舊網(wǎng)絡(luò)“重技術(shù)、輕安全”

　　國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在舊網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐庾R與資金方面的原因，以及對技術(shù)的偏好和運(yùn)營意識的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，高校網(wǎng)絡(luò)建設(shè)者在安全方面往往沒有太多的關(guān)注，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至什么也不放，直接面對互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患發(fā)生任何一次對整個網(wǎng)絡(luò)都將是致命性的。

　　隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，一方面校園網(wǎng)已從早先教育、科研的試驗(yàn)網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個高校不可回避的一個緊迫問題；另一方面，高校是思想政治和意識形態(tài)的重要陣地，確保學(xué)生的身心健康，使他們具備一個積極向上的意識形態(tài)，必須使學(xué)生盡可能少地接觸網(wǎng)絡(luò)上的不良信息。因此，解決網(wǎng)絡(luò)安全問題刻不容緩。

　　專家支招：分布式安全

　　校園網(wǎng)從結(jié)構(gòu)上講，可以分成核心、匯聚和接入3個層次；從網(wǎng)絡(luò)類型可以劃分為教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點(diǎn)是底下的接入方式非常多，包括撥號上網(wǎng)、寬帶接入、無線上聯(lián)等各種形式接入的用戶類型也非常復(fù)雜，有學(xué)生、教職工以及校內(nèi)商業(yè)機(jī)構(gòu)的辦公人員。另外，校園網(wǎng)通常是雙出口結(jié)構(gòu)，可以通過ChinaNet，也可以通過CERNET達(dá)到互聯(lián)網(wǎng)。多層次、業(yè)務(wù)復(fù)雜的特點(diǎn)使得網(wǎng)絡(luò)安全顯得尤為重要。

　　此外，高校校園網(wǎng)還存在一個經(jīng)常被忽視但是越來越嚴(yán)重的現(xiàn)象，很多高校用戶反映：現(xiàn)在有相當(dāng)數(shù)量的學(xué)生的計(jì)算機(jī)相關(guān)技術(shù)水平非常高，甚至超乎管理人員的想象，在這種情況下，高校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，達(dá)到辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個難題。很多時(shí)候，校園網(wǎng)的安全隱患更多地是來自于校園網(wǎng)內(nèi)部。相比來自外部的攻擊，來自網(wǎng)內(nèi)的攻擊更為可怕，威脅更大。由此可見，目前很多高校校園網(wǎng)的安全環(huán)境可以用“內(nèi)外交迫”來形容。

　　那么如何解決這種“內(nèi)外交迫”的安全困境，作為國內(nèi)教育行業(yè)的網(wǎng)絡(luò)解決專家，神州數(shù)碼網(wǎng)絡(luò)公司基于上述對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，提出了一套“分布式安全域管理策略”，將校園網(wǎng)的安全策略重點(diǎn)著眼于網(wǎng)內(nèi)的安全防范。神州數(shù)碼網(wǎng)絡(luò)認(rèn)為，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。重點(diǎn)是校園網(wǎng)內(nèi)的安全策略，首先從網(wǎng)絡(luò)層級看，校園網(wǎng)一般可分為網(wǎng)絡(luò)的核心層、匯聚層、接入層，那么要確保各個層級的安全，網(wǎng)絡(luò)設(shè)備本身的安全可靠是前提，然后其所具備的安全策略才能發(fā)揮效用。其次為了包括不同類型的用戶的業(yè)務(wù)安全性，網(wǎng)絡(luò)必須具備這些用戶進(jìn)行針對性的安全策略。如此，才能使整個校園網(wǎng)形成一個內(nèi)外兼顧的整網(wǎng)安全管理體系。

　　分布式安全的實(shí)現(xiàn)

　　在神州數(shù)碼網(wǎng)絡(luò)提出的“分布式安全域管理策略”中，“安全域”是一個非常重要的概念。“安全域”是指具有不同網(wǎng)絡(luò)風(fēng)險(xiǎn)的區(qū)域，也就是說把具有相同網(wǎng)絡(luò)風(fēng)險(xiǎn)或相同安全權(quán)限的用戶放到一起的一個邏輯域。“安全域”的提出就主要是為了通過多種手段解決網(wǎng)絡(luò)內(nèi)部安全的問題。在“安全域”的構(gòu)建上，神州數(shù)碼網(wǎng)絡(luò)率先提出了基于用戶的VLAN劃分的策略。形象地說，校園網(wǎng)網(wǎng)管理者可以在系統(tǒng)中設(shè)定小李、小陳、小張等同學(xué)設(shè)在屬于“學(xué)生”的一個VLAN中，把老李、老陳、老張等老師設(shè)在另一個屬于“教師”的VLAN中，而不用考慮這些人處在校園網(wǎng)中的哪個位置、是連到哪臺交換機(jī)的哪個口上，系統(tǒng)都會自動幫助用戶完成這些負(fù)責(zé)的VLAN設(shè)定，有了這樣一個“基于用戶的VLAN”功能，可以非常方便的根據(jù)用戶權(quán)限的差別劃分一個個的“安全域”。因此，校園網(wǎng)管理者就可以基于不同的安全策略直接對不同的用戶進(jìn)行操作，即使用戶移動了位置，他所連接的交換機(jī)端口變了，但他同樣還是會在原來其所在的“安全域”中，對他的所有安全策略完全生效。如此一來，那些充滿好奇心的學(xué)生也只能在其所在的“安全域”中活動，而無法進(jìn)入學(xué)校的教師管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等重要系統(tǒng)中，即使學(xué)生用戶感染病毒，也能有效地控制在其所在的“安全域”中，不會影響整網(wǎng)的安全。

　　實(shí)現(xiàn)“分布式安全域管理策略”依賴于神州數(shù)碼網(wǎng)絡(luò)基于高校校園網(wǎng)應(yīng)用的全線網(wǎng)絡(luò)產(chǎn)品：在核心層，其提供的萬兆核心交換機(jī)，DCRS-7600/7500/7200系列產(chǎn)品可作為不同規(guī)模的高校校園網(wǎng)核心交換機(jī)，三個系列的產(chǎn)品具備了5個“9”的電信級可靠性，全年系統(tǒng)軟、硬件維護(hù)時(shí)間小于5分鐘，具備多種冗余特性和防攻擊的安全策略，確保網(wǎng)絡(luò)核心的安全。在匯聚層和接入層，神州數(shù)碼網(wǎng)絡(luò)則可提供包括新推出的DCRS-5512GC、DCRS-3926S、DCS-2000E系列等在內(nèi)的豐富網(wǎng)絡(luò)產(chǎn)品，這些產(chǎn)品在具備出色性能的同時(shí)，都支持多種認(rèn)證接入方式，同時(shí)結(jié)合其認(rèn)證計(jì)費(fèi)系統(tǒng)DCBI-2000、DCBI-3000和網(wǎng)管系統(tǒng)LinkManager，可完成對用戶接入認(rèn)證的管理控制，幫助高校校園網(wǎng)實(shí)現(xiàn)運(yùn)營。

　　與此同時(shí)，在抵御網(wǎng)絡(luò)的攻擊方面，神州數(shù)碼網(wǎng)絡(luò)的DCFW-1800S/E/G三個系列智能防御網(wǎng)關(guān)值得一提，其結(jié)合最新的網(wǎng)絡(luò)安全技術(shù)及基于NP架構(gòu)的設(shè)計(jì)，可保障非法攻擊止步于其之外，可謂一夫當(dāng)關(guān)，萬夫莫開。配合網(wǎng)內(nèi)的“分布式安全域管理策略”，可使整個校園網(wǎng)顯得安全、有序。

　　其實(shí)，神州數(shù)碼網(wǎng)絡(luò)的“分布式安全管理策略”在其產(chǎn)品研發(fā)工作中貫徹已久，同時(shí)基于這一策略的相關(guān)產(chǎn)品與解決方案也在國內(nèi)眾多高校得以實(shí)施，包括知名的中山大學(xué)、華東理工大學(xué)、華南理工大學(xué)等，同時(shí)也在一個重量級的教育城域網(wǎng)中得以成功應(yīng)用。從這些教育用戶反饋的信息看，這一安全解決方案出色地解決了校園網(wǎng)的安全問題，填補(bǔ)了校園網(wǎng)的安全隱患。