摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,網路資訊資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊,網路中的敏感資料有可能洩露或被修改,保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建,通過物理、資料等方面的設計對網路安全進行完善是解決上述問題的有效措施。
關鍵詞:校園網;網路搭建;網路安全;設計。
以Internet為代表的資訊化浪潮席捲全球,資訊網路技術的應用日益普及和深入,伴隨著網路技術的高速發展,各種各樣的安全問題也相繼出現,校園網被“黑”或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。
一、 基本網路的搭建。
由於校園網網路特性(資料流量大,穩定性強,經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1. 網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷裝置。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FDDI、千兆乙太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速乙太網是一種非常成熟的組網技術,它的造價很低,效能價格比很高;FDDI也是一種成熟的組網技術,但技術複雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網路平臺,但它的網路頻寬的實際利用率很低;目前千兆乙太網已成為一種成熟的組網技術,造價低於ATM網,它的有效頻寬比622Mbps的ATM還高。因此,個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路安全設計。
1.物理安全設計 為保證校園網資訊網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統資訊在空間的擴散。計算機系統通過電磁輻射使資訊被截獲而失密的案例已經很多,在理論和技術支援下的驗證工作也證實這種擷取距離在幾百甚至可達千米的復原顯示技術給計算機系統資訊的保密工作帶來了極大的危害。為了防止系統中的資訊在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間訊號。正常的防範措施主要在三個方面:對主機房及重要資訊儲存、收發部門進行遮蔽處理,即建設一個具有高效遮蔽效能的遮蔽室,用它來安裝執行主要裝置,以防止磁鼓、磁帶與高輻射裝置等的訊號外洩。為提高遮蔽室的效能,在遮蔽室與外界的各項聯絡、連線中均要採取相應的隔離措施和設計,如訊號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射資訊的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的裝置用光電轉換介面,用光纜接出遮蔽室外進行傳輸。
2.網路共享資源和資料資訊保安設計 針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬區域網,是一種通過將區域網內的裝置邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE於1999年頒佈了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術允許網路管理者將一個物理的邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。