高校网络中心主任谈校园网络安全

network

高校网络中心主任谈校园网络安全  
管理与技术双管齐下  

   
http://www.media.edu.cn 2007-08-01 作者：本刊编辑部  

条条大道通罗马，权衡轻重很重要--中国人民大学顾涛

关于网络安全，我们首先要对整个网络的安全状况进行评估；其次是对存在的安全隐患进行列表、分析原因；第三是应对何种安全隐患应采取哪些措施，“条条大道通罗马”，可能多种方式多种渠道可以解决出现的安全问题，而我们需要综合考虑安全防范的成本、安全级别及为此所付出的代价；第四是安全措施的部署实施；第五是效果的评估。有人才有手段，权衡轻重缓急进行安全防范，也可以选择第三方来参与。

人大定期做相关的评估，我们现在的措施还比较简单，因为很多应用系统都正在部署开发中，所以安全分级工作还未进行。2003年6月信息化建设论证通过后，我们用一年的时间先进行巩固网络基础平台，平台不稳，谈不上网络应用的部署。这是一个阶段的目标。第二阶段我们才大规模开发应用。在第一阶段中，我们在应用方面主要进行一些修改，并进行拉网式的需求调研。

北京航空航天大学张德生--着手整个网络安全体系的方案实施

我们希望能看到专家对搭建校园网安全体系架构的建议，另外，针对安全体系的某一个环节、某一模块的技术方案也是学校很需要的内容，比如路由器、防火墙、访问控制、入侵检测等等。

对病毒的防范，北航目前通过单机版和网络版两种方式进行，做为客户端，不能进行强制杀毒，只能建议，有些软件可以做到定时地提醒客户端的更新升级及杀毒。

前一段时间我们用了绿盟的一个安全评估体系软件在一个小范围内测试了一下，发现不少问题，但是绿盟的软件太贵,所以，只能自己做。北航目前正在着手整个网络安全体系的方案实施，设计方案和措施都已经有了。这个评估体系方案将在九月底开始实施。

其实技术只是一方面的内容，网络中心遇到的最多的问题还是管理，所谓三分技术，七分管理，关系没理顺，工作开展不起来。

中国农业大学李吉祥技术手段易--好的没人问，坏的有人骂

在网络中心这么些年，就是一个感受：好的没人问，坏的有人骂。好是正常的，但是遇到问题，多方的责难就来了。

比如P2P流量，现在农大是每天一个G，网络负载不起的。流量控制无非两个手段，一是技术，二是经济。技术手段就是利用软件，限死流量，但这个似乎太不人性化了。经济手段是比较人性化的，就是流量收费，超过多少流量，收一定的费用，但是这么做，学生意见很大。

一句话，信息化是一把手工程，需要校领导的重视和支持。

西安交通大学李卫--安全管理难

网络安全只靠某种技术手段不行，要依靠综合手段来提高，简单来说，就是技术加管理。

技术手段是与时俱进,当然能超前最好,但目前普遍的情况还是头疼医头、脚疼医脚。比如用户认证、病毒过滤、垃圾邮件处理、补丁服务器等，都是出了问题再找对策。技术手段上的采用，实质是一个资金投入的问题。

安全管理是认识和机制的问题。安全管理需要一支队伍，维持日常的工作。比如对网络流量及应用的监控和响应，了解网络的动态，了解网络设备、安全设备等的运行情况、日志等。

西安交大拟进一步改进现有的安全风险评估系统，对用户终端进行风险等级的划分，采用强制报警和提示报警的方法，加强管理方与用户方之间的沟通，减轻管理上的负担。这需要整合厂商的产品，并自行开发相应的系统。比如我们安装了CISCO的主交换的IDS，但是IDS误报率高，我们又安装了安氏的ISS及相关的产品，而这些设置产生的报警不同，这都需要进行信息的融合。因此管理人员的作用在安全的各个方面都显得很突出。

校园网的普遍特点是用户量大，因此需要管理人员和用户共同的努力来改进网络环境的安全性，对用户的教育和用户培训也是不可少的。

所以，技术手段易，安全管理难。安全管理需要稳定的队伍、合理的业务流程、全面的投入。技术再先进也是需要人才的。没队伍有设备，就象打仗有武器没有人一样，失败是肯定的。

北京交通大学王锋--困扰多数高校的还是政策和管理上的问题

作为高校的网络安全，我认为在技术层面上各高校所做的工作都差不多，主要就是防火墙、病毒检测、垃圾邮件等方面的内容，而目前更困扰多数高校的还是政策和管理上的问题。打个比方说，网络规模年年扩充而网络中心的人员编制不增加，原有人员的大部分精力都被日常建设和维护工作占用，对于网络安全的关注势必欠缺，很多情况下是被动的，所以大家都叫我们是“消防队”。而我认为应该设专人平时就对全校安全问题进行较深入地研究并主动地查漏补缺，对于可能出现的安全问题进行防范，并从安全角度给领导以管理上的建议。



北京印刷学院岳从远--不同的管理模式会有不同的安全模式

从学校的实践角度来考虑，我认为网络安全不应单纯依靠技术来完成，它是一个系统工程，不同的管理模式会有不同的安全模式。不是所有的技术都能适用于所有的学校，需要整体地评价，要搭建整个的安全体系，包括管理、技术措施。对用户来说，网络本身是方便应用的，但是安全风险的控制与这个应用是一对矛盾，限制越多，越不方便。校园网络安全分两个方面，一是网络安全，包括恶意攻击、病毒等，一是信息安全，包括非法发布，非法入侵等。这两个方面都需要相应的信息管理措施，管理措施得当，采用不多的技术就能很好地解决这些问题。

network

华南理工网络安全解决方案  
要带宽，还要安全  

   
http://www.media.edu.cn 2007-08-01 作者：王涛  


校园网已渐渐成为与高校师生学习、生活息息相关的重要设施。随着时间的推移，校园网开始出现问题，校园网管理人员的烦恼也随之而来。

众所周知，校园网一个典型特征就是应用非常丰富，电影点播，在线音乐、视频聊天、大量软件下载等待，再加上很多高校扩招，师生动辄数万人，如此种种，造成网络的负载非常重，校园网带宽面临的挑战可想而知；此外，攻击网络的病毒不断泛滥，以及学生“好事者”也会有意地攻击网络，他们往往并非为了某种“恶毒”的目的来攻击网络，而是出于好奇或者“表现”。任务如此繁重的网络一旦因攻击而造成瘫痪，损失将会是很大的。

总体来说，目前很多校园网面临的问题主要集中在两个方面，一是带宽，二是安全。华南理工也不例外。



打造万兆核心交换能力

华南理工大学现有计算机网络用户已高达5000-10000户，计算机网络计划容量为20000用户。要充分满足学校内部教学、科研、工作、生活所需要的高速、高安全、高性能网络系统要求，保证每一个上网端口都能够达到高速率，整个网络系统核心层承受的压力之大可想而知，万兆应用显然是必然之举。

项目承建方神州数码针对这样庞大的一个网络，提出了五层的结构，分别为接入层、汇聚层、策略管理层、核心层和边界路由层。通过构建清晰的层次结构，不仅使校方达到便于管理的目的，而且针对每个层次可以进行模块化分析，对统一管理网络和维护非常有帮助。神州数码网络公司核心交换设备高背板交换处理能力的优越性在此得到了充分体现。

根据学校的实际情况，结合多年服务高校的经验，神州数码网络认为在网络建设过程中，要把握一个重点、一个难点的解决，即确保“一次路由，多次交换”、“路由等于交换”，并采用高核心设备和接入设备完成接入，才能将整个网络建设得更有生命力。

因此神州数码采用3台具有电信级网络安全性能的核心路由交换机MG8，提供整个高速网络骨干交换子平台的核心交换；采用信息中心放置2台MG8核心交换机组成一个双机热备份的核心交换机系统解决方案。

神州数码DCRS-MG8用来提供整个网络系统核心路由、交换的需要，所有模块实现热插拔、端口冗余、链路冗余、电源冗余、802.1W(802.1S)环路、散热冗余等安全功能，充分发挥了核心交换机具有的电信级网络安全性能。

另外，由于核心交换机系统要为整个校园网提供核心的交换、路由，对其自身的性能要求是非常高的，神州数码核心路由交换机MG8 提供1.28Tbps 的背板交换容量，实现L2/L3/L4多层包转发率是480MPPS，为核心交换机最大可容纳的模块数8个、最大1000M以太网端口数320个、最大10G以太网端口数32个等强大的、高带宽的网络接口连接，为现在校园网中所有教学楼、宿舍等楼群内网络用户10G主干上联提供了条件。

在一期的建设中，神州数码网络建议在新、老校区之间增加边界路由层，采用万兆连接，保证网络的畅通；新校区的两台核心设备之间采用4条千兆链路，形成全双工8G的带宽；而新校区与大学城核心采用千兆利连接，如果流量大时，可以通过链路聚合技术，将带宽增加到2G或者4G，保证网络的高速。

未来的网络二期扩容只需添加万兆模块，就可以将网络升级到万兆，而不再需要重新购置核心交换机，便可以实现网络的平滑升级，达到保护用户投资的目的。



支持IPv4/IPv6

网络的核心设备 MG8提供丰富的 IPv6 功能集，允许用户开始向 IPv6 的升级过程。IPv6 实施方案保留了许多 IPv4 的基本属性；同时提供全新的能力、更高的灵活性并能够应对从 IPv4 继承来的主要挑战，其中包括用户增长，服务质量以及安全性。核心设备 MG8的 IPv6 特性集包括为提供平滑升级和支持双堆栈环境而设计的特性。



网络中数据流易管理

SFlow（RFC 3176）是基于标准的最新网络流量监控协议，能够解决当前网络管理人员面临的很多问题。SFlow已经成为一项线速运行的“永远在线”技术，利用嵌入到网络交换机ASIC芯片中的功能，实时监控网络中的数据流量。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，SFlow能够明显地降低实施费用，同时使实施面向每一个端口的全企业网络监视解决方案成为可能。



3D-SMP方案打造“内外兼固”的安全网络

安全性表现在两个方面，一方面是设备本身的安全性能，另一方面是整个网络的安全防护能力。在设备本身的安全性方面，神州数码提供的核心路由交换设备，具有电信级的安全性，拥有99.999%的可靠性，保证全年故障时间不超过5分钟;而冗余设计，保证了7×24小时的无故障运转。在整个网络的安全防护方面，3D-SMP是目前国内校园网方面最好的安全方案之一。

3D-SMP（Dynamic Distributed Defense--Security Management Policy），又称“动态分布式防御安全管理策略”。 3D-SMP保留了神州数码网络原有的D2SMP解决方案的特点，增加了设备之间的联动能力，使网络的安全管理比以往更加周密，反应的速度比以往更加迅速。

3D-SMP有两个核心的思想，即“动态”和“联动”。“动态”是指3D-SMP可以针对不同的安全问题制定相应的策略，无论病毒什么时候、从什么网络中、哪个环节、以什么面目出现，系统都能调用安全策略体系当中的合适手段，阻止事故的进一步发生。“联动”是3D-SMP的精华，为解决信息安全孤岛的问题，神州数码网络研发了SAOP（Security association operation protocol）安全联动操作协议，SAOP协议具有良好的开放性和加密性，使得GSM、交换机、路由器、IDS和客户端等网络组件之间实现联动，牵一发而动全身。当来自于网外的攻击出现时，IDS侦测并确认之后，将通知防火墙断开相应端口，迫使网外用户无法访问网络；而当IDS侦测到内部用户的电脑出现非法访问或者类似于病毒广播等行为时，将通过DCBI向用户发出通知，严重情况下，DCBI将联动接入交换机，关闭端口，强制用户下线，从而保护整个网络的安全稳定运行。

实现“动态分布式防御安全管理策略”有赖于神州数码网络基于高校校园网应用的全线网络产品。分布式安全管理主要集中在汇聚层和接入层，神州数码网络可提供包括新推出的DCRS-5824GX、DCRS-5512GC、DCRS-3926S/3950S、DCS-2000E系列在内的丰富网络产品。这些产品在具备出色性能的同时，更重要的是都支持多种认证接入方式；同时结合其认证计费系统DCBI-3000、DCBA-3000W和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。而目前神州数码网络产品在用户认证方面做的十分周到，通过灵活的用户信息多元绑定（帐户、密码、MAC地址、IP地址、交换机IP、接入端口、VLAN ID、DHCP SERVER等）技术，使得无论在校园网何处，都能准确识别用户身份，从而做到从设备管理到用户管理的层面。

采用了这样一套方案，使得华南理工在几次周边院校发生病毒危害时，受到的影响很小，充分体现了3D-SMP的优势，它使整个校园网显得安全、有序。

network

http://www.media.edu.cn/wang_luo_an_quan_5177/

network

浅谈校园网安全控制策略

[日期：2007-02-04]

来源：   作者：齐蕾

[字体：大 中 小]

[摘 要]数字化大学已成为当前各高校信息化建设发展的主要目标。校园网络作为信息化建设的主要载体，校园网络安全已经成为当前各高校网络建设中不可忽视的首要问题。文章基于当前高校网络安全的现状及特点，提出相应的控制策略。
[关键词]网络；安全策略；数据；访问

1引 言
随着我国经济与科技的不断发展，教育信息化、校园网络化作为网络时代的教育方式和环境，已经成为教育发展的方向。随着各高校网络规模的急剧膨胀，网络用户的快速增长，校园网安全问题已经成为当前各高校网络建设中不可忽视的首要问题。
2目前高校校园网络的安全现状
2.1操作系统的安全问题
目前，被广泛使用的网络操作系统主要是UNIX、WINDOWS 和Linux等，这些操作系统都存在各种各样的安全问题，许多新型计算机病毒都是利用操作系统的漏洞进行传染。如不对操作系统进行及时更新，弥补各种漏洞，计算机即使安装了防毒软件也会反复感染。
2.2病毒的破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪，是影响高校校园网络安全的主要因素。
2.3黑客
在《中华人民共和国公共安全行业标准》中，黑客的定义是：“对计算机系统进行非授权访问的人员”，这也是目前大多数人对黑客的理解。大多数黑客不会自己分析操作系统或应用软件的源代码、找出漏洞、编写工具，他们只是能够灵活运用手中掌握的十分丰富的现成工具。黑客入侵的常用手法有：端口监听、端口扫描、口令入侵、JAVA炸弹等。
2.4口令入侵
为管理和计费的方便，一般来说，学校为每个上网的老师和学生分配一个账号，并根据其应用范围，分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人，用不正常的手段窃取别人的口令，造成了费用管理的混乱。
2.5非正常途径访问或内部破坏
在高校中，有人为了报复而销毁或篡改人事档案记录；有人改变程序设置，引起系统混乱；有人越权处理公务，为了个人私利窃取机密数据；一些学生通过非正常的手段获取习题的答案或在考前获得考试内容，使正常的教学练习失去意义。这些安全隐患都严重地破坏了学校的管理秩序。
2.6不良信息的传播
在校园网接入Internet后，师生都可以通过校园网络在自己的电脑上进入Internet。目前Internet上各种信息良莠不齐，有关色情、暴力、邪教内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规，对世界观和人生观正在形成的学生来说，危害非常大。
2.7设备受损
设备破坏主要是指对网络硬件设备的破坏。校园网络涉及的设备分布在整个校园内，管理起来非常困难，任何安置在不能上锁的地方的设施，都有可能被人有意或无意地损坏，这样会造成校园网络全部或部分瘫痪的严重后果。
2.8敏感服务器使用的受限
由于财务等敏感服务器上存有大量重要数据库和文件，因担心安全性问题，不得不与校园网络物理隔离，使得应用软件不能发挥真正的作用。
2.9技术之外的问题 校园网是一个比较特殊的网络环境。随着校园网络规模的扩大，目前，大多数高校基本实现了教学科研办公上网，学生宿舍、教师家庭上网。由于上网地点的扩大，使得网络监管更是难上加难。由于高校部分学生对网络知识很感兴趣，而且具有相当高的专业知识水平，有的研究生甚至研究方向就是网络安全，攻击校园网就成了他们表现才华，实践自己所学知识的首选。其次，许多教师和学生的计算机网络安全意识薄弱、安全知识缺乏。学校的规章制度还不够完善，还不能够有效的规范和约束学生、教工的上网行为。3 校园网络安全策略
安全策略是指一个特定环境中,为保证提供一定级别的安全保护所必须遵守的规则。安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么,制定恰当的满足需求的策略方案,然后才考虑技术上如何实施。
3.1 物理安全策略
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:
3.1.1 环境安全。对系统所在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。

network

浅谈校园网安全控制策略
[日期：2007-02-04] 来源：  作者：齐蕾  [字体：大 中 小]  

3.1.2 设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
3.2 访问控制策略。访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。
3.2.1 入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源；控制准许用户入网的时间和准许他们在哪台工作站入网。
3.2.2 网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源; 可以指定用户对这些文件、目录、设备能够执行哪些操作。
3.2.3目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定对目录下的子目录和文件的权限。
3.2.4 属性安全控制。当用文件、目录和网络设备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。
3.2.5网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或破坏数据; 可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。
3.2.6网络监测和锁定控制。网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。如果不法之徒试图进入网络, 网络服务器应会自动记录企图尝试进入网络的次数, 如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。
3.2.7 网络端口和节点的安全控制。端口是虚拟的“门户”, 信息通过它进入和驻留于计算机中, 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户, 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制, 用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器) 。在对用户的身份进行验证之后,才允许用户进入用户端。然后, 用户端和服务器端再进行相互验证。
3.3 防火墙控制策略
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统(可能是软件或硬件或者是两者并用) , 用来限制外部非法(未经许可) 用户访问内部网络资源，通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。
3.4 信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护; 节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下, 信息加密是保证信息机密性的唯一方法。
3.5网络入侵检测技术
试图破坏信息系统的完整性、机密性、可信性的任何网络活动，都称为网络入侵。入侵检测（IntrusionDeteetion）的定义为：识别针对计算机或网络资源的恶意企图和行为，并对此做出反应的过程。它不仅检测来自外部的入侵行为，同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略，它所提供的数据不仅有可能用来发现合法用户滥用特权，还有可能在一定程度上提供追究入侵者法律责任的有效证据。
3.6备份和镜像技术
用备份和镜像技术提高完整性。备份技术是最常用的提高数据完整性的措施，它是指对需要保护的数据在另一个地方制作一个备份，一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作，若其中一个出现故障，另一个仍可以继续工作。
3.7有害信息的过滤
对于校园网络，由于使用人群的特定性，必须要对网络的有害信息加以过滤，防止一些色情、暴力和反动信息危害学生的身心健康，必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。
3.8网络安全管理规范
网络安全技术的解决方案必须依赖安全管理规范的支持, 在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度; 制定网络系统的维护制度和应急措施等。
4结 语
　　校园网络的安全问题，不仅是设备，技术的问题，更是管理的问题。对于校园网络的管理人员来讲，一定要提高网络安全意识，加强网络安全技术的掌握，注重对学生教工的网络安全知识培训，而且更需要制定一套完整的规章制度来规范上网人员的行为。