利用开源软件构建安全的数字校园的研究

【摘要】信息技术应用不断深化，校园网安全所面临环境更加复杂，安全压力也不断增大。网络安全建设是一项投入大，持续性的工作。本文通过介绍开源网络安全技术，在多个网络安全领域介绍相关开源解决方案，并分析采用开源软件的优缺点，为校园网网络安全建设提供参考。

【关键词】校园网；安全

1.校园网络安全概述

随着信息技术的发展，我国高等院校内部都建立了校园网，校园网内各种应用层出不穷，校园网已深入学校教学、科研和办公各个领域。同时现代大学生的学习、生活和交流也越来越依赖网络。校园网已成为院校重要的基础设施，校园网的安全稳定也越来越为重要。网络技术的发展并没有带来网络安全的完全好转，网络中仍然充斥着病毒和攻击行为，网络安全事故仍时有发生，有些网络安全事故甚至可以给院校的正常工作带来严重的影响。为确保校园网络安全稳定，各院校也都进行网络安全建设。但网络安全建设存在成本高昂，技术要求较高等困难。网络攻击与威胁形式随时间不断变化，网络安全建设也得是一项持续性工作，这进一步增加了校园网安全建设的难度。因此，在对威胁、技术和成本的综合评估的基础上，部分或全面采用开源技术实施网络安全建设成为众多院校的选择和考虑方向。

2.开源软件概念和开源软件安全性

开源软件相对与闭源商业软件，是软件作者将源代码一块公开发布的软件。使用者在遵守一定的协议条件下可以无偿获得软件和源代码，开源精神内涵是分享而不仅仅是免费。开源运动兴起于上世纪八十年代，产生了一大批重要而且优秀的开源软件。到现在，几乎所有的常见领域都有优秀的开源软件，甚至部分领域开源软件占据主流，如DNS和万维网。随着IBM、谷歌等大企业对开源软件和团体的支持，进一步提高了开源软件的质量，推动了开源软件的应用。

由于开源软件开发的组织形式松散，且代码公开，因此有人质疑开源软件的安全性。但从统计学上来看，并不能支撑开源软件天生具有更多缺陷的说法。代码分析企业Coverity在开源的Linux内核570万行语句中发现了985个缺陷。而卡耐基梅隆大学的CyLab实验室进行的一个研究结果，具代表性的商业性闭源程序每一千行语句平均带有20-30个缺陷。通过对比开源的linux内核缺陷远比闭源软件少的多[1]。另外闭源软件如Windows、IE，没有因为代码不公开而没有漏洞被发现。在漏洞修复速度上，开源软件因源码公开，参与者广泛，漏洞修复速度往往快于闭源软件。

3.开源软件在校园网安全体系中应用

校园网面对的安全威胁包括外部入侵和内部非法行为，网络安全体系设计包括边界防护、终端防护、网络行为审计等，网络安全技术手段有防火墙、反垃圾邮件、网络漏洞扫描、入侵检测和vpn等。设计良好的网络安全体系可以有效的阻断外部攻击和内部的非法行为，在网络安全的各个方面都有开源软件可选择，并且一些低端的商业网络安全设备也是基于开源软件开发。因此在性能要求不高和非关键部位完全可由开源解决方案替代昂贵的商业设备。

3.1 开源防火墙

在校园网安全防护中防火墙是最为关键的技术手段，防火墙一般工作在网络层和传输层，它根据管理人员制定的访问规则对数据包进行过滤，实现对受保护资源的保护。开源防火墙都是软件防火墙，可以实现包过滤和代理型防火墙。现比较成熟的开源防火墙是BSD+ipfw和Linux+iptables[2]解决方案，两者功能相似，可灵活的根据需求自定义网络层和传输层规则，几乎支持所有常见的网络层和传输层协议；支持NAT转发；支持跟踪链接状态；支持对部分应用层防火墙功能。因开源防火墙方案都为软件防火墙，在性能要求不高的地方使用一般服务器硬件和开源软件即可满足要求，同时成本上远低于相同性能的商业产品。但在性能要求较高部位，软件防火墙就不能满足要求，只能采用专业的硬件防火墙。

3.2 反垃圾邮件

大量的垃圾邮件消耗网络和硬件资源，同时携带大量病毒和有害信息，威胁用户信息安全，而垃圾邮件的准确高效识别又是非常困难的。现互联网使用最广泛的邮件服务软件多数都为开源软件，它为开源的邮件过滤实现提供了便捷。开源垃圾邮件过滤软件最著名的是SpamAssassin[3]，它是一套先进的垃圾邮件过滤系统。SpamAssassin采用机器学习算法和记分制度判断垃圾邮件，通过设计规则库和不断学习可取得高识别率，大幅减少垃圾邮件，取得较好效果。

3.3 入侵检测系统

入侵检测是通过对网络数据行为和内容的分析，发现潜在的可能攻击行为。入侵检测系统相对其它网络安全技术有更高的智能化要求.由于攻击方式复杂多样，手段隐蔽，良好的入侵检测系统一方面能全面的发现入侵行为，一方面减少对正常网络行为的误报。开源的snort[4]是一个著名的轻量级基于网络入侵检测系统，它具有简洁、高效、功能强大的特征，可与防火墙联动[5]。snort软件需配合规则库使用才能起到作用，其官方网站提供免费和收费两种版本的规则库，免费规则库仅仅是在更新时间上比收费版晚30天，一般情况下免费规则库就可以满足要求。

3.4 VPN

由于院校人员流动性，老师和学生在校外期间也有访问校内资源的要求，因此需要一个安全可靠的校外到校内的访问方式。现较流行的解决方式是采用SSL VPN技术构建安全的虚拟专用网络，OpenVPN[6]软件提供了一套功能完善的开源SSL VPN解决方案。OpenVPN软件支持多种认证方式和加密算法，具有跨平台性。利用OpenVPN软件可以很轻松的部署一套VPN系统，满足一般性能要求的校外网络访问。

4.开源网络安全解决方案优缺点分析

开源安全软件最突出的优点是费用低，专业的网络安全设备动辄几万几十万，硬件设备使用年限一般就几年，后期服务费用也很昂贵。而开源安全软件实现方案首次成本仅为硬件的成本，开源软件的硬件平台和操作系统也都是常见的主流系统，成本低廉。许多开源网络安全软件比专业厂商有更多更灵活的技术支持。开源软件有很多专业的论坛、邮件列表可免费获取技术支持，有时甚至可直接与软件作者联系。同时几乎所有使用广泛的开源软件都有企业提供收费的技术支持服务。

开源网络安全解决方案全部使用软件和通用架构计算平台实现，性能方面落后专用硬件的网络安全设备。开源网络安全解决方案在功能上往往比商业软件和设备少，特别是在使用便捷性上。另外，开源网络安全软件部署和维护需要更高的技术要求。

5.总结

开源网络安全软件经过长时间发展，已经功能完善，性能稳定，在国内外有着广泛的用户群。在校园网安全建设时，特别是在一些规模较小、预算不足的院校中，是一种合适的解决方案。通过精心的设计部署，利用开源安全软件可以构建相对安全的校园网络，确保网络的稳定运行，同时可以极大的节约费用。但开源软件仍有不足之处，在某些方面有严重的短板，如性能等，因此在校园网安全建设过程仍要综合考虑才能取得良好的效果。

参考文献

[2]http：//www.netfilter.org/[EB/OL].

[3]林伟艺.基于SpamAssassin & Milter的反垃圾邮件系统的研究与实现[D].厦门大学，2009.

[4]www.snort.org[EB/OL].

[5]余兆力.基于snort的网络入侵检测系统研究[D].浙江工业大学，2004.

[6]http：//www.openvpn.org/[EB/OL].