前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了探討校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)方案范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
摘要:針對(duì)某高校校園網(wǎng)的智慧校園信息系統(tǒng)的具體需求進(jìn)行了全面的分析、論證、構(gòu)思,開(kāi)發(fā)出了一整套結(jié)合實(shí)踐、包括多種防御手段的三位一體化網(wǎng)絡(luò)安全防御模型,構(gòu)建了某高校的智慧校園信息系統(tǒng)結(jié)構(gòu),包括VLAN的劃分,VLAN間路由、防火墻的訪問(wèn)控制列表和地址的轉(zhuǎn)換、校園網(wǎng)客戶端認(rèn)證系統(tǒng)的建設(shè)及防護(hù)功能的設(shè)置(驗(yàn)證、授權(quán)、計(jì)費(fèi))。依據(jù)某高校校園網(wǎng)建設(shè)的實(shí)際情況進(jìn)行了信息安全、信息防護(hù)技術(shù)分析,然后具體給出了網(wǎng)絡(luò)安全策略在校園網(wǎng)應(yīng)用的解決方案。經(jīng)過(guò)一段時(shí)間的運(yùn)行測(cè)試表明,目前該方案合理可行,能夠基本滿足某高校校園網(wǎng)的正常平穩(wěn)運(yùn)行需求。
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;防火墻技術(shù);網(wǎng)絡(luò)病毒;校園網(wǎng)
引言
隨著學(xué)校的發(fā)展進(jìn)入快車(chē)道,由于學(xué)生人數(shù)規(guī)模急劇增加和學(xué)校辦學(xué)層次顯著提升,十多年之前設(shè)計(jì)的校園網(wǎng)無(wú)論從網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)防護(hù)要求均無(wú)法滿足現(xiàn)有的網(wǎng)絡(luò)需求。為了解決校園網(wǎng)絡(luò)的信息安全防護(hù)問(wèn)題,我們應(yīng)根據(jù)智慧校園網(wǎng)絡(luò)安全防護(hù)的實(shí)際需求,在現(xiàn)有的網(wǎng)絡(luò)設(shè)備基礎(chǔ)上對(duì)該高校的校園網(wǎng)絡(luò)安全防護(hù)進(jìn)行了規(guī)劃和設(shè)計(jì)。該高校三大網(wǎng)絡(luò)活動(dòng)區(qū)互聯(lián)工程利用VPN技術(shù)連接,基于開(kāi)放的互聯(lián)網(wǎng)平臺(tái),完成三大網(wǎng)絡(luò)活動(dòng)區(qū)的網(wǎng)絡(luò)安全互聯(lián),構(gòu)建極速、高效、穩(wěn)定的互聯(lián)網(wǎng)絡(luò)區(qū),所以某高校數(shù)字化信息校園網(wǎng)的建設(shè)亟待啟動(dòng)。
1校園網(wǎng)安全系統(tǒng)需求分析
1.1該校園網(wǎng)基本概況
該高校校園主要包括南區(qū)宿舍樓網(wǎng)絡(luò)區(qū)域、東區(qū)宿舍樓網(wǎng)絡(luò)區(qū)域、西區(qū)行政辦公網(wǎng)絡(luò)區(qū)域三個(gè)區(qū)域。三個(gè)網(wǎng)絡(luò)區(qū)域彼此之間空間跨越大,實(shí)現(xiàn)網(wǎng)絡(luò)互通的難度也是可想而知的[1]。經(jīng)過(guò)近二十年的不懈努力,該高校三大網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)互通基本實(shí)現(xiàn)。校園網(wǎng)設(shè)計(jì)的初衷就是為了實(shí)現(xiàn)以數(shù)據(jù)監(jiān)控為核心網(wǎng)絡(luò)管理體系,全網(wǎng)網(wǎng)絡(luò)監(jiān)控管理的核心部門(mén)網(wǎng)絡(luò)數(shù)據(jù)中心行使這一權(quán)利。
1.2校園網(wǎng)安全設(shè)計(jì)的目標(biāo)
該高校校園網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)的基礎(chǔ)是建立主干路由器、核心交換機(jī)和其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)設(shè)備上的。網(wǎng)絡(luò)系統(tǒng)的開(kāi)放式設(shè)計(jì)意味著更好的資源整合及高品質(zhì)應(yīng)用的能力[2]。
1.3校園網(wǎng)的安全需求
該高校校園網(wǎng)絡(luò)結(jié)構(gòu)骨干結(jié)構(gòu)部分是帶寬為200M的中國(guó)電信網(wǎng),覆蓋整個(gè)校區(qū)。接入層交換機(jī)根據(jù)組網(wǎng)內(nèi)的計(jì)算機(jī)信息點(diǎn)和網(wǎng)絡(luò)應(yīng)用的級(jí)別,與核心層交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連接,校園網(wǎng)的主干網(wǎng)中采取的是子網(wǎng)過(guò)濾結(jié)構(gòu)的雙路由器的布局。
2校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)策略
按照該高校校園網(wǎng)的網(wǎng)絡(luò)設(shè)計(jì)方案及網(wǎng)絡(luò)安全管理的設(shè)計(jì),該高校校園網(wǎng)安全設(shè)計(jì)應(yīng)當(dāng)分為如下幾個(gè)方面:“網(wǎng)絡(luò)管理隔離技術(shù)、網(wǎng)絡(luò)管理實(shí)時(shí)監(jiān)控技術(shù)、網(wǎng)絡(luò)管理應(yīng)對(duì)手段、網(wǎng)絡(luò)系統(tǒng)漏洞監(jiān)控手段、熱點(diǎn)客戶端認(rèn)證技術(shù)等?!?/p>
2.1網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃設(shè)計(jì)
對(duì)校園網(wǎng)絡(luò)的設(shè)計(jì)者來(lái)說(shuō),校園網(wǎng)整體安全管理規(guī)劃是一個(gè)長(zhǎng)期工程,校園網(wǎng)建設(shè)的目的就是給校園網(wǎng)用戶提供資源共享及獲取信息的通道。如何根據(jù)校園網(wǎng)具體需求來(lái)規(guī)劃設(shè)計(jì)整體的網(wǎng)絡(luò)安全系統(tǒng),合理選擇網(wǎng)絡(luò)技術(shù)和產(chǎn)品,完成校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)應(yīng)到達(dá)的目標(biāo)。
2.2該高校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖
校園網(wǎng)信息平臺(tái)的建設(shè)是由不同功能的網(wǎng)絡(luò)設(shè)備搭建而成的,整個(gè)框架是由核心路由器、核心交換機(jī)、服務(wù)器、防火墻等元素組成。“根據(jù)用戶屬性的不同,一類(lèi)用戶通過(guò)防火墻NAT轉(zhuǎn)換技術(shù)選擇中國(guó)電信網(wǎng)接入到互聯(lián)網(wǎng),各大兄弟院校之間通過(guò)教育網(wǎng)資源的方式互相聯(lián)接。目前,該高校的拓?fù)浣Y(jié)構(gòu)呈星形,如圖1所示。由于該高校校園占地面積大,校園網(wǎng)絡(luò)架設(shè)難度較大。作為一個(gè)合格的網(wǎng)絡(luò)設(shè)計(jì)者首先要因地制宜的規(guī)劃和有計(jì)劃的設(shè)計(jì)。為了方便后期校園網(wǎng)絡(luò)的管理工作,我們首先內(nèi)部核心網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間配置了一臺(tái)高性能銳捷系列路由器,通過(guò)一臺(tái)模塊化的三層交換機(jī)把整個(gè)校園網(wǎng)分塊為六大管理模塊:應(yīng)用服務(wù)器群資源區(qū)、圖書(shū)館/科技中心資源區(qū)、學(xué)生宿舍區(qū)資源區(qū)、公寓區(qū)/運(yùn)動(dòng)區(qū)資源區(qū)、行政管理網(wǎng)絡(luò)資源區(qū)、外事活動(dòng)中心網(wǎng)絡(luò)資源區(qū)[3]。
2.3防火墻的部署
在中國(guó)電信網(wǎng)、網(wǎng)通網(wǎng)、教育網(wǎng)等外部網(wǎng)絡(luò)與校園網(wǎng)內(nèi)網(wǎng)之間的核心層布置一臺(tái)銳捷WALL1000及一臺(tái)銳捷WALL2000防火墻,實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的斷絕。內(nèi)網(wǎng)口毗連校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外網(wǎng)口經(jīng)由過(guò)程路由器與外部收集(電信網(wǎng)、教育網(wǎng)等)。在應(yīng)用服務(wù)器群資源區(qū)與校外網(wǎng)絡(luò)之間安裝一臺(tái)銳捷防火墻來(lái)隔絕外部網(wǎng)絡(luò)非授權(quán)者與校內(nèi)網(wǎng)絡(luò)資源區(qū)的聯(lián)系,用來(lái)保護(hù)校園網(wǎng)絡(luò)安全[4]。
2.4入侵檢測(cè)系統(tǒng)
根據(jù)該高校校園網(wǎng)設(shè)計(jì)的具體框架及未來(lái)網(wǎng)絡(luò)發(fā)展軌跡,在主動(dòng)防御技術(shù)層面我們選擇采用了混合型入侵檢測(cè)來(lái)保護(hù)整個(gè)校園網(wǎng)的網(wǎng)絡(luò)安全?;旌闲腿肭謾z測(cè)針對(duì)不同的保護(hù)對(duì)象設(shè)定主動(dòng)防御措施,分別保護(hù)全網(wǎng)網(wǎng)絡(luò)核心設(shè)備及接入所在網(wǎng)絡(luò)資源服務(wù)區(qū)的主機(jī)[5]。在認(rèn)證方面,我們采用的智能認(rèn)證客戶端能將網(wǎng)絡(luò)用戶的IP地址、實(shí)際網(wǎng)卡地址、用戶登陸密碼都綁定在一起,大大提高了網(wǎng)絡(luò)使用的安全性。
2.5校園網(wǎng)絡(luò)防病毒部署
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)病毒的爆炸傳播如同洪水猛獸一般席卷網(wǎng)絡(luò)平臺(tái),也是威脅校園網(wǎng)絡(luò)安全的最大威脅之一。我們?cè)谟?jì)算機(jī)病毒頻發(fā)的網(wǎng)絡(luò)區(qū)域采取對(duì)應(yīng)的防病毒手段,對(duì)計(jì)算機(jī)病毒頻發(fā)的區(qū)域進(jìn)行重點(diǎn)監(jiān)控掃描,配置360殺毒軟件,分區(qū)域?qū)ω?zé)任區(qū)進(jìn)行防病毒綜合管理。同時(shí),使校園網(wǎng)絡(luò)防病毒體系具有遠(yuǎn)程監(jiān)控、集中查殺、手段豐富、在線升級(jí)等多種功能。要完成“速度快、效果好”的綜合防病毒部署措施,應(yīng)該采取以下操作步驟:在學(xué)校網(wǎng)絡(luò)資源核心區(qū)系統(tǒng)中心配置360企業(yè)版殺毒軟件。該款安全防護(hù)產(chǎn)品擁有強(qiáng)大的管控能力,能為校園網(wǎng)絡(luò)安全提供多種管理模式及安全策略。在各二級(jí)學(xué)院、基礎(chǔ)課部、下屬單位等衍生二級(jí)管理用戶上分別安裝360殺毒軟件網(wǎng)絡(luò)版客戶端,在系統(tǒng)運(yùn)行或關(guān)閉時(shí)候設(shè)置二種模式進(jìn)行殺毒檢測(cè)。網(wǎng)絡(luò)技術(shù)中心對(duì)計(jì)算機(jī)病毒重災(zāi)區(qū)(如公用計(jì)算機(jī)機(jī)房、實(shí)驗(yàn)室等)的計(jì)算機(jī)終端機(jī)安裝冰點(diǎn)一鍵還原系統(tǒng)來(lái)降低計(jì)算機(jī)病毒傳播的風(fēng)險(xiǎn)并且在上述區(qū)域封閉U盤(pán)等傳輸媒介的傳輸接口。2.6建立安全管理制度在高等學(xué)校校園網(wǎng)絡(luò)管理中,安全責(zé)任應(yīng)該時(shí)時(shí)刻刻警鐘長(zhǎng)鳴。為保障校園網(wǎng)絡(luò)安全,必須制定出一系列的校園網(wǎng)絡(luò)安全管理制度。在龐大的高校數(shù)字校園綜合系統(tǒng)中(如教學(xué)成績(jī)管理系統(tǒng)、OA無(wú)紙化辦公系統(tǒng)等),因?yàn)樯鲜龉芾硐到y(tǒng)在高校的重要作用,“如何保障這些管理系統(tǒng)能安全、高校、平穩(wěn)的運(yùn)行,是十分考驗(yàn)校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)者的智慧的?!北U闲@網(wǎng)數(shù)據(jù)傳輸?shù)陌踩允钦麄€(gè)校園網(wǎng)在最開(kāi)始設(shè)計(jì)及具體實(shí)施的過(guò)程不可忽視的因素。在數(shù)據(jù)傳輸?shù)倪^(guò)程中,傳輸數(shù)據(jù)的丟失及信息數(shù)據(jù)的被惡意修改常常能給整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全帶來(lái)災(zāi)難性的損失。
3該高校校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的對(duì)比分析
3.1VPN技術(shù)與云數(shù)據(jù)的對(duì)比分析
在該高校校園網(wǎng)絡(luò)綜合設(shè)計(jì)中,采用了多種網(wǎng)絡(luò)安全技術(shù)手段,諸如VNP遠(yuǎn)程接入技術(shù)、防火墻技術(shù)、IDS主動(dòng)防御技術(shù)、網(wǎng)絡(luò)安全環(huán)境綜合治理等等。上述技術(shù)在一定程度上能保證該高校校園網(wǎng)絡(luò)安全防護(hù)的基本要求,但是在信息技術(shù)高速發(fā)展的現(xiàn)今科技時(shí)代,該高校校園網(wǎng)絡(luò)安全形式的越來(lái)越來(lái)嚴(yán)峻。我們對(duì)該高?,F(xiàn)在的網(wǎng)絡(luò)設(shè)備資源及網(wǎng)絡(luò)安全防護(hù)手段進(jìn)行綜合分析后,可以發(fā)現(xiàn)這些技術(shù)以及網(wǎng)絡(luò)設(shè)備與主流技術(shù)、功能上的作用都相去甚遠(yuǎn)。筆者認(rèn)為,該高校現(xiàn)有的VNP遠(yuǎn)程接入技術(shù)、防火墻產(chǎn)品選擇上與現(xiàn)有前沿網(wǎng)絡(luò)技術(shù)在先進(jìn)性上還存在一定的差距。為了更好的完善該高校整體校園網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì),我們著重對(duì)VNP技術(shù)、防火墻產(chǎn)品的采購(gòu)上進(jìn)行對(duì)比分析[6]。目前該高校不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)互聯(lián)采用的相對(duì)來(lái)說(shuō)較為傳統(tǒng)的VPN技術(shù),對(duì)比武漢市其他同類(lèi)兄弟高校實(shí)現(xiàn)網(wǎng)絡(luò)互通工程采用的大數(shù)據(jù)、云數(shù)據(jù)校園網(wǎng)等技術(shù)來(lái)說(shuō)的話,確實(shí)在先進(jìn)性、功能性、安全性上已經(jīng)與時(shí)代脫軌了。針對(duì)VPN遠(yuǎn)程接入接入技術(shù)在實(shí)際應(yīng)用中的不足之處,筆者有幸跟隨學(xué)校網(wǎng)絡(luò)技術(shù)中心工作人員一行對(duì)武漢兩所兄弟院校對(duì)建設(shè) 智慧校園經(jīng)驗(yàn)進(jìn)行了觀摩學(xué)習(xí),筆者從中也收獲甚多。以武漢某大學(xué)的智慧教室建設(shè)為例,如下圖3某大學(xué)智慧教室網(wǎng)絡(luò)拓?fù)鋱D。某大學(xué)的智慧校園的建設(shè)時(shí)期對(duì)智慧教室的每個(gè)要素之間的連接考慮的都很全面,也為我們?cè)谖磥?lái)該高校智慧校園建設(shè)時(shí)提供了彌足珍貴的經(jīng)驗(yàn)。如下圖4某大學(xué)智慧教室要素設(shè)計(jì)圖所示??偠灾琕PN技術(shù)與云數(shù)據(jù)在功能性上、安全性、效率性上已經(jīng)全面落后。某高校因?yàn)槠滢k學(xué)的特殊性,建設(shè)成本的投入是設(shè)計(jì)者不得不考慮的因素,但是建設(shè)該高校云數(shù)據(jù)智慧校園已是大勢(shì)所趨。
3.2現(xiàn)有防火墻與主流防火墻的對(duì)比分析
目前該高校在防火墻設(shè)置方面采取在中國(guó)電信網(wǎng)、網(wǎng)通網(wǎng)、教育網(wǎng)等外部網(wǎng)絡(luò)與校園網(wǎng)內(nèi)網(wǎng)之間的核心層布置一臺(tái)銳捷WALL1000及一臺(tái)銳捷WALL2000防火墻的技術(shù)手段用以實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的斷絕。隨著時(shí)間的跨越,之前布置的防火墻技術(shù)在數(shù)據(jù)包監(jiān)控、上網(wǎng)流量管控方面的功能已經(jīng)落后于目前防火墻主流技術(shù)。迄今為止,主流防火墻技術(shù)都是采用雙端數(shù)據(jù)監(jiān)控模式技術(shù)。我們對(duì)現(xiàn)有的防火墻設(shè)備和主流防火墻設(shè)備做了一個(gè)對(duì)比分析,如表1防火墻之間的參數(shù)對(duì)比。在之前的該高校校園網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)劃設(shè)計(jì)時(shí),我們布置的銳捷系列防火墻在應(yīng)對(duì)校內(nèi)外網(wǎng)絡(luò)不穩(wěn)定因素的沖擊時(shí)顯得力不從心。如果在不考慮建設(shè)成本因素,思科ASA5500防火墻完全能滿足該高校目前的校園網(wǎng)絡(luò)安全防護(hù)需求,在未來(lái)的網(wǎng)絡(luò)設(shè)備升級(jí)擴(kuò)容時(shí),我們將會(huì)對(duì)銳捷系列防火墻進(jìn)行換代,力爭(zhēng)做到保障該高校校園網(wǎng)絡(luò)安全的萬(wàn)無(wú)一失。
4結(jié)語(yǔ)
現(xiàn)今在高等學(xué)校校園網(wǎng)絡(luò)智慧化建設(shè)過(guò)程通過(guò)實(shí)踐及認(rèn)證出來(lái)的信息安全系列問(wèn)題已經(jīng)是刻不容緩了,需請(qǐng)廣大高校網(wǎng)絡(luò)資源管理者的高度重視[20]。在構(gòu)建高校信息資源系統(tǒng)體系的時(shí)候,特別是為這類(lèi)大型網(wǎng)絡(luò)搭建安全防護(hù)技術(shù)的同時(shí),一定要從校園網(wǎng)的實(shí)際需求出發(fā),多種防護(hù)手段相結(jié)合運(yùn)用。在網(wǎng)絡(luò)傳輸層的最底層僅僅布置一臺(tái)防火墻顯然不是明智之舉,還要輔助以入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密等技術(shù)來(lái)合力完成高校類(lèi)大型網(wǎng)絡(luò)安全信息的建設(shè)。
參考文獻(xiàn):
[1]霍福華.網(wǎng)絡(luò)安全技術(shù)及策略在校園網(wǎng)中的應(yīng)用研究[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報(bào),2017,16(04):46-47+52.
[2]向磊.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J].信息與電腦(理論版),2017,18(15):205-207.
[3]何書(shū)義.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J].通訊世界,2017,16(02):72-73.
[4]龔玉.網(wǎng)絡(luò)安全管理技術(shù)在中職校園網(wǎng)中的應(yīng)用[J].中國(guó)管理信息化,2016,19(24):144-145.
[5]張?chǎng)?李婧.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].科技展望,2016,26(24):4.
[6]黃超,王勇.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,23(08):77+79.
作者:夏可為 單位:仙桃職業(yè)學(xué)院