论文部分内容阅读
摘 要 高校信息化建设的开展,教学、科研、办公、生活对于校园网平台的依赖性越来越强,?信息资源已成为各高校的战略资源,其安全性越来越受到各高校的重视。分析了高校各种数字资源及其使用的方法,研究了通过网络远程安全共享的各种方式,本文提出一种可靠方便的策略实现高校信息资源在开放网络中的安全远程使用
关键词 高校信息资源 安全策略 远程访问
一、前言
随着高校网络的建设,越来越多的信息资源被放置到校园网络中共享使用,比如如数字图书、购买的电子期刊网络、购买的国内外各种专业数据库、网络课程数据库、课程试题库、学校数字文化数据库、电子讲义、教学素材库、教学网站等。信息资源的交流能力与水平以及信息资源的共享程度也已成为衡量一所高校综合实力的重要指标之一,信息资源已成为高校的战略资源。随着高校的信息化建设,学校各种信息管理系统采用网络模式,也使教务、OA、财务、后勤、科研、学生、人力资源等管理系统也成为信息资源,方便了校园网络用户使用。随着高校规模的扩大和经济的发展,许多教职员工和与学生住在学校外面,教与学的活动没有时间的限制特性,如何解决在校外师生的远程安全访问学校的信息资源已经成为校园网应用发展的一个关键点。本文通过研究高校网络的常用出口结构,分析各种信息资源的使用和共享的方式,设计了一种比较合适当前高校信息资源远程安全访问策略和机制,可以促使学校信息资源的共享,推动教学和科学研究的发展。
二、高校校园网互联体系结构
高校网络基本上使用了当前最新的网络技术连接学校的各个职能部门、研究室、实验室、学生宿舍和教师公寓。多校区的高校,多数也是通过部署单模光纤把校区连接起来形成一个单个的校园网络。校园网的拓扑结构有很多种,当前最多的是核心交换机方式的千兆以太网或万兆以太网络,形成一个星型的拓扑结构。网络的出口都有中国教育科研计算机网络CERNET,方便地访问各个高校与科研院所的资源;通过向清华大学网络中心的教育网总出口购买流量的方式可以访问各个公共网络和国外网络。有的学校为了加快访问公网和国外网络的速度,设置另外一个接口连接电信网络或其他广域网络,
三、高校信息资源远程访问研究
高校的信息资源分布在各个职能部门、院系以及研究部门和信息中心,部署在各个局域网中。很多资源直接把应用界面模块提供给通过校园内部用户使用。外部网络的用户如果要使用局域网的资源,要以电话线方式登录到系统的远程服务器上,通过用户名和密码的校验认证后,进入系统后使用资源。因为当前家庭或学生外部宿舍都采用小区宽带、光纤入户或XDSL等模式连接到公共网络,不可能切换到另外一种拨号方式使用学校的资源,同时该方式网络速度也比较慢,限制了很多资源的使用,比如多媒体课件资源和视频资源的播放。为此学校的各种资源访问必须采用开放的形式,能够被所有校园网络用户可以通过互联的外部网络直接使用学校信息资源和各种管理系统系统。
基于TCP/IP网络的远程资源共享方式与资源的属性有很大的关系,比如文件共享可以采用FTP的模式,用户名和密码认证使用FTP工具软件即可;EMAIL可以通过设置POP3和SMTP协议服务器,采用各种电子邮件客户端来使用;各种信息管理系統也可以设置WEB模式提供通过外网的访问;其他的资源必须采用专门的客户端软件,访问控制信息资源的服务器才可以共享学校的资源。
当前通过网络共享高校资源的方式以可用性为目的,几乎都是简单的用户名和密码方式的简单认证。在开放的网络中,该方式几乎没有什么安全性可言。懂得简单网络安全的人可以非常容易的盗用高校的网络资源,比如CNKI、万方数据库、国内外的各种专业数据库或者实验室研究室的数据和成果。为了保护知识产权,提高信息资源的安全共享,多数系统服务采用指定IP地址范围的形式限定网络用户,而采用公共网络远程访问用户其IP地址几乎是变化的,即使IP地址固定也会因为远程使用用户比较分散不容易控制;这些都限制了安全远程共享学校的信息资源,造成学生的学习与生活、教师科研人员的教学与研究变非常不方便。
为了提高信息资源的安全共享,应为校外用户与共享资源之间建立一个安全的通道,而且该通道的成本比较低,使用方便。最为简单的形式是采用VPN(VirtualPrivateNetwork,虚拟专用网)技术。VPN利用隧道技术,把数据封装在隧道协议中,通过已有的公网建立隧道,从而实现点到点或端到端的联接,构建在逻辑上独立于公网的专用网络。但VPN需要通过特殊设计的硬件和软件直接共享的IP网所建立虚拟的加密通道连接,也需要为每个局域网的资源提供一个专门的硬件服务器,或者交换机、路由器提供的VPN功能模块,需要IPSec协议支持。这些限制了校外用户对校内信息资源的访问。
对于WEB形式的信息资源可以采用SSL的方式加以控制,但是对于高校资源的使用来说,用户一般是需求数据量很大,安全造成效率低,该方式只能局限于WEB形式。为此需要研究出符合校外用户访问校内共享资源合适的方式,以不改变用户使用习惯,可以方便安全高效的完成信息资源共享为目标。
四、远程访问策略
在WindowsNT中,远程连接的授权只能靠授予用户账户拨入权限来实现,而Windows200OServer新增了远程访问策略,可以更灵活、更方便地实现远程连接的授权,这样就可以将用户账户的拨入属性和远程访问策略结合起来实现复杂的访问权限设置。
(一)远程访问策略简介
远程访问策陷是针对远程连接(拨号连接或VPN连接)设置的一组条件和权限,用于规定用户的远程访问权限。用户只有在符合远程访问策略的前提下,才能连接到远程访问服务器,并根据远程访问策略的规定访问远程访问服务器及其网络资源。使用远程访问策略,可以根据所设条件(如时间限制、连接类型限制等)来授权。
Windows2000远程访问服务器和Internet验证服务器(IAS)都使用远程访问策略来限制连接尝试。远程访问策略集中在本地存储,对于Windows2000远程访问服务器来说,通过路由和远程访问服务控制台来集中管理,远程策略存储在远程访问服务器上;对于Windows200OIAS服务器来说,通过Internet验证服务管理器来管理,远程访问策略集中存储在IAS服务器上。如果将远程访问服务器配置为RDIUS客户机,则存储在该远程访问服务器上的策略将不再被应用。 远程访问策略与windows2000的组策略不同,远程访问策略不能存储在活动目录中。
远程访问策略实际上就是一种规则,由条件、远程访问权限和配置文件(Profile)3个部分构成。
条件就是应用远程访问策略的前提。如果有多个条件,连接尝试应匹配所有的条件。
远程访问权限是由用户账户远程访问权限和远程访问策路权限共同决定的,用户账户远程访问权限优先于策略远程访问权限。只有当用户账户上的远程访问权限被设置为“通过远程访问策略控制访问”选项时,策略远程访问权限才能决定是否授予用户访问权限。
配置文件用来进一步限制连接,只有选中“授予远程访问权限”选项,配置文件才能生效。
对每个用户账户授予或拒绝远程访问权限。
(二)远程访问策略应用流程
了解远程访问策略作用的流程,便于管理员正确地应用远程策略。当用户进行连接尝试时,将通过以下步骤逐步进行检查,以决定是否授予访问权限。
1、首先检查远程访问策略列表中的第一个策略。如果没有任何策略,将拒绝连接尝试。
2、如果连接尝试与该策略的所有条件都不匹配,则转到下一个策略。如果没有其他策略,则拒绝连接
如果一个策略中含有多个条件,就必须符合所有条件,才能算作匹配该策略。如果一个策略也没有,将不能建立连接。如果连接尝试没有找到一个匹配的策略,也不能建立连接。
3、如果该策略的所有条件都与连接尝试相匹配。则检查尝试连接的用户账户的远程访问权限设置。
4、根据用户账户的远程访问权限设置来决定下一步的连接尝试。
如果选中了[拒绝访问],则拒绝连接尝试。
如果选中了[允许访问],则通过检查用户账户属性和策略配置文件属性来决定连接尝试。有两种情况:(1)如果连接尝试与用户账户属性和配置文件属性的设置不匹配,则拒绝连接尝试。(2)如果连接与用户账户属性和策路配置文件属性的设置匹配,则接受连接尝试。
如果选中[通过远程访问策略控制访问],将通过检查策略的远程访问权限设置来决定连接尝试。有两种情况;(1)如果选中[拒绝远程访问权限],则拒绝连接尝试。(2)如果选中[授予远程访问权限],则通过检查用户账户属性和策略配置文件属性来决定连接尝试,还有两种情况:(1)如果连接尝试与用户账户属性和策略配置文件属性的设置不匹配,则拒绝连接尝试。(2)如果连接尝试与用户账户属性和配置文件属性的设置匹配,则接受连接尝试。
5、如果接受连接尝试,则将策略配置文件属性应用于远程连接。策略配置文件将最终决定是否拒绝连接尝试,或者根据条件中断已经建立的连接。
如果连接与第一个匹配远程访问策略的配置文件或用户账户设置不匹配,则不会尝试其他远程访问策略。远程访问策略按顺序进行尝试,通常都是将较特殊的远程访问策略按顺序放置在较普遍的远程访问策略之前。使用远程访问策略,只有在连接尝试的设置与远程访问策略相匹配时,才会授权连接。如果连接尝试的设置至少与远程访问策略中的一个不匹配,不管用户账户的拨入属性如何设置,都将拒绝连接尝试。
五、总结
远程访问策略实际上就是一种规则,由条件、远程访问权限和配置文件(Profile)3个部分构成 远程访问权限是由用户账户远程访问权限和远程访问策路权限共同决定的,用户账户远程访问权限优先于策略远程访问权限。只有当用户账户上的远程访问权限被设置为"通过远程访问策略控制访问"选项时,策略远程访问权限才能决定是否授予用户访问权限。了解远程访问策略作用的流程,便于管理员正确地应用远程策略。
参考文献:
[1]高校信息资源远程访问研究,时间:2008作者:佚名.
[2]网络访问控制助网络做到无懈可击,作者:网管联盟整理2003.
[3]基于策略的安全访问控制系统在局域网中的应,2003来自网络文章.
[4]浅析高校图书馆网络安全問题及其应对策略,来源:网络文章2008.
[5]如何创建访问策略作者:协议分析网2007.
关键词 高校信息资源 安全策略 远程访问
一、前言
随着高校网络的建设,越来越多的信息资源被放置到校园网络中共享使用,比如如数字图书、购买的电子期刊网络、购买的国内外各种专业数据库、网络课程数据库、课程试题库、学校数字文化数据库、电子讲义、教学素材库、教学网站等。信息资源的交流能力与水平以及信息资源的共享程度也已成为衡量一所高校综合实力的重要指标之一,信息资源已成为高校的战略资源。随着高校的信息化建设,学校各种信息管理系统采用网络模式,也使教务、OA、财务、后勤、科研、学生、人力资源等管理系统也成为信息资源,方便了校园网络用户使用。随着高校规模的扩大和经济的发展,许多教职员工和与学生住在学校外面,教与学的活动没有时间的限制特性,如何解决在校外师生的远程安全访问学校的信息资源已经成为校园网应用发展的一个关键点。本文通过研究高校网络的常用出口结构,分析各种信息资源的使用和共享的方式,设计了一种比较合适当前高校信息资源远程安全访问策略和机制,可以促使学校信息资源的共享,推动教学和科学研究的发展。
二、高校校园网互联体系结构
高校网络基本上使用了当前最新的网络技术连接学校的各个职能部门、研究室、实验室、学生宿舍和教师公寓。多校区的高校,多数也是通过部署单模光纤把校区连接起来形成一个单个的校园网络。校园网的拓扑结构有很多种,当前最多的是核心交换机方式的千兆以太网或万兆以太网络,形成一个星型的拓扑结构。网络的出口都有中国教育科研计算机网络CERNET,方便地访问各个高校与科研院所的资源;通过向清华大学网络中心的教育网总出口购买流量的方式可以访问各个公共网络和国外网络。有的学校为了加快访问公网和国外网络的速度,设置另外一个接口连接电信网络或其他广域网络,
三、高校信息资源远程访问研究
高校的信息资源分布在各个职能部门、院系以及研究部门和信息中心,部署在各个局域网中。很多资源直接把应用界面模块提供给通过校园内部用户使用。外部网络的用户如果要使用局域网的资源,要以电话线方式登录到系统的远程服务器上,通过用户名和密码的校验认证后,进入系统后使用资源。因为当前家庭或学生外部宿舍都采用小区宽带、光纤入户或XDSL等模式连接到公共网络,不可能切换到另外一种拨号方式使用学校的资源,同时该方式网络速度也比较慢,限制了很多资源的使用,比如多媒体课件资源和视频资源的播放。为此学校的各种资源访问必须采用开放的形式,能够被所有校园网络用户可以通过互联的外部网络直接使用学校信息资源和各种管理系统系统。
基于TCP/IP网络的远程资源共享方式与资源的属性有很大的关系,比如文件共享可以采用FTP的模式,用户名和密码认证使用FTP工具软件即可;EMAIL可以通过设置POP3和SMTP协议服务器,采用各种电子邮件客户端来使用;各种信息管理系統也可以设置WEB模式提供通过外网的访问;其他的资源必须采用专门的客户端软件,访问控制信息资源的服务器才可以共享学校的资源。
当前通过网络共享高校资源的方式以可用性为目的,几乎都是简单的用户名和密码方式的简单认证。在开放的网络中,该方式几乎没有什么安全性可言。懂得简单网络安全的人可以非常容易的盗用高校的网络资源,比如CNKI、万方数据库、国内外的各种专业数据库或者实验室研究室的数据和成果。为了保护知识产权,提高信息资源的安全共享,多数系统服务采用指定IP地址范围的形式限定网络用户,而采用公共网络远程访问用户其IP地址几乎是变化的,即使IP地址固定也会因为远程使用用户比较分散不容易控制;这些都限制了安全远程共享学校的信息资源,造成学生的学习与生活、教师科研人员的教学与研究变非常不方便。
为了提高信息资源的安全共享,应为校外用户与共享资源之间建立一个安全的通道,而且该通道的成本比较低,使用方便。最为简单的形式是采用VPN(VirtualPrivateNetwork,虚拟专用网)技术。VPN利用隧道技术,把数据封装在隧道协议中,通过已有的公网建立隧道,从而实现点到点或端到端的联接,构建在逻辑上独立于公网的专用网络。但VPN需要通过特殊设计的硬件和软件直接共享的IP网所建立虚拟的加密通道连接,也需要为每个局域网的资源提供一个专门的硬件服务器,或者交换机、路由器提供的VPN功能模块,需要IPSec协议支持。这些限制了校外用户对校内信息资源的访问。
对于WEB形式的信息资源可以采用SSL的方式加以控制,但是对于高校资源的使用来说,用户一般是需求数据量很大,安全造成效率低,该方式只能局限于WEB形式。为此需要研究出符合校外用户访问校内共享资源合适的方式,以不改变用户使用习惯,可以方便安全高效的完成信息资源共享为目标。
四、远程访问策略
在WindowsNT中,远程连接的授权只能靠授予用户账户拨入权限来实现,而Windows200OServer新增了远程访问策略,可以更灵活、更方便地实现远程连接的授权,这样就可以将用户账户的拨入属性和远程访问策略结合起来实现复杂的访问权限设置。
(一)远程访问策略简介
远程访问策陷是针对远程连接(拨号连接或VPN连接)设置的一组条件和权限,用于规定用户的远程访问权限。用户只有在符合远程访问策略的前提下,才能连接到远程访问服务器,并根据远程访问策略的规定访问远程访问服务器及其网络资源。使用远程访问策略,可以根据所设条件(如时间限制、连接类型限制等)来授权。
Windows2000远程访问服务器和Internet验证服务器(IAS)都使用远程访问策略来限制连接尝试。远程访问策略集中在本地存储,对于Windows2000远程访问服务器来说,通过路由和远程访问服务控制台来集中管理,远程策略存储在远程访问服务器上;对于Windows200OIAS服务器来说,通过Internet验证服务管理器来管理,远程访问策略集中存储在IAS服务器上。如果将远程访问服务器配置为RDIUS客户机,则存储在该远程访问服务器上的策略将不再被应用。 远程访问策略与windows2000的组策略不同,远程访问策略不能存储在活动目录中。
远程访问策略实际上就是一种规则,由条件、远程访问权限和配置文件(Profile)3个部分构成。
条件就是应用远程访问策略的前提。如果有多个条件,连接尝试应匹配所有的条件。
远程访问权限是由用户账户远程访问权限和远程访问策路权限共同决定的,用户账户远程访问权限优先于策略远程访问权限。只有当用户账户上的远程访问权限被设置为“通过远程访问策略控制访问”选项时,策略远程访问权限才能决定是否授予用户访问权限。
配置文件用来进一步限制连接,只有选中“授予远程访问权限”选项,配置文件才能生效。
对每个用户账户授予或拒绝远程访问权限。
(二)远程访问策略应用流程
了解远程访问策略作用的流程,便于管理员正确地应用远程策略。当用户进行连接尝试时,将通过以下步骤逐步进行检查,以决定是否授予访问权限。
1、首先检查远程访问策略列表中的第一个策略。如果没有任何策略,将拒绝连接尝试。
2、如果连接尝试与该策略的所有条件都不匹配,则转到下一个策略。如果没有其他策略,则拒绝连接
如果一个策略中含有多个条件,就必须符合所有条件,才能算作匹配该策略。如果一个策略也没有,将不能建立连接。如果连接尝试没有找到一个匹配的策略,也不能建立连接。
3、如果该策略的所有条件都与连接尝试相匹配。则检查尝试连接的用户账户的远程访问权限设置。
4、根据用户账户的远程访问权限设置来决定下一步的连接尝试。
如果选中了[拒绝访问],则拒绝连接尝试。
如果选中了[允许访问],则通过检查用户账户属性和策略配置文件属性来决定连接尝试。有两种情况:(1)如果连接尝试与用户账户属性和配置文件属性的设置不匹配,则拒绝连接尝试。(2)如果连接与用户账户属性和策路配置文件属性的设置匹配,则接受连接尝试。
如果选中[通过远程访问策略控制访问],将通过检查策略的远程访问权限设置来决定连接尝试。有两种情况;(1)如果选中[拒绝远程访问权限],则拒绝连接尝试。(2)如果选中[授予远程访问权限],则通过检查用户账户属性和策略配置文件属性来决定连接尝试,还有两种情况:(1)如果连接尝试与用户账户属性和策略配置文件属性的设置不匹配,则拒绝连接尝试。(2)如果连接尝试与用户账户属性和配置文件属性的设置匹配,则接受连接尝试。
5、如果接受连接尝试,则将策略配置文件属性应用于远程连接。策略配置文件将最终决定是否拒绝连接尝试,或者根据条件中断已经建立的连接。
如果连接与第一个匹配远程访问策略的配置文件或用户账户设置不匹配,则不会尝试其他远程访问策略。远程访问策略按顺序进行尝试,通常都是将较特殊的远程访问策略按顺序放置在较普遍的远程访问策略之前。使用远程访问策略,只有在连接尝试的设置与远程访问策略相匹配时,才会授权连接。如果连接尝试的设置至少与远程访问策略中的一个不匹配,不管用户账户的拨入属性如何设置,都将拒绝连接尝试。
五、总结
远程访问策略实际上就是一种规则,由条件、远程访问权限和配置文件(Profile)3个部分构成 远程访问权限是由用户账户远程访问权限和远程访问策路权限共同决定的,用户账户远程访问权限优先于策略远程访问权限。只有当用户账户上的远程访问权限被设置为"通过远程访问策略控制访问"选项时,策略远程访问权限才能决定是否授予用户访问权限。了解远程访问策略作用的流程,便于管理员正确地应用远程策略。
参考文献:
[1]高校信息资源远程访问研究,时间:2008作者:佚名.
[2]网络访问控制助网络做到无懈可击,作者:网管联盟整理2003.
[3]基于策略的安全访问控制系统在局域网中的应,2003来自网络文章.
[4]浅析高校图书馆网络安全問题及其应对策略,来源:网络文章2008.
[5]如何创建访问策略作者:协议分析网2007.