校园网络安全体系的设计与应用分析

邹 珺 刘 婷 范志勤

（江西现代职业技术学院，江西南昌330095）

1、概述

校园网络安全体系必须保证网络的安全。校园网安全体系具有以下几个方面的特点：一是整体性。多个局域网统一在一个管理体系下，可以有多个管理中心，但从物理结构上来讲是一个整体。二是互动性。统一的管理体系最大的优点就是互动和共享，不同的信息节点可以把收集到的信息提供给管理中心，管理中心可以把这些信息归类汇总后提供给其他节点，同时管理中心在遇到突发事件时也可以通过网络协调各节点及时处理。三是综合性。高校的许多职能都实现了一体化数字校园，总结起来可以分为五大类，即：科研业务、教学业务、管理业务、服务保障业务、政工业务。四是服务性。建设网络的最终目的是为了服务。

2、设计原则

一体化数字校园建设是一个长期而不断扩展的过程，必须有统一的建设规划、组织管理以及建设标准，所以在一体化数字校园网络的建设过程中应该进行整体的数字校园规划，执行统一与规范的数据标准，加强信息中心技术人员队伍建设，建立项目监督与控制等灵活有效的运行机制。

在设计实施中应遵循以下原则：一是实际需求为前提原则；二是性价比最佳原则；三是硬件选型原则；四是可扩展性原则。

3、校园网络安全体系架构

3.1 网络安全体系结构的实现

确定了网络安全设计思想以后，就可以以网络安全设计的形式来实现。由设计思想到网络设计的实现，需要一系列的步骤，依据需求分析、设备选型、服务应用等来确定网络安全设计的实现。校园网络安全设计的实现必须要包含以下要素[1]：一是硬件设备安全特性；二是防火墙；三是核心交换机；四是入侵检测系统（IDS）；五是校园网监测报警系统；六是授权原则。

校园网安全网络拓扑结构，如图1所示：

3.2 规划vlan

校园网共分为两部分：内网和外网，中间由防火墙隔开。内网划分为不同的vlan，分别用于学校内部的教学、科研、管理和娱乐等。内网访问外网需要特别授权，在学校以外的地方可以通过vpn通道来存取内部网的资源。内网设备主要包括认证服务器、Web服务器的代理服务器、域名服务器、邮件服务器、文件服务器等等。认证服务器负责用户证书的生成、发布、维护和用户身份的鉴别，同时，它也起着协调Web服务器和数据库服务器工作的作用。Web服务器主要提供学校的门户网站服务，有条件地向外提供学校的信息数据。代理服务器(或应用网关)是内网与公网、公网和Internet之间的桥梁和关卡[2]，一方面协助相邻两个网段的信息互访，另一方面适当地控制两者之间的信息交流。

VLAN即虚拟局域网是一种通过局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术，是分组式广播网络，每个VLAN对应着一个广播域，它以软件方式来实现逻辑工作组的划分和管理，逻辑工作组的结点组成不受结点物理位置的限制。工作组成员可分属不同的物理网段，同时不同的物理网段也可以是同一个工作组。虚拟局域网的实现方式主要有三种：静态端口分配、动态虚拟网和多虚拟网端口配置[3]。

静态虚拟网是一种普遍使用的VLAN划分方法，它是通过设置交换机的端口到一个广播域来实现的。基于端口的VLAN需要设置每台交换机的每个端口，虽然这种设置有些麻烦但相对安全、容易配置和维护。

动态虚拟网的端口是根据每个主机的MAC地址来划分的，即对每个MAC地址的主机都配置它属于哪个工作组。这种划分VLAN的方法的最大优点就是用户可以灵活地改变交换机端口，而VLAN不重新配置。它的缺点就是初始化比较麻烦，初始时每台主机的MAC都要加入到MAC表中。

多虚拟端口配置支持一台主机或某一端口同时访问多个虚拟网，可以实现让多个虚拟网的链接，只需要一个路由端口就可完成，但这样会带来安全上的隐患[4]。

3.3 域控系统的设计与实现

域技术是微软为了提高大型网络的管理效率与安全性而提出的管理局域网的思路。通过域可以实现在一个统一的平台上对局域网网络采取一些统一的管理策略。

某高校校园网系统的安全是建立在域控的基础上的。利用域控技术，使用域账户可以登录本域中的任何主机，使用域账户登录可以访问本域中的所有授权资源，本域中的系统管理员可以通过委派授权域账户来提高系统的安全性和集中管理账户。采用微软的域控技术可以对高校校园区中的主机进行环境集中管理、软件集中管理和安全集中管理，域控的优点就是可以按照统一的原则集中建立安全策略，限定入网的机器所使用的软件，统一客户端桌面、统一IE、统一TCP/IP设置等[5]。

4、预警与反应中心的设计与实现

预警和反应中心的设计是对保障信息网络安全的一个必要的补充，是当网络出现不正常现象时管理员进行错误分析和判断的有力手段，可以有效防止类似于某台机器由病毒等造成的网络不正常现象。可以应用一套功能强大的网络故障侦测工具快速诊断网络故障原因，并提出具体的解决办法，然后由工作人员现场或远程解决故障。其组织结构如图2所示：

5、总结

通过对一体化数字校园网络安全体系的分析，经过测试，达到了预期效果。但从校园网的继续发展来看，校园网安全的实施将不断进步，但同时病毒、黑客攻击的技术也在不断发展，安全威胁依然存在。如何应对新的病毒、黑客技术的发展，如何在新的安全威胁的前提下进一步提高数字校园网的系统性能、安全体系和稳定运行,这是我们下一步的研究课题。

[1]雷震甲.网络工程师教程[M].清华大学出版社，2007.

[2]胡秀建.校园网络安全现状剖析及解决方案[J].宿州教育学院学报，2011,(1).

[3]邵军,雷雨.浅析高职院校校园网络安全与防范策略[J].湖北水利水电职业技术学院学报，2009,(4).

[4]张华.浅析高校校园网络的安全管理[J].信息系统工程，2012,(10).

[5]韦巍，乐国友.澳民策略在网络安全中的应用[J].法制与经济，2006,(4).