浅谈高校校园网络安全管理

【摘 要】本文分析了高校校园计算机网络面临的安全风险，将校园网络按照功能划分为主机保护区、服务器群保护区、接入层保护区、核心汇聚保护区和网络边界保护区五个部分，分别进行相应的风险评估，有针对性地实施安全措施来确保该部分的安全运行，并从管理的角度分析如何保障校园网络的正常运行。

【关键词】校园网络 网络安全 网络管理

【中图分类号】G647 【文献标识码】A 【文章编号】1674-4810（2015）29-0143-02

高校校园网络拓扑结构采用比较成熟的分层方式设计，一般由核心层、汇聚层和接入层构成，校园网络安全管理可以从这三方面去实施，但是考虑到高校校园网络繁杂的应用和复杂的网络结构，在此基础上将校园网络按照功能分区域划分，针对每个校园网络功能区域进行分析，对校园网络系统的管理和维护是非常有利的。本文将高校校园网络划分为主机保护区、服务器群保护区、接入层保护区、核心汇聚保护区和网络边界保护区，阐述对其的安全管理措施。

一 主机保护区

主机保护区就是要保证接入校园网络中的每一个客户端主机尽可能地不会给校园网络带来安全威胁。主机作为校园网络的接入点，面临的安全威胁主要是病毒破坏、木马入侵、网络协议漏洞攻击、软件系统漏洞攻击、利用缺陷攻击和非法用户访问。

确保主机保护区安全是相当困难的，根源在于主机系统的脆弱性、用户身份的复杂性以及风险的不确定性。目前针对这些安全威胁采取的主要措施是为主机安装网络安全软件，如防病毒软件、桌面防火墙软件、漏洞扫描工具和为相关软件及时升级打补丁，同时采取严格地访问控制措施，防止非法用户带来的风险，尽可能地保证接入主机的安全，同时要求合法用户提高防范意识，杜绝有风险的操作。

二 服务器群保护区

高校校园网络的服务器一般集中在核心机房，一般包含学校的门户网站服务器、VPN服务器以及用于内网的各种应用系统服务器。为了确保这些服务器的安全主要从管理、技术和防范三个方面入手。根据服务器的用途可以分成对校外服务和对校内服务两个保护区域。对外的服务器保护区放置的服务器相对于应用于校园内网的服务器来说属于高风险区域，所以必须将对外应用的服务器与校园内网的通信进行控制。另外校园内网中各种应用服务器的安全性也有等级之分，为了防止黑客利用已被入侵的服务器（黑客称为“肉鸡”）来进一步攻击其他服务器，所以在各服务器之间还必须实施隔离。确保服务器安全应采取的主要措施：（1）将各个服务器用不同的网段进行隔离；（2）端口访问控制，将不用和有安全隐患的端口关闭；（3）设置隔离缓冲区（DMZ）；（4）服务器安装并及时升级防病毒软件；（5）进行常态化的漏洞扫描；（6）对服务器系统及时进行补丁升级；（7）建立日志服务器，专门收集各个网络设备日志以备事后审计和追溯，定期对日志服务器进行审计，可以及时发现安全风险，及时杜绝安全漏洞。

三 接入层保护区

接入层保护区主要面临的威胁是接入主机感染的病毒利用二层协议的相关漏洞进行攻击，如MAC地址泛洪攻击、ARP欺骗攻击等。接入层设备直接与用户的主机相连，如何识别接入主机用户身份的合法性也是接入层设备在部署和配置时要做的工作。另外校园网络提供的接入点数量庞大，而且用户成分不同，可以人为地制造端口环路。因此，确保接入层保护区安全的措施为：（1）在接入交换机中配置接入主机对应的VLAN。（2）在接入交换机中配置接入服务器对应的PVLAN，PVLAN使用了两层VLAN隔离，只有高层VLAN全局可见，而对底层VLAN隔离。PVLAN保证与默认网关能够进行通信，隔离连接到一些接口的网络设备之间通信。不同PVLAN的设备，能够使用一样的IP子网。通过PVLAN技术，可以很方便地在相同的VLAN里将不同的服务器进行隔离，这样服务器群就有了二次隔离带来的安全保护。所以现在校园网络对服务器主要的做法就是将各种用途的服务器划到Isolated VLAN里，而Isolated VLAN可以很好地隔离交换，防止服务器之间的安全隐患。另外，将对外的学校门户网站服务器划到Community VLAN里。（3）对接入交换机配置主机端口绑定，防止接入主机物理位置改变以及未经许可接入新的主机设备。（4）采用二次身份认证，一般在dot1x基础上，再利用特定的认证系统二次认证，确保用户身份的合法性。（5）对接入交换端口配置接入主机的数量，限制多个用户主机接入网络。（6）对接入交换机端口配置防ARP攻击命令。（7）接入交换机端口环路检测。

四 核心汇聚保护区

核心汇聚保护区域的设备是整个校园网络的关键节点，在校园网络中确保所连接的主干网络高速和稳定地传输，并作为校园网络流量的汇聚中心。核心汇聚设备在控制数据传输方面起着重要作用。核心汇聚保护区的安全策略决定了校园网络的安全体系。核心汇聚保护区安全设计要确保网络层的通信安全，主要的措施为：（1）通过划分VLAN，将整个校园网络划分出多个不同网段，目的是隔离有风险的广播数据包，限制二层互访，缩小广播域，一方面是防止基于广播的病毒感染整个校园网络，比如“熊猫烧香”病毒就是一个基于广播的病毒，另一方面可以实现某种用途的访问控制，这样就能控制VLAN间的数据传输，比如办公段、宿舍区段、校园卡段等；（2）在核心汇聚设备上对各网段间实施访问控制；（3）根据下连设备用途对核心汇聚设备端口进行绑定；（4）对交换机的IP地址范围设置管理，防止非法用户通过对交换机的侵入来实施攻击；（5）过滤蠕虫病毒使用的端口，防止各种蠕虫病毒的扫描和攻击。

五 网络边缘保护区

网络边缘保护区所处的位置在校园网络与外网的衔接处，是校园网络的出入口，处在整个校园网络的边界区域。高校的校园网络出入口一般有两个，一个连接中国教育网，另一个则通过互联网服务提供商（ISP）接入Internet。所以网络边缘保护区的物理设备主要的功能一是通过互联网服务提供商（ISP）接入Internet；二是接入中国教育网；三是联接学校内网并实现校内资源共享上网；四是发布对外服务器和提供远程访问服务。

网络边缘保护区直接面临的就是外部的高风险连接，在这个网络区域的物理设备既要保证联接外网又要保证校园网络正常事务的运行。所以网络边缘保护区必须采取的措施是：（1）禁止外部用户非法访问校内网络资源；配置日志服务器，从边界设备上获取校园网络进出的流量记录。（2）通过NAT转换，将校园网络内网IP地址隐藏。（3）根据用户的需求，有条件地提供安全的远程访问服务。（4）部署入侵检测系统（IDS），虽然入侵检测系统并不能做到万无一失，但是在校园网络管理上是不可或缺的。（5）部署防火墙设备，目前防火墙设备的功能不断地增加，和UTM设备之间的界线也越来越模糊，除了网络过滤，还能对数据流量进行监控和记录。通常防火墙设备一般有数据包过滤防火墙和应用层防火墙。应用层防火墙的安全性比较高，主要能对高层应用进行数据包过滤和识别，但相对数据包过滤防火墙，其运行的速度比较慢，如果校园网络采用应用层防火墙，会影响校园网络的整体访问速度，所以选择使用数据包过滤技术的防火墙是明智的选择。（6）配置反向代理服务器，当反向代理服务器受到攻击，不会让保存具体网页数据的服务器受到威胁，从而达到对外服务器的安全，这样不但能够提高外网用户访问服务器的速度，也为应用系统服务器提供更多的保护。（7）配置审计系统，确保校园网络用户身份真实可靠，这是保证校园网络安全的最基本要求，另外合法的用户也会有威胁校园网络安全的行为，所以还需详细记录合法用户对校园网络资源的访问行为和访问信息，便于之后的审计和追溯。

六 其他安全管理措施

校园网络传输线路的安全。校园网络传输线路所经过的物理位置必须远离具有电磁干扰、辐射干扰等数据信号干扰源，如移动和联通的信号基站。校园网络线路的安全传输。必须采取相应的检测手段来减少传输线路中数据的侦听、窃取、QoS下降及欺骗等。

加强网络维护人员的管理。配置门禁系统、监控系统，增强相关设施的安全保卫，对进入机房的人员进行管理（比如刷校园卡进行管理），建立机房出入记录日志。

七 结束语

通过拓扑结构将校园网络划分为主机保护区、服务器群保护区、接入层保护区、核心汇聚保护区和网络边缘保护区五个区域，然后分别根据各保护区的安全需求做出安全防范措施，从而使管理者能够确保校园网络的安全运行。

参考文献

[1]邢西深.校园网网络安全扫描系统的设计与实现[J].中国电化教育，2006（2）

[2]容强.网络入侵诱骗技术在高校网络安全中的研究与实现[J].计算机安全，2009（6）

[3]崔孝林.网络安全评估系统的设计与实现[D].中国科学技术大学，2009

〔责任编辑：林劲、李婷婷〕

推荐访问:网络安全 浅谈 高校 校园 管理

---