(安全生产)校园网安全方案
校园网安全方案
加入时间:2008-1-11 15:53:02来自:admin点击:3343
安全策略越来越成为学校计算机网络的关键因素。特别是随着多协议新业务的发展、电子商务、网上办公、各种中间业务的应用,学校网络不再是一个封闭的网络,极大地扩展了学校的业务,提高了学校的竞争力,但同时也带来网络安全的风险。网络设计中必须制定网络安全策略,保证内部网络的完整性和安全性。
所谓安全威胁,就是未经授权,对位于服务器、网络和桌面的数据和资源进行访问,甚至破坏或者篡改这些数据/资源。从安全威胁的对象来看,可以分为网络传送过程、网络服务过程和软件应用过程三类。网络传送过程主要针对数据链路层和网络层协议特征中存在的漏洞进行攻击,如常见的监听、ip地址欺骗、路由协议攻击、ICMP Smurf攻击等;网络服务过程主要是针对TCP/UDP以及局域其上的应用层协议进行,如常见的UDP/TCP欺骗、TCP流量劫持、TCP Dos、FTP反弹、DNS欺骗等等;软件应用过程则针对位于服务器/主机上的操作系统以及其上的应用程序,甚至是基于WEB的软件系统发起攻击。从安全威胁的手法来看,蠕虫、拒绝服务、舰艇、木马、病毒……都是常见的攻击工具。
宝鸡职业学院网络安全体系架构为学校提供整体的、可扩展的、高性能的、灵活的安全解决方案。采用模块化的方法根据用户需求制定安全的设计、实施和管理。在设计每个模块时,都考虑到一些关键的因素,包括潜在可能的威胁或侵入及相应的对策、性能(不能因为安全控制带来不可接受的性能下降)、可扩展性、可管理性、服务质量和语音的支持等。
1路由器和交换机的安全功能
博达路由器实现的网络安全技术有:
VPN技术:IPSec、GRE
包过滤技术
AAA技术、Radius、Tacacs+认证
日志功能
NAT网络地址转换
PPP协议PAP、CHAP认证
PPP协议Callback技术
IP地址-MAC地址绑定技术
路由信息认证技术
IEEE 802.1Q VLAN技术
安全措施
7610、S8506、S6806和S2224提供了丰富的安全技术和措施。较为有效的措施有:设备本身的安全管理,包括设置用户管理权限,用户密码等;用户接入的认证,可以提供802.1X,Web 认证等多种用户认证方式;端口和MAC地址等的绑定和过滤功能,端口用户数限制等功能。其他的辅助措施还包括广播风暴抑制,端口限速等。
1.1基于包过滤的防火墙技术
博达路由器支持基于包过滤的防火墙技术,防火墙访问列表根据IP报文的IP报头及所承载的上层协议(如TCP)报头中的每一个域包含了可以由路由器进行处理的信息。包过滤通常用到的IP报文的以下属性:
IP的源、目的地址及协议类型
TCP或UDP的源、目的端口
ICMP码、ICMP的类型码
TCP的标志域
服务类型TOS
IP报文的优先级(precedence)
博达路由器的访问表还提供了基于时间的包过滤,可以规定过滤规则发生作用的时间范围,在此时间范围以外,不进行由时间定义的访问规则判断。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用,在应用上提供极大的灵活性。
1.2 AAA技术、Radius、Tacacs+认证
博达路由器AAA技术提供了对用户的验证、授权和记帐功能。
(1)验证功能
各种用户(包括登录、拨号接入用户等)在获得访问网络资源(包括路由器)之前必须先经过验证。验证时可以选择是采用本地维护的用户数据库,还是采用Radius服务器所维护的用户数据库,或者是采用Tacacs+服务器所维护的用户数据库。
博达路由器支持与AAA技术相结合的Radius、Tacacs+认证。
(2)授权功能
通过定义一组属性来限定用户的权限信息,来确定用户的访问权限。这些信息存放在相应的用户数据库内。
(3)记帐功能
该功能使得路由器可以对用户访问的网络资源进行跟踪记录,当选择了该项功能时,用户的访问信息便会存入相应的用户数据库内,根据数据库,就可以产生各类用户帐单信息。
1.3日志功能
日志(log)功能用于将路由器产生的各种信息以日志形式记录到具备Syslog功能的主机上(如Unix主机或运行Syslogd的主机)。日志功能与访问列表功能相结合可以任意定义所要记录的信息,以备查用,如跟踪记录黑客攻击报文等。
1.4 NAT网络地址转换技术
网络地址转换,用来实现内部网络私有地址和外部网络公共地址的相互转换,它的优点在于避免了内部非法地址和外部公共地址间的冲突,屏蔽了内部网络的实际地址,隐藏了内部网络的结构,增强了对外部网络访问的可控性,也增强了外部网络对内部网络访问的可控性。
博达路由器支持静态地址翻译(SNAT)、端口地址翻译(PAT)、动态地址翻译(DNAT)。可以支持带访问列表的地址转换,用来限定可以进行地址转换的内部主机地址,有效地控制内部主机对外部网络的访问;同时还可以根据地址池,进行多对多的地址转换,合理地利用公共的合法IP地址资源;利用网络地址转换,可以在屏蔽内部地址的同时,确保了对外的各种网络服务的安全性。
1.5 IP地址-MAC地址绑定技术
MAC地址绑定技术是通过在路由器中静态配置IP地址和MAC地址的映射关系来完成ARP应答来实现的。原理如图所示:
博达ARP代理技术
可以看到,路由器不再动态的响应来自局域网的主机的ARP请求,当接收到一个ARP请求时,路由器首先检查请求报文的源IP地址,然后在自己的静态映射表中寻找与此相对应的MAC地址,如果没有寻找到相关映射,将对此报文不作任何处理,通信也就无法实现,从而保证了可能由无效IP地址的主机发起的攻击。如果寻找到相关映射,就回答一个ARP响应,当响应报文中的目的MAC地址域的值是用映射表中的MAC地址填充的,而不是依据请求报文中的源MAC地址域的地址值。这样,只有请求报文的MAC和静态映射的MAC一致时(即没有伪装IP),通信才可以建立,否则,如图所示,通信也不可能建立,从而防止IP地址的欺骗。
这种技术可以在S8510、S6806等交换机上实现。
1.6动态路由协议认证技术
路由器是根据路由信息来发送报文的,而路由信息恰恰又是通过网络在不同的路由器间转发的。所以,在接受任何路由信息之前,有必要对该信息的发送方进行认证,以确保收到的路由信息是合法的。需要对邻接路由器进行路由信息认证的有以下几种:
? Open Shortest Path First(OSPF)
? Routing Information Protocal Version 2(RIP-v2)
博达路由器支持RIP-v2、OSPF动态路由协议MD5认证。
1.7访问控制
也可以在核心交换机S8510或者汇聚交换机S6806上设置访问控制,比如限制不同网段之间的互访,但是允许这两个网段对中心服务器的访问。设置允许两个网段上特定的主机可以访问外
网和Internet等。
在核心交换机上可以设置ACL访问控制列表,端口监控等,控制和管理特定服务,如允许Http、Mail、Ftp等服务,而禁止其他不需要的服务和端口,如禁止外部发起的ICMP报文等;采用NAT地址转换技术,实现上网。可以采用静态、动态NAT,PAT等多种方式,对于内部某些对外的服务器,如Web服务器、Mail服务器、DNS服务器、FTP服务器等,可以采用静态NAT 方式建立内外网地址和特定端口之间的静态映射。而一般用户可以采用动态地址池,端口地址转换等方式实现上网。
同时,可以结合博达产品具有的time-range等功能,实现定时上网、定时开放服务等功能。1.8 ARP防范
博达交换机具有以下四种ARP防范技术:
1、在接口下过滤ARP报文,防止冒充网关。
2、在接口下对ARP报文进行IP+MAC绑定,防止对网关的欺骗。
3、免费发放ARP RESPONSE报文,纠正主机错误的网关。
4、在接口下配置Filter功能,防ARP扫描攻击。
通过以上的四个功能,可以完全做到对arp欺骗和攻击的防治,其中,将arp报文的IP与MAC 绑定这一功能可以彻底防止arp欺骗,但大的网络中实施起来有可能工作量比较大。因此我们一般情况下可以只启用第一个功能,防止伪造网关的MAC地址,通常的ARP病毒就这这种类型。如果有需要才将主机的IP+MAC绑定,对于DHCP环境,我们可以在DHCP Server上进行
IP+MAC绑定,即:给特定的MAC地址分配特定的IP地址,再在交换机上做ARP的IP+MAC 绑定。
防arp攻击这项功能,在统计周期和吞吐量的设定上最好使用默认配,只需要在全局和端口下开启此功能即可。
免费发放arp response报文是一个辅助手段,它可以让已经被欺骗的主机自动纠正过来,减少了维护的工作量。
可以在汇聚交换机S6806上实现这个功能。防御接入层用户区域的ARP攻击或欺骗。
1.9主机的安全
主机是最可能被攻击的目标之一,同时从安全方面也有最多的困难。学校网中有很多不同的硬件平台、操作系统、和应用程序。因为主机要向网络中其他机器提供服务,所以主机在网络中必须是可见的,因此主机是最可能被尝试侵入的。
为保证主机的安全,需要注意到系统中的每一部件。保持操作系统和防毒软件的及时的更新;安装适当的经过测试的补丁程序。
2防火墙的安全功能
博达博御系列防火墙是目前在国内市场技术最为先进、产品线最为丰富的网络主动防护体系产品。
博御系列防火墙不仅能够完美地处理来自协议层的安全威胁,为了能够更好地解决我们上面所提到的安全威胁——基于应用层的安全问题。我们必须能够分析应用层的协议,从而根据不同的应用层协议提供相应的安全解决方案。
2.1网络面临的威胁
宝鸡职业技术学院当前面临的威胁主要集中在以下几个方面:
人为的无意失误:
如安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人、或与别人共享信息资源等都会对网络安全带来威胁。电力中心或分中心主机存在系统漏洞,主机管理员安全意识和知识较差,容易被攻击者利用后通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。
人为的恶意攻击:
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。
网络和系统软件的漏洞和“后门”:
随着各类网络和操作系统软件的不断更新和升级,由于边界处理不善和质量控制差等综合原因,网络和系统软件存在越来越多的缺陷和漏洞,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件,当前世界范围内出现大量黑客攻入电力网络内部的事件,这些事件大部分就是因为安全控制措施不完善所导致的。另外,软件的“后门”有些是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。
各类内外安全风险和威胁的具体表现形式主要有:
UNIX和Windows主机操作系统存在安全漏洞。
Oracle,Sybase、MS SQL等主要关系型数据库的自身安全漏洞。
重要应用系统的安全漏洞,如:MS IIS或Netscape WEB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。
核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。
利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击),导致网络瘫痪。
网络中打开大量的服务端口(如RPC,FTP,TELNET,SMTP,FINGER等),容易被攻击者利用。
黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、拒绝服务攻击、分布式拒绝服务攻击,造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。
内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。
系统及网络设备的策略(如防火墙等)配置不当
关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。
应用软件的潜在设计缺陷。
内部人员的误用和滥用,据统计,70%以上的成功攻击来自于企业系统内部。
病毒、蠕虫以及恶意代码的威胁:
目前网络病毒传播的形式日益复杂多样,病毒的智能化程度越来越高,破坏性大,难于彻底清除,据权威机构统计,2001年感染计算机病毒的数量占被调查用户的73%,2002年占83.98%,计算机病毒2001年造成损失的占被调查用户的43%,2002年则升至64.05%,对网络与应用安全造成极大的威胁。
随着企业内部协同工作电子化的发展,电子邮件应用日益普及,病毒又找到了一条重要的入侵的渠道。根据国际计算机安全协会(ICSA)1998年的报告,因使用电子邮件而中毒的事件已占所有中毒事件的38%,2000年已达86%。包括微软在内的全球著名企业,都先后遭受过来自电子邮件的美丽莎病毒(Melissa)、蠕虫病毒(EXPLOREZIP)、爱虫病毒(I LOVE YOU)的攻击,致使企业邮件服务器关闭、企业内重要资料丢失。保护邮件服务器免受病毒攻击的重要性应放在相当高的地位。
进入2003年以来网络蠕虫病毒频频发作,从SQL SLAMMER蠕虫到WINDOWS DCOM RPC 蠕虫,无不给用户和网络带来巨大的损失,而且现今病毒和黑客技术互相融合,给病毒的防范和查杀也带来的巨大的挑战,迫切需要一个完整高效的网络防毒杀毒体系。
垃圾邮件的威胁:
根据中国互联网协会公布的《2003年中国垃圾邮件状况调查报告》,中国电子邮件用户平均每人每天收到垃圾邮件1.85封,占收到邮件总数26.2%。中国用户每年收到垃圾邮件为460亿封,占全球垃圾邮件量10.4%。每年浪费在处理垃圾邮件上的时间高达15亿小时,由垃圾邮件浪费的中国GDP在2003年高达48亿元人民币,我国拥有邮件服务器的企业普遍受到垃圾邮件的侵扰,有的企业每年要为应付垃圾邮件投入上百万元设备和大量人力。
另根据2004年6月30日以色列反垃圾邮件公司Commtouch的研究报告,目前全球垃圾邮件中,56%起源于美国,8.95%起源于韩国,中国以6.9%排名第三;但是却有71%垃圾邮件指向了中国的服务器!——即中国虽然不是垃圾邮件的最大制造者,却已经成为垃圾邮件的最大发送者,甚至发生了中国的服务器被国外联合封锁的事件。更糟糕的是,这两个数字正在呈迅速增长的态势。
由此可以看出,垃圾邮件已经成为中国信息化进程中一个严重的危害,不仅造成了巨大的经济损失,而且在某种程度上影响到了社会安定与团结。遏制垃圾邮件泛滥,成为中国互联网行业和广大用户面临的一个重大而急迫的课题。于是2004年初,公安部、教育部、信息产业部、国务院新闻办四部委联合发布《公安部、教育部、信息产业部、国务院新闻办关于开展垃圾电子邮件专项治理工作的通知》集中开展反垃圾邮件行动,并要求邮箱数量在1000个以上的科研院所和企事业单位,都要采取有效的措施防范和打击垃圾邮件,拉开了中国防垃圾邮件市场的序幕。
2.2博御防火墙主要安全功能
状态检测包过滤技术:
博御系列防火墙采用了基于状态检测的包过滤技术,实现了快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。通过记录新建应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在系统中记录下该连接的相关信息,生成状态表。对该连接的后续数据包,只要符合状态检查表,就可以快速通过。这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是通过专门设计的算法实现同一连接的后续数据包(通常是大量的数据包)直接进入状态检查,从而较大提升系统性能。
基于安全域的访问控制:
博御系列防火墙基于安全域进行访问控制,将从接口的访问控制上升到基于安全域的访问控制。博御系列防火墙从体系结构上抛弃了传统防火墙的内外概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有极大的灵活性。博御系列防火墙可以根据企业的安全需求将不同网段划分成独立的安全域,通过在这些安全域间加载独立的访问控制策略来限制不同信任度网络之间的相互访问,也就是说,博御系列防火墙提供了更加细粒度的安全控制,这样即使某个低安全等级的区域出现了安全裂缝,但由于受到博御系列防火墙的控制,其它安全域也不会受其影响。
基于地址对象的访问控制:
为了改善博御系列防火墙的可管理性,我们抽象出了地址对象的概念。地址对象涵盖的范围包括一台主机、一个子网或者是一个地址范围,还是以上几种地址对象集合。
基于时间的访问控制:
为了能够更细致地进行访问控制,我们提供了时间对象,它主要描述两个时间约束,一个是工作日的约束,另一个是时间的约束。
流量整形:
带宽管理模块提供了针对带宽资源的分配控制能力,对所有网络流量划分优先级以保证关键任务的服务质量,从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。带宽管理策略可以按照接口、方向、优先级等来对流量进行分级以满足企业不同层面的需求。
多协议支持:
基于状态的博御系列防火墙在跟踪连接状态时,为了能够正常的处理单会话多连接的应用,博御系列防火墙能够对多种应用层协议提供支持。目前博御系列防火墙支持FTP、TFTP、IRC、MMS、H.323、ORACLE等特殊协议。
Anti-DoS:
博御系列防火墙的协议栈能够自动屏蔽掉针对分片的攻击,如Ping of Death,Tear Drop等。同时博御系列防火墙也能够检测并防御Winnuke、Land、ICMP Flood、UDP Flood、Port Scan、Address Sweep等六种攻击,并提供攻击计数器和日志。对于臭名昭著的SYN Flood,博御系列防火墙内置的SYN-Proxy机制提供了对SYN Flood攻击的完美保护。
提供透明方式的接入:
当博御系列防火墙处于透明模式时,它工作在ISO七层模型中的第二层,在这种情况下,它相当于一个二层交换机。这个特性使博御系列防火墙能够具有极佳的适应能力,使用户无需改变网络拓扑就可以实现全方面的安全解决方案,降低因为增加网络安全而导致的管理开销。
支持IEEE 802.1Q的VLAN:
提供对IEEE 802.1Q的支持,极大的扩展了博御系列防火墙的适应能力,使其与三层交换机配合得天衣无缝,增强了博御系列防火墙在网络中的布置灵活性。同时博御系列防火墙还提供对透明模式下的IEEE 802.1Q数据报得透明处理,极大地方便了用户。
支持路由模式、透明模式、NAT模式及混合模式:
在大型网络中,网络建设是先于网络安全的建设。当用户打算进行网络安全建设时,往往会存在一些关键应用是依赖于网络拓扑的,所以这些关键应用间是必须采用透明模式的,而其他的则应该采用更灵活的路由模式,这样将会导致在同一个博御系列防火墙上会存在透明模式和路由模式共存的情况,如果这两个部分不能互通,这将会导致应为引入安全而导致人工割裂了用户的整个网络。然而博御系列防火墙提供混合模式,以保证不会因为引入安全需求而导致割裂用户网络的整体性。
支持策略路由:
在大型网络中,其接入往往不止是由一个ISP接入的,很可能存在多个ISP地接入情况。在面临这种拓扑时,大多数安全设备只能望而却步,通过折衷的方案来满足用户的需求,然而博御系列防火墙提供了策略路由的支持,使博御系列防火墙能够同时处理6个ISP接入的情况,极大地拓展了博御系列防火墙适应能力。
提供基于IPSEC、PPTP和L2TP的VPN支持:
基于IPSEC协议的VPN完全兼容并符合IPSEC标准定义,从而保证了与其它支持IPSEC的系统和设备的互联互通。支持手工密钥和自动密钥两种协商方式并支持DES、3DES、AES、Blowfish、Twofish、Serpent等多种加密算法和MD5、SHA1、SHA2_256、SHA2_512多种认证算法。支持完美的前向加密,增强了数据的私密性。
博御系列防火墙的IPSEC VPN还支持NAT穿越、星型部署、动态对等方和透明模式下的支持,极大地拓展了博御系列防火墙的布置范围,使之具有极佳的灵活性。
基于PPTP的VPN则严格遵循行业标准,以保证与其它系统或设备的互联互通。博御系列防火墙的PPTP支持MS-CHAP和MS-CHAP V2身份认证协议。
基于L2TP的VPN同样遵循行业标准,确保与其它系统或设备的互联互通。博御系列防火墙的L2TP支持PAP、MS-CHAP和MS-CHAP V2身份认证协议。同时还可与IPSEC配合实现L2TP over IPSEC,极大地保证了L2TP的私密性。
提供基于HTTP、SMTP、POP3协议的病毒检测:
具有业界领先的病毒检测引擎,通过Patten Matching模式、Heuristics模式、Emulation模式等多种模式检测病毒,目前能够扫描出10万多种病毒,支持包括zip、gzip、rar、arp、pklite 等多种压缩格式文件病毒检测,支持病毒库的自动更新以提供对最新病毒的防御。同时根据不同的性能需求,博御系列防火墙还可以提供基于硬件的病毒检测辅助芯片,以提升系统的性能。
基于HTTP协议的病毒检测方案具有良好的并发能力,从而使因病毒检测功能的引入对系统性能的影响降到最低。为了提供良好的可管理性,博御系列防火墙可以定制对某些指定扩展名或某些MIME类型的数据流不进行检测病毒,以提高检测病毒性能;
博御系列防火墙的HTTP的解决方案还提供病毒通知功能,以利于管理员统计病毒的爆发情况。为了审计的需求,所有的病毒感染事件都自动会登记到审计事件中。
基于POP3协议的病毒检测方案能支持多种编/解码格式,例如MIME/1.0和UUEncode。为了避免用户的邮件丢失,博御系列防火墙提供了可疑邮件的隔离策略,即对所有感染病毒的邮件在指定存储空间中保留副本,以降低数据丢失的风险。博御系列防火墙的POP3解决方案提供了邮件和审计两种病毒感染事件。
基于SMTP协议的病毒检测方案能支持多种编解码格式,例如MIME/1.0和UUEncode。支持多种SMTP AUTH方式,以提高系统的可扩展性。博御系列防火墙的SMTP解决方案提供了邮件和审计两种病毒感染事件。
功能强大的NAT:
在IP地址短缺的今天,NAT成了网络设备必不可少的一项功能。博御系列防火墙提供丰富的NAT支持,支持1:1的地址映射、N:M方式的地址转换、PAT方式的地址转换和基于Round Robin 方式的服务器负载均衡。
丰富的管理方式:
博御系列防火墙的权限分级满足权限分级(对应TCSEC B1要求)。目前提供安全管理员、审计管理员、系统管理员和guest等四种角色。同时提供基于SSH、Telnet和Console的命令行管理方式、基于SSL的WEB管理方式和基于SNMP V2的网管平台。
高可用性:
对于大型网络,用户通常会采用冗余的网络节点来避免单点失败。为了提高博御系列防火墙的适应能力和可扩展能力,通过避免单点失败来提高系统的可靠性功能是博御系列防火墙一项重要的功能;基于VRRP协议的博御系列防火墙HA特性,提供对链路、系统的故障检测、极低的主从切换时间,并能够支持手工强制切换。
认证和授权:
博御系列防火墙本身提供一个内建认证数据库,以满足基本的认证需求,同时支持Radius、
Tacacs+、LDAP等多种方式外部认证数据库,使其能更好地适应用户的不同规格的需求。
丰富的调试工具:
博御系列防火墙提供了几种主要的网络调试和测试工具,主要包括ping、traceroute、telnet和数据报文分析工具。
强大的系统监控能力:
博御系列防火墙提供实时监控系统的CPU利用率、各个物理接口的使用情况和链路情况,能够监控系统中的所有并发连接和某条策略授权的所有连接的创建时间、持续时间、上行/下行流量、网络层信息等。
多种接入能力:
提供对DHCP Relay、DHCP Server、PPPoE的全面支持,使具有良好的适应能力,以满足不同网络布置的需求,降低系统管理开销。
丰富的日志和审计方式:
提供配置日志、事件日志和流量日志等三种日志,有利于用户进行日志分析,支持根据用户的需求将日志发送到共享内存、控制台、终端和远程主机等多种方式的能力。流量日志还符合NetIQ WebTrends标准格式,以便可以通过NetIQ WebTrends来进行流量的日志分析
2.3硬件优势
1.独立总线(Independent BUS)
传统的PC构架的硬件通常只有一根系统总线,所有网络接口卡共享一根总线与内存子系统通
讯,这种处理方式在数据流量非常大的时候就会出现系统的不同网络接口卡争夺总线带宽问题,系统会发生严重丢包,双向流量严重不均衡,甚至不能进行正常响应。博御系列防火墙采用高速多系统总线结构,为防火墙每个网络接口卡使用一根独立的高速系统总线(64位66M),保证了流量很大情况下的通畅,不会出现总线带宽争夺问题。
2.病毒检测专用处理器
病毒检测、内容过滤等内容级的处理都是资源密集型,对于通用处理器而言,其根本不可能满足千兆防火墙的性能要求,所以我们采用了Virus-Detection Engine协处理器来协助通用处理器处理这些资源密集型任务。
2.4特色安全优势
? 深度包检测引擎使防火墙具备超强内容过滤能力
? 病毒引擎可检测HTTP、SMTP、POP3等协议中的病毒与木马
? 病毒引擎具备识别9千余种蠕虫能力并具有内部蠕虫警告能力
? 病毒库能检测近10万种病毒并可在线自动升级
? 基于硬件的病毒检测引擎, 更能提升系统效率
? 支持脚本内容过滤(如:JavaScript、JavaApplet和ActiveX等)
? 攻击防护可对多种攻击提供检测和防御,特有的SYN-Proxy机制可对SYN-Flood提供完美防护
? 提供符合GB/T 18336-2001安全设计要求的分级管理体系
? 支持AAA等多种用户认证方式和审计
? 精细粒度的Traffic Shaper提供保证带宽、最大带宽、上下行流量管理和带宽优先级设置,确保关键服务的QOS,充分满足用户网络带宽管理的各种需求
? 特有的IDS Mirror Port 方便网管监控网络活动并可与IDS联动响应
? 支持802.1q VLAN协议和子接口划分,为企业内网管理问题提供彻底解决方案
? 支持标准的IPSec、PPTP、L2TP over IPSec VPN,提供IPSec VPN Client
? 桥下VPN功能不需对网络地址重新规划就可让数据享受高强度安全防护
? 支持VPN 的NAT-T(NAT穿越)能力以及星型连接等多种VPN部署方式
? 可支持后台多台服务器的超强负载均衡能力
? 小于1秒的HA快速切换能力可避免因单点故障而导致的关键业务失败
? 提供策略路由,可支持多ISP接入
? 提供Web、SSH、Telnet、SNMP和GSM等多种管理手段
? 支持Syslog、E-mail、Snmp Trap等多种告警方式,支持Webtrends日志格式
3构筑整体的网络安全架构
3.1 ARP攻击防范和伪DHCP防范以及其他
ARP攻击和伪DHCP的最终目的都是为了欺骗其他用户,在成功欺骗用户认定自己为网关后,以达到窃取用户信息的目的,而目很多交换机仅仅是通过IP+MAC+端口的方式来实现防护,但
是这种方法一耗时二费力,在汇聚交换机上进行绑定是不现实的方法。
博达针对ARP攻击的四种解决办法:
情况一:
在二层半(三层)交换机上做端口安全绑定,对ARP报文进行过滤,在所有的用户端口过滤掉Sender Internet Addr为网关IP的ARP报文。在连接网关的上联口不做过滤。这样可解决伪造网关MAC,对主机的欺骗。
情况二:
在二层半(三层)交换机上做端口安全绑定,对ARP报文进行过滤,只允许符合访问列表定义IP+MAC ARP报文通过,可解决伪造主机的IP、MAC,对网关(主机)的欺骗。
情况三:
博达全系列交换机会自动对CPU进行监控,ARP病毒会对CPU进行洪泛攻击,当流量太大以至于CPU符合超过70%时,芯片对到CPU的报文进行流量限制,直到CPU恢复正常,保证系统的稳定。
核心三层交换机上可以开启IP filter 功能,当某个IP进行扫描或者BT下载时,会产生大量的ARP报文,IP filter 可以设置arp报文门限值,单位时间超过数量的IP将会被暂时BLOCK掉,过一段时间再自动解禁。
情况四:
在二层半(三层)接入交换机上启用DHCP Snooping功能,端口对PC申请IP地址过程进行跟踪记录,自动绑定到相应的端口,没有经过合法申请IP地址的PC无法通过交换机上网,中毒机器被自动的单独隔离。
校园网的ARP防范方案:
方案一:
校园网的分布层交换机为三层交换机,支持硬件ACL功能。这样就可以将中毒机器单独隔离。
解决办法:
在二层半(或者三层)交换机端口上手工添加IP+MAC绑定,交换机端口芯片则会根据所绑定的信息对所有报文进行检查,不匹配的报文将被丢弃
而且当ARP报文内部内容部分(sender address项)不符合绑定内容或者伪造有假网关信息,则该ARP报文也会被丢弃,该过程由硬件完成,对交换性能无影响。
中毒机器被单独隔离,所有PC的IP地址被绑定,不会再有IP冲突的问题。
方案二:
校园网网络分为核心、分布、接入三层。其中分布层交换机都是三层交换机,接入层为二层交换机,所以在分布层上进行帮定比较合适,但是由于点数太多,无法手工进行IP+MAC绑定,所以要借用DHCP的功能进行自动绑定。
解决办法:
网络中设置一台DHCP服务器,所有PC都通过DHCP自动获得IP地址,在这个过程中,分布层的二层半交换机或三层交换机开启DHCP snooping功能,交换机会自动侦听DHCP分配地址的过程,将其中有用的IP+MAC地址信息记录下来,自动绑定到相应的端口上,免去了手工添加大量IP+MAC地址的麻烦。
针对伪DHCP欺骗:
我们将用户端口设置为非信任端口,非信任端口下是不允许接DHCP服务器的,所以即使有伪DHCP服务器挂在内网,也不会欺骗到其他的用户。
针对用户私改IP地址:
内网用户都是通过自动获取地址的方式上网,但是如果有用户手动篡改自己的IP修改为其他用户通过自动获取得来的IP,这样就会导致正常用户发现内网地址有重复,可能会导致此用户不能上网。
针对这种情况,我们在汇聚层交换机开启DHCP snooping分发地址保护功能,一旦用户获取到了一个地址,那么交换机就会对这个分发出去的IP和用户的MAC进行保护,自动绑定到对应端口,其他用户即使手动篡改为此IP,修改者也发现无法上网,而正常获取到地址的用户还是正常上网。
3.2 FLOOD攻击防范、环路检测防范
FLOOD攻击是比较头疼的问题,攻击者会不停的发送目的为非本网段的数据包,直至网关设备
校园网络规划设计方案
校园网络设计方案
第一章建网原则 实际上,我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况,严重脱离中国的国情和经济发展现状,要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮,重点中学和好一点的乡镇中小学开始全面装备286、386计算机,当时的计算机每台近两万元左右,使用不到两年,软件升级,WINDOS全面取代DOS系统,286、386计算机全面淘汰(由此全国又损失数百亿元).这时候486计算机全面登场,并立即淘汰,586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中,就不停的跟在后面赶,不停的被淘汰,由于有些学校领导片面追求时髦、面子,而给学校和国家造成了无法估计的损失。 现在教育部提出:一定的时间内在国内普及信息技术教育,实行"校校通"工程;可是由于一些大的计算机厂家在不停的炒作,进行误导,使得我们有些学校校长、少数教育领导干部头脑发热起来了,认为:校校通就是校园网,校园网就是计算机网;学校为了完成上面下达的任务,不顾本校的实际情况,不顾当地的实际情况,大规模的建
设计算机网,造成学校大量负债,而这个所谓的校园网自从建立起 来后就面临着淘汰,为什么呢?目前,我国大部份的学校连基本的广播网、有线电视网都没有,有的学校的教师连计算机的最简单的常识也没有,更谈不上如何使用它们。在上述情况下,我们在进行校园网建设的过程中应该保持清醒的头脑,花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善,而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式:图像,声音,文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲,广播系统传播的范围最广。从设备的增值性来看:最实用的是计算机,其次是教育系统应用软件和广播系统。因此,我们在建校园网时,应先从简易经济和适用的系统做起,再建计算。 第二章校园网的规划设计 2.1校园网建设核心 随着网络规模的扩大和用户数量迅速增加,并且由于院校合并形成了分布于多个校区的校园网,网络结构日趋复杂,网络结点数剧
大学校园网设计方案组图
最佳校园工程设计帖-某大学校园网设计方案(组图) 概述 总设计师:讲师 机构:国家重点大学院校 校园占地面积:146.57万平方米 校舍建筑面积:1070875.64平方米 教职工人数:2000 学生总数::1.7万余人 网络面临的挑战:建立一个可扩展的、高速的、充分冗余的、基于标准的网络,该网络能够支持融合了话音、视频、图像和数据的应用程序。 关键网络系统:3640路由器、2950 24口交换机(2950-24)、3550交换机、4006交换机
网络解决办法: 对校园网系统整体方案设计 对访问层交换机进行配置 对分布层交换机进行配置 对核心层交换机进行配置 对广域网接入路由器进行配置 对远程访问服务器进行配置 对整个校园网系统进行诊断 分析: 路由、交换与远程访问技术不仅仅是思科的课程及考试的重点。更是现代计算机网络领域中三大支撑技术体系。它们几乎涵盖了一个完整园区网实现的方方面面。常常有学员说无法学以致用,其实,课程中的每个章节都对应着实际工程中的每个小的案例。只不过,实际工程是各个小案例的综合。在遇到一个实际工程的时候,我们不防采用自顶向下、模块化的方法、参考3层模型来进行工程的设计和实施。 路由技术:路由协议工作在参考模型的第3层,因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表(,),路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本工程案例设计中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。 交换技术:传统意义上的数据交换发生在模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了园区网数据交换的效率,更大大增强了园区网数据交换服务质量,满足了不同类型网络应用程序的需要。现代交换网络还引入了虚拟局域网(,)的概念。将广播域限制在单个内部,减小了各间主机的广播通信对其他的影响。在间需要通信的时候,可以利用间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用中继协议(,)简化管理,它只需在单独一台交换机上定义所有。然后通过协议将定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:访问层、分布层、核心层。访问层为所有的终端用户提供一个接入点;分布层除了负责将访问层交换机进行汇集外,还为整个交换网络提供间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。在本工程案例设计中,也将采用这三层进行分开设计、配置。 远程访问技术:远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。企业用户可以根据所需带宽、本地服务可用性、花费等因素
厘莫中学校园网网络安全管理制度
厘莫中学校园网网络安全管理制度I中学安全管 理制度 厘莫中学校园网网络安全管理制度 一、校园网的安全运行和所有网络设备的管理维护工作由学校网络管理中心负责。 二、网络管理中心机房要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备帐目,认真做好各项资料(软)的记录、分类和妥善保存工作。 三、除网络管理中心外,其他单位或个人不得以任何方式试图登陆校园网后台管理端,不得对服务器等设备进行修改、设置、删除等操作。 四、校园网对外发布信息的WEB服务器中的内容,必须经发布信息的学校部门负责人审核并签署意见后,交校办公室审核备案,由网络管理中心从技术上开通其对外的信息服务。 五、网络使用者不得利用各种网络设备或软技术从事用户账户及口令的侦听、盗用活动,该活动被认为是对校园网网络用户权益的侵犯。
六、为防范黑客攻击,校园网出口处应设置硬防火墙。若遭到黑客攻击,网络管理中心必须在二十四小时内向当地县以上公安机关报告。 七、严禁在校园网上使用来历不明及可能引发计算机病毒的软。外来软应使用经公安部门颁发了《计算机信息系统安全专用产品销售许可证》的杀毒软检查、杀毒。 八、不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。 九、校园网的系统软、应用软及信息数据要实施保密措施。信息资源分不同的保密等级对学校各部门开放。 十、对校园网站内各交互栏目实现管理员24小时巡查制度,双休日、节假日,要有专人检查网络运行情况。 十 一、学校网络管理中心必须遵守国家公安部及省公安厅关于网络管理的各项法律、法规和有关技术规范。合理对系统进行安全配置,落实各项网络安全技术防护措施,完善系统定期维护更新措施,落实垃圾邮、有害信息过滤、封堵技术措施,严格防范病毒、木马、黑客等网络攻击。 十二、服务器系统及各类网络服务系统的系统日志、网络运行日志、用户使用日志等均应严格按照保留60天的要求设置,邮
大岭山镇中心小学校园网络安全管理制度
大岭山镇中心小学校园网络安全管理制度为了保护学校校园网络系统的安全、促进学校计算机网络的应用和发展、保证校园网络的正常运行和网络用户的使用权益,制定本安全管理制度: 1、校园网络使用者必须遵守国家有关法律、法规,必须遵守《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统国际互联网保密管理规定》。 2、校园网络的所有用户必须接受学校依法进行监督检查和采取的必要措施。遵守学校的管理制度,爱护网络设备,正确使用网络设备,保证网络设备的正常运行。 3、网络管理中心机房要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。 4、除信息处外,其他单位或个人不得以任何方式试图登陆校园网后台管理端,不得对服务器等设备进行修改、设置、删除等操作。 5、校园网对外发布信息的WEB服务器中的内容,必须经发布信息的学校部门负责人审核,交校办公室审核备案,由信息处从技术上开通其对外的信息服务。 6、网络使用者不得利用各种网络设备或软件技术从事用户账户及口令的侦听、盗用活动,该活动被认为是对校园网网络用户权益的侵犯。 7、为防范黑客攻击,校园网出口处应设置硬件防火墙。若遭到黑客
攻击,网络管理中心必须在二十四小时内向当地镇以上公安机关报告。 8、严禁在校园网上使用来历不明及可能引发计算机病毒的软件。外来软件应使用经公安部门颁发了《计算机信息系统安全专用产品销售许可证》的杀毒软件检查、杀毒。 9、不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。 10、校园网的系统软件、应用软件及信息数据要实施保密措施。信息资源分不同的保密等级对学校各部门开放。 11、对校园网站内各交互栏目实现管理员24小时巡查制度,双休日、节假日,要有专人检查网络运行情况。 12、学校网络管理中心必须遵守国家公安部及省公安厅关于网络管理的各项法律、法规和有关技术规范。合理对系统进行安全配置,落实各项网络安全技术防护措施,完善系统定期维护更新措施,落实垃圾邮件、有害信息过滤、封堵技术措施,严格防范病毒、木马、黑客等网络攻击。 13、服务器系统及各类网络服务系统的系统日志、网络运行日志、用户使用日志等均应严格按照保留60天的要求设置,邮件服务器系统严禁使用匿名转发功能。
校园网络安全防护解决方案
校园网安全防护解决方案
提纲
校园安全防护需求分析 校园安全防护解决方案 典型案例
https://www.360docs.net/doc/e35390841.html,
2
职业院校网络面临的安全问题
出口网络问题:多出口,高带宽,网络结构复杂 P2P应用已经成为校园主流 病毒、蠕虫传播成为最大安全隐患 核心网络问题:缺少相应的安全防护手段 无法对不同区域进行灵活的接入控制 主机众多管理难度大 数据中心问题: 缺少带宽高高性能的防护方案 无法提供有效的服务器防护 数据中心网络资源有限但浪费严重 用户认证问题: 用户认证计费不准,不灵活 无法针对用户进行有效的行为审计 用户带宽滥用现象严重
https://www.360docs.net/doc/e35390841.html,
3
挑战之一:不断增加的校园出口安全威胁
应用层威胁来势凶猛 网页被篡改 带宽总也不够 服务器应用访问很慢
https://www.360docs.net/doc/e35390841.html,
病毒和蠕虫泛滥 间谍软件泛滥 服务器上的应用是关键应 用,不能随时打补丁
4
?“网络B超” 是优化安全管理的有效工具!
挑战之二:业务系统集中后的数据中心安全
如何解决数据共享和 海量存储的问题? 资源静态配置 数据增长迅猛 访问量越大,性能越 低,如何解决? 大量并发访问 性能无法保障
体系平台异构 管理移植困难 如何保障数据访问不 受设备、时空限制?
招生科研财务 关键信息无保护 数据安全如何保障?
?集中管理是解决问题的前提和基础 ?数据资源整合是优化资源管理的必由之路
https://www.360docs.net/doc/e35390841.html,
5
某大学校园网规划与设计(自动保存的)
某大学校园网规划与设计 一、问题分析: 在网络信息时代的今天,面向新的需求和挑战,为了学校的科研、教学、管理的技术水平,为研究开发和培养高层次人才建立现代化平台,几乎所有高校都建立了基于Intranet/Internet技术的高速多媒体校园网。 整个高速多媒体校园网建设原则是"经济高效、领先实惠",既要领先一步,具有发展余地,又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统,能够最大限度地调动学生对教学内容的参与性以及积极性。校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统,逐步建立学校信息管理网络,实现办公自动化;为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台;逐步建立计算机辅助教学、计算机辅助考试等系统,为实现多媒体课件制作网络化,教师备课电子化、多媒体化打好基础;保证网络系统的开放性、可持续发展性,便于以后集成视频会议、视频点播等高层次教学功能。 2. 解决方案提出及论证 校园网建设已逐渐成为信息化时代高校优先考虑的课题,这与我国倡导的素质教育息息相关。本设计从某大学建设校园网的过程中,着重论述了校园网设计方案的研究与实施过程。本方案首先就某大学校园网设计建设的相关知识技术要求作了必要的介绍,然后重点就综合设计方案的多方面展开论述,并给出具体的实施方案和设备选型。 学校现有3栋教学楼,每栋最高5层,每层最多200台PC机,宿舍楼共30栋,每栋最高7楼,每层最多1000台PC机,办公楼最高3层,每层30台PC机。
本方案实现以学校教学楼为中心的34幢建筑物,拟包括办公楼50个信息点、教学楼100个信息点以及宿舍300个信息点(总共450个信息点),以超5类布线标准的局域网结构化布线。按照EIA/TIA568B(国际商用建筑物布线系统标准)设计要求,不仅要选择符合国际标准的布线材料和设备,而且要按照其标准进行设计和施工。根据招标方要求,拟选择符合国际标准的著名的布线厂商----美国AMP公司的产品和技术。 为建成一个具有高可靠性和开放性的校园网络,它应支持流行的SNMP等网络管理协议;采用Internet上的标准协议--TCP/IP协议,提供校园内部及面向全球的WWW服务、FTP服务、NEWS服务、电子邮件服务,实现与国际互联网的完全接轨;同时它还应具有支持通用大型数据库的功能,支持多种协议,具有良好的软件支持;采用模块化结构设计,容易升级;还应针对学校的教学特点,具有一些基本的教学功能,以完成学校的基本教学任务。 3. 所需设备描述、网络拓扑及简要配置方案 一、校园局域网建设项目结构化布线设计 (1)结构化布线系统 结构化布线系统是建筑物或建筑群内的传输网络,它既能使数据通信设备、交换设备和其他信息管理系统彼此连接,也能使这些设备与外部通信网络相互连接,包括建筑物到外部网络线路上的连线点,与工作区的数据终端之间的所有电缆,以及相关联的布线部件。一个良好的结构化布线系统对其服务的设备有一定的独立性,并能互连许多不同的通信设备如数据终端、PC和主机以及公共系统装置。一般布线系统有六个子系统组成:建筑群间子系统,设备间子系统,管理区子系统,垂直(主干)子系统,水平子系统,工作区子系统。
校园网络与信息安全管理办法
校园网络与信息安全管理办法 桑梓镇辛撞中心小学 2018.9
校园网络与信息安全管理办法 学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理办法。 第一章总则 1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。 3、按照“合法合规,遵从标准”的原则开展网络与信息安全管理工作,网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。
6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。 第二章网络安全管理细则 1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。 2、校园网由学校信息中心统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由信息中心分配的IP地址,网络管理员对入网计算机和使用者进行及时、准确登记备案,由信息中心负责对其进行监督和检查。任何人不得更改IP及网络设置,不得盗用IP地址及用户帐号。 3、与校园网相连的计算机用户建设应当符合国家的有关标准和规定,校园内从事施工、建设,不得危害计算机网络系统的安全。 4、网络管理员负责全校网络及信息的安全工作,建立网络事故报告并定期汇报,及时解决突发事件和问题。校园网各服务器发生案件、以及遭到黑客攻击后,信息中心必须及时备案并向公安机关报告。 5、网络教室及相关设施未经校领导批准不准对社会开放。 6、按照信息安全等级保护工作规定,完成定级、备案等工作,留存安全审核日志。校园网中对外发布信息的Web服务器中的内容必须经领导审核,由负责人签署意见后再由专人(信息员)发布。新闻公布、公文发布权限要经过校领导的批准。门户网站不得链接企业网站,不得发布商业广告,不得在网页中设置或植入商品、商业服务的二维码。
校园网安全防护解决方案
校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多,校园网上的各种数据也急剧增加,我们在享受网络带来便利的同时,各种各样的安全问题也就开始困扰我们每一个网络管理人员,如何保证校园网不被攻击和破坏,已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案,使校园网能够有效应对网络应用带来的安全威胁和风险,以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施,担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期,安全问题还不十分突出,但随着应用的深入,校园网上的各种数据也急剧增加,各种各样的安全问题也就开始困扰我们。对校园网来说,谁也无法保证其不受到攻击,不管攻击是有意的还是无意的,也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面: ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时,首先要考虑物理安全风险,它是整个网络系统安全的前提。物理安全风险有:设备被盗、被毁坏,线路老化或被有意或者无意的破坏,通过搭线窃取数据,电子辐射造成信息泄露,设备意外故障、停电,地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网,且接入了互联网,如何处理好校园网网络边界的安全问题,直接关系到整个校园网网络系统的稳定运行和安全可控;另一方面,由于校园网中使用到大量的交换机、路由器等网络设备,这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如,路由器口令泄露,路由表配置错误,ACL设置不当等均会
校园网网络安全设计方案
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多,保护网络安全的技术、手段也很多。一般来说,保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,必须结合网络的具体需求,将多种安全措施进行整合,建立一个完整的、立体的、多层次的网络安全防御体系,这样一个全面的网络安全解决方案,可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上,使用户可以方便地存取、修改、分发。这样可以提高办公的效率,但同时也造成用户的信息易受到攻击,造成泄密。特别是对于移动办公的情况更是如此。因此,需要对移动用户的文件及文件夹进行本地安全管理,防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品,“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器(CPU)、加密运算协处理器(CAU)、只读存储器(ROM),随机存储器(RAM)、电可擦除可编程只读存储器(E2PROM)等,以及固化在ROM内部的芯片操作系统COS(Chip Operating Sys tem)、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS,其安全模块可防止非法数据的侵入和数据的篡改,防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状,在网络中添加一台服务器,用于安装IMSS。
xx大学校园网设计方案(课程设计经典方案)全解
湖南机电职业技术学院 毕业设计 校园网的规划与设计 设计方案 作者姓名欧阳贝伦 所属系部信息工程学院 指导教师吴勇 专业班级计算机网络技术网络1301班
目录 1.1网络设计原则 3 1.2网络需求分析 3 2网络设计解决方案 4 2.1网络系统结构规划 4 2.1.1接入层 4 2.1.2汇聚层 5 2.1.3核心层 5 2.1.4远程接入区域 5 2.2网络拓扑设计 5 2.3网络IP地址规划 6 2. 3.1IP地址合理规划的意义 6 2.4网络设计技术方案特点7 3网络设计技术分析7 3.1校园网络技术分类7 3.2校园网交换技术8 3.3路由技术9 3.4广域网接入技术9 4 设备的选型10 5 投资预算11 6综合布线工程规划12 4.1工程概况12 4.2施工原则12 7总结体会13
1网络设计原则与需求分析 1.1 网络设计原则 ?实用性与先进性 根据学校实际情况和特点,在设计中特别强调实用性与先进性的结合,应采用成熟的网络技术,保证校园网实用;跟踪国际网络技术的新发展,设计技术先进的网络。在保证校园网可靠、实用、先进的基础上,可以提供研究先进网络技术的科研环境,方便学校的科研与开发。 ?开放性与标准化 整个校园网的设计采用开放性的网络体系,以方便网络的升级、扩展和互联。同时,在选择服务器、网络产品时,强调产品支持的网络协议的国际标准化。 ?可靠性与安全性 在校园网的设计中,主要考虑两个层次:一是整个网络的可靠性与安全性,采用高可靠性高安全性的网络体系结构;二是网络设备的安全性和可靠性,主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 ?经济性与可扩充性 在满足学校需求的前提下,选用性能价格比高的网络设备和服务器。采用的网络架构和设备,应充分考虑到易升级换代,并且在升级时可以最大限度地保护原有的硬件设备和软件投资。 1.2 网络需求分析 湖南机电职业技术学院作为一所高等院校,必须建成一个集学校行政、办公、教学以及师生宿舍上网于一体的校园网络系统。具体需求如下: 管理层需求 (1)办公需求:办公自动化,文档电子化,电子公告牌 (2)E-mail 服务 (3)远程访问 (4)管理需求:会议管理,个人信息管理,公共信息管理, 公文管理,教务综合管理,以及图书馆自动化管理。 教师需求 (1)教学要求:电子备课,资料查阅,文档打印,文档、课件上传/下载,在线答疑(2)教学活动:VOD(或将来需要),学生成绩登入、公布 (3)自学需求:电子图书馆,资料查询 (4)远程访问 (5)E-mail 服务
学校校园网络及信息安全管理制度
学校园网络及信息安全管理制度 学校校园网是为教学及学校管理而建立的计算机信息网络,目的在于利用先进实用的计算机技术和网络通信技术,实现校园内计算机互联、资源共享,并为师生提供丰富的网上资源。为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,保证校园网络的正常运行和网络用户的使用权益,更好的为教育教学服务,特制定如下管理条例。 第一章总则 1、本管理制度所称的校园网络系统,是指由校园网络设备、配套的网络线缆设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的,为校园网络应用而服务的硬件、软件的集成系统。 2、校园网络的安全管理,应当保障计算机网络设备和配套设施的安全,保障信息的安全和运行环境的安全,保障网络系统的正常运行,保障信息系统的安全运行。 3、校园网络及信息安全管理领导小组负责相应的网络安全和信息安全工作,定期对相应的网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 4、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。任何单位和个人不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 5、进入校园网的全体学生、教职员工必须接受并配合国家有关部门及学校依法进行的监督检查,必须接受学校校园网络及信息安全管理领导小组进行的网络系统及信息系统的安全检查。 6、使用校园网的全体师生有义务向校园网络及信息安全管理领导小组和有关部门报告违法行为和有害信息。 第二章网络安全管理细则 1、网络管理中心机房及计算机网络教室要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,管理人员应每天检查上述设备是否正常,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备账目,认真做好各项资料(软件)的记录、分类和妥善保存工作。 2、校园网由学校电教处统一管理及维护。连入校园网的各部门、处室、教室和个人使用者必须严格使用由电教处分配的IP地址,网络管理员对入网计算机和使用者进行及时、
网络安全工作制度
学校校园网是为教学及学校管理而建立的计算机信息网络,为了保护校园网络系统的安全、促进学校计算机网络的应用和发展,更好的为教育教学服务,特制定本制度: 1、学校成立信息安全领导小组,组长由学校法人担任,负责校园内的网络安全和信息安全管理工作,定期对学校网络用户进行有关信息安全和网络安全教育并对上网信息进行审查和监控。 2、所有上网用户必须遵守国家有关法律、法规,严格执行安全保密制度,并对所提供的信息负责。不得利用联网计算机从事危害校园网及本地局域网服务器、工作站的活动。 3、网络管理员负责全校网络及信息的安全工作,建立定期汇报及网络事故随时报告制度,及时解决突发事件和问题。校园网服务器发生案件、遭到黑客攻击后,网络中心必须及时备案并通过学校领导向公安机关报告。 4、计算机防病毒软件由网络中心统一安装,用户要切实做好防病毒措施,及时在线升级杀毒软件,严禁在校园网内使用来历不明、引发病毒传染的软件或文件;对于外来光盘、优盘、软盘上的文件应使用合格的杀毒软件进行检查、消毒。及时向网络中心报告陌生、可疑邮件和计算机非正常运行等情况。 5、校园网内必须安装网络版监控和防范不良信息的过滤软件系统,监控日志至少保存半年。 6、校园网中对外发布信息的网站必须按有关规定办理ICP备案。
发布信息必须经审核程序,由负责人签署意见后再由信息员发布。 7、校园网各类服务器中开设的帐户和口令为个人用户所拥有,网络中心对用户口令保密,不得向任何单位和个人提供这些信息。 8、校园网的系统软件、应用软件及信息数据要实施保护措施。未经校园网络中心同意,不得将有关服务器、工作站上的系统软件、应用软件转录、传递到校外。装有涉密资料、重要数据、财务数据的电脑要与网络实行物理隔离。 9、保护校园网的设备和线路。不准擅自打开计算机主机的机箱,不准擅自移动计算机、线路及附属设备,不准擅自把计算机设备外借。任何人不得更改IP及网络设置。禁止私自安装、卸载程序,禁止使用盗版软件,禁止任意修改和删除服务器、计算机的系统文件和系统设置。 10、校园网用户不得利用计算机联网从事危害国家安全、泄露秘密等犯罪活动,不得制作、查阅、复制和传播有敏感信息、政治问题和淫秽色情内容的信息。严禁制造和输入计算机病毒。对利用网络从事违法行为者,应立即送交公安机关处理。 11、校园网用户要严格遵守校园网络管理规定和网络用户行为规范,不随意把户名借给他人使用,增强自我保护意识,经常更换口令,保护好户名和IP地址。严禁用各种手段破解他人口令、盗用户名和IP地址。不得利用各种网络设备或软件技术从事用户帐户及口令的侦听、盗用活动。
校园网安全整体解决方案设计
封面 成都信息工程学院 课程设计 校园网安全整体解决方案设计 作者姓名:纪红 班级:信安08.4 学号:2008122127 指导教师:王祖俪 日期:2011年 12月10日
校园网安全整体解决方案设计 摘要 随着计算机网络技术的飞速发展,网络技术越来受到人们的重视,它逐渐渗入到我们生活各个层面。学校的网络系统具有一个安全健康的环境,是校园网络科学化、正规化的重要条件,也在校园网的高效运行中扮演了重要的角色。现代校园网系统是一种基于开发式的网络环境,能够保证数据输入、输出的准确性快捷并且方便使用的网络应用系统。 本设计详细分析了校园网的安全问题,本文在分析校园网原有的网络安全防范措施的基础上,针对校园网在运行中所遇到的实际问题,本次课程设计在管理、设置、维护几个方面阐述了对于校园网如何进行管理与维护整个设计包括课程设计的目的与意义,需求分析,系统设计,系统实现,系统调试运行,总结,及参考文献几个部分。通过此次设计来加深我们对校园网络基本的管理与维护的了解,对于校园网建设中所用的基本设备如路由器,交换机,防火墙等了解它们在校园网中的使用情况,及基本的配置过程,对电子邮件过滤检测,入侵检测,病毒监测,防火墙设置等多方面做了相应的综合性安全解决方案。 关键字:校园网系统,管理,设置,软件维护,邮件过滤,入侵监测,防火墙
目录 1 引言 (1) 1.1课题背景 (1) 1.2高校校园网的网络现状 (1) 1.3校园网安全问题分析 (2) 1.4校园网安全问题存在的原因 (3) 2安全解决方案设计 (4) 2.1需求分析 (4) 2.3网络设计原则 (4) 2.4网络拓扑图 (5) 2.5安全设计原则 (5) 3.功能设计 (6) 3.1防火墙设置 (6) 3.1.1部署防火墙 (6) 3.2建立入侵检测系统 (9) 3.3建立漏洞管理系统 (10) 3.4建立网络防病毒系统 (11) 3.5IP盗用问题的解决 (11) 3.6采用系统升级策略 (12) 3.7利用网络监听维护子网系统安全 (13) 3.8建立良好的管理体系 (13) 3.9部署W EB,E MAIL,BBS的安全监测系统 (13) 3.10部署内容安全管理系统 (15) 3.11使用校园网用户认证计费管理系统 (15) 4.代码实现部分 .......................................................................... 错误!未定义书签。 5.参考文献 (17)
校园网网络安全方案设计.
目录 第一章校园网安全隐患分析 (3 1.1校园内网安全分析 (3 1.1.1 软件层次安全 (3 1.1.2设备物理安全 (3 1.1.3设备配置安全 (3 1.1.4 管理层次安全 (4 1.1.5 无线局域网的安全威胁 (4 1.2校园外网安全分析 (5 1.2.1黑客攻击 (5 1.2.2不良信息传播 (6 1.2.3病毒危害 (6 第二章设计简介及设计方案论述 (7 2.1校园网安全措施 (7 2.1.1防火墙 (7 2.1.2防病毒 (8 2.1.3无线网络安全措施 (10 2.2 H3C无线校园网的安全策略 (12 2.2.1可靠的加密和认证、设备管理 (12
2.2.2用户和组安全配置 (12 2.2.3非法接入检测和隔离 (13 2.2.4监视和告警 (14 第三章详细设计 (15 3.1 ISA软件防火墙的配置 (15 3.1.1基本配置 (16 3.1.2限制学校用机的上网 (16 3.1.3检测外部攻击及入侵 (16 3.1.4校园网信息过滤配置 (17 3.1.5网络流量的监控 (17 3.1.6无线局域网安全技术 (17 3.2物理地址(MAC过滤 (18 3.2.1服务集标识符( SSID 匹配 (18 3.2.2端口访问控制技术和可扩展认证协议 (20 第一章校园网安全隐患分析 1.1校园内网安全分析 1.1.1 软件层次安全 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这
些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进 行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。 1.1.2设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。 1.1.3设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于 没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。 1.1.4 管理层次安全 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园 网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网
基于校园网网络安全管理与维护课程设计报告
摘要 (3) 前言 (4) 一、课程设计目的意义 (6) 二、需求分析 (6) 1、虚拟网 (6) 2、管理与维护 (6) 3、网络安全 (7) 1、防火墙技术 (7) 2、建立网络入侵侦测系统 (7) 3、反病毒防御 (7) 三、方案设计 (8) 1、设计原则 (8) 2、安全策略 (8) 3、安全服务 (9) 4、拓扑结构图 (9) 四、方案的实施 (10) 1、在管理方面 (10) 2、在技术方面 (10) 3、定期做好备份工作 (10) 4、定期做好网络杀毒工作 (10) 五、结束语 (11) 附录一:参考文献 (12)
随着互联网络的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。 随着网络的高速发展,网络的安全问题日益突出,黑客攻击、网络病毒等层不出穷,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。 校园网网络的安全十分重要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。 关键词:校园网、网络安全、管理及维护策略、防火墙。
学校网络及网络安全管理制度
《网络安全管理制度》 计算机网络为学校局域网提供网络基础平台服务和互联网接入服务,由现代教育技术中心负责计算机连网和网络管理工作。为保证学校局域网能够安全可靠地运行,充分发挥信息服务方面的重要作用,更好地为学校教职工、学生提供服务。现制定并发布《网络及网络安全管理制度》。 第一条所有网络设备(包括光纤、路由器、交换机、集线器等)均归现代教育技术中心所管辖,其安装、维护等操作由现代教育技术中心工作人员进行。其他任何人不得破坏或擅自维修。 第二条所有学校内计算机网络部分的扩展必须经过现代教育技术中心实施或批准实施,未经许可任何部门不得私自连接交换机、集线器等网络设备,不得私自接入网络。现代教育技术中心有权拆除用户私自接入的网络线路并进行处罚措施。 第三条各部门的联网工作必须事先报现代教育技术中心,由现代教育技术中心做网络实施方案。 第四条学校局域网的网络配置由现代教育技术中心统一规划管理,其他任何人不得私自更改网络配置。 第五条接入学校局域网的客户端计算机的网络配置由现代教育技术中心部署的DHCP服务器统一管理分配,包括:用户计算机的IP地址、网关、DNS和WINS服务器地址等信息。未经许可,任何人不得使用静态网络配置。 第六条任何接入学校局域网的客户端计算机不得安装配置DHCP服务。一经发现,将给予通报并交有关部门严肃处理。 第七条网络安全:严格执行国家《网络安全管理制度》。对在学校局域网上从事任何有悖网络法规活动者,将视其情节轻重交有关部门或公安机关处理。 第八条教职工具有信息保密的义务。任何人不得利用计算机网络泄漏公司机密、技术资料和其它保密资料。 第九条任何人不得在局域网络和互联网上发布有损学校形象和教工声誉的信息。 第十条任何人不得扫描、攻击学校计算机网络。 第十一条任何人不得扫描、攻击他人计算机,不得盗用、窃取他人资料、信息等。 第十二条为了避免或减少计算机病毒对系统、数据造成的影响,接入学校局域网的所有用户必须遵循以下规定: 1.任何单位和个人不得制作计算机病毒;不得故意传播计算机病毒,危害计算机信息系统安全;不得向他人提供含有计算机病毒的文件、软件、媒体。 2. 采取有效的计算机病毒安全技术防治措施。建议客户端计算机安装使用现代教育技术中心部署发布的瑞星杀毒软件和360安全卫士对病毒和木马进行查杀。 3. 定期或及时更新用更新后的新版本的杀病毒软件检测、清除计算机中的病毒。
高校校园网安全解决方案
高校校园网安全解决方案 概述 21、1 高校校园网络安全建设意义2第二章高校校园网络特点分析3第三章安全风险分析 53、1 物理层安全风险 53、2 网络层安全风险 53、3 系统安全风险 63、4 应用层安全风险 63、5 管理层安全风险7第四章安全需求分析 84、1 网络攻击防御需求 84、2 系统安全漏洞管理需求 84、3 网络防病毒需求 94、4 WEB应用安全需求104、5 内容安全管理需求104、6 INTERNET接入用户控制需求1 14、7 建立完善安全管理制度的需求11第五章网络安全解决方案1 25、1 高校校园网络安全建设原则1 25、2、高校校园网络安全解决方案1 35、1部署防火墙1 35、2部署入侵检测/保护系统1 35、3 部署漏洞管理系统1 55、4 部署网络防病毒系统1 75、5 部署WEB应用防护系统1 95、6 部署内容安全管理系统2 15、7 部署校园网用户认证计费管理系统2 25、8 高校校园网络安全建设分步实施建议23第一章概述 1、1 高校校园网络安全建设意义随着网络的普及和发展,高校信息化建设也在快速地进行,校园网在高校及教育系统中的作用越来越大,已经成为高校重要的基础设施,对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前,校园网络已遍及学校的各个部门,有的学校已将网络线通入学生寝室,
网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立,能促进学校实现管理网络化和教学手段现代化,对提高学校的管理水平和教学质量具有分重要的意义。但是,网络中的种种不安全因素(如病毒、黑客的非法入侵、有害信息等)也无时无刻不在威胁校园网络的健康发展,成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理,保证校园网安全、稳定、高效地运转,使其发挥应有的作用,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。第二章高校校园网络特点分析高校校园网络具有如下特点: 1、网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备。 2、校园网通常是双出口结构,分别与 Cernet、Internet 互联。 3、用户种类丰富。按用户类型可以划分为教学区(包括教学楼、图书馆、实验楼等)、办公区(包括财务处、学生处、食堂等)、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。 4、应用系统丰富。校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用,如WWW、E-MAIL等,需要和INTERNET的交互。各种应用服务器,如DNS,WWW,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。高校校园网络拓扑示意图如下:第三章安全风险分析网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。风险分析是网络安全防护的基础,也是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。 3、1 物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断,进而造成网络系统的阻断。包括以下内容: