校園網(wǎng)絡(luò)安全保障方案范文

時間:2023-12-21 17:18:36

導(dǎo)語:如何才能寫好一篇校園網(wǎng)絡(luò)安全保障方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

校園網(wǎng)絡(luò)安全保障方案

篇1

關(guān)鍵詞:校園網(wǎng),安全性威脅,網(wǎng)絡(luò)安全,安全管理

中圖分類號:TP311文獻標(biāo)志碼:A

引言

隨著互聯(lián)網(wǎng)的迅速發(fā)展及其應(yīng)用的普及,計算機網(wǎng)絡(luò)已經(jīng)深入到社會的各行各業(yè),這包括政府、商業(yè)、教育、軍事等,成為社會的重要的基礎(chǔ)設(shè)施。在各個學(xué)校中,校園網(wǎng)已經(jīng)成為其必不可少的一部分,是學(xué)??蒲泻凸芾淼闹匾ぞ?尤其是高等院校。如果校園網(wǎng)絡(luò)的安全受到威脅,那將會影響到學(xué)校師生的工作、學(xué)習(xí)和生活,甚至?xí)W(xué)校的發(fā)展造成一定的影響。校園網(wǎng)的安全管理已經(jīng)成為各個學(xué)校面臨的重要問題之一,本文從校園網(wǎng)的安全特點入手,結(jié)合這些自身特點,運用當(dāng)前網(wǎng)絡(luò)安全技術(shù),以尋找提高校園網(wǎng)安全性的方法。

一、校園網(wǎng)的安全特點

校園網(wǎng)是覆蓋校園范圍的計算機網(wǎng)絡(luò),主要采用計算機局域網(wǎng)技術(shù)、互聯(lián)網(wǎng)技術(shù)及網(wǎng)絡(luò)接入網(wǎng)技術(shù),其中局域網(wǎng)技術(shù)用于校園建筑物內(nèi)計算機的互聯(lián),互聯(lián)網(wǎng)技術(shù)用于校園局域網(wǎng)的互聯(lián),接入網(wǎng)技術(shù)用于校園網(wǎng)與外部公共網(wǎng)絡(luò)(Internet)或?qū)S镁W(wǎng)(教育科研網(wǎng))的互聯(lián)。隨著無線接入技術(shù)的發(fā)展,建設(shè)無線校園網(wǎng)已經(jīng)成為一些高校校園網(wǎng)改造和升級的范圍內(nèi)。而建立校園網(wǎng)的目的就是實現(xiàn)資源共享、信息服務(wù)、網(wǎng)絡(luò)教學(xué)、遠程接入和網(wǎng)上辦公等,這就決定了校園網(wǎng)安全方面具有如下特點:

1、開放的網(wǎng)絡(luò)環(huán)境。由于學(xué)校具有教學(xué)和科研的特點,所以要求校園網(wǎng)絡(luò)的環(huán)境是開放的,而且在管理方面較企業(yè)網(wǎng)絡(luò)來說更寬松一些,這樣就會留下一些安全隱患;

2、活躍的用戶群。在高等學(xué)校中,在校學(xué)生通常是最活躍的網(wǎng)絡(luò)用戶,而且數(shù)量非常龐大,他們對網(wǎng)絡(luò)新技術(shù)充滿好奇,敢于嘗試。尤其是一些學(xué)生會嘗試使用從網(wǎng)上學(xué)到的或者是自己研究的一些攻擊技術(shù),而這些行為可能對校園網(wǎng)絡(luò)造成一定的影響和破壞;

3、復(fù)雜的計算機系統(tǒng)管理。高校中學(xué)生的電腦一般是自己花錢購買、自己維護的,有的院系是統(tǒng)一購買并有專門的技術(shù)人員維護,有的則是教師自主購買、沒有專業(yè)的維護,如果統(tǒng)一的管理這些電腦需要付出很多的時間。另外,大多數(shù)用戶基本上使用的是盜版軟件或者是在互聯(lián)網(wǎng)上下載的一些破解軟件,這些軟件存在很多的問題,例如留有后門、攜帶病毒等,這些將會影響計算機系統(tǒng)的正常運行。以上這些情況下要求實施統(tǒng)一的安全策略非常困難的,一旦發(fā)生某些不可預(yù)測的問題,解決起來十分困難。

以上這些特點是造成校園網(wǎng)成為攻擊發(fā)源地的主要原因,同時也造成校園網(wǎng)成為最容易攻擊的目標(biāo)。致使學(xué)校面臨著一些安全性威脅,而解決這些安全問題刻不容緩。

二、校園網(wǎng)面臨的安全性威脅

計算機網(wǎng)絡(luò)所面臨的安全性威脅可以劃分為兩大類,即被動攻擊和主動攻擊。主動攻擊是指攻擊者對某個連接中通過的PDU(協(xié)議數(shù)據(jù)單元)進行各種處理,如有選擇的更改、刪除、延遲這些PDU。被動攻擊中攻擊者只是觀察和分析某一個PDU而不干擾信息流,例如截獲數(shù)據(jù)。根據(jù)以上分類,聯(lián)系校園網(wǎng)的安全特點,可以總結(jié)出校園網(wǎng)面臨的一些安全性威脅:

1、計算機蠕蟲、病毒,屬于主動攻擊,將會影響用戶的使用、信息安全、網(wǎng)絡(luò)運行;

2、外來的系統(tǒng)入侵、攻擊等惡意破壞行為,屬于主動攻擊,其中有些計算機已經(jīng)被攻破,用作黑客攻擊的工具;拒絕服務(wù)攻擊目前越來越普遍,而且不少開始針對重點高校的網(wǎng)站和服務(wù)器;

3、截取信息,屬于被動攻擊,校園網(wǎng)主機保存了高新技術(shù)信息,如重大科研項目的數(shù)據(jù)、進度和成果,這些信息對競爭對手來說非常具有吸引力;校園網(wǎng)開展遠程教育,課程的考試也通過網(wǎng)絡(luò)進行,一些考生可能想從網(wǎng)上竊取考題,修改成績或請人替考。這些都會影響校園網(wǎng)的安全運行。

以上這些只是校園網(wǎng)作為計算機網(wǎng)絡(luò)有可能發(fā)生的一些攻擊,因為校園網(wǎng)是一種特殊的計算機網(wǎng)絡(luò),有著特殊的用戶群,所以校園網(wǎng)還面臨著自身特有的一些安全性威脅:

1、內(nèi)部用戶的攻擊行為,主要是由于在校學(xué)生的好奇心理、探索性,進行一些不顧后果的嘗試,影響校園網(wǎng)的正常運轉(zhuǎn),有可能給學(xué)校帶來損失;

2、垃圾郵件、不良信息的傳播,有的利用校園網(wǎng)內(nèi)無人管理的服務(wù)器作為中轉(zhuǎn),嚴(yán)重影響學(xué)校的聲譽;

3、普遍存在的計算機系統(tǒng)的漏洞,對信息安全、系統(tǒng)的使用、網(wǎng)絡(luò)的運行構(gòu)成嚴(yán)重的威脅。

4、用戶的計算機水平不同,一些用戶由于防范意識低,會打開一些攜帶病毒的文件,導(dǎo)致計算機的運行出現(xiàn)問題,甚至?xí)绊懙秸麄€網(wǎng)絡(luò)。

另外,物理安全也是校園網(wǎng)安全的一個方面,例如網(wǎng)絡(luò)設(shè)施遭受人為破壞、盜竊或者是自然災(zāi)害等。

綜上,校園網(wǎng)面臨的安全性威脅是多方面的。要提高校園網(wǎng)的安全性能,需要運用當(dāng)前先進的網(wǎng)絡(luò)安全技術(shù),建立完善的防護措施。

三、北京大學(xué)校園網(wǎng)信息安全解決方案

由校園網(wǎng)所面臨的安全性威脅可以看出,提高校園網(wǎng)絡(luò)的安全性已經(jīng)是各個學(xué)校的當(dāng)務(wù)之急,提高安全性首要的就是加強校園的安全管理工作。校園網(wǎng)的安全管理可以借鑒一些成功的比較完善的學(xué)校的經(jīng)驗。例如北京大學(xué)的校園網(wǎng)信息安全解決方案,就是一個典型的例子。我國的高等院校管理結(jié)構(gòu)大體相同,北京大學(xué)也是如此,整個學(xué)校院系樓群、學(xué)生公寓眾多,各部門的信息系統(tǒng)很分散,安全需求也不相同,如圖書館、檔案館、財務(wù)部、教務(wù)部等都各自有獨立的信息服務(wù)系統(tǒng),甚至獨立的網(wǎng)絡(luò)結(jié)構(gòu)和專職的網(wǎng)絡(luò)管理員,而多數(shù)的部門則主要是依托網(wǎng)絡(luò)中心來提供信息服務(wù)。鑒于這種管理結(jié)構(gòu),北京大學(xué)校園網(wǎng)采用的是部門獨立,相對分散的信息安全管理架構(gòu)。對圖書館、財務(wù)部等有一定網(wǎng)絡(luò)規(guī)?;?qū)π畔踩刑厥庖蟮牟块T,自成一個安全實體,而其它全校公共信息服務(wù)系統(tǒng),則由網(wǎng)絡(luò)中心統(tǒng)一負責(zé)管理。網(wǎng)絡(luò)中心為校園提供基本的安全服務(wù)和安全保障,主要體現(xiàn)在以下四個方面:

1、網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。防火墻是校園網(wǎng)信息安全保障的核心點,它負責(zé)校園網(wǎng)中最根本的信息服務(wù)系統(tǒng)的安全。通

過部署防火墻,實施嚴(yán)格的數(shù)據(jù)流監(jiān)控,同時在防火墻和服務(wù)系統(tǒng)上做了較為詳細的日志記錄,為安全事件的事后取證工作提供依據(jù)。2、垃圾郵件過濾系統(tǒng)和防病毒郵件網(wǎng)關(guān)。北京大學(xué)為全校教師和學(xué)生提供唯一域的郵箱賬號,共用同一個郵件服務(wù)器有利于方便的管理。對垃圾郵件和病毒郵件分別進行處理,采用過濾系統(tǒng)和郵件防病毒網(wǎng)關(guān)對郵件進行過濾,將垃圾郵件的數(shù)量降到最低,以提高網(wǎng)絡(luò)的效率。

3、桌面防病毒系統(tǒng)。北京大學(xué)在校園網(wǎng)采用了SymantecAntivirus企業(yè)版的解決方案,對校園網(wǎng)的桌面防病毒系統(tǒng)進行集中管理,實現(xiàn)自動從服務(wù)器獲取新的病毒定義,實時具備最新的防護能力,無須用戶再干預(yù)。另外,通過管理端不僅可以清楚地了解網(wǎng)絡(luò)中感染病毒主機的比率情況,而且還可明確主機感染了何種病毒。

4、漏洞補丁管理和系統(tǒng)。校園網(wǎng)內(nèi)以Windows系統(tǒng)為主,而Windows系統(tǒng)漏洞的危害較嚴(yán)重,北京大學(xué)在校園網(wǎng)內(nèi)專門設(shè)置了Windows系統(tǒng)漏洞補丁管理和服務(wù)器,用于對校園內(nèi)的Windows系統(tǒng)進行統(tǒng)一管理,從本地服務(wù)器下載更新補丁程序。另外,為避免補丁程序更新不及時或其它意外因素,對重大的漏洞補丁程序,以傳統(tǒng)的網(wǎng)絡(luò)公告方式并提供直接下載,有效地避免惡性安全事件的大范圍發(fā)生。

具備完備的安全設(shè)施是安全保障的必要條件,但更重要的是網(wǎng)絡(luò)安全管理的規(guī)范化和擁有專業(yè)化的安全管理團隊。通常情況下,設(shè)備或系統(tǒng)都有專門的系統(tǒng)管理員。另外,北京大學(xué)設(shè)立了網(wǎng)絡(luò)安全緊急響應(yīng)小組,專門負責(zé)處理那些重大的緊急安全事故。從硬件、軟件到人各個方面進行規(guī)范化管理,將安全威脅降到最低,保證整個網(wǎng)絡(luò)的安全運行。

四、加強校園網(wǎng)安全管理措施的建議

由于每個學(xué)校機構(gòu)設(shè)置和技術(shù)能力的不同,相應(yīng)的實施安全管理方案也有所區(qū)別,經(jīng)分析北京大學(xué)的校園網(wǎng)信息安全解決方案,可以將校園網(wǎng)安全管理總結(jié)為兩個方面:第一,網(wǎng)絡(luò)安全設(shè)備方面;第二,網(wǎng)絡(luò)用戶和管理員,即人員的方面。

首先,配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備。在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備,加強網(wǎng)絡(luò)的訪問控制能力,一般包括:防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。對郵件系統(tǒng)建立統(tǒng)一服務(wù)器系統(tǒng),方便垃圾郵件的檢測和攔截。統(tǒng)一桌面防毒系統(tǒng),使其能夠自動升級,實時具備最新的防護能力。通過配置安全設(shè)備可以實現(xiàn)對校園網(wǎng)絡(luò)進行系統(tǒng)的防護、預(yù)警和監(jiān)控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網(wǎng)絡(luò)的故障可以迅速定位并解決。

其次,要加強對使用人員的管理,這里的使用人員包括用戶和管理員。對于用戶,尤其是新生,應(yīng)該進行網(wǎng)絡(luò)安全教育,提高遵守相關(guān)的安全制度的自覺性,增強整體安全防范能力。對于管理人員要定期進行培訓(xùn),以提高其專業(yè)方面的素質(zhì),使他們具有較高的網(wǎng)絡(luò)管理水平,要做到及時進行漏洞修補和定期檢查,保證對網(wǎng)絡(luò)的監(jiān)控和管理。學(xué)校要出臺相關(guān)的網(wǎng)絡(luò)安全管理制度,規(guī)范校園網(wǎng)用戶對網(wǎng)絡(luò)的使用方法,從人員方面將出現(xiàn)威脅的可能性降到最低。

總之,具有經(jīng)驗豐富、專業(yè)化的技術(shù)團隊是網(wǎng)絡(luò)安全管理的根本,建立相應(yīng)的安全防范機制和安全緊急響應(yīng)小組,是管理必備的組織體系。加強用戶安全意識和提高管理員安全技術(shù)工作也是非常重要的一方面。只有在加強人員管理和提高設(shè)備的安全性的雙重條件下,才能夠使校園網(wǎng)絡(luò)安全得到保障,才能夠使校園網(wǎng)絡(luò)安全運行。

結(jié)束語

校園網(wǎng)絡(luò)的各種安全性威脅在其運行和管理中表現(xiàn)得尤為突出,加強校園網(wǎng)的安全管理是當(dāng)前非常迫切、充滿挑戰(zhàn)的任務(wù)。各高校校園網(wǎng)應(yīng)加強安全管理組織和技術(shù)培訓(xùn),提高用戶的安全意識,要具有完備的安全設(shè)施,使技術(shù)方面得到保障,高校之間應(yīng)廣泛的交流管理經(jīng)驗,以做好校園網(wǎng)的安全管理工作,最終建設(shè)一個安全、可信的教育和科研網(wǎng)絡(luò)環(huán)境。

參考文獻

[1]王竹林等編著,《校園網(wǎng)組建與管理》[M],清華大學(xué)出版社,20__.1

[2]王保順主編,《校園網(wǎng)設(shè)計與遠程教學(xué)系統(tǒng)開發(fā)》[M],人民郵電出版社,20__.1

[3]謝希仁編著,《計算機網(wǎng)絡(luò)》(第四版)[M],電子工業(yè)出版社,20__.6

[4]顧巧論,高鐵杠賈春福等編著,《計算機網(wǎng)絡(luò)安全》[M],清華大學(xué)出版社,20__.9

[5]邵波,王其和編著,《計算機網(wǎng)絡(luò)安全技術(shù)及應(yīng)用》[M],電子工業(yè)出版社,20__.11

篇2

關(guān)鍵詞 虛擬局域網(wǎng);校園網(wǎng)絡(luò);安全體系

中圖分類號TP39 文獻標(biāo)識碼A 文章編號 1674-6708(2013)83-0202-02

1 網(wǎng)絡(luò)安全體系的定義

通常情況下,為了能夠保證校園網(wǎng)絡(luò)運行的安全穩(wěn)定,校園網(wǎng)的大部分?jǐn)?shù)據(jù)資源都只允許在內(nèi)部中完成訪問。例如校園網(wǎng)絡(luò)的OA系統(tǒng)、校內(nèi)郵件系統(tǒng)等等,這些系統(tǒng)的訪問和使用都必須在校園網(wǎng)內(nèi)部操作,嚴(yán)重制約了教師、學(xué)生在個人家庭中通過訪問校園網(wǎng)來收取學(xué)校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網(wǎng)內(nèi)部應(yīng)用服務(wù)器一旦發(fā)生了故障,如果專業(yè)管理人員此時也沒有在學(xué)校時,就無法完成對校園網(wǎng)的維護操作,如果部分教師由于需要出差完成科研交流等工作時,也無法查看關(guān)于科研項目的校內(nèi)數(shù)據(jù)資源。

網(wǎng)絡(luò)安全體系指的是一套完整的計劃設(shè)計,主要包括能夠為網(wǎng)絡(luò)用戶提供安全穩(wěn)定的服務(wù);能夠保證網(wǎng)絡(luò)中所有系統(tǒng)的正常運行服務(wù);對網(wǎng)絡(luò)中系統(tǒng)的安全級別提出要求并完成設(shè)置。一套完整的網(wǎng)絡(luò)安全體系中的必備設(shè)計原則有數(shù)據(jù)傳輸安全、計算機系統(tǒng)安全、網(wǎng)絡(luò)用戶安全、網(wǎng)絡(luò)管理安全、物理架構(gòu)安全等等,既要能夠?qū)阂獾耐饨缛肭中袨檫M行制止,還要能夠同時應(yīng)對網(wǎng)絡(luò)中的其他安全威脅。

2 虛擬局域網(wǎng)關(guān)鍵技術(shù)

2.1用戶認(rèn)證技術(shù)

虛擬局域網(wǎng)中的用戶身份核實確認(rèn)大部分都是通過用戶認(rèn)證技術(shù)實現(xiàn)的,對系統(tǒng)用戶進行相應(yīng)授權(quán)之后能夠保證控制訪問資源。一般情況下,網(wǎng)絡(luò)認(rèn)證協(xié)議采用的都是報文摘要技術(shù),主要是用于驗證數(shù)據(jù)信息的完整性和對用戶身份進行認(rèn)證,通過利用哈希(HASH)函數(shù)將數(shù)據(jù)報文的長度進行一系列變換,使其能夠成為固定長度的報文摘要,但是由于哈希函數(shù)自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數(shù)據(jù)加密技術(shù)

虛擬局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^程中主要應(yīng)用的是數(shù)據(jù)加密技術(shù),來實現(xiàn)對數(shù)據(jù)的偽裝和隱藏。但是,如果在傳輸?shù)倪^程中數(shù)據(jù)信息經(jīng)過互聯(lián)網(wǎng)產(chǎn)生了安全威脅,那么即使已經(jīng)通過了用戶認(rèn)證,也不能保證數(shù)據(jù)信息的安全傳輸。因此,在網(wǎng)絡(luò)發(fā)送端應(yīng)該將用戶認(rèn)證進行加密之后再完成數(shù)據(jù)信息的傳輸,在網(wǎng)絡(luò)接收端通過用戶認(rèn)證之后再對數(shù)據(jù)信息進行解密。密鑰類型主要包括對稱加密和非對稱加密兩種,在實際應(yīng)用中大多數(shù)采用的都是對稱加密措施,如果是機密數(shù)據(jù)信息則采取公鑰加密技術(shù)。

2.3訪問控制技術(shù)

訪問控制技術(shù)主要是對用戶是否能夠?qū)ο到y(tǒng)發(fā)起訪問進行控制,運行具有相應(yīng)授權(quán)的用戶訪問系統(tǒng)資源,對沒有授權(quán)的用戶對系統(tǒng)資源發(fā)起訪問和獲取時立刻進行阻止。

3 校園網(wǎng)絡(luò)安全體系設(shè)計

本文設(shè)計提出的基于虛擬局域網(wǎng)技術(shù)的校園網(wǎng)絡(luò)安全體系設(shè)計方案主要是為了解決某高校老校區(qū)與新校區(qū)之間信息互通、資源共享、專網(wǎng)整合的問題,由此構(gòu)建出一條專用的虛擬局域網(wǎng)安全通道,從而保證這些重要數(shù)據(jù)資源能夠在校園網(wǎng)中安全穩(wěn)定地傳輸。

3.1系統(tǒng)設(shè)計原則

1)安全保障

虛擬局域網(wǎng)系統(tǒng)的重要職能就是保證網(wǎng)絡(luò)的安全穩(wěn)定,以及在互聯(lián)網(wǎng)傳輸過程中數(shù)據(jù)信息的安全可靠,因此,虛擬局域網(wǎng)系統(tǒng)的安全保證必須包括用戶身份認(rèn)證、數(shù)據(jù)信息保密和數(shù)據(jù)信息完整。

2)多平臺兼容

虛擬局域網(wǎng)系統(tǒng)的關(guān)鍵功能就是要保證用戶不受時間和地域的限制對系統(tǒng)資源發(fā)起訪問,以及當(dāng)用戶進行移動辦公時要保證網(wǎng)絡(luò)連接的安全可靠。

3)訪問控制權(quán)限

校園網(wǎng)的虛擬局域網(wǎng)系統(tǒng)主要是為多個應(yīng)用程序提供保護的,因此要設(shè)置不同的用戶訪問控制策略,使得擁有不同權(quán)限的用戶能夠訪問相應(yīng)的系統(tǒng)資源。

4)平臺管理簡潔

虛擬局域網(wǎng)服務(wù)器應(yīng)該為用戶和系統(tǒng)管理員提供良好的應(yīng)用管理操作界面,在方便用戶對系統(tǒng)資源進行訪問操作的同時,還要保證系統(tǒng)管理員的安全維護操作簡單便捷,更要為服務(wù)器與用戶之間的通問、安全日志等做好記錄。

3.2系統(tǒng)功能模型

根據(jù)校園網(wǎng)絡(luò)的實際安全需求和虛擬局域網(wǎng)系統(tǒng)的設(shè)計原則,虛擬局域網(wǎng)系統(tǒng)的功能模型主要包括用戶身份認(rèn)證模塊、數(shù)據(jù)傳輸模塊、訪問控制模塊和系統(tǒng)管理模塊。

1)用戶身份認(rèn)證模塊

虛擬局域網(wǎng)系統(tǒng)客戶端通過采取數(shù)字證書的認(rèn)證方式對用戶身份進行核實;服務(wù)器對系統(tǒng)客戶端進行認(rèn)證時需要采取不同的認(rèn)證方法,如果用戶通過遠程網(wǎng)絡(luò)連接到虛擬局域網(wǎng)中,服務(wù)器則采用用戶名+密碼的認(rèn)證方式對用戶合法身份進行識別,在校園網(wǎng)內(nèi)部則采取數(shù)字證書的方式對用戶身份進行識別。

2)數(shù)據(jù)傳輸模塊

數(shù)據(jù)傳輸模塊的主要功能是采取相應(yīng)加密算法對數(shù)據(jù)進行加密之后傳輸給接收方,以及對接收到的數(shù)據(jù)進行解密。

3)訪問控制模塊

訪問控制模塊主要是根據(jù)已經(jīng)設(shè)置完成的訪問控制策略來控制系統(tǒng)中的資源是否能夠被用戶進行訪問和操作。

4)系統(tǒng)管理模塊

系統(tǒng)管理模塊主要負責(zé)對虛擬局域網(wǎng)系統(tǒng)服務(wù)器的日常服務(wù)信息進行記錄,包括訪問日期、訪問時間、網(wǎng)絡(luò)使用情況等等,并生成對應(yīng)的日志報告。

3.3系統(tǒng)詳細設(shè)計

本文提出的基于虛擬局域網(wǎng)技術(shù)的校園內(nèi)部網(wǎng)設(shè)計方案如圖1所示。

學(xué)校的新校區(qū)和老校區(qū)之間通過采用虛擬局域網(wǎng)技術(shù),建立起一道校園內(nèi)部虛擬局域網(wǎng)通道,將新校區(qū)與老校區(qū)利用光纖實現(xiàn)網(wǎng)絡(luò)連接,將網(wǎng)絡(luò)的出口端設(shè)置在新校區(qū)。校園網(wǎng)中的財務(wù)管理系統(tǒng)、人事管理系統(tǒng)和一卡通管理系統(tǒng)都需要通過同一個鏈路與新校區(qū)進行連接,因此,我們采用虛擬局域網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對鏈路進行數(shù)據(jù)加密,從而保證通過這條鏈路傳輸?shù)臄?shù)據(jù)能夠安全可靠。

校園網(wǎng)中的一般用戶的訪問控制策略安全級別的設(shè)置可以相對較低,一般用戶安全級別如果設(shè)置過高則會耗費大量的系統(tǒng)資源,造成無法訪問或網(wǎng)絡(luò)癱瘓的情況出現(xiàn)。對于校園網(wǎng)中的財務(wù)管理部門、人事管理部門和后勤服務(wù)部門來說,應(yīng)該采取兩層架構(gòu)隔離的方法接入到校園網(wǎng)中,再通過內(nèi)部網(wǎng)關(guān)協(xié)議與核心交換機連接,從而保證在新校區(qū)與老校區(qū)之間實現(xiàn)數(shù)據(jù)加密傳輸。

4結(jié)論

綜上所述,本文從校園網(wǎng)實際需求角度出發(fā),將虛擬局域網(wǎng)技術(shù)應(yīng)用到校園網(wǎng)建設(shè)當(dāng)中,提出了一套校園網(wǎng)絡(luò)安全體系設(shè)計方案,能夠有效保證新校區(qū)與老校區(qū)之間的數(shù)據(jù)通信、數(shù)據(jù)共享和數(shù)據(jù)整合安全,具有較強的理論指導(dǎo)意義。

參考文獻

篇3

近年來,隨著我國社會經(jīng)濟的不斷發(fā)展,國家對教育事業(yè)的支持和投入不斷增加,我國的高等教育從深度和廣度上都有了顯著的發(fā)展和提高。信息化、網(wǎng)絡(luò)與計算機技術(shù)的不斷發(fā)展也為教育事業(yè)提供了強有力的支持手段,為教育模式的創(chuàng)新、先進教育理念提供了可靠的實現(xiàn)方法。

高校信息化主要以數(shù)字化校園建設(shè)為主,主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等;大學(xué)數(shù)字化校園建設(shè)通常先提出總體解決方案,確定數(shù)字化校園的體系結(jié)構(gòu),制定數(shù)字化校園的信息標(biāo)準(zhǔn),以及各系統(tǒng)之間的接口標(biāo)準(zhǔn),然后分階段實施。建立全校的網(wǎng)絡(luò)安全體系,保證校園網(wǎng)絡(luò)的安全,保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用的安全以及關(guān)鍵業(yè)務(wù)部門的安全,實現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)的安全高效運行。

1教育信息化中的安全體系建設(shè)

在教育信息化建設(shè)過程中,信息安全體系是保障教育信息系統(tǒng)的信息完整、系統(tǒng)可用和信息保密的重要支撐體系,對各級學(xué)校、職業(yè)教育、教育主管機構(gòu)的正常工作起到了至關(guān)重要的保障作用。各級教育主管部門對教育信息系統(tǒng)的安全體系建設(shè)給予了充分的重視,也是由于教育信息系統(tǒng)的復(fù)雜性、多樣性、異構(gòu)性和應(yīng)用環(huán)境的開放性,給整個信息系統(tǒng)帶來了巨大安全威脅。以高校數(shù)字校園信息系統(tǒng)為例,高校數(shù)字校園信息系統(tǒng)的建設(shè)是由高校業(yè)務(wù)需求驅(qū)動的,初始的建設(shè)大多沒有統(tǒng)一規(guī)劃,有些系統(tǒng)是獨立的網(wǎng)絡(luò),有些系統(tǒng)又是共用一個網(wǎng)絡(luò)。而這些系統(tǒng)的業(yè)務(wù)特性、安全需求和等級、使用的對象、面對的威脅和風(fēng)險各不相同。當(dāng)前高校網(wǎng)絡(luò)系統(tǒng)是一個龐大復(fù)雜的系統(tǒng),在支撐高校業(yè)務(wù)運營、發(fā)展的同時,信息系統(tǒng)面臨的信息安全威脅也在不斷增長、被發(fā)現(xiàn)的脆弱性或弱點越來越多、信息安全風(fēng)險日益突出,成為高校面臨的重要的、急需解決的問題之一。在進行數(shù)字化校園建設(shè)的過程中,也曾發(fā)生不少信息安全事件,如某高校數(shù)據(jù)中心一臺服務(wù)器被黑客入侵,成為肉雞,被植入僵尸木馬程序,受黑客控制瘋狂往外網(wǎng)發(fā)包,導(dǎo)致學(xué)校網(wǎng)絡(luò)出口癱瘓;某高校在高招中發(fā)現(xiàn)網(wǎng)站被掛馬、篡改,并且學(xué)校內(nèi)部也曾經(jīng)發(fā)現(xiàn)學(xué)生成績的數(shù)據(jù)庫,有被惡意篡改的痕跡。

2網(wǎng)絡(luò)安全威脅分析

(1)高校網(wǎng)站的安全威脅,包括高校門戶網(wǎng)站、高校招生網(wǎng)站、二級各院系等網(wǎng)站,由于高考、招生、學(xué)生就業(yè)等敏感時期,聚集了大量的學(xué)生及家長訪問流量,也引起黑客的關(guān)注,高校網(wǎng)站面臨的主要安全威脅有:網(wǎng)頁被掛馬、被篡改,黑客通過SQL注入、跨站腳本等攻擊方式,可以輕松的拿到高校網(wǎng)站的管理權(quán)限,進而篡改網(wǎng)頁代碼;部分攻擊者將高校網(wǎng)站替換成黃色網(wǎng)站,影響極其惡劣。每年高考招生及高校重要節(jié)日期間,高校門戶網(wǎng)站極易被DDOS攻擊,這種由互聯(lián)網(wǎng)上發(fā)起的大量同時訪問會話,導(dǎo)致高校網(wǎng)站負載加劇,無法提供正常的訪問。入侵者成功獲取WEB服務(wù)器的控制權(quán)限后,以該服務(wù)器為跳板,對內(nèi)網(wǎng)進行探測掃描,發(fā)起攻擊,對內(nèi)網(wǎng)核心數(shù)據(jù)造成影響。(2)隨著校園網(wǎng)信息化的逐步深入,業(yè)務(wù)系統(tǒng)眾多,“一卡通”、教學(xué)信息管理系統(tǒng)、電子圖書館、教育資源庫等信息化業(yè)務(wù)系統(tǒng)均普遍的被各大高校采用,而這些系統(tǒng)由于管理及防護不到位,面臨著較嚴(yán)重的安全威脅:業(yè)務(wù)系統(tǒng)缺乏必要的入侵防護手段,高校網(wǎng)絡(luò)規(guī)模擴張迅速,網(wǎng)絡(luò)帶寬及處理能力都有很大的提升,但是管理和維護人員方面的投入明顯不足,沒有條件管理和維護數(shù)萬臺計算機的安全,一旦受到黑客攻擊,無法阻斷攻擊并發(fā)現(xiàn)攻擊源;部分高?!耙豢ㄍā背渲迪到y(tǒng)與銀行互聯(lián),邊界缺乏必要的隔離和審計措施,出現(xiàn)問題不方便定位,難以追查取證;校園網(wǎng)數(shù)據(jù)中心內(nèi)的系統(tǒng)應(yīng)用眾多、服務(wù)器眾多,管理及維護方式也不盡相同,無法做到所有的系統(tǒng)實施統(tǒng)一的漏洞管理政策。同時,對于存在安全隱患的配置檢查,也缺乏自動化的高效檢查工具和控制手段;業(yè)務(wù)系統(tǒng)權(quán)限控制不合理,有安全隱患。

3需求分析

根據(jù)對高校校園網(wǎng)絡(luò)的威脅分析,得出在校園網(wǎng)絡(luò)安全體系建設(shè)中,各個網(wǎng)絡(luò)區(qū)域和業(yè)務(wù)系統(tǒng)的安全需求如下:

(1)校園網(wǎng)絡(luò)出口應(yīng)對可能發(fā)生的拒絕服務(wù)攻擊進行有效識別、過濾、清洗,保證網(wǎng)絡(luò)出口的暢通,保證骨干鏈路的負載處于正常范圍之內(nèi)。(2)網(wǎng)絡(luò)出口鏈路應(yīng)有相應(yīng)措施,對來源于公網(wǎng)或內(nèi)網(wǎng)的黑客入侵、病毒傳播等安全威脅進行實時識別與阻斷。(3)DMZ區(qū)及內(nèi)網(wǎng)服務(wù)器區(qū)出口鏈路上,應(yīng)對針對WEB應(yīng)用的7層攻擊,如SQL注入、XSS、HTTP GET FLOOD等威脅進行全面深入的防護。(4)應(yīng)對流經(jīng)核心交換區(qū)域的所有流量進行深入的檢測,以識別內(nèi)部各網(wǎng)絡(luò)區(qū)域之間發(fā)生的入侵事件和可疑行為。(5)應(yīng)對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為,如公網(wǎng)訪問、數(shù)據(jù)庫訪問等進行全面的記錄和審計,以滿足違規(guī)事件發(fā)生后的追查取證。(6)應(yīng)在不同校區(qū)之間的鏈路接口進行訪問控制、病毒檢測、入侵防護等安全控制措施。

應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點進行漏洞風(fēng)險管理,實現(xiàn)漏洞預(yù)警、漏洞加固和漏洞審計的全程風(fēng)險控制。(7)應(yīng)對全網(wǎng)的網(wǎng)絡(luò)節(jié)點進行配置合規(guī)管理,實現(xiàn)違規(guī)配置及時識別、配置整改全面深入、配置風(fēng)險全程可控。(8)應(yīng)對運維管理人員進行詳細嚴(yán)格的權(quán)限劃分,并通過技術(shù)手段控制運維行為權(quán)限,對運維行為進行全程審計,對違規(guī)運維操作進行實時告警。

4遵循等保要求

2009年11月,教育部為進一步加強教育系統(tǒng)信息安全工作,由辦公廳印發(fā)《關(guān)于開展信息系統(tǒng)安全等級保護工作的通知》(教辦廳函[2009]80號),決定在教育系統(tǒng)全面開展信息安全等級保護工作;等級保護不僅是對信息安全產(chǎn)品或系統(tǒng)的檢測、評估以及定級,更重要的是,等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,是一項基礎(chǔ)性和制度性的工作。通過等級化方法和高校信息安全體系建設(shè)有效結(jié)合,設(shè)計一套符合高校需求的信息安全保障體系,是適合我國國情、系統(tǒng)化地解決高校信息安全問題的一個非常有效的方法。

5網(wǎng)絡(luò)安全建設(shè)方案

(1)在校園網(wǎng)出口處旁路部署抗拒絕服務(wù)攻擊系統(tǒng)(ADS)對拒絕服務(wù)攻擊流量進行清洗,并且旁路部署網(wǎng)絡(luò)流量分析系統(tǒng)(NTA)對網(wǎng)絡(luò)流量組成和DDOS攻擊成分進行分析和判斷。在正常環(huán)境下,旁路部署的ADS不參與網(wǎng)絡(luò)出口流量的路由和交換,邊界路由器通過NETFLOW等技術(shù)將流量信息發(fā)送給NTA,由NTA分析流量特征,判斷是否遭受DDOS攻擊。當(dāng)發(fā)現(xiàn)遭受DDOS攻擊時,NTA將激活A(yù)DS,由ADS向邊界路由器發(fā)送針對特定防護目標(biāo)IP的路由,將所有去往被攻擊目標(biāo)IP的流量牽引至ADS設(shè)備。ADS系統(tǒng)進行惡意流量的識別和清洗,將不含有攻擊成分的合法流量回注至邊界路由器,按正常路由路徑發(fā)送至目標(biāo)IP。(2)在出口鏈路部署入侵防護系統(tǒng),對接入互聯(lián)網(wǎng)的訪問流量進行深入過濾,有效抵御源自公網(wǎng)的入侵威脅,消除安全風(fēng)險。(3)在DMZ區(qū)和內(nèi)網(wǎng)服務(wù)器出口處部署WEB應(yīng)用防火墻,對服務(wù)器區(qū)的WEB服務(wù)器進行全方面的防護,對針對WEB站點的黑客攻擊,惡意掃描、SQL注入、跨站腳本、病毒木馬傳播、暴力口令破解、網(wǎng)頁篡改等攻擊手段進行深入防護。保障網(wǎng)站、電子教務(wù)系統(tǒng)、一卡通系統(tǒng)等應(yīng)用系統(tǒng)的正常工作。(4)在核心交換區(qū)旁路部署安全審計系統(tǒng),通過將核心交換機上各端口的流量鏡像到安全審計系統(tǒng)的監(jiān)聽鏈路,實現(xiàn)對流經(jīng)核心交換機的網(wǎng)絡(luò)數(shù)據(jù)進行全程的審計和過濾。通過制定詳細的安全審計策略,對違反審計策略的網(wǎng)絡(luò)行為進行實時告警。此外,安全審計系統(tǒng)由部署在網(wǎng)絡(luò)運維區(qū)的安全中心進行統(tǒng)一監(jiān)控與策略下發(fā),并實時收集網(wǎng)絡(luò)時間日志和告警信息。(5)在核心交換區(qū)域的出口鏈路部署下一代防火墻,實現(xiàn)出口鏈路的流量檢測和安全過濾,保護內(nèi)部網(wǎng)絡(luò)安全。建議在核心交換區(qū)域與各個校區(qū)的網(wǎng)絡(luò)邊界處部署下一代防火墻,通過下一代防火墻對應(yīng)用層攻擊、病毒進行全面阻斷,可實現(xiàn)基于源/目的IP地址、協(xié)議/端口、時間、用戶、VLAN、VPN、安全區(qū)的訪問控制,保證不同網(wǎng)絡(luò)區(qū)域之間的安全防護邊界完整。同時,通過安全管理區(qū)的安全管理服務(wù)器上安裝安全中心對該設(shè)備進行全面的管理。

篇4

關(guān)鍵詞:校園;電子商務(wù);安全;解決方案

引言

隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展,電子商務(wù)這種商務(wù)活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活方式,越來越多的人們開始接受并喜愛網(wǎng)上購物,可是,電子商務(wù)發(fā)展的瓶頸——安全問題依然是制約人們進行電子商務(wù)交易的最大問題,因此,安全問題是電子商務(wù)的核心問題,是實現(xiàn)和保證電子商務(wù)順利進行的關(guān)鍵所在。校園電子商務(wù)是電子商務(wù)在校園環(huán)境下的具體應(yīng)用與實現(xiàn),其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題,因此應(yīng)當(dāng)著重研究。

一、校園電子商務(wù)概述

1.1校園電子商務(wù)的概念。

校園電子商務(wù)是電子商務(wù)在校園這個特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用校園網(wǎng)絡(luò)基礎(chǔ)、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位、企業(yè)和個人進行商務(wù)、工作、學(xué)習(xí)、生活各方面活動需要的一個高可用性、伸縮性和安全性的計算機系統(tǒng)。

1.2校園電子商務(wù)的特點。

相對于一般電子商務(wù),校園電子商務(wù)具有客戶群穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務(wù)性大于盈利性等特點,這些特點也是校園開展電子商務(wù)的優(yōu)勢所在。與傳統(tǒng)校園商務(wù)活動相比,校園電子商務(wù)的特點有:交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務(wù)的安全問題

2.1校園電子商務(wù)安全的內(nèi)容。

校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:校園網(wǎng)絡(luò)安全和校園支付交易安全。校園網(wǎng)絡(luò)安全內(nèi)容主要包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。校園支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動在校園網(wǎng)應(yīng)用時所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。

2.2校園電子商務(wù)安全威脅。

校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。然而,網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分且相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,比如:身份竊取、非授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露是非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使信息的機密性遭到破壞;篡改信息是非法用戶對交易信息插入、刪除或修改,破壞信息的完整性;假冒是非法用戶冒充合法交易者以偽造交易信息;交易抵賴是交易雙方一方或否認(rèn)交易行為,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。

2.3校園電子商務(wù)安全的基本安全需求。

通過對校園電子商務(wù)安全威脅的分析,可以看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。

三、校園電子商務(wù)安全解決方案

3.1校園電子商務(wù)安全體系結(jié)構(gòu)。

校園電子商務(wù)安全是一個復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求,通過對校園人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合的電子商務(wù)的安全技術(shù),總結(jié)校園電子商務(wù)安全體系結(jié)構(gòu),如圖所示:

上述安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及校園電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心;邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和交易服務(wù)器;安全機制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺,包括網(wǎng)上交易、支付和配送服務(wù)等。

針對上述安全體系結(jié)構(gòu),具體的方案有:

(1)營造良好校園人文環(huán)境。加強大學(xué)生的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念,共同營造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞。

(2)建立良好網(wǎng)上支付環(huán)境。目前我國高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子帳戶作為網(wǎng)上支付的載體而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。

(3)建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。

(4)組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問題,而不需要委托第三方物流公司,在校園內(nèi)建立一個物流配送團隊就可以準(zhǔn)確及時的完成配送服務(wù)。

3.2校園網(wǎng)絡(luò)安全對策。

保障校園網(wǎng)絡(luò)安全的主要措施有:

(1)防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題,使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問,防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。

(2)病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是免不了計算機病毒的威脅,因此,加強病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

(3)VPN技術(shù)。目前,我國高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng)就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸。有效保證了網(wǎng)絡(luò)的安全性和穩(wěn)定性且易于維護和改進。

3.3交易信息安全對策。

針對校園電子商務(wù)中交易信息安全問題,可以用電子商務(wù)的安全機制來解決,例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密,可以保證信息的機密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解決信息的完整性和不可否認(rèn)性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。

(1)數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。

(2)認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù),它是網(wǎng)上交易支付的前提,負責(zé)對交易各方的身份進行確認(rèn)。在校園電子商務(wù)中,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(例如校園一卡通系統(tǒng))來進行對交易各方的身份認(rèn)證。

(3)安全協(xié)議技術(shù)。目前,電子商務(wù)發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。

3.4基于一卡通的校園電子商務(wù)。

目前,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進行校園電子商務(wù)的網(wǎng)上支付可以增強校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:

(1)校園網(wǎng)是一個內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。:

(2)校園一卡通具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進行身份認(rèn)證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán),使其網(wǎng)上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時,由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決。

四、結(jié)束語

開展校園電子商務(wù)是推進校園信息化建設(shè)的重要內(nèi)容,隨著我國校園信息化建設(shè)的不斷深入,目前已有許多高校開展了校園電子商務(wù),它極大的方便了校園內(nèi)師生員工的工作、學(xué)習(xí)、生活??墒桥c此同時,安全問題成為制約校園電子商務(wù)發(fā)展的障礙。因此,如何建立一個安全、便捷的校園電子商務(wù)應(yīng)用環(huán)境,讓師生能夠方便可靠的進行校園在線交易和網(wǎng)上支付,是當(dāng)前校園電子商務(wù)發(fā)展要著重研究的關(guān)鍵問題。

參考文獻:

[1]李洪心。電子商務(wù)安全[M].大連:東北財經(jīng)大學(xué)出版社,2008.

[2]楊堅爭,趙雯,楊立釩。電子商務(wù)安全與電子支付[M].北京:機械工業(yè)出版社,2008.

[3]劉克強。電子交易與支付[M].北京:人民郵電出版社,2007.

篇5

關(guān)鍵詞:校園;電子商務(wù);安全;解決方案

中圖分類號:G647文獻標(biāo)識碼:A

引言

隨著網(wǎng)絡(luò)的不斷普及和電子商務(wù)的迅猛發(fā)展,電子商務(wù)這種商務(wù)活動新模式已逐漸改變了人們的經(jīng)濟活動方式、工作方式和生活方式,越來越多的人們開始接受并喜愛網(wǎng)上購物,可是,電子商務(wù)發(fā)展的瓶頸――安全問題仍然是制約人們進行電子商務(wù)交易的最大問題,安全問題是電子商務(wù)的核心問題,是實現(xiàn)和保證電子商務(wù)順利進行的關(guān)鍵所在。校園電子商務(wù)是電子商務(wù)在學(xué)校環(huán)境下的具體應(yīng)用與實現(xiàn),其安全性也同樣是其發(fā)展所不容忽視的關(guān)鍵問題。

一、校園電子商務(wù)概述

(一)校園電子商務(wù)的概念。校園電子商務(wù)是電子商務(wù)在校園這個特定環(huán)境下的具體應(yīng)用,它是指在校園范圍內(nèi)利用學(xué)校的網(wǎng)絡(luò)基礎(chǔ)、計算機硬件、軟件和安全通信手段構(gòu)建的滿足于校園內(nèi)單位、企業(yè)和個人進行商務(wù)、工作、學(xué)習(xí)、生活各方面活動需要的一個高可用性、伸縮性和安全性的商務(wù)系統(tǒng)。

(二)校園電子商務(wù)的特點。相對于一般電子商務(wù),校園電子商務(wù)具有客戶群穩(wěn)定、網(wǎng)絡(luò)環(huán)境優(yōu)良、物流配送方便、信用機制良好、服務(wù)性大于盈利性等特點,這些特點也是校園開展電子商務(wù)的優(yōu)勢所在。與傳統(tǒng)學(xué)校商務(wù)活動相比,校園電子商務(wù)的優(yōu)點有:交易不受時間空間限制、快捷方便、交易成本較低。

二、校園電子商務(wù)的安全問題

(一)校園電子商務(wù)安全的內(nèi)容。校園電子商務(wù)安全內(nèi)容從整體上可分為兩大部分:學(xué)校網(wǎng)絡(luò)安全和學(xué)校支付交易安全。學(xué)校網(wǎng)絡(luò)安全內(nèi)容主要包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。學(xué)校支付交易安全的內(nèi)容涉及傳統(tǒng)校園商務(wù)活動在校園網(wǎng)應(yīng)用時所產(chǎn)生的各種安全問題,如網(wǎng)上交易信息、網(wǎng)上支付以及配送服務(wù)等。

(二)校園電子商務(wù)安全威脅。校園電子商務(wù)安全威脅同樣來自網(wǎng)絡(luò)安全威脅與交易安全威脅。網(wǎng)絡(luò)安全與交易安全并不是孤立的,而是密不可分相輔相成的,網(wǎng)絡(luò)安全是基礎(chǔ),是交易安全的保障。校園網(wǎng)也是一個開放性的網(wǎng)絡(luò),它也面臨許許多多的安全威脅,例如:身份竊取、非授權(quán)訪問、冒充合法用戶、數(shù)據(jù)竊取、破壞數(shù)據(jù)的完整性、拒絕服務(wù)、交易否認(rèn)、數(shù)據(jù)流分析、旁路控制、干擾系統(tǒng)正常運行、病毒與惡意攻擊、內(nèi)部人員的不規(guī)范使用和惡意破壞等。校園網(wǎng)的開放性也使得基于它的交易活動的安全性受到嚴(yán)重的威脅,網(wǎng)上交易面臨的威脅可以歸納為:信息泄露、篡改信息、假冒和交易抵賴。信息泄露指非法用戶通過各種技術(shù)手段盜取或截獲交易信息致使交易信息的機密性遭到破壞;篡改信息指非法用戶對交易信息插入、刪除或修改,破壞交易信息的完整性;假冒指非法用戶冒充合法交易者以偽造交易信息;交易抵賴指交易方否認(rèn)交易行為,交易抵賴也是校園電子商務(wù)安全面臨的主要威脅之一。

(三)校園電子商務(wù)基本安全需求。通過對學(xué)校電子商務(wù)安全威脅的分析,可以看出校園電子商務(wù)安全的基本要求是保證交易對象的身份真實性、交易信息的保密性和完整性、交易信息的有效性和交易信息的不可否認(rèn)性。通過對校園電子商務(wù)系統(tǒng)的整體規(guī)劃可以提高其安全需求。

三、校園電子商務(wù)安全解決方案

(一)校園電子商務(wù)安全體系結(jié)構(gòu)。校園電子商務(wù)安全是一個復(fù)雜的系統(tǒng)工程,因此要從系統(tǒng)的角度對其進行整體的規(guī)劃。根據(jù)校園電子商務(wù)的安全需求,通過對學(xué)校人文環(huán)境、網(wǎng)絡(luò)環(huán)境、應(yīng)用系統(tǒng)及管理等各方面的統(tǒng)籌考慮和規(guī)劃,再結(jié)合電子商務(wù)的安全技術(shù),總結(jié)出校園電子商務(wù)安全體系結(jié)構(gòu)。

在校園電子商務(wù)安全體系結(jié)構(gòu)中,人文環(huán)境層包括現(xiàn)有的電子商務(wù)法律法規(guī)以及學(xué)校電子商務(wù)特有的校園信息文化,它們綜合構(gòu)成了校園電子商務(wù)建設(shè)的大環(huán)境;基礎(chǔ)設(shè)施層包括校園網(wǎng)、虛擬專網(wǎng)VPN和認(rèn)證中心;邏輯實體層包括校園一卡通、支付網(wǎng)關(guān)、認(rèn)證服務(wù)器和交易服務(wù)器;安全機制層包括加密技術(shù)、認(rèn)證技術(shù)以及安全協(xié)議等電子商務(wù)安全機制;應(yīng)用系統(tǒng)層即校園電子商務(wù)平臺,包括網(wǎng)上交易、支付和配送服務(wù)等。針對上述安全體系結(jié)構(gòu),具體的方案有:

1、營造良好的校園人文環(huán)境。加強大學(xué)生的道德教育,培養(yǎng)校園電子商務(wù)參與者們的信息文化知識與素養(yǎng)、增強高校師生的法律意識和道德觀念,共同營造良好的校園電子商務(wù)人文環(huán)境,防止人為惡意攻擊和破壞。

2、建立良好的網(wǎng)上支付環(huán)境。目前,我國高校大都建立了校園一卡通工程,校園電子商務(wù)系統(tǒng)可以采用一卡通或校園電子賬戶作為網(wǎng)上支付的載體,而不需要與銀行等金融系統(tǒng)互聯(lián),由學(xué)校結(jié)算中心專門處理與金融機構(gòu)的業(yè)務(wù),可以大大提高校園網(wǎng)上支付的安全性。

3、建立統(tǒng)一身份認(rèn)證系統(tǒng)。建立校園統(tǒng)一身份認(rèn)證系統(tǒng)可以為校園電子商務(wù)系統(tǒng)提供安全認(rèn)證的功能。

4、組織物流配送團隊。校園師生居住地點相對集中,一般來說就在學(xué)校內(nèi)部或校園附近,只需要很少的人員就可以解決物流配送問題,而不需要委托第三方物流公司,在校園內(nèi)建立一個物流配送團隊就可以準(zhǔn)確、及時地完成配送服務(wù)。

(二)校園網(wǎng)絡(luò)安全對策。保障校園網(wǎng)絡(luò)安全的主要措施有:

1、防火墻技術(shù)。利用防火墻技術(shù)來實現(xiàn)校園局域網(wǎng)的安全性,以解決訪問控制問題,使只有授權(quán)的校園合法用戶才能對校園網(wǎng)的資源進行訪問,防止來自外部互聯(lián)網(wǎng)對內(nèi)部網(wǎng)絡(luò)的破壞。

2、病毒防治技術(shù)。在任何網(wǎng)絡(luò)環(huán)境下,計算機病毒都具有不可估量的威脅性和破壞力,校園網(wǎng)雖然是局域網(wǎng),可是也免不了計算機病毒的威脅。因此,加強病毒防治是保障校園網(wǎng)絡(luò)安全的重要環(huán)節(jié)。

3、VPN技術(shù)。目前,我國高校大都已經(jīng)建立了校園一卡通工程,如果能利用VPN技術(shù)建立校園一卡通專網(wǎng),就能大大提高校園信息安全、保證數(shù)據(jù)的安全傳輸,有效地保證網(wǎng)絡(luò)的安全性和穩(wěn)定性,且易于維護和改進。

(三)交易信息安全對策。針對校園電子商務(wù)中交易信息安全問題,可以用電子商務(wù)的安全機制來解決,例如數(shù)據(jù)加密技術(shù)、認(rèn)證技術(shù)和安全協(xié)議技術(shù)等。通過數(shù)據(jù)加密,可以保證信息的機密性;通過采用數(shù)字摘要、數(shù)字簽名、數(shù)字信封、數(shù)字時間戳和數(shù)字證書等安全機制來解決信息的完整性和不可否認(rèn)性的問題;通過安全協(xié)議方法,建立安全信息傳輸通道來保證電子商務(wù)交易過程和數(shù)據(jù)的安全。

1、數(shù)據(jù)加密技術(shù)。加密技術(shù)是電子商務(wù)中最基本的信息安全防范措施,其原理是利用一定的加密算法來保證數(shù)據(jù)的機密,主要有對稱加密和非對稱加密。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密運算與解密運算使用同樣的密鑰。不對稱加密,即加密密鑰不同于解密密鑰,加密密鑰公之于眾,而解密密鑰不公開。

2、認(rèn)證技術(shù)。認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項重要技術(shù),它是網(wǎng)上交易支付的前提,負責(zé)對交易各方的身份進行確認(rèn)。在校園電子商務(wù)中,網(wǎng)上交易認(rèn)證可以通過校園統(tǒng)一身份認(rèn)證系統(tǒng)(如校園一卡通系統(tǒng))來進行對交易各方的身份認(rèn)證。

3、安全協(xié)議技術(shù)。目前,電子商務(wù)發(fā)展較成熟和實用的安全協(xié)議是SET和SSL協(xié)議。通過對SSL與SET兩種協(xié)議的比較和校園電子商務(wù)的需求分析,校園電子商務(wù)更適合采用SSL協(xié)議。SSL位于傳輸層與應(yīng)用層之間,能夠更好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對用戶是透明的。而且SSL只需要通過一次“握手”過程就可以建立客戶與服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。

(四)基于一卡通的校園電子商務(wù)。目前,我國高校校園網(wǎng)建設(shè)和校園一卡通工程建設(shè)逐步完善,使用校園一卡通進行校園電子商務(wù)的網(wǎng)上支付可以增強校園電子商務(wù)的支付安全,可以避免或降低了使用銀行卡支付所出現(xiàn)的卡號被盜的風(fēng)險等。同時,使用校園一卡通作為校園電子支付載體的安全保障有:

1、校園網(wǎng)。它是一個內(nèi)部網(wǎng)絡(luò),它自身已經(jīng)屏蔽了絕大多數(shù)來自公網(wǎng)的黑客攻擊及病毒入侵,由于有防火墻及反病毒軟件等安全防范設(shè)施,來自外部網(wǎng)絡(luò)人員的破壞可能性很小。同時,校園一卡通中心有著良好的安全機制,使得使用校園一卡通在校內(nèi)進行網(wǎng)上支付被盜取賬號密碼等信息的可能性微乎其微。

2、校園一卡通。它具有統(tǒng)一身份認(rèn)證系統(tǒng),能夠?qū)⑴c交易的各方進行身份認(rèn)證,各方的交易活動受到統(tǒng)一的審計和監(jiān)控,統(tǒng)一身份認(rèn)證能夠保證網(wǎng)上工作環(huán)境的安全可靠。校園網(wǎng)絡(luò)管理中對不同角色的用戶享有不同級別的授權(quán),使其網(wǎng)上活動受到其身份的限制,有效防止一些惡意事情的發(fā)生。同時,由于校內(nèi)人員身份單一,多為學(xué)生,交易中一旦發(fā)生糾紛,身份容易確認(rèn),糾紛就容易解決。

四、結(jié)束語

開展校園電子商務(wù)是推進校園信息化建設(shè)的重要內(nèi)容,隨著我國校園信息化建設(shè)的不斷深入,目前已有許多高校開展了校園電子商務(wù),它極大地方便了校園內(nèi)師生員工的工作、學(xué)習(xí)、生活??墒桥c此同時,安全問題成為制約校園電子商務(wù)發(fā)展的障礙。因此,如何建立一個安全、便捷的校園電子商務(wù)應(yīng)用環(huán)境,讓師生能夠方便可靠地進行校園在線交易和網(wǎng)上支付,是當(dāng)前校園電子商務(wù)發(fā)展應(yīng)著重研究的關(guān)鍵問題。

(作者單位:1.陜西理工學(xué)院;2.重慶大學(xué)經(jīng)濟與工商管理學(xué)院)

主要參考文獻:

[1]李洪心.電子商務(wù)安全[M].大連:東北財經(jīng)大學(xué)出版社,2008.

[2]楊堅爭,趙雯,楊立釩.電子商務(wù)安全與電子支付[M].北京:機械工業(yè)出版社,2008.

[3]劉克強.電子交易與支付[M].北京:人民郵電出版社,2007.

[4]Charlie Kaufman,Radia Perlman,MikeSpeciner著,許劍卓等譯.網(wǎng)絡(luò)安全-公眾世界中的秘密通信[M].北京:電子工業(yè)出版社,2004.

[5]張紅霞,宋德昌.校園電子商務(wù)如何建設(shè)[J].信息系統(tǒng)工程,2005.7.

[6]朱乾鋒.淺談“一卡通”技術(shù)[J].科技創(chuàng)新導(dǎo)報,2009.9.

[7]丁學(xué)君.電子商務(wù)中的信息安全問題及其對策[J].計算機安全,2009.2.

[8]余紹軍,彭銀香.電子商務(wù)安全與數(shù)據(jù)加密技術(shù)淺析[J].中國管理信息化(綜合版),2007.4.

[9]王俊杰.電子商務(wù)安全問題及其應(yīng)對策略[J].特區(qū)經(jīng)濟,2007.7.

[10]秦昌友.淺析電子商務(wù)的安全技術(shù)[J].蘇南科技開發(fā),2007.8.

篇6

關(guān)鍵字:數(shù)字化;網(wǎng)絡(luò)安全;校園

一、網(wǎng)絡(luò)安全問題

(一)木馬病毒的危害

當(dāng)下,我國的高校計算機安全方面,最突出的一個方面還是類似于木馬這類電腦病毒對于計算機的入侵,這不僅是是對數(shù)字化校園網(wǎng)絡(luò)環(huán)境的危害,對所有的計算機都是一個非常共性的問題。雖然信息在不斷地進步,計算機也不斷的進行更新?lián)Q代,但是就像木馬病毒,目前已經(jīng)更新出第六代了,電腦病毒也會跟隨著計算機的進化腳步而不斷的進化,這種病毒可以通過很多種方式來對電腦造成不可預(yù)估的危害,從而在人們對計算機的使用中帶來很多的麻煩。另外,由于人們對于病毒的防范意思的缺乏,從而導(dǎo)致人們對電腦上的殺毒軟件不能夠及時的進行更新,這就會對電腦病毒提供更多入侵電腦的機會,對數(shù)字化校園網(wǎng)絡(luò)的安全性帶來一些不必要的麻煩[1]。

(二)不健康信息的傳播

互聯(lián)網(wǎng),顧名思義就是相互連接在一起的網(wǎng)絡(luò),這不僅為老師和學(xué)生們教學(xué)和學(xué)習(xí)帶來方便,它還可以使老師和學(xué)生能夠及時的了解外部情況。另外,為了使各個高校之間能夠更加方便的交流和學(xué)習(xí),各高校之間都是通過互聯(lián)網(wǎng)連接在一起的,使各個高校之間的學(xué)術(shù)交流得到進一步的拓展,為師生們提供更大的便利。但是,利弊總是伴生的。如果想要使師生獲得更大的便利,這就需要放寬對于網(wǎng)絡(luò)的束縛,增加它的開放性。那么問題也就會隨之而來,這就給數(shù)字化校園網(wǎng)絡(luò)的管理方面帶來了更大的壓力,例如網(wǎng)上的一些黃色暴力信息,就會借此機會入侵到高校計算機的網(wǎng)絡(luò)里面去,從而對學(xué)生們的身心健康和心理方面造成很大的不良影響,直接影響到學(xué)生們的學(xué)習(xí)效率。而且隨著智能手機的出現(xiàn)的高速發(fā)展,學(xué)生們可以通過智能手機連接學(xué)校的無線網(wǎng)絡(luò),這就又為那些不良信息找到一個更好的宿主。雖然學(xué)生們知道那是不良信息,但是由于好奇心理的驅(qū)使以及自制能力的缺乏,從而不能夠抵制掉不良信息的誘惑。由此可見,不良信息的傳播也是高校網(wǎng)絡(luò)安全面臨的重要問題。

(三)對于專業(yè)網(wǎng)絡(luò)安全管理人才的需求

在當(dāng)前國內(nèi)的數(shù)字化校園網(wǎng)絡(luò)環(huán)境管理團隊中,相當(dāng)大一部分的管理人員缺乏對于網(wǎng)絡(luò)安全管理的專業(yè)知識,對于人才的需求更是日益強烈,以至于在當(dāng)前的管理人員中還有的是學(xué)校內(nèi)的計算機老師進行輔助管理。而隨著信息技術(shù)的不斷發(fā)展,病毒的不斷進化,業(yè)余的管理人員是不E夠應(yīng)對一些突發(fā)狀況的,計算機老師顯然不能夠勝任這項工作。因為大多數(shù)的計算機老師雖然能夠?qū)﹄娔X系統(tǒng)進行重裝,處理一些其他方面的小問題,但是當(dāng)他們面對木馬這類的電腦病毒時卻無能為力。例如,校園網(wǎng)被不良信息入侵或者被黑客攻擊以及木馬病毒時,就算他們能夠及時的發(fā)現(xiàn),但是他們也只能眼睜睜的看著病毒肆虐,卻不能夠及時的對其進行及時的有效的制止,這就可能導(dǎo)致學(xué)校內(nèi)部的研究成果外泄或者學(xué)生個人信息的泄露。因此,這就需要更加專業(yè)的計算機人才來對數(shù)字化校園網(wǎng)絡(luò)環(huán)境進行專業(yè)的管理。

(四)網(wǎng)絡(luò)安全保護意思的缺乏

網(wǎng)絡(luò)本身就是一個比較抽象的概念,你也許只能看到一些線路,這就是網(wǎng)絡(luò)。但是,也許當(dāng)我們真正離開網(wǎng)絡(luò)后才能明白它的重要性。網(wǎng)絡(luò)安全就是如此,它或許比網(wǎng)絡(luò)更加的虛無縹緲,但它卻真實的存在,而且非常重要。問題就出在這,因為人們不能夠看到它的存在,因此潛意識里就不會對它引起重視,只有在電腦中病毒了、不能運行了、重要文件丟失了,這個時候才想起網(wǎng)絡(luò)安全這個詞語。而高校的師生也是這個想法,不能夠?qū)﹄娔X上的殺毒軟件進行更新,因此黑客和病毒就有了機會入侵到數(shù)字化校園網(wǎng)絡(luò)環(huán)境,這個時候才會意識到網(wǎng)絡(luò)安全的份量。

二、數(shù)字化校園網(wǎng)絡(luò)安全管理對策

由于信息技術(shù)是一種在第三次科技革命下產(chǎn)生的高科技產(chǎn)物,而且它的發(fā)展速度以及更新速度都遠超之前的各種技術(shù)。因此,高校需要加大對信息網(wǎng)絡(luò)技術(shù)的投入和建設(shè),在滿足發(fā)展需要的同時也應(yīng)該做好自身的安全保障工作。這就需要對數(shù)字化校園網(wǎng)絡(luò)環(huán)境的安保措施進行完善,及時的對殺毒軟件進行更新,優(yōu)化和升級防火墻等防止黑客和病毒入侵的防護軟件,要做到對其及時的發(fā)現(xiàn)并進行有效的處理。另外,為了防止出現(xiàn)意外,一定要對重要的數(shù)據(jù)進行格外加密和備份[2]。此外還要建立起完善的信息過濾系統(tǒng),對一些敏感字符或者信息進行自動過濾。

三、結(jié)束語

總體來說,信息技術(shù)在數(shù)字化校園網(wǎng)絡(luò)環(huán)境中給師生帶來的便利還是功不可沒的,但是在對數(shù)字化校園網(wǎng)絡(luò)環(huán)境安全的問題方面還是需要引起很大的關(guān)注的,有必要的話還可以請一些專業(yè)的專家來進行一些計算機網(wǎng)絡(luò)安全方面的講座,強化學(xué)校師生對網(wǎng)絡(luò)安全重要性的認(rèn)識。[3]另外,還應(yīng)該加大對于數(shù)字化校園網(wǎng)絡(luò)安全方面的物力和人力的投入,還要定期的對系統(tǒng)進行維護以及對管理人員專業(yè)知識方面的培養(yǎng),全面的提高數(shù)字化校園網(wǎng)絡(luò)安全方面的防范措施。爭取打造一個安全可靠的科研和學(xué)術(shù)交流的平臺。

參考文獻

[1]陳衛(wèi)民. 多網(wǎng)合一的高校數(shù)字化校園網(wǎng)絡(luò)及其安全性研究[D].湖南大學(xué),2011.

篇7

論文摘要:在信息化浪潮的推動下,院校校園網(wǎng)飛速建設(shè),但信息技術(shù)的發(fā)展和更新卻遠遠超出我們預(yù)見,它使得傳統(tǒng)有線校園網(wǎng)絡(luò)的建設(shè)和應(yīng)用的片面性逐漸呈現(xiàn)。新時期,如何對校園網(wǎng)進行升級、拓展應(yīng)用成為當(dāng)前校園網(wǎng)建設(shè)和改造要考慮的重要問題。

近幾年來,有線網(wǎng)絡(luò)建設(shè)、運行和維護的實踐表明,由于目前網(wǎng)絡(luò)是“有線”的,所以在應(yīng)用中有相當(dāng)多的問題不可避免。諸如,很多學(xué)校只在部分區(qū)域接入網(wǎng)絡(luò),而無法顧及所有區(qū)域;那么,在不宜進行網(wǎng)絡(luò)布線的場館該如何聯(lián)網(wǎng)呢?在教室、實驗室等場合如何突破網(wǎng)絡(luò)節(jié)點限制,實現(xiàn)多人同時上網(wǎng)呢?這些傳統(tǒng)有線校園網(wǎng)的“網(wǎng)絡(luò)盲點”問題,與教員、學(xué)員“隨時隨地獲取信息”的新需求之間的矛盾如今將可以通過無線技術(shù)輕松解決。

    1“無線”的優(yōu)勢所在

    1.1全覆蓋:以高速無線的方式覆蓋整個校園,主要包括教學(xué)樓辦公室、禮堂、公寓、圖書館、廊道綠地等,強大的無縫漫游功能,確保了網(wǎng)絡(luò)通信的流暢性,讓學(xué)校師生隨時隨地可以接人網(wǎng)絡(luò),享受無線校園帶來的樂趣。

    1.2可管理:由于校園有線網(wǎng)絡(luò)已經(jīng)建成,統(tǒng)一的網(wǎng)絡(luò)管理已經(jīng)投人使用,本次建成的無線網(wǎng)絡(luò),將可以很好的融合進現(xiàn)有校園管理系統(tǒng)中,便于統(tǒng)一管理和維護。

    1.3可擴充性:在校園網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下,無線網(wǎng)絡(luò)可滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下,平滑實現(xiàn)升級和擴充,降低原有網(wǎng)絡(luò)的硬件投資,并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。

    1.4多種服務(wù)的支持:基于校園級網(wǎng)絡(luò)的未來可持續(xù)發(fā)展,采用的無線產(chǎn)品均具備可適應(yīng)未來發(fā)展校園級無線寬帶應(yīng)用(如無線語音應(yīng)用、無線視頻會議應(yīng)用、無線多媒體通信應(yīng)用等)的需要,并提供低成本的無縫升級和前后兼容。

    2“無線”的設(shè)計方案

    無線網(wǎng)絡(luò)技術(shù)具有無縫覆蓋、可移動通信等優(yōu)點,可與有線網(wǎng)絡(luò)互為補充,但就目前無線技術(shù)的發(fā)展?fàn)顩r,無線最大的優(yōu)勢仍在于對現(xiàn)有有線網(wǎng)絡(luò)的補充。在高等網(wǎng)絡(luò)中,完善的解決方案將開辟無線網(wǎng)絡(luò)在高等教育的應(yīng)用,進而引發(fā)深刻的整個高等網(wǎng)絡(luò)變革。

    根據(jù)校園網(wǎng)絡(luò)實際應(yīng)用環(huán)境的特點,無線網(wǎng)絡(luò)解決方案大體分為兩套:室內(nèi)和室外。

    2.1室內(nèi)無線局域網(wǎng)主要針對不方便進行大規(guī)模布線或不宜布設(shè)太多信息點的建筑,如:圖書館、辦公大樓、教學(xué)樓、網(wǎng)絡(luò)教室、會議室、學(xué)員宿舍和報告大廳等。在室內(nèi)實現(xiàn)全方位的無線上網(wǎng),這將成為無線應(yīng)用的新趨勢。

   2.2室外無線解決方案主要針對分布較遠的校區(qū)之間、布線不甚方便的校園建筑物之間以及適合學(xué)習(xí)的室外場所,如草坪、操場空地等。

    3“無線”的安全性能

    長期以來,安全性能制約著無線網(wǎng)絡(luò)的發(fā)展。隨著802. l國際標(biāo)準(zhǔn)和wapi國內(nèi)標(biāo)準(zhǔn)的相繼出臺,無線網(wǎng)絡(luò)安全性得到了全面提升。國內(nèi)的wapi國家標(biāo)準(zhǔn),具有支持雙向鑒別、數(shù)字證書鑒別等優(yōu)勢,實現(xiàn)設(shè)備的身份認(rèn)證、證書鑒別、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護,為無線終端接人提供更高等級的安全保障。

    無線網(wǎng)絡(luò)提供的比較常用的安全機制有如下三種:

    3.1基于mac地址的認(rèn)證:基于mac地址的認(rèn)證就是mac地址過濾,每一個無線接人點可以使用mac地址列表來限制網(wǎng)絡(luò)中的用戶訪問。實施mac地址訪問控制后,如果mac列表中包含某個用戶的mac地址,則這個用戶可以訪問網(wǎng)絡(luò),否則,如果列表中不包含某個用戶的mac地址,則該用戶不能訪問網(wǎng)絡(luò)。

    3.2共享密鑰認(rèn)證:共享密鑰認(rèn)證方法要求在無線設(shè)備和接入點上都使用有線對等保密算法。如果用戶有正確的共享密鑰,那么就授予該用戶對無線網(wǎng)絡(luò)的訪問權(quán)。

篇8

目前,全國高校中的信息化建設(shè)發(fā)展迅速,橫向發(fā)展越來越全面,縱向發(fā)展越來越深入。信息化建設(shè)對高校的教育發(fā)展具有革命性影響,已經(jīng)成為促進高校教育改革創(chuàng)新和提高教育質(zhì)量的推動力,是高校教育發(fā)展的創(chuàng)新前沿。大學(xué)的教學(xué)、科研和管理的正常運作幾乎完全依賴于信息系統(tǒng)的穩(wěn)定可靠運行,信息系統(tǒng)中的安全體系成為至關(guān)重要的部分。因此,高校需要一套完整嚴(yán)密的安全體系來保障信息化建設(shè)。

二、現(xiàn)狀與問題

隨著高校信息化建設(shè)的推進,大學(xué)信息化建設(shè)規(guī)模越來越大,軟硬件設(shè)備配備完整,運行保障的基礎(chǔ)技術(shù)手段基本具備。擁有了網(wǎng)絡(luò)系統(tǒng)管理和應(yīng)用技術(shù)支持的專業(yè)人員,在安全上采用了防火墻、防病毒等常規(guī)的安全防護手段,保障了核心業(yè)務(wù)系統(tǒng)在一般情況下的正常運行,具備了基本的安全防護能力。但隨著信息系統(tǒng)的發(fā)展,不管從業(yè)務(wù)功能還是數(shù)據(jù)方面都在不斷的發(fā)生變化,但信息安全體系的不斷完善與整改往往因得不到重視而滯后。所以就會存在以下主要問題:信息化建設(shè)領(lǐng)導(dǎo)機構(gòu)及信息安全機構(gòu)設(shè)置不夠正規(guī)化、專一化。在之前,大多數(shù)高校中,信息安全機構(gòu)不受重視、不夠?qū)R?。認(rèn)為信息安全部分的進程,不用單獨成為信息化建設(shè)時平行推進的一條線,在信息化建設(shè)時對能考慮到的安全問題做決策,過程中未考慮到的問題,隨后再去做分析。這樣的結(jié)果往往使得安全部分的建設(shè)跟信息化建設(shè)脫節(jié),如果步伐相差較大,安全系統(tǒng)體系最終不能到達預(yù)期的結(jié)果。防護系統(tǒng)過于單一。網(wǎng)絡(luò)與信息安全事件分類不明確,出現(xiàn)不同問題預(yù)處理方式不明確,導(dǎo)致不能全面的做到預(yù)防備案。對信息系統(tǒng)沒有主動去測試、篩選、掃描等主動檢測、監(jiān)測與查找,而是等待不同的安全問題出現(xiàn)后再去找相應(yīng)的解決方案。保障措施不完善。后續(xù)處理應(yīng)及時,抑制不安全影響進一步擴大。

三、高校信息安全體系的設(shè)計與應(yīng)用

1.信息化建設(shè)領(lǐng)導(dǎo)機構(gòu)及信息安全機構(gòu)設(shè)置。(1)學(xué)校成立校園網(wǎng)絡(luò)與信息安全事件應(yīng)急處置領(lǐng)導(dǎo)小組,全面負責(zé)和統(tǒng)一指揮校園網(wǎng)絡(luò)與信息安全重大突發(fā)事件的應(yīng)急處置工作。(2)數(shù)字校園建設(shè)中心作為學(xué)校信息化建設(shè)的主管部門,負責(zé)校園主干網(wǎng)絡(luò)與主要信息系統(tǒng)安全事件的預(yù)防、監(jiān)測、報告和應(yīng)急處置,負責(zé)對學(xué)校其他部門主管的網(wǎng)絡(luò)信息系統(tǒng)的安全防護情況進行日常檢查、指導(dǎo)和督促,必要時數(shù)字校園建設(shè)中心協(xié)助相關(guān)主管部門完成突發(fā)事件的技術(shù)處理。(3)成立校園網(wǎng)管理委員會,職責(zé)為負責(zé)領(lǐng)導(dǎo)、監(jiān)督和協(xié)調(diào)校園網(wǎng)的建設(shè)和運行;負責(zé)對校園網(wǎng)建設(shè)、使用和運行中的重大問題和政策性問題進行決策。信息化領(lǐng)導(dǎo)小組由主管信息化校領(lǐng)導(dǎo)和有關(guān)職能部門負責(zé)人組成。整合網(wǎng)絡(luò)中心、技術(shù)中心和電教中心成立數(shù)字校園建設(shè)中心,數(shù)字校園建設(shè)中心在教育信息化領(lǐng)導(dǎo)小組的領(lǐng)導(dǎo)下負責(zé)學(xué)校的信息化建設(shè)。(4)單獨成立校園網(wǎng)絡(luò)與信息安全事件應(yīng)急處置領(lǐng)導(dǎo)小組,全面負責(zé)和統(tǒng)一指揮校園網(wǎng)絡(luò)與信息安全重大突發(fā)事件的應(yīng)急處置工作。2.完整的信息安全架構(gòu)。信息安全工作是一項常抓不懈的長期工作,首都師范大學(xué)在努力做好當(dāng)下相關(guān)工作的同時,分別在安全技術(shù)和管理規(guī)范上做了相應(yīng)的規(guī)劃。學(xué)校根據(jù)目前信息安全的現(xiàn)狀,申報信息安全建設(shè)專項,計劃通過采購數(shù)據(jù)中心防火墻、漏洞掃描系統(tǒng)、負載均衡等安全防護設(shè)備工相關(guān)工具,對數(shù)據(jù)中心進行整體安全加固,提升數(shù)據(jù)中心安全防護能力,切實提高系統(tǒng)的安全風(fēng)險抵御能力,降低網(wǎng)絡(luò)應(yīng)用系統(tǒng)所面臨安全風(fēng)險威脅,保證網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全、穩(wěn)定的運行,使網(wǎng)絡(luò)信息系統(tǒng)在符合國家信息安全防護相應(yīng)級別的安全要求。以首都師范大學(xué)數(shù)據(jù)中心安全規(guī)劃架構(gòu)為例:第一層安全防護:即傳統(tǒng)防火墻+IPS,并且對內(nèi)部的應(yīng)用進行詳細控制,對校園網(wǎng)開放應(yīng)用需要對開開放的端口,例如真把HTTP的80端口開放出來,其余的應(yīng)和數(shù)據(jù)庫等就不會出現(xiàn)在校園網(wǎng)當(dāng)中,并通過IPS對于蠕蟲、syn等攻擊行為進行防護。第二層安全防護:由于傳統(tǒng)的防火墻無法對于80端口的web應(yīng)用進行防護,所以需要專門的web應(yīng)用防火墻進行80端口的web應(yīng)用的防護;在數(shù)據(jù)中心與核心交換機之間一般都使用萬兆鏈路,web應(yīng)用防火墻不能像傳統(tǒng)防火墻能夠去支持萬兆接口,只能夠通過策略路由的方式將所有的80端口流量全部匹配至web應(yīng)用防火墻內(nèi),其余的流量還照樣能夠走萬兆流量,一般在測試的過程中web流量基本維持在300M-500M之間,或者也可以采用反向的方式旁路在數(shù)據(jù)中心交換機上。第三層安全防護:虛擬化安全防護,在數(shù)據(jù)中心層面都提倡大二層結(jié)構(gòu),為了是最大化降低應(yīng)用之間的訪問延遲,所以在虛擬化網(wǎng)絡(luò)設(shè)計當(dāng)中就沿用二層設(shè)計,但由于一臺物理機器上承載多臺虛擬機,所以在2層交換上都是在虛擬交換機上進行,也就是說在相同虛擬機上同網(wǎng)段段的數(shù)據(jù)交互在網(wǎng)卡層面就完成,那相互之間的安全就需要依靠虛擬化安全防護來完成。第四層安全防護:數(shù)據(jù)庫安全防護,這部分防護主要是在應(yīng)用服務(wù)器與數(shù)據(jù)庫服務(wù)器之間,監(jiān)視數(shù)據(jù)庫活動、防止未被授權(quán)的數(shù)據(jù)庫訪問、SQL注入權(quán)限或角色升級、對敏感數(shù)據(jù)的非法訪問。第五層安全檢測:通過漏洞掃描設(shè)備解決系統(tǒng)本身的漏洞和安全隱患,在拓撲中只要網(wǎng)絡(luò)可達便可對所有的設(shè)備進行檢查。該項目正在逐步推進過程中,計劃于明年年底前建設(shè)完成并交付使用,通過該項目的實施,各安全設(shè)備的運行防護能夠保障首都師范大學(xué)數(shù)據(jù)中心的信息安全,實現(xiàn)數(shù)據(jù)中心信息和網(wǎng)絡(luò)的安全。同時,還申報并計劃學(xué)校信息安全等級保護測評和整改項目,該項目啟動后,將對學(xué)校重點的信息系統(tǒng)進行等級保護測評并針對相應(yīng)的測評結(jié)果對相應(yīng)問題進行有針對性的改造;對于學(xué)校整個信息安全體系及信息安全管理制度進行統(tǒng)一的梳理,從制度和管理上對于信息安全進行全面的保障。3.對網(wǎng)絡(luò)與信息安全事件進行分類分級:《信息安全事件分類分級指南》(1)網(wǎng)絡(luò)與信息安全事件分類。網(wǎng)絡(luò)與信息安全突發(fā)事件依據(jù)發(fā)生過程、性質(zhì)和特征的不同,可分為以下四類:①網(wǎng)絡(luò)攻擊事件:校園網(wǎng)絡(luò)與信息系統(tǒng)因病毒感染、非法入侵等造成學(xué)校網(wǎng)站或部門二級網(wǎng)站主頁被惡意篡改,應(yīng)用系統(tǒng)數(shù)據(jù)被拷貝、篡改、刪除等。②設(shè)備故障事件:校園網(wǎng)絡(luò)與信息系統(tǒng)因網(wǎng)絡(luò)設(shè)備和計算機軟硬件故障、人為誤操作等導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓。③災(zāi)害性事件:因洪水、火災(zāi)、雷擊、地震、臺風(fēng)、非正常停電等外力因素導(dǎo)致網(wǎng)絡(luò)與信息系統(tǒng)損毀,造成業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓。④信息內(nèi)容安全事件:利用校園網(wǎng)絡(luò)在校內(nèi)外傳播法律法規(guī)禁止的信息,組織非法串聯(lián)、煽動集會游行或炒作敏感問題并危害國家安全、社會穩(wěn)定和公眾利益等。(2)網(wǎng)絡(luò)與信息安全分級。網(wǎng)絡(luò)與信息安全突發(fā)事件依據(jù)可控性、嚴(yán)重程度和影響范圍的不同,可分為以下四級:I級(特別重大):學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)發(fā)生全校性大規(guī)模癱瘓,對學(xué)校正常工作造成特別嚴(yán)重損害,且事態(tài)發(fā)展超出學(xué)??刂颇芰Φ陌踩录?;II級(重大):學(xué)校網(wǎng)絡(luò)與信息系統(tǒng)造成全校性癱瘓,對學(xué)校正常工作造成嚴(yán)重損害,事態(tài)發(fā)展超出數(shù)字校園建設(shè)中心控制能力,需學(xué)校各部門協(xié)同處置的安全事件;III級(較大):學(xué)校某一區(qū)域的網(wǎng)絡(luò)與信息系統(tǒng)癱瘓,對學(xué)校正常工作造成一定損害,數(shù)字校園建設(shè)中心可自行處理的安全事件;IV級(一般):某一局部網(wǎng)絡(luò)或信息系統(tǒng)受到一定程度損壞,對學(xué)校某些工作有一定影響,但不危及學(xué)校整體工作的安全事件。4.做好預(yù)防措施,安全漏洞檢查與發(fā)現(xiàn)問題及時整改。依照上面指定的《信息安全事件分類分級指南》,對校園網(wǎng)絡(luò)通信平臺、應(yīng)用平臺和信息系統(tǒng)采取相應(yīng)安全保障措施。建立健全安全事件預(yù)警預(yù)報體系,嚴(yán)格執(zhí)行校園網(wǎng)絡(luò)與信息系統(tǒng)安全管理制度,常年堅持校園網(wǎng)絡(luò)安全工作值班制度。加強對校園網(wǎng)絡(luò)與學(xué)校網(wǎng)站等重點信息系統(tǒng)的監(jiān)控和安全管理,做好相關(guān)數(shù)據(jù)日志記錄,確定合理規(guī)則,對校園網(wǎng)絡(luò)進出信息實行過濾及預(yù)警。實行信息網(wǎng)上審批制度,對可能引發(fā)校園網(wǎng)絡(luò)與信息安全事件的信息,要認(rèn)真收集、分析、判斷,發(fā)現(xiàn)有異常情況時,及時防范處理并逐級報告。做好服務(wù)器及數(shù)據(jù)中心的數(shù)據(jù)備份及登記工作,建立災(zāi)難性數(shù)據(jù)恢復(fù)機制。特殊時期,根據(jù)要求和部署組織專業(yè)技術(shù)人員對校園網(wǎng)絡(luò)和信息系統(tǒng)采取加強性保護措施,對校園網(wǎng)絡(luò)通信及信息系統(tǒng)進行不間斷監(jiān)控。主動檢測與查找信息安全存在的漏洞風(fēng)險,并根據(jù)安全154信息系統(tǒng)工程│2017.6.20ACADEMICRESEARCH學(xué)術(shù)研究漏洞的危險程度對問題采取以下方式進行處理:一是將存在安全隱患的網(wǎng)站進行短期關(guān)停,并限期封堵安全漏洞;二是對于涉及范圍比較廣,師生員工關(guān)注比較高的網(wǎng)站(如學(xué)校主頁)加強安全檢查和監(jiān)控,并上報辦公會,啟動改版計劃;三是對于建設(shè)較早且安全隱患較多二級部門網(wǎng)站進行永久性關(guān)停,并責(zé)令相關(guān)單位以新的安全標(biāo)準(zhǔn)建設(shè)新網(wǎng)站。對存在安全漏洞進行整改,對學(xué)校的安全風(fēng)險進行全面排查,把信息安全事件扼殺在萌芽狀體。以免在信息安全方面沒有造成不良的影響,造成損失。5.完備的處理流程(1)預(yù)案啟動。發(fā)生校園網(wǎng)絡(luò)與信息安全事件后,數(shù)字校園建設(shè)中心和突發(fā)安全事件的信息系統(tǒng)建管部門應(yīng)盡最大可能收集事件相關(guān)信息,鑒別事件性質(zhì),確定事件來源,弄清事件范圍,評估事件帶來的影響和損害,確認(rèn)突發(fā)事件的類別和等級,并參照下述響應(yīng)機制對突發(fā)事件進行處置。(2)應(yīng)急響應(yīng)①應(yīng)急響應(yīng)機制。III級或IV級突發(fā)事件響應(yīng):數(shù)字校園建設(shè)中心和突發(fā)安全事件的信息系統(tǒng)建管部門自行負責(zé)應(yīng)急處置工作,有關(guān)情況報分管校領(lǐng)導(dǎo)。II級突發(fā)事件響應(yīng):數(shù)字校園建設(shè)中心立即上報分管校領(lǐng)導(dǎo)和校園網(wǎng)絡(luò)與信息安全事件應(yīng)急處置領(lǐng)導(dǎo)小組,由領(lǐng)導(dǎo)小組統(tǒng)一組織、協(xié)調(diào)指揮進行應(yīng)急處置。I級突發(fā)事件響應(yīng):數(shù)字校園建設(shè)中心立即上報分管校領(lǐng)導(dǎo)和校園網(wǎng)絡(luò)與信息安全事件應(yīng)急處置領(lǐng)導(dǎo)小組,領(lǐng)導(dǎo)小組再上報至市公安局等相關(guān)部門,由北京市相關(guān)部門會同我校校園網(wǎng)絡(luò)與信息安全事件應(yīng)急處置領(lǐng)導(dǎo)小組統(tǒng)一組織、協(xié)調(diào)指揮應(yīng)急處置。②應(yīng)急處理方式。根據(jù)網(wǎng)絡(luò)與信息安全事件分類采取不同應(yīng)急處置方式。對于網(wǎng)絡(luò)攻擊事件,查找網(wǎng)絡(luò)攻擊的源頭,尋找對用內(nèi)部的服務(wù)器等設(shè)備,關(guān)閉內(nèi)部相關(guān)設(shè)備與外部的網(wǎng)絡(luò)連接。抓包并分析網(wǎng)絡(luò)攻擊的來源信息。對造成的信息破壞進行修復(fù),利用備份系統(tǒng)進行恢復(fù)。基于攻擊的類型可以采取以下解決辦法:病毒傳播:及時尋找并斷開傳播源,判斷病毒的類型、性質(zhì)、可能的危害范圍;為避免產(chǎn)生更大的損失,保護健康的計算機,必要時可關(guān)閉相應(yīng)的端口,甚至相應(yīng)樓層的網(wǎng)絡(luò),及時請有關(guān)技術(shù)人員協(xié)助,尋找并公布病毒攻擊信息,以及殺毒、防御方法。外部入侵:找出攻擊的源頭,評估分析對網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)系統(tǒng)造成的傷害。如果是試圖入侵被防火墻直接攔截的,對入侵?jǐn)?shù)據(jù)進行分析,分析其欲攻擊的IP和端口。對服務(wù)器的端口進行監(jiān)察或關(guān)閉。對該IP地址進行限制訪問。如果已經(jīng)對系統(tǒng)造成損害,需要立即斷開與外網(wǎng)的連接,以免造成更為嚴(yán)重的傷害。內(nèi)部入侵:定位內(nèi)部的入侵相關(guān)信息,信息包含入侵的用戶,所在辦公室位置,入侵的IP地址和端口。對于入侵成功的,應(yīng)立即關(guān)閉內(nèi)網(wǎng)交換設(shè)備。設(shè)備故障事件:定位造成故障事件的設(shè)備,評估事件的嚴(yán)重程度,對于非持久化存儲的設(shè)備或可暫時停運的設(shè)備,使用備用設(shè)備替換。迅速聯(lián)系IT部門,對設(shè)備故障做維護與報備。保證相關(guān)的校園網(wǎng)絡(luò)系統(tǒng)的正常運轉(zhuǎn)。災(zāi)害性事件:此類事件多指自然災(zāi)害事件,根據(jù)災(zāi)害的程度,在保證人身安全的情況下,對設(shè)備以及數(shù)據(jù)進行緊急保護。信息內(nèi)容安全事件:接到校內(nèi)網(wǎng)站出現(xiàn)不良信息的報案后,應(yīng)迅速屏蔽該網(wǎng)站的網(wǎng)絡(luò)端口或拔掉網(wǎng)絡(luò)連接線,阻止有害信息的傳播,根據(jù)網(wǎng)站相關(guān)日志記錄查找信息人并做好善后處理;對公安機關(guān)要求我校協(xié)查的外網(wǎng)不良信息事件,根據(jù)校園網(wǎng)上網(wǎng)相關(guān)記錄查找信息人。其它不確定安全事件:根據(jù)提前制定的安全事件處理原則,根據(jù)實時情況靈活多變進行處理。對于未知的處理辦法,對信息安全部門進行咨詢求助。③后續(xù)處理。對攻擊事件先進行以上的事件處理之后,應(yīng)及時的采取措施,防止攻擊事件造成的危害進一步的增強。對于具有潛伏性的、長久性的病毒攻擊,要實時的進行隔離和防護。對攻擊事件抑制以后,追其根源,分析事件的動機和途徑。解決并清除此危機,制定對此類攻擊處理的成熟方案。在確保安全事件解決后,要及時清理系統(tǒng),恢復(fù)數(shù)據(jù)、程序、服務(wù),恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致的數(shù)據(jù)丟失。④記錄上報。對于發(fā)生的安全事件,要認(rèn)真做記錄與統(tǒng)計。將記錄結(jié)果向校園安全部門領(lǐng)導(dǎo)及時匯報,及時分析網(wǎng)絡(luò)系統(tǒng)日志,將重要日志信息做永久存儲處理。⑤結(jié)束響應(yīng)。不斷完善網(wǎng)絡(luò)安全整體方案,加強技術(shù)管理,確保信息系統(tǒng)的穩(wěn)定與安全。根據(jù)工作需要聘請信息安全顧問為應(yīng)急處置過程和重建工作提供咨詢和技術(shù)支持。6.保障措施。校園網(wǎng)絡(luò)與信息安全應(yīng)急處置是一項長期的、隨時可能發(fā)生的工作,必須做好各項應(yīng)急保障工作。(1)隊伍保障。加強對安全隊伍工作人員的安全技術(shù)培訓(xùn),增強安全隊伍對日常操作的安全程度,面對突發(fā)安全事件能緊急處理。對于日常維護能做到防患于未然。(2)技術(shù)保障。拒絕采用盜版辦公軟件,特別是安全維護相關(guān)的軟件,比如防火墻、殺毒軟件等,應(yīng)安裝正版使用。擁有健全的安全防護體系與安全技術(shù),對防護系統(tǒng)進行多方位、多層次的設(shè)計。確保安全系統(tǒng)的穩(wěn)定與可靠。(3)資金保障。信息安全部門要積極的對安全的升級與維護項目進行申報,對于申報資金要落到安全系統(tǒng)建設(shè)實處。學(xué)校領(lǐng)導(dǎo)與財務(wù)部門,要大力支持安全部門的專項資金申請審批工作。將安全系統(tǒng)預(yù)算納入到每年的財政預(yù)算中。(4)安全培訓(xùn)和演練。聘請專業(yè)的安全公司人員對部門人員進行培訓(xùn)與教學(xué),在理論培訓(xùn)的同時,進行安全事件的軟件模擬或真實模擬演練。

四、結(jié)語

高校信息化管理水平是衡量高校辦學(xué)水平的重要尺度,信息化管理過程中的安全是重中之重。隨著高等教育的迅速發(fā)展, 辦學(xué)規(guī)模不斷擴大, 教學(xué)管理越來越復(fù)雜化, 高校的信息系統(tǒng)管理工作面臨著嚴(yán)峻挑戰(zhàn)。伴隨著高校信息化進程的不斷推進,新的信息安全隱患不斷涌現(xiàn),信息風(fēng)險也不斷加大,建立一套高效、集成的信息安全保障體系勢在必行。利用技術(shù)措施加強信息安全防護,保證管理信息系統(tǒng)正常運行,這樣才能滿足教學(xué)管理的需要。

作者:劉海龍 安寅杰 單位:首都師范大學(xué)數(shù)字校園建設(shè)中心

參考文獻

[1]吳曉瞻.高校安全協(xié)同辦公信息系統(tǒng)的設(shè)計與實現(xiàn)[D].浙江:浙江工業(yè)大學(xué),2016.

[2]黃文雯.辦公業(yè)務(wù)安全保障系統(tǒng)的設(shè)計與實現(xiàn)[A].中國電機工程學(xué)會電力信息化專業(yè)委員會、國家電網(wǎng)公司信息通信分公司:2016電力行業(yè)信息化年會論文集,2016,(4):10-23.

[3]姚亞玲.高校網(wǎng)絡(luò)教學(xué)管理系統(tǒng)的設(shè)計與實現(xiàn)[D].吉林:吉林大學(xué),2016.

[4]黃宏杰,陳永清.現(xiàn)代校園網(wǎng)信息安全化的研究[J].計算機時代,2016,(12):46-48+52.

[5]徐豪.高校網(wǎng)絡(luò)安全管理問題與對策研究[J].數(shù)字技術(shù)與應(yīng)用,2016,(09):200-201.

篇9

關(guān)鍵詞:網(wǎng)絡(luò)安全;分布式拒絕服務(wù)攻擊;流量控制;流量清洗

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2008)33-1326-03

A Study on DDoS Defense Campus Network Platform to Attack the Building Program

ZHANG Hu

(College of Information Technology, Anhui University Finance & Economics, Bengbu 233041, China)

Abstract: Distributed Denial of Service attack (DDoS) has become one of the greatest threat to the Internet. Analysis of the campus network the status, the establishment of a business model, a flow of cleaning equipment functional requirements, design a campus network DDoS attacks defense platform design. And an analysis of DDOS attacks cleansing program flow traction technology, trigger technology, clean technology and traffic flow back to the technical note.

Key words: network security; DDos; flow control; traffic cleaning technology

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,各類政府部門、高校、科研機構(gòu)信息化水平的持續(xù)提高,各項業(yè)務(wù)對于互聯(lián)網(wǎng)的依賴性越來越大。同時,由于網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)攻擊手段的不斷發(fā)展和演變,使得這類用戶的互聯(lián)網(wǎng)業(yè)務(wù)面臨著極大的威脅和風(fēng)險。其中,分布式拒絕服務(wù)型攻擊(Distributed Denial of Services,簡稱DDoS攻擊)是目前互聯(lián)網(wǎng)中存在的最常見、危害性最大的攻擊形式之一。DDoS攻擊不但能夠給各類互聯(lián)網(wǎng)用戶和服務(wù)提供商造成業(yè)務(wù)中斷、系統(tǒng)癱瘓等嚴(yán)重后果,同時也嚴(yán)重威脅到高校校園網(wǎng)的基礎(chǔ)設(shè)施。

目前,由于商業(yè)競爭、政治情緒、經(jīng)濟勒索等因素的驅(qū)動,DDoS攻擊越來越呈現(xiàn)出組織化、規(guī)?;?、專業(yè)化的特點,攻擊流量動輒數(shù)G、十幾G,攻擊頻率也大有愈演愈烈之勢。在這種緊迫形勢下,配合當(dāng)前數(shù)字化校園的建設(shè)戰(zhàn)略,建設(shè)專門的DDoS 攻擊流量監(jiān)測和清洗平臺是一個必然之選。基于該平臺,一方面可以為校園網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全保障,有效提高校園網(wǎng)網(wǎng)絡(luò)的健壯性;另一方面能夠結(jié)合數(shù)字化校園應(yīng)用系統(tǒng)的安全需求提供DDoS 攻擊的防護業(yè)務(wù),從而達到提高網(wǎng)絡(luò)帶寬高利用率和網(wǎng)絡(luò)高可用性的目的。

1 校園網(wǎng)網(wǎng)絡(luò)現(xiàn)狀

在網(wǎng)絡(luò)資源方面,現(xiàn)在高校校園網(wǎng)通過多期擴容工程,已經(jīng)形成了核心、匯接、接入三個網(wǎng)絡(luò)層次,這種清晰的網(wǎng)絡(luò)層次,給實施流量的監(jiān)控、控制提供了良好的網(wǎng)絡(luò)基礎(chǔ)。在設(shè)備資源方面,各高校校園網(wǎng)核心層以及匯接層大部分采用了Cisco、Juniper、華為等主流廠商的高端設(shè)備,支持Netflow功能,性能上可以提供保障,支持DDoS 攻擊防護平臺的建設(shè)實施。

可以說,目前高校校園網(wǎng)網(wǎng)絡(luò)已經(jīng)具備了建設(shè)DDoS 攻擊防護平臺所需要的網(wǎng)絡(luò)和設(shè)備資源。除此之外,需要相關(guān)的管理部門盡量落實建設(shè)方案,包括規(guī)劃、設(shè)計、實施以及業(yè)務(wù)維護等各個環(huán)節(jié)所涉及的服務(wù)隊伍。

高校校園網(wǎng)網(wǎng)絡(luò)分為核心層、匯接層、邊緣層和業(yè)務(wù)層,核心層、匯接層、邊緣層節(jié)點根據(jù)業(yè)務(wù)發(fā)展需要配置相應(yīng)檔次的路由器。核心節(jié)點設(shè)備及之間的互連鏈路、核心節(jié)點設(shè)備與匯接節(jié)點設(shè)備的互連鏈路以及匯接節(jié)點的設(shè)備組成的網(wǎng)絡(luò)定義為骨干層。校園網(wǎng)網(wǎng)絡(luò)的其他部分為接入層,具體包括各接入節(jié)點設(shè)備間互連鏈路、接入節(jié)點設(shè)備與邊緣層設(shè)備的互連鏈路。

2 業(yè)務(wù)需求分析

2.1 用戶分析

目前,各高校校園網(wǎng)通常通過互聯(lián)網(wǎng)向外提供各種應(yīng)用和業(yè)務(wù),如網(wǎng)站門戶、遠程教學(xué)、電子郵件、教學(xué)科研管理等等。他們對業(yè)務(wù)的連續(xù)性要求較高,DDoS 攻擊造成的業(yè)務(wù)中斷會對高校造成非常大的經(jīng)濟或社會利益的損失。高校校園網(wǎng)內(nèi)部也需要建立一套有效的異常流量監(jiān)控和控制機制來保護其基礎(chǔ)業(yè)務(wù)系統(tǒng)。愈演愈烈的DDoS 攻擊,可在短時間內(nèi)使網(wǎng)絡(luò)堵塞、關(guān)鍵節(jié)點資源耗盡,給校園網(wǎng)基礎(chǔ)業(yè)務(wù)系統(tǒng)系統(tǒng)的穩(wěn)定性、安全性帶來嚴(yán)重的威脅。

2.2 業(yè)務(wù)模型分析

DDOS 攻擊防御系統(tǒng)主要為用戶提供的業(yè)務(wù)模式為:1)長期在線檢測和清洗;2)長期在線監(jiān)測,觸發(fā)清洗。

為校園網(wǎng)所能夠提供的基礎(chǔ)服務(wù)可以包括:

1)資源預(yù)留:在DDoS 攻擊防護平臺上為校園網(wǎng)應(yīng)用保留攻擊防護所必須的資源,包括流量采樣和分析設(shè)置、流量清洗空間(空間大小根據(jù)流量清洗需求及清洗設(shè)備能力確定)、牽引/回注電路及相關(guān)網(wǎng)絡(luò)設(shè)備及其配置等。

2)制定安全基線:通過分析校園網(wǎng)業(yè)務(wù)流量特征、常見攻擊流量特征,構(gòu)建校園網(wǎng)安全基線和基礎(chǔ)攻擊防護策略。

3)7*24實時監(jiān)控:校園網(wǎng)安全專家運維團隊對針對校園網(wǎng)的流量進行7*24實時采集和分析,對異常流量進行跟蹤并記錄,對可能造成校園網(wǎng)業(yè)務(wù)中斷的惡意攻擊啟動預(yù)警機制。

4)安全事件通告:對造成業(yè)務(wù)影響的惡意攻擊或其他異常及時以約定的響應(yīng)模式告知用戶并與用戶進一步協(xié)商應(yīng)對策略。

5)流量分析報告:按照約定時間周期為用戶提供流量采樣的分析報告,無論此間是否收到攻擊或者啟動過防護措施。

3 流量清洗設(shè)備功能要求

1)流量清洗設(shè)備必須滿足能夠有效防護目前常見的DDoS 攻擊類型,具體為:Syn flood、ICMP flood、Ack flood、DNS query request flood、TCP 連接耗盡、HTTP Get Flood、CC、UDP FLOOD 攻擊等。通過軟件升級,以保證流量清洗設(shè)備能夠防御新型的DDoS攻擊。

2)流量清洗設(shè)備滿負荷運行時,對攻擊流量的清洗精度應(yīng)大于99%,對合法用戶流量誤判率應(yīng)小于0.1%。

3)系統(tǒng)流量清洗與DDoS 過濾的方式與原理,包括過濾,反欺騙,異常識別,協(xié)議分析,速率限制等盡可能多的方式方法。

4)當(dāng)流量監(jiān)控設(shè)備發(fā)現(xiàn)DDoS 攻擊流量時,流量監(jiān)控設(shè)備直接觸發(fā)流量清洗設(shè)備以啟動對目標(biāo)攻擊流量的流量清洗操作:

5)設(shè)備提供二次開發(fā)接口,當(dāng)通過IDS/IPS 或其它方式發(fā)現(xiàn)DDoS 攻擊后,網(wǎng)管系統(tǒng)可通過SSH-script 等方式向流量清洗設(shè)備發(fā)出啟動指令;

6)支持旁路(Offline)工作模式。當(dāng)發(fā)生DDoS攻擊時,清洗設(shè)備可通過BGP路由宣告的方式將去向被保護目標(biāo)的流量導(dǎo)入流量清洗進行處理。

4 總體建設(shè)方案

DDoS攻擊防護系統(tǒng)的建設(shè)是在降低對現(xiàn)有網(wǎng)絡(luò)的影響,保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性的基礎(chǔ)上,針對不斷發(fā)展的攻擊形式,有效地進行檢測和清洗。防護平臺涉及兩個關(guān)鍵系統(tǒng),及異常流量檢測系統(tǒng)和DDoS 攻擊清洗系統(tǒng),平臺架構(gòu)可以參照圖1。

1)異常流量檢測系統(tǒng)

提供對DDoS 攻擊行為的深入分析。檢測設(shè)備被動監(jiān)測網(wǎng)絡(luò)業(yè)務(wù),搜尋與“正?!?行為的偏差或DDoS 攻擊的基本行為。攻擊被識別后,檢測設(shè)備發(fā)警報給清洗設(shè)備,觸發(fā)清洗設(shè)備啟動,以實現(xiàn)清洗設(shè)備對正常流量中的攻擊流量進行清洗,同時也支持提供攻擊報警來通知相關(guān)的維護人員,以手工啟動清洗設(shè)備以及相關(guān)的快速響應(yīng)措施。異常流量檢測設(shè)備由綜合網(wǎng)管系統(tǒng)提供,主要支持手動啟動清洗。

2)DDoS 攻擊清洗系統(tǒng)

DDoS 攻擊防護解決方案的關(guān)鍵部件。該設(shè)備是一個高性能DDoS 攻擊緩解設(shè)備,當(dāng)流量被“牽引”到該設(shè)備后,能通過流量分析驗證技術(shù)對正常業(yè)務(wù)流量和惡意攻擊流量進行識別和分離,通過限速或過濾等手段遏制攻擊流量,同時保證合法的數(shù)據(jù)包能繼續(xù)傳送到目標(biāo)地址。

圖1 平臺構(gòu)架示意圖

5 DDOS攻擊清洗方案

5.1 流量牽引技術(shù)

流量牽引主要指將去往被攻擊目標(biāo)的流量重路由到一個用于攻擊緩解的流量清洗中心,以便在清洗中心中處理, 丟棄攻擊流量。當(dāng)發(fā)現(xiàn)了一個攻擊時,流向攻擊目標(biāo)的流量需轉(zhuǎn)移到一個清洗中心。有多種技術(shù)都可觸發(fā)這種流量轉(zhuǎn)移,觸發(fā)可為集中或分布式,手動或自動進行。

5.2 集中觸發(fā)與分布式觸發(fā)

集中觸發(fā)是在安全管理中心配置一個“觸發(fā)器”,所有的轉(zhuǎn)移動作從這個觸發(fā)器觸發(fā)。觸發(fā)就是在路由器上增加一條靜態(tài)路由添加一個特殊標(biāo)記,隨后重到BGP中。當(dāng)攻擊結(jié)束以后,可以刪除這條路由,停止?fàn)恳?。集中轉(zhuǎn)移觸發(fā)的主要優(yōu)勢在于,流量轉(zhuǎn)移由網(wǎng)絡(luò)中的單一點控制,管理和觸發(fā)轉(zhuǎn)移過程更方便,但是需要單獨購置攻擊觸發(fā)設(shè)備。

分布式觸發(fā)是當(dāng)清洗中心的清洗設(shè)備需要工作時, 它們各自向網(wǎng)絡(luò)中的一個路由器發(fā)送一個BGP更新,將到目標(biāo)地址的下一跳設(shè)置為它們自身。采用分布式觸發(fā)的主要優(yōu)勢在于,它能靈活地將清洗設(shè)備資源分配給遭受攻擊的特定用戶。

由于校園網(wǎng)需要對全網(wǎng)進行保護,把攻擊流量在盡可能靠近攻擊源的地方消滅,所以可采用集中觸發(fā)。

5.3 流量清洗技術(shù)

流量“牽引”到清洗設(shè)備后,通過流量分析驗證技術(shù)對正常業(yè)務(wù)流量和惡意攻擊流量進行識別和分離,丟棄攻擊流量,保留正常流量。

典型的流量清洗的過程由五個模塊(步驟)組成:

1)過濾:包括靜態(tài)和動態(tài)的DDoS 過濾器filters。

2)反欺騙:用以驗證進入系統(tǒng)的數(shù)據(jù)包沒有欺騙信息。

3)異常識別:監(jiān)測所有通過了filter 和反欺騙模塊的流量,并將其與隨時間紀(jì)錄的基準(zhǔn)行為相比,搜尋那些非正常的流量,識別惡意包的來源。

4)協(xié)議分析:處理反常事件識別模塊發(fā)現(xiàn)的可疑數(shù)據(jù)流,目的是為了識別特定的應(yīng)用攻擊,例如http-error攻擊。

5)速率限制:提供了另一個執(zhí)行選項,防止不正當(dāng)數(shù)據(jù)流攻擊目標(biāo)。

5.4 流量回注技術(shù)

經(jīng)過流量清洗后,正常流量被重新轉(zhuǎn)發(fā)回網(wǎng)絡(luò),到達原來的目標(biāo)地址。根據(jù)網(wǎng)絡(luò)環(huán)境不同,目前主要有以下幾種注入方式:

1) L2 injection:注入路由器和清洗設(shè)備在同一個二層子網(wǎng);

2) PBR based injection:通過策略路由實現(xiàn)流量注入;

3) GRE Injection in an IP Core:注入通過一個GRE 隧道實現(xiàn)。GRE隧道發(fā)起在清洗設(shè)備, 終結(jié)在CPE 設(shè)備;

4) VRF Injection in an MPLS core:流量通過一個獨立的“inject” VRF進行注入;

6 小結(jié)

DDOS攻擊防御業(yè)務(wù)平臺將根據(jù)校園網(wǎng)自有異常流量檢測和分析系統(tǒng)、IDS或者其它網(wǎng)絡(luò)監(jiān)控系統(tǒng)對DDOS攻擊檢測結(jié)果,或者應(yīng)用戶申告對相應(yīng)用戶進行DDOS攻擊防御。項目建設(shè)范圍將包括針對DDOS 攻擊的流量引導(dǎo)、清洗和回注過程等的前端功能實體以及后端業(yè)務(wù)管理平臺和設(shè)備系統(tǒng)管理平臺,針對DDOS 攻擊的檢測和分析綜合網(wǎng)管工程等其它工程完成。它的建成將極大地緩解高校校園網(wǎng)由于DDOS攻擊造成的弊端,最終更好地為教學(xué)和科研工作服務(wù)。

參考文獻:

[1] 尹春霖,張強,李鷗.基于IXP1200平臺的DDoS防御系統(tǒng)實現(xiàn)[J].信息工程大學(xué)學(xué)報,2005,6(4):59-62.

[2] 蓋凌云,黃樹來.分布式拒絕服務(wù)攻擊及防御機制研究[J].通信技術(shù),2007,(6):32-33.

[3] 吳瀟,沈明玉.基于流量牽引和陷阱系統(tǒng)的DDoS防御技術(shù)[J].合肥工業(yè)大學(xué)學(xué)報:自然科學(xué),2008(01):25-28.

篇10

[關(guān)鍵詞]無線校園局域網(wǎng) 無線控制器 FAT AP FIT AP

[中圖分類號]TN925.93[文獻標(biāo)識碼]A[文章編號]1007-9416(2010)02-0090-02

1 引言

隨著各高等院校信息化建設(shè)不斷深入,各校園網(wǎng)絡(luò)從網(wǎng)絡(luò)結(jié)構(gòu)、規(guī)模和帶寬來看,校園有線網(wǎng)絡(luò)已經(jīng)基本形成。校園網(wǎng)已經(jīng)成為校園生活工作的重要組成部分,是教職員工和學(xué)生獲取資源和信息主要途徑。無線網(wǎng)絡(luò)技術(shù)具有無縫三維覆蓋、可移動通信等優(yōu)點,彌補了有線網(wǎng)絡(luò)的不足。據(jù)統(tǒng)計,到2009年,國內(nèi)外有1000余所學(xué)校已經(jīng)建成了無線校園網(wǎng)絡(luò)[1]。

前期已經(jīng)建成的無線校園局域網(wǎng)由于先期資金投入不多,大多采用基于智能型的接入點--FAT AP傳統(tǒng)分布式結(jié)構(gòu),該結(jié)構(gòu)比較適合開放式或?qū)τ脩粜袨榭刂撇皇呛苊舾械腤LAN 網(wǎng)絡(luò)環(huán)境。但是隨無線校園局域網(wǎng)用戶數(shù)量和各種無線網(wǎng)絡(luò)應(yīng)用增多,無線網(wǎng)絡(luò)規(guī)模逐漸擴大,傳統(tǒng)的無線校園局域網(wǎng)面臨諸多問題:面對眾多的無線接入點AP時缺乏集中的配置管理手段,缺乏智能的RF管理,難以進行RF設(shè)置和無法統(tǒng)一部署全局的安全和接入策略等。

為此本文提出了的基于以無線控制器(AC)的集中式管理架構(gòu)的無線校園局域網(wǎng)。這種架構(gòu)通過集中式管理來簡化AP,僅需要在校園網(wǎng)絡(luò)中心加入一臺無線控制器,將原有的FAT AP轉(zhuǎn)化為FIT AP就能解決傳統(tǒng)的無線校園網(wǎng)絡(luò)面臨的諸多問題。

2 傳統(tǒng)的無線校園網(wǎng)設(shè)計

2.1 網(wǎng)絡(luò)現(xiàn)狀

本文所討論的無線校園局域網(wǎng)是以筆者所在學(xué)院為對象。目前學(xué)院在校學(xué)生9000余人,教職工160余人。學(xué)院一期網(wǎng)絡(luò)是以千兆以太網(wǎng)多層交換技術(shù)和國內(nèi)主流產(chǎn)品為主導(dǎo)的校園網(wǎng)系統(tǒng),有線網(wǎng)絡(luò)覆蓋實訓(xùn)樓、學(xué)生宿舍和辦公樓,基本上達到了100M到樓層,10M到桌面的有線網(wǎng)絡(luò)體系。隨學(xué)院圖書館建成和某些課程教學(xué)過程要求聯(lián)網(wǎng)的需要,在項目資金有限的情況下,學(xué)院兩年前對一期網(wǎng)絡(luò)進行了升級改造,改造后的校園網(wǎng)絡(luò)新增了圖書館和教學(xué)樓部分教室內(nèi)的無線局域網(wǎng)部署。

新建的無線局域網(wǎng)采用Fat AP的分布式組網(wǎng)架構(gòu),在一期的有線局域網(wǎng)基礎(chǔ)上,配以Fat AP、無線適配器、RADIUS服務(wù)器等設(shè)備組成。分布在各處的AP通過網(wǎng)絡(luò)雙絞線與教學(xué)樓或圖書館有線局域網(wǎng)的樓層交換機相聯(lián)。AP獨立地為接入的無線用戶提供射頻信號收發(fā)、通信、用戶身份認(rèn)證、數(shù)據(jù)加密、安全策略實施等工作,AP之間各自獨立,互不相干。在無線網(wǎng)絡(luò)覆蓋區(qū)的配備無線網(wǎng)卡的PC、筆記本電腦和智能手機等移動終端設(shè)備,通過臨近AP制定的安全策略連接到無線網(wǎng)絡(luò),訪問網(wǎng)絡(luò)資源。

目前校園網(wǎng)的拓樸圖如圖2-1所示。

2.2 存在的問題

選擇Fat AP的分布式組網(wǎng)架構(gòu)建設(shè)校園無線網(wǎng)絡(luò),是由于該方案技術(shù)成熟、且初期資金投入不多。現(xiàn)在經(jīng)過2年左右時間的運行,隨無線用戶和各種無線應(yīng)用增多、無線網(wǎng)絡(luò)規(guī)模逐漸擴大,校園無線網(wǎng)絡(luò)在實際運行和維護過程中面臨的問題逐漸顯現(xiàn):

2.2.1 面對逐漸增多的無線接入點時,缺乏集中的配置管理手段

初期在圖書館部署了8個室內(nèi)AP,教學(xué)樓部署了4個。網(wǎng)絡(luò)中心管理員在進行網(wǎng)絡(luò)維護過程中,逐個登錄AP了解AP設(shè)備的運行狀況,修改AP的服務(wù)與安全策略,維護各AP的IP地址和設(shè)備的映射關(guān)系。但是隨新增圖書館會議室無線覆蓋區(qū)域、需要無線網(wǎng)絡(luò)覆蓋教室數(shù)量增加,需要逐漸增加AP,AP數(shù)量上的增加使得管理員的維護和升級的工作相當(dāng)繁瑣和不便,急需集中的配置管理手段提高工作效率。

2.2.2 缺乏智能的RF管理,難以進行 RF設(shè)置

在無線網(wǎng)絡(luò)實際運行過程,如果出現(xiàn)工作在同一個信道的兩個AP同時傳輸數(shù)據(jù)的情況,導(dǎo)致數(shù)據(jù)傳輸?shù)臎_突,影響無線網(wǎng)絡(luò)的性能。而且由于缺乏當(dāng)智能的RF管理,單點AP發(fā)生故障的時候,其它附近AP不能自動的提高周圍?AP?的發(fā)射功率,減少或消除無線覆蓋盲區(qū),增加了無線網(wǎng)絡(luò)不穩(wěn)定性。

2.2.3 各AP”冷熱”不均,無法實現(xiàn)負載均衡

有的時候多個用戶連到同一臺AP上,而某些AP空閑,使得用戶集中的AP成為了無線網(wǎng)絡(luò)性能瓶頸。無法根據(jù)無線用戶數(shù)量或者無線流量將負荷較重AP上的部分用戶轉(zhuǎn)移到其他AP上去,使得各個?AP?上的負載均衡。

通過經(jīng)過2年左右的實際運行情況,基于傳統(tǒng)的Fat AP架構(gòu)組建的無線局域網(wǎng),其網(wǎng)絡(luò)性能和管理模式已經(jīng)很難適應(yīng)校園無線網(wǎng)絡(luò)規(guī)模逐漸擴大的實際現(xiàn)狀。

為解決以上問題,本文提出了基于無線控制器和FIT AP的無線校園局域網(wǎng)解決方案。

3 基于無線控制器的無線校園局域網(wǎng)設(shè)計方案

3.1 組網(wǎng)架構(gòu)簡述

本文提出的無線控制器+Fit AP的無線網(wǎng)絡(luò)解決方案不會改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu),僅需要在網(wǎng)絡(luò)中心加入一臺無線控制器,再配以Fit AP、無線適配器等設(shè)備而成。

3.1.1 無線控制器

目前,如Cisco、H3C和銳捷等各大網(wǎng)絡(luò)設(shè)備提供商都已經(jīng)推出各種型號的無線控制器[2]。它可以完成無線網(wǎng)絡(luò)的各種配置和管理工作,將以前在FAT AP完成的功能集中到無線控制器,簡化了AP配置。

AC完成的功能包括AP的配置、管理和監(jiān)控,以及無線網(wǎng)的接入認(rèn)證、轉(zhuǎn)發(fā)和統(tǒng)計、QoS、安全控制等功能,實現(xiàn)了對無線網(wǎng)絡(luò)的集中控制和管理。

3.1.2 Fit AP

Fit AP的出現(xiàn)時相對于Fat AP而言的,Fit AP不需配置即可使用。Fit AP啟動時自動從AC下載配置信息,Fit AP只負責(zé)射頻信號的發(fā)射和接收、傳輸數(shù)據(jù)的加密和解密,并自動從DHCP服務(wù)器獲取IP地址,相對于FAT AP而言,Fit AP的出現(xiàn)極大的簡化了AP配置。

3.2 無線校園局域網(wǎng)設(shè)計方案

3.2.1 需求分析

目前,隨圖書館二期工程中會議室已經(jīng)基本竣工,學(xué)院召開大型會議時需要用到網(wǎng)絡(luò)??紤]到運用傳統(tǒng)的有線接入方式需要在每個會議座位部署網(wǎng)絡(luò)接入點,網(wǎng)絡(luò)布線工程較大,而圖書館在校園網(wǎng)一期改造完成后已經(jīng)有了無線網(wǎng)絡(luò)的特點,二期工程中會議室僅僅需要加入AP就能實現(xiàn)網(wǎng)絡(luò)接入的要求。

校園網(wǎng)一期改造完成后,教學(xué)樓有部分教室已經(jīng)實現(xiàn)了無線網(wǎng)絡(luò)覆蓋,但是由于越來越多的課程在課程改革過程運用了新技術(shù),需要在課堂教學(xué)過程中接入網(wǎng)絡(luò),直接導(dǎo)致了需要無線網(wǎng)絡(luò)覆蓋教室數(shù)量增加,需要逐漸增加AP。

針對以上需求和網(wǎng)絡(luò)現(xiàn)狀,如果還是采用在以前無線網(wǎng)絡(luò)中直接添加Fat AP的方式進行網(wǎng)絡(luò)擴展的話,就會使得本文在2.2中提出的由于Fat AP逐漸增加后導(dǎo)致的問題更加突出,所以本文提出了無線控制器+Fit AP的無線網(wǎng)絡(luò)解決方案。

3.2.2 設(shè)計方案

本方案在原有的網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上,在學(xué)院網(wǎng)絡(luò)中心加入一臺無線控制器,它直接連接到網(wǎng)絡(luò)中心交換機上,對于以前無線網(wǎng)絡(luò)中存在的FAT AP通過軟件升級一次性轉(zhuǎn)化成FIT AP,圖書館會議室和教室新增的AP直接配以FIT AP。

新設(shè)計方案的校園網(wǎng)的拓樸圖如圖2所示。

3.3 新方案的優(yōu)勢

采用無線控制器+Fit AP架構(gòu)的無線網(wǎng)網(wǎng)絡(luò)與傳統(tǒng)采用FAT AP架構(gòu)組網(wǎng)相比,僅需在學(xué)院網(wǎng)絡(luò)中心加入一臺無線控制器,就可以將傳統(tǒng)模式的FAT?AP(僅需一次FAT?AP到FIT AP軟件轉(zhuǎn)換升級)或新增的?FIT AP,集中控管起來,形成一個集中配置、監(jiān)控和管理的無線控制域。

新方案提出的組網(wǎng)架構(gòu),具備了自動的射頻控制/調(diào)整,靈活的認(rèn)證機制、行為控制和設(shè)備管理。校園網(wǎng)網(wǎng)管員可以通過無線控制器內(nèi)部的監(jiān)控界面和日志報告,實施統(tǒng)一的認(rèn)證管理和行為控制策略,清晰的了解異常流量,未識別的攻擊,以及告警的原因和分析,做出相應(yīng)的決策,極大的減少人工配置和管理工作量。

可以看出本方案可以解決校園無線在本文2.2中提出的各種問題,而且還能夠?qū)嵤┙y(tǒng)一的認(rèn)證管理和行為控制策略,對于逐漸增多的無線網(wǎng)絡(luò)中用戶和無線應(yīng)用需求提供安全保障。

4 結(jié)語

隨著校園網(wǎng)絡(luò)建設(shè)深入和無線網(wǎng)技術(shù)的不斷發(fā)展,作為有線網(wǎng)的擴展和補充,相信將來會有更多的學(xué)校建設(shè)自己的校園無線局域網(wǎng)。本文提出的基于無線控制器+FAT AP的無線校園局域網(wǎng)建設(shè)方案由于具有集中的管理和統(tǒng)一的安全控制策略和多種定制功能等優(yōu)勢,將成為校園無線局域網(wǎng)建設(shè)方案首選。但是該方案建網(wǎng)成本高,而且無線局域網(wǎng)內(nèi)流量必須通過無線控制器集中轉(zhuǎn)發(fā),所以該方案更加適合在中型規(guī)模的校園無線局域網(wǎng)中推廣使用。

[參考文獻]

[1] 周立山.基于校園網(wǎng)的無線網(wǎng)絡(luò)擴建方案淺析[J].電腦知識與技術(shù),2009(5):3684-3686.

[2] 陳盈,郭文平.校園WLAN方案的AP相關(guān)問題研究[J].計算機時代,2008(10):64-65.

[3] 李浩林,沈世錦,張正鳳.AP技術(shù)發(fā)展與組網(wǎng)應(yīng)用的研究[J].電信科學(xué),2008(5):26-27.

[4] 紅斌.無線局域網(wǎng)設(shè)計與應(yīng)用[J].長治學(xué)院學(xué)報,2alS(2):34-36.

[作者簡介]

孟清(1980-01),男,研究生,高級工程師,研究方向無線網(wǎng)絡(luò)安全;