張殷

摘要：隨著網(wǎng)絡(luò)環(huán)境不斷面臨新的挑戰(zhàn)，校園網(wǎng)的安全也受到了沖擊。如何保證校園網(wǎng)絡(luò)教學(xué)活動(dòng)的正常使用，已經(jīng)成為不可忽視的問題。該文從安全分析入手，從設(shè)計(jì)的角度，巧妙地利用當(dāng)前主流的網(wǎng)絡(luò)安全技術(shù)，解決目前校園網(wǎng)所遇到的安全問題，為相關(guān)工作者提出了一定的參考與建議。

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全分析；設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）27-0030-02

近年來(lái)，尤其是棱鏡門事件后，國(guó)內(nèi)外網(wǎng)絡(luò)安全形式面臨更為嚴(yán)峻的挑戰(zhàn)。校園網(wǎng)作為網(wǎng)絡(luò)應(yīng)用普及率較高、用戶群密度比較活躍的地方。在給全校師生帶來(lái)網(wǎng)絡(luò)便利的同時(shí)，也帶來(lái)了安全上的威脅與隱患。如何保障一個(gè)安全、可靠的校園網(wǎng)絡(luò)安全環(huán)境，就是個(gè)刻不容緩的問題。

1 校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

目前，網(wǎng)絡(luò)安全威脅來(lái)自方方面面，我們不可能完全羅列出所有的安全威脅。對(duì)于校園網(wǎng)絡(luò)來(lái)說(shuō)，安全威脅涉及四方面的內(nèi)容：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全。我們就從這幾個(gè)方面進(jìn)行安全風(fēng)險(xiǎn)分析。

1.1 物理安全風(fēng)險(xiǎn)分析

物理安全是校園信息系統(tǒng)安全的最重要方面。保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全，是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全的前提。包括環(huán)境安全、設(shè)備安全、媒體安全。對(duì)于校園物理安全來(lái)說(shuō)，物理安全風(fēng)險(xiǎn)可能導(dǎo)致網(wǎng)絡(luò)平臺(tái)或內(nèi)部網(wǎng)絡(luò)資源的毀壞，主要表現(xiàn)如：自然災(zāi)害：地震、水災(zāi)、火災(zāi)等；誤操作：施工不慎挖斷線路、室內(nèi)裝修剪斷線路等；惡意攻擊：對(duì)網(wǎng)絡(luò)傳輸媒介上的電磁信號(hào)進(jìn)行屏蔽、竊聽和分析，對(duì)其傳播進(jìn)行人為干擾。

1.2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

計(jì)算機(jī)的聯(lián)網(wǎng)使用對(duì)數(shù)據(jù)造成了新的安全威脅。對(duì)內(nèi)部網(wǎng)絡(luò)與國(guó)際互聯(lián)網(wǎng)相接時(shí)，如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)之間不采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易受到來(lái)自外部網(wǎng)絡(luò)入侵者的攻擊。影響校園網(wǎng)絡(luò)安全的因素很多。主要表現(xiàn)在：局域網(wǎng)、子網(wǎng)安全：如訪問控制、網(wǎng)絡(luò)入侵檢測(cè)；數(shù)據(jù)傳輸安全：數(shù)據(jù)加密；網(wǎng)絡(luò)運(yùn)行安全：備份與恢復(fù)、應(yīng)急處理等；網(wǎng)絡(luò)協(xié)議安全：TCP/IP及其他協(xié)議。

1.3 操作系統(tǒng)安全風(fēng)險(xiǎn)分析

操作系統(tǒng)是校園信息系統(tǒng)的工作平臺(tái)，其功能和性能必須絕對(duì)可靠。由于系統(tǒng)的復(fù)雜性，不存在絕對(duì)安全的系統(tǒng)平臺(tái)。操作系統(tǒng)安全面臨的威脅有：漏洞與補(bǔ)??；病毒與木馬；入侵檢測(cè)與審計(jì)分析；數(shù)據(jù)加密等。

1.4 應(yīng)用平臺(tái)安全分析

一般校園網(wǎng)都有提供公共的信息服務(wù)的服務(wù)器，這些服務(wù)器與操作系統(tǒng)一樣，也都有安全隱患。主要表現(xiàn)在：DNS服務(wù)器：緩存區(qū)中毒、域劫持、域傳送等。WEB服務(wù)器：非法篡改WEB頁(yè)面、DoS攻擊、口令入侵、SQL注入等；

2 校園網(wǎng)絡(luò)安全整體設(shè)計(jì)

校園網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)必須立足于全校系統(tǒng)的整體安全。安全設(shè)計(jì)方案要求立足于學(xué)校對(duì)校園網(wǎng)絡(luò)平臺(tái)建設(shè)的統(tǒng)一要求，要從學(xué)校整體網(wǎng)絡(luò)安全需求來(lái)考慮，制定一套網(wǎng)絡(luò)安全的整體設(shè)計(jì)方案。從結(jié)構(gòu)上看，它包括三個(gè)層次：核心層、匯聚層、接入層。如圖1所示。

2.1 物理安全設(shè)計(jì)

針對(duì)校園網(wǎng)物理安全上存在的各種安全隱患，在設(shè)計(jì)時(shí)，主要注意如下幾個(gè)方面的工作：機(jī)房環(huán)境監(jiān)控系統(tǒng)要求：如電源監(jiān)控、空調(diào)監(jiān)控、溫度監(jiān)控、濕度監(jiān)控、輔助監(jiān)控等各方面的要求；機(jī)房配電要求應(yīng)滿足供電設(shè)計(jì)與配備UPS系統(tǒng)；機(jī)房安全系統(tǒng)包括安防系統(tǒng)、防雷接地、消防系統(tǒng)、門禁系統(tǒng)等。對(duì)工作人員進(jìn)行權(quán)限及分區(qū)管理并對(duì)進(jìn)入、退出工作場(chǎng)所的時(shí)間及進(jìn)入的理由進(jìn)行登記。

2.2 網(wǎng)絡(luò)安全設(shè)計(jì)

校園網(wǎng)的安全設(shè)計(jì)，不僅要從常規(guī)安全角度考慮，還要從業(yè)務(wù)安全角度分析，同時(shí)兼顧層次化的網(wǎng)絡(luò)架構(gòu)。在設(shè)計(jì)時(shí)，主要注意如下幾個(gè)方面的工作：接入層設(shè)計(jì)：在接入層通過合理設(shè)置VLAN等技術(shù)手段，防止部門內(nèi)ARP攻擊、廣播風(fēng)暴；采用STP生成樹協(xié)議，消除網(wǎng)絡(luò)中的環(huán)路；采用端口安全技術(shù)，防止MAC攻擊；采用QoS技術(shù)，阻止DoS/DDoS攻擊。匯聚層設(shè)計(jì)：匯聚層與核心層采用雙上行鏈路級(jí)聯(lián)，實(shí)現(xiàn)匯聚層到網(wǎng)絡(luò)中心節(jié)點(diǎn)的數(shù)據(jù)匯聚和鏈路冗余；采用VLAN技術(shù)，防止某些網(wǎng)段的問題蔓延到核心層；通過VRRP等協(xié)議控制網(wǎng)絡(luò)流量，實(shí)現(xiàn)全網(wǎng)用戶流量負(fù)載均衡；核心層設(shè)計(jì)：采用雙核心雙鏈路設(shè)計(jì)，保證網(wǎng)絡(luò)持續(xù)穩(wěn)定運(yùn)行；采用ACL，限制VLAN間的訪問。DMZ區(qū)設(shè)計(jì)：實(shí)現(xiàn)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器分離，防止應(yīng)用服務(wù)器被攻擊后，影響數(shù)據(jù)安全；采用NAT技術(shù)，對(duì)外隱藏服務(wù)器區(qū)；部署防火墻，防止內(nèi)、外網(wǎng)用戶對(duì)服務(wù)器非法攻擊；部署殺毒軟件，防止病毒對(duì)服務(wù)器的破壞。網(wǎng)絡(luò)邊界設(shè)計(jì)：采用負(fù)載均衡的雙出口冗余設(shè)計(jì)，部署安全網(wǎng)關(guān)，采用NAT技術(shù)，設(shè)置ACL訪問控制策略，對(duì)內(nèi)容進(jìn)行審計(jì)。

2.3 系統(tǒng)安全設(shè)計(jì)

針對(duì)校園網(wǎng)絡(luò)安全分析所面臨的威脅，在設(shè)計(jì)時(shí)，主要注意如下幾個(gè)方面的工作：防病毒技術(shù)：建立病毒檢測(cè)系統(tǒng)，建立應(yīng)急響應(yīng)機(jī)制，將風(fēng)險(xiǎn)減少到最小，建立災(zāi)難備份系統(tǒng)，對(duì)各種殺毒軟件病毒庫(kù)進(jìn)行升級(jí)；主機(jī)安全加固：通過主機(jī)系統(tǒng)加固技術(shù)可以對(duì)系統(tǒng)的缺陷進(jìn)行彌補(bǔ)，提高系統(tǒng)的防御能力。安全操作系統(tǒng)是指計(jì)算機(jī)信息系統(tǒng)在自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身份鑒別、客體重用、審計(jì)、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等十個(gè)方面滿足相應(yīng)的安全技術(shù)要求。

2.4 應(yīng)用平臺(tái)安全設(shè)計(jì)

校園的應(yīng)用平臺(tái)安全設(shè)計(jì)，是確保校園信息管理系統(tǒng)的安全，確保各類業(yè)務(wù)系統(tǒng)能健康、穩(wěn)定的運(yùn)行。因此構(gòu)建DMZ區(qū)域不僅要考慮服務(wù)器群的網(wǎng)絡(luò)架構(gòu)技術(shù)，還要考慮軟件的選擇和服務(wù)器選型。服務(wù)器群網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)：從安全角度考慮，應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和磁盤陣列系統(tǒng)分開部署，防止應(yīng)用服務(wù)器被攻擊，影響信息資源的安全；軟件選擇：校園網(wǎng)所有的應(yīng)用服務(wù)器都由應(yīng)用服務(wù)軟件提供，操作系統(tǒng)則是應(yīng)用服務(wù)軟件運(yùn)行的平臺(tái)，因此操作系統(tǒng)、應(yīng)用服務(wù)軟件的選擇直接影響校園服務(wù)器能否穩(wěn)定運(yùn)行。服務(wù)器選型：服務(wù)器選型應(yīng)從校園網(wǎng)用戶的應(yīng)用需求、服務(wù)器的技術(shù)發(fā)展趨勢(shì)、對(duì)主流廠商的認(rèn)知、能否獲得主機(jī)廠商的良好支持及應(yīng)用經(jīng)驗(yàn)等幾方面考慮。

3 小結(jié)

本文從校園網(wǎng)的安全風(fēng)險(xiǎn)分析入手，就網(wǎng)絡(luò)安全的各個(gè)環(huán)節(jié)進(jìn)行針對(duì)性的設(shè)計(jì)說(shuō)明。安全是一個(gè)整體，完整的安全解決方案不僅包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和應(yīng)用平臺(tái)安全等技術(shù)手段，還需要以人為核心的策略和管理的支持。

參考文獻(xiàn)：

[1] 唐晏. 校園網(wǎng)絡(luò)安全技術(shù)應(yīng)用研究[J]. 電腦知識(shí)與技術(shù)， 2010（33）.

[2] 姚汝， 肖堯. 網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用研究[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2014（1）.

[3] 郭寶瑩. 校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[J]. 數(shù)字技術(shù)與應(yīng)用， 2015（5）.endprint