楊名

【摘 要】本文論述高校無(wú)線校園網(wǎng)安全設(shè)計(jì)，從高校無(wú)線校園網(wǎng)面臨的安全問(wèn)題來(lái)分析高校無(wú)線校園網(wǎng)安全建立的必要性，提出網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)需要遵循標(biāo)準(zhǔn)成熟性、完善性、網(wǎng)絡(luò)可擴(kuò)展性、部署靈活性四項(xiàng)原則，應(yīng)對(duì)結(jié)構(gòu)安全做全面性考慮、對(duì)安全接入功能做設(shè)計(jì)、做認(rèn)證安全設(shè)計(jì)準(zhǔn)入準(zhǔn)出安全設(shè)計(jì)，并在具體實(shí)踐中進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、安全接入設(shè)計(jì)、統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出設(shè)計(jì)、出口安全設(shè)計(jì)，以促進(jìn)高校無(wú)線校園網(wǎng)絡(luò)安全建設(shè)。

【關(guān)鍵詞】高校 ?無(wú)線網(wǎng)絡(luò) ?安全架構(gòu) ?設(shè)計(jì)

【中圖分類號(hào)】G ?【文獻(xiàn)標(biāo)識(shí)碼】A

【文章編號(hào)】0450-9889（2019）08C-0187-02

在信息化社會(huì)，無(wú)線網(wǎng)絡(luò)的應(yīng)用使較多領(lǐng)域的具體工作發(fā)生了顯著的變化，就調(diào)查統(tǒng)計(jì)分析來(lái)看，無(wú)線網(wǎng)絡(luò)的應(yīng)用便捷了資料信息的傳輸，對(duì)管理起到了非常積極的作用，同時(shí)，無(wú)線網(wǎng)絡(luò)的普及也為高校的網(wǎng)絡(luò)教育提供了條件。就目前的高校無(wú)線校園網(wǎng)應(yīng)用來(lái)看，無(wú)線網(wǎng)絡(luò)提高了管理的效率，幫助實(shí)現(xiàn)了高校管理的信息化發(fā)展，同時(shí)，無(wú)線校園網(wǎng)也為教育教學(xué)的模式變化以及靈活性提升創(chuàng)造了良好的條件。但是在具體的實(shí)踐應(yīng)用中發(fā)現(xiàn)，當(dāng)前的網(wǎng)絡(luò)環(huán)境對(duì)高校無(wú)線校園網(wǎng)的應(yīng)用及發(fā)展還存在不利影響，高校無(wú)線校園網(wǎng)普遍存在安全隱患，因此要在復(fù)雜的環(huán)境中保證無(wú)線校園網(wǎng)絡(luò)的有效利用，必須強(qiáng)化安全架構(gòu)的設(shè)計(jì)。

一、高校無(wú)線校園網(wǎng)安全建立的必要性

就目前的高校建設(shè)來(lái)看，為了建設(shè)信息化高校，同時(shí)也為了提高高校的教學(xué)效率和管理實(shí)效，無(wú)線校園網(wǎng)在高校中已經(jīng)非常普遍。對(duì)高校的無(wú)線校園網(wǎng)具體分析發(fā)現(xiàn)其面臨兩方面的安全問(wèn)題。一方面是無(wú)線校園網(wǎng)存在非法入侵的情況。高校網(wǎng)絡(luò)作為信息化管理的重要工具，有較多機(jī)密性的資料和數(shù)據(jù)，非法入侵會(huì)導(dǎo)致信息資料的泄露。另一方面是高校無(wú)線校園網(wǎng)還普遍存在著網(wǎng)絡(luò)惡意攻擊的情形。一些非法用戶會(huì)利用網(wǎng)路渠道發(fā)送木馬、病毒等對(duì)高校無(wú)線校園網(wǎng)進(jìn)行攻擊，嚴(yán)重時(shí)會(huì)造成網(wǎng)絡(luò)癱瘓，給學(xué)校的信息化建設(shè)及應(yīng)用帶來(lái)嚴(yán)重影響。以上兩方面嚴(yán)重影響了高校無(wú)線網(wǎng)絡(luò)的應(yīng)用安全，必須對(duì)網(wǎng)絡(luò)做安全強(qiáng)化。

二、設(shè)計(jì)原則

高校無(wú)線校園網(wǎng)的安全架構(gòu)需要基于高校網(wǎng)絡(luò)利用的基本現(xiàn)狀來(lái)開(kāi)展，所以其具體的網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)需要遵循以下四項(xiàng)原則：

（一）標(biāo)準(zhǔn)成熟性原則

無(wú)線校園網(wǎng)在高校管理實(shí)踐中要發(fā)揮突出的價(jià)值，需要具有成熟性和可操作性，如此，其運(yùn)行才會(huì)更加的穩(wěn)定。在高校無(wú)線校園網(wǎng)構(gòu)建的時(shí)候要基于技術(shù)成熟和可操作做標(biāo)準(zhǔn)的制定，并依據(jù)標(biāo)準(zhǔn)做設(shè)計(jì)，校園網(wǎng)的整體效果發(fā)揮才會(huì)得到保障。簡(jiǎn)言之，網(wǎng)絡(luò)安全要保證，網(wǎng)絡(luò)的標(biāo)準(zhǔn)性是必須要強(qiáng)調(diào)的，操作的成熟性也是需要重視的，因此遵循標(biāo)準(zhǔn)成熟性原則有突出的意義。

（二）完善性原則

所謂的完善性原則具體指的是在高校無(wú)線校園網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)中必須要對(duì)安全措施做完善性考慮。在高校無(wú)線網(wǎng)絡(luò)的具體利用中，除了學(xué)生會(huì)利用網(wǎng)絡(luò)，網(wǎng)絡(luò)黑客也會(huì)攻擊網(wǎng)絡(luò)，所以高校網(wǎng)絡(luò)的管理人員必須要將網(wǎng)絡(luò)安全放在重要的位置，并采取任何可以實(shí)現(xiàn)網(wǎng)絡(luò)安全的措施來(lái)保證無(wú)線網(wǎng)絡(luò)的運(yùn)行安全，總之，無(wú)線網(wǎng)絡(luò)的安全需要從傳輸安全保護(hù)、運(yùn)行環(huán)境安全防護(hù)、用戶認(rèn)證以及訪問(wèn)控制等各個(gè)方面進(jìn)行強(qiáng)化，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)安全完善的目標(biāo)。

（三）網(wǎng)絡(luò)可擴(kuò)展性原則

之所以要強(qiáng)調(diào)可擴(kuò)展性主要是因?yàn)楫?dāng)前的網(wǎng)絡(luò)技術(shù)還處在飛速發(fā)展的階段，在之后的網(wǎng)絡(luò)建設(shè)中會(huì)利用到相比于當(dāng)前更先進(jìn)的技術(shù)以及設(shè)備，所以現(xiàn)階段的網(wǎng)絡(luò)結(jié)構(gòu)需要為未來(lái)的網(wǎng)絡(luò)應(yīng)用提供利用空間?；诖?，在現(xiàn)階段的網(wǎng)絡(luò)安全架構(gòu)中需要對(duì)未來(lái)安全做考慮，所以安全架構(gòu)要具有可擴(kuò)展性。

（四）部署靈活性的原則

部署靈活性主要是考慮到目前高校網(wǎng)絡(luò)建設(shè)的不統(tǒng)一。就具體的分析來(lái)看，現(xiàn)階段的高校無(wú)線網(wǎng)絡(luò)部署采用的形式與技術(shù)并不唯一，所以利用統(tǒng)一的標(biāo)準(zhǔn)會(huì)使具體的安全部署無(wú)法實(shí)施，所以在實(shí)踐中做靈活性部署強(qiáng)調(diào)，這樣可以使高校網(wǎng)絡(luò)的具體利用更具實(shí)踐性價(jià)值。

三、安全架構(gòu)的設(shè)計(jì)思想

高校無(wú)線校園網(wǎng)的安全架構(gòu)需要以保證高校網(wǎng)絡(luò)應(yīng)用的安全為目的，所以具體的設(shè)計(jì)思想和方法都要為最終的目的服務(wù)?？偨Y(jié)目前的高校無(wú)線校園網(wǎng)絡(luò)應(yīng)用并對(duì)當(dāng)前社會(huì)無(wú)線網(wǎng)絡(luò)應(yīng)用的安全設(shè)計(jì)做分析與探討，高校無(wú)線網(wǎng)絡(luò)安全設(shè)計(jì)需要從以下四個(gè)方面展開(kāi)。一是高校網(wǎng)絡(luò)的結(jié)構(gòu)安全要得到保障，因此在具體的設(shè)計(jì)中需要對(duì)結(jié)構(gòu)安全做全面性考慮。二是需要對(duì)安全接入功能做設(shè)計(jì)。從現(xiàn)實(shí)分析來(lái)看，很多網(wǎng)絡(luò)的安全性較差，是因?yàn)樵诮尤敕矫鏇](méi)做安全考慮，所以會(huì)有大量的病毒、木馬對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。三是做認(rèn)證安全設(shè)計(jì)準(zhǔn)入準(zhǔn)出安全設(shè)計(jì)。該方面的設(shè)計(jì)會(huì)對(duì)非法登錄形成打擊，而且做好準(zhǔn)入準(zhǔn)出的安全設(shè)計(jì)，用戶的安全體驗(yàn)效果會(huì)更加完善。四是出口的安全設(shè)計(jì)。出口的安全設(shè)計(jì)對(duì)網(wǎng)絡(luò)形成了保護(hù)，這會(huì)讓高校的網(wǎng)絡(luò)應(yīng)用更具安全效果。

四、高校網(wǎng)絡(luò)安全架構(gòu)實(shí)踐

筆者所在高校為實(shí)現(xiàn)無(wú)線校園網(wǎng)的安全保障，積極尋求網(wǎng)絡(luò)安全的架構(gòu)方法，參考上述的網(wǎng)絡(luò)安全設(shè)計(jì)原則和思路進(jìn)行校園網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)，以下是具體的設(shè)計(jì)分析：

（一）網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

高校基于自身的實(shí)踐在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中采用了AP+AC的集中式架構(gòu)方案，該方案有兩大核心。一是基于核心交換機(jī)進(jìn)行規(guī)?；脑O(shè)備設(shè)計(jì)和部署，而利用的設(shè)備主要為智能AC設(shè)備。二是對(duì)校園無(wú)線網(wǎng)絡(luò)進(jìn)行集中的整合和管理，主要集中的對(duì)象為AP。

在方案的實(shí)施中該校網(wǎng)絡(luò)安全設(shè)計(jì)人員意識(shí)到AP+AC的集中式架構(gòu)的特點(diǎn)是集中，在AP出現(xiàn)問(wèn)題后整個(gè)網(wǎng)絡(luò)會(huì)受到影響，因此具體的方案執(zhí)行中采用了雙AC冗余設(shè)計(jì)。所謂的雙AC冗余設(shè)計(jì)具體指的是在設(shè)計(jì)中利用兩臺(tái)智能AC設(shè)備，其中一臺(tái)為主控，另一臺(tái)為副控，兩臺(tái)AC設(shè)備分別和核心交換機(jī)做互聯(lián)并構(gòu)建CAPWAP隧道。此設(shè)計(jì)在實(shí)際運(yùn)行的時(shí)候，如果網(wǎng)絡(luò)中存在主控制器故障的情況，副控制器會(huì)對(duì)主控制器進(jìn)行替代實(shí)現(xiàn)系統(tǒng)的繼續(xù)運(yùn)用，而所有AP的主CAPWAP隧道也會(huì)切換到副控制器上，保證業(yè)務(wù)的正常。在主控制器恢復(fù)后，AC會(huì)實(shí)現(xiàn)備份，鏈路也隨之和主控制器進(jìn)行連接，從而保證其運(yùn)行。

學(xué)校設(shè)計(jì)人員基于方案做設(shè)計(jì)后，對(duì)具體的網(wǎng)絡(luò)運(yùn)行做了分析，發(fā)現(xiàn)雙AC冗余在網(wǎng)絡(luò)穩(wěn)定性和持續(xù)性方面有非常突出的效果。

（二）安全接入設(shè)計(jì)

接入是否具有安全性是高校無(wú)線校園網(wǎng)絡(luò)安全設(shè)計(jì)需要重點(diǎn)考慮的內(nèi)容，因此高校在具體的網(wǎng)絡(luò)安全設(shè)計(jì)中對(duì)安全接入設(shè)計(jì)做了重點(diǎn)的考慮，最終決定做兩方面的設(shè)計(jì)：一是進(jìn)行WIDS功能設(shè)計(jì)。高校網(wǎng)絡(luò)管理人員對(duì)校園用戶做具體的資料總結(jié)發(fā)現(xiàn)非法登錄和廣泛性的攻擊在校園網(wǎng)絡(luò)中表現(xiàn)十分的普遍，這影響了校園網(wǎng)的安全?；诰W(wǎng)絡(luò)管理部門(mén)提供的實(shí)時(shí)參考，設(shè)計(jì)人員在設(shè)計(jì)的時(shí)候于AC設(shè)備中做了WIDS模塊的部署。WIDS模塊實(shí)現(xiàn)了AP以及客戶端的認(rèn)證檢測(cè)，從而屏蔽了導(dǎo)致非法登錄訪問(wèn)網(wǎng)絡(luò)的條件。二是高校網(wǎng)絡(luò)設(shè)計(jì)人員先對(duì)加密算法的有效性做了研究并對(duì)訪問(wèn)用戶進(jìn)行了控制。校園網(wǎng)中的機(jī)密數(shù)據(jù)和教學(xué)資源比較多，安全設(shè)計(jì)考慮資源獲取和存儲(chǔ)十分必要。設(shè)計(jì)人員通過(guò)設(shè)計(jì)實(shí)現(xiàn)AP/AC中的多種加密技術(shù)和認(rèn)證技術(shù)支持，以此實(shí)現(xiàn)對(duì)訪問(wèn)用戶的有效限定。

（三）統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出設(shè)計(jì)

在網(wǎng)絡(luò)安全設(shè)計(jì)中，對(duì)統(tǒng)一認(rèn)證和準(zhǔn)入準(zhǔn)出也進(jìn)行了全面性設(shè)計(jì)。從設(shè)計(jì)結(jié)果來(lái)看，其設(shè)計(jì)主要涵蓋兩部分：一是做統(tǒng)一的認(rèn)證機(jī)制設(shè)計(jì)。設(shè)計(jì)人員認(rèn)為學(xué)校的認(rèn)證可以利用身份認(rèn)證方案，當(dāng)然也可以使用一套能夠?qū)崿F(xiàn)綜合認(rèn)證的計(jì)費(fèi)系統(tǒng)并對(duì)接收到的數(shù)據(jù)做備份的方案。無(wú)論是哪種方案，在具體的認(rèn)證中，均需要AP、AC和Portal認(rèn)證服務(wù)器做配合，同時(shí)還需要與Radius認(rèn)證服務(wù)器做聯(lián)合。二是對(duì)準(zhǔn)入和準(zhǔn)出做一體化設(shè)計(jì)。設(shè)計(jì)人員的具體設(shè)計(jì)其能夠滿足不同認(rèn)證用戶的需要，在實(shí)踐中既有對(duì)802.1X用戶的認(rèn)證，也有對(duì)web portal用戶的認(rèn)證。對(duì)于802.1IX用戶的認(rèn)證，接入網(wǎng)絡(luò)后用戶網(wǎng)的內(nèi)外網(wǎng)會(huì)自行切換，當(dāng)身份得到認(rèn)證后認(rèn)證系統(tǒng)所連接的計(jì)費(fèi)系統(tǒng)便會(huì)啟動(dòng)，并基于不同的授權(quán)做計(jì)費(fèi)處理。此設(shè)計(jì)實(shí)現(xiàn)了準(zhǔn)入和準(zhǔn)出的雙重功能合一，具有明顯的便利性。對(duì)于web portal認(rèn)證用戶，可以先在計(jì)費(fèi)網(wǎng)關(guān)中心遞交用戶的認(rèn)證信息，在計(jì)費(fèi)過(guò)后，計(jì)費(fèi)中心會(huì)自動(dòng)將信息轉(zhuǎn)移至認(rèn)證中心做信息的檢查和認(rèn)證，這種認(rèn)證是從內(nèi)網(wǎng)向外網(wǎng)進(jìn)行的，具體過(guò)程就兩步。在此種認(rèn)證方式的利用中，為了保證用戶的身份具有合法性，需要實(shí)現(xiàn)內(nèi)網(wǎng)安全、定位以及審計(jì)等功能的利用。

（四）出口的安全設(shè)計(jì)

高校的無(wú)線校園網(wǎng)絡(luò)安全設(shè)計(jì)中對(duì)出口安全也進(jìn)行了考慮。出口的獨(dú)立性會(huì)讓校園網(wǎng)絡(luò)的使用更具安全效果，獨(dú)立的安全出口需要滿足兩方面的要求：一是需要對(duì)多種路由協(xié)議做支持，二是需要設(shè)計(jì)具有統(tǒng)一性的網(wǎng)關(guān)設(shè)備，該設(shè)備能夠?qū)υ械陌踩O(shè)備進(jìn)行替代。

綜上所述，高校無(wú)線校園網(wǎng)的應(yīng)用安全關(guān)系著校園管理以及師生的合法權(quán)益，所以為了保證校園網(wǎng)絡(luò)的安全有效利用，必須要對(duì)網(wǎng)絡(luò)安全做全面性考慮。文章對(duì)高校網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)的原則以及具體內(nèi)容等進(jìn)行分析，為高校的網(wǎng)絡(luò)安全架構(gòu)提供了參考，具有一定的參考價(jià)值。

【參考文獻(xiàn)】

[1]黃嵩.基于SDN架構(gòu)的無(wú)線局域網(wǎng)安全研究[J].電腦知識(shí)與技術(shù)，2017（13）

[2]李學(xué)龍，郝文英.基于IT治理的高校校園安全網(wǎng)絡(luò)框架設(shè)計(jì)研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017（2）

[3]王斐.電力公司安全辦公無(wú)線局域網(wǎng)的設(shè)計(jì)與實(shí)現(xiàn)[D].南昌：江西財(cái)經(jīng)大學(xué)，2017

[4]蕭益民.高職院校無(wú)線校園網(wǎng)絡(luò)的分析與設(shè)計(jì)[J].電腦知識(shí)與技術(shù)，2017（21）

[5]呂旻.網(wǎng)絡(luò)安全體系結(jié)構(gòu)的設(shè)計(jì)原則與實(shí)現(xiàn)方案研究[J].自動(dòng)化技術(shù)與應(yīng)用，2017（6）

【基金項(xiàng)目】2017年度廣西高校中青年教師基礎(chǔ)能力提升項(xiàng)目“高校無(wú)線數(shù)字化校園網(wǎng)絡(luò)安全技術(shù)研究”（2017KY1224）

【作者簡(jiǎn)介】楊 名（1973— ），男，碩士，廣西工商職業(yè)技術(shù)學(xué)院副教授，研究方向：高職教育。

（責(zé)編 何田田）