校園網(wǎng)結(jié)構(gòu)與安全問題

在教學教育領(lǐng)域，資源共享、教學網(wǎng)絡化、辦公自動化無疑是大勢所趨，為了讓師生之間、教工之間達成互聯(lián)互通，很多中小學校、大學都需要急需建立校園網(wǎng)，然而在校園局域網(wǎng)建設方面，由于各學校的情況不同，應用方向也有差異，導致在建設方案上有一定的區(qū)別，但歸根結(jié)底，校園局域網(wǎng)的基本方案都相似，因此在部署校園局域網(wǎng)時，很多學校部署校園網(wǎng)方案時都會遇到類似的問題，為了校園內(nèi)外"班班通"、"室室通"、"校校通"的目的，我們需要掌握校園的的施工、聯(lián)網(wǎng)、使用與調(diào)式等知識，并對不同方案的部署情況進行詳細思考，根據(jù)學校對信息點的安排和網(wǎng)絡應用的需求，制定合理的校園網(wǎng)總體建設規(guī)劃和實施方案，甚至需要解決一些部署后的實際問題，以滿足目前校園局域網(wǎng)的實際應用需求。

創(chuàng)新互聯(lián)建站服務項目包括鹿邑網(wǎng)站建設、鹿邑網(wǎng)站制作、鹿邑網(wǎng)頁制作以及鹿邑網(wǎng)絡營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，鹿邑網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務的客戶以成都為中心已經(jīng)輻射到鹿邑省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

一、用什么"線"聯(lián)網(wǎng)？

在組建校園局域網(wǎng)時，很多用戶對交換機、路由器、網(wǎng)卡等設備加以重視，這不可否認是正確的，但有時他們卻忽視了一個不起眼的問題，那就是網(wǎng)線，在校園局域網(wǎng)中，一般布線系統(tǒng)有六個子系統(tǒng)組成：建筑群間子系統(tǒng)，設備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)，不同的子系統(tǒng)，設備之間使用的網(wǎng)線也不同，這在很大程度上讓用戶感到迷茫。一般而言，局域網(wǎng)所使用的連線具有雙絞線、同軸電纜、光纜三種，在校園局域網(wǎng)中，需要根據(jù)實際情況，選擇對應的布線線纜比如對于校園內(nèi)樓宇間的連接線纜，由于是暴露在室外，常年受到日曬雨林的影響和雷電的干擾，此時使用光纜作傳輸介質(zhì)最為適宜。因為光纜具有高帶寬，傳輸距離遠，抗干擾能力強、安全性好、抗老化和高壽命等顯著特點，此外，就目前大多數(shù)校園網(wǎng)的應用情況而言，校園網(wǎng)上承載的傳輸信息中，多媒體信息的傳輸量將會越來越大，如多媒體教學，電子閱覽、視屏點播等應用，主干網(wǎng)傳輸介質(zhì)必須具有承載千兆速率的能力，此時只有光纜才能滿足戶外主干網(wǎng)的布線需求。對于同軸電纜，由于貨源難覓，其成本已超過光纜，比較適合短距離的核心設備連接，比如交換機與路由器的連接線纜。

校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地，如果選擇雙絞線，由于沒有屏蔽層，在室外很容易感應雷電而產(chǎn)生干擾，甚至損壞設備。雙絞線因受室外惡劣環(huán)景的影響，容易老化，壽命短。而且雙絞線不容許超過100米，它不適合作連接樓與樓之間的主干電纜。不過對于校園室內(nèi)的布線介質(zhì)，由于需要管理區(qū)子系統(tǒng)并入設備間子系統(tǒng)，集中管理，所以線纜的長度比較大，由于光纜價格昂貴，選擇雙絞線是比較實際的，而且目前的屏蔽雙絞銅線（STP）的抗干擾和傳輸距離比較好，不僅可支持一般的學校信息管理應用對網(wǎng)絡傳輸帶寬的要求，而且完全支持MPEG-2等格式的多媒體信息傳輸。 在校園網(wǎng)局域網(wǎng)中，常用的網(wǎng)絡協(xié)議有NetBEUI、IPX/SPX和TCP/IP三種，在實際組網(wǎng)時，到底選擇哪種網(wǎng)絡協(xié)議，需要根據(jù)校園網(wǎng)的實際規(guī)模、網(wǎng)絡應用需求、網(wǎng)絡平臺兼容性和網(wǎng)絡管理等情況而定。其中NetBEUI協(xié)議是為中小局域網(wǎng)設計，它是用Single-Partnames定義網(wǎng)絡節(jié)點，不支持多網(wǎng)段網(wǎng)絡（不可路由），但具有安裝非常簡單、不需要進行配置、占用內(nèi)存少等特點，因而對于中小學校的局域網(wǎng)而言，由于機器性能比較低，往往只安裝了比老的Windows 95/98/NT系統(tǒng)，只是為了簡單的文件和設備共享，并且暫時沒有對外連接的需要，此時建議選擇NetBEUI協(xié)議進行組網(wǎng)。

對于大學校園局域網(wǎng)而言，由于存在多個網(wǎng)段或要通過路由器與外部相連，加之學校配備的電腦性能比較好，此時NetBEUI協(xié)議就無法滿足組網(wǎng)需求，建議選擇IPX/SPX或TCP/IP協(xié)議組網(wǎng)，其中IPX/SPX 協(xié)議在復雜環(huán)境下具有很強的適應性，具有強大的路由功能，適合于大型網(wǎng)絡使用，不過它局限于使用在NetWare網(wǎng)絡環(huán)境中，在Windows網(wǎng)絡環(huán)境中無法直接使用IPX/SPX通信協(xié)議。不過為了實現(xiàn)與NetWare平臺的互聯(lián)，Windows 系統(tǒng)提供了兩個IPX/SPX兼容協(xié)議：NWLink SPX/SPX和NWLink NetBIOS，前者只能作為客戶端的協(xié)議實現(xiàn)對NetWare服務器訪問，而后者可在NetWare平臺與Windows 平臺之間傳遞信息，也能夠作為Windows系統(tǒng)之間的通信協(xié)議。

盡管如此，大多數(shù)學生、教師依然習慣使用Windows平臺，此時校園網(wǎng)選擇TCP/IP協(xié)議是必然趨勢，無論在局域網(wǎng)、廣域網(wǎng)還是Internet，無論是Unix系統(tǒng)或Windows平臺，TCP/IP協(xié)議都可以實現(xiàn)校園網(wǎng)的組網(wǎng)需要，TCP/IP是一種可路由協(xié)議，它采用一種分級的命名規(guī)則，通過給每個網(wǎng)絡節(jié)點配置一個IP地址、一個子網(wǎng)掩碼、一個網(wǎng)關(guān)和一個主機名，使得它容易確定網(wǎng)絡和子網(wǎng)段之間的關(guān)系，獲得很好的網(wǎng)絡適應性、可管理性和較高的網(wǎng)絡帶寬使用效率。不過TCP/IP協(xié)議的配置和管理比NetBEUI 和IPX/SPX 更復雜，并且占用系統(tǒng)資源更多，所以對于機器性能不高或維護知識不夠的中小學校，TCP/IP協(xié)議在校園網(wǎng)中存在一定的使用門檻。很多中小學校、大學分校依然存在著多個局域網(wǎng)沒有互聯(lián)的情況，此時如果重新進行校園網(wǎng)布局，不僅增加了建設成本，而且對于維護也帶來一定麻煩。為此，學校應該使用適當?shù)木W(wǎng)絡設備，實現(xiàn)多個局域網(wǎng)的互聯(lián)，讓學生、教師、辦公人員可以進行資源共享、網(wǎng)絡互通的目的。比如某中學希望將校園網(wǎng)和教師樓LAN連接起來，而校園網(wǎng)和教師樓LAN之間距離為500米，此時可以使用廉價的10base5方法互聯(lián)，互聯(lián)時使用直徑10mm的50歐姆粗同軸電纜，每個網(wǎng)段允許有100個站點，每個網(wǎng)段最大允許距離為500m，可以由5個500m長的網(wǎng)段和4個中繼器組成，不過這種互聯(lián)方案存在一定的局限性，只適合校園內(nèi)部的局域網(wǎng)互聯(lián)，因而無法滿足大學分校局域網(wǎng)互連的需要。

如果是大學校園網(wǎng)，由于有多個分校，希望將每個分校的局域網(wǎng)進行互聯(lián)，此時采用無線路由器或無線AP進行互聯(lián)，不過無線設備投入成本高，傳輸速率損失嚴重，而且安全性也沒有保障，此時建議采用更為廉價的VPN方案，它可以通過特殊的加密通訊協(xié)議，在連接在Internet上的位于不同地方的兩個或多個校園內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路，這就好比去電信局申請專線，但不用給鋪設線路的費用，也不用購買路由器等硬件設備，而且網(wǎng)絡之間的數(shù)據(jù)交換非常安全，只需選擇支持VPN功能的交換機，防火墻設備，就可以實現(xiàn)多校園網(wǎng)局域網(wǎng)之間的互聯(lián)。

在很多大學校園網(wǎng)中，學生寢室、教師宿舍都與主干網(wǎng)互聯(lián)，在上網(wǎng)高峰階段，一些用戶進行BT下載或玩網(wǎng)絡游戲，使得局域網(wǎng)資源大量占用，造成校園網(wǎng)出口帶寬嚴重不足，速度極慢，給正常的工作帶來了嚴重的影響，甚至會造成校園網(wǎng)癱瘓的尷尬局面，為此，校方可以通過在主服務器上安裝流量控制軟件，讓他們不要使用在線播放音視頻或在線游戲，如發(fā)現(xiàn)者，則封IP 斷網(wǎng)24小時，如果覺得占用系統(tǒng)資源，也可以使用具有網(wǎng)管功能的交換機，通過交換機內(nèi)置的控制程序，對局域網(wǎng)內(nèi)的所有機器進行流量權(quán)限限制使用。

在校園局域網(wǎng)中，遠程控制可能是最常見的教學應用，它可以提高工作效率，充分發(fā)揮校內(nèi)電教設備的利用率，以及加強校園內(nèi)電教設備的管理。比如校園廣播系統(tǒng)，可以播放出操、升旗音樂，上下課音樂鈴聲，課間背景音樂，進行德育教育和外語教學、自辦節(jié)目等，比如大型活動、臨時通知等，往往需要電教員跑到廣播室放音，而且由于放音人員離現(xiàn)聲較遠，很難看清現(xiàn)場的動態(tài)，有時會出現(xiàn)錯誤，帶來不必要損失。遠程控制就解決了問題，只須現(xiàn)場有一根網(wǎng)線就可以在現(xiàn)場控制遠在廣播室的電腦放音。如果現(xiàn)場沒有連接到廣播室的話筒線，還可以通過網(wǎng)絡上的語音軟件與廣播室的電腦進行對話，達到話筒的功能，聲音同樣能在廣播中聽到。

為了實現(xiàn)所有設備的遠程控制，要給每臺電腦都裝網(wǎng)卡，接入校園局域網(wǎng)。內(nèi)部網(wǎng)絡布線到每個教室和辦公室，教師每人一臺筆記本電腦，局域網(wǎng)內(nèi)部建議使用一臺遠程控制服務器，可以讓兼職的網(wǎng)管教師在自己的辦公室或者學校的其它電腦上完成各項管理工作。實際組網(wǎng)時，主控電腦連接校園廣播自動播放系統(tǒng)（一個由一臺電腦通過端口命令管理系統(tǒng)電源開關(guān)的單片機。），然后在服務器、廣播主控電腦、電視編輯機上裝好被控端軟件，添加一個用戶和密碼。安裝語音通話軟件（如MSN、局域網(wǎng)會議系統(tǒng)、企業(yè)QQ、NETMEETING等），在其它電腦上安裝主控端軟件，語音通話軟件。如果有通知或者講話，只要在此同時打開兩臺電腦的語音軟件就可以了。 在校園網(wǎng)局域網(wǎng)中，經(jīng)常遇到一些使用和維護上的問題，比如網(wǎng)卡在重啟時正常檢測，但不能同其他機器互聯(lián)。這主要是由于子網(wǎng)掩碼或IP地址配置錯誤、網(wǎng)線不通、網(wǎng)絡協(xié)議不對、路由不對等幾種情況。解決方法是首先ping本網(wǎng)卡的回送地址（127.0.0.1），若通，則說明本機TCP/IP工作正常；若不通，則需重新配置并重新啟動電腦。有些網(wǎng)卡缺省設置其速率為100M，也會導致網(wǎng)絡不通，需要根據(jù)所連交換機的速率，將其速率設置為10M、100M或設成自適應網(wǎng)線速率。

校園網(wǎng)網(wǎng)絡安全解決方案

校園網(wǎng)網(wǎng)絡是一個分層次的拓撲結(jié)構(gòu)，因此網(wǎng)絡的安全防護也需采用分層次的拓撲防護措施。即一個完整的校園網(wǎng)網(wǎng)絡信息安全解決方案應該覆蓋網(wǎng)絡的各個層次，并且與安全管理相結(jié)合。

一、網(wǎng)絡信息安全系統(tǒng)設計原則

1.1滿足Internet分級管理需求

1.2需求、風險、代價平衡的原ze

1.3綜合性、整體性原則

1.4可用性原則

1.5分步實施原則

目前，對于新建網(wǎng)絡及已投入運行的網(wǎng)絡，必須盡快解決網(wǎng)絡的安全保密問題，設計時應遵循如下思想：

(1)大幅度地提高系統(tǒng)的安全性和保密性；

(2)保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性；

(3)易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

(4)盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴展；

(5)安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；

(6)安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。

基于上述思想，網(wǎng)絡信息安全系統(tǒng)應遵循如下設計原則：

滿足因特網(wǎng)的分級管理需求根據(jù)Internet網(wǎng)絡規(guī)模大、用戶眾多的特點，對Internet/Intranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。

--第一級：中心級網(wǎng)絡，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

--第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計。

-第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護。

需求、風險、代價平衡的原則對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

綜合性、整體性原則應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結(jié)構(gòu)。 可用性原則安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。 分步實施原則：分級管理分步實施由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

二、網(wǎng)絡信息安全系統(tǒng)設計步驟

網(wǎng)絡安全需求分析

確立合理的目標基線和安全策略

明確準備付出的代價

制定可行的技術(shù)方案

工程實施方案(產(chǎn)品的選購與定制)

制定配套的法規(guī)、條例和管理辦法

本方案主要從網(wǎng)絡安全需求上進行分析，并基于網(wǎng)絡層次結(jié)構(gòu)，提出不同層次與安全強度的校園網(wǎng)網(wǎng)絡信息安全解決方案。

三、網(wǎng)絡安全需求

確切了解校園網(wǎng)網(wǎng)絡信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求的基礎。一般來講，校園網(wǎng)網(wǎng)絡信息系統(tǒng)需要解決如下安全問題：

局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實現(xiàn)

在連接Internet時，如何在網(wǎng)絡層實現(xiàn)安全

應用系統(tǒng)如何保證安全性l如何防止黑客對網(wǎng)絡、主機、服務器等的入侵

如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?/p>

加密系統(tǒng)如何布置，包括建立證書管理中心、應用系統(tǒng)集成加密等

如何實現(xiàn)遠程訪問的安全性

如何評價網(wǎng)絡系統(tǒng)的整體安全性

基于這些安全問題的提出，網(wǎng)絡信息系統(tǒng)一般應包括如下安全機制：訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認證、隱藏網(wǎng)絡內(nèi)部信息(如NAT)等。

四、網(wǎng)絡安全層次及安全措施

4.1鏈路安全

4.2網(wǎng)絡安全

4.3信息安全網(wǎng)絡的安全層次分為:鏈路安全、網(wǎng)絡安全、信息安全網(wǎng)絡的安全層次及在相應層次上采取的安全措施見下表。

信息安全信息傳輸安全(動態(tài)安全)數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全(靜態(tài)安全)數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)(CA)

網(wǎng)絡安全訪問控制(防火墻)網(wǎng)絡安全檢測入侵檢測(監(jiān)控) IPSEC(IP安全)審計分析鏈路安全鏈路加密

4.1鏈路安全 鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后的數(shù)據(jù)不能進行路由交換。因此，在加密后的數(shù)據(jù)不需要進行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設備。

一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網(wǎng)，同步線路密碼機則可用于許多專線環(huán)境。

4.2網(wǎng)絡安全 網(wǎng)絡的安全問題主要是由網(wǎng)絡的開放性、無邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡的安全首先應該考慮把被保護的網(wǎng)絡由開放的、無邊界的網(wǎng)絡環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡。也只有做到這一點，實現(xiàn)信息網(wǎng)絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡)與外部不可信任網(wǎng)絡(如因特網(wǎng))之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。

目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結(jié)合。包過濾防火墻通常基于IP數(shù)據(jù)包的源或目標IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協(xié)議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；其缺點是對每種應用協(xié)議都需提供相應的代理程序，并且基于代理的防火墻常常會使網(wǎng)絡性能明顯下降。應指出的是，在網(wǎng)絡安全問題日益突出的今天，防火墻技術(shù)發(fā)展迅速，目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡邊緣功能及網(wǎng)管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功能、NAT功能等等。

信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個良好的開端，但它只能解決60%-80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，這些都是對信息系統(tǒng)安全的挑戰(zhàn)。

信息系統(tǒng)的安全應該是一個動態(tài)的發(fā)展過程，應該是一種檢測——監(jiān)視——安全響應的循環(huán)過程。動態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡安全風險評估和入侵監(jiān)測產(chǎn)品正是實現(xiàn)這一目標的必不可少的環(huán)節(jié)。

網(wǎng)絡安全檢測是對網(wǎng)絡進行風險評估的重要措施，通過使用網(wǎng)絡安全性分析系統(tǒng)，可以及時發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報告系統(tǒng)存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達到增強網(wǎng)絡安全性的目的。

入侵檢測系統(tǒng)是實時網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡上或網(wǎng)絡上任何有風險存在的地方，通過實時截獲網(wǎng)絡數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權(quán)的網(wǎng)絡訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。

另外，使用IP信道加密技術(shù)(IPSEC)也可以在兩個網(wǎng)絡結(jié)點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數(shù)據(jù)完整性機制。利用IP封裝凈載(IP ESP)可以實現(xiàn)通信內(nèi)容的保密。IP信道加密技術(shù)的優(yōu)點是對應用透明，可以提供主機到主機的安全服務，并通過建立安全的IP隧道實現(xiàn)虛擬專網(wǎng)即VPN。目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡加密機，另外，有些防火墻也提供相同功能。

五、校園網(wǎng)網(wǎng)絡安全解決方案

5.1基本防護體系(包過濾防火墻+NAT+計費)

用戶需求：全部或部分滿足以下各項·解決內(nèi)外網(wǎng)絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡·解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN ·根據(jù)IP地址、協(xié)議類型、端口進行過濾·內(nèi)外網(wǎng)絡采用兩套IP地址，需要網(wǎng)絡地址轉(zhuǎn)換NAT功能·支持安全服務器網(wǎng)絡SSN ·通過IP地址與MAC地址對應防止IP欺騙·基于IP地址計費·基于IP地址的流量統(tǒng)計與限制·基于IP地址的黑白名單。

·防火墻運行在安全操作系統(tǒng)之上·防火墻為獨立硬件·防火墻無IP地址解決方案：采用網(wǎng)絡衛(wèi)士防火墻PL FW1000

5.2標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)

用戶需求：在基本防護體系配置的基礎之上，全部或部分滿足以下各項·提供應用代理服務，隔離內(nèi)外網(wǎng)絡·用戶身份鑒別·權(quán)限控制·基于用戶計費·基于用戶的流量統(tǒng)計與控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護能力，防范對防火墻的常見攻擊

解決方案：

(1)選用網(wǎng)絡衛(wèi)士防火墻PL FW2000 (2)防火墻基本配置+網(wǎng)絡加密機(IP協(xié)議加密機)

5.3強化防護體系(包過濾+NAT+計費+代理+VPN+網(wǎng)絡安全檢測+監(jiān)控) 用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項·網(wǎng)絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關(guān)設備) ·操作系統(tǒng)安全性檢測·網(wǎng)絡監(jiān)控與入侵檢測

解決方案：選用網(wǎng)絡衛(wèi)士防火墻PL FW2000+網(wǎng)絡安全分析系統(tǒng)+網(wǎng)絡監(jiān)控器

學校、教師和學生應如何預防和應對網(wǎng)絡、信息安全事故?

學校的責任，購買防火墻等硬件設備

老師的責任，部署殺毒軟件，設置安全策略，加強管理

學生的責任，遵守計算機教室的規(guī)章制度，聽從老師的指導。

安全最薄弱的一環(huán)恰恰就是學生那一環(huán)，因此，除了加強管理和教育以外，真的別無良策。

網(wǎng)絡安全技術(shù)的問題及解決方案

園網(wǎng)絡技術(shù)安全問題解決方案

隨著網(wǎng)絡的高速發(fā)展，網(wǎng)絡的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實做好網(wǎng)絡安全建設和管理工作。但是在高校網(wǎng)絡建設的過程中，由于對技術(shù)的偏好和運營意識的不足，普遍都存在"重技術(shù)、輕安全、輕管理"的傾向，隨著網(wǎng)絡規(guī)模的急劇膨脹，網(wǎng)絡用戶的快速增長，關(guān)鍵性應用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務并重的帶有運營性質(zhì)的網(wǎng)絡，校園網(wǎng)在學校的信息化建設中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡能正常的運行不受各種網(wǎng)絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網(wǎng)絡安全問題刻不容緩。

字串8

一、目前校園網(wǎng)絡中存在的安全問題

字串2

1、網(wǎng)絡安全方面的投入嚴重不足，沒有系統(tǒng)的網(wǎng)絡安全設施配備

字串5

大多數(shù)學校網(wǎng)絡建設經(jīng)費嚴重不足，所以就將有限的經(jīng)費投在關(guān)鍵設備上，對于網(wǎng)絡安全建設一直沒有比較系統(tǒng)的投入，致使校園網(wǎng)處在一個開放的狀態(tài)，沒有任何有效的安全預警手段和防范措施。 字串3

2、 學校的上網(wǎng)場所管理較混亂 字串7

由于缺乏統(tǒng)一的網(wǎng)絡出口、網(wǎng)絡管理軟件和網(wǎng)絡監(jiān)控、日志系統(tǒng)，是學校的網(wǎng)絡管理各自為政，缺乏上網(wǎng)的有效監(jiān)控和日志，上網(wǎng)用戶的身份無法唯一識別，存在極大的安全隱患。

字串1

3、 電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段

字串1

電子郵件既是互聯(lián)網(wǎng)必不可少的一個應用之一，同時也是病毒和垃圾的重要傳播手段。目前絕大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費版本的郵件系統(tǒng)，不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合國家對安全郵件系統(tǒng)的要求，出現(xiàn)問題時也無法及時有效的解決

字串4

4．網(wǎng)絡病毒泛濫，造成網(wǎng)絡性能急劇下降，很多重要數(shù)據(jù)丟失，損失不可估量。 字串2

網(wǎng)絡病毒的肆虐傳播，極大的消耗了網(wǎng)絡資源；造成網(wǎng)絡性能下降，單純單機殺毒軟件已經(jīng)不能滿足用戶的需求，迫切需要集中管理、統(tǒng)一升級、統(tǒng)一監(jiān)控的針對網(wǎng)絡的防病毒體系。

字串7

5.網(wǎng)絡安全意識淡薄，沒有指定完善的網(wǎng)絡安全管理制度 字串9

校園網(wǎng)絡上的用戶安全意識淡薄，大量的非正常訪問導致網(wǎng)絡資源的浪費，同時也為網(wǎng)絡的安全帶來了極大的安全隱患。 字串5

綜上所述，校園網(wǎng)絡安全的形勢非常嚴峻，為解決以上安全隱患和漏洞，結(jié)合校園網(wǎng)特點和現(xiàn)今網(wǎng)絡安全的典型解決方案和技術(shù)，航天聯(lián)志公司根據(jù)多年對校園網(wǎng)絡的深刻理解，提出了以下校園網(wǎng)絡安全解決方案。 字串2

二、校園網(wǎng)絡安全解決方案

字串9

1、規(guī)范出口的管理 字串4

實施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡安全體系能夠得以實施。為校園網(wǎng)的安全提供最基礎的保障。

字串1

2、 配備完整的、系統(tǒng)的網(wǎng)絡安全設備

字串4

在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡安全控制和監(jiān)管設備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡版的防病毒系統(tǒng)等。另外配置安全設備既要考慮到功能，同時也必須考慮性能和可擴展性，以避免成為網(wǎng)絡的瓶頸。通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡的故障可以迅速定位并解決。

字串7

3、 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認證系統(tǒng) 字串7

校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題，而身份認證系統(tǒng)是整個校園網(wǎng)絡安全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。

字串6

4．嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 字串1

上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。 字串8

5． 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能

字串9

針對目前郵件系統(tǒng)存在的安全隱患，航天聯(lián)志結(jié)合國內(nèi)知名的郵件安全系統(tǒng)提供商美訊智推出了專門針對校園網(wǎng)的郵件安全系統(tǒng)。該系統(tǒng)具有強大的高準確率和低誤報率，使被垃圾郵件的準確率高達98%；而且獨特的策略模塊可以幫助用戶簡單輕松的視線郵件系統(tǒng)的管理與維護；全面防護針對傳輸層25端口的攻擊，防止郵件地址泄露，保障郵件系統(tǒng)的安全；通過直觀的圖標和多種查詢方式全面顯示郵件的應用情況并可以及時調(diào)整策略設定。這些優(yōu)秀的功能為校園網(wǎng)的郵件安全帶來了堅實的防護。

字串2

6．根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡安全管理制度

字串7

網(wǎng)絡安全建設是"三分設備，七分管理"，沒有切實可行的安全保障體系和制度，網(wǎng)絡安全就變成了空談。隨著網(wǎng)絡技術(shù)的迅速發(fā)展和上網(wǎng)用戶對網(wǎng)絡的了解程度越深，網(wǎng)絡安全的形式就越嚴峻，這也從近幾年互聯(lián)網(wǎng)絡安全問題頻頻出現(xiàn)得到印證。而網(wǎng)絡安全的技術(shù)又是非常復雜和廣泛的，現(xiàn)狀還是"道高一尺，魔高一丈"，這樣，管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡的監(jiān)控和管理。另外，學校必須頒布網(wǎng)絡行為規(guī)范和具體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡的隱患。

字串3

互聯(lián)網(wǎng)絡的飛速發(fā)展，對校園網(wǎng)絡中師生的生活和學習已經(jīng)產(chǎn)生了深遠的影響，網(wǎng)絡在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識到，網(wǎng)絡安全問題的日益嚴重也越來越成為網(wǎng)絡應用的巨大阻礙，校園網(wǎng)絡安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡安全問題，校園網(wǎng)絡的應用才能健康、高速的發(fā)展。

網(wǎng)絡安全的解決方案!急,滿意再給100!

談對網(wǎng)絡安全的認識

近幾年來，網(wǎng)絡越來越深入人心，它是人們工作、學習、生活的便捷工具和豐富資源。但是，我們不得不注意到，網(wǎng)絡雖然功能強大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高達75億美元，而全球平均每20秒鐘就發(fā)生一起Internet 計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經(jīng)濟損失。人們在利用網(wǎng)絡的優(yōu)越性的同時，對網(wǎng)絡安全問題也決不能忽視。作為學校，如何建立比較安全的校園網(wǎng)絡體系，值得我們關(guān)注研究。

建立校園網(wǎng)絡安全體系，主要依賴三個方面：一是威嚴的法律；二是先進的技術(shù)；三是嚴格的管理。

從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認證、訪問控制、安全路由、網(wǎng)絡防病毒等，這些技術(shù)對防止非法入侵系統(tǒng)起到了一定的防御作用。代理及防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù)，普遍運用于校園網(wǎng)安全建設中。

網(wǎng)絡現(xiàn)狀

我校是一所市一級中學，目前有兩所網(wǎng)絡教室、200多臺教學辦公電腦，校園網(wǎng)一期工程為全校教教學教研建立了計算機信息網(wǎng)絡，實現(xiàn)了校園內(nèi)計算機聯(lián)網(wǎng)，信息資源共享并通過中國公用Internet網(wǎng)（CHINANET）與Internet互連，校園網(wǎng)結(jié)構(gòu)是：校園內(nèi)建筑物之間的連接選用多模光纖，以網(wǎng)管中心為中心，輻射向其他建筑物，樓內(nèi)水平線纜采用超五類非屏雙絞線纜。3Com 4900交換機作為核心交換機；二級交換機為3Com 3300。

安全隱患

當時，校園網(wǎng)絡存在的安全隱患和漏洞有：

1、校園網(wǎng)通過CHINANET與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。

2、校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡的結(jié)構(gòu)和應用模式都比較了解，因此來自內(nèi)部的安全威脅更大一些。現(xiàn)在，黑客攻擊工具在網(wǎng)上泛濫成災，而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。

3、目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡安全構(gòu)成了威脅。我校的網(wǎng)絡服務器安裝的操作系統(tǒng)有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系統(tǒng)：本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞，這些都對原有網(wǎng)絡安全構(gòu)成威脅。

4、隨著校園內(nèi)計算機應用的大范圍普及，接入校園網(wǎng)節(jié)點日漸增多，而這些節(jié)點大部分都沒有采取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重后果。

由此可見，構(gòu)筑具有必要的信息安全防護體系，建立一套有效的網(wǎng)絡安全機制顯得尤其重要。

措施及解決方案

根據(jù)我校校園網(wǎng)的結(jié)構(gòu)特點及面臨的安全隱患，我們決定采用下面一些安全方案和措施。

一、安全代理部署

在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺安全代理（ISA），并具防火墻等功能，形成內(nèi)外網(wǎng)之間的安全屏障。其中WWW、MAIL、FTP、DNS對外服務器連接在安全代理，與內(nèi)、外網(wǎng)間進行隔離。那么，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務（如WWW、MAIL、FTP、DNS等），既保護內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。在安全代理設置上可以按照以下原則配置來提高網(wǎng)絡安全性：

1、據(jù)校園網(wǎng)安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“關(guān)閉一切，只開有用”的原則。

2、安全代理配置成過濾掉以內(nèi)部網(wǎng)絡地址進入Internet的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡的IP包，防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊。

3、安全代理上建立內(nèi)網(wǎng)計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。

4、定期查看安全代理訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄，并保留日志90天。

5、允許通過配置網(wǎng)卡對安全代理設置，提高安全代理管理安全性。

二、入侵檢測系統(tǒng)部署

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡管理和網(wǎng)絡監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡管理員事后分析的依據(jù)；如果情況嚴重，系統(tǒng)可以發(fā)出實時報警，使得學校管理員能夠及時采取應對措施。

三、漏洞掃描系統(tǒng)

采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。

四、諾頓網(wǎng)絡版殺毒產(chǎn)品部署

在該網(wǎng)絡防病毒方案中，我們最終要達到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實現(xiàn)這一點，我們應該在整個網(wǎng)絡內(nèi)可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡的防病毒體系，應能實現(xiàn)遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

1、在學校網(wǎng)絡中心配置一臺高效的Windows2000服務器安裝一個諾頓軟件網(wǎng)絡版的系統(tǒng)中心，負責管理200多個主機網(wǎng)點的計算機。

2、在各行政、教學單位等200多臺主機上分別安裝諾頓殺毒軟件網(wǎng)絡版的客戶端。

3、安裝完諾頓殺毒軟件網(wǎng)絡版后，在管理員控制臺對網(wǎng)絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。

4、網(wǎng)管中心負責整個校園網(wǎng)的升級工作。為了安全和管理的方便起見，由網(wǎng)絡中心的系統(tǒng)中心定期地、自動地到諾頓網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它200多個主機網(wǎng)點的客戶端與服務器端，并自動對諾頓殺毒軟件網(wǎng)絡版進行更新，使全校的防毒病毒庫始終處于最新的狀態(tài)。

五、劃分內(nèi)部虛擬專網(wǎng)（VLAN），針對內(nèi)部有效VLAN設置合法地址池，針對不同VLAN開放相應端口，阻止廣播風暴發(fā)生。

六、實時升級Windows2000 Server、IE等各軟件補丁，減少漏洞；實行個人辦公電腦實名制。

七、安全管理

常言說：“三分技術(shù)，七分管理”，安全管理是保證網(wǎng)絡安全的基礎，安全技術(shù)是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡安全管理模式，制定詳細的安全管理制度，如機房管理制度、病毒防范制度、上網(wǎng)規(guī)定等，同時要注意物理安全，防止設備器材的暴力損壞，防火、防雷、防潮、防塵、防盜等，并采取切實有效的措施保證制度的執(zhí)行。

近幾年，通過對以上措施的逐步實施，我校校園網(wǎng)絡能鴝安全正常運行，為學校教育教學工作的順利開展提供了有力輔助，并漸入佳境。