校園網網絡安全管理系統設計分析

摘要：本文對校園網網絡安全環境進行了分析，提出了系統設計的出發點，并圍繞著系統設計的目標和原則展開了論述，進而劃分相關的功能管理，最后得出了校園網網絡安全管理系統設計的任務。

關鍵詞：網絡安全 簡單網絡管理協議 設備管理 拓撲發現 網絡監控

隨著互聯網的迅猛發展，高校作為培養人才的基地，對網絡的要求越來越高，對在互聯網上查找信息、在BBS上發表言論、發送郵件、建立博客、瀏覽網頁、看網上視頻等寬帶要求越來越高，這就在設備的管理、網絡安全與網絡監控上向校園網絡管理人員提出了更高的要求。在這里，校園網絡管理人員至少需要考慮四大問題：一是確保網絡設備管理正常工作，過濾非法用戶使用網絡資源情況的出現；二是檢測系統漏洞預防病毒和網絡黑客攻擊；三是實時做好在線遠程控制設備控制；四是監控當前網絡使用狀況，實現網絡流量的合理配置。而這一系列問題的根本性措施是要設計出合理的校園網絡安全管理系統。

一、校園網網絡安全環境概述

網絡軟、硬件存在的安全漏洞會導致網絡系統遇到各種威脅，導致絡安全事件發生，因此為維護這個網絡系統，要利用其他手段來創造一個良好的網絡環境。本文認為應該建立一個網絡安全防護體系，該系統既包括先進的技術，還包括安全教育、法律約束和嚴格的管理。也就是說，當前制定的網絡技術安全包括網絡安全、物理安全和信息安全。

1、網絡安全

網絡安全是指主機、網絡運行安全、服務器安全、子網安全及局域網安全。網絡安全的實現需要內部網與網絡安全域之間的隔離、內外網之間的隔離、還要對計算機網絡進行審計和監控、及時檢測網絡安全，同時做好了網絡系統備份和網絡反病毒。

要實現網絡安全，在內、外部網間設置防火墻是最有效、最主要、最經濟的措施之一。內部網的不同網段之間的敏感性和受信任度不同，存在很大的差異，所以非常有必要在它們之間設置防火墻，從而限制局部網絡的不安全因素影響到全局，以實現內外網的隔離與訪問控制。對網絡系統可以運用網絡安全檢測工具進行定期安全性檢測和分析，及時發現并修正其存在的弱點和問題。從而運用反病毒環節對網絡目錄和文件設置訪問權等，對網絡服務器中的文件進行頻繁掃描和監控。在網絡系統人為失誤或硬件故障的情況下，或者在對網絡進行攻擊破壞數據完整性或入侵者非授權訪問時，備份系統文件可以起到很好的保護作用。

2、物理安全

通過設置裝置和應用程序等方式方法來保護計算機和存儲介質的安全稱為物理安全。一般有兩層含義：一是環境安全，通過設立電子監控，設立災難的預警、應急處理和恢復機制，將災難發生時的損失盡可能減小，保障區域環境安全。二是設備安全，主要是防線路截獲、抗電磁干擾及電源、防電磁信息輻射泄漏、防盜、防毀等設備的安全保護。三是媒體安全，主要是指媒體數據的安全，即防復制、防消磁、防丟失等，另外是媒體本身的安全，包括防盜、防毀、防霉等。

3、信息安全

管理和技術兩方面的安全統稱為網絡安全。信息安全重要體現主要表現在數據的機密性、可用性、完整性和抗否認性等，包括用戶口令鑒別，計算機病毒防治，數據存取權限，用戶存取權限控制，方式控制、安全問題跟蹤、安全審計和數據加密等。

二、網絡安全系統設計開發的出發點

針對不同的網絡管理人員，網絡安全管理系統憑借著能夠提供不同的服務的應用功能，可以讓使用者在方便使用網絡資源庫的時候達到良好的管理效果。其關系如圖1所示。

圖1：人機交互關系圖

現在很多校園網絡管理者都能夠做到嚴格管理高校校園網網絡線路、設備和用戶。在整個高校，網絡安全管理是網絡安全管理系統的核心環節。但從上圖可以看出，網絡的管理應不限于此，還應該對于其他廠商設備以及網絡業務的擴展與應用等方面也相應地采取有效措施。

三、網絡安全管理系統功能及分類

路由管理、網絡安全審計、用戶認證管理、網絡故障管理、網絡監控等是整個網絡安全管理的重要組成成分。

圖2：網絡安全管理系統基本功能

檢測潛在的網絡安全隱患、及時監控和發現系統中的病毒，并及時查殺可疑的外來入侵者，并及時發現管理以及網絡的訪問熱點上的薄弱環節。為幫助網絡管理人員及時采取現場措施，收集來自路由器的重要信息（如用UDP或TCP協議受到的攻擊）數據，確保相關網絡安全信息，保障校園網的信息完整性。

（1）路由安全管理

網絡管理員可以用圖形化界面顯示各路由器所在物理位置，察看路由器的端口運行情況，核實路由器的CPU占用率和網絡路由拓撲結構，還可以核對路由器的MAC地址及路由協議的性能優化等功能，做到實時地對路由器信息進行添加、刪除、修改等操作。對全校所有路由器進行遠程管理的功能。

(2)用戶認證管理

校園網要實行有效的用戶管理。上網用戶提交的用戶信息可以在安全系統系統上進行修改、刪除等操作；對用戶提交的信息，可以提交至上層進行審批；查看網絡管理中心對申請上網的審批結果；可在校范圍內上查看全網登記用戶信息申請，一一查看和打印審批過程中的審批記錄，有效得出審批結果。

（3）網絡監控

安全系統對校園網目前所有環節，包括路由器、服務器、交換機客戶端等進行監控，可以使網絡管理人員對整個網絡在圖形化的界面下一目了然，直觀地表示當前各環節如路由器、服務器等是否處于正常工作狀態，便于管理人員進行查閱、統計等工作，詳細地記錄下監控數據后存放至后臺數據庫中，便于對其進行信息方面的統計。

(4)網絡故障管理

借助網絡安全系統，網絡中心管理人員可對用戶提交的信息進行及時處理，比如提供給用戶便捷查看學校網絡中心對各種申請的審批結和報修的新增網絡點的功能，修改、刪除網絡配置等各種申請，調整并反饋給用戶。

運用網絡安全系統，一旦發生網絡故障，網絡管理人員可啟動快速自動響應功能，實時鑒別和判斷故障發生的原因，從而將網絡故障時間或影響校園網的網絡問題降低到最小程度。

四、校園網絡安全體系的設計原則與任務

按照“統一規劃，分步實施”的原則，在建設網絡系統初期應著重考慮到安全性問題，同時要建立一個基礎的安全防護體系，再根據應用的變化，補充上防護體系并進一步增強。

（一）校園網絡安全體系的設計原則

設計網絡安全體系時應根據網絡安全性設計的要求，遵循可行性原則、多重保護原則、安全性原則、動態化原則、可承擔性原則等原則。

一是可行性原則：校園網用戶設計網絡安全體系不能純粹地從理論角度考慮，更應該考慮到設計網絡安全體系的目的是指導實施，設計方案在實施中需要切實可行。如果僅僅是為了追求理論上的完美以至于無法實施，那么網絡安全體系本身就毫無實際價值。

二是多重保護原則：在硬件上采取冗余、備份等技術多角度保護系統。因為任何安全措施都不能保證絕對安全，所以要建立一個多重保護系統，當一層保護被攻破時，其他層仍可保護信息安全。

三是安全性原則：安全性成為首要目標。原因在于設計網絡安全體系的最終目的是保障信息與網絡系統的安全。構建網絡安全體系的目的是保證系統的正常運行，需要進行權衡網絡安全是否影響系統的正常運行，必須選擇在安全和性能之間合適的平衡點。網絡安全體系包含一些硬件和軟件，它們會占用網絡系統的一些資源。因此，在設計網絡安全體系時必須考慮系統資源的開銷，要求安全防護系統本身不能妨礙網絡系統的正常運轉。

四是動態化原則：安全防護隨著用戶的增加、網絡技術的快速發展也需要不斷地發展，所以制定安全措施要盡可能引入更多的可變因素，使之具有良好的擴展性。

五是可承擔性原則：考慮校園本身運行特點和實際承受能力，要切實可行，沒有必要按電信級、銀行級標準設計。

（二）校園網絡安全體系設計的任務

校園網絡安全體系設計的根本任務是為了讓高校網絡管理人員掌握各種網絡安全技術。具體在管理校園網中提供如下服務：

（1）為校園網用戶和網絡管理者之間提供一個動態網絡交流系統，同時，提供對用戶的管理功能，對用戶的網絡運行狀況進行動態判斷，并為將來創造用戶自主服務知識庫提供基本條件。

（2）建立能夠存放與網絡信息相關的各種數據，較為規范的網絡安全信息庫。

（3）全面管理網絡路由設置、網絡流量控制、用戶防火墻設置、系統漏洞、網絡版殺毒軟件安裝及工作情況等信息，并對網絡網絡故障響應、用戶報修登記等業務提供實時在線服務。

五、結束語

為了控制好一個復雜的計算機網絡并運行好其全過程，保證其效率，需要把高校校園網的安全作為一個龐大的系統工程來對待，需要全方位防范。因此，一定要在技術上和管理上強化基礎工作。從而達到一個好的網絡安全管理系統，即達到網絡可靠、安全和高效運行的目的，從而對對各種網絡設備及其軟件資源進行有效的監視、解釋和控制。

參考文獻:

[1]謝志強.IPv6過渡技術在高校網絡建設中的應用研究[J]. 福建電腦. 2009(02)

[2]吳建平，崔勇，李星，宋林健.??基于軟線的互聯網IPv6過渡技術構架[J]. 電信科學. 2008(10)

[3]李平榮.淺析校園網IPV4向IPV6的過渡[J]. 硅谷. 2011(01)

[4]羅輝瓊，聶瑞華，鄭凱.基于IPv6的校園網升級研究[J]. 計算機技術與發展. 2010(03)