高校网络安全整体解决方案的研究

2022-09-11

校园网作为学校重要的基础设施, 担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。在网络建成的初期, 安全问题可能还不突出, 随着应用的深入, 校园网上各种数据会急剧增加, 网络的攻击越来越多, 各种各样的安全问题开始阻碍了校园网的正常运行。同时, 随着网络规模的不断扩大, 复杂性不断增加, 异构性不断提高, 用户对网络性能要求的不断提高, 网络安全也逐步成为网络技术发展中一个极为关键的任务, 对网络的发展产生很大的影响, 成为现代信息网络中最重要的问题之一[1]。因此, 随着校园网规模的不断扩大, 如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。

研究并构建高校网络安全整体解决方案, 可以为学校的教学信息系统、行政管理、信息交流提供一个安全的环境和完整的平台。利用高性能的网络安全环境, 提供防病毒、防黑客、信息过滤、身份验证等功能于一身的安全体系, 有效地保证学校各类文件的安全传输, 保证教学和管理工作的正常进行。

1 高校网络安全的需求分析

具有应用远景的高校校园网网络整体结构是一个通过千兆和百兆以太网链路连接的园区网络。从网络安全的角度来看, 整个网络分为三大部分, 第一部分为重点信息安全保护区, 即为高校校园网中的重要应用服务器群, 同时该部分还可包含网络内其它重要部门的网络设备与用户;第二部分为高校校园网普通网络区域, 即为校园网内除重点信息安全保护区外的其它网络设备和用户, 第三部分为外部网络区域, 即指与高校校园网连接的Internet网络和教育网[2]。结合高校的网络安全建设情况, 我们发现现有一些高校校园网的安全等级较低, 不能满足相应的安全需求。要改变这种现状, 就必须结合以下几个方面来考虑高校校园网的网络安全需求。

(1) 高校校园网禁止外部非校园网用户未经许可访问内部的数据, 实现高校内部网络和重要服务器数据的安全防护。

(2) 与本校其他校区的网络连接要在确保安全性的前提下结合经济性考虑。

(3) 高校各个部门、系所的网络访问进行控制, 各单位之间在未经授权的情况下, 不能相访问, 实现网络的隔离。

(4) 加强高校网络监控, 实现对涉及重要服务器数据的攻击行为的记录与分析。

(5) 高校网络中的病毒防范。

(6) 加强安全管理, 对高校内部网络访问行为进行规范化。

可见, 只有满足了上述需求才能提高高校校园网整体网络安全防护水平。

2 高校网络安全整体方案的设计与实现

2.1 高校网络骨干拓扑的设计

星型拓扑结构具有成本低级、易于管理、容易扩展等优点, 所以本案例的高校网络拓扑选用以星型拓扑结构为主。为了能实现高校网络与其他兄弟学校的视频及语音交流, 高校网络采用三层层次化网络设计模型, 核心层由高端路由器和交换机组成, 分布层由用于实现策略的路由器和交换机构成, 接入层通过用以连接用户的低端交换机和无线接入点构成。

网络总体上按核心层、汇聚层和接入层来设计。核心层交换机提供高校网络主干连接和三层路由交换功能;汇聚层负责服务器等设备的接入;接入层交换机提供高校网络用户接口。高校网络以防火墙为界限分为内网外网两部分。内网用于实现高校办公自动化系统。汇聚层采用两台中心交换机互为备份, 进行负载分担和流量控制。

2.2 高校网络VLAN的划分

V L A N即虚拟网络, 是在整个网络中通过网络交换设备建立起来的虚拟工作组。VLAN在逻辑中等OSI模型的广播域, 与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组, 不必在物理上重新配置任何端口, 真正实现了高校网络用户与它们的物理位置无关[3]。

本文根据高校网络的应用需求, 安全需求及设备性能, 高校校园网采用V L A N来实现网络的安全规划, 优化网络性能。具体划分如下:VLAN1, 为系统预设VLAN, 不采用;VLAN2, 教学楼用机;VLAN3, 行政办公楼用机;VLAN4, 图书馆用机;VLAN5, 服务器用机。为交换机指定端口设置归属VLAN的操作如下。

(1) 在“Catalyst 1900-Virtual VLANConfiguration”窗口执行“E” ([E]VLANMembership) 命令。

(2) 在“Catalyst 1900-VLAN Membership Configuration”窗口执行“V” ([V]VLAN assignment) 命令。

(3) 在“Enter port numbers:”后输人1 9 1 2端口号“5”, 并执行。

(4) 在“Identify VLAN 0VLAN 1005:Select[0-1005]”后输入虚网号“3”并执行。

这样就在1912上指定5号端口属于虚网号为“3”的虚网。凡通过5号端口接入高校网络的所有计算机都属于行政办公虚网。在整个高校校园网的V L A N成功建立的情况下, 各高校部门站点只需按分配给其所属VLAN的IP地址进行TCP/IP协议配里, 就可实现通信。实践证明, 利用V L A N技术将I P冲突缩小到同一V L A N内, 能有效地改善高校校园网的I P地址管理。

2.3 高校网络杀毒软件的安装

高校网络用机的人员对电脑知识掌握水平参差不齐。所以在整个高校网络系统中采用一套行之有效的防杀毒软件显得格外重要。可以选择采用业界较有名气的SYMANTE公司的“Norton AntiVirus Corporate Edition”。这个产品主要包括“S y m a n t e c系统中心”管理单元、L i v e update管理实用程序、中央隔离区[4]。

采用此软件有如下优点:具有只要高校网络内部的服务器端更新了病毒码, 则高校网络各受管理的工作站就会实时更新病毒码的功能;通过高校网络服务器上Symantec系统中心可获知任何设置“接受管理”的工作站是否操作了带病毒的程序和文件, 从而可定位于病毒的发源地;高校网络内部的服务器及工作站具有实时防护功能, 能对病毒入侵进行提示及杀除, 从而有效避免病毒的感染。

3 结语

从技术角度来讲, 高校网络安全又取决于网络设备的硬件与软件两个方面。网络设备的软件和硬件互相配合才能较好地实现网络安全。此外, 在高校网络安全技术不断发展的同时, 全面加强安全技术的应用也是高校网络安全发展的一个重要内容。因为即使有了高校网络安全的理论基础, 没有对高校网络安全的深刻认识, 没有广泛地将它应用于高校网络中, 那么谈再多的高校网络安全也是无用。只有做到这些方面的综合, 才能确保高校网络的安全。

摘要：随着高校校园网规模的不断扩大, 确保高校校园网安全运行是所有高校都关注的问题。本文在明确高校网络安全意义的基础上, 进行了高校网络安全的需求分析, 并重点研究了高校网络安全整体解决方案的设计与实现。该方案很好地确保高校的网络安全, 保证了高校教学与管理工作的正常运行。

关键词：网络安全,校园网,安全体系