蒲昌玖，胡 飛

(重慶第二師范學(xué)院 網(wǎng)絡(luò)中心，重慶 400067)

網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。網(wǎng)絡(luò)安全［1］主要是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。隨著教育的信息化、校園數(shù)字化成為教育發(fā)展的方向，幾乎各大專院校都紛紛擴大、改建或新建自己的校園網(wǎng)。這使得校園網(wǎng)絡(luò)規(guī)模不斷擴大并帶來用戶數(shù)量的激增，校園網(wǎng)安全問題越來越嚴(yán)重，數(shù)據(jù)的安全性和學(xué)校自身的利益受到了嚴(yán)重的威脅。因此，只有需要針對各種不同的威脅或攻擊采取必要、有效的措施，才能確保網(wǎng)絡(luò)信息的保密性、安全性和可靠性。

本文以重慶第二師范學(xué)院為研究對象，詳細討論了各種網(wǎng)絡(luò)安全技術(shù)在解決校園網(wǎng)絡(luò)安全問題中的應(yīng)用，并提出了綜合利用各種網(wǎng)絡(luò)安全技術(shù)保障校園網(wǎng)絡(luò)安全的具體解決方法。

1 校園網(wǎng)的現(xiàn)狀

計算機網(wǎng)絡(luò)的發(fā)展從20 世紀(jì)50 年代以前以單主機為中心的聯(lián)機終端系統(tǒng)，然后到形成了有多個單主機系統(tǒng)相連接的計算機網(wǎng)絡(luò)，再到B/S 模式、SOA 和數(shù)據(jù)中心的階段，以及發(fā)展到現(xiàn)在提出的云計算、物聯(lián)網(wǎng)、移動終端和虛擬現(xiàn)實等技術(shù)支持的網(wǎng)絡(luò)結(jié)構(gòu)。與其緊密結(jié)合的校園網(wǎng)絡(luò)的要求也隨之提高。目前，很多高校把建設(shè)數(shù)字校園作為長期發(fā)展規(guī)劃，特別是在新校區(qū)建設(shè)過程中，把數(shù)字校園納入總體建設(shè)目標(biāo)，大力推進了數(shù)字校園建設(shè)的進程。我校也在這方面取得了一定的成果。

圖1 校園網(wǎng)絡(luò)拓?fù)鋱D

我院校園網(wǎng)始建于2000 年，目前學(xué)院已從中國電信接入寬帶達200M、中國聯(lián)通和中國移動接入寬帶達各100M，還分別從這三家運營商處獲得了6個、64 個、2 個C 類IPv4 網(wǎng)絡(luò)地址。校園網(wǎng)投入運行后，一直穩(wěn)定良好地運行，為學(xué)院的教學(xué)、科研發(fā)揮了重要的作用。隨著整個學(xué)校規(guī)模的不斷擴大，計算機應(yīng)用水平的不斷提升，和新校區(qū)的建設(shè)，校園網(wǎng)經(jīng)過了兩次大規(guī)模的改造和升級。校園網(wǎng)擁有4臺萬兆核心交換機，20 臺高性能匯聚交換機，200 多臺可網(wǎng)管接入交換機，1 臺無線控制器AC，30 個無線AP 點。目前已建成萬兆雙冗余骨干網(wǎng)，有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)覆蓋全院所有區(qū)域，樓宇互聯(lián)達到千兆，桌面接入達到百兆，通過租用運營商的鏈路實現(xiàn)了學(xué)府大道校區(qū)和南山校區(qū)的互聯(lián)，將兩個校區(qū)納入同一個局域網(wǎng)絡(luò)內(nèi)加以管理，其網(wǎng)絡(luò)拓?fù)鋱D如圖1 所示。校園網(wǎng)帶寬能夠滿足教學(xué)、科研、管理及服務(wù)的需要。

2 對校園網(wǎng)絡(luò)安全造成威脅的原因

校園網(wǎng)絡(luò)安全所面臨的威脅是多方面的，有物理上的，也有邏輯上的;有內(nèi)部的，也有外部的;有人為的，也有非人為的。在目前條件下我們應(yīng)該根據(jù)實際網(wǎng)絡(luò)環(huán)境設(shè)計一個良好的安全防護策略。歸結(jié)起來，對校園網(wǎng)絡(luò)安全構(gòu)成威脅的主要原因有以下幾個方面［2］:

2.1 物理上的安全

物理上的安全主要在于保護物理設(shè)備不被丟失，供電系統(tǒng)能達到要求，防雷達到規(guī)范，其工作的環(huán)境能夠滿足溫度和濕度等要求。這些要求不僅是中心機房的要求，而且在弱電井的交換機等設(shè)備也需要考慮，只不過中心機房的要求更高。

2.2 網(wǎng)絡(luò)安全投入不足，無系統(tǒng)網(wǎng)絡(luò)安全設(shè)施配備

網(wǎng)絡(luò)建設(shè)經(jīng)費的不足是大多數(shù)學(xué)校都遇到的問題，因為一直以來，高校一直承擔(dān)著因數(shù)字校園建設(shè)而帶來的各種費用。這些費用的支付一部分來源于上級部門的撥款，另一部分由高校自行解決。而學(xué)校的需要資金很多，很多學(xué)校就需要把有線的錢用于更重要的地方，就不可能購買所有的安全設(shè)備。

2.3 網(wǎng)絡(luò)病毒泛濫

相對于網(wǎng)絡(luò)入侵事件來說，病毒的危害對學(xué)校網(wǎng)絡(luò)造成的影響更大。病毒的破壞能力不僅在于破壞系統(tǒng)，更多的情況是造成網(wǎng)絡(luò)性能急劇下降，甚至造成網(wǎng)絡(luò)的中斷。網(wǎng)絡(luò)病毒的肆虐傳播，極大的消耗了網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)性能下降，特別是高校的局域網(wǎng)更加適合病毒的傳播，如arp 病毒等。近2 年學(xué)校南山校區(qū)每到開學(xué)的時候發(fā)生的病毒引起的廣播風(fēng)暴導(dǎo)致網(wǎng)絡(luò)問題的數(shù)量一直在增加，容易引起交換機資源的不足而死機或不能上網(wǎng)等。

2.4 安全意識淡薄，執(zhí)行力度不夠

學(xué)校有很多的比較完善的網(wǎng)絡(luò)安全管理制度，但很多用戶(包括教職工和學(xué)生)可能并沒有去閱讀或執(zhí)行。而他們的安全意識又比較淡薄，大量的非正常訪問導(dǎo)致網(wǎng)絡(luò)資源的浪費，同時也為網(wǎng)絡(luò)的安全帶來了極大的安全隱患。

2.5 網(wǎng)絡(luò)的攻擊

網(wǎng)絡(luò)攻擊來源于內(nèi)部網(wǎng)絡(luò)還是外部網(wǎng)絡(luò)，而網(wǎng)絡(luò)攻擊在于竊取信息和破壞系統(tǒng)。一般來說，學(xué)校網(wǎng)站上沒有很保密的資料。目前Internet 上各種信息良莠不齊，有關(guān)色情、暴力、邪教內(nèi)容的網(wǎng)站泛濫。這些有毒的信息違反了人類的道德標(biāo)準(zhǔn)和有關(guān)法律法規(guī)，對世界觀和人生觀正在形成的學(xué)生來說，危害非常大，因此要防止外部“黑客”利用學(xué)校服務(wù)器傳播這些信息。更多的網(wǎng)絡(luò)攻擊可能出現(xiàn)在內(nèi)部的學(xué)生身上，這些“內(nèi)部攻擊”不是為了獲得某些東西或破壞而攻擊，更多的是為了滿足自己的好奇心。而網(wǎng)絡(luò)的黑客攻擊資料和工具很多，有時他們就會選擇這些工具和資料進行攻擊實驗，又由于學(xué)校網(wǎng)絡(luò)的正好適應(yīng)了他們網(wǎng)絡(luò)的快速反映和對學(xué)校網(wǎng)絡(luò)了解的要求，他們更愿意選擇學(xué)校設(shè)備作為工具對象。從而可能帶來網(wǎng)絡(luò)的不穩(wěn)定。

2.6 人為因素

由于學(xué)校人員的密集性，很多辦公室或?qū)嬍业木W(wǎng)絡(luò)端口數(shù)量都是大于兩個，有的教職工或?qū)W生并不了解網(wǎng)絡(luò)，他們有可能把網(wǎng)線的兩端同時接入兩個網(wǎng)口形成了網(wǎng)絡(luò)環(huán)路。那么該節(jié)點就不斷發(fā)廣播包。若沒有被有效的設(shè)備攔截就會引起網(wǎng)絡(luò)上其他節(jié)點的回應(yīng)，不斷擴散，進而引起連鎖反應(yīng)，很快部分網(wǎng)絡(luò)就會被局域網(wǎng)絡(luò)上所有節(jié)點所廣發(fā)的廣播包堵塞，最終主交換機和服務(wù)器就會癱瘓，網(wǎng)絡(luò)也就癱瘓了。另一種是校內(nèi)人員無節(jié)制的上網(wǎng)行為(主要發(fā)生在那些上網(wǎng)不要錢的賬號上)，他們通過各種P2P 工具下載一些影視資料等，極大地耗費了學(xué)校的網(wǎng)絡(luò)帶寬資源，加大了病毒傳播的風(fēng)險。

2.7 操作系統(tǒng)的漏洞

目前，被廣泛使用的網(wǎng)絡(luò)操作系統(tǒng)主要是WINDOWS。這些操作系統(tǒng)都存在各種各樣的安全問題，許多新型計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染，如不對操作系統(tǒng)進行及時更新，彌補各種漏洞，計算機即使安裝了防毒軟件也會反復(fù)感染。

2.8 口令和權(quán)限

校園網(wǎng)中有很多應(yīng)用，很多應(yīng)用的數(shù)據(jù)都很敏感。很多系統(tǒng)的管理都是通過限定不同人員的賬號權(quán)限去管理系統(tǒng)。但有的某些人總想越權(quán)操作，篡改數(shù)據(jù)，要么是得到有權(quán)限管理人員的賬號(這種情況最多，管理員有可能無疑中泄露賬號或者在某個特殊時期把賬號給別人使用了一下。還有是非法技術(shù)獲得，如用木馬病毒、記錄鍵盤或者網(wǎng)站密碼的注入攻擊等方法)，要么是通過非法途徑提升自己的管理權(quán)限(如早期的ipc $ 漏洞等)，從而獲得或破壞數(shù)據(jù)。

3 校園網(wǎng)絡(luò)的防范機制

3.1 建設(shè)專業(yè)化的網(wǎng)絡(luò)人才梯

只有全面提高全校師生員工的網(wǎng)絡(luò)應(yīng)用水平，建設(shè)高素質(zhì)的人才梯隊，才能發(fā)揮校園網(wǎng)在高校教學(xué)和科研管理中的作用［3］。

3.2 物理安全策略

保證計算機網(wǎng)絡(luò)系統(tǒng)各種設(shè)備的物理安全是整個網(wǎng)絡(luò)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。一方面，主要是通過保證設(shè)備工作環(huán)境滿足設(shè)備工作的要求，如環(huán)境安全。另一方面，設(shè)備安全。包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、抗電磁干擾及電源保護等。

3.3 加強網(wǎng)絡(luò)安全教育，增加網(wǎng)絡(luò)方面的知識

結(jié)合學(xué)?！鞍踩逃钡然顒樱瑘猿珠_展針對性和實效性強的網(wǎng)絡(luò)安全教育活動。如利用板報、宣傳欄、校園網(wǎng)等，廣泛開展網(wǎng)絡(luò)安全宣傳活動，使學(xué)生認(rèn)識網(wǎng)絡(luò)安全的重要性和維護的必要性。當(dāng)然，宣傳的文章不用太專業(yè)，可通過圖文并茂的方式講解。如果學(xué)校用的登錄軟件進行認(rèn)證的可在登錄后隨機的彈出該網(wǎng)站，在網(wǎng)頁登錄的可在登錄網(wǎng)頁上直接宣傳。其次，還可以在上網(wǎng)賬號自助服務(wù)中心網(wǎng)頁上公布這些內(nèi)容;教職工可通過培訓(xùn)進行提高，而學(xué)生方面，與數(shù)學(xué)與信息科學(xué)系溝通，對計算機專業(yè)方向的學(xué)生在上相關(guān)課程時，可加強這方面的教育。而非計算機系的可選修課、社團等形式方式加強學(xué)生的安全教育和普及網(wǎng)絡(luò)方面的知識。當(dāng)然，還可以建立一定的網(wǎng)絡(luò)安全預(yù)警機制。

3.4 增加設(shè)備的投入

從圖1 的網(wǎng)絡(luò)拓?fù)鋱D可以看出，學(xué)校在安全方面主要是通過防火墻來防止外部的入侵。在資金允許的情況下，可適當(dāng)增加一些安全方面的系統(tǒng)，如入侵檢測系統(tǒng)，行為管理系統(tǒng)等［4］。在內(nèi)部，因為南山校區(qū)所有設(shè)備都是使用的華為的可網(wǎng)管的交換機，可增加支持他們的snmp 協(xié)議的管理軟件，不光能夠更快速的反應(yīng)哪些交換機出現(xiàn)異常，還能觀察交換機的端口通過數(shù)據(jù)異常的告警等。

3.5 網(wǎng)絡(luò)設(shè)備策略的使用

從圖1 的網(wǎng)絡(luò)拓?fù)鋱D可以看出，我校具有網(wǎng)絡(luò)流控設(shè)備IP2000，那么，我們可通過該設(shè)備進行各時段網(wǎng)絡(luò)流量的監(jiān)控和網(wǎng)絡(luò)數(shù)據(jù)的分析，可以減少P2P、網(wǎng)絡(luò)電影方面的數(shù)據(jù)流量。從而保證能夠滿足大多數(shù)用戶的HTTP 的請求。還可以檢測到惡意IP 的大量下載［5］。

3.6 安裝防毒軟件，及時對系統(tǒng)打補丁

雖然單機的殺毒系統(tǒng)并不能解決病毒在網(wǎng)絡(luò)的橫行，但是作為管理者不光要教育使用者安裝殺毒軟件，還有在重大病毒到來時，提出預(yù)警。特別是學(xué)校局域網(wǎng)中ARP 病毒開啟防火墻能保證自己上網(wǎng)的正常。第二，及時對系統(tǒng)進行升級，特別是在重大漏洞出現(xiàn)時對服務(wù)器的升級。

3.7 統(tǒng)一身份認(rèn)證和賬戶的分級、分區(qū)管理

學(xué)校的應(yīng)用系統(tǒng)繁多，如果在每個系統(tǒng)中都建立賬戶的話，可能產(chǎn)生很多，不光用戶不容易記，有的系統(tǒng)賬戶自動生成，開始是默認(rèn)密碼，有個用戶可能沒有用而忘記該密碼，就可能造成信息的泄露(在以往新建系統(tǒng)過程中經(jīng)常有這樣的經(jīng)歷，當(dāng)新增加一個系統(tǒng)，如VPN 或OA 等，需要給每位老師都建立賬戶，又不可能讓他們單獨來設(shè)置密碼，就在建系統(tǒng)的時候都設(shè)置了統(tǒng)一的默認(rèn)密碼，用過的老師一般會該密碼，但有部分老師沒有用或因各種原因沒改密碼的賬號就有可能成為泄密的漏洞)。那么就需要建立統(tǒng)一的身份認(rèn)證，實現(xiàn)賬戶的統(tǒng)一管理，其次對賬戶的分級、分區(qū)。每個系統(tǒng)職能不一樣，有很多數(shù)據(jù)及流程，如在科研系統(tǒng)中有科研成果的數(shù)據(jù)，財務(wù)系統(tǒng)中有工資等數(shù)據(jù)，這些數(shù)據(jù)的產(chǎn)生可遵循“誰生成，誰維護”。在賬戶的分區(qū)主要是學(xué)生和老師的賬戶，可只允許教師賬戶不能用于學(xué)生宿舍區(qū)，就可避免學(xué)生在寢室嘗試獲得老師賬戶信息。

3.8 交換機的安全策略

從圖1 的網(wǎng)絡(luò)拓?fù)鋱D可以看出，我校采用了S9306 為核心層，S5700 為匯聚層和S2700 為接入層的三層智能網(wǎng)絡(luò)結(jié)構(gòu)。在對內(nèi)的防御上，沒有其他專門的安全設(shè)備，而作為首先接觸內(nèi)部用戶的網(wǎng)絡(luò)設(shè)備的安全策略及其重要。在網(wǎng)絡(luò)中主要采用了以下策略:

(1)為了滿足校園網(wǎng)的擴展行并讓普通用戶不需設(shè)置就能上網(wǎng)的特性，架設(shè)了DHCP 服務(wù)器，并把該服務(wù)放置在了匯聚層上。開啟接入交換機端口的DHCP Filtering(它是DHCP 偵聽技術(shù)，是通過建立和維護DHCP Snooping 綁定表過濾不可信任的DHCP 信息，這些信息是指來自不信任區(qū)域的DHCP信息。)

(2)匯聚設(shè)備對接入自身的接入交換機分別不同的vlan 從而是IP 地址在不同交換機上呈不同的網(wǎng)段［6］。VLAN 技術(shù)能夠?qū)⑽锢砩匣ヂ?lián)的網(wǎng)絡(luò)在邏輯上劃分為多個互不相干的網(wǎng)絡(luò)。通過邏輯劃分使劃分后的網(wǎng)絡(luò)間無法通訊，有效的控制了廣播風(fēng)暴的產(chǎn)生、提高了高校校園網(wǎng)絡(luò)整體的安全性。VLAN技術(shù)的應(yīng)用能夠降低傳統(tǒng)物理劃分的成本、降低網(wǎng)絡(luò)管理與維護成本，提高高校網(wǎng)絡(luò)管理與維護工作效率。VLAN 技術(shù)還能夠提高信息的安全性、提高網(wǎng)絡(luò)管理效率。而IP 地址規(guī)劃更可以讓各個功能區(qū)(教學(xué)去、辦公區(qū)、宿舍區(qū))處于不同的網(wǎng)段，有利于安全策略的設(shè)置。

(3)對接入交換機得端口設(shè)置QOS 控制，這樣可有效控制“惡意用戶計算機”產(chǎn)生其它大量的服務(wù)請求包，如icmp，導(dǎo)致目標(biāo)cpu 過高而無法處理別的請求等。

(4)為有效防止環(huán)路等情況的出現(xiàn)，可以在接入交換機上設(shè)置生成樹來解決端口之間的環(huán)路，而對單端口的環(huán)路可在接入設(shè)備上采用RLDP。

對應(yīng)采用以上配置的如圖1 我校網(wǎng)絡(luò)，其故障解決方法也比較簡單。

(1)去掉接入端口下的網(wǎng)絡(luò)設(shè)備，把能計算機(該計算機設(shè)置為自動獲得IP 地址)接入到該端口上。

(2)查看本地連接的狀態(tài)，如果本地連接是網(wǎng)線被拔出，那么說明接入交換機到計算機網(wǎng)口中間線路異常，可用網(wǎng)線測試儀測試線路并檢測模塊。

(3)如本地連接的狀態(tài)為感嘆號(無法獲得IP地址或IP 地址為169.254.X.X)，需要確認(rèn)相鄰多個網(wǎng)口是否也該狀態(tài)，如果是，則說明匯聚交換機到接入交換機連線異常。如果是否，就需要檢查計算機是否正?；驒z查接入交換機配置中端口vlan 等是否設(shè)置為VLAN。

(4)如本地連接的狀態(tài)中IP、掩碼、網(wǎng)關(guān)、DNS等都正常還不能上就需檢查核心交換機到匯聚交換機的線路或者檢查更上層設(shè)備的是否正常了(這種情況對不能上網(wǎng)人數(shù)的影響更大)。

3.9 部分系統(tǒng)的獨立布線

校園網(wǎng)的建設(shè)是多個系統(tǒng)的整合，包含視頻監(jiān)控，一卡通和財務(wù)系統(tǒng)等。這些系統(tǒng)的保密性要求更高。對于視頻監(jiān)控系統(tǒng)，雖然有基于網(wǎng)絡(luò)的視頻監(jiān)控(能節(jié)約線路材料)，但最好能單獨走線，不僅是為了保密，也是因為實時響應(yīng)，免受網(wǎng)絡(luò)風(fēng)暴的襲擊。同時，也能避免在以后增加高清等攝像頭后對交換機壓力的增大影響。而一卡通和財務(wù)可采用單獨的VLAN 從邏輯上保證他們的獨立性。

［1］鐘志永，姚珺.大學(xué)計算機應(yīng)用基礎(chǔ)［M］.重慶:重慶大學(xué)出版社，2012.178.

［2］謝大吉，李明華.新形勢下高校網(wǎng)絡(luò)安全隱患與對策研究［J］.信息科技，2011，(8):134-135.

［3］查懷志.校園網(wǎng)絡(luò)安全隱患與防范機制［J］.安慶師范學(xué)院學(xué)報(社會科學(xué)版)，2009，28(9):21-24.

［4］韓潔.淺議校園網(wǎng)絡(luò)安全防御與應(yīng)急策略［J］.蕪湖職業(yè)技術(shù)學(xué)院學(xué)報，2010，12(3):53-54.

［5］陳紅軍，王新科.基于校園網(wǎng)的運行維護體系研究［J］.軟件導(dǎo)刊，2011，10(1):149-150.

［6］宋海楠.高校校園網(wǎng)絡(luò)VLAN 技術(shù)應(yīng)用［J］.信息科學(xué)，2011，(11).