高俊 鄒金萍
摘要:虛擬專用網(wǎng)絡(VPN)是基于公共網(wǎng)絡構(gòu)建的網(wǎng)絡隧道,并通過數(shù)據(jù)加密、用戶認證、訪問控制等實現(xiàn)的虛擬專用網(wǎng)絡技術(shù)。在創(chuàng)建虛擬專用網(wǎng)絡的過程中,不用專門搭建物理網(wǎng)絡也可以保證網(wǎng)絡信息安全,降低了資金成本。該文提出將虛擬專用網(wǎng)絡應用于校園信息安全管理建設(shè)中,可以有效保證校園數(shù)據(jù)信息安全。
關(guān)鍵詞:虛擬專用網(wǎng)絡;信息安全;校園網(wǎng)絡
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2016)02-0023-02
近幾年來,隨著計算機技術(shù)、互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,校園信息化建設(shè)已經(jīng)成為了高校推進教學改革中的重點工作內(nèi)容,越來越多的高校提高了對校園信息化發(fā)展的重視程度,校園網(wǎng)絡成為了校園信息化建設(shè)中的關(guān)鍵組成部分。但是,由于校園網(wǎng)絡屬于一個開放式網(wǎng)絡環(huán)境,很容易遭到外部入侵者的惡意攻擊,同時,計算機操作系統(tǒng)本身也會存在很多安全漏洞問題,如果校園網(wǎng)絡受到黑客入侵或病毒感染,就會引發(fā)各種信息安全問題,包括竊取學生個人隱私信息、盜取校園一卡通賬戶金額、篡改校園門戶網(wǎng)站信息等。因此,如何有效確保校園網(wǎng)絡信息安全已經(jīng)成為了現(xiàn)代社會信息安全領(lǐng)域廣泛重視的熱點問題。
1 虛擬專用網(wǎng)絡的信息安全技術(shù)
1.1 隧道技術(shù)
隧道技術(shù)使虛擬專用網(wǎng)絡的關(guān)鍵技術(shù)之一。隧道技術(shù)是通過某種網(wǎng)絡協(xié)議實現(xiàn)的其他協(xié)議傳輸技術(shù)。隧道技術(shù)中包括三種協(xié)議:隧道協(xié)議、傳輸協(xié)議和乘客協(xié)議。首先,由隧道協(xié)議建立隧道;其次,通過傳輸協(xié)議負責傳送隧道協(xié)議;最后,由乘客協(xié)議實現(xiàn)對該協(xié)議的封裝,再由隧道協(xié)議將隧道拆除。利用隧道技術(shù)進行傳輸?shù)臄?shù)據(jù)信息通常情況下都是以不同協(xié)議方式存在的數(shù)據(jù)幀、數(shù)據(jù)包,再通過隧道協(xié)議進行封裝之后實現(xiàn)數(shù)據(jù)信息的傳輸。
1.2 用戶認證技術(shù)
在創(chuàng)建隧道之前,一般會采用用戶認證技術(shù)對用戶身份進行驗證,確保合法用戶授權(quán)的唯一性,以及實現(xiàn)對數(shù)據(jù)信息資源的訪問控制。用戶認證技術(shù)中的認證協(xié)議利用的是摘要技術(shù),通過哈希函數(shù)的算法將長報文的長度進行變換之后,得到一個固定長度的摘要。但是,由于哈希函數(shù)的變換特性不容易控制,導致將不同報文變換為固定長度的摘要過程非常困難。
1.3 數(shù)據(jù)加密技術(shù)
虛擬專用網(wǎng)絡的另一個關(guān)鍵技術(shù)是利用數(shù)據(jù)加密技術(shù)對數(shù)據(jù)包進行隱藏傳輸,如果數(shù)據(jù)包傳輸處于一個開放式不安全的網(wǎng)絡環(huán)境中,即使進行了用戶認證也不能保證數(shù)據(jù)安全。首先,在隧道發(fā)送端必須經(jīng)過用戶認證和數(shù)據(jù)加密,再對數(shù)據(jù)包進行傳輸,用戶在隧道接收端對數(shù)據(jù)包進行解密后讀取數(shù)據(jù)。數(shù)據(jù)加密形式包括對稱加密和非對稱加密,如果數(shù)據(jù)量較大可選擇對稱加密方式,如果存在保密級別較高的核心數(shù)據(jù)可選擇公鑰密碼機制實現(xiàn)數(shù)據(jù)加密。
1.4 訪問控制技術(shù)
訪問控制技術(shù)主要是對用戶發(fā)起對系統(tǒng)的訪問進行控制,以及用戶可以訪問系統(tǒng)中的那部分資源,防止未授權(quán)的用戶獲取系統(tǒng)資源,由此起到控制訪問的作用。
2 虛擬專用網(wǎng)絡在校園信息安全管理中的應用
2.1 虛擬專用網(wǎng)絡設(shè)計原則
1)保障信息安全
建立虛擬專用網(wǎng)絡的目的是有效確保信息安全,采用用戶認證、數(shù)據(jù)加密等機制來提高數(shù)據(jù)傳輸?shù)陌踩院屯暾?。因此,校園虛擬專用網(wǎng)絡的建立必須具有數(shù)據(jù)保密、信息完整和用戶認證功能。
2)兼容多平臺
校園虛擬專用網(wǎng)絡的一個重要作用是不受時間和地域的限制,用戶可以隨時發(fā)起對校園網(wǎng)的訪問,保證不同校區(qū)之間和移動辦公人員發(fā)起遠程訪問時的網(wǎng)絡連接安全。
3)提供訪問控制
校園虛擬專用網(wǎng)絡要實現(xiàn)為不同需求的用戶提供信息安全保護,必須采取相應的訪問控制方法,不同授權(quán)用戶的訪問權(quán)限不同。
4)完善管理平臺
校園虛擬專用網(wǎng)絡服務器應該為校園網(wǎng)用戶提供友好的界面設(shè)置,提高系統(tǒng)的可操作性。同時,要實現(xiàn)用戶訪問網(wǎng)絡服務器的日志記錄、安全審計功能,為網(wǎng)絡安全監(jiān)控提供數(shù)據(jù)支持。
2.2 VPN在校園信息安全管理中的應用方案
1)建立校園內(nèi)部虛擬網(wǎng)(Intranet VPN)
高校在不同校區(qū)之間創(chuàng)建校園內(nèi)部虛擬網(wǎng)(Intranet VPN),可以實現(xiàn)不同校區(qū)在不同地域條件下校園內(nèi)部分支結(jié)構(gòu)的網(wǎng)絡連接。不同校區(qū)之間建立光纖鏈路實現(xiàn)網(wǎng)絡連接,同時將網(wǎng)絡出口設(shè)置在新校區(qū),校園網(wǎng)中有多項業(yè)務需要經(jīng)過光纖聯(lián)絡與新校區(qū)連接,包括校園一卡通業(yè)務、學生成績管理業(yè)務、學生檔案管理業(yè)務等,這些數(shù)據(jù)信息涉及個人隱私,因此,可以采用IPSec VPN技術(shù)在不同校區(qū)之間的網(wǎng)絡連路上進行數(shù)據(jù)加密,以確保校園數(shù)據(jù)信息安全。
對于校園網(wǎng)的普通用戶來說,可以設(shè)置相應的安全策略實現(xiàn)不同校區(qū)之間的相互訪問,安全級別設(shè)置為中等即可,否則會給網(wǎng)絡系統(tǒng)資源造成浪費,使用戶訪問校園網(wǎng)時出現(xiàn)速度過慢、無法登陸的問題。對于高校檔案、人事、財務等涉及隱私數(shù)據(jù)部門的用戶來說,要采用安全級別較高的二層隔離的方式使用戶先與校園網(wǎng)絡連接,再通過OSPF路由器選擇協(xié)議將這些數(shù)據(jù)信息傳輸?shù)胶诵慕粨Q機中,最后經(jīng)過數(shù)據(jù)加密之后在不同校區(qū)之間進行數(shù)據(jù)傳輸。
在高校不同校區(qū)之間要配置網(wǎng)絡路由設(shè)備,使對校園網(wǎng)絡資源發(fā)起訪問的用戶必須經(jīng)過虛擬專用網(wǎng)絡,同時確保論文路由設(shè)備具有足夠強大的性能,但也要考慮到網(wǎng)絡路由設(shè)備成本問題。因此,在兩個校區(qū)都應該配置具有虛擬專用網(wǎng)功能的網(wǎng)絡路由設(shè)備,再對網(wǎng)絡路由設(shè)備設(shè)置相應的用戶訪問策略,在不同校區(qū)之間創(chuàng)建一個虛擬專用網(wǎng)絡通道,確保數(shù)據(jù)安全傳輸?shù)街付ǖ刂?。校園內(nèi)部虛擬網(wǎng)構(gòu)建方案如圖1所示:
2)建立遠程訪問虛擬網(wǎng)(Access VPN)
創(chuàng)建校園遠程訪問虛擬網(wǎng)Access VPN指的是在校園內(nèi)部配置一臺虛擬專用網(wǎng)絡服務器,遠程用戶和移動用戶可以利用虛擬專用網(wǎng)絡系統(tǒng)客戶端、虛擬專用網(wǎng)絡協(xié)議的數(shù)據(jù)加密及數(shù)據(jù)封裝功能,通過并不安全的開放式互聯(lián)網(wǎng)接入到校園網(wǎng)中。移動用戶和遠程用戶通過校園遠程訪問虛擬網(wǎng)絡可以使用當?shù)鼗ヂ?lián)網(wǎng)服務商提供的網(wǎng)絡接入到校園網(wǎng)絡。
由于校園內(nèi)部網(wǎng)絡已經(jīng)配置了路由設(shè)備和防火墻設(shè)備,且SSL VPN可以嵌入用戶瀏覽器中,工作于網(wǎng)絡傳輸層之上,因此,遠程用戶可以隨時隨地連接到校園網(wǎng)絡中。但是,遠程用戶與校園網(wǎng)絡的連接需要校園內(nèi)部網(wǎng)絡IP地址,首先要在校園網(wǎng)絡中配置一臺DHCP主機服務器,負責為遠程用戶提供校園內(nèi)部網(wǎng)絡的IP地址。其次,遠程用戶與校園網(wǎng)絡服務器了連接需要獲取虛擬專用網(wǎng)絡服務器域名,還需要在計算機域名系統(tǒng)中配置虛擬專用網(wǎng)絡服務器域名,同時確保遠程用戶可以隨時解析該域名。最后,由校園網(wǎng)絡為遠程用戶提供URL虛擬網(wǎng)絡地址,當遠程用戶提出訪問校園網(wǎng)絡資源時,該請求會發(fā)送到SSL VPN服務器中,經(jīng)過用戶認證之后根據(jù)授權(quán)分配到不同服務器中,有效保護校園內(nèi)部網(wǎng)絡結(jié)構(gòu)不受到外部非法入侵者的攻擊。校園遠程訪問虛擬網(wǎng)構(gòu)建方案如圖2所示:
3 結(jié)束語
目前,隨著國家教育教學改革的推進,校園信息化建設(shè)也被提上了日常,各大高校相繼建立了屬于自己的校園網(wǎng)絡,但校園網(wǎng)絡信息安全管理水平普遍不高。本文提出了將虛擬專用網(wǎng)絡應用于校園網(wǎng)絡中實現(xiàn)信息安全管理,防止校園網(wǎng)絡重要數(shù)據(jù)信息丟失、外界非法入侵、計算機病毒感染等問題,具有一定的理論與現(xiàn)實意義。
參考文獻:
[1] 羅天蘭. 虛擬專用網(wǎng)技術(shù)在校園網(wǎng)中的應用研究[J]. 電子技術(shù)與軟件工程,2015(22):15-16.
[2] 崔升廣. 虛擬專用網(wǎng)技術(shù)的應用與研究[J]. 遼寧省交通高等??茖W校學報,2015(4):35-37.
[3] 趙柳榕,梅姝娥,仲偉俊. 虛擬專用網(wǎng)和入侵檢測系統(tǒng)最優(yōu)配置策略的博弈分析[J]. 管理工程學報,2014(4):187-192.
[4] 張瑩. 計算機網(wǎng)絡信息系統(tǒng)中虛擬專用網(wǎng)路技術(shù)的應用研究[J]. 信息與電腦:理論版,2014(9):152-153.
[5] 黃曦. 虛擬專用網(wǎng)VPN各種技術(shù)的實現(xiàn)機制與應用分析[J]. 信息通信,2013(4):76.