王宇一

（江苏信息职业技术学院现代教育技术中心,江苏无锡,214153）

目前数字化校园已经随着网络技术的日渐成熟有着很好的发展趋势.数字校园在以校园网为基础的前提下,为高校的教学科研、办公学习提供了很大的便利.但校园网用户在享受网络给我们带来高效工作的便利时,也面临着病毒邮件、ARP攻击、DDoS攻击等很多问题,不仅大大影响了用户使用的安全性,也由于学校一些保密性文件的毁坏引起极大的麻烦.如何使校园网络不遭受攻击破坏,如何才能让校园网络不再有黑客的入侵、木马的侵袭和病毒的泛滥等风险,使数字化校园能高效安全地运行,已经是学校面临的重要问题,也是网络管理中心的首要任务[1].

1 数字校园的典型安全问题

随着数字化校园中各种资源应用的发展,各类不同的安全问题也慢慢浮出水面.目前校园网中最普遍的安全问题有以下几方面.

1.1 数字资源的盗用滥用

校园网络接入的目的是为教学科研服务,可互联网上的不良信息也因此流入校园中.特别是一些色情暴力、反动言论等内容对学生的危害极大,他们的思想还没有成熟,容易受到蛊惑,造成人生观、价值观的偏差.如果没有有效的安全措施控制这些信息的传播,后果将无法想象.滥用资源主要包括PPS等网络视频、玩大型网游、利用P2P疯狂下载各类软件等,常常会导致网络阻塞、上网速度极慢等问题.

1.2 ARP攻击

校园网中很多用户对计算机的安全防范意识较为薄弱,通常有不装杀毒软件和未打系统补丁的习惯,给病毒的蔓延提供了漏洞.老师们常用的U盘等移动存储介质更是病毒传播的间接凶手.这几年校园网中最普遍发生的病毒是ARP欺骗攻击.它是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,造成网络长时间的中断.

1.3 木马病毒入侵

数字校园中有很多教学办公应用的信息系统,而任何系统和服务器只要在网络上都容易受到木马的入侵,黑客的攻击.许多高校的网站曾多次发生主页被篡改无法正常使用的情况,很大程度上影响了老师们日常的教学办公[1]；有些学生为了显示自己的能力在互联网上下载攻击软件,有目的地攻击校园网,这都会造成网络的瘫痪；更有甚者通过校园网散布虚假的公告,攻击学工教务等系统,严重扰乱日常教学任务的开展.

1.4 网络中硬件设备的破坏

网络中的硬件设备（如路由器、交换机、HUB和服务器等）会遭到有意无意的破坏.因为校园网络规模大,所以连接上较为复杂.而网络设备是校园网正常运行的基础,一旦设备无法正常工作,将导致整个校园网的瘫痪.

除了这些显著的安全问题,校园网还面临着其他各方面的问题,所以建立一套网络安全体系,为学校的教务系统、办公系统、资产管理等提供一个安全的运行环境是非常重要的.

2 数字校园网络安全体系研究

数字校园中传统的防御方法就是架设一台台网络设备来阻止病毒蔓延、黑客入侵.如防火墙、邮件过滤器、IPS、杀毒软件、安全接入访问交换机等,这种哪边有了漏洞就修补哪边的方式,其实是永无止境地跟在安全问题后面赛跑,无法从根本上解决问题.能根本上解决对网络安全造成的各种威胁,只有建设一个完善的校园网络体系.通过高性能的安全环境,提供行为识别、行为控制、行为审计等一套具有层次的网络体系来保障数据的安全传输,保证教学科研的顺利开展.在此基础上我们提出了面向用户协同管控的方案来有效的解决网络安全问题,并利用路由交换技术提供安全高效的数据传输.下面对面向用户行为的协同管控方案中的关键技术（防火墙技术、身份认证技术、VPN）进行简单介绍.

2.1 防火墙技术

防火墙有软件与硬件之分,都能在一定程度上防止黑客入侵和病毒蔓延.我们一般把它架设在网络出口处或者服务器之前,可以有效限制非法用户对校园网内部资源的访问.网络管理员要做好相应的安全策略,如可以用Vlan来设置一定的访问控制,有效地阻止了病毒在全网中的蔓延[2].提高用户的安全意识也是极其重要的,必须要求用户安装最新的杀毒软件,并按时更新病毒库,及时打好系统补丁,禁止浏览具有不良信息的网站,让用户形成良好的上网习惯.

2.2 身份认证技术

身份认证是常用安全技术中的一种.它是用通信的方式来确定用户的合法性,以此达到通讯安全的目的.一般认证方法有口令认证、数字签名等.采用一定的算法将数据加密后再通过网络传输,这样即使黑客获取到密文,也会因为无法破译而一无所获,很好的保证了文件的安全性.

2.3 VPN

VPN是在因特网上建立的一条安全稳定的隧道.通过这条隧道,我们能够对数据进行多次加密保证其传输的安全,还可以为远程用户提供安全的管理登录.我们还能在VPN上进行访问控制的设定,只有合法用户才能使用VPN获取相应的数字资源,并利用VPN的加密机制,对数据进行加密传输.

3 面向用户的协同管控方案在网络安全中的具体应用

传统的防御能在数字校园网中起到一定的安全作用,但其只是在防御的层面上,无法感知所有用户的所有行为,更无法控制所有用户的行为.虽然安全设备在校园网中分工不同,但实际上只是形成了一个个安全的孤岛.因为我们在很大程度上忽略了数字校园的安全问题从根本上还是用户行为导致的.所以本文提出采用面向用户的协同管控方案,从用户的角度出发,对用户进行行为识别、行为控制、行为审计,并通过管理系统负责各组件交互协同.只有这样才能从根本上保障校园网的安全.方案由出口用户协同管理、接入协同管理、全局协同管理3方面组成,下面具体介绍下这3方面的应用.

3.1 出口用户协同管控

可在校园网的出口做出口协同管控方案.采用ACG识别用户的访问情况和流量信息,运用服务器进行NAT地址的转换.ACG可以根据流控的策略和内容过滤的策略,对校园网的使用用户进行细粒度的控制.ACG还能为我们发送用户上网行为信息,根据防火墙的NAT日志我们就可以跟踪到某一用户的详细上网记录,并由安全管理平台进行记录,供事后审计.

ACG主要的3大应用主要为对P2P带宽滥用访问控制,对校园非法HTTP访问控制,对非法E-mail传播控制.①ACG能根据特征识别网络中各种P2P应用协议和流量,基于用户、IP、应用等任意组合进行多维度细粒度的控制,并能以多种方式进行阻断和限流；②ACG还可以识别用户对非法网站的访问,这样我们可以时刻关注学生的动态,还能过滤色情暴力网站的关键词,自动屏蔽这类网站的访问,保护了学生的身心健康[1]；③ACG通过收件人、发件人、邮件主题、正文、附件识别非法邮件的传播,还可以根据邮件标题、正文关键字过滤病毒垃圾邮件,大大降低了教工们因为邮件中毒的概率,从出口维护了网络的干净,提供了安全的办公环境.

3.2 接入协同管控

在接入终端采用iNode客户端来识别终端安全状态,通过EAD方案的账号与IP、MAC绑定功能实现终端用户的管理,并实现终端安全状态的统一管理见图1.iNode客户端可以识别username、IP、mac的真实对应关系,这样我们就可以对终端用户进行安全加固,并检测其电脑是否装有杀毒软件、是否更新病毒库等操作.一旦发现没有任何防毒安全措施的计算机连入网络,自动阻断,并提醒用户进行补丁更新的操作,有效防止了病毒在校园网中的蔓延.最重要的是iNode客户端还可以识别目前最令人头疼的ARP攻击,锁定攻击的客户端网关信息,这样网络管理员就能准确迅速地找出ARP攻击范围.

图1 接入协同管控

3.3 全局协同管控

把用户行为安全信息都记录在事件管理（SecCenter）中,然后通过响应控制（IMC）,我们就可以对用户的行为进行识别和审计,并进行相应的控制,如关闭病毒所在的交换机端口,强制非法访问用户下线,并给未能更新系统补丁的用户发在线提醒的提示[3].另外安全管理中心可以对IPS识别的蠕虫攻击进行展示并根据日志内容进行攻击源定位,通过EAD或UAM系统可对攻击源进行拉入黑名单的处理.

4 结语

数字校园网络安全是一个很复杂的问题,涉及很多方面,本文只是提出了一种较合理方便的解决方案,最大的优点就是易部署和易管理.即使一些终端存在安全漏洞的用户自己未留意,网络管理员也可以很轻松的定位到“问题用户”,随时分析其问题的详细原因.但方案实现起来仍较复杂,有待进一步的优化完善.

[1]张翼.校园网安全分析及解决方法[J].镇江高专学报,2002,15（4）：28-31.

[2]贾晓军.校园网设计与建设[J].山西科技,2009（5）：43-44.

[3]于洪一.浅析校园网络搭建及安全设计[J].黑龙江科技信息,2011（16）：90.