摘 要：中學(xué)的校園網(wǎng)絡(luò)發(fā)揮著重要的作用，但是也承擔(dān)著巨大的風(fēng)險(xiǎn)。這里設(shè)計(jì)了綜合的網(wǎng)絡(luò)安全規(guī)劃，應(yīng)用防火墻、病毒防護(hù)軟件、VPN技術(shù)、入侵檢測的方法保證了網(wǎng)絡(luò)安全與信息的可靠性，有著較強(qiáng)的工程借鑒意義。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)結(jié)構(gòu)；系統(tǒng)安全；病毒

中圖分類號(hào)：TP393.01

在教學(xué)等其他各個(gè)方面，網(wǎng)絡(luò)是學(xué)校信息的必要載體。現(xiàn)在中學(xué)校園很多規(guī)模較大，教職工和學(xué)生的日常生活越來越耦合于網(wǎng)絡(luò)，依靠網(wǎng)絡(luò)。可是眾所周知，互聯(lián)網(wǎng)有著自己的特性，那就是開放互聯(lián)。尤其是當(dāng)前互聯(lián)網(wǎng)技術(shù)發(fā)展到現(xiàn)在，仍然對上面信息的安全防護(hù)沒有做到萬無一失，可以說仍然有非常大的隱患，這給學(xué)校的各種用戶帶來了風(fēng)險(xiǎn)。具體的表現(xiàn)有：計(jì)算機(jī)的病毒，非法的侵入，網(wǎng)絡(luò)的詐騙，信息的更改刪除等等。校園網(wǎng)絡(luò)安全環(huán)境不容樂觀，那么如何提高數(shù)據(jù)和網(wǎng)絡(luò)的安全性成為使用者的重要問題。本文對M學(xué)校規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全體系結(jié)構(gòu)，其方法可以作為同類技術(shù)的參考。

1 校園網(wǎng)絡(luò)及其安全狀況分析

該校園網(wǎng)絡(luò)的結(jié)構(gòu)較為復(fù)雜，網(wǎng)絡(luò)拓?fù)湫问奖容^高端：學(xué)校這里的地理區(qū)域有三個(gè)部分，分別是教學(xué)上課區(qū)域，日常生活?yuàn)蕵穮^(qū)域，教務(wù)辦公區(qū)域。而教學(xué)上課區(qū)域包含了圖書館、信息管理中心、教學(xué)樓、實(shí)驗(yàn)樓；辦公區(qū)域主要是行政后勤等辦公區(qū)域；生活?yuàn)蕵穮^(qū)域主要是教職工宿舍，家屬區(qū)以及學(xué)生宿舍，校醫(yī)院，附屬幼兒園等。地理區(qū)域的劃分也是校園網(wǎng)網(wǎng)絡(luò)的劃分，這里因地制宜校園網(wǎng)的主節(jié)點(diǎn)設(shè)在了教學(xué)管理區(qū)域的信息管理中心，從網(wǎng)絡(luò)流量上看除了辦公后勤等區(qū)域應(yīng)用較少，另外兩個(gè)網(wǎng)絡(luò)區(qū)域應(yīng)用量都非常大，因此拓?fù)渖鲜切切偷慕Y(jié)構(gòu)。不僅如此，內(nèi)部的地址和路由規(guī)劃是較為復(fù)雜的，這主要是作為較大的單位使用者比較多而且應(yīng)用面積也寬廣，這樣就更加導(dǎo)致了網(wǎng)絡(luò)的安全和漏洞問題突出明顯，具體的表現(xiàn)在如下幾個(gè)方面：（1）首先校園有幾個(gè)年級(jí)學(xué)生以及大量的教職員工，網(wǎng)速快使用者十分眾多，出口帶寬不斷增加，使得容易遭受非法用戶以及網(wǎng)絡(luò)犯罪的襲擾；（2）學(xué)生使用者好奇心強(qiáng)，容易接觸非法連接不安全源；（3）操作系統(tǒng)設(shè)計(jì)的不完善不健壯，由于系統(tǒng)本身存在問題，也是隱患之源頭；（4）校園網(wǎng)用戶非法訪問反動(dòng)色情等網(wǎng)站帶來的信息危害嚴(yán)重。

2 網(wǎng)絡(luò)安全規(guī)劃策略

因?yàn)樾@網(wǎng)的特殊要求，考慮到其網(wǎng)絡(luò)現(xiàn)狀以及面對的侵?jǐn)_危險(xiǎn)，這里系統(tǒng)的安全規(guī)劃主要遵循以下的策略來進(jìn)行。（1）首先應(yīng)該事先網(wǎng)絡(luò)的隔離，即根據(jù)業(yè)務(wù)種類以及保密登記的不通使得網(wǎng)絡(luò)分段進(jìn)行隔離，而網(wǎng)絡(luò)攻擊與信息不安全集中發(fā)生的部分限定在一個(gè)小區(qū)域子網(wǎng)內(nèi)，這樣有利于全體網(wǎng)絡(luò)安全事先；（2）對于病毒防護(hù)、入侵檢測等等軟件最好采用性能優(yōu)異價(jià)格適中有相應(yīng)資質(zhì)進(jìn)行過市場檢測的國內(nèi)大品牌；（3）應(yīng)該充分應(yīng)用加密技術(shù)，對于核心環(huán)節(jié)保證其網(wǎng)絡(luò)信息的安全。

3 系統(tǒng)綜合安全防護(hù)設(shè)計(jì)

系統(tǒng)的綜合安全防護(hù)設(shè)計(jì)指的是采用多種綜合技術(shù)，在各個(gè)環(huán)節(jié)和保密點(diǎn)進(jìn)行配置，使得網(wǎng)絡(luò)安全得以保證。這里總的概括為如下的幾個(gè)方面：外網(wǎng)以及內(nèi)網(wǎng)通路上放置路由，然后利用主干的三層交換機(jī)對校園網(wǎng)絡(luò)進(jìn)行分層，主要層次界面包含辦公教學(xué)部分，服務(wù)器集合部分，家屬住宅部分，圖書一卡管理部分，VPN部分，宿舍生活區(qū)部分，主要涵蓋了六片網(wǎng)絡(luò)區(qū)域。與此同時(shí)將入侵檢測以及防火墻安放在了服務(wù)器集合與校園網(wǎng)接口上。

3.1 部署應(yīng)用防火墻

校園防火墻的應(yīng)用，采用價(jià)格適中，性能良好的化為USG2000系列硬件防火墻。這里需要對其進(jìn)行正確的劃分如下：

防火墻的應(yīng)用不僅僅在于選擇一款服務(wù)到位、售后有保障技術(shù)先進(jìn)的產(chǎn)品，如何進(jìn)行配置和使用也決定了其效能發(fā)揮。一般來說能分成三個(gè)主要不通的安全區(qū)域，內(nèi)部外部和非軍事化隔離區(qū)區(qū)域。內(nèi)部是內(nèi)部區(qū)域即可信區(qū)域，外部是外部區(qū)域即非可信區(qū)域，非軍事區(qū)域意味著為隔離區(qū)。這里配置的方法是這樣的：（1）根據(jù)校園網(wǎng)要求，配置規(guī)則滿足對數(shù)據(jù)流實(shí)時(shí)監(jiān)控特性，尤其是注意數(shù)據(jù)有無進(jìn)行加密；（2）通過軟件人機(jī)接口界面進(jìn)行設(shè)置，這樣違法IP地址就無法脫離內(nèi)部區(qū)域IP數(shù)據(jù)包，具體說來就是把內(nèi)部防火墻的IP包通過產(chǎn)品配置，阻擋內(nèi)部地址進(jìn)到路由里面；（3）合理應(yīng)用DMZ部分，對于進(jìn)行主要外部服務(wù)的公用部分進(jìn)行良好的設(shè)置，主要包括郵件服務(wù)器，網(wǎng)絡(luò)拂去其以及DNS解析；（4）使用虛擬的VPN來保證使用者在外部安全的進(jìn)行內(nèi)部訪問。該通道應(yīng)該進(jìn)行良好的配置；（5）應(yīng)用NAT把敏感的內(nèi)部主機(jī)地址，映射到防火墻中能夠設(shè)置的有效公網(wǎng)IP；（6）重視防火墻LOG的讀取定期分析，這樣能夠今早對入侵病毒發(fā)現(xiàn)隔離處理，這需要一定的人工服務(wù)。

3.2 入侵檢測系統(tǒng)的應(yīng)用配置

入侵檢測技術(shù)是現(xiàn)在先進(jìn)的流行技術(shù)，在校園網(wǎng)內(nèi)部的局域網(wǎng)段上，設(shè)置一臺(tái)入侵檢測系統(tǒng)，主要是實(shí)時(shí)觀測該網(wǎng)段上的各種post請求，同時(shí)將反饋信息傳送至中央處理信息單元。當(dāng)任何一個(gè)子網(wǎng)段出現(xiàn)問題時(shí)，信息管理中心都會(huì)第一時(shí)間發(fā)現(xiàn)報(bào)警進(jìn)行處理，這里還特別實(shí)現(xiàn)了入侵檢測和防火墻的共同應(yīng)用配置，在軟件層面上可以較為良好的參數(shù)改變，當(dāng)發(fā)現(xiàn)出現(xiàn)異常報(bào)警時(shí)候，不僅網(wǎng)絡(luò)系統(tǒng)自身應(yīng)該第一時(shí)間進(jìn)行反應(yīng)，還應(yīng)該使得受侵害的網(wǎng)絡(luò)計(jì)算機(jī)負(fù)責(zé)者以及網(wǎng)絡(luò)的監(jiān)管人員知道并采取措施。

3.3 校園網(wǎng)的VPN連接

對于VPN的應(yīng)用也是多種多樣的，這里經(jīng)過方案的選取對比以及費(fèi)效分析決定應(yīng)用SSLVPN技術(shù)，這樣能夠保證科學(xué)安全效率的統(tǒng)一，使得VPN網(wǎng)絡(luò)良好的服務(wù)于校園網(wǎng)。如果采用IPSec VPN也是技術(shù)較為成熟的，但是其缺陷點(diǎn)有軟件管理的麻煩，特別是VPN策略的改變會(huì)帶來管理難度成倍成幾何級(jí)數(shù)的增加，但是SSLVPN不是這樣的，沒有特別的網(wǎng)絡(luò)軟件和硬件加成，應(yīng)用IE等瀏覽引擎，使用簡單配置安全應(yīng)用的SSL加密，可以十分可靠可信的訪問網(wǎng)絡(luò)數(shù)據(jù)，所以效果較好，人力物力花費(fèi)可控的。

3.4 網(wǎng)絡(luò)防病毒部署

病毒式當(dāng)前網(wǎng)絡(luò)安全不安定的重要因素，應(yīng)該選取良好的病毒防護(hù)產(chǎn)品，這里主要應(yīng)用了瑞星。建立的防護(hù)體系包括：1、校園網(wǎng)WEB服務(wù)器安全網(wǎng)絡(luò)版，能夠保證2000個(gè)網(wǎng)點(diǎn)的檢測防護(hù)等。2、核心的數(shù)據(jù)部分，包括財(cái)務(wù)、行政部分安裝響應(yīng)客戶端，響應(yīng)服務(wù)器服務(wù)。3、應(yīng)用其網(wǎng)絡(luò)殺毒軟件，定時(shí)對中心病毒進(jìn)行更新殺毒，以制度化的管理保證病毒防護(hù)的進(jìn)行。4、當(dāng)升級(jí)工作進(jìn)行時(shí)，由網(wǎng)絡(luò)管理中心負(fù)責(zé)服務(wù)，網(wǎng)絡(luò)中心自動(dòng)獲取公司數(shù)據(jù)庫并且進(jìn)行分發(fā)內(nèi)部網(wǎng)絡(luò)。

3.5 漏洞掃描

采用先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告。漏洞服務(wù)主要針對服務(wù)器的升級(jí)進(jìn)行，該服務(wù)也結(jié)合市場化的軟件進(jìn)行。

4 結(jié)束語

當(dāng)前的情況是，采用這種綜合的網(wǎng)絡(luò)安全防護(hù)體系，能夠較好的保證校園生活學(xué)習(xí)教務(wù)考務(wù)財(cái)務(wù)等工作的順利進(jìn)行，也出現(xiàn)過抵擋外部網(wǎng)絡(luò)攻擊的案例。但是我們應(yīng)該清醒的認(rèn)識(shí)到，矛和盾永遠(yuǎn)都是在發(fā)展，隨著攻擊手段和網(wǎng)絡(luò)技術(shù)的升級(jí)，校園網(wǎng)絡(luò)安全的防護(hù)應(yīng)該是時(shí)時(shí)更新，隨時(shí)升級(jí)，應(yīng)該注意新技術(shù)的應(yīng)用，同時(shí)還要在管理體系尚保證防護(hù)體系正確發(fā)揮作用，最終才能確保網(wǎng)絡(luò)信息安全，任重而道遠(yuǎn)。

參考文獻(xiàn)：

[1]袁海燕.淺談網(wǎng)絡(luò)安全技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2006（02）.

[2]SteveWisniewski.高級(jí)網(wǎng)絡(luò)管理[M].詹文軍，譯.北京：高等教育出版社，2006.

[3]郎青.利用入侵檢測系統(tǒng)構(gòu)建安全的校園網(wǎng)[J].湖南農(nóng)業(yè)大學(xué)學(xué)報(bào)（自然科學(xué)版），2005.

[4]石淑華，池瑞楠.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)（第2版）[M].北京：人民郵電出版社，2008.

作者單位：新疆哈密石油外國語學(xué)校，新疆哈密 839009