神州數(shù)碼網(wǎng)絡(luò)高校校園網(wǎng)安全解決方案

　　舊網(wǎng)絡(luò)“重技術(shù)、輕安全”

　　國(guó)內(nèi)高校校園網(wǎng)的安全問(wèn)題有其歷史原因：在舊網(wǎng)絡(luò)時(shí)期，一方面因?yàn)橐庾R(shí)與資金方面的原因，以及對(duì)技術(shù)的偏好和運(yùn)營(yíng)意識(shí)的不足，普遍都存在“重技術(shù)、輕安全、輕管理”的傾向，高校網(wǎng)絡(luò)建設(shè)者在安全方面往往沒(méi)有太多的關(guān)注，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個(gè)防火墻就萬(wàn)事大吉，有些學(xué)校甚至什么也不放，直接面對(duì)互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患發(fā)生任何一次對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。

　　隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶(hù)的快速增長(zhǎng)，一方面校園網(wǎng)已從早先教育、科研的試驗(yàn)網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營(yíng)性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問(wèn)題；另一方面，高校是思想政治和意識(shí)形態(tài)的重要陣地，確保學(xué)生的身心健康，使他們具備一個(gè)積極向上的意識(shí)形態(tài)，必須使學(xué)生盡可能少地接觸網(wǎng)絡(luò)上的不良信息。因此，解決網(wǎng)絡(luò)安全問(wèn)題刻不容緩。

　　專(zhuān)家支招：分布式安全

　　校園網(wǎng)從結(jié)構(gòu)上講，可以分成核心、匯聚和接入3個(gè)層次；從網(wǎng)絡(luò)類(lèi)型可以劃分為教學(xué)子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點(diǎn)是底下的接入方式非常多，包括撥號(hào)上網(wǎng)、寬帶接入、無(wú)線(xiàn)上聯(lián)等各種形式接入的用戶(hù)類(lèi)型也非常復(fù)雜，有學(xué)生、教職工以及校內(nèi)商業(yè)機(jī)構(gòu)的辦公人員。另外，校園網(wǎng)通常是雙出口結(jié)構(gòu)，可以通過(guò)ChinaNet，也可以通過(guò)CERNET達(dá)到互聯(lián)網(wǎng)。多層次、業(yè)務(wù)復(fù)雜的特點(diǎn)使得網(wǎng)絡(luò)安全顯得尤為重要。

　　此外，高校校園網(wǎng)還存在一個(gè)經(jīng)常被忽視但是越來(lái)越嚴(yán)重的現(xiàn)象，很多高校用戶(hù)反映：現(xiàn)在有相當(dāng)數(shù)量的學(xué)生的計(jì)算機(jī)相關(guān)技術(shù)水平非常高，甚至超乎管理人員的想象，在這種情況下，高校如何能夠保證網(wǎng)絡(luò)的安全運(yùn)行，同時(shí)又能提供豐富的網(wǎng)絡(luò)資源，達(dá)到辦公、教學(xué)以及學(xué)生上網(wǎng)的多種需求成為了一個(gè)難題。很多時(shí)候，校園網(wǎng)的安全隱患更多地是來(lái)自于校園網(wǎng)內(nèi)部。相比來(lái)自外部的攻擊，來(lái)自網(wǎng)內(nèi)的攻擊更為可怕，威脅更大。由此可見(jiàn)，目前很多高校校園網(wǎng)的安全環(huán)境可以用“內(nèi)外交迫”來(lái)形容。

　　那么如何解決這種“內(nèi)外交迫”的安全困境，作為國(guó)內(nèi)教育行業(yè)的網(wǎng)絡(luò)解決專(zhuān)家，神州數(shù)碼網(wǎng)絡(luò)公司基于上述對(duì)目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識(shí)與理解，提出了一套“分布式安全域管理策略”，將校園網(wǎng)的安全策略重點(diǎn)著眼于網(wǎng)內(nèi)的安全防范。神州數(shù)碼網(wǎng)絡(luò)認(rèn)為，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對(duì)于防止來(lái)自校園網(wǎng)外的攻擊已經(jīng)足夠。重點(diǎn)是校園網(wǎng)內(nèi)的安全策略，首先從網(wǎng)絡(luò)層級(jí)看，校園網(wǎng)一般可分為網(wǎng)絡(luò)的核心層、匯聚層、接入層，那么要確保各個(gè)層級(jí)的安全，網(wǎng)絡(luò)設(shè)備本身的安全可靠是前提，然后其所具備的安全策略才能發(fā)揮效用。其次為了包括不同類(lèi)型的用戶(hù)的業(yè)務(wù)安全性，網(wǎng)絡(luò)必須具備這些用戶(hù)進(jìn)行針對(duì)性的安全策略。如此，才能使整個(gè)校園網(wǎng)形成一個(gè)內(nèi)外兼顧的整網(wǎng)安全管理體系。

　　分布式安全的實(shí)現(xiàn)

　　在神州數(shù)碼網(wǎng)絡(luò)提出的“分布式安全域管理策略”中，“安全域”是一個(gè)非常重要的概念。“安全域”是指具有不同網(wǎng)絡(luò)風(fēng)險(xiǎn)的區(qū)域，也就是說(shuō)把具有相同網(wǎng)絡(luò)風(fēng)險(xiǎn)或相同安全權(quán)限的用戶(hù)放到一起的一個(gè)邏輯域。“安全域”的提出就主要是為了通過(guò)多種手段解決網(wǎng)絡(luò)內(nèi)部安全的問(wèn)題。在“安全域”的構(gòu)建上，神州數(shù)碼網(wǎng)絡(luò)率先提出了基于用戶(hù)的VLAN劃分的策略。形象地說(shuō)，校園網(wǎng)網(wǎng)管理者可以在系統(tǒng)中設(shè)定小李、小陳、小張等同學(xué)設(shè)在屬于“學(xué)生”的一個(gè)VLAN中，把老李、老陳、老張等老師設(shè)在另一個(gè)屬于“教師”的VLAN中，而不用考慮這些人處在校園網(wǎng)中的哪個(gè)位置、是連到哪臺(tái)交換機(jī)的哪個(gè)口上，系統(tǒng)都會(huì)自動(dòng)幫助用戶(hù)完成這些負(fù)責(zé)的VLAN設(shè)定，有了這樣一個(gè)“基于用戶(hù)的VLAN”功能，可以非常方便的根據(jù)用戶(hù)權(quán)限的差別劃分一個(gè)個(gè)的“安全域”。因此，校園網(wǎng)管理者就可以基于不同的安全策略直接對(duì)不同的用戶(hù)進(jìn)行操作，即使用戶(hù)移動(dòng)了位置，他所連接的交換機(jī)端口變了，但他同樣還是會(huì)在原來(lái)其所在的“安全域”中，對(duì)他的所有安全策略完全生效。如此一來(lái)，那些充滿(mǎn)好奇心的學(xué)生也只能在其所在的“安全域”中活動(dòng)，而無(wú)法進(jìn)入學(xué)校的教師管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等重要系統(tǒng)中，即使學(xué)生用戶(hù)感染病毒，也能有效地控制在其所在的“安全域”中，不會(huì)影響整網(wǎng)的安全。

　　實(shí)現(xiàn)“分布式安全域管理策略”依賴(lài)于神州數(shù)碼網(wǎng)絡(luò)基于高校校園網(wǎng)應(yīng)用的全線(xiàn)網(wǎng)絡(luò)產(chǎn)品：在核心層，其提供的萬(wàn)兆核心交換機(jī)，DCRS-7600/7500/7200系列產(chǎn)品可作為不同規(guī)模的高校校園網(wǎng)核心交換機(jī)，三個(gè)系列的產(chǎn)品具備了5個(gè)“9”的電信級(jí)可靠性，全年系統(tǒng)軟、硬件維護(hù)時(shí)間小于5分鐘，具備多種冗余特性和防攻擊的安全策略，確保網(wǎng)絡(luò)核心的安全。在匯聚層和接入層，神州數(shù)碼網(wǎng)絡(luò)則可提供包括新推出的DCRS-5512GC、DCRS-3926S、DCS-2000E系列等在內(nèi)的豐富網(wǎng)絡(luò)產(chǎn)品，這些產(chǎn)品在具備出色性能的同時(shí)，都支持多種認(rèn)證接入方式，同時(shí)結(jié)合其認(rèn)證計(jì)費(fèi)系統(tǒng)DCBI-2000、DCBI-3000和網(wǎng)管系統(tǒng)LinkManager，可完成對(duì)用戶(hù)接入認(rèn)證的管理控制，幫助高校校園網(wǎng)實(shí)現(xiàn)運(yùn)營(yíng)。

　　與此同時(shí)，在抵御網(wǎng)絡(luò)的攻擊方面，神州數(shù)碼網(wǎng)絡(luò)的DCFW-1800S/E/G三個(gè)系列智能防御網(wǎng)關(guān)值得一提，其結(jié)合最新的網(wǎng)絡(luò)安全技術(shù)及基于NP架構(gòu)的設(shè)計(jì)，可保障非法攻擊止步于其之外，可謂一夫當(dāng)關(guān)，萬(wàn)夫莫開(kāi)。配合網(wǎng)內(nèi)的“分布式安全域管理策略”，可使整個(gè)校園網(wǎng)顯得安全、有序。

　　其實(shí)，神州數(shù)碼網(wǎng)絡(luò)的“分布式安全管理策略”在其產(chǎn)品研發(fā)工作中貫徹已久，同時(shí)基于這一策略的相關(guān)產(chǎn)品與解決方案也在國(guó)內(nèi)眾多高校得以實(shí)施，包括知名的中山大學(xué)、華東理工大學(xué)、華南理工大學(xué)等，同時(shí)也在一個(gè)重量級(jí)的教育城域網(wǎng)中得以成功應(yīng)用。從這些教育用戶(hù)反饋的信息看，這一安全解決方案出色地解決了校園網(wǎng)的安全問(wèn)題，填補(bǔ)了校園網(wǎng)的安全隱患。