王宇一

（江蘇信息職業(yè)技術學院現(xiàn)代教育技術中心,江蘇無錫,214153）

目前數(shù)字化校園已經(jīng)隨著網(wǎng)絡技術的日漸成熟有著很好的發(fā)展趨勢.數(shù)字校園在以校園網(wǎng)為基礎的前提下,為高校的教學科研、辦公學習提供了很大的便利.但校園網(wǎng)用戶在享受網(wǎng)絡給我們帶來高效工作的便利時,也面臨著病毒郵件、ARP攻擊、DDoS攻擊等很多問題,不僅大大影響了用戶使用的安全性,也由于學校一些保密性文件的毀壞引起極大的麻煩.如何使校園網(wǎng)絡不遭受攻擊破壞,如何才能讓校園網(wǎng)絡不再有黑客的入侵、木馬的侵襲和病毒的泛濫等風險,使數(shù)字化校園能高效安全地運行,已經(jīng)是學校面臨的重要問題,也是網(wǎng)絡管理中心的首要任務[1].

1 數(shù)字校園的典型安全問題

隨著數(shù)字化校園中各種資源應用的發(fā)展,各類不同的安全問題也慢慢浮出水面.目前校園網(wǎng)中最普遍的安全問題有以下幾方面.

1.1 數(shù)字資源的盜用濫用

校園網(wǎng)絡接入的目的是為教學科研服務,可互聯(lián)網(wǎng)上的不良信息也因此流入校園中.特別是一些色情暴力、反動言論等內(nèi)容對學生的危害極大,他們的思想還沒有成熟,容易受到蠱惑,造成人生觀、價值觀的偏差.如果沒有有效的安全措施控制這些信息的傳播,后果將無法想象.濫用資源主要包括PPS等網(wǎng)絡視頻、玩大型網(wǎng)游、利用P2P瘋狂下載各類軟件等,常常會導致網(wǎng)絡阻塞、上網(wǎng)速度極慢等問題.

1.2 ARP攻擊

校園網(wǎng)中很多用戶對計算機的安全防范意識較為薄弱,通常有不裝殺毒軟件和未打系統(tǒng)補丁的習慣,給病毒的蔓延提供了漏洞.老師們常用的U盤等移動存儲介質(zhì)更是病毒傳播的間接兇手.這幾年校園網(wǎng)中最普遍發(fā)生的病毒是ARP欺騙攻擊.它是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量使網(wǎng)絡阻塞,造成網(wǎng)絡長時間的中斷.

1.3 木馬病毒入侵

數(shù)字校園中有很多教學辦公應用的信息系統(tǒng),而任何系統(tǒng)和服務器只要在網(wǎng)絡上都容易受到木馬的入侵,黑客的攻擊.許多高校的網(wǎng)站曾多次發(fā)生主頁被篡改無法正常使用的情況,很大程度上影響了老師們?nèi)粘５慕虒W辦公[1]；有些學生為了顯示自己的能力在互聯(lián)網(wǎng)上下載攻擊軟件,有目的地攻擊校園網(wǎng),這都會造成網(wǎng)絡的癱瘓；更有甚者通過校園網(wǎng)散布虛假的公告,攻擊學工教務等系統(tǒng),嚴重擾亂日常教學任務的開展.

1.4 網(wǎng)絡中硬件設備的破壞

網(wǎng)絡中的硬件設備（如路由器、交換機、HUB和服務器等）會遭到有意無意的破壞.因為校園網(wǎng)絡規(guī)模大,所以連接上較為復雜.而網(wǎng)絡設備是校園網(wǎng)正常運行的基礎,一旦設備無法正常工作,將導致整個校園網(wǎng)的癱瘓.

除了這些顯著的安全問題,校園網(wǎng)還面臨著其他各方面的問題,所以建立一套網(wǎng)絡安全體系,為學校的教務系統(tǒng)、辦公系統(tǒng)、資產(chǎn)管理等提供一個安全的運行環(huán)境是非常重要的.

2 數(shù)字校園網(wǎng)絡安全體系研究

數(shù)字校園中傳統(tǒng)的防御方法就是架設一臺臺網(wǎng)絡設備來阻止病毒蔓延、黑客入侵.如防火墻、郵件過濾器、IPS、殺毒軟件、安全接入訪問交換機等,這種哪邊有了漏洞就修補哪邊的方式,其實是永無止境地跟在安全問題后面賽跑,無法從根本上解決問題.能根本上解決對網(wǎng)絡安全造成的各種威脅,只有建設一個完善的校園網(wǎng)絡體系.通過高性能的安全環(huán)境,提供行為識別、行為控制、行為審計等一套具有層次的網(wǎng)絡體系來保障數(shù)據(jù)的安全傳輸,保證教學科研的順利開展.在此基礎上我們提出了面向用戶協(xié)同管控的方案來有效的解決網(wǎng)絡安全問題,并利用路由交換技術提供安全高效的數(shù)據(jù)傳輸.下面對面向用戶行為的協(xié)同管控方案中的關鍵技術（防火墻技術、身份認證技術、VPN）進行簡單介紹.

2.1 防火墻技術

防火墻有軟件與硬件之分,都能在一定程度上防止黑客入侵和病毒蔓延.我們一般把它架設在網(wǎng)絡出口處或者服務器之前,可以有效限制非法用戶對校園網(wǎng)內(nèi)部資源的訪問.網(wǎng)絡管理員要做好相應的安全策略,如可以用Vlan來設置一定的訪問控制,有效地阻止了病毒在全網(wǎng)中的蔓延[2].提高用戶的安全意識也是極其重要的,必須要求用戶安裝最新的殺毒軟件,并按時更新病毒庫,及時打好系統(tǒng)補丁,禁止瀏覽具有不良信息的網(wǎng)站,讓用戶形成良好的上網(wǎng)習慣.

2.2 身份認證技術

身份認證是常用安全技術中的一種.它是用通信的方式來確定用戶的合法性,以此達到通訊安全的目的.一般認證方法有口令認證、數(shù)字簽名等.采用一定的算法將數(shù)據(jù)加密后再通過網(wǎng)絡傳輸,這樣即使黑客獲取到密文,也會因為無法破譯而一無所獲,很好的保證了文件的安全性.

2.3 VPN

VPN是在因特網(wǎng)上建立的一條安全穩(wěn)定的隧道.通過這條隧道,我們能夠?qū)?shù)據(jù)進行多次加密保證其傳輸?shù)陌踩?還可以為遠程用戶提供安全的管理登錄.我們還能在VPN上進行訪問控制的設定,只有合法用戶才能使用VPN獲取相應的數(shù)字資源,并利用VPN的加密機制,對數(shù)據(jù)進行加密傳輸.

3 面向用戶的協(xié)同管控方案在網(wǎng)絡安全中的具體應用

傳統(tǒng)的防御能在數(shù)字校園網(wǎng)中起到一定的安全作用,但其只是在防御的層面上,無法感知所有用戶的所有行為,更無法控制所有用戶的行為.雖然安全設備在校園網(wǎng)中分工不同,但實際上只是形成了一個個安全的孤島.因為我們在很大程度上忽略了數(shù)字校園的安全問題從根本上還是用戶行為導致的.所以本文提出采用面向用戶的協(xié)同管控方案,從用戶的角度出發(fā),對用戶進行行為識別、行為控制、行為審計,并通過管理系統(tǒng)負責各組件交互協(xié)同.只有這樣才能從根本上保障校園網(wǎng)的安全.方案由出口用戶協(xié)同管理、接入?yún)f(xié)同管理、全局協(xié)同管理3方面組成,下面具體介紹下這3方面的應用.

3.1 出口用戶協(xié)同管控

可在校園網(wǎng)的出口做出口協(xié)同管控方案.采用ACG識別用戶的訪問情況和流量信息,運用服務器進行NAT地址的轉(zhuǎn)換.ACG可以根據(jù)流控的策略和內(nèi)容過濾的策略,對校園網(wǎng)的使用用戶進行細粒度的控制.ACG還能為我們發(fā)送用戶上網(wǎng)行為信息,根據(jù)防火墻的NAT日志我們就可以跟蹤到某一用戶的詳細上網(wǎng)記錄,并由安全管理平臺進行記錄,供事后審計.

ACG主要的3大應用主要為對P2P帶寬濫用訪問控制,對校園非法HTTP訪問控制,對非法E-mail傳播控制.①ACG能根據(jù)特征識別網(wǎng)絡中各種P2P應用協(xié)議和流量,基于用戶、IP、應用等任意組合進行多維度細粒度的控制,并能以多種方式進行阻斷和限流；②ACG還可以識別用戶對非法網(wǎng)站的訪問,這樣我們可以時刻關注學生的動態(tài),還能過濾色情暴力網(wǎng)站的關鍵詞,自動屏蔽這類網(wǎng)站的訪問,保護了學生的身心健康[1]；③ACG通過收件人、發(fā)件人、郵件主題、正文、附件識別非法郵件的傳播,還可以根據(jù)郵件標題、正文關鍵字過濾病毒垃圾郵件,大大降低了教工們因為郵件中毒的概率,從出口維護了網(wǎng)絡的干凈,提供了安全的辦公環(huán)境.

3.2 接入?yún)f(xié)同管控

在接入終端采用iNode客戶端來識別終端安全狀態(tài),通過EAD方案的賬號與IP、MAC綁定功能實現(xiàn)終端用戶的管理,并實現(xiàn)終端安全狀態(tài)的統(tǒng)一管理見圖1.iNode客戶端可以識別username、IP、mac的真實對應關系,這樣我們就可以對終端用戶進行安全加固,并檢測其電腦是否裝有殺毒軟件、是否更新病毒庫等操作.一旦發(fā)現(xiàn)沒有任何防毒安全措施的計算機連入網(wǎng)絡,自動阻斷,并提醒用戶進行補丁更新的操作,有效防止了病毒在校園網(wǎng)中的蔓延.最重要的是iNode客戶端還可以識別目前最令人頭疼的ARP攻擊,鎖定攻擊的客戶端網(wǎng)關信息,這樣網(wǎng)絡管理員就能準確迅速地找出ARP攻擊范圍.

圖1 接入?yún)f(xié)同管控

3.3 全局協(xié)同管控

把用戶行為安全信息都記錄在事件管理（SecCenter）中,然后通過響應控制（IMC）,我們就可以對用戶的行為進行識別和審計,并進行相應的控制,如關閉病毒所在的交換機端口,強制非法訪問用戶下線,并給未能更新系統(tǒng)補丁的用戶發(fā)在線提醒的提示[3].另外安全管理中心可以對IPS識別的蠕蟲攻擊進行展示并根據(jù)日志內(nèi)容進行攻擊源定位,通過EAD或UAM系統(tǒng)可對攻擊源進行拉入黑名單的處理.

4 結語

數(shù)字校園網(wǎng)絡安全是一個很復雜的問題,涉及很多方面,本文只是提出了一種較合理方便的解決方案,最大的優(yōu)點就是易部署和易管理.即使一些終端存在安全漏洞的用戶自己未留意,網(wǎng)絡管理員也可以很輕松的定位到“問題用戶”,隨時分析其問題的詳細原因.但方案實現(xiàn)起來仍較復雜,有待進一步的優(yōu)化完善.

[1]張翼.校園網(wǎng)安全分析及解決方法[J].鎮(zhèn)江高專學報,2002,15（4）：28-31.

[2]賈曉軍.校園網(wǎng)設計與建設[J].山西科技,2009（5）：43-44.

[3]于洪一.淺析校園網(wǎng)絡搭建及安全設計[J].黑龍江科技信息,2011（16）：90.