浅谈安徽三联学院校园网络安全管理

张健

（安徽三联学院 计算机科学与技术系，安徽 合肥 230601）

浅谈安徽三联学院校园网络安全管理

张健

（安徽三联学院 计算机科学与技术系，安徽 合肥 230601）

随着校园网的深入应用，学校日常工作已经离不开它，保证校园网络安全、可靠运行成为一个基本要求.从学校的应用情况来看，校园网是否能真正发挥效益，能否安全、可靠运行，关键还是要看网络的管理.通过分析安徽三联学院校园网结构特点、需求分析、提出维护校园网安全管理的策略，进一步探索加强校园网络安全管理的解决途径.

安徽三联学院；校园网；网络安全；管理策略

信息化进程的深入和互联网的快速发展，校园网络化成为大学信息化建设的发展趋势，并且作为学校信息化建设的基础设施，在教学、科研、管理等方面起着举足轻重的作用，尤其我们安徽三联学院这样新升格的本科院校.但随着网络的高速发展，网络的安全问题日益突出，近两年间，黑客攻击、网络病毒等等已经屡见不鲜,但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题[4,5].

1 安徽三联学院校园网的结构特点

随着教育科研网在中国教育科研领域的深入发展，校园网信息化建设也日趋完善.总结我校校园网信息结构的特点，主要有以下几个方面：

(1)校园网具备完善、层次化的网络汇结结构，有统一的教育网出口.它是全国高校网的信息互通平台，同时也是通向国际互联网的传输纽带.

(2)校园网内建立了一系列重要的应用系统，负责我校日常的信息管理工作，如学生档案管理、教务管理、人事管理、财务管理、后勤管理等.

(3)校园网的另一个重要网络是学校科研及重点试验室网络.这部分网络往往都承担了国家级的课题项目，里面涉及到的信息级别较高.

(4)随着信息化程度的深入，校园内学生宿舍区的终端数量日益膨胀.与此同时，教工家属区的PC也通过校园网的网络资源连入教育科研网.对于这两类终端，他们的特点是数量庞大，占用带宽较高且不易管理[3,4].

2 安徽三联学院校园网安全需求分析

校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出我校校园网面临着如下的安全威胁：

（1）软件系统自身的安全缺陷导致的威胁，包括操作系统和应用软件自身存在的安全漏洞和网络环境中的网络协议存在安全漏洞；

（2）Internet网络用户对校园网存在非法访问或恶意入侵的威胁；

（3）来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网.内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网；

（4）内部用户对Internet的非法访问威胁，如浏览非法网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；

（5）内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；

（6）校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见；

（7）可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁[3,6].

3 安徽三联学院校园网络安全管理策略

3.1 规范出口的管理

实施校园网的整体安全架构，必须对原有的网络架构进行改造，首先需要解决的就是多出口的问题.出口如果不进行规范管理，校园网络安全体系就无法得以实施.因此，做为校园网络管理机构必须将所有的校园网络出口统一管理，严禁私自开后门的情况出现，为安全的实施提供最基础的保障.

3.2 防火墙控制策略

防火墙技术是保证网络安全最早,也是最广泛使用的产品，曾经被认为是网络安全最有效的技术措施[2].随着网络攻击和病毒技术的发展,防火墙已经不是网络安全的“万能产品”，但是作为防止网络攻击，特别是来自外网的攻击，防火墙功能仍然是目前其他产品无法替代的.

防火墙的设置可以根据具体的功能而定，作为网络总出入口，可以设置高性能的硬件防火墙，而在内部的各个必要节点上则可以灵活设置其他的防火墙产品.通过必要的防火墙设置，可以按照服务功能将校园网划分成多个安全区域和公共区域，并定制多种防范策略，保证网络应用服务的正常开展[6,7].

3.3 网络入侵检测技术

试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵.入侵检测的定义为，识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程.它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动.入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据[2,8].

3.4 数据加密

由于在现实生活中，我们要确保一些敏感的数据只能被有相应权限的人看到，要确保信息在传输的过程中不会被篡改、截取等，仅仅通过身份验证技术是不能做到的,这时我们就需要考虑应用数据加密技术对校园网上的信息进行加密处理了.常用的数据加密技术有两类：对称加密和非对称加密.对称加密就是对信息的加密和解密都使用相同的密钥，也就是说一把钥匙开一把锁.而非对称加密就是把密钥被分解为一对(即公开密钥和私有密钥).这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开，而另一把作为私有密钥(解密密钥)加以保存[2,8].

3.5 配备完整的系统的网络安全设备

校园网络虽然比较复杂，但从整体技术架构来看，还是属于局域网范畴，因此，在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外.另外需要注意的是，校园网络现在基本上都是高速网络，因此配置安全设备既要考虑到功能同时也必须考虑性能，将配置安全设备后对网络性能的影响尽可能的降到最低.据此要求，校园网络需要配备以下安全设备：

（1）漏洞扫描系统

（2）安全审计系统

（3）旁路监听型不良内容过滤系统

（4）覆盖全校范围的网络版防病毒系统

（5）网络故障检测以及网络故障诊断设备

通过配置以上安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决[5].

3.6 解决用户上网身份问题，建立全校统一的身份认证系统

校园网络基础安全设施配备后，必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，用户身份如果得不到落实，即便发现了安全问题也大多只能不了了之.同时全校的统一身份认证系统，是学校信息化建设中必须要考虑的一个非常重要建设内容.现在的校园网内的一些应用系统或多或少的有具有一定的身份认证功能，但从安全性、通用性、及时性和权威性来看，都不能令人满意，而且存在很大的安全隐患.为此，必须建立基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证[5].

3.7 严格规范上网场所的管理，集中进行监控和管理

校园网络建设从教学科研的角度出发，应该鼓励建设更多的公众上网场所，给学校师生提供了解网络和通过网络学习、工作的方便，这一点我们安徽三联学院也做了很多工作.但从安全管理的角度来看，对于众多上网场所的管理，只有使用统一的机房管理软件、集中身份认证并且进行集中的管理和监控，才可以有效的保证网络安全.要解决用户上网身份认证、上网日志保存和查询的问题，最有效的解决办法就是采用集中身份认证、集中管理监控的方式，具体来说有以下两个步骤：

（1）用户使用网络首先通过统一的校级身份认证系统确认，非合法用户无法使用校园网络.

（2）合法用户上网的行为受到统一的监控并且上网行为日志集中保存在中心服务器上.这样既可以不给机房管理增加负担，同时也可以提供至少三个月以上的日志备查.另外，由于是将访问日志直接传送到中心监控服务器上，这保证了这个记录的严肃性和准确性[3,4].

3.8 改造电子邮件系统，提供多种安全监控和管理功能

大多校园网络使用的免费的电子邮件系统，由于功能和性能等多方面的差距，已经明显不适应用户使用和网络安全对邮件系统的要求；另外，在安全管理方面，无法提供及时的监控和日志，对一些有害信息无法进行过滤，也成为了校园网络安全管理的主要隐患.从网络安全以及网络应用的要求来看，改造校园网络电子邮件系统是势在必行的[1].

3.9 根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度

网络安全建设是“三分设备，七分管理”，没有切实可行的安全保障体系和制度，网络安全就变成了空谈.必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理[4].另外，学校必须颁布网络行为规范和具体处罚条例，这样才能有效的控制和减少内部网络的隐患.

4 结束语

互联网的分布特性决定了不可能从主干网上解决校园网的安全问题，校园网络的安全是整体的、动态的，同时还必须有完善的安全管理规章制度和专门管理人才，才能有效地实现校园网络安全、可靠、稳定的运行[3].加强校园网安全管理仍然是当前形势下教育和科研网络环境安全管理的重点.加强校园网安全管理管理是当前非常迫切、充满挑战的任务.

〔1〕黄中伟.计算机网络管理与安全技术[M].北京:人民邮电出版社,2006.

〔2〕王群.计算机网络安全技术[M].北京:清华大学出版社, 2008.

〔3〕李振汕.关于校园网络安全管理[J].计算机安全,2008(3).

〔4〕付沙.基于校园网的信息安全策略研究[J].科技和产业, 2007(12).

〔5〕许开宇.校园网络安全技术和BT技术应用研究[D].长春:吉林大学,2006.

〔6〕黄峰.校园网防火墙的规划与实现[D].合肥:中国科学技术大学,2003.

〔7〕胡谷雨.网络管理技术教程[M].北京:北京希望电子出版社,2002.

〔8〕戚文静.网络安全与管理[M].北京:高等教育出版社,2004.

TP393.18

A

1673-260X（2010）05-0025-02

安徽三联学院2009年度院级科研基金项目资助