杨名
【摘 要】本文论述高校无线校园网安全设计,从高校无线校园网面临的安全问题来分析高校无线校园网安全建立的必要性,提出网络安全架构设计需要遵循标准成熟性、完善性、网络可扩展性、部署灵活性四项原则,应对结构安全做全面性考虑、对安全接入功能做设计、做认证安全设计准入准出安全设计,并在具体实践中进行网络结构设计、安全接入设计、统一认证和准入准出设计、出口安全设计,以促进高校无线校园网络安全建设。
【关键词】高校 无线网络 安全架构 设计
【中图分类号】G 【文献标识码】A
【文章编号】0450-9889(2019)08C-0187-02
在信息化社会,无线网络的应用使较多领域的具体工作发生了显著的变化,就调查统计分析来看,无线网络的应用便捷了资料信息的传输,对管理起到了非常积极的作用,同时,无线网络的普及也为高校的网络教育提供了条件。就目前的高校无线校园网应用来看,无线网络提高了管理的效率,帮助实现了高校管理的信息化发展,同时,无线校园网也为教育教学的模式变化以及灵活性提升创造了良好的条件。但是在具体的实践应用中发现,当前的网络环境对高校无线校园网的应用及发展还存在不利影响,高校无线校园网普遍存在安全隐患,因此要在复杂的环境中保证无线校园网络的有效利用,必须强化安全架构的设计。
一、高校无线校园网安全建立的必要性
就目前的高校建设来看,为了建设信息化高校,同时也为了提高高校的教学效率和管理实效,无线校园网在高校中已经非常普遍。对高校的无线校园网具体分析发现其面临两方面的安全问题。一方面是无线校园网存在非法入侵的情况。高校网络作为信息化管理的重要工具,有较多机密性的资料和数据,非法入侵会导致信息资料的泄露。另一方面是高校无线校园网还普遍存在着网络恶意攻击的情形。一些非法用户会利用网路渠道发送木马、病毒等对高校无线校园网进行攻击,严重时会造成网络瘫痪,给学校的信息化建设及应用带来严重影响。以上两方面严重影响了高校无线网络的应用安全,必须对网络做安全强化。
二、设计原则
高校无线校园网的安全架构需要基于高校网络利用的基本现状来开展,所以其具体的网络安全架构设计需要遵循以下四项原则:
(一)标准成熟性原则
无线校园网在高校管理实践中要发挥突出的价值,需要具有成熟性和可操作性,如此,其运行才会更加的稳定。在高校无线校园网构建的时候要基于技术成熟和可操作做标准的制定,并依据标准做设计,校园网的整体效果发挥才会得到保障。简言之,网络安全要保证,网络的标准性是必须要强调的,操作的成熟性也是需要重视的,因此遵循标准成熟性原则有突出的意义。
(二)完善性原则
所谓的完善性原则具体指的是在高校无线校园网络安全架构设计中必须要对安全措施做完善性考虑。在高校无线网络的具体利用中,除了学生会利用网络,网络黑客也会攻击网络,所以高校网络的管理人员必须要将网络安全放在重要的位置,并采取任何可以实现网络安全的措施来保证无线网络的运行安全,总之,无线网络的安全需要从传输安全保护、运行环境安全防护、用户认证以及访问控制等各个方面进行强化,实现无线网络安全完善的目标。
(三)网络可扩展性原则
之所以要强调可扩展性主要是因为当前的网络技术还处在飞速发展的阶段,在之后的网络建设中会利用到相比于当前更先进的技术以及设备,所以现阶段的网络结构需要为未来的网络应用提供利用空间。基于此,在现阶段的网络安全架构中需要对未来安全做考虑,所以安全架构要具有可扩展性。
(四)部署灵活性的原则
部署灵活性主要是考虑到目前高校网络建设的不统一。就具体的分析来看,现阶段的高校无线网络部署采用的形式与技术并不唯一,所以利用统一的标准会使具体的安全部署无法实施,所以在实践中做灵活性部署强调,这样可以使高校网络的具体利用更具实践性价值。
三、安全架构的设计思想
高校无线校园网的安全架构需要以保证高校网络应用的安全为目的,所以具体的设计思想和方法都要为最终的目的服务。总结目前的高校无线校园网络应用并对当前社会无线网络应用的安全设计做分析与探讨,高校无线网络安全设计需要从以下四个方面展开。一是高校网络的结构安全要得到保障,因此在具体的设计中需要对结构安全做全面性考虑。二是需要对安全接入功能做设计。从现实分析来看,很多网络的安全性较差,是因为在接入方面没做安全考虑,所以会有大量的病毒、木马对网络进行攻击。三是做认证安全设计准入准出安全设计。该方面的设计会对非法登录形成打击,而且做好准入准出的安全设计,用户的安全体验效果会更加完善。四是出口的安全设计。出口的安全设计对网络形成了保护,这会让高校的网络应用更具安全效果。
四、高校网络安全架构实践
笔者所在高校为实现无线校园网的安全保障,积极寻求网络安全的架构方法,参考上述的网络安全设计原则和思路进行校园网络结构的设计,以下是具体的设计分析:
(一)网络结构设计
高校基于自身的实践在网络结构设计中采用了AP+AC的集中式架构方案,该方案有两大核心。一是基于核心交换机进行规模化的设备设计和部署,而利用的設备主要为智能AC设备。二是对校园无线网络进行集中的整合和管理,主要集中的对象为AP。
在方案的实施中该校网络安全设计人员意识到AP+AC的集中式架构的特点是集中,在AP出现问题后整个网络会受到影响,因此具体的方案执行中采用了双AC冗余设计。所谓的双AC冗余设计具体指的是在设计中利用两台智能AC设备,其中一台为主控,另一台为副控,两台AC设备分别和核心交换机做互联并构建CAPWAP隧道。此设计在实际运行的时候,如果网络中存在主控制器故障的情况,副控制器会对主控制器进行替代实现系统的继续运用,而所有AP的主CAPWAP隧道也会切换到副控制器上,保证业务的正常。在主控制器恢复后,AC会实现备份,链路也随之和主控制器进行连接,从而保证其运行。
学校设计人员基于方案做设计后,对具体的网络运行做了分析,发现双AC冗余在网络稳定性和持续性方面有非常突出的效果。
(二)安全接入设计
接入是否具有安全性是高校无线校园网络安全设计需要重点考虑的内容,因此高校在具体的网络安全设计中对安全接入设计做了重点的考虑,最终决定做两方面的设计:一是进行WIDS功能设计。高校网络管理人员对校园用户做具体的资料总结发现非法登录和广泛性的攻击在校园网络中表现十分的普遍,这影响了校园网的安全。基于网络管理部门提供的实时参考,设计人员在设计的时候于AC设备中做了WIDS模块的部署。WIDS模块实现了AP以及客户端的认证检测,从而屏蔽了导致非法登录访问网络的条件。二是高校网络设计人员先对加密算法的有效性做了研究并对访问用户进行了控制。校园网中的机密数据和教学资源比较多,安全设计考虑资源获取和存储十分必要。设计人员通过设计实现AP/AC中的多种加密技术和认证技术支持,以此实现对访问用户的有效限定。
(三)统一认证和准入准出设计
在网络安全设计中,对统一认证和准入准出也进行了全面性设计。从设计结果来看,其设计主要涵盖两部分:一是做统一的认证机制设计。设计人员认为学校的认证可以利用身份认证方案,当然也可以使用一套能够实现综合认证的计费系统并对接收到的数据做备份的方案。无论是哪种方案,在具体的认证中,均需要AP、AC和Portal认证服务器做配合,同时还需要与Radius认证服务器做联合。二是对准入和准出做一体化设计。设计人员的具体设计其能够满足不同认证用户的需要,在实践中既有对802.1X用户的认证,也有对web portal用户的认证。对于802.1IX用户的认证,接入网络后用户网的内外网会自行切换,当身份得到认证后认证系统所连接的计费系统便会启动,并基于不同的授权做计费处理。此设计实现了准入和准出的双重功能合一,具有明显的便利性。对于web portal认证用户,可以先在计费网关中心递交用户的认证信息,在计费过后,计费中心会自动将信息转移至认证中心做信息的检查和认证,这种认证是从内网向外网进行的,具体过程就两步。在此种认证方式的利用中,为了保证用户的身份具有合法性,需要实现内网安全、定位以及审计等功能的利用。
(四)出口的安全设计
高校的无线校园网络安全设计中对出口安全也进行了考虑。出口的独立性会让校园网络的使用更具安全效果,独立的安全出口需要满足两方面的要求:一是需要对多种路由协议做支持,二是需要设计具有统一性的网关设备,该设备能够对原有的安全设备进行替代。
综上所述,高校无线校园网的应用安全关系着校园管理以及师生的合法权益,所以为了保证校园网络的安全有效利用,必须要对网络安全做全面性考虑。文章对高校网络安全架构设计的原则以及具体内容等进行分析,为高校的网络安全架构提供了参考,具有一定的参考价值。
【参考文献】
[1]黄嵩.基于SDN架构的无线局域网安全研究[J].电脑知识与技术,2017(13)
[2]李学龙,郝文英.基于IT治理的高校校园安全网络框架设计研究与实现[J].网络安全技术与应用,2017(2)
[3]王斐.电力公司安全办公无线局域网的设计与实现[D].南昌:江西财经大学,2017
[4]萧益民.高职院校无线校园网络的分析与设计[J].電脑知识与技术,2017(21)
[5]吕旻.网络安全体系结构的设计原则与实现方案研究[J].自动化技术与应用,2017(6)
【基金项目】2017年度广西高校中青年教师基础能力提升项目“高校无线数字化校园网络安全技术研究”(2017KY1224)
【作者简介】杨 名(1973— ),男,硕士,广西工商职业技术学院副教授,研究方向:高职教育。
(责编 何田田)