校园安全防护及网络管理论文

摘要：本文在分析高校校园网安全现状及潜在的威胁的基础上，结合当前的网络安全技术，就如何建构一套完善可行的高校网络安全体系作了详细分析，并提出了保障校园网安全的措施。下面小编整理了一些《校园安全防护及网络管理论文(精选3篇)》，欢迎大家借鉴与参考，希望对大家有所帮助！

校园安全防护及网络管理论文 篇1：

构建安全的校园网

摘要：近年来随着高校信息化建设的高速发展，校园网的安全问题也日益突出。该文就如何建构一套完善可行的高校网络安全体系作了详细的分析，并提出相应的安全策略与解决方案。

关键词：校园网；安全体系；建设

Construction of the Campus Network Security

TAO Liang, GUO Lin

(Jinling Institute of Technology Network Information Center,Nanjing 210000,China)

Key words: campus net; safety system; constraction

1 引言

随着网络技术应用的推广普及，应用层次的不断深入，网络应用领域也正从传统的、小型业务系统向大型、关键业务系统扩展。网络所具有的开放性、国际性和自由性在增加应用自由度的同时，也为网络安全增加了更多的风险，网络安全正日益成为影响网络效能的重要因素。如何建构一套完善可行的高校网络安全体系，也是校园网建设过程中所必须考虑的重要事情之一。

2 安全防护体系建设

信息安全系统由物理安全、信息安全、系统安全、终端安全等多部分构成。

物理安全主要是保障网络的物理环境、网络设备、数据介质及其它相关物理实体的安全。其主要目的是为各种应用系统提供一个安全的物理运行环境，提供可靠的物理保障。

网络安全主要是保证网络结构的安全，对网络设备进行安全配置、在网络层加强访问控制能力；加强对攻击的实时检测能力；加强网络病毒的防范能力。

接入安全是对为了防止网络遭受潜在的破坏性攻击（来自内部的有意或者无意的攻击）而设计，可以解决大部分内部网络安全问题，包括威胁防御、病毒防范、身份验证、访问授权和安全通信等。

系统安全是指保障应用系统的正常运行。它建立在物理安全和网络安全的基础之上，主要包括系统的终端安全、统一病毒防护管理、操作系统安全、数据库系统安全、应用服务安全几个方面。

终端安全是整个信息安全体系中最脆弱的部分，也是最易被利作的部分，因此需要对终端安全进行重点防护。终端安全包括终端用户、终端用户的补丁升级管理、终端资产管理、终端软件管理几个方面。

2.1 物理安全

保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。 对于校园网物理层的安全策略与解决方案主要考虑以下两个方面：

1)物理访问控制方面

校园网需建立基于网络系统的数字化视频监控系统，部分重点区域采用红外线报警系统。对主机房及重要信息存储系统，首先要保证重要地点的安全防范工作，如：非工莫入、出入记录、录像监控、门磁、窗磁、红外报警等。以上非工莫入、出入记录可以采用IC卡技术、指纹技术等来实现，可以做到实时记录，方便查询等优点。

2)物理安全方面

对主机房及重要信息存储等重要部门来说，一旦电源发生故障，就会造成信息的丢失，正常工作无法进行。通常，网络主机房内部会部署专用UPS等，因此需要考虑的是对UPS的合理监控与维护。

另外，电源质量对用电设备的使用寿命、安全等有重大影响。在电源系统中，存在尖峰、浪涌等情况，一旦发生会使用电设备处于危险境地，为避免因电源质量而造成不安全因素，可以采用电源净化系统。另外还需要考虑安全接地问题与防雷问题。

2.2 网络安全

网络安全是校园网安全的核心和灵魂，在这里需要考虑以下的安全策略与解决方案。

1)网络边界防护

对内部网络不同的安全区域有不同的安全需求，做不同的安全访问控制措施。

对于广域网的安全接入，要考虑使用防火墙的机制来完成访问控制。

对于Internet的安全接入,建议才用具有防火墙和IPS功能的UTM设备完成访问控制。

对于数据中心（服务器群）区域,通过采用服务器接入交换机，双链路上连核心交换机清晰划分出服务器安全域，同时通过防火墙技术对服务器区域进行安全防护。

2)入侵检测与防御

建立网络安全主动防御机制，采用入侵检测和入侵防御系统对校园网网络的重要网段提供主动性的安全保证措施。

3)网络设备安全加固

加强网络设备的自身安全就是保证网络基础设施的安全性。通过对校园网网络中所有的网络设备进行安全加固，提高网络设备自身的安全性。

4)网络设备和服务器的身份认证

为了保证校园网内部网络中重要的网络设备（路由交换）服务器和其它的网络设备的有序管理，校园网络通过802.1X进行集中式的身份认证。

2.3 系统安全

对于校园网网络安全的系统安全，在这里我们需要考虑以下的安全策略与解决方案：

1)建立完善的防病毒体系

在校园网网络中配备网络版的防病毒系统进行文件病毒的防护。将校园网现有的网络版防病毒系统升级到统一版本，并布署统一防病毒管理和监控平台。

2)邮件系统安全

校园网在建立安全邮件系统的同时，必须考虑对垃圾邮件的防御。

3)系统的加固

通过对校园网网络中各系统进行安全评估，根据评估报告，针对各系统的漏洞进行配置加固和完整。包括操作系统的配置加固、数据库系统的配置加固以及各应用系统的配置加固等。

2.4 终端安全

对于校园网网络来说，终端设备的安全建设主要从几个方面来进行：

终端资产的管理。包括：终端软、硬件、应用程序以及相关责任人，让管理员能够随时了解终端资产的状况；

终端安全策略的管理。包括：审计策略、帐户策略、密码策略、服务及端口开放策略、注册表安全策略等。通过建立一套安全策略基线，可以大大降低终端自身的脆弱性，提高抵御能力；

终端安全补丁的分发和管理。实现Windows补丁的及时更新，避免由于安全漏洞而引起的风险；

终端访问控制管理。包含两个方面的内容：a、通过个人防火墙或者其他设备，防止外部系统对终端主机的分发访问；b、限制终端主机对外部资源的非法访问，或者，作为一种对不遵守学校安全策略用户的惩罚性措施；

终端访问行为审计。对于用户的访问行为进行相关的记录，同时，能够集中的存储和统计、查询用户访问行为，保障出现问题的时候能够进行有效的审计和定位。

终端安全防护和管理。对于整个校园网的终端系统来讲，统一采用一个安全控制手段，统一的安全策略来保障终端系统自身的安全，提升整个的安全防护水平。并使得整个校园网的终端系统安全做到可控和可管理。

3 安全检测体系建设

3.1 漏洞扫描

由于入侵手段的日益复杂和常用系统出现的安全缺陷，分析网络系统对破坏的抵抗能力有助于保障安全。漏洞扫描分析系统当前的设置和防御，指出潜在的安全漏洞，以改进系统对入侵的防御能力。漏洞扫描技术主要是用来评估计算机网络系统的安全性能,是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供安全性分析报告，为提高网络安全整体水平产生重要依据。

漏洞扫描系统安全检测涉及到网络中的防火墙、路由器、主机（MS Windows、 LINUX 、SUN Solaris、HPUX 等）漏洞及开启的服务，文件的内容和配置以及系统安全补丁等问题。应用漏洞扫描系统可以提前警告网络系统中的弱点所在，防止黑客入侵和内部人员的误用，是维护网络系统信息安全的好帮手。

为了能对全网的安全水平有所了解，并且能及早发现网络上存在的问题，对全网的安全做比较全面评估，在校园网网络中配置布署一套漏洞扫描软件，对所管理的服务器、主机、网络设备、安全设备进行扫描，生成扫描评估报告，对不同的业务系统采取不同的扫描策略进行分析扫描，从网络的内部、外部对整个网络进行分析评估，生成分析报告，以供网络管理人员分析，以制定出针对全网的合理的安全防护策略。

3.2 安全评估

3.2.1 扫描评估

在安全评估服务中我们将借助先进的评估工具和科学的工程方法，对客户信息系统进行测试、扫描，发现已经存在或可能存在的信息系统安全威胁，并形成客户信息系统安全威胁评估报告。

扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。扫描的方式可以采用网络扫描和主机扫描。

基于网络的扫描工具是通过网络远程探测其他主机的安全风险与漏洞。

基于系统的扫描工具主要关注软件所在主机或网络设备上的风险与漏洞。

3.2.2 人工评估

为了弥补工具扫描的不足，通过人工的方式对系统的安全性各方面进行检查，主要的人工分析包括：

1)安全配置检查

系统管理和维护的正常配置，合理配置及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

2)安全机制检查

安全机制的使用和正常配置，合理配置及优化配置。例如日志及审计、备份和恢复，签名与校验，加密与通信，特殊授权及访问控制。

3)文档调查

相关文档包括系统开发的安全需求文档，应用开发文档，相关安全策略及安全管理制度等。

4)问卷调查及访谈

通过问卷调查及访谈的方式，明确关键资产的业务职能，现有的安全策略以及实际的安全需求，全面了解系统的安全现状及运行状况。

3.2.3 渗透测试

完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透性测试的目的是为了找到系统中隐藏的安全漏洞，能够直观的让管理人员知道自己网络所面临的问题。

渗透性测试涉及到以下内容：系统帐户检查、系统日志检查、后门进程检查、木马程序检查、本地溢出程序检查、信任主机检查、攻击来源检查。

4 校园网安全管理

“三分技术，七分管理”是网络安全领域的一句至理名言，在安全业界，安全重在管理的观念已被广泛接受，因此，对用户安全管理、安全制度等问题的建议也应当作为安全解决方案的重要组成部分。国际上，以ISO17799/BS7799为基础的信息安全管理体系已经确立，并已被广泛采用。校园网应以此为标准进行网络信息系统的安全现状评估、安全策略与安全制度建立等。通过加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系发挥应有的作用。

4.1 网络设备的口令管理

校园网网络设备的口令可分为重要口令和普通口令。重要口令包括各级路由器的特权口令和各主机的超级用户口令。普通口令包括各级路由器的普通口令和各主机的普通帐号口令。

重要口令必须定期更换，重要口令应只限于必需的相关人员掌握。不得传递给任何其他人。各级口令不得以任何形式的明文存放在连入互连网的主机电子文档中。各级口令不得以明文形式在电子邮件、传真中传播。

工程施工、厂商技术支持完成后，相关的各级用户口令必须尽快修改。掌握口令的重要网络管理人员离开岗位后，有关的各级用户口令必须尽快修改。

4.2 配置数据备份

网络系统的备份工作是系统出现故障、甚至崩溃时的重要恢复手段，是安全工作的重中之中，必须高度重视。

网络所有路由器配置均应保留备份，一般应放置在安全的tftp server中，(tftp server平时关闭，用时方可打开)同时将路由器配置以txt文件复制放置在安全的电子文档中，若路由器路由配置有所变动，应待路由器运行稳定后将路由器配置重新备份。

4.3 网络攻击和入侵应急处理

对于一个完整的安全体系，还必须建立相关的应急机制。网络管理人员在发现可疑网络攻击和入侵迹象时，必须尽快处理并记录。情况严重时，必须尽快联系网络安全管理人员取得技术支持。

4.4 网络安全负责人与电子邮件通报制度

信息中心必须指定专门人员负责网络安全工作并备案。在其工作变动或者长期出差时，必须指定接替人员，并作好交接工作。

电子邮件和网络安全站点是各级领导、网络安全管理人员、网络管理人员、网络安全负责人等之间进行及时有效的交流沟通的重要手段，它们互为补充。

5 结束语

校园网安全建设是一项非常复杂的系统工程，不是纯粹的技术问题，也不是简单产品与技术的堆砌，而是策略、技术与管理的综合。安全策略是校园网安全最核心的问题，是整个校园网安全建设的依据；安全技术包含工具、产品和服务等，是实现校园网安全的有力保证；安全管理主要是人员、组织和流程的管理，是实现校园网安全策略和技术手段的得以成功应用的前提。另外值得我们注意的是，由于安全问题的日趋复杂, 加之校园网自身的情况也在不断地发展变化，因此校园网安全防范没有一劳永逸的方法，只有每个人都参与并坚持不懈地努力才能确保它的有效性和先进性。

参考文献：

[1] 秦宗全,于咏梅,等.校园网络安全防范体系研究[J].计算机时代,2007(2):16-18.

[2] 陈文冠,曹亮, 陈兴华.高校校园网信息安全的研究[J].科技管理研究.2007(2):207-209.

[3] 王达.网管员必读——网络安全[M].北京:电子工业出版社,2005.

作者：陶　亮　郭　林

校园安全防护及网络管理论文 篇2：

高校校园网安全体系的建构与实施

摘 要：本文在分析高校校园网安全现状及潜在的威胁的基础上，结合当前的网络安全技术，就如何建构一套完善可行的高校网络安全体系作了详细分析，并提出了保障校园网安全的措施。

关键词：校园网 安全体系 措施

随着我国经济与科技的不断发展，教育信息化、校园网络化已经成为教育发展的主方向，校园网已成为高校日常教学、科研、管理、生活必不可少的工具和手段，并发挥着越来越重要的作用。校园网的安全、可靠、畅通的运行，直接影响到高校日常工作与生活的开展，构建完善的网络安全防护体系就显得尤为重要，如何合理构建该体系，已成为当前的重要建设内容和研究课题。

一、高校校园网安全状况

我国高校目前的校园网普遍建于2000年后，多以计算机辅助教学、办公自动化、计算机校园文化为核心，物理上覆盖学校行政楼、教学楼、实验楼、图书馆、教工宿舍、学生宿舍等楼宇，实现信息资源共享，满足教学、科研和管理工作需要。随着中国教育与科研网工程的快速发展，高校网络的不断扩建和升级，关键性应用的普及和深入，校园网络从最初的教育、科研的试验网转变成教育、科研和服务并重并带有运营性质。

随着校园网网络用户的快速增长，网络管理的难度越来越大，网络的不安全因素也慢慢凸现出来，威胁着网络的业务运转和网络信息安全，主要体现在：

（1）来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网，内部教职工以及学生可能在无意识的情况下成为计算机病毒的传播者；

（2）内部用户对Internet的非法访问威胁，如浏览色情、暴力、反动等网站，以及下载和使用可能有缺陷的软件，而将木马、后门（backdoor）、蠕虫等恶意程序带入校园网；

（3）部分用户可能利用间谍软件对网络及服务器发起DOS/DDOS攻击，导致网络及服务瘫痪；

（4）越来越多的垃圾邮件充斥邮箱，严重影响正常邮箱业务的开展；

（5）可能会因为校园网内管理人员以及部分师生的安全意识不强、管理制度不健全，给校园网带来潜在的威胁。

二、校园网安全体系的建构

当网络受到来自各方面的攻击时，由防病毒软件和防火墙等独立安全产品堆砌起来的措施极有可能出现许多漏洞，处处遭受攻击。可以预言，面对复杂的安全隐患，这种“各自为战”的安全系统将彻底失去效力。面对这种挑战，我们必须清醒地认识到：今天的网络信息安全技术与各种安全隐患之间进行的是一场深入、多层次的“对抗”。为彻底扭转这种“各自为战”的被动局面，应该使用全局化、智能化的安全网络体系代替陈旧的安防措施。

1．校园网安全体系的构成

由于各院校机构设置和技术能力的不同，其实施的安全管理方案也有所区别。我们根据校园网的结构特点及面临的隐患，将校园网安全管理总结为两个方面：第一，物的方面，即网络安全设备方面；第二，人的方面，即网络管理员和用户。

网络安全设备方面由流量监测管理、防火墙、防病毒、系统漏洞扫描、入侵检测、认证系统和数据备份等七方面构成，如图1所示。

网络管理员和用户方面，主要由安全管理体制的建设、安全意识的培养和安全管理平台的运作三方面构成，如图2所示。

2．校园网安全体系的实施

（1）系统层面的安全，包括硬件系统的安全和软件系统的安全

硬件系统的安全主要包括环境、设备及线路的安全。要建立完备的安全管理制度，重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理；网络设备硬件实体和通信链路要免受自然灾害（防雷、防电、防震等）、人为（盗窃、破坏）和搭线攻击；各种通信线路尽量实行深埋、穿管或架空，并做明显标记，防止无意的损坏；系统中心或机房的建设应严格按照国家和行业的相关规范来设计和施工。

软件系统的安全主要解决的是由于各种操作系统、数据库及相关产品的安全漏洞造成的威胁。根据经验可采用以下几种技术手段来解决：

1）利用系统自身的检查和更新机制或第三方可信任软件，定期或不定期地对系统进行查漏补缺，如升级、打补丁等；

2）将常见的容易被病毒、木马等攻击的端口关闭，并关注最新的病毒资讯进展，及时跟进和更新。

（２）网络安全设置

校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种网络间的互联带来的安全问题要引起足够的重视。我们主要从以下几个方面来做好防范工作：

1）加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制，如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤，可有效地解决需求中提到的多种威胁。用户终端也建议安装个人版的安全软件产品。

2）网络规划。如果同一局域网内有不同等级的安全域，可以通过子网规划及VLAN划分以及设置ACL（访问控制列表）的方法加以控制。如在学生机房和学校办公网络之间可以通过划分子网来控制，不允许学生机房的机器访问办公网络。

3）防止内外网的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS），防止来自网络内外的攻击。

4）建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理、查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。

5）定期的网络安全性检测，实现持续安全。定期组织相关部门对系统进行安全性评估，及时发现安全隐患并实时修补，以达到网络的相对持续安全。

（３）应用层面的安全

对于应用层方面的安全措施主要有以下几点：

1）建立身份认证系统。区分校内和校外用户使用校园网资源的不同，分别采取相应的认证手段，只有授权用户方可进入网络，有效保障网络的安全。

2）建立安全审计系统。借助认证资料和日志信息，建立审计系统，且审计结果具权威性，并以多种形式的报表实时呈报给管理者，做到有据可查。

3）建立数据备份系统。备份系统是网络安全的最后一道屏障，万一出现意外情况，可以在最短时间内将网络信息还原，将损失减到最小。

4）针对垃圾邮件泛滥的情况，配合邮件系统来架设邮件网关，加强电子邮件安全性，采用先进的邮件过滤技术对垃圾邮件实行拦截和过滤。

5）对于学生机房、实验室等集中上网的区域，考虑用代理的方式实现共享上网，在提高访问速度的同时也便于安全方面的控制。不建议为图方便而使用还原卡，因为那样容易形成安全管理的漏洞，无法保存任何安全日志等信息。

（４）管理层面的安全

常言道：“三分技术，七分管理”。安全管理是保证网络安全的前提，安全技术是配合安全管理的措施，实现管理层的安全主要注意以下几点：

1）建立、健全安全管理体制。校园网用户较多，一定要建立一套合理可行的安全管理制度，做到“有法可依”。只有制度和设备的完美结合才能真正提高校园网的安全水平。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定，很多学校以安全管理规定、安全条例、安全管理办法等形式发布。

由于安全管理工作的复杂性，不可避免会涉及各院系、部门的人员和业务，因此必须由学校具有决策权的机构和领导组织和协调各部门的管理工作，成立信息安全管理委员会和相应的执行机构。另外，安全管理各项措施的实施，单纯依靠网络中心的力量也是不现实的，院/系/处/宿舍区管理分级、重要信息（权限、密码等）实现专人专职负责的组织体系建设非常有必要。

2）提高全员的安全意识。安全意识的培养是关键，有统计显示，对网络的攻击有70%以上来自网络内部。所以，要加强对使用人员的管理，包括用户和管理员，做到“有法必依”。对于用户，必须进行网络安全意识的教育和培养，提高遵守相关的安全制度的自觉性，增强整体安全防范能力；对于管理人员，要定期进行培训，以提高其专业素质，使其具有较高的网络管理水平，做到对网络的较科学的监控和管理，将出现威胁的可能性降到最低。

3）建立安全管理平台。将各种安全系统或设备集中监控、综合分析。安全制度告诉用户哪些行为是允许的、哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。这里，安全管理平台担当着裁判的角色，做到“执法必严，违法必究”。

综上所述，典型的校园网络安全体系结构如图3所示。

三、结束语

校园网的安全问题是一个较为复杂的系统工程，从严格的意义上来讲，没有绝对安全的网络系统。随着计算机技术的飞速发展，网络的安全有待于在实践中进一步研究和探索，其过程是漫长而又充满挑战的。安全防范没有一劳永逸的方法，我们需要综合各种技术和措施，找到确保网络安全与效率的平衡点，建设一个安全、可信的网络环境。

参考文献：

[1]信息管理系列编委会.网络安全管理[M].北京：中国人民大学出版社,2003．

[2]Andrew S.Tanenbaum.潘爱民译.计算机网络[M].北京：清华大学出版社,2004．

[3]赵小林.网络安全技术教程[M].北京：国防工业出版社,2006．

[4]康弗瑞.网络安全体系结构[M].北京：人民邮电出版社,2005．

[5]郑春香.高校校园网络安全体系的研究与构建[J].中国教育信息化,2006(6):32-33．

作者：吴东醒

校园安全防护及网络管理论文 篇3：

基于全局安全的高校校园网络设计方案

摘要：该文介绍了当前网络安全技术的不足及学校校园网的安全现状，提出基于全局安全的校园网络设计方案，并给出该方案部署于本单位的实例。

关键词：全局安全；校园网；安全体系

An Design Proposal of Campus Network Based on Global Security

HUANG Xin1,2, ZHAO Zhi-gang1

(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)

Key words: global security; campus network; security structure

高校校园网作为高校信息化的重要基础，承担着学校教学、科研、管理和社会服务等重要角色，给教师和学生的工作、学习、生活带来了很多便利。但当今校园网面临着严峻的威胁网络安全问题，目前面对威胁，应对问题的主要技术有身份认证技术、入侵检测技术、防火墙技术、防病毒技术等。这些技术都只是针对局部威胁的安全措施，无法保障校园网的整体安全。因此，新的校园网安全思路，注重从“局部防御”到“整体防范”的转变，将安全理念融合到网络基础架构中，依靠多种安全组件联动，实现整体网络的安全，即全局安全解决方案。

1 农职院网络安全现状

广西农业职业技术学院校园网始建于2002年，通过100M链路CERNET、30M电信链路接入Internet，己形成覆盖教学、科研、办公、宿舍等区域的所有建筑物，“千兆主干、百兆到桌面”的网络带宽格局。计算机网络自身的开放性、互联性和共享性，使之不可避免地会受到病毒、黑客、木马等安全威胁和攻击，校园网数据丢失、系统被篡改、网络瘫痪的情形常有发生。其原因主要如下：

① 缺乏有效的身份管理系统

校园网缺少用户身份认证机制，外来用户、非法用户随意接入；缺少可控的身份集中认证系统，对用户进行管理难度大；用户账号存在被盗用的风险，安全审计无法有效进行，在实际发生问题后不能够迅速定位及取证分析。

② 无法保证用户终端合法性

Windows系列系统存在致命漏洞，系统补丁没有及时更新；没有按要求安装杀毒软件，安装后从来不升级或者从来不主动查杀；随意下载违禁软件，不规范使用网络；上述问题造成了病毒和攻击在校园网内泛滥，严重影响正常应用。

③ 网络安全无法有效控制

校园网内部分用户出于对网络的好奇，经常会用学习到的各种方法，非法攻击校园网络核心设备及应用系统，严重影响校园网络的安全稳定运行和校园管理秩序。目前互联网上相关的黑客工具种类繁多、功能丰富、设置简单、使用方便、破坏力大，给这类学生提供了攻击的便利。

2 全局安全校园网络的设计

校园网全局安全理念，由锐捷网络公司于2005年提出，即GSN（ Global Security Network），由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成，能实现同一网络环境下的全局联动，使每个设备都发挥安全防护作用的新型网络安全模式。具体构架如图1所示，其由三个层面、五个部分组成。

hx01.tif

图1 全局安全网络

校园网全局安全方案通过将校园网用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成起来，从而对网络安全威胁的自动防御，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，达到对未知网络安全事件防范目的。其工作原理如下：

1) 用户使用网络之前，首先由接入的交换机+SAM对其进行身份认证。

2) SAM检查用户身份，批准或拒绝用户的接入请求。

3) SAM学习用户的身份、主机环境等信息，并将制定好的策略发送多SU客户端。

4) SU对用户主机进行健康性检查，并将检查结果反馈回SMP服务器。

5) IDS对网络安全事件进行检测收集，将安全事件报告给SEP（安全事件解析器），并由SEP反馈至SMP。

6) SMP对IDS反馈的安全事件进行统一管理，将安全事件关联至用户。

7) SMP对每个用户的健康性检测结果和安全事件进行处理，生成相应的策略，并下发至交换机执行。

3 全局安全网络在我院的部署

根据校园网全局安全设计方案，可把服务器部署在校园网的服务器群中，而IDS的传感器则可根据需要部署在核心或者汇聚层上，越靠近边缘则效果越好，而安全智能交换机则要部署在接入层，保障客户的安全。构建好的广西农职院部署的典型拓扑如图2所示。

hx02.tif

图2 典型的全局安全校园网部署拓扑图

3.1 身份认证系统的部署

作为全局安全的身份基础平台，SAM系统实现了广西农业职业技术学院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.lx技术，实现了对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定。 SAM系统提供的完善的计费运营功能，为校园网运营提供了足够的数据支撑。通过该系统的部署，有效的防止了IP地址盗用，极大的减轻了校园网管理的运营负担，并为全局网络安全提供了基础身份平台。如图3。

其次，SAM提供了完善的自助服务系统，包括快捷注册，个人信息、密码进行修改，上网明细、交费记录、余额查询，在线充值、注销用户等功能。不但方便了终端用户缴费，同时也极大地减轻管理者的管理和收费工作负担，有效缓解学生缴费和学校收费的矛盾。而入网身份验证的多元素绑定，也有效的杜绝了IP地址冲突现象的发生，用户漫游功能，实现了用户在不同地区认证上网的需求。

hx03.tif

图3 身份认证

3.2 安全管理平台的部署

该阶段也叫做终端安全体系的建立。这一阶段只需要在后台部署SMP安全管理平台，校园用户客户端将自动下载并升级到最新版本。通过第一个阶段的统一身份管理实现的网络安全认证与授权，整个网络的安全基础体系已经基本建立。在部署SMP安全策略管理平台。阶段中，通过针对终端系统的安全建设，能够将整个网络的安全体系完成，并且通过SU和SAM、SMP的联动，将整个网络的安全体系进行统一整合，使得管理员可以轻松的进行基于用户的网络安全控制，管理整个网络。

3.3 广西农职院全局安全体系的最终确立

在上述两个阶段的基础上，第三个阶段将解决如下两个最重要的问题：l) 网络设备的统一安全管理：目前我院网络安全的控制都是通过手工的方式来进行实现，并没有通过一个自动化的系统来进行统一规范管理。2) 网络安全事件的发现：目前我院缺乏必要的网络安全发现机制，网络管理针对网络的安全状况没有好的手段来进行了解和评估。因此，本阶段通过在汇聚设备旁路部署IDS入侵检测设备，并实现全网设备的联动，建立一个统一的网络安全管理系统和建立一套网络安全的检测响应机制。我们将IDS部署在设备的镜像端口上。IDS根据设定的规则对所有从核心设备镜像过来的数据包进行分析与过滤，从中检查出违反既定规则的数据包，并生成安全事件。随后将安全事件通过相关接口发送给SMP。

通过安全事件的学习功能，校园网管理员能够清楚的了解当前校园网的安全状况。校园网管理员能够制定相应的策略来处理当前校园网正在发生的问题，或者可能潜在的问题，做出相应的处理策略。

SMP对校园网安全事件的处理主要包括下发警告消息，下发修复程序，下发阻断或者隔离策略。根据不同等级的安全事件，校园网管理员能够制定不同的处理方式。如针对安全等级较低，危害较小的攻击(如扫描)，校园网管理员只下发警告消息对用户进行警告。如果某些攻击是由于某些补丁未打，或者运行某些程序能够防止的。则可以下发修复程序至发生安全事件的用户，由用户进行修复。如果某安全事件危害很大(如蠕虫病毒)，则可以下发阻断或者隔离策略，对发生该安全事件的用户进行隔离，或者阻断其攻击报文的发送，避免该蠕虫病毒在整个校园网中传播。

我们部署“多兵种协同作战”的全局安全设计方案，同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等)，成为一个全局化的网络安全综合体系。校园网全局安全解决方案不仅能够满足现阶段校园网安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。

4 总结

校园全局安全设计方案通过对网络终端的强制安全措施，有效防范了可能来自于终端层面上的病毒和安全隐患。凭借网络安全管理平台、安全客户端和杀毒软件的紧密配合，不仅保证了网络大环境的安全，同时也为终端设备提供了全方位安全服务，使网络中的每台终端设备都可以保持健康，而且不会把可能存在的病毒“传染”给别人。校园全局安全设计方案的广泛应用将为用户带来健康的网络环境。

参考文献：

[1] 余华芳,张文浩.校园网络的安全控制[J].计算机科学与技术,2005(2):71-75.

[2] 李小志.高校校园网安全分析及解决方案[J].现代教育技术,2008,18(3):91-93.

[3] 赵文革.校园网络安全的改进[D].重庆:重庆大学,2006.

[4] 告别网络单兵作战解决方案[J].锐捷快讯,2007.

[5] 阳柳.校园网络安全体系的解决方案[J].计算机安全,2007(3):178-182.

收稿日期：2011-09-13

作者简介：黄欣（1983-），男，广西平南人，广西农业职业技术学院现代教育技术与网络信息中心教师，广西大学计算机与电子信息学院在读研究生，研究方向为网络信息安全；赵志刚（1973-），男，广西桂林人，副教授，博士，硕士生导师。

作者：黄欣,赵志刚