摘 要：中學的校園網(wǎng)絡發(fā)揮著重要的作用，但是也承擔著巨大的風險。這里設計了綜合的網(wǎng)絡安全規(guī)劃，應用防火墻、病毒防護軟件、VPN技術、入侵檢測的方法保證了網(wǎng)絡安全與信息的可靠性，有著較強的工程借鑒意義。

關鍵詞：網(wǎng)絡安全；網(wǎng)絡結構；系統(tǒng)安全；病毒

中圖分類號：TP393.01

在教學等其他各個方面，網(wǎng)絡是學校信息的必要載體。現(xiàn)在中學校園很多規(guī)模較大，教職工和學生的日常生活越來越耦合于網(wǎng)絡，依靠網(wǎng)絡?？墒潜娝苤ヂ?lián)網(wǎng)有著自己的特性，那就是開放互聯(lián)。尤其是當前互聯(lián)網(wǎng)技術發(fā)展到現(xiàn)在，仍然對上面信息的安全防護沒有做到萬無一失，可以說仍然有非常大的隱患，這給學校的各種用戶帶來了風險。具體的表現(xiàn)有：計算機的病毒，非法的侵入，網(wǎng)絡的詐騙，信息的更改刪除等等。校園網(wǎng)絡安全環(huán)境不容樂觀，那么如何提高數(shù)據(jù)和網(wǎng)絡的安全性成為使用者的重要問題。本文對M學校規(guī)劃設計網(wǎng)絡安全體系結構，其方法可以作為同類技術的參考。

1 校園網(wǎng)絡及其安全狀況分析

該校園網(wǎng)絡的結構較為復雜，網(wǎng)絡拓撲形式比較高端：學校這里的地理區(qū)域有三個部分，分別是教學上課區(qū)域，日常生活娛樂區(qū)域，教務辦公區(qū)域。而教學上課區(qū)域包含了圖書館、信息管理中心、教學樓、實驗樓；辦公區(qū)域主要是行政后勤等辦公區(qū)域；生活娛樂區(qū)域主要是教職工宿舍，家屬區(qū)以及學生宿舍，校醫(yī)院，附屬幼兒園等。地理區(qū)域的劃分也是校園網(wǎng)網(wǎng)絡的劃分，這里因地制宜校園網(wǎng)的主節(jié)點設在了教學管理區(qū)域的信息管理中心，從網(wǎng)絡流量上看除了辦公后勤等區(qū)域應用較少，另外兩個網(wǎng)絡區(qū)域應用量都非常大，因此拓撲上是星型的結構。不僅如此，內部的地址和路由規(guī)劃是較為復雜的，這主要是作為較大的單位使用者比較多而且應用面積也寬廣，這樣就更加導致了網(wǎng)絡的安全和漏洞問題突出明顯，具體的表現(xiàn)在如下幾個方面：（1）首先校園有幾個年級學生以及大量的教職員工，網(wǎng)速快使用者十分眾多，出口帶寬不斷增加，使得容易遭受非法用戶以及網(wǎng)絡犯罪的襲擾；（2）學生使用者好奇心強，容易接觸非法連接不安全源；（3）操作系統(tǒng)設計的不完善不健壯，由于系統(tǒng)本身存在問題，也是隱患之源頭；（4）校園網(wǎng)用戶非法訪問反動色情等網(wǎng)站帶來的信息危害嚴重。

2 網(wǎng)絡安全規(guī)劃策略

因為校園網(wǎng)的特殊要求，考慮到其網(wǎng)絡現(xiàn)狀以及面對的侵擾危險，這里系統(tǒng)的安全規(guī)劃主要遵循以下的策略來進行。（1）首先應該事先網(wǎng)絡的隔離，即根據(jù)業(yè)務種類以及保密登記的不通使得網(wǎng)絡分段進行隔離，而網(wǎng)絡攻擊與信息不安全集中發(fā)生的部分限定在一個小區(qū)域子網(wǎng)內，這樣有利于全體網(wǎng)絡安全事先；（2）對于病毒防護、入侵檢測等等軟件最好采用性能優(yōu)異價格適中有相應資質進行過市場檢測的國內大品牌；（3）應該充分應用加密技術，對于核心環(huán)節(jié)保證其網(wǎng)絡信息的安全。

3 系統(tǒng)綜合安全防護設計

系統(tǒng)的綜合安全防護設計指的是采用多種綜合技術，在各個環(huán)節(jié)和保密點進行配置，使得網(wǎng)絡安全得以保證。這里總的概括為如下的幾個方面：外網(wǎng)以及內網(wǎng)通路上放置路由，然后利用主干的三層交換機對校園網(wǎng)絡進行分層，主要層次界面包含辦公教學部分，服務器集合部分，家屬住宅部分，圖書一卡管理部分，VPN部分，宿舍生活區(qū)部分，主要涵蓋了六片網(wǎng)絡區(qū)域。與此同時將入侵檢測以及防火墻安放在了服務器集合與校園網(wǎng)接口上。

3.1 部署應用防火墻

校園防火墻的應用，采用價格適中，性能良好的化為USG2000系列硬件防火墻。這里需要對其進行正確的劃分如下：

防火墻的應用不僅僅在于選擇一款服務到位、售后有保障技術先進的產品，如何進行配置和使用也決定了其效能發(fā)揮。一般來說能分成三個主要不通的安全區(qū)域，內部外部和非軍事化隔離區(qū)區(qū)域。內部是內部區(qū)域即可信區(qū)域，外部是外部區(qū)域即非可信區(qū)域，非軍事區(qū)域意味著為隔離區(qū)。這里配置的方法是這樣的：（1）根據(jù)校園網(wǎng)要求，配置規(guī)則滿足對數(shù)據(jù)流實時監(jiān)控特性，尤其是注意數(shù)據(jù)有無進行加密；（2）通過軟件人機接口界面進行設置，這樣違法IP地址就無法脫離內部區(qū)域IP數(shù)據(jù)包，具體說來就是把內部防火墻的IP包通過產品配置，阻擋內部地址進到路由里面；（3）合理應用DMZ部分，對于進行主要外部服務的公用部分進行良好的設置，主要包括郵件服務器，網(wǎng)絡拂去其以及DNS解析；（4）使用虛擬的VPN來保證使用者在外部安全的進行內部訪問。該通道應該進行良好的配置；（5）應用NAT把敏感的內部主機地址，映射到防火墻中能夠設置的有效公網(wǎng)IP；（6）重視防火墻LOG的讀取定期分析，這樣能夠今早對入侵病毒發(fā)現(xiàn)隔離處理，這需要一定的人工服務。

3.2 入侵檢測系統(tǒng)的應用配置

入侵檢測技術是現(xiàn)在先進的流行技術，在校園網(wǎng)內部的局域網(wǎng)段上，設置一臺入侵檢測系統(tǒng)，主要是實時觀測該網(wǎng)段上的各種post請求，同時將反饋信息傳送至中央處理信息單元。當任何一個子網(wǎng)段出現(xiàn)問題時，信息管理中心都會第一時間發(fā)現(xiàn)報警進行處理，這里還特別實現(xiàn)了入侵檢測和防火墻的共同應用配置，在軟件層面上可以較為良好的參數(shù)改變，當發(fā)現(xiàn)出現(xiàn)異常報警時候，不僅網(wǎng)絡系統(tǒng)自身應該第一時間進行反應，還應該使得受侵害的網(wǎng)絡計算機負責者以及網(wǎng)絡的監(jiān)管人員知道并采取措施。

3.3 校園網(wǎng)的VPN連接

對于VPN的應用也是多種多樣的，這里經(jīng)過方案的選取對比以及費效分析決定應用SSLVPN技術，這樣能夠保證科學安全效率的統(tǒng)一，使得VPN網(wǎng)絡良好的服務于校園網(wǎng)。如果采用IPSec VPN也是技術較為成熟的，但是其缺陷點有軟件管理的麻煩，特別是VPN策略的改變會帶來管理難度成倍成幾何級數(shù)的增加，但是SSLVPN不是這樣的，沒有特別的網(wǎng)絡軟件和硬件加成，應用IE等瀏覽引擎，使用簡單配置安全應用的SSL加密，可以十分可靠可信的訪問網(wǎng)絡數(shù)據(jù)，所以效果較好，人力物力花費可控的。

3.4 網(wǎng)絡防病毒部署

病毒式當前網(wǎng)絡安全不安定的重要因素，應該選取良好的病毒防護產品，這里主要應用了瑞星。建立的防護體系包括：1、校園網(wǎng)WEB服務器安全網(wǎng)絡版，能夠保證2000個網(wǎng)點的檢測防護等。2、核心的數(shù)據(jù)部分，包括財務、行政部分安裝響應客戶端，響應服務器服務。3、應用其網(wǎng)絡殺毒軟件，定時對中心病毒進行更新殺毒，以制度化的管理保證病毒防護的進行。4、當升級工作進行時，由網(wǎng)絡管理中心負責服務，網(wǎng)絡中心自動獲取公司數(shù)據(jù)庫并且進行分發(fā)內部網(wǎng)絡。

3.5 漏洞掃描

采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結果向系統(tǒng)管理員提供周密、可靠的安全性分析報告。漏洞服務主要針對服務器的升級進行，該服務也結合市場化的軟件進行。

4 結束語

當前的情況是，采用這種綜合的網(wǎng)絡安全防護體系，能夠較好的保證校園生活學習教務考務財務等工作的順利進行，也出現(xiàn)過抵擋外部網(wǎng)絡攻擊的案例。但是我們應該清醒的認識到，矛和盾永遠都是在發(fā)展，隨著攻擊手段和網(wǎng)絡技術的升級，校園網(wǎng)絡安全的防護應該是時時更新，隨時升級，應該注意新技術的應用，同時還要在管理體系尚保證防護體系正確發(fā)揮作用，最終才能確保網(wǎng)絡信息安全，任重而道遠。

參考文獻：

[1]袁海燕.淺談網(wǎng)絡安全技術及其在校園網(wǎng)中的應用[J].電腦知識與技術，2006（02）.

[2]SteveWisniewski.高級網(wǎng)絡管理[M].詹文軍，譯.北京：高等教育出版社，2006.

[3]郎青.利用入侵檢測系統(tǒng)構建安全的校園網(wǎng)[J].湖南農業(yè)大學學報（自然科學版），2005.

[4]石淑華，池瑞楠.計算機網(wǎng)絡安全技術（第2版）[M].北京：人民郵電出版社，2008.

作者單位：新疆哈密石油外國語學校，新疆哈密 839009