校園網絡系統的設計及安全性研究

校園網是我國高校基礎建設的重要組成部分。充分利用和開發校園內各類信息資源，實現大學間的資源共享，科學計算機和科研合作，促進大學對外交流是校園網建設的基本宗旨。因此校園網建設必須考慮系統的先進性、開放性、穩定性、安全性和可擴充性。

校園安全問題

網絡安全方面的投入嚴重不足，沒有系統的網絡安全設施配備。大多數高校網絡建設經費嚴重不足，有限的經費也主要投在網絡設備上，對于網絡安全建設一直沒有比較系統的投入。校園網還基本處在一個開放的狀態，沒有任何有效的安全預警手段和防范措施。主要體現在如下幾方面：學校鐵上網場所管理較混亂；電子郵件系統極不完善，無任何安全管理和監控的手段；網絡病毒泛濫；網絡安全意識淡薄，沒有指定完善的網絡安全管理制度。

校園網絡安全設計原則

校園網絡安全設計應該遵循如下原則：（1）滿足因特網的分級管理需求：根據Internet網絡規模大、用戶眾多的特點，對InternetIntranet信息安全實施分級管理的解決方案。（2）需求、風險、代價平衡原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際的研究并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。（3）綜合性、整體性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。一個較好的安全措施往往是多咱方法適當綜合的應用結果。只有從系統綜合整體的角度去看待、分析，才能取得有交、可行的措施。（4）可用性原則：安全措施需要人為去守成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統的正常運行，如不采用或極大地降低運行速度的密碼算法。（5）分步實施原則：分級管理，分步實施。由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需要相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需要求，亦可節省費用開支。

網絡安全概念及技術

計算機網絡安全是指計算機及其網絡系統資源和信息資源不受自然和人為有害因素的威脅和危害，即是指計算機、網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭到破壞和更改、泄露，確保系統能連續可靠正常地運行，使網絡服務不中斷。從廣義來說，凡是涉及到計算機網絡上信息的哈密性、完整性、可用性、真實性和可控性的相關技術和理論都是計算機網絡安全的領域。網絡安全的主要技術有：加密技術、認證技術和防火墻技術。

·加密技術

數據加密是網絡安全很重要的一個部分。由于因特網本身的不安全性，我們不僅對口令進行加密，有時也對在網上傳輸的文件進行加密。為了保證電子郵件的安全，人們采用了數字簽名這樣的加密技術，并提供基于加密的身份認證技術。數據加密也使電子商務成為可能。

·認證技術

網絡安全系統的一個重要方面是防止分析人員對系統進行主動攻擊，如偽造、篡改信息等。認證則是防止主動攻擊的重要技術，它對于開放環境中的各種信息系統的安全有重要作用。認證是指驗證一個最終用戶或設備（如客戶機、服務器、交換機、路由器、防火墻等）的聲明身份的過程，即認證信息發送或者接收者的身份。認證的主要目的有兩個：第一，信源識別，驗證信息的發送者是真實的，而不是冒充的；第二，完整性驗證，保證信息在傳送過程中未被篡改、重放或延遲等。

·防火墻技術

安裝防火墻是防止網絡黑客攻擊的有效手段。防火墻是在計算機上設立的防止一個內部網絡與公共網絡直接訪問的一種機制。充當防火墻的計算機既可以直接訪問被保護的網絡，也可以直接訪問Internet。而被保護的網絡不能直接訪問Internet，同時Internet不能直接訪問被保護的網絡。

結語

通過對校園網用戶流動性大的特點與校園網認證系統安全性及認證速度的探討，提出了解決校園網使用方便性和安全性矛盾的方法。實現對整個計算機系統全面的安全保護。

（作者單位：重慶城市職業學院）