高校校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案
時間:2022-10-14 11:15:32
導(dǎo)語:高校校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案一文來源于網(wǎng)友上傳,不代表本站觀點,若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。
摘要:針對某高校校園網(wǎng)的智慧校園信息系統(tǒng)的具體需求進(jìn)行了全面的分析、論證、構(gòu)思,開發(fā)出了一整套結(jié)合實踐、包括多種防御手段的三位一體化網(wǎng)絡(luò)安全防御模型,構(gòu)建了某高校的智慧校園信息系統(tǒng)結(jié)構(gòu),包括VLAN的劃分,VLAN間路由、防火墻的訪問控制列表和地址的轉(zhuǎn)換、校園網(wǎng)客戶端認(rèn)證系統(tǒng)的建設(shè)及防護(hù)功能的設(shè)置(驗證、授權(quán)、計費)。依據(jù)某高校校園網(wǎng)建設(shè)的實際情況進(jìn)行了信息安全、信息防護(hù)技術(shù)分析,然后具體給出了網(wǎng)絡(luò)安全策略在校園網(wǎng)應(yīng)用的解決方案。經(jīng)過一段時間的運行測試表明,目前該方案合理可行,能夠基本滿足某高校校園網(wǎng)的正常平穩(wěn)運行需求。
關(guān)鍵詞:網(wǎng)絡(luò)信息安全;防火墻技術(shù);網(wǎng)絡(luò)病毒;校園網(wǎng)
隨著學(xué)校的發(fā)展進(jìn)入快車道,由于學(xué)生人數(shù)規(guī)模急劇增加和學(xué)校辦學(xué)層次顯著提升,十多年之前設(shè)計的校園網(wǎng)無論從網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)防護(hù)要求均無法滿足現(xiàn)有的網(wǎng)絡(luò)需求。為了解決校園網(wǎng)絡(luò)的信息安全防護(hù)問題,我們應(yīng)根據(jù)智慧校園網(wǎng)絡(luò)安全防護(hù)的實際需求,在現(xiàn)有的網(wǎng)絡(luò)設(shè)備基礎(chǔ)上對該高校的校園網(wǎng)絡(luò)安全防護(hù)進(jìn)行了規(guī)劃和設(shè)計。該高校三大網(wǎng)絡(luò)活動區(qū)互聯(lián)工程利用VPN技術(shù)連接,基于開放的互聯(lián)網(wǎng)平臺,完成三大網(wǎng)絡(luò)活動區(qū)的網(wǎng)絡(luò)安全互聯(lián),構(gòu)建極速、高效、穩(wěn)定的互聯(lián)網(wǎng)絡(luò)區(qū),所以某高校數(shù)字化信息校園網(wǎng)的建設(shè)亟待啟動。
1校園網(wǎng)安全系統(tǒng)需求分析
1.1該校園網(wǎng)基本概況。該高校校園主要包括南區(qū)宿舍樓網(wǎng)絡(luò)區(qū)域、東區(qū)宿舍樓網(wǎng)絡(luò)區(qū)域、西區(qū)行政辦公網(wǎng)絡(luò)區(qū)域三個區(qū)域。三個網(wǎng)絡(luò)區(qū)域彼此之間空間跨越大,實現(xiàn)網(wǎng)絡(luò)互通的難度也是可想而知的[1]。經(jīng)過近二十年的不懈努力,該高校三大網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)互通基本實現(xiàn)。校園網(wǎng)設(shè)計的初衷就是為了實現(xiàn)以數(shù)據(jù)監(jiān)控為核心網(wǎng)絡(luò)管理體系,全網(wǎng)網(wǎng)絡(luò)監(jiān)控管理的核心部門網(wǎng)絡(luò)數(shù)據(jù)中心行使這一權(quán)利。1.2校園網(wǎng)安全設(shè)計的目標(biāo)。該高校校園網(wǎng)絡(luò)安全設(shè)計目標(biāo)的基礎(chǔ)是建立主干路由器、核心交換機(jī)和其他計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)設(shè)備上的。網(wǎng)絡(luò)系統(tǒng)的開放式設(shè)計意味著更好的資源整合及高品質(zhì)應(yīng)用的能力[2]。1.3校園網(wǎng)的安全需求。該高校校園網(wǎng)絡(luò)結(jié)構(gòu)骨干結(jié)構(gòu)部分是帶寬為200M的中國電信網(wǎng),覆蓋整個校區(qū)。接入層交換機(jī)根據(jù)組網(wǎng)內(nèi)的計算機(jī)信息點和網(wǎng)絡(luò)應(yīng)用的級別,與核心層交換機(jī)實現(xiàn)網(wǎng)絡(luò)連接,校園網(wǎng)的主干網(wǎng)中采取的是子網(wǎng)過濾結(jié)構(gòu)的雙路由器的布局。
2校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計策略
按照該高校校園網(wǎng)的網(wǎng)絡(luò)設(shè)計方案及網(wǎng)絡(luò)安全管理的設(shè)計,該高校校園網(wǎng)安全設(shè)計應(yīng)當(dāng)分為如下幾個方面:“網(wǎng)絡(luò)管理隔離技術(shù)、網(wǎng)絡(luò)管理實時監(jiān)控技術(shù)、網(wǎng)絡(luò)管理應(yīng)對手段、網(wǎng)絡(luò)系統(tǒng)漏洞監(jiān)控手段、熱點客戶端認(rèn)證技術(shù)等。”2.1網(wǎng)絡(luò)安全系統(tǒng)總體規(guī)劃設(shè)計。對校園網(wǎng)絡(luò)的設(shè)計者來說,校園網(wǎng)整體安全管理規(guī)劃是一個長期工程,校園網(wǎng)建設(shè)的目的就是給校園網(wǎng)用戶提供資源共享及獲取信息的通道。如何根據(jù)校園網(wǎng)具體需求來規(guī)劃設(shè)計整體的網(wǎng)絡(luò)安全系統(tǒng),合理選擇網(wǎng)絡(luò)技術(shù)和產(chǎn)品,完成校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計應(yīng)到達(dá)的目標(biāo)。2.2該高校網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。圖校園網(wǎng)信息平臺的建設(shè)是由不同功能的網(wǎng)絡(luò)設(shè)備搭建而成的,整個框架是由核心路由器、核心交換機(jī)、服務(wù)器、防火墻等元素組成。“根據(jù)用戶屬性的不同,一類用戶通過防火墻NAT轉(zhuǎn)換技術(shù)選擇中國電信網(wǎng)接入到互聯(lián)網(wǎng),各大兄弟院校之間通過教育網(wǎng)資源的方式互相聯(lián)接。目前,該高校的拓?fù)浣Y(jié)構(gòu)呈星形,如圖1所示。由于該高校校園占地面積大,校園網(wǎng)絡(luò)架設(shè)難度較大。作為一個合格的網(wǎng)絡(luò)設(shè)計者首先要因地制宜的規(guī)劃和有計劃的設(shè)計。為了方便后期校園網(wǎng)絡(luò)的管理工作,我們首先內(nèi)部核心網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)之間配置了一臺高性能銳捷系列路由器,通過一臺模塊化的三層交換機(jī)把整個校園網(wǎng)分塊為六大管理模塊:應(yīng)用服務(wù)器群資源區(qū)、圖書館/科技中心資源區(qū)、學(xué)生宿舍區(qū)資源區(qū)、公寓區(qū)/運動區(qū)資源區(qū)、行政管理網(wǎng)絡(luò)資源區(qū)、外事活動中心網(wǎng)絡(luò)資源區(qū)[3]。2.3防火墻的部署。在中國電信網(wǎng)、網(wǎng)通網(wǎng)、教育網(wǎng)等外部網(wǎng)絡(luò)與校園網(wǎng)內(nèi)網(wǎng)之間的核心層布置一臺銳捷WALL1000及一臺銳捷WALL2000防火墻,實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的斷絕。內(nèi)網(wǎng)口毗連校園網(wǎng)內(nèi)網(wǎng)交換機(jī),外網(wǎng)口經(jīng)由過程路由器與外部收集(電信網(wǎng)、教育網(wǎng)等)。在應(yīng)用服務(wù)器群資源區(qū)與校外網(wǎng)絡(luò)之間安裝一臺銳捷防火墻來隔絕外部網(wǎng)絡(luò)非授權(quán)者與校內(nèi)網(wǎng)絡(luò)資源區(qū)的聯(lián)系,用來保護(hù)校園網(wǎng)絡(luò)安全[4]。2.4入侵檢測系統(tǒng)。根據(jù)該高校校園網(wǎng)設(shè)計的具體框架及未來網(wǎng)絡(luò)發(fā)展軌跡,在主動防御技術(shù)層面我們選擇采用了混合型入侵檢測來保護(hù)整個校園網(wǎng)的網(wǎng)絡(luò)安全。混合型入侵檢測針對不同的保護(hù)對象設(shè)定主動防御措施,分別保護(hù)全網(wǎng)網(wǎng)絡(luò)核心設(shè)備及接入所在網(wǎng)絡(luò)資源服務(wù)區(qū)的主機(jī)[5]。在認(rèn)證方面,我們采用的智能認(rèn)證客戶端能將網(wǎng)絡(luò)用戶的IP地址、實際網(wǎng)卡地址、用戶登陸密碼都綁定在一起,大大提高了網(wǎng)絡(luò)使用的安全性。2.5校園網(wǎng)絡(luò)防病毒部署。隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)病毒的爆炸傳播如同洪水猛獸一般席卷網(wǎng)絡(luò)平臺,也是威脅校園網(wǎng)絡(luò)安全的最大威脅之一。我們在計算機(jī)病毒頻發(fā)的網(wǎng)絡(luò)區(qū)域采取對應(yīng)的防病毒手段,對計算機(jī)病毒頻發(fā)的區(qū)域進(jìn)行重點監(jiān)控掃描,配置360殺毒軟件,分區(qū)域?qū)ω?zé)任區(qū)進(jìn)行防病毒綜合管理。同時,使校園網(wǎng)絡(luò)防病毒體系具有遠(yuǎn)程監(jiān)控、集中查殺、手段豐富、在線升級等多種功能。要完成“速度快、效果好”的綜合防病毒部署措施,應(yīng)該采取以下操作步驟:在學(xué)校網(wǎng)絡(luò)資源核心區(qū)系統(tǒng)中心配置360企業(yè)版殺毒軟件。該款安全防護(hù)產(chǎn)品擁有強(qiáng)大的管控能力,能為校園網(wǎng)絡(luò)安全提供多種管理模式及安全策略。在各二級學(xué)院、基礎(chǔ)課部、下屬單位等衍生二級管理用戶上分別安裝360殺毒軟件網(wǎng)絡(luò)版客戶端,在系統(tǒng)運行或關(guān)閉時候設(shè)置二種模式進(jìn)行殺毒檢測。網(wǎng)絡(luò)技術(shù)中心對計算機(jī)病毒重災(zāi)區(qū)(如公用計算機(jī)機(jī)房、實驗室等)的計算機(jī)終端機(jī)安裝冰點一鍵還原系統(tǒng)來降低計算機(jī)病毒傳播的風(fēng)險并且在上述區(qū)域封閉U盤等傳輸媒介的傳輸接口。2.6建立安全管理制度。在高等學(xué)校校園網(wǎng)絡(luò)管理中,安全責(zé)任應(yīng)該時時刻刻警鐘長鳴。為保障校園網(wǎng)絡(luò)安全,必須制定出一系列的校園網(wǎng)絡(luò)安全管理制度。在龐大的高校數(shù)字校園綜合系統(tǒng)中(如教學(xué)成績管理系統(tǒng)、OA無紙化辦公系統(tǒng)等),因為上述管理系統(tǒng)在高校的重要作用,“如何保障這些管理系統(tǒng)能安全、高校、平穩(wěn)的運行,是十分考驗校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計者的智慧的。”保障校園網(wǎng)數(shù)據(jù)傳輸?shù)陌踩允钦麄€校園網(wǎng)在最開始設(shè)計及具體實施的過程不可忽視的因素。在數(shù)據(jù)傳輸?shù)倪^程中,傳輸數(shù)據(jù)的丟失及信息數(shù)據(jù)的被惡意修改常常能給整個網(wǎng)絡(luò)系統(tǒng)的安全帶來災(zāi)難性的損失。
3該高校校園網(wǎng)絡(luò)系統(tǒng)設(shè)計的對比分析
3.1VPN技術(shù)與云數(shù)據(jù)的對比分析。在該高校校園網(wǎng)絡(luò)綜合設(shè)計中,采用了多種網(wǎng)絡(luò)安全技術(shù)手段,諸如VNP遠(yuǎn)程接入技術(shù)、防火墻技術(shù)、IDS主動防御技術(shù)、網(wǎng)絡(luò)安全環(huán)境綜合治理等等。上述技術(shù)在一定程度上能保證該高校校園網(wǎng)絡(luò)安全防護(hù)的基本要求,但是在信息技術(shù)高速發(fā)展的現(xiàn)今科技時代,該高校校園網(wǎng)絡(luò)安全形式的越來越來嚴(yán)峻。我們對該高校現(xiàn)在的網(wǎng)絡(luò)設(shè)備資源及網(wǎng)絡(luò)安全防護(hù)手段進(jìn)行綜合分析后,可以發(fā)現(xiàn)這些技術(shù)以及網(wǎng)絡(luò)設(shè)備與主流技術(shù)、功能上的作用都相去甚遠(yuǎn)。筆者認(rèn)為,該高校現(xiàn)有的VNP遠(yuǎn)程接入技術(shù)、防火墻產(chǎn)品選擇上與現(xiàn)有前沿網(wǎng)絡(luò)技術(shù)在先進(jìn)性上還存在一定的差距。為了更好的完善該高校整體校園網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計,我們著重對VNP技術(shù)、防火墻產(chǎn)品的采購上進(jìn)行對比分析[6]。目前該高校不同網(wǎng)絡(luò)區(qū)域間的網(wǎng)絡(luò)互聯(lián)采用的相對來說較為傳統(tǒng)的VPN技術(shù),對比武漢市其他同類兄弟高校實現(xiàn)網(wǎng)絡(luò)互通工程采用的大數(shù)據(jù)、云數(shù)據(jù)校園網(wǎng)等技術(shù)來說的話,確實在先進(jìn)性、功能性、安全性上已經(jīng)與時代脫軌了。針對VPN遠(yuǎn)程接入接入技術(shù)在實際應(yīng)用中的不足之處,筆者有幸跟隨學(xué)校網(wǎng)絡(luò)技術(shù)中心工作人員一行對武漢兩所兄弟院校對建設(shè)信息通信夏可為:高校校園網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計方案及論述智慧校園經(jīng)驗進(jìn)行了觀摩學(xué)習(xí),筆者從中也收獲甚多。以武漢某大學(xué)的智慧教室建設(shè)為例,如下圖3某大學(xué)智慧教室網(wǎng)絡(luò)拓?fù)鋱D。某大學(xué)的智慧校園的建設(shè)時期對智慧教室的每個要素之間的連接考慮的都很全面,也為我們在未來該高校智慧校園建設(shè)時提供了彌足珍貴的經(jīng)驗。如下圖4某大學(xué)智慧教室要素設(shè)計圖所示。總而言之,VPN技術(shù)與云數(shù)據(jù)在功能性上、安全性、效率性上已經(jīng)全面落后。某高校因為其辦學(xué)的特殊性,建設(shè)成本的投入是設(shè)計者不得不考慮的因素,但是建設(shè)該高校云數(shù)據(jù)智慧校園已是大勢所趨。3.2現(xiàn)有防火墻與主流防火墻的對比分析。目前該高校在防火墻設(shè)置方面采取在中國電信網(wǎng)、網(wǎng)通網(wǎng)、教育網(wǎng)等外部網(wǎng)絡(luò)與校園網(wǎng)內(nèi)網(wǎng)之間的核心層布置一臺銳捷WALL1000及一臺銳捷WALL2000防火墻的技術(shù)手段用以實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的斷絕。隨著時間的跨越,之前布置的防火墻技術(shù)在數(shù)據(jù)包監(jiān)控、上網(wǎng)流量管控方面的功能已經(jīng)落后于目前防火墻主流技術(shù)。迄今為止,主流防火墻技術(shù)都是采用雙端數(shù)據(jù)監(jiān)控模式技術(shù)。我們對現(xiàn)有的防火墻設(shè)備和主流防火墻設(shè)備做了一個對比分析,如表1防火墻之間的參數(shù)對比。在之前的該高校校園網(wǎng)絡(luò)安全防護(hù)技術(shù)規(guī)劃設(shè)計時,我們布置的銳捷系列防火墻在應(yīng)對校內(nèi)外網(wǎng)絡(luò)不穩(wěn)定因素的沖擊時顯得力不從心。如果在不考慮建設(shè)成本因素,思科ASA5500防火墻完全能滿足該高校目前的校園網(wǎng)絡(luò)安全防護(hù)需求,在未來的網(wǎng)絡(luò)設(shè)備升級擴(kuò)容時,我們將會對銳捷系列防火墻進(jìn)行換代,力爭做到保障該高校校園網(wǎng)絡(luò)安全的萬無一失。
4結(jié)語
現(xiàn)今在高等學(xué)校校園網(wǎng)絡(luò)智慧化建設(shè)過程通過實踐及認(rèn)證出來的信息安全系列問題已經(jīng)是刻不容緩了,需請廣大高校網(wǎng)絡(luò)資源管理者的高度重視[20]。在構(gòu)建高校信息資源系統(tǒng)體系的時候,特別是為這類大型網(wǎng)絡(luò)搭建安全防護(hù)技術(shù)的同時,一定要從校園網(wǎng)的實際需求出發(fā),多種防護(hù)手段相結(jié)合運用。在網(wǎng)絡(luò)傳輸層的最底層僅僅布置一臺防火墻顯然不是明智之舉,還要輔助以入侵檢測系統(tǒng)、數(shù)據(jù)加密等技術(shù)來合力完成高校類大型網(wǎng)絡(luò)安全信息的建設(shè)。
參考文獻(xiàn):
[1]霍福華.網(wǎng)絡(luò)安全技術(shù)及策略在校園網(wǎng)中的應(yīng)用研究[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報,2017,16(04):46-47+52.
[2]向磊.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J].信息與電腦(理論版),2017,18(15):205-207.
[3]何書義.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用[J].通訊世界,2017,16(02):72-73.
[4]龔玉.網(wǎng)絡(luò)安全管理技術(shù)在中職校園網(wǎng)中的應(yīng)用[J].中國管理信息化,2016,19(24):144-145.
[5]張雯,李婧.防火墻技術(shù)及其在校園網(wǎng)絡(luò)安全中的應(yīng)用[J].科技展望,2016,26(24):4.
[6]黃超,王勇.VPN技術(shù)在校園網(wǎng)絡(luò)安全體系中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016,23(08):77+79.
作者:夏可為 單位:仙桃職業(yè)學(xué)院