罗国富　王乙明

【摘要】在高校信息化建设过程中，学校面临的网络安全威胁较多。网络安全防范是一个系统工程，可以将安全策略、安全技术以及安全管理方面进行有机结合构建动态的安全防范体系。校园网络安全防范体系建立不仅依靠安全设备和技术，还需要安全管理，在安全策略的指导下，逐步推进，合理部署，并加强安全培训。

【关键词】校园网络；网络安全；信息安全；防范体系

【中图分类号】G40-057【文献标识码】A【论文编号】1009－8097(2012)09－0053－04

随着信息技术的快速发展和高校网络基础设施的不断完善，资源整合、应用系统和校园信息化平台建设已经成为校园信息化的主要任务。在新的网络信息环境下，信息资源也得到更大程度地共享，3G、IPV6、虚拟化和云计算等新技术开始研究和实施应用；三网融合、云服务及“智慧校园”等服务新理念的不断提出，使得校园网规模不断扩大，复杂性和异构性也不断增加，而这些需求都要求有一个能够承载大容量、高可信、高冗余和快速稳定安全的校园网作为基础条件。与此同时，高校用户在享受信息化成果所带来的工作高效和便利的同时，也面临着来自校园网内部和外部带来的各种安全威胁和挑战。因此，有必要建立一套高效、安全、动态网络安全防范体系，来加强校园网络安全防护和监控，为校园信息化建设奠定更加良好的网络基础。

一校园网络安全面临的问题

1、网络安全投入少，安全管理不足

在校园网建设过程中，管理单位主要侧重技术和设备投入，对网络安全管理不重视，在网络安全方面投入也较少，一般通过架设出口防火墙来保护校园内部网，缺少对安全漏洞的分析和病毒的主动防范的系统。同时，由于高校机构设置的原因，很多高校在网络管理方面存在人员不足，同一个技术人员同时肩负着建设、管理和安全的工作情况Ⅲ，在校园网安全管理方面，实践经验告诉我们，校园网络安全的保障不仅需要安全设备和安全技术，更需要有健全的安全管理体系。很多高校没有成立信息安全机构，缺乏完善的安全管理制度和管理规范，在网络和信息安全方面没有根据重要程度进行分级管理。有统计表明，70％以上的信息安全问题是由管理不善造成的，而这些安全问题的95％是可以通过科学的信息安全管理制度来避免。

2、系统和应用软件漏洞较多，存在严重威胁

传统的计算机网络是基于TCP/IP协议的网络。在实际运用中，TCP/IP协议在设计的时候是以简单高效为目标，缺少完善的安全机制。因此，基于TCP/IP而开发的各种网络系统都存在安全漏洞，黑客往往把这些漏洞作为攻击的突破口。安全漏洞主要包括交换机IOS漏洞、操作系统漏洞和应用系统漏洞等，操作系统漏洞如WINDOWS、UNIX、LINUX等往往存在着某些组件的安全漏洞，如果管理员没有及时更新系统补丁或升级软件，就会成为众多黑客攻击的目标。应用程序漏洞往往出现在最常用的软件上，如IE、QQ、迅雷、暴风影音等经常存在一些安全漏洞，这些漏洞很容易成为黑客攻击最直接的目标，给校园网带来了严重威胁，使得校园网络安全需要投入更多的精力，需要从各个层次进行防范。

3、网络安全意识淡薄，计算机病毒较多

高校校园网主要的服务群体是教职工和学生，用户计算机网络水平参差不齐，在日常上网行为和使用计算机过程中，很多用户缺少足够的网络安全意识，比如教职工为了教学科研和日常办公方便，经常使用简单的密码来管理计算机和各种业务系统，造成密码容易被非法盗用，从而导致系统和网络安全问题，黑客通过盗取个人信息进行诈骗或者获取用户账号信息来谋求不法利益，甚至有些黑客在用户的计算机安装后门木门，并作为僵尸网络的攻击工具。另外，计算机技术的飞速发展也使得计算机病毒获得了更加快捷多样的传输途径，各种新型病毒不断升级变异，并通过U盘、移动终端、局域网等各种方式进行广泛传播。如何提高用户的网络安全意识，有效解决病毒对校园网络安全的威胁，也是校园网管理人员必须面临的一个问题。

二构建校园网络安全防范体系

针对校园网络安全的各种安全隐患和威胁，要有效地进行防范，我们必须了解网络安全的体系结构及其包含的主要内容，国际电信联盟电信标准部(ITU-T)在X－800建议中提出了开放系统互连(OSI)安全体系结构，OSI安全体系结构集中在三个方面：安全攻击，安全机制和安全服务。安全攻击是指损害机构所拥有信息的安全的任何行为；安全机制是指设计用于检测、预防安全攻击或者恢复系统的机制；安全服务是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如图1所示。

在校园网络管理中，网络安全防范根本任务就是防范安全攻击，提供安全可靠的信息服务。在计算机网络发展过程中，人们在不断实践总结的基础上逐渐形成了动态信息安全理论体系模型，如P2DR模型，主要包括：Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。该模型以安全策略为指导，将安全防护、安全检测和及时响应有机地结合起来，形成了一个完整的、动态的安全循环，有效地保障了保证网络信息系统的安全。

在飞速发展的网络信息环境下，网络安全防范体系构建是一项复杂的系统工程，不是纯粹的技术问题，也不是简单的安全产品和技术的堆砌，我们必须从观念转变，在建设过程中，合理地部署安全策略和采用先进的技术手段，并有效地和安全管理结合起来，使之成为一个动态体系结构。根据传统的网络安全体系结构，结合P2DR模型，我们可以构建一种动态的、可靠的、可以实际运用部署的校园网络安全防范体系模型。如图2所示，该模型是以安全策略为核心，以安全设备为基础，以安全技术作为手段，通过安全管理作为保障，通过安全培训来提高用户安全意识，并在运行过程中，不断完善安全体系各个环节，从而提供安全可靠的服务。

1、安全策略：安全策略是用于网络安全管理相关活动的一套规章，是校园网络安全体系核心。它主要描述了校园网络所规划的安全目标、对各种安全风险的承受能力和保护对象的安全等级等内容，包括出现安全事故应急处理措施和恢复办法。

2、安全技术；安全技术是指根据安全目标需要，通过部署安全设备和采用技术策略来对校园网各个层次(物理层、网络层、系统层和应用层)来进行安全防护，其包括的设备或采用的技术主要包括入侵检测、防火墙、防病毒网关、流量控制带宽保障、通信加密、漏洞扫描、网站防篡改、安全审计、备份容灾等。这些设备和技术是网络安全防范体系中的实施应用基本条件或手段，它们形成了一个完整的网络安全防范系统，因为网络安全防范不是单一的技术手段和多个安全设备的堆叠，而是一个整体概念，需要保障校园网络各个层次和应用的安全。在实际应用部署中，由于不同的高校经费投入差异和信息化程度不同，需要根据学校的实际情况建立合理的安全策略，在安全策略的指导下，分步实施，部署安全设备，采用相应的安全技术手段。

3、安全管理：安全管理是安全体系能够充分发挥作用的基本前提，主要包括建立安全管理制度规范和对安全设备和技术的有效管理。安全体系的建设是一个复杂的工程，不仅需要考虑人、设备、技术等要素，更需要安全管理。对于安全设备部署和安全技术的实施，必须建立规范管理制度，使设备技术与安全管理机制有机地结合起来。安全管理不仅包括行政意义上的安全管理，还包括对人、设备、技术的管理。

4、安全培训：网络安全防范体系是一个整体，涉及在里面的每一个角色都是一个重要安全组成部分，各级用户包括领导、管理员和普通用户等都是安全体系中的一部分[”。加强和提高用户安全意识，起到的安全防护效果往往比单一的技术和安全设备更加有效，因为大部分网络安全都是人为的和可以防范的。因此安全培训是整个安全防范体系中非常重要的一部分。

三校园网络安全防范体系的应用方案

南京农业大学校园网建设起步于1995年，经过10余年的建设与发展，现己建成覆盖全校的、较完整的网络基础体系，基于校园网的信息应用系统更是发展迅猛，据不完全统计：学校已有网络公共服务系统超过100个、网络业务管理系统数十套、网络信息资源保有量超过了50TB；各类网络接入用户数在22000以上。2004年，我校在图书馆建立了统一的网络数据中心，对学校内部的主要网络设备和服务器进行集中管理，并制定了符合实际的管理规范，但随着校园网的快速发展和信息化建设的推进，一些规范已经不能满足实际管理的需要。2011年，我校在理科大楼新建了以绿色节能为特色，高性能、高安全性的新数据中心，与原有数据中心形成相互冗余，互为补充的网络架构，同时，结合我校网络和信息化建设现状，提出了比较明确的安全目标。

1、制定安全策略，确定安全目标

我校目前校园网安全结构覆盖了两个校区，通过教育、电信、联通、移动四个类别的网络出口跟国际互联网相连，学校用户使用的操作系统包括Windows、Linux、UNIX等。为了保障校园网络安全，确定的近期安全目标是要求所有联网设备必须严格执行校园网安全管理规范，设置相应的安全策略、安装校内自动更新补丁和病毒防护软件，保证能够防护一般的病毒和攻击，同时校园网管理中心建立防病毒中心和漏洞扫描系统，实现病毒和漏洞预警；中期目标：我们建立安全审计和取证机制，保证安全事情有据可查、有责可分，建立通信加密和网站防篡改系统，保障网络数据传输和信息安全，根据信息安全等级保护，对服务器的安全优先级进行划分，进行不同等级的防护保障；远期目标是建立立体化网络安全预警和应急恢复系统，实现网络安全自动告警和应急恢复机制自动化，建立有机结合、责权分明和可靠有序的规范管理制度。

2、部署安全设备，应用安全技术

在安全策略的指导下，结合校园网络各层次的特点，从物理层、网络层、传输层和应用层进行分级部署安全设备和运用安全技术，形成了如图3所示防范体系架构。

在物理层安全方面，对校园网结构进行扁平化改造，各楼宇汇聚交换机集中于数据交换中心，主干采用万兆互联和实现线路冗余，避免由于单点故障造成网络传输路径的中断。在服务器管理方面，我校分别在图书馆和理科楼各建立了一个数据中心，实现互为冗余和异地容灾从而有效保障了数据安全，在机房环境中，采用专门的气体消防和提供多线路大功率的UPS供电保障。建立专门的备份用刀片服务器，用于重要信息平台的容灾备份和双机并行，提高了应用系统的可靠性和稳定性。

在网络层安全防护方面，在校园网入口架设高性能防火墙和路由器，建立VPN通道，在网络核心架设入侵检测设备，学校用户利用VPN可以在校外能够安全接入校园网。使用入侵监测系统对进入校园网核心的所有数据流动进行实时检测分析。利用防火墙的包过滤和隔离功能，设置DMZ区来保障邮件和DNS等服务器的安全。通过在防火墙和核心交换的中间架设网络流量控制系统，对网络协议进行分类控制，保障重要的业务应用，对一些娱乐影视带宽进行有效控制，有效地提高了网络的使用效率。

传输层方面，为了防止ARP病毒和蠕虫病毒影响网络性能和网络安全，我校在校园网上网区域等实施用户上网客户端强制使用DHCP获取IP地址措施，对于教学科研管理中必须使用的静态IP联网的设备，申请登记后由网络管理员分配IP并对应交换机端口绑定设备MAC地址，防止信息被非法获取，有效地保证了传输层的网络数据安全。

在应用层的防护上，我校建立统一的身份认证系统，用于加强用户信息安全管理身份认证，根据用户的身份对用户进行分级管理并开通相应服务。对用户上网日志和服务器日志方面，通过计费网关对用户上网日志进行收集，通过网络管理系统对服务器日志进行收集，用日志软件来对事件和日志的集中分析，查找安全事件的来源，针对互联网上的垃圾邮件的泛滥，我校部署专业反垃圾邮件网关系统，为用户并提供详尽的邮件日志和发送隔离通知。在防病毒方面，我校在数据中心建立病毒防控中心，用户可以选择安装学校提供防病毒客户端来实现网络防病毒功能，为数据中心和校园网络接入终端提供防毒服务。为了防范系统漏洞导致的攻击，我校建立WINDOWS补丁更新服务器，实现校园网系统补丁自动分发。为了加强校园网安全，我们定时对校园网服务器进行扫描检查，对存在安全隐患的服务器或系统进行安全警告并通知相关管理人员进行及时修复。

3、注重安全管理，完善规章制度

实践经验告诉我们仅有安全技术和安全设备防范，而无良好安全管理体系相配套，是很难保障网络信息安全的。构建网络安全防范体系，必须制订一系列安全管理制度和安全管理规范，对安全技术和安全设施进行规范管理，建立行之有效的信息安全管理制度和流程，实现严密、多层次的安全控制，保证各级系统的安全稳定运行，保证数据安全可靠，实现数字校园网络环境的可控、可信、可查。

南京农业大学在信息化建设开展后，成立了专门的信息化建设领导小组，组长是校长，并成立了信息安全小组，由各院系单位派专人负责各自部门的信息安全工作，服从学校总体安全管理工作安排。同时，我校图书与信息中心也不断制定和完善各种安全管理制度，包括校园网安全管理规范，设备操作规范、设备安全使用管理、操作系统和数据库安全管理、异常情况管理、系统安全恢复管理、应急管理、运行维护安全规定、第三方服务商的安全管理以及对系统安全状况的定期评估策略等，努力建构和完善网络信息安全体系。

4、开展安全培训，提高安全意识

网络和系统的是否安全的决定因素是用户的安全意识和技术能力，在安全体系建立后，必须不断提高用户的安全意识，使管理员和各级用户有很强的主人翁意识，积极参与和防范网络威胁和及时堵住相应漏洞，尤其是新的系统和技术在校园网中的应用、新的病毒或漏洞被发现，必须通过定期培训、在网上发布相应公告、通过电话提醒来敦促大家及时升级或更新补丁等方法，用户整体安全意识高，可以极大地提高整个网络的安全性。我校在信息化建设过程中，经常开展应用讲座、使用培训，通过信息门户网站宣传来提高和强化全校师生的信息安全观念意识。

四结束语

高校信息化建设在不断推进，用户对网络的需求也在不断扩大，网络安全建设需要不断关注和投入。结合学校的实际情况，我们可以确定清晰的安全策略，制定合理的安全目标，采用先进的技术手段，建立一个全面、立体、可靠地校园网络安全防范体系，来为学校信息化建设提供强有力的安全保障，从而更好地位教学科研服务。