院局域網(wǎng)安全項(xiàng)目為例，來(lái)具體探討下高校校園網(wǎng)的安全現(xiàn)狀以及一些較為有效的解決方案。在我們提出的安全項(xiàng)目方案實(shí)施前該學(xué)院雖建立了信息化的網(wǎng)絡(luò)，但沒有采取任何安全措施。為了保障網(wǎng)絡(luò)的安全，該學(xué)院一直在尋求各種合適的安全設(shè)備來(lái)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，希望能對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行安全加固，以確保在信息化建設(shè)中各種業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的穩(wěn)定、可靠、安全等需要。實(shí)施前該學(xué)院網(wǎng)絡(luò)存在的主要問題，也是很多高校校園局域網(wǎng)普遍存在的問題，具體有以下三大方面：

1.1 網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足。沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備，網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足，有限的經(jīng)費(fèi)也主要投在網(wǎng)絡(luò)設(shè)備上，對(duì)于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入。網(wǎng)絡(luò)還基本處在一個(gè)開放的狀態(tài)，缺乏有效的安全預(yù)警手段和防范措施。

1.2 內(nèi)部上網(wǎng)混亂，無(wú)任何安全管理和監(jiān)控的手段。內(nèi)部IP管理較混亂，無(wú)法限制用戶上網(wǎng)權(quán)限，同時(shí)也沒有任何安全管理和監(jiān)控的手段。交換機(jī)無(wú)法進(jìn)行管理，出現(xiàn)網(wǎng)絡(luò)事件時(shí)無(wú)法進(jìn)行響應(yīng)處理問題。

1.3 網(wǎng)絡(luò)安全意識(shí)淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度。網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮。由此可見，為了能夠追查攻擊的來(lái)源，系統(tǒng)應(yīng)該具備有效的工具，記錄攻擊行為的全過程，為調(diào)查工作提供依據(jù)，同時(shí)也是對(duì)非法入侵者的有效震懾。另外，由于人手有限，某些工作人員經(jīng)常身兼數(shù)職，違反安全系統(tǒng)原則，對(duì)系統(tǒng)安全構(gòu)成嚴(yán)重威脅。因此，我們應(yīng)該從技術(shù)和管理等多種渠道加強(qiáng)管理和監(jiān)控，杜絕這個(gè)層面上的安全問題。

2 常采用的一些有效網(wǎng)絡(luò)安全解決方案

首先，配置防火墻是保證校園網(wǎng)絡(luò)系統(tǒng)安全的第一步，也是系統(tǒng)建設(shè)時(shí)首要考慮的問題。防火墻通過監(jiān)測(cè)、限制、更改通過防火墻的數(shù)據(jù)流，可以保護(hù)網(wǎng)絡(luò)系統(tǒng)不受來(lái)自外部的攻擊。筆者推薦部署一臺(tái)網(wǎng)絡(luò)防火墻系統(tǒng)用于邊界的基本安全防護(hù)措施。

在防火墻的部署方面，建議將防火墻安裝在內(nèi)外網(wǎng)的邊界，這樣就避免了內(nèi)部網(wǎng)絡(luò)暴露在外網(wǎng)上，對(duì)內(nèi)、外網(wǎng)絡(luò)進(jìn)行了有效的隔離，對(duì)外部屏蔽了網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。同時(shí)通過在防火墻上設(shè)置訪問控制規(guī)則，使內(nèi)外網(wǎng)絡(luò)之間有條件的互訪，過濾掉非法的訪問請(qǐng)求，大大減少了網(wǎng)絡(luò)內(nèi)部服務(wù)器/主機(jī)受到外部攻擊的機(jī)會(huì)，解決了網(wǎng)絡(luò)邊界的安全問題。

市面上一些常見的防火墻產(chǎn)品基本上能實(shí)現(xiàn)如下功能：（1）通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)的越權(quán)訪問。（2）防火墻可以限制內(nèi)部用戶的網(wǎng)絡(luò)訪問行為，如限制在上班時(shí)間上游戲網(wǎng)站、看電影，限制內(nèi)部用戶上不良網(wǎng)站等。（3）防火墻可以限制內(nèi)部用戶的網(wǎng)絡(luò)訪問行為，如限制在上班時(shí)間上游戲網(wǎng)站、看電影，限制內(nèi)部用戶上不良網(wǎng)站等。（4）防火墻可以制定訪問策略，限制內(nèi)部特定的主機(jī)可以訪問外部網(wǎng)絡(luò)，同時(shí)，只有被授權(quán)的外部主機(jī)只可以訪問內(nèi)部網(wǎng)絡(luò)的有限的IP地址，保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中必要的資源，與業(yè)務(wù)無(wú)關(guān)的操作將被拒絕。（5）安裝了防火墻后，網(wǎng)絡(luò)的安全策略由防火墻集中管理，因此，黑客無(wú)法通過更改某一臺(tái)主機(jī)的安全策略來(lái)達(dá)到控制其他資源訪問權(quán)限的目的，而直接攻擊防火墻幾乎是不可能的。（6）使用防火墻身份認(rèn)證模塊，對(duì)每一個(gè)上網(wǎng)的用戶進(jìn)行身份認(rèn)證，確保每一個(gè)使用互聯(lián)網(wǎng)的用戶都可以對(duì)應(yīng)到具體的人員，有效解決了IP/MAC盜用，多人共用電腦等帶來(lái)的網(wǎng)絡(luò)訪問審計(jì)問題，實(shí)現(xiàn)網(wǎng)絡(luò)訪問的“實(shí)名制”，避免匿名網(wǎng)絡(luò)訪問帶來(lái)的生產(chǎn)力流失，法律后果等問題。（7）通過防火墻的各種功能模塊，實(shí)現(xiàn)有效的訪問控制機(jī)制。如：P2P軟件限制、流量帶寬控制、并發(fā)數(shù)控制等。

這里有必要重點(diǎn)介紹下防火墻身份認(rèn)證模塊的使用，以上述項(xiàng)目該學(xué)院使用的黑盾防火墻為例。該防火墻身份認(rèn)證模塊由防火墻身份認(rèn)證服務(wù)端、內(nèi)網(wǎng)用戶客戶端，并配合黑盾日志系統(tǒng)進(jìn)行統(tǒng)一工作：（具體部署見上圖2）

（1）防火墻身份認(rèn)證服務(wù)端負(fù)責(zé)統(tǒng)一配置用戶數(shù)據(jù)庫(kù)，用戶授權(quán)訪問規(guī)則；采集分析數(shù)據(jù)；并把數(shù)據(jù)發(fā)送到日志系統(tǒng)中；（2）內(nèi)網(wǎng)用戶客戶端負(fù)責(zé)發(fā)送認(rèn)證請(qǐng)求到服務(wù)端，認(rèn)證通訊通過加密的信道完成；（3）日志系統(tǒng)負(fù)責(zé)存儲(chǔ)，整理，分析數(shù)據(jù)。

其次，除了防火墻外，網(wǎng)絡(luò)入侵檢測(cè)部署對(duì)于高校校園局域網(wǎng)的安全防范也很重要。在上述的項(xiàng)目中，該學(xué)院連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)出口通過使用黑盾防火墻作為網(wǎng)絡(luò)邊界的安全防護(hù)設(shè)備，可以有效的阻止從互聯(lián)網(wǎng)進(jìn)入的有害信息。但如果網(wǎng)絡(luò)中只有防火墻作為安全防護(hù)是不夠的主要存在以下弱點(diǎn)：（1）對(duì)于從內(nèi)網(wǎng)發(fā)起針對(duì)互聯(lián)網(wǎng)網(wǎng)的攻擊行為防火墻無(wú)能為力；（2）從內(nèi)網(wǎng)發(fā)起針對(duì)內(nèi)網(wǎng)的攻擊行為防火墻無(wú)能為力；（3）利用合法途徑進(jìn)入網(wǎng)絡(luò)的攻擊行為防火墻無(wú)能為力。基于以上的網(wǎng)絡(luò)安全現(xiàn)狀及需求，提出如下方案示意

針對(duì)該學(xué)院的現(xiàn)有網(wǎng)絡(luò)情況，我們建議在核心交換機(jī)上連接網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的探測(cè)引擎，通過在交換機(jī)上配置端口鏡像，使其監(jiān)聽特定端口的網(wǎng)絡(luò)流量，監(jiān)聽網(wǎng)絡(luò)中是否存在攻擊行為。同時(shí)安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的監(jiān)控臺(tái)，監(jiān)控探測(cè)引擎的工作情況、設(shè)置策略等。當(dāng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的探測(cè)引擎探測(cè)到網(wǎng)絡(luò)攻擊的發(fā)生或網(wǎng)絡(luò)病毒傳播時(shí)，可實(shí)施報(bào)警、阻斷、防火墻聯(lián)動(dòng)阻斷、記錄等多種響應(yīng)動(dòng)作，以保護(hù)服務(wù)器及網(wǎng)絡(luò)的安全。同時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為一種審計(jì)的工具，可以詳細(xì)記錄所有的網(wǎng)絡(luò)訪問，以便審查。

3 結(jié)論

堅(jiān)持積極防御、綜合防范的方針，全面提高信息安全防護(hù)能力是國(guó)家信息安全保障工作的總體要求之一?！胺e極防御、綜合防范”也應(yīng)作為高校校園網(wǎng)進(jìn)行信息安全保障的總體戰(zhàn)略方針。但“積極防御、綜合防范”方針并不意味著無(wú)限制地加強(qiáng)安全保障措施。根據(jù)信息系統(tǒng)的重要性，對(duì)重要的信息系統(tǒng)進(jìn)行重點(diǎn)保障，根據(jù)系統(tǒng)面臨的實(shí)際安全威脅，采用適當(dāng)?shù)陌踩Ｕ洗胧?，才能提高高校校園網(wǎng)絡(luò)信息安全保障的整體效能，保證積極防御、綜合防范方針的落實(shí)。

參考資料：

[1]黃敏.內(nèi)網(wǎng)安全的發(fā)展趨勢(shì)[C].第十屆信息安全技術(shù)大會(huì)論文集，2006.

[2]焦允.企業(yè)的網(wǎng)絡(luò)信息安全現(xiàn)狀分析與解決方案[J].鄭州航院學(xué)報(bào)，2006.

[3]陸英南.企業(yè)內(nèi)網(wǎng)安全管理策略研究[J].電腦知識(shí)與技術(shù)，2008，8.