者明伟 彭桂芬 韩华

摘  要：随着昆明医科大学不断深入的信息化建设，校园网已成为教学、科研、办公、生活的重要支撑平台。学校经过多年的基础设施建设和应用平台建设，已经形成了较为稳定的校园网基础架构和相对完善的校园网应用平台。但是，校园网的安全问题一直困扰着我校，基于此，本文通过一次安全项目建设实践，探索医科类院校怎样建设网络安全，并对建设过程做出一些总结。

关键词：网络安全设备;信息安全;校园网

中图分类号：TP393.08      文献标识码：A 文章编号：2096-4706（2019）08-0146-04

Abstract：With the development of information technology in Kunming Medical University，campus network has become an important supporting platform for teaching，scientific research，office and life. After years of infrastructure construction and application platform construction，the school has formed a relatively stable campus network infrastructure and relatively perfect campus network application platform. However，the security of the campus network has been plagued by our school. Based on this，through a safety project construction practice，this paper explores how to build network security in medical colleges and universities，and summarizes the construction process.

Keywords：network security equipment;information security;campus network

0  引  言

随着学校招生规模的不断扩大，校园网出口带宽不断地增加，单台出口设备已远远不能满足日益增加的互联网用户需求，导致上网流量不断被新增用户吞噬，网速越来越慢，师生用户对网络的体验较差，学校多链路边界出口及增加高带宽方面的优势无法体现;其次，虽然学校基础网络建设取得了一定的进展和成效，但信息安全领域还很薄弱，面对日益快速增长的网络应用，保守的网络防范已不能适应当前大规模应用层防护的需要，为保证学校信息化建设的顺利进行和发展，需要一个良好的网络安全环境，网络安全建设变得非常迫切。

1  安全需求

昆明医科大学通过前期的项目建设，目前基本完成基础网络建设、校园信息管理系统建设、认证计费系统建设等，但校园网络安全体系建设缺乏，校园网面临以下几个方面的安全问题：

（1）当前主干设备为千兆设备，网络速率低，已无法满足昆明医科大学信息化网络的需求。

（2）网络出口无任何安全设备，只有一台负载均衡设备，存在性能问题，也存在单点故障，设备损坏将导致全校断网，产生重大影响。

（3）数据中心无入侵防护设备，导致服务器经常被攻击，网页经常被篡改。

（4）校园网的流控和认证计费设备都为千兆网络接口设备，已经成为网络发展瓶颈，制约学校出口带宽的增加。

（5）无上网行为审计，流量分析设备，无法对广大师生的舆论进行有效的监督和引导。

（6）现有的认证计费系统不支持智能终端认证计费，对宿舍无线路由器的使用无法进行很好的管理。

（7）校园网站经常受到非法攻击，网页被篡改的安全事件时有发生，对昆明医科大学的社会形象造成一定影响。

2  項目建设思路与原则

2.1  项目建设思路

根据网络安全法和信息安全等级保护的要求，进行建设方案的设计。

2.2  项目建设原则

昆医大校园网安全系统应有统一的体系结构，而不应是多个分系统的迭加或总和，因此昆医大校园网安全系统的设计和实施，应遵循以下原则：统一规划原则、技术先进性原则、可控性原则、适度安全性原则、系统可扩充性原则、示范和推广原则、技术与管理相结合原则。

3  方案设计

3.1  总体思路：总体规划，分期建设，逐步加强及完善

本次方案设计，根据资金和实际情况，我们将项目分为两期进行建设：第一期，完善基础安全设备设施;第二期，将一期项目建设中单链路设备进行扩容升级为双链路。

3.2  本期项目建设拓扑

根据昆医目前的网络现状，结合行业内较为成熟和通常的解决方案提出本方案，边界接入区域作为整个系统的唯一互联网接口，实现对互联网业务的缓冲，主要用于承载互联网数据。为下属分支互联网以及各互联网用户和单位提供互联网安全接入通路，主要包含万兆线路负载均衡设备、出口与内网区域隔离防护的万兆下一代防火墙网关以及用于对网络流量进行分析、舆情管理的万兆上网审计设备，做到三位一体的出口管理。下一代防火墙其功能融合了基础防火墙、DOS/DDOS、IDS、IPS、防毒墙、漏洞扫描等各种底层乃至应用层安全防护功能模块，一台设备就具备了整网安全防护能力。

服务器区域部署万兆下一代防火墙主要侧重于服务器方面的防护，除基础的Web应用攻击特征库防护以外，结合了更加高级的服务器漏洞防护、网页防篡改等功能，结合SQL注入防护、XSS攻击防护以及新近热火朝天的APT攻击防护等高级功能，让Web服务可以更加安全可靠的发布给终端用户，免去后顾之忧。具体部署如图1所示。

（1）在网络出口部署1台万兆负载均衡设备，替换原有设备，连接目前4条外部线路，有效进行链路负载调配和地址转换工作，提升出口速率;同时原有的千兆负载均衡作为冷备。

（2）在网络出口处部署1台下一代万兆防火墙设备，并配置防病毒功能，实现网络的访问控制和网关处的病毒过滤，保障网络出口的安全。

（3）部署1台万兆上网审计及流控、流量分析设备，对网络及应用系统的使用情况进行分析，优化网络资源，维护网络环境稳定。本次配置1台，具备双链路模块，且带bypass功能，如设备故障，不会影响到链路的通断;原有的两台千兆流控系统作为冷备，在二期建设中再增加1台形成双链路。

（4）在数据中心区域部署1台万兆Web应用防火墙，能够解决网站、Web应用经常被攻击、网页被篡改和病毒攻击的现状。在二期建设中再增加1台形成双链路。

（5）核心机交换机旁路部署SSL VPN网关，提供完整的SSL VPN服务。

（6）原有千兆认证计费设备下架，部署万兆认证计费设备，要求能够支持不同的计费策略，并能对智能终端和无线路由器的使用有完善的解决方案。

3.3  二期项目建设拓扑

二期建设主要实现核心主干线路双链路部署，分别增加一台万兆负载均衡、万兆下一代防火墙、万兆上网行为审计，万兆Web防火墙和堡垒机系统。具体部署如图2所示。

4  设备选型

4.1  负载设备

为防止单条线路出现单点故障导致业务不可用，同时防止跨运营商问题导致业务访问速度慢，影响办公效率等问题，本次方案通过专业的链路负载均衡设备，实现多线路的智能选路。通过链路健康检查机制，实现对每条链路的健康状况进行实时的探测，当一条链路出现问题时，能够快速的切换到另外一条链路上，只要其中一条链路可用，即可保证整个网络的持续不间断。此次方案建设采用的是深信服的万兆负载均衡设备。

4.2  出口防火墙

互联网接入区域作为整个系统的唯一互联网接口，随时面对着互联网上各种各样的安全威胁，需要做好绝对的安全防护。因此，传统的建设思路即是在出口到内网核心之间部署防火墙、IPS、漏扫、AV等各种安全设备，实现安全防护的需求。但由于多设备串接方式又会引入新的单点故障风险点，由于多设备可能存在功能重合且多次拆解数据处理也会导致业务效率急剧低下，也存在着很大的运维问题。

因此，本次方案建设采用深信服万兆下一代防火墙设备，单台设备即可实现防火墙、IPS、漏扫、AV杀毒等功能，不需要再专门部署入侵检测机入侵防御等设备，在保证安全功能完整的前提下提升业务处理性能，降低单点故障风险，提供2-7层立体化的安全防御，实现区域的安全隔离防护。通过附带的流量管理及控制引擎，可以对业务进行识别分析，对流量进行梳理，对关键业务进行带宽保障，确保数据传输的有效性。

4.3  行为审计及流控设备

要做到“实名+上网账号+内网地址+外网地址+Mac地址+网络动作”的详细网络日志，当出现网络违法犯罪行为时，能够给公安机关出示上网日志证据，对外能够将互联网中不良网站进行过滤，对内能够设置多关键字过滤，过滤对外发表的不当言论。本方案使用深信服的上网行为安全审计设备。

4.4  数据中心Web防火墙

数据中心区域是昆医大校园网安全系统的核心区域，该区域中包含所有数据库服务器、虚拟化服务器、应用服务器、数据存储设备等，为整个数字校园系统提供数据存储服务、数据调用服务、业务应用服务等服务，本区域为重点防护区域。本方案使用的是深信服的万兆Web防火墙。该系列防火墙串联透明模式部署在内网服务器的应用系统之前，主要针对Web应用系统进行防护，降低安全风险，维护网站的公信度;分别针对安全漏洞、攻击手段及最终攻击结果进行扫描、防护及诊断，提供综合Web应用安全解决方案;事前评估：通过Web扫描器对网站系统架构进行整体评估，评估网站应用在开发过程中，开发人员忽视的安全问题，提前找出系统漏洞问题，便于解决问题。事中防护：提供Web攻击行为的特征库，针对黑客的攻击流量进行逐一特征匹配，匹配上的流量就是黑客攻擊流量，及时进行Web安全过滤;事后弥补：针对网站网页频繁被篡改事件的发生，提供防篡改功能，并提供多重防护组合模型，包括内核保护、本地备份、异地备份，可以根据实际情况进行多种防护组合。

4.5  VPN接入网关

学校经常有领导、老师等出差在外或临时需要接入到校内网进行办公，网络通信安全及安全接入访问很关键，基于此，部署深信服的SSL VPN系统。该设备旁路部署，不影响网络主干路业务;能实现随时随地校内网远程安全访问、快速接入服务，允许通过电脑终端、智能手机、PAD等多类设备安全接入，支持LAN-To-LAN互访;多种安全认证对用户身份进行认证，支持本地认证、短信认证、USB Key身份认证、国密办认证体系、动态令牌认证、X.509数字证书认证以及LDAP，RADIUS、E-mail账户认证等第三方服务器认证;点对点全程加密，用户终端对资源的每一次操作都经过安全的身份验证和加密，确保点到点的远程访问安全;可以根据用户的不同身份，给予不同的访问权限，细致的用户锁定策略。

5  实施后的效果

项目于2016年实施完毕，我校部署了万兆负载均衡设备，出口万兆防火墙，WAF万兆防火墙，VPN设备、万兆上网行为审计设备，通过网络安全项目的建设，具备了网络安全预警监控、网络舆情监控、内外网资源隔离、网页防篡改等能力，同时所部属的都是万兆设备，实现了学校主干链路的升级改造工作，由千兆主干链路升级到了万兆主干链路。

6  结  论

网络安全需要安全设备，建设安全设备以后，更需要专业人员管理，典型的是规则库与应用系统合规性存在矛盾，出口的防火墙对很多应用系统进行不合理规则拦截，导致应用系统无法对外提供服务，需要不断调整规则，磨合防火墙和应用系统之间的匹配性，这就需要耗费更多的人力;下一代防火墙可以作为路由出口代替传统的路由器，项目中学校就用负载设备和防火墙替换了路由器;网络安全管理规章制度尤为重要，可以说三分技术，七分管理。随着本期安全项目建设完成，日后工作的重点将放在防火墙策略的调整上做研究。

参考文献：

[1] 黄美娟.构建高校网络意识形态安全机制的思考 [J].学校党建与思想教育，2017（12）：14-17.

[2] 戴文健.网络安全及办公网络建设安全防范 [J].甘肃科技纵横，2018，47（12）：9-11+92.

[3] 袁昌，朱鹏飞，李涛.广电行业网络安全态势感知平台建设思路 [J].广播与电视技术，2018，45（6）：30-32.

[4] 贾雪飞，刘玉岭，严妍，等.基于能力机会意图模型的网络安全态势感知方法 [J].计算机应用研究，2016，33（6）：1775-1779.

[5] 郑毅平.基于知识发现的网络安全态势感知系统[J].网络安全技术与应用，2014（9）：51+53.

[6] 李腾飞，李强，余祥，等.基于拓扑漏洞分析的网络安全态势感知模型 [J].计算机应用，2018，38（S2）：157-163+169.

[7] 刘强.网络安全态势感知系统研究 [J].中国新通信，2017，19（1）：113-114.

作者简介：者明伟（1983.09-），男，汉族，云南玉溪人，助理工程师，硕士研究生，研究方向：计算机应用系统开发;通讯作者：彭桂芬（1979.09-），女，汉族，云南大理人，就职于现代教育技术中心，讲师，硕士研究生，主要研究方向：计算机应用和现代教育技术。