余文艷

摘要：數(shù)字化校園中的網(wǎng)絡(luò)安全已經(jīng)成為當(dāng)前各學(xué)校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。文章基于我校網(wǎng)絡(luò)安全的現(xiàn)狀及特點(diǎn)，提出相應(yīng)的控制策略。

關(guān)鍵詞：校園網(wǎng)絡(luò)；安全策略

隨著我國(guó)經(jīng)濟(jì)與科技的不斷發(fā)展，教育信息化、校園網(wǎng)絡(luò)化作為網(wǎng)絡(luò)時(shí)代的教育方式和環(huán)境，已經(jīng)成為教育發(fā)展的方向。同時(shí)，校園網(wǎng)安全問(wèn)題也成為當(dāng)前各學(xué)校網(wǎng)絡(luò)建設(shè)中不可忽視的首要問(wèn)題。從以下幾方面來(lái)保證校園網(wǎng)的網(wǎng)絡(luò)安全。

一、規(guī)劃合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

校園網(wǎng)以學(xué)校的核心機(jī)房為全網(wǎng)中心，采用千兆以太網(wǎng)技術(shù)，將全校的計(jì)算機(jī)及已有的局域網(wǎng)全部連網(wǎng)，整個(gè)校園網(wǎng)絡(luò)分成以下幾個(gè)部分：

1.省交通廳辦公網(wǎng)。獨(dú)立專網(wǎng)：原有安全設(shè)備防火墻作為邊界安全設(shè)備，做訪問(wèn)控制及安全過(guò)濾；

2.校園外網(wǎng)1（學(xué)生網(wǎng)絡(luò)）。該網(wǎng)絡(luò)主要用戶為流動(dòng)外來(lái)學(xué)員以及內(nèi)部學(xué)生使用，主要應(yīng)用為訪問(wèn)因特網(wǎng)；

3.校園外網(wǎng)2（教職工網(wǎng)絡(luò)）。該網(wǎng)絡(luò)主要用戶為校內(nèi)教職工，主要應(yīng)用有：訪問(wèn)因特網(wǎng)、訪問(wèn)校園內(nèi)網(wǎng)資源等；并且將業(yè)務(wù)系統(tǒng)對(duì)外訪問(wèn)的門戶網(wǎng)站及郵件系統(tǒng)等規(guī)劃到DMZ區(qū)域；

4.校園內(nèi)網(wǎng)。主要為業(yè)務(wù)系統(tǒng)（核心業(yè)務(wù)，重要數(shù)據(jù)），對(duì)內(nèi)、對(duì)外提供服務(wù)；通過(guò)網(wǎng)閘做雙網(wǎng)隔離，實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)隔離，并提供業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全交換。

通過(guò)以上網(wǎng)絡(luò)改造，把原來(lái)的學(xué)校外網(wǎng)分成三個(gè)網(wǎng)絡(luò)：學(xué)生網(wǎng)，教工網(wǎng)和內(nèi)網(wǎng)。其中學(xué)生網(wǎng)和后兩個(gè)網(wǎng)絡(luò)之間實(shí)現(xiàn)了物理隔離，這樣避免了學(xué)生網(wǎng)對(duì)教師網(wǎng)可能造成的直接隱患。而后兩者之間是通過(guò)網(wǎng)閘的作用實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。在業(yè)務(wù)系統(tǒng)中，把含機(jī)密性數(shù)據(jù)的服務(wù)器放在網(wǎng)閘之內(nèi)，使外網(wǎng)上的用戶不能直接訪問(wèn)內(nèi)部數(shù)據(jù)，而只把一些不含機(jī)密信息的公用服務(wù)器放在網(wǎng)閘之外，這樣既簡(jiǎn)化了網(wǎng)絡(luò)結(jié)構(gòu)、方便上網(wǎng)，又實(shí)現(xiàn)了重要信息的保護(hù)。

二、從硬件上做好網(wǎng)絡(luò)安全控制

主要包括以下幾方面。

1.出口上網(wǎng)控制

主要是防火墻控制。在校園外網(wǎng)部署出口上網(wǎng)控制設(shè)備——防火墻設(shè)備。教職工網(wǎng)絡(luò)出口防火墻考慮到學(xué)校整體教職工數(shù)量和訪問(wèn)流量的需求，使用核心交換機(jī)集成的模塊化萬(wàn)兆防火墻設(shè)備，使核心交換機(jī)的任意端口均能成為防火墻的過(guò)濾端口。不僅擺脫了傳統(tǒng)防火墻端口數(shù)量上的限制，且更利于保證整體設(shè)備性能的穩(wěn)定性和整體網(wǎng)絡(luò)情況的安全性。通過(guò)防火墻的設(shè)置，可以實(shí)現(xiàn)訪問(wèn)控制、包過(guò)濾、上網(wǎng)行為管理、流量控制、抗攻擊等功能，并且支持VPN連接。

2.邊界防護(hù)設(shè)備

采用IPS入侵防御設(shè)備作為邊界防護(hù)設(shè)備，可以檢測(cè)、防御、甚至阻斷網(wǎng)絡(luò)。

邊界防護(hù)設(shè)備——IPS入侵防御設(shè)備可以實(shí)現(xiàn)以下功能：

（1）入侵檢測(cè)與防護(hù)：采用自研檢測(cè)引擎，具備基于IP碎片重組、TCP流重組、會(huì)話狀態(tài)、協(xié)議異常和七層應(yīng)用行為等的攻擊識(shí)別功能

（2）旁路保護(hù)：支持硬件Bypass、軟件Bypass功能

（3）高可用性：支持雙機(jī)熱備、多機(jī)集群

3.物理隔離網(wǎng)閘設(shè)備

根據(jù)國(guó)家保密局頒布的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》，涉及機(jī)密數(shù)據(jù)和應(yīng)用的信息系統(tǒng)與互聯(lián)網(wǎng)和其他公共信息網(wǎng)絡(luò)必須實(shí)現(xiàn)物理隔離。

物理隔離網(wǎng)閘設(shè)備是在兩個(gè)相互物理隔離的網(wǎng)絡(luò)間安全、高速、可靠地進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。物理隔離網(wǎng)閘系統(tǒng)必須是采用專有隔離硬件和協(xié)議，并采用國(guó)際上最新的信息輪渡機(jī)制，集成了安全操作系統(tǒng)、內(nèi)容過(guò)濾、數(shù)字簽名、病毒查殺、訪問(wèn)控制和安全審計(jì)等多種安全技術(shù)，對(duì)傳輸數(shù)據(jù)的類型、內(nèi)容等進(jìn)行檢查和過(guò)濾，提供可信任的專用信息交換服務(wù)，有效地克服了由于物理隔離引起的業(yè)務(wù)系統(tǒng)數(shù)據(jù)交換瓶頸，保持了兩個(gè)個(gè)網(wǎng)絡(luò)間物理隔離的特性，同時(shí)提供了一種安全、有效的數(shù)據(jù)交換途徑。

實(shí)現(xiàn)功能：（1）保護(hù)服務(wù)器區(qū)的數(shù)據(jù)與外網(wǎng)實(shí)現(xiàn)物理隔離。（2）服務(wù)器區(qū)可以與外界進(jìn)行正常的數(shù)據(jù)庫(kù)傳輸、數(shù)據(jù)庫(kù)同步、FTP訪問(wèn)、郵件訪問(wèn)、安全瀏覽、定制訪問(wèn)、安全通道等多種功能，但外網(wǎng)的攻擊無(wú)法進(jìn)入服務(wù)器區(qū)。（3）對(duì)進(jìn)出服務(wù)器區(qū)的數(shù)據(jù)進(jìn)行抗DDoS/DoS攻擊、蠕蟲防護(hù)、病毒掃描，保證服務(wù)器區(qū)數(shù)據(jù)的完整性和安全性

三、移動(dòng)訪問(wèn)VPN設(shè)備

SSLVPN是解決遠(yuǎn)程用戶訪問(wèn)校園內(nèi)業(yè)務(wù)和數(shù)據(jù)最簡(jiǎn)單最安全的解決技術(shù)。與復(fù)雜的IPSecVPN相比，SSL通過(guò)簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。任何安裝瀏覽器的機(jī)器都可以使用SSLVPN，這是因?yàn)镾SL內(nèi)嵌在瀏覽器中，它不需要象傳統(tǒng)IPSecVPN一樣必須為每一臺(tái)客戶機(jī)安裝客戶端軟件。

通過(guò)SSLVPN設(shè)備，為校園內(nèi)教職工和各級(jí)領(lǐng)導(dǎo)提供基于標(biāo)準(zhǔn)瀏覽器的SSLVPN接入方案，使教職工和各級(jí)領(lǐng)導(dǎo)在任何地點(diǎn)、任何時(shí)間，以任何方式都可以安全地訪問(wèn)單位內(nèi)部關(guān)鍵應(yīng)用，同時(shí)以快速簡(jiǎn)捷的應(yīng)用模式、出色的穩(wěn)定性、領(lǐng)先的性能來(lái)提升校園信息化業(yè)務(wù)系統(tǒng)遠(yuǎn)程訪問(wèn)的安全保障和工作效率。

實(shí)現(xiàn)功能：（1）可以對(duì)移動(dòng)辦公的用戶實(shí)現(xiàn)不同部門、不同角色的權(quán)限與訪問(wèn)列表分配，免客戶端、免控件，實(shí)現(xiàn)100％零客戶端（2）針對(duì)不同用戶開放不同的端口，以保護(hù)內(nèi)網(wǎng)的數(shù)據(jù)安全

四、安裝企業(yè)版網(wǎng)絡(luò)防病毒軟件系統(tǒng)

企業(yè)版防病毒軟件系統(tǒng)擁有以下功能特性：

1.對(duì)通過(guò)https協(xié)議和POP3S協(xié)議傳輸?shù)募用芡ㄐ艛?shù)據(jù)進(jìn)行檢查，并且加強(qiáng)了在壓縮文件中檢測(cè)其他殺軟漏報(bào)的未知病毒的能力。主動(dòng)防護(hù)功能在系統(tǒng)啟動(dòng)時(shí)搶先啟動(dòng)，確保終端設(shè)備的安全。

2.全面保護(hù)Email客戶端。

3.對(duì)移動(dòng)設(shè)備進(jìn)行不同保護(hù)級(jí)別的掃描。

4.對(duì)系統(tǒng)進(jìn)程詳細(xì)掃描診斷查找隱藏威脅，可通過(guò)創(chuàng)建可供啟動(dòng)救援查殺的CD/DVD或USB驅(qū)動(dòng)器，協(xié)助修復(fù)被感染的電腦系統(tǒng)。

5.通過(guò)自我防護(hù)技術(shù)防止惡意程序破壞核心進(jìn)程，保證對(duì)系統(tǒng)不間斷的防護(hù)。

五、從管理的角度加強(qiáng)網(wǎng)絡(luò)安全

1.加強(qiáng)入網(wǎng)訪問(wèn)控制。加強(qiáng)用戶帳號(hào)和密碼的管理。要求各教職工及時(shí)更新、保管密碼。

2.加強(qiáng)網(wǎng)絡(luò)的權(quán)限控制。通過(guò)統(tǒng)一身份認(rèn)證系統(tǒng)賦予用戶可以使用哪些系統(tǒng)的哪些功能可以使用哪些資源。

通過(guò)以上策略，較好地實(shí)現(xiàn)了網(wǎng)絡(luò)安全控制。當(dāng)然，網(wǎng)絡(luò)安全的實(shí)現(xiàn)是無(wú)止境的，需要在工作中與時(shí)俱進(jìn)，不斷完善。

（作者單位：浙江省交通干部學(xué)校）