高校校园网安全解决方案

目录
第一章概述 (2)
1.1 高校校园网络安全建设意义 (2)
第二章高校校园网络特点分析 (3)
第三章安全风险分析 (5)
3.1 物理层安全风险 (5)
3.2 网络层安全风险 (5)
3.3 系统安全风险 (6)
3.4 应用层安全风险 (6)
3.5 管理层安全风险 (7)
第四章安全需求分析 (8)
4.1 网络攻击防御需求 (8)
4.2 系统安全漏洞管理需求 (8)
4.3 网络防病毒需求 (9)
4.4 WEB应用安全需求 (10)
4.5 内容安全管理需求 (10)
4.6 INTERNET接入用户控制需求 (11)
4.7 建立完善安全管理制度的需求 (11)
第五章网络安全解决方案 (13)
5.1 高校校园网络安全建设原则 (13)
5.2. 高校校园网络安全解决方案 (14)
5.1部署防火墙 (14)
5.2部署入侵检测/保护系统 (15)
5.3 部署漏洞管理系统 (16)
5.4 部署网络防病毒系统 (18)
5.5 部署WEB应用防护系统 (20)
5.6 部署内容安全管理系统 (22)
5.7 部署校园网用户认证计费管理系统 (23)
5.8 高校校园网络安全建设分步实施建议 (25)
第一章概述
1.1 高校校园网络安全建设意义
随着网络的普及和发展，高校信息化建设也在快速地进行，校园网在高校及教育系统中的作用越来越大，已经成为高校重要的基础设施，对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。

目前，校园网络已遍及学校的各个部门，有的学校已将网络线通入学生寝室，网络已经成为师生工作、学习、生活不可缺少的工具。

校园网络的建立，能促进学校实现管理网络化和教学手段现代化，对提高学校的管理水平和教学质量具有十分重要的意义。

但是，网络中的种种不安全因素（如病毒、黑客的非法入侵、有害信息等）也无时无刻不在威胁校园网络的健康发展，成为教育信息化建设过程中不容忽视的问题。

如何加强校园网络的安全管理，保证校园网安全、稳定、高效地运转，使其发挥应有的作用，已经成为学校需要解决的重大问题，也是校园网络管理的重要任务。

第二章高校校园网络特点分析
高校校园网络具有如下特点：
1、网络规模大，设备多。

从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备。

2、校园网通常是双出口结构，分别与Cernet、Internet 互联。

3、用户种类丰富。

按用户类型可以划分为教学区（包括教学楼、图书馆、实验楼等）、办公区（包括财务处、学生处、食堂等）、学生生活区、家属区等。

不同用户对网络功能的要求不同。

教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入INTERNET。

学生区和家属区主要是接入INTERNET的需求。

4、应用系统丰富。

校园网单位众多，有很多基于局域网的应用，如多媒体教学系统，图书馆管理系统，学生档案管理系统，财务处理系统等。

这些应用之间互相隔离。

还有很多基于INTERTNET的应用，如WWW、E-MAIL等，需要和INTERNET的交互。

各种应用服务器，如DNS，WWW，E-MAIL，FTP等与核心交换机高速连接，对内外网提供服务。

高校校园网络拓扑示意图如下：
第三章安全风险分析
网络安全不单是单点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。

要知道如何防护，首先需要了解安全风险来自于何处。

网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。

风险分析是网络安全防护的基础，也是网络安全技术需要提供的一个重要功能。

它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。

风险分析必须包括网络中所有有关的成分。

3.1 物理层安全风险
网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断，进而造成网络系统的阻断。

包括以下内容：
1、设备被盗，被毁坏；
2、链路老化或被有意或者无意的破坏;
3、因电磁辐射造成信息泄露；
4、地震、火灾、水灾等自然灾害。

3.2 网络层安全风险
网络层中的安全风险，主要指数据传输、网络边界、网络设备等所引发的安全风险。

1.数据传输风险分析
数据在网络传输过程中，如果不采取保护措施，就有可能被窃听、篡改和破坏，如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。

对高校而言，比较多的风险是：
1)私自将多个用户通过交换机接入网络，获得上网服务。

2)假冒合法的MAC、IP地址获得上网服务。

2.网络边界风险分析
不同的网络功能区域之间存在网络边界。

如果在网络边界上没有强有力的控制，则网络之间的非法访问或者恶意破坏就无法避免。

对于高校而言，整个校园网和INTERNET的网络边界存在很大风险。

由于学校对INTERNET开放了WWW、EMAIL等服务，如果控制不好，这些服务器有面临黑客攻击的危险。

3.网络设备风险分析
由于高校校园网络使用大量的网络设备，这些设备自身的安全性也是要考虑的问题之一，它直接关系到各种网络应用能否正常、高效地运转。

交换机和路由器设备如果配置不当或者配置信息改动，会引起信息的泄露，网络瘫痪等后果。

3.3 系统安全风险
系统层的安全风险主要指操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁。

病毒大多也是利用了操作系统本身的漏洞。

目前，高校网络中操作系统有WINDOWS系列和类UNIX系列，大都没有作过安全漏洞修补，极易遭受黑客攻击和病毒侵袭，对网络安全是一个高风险。

3.4 应用层安全风险
高校校园网络中存在大量应用，如WWW服务、邮件服务、数据库服务等。

在应用过程中，存在下列风险：
1.这些服务本身存在安全漏洞，容易遭受黑客攻击。

当前，尤其针
对WEB应用的攻击成为趋势。

不对应用者的行为监管存在的风险。

如学生浏览黄色，暴力网站；
在论坛等发表非法言论；滥用P2P，在线视频等，严重占用网络带宽。

3.5 管理层安全风险
责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

第四章安全需求分析
由上可见，高校校园网中的安全风险是多样的，也需要多种技术构建综合安全防护体系，保证校园网安全。

4.1 网络攻击防御需求
高校校园网络连接INTERNET，因此从安全角度看，可以划分为两大区域，内部网络和外部网络。

在内外网之间必须有安全隔离措施，对数据的流动进行控制。

首先内部网络是私有网络，其访问ITNERNET的流量必须隐藏真实地址，而转换为公网地址；其次，网络边界要有适当的访问控制策略，既需要控制内部网络可以访问INTERNET的流量，更需要严格控制INTERNET可以访问内部网络的流量，以防止黑客攻击和非法访问。

因而只允许INTERNET访问校园网对其开放的服务，如WWW、EMAIL 等，其他服务全部禁止。

对通过INTERNET到校园内网应用如OA系统的连接，采用IPSEC VPN或者SSL VPN技术，以保证数据安全性。

即使被黑客窃听，也无法解密。

采用流量监听和阻断恶意流量机制，对网络进行保护。

监视和分析用户及系统的活动，识别反映已知进攻的活动模式并向管理员报警。

4.2 系统安全漏洞管理需求
高校有大量的应用服务器和网络设备，以及应用程序和数据库系统。

众所周知，在服务器和网络设备操作系统（包括WINDOWS,类UNIX），应用协议（如TCP/IP），应用程序中，存在很多安全漏洞。

蠕虫爆发、病毒、木马以及恶意代码都是利用安全漏洞对网络和系统进行攻击。

如果对系统中的各种漏洞不能及时发现和修复，就有很大
的被攻击的风险，造成很大的损失，例如“冲击波”蠕虫和“震荡波”蠕虫的爆发。

所以要有漏洞管理机制，及时扫描和修复系统安全漏洞保护网络安全。

4.3 网络防病毒需求
高校校园网用户众多，网络环境复杂，病毒入口点非常多，如何保证在整个局域网内杜绝病毒的感染、传播和发作是网络安全的一个重要问题。

一个良好的网络防病毒方案应该达到如下目标：要在整个大学校园的内部网络内杜绝病毒的感染、传播和发作，整个网络内只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段。

同时为了网络管理人员有效、快捷地实施和管理整个网络的防病毒体系，应能实现简易、自动、智能和强制执行防病毒策略的维护管理方式。

网络实施防病毒系统应力求达到在整个内部网络系统中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系，保护校园网络免遭来自外部和内部病毒的威胁和破坏，从根本上杜绝病毒的发作和传播，有效地保护学校内部资源。

同时，该方案还必须是一个使用方便的，灵活的和全自动的系统，可以完全自动的升级；可以在本网的任何地方管理全网；等等。

最后，它还必须是一个易于扩充和修正的方案，能方便的适应将来网络扩充时可能的变更。

特别地，校园网需要很好地防范ARP欺骗病毒。

ARP欺骗病毒是目前高校校园网中比较泛滥的一种病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到校园网络的正常运行。

因此，必须有合适的措施应对ARP欺骗病毒对网络的危害，保
证网络的持续可用性。

4.4 WEB应用安全需求
据权威机构IDC调查显示，Web 应用越来越丰富的同时，针对Web 服务器的攻击也与日俱增。

SQL注入、网页篡改、网页挂马、应用层DDOS等安全事件，频繁发生。

WEB攻击一旦得逞，将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。

对于高校而言，门户网站是其对外宣传的窗口和内部交流的平台，网站的安全直接影响学校的声誉。

因此，必须杜绝网页篡改，网站拒绝服务等安全事件的发生。

4.5 内容安全管理需求
随着计算机网络在经济和生活各个领域的迅速普及，网络发展从连通时代到应用时代的转变，如何保证网络内容安全，净化网络环境，规范上网行为，符合国家法规要求，是广大机构迫切需要解决的问题。

有不良影响或危害的网络行为有：
1、利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；
2、因访问不良网站而遭受恶意代码、间谍软件及钓鱼式攻击等，影响机构网络正常运行；
3、随意使用P2P 下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；
4、浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；
5、随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生；
根据调查数据显示，以上事件呈逐年上升趋势，导致机构工作效率降低、重要敏感信息泄露、业务应用无法正常运行、网络带宽资源
滥用、不良反动言论传播甚至面临国家法律风险等，给机构造成严重的经济损失和巨大的网络信息安全风险。

尤其高校作为高等教育机构的特殊性质，更需要营造健康的网络环境，屏蔽色情、暴力等不良网站；同时，对学生的上网行为也要有效监管，屏蔽学生在一些网站、论坛、博客中发布的危害国家声誉的言论，阻止不良信息扩散。

4.6 INTERNET接入用户控制需求
高校面向学生区，家属区提供INTERNET接入服务。

对每帐户只允许接入一个用户，以便合理收费，防止非授权接入INTERNET。

但在实际运营中出现以下情况：
1、利用代理服务器软件或者SOHO路由器实现多人利用同一帐号上网。

2、IP，MAC地址假冒。

有的认证方式是通过IP、MAC地址确定物理端口是否合法，在认证端如果收到合法的IP和MAC地址信息就认为这是合法的用户，许多学生就会利用这种方式的弱点，把自己计算机的IP和MAC修改成合法的地址，这样自己就能使用网络资源。

因此，校园网INTERNET需要一个有效的用户接入认证机制，应对代理或IP地址假冒的挑战。

4.7 建立完善安全管理制度的需求
“三分技术，七分管理”。

实施安全应管理先行，安全组织体系的建设势在必行。

应在学校建立网络安全建设领导委员会，该委员会应由一个主管领导，网络管理员，安全操作员等人员组成。

主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合。

网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术实施策略。

安全操作员负责安全系统的具体实施。

另外，在学校网络中心应建立安全专家小组，负责安全问题的重
大决策。

第五章网络安全解决方案
由上可见，高校校园网中的安全风险是多样的，也需要多种技术构建综合安全防护体系，保证校园网安全。

5.1 高校校园网络安全建设原则
高校校园网络安全建设是一个复杂、艰巨的系统工程，必须遵循如下原则，才能收到良好的效果。

1.综合性、整体性原则
应用系统工程的观点、方法，分析网络的安全及具体措施。

安全措施包括管理手段和技术手段。

一个较好的安全措施往往是多种方法适当综合的应用结果。

一个计算机网络只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施，制定出合理的网络安全体系结构。

2.可用性原则
安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性。

尽量保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性，对网络的拓扑不需要大的改变。

3.需求、风险、代价平衡的原则
对任一网络，绝对安全难以达到，也不一定是必要的。

高校要对自身网络的安全风险和需求进行分析，以自己财力所能承担的代价去解决尽可能全面的安全问题。

4.分步实施原则
随着网络规模的扩大及应用的增加，网络安全风险也会不断增加，一劳永逸地解决网络安全问题是不现实的。

同时由于实施网络安全措施需相当的费用支出，因此高校可根据财力分步实施，首先满足网络安全的基本需求，再逐渐解决更高层次的安全需求。

5.2. 高校校园网络安全解决方案
5.1部署防火墙
在需要隔离的网络区域之间部署防火墙。

典型地，在Internet 与校园网之间部署一台防火墙，成为内外网之间一道牢固的安全屏障。

将WWW 、MAIL 、FTP 、DNS 等服务器连接在防火墙的DMZ 区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet 连接。

那么，通过Internet 进来的公众用户只能访问到对外公开的一些服务（如WWW 、MAIL 、FTP 、DNS 等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。

在防火墙设置上按照以下原则配置来提高网络安全性：
1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。

总体上遵从“不被允许的服务就是被禁止”的原则。

2、将防火墙配置成过滤掉以内部网络地址进入路由器的IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP 地址离开内部网络的IP 包，防止内部网络发起的对外攻击。

3、在防火墙上建立内网计算机的IP 地址和MAC 地址的对应表，防止IP 地址被盗用。

4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。

5.2部署入侵检测/保护系统
防火墙作为安全保障体系的第一道防线，防御黑客攻击。

但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要，部署了防火墙的安全保障
体系仍需要进一步完善。

传统防火墙的不足主要体现在以下几个方面：
防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比如针对WEB 服务的Code Red 蠕虫等。

●有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发
现内部网络中的攻击行为。

作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。

入侵检测系统IDS（Intrusion Detection System）是继防火墙之后迅猛发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象，及时识别入侵行为和未授权网络流量并实时报警。

IDS 弥补了防火墙的某些设计和功能缺陷，侧重网络监控，注重安全审计，适合对网络安全状态的了解，但随着网络攻击技术的发展，IDS 也面临着新的挑战：
IDS 旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。

IDS 无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS 无能为力。

蠕虫、病毒、DDoS 攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS 无法把攻击防御在企业网络之外。

为了弥补防火墙和IDS的缺陷，入侵保护系统IPS（Intrusion Prevention System）作为IDS的替代产品应运而生。

网络入侵防御系统作为一种在线部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。

通过防火墙和IPS的联合部署，高校校园网络基本上能防御内外网的从2-7层的攻击，并能审计、记录攻击行为，便于调查攻击。

部署示意图如下：
5.3 部署漏洞管理系统
部署漏洞管理系统，能够有效避免由漏洞攻击导致的安全问题。

它从漏洞的整个生命周期着手，在周期的不同阶段采取不同的措施，是一个循环、周期执行的工作流程。

一个相对完整的漏洞管理过程包含以下步骤：
1. 对用户网络中的资产进行自动发现并按照资产重要性进行
分类；
2. 自动周期对网络资产的漏洞进行评估并将结果自动发送和保存；
3. 采用业界权威的分析模型对漏洞评估的结果进行定性和定量的风险分析，并根据资产重要性给出可操作性强的漏洞修复方案；
4. 根据漏洞修复方案，对网络资产中存在的漏洞进行合理的修复或者调整网络的整体安全策略进行规避；
5. 对修复完毕的漏洞进行修复确认；
6. 定期重复上述步骤1-5。

通过漏洞管理产品，集中、及时找出漏洞并详细了解漏洞相关信息，不需要用户每天去关注不同厂商的漏洞公告，因为各个厂商的漏洞公告不会定期发布，即使发布了漏洞公告绝大多数用户也不能够及时地获得相关信息。

通过漏洞管理产品将网络资产按照重要性进行分类，自动周期升级并对网络资产进行评估，最后自动将风险评估结果自动发送给相关责任人，大大降低人工维护成本。

漏洞管理产品根据评估结果定性、定量分析网络资产风险，反映用户网络安全问题，并把问题的重要性和优先级进行分类，方便用户有效地落实漏洞修补和风险规避的工作流程，并为补丁管理产品提供相应的接口。

漏洞管理产品能够提供完整的漏洞管理机制，方便管理者跟踪、记录和验证评估的成效。

漏洞管理系统包括硬件平台和管理控制台，部署在网络的核心交换机处，对整个网络中的资产提供漏洞管理功能。

示意图如下：
5.4 部署网络防病毒系统
在高校校园网部署网络版防病毒系统，进行全网病毒防护。

网络版防病毒系统具有集中式管理、分布式杀毒的特点，非常适合大型复杂网络的部署。

其应具有如下功能：
在病毒管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。

网络版客户端安装方法：网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装；
对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装。

●移动控制台功能
系统管理员在任意一台电脑（与控制中心所在的服务器联网）上
安装移动控制台，管理员可通过移动控制台直接管理各种平台的服务
器端/客户端。

在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置、查毒、杀毒、通知升级、启动/关闭实时监控等。

●升级策略
首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。

可以设置让控制中心每日自动升级。

在客户端普通操作台可以手动升级，也可以通过设置让客户端自动升级。

●多级控制中心、自由分组
通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。

这个结构对于网络规模扩大或新增节点都可以很容易地实现集中管理。

具有分组功能，网络管理员能够在控制台自己所管理的机器进行合理的分组，可以对分组统一的配置、查杀等，而且也解决了在没有分组功能前，机器过多导致管理困难的问题，网络管理员会更加方便，而且会大大提高管理效率。

●全网远程报警
当网络中任意一台计算机上扫描程序发现病毒时，都能够自动及时准确地把病毒信息记录并传递给网络管理员。

●全网集中管理
网络中客户端安装和杀毒确保有效完成，客户端未经授权不能任意停止全网统一的杀毒行动，客户端未经授权不能任意卸载。

针对校园网的网络结构及病毒特点，应用网络版防病毒系统的“远程安装”、“定时升级”、“集中管理”、“全网杀毒”、“远程报警”、“无限分级”、“自由分组”等功能，对校园网络中的核心应用提供多层次和强有力的保护，可以适应高校校园网复杂的应用环境，满足校园网对于全网防病毒的需求，有效解决整个校园网面临的病毒威胁。