神州数码网络高校校园网安全解决方案

　　旧网络“重技术、轻安全”

　　国内高校校园网的安全问题有其历史原因：在旧网络时期，一方面因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，高校网络建设者在安全方面往往没有太多的关注，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至什么也不放，直接面对互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患发生任何一次对整个网络都将是致命性的。

　　随着网络规模的急剧膨胀，网络用户的快速增长，一方面校园网已从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题；另一方面，高校是思想政治和意识形态的重要阵地，确保学生的身心健康，使他们具备一个积极向上的意识形态，必须使学生尽可能少地接触网络上的不良信息。因此，解决网络安全问题刻不容缓。

　　专家支招：分布式安全

　　校园网从结构上讲，可以分成核心、汇聚和接入3个层次；从网络类型可以划分为教学子网、办公子网、宿舍子网等。其特点是底下的接入方式非常多，包括拨号上网、宽带接入、无线上联等各种形式接入的用户类型也非常复杂，有学生、教职工以及校内商业机构的办公人员。另外，校园网通常是双出口结构，可以通过ChinaNet，也可以通过CERNET达到互联网。多层次、业务复杂的特点使得网络安全显得尤为重要。

　　此外，高校校园网还存在一个经常被忽视但是越来越严重的现象，很多高校用户反映：现在有相当数量的学生的计算机相关技术水平非常高，甚至超乎管理人员的想象，在这种情况下，高校如何能够保证网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学以及学生上网的多种需求成为了一个难题。很多时候，校园网的安全隐患更多地是来自于校园网内部。相比来自外部的攻击，来自网内的攻击更为可怕，威胁更大。由此可见，目前很多高校校园网的安全环境可以用“内外交迫”来形容。

　　那么如何解决这种“内外交迫”的安全困境，作为国内教育行业的网络解决专家，神州数码网络公司基于上述对目前高校校园网安全现状的认识与理解，提出了一套“分布式安全域管理策略”，将校园网的安全策略重点着眼于网内的安全防范。神州数码网络认为，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。重点是校园网内的安全策略，首先从网络层级看，校园网一般可分为网络的核心层、汇聚层、接入层，那么要确保各个层级的安全，网络设备本身的安全可靠是前提，然后其所具备的安全策略才能发挥效用。其次为了包括不同类型的用户的业务安全性，网络必须具备这些用户进行针对性的安全策略。如此，才能使整个校园网形成一个内外兼顾的整网安全管理体系。

　　分布式安全的实现

　　在神州数码网络提出的“分布式安全域管理策略”中，“安全域”是一个非常重要的概念。“安全域”是指具有不同网络风险的区域，也就是说把具有相同网络风险或相同安全权限的用户放到一起的一个逻辑域。“安全域”的提出就主要是为了通过多种手段解决网络内部安全的问题。在“安全域”的构建上，神州数码网络率先提出了基于用户的VLAN划分的策略。形象地说，校园网网管理者可以在系统中设定小李、小陈、小张等同学设在属于“学生”的一个VLAN中，把老李、老陈、老张等老师设在另一个属于“教师”的VLAN中，而不用考虑这些人处在校园网中的哪个位置、是连到哪台交换机的哪个口上，系统都会自动帮助用户完成这些负责的VLAN设定，有了这样一个“基于用户的VLAN”功能，可以非常方便的根据用户权限的差别划分一个个的“安全域”。因此，校园网管理者就可以基于不同的安全策略直接对不同的用户进行操作，即使用户移动了位置，他所连接的交换机端口变了，但他同样还是会在原来其所在的“安全域”中，对他的所有安全策略完全生效。如此一来，那些充满好奇心的学生也只能在其所在的“安全域”中活动，而无法进入学校的教师管理系统、财务管理系统等重要系统中，即使学生用户感染病毒，也能有效地控制在其所在的“安全域”中，不会影响整网的安全。

　　实现“分布式安全域管理策略”依赖于神州数码网络基于高校校园网应用的全线网络产品：在核心层，其提供的万兆核心交换机，DCRS-7600/7500/7200系列产品可作为不同规模的高校校园网核心交换机，三个系列的产品具备了5个“9”的电信级可靠性，全年系统软、硬件维护时间小于5分钟，具备多种冗余特性和防攻击的安全策略，确保网络核心的安全。在汇聚层和接入层，神州数码网络则可提供包括新推出的DCRS-5512GC、DCRS-3926S、DCS-2000E系列等在内的丰富网络产品，这些产品在具备出色性能的同时，都支持多种认证接入方式，同时结合其认证计费系统DCBI-2000、DCBI-3000和网管系统LinkManager，可完成对用户接入认证的管理控制，帮助高校校园网实现运营。

　　与此同时，在抵御网络的攻击方面，神州数码网络的DCFW-1800S/E/G三个系列智能防御网关值得一提，其结合最新的网络安全技术及基于NP架构的设计，可保障非法攻击止步于其之外，可谓一夫当关，万夫莫开。配合网内的“分布式安全域管理策略”，可使整个校园网显得安全、有序。

　　其实，神州数码网络的“分布式安全管理策略”在其产品研发工作中贯彻已久，同时基于这一策略的相关产品与解决方案也在国内众多高校得以实施，包括知名的中山大学、华东理工大学、华南理工大学等，同时也在一个重量级的教育城域网中得以成功应用。从这些教育用户反馈的信息看，这一安全解决方案出色地解决了校园网的安全问题，填补了校园网的安全隐患。