淺談校園網(wǎng)網(wǎng)絡安全設計與方案

張貴安

中圖分類號：TP393 文獻標識碼：A 文章編號：1003-9082（2016）03-0010-01

隨著互聯(lián)網(wǎng)的高速發(fā)展和教育信息化進程的不斷深入，校園網(wǎng)在學校教學、科研和管理中的作用越來越重要， 校園網(wǎng)越來越得到普及，同時學校校園網(wǎng)絡安全問題也日益突出，而制定一個完善的網(wǎng)格解決方案成為重要。因此網(wǎng)絡的安全防護需采用分層次的拓撲防護措施。即一個完整的校園網(wǎng)網(wǎng)絡信息安全解決方案應該覆蓋網(wǎng)絡的各個層次，并且與安全管理相結(jié)合。

一、網(wǎng)絡信息安全系統(tǒng)設計對策

為了滿足因特網(wǎng)的分級管理需求根據(jù)Internet網(wǎng)絡規(guī)模大、用戶眾多的特點，對Internet信息安全實施分級管理的解決方案，可以對它的控制點分為三級實施安全管理。[1]

第一級：中心級網(wǎng)絡，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計。

第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護。

需求、風險、代價平衡的原則對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究（包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等），并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。[2]

一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。[3]可用性原則安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 分步實施原則：分級管理分步實施由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

二、網(wǎng)絡信息安全系統(tǒng)設計步驟

第一步：進行網(wǎng)絡安全需求分析，確立合理的目標基線和安全策略

第二步：明確準備付出的代價，制定可行的技術方案

第三步：工程實施方案（產(chǎn)品的選購與定制）

第四步：制定配套的法規(guī)、條例和管理辦法

三、網(wǎng)絡安全需求與措施手段

1.安全需求

局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實現(xiàn)，在連接Internet時，如何在網(wǎng)絡層實現(xiàn)安全；應用系統(tǒng)如何保證安全性；如何防止黑客對網(wǎng)絡、主機、服務器等的入侵；如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?；加密系統(tǒng)如何布置，包括建立證書管理中心、應用系統(tǒng)集成加密等 。

2.措施

信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)（CA）；網(wǎng)絡安全訪問控制（防火墻）網(wǎng)絡安全檢測入侵檢測（監(jiān)控） IPSEC（IP安全）審計分析鏈路安全鏈路加密

3.手段

設立防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡）與外部不可信任網(wǎng)絡（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結(jié)合。包過濾防火墻通?；贗P數(shù)據(jù)包的源或目標IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協(xié)議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；其缺點是對每種應用協(xié)議都需提供相應的代理程序，并且基于代理的防火墻常常會使網(wǎng)絡性能明顯下降。應指出的是，在網(wǎng)絡安全問題日益突出的今天，防火墻技術發(fā)展迅速，目前一些領先防火墻廠商已將很多網(wǎng)絡邊緣功能及網(wǎng)管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功能、NAT功能等等。

四、校園網(wǎng)網(wǎng)絡安全解決方案

強化防護體系（包過濾+NAT+計費+代理+VPN+網(wǎng)絡安全檢測+監(jiān)控） 用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項

1.網(wǎng)絡安全性檢測（包括服務器、防火墻、主機及其它TCP/IP相關設備）

2.操作系統(tǒng)安全性檢測·網(wǎng)絡監(jiān)控與入侵檢測

解決方案：選用網(wǎng)絡衛(wèi)士防火墻PL FW2000+網(wǎng)絡安全分析系統(tǒng)+網(wǎng)絡監(jiān)控器

五、加強網(wǎng)絡安全管理制度建設

“三分技術、七分管理”，網(wǎng)絡安全尤為如此。各學校要根據(jù)校園網(wǎng)的實際情況，制定并嚴格執(zhí)行有效的安全管理制度。如：校園網(wǎng)網(wǎng)絡安全管理制度、網(wǎng)絡主干管理與維護制度、校園網(wǎng)非主干維護制度、網(wǎng)絡安全管理崗位職責、網(wǎng)絡運行管理制度、主頁維護管理制度、校園網(wǎng)信息發(fā)布與管理制度、病毒防治管理制度、重要數(shù)據(jù)備份與管理制度等。[4]此外，為更加有效控制和減少校園網(wǎng)絡的內(nèi)部隱患，各學校必須制定網(wǎng)絡行為規(guī)范和違反該規(guī)范的具體處罰條例。

參考文獻

[1]王剛.分層局域網(wǎng)網(wǎng)絡安全解決方案[J]《廣西師范學院學報（自然科學版）》，2004年.

[2]凌星成.中山技校校園網(wǎng)安全性設計與實施[D]，2008年 電子科技大學

[3]陸勇峻.基于路由器動態(tài)認證的網(wǎng)絡安全模型的研究[D]，2001年 上海交通大學.

[4]尚禮斌.論校園網(wǎng)網(wǎng)絡安全[J]《新西部（下旬刊）》，2011年.