高校校园网安全需求及安全方案设计

【摘要】随着高校信息化网络建设的不断深入和完善，校园网已经成为学生日常生活中不可或缺的关键部分，对学生学习和生活具有至关重要的作用。但是当前我国高校校园网安全体系构建并不完善，各项安全建设水平高低不一，安全问题突出，如何设计新时代中的高质量、高效益的校园网安全体系已经成为人们关注的焦点。文章从高校校园网安全需求出发，在上述基础上对安全方案设计内容进行探究，望为今后高校校园网建设提供一些参考。

【关键词】高校;校园网;安全需求;方案设计

1.高校校园网安全需求

1.1 结构需求分析

网络结构作为高校校园网安全建设的基础，对校园网安全性能的提升具有非常积极的意义。当前我国高校信息化建设过程中高质量、高带宽、强控制的校园网基础支撑平台已经基本完成，整体建设环境较为良好。相关资料显示：截止到目前为止高校互联网连接已经达到100%，其中70%的高校已经拥有3000多个网络接口，出口带宽已经达到上千兆。我国高校校园网网络结构框架基本成熟，主要由核心层、校园骨干网完成对主体内容的控制，主次向外放射形成汇聚层和接入层，层次结构非常明确，应用效益显著。

（1）核心层

核心层在构建的过程中主要选取三层交换机完成各项处理，通过核心交换机实现信息交互，其吞吐量大大提升，高校校园网安全性能得到本质上转变;

（2）汇聚层

汇聚层主要通过汇聚层交换机完成上下级交换机的互联，通过交换机汇聚节点完成信息的汇总、传输，将信息传递到核心层中;

（3）接入层

接入层主要采取二层智能可网管交换机，通过互联网将信息传输到网络结构中。

高校校园网信息内容较为庞大，各项大型计算机结构内容较为丰富，因此需要通过分层网络结构试下各部分内容的高效处理。上述三层次网络结构拓扑结构简单，功能划分完善，系统协议互补，整体安全性非常高，与高校校园网安全需求相符合，对校园网建设具有非常好的促进作用。

1.2 流量需求分析

作为人口高度集中区域，高校校园网用户数量非常庞大，小流量的校园网根本无法满足学生的使用需求，严重影响了高校校园网的使用效益。尤其是在学生休息时间，这段时间学生多使用校园网查阅信息、看视频、听音乐等，网络流量需求大大上升，需要较大的校园网核心带宽和出口带宽。但是当前部分校园网在建设的过程中并没有重视到流量的重要性，没有针对学生上网需求合理设置对应流量体系，这直接导致网络流量与学生需求无法匹配，造成校园网安全事件产生的可能性上升。

当高校校园网中的流量无法满足学生的需求时，许多学生经常通过和互联网获取相应资源，从而导致互联网的出口流量上升。这种出口流量的上升造成校园网与不同网络系统之间的业务交流愈发频繁，导致校园网受到攻击的可能性极加大。而在校园网内部流量充足时，学生可以直接通过校园网完成各项信息数据的获取，通过FTP、BBS等实现需求服务，整体效益较好。因此在高校校园网安全设计的过程中要在校园网中学生流量需求的基础上提升核心带宽和出口带宽，适当提升校园网中的流量。

1.3 保密控制需求分析

随着高校校园网安全建设的不断深入，人们对校园网内部的安全问题日益重视，对校园网安全策略、保密策略等控制内容的需求不断上升。

安全策略主要通过在安全区域中的各项内容进行控制，形成对应的活动规则。上述规则通过网络内容进行联动控制，有效改善了安全网络联动的高效性、可靠性和安全质量，整体内部攻击引起的安全问题大幅降低;保密策略主要是通过对文件和信息的控制，通过各项技术手术和信息手段完成加密控制，从而保障机要信息不被外部获取或破坏，从而提升系统的安全性。

当前高校校园网中的系统安全和数据安全问题非常突出，各项安全病毒和黑客攻击日益加剧，校园网中的各项安全设置需要逐渐不断提升。校园网要对数据内容进行强化控制，要从数据安全需求上对数据进行安全访问控制，从条例和设置上着手，形成不同层次的保密级别体系。与此同时，校园网还要形成对应保密级别，形成分区域管理层次，保证各个保密区域能够完成高校校园网安全需求，形成对应安全体系结构。

高校校园网安全结构模型在设置的过程中需要以安全策略为核心，依照安全策略设置外层结构，通过防护、检测、响应、修复四大板块完成安全策略的实施，提升各项系统的安全性能，从本质上满足高校校园网安全需求。上述系统通过动态循环实现了信息的保护，提升了PPDR模型对高校校园网安全系数改善的作用。

2.高校校园网结构设计

在对高校校园网结构进行设计的过程中设计人员要把握好结构设计需求，要从校园网安全需求角度出发，选取对应结构层次和系统设备，最大限度改善系统的安全系数。

图1 高校校园网总体网络

高校校园网结构在设计的过程中可以：

（1）使用客户机和服务器（C/S）模式实现系统数据处理和服务性能的改善，提升日常网络运行的稳定性;

（2）使用路由器交换技术对系统结构进行处理，形成分层次结构，依照层次状况合理设置对应服务内容，形成完善的服务体系;

（3）合理设置层间节点，保证各层次之间能够实现高速数据传输，实现数据包的即时交换;

（4）依照层次结构状况形成不同聚合，对逻辑分割阶段的不同内容进行划分，保证数据流量能够全部应用到系统中;

（5）细化用户认证和访问认证，从认证访问着手，提升流量馈入的安全性。与此同时，对系统边缘服务进行合理设置，保证系统能够高速、安全运行，其具体设计如图1所示。

3.高校校园网安全方案设计

3.1 联动系统的安全方案设计

安全联动系统在设计的过程中要从高校校园网中存在的内部攻击出发，对ARP病毒、DDoS攻击等进行对应控制设计，从而保证路由器、交换机的系统性，提升联动保护控制效益。上述设计的过程中要将两者结合，从物理层和应用层双管齐下，联动并行，形成完善的网络安全结构。这种并行体系中安全交换机将采集到的信息上传到核心交换机中，路由器对采集到的数据和传输的数据进行检测，制定针对性动作对信息实施处理并向交换机发送处理指令，有效改善了端口的控制效益。

安全联动方案拓扑结构是以核心交换机为主体的树状结构，二层结构为控制端口，其次为用户。系统主要通过路由中文WEB界面完成ARP与SYN的系统控制，实现配置的调整和管理，确保对病毒进行防御。路由器中分设MAC、IP端口并将上述内容与安全交换机绑定，系统树状结构安全性大大提升，其具体运行状况如下：

（1）路由功能执行

该功能制定主要是通过路由器的自动识别完成。路由器在运行的过程中依照网络监控和网络策略对内部的安全隐患进行判断，对ARP和SYN类型的DDoS攻击进行辨别。一旦发现存在上述攻击后路由器将对网络进行切断，从而达到网络保护的效果。

（2）安全联动交换执行

该功能在执行的过程中主要受路由器控制。安全联动过程中安全交换机受到路由器发出指令的影响从而动作，依照路由器的安全规则及测量对端口内容进行控制，形成联动体系。安全联动体系在正常运行的过程中可以对非授权用户进行权限限制，从外部阻断人员进入网络，从而保证网络的安全。与此同时，该系统在运行的过程中还可以通过内部资源状况对系统进行控制，流量过大或异常时及时切断，消除了可能出现的ARP欺骗攻击，降低了复杂物理网络对高校校园网安全系数的影响。

联动系统在设计的过程中除了需要对系统结构进行设计外，还需要对系统的配置信息进行改善。当交换机接入时高校校园网要对其portfast和bpduguard功能进行启用，确保端口能够直接从BLOCKING进入到forwarding，让系统在接收到bpdu后对其端口迅速切断，从交换机配置内容上提升了进入和切断两方面的安全性。

3.2 骨干网络的安全方案设计

骨干网络在设计的过程中要以网状拓扑结构为主，从骨干网技术与架构内容向外拓展，将网络安全、网络出口、网络管理、流量控制、网络性能、拓展与升级等内容综合到骨干网中，从本质上提升系统的安全质量，保证高校校园网能够顺利运行。

（1）骨干网技术设计

骨干网在技术选取的过程中要以高校校园网环境出发，依照互联网安全需求进行合理应用，从而形成多层、全交换的局域网体系。当前高校校园网骨干网技术选取的过程中可以以以太网技术为基础，通过以太网技术对校园网升级和扩容后的网络稳定性进行改善，提升高校校园网性能。

（2）骨干网设备设计

骨干网设备要选取扩充能力和升级能力较好的设备，依照服务环境状况对应设置，保证系统服务效益能够满足当前安全需求。主机系统可以选取UNIX或Windows NT类型服务器，通过上述设备结合完成WWW、FTP、DNS等类型服务器构建，提升界面质量，除此之外，NT服务器还可以用于骨干网数据库构建及服务应用中。耳机交换机在设计的过程中要以星形拓扑结构为主，以星形提升主干网的拓展效果和管理效果。网络中心设计时可以对IP进行规划，依照实用、高效原则对应选取。

（3）传输介质的选取

高校校园网骨干网传输介质选取的过程中要以光纤为主，要充分发挥光纤线路的优势。当前光纤线路已经能够达到10Gbps数据传输速度，数据传输效益已经得到本质上的提升。

（4）骨干网路由器设计

高校校园网中路由器在设计的过程中要依照具体网络结构中的安全需求进行对应设置。当前路由主要包括静态路由和动态路由两种。静态路由主要是通过在线路中设置固定路由器完成线路控制，实现安全防护的操作。该操作中路由器在设置完成后不会发生变动，线路的拓扑结构简单，优先级别最高;动态路由是通过路由器的通讯及传输完成路由的动态转变。骨干网路由器设计选取中要保证路由配置复杂程度低及路由协议完善。动态路由中OSPE要能够实现系统网络IP的控制，自动寻找最佳网络途径。

（5）骨干冗余网络设计

高校校园网中冗余网络在设计的过程中要从核心的三层交换机结构出发，要保证链路冗余和设备冗余有效结合，从而改善网络安全系数。备份冗余和链路冗余方式在应用时可以降低核心设备和骨干链路可能出现的单点故障，在上述应用过程中冗余可以为设备在网络故障后提供其他路径，从而保证设备能够安全使用。与此同时，该冗余的使用还可以减少数据在安全故障后的损失，从本质上改善了高校校园网的安全指标，与安全需求相一致。

3.3 接入网的安全方案设计

高校校园网接入网在安全设计的过程中要从计算机当前常见的接入问题出发，充分考虑接入层虚拟局域网的建设、网络实体异常流量的控制、电信服务安全策略的效益三方面内容。接入网安全设计中需要对本地主机系统的安全进行考虑，对拨号和数据层安全进行控制，为高校校园网创建安全的接入环境。

准入控制系统设计在设计的过程中要对网络安全状态的实时变动及网络系统数据收集的实时准确性进行全面分析，要在把握好上述两项指标的条件下完成设计。准入控制系统可以通过接入终端进行强制认证，通过接入终端内容形成框架。其具体内容包括请入请求部件、策略实施部件、策略决定部件三大部分。终端准入控制系统逻辑功能实现的过程中请入请求部件由认证完成身份认证，由完整性收集器实现完整度评价，由第三方服务部件完成版本、病毒库信息的分析，上述三相内容确定无误后方可接入请求;策略实施部件由请求转发和测量实施实现网络通信的构建，从而对请入请求信息进行分析、认证;策略决定部件由用户管理、用户认证、策略管理、状态评估、决策控制、审计记录、第三方服务部件等完成完整性安全评估和控制，从而得到决策。

除却进行接入网的准入控制系统外，该网络安全状况的改善还可以从入侵检测上实现。接入网的入侵检测系统构建的过程中需要选取高性能、高质量的入侵检测设备，用药通过入侵检测设备完成对关键节点信息的采集和流量的分析，对存在的异常及时进行控制和处理。

高校校园网入侵检测系统在设置的过程中要将检测内容拓展到系统的各部分结构，将安全事件责任定义到用户、地址、事件等多种元素上，从而实现对所有安全事件信息的监测与反馈。该系统需要由核心层交换机对系统中的入侵状况进行分析，由核心层交换机实现安全策略的设置，从而形成与环境相对应的安全策略。核心层交换机需要依照安全需求设置虚拟检测系统，要通过智能化技术体系完成虚拟控制，提升安全区域划分及控制效益，改善安全性能指标。上述高校校园网入侵检测系统在使用的过程中能够实现对网络中各项异常行为的实时监测，提升了高校校园网安全检测的效益，操作简单，具有非常好的实用性。这种检测系统大大改善了响应质量，可以不间断使用，其整体采用创新的可信度机制，出现误报的可能性大大降低。

3.4 校园网出口的安全方案设计

高校校园网出口主要指外网和内网中的接口。上述结构在安全设计的过程中要从内部资源共享效益和外部资源利用状况两方面出发，形成对应访问控制，提升系统的防护效益。高校校园网出口在设计的过程中要注意好：

（1）出口冗余的设计

图2 安全出口

出口连接的过程中可以采取路由器与China-net相接的形式完成，从而提升系统接入效益;可以选取双出口形式，将交换机他通过防火墙与外部网络相连接。该系统在连接的过程中可以选取双冗余形式，通过两台核心交换机进行洗头膏工作，以双防火墙作为连接内容，两者之间一者作为另一者的冗余体系，其安全出口内容风做状况如图2所示。

（2）防火墙选型

该防护墙在选取的过程中可以选取Cisco Security PIX防火墙作为主要防火墙体系，依照3层交换内容完成防火墙的控制，从而保证系统中能够完成嵌入。该系统在设置的过程中要保证能够通过静态连续防火墙实现ASA算法计算控制，对系统中的数据流量进行有序调度，通过深入检测对P2P限制进行明确，完成多种内容的过滤。系统协议中可以选取HTTP、H.323、SMTP、RTSP协议进行状态监控，从而保证协议能够实现联动，降低可能出现的ARP、SYN等的攻击，实现日志管理和审计功能的完善，从而保证授权用户能够更简单地完成各项资源的应用，防止出现内部网络的侵袭。

（3）NAT配置的选取

NAT可以实现IP地址的转换，通过WAN技术完成私有地址的转化，保证地址的合法性，确保IP地址能够顺利完成网络接入。NAT配置可以有效提升高校校园网IP地址不足引起的安全问题。该配置在使用的过程中可以选取通过一个IP多个计算机使用形式完成高校校园网的访问和接入，确保实现系统的返回通信与原始通信之间的相互关联，保证两者之间形成良好的安全边界。

4.总结

随着信息技术的不断发展，高校校园网安全建设的提升已经势在必行。只有不断对高校校园网安全技术进行优化，不断对高校校园网安全层次进行完善，高校才能够才能真正提升其安全防护能力，真正形成安全、可靠、舒适的网络和环境。在该体系建设的过程中高校要对三层交换结构进行合理设置，依照联动系统、骨干网、接入网、安全出口四部分内容形成对应安全方案体系，降低单点故障发生的可能性，从而提升网络出口安全效益。

参考文献

[1]陈梁.关于高校校园网安全管理和维护的研究[J].中国建设教育，2011，Z1：67-69+74.

[2]郭萍.浅析高校校园网安全隐患及防范技术[J].湖北三峡职业技术学院学报，2010，02：91-96.

[3]姚坤.高校校园网建设方案的设计与研究[D].北方民族大学，2013.

[4]蔡立炉，刁永锋，戚淮兵.高校校园网安全的模糊风险自评估及案例研究[J].中国教育信息化，2007，03：59-61.

[5]唐海波.高校校园网安全分析及策略[J].电脑知识与技术，2008，15：1029-1030.

[6]李春霞.高校校园网安全防御体系的构建与实施[D].兰州大学，2013.