建設(shè)一個(gè)安全可靠、穩(wěn)定可管理的網(wǎng)絡(luò)已成為人們的共識(shí)。對(duì)校園網(wǎng)而言，這可能需要管理者們付出更大的努力。高校校園網(wǎng)服務(wù)于教學(xué)科研的宗旨，決定其必然是一個(gè)管理相對(duì)寬松的開(kāi)放式系統(tǒng)，無(wú)法做到像企業(yè)網(wǎng)一樣進(jìn)行嚴(yán)格統(tǒng)一的管理，這使得保障校園網(wǎng)安全成為一個(gè)大挑戰(zhàn)。

上海交通大學(xué)從自身情況出發(fā)，應(yīng)用了以下六項(xiàng)措施保障網(wǎng)絡(luò)安全。

措施1 網(wǎng)絡(luò)交換路由設(shè)備的安全配置

根據(jù)不同控制策略的要求，對(duì)校園網(wǎng)邊界路由器，各校區(qū)核心交換機(jī)，匯聚點(diǎn)交換機(jī)以及樓內(nèi)三層交換機(jī)分級(jí)配置合理的訪問(wèn)控制列表(ACL)，從而保障網(wǎng)絡(luò)安全。機(jī)制如下：

對(duì)蠕蟲(chóng)病毒常見(jiàn)傳播端口和其他特征的控制，可以有效控制蠕蟲(chóng)病毒大面積擴(kuò)散;

對(duì)常見(jiàn)木馬端口和系統(tǒng)漏洞開(kāi)放端口的控制，可以有效降低網(wǎng)絡(luò)攻擊和掃描的成功率;

對(duì)IP源地址的檢查將使部分攻擊者無(wú)法冒用合法用戶的IP地址發(fā)動(dòng)攻擊;

對(duì)部分ICMP報(bào)文的控制將有助于降低Smuff攻擊的威脅。

在網(wǎng)絡(luò)安全日常管理維護(hù)和出現(xiàn)病毒爆發(fā)或其他突發(fā)安全威脅時(shí)，合理配置ACL將有助于快速定位和清除威脅。

措施2 采取靜態(tài)IP地址管理模式

上海交通大學(xué)長(zhǎng)期以來(lái)一直采用校園網(wǎng)用戶靜態(tài)IP地址管理模式。所有網(wǎng)絡(luò)用戶入網(wǎng)前需要事先從網(wǎng)絡(luò)中心申請(qǐng)獲取靜態(tài)IP地址。網(wǎng)絡(luò)中心收到申請(qǐng)后在用戶接入的二層交換機(jī)上完成一次用戶MAC-接入交換機(jī)端口的綁定，并在用戶樓內(nèi)三層交換機(jī)上實(shí)現(xiàn)用戶IP-MAC的一一綁定，使用這種方法來(lái)確認(rèn)最終用戶，消除IP地址盜用等情況。雖然看上去比較復(fù)雜，但由于網(wǎng)絡(luò)中心針對(duì)校園網(wǎng)中使用的各種不同廠家和類(lèi)型交換機(jī)，都開(kāi)發(fā)了相應(yīng)的綁定程序，所有的綁定管理工作都由程序自動(dòng)完成，所以管理人員的工作量并不大。網(wǎng)絡(luò)中心的網(wǎng)管數(shù)據(jù)庫(kù)里存放著全校范圍內(nèi)數(shù)千臺(tái)接入交換機(jī)的端口-用戶房間端口信息數(shù)據(jù)，以及所有用戶的詳細(xì)使用信息和相關(guān)IP-MAC資料，所有這些都為建立可管理的安全校園網(wǎng)提供了基礎(chǔ)。

這種管理模式的好處很多：一旦出現(xiàn)掃描攻擊，垃圾郵件等網(wǎng)絡(luò)安全事件，根據(jù)IP/MAC/端口可以在第一時(shí)間迅速定位來(lái)源，從而為采取下一步處理措施提供準(zhǔn)確的依據(jù)。這樣一個(gè)完整準(zhǔn)確的用戶信息系統(tǒng)的存在，為以后構(gòu)想中的網(wǎng)絡(luò)自防御體系創(chuàng)造了條件。

措施3 中央集中控制病毒

在病毒的防控方面，學(xué)校采取中央集中控制管理的模式，統(tǒng)一采購(gòu)網(wǎng)絡(luò)版殺毒軟件，免費(fèi)提供給校內(nèi)用戶使用，使得病毒庫(kù)可以及時(shí)快速升級(jí)。此外，建立一個(gè)校內(nèi)網(wǎng)絡(luò)安全站點(diǎn)，及時(shí)發(fā)布安全公告，提供一些安全建議和相關(guān)安全工具下載也是十分必要的。

在2003年沖擊波病毒爆發(fā)以后，網(wǎng)絡(luò)中心開(kāi)始思考如何應(yīng)對(duì)由于微軟操作系統(tǒng)漏洞引起的大規(guī)模蠕蟲(chóng)病毒感染。當(dāng)年就建立了微軟軟件更新(SUS)站點(diǎn)，給校園網(wǎng)用戶提供微軟操作系統(tǒng)補(bǔ)丁的快速自動(dòng)更新。今年又建立了微軟Windows軟件更新(WSUS)站點(diǎn)和Linux系列操作系統(tǒng)的自動(dòng)更新站點(diǎn)，提供操作系統(tǒng)、微軟Office應(yīng)用程序、SQL數(shù)據(jù)庫(kù)的校內(nèi)快速自動(dòng)更新服務(wù)。因?yàn)閃SUS的數(shù)據(jù)庫(kù)里可以存儲(chǔ)所有用戶的更新信息，所以網(wǎng)絡(luò)中心就可以掌握校內(nèi)計(jì)算機(jī)的漏洞分布情況，并且誰(shuí)裝了補(bǔ)丁誰(shuí)沒(méi)裝一目了然。為了普及校內(nèi)計(jì)算機(jī)安裝自動(dòng)更新，盡可能的消除操作系統(tǒng)級(jí)別的安全隱患，我們計(jì)劃于近期進(jìn)行半強(qiáng)制性的安裝。

措施4 積極防范網(wǎng)絡(luò)攻擊

我們?cè)谛@網(wǎng)邊界出口部署了IDS，核心路由器上啟用了NetFlow、sFlow等進(jìn)行監(jiān)控，對(duì)關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)端口鏡像、分光等方式進(jìn)行進(jìn)一步分析處理網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)部署基于Nessus的漏洞掃描服務(wù)器對(duì)校園網(wǎng)計(jì)算機(jī)進(jìn)行定期安全掃描。

及時(shí)查看并分析處理這些監(jiān)控?cái)?shù)據(jù)和報(bào)表有助于在第一時(shí)間發(fā)現(xiàn)異常網(wǎng)絡(luò)安全事件并進(jìn)行處理，防患于未然。

實(shí)踐證明，選用合適的軟件和分析處理方式將會(huì)大幅度提高工作效率。商業(yè)軟件固然不錯(cuò)，但很多開(kāi)源軟件如Ethereal、Ntop、Nessus等在這些方面一樣做得很優(yōu)秀，并且易于用戶根據(jù)自己的需要進(jìn)行二次開(kāi)發(fā)。

措施5 統(tǒng)一身份認(rèn)證

對(duì)于無(wú)線網(wǎng)絡(luò)的安全而言，用戶接入認(rèn)證是非常關(guān)鍵的。網(wǎng)絡(luò)中心使用了校內(nèi)統(tǒng)一身份認(rèn)證來(lái)限制校外用戶未經(jīng)授權(quán)的無(wú)線訪問(wèn)。由于WEP認(rèn)證具有天然的弱安全性，網(wǎng)絡(luò)中心又同時(shí)提供了基于802.1x的認(rèn)證平臺(tái)進(jìn)行校內(nèi)統(tǒng)一身份認(rèn)證并鼓勵(lì)用戶使用。

措施6 鼓勵(lì)學(xué)生當(dāng)網(wǎng)管

宿舍網(wǎng)的網(wǎng)絡(luò)安全管理在很多學(xué)校往往是比較頭疼的，上海交大網(wǎng)絡(luò)中心在這方面取得了讓學(xué)校師生滿意的成績(jī)，而且，網(wǎng)絡(luò)中心也沒(méi)有太多人力深陷其中。根本原因還是在學(xué)校有關(guān)部門(mén)的大力配合下，建立了一支由數(shù)百人組成的學(xué)生宿舍網(wǎng)管員隊(duì)伍，每個(gè)樓都配有至少一名學(xué)生網(wǎng)管員，一般在樓內(nèi)招聘。日常管理由學(xué)生工作部門(mén)負(fù)責(zé)，工資待遇納入學(xué)校勤工助學(xué)體系，但網(wǎng)管員具體工作由網(wǎng)絡(luò)中心加以指導(dǎo)。

通過(guò)培訓(xùn)這些學(xué)生網(wǎng)管員掌握基本的網(wǎng)絡(luò)安全意識(shí)和基本技能，大量的網(wǎng)絡(luò)安全問(wèn)題都消失在萌芽狀態(tài)。當(dāng)處于病毒爆發(fā)期或有網(wǎng)絡(luò)安全突發(fā)事件時(shí)，分布在全校各處的學(xué)生網(wǎng)管員也可以第一時(shí)間做出響應(yīng)，協(xié)助網(wǎng)絡(luò)中心的工作。

結(jié)束語(yǔ)

很多時(shí)候，校園網(wǎng)絡(luò)安全管理人員都會(huì)發(fā)出這個(gè)感慨：發(fā)現(xiàn)病毒和攻擊其實(shí)并不難，難的是面對(duì)層出不窮的大量病毒和攻擊時(shí)，如何去快速響應(yīng)處理。要實(shí)現(xiàn)網(wǎng)絡(luò)安全，單單依靠網(wǎng)絡(luò)中心的力量肯定是不夠的，要?jiǎng)訂T各部門(mén)院系的力量，激發(fā)學(xué)生的興趣和創(chuàng)造力，建立專(zhuān)門(mén)的網(wǎng)絡(luò)安全隊(duì)伍，通過(guò)培訓(xùn)等各方面途徑來(lái)提高所有網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識(shí)。只有網(wǎng)絡(luò)安全意識(shí)深入人心，才有可能創(chuàng)造出一個(gè)長(zhǎng)期的良好的校園網(wǎng)安全環(huán)境。

【編輯推薦】

1. 無(wú)線網(wǎng)絡(luò)安全的六種簡(jiǎn)單措施
2. 確保網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊防范措施早準(zhǔn)備