校園網(wǎng)絡(luò)安全體系的設(shè)計(jì)與應(yīng)用分析

鄒 珺 劉 婷 范志勤

（江西現(xiàn)代職業(yè)技術(shù)學(xué)院，江西南昌330095）

1、概述

校園網(wǎng)絡(luò)安全體系必須保證網(wǎng)絡(luò)的安全。校園網(wǎng)安全體系具有以下幾個(gè)方面的特點(diǎn)：一是整體性。多個(gè)局域網(wǎng)統(tǒng)一在一個(gè)管理體系下，可以有多個(gè)管理中心，但從物理結(jié)構(gòu)上來講是一個(gè)整體。二是互動性。統(tǒng)一的管理體系最大的優(yōu)點(diǎn)就是互動和共享，不同的信息節(jié)點(diǎn)可以把收集到的信息提供給管理中心，管理中心可以把這些信息歸類匯總后提供給其他節(jié)點(diǎn)，同時(shí)管理中心在遇到突發(fā)事件時(shí)也可以通過網(wǎng)絡(luò)協(xié)調(diào)各節(jié)點(diǎn)及時(shí)處理。三是綜合性。高校的許多職能都實(shí)現(xiàn)了一體化數(shù)字校園，總結(jié)起來可以分為五大類，即：科研業(yè)務(wù)、教學(xué)業(yè)務(wù)、管理業(yè)務(wù)、服務(wù)保障業(yè)務(wù)、政工業(yè)務(wù)。四是服務(wù)性。建設(shè)網(wǎng)絡(luò)的最終目的是為了服務(wù)。

2、設(shè)計(jì)原則

一體化數(shù)字校園建設(shè)是一個(gè)長期而不斷擴(kuò)展的過程，必須有統(tǒng)一的建設(shè)規(guī)劃、組織管理以及建設(shè)標(biāo)準(zhǔn)，所以在一體化數(shù)字校園網(wǎng)絡(luò)的建設(shè)過程中應(yīng)該進(jìn)行整體的數(shù)字校園規(guī)劃，執(zhí)行統(tǒng)一與規(guī)范的數(shù)據(jù)標(biāo)準(zhǔn)，加強(qiáng)信息中心技術(shù)人員隊(duì)伍建設(shè)，建立項(xiàng)目監(jiān)督與控制等靈活有效的運(yùn)行機(jī)制。

在設(shè)計(jì)實(shí)施中應(yīng)遵循以下原則：一是實(shí)際需求為前提原則；二是性價(jià)比最佳原則；三是硬件選型原則；四是可擴(kuò)展性原則。

3、校園網(wǎng)絡(luò)安全體系架構(gòu)

3.1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)的實(shí)現(xiàn)

確定了網(wǎng)絡(luò)安全設(shè)計(jì)思想以后，就可以以網(wǎng)絡(luò)安全設(shè)計(jì)的形式來實(shí)現(xiàn)。由設(shè)計(jì)思想到網(wǎng)絡(luò)設(shè)計(jì)的實(shí)現(xiàn)，需要一系列的步驟，依據(jù)需求分析、設(shè)備選型、服務(wù)應(yīng)用等來確定網(wǎng)絡(luò)安全設(shè)計(jì)的實(shí)現(xiàn)。校園網(wǎng)絡(luò)安全設(shè)計(jì)的實(shí)現(xiàn)必須要包含以下要素[1]：一是硬件設(shè)備安全特性；二是防火墻；三是核心交換機(jī)；四是入侵檢測系統(tǒng)（IDS）；五是校園網(wǎng)監(jiān)測報(bào)警系統(tǒng)；六是授權(quán)原則。

校園網(wǎng)安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，如圖1所示：

3.2 規(guī)劃vlan

校園網(wǎng)共分為兩部分：內(nèi)網(wǎng)和外網(wǎng)，中間由防火墻隔開。內(nèi)網(wǎng)劃分為不同的vlan，分別用于學(xué)校內(nèi)部的教學(xué)、科研、管理和娛樂等。內(nèi)網(wǎng)訪問外網(wǎng)需要特別授權(quán)，在學(xué)校以外的地方可以通過vpn通道來存取內(nèi)部網(wǎng)的資源。內(nèi)網(wǎng)設(shè)備主要包括認(rèn)證服務(wù)器、Web服務(wù)器的代理服務(wù)器、域名服務(wù)器、郵件服務(wù)器、文件服務(wù)器等等。認(rèn)證服務(wù)器負(fù)責(zé)用戶證書的生成、發(fā)布、維護(hù)和用戶身份的鑒別，同時(shí)，它也起著協(xié)調(diào)Web服務(wù)器和數(shù)據(jù)庫服務(wù)器工作的作用。Web服務(wù)器主要提供學(xué)校的門戶網(wǎng)站服務(wù)，有條件地向外提供學(xué)校的信息數(shù)據(jù)。代理服務(wù)器(或應(yīng)用網(wǎng)關(guān))是內(nèi)網(wǎng)與公網(wǎng)、公網(wǎng)和Internet之間的橋梁和關(guān)卡[2]，一方面協(xié)助相鄰兩個(gè)網(wǎng)段的信息互訪，另一方面適當(dāng)?shù)乜刂苾烧咧g的信息交流。

VLAN即虛擬局域網(wǎng)是一種通過局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)，是分組式廣播網(wǎng)絡(luò)，每個(gè)VLAN對應(yīng)著一個(gè)廣播域，它以軟件方式來實(shí)現(xiàn)邏輯工作組的劃分和管理，邏輯工作組的結(jié)點(diǎn)組成不受結(jié)點(diǎn)物理位置的限制。工作組成員可分屬不同的物理網(wǎng)段，同時(shí)不同的物理網(wǎng)段也可以是同一個(gè)工作組。虛擬局域網(wǎng)的實(shí)現(xiàn)方式主要有三種：靜態(tài)端口分配、動態(tài)虛擬網(wǎng)和多虛擬網(wǎng)端口配置[3]。

靜態(tài)虛擬網(wǎng)是一種普遍使用的VLAN劃分方法，它是通過設(shè)置交換機(jī)的端口到一個(gè)廣播域來實(shí)現(xiàn)的。基于端口的VLAN需要設(shè)置每臺交換機(jī)的每個(gè)端口，雖然這種設(shè)置有些麻煩但相對安全、容易配置和維護(hù)。

動態(tài)虛擬網(wǎng)的端口是根據(jù)每個(gè)主機(jī)的MAC地址來劃分的，即對每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)工作組。這種劃分VLAN的方法的最大優(yōu)點(diǎn)就是用戶可以靈活地改變交換機(jī)端口，而VLAN不重新配置。它的缺點(diǎn)就是初始化比較麻煩，初始時(shí)每臺主機(jī)的MAC都要加入到MAC表中。

多虛擬端口配置支持一臺主機(jī)或某一端口同時(shí)訪問多個(gè)虛擬網(wǎng)，可以實(shí)現(xiàn)讓多個(gè)虛擬網(wǎng)的鏈接，只需要一個(gè)路由端口就可完成，但這樣會帶來安全上的隱患[4]。

3.3 域控系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

域技術(shù)是微軟為了提高大型網(wǎng)絡(luò)的管理效率與安全性而提出的管理局域網(wǎng)的思路。通過域可以實(shí)現(xiàn)在一個(gè)統(tǒng)一的平臺上對局域網(wǎng)網(wǎng)絡(luò)采取一些統(tǒng)一的管理策略。

某高校校園網(wǎng)系統(tǒng)的安全是建立在域控的基礎(chǔ)上的。利用域控技術(shù)，使用域賬戶可以登錄本域中的任何主機(jī)，使用域賬戶登錄可以訪問本域中的所有授權(quán)資源，本域中的系統(tǒng)管理員可以通過委派授權(quán)域賬戶來提高系統(tǒng)的安全性和集中管理賬戶。采用微軟的域控技術(shù)可以對高校校園區(qū)中的主機(jī)進(jìn)行環(huán)境集中管理、軟件集中管理和安全集中管理，域控的優(yōu)點(diǎn)就是可以按照統(tǒng)一的原則集中建立安全策略，限定入網(wǎng)的機(jī)器所使用的軟件，統(tǒng)一客戶端桌面、統(tǒng)一IE、統(tǒng)一TCP/IP設(shè)置等[5]。

4、預(yù)警與反應(yīng)中心的設(shè)計(jì)與實(shí)現(xiàn)

預(yù)警和反應(yīng)中心的設(shè)計(jì)是對保障信息網(wǎng)絡(luò)安全的一個(gè)必要的補(bǔ)充，是當(dāng)網(wǎng)絡(luò)出現(xiàn)不正常現(xiàn)象時(shí)管理員進(jìn)行錯(cuò)誤分析和判斷的有力手段，可以有效防止類似于某臺機(jī)器由病毒等造成的網(wǎng)絡(luò)不正常現(xiàn)象。可以應(yīng)用一套功能強(qiáng)大的網(wǎng)絡(luò)故障偵測工具快速診斷網(wǎng)絡(luò)故障原因，并提出具體的解決辦法，然后由工作人員現(xiàn)場或遠(yuǎn)程解決故障。其組織結(jié)構(gòu)如圖2所示：

5、總結(jié)

通過對一體化數(shù)字校園網(wǎng)絡(luò)安全體系的分析，經(jīng)過測試，達(dá)到了預(yù)期效果。但從校園網(wǎng)的繼續(xù)發(fā)展來看，校園網(wǎng)安全的實(shí)施將不斷進(jìn)步，但同時(shí)病毒、黑客攻擊的技術(shù)也在不斷發(fā)展，安全威脅依然存在。如何應(yīng)對新的病毒、黑客技術(shù)的發(fā)展，如何在新的安全威脅的前提下進(jìn)一步提高數(shù)字校園網(wǎng)的系統(tǒng)性能、安全體系和穩(wěn)定運(yùn)行,這是我們下一步的研究課題。

[1]雷震甲.網(wǎng)絡(luò)工程師教程[M].清華大學(xué)出版社，2007.

[2]胡秀建.校園網(wǎng)絡(luò)安全現(xiàn)狀剖析及解決方案[J].宿州教育學(xué)院學(xué)報(bào)，2011,(1).

[3]邵軍,雷雨.淺析高職院校校園網(wǎng)絡(luò)安全與防范策略[J].湖北水利水電職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2009,(4).

[4]張華.淺析高校校園網(wǎng)絡(luò)的安全管理[J].信息系統(tǒng)工程，2012,(10).

[5]韋巍，樂國友.澳民策略在網(wǎng)絡(luò)安全中的應(yīng)用[J].法制與經(jīng)濟(jì)，2006,(4).