黄向农 王海源 徐彧

1 引言

我国利用互联网技术，实行高考招生网上录取工作，提高了工作质量和效率，保证了录取环节的公平公正。然而，互联网中存在各种各样的安全弱点和安全威胁，将会影响到网上录取的安全性[1]。因为关系到海量的考生信息，必须高度重视这些安全风险。所以，除了不断地对网上招生系统进行改进外，每年高考招生期间，省级招办都发布有关网上录取工作规范，强化网络信息安全管理，由各招生高校严格执行。

网上招生系统采用分布式C/S架构，由各省级招办的网上招生系统服务器，安装在高校的网上招生系统客户端，以及相关网络构成，见图1。为了每年一次的网上录取工作，高校的高考招生网络一般为临时搭建。以中山大学为例，网上招生录取场地分为省内、省外两个场地，分别借用能接入校园网的院系计算机房，安装全国版的网上招生系统客户端，以此构建高考招生网络，并上报该网地址段和对系统进行安全性设置。

网上招生系统服务器设置必要的访问控制规则，只允许各高校的高考招生网络及相关网络访问。而且，从客户端登录到网上招生系统后，就在客户端与服务器之间建立VPN加密隧道，使网上录取数据在端到端传输过程中的完整性和保密性得以保证[2]。可以认为该系统的校园网以外部分有足够的安全保障，本文着重讨论高校内高考招生网络的安全保障措施。

2 安全风险分析

图1 校园网及网上招生系统拓扑图

从图1可知，高考招生网络由主机、接入交换机、汇聚交换机、骨干交换机、核心路由器和边界路由器等组件构成，相关组件的安全风险分析如下[3]：

（1）主机：作为网上招生系统客户端，与省级招生办服务器通信，进行数据交换，完成网上录取工作。因为这些主机必须与各省级招办互联互通，即要接入外网，若主机系统存在安全漏洞，随时会被利用，如果不加以限制地与外网通信，容易成为网络入侵攻击的目标。另外招生录取现场工作人员多而杂，U盘的使用，系统的误操作，感染病毒、木马等，都有可能构成安全威胁。

（2）接入交换机：一个较大的计算机房需要使用几台交换机提供足够的端口来连接主机，实现网络接入。由相关交换机构成的VLAN是一个广播域，遇到人为或恶意程序产生的广播风暴或二层欺骗攻击，会影响到该广播域上的主机。

（3）楼栋汇聚交换机：作为VLAN网关，配置有访问控制功能，但也有可能受到网关ARP欺骗攻击、源地址欺骗攻击以及广播风暴攻击等，导致主机连网异常。

（4）骨干三层交换机（路由器）：用作区域汇聚交换机、校区骨干交换机、核心路由器和边界路由器等设备，主要用来提供网络互联和访问控制功能，与校园网所有网段相关，流经的网络流量类型复杂，尽管这些设备性能高，已做好自身的管理访问，具有较高的抗攻击能力，但仍会面临各种DoS攻击，可能会造成骨干网络运行性能降低。而且，学校招生网络骨干部分涉及到的设备越多，故障率也就会越大。

3 安全保障实施

针对基于普通校园网构建的高考招生网络存在的安全风险，可按如图2所示为网上招生系统建设专网。这样做的目的是，减少该专网接触校园网内部恶意流量的机会，便于加强对外部网络的访问控制力度，只允许由该专网主动发起的业务流量通过，过滤业务无关的网络流量，相关安全保障措施按如下所述加以实施。

图2 高校高考招生专网拓扑图

3.1 物理安全

按照高考录取的业务要求，招生场地分为省内、省外录取现场。需要配备保安、系统和网络人员在现场值守，全程参与现场安全保障工作。加强招生场地保安，维护招生秩序，防止无关人员进入，减少主机数据被更改或系统被暴力性破坏等的可能性。为了避免校园网对招生网络的影响，在招生期间，暂停校园网骨干的配置变更，做好网络安全应急工作预案，同时密切注意招生录取现场主机和传输网络的运行状况。

3.2 地址规划与地址配置

为了满足招生录取环境的安全性，同时又能保持与外界联系，可以将招生专网分为内、外网两部分，内网只与网上招生系统服务器通信，外网则用于访问互联网，内、外网间的主机被逻辑隔离，互不连通。先安装内网主机，然后根据需要，再加装外网主机。省内场配备100台主机（其中，外网主机2台），省外场配置30台（其中，外网主机8台），共需划分3个业务VLAN和1个二层网管VLAN。假定招生专网IPv4地址段是*.*.*.0/24，IPv6前缀是*:*:*::/48。可将*.*.*.0/25和*.*.*.128/26分别用于省内和省外录取网络，而*.*.*.192/26用招生外网，对应每个VLAN的IPv6前缀是*:*:*:vid::/64。主机的IPv4地址采用静态配置模式，IPv6地址采用无状态自动配置模式。在两个录取场地各安装一台打印服务器，连接于招生内网，为内、外网服务。

3.3 网络互联与路由规划

高考招生专网汇聚层可采用三层交换机，对应每个VLAN配置SVI地址，用于这些VLAN的网关地址。汇聚层采用路由类型接口与核心层连接，以隔离专网与校园网之间的广播流量；采用进行过VLAN修剪的trunk接口与接入层相连，接入层分为两级，主交换机通过光纤直连汇聚层，下接若干台桌面交换机。

该专网采用静态路由方案，在汇聚层只需配置默认路由指向核心层，在作为核心层的边界路由器上，配置源地址为信任网络（各省级招办服务器、招生相关网络，以及提供DNS、系统补丁、病毒库升级等服务的校园网数据中心）到目的网络为招生专网的静态路由，使来自非信任网络的流量不会转发到招生专网，又可实现招生网络访问外部信任网络。目前校园网主要采用OSPF路由方案，对于在校园网骨干中与招生专网相关的静态路由，需禁止重分布到OSPF进程中，并设置路由黑洞来终结非信任网络访问招生专网的流量。

招生外网访问互联网时，需通过校园网的SSL-VPN设备来实现，使该招生专网不会暴露在非信任网络中。

3.4 三层访问控制

招生网络对外不必提供服务，只会主动发起访问请求。在汇聚层与核心层的互联接口上配置访问控制规则时，只需考虑在接口的入方向应用基于源地址和目的地址的扩展ACL，只让由招生网络主动发起请求的访问可信网络的TCP回应包进入，还要注意放行特定UDP包和其他协议包（由省级招办的信息技术部门提供），禁止外部网络对招生专网主动访问，以减少网络被入侵的机会。在边界路由器与汇聚交换机互联接口的入方向，只接受来自招生专网的合法流量，过滤非法流量对校园网的影响。在核心层和汇聚层上绑定互联接口ARP，杜绝设备间的ARP欺骗，确保相互间通信是真实可信的[4][5]。

在指定主机或网络范围条件下，采用SSH方式远程管理设备，确保远程安全管理。

3.5 二层接入控制

为了控制招生现场主机发出的数据包是与业务相关的而且是合法的，以此提高接入层的安全性，除了做好物理安全防范，还要进行接入层端口级别上的控制，例如，禁用闲置端口，设置防环功能、广播风暴抑制功能，还要确认主机授权后才允许接入网络，等等。所谓主机授权是通过对接入交换机进行特殊配置实现的，在交换机上对接入主机的MAC地址、IPv4地址、所属VLAN和连接端口实行绑定，生成静态的DHCP侦听表，然后基于该表启用防ARP欺骗功能和防源IP地址欺骗功能[5]；类似地，对IPv6可采用SAVI技术来实现[6]。

在招生录取现场中的招生内网主机分为组长机和组员机，组长机负责对所有数据加工和汇总处理，以及向网上招生系统提交录取结果，而组员机主要负责预录取工作。对于省内录取而言，由于招生量比较大，组长机可以控制组员机的显示内容，并向组员机分发登录客户端的用户名和密码，各院系的录取人员只能看到填报本院系志愿的学生数据。组员机有访问组长机的需求，但组员机之间没有必要相互访问。为了防止这些用来连接主机的网络端口被不合理使用，可以采用私有VLAN技术和ACL技术[5]。在接入交换机上启用私有VLAN功能，每个端口属于一个VLAN，隔离端口之间的所有流量，使处于相同子网的主机不能互访，只能经网关与外界通信；再利用ACL使处于不同VLAN的主机也不能互访。注意，组长机要能与组员机通信，且都要使用打印机，连接组长机和打印机的端口不能应用私有VLAN。

另外，为了使省内场地的组员机能无阻塞并发地访问组长机，应该为组长机提供1 Gbps接入端口，而组员机的接入端口建议设置为10 Mbps速率。

3.6 主机安全配置

由于招生录取工作人员是从全校各个院系、部门临时抽调而来的，人多手杂，直接接触、操作主机，有较大的安全隐患，因此对主机进行统一安全配置，可以避免人为引入的病毒、木马，防止网络蠕虫病毒对整个招生专网的攻击影响，也可防止录取数据外泄。

主机安全配置的主要原则是最小化配置，根据招生应用软件的需求，配备统一的操作系统，并更新到最新版本。为登录用户名设置强密码及自动开机登录，既保证了用户名的安全，又不需工作人员记忆输入复杂的密码，提供了一定的便利性。清理操作系统自带的服务，禁用不需要的服务，禁用自动播放功能，防止移动存储介质插入，自动感染病毒、木马。启用主机防火墙，拒绝网络上的其他主机对本机端口的访问。安装统一的网络版防病毒软件，并通过校内防病毒服务器更新最新的软件版本及病毒库，由于统一的网络版防病毒软件有安全监控中心，可以实时监控主机的病毒感染情况，有利于病毒主机的快速定位及相关处理。

一般招生工作人员使用的主机都连接在招生内网，不能访问与招生无关的站点，从而减少了工作人员随意上网造成的病毒感染及信息泄露的风险。

4 结语

为了配合国家实施高校招生阳光工程，确保高校招生公平公正，学校高考招生专网必须严格配置、严格管理，从物理安全、网络安全和主机安全等多个维度，结合多种网络技术，提高招生专网的网络安全性能；采用独立网络、VLAN技术、接入控制、路由控制等技术措施加以保障，并通过管理制度、宣传教育、培训及安全监测手段对招生工作人员使用专网及主机进行配套的管理，最大限度减少安全漏洞和隐患，防止网络与信息安全事件的发生，切实维护良好招生秩序，保证学校网上录取数据的机密性、完整性和可用性。

[1]姜钢.强化信息安全管理确保普通高校招生工作顺利进行[J].中国高教研究，2005（10）:5-6.

[2]陈可.高校网上录取群集系统网络数据安全防护[J].黄冈职业技术学院学报，2007（4）:32-34.

[3]杜马.网上录取与网络安全[J].中国考试，2005（12）:40-42.

[4][美]Yusuf Bhaiji.网络安全技术与解决方案[M].北京:人民邮电出版社.2009.

[5]福建星网锐捷网络有限公司.RG-S2600E系列交换机RGOSV10.4（3）版本配置手册[EB/OL].[2011-8-10].http://www.ruijie.com.cn.

[6]潘莹，梁京章，王世辉.基于SAVI的IPv6校园网源地址验证方案及其实现[J].广西大学学报（自然科学版），2011（1）:185-189.