北京大學校園網

北京大學校園網提供多種接入方式，用戶可以自由地使用有線、無線、撥號等手段在任何時間、任何地點連入校園網。基於目錄服務的校園網用戶管理系統，實現了校園網用戶的統一認證、統一管理和統一計費。

在提供普通以文字和圖像為主要形式的信息服務的同時，北京大學校園網上還有豐富的音視頻流媒體資源，以及大量的專業信息服務。

北京大學院系樓群、學生公寓眾多，物理網路接入較為複雜，各部門的信息系統很分散，安全需求也不盡相同，如圖書館、檔案館、財務部、教務部等都各自有獨立的信息服務系統，甚至獨立的網路結構和專職的網路管理員，而多數的部門則主要是依託網路中心來提供信息服務。鑒於這種管理結構，北京大學校園網採用的是部門獨立，相對分散的信息安全管理架構。對圖書館、財務部等有一定網路規模或對信息安全有特殊要求的部門，自成一個安全實體，而其它全校公共信息服務系統，如電子郵件系統，Web服務、校內信息服務、校園一卡通、網路電視等系統，則由網路中心統一負責管理。

網路中心為校園提供基本的安全服務和安全保障，主要有以下四個部分：

防火牆是校園網信息安全保障的核心點，它負責校園網中最基本的信息服務系統的安全，一旦被非法進入，存在著內容被竊取、泄密、篡改、損壞等巨大風險，屬於安全等級中最嚴重的事件。通過部署防火牆，把這些信息系統集中隔離到一個邏輯安全區中，在防火牆集中控制點處定製嚴格的訪問控制策略，實施嚴格的數據流監控。因為防火牆的安全性源於其優秀的訪問控制能力，可做到基於IP、協定、用戶的訪問控制，能靈活地對服務對象、操縱許可權、服務範圍進行控制。 同時也對各具體的服務系統從底層作業系統到套用系統做了針對性的安全最佳化和加強，如停用無關服務、啟用系統審計、精簡定製系統等。而且對安全性有特殊要求的服務系統，在防火牆和服務系統上也做了較為詳細的日誌記錄，為安全事件的事後取證工作提供依據，當然取證是多因素的綜合，也包括其它手段如IDS、蜜罐等手段的補充。

IDS系統是重要的網路安全診斷工具，可實時監控網路中的異常情況、跟蹤安全事件的新動向、統計分析安全歷史記錄等。IDS系統通常把探測引擎分散式地部署在網路的各關鍵點，然後匯總到控制中心進行分析、統計、顯示、報警等動作。由於外網的攻擊，如網路掃描、蠕蟲、DOS等攻擊，只能是被動地阻斷或向相關組織反饋，而對攻擊源無法處罰，區域網路則由於可利用的監控手段多，攻擊源的定位和控制也相對容易。鑒於這些考慮，北京大學IDS系統的探測器部署在校園網的總出入口處，主要監控內外網之間發生的安全事件，為網管人員執法提供依據。

北京大學為全校教師和學生提供一個以pku-edu-cn域的信箱賬號，目前用戶數規模高達2萬多。根據日常的監控統計，垃圾郵件和高度疑似的垃圾郵件就占了總量的90%之多，消耗了大量的系統資源，包括CPU性能、磁碟空間、記憶體、回響速度等。垃圾郵件主要分兩大類，一類是病毒造成，另一類是廣告行為。

對於大量泛濫的廣告郵件，採用基於行為分析的垃圾郵件過濾系統，即通過識別垃圾郵件的行為（如分析郵件路由邏輯，反向驗證IP位址域，辨別仿冒郵件地址等行為特徵）進行過濾。事實證明通過這種基於行為方式的過濾，垃圾郵件會大幅度地降低，根據對校園網郵件系統的統計，最後能到達用戶的郵件只占郵件總量的5-10%，而且即使是過濾後的郵件，垃圾郵件也能占到一定的比例。這部分被漏掉的垃圾郵件，一是由於系統不對內容做判斷，另一方面是因為有一些行為沒能被識別出來造成的。

病毒郵件同樣是垃圾郵件，而且占相當大的比例，由於病毒極強的傳染力，導致郵件系統成了散播病毒的源頭，嚴重威脅著郵件接收者的終端系統，因此在校園網郵件系統的前端我們部署了郵件防病毒網關，凡是進入郵件系統的信件都要經防病毒網關的過濾後，才最終被送到用戶信箱中。

目前計算機病毒充分利用了網路和黑客攻擊技術，使得病毒的傳播性、感染性和攻擊性急劇增強，造成嚴重的安全事件。由於病毒種類繁多，數量達數十萬之多，如果接入網路的桌面系統不安裝防病毒系統，感染病毒是無法避免的。校園網作為一個管理實體，擁有眾多的終端桌面用戶和伺服器系統，如果防病毒完全是分散的無管理的個體行為，效果並不十分理想，許多防護系統形同虛設，給校園網帶來了嚴重的安全隱患。北京大學在校園網採用了Symantec Antivirus企業版的解決方案，對校園網的桌面防病毒系統進行集中管理，實現自動從伺服器獲取新的病毒定義，實時具備最新的防護能力，無須用戶再干預。對移動的用戶，可通過校內代理以手動方式從伺服器獲得最新的病毒定義。另外，通過管理端不僅可清楚地了解網路中感染病毒主機的比率情況，而且還可明確主機感染了何種病毒。

軟體程式缺陷和漏洞對互聯的計算機系統是個災難，利用系統漏洞的攻擊危害性極大，尤其是近年來病毒借用了這種具有黑客攻擊的技術後，給網路帶來嚴重的後果，如CodeRed、Nimda、Blaster等都無一例外使得校園網，甚至是整個Internet陷於癱瘓狀態。由於補丁程式是這類問題的唯一根本解決方案，加之各類補丁程式數量規模巨大，所以出現了漏洞補丁管理和發布這樣的安全套用系統。校園網內以Windows系統為主，而Windows系統漏洞的危害較嚴重，北京大學在校園網內專門設定了Windows系統漏洞補丁管理和發布伺服器，用於對校園內的Windows系統進行統一管理，從本地伺服器下載更新補丁程式。此套用系統採用的是微軟免費的Microsoft Software Update Service系統，用戶規模近一萬，系統負荷、流量都相對比較大。本系統的管理功能很弱，但基本符合校園網鬆散的安全管理模式，所以能夠滿足校園網的需求。而且其分析統計功能能夠詳細地列出每個受管理系統的補丁程式更新狀況，實用性很強。另外，為避免補丁程式更新不及時或其它意外因素，對重大的漏洞補丁程式，以傳統的網路公告方式發布並提供直接下載，有效地避免惡性安全事件的大範圍發生。

具備完備的安全設施是安全保障的必要條件，但更重要的是網路安全管理的規範化和擁有專業化的安全管理團隊。北京大學網路中心做為校園網和教育網華北主節點之一的管理者，既要負責整體的安全管理和規劃，又要負責各院系和最終用戶的瑣碎的具體安全工作，在常年的實踐中已形成了一整套默認的規範，有些已經成為明文的制度。

通常情況下，設備或系統都有專門的系統管理員，網路設備如交換機、路由器、網管套用系統等由NOC組的管理員負責，信息系統如郵件、Web、資料庫等具體的套用服務系統則由NIC組的系統管理員負責，這樣大量局部的、簡單的安全事件就能被管理員直接解決。另外，北京大學設立了網路安全緊急回響小組，專門負責處理那些重大的緊急安全事故。這個小組沒有專職人員，主要是由部門領導掛職，在遇到突發事件時協調網路管理員和信息系統管理員的工作。由於安全技術的完善和人們安全意識的提高，象紅色蠕蟲之類大規模的網路安全事件已經不多見了，而對偶爾的突發事件，通常管理員就能做出快速的判斷和反應，所以具有經驗豐富、專業化的技術團隊是網路安全管理的根本。