摘 要 高校信息化建設的開展，教學、科研、辦公、生活對于校園網平臺的依賴性越來越強，？信息資源已成為各高校的戰(zhàn)略資源，其安全性越來越受到各高校的重視。分析了高校各種數(shù)字資源及其使用的方法，研究了通過網絡遠程安全共享的各種方式，本文提出一種可靠方便的策略實現(xiàn)高校信息資源在開放網絡中的安全遠程使用

關鍵詞 高校信息資源 安全策略 遠程訪問

一、前言

隨著高校網絡的建設，越來越多的信息資源被放置到校園網絡中共享使用，比如如數(shù)字圖書、購買的電子期刊網絡、購買的國內外各種專業(yè)數(shù)據庫、網絡課程數(shù)據庫、課程試題庫、學校數(shù)字文化數(shù)據庫、電子講義、教學素材庫、教學網站等。信息資源的交流能力與水平以及信息資源的共享程度也已成為衡量一所高校綜合實力的重要指標之一，信息資源已成為高校的戰(zhàn)略資源。隨著高校的信息化建設，學校各種信息管理系統(tǒng)采用網絡模式，也使教務、OA、財務、后勤、科研、學生、人力資源等管理系統(tǒng)也成為信息資源，方便了校園網絡用戶使用。隨著高校規(guī)模的擴大和經濟的發(fā)展，許多教職員工和與學生住在學校外面，教與學的活動沒有時間的限制特性，如何解決在校外師生的遠程安全訪問學校的信息資源已經成為校園網應用發(fā)展的一個關鍵點。本文通過研究高校網絡的常用出口結構，分析各種信息資源的使用和共享的方式，設計了一種比較合適當前高校信息資源遠程安全訪問策略和機制，可以促使學校信息資源的共享，推動教學和科學研究的發(fā)展。

二、高校校園網互聯(lián)體系結構

高校網絡基本上使用了當前最新的網絡技術連接學校的各個職能部門、研究室、實驗室、學生宿舍和教師公寓。多校區(qū)的高校，多數(shù)也是通過部署單模光纖把校區(qū)連接起來形成一個單個的校園網絡。校園網的拓撲結構有很多種，當前最多的是核心交換機方式的千兆以太網或萬兆以太網絡，形成一個星型的拓撲結構。網絡的出口都有中國教育科研計算機網絡CERNET，方便地訪問各個高校與科研院所的資源；通過向清華大學網絡中心的教育網總出口購買流量的方式可以訪問各個公共網絡和國外網絡。有的學校為了加快訪問公網和國外網絡的速度，設置另外一個接口連接電信網絡或其他廣域網絡，

三、高校信息資源遠程訪問研究

高校的信息資源分布在各個職能部門、院系以及研究部門和信息中心，部署在各個局域網中。很多資源直接把應用界面模塊提供給通過校園內部用戶使用。外部網絡的用戶如果要使用局域網的資源，要以電話線方式登錄到系統(tǒng)的遠程服務器上，通過用戶名和密碼的校驗認證后，進入系統(tǒng)后使用資源。因為當前家庭或學生外部宿舍都采用小區(qū)寬帶、光纖入戶或XDSL等模式連接到公共網絡，不可能切換到另外一種撥號方式使用學校的資源，同時該方式網絡速度也比較慢，限制了很多資源的使用，比如多媒體課件資源和視頻資源的播放。為此學校的各種資源訪問必須采用開放的形式，能夠被所有校園網絡用戶可以通過互聯(lián)的外部網絡直接使用學校信息資源和各種管理系統(tǒng)系統(tǒng)。

基于TCP/IP網絡的遠程資源共享方式與資源的屬性有很大的關系，比如文件共享可以采用FTP的模式，用戶名和密碼認證使用FTP工具軟件即可；EMAIL可以通過設置POP3和SMTP協(xié)議服務器，采用各種電子郵件客戶端來使用；各種信息管理系統(tǒng)也可以設置WEB模式提供通過外網的訪問；其他的資源必須采用專門的客戶端軟件，訪問控制信息資源的服務器才可以共享學校的資源。

當前通過網絡共享高校資源的方式以可用性為目的，幾乎都是簡單的用戶名和密碼方式的簡單認證。在開放的網絡中，該方式幾乎沒有什么安全性可言。懂得簡單網絡安全的人可以非常容易的盜用高校的網絡資源，比如CNKI、萬方數(shù)據庫、國內外的各種專業(yè)數(shù)據庫或者實驗室研究室的數(shù)據和成果。為了保護知識產權，提高信息資源的安全共享，多數(shù)系統(tǒng)服務采用指定IP地址范圍的形式限定網絡用戶，而采用公共網絡遠程訪問用戶其IP地址幾乎是變化的，即使IP地址固定也會因為遠程使用用戶比較分散不容易控制；這些都限制了安全遠程共享學校的信息資源，造成學生的學習與生活、教師科研人員的教學與研究變非常不方便。

為了提高信息資源的安全共享，應為校外用戶與共享資源之間建立一個安全的通道，而且該通道的成本比較低，使用方便。最為簡單的形式是采用VPN（VirtualPrivateNetwork，虛擬專用網）技術。VPN利用隧道技術，把數(shù)據封裝在隧道協(xié)議中，通過已有的公網建立隧道，從而實現(xiàn)點到點或端到端的聯(lián)接，構建在邏輯上獨立于公網的專用網絡。但VPN需要通過特殊設計的硬件和軟件直接共享的IP網所建立虛擬的加密通道連接，也需要為每個局域網的資源提供一個專門的硬件服務器，或者交換機、路由器提供的VPN功能模塊，需要IPSec協(xié)議支持。這些限制了校外用戶對校內信息資源的訪問。

對于WEB形式的信息資源可以采用SSL的方式加以控制，但是對于高校資源的使用來說，用戶一般是需求數(shù)據量很大，安全造成效率低，該方式只能局限于WEB形式。為此需要研究出符合校外用戶訪問校內共享資源合適的方式，以不改變用戶使用習慣，可以方便安全高效的完成信息資源共享為目標。

四、遠程訪問策略

在WindowsNT中，遠程連接的授權只能靠授予用戶賬戶撥入權限來實現(xiàn)，而Windows200OServer新增了遠程訪問策略，可以更靈活、更方便地實現(xiàn)遠程連接的授權，這樣就可以將用戶賬戶的撥入屬性和遠程訪問策略結合起來實現(xiàn)復雜的訪問權限設置。

（一）遠程訪問策略簡介

遠程訪問策陷是針對遠程連接（撥號連接或VPN連接）設置的一組條件和權限，用于規(guī)定用戶的遠程訪問權限。用戶只有在符合遠程訪問策略的前提下，才能連接到遠程訪問服務器，并根據遠程訪問策略的規(guī)定訪問遠程訪問服務器及其網絡資源。使用遠程訪問策略，可以根據所設條件（如時間限制、連接類型限制等）來授權。

Windows2000遠程訪問服務器和Internet驗證服務器（IAS）都使用遠程訪問策略來限制連接嘗試。遠程訪問策略集中在本地存儲，對于Windows2000遠程訪問服務器來說，通過路由和遠程訪問服務控制臺來集中管理，遠程策略存儲在遠程訪問服務器上；對于Windows200OIAS服務器來說，通過Internet驗證服務管理器來管理，遠程訪問策略集中存儲在IAS服務器上。如果將遠程訪問服務器配置為RDIUS客戶機，則存儲在該遠程訪問服務器上的策略將不再被應用。

遠程訪問策略與windows2000的組策略不同，遠程訪問策略不能存儲在活動目錄中。

遠程訪問策略實際上就是一種規(guī)則，由條件、遠程訪問權限和配置文件（Profile）3個部分構成。

條件就是應用遠程訪問策略的前提。如果有多個條件，連接嘗試應匹配所有的條件。

遠程訪問權限是由用戶賬戶遠程訪問權限和遠程訪問策路權限共同決定的，用戶賬戶遠程訪問權限優(yōu)先于策略遠程訪問權限。只有當用戶賬戶上的遠程訪問權限被設置為“通過遠程訪問策略控制訪問”選項時，策略遠程訪問權限才能決定是否授予用戶訪問權限。

配置文件用來進一步限制連接，只有選中“授予遠程訪問權限”選項，配置文件才能生效。

對每個用戶賬戶授予或拒絕遠程訪問權限。

（二）遠程訪問策略應用流程

了解遠程訪問策略作用的流程，便于管理員正確地應用遠程策略。當用戶進行連接嘗試時，將通過以下步驟逐步進行檢查，以決定是否授予訪問權限。

1、首先檢查遠程訪問策略列表中的第一個策略。如果沒有任何策略，將拒絕連接嘗試。

2、如果連接嘗試與該策略的所有條件都不匹配，則轉到下一個策略。如果沒有其他策略，則拒絕連接

如果一個策略中含有多個條件，就必須符合所有條件，才能算作匹配該策略。如果一個策略也沒有，將不能建立連接。如果連接嘗試沒有找到一個匹配的策略，也不能建立連接。

3、如果該策略的所有條件都與連接嘗試相匹配。則檢查嘗試連接的用戶賬戶的遠程訪問權限設置。

4、根據用戶賬戶的遠程訪問權限設置來決定下一步的連接嘗試。

如果選中了[拒絕訪問]，則拒絕連接嘗試。

如果選中了[允許訪問]，則通過檢查用戶賬戶屬性和策略配置文件屬性來決定連接嘗試。有兩種情況：（1）如果連接嘗試與用戶賬戶屬性和配置文件屬性的設置不匹配，則拒絕連接嘗試。（2）如果連接與用戶賬戶屬性和策路配置文件屬性的設置匹配，則接受連接嘗試。

如果選中[通過遠程訪問策略控制訪問]，將通過檢查策略的遠程訪問權限設置來決定連接嘗試。有兩種情況；（1）如果選中[拒絕遠程訪問權限]，則拒絕連接嘗試。（2）如果選中[授予遠程訪問權限]，則通過檢查用戶賬戶屬性和策略配置文件屬性來決定連接嘗試，還有兩種情況：（1）如果連接嘗試與用戶賬戶屬性和策略配置文件屬性的設置不匹配，則拒絕連接嘗試。（2）如果連接嘗試與用戶賬戶屬性和配置文件屬性的設置匹配，則接受連接嘗試。

5、如果接受連接嘗試，則將策略配置文件屬性應用于遠程連接。策略配置文件將最終決定是否拒絕連接嘗試，或者根據條件中斷已經建立的連接。

如果連接與第一個匹配遠程訪問策略的配置文件或用戶賬戶設置不匹配，則不會嘗試其他遠程訪問策略。遠程訪問策略按順序進行嘗試，通常都是將較特殊的遠程訪問策略按順序放置在較普遍的遠程訪問策略之前。使用遠程訪問策略，只有在連接嘗試的設置與遠程訪問策略相匹配時，才會授權連接。如果連接嘗試的設置至少與遠程訪問策略中的一個不匹配，不管用戶賬戶的撥入屬性如何設置，都將拒絕連接嘗試。

五、總結

遠程訪問策略實際上就是一種規(guī)則，由條件、遠程訪問權限和配置文件（Profile）3個部分構成 遠程訪問權限是由用戶賬戶遠程訪問權限和遠程訪問策路權限共同決定的，用戶賬戶遠程訪問權限優(yōu)先于策略遠程訪問權限。只有當用戶賬戶上的遠程訪問權限被設置為\"通過遠程訪問策略控制訪問\"選項時，策略遠程訪問權限才能決定是否授予用戶訪問權限。了解遠程訪問策略作用的流程，便于管理員正確地應用遠程策略。

參考文獻：

[1]高校信息資源遠程訪問研究，時間：2008作者：佚名.

[2]網絡訪問控制助網絡做到無懈可擊，作者：網管聯(lián)盟整理2003.

[3]基于策略的安全訪問控制系統(tǒng)在局域網中的應，2003來自網絡文章.

[4]淺析高校圖書館網絡安全問題及其應對策略，來源：網絡文章2008.

[5]如何創(chuàng)建訪問策略作者：協(xié)議分析網2007.