虚拟局域网的校园网络安全体系的建设策略.docVIP

虚拟局域网的校园网络安全体系的建设策略 ; 中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0202-02 ; 1 网络安全体系的定义 ; 通常情况下,为了能够保证校园网络运行的安全稳定,校园网的大部分数据资源都只允许在内部中完成访问。例如校园网络的OA系统、校内邮件系统等等,这些系统的访问和使用都必须在校园网内部操作,严重制约了教师、学生在个人家庭中通过访问校园网来收取学校通知、查看个人成绩、浏览校园新闻等功能。如果校园网内部应用服务器一旦发生了故障,如果专业管理人员此时也没有在学校时,就无法完成对校园网的维护操作,如果部分教师由于需要出差完成科研交流等工作时,也无法查看关于科研项目的校内数据资源。 ; 网络安全体系指的是一套完整的计划设计,主要包括能够为网络用户提供安全稳定的服务;能够保证网络中所有系统的正常运行服务;对网络中系统的安全级别提出要求并完成设置。一套完整的网络安全体系中的必备设计原则有数据传输安全、计算机系统安全、网络用户安全、网络管理安全、物理架构安全等等,既要能够对恶意的外界入侵行为进行制止,还要能够同时应对网络中的其他安全威胁。 ; 2 虚拟局域网关键技术 ; 2.1用户认证技术 ; 虚拟局域网中的用户身份核实确认大部分都是通过用户认证技术实现的,对系统用户进行相应授权之后能够保证控制访问资源。一般情况下,网络认证协议采用的都是报文摘要技术,主要是用于验证数据信息的完整性和对用户身份进行认证,通过利用哈希(HASH)函数将数据报文的长度进行一系列变换,使其能够成为固定长度的报文摘要,但是由于哈希函数自身的特性又难以在不同的报文信息中将报文摘要变换成固定长度。 ; 2.2数据加密技术 ; 虚拟局域网数据传输的过程中主要应用的是数据加密技术,来实现对数据的伪装和隐藏。但是,如果在传输的过程中数据信息经过互联网产生了安全威胁,那么即使已经通过了用户认证,也不能保证数据信息的安全传输。因此,在网络发送端应该将用户认证进行加密之后再完成数据信息的传输,在网络接收端通过用户认证之后再对数据信息进行解密。密钥类型主要包括对称加密和非对称加密两种,在实际应用中大多数采用的都是对称加密措施,如果是机密数据信息则采取公钥加密技术。 ; 2.3访问控制技术 ; 访问控制技术主要是对用户是否能够对系统发起访问进行控制,运行具有相应授权的用户访问系统资源,对没有授权的用户对系统资源发起访问和获取时立刻进行阻止。 ; 3 校园网络安全体系设计 ; 本文设计提出的基于虚拟局域网技术的校园网络安全体系设计方案主要是为了解决某高校老校区与新校区之间信息互通、资源共享、专网整合的问题,由此构建出一条专用的虚拟局域网安全通道,从而保证这些重要数据资源能够在校园网中安全稳定地传输。 ; 3.1系统设计原则 ; 1)安全保障 ; 虚拟局域网系统的重要职能就是保证网络的安全稳定,以及在互联网传输过程中数据信息的安全可靠,因此,虚拟局域网系统的安全保证必须包括用户身份认证、数据信息保密和数据信息完整。 ; 2)多平台兼容 ; 虚拟局域网系统的关键功能就是要保证用户不受时间和地域的限制对系统资源发起访问,以及当用户进行移动办公时要保证网络连接的安全可靠。 ; 3)访问控制权限 ; 校园网的虚拟局域网系统主要是为多个应用程序提供保护的,因此要设置不同的用户访问控制策略,使得拥有不同权限的用户能够访问相应的系统资源。 ; 4)平台管理简洁 ; 虚拟局域网服务器应该为用户和系统管理员提供良好的应用管理操作界面,在方便用户对系统资源进行访问操作的同时,还要保证系统管理员的安全维护操作简单便捷,更要为服务器与用户之间的通信访问、安全日志等做好记录。 ; 3.2系统功能模型 ; 根据校园网络的实际安全需求和虚拟局域网系统的设计原则,虚拟局域网系统的功能模型主要包括用户身份认证模块、数据传输模块、访问控制模块和系统管理模块。 ; 1)用户身份认证模块 ; 虚拟局域网系统客户端通过采取数字证书的认证方式对用户身份进行核实;服务器对系统客户端进行认证时需要采取不同的认证方法,如果用户通过远程网络连接到虚拟局域网中,服务器则采用用户名+密码的认证方式对用户合法身份进行识别,在校园网内部则采取数字证书的方式对用户身份进行识别。 ; 2)数据传输模块 ; 数据传输模块的主要功能是采取相应加密算法对数据进行加密之后传输给接收方,以及对接收到的数据进行解密。 ; 3)访问控制模块 ; 访问控制模块主要是根据已经设置完成的访问控制策略来控制系统中的资源是否能够被用户进行访问和操作。 ; 4)系统管理模块 ; 系统管理模块主要负责对虚拟局域网系统服务器的日常服务信息进行记录,包括访问日期、访问时间、网络使用情况等等,并生成对应的日志报告。 ; 3