劉小飛，黃斯堯，劉洲洲

（1陜西交通職業(yè)技術(shù)學(xué)院 陜西 西安 710018；2.北京中交路橋南方工程有限公司 北京 100081）

隨著互聯(lián)網(wǎng)絡(luò)技術(shù)日新月異發(fā)展，校園網(wǎng)絡(luò)已經(jīng)成為高校教學(xué)、科研、管理、后勤等工作的重要支撐手段，校園網(wǎng)能否在穩(wěn)定安全的環(huán)境下運(yùn)行直接影響著學(xué)校的各個(gè)業(yè)務(wù)的有序進(jìn)行，因此，分析校園網(wǎng)存在的安全風(fēng)險(xiǎn)以及制定安全策略具有很強(qiáng)的現(xiàn)實(shí)意義，本文將從物理、系統(tǒng)、應(yīng)用、管理等方面進(jìn)行分析闡述。

1 校園網(wǎng)安全風(fēng)險(xiǎn)分析

隨著校園網(wǎng)絡(luò)的建設(shè)和網(wǎng)絡(luò)應(yīng)用的擴(kuò)大，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也變得更加嚴(yán)重和復(fù)雜。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外，加上一些人缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)可謂日益加重。這些風(fēng)險(xiǎn)由多種因素引起，與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。下面從物理安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進(jìn)行分類描述：

1)物理安全風(fēng)險(xiǎn)分析

物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有：

①地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；

②電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；

③設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；

④電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

⑤報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。

2)系統(tǒng)的安全風(fēng)險(xiǎn)分析

系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全。對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)而言，操作系統(tǒng)或應(yīng)用系統(tǒng)存在不安全因素。將是黑客攻擊得手的關(guān)鍵因素。我們都知道，就目前的操作系統(tǒng)或應(yīng)用系統(tǒng)來(lái)說(shuō)，無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)，都存在著BUG，據(jù)統(tǒng)計(jì)，在一個(gè)1000行程序?qū)⒂幸粋€(gè)BUG，而像Windows 2000操作系統(tǒng)約有三千五百萬(wàn)行至五千萬(wàn)行，其存在多少BUG？而這些BUG都意味著重大安全隱患，可想而知其安全性如何？但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度與對(duì)其是否進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。因此應(yīng)正確評(píng)估自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。

3)應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用的安全涉及很多方面。應(yīng)用是動(dòng)態(tài)的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

①盜版介質(zhì)使用安全；

②電子郵件應(yīng)用安全；

③網(wǎng)上瀏覽應(yīng)用安全；

④網(wǎng)上應(yīng)用的安全。

4)管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。

機(jī)房重地如果沒(méi)有任何限制，任何人都可以進(jìn)出。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。

內(nèi)部工作人員沒(méi)有按一定的安全操作規(guī)程，因人為的誤操作而帶來(lái)安全風(fēng)險(xiǎn)。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開(kāi)些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)帶來(lái)極大的安全風(fēng)險(xiǎn)。

內(nèi)部員工在未經(jīng)允許在內(nèi)部網(wǎng)上做攻擊測(cè)試，而導(dǎo)致內(nèi)部網(wǎng)重要信息丟失或者損壞。

管理是網(wǎng)絡(luò)安全得到保證的重要組成部分，責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。

2 安全需求分析

通過(guò)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析，采取必要的手段解決網(wǎng)絡(luò)安全問(wèn)題勢(shì)在必行。針對(duì)不同安全風(fēng)險(xiǎn)提出相應(yīng)的安全需求，及系統(tǒng)要實(shí)現(xiàn)的安全策略。

1)物理上安全需求

在物理安全上主要考慮如下幾個(gè)方面：

①機(jī)房場(chǎng)地按照國(guó)家相關(guān)的規(guī)定和要求進(jìn)行設(shè)計(jì)和建設(shè)；

②考慮安裝防盜裝置、報(bào)警裝置；

③備份重要設(shè)備。如：對(duì)重要網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)線路進(jìn)行備份，對(duì)重要服務(wù)器進(jìn)行備份等。

2)訪問(wèn)控制需求

在訪問(wèn)控制上需要考慮對(duì)以下及方面的需求：

①非法用戶非法訪問(wèn)控制；

②合法用戶非授權(quán)訪問(wèn)控制；

③假冒合法用戶非法訪問(wèn)控制；

④認(rèn)證鑒別需求；

⑤入侵檢測(cè)/防御需求；

⑥安全評(píng)估需求；

⑦病毒防護(hù)需求；

⑧安全管理需求；

⑨安全服務(wù)。

3 校園網(wǎng)的安全策略

3.1 網(wǎng)絡(luò)設(shè)備物理安全策略

網(wǎng)絡(luò)設(shè)備采用防雷擊設(shè)計(jì)，并進(jìn)行了良好的風(fēng)扇設(shè)計(jì)，保證設(shè)備的在惡劣的環(huán)境中仍然能夠正常運(yùn)轉(zhuǎn)。

網(wǎng)絡(luò)設(shè)備還要有完善的自檢功能，能夠?qū)?nèi)存、CPU、總線、轉(zhuǎn)發(fā)芯片等等硬件進(jìn)行檢查，保證每次開(kāi)機(jī)各個(gè)方面硬件的良好運(yùn)轉(zhuǎn)。在高端設(shè)備還有后臺(tái)的硬件檢控任務(wù)，檢控CPU、風(fēng)扇、機(jī)箱溫度等等，進(jìn)行信息記錄，在異常的時(shí)候給予閃燈、發(fā)警告信息等多種報(bào)警。以上機(jī)制再加上冗余電源、冗余主控、冗余風(fēng)扇等方法充分保障了設(shè)備運(yùn)轉(zhuǎn)的物理安全。

3.2 網(wǎng)絡(luò)安全策略

1）二層轉(zhuǎn)發(fā)協(xié)議安全策略

①針對(duì)ARP的欺騙的安全策略

一方面通過(guò)校園網(wǎng)認(rèn)證系統(tǒng)的IP+MAC+端口+vlan的多重綁定使PC在接入網(wǎng)絡(luò)時(shí)一定是正確的IP和Mac，而安裝在PC上的802.1x認(rèn)證客戶端可以保證在PC接入網(wǎng)絡(luò)后進(jìn)行IP或Mac修改時(shí)，及時(shí)的切斷PC和網(wǎng)絡(luò)的連接，保證錯(cuò)誤的IP/Mac信息不被發(fā)布到網(wǎng)絡(luò)上。

另外目前主流接入交換機(jī)上還有一套非法ARP阻斷命令，通過(guò)此命令可以有效的從硬件轉(zhuǎn)發(fā)層次，阻斷搶占網(wǎng)關(guān)IP的非法ARP包進(jìn)入網(wǎng)絡(luò)。這就從根本上切斷了搶占網(wǎng)關(guān)IP的安全威脅。同時(shí)此功能還提供計(jì)數(shù)和報(bào)警功能，可以及時(shí)的將發(fā)送非法ARP的PC找出來(lái)通知網(wǎng)管。

②對(duì)私建DHCP的安全策略

校園身份認(rèn)證系統(tǒng)安裝在PC上的802.1x客戶端會(huì)自動(dòng)監(jiān)測(cè)PC上是否啟用了DHCP服務(wù)，一旦發(fā)現(xiàn)非法私建DHCP服務(wù)，那么客戶端程序?qū)ⅠR上切斷PC與網(wǎng)絡(luò)的連接。

另外接入交換機(jī)上啟用DHCPSnooping功能，可以監(jiān)聽(tīng)DHCP協(xié)議報(bào)文，并且設(shè)置DHCP協(xié)議的信任端口。一旦發(fā)現(xiàn)在非信任端口接受到DHCP服務(wù)器報(bào)文，那么將馬上向網(wǎng)管進(jìn)行報(bào)警，同時(shí)可以根據(jù)預(yù)定策略將此端口的連接切斷

③對(duì)虛假STP欺騙的安全策略

交換機(jī)上支持在端口下設(shè)置對(duì)STP協(xié)議的信任屬性，從而避免虛假STP對(duì)交換機(jī)拓樸計(jì)算造成影響。

④對(duì)設(shè)備CPU攻擊的安全策略

網(wǎng)絡(luò)設(shè)備自身采用了獨(dú)特的CPU保護(hù)機(jī)制，對(duì)各種協(xié)議包根據(jù)優(yōu)先級(jí)進(jìn)行隊(duì)列設(shè)置，對(duì)收包進(jìn)行優(yōu)化，保證CPU不會(huì)被虛假的信息所淹沒(méi)，始終可以進(jìn)行正常的協(xié)議運(yùn)轉(zhuǎn)。

⑤對(duì)非法用戶接入的安全策略

用戶認(rèn)證系統(tǒng)的IP+Mac+Vlan+端口+交換機(jī)IP的多信息綁定模式，再加上Dot1x客戶端對(duì)克隆PC和代理的檢查，確保了非法用戶無(wú)法接入校園網(wǎng)。

2）三層轉(zhuǎn)發(fā)協(xié)議安全策略

①錯(cuò)誤路由信息的安全策略

目前主流網(wǎng)絡(luò)產(chǎn)品可以完整實(shí)現(xiàn)RIP、OSPF、BGP等路由協(xié)議的安全選項(xiàng)，非法的路由信息無(wú)法通告MD5加密檢查，確保網(wǎng)絡(luò)路由信息的安全

②非法組播的安全控制

校園網(wǎng)中的安全策略組播技術(shù)，可以對(duì)源和目的進(jìn)行安全控制，完整實(shí)現(xiàn)了在接入層網(wǎng)絡(luò)中應(yīng)用了基于IGMP源端口和目的端口檢查技術(shù)，可以完全限制合法組播在網(wǎng)絡(luò)中的穩(wěn)定傳輸，有效控制組播建立的整個(gè)過(guò)程，保障了正常合法的組播應(yīng)用的穩(wěn)定運(yùn)行；同時(shí)DCSCM可與AAA系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)業(yè)務(wù)控制。

3）網(wǎng)絡(luò)管理功能安全策略

網(wǎng)絡(luò)產(chǎn)品支持的SSH和SNMPv3協(xié)議，是對(duì)telnet和SNMPv1/v2的安全升級(jí)，傳輸?shù)臄?shù)據(jù)完全加密，從而避免了被監(jiān)聽(tīng)竊取密碼的可能。網(wǎng)絡(luò)設(shè)備的Web服務(wù)支持安全策略的cookie機(jī)制，避免用戶盜竊管理頁(yè)面的URL地址繞過(guò)登錄流程直接對(duì)設(shè)備進(jìn)行管理。telnet、SNMP和Web均有對(duì)網(wǎng)管原IP進(jìn)行檢查的功能，確保只有專門的網(wǎng)管設(shè)備可以訪問(wèn)控制交換機(jī)。

對(duì)于登錄密碼檢查，可以在本地，也可以在遠(yuǎn)端Radius服務(wù)器。這樣方便進(jìn)行密碼管理，可以隨時(shí)變換全網(wǎng)的登錄密碼，提供有力的安全保障。

4）網(wǎng)絡(luò)出口邊界安全策略

校園網(wǎng)出口需要互聯(lián)網(wǎng)接入，而互聯(lián)網(wǎng)是絕大多數(shù)安全風(fēng)險(xiǎn)的來(lái)源，因此網(wǎng)絡(luò)出口邊界安全非常重要，目前NGFW下一代防火墻技術(shù)的出現(xiàn)，比較好的解決了校園網(wǎng)出口安全的問(wèn)題。NGFW采用了先進(jìn)的硬件技術(shù)—比如64位多核網(wǎng)絡(luò)處理器技術(shù)，能夠在一個(gè)硬件平臺(tái)上實(shí)現(xiàn)多數(shù)出口安全需求，比如防火墻包過(guò)濾、防病毒、IPS入侵防御、抗DoS攻擊、流量控制等。

3.3 應(yīng)用安全策略

應(yīng)用安全是網(wǎng)絡(luò)安全領(lǐng)域中的非常廣泛的一個(gè)領(lǐng)域，涵蓋內(nèi)容非常多，不過(guò)對(duì)于高校校園網(wǎng)來(lái)說(shuō)，應(yīng)用安全更多的偏重于病毒防范、WEB安全、安全審計(jì)幾個(gè)方面。

通過(guò)部署網(wǎng)絡(luò)版防病毒軟件可以有效抵御病毒、木馬等的攻擊，保證主機(jī)及網(wǎng)絡(luò)的安全。另外多個(gè)權(quán)威部門統(tǒng)計(jì)，WEB服務(wù)器是互聯(lián)網(wǎng)中最容易遭受攻擊的對(duì)象，因此近幾年來(lái)WEB安全越來(lái)越得到用戶的重視，從網(wǎng)頁(yè)防篡改軟件到WEB應(yīng)用安全網(wǎng)關(guān)，安全手段也是層出不窮。目前多數(shù)高校都通過(guò)部署WEB應(yīng)用安全網(wǎng)關(guān)，對(duì)校園網(wǎng)站甚至重要的基于WEB的應(yīng)用系統(tǒng)進(jìn)行防護(hù)，WEB應(yīng)用安全網(wǎng)關(guān)主要針對(duì)HTTP服務(wù)進(jìn)行防護(hù)，包括WEB漏掃、敏感信息防泄漏、網(wǎng)頁(yè)防篡改等功能。

校園網(wǎng)的應(yīng)用安全另外一方面就是出口安全審計(jì)，這也是公安部82號(hào)令中明確要求的內(nèi)容。通過(guò)旁路或者串行部署上網(wǎng)安全審計(jì)設(shè)備，對(duì)校園網(wǎng)用戶上網(wǎng)行為進(jìn)行監(jiān)控、控制、管理等，避免非法信息上傳或下載。

4 結(jié)論

通過(guò)對(duì)校園網(wǎng)的安全風(fēng)險(xiǎn)及安全需求的分析，針對(duì)物理層、網(wǎng)絡(luò)層、應(yīng)用層等不同層次需要不同的安全策略，安全策略的實(shí)施也需要相關(guān)的制度、人員和設(shè)備支撐，而且用戶的安全意識(shí)、安全管理員的能力尤其重要，純粹依賴安全設(shè)備是不能達(dá)到安全目的的。此外校園網(wǎng)安全雖然重要，但網(wǎng)絡(luò)安全并不能一蹴而就，也不能盲目建設(shè)，因?yàn)榘踩c投資、網(wǎng)絡(luò)性能、以及用戶使用便利等多個(gè)因素成反比，過(guò)多強(qiáng)調(diào)安全適得其反。因此針對(duì)不同學(xué)校，具體的需求和應(yīng)用情況還需要單獨(dú)分析，制定的安全需求及安全策略以及安全防護(hù)手段都要符合學(xué)校的實(shí)際情況。

[1]Larry L.Peterson;Bruce S.Davie.計(jì)算機(jī)網(wǎng)絡(luò)—系統(tǒng)方法[M].4版.薛靜鋒，等譯.機(jī)械工業(yè)出版社,2009.

[2]William Stallings.密碼編碼學(xué)與網(wǎng)絡(luò)安全-原理與實(shí)踐[M].4版.孟慶樹(shù)，譯.北京：電子工業(yè)出版社,2006.

[3]劉兵.計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教程[M].北京：中國(guó)水利水電出版社，2005.

[4]李萌.校園網(wǎng)安全分析及安全防范[J].電腦學(xué)習(xí),2010(1)：55,58.LI Meng.Security analysis and safety precautions of compus network[J].Computer Study,2010(1)：55,58.

[5]董永峰.校園網(wǎng)安全問(wèn)題及對(duì)策研究 [J].新疆大學(xué)學(xué)報(bào),2010,27(4)：45-51.DONGYong-feng.Research on campus computer network security issues and solutions[J].Journal of Xinjiang University,2010,27(4)：45-51.

[6]祝艷茹.校園網(wǎng)基本網(wǎng)絡(luò)搭建及網(wǎng)絡(luò)安全設(shè)計(jì)分析[J].中國(guó)科技教育,2011(3)：35-36.ZHU Yan-ru.Analysis of basic network base and network security design of campus network [J].China Science&Technology Education,2011(3):35-36.