淺析校園網認證系統的安全問題

周武陽

摘要：伴隨著網絡技術的不斷發展，校園網絡安全成為了學校網絡管理單位關注的焦點，在保護網絡應用管理機制建立過程中，要積極落實網絡系統安全管控系統，提高信息化管理要求和教育價值，從而保證我國校園現代化教育工作得到有效拓展，進一步推動網絡安全穩定運行。該文從常用網絡安全技術分析入手，對校園網絡體系分析的具體因素進行了闡釋，并著重探討了校園網認證系統的安全體系，旨在為技術管理人員提供有價值的參考建議。

關鍵詞：校園網；認證系統；體系；安全問題

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）04-0037-02

網絡安全認證結構是一個較為復雜的系統化工程，要針對系統軟件和人員制度進行系統化分析，要結合網絡安全技術進行集中處理，從而保證不同安全問題能得到有效認證和處理，明確校園安全保護方面的需求，從而積極落實動態化安全模型，利用有效的解決方案，確保高效穩定網絡運行環境。

1 常用網絡安全技術分析

在實際網絡安全技術管理過程中，要針對實際管理結構建構系統化管控機制，目前，較為常用的網絡安全技術主要包括以下幾種。

第一，數據加密技術。在網絡管理機制中，數據加密技術是較為重要的安全技術結構，在實際技術應用過程中，主要是利用相應的加密算法建構系統化的計算模型。

第二，身份認證技術。在實際技術結構建立過程中，借助計算機以及網絡系統對操作者的身份進行集中關注，并且按照身份信息以及特定數據進行綜合分析，計算機借助用戶數字身份對用戶身份的合理性。要結合物理身份以及數字身份的對應進行集中處理，從而保證相應數據的安全性。

第三，防火墻技術。防火墻是網絡安全的基本屏障，也是內部網絡安全性提升的重要技術結構，主要是借助相關軟件和系統對不安全流量以及風險進行集中處理，確保安全隱患得到有效維護，利用協議對內部網絡進行集中處理。在防火墻技術中，要對網路存取以及訪問記錄進行集中審計。

2 校園網絡體系分析

2.1校園網絡認證系統

在校園網絡體系建立過程中，要針對相應問題進行集中處理，作為高校信息化的基本平臺和基礎設施，在實際工作中承擔著非常重要的作用。因此，要結合高校實際建立切實有效的校園網認證系統，從技術結構層面要積極落實自身網絡規模和運營特點，確保校園網絡體系認證系統能滿足安全高效的工作管理機制。目前，多數高校校園網絡都利用以太網，建立局域網標準，并且結合相應的網絡體系建構校園網認證模式。

利用以太網對接入認證方式進行處理，主要是利用PPPoE認證模式、802.1認證模式以及Web認證模式等，能結合相關協議對其邏輯點進行綜合連接。在認證機制管理過程中，要對認真協議以及訪問控制進行綜合分處理，從而支持業務和流媒體業務處理業務，確保應用效果切實有效。

2.2校園網絡安全問題分析

在校園網絡安全管理過程中，要結合相關問題進行集中處理，并且積極落實有效的高校信息化建設機制，在校園網運行過程中，主要是針對高校教育以及科研基礎設施進行綜合管控，承擔科研以及管理任務。網絡實際應用過程中，會區別于商業用網絡以及政府用網絡。其一，網絡組成結構較為復雜，分為核心、匯聚以及接入等層次，會直接分別劃分為教學子網絡、辦公子網絡以及宿舍子網絡等，在對其接入方式進行分析時，并且建構雙出口結構。利用多層次和雙出口特征，導致校園網運行結構中存在復雜網絡環境。其二，在高校校園網運行過程中，網絡應用系統和功能較為復雜，同時要滿足教學信息交流和科研活動，在運行電子郵件系統和網絡辦公系統的基礎上，教學中應用在線教學系統，日常生活應用一卡通系統，提高整體應對安全隱患的能力。

2.3校園網絡安全需求分析

在校園網絡安全需求分析過程中，需要對校園網絡進行分層管理，確保管控機制和管理維度的有效性，作為大型網絡區域，需要對相關協議以及網絡運行結構進行細化處理和綜合解構。在處理校園網絡系統物理結構和安全問題方面，需要技術人員結合校園的實際問題建構有效的校園網認證系統。由于網絡應用人群數量基數較大，且安全隱患性問題較多，需要建構系統化且具有一定實際價值的校園網安全支持系統。

在對網絡安全需求結構進行分析的過程中，第一，建立網絡邊緣安全區域，網絡邊緣安全主要是在校園網和外界網交界處，利用相應的訪問數據管理機制，對其進行集中管控。主要包括接入校園內網、信息共享上網體系、遠程訪問服務網絡、發布服務器、接入CERNET，接入CHINANET等，能禁止外部用戶非法訪問校園網數據，隱藏校園網內網的IP，并且能為校園網提供更加安全可靠的遠程訪問服務項目。第二，建立匯聚安全區，應用校園網絡骨干節點，并且對網絡之間的高速以及穩定進行集中處理。第三，服務器安全區域，要結合外服務器區域以及內服務區域，對其內容和信息進行集中處理，并且保證高風險區域得到有效處理，以保證通訊結構不受到影響。校園網應用系統較多，要對安全性進行針對性分析，確保實施隔離后各個區域能滿足相應的管理需求。第四，接入網安全區，在接入網安全問題處理過程中，由于越來越多的病毒會導致二層協議受到漏洞影響，校園接入網絡的布點較多，人員組成較為復雜，針對端口環路問題要進行集中管理和層級化處理，確保相應的安全性得到有效維護。

3 校園網認證系統的安全體系

3.1校園網認證系統的安全風險和應對措施

在校園網認證系統建立和運行過程中，要對校園網認證安全風險進行綜合評估。

其一，應用層面對的安全風險，主要包括病毒木馬攻擊、緩沖區溢出問題、逆向工程問題、注冊表供給問題以及社交工程問題等。攻擊依賴關系中主要是ARP攻擊、Sniffer攻擊以及病毒直接攻擊等。針對上述問題，技術人員要提高程度的安全性，并且確保學生能提高安全防護意識，而對于ARP攻擊項目，需要應用高安全性加密算法取代弱加密算法，并且寶恒用戶登錄信息不會存儲在注冊表內。

其二，表示層、會話層、傳輸層的安全風險，主要是來自URL的編碼攻擊、會話劫持問題以及DOS攻擊等，依賴的是Sniffer攻擊，需要技術人員針對相關問題進行集中的技術升級和綜合處理。

其三，傳輸層的安全風險，主要是來自于IP地址的攻擊，需要技術人員針對相應適配結構安裝有效的防火墻。

其四，數據鏈路層的安全風險，主要是來自于ARP攻擊，依賴關系是Sniffer攻擊，利用相應的ARP地址綁定能有效的應對相關問題，建構更加有效的管理系統。

其五，物理層的安全風險，主要是Sniffer攻擊以及直接攻擊，針對上訴問題，需要技術人員利用相應的手段對POST進行有效消除，并且去掉數據中的MAC地址密文，以保證有效地減少秘鑰泄露問題，并且要指導學生提高網絡安全防護意識。

3.2校園網認證系統的接入層安全設計

在校園網絡系統中，接入層是和用戶終端相連的重要結構，在實際認證系統建立過程中，由于接入層的交換機需要承受終端的流量攻擊，因此，技術人員需要對其進行集中處理和綜合管控，確保其設計參數和應用結構的有效性。

其一，利用ARP欺騙技術，對于相應的緩存信息進行集中處理和綜合維護，并且保證相應參數結構不會對網絡安全運行產生影響，也能針對ARP攻擊進行有效應對，從而建立切實有效的防御體系，借助修改攻擊目標的ARPcache表實現數據處理，從而提高校園網認證系統的安全性。

其二，用戶身份認證部署結構，為了更好地滿足校園網的安全需求，要積極落實有效的管理模式，由于接入用戶識別和認證體系存在問題，需要對網絡接入控制模型進行集中處理和綜合管控，提高認證結構資源維護機制的同時，確保相應認證結構得以有效處理。

3.3校園網認證系統的網絡出口安全設計

校園網認證系統建立過程中，出口安全設計是整個網絡安全體系中較為重要的項目參數結構，需要技術人員針對其網絡通道進行系統化分析和綜合處理，確保安全設計內部網絡和外部資源結構之間建立有效的平衡態關系，并對性能問題和內網訪問速度，并對光纖服務器進行綜合分析。

3.4校園網認證系統的網絡核心層安全策略

網絡核心層是交換網絡的核心元件，也是安全策略得到有效落實的基本方式，核心層設計要對其通信安全進行集中處理，并有效配置ACL策略，對其進行訪問控制，從而保證端口過濾得到有效管理。在核心層管理過程中，要對VLAN進行有效劃分，也要對安全訪問控制列表進行有效配置，對不同子網區域之間的訪問權限進行有效管理，為了進一步提高關鍵業務實現系統的獨立，從而保證網絡管理系統和隔離系統的優化，實現有效的數據交互，確保訪問權限得到有效分類，也為系統整體監督管理的優化奠定堅實基礎，并且積極落實相應的配置方案。只有對病毒端口進行集中過濾，才能保證網路端口的掃描和傳播模型進行分析，有效處理病毒傳遞路徑，保證訪問控制列表的有效性，真正落實病毒端口過濾的管理路徑，保證管理維度和管理控制模型的有序性。

4 結束語

總而言之，校園網認證系統的管理問題需要得到有效解決，結合組織結構和網絡多樣性進行系統升級，并針對地理區域特征和網絡基礎設施等特征建構系統化處理模型，對于突發性網絡需求以及校園網網絡堵塞等問題進行集中處理和綜合管控，從根本上提高校園網網絡維護和管理效率。在提高各個層次網絡安全性的同時，積極建構更加安全的校園網認證系統，實現網絡管理項目的可持續發展。

參考文獻：

[1] 杜民.802.1x和web/portal認證協同打造校園網認證系統[J].山東商業職業技術學院學報，2015，10（6）：104-107.

[2] 馮文健，郭小鋒.利用RouterOS Hotspot認證架構低成本校園網認證系統[J].柳州師專學報，2016，24（3）：131-133.

[3] 廖曉群，田志英，趙安新等.用戶自主服務引入校園網認證系統讓計費變得人性化[J].中國教育網絡，2015，11（9）：52-54.

[4] 吳賢平.基于802.1x的校園網用戶身份認證設計與實現[J].制造業自動化，2013，34（9）：47-49.