淺談校園網網絡安全設計與方案

張貴安

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）03-0010-01

隨著互聯網的高速發展和教育信息化進程的不斷深入，校園網在學校教學、科研和管理中的作用越來越重要， 校園網越來越得到普及，同時學校校園網絡安全問題也日益突出，而制定一個完善的網格解決方案成為重要。因此網絡的安全防護需采用分層次的拓撲防護措施。即一個完整的校園網網絡信息安全解決方案應該覆蓋網絡的各個層次，并且與安全管理相結合。

一、網絡信息安全系統設計對策

為了滿足因特網的分級管理需求根據Internet網絡規模大、用戶眾多的特點，對Internet信息安全實施分級管理的解決方案，可以對它的控制點分為三級實施安全管理。[1]

第一級：中心級網絡，主要實現內外網隔離；內外網用戶的訪問控制；內部網的監控；內部網傳輸數據的備份與稽查。

第二級：部門級，主要實現內部網與外部網用戶的訪問控制；同級部門間的訪問控制；部門網內部的安全審計。

第三級：終端/個人用戶級，實現部門網內部主機的訪問控制；數據庫及終端信息資源的安全保護。

需求、風險、代價平衡的原則對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。[2]

一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。[3]可用性原則安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 分步實施原則：分級管理分步實施由于網絡系統及其應用擴展范圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

二、網絡信息安全系統設計步驟

第一步：進行網絡安全需求分析，確立合理的目標基線和安全策略

第二步：明確準備付出的代價，制定可行的技術方案

第三步：工程實施方案（產品的選購與定制）

第四步：制定配套的法規、條例和管理辦法

三、網絡安全需求與措施手段

1.安全需求

局域網LAN內部的安全問題，包括網段的劃分以及VLAN的實現，在連接Internet時，如何在網絡層實現安全；應用系統如何保證安全性；如何防止黑客對網絡、主機、服務器等的入侵；如何實現廣域網信息傳輸的安全保密性；加密系統如何布置，包括建立證書管理中心、應用系統集成加密等 。

2.措施

信息安全信息傳輸安全（動態安全）數據加密數據完整性鑒別安全管理信息存儲安全（靜態安全）數據庫安全終端安全信息的防泄密信息內容審計用戶鑒別授權（CA）；網絡安全訪問控制（防火墻）網絡安全檢測入侵檢測（監控） IPSEC（IP安全）審計分析鏈路安全鏈路加密

3.手段

設立防火墻。利用防火墻，可以實現內部網（信任網絡）與外部不可信任網絡（如因特網）之間或是內部網不同網絡安全域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結合。包過濾防火墻通常基于IP數據包的源或目標IP地址、協議類型、協議端口號等對數據流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；其缺點是對每種應用協議都需提供相應的代理程序，并且基于代理的防火墻常常會使網絡性能明顯下降。應指出的是，在網絡安全問題日益突出的今天，防火墻技術發展迅速，目前一些領先防火墻廠商已將很多網絡邊緣功能及網管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。

四、校園網網絡安全解決方案

強化防護體系（包過濾+NAT+計費+代理+VPN+網絡安全檢測+監控） 用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項

1.網絡安全性檢測（包括服務器、防火墻、主機及其它TCP/IP相關設備）

2.操作系統安全性檢測·網絡監控與入侵檢測

解決方案：選用網絡衛士防火墻PL FW2000+網絡安全分析系統+網絡監控器

五、加強網絡安全管理制度建設

“三分技術、七分管理”，網絡安全尤為如此。各學校要根據校園網的實際情況，制定并嚴格執行有效的安全管理制度。如：校園網網絡安全管理制度、網絡主干管理與維護制度、校園網非主干維護制度、網絡安全管理崗位職責、網絡運行管理制度、主頁維護管理制度、校園網信息發布與管理制度、病毒防治管理制度、重要數據備份與管理制度等。[4]此外，為更加有效控制和減少校園網絡的內部隱患，各學校必須制定網絡行為規范和違反該規范的具體處罰條例。

參考文獻

[1]王剛.分層局域網網絡安全解決方案[J]《廣西師范學院學報（自然科學版）》，2004年.

[2]凌星成.中山技校校園網安全性設計與實施[D]，2008年 電子科技大學

[3]陸勇峻.基于路由器動態認證的網絡安全模型的研究[D]，2001年 上海交通大學.

[4]尚禮斌.論校園網網絡安全[J]《新西部（下旬刊）》，2011年.