高校网络安全技术浅析及应用

摘要 本文重点分析高校网络安全，以及在当前高校网络安全应用，进一步完善高校网络安全功能，促进高校信息化建设脚步。

关键词 防毒墙；物理网；网络安全网关；终端用户安全管理

中图分类号TP393 文献标识码A 文章编号 1674-6708（2012）79-0194-02

0 引言

随着网络的发展，高校作为积极实践新技术的群体，需要解决越来越庞大的教学，科研的网络数据处理，并保证在大访问量下的优质上网质量。现在高校通常是几百兆甚至是几个G的出口带宽。在满足广大师生上网需求的同时，也带来了一定的网络安全问题.作为国家事业单位，有些网络及数据安全也须得到一定的保障。国家教育部、公安部等相关部门也三令五申地要求各高校切实做好网络安全建设和管理工作.有鉴于此，需要在新形势下研究新的网络安全技术。

1 高校网络安全技术

现阶段高校主要通过如下技术手段实现其一定的网络安全管理：物理网隔离，网络安全网关、配备Web防毒墙，多专网，数据备份，关键部位设备冗余，采用第三方设备系统实现用户终端的安全管理。

1.1 物理网隔离

作为最基本的手段，物理网隔离技术永远有其独特的网络安全优势，主要适用于如校园财务，校园资产管理等严格要求数据安全性的系统。对于现在采用的WLAN做ACL访问控制隔离模式总不如全物理网来的有效，当然物理网对成本要求更高。

1.2 网络安全网关

校园网首先是一个大的局域网的概念，如何有效的抵御外来有害，有毒信息是涉及到校园网能否安全的主要因素，这个时候就非常有必要在校园网出口处架设一台网络安全产品。现在市场如阿姆瑞特，深信服都出产此类产品。该类系统基本包含带宽多出口管理，防火墙，入侵检测及防御，WEB内容过滤，简单流量控制等一系列功能。通过访问规则，应用层网关，动静态WEB过滤，反病毒扫描，垃圾邮件处理等配置实现其安全网关的功能。能基本抵御外来如DOS攻击，IP欺骗，提高FTP，HTTP，SMTP，pop3等协议的安全性。该类产品流量控制功能也能粗略的解决一些出口带宽问题，适当缓解现阶段高校租用运营商带宽费用过度增长的问题。但同时也会碰到多项功能模块开启造成管理平台查询配置延迟的问题。如有条件，还是建议采用专业的流控设备，及反垃圾邮件网关等以分担防火墙的处理业务。

1.3 Web应用防毒墙

通过该设备的配备，可以有效防御如SQL注入，跨站点脚本，操作系统命令注入，会话劫持，篡改参数或URL，缓冲区溢出等攻击。由于直接针对应用层处理能力，该类产品抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术，多次解析的架构，采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配。从而更好的保护服务器区的操作系统及数据安全。

1.4 多专网

由于高校存在数量众多的实验室机房，这些由于学生上网行为，虽然用户端基本都配有还原卡等装置，但在教学过程中所发生的病毒攻击行为从实验室管理上来说基本处于无可奈何的状态，这对校园网确实是一个极大的威胁，我校当时就碰到过各类由于机房管理不善影响全院网络的事件。针对于此，采用多台汇聚层交换机，把行政办公网和实验室网分开，基本上组建成实验室专网，并在实验室汇聚交换机连接核心交换机端配置一台防火墙，有效解决了实验室端对整体校园网的安全影响。

1.5 数据备份

为了各种教学评估，国家精品课程建设，电子图书馆建立都需存储大量的数据，其中有些还需实现异地备份，主要有定期磁带备份数据，就是制作完整的备份磁带或光盘：远程数据库备份，在与主数据库所在生产机相分离的备份机上建立主数据库的一个拷贝，如有分校区的学校可采用两边数据互备方案。

1.6 关键部位设备冗余

这个方面可根据各高校实际情况进行操作，主干网络优先对核心交换机，安全网关进行冗余处理，由于像中间防火墙和防毒墙都有bypass功能可适当放低要求，毕竟还需考虑成本因素，数据中心服务器可采用类似云计算的方案进行处理，不需每台都做冗余。如有分校区的学校还需对互联光纤线路进行双路冗余处理，不然故障后影响太大。

1.7 使用第三方设备及系统实现终端用户的安全管理

由于高校集中了成千上万的用户数，在提高用户的安全意识同时，还需要对其进行全局的管理，这方面可通过第三方设备或系统进行IP/MAC绑定，采用安装客户端的方式实现如硬性安装360安全卫士等网络安全要求。并可和交换机进行联动，如发现有异常的端动，可将该交换机端口down掉，再联系用户进行处理，可避免因个人用户所引起的全网安全问题。该手段可对校园网络进行最基础的净化流程，我校在采用了锐捷SAM系统后效果明显，解决如arp欺骗等局域网存在的顽疾。

2 结论

由于高校网络的迅猛发展，为解决全校网络访问通畅，数据存储安全等一系列问题。管理方在制定全面的网络安全策略的同时，在采用上述各种网络安全技术之外，还需要建立完备的针对高校网络的管理制度，培养专门的网络管理人员，并且积极开展用户的网络安全培训，养成用户健康上网的习惯。

只有这样，才能全面地有效实现高校网络信息安全。可靠，稳定的服务于高校教学。另外如有一款产品能对网络进行实时的，全面的包括硬件，线路，数据传输等方面的监测的话，相信这是所有网络管理员共同的希望吧。

参考文献

[1]雷震甲.网络工程师教程[M].北京：清华大学出版社，2006.

[2]吴功宜，吴英.计算机网络应用技术教程[M].3版.北京：清华大学出版社，2009：17-18.

[3]李新，孙中涛.高校校园网安全管理研究[J].现代教育装备，2010.

[4]王维江.网络应用方案与实例精讲[M].北京：人民邮电出版社，2003，11：1-34.

[5]范国果.高校数字化校园整体构建策略与实施[D].山东师范大学，2009，12.

[6]聂武超，张彦兴.802.1x认证技术分析[J].深圳华为技术报，2002（133）.