浅议高校校园网安全体系构建 校园网登录页面

　　摘要：随着计算机网络技术的快速发展，校园网已经成为高校的教学、科研的主要支撑，校园网安全状况直接影响着高校的教学和科研活动。基于大学校园网络安全进行调研和需求分析的基础上，综合性地描述了校园网络安全系统的建设。
　　关键词：网络安全；可靠性；安全体系
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)18-4367-02
　　Analysis of the University Campus Network Security System
　　TANG Chao
　　(Guangzhou Vocational College of Science and Technology, Guangzhou 510550,China)
　　Abstract: With the rapid development of Internet technologies, university campus network has become the most important means to sup port university teaching, research and reform，but the security situation in the campus network directly affect teaching in schools，therefore，study the campus network security Construction of the system ,give a comprehensive description of the construction of the campus net work security system.
　　Key words: network security；reliability；security system
　　随着互联网技术的发展，校园网不仅只提供上网服务，而且已经成为教学和科研的主要辅助工具。现在各大学正在推行的数字化校园建设。希望能够根据本校实际情况，建设一个集性能和安全于一体的校园网。随着网络应用的扩展，计算机安全问题也越来越多，例如病毒的泛滥、黑客的入侵，影响学生心智的不良信息等，成为校园网建设中不容回避的问题[1]。
　　 1当前高校校园网在的特点
　　高等院校均已建设了自己的校园网，基本上按照核心层采用万兆或千兆，汇聚层采用千兆，终端用户百兆方式相连。但在整个校园网中缺乏对信息和设备安全保护的措施，再加上校园内用户非常集中，一旦出现信息安全事件将会快速扩散，直接影响学校教学和科研[2]。由于校园网作为学校教学和科研的平台，所以校园网不可能部署较严的限制策略。高校的学生通常对网络新技术非常好奇，并付诸行动，可能会有意无意对校园网形成威胁。学生喜欢从网上下载各种软件进行尝试，而下载的软件中可能捆绑木马、病毒程序，导致校园网被攻击和入侵。影视资源在校园网传播，侵占了校园网带宽同时也带来了安全的隐患。数字化校园的建设，学生成绩管理、财务系统、办公自动化系统等应用，对网络安全要求很高。
　　 2校园网络安全威胁
　　网络蠕虫病毒的肆虐，可能会使校园网瘫痪，比如前几年的冲击波、震荡波病毒。
　　协议安全漏洞，比如有同学利用地址解析协议（ARP）的漏洞进行中间人欺骗的攻击。
　　软件系统的漏洞，许多病毒就是利用软件系统的漏洞来进行攻击和传播的。比如黑客常常使用缓冲区溢出漏洞进行攻击[3]。
　　非授权访问，有同学利用黑客技术窃取考试题库，或非法修改考试成绩，严重影响教学。
　　网络监听，使用一些网络监听工具，非法获取他人账号和密码信息。
　　网络系统设计缺陷，比如核心服务器、核心网络设备的单点故障。
　　 3校园网的安全设计
　　从网络安全管理角度来看，网络安全的目标则是要实现“4W”控制，即掌握什么人(Who)、在什么地点(where)、在什么时间( when)、正在干什么(what)。校园网的整体设计采用层次化的网络结构，即校园网由核心(Core)层、汇聚(Distribution)层和接入(Access)层构成。这种设计利于当局部网络变化时不影响整个网络，同时也利于及时发现和隔离网络故障。从校园网的安全管理上来看，校园网包括边界安全模块、核心安全模块、接入安全模块、网络安全管理模块、服务器安全模块四部分。下面分别分析各安全模块面临的威胁和相应的安全解决方案。
　　3.1边界安全模块
　　边界网络起到连接校园网和国际互连网 （Internet）的桥梁作用，所面临的安全威胁有黑客入侵、网络病毒传播与黑客的攻击。可使用的解决方法有：在内外网边界设置防火墙，通过制定规则实现内外网的隔离来达到保护校园网的安全；在网络边界部署NAT技术，隐藏校园网内部的网络结构以避免黑客的直接攻击；应用多重安全网关技术，使用统一威胁（Unified Threat Management）安全网关设备，以抵御常见的入侵与病毒；在网络边界部署内容审计，对学生访问和发布的内容进行审计、实时监控并作好日志记录。
　　3.2核心安全模块
　　核心层的功能主要功能是实现骨干网络之间的优化传输，冗余能力、可靠性和高速的传输。所面临主要安全威胁是网络设备单点故障。为解决网络设备的单点故障问题，在所有的核心网络设备配置双电源和UPS设备，防止因为电源故障而导致校园网瘫痪；核心层网络设备采用多节点组网来达到提升性能和提供冗余容错能力，多台核心交换机之间采用网状拓扑进行连接，以防止单链路或单台设备出现故障而引起大面积网络故障；在核心网络设备配置热备份路由协议（HSRP）或虚拟路由器冗余协议（VRRP）来应对的网络设备单点故障。即使其中的一个核心网络设备失败的情形下仍能维护网络的连通性。