基于遠(yuǎn)程訪問的高校網(wǎng)絡(luò)訪問策略

摘 要 高校信息化建設(shè)的開展，教學(xué)、科研、辦公、生活對于校園網(wǎng)平臺的依賴性越來越強(qiáng)，？信息資源已成為各高校的戰(zhàn)略資源，其安全性越來越受到各高校的重視。分析了高校各種數(shù)字資源及其使用的方法，研究了通過網(wǎng)絡(luò)遠(yuǎn)程安全共享的各種方式，本文提出一種可靠方便的策略實(shí)現(xiàn)高校信息資源在開放網(wǎng)絡(luò)中的安全遠(yuǎn)程使用

關(guān)鍵詞 高校信息資源 安全策略 遠(yuǎn)程訪問

一、前言

隨著高校網(wǎng)絡(luò)的建設(shè)，越來越多的信息資源被放置到校園網(wǎng)絡(luò)中共享使用，比如如數(shù)字圖書、購買的電子期刊網(wǎng)絡(luò)、購買的國內(nèi)外各種專業(yè)數(shù)據(jù)庫、網(wǎng)絡(luò)課程數(shù)據(jù)庫、課程試題庫、學(xué)校數(shù)字文化數(shù)據(jù)庫、電子講義、教學(xué)素材庫、教學(xué)網(wǎng)站等。信息資源的交流能力與水平以及信息資源的共享程度也已成為衡量一所高校綜合實(shí)力的重要指標(biāo)之一，信息資源已成為高校的戰(zhàn)略資源。隨著高校的信息化建設(shè)，學(xué)校各種信息管理系統(tǒng)采用網(wǎng)絡(luò)模式，也使教務(wù)、OA、財務(wù)、后勤、科研、學(xué)生、人力資源等管理系統(tǒng)也成為信息資源，方便了校園網(wǎng)絡(luò)用戶使用。隨著高校規(guī)模的擴(kuò)大和經(jīng)濟(jì)的發(fā)展，許多教職員工和與學(xué)生住在學(xué)校外面，教與學(xué)的活動沒有時間的限制特性，如何解決在校外師生的遠(yuǎn)程安全訪問學(xué)校的信息資源已經(jīng)成為校園網(wǎng)應(yīng)用發(fā)展的一個關(guān)鍵點(diǎn)。本文通過研究高校網(wǎng)絡(luò)的常用出口結(jié)構(gòu)，分析各種信息資源的使用和共享的方式，設(shè)計了一種比較合適當(dāng)前高校信息資源遠(yuǎn)程安全訪問策略和機(jī)制，可以促使學(xué)校信息資源的共享，推動教學(xué)和科學(xué)研究的發(fā)展。

二、高校校園網(wǎng)互聯(lián)體系結(jié)構(gòu)

高校網(wǎng)絡(luò)基本上使用了當(dāng)前最新的網(wǎng)絡(luò)技術(shù)連接學(xué)校的各個職能部門、研究室、實(shí)驗(yàn)室、學(xué)生宿舍和教師公寓。多校區(qū)的高校，多數(shù)也是通過部署單模光纖把校區(qū)連接起來形成一個單個的校園網(wǎng)絡(luò)。校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)有很多種，當(dāng)前最多的是核心交換機(jī)方式的千兆以太網(wǎng)或萬兆以太網(wǎng)絡(luò)，形成一個星型的拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)的出口都有中國教育科研計算機(jī)網(wǎng)絡(luò)CERNET，方便地訪問各個高校與科研院所的資源；通過向清華大學(xué)網(wǎng)絡(luò)中心的教育網(wǎng)總出口購買流量的方式可以訪問各個公共網(wǎng)絡(luò)和國外網(wǎng)絡(luò)。有的學(xué)校為了加快訪問公網(wǎng)和國外網(wǎng)絡(luò)的速度，設(shè)置另外一個接口連接電信網(wǎng)絡(luò)或其他廣域網(wǎng)絡(luò)，

三、高校信息資源遠(yuǎn)程訪問研究

高校的信息資源分布在各個職能部門、院系以及研究部門和信息中心，部署在各個局域網(wǎng)中。很多資源直接把應(yīng)用界面模塊提供給通過校園內(nèi)部用戶使用。外部網(wǎng)絡(luò)的用戶如果要使用局域網(wǎng)的資源，要以電話線方式登錄到系統(tǒng)的遠(yuǎn)程服務(wù)器上，通過用戶名和密碼的校驗(yàn)認(rèn)證后，進(jìn)入系統(tǒng)后使用資源。因?yàn)楫?dāng)前家庭或?qū)W生外部宿舍都采用小區(qū)寬帶、光纖入戶或XDSL等模式連接到公共網(wǎng)絡(luò)，不可能切換到另外一種撥號方式使用學(xué)校的資源，同時該方式網(wǎng)絡(luò)速度也比較慢，限制了很多資源的使用，比如多媒體課件資源和視頻資源的播放。為此學(xué)校的各種資源訪問必須采用開放的形式，能夠被所有校園網(wǎng)絡(luò)用戶可以通過互聯(lián)的外部網(wǎng)絡(luò)直接使用學(xué)校信息資源和各種管理系統(tǒng)系統(tǒng)。

基于TCP/IP網(wǎng)絡(luò)的遠(yuǎn)程資源共享方式與資源的屬性有很大的關(guān)系，比如文件共享可以采用FTP的模式，用戶名和密碼認(rèn)證使用FTP工具軟件即可；EMAIL可以通過設(shè)置POP3和SMTP協(xié)議服務(wù)器，采用各種電子郵件客戶端來使用；各種信息管理系統(tǒng)也可以設(shè)置WEB模式提供通過外網(wǎng)的訪問；其他的資源必須采用專門的客戶端軟件，訪問控制信息資源的服務(wù)器才可以共享學(xué)校的資源。

當(dāng)前通過網(wǎng)絡(luò)共享高校資源的方式以可用性為目的，幾乎都是簡單的用戶名和密碼方式的簡單認(rèn)證。在開放的網(wǎng)絡(luò)中，該方式幾乎沒有什么安全性可言。懂得簡單網(wǎng)絡(luò)安全的人可以非常容易的盜用高校的網(wǎng)絡(luò)資源，比如CNKI、萬方數(shù)據(jù)庫、國內(nèi)外的各種專業(yè)數(shù)據(jù)庫或者實(shí)驗(yàn)室研究室的數(shù)據(jù)和成果。為了保護(hù)知識產(chǎn)權(quán)，提高信息資源的安全共享，多數(shù)系統(tǒng)服務(wù)采用指定IP地址范圍的形式限定網(wǎng)絡(luò)用戶，而采用公共網(wǎng)絡(luò)遠(yuǎn)程訪問用戶其IP地址幾乎是變化的，即使IP地址固定也會因?yàn)檫h(yuǎn)程使用用戶比較分散不容易控制；這些都限制了安全遠(yuǎn)程共享學(xué)校的信息資源，造成學(xué)生的學(xué)習(xí)與生活、教師科研人員的教學(xué)與研究變非常不方便。

為了提高信息資源的安全共享，應(yīng)為校外用戶與共享資源之間建立一個安全的通道，而且該通道的成本比較低，使用方便。最為簡單的形式是采用VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)）技術(shù)。VPN利用隧道技術(shù)，把數(shù)據(jù)封裝在隧道協(xié)議中，通過已有的公網(wǎng)建立隧道，從而實(shí)現(xiàn)點(diǎn)到點(diǎn)或端到端的聯(lián)接，構(gòu)建在邏輯上獨(dú)立于公網(wǎng)的專用網(wǎng)絡(luò)。但VPN需要通過特殊設(shè)計的硬件和軟件直接共享的IP網(wǎng)所建立虛擬的加密通道連接，也需要為每個局域網(wǎng)的資源提供一個專門的硬件服務(wù)器，或者交換機(jī)、路由器提供的VPN功能模塊，需要IPSec協(xié)議支持。這些限制了校外用戶對校內(nèi)信息資源的訪問。

對于WEB形式的信息資源可以采用SSL的方式加以控制，但是對于高校資源的使用來說，用戶一般是需求數(shù)據(jù)量很大，安全造成效率低，該方式只能局限于WEB形式。為此需要研究出符合校外用戶訪問校內(nèi)共享資源合適的方式，以不改變用戶使用習(xí)慣，可以方便安全高效的完成信息資源共享為目標(biāo)。

四、遠(yuǎn)程訪問策略

在WindowsNT中，遠(yuǎn)程連接的授權(quán)只能靠授予用戶賬戶撥入權(quán)限來實(shí)現(xiàn)，而Windows200OServer新增了遠(yuǎn)程訪問策略，可以更靈活、更方便地實(shí)現(xiàn)遠(yuǎn)程連接的授權(quán)，這樣就可以將用戶賬戶的撥入屬性和遠(yuǎn)程訪問策略結(jié)合起來實(shí)現(xiàn)復(fù)雜的訪問權(quán)限設(shè)置。

（一）遠(yuǎn)程訪問策略簡介

遠(yuǎn)程訪問策陷是針對遠(yuǎn)程連接（撥號連接或VPN連接）設(shè)置的一組條件和權(quán)限，用于規(guī)定用戶的遠(yuǎn)程訪問權(quán)限。用戶只有在符合遠(yuǎn)程訪問策略的前提下，才能連接到遠(yuǎn)程訪問服務(wù)器，并根據(jù)遠(yuǎn)程訪問策略的規(guī)定訪問遠(yuǎn)程訪問服務(wù)器及其網(wǎng)絡(luò)資源。使用遠(yuǎn)程訪問策略，可以根據(jù)所設(shè)條件（如時間限制、連接類型限制等）來授權(quán)。

Windows2000遠(yuǎn)程訪問服務(wù)器和Internet驗(yàn)證服務(wù)器（IAS）都使用遠(yuǎn)程訪問策略來限制連接嘗試。遠(yuǎn)程訪問策略集中在本地存儲，對于Windows2000遠(yuǎn)程訪問服務(wù)器來說，通過路由和遠(yuǎn)程訪問服務(wù)控制臺來集中管理，遠(yuǎn)程策略存儲在遠(yuǎn)程訪問服務(wù)器上；對于Windows200OIAS服務(wù)器來說，通過Internet驗(yàn)證服務(wù)管理器來管理，遠(yuǎn)程訪問策略集中存儲在IAS服務(wù)器上。如果將遠(yuǎn)程訪問服務(wù)器配置為RDIUS客戶機(jī)，則存儲在該遠(yuǎn)程訪問服務(wù)器上的策略將不再被應(yīng)用。

遠(yuǎn)程訪問策略與windows2000的組策略不同，遠(yuǎn)程訪問策略不能存儲在活動目錄中。

遠(yuǎn)程訪問策略實(shí)際上就是一種規(guī)則，由條件、遠(yuǎn)程訪問權(quán)限和配置文件（Profile）3個部分構(gòu)成。

條件就是應(yīng)用遠(yuǎn)程訪問策略的前提。如果有多個條件，連接嘗試應(yīng)匹配所有的條件。

遠(yuǎn)程訪問權(quán)限是由用戶賬戶遠(yuǎn)程訪問權(quán)限和遠(yuǎn)程訪問策路權(quán)限共同決定的，用戶賬戶遠(yuǎn)程訪問權(quán)限優(yōu)先于策略遠(yuǎn)程訪問權(quán)限。只有當(dāng)用戶賬戶上的遠(yuǎn)程訪問權(quán)限被設(shè)置為“通過遠(yuǎn)程訪問策略控制訪問”選項時，策略遠(yuǎn)程訪問權(quán)限才能決定是否授予用戶訪問權(quán)限。

配置文件用來進(jìn)一步限制連接，只有選中“授予遠(yuǎn)程訪問權(quán)限”選項，配置文件才能生效。

對每個用戶賬戶授予或拒絕遠(yuǎn)程訪問權(quán)限。

（二）遠(yuǎn)程訪問策略應(yīng)用流程

了解遠(yuǎn)程訪問策略作用的流程，便于管理員正確地應(yīng)用遠(yuǎn)程策略。當(dāng)用戶進(jìn)行連接嘗試時，將通過以下步驟逐步進(jìn)行檢查，以決定是否授予訪問權(quán)限。

1、首先檢查遠(yuǎn)程訪問策略列表中的第一個策略。如果沒有任何策略，將拒絕連接嘗試。

2、如果連接嘗試與該策略的所有條件都不匹配，則轉(zhuǎn)到下一個策略。如果沒有其他策略，則拒絕連接

如果一個策略中含有多個條件，就必須符合所有條件，才能算作匹配該策略。如果一個策略也沒有，將不能建立連接。如果連接嘗試沒有找到一個匹配的策略，也不能建立連接。

3、如果該策略的所有條件都與連接嘗試相匹配。則檢查嘗試連接的用戶賬戶的遠(yuǎn)程訪問權(quán)限設(shè)置。

4、根據(jù)用戶賬戶的遠(yuǎn)程訪問權(quán)限設(shè)置來決定下一步的連接嘗試。

如果選中了[拒絕訪問]，則拒絕連接嘗試。

如果選中了[允許訪問]，則通過檢查用戶賬戶屬性和策略配置文件屬性來決定連接嘗試。有兩種情況：（1）如果連接嘗試與用戶賬戶屬性和配置文件屬性的設(shè)置不匹配，則拒絕連接嘗試。（2）如果連接與用戶賬戶屬性和策路配置文件屬性的設(shè)置匹配，則接受連接嘗試。

如果選中[通過遠(yuǎn)程訪問策略控制訪問]，將通過檢查策略的遠(yuǎn)程訪問權(quán)限設(shè)置來決定連接嘗試。有兩種情況；（1）如果選中[拒絕遠(yuǎn)程訪問權(quán)限]，則拒絕連接嘗試。（2）如果選中[授予遠(yuǎn)程訪問權(quán)限]，則通過檢查用戶賬戶屬性和策略配置文件屬性來決定連接嘗試，還有兩種情況：（1）如果連接嘗試與用戶賬戶屬性和策略配置文件屬性的設(shè)置不匹配，則拒絕連接嘗試。（2）如果連接嘗試與用戶賬戶屬性和配置文件屬性的設(shè)置匹配，則接受連接嘗試。

5、如果接受連接嘗試，則將策略配置文件屬性應(yīng)用于遠(yuǎn)程連接。策略配置文件將最終決定是否拒絕連接嘗試，或者根據(jù)條件中斷已經(jīng)建立的連接。

如果連接與第一個匹配遠(yuǎn)程訪問策略的配置文件或用戶賬戶設(shè)置不匹配，則不會嘗試其他遠(yuǎn)程訪問策略。遠(yuǎn)程訪問策略按順序進(jìn)行嘗試，通常都是將較特殊的遠(yuǎn)程訪問策略按順序放置在較普遍的遠(yuǎn)程訪問策略之前。使用遠(yuǎn)程訪問策略，只有在連接嘗試的設(shè)置與遠(yuǎn)程訪問策略相匹配時，才會授權(quán)連接。如果連接嘗試的設(shè)置至少與遠(yuǎn)程訪問策略中的一個不匹配，不管用戶賬戶的撥入屬性如何設(shè)置，都將拒絕連接嘗試。

五、總結(jié)

遠(yuǎn)程訪問策略實(shí)際上就是一種規(guī)則，由條件、遠(yuǎn)程訪問權(quán)限和配置文件（Profile）3個部分構(gòu)成 遠(yuǎn)程訪問權(quán)限是由用戶賬戶遠(yuǎn)程訪問權(quán)限和遠(yuǎn)程訪問策路權(quán)限共同決定的，用戶賬戶遠(yuǎn)程訪問權(quán)限優(yōu)先于策略遠(yuǎn)程訪問權(quán)限。只有當(dāng)用戶賬戶上的遠(yuǎn)程訪問權(quán)限被設(shè)置為\"通過遠(yuǎn)程訪問策略控制訪問\"選項時，策略遠(yuǎn)程訪問權(quán)限才能決定是否授予用戶訪問權(quán)限。了解遠(yuǎn)程訪問策略作用的流程，便于管理員正確地應(yīng)用遠(yuǎn)程策略。

參考文獻(xiàn)：

[1]高校信息資源遠(yuǎn)程訪問研究，時間：2008作者：佚名.

[2]網(wǎng)絡(luò)訪問控制助網(wǎng)絡(luò)做到無懈可擊，作者：網(wǎng)管聯(lián)盟整理2003.

[3]基于策略的安全訪問控制系統(tǒng)在局域網(wǎng)中的應(yīng)，2003來自網(wǎng)絡(luò)文章.

[4]淺析高校圖書館網(wǎng)絡(luò)安全問題及其應(yīng)對策略，來源：網(wǎng)絡(luò)文章2008.

[5]如何創(chuàng)建訪問策略作者：協(xié)議分析網(wǎng)2007.