高职院校校园网络安全的现状与防护关键技术

浅析高职院校校园网络安全的现状与防护关键技术
摘要：以x高职院校校园网为案例，分析了高职院校校园网安全现状，从防火墙技术、vlan技术、防病毒技术等方面分析了高职院校校园网络安全防护的关键技术。

关键词：高职院校；校园网络；安全技术
中图分类号：tn915.08
随着网络规模的扩大和用户数量的激增，校园网安全问题越来越严重，数据的安全性和学校自身的利益受到了严重的威胁，校园网面临着一系列的安全问题。

在面对来自互联网的安全威胁的同时，组成校园网络体系的各个层面也都存在着不同程度的问题，建立校园网络的整体安全具有重要的现实意义。

1 x高职院校校园网概况
x高职院校设有6个专业教学系和一个成人教育培训部，现有全日制在籍学生8920人。

全日制专科教育开设了道路桥梁工程技术、汽车运用技术等27个专业。

x职业技术学院校园网作为服务于全校教学、科研和行政管理的计算机信息网络基础平台，实现了计算机互联、信息资源的共享。

学校本部局域网设计成三级结构：网络中心机房为核心；校园内各建筑互联形成园区主干；各建筑物内部扩展面向用户。

采用光纤和超 5 类双绞线混合组网，星型拓扑结构。

2 高职院校校园网安全现状分析
2.1接入层安全分析
来自于网络接入层的攻击主要包括：mac 地址泛洪攻击、地址解
析协议（arp）攻击、操纵生成树协议、dhcp服务器欺骗攻击、ip/mac 地址欺骗、vlan 攻击等，这些攻击方式在校园网络安全事故中大量出现。

校园网内很多用户计算机应用水平不高，安全意识不强，操作系统配置不当或不及时进行补丁升级，导致计算机病毒及恶意代码泛滥。

2.2汇聚/核心层安全分析
（1）缺少内部网络各个不同区域之间的隔离和访问控制。

校园网采取的是基于端口进行 vlan 划分，上百个 vlan 之间虽然有采用 vlan 技术进行隔离，但每个 vlan 之间并没有做访问控制，不同区域网络之间能相互访问，存在着严重的安全隐患；
（2）网段内某个用户的蠕虫病毒攻击可能会波及整个网络，造成大量传播或网络拥塞；
（3）端口扫描、地址欺骗、拒绝服务等攻击方式在网络普遍出现。

2.3网络边界安全分析
x高职院校校园网网络与 internet 连接。

面临着来自 internet 各种攻击的风险。

internet 中传播的各种病毒和木马随时都有可能更新，时时刻刻威胁着校园网并导致网络性能下降或者不能提供服务等。

学校服务器存在的有用信息资源也容易招致黑客攻击。

其中最易受攻击的就是学校的 web 服务，web 应用服务器自身具有很多脆弱性，如 web 服务软件自身存在安全问题，web应用程序安全性较差，比较典型的是目前应用很广的 cgi 程序和 asp、php 脚
本等都具有严重的安全漏洞。

为了使其他校区行政教务管理人员访问校内各业务系统，也为了方便学校办公自动化系统的应用，校园网内部部署 pptp 服务器对外提供 vpn 服务，但 pptp仅对隧道的终端实体进行验证，不对数据报文进行认证并且不对数据报文的完整性进行校验，容易受到地址欺骗、拒绝服务等形式的攻击。

虽然使用软件搭设pptp vpn 服务较为方便，成本也低，但 vpnserver 不能根据用户分组对校内资源制定访问策略，而且拨号客户端配置有一定专业要求，用户使用不便。

2.4业务应用及数据库安全分析
一方面学校内部的学生群体活跃，有尝试各种技术手段的欲望，学校内部的应用服务器正好成为他们攻击的目标；另一方面，学校对内部网络的防范措施并不严格，首先，校园网内部用户可以不通过任何认证即可访问校内服务资源。

其次，校内各业务应用系统均存在程度不一的安全问题，如数据库服务采用默认密码或弱密码、操作系统没有及时更新补丁、不必要的服务和端口开放过多等等。

3 高职院校校园网安全的防护关键技术分析
3.1 防火墙技术的应用
为了实现校园网的安全目标，x高职院校在intemct和校园网之间部署了一台锐捷rg-walli600m防火墙，为内外网之间建立了一道可靠的安全屏障。

同时建立dmz区，该区域是非安全系统与安全系统之间的缓冲区，将www、e-mail、dns服务器等连接在该区域
内，它阻止了内外网之间的直接通信，更有效的保护了内部网络的安全。

3.2 vlan技术的应用
x高职院校根据自己的网络部署实际，将不同的楼宇各自划分vlan，对于学校的多媒体教室、一卡通系统、广播各自划分单独的vlan。

通过这些划分，保证了网络的畅通运行，防止网络上的广播数据包造成数据的堵塞，保证了校园网络的顺利运行，同时能够实现同部门数据之间的通信和数据共享。

下图为x高职院校2号教学楼vlan划分的网络拓扑结构图（图1）：
3.3防病毒技术的应用
首先，积极选用网络版防病毒软件。

对于客户端用户来说，不用自行进行病毒库升级、查杀病毒，而可以有网络管理员统一处理。

目前x高职院校选用的是2010瑞星杀毒软件（x高职高专校园网络专用版），在每台用户机器上都安装瑞星杀毒软件的客户端，在一台专门的服务器上安装瑞星杀毒软件网络版系统中心，通过该系统中心可以管理己经安装了客户端的局域网内的计算机，这样可以实现在同一时刻同时查杀病毒，使得病毒无处藏身。

其次，选用安装简单、管理灵活的防病毒软件，由于局域网内用户数量众多，并且大多数用户都是非计算机专业人士，特别是行政办公人员，瑞星杀毒系统可以实现在系统中心的病毒库升级之后，客户端自动从系统中心升级，免受用户的干预，为网络管理人员和用户都提供了很大的方便。

最后，为了方便非计算机专业用户的杀毒软件安装，我们提供了web安装形式，网络管理员在web服务器上设置瑞星杀毒软件web 页面安装文件，在任意客户端访问该页面，都可以按照提示完成客户端的程序安装。

3.4 acl访问控制列表的应用
（1）采用基于时段的扩展acl访问控制列表技术；（2）除课前10分钟及上课时间能够进行互联网web访问外，其余时段一律禁止互联网web访问；（3）任何时段均不限制ftp、qq等其他网络应用服务。

根据确定的解决方案和多媒体教室vlan在校园网的拓扑（图2），x高职院校对各教学楼上的汇聚交换机（型号为rg-3760）一一进行了基于时段的扩展acl访问控制列表的部署。

4结束语
在配套安全管理制度规范下，全方位实施网络安全技术带给x高职院校校园网络安全的改变是非常明显的。

网络安全技术在不断推陈出新，如何将这些技术整合在一起，形成一个整体的防御体系，提高整个网络的防御能力，是信息安全理论和技术的发展方向。

参考文献
[1]李涛.网络安全概论[m].电子工业出版社，2004
[2]cormac long.ip网络设计[m].人民邮电出版社，2002
[3]刘远生，辛一.计算机网络安全第二版[m].清华大学出版社，2009。