校園網建設中網絡安全機制的研究與分析

◆李秀峰

（長治學院計算機系 山西 046011）

校園網建設中網絡安全機制的研究與分析

◆李秀峰

（長治學院計算機系 山西 046011）

本文對校園網的安全需求進行了分析，闡述了新形勢下校園網面臨的安全問題，同時給出了相應的防范方法以及校園網的分層設計，從多個方面保證網絡的安全運行。

網絡安全；校園網；VPN；防火墻；入侵檢測

0 引言

網絡安全是指利用網絡管理的方法和一系列防護措施，保證計算機硬件和軟件在網絡環境中運行的完整性、可使用性、可靠性和保密性。[1]網絡安全從系統上可以分為物理安全和邏輯安全兩大類。其中物理安全是指計算機、交換機和路由器等設備及相關設施免于被人為破壞、偷盜或自然災害引起的損失等，即以上設備在物理屬性上應得到相應的保護；邏輯安全是指網絡上所傳輸數據的完整性、保密性、可用性和不可抵賴性。從網絡的本質上講，保證網絡安全就是使網絡用戶的數據不被破壞和竊取，這樣在網絡上傳輸的數據才有價值。目前快速發展的互聯網存在著很多不穩定的因素，例如網絡病毒和木馬攻擊，使得網絡傳輸受到不同程度的影響，甚至引起網絡服務長時間的中斷。比如前段時間爆發的“勒索”病毒就針對校園網和企業網用戶發動了攻擊，很多重要文檔被惡意加密，黑客利用這些文件向用戶索要贖金，給企業和個人造成了很大的經濟損失。校園網作為網絡中重要的一個層面，承擔著學校科研、教學以及大量學生訪問網絡的需求，為此需要制定一系列防御措施來保障一個快速、穩定和安全的校園網絡環境。

1 校園網絡的安全需求

1.1 無線網絡連接的安全性

由于校園的特殊性，網絡的大部分使用者是學生，在當今的信息時代，網絡隨行就顯得尤為重要。比如：在圖書館使用筆記本電腦、手機和 PDA設備等需要無線網絡的接入。因此，要保證校園網無線網絡接入方式的安全、高效和靈活多變。

1.2 安全的上網環境

網絡在使用過程中，由于訪問目標的不確定性，可能會造成部分主機受到病毒感染。所以，校園網還需要可以預防和發現網絡攻擊，并提供行之有效的打擊措施。例如：定期對網絡和服務器實行漏洞掃描和安全評測，找出服務器操作系統和數據庫系統中可能存在的安全威脅，及時進行改正并加強相應的防范措施；另外，實行嚴格的用戶接入認證、入侵檢測機制和訪問控制策略，防止網絡被內部用戶發起攻擊，同時杜絕不法分子利用系統缺陷對校園網進行非法訪問。

1.3 嚴格的管理制度

學校網絡中心需要制定完善的管理制度，加強對工作人員和使用者的安全操作培訓，提高對網絡威脅的警惕性。針對外部網絡已發生的安全事故要吸取教訓，采取對應的措施做好預防；對內部發生的安全問題，要積極處理，將病毒與木馬的破壞性限制在最小范圍內，避免受影響的范圍擴大。

2 校園網安全功能設計

通過一段時間的調查研究，針對校園網的安全需求給出了一套校園網的安全架構。該結構將校園網絡按照安全系數分成四個區域：外單位網絡區域、互聯網區域、內網區域、安全防護設施區域。外單位網絡與內網之間通過 VPN訪問；互聯網與內網之間進行單向隔離，即只允許大部分內網直接訪問外網，互聯網用戶要訪問內網服務器需要通過安全設施的審查與連接；防護設施設置于互聯網邊界和內部專網的連接處，如圖1所示。這樣可以將絕大部分不安全因素都排除在外，不會遺漏較大的安全隱患和遭受嚴重的網絡攻擊。下面對使用到的技術進行詳細的闡述。

圖1 區域劃分圖

2.1 VPN

全稱是“Virtual Private Network”，即“虛擬專用網”。它通過特殊的加密通信協議使得連接在Internet上位于不同地理位置的兩個或多個企業內部網之間建立一條專有的通訊線路。校園網可采用此種技術完成外單位網絡用戶訪問內部專網的工作，也可以方便出差在外的學校工作人員訪問內部辦公網絡。VPN 按協議類型可分為 3種，pptp、L2tp和 IPsec，其中前兩種工作在 OSI模型第二層，最后一種工作在第三層。校園網可采用 IPsecVPN技術建立從邊界路由器到核心路由器的 VPN 隧道，此隧道主要負責傳輸學校內部業務系統數據。總之，VPN 可以實現各系部處室到網絡中心的多業務數據傳輸、外單位訪問內部專網以及通信設備的遠程控制等功能。

2.2 安全掃描技術

利用網絡安全掃描技術對校園網進行定期與不定時的掃描，及時掌握網絡使用情況以及發現網絡中存在問題，此舉可降低校園網被攻擊風險，縮小受影響的范圍。[2]掃描技術的應用對網管人員有很大的幫助，管理人員通過安全掃描可以清晰的了解系統網絡環境是否受到攻擊以及是否存在有隱患的網絡服務等。還可以利用日志分析工具對所記錄的訪問日志進行統計并制作成分析統計圖，同時可以對訪問目標地址和通信流量進行分析，即時把控突發的異常流量，這樣就對網絡使用情況可以有一個整體掌控。

2.3 防火墻

防火墻作為保護內網的一道屏障，具有非常重要的作用。它位于網絡邊界，是一種內外網隔離的防護技術。它依據管理者制定的安全策略，對多個網絡之間數據通信進行安全檢查，對于符合策略的數據包執行相應的操作（允許或禁止通過），以此控制流量的走向，避免不合法的地址訪問目標網絡。防火墻的工作原理類似分析器、隔離器和限制器的結合，三者共同實現防火墻的功能。其可以有效控制內外網之間的數據通信，有效防止外部用戶借助不合法手段訪問內網盜取數據或破壞網絡運行環境。所以，防火墻重在保護內部網絡安全，是整個校園網安全防護的第一道屏障。

2.4 入侵檢測技術

入侵檢測技術是對計算機系統或網絡上的關鍵信息點進行收集和分析，從中找到危害網絡安全的蛛絲馬跡。從技術上進行劃分，其可分為異常檢測和特征檢測兩類：[3]第一種會將多數檢測點進行上報，漏報數據概率較低，但報送異常概率的失誤率很高，會耗費部分網絡帶寬；第二種是將所有已經獲取得到的攻擊性特征形成一個特征庫，利用該特征庫與截取到的異常特征進行比對，若比對成功則判斷其為網絡攻擊。這種方式的成功率很高，針對性極強，但對不屬于特征庫的攻擊識別率較低。

2.5 審計與監控

使用網絡安全監測系統結合安全掃描技術對網絡中傳輸的數據和信息進行監控和審計，通過對所有異常通信數據的采集以及使用日志審計工具分析，實現對校園網內部主機全天候網絡流量以及源和目的地址信息的詳細統計，此舉可以大幅提高網絡安全性，但會消耗部分網絡帶寬。于此同時還能夠將內網的網絡流量和狀態圖形化，直觀顯示目前的網絡狀況，便于管理員實時對設備進行遠程調控。

2.6 安全認證

采用 Web+DHCP的認證辦法防止未授權的無線用戶接入校園網。上網用戶首先需要將 IP地址設置為自動獲取，之后打開瀏覽器任意網頁，此時網頁會自動彈出Portal 認證頁面，輸入正確的用戶名和密碼方可接入網絡；同時使用 802.1x 端口認證技術配合RADIUS 認證服務器，對所有有線接入用戶的身份進行嚴格認證，防止未經授權的用戶接入網絡實行網絡攻擊或破壞網絡使用環境。還可以配合使用 ACL訪問控制列表來防止異常主機接入網絡。

2.7 容災備份

容災備份是指在距離間隔較遠的異地建立兩套或多套功能一致的系統，多套系統之間可以進行健康狀態監視和功能切換，當某地系統因意外或人為破壞無法正常工作時，整個應用系統可以無縫切換到另一處正常工作的系統。從其保護程度來分，可以將容災系統分為兩種：數據容災和應用容災。容災技術是保證系統高可用性的一種手段，是保證系統正常運行的最后一道防線。

2.8 人員管理

除了外部的網絡攻擊，校園網也會因為網管人員的操作不當或管理不善產生一些隱患，如：不定期安裝服務器系統更新、設置較為簡單的設備登錄密碼、隨意開放遠程管理權限以及沒有相應的操作規范和應急制度等。這些都是容易遭受黑客攻擊的原因之一。做好“堡壘”的內部防御是抵御網絡攻擊最為基礎的一環。不重視人員和制度管理，單純依靠網絡安全設備本身的作用來維護校園網安全是遠遠不夠的。

3 整體網絡結構劃分

從網絡拓撲結構上將校園網進行層次劃分：網絡中心為第一層，也是核心層，負責匯聚節點的連接和對外訪問；各系部處室為第二層，通過核心層與內外網絡互聯；各系部處室的分支機構為第三層。設計中要確實保障一級網絡即網絡中心的安全，同時不能影響其數據的高速轉發；另外還要分析各級網絡間的連通性和限制，如教務處網站要能被各部門工作人員和教師訪問；財務處與其他部門不能互通信息等。

4 結束語

通過對校園網安全需求的分析，給出了一套保障校園網安全運行的架構，并對整個校園網的拓撲結構進行了分層。綜合多種安全技術可以保證校園網在平穩運行的同時提高數據通信的安全性；另外，在運用網絡安全技術的基礎上，還提出要進一步增強校園網的制度管理，建立符合安全要求的管理體系，最終實現一個快速、安全和綠色的校園網。

[1]程龍泉.整體構建校園網絡安全體系的方法與實現[J].計算機安全，2012.

[2]崔洋洋.計算機網絡安全的隱患及對策的探討[J].網絡安全技術與應用，2013.

[3]石瑋.淺談計算機網絡安全與防御技術[J].計算機光盤軟件與應用，2010.