数字化校园网络安全研究

摘要：在建设校园网络的过程中遇到两种类型的安全问题:物理安全和逻辑安全。本文拟重点从某院校园网络的逻辑安全角度进行探讨，找出安全存在的隐患，从而建立一套有效的校园网络安全机制。

关键词：网络安全、安全隐患、安全策略设计

中图分类号：G642 文献标识码：A

1引言

继中国科技大学、清华大学、北京大学等第一批铺设数字化校园网的高校之后，全国各地的大中专院校都掀起了轰轰烈烈的数字化校园浪潮。在结合该院自身实际条件下，各大高校都以建立一个以校园网为基础的集教学管理、消费、身份认证等服务为一体的新型数字化的工作、学习、生活环境为奋斗目标。在数字化校园规划与建设过程中，有一个非常关键而棘手的问题，那就是网络安全问题。在当今网络开放式互联的环境下，各种病毒蔓延和黑客攻击令人叫苦不迭，网络安全问题已成为数字化校园建设的一个重要问题。

2数字化校园及其网络安全

数字化校园是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制；把学校建设成面向校园内，也面向社会的一个超越时间、超越空间的虚拟学校。

针对数字化校园网络化和信息化的特点，其安全问题成为当今亟待解决的重要问题。网络安全包括物理安全和逻辑安全两方面：

系统的物理安全指网络系统中各通信计算机设备以及相关设备的物理保护，免予破坏、丢失等；系统的逻辑安全包括数字化校园的整合网络系统和承担各个业务流程的功能子系统的安全。逻辑安全包括信息的完整性、保密性和可用性三个要素。保密性是指信息不会泄漏给未经授权的人，完整性是指计算机系统能够防止非法修改和删除数据和程序，可用性是指能够防止非法独占计算机资源和数据，合法用户的正常请求能及时、正确、安全的得到服务或回应。

随着现代计算机系统功能的日渐复杂，网络体系日渐强大，正在对社会产生巨大而深远的影响，但同时由于计算机网络具有联接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络易受黑客、恶意软件和其他不轨的攻击，所以使得安全问题越来越突出。校园的网络系统是整合数字化校园的基础，它连接了各个功能子系统，各个系部，还有大量的个人电脑(如校园内学生、教师的PC等)，所以它的安全是至关重要的。因此，要提高计算机网络的防御能力，加强网络的安全措施，以保证其正常运行。众所周知，无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁，故此，网络的防御措施应是能全方位地针对各种不同的威胁和脆弱性进行预防，这样才能确保网络信息的保密性、完整性和可用性。俗话说“知己知彼，百战百胜”，要保证校园网络安全，首先必须深入了解威胁校园网络安全的“敌人”，即必须了解校园网络安全的隐患。

3数字化校园网络安全隐患

校园网络是借助主干通信网，将各地的分部门和总部联接，同时与Internet互联，这就势必会出现如下的安全隐患问题：

(1) 总部局域网和各分、子部门局域网之间，分、子部门与下属机构局域网之间以及广域网干线上信息传输的安全保密问题。

(2) 总部局域网及各分、子部门局域网自身的安全，要确保这些局域网不受网内用户非法授权访问和破坏等。

(3) 来自外部的非授权用户非法攻击和破坏，以及内部用户对外部非法站点的访问。

现实存在的网络安全问题涉及面很广，但不安全因素主要集中在网络传播介质及网络协议的缺陷、主机操作系统的缺陷以及安全管理不善等因素上。由此可见，根据存在的安全隐患进行科学的安全策略设计，构筑必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

4校园数字化网络安全策略设计

安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略设计包括了建立安全环境的三个重要组成部分，即：

先进的技术。先进和安全技术是信息安全的根本保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类，选择相应的安全机制然后集成先进的安全技术，这样才能保证对安全问题的彻底解决。先进的安全技术主要包括访问控制、防火墙、加密、鉴别、数字签名、审计监控、入侵防范、防病毒、网络安全检测等技术。

严格的管理。网络安全问题在很大程度上是非技术因素，安全管理漏洞和疏忽是最大的安全隐患。只有把安全管理制度与安全技术手段结合起来，这个网络的安全性才有保障。所以应严格执行相关的安全管理制度，握手操作规程、维护制度等，加强内部管理，建立审计和跟踪体系，提高整体安全意识。安全管理的原则一般有以下三个原则：(1) 多人负责原则。每一项与安全有关的活动，都必须有两人或多人在场，例如访问控制使用证件的发放与回收；信息处理系统使用媒介的发放与回收；处理保密信息；硬件和软件的维护等等。(2)任期有限原则。一般地讲任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的，为了遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使得任期有限制度切实可行。(3)职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，如有必要了解则需经系统主管领导批准。例如在计算机操作与计算机编程；机密资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制等情况下应当尽量让工作人员分开。

威严的法律和规章制度。安全的基石是社会法律、法规与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律的威严，不敢轻举妄动。网络系统安全方面的法律和规章制度分两部分，一是国家及主管部门在信息安全方面的法律、法规与规定；另一部分是数字化校园自身的制度和规定，它应该与系统所采取的各种安全机制相辅相成，互为补充。既然安全策略的设计涉及到了这么多网络安全的措施，那怎样对一个数字化校园网络进行安全管理呢？现拟某学院数字化网络为例，拟定一个校园网的安全策略。具体工作是：

(1) 根据工作的重要程度，确定该系统的安全等级。

(2) 根据确定的安全等级，确定安全管理范围。

(3) 制订相应的机房出入管理制度。

对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与已无关的区域，出入管理可采用证件识别或安装自动识别登记系统，采用磁卡、身分卡等手段，对人员进行识别、登记管理。

(4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。

(5) 制订完备的系统维护制度。对系统进行维护时，应采取数据保护措施，如数据备份等，维护时要首先经主管部门批准，并有安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。

(6) 制订应急措施。要制订系统在特殊情况下，如何恢复的应急措施，使损失减至最小。

5数字化校园网络安全案例

以某技术职业学院校园网络安全策略为例，介绍安全策略的设计。该学院是一所面向全国招生，以培养专科层次的应用型高等职业技术人才的全日制普通高等院校。该校数字化网络一期工程为全校教育和科研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过与Internet互联，实现了与信息世界的多元化、直接流，其服务对象主要是校内的教学、学生实验机房、行政管理单位等。下图为该院校园网络拓扑结构图：

对该院校园网中的安全现状进行分析，隐患大致来自以下五个方面：

(1) 校园网通过与Internet相联，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

(2) 目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。目前校园网的网络服务器安装的操作系统是WindowsNT/Windows2000，这些系统安全风险级别不同，例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞(RIP路由转移等)、服务安全漏洞等等，这些都对原有网络安全构成威胁。

(3) 校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

(4) 随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

(5) 限于该院数字化的进程，目前的网络防护体系中还缺少硬件级防火墙这一防护环节，即没有对内部网和外部网进行有效的隔离，网络安全性完全依赖主系统的安全性，在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的和失误越来越普遍，入侵就很难避免。曾经尝试过在服务器上(机)安装防火墙软件进行安全隔离，即建立应用级防火墙。但在实际使用中，用户在受信任的网络上通过服务器访问Internet时，经常会发现存在延迟并且必须进行多次访问才能访问Internet的情况。这是因为该软件必须分析网络数据包并做出访问控制决定，从而影响了网络的性能。一般来说，如果计划选用应用级防火墙，最好选用较高性能的计算机运行服务器。但由于涉及到带宽、经费等多方面的限制，该院用作服务器的计算机性能并不是很理想，导致网络速度较慢，网络服务质量还有待提高。因此这必须在校园数字化网络中必须采用一定的安全策略，就这一问题，结合当前实际的前提下作者进行了广泛的调研和悉心比较，最后决定融合思科公司和瑞星设计的校园网络安全系统方案再整合其它相关先进的管理技术以拓展安全管理范围和增强安全管理的效果。提出了两种方案可供选择：

方案一：智能防火墙型。即用一台智能防火墙，成为内外网之间一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS等对外服务器连接在防火墙的DMZ区，与内外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等)，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。现在比较流行的智能型防火墙有CISCOPIX系列防火墙、ONTECHNOLOGY软件公司生产的ONGUARD和CHECKPOINT软件公司生产的FIREWALL－1防火墙等。这一方案的优点是：在实际应用中，对用户的“透明度”较高，便于管理和控制。而缺点就是价格昂贵，不易被一般用户所接受。

方案二：网络层防火墙＋服务器。即把网络层防火墙和应用层防火墙综合在一起。因为网络层防火墙具有速度快、费用低、对用户透明等优点，但是它对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力，特别是对于应用层上的黑客行为无能为力。而应用层防火墙(主要为服务器)有较好的访问控制，目前存在HTTP、TELNET、FTP、POP3和GOPHER等服务器，并且这些服务只需要一个服务器就可以实现。这一方案的优点是：费用低，性价比较高。而缺点则是“透明底”较低，需要由经验相对丰富的管理人员人进行管理，即对管理人员的要求较高。

由此看来，两种方案各有千秋，应用中可以根据自身实际进行选择，在此，从性价比和实际情况的角度考虑，选择方案二，见图2。注意，图中为了方便表示把网络层防火墙和服务器两个防火墙只用一个防火墙记号标示。

选择好了防火墙，还应对其进行正确配置才能充分发挥其安全防护的性能，在防火墙设置上按照以下配置原则来提高网络安全性：

(1) 根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

(2) 将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击，过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

(3) 在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

(4) 定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

(5) 允许通过配置网卡对防火墙设置，提高防火墙管理安全性。

6检测系统的部署

数字化校园网中包含了几个系统的部署，其中有入侵检测系统部署、网络安全系统检测系统部署和杀毒产品部署等。

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，因为防火墙的策略都是事先设置好的，无法动态设置，缺少针对攻击的必要性和灵活性，不能更好的保护网络的安全，所以部署IDS并使IDS与防火墙联动的目的就是为了更有效地阻断所发生的攻击事件，从而使网络隐患降至较低限度，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据该院网络的特点，采取思科公司的网络IDS和主机并用的措施，对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲就是将思科IDS入系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据，如果情况严重，思科IDS还会发出实时报警，使得学校管理员及时采取应对措施。

在网络安全检测系统上考虑采用网络安全检测工具如SATAN等定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性报告，为提高网络安全整体水平产生重要依据。

杀毒产品部署上采用了瑞星网络版的杀毒产品，为了达到要在整个局域网内病毒感染、传播和发作这一目的，在整个网络内可能传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能，提出以下建议：

(1) 在学校网络中心配置一台高效的WINDOWS2000服务器，负责管理多个主机网点的计算机。

(2) 在各行政、教学单位等多个分支机构分别安装杀毒软件。

(3) 管理员在安装完杀毒软件以后，要由网络中心的系统定期地、自动地到网站上获取最新的升级文件，然后自动将更新的升级文件分发到其它各个主机网点的客户端与服务器端，并且对杀毒软件进行更新。

常言说：“三分技术，七分管理”，安全的处理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。建议以下一套校园网络安全管理的模式：

第一：网络规划阶段的一些安全策略。

(1) 明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体，对于校园网络来说网络管理员可以是网络安全责任人。

(2) 对网络上所有的服务器和网络设备，设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度)，对校园的局域网要将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。

(3) 进行容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障，网络应允许出现一些故障，并且可以很快从灾难中恢复，网络的主备份应位于中心机房。

(4) 因为网络与Internet有固定联接(静态的IP地址)，要在网络和INTERNET之间安装防火墙。

(5) 网络使用服务器访问Internet，不仅可以降低访问成本，而且隐藏了网络规模和特性，加强了网络的安全性。

第二：对网络管理员的一些安全策略建议。

对校园网络来说网络管理员一般承担安全管理员的角色。网络管理员采取的安全策略，最主要的是保证服务器的安全和分配好各类用户的权限。

(1) 网络管理员必须了解整个网络中的重要公共数据(限制写)和机密数据(限制读)分别是哪些，它在哪儿，哪些人在使用，属于哪些人，丢失或泄密会造成怎样的损失，这些重要数据集中位于中心服务器上，置于有安全经验的专人管理之下。

(2) 定期对和各类用户进行安全培训。

(3) 一般不直接给用户赋权，而通过用户组分配用户权限。

(4) 新增用户时分配一个口令，并控制用户“首次登录必须更改口令”，最好进一步设置成的口令不低于6个字符，杜绝安全漏洞。

(5) 至少对用户“登录和注销”网络、“重新启动、关机及系统”、“安全规则更改”活动进行审计，但不要忘了过多的审计将影响系统性能。

(6) 文件服务器不与Internet直接连接，专用服务器，不允许客户机通过MODEM连到INTERNET，形成在防火墙内的连接。

(7) 可以利用“TCP/IP安全”对话框，关闭INTERNET上机器不用的TCP/UDP端口，过滤流入服务器的请求，特别是限制使用TCP/UDP的137、138、139端口。

(8) 可以考虑将对外的Web服务器放在防火墙之外，隔离外界对内的访问以保护内部的敏感数据。

(9) 对只提供内部访问的服务器和客户机可以采用非TCP/IP实现连接，这样可以隔离Internet访问。

(10) 利用端口扫描工具，定期在防火墙外对网络内所有的服务器和客户进行端口扫描。

第三：对校园网络用户的一些安全策略建议。

数字化校园网络的安全不仅仅是网络管理员的事，校园网络上的每一个用户都有责任，网络用户也可以了解一下以下的网络安全知识：

(1) 用一个长且难猜的口令，不要将自己的口令告诉任何人。

(2) 清楚自己私有数据存储的位置，知道如何备份和恢复。

(3) 定期参加网络知识和网络安全的培训，了解网络安全知识，养成注意安全的工作习惯。

(4) 尽量不要在本地硬盘上共享文件，因为这样做将影响自己的机器安全，最好将共享文件存放在服务器上，既安全又方便了他人随时使用文件。

(5) 通过“系统策略编辑器/注册表编辑器”控制在Windows 9x工作站上的“不显示最后一次登录的用户名”和“禁止使用口令缓存”，防止口令从缓存中被获取和最后一次登录的用户被利用。

(6) 设置有显示的(即非黑屏，防止误认为关机)屏幕保护，并且加上口令保护。

(7) 当你较长时间离开机器时一定要退出网络。

(8) 安装启动时病毒扫描软件。

结束语：可以预见，随着计算机技术和通信技术的发展，计算机网络不会仅局限于数字化校园，还将日益成为信息交换的重要手段，渗透到社会生活的各个领域。因此，认清网络的脆弱性和潜在的隐患，采取强而有力的安全策略，对于保障网络的安全性将变得越来越重要。

参考文献：

[1] 王育民,刘建伟. 通信网的安全－理念与技术[M]. 西安电子科技大学出版社,1999.

[2] 张小斌,严望佳. 网络安全与黑客防范[M]. 北京;清华大学出版社,1999.

[3] 21世纪计算机网络工程丛书编委会. 网络技术基础[M]. 北京希望电子出版社,2000.

[4] 钟小平,张金石. 网络服务器的配置与应用[M]．北京:人民邮电出版社,2002.

[5] 烟波．黑客攻防完全揭秘[M]．重庆出版社,2003.

[6] 闾佳．网络安全高手[M]．成都时代出版社,2003.