導語：如何才能寫好一篇校園網(wǎng)絡安全保障方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關鍵詞:校園網(wǎng),安全性威脅,網(wǎng)絡安全,安全管理

中圖分類號:TP311文獻標志碼:A

引言

隨著互聯(lián)網(wǎng)的迅速發(fā)展及其應用的普及,計算機網(wǎng)絡已經(jīng)深入到社會的各行各業(yè),這包括政府、商業(yè)、教育、軍事等,成為社會的重要的基礎設施。在各個學校中,校園網(wǎng)已經(jīng)成為其必不可少的一部分,是學?？蒲泻凸芾淼闹匾ぞ?尤其是高等院校。如果校園網(wǎng)絡的安全受到威脅,那將會影響到學校師生的工作、學習和生活,甚至會對學校的發(fā)展造成一定的影響。校園網(wǎng)的安全管理已經(jīng)成為各個學校面臨的重要問題之一,本文從校園網(wǎng)的安全特點入手,結合這些自身特點,運用當前網(wǎng)絡安全技術,以尋找提高校園網(wǎng)安全性的方法。

一、校園網(wǎng)的安全特點

校園網(wǎng)是覆蓋校園范圍的計算機網(wǎng)絡,主要采用計算機局域網(wǎng)技術、互聯(lián)網(wǎng)技術及網(wǎng)絡接入網(wǎng)技術,其中局域網(wǎng)技術用于校園建筑物內計算機的互聯(lián),互聯(lián)網(wǎng)技術用于校園局域網(wǎng)的互聯(lián),接入網(wǎng)技術用于校園網(wǎng)與外部公共網(wǎng)絡(Internet)或專用網(wǎng)(教育科研網(wǎng))的互聯(lián)。隨著無線接入技術的發(fā)展,建設無線校園網(wǎng)已經(jīng)成為一些高校校園網(wǎng)改造和升級的范圍內。而建立校園網(wǎng)的目的就是實現(xiàn)資源共享、信息服務、網(wǎng)絡教學、遠程接入和網(wǎng)上辦公等,這就決定了校園網(wǎng)安全方面具有如下特點:

1、開放的網(wǎng)絡環(huán)境。由于學校具有教學和科研的特點,所以要求校園網(wǎng)絡的環(huán)境是開放的,而且在管理方面較企業(yè)網(wǎng)絡來說更寬松一些,這樣就會留下一些安全隱患;

2、活躍的用戶群。在高等學校中,在校學生通常是最活躍的網(wǎng)絡用戶,而且數(shù)量非常龐大,他們對網(wǎng)絡新技術充滿好奇,敢于嘗試。尤其是一些學生會嘗試使用從網(wǎng)上學到的或者是自己研究的一些攻擊技術,而這些行為可能對校園網(wǎng)絡造成一定的影響和破壞;

3、復雜的計算機系統(tǒng)管理。高校中學生的電腦一般是自己花錢購買、自己維護的,有的院系是統(tǒng)一購買并有專門的技術人員維護,有的則是教師自主購買、沒有專業(yè)的維護,如果統(tǒng)一的管理這些電腦需要付出很多的時間。另外,大多數(shù)用戶基本上使用的是盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件,這些軟件存在很多的問題,例如留有后門、攜帶病毒等,這些將會影響計算機系統(tǒng)的正常運行。以上這些情況下要求實施統(tǒng)一的安全策略非常困難的,一旦發(fā)生某些不可預測的問題,解決起來十分困難。

以上這些特點是造成校園網(wǎng)成為攻擊發(fā)源地的主要原因,同時也造成校園網(wǎng)成為最容易攻擊的目標。致使學校面臨著一些安全性威脅,而解決這些安全問題刻不容緩。

二、校園網(wǎng)面臨的安全性威脅

計算機網(wǎng)絡所面臨的安全性威脅可以劃分為兩大類,即被動攻擊和主動攻擊。主動攻擊是指攻擊者對某個連接中通過的PDU(協(xié)議數(shù)據(jù)單元)進行各種處理,如有選擇的更改、刪除、延遲這些PDU。被動攻擊中攻擊者只是觀察和分析某一個PDU而不干擾信息流,例如截獲數(shù)據(jù)。根據(jù)以上分類,聯(lián)系校園網(wǎng)的安全特點,可以總結出校園網(wǎng)面臨的一些安全性威脅:

1、計算機蠕蟲、病毒,屬于主動攻擊,將會影響用戶的使用、信息安全、網(wǎng)絡運行;

2、外來的系統(tǒng)入侵、攻擊等惡意破壞行為,屬于主動攻擊,其中有些計算機已經(jīng)被攻破,用作黑客攻擊的工具;拒絕服務攻擊目前越來越普遍,而且不少開始針對重點高校的網(wǎng)站和服務器;

3、截取信息,屬于被動攻擊,校園網(wǎng)主機保存了高新技術信息,如重大科研項目的數(shù)據(jù)、進度和成果,這些信息對競爭對手來說非常具有吸引力;校園網(wǎng)開展遠程教育,課程的考試也通過網(wǎng)絡進行,一些考生可能想從網(wǎng)上竊取考題,修改成績或請人替考。這些都會影響校園網(wǎng)的安全運行。

以上這些只是校園網(wǎng)作為計算機網(wǎng)絡有可能發(fā)生的一些攻擊,因為校園網(wǎng)是一種特殊的計算機網(wǎng)絡,有著特殊的用戶群,所以校園網(wǎng)還面臨著自身特有的一些安全性威脅:

1、內部用戶的攻擊行為,主要是由于在校學生的好奇心理、探索性,進行一些不顧后果的嘗試,影響校園網(wǎng)的正常運轉,有可能給學校帶來損失;

2、垃圾郵件、不良信息的傳播,有的利用校園網(wǎng)內無人管理的服務器作為中轉,嚴重影響學校的聲譽;

3、普遍存在的計算機系統(tǒng)的漏洞,對信息安全、系統(tǒng)的使用、網(wǎng)絡的運行構成嚴重的威脅。

4、用戶的計算機水平不同,一些用戶由于防范意識低,會打開一些攜帶病毒的文件,導致計算機的運行出現(xiàn)問題,甚至會影響到整個網(wǎng)絡。

另外,物理安全也是校園網(wǎng)安全的一個方面,例如網(wǎng)絡設施遭受人為破壞、盜竊或者是自然災害等。

綜上,校園網(wǎng)面臨的安全性威脅是多方面的。要提高校園網(wǎng)的安全性能,需要運用當前先進的網(wǎng)絡安全技術,建立完善的防護措施。

三、北京大學校園網(wǎng)信息安全解決方案

由校園網(wǎng)所面臨的安全性威脅可以看出,提高校園網(wǎng)絡的安全性已經(jīng)是各個學校的當務之急,提高安全性首要的就是加強校園的安全管理工作。校園網(wǎng)的安全管理可以借鑒一些成功的比較完善的學校的經(jīng)驗。例如北京大學的校園網(wǎng)信息安全解決方案,就是一個典型的例子。我國的高等院校管理結構大體相同,北京大學也是如此,整個學校院系樓群、學生公寓眾多,各部門的信息系統(tǒng)很分散,安全需求也不相同,如圖書館、檔案館、財務部、教務部等都各自有獨立的信息服務系統(tǒng),甚至獨立的網(wǎng)絡結構和專職的網(wǎng)絡管理員,而多數(shù)的部門則主要是依托網(wǎng)絡中心來提供信息服務。鑒于這種管理結構,北京大學校園網(wǎng)采用的是部門獨立,相對分散的信息安全管理架構。對圖書館、財務部等有一定網(wǎng)絡規(guī)?；驅π畔踩刑厥庖蟮牟块T,自成一個安全實體,而其它全校公共信息服務系統(tǒng),則由網(wǎng)絡中心統(tǒng)一負責管理。網(wǎng)絡中心為校園提供基本的安全服務和安全保障,主要體現(xiàn)在以下四個方面:

1、網(wǎng)絡安全基礎設施。防火墻是校園網(wǎng)信息安全保障的核心點,它負責校園網(wǎng)中最根本的信息服務系統(tǒng)的安全。通

過部署防火墻,實施嚴格的數(shù)據(jù)流監(jiān)控,同時在防火墻和服務系統(tǒng)上做了較為詳細的日志記錄,為安全事件的事后取證工作提供依據(jù)。2、垃圾郵件過濾系統(tǒng)和防病毒郵件網(wǎng)關。北京大學為全校教師和學生提供唯一域的郵箱賬號,共用同一個郵件服務器有利于方便的管理。對垃圾郵件和病毒郵件分別進行處理,采用過濾系統(tǒng)和郵件防病毒網(wǎng)關對郵件進行過濾,將垃圾郵件的數(shù)量降到最低,以提高網(wǎng)絡的效率。

3、桌面防病毒系統(tǒng)。北京大學在校園網(wǎng)采用了SymantecAntivirus企業(yè)版的解決方案,對校園網(wǎng)的桌面防病毒系統(tǒng)進行集中管理,實現(xiàn)自動從服務器獲取新的病毒定義,實時具備最新的防護能力,無須用戶再干預。另外,通過管理端不僅可以清楚地了解網(wǎng)絡中感染病毒主機的比率情況,而且還可明確主機感染了何種病毒。

4、漏洞補丁管理和系統(tǒng)。校園網(wǎng)內以Windows系統(tǒng)為主,而Windows系統(tǒng)漏洞的危害較嚴重,北京大學在校園網(wǎng)內專門設置了Windows系統(tǒng)漏洞補丁管理和服務器,用于對校園內的Windows系統(tǒng)進行統(tǒng)一管理,從本地服務器下載更新補丁程序。另外,為避免補丁程序更新不及時或其它意外因素,對重大的漏洞補丁程序,以傳統(tǒng)的網(wǎng)絡公告方式并提供直接下載,有效地避免惡性安全事件的大范圍發(fā)生。

具備完備的安全設施是安全保障的必要條件,但更重要的是網(wǎng)絡安全管理的規(guī)范化和擁有專業(yè)化的安全管理團隊。通常情況下,設備或系統(tǒng)都有專門的系統(tǒng)管理員。另外,北京大學設立了網(wǎng)絡安全緊急響應小組,專門負責處理那些重大的緊急安全事故。從硬件、軟件到人各個方面進行規(guī)范化管理,將安全威脅降到最低,保證整個網(wǎng)絡的安全運行。

四、加強校園網(wǎng)安全管理措施的建議

由于每個學校機構設置和技術能力的不同,相應的實施安全管理方案也有所區(qū)別,經(jīng)分析北京大學的校園網(wǎng)信息安全解決方案,可以將校園網(wǎng)安全管理總結為兩個方面:第一,網(wǎng)絡安全設備方面;第二,網(wǎng)絡用戶和管理員,即人員的方面。

首先,配備完整系統(tǒng)的網(wǎng)絡安全設備。在網(wǎng)內和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡安全控制和監(jiān)管設備,加強網(wǎng)絡的訪問控制能力,一般包括:防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡版的防病毒系統(tǒng)等。對郵件系統(tǒng)建立統(tǒng)一服務器系統(tǒng),方便垃圾郵件的檢測和攔截。統(tǒng)一桌面防毒系統(tǒng),使其能夠自動升級,實時具備最新的防護能力。通過配置安全設備可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網(wǎng)絡的故障可以迅速定位并解決。

其次,要加強對使用人員的管理,這里的使用人員包括用戶和管理員。對于用戶,尤其是新生,應該進行網(wǎng)絡安全教育,提高遵守相關的安全制度的自覺性,增強整體安全防范能力。對于管理人員要定期進行培訓,以提高其專業(yè)方面的素質,使他們具有較高的網(wǎng)絡管理水平,要做到及時進行漏洞修補和定期檢查,保證對網(wǎng)絡的監(jiān)控和管理。學校要出臺相關的網(wǎng)絡安全管理制度,規(guī)范校園網(wǎng)用戶對網(wǎng)絡的使用方法,從人員方面將出現(xiàn)威脅的可能性降到最低。

總之,具有經(jīng)驗豐富、專業(yè)化的技術團隊是網(wǎng)絡安全管理的根本,建立相應的安全防范機制和安全緊急響應小組,是管理必備的組織體系。加強用戶安全意識和提高管理員安全技術工作也是非常重要的一方面。只有在加強人員管理和提高設備的安全性的雙重條件下,才能夠使校園網(wǎng)絡安全得到保障,才能夠使校園網(wǎng)絡安全運行。

結束語

校園網(wǎng)絡的各種安全性威脅在其運行和管理中表現(xiàn)得尤為突出,加強校園網(wǎng)的安全管理是當前非常迫切、充滿挑戰(zhàn)的任務。各高校校園網(wǎng)應加強安全管理組織和技術培訓,提高用戶的安全意識,要具有完備的安全設施,使技術方面得到保障,高校之間應廣泛的交流管理經(jīng)驗,以做好校園網(wǎng)的安全管理工作,最終建設一個安全、可信的教育和科研網(wǎng)絡環(huán)境。

參考文獻

[1]王竹林等編著,《校園網(wǎng)組建與管理》[M],清華大學出版社,20__.1

[2]王保順主編,《校園網(wǎng)設計與遠程教學系統(tǒng)開發(fā)》[M],人民郵電出版社,20__.1

[3]謝希仁編著,《計算機網(wǎng)絡》(第四版)[M],電子工業(yè)出版社,20__.6

[4]顧巧論,高鐵杠賈春福等編著,《計算機網(wǎng)絡安全》[M],清華大學出版社,20__.9

[5]邵波,王其和編著,《計算機網(wǎng)絡安全技術及應用》[M],電子工業(yè)出版社,20__.11

篇2

關鍵詞 虛擬局域網(wǎng)；校園網(wǎng)絡；安全體系

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2013）83-0202-02

1 網(wǎng)絡安全體系的定義

通常情況下，為了能夠保證校園網(wǎng)絡運行的安全穩(wěn)定，校園網(wǎng)的大部分數(shù)據(jù)資源都只允許在內部中完成訪問。例如校園網(wǎng)絡的OA系統(tǒng)、校內郵件系統(tǒng)等等，這些系統(tǒng)的訪問和使用都必須在校園網(wǎng)內部操作，嚴重制約了教師、學生在個人家庭中通過訪問校園網(wǎng)來收取學校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網(wǎng)內部應用服務器一旦發(fā)生了故障，如果專業(yè)管理人員此時也沒有在學校時，就無法完成對校園網(wǎng)的維護操作，如果部分教師由于需要出差完成科研交流等工作時，也無法查看關于科研項目的校內數(shù)據(jù)資源。

網(wǎng)絡安全體系指的是一套完整的計劃設計，主要包括能夠為網(wǎng)絡用戶提供安全穩(wěn)定的服務；能夠保證網(wǎng)絡中所有系統(tǒng)的正常運行服務；對網(wǎng)絡中系統(tǒng)的安全級別提出要求并完成設置。一套完整的網(wǎng)絡安全體系中的必備設計原則有數(shù)據(jù)傳輸安全、計算機系統(tǒng)安全、網(wǎng)絡用戶安全、網(wǎng)絡管理安全、物理架構安全等等，既要能夠對惡意的外界入侵行為進行制止，還要能夠同時應對網(wǎng)絡中的其他安全威脅。

2 虛擬局域網(wǎng)關鍵技術

2.1用戶認證技術

虛擬局域網(wǎng)中的用戶身份核實確認大部分都是通過用戶認證技術實現(xiàn)的，對系統(tǒng)用戶進行相應授權之后能夠保證控制訪問資源。一般情況下，網(wǎng)絡認證協(xié)議采用的都是報文摘要技術，主要是用于驗證數(shù)據(jù)信息的完整性和對用戶身份進行認證，通過利用哈希（HASH）函數(shù)將數(shù)據(jù)報文的長度進行一系列變換，使其能夠成為固定長度的報文摘要，但是由于哈希函數(shù)自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數(shù)據(jù)加密技術

虛擬局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^程中主要應用的是數(shù)據(jù)加密技術，來實現(xiàn)對數(shù)據(jù)的偽裝和隱藏。但是，如果在傳輸?shù)倪^程中數(shù)據(jù)信息經(jīng)過互聯(lián)網(wǎng)產(chǎn)生了安全威脅，那么即使已經(jīng)通過了用戶認證，也不能保證數(shù)據(jù)信息的安全傳輸。因此，在網(wǎng)絡發(fā)送端應該將用戶認證進行加密之后再完成數(shù)據(jù)信息的傳輸，在網(wǎng)絡接收端通過用戶認證之后再對數(shù)據(jù)信息進行解密。密鑰類型主要包括對稱加密和非對稱加密兩種，在實際應用中大多數(shù)采用的都是對稱加密措施，如果是機密數(shù)據(jù)信息則采取公鑰加密技術。

2.3訪問控制技術

訪問控制技術主要是對用戶是否能夠對系統(tǒng)發(fā)起訪問進行控制，運行具有相應授權的用戶訪問系統(tǒng)資源，對沒有授權的用戶對系統(tǒng)資源發(fā)起訪問和獲取時立刻進行阻止。

3 校園網(wǎng)絡安全體系設計

本文設計提出的基于虛擬局域網(wǎng)技術的校園網(wǎng)絡安全體系設計方案主要是為了解決某高校老校區(qū)與新校區(qū)之間信息互通、資源共享、專網(wǎng)整合的問題，由此構建出一條專用的虛擬局域網(wǎng)安全通道，從而保證這些重要數(shù)據(jù)資源能夠在校園網(wǎng)中安全穩(wěn)定地傳輸。

3.1系統(tǒng)設計原則

1）安全保障

虛擬局域網(wǎng)系統(tǒng)的重要職能就是保證網(wǎng)絡的安全穩(wěn)定，以及在互聯(lián)網(wǎng)傳輸過程中數(shù)據(jù)信息的安全可靠，因此，虛擬局域網(wǎng)系統(tǒng)的安全保證必須包括用戶身份認證、數(shù)據(jù)信息保密和數(shù)據(jù)信息完整。

2）多平臺兼容

虛擬局域網(wǎng)系統(tǒng)的關鍵功能就是要保證用戶不受時間和地域的限制對系統(tǒng)資源發(fā)起訪問，以及當用戶進行移動辦公時要保證網(wǎng)絡連接的安全可靠。

3）訪問控制權限

校園網(wǎng)的虛擬局域網(wǎng)系統(tǒng)主要是為多個應用程序提供保護的，因此要設置不同的用戶訪問控制策略，使得擁有不同權限的用戶能夠訪問相應的系統(tǒng)資源。

4）平臺管理簡潔

虛擬局域網(wǎng)服務器應該為用戶和系統(tǒng)管理員提供良好的應用管理操作界面，在方便用戶對系統(tǒng)資源進行訪問操作的同時，還要保證系統(tǒng)管理員的安全維護操作簡單便捷，更要為服務器與用戶之間的通問、安全日志等做好記錄。

3.2系統(tǒng)功能模型

根據(jù)校園網(wǎng)絡的實際安全需求和虛擬局域網(wǎng)系統(tǒng)的設計原則，虛擬局域網(wǎng)系統(tǒng)的功能模型主要包括用戶身份認證模塊、數(shù)據(jù)傳輸模塊、訪問控制模塊和系統(tǒng)管理模塊。

1）用戶身份認證模塊

虛擬局域網(wǎng)系統(tǒng)客戶端通過采取數(shù)字證書的認證方式對用戶身份進行核實；服務器對系統(tǒng)客戶端進行認證時需要采取不同的認證方法，如果用戶通過遠程網(wǎng)絡連接到虛擬局域網(wǎng)中，服務器則采用用戶名+密碼的認證方式對用戶合法身份進行識別，在校園網(wǎng)內部則采取數(shù)字證書的方式對用戶身份進行識別。

2）數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊的主要功能是采取相應加密算法對數(shù)據(jù)進行加密之后傳輸給接收方，以及對接收到的數(shù)據(jù)進行解密。

3）訪問控制模塊

訪問控制模塊主要是根據(jù)已經(jīng)設置完成的訪問控制策略來控制系統(tǒng)中的資源是否能夠被用戶進行訪問和操作。

4）系統(tǒng)管理模塊

系統(tǒng)管理模塊主要負責對虛擬局域網(wǎng)系統(tǒng)服務器的日常服務信息進行記錄，包括訪問日期、訪問時間、網(wǎng)絡使用情況等等，并生成對應的日志報告。

3.3系統(tǒng)詳細設計

本文提出的基于虛擬局域網(wǎng)技術的校園內部網(wǎng)設計方案如圖1所示。

學校的新校區(qū)和老校區(qū)之間通過采用虛擬局域網(wǎng)技術，建立起一道校園內部虛擬局域網(wǎng)通道，將新校區(qū)與老校區(qū)利用光纖實現(xiàn)網(wǎng)絡連接，將網(wǎng)絡的出口端設置在新校區(qū)。校園網(wǎng)中的財務管理系統(tǒng)、人事管理系統(tǒng)和一卡通管理系統(tǒng)都需要通過同一個鏈路與新校區(qū)進行連接，因此，我們采用虛擬局域網(wǎng)網(wǎng)絡安全標準對鏈路進行數(shù)據(jù)加密，從而保證通過這條鏈路傳輸?shù)臄?shù)據(jù)能夠安全可靠。

校園網(wǎng)中的一般用戶的訪問控制策略安全級別的設置可以相對較低，一般用戶安全級別如果設置過高則會耗費大量的系統(tǒng)資源，造成無法訪問或網(wǎng)絡癱瘓的情況出現(xiàn)。對于校園網(wǎng)中的財務管理部門、人事管理部門和后勤服務部門來說，應該采取兩層架構隔離的方法接入到校園網(wǎng)中，再通過內部網(wǎng)關協(xié)議與核心交換機連接，從而保證在新校區(qū)與老校區(qū)之間實現(xiàn)數(shù)據(jù)加密傳輸。

4結論

綜上所述，本文從校園網(wǎng)實際需求角度出發(fā)，將虛擬局域網(wǎng)技術應用到校園網(wǎng)建設當中，提出了一套校園網(wǎng)絡安全體系設計方案，能夠有效保證新校區(qū)與老校區(qū)之間的數(shù)據(jù)通信、數(shù)據(jù)共享和數(shù)據(jù)整合安全，具有較強的理論指導意義。

參考文獻

篇3

近年來，隨著我國社會經(jīng)濟的不斷發(fā)展，國家對教育事業(yè)的支持和投入不斷增加，我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡與計算機技術的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段，為教育模式的創(chuàng)新、先進教育理念提供了可靠的實現(xiàn)方法。

高校信息化主要以數(shù)字化校園建設為主，主要內容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認證、校園一卡通、網(wǎng)絡安全體系等；大學數(shù)字化校園建設通常先提出總體解決方案，確定數(shù)字化校園的體系結構，制定數(shù)字化校園的信息標準，以及各系統(tǒng)之間的接口標準，然后分階段實施。建立全校的網(wǎng)絡安全體系，保證校園網(wǎng)絡的安全，保證關鍵數(shù)據(jù)、關鍵應用的安全以及關鍵業(yè)務部門的安全，實現(xiàn)校園網(wǎng)絡及其應用系統(tǒng)的安全高效運行。

1教育信息化中的安全體系建設

在教育信息化建設過程中，信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系，對各級學校、職業(yè)教育、教育主管機構的正常工作起到了至關重要的保障作用。各級教育主管部門對教育信息系統(tǒng)的安全體系建設給予了充分的重視，也是由于教育信息系統(tǒng)的復雜性、多樣性、異構性和應用環(huán)境的開放性，給整個信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例，高校數(shù)字校園信息系統(tǒng)的建設是由高校業(yè)務需求驅動的，初始的建設大多沒有統(tǒng)一規(guī)劃，有些系統(tǒng)是獨立的網(wǎng)絡，有些系統(tǒng)又是共用一個網(wǎng)絡。而這些系統(tǒng)的業(yè)務特性、安全需求和等級、使用的對象、面對的威脅和風險各不相同。當前高校網(wǎng)絡系統(tǒng)是一個龐大復雜的系統(tǒng)，在支撐高校業(yè)務運營、發(fā)展的同時，信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點越來越多、信息安全風險日益突出，成為高校面臨的重要的、急需解決的問題之一。在進行數(shù)字化校園建設的過程中，也曾發(fā)生不少信息安全事件，如某高校數(shù)據(jù)中心一臺服務器被黑客入侵，成為肉雞，被植入僵尸木馬程序，受黑客控制瘋狂往外網(wǎng)發(fā)包，導致學校網(wǎng)絡出口癱瘓；某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改，并且學校內部也曾經(jīng)發(fā)現(xiàn)學生成績的數(shù)據(jù)庫，有被惡意篡改的痕跡。

2網(wǎng)絡安全威脅分析

（1）高校網(wǎng)站的安全威脅，包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級各院系等網(wǎng)站，由于高考、招生、學生就業(yè)等敏感時期，聚集了大量的學生及家長訪問流量，也引起黑客的關注，高校網(wǎng)站面臨的主要安全威脅有：網(wǎng)頁被掛馬、被篡改，黑客通過SQL注入、跨站腳本等攻擊方式，可以輕松的拿到高校網(wǎng)站的管理權限，進而篡改網(wǎng)頁代碼；部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站，影響極其惡劣。每年高考招生及高校重要節(jié)日期間，高校門戶網(wǎng)站極易被DDOS攻擊，這種由互聯(lián)網(wǎng)上發(fā)起的大量同時訪問會話，導致高校網(wǎng)站負載加劇，無法提供正常的訪問。入侵者成功獲取WEB服務器的控制權限后，以該服務器為跳板，對內網(wǎng)進行探測掃描，發(fā)起攻擊，對內網(wǎng)核心數(shù)據(jù)造成影響。（2）隨著校園網(wǎng)信息化的逐步深入，業(yè)務系統(tǒng)眾多，“一卡通”、教學信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務系統(tǒng)均普遍的被各大高校采用，而這些系統(tǒng)由于管理及防護不到位，面臨著較嚴重的安全威脅：業(yè)務系統(tǒng)缺乏必要的入侵防護手段，高校網(wǎng)絡規(guī)模擴張迅速，網(wǎng)絡帶寬及處理能力都有很大的提升，但是管理和維護人員方面的投入明顯不足，沒有條件管理和維護數(shù)萬臺計算機的安全，一旦受到黑客攻擊，無法阻斷攻擊并發(fā)現(xiàn)攻擊源；部分高?！耙豢ㄍā背渲迪到y(tǒng)與銀行互聯(lián)，邊界缺乏必要的隔離和審計措施，出現(xiàn)問題不方便定位，難以追查取證；校園網(wǎng)數(shù)據(jù)中心內的系統(tǒng)應用眾多、服務器眾多，管理及維護方式也不盡相同，無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策。同時，對于存在安全隱患的配置檢查，也缺乏自動化的高效檢查工具和控制手段；業(yè)務系統(tǒng)權限控制不合理，有安全隱患。

3需求分析

根據(jù)對高校校園網(wǎng)絡的威脅分析，得出在校園網(wǎng)絡安全體系建設中，各個網(wǎng)絡區(qū)域和業(yè)務系統(tǒng)的安全需求如下：

（1）校園網(wǎng)絡出口應對可能發(fā)生的拒絕服務攻擊進行有效識別、過濾、清洗，保證網(wǎng)絡出口的暢通，保證骨干鏈路的負載處于正常范圍之內。（2）網(wǎng)絡出口鏈路應有相應措施，對來源于公網(wǎng)或內網(wǎng)的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。（3）DMZ區(qū)及內網(wǎng)服務器區(qū)出口鏈路上，應對針對WEB應用的7層攻擊，如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。（4）應對流經(jīng)核心交換區(qū)域的所有流量進行深入的檢測，以識別內部各網(wǎng)絡區(qū)域之間發(fā)生的入侵事件和可疑行為。（5）應對內網(wǎng)用戶的網(wǎng)絡行為，如公網(wǎng)訪問、數(shù)據(jù)庫訪問等進行全面的記錄和審計，以滿足違規(guī)事件發(fā)生后的追查取證。（6）應在不同校區(qū)之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。

應對全網(wǎng)的網(wǎng)絡節(jié)點進行漏洞風險管理，實現(xiàn)漏洞預警、漏洞加固和漏洞審計的全程風險控制。（7）應對全網(wǎng)的網(wǎng)絡節(jié)點進行配置合規(guī)管理，實現(xiàn)違規(guī)配置及時識別、配置整改全面深入、配置風險全程可控。（8）應對運維管理人員進行詳細嚴格的權限劃分，并通過技術手段控制運維行為權限，對運維行為進行全程審計，對違規(guī)運維操作進行實時告警。

4遵循等保要求

2009年11月，教育部為進一步加強教育系統(tǒng)信息安全工作，由辦公廳印發(fā)《關于開展信息系統(tǒng)安全等級保護工作的通知》（教辦廳函[2009]80號），決定在教育系統(tǒng)全面開展信息安全等級保護工作；等級保護不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級，更重要的是，等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度，是一項基礎性和制度性的工作。通過等級化方法和高校信息安全體系建設有效結合，設計一套符合高校需求的信息安全保障體系，是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個非常有效的方法。

5網(wǎng)絡安全建設方案

（1）在校園網(wǎng)出口處旁路部署抗拒絕服務攻擊系統(tǒng)（ADS）對拒絕服務攻擊流量進行清洗，并且旁路部署網(wǎng)絡流量分析系統(tǒng)（NTA）對網(wǎng)絡流量組成和DDOS攻擊成分進行分析和判斷。在正常環(huán)境下，旁路部署的ADS不參與網(wǎng)絡出口流量的路由和交換，邊界路由器通過NETFLOW等技術將流量信息發(fā)送給NTA，由NTA分析流量特征，判斷是否遭受DDOS攻擊。當發(fā)現(xiàn)遭受DDOS攻擊時，NTA將激活ADS，由ADS向邊界路由器發(fā)送針對特定防護目標IP的路由，將所有去往被攻擊目標IP的流量牽引至ADS設備。ADS系統(tǒng)進行惡意流量的識別和清洗，將不含有攻擊成分的合法流量回注至邊界路由器，按正常路由路徑發(fā)送至目標IP。（2）在出口鏈路部署入侵防護系統(tǒng)，對接入互聯(lián)網(wǎng)的訪問流量進行深入過濾，有效抵御源自公網(wǎng)的入侵威脅，消除安全風險。（3）在DMZ區(qū)和內網(wǎng)服務器出口處部署WEB應用防火墻，對服務器區(qū)的WEB服務器進行全方面的防護，對針對WEB站點的黑客攻擊，惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁篡改等攻擊手段進行深入防護。保障網(wǎng)站、電子教務系統(tǒng)、一卡通系統(tǒng)等應用系統(tǒng)的正常工作。（4）在核心交換區(qū)旁路部署安全審計系統(tǒng)，通過將核心交換機上各端口的流量鏡像到安全審計系統(tǒng)的監(jiān)聽鏈路，實現(xiàn)對流經(jīng)核心交換機的網(wǎng)絡數(shù)據(jù)進行全程的審計和過濾。通過制定詳細的安全審計策略，對違反審計策略的網(wǎng)絡行為進行實時告警。此外，安全審計系統(tǒng)由部署在網(wǎng)絡運維區(qū)的安全中心進行統(tǒng)一監(jiān)控與策略下發(fā)，并實時收集網(wǎng)絡時間日志和告警信息。（5）在核心交換區(qū)域的出口鏈路部署下一代防火墻，實現(xiàn)出口鏈路的流量檢測和安全過濾，保護內部網(wǎng)絡安全。建議在核心交換區(qū)域與各個校區(qū)的網(wǎng)絡邊界處部署下一代防火墻，通過下一代防火墻對應用層攻擊、病毒進行全面阻斷，可實現(xiàn)基于源/目的IP地址、協(xié)議/端口、時間、用戶、VLAN、VPN、安全區(qū)的訪問控制，保證不同網(wǎng)絡區(qū)域之間的安全防護邊界完整。同時，通過安全管理區(qū)的安全管理服務器上安裝安全中心對該設備進行全面的管理。

篇4

關鍵詞：校園；電子商務；安全；解決方案

引言

隨著網(wǎng)絡的不斷普及和電子商務的迅猛發(fā)展，電子商務這種商務活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活方式，越來越多的人們開始接受并喜愛網(wǎng)上購物，可是，電子商務發(fā)展的瓶頸——安全問題依然是制約人們進行電子商務交易的最大問題，因此，安全問題是電子商務的核心問題，是實現(xiàn)和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在校園環(huán)境下的具體應用與實現(xiàn)，其安全性也同樣是其發(fā)展所不容忽視的關鍵問題，因此應當著重研究。

一、校園電子商務概述

1.1校園電子商務的概念。

校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用，它是指在校園范圍內利用校園網(wǎng)絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校園內單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務的特點。

相對于一般電子商務，校園電子商務具有客戶群穩(wěn)定、網(wǎng)絡環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點，這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)校園商務活動相比，校園電子商務的特點有：交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務的安全問題

2.1校園電子商務安全的內容。

校園電子商務安全內容從整體上可分為兩大部分：校園網(wǎng)絡安全和校園支付交易安全。校園網(wǎng)絡安全內容主要包括：計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內容涉及傳統(tǒng)校園商務活動在校園網(wǎng)應用時所產(chǎn)生的各種安全問題，如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務等。

2.2校園電子商務安全威脅。

校園電子商務安全威脅同樣來自網(wǎng)絡安全威脅與交易安全威脅。然而，網(wǎng)絡安全與交易安全并不是孤立的，而是密不可分且相輔相成的，網(wǎng)絡安全是基礎，是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡，它也面臨許許多多的安全威脅，比如：身份竊取、非授權訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅，網(wǎng)上交易面臨的威脅可以歸納為：信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術手段盜取或截獲交易信息致使信息的機密性遭到破壞；篡改信息是非法用戶對交易信息插入、刪除或修改，破壞信息的完整性；假冒是非法用戶冒充合法交易者以偽造交易信息；交易抵賴是交易雙方一方或否認交易行為，交易抵賴也是校園電子商務安全面臨的主要威脅之一。

2.3校園電子商務安全的基本安全需求。

通過對校園電子商務安全威脅的分析，可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。

三、校園電子商務安全解決方案

3.1校園電子商務安全體系結構。

校園電子商務安全是一個復雜的系統(tǒng)工程，因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求，通過對校園人文環(huán)境、網(wǎng)絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃，再結合的電子商務的安全技術，總結校園電子商務安全體系結構，如圖所示：

上述安全體系結構中，人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及校園電子商務特有的校園信息文化，它們綜合構成了校園電子商務建設的大環(huán)境；基礎設施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心；邏輯實體層包括校園一卡通、支付網(wǎng)關、認證服務器和交易服務器；安全機制層包括加密技術、認證技術以及安全協(xié)議等電子商務安全機制；應用系統(tǒng)層即校園電子商務平臺，包括網(wǎng)上交易、支付和配送服務等。

針對上述安全體系結構，具體的方案有：

（1）營造良好校園人文環(huán)境。加強大學生的道德教育，培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念，共同營造良好的校園電子商務人文環(huán)境，防止人為惡意攻擊和破壞。

（2）建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程，校園電子商務系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián)，由學校結算中心專門處理與金融機構的業(yè)務，可以大大提高校園網(wǎng)上支付的安全性。

（3）建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。

（4）組織物流配送團隊。校園師生居住地點相對集中，一般來說就在學校內部或校園附近，只需要很少的人員就可以解決物流配送問題，而不需要委托第三方物流公司，在校園內建立一個物流配送團隊就可以準確及時的完成配送服務。

3.2校園網(wǎng)絡安全對策。

保障校園網(wǎng)絡安全的主要措施有：

（1）防火墻技術。利用防火墻技術來實現(xiàn)校園局域網(wǎng)的安全性，以解決訪問控制問題，使只有授權的校園合法用戶才能對校園網(wǎng)的資源進行訪問，防止來自外部互聯(lián)網(wǎng)對內部網(wǎng)絡的破壞。

（2）病毒防治技術。在任何網(wǎng)絡環(huán)境下，計算機病毒都具有不可估量的威脅性和破壞力，校園網(wǎng)雖然是局域網(wǎng)，可是免不了計算機病毒的威脅，因此，加強病毒防治是保障校園網(wǎng)絡安全的重要環(huán)節(jié)。

（3）VPN技術。目前，我國高校大都已經(jīng)建立了校園一卡通工程，如果能利用VPN技術建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸。有效保證了網(wǎng)絡的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務中交易信息安全問題，可以用電子商務的安全機制來解決，例如數(shù)據(jù)加密技術、認證技術和安全協(xié)議技術等。通過數(shù)據(jù)加密，可以保證信息的機密性；通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解決信息的完整性和不可否認性的問題；通過安全協(xié)議方法，建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。

（1）數(shù)據(jù)加密技術。加密技術是電子商務中最基本的信息安全防范措施，其原理是利用一定的加密算法來保證數(shù)據(jù)的機密，主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎的技術，加密運算與解密運算使用同樣的密鑰。不對稱加密，即加密密鑰不同于解密密鑰，加密密鑰公之于眾，而解密密鑰不公開。

（2）認證技術。認證技術是保證電子商務交易安全的一項重要技術，它是網(wǎng)上交易支付的前提，負責對交易各方的身份進行確認。在校園電子商務中，網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)（例如校園一卡通系統(tǒng)）來進行對交易各方的身份認證。

（3）安全協(xié)議技術。目前，電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析，校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間，能夠更好地封裝應用層數(shù)據(jù)，不用改變位于應用層的應用程序，對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道，保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務。

目前，我國高校校園網(wǎng)建設和校園一卡通工程建設逐步完善，使用校園一卡通進行校園電子商務的網(wǎng)上支付可以增強校園電子商務的支付安全，可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時，使用校園一卡通作為校園電子支付載體的安全保障有：

（1）校園網(wǎng)是一個內部網(wǎng)絡，它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵，由于有防火墻及反病毒軟件等安全防范設施，來自外部網(wǎng)絡人員的破壞可能性很小。同時，校園一卡通中心有著良好的安全機制，使得使用校園一卡通在校內進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。:

（2）校園一卡通具有統(tǒng)一身份認證系統(tǒng)，能夠對參與交易的各方進行身份認證，各方的交易活動受到統(tǒng)一的審計和監(jiān)控，統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡管理中對不同角色的用戶享有不同級別的授權，使其網(wǎng)上活動受到其身份的限制，有效防止一些惡意事情的發(fā)生。同時，由于校內人員身份單一，多為學生，交易中一旦發(fā)生糾紛，身份容易確認，糾紛就容易解決。

四、結束語

開展校園電子商務是推進校園信息化建設的重要內容，隨著我國校園信息化建設的不斷深入，目前已有許多高校開展了校園電子商務，它極大的方便了校園內師生員工的工作、學習、生活。可是與此同時，安全問題成為制約校園電子商務發(fā)展的障礙。因此，如何建立一個安全、便捷的校園電子商務應用環(huán)境，讓師生能夠方便可靠的進行校園在線交易和網(wǎng)上支付，是當前校園電子商務發(fā)展要著重研究的關鍵問題。

參考文獻：

[1]李洪心。電子商務安全[M].大連：東北財經(jīng)大學出版社，2008.

[2]楊堅爭，趙雯，楊立釩。電子商務安全與電子支付[M].北京：機械工業(yè)出版社，2008.

[3]劉克強。電子交易與支付[M].北京：人民郵電出版社，2007.

篇5

關鍵詞:校園;電子商務;安全;解決方案

中圖分類號:G647文獻標識碼:A

引言

隨著網(wǎng)絡的不斷普及和電子商務的迅猛發(fā)展,電子商務這種商務活動新模式已逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活方式,越來越多的人們開始接受并喜愛網(wǎng)上購物,可是,電子商務發(fā)展的瓶頸――安全問題仍然是制約人們進行電子商務交易的最大問題,安全問題是電子商務的核心問題,是實現(xiàn)和保證電子商務順利進行的關鍵所在。校園電子商務是電子商務在學校環(huán)境下的具體應用與實現(xiàn),其安全性也同樣是其發(fā)展所不容忽視的關鍵問題。

一、校園電子商務概述

(一)校園電子商務的概念。校園電子商務是電子商務在校園這個特定環(huán)境下的具體應用,它是指在校園范圍內利用學校的網(wǎng)絡基礎、計算機硬件、軟件和安全通信手段構建的滿足于校園內單位、企業(yè)和個人進行商務、工作、學習、生活各方面活動需要的一個高可用性、伸縮性和安全性的商務系統(tǒng)。

(二)校園電子商務的特點。相對于一般電子商務,校園電子商務具有客戶群穩(wěn)定、網(wǎng)絡環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務性大于盈利性等特點,這些特點也是校園開展電子商務的優(yōu)勢所在。與傳統(tǒng)學校商務活動相比,校園電子商務的優(yōu)點有:交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務的安全問題

(一)校園電子商務安全的內容。校園電子商務安全內容從整體上可分為兩大部分:學校網(wǎng)絡安全和學校支付交易安全。學校網(wǎng)絡安全內容主要包括:計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。學校支付交易安全的內容涉及傳統(tǒng)校園商務活動在校園網(wǎng)應用時所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務等。

(二)校園電子商務安全威脅。校園電子商務安全威脅同樣來自網(wǎng)絡安全威脅與交易安全威脅。網(wǎng)絡安全與交易安全并不是孤立的,而是密不可分相輔相成的,網(wǎng)絡安全是基礎,是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡,它也面臨許許多多的安全威脅,例如:身份竊取、非授權訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務、交易否認、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露指非法用戶通過各種技術手段盜取或截獲交易信息致使交易信息的機密性遭到破壞;篡改信息指非法用戶對交易信息插入、刪除或修改,破壞交易信息的完整性;假冒指非法用戶冒充合法交易者以偽造交易信息;交易抵賴指交易方否認交易行為,交易抵賴也是校園電子商務安全面臨的主要威脅之一。

(三)校園電子商務基本安全需求。通過對學校電子商務安全威脅的分析,可以看出校園電子商務安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認性。通過對校園電子商務系統(tǒng)的整體規(guī)劃可以提高其安全需求。

三、校園電子商務安全解決方案

(一)校園電子商務安全體系結構。校園電子商務安全是一個復雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務的安全需求,通過對學校人文環(huán)境、網(wǎng)絡環(huán)境、應用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結合電子商務的安全技術,總結出校園電子商務安全體系結構。

在校園電子商務安全體系結構中,人文環(huán)境層包括現(xiàn)有的電子商務法律法規(guī)以及學校電子商務特有的校園信息文化,它們綜合構成了校園電子商務建設的大環(huán)境;基礎設施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認證中心;邏輯實體層包括校園一卡通、支付網(wǎng)關、認證服務器和交易服務器;安全機制層包括加密技術、認證技術以及安全協(xié)議等電子商務安全機制;應用系統(tǒng)層即校園電子商務平臺,包括網(wǎng)上交易、支付和配送服務等。針對上述安全體系結構,具體的方案有:

1、營造良好的校園人文環(huán)境。加強大學生的道德教育,培養(yǎng)校園電子商務參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念,共同營造良好的校園電子商務人文環(huán)境,防止人為惡意攻擊和破壞。

2、建立良好的網(wǎng)上支付環(huán)境。目前,我國高校大都建立了校園一卡通工程,校園電子商務系統(tǒng)可以采用一卡通或校園電子賬戶作為網(wǎng)上支付的載體,而不需要與銀行等金融系統(tǒng)互聯(lián),由學校結算中心專門處理與金融機構的業(yè)務,可以大大提高校園網(wǎng)上支付的安全性。

3、建立統(tǒng)一身份認證系統(tǒng)。建立校園統(tǒng)一身份認證系統(tǒng)可以為校園電子商務系統(tǒng)提供安全認證的功能。

4、組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學校內部或校園附近,只需要很少的人員就可以解決物流配送問題,而不需要委托第三方物流公司,在校園內建立一個物流配送團隊就可以準確、及時地完成配送服務。

(二)校園網(wǎng)絡安全對策。保障校園網(wǎng)絡安全的主要措施有:

1、防火墻技術。利用防火墻技術來實現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題,使只有授權的校園合法用戶才能對校園網(wǎng)的資源進行訪問,防止來自外部互聯(lián)網(wǎng)對內部網(wǎng)絡的破壞。

2、病毒防治技術。在任何網(wǎng)絡環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是也免不了計算機病毒的威脅。因此,加強病毒防治是保障校園網(wǎng)絡安全的重要環(huán)節(jié)。

3、VPN技術。目前,我國高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術建立校園一卡通專網(wǎng),就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸,有效地保證網(wǎng)絡的安全性和穩(wěn)定性,且易于維護和改進。

(三)交易信息安全對策。針對校園電子商務中交易信息安全問題,可以用電子商務的安全機制來解決,例如數(shù)據(jù)加密技術、認證技術和安全協(xié)議技術等。通過數(shù)據(jù)加密,可以保證信息的機密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解決信息的完整性和不可否認性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務交易過程和數(shù)據(jù)的安全。

1、數(shù)據(jù)加密技術。加密技術是電子商務中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎的技術,加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。

2、認證技術。認證技術是保證電子商務交易安全的一項重要技術,它是網(wǎng)上交易支付的前提,負責對交易各方的身份進行確認。在校園電子商務中,網(wǎng)上交易認證可以通過校園統(tǒng)一身份認證系統(tǒng)(如校園一卡通系統(tǒng))來進行對交易各方的身份認證。

3、安全協(xié)議技術。目前,電子商務發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務的需求分析,校園電子商務更適合采用SSL協(xié)議。SSL位于傳輸層與應用層之間,能夠更好地封裝應用層數(shù)據(jù),不用改變位于應用層的應用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。

(四)基于一卡通的校園電子商務。目前,我國高校校園網(wǎng)建設和校園一卡通工程建設逐步完善,使用校園一卡通進行校園電子商務的網(wǎng)上支付可以增強校園電子商務的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:

1、校園網(wǎng)。它是一個內部網(wǎng)絡,它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設施,來自外部網(wǎng)絡人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。

2、校園一卡通。它具有統(tǒng)一身份認證系統(tǒng),能夠對參與交易的各方進行身份認證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控,統(tǒng)一身份認證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡管理中對不同角色的用戶享有不同級別的授權,使其網(wǎng)上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時,由于校內人員身份單一,多為學生,交易中一旦發(fā)生糾紛,身份容易確認,糾紛就容易解決。

四、結束語

開展校園電子商務是推進校園信息化建設的重要內容,隨著我國校園信息化建設的不斷深入,目前已有許多高校開展了校園電子商務,它極大地方便了校園內師生員工的工作、學習、生活?？墒桥c此同時,安全問題成為制約校園電子商務發(fā)展的障礙。因此,如何建立一個安全、便捷的校園電子商務應用環(huán)境,讓師生能夠方便可靠地進行校園在線交易和網(wǎng)上支付,是當前校園電子商務發(fā)展應著重研究的關鍵問題。

(作者單位:1.陜西理工學院;2.重慶大學經(jīng)濟與工商管理學院)

主要參考文獻:

[1]李洪心.電子商務安全[M].大連:東北財經(jīng)大學出版社,2008.

[2]楊堅爭,趙雯,楊立釩.電子商務安全與電子支付[M].北京:機械工業(yè)出版社,2008.

[3]劉克強.電子交易與支付[M].北京:人民郵電出版社,2007.

[4]Charlie Kaufman,Radia Perlman,MikeSpeciner著,許劍卓等譯.網(wǎng)絡安全-公眾世界中的秘密通信[M].北京:電子工業(yè)出版社,2004.

[5]張紅霞,宋德昌.校園電子商務如何建設[J].信息系統(tǒng)工程,2005.7.

[6]朱乾鋒.淺談“一卡通”技術[J].科技創(chuàng)新導報,2009.9.

[7]丁學君.電子商務中的信息安全問題及其對策[J].計算機安全,2009.2.

[8]余紹軍,彭銀香.電子商務安全與數(shù)據(jù)加密技術淺析[J].中國管理信息化(綜合版),2007.4.

[9]王俊杰.電子商務安全問題及其應對策略[J].特區(qū)經(jīng)濟,2007.7.

[10]秦昌友.淺析電子商務的安全技術[J].蘇南科技開發(fā),2007.8.

篇6

關鍵字：數(shù)字化；網(wǎng)絡安全；校園

一、網(wǎng)絡安全問題

（一）木馬病毒的危害

當下，我國的高校計算機安全方面，最突出的一個方面還是類似于木馬這類電腦病毒對于計算機的入侵，這不僅是是對數(shù)字化校園網(wǎng)絡環(huán)境的危害，對所有的計算機都是一個非常共性的問題。雖然信息在不斷地進步，計算機也不斷的進行更新?lián)Q代，但是就像木馬病毒，目前已經(jīng)更新出第六代了，電腦病毒也會跟隨著計算機的進化腳步而不斷的進化，這種病毒可以通過很多種方式來對電腦造成不可預估的危害，從而在人們對計算機的使用中帶來很多的麻煩。另外，由于人們對于病毒的防范意思的缺乏，從而導致人們對電腦上的殺毒軟件不能夠及時的進行更新，這就會對電腦病毒提供更多入侵電腦的機會，對數(shù)字化校園網(wǎng)絡的安全性帶來一些不必要的麻煩[1]。

（二）不健康信息的傳播

互聯(lián)網(wǎng)，顧名思義就是相互連接在一起的網(wǎng)絡，這不僅為老師和學生們教學和學習帶來方便，它還可以使老師和學生能夠及時的了解外部情況。另外，為了使各個高校之間能夠更加方便的交流和學習，各高校之間都是通過互聯(lián)網(wǎng)連接在一起的，使各個高校之間的學術交流得到進一步的拓展，為師生們提供更大的便利。但是，利弊總是伴生的。如果想要使師生獲得更大的便利，這就需要放寬對于網(wǎng)絡的束縛，增加它的開放性。那么問題也就會隨之而來，這就給數(shù)字化校園網(wǎng)絡的管理方面帶來了更大的壓力，例如網(wǎng)上的一些黃色暴力信息，就會借此機會入侵到高校計算機的網(wǎng)絡里面去，從而對學生們的身心健康和心理方面造成很大的不良影響，直接影響到學生們的學習效率。而且隨著智能手機的出現(xiàn)的高速發(fā)展，學生們可以通過智能手機連接學校的無線網(wǎng)絡，這就又為那些不良信息找到一個更好的宿主。雖然學生們知道那是不良信息，但是由于好奇心理的驅使以及自制能力的缺乏，從而不能夠抵制掉不良信息的誘惑。由此可見，不良信息的傳播也是高校網(wǎng)絡安全面臨的重要問題。

（三）對于專業(yè)網(wǎng)絡安全管理人才的需求

在當前國內的數(shù)字化校園網(wǎng)絡環(huán)境管理團隊中，相當大一部分的管理人員缺乏對于網(wǎng)絡安全管理的專業(yè)知識，對于人才的需求更是日益強烈，以至于在當前的管理人員中還有的是學校內的計算機老師進行輔助管理。而隨著信息技術的不斷發(fā)展，病毒的不斷進化，業(yè)余的管理人員是不E夠應對一些突發(fā)狀況的，計算機老師顯然不能夠勝任這項工作。因為大多數(shù)的計算機老師雖然能夠對電腦系統(tǒng)進行重裝，處理一些其他方面的小問題，但是當他們面對木馬這類的電腦病毒時卻無能為力。例如，校園網(wǎng)被不良信息入侵或者被黑客攻擊以及木馬病毒時，就算他們能夠及時的發(fā)現(xiàn)，但是他們也只能眼睜睜的看著病毒肆虐，卻不能夠及時的對其進行及時的有效的制止，這就可能導致學校內部的研究成果外泄或者學生個人信息的泄露。因此，這就需要更加專業(yè)的計算機人才來對數(shù)字化校園網(wǎng)絡環(huán)境進行專業(yè)的管理。

（四）網(wǎng)絡安全保護意思的缺乏

網(wǎng)絡本身就是一個比較抽象的概念，你也許只能看到一些線路，這就是網(wǎng)絡。但是，也許當我們真正離開網(wǎng)絡后才能明白它的重要性。網(wǎng)絡安全就是如此，它或許比網(wǎng)絡更加的虛無縹緲，但它卻真實的存在，而且非常重要。問題就出在這，因為人們不能夠看到它的存在，因此潛意識里就不會對它引起重視，只有在電腦中病毒了、不能運行了、重要文件丟失了，這個時候才想起網(wǎng)絡安全這個詞語。而高校的師生也是這個想法，不能夠對電腦上的殺毒軟件進行更新，因此黑客和病毒就有了機會入侵到數(shù)字化校園網(wǎng)絡環(huán)境，這個時候才會意識到網(wǎng)絡安全的份量。

二、數(shù)字化校園網(wǎng)絡安全管理對策

由于信息技術是一種在第三次科技革命下產(chǎn)生的高科技產(chǎn)物，而且它的發(fā)展速度以及更新速度都遠超之前的各種技術。因此，高校需要加大對信息網(wǎng)絡技術的投入和建設，在滿足發(fā)展需要的同時也應該做好自身的安全保障工作。這就需要對數(shù)字化校園網(wǎng)絡環(huán)境的安保措施進行完善，及時的對殺毒軟件進行更新，優(yōu)化和升級防火墻等防止黑客和病毒入侵的防護軟件，要做到對其及時的發(fā)現(xiàn)并進行有效的處理。另外，為了防止出現(xiàn)意外，一定要對重要的數(shù)據(jù)進行格外加密和備份[2]。此外還要建立起完善的信息過濾系統(tǒng)，對一些敏感字符或者信息進行自動過濾。

三、結束語

總體來說，信息技術在數(shù)字化校園網(wǎng)絡環(huán)境中給師生帶來的便利還是功不可沒的，但是在對數(shù)字化校園網(wǎng)絡環(huán)境安全的問題方面還是需要引起很大的關注的，有必要的話還可以請一些專業(yè)的專家來進行一些計算機網(wǎng)絡安全方面的講座，強化學校師生對網(wǎng)絡安全重要性的認識。[3]另外，還應該加大對于數(shù)字化校園網(wǎng)絡安全方面的物力和人力的投入，還要定期的對系統(tǒng)進行維護以及對管理人員專業(yè)知識方面的培養(yǎng)，全面的提高數(shù)字化校園網(wǎng)絡安全方面的防范措施。爭取打造一個安全可靠的科研和學術交流的平臺。

參考文獻

[1]陳衛(wèi)民. 多網(wǎng)合一的高校數(shù)字化校園網(wǎng)絡及其安全性研究[D].湖南大學，2011.

篇7

論文摘要:在信息化浪潮的推動下，院校校園網(wǎng)飛速建設，但信息技術的發(fā)展和更新卻遠遠超出我們預見，它使得傳統(tǒng)有線校園網(wǎng)絡的建設和應用的片面性逐漸呈現(xiàn)。新時期，如何對校園網(wǎng)進行升級、拓展應用成為當前校園網(wǎng)建設和改造要考慮的重要問題。

近幾年來，有線網(wǎng)絡建設、運行和維護的實踐表明，由于目前網(wǎng)絡是“有線”的，所以在應用中有相當多的問題不可避免。諸如，很多學校只在部分區(qū)域接入網(wǎng)絡，而無法顧及所有區(qū)域;那么，在不宜進行網(wǎng)絡布線的場館該如何聯(lián)網(wǎng)呢?在教室、實驗室等場合如何突破網(wǎng)絡節(jié)點限制，實現(xiàn)多人同時上網(wǎng)呢?這些傳統(tǒng)有線校園網(wǎng)的“網(wǎng)絡盲點”問題，與教員、學員“隨時隨地獲取信息”的新需求之間的矛盾如今將可以通過無線技術輕松解決。

    1“無線”的優(yōu)勢所在

    1.1全覆蓋:以高速無線的方式覆蓋整個校園，主要包括教學樓辦公室、禮堂、公寓、圖書館、廊道綠地等，強大的無縫漫游功能，確保了網(wǎng)絡通信的流暢性，讓學校師生隨時隨地可以接人網(wǎng)絡，享受無線校園帶來的樂趣。

    1.2可管理:由于校園有線網(wǎng)絡已經(jīng)建成，統(tǒng)一的網(wǎng)絡管理已經(jīng)投人使用，本次建成的無線網(wǎng)絡，將可以很好的融合進現(xiàn)有校園管理系統(tǒng)中，便于統(tǒng)一管理和維護。

    1.3可擴充性:在校園網(wǎng)絡規(guī)模不斷發(fā)展的情況下，無線網(wǎng)絡可滿足在不改變主體架構與大部分設備的前提下，平滑實現(xiàn)升級和擴充，降低原有網(wǎng)絡的硬件投資，并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。

    1.4多種服務的支持:基于校園級網(wǎng)絡的未來可持續(xù)發(fā)展，采用的無線產(chǎn)品均具備可適應未來發(fā)展校園級無線寬帶應用(如無線語音應用、無線視頻會議應用、無線多媒體通信應用等)的需要，并提供低成本的無縫升級和前后兼容。

    2“無線”的設計方案

    無線網(wǎng)絡技術具有無縫覆蓋、可移動通信等優(yōu)點，可與有線網(wǎng)絡互為補充，但就目前無線技術的發(fā)展狀況，無線最大的優(yōu)勢仍在于對現(xiàn)有有線網(wǎng)絡的補充。在高等網(wǎng)絡中，完善的解決方案將開辟無線網(wǎng)絡在高等教育的應用，進而引發(fā)深刻的整個高等網(wǎng)絡變革。

    根據(jù)校園網(wǎng)絡實際應用環(huán)境的特點，無線網(wǎng)絡解決方案大體分為兩套:室內和室外。

    2.1室內無線局域網(wǎng)主要針對不方便進行大規(guī)模布線或不宜布設太多信息點的建筑，如:圖書館、辦公大樓、教學樓、網(wǎng)絡教室、會議室、學員宿舍和報告大廳等。在室內實現(xiàn)全方位的無線上網(wǎng)，這將成為無線應用的新趨勢。

   2.2室外無線解決方案主要針對分布較遠的校區(qū)之間、布線不甚方便的校園建筑物之間以及適合學習的室外場所，如草坪、操場空地等。

    3“無線”的安全性能

    長期以來，安全性能制約著無線網(wǎng)絡的發(fā)展。隨著802. l國際標準和wapi國內標準的相繼出臺，無線網(wǎng)絡安全性得到了全面提升。國內的wapi國家標準，具有支持雙向鑒別、數(shù)字證書鑒別等優(yōu)勢，實現(xiàn)設備的身份認證、證書鑒別、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護，為無線終端接人提供更高等級的安全保障。

    無線網(wǎng)絡提供的比較常用的安全機制有如下三種:

    3.1基于mac地址的認證:基于mac地址的認證就是mac地址過濾，每一個無線接人點可以使用mac地址列表來限制網(wǎng)絡中的用戶訪問。實施mac地址訪問控制后，如果mac列表中包含某個用戶的mac地址，則這個用戶可以訪問網(wǎng)絡，否則，如果列表中不包含某個用戶的mac地址，則該用戶不能訪問網(wǎng)絡。

    3.2共享密鑰認證:共享密鑰認證方法要求在無線設備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰，那么就授予該用戶對無線網(wǎng)絡的訪問權。

篇8

目前，全國高校中的信息化建設發(fā)展迅速，橫向發(fā)展越來越全面，縱向發(fā)展越來越深入。信息化建設對高校的教育發(fā)展具有革命性影響，已經(jīng)成為促進高校教育改革創(chuàng)新和提高教育質量的推動力，是高校教育發(fā)展的創(chuàng)新前沿。大學的教學、科研和管理的正常運作幾乎完全依賴于信息系統(tǒng)的穩(wěn)定可靠運行，信息系統(tǒng)中的安全體系成為至關重要的部分。因此，高校需要一套完整嚴密的安全體系來保障信息化建設。

二、現(xiàn)狀與問題

隨著高校信息化建設的推進，大學信息化建設規(guī)模越來越大，軟硬件設備配備完整，運行保障的基礎技術手段基本具備。擁有了網(wǎng)絡系統(tǒng)管理和應用技術支持的專業(yè)人員，在安全上采用了防火墻、防病毒等常規(guī)的安全防護手段，保障了核心業(yè)務系統(tǒng)在一般情況下的正常運行，具備了基本的安全防護能力。但隨著信息系統(tǒng)的發(fā)展，不管從業(yè)務功能還是數(shù)據(jù)方面都在不斷的發(fā)生變化，但信息安全體系的不斷完善與整改往往因得不到重視而滯后。所以就會存在以下主要問題：信息化建設領導機構及信息安全機構設置不夠正規(guī)化、專一化。在之前，大多數(shù)高校中，信息安全機構不受重視、不夠專一。認為信息安全部分的進程，不用單獨成為信息化建設時平行推進的一條線，在信息化建設時對能考慮到的安全問題做決策，過程中未考慮到的問題，隨后再去做分析。這樣的結果往往使得安全部分的建設跟信息化建設脫節(jié)，如果步伐相差較大，安全系統(tǒng)體系最終不能到達預期的結果。防護系統(tǒng)過于單一。網(wǎng)絡與信息安全事件分類不明確，出現(xiàn)不同問題預處理方式不明確，導致不能全面的做到預防備案。對信息系統(tǒng)沒有主動去測試、篩選、掃描等主動檢測、監(jiān)測與查找，而是等待不同的安全問題出現(xiàn)后再去找相應的解決方案。保障措施不完善。后續(xù)處理應及時，抑制不安全影響進一步擴大。

三、高校信息安全體系的設計與應用

1.信息化建設領導機構及信息安全機構設置。（1）學校成立校園網(wǎng)絡與信息安全事件應急處置領導小組，全面負責和統(tǒng)一指揮校園網(wǎng)絡與信息安全重大突發(fā)事件的應急處置工作。（2）數(shù)字校園建設中心作為學校信息化建設的主管部門，負責校園主干網(wǎng)絡與主要信息系統(tǒng)安全事件的預防、監(jiān)測、報告和應急處置，負責對學校其他部門主管的網(wǎng)絡信息系統(tǒng)的安全防護情況進行日常檢查、指導和督促，必要時數(shù)字校園建設中心協(xié)助相關主管部門完成突發(fā)事件的技術處理。（3）成立校園網(wǎng)管理委員會，職責為負責領導、監(jiān)督和協(xié)調校園網(wǎng)的建設和運行；負責對校園網(wǎng)建設、使用和運行中的重大問題和政策性問題進行決策。信息化領導小組由主管信息化校領導和有關職能部門負責人組成。整合網(wǎng)絡中心、技術中心和電教中心成立數(shù)字校園建設中心，數(shù)字校園建設中心在教育信息化領導小組的領導下負責學校的信息化建設。（4）單獨成立校園網(wǎng)絡與信息安全事件應急處置領導小組，全面負責和統(tǒng)一指揮校園網(wǎng)絡與信息安全重大突發(fā)事件的應急處置工作。2.完整的信息安全架構。信息安全工作是一項常抓不懈的長期工作，首都師范大學在努力做好當下相關工作的同時，分別在安全技術和管理規(guī)范上做了相應的規(guī)劃。學校根據(jù)目前信息安全的現(xiàn)狀，申報信息安全建設專項，計劃通過采購數(shù)據(jù)中心防火墻、漏洞掃描系統(tǒng)、負載均衡等安全防護設備工相關工具，對數(shù)據(jù)中心進行整體安全加固，提升數(shù)據(jù)中心安全防護能力，切實提高系統(tǒng)的安全風險抵御能力，降低網(wǎng)絡應用系統(tǒng)所面臨安全風險威脅，保證網(wǎng)絡應用系統(tǒng)安全、穩(wěn)定的運行，使網(wǎng)絡信息系統(tǒng)在符合國家信息安全防護相應級別的安全要求。以首都師范大學數(shù)據(jù)中心安全規(guī)劃架構為例：第一層安全防護：即傳統(tǒng)防火墻+IPS，并且對內部的應用進行詳細控制，對校園網(wǎng)開放應用需要對開開放的端口，例如真把HTTP的80端口開放出來，其余的應和數(shù)據(jù)庫等就不會出現(xiàn)在校園網(wǎng)當中，并通過IPS對于蠕蟲、syn等攻擊行為進行防護。第二層安全防護：由于傳統(tǒng)的防火墻無法對于80端口的web應用進行防護，所以需要專門的web應用防火墻進行80端口的web應用的防護；在數(shù)據(jù)中心與核心交換機之間一般都使用萬兆鏈路，web應用防火墻不能像傳統(tǒng)防火墻能夠去支持萬兆接口，只能夠通過策略路由的方式將所有的80端口流量全部匹配至web應用防火墻內，其余的流量還照樣能夠走萬兆流量，一般在測試的過程中web流量基本維持在300M-500M之間，或者也可以采用反向的方式旁路在數(shù)據(jù)中心交換機上。第三層安全防護：虛擬化安全防護，在數(shù)據(jù)中心層面都提倡大二層結構，為了是最大化降低應用之間的訪問延遲，所以在虛擬化網(wǎng)絡設計當中就沿用二層設計，但由于一臺物理機器上承載多臺虛擬機，所以在2層交換上都是在虛擬交換機上進行，也就是說在相同虛擬機上同網(wǎng)段段的數(shù)據(jù)交互在網(wǎng)卡層面就完成，那相互之間的安全就需要依靠虛擬化安全防護來完成。第四層安全防護：數(shù)據(jù)庫安全防護，這部分防護主要是在應用服務器與數(shù)據(jù)庫服務器之間，監(jiān)視數(shù)據(jù)庫活動、防止未被授權的數(shù)據(jù)庫訪問、SQL注入權限或角色升級、對敏感數(shù)據(jù)的非法訪問。第五層安全檢測：通過漏洞掃描設備解決系統(tǒng)本身的漏洞和安全隱患，在拓撲中只要網(wǎng)絡可達便可對所有的設備進行檢查。該項目正在逐步推進過程中，計劃于明年年底前建設完成并交付使用，通過該項目的實施，各安全設備的運行防護能夠保障首都師范大學數(shù)據(jù)中心的信息安全，實現(xiàn)數(shù)據(jù)中心信息和網(wǎng)絡的安全。同時，還申報并計劃學校信息安全等級保護測評和整改項目，該項目啟動后，將對學校重點的信息系統(tǒng)進行等級保護測評并針對相應的測評結果對相應問題進行有針對性的改造；對于學校整個信息安全體系及信息安全管理制度進行統(tǒng)一的梳理，從制度和管理上對于信息安全進行全面的保障。3.對網(wǎng)絡與信息安全事件進行分類分級：《信息安全事件分類分級指南》（1）網(wǎng)絡與信息安全事件分類。網(wǎng)絡與信息安全突發(fā)事件依據(jù)發(fā)生過程、性質和特征的不同，可分為以下四類：①網(wǎng)絡攻擊事件：校園網(wǎng)絡與信息系統(tǒng)因病毒感染、非法入侵等造成學校網(wǎng)站或部門二級網(wǎng)站主頁被惡意篡改，應用系統(tǒng)數(shù)據(jù)被拷貝、篡改、刪除等。②設備故障事件：校園網(wǎng)絡與信息系統(tǒng)因網(wǎng)絡設備和計算機軟硬件故障、人為誤操作等導致業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓。③災害性事件：因洪水、火災、雷擊、地震、臺風、非正常停電等外力因素導致網(wǎng)絡與信息系統(tǒng)損毀，造成業(yè)務中斷、系統(tǒng)宕機、網(wǎng)絡癱瘓。④信息內容安全事件：利用校園網(wǎng)絡在校內外傳播法律法規(guī)禁止的信息，組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益等。（2）網(wǎng)絡與信息安全分級。網(wǎng)絡與信息安全突發(fā)事件依據(jù)可控性、嚴重程度和影響范圍的不同，可分為以下四級：I級（特別重大）：學校網(wǎng)絡與信息系統(tǒng)發(fā)生全校性大規(guī)模癱瘓，對學校正常工作造成特別嚴重損害，且事態(tài)發(fā)展超出學?？刂颇芰Φ陌踩录籌I級（重大）：學校網(wǎng)絡與信息系統(tǒng)造成全校性癱瘓，對學校正常工作造成嚴重損害，事態(tài)發(fā)展超出數(shù)字校園建設中心控制能力，需學校各部門協(xié)同處置的安全事件；III級（較大）：學校某一區(qū)域的網(wǎng)絡與信息系統(tǒng)癱瘓，對學校正常工作造成一定損害，數(shù)字校園建設中心可自行處理的安全事件；IV級（一般）：某一局部網(wǎng)絡或信息系統(tǒng)受到一定程度損壞，對學校某些工作有一定影響，但不危及學校整體工作的安全事件。4.做好預防措施，安全漏洞檢查與發(fā)現(xiàn)問題及時整改。依照上面指定的《信息安全事件分類分級指南》，對校園網(wǎng)絡通信平臺、應用平臺和信息系統(tǒng)采取相應安全保障措施。建立健全安全事件預警預報體系，嚴格執(zhí)行校園網(wǎng)絡與信息系統(tǒng)安全管理制度，常年堅持校園網(wǎng)絡安全工作值班制度。加強對校園網(wǎng)絡與學校網(wǎng)站等重點信息系統(tǒng)的監(jiān)控和安全管理，做好相關數(shù)據(jù)日志記錄，確定合理規(guī)則，對校園網(wǎng)絡進出信息實行過濾及預警。實行信息網(wǎng)上審批制度，對可能引發(fā)校園網(wǎng)絡與信息安全事件的信息，要認真收集、分析、判斷，發(fā)現(xiàn)有異常情況時，及時防范處理并逐級報告。做好服務器及數(shù)據(jù)中心的數(shù)據(jù)備份及登記工作，建立災難性數(shù)據(jù)恢復機制。特殊時期，根據(jù)要求和部署組織專業(yè)技術人員對校園網(wǎng)絡和信息系統(tǒng)采取加強性保護措施，對校園網(wǎng)絡通信及信息系統(tǒng)進行不間斷監(jiān)控。主動檢測與查找信息安全存在的漏洞風險，并根據(jù)安全154信息系統(tǒng)工程│2017.6.20ACADEMICRESEARCH學術研究漏洞的危險程度對問題采取以下方式進行處理：一是將存在安全隱患的網(wǎng)站進行短期關停，并限期封堵安全漏洞；二是對于涉及范圍比較廣，師生員工關注比較高的網(wǎng)站（如學校主頁）加強安全檢查和監(jiān)控，并上報辦公會，啟動改版計劃；三是對于建設較早且安全隱患較多二級部門網(wǎng)站進行永久性關停，并責令相關單位以新的安全標準建設新網(wǎng)站。對存在安全漏洞進行整改，對學校的安全風險進行全面排查，把信息安全事件扼殺在萌芽狀體。以免在信息安全方面沒有造成不良的影響，造成損失。5.完備的處理流程（1）預案啟動。發(fā)生校園網(wǎng)絡與信息安全事件后，數(shù)字校園建設中心和突發(fā)安全事件的信息系統(tǒng)建管部門應盡最大可能收集事件相關信息，鑒別事件性質，確定事件來源，弄清事件范圍，評估事件帶來的影響和損害，確認突發(fā)事件的類別和等級，并參照下述響應機制對突發(fā)事件進行處置。（2）應急響應①應急響應機制。III級或IV級突發(fā)事件響應：數(shù)字校園建設中心和突發(fā)安全事件的信息系統(tǒng)建管部門自行負責應急處置工作，有關情況報分管校領導。II級突發(fā)事件響應：數(shù)字校園建設中心立即上報分管校領導和校園網(wǎng)絡與信息安全事件應急處置領導小組，由領導小組統(tǒng)一組織、協(xié)調指揮進行應急處置。I級突發(fā)事件響應：數(shù)字校園建設中心立即上報分管校領導和校園網(wǎng)絡與信息安全事件應急處置領導小組，領導小組再上報至市公安局等相關部門，由北京市相關部門會同我校校園網(wǎng)絡與信息安全事件應急處置領導小組統(tǒng)一組織、協(xié)調指揮應急處置。②應急處理方式。根據(jù)網(wǎng)絡與信息安全事件分類采取不同應急處置方式。對于網(wǎng)絡攻擊事件，查找網(wǎng)絡攻擊的源頭，尋找對用內部的服務器等設備，關閉內部相關設備與外部的網(wǎng)絡連接。抓包并分析網(wǎng)絡攻擊的來源信息。對造成的信息破壞進行修復，利用備份系統(tǒng)進行恢復?；诠舻念愋涂梢圆扇∫韵陆鉀Q辦法：病毒傳播：及時尋找并斷開傳播源，判斷病毒的類型、性質、可能的危害范圍；為避免產(chǎn)生更大的損失，保護健康的計算機，必要時可關閉相應的端口，甚至相應樓層的網(wǎng)絡，及時請有關技術人員協(xié)助，尋找并公布病毒攻擊信息，以及殺毒、防御方法。外部入侵：找出攻擊的源頭，評估分析對網(wǎng)絡系統(tǒng)和數(shù)據(jù)系統(tǒng)造成的傷害。如果是試圖入侵被防火墻直接攔截的，對入侵數(shù)據(jù)進行分析，分析其欲攻擊的IP和端口。對服務器的端口進行監(jiān)察或關閉。對該IP地址進行限制訪問。如果已經(jīng)對系統(tǒng)造成損害，需要立即斷開與外網(wǎng)的連接，以免造成更為嚴重的傷害。內部入侵：定位內部的入侵相關信息，信息包含入侵的用戶，所在辦公室位置，入侵的IP地址和端口。對于入侵成功的，應立即關閉內網(wǎng)交換設備。設備故障事件：定位造成故障事件的設備，評估事件的嚴重程度，對于非持久化存儲的設備或可暫時停運的設備，使用備用設備替換。迅速聯(lián)系IT部門，對設備故障做維護與報備。保證相關的校園網(wǎng)絡系統(tǒng)的正常運轉。災害性事件：此類事件多指自然災害事件，根據(jù)災害的程度，在保證人身安全的情況下，對設備以及數(shù)據(jù)進行緊急保護。信息內容安全事件：接到校內網(wǎng)站出現(xiàn)不良信息的報案后，應迅速屏蔽該網(wǎng)站的網(wǎng)絡端口或拔掉網(wǎng)絡連接線，阻止有害信息的傳播，根據(jù)網(wǎng)站相關日志記錄查找信息人并做好善后處理；對公安機關要求我校協(xié)查的外網(wǎng)不良信息事件，根據(jù)校園網(wǎng)上網(wǎng)相關記錄查找信息人。其它不確定安全事件：根據(jù)提前制定的安全事件處理原則，根據(jù)實時情況靈活多變進行處理。對于未知的處理辦法，對信息安全部門進行咨詢求助。③后續(xù)處理。對攻擊事件先進行以上的事件處理之后，應及時的采取措施，防止攻擊事件造成的危害進一步的增強。對于具有潛伏性的、長久性的病毒攻擊，要實時的進行隔離和防護。對攻擊事件抑制以后，追其根源，分析事件的動機和途徑。解決并清除此危機，制定對此類攻擊處理的成熟方案。在確保安全事件解決后，要及時清理系統(tǒng)，恢復數(shù)據(jù)、程序、服務，恢復工作應避免出現(xiàn)誤操作導致的數(shù)據(jù)丟失。④記錄上報。對于發(fā)生的安全事件，要認真做記錄與統(tǒng)計。將記錄結果向校園安全部門領導及時匯報，及時分析網(wǎng)絡系統(tǒng)日志，將重要日志信息做永久存儲處理。⑤結束響應。不斷完善網(wǎng)絡安全整體方案，加強技術管理，確保信息系統(tǒng)的穩(wěn)定與安全。根據(jù)工作需要聘請信息安全顧問為應急處置過程和重建工作提供咨詢和技術支持。6.保障措施。校園網(wǎng)絡與信息安全應急處置是一項長期的、隨時可能發(fā)生的工作，必須做好各項應急保障工作。（1）隊伍保障。加強對安全隊伍工作人員的安全技術培訓，增強安全隊伍對日常操作的安全程度，面對突發(fā)安全事件能緊急處理。對于日常維護能做到防患于未然。（2）技術保障。拒絕采用盜版辦公軟件，特別是安全維護相關的軟件，比如防火墻、殺毒軟件等，應安裝正版使用。擁有健全的安全防護體系與安全技術，對防護系統(tǒng)進行多方位、多層次的設計。確保安全系統(tǒng)的穩(wěn)定與可靠。（3）資金保障。信息安全部門要積極的對安全的升級與維護項目進行申報，對于申報資金要落到安全系統(tǒng)建設實處。學校領導與財務部門，要大力支持安全部門的專項資金申請審批工作。將安全系統(tǒng)預算納入到每年的財政預算中。（4）安全培訓和演練。聘請專業(yè)的安全公司人員對部門人員進行培訓與教學，在理論培訓的同時，進行安全事件的軟件模擬或真實模擬演練。

四、結語

高校信息化管理水平是衡量高校辦學水平的重要尺度，信息化管理過程中的安全是重中之重。隨著高等教育的迅速發(fā)展, 辦學規(guī)模不斷擴大, 教學管理越來越復雜化, 高校的信息系統(tǒng)管理工作面臨著嚴峻挑戰(zhàn)。伴隨著高校信息化進程的不斷推進，新的信息安全隱患不斷涌現(xiàn)，信息風險也不斷加大，建立一套高效、集成的信息安全保障體系勢在必行。利用技術措施加強信息安全防護，保證管理信息系統(tǒng)正常運行，這樣才能滿足教學管理的需要。

作者:劉海龍 安寅杰 單位:首都師范大學數(shù)字校園建設中心

參考文獻

[1]吳曉瞻.高校安全協(xié)同辦公信息系統(tǒng)的設計與實現(xiàn)[D].浙江:浙江工業(yè)大學,2016.

[2]黃文雯.辦公業(yè)務安全保障系統(tǒng)的設計與實現(xiàn)[A].中國電機工程學會電力信息化專業(yè)委員會、國家電網(wǎng)公司信息通信分公司:2016電力行業(yè)信息化年會論文集,2016,(4):10-23.

[3]姚亞玲.高校網(wǎng)絡教學管理系統(tǒng)的設計與實現(xiàn)[D].吉林:吉林大學,2016.

[4]黃宏杰,陳永清.現(xiàn)代校園網(wǎng)信息安全化的研究[J].計算機時代,2016,(12):46-48+52.

[5]徐豪.高校網(wǎng)絡安全管理問題與對策研究[J].數(shù)字技術與應用,2016,(09):200-201.

篇9

關鍵詞：網(wǎng)絡安全；分布式拒絕服務攻擊；流量控制；流量清洗

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

隨著互聯(lián)網(wǎng)技術的飛速發(fā)展，各類政府部門、高校、科研機構信息化水平的持續(xù)提高，各項業(yè)務對于互聯(lián)網(wǎng)的依賴性越來越大。同時，由于網(wǎng)絡安全技術和網(wǎng)絡攻擊手段的不斷發(fā)展和演變，使得這類用戶的互聯(lián)網(wǎng)業(yè)務面臨著極大的威脅和風險。其中，分布式拒絕服務型攻擊（Distributed Denial of Services，簡稱DDoS攻擊）是目前互聯(lián)網(wǎng)中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊不但能夠給各類互聯(lián)網(wǎng)用戶和服務提供商造成業(yè)務中斷、系統(tǒng)癱瘓等嚴重后果，同時也嚴重威脅到高校校園網(wǎng)的基礎設施。

目前，由于商業(yè)競爭、政治情緒、經(jīng)濟勒索等因素的驅動，DDoS攻擊越來越呈現(xiàn)出組織化、規(guī)?；?、專業(yè)化的特點，攻擊流量動輒數(shù)G、十幾G，攻擊頻率也大有愈演愈烈之勢。在這種緊迫形勢下，配合當前數(shù)字化校園的建設戰(zhàn)略，建設專門的DDoS 攻擊流量監(jiān)測和清洗平臺是一個必然之選?；谠撈脚_，一方面可以為校園網(wǎng)的網(wǎng)絡基礎設施提供安全保障，有效提高校園網(wǎng)網(wǎng)絡的健壯性；另一方面能夠結合數(shù)字化校園應用系統(tǒng)的安全需求提供DDoS 攻擊的防護業(yè)務，從而達到提高網(wǎng)絡帶寬高利用率和網(wǎng)絡高可用性的目的。

1 校園網(wǎng)網(wǎng)絡現(xiàn)狀

在網(wǎng)絡資源方面，現(xiàn)在高校校園網(wǎng)通過多期擴容工程，已經(jīng)形成了核心、匯接、接入三個網(wǎng)絡層次，這種清晰的網(wǎng)絡層次，給實施流量的監(jiān)控、控制提供了良好的網(wǎng)絡基礎。在設備資源方面，各高校校園網(wǎng)核心層以及匯接層大部分采用了Cisco、Juniper、華為等主流廠商的高端設備，支持Netflow功能，性能上可以提供保障，支持DDoS 攻擊防護平臺的建設實施。

可以說，目前高校校園網(wǎng)網(wǎng)絡已經(jīng)具備了建設DDoS 攻擊防護平臺所需要的網(wǎng)絡和設備資源。除此之外，需要相關的管理部門盡量落實建設方案，包括規(guī)劃、設計、實施以及業(yè)務維護等各個環(huán)節(jié)所涉及的服務隊伍。

高校校園網(wǎng)網(wǎng)絡分為核心層、匯接層、邊緣層和業(yè)務層，核心層、匯接層、邊緣層節(jié)點根據(jù)業(yè)務發(fā)展需要配置相應檔次的路由器。核心節(jié)點設備及之間的互連鏈路、核心節(jié)點設備與匯接節(jié)點設備的互連鏈路以及匯接節(jié)點的設備組成的網(wǎng)絡定義為骨干層。校園網(wǎng)網(wǎng)絡的其他部分為接入層，具體包括各接入節(jié)點設備間互連鏈路、接入節(jié)點設備與邊緣層設備的互連鏈路。

2 業(yè)務需求分析

2.1 用戶分析

目前，各高校校園網(wǎng)通常通過互聯(lián)網(wǎng)向外提供各種應用和業(yè)務，如網(wǎng)站門戶、遠程教學、電子郵件、教學科研管理等等。他們對業(yè)務的連續(xù)性要求較高，DDoS 攻擊造成的業(yè)務中斷會對高校造成非常大的經(jīng)濟或社會利益的損失。高校校園網(wǎng)內部也需要建立一套有效的異常流量監(jiān)控和控制機制來保護其基礎業(yè)務系統(tǒng)。愈演愈烈的DDoS 攻擊，可在短時間內使網(wǎng)絡堵塞、關鍵節(jié)點資源耗盡，給校園網(wǎng)基礎業(yè)務系統(tǒng)系統(tǒng)的穩(wěn)定性、安全性帶來嚴重的威脅。

2.2 業(yè)務模型分析

DDOS 攻擊防御系統(tǒng)主要為用戶提供的業(yè)務模式為：1）長期在線檢測和清洗；2）長期在線監(jiān)測，觸發(fā)清洗。

為校園網(wǎng)所能夠提供的基礎服務可以包括：

1）資源預留：在DDoS 攻擊防護平臺上為校園網(wǎng)應用保留攻擊防護所必須的資源，包括流量采樣和分析設置、流量清洗空間（空間大小根據(jù)流量清洗需求及清洗設備能力確定）、牽引/回注電路及相關網(wǎng)絡設備及其配置等。

2）制定安全基線：通過分析校園網(wǎng)業(yè)務流量特征、常見攻擊流量特征，構建校園網(wǎng)安全基線和基礎攻擊防護策略。

3）7*24實時監(jiān)控：校園網(wǎng)安全專家運維團隊對針對校園網(wǎng)的流量進行7*24實時采集和分析，對異常流量進行跟蹤并記錄，對可能造成校園網(wǎng)業(yè)務中斷的惡意攻擊啟動預警機制。

4）安全事件通告：對造成業(yè)務影響的惡意攻擊或其他異常及時以約定的響應模式告知用戶并與用戶進一步協(xié)商應對策略。

5）流量分析報告：按照約定時間周期為用戶提供流量采樣的分析報告，無論此間是否收到攻擊或者啟動過防護措施。

3 流量清洗設備功能要求

1）流量清洗設備必須滿足能夠有效防護目前常見的DDoS 攻擊類型，具體為：Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 連接耗盡、HTTP Get Flood、CC、UDP FLOOD 攻擊等。通過軟件升級，以保證流量清洗設備能夠防御新型的DDoS攻擊。

2）流量清洗設備滿負荷運行時，對攻擊流量的清洗精度應大于99%，對合法用戶流量誤判率應小于0.1%。

3）系統(tǒng)流量清洗與DDoS 過濾的方式與原理，包括過濾，反欺騙，異常識別，協(xié)議分析，速率限制等盡可能多的方式方法。

4）當流量監(jiān)控設備發(fā)現(xiàn)DDoS 攻擊流量時，流量監(jiān)控設備直接觸發(fā)流量清洗設備以啟動對目標攻擊流量的流量清洗操作：

5）設備提供二次開發(fā)接口，當通過IDS/IPS 或其它方式發(fā)現(xiàn)DDoS 攻擊后，網(wǎng)管系統(tǒng)可通過SSH-script 等方式向流量清洗設備發(fā)出啟動指令；

6）支持旁路(Offline)工作模式。當發(fā)生DDoS攻擊時，清洗設備可通過BGP路由宣告的方式將去向被保護目標的流量導入流量清洗進行處理。

4 總體建設方案

DDoS攻擊防護系統(tǒng)的建設是在降低對現(xiàn)有網(wǎng)絡的影響，保證業(yè)務系統(tǒng)的連續(xù)性和可用性的基礎上，針對不斷發(fā)展的攻擊形式，有效地進行檢測和清洗。防護平臺涉及兩個關鍵系統(tǒng)，及異常流量檢測系統(tǒng)和DDoS 攻擊清洗系統(tǒng)，平臺架構可以參照圖1。

1）異常流量檢測系統(tǒng)

提供對DDoS 攻擊行為的深入分析。檢測設備被動監(jiān)測網(wǎng)絡業(yè)務，搜尋與“正?！?行為的偏差或DDoS 攻擊的基本行為。攻擊被識別后，檢測設備發(fā)警報給清洗設備，觸發(fā)清洗設備啟動，以實現(xiàn)清洗設備對正常流量中的攻擊流量進行清洗，同時也支持提供攻擊報警來通知相關的維護人員，以手工啟動清洗設備以及相關的快速響應措施。異常流量檢測設備由綜合網(wǎng)管系統(tǒng)提供，主要支持手動啟動清洗。

2）DDoS 攻擊清洗系統(tǒng)

DDoS 攻擊防護解決方案的關鍵部件。該設備是一個高性能DDoS 攻擊緩解設備，當流量被“牽引”到該設備后，能通過流量分析驗證技術對正常業(yè)務流量和惡意攻擊流量進行識別和分離，通過限速或過濾等手段遏制攻擊流量，同時保證合法的數(shù)據(jù)包能繼續(xù)傳送到目標地址。

圖1 平臺構架示意圖

5 DDOS攻擊清洗方案

5.1 流量牽引技術

流量牽引主要指將去往被攻擊目標的流量重路由到一個用于攻擊緩解的流量清洗中心，以便在清洗中心中處理, 丟棄攻擊流量。當發(fā)現(xiàn)了一個攻擊時，流向攻擊目標的流量需轉移到一個清洗中心。有多種技術都可觸發(fā)這種流量轉移，觸發(fā)可為集中或分布式，手動或自動進行。

5.2 集中觸發(fā)與分布式觸發(fā)

集中觸發(fā)是在安全管理中心配置一個“觸發(fā)器”，所有的轉移動作從這個觸發(fā)器觸發(fā)。觸發(fā)就是在路由器上增加一條靜態(tài)路由添加一個特殊標記，隨后重到BGP中。當攻擊結束以后，可以刪除這條路由，停止牽引。集中轉移觸發(fā)的主要優(yōu)勢在于，流量轉移由網(wǎng)絡中的單一點控制，管理和觸發(fā)轉移過程更方便，但是需要單獨購置攻擊觸發(fā)設備。

分布式觸發(fā)是當清洗中心的清洗設備需要工作時， 它們各自向網(wǎng)絡中的一個路由器發(fā)送一個BGP更新，將到目標地址的下一跳設置為它們自身。采用分布式觸發(fā)的主要優(yōu)勢在于，它能靈活地將清洗設備資源分配給遭受攻擊的特定用戶。

由于校園網(wǎng)需要對全網(wǎng)進行保護，把攻擊流量在盡可能靠近攻擊源的地方消滅，所以可采用集中觸發(fā)。

5.3 流量清洗技術

流量“牽引”到清洗設備后，通過流量分析驗證技術對正常業(yè)務流量和惡意攻擊流量進行識別和分離，丟棄攻擊流量，保留正常流量。

典型的流量清洗的過程由五個模塊（步驟）組成：

1）過濾：包括靜態(tài)和動態(tài)的DDoS 過濾器filters。

2）反欺騙：用以驗證進入系統(tǒng)的數(shù)據(jù)包沒有欺騙信息。

3）異常識別：監(jiān)測所有通過了filter 和反欺騙模塊的流量，并將其與隨時間紀錄的基準行為相比，搜尋那些非正常的流量，識別惡意包的來源。

4）協(xié)議分析：處理反常事件識別模塊發(fā)現(xiàn)的可疑數(shù)據(jù)流，目的是為了識別特定的應用攻擊，例如http-error攻擊。

5）速率限制：提供了另一個執(zhí)行選項，防止不正當數(shù)據(jù)流攻擊目標。

5.4 流量回注技術

經(jīng)過流量清洗后，正常流量被重新轉發(fā)回網(wǎng)絡，到達原來的目標地址。根據(jù)網(wǎng)絡環(huán)境不同，目前主要有以下幾種注入方式：

1） L2 injection：注入路由器和清洗設備在同一個二層子網(wǎng)；

2） PBR based injection：通過策略路由實現(xiàn)流量注入；

3） GRE Injection in an IP Core：注入通過一個GRE 隧道實現(xiàn)。GRE隧道發(fā)起在清洗設備, 終結在CPE 設備；

4） VRF Injection in an MPLS core：流量通過一個獨立的“inject” VRF進行注入；

6 小結

DDOS攻擊防御業(yè)務平臺將根據(jù)校園網(wǎng)自有異常流量檢測和分析系統(tǒng)、IDS或者其它網(wǎng)絡監(jiān)控系統(tǒng)對DDOS攻擊檢測結果，或者應用戶申告對相應用戶進行DDOS攻擊防御。項目建設范圍將包括針對DDOS 攻擊的流量引導、清洗和回注過程等的前端功能實體以及后端業(yè)務管理平臺和設備系統(tǒng)管理平臺，針對DDOS 攻擊的檢測和分析綜合網(wǎng)管工程等其它工程完成。它的建成將極大地緩解高校校園網(wǎng)由于DDOS攻擊造成的弊端，最終更好地為教學和科研工作服務。

參考文獻：

[1] 尹春霖,張強,李鷗.基于IXP1200平臺的DDoS防御系統(tǒng)實現(xiàn)[J].信息工程大學學報,2005,6(4):59-62.

[2] 蓋凌云,黃樹來.分布式拒絕服務攻擊及防御機制研究[J].通信技術,2007,(6):32-33.

[3] 吳瀟,沈明玉.基于流量牽引和陷阱系統(tǒng)的DDoS防御技術[J].合肥工業(yè)大學學報：自然科學,2008(01):25-28.

篇10

[關鍵詞]無線校園局域網(wǎng) 無線控制器 FAT AP FIT AP

[中圖分類號]TN925.93[文獻標識碼]A[文章編號]1007-9416(2010)02-0090-02

1 引言

隨著各高等院校信息化建設不斷深入,各校園網(wǎng)絡從網(wǎng)絡結構、規(guī)模和帶寬來看,校園有線網(wǎng)絡已經(jīng)基本形成。校園網(wǎng)已經(jīng)成為校園生活工作的重要組成部分,是教職員工和學生獲取資源和信息主要途徑。無線網(wǎng)絡技術具有無縫三維覆蓋、可移動通信等優(yōu)點,彌補了有線網(wǎng)絡的不足。據(jù)統(tǒng)計,到2009年,國內外有1000余所學校已經(jīng)建成了無線校園網(wǎng)絡[1]。

前期已經(jīng)建成的無線校園局域網(wǎng)由于先期資金投入不多,大多采用基于智能型的接入點--FAT AP傳統(tǒng)分布式結構,該結構比較適合開放式或對用戶行為控制不是很敏感的WLAN 網(wǎng)絡環(huán)境。但是隨無線校園局域網(wǎng)用戶數(shù)量和各種無線網(wǎng)絡應用增多,無線網(wǎng)絡規(guī)模逐漸擴大,傳統(tǒng)的無線校園局域網(wǎng)面臨諸多問題:面對眾多的無線接入點AP時缺乏集中的配置管理手段,缺乏智能的RF管理,難以進行RF設置和無法統(tǒng)一部署全局的安全和接入策略等。

為此本文提出了的基于以無線控制器(AC)的集中式管理架構的無線校園局域網(wǎng)。這種架構通過集中式管理來簡化AP,僅需要在校園網(wǎng)絡中心加入一臺無線控制器,將原有的FAT AP轉化為FIT AP就能解決傳統(tǒng)的無線校園網(wǎng)絡面臨的諸多問題。

2 傳統(tǒng)的無線校園網(wǎng)設計

2.1 網(wǎng)絡現(xiàn)狀

本文所討論的無線校園局域網(wǎng)是以筆者所在學院為對象。目前學院在校學生9000余人,教職工160余人。學院一期網(wǎng)絡是以千兆以太網(wǎng)多層交換技術和國內主流產(chǎn)品為主導的校園網(wǎng)系統(tǒng),有線網(wǎng)絡覆蓋實訓樓、學生宿舍和辦公樓,基本上達到了100M到樓層,10M到桌面的有線網(wǎng)絡體系。隨學院圖書館建成和某些課程教學過程要求聯(lián)網(wǎng)的需要,在項目資金有限的情況下,學院兩年前對一期網(wǎng)絡進行了升級改造,改造后的校園網(wǎng)絡新增了圖書館和教學樓部分教室內的無線局域網(wǎng)部署。

新建的無線局域網(wǎng)采用Fat AP的分布式組網(wǎng)架構,在一期的有線局域網(wǎng)基礎上,配以Fat AP、無線適配器、RADIUS服務器等設備組成。分布在各處的AP通過網(wǎng)絡雙絞線與教學樓或圖書館有線局域網(wǎng)的樓層交換機相聯(lián)。AP獨立地為接入的無線用戶提供射頻信號收發(fā)、通信、用戶身份認證、數(shù)據(jù)加密、安全策略實施等工作,AP之間各自獨立,互不相干。在無線網(wǎng)絡覆蓋區(qū)的配備無線網(wǎng)卡的PC、筆記本電腦和智能手機等移動終端設備,通過臨近AP制定的安全策略連接到無線網(wǎng)絡,訪問網(wǎng)絡資源。

目前校園網(wǎng)的拓樸圖如圖2-1所示。

2.2 存在的問題

選擇Fat AP的分布式組網(wǎng)架構建設校園無線網(wǎng)絡,是由于該方案技術成熟、且初期資金投入不多?，F(xiàn)在經(jīng)過2年左右時間的運行,隨無線用戶和各種無線應用增多、無線網(wǎng)絡規(guī)模逐漸擴大,校園無線網(wǎng)絡在實際運行和維護過程中面臨的問題逐漸顯現(xiàn):

2.2.1 面對逐漸增多的無線接入點時,缺乏集中的配置管理手段

初期在圖書館部署了8個室內AP,教學樓部署了4個。網(wǎng)絡中心管理員在進行網(wǎng)絡維護過程中,逐個登錄AP了解AP設備的運行狀況,修改AP的服務與安全策略,維護各AP的IP地址和設備的映射關系。但是隨新增圖書館會議室無線覆蓋區(qū)域、需要無線網(wǎng)絡覆蓋教室數(shù)量增加,需要逐漸增加AP,AP數(shù)量上的增加使得管理員的維護和升級的工作相當繁瑣和不便,急需集中的配置管理手段提高工作效率。

2.2.2 缺乏智能的RF管理,難以進行 RF設置

在無線網(wǎng)絡實際運行過程,如果出現(xiàn)工作在同一個信道的兩個AP同時傳輸數(shù)據(jù)的情況,導致數(shù)據(jù)傳輸?shù)臎_突,影響無線網(wǎng)絡的性能。而且由于缺乏當智能的RF管理,單點AP發(fā)生故障的時候,其它附近AP不能自動的提高周圍?AP?的發(fā)射功率,減少或消除無線覆蓋盲區(qū),增加了無線網(wǎng)絡不穩(wěn)定性。

2.2.3 各AP”冷熱”不均,無法實現(xiàn)負載均衡

有的時候多個用戶連到同一臺AP上,而某些AP空閑,使得用戶集中的AP成為了無線網(wǎng)絡性能瓶頸。無法根據(jù)無線用戶數(shù)量或者無線流量將負荷較重AP上的部分用戶轉移到其他AP上去,使得各個?AP?上的負載均衡。

通過經(jīng)過2年左右的實際運行情況,基于傳統(tǒng)的Fat AP架構組建的無線局域網(wǎng),其網(wǎng)絡性能和管理模式已經(jīng)很難適應校園無線網(wǎng)絡規(guī)模逐漸擴大的實際現(xiàn)狀。

為解決以上問題,本文提出了基于無線控制器和FIT AP的無線校園局域網(wǎng)解決方案。

3 基于無線控制器的無線校園局域網(wǎng)設計方案

3.1 組網(wǎng)架構簡述

本文提出的無線控制器+Fit AP的無線網(wǎng)絡解決方案不會改變現(xiàn)有的網(wǎng)絡結構,僅需要在網(wǎng)絡中心加入一臺無線控制器,再配以Fit AP、無線適配器等設備而成。

3.1.1 無線控制器

目前,如Cisco、H3C和銳捷等各大網(wǎng)絡設備提供商都已經(jīng)推出各種型號的無線控制器[2]。它可以完成無線網(wǎng)絡的各種配置和管理工作,將以前在FAT AP完成的功能集中到無線控制器,簡化了AP配置。

AC完成的功能包括AP的配置、管理和監(jiān)控,以及無線網(wǎng)的接入認證、轉發(fā)和統(tǒng)計、QoS、安全控制等功能,實現(xiàn)了對無線網(wǎng)絡的集中控制和管理。

3.1.2 Fit AP

Fit AP的出現(xiàn)時相對于Fat AP而言的,Fit AP不需配置即可使用。Fit AP啟動時自動從AC下載配置信息,Fit AP只負責射頻信號的發(fā)射和接收、傳輸數(shù)據(jù)的加密和解密,并自動從DHCP服務器獲取IP地址,相對于FAT AP而言,Fit AP的出現(xiàn)極大的簡化了AP配置。

3.2 無線校園局域網(wǎng)設計方案

3.2.1 需求分析

目前,隨圖書館二期工程中會議室已經(jīng)基本竣工,學院召開大型會議時需要用到網(wǎng)絡。考慮到運用傳統(tǒng)的有線接入方式需要在每個會議座位部署網(wǎng)絡接入點,網(wǎng)絡布線工程較大,而圖書館在校園網(wǎng)一期改造完成后已經(jīng)有了無線網(wǎng)絡的特點,二期工程中會議室僅僅需要加入AP就能實現(xiàn)網(wǎng)絡接入的要求。

校園網(wǎng)一期改造完成后,教學樓有部分教室已經(jīng)實現(xiàn)了無線網(wǎng)絡覆蓋,但是由于越來越多的課程在課程改革過程運用了新技術,需要在課堂教學過程中接入網(wǎng)絡,直接導致了需要無線網(wǎng)絡覆蓋教室數(shù)量增加,需要逐漸增加AP。

針對以上需求和網(wǎng)絡現(xiàn)狀,如果還是采用在以前無線網(wǎng)絡中直接添加Fat AP的方式進行網(wǎng)絡擴展的話,就會使得本文在2.2中提出的由于Fat AP逐漸增加后導致的問題更加突出,所以本文提出了無線控制器+Fit AP的無線網(wǎng)絡解決方案。

3.2.2 設計方案

本方案在原有的網(wǎng)絡結構基礎上,在學院網(wǎng)絡中心加入一臺無線控制器,它直接連接到網(wǎng)絡中心交換機上,對于以前無線網(wǎng)絡中存在的FAT AP通過軟件升級一次性轉化成FIT AP,圖書館會議室和教室新增的AP直接配以FIT AP。

新設計方案的校園網(wǎng)的拓樸圖如圖2所示。

3.3 新方案的優(yōu)勢

采用無線控制器+Fit AP架構的無線網(wǎng)網(wǎng)絡與傳統(tǒng)采用FAT AP架構組網(wǎng)相比,僅需在學院網(wǎng)絡中心加入一臺無線控制器,就可以將傳統(tǒng)模式的FAT?AP(僅需一次FAT?AP到FIT AP軟件轉換升級)或新增的?FIT AP,集中控管起來,形成一個集中配置、監(jiān)控和管理的無線控制域。

新方案提出的組網(wǎng)架構,具備了自動的射頻控制/調整,靈活的認證機制、行為控制和設備管理。校園網(wǎng)網(wǎng)管員可以通過無線控制器內部的監(jiān)控界面和日志報告,實施統(tǒng)一的認證管理和行為控制策略,清晰的了解異常流量,未識別的攻擊,以及告警的原因和分析,做出相應的決策,極大的減少人工配置和管理工作量。

可以看出本方案可以解決校園無線在本文2.2中提出的各種問題,而且還能夠實施統(tǒng)一的認證管理和行為控制策略,對于逐漸增多的無線網(wǎng)絡中用戶和無線應用需求提供安全保障。

4 結語

隨著校園網(wǎng)絡建設深入和無線網(wǎng)技術的不斷發(fā)展,作為有線網(wǎng)的擴展和補充,相信將來會有更多的學校建設自己的校園無線局域網(wǎng)。本文提出的基于無線控制器+FAT AP的無線校園局域網(wǎng)建設方案由于具有集中的管理和統(tǒng)一的安全控制策略和多種定制功能等優(yōu)勢,將成為校園無線局域網(wǎng)建設方案首選。但是該方案建網(wǎng)成本高,而且無線局域網(wǎng)內流量必須通過無線控制器集中轉發(fā),所以該方案更加適合在中型規(guī)模的校園無線局域網(wǎng)中推廣使用。

[參考文獻]

[1] 周立山.基于校園網(wǎng)的無線網(wǎng)絡擴建方案淺析[J].電腦知識與技術,2009(5):3684-3686.

[2] 陳盈,郭文平.校園WLAN方案的AP相關問題研究[J].計算機時代,2008(10):64-65.

[3] 李浩林,沈世錦,張正鳳.AP技術發(fā)展與組網(wǎng)應用的研究[J].電信科學,2008(5):26-27.

[4] 紅斌.無線局域網(wǎng)設計與應用[J].長治學院學報,2alS(2):34-36.

[作者簡介]

孟清(1980-01),男,研究生,高級工程師,研究方向無線網(wǎng)絡安全;