VPN 技术在高职类院校网络安全体系中的应用— 以江西司法警官职业学院校园网络为例论文

SCI论文（www.lunwensci.com）

　　摘 要 ：随着网络技术的飞速发展,高职院校建立校园网络已经成为管理重点工作之一。虚拟专用网络(VPN)是指通过 网络运行商所提供的互联网建立一个虚拟私有通道的网络安全防护技术,为用户在公共网络环境下临时搭建一个专用数据传输 通道,并对在虚拟专用通道中传输的数据实现加密。本文以江西司法警官职业学院校园网络为例,提出了基于 VPN 技术应用 在学校网络安全体系中的构建方案。

　　【Abstract】： With the rapid development of network technology, the establishment of campus network in higher vocational colleges has become one of the key management tasks. Virtual private network (VPN) refers to the network security protection technology of establishing a virtual private channel through the Internet provided by the network operator, special data transmission channel is temporarily set up for users in the public network environment, the data transmitted in the virtual private channel is encrypted . Taking the campus network of Jiangxi Judicial Police Vocational College as an example, this paper puts forward a construction scheme based on VPN technology application in the school network security system.

　　【Key words】：virtual private network;higher vocational colleges;data transmission;campus network

　　0 引言

　　当前大部分高校都已经构建了校园网络,同时校园 网络还承担着科学研究平台与教育教学资源利用等功 能。根据当前江西司法警官职业学院校园网络为例,如 果采用简单的校园局域网形式,将无法实现学院协调管 理模式。当前,为加强学院的统一信息化管理,学院通 过 VPN 技术来连接整个校园网络。传统校园网络架构 主要采用传统以太网组网的模式,无法实现安全防护要 求,特别是关于校园网络涉及的个人隐私信息服务,需 要保障信息与数据的安全性 [1]。基于此,本文提出基于VPN 技术构建一个校园网络安全体系,满足校园网络 的安全需求。

　　1 校园网络安全现状分析

　　1.1 终端安全成为管理短板

　　由于学院机房的计算机系统设备配置各不相同,通 常会配备专业人员对终端进行定期维护和管理,相对较 安全。然而,学生与教职工自购终端设备也开放权限接 入校园网络,在连接校园网络之后,难以进行统一管理, 风险暴露面增加。对于网络安全意识较为薄弱的在网人 员,存在较大的终端失陷的安全隐患,这也成为制约学校规范网络安全管理制度最大的桎梏。此外,网络技术 的发展日趋完善,学院的信息技术中心在管理维护方面 也缺少专业人员,导致校园网络攻防资源严重不对等。

　　1.2 校园网络建设规模大

　　江西司法警官职业学院在最初建设校园网络时,宽 带网络的以太网技术只能保证校园网的带宽速率不低于 10Mbps。随着现代信息技术的发展,用户的用网需求增 加,高校也逐渐使用千兆光纤网络作为校园网的主干网络。 随着学校招生规模的不断扩大, 原有的校园网络架构承载 压力与日俱增,导致校园网络中的安全问题越来越多。 1.3 庞大的学生用户学生是校园网络中最活跃、最庞大的群体,对互联 网环境的好奇心里非常强,也会积极尝试各种创新型网 络技术。然而,学生的网络安全意识不强,容易受到网 络不良信息的利诱,导致终端受到网络攻击,为校园网 络安全带来巨大隐患。

　　1.4 校园网络具有一定的开放性

　　学院的教育资源基于互联网存在,以开放的形式为 师生服务,所以校园网络必须要具备一定的开放性,以 更便捷方式为师生提供教育教学科研等相关资源。一般 情况下,企业网络能够限制电子邮件、网页浏览,拒绝 外部发起的与企业网络连接的请求。但是校园网络无法 实施严苛的限制,否则会影响师生教学办公等活动,也 无法及时获取关于新技术、新应用的相关知识信息。

　　2 基于 VPN 技术构建校园网络安全体系

　　2.1 需求分析

　　校园网络体系建设必须要满足以下几方面的需求： 首先,要能满足大量的远程访问需求。因为对于校园网 络进行远程访问的数量非常大,在校师生和其他工作人 员都会对校内网络数据库服务器进行访问,包括通知公 告、薪酬查询、成绩查询等。其次,高校图书馆资源实 现远程用户访问。对于远程访问用户进行安全认证,合 理分配图书馆资源,构建完善的用户管理、防护功能、 授权系统的功能。最后,必须确保与多个平台的兼容 性。VPN 服务是指在校园网络中为用户提供实时网络 安全服务的虚拟专用网络服务,还允许与更多操作系统 平台环境兼容。此外, VPN 服务必须为其使用和操作 提供特定的服务器和客户端配置工具。同时,它还提供 了注册功能,以实现记录安全审计的目的 [2]。

　　2.2 基于 VPN 技术的校园网络安全体系

　　(1)Extranet VPN。其主要是通过专门的共享连 接网络设施,在校园网络中与外部网连接,适合应用于 B2B 的安全访问中。(2)Intranet VPN。这一方案具 有独特的共享网络设施, 此共享网络设施是 Intranet VPN 方案的基础所在,合理利用 Intranet 可以实现学校 网络互联。Intranet VPN 利用加密、VPN 隧道等技术, 有效提高了数据信息传输期间的安全性。(3) Access VPN。这一方案与远程、移动办公等要求非常符合,可 以实现校内和校外的远程网络连接。Access VPN 适合 在许多接入方法中使用,如 ISDN、PPPOE 拨号、移动网 络等,能够为移动办公用户提供安全性较高的私有连接。

　　三种应用场景适合在不同的访问服务要求中应用。 根据我校校园网络架现状和安全的需求,不仅要实现网 络互联,还需实现远程用户对于校园网络资源的访问指 令。所以,更适合采用 Intranet VPN 方案作为构建校 园网络安全体系的方案。

　　2.3 基于 VPN 技术的校园网络安全体系设计

　　在校园网络安全体系中,最基本的原则就是保证网 络的安全性。基于以上提出的校园网络需求,采用基于 VPN 技术的校园网络安全体系构建方案如下。

　　2.3.1 建构校园内部虚拟专用网络

　　在校园内创建内部虚拟专用网络 Intranet VPN。 校园网中的学生身份证、人事档案、学生成绩等应用系 统通过光纤连接连接到整个校园。通过光纤连接传输的 数据通过 IPSec VPN 技术进行加密,以确保校园网数 据通信的安全。对于普通用户发起的访问请求,可以在 设置安全策略时允许普通用户访问 [3]。如果安全级别过 高,也会导致网络资源的浪费和用户访问的延迟。因 此,安全级别不应设置得太高。对于一些敏感业务的用 户来说,如学生管理、财务管理、学业成绩管理等,可 以使用两层协议网络将用户与校园网隔离,将用户与校 园网络连接,然后将数据信息发送到校园网的中央交换 机。数据加密的实现对于普通用户来说,安全级别相对 较低,可以降低安全要求,提高 VPN 服务器的性能。

　　传统 IP 协议本身无安全性,很容易伪造出 IP 地址、 修改内容、拦截。新一代 IPSec 安全协议能够有效避免 这些问题。但因为当前的软件无法不能支持 IPSec 安全 协议,所以需要经过转换之后才可以使用。如图 1 所示 为校园传输过程。VPN 技术本身对于用户身份认证不 够严密,所以需要对用户进行身份鉴别。利用 PKI 技术 引入到 VPN 中,提高 VPN 的安全。

　　2.3.2 校园安全网络功能模型

　　(1)数据转发模块。数据转发模块在校园安全网络 中具有非常重要的作用,数据加密是通过经过协商好的加密算法,同时完成数据传输。(2)后台管理模块。这 一模块负责采集日志,是安全审计前提下的操作日志, 同时还可以将使用情况、网络访问、会话、操作行为等 信息进行充分汇总。(3)身份认证模块。客户端认证 服务端主要使用数字证书;服务端有两种方法来认证客 户端。一种是使用用户名和密码的认证方式,主要是对 于外网的认证;另一种是内部网认证,它使用数字证书 的认证模式 [4]。(4)访问控制模块。本模块是访问规则 库,必须要设定访问控制策略,然后才能够控制访问主 体的访问操作。

　　2.3.3 设计校园安全网络架构模型

　　VPN 的校园安全网络架构模型图如图 2 所示。安全 模型特点：校园网和外部网络之间使用防火墙隔离;服 务器专用网络通过带 PKI 认证的 VPN 网关、校园网与 Internet 进行隔离,用户无法对这些服务器直接进行访问。

　　2.4 校园安全网络架构模型的实现

　　通过分析模型,关键在于构建一个安全网关, 需同 时连接外部网络、专用网和校园网; 支持 VPN 技术, 在隔离 3 个网络时可以建立 VPN 连接。基于这些条件, 双宿主机服务器构建 VPN 网关,服务器配置有 2 个网 卡： 一个绑定校园网网段 IP 地址, 一块绑定专用网网 段 IP 地址,地址转换在过滤路由器中执行。将外部网 络的公网 IP 的特定端口指向网关中的第一块网卡 IP, 3 个网络同样访问网关 [5]。

　　3 模型可行性与安全性

　　3.1 技术可行性

　　模型的建立是为了保护校园网数据安全,存储数据 的服务器位于专用网络上。专用服务器网络和校园网的 公共部分具有与流行局域网相同的网络结构和网络模 式。网络操作系统和通信协议可以使用校园网的现有资 源。整个模型的关键是如何构建一个安全的 VPN 网关 并满足以下要求：(1)可以同时跨接服务器专用网、校园网以及外部网络;(2)支持 VPN 技术, 可以在 3 个 网络隔离的同时建立 VPN 连接;(3)可以支持 PKI 身 份认证技术。

　　根据网关实现方法,双宿主机服务器和过滤路由器 使用地址转换来提供对三个网络的网关访问。网关使用 内置的 VPN 服务和 PKI 操作系统来支持 VPN 和 PKI 认证技术,而无需任何第三方软件。因此,可以使用现 有技术来构建模型,所以校园安全网络架构模型具有一 定的技术可行性 [6]。

　　3.2 经济可行性

　　校园网络主要采用分层次的星型结构。整个学校网 络通过防火墙连接到路由器和互联网。路由器通过高速 双线网络连接到学院网络的主交换机。主交换机通过高 速光纤通道连接到所有教学楼的二级交换机。作为学校 网络的主要枢纽,每栋建筑都通过双线连接到每个区域 的交换机,每个区域使用三层交换机将其计算机连接到 学校网络。这一模式在资金方面的投入较少,所以经济 上完全可行。

　　3.3 模型的安全性论证

　　网络的安全性是基于其能否达到相关网络标准,基 于我国教育与科研计算机网络中心提出的网络安全目 标,校园安全网络系统必须要满足以下几方面需求：首 先,确保信息的完整性,这意味着不能非法更改原始数 据;其次,保证信息的隐私性,拒绝非法访问数据;最 后,保证信息的可靠性和可用性 [7]。

　　3.3.1 数据传输安全性

　　数据传输是指需要访问数据库的客户端和数据库服 务器之间的数据传输,而校园和用户之间的数据传送不 再包含在本栏中。由于客户端需要使用 VPN 网关建立 VPN 隧道来访问数据库, 因此校园网络中的所有数据传 输都通过 VPN 隧道进行。因此, 数据传输模型的安全性 主要取决于 VPN 的安全性。VPN 建立逻辑隧道,并使 用加密和认证技术来确保用户数据的安全传输。IPSec VPN 已达到 C2 或更高的安全级别,可以有效保护校园 信息的安全要求。

　　3.3.2 身份识别安全性

　　在模型中利用 PKI 技术,用户在建立 VPN 之前均需 要进行身份识别。因此,通过安全策略能够有效拒绝非 法访问,从而保障信息隐私性。同时由于数字证书的唯一 性,用户对于数据操作存在不可否认性,所以保障了信息 的可靠性。另外,采用 CA 认证的数据通信具有抗重发能 力,通过截获的数据包也无法伪装成合法登录。所以,在 VPN 中利用 PKI 技术能够有效提高网络安全性 [8]。

　　4 攻击防范能力测试

　　实验中选择 SQL Server 为攻击对象,采用多种方 法试图入侵数据库系统。

　　4.1 主机扫描

　　在实验期间,采用常见的端口扫描工具,包括 IPS canner、Fluxa、Superscan 等 软 件, 试 图 寻 找 SQL Server 的 IP 地址与端口。扫描期间尚未发现有价值信 息。因为 SQL Server 根本不在这一网络中,未能找到 SQL Server 主机,这表示如果攻击者不熟悉该模型拓 扑结构,那么通过主机扫描来嗅探服务器位置来入侵服 务器的方式基本上是不可行的。

　　4.2 入侵实验

　　为了能够实现服务器入侵,关闭一台授权与网关建 立 VPN 连接的客户机上防病毒软件,然后安装木马程 序,并在另一台计算机上运行木马程序。很快可以找到 被植入木马的主机,通过进行及时有效的控制,并利用 这台主机能够与网关建立 VPN 连接。这种入侵必须要 通过加强网络管理,采取有效的措施进行预防和处理。 例如,公共数据查询服务尽量依赖校园网 Web 服务实 现;减少有权建立 VPN 连接的用户数;加强 VPN 用户的 管理;加强用户的计算机安全知识教育;安装防病毒软 件等。

　　通过上述分析,发现校园安全网络架构模型在经 济、技术、安全等方面具有显著效果,能够满足当前高 职院校网络的使用需求。

　　5 结语

　　综上所述,当前关于 VPN 技术在校园网络安全体系中的应用已经非常广泛。本文以江西司法警官职业学 院校园网络为研究对象,根据校园信息网络建设的实际 需要,提出了一种基于 VPN 技术的校园安全系统建设 方案,允许用户通过 VPN 通道永久访问网络资源,获 取用户身份验证,并且还实现了数据传输的加密功能。 此方案不仅能够有效防止外部用户非法、恶意攻击学校 网络,更为校内网络用户提供了高度的安全性和便捷性。

　　参考文献

　　[1] 赵钊.基于VPN技术的校园网络安全体系的研究与实现[D]. 西安:西安工业大学,2012.
　　[2] 吴利玲.基于区块链技术的民办高职院校教师信用体系的构 建[J].经济与社会发展研究,2022(25):224-227.
　　[3] 王真 .VPN技术在校园网络安全体系的应用[J]. 网络安全技 术与应用,2021(9):101-103.
　　[4] 张宁,唐佳,刘识,等.基于MPLS VPN大型网络安全防护体系 研究[J].软件,2020.41(4):130-133.
　　[5] 王克栋 .高职院校数字化校园网络安全防控体系探讨[J].信 息与电脑(理论版),2020.32(16):186-187.
　　[6] 莫民,曹璞 .等保2 .0下高职院校智慧校园网络安全体系建设 研究 — 以深圳职业技术学院为例[J]. 网络安全技术与应用, 2021(7):94-97.
　　[7] 吉庆 .高职院校校园网络安全防护体系的构建[J].信息与电 脑(理论版),2019(8):196-197.
　　[8] 宋卫泽 .试论高职院校应如何构建校园网络文化安全体系 [J].理论观察,2019(11):149-151.
 
关注SCI论文创作发表，寻求SCI论文修改润色、SCI论文代发表等服务支撑，请锁定SCI论文网！

文章出自SCI论文网转载请注明出处：https://www.lunwensci.com/jisuanjilunwen/62552.html