校園網安全系統的設計

單守雪

摘要：校園網的安全需要一個完善的網絡安全體系防范體系，這是個復雜的系統工程，校園網是否安全，關系著學校是否能健康穩定的發展，也關系著相關的教學活動是否能正常順利開展，因此校園網安全建設是十分重要的。本文以亳州師專校園網建設為背景，提出了校園網絡安全系統的建設目標，從物理層、網絡層、系統層、應用層、安全管理等幾個方面，對校園網絡安全系統的構建進行設計。

關鍵詞：校園網 校園網絡安全 安全系統

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2016）06-0196-01

1 亳州師專校園網絡安全系統設計目標

校園網絡安全系統設計目標是為整合各業務系統的校園網設計一整套的網絡安全方案，用以確保校園網安全、穩定、高效的運行。通過校園網，教師可以查閱資料、進行科研和教學活動；學生可以進行網上學習、生活；管理者方便管理整個網絡；校外人員可以訪問校園網站；各業務系統充分發揮各自性能，為部門提高辦公效率。而這一切都是在一個安全、可靠的網絡環境下進行的，不必擔心受到黑客的攻擊和病毒的侵襲。

亳州師范高等專科學校校園網絡安全應該實現以下內容：（1）組織人員管理、維護設備，確保網絡系統線路、設備安全。安裝網絡設備管理系統監控設備運行情況。（2）與互聯網的連接要部署入口防火墻、設定好過濾規則。（3）制定科學合理的安全策略、開啟網絡設備的安全配置。（4）部署入侵檢測系統，防止黑客攻擊。（5）部署校園網防病毒系統，要網絡殺毒和單機殺毒相結合。每個子系統都要安裝殺毒軟件。（6）建立身份認證機制，阻止黑客統入侵系統。（7）制定安全管理制度。

2 校園網絡安全系統設計原則

（1）整體性：校園網是一個復雜的系統工程，要從整體上對校園網進行安全設計，任何一部分的安全缺陷都會給校園網帶來安全威脅。

（2）等級一致性：校園網將用戶分等級進行管理，對不同等級的授予不同的訪問權限，禁止越權訪問。各系統數據互通、采用統一的安全標準。

（3）技術與管理相結合：將先進的安全防護技術結合人員管理，實現技術、人員雙重保護。

（4）經濟實用：考慮到學校投資經費有限，要結合學校網絡安全需求，制定科學合理經濟實用的安全方案。

（5）動態發展：校園網隨著使用人員的增加和應用軟件的增多，系統不斷的變化發展，安全體系要能適應網絡的發展，滿足新的網絡安全需求。

3 校園網絡安全防范體系及安全設計

針對亳州師專校園結構的特點結合安全管理目標，對校園安全系統采用分層設計：

（1）物理層安全設計。亳州師專校園網物理層設計主要需要做如下幾項工作：1）對中心機房安裝避雷設備；2）主機房安裝恒溫空調，控制溫度，增加濕度控制；3）校園網主機房禁止無關人員進入，加強人員管理；4）增加備用電源；5）管理人員使用網絡管理系統，及時發現出現問題的設備和線路并進行維修。

（2）網絡層安全設計。網絡層的安全主要看網絡流量是否得到控制。網絡層每一個來訪的用戶都具有獨立IP地址。根據這一IP地址，目標網站能分析出這個用戶來自哪里，有沒有權限和有什么樣的權限來使用網絡。如果發現有來自不安全的網站的數據，就將其拒之門外。為了實現對網絡的控制，通常采用的是安裝防火墻和建立VPN這兩種技術。防火墻的安全和部署可以檢測來訪網絡流量，將未經授權的用戶阻擋在網絡外。虛擬專用網技術（VPN）在公用網的基礎上開辟一條專用通道，通過加密技術對數據進行傳輸，確保了數據的安全。

（3）系統層安全設計。針于亳州師專學校系統層存在的安全問題，需要進行下列工作：①制定操作系統安全策略；②關閉不必要的服務；③關閉不必要的端口；④開啟審核策略；⑤開啟口令策略；⑥開啟賬戶策略；⑦備份敏感文件；⑧禁止建立空連接：攻擊者通過網絡請求，建立空連接可以獲取主機的用戶列表，攻擊者能利用用戶列表進行暴力破解，因此要禁止建立空連接。⑨下載最新補丁：操作系統同其它軟件一樣，可能在使用過程中會出現這樣或那樣的漏洞。系統管理員應該經常關注漏洞情況，及時下載和安裝漏洞補丁，以增強操作系統的安全性。

（4）應用層安全設計。應用層安全是應用程序的安全。應用安全作為信息安全的一部分，主要內容包括應用程序運行安全和應用資源安全兩方面。為了保障應用安全，需要加強應用系統在安全性方面的設計與設置，防止在運行過程中發生應用系統不穩定、不可靠和資源被非法訪問、篡改等安全事件。亳州師專校網應用層安全是指確保亳州師專學校校園網內各應用業務系統如：校園網站站群管理、教學管理系統、資產管理系統、財務管理系統、人事管理系統等的安全，確保各業務系統網絡穩定、可靠、安全的運行。對應用資源安全防護來講，應用安全的目標很明確：一是合法用戶能夠通過安全策略合法地訪問業務資源；二是不讓攻擊者訪問、篡改任何受保護的資源。

（5）安全管理設計。校園網的安全管理設計到每個使用校園網絡的人，管理者要根據亳州師專校園的安全需求制定科學合理的網絡安全管理制度，成立網絡安全領導小組，建立合適的信息安全管理組織框架，以保證在校園網管理上的安全。

校園網的安全需要一個完善的網絡安全體系防范體系，這是個復雜的系統工程。網絡安全體系防范體系不僅需要先進的網絡安全技術還需要建立對網絡安全的人員配置、制定網絡安全管理制度。亳州師專校園網絡同其他網絡系統一樣也是分層的結構，在設計上我們從物理層、網絡層、應用層、系統層逐層進行了安全設計，將多種安全協議和安全策略進行配合，多種安全產品的聯動，形成一種協調不同層面網絡的安全問題的監管體系。放火墻的安裝和部署、防病毒軟件、IDS、VPN、數據的恢復和備份等安全技術和安全設備整合起來，各負其責、相互合作，形成一個集預防、檢測、響應、攻擊中的防范、攻擊后的系統恢復等功能的一個安全體系。

參考文獻

[1]夏棟梁，劉玉坤.校園網安全系統的設計與實現[J].網絡安全技術與應用，2011（9）.

[2]劉偉平，張玉榮，劉青.淺議校園網絡安全[J].電腦知識與技術，2009（2）.