职业院校校园网安全体系的构建与维护

黎 明

(肇庆科技职业技术学院信息工程系，广东肇庆 526020)

0 引 言

为进一步贯彻落实国家和省市关于“以教育信息化，促进教育现代化”的战略指导思想，全面促进职业教育的全面改革和提高整体办学水平。在教育信息化已成为当代学校发展主流的今天，构建一个信息化校园对于院校的可持续性发展具有重要意义。而校园网作为重要的数字化信息传输载体和思想政治教育的重要平台，在学校数字信息化建设中起着决定性的地位。伴随着互联网的日益普及和网络的不断发展，网络信息资源的安全受到越来越多的关注。而校园网作为网络技术应用于教育事业的一种体现，也面临诸多的安全性问题[1]。职业教育在我国的起步比较晚，导致大部分职业院校的校园信息化建设仍处于比较低的阶段。尽管随着近几年职业教育的高速发展，职业院校也纷纷加大了对校园网建设的投入，但是一个完善的校园网整体安全防范体系的建立并非一日之功。而最近发展过快导致的安全事件频发，使职业院校校园网安全问题也再次显现出重要性。

1 校园网现状分析及隐患

1.1 网络用户规模大而密集

由于职业院校的特殊性，学生基本上都集中居住在校园内，导致学校用户群密集化，一旦遭遇感染性强的蠕虫病毒或目前常见的ARP攻击，就会造成大面积的用户瘫痪，从而严重影响校园网络的正常使用。

1.2 系统管理复杂

接入校园网的计算机绝大多数是学生或老师自主购买的，种类和系统繁杂，与此同时，各种系统、软件的漏洞频出，更是增大了出现安全问题的频率[2]。

1.3 活跃的内部群体

学生是最活跃的网络群体，学生对黑客技术往往充满了好奇，这就导致来自校园网内部的攻击逐年递增。同时，随着校园网用户不断增加，并且随着网络应用的不断丰富，FTP、论坛、在线剧场以及流行的P2P的应用都在严重消耗网络带宽，造成网速和带宽效率下降，从而使正常业务的通讯得不到保障。

1.4 网络环境开放，安全管理不足

目前，大部分职业院校的校园网都处于半开放状态，缺乏有效的预警和防范措施。而且由于校园网直接与互联网相连，在拥有海量资讯的同时也存在大量的色情、反动等信息。这些负面的信息对世界观和人生观正在形成的职业院校学生来说，具有很大的危害性。与此同时，因为管理的不足导致学校系统挂马、篡改，遭遇DDoS攻击瘫痪，个人信息被窃取的事件时有发生，严重的甚至扰乱了校园正常次序。

以上种种，同时也是大部分职业院校所正在面临的困境。由此可见，重建一套完善的校园网整体安全防范体系，对校园网内部进行有效的安全与管理便显得尤其重要。

2 安全策略的制定与安全体系的构建

2.1 安全策略的制定

要解决校园网的安全威胁，必须从多方面着手，由于校园网内部系统和应用环境的复杂性，数据中心建立时，需按职业学院目前网络安全的现状和特点制定符合实际的安全策略。并以此为依据进行校园网络安全体系的构建，并对各种安全设备进行合理的配置，从而达到校园网安全体系的平衡[8]。

2.2 校园网网络体系的构建

根据前期制定的安全策略对校园网网络进行了重新规划，形成一个基本完善的的网络安全体系，如图1所示。

图1 校园网安全体系拓补图

首先，在校园网入口处架设企业级智能防火墙，并实现VPN的功能。同时利用DMZ防火墙方案设置非军事化区(DMZ区)，并对内、外网的访问定制专门访问控制策略。利用核心交换机按学校职能进行VLAN划分，在一定程度上起到了网络隔离的作用，V LAN的划分与实现有效地抑制网络上的广播风暴，同时也能有效控制用户之间的通讯，起到隔离和保密的作用。在中间添加入侵监测系统和认证服务器对中心内的所有数据流进行实时监测，对所有的数据访问进行统一的认证。架设网络控毒中心，为数据中心和办公网络提供有效的病毒防护。使用多级防火墙进一步保护应用服务器群和数据库服务器群。利用日志及审计服务器对网络上的访问进行全面记录和审计，作为遇到突发事件时取证的依据。

2.3 网络安全设备的配备

根据职业院校网络的构架特点及所面临的各种问题，我们将通过一系列的安全方案，实现校园网络的各种安全需求。

2.3.1 智能防火墙的部署

在内外网之间部署企业级智能防火墙，把一些公用的服务器设施，如网页、邮件、域名等服务器设置在防火墙的DMZ区。在有效地保护了内网资源不被非法访问或破坏的同时，能够对发生的安全事件进行有效跟踪和审查。

2.3.2 入侵检测系统(IDS)与入侵防御系统(IPS)的部署

部署IDS的核心价值在于通过对全网信息的分析，让管理员了解信息系统的各种安全状况，进而指导其对信息系统安全建设目标以及安全策略的设置和调整。同时，通过IPS系统的部署深度感知并检测流经的数据流量，通过高效信息分析过滤功能，利用各种安全策略的实施——对恶意黑客行为进行阻击和隔断，保护网络带宽资源的安全性。

2.3.3 网络版杀毒软件的部署

网络防病毒产品的最主要特性之一就是能通过控管中心远程实现防病毒节点的部署和管理。管理员借助SAM T以及杀毒软件的移动控制中心，可以在任意时间、任意地点实现对内网络的24 h无缝隙安全管理，有效地管理和保护所有的病毒入口。在大大减少管理员工作量的同时，更有效地确保网内用户信息的安全。

2.3.4 行为管理系统的部署

上网行为管理系统如图2所示。

图2 上网行为管理系统

针对1.3和1.4校园网隐患中的问题，对宿舍区和办公区部署“上网行为管理系统”，在核心交换机配置端口镜像功能，镜像数据源端口为连接互联网路由器端口，镜像数据目的端口则连接“上网行为管理系统”监听网卡端口，对校园用户连接网络的数据进行全面分析，并实时记录互联网行为日志，全面细致地帮助用户实现上网行为管理、内容安全管理、带宽分配管理、网络应用管理、外发信息管理，有效解决互联网带来的管理、安全、效率、资源、法律等各种问题，实现对校园网络用户互联网行为的监控与管理。

3 校园网内部安全管理与维护

由于校园网本身结构和环境的复杂性以及硬件本身的局限性，根据校园网方案搭建而成的校园网络投入运行之后，仍然面临着各式各样的安全问题。比如安全设备的硬件老化、各种线路的损坏、各种层出不穷的黑客攻击等。这时候就需要组建一个高效的校园网管理和维护团队来进行专业维护，而维护团队的工作主要有以下几项。

3.1 硬件设备的维护与性能优化

设备故障是校园网中的最常见问题。当网络中某个组成失效时，网管人员必须迅速查找到故障并及时排除，以保证网络的正常运行，这是校园网安全的最基本保障。同时，在保证设备日常正常运行之外，还必须定期对各种网络设备进行有效地维护和系统优化，以确保其性能的高效和稳定，这是维护校园网安全的必须任务。

3.2 对防火墙安全策略的合理定制

面对不断进步的黑客技术，光靠原有的防火墙安全策略是不够的，这就要管理人员根据实际情况进行不断更新和完善。比如定期利用各种端口扫描、测试防火墙的安全性、及时发现通常应当禁止的任何服务或系统响应(如ICMP、路由协议和开放管理端口的响应)。对与防火墙相连的所有网段的每个主机(包括防火墙)进行扫描，并且把发现结果同基于策略的预期结果进行对照。还要求维护人员可以根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问，以保证防火墙的有效性，从而达到网络的长期安全。

3.3 身份认证系统

建立全校统一的身份认证系统，身份认证系统是整个校园网络安全体系的基础。对于每一个需要访问网络的用户，都需要对其身份进行验证，包括用户的用户名/密码、用户IP地址、MAC地址、端口号等。通过以上信息的绑定，避免了个人信息被盗用，防止非法用户的非法接入，以及发生各种安全事故后的有效追踪处理。

3.4 网络安全日志和审查系统以及入侵检测和防御系统

有效地利用已有的网络安全日志和审查系统，建立详细的用户信息库、主机登录日志、交换机及路由器日志、服务器日志、内部用户非法活动日志等。而通过IDS与IPS系统帮助系统有效地抵御来自网络的攻击，更加有效地监视、审计、评估网络系统。

3.5 定时进行重要数据的备份

随着校园网络的不断发展，校园网访问信息量、存储需求高速增长，而网络数据安全性也愈发重要。所以，管理团队必须做到定时对重要数据进行安全备份。一套安全、稳定、可靠的数据备份与恢复系统都经常能起着决定性的作用。同时，良好的数据备份机制也是保障校园网稳定安全运行的必要条件。

4 结 语

校园网安全是一个复杂的综合性系统工程，一套完善的校园网整体安全防范体系的建立必须结合软硬件防护、网络管理、维护等多方面的安全措施。只有这样建立起来的校园网安全防范体系，才能经受越来越严峻的校园安全形势的考验，使其更安全、可靠、高效地为广大师生服务。

[1] 彭文胜，毛叔平.校园信息化规划、管理及案例[M].上海:复旦大学出版社，2002.

[2] 向勇，柯和平.教育信息技术实用教程[M].广州:广东高教出版社，2003.

[3] 张志华.高校校园网的安全策略及其实现[J].肇庆学院学报，2006(4):26-28.

[4] 万嵩.校园网总体架构及其安全系统的研究与设计[D]:[硕士学位论文].南昌:南昌大学，2009.

[5] 吴海燕，戚丽.校园数据中心网络安全防范体系研究[J].实验技术与管理，2004(3):91-95.

[6] 钟建伟.基于防火墙与入侵检测技术的网络安全策略[J].武汉科技学院学报，2004(4):63-65.

[7] 张建标.校园网络安全运行架构研究[J].计算机工程与设计，2007，20:4878-4879.

[8] 王继成.大学校园网的网络安全与防范策略[J].沈阳农业大学学报:社会科学版，2007(9):727-729.