高校網(wǎng)絡(luò)信息安全解決方案 高校網(wǎng)絡(luò)安全問題

校園網(wǎng)結(jié)構(gòu)與安全問題

在教學(xué)教育領(lǐng)域，資源共享、教學(xué)網(wǎng)絡(luò)化、辦公自動化無疑是大勢所趨，為了讓師生之間、教工之間達(dá)成互聯(lián)互通，很多中小學(xué)校、大學(xué)都需要急需建立校園網(wǎng)，然而在校園局域網(wǎng)建設(shè)方面，由于各學(xué)校的情況不同，應(yīng)用方向也有差異，導(dǎo)致在建設(shè)方案上有一定的區(qū)別，但歸根結(jié)底，校園局域網(wǎng)的基本方案都相似，因此在部署校園局域網(wǎng)時(shí)，很多學(xué)校部署校園網(wǎng)方案時(shí)都會遇到類似的問題，為了校園內(nèi)外"班班通"、"室室通"、"校校通"的目的，我們需要掌握校園的的施工、聯(lián)網(wǎng)、使用與調(diào)式等知識，并對不同方案的部署情況進(jìn)行詳細(xì)思考，根據(jù)學(xué)校對信息點(diǎn)的安排和網(wǎng)絡(luò)應(yīng)用的需求，制定合理的校園網(wǎng)總體建設(shè)規(guī)劃和實(shí)施方案，甚至需要解決一些部署后的實(shí)際問題，以滿足目前校園局域網(wǎng)的實(shí)際應(yīng)用需求。

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括鹿邑網(wǎng)站建設(shè)、鹿邑網(wǎng)站制作、鹿邑網(wǎng)頁制作以及鹿邑網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，鹿邑網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到鹿邑省份的部分城市，未來相信會繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

一、用什么"線"聯(lián)網(wǎng)？

在組建校園局域網(wǎng)時(shí)，很多用戶對交換機(jī)、路由器、網(wǎng)卡等設(shè)備加以重視，這不可否認(rèn)是正確的，但有時(shí)他們卻忽視了一個(gè)不起眼的問題，那就是網(wǎng)線，在校園局域網(wǎng)中，一般布線系統(tǒng)有六個(gè)子系統(tǒng)組成：建筑群間子系統(tǒng)，設(shè)備間子系統(tǒng)，管理區(qū)子系統(tǒng)，垂直（主干）子系統(tǒng)，水平子系統(tǒng)，工作區(qū)子系統(tǒng)，不同的子系統(tǒng)，設(shè)備之間使用的網(wǎng)線也不同，這在很大程度上讓用戶感到迷茫。一般而言，局域網(wǎng)所使用的連線具有雙絞線、同軸電纜、光纜三種，在校園局域網(wǎng)中，需要根據(jù)實(shí)際情況，選擇對應(yīng)的布線線纜比如對于校園內(nèi)樓宇間的連接線纜，由于是暴露在室外，常年受到日曬雨林的影響和雷電的干擾，此時(shí)使用光纜作傳輸介質(zhì)最為適宜。因?yàn)楣饫|具有高帶寬，傳輸距離遠(yuǎn)，抗干擾能力強(qiáng)、安全性好、抗老化和高壽命等顯著特點(diǎn)，此外，就目前大多數(shù)校園網(wǎng)的應(yīng)用情況而言，校園網(wǎng)上承載的傳輸信息中，多媒體信息的傳輸量將會越來越大，如多媒體教學(xué)，電子閱覽、視屏點(diǎn)播等應(yīng)用，主干網(wǎng)傳輸介質(zhì)必須具有承載千兆速率的能力，此時(shí)只有光纜才能滿足戶外主干網(wǎng)的布線需求。對于同軸電纜，由于貨源難覓，其成本已超過光纜，比較適合短距離的核心設(shè)備連接，比如交換機(jī)與路由器的連接線纜。

校園網(wǎng)為園區(qū)網(wǎng)，樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴(kuò)展余地，如果選擇雙絞線，由于沒有屏蔽層，在室外很容易感應(yīng)雷電而產(chǎn)生干擾，甚至損壞設(shè)備。雙絞線因受室外惡劣環(huán)景的影響，容易老化，壽命短。而且雙絞線不容許超過100米，它不適合作連接樓與樓之間的主干電纜。不過對于校園室內(nèi)的布線介質(zhì)，由于需要管理區(qū)子系統(tǒng)并入設(shè)備間子系統(tǒng)，集中管理，所以線纜的長度比較大，由于光纜價(jià)格昂貴，選擇雙絞線是比較實(shí)際的，而且目前的屏蔽雙絞銅線（STP）的抗干擾和傳輸距離比較好，不僅可支持一般的學(xué)校信息管理應(yīng)用對網(wǎng)絡(luò)傳輸帶寬的要求，而且完全支持MPEG-2等格式的多媒體信息傳輸。 在校園網(wǎng)局域網(wǎng)中，常用的網(wǎng)絡(luò)協(xié)議有NetBEUI、IPX/SPX和TCP/IP三種，在實(shí)際組網(wǎng)時(shí)，到底選擇哪種網(wǎng)絡(luò)協(xié)議，需要根據(jù)校園網(wǎng)的實(shí)際規(guī)模、網(wǎng)絡(luò)應(yīng)用需求、網(wǎng)絡(luò)平臺兼容性和網(wǎng)絡(luò)管理等情況而定。其中NetBEUI協(xié)議是為中小局域網(wǎng)設(shè)計(jì)，它是用Single-Partnames定義網(wǎng)絡(luò)節(jié)點(diǎn)，不支持多網(wǎng)段網(wǎng)絡(luò)（不可路由），但具有安裝非常簡單、不需要進(jìn)行配置、占用內(nèi)存少等特點(diǎn)，因而對于中小學(xué)校的局域網(wǎng)而言，由于機(jī)器性能比較低，往往只安裝了比老的Windows 95/98/NT系統(tǒng)，只是為了簡單的文件和設(shè)備共享，并且暫時(shí)沒有對外連接的需要，此時(shí)建議選擇NetBEUI協(xié)議進(jìn)行組網(wǎng)。

對于大學(xué)校園局域網(wǎng)而言，由于存在多個(gè)網(wǎng)段或要通過路由器與外部相連，加之學(xué)校配備的電腦性能比較好，此時(shí)NetBEUI協(xié)議就無法滿足組網(wǎng)需求，建議選擇IPX/SPX或TCP/IP協(xié)議組網(wǎng)，其中IPX/SPX 協(xié)議在復(fù)雜環(huán)境下具有很強(qiáng)的適應(yīng)性，具有強(qiáng)大的路由功能，適合于大型網(wǎng)絡(luò)使用，不過它局限于使用在NetWare網(wǎng)絡(luò)環(huán)境中，在Windows網(wǎng)絡(luò)環(huán)境中無法直接使用IPX/SPX通信協(xié)議。不過為了實(shí)現(xiàn)與NetWare平臺的互聯(lián)，Windows 系統(tǒng)提供了兩個(gè)IPX/SPX兼容協(xié)議：NWLink SPX/SPX和NWLink NetBIOS，前者只能作為客戶端的協(xié)議實(shí)現(xiàn)對NetWare服務(wù)器訪問，而后者可在NetWare平臺與Windows 平臺之間傳遞信息，也能夠作為Windows系統(tǒng)之間的通信協(xié)議。

盡管如此，大多數(shù)學(xué)生、教師依然習(xí)慣使用Windows平臺，此時(shí)校園網(wǎng)選擇TCP/IP協(xié)議是必然趨勢，無論在局域網(wǎng)、廣域網(wǎng)還是Internet，無論是Unix系統(tǒng)或Windows平臺，TCP/IP協(xié)議都可以實(shí)現(xiàn)校園網(wǎng)的組網(wǎng)需要，TCP/IP是一種可路由協(xié)議，它采用一種分級的命名規(guī)則，通過給每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)配置一個(gè)IP地址、一個(gè)子網(wǎng)掩碼、一個(gè)網(wǎng)關(guān)和一個(gè)主機(jī)名，使得它容易確定網(wǎng)絡(luò)和子網(wǎng)段之間的關(guān)系，獲得很好的網(wǎng)絡(luò)適應(yīng)性、可管理性和較高的網(wǎng)絡(luò)帶寬使用效率。不過TCP/IP協(xié)議的配置和管理比NetBEUI 和IPX/SPX 更復(fù)雜，并且占用系統(tǒng)資源更多，所以對于機(jī)器性能不高或維護(hù)知識不夠的中小學(xué)校，TCP/IP協(xié)議在校園網(wǎng)中存在一定的使用門檻。很多中小學(xué)校、大學(xué)分校依然存在著多個(gè)局域網(wǎng)沒有互聯(lián)的情況，此時(shí)如果重新進(jìn)行校園網(wǎng)布局，不僅增加了建設(shè)成本，而且對于維護(hù)也帶來一定麻煩。為此，學(xué)校應(yīng)該使用適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備，實(shí)現(xiàn)多個(gè)局域網(wǎng)的互聯(lián)，讓學(xué)生、教師、辦公人員可以進(jìn)行資源共享、網(wǎng)絡(luò)互通的目的。比如某中學(xué)希望將校園網(wǎng)和教師樓LAN連接起來，而校園網(wǎng)和教師樓LAN之間距離為500米，此時(shí)可以使用廉價(jià)的10base5方法互聯(lián)，互聯(lián)時(shí)使用直徑10mm的50歐姆粗同軸電纜，每個(gè)網(wǎng)段允許有100個(gè)站點(diǎn)，每個(gè)網(wǎng)段最大允許距離為500m，可以由5個(gè)500m長的網(wǎng)段和4個(gè)中繼器組成，不過這種互聯(lián)方案存在一定的局限性，只適合校園內(nèi)部的局域網(wǎng)互聯(lián)，因而無法滿足大學(xué)分校局域網(wǎng)互連的需要。

如果是大學(xué)校園網(wǎng)，由于有多個(gè)分校，希望將每個(gè)分校的局域網(wǎng)進(jìn)行互聯(lián)，此時(shí)采用無線路由器或無線AP進(jìn)行互聯(lián)，不過無線設(shè)備投入成本高，傳輸速率損失嚴(yán)重，而且安全性也沒有保障，此時(shí)建議采用更為廉價(jià)的VPN方案，它可以通過特殊的加密通訊協(xié)議，在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)校園內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路，這就好比去電信局申請專線，但不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備，而且網(wǎng)絡(luò)之間的數(shù)據(jù)交換非常安全，只需選擇支持VPN功能的交換機(jī)，防火墻設(shè)備，就可以實(shí)現(xiàn)多校園網(wǎng)局域網(wǎng)之間的互聯(lián)。

在很多大學(xué)校園網(wǎng)中，學(xué)生寢室、教師宿舍都與主干網(wǎng)互聯(lián)，在上網(wǎng)高峰階段，一些用戶進(jìn)行BT下載或玩網(wǎng)絡(luò)游戲，使得局域網(wǎng)資源大量占用，造成校園網(wǎng)出口帶寬嚴(yán)重不足，速度極慢，給正常的工作帶來了嚴(yán)重的影響，甚至?xí)斐尚@網(wǎng)癱瘓的尷尬局面，為此，校方可以通過在主服務(wù)器上安裝流量控制軟件，讓他們不要使用在線播放音視頻或在線游戲，如發(fā)現(xiàn)者，則封IP 斷網(wǎng)24小時(shí)，如果覺得占用系統(tǒng)資源，也可以使用具有網(wǎng)管功能的交換機(jī)，通過交換機(jī)內(nèi)置的控制程序，對局域網(wǎng)內(nèi)的所有機(jī)器進(jìn)行流量權(quán)限限制使用。

在校園局域網(wǎng)中，遠(yuǎn)程控制可能是最常見的教學(xué)應(yīng)用，它可以提高工作效率，充分發(fā)揮校內(nèi)電教設(shè)備的利用率，以及加強(qiáng)校園內(nèi)電教設(shè)備的管理。比如校園廣播系統(tǒng)，可以播放出操、升旗音樂，上下課音樂鈴聲，課間背景音樂，進(jìn)行德育教育和外語教學(xué)、自辦節(jié)目等，比如大型活動、臨時(shí)通知等，往往需要電教員跑到廣播室放音，而且由于放音人員離現(xiàn)聲較遠(yuǎn)，很難看清現(xiàn)場的動態(tài)，有時(shí)會出現(xiàn)錯(cuò)誤，帶來不必要損失。遠(yuǎn)程控制就解決了問題，只須現(xiàn)場有一根網(wǎng)線就可以在現(xiàn)場控制遠(yuǎn)在廣播室的電腦放音。如果現(xiàn)場沒有連接到廣播室的話筒線，還可以通過網(wǎng)絡(luò)上的語音軟件與廣播室的電腦進(jìn)行對話，達(dá)到話筒的功能，聲音同樣能在廣播中聽到。

為了實(shí)現(xiàn)所有設(shè)備的遠(yuǎn)程控制，要給每臺電腦都裝網(wǎng)卡，接入校園局域網(wǎng)。內(nèi)部網(wǎng)絡(luò)布線到每個(gè)教室和辦公室，教師每人一臺筆記本電腦，局域網(wǎng)內(nèi)部建議使用一臺遠(yuǎn)程控制服務(wù)器，可以讓兼職的網(wǎng)管教師在自己的辦公室或者學(xué)校的其它電腦上完成各項(xiàng)管理工作。實(shí)際組網(wǎng)時(shí)，主控電腦連接校園廣播自動播放系統(tǒng)（一個(gè)由一臺電腦通過端口命令管理系統(tǒng)電源開關(guān)的單片機(jī)。），然后在服務(wù)器、廣播主控電腦、電視編輯機(jī)上裝好被控端軟件，添加一個(gè)用戶和密碼。安裝語音通話軟件（如MSN、局域網(wǎng)會議系統(tǒng)、企業(yè)QQ、NETMEETING等），在其它電腦上安裝主控端軟件，語音通話軟件。如果有通知或者講話，只要在此同時(shí)打開兩臺電腦的語音軟件就可以了。 在校園網(wǎng)局域網(wǎng)中，經(jīng)常遇到一些使用和維護(hù)上的問題，比如網(wǎng)卡在重啟時(shí)正常檢測，但不能同其他機(jī)器互聯(lián)。這主要是由于子網(wǎng)掩碼或IP地址配置錯(cuò)誤、網(wǎng)線不通、網(wǎng)絡(luò)協(xié)議不對、路由不對等幾種情況。解決方法是首先ping本網(wǎng)卡的回送地址（127.0.0.1），若通，則說明本機(jī)TCP/IP工作正常；若不通，則需重新配置并重新啟動電腦。有些網(wǎng)卡缺省設(shè)置其速率為100M，也會導(dǎo)致網(wǎng)絡(luò)不通，需要根據(jù)所連交換機(jī)的速率，將其速率設(shè)置為10M、100M或設(shè)成自適應(yīng)網(wǎng)線速率。

校園網(wǎng)網(wǎng)絡(luò)安全解決方案

校園網(wǎng)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。

一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)原則

1.1滿足Internet分級管理需求

1.2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原ze

1.3綜合性、整體性原則

1.4可用性原則

1.5分步實(shí)施原則

目前，對于新建網(wǎng)絡(luò)及已投入運(yùn)行的網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò)的安全保密問題，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：

(1)大幅度地提高系統(tǒng)的安全性和保密性；

(2)保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；

(3)易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；

(4)盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

(5)安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期使用；

(6)安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。

基于上述思想，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則：

滿足因特網(wǎng)的分級管理需求根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對Internet/Intranet信息安全實(shí)施分級管理的解決方案，將對它的控制點(diǎn)分為三級實(shí)施安全管理。

--第一級：中心級網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

--第二級：部門級，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計(jì)。

-第三級：終端/個(gè)人用戶級，實(shí)現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護(hù)。

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對任一網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是必要的。對一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。 可用性原則安全措施需要人為去完成，如果措施過于復(fù)雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。 分步實(shí)施原則：分級管理分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。

二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)步驟

網(wǎng)絡(luò)安全需求分析

確立合理的目標(biāo)基線和安全策略

明確準(zhǔn)備付出的代價(jià)

制定可行的技術(shù)方案

工程實(shí)施方案(產(chǎn)品的選購與定制)

制定配套的法規(guī)、條例和管理辦法

本方案主要從網(wǎng)絡(luò)安全需求上進(jìn)行分析，并基于網(wǎng)絡(luò)層次結(jié)構(gòu)，提出不同層次與安全強(qiáng)度的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案。

三、網(wǎng)絡(luò)安全需求

確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求的基礎(chǔ)。一般來講，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題：

局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實(shí)現(xiàn)

在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全

應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵

如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?/p>

加密系統(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等

如何實(shí)現(xiàn)遠(yuǎn)程訪問的安全性

如何評價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性

基于這些安全問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息(如NAT)等。

四、網(wǎng)絡(luò)安全層次及安全措施

4.1鏈路安全

4.2網(wǎng)絡(luò)安全

4.3信息安全網(wǎng)絡(luò)的安全層次分為:鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見下表。

信息安全信息傳輸安全(動態(tài)安全)數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全(靜態(tài)安全)數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計(jì)用戶鑒別授權(quán)(CA)

網(wǎng)絡(luò)安全訪問控制(防火墻)網(wǎng)絡(luò)安全檢測入侵檢測(監(jiān)控) IPSEC(IP安全)審計(jì)分析鏈路安全鏈路加密

4.1鏈路安全 鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點(diǎn)后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設(shè)備。

一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點(diǎn)對點(diǎn)通信環(huán)境，它包括異步線路密碼機(jī)和同步線路密碼機(jī)。異步線路密碼機(jī)主要用于電話網(wǎng)，同步線路密碼機(jī)則可用于許多專線環(huán)境。

4.2網(wǎng)絡(luò)安全 網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))與外部不可信任網(wǎng)絡(luò)(如因特網(wǎng))之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。

目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應(yīng)用代理型防火墻，還有一類是復(fù)合型防火墻，即包過濾與應(yīng)用代理型防火墻的結(jié)合。包過濾防火墻通常基于IP數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進(jìn)行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層，一般可以對多種應(yīng)用協(xié)議進(jìn)行代理，并對用戶身份進(jìn)行鑒別，并提供比較詳細(xì)的日志和審計(jì)信息；其缺點(diǎn)是對每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，并且基于代理的防火墻常常會使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是，在網(wǎng)絡(luò)安全問題日益突出的今天，防火墻技術(shù)發(fā)展迅速，目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當(dāng)中，這些功能有：VPN功能、計(jì)費(fèi)功能、流量統(tǒng)計(jì)與控制功能、監(jiān)控功能、NAT功能等等。

信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個(gè)良好的開端，但它只能解決60%-80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、對安全風(fēng)險(xiǎn)的感知程度低、動態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等，這些都是對信息系統(tǒng)安全的挑戰(zhàn)。

信息系統(tǒng)的安全應(yīng)該是一個(gè)動態(tài)的發(fā)展過程，應(yīng)該是一種檢測——監(jiān)視——安全響應(yīng)的循環(huán)過程。動態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估和入侵監(jiān)測產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。

網(wǎng)絡(luò)安全檢測是對網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評估的重要措施，通過使用網(wǎng)絡(luò)安全性分析系統(tǒng)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

入侵檢測系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方，通過實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。

另外，使用IP信道加密技術(shù)(IPSEC)也可以在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間建立透明的安全加密信道。其中利用IP認(rèn)證頭(IP AH)可以提供認(rèn)證與數(shù)據(jù)完整性機(jī)制。利用IP封裝凈載(IP ESP)可以實(shí)現(xiàn)通信內(nèi)容的保密。IP信道加密技術(shù)的優(yōu)點(diǎn)是對應(yīng)用透明，可以提供主機(jī)到主機(jī)的安全服務(wù)，并通過建立安全的IP隧道實(shí)現(xiàn)虛擬專網(wǎng)即VPN。目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡(luò)加密機(jī)，另外，有些防火墻也提供相同功能。

五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案

5.1基本防護(hù)體系(包過濾防火墻+NAT+計(jì)費(fèi))

用戶需求：全部或部分滿足以下各項(xiàng)·解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)·解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN ·根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾·內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能·支持安全服務(wù)器網(wǎng)絡(luò)SSN ·通過IP地址與MAC地址對應(yīng)防止IP欺騙·基于IP地址計(jì)費(fèi)·基于IP地址的流量統(tǒng)計(jì)與限制·基于IP地址的黑白名單。

·防火墻運(yùn)行在安全操作系統(tǒng)之上·防火墻為獨(dú)立硬件·防火墻無IP地址解決方案：采用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW1000

5.2標(biāo)準(zhǔn)防護(hù)體系(包過濾防火墻+NAT+計(jì)費(fèi)+代理+VPN)

用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項(xiàng)·提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)·用戶身份鑒別·權(quán)限控制·基于用戶計(jì)費(fèi)·基于用戶的流量統(tǒng)計(jì)與控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保護(hù)能力，防范對防火墻的常見攻擊

解決方案：

(1)選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000 (2)防火墻基本配置+網(wǎng)絡(luò)加密機(jī)(IP協(xié)議加密機(jī))

5.3強(qiáng)化防護(hù)體系(包過濾+NAT+計(jì)費(fèi)+代理+VPN+網(wǎng)絡(luò)安全檢測+監(jiān)控) 用戶需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項(xiàng)·網(wǎng)絡(luò)安全性檢測(包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備) ·操作系統(tǒng)安全性檢測·網(wǎng)絡(luò)監(jiān)控與入侵檢測

解決方案：選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000+網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控器

學(xué)校、教師和學(xué)生應(yīng)如何預(yù)防和應(yīng)對網(wǎng)絡(luò)、信息安全事故?

學(xué)校的責(zé)任，購買防火墻等硬件設(shè)備

老師的責(zé)任，部署殺毒軟件，設(shè)置安全策略，加強(qiáng)管理

學(xué)生的責(zé)任，遵守計(jì)算機(jī)教室的規(guī)章制度，聽從老師的指導(dǎo)。

安全最薄弱的一環(huán)恰恰就是學(xué)生那一環(huán)，因此，除了加強(qiáng)管理和教育以外，真的別無良策。

網(wǎng)絡(luò)安全技術(shù)的問題及解決方案

園網(wǎng)絡(luò)技術(shù)安全問題解決方案

隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)的安全問題日益突出，近兩年間，黑客攻擊、網(wǎng)絡(luò)病毒等屢屢曝光，國家相關(guān)部門也一再三令五申要求切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在高校網(wǎng)絡(luò)建設(shè)的過程中，由于對技術(shù)的偏好和運(yùn)營意識的不足，普遍都存在"重技術(shù)、輕安全、輕管理"的傾向，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹，網(wǎng)絡(luò)用戶的快速增長，關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗(yàn)網(wǎng)的角色已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色，作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害就成為各個(gè)高校不可回避的一個(gè)緊迫問題，解決網(wǎng)絡(luò)安全問題刻不容緩。

字串8

一、目前校園網(wǎng)絡(luò)中存在的安全問題

字串2

1、網(wǎng)絡(luò)安全方面的投入嚴(yán)重不足，沒有系統(tǒng)的網(wǎng)絡(luò)安全設(shè)施配備

字串5

大多數(shù)學(xué)校網(wǎng)絡(luò)建設(shè)經(jīng)費(fèi)嚴(yán)重不足，所以就將有限的經(jīng)費(fèi)投在關(guān)鍵設(shè)備上，對于網(wǎng)絡(luò)安全建設(shè)一直沒有比較系統(tǒng)的投入，致使校園網(wǎng)處在一個(gè)開放的狀態(tài)，沒有任何有效的安全預(yù)警手段和防范措施。 字串3

2、 學(xué)校的上網(wǎng)場所管理較混亂 字串7

由于缺乏統(tǒng)一的網(wǎng)絡(luò)出口、網(wǎng)絡(luò)管理軟件和網(wǎng)絡(luò)監(jiān)控、日志系統(tǒng)，是學(xué)校的網(wǎng)絡(luò)管理各自為政，缺乏上網(wǎng)的有效監(jiān)控和日志，上網(wǎng)用戶的身份無法唯一識別，存在極大的安全隱患。

字串1

3、 電子郵件系統(tǒng)極不完善，無任何安全管理和監(jiān)控的手段

字串1

電子郵件既是互聯(lián)網(wǎng)必不可少的一個(gè)應(yīng)用之一，同時(shí)也是病毒和垃圾的重要傳播手段。目前絕大多數(shù)校園網(wǎng)郵件系統(tǒng)依然采用互聯(lián)網(wǎng)上下載的免費(fèi)版本的郵件系統(tǒng)，不能提供自身完善的安全防護(hù)，更沒有提供任何針對用戶來往信件過濾、監(jiān)控和管理的手段，完全不符合國家對安全郵件系統(tǒng)的要求，出現(xiàn)問題時(shí)也無法及時(shí)有效的解決

字串4

4．網(wǎng)絡(luò)病毒泛濫，造成網(wǎng)絡(luò)性能急劇下降，很多重要數(shù)據(jù)丟失，損失不可估量。 字串2

網(wǎng)絡(luò)病毒的肆虐傳播，極大的消耗了網(wǎng)絡(luò)資源；造成網(wǎng)絡(luò)性能下降，單純單機(jī)殺毒軟件已經(jīng)不能滿足用戶的需求，迫切需要集中管理、統(tǒng)一升級、統(tǒng)一監(jiān)控的針對網(wǎng)絡(luò)的防病毒體系。

字串7

5.網(wǎng)絡(luò)安全意識淡薄，沒有指定完善的網(wǎng)絡(luò)安全管理制度 字串9

校園網(wǎng)絡(luò)上的用戶安全意識淡薄，大量的非正常訪問導(dǎo)致網(wǎng)絡(luò)資源的浪費(fèi)，同時(shí)也為網(wǎng)絡(luò)的安全帶來了極大的安全隱患。 字串5

綜上所述，校園網(wǎng)絡(luò)安全的形勢非常嚴(yán)峻，為解決以上安全隱患和漏洞，結(jié)合校園網(wǎng)特點(diǎn)和現(xiàn)今網(wǎng)絡(luò)安全的典型解決方案和技術(shù)，航天聯(lián)志公司根據(jù)多年對校園網(wǎng)絡(luò)的深刻理解，提出了以下校園網(wǎng)絡(luò)安全解決方案。 字串2

二、校園網(wǎng)絡(luò)安全解決方案

字串9

1、規(guī)范出口的管理 字串4

實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實(shí)施。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。

字串1

2、 配備完整的、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備

字串4

在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外配置安全設(shè)備既要考慮到功能，同時(shí)也必須考慮性能和可擴(kuò)展性，以避免成為網(wǎng)絡(luò)的瓶頸。通過配置安全產(chǎn)品可以實(shí)現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。

字串7

3、 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 字串7

校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。

字串6

4．嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理 字串1

上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。 字串8

5． 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能

字串9

針對目前郵件系統(tǒng)存在的安全隱患，航天聯(lián)志結(jié)合國內(nèi)知名的郵件安全系統(tǒng)提供商美訊智推出了專門針對校園網(wǎng)的郵件安全系統(tǒng)。該系統(tǒng)具有強(qiáng)大的高準(zhǔn)確率和低誤報(bào)率，使被垃圾郵件的準(zhǔn)確率高達(dá)98%；而且獨(dú)特的策略模塊可以幫助用戶簡單輕松的視線郵件系統(tǒng)的管理與維護(hù)；全面防護(hù)針對傳輸層25端口的攻擊，防止郵件地址泄露，保障郵件系統(tǒng)的安全；通過直觀的圖標(biāo)和多種查詢方式全面顯示郵件的應(yīng)用情況并可以及時(shí)調(diào)整策略設(shè)定。這些優(yōu)秀的功能為校園網(wǎng)的郵件安全帶來了堅(jiān)實(shí)的防護(hù)。

字串2

6．根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度

字串7

網(wǎng)絡(luò)安全建設(shè)是"三分設(shè)備，七分管理"，沒有切實(shí)可行的安全保障體系和制度，網(wǎng)絡(luò)安全就變成了空談。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和上網(wǎng)用戶對網(wǎng)絡(luò)的了解程度越深，網(wǎng)絡(luò)安全的形式就越嚴(yán)峻，這也從近幾年互聯(lián)網(wǎng)絡(luò)安全問題頻頻出現(xiàn)得到印證。而網(wǎng)絡(luò)安全的技術(shù)又是非常復(fù)雜和廣泛的，現(xiàn)狀還是"道高一尺，魔高一丈"，這樣，管理的工作就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。另外，學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患。

字串3

互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，對校園網(wǎng)絡(luò)中師生的生活和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。但在享受高科技帶來的便捷同時(shí)，我們需要清醒的認(rèn)識到，網(wǎng)絡(luò)安全問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙，校園網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問題，校園網(wǎng)絡(luò)的應(yīng)用才能健康、高速的發(fā)展。

網(wǎng)絡(luò)安全的解決方案!急,滿意再給100!

談對網(wǎng)絡(luò)安全的認(rèn)識

近幾年來，網(wǎng)絡(luò)越來越深入人心，它是人們工作、學(xué)習(xí)、生活的便捷工具和豐富資源。但是，我們不得不注意到，網(wǎng)絡(luò)雖然功能強(qiáng)大，也有其脆弱易受到攻擊的一面。據(jù)美國FBI統(tǒng)計(jì)，美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，而全球平均每20秒鐘就發(fā)生一起Internet 計(jì)算機(jī)侵入事件。在我國，每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們在利用網(wǎng)絡(luò)的優(yōu)越性的同時(shí)，對網(wǎng)絡(luò)安全問題也決不能忽視。作為學(xué)校，如何建立比較安全的校園網(wǎng)絡(luò)體系，值得我們關(guān)注研究。

建立校園網(wǎng)絡(luò)安全體系，主要依賴三個(gè)方面：一是威嚴(yán)的法律；二是先進(jìn)的技術(shù)；三是嚴(yán)格的管理。

從技術(shù)角度看，目前常用的安全手段有內(nèi)外網(wǎng)隔離技術(shù)、加密技術(shù)、身份認(rèn)證、訪問控制、安全路由、網(wǎng)絡(luò)防病毒等，這些技術(shù)對防止非法入侵系統(tǒng)起到了一定的防御作用。代理及防火墻作為一種將內(nèi)外網(wǎng)隔離的技術(shù)，普遍運(yùn)用于校園網(wǎng)安全建設(shè)中。

網(wǎng)絡(luò)現(xiàn)狀

我校是一所市一級中學(xué)，目前有兩所網(wǎng)絡(luò)教室、200多臺教學(xué)辦公電腦，校園網(wǎng)一期工程為全校教教學(xué)教研建立了計(jì)算機(jī)信息網(wǎng)絡(luò)，實(shí)現(xiàn)了校園內(nèi)計(jì)算機(jī)聯(lián)網(wǎng)，信息資源共享并通過中國公用Internet網(wǎng)（CHINANET）與Internet互連，校園網(wǎng)結(jié)構(gòu)是：校園內(nèi)建筑物之間的連接選用多模光纖，以網(wǎng)管中心為中心，輻射向其他建筑物，樓內(nèi)水平線纜采用超五類非屏雙絞線纜。3Com 4900交換機(jī)作為核心交換機(jī)；二級交換機(jī)為3Com 3300。

安全隱患

當(dāng)時(shí)，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有：

1、校園網(wǎng)通過CHINANET與Internet相連，在享受Internet方便快捷的同時(shí)，也面臨著遭遇攻擊的風(fēng)險(xiǎn)。

2、校園網(wǎng)內(nèi)部也存在很大的安全隱患，由于內(nèi)部用戶對網(wǎng)絡(luò)的結(jié)構(gòu)和應(yīng)用模式都比較了解，因此來自內(nèi)部的安全威脅更大一些?，F(xiàn)在，黑客攻擊工具在網(wǎng)上泛濫成災(zāi)，而個(gè)別學(xué)生的心理特點(diǎn)決定了其利用這些工具進(jìn)行攻擊的可能性。

3、目前使用的操作系統(tǒng)存在安全漏洞，對網(wǎng)絡(luò)安全構(gòu)成了威脅。我校的網(wǎng)絡(luò)服務(wù)器安裝的操作系統(tǒng)有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系統(tǒng)：本身系統(tǒng)的漏洞、瀏覽器的漏洞、IIS的漏洞，這些都對原有網(wǎng)絡(luò)安全構(gòu)成威脅。

4、隨著校園內(nèi)計(jì)算機(jī)應(yīng)用的大范圍普及，接入校園網(wǎng)節(jié)點(diǎn)日漸增多，而這些節(jié)點(diǎn)大部分都沒有采取一定的防護(hù)措施，隨時(shí)有可能造成病毒泛濫、信息丟失、數(shù)據(jù)損壞、網(wǎng)絡(luò)被攻擊、系統(tǒng)癱瘓等嚴(yán)重后果。

由此可見，構(gòu)筑具有必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要。

措施及解決方案

根據(jù)我校校園網(wǎng)的結(jié)構(gòu)特點(diǎn)及面臨的安全隱患，我們決定采用下面一些安全方案和措施。

一、安全代理部署

在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺安全代理（ISA），并具防火墻等功能，形成內(nèi)外網(wǎng)之間的安全屏障。其中WWW、MAIL、FTP、DNS對外服務(wù)器連接在安全代理，與內(nèi)、外網(wǎng)間進(jìn)行隔離。那么，通過Internet進(jìn)來的公眾用戶只能訪問到對外公開的一些服務(wù)（如WWW、MAIL、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶非法訪問或破壞，也可以阻止內(nèi)部用戶對外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。在安全代理設(shè)置上可以按照以下原則配置來提高網(wǎng)絡(luò)安全性：

1、據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？傮w上遵從“關(guān)閉一切，只開有用”的原則。

2、安全代理配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入Internet的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。

3、安全代理上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。

4、定期查看安全代理訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄，并保留日志90天。

5、允許通過配置網(wǎng)卡對安全代理設(shè)置，提高安全代理管理安全性。

二、入侵檢測系統(tǒng)部署

入侵檢測能力是衡量一個(gè)防御體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測，及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖，并采取相應(yīng)的措施。具體來講，就是將入侵檢測引擎接入中心交換機(jī)上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員能夠及時(shí)采取應(yīng)對措施。

三、漏洞掃描系統(tǒng)

采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。

四、諾頓網(wǎng)絡(luò)版殺毒產(chǎn)品部署

在該網(wǎng)絡(luò)防病毒方案中，我們最終要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，我們應(yīng)該在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。

1、在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的Windows2000服務(wù)器安裝一個(gè)諾頓軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理200多個(gè)主機(jī)網(wǎng)點(diǎn)的計(jì)算機(jī)。

2、在各行政、教學(xué)單位等200多臺主機(jī)上分別安裝諾頓殺毒軟件網(wǎng)絡(luò)版的客戶端。

3、安裝完諾頓殺毒軟件網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對本機(jī)的查殺毒。

4、網(wǎng)管中心負(fù)責(zé)整個(gè)校園網(wǎng)的升級工作。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到諾頓網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它200多個(gè)主機(jī)網(wǎng)點(diǎn)的客戶端與服務(wù)器端，并自動對諾頓殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新，使全校的防毒病毒庫始終處于最新的狀態(tài)。

五、劃分內(nèi)部虛擬專網(wǎng)（VLAN），針對內(nèi)部有效VLAN設(shè)置合法地址池，針對不同VLAN開放相應(yīng)端口，阻止廣播風(fēng)暴發(fā)生。

六、實(shí)時(shí)升級Windows2000 Server、IE等各軟件補(bǔ)丁，減少漏洞；實(shí)行個(gè)人辦公電腦實(shí)名制。

七、安全管理

常言說：“三分技術(shù)，七分管理”，安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。我們建立了一套校園網(wǎng)絡(luò)安全管理模式，制定詳細(xì)的安全管理制度，如機(jī)房管理制度、病毒防范制度、上網(wǎng)規(guī)定等，同時(shí)要注意物理安全，防止設(shè)備器材的暴力損壞，防火、防雷、防潮、防塵、防盜等，并采取切實(shí)有效的措施保證制度的執(zhí)行。

近幾年，通過對以上措施的逐步實(shí)施，我校校園網(wǎng)絡(luò)能鴝安全正常運(yùn)行，為學(xué)校教育教學(xué)工作的順利開展提供了有力輔助，并漸入佳境。

本文標(biāo)題：高校網(wǎng)絡(luò)信息安全解決方案 高校網(wǎng)絡(luò)安全問題
文章來源：http://muchs.cn/article36/doecjsg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、網(wǎng)站建設(shè)、移動網(wǎng)站建設(shè)、自適應(yīng)網(wǎng)站、、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)