南京农业大学：五个手段布立体安全网

文/罗国富

南京农业大学：五个手段布立体安全网

文/罗国富

信息安全是体现学校信息化建设成果及应用效果的根本保证，本文通过分析目前校园网信息安全现状，并结合南京农业大学校园网实际应用方案，对高校信息安全保障体系架构进行层次分析。

校园网信息安全现状

管理体制不健全，管理流程不规范

网络信息安全的保障，首先需要有健全的安全管理体制。目前很多高校没有规范的网络信息安全管理制度，缺少合理网络设备的操作规程和信息系统的分级管理，没有指定专门的安全管理人员等，使得网络信息安全很难得到保障。

网络结构多样，管理难度较大

校园网有不同的功能分区，包括教学网络，办公网络和学生宿舍网络等，还有一些学校有多个校区或者校区合并等情况，往往存在不同的网络架构。同时，高校校园网络对新技术应用比较超前，很多网络管理人员经常在校园网尝试新的技术和管理方式。由此而带来的安全问题或安全隐患就很难避免。

网络应用系统数量众多，管理水平差异较大

信息化建设的过程中，为了满足教学科研的需要，校园网建设了很多应用系统，包括教务管理、学工系统、电子邮件、网络办公和各种网站等，却缺少专业技术人员管理，甚至委托一些爱好计算机技术的学生来管理，从而导致系统存在很多安全隐患。

网络安全意识淡薄 投入不足

在信息系统建设初期，很多单位都是满足于功能的实现，存在着“重技术、轻安全、轻管理”的倾向，还有很多高校网络管理人员投入严重不足，一个管理人员可能肩负着建设、管理和安全的工作，或者有些学校在网络规划和安全管理方面干脆全部依赖网络公司或网络集成商，这种情况下，网络信息安全根本无法得到保障。

图1 三维网络安全防范技术体系结构

图2 网络信息安全防范体系

网络信息安全保障体系框架

在校园网管理应用中，网络信息安全体系根本任务就是防范安全攻击，建立安全机制并提供安全服务。而网络信息传递是以网络设施为载体，我们可以结合网络协议结构层次，建构一个针对网络信息安全的三维网络安全防范技术体系框架结构（如图1所示）。

第一维是安全服务，给出了八种安全属性（ITU-T REC-X.800-199103-I）；二维是系统单元，给出了信息网络系统的组成；三维是结构层次，给出并扩展了国际标准化组织ISO的开放系统互联（OSI）模型。框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性和可靠性。针对网络信息系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。

因此，我们可以把网络信息安全保障体系根据网络架构进行层次划分，不同层次反映了不同的安全问题，根据网络的应用现状情况和网络的结构，我们将防范体系的层次（见图2）划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理。

物理层安全

该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。物理层的安全主要体现在通信线路的可靠性（线路备份、网管软件、传输介质），软硬件设备安全性（替换设备、拆卸设备、增加设备），设备的备份、防灾害能力、防干扰能力，设备的运行环境（温度、湿度、烟尘），不间断电源保障等。

系统层安全

该层次的安全问题来自网络内使用的操作系统的安全，如Windows、Linux和Unix等，主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。

网络层安全

该层次的安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名系统的安全、路由系统的安全、入侵检测的手段以及网络设施防病毒等。

应用层安全

该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生，包括Web服务、电子邮件系统、DNS等。此外，还包括病毒对用户和系统的威胁。

管理层安全

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理的制度化极大程度地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分、合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞。

校园网信息安全体系构建

南京农业大学校园信息化起步于1995年，经过1 0余年的建设与发展，现已建成覆盖全校的、较完整的网络体系，基于校园网的信息应用系统更是发展迅猛，据不完全统计：我校已有网络公共服务系统超过100个，网络业务管理系统数十套，网络信息资源保有量超过了50TB，各类网络接入用户数在20000左右。在网络基础设施的建设方面，实现了万兆校园网主干和高速出口带宽。校园网目前主要有四个功能分区，教学实验、办公网络、公共机房和学生宿舍，大部分信息应用服务器都放入我校数据中心进行集中管理。根据我校网络布局和应用系统架构，我们主要从以下几方面来构建网络信息安全保障体系。

1. 构建冗余的、高稳定性的校园网络主干和重要信息平台服务器冗余备份。

为了保障校园网络性能和可靠性，我校对主要教学楼宇均采用万兆互联和实现线路冗余，对重要信息应用采用容灾、容错等安全防范措施，避免由于单点故障造成网络传输路径的中断。在信息应用服务器和业务服务器管理方面，我校在2004年就建立了专门的数据中心，实现服务器硬件平台集中管理和实时监测，采用专门的防雷防火设计和提供多线路UPS供电保障。

2. 加强系统安全管理，建立漏洞主动扫描系统，杜绝系统漏洞造成的安全隐患。

很多蠕虫病毒和木马程序都是利用系统漏洞来传播，而且传播速度很快，造成的影响也非常大。目前，学校的网络服务器安装的操作系统通常有Windows、Unix、Linux等，这些系统安全风险级别不同，其中Windows的普遍性和可操作性使得它成为最不安全的系统，系统本身的漏洞、浏览器的漏洞、IIS的漏洞等等，在用户没有主动更新补丁的情况下，经常会导致蠕虫在校园网中泛滥。我校通过在校园网提供Windows系统补丁自动更新服务，并建立一套漏洞主动扫描系统，定时对校园网服务器进行扫描检查；同时，在用户端上网管理方面，设置上网客户端软件自动检测补丁和杀毒软件安装情况，并及时发布漏洞公告和检测用户端系统补丁情况。

3. 增强网络检测监控，建立网络设备权限分级管理机制。

为了防范校园内外入侵攻击，我校分别在校园网和公网入口以及校园网与信息系统之间架设专用高性能硬件防火墙，通过设置相应的安全策略，对各种资源进行网络权限控制等来增强网络信息安全性。同时，在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。为了提高网络设备和信息服务器的安全，我校建立了设备权限分级管理机制，做到权限职责分明，安全界限清晰。同时，在用户接入交换机管理上，实现了精细化管理，动态强制DHCP地址分配，各端口间二层隔离。

4. 建立多个应用防护系统和统一身份认证平台，进行安全审计和日志记录。

为了防范病毒和木马的侵入，建立了一套病毒立体防御体系：一方面在校园网出口设置高性能防病毒网关系统，另外一方面在校园网内部建立多种网络版防病毒软件，对网络的出入口数据流量进行病毒扫描和过滤。通过病毒防御体系可以监控网络运行情况，能够在第一时间内检测到网络异常和病毒攻击。针对垃圾邮件的泛滥，我校专门购买了反垃圾邮件网关系统，通过采用改进的贝叶斯算法和庞大的垃圾邮件知识库以及智能垃圾邮件识别引擎实现了对垃圾邮件、有害信息、病毒邮件的有效过滤。

在用户信息安全管理方面，我校建立统一的身份认证系统，身份认证可以对网络用户的身份进行鉴别，根据其权限开放相应服务，在出现网络安全问题时，身份认证系统可以提供肇事者的身份资料，通过这些资料帮助网络管理员解决网络问题。通过网络安全管理平台，将全网系统的安全日志、安全事件集中收集管理，以实现事件和日志的集中分析、审计和报告。安全审计和日志通过一些特定的、预先定义的规则来发现日志中潜在的问题，它可以用来对网络安全攻击进行取证，也可以发现潜在的攻击征兆，确保任何安全事件得到及时的响应和处理。根据分层次网络架构建立信息安全保障体系（如图3所示）。

5. 不断完善安全管理制度，规范管理流程，建立安全监控和恢复体系。

安全管理贯穿于安全防范体系的始终。实践经验告诉我们仅有安全技术防范，而无严格的安全管理体系相配套，是难以保障网络信息系统安全的。必须制订一系列安全管理制度，对安全技术和安全设施进行管理。在不同层面采取可靠的安全防范措施，建立行之有效的信息安全管理制度和流程，形成一套完整的安全保障体系，实现严密、多渠道的安全控制，保证信息系统的安全稳定运行，保证数据安全可靠，实现数字校园信息环境的可控、可信、可查。

南京农业大学在数据中心建立后，不断制定和完善了各种安全管理制度，包括操作安全管理、设备安全使用管理、操作系统和数据库安全管理、异常情况管理、系统安全恢复管理、应急管理、运行维护安全规定、第三方服务商的安全管理、对系统安全状况的定期评估策略等。另外，在信息化建设的过程中，学校非常注重培养师生信息素养，不断通过讲座、培训、网站等宣传方式提高和强化信息安全观念意识，确立信息安全管理的基本思想与策略，加快信息安全人才培养，同时倡导信息伦理，提高教师和学生的信息安全自律水平。

图3 南京农业大学网络信息安全保障体系

随着校园网络设施的不断完善和应用需求的不断扩大，网络信息安全已成为学校信息化建设的基石。校园网是一个分层次的拓扑结构网络，网络安全问题是一个较为复杂的系统工程，因此网络信息安全防护应该采用分层次的拓扑防护措施。通过从物理层、系统层、网络层、应用层和管理层全方位考虑，针对性不同的层次架构采用相应技术或设备，并设计合理的管理策略以及建立完善的管理制度和规范，才能确保建立一个全面、立体、高效的校园网络信息安全保障体系。

(作者单位为南京农业大学图书与信息中心）

大运会引入IPv6

本刊讯 近日，第26届世界大学生运动会在深圳闭幕。执行局局长梁道行指出：“本届大运会全面引入新一代互联网IPv6技术，大运会信息系统由运动会IT系统、赛事成绩系统、信息发布系统、运行保障与支持系统四大部分组成，这四大系统全部获得IPv6网络环境支撑，并采用IPv4/v6双栈技术方案。这也是国内首个采用IPv6技术的大型赛事网络。”

锐捷网络作为集成商，根据大运会的十大核心业务，定制了IT运维监控解决方案：以关键赛事系统为核心构筑一体化运维体系，整个大运会全部IT资源，包括赛事系统、服务器、数据库、中间件、网络设备、安全设备、流控设备等等都被纳入7×24监控范围内，保证提前发现、快速响应和解决赛中遇到的各种网络问题。

本届深圳世界大学生大运会的赛事成绩(GAMES)网、赛事指挥(ADMIN)网以及媒体INTER网(I网)均全面采用了锐捷网络自主研发的全系列网络产品及解决方案，覆盖范围涉及41个竞赛场馆、13个非竞赛场馆以及7个核心汇聚机楼，分布在深圳各区。赛时运维保障工作主要面临三大挑战。第一，运行保障范围广、强度高。第二，赛时故障事件恢复时效性要求高。第三，赛时临时需求紧急且多变。锐捷网络结合奥运、亚运等大型国际体育赛事网络保障的经验制定了专门针对大运会计算机网络平台的应急预案，并组建了一支强大的运维团队。

继北京奥运、广州亚运之后，锐捷网络再次获得国际赛事组委会的认可,并荣获本届大运会“优秀合作伙伴”、“最佳保障团队”称号。对于成为大运会“幕后冠军”的成功经验，锐捷网络副总裁刘弘瑜回答说 ：“十余年来，锐捷网络沉淀出了自己独特的DNA。第一，无限贴近客户、努力帮助客户成功的理念。如果一家公司把全部有限的资源用于解决精心挑选的专注行业客户群的需求，那么该公司就能兴旺发达，锐捷网络正是遵循了‘一切为客户’的原则始终如一。第二，遵循利基思想的价值创新实践。遵循利基思想的价值创新是锐捷网络的灵魂所在，刘总认为，利基的本质是以客户的需求为根本出发点的差异化价值创新，也是本土厂商能够战胜国际巨头的最核心要素。第三，务实求真的精神。务实求真的精神指引着锐捷网络客观评估市场、科学地选择市场，并精益求精地做好每一款产品、每一次服务。第四，强大的学习文化。锐捷网络力求用强大的学习文化打造学习型组织，一批又一批应届毕业生加入到锐捷网络并成长为独当一面的人才，学习进取成为锐捷网络全体员工的座右铭。这正是锐捷网络能够在竞争激烈的市场环境中得以生存并壮大的必要因素。”

构造高效协同的数字校园

本刊讯 日前，北明软件推出了最新的数字化校园解决方案，可以提供从基础设施到信息门户、从咨询方案到运行维护的全系列产品、解决方案和服务。方案着眼于实现高校资源的统一管理，建立协同的管理体系，实现教学业务流程的信息化和数据的共享，最终推动学校的发展战略。

据介绍，北明软件数字校园解决方案的一大特色就是建立在SOA的基础上，其技术架构就是多种信息集成的技术框架。由于高校中一般已经采购了许多独立的应用系统，建设数字校园的首要任务是打通这些“信息孤岛”之间的联系。针对新旧系统的整合问题，北明软件提供了一个信息集成的综合框架，这个框架基于信息资源规划的思想，建立在SOA架构的基础上，通过共享数据中心、集成应用平台、信息门户等技术，实现数据整合、应用整合、内容整合、流程整合等四个方面的信息集成目标。

目前，北明软件数字校园解决方案已经在南京财经大学、华南师范大学等高校成功上线，大大提升了学校管理的效率。