高校校园网网络安全解决方案探索解析

1、高校校园网网络安全解决方案探索余建三明学院网络信息中心【摘要】：信息化进程的深入和互联网的快速发展，校园网络化 成为大学信息化建设的发展趋势， 中国教育和科研计算机网的建设直 接引导和推动了高校校园网的建设和普及， 完善信息安全和网络安全 体系，加强信息安全和网络安全意识， 既是互联网使用单位的法定义 务，也是教育信息化发展的迫切需要。 通过分析校园网安全威胁的原 因、状况、设计维护校园网安全的方案，进一步探索加强高校教育系 统信息安全和网络安全管理， 预防和打击各种网上违纪、 违法行为的 重要途径。【关键词】：防火墙 局域网CERNET（教育科研网） 病毒校园网信息系统是校园网的数字神经中枢

2、， 中国教育和科研计算 机网的建设直接引导和推动了高校校园网的建设和普及， 截至目前， 这一网络已经通达内地的 170 个城市，联网的教育机构和科研单位达 900多个，联网主机 1 30万台，网络用户800多万，成为国内仅次 于中国电信的第二大互联网络， 信息资源也得到最大程度的共享。 然 而紧随信息化发展而来的网络安全问题日渐突出， 校园网络安全问题 已成为信息时代高校共同面临的挑战， 网络信息安全问题成为当务之 急，如果不很好地解决这个问题，必将阻碍高校信息化发展的进程。一、校园网网络结构和应用系统概述校园网信息系统是校园网的数字神经中枢，合理的使用不仅能 促进各院校的现代化教学改革、提高

3、教学质量、改善教学环境，同时 通过各院校之间的互联互通， 将会极大的提高教育行业整体的工作效 率和教育质量。校园网总体上分为校园内网和校园外网。校园内网主要包括教 学局域网、图书馆局域网、 办公自动化局域网等。校园外网主要指学 校提供对外服务的服务器群、与 CERNET 的接入以及远程移动办公 用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机 来学习的网络平台； 图书馆局域网实现了图书馆的网络化管理以及图 书的网上检索或浏览； 办公自动化局域网是教职员工自动化办公的平 台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办 公管理等。实现包括教学管理、科研管理、学员管

4、理、资产管理、人 事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管 理信息系统；校园外网的服务器群构成了校园网的服务系统， 一般包括 DNS、 WEB 、FTP、PROXY 以及 MAIL 、认证计费、 OA 服务等。外部网实 现了校园网与 CERNET 及 INTERNET 的基础接入，使院校教职工和 学生能使用电子邮件和浏览器等应用方式， 在教学、科研和管理工作 中利用国内和国际网进行信息交流和共享二、校园网安全威胁分析校园网内的用户数量较大，局域网络数目较多，认真分析可以总 结出校园网面临着如下的安全威胁：1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁；2) Inte

5、rnet 网络用户对校园网存在非法访问或恶意入侵的威胁；3) 来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以 及文件传输等将病毒带入校园内网。 内部教职工以及学生可能由于使 用盗版介质将病毒带入校园内网；4) 内部用户对 Internet 的非法访问威胁，如浏览黄色、暴力、反 动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校 园内网；5) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS 攻击，导致网络及服务不可用；6) 校园网内的学生群体是主要的 OICQ 用户，目前针对 OICQ 的黑 客程序随处可见；7) 可能会因为校园网内管理人员以及全体师生的安

6、全意识不 强、管理制度不健全，带来校园网的威胁；三、校园网安全方案设计 述分析的几点是当今校园网普遍面临的安全隐患。特别是近年 来，随着学生宿舍、 教职工家属等接入校园网后， 网络规模急剧增大。 同时，校园网络的应用水平也在不断提高。 规模的壮大和运用水平的 提高就决定了校园网面临的隐患也相应加剧。 下图是比较普遍的校园 网拓扑结构。基于此图，我们从物理、系统、网络、应用及管理五个 层次分析和设计适合于校园网的安全建议方案。学院校园网拓朴结构图CHINANETRmukJK斜Hl-K 丘91b4lJRHlLdHK匕五SLUinUHEHit.円骼信息屮4耕es#arjy4jjyB_CFRNFT就L

7、sl i-HiIM.MsT.ET1.物理层安全物理层的安全主要包括环境、设备及线路的安全。该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安 全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质）， 软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份， 防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障，等等。系统中心或机房的建设应遵照：GB50173-93电子计算机机房设计规范、GB2887-89计算机站场地安全要求 及GB2887-89计算机站场地技术条件的要求。在设备集中的管理 间安装干扰器防止由于设备辐射造成的信息泄漏。2.

8、系统安全该层次的安全问题来自网络内使用的操作系统的安全，女口Windows2000 , Windows 2003等。主要表现在三方面，一是操作系 统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系 统漏洞等。 二是对操作系统的安全配置问题。 三是病毒对操作系统的 威胁。系统层主要解决的是由于各种操作系统、数据库、及相关产品 的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种： A 采用主机加固手段对主机加固，如升级、打补丁、关闭不需 要的端口、安装杀毒软件等；B 采用主机访问控制手段加强对主机的访问控制；C. 安装 LINUX 或 UNIX 系统做服务器，增加系统安全性能： 3

9、 网络层安全校园网中局域网数目较多，根据需要多个网络可能要互相联接。 正是这种多网的互联， 使我们对网络层的安全要极度重视。 定义一个 网络或各网络内不同安全等级的部分为不同的安全域。 安全域之间的 连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：1）多网络出口应用。 校园网一般会分办公区和学生宿舍区两个场 所。学生宿舍区的网络往往会由于学生乱下载等造成病毒的恶意散 播。为了避免学生宿舍区的网络影响到办公区的网络， 我们可以采用 多个出口，即学生宿舍区一个出口，办公区一个出口。这样双方互不 影响，也不会影响对方的网速。m ServerMail Server2）划分安全子网（VLAN）

10、。如果同一局域网内有不同等级的安全域，可以通过划分子网及 VLAN的方法加以访问控制。如在教学局 域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。3）加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和 In ter net之间，利用防火墙 进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。防火墙的主要目的是控制数据组，只允许合法流通过。其特征是在网络 边界上建立相应的网络通信监控系统即防火墙来达到保障网络安全 的目的。防火墙技术假设被保护网络具有明确的边界和服务，并且假设网络信息的威胁主要来自外部网

11、络而不是内部网络，它通过建立一整套规则和系统策略来检测、限制、更改穿越防火墙的数据流，实现内部网络的保护。采用防火墙安全技术适合于与外部网络相对独立且网络服务类型相对有限的网络系统，而校园网正属此型，故要实现 校园网的安全应采用防火墙技术。4）防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（ IDS） ,可有效地防止来自网络内外的攻击。5）定期的网络安全性检测实现持续安全。利用漏洞扫描器（Seanne），定期对系统进行安全性评估，及时发现安全隐患并实施 修补，可达到网络的相对持续安全。6）建立网络防病毒系统。在校园网中安装网络版的防毒系统，集 中控制、管理查杀网络中服务器、

12、终端的病毒，保护全网不被病毒侵 害。4 应用层安全 应用层的安全措施主要有以下几点：1）各应用系统自身的加固；2）建立身份认证系统（实名制） ；3）建立安全审计系统；4）建立备份系统；5）建立日志访问系经统；5 管理层安全实现管理层的安全主要注意以下几点：1）建立安全管理平台。 主要是指将各种安全系统或设备集中控管、 综合分析。2）建立、健全安全管理体制。校园网用户较多，一定要建立一套 合理可行的安全管理制度。 只有制度和设备的完美结合才能真正提高 校园网的安全水平。3）提高全员的安全意识。 信息安全和网络安全事关师生身心健康，事关教育健康发展，事关国计民生和社会稳定。完善信息安 全和网络安全体系，加强信息安全和网络安全意识，既是互联网使用单位的法定义务，也是教育信息化发展的迫切需要。为进一 步加强我国高校教育系统信息安全和网络安全管理，预防和打击各种网上违纪、违法行为，有效推动我国高校教育网络建设与应 用健康有序发展。结束语由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信 息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有 效的网络安全防范体系就更为迫切。实际上，保障网络安全不但需要参考网络安全的各项标准以形成合理的评估准则，更重要的是必须明确网络安全的框架