高校网络安全防御体系研究

1校园网现状与问题

1.1校园网建设现状

咸阳师范学院校园网络的骨干网已经达到了千兆，100M到桌面，总体分为三级架构即核心层、汇聚层和接入层。咸阳师范学院校园网接入服务商是咸阳电信，其提供100M光纤宽带服务。网络提供的服务主要有：Web主页服务、DNS域名解析服务、E-mail邮件服务、Internet接入服务、校内网络杀毒服务、办公自动化服务等。

1.2面临的主要问题

（1）校园网络覆盖范围发生变化。由于近几年招生规模的不断扩大，学校相应配套设施也在逐年增加，这些都必须加入校园网，并且原来未曾入网的学生宿舍也将纳入网络覆盖范围，因此必将引起网络结构的变化。（2）原有网络设备也落后于发展的需要。学校现有的网络设备已经不能满足日益发展的网络需求，性能已经远远低于现在网络的发展和应用。（3）校园网用户的安全意识不强、网络的管理制度不够完善，缺少行之有效的监控措施。（4）学院网络中电脑所用的各种软件都不可避免的存在安全隐患。这些安全隐患导致了网络中各种不稳定因素大量的存在。比如，各种操作系统以及应用系统自身的漏洞带来的安全风险。Internet网络用户对校园网存在的非法访问或恶意入侵的风险等。

2网络安全方案设计

2.1防止内外的攻击威胁的入侵检测系统

为了校园网的安全，我们可以在防火墙的基础上再引进入侵检测系统（IDS），作为防火墙的有益补充，这样可有效地防止来自网络内外的攻击。防火墙由于性能的限制通常不能提供实时的入侵检测能力，对于校内用户所做的攻击，防火墙更是形同虚设。为了在网络安全的层次和网络安全区域方面进一步加强，我们可以选择在校园网络中建立一套入侵检测系统。IDS入侵检测技术是一种主动保护自己免受攻击的网络安全技术。入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高信息安全基础结构的完整性。

2.2建立VPN系统

VPN即虚拟私有网络技术，它的安全功能包括：通道协议、身份验证和数据加密。VPN的工作原理是这样的：远程外网客户机向校园网内的VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务端，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问的权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。

2.3网络防病毒平台的建立

目前，计算机病毒的种类与传播媒介日益繁多，病毒更主要是通过网络共享文件、电子邮件及Internet/Intranet进行传播。计算机病毒防护已经成为计算机网络系统安全策略中的重要手段。鉴于校园网内部行政及办公部门数据资较为重要，所以配备病毒防护软件是十分重要的。为了减轻病毒更新及软件维护的繁重工作量，一般应采用企业版防病毒软件作为防病毒整体解决方案。企业版防病毒软件，除了提供在工作站的防病毒程序外，更在服务器上提供了管理程序(对所有工作站的防病毒软件进行中央控管)以及软件分发（Deployment）程序，从而解决了“防病毒软件统一安装”及“病毒码统一更新”两大难题。

2.4科学的流量控制策略

随着校园规模的不断扩大，在校师生员工的逐渐增多，为了满足老师和学生的上网需要，就要通过对网络设施的提升来扩大校园网的规模，出口带宽也不断在增加，各种网络应用也更加的丰富。但是宝贵的带宽却被流媒体和软件的下载大量占用了，甚至影响到学校正常的网络应用。当然，导致校园网络异常流量的因素还有很多，有病毒木马等有害程序，有网络教学软件错误使用，设备线路故障，最主要的还是P2P软件的使用。

3总结

目前高校校园网络普遍存在网络连接形势复杂、网络设备种类数量繁多、使用的操作系统平台不统一等诸多问题，同时高校师生作为一个特殊的使用网络的群体，其用户与一般局域网用户不同，网络高手众多，对于技术的尝试性、好奇性、新鲜感，时时考验着校园网络的安全。本文根据当前咸阳师范学院校园网的现状和当前网络技术的发展趋势，提出了校园网建设方案，相关的工作包括：（1）通过需求分析，提出了校园网络架构的升级设计，其主要特征是核心层线路的冗余及各核心交换机的功能区域的划分。（2）针对网络安全的实际需求，提出了安全技术要求及具体的设计方案，包括入侵检测、VPN技术、病毒防护、存储备份等。本文应用网络系统工程思想，在对咸阳师范学院校园网进行整体规划的基础上，紧紧围绕基础网络安全畅通、出口网络安全畅通和数据、服务的安全稳定进行了研究、分析和设计。论文在网络工程改造、技术选型、出口线路设计及重要设备的选型上进行了较为详细的分析，重点突出。学校网络的建设是一项复杂的系统工程，其要求统一考虑，长远规划，保证技术的先进性和可扩展性。在下一步的网络建设中，将根据所建立的网络架构和安全模型，不断完善网络方案，在网络建设、实施和运行过程中不断完善和优化，并希望能够建立一个完善的网络安全评估体系。

本文作者：赵卫工作单位：咸阳师范学院网络管理中心