虚拟专用网络在信息安全管理中的有效应用

　　虚拟专用网络(VPN)是基于公共网络构建的网络隧道，并通过数据加密、用户认证、访问控制等实现的虚拟专用网络技术。在创建虚拟专用网络的过程中，不用专门搭建物理网络也可以保证网络信息安全，降低了资金成本。该文提出将虚拟专用网络应用于校园信息安全管理建设中，可以有效保证校园数据信息安全。

　　近几年来，随着计算机技术、互联网技术的飞速发展，校园信息化建设已经成为了高校推进教学改革中的重点工作内容，越来越多的高校提高了对校园信息化发展的重视程度，校园网络成为了校园信息化建设中的关键组成部分。但是，由于校园网络属于一个开放式网络环境，很容易遭到外部入侵者的恶意攻击，同时，计算机操作系统本身也会存在很多安全漏洞问题，如果校园网络受到黑客入侵或病毒感染，就会引发各种信息安全问题，包括窃取学生个人隐私信息、盗取校园一卡通账户金额、篡改校园门户网站信息等。因此，如何有效确保校园网络信息安全已经成为了现代社会信息安全领域广泛重视的热点问题。

　　1 虚拟专用网络的信息安全技术

　　1.1 隧道技术

　　隧道技术使虚拟专用网络的关键技术之一。隧道技术是通过某种网络协议实现的其他协议传输技术。隧道技术中包括三种协议：隧道协议、传输协议和乘客协议。首先，由隧道协议建立隧道;其次，通过传输协议负责传送隧道协议;最后，由乘客协议实现对该协议的封装，再由隧道协议将隧道拆除。利用隧道技术进行传输的数据信息通常情况下都是以不同协议方式存在的数据帧、数据包，再通过隧道协议进行封装之后实现数据信息的传输。

　　1.2 用户认证技术

　　在创建隧道之前，一般会采用用户认证技术对用户身份进行验证，确保合法用户授权的唯一性，以及实现对数据信息资源的访问控制。用户认证技术中的认证协议利用的是摘要技术，通过哈希函数的算法将长报文的长度进行变换之后，得到一个固定长度的摘要。但是，由于哈希函数的变换特性不容易控制，导致将不同报文变换为固定长度的摘要过程非常困难。

　　1.3 数据加密技术

　　虚拟专用网络的另一个关键技术是利用数据加密技术对数据包进行隐藏传输，如果数据包传输处于一个开放式不安全的网络环境中，即使进行了用户认证也不能保证数据安全。首先，在隧道发送端必须经过用户认证和数据加密，再对数据包进行传输，用户在隧道接收端对数据包进行解密后读取数据。数据加密形式包括对称加密和非对称加密，如果数据量较大可选择对称加密方式，如果存在保密级别较高的核心数据可选择公钥密码机制实现数据加密。

　　1.4 访问控制技术

　　访问控制技术主要是对用户发起对系统的访问进行控制，以及用户可以访问系统中的那部分资源，防止未授权的用户获取系统资源，由此起到控制访问的作用。

　　2 虚拟专用网络在校园信息安全管理中的应用

　　2.1 虚拟专用网络设计原则

　　1)保障信息安全

　　建立虚拟专用网络的目的是有效确保信息安全，采用用户认证、数据加密等机制来提高数据传输的安全性和完整性。因此，校园虚拟专用网络的建立必须具有数据保密、信息完整和用户认证功能。

　　2)兼容多平台

　　校园虚拟专用网络的一个重要作用是不受时间和地域的限制，用户可以随时发起对校园网的访问，保证不同校区之间和移动办公人员发起远程访问时的网络连接安全。

　　3)提供访问控制

　　校园虚拟专用网络要实现为不同需求的用户提供信息安全保护，必须采取相应的访问控制方法，不同授权用户的访问权限不同。

　　4)完善管理平台

　　校园虚拟专用网络服务器应该为校园网用户提供友好的界面设置，提高系统的可操作性。同时，要实现用户访问网络服务器的日志记录、安全审计功能，为网络安全监控提供数据支持。

　　2.2 VPN在校园信息安全管理中的应用方案

　　1)建立校园内部虚拟网(Intranet VPN)

　　高校在不同校区之间创建校园内部虚拟网(Intranet VPN)，可以实现不同校区在不同地域条件下校园内部分支结构的网络连接。不同校区之间建立光纤链路实现网络连接，同时将网络出口设置在新校区，校园网中有多项业务需要经过光纤联络与新校区连接，包括校园一卡通业务、学生成绩管理业务、学生档案管理业务等，这些数据信息涉及个人隐私，因此，可以采用 IPSec VPN技术在不同校区之间的网络连路上进行数据加密，以确保校园数据信息安全。

　　对于校园网的普通用户来说，可以设置相应的安全策略实现不同校区之间的相互访问，安全级别设置为中等即可，否则会给网络系统资源造成浪费，使用户访问校园网时出现速度过慢、无法登陆的问题。对于高校档案、人事、财务等涉及隐私数据部门的用户来说，要采用安全级别较高的二层隔离的方式使用户先与校园网络连接，再通过OSPF路由器选择协议将这些数据信息传输到核心交换机中，最后经过数据加密之后在不同校区之间进行数据传输。

　　在高校不同校区之间要配置网络路由设备，使对校园网络资源发起访问的用户必须经过虚拟专用网络，同时确保论文路由设备具有足够强大的性能，但也要考虑到网络路由设备成本问题。因此，在两个校区都应该配置具有虚拟专用网功能的网络路由设备，再对网络路由设备设置相应的用户访问策略，在不同校区之间创建一个虚拟专用网络通道，确保数据安全传输到指定地址。校园内部虚拟网构建方案。

　　2)建立远程访问虚拟网(Access VPN)

　　创建校园远程访问虚拟网Access VPN指的是在校园内部配置一台虚拟专用网络服务器，远程用户和移动用户可以利用虚拟专用网络系统客户端、虚拟专用网络协议的数据加密及数据封装功能，通过并不安全的开放式互联网接入到校园网中。移动用户和远程用户通过校园远程访问虚拟网络可以使用当地互联网服务商提供的网络接入到校园网络。

　　由于校园内部网络已经配置了路由设备和防火墙设备，且SSL VPN可以嵌入用户浏览器中，工作于网络传输层之上，因此，远程用户可以随时随地连接到校园网络中。但是，远程用户与校园网络的连接需要校园内部网络IP 地址，首先要在校园网络中配置一台DHCP主机服务器，负责为远程用户提供校园内部网络的IP地址。其次，远程用户与校园网络服务器了连接需要获取虚拟专用网络服务器域名，还需要在计算机域名系统中配置虚拟专用网络服务器域名，同时确保远程用户可以随时解析该域名。最后，由校园网络为远程用户提供URL虚拟网络地址，当远程用户提出访问校园网络资源时，该请求会发送到SSL VPN服务器中，经过用户认证之后根据授权分配到不同服务器中，有效保护校园内部网络结构不受到外部非法入侵者的攻击。校园远程访问虚拟网构建方案。

　　3 结束语

　　目前，随着国家教育教学改革的推进，校园信息化建设也被提上了日常，各大高校相继建立了属于自己的校园网络，但校园网络信息安全管理水平普遍不高。本文提出了将虚拟专用网络应用于校园网络中实现信息安全管理，防止校园网络重要数据信息丢失、外界非法入侵、计算机病毒感染等问题，具有一定的理论与现实意义。