浅析校园网安全威胁及防范对策

 校园网作为一种必备的硬件基础设施 ,已经在各层次学校里的教学、科研、管理等方面担当着越来越重要的角色。校园网的建设水平成为衡量一个学校信息化水平的主要标准之一。在校园网建设的初期,人们更多的是关心校园网解决方案的选型,但随着应用的深入,校园网的安全问题越来越被人们重视。 
　　2 高校校园网的安全问题 
　　2.1网络出口带宽使用不合理。随着网络应用的日益广泛,学校的广域网带宽面临着严峻的考验,大量的 P2P应用占用着校园网有限的带宽资源,关键性应用例如行政办公、数字化图书馆、学校主页访问等却得不到保障。 
　　2.2网络病毒和网络攻击肆虐。校园网设备较为落后,多为二层交换机,不具备可管性,校园网没有合理划分VLAN子网,学校的行政办公区、多媒体课室,电子阅览室和实验室都处在同一个子网,从而导致学校网络容易受到例如伪造源地址 DDoS攻击、ARP欺骗等,同时IP地址盗用、冲突等问题日益严重,而且在出现网络故障后也无法快速定位。 
　　2.3校外访问内网资源的访问控制问题。目前学校的电子资源、教学、教辅等系统的应用给学校教职工和学生的工作和学习带来了极大的便利,但走出校园网这些资源便无力利用了,随着新校区和家属区的落成,使得如何在校园网外实现远程登录办公已经成为校园网深度建设必须面对的问题。 
　　3 校园网络安全整体解决方案 
　　3.1制定安全访问策略,合理规划网络区域 
　　各高校应该根据自己的实际情况,在中心交换机和路由器上制定合适的访问控制策略以及合理的划分虚拟局域网(VLAN)。例如,通过在路由器上建立适当的ACL,能有效控制内部 IP地址对外部网络的访问权限;限制外部 IP地址对校园网内部的访问权限;限制校园网内部VLAN之间的访问权限以及限制对相应端口的访问等。 
　　3.2优化上网行为,合理规划出口带宽 
　　选用上网行为管理设备可以对各种P2P工具进行过滤封堵,也可以为确实需要使用P2P工具的部门分配合理的带宽,优化保障关键业务带宽资源。下面是对校园内的计算机进行分组,每组执行相应的上网行为策略。(1)学校服务器区。只开放较高安全级别的网络访问和各类信息系统要求的端口,严格控制 P2P软件的使用,并设定最基本的带宽保证;(2)学校行政办公区,教职工可以实现所有的Web访问,并根据实际需要限制一些即时通信软件的使用,同时控制P2P流量;(3)图书馆文献检索室、电子阅览室、教室和实验室区。在这个区域师生只需要上网检索功能,因此行为管理设备只对师生开放 Web访问,并可以设置网站黑名单。(4)各教学科室,主要对象是学校的专任教师,有备课的需要,因此开放所有的Web访问,但同时也要控制P2P的流量;(5)生活娱乐区,这个区域是指主校区基于 ADSL技术的学生宿舍网,要严格控制学生对校园内网的访问,只开放面向学生的系统接口。 
　　3.3防火墙与IDS联动构建,安全预警体系 
　　防火墙是构建整个网络安全体系的核心,它位于两个信任程度不同的网络之间,就校园网而言,不但要防御外部的攻击还要考虑内部的大量攻击行为,因此在某校园网中部署了两个防火墙。但是,防火墙毕竟只是被动防御,因此,必须加强与 IDS(入侵检测系统)的联动。IDS所采用的不是被动防御的策略,而是主动监视、检测和识别正在进行的或已经成功的入侵行为,并及时报告给网络管理者。由于IDS系统除了报告外,本身不能对入侵采取任何的防御措施。因此,网络中心通过 IDS和防火墙的联动来实现入侵防御:当IDS发现攻击企图后,它会通知防火墙将攻击来源的IP地址或端口禁掉。这种联动方式集合了 IDS和防火墙的优点,从而能主动地阻挡入侵,降低非法入侵造成的损失。 
　　3.4加强网络行为审计 
　　在某校园网升级中,将上网行为管理设备部署在学校网络出口,以网桥模式部署,这样就保证所有流经学校网络出口的流量都会经过上网行为管理设备的管控和记录,让学校所有上网行为记录有据可查,同时设置网页关键字过滤功能,保证内网用户访问外网网站的合法性,进而帮助学校消除内网安全隐患。同时部署一台独立的第三方服务器,实现上网日志的海量存储和查询、自动报表等功能,便于对上网行为趋势做出分析,从而进行针对性的管理。 
　　3.5统一的身份认证系统 
　　校园网利用802.1X协议构建身份认证技术,用户必须基于(IP+MAC+PORT)认证才能获得权限之内的访问资源。建立了全网统一的身份认证系统,不仅有效地防止了IP地址的盗用,而且有效的避免黑客攻击,从而在整体上提高了用户信息的安全性和可靠性,这也是实现数字化信息化校园的基础。 
　　3.6加强校园网络管理人才队伍 
　　网络管理的主体是人才队伍,在校园网安全系统的建设中 ,无论采用何种先进的技术 ,还是采用什么先进的安全产品 ,如果缺少一支技术过硬、责任心强的专业队伍 ,则很多的先进设施充其量不过是“摆设”。校园网是学校教学、科研和管理不可缺少的重要基础设施。因此,校园网安全技术管理不仅任务重 ,其技术要求也越来越高,网络安全技术人才队伍建设也将是校园网建设的重中之重。 
　　4 总结 
　　某校园网在实施了上述整体解决方案后效果显著,但是,随着网络技术的不断发展,校园网也将会出现新的安全问题,比如对于现在一些高校实施的无线网络以及IPv6网络的建设等,这里就没有提及。因此,校园网整体安全防范体系是一个动态的、不断发展变化的综合运行机制,这样就对网络管理者提出了更高的要求,其必须随时掌握最新技术,不断更新完善校园网安全体系,使校园网运行更加安全、可靠、稳定。 
　　 
　　参考文献: 
　　[1]汤政.浅析高校校园网的安全问题[J].汉生物工程学院学报,2007,(3):157-160. 
　　[2]张武军,李雪安.高校校园网安全整体解决方案研究[J].子科技,2006,(3):64-67. 
　　[3]查贵庭,彭其军,罗国富.校园网安全威胁及安全系统构建[J].算机应用研究,2005,(3):150-152. 
　　[4]付凯.深信服 SSL VPN设备走进电子科技大学[J].国教育信息化,2007,(7).