鄒 珺 劉 婷 范志勤

（江西現代職業(yè)技術學院，江西南昌330095）

1、概述

校園網絡安全體系必須保證網絡的安全。校園網安全體系具有以下幾個方面的特點：一是整體性。多個局域網統(tǒng)一在一個管理體系下，可以有多個管理中心，但從物理結構上來講是一個整體。二是互動性。統(tǒng)一的管理體系最大的優(yōu)點就是互動和共享，不同的信息節(jié)點可以把收集到的信息提供給管理中心，管理中心可以把這些信息歸類匯總后提供給其他節(jié)點，同時管理中心在遇到突發(fā)事件時也可以通過網絡協(xié)調各節(jié)點及時處理。三是綜合性。高校的許多職能都實現了一體化數字校園，總結起來可以分為五大類，即：科研業(yè)務、教學業(yè)務、管理業(yè)務、服務保障業(yè)務、政工業(yè)務。四是服務性。建設網絡的最終目的是為了服務。

2、設計原則

一體化數字校園建設是一個長期而不斷擴展的過程，必須有統(tǒng)一的建設規(guī)劃、組織管理以及建設標準，所以在一體化數字校園網絡的建設過程中應該進行整體的數字校園規(guī)劃，執(zhí)行統(tǒng)一與規(guī)范的數據標準，加強信息中心技術人員隊伍建設，建立項目監(jiān)督與控制等靈活有效的運行機制。

在設計實施中應遵循以下原則：一是實際需求為前提原則；二是性價比最佳原則；三是硬件選型原則；四是可擴展性原則。

3、校園網絡安全體系架構

3.1 網絡安全體系結構的實現

確定了網絡安全設計思想以后，就可以以網絡安全設計的形式來實現。由設計思想到網絡設計的實現，需要一系列的步驟，依據需求分析、設備選型、服務應用等來確定網絡安全設計的實現。校園網絡安全設計的實現必須要包含以下要素[1]：一是硬件設備安全特性；二是防火墻；三是核心交換機；四是入侵檢測系統(tǒng)（IDS）；五是校園網監(jiān)測報警系統(tǒng)；六是授權原則。

校園網安全網絡拓撲結構，如圖1所示：

3.2 規(guī)劃vlan

校園網共分為兩部分：內網和外網，中間由防火墻隔開。內網劃分為不同的vlan，分別用于學校內部的教學、科研、管理和娛樂等。內網訪問外網需要特別授權，在學校以外的地方可以通過vpn通道來存取內部網的資源。內網設備主要包括認證服務器、Web服務器的代理服務器、域名服務器、郵件服務器、文件服務器等等。認證服務器負責用戶證書的生成、發(fā)布、維護和用戶身份的鑒別，同時，它也起著協(xié)調Web服務器和數據庫服務器工作的作用。Web服務器主要提供學校的門戶網站服務，有條件地向外提供學校的信息數據。代理服務器(或應用網關)是內網與公網、公網和Internet之間的橋梁和關卡[2]，一方面協(xié)助相鄰兩個網段的信息互訪，另一方面適當地控制兩者之間的信息交流。

VLAN即虛擬局域網是一種通過局域網內的設備邏輯地而不是物理地劃分成一個個網段，從而實現虛擬工作組的技術，是分組式廣播網絡，每個VLAN對應著一個廣播域，它以軟件方式來實現邏輯工作組的劃分和管理，邏輯工作組的結點組成不受結點物理位置的限制。工作組成員可分屬不同的物理網段，同時不同的物理網段也可以是同一個工作組。虛擬局域網的實現方式主要有三種：靜態(tài)端口分配、動態(tài)虛擬網和多虛擬網端口配置[3]。

靜態(tài)虛擬網是一種普遍使用的VLAN劃分方法，它是通過設置交換機的端口到一個廣播域來實現的?；诙丝诘腣LAN需要設置每臺交換機的每個端口，雖然這種設置有些麻煩但相對安全、容易配置和維護。

動態(tài)虛擬網的端口是根據每個主機的MAC地址來劃分的，即對每個MAC地址的主機都配置它屬于哪個工作組。這種劃分VLAN的方法的最大優(yōu)點就是用戶可以靈活地改變交換機端口，而VLAN不重新配置。它的缺點就是初始化比較麻煩，初始時每臺主機的MAC都要加入到MAC表中。

多虛擬端口配置支持一臺主機或某一端口同時訪問多個虛擬網，可以實現讓多個虛擬網的鏈接，只需要一個路由端口就可完成，但這樣會帶來安全上的隱患[4]。

3.3 域控系統(tǒng)的設計與實現

域技術是微軟為了提高大型網絡的管理效率與安全性而提出的管理局域網的思路。通過域可以實現在一個統(tǒng)一的平臺上對局域網網絡采取一些統(tǒng)一的管理策略。

某高校校園網系統(tǒng)的安全是建立在域控的基礎上的。利用域控技術，使用域賬戶可以登錄本域中的任何主機，使用域賬戶登錄可以訪問本域中的所有授權資源，本域中的系統(tǒng)管理員可以通過委派授權域賬戶來提高系統(tǒng)的安全性和集中管理賬戶。采用微軟的域控技術可以對高校校園區(qū)中的主機進行環(huán)境集中管理、軟件集中管理和安全集中管理，域控的優(yōu)點就是可以按照統(tǒng)一的原則集中建立安全策略，限定入網的機器所使用的軟件，統(tǒng)一客戶端桌面、統(tǒng)一IE、統(tǒng)一TCP/IP設置等[5]。

4、預警與反應中心的設計與實現

預警和反應中心的設計是對保障信息網絡安全的一個必要的補充，是當網絡出現不正?，F象時管理員進行錯誤分析和判斷的有力手段，可以有效防止類似于某臺機器由病毒等造成的網絡不正?，F象?？梢詰靡惶坠δ軓姶蟮木W絡故障偵測工具快速診斷網絡故障原因，并提出具體的解決辦法，然后由工作人員現場或遠程解決故障。其組織結構如圖2所示：

5、總結

通過對一體化數字校園網絡安全體系的分析，經過測試，達到了預期效果。但從校園網的繼續(xù)發(fā)展來看，校園網安全的實施將不斷進步，但同時病毒、黑客攻擊的技術也在不斷發(fā)展，安全威脅依然存在。如何應對新的病毒、黑客技術的發(fā)展，如何在新的安全威脅的前提下進一步提高數字校園網的系統(tǒng)性能、安全體系和穩(wěn)定運行,這是我們下一步的研究課題。

[1]雷震甲.網絡工程師教程[M].清華大學出版社，2007.

[2]胡秀建.校園網絡安全現狀剖析及解決方案[J].宿州教育學院學報，2011,(1).

[3]邵軍,雷雨.淺析高職院校校園網絡安全與防范策略[J].湖北水利水電職業(yè)技術學院學報，2009,(4).

[4]張華.淺析高校校園網絡的安全管理[J].信息系統(tǒng)工程，2012,(10).

[5]韋巍，樂國友.澳民策略在網絡安全中的應用[J].法制與經濟，2006,(4).