一、        當(dāng)前網(wǎng)絡(luò)現(xiàn)狀概述

安徽工業(yè)大學(xué)信息化建設(shè)經(jīng)過多年的不斷發(fā)展和完善，目前已具備一定的規(guī)模。安徽工業(yè)大學(xué)的網(wǎng)絡(luò)系統(tǒng)是由安徽工業(yè)大學(xué)校園內(nèi)網(wǎng)（教學(xué)區(qū)、學(xué)生公寓等）、虛擬專網(wǎng)（包括移動(dòng)辦公用戶等）、教育網(wǎng)接入以及連接因特網(wǎng)的接入組成，形成了統(tǒng)一的安徽工業(yè)大學(xué)高速信息通道。

安徽工業(yè)大學(xué)高速信息通道的建成，為安徽工業(yè)大學(xué)的辦公自動(dòng)化，各種教學(xué)業(yè)務(wù)數(shù)據(jù)集中處理改革奠定了堅(jiān)實(shí)的信息基礎(chǔ)，目前安徽工業(yè)大學(xué)已經(jīng)實(shí)現(xiàn)了系統(tǒng)內(nèi)部的網(wǎng)絡(luò)資源共享，因此信息系統(tǒng)在安徽工業(yè)大學(xué)的業(yè)務(wù)處理中越來越重要，系統(tǒng)的安全建設(shè)也就顯得越來越迫切、越來越重要。為了保證辦學(xué)業(yè)務(wù)的穩(wěn)定、安全運(yùn)行 ，需要逐步進(jìn)行信息系統(tǒng)的安全建設(shè)。

安徽工業(yè)大學(xué)由于主要工作都建立在該網(wǎng)絡(luò)系統(tǒng)之上，涉及的重要信息較多，因此迫切需要解決系統(tǒng)的安全防護(hù)工作。要求在信息系統(tǒng)的各個(gè)層面，包括網(wǎng)絡(luò)與通信平臺(tái)、系統(tǒng)軟件環(huán)境、數(shù)據(jù)交換、應(yīng)用信息加密、用戶查詢與訪問的身份驗(yàn)證等諸多環(huán)節(jié)進(jìn)行綜合考慮，建設(shè)和貫徹統(tǒng)一的安全保障體系。

目前安徽工業(yè)大學(xué)的網(wǎng)絡(luò)主要包括一下幾個(gè)部分：

A．教育網(wǎng)接入部分

安徽工業(yè)大學(xué)通過教育網(wǎng)實(shí)現(xiàn)跟其他兄弟院校的資源共享，包括很  多對(duì)教育網(wǎng)提供服務(wù)的服務(wù)器。

B．Internet連接部分

安徽工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)與Internet網(wǎng)絡(luò)是物理隔離的，與 Internet網(wǎng)絡(luò)連接主要是提供對(duì)外Web等服務(wù)的外網(wǎng)服務(wù)器。

C．內(nèi)部辦公部分

安徽工業(yè)大學(xué)內(nèi)部網(wǎng)絡(luò)進(jìn)行了VLAN的劃分，用于區(qū)別教學(xué)系統(tǒng)和辦公系統(tǒng)。

具體部署圖如下所示：

二．網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與解決方案

通過對(duì)安徽工業(yè)大學(xué)網(wǎng)絡(luò)系統(tǒng)的研究我們發(fā)現(xiàn)存在如下幾方面的問題：

l  對(duì)Internet網(wǎng)絡(luò)采取了一定的訪問控制措施，減少了來自互聯(lián)網(wǎng)的風(fēng)險(xiǎn),但原聯(lián)想防火墻設(shè)備性能與安全功能已經(jīng)不能適應(yīng)現(xiàn)有的網(wǎng)絡(luò)應(yīng)用；

l  對(duì)內(nèi)部用戶采用劃分VLAN的方法，進(jìn)行了一定的安全保護(hù)；

l  隨著安徽工業(yè)大學(xué)網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，內(nèi)部機(jī)器數(shù)量已經(jīng)超出了原有聯(lián)想防火墻的負(fù)載能力，影響內(nèi)部機(jī)器正常的訪問互聯(lián)網(wǎng)與教育網(wǎng)的應(yīng)用；同是對(duì)外部訪問內(nèi)部的服務(wù)器響應(yīng)速度也會(huì)有相應(yīng)的影響，而隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富，其處理性能將成為整個(gè)內(nèi)部網(wǎng)訪問互聯(lián)網(wǎng)用教育網(wǎng)的的瓶頸；

l  原有的聯(lián)想防火墻不支持功能模塊的擴(kuò)展功能，對(duì)于在網(wǎng)絡(luò)與安全功能方面不斷發(fā)展的今天，限制了對(duì)于網(wǎng)絡(luò)系統(tǒng)的拓展。對(duì)于網(wǎng)絡(luò)功能與安全的擴(kuò)展性有很大的限制。

l  原有的聯(lián)想防火墻不支持基于IPSEC VPN與L2TP VPN功能，不能實(shí)現(xiàn)遠(yuǎn)程移動(dòng)用戶訪問內(nèi)部網(wǎng)絡(luò)資源。天融信防火墻支持標(biāo)準(zhǔn)IKE和IPSec協(xié)議VPN，客戶端通過遠(yuǎn)程撥號(hào)到防火墻，建立一條基于IPSEC安全協(xié)議加密的安全隧道，通過這條隧道實(shí)現(xiàn)對(duì)內(nèi)部資源訪問。

l  原有的聯(lián)想防火墻基本上沒有相應(yīng)的售后服務(wù),即使有相應(yīng)的售后服務(wù),也不及時(shí),用戶網(wǎng)絡(luò)故障解決的實(shí)時(shí)性得不到體現(xiàn)；

l  辦公網(wǎng)內(nèi)部沒有對(duì)內(nèi)部服務(wù)器進(jìn)行嚴(yán)格的劃分，對(duì)內(nèi)部服務(wù)器區(qū)域沒有采取相應(yīng)的訪問控制措施，內(nèi)部服務(wù)器可能會(huì)發(fā)生非授權(quán)的訪問行為；

l  在互聯(lián)網(wǎng)出口處，缺乏相應(yīng)的網(wǎng)絡(luò)病毒發(fā)現(xiàn)、預(yù)防處理手段和機(jī)制；

l  對(duì)各種蠕蟲、木馬、后門、漏洞、間諜軟件等攻擊缺乏相應(yīng)的防御能力；

l  對(duì)各種種類繁多的垃圾應(yīng)用（網(wǎng)絡(luò)視頻等）、流行P2P/IM（BT、電驢、QQ、MSN等）、熱門游戲的缺乏過濾和控制的措施和手段；

l  對(duì)DOS/DDOS等攻擊防衛(wèi)能力較差；

l  對(duì)內(nèi)部辦公用戶的上網(wǎng)行為缺乏相應(yīng)的審計(jì)及管理的手段和工具；

l  對(duì)核心服務(wù)器沒有進(jìn)行重點(diǎn)保護(hù)；

l  對(duì)提供對(duì)外服務(wù)的WEB服務(wù)器沒有采用安全防范措施；

l  對(duì)外部用戶沒有嚴(yán)格的身份認(rèn)證措施；

l  沒有完整的信息安全防御體系；

l  沒有對(duì)內(nèi)部人員進(jìn)行充分的安全培訓(xùn),而可能導(dǎo)致人為的安全隱患。

該案例已經(jīng)成功實(shí)施完成，因?yàn)槭紫攘私夥治隽擞脩舻膶?shí)際網(wǎng)絡(luò)環(huán)境，又結(jié)合用戶的實(shí)際情況提出建議，用戶反映良好。