楊名

【摘 要】本文論述高校無線校園網(wǎng)安全設(shè)計，從高校無線校園網(wǎng)面臨的安全問題來分析高校無線校園網(wǎng)安全建立的必要性，提出網(wǎng)絡(luò)安全架構(gòu)設(shè)計需要遵循標(biāo)準(zhǔn)成熟性、完善性、網(wǎng)絡(luò)可擴展性、部署靈活性四項原則，應(yīng)對結(jié)構(gòu)安全做全面性考慮、對安全接入功能做設(shè)計、做認(rèn)證安全設(shè)計準(zhǔn)入準(zhǔn)出安全設(shè)計，并在具體實踐中進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、安全接入設(shè)計、統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出設(shè)計、出口安全設(shè)計，以促進(jìn)高校無線校園網(wǎng)絡(luò)安全建設(shè)。

【關(guān)鍵詞】高校 ?無線網(wǎng)絡(luò) ?安全架構(gòu) ?設(shè)計

【中圖分類號】G ?【文獻(xiàn)標(biāo)識碼】A

【文章編號】0450-9889（2019）08C-0187-02

在信息化社會，無線網(wǎng)絡(luò)的應(yīng)用使較多領(lǐng)域的具體工作發(fā)生了顯著的變化，就調(diào)查統(tǒng)計分析來看，無線網(wǎng)絡(luò)的應(yīng)用便捷了資料信息的傳輸，對管理起到了非常積極的作用，同時，無線網(wǎng)絡(luò)的普及也為高校的網(wǎng)絡(luò)教育提供了條件。就目前的高校無線校園網(wǎng)應(yīng)用來看，無線網(wǎng)絡(luò)提高了管理的效率，幫助實現(xiàn)了高校管理的信息化發(fā)展，同時，無線校園網(wǎng)也為教育教學(xué)的模式變化以及靈活性提升創(chuàng)造了良好的條件。但是在具體的實踐應(yīng)用中發(fā)現(xiàn)，當(dāng)前的網(wǎng)絡(luò)環(huán)境對高校無線校園網(wǎng)的應(yīng)用及發(fā)展還存在不利影響，高校無線校園網(wǎng)普遍存在安全隱患，因此要在復(fù)雜的環(huán)境中保證無線校園網(wǎng)絡(luò)的有效利用，必須強化安全架構(gòu)的設(shè)計。

一、高校無線校園網(wǎng)安全建立的必要性

就目前的高校建設(shè)來看，為了建設(shè)信息化高校，同時也為了提高高校的教學(xué)效率和管理實效，無線校園網(wǎng)在高校中已經(jīng)非常普遍。對高校的無線校園網(wǎng)具體分析發(fā)現(xiàn)其面臨兩方面的安全問題。一方面是無線校園網(wǎng)存在非法入侵的情況。高校網(wǎng)絡(luò)作為信息化管理的重要工具，有較多機密性的資料和數(shù)據(jù)，非法入侵會導(dǎo)致信息資料的泄露。另一方面是高校無線校園網(wǎng)還普遍存在著網(wǎng)絡(luò)惡意攻擊的情形。一些非法用戶會利用網(wǎng)路渠道發(fā)送木馬、病毒等對高校無線校園網(wǎng)進(jìn)行攻擊，嚴(yán)重時會造成網(wǎng)絡(luò)癱瘓，給學(xué)校的信息化建設(shè)及應(yīng)用帶來嚴(yán)重影響。以上兩方面嚴(yán)重影響了高校無線網(wǎng)絡(luò)的應(yīng)用安全，必須對網(wǎng)絡(luò)做安全強化。

二、設(shè)計原則

高校無線校園網(wǎng)的安全架構(gòu)需要基于高校網(wǎng)絡(luò)利用的基本現(xiàn)狀來開展，所以其具體的網(wǎng)絡(luò)安全架構(gòu)設(shè)計需要遵循以下四項原則：

（一）標(biāo)準(zhǔn)成熟性原則

無線校園網(wǎng)在高校管理實踐中要發(fā)揮突出的價值，需要具有成熟性和可操作性，如此，其運行才會更加的穩(wěn)定。在高校無線校園網(wǎng)構(gòu)建的時候要基于技術(shù)成熟和可操作做標(biāo)準(zhǔn)的制定，并依據(jù)標(biāo)準(zhǔn)做設(shè)計，校園網(wǎng)的整體效果發(fā)揮才會得到保障。簡言之，網(wǎng)絡(luò)安全要保證，網(wǎng)絡(luò)的標(biāo)準(zhǔn)性是必須要強調(diào)的，操作的成熟性也是需要重視的，因此遵循標(biāo)準(zhǔn)成熟性原則有突出的意義。

（二）完善性原則

所謂的完善性原則具體指的是在高校無線校園網(wǎng)絡(luò)安全架構(gòu)設(shè)計中必須要對安全措施做完善性考慮。在高校無線網(wǎng)絡(luò)的具體利用中，除了學(xué)生會利用網(wǎng)絡(luò)，網(wǎng)絡(luò)黑客也會攻擊網(wǎng)絡(luò)，所以高校網(wǎng)絡(luò)的管理人員必須要將網(wǎng)絡(luò)安全放在重要的位置，并采取任何可以實現(xiàn)網(wǎng)絡(luò)安全的措施來保證無線網(wǎng)絡(luò)的運行安全，總之，無線網(wǎng)絡(luò)的安全需要從傳輸安全保護(hù)、運行環(huán)境安全防護(hù)、用戶認(rèn)證以及訪問控制等各個方面進(jìn)行強化，實現(xiàn)無線網(wǎng)絡(luò)安全完善的目標(biāo)。

（三）網(wǎng)絡(luò)可擴展性原則

之所以要強調(diào)可擴展性主要是因為當(dāng)前的網(wǎng)絡(luò)技術(shù)還處在飛速發(fā)展的階段，在之后的網(wǎng)絡(luò)建設(shè)中會利用到相比于當(dāng)前更先進(jìn)的技術(shù)以及設(shè)備，所以現(xiàn)階段的網(wǎng)絡(luò)結(jié)構(gòu)需要為未來的網(wǎng)絡(luò)應(yīng)用提供利用空間?；诖耍诂F(xiàn)階段的網(wǎng)絡(luò)安全架構(gòu)中需要對未來安全做考慮，所以安全架構(gòu)要具有可擴展性。

（四）部署靈活性的原則

部署靈活性主要是考慮到目前高校網(wǎng)絡(luò)建設(shè)的不統(tǒng)一。就具體的分析來看，現(xiàn)階段的高校無線網(wǎng)絡(luò)部署采用的形式與技術(shù)并不唯一，所以利用統(tǒng)一的標(biāo)準(zhǔn)會使具體的安全部署無法實施，所以在實踐中做靈活性部署強調(diào)，這樣可以使高校網(wǎng)絡(luò)的具體利用更具實踐性價值。

三、安全架構(gòu)的設(shè)計思想

高校無線校園網(wǎng)的安全架構(gòu)需要以保證高校網(wǎng)絡(luò)應(yīng)用的安全為目的，所以具體的設(shè)計思想和方法都要為最終的目的服務(wù)?？偨Y(jié)目前的高校無線校園網(wǎng)絡(luò)應(yīng)用并對當(dāng)前社會無線網(wǎng)絡(luò)應(yīng)用的安全設(shè)計做分析與探討，高校無線網(wǎng)絡(luò)安全設(shè)計需要從以下四個方面展開。一是高校網(wǎng)絡(luò)的結(jié)構(gòu)安全要得到保障，因此在具體的設(shè)計中需要對結(jié)構(gòu)安全做全面性考慮。二是需要對安全接入功能做設(shè)計。從現(xiàn)實分析來看，很多網(wǎng)絡(luò)的安全性較差，是因為在接入方面沒做安全考慮，所以會有大量的病毒、木馬對網(wǎng)絡(luò)進(jìn)行攻擊。三是做認(rèn)證安全設(shè)計準(zhǔn)入準(zhǔn)出安全設(shè)計。該方面的設(shè)計會對非法登錄形成打擊，而且做好準(zhǔn)入準(zhǔn)出的安全設(shè)計，用戶的安全體驗效果會更加完善。四是出口的安全設(shè)計。出口的安全設(shè)計對網(wǎng)絡(luò)形成了保護(hù)，這會讓高校的網(wǎng)絡(luò)應(yīng)用更具安全效果。

四、高校網(wǎng)絡(luò)安全架構(gòu)實踐

筆者所在高校為實現(xiàn)無線校園網(wǎng)的安全保障，積極尋求網(wǎng)絡(luò)安全的架構(gòu)方法，參考上述的網(wǎng)絡(luò)安全設(shè)計原則和思路進(jìn)行校園網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計，以下是具體的設(shè)計分析：

（一）網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

高?；谧陨淼膶嵺`在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計中采用了AP+AC的集中式架構(gòu)方案，該方案有兩大核心。一是基于核心交換機進(jìn)行規(guī)?；脑O(shè)備設(shè)計和部署，而利用的設(shè)備主要為智能AC設(shè)備。二是對校園無線網(wǎng)絡(luò)進(jìn)行集中的整合和管理，主要集中的對象為AP。

在方案的實施中該校網(wǎng)絡(luò)安全設(shè)計人員意識到AP+AC的集中式架構(gòu)的特點是集中，在AP出現(xiàn)問題后整個網(wǎng)絡(luò)會受到影響，因此具體的方案執(zhí)行中采用了雙AC冗余設(shè)計。所謂的雙AC冗余設(shè)計具體指的是在設(shè)計中利用兩臺智能AC設(shè)備，其中一臺為主控，另一臺為副控，兩臺AC設(shè)備分別和核心交換機做互聯(lián)并構(gòu)建CAPWAP隧道。此設(shè)計在實際運行的時候，如果網(wǎng)絡(luò)中存在主控制器故障的情況，副控制器會對主控制器進(jìn)行替代實現(xiàn)系統(tǒng)的繼續(xù)運用，而所有AP的主CAPWAP隧道也會切換到副控制器上，保證業(yè)務(wù)的正常。在主控制器恢復(fù)后，AC會實現(xiàn)備份，鏈路也隨之和主控制器進(jìn)行連接，從而保證其運行。

學(xué)校設(shè)計人員基于方案做設(shè)計后，對具體的網(wǎng)絡(luò)運行做了分析，發(fā)現(xiàn)雙AC冗余在網(wǎng)絡(luò)穩(wěn)定性和持續(xù)性方面有非常突出的效果。

（二）安全接入設(shè)計

接入是否具有安全性是高校無線校園網(wǎng)絡(luò)安全設(shè)計需要重點考慮的內(nèi)容，因此高校在具體的網(wǎng)絡(luò)安全設(shè)計中對安全接入設(shè)計做了重點的考慮，最終決定做兩方面的設(shè)計：一是進(jìn)行WIDS功能設(shè)計。高校網(wǎng)絡(luò)管理人員對校園用戶做具體的資料總結(jié)發(fā)現(xiàn)非法登錄和廣泛性的攻擊在校園網(wǎng)絡(luò)中表現(xiàn)十分的普遍，這影響了校園網(wǎng)的安全?；诰W(wǎng)絡(luò)管理部門提供的實時參考，設(shè)計人員在設(shè)計的時候于AC設(shè)備中做了WIDS模塊的部署。WIDS模塊實現(xiàn)了AP以及客戶端的認(rèn)證檢測，從而屏蔽了導(dǎo)致非法登錄訪問網(wǎng)絡(luò)的條件。二是高校網(wǎng)絡(luò)設(shè)計人員先對加密算法的有效性做了研究并對訪問用戶進(jìn)行了控制。校園網(wǎng)中的機密數(shù)據(jù)和教學(xué)資源比較多，安全設(shè)計考慮資源獲取和存儲十分必要。設(shè)計人員通過設(shè)計實現(xiàn)AP/AC中的多種加密技術(shù)和認(rèn)證技術(shù)支持，以此實現(xiàn)對訪問用戶的有效限定。

（三）統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出設(shè)計

在網(wǎng)絡(luò)安全設(shè)計中，對統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出也進(jìn)行了全面性設(shè)計。從設(shè)計結(jié)果來看，其設(shè)計主要涵蓋兩部分：一是做統(tǒng)一的認(rèn)證機制設(shè)計。設(shè)計人員認(rèn)為學(xué)校的認(rèn)證可以利用身份認(rèn)證方案，當(dāng)然也可以使用一套能夠?qū)崿F(xiàn)綜合認(rèn)證的計費系統(tǒng)并對接收到的數(shù)據(jù)做備份的方案。無論是哪種方案，在具體的認(rèn)證中，均需要AP、AC和Portal認(rèn)證服務(wù)器做配合，同時還需要與Radius認(rèn)證服務(wù)器做聯(lián)合。二是對準(zhǔn)入和準(zhǔn)出做一體化設(shè)計。設(shè)計人員的具體設(shè)計其能夠滿足不同認(rèn)證用戶的需要，在實踐中既有對802.1X用戶的認(rèn)證，也有對web portal用戶的認(rèn)證。對于802.1IX用戶的認(rèn)證，接入網(wǎng)絡(luò)后用戶網(wǎng)的內(nèi)外網(wǎng)會自行切換，當(dāng)身份得到認(rèn)證后認(rèn)證系統(tǒng)所連接的計費系統(tǒng)便會啟動，并基于不同的授權(quán)做計費處理。此設(shè)計實現(xiàn)了準(zhǔn)入和準(zhǔn)出的雙重功能合一，具有明顯的便利性。對于web portal認(rèn)證用戶，可以先在計費網(wǎng)關(guān)中心遞交用戶的認(rèn)證信息，在計費過后，計費中心會自動將信息轉(zhuǎn)移至認(rèn)證中心做信息的檢查和認(rèn)證，這種認(rèn)證是從內(nèi)網(wǎng)向外網(wǎng)進(jìn)行的，具體過程就兩步。在此種認(rèn)證方式的利用中，為了保證用戶的身份具有合法性，需要實現(xiàn)內(nèi)網(wǎng)安全、定位以及審計等功能的利用。

（四）出口的安全設(shè)計

高校的無線校園網(wǎng)絡(luò)安全設(shè)計中對出口安全也進(jìn)行了考慮。出口的獨立性會讓校園網(wǎng)絡(luò)的使用更具安全效果，獨立的安全出口需要滿足兩方面的要求：一是需要對多種路由協(xié)議做支持，二是需要設(shè)計具有統(tǒng)一性的網(wǎng)關(guān)設(shè)備，該設(shè)備能夠?qū)υ械陌踩O(shè)備進(jìn)行替代。

綜上所述，高校無線校園網(wǎng)的應(yīng)用安全關(guān)系著校園管理以及師生的合法權(quán)益，所以為了保證校園網(wǎng)絡(luò)的安全有效利用，必須要對網(wǎng)絡(luò)安全做全面性考慮。文章對高校網(wǎng)絡(luò)安全架構(gòu)設(shè)計的原則以及具體內(nèi)容等進(jìn)行分析，為高校的網(wǎng)絡(luò)安全架構(gòu)提供了參考，具有一定的參考價值。

【參考文獻(xiàn)】

[1]黃嵩.基于SDN架構(gòu)的無線局域網(wǎng)安全研究[J].電腦知識與技術(shù)，2017（13）

[2]李學(xué)龍，郝文英.基于IT治理的高校校園安全網(wǎng)絡(luò)框架設(shè)計研究與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（2）

[3]王斐.電力公司安全辦公無線局域網(wǎng)的設(shè)計與實現(xiàn)[D].南昌：江西財經(jīng)大學(xué)，2017

[4]蕭益民.高職院校無線校園網(wǎng)絡(luò)的分析與設(shè)計[J].電腦知識與技術(shù)，2017（21）

[5]呂旻.網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計原則與實現(xiàn)方案研究[J].自動化技術(shù)與應(yīng)用，2017（6）

【基金項目】2017年度廣西高校中青年教師基礎(chǔ)能力提升項目“高校無線數(shù)字化校園網(wǎng)絡(luò)安全技術(shù)研究”（2017KY1224）

【作者簡介】楊 名（1973— ），男，碩士，廣西工商職業(yè)技術(shù)學(xué)院副教授，研究方向：高職教育。

（責(zé)編 何田田）