神州數(shù)碼網(wǎng)絡高校校園網(wǎng)安全解決方案

　　舊網(wǎng)絡“重技術、輕安全”

　　國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在舊網(wǎng)絡時期，一方面因為意識與資金方面的原因，以及對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，高校網(wǎng)絡建設者在安全方面往往沒有太多的關注，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學校甚至什么也不放，直接面對互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患發(fā)生任何一次對整個網(wǎng)絡都將是致命性的。

　　隨著網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速增長，一方面校園網(wǎng)已從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉變成教育、科研和服務并重的帶有運營性質的網(wǎng)絡，校園網(wǎng)在學校的信息化建設中已經(jīng)在扮演了至關重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個高校不可回避的一個緊迫問題；另一方面，高校是思想政治和意識形態(tài)的重要陣地，確保學生的身心健康，使他們具備一個積極向上的意識形態(tài)，必須使學生盡可能少地接觸網(wǎng)絡上的不良信息。因此，解決網(wǎng)絡安全問題刻不容緩。

　　專家支招：分布式安全

　　校園網(wǎng)從結構上講，可以分成核心、匯聚和接入3個層次；從網(wǎng)絡類型可以劃分為教學子網(wǎng)、辦公子網(wǎng)、宿舍子網(wǎng)等。其特點是底下的接入方式非常多，包括撥號上網(wǎng)、寬帶接入、無線上聯(lián)等各種形式接入的用戶類型也非常復雜，有學生、教職工以及校內(nèi)商業(yè)機構的辦公人員。另外，校園網(wǎng)通常是雙出口結構，可以通過ChinaNet，也可以通過CERNET達到互聯(lián)網(wǎng)。多層次、業(yè)務復雜的特點使得網(wǎng)絡安全顯得尤為重要。

　　此外，高校校園網(wǎng)還存在一個經(jīng)常被忽視但是越來越嚴重的現(xiàn)象，很多高校用戶反映：現(xiàn)在有相當數(shù)量的學生的計算機相關技術水平非常高，甚至超乎管理人員的想象，在這種情況下，高校如何能夠保證網(wǎng)絡的安全運行，同時又能提供豐富的網(wǎng)絡資源，達到辦公、教學以及學生上網(wǎng)的多種需求成為了一個難題。很多時候，校園網(wǎng)的安全隱患更多地是來自于校園網(wǎng)內(nèi)部。相比來自外部的攻擊，來自網(wǎng)內(nèi)的攻擊更為可怕，威脅更大。由此可見，目前很多高校校園網(wǎng)的安全環(huán)境可以用“內(nèi)外交迫”來形容。

　　那么如何解決這種“內(nèi)外交迫”的安全困境，作為國內(nèi)教育行業(yè)的網(wǎng)絡解決專家，神州數(shù)碼網(wǎng)絡公司基于上述對目前高校校園網(wǎng)安全現(xiàn)狀的認識與理解，提出了一套“分布式安全域管理策略”，將校園網(wǎng)的安全策略重點著眼于網(wǎng)內(nèi)的安全防范。神州數(shù)碼網(wǎng)絡認為，在防病毒軟件、防火墻或智能網(wǎng)關等構成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。重點是校園網(wǎng)內(nèi)的安全策略，首先從網(wǎng)絡層級看，校園網(wǎng)一般可分為網(wǎng)絡的核心層、匯聚層、接入層，那么要確保各個層級的安全，網(wǎng)絡設備本身的安全可靠是前提，然后其所具備的安全策略才能發(fā)揮效用。其次為了包括不同類型的用戶的業(yè)務安全性，網(wǎng)絡必須具備這些用戶進行針對性的安全策略。如此，才能使整個校園網(wǎng)形成一個內(nèi)外兼顧的整網(wǎng)安全管理體系。

　　分布式安全的實現(xiàn)

　　在神州數(shù)碼網(wǎng)絡提出的“分布式安全域管理策略”中，“安全域”是一個非常重要的概念。“安全域”是指具有不同網(wǎng)絡風險的區(qū)域，也就是說把具有相同網(wǎng)絡風險或相同安全權限的用戶放到一起的一個邏輯域。“安全域”的提出就主要是為了通過多種手段解決網(wǎng)絡內(nèi)部安全的問題。在“安全域”的構建上，神州數(shù)碼網(wǎng)絡率先提出了基于用戶的VLAN劃分的策略。形象地說，校園網(wǎng)網(wǎng)管理者可以在系統(tǒng)中設定小李、小陳、小張等同學設在屬于“學生”的一個VLAN中，把老李、老陳、老張等老師設在另一個屬于“教師”的VLAN中，而不用考慮這些人處在校園網(wǎng)中的哪個位置、是連到哪臺交換機的哪個口上，系統(tǒng)都會自動幫助用戶完成這些負責的VLAN設定，有了這樣一個“基于用戶的VLAN”功能，可以非常方便的根據(jù)用戶權限的差別劃分一個個的“安全域”。因此，校園網(wǎng)管理者就可以基于不同的安全策略直接對不同的用戶進行操作，即使用戶移動了位置，他所連接的交換機端口變了，但他同樣還是會在原來其所在的“安全域”中，對他的所有安全策略完全生效。如此一來，那些充滿好奇心的學生也只能在其所在的“安全域”中活動，而無法進入學校的教師管理系統(tǒng)、財務管理系統(tǒng)等重要系統(tǒng)中，即使學生用戶感染病毒，也能有效地控制在其所在的“安全域”中，不會影響整網(wǎng)的安全。

　　實現(xiàn)“分布式安全域管理策略”依賴于神州數(shù)碼網(wǎng)絡基于高校校園網(wǎng)應用的全線網(wǎng)絡產(chǎn)品：在核心層，其提供的萬兆核心交換機，DCRS-7600/7500/7200系列產(chǎn)品可作為不同規(guī)模的高校校園網(wǎng)核心交換機，三個系列的產(chǎn)品具備了5個“9”的電信級可靠性，全年系統(tǒng)軟、硬件維護時間小于5分鐘，具備多種冗余特性和防攻擊的安全策略，確保網(wǎng)絡核心的安全。在匯聚層和接入層，神州數(shù)碼網(wǎng)絡則可提供包括新推出的DCRS-5512GC、DCRS-3926S、DCS-2000E系列等在內(nèi)的豐富網(wǎng)絡產(chǎn)品，這些產(chǎn)品在具備出色性能的同時，都支持多種認證接入方式，同時結合其認證計費系統(tǒng)DCBI-2000、DCBI-3000和網(wǎng)管系統(tǒng)LinkManager，可完成對用戶接入認證的管理控制，幫助高校校園網(wǎng)實現(xiàn)運營。

　　與此同時，在抵御網(wǎng)絡的攻擊方面，神州數(shù)碼網(wǎng)絡的DCFW-1800S/E/G三個系列智能防御網(wǎng)關值得一提，其結合最新的網(wǎng)絡安全技術及基于NP架構的設計，可保障非法攻擊止步于其之外，可謂一夫當關，萬夫莫開。配合網(wǎng)內(nèi)的“分布式安全域管理策略”，可使整個校園網(wǎng)顯得安全、有序。

　　其實，神州數(shù)碼網(wǎng)絡的“分布式安全管理策略”在其產(chǎn)品研發(fā)工作中貫徹已久，同時基于這一策略的相關產(chǎn)品與解決方案也在國內(nèi)眾多高校得以實施，包括知名的中山大學、華東理工大學、華南理工大學等，同時也在一個重量級的教育城域網(wǎng)中得以成功應用。從這些教育用戶反饋的信息看，這一安全解決方案出色地解決了校園網(wǎng)的安全問題，填補了校園網(wǎng)的安全隱患。