汉中职业技术学院校园网络安全整体设计实施方案

田立国 王静

摘 要：科学、全面、可操作性的校园网络安全整体设计是保证数字化校园网络正常运行的核心；该文通过分析目前校园网络状况；根据安全需求及面临的威胁制定出科学合理的安全设计方案；且在实际运行中所体现的特色及创新点，对高职院校进行校园网络安全整体设计具有一定的借鉴意义。

关键词：校园网 安全 背景分析 设计策略 特色

中图分類号：TP393 文献标识码：A 文章编号：1674-098X（2013）03（a）-0-02

汉中职业技术学院新校区弱电数字化校园网设计以“统一规划、分步实施、加强应用、资源整合、数据共享” 为指导思想，本着“数字与安全并重，常态与非常态结合的原则，建立起现代化的数字化校园”，严格按照新校区的有关要求和具体场地的使用情况进行设计和施工。具体设计原则体现了先进性、成熟性、开放性、标准化、可扩展性、安全性、可靠性、实用性、可集成性、宜管理性。同时《陕西省教育信息化十年发展规划》（2011—2020年）颁布后，我院认真组织学习，根据全国教育信息化工作电视电话会议精神，结合我院实际情况，深化实施我院信息化试点建设。为保障我院信息化试点建设和整个校园网络的正常运行，以上原则中，系统的安全性是非常重要的内容，提供机制增强整个系统的安全防范能力。主要考虑：网络设备的安全性，包括数据包过滤、防火墙等功能；用户接入的控制；实现完善的统一认证及计费系统；入侵检测和病毒防范；校园网系统对外出口及入口的安全性的考虑。所以合理，科学、全面、可操作性的校园网络安全整体设计显的尤为重要。

1 背景分析

1.1 校园网状况分析

校园网网络信息十分丰富，网络用户的活动也非常活跃，校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等，这些信息都需要进行完整性、真实性保护和控制，这就需要对进出校园网的访问行为进行必要的控制，避免损失。

校园网络系统中计算机数量多，物理位置不同、操作用户不同、用途不同，由于这些差异，使得校园网网络中计算机中的漏洞问题十分严重。因为使用者的安全意识不强，或者采取措施不及时造成的损失在校园网内时有发生，因此采用科学管理方法和先进的技术，可以进一步提高校园网络信息安全保障水平。

网络上的信息良荞不齐，对正在形成世界观和人生观的学生来说，还不能正确地对待这类内容，这些违反道德标准和有关法律规范的不良信息对他们危害极大，如果信息安全措施不好，有部分学生会进入这些网站，还可能在校园内传播这类不良

信息。

教育信息化、校园网络化作为网络时代的教育方式和教育环境。随着各高校网络规模的膨胀、网络用户数目的快速增长，校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。作为资源共享和信息交流的平台，校园网络的安全显的尤为重要。

1.2 校园网安全需求

1.2.1 高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网己意识的淡薄，而另一方面，高校学生—这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，70%来自高校网络内部，如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。

1.2.2 网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤；其次，不管接入设备，还是骨干设备，设备本身需要具备强大的安全防护，要具备强大的安全防护能力，并且安全策略部署不能影响到网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从接入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施，从而能对网络形成一个由内至外的整体安全架构。

1.3 校园网安全面临的威胁

通过认真分析可以总结出校园网主要面临如下的安全威胁：各种操作系统以及应用系统自身的漏洞带来的安全威胁；Internet网络用户对校园网存在非法访问或恶意入侵的威胁；来自校园网内外的各种病毒的威胁；内部用户下载文件可能将木马、蠕虫等程序带入校园内网；内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用等。

2 校园网安全设计策略

对于以上威胁，我们只有不断改进管理方法和采用先进的技术结合起来，才能切实构筑一个安全的校园网。

2.1 校园网安全管理

针对目前高校校园网安全现状，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。以下是我院的安全管理策略。

2.1.1 规范出口管理，实施校园网的整体安全架构，必须解决多出口的问题。规范统一的对出口进行管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。

2.1.2 配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备，就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统等。另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

2.1.3 解决用户上网身份问题，建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题。

2.1.4 严格规范上网场所的管理，集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。

2.2 校园网络安全技术

前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。

2.2.1 杀毒产品的部署

在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜絕病毒的感染、传播和发作。为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、集中管理、分布查杀等多种功能。

2.2.2 采用VLAN技术

VLAN技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。

2.2.3 内容过滤器

内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时，可以限制外来的垃圾邮件。

2.2.4 防火墙

在每一台电脑上都安装装防火墙，成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性：规划设置正确的安全过滤规则；规则审核协议、端口、源地址等IP数据包内容；严格禁止外网对校园内部网不必要的、非法的访问；使用动态规则管理，允许授权运行的程序开放的端口服务；正确设置你在局域网中的IP，防火墙系统才能识别数据包的来向，从而保证你在局域网中正常使用网络服务功能；定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

2.2.5 入侵检测

入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击，提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并记录有关事件。

2.2.6 漏洞扫描

随着软件规模的不断增大.系统中的安全漏洞或“后门”会存在.因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。

2.2.7 数据加密

数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。

2.2.8 加强网络安全管理

首先，加强网络安全知识的培训和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。

3 特色创新点

3.1 校企合作

学院通过招标公司面向全国分别于2011年、2012年进行规划设计及施工、监理招标。2012年下半年开始具体实施信息化建设。与此同时，学院本着长期合作、共同发展的原则，与中国移动汉中分公司、中国电信汉中分公司建立长期战略合作伙伴关系，由两家公司承担学院综合布线、一卡通等项目的建设，并长期提供技术支持。

3.2 五位一体化认证体系

多年的摸索和实践使我们认识到，校园网安全运营管理的核心需求及特点可归纳为五个方面。

准入准出一体化：准入和准出一体化采用统一的安全认证平台，用户仅需1套账号密码并能够自由、自主的在内外网访问间实现方便的切换，管理难度小、用户体验高；流控设备与网关一体化，提供精确的流量和带宽同时不影响性能，减少单点故障。保护用户投资，实现增值。

802.1x和Web一体化：在接入交换机实现802.1x准入和Web准入的同时支持，达到部署灵活、保护投资的目的。实现基于用户身份和所在区域的多种认证方式，安全性高、便于管理。可通过统一的认证管理平台进行管理减少投资成本、降低管理难度。802.1X认证方式主要适用于学生群体，控制比较严格，Web方式适用于教职工群体上网方便。

有线和无线一体化：校园网同时具备有线网络和无线网络接入能力，通过不同的认证方式，可以统一认证管理平台进行管理，可以减少成本，部署灵活，降低管理难度。使用一体化的控制器使设备的利用率升高，保护了投资。同时一体化的网管能够提供有线设备和无线设备的统一配置和管理达到减少投资成本的目的。

校内和校外一体化：VPN网关支持基于Web认证方式的SSL VPN，支持USB key等安全机制，部署灵活、便于管理。运维管理人员仅需对1套系统、1份用户身份信息进行操作，降低了运维管理复杂度。而网络用户在校内和校外仅需1套账号密码，保证了高安全性和便捷的用户体验。

IPv4和IPv6一体化：在身份认证、用户管理、安全管理、管理等方面，使校园网同时承载IPv4和IPv6协议，满足接入需求。以达到减少投资成本、降低管理难度的目的，并且优化了用户使用体验、改善了网络安全审计。

面向数字校园的校园网安全运营管理要求对这五个方面进行完整的涵盖，五个方面的分别一体化是过程、五个方面的整合一体化是目标，直至实现校园网的全网统一认证运营管理。

3.3 紧密四平台

网络设备管理平台、网络健康监控管理平台、网站安全防护平台、网络实名制平台相互依赖。

参考文献

[1] 邓小善.网络服务器配置与管理[M].北京：中国铁道出版社，2003.

[2] 刘晓辉.网络硬件设备完全技术[M].北京：中国铁道出版社，2011.

[3] 谌玺.企业网络整体安全[M].北京：电子工业出版社，2011.

[4] 刘晓辉.网络综合布线应用指南[M].北京：人民邮电出版社，2009.