張貴安

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2016）03-0010-01

隨著互聯(lián)網(wǎng)的高速發(fā)展和教育信息化進(jìn)程的不斷深入，校園網(wǎng)在學(xué)校教學(xué)、科研和管理中的作用越來越重要， 校園網(wǎng)越來越得到普及，同時(shí)學(xué)校校園網(wǎng)絡(luò)安全問題也日益突出，而制定一個(gè)完善的網(wǎng)格解決方案成為重要。因此網(wǎng)絡(luò)的安全防護(hù)需采用分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。

一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)對(duì)策

為了滿足因特網(wǎng)的分級(jí)管理需求根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對(duì)Internet信息安全實(shí)施分級(jí)管理的解決方案，可以對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管理。[1]

第一級(jí)：中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

第二級(jí)：部門級(jí)，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級(jí)部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計(jì)。

第三級(jí)：終端/個(gè)人用戶級(jí)，實(shí)現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護(hù)。

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。[2]

一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。[3]可用性原則安全措施需要人為去完成，如果措施過于復(fù)雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。 分步實(shí)施原則：分級(jí)管理分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。

二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)步驟

第一步：進(jìn)行網(wǎng)絡(luò)安全需求分析，確立合理的目標(biāo)基線和安全策略

第二步：明確準(zhǔn)備付出的代價(jià)，制定可行的技術(shù)方案

第三步：工程實(shí)施方案（產(chǎn)品的選購與定制）

第四步：制定配套的法規(guī)、條例和管理辦法

三、網(wǎng)絡(luò)安全需求與措施手段

1.安全需求

局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實(shí)現(xiàn)，在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全；應(yīng)用系統(tǒng)如何保證安全性；如何防止黑客對(duì)網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵；如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?；加密系統(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等 。

2.措施

信息安全信息傳輸安全（動(dòng)態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲(chǔ)安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計(jì)用戶鑒別授權(quán)（CA）；網(wǎng)絡(luò)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測(cè)入侵檢測(cè)（監(jiān)控） IPSEC（IP安全）審計(jì)分析鏈路安全鏈路加密

3.手段

設(shè)立防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。目前市場(chǎng)上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應(yīng)用代理型防火墻，還有一類是復(fù)合型防火墻，即包過濾與應(yīng)用代理型防火墻的結(jié)合。包過濾防火墻通?；贗P數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類型、協(xié)議端口號(hào)等對(duì)數(shù)據(jù)流進(jìn)行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層，一般可以對(duì)多種應(yīng)用協(xié)議進(jìn)行代理，并對(duì)用戶身份進(jìn)行鑒別，并提供比較詳細(xì)的日志和審計(jì)信息；其缺點(diǎn)是對(duì)每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，并且基于代理的防火墻常常會(huì)使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是，在網(wǎng)絡(luò)安全問題日益突出的今天，防火墻技術(shù)發(fā)展迅速，目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當(dāng)中，這些功能有：VPN功能、計(jì)費(fèi)功能、流量統(tǒng)計(jì)與控制功能、監(jiān)控功能、NAT功能等等。

四、校園網(wǎng)網(wǎng)絡(luò)安全解決方案

強(qiáng)化防護(hù)體系（包過濾+NAT+計(jì)費(fèi)+代理+VPN+網(wǎng)絡(luò)安全檢測(cè)+監(jiān)控） 用戶需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項(xiàng)

1.網(wǎng)絡(luò)安全性檢測(cè)（包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備）

2.操作系統(tǒng)安全性檢測(cè)·網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)

解決方案：選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000+網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控器

五、加強(qiáng)網(wǎng)絡(luò)安全管理制度建設(shè)

“三分技術(shù)、七分管理”，網(wǎng)絡(luò)安全尤為如此。各學(xué)校要根據(jù)校園網(wǎng)的實(shí)際情況，制定并嚴(yán)格執(zhí)行有效的安全管理制度。如：校園網(wǎng)網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)主干管理與維護(hù)制度、校園網(wǎng)非主干維護(hù)制度、網(wǎng)絡(luò)安全管理崗位職責(zé)、網(wǎng)絡(luò)運(yùn)行管理制度、主頁維護(hù)管理制度、校園網(wǎng)信息發(fā)布與管理制度、病毒防治管理制度、重要數(shù)據(jù)備份與管理制度等。[4]此外，為更加有效控制和減少校園網(wǎng)絡(luò)的內(nèi)部隱患，各學(xué)校必須制定網(wǎng)絡(luò)行為規(guī)范和違反該規(guī)范的具體處罰條例。

參考文獻(xiàn)

[1]王剛.分層局域網(wǎng)網(wǎng)絡(luò)安全解決方案[J]《廣西師范學(xué)院學(xué)報(bào)（自然科學(xué)版）》，2004年.

[2]凌星成.中山技校校園網(wǎng)安全性設(shè)計(jì)與實(shí)施[D]，2008年 電子科技大學(xué)

[3]陸勇峻.基于路由器動(dòng)態(tài)認(rèn)證的網(wǎng)絡(luò)安全模型的研究[D]，2001年 上海交通大學(xué).

[4]尚禮斌.論校園網(wǎng)網(wǎng)絡(luò)安全[J]《新西部（下旬刊）》，2011年.