校园网结构与安全问题

在教学教育领域，资源共享、教学网络化、办公自动化无疑是大势所趋，为了让师生之间、教工之间达成互联互通，很多中小学校、大学都需要急需建立校园网，然而在校园局域网建设方面，由于各学校的情况不同，应用方向也有差异，导致在建设方案上有一定的区别，但归根结底，校园局域网的基本方案都相似，因此在部署校园局域网时，很多学校部署校园网方案时都会遇到类似的问题，为了校园内外"班班通"、"室室通"、"校校通"的目的，我们需要掌握校园的的施工、联网、使用与调式等知识，并对不同方案的部署情况进行详细思考，根据学校对信息点的安排和网络应用的需求，制定合理的校园网总体建设规划和实施方案，甚至需要解决一些部署后的实际问题，以满足目前校园局域网的实际应用需求。

创新互联建站服务项目包括鹿邑网站建设、鹿邑网站制作、鹿邑网页制作以及鹿邑网络营销策划等。多年来，我们专注于互联网行业，利用自身积累的技术优势、行业经验、深度合作伙伴关系等，向广大中小型企业、政府机构等提供互联网行业的解决方案，鹿邑网站推广取得了明显的社会效益与经济效益。目前，我们服务的客户以成都为中心已经辐射到鹿邑省份的部分城市，未来相信会继续扩大服务区域并继续获得客户的支持与信任！

一、用什么"线"联网？

在组建校园局域网时，很多用户对交换机、路由器、网卡等设备加以重视，这不可否认是正确的，但有时他们却忽视了一个不起眼的问题，那就是网线，在校园局域网中，一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统，不同的子系统，设备之间使用的网线也不同，这在很大程度上让用户感到迷茫。一般而言，局域网所使用的连线具有双绞线、同轴电缆、光缆三种，在校园局域网中，需要根据实际情况，选择对应的布线线缆比如对于校园内楼宇间的连接线缆，由于是暴露在室外，常年受到日晒雨林的影响和雷电的干扰，此时使用光缆作传输介质最为适宜。因为光缆具有高带宽，传输距离远，抗干扰能力强、安全性好、抗老化和高寿命等显著特点，此外，就目前大多数校园网的应用情况而言，校园网上承载的传输信息中，多媒体信息的传输量将会越来越大，如多媒体教学，电子阅览、视屏点播等应用，主干网传输介质必须具有承载千兆速率的能力，此时只有光缆才能满足户外主干网的布线需求。对于同轴电缆，由于货源难觅，其成本已超过光缆，比较适合短距离的核心设备连接，比如交换机与路由器的连接线缆。

校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地，如果选择双绞线，由于没有屏蔽层，在室外很容易感应雷电而产生干扰，甚至损坏设备。双绞线因受室外恶劣环景的影响，容易老化，寿命短。而且双绞线不容许超过100米，它不适合作连接楼与楼之间的主干电缆。不过对于校园室内的布线介质，由于需要管理区子系统并入设备间子系统，集中管理，所以线缆的长度比较大，由于光缆价格昂贵，选择双绞线是比较实际的，而且目前的屏蔽双绞铜线（STP）的抗干扰和传输距离比较好，不仅可支持一般的学校信息管理应用对网络传输带宽的要求，而且完全支持MPEG-2等格式的多媒体信息传输。 在校园网局域网中，常用的网络协议有NetBEUI、IPX/SPX和TCP/IP三种，在实际组网时，到底选择哪种网络协议，需要根据校园网的实际规模、网络应用需求、网络平台兼容性和网络管理等情况而定。其中NetBEUI协议是为中小局域网设计，它是用Single-Partnames定义网络节点，不支持多网段网络（不可路由），但具有安装非常简单、不需要进行配置、占用内存少等特点，因而对于中小学校的局域网而言，由于机器性能比较低，往往只安装了比老的Windows 95/98/NT系统，只是为了简单的文件和设备共享，并且暂时没有对外连接的需要，此时建议选择NetBEUI协议进行组网。

对于大学校园局域网而言，由于存在多个网段或要通过路由器与外部相连，加之学校配备的电脑性能比较好，此时NetBEUI协议就无法满足组网需求，建议选择IPX/SPX或TCP/IP协议组网，其中IPX/SPX 协议在复杂环境下具有很强的适应性，具有强大的路由功能，适合于大型网络使用，不过它局限于使用在NetWare网络环境中，在Windows网络环境中无法直接使用IPX/SPX通信协议。不过为了实现与NetWare平台的互联，Windows 系统提供了两个IPX/SPX兼容协议：NWLink SPX/SPX和NWLink NetBIOS，前者只能作为客户端的协议实现对NetWare服务器访问，而后者可在NetWare平台与Windows 平台之间传递信息，也能够作为Windows系统之间的通信协议。

尽管如此，大多数学生、教师依然习惯使用Windows平台，此时校园网选择TCP/IP协议是必然趋势，无论在局域网、广域网还是Internet，无论是Unix系统或Windows平台，TCP/IP协议都可以实现校园网的组网需要，TCP/IP是一种可路由协议，它采用一种分级的命名规则，通过给每个网络节点配置一个IP地址、一个子网掩码、一个网关和一个主机名，使得它容易确定网络和子网段之间的关系，获得很好的网络适应性、可管理性和较高的网络带宽使用效率。不过TCP/IP协议的配置和管理比NetBEUI 和IPX/SPX 更复杂，并且占用系统资源更多，所以对于机器性能不高或维护知识不够的中小学校，TCP/IP协议在校园网中存在一定的使用门槛。很多中小学校、大学分校依然存在着多个局域网没有互联的情况，此时如果重新进行校园网布局，不仅增加了建设成本，而且对于维护也带来一定麻烦。为此，学校应该使用适当的网络设备，实现多个局域网的互联，让学生、教师、办公人员可以进行资源共享、网络互通的目的。比如某中学希望将校园网和教师楼LAN连接起来，而校园网和教师楼LAN之间距离为500米，此时可以使用廉价的10base5方法互联，互联时使用直径10mm的50欧姆粗同轴电缆，每个网段允许有100个站点，每个网段最大允许距离为500m，可以由5个500m长的网段和4个中继器组成，不过这种互联方案存在一定的局限性，只适合校园内部的局域网互联，因而无法满足大学分校局域网互连的需要。

如果是大学校园网，由于有多个分校，希望将每个分校的局域网进行互联，此时采用无线路由器或无线AP进行互联，不过无线设备投入成本高，传输速率损失严重，而且安全性也没有保障，此时建议采用更为廉价的VPN方案，它可以通过特殊的加密通讯协议，在连接在Internet上的位于不同地方的两个或多个校园内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路，这就好比去电信局申请专线，但不用给铺设线路的费用，也不用购买路由器等硬件设备，而且网络之间的数据交换非常安全，只需选择支持VPN功能的交换机，防火墙设备，就可以实现多校园网局域网之间的互联。

在很多大学校园网中，学生寝室、教师宿舍都与主干网互联，在上网高峰阶段，一些用户进行BT下载或玩网络游戏，使得局域网资源大量占用，造成校园网出口带宽严重不足，速度极慢，给正常的工作带来了严重的影响，甚至会造成校园网瘫痪的尴尬局面，为此，校方可以通过在主服务器上安装流量控制软件，让他们不要使用在线播放音视频或在线游戏，如发现者，则封IP 断网24小时，如果觉得占用系统资源，也可以使用具有网管功能的交换机，通过交换机内置的控制程序，对局域网内的所有机器进行流量权限限制使用。

在校园局域网中，远程控制可能是最常见的教学应用，它可以提高工作效率，充分发挥校内电教设备的利用率，以及加强校园内电教设备的管理。比如校园广播系统，可以播放出操、升旗音乐，上下课音乐铃声，课间背景音乐，进行德育教育和外语教学、自办节目等，比如大型活动、临时通知等，往往需要电教员跑到广播室放音，而且由于放音人员离现声较远，很难看清现场的动态，有时会出现错误，带来不必要损失。远程控制就解决了问题，只须现场有一根网线就可以在现场控制远在广播室的电脑放音。如果现场没有连接到广播室的话筒线，还可以通过网络上的语音软件与广播室的电脑进行对话，达到话筒的功能，声音同样能在广播中听到。

为了实现所有设备的远程控制，要给每台电脑都装网卡，接入校园局域网。内部网络布线到每个教室和办公室，教师每人一台笔记本电脑，局域网内部建议使用一台远程控制服务器，可以让兼职的网管教师在自己的办公室或者学校的其它电脑上完成各项管理工作。实际组网时，主控电脑连接校园广播自动播放系统（一个由一台电脑通过端口命令管理系统电源开关的单片机。），然后在服务器、广播主控电脑、电视编辑机上装好被控端软件，添加一个用户和密码。安装语音通话软件（如MSN、局域网会议系统、企业QQ、NETMEETING等），在其它电脑上安装主控端软件，语音通话软件。如果有通知或者讲话，只要在此同时打开两台电脑的语音软件就可以了。 在校园网局域网中，经常遇到一些使用和维护上的问题，比如网卡在重启时正常检测，但不能同其他机器互联。这主要是由于子网掩码或IP地址配置错误、网线不通、网络协议不对、路由不对等几种情况。解决方法是首先ping本网卡的回送地址（127.0.0.1），若通，则说明本机TCP/IP工作正常；若不通，则需重新配置并重新启动电脑。有些网卡缺省设置其速率为100M，也会导致网络不通，需要根据所连交换机的速率，将其速率设置为10M、100M或设成自适应网线速率。

校园网网络安全解决方案

校园网网络是一个分层次的拓扑结构，因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

一、网络信息安全系统设计原则

1.1满足Internet分级管理需求

1.2需求、风险、代价平衡的原ze

1.3综合性、整体性原则

1.4可用性原则

1.5分步实施原则

目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想：

(1)大幅度地提高系统的安全性和保密性；

(2)保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；

(3)易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

(4)尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；

(5)安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

(6)安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想，网络信息安全系统应遵循如下设计原则：

满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。

--第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

--第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

-第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。 分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

二、网络信息安全系统设计步骤

网络安全需求分析

确立合理的目标基线和安全策略

明确准备付出的代价

制定可行的技术方案

工程实施方案(产品的选购与定制)

制定配套的法规、条例和管理办法

本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。

三、网络安全需求

确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全问题：

局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现

在连接Internet时，如何在网络层实现安全

应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵

如何实现广域网信息传输的安全保密性

加密系统如何布置，包括建立证书管理中心、应用系统集成加密等

如何实现远程访问的安全性

如何评价网络系统的整体安全性

基于这些安全问题的提出，网络信息系统一般应包括如下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。

四、网络安全层次及安全措施

4.1链路安全

4.2网络安全

4.3信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。

信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA)

网络安全访问控制(防火墙)网络安全检测入侵检测(监控) IPSEC(IP安全)审计分析链路安全链路加密

4.1链路安全 链路安全保护措施主要是链路加密设备，如各种链路加密机。它对所有用户数据一起加密，用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此，在加密后的数据不需要进行路由交换的情况下，如DDN直通专线用户就可以选择路由加密设备。

一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网，同步线路密码机则可用于许多专线环境。

4.2网络安全 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的，所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来，成为可管理、可控制的安全的内部网络。也只有做到这一点，实现信息网络的安全才有可能，而最基本的分隔手段就是防火墙。利用防火墙，可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。

目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层，一般可以对多种应用协议进行代理，并对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

信息系统是动态发展变化的，确定的安全策略与选择合适的防火墙产品只是一个良好的开端，但它只能解决60%-80%的安全问题，其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等，这些都是对信息系统安全的挑战。

信息系统的安全应该是一个动态的发展过程，应该是一种检测——监视——安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。

网络安全检测是对网络进行风险评估的重要措施，通过使用网络安全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。

入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安全策略等。

另外，使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用IP认证头(IP AH)可以提供认证与数据完整性机制。利用IP封装净载(IP ESP)可以实现通信内容的保密。IP信道加密技术的优点是对应用透明，可以提供主机到主机的安全服务，并通过建立安全的IP隧道实现虚拟专网即VPN。目前基于IPSEC的安全产品主要有网络加密机，另外，有些防火墙也提供相同功能。

五、校园网网络安全解决方案

5.1基本防护体系(包过滤防火墙+NAT+计费)

用户需求：全部或部分满足以下各项·解决内外网络边界安全，防止外部攻击，保护内部网络·解决内部网安全问题，隔离内部不同网段，建立VLAN ·根据IP地址、协议类型、端口进行过滤·内外网络采用两套IP地址，需要网络地址转换NAT功能·支持安全服务器网络SSN ·通过IP地址与MAC地址对应防止IP欺骗·基于IP地址计费·基于IP地址的流量统计与限制·基于IP地址的黑白名单。

·防火墙运行在安全操作系统之上·防火墙为独立硬件·防火墙无IP地址解决方案：采用网络卫士防火墙PL FW1000

5.2标准防护体系(包过滤防火墙+NAT+计费+代理+VPN)

用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项·提供应用代理服务，隔离内外网络·用户身份鉴别·权限控制·基于用户计费·基于用户的流量统计与控制·基于WEB的安全管理·支持VPN及其管理·支持透明接入·具有自身保护能力，防范对防火墙的常见攻击

解决方案：

(1)选用网络卫士防火墙PL FW2000 (2)防火墙基本配置+网络加密机(IP协议加密机)

5.3强化防护体系(包过滤+NAT+计费+代理+VPN+网络安全检测+监控) 用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项·网络安全性检测(包括服务器、防火墙、主机及其它TCP/IP相关设备) ·操作系统安全性检测·网络监控与入侵检测

解决方案：选用网络卫士防火墙PL FW2000+网络安全分析系统+网络监控器

学校、教师和学生应如何预防和应对网络、信息安全事故?

学校的责任，购买防火墙等硬件设备

老师的责任，部署杀毒软件，设置安全策略，加强管理

学生的责任，遵守计算机教室的规章制度，听从老师的指导。

安全最薄弱的一环恰恰就是学生那一环，因此，除了加强管理和教育以外，真的别无良策。

网络安全技术的问题及解决方案

园网络技术安全问题解决方案

随着网络的高速发展，网络的安全问题日益突出，近两年间，黑客攻击、网络病毒等屡屡曝光，国家相关部门也一再三令五申要求切实做好网络安全建设和管理工作。但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在"重技术、轻安全、轻管理"的倾向，随着网络规模的急剧膨胀，网络用户的快速增长，关键性应用的普及和深入，校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题，解决网络安全问题刻不容缓。

字串8

一、目前校园网络中存在的安全问题

字串2

1、网络安全方面的投入严重不足，没有系统的网络安全设施配备

字串5

大多数学校网络建设经费严重不足，所以就将有限的经费投在关键设备上，对于网络安全建设一直没有比较系统的投入，致使校园网处在一个开放的状态，没有任何有效的安全预警手段和防范措施。 字串3

2、 学校的上网场所管理较混乱 字串7

由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统，是学校的网络管理各自为政，缺乏上网的有效监控和日志，上网用户的身份无法唯一识别，存在极大的安全隐患。

字串1

3、 电子邮件系统极不完善，无任何安全管理和监控的手段

字串1

电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决

字串4

4．网络病毒泛滥，造成网络性能急剧下降，很多重要数据丢失，损失不可估量。 字串2

网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。

字串7

5.网络安全意识淡薄，没有指定完善的网络安全管理制度 字串9

校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。 字串5

综上所述，校园网络安全的形势非常严峻，为解决以上安全隐患和漏洞，结合校园网特点和现今网络安全的典型解决方案和技术，航天联志公司根据多年对校园网络的深刻理解，提出了以下校园网络安全解决方案。 字串2

二、校园网络安全解决方案

字串9

1、规范出口的管理 字串4

实施校园网的整体安全架构，必须解决多出口的问题。对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。

字串1

2、 配备完整的、系统的网络安全设备

字串4

在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外配置安全设备既要考虑到功能，同时也必须考虑性能和可扩展性，以避免成为网络的瓶颈。通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。

字串7

3、 解决用户上网身份问题，建立全校统一的身份认证系统 字串7

校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。

字串6

4．严格规范上网场所的管理，集中进行监控和管理 字串1

上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 字串8

5． 改造电子邮件系统，提供多种安全监控和管理功能

字串9

针对目前邮件系统存在的安全隐患，航天联志结合国内知名的邮件安全系统提供商美讯智推出了专门针对校园网的邮件安全系统。该系统具有强大的高准确率和低误报率，使被垃圾邮件的准确率高达98%；而且独特的策略模块可以帮助用户简单轻松的视线邮件系统的管理与维护；全面防护针对传输层25端口的攻击，防止邮件地址泄露，保障邮件系统的安全；通过直观的图标和多种查询方式全面显示邮件的应用情况并可以及时调整策略设定。这些优秀的功能为校园网的邮件安全带来了坚实的防护。

字串2

6．根据相关部门的要求，配备专门的安全管理人员，出台网络安全管理制度

字串7

网络安全建设是"三分设备，七分管理"，没有切实可行的安全保障体系和制度，网络安全就变成了空谈。随着网络技术的迅速发展和上网用户对网络的了解程度越深，网络安全的形式就越严峻，这也从近几年互联网络安全问题频频出现得到印证。而网络安全的技术又是非常复杂和广泛的，现状还是"道高一尺，魔高一丈"，这样，管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。另外，学校必须颁布网络行为规范和具体处罚条例，这样才能有效的控制和减少内部网络的隐患。

字串3

互联网络的飞速发展，对校园网络中师生的生活和学习已经产生了深远的影响，网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时，我们需要清醒的认识到，网络安全问题的日益严重也越来越成为网络应用的巨大阻碍，校园网络安全已经到了必须要统一管理和彻底解决的地步，只有很好的解决了网络安全问题，校园网络的应用才能健康、高速的发展。

网络安全的解决方案!急,满意再给100!

谈对网络安全的认识

近几年来，网络越来越深入人心，它是人们工作、学习、生活的便捷工具和丰富资源。但是，我们不得不注意到，网络虽然功能强大，也有其脆弱易受到攻击的一面。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达75亿美元，而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国，每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时，对网络安全问题也决不能忽视。作为学校，如何建立比较安全的校园网络体系，值得我们关注研究。

建立校园网络安全体系，主要依赖三个方面：一是威严的法律；二是先进的技术；三是严格的管理。

从技术角度看，目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由、网络防病毒等，这些技术对防止非法入侵系统起到了一定的防御作用。代理及防火墙作为一种将内外网隔离的技术，普遍运用于校园网安全建设中。

网络现状

我校是一所市一级中学，目前有两所网络教室、200多台教学办公电脑，校园网一期工程为全校教教学教研建立了计算机信息网络，实现了校园内计算机联网，信息资源共享并通过中国公用Internet网（CHINANET）与Internet互连，校园网结构是：校园内建筑物之间的连接选用多模光纤，以网管中心为中心，辐射向其他建筑物，楼内水平线缆采用超五类非屏双绞线缆。3Com 4900交换机作为核心交换机；二级交换机为3Com 3300。

安全隐患

当时，校园网络存在的安全隐患和漏洞有：

1、校园网通过CHINANET与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。

2、校园网内部也存在很大的安全隐患，由于内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

3、目前使用的操作系统存在安全漏洞，对网络安全构成了威胁。我校的网络服务器安装的操作系统有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系统：本身系统的漏洞、浏览器的漏洞、IIS的漏洞，这些都对原有网络安全构成威胁。

4、随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

由此可见，构筑具有必要的信息安全防护体系，建立一套有效的网络安全机制显得尤其重要。

措施及解决方案

根据我校校园网的结构特点及面临的安全隐患，我们决定采用下面一些安全方案和措施。

一、安全代理部署

在Internet与校园网内网之间部署一台安全代理（ISA），并具防火墙等功能，形成内外网之间的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在安全代理，与内、外网间进行隔离。那么，通过Internet进来的公众用户只能访问到对外公开的一些服务（如WWW、MAIL、FTP、DNS等），既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在安全代理设置上可以按照以下原则配置来提高网络安全性：

1、据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“关闭一切，只开有用”的原则。

2、安全代理配置成过滤掉以内部网络地址进入Internet的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。

3、安全代理上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。

4、定期查看安全代理访问日志，及时发现攻击行为和不良上网记录，并保留日志90天。

5、允许通过配置网卡对安全代理设置，提高安全代理管理安全性。

二、入侵检测系统部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测，及时发现各种可能的攻击企图，并采取相应的措施。具体来讲，就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身，能实时捕获内外网之间传输的所有数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异常现象，并在数据库中记录有关事件，作为网络管理员事后分析的依据；如果情况严重，系统可以发出实时报警，使得学校管理员能够及时采取应对措施。

三、漏洞扫描系统

采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。

四、诺顿网络版杀毒产品部署

在该网络防病毒方案中，我们最终要达到一个目的就是：要在整个局域网内杜绝病毒的感染、传播和发作，为了实现这一点，我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

1、在学校网络中心配置一台高效的Windows2000服务器安装一个诺顿软件网络版的系统中心，负责管理200多个主机网点的计算机。

2、在各行政、教学单位等200多台主机上分别安装诺顿杀毒软件网络版的客户端。

3、安装完诺顿杀毒软件网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

4、网管中心负责整个校园网的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到诺顿网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它200多个主机网点的客户端与服务器端，并自动对诺顿杀毒软件网络版进行更新，使全校的防毒病毒库始终处于最新的状态。

五、划分内部虚拟专网（VLAN），针对内部有效VLAN设置合法地址池，针对不同VLAN开放相应端口，阻止广播风暴发生。

六、实时升级Windows2000 Server、IE等各软件补丁，减少漏洞；实行个人办公电脑实名制。

七、安全管理

常言说：“三分技术，七分管理”，安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式，制定详细的安全管理制度，如机房管理制度、病毒防范制度、上网规定等，同时要注意物理安全，防止设备器材的暴力损坏，防火、防雷、防潮、防尘、防盗等，并采取切实有效的措施保证制度的执行。

近几年，通过对以上措施的逐步实施，我校校园网络能鸲安全正常运行，为学校教育教学工作的顺利开展提供了有力辅助，并渐入佳境。

本文标题：高校网络信息安全解决方案 高校网络安全问题
分享网址：http://ybzwz.com/article/doecjsg.html