中學(xué)校園網(wǎng)絡(luò)安全的規(guī)劃與應(yīng)用

摘 要：中學(xué)的校園網(wǎng)絡(luò)發(fā)揮著重要的作用，但是也承擔(dān)著巨大的風(fēng)險。這里設(shè)計了綜合的網(wǎng)絡(luò)安全規(guī)劃，應(yīng)用防火墻、病毒防護軟件、VPN技術(shù)、入侵檢測的方法保證了網(wǎng)絡(luò)安全與信息的可靠性，有著較強的工程借鑒意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)結(jié)構(gòu)；系統(tǒng)安全；病毒

中圖分類號：TP393.01

在教學(xué)等其他各個方面，網(wǎng)絡(luò)是學(xué)校信息的必要載體。現(xiàn)在中學(xué)校園很多規(guī)模較大，教職工和學(xué)生的日常生活越來越耦合于網(wǎng)絡(luò)，依靠網(wǎng)絡(luò)。可是眾所周知，互聯(lián)網(wǎng)有著自己的特性，那就是開放互聯(lián)。尤其是當前互聯(lián)網(wǎng)技術(shù)發(fā)展到現(xiàn)在，仍然對上面信息的安全防護沒有做到萬無一失，可以說仍然有非常大的隱患，這給學(xué)校的各種用戶帶來了風(fēng)險。具體的表現(xiàn)有：計算機的病毒，非法的侵入，網(wǎng)絡(luò)的詐騙，信息的更改刪除等等。校園網(wǎng)絡(luò)安全環(huán)境不容樂觀，那么如何提高數(shù)據(jù)和網(wǎng)絡(luò)的安全性成為使用者的重要問題。本文對M學(xué)校規(guī)劃設(shè)計網(wǎng)絡(luò)安全體系結(jié)構(gòu)，其方法可以作為同類技術(shù)的參考。

1 校園網(wǎng)絡(luò)及其安全狀況分析

該校園網(wǎng)絡(luò)的結(jié)構(gòu)較為復(fù)雜，網(wǎng)絡(luò)拓撲形式比較高端：學(xué)校這里的地理區(qū)域有三個部分，分別是教學(xué)上課區(qū)域，日常生活娛樂區(qū)域，教務(wù)辦公區(qū)域。而教學(xué)上課區(qū)域包含了圖書館、信息管理中心、教學(xué)樓、實驗樓；辦公區(qū)域主要是行政后勤等辦公區(qū)域；生活娛樂區(qū)域主要是教職工宿舍，家屬區(qū)以及學(xué)生宿舍，校醫(yī)院，附屬幼兒園等。地理區(qū)域的劃分也是校園網(wǎng)網(wǎng)絡(luò)的劃分，這里因地制宜校園網(wǎng)的主節(jié)點設(shè)在了教學(xué)管理區(qū)域的信息管理中心，從網(wǎng)絡(luò)流量上看除了辦公后勤等區(qū)域應(yīng)用較少，另外兩個網(wǎng)絡(luò)區(qū)域應(yīng)用量都非常大，因此拓撲上是星型的結(jié)構(gòu)。不僅如此，內(nèi)部的地址和路由規(guī)劃是較為復(fù)雜的，這主要是作為較大的單位使用者比較多而且應(yīng)用面積也寬廣，這樣就更加導(dǎo)致了網(wǎng)絡(luò)的安全和漏洞問題突出明顯，具體的表現(xiàn)在如下幾個方面：（1）首先校園有幾個年級學(xué)生以及大量的教職員工，網(wǎng)速快使用者十分眾多，出口帶寬不斷增加，使得容易遭受非法用戶以及網(wǎng)絡(luò)犯罪的襲擾；（2）學(xué)生使用者好奇心強，容易接觸非法連接不安全源；（3）操作系統(tǒng)設(shè)計的不完善不健壯，由于系統(tǒng)本身存在問題，也是隱患之源頭；（4）校園網(wǎng)用戶非法訪問反動色情等網(wǎng)站帶來的信息危害嚴重。

2 網(wǎng)絡(luò)安全規(guī)劃策略

因為校園網(wǎng)的特殊要求，考慮到其網(wǎng)絡(luò)現(xiàn)狀以及面對的侵擾危險，這里系統(tǒng)的安全規(guī)劃主要遵循以下的策略來進行。（1）首先應(yīng)該事先網(wǎng)絡(luò)的隔離，即根據(jù)業(yè)務(wù)種類以及保密登記的不通使得網(wǎng)絡(luò)分段進行隔離，而網(wǎng)絡(luò)攻擊與信息不安全集中發(fā)生的部分限定在一個小區(qū)域子網(wǎng)內(nèi)，這樣有利于全體網(wǎng)絡(luò)安全事先；（2）對于病毒防護、入侵檢測等等軟件最好采用性能優(yōu)異價格適中有相應(yīng)資質(zhì)進行過市場檢測的國內(nèi)大品牌；（3）應(yīng)該充分應(yīng)用加密技術(shù)，對于核心環(huán)節(jié)保證其網(wǎng)絡(luò)信息的安全。

3 系統(tǒng)綜合安全防護設(shè)計

系統(tǒng)的綜合安全防護設(shè)計指的是采用多種綜合技術(shù)，在各個環(huán)節(jié)和保密點進行配置，使得網(wǎng)絡(luò)安全得以保證。這里總的概括為如下的幾個方面：外網(wǎng)以及內(nèi)網(wǎng)通路上放置路由，然后利用主干的三層交換機對校園網(wǎng)絡(luò)進行分層，主要層次界面包含辦公教學(xué)部分，服務(wù)器集合部分，家屬住宅部分，圖書一卡管理部分，VPN部分，宿舍生活區(qū)部分，主要涵蓋了六片網(wǎng)絡(luò)區(qū)域。與此同時將入侵檢測以及防火墻安放在了服務(wù)器集合與校園網(wǎng)接口上。

3.1 部署應(yīng)用防火墻

校園防火墻的應(yīng)用，采用價格適中，性能良好的化為USG2000系列硬件防火墻。這里需要對其進行正確的劃分如下：

防火墻的應(yīng)用不僅僅在于選擇一款服務(wù)到位、售后有保障技術(shù)先進的產(chǎn)品，如何進行配置和使用也決定了其效能發(fā)揮。一般來說能分成三個主要不通的安全區(qū)域，內(nèi)部外部和非軍事化隔離區(qū)區(qū)域。內(nèi)部是內(nèi)部區(qū)域即可信區(qū)域，外部是外部區(qū)域即非可信區(qū)域，非軍事區(qū)域意味著為隔離區(qū)。這里配置的方法是這樣的：（1）根據(jù)校園網(wǎng)要求，配置規(guī)則滿足對數(shù)據(jù)流實時監(jiān)控特性，尤其是注意數(shù)據(jù)有無進行加密；（2）通過軟件人機接口界面進行設(shè)置，這樣違法IP地址就無法脫離內(nèi)部區(qū)域IP數(shù)據(jù)包，具體說來就是把內(nèi)部防火墻的IP包通過產(chǎn)品配置，阻擋內(nèi)部地址進到路由里面；（3）合理應(yīng)用DMZ部分，對于進行主要外部服務(wù)的公用部分進行良好的設(shè)置，主要包括郵件服務(wù)器，網(wǎng)絡(luò)拂去其以及DNS解析；（4）使用虛擬的VPN來保證使用者在外部安全的進行內(nèi)部訪問。該通道應(yīng)該進行良好的配置；（5）應(yīng)用NAT把敏感的內(nèi)部主機地址，映射到防火墻中能夠設(shè)置的有效公網(wǎng)IP；（6）重視防火墻LOG的讀取定期分析，這樣能夠今早對入侵病毒發(fā)現(xiàn)隔離處理，這需要一定的人工服務(wù)。

3.2 入侵檢測系統(tǒng)的應(yīng)用配置

入侵檢測技術(shù)是現(xiàn)在先進的流行技術(shù)，在校園網(wǎng)內(nèi)部的局域網(wǎng)段上，設(shè)置一臺入侵檢測系統(tǒng)，主要是實時觀測該網(wǎng)段上的各種post請求，同時將反饋信息傳送至中央處理信息單元。當任何一個子網(wǎng)段出現(xiàn)問題時，信息管理中心都會第一時間發(fā)現(xiàn)報警進行處理，這里還特別實現(xiàn)了入侵檢測和防火墻的共同應(yīng)用配置，在軟件層面上可以較為良好的參數(shù)改變，當發(fā)現(xiàn)出現(xiàn)異常報警時候，不僅網(wǎng)絡(luò)系統(tǒng)自身應(yīng)該第一時間進行反應(yīng)，還應(yīng)該使得受侵害的網(wǎng)絡(luò)計算機負責(zé)者以及網(wǎng)絡(luò)的監(jiān)管人員知道并采取措施。

3.3 校園網(wǎng)的VPN連接

對于VPN的應(yīng)用也是多種多樣的，這里經(jīng)過方案的選取對比以及費效分析決定應(yīng)用SSLVPN技術(shù)，這樣能夠保證科學(xué)安全效率的統(tǒng)一，使得VPN網(wǎng)絡(luò)良好的服務(wù)于校園網(wǎng)。如果采用IPSec VPN也是技術(shù)較為成熟的，但是其缺陷點有軟件管理的麻煩，特別是VPN策略的改變會帶來管理難度成倍成幾何級數(shù)的增加，但是SSLVPN不是這樣的，沒有特別的網(wǎng)絡(luò)軟件和硬件加成，應(yīng)用IE等瀏覽引擎，使用簡單配置安全應(yīng)用的SSL加密，可以十分可靠可信的訪問網(wǎng)絡(luò)數(shù)據(jù)，所以效果較好，人力物力花費可控的。

3.4 網(wǎng)絡(luò)防病毒部署

病毒式當前網(wǎng)絡(luò)安全不安定的重要因素，應(yīng)該選取良好的病毒防護產(chǎn)品，這里主要應(yīng)用了瑞星。建立的防護體系包括：1、校園網(wǎng)WEB服務(wù)器安全網(wǎng)絡(luò)版，能夠保證2000個網(wǎng)點的檢測防護等。2、核心的數(shù)據(jù)部分，包括財務(wù)、行政部分安裝響應(yīng)客戶端，響應(yīng)服務(wù)器服務(wù)。3、應(yīng)用其網(wǎng)絡(luò)殺毒軟件，定時對中心病毒進行更新殺毒，以制度化的管理保證病毒防護的進行。4、當升級工作進行時，由網(wǎng)絡(luò)管理中心負責(zé)服務(wù)，網(wǎng)絡(luò)中心自動獲取公司數(shù)據(jù)庫并且進行分發(fā)內(nèi)部網(wǎng)絡(luò)。

3.5 漏洞掃描

采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。漏洞服務(wù)主要針對服務(wù)器的升級進行，該服務(wù)也結(jié)合市場化的軟件進行。

4 結(jié)束語

當前的情況是，采用這種綜合的網(wǎng)絡(luò)安全防護體系，能夠較好的保證校園生活學(xué)習(xí)教務(wù)考務(wù)財務(wù)等工作的順利進行，也出現(xiàn)過抵擋外部網(wǎng)絡(luò)攻擊的案例。但是我們應(yīng)該清醒的認識到，矛和盾永遠都是在發(fā)展，隨著攻擊手段和網(wǎng)絡(luò)技術(shù)的升級，校園網(wǎng)絡(luò)安全的防護應(yīng)該是時時更新，隨時升級，應(yīng)該注意新技術(shù)的應(yīng)用，同時還要在管理體系尚保證防護體系正確發(fā)揮作用，最終才能確保網(wǎng)絡(luò)信息安全，任重而道遠。

參考文獻：

[1]袁海燕.淺談網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].電腦知識與技術(shù)，2006（02）.

[2]SteveWisniewski.高級網(wǎng)絡(luò)管理[M].詹文軍，譯.北京：高等教育出版社，2006.

[3]郎青.利用入侵檢測系統(tǒng)構(gòu)建安全的校園網(wǎng)[J].湖南農(nóng)業(yè)大學(xué)學(xué)報（自然科學(xué)版），2005.

[4]石淑華，池瑞楠.計算機網(wǎng)絡(luò)安全技術(shù)（第2版）[M].北京：人民郵電出版社，2008.

作者單位：新疆哈密石油外國語學(xué)校，新疆哈密 839009