网络安全技术在校园网中的应用

龙源期刊网 http://www.qikan.com.cn

网络安全技术在校园网中的应用

作者：梁峻

来源：《数字技术与应用》2012年第04期

摘要：随着因特网的广泛使用，大量的企业、学校和行政单位加入到了互联网络，而且Internet应用到每家每户。网络安全的使用成为了各行各业共同关注的问题。校园网是学校网络使用的典型应用，如何将网络安全技术深入地应用到校园中，是现在学校网络安全应用的热门研究的课题之一。本文通过将网络安全技术应用的实践，总结出相应经验，期望能给校园网的安全应用提供相应的参考。

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）04-0000-00 高校校园网络的应用，已经成为了信息化建设、信息化教学科研、信息化办公的不可缺少的手段。校园网的安全使用直接关系到了学校的正常教学、管理活动。因此，校园网的安全体系的建立刻不容缓。 1、校园网安全需求分析

校园网的安全需求从各个方面都有体现，主要包括以下几个方面：

(1)网络系统的安全可靠性。随着学校的发展，校园网的应用也不断扩展，内容不断丰富。这就对于学校网络的安全可靠性提出了更高的要求。网络系统出现故障，必然将严重影响着学校的正常工作。这就要求学校的通信子网网络硬件设备能够正常工作，尽可能减少故障率。如核心路由器、核心交换机、汇聚层和接入层交换机等等网络硬件。同时也要求资源子网的硬件设备服务器的安全使用。校园网应用到的主要业务数据都是存放在网络服务器中，而且服务器大都要求24小时工作。如果服务器出现安全故障，将导致校园应用系统无法工作，这将严重影响整个学校的运行。服务器的安全使用，也关系到了学校关键数据的正常运行。 (2)不同地点的安全接入。接入校园网一般分为两个方面，一是校园网内部接入，一是外部网接入。这就需要采用更适合的安全网络方式来接入校园网，保障学校办公人员顺利接入网络，安全快捷地获取信息。

(3)病毒防范的需要。网络是病毒传播的最快捷途径，校园网也就成为了校网内部病毒传播最严重区域。病毒的的危害是不容乎视的，一旦在校园网内传播，将会迅速的感染到网络上所有使用的站点，极有可能造成校网内部信息的泄漏，危及到校园网的正常运行等等。 2、危害校园网安全的因素

网络安全使用的危害因素众多，对于校园网来讲，主要有以下几个方面的因素：

龙源期刊网 http://www.qikan.com.cn

(1)管理因素。校园网安全管理不重视，缺乏安全意识，这是威胁网络安全的重要因素，主要包括内部员工把网络内部的一些重要信息泄漏给外部人员；管理员及用户应用的口令和密钥被外人窃取；硬件设备被外部人员轻易接触；内部人员不受管制，可轻易篡改数据等等管理因素。

(2)计算机木马、病毒因素。它是造成校园网络故障的最主要因素，木马和病毒一直是严重影响网络安全使用的主要危害。计算机木马和病毒发展速度飞快，几乎每时每刻都在出现新的木马、病毒，校园网根本不可能完全避免它们的影响，只能通过防病毒软件和防火墙来及时处理、隔离、查杀，尽可能把危害降到最低。

(3)物理因素。校园网设备分散，分布范围遍布整个校区，不可能全部监控。而这些设备都有可能造成破坏，从而影响到正常的网络运行。为了尽可能规避风险，要加强网络设备的管理，健全网络管理制度。

(4)技术因素。校园网基本上是基于Intranet构建而成，它是基于TCP/IP协议的一种网络模式，这就必然造成相应的安全问题。由于Intranet从构建就存在安全隐患，随着网络的不断增加的应用，就必然产生相应的安全漏洞，必然影响到网络的安全应用。

(5)站点用户的因素。校园网用户的计算机水平良莠不齐，大多用户安全意识不强，操作不规范等原因，这些是造成校园网安全危害的主要因素。 3、安全技术的应用

(1)网络通信子网系统可靠性的设计。通信子网的可靠性的设计，主要指的是核心交换机、汇聚层和接入层交换机的设计。对于整个通信子网的要实现高可靠性的设计和建设，对于核心设备要多采用硬件备份、冗余等可靠性技术。针对网络的可靠性，要建立N+1备份系统，即主系统出现故障，备份系统能立刻加入到系统的运行，确保系统的正常可靠运行。对于核心和汇聚层交换机，应该具体分布式体系结构、关键部件冗余、实时热备份机制和热插拔特性关键性技术要求。

(2)网络资源子网的安全体系。服务器是承载着学校的私有重要数据，这些数据都是不能随意公开，必须保证数据的安全可靠性。而现今众多的黑客或商业间谍都是以这些数据为目标，重点破坏或窃取，以达到其不可告人的目的。因此，构建一个完整的安全体系，用于防御黑客的攻击是服务器安全设置的首要任务。可以采用的技术有，磁盘阵列RAID，采用硬盘组的技术来防止单个硬盘出现故障的应对措施，这可以有效的进行数据恢复，保护数据的安全。现常用的方式有RIAD0、RIAD1、RIAD5等等；链路聚合技术，将多个交换机低速端口捆绑成一个高速链路。由于服务器要求响应速度快，低速的端口无法满足服务的要求，采用链路聚合技术可以有效保障需求，他能够实现负荷的平衡，并且部分端口的故障也不会致使链路瘫痪，从而实现网络的稳定和安全性；双机热备技术，采用双机方式可以在主机故障时，备份服

龙源期刊网 http://www.qikan.com.cn

务器能立刻顶替，保证服务器的24小时不间断使用，数据不丢失，使服务器系统具有高可靠性。

(3)IP地址的规划设计。IP地址的规划设计方案是整个网络规划的至关重要之处，应该充分考虑到内部网络对IP地址的需求量，且IP地址的规划应具备唯一性、连续性、扩展性和规范性原则。唯一性即子网地址必须唯一，相同的子网段内主机地址必须唯一；连续性即各个节点应该划分连续的IP地址，这样可以简化路由表数据，提高路由算法的计算速度；扩展性即IP地址的编址应该充分考虑到其可扩展性，这是保障网络扩展的重要条件；规范性即对于各个网络设备采用规范的编址方式，这样有利于提高管理效率。

IP地址分配的原则应该是划分各个层次，对于核心层设备分配到一段连续的地址区域，与之相近的连接应集中在这个区域的附近。通过这样的合理地址分配，来减少路由表的长度，提高路由的效率。

对于各个站点的IP地址分配，采用DHCP的管理模式。DHCP是局域网IP地址管理的常用方法。DHCP服务能有效地管理IP地址的使用，对于管理者来讲，只要管理好DHCP服务器即可，而不需要象静态IP地址管理方式，采用静态设置各个站点IP地址，这样可以大大减少工作量，提高管理的效率。

(4)虚拟专用网络VPN接入技术。IPSecVPN和SSL VPN技术是现今校园网最主要的两大VPN接入技术。IPSecVPN的工作原理类似于包过滤防火墙，当接收到IP数据包时，防火墙使数据包的头部在规则表中进行匹配。当找到相匹配的规则时，就按照规则制定的方法对接收到的IP数据包进行丢弃或转发的处理。SSL VPN属于应用层VPN技术，SSL协议定义了完整的安全机制，对用户数据的完整性和私密性都有完善的保护。现大多数采用的是SSL VPN技术，主要是SSL VPN基于WEB，在Web上应用相当方便。当然它不能完全代替IPSecVPN技术，SSL VPN保护的WEB方式的远程接入，而IPSecVPN保护的是点对点的通信方式。 (5)木马病毒防御系统的设计。木马病毒是危害校园网运行的主要因素，它的传播途径广泛，包括光盘、U盘、移动硬盘、网络等的传播。对于木马病毒的防御系统主要可以进行以下方面的设计，第一，防病毒软件的过滤，对于各种类型的应用服务器都安装上实时防毒软件，对于各个站点都安装上病毒监控软件；第二，定时查杀，对于网络进行定时的病毒检查，清除有危害的潜伏病毒；第三，杀毒软件病毒库的及时升级，由于病毒的不断更新，为了防止最新病毒的传播，就必须及时升级更新病毒库，保持在最新病毒库的状态；第四，虚拟局域网VLAN的设置，VLAN能够有效隔离不同的网络段，这种灵活的网络划分模式，能够将病毒的危害限制在有限的网络范围；第五，访问控制列表ACL技术的应用，使用ACL技术能够有效地进行数据流控制，控制局域网的访问能力，用以保障资源的安全性。 4、结语