基于全局安全的高校校园网络设计方案.docVIP

基于全局安全的高校校园网络设计方案 　　摘要：该文介绍了当前网络安全技术的不足及学校校园网的安全现状，提出基于全局安全的校园网络设计方案，并给出该方案部署于本单位的实例。 　　关键词：全局安全；校园网；安全体系 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)31-0000-0c 　　An Design Proposal of Campus Network Based on Global Security 　　HUANG Xin1,2, ZHAO Zhi-gang1 　　(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China) 　　Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project. 　　Key words: global security; campus network; security structure 　　 　　高校校园网作为高校信息化的重要基础，承担着学校教学、科研、管理和社会服务等重要角色，给教师和学生的工作、学习、生活带来了很多便利。但当今校园网面临着严峻的威胁网络安全问题，目前面对威胁，应对问题的主要技术有身份认证技术、入侵检测技术、防火墙技术、防病毒技术等。这些技术都只是针对局部威胁的安全措施，无法保障校园网的整体安全。因此，新的校园网安全思路，注重从“局部防御”到“整体防范”的转变，将安全理念融合到网络基础架构中，依靠多种安全组件联动，实现整体网络的安全，即全局安全解决方案。 　　1 农职院网络安全现状 　　广西农业职业技术学院校园网始建于2002年，通过100M链路CERNET、30M电信链路接入Internet，己形成覆盖教学、科研、办公、宿舍等区域的所有建筑物，“千兆主干、百兆到桌面”的网络带宽格局。计算机网络自身的开放性、互联性和共享性，使之不可避免地会受到病毒、黑客、木马等安全威胁和攻击，校园网数据丢失、系统被篡改、网络瘫痪的情形常有发生。其原因主要如下： 　　① 缺乏有效的身份管理系统 　　校园网缺少用户身份认证机制，外来用户、非法用户随意接入；缺少可控的身份集中认证系统，对用户进行管理难度大；用户账号存在被盗用的风险，安全审计无法有效进行，在实际发生问题后不能够迅速定位及取证分析。 　　② 无法保证用户终端合法性 　　Windows系列系统存在致命漏洞，系统补丁没有及时更新；没有按要求安装杀毒软件，安装后从来不升级或者从来不主动查杀；随意下载违禁软件，不规范使用网络；上述问题造成了病毒和攻击在校园网内泛滥，严重影响正常应用。 　　③ 网络安全无法有效控制 　　校园网内部分用户出于对网络的好奇，经常会用学习到的各种方法，非法攻击校园网络核心设备及应用系统，严重影响校园网络的安全稳定运行和校园管理秩序。目前互联网上相关的黑客工具种类繁多、功能丰富、设置简单、使用方便、破坏力大，给这类学生提供了攻击的便利。 　　2 全局安全校园网络的设计 　　校园网全局安全理念，由锐捷网络公司于2005年提出，即GSN（ Global Security Network），由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成，能实现同一网络环境下的全局联动，使每个设备都发挥安全防护作用的新型网络安全模式。具体构架如图1所示，其由三个层面、五个部分组成。 　　hx01.tif 　　图1 全局安全网络 　　校园网全局安全方案通过将校园网用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成起来，从而对网络安全威胁的自动防御，网络受损系统的自动修复，同时可针对网络环境的变化和新的网络行为自动学习，达到对未知网络安全事件防范目的。其工作原理如下： 　　1) 用户使用网络之前，首先由接入的交换机+SAM对其进行身份认证。 　　2) SAM检查用户