随着高校网络信息化建设的发展、校园网的普及和运行在校园网上的各种系统的增多，信息系统的安全已经成为学校信息化建设中非常重要的问题。同时，来自外部互联网上的不良信息、非法入侵、系统漏洞、病毒等对校园网及信息系统产生了巨大的威胁。因此，对网络信息系统的稳定、安全和服务质量也提出了更高的要求。
       良好的网络环境需要坚固的网络安全屏障，如何防止网络和信息遭到恶意的破坏和篡改。如何保证信息系统的正常运行和安全，如何以最少的投入保证系统的安全，保证信息系统最佳的服务质量，是我校网络信息化建设现阶段需要努力达到的目标。
万兆校园网的安全体系
       中央民族大学校园网体系构建，自始至终坚持将“落实规范、总体设计、先进适用、安全可靠、开放兼容”的总原则贯彻于网络安全意识和安全产品的选型和部署的过程中，力图打造安全的校园网络。
安全体系模式
        中央民族大学采用APPCDA安全服务模式，见图1。APPCDA是一个全方位安全服务的体系，其中第一个A是指安全评估，第一个P是指安全策略，第二个P是指系统防护，C是指访问控制，D是指实时监测，第二个A是指安全审计，这六个方面形成一个循环系统，共同保护全网安全。
校园网络安全体系的构建。

                      图1 APPCDA安全模型
       中央民族大学网络安全防护体系由漏洞扫描系统、网络防病毒系统、防垃圾邮件系统、内容过滤系统、安全防火墙、入侵监测系统等多重系统构成，如图2。

图2  中央民族大学网络安全防护拓扑结构

(1) 安全评估
        按照当前网络的状况，根据网络布局和要求，评估网络受到攻击的危险等级，向工作人员和企业提出安全警告。榕基RJ-iTopTM网络隐患扫描系统通过中央民族大学网络中心万兆核心交换机直接接入校园网络，对不同操作系统管辖的计算机以及网络设备（在可扫描的IP范围内）进行实时及定时漏洞扫描和风险评估，分析有关网络的安全漏洞以及被测系统的薄弱环节，给出详细的检测报告，并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
(2) 安全策略
       在得出安全评估结果之后，安全服务体系提出安全解决策略。根据网络设备以及用户系统的不同和用户的网络现状，综合给出一个书面形式的安全访问规则和策略。
(3) 系统防护
       系统安全防护分为物理安全加固、网络设备加固、主机加固、PC机加固、防病毒系统、防垃圾邮件系统、防拒绝服务攻击和其他防护系统等八个部分。根据安全评估和安全策略得出的结果，采取软硬件措施，加固整个网络的安全防护体系。
         通过安全评估和安全策略的综合报告，分别对网络设备、用户主机、服务器系统安全漏洞进行防护、网络隔离、关闭端口和设置不同访问权限。
        网络病毒是网络安全中最常见的威胁。Symantec Client Security是一种集成的客户端安全解决方案，包括防火墙、入侵阻止、病毒防护和安全风险保护。Symantec Client Security能对检测到的传入或传出文件自动进行病毒扫描、对不需要的广告软件和间谍软件进行自动安全风险防护、联动防火墙禁止受攻击的IP地址、集中更新防病毒定义和防火墙策略、简化安全威胁响应和管理。
        由于各种商业、政治、色情、病毒邮件充斥着网络，因此有效控制垃圾邮件的传播、还网络一个干净的信息传递环境是当务之急。美国Barracuda公司的梭子鱼垃圾邮件防火墙提供强大的、可拓展的垃圾邮件及病毒防护功能。通过贝叶斯分析、病毒检查、垃圾邮件指纹检查和用户自定义规则等10层以上的过滤，电子邮件系统可以免于垃圾邮件以及病毒邮件的袭击。
        冠群金辰公司的过滤网关KSG同时具备恶意代码过滤和信息内容过滤功能，针对互联网访问、电子邮件、文件传输等途径带来的混合型威胁进行安全控制，同时在网络层、传输层、应用层对非法内容、敏感文字、蠕虫、病毒、垃圾邮件分别进行过滤，对用户网络实现立体式的全面防护，有效保护用户的网络免受侵害，确保信息安全。
(4) 访问控制
        为了切实保证网络的安全，中央民族大学网络安全服务体系坚持“一切未明确允许的访问都是禁止的”原则，采取访问控制来约束网络内外部的访问行为。访问控制主要分成三部分：边界控制、非授权访问控制和信息传输安全。
       华为SecPath 1800F防火墙部署在校园网络数据中心的前端，实现对所有访问数据中心服务器以及校内各网段的网络流量进行控制，对服务器进行有效的保护和访问控制。
       SecPath 1800F支持多种攻击防范技术：包括多种DoS/DDoS攻击防范（对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行有效防范）、ARP欺骗攻击的防范、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、静态和动态黑名单功能，支持智能防范蠕虫病毒技术。支持深度内容检测能力：可以有效的识别网络中的BT、Edonkey、Emule等各种P2P模式的应用，并且对这些应用采取阻断、限流的控制措施，有效保护网络带宽。
(5) 实时监测
       实时监测的对象主要包括主机、服务器和网络边界，目前监测的主要方式是IDS入侵检测系统。实时监测主要是为了及时发现和阻断来自Internet的恶意访问和入侵，通过各种防范手段来防止黑客攻击和信息间谍窃取机密。
       校园网络在网络中心主要节点上部署了北京天融信公司的网络卫士NGIDS-UF千兆入侵检测系统，实时监控各网段数据报文及网络行为，提供及时的报警及响应机制，大大增强了用户的整体安全保护强度。　　
(6) 安全审计
      对于中央民族大学整个安全防护体系来讲，安全审计是最重要的一环。安全审计是保证系统安全审查能力的重要技术，其主要是对网络系统中所发生的所有网络事件进行审查，并分析哪些是正常事件，哪些是安全事件。在安全事件中，根据安全时间威胁程度的不同再进行细分，并提供建议，最后生成一个审计报表提供给网络安全管理员。
问题与思考
        中央民族大学校园网已有８年的建设历史，办公区、教学区、学生宿舍区和家属区近两万个信息点的接入使得网络覆盖了学校的所有楼宇，而校园网络安全体系也有了飞速的发展。笔者根据实践经验，认为校园网络安全体系还存在着一些问题，值得人们思考和探讨。
安全意识
        现在很多用户仍然缺乏网络安全意识、对网络安全概念淡薄。因此，我们必须始终加强网络安全意识方面的宣传，配合网络信息化建设进程而进行网络安全方面的相关培训，希望通过此举让越来越多的用户意识到网络安全的重要性，减少由于自身原因造成的网络账户丢失、信息泄密等相关问题。
安全体系联动
       为了使校园网络各个系统能够正常稳定地运行，中央民族大学网络安全体系进行全方位、多角度、立体式的防护，保障网络用户的相关应用。与此同时，我们也发现其中涉及到入侵联动的不足之处，这同样是高校网络建设以及互联网发展中需要研究的一个“矛”与“盾”的问题。
       例如入侵检测与入侵防护的矛盾问题：我们有着优秀的入侵检测系统，同时也希望能组织起有效的自动入侵防护措施。任何优秀的入侵防护系统都无法做到完全地阻断非法入侵、放行正常网络行为，总是或多或少地将非法入侵放行、将正常行为阻断。
         虽然在安全体系的建设中还存在一些需要解决的问题，但是随着我校网络安全体系建设的逐步深入，我们总结经验、完善不足，为我校“数字校园”建设的进一步发展保驾护航。我们有理由相信，中央民族大学努力打造的校园万兆网络体系将会是一个真正意义上安全稳固、运行良好的校园网络。