远程访问高校信息资的源安全策略研究.docVIP

远程访问高校信息资源安全策略研究 摘 要 信息资源已成为各高校的战略资源，其安全性越来越受到各高校的重视。分析了高校各种数字资源及其使用的方法，研究了通过网络远程安全共享的各种方式，本文提出一种可靠方便的策略实现高校信息资源在开放网络中的安全远程使用。 关键词 高校信息资源；安全策略；远程访问 随着高校网络的建设，越来越多的信息资源被放置到校园网络[1]中共享使用，比如如数字图书、购买的电子期刊网络、购买的国内外各种专业数据库、网络课程数据库、课程试题库、学校数字文化数据库、电子讲义、教学素材库、教学网站等。信息资源的交流能力与水平以及信息资源的共享程度也已成为衡量一所高校综合实力的重要指标之一，信息资源已成为高校的战略资源。随着高校的信息化建设，学校各种信息管理系统采用网络模式，也使教务、OA、财务、后勤、科研、学生、人力资源等管理系统也成为信息资源，方便了校园网络用户使用。随着高校规模的扩大和经济的发展，许多教职员工和与学生住在学校外面，教与学的活动没有时间的限制特性，如何解决在校外师生的远程安全[2]访问学校的信息资源已经成为校园网应用发展的一个关键点。本文通过研究高校网络的常用出口结构，分析各种信息资源的使用和共享的方式，设计了一种比较合适当前高校信息资源远程安全访问策略和机制，可以促使学校信息资源的共享，推动教学和科学研究的发展。1 高校校园网互联体系结构 高校网络基本上使用了当前最新的网络技术连接学校的各个职能部门、研究室、实验室、学生宿舍和教师公寓。多校区的高校，多数也是通过部署单模光纤把校区连接起来形成一个单个的校园网络。校园网的拓扑结构有很多种，当前最多的是核心交换机方式的千兆以太网或万兆以太网络，形成一个星型的拓扑结构。网络的出口都有中国教育科研计算机网络CERNET，方便地访问各个高校与科研院所的资源；通过向清华大学网络中心的教育网总出口购买流量的方式可以访问各个公共网络和国外网络。有的学校为了加快访问公网和国外网络的速度，设置另外一个接口连接电信网络或其他广域网络，如图1所示。图1 高校网络互联模式2 高校信息资源远程访问研究 高校的信息资源分布在各个职能部门、院系以及研究部门和信息中心，部署在各个局域网中。很多资源直接把应用界面模块提供给通过校园内部用户使用。外部网络的用户如果要使用局域网的资源，要以电话线方式登录到系统的远程服务器上，通过用户名和密码的校验认证后，进入系统后使用资源。因为当前家庭或学生外部宿舍都采用小区宽带、光纤入户或XDSL等模式连接到公共网络，不可能切换到另外一种拨号方式使用学校的资源，同时该方式网络速度也比较慢，限制了很多资源的使用，比如多媒体课件资源和视频资源的播放。为此学校的各种资源访问必须采用开放的形式，能够被所有校园网络用户可以通过互联的外部网络直接使用学校信息资源和各种管理系统系统。 基于TCP/IP网络的远程资源共享方式与资源的属性有很大的关系，比如文件共享可以采用FTP的模式，用户名和密码认证使用FTP工具软件即可；EMAIL可以通过设置POP3和SMTP协议服务器，采用各种电子邮件客户端来使用；各种信息管理系统也可以设置WEB模式提供通过外网的访问；其他的资源必须采用专门的客户端软件，访问控制信息资源的服务器才可以共享学校的资源。当前通过网络共享高校资源的方式以可用性为目的，几乎都是简单的用户名和密码方式的简单认证。在开放的网络中，该方式几乎没有什么安全性可言。懂得简单网络安全的人可以非常容易的盗用高校的网络资源，比如CNKI、万方数据库、国内外的各种专业数据库或者实验室研究室的数据和成果。为了保护知识产权，提高信息资源的安全共享，多数系统服务采用指定IP地址范围的形式限定网络用户，而采用公共网络远程访问用户其IP地址几乎是变化的，即使IP地址固定也会因为远程使用用户比较分散不容易控制；这些都限制了安全远程共享学校的信息资源，造成学生的学习与生活、教师科研人员的教学与研究变非常不方便。 为了提高信息资源的安全共享，应为校外用户与共享资源之间建立一个安全的通道，而且该通道的成本比较低，使用方便。最为简单的形式是采用VPN(Virtual Private Network，虚拟专用网)技术[3]。VPN利用隧道技术，把数据封装在隧道协议中，通过已有的公网建立隧道，从而实现点到点或端到端的联接，构建在逻辑上独立于公网的专用网络。但VPN需要通过特殊设计的硬件和软件直接共享的IP网所建立虚拟的加密通道连接，也需要为每个局域网的资源提供一个专门的硬件服务器，或者交换机、路由器提供的VPN功能模块，需要IPSec协议支持。这些限制了校外用户对校内信息资源的访问。 对于WEB形式的信息资源可以采用SSL的方式加以控制，但是对于高校资源的使用来说，用户一般是需求数据量很大，安全造