上海交大：六大措施保障网络安全

核心提示：建设一个安全可靠、稳定可管理的网络已成为人们的共识，对校园网而言，上海交大：六大措施保障网络安全，这可能需要管理者们付出更大的努力，高校校园网服务于教学科研的宗旨，网络中心的网管数据库里存放着全校范围内数千台接入交换机的端口-用户房间端口信息数据，以及所有用户的详细使用信息和相关IP-MAC资料，决定其必然是一个管理相

建设一个安全可靠、稳定可管理的网络已成为人们的共识。对校园网而言，这可能需要管理者们付出更大的努力。高校校园网服务于教学科研的宗旨，决定其必然是一个管理相对宽松的开放式系统，无法做到像企业网一样进行严格统一的管理，这使得保障校园网安全成为一个大挑战。

上海交通大学从自身情况出发，应用了以下六项措施保障网络安全。

措施1 网络交换路由设备的安全配置

根据不同控制策略的要求，对校园网边界路由器，各校区核心交换机，汇聚点交换机以及楼内三层交换机分级配置合理的访问控制列表(ACL)，从而保障网络安全。机制如下：

对蠕虫病毒常见传播端口和其他特征的控制，可以有效控制蠕虫病毒大面积扩散;

对常见木马端口和系统漏洞开放端口的控制，可以有效降低网络攻击和扫描的成功率;

对IP源地址的检查将使部分攻击者无法冒用合法用户的IP地址发动攻击;

对部分ICMP报文的控制将有助于降低Smuff攻击的威胁。

在网络安全日常管理维护和出现病毒爆发或其他突发安全威胁时，合理配置ACL将有助于快速定位和清除威胁。

措施2 采取静态IP地址管理模式

上海交通大学长期以来一直采用校园网用户静态IP地址管理模式。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户MAC-接入交换机端口的绑定，并在用户楼内三层交换机上实现用户IP-MAC的一一绑定，使用这种方法来确认最终用户，消除IP地址盗用等情况。虽然看上去比较复杂，但由于网络中心针对校园网中使用的各种不同厂家和类型交换机，都开发了相应的绑定程序，所有的绑定管理工作都由程序自动完成，所以管理人员的工作量并不大。网络中心的网管数据库里存放着全校范围内数千台接入交换机的端口-用户房间端口信息数据，以及所有用户的详细使用信息和相关IP-MAC资料，所有这些都为建立可管理的安全校园网提供了基础。