校園網(wǎng)絡安全體系的設計與應用分析

鄒 珺 劉 婷 范志勤

（江西現(xiàn)代職業(yè)技術(shù)學院，江西南昌330095）

1、概述

校園網(wǎng)絡安全體系必須保證網(wǎng)絡的安全。校園網(wǎng)安全體系具有以下幾個方面的特點：一是整體性。多個局域網(wǎng)統(tǒng)一在一個管理體系下，可以有多個管理中心，但從物理結(jié)構(gòu)上來講是一個整體。二是互動性。統(tǒng)一的管理體系最大的優(yōu)點就是互動和共享，不同的信息節(jié)點可以把收集到的信息提供給管理中心，管理中心可以把這些信息歸類匯總后提供給其他節(jié)點，同時管理中心在遇到突發(fā)事件時也可以通過網(wǎng)絡協(xié)調(diào)各節(jié)點及時處理。三是綜合性。高校的許多職能都實現(xiàn)了一體化數(shù)字校園，總結(jié)起來可以分為五大類，即：科研業(yè)務、教學業(yè)務、管理業(yè)務、服務保障業(yè)務、政工業(yè)務。四是服務性。建設網(wǎng)絡的最終目的是為了服務。

2、設計原則

一體化數(shù)字校園建設是一個長期而不斷擴展的過程，必須有統(tǒng)一的建設規(guī)劃、組織管理以及建設標準，所以在一體化數(shù)字校園網(wǎng)絡的建設過程中應該進行整體的數(shù)字校園規(guī)劃，執(zhí)行統(tǒng)一與規(guī)范的數(shù)據(jù)標準，加強信息中心技術(shù)人員隊伍建設，建立項目監(jiān)督與控制等靈活有效的運行機制。

在設計實施中應遵循以下原則：一是實際需求為前提原則；二是性價比最佳原則；三是硬件選型原則；四是可擴展性原則。

3、校園網(wǎng)絡安全體系架構(gòu)

3.1 網(wǎng)絡安全體系結(jié)構(gòu)的實現(xiàn)

確定了網(wǎng)絡安全設計思想以后，就可以以網(wǎng)絡安全設計的形式來實現(xiàn)。由設計思想到網(wǎng)絡設計的實現(xiàn)，需要一系列的步驟，依據(jù)需求分析、設備選型、服務應用等來確定網(wǎng)絡安全設計的實現(xiàn)。校園網(wǎng)絡安全設計的實現(xiàn)必須要包含以下要素[1]：一是硬件設備安全特性；二是防火墻；三是核心交換機；四是入侵檢測系統(tǒng)（IDS）；五是校園網(wǎng)監(jiān)測報警系統(tǒng)；六是授權(quán)原則。

校園網(wǎng)安全網(wǎng)絡拓撲結(jié)構(gòu)，如圖1所示：

3.2 規(guī)劃vlan

校園網(wǎng)共分為兩部分：內(nèi)網(wǎng)和外網(wǎng)，中間由防火墻隔開。內(nèi)網(wǎng)劃分為不同的vlan，分別用于學校內(nèi)部的教學、科研、管理和娛樂等。內(nèi)網(wǎng)訪問外網(wǎng)需要特別授權(quán)，在學校以外的地方可以通過vpn通道來存取內(nèi)部網(wǎng)的資源。內(nèi)網(wǎng)設備主要包括認證服務器、Web服務器的代理服務器、域名服務器、郵件服務器、文件服務器等等。認證服務器負責用戶證書的生成、發(fā)布、維護和用戶身份的鑒別，同時，它也起著協(xié)調(diào)Web服務器和數(shù)據(jù)庫服務器工作的作用。Web服務器主要提供學校的門戶網(wǎng)站服務，有條件地向外提供學校的信息數(shù)據(jù)。代理服務器(或應用網(wǎng)關(guān))是內(nèi)網(wǎng)與公網(wǎng)、公網(wǎng)和Internet之間的橋梁和關(guān)卡[2]，一方面協(xié)助相鄰兩個網(wǎng)段的信息互訪，另一方面適當?shù)乜刂苾烧咧g的信息交流。

VLAN即虛擬局域網(wǎng)是一種通過局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)，是分組式廣播網(wǎng)絡，每個VLAN對應著一個廣播域，它以軟件方式來實現(xiàn)邏輯工作組的劃分和管理，邏輯工作組的結(jié)點組成不受結(jié)點物理位置的限制。工作組成員可分屬不同的物理網(wǎng)段，同時不同的物理網(wǎng)段也可以是同一個工作組。虛擬局域網(wǎng)的實現(xiàn)方式主要有三種：靜態(tài)端口分配、動態(tài)虛擬網(wǎng)和多虛擬網(wǎng)端口配置[3]。

靜態(tài)虛擬網(wǎng)是一種普遍使用的VLAN劃分方法，它是通過設置交換機的端口到一個廣播域來實現(xiàn)的。基于端口的VLAN需要設置每臺交換機的每個端口，雖然這種設置有些麻煩但相對安全、容易配置和維護。

動態(tài)虛擬網(wǎng)的端口是根據(jù)每個主機的MAC地址來劃分的，即對每個MAC地址的主機都配置它屬于哪個工作組。這種劃分VLAN的方法的最大優(yōu)點就是用戶可以靈活地改變交換機端口，而VLAN不重新配置。它的缺點就是初始化比較麻煩，初始時每臺主機的MAC都要加入到MAC表中。

多虛擬端口配置支持一臺主機或某一端口同時訪問多個虛擬網(wǎng)，可以實現(xiàn)讓多個虛擬網(wǎng)的鏈接，只需要一個路由端口就可完成，但這樣會帶來安全上的隱患[4]。

3.3 域控系統(tǒng)的設計與實現(xiàn)

域技術(shù)是微軟為了提高大型網(wǎng)絡的管理效率與安全性而提出的管理局域網(wǎng)的思路。通過域可以實現(xiàn)在一個統(tǒng)一的平臺上對局域網(wǎng)網(wǎng)絡采取一些統(tǒng)一的管理策略。

某高校校園網(wǎng)系統(tǒng)的安全是建立在域控的基礎(chǔ)上的。利用域控技術(shù)，使用域賬戶可以登錄本域中的任何主機，使用域賬戶登錄可以訪問本域中的所有授權(quán)資源，本域中的系統(tǒng)管理員可以通過委派授權(quán)域賬戶來提高系統(tǒng)的安全性和集中管理賬戶。采用微軟的域控技術(shù)可以對高校校園區(qū)中的主機進行環(huán)境集中管理、軟件集中管理和安全集中管理，域控的優(yōu)點就是可以按照統(tǒng)一的原則集中建立安全策略，限定入網(wǎng)的機器所使用的軟件，統(tǒng)一客戶端桌面、統(tǒng)一IE、統(tǒng)一TCP/IP設置等[5]。

4、預警與反應中心的設計與實現(xiàn)

預警和反應中心的設計是對保障信息網(wǎng)絡安全的一個必要的補充，是當網(wǎng)絡出現(xiàn)不正常現(xiàn)象時管理員進行錯誤分析和判斷的有力手段，可以有效防止類似于某臺機器由病毒等造成的網(wǎng)絡不正常現(xiàn)象。可以應用一套功能強大的網(wǎng)絡故障偵測工具快速診斷網(wǎng)絡故障原因，并提出具體的解決辦法，然后由工作人員現(xiàn)場或遠程解決故障。其組織結(jié)構(gòu)如圖2所示：

5、總結(jié)

通過對一體化數(shù)字校園網(wǎng)絡安全體系的分析，經(jīng)過測試，達到了預期效果。但從校園網(wǎng)的繼續(xù)發(fā)展來看，校園網(wǎng)安全的實施將不斷進步，但同時病毒、黑客攻擊的技術(shù)也在不斷發(fā)展，安全威脅依然存在。如何應對新的病毒、黑客技術(shù)的發(fā)展，如何在新的安全威脅的前提下進一步提高數(shù)字校園網(wǎng)的系統(tǒng)性能、安全體系和穩(wěn)定運行,這是我們下一步的研究課題。

[1]雷震甲.網(wǎng)絡工程師教程[M].清華大學出版社，2007.

[2]胡秀建.校園網(wǎng)絡安全現(xiàn)狀剖析及解決方案[J].宿州教育學院學報，2011,(1).

[3]邵軍,雷雨.淺析高職院校校園網(wǎng)絡安全與防范策略[J].湖北水利水電職業(yè)技術(shù)學院學報，2009,(4).

[4]張華.淺析高校校園網(wǎng)絡的安全管理[J].信息系統(tǒng)工程，2012,(10).

[5]韋巍，樂國友.澳民策略在網(wǎng)絡安全中的應用[J].法制與經(jīng)濟，2006,(4).