张恬

摘要：高校面临的网络安全问题凸显了网络安全的重要性，首先简述了网络信息安全方面的威胁与防范措施，包括防火墙技术、数据加密技术、VPN技术，并对VPN方面的安全技术访问控制技术、隧道技术、加密技术和密钥管理技术有了简要的概括，这些技术对于高校网络信息安全提供了有效的保障，最后，说明了VPN技术在高校中的应用带来的便捷与校内资源共享的便利。

关键词：网络安全；隧道技术；VPN

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）32-0065-02

1 高校网络面临的威胁及安全需求

根据目前的网络架构来说，高校的网络拓扑结构比较典型的形式是以数据网络中心机房为核心，各个学院或者行政部门等作为下级分支，各个学院部门可以为不同规模大小的局域网。数据网络中心机房作为核心地点，也是高校服务器的存放地点，和其他部分的衔接方式也呈现多样化的形态，包括直连、专线、远程连接等。

对校园网络安全产生的威胁有许多的种类，主要涉及窃密和失密、信息篡改、黑客侵入等。针对第一种窃密和失密主要是采用如利用间谍软件、利用搭线窃听等进行密码破译或窃取。针对第二种信息篡改主要是在非授权的情况下在信息的传输过程或者在信息的存储过程中，采用篡改等手段来修改信息。针对第三种黑客侵入则主要是采用各种黑客技术侵入网络、获取资料、破坏系统等。这些网络安全问题既有可能是来自于校园外部，也有可能来自于校园內部。

2 网络安全防范措施及VPN技术

2.1 防火墙技术

在高校环境里，通俗来讲防火墙技术就是在互联网与校园网之间设置一道防止非法入侵的关卡，可有效保护校园内部网络资源不受破坏，在校园网防护上面起到重要的作用，目的就是防止互联网用户未经授权的访问，从而确保校园网用户免受非法用户的侵入。是目前流行的计算机网络安全防御方式，主要有四个部分组成，分别是服务访问政策、验证工具、数据包过滤和应用网关。

2.2 数据加密

数据加密是指发送方将一段明文信息通过加密算法与加密密钥转换成无意义的密文，而接收方则对该密文通过解密算法和解密密钥进行转换，还原出原文信息的技术。

数据加密技术不仅是通信数据安全的基石，更是网络安全技术不可或缺的。目前数据加密已经成为了主流，是多种信息保密手段的最佳选择。通过密码技术进行数据加密，有效减少非授权用户的入网和非法窃听，预防各类恶意软件造成的干扰，实现信息隐蔽和保护信息安全。数据加密算法分为两种：对称加密算法和非对称加密算法。主要区别在于对称加密算法是收发两端使用相同密码，即加密密钥同时也用作解密密钥，而非对称加密算法则需要公钥与私钥，公钥与私钥是一对，必须同时使用才可实现加密与解密，因此这种算法叫做非对称加密算法。

加密技术目前在网络安全中主要应用在网络传输层与应用层。在数据传输的过程中所使用的加密技术对于网络传输层的用户通常是透明的。而在应用层的加密技术主要是针对应用程序类在业务处理过程中，对应用数据进行存储加密、完整性鉴别、身份鉴定等技术，典型的如用户身份验证、CA证书、授权管理、数字签名等。

2.3 VPN技术

VPN（Virtual Private Network）即虚拟专用网，简称VPN技术，指在公共网络上建立专用的数据通信网络。VPN网关通过对数据包的加密和目标地址转换实现私有数据在公网上安全的、可靠的传输。VPN以共享的公共网络为基础，在Internet中任意两个节点间动态的构建虚拟专用网络，实现私有数据安全的、可靠的传输[1]。VPN在高校的校园网络中应用广泛，主要通过四项安全技术，即隧道技术、加密技术、密钥管理技术和访问控制技术在不同的网络之间建立一条可以通信的信任通道，来实现与高校内部网络资源的互联和共享。

3 VPN的安全技术

随着VPN技术的快速发展，使得校外查阅校内资源相当便捷，目前高校使用的VPN主要包括四项安全技术，分别为：访问控制技术、隧道技术、加密技术和密钥管理技术。

3.1 访问控制技术

访问控制技术主要是确保只有授权用户才可以访问校内资源，授权用户也可以根据属性的不同进行分类访问资源，比如教师可以访问全部资源，而设备的供应商只能访问相应的服务。

3.2 隧道技术

隧道技术是在互联网的两个结点间的通信通道，在此通道中可以将各种协议的数据包或者数据帧进行封装传送，到达另一端时按照相应的协议解开封装。传输结构如下图1所示。

3.3 加密技术

加密技术作为数据通信的一项成熟的技术，是指在信息发送之前对数据包进行加密，接收后再对该数据包进行相应解密的过程。目前VPN采用的加密算法包括对称加密体系和公共密钥体系[2]。

3.4 密钥管理技术

密钥管理技术主要作用是防止私钥在公共网络的传递中失窃，目前密钥管理技术包括SKIP和IS AKMP/OAKLEY两种管理技术[2，3]。

4 VPN在高校中的应用

随着高校信息化建设的高速发展，学校资源越来越丰富，为了安全考虑一般只有校园网用户才可以访问资源，这就限制了教师的活动范围，而VPN技术很好地解决了此问题。学校采用深信服的SSLVPN设备，该设备可以提供统一的接入平台，保证在校外可以安全、快捷的接入校园网内网中进行资源的访问。VPN设备支持系统管理员对用户管理、资源管理、角色授权、策略组管理等服务的配置。

校外用户通过VPN接入校园内网，利用远程主机的浏览器，通过正确的访问地址、用户名和密码即可登录校园内网。具体来说，教师通过使用的终端设备即远程主机，通过互联网与VPN设备的网关之间建立SSL连接，待SSL连接建立成功后就可进入SSLVPN设备的登录界面，教师输入自己的用户信息，这时验证账号信息成功后，远程用户就可以访问校园内部资源了，例如访问校园图书馆的图书资源、期刊资源、oa系统以及教务系统等，连接过程如下图2所示。SSLVPN网关在用户访问信息的应答过程中有着关键的作用，首先SSLVPN会根据用户访问信息解析用户权限，并将请求信息发送给校园网内网的服务器，内网服务器根据收到的信息做出应答，转发给SSLVPN网关，最后SSLVPN网关将应答信息发送给远程连接的用户。远程用户访问校园网的过程就是一个请求应答的过程。

随着高校信息化建设的推进，VPN技术可以实现校外用户与校内用户建立可信、安全的连接与资源共享，有利于高校信息化建设工作的展开，有效控制信息化建设的成本，实现资源的优化配置，提高了学校的综合竞争力。

参考文献：

[1] 杭州华三通信技术有限公司，SSLVPN技术白皮书，2014.12.

[2] 何小刚.企业VPN构建技术及其应用[J].电子信息，2016，06：51-52.

[3] 汪海航，谭成翔，孙为清，等.VPN技术的研究与应用现状及发展趋势[J].计算机工程与应用，2001（23）.

[4] 许可，赵鼎新，王昭然.基于VPN的校园网远程接入系统的研究与实现[J].中国教育信息化，2010（11）：72-75.endprint