阳子轩++方建超++蔡冰凌

摘 要：校园网作为高校基础设施，在日常教学、行政管理、科研活动以及对外宣传方面发挥了重要作用。传统采用身份认证、防火墙、漏洞扫描、防病毒、入侵检测、虚拟专用网等技术来保障网络安全运行的防护办法无法及时调整安全策略以适应新的安全挑战。可配置的基于规则的前置式接入控制系统可以最小化网络安全威胁。本文分析了校园网络目前的安全现状，提出了网络接入控制系统需求，介绍了其实现功能以及部署后的实际效果。

关键词：校园网；接入控制系统；网络安全

中图分类号：TP393 文献标志码：B 文章编号：1673-8454（2017）03-0091-03

伴随着网络安全威胁的产生，各高校广泛运用身份认证、防火墙、漏洞扫描、防病毒、入侵检测、虚拟专用网等技术来保障网络的安全运行。但是，这些安全技术均只针对于某一个特定的领域，不能形成完整的安全防护体系，且都是被动防御方式，不能有效保护校园网络和各类信息终端的安全。因此，如何对接入校园网的终端实现从安全认证、IP地址绑定及授权、IP准入直至对上网行为进行实时管控成为校园网络信息安全管理的重要课题，建设一套可配置的基于规则的前置式接入控制系统刻不容缓。

一、校园网络安全现状分析

资源共享是计算机网络的重要特性。当前，各高校将大量的视频、语音、文献等教学资料在校园网内部实现共享，但也正是因为这种共享，给网络本身和信息设备带来了各种威胁：

一是操作人员的无意失误带来的。比如：操作人员安全意识淡薄、用户使用不当、系统安全配置不规范、配套规章制度不健全、网络安全培训工作滞后等等，都会给网络信息安全带来隐患。

二是人为的恶意攻击带来的。人为的恶意攻击是校园网络面临的最大威胁，根据攻击所作用于网络的协议层不同，校园网中常见的攻击行为如表1所示。

三是系统漏洞和软件“后门”带来的。各类硬件或软件在设计开发和系统部署过程中，部分厂商没有充分考虑安全性和可靠性，同时为了管理或者在出现问题时能方便跟踪查找，无意或有意的留下了部分漏洞、“后门”等，这些也成为了攻击的突破口。

虽然在校园网建设时，各高校通常会部署入侵检测系统、防火墙、杀毒软件等来作为网络安全防护手段，但这些手段功能单一，而且采用被动防御方式，无法完全抵御来自各个层面的恶意攻击，再加上部分防护手段（如杀毒软件）虽然部署在校园网络的信息终端，但由于长时间没有升级或没有及时安装系统补丁，给校园网络安全带来更为严峻的挑战。

二、网络接入控制系统设计需求

针对校园网络安全现状，迫切的需要建设一套“主动防御、整体安全”的网络接入终端控制系统，部署后，应达到以下目标：

（1）不符合安全要求的终端将无法接入校园网。

（2）没有授权的非校园网用户无法访问校园网内部信息资源。

（3）合法用户只能按权限访问相应等级的网络资源，并对信息终端所必需的防护手段（如系统补丁、杀毒软件）等进行检测，能自动升级更新，提高网络安全防护等级。

（4）提供网络安全状况评估，并具备一定的数据分析与处理能力，为校园大数据应用提供基础数据。

为此，网络接入控制系统应具备以下三项基本功能：

1.用户身份认证

通过对MAC地址、IP地址、硬盘序列号等多重绑定，为接入校园网络的每个信息终端分配一个用户名，用户终端在接入校园网之前，只有通过用户身份认证才能合法访问网络，为在源头上控制信息终端访问网络打好基礎。

2.终端安全状态检测

对各类终端的安全性能进行检测，主要包括操作系统完整性检测（如漏洞扫描、自动更新、补丁安装等）、必装软件检测（如杀毒软件）、非法安装软件检测、防病毒软件版本、病毒特征库版本检查、应用软件黑白名单检查、共享目录检查、分区表检查等功能。通过对终端安全性能的检测，从而抵御由于信息终端本身安全问题带来的攻击行为。

3.网络安全评估

根据身份认证结果和网络终端安全检测结果，限制不同的访问权限，让用户在接入网络后，只能访问自己权限之内的服务器、网络区域等，同时，如果终端通过身份认证，但安全性能低，要能引导低安全性能终端自动升级，提高安全水平。

另外，还要根据身份认证结果和网络终端安全检测结果，将某些关键数据存储在系统服务器中，并进行简单的图表分析和处理，给网络管理员直观的、可视的网络安全性能结果。

三、网络接入控制系统功能及应用

某高校于2010年重新建设本校校园网网络，该网络主要用于校园内部教学和办公，不与互联网相联。在建设初期，充分考虑系统兼容，所有交换机均选用锐捷系列产品，包括2台RG-S8610核心交换机，4台RG-S5750万兆汇聚交换机，1台RG-S2951XG千兆汇聚交换机，47台RG-S2951XG网络交换机，44台RG-S2924G及3台STAR-S2126G网络交换机。在对各楼宇所承担的教学、科研、管理等相关任务进行充分论证后，完成信息网络节点的合理规划，其网路拓扑图如图1所示。

网络投入运营以来，由于均采用统一厂家产品，系统兼容性较好。但随着系统的长期运行，其安全问题也逐步显现：

（1）由于该网络没有接入互联网，教职员工经常将光盘、U盘、移动硬盘等存储介质在本地信息终端上插拔，进行数据的导入与导出操作。在插拔过程中，移动介质不可避免的将一些病毒、木马程序带入到校园网网络，不断对本地网络和服务器进行各种类型的攻击，一方面造成了病毒扩散的局面，另一方面给服务器健康稳定运行带来不良影响。

（2）由于用户类型多，信息终端类型多，很难进行全网的统一管理，不同区域终端及系统的不同要求管理人员熟悉并掌握不同的设备及系统管理办法，加重了网络维护人员的负担，降低了管理效率，增大了管理成本。

（3）在网络运行维护过程中，对经费投入观念也有所偏差。初期投入较大，后期投入较少，偏重于主干线路设备的升级换代，对于各类安全设备及管理系统的投入则不太重视。

（4）没有建设一套良好的接入控制机制，对网络中出现的病毒、木马无法从源头上得到有效管控，特别是信息终端到底有没有进行软件升级，操作系统是否存在漏洞均无法得知。

为解决以上问题，该校以锐捷上网实名策略外置认证产品RG-ESS1000和统一上网行为管理与审计产品RG-UAC6000为基础，建设了一套配置的基于规则的前置式接入控制系统，实现以下功能：

1.用户身份认证

合理为每名用户划分网段，分配IP地址，并通过严格的6元素（IP地址、MAC地址、交换机IP、交换机端口、用户名、密码）绑定措施，确保接入用户身份的合法性，用户未进行合法登录将无法上网。用户登录成功界面如图2所示。

同时，对操作系统重装后更改IP地址的用户或在其它IP地址登录本人账号的用户，均不能登录。

2.终端安全状态检测

终端登录成功后，系统对每台终端进行状态检测，如果终端未安装杀毒软件、操作系统需要更新等，系统将强制用户进行安装和更新，提升整个网络的安全水平。信息终端提醒界面如图3所示。

在服务器端，系统提示整个网络终端杀毒软件安装情况、系统漏洞修复情况，并以饼图、柱状图等形式对用户是否进行了漏洞修复、是否安装了杀毒软件等情况进行图像显示，使网络管理员实时掌握网络安全状况。同时，对不符合要求的用户，以列表的形式通知网络管理员，显示界面如图4所示。

3.网络安全评估

系统能提供各种网络安全状况评估，并具备一定的数据分析与处理能力。以流量统计为例，某时段网络中各VLAN实时流量如图5所示。

为进一步分析实时流量是由哪些服务、用户访问了哪些站点带来的，系统能自动进行分析与处理，其分析结果如图6、图7所示。

四、结束语

基于校园网这个特殊的网络平台，建设一套可配置的基于规则的前置式接入控制系统，对接入网络的所有用户实现统一认证、统一授权、统一管理是确保校园网络信息安全的重要手段。一个良好的接入控制管理系统能充分利用网络资源、提高网络效率、增强用户体验度，并减少网络管理员的工作量。

参考文献：

[1]张栋毅.校园网络安全分析与安全体系方案设计[J].计算机应用，2011，31（2）：116-118.

[2]杨哂哂，宋晓光.高校统一身份认证的探讨与研究[J].现代电子技术，2010（9）：104-106，111.

[3]王镇海.基于校园网的接入控制系统的研究[D].上海：上海交通大学，2014.7.

[4]William Stallings， Network Security Essentials： Applications and Standards（3rd Edition），Prentice Hall，2007.08.

[5]RG-ESS1000易安全管理系統硬件安装手册[Z].锐捷网络.2012.

（编辑：王晓明）