校園網絡安全論文

校園網在學校日常的教學、科研、管理工作方面發揮除了巨大作用。利用網絡可以實現對信息更快的傳遞、更加充分的對網絡資源進行共享、提高工作效率、更加合理的利用和配置優質教學資源。下面為大家整理的是校園網絡安全論文，歡迎大家閲讀！

校園網絡安全論文

摘 要：隨着信息技術的快速發展，國內外高校信息化建設水平日益提高，大多數高等院校建立了校園網絡體系，在信息技術為高校帶來便利的同時，信息安全問題變得日益突出。為解決校園網的安全問題，結合安徽中醫藥高等專科學校的實際情況及設計方案，提出了校園網網絡安全體系部署。本文的研究成果為其他高校校園網絡的建設具有一定的參考和借鑑價值。

關鍵詞：校園網;網絡安全;安全體系;安全部署;安全實現

校園網在學校日常的教學、科研、管理工作方面發揮除了巨大作用。利用網絡可以實現對信息更快的傳遞、更加充分的對網絡資源進行共享、提高工作效率、更加合理的利用和配置優質教學資源。隨着網絡規模、用户數量以及網絡開放程度的日益增大，校園網的安全問題也就快速顯現出來。大多數高校校園網都面臨着嚴峻的網絡威脅，這些威脅主要來自人為疏忽和技術漏洞，致使網絡易受惡意軟件、黑客或病毒的攻擊，這些都嚴重影響了校園網網絡系統的使用和正常工作的開展。可以説，在各所高校網絡建設過程中，網絡安全問題已經成為一個我們無法迴避、不得不面對的首要問題。如何保證校園網的安全，已成為當前高校數字化校園發展的重要問題[1-2]。面對網絡安全威脅逐漸增加，採取怎樣的措施來解決這些網絡安全問題變的至關重要，筆者結合安徽中醫藥高等專科學校的實際情況及設計方案，提出了校園網網絡安全體系部署。

　1 網絡設備及網絡安全設備選型

綜合後期升級維護且可以有效利用資源，我們提出如下選型：

1.1 核心層交換機。核心層交換機一般都是三層交換機或者三層以上的交換機，該層設備對於宂餘能力、可靠性和傳輸速度方面要求較高。根據校園網整體需要，核心交換機應該具有極高的轉發速率、第3層支持、千兆以太網/萬兆以太網、鏈路聚合、宂餘組件、服務質量(QoS)等功能。綜合考慮，安徽中醫藥高等專科學校核心交換機選用是鋭捷RG-S8600高密度多業務IPV6核心路由交換機。該交換機面向十萬兆平台設計的下一代高密多業務IPV6核心路由交換機，支持下一代的以太網100G速度接口，滿足未來以太網絡的應用需求，提供14橫插槽設計，10豎插槽設計和6橫插槽設計三種主機。

1.2 匯聚層交換機。這一層交換機的主要功能是實現路由，重新分配路由協議、訪問表，包過濾和排序，網絡安全如防火牆等;在Vlan之間進行路由，以及其他工作組所支持的.功能;定義組播域和廣播域等策略。安徽中醫藥高等專科學校核心交換機選用是鋭捷RG-S5750系列安全智能的萬兆多層交換機，該設備可以提供12個SFP千兆光口，又可以提供24或48個10/100/1000M自適應的千兆電口，還可以提供PoE遠程供電的接口，所以説它的接口形式和組合非常靈活。

1.3 接入層交換機。接入交換機一般用於直接連接電腦，校園網接入層主要特點為突發流量大，上網時間集中，網絡布點分撒，難於統一管理，所以在接入層的認證方式採用802.1X。 綜合考慮，安徽中醫藥高等專科學校接入交換機選用是鋭捷RG-S2300系列千兆安全智能交換機，通過實施多種多樣的安全策略，有效防止和控制網絡病毒擴散，更可提供基於硬件的IPV6 ACL，方便未來網絡的升級擴展。高級QOS機制適應網絡中多業務的順利開展，為服務質量提供保證。

1.4 防火牆。防火牆一般是作用在外網與內網、公共網與專用網之間的一道安全屏障，它主要由硬件和軟件共同組成，它在Intranet與Internet之間建立起一個安全網關(Security Gateway)，以達到保護內部網絡不受外部網絡的攻擊，防火牆一般由包過濾、應用網關、服務訪問規則、驗證工具四個部分組成。綜合考慮，安徽中醫藥高等專科學校接入交換機選用是CISCO ASA5540-K8。

1.5 NPE40系列網絡出口引擎。RG-NPE(Network outPut Engine，網絡出口引擎)基於多核處理器技術進行構架，具備轉發高性能，內嵌狀態防火牆，此外，NPE針對國內普遍存在的NAT進行優化，該產品融入了智能DNS和多鏈路負載均衡技術，使得用户對內外訪問都能智能選擇最優最快速路徑;集成了DPI引擎，讓網絡管理者輕鬆應對P2P等應用的流量控制;重構了Web界面，讓NPE網絡出口引擎的專業在設備管理維護層面變得簡化。

1.6 RG-SNC智能網絡指揮官網管系統。網管系統主要可以進行網絡設備的遠程控制、設置、維護、管理，從而大大的降低了網絡維護工作的繁雜、耗時性。該系統還具有主動式網管的功能，可積極主動的收集網絡信息，對網絡信息和網絡變更情況及時備份，及時恢復故障點。

2 網絡系統安全技術實現

2.1 VLAN劃分。考慮到校園網的多用户，多樓宇等複雜性，本方案准備對虛擬局域網進行劃分的依據是網絡層，不同的網絡層劃分成不同的網段，這種劃分的方法不牽涉到網絡層路由，只是根據網絡中每個主機的網絡層地址或協議類型來劃分。實際操作中本方案將學校網絡劃分為多個VLAN，教學區和學生宿舍分開，每個樓宇使用不同的編號表示，比如，辦公樓為111，教學樓211，以此類推。

2.2 用户認證。用户認證是網絡安全一個重要組成部分，本方案將施行統一實名身份認證體系。如圖1所示，通過ESS建立校園網公共認證平台，可實現有線用户、無線用户，同時，可以實現有線無線的統一拓撲管理、批量配置及實時告警等功能。

2.3 數據備份與恢復。網絡數據是系統賴以生存的基礎，一些重要的數據一旦丟失或損壞都將造成不可估量的損失。如何確保數據的完整性，備份數據是唯一的解決方案，在數據備份上安徽中醫藥高等專科學校使用全盤備份與差分備份相結合。

2.4 流量控制。網絡出口處部署NPE40系列網絡出口引擎和ACE應用控制引擎。NPE系列網絡出口引擎在x-flow框架下建起了一個高性能，高穩定的轉發平台，可以更加完善的狀態檢測防火牆，對P2P等應用的流量控制等功能。RG-ACE流量控制引擎以DPI(Deep Packet Inspect，深度包檢測)技術為中心，支持軟硬件Bypass，提供了基於七層應用的帶寬管理和應用優化功能。

通過上述安全設備及安全技術，經實際運行檢測，較大程度的保護校園網絡安全。任何一個網絡安全體系的構建都不會是無懈可擊、一勞永逸的，隨着網絡技術的發展，各種新型的網絡攻擊手段會層出不窮。因此，這需要不斷的發展和研究新的網絡安全技術，以應對可能出現的新問題。

參考文獻：

[1]胡道元.網絡安全[M].北京：清華大學出版社，2004.295―296.

[2]鄧小莉，黃正榮.論校園網網絡安全的現狀及對策[J].科技信息，2009(4)：503.

[3]李小志.高校校園網絡安全分析及解決方案[J].現代教育技術國防科技大學，2008(3)：92.

[4]肖陽，李陽.校園網絡的多層安全體系研究[J].中南林業科技大學學報，2010(4)：170-172.

[5]薛碩.校園網絡安全體系構建研究[J].中國電子商務，2010(12)：263-264.