高俊　鄒金萍

摘要：虛擬專用網(wǎng)絡(luò)（VPN）是基于公共網(wǎng)絡(luò)構(gòu)建的網(wǎng)絡(luò)隧道，并通過(guò)數(shù)據(jù)加密、用戶認(rèn)證、訪問(wèn)控制等實(shí)現(xiàn)的虛擬專用網(wǎng)絡(luò)技術(shù)。在創(chuàng)建虛擬專用網(wǎng)絡(luò)的過(guò)程中，不用專門(mén)搭建物理網(wǎng)絡(luò)也可以保證網(wǎng)絡(luò)信息安全，降低了資金成本。該文提出將虛擬專用網(wǎng)絡(luò)應(yīng)用于校園信息安全管理建設(shè)中，可以有效保證校園數(shù)據(jù)信息安全。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)；信息安全；校園網(wǎng)絡(luò)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）02-0023-02

近幾年來(lái)，隨著計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，校園信息化建設(shè)已經(jīng)成為了高校推進(jìn)教學(xué)改革中的重點(diǎn)工作內(nèi)容，越來(lái)越多的高校提高了對(duì)校園信息化發(fā)展的重視程度，校園網(wǎng)絡(luò)成為了校園信息化建設(shè)中的關(guān)鍵組成部分。但是，由于校園網(wǎng)絡(luò)屬于一個(gè)開(kāi)放式網(wǎng)絡(luò)環(huán)境，很容易遭到外部入侵者的惡意攻擊，同時(shí)，計(jì)算機(jī)操作系統(tǒng)本身也會(huì)存在很多安全漏洞問(wèn)題，如果校園網(wǎng)絡(luò)受到黑客入侵或病毒感染，就會(huì)引發(fā)各種信息安全問(wèn)題，包括竊取學(xué)生個(gè)人隱私信息、盜取校園一卡通賬戶金額、篡改校園門(mén)戶網(wǎng)站信息等。因此，如何有效確保校園網(wǎng)絡(luò)信息安全已經(jīng)成為了現(xiàn)代社會(huì)信息安全領(lǐng)域廣泛重視的熱點(diǎn)問(wèn)題。

1 虛擬專用網(wǎng)絡(luò)的信息安全技術(shù)

1.1 隧道技術(shù)

隧道技術(shù)使虛擬專用網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一。隧道技術(shù)是通過(guò)某種網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的其他協(xié)議傳輸技術(shù)。隧道技術(shù)中包括三種協(xié)議：隧道協(xié)議、傳輸協(xié)議和乘客協(xié)議。首先，由隧道協(xié)議建立隧道；其次，通過(guò)傳輸協(xié)議負(fù)責(zé)傳送隧道協(xié)議；最后，由乘客協(xié)議實(shí)現(xiàn)對(duì)該協(xié)議的封裝，再由隧道協(xié)議將隧道拆除。利用隧道技術(shù)進(jìn)行傳輸?shù)臄?shù)據(jù)信息通常情況下都是以不同協(xié)議方式存在的數(shù)據(jù)幀、數(shù)據(jù)包，再通過(guò)隧道協(xié)議進(jìn)行封裝之后實(shí)現(xiàn)數(shù)據(jù)信息的傳輸。

1.2 用戶認(rèn)證技術(shù)

在創(chuàng)建隧道之前，一般會(huì)采用用戶認(rèn)證技術(shù)對(duì)用戶身份進(jìn)行驗(yàn)證，確保合法用戶授權(quán)的唯一性，以及實(shí)現(xiàn)對(duì)數(shù)據(jù)信息資源的訪問(wèn)控制。用戶認(rèn)證技術(shù)中的認(rèn)證協(xié)議利用的是摘要技術(shù)，通過(guò)哈希函數(shù)的算法將長(zhǎng)報(bào)文的長(zhǎng)度進(jìn)行變換之后，得到一個(gè)固定長(zhǎng)度的摘要。但是，由于哈希函數(shù)的變換特性不容易控制，導(dǎo)致將不同報(bào)文變換為固定長(zhǎng)度的摘要過(guò)程非常困難。

1.3 數(shù)據(jù)加密技術(shù)

虛擬專用網(wǎng)絡(luò)的另一個(gè)關(guān)鍵技術(shù)是利用數(shù)據(jù)加密技術(shù)對(duì)數(shù)據(jù)包進(jìn)行隱藏傳輸，如果數(shù)據(jù)包傳輸處于一個(gè)開(kāi)放式不安全的網(wǎng)絡(luò)環(huán)境中，即使進(jìn)行了用戶認(rèn)證也不能保證數(shù)據(jù)安全。首先，在隧道發(fā)送端必須經(jīng)過(guò)用戶認(rèn)證和數(shù)據(jù)加密，再對(duì)數(shù)據(jù)包進(jìn)行傳輸，用戶在隧道接收端對(duì)數(shù)據(jù)包進(jìn)行解密后讀取數(shù)據(jù)。數(shù)據(jù)加密形式包括對(duì)稱加密和非對(duì)稱加密，如果數(shù)據(jù)量較大可選擇對(duì)稱加密方式，如果存在保密級(jí)別較高的核心數(shù)據(jù)可選擇公鑰密碼機(jī)制實(shí)現(xiàn)數(shù)據(jù)加密。

1.4 訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)主要是對(duì)用戶發(fā)起對(duì)系統(tǒng)的訪問(wèn)進(jìn)行控制，以及用戶可以訪問(wèn)系統(tǒng)中的那部分資源，防止未授權(quán)的用戶獲取系統(tǒng)資源，由此起到控制訪問(wèn)的作用。

2 虛擬專用網(wǎng)絡(luò)在校園信息安全管理中的應(yīng)用

2.1 虛擬專用網(wǎng)絡(luò)設(shè)計(jì)原則

1）保障信息安全

建立虛擬專用網(wǎng)絡(luò)的目的是有效確保信息安全，采用用戶認(rèn)證、數(shù)據(jù)加密等機(jī)制來(lái)提高數(shù)據(jù)傳輸?shù)陌踩院屯暾?。因此，校園虛擬專用網(wǎng)絡(luò)的建立必須具有數(shù)據(jù)保密、信息完整和用戶認(rèn)證功能。

2）兼容多平臺(tái)

校園虛擬專用網(wǎng)絡(luò)的一個(gè)重要作用是不受時(shí)間和地域的限制，用戶可以隨時(shí)發(fā)起對(duì)校園網(wǎng)的訪問(wèn)，保證不同校區(qū)之間和移動(dòng)辦公人員發(fā)起遠(yuǎn)程訪問(wèn)時(shí)的網(wǎng)絡(luò)連接安全。

3）提供訪問(wèn)控制

校園虛擬專用網(wǎng)絡(luò)要實(shí)現(xiàn)為不同需求的用戶提供信息安全保護(hù)，必須采取相應(yīng)的訪問(wèn)控制方法，不同授權(quán)用戶的訪問(wèn)權(quán)限不同。

4）完善管理平臺(tái)

校園虛擬專用網(wǎng)絡(luò)服務(wù)器應(yīng)該為校園網(wǎng)用戶提供友好的界面設(shè)置，提高系統(tǒng)的可操作性。同時(shí)，要實(shí)現(xiàn)用戶訪問(wèn)網(wǎng)絡(luò)服務(wù)器的日志記錄、安全審計(jì)功能，為網(wǎng)絡(luò)安全監(jiān)控提供數(shù)據(jù)支持。

2.2 VPN在校園信息安全管理中的應(yīng)用方案

1）建立校園內(nèi)部虛擬網(wǎng)（Intranet VPN）

高校在不同校區(qū)之間創(chuàng)建校園內(nèi)部虛擬網(wǎng)（Intranet VPN），可以實(shí)現(xiàn)不同校區(qū)在不同地域條件下校園內(nèi)部分支結(jié)構(gòu)的網(wǎng)絡(luò)連接。不同校區(qū)之間建立光纖鏈路實(shí)現(xiàn)網(wǎng)絡(luò)連接，同時(shí)將網(wǎng)絡(luò)出口設(shè)置在新校區(qū)，校園網(wǎng)中有多項(xiàng)業(yè)務(wù)需要經(jīng)過(guò)光纖聯(lián)絡(luò)與新校區(qū)連接，包括校園一卡通業(yè)務(wù)、學(xué)生成績(jī)管理業(yè)務(wù)、學(xué)生檔案管理業(yè)務(wù)等，這些數(shù)據(jù)信息涉及個(gè)人隱私，因此，可以采用IPSec VPN技術(shù)在不同校區(qū)之間的網(wǎng)絡(luò)連路上進(jìn)行數(shù)據(jù)加密，以確保校園數(shù)據(jù)信息安全。

對(duì)于校園網(wǎng)的普通用戶來(lái)說(shuō)，可以設(shè)置相應(yīng)的安全策略實(shí)現(xiàn)不同校區(qū)之間的相互訪問(wèn)，安全級(jí)別設(shè)置為中等即可，否則會(huì)給網(wǎng)絡(luò)系統(tǒng)資源造成浪費(fèi)，使用戶訪問(wèn)校園網(wǎng)時(shí)出現(xiàn)速度過(guò)慢、無(wú)法登陸的問(wèn)題。對(duì)于高校檔案、人事、財(cái)務(wù)等涉及隱私數(shù)據(jù)部門(mén)的用戶來(lái)說(shuō)，要采用安全級(jí)別較高的二層隔離的方式使用戶先與校園網(wǎng)絡(luò)連接，再通過(guò)OSPF路由器選擇協(xié)議將這些數(shù)據(jù)信息傳輸?shù)胶诵慕粨Q機(jī)中，最后經(jīng)過(guò)數(shù)據(jù)加密之后在不同校區(qū)之間進(jìn)行數(shù)據(jù)傳輸。

在高校不同校區(qū)之間要配置網(wǎng)絡(luò)路由設(shè)備，使對(duì)校園網(wǎng)絡(luò)資源發(fā)起訪問(wèn)的用戶必須經(jīng)過(guò)虛擬專用網(wǎng)絡(luò)，同時(shí)確保論文路由設(shè)備具有足夠強(qiáng)大的性能，但也要考慮到網(wǎng)絡(luò)路由設(shè)備成本問(wèn)題。因此，在兩個(gè)校區(qū)都應(yīng)該配置具有虛擬專用網(wǎng)功能的網(wǎng)絡(luò)路由設(shè)備，再對(duì)網(wǎng)絡(luò)路由設(shè)備設(shè)置相應(yīng)的用戶訪問(wèn)策略，在不同校區(qū)之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)通道，確保數(shù)據(jù)安全傳輸?shù)街付ǖ刂?。校園內(nèi)部虛擬網(wǎng)構(gòu)建方案如圖1所示：

2）建立遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（Access VPN）

創(chuàng)建校園遠(yuǎn)程訪問(wèn)虛擬網(wǎng)Access VPN指的是在校園內(nèi)部配置一臺(tái)虛擬專用網(wǎng)絡(luò)服務(wù)器，遠(yuǎn)程用戶和移動(dòng)用戶可以利用虛擬專用網(wǎng)絡(luò)系統(tǒng)客戶端、虛擬專用網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)加密及數(shù)據(jù)封裝功能，通過(guò)并不安全的開(kāi)放式互聯(lián)網(wǎng)接入到校園網(wǎng)中。移動(dòng)用戶和遠(yuǎn)程用戶通過(guò)校園遠(yuǎn)程訪問(wèn)虛擬網(wǎng)絡(luò)可以使用當(dāng)?shù)鼗ヂ?lián)網(wǎng)服務(wù)商提供的網(wǎng)絡(luò)接入到校園網(wǎng)絡(luò)。

由于校園內(nèi)部網(wǎng)絡(luò)已經(jīng)配置了路由設(shè)備和防火墻設(shè)備，且SSL VPN可以嵌入用戶瀏覽器中，工作于網(wǎng)絡(luò)傳輸層之上，因此，遠(yuǎn)程用戶可以隨時(shí)隨地連接到校園網(wǎng)絡(luò)中。但是，遠(yuǎn)程用戶與校園網(wǎng)絡(luò)的連接需要校園內(nèi)部網(wǎng)絡(luò)IP地址，首先要在校園網(wǎng)絡(luò)中配置一臺(tái)DHCP主機(jī)服務(wù)器，負(fù)責(zé)為遠(yuǎn)程用戶提供校園內(nèi)部網(wǎng)絡(luò)的IP地址。其次，遠(yuǎn)程用戶與校園網(wǎng)絡(luò)服務(wù)器了連接需要獲取虛擬專用網(wǎng)絡(luò)服務(wù)器域名，還需要在計(jì)算機(jī)域名系統(tǒng)中配置虛擬專用網(wǎng)絡(luò)服務(wù)器域名，同時(shí)確保遠(yuǎn)程用戶可以隨時(shí)解析該域名。最后，由校園網(wǎng)絡(luò)為遠(yuǎn)程用戶提供URL虛擬網(wǎng)絡(luò)地址，當(dāng)遠(yuǎn)程用戶提出訪問(wèn)校園網(wǎng)絡(luò)資源時(shí)，該請(qǐng)求會(huì)發(fā)送到SSL VPN服務(wù)器中，經(jīng)過(guò)用戶認(rèn)證之后根據(jù)授權(quán)分配到不同服務(wù)器中，有效保護(hù)校園內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)不受到外部非法入侵者的攻擊。校園遠(yuǎn)程訪問(wèn)虛擬網(wǎng)構(gòu)建方案如圖2所示：

3 結(jié)束語(yǔ)

目前，隨著國(guó)家教育教學(xué)改革的推進(jìn)，校園信息化建設(shè)也被提上了日常，各大高校相繼建立了屬于自己的校園網(wǎng)絡(luò)，但校園網(wǎng)絡(luò)信息安全管理水平普遍不高。本文提出了將虛擬專用網(wǎng)絡(luò)應(yīng)用于校園網(wǎng)絡(luò)中實(shí)現(xiàn)信息安全管理，防止校園網(wǎng)絡(luò)重要數(shù)據(jù)信息丟失、外界非法入侵、計(jì)算機(jī)病毒感染等問(wèn)題，具有一定的理論與現(xiàn)實(shí)意義。

參考文獻(xiàn)：

[1] 羅天蘭. 虛擬專用網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用研究[J]. 電子技術(shù)與軟件工程，2015（22）：15-16.

[2] 崔升廣. 虛擬專用網(wǎng)技術(shù)的應(yīng)用與研究[J]. 遼寧省交通高等?？茖W(xué)校學(xué)報(bào)，2015（4）：35-37.

[3] 趙柳榕，梅姝娥，仲偉俊. 虛擬專用網(wǎng)和入侵檢測(cè)系統(tǒng)最優(yōu)配置策略的博弈分析[J]. 管理工程學(xué)報(bào)，2014（4）：187-192.

[4] 張瑩. 計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)中虛擬專用網(wǎng)路技術(shù)的應(yīng)用研究[J]. 信息與電腦：理論版，2014（9）：152-153.

[5] 黃曦. 虛擬專用網(wǎng)VPN各種技術(shù)的實(shí)現(xiàn)機(jī)制與應(yīng)用分析[J]. 信息通信，2013（4）：76.