校園網絡安全保障方案范文

導語：如何才能寫好一篇校園網絡安全保障方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

關鍵詞:校園網,安全性威脅,網絡安全,安全管理

中圖分類號:TP311文獻標志碼:A

引言

隨著互聯網的迅速發展及其應用的普及,計算機網絡已經深入到社會的各行各業,這包括政府、商業、教育、軍事等,成為社會的重要的基礎設施。在各個學校中,校園網已經成為其必不可少的一部分,是學?？蒲泻凸芾淼闹匾ぞ?尤其是高等院校。如果校園網絡的安全受到威脅,那將會影響到學校師生的工作、學習和生活,甚至會對學校的發展造成一定的影響。校園網的安全管理已經成為各個學校面臨的重要問題之一,本文從校園網的安全特點入手,結合這些自身特點,運用當前網絡安全技術,以尋找提高校園網安全性的方法。

一、校園網的安全特點

校園網是覆蓋校園范圍的計算機網絡,主要采用計算機局域網技術、互聯網技術及網絡接入網技術,其中局域網技術用于校園建筑物內計算機的互聯,互聯網技術用于校園局域網的互聯,接入網技術用于校園網與外部公共網絡(Internet)或專用網(教育科研網)的互聯。隨著無線接入技術的發展,建設無線校園網已經成為一些高校校園網改造和升級的范圍內。而建立校園網的目的就是實現資源共享、信息服務、網絡教學、遠程接入和網上辦公等,這就決定了校園網安全方面具有如下特點:

1、開放的網絡環境。由于學校具有教學和科研的特點,所以要求校園網絡的環境是開放的,而且在管理方面較企業網絡來說更寬松一些,這樣就會留下一些安全隱患;

2、活躍的用戶群。在高等學校中,在校學生通常是最活躍的網絡用戶,而且數量非常龐大,他們對網絡新技術充滿好奇,敢于嘗試。尤其是一些學生會嘗試使用從網上學到的或者是自己研究的一些攻擊技術,而這些行為可能對校園網絡造成一定的影響和破壞;

3、復雜的計算機系統管理。高校中學生的電腦一般是自己花錢購買、自己維護的,有的院系是統一購買并有專門的技術人員維護,有的則是教師自主購買、沒有專業的維護,如果統一的管理這些電腦需要付出很多的時間。另外,大多數用戶基本上使用的是盜版軟件或者是在互聯網上下載的一些破解軟件,這些軟件存在很多的問題,例如留有后門、攜帶病毒等,這些將會影響計算機系統的正常運行。以上這些情況下要求實施統一的安全策略非常困難的,一旦發生某些不可預測的問題,解決起來十分困難。

以上這些特點是造成校園網成為攻擊發源地的主要原因,同時也造成校園網成為最容易攻擊的目標。致使學校面臨著一些安全性威脅,而解決這些安全問題刻不容緩。

二、校園網面臨的安全性威脅

計算機網絡所面臨的安全性威脅可以劃分為兩大類,即被動攻擊和主動攻擊。主動攻擊是指攻擊者對某個連接中通過的PDU(協議數據單元)進行各種處理,如有選擇的更改、刪除、延遲這些PDU。被動攻擊中攻擊者只是觀察和分析某一個PDU而不干擾信息流,例如截獲數據。根據以上分類,聯系校園網的安全特點,可以總結出校園網面臨的一些安全性威脅:

1、計算機蠕蟲、病毒,屬于主動攻擊,將會影響用戶的使用、信息安全、網絡運行;

2、外來的系統入侵、攻擊等惡意破壞行為,屬于主動攻擊,其中有些計算機已經被攻破,用作黑客攻擊的工具;拒絕服務攻擊目前越來越普遍,而且不少開始針對重點高校的網站和服務器;

3、截取信息,屬于被動攻擊,校園網主機保存了高新技術信息,如重大科研項目的數據、進度和成果,這些信息對競爭對手來說非常具有吸引力;校園網開展遠程教育,課程的考試也通過網絡進行,一些考生可能想從網上竊取考題,修改成績或請人替考。這些都會影響校園網的安全運行。

以上這些只是校園網作為計算機網絡有可能發生的一些攻擊,因為校園網是一種特殊的計算機網絡,有著特殊的用戶群,所以校園網還面臨著自身特有的一些安全性威脅:

1、內部用戶的攻擊行為,主要是由于在校學生的好奇心理、探索性,進行一些不顧后果的嘗試,影響校園網的正常運轉,有可能給學校帶來損失;

2、垃圾郵件、不良信息的傳播,有的利用校園網內無人管理的服務器作為中轉,嚴重影響學校的聲譽;

3、普遍存在的計算機系統的漏洞,對信息安全、系統的使用、網絡的運行構成嚴重的威脅。

4、用戶的計算機水平不同,一些用戶由于防范意識低,會打開一些攜帶病毒的文件,導致計算機的運行出現問題,甚至會影響到整個網絡。

另外,物理安全也是校園網安全的一個方面,例如網絡設施遭受人為破壞、盜竊或者是自然災害等。

綜上,校園網面臨的安全性威脅是多方面的。要提高校園網的安全性能,需要運用當前先進的網絡安全技術,建立完善的防護措施。

三、北京大學校園網信息安全解決方案

由校園網所面臨的安全性威脅可以看出,提高校園網絡的安全性已經是各個學校的當務之急,提高安全性首要的就是加強校園的安全管理工作。校園網的安全管理可以借鑒一些成功的比較完善的學校的經驗。例如北京大學的校園網信息安全解決方案,就是一個典型的例子。我國的高等院校管理結構大體相同,北京大學也是如此,整個學校院系樓群、學生公寓眾多,各部門的信息系統很分散,安全需求也不相同,如圖書館、檔案館、財務部、教務部等都各自有獨立的信息服務系統,甚至獨立的網絡結構和專職的網絡管理員,而多數的部門則主要是依托網絡中心來提供信息服務。鑒于這種管理結構,北京大學校園網采用的是部門獨立,相對分散的信息安全管理架構。對圖書館、財務部等有一定網絡規?；驅π畔踩刑厥庖蟮牟块T,自成一個安全實體,而其它全校公共信息服務系統,則由網絡中心統一負責管理。網絡中心為校園提供基本的安全服務和安全保障,主要體現在以下四個方面:

1、網絡安全基礎設施。防火墻是校園網信息安全保障的核心點,它負責校園網中最根本的信息服務系統的安全。通

過部署防火墻,實施嚴格的數據流監控,同時在防火墻和服務系統上做了較為詳細的日志記錄,為安全事件的事后取證工作提供依據。2、垃圾郵件過濾系統和防病毒郵件網關。北京大學為全校教師和學生提供唯一域的郵箱賬號,共用同一個郵件服務器有利于方便的管理。對垃圾郵件和病毒郵件分別進行處理,采用過濾系統和郵件防病毒網關對郵件進行過濾,將垃圾郵件的數量降到最低,以提高網絡的效率。

3、桌面防病毒系統。北京大學在校園網采用了SymantecAntivirus企業版的解決方案,對校園網的桌面防病毒系統進行集中管理,實現自動從服務器獲取新的病毒定義,實時具備最新的防護能力,無須用戶再干預。另外,通過管理端不僅可以清楚地了解網絡中感染病毒主機的比率情況,而且還可明確主機感染了何種病毒。

4、漏洞補丁管理和系統。校園網內以Windows系統為主,而Windows系統漏洞的危害較嚴重,北京大學在校園網內專門設置了Windows系統漏洞補丁管理和服務器,用于對校園內的Windows系統進行統一管理,從本地服務器下載更新補丁程序。另外,為避免補丁程序更新不及時或其它意外因素,對重大的漏洞補丁程序,以傳統的網絡公告方式并提供直接下載,有效地避免惡性安全事件的大范圍發生。

具備完備的安全設施是安全保障的必要條件,但更重要的是網絡安全管理的規范化和擁有專業化的安全管理團隊。通常情況下,設備或系統都有專門的系統管理員。另外,北京大學設立了網絡安全緊急響應小組,專門負責處理那些重大的緊急安全事故。從硬件、軟件到人各個方面進行規范化管理,將安全威脅降到最低,保證整個網絡的安全運行。

四、加強校園網安全管理措施的建議

由于每個學校機構設置和技術能力的不同,相應的實施安全管理方案也有所區別,經分析北京大學的校園網信息安全解決方案,可以將校園網安全管理總結為兩個方面:第一,網絡安全設備方面;第二,網絡用戶和管理員,即人員的方面。

首先,配備完整系統的網絡安全設備。在網內和網外接口處配置一定的統一網絡安全控制和監管設備,加強網絡的訪問控制能力,一般包括:防火墻、入侵檢測系統、漏洞掃描系統、網絡版的防病毒系統等。對郵件系統建立統一服務器系統,方便垃圾郵件的檢測和攔截。統一桌面防毒系統,使其能夠自動升級,實時具備最新的防護能力。通過配置安全設備可以實現對校園網絡進行系統的防護、預警和監控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網絡的故障可以迅速定位并解決。

其次,要加強對使用人員的管理,這里的使用人員包括用戶和管理員。對于用戶,尤其是新生,應該進行網絡安全教育,提高遵守相關的安全制度的自覺性,增強整體安全防范能力。對于管理人員要定期進行培訓,以提高其專業方面的素質,使他們具有較高的網絡管理水平,要做到及時進行漏洞修補和定期檢查,保證對網絡的監控和管理。學校要出臺相關的網絡安全管理制度,規范校園網用戶對網絡的使用方法,從人員方面將出現威脅的可能性降到最低。

總之,具有經驗豐富、專業化的技術團隊是網絡安全管理的根本,建立相應的安全防范機制和安全緊急響應小組,是管理必備的組織體系。加強用戶安全意識和提高管理員安全技術工作也是非常重要的一方面。只有在加強人員管理和提高設備的安全性的雙重條件下,才能夠使校園網絡安全得到保障,才能夠使校園網絡安全運行。

結束語

校園網絡的各種安全性威脅在其運行和管理中表現得尤為突出,加強校園網的安全管理是當前非常迫切、充滿挑戰的任務。各高校校園網應加強安全管理組織和技術培訓,提高用戶的安全意識,要具有完備的安全設施,使技術方面得到保障,高校之間應廣泛的交流管理經驗,以做好校園網的安全管理工作,最終建設一個安全、可信的教育和科研網絡環境。

參考文獻

[1]王竹林等編著,《校園網組建與管理》[M],清華大學出版社,20__.1

[2]王保順主編,《校園網設計與遠程教學系統開發》[M],人民郵電出版社,20__.1

[3]謝希仁編著,《計算機網絡》(第四版)[M],電子工業出版社,20__.6

[4]顧巧論,高鐵杠賈春福等編著,《計算機網絡安全》[M],清華大學出版社,20__.9

[5]邵波,王其和編著,《計算機網絡安全技術及應用》[M],電子工業出版社,20__.11

篇2

關鍵詞 虛擬局域網；校園網絡；安全體系

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）83-0202-02

1 網絡安全體系的定義

通常情況下，為了能夠保證校園網絡運行的安全穩定，校園網的大部分數據資源都只允許在內部中完成訪問。例如校園網絡的OA系統、校內郵件系統等等，這些系統的訪問和使用都必須在校園網內部操作，嚴重制約了教師、學生在個人家庭中通過訪問校園網來收取學校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網內部應用服務器一旦發生了故障，如果專業管理人員此時也沒有在學校時，就無法完成對校園網的維護操作，如果部分教師由于需要出差完成科研交流等工作時，也無法查看關于科研項目的校內數據資源。

網絡安全體系指的是一套完整的計劃設計，主要包括能夠為網絡用戶提供安全穩定的服務；能夠保證網絡中所有系統的正常運行服務；對網絡中系統的安全級別提出要求并完成設置。一套完整的網絡安全體系中的必備設計原則有數據傳輸安全、計算機系統安全、網絡用戶安全、網絡管理安全、物理架構安全等等，既要能夠對惡意的外界入侵行為進行制止，還要能夠同時應對網絡中的其他安全威脅。

2 虛擬局域網關鍵技術

2.1用戶認證技術

虛擬局域網中的用戶身份核實確認大部分都是通過用戶認證技術實現的，對系統用戶進行相應授權之后能夠保證控制訪問資源。一般情況下，網絡認證協議采用的都是報文摘要技術，主要是用于驗證數據信息的完整性和對用戶身份進行認證，通過利用哈希（HASH）函數將數據報文的長度進行一系列變換，使其能夠成為固定長度的報文摘要，但是由于哈希函數自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數據加密技術

虛擬局域網數據傳輸的過程中主要應用的是數據加密技術，來實現對數據的偽裝和隱藏。但是，如果在傳輸的過程中數據信息經過互聯網產生了安全威脅，那么即使已經通過了用戶認證，也不能保證數據信息的安全傳輸。因此，在網絡發送端應該將用戶認證進行加密之后再完成數據信息的傳輸，在網絡接收端通過用戶認證之后再對數據信息進行解密。密鑰類型主要包括對稱加密和非對稱加密兩種，在實際應用中大多數采用的都是對稱加密措施，如果是機密數據信息則采取公鑰加密技術。

2.3訪問控制技術

訪問控制技術主要是對用戶是否能夠對系統發起訪問進行控制，運行具有相應授權的用戶訪問系統資源，對沒有授權的用戶對系統資源發起訪問和獲取時立刻進行阻止。

3 校園網絡安全體系設計

本文設計提出的基于虛擬局域網技術的校園網絡安全體系設計方案主要是為了解決某高校老校區與新校區之間信息互通、資源共享、專網整合的問題，由此構建出一條專用的虛擬局域網安全通道，從而保證這些重要數據資源能夠在校園網中安全穩定地傳輸。

3.1系統設計原則

1）安全保障

虛擬局域網系統的重要職能就是保證網絡的安全穩定，以及在互聯網傳輸過程中數據信息的安全可靠，因此，虛擬局域網系統的安全保證必須包括用戶身份認證、數據信息保密和數據信息完整。

2）多平臺兼容

虛擬局域網系統的關鍵功能就是要保證用戶不受時間和地域的限制對系統資源發起訪問，以及當用戶進行移動辦公時要保證網絡連接的安全可靠。

3）訪問控制權限

校園網的虛擬局域網系統主要是為多個應用程序提供保護的，因此要設置不同的用戶訪問控制策略，使得擁有不同權限的用戶能夠訪問相應的系統資源。

4）平臺管理簡潔

虛擬局域網服務器應該為用戶和系統管理員提供良好的應用管理操作界面，在方便用戶對系統資源進行訪問操作的同時，還要保證系統管理員的安全維護操作簡單便捷，更要為服務器與用戶之間的通問、安全日志等做好記錄。

3.2系統功能模型

根據校園網絡的實際安全需求和虛擬局域網系統的設計原則，虛擬局域網系統的功能模型主要包括用戶身份認證模塊、數據傳輸模塊、訪問控制模塊和系統管理模塊。

1）用戶身份認證模塊

虛擬局域網系統客戶端通過采取數字證書的認證方式對用戶身份進行核實；服務器對系統客戶端進行認證時需要采取不同的認證方法，如果用戶通過遠程網絡連接到虛擬局域網中，服務器則采用用戶名+密碼的認證方式對用戶合法身份進行識別，在校園網內部則采取數字證書的方式對用戶身份進行識別。

2）數據傳輸模塊

數據傳輸模塊的主要功能是采取相應加密算法對數據進行加密之后傳輸給接收方，以及對接收到的數據進行解密。

3）訪問控制模塊

訪問控制模塊主要是根據已經設置完成的訪問控制策略來控制系統中的資源是否能夠被用戶進行訪問和操作。

4）系統管理模塊

系統管理模塊主要負責對虛擬局域網系統服務器的日常服務信息進行記錄，包括訪問日期、訪問時間、網絡使用情況等等，并生成對應的日志報告。

3.3系統詳細設計

本文提出的基于虛擬局域網技術的校園內部網設計方案如圖1所示。

學校的新校區和老校區之間通過采用虛擬局域網技術，建立起一道校園內部虛擬局域網通道，將新校區與老校區利用光纖實現網絡連接，將網絡的出口端設置在新校區。校園網中的財務管理系統、人事管理系統和一卡通管理系統都需要通過同一個鏈路與新校區進行連接，因此，我們采用虛擬局域網網絡安全標準對鏈路進行數據加密，從而保證通過這條鏈路傳輸的數據能夠安全可靠。

校園網中的一般用戶的訪問控制策略安全級別的設置可以相對較低，一般用戶安全級別如果設置過高則會耗費大量的系統資源，造成無法訪問或網絡癱瘓的情況出現。對于校園網中的財務管理部門、人事管理部門和后勤服務部門來說，應該采取兩層架構隔離的方法接入到校園網中，再通過內部網關協議與核心交換機連接，從而保證在新校區與老校區之間實現數據加密傳輸。

4結論

綜上所述，本文從校園網實際需求角度出發，將虛擬局域網技術應用到校園網建設當中，提出了一套校園網絡安全體系設計方案，能夠有效保證新校區與老校區之間的數據通信、數據共享和數據整合安全，具有較強的理論指導意義。

參考文獻

篇3

近年來，隨著我國社會經濟的不斷發展，國家對教育事業的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發展和提高。信息化、網絡與計算機技術的不斷發展也為教育事業提供了強有力的支持手段，為教育模式的創新、先進教育理念提供了可靠的實現方法。

高校信息化主要以數字化校園建設為主，主要內容包括校園信息管理系統、數據中心、統一信息門戶、統一身份認證、校園一卡通、網絡安全體系等；大學數字化校園建設通常先提出總體解決方案，確定數字化校園的體系結構，制定數字化校園的信息標準，以及各系統之間的接口標準，然后分階段實施。建立全校的網絡安全體系，保證校園網絡的安全，保證關鍵數據、關鍵應用的安全以及關鍵業務部門的安全，實現校園網絡及其應用系統的安全高效運行。

1教育信息化中的安全體系建設

在教育信息化建設過程中，信息安全體系是保障教育信息系統的信息完整、系統可用和信息保密的重要支撐體系，對各級學校、職業教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統的安全體系建設給予了充分的重視，也是由于教育信息系統的復雜性、多樣性、異構性和應用環境的開放性，給整個信息系統帶來了巨大安全威脅。以高校數字校園信息系統為例，高校數字校園信息系統的建設是由高校業務需求驅動的，初始的建設大多沒有統一規劃，有些系統是獨立的網絡，有些系統又是共用一個網絡。而這些系統的業務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網絡系統是一個龐大復雜的系統，在支撐高校業務運營、發展的同時，信息系統面臨的信息安全威脅也在不斷增長、被發現的脆弱性或弱點越來越多、信息安全風險日益突出，成為高校面臨的重要的、急需解決的問題之一。在進行數字化校園建設的過程中，也曾發生不少信息安全事件，如某高校數據中心一臺服務器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網發包，導致學校網絡出口癱瘓；某高校在高招中發現網站被掛馬、篡改，并且學校內部也曾經發現學生成績的數據庫，有被惡意篡改的痕跡。

2網絡安全威脅分析

（1）高校網站的安全威脅，包括高校門戶網站、高校招生網站、二級各院系等網站，由于高考、招生、學生就業等敏感時期，聚集了大量的學生及家長訪問流量，也引起黑客的關注，高校網站面臨的主要安全威脅有：網頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網站的管理權限，進而篡改網頁代碼；部分攻擊者將高校網站替換成黃色網站，影響極其惡劣。每年高考招生及高校重要節日期間，高校門戶網站極易被DDOS攻擊，這種由互聯網上發起的大量同時訪問會話，導致高校網站負載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后，以該服務器為跳板，對內網進行探測掃描，發起攻擊，對內網核心數據造成影響。（2）隨著校園網信息化的逐步深入，業務系統眾多，“一卡通”、教學信息管理系統、電子圖書館、教育資源庫等信息化業務系統均普遍的被各大高校采用，而這些系統由于管理及防護不到位，面臨著較嚴重的安全威脅：業務系統缺乏必要的入侵防護手段，高校網絡規模擴張迅速，網絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，沒有條件管理和維護數萬臺計算機的安全，一旦受到黑客攻擊，無法阻斷攻擊并發現攻擊源；部分高?！耙豢ㄍā背渲迪到y與銀行互聯，邊界缺乏必要的隔離和審計措施，出現問題不方便定位，難以追查取證；校園網數據中心內的系統應用眾多、服務器眾多，管理及維護方式也不盡相同，無法做到所有的系統實施統一的漏洞管理政策。同時，對于存在安全隱患的配置檢查，也缺乏自動化的高效檢查工具和控制手段；業務系統權限控制不合理，有安全隱患。

3需求分析

根據對高校校園網絡的威脅分析，得出在校園網絡安全體系建設中，各個網絡區域和業務系統的安全需求如下：

（1）校園網絡出口應對可能發生的拒絕服務攻擊進行有效識別、過濾、清洗，保證網絡出口的暢通，保證骨干鏈路的負載處于正常范圍之內。（2）網絡出口鏈路應有相應措施，對來源于公網或內網的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。（3）DMZ區及內網服務器區出口鏈路上，應對針對WEB應用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。（4）應對流經核心交換區域的所有流量進行深入的檢測，以識別內部各網絡區域之間發生的入侵事件和可疑行為。（5）應對內網用戶的網絡行為，如公網訪問、數據庫訪問等進行全面的記錄和審計，以滿足違規事件發生后的追查取證。（6）應在不同校區之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。

應對全網的網絡節點進行漏洞風險管理，實現漏洞預警、漏洞加固和漏洞審計的全程風險控制。（7）應對全網的網絡節點進行配置合規管理，實現違規配置及時識別、配置整改全面深入、配置風險全程可控。（8）應對運維管理人員進行詳細嚴格的權限劃分，并通過技術手段控制運維行為權限，對運維行為進行全程審計，對違規運維操作進行實時告警。

4遵循等保要求

2009年11月，教育部為進一步加強教育系統信息安全工作，由辦公廳印發《關于開展信息系統安全等級保護工作的通知》（教辦廳函[2009]80號），決定在教育系統全面開展信息安全等級保護工作；等級保護不僅是對信息安全產品或系統的檢測、評估以及定級，更重要的是，等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合，設計一套符合高校需求的信息安全保障體系，是適合我國國情、系統化地解決高校信息安全問題的一個非常有效的方法。

5網絡安全建設方案

（1）在校園網出口處旁路部署抗拒絕服務攻擊系統（ADS）對拒絕服務攻擊流量進行清洗，并且旁路部署網絡流量分析系統（NTA）對網絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環境下，旁路部署的ADS不參與網絡出口流量的路由和交換，邊界路由器通過NETFLOW等技術將流量信息發送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當發現遭受DDOS攻擊時，NTA將激活ADS，由ADS向邊界路由器發送針對特定防護目標IP的路由，將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統進行惡意流量的識別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發送至目標IP。（2）在出口鏈路部署入侵防護系統，對接入互聯網的訪問流量進行深入過濾，有效抵御源自公網的入侵威脅，消除安全風險。（3）在DMZ區和內網服務器出口處部署WEB應用防火墻，對服務器區的WEB服務器進行全方面的防護，對針對WEB站點的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網頁篡改等攻擊手段進行深入防護。保障網站、電子教務系統、一卡通系統等應用系統的正常工作。（4）在核心交換區旁路部署安全審計系統，通過將核心交換機上各端口的流量鏡像到安全審計系統的監聽鏈路，實現對流經核心交換機的網絡數據進行全程的審計和過濾。通過制定詳細的安全審計策略，對違反審計策略的網絡行為進行實時告警。此外，安全審計系統由部署在網絡運維區的安全中心進行統一監控與策略下發，并實時收集網絡時間日志和告警信息。（5）在核心交換區域的出口鏈路部署下一代防火墻，實現出口鏈路的流量檢測和安全過濾，保護內部網絡安全。建議在核心交換區域與各個校區的網絡邊界處部署下一代防火墻，通過下一代防火墻對應用層攻擊、病毒進行全面阻斷，可實現基于源/目的IP地址、協議/端口、時間、用戶、VLAN、VPN、安全區的訪問控制，保證不同網絡區域之間的安全防護邊界完整。同時，通過安全管理區的安全管理服務器上安裝安全中心對該設備進行全面的管理。

篇4

關鍵詞：校園；電子商務；安全；解決方案

引言

隨著網絡的不斷普及和電子商務的迅猛發展，電子商務這種商務活動新模式已經逐漸改變了人們的經濟活動方式、工作方式和生活方式，越來越多的人們開始接受并喜愛網上購物，可是，電子商務發展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題，因此，安全問題是電子商務的核心問題，是實現和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環境下的具體應用與實現，其安全性也同樣是其發展所不容忽視的關鍵問題，因此應當著重研究。

一、校園電子商務概述

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環境下的具體應用，它是指在校園范圍內利用校園網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統。

1.2校園電子商務的特點。

相對于一般電子商務，校園電子商務具有客戶群穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點，這些特點也是校園開展電子商務的優勢所在。與傳統校園商務活動相比，校園電子商務的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務的安全問題

2.1校園電子商務安全的內容。

校園電子商務安全內容從整體上可分為兩大部分：校園網絡安全和校園支付交易安全。校園網絡安全內容主要包括：計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。校園支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題，如網上交易信息、網上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。然而，網絡安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網絡安全是基礎，是交易安全的保障。校園網也是一個開放性的網絡，它也面臨許許多多的安全威脅，比如：身份竊取、非授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅，網上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認交易行為，交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析，可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。

三、校園電子商務安全解決方案

3.1校園電子商務安全體系結構。

校園電子商務安全是一個復雜的系統工程，因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求，通過對校園人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃，再結合的電子商務的安全技術，總結校園電子商務安全體系結構，如圖所示：

上述安全體系結構中，人文環境層包括現有的電子商務法律法規以及校園電子商務特有的校園信息文化，它們綜合構成了校園電子商務建設的大環境；基礎設施層包括校園網、虛擬專網VPN和認證中心；邏輯實體層包括校園一卡通、支付網關、認證服務器和交易服務器；安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制；應用系統層即校園電子商務平臺，包括網上交易、支付和配送服務等。

針對上述安全體系結構，具體的方案有：

（1）營造良好校園人文環境。加強大學生的道德教育，培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念，共同營造良好的校園電子商務人文環境，防止人為惡意攻擊和破壞。

（2）建立良好網上支付環境。目前我國高校大都建立了校園一卡通工程，校園電子商務系統可以采用一卡通或校園電子帳戶作為網上支付的載體而不需要與銀行等金融系統互聯，由學校結算中心專門處理與金融機構的業務，可以大大提高校園網上支付的安全性。

（3）建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學校內部或校園附近，只需要很少的人員就可以解決物流配送問題，而不需要委托第三方物流公司，在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網絡安全對策。

保障校園網絡安全的主要措施有：

（1）防火墻技術。利用防火墻技術來實現校園局域網的安全性，以解決訪問控制問題，使只有授權的校園合法用戶才能對校園網的資源進行訪問，防止來自外部互聯網對內部網絡的破壞。

（2）病毒防治技術。在任何網絡環境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網雖然是局域網，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網絡安全的重要環節。

（3）VPN技術。目前，我國高校大都已經建立了校園一卡通工程，如果能利用VPN技術建立校園一卡通專網就能大大提高校園信息安全、保證數據的安全傳輸。有效保證了網絡的安全性和穩定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題，可以用電子商務的安全機制來解決，例如數據加密技術、認證技術和安全協議技術等。通過數據加密，可以保證信息的機密性；通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解決信息的完整性和不可否認性的問題；通過安全協議方法，建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。

（1）數據加密技術。加密技術是電子商務中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數據的機密，主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認證技術。認證技術是保證電子商務交易安全的一項重要技術，它是網上交易支付的前提，負責對交易各方的身份進行確認。在校園電子商務中，網上交易認證可以通過校園統一身份認證系統（例如校園一卡通系統）來進行對交易各方的身份認證。

（3）安全協議技術。目前，電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析，校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間，能夠更好地封裝應用層數據，不用改變位于應用層的應用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道，保證傳輸數據的安全。

3.4基于一卡通的校園電子商務。

目前，我國高校校園網建設和校園一卡通工程建設逐步完善，使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全，可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網是一個內部網絡，它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設施，來自外部網絡人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。:

（2）校園一卡通具有統一身份認證系統，能夠對參與交易的各方進行身份認證，各方的交易活動受到統一的審計和監控，統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權，使其網上活動受到其身份的限制，有效防止一些惡意事情的發生。同時，由于校內人員身份單一，多為學生，交易中一旦發生糾紛，身份容易確認，糾紛就容易解決。

四、結束語

開展校園電子商務是推進校園信息化建設的重要內容，隨著我國校園信息化建設的不斷深入，目前已有許多高校開展了校園電子商務，它極大的方便了校園內師生員工的工作、學習、生活?？墒桥c此同時，安全問題成為制約校園電子商務發展的障礙。因此，如何建立一個安全、便捷的校園電子商務應用環境，讓師生能夠方便可靠的進行校園在線交易和網上支付，是當前校園電子商務發展要著重研究的關鍵問題。

參考文獻：

[1]李洪心。電子商務安全[M].大連：東北財經大學出版社，2008.

[2]楊堅爭，趙雯，楊立釩。電子商務安全與電子支付[M].北京：機械工業出版社，2008.

[3]劉克強。電子交易與支付[M].北京：人民郵電出版社，2007.

篇5

關鍵詞:校園;電子商務;安全;解決方案

中圖分類號:G647文獻標識碼:A

引言

隨著網絡的不斷普及和電子商務的迅猛發展,電子商務這種商務活動新模式已逐漸改變了人們的經濟活動方式、工作方式和生活方式,越來越多的人們開始接受并喜愛網上購物,可是,電子商務發展的瓶頸――安全問題仍然是制約人們進行電子商務交易的最大問題,安全問題是電子商務的核心問題,是實現和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在學校環境下的具體應用與實現,其安全性也同樣是其發展所不容忽視的關鍵問題。

一、校園電子商務概述

(一)校園電子商務的概念。校園電子商務是電子商務在校園這個特定環境下的具體應用,它是指在校園范圍內利用學校的網絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校園內單位、企業和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的商務系統。

(二)校園電子商務的特點。相對于一般電子商務,校園電子商務具有客戶群穩定、網絡環境優良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優勢所在。與傳統學校商務活動相比,校園電子商務的優點有:交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務的安全問題

(一)校園電子商務安全的內容。校園電子商務安全內容從整體上可分為兩大部分:學校網絡安全和學校支付交易安全。學校網絡安全內容主要包括:計算機網絡設備安全、計算機網絡系統安全、數據庫安全等。學校支付交易安全的內容涉及傳統校園商務活動在校園網應用時所產生的各種安全問題,如網上交易信息、網上支付以及配送服務等。

(二)校園電子商務安全威脅。校園電子商務安全威脅同樣來自網絡安全威脅與交易安全威脅。網絡安全與交易安全并不是孤立的,而是密不可分相輔相成的,網絡安全是基礎,是交易安全的保障。校園網也是一個開放性的網絡,它也面臨許許多多的安全威脅,例如:身份竊取、非授權訪問、冒充合法用戶、數據竊取、破壞數據的完整性、拒絕服務、交易否認、數據流分析、旁路控制、干擾系統正常運行、病毒與惡意攻擊、內部人員的不規范使用和惡意破壞等。校園網的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露指非法用戶通過各種技術手段盜取或截獲交易信息致使交易信息的機密性遭到破壞;篡改信息指非法用戶對交易信息插入、刪除或修改,破壞交易信息的完整性;假冒指非法用戶冒充合法交易者以偽造交易信息;交易抵賴指交易方否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。

(三)校園電子商務基本安全需求。通過對學校電子商務安全威脅的分析,可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統的整體規劃可以提高其安全需求。

三、校園電子商務安全解決方案

(一)校園電子商務安全體系結構。校園電子商務安全是一個復雜的系統工程,因此要從系統的角度對其進行整體的規劃。根據校園電子商務的安全需求,通過對學校人文環境、網絡環境、應用系統及管理等各方面的統籌考慮和規劃,再結合電子商務的安全技術,總結出校園電子商務安全體系結構。

在校園電子商務安全體系結構中,人文環境層包括現有的電子商務法律法規以及學校電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環境;基礎設施層包括校園網、虛擬專網VPN和認證中心;邏輯實體層包括校園一卡通、支付網關、認證服務器和交易服務器;安全機制層包括加密技術、認證技術以及安全協議等電子商務安全機制;應用系統層即校園電子商務平臺,包括網上交易、支付和配送服務等。針對上述安全體系結構,具體的方案有:

1、營造良好的校園人文環境。加強大學生的道德教育,培養校園電子商務參與者們的信息文化知識與素養、增強高校師生的法律意識和道德觀念,共同營造良好的校園電子商務人文環境,防止人為惡意攻擊和破壞。

2、建立良好的網上支付環境。目前,我國高校大都建立了校園一卡通工程,校園電子商務系統可以采用一卡通或校園電子賬戶作為網上支付的載體,而不需要與銀行等金融系統互聯,由學校結算中心專門處理與金融機構的業務,可以大大提高校園網上支付的安全性。

3、建立統一身份認證系統。建立校園統一身份認證系統可以為校園電子商務系統提供安全認證的功能。

4、組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確、及時地完成配送服務。

(二)校園網絡安全對策。保障校園網絡安全的主要措施有:

1、防火墻技術。利用防火墻技術來實現校園局域網的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網的資源進行訪問,防止來自外部互聯網對內部網絡的破壞。

2、病毒防治技術。在任何網絡環境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網雖然是局域網,可是也免不了計算機病毒的威脅。因此,加強病毒防治是保障校園網絡安全的重要環節。

3、VPN技術。目前,我國高校大都已經建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網,就能大大提高校園信息安全、保證數據的安全傳輸,有效地保證網絡的安全性和穩定性,且易于維護和改進。

(三)交易信息安全對策。針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數據加密技術、認證技術和安全協議技術等。通過數據加密,可以保證信息的機密性;通過采用數字摘要、數字簽名、數字信封、數字時間戳和數字證書等安全機制來解決信息的完整性和不可否認性的問題;通過安全協議方法,建立安全信息傳輸通道來保證電子商務交易過程和數據的安全。

1、數據加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數據的機密,主要有對稱加密和非對稱加密。對稱加密是常規的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。

2、認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務中,網上交易認證可以通過校園統一身份認證系統(如校園一卡通系統)來進行對交易各方的身份認證。

3、安全協議技術。目前,電子商務發展較成熟和實用的安全協議是SET和SSL協議。通過對SSL與SET兩種協議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數據的安全。

(四)基于一卡通的校園電子商務。目前,我國高校校園網建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:

1、校園網。它是一個內部網絡,它自身已經屏蔽了絕大多數來自公網的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網上支付被盜取賬號密碼等信息的可能性微乎其微。

2、校園一卡通。它具有統一身份認證系統,能夠對參與交易的各方進行身份認證,各方的交易活動受到統一的審計和監控,統一身份認證能夠保證網上工作環境的安全可靠。校園網絡管理中對不同角色的用戶享有不同級別的授權,使其網上活動受到其身份的限制,有效防止一些惡意事情的發生。同時,由于校內人員身份單一,多為學生,交易中一旦發生糾紛,身份容易確認,糾紛就容易解決。

四、結束語

開展校園電子商務是推進校園信息化建設的重要內容,隨著我國校園信息化建設的不斷深入,目前已有許多高校開展了校園電子商務,它極大地方便了校園內師生員工的工作、學習、生活?？墒桥c此同時,安全問題成為制約校園電子商務發展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環境,讓師生能夠方便可靠地進行校園在線交易和網上支付,是當前校園電子商務發展應著重研究的關鍵問題。

(作者單位:1.陜西理工學院;2.重慶大學經濟與工商管理學院)

主要參考文獻:

[1]李洪心.電子商務安全[M].大連:東北財經大學出版社,2008.

[2]楊堅爭,趙雯,楊立釩.電子商務安全與電子支付[M].北京:機械工業出版社,2008.

[3]劉克強.電子交易與支付[M].北京:人民郵電出版社,2007.

[4]Charlie Kaufman,Radia Perlman,MikeSpeciner著,許劍卓等譯.網絡安全-公眾世界中的秘密通信[M].北京:電子工業出版社,2004.

[5]張紅霞,宋德昌.校園電子商務如何建設[J].信息系統工程,2005.7.

[6]朱乾鋒.淺談“一卡通”技術[J].科技創新導報,2009.9.

[7]丁學君.電子商務中的信息安全問題及其對策[J].計算機安全,2009.2.

[8]余紹軍,彭銀香.電子商務安全與數據加密技術淺析[J].中國管理信息化(綜合版),2007.4.

[9]王俊杰.電子商務安全問題及其應對策略[J].特區經濟,2007.7.

[10]秦昌友.淺析電子商務的安全技術[J].蘇南科技開發,2007.8.

篇6

關鍵字：數字化；網絡安全；校園

一、網絡安全問題

（一）木馬病毒的危害

當下，我國的高校計算機安全方面，最突出的一個方面還是類似于木馬這類電腦病毒對于計算機的入侵，這不僅是是對數字化校園網絡環境的危害，對所有的計算機都是一個非常共性的問題。雖然信息在不斷地進步，計算機也不斷的進行更新換代，但是就像木馬病毒，目前已經更新出第六代了，電腦病毒也會跟隨著計算機的進化腳步而不斷的進化，這種病毒可以通過很多種方式來對電腦造成不可預估的危害，從而在人們對計算機的使用中帶來很多的麻煩。另外，由于人們對于病毒的防范意思的缺乏，從而導致人們對電腦上的殺毒軟件不能夠及時的進行更新，這就會對電腦病毒提供更多入侵電腦的機會，對數字化校園網絡的安全性帶來一些不必要的麻煩[1]。

（二）不健康信息的傳播

互聯網，顧名思義就是相互連接在一起的網絡，這不僅為老師和學生們教學和學習帶來方便，它還可以使老師和學生能夠及時的了解外部情況。另外，為了使各個高校之間能夠更加方便的交流和學習，各高校之間都是通過互聯網連接在一起的，使各個高校之間的學術交流得到進一步的拓展，為師生們提供更大的便利。但是，利弊總是伴生的。如果想要使師生獲得更大的便利，這就需要放寬對于網絡的束縛，增加它的開放性。那么問題也就會隨之而來，這就給數字化校園網絡的管理方面帶來了更大的壓力，例如網上的一些黃色暴力信息，就會借此機會入侵到高校計算機的網絡里面去，從而對學生們的身心健康和心理方面造成很大的不良影響，直接影響到學生們的學習效率。而且隨著智能手機的出現的高速發展，學生們可以通過智能手機連接學校的無線網絡，這就又為那些不良信息找到一個更好的宿主。雖然學生們知道那是不良信息，但是由于好奇心理的驅使以及自制能力的缺乏，從而不能夠抵制掉不良信息的誘惑。由此可見，不良信息的傳播也是高校網絡安全面臨的重要問題。

（三）對于專業網絡安全管理人才的需求

在當前國內的數字化校園網絡環境管理團隊中，相當大一部分的管理人員缺乏對于網絡安全管理的專業知識，對于人才的需求更是日益強烈，以至于在當前的管理人員中還有的是學校內的計算機老師進行輔助管理。而隨著信息技術的不斷發展，病毒的不斷進化，業余的管理人員是不E夠應對一些突發狀況的，計算機老師顯然不能夠勝任這項工作。因為大多數的計算機老師雖然能夠對電腦系統進行重裝，處理一些其他方面的小問題，但是當他們面對木馬這類的電腦病毒時卻無能為力。例如，校園網被不良信息入侵或者被黑客攻擊以及木馬病毒時，就算他們能夠及時的發現，但是他們也只能眼睜睜的看著病毒肆虐，卻不能夠及時的對其進行及時的有效的制止，這就可能導致學校內部的研究成果外泄或者學生個人信息的泄露。因此，這就需要更加專業的計算機人才來對數字化校園網絡環境進行專業的管理。

（四）網絡安全保護意思的缺乏

網絡本身就是一個比較抽象的概念，你也許只能看到一些線路，這就是網絡。但是，也許當我們真正離開網絡后才能明白它的重要性。網絡安全就是如此，它或許比網絡更加的虛無縹緲，但它卻真實的存在，而且非常重要。問題就出在這，因為人們不能夠看到它的存在，因此潛意識里就不會對它引起重視，只有在電腦中病毒了、不能運行了、重要文件丟失了，這個時候才想起網絡安全這個詞語。而高校的師生也是這個想法，不能夠對電腦上的殺毒軟件進行更新，因此黑客和病毒就有了機會入侵到數字化校園網絡環境，這個時候才會意識到網絡安全的份量。

二、數字化校園網絡安全管理對策

由于信息技術是一種在第三次科技革命下產生的高科技產物，而且它的發展速度以及更新速度都遠超之前的各種技術。因此，高校需要加大對信息網絡技術的投入和建設，在滿足發展需要的同時也應該做好自身的安全保障工作。這就需要對數字化校園網絡環境的安保措施進行完善，及時的對殺毒軟件進行更新，優化和升級防火墻等防止黑客和病毒入侵的防護軟件，要做到對其及時的發現并進行有效的處理。另外，為了防止出現意外，一定要對重要的數據進行格外加密和備份[2]。此外還要建立起完善的信息過濾系統，對一些敏感字符或者信息進行自動過濾。

三、結束語

總體來說，信息技術在數字化校園網絡環境中給師生帶來的便利還是功不可沒的，但是在對數字化校園網絡環境安全的問題方面還是需要引起很大的關注的，有必要的話還可以請一些專業的專家來進行一些計算機網絡安全方面的講座，強化學校師生對網絡安全重要性的認識。[3]另外，還應該加大對于數字化校園網絡安全方面的物力和人力的投入，還要定期的對系統進行維護以及對管理人員專業知識方面的培養，全面的提高數字化校園網絡安全方面的防范措施。爭取打造一個安全可靠的科研和學術交流的平臺。

參考文獻

[1]陳衛民. 多網合一的高校數字化校園網絡及其安全性研究[D].湖南大學，2011.

篇7

論文摘要:在信息化浪潮的推動下，院校校園網飛速建設，但信息技術的發展和更新卻遠遠超出我們預見，它使得傳統有線校園網絡的建設和應用的片面性逐漸呈現。新時期，如何對校園網進行升級、拓展應用成為當前校園網建設和改造要考慮的重要問題。

近幾年來，有線網絡建設、運行和維護的實踐表明，由于目前網絡是“有線”的，所以在應用中有相當多的問題不可避免。諸如，很多學校只在部分區域接入網絡，而無法顧及所有區域;那么，在不宜進行網絡布線的場館該如何聯網呢?在教室、實驗室等場合如何突破網絡節點限制，實現多人同時上網呢?這些傳統有線校園網的“網絡盲點”問題，與教員、學員“隨時隨地獲取信息”的新需求之間的矛盾如今將可以通過無線技術輕松解決。

    1“無線”的優勢所在

    1.1全覆蓋:以高速無線的方式覆蓋整個校園，主要包括教學樓辦公室、禮堂、公寓、圖書館、廊道綠地等，強大的無縫漫游功能，確保了網絡通信的流暢性，讓學校師生隨時隨地可以接人網絡，享受無線校園帶來的樂趣。

    1.2可管理:由于校園有線網絡已經建成，統一的網絡管理已經投人使用，本次建成的無線網絡，將可以很好的融合進現有校園管理系統中，便于統一管理和維護。

    1.3可擴充性:在校園網絡規模不斷發展的情況下，無線網絡可滿足在不改變主體架構與大部分設備的前提下，平滑實現升級和擴充，降低原有網絡的硬件投資，并保證擴展后的系統可用性與穩定性。

    1.4多種服務的支持:基于校園級網絡的未來可持續發展，采用的無線產品均具備可適應未來發展校園級無線寬帶應用(如無線語音應用、無線視頻會議應用、無線多媒體通信應用等)的需要，并提供低成本的無縫升級和前后兼容。

    2“無線”的設計方案

    無線網絡技術具有無縫覆蓋、可移動通信等優點，可與有線網絡互為補充，但就目前無線技術的發展狀況，無線最大的優勢仍在于對現有有線網絡的補充。在高等網絡中，完善的解決方案將開辟無線網絡在高等教育的應用，進而引發深刻的整個高等網絡變革。

    根據校園網絡實際應用環境的特點，無線網絡解決方案大體分為兩套:室內和室外。

    2.1室內無線局域網主要針對不方便進行大規模布線或不宜布設太多信息點的建筑，如:圖書館、辦公大樓、教學樓、網絡教室、會議室、學員宿舍和報告大廳等。在室內實現全方位的無線上網，這將成為無線應用的新趨勢。

   2.2室外無線解決方案主要針對分布較遠的校區之間、布線不甚方便的校園建筑物之間以及適合學習的室外場所，如草坪、操場空地等。

    3“無線”的安全性能

    長期以來，安全性能制約著無線網絡的發展。隨著802. l國際標準和wapi國內標準的相繼出臺，無線網絡安全性得到了全面提升。國內的wapi國家標準，具有支持雙向鑒別、數字證書鑒別等優勢，實現設備的身份認證、證書鑒別、訪問控制和用戶信息在無線傳輸狀態下的加密保護，為無線終端接人提供更高等級的安全保障。

    無線網絡提供的比較常用的安全機制有如下三種:

    3.1基于mac地址的認證:基于mac地址的認證就是mac地址過濾，每一個無線接人點可以使用mac地址列表來限制網絡中的用戶訪問。實施mac地址訪問控制后，如果mac列表中包含某個用戶的mac地址，則這個用戶可以訪問網絡，否則，如果列表中不包含某個用戶的mac地址，則該用戶不能訪問網絡。

    3.2共享密鑰認證:共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網絡的訪問權。

篇8

目前，全國高校中的信息化建設發展迅速，橫向發展越來越全面，縱向發展越來越深入。信息化建設對高校的教育發展具有革命性影響，已經成為促進高校教育改革創新和提高教育質量的推動力，是高校教育發展的創新前沿。大學的教學、科研和管理的正常運作幾乎完全依賴于信息系統的穩定可靠運行，信息系統中的安全體系成為至關重要的部分。因此，高校需要一套完整嚴密的安全體系來保障信息化建設。

二、現狀與問題

隨著高校信息化建設的推進，大學信息化建設規模越來越大，軟硬件設備配備完整，運行保障的基礎技術手段基本具備。擁有了網絡系統管理和應用技術支持的專業人員，在安全上采用了防火墻、防病毒等常規的安全防護手段，保障了核心業務系統在一般情況下的正常運行，具備了基本的安全防護能力。但隨著信息系統的發展，不管從業務功能還是數據方面都在不斷的發生變化，但信息安全體系的不斷完善與整改往往因得不到重視而滯后。所以就會存在以下主要問題：信息化建設領導機構及信息安全機構設置不夠正規化、專一化。在之前，大多數高校中，信息安全機構不受重視、不夠專一。認為信息安全部分的進程，不用單獨成為信息化建設時平行推進的一條線，在信息化建設時對能考慮到的安全問題做決策，過程中未考慮到的問題，隨后再去做分析。這樣的結果往往使得安全部分的建設跟信息化建設脫節，如果步伐相差較大，安全系統體系最終不能到達預期的結果。防護系統過于單一。網絡與信息安全事件分類不明確，出現不同問題預處理方式不明確，導致不能全面的做到預防備案。對信息系統沒有主動去測試、篩選、掃描等主動檢測、監測與查找，而是等待不同的安全問題出現后再去找相應的解決方案。保障措施不完善。后續處理應及時，抑制不安全影響進一步擴大。

三、高校信息安全體系的設計與應用

1.信息化建設領導機構及信息安全機構設置。（1）學校成立校園網絡與信息安全事件應急處置領導小組，全面負責和統一指揮校園網絡與信息安全重大突發事件的應急處置工作。（2）數字校園建設中心作為學校信息化建設的主管部門，負責校園主干網絡與主要信息系統安全事件的預防、監測、報告和應急處置，負責對學校其他部門主管的網絡信息系統的安全防護情況進行日常檢查、指導和督促，必要時數字校園建設中心協助相關主管部門完成突發事件的技術處理。（3）成立校園網管理委員會，職責為負責領導、監督和協調校園網的建設和運行；負責對校園網建設、使用和運行中的重大問題和政策性問題進行決策。信息化領導小組由主管信息化校領導和有關職能部門負責人組成。整合網絡中心、技術中心和電教中心成立數字校園建設中心，數字校園建設中心在教育信息化領導小組的領導下負責學校的信息化建設。（4）單獨成立校園網絡與信息安全事件應急處置領導小組，全面負責和統一指揮校園網絡與信息安全重大突發事件的應急處置工作。2.完整的信息安全架構。信息安全工作是一項常抓不懈的長期工作，首都師范大學在努力做好當下相關工作的同時，分別在安全技術和管理規范上做了相應的規劃。學校根據目前信息安全的現狀，申報信息安全建設專項，計劃通過采購數據中心防火墻、漏洞掃描系統、負載均衡等安全防護設備工相關工具，對數據中心進行整體安全加固，提升數據中心安全防護能力，切實提高系統的安全風險抵御能力，降低網絡應用系統所面臨安全風險威脅，保證網絡應用系統安全、穩定的運行，使網絡信息系統在符合國家信息安全防護相應級別的安全要求。以首都師范大學數據中心安全規劃架構為例：第一層安全防護：即傳統防火墻+IPS，并且對內部的應用進行詳細控制，對校園網開放應用需要對開開放的端口，例如真把HTTP的80端口開放出來，其余的應和數據庫等就不會出現在校園網當中，并通過IPS對于蠕蟲、syn等攻擊行為進行防護。第二層安全防護：由于傳統的防火墻無法對于80端口的web應用進行防護，所以需要專門的web應用防火墻進行80端口的web應用的防護；在數據中心與核心交換機之間一般都使用萬兆鏈路，web應用防火墻不能像傳統防火墻能夠去支持萬兆接口，只能夠通過策略路由的方式將所有的80端口流量全部匹配至web應用防火墻內，其余的流量還照樣能夠走萬兆流量，一般在測試的過程中web流量基本維持在300M-500M之間，或者也可以采用反向的方式旁路在數據中心交換機上。第三層安全防護：虛擬化安全防護，在數據中心層面都提倡大二層結構，為了是最大化降低應用之間的訪問延遲，所以在虛擬化網絡設計當中就沿用二層設計，但由于一臺物理機器上承載多臺虛擬機，所以在2層交換上都是在虛擬交換機上進行，也就是說在相同虛擬機上同網段段的數據交互在網卡層面就完成，那相互之間的安全就需要依靠虛擬化安全防護來完成。第四層安全防護：數據庫安全防護，這部分防護主要是在應用服務器與數據庫服務器之間，監視數據庫活動、防止未被授權的數據庫訪問、SQL注入權限或角色升級、對敏感數據的非法訪問。第五層安全檢測：通過漏洞掃描設備解決系統本身的漏洞和安全隱患，在拓撲中只要網絡可達便可對所有的設備進行檢查。該項目正在逐步推進過程中，計劃于明年年底前建設完成并交付使用，通過該項目的實施，各安全設備的運行防護能夠保障首都師范大學數據中心的信息安全，實現數據中心信息和網絡的安全。同時，還申報并計劃學校信息安全等級保護測評和整改項目，該項目啟動后，將對學校重點的信息系統進行等級保護測評并針對相應的測評結果對相應問題進行有針對性的改造；對于學校整個信息安全體系及信息安全管理制度進行統一的梳理，從制度和管理上對于信息安全進行全面的保障。3.對網絡與信息安全事件進行分類分級：《信息安全事件分類分級指南》（1）網絡與信息安全事件分類。網絡與信息安全突發事件依據發生過程、性質和特征的不同，可分為以下四類：①網絡攻擊事件：校園網絡與信息系統因病毒感染、非法入侵等造成學校網站或部門二級網站主頁被惡意篡改，應用系統數據被拷貝、篡改、刪除等。②設備故障事件：校園網絡與信息系統因網絡設備和計算機軟硬件故障、人為誤操作等導致業務中斷、系統宕機、網絡癱瘓。③災害性事件：因洪水、火災、雷擊、地震、臺風、非正常停電等外力因素導致網絡與信息系統損毀，造成業務中斷、系統宕機、網絡癱瘓。④信息內容安全事件：利用校園網絡在校內外傳播法律法規禁止的信息，組織非法串聯、煽動集會游行或炒作敏感問題并危害國家安全、社會穩定和公眾利益等。（2）網絡與信息安全分級。網絡與信息安全突發事件依據可控性、嚴重程度和影響范圍的不同，可分為以下四級：I級（特別重大）：學校網絡與信息系統發生全校性大規模癱瘓，對學校正常工作造成特別嚴重損害，且事態發展超出學?？刂颇芰Φ陌踩录?；II級（重大）：學校網絡與信息系統造成全校性癱瘓，對學校正常工作造成嚴重損害，事態發展超出數字校園建設中心控制能力，需學校各部門協同處置的安全事件；III級（較大）：學校某一區域的網絡與信息系統癱瘓，對學校正常工作造成一定損害，數字校園建設中心可自行處理的安全事件；IV級（一般）：某一局部網絡或信息系統受到一定程度損壞，對學校某些工作有一定影響，但不危及學校整體工作的安全事件。4.做好預防措施，安全漏洞檢查與發現問題及時整改。依照上面指定的《信息安全事件分類分級指南》，對校園網絡通信平臺、應用平臺和信息系統采取相應安全保障措施。建立健全安全事件預警預報體系，嚴格執行校園網絡與信息系統安全管理制度，常年堅持校園網絡安全工作值班制度。加強對校園網絡與學校網站等重點信息系統的監控和安全管理，做好相關數據日志記錄，確定合理規則，對校園網絡進出信息實行過濾及預警。實行信息網上審批制度，對可能引發校園網絡與信息安全事件的信息，要認真收集、分析、判斷，發現有異常情況時，及時防范處理并逐級報告。做好服務器及數據中心的數據備份及登記工作，建立災難性數據恢復機制。特殊時期，根據要求和部署組織專業技術人員對校園網絡和信息系統采取加強性保護措施，對校園網絡通信及信息系統進行不間斷監控。主動檢測與查找信息安全存在的漏洞風險，并根據安全154信息系統工程│2017.6.20ACADEMICRESEARCH學術研究漏洞的危險程度對問題采取以下方式進行處理：一是將存在安全隱患的網站進行短期關停，并限期封堵安全漏洞；二是對于涉及范圍比較廣，師生員工關注比較高的網站（如學校主頁）加強安全檢查和監控，并上報辦公會，啟動改版計劃；三是對于建設較早且安全隱患較多二級部門網站進行永久性關停，并責令相關單位以新的安全標準建設新網站。對存在安全漏洞進行整改，對學校的安全風險進行全面排查，把信息安全事件扼殺在萌芽狀體。以免在信息安全方面沒有造成不良的影響，造成損失。5.完備的處理流程（1）預案啟動。發生校園網絡與信息安全事件后，數字校園建設中心和突發安全事件的信息系統建管部門應盡最大可能收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認突發事件的類別和等級，并參照下述響應機制對突發事件進行處置。（2）應急響應①應急響應機制。III級或IV級突發事件響應：數字校園建設中心和突發安全事件的信息系統建管部門自行負責應急處置工作，有關情況報分管校領導。II級突發事件響應：數字校園建設中心立即上報分管校領導和校園網絡與信息安全事件應急處置領導小組，由領導小組統一組織、協調指揮進行應急處置。I級突發事件響應：數字校園建設中心立即上報分管校領導和校園網絡與信息安全事件應急處置領導小組，領導小組再上報至市公安局等相關部門，由北京市相關部門會同我校校園網絡與信息安全事件應急處置領導小組統一組織、協調指揮應急處置。②應急處理方式。根據網絡與信息安全事件分類采取不同應急處置方式。對于網絡攻擊事件，查找網絡攻擊的源頭，尋找對用內部的服務器等設備，關閉內部相關設備與外部的網絡連接。抓包并分析網絡攻擊的來源信息。對造成的信息破壞進行修復，利用備份系統進行恢復。基于攻擊的類型可以采取以下解決辦法：病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍；為避免產生更大的損失，保護健康的計算機，必要時可關閉相應的端口，甚至相應樓層的網絡，及時請有關技術人員協助，尋找并公布病毒攻擊信息，以及殺毒、防御方法。外部入侵：找出攻擊的源頭，評估分析對網絡系統和數據系統造成的傷害。如果是試圖入侵被防火墻直接攔截的，對入侵數據進行分析，分析其欲攻擊的IP和端口。對服務器的端口進行監察或關閉。對該IP地址進行限制訪問。如果已經對系統造成損害，需要立即斷開與外網的連接，以免造成更為嚴重的傷害。內部入侵：定位內部的入侵相關信息，信息包含入侵的用戶，所在辦公室位置，入侵的IP地址和端口。對于入侵成功的，應立即關閉內網交換設備。設備故障事件：定位造成故障事件的設備，評估事件的嚴重程度，對于非持久化存儲的設備或可暫時停運的設備，使用備用設備替換。迅速聯系IT部門，對設備故障做維護與報備。保證相關的校園網絡系統的正常運轉。災害性事件：此類事件多指自然災害事件，根據災害的程度，在保證人身安全的情況下，對設備以及數據進行緊急保護。信息內容安全事件：接到校內網站出現不良信息的報案后，應迅速屏蔽該網站的網絡端口或拔掉網絡連接線，阻止有害信息的傳播，根據網站相關日志記錄查找信息人并做好善后處理；對公安機關要求我校協查的外網不良信息事件，根據校園網上網相關記錄查找信息人。其它不確定安全事件：根據提前制定的安全事件處理原則，根據實時情況靈活多變進行處理。對于未知的處理辦法，對信息安全部門進行咨詢求助。③后續處理。對攻擊事件先進行以上的事件處理之后，應及時的采取措施，防止攻擊事件造成的危害進一步的增強。對于具有潛伏性的、長久性的病毒攻擊，要實時的進行隔離和防護。對攻擊事件抑制以后，追其根源，分析事件的動機和途徑。解決并清除此危機，制定對此類攻擊處理的成熟方案。在確保安全事件解決后，要及時清理系統，恢復數據、程序、服務，恢復工作應避免出現誤操作導致的數據丟失。④記錄上報。對于發生的安全事件，要認真做記錄與統計。將記錄結果向校園安全部門領導及時匯報，及時分析網絡系統日志，將重要日志信息做永久存儲處理。⑤結束響應。不斷完善網絡安全整體方案，加強技術管理，確保信息系統的穩定與安全。根據工作需要聘請信息安全顧問為應急處置過程和重建工作提供咨詢和技術支持。6.保障措施。校園網絡與信息安全應急處置是一項長期的、隨時可能發生的工作，必須做好各項應急保障工作。（1）隊伍保障。加強對安全隊伍工作人員的安全技術培訓，增強安全隊伍對日常操作的安全程度，面對突發安全事件能緊急處理。對于日常維護能做到防患于未然。（2）技術保障。拒絕采用盜版辦公軟件，特別是安全維護相關的軟件，比如防火墻、殺毒軟件等，應安裝正版使用。擁有健全的安全防護體系與安全技術，對防護系統進行多方位、多層次的設計。確保安全系統的穩定與可靠。（3）資金保障。信息安全部門要積極的對安全的升級與維護項目進行申報，對于申報資金要落到安全系統建設實處。學校領導與財務部門，要大力支持安全部門的專項資金申請審批工作。將安全系統預算納入到每年的財政預算中。（4）安全培訓和演練。聘請專業的安全公司人員對部門人員進行培訓與教學，在理論培訓的同時，進行安全事件的軟件模擬或真實模擬演練。

四、結語

高校信息化管理水平是衡量高校辦學水平的重要尺度，信息化管理過程中的安全是重中之重。隨著高等教育的迅速發展, 辦學規模不斷擴大, 教學管理越來越復雜化, 高校的信息系統管理工作面臨著嚴峻挑戰。伴隨著高校信息化進程的不斷推進，新的信息安全隱患不斷涌現，信息風險也不斷加大，建立一套高效、集成的信息安全保障體系勢在必行。利用技術措施加強信息安全防護，保證管理信息系統正常運行，這樣才能滿足教學管理的需要。

作者:劉海龍 安寅杰 單位:首都師范大學數字校園建設中心

參考文獻

[1]吳曉瞻.高校安全協同辦公信息系統的設計與實現[D].浙江:浙江工業大學,2016.

[2]黃文雯.辦公業務安全保障系統的設計與實現[A].中國電機工程學會電力信息化專業委員會、國家電網公司信息通信分公司:2016電力行業信息化年會論文集,2016,(4):10-23.

[3]姚亞玲.高校網絡教學管理系統的設計與實現[D].吉林:吉林大學,2016.

[4]黃宏杰,陳永清.現代校園網信息安全化的研究[J].計算機時代,2016,(12):46-48+52.

[5]徐豪.高校網絡安全管理問題與對策研究[J].數字技術與應用,2016,(09):200-201.

篇9

關鍵詞：網絡安全；分布式拒絕服務攻擊；流量控制；流量清洗

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

隨著互聯網技術的飛速發展，各類政府部門、高校、科研機構信息化水平的持續提高，各項業務對于互聯網的依賴性越來越大。同時，由于網絡安全技術和網絡攻擊手段的不斷發展和演變，使得這類用戶的互聯網業務面臨著極大的威脅和風險。其中，分布式拒絕服務型攻擊（Distributed Denial of Services，簡稱DDoS攻擊）是目前互聯網中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊不但能夠給各類互聯網用戶和服務提供商造成業務中斷、系統癱瘓等嚴重后果，同時也嚴重威脅到高校校園網的基礎設施。

目前，由于商業競爭、政治情緒、經濟勒索等因素的驅動，DDoS攻擊越來越呈現出組織化、規?；I化的特點，攻擊流量動輒數G、十幾G，攻擊頻率也大有愈演愈烈之勢。在這種緊迫形勢下，配合當前數字化校園的建設戰略，建設專門的DDoS 攻擊流量監測和清洗平臺是一個必然之選。基于該平臺，一方面可以為校園網的網絡基礎設施提供安全保障，有效提高校園網網絡的健壯性；另一方面能夠結合數字化校園應用系統的安全需求提供DDoS 攻擊的防護業務，從而達到提高網絡帶寬高利用率和網絡高可用性的目的。

1 校園網網絡現狀

在網絡資源方面，現在高校校園網通過多期擴容工程，已經形成了核心、匯接、接入三個網絡層次，這種清晰的網絡層次，給實施流量的監控、控制提供了良好的網絡基礎。在設備資源方面，各高校校園網核心層以及匯接層大部分采用了Cisco、Juniper、華為等主流廠商的高端設備，支持Netflow功能，性能上可以提供保障，支持DDoS 攻擊防護平臺的建設實施。

可以說，目前高校校園網網絡已經具備了建設DDoS 攻擊防護平臺所需要的網絡和設備資源。除此之外，需要相關的管理部門盡量落實建設方案，包括規劃、設計、實施以及業務維護等各個環節所涉及的服務隊伍。

高校校園網網絡分為核心層、匯接層、邊緣層和業務層，核心層、匯接層、邊緣層節點根據業務發展需要配置相應檔次的路由器。核心節點設備及之間的互連鏈路、核心節點設備與匯接節點設備的互連鏈路以及匯接節點的設備組成的網絡定義為骨干層。校園網網絡的其他部分為接入層，具體包括各接入節點設備間互連鏈路、接入節點設備與邊緣層設備的互連鏈路。

2 業務需求分析

2.1 用戶分析

目前，各高校校園網通常通過互聯網向外提供各種應用和業務，如網站門戶、遠程教學、電子郵件、教學科研管理等等。他們對業務的連續性要求較高，DDoS 攻擊造成的業務中斷會對高校造成非常大的經濟或社會利益的損失。高校校園網內部也需要建立一套有效的異常流量監控和控制機制來保護其基礎業務系統。愈演愈烈的DDoS 攻擊，可在短時間內使網絡堵塞、關鍵節點資源耗盡，給校園網基礎業務系統系統的穩定性、安全性帶來嚴重的威脅。

2.2 業務模型分析

DDOS 攻擊防御系統主要為用戶提供的業務模式為：1）長期在線檢測和清洗；2）長期在線監測，觸發清洗。

為校園網所能夠提供的基礎服務可以包括：

1）資源預留：在DDoS 攻擊防護平臺上為校園網應用保留攻擊防護所必須的資源，包括流量采樣和分析設置、流量清洗空間（空間大小根據流量清洗需求及清洗設備能力確定）、牽引/回注電路及相關網絡設備及其配置等。

2）制定安全基線：通過分析校園網業務流量特征、常見攻擊流量特征，構建校園網安全基線和基礎攻擊防護策略。

3）7*24實時監控：校園網安全專家運維團隊對針對校園網的流量進行7*24實時采集和分析，對異常流量進行跟蹤并記錄，對可能造成校園網業務中斷的惡意攻擊啟動預警機制。

4）安全事件通告：對造成業務影響的惡意攻擊或其他異常及時以約定的響應模式告知用戶并與用戶進一步協商應對策略。

5）流量分析報告：按照約定時間周期為用戶提供流量采樣的分析報告，無論此間是否收到攻擊或者啟動過防護措施。

3 流量清洗設備功能要求

1）流量清洗設備必須滿足能夠有效防護目前常見的DDoS 攻擊類型，具體為：Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 連接耗盡、HTTP Get Flood、CC、UDP FLOOD 攻擊等。通過軟件升級，以保證流量清洗設備能夠防御新型的DDoS攻擊。

2）流量清洗設備滿負荷運行時，對攻擊流量的清洗精度應大于99%，對合法用戶流量誤判率應小于0.1%。

3）系統流量清洗與DDoS 過濾的方式與原理，包括過濾，反欺騙，異常識別，協議分析，速率限制等盡可能多的方式方法。

4）當流量監控設備發現DDoS 攻擊流量時，流量監控設備直接觸發流量清洗設備以啟動對目標攻擊流量的流量清洗操作：

5）設備提供二次開發接口，當通過IDS/IPS 或其它方式發現DDoS 攻擊后，網管系統可通過SSH-script 等方式向流量清洗設備發出啟動指令；

6）支持旁路(Offline)工作模式。當發生DDoS攻擊時，清洗設備可通過BGP路由宣告的方式將去向被保護目標的流量導入流量清洗進行處理。

4 總體建設方案

DDoS攻擊防護系統的建設是在降低對現有網絡的影響，保證業務系統的連續性和可用性的基礎上，針對不斷發展的攻擊形式，有效地進行檢測和清洗。防護平臺涉及兩個關鍵系統，及異常流量檢測系統和DDoS 攻擊清洗系統，平臺架構可以參照圖1。

1）異常流量檢測系統

提供對DDoS 攻擊行為的深入分析。檢測設備被動監測網絡業務，搜尋與“正?！?行為的偏差或DDoS 攻擊的基本行為。攻擊被識別后，檢測設備發警報給清洗設備，觸發清洗設備啟動，以實現清洗設備對正常流量中的攻擊流量進行清洗，同時也支持提供攻擊報警來通知相關的維護人員，以手工啟動清洗設備以及相關的快速響應措施。異常流量檢測設備由綜合網管系統提供，主要支持手動啟動清洗。

2）DDoS 攻擊清洗系統

DDoS 攻擊防護解決方案的關鍵部件。該設備是一個高性能DDoS 攻擊緩解設備，當流量被“牽引”到該設備后，能通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，通過限速或過濾等手段遏制攻擊流量，同時保證合法的數據包能繼續傳送到目標地址。

圖1 平臺構架示意圖

5 DDOS攻擊清洗方案

5.1 流量牽引技術

流量牽引主要指將去往被攻擊目標的流量重路由到一個用于攻擊緩解的流量清洗中心，以便在清洗中心中處理, 丟棄攻擊流量。當發現了一個攻擊時，流向攻擊目標的流量需轉移到一個清洗中心。有多種技術都可觸發這種流量轉移，觸發可為集中或分布式，手動或自動進行。

5.2 集中觸發與分布式觸發

集中觸發是在安全管理中心配置一個“觸發器”，所有的轉移動作從這個觸發器觸發。觸發就是在路由器上增加一條靜態路由添加一個特殊標記，隨后重到BGP中。當攻擊結束以后，可以刪除這條路由，停止牽引。集中轉移觸發的主要優勢在于，流量轉移由網絡中的單一點控制，管理和觸發轉移過程更方便，但是需要單獨購置攻擊觸發設備。

分布式觸發是當清洗中心的清洗設備需要工作時， 它們各自向網絡中的一個路由器發送一個BGP更新，將到目標地址的下一跳設置為它們自身。采用分布式觸發的主要優勢在于，它能靈活地將清洗設備資源分配給遭受攻擊的特定用戶。

由于校園網需要對全網進行保護，把攻擊流量在盡可能靠近攻擊源的地方消滅，所以可采用集中觸發。

5.3 流量清洗技術

流量“牽引”到清洗設備后，通過流量分析驗證技術對正常業務流量和惡意攻擊流量進行識別和分離，丟棄攻擊流量，保留正常流量。

典型的流量清洗的過程由五個模塊（步驟）組成：

1）過濾：包括靜態和動態的DDoS 過濾器filters。

2）反欺騙：用以驗證進入系統的數據包沒有欺騙信息。

3）異常識別：監測所有通過了filter 和反欺騙模塊的流量，并將其與隨時間紀錄的基準行為相比，搜尋那些非正常的流量，識別惡意包的來源。

4）協議分析：處理反常事件識別模塊發現的可疑數據流，目的是為了識別特定的應用攻擊，例如http-error攻擊。

5）速率限制：提供了另一個執行選項，防止不正當數據流攻擊目標。

5.4 流量回注技術

經過流量清洗后，正常流量被重新轉發回網絡，到達原來的目標地址。根據網絡環境不同，目前主要有以下幾種注入方式：

1） L2 injection：注入路由器和清洗設備在同一個二層子網；

2） PBR based injection：通過策略路由實現流量注入；

3） GRE Injection in an IP Core：注入通過一個GRE 隧道實現。GRE隧道發起在清洗設備, 終結在CPE 設備；

4） VRF Injection in an MPLS core：流量通過一個獨立的“inject” VRF進行注入；

6 小結

DDOS攻擊防御業務平臺將根據校園網自有異常流量檢測和分析系統、IDS或者其它網絡監控系統對DDOS攻擊檢測結果，或者應用戶申告對相應用戶進行DDOS攻擊防御。項目建設范圍將包括針對DDOS 攻擊的流量引導、清洗和回注過程等的前端功能實體以及后端業務管理平臺和設備系統管理平臺，針對DDOS 攻擊的檢測和分析綜合網管工程等其它工程完成。它的建成將極大地緩解高校校園網由于DDOS攻擊造成的弊端，最終更好地為教學和科研工作服務。

參考文獻：

[1] 尹春霖,張強,李鷗.基于IXP1200平臺的DDoS防御系統實現[J].信息工程大學學報,2005,6(4):59-62.

[2] 蓋凌云,黃樹來.分布式拒絕服務攻擊及防御機制研究[J].通信技術,2007,(6):32-33.

[3] 吳瀟,沈明玉.基于流量牽引和陷阱系統的DDoS防御技術[J].合肥工業大學學報：自然科學,2008(01):25-28.

篇10

[關鍵詞]無線校園局域網 無線控制器 FAT AP FIT AP

[中圖分類號]TN925.93[文獻標識碼]A[文章編號]1007-9416(2010)02-0090-02

1 引言

隨著各高等院校信息化建設不斷深入,各校園網絡從網絡結構、規模和帶寬來看,校園有線網絡已經基本形成。校園網已經成為校園生活工作的重要組成部分,是教職員工和學生獲取資源和信息主要途徑。無線網絡技術具有無縫三維覆蓋、可移動通信等優點,彌補了有線網絡的不足。據統計,到2009年,國內外有1000余所學校已經建成了無線校園網絡[1]。

前期已經建成的無線校園局域網由于先期資金投入不多,大多采用基于智能型的接入點--FAT AP傳統分布式結構,該結構比較適合開放式或對用戶行為控制不是很敏感的WLAN 網絡環境。但是隨無線校園局域網用戶數量和各種無線網絡應用增多,無線網絡規模逐漸擴大,傳統的無線校園局域網面臨諸多問題:面對眾多的無線接入點AP時缺乏集中的配置管理手段,缺乏智能的RF管理,難以進行RF設置和無法統一部署全局的安全和接入策略等。

為此本文提出了的基于以無線控制器(AC)的集中式管理架構的無線校園局域網。這種架構通過集中式管理來簡化AP,僅需要在校園網絡中心加入一臺無線控制器,將原有的FAT AP轉化為FIT AP就能解決傳統的無線校園網絡面臨的諸多問題。

2 傳統的無線校園網設計

2.1 網絡現狀

本文所討論的無線校園局域網是以筆者所在學院為對象。目前學院在校學生9000余人,教職工160余人。學院一期網絡是以千兆以太網多層交換技術和國內主流產品為主導的校園網系統,有線網絡覆蓋實訓樓、學生宿舍和辦公樓,基本上達到了100M到樓層,10M到桌面的有線網絡體系。隨學院圖書館建成和某些課程教學過程要求聯網的需要,在項目資金有限的情況下,學院兩年前對一期網絡進行了升級改造,改造后的校園網絡新增了圖書館和教學樓部分教室內的無線局域網部署。

新建的無線局域網采用Fat AP的分布式組網架構,在一期的有線局域網基礎上,配以Fat AP、無線適配器、RADIUS服務器等設備組成。分布在各處的AP通過網絡雙絞線與教學樓或圖書館有線局域網的樓層交換機相聯。AP獨立地為接入的無線用戶提供射頻信號收發、通信、用戶身份認證、數據加密、安全策略實施等工作,AP之間各自獨立,互不相干。在無線網絡覆蓋區的配備無線網卡的PC、筆記本電腦和智能手機等移動終端設備,通過臨近AP制定的安全策略連接到無線網絡,訪問網絡資源。

目前校園網的拓樸圖如圖2-1所示。

2.2 存在的問題

選擇Fat AP的分布式組網架構建設校園無線網絡,是由于該方案技術成熟、且初期資金投入不多?，F在經過2年左右時間的運行,隨無線用戶和各種無線應用增多、無線網絡規模逐漸擴大,校園無線網絡在實際運行和維護過程中面臨的問題逐漸顯現:

2.2.1 面對逐漸增多的無線接入點時,缺乏集中的配置管理手段

初期在圖書館部署了8個室內AP,教學樓部署了4個。網絡中心管理員在進行網絡維護過程中,逐個登錄AP了解AP設備的運行狀況,修改AP的服務與安全策略,維護各AP的IP地址和設備的映射關系。但是隨新增圖書館會議室無線覆蓋區域、需要無線網絡覆蓋教室數量增加,需要逐漸增加AP,AP數量上的增加使得管理員的維護和升級的工作相當繁瑣和不便,急需集中的配置管理手段提高工作效率。

2.2.2 缺乏智能的RF管理,難以進行 RF設置

在無線網絡實際運行過程,如果出現工作在同一個信道的兩個AP同時傳輸數據的情況,導致數據傳輸的沖突,影響無線網絡的性能。而且由于缺乏當智能的RF管理,單點AP發生故障的時候,其它附近AP不能自動的提高周圍?AP?的發射功率,減少或消除無線覆蓋盲區,增加了無線網絡不穩定性。

2.2.3 各AP”冷熱”不均,無法實現負載均衡

有的時候多個用戶連到同一臺AP上,而某些AP空閑,使得用戶集中的AP成為了無線網絡性能瓶頸。無法根據無線用戶數量或者無線流量將負荷較重AP上的部分用戶轉移到其他AP上去,使得各個?AP?上的負載均衡。

通過經過2年左右的實際運行情況,基于傳統的Fat AP架構組建的無線局域網,其網絡性能和管理模式已經很難適應校園無線網絡規模逐漸擴大的實際現狀。

為解決以上問題,本文提出了基于無線控制器和FIT AP的無線校園局域網解決方案。

3 基于無線控制器的無線校園局域網設計方案

3.1 組網架構簡述

本文提出的無線控制器+Fit AP的無線網絡解決方案不會改變現有的網絡結構,僅需要在網絡中心加入一臺無線控制器,再配以Fit AP、無線適配器等設備而成。

3.1.1 無線控制器

目前,如Cisco、H3C和銳捷等各大網絡設備提供商都已經推出各種型號的無線控制器[2]。它可以完成無線網絡的各種配置和管理工作,將以前在FAT AP完成的功能集中到無線控制器,簡化了AP配置。

AC完成的功能包括AP的配置、管理和監控,以及無線網的接入認證、轉發和統計、QoS、安全控制等功能,實現了對無線網絡的集中控制和管理。

3.1.2 Fit AP

Fit AP的出現時相對于Fat AP而言的,Fit AP不需配置即可使用。Fit AP啟動時自動從AC下載配置信息,Fit AP只負責射頻信號的發射和接收、傳輸數據的加密和解密,并自動從DHCP服務器獲取IP地址,相對于FAT AP而言,Fit AP的出現極大的簡化了AP配置。

3.2 無線校園局域網設計方案

3.2.1 需求分析

目前,隨圖書館二期工程中會議室已經基本竣工,學院召開大型會議時需要用到網絡?？紤]到運用傳統的有線接入方式需要在每個會議座位部署網絡接入點,網絡布線工程較大,而圖書館在校園網一期改造完成后已經有了無線網絡的特點,二期工程中會議室僅僅需要加入AP就能實現網絡接入的要求。

校園網一期改造完成后,教學樓有部分教室已經實現了無線網絡覆蓋,但是由于越來越多的課程在課程改革過程運用了新技術,需要在課堂教學過程中接入網絡,直接導致了需要無線網絡覆蓋教室數量增加,需要逐漸增加AP。

針對以上需求和網絡現狀,如果還是采用在以前無線網絡中直接添加Fat AP的方式進行網絡擴展的話,就會使得本文在2.2中提出的由于Fat AP逐漸增加后導致的問題更加突出,所以本文提出了無線控制器+Fit AP的無線網絡解決方案。

3.2.2 設計方案

本方案在原有的網絡結構基礎上,在學院網絡中心加入一臺無線控制器,它直接連接到網絡中心交換機上,對于以前無線網絡中存在的FAT AP通過軟件升級一次性轉化成FIT AP,圖書館會議室和教室新增的AP直接配以FIT AP。

新設計方案的校園網的拓樸圖如圖2所示。

3.3 新方案的優勢

采用無線控制器+Fit AP架構的無線網網絡與傳統采用FAT AP架構組網相比,僅需在學院網絡中心加入一臺無線控制器,就可以將傳統模式的FAT?AP(僅需一次FAT?AP到FIT AP軟件轉換升級)或新增的?FIT AP,集中控管起來,形成一個集中配置、監控和管理的無線控制域。

新方案提出的組網架構,具備了自動的射頻控制/調整,靈活的認證機制、行為控制和設備管理。校園網網管員可以通過無線控制器內部的監控界面和日志報告,實施統一的認證管理和行為控制策略,清晰的了解異常流量,未識別的攻擊,以及告警的原因和分析,做出相應的決策,極大的減少人工配置和管理工作量。

可以看出本方案可以解決校園無線在本文2.2中提出的各種問題,而且還能夠實施統一的認證管理和行為控制策略,對于逐漸增多的無線網絡中用戶和無線應用需求提供安全保障。

4 結語

隨著校園網絡建設深入和無線網技術的不斷發展,作為有線網的擴展和補充,相信將來會有更多的學校建設自己的校園無線局域網。本文提出的基于無線控制器+FAT AP的無線校園局域網建設方案由于具有集中的管理和統一的安全控制策略和多種定制功能等優勢,將成為校園無線局域網建設方案首選。但是該方案建網成本高,而且無線局域網內流量必須通過無線控制器集中轉發,所以該方案更加適合在中型規模的校園無線局域網中推廣使用。

[參考文獻]

[1] 周立山.基于校園網的無線網絡擴建方案淺析[J].電腦知識與技術,2009(5):3684-3686.

[2] 陳盈,郭文平.校園WLAN方案的AP相關問題研究[J].計算機時代,2008(10):64-65.

[3] 李浩林,沈世錦,張正鳳.AP技術發展與組網應用的研究[J].電信科學,2008(5):26-27.

[4] 紅斌.無線局域網設計與應用[J].長治學院學報,2alS(2):34-36.

[作者簡介]

孟清(1980-01),男,研究生,高級工程師,研究方向無線網絡安全;