◆李秀峰

（长治学院计算机系 山西 046011）

校园网建设中网络安全机制的研究与分析

◆李秀峰

（长治学院计算机系 山西 046011）

本文对校园网的安全需求进行了分析，阐述了新形势下校园网面临的安全问题，同时给出了相应的防范方法以及校园网的分层设计，从多个方面保证网络的安全运行。

网络安全；校园网；VPN；防火墙；入侵检测

0 引言

网络安全是指利用网络管理的方法和一系列防护措施，保证计算机硬件和软件在网络环境中运行的完整性、可使用性、可靠性和保密性。[1]网络安全从系统上可以分为物理安全和逻辑安全两大类。其中物理安全是指计算机、交换机和路由器等设备及相关设施免于被人为破坏、偷盗或自然灾害引起的损失等，即以上设备在物理属性上应得到相应的保护；逻辑安全是指网络上所传输数据的完整性、保密性、可用性和不可抵赖性。从网络的本质上讲，保证网络安全就是使网络用户的数据不被破坏和窃取，这样在网络上传输的数据才有价值。目前快速发展的互联网存在着很多不稳定的因素，例如网络病毒和木马攻击，使得网络传输受到不同程度的影响，甚至引起网络服务长时间的中断。比如前段时间爆发的“勒索”病毒就针对校园网和企业网用户发动了攻击，很多重要文档被恶意加密，黑客利用这些文件向用户索要赎金，给企业和个人造成了很大的经济损失。校园网作为网络中重要的一个层面，承担着学校科研、教学以及大量学生访问网络的需求，为此需要制定一系列防御措施来保障一个快速、稳定和安全的校园网络环境。

1 校园网络的安全需求

1.1 无线网络连接的安全性

由于校园的特殊性，网络的大部分使用者是学生，在当今的信息时代，网络随行就显得尤为重要。比如：在图书馆使用笔记本电脑、手机和 PDA设备等需要无线网络的接入。因此，要保证校园网无线网络接入方式的安全、高效和灵活多变。

1.2 安全的上网环境

网络在使用过程中，由于访问目标的不确定性，可能会造成部分主机受到病毒感染。所以，校园网还需要可以预防和发现网络攻击，并提供行之有效的打击措施。例如：定期对网络和服务器实行漏洞扫描和安全评测，找出服务器操作系统和数据库系统中可能存在的安全威胁，及时进行改正并加强相应的防范措施；另外，实行严格的用户接入认证、入侵检测机制和访问控制策略，防止网络被内部用户发起攻击，同时杜绝不法分子利用系统缺陷对校园网进行非法访问。

1.3 严格的管理制度

学校网络中心需要制定完善的管理制度，加强对工作人员和使用者的安全操作培训，提高对网络威胁的警惕性。针对外部网络已发生的安全事故要吸取教训，采取对应的措施做好预防；对内部发生的安全问题，要积极处理，将病毒与木马的破坏性限制在最小范围内，避免受影响的范围扩大。

2 校园网安全功能设计

通过一段时间的调查研究，针对校园网的安全需求给出了一套校园网的安全架构。该结构将校园网络按照安全系数分成四个区域：外单位网络区域、互联网区域、内网区域、安全防护设施区域。外单位网络与内网之间通过 VPN访问；互联网与内网之间进行单向隔离，即只允许大部分内网直接访问外网，互联网用户要访问内网服务器需要通过安全设施的审查与连接；防护设施设置于互联网边界和内部专网的连接处，如图1所示。这样可以将绝大部分不安全因素都排除在外，不会遗漏较大的安全隐患和遭受严重的网络攻击。下面对使用到的技术进行详细的阐述。

图1 区域划分图

2.1 VPN

全称是“Virtual Private Network”，即“虚拟专用网”。它通过特殊的加密通信协议使得连接在Internet上位于不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路。校园网可采用此种技术完成外单位网络用户访问内部专网的工作，也可以方便出差在外的学校工作人员访问内部办公网络。VPN 按协议类型可分为 3种，pptp、L2tp和 IPsec，其中前两种工作在 OSI模型第二层，最后一种工作在第三层。校园网可采用 IPsecVPN技术建立从边界路由器到核心路由器的 VPN 隧道，此隧道主要负责传输学校内部业务系统数据。总之，VPN 可以实现各系部处室到网络中心的多业务数据传输、外单位访问内部专网以及通信设备的远程控制等功能。

2.2 安全扫描技术

利用网络安全扫描技术对校园网进行定期与不定时的扫描，及时掌握网络使用情况以及发现网络中存在问题，此举可降低校园网被攻击风险，缩小受影响的范围。[2]扫描技术的应用对网管人员有很大的帮助，管理人员通过安全扫描可以清晰的了解系统网络环境是否受到攻击以及是否存在有隐患的网络服务等。还可以利用日志分析工具对所记录的访问日志进行统计并制作成分析统计图，同时可以对访问目标地址和通信流量进行分析，即时把控突发的异常流量，这样就对网络使用情况可以有一个整体掌控。

2.3 防火墙

防火墙作为保护内网的一道屏障，具有非常重要的作用。它位于网络边界，是一种内外网隔离的防护技术。它依据管理者制定的安全策略，对多个网络之间数据通信进行安全检查，对于符合策略的数据包执行相应的操作（允许或禁止通过），以此控制流量的走向，避免不合法的地址访问目标网络。防火墙的工作原理类似分析器、隔离器和限制器的结合，三者共同实现防火墙的功能。其可以有效控制内外网之间的数据通信，有效防止外部用户借助不合法手段访问内网盗取数据或破坏网络运行环境。所以，防火墙重在保护内部网络安全，是整个校园网安全防护的第一道屏障。

2.4 入侵检测技术

入侵检测技术是对计算机系统或网络上的关键信息点进行收集和分析，从中找到危害网络安全的蛛丝马迹。从技术上进行划分，其可分为异常检测和特征检测两类：[3]第一种会将多数检测点进行上报，漏报数据概率较低，但报送异常概率的失误率很高，会耗费部分网络带宽；第二种是将所有已经获取得到的攻击性特征形成一个特征库，利用该特征库与截取到的异常特征进行比对，若比对成功则判断其为网络攻击。这种方式的成功率很高，针对性极强，但对不属于特征库的攻击识别率较低。

2.5 审计与监控

使用网络安全监测系统结合安全扫描技术对网络中传输的数据和信息进行监控和审计，通过对所有异常通信数据的采集以及使用日志审计工具分析，实现对校园网内部主机全天候网络流量以及源和目的地址信息的详细统计，此举可以大幅提高网络安全性，但会消耗部分网络带宽。于此同时还能够将内网的网络流量和状态图形化，直观显示目前的网络状况，便于管理员实时对设备进行远程调控。

2.6 安全认证

采用 Web+DHCP的认证办法防止未授权的无线用户接入校园网。上网用户首先需要将 IP地址设置为自动获取，之后打开浏览器任意网页，此时网页会自动弹出Portal 认证页面，输入正确的用户名和密码方可接入网络；同时使用 802.1x 端口认证技术配合RADIUS 认证服务器，对所有有线接入用户的身份进行严格认证，防止未经授权的用户接入网络实行网络攻击或破坏网络使用环境。还可以配合使用 ACL访问控制列表来防止异常主机接入网络。

2.7 容灾备份

容灾备份是指在距离间隔较远的异地建立两套或多套功能一致的系统，多套系统之间可以进行健康状态监视和功能切换，当某地系统因意外或人为破坏无法正常工作时，整个应用系统可以无缝切换到另一处正常工作的系统。从其保护程度来分，可以将容灾系统分为两种：数据容灾和应用容灾。容灾技术是保证系统高可用性的一种手段，是保证系统正常运行的最后一道防线。

2.8 人员管理

除了外部的网络攻击，校园网也会因为网管人员的操作不当或管理不善产生一些隐患，如：不定期安装服务器系统更新、设置较为简单的设备登录密码、随意开放远程管理权限以及没有相应的操作规范和应急制度等。这些都是容易遭受黑客攻击的原因之一。做好“堡垒”的内部防御是抵御网络攻击最为基础的一环。不重视人员和制度管理，单纯依靠网络安全设备本身的作用来维护校园网安全是远远不够的。

3 整体网络结构划分

从网络拓扑结构上将校园网进行层次划分：网络中心为第一层，也是核心层，负责汇聚节点的连接和对外访问；各系部处室为第二层，通过核心层与内外网络互联；各系部处室的分支机构为第三层。设计中要确实保障一级网络即网络中心的安全，同时不能影响其数据的高速转发；另外还要分析各级网络间的连通性和限制，如教务处网站要能被各部门工作人员和教师访问；财务处与其他部门不能互通信息等。

4 结束语

通过对校园网安全需求的分析，给出了一套保障校园网安全运行的架构，并对整个校园网的拓扑结构进行了分层。综合多种安全技术可以保证校园网在平稳运行的同时提高数据通信的安全性；另外，在运用网络安全技术的基础上，还提出要进一步增强校园网的制度管理，建立符合安全要求的管理体系，最终实现一个快速、安全和绿色的校园网。

[1]程龙泉.整体构建校园网络安全体系的方法与实现[J].计算机安全，2012.

[2]崔洋洋.计算机网络安全的隐患及对策的探讨[J].网络安全技术与应用，2013.

[3]石玮.浅谈计算机网络安全与防御技术[J].计算机光盘软件与应用，2010.