周怡燕

（南華工商學(xué)院，廣東　清遠(yuǎn)　511510）

?

傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略分析

周怡燕

（南華工商學(xué)院，廣東清遠(yuǎn)511510）

摘要：高校在建設(shè)的時候，網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)安全設(shè)計等都是根據(jù)當(dāng)時的實際情況再預(yù)計未來一段時間的擴展性來設(shè)計，許多網(wǎng)絡(luò)系統(tǒng)、設(shè)備等到目前為止已經(jīng)開始落后。網(wǎng)絡(luò)數(shù)據(jù)的井噴與網(wǎng)絡(luò)應(yīng)用的飛速發(fā)展，更是進(jìn)一步考驗高?，F(xiàn)有網(wǎng)絡(luò)的安全性、可靠性和穩(wěn)定性。雖然，許多高校隨著時代的不斷發(fā)展，也在不斷地更新?lián)Q代新的設(shè)備，但是更換新一代的設(shè)備只是性能上的進(jìn)一步提升，對于數(shù)據(jù)處理、轉(zhuǎn)發(fā)是跟得上時代的發(fā)展，不過對于網(wǎng)絡(luò)安全來說卻遠(yuǎn)遠(yuǎn)不足。

關(guān)鍵詞：網(wǎng)絡(luò)安全；校園網(wǎng)；策略

1　校園網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

早期大部分高等院校校園建設(shè)的時候，信息化規(guī)劃跟不上學(xué)校教育的擴展，許多高等院校的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)都是簡單的層次化網(wǎng)絡(luò)結(jié)構(gòu)（見圖1）：接入層、匯聚層、核心層級聯(lián)，再通過防火墻出口外部網(wǎng)絡(luò)，同時保證外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的威脅被阻止，相對高級一些的設(shè)計還可能包括IDS（入侵檢測系統(tǒng)），隨著學(xué)校的不斷發(fā)展，一步步在原有的基礎(chǔ)網(wǎng)絡(luò)上添加新設(shè)備來豐富網(wǎng)絡(luò)組成，并提供更多的網(wǎng)絡(luò)服務(wù)。

圖1　院校基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

2　傳統(tǒng)網(wǎng)絡(luò)攻擊過程

在從前，主要的網(wǎng)絡(luò)安全威脅來自基于各種漏洞而進(jìn)行的網(wǎng)絡(luò)攻擊和下載帶病毒的軟件包而導(dǎo)致的系統(tǒng)病毒感染。而這些傳統(tǒng)的網(wǎng)絡(luò)攻擊手段之后，才是在被攻破的系統(tǒng)中留下木馬、后門，或者破壞、竊取數(shù)據(jù)。這些傳統(tǒng)的攻擊手段是層層遞進(jìn)式的（見圖2），從攻擊的開始到結(jié)束以遞進(jìn)的形式進(jìn)行，如果前面的步驟無法實現(xiàn)，則整個網(wǎng)絡(luò)攻擊過程將會中斷。這些傳統(tǒng)的網(wǎng)絡(luò)攻擊包括諸如DoS攻擊、DDoS攻擊、系統(tǒng)入侵、網(wǎng)絡(luò)滲透等。

圖2　傳統(tǒng)網(wǎng)絡(luò)攻擊過程

不斷重復(fù)這樣的一個網(wǎng)絡(luò)攻擊過程，當(dāng)累積到一定的量后所組成的網(wǎng)絡(luò)僵尸大軍將對整個網(wǎng)絡(luò)造成非常嚴(yán)重的影響。

3　傳統(tǒng)校園網(wǎng)絡(luò)安全防范體系

根據(jù)傳統(tǒng)的網(wǎng)絡(luò)攻擊過程，在許多的院校的基礎(chǔ)網(wǎng)絡(luò)中都會加入相應(yīng)的網(wǎng)絡(luò)安全防范措施，這些網(wǎng)絡(luò)安全防范措施就構(gòu)成了常見的校園網(wǎng)絡(luò)安全防范體系（見圖3）。而在傳統(tǒng)的高校校園網(wǎng)絡(luò)安全防范體系中，將網(wǎng)絡(luò)安全防御定義為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和用戶3個層次，而每個層次中有針對該層次的網(wǎng)絡(luò)安全設(shè)備和措施。

對于外部網(wǎng)絡(luò)這一個層面，直接面對的是防火墻，很多的院校網(wǎng)絡(luò)都采用防火墻作網(wǎng)絡(luò)出口，承擔(dān)著網(wǎng)關(guān)與防火墻的雙重功能。采用防火墻作為外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的邊界，可以有效地阻止大部分來自于外部網(wǎng)絡(luò)的惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定。在防火墻之后部署一臺入侵防御系統(tǒng)，可以進(jìn)一步檢測可能避過防火墻的安全檢測而進(jìn)入網(wǎng)絡(luò)的惡意流量。

在內(nèi)部網(wǎng)絡(luò)這個層面，傳統(tǒng)的網(wǎng)絡(luò)安全體系中一般沒有什么網(wǎng)絡(luò)安全設(shè)備，在這個層次主要采用的是基于策略的網(wǎng)絡(luò)安全措施，也就是所謂的軟設(shè)備。通過網(wǎng)絡(luò)設(shè)備中進(jìn)行軟件層面的安全策略設(shè)計，保證內(nèi)部網(wǎng)絡(luò)流量的正常穩(wěn)定的轉(zhuǎn)發(fā)。例如，采用訪問控制列表來對網(wǎng)絡(luò)進(jìn)行一些控制，不允許學(xué)生訪問教師網(wǎng)絡(luò)資源；使用QoS功能保證數(shù)據(jù)的高效轉(zhuǎn)發(fā)，設(shè)置安全端口，MAC與IP地址的綁定，甚至更高級的基于802.1x的認(rèn)證。

到了用戶層面，主要確保的是操作系統(tǒng)的安全，因為很多惡意的攻擊軟件、病毒、木馬或入侵軟件都是基于操作系統(tǒng)漏洞進(jìn)行滲透破壞的，所以在用戶這個層面，針對操作系統(tǒng)要打好操作系統(tǒng)的補丁、安裝功能強大的殺毒軟件，開啟操作系統(tǒng)自帶的軟件防火墻或者殺毒軟件的防火墻，進(jìn)一步，加強用戶層面的安全性。即使用有瞞過防火墻，混過入侵防護(hù)系統(tǒng)的漏網(wǎng)之魚，也可以在用戶層面進(jìn)行補救。

圖3　傳統(tǒng)網(wǎng)絡(luò)安全防御體系

采用這種傳統(tǒng)的網(wǎng)絡(luò)安全體系進(jìn)行網(wǎng)絡(luò)安全的設(shè)計部署，在以前的網(wǎng)絡(luò)時代還是有很好的效果的，但是，現(xiàn)今進(jìn)入了網(wǎng)絡(luò)時代2.0，新的技術(shù)、新的威脅層出不窮，此時舊的網(wǎng)絡(luò)安全體系在網(wǎng)絡(luò)安全防護(hù)上表現(xiàn)得就有些捉襟見肘了。校園網(wǎng)絡(luò)需要推陳出新，結(jié)合現(xiàn)在的校園網(wǎng)絡(luò)及互聯(lián)網(wǎng)絡(luò)的發(fā)展趨勢，設(shè)計更合適更合理的網(wǎng)絡(luò)安全解決方案。

4　傳統(tǒng)網(wǎng)絡(luò)安全策略應(yīng)用分析

傳統(tǒng)校園網(wǎng)絡(luò)安全解決方案使用的網(wǎng)絡(luò)安全策略應(yīng)用是基于不同層面進(jìn)行區(qū)分的，針對不同層面分別部署相對應(yīng)的網(wǎng)絡(luò)安全設(shè)備或網(wǎng)絡(luò)安全策略。這種網(wǎng)絡(luò)安全策略應(yīng)用主要是針對從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行檢測控制，正如防火墻功能一樣，定義了外部非安全區(qū)域、內(nèi)部安全區(qū)域和DMZ區(qū)域，然后給這些區(qū)域定義安全等級和默認(rèn)策略。

這種安全體系的設(shè)計對于以前的網(wǎng)絡(luò)攻擊過程（見圖4）來說是可以滿足校園網(wǎng)絡(luò)安全的需求的。在以前的網(wǎng)絡(luò)環(huán)境中，攻擊主要來自外部，內(nèi)部的安全等級是可信的，所以外部的攻擊流量經(jīng)過防火墻后，基本上已經(jīng)抵御了，再經(jīng)過IPS或IDS設(shè)備后，到達(dá)用戶層面時還要經(jīng)過操作系統(tǒng)或殺毒軟件防火墻后，可以成功攻擊目標(biāo)的惡意行為已經(jīng)降到了可接受層面范圍。所以，從前的校園網(wǎng)絡(luò)安全情況比現(xiàn)在相對要好一些。

如圖4的攻擊過程示意所示，基于原有的網(wǎng)絡(luò)安全策略應(yīng)用對于起源自外部網(wǎng)絡(luò)的攻擊可以做到有效防范，但是正如前文提到的，現(xiàn)在越來越多的現(xiàn)象是，內(nèi)部用戶通過其他途徑感染了自動下載代碼或木馬端等惡意源后，從內(nèi)部發(fā)起攻擊或者自動下載各式各樣病毒木馬直接破壞用戶操作系統(tǒng)，并以此為跳板，從內(nèi)部網(wǎng)絡(luò)感染、攻擊其他用戶主機、學(xué)校服務(wù)器等設(shè)備，導(dǎo)致學(xué)校網(wǎng)絡(luò)受到嚴(yán)重影響進(jìn)一步影響學(xué)校的正常教學(xué)秩序。

圖4　原有校園網(wǎng)絡(luò)安全體系的攻擊過程

原有的校園網(wǎng)絡(luò)安全策略應(yīng)用基于單向防護(hù)、由3個獨立層面以遞進(jìn)的方式構(gòu)建的校園網(wǎng)絡(luò)防御系統(tǒng)，其性能已經(jīng)無法適應(yīng)現(xiàn)時復(fù)雜多樣化的校園網(wǎng)絡(luò)環(huán)境。因此，針對這個舊的網(wǎng)絡(luò)安全策略應(yīng)用的不足，需要一個更合適更優(yōu)秀的校園網(wǎng)絡(luò)安全策略。

5　傳統(tǒng)網(wǎng)絡(luò)安全策略架構(gòu)分析

在院校用的舊的校園網(wǎng)絡(luò)解決方案中，采用的基礎(chǔ)架構(gòu)簡單實用，在從前的網(wǎng)絡(luò)時代，無論是外部網(wǎng)絡(luò)還是內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流量都不并是很大，而且那時候無論是師生的日常生活還是教學(xué)活動中，對網(wǎng)絡(luò)的依賴程度也不高，所以如圖1所示的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)也足夠用。

不過，隨著人們對網(wǎng)絡(luò)的依賴性的不斷加強，以及信息化教學(xué)的廣泛推廣，校園網(wǎng)絡(luò)中產(chǎn)生了越來越多的數(shù)據(jù)，并且日常教學(xué)也有絕大部分是基于網(wǎng)絡(luò)的。這個時候，傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)就存在不足，主要體現(xiàn)在網(wǎng)絡(luò)單點故障現(xiàn)象導(dǎo)致的網(wǎng)絡(luò)中斷而影響師生的生活學(xué)習(xí)和學(xué)校的教學(xué)秩序。

現(xiàn)在新規(guī)劃的校園網(wǎng)絡(luò)中，校園網(wǎng)絡(luò)基礎(chǔ)架構(gòu)相對復(fù)雜，但是性能和安全性都有所提升?，F(xiàn)有校園網(wǎng)絡(luò)基本上都是基于雙網(wǎng)絡(luò)核心熱備以提高網(wǎng)絡(luò)的安全性和可靠性的設(shè)計，根據(jù)學(xué)校的需求，可以選擇在關(guān)鍵節(jié)點部署雙機熱備提供安全可靠性，避免了原有基礎(chǔ)網(wǎng)絡(luò)架構(gòu)的不足。

6　網(wǎng)絡(luò)安全策略應(yīng)用技術(shù)分析

經(jīng)過調(diào)查了解，現(xiàn)在校園網(wǎng)絡(luò)中采用的技術(shù)有很多都不符合標(biāo)準(zhǔn)，例如密碼的復(fù)雜性，這個最基本的一條都做不到。另外，學(xué)校管理中使用的技術(shù)不足，如管理網(wǎng)絡(luò)設(shè)備使用telnet協(xié)議而不是采用ssh，對管理流量與數(shù)據(jù)流量沒有區(qū)分控制，無線網(wǎng)絡(luò)的加密算法采用容易破解的算法等等。這些技術(shù)細(xì)節(jié)上的不足，也會導(dǎo)致校園網(wǎng)絡(luò)安全受到威脅。因此，在新的網(wǎng)絡(luò)安全策略應(yīng)用中，應(yīng)該注意相關(guān)網(wǎng)絡(luò)安全技術(shù)的使用是否符合安全等級的要求。

7　傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略應(yīng)用的優(yōu)點

對于傳統(tǒng)的高校校園網(wǎng)絡(luò)安全解決辦法來說，好處就是學(xué)校的信息化建設(shè)方案相對簡單，管理相對便捷，在數(shù)據(jù)量以及網(wǎng)絡(luò)依賴性不高的院校，或資金不足的院校具有一定的參考作用。

8　傳統(tǒng)高校校園網(wǎng)絡(luò)安全策略應(yīng)用的缺點

對于傳統(tǒng)的高校校園網(wǎng)絡(luò)安全解決辦法來說，弊端就是學(xué)校校園網(wǎng)絡(luò)安全受到嚴(yán)重威脅，來自校園網(wǎng)絡(luò)外部、內(nèi)部、系統(tǒng)自身產(chǎn)生的安全威脅匯集起來使用整個校園網(wǎng)絡(luò)的復(fù)雜性、不穩(wěn)定性大大增加，最后導(dǎo)致網(wǎng)絡(luò)安全性大大降低。

［參考文獻(xiàn)］

［1］鄒縣芳，孫道德.高校校園網(wǎng)絡(luò)安全問題及策略研究［J］.阜陽師范學(xué)院學(xué)報：自然科學(xué)版，2010（27）：87-90.

［2］杜蕓.高校校園網(wǎng)網(wǎng)絡(luò)安全隱患與解決策略探析［J］.信息安全與技術(shù)，2015（6）：13-15.

［3］王超，林峰.高校校園網(wǎng)絡(luò)安全管理策略［J］.科技資訊，2007（7）：160-161.

［4］杜波.高校校園網(wǎng)絡(luò)信息安全技術(shù)與策略研究［J］.中國校外教育，2011（6）：165-166.

［5］王濤.高校校園網(wǎng)絡(luò)安全策略分析［J］.硅谷，2009（9）：174.

Analysis on Traditional College Campus Network Security Policy

Zhou Yiyan
(South China Industrial and Commercial College, Qingyuan511510, China)

Abstract：In the construction of colleges and universities, the network planning, network security design and so on all is according to the actual situation in the next period of time again extensibility to design, many network system, device, until now has already started to fall behind. Blowout network data with the rapid development of network applications, to further test the existing network security, reliability and stability. Although many colleges and universities, with the continuous development of the era, is in constant upgrading of new equipment, but the replacement of a new generation of devices is to further improve the performance, for data processing, forwarding is keep up with the development of The Times, but far less than for network security.

Key words：network security; campus network; strategy

作者簡介：周怡燕（1985-），女，江西新干，本科；研究方向：計算機科學(xué)與技術(shù)。