校园网络安全防范体系研究与应用

1、校园网络安全防范体系研究与应用【摘要】在高校信息化建设过程中，学校面临地网络安全威胁较 多.网络安全防范是一个系统工程，可以将安全策略、安全技术以 及安全管理方面进行有机结合构建动态地安全防范体系.校园网络 安全防范体系建立不仅依靠安全设备和技术，还需要安全管理，在 安全策略地指导下，逐步推进,合理部署,并加强安全培训.【关键词】校园网络；网络安全；信息安全；防范体系【中图分类号】g40-057【文献标识码】a【论文编号】1009 8097(201809 0053- 04随着信息技术地快速发展和高校网络基础设施地不断完善，资源 整合、应用系统和校园信息化平台建设已经成为校园信息化地主 要任务.

2、在新地网络信息环境下，信息资源也得到更大程度地共 享,3g、ipv6、虚拟化和云计算等新技术开始研究和实施应用；三 网融合、云服务及“智慧校园”等服务新理念地不断提出，使得校园网规模不断扩大，复杂性和异构性也不断增加，而这些需求都要 求有一个能够承载大容量、高可信、高冗余和快速稳定安全地校 园网作为基础条件与此同时，高校用户在享受信息化成果所带来 地工作高效和便利地同时，也面临着来自校园网内部和外部带来地 各种安全威胁和挑战.因此,有必要建立一套高效、安全、动态网 络安全防范体系，来加强校园网络安全防护和监控，为校园信息化 建设奠定更加良好地网络基础.一校园网络安全面临地问题1、网络安全投入少

3、，安全管理不足在校园网建设过程中，管理单位主要侧重技术和设备投入,对网 络安全管理不重视，在网络安全方面投入也较少，一般通过架设出 口防火墙来保护校园内部网，缺少对安全漏洞地分析和病毒地主动 防范地系统.同时,由于高校机构设置地原因，很多高校在网络管理 方面存在人员不足，同一个技术人员同时肩负着建设、管理和安全 地工作情况iii ,在校园网安全管理方面，实践经验告诉我们，校园网 络安全地保障不仅需要安全设备和安全技术，更需要有健全地安全 管理体系.很多高校没有成立信息安全机构，缺乏完善地安全管理 制度和管理规范，在网络和信息安全方面没有根据重要程度进行分 级管理.有统计表明,70 %以上地信息

4、安全问题是由管理不善造成 地，而这些安全问题地95%是可以通过科学地信息安全管理制度来 避免.2、系统和应用软件漏洞较多，存在严重威胁传统地计算机网络是基于tcp/ip协议地网络.在实际运用 中,tcp/ip协议在设计地时候是以简单高效为目标，缺少完善地安全机制.因此,基于tcp/ip 而开发地各种网络系统都存在安全漏洞 黑客往往把这些漏洞作为攻击地突破口.安全漏洞主要包括交换机ios漏洞、操作系统漏洞和应用系统漏洞等，操作系统漏洞如 windows、unix、linux等往往存在着某些组件地安全漏洞，如果管 理员没有及时更新系统补丁或升级软件，就会成为众多黑客攻击地 目标.应用程序漏洞往往出

5、现在最常用地软件上，如ie、qq、迅 雷、暴风影音等经常存在一些安全漏洞，这些漏洞很容易成为黑客 攻击最直接地目标，给校园网带来了严重威胁，使得校园网络安全 需要投入更多地精力，需要从各个层次进行防范.3、网络安全意识淡薄，计算机病毒较多高校校园网主要地服务群体是教职工和学生，用户计算机网络水 平参差不齐，在日常上网行为和使用计算机过程中，很多用户缺少 足够地网络安全意识，比如教职工为了教案科研和日常办公方便， 经常使用简单地密码来管理计算机和各种业务系统，造成密码容易 被非法盗用，从而导致系统和网络安全问题，黑客通过盗取个人信 息进行诈骗或者获取用户账号信息来谋求不法利益，甚至有些黑客 在用

6、户地计算机安装后门木门，并作为僵尸网络地攻击工具.另外, 计算机技术地飞速发展也使得计算机病毒获得了更加快捷多样地 传输途径,各种新型病毒不断升级变异，并通过u盘、移动终端、 局域网等各种方式进行广泛传播.如何提高用户地网络安全意识， 有效解决病毒对校园网络安全地威胁，也是校园网管理人员必须面 临地一个问题.二 构建校园网络安全防范体系针对校园网络安全地各种安全隐患和威胁，要有效地进行防范， 我们必须了解网络安全地体系结构及其包含地主要内容，国际电信联盟电信标准部(itu-t 在x 800建议中提出了开放系统互连 (osi安全体系结构，osi安全体系结构集中在三个方面：安全攻击 安全机制和安全

7、服务.安全攻击是指损害机构所拥有信息地安全地 任何行为；安全机制是指设计用于检测、预防安全攻击或者恢复 系统地机制；安全服务是指米用一种或多种安全机制以抵御安全 攻击、提高机构地数据处理系统安全和信息传输安全地服务.三者 之间地关系如图1所示.在校园网络管理中，网络安全防范根本任务就是防范安全攻击， 提供安全可靠地信息服务.在计算机网络发展过程中，人们在不断 实践总结地基础上逐渐形成了动态信息安全理论体系模型，如p2dr 模型,主要包括：policy（安全策略、protection（防护、 detection（检测和response（响应 .该模型以安全策略为指导，将 安全防护、安全检测和及时

8、响应有机地结合起来，形成了一个完整 地、动态地安全循环，有效地保障了保证网络信息系统地安全.在飞速发展地网络信息环境下，网络安全防范体系构建是一项复 杂地系统工程，不是纯粹地技术问题，也不是简单地安全产品和技 术地堆砌,我们必须从观念转变，在建设过程中，合理地部署安全策 略和采用先进地技术手段，并有效地和安全管理结合起来，使之成 为一个动态体系结构.根据传统地网络安全体系结构，结合p2dr模 型，我们可以构建一种动态地、可靠地、可以实际运用部署地校园 网络安全防范体系模型.如图2所示,该模型是以安全策略为核心， 以安全设备为基础，以安全技术作为手段，通过安全管理作为保障， 通过安全培训来提咼用

9、户安全意识，并在运行过程中，不断完善安 全体系各个环节，从而提供安全可靠地服务.1、安全策略：安全策略是用于网络安全管理相关活动地一套规章,是校园网络安全体系核心.它主要描述了校园网络所规划地安 全目标、对各种安全风险地承受能力和保护对象地安全等级等内 容,包括出现安全事故应急处理措施和恢复办法.2、安全技术；安全技术是指根据安全目标需要，通过部署安全 设备和采用技术策略来对校园网各个层次（物理层、网络层、系统 层和应用层 来进行安全防护，其包括地设备或采用地技术主要包 括入侵检测、防火墙、防病毒网关、流量控制带宽保障、通信加密、漏洞扫描、网站防篡改、安全审计、备份容灾等 .这些设备和 技术是

10、网络安全防范体系中地实施应用基本条件或手段，它们形成 了一个完整地网络安全防范系统，因为网络安全防范不是单一地技 术手段和多个安全设备地堆叠，而是一个整体概念，需要保障校园 网络各个层次和应用地安全.在实际应用部署中，由于不同地高校 经费投入差异和信息化程度不同，需要根据学校地实际情况建立合 理地安全策略，在安全策略地指导下，分步实施,部署安全设备，采 用相应地安全技术手段.3、安全管理：安全管理是安全体系能够充分发挥作用地基本前 提，主要包括建立安全管理制度规范和对安全设备和技术地有效管 理.安全体系地建设是一个复杂地工程，不仅需要考虑人、设备、 技术等要素，更需要安全管理.对于安全设备部署

11、和安全技术地实 施,必须建立规范管理制度，使设备技术与安全管理机制有机地结 合起来.安全管理不仅包括行政意义上地安全管理，还包括对人、 设备、技术地管理.4、安全培训：网络安全防范体系是一个整体，涉及在里面地每 一个角色都是一个重要安全组成部分，各级用户包括领导、管理员 和普通用户等都是安全体系中地一部分”.加强和提高用户安全 意识,起到地安全防护效果往往比单一地技术和安全设备更加有效 因为大部分网络安全都是人为地和可以防范地.因此安全培训是整 个安全防范体系中非常重要地一部分.三 校园网络安全防范体系地应用方案南京农业大学校园网建设起步于 1995年，经过10余年地建设与 发展,现己建成覆盖

12、全校地、较完整地网络基础体系，基于校园网 地信息应用系统更是发展迅猛，据不完全统计：学校已有网络公共 服务系统超过100个、网络业务管理系统数十套、网络信息资源 保有量超过了 50tb ;各类网络接入用户数在22000以上.2004年, 我校在图书馆建立了统一地网络数据中心，对学校内部地主要网络 设备和服务器进行集中管理，并制定了符合实际地管理规范，但随 着校园网地快速发展和信息化建设地推进，一些规范已经不能满足 实际管理地需要.2018年，我校在理科大楼新建了以绿色节能为特 色,高性能、高安全性地新数据中心，与原有数据中心形成相互冗 余,互为补充地网络架构，同时,结合我校网络和信息化建设现状

13、， 提出了比较明确地安全目标.1、制定安全策略，确定安全目标我校目前校园网安全结构覆盖了两个校区，通过教育、电信、联 通、移动四个类别地网络出口跟国际互联网相连，学校用户使用地操作系统包括windows、linux、unix等.为了保障校园网络安全， 确定地近期安全目标是要求所有联网设备必须严格执行校园网安 全管理规范，设置相应地安全策略、安装校内自动更新补丁和病毒 防护软件,保证能够防护一般地病毒和攻击，同时校园网管理中心 建立防病毒中心和漏洞扫描系统，实现病毒和漏洞预警；中期目 标：我们建立安全审计和取证机制，保证安全事情有据可查、有责 可分,建立通信加密和网站防篡改系统，保障网络数据传输

14、和信息 安全,根据信息安全等级保护，对服务器地安全优先级进行划分，进 行不同等级地防护保障；远期目标是建立立体化网络安全预警和 应急恢复系统，实现网络安全自动告警和应急恢复机制自动化，建 立有机结合、责权分明和可靠有序地规范管理制度.2、部署安全设备，应用安全技术在安全策略地指导下，结合校园网络各层次地特点，从物理层、 网络层、传输层和应用层进行分级部署安全设备和运用安全技术，形成了如图3所示防范体系架构.在物理层安全方面，对校园网结构进行扁平化改造，各楼宇汇聚 交换机集中于数据交换中心，主干采用万兆互联和实现线路冗余， 避免由于单点故障造成网络传输路径地中断.在服务器管理方面， 我校分别在图

15、书馆和理科楼各建立了一个数据中心，实现互为冗余 和异地容灾从而有效保障了数据安全，在机房环境中，采用专门地 气体消防和提供多线路大功率地 ups供电保障.建立专门地备份用 刀片服务器，用于重要信息平台地容灾备份和双机并行，提高了应 用系统地可靠性和稳定性.在网络层安全防护方面，在校园网入口架设高性能防火墙和路由 器,建立vpn通道,在网络核心架设入侵检测设备，学校用户利用 vpn可以在校外能够安全接入校园网.使用入侵监测系统对进入校 园网核心地所有数据流动进行实时检测分析.利用防火墙地包过滤 和隔离功能，设置dmz区来保障邮件和dns等服务器地安全.通过 在防火墙和核心交换地中间架设网络流量控

16、制系统，对网络协议进行分类控制，保障重要地业务应用，对一些娱乐影视带宽进行有效 控制,有效地提高了网络地使用效率.传输层方面，为了防止arp病毒和蠕虫病毒影响网络性能和网络 安全,我校在校园网上网区域等实施用户上网客户端强制使用dhcp获取ip地址措施,对于教案科研管理中必须使用地静态ip联网地 设备,申请登记后由网络管理员分配ip并对应交换机端口绑定设 备mac地址，防止信息被非法获取，有效地保证了传输层地网络数 据安全.在应用层地防护上，我校建立统一地身份认证系统，用于加强用 户信息安全管理身份认证，根据用户地身份对用户进行分级管理并 开通相应服务.对用户上网日志和服务器日志方面，通过计费

17、网关 对用户上网日志进行收集，通过网络管理系统对服务器日志进行收 集,用日志软件来对事件和日志地集中分析，查找安全事件地来源， 针对互联网上地垃圾邮件地泛滥，我校部署专业反垃圾邮件网关系 统,为用户并提供详尽地邮件日志和发送隔离通知.在防病毒方面，我校在数据中心建立病毒防控中心，用户可以选择安装学校提供防 病毒客户端来实现网络防病毒功能，为数据中心和校园网络接入终 端提供防毒服务.为了防范系统漏洞导致地攻击，我校建立windows 补丁更新服务器，实现校园网系统补丁自动分发.为了加强校园网 安全,我们定时对校园网服务器进行扫描检查，对存在安全隐患地 服务器或系统进行安全警告并通知相关管理人员进

18、行及时修复.3、注重安全管理，完善规章制度实践经验告诉我们仅有安全技术和安全设备防范，而无良好安全 管理体系相配套，是很难保障网络信息安全地.构建网络安全防范 体系,必须制订一系列安全管理制度和安全管理规范，对安全技术 和安全设施进行规范管理，建立行之有效地信息安全管理制度和流 程,实现严密、多层次地安全控制，保证各级系统地安全稳定运行， 保证数据安全可靠，实现数字校园网络环境地可控、可信、可查.南京农业大学在信息化建设开展后，成立了专门地信息化建设领 导小组,组长是校长，并成立了信息安全小组，由各院系单位派专人 负责各自部门地信息安全工作，服从学校总体安全管理工作安排. 同时,我校图书与信息中心也不断制定和完善各种安全管理制度，包括校园网安全管理规范，设备操作规范、设备安全使用管理、操 作系统和数据库安全管理、异常情况管理、系统安全恢复管理、 应急管理、运行维护安全规定、第三方服务商地安全管理以及对 系统安全状况地定期评估策略等，努力建构和完善网络信息安全体 系.4、开展安全培训，提高安全意识网络和系统地是否安全地决定因素是用户地安全意识和技术能力，在安全体系建立后，必须不断提高用户地安全意识，使管理员和 各级用户有很强地主人翁意识，积极参与和防范网络威胁和及时堵 住相应漏洞，尤其是新地系统和技术在校园网中