北京大學(xué)校園網(wǎng)是國(guó)內(nèi)規(guī)模最大的校園網(wǎng)絡(luò)之一。自1989年參加“中關(guān)村地區(qū)示范網(wǎng)”建設(shè)伊始，已完成了220棟教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍的光纖互連，提供近6萬(wàn)個(gè)有線信息點(diǎn)，校園網(wǎng)已經(jīng)通達(dá)了學(xué)校的每一個(gè)角落。目前校園網(wǎng)上的計(jì)算機(jī)已超過(guò)4.7萬(wàn)臺(tái)。日常同時(shí)在線計(jì)算機(jī)近2.5萬(wàn)臺(tái)。校園網(wǎng)為北京大學(xué)的教學(xué)、科研、行政辦公和生活服務(wù)創(chuàng)造了一個(gè)良好的信息網(wǎng)絡(luò)環(huán)境，在學(xué)校的人才培養(yǎng)、學(xué)科建設(shè)、科學(xué)研究、行政管理和師生員工的生活等方面產(chǎn)生了明顯的效益，對(duì)北京大學(xué)“創(chuàng)建世界一流大學(xué)”戰(zhàn)略的全面實(shí)施起到了保障作用。

一、基本簡(jiǎn)介

北京大學(xué)校園網(wǎng)提供多種接入方式，用戶可以自由地使用有線、無(wú)線、撥號(hào)等手段在任何時(shí)間、任何地點(diǎn)連入校園網(wǎng)?；谀夸浄?wù)的校園網(wǎng)用戶管理系統(tǒng)，實(shí)現(xiàn)了校園網(wǎng)用戶的統(tǒng)一認(rèn)證、統(tǒng)一管理和統(tǒng)一計(jì)費(fèi)。

在提供普通以文字和圖像為主要形式的信息服務(wù)的同時(shí)，北京大學(xué)校園網(wǎng)上還有豐富的音視頻流媒體資源，以及大量的專業(yè)信息服務(wù)。校園網(wǎng)為北京大學(xué)的教學(xué)、科研、行政辦公和生活服務(wù)創(chuàng)造了一個(gè)良好的信息網(wǎng)絡(luò)環(huán)境，在學(xué)校的人才培養(yǎng)、學(xué)科建設(shè)、科學(xué)研究、行政管理和師生員工的生活等方面產(chǎn)生了明顯的效益，對(duì)北京大學(xué)“創(chuàng)建世界一流大學(xué)”戰(zhàn)略的全面實(shí)施起到了保障作用。

二、校園網(wǎng)信息安全

北京大學(xué)院系樓群、學(xué)生公寓眾多，物理網(wǎng)絡(luò)接入較為復(fù)雜，各部門的信息系統(tǒng)很分散，安全需求也不盡相同，如圖書館、檔案館、財(cái)務(wù)部、教務(wù)部等都各自有獨(dú)立的信息服務(wù)系統(tǒng)，甚至獨(dú)立的網(wǎng)絡(luò)結(jié)構(gòu)和專職的網(wǎng)絡(luò)管理員，而多數(shù)的部門則主要是依托網(wǎng)絡(luò)中心來(lái)提供信息服務(wù)。鑒于這種管理結(jié)構(gòu)，北京大學(xué)校園網(wǎng)采用的是部門獨(dú)立，相對(duì)分散的信息安全管理架構(gòu)。對(duì)圖書館、財(cái)務(wù)部等有一定網(wǎng)絡(luò)規(guī)?；?qū)π畔踩刑厥庖蟮牟块T，自成一個(gè)安全實(shí)體，而其它全校公共信息服務(wù)系統(tǒng)，如電子郵件系統(tǒng)，Web服務(wù)、校內(nèi)信息服務(wù)、校園一卡通、網(wǎng)絡(luò)電視等系統(tǒng)，則由網(wǎng)絡(luò)中心統(tǒng)一負(fù)責(zé)管理。

網(wǎng)絡(luò)中心為校園提供基本的安全服務(wù)和安全保障，主要有以下四個(gè)部分：?

1、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施

防火墻是校園網(wǎng)信息安全保障的核心點(diǎn)，它負(fù)責(zé)校園網(wǎng)中最基本的信息服務(wù)系統(tǒng)的安全，一旦被非法進(jìn)入，存在著內(nèi)容被竊取、泄密、篡改、損壞等巨大風(fēng)險(xiǎn)，屬于安全等級(jí)中最嚴(yán)重的事件。通過(guò)部署防火墻，把這些信息系統(tǒng)集中隔離到一個(gè)邏輯安全區(qū)中，在防火墻集中控制點(diǎn)處定制嚴(yán)格的訪問(wèn)控制策略，實(shí)施嚴(yán)格的數(shù)據(jù)流監(jiān)控。因?yàn)榉阑饓Φ陌踩栽从谄鋬?yōu)秀的訪問(wèn)控制能力，可做到基于IP、協(xié)議、用戶的訪問(wèn)控制，能靈活地對(duì)服務(wù)對(duì)象、操縱權(quán)限、服務(wù)范圍進(jìn)行控制。同時(shí)也對(duì)各具體的服務(wù)系統(tǒng)從底層操作系統(tǒng)到應(yīng)用系統(tǒng)做了針對(duì)性的安全優(yōu)化和加強(qiáng)，如停用無(wú)關(guān)服務(wù)、啟用系統(tǒng)審計(jì)、精簡(jiǎn)定制系統(tǒng)等。而且對(duì)安全性有特殊要求的服務(wù)系統(tǒng)，在防火墻和服務(wù)系統(tǒng)上也做了較為詳細(xì)的日志記錄，為安全事件的事后取證工作提供依據(jù)，當(dāng)然取證是多因素的綜合，也包括其它手段如IDS、蜜罐等手段的補(bǔ)充。

IDS系統(tǒng)是重要的網(wǎng)絡(luò)安全診斷工具，可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的異常情況、跟蹤安全事件的新動(dòng)向、統(tǒng)計(jì)分析安全歷史記錄等。IDS系統(tǒng)通常把探測(cè)引擎分布式地部署在網(wǎng)絡(luò)的各關(guān)鍵點(diǎn)，然后匯總到控制中心進(jìn)行分析、統(tǒng)計(jì)、顯示、報(bào)警等動(dòng)作。由于外網(wǎng)的攻擊，如網(wǎng)絡(luò)掃描、蠕蟲(chóng)、DOS等攻擊，只能是被動(dòng)地阻斷或向相關(guān)組織反饋，而對(duì)攻擊源無(wú)法處罰，內(nèi)網(wǎng)則由于可利用的監(jiān)控手段多，攻擊源的定位和控制也相對(duì)容易。鑒于這些考慮，北京大學(xué)IDS系統(tǒng)的探測(cè)器部署在校園網(wǎng)的總出入口處，主要監(jiān)控內(nèi)外網(wǎng)之間發(fā)生的安全事件，為網(wǎng)管人員執(zhí)法提供依據(jù)。

2、垃圾郵件過(guò)濾系統(tǒng)和防病毒郵件網(wǎng)關(guān)

北京大學(xué)為全校教師和學(xué)生提供一個(gè)以pku.edu.cn域的郵箱賬號(hào)，目前用戶數(shù)規(guī)模高達(dá)2萬(wàn)多。根據(jù)日常的監(jiān)控統(tǒng)計(jì)，垃圾郵件和高度疑似的垃圾郵件就占了總量的90%之多，消耗了大量的系統(tǒng)資源，包括CPU性能、磁盤空間、內(nèi)存、響應(yīng)速度等。垃圾郵件主要分兩大類，一類是病毒造成，另一類是廣告行為。

對(duì)于大量泛濫的廣告郵件，采用基于行為分析的垃圾郵件過(guò)濾系統(tǒng)，即通過(guò)識(shí)別垃圾郵件的行為（如分析郵件路由邏輯，反向驗(yàn)證IP地址域，辨別仿冒郵件地址等行為特征）進(jìn)行過(guò)濾。事實(shí)證明通過(guò)這種基于行為方式的過(guò)濾，垃圾郵件會(huì)大幅度地降低，根據(jù)對(duì)校園網(wǎng)郵件系統(tǒng)的統(tǒng)計(jì)，最后能到達(dá)用戶的郵件只占郵件總量的5-10%，而且即使是過(guò)濾后的郵件，垃圾郵件也能占到一定的比例。這部分被漏掉的垃圾郵件，一是由于系統(tǒng)不對(duì)內(nèi)容做判斷，另一方面是因?yàn)橛幸恍┬袨闆](méi)能被識(shí)別出來(lái)造成的。

病毒郵件同樣是垃圾郵件，而且占相當(dāng)大的比例，由于病毒極強(qiáng)的傳染力，導(dǎo)致郵件系統(tǒng)成了散播病毒的源頭，嚴(yán)重威脅著郵件接收者的終端系統(tǒng)，因此在校園網(wǎng)郵件系統(tǒng)的前端我們部署了郵件防病毒網(wǎng)關(guān)，凡是進(jìn)入郵件系統(tǒng)的信件都要經(jīng)防病毒網(wǎng)關(guān)的過(guò)濾后，才最終被送到用戶郵箱中。

3、桌面防病毒系統(tǒng)

目前計(jì)算機(jī)病毒充分利用了網(wǎng)絡(luò)和黑客攻擊技術(shù)，使得病毒的傳播性、感染性和攻擊性急劇增強(qiáng)，造成嚴(yán)重的安全事件。由于病毒種類繁多，數(shù)量達(dá)數(shù)十萬(wàn)之多，如果接入網(wǎng)絡(luò)的桌面系統(tǒng)不安裝防病毒系統(tǒng)，感染病毒是無(wú)法避免的。校園網(wǎng)作為一個(gè)管理實(shí)體，擁有眾多的終端桌面用戶和服務(wù)器系統(tǒng)，如果防病毒完全是分散的無(wú)管理的個(gè)體行為，效果并不十分理想，許多防護(hù)系統(tǒng)形同虛設(shè)，給校園網(wǎng)帶來(lái)了嚴(yán)重的安全隱患。北京大學(xué)在校園網(wǎng)采用了Symantec AntiVirus企業(yè)版的解決方案，對(duì)校園網(wǎng)的桌面防病毒系統(tǒng)進(jìn)行集中管理，實(shí)現(xiàn)自動(dòng)從服務(wù)器獲取新的病毒定義，實(shí)時(shí)具備最新的防護(hù)能力，無(wú)須用戶再干預(yù)。對(duì)移動(dòng)的用戶，可通過(guò)校內(nèi)代理以手動(dòng)方式從服務(wù)器獲得最新的病毒定義。另外，通過(guò)管理端不僅可清楚地了解網(wǎng)絡(luò)中感染病毒主機(jī)的比率情況，而且還可明確主機(jī)感染了何種病毒。

4、漏洞補(bǔ)丁管理和發(fā)布系統(tǒng)

軟件程序缺陷和漏洞對(duì)互聯(lián)的計(jì)算機(jī)系統(tǒng)是個(gè)災(zāi)難，利用系統(tǒng)漏洞的攻擊危害性極大，尤其是近年來(lái)病毒借用了這種具有黑客攻擊的技術(shù)后，給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果，如CodeRed、Nimda、Blaster等都無(wú)一例外使得校園網(wǎng)，甚至是整個(gè)Internet陷于癱瘓狀態(tài)。由于補(bǔ)丁程序是這類問(wèn)題的唯一根本解決方案，加之各類補(bǔ)丁程序數(shù)量規(guī)模巨大，所以出現(xiàn)了漏洞補(bǔ)丁管理和發(fā)布這樣的安全應(yīng)用系統(tǒng)。校園網(wǎng)內(nèi)以Windows系統(tǒng)為主，而Windows系統(tǒng)漏洞的危害較嚴(yán)重，北京大學(xué)在校園網(wǎng)內(nèi)專門設(shè)置了Windows系統(tǒng)漏洞補(bǔ)丁管理和發(fā)布服務(wù)器，用于對(duì)校園內(nèi)的Windows系統(tǒng)進(jìn)行統(tǒng)一管理，從本地服務(wù)器下載更新補(bǔ)丁程序。此應(yīng)用系統(tǒng)采用的是微軟免費(fèi)的Microsoft Software Update Service系統(tǒng)，用戶規(guī)模近一萬(wàn)，系統(tǒng)負(fù)荷、流量都相對(duì)比較大。本系統(tǒng)的管理功能很弱，但基本符合校園網(wǎng)松散的安全管理模式，所以能夠滿足校園網(wǎng)的需求。而且其分析統(tǒng)計(jì)功能能夠詳細(xì)地列出每個(gè)受管理系統(tǒng)的補(bǔ)丁程序更新?tīng)顩r，實(shí)用性很強(qiáng)。另外，為避免補(bǔ)丁程序更新不及時(shí)或其它意外因素，對(duì)重大的漏洞補(bǔ)丁程序，以傳統(tǒng)的網(wǎng)絡(luò)公告方式發(fā)布并提供直接下載，有效地避免惡性安全事件的大范圍發(fā)生。

具備完備的安全設(shè)施是安全保障的必要條件，但更重要的是網(wǎng)絡(luò)安全管理的規(guī)范化和擁有專業(yè)化的安全管理團(tuán)隊(duì)。北京大學(xué)網(wǎng)絡(luò)中心做為校園網(wǎng)和教育網(wǎng)華北主節(jié)點(diǎn)之一的管理者，既要負(fù)責(zé)整體的安全管理和規(guī)劃，又要負(fù)責(zé)各院系和最終用戶的瑣碎的具體安全工作，在常年的實(shí)踐中已形成了一整套默認(rèn)的規(guī)范，有些已經(jīng)成為明文的制度。

通常情況下，設(shè)備或系統(tǒng)都有專門的系統(tǒng)管理員，網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器、網(wǎng)管應(yīng)用系統(tǒng)等由NOC組的管理員負(fù)責(zé)，信息系統(tǒng)如郵件、Web、數(shù)據(jù)庫(kù)等具體的應(yīng)用服務(wù)系統(tǒng)則由NIC組的系統(tǒng)管理員負(fù)責(zé)，這樣大量局部的、簡(jiǎn)單的安全事件就能被管理員直接解決。另外，北京大學(xué)設(shè)立了網(wǎng)絡(luò)安全緊急響應(yīng)小組，專門負(fù)責(zé)處理那些重大的緊急安全事故。這個(gè)小組沒(méi)有專職人員，主要是由部門領(lǐng)導(dǎo)掛職，在遇到突發(fā)事件時(shí)協(xié)調(diào)網(wǎng)絡(luò)管理員和信息系統(tǒng)管理員的工作。由于安全技術(shù)的完善和人們安全意識(shí)的提高，象紅色蠕蟲(chóng)之類大規(guī)模的網(wǎng)絡(luò)安全事件已經(jīng)不多見(jiàn)了，而對(duì)偶爾的突發(fā)事件，通常管理員就能做出快速的判斷和反應(yīng)，所以具有經(jīng)驗(yàn)豐富、專業(yè)化的技術(shù)團(tuán)隊(duì)是網(wǎng)絡(luò)安全管理的根本。