基于校园网信息安全的研究

摘要：本文介绍了当前国内高校网络应用现状和出现的信息安全问题，对校园网用户群体的特点和网络访问要求进行了分析，针对高校对校园网的管理需求，提出了一个校园网信息安全解决方案。

关键词：分布式防火墙网络安全校园网

0 引言

互联网的普及与发展，已经成为社会进步和时代发展的主要标志，成为校园生活不可缺少的重要组成部分。目前，校园网的应用越来越广泛，其功能包括应用包括电子身份、信息服务、网上办公、网上教学、数字图书馆等，因此信息安全成为校园网络的热门话题。应该认识到，互联网为教育提供了现代化手段的同时也为非主流意识和不良信息的传播打开了方便之门，网络道德问题已经凸现出来，不良信息的传播和网络谣言的扩散带来的负面效应和新的问题，对学校思想政治教育产生了巨大的冲击，提出了严峻的挑战。

1 高校网络应用现状

随着各高校人员的急剧增加以及在信息化建设上的投入，校园网的覆盖面也越来越大，覆盖了办公楼、学校机房、实验室、图书馆、学生宿舍和教工宿舍。各高校校园网通过教育高速城域网接入教育和科研计算机网，出口经改造后有些己顺利升级到1000Mbps的带宽，部分高校实现校园网1000Mbps主千，100Mbps交换到桌面，使得工作效率提高了，信息获取及时了，大大方便了学校的教学、管理、生活。但另一方面，一些不良信息也趁机侵入了校园，色情网站、反动言论等，更有部分内部人员主动去访问和散播不良信息，造成极坏的影响。如果网络不能对学校的教育起到积极的促进作用，那就改变了校园网建设的初衷，因此，校园网的管理者决不能掉以轻心，必须采取有效措施，随时保证校园网的安全、健康使用。

2 存在的主要问题

根据对部分高校园网络的使用情况的调查和分析，我们发现存在以下需要解决的问题:①无法彻底根除病毒。学校网络中心的重要服务器虽然在防火墙的保护之下，也安装了防病毒软件，但是经常仍然被病毒攻击。严重的情况下当前所使用的杀毒软件无法查杀，或者即使能检测出，无法清除。服务器上经常连续不断地出现病毒警报，无法彻底根除病毒。学校FTP服务器由于为学生提供上传下载服务，FTP服务器病毒非常多。②无法控制对互联网的访问管理。现在多数学校还缺乏有效的管理监控手段来对学生的上网进行必要的限制和记录，同时也没有对上网时间进行限制，对于一些非法站点也没有采取有效手段来过滤。一旦出现问题，往往因为没有终端上网的历史记录而无法追查下去，给管理部门带来了许多不必要的麻烦。③无法对网络带宽的管理。在学校网络环境内，由于连接速度较快，有些学生会不停地下载大容量的文件或者在线听音乐、看视频电影，这些行为都会严重占用网络带宽，造成网络堵塞，上网速度下降，影响其他人的正常上网行为，使正当的上网行为无法得到有效的保障。④缺乏对各类站点的分类管理。一般的代理网关软件产品不能按照客户的需求设置详细的上网内容与上网时间控制策略。⑤无法对上网信息统计与分析。上网信息对学生管理工作是非常有用的数据，统计分析出来的上网信息经过各种表格图形表现出来，对领导了解学生的上网行为与上网习惯提供教育引导的科学数据。⑥缺乏在高带宽下对网络进行有效管理。网络发展非常快，有些网络环境，软件类上网内容管理系统并不一定能很好满足客户要求，存在带宽瓶颈，硬件产品就可以满足要求。⑦缺少网络信息备案。根据有关规定，互联网上网信息必须采取一定的技术手段进行备案，以备在发生恶性突发事件时提供有效的网络信息。

3 解决方案

建立一套集中管理，灵活部署的分布式防火墙，集中管理可以减少管理的复杂度，可以实现一点设置，全网生效。灵活部署可以根据审计需求随意布置网络节点，并且完全不影响网络的拓扑结构。针对需求中提出的问题，系统平台采取特定网络信息记录、特定内容过滤、特定线索跟踪和日志分析等多种技术手段进行监测控制。特定网络信息记录是指包含某些敏感信息的网络内容可以如实地记录存档：特定内容过滤可以对有关色情、反动等不良信息进行封堵过滤；特定线索跟踪可以实现对特定网络特征进行实时发现，动态跟踪该用户的上网行为。日志分析可以从海量上网日志中分析出各个时期上网的特点、目标、内容、各协议比例、上网站点信息、访问排行等有效信息，为学校网络管理提供有益的参考依据。

3.1 在校园网出口处采用另购的硬件千兆高性能防火墙，可有效的保证原网络出口的带宽、性能和稳定性。

3.2 通过部署NetWall分布式防火墙，可以对网络达到下面的监控管理效果：

3.2.1 发现谁在访问：主机防火墙驻留在主机中自动运行，能够很有效地发现访问者的性质以及相关信息；

3.2.2 了解通过何种协议访问：如果有人进行互联网活动，主机防火墙能够辨认出当前的活动类型，比如访问网页，上传、下载文件，发布信息，收发邮件等，并及时反馈给NetWall管控中心；

3.2.3 发现访问内容危险：主机防火墙能够基于内容对进出互联网的数据进行检查，有效的防治信息的泄漏和非法信息的传播。

3.2.4 阻断危险访问：可以通过自身阻断以及防火墙联动阻断，及时将危险信息丢弃，并向网络管理员发出报警信息。

3.2.5 分析取证：主机防火墙对非法互联网活动内容完整回放、保存，以及丰富的日志管理功能，方便事后取证和网络安全综合分析。

4 实施方案及效果

在校园网络出口处，部署外购的硬件网络防火墙，在保证网络性能的前提下，提供有效的过滤防护功能，高速采集进出校园网数据，对非法访问的用户进行第一层过滤。如果需要节省投资，可将校园出口处的路由器和网络防火墙合二为一，选购内建有防火墙功能的路由器。

在教学楼、实验室、图书馆等地点的计算机，可根据需要部署NetWall主机防火墙，对这些地点的用户进行恰当的管理和监控，能够有效地对进出本机的网络数据进行获取和审计，快速准确地对非法访问或不良信息进行发现和响应，既可以实时地对问题数据进行警报，存储，还可以依据安全策略进行及时的阻断。

NetWall分布式防火墙的管控中心是整个系统的核心，包括网络维护中心，策略编辑器和日志分析器等主要部件，还有远程管理、系统设置、系统安全等其他辅助工具。

以上措施建立了一套立体的防护和监控体系，确保校园网络的安全使用。

可以取得的效果是：

①通过网络监控，可以极大的防止和减少学生访问不良网站的机会，使校园网真正用于教学，提高网路使用效率。

②可以实现对不同级别用户群的上网权限进行合理的分配，比如老师和学生的上网权限就需要有明显的区别。

③通过不良站点的过滤，禁止学生访问不良网站，使学生免受这些不良信息的影响。

④通过上网日志的查询、分析及统计，可以清晰地了解校园网的具体使用情况，便于对网络管理采取一些有针对性的措施。

⑤该系统还可以随着网络的扩展，进行有效的控制。

结束语：网络信息安全的概念己被各方接受和认同，防火墙、入侵检测、防病毒、安全审计等安全技术己经得到了广泛的应用。在此基础上，如何构建一个动态的、全方位的安全防护体系，必将成为网络安全中研究的热点。

参考文献：

[1]《数据包过滤技术与防火墙的设计》作者：郭伟.《江汉大学学报》.

[2]《联动网络安全系统的实》作者：李卫等.《信息安全与通信保密》.