校園網(wǎng)絡(luò)安全建設(shè)精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的校園網(wǎng)絡(luò)安全建設(shè)主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：校園網(wǎng)絡(luò)安全建設(shè)范文

【關(guān)鍵詞】校園網(wǎng)；網(wǎng)絡(luò)安全；安全策略

【中圖分類號】TN915.08【文獻(xiàn)標(biāo)識碼】A【文章編號】1672-5158（2013）07-0329-02

1 校園網(wǎng)絡(luò)安全規(guī)范

校園的網(wǎng)絡(luò)安全是指利用各種網(wǎng)絡(luò)監(jiān)控和管理技術(shù)措施，對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)資源實施保護(hù)，使其不會因為一些不利因素而遭到破壞，從而保證網(wǎng)絡(luò)系統(tǒng)連續(xù)、安全、可靠地運行。

學(xué)校網(wǎng)絡(luò)中心負(fù)責(zé)網(wǎng)絡(luò)設(shè)備的運行管理，信息中心負(fù)責(zé)網(wǎng)絡(luò)資源，系統(tǒng)管理員口令絕對保密，根據(jù)用戶需求嚴(yán)格控制，合理分配用戶權(quán)限，向?qū)W生開放的教學(xué)實驗室應(yīng)禁止使用軟驅(qū)和光驅(qū)，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網(wǎng)絡(luò)狀況分析

（1）資源分布和應(yīng)用服務(wù)體系

校園網(wǎng)絡(luò)可向網(wǎng)絡(luò)用戶提供：域名服務(wù)（DNS），電子郵件服務(wù)（Email），遠(yuǎn)程登錄（telnet），文件傳輸服務(wù)（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲，交換，檢索等服務(wù)。

（2）網(wǎng)絡(luò)結(jié)構(gòu)的劃分

整個網(wǎng)絡(luò)是由各網(wǎng)絡(luò)中心，和園區(qū)內(nèi)部網(wǎng)絡(luò)通過各種通信方式互聯(lián)而成，所有網(wǎng)絡(luò)可歸納為由連接子網(wǎng)、公共子網(wǎng)、服務(wù)子網(wǎng)、內(nèi)部網(wǎng)四個部分組成。這四部分組成一個獨立單位的局域網(wǎng)，然后通過廣域連接與其他網(wǎng)絡(luò)連接。

2.2 網(wǎng)絡(luò)安全目標(biāo)

為了增加網(wǎng)絡(luò)安全性，必須對信息資源加以保護(hù)，對服務(wù)資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問控制。

b：內(nèi)部信息；即需要身份驗證以及根據(jù)根據(jù)身份進(jìn)行訪問控制。

C：敏感信息；即需要驗證身份和傳輸加密。

（2）服務(wù)資源包括：內(nèi)部服務(wù)資源、公眾服務(wù)資源

內(nèi)部服務(wù)資源：面向已知客戶，管理和控制內(nèi)部用戶對信息資源的訪問。

公眾服務(wù)資源：面向匿名客戶，防止和抵御外來的攻擊。

3 校園網(wǎng)絡(luò)安全技術(shù)的應(yīng)用

3.1 建立網(wǎng)絡(luò)安全模型

通信雙方在網(wǎng)絡(luò)上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網(wǎng)絡(luò)環(huán)境中安全地傳輸信息，需要對信息提供安全機(jī)制和安全服務(wù)。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負(fù)責(zé)向通信雙方秘密信息，并在雙方發(fā)生爭議時進(jìn)行仲裁。設(shè)計一個網(wǎng)絡(luò)安全方案時，需要完成以下四個基本任務(wù)：

（1）設(shè)計一個算法，執(zhí)行安全相關(guān)的轉(zhuǎn)換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發(fā)與共享的方法；

（4）設(shè)定兩個責(zé)任者使用的協(xié)議，利用算法和秘密信息取得安全服務(wù)。

3.2 數(shù)據(jù)備份方法

數(shù)據(jù)備份有多種實現(xiàn)形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續(xù)的物理磁盤塊上，備份系統(tǒng)能識別文件結(jié)構(gòu)，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設(shè)備的備份”，其在拷貝磁盤塊到備份介質(zhì)上時忽略文件結(jié)構(gòu)，從而提高備份的性能。因為在執(zhí)行過程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個系統(tǒng)或用戶指定的所有文件數(shù)據(jù)進(jìn)行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現(xiàn)數(shù)據(jù)丟失等問題，可以使用備份文件快速地恢復(fù)數(shù)據(jù)。

（4）增量備份

為了解決完全備份的兩個缺點，出現(xiàn)了更快、更小的增量備份。增量備份只備份相對于上次備份操作更新過的數(shù)據(jù)。因為在特定的時間段內(nèi)只有少量的文件發(fā)生改變，既節(jié)省空間，又縮短了備份的時間。因而這種備份方法比較經(jīng)濟(jì)，可以頻繁地進(jìn)行。

（5）差異備份

差異備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。它的主要目的是將完全恢復(fù)時涉及到備份記錄數(shù)量限制在兩個，以簡化恢復(fù)的復(fù)雜性。

3.3 防火墻技術(shù)

防火墻是在網(wǎng)絡(luò)之間通過執(zhí)行控制策略來保護(hù)網(wǎng)絡(luò)的系統(tǒng)，它包括硬件和軟件。設(shè)置防火墻的目的是保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用。

防火墻是一個由軟件與硬件組成的系統(tǒng)。由于不同內(nèi)部網(wǎng)的安全策略與防護(hù)目的不同，防火墻系統(tǒng)的配置與實現(xiàn)方式也有很大的區(qū)別。簡單的一個包過濾路由器或應(yīng)用網(wǎng)關(guān)、應(yīng)用服務(wù)器都可以作為防火墻使用。

3.4 入侵檢測技術(shù)

入侵檢測系統(tǒng)是對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別的系統(tǒng)。它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為，包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部的非法授權(quán)行為，并采取相應(yīng)的防護(hù)手段。它的基本功能包括：

（1）監(jiān)控、分析用戶和系統(tǒng)的行為。

（2）檢查系統(tǒng)的配置和漏洞。

（3）評估重要的系統(tǒng)和數(shù)據(jù)文件的完整性。

（4）對異常行為的統(tǒng)計分析，識別攻擊類型，并向網(wǎng)絡(luò)管理人員報警。

（5）對操作系統(tǒng)進(jìn)行審計、跟蹤管理，識別違反授權(quán)的用戶活動。

4 校園網(wǎng)主動防御體系

校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的。在設(shè)計校園網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)時，首先要了解學(xué)校的需要和目標(biāo)，制定安全策略。因此網(wǎng)絡(luò)安全防范體系應(yīng)該是動態(tài)變化的，必須不斷適應(yīng)安全環(huán)境的變化，以保證網(wǎng)絡(luò)安全防范體系的良性發(fā)展，確保它的有效性和先進(jìn)性。

安全管理貫穿整個安全防范體系，是安全防范體系的核心。網(wǎng)絡(luò)系統(tǒng)的安全性不只是技術(shù)方面的問題，一個有效的安全防范體系應(yīng)該是以安全策略為核心，以安全技術(shù)為支撐，以安全管理為落實，安全管理主要是對安全技術(shù)和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術(shù)是輔助安全管理的措施。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或其它安全威脅時，無法進(jìn)行實時的檢測、監(jiān)控、報告與預(yù)警。同時，也無法提供黑客攻擊的追蹤線索，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求網(wǎng)絡(luò)管理員經(jīng)常通過網(wǎng)絡(luò)攻擊掃描器提前識別弱點區(qū)域，入侵系統(tǒng)監(jiān)控和響應(yīng)安全事件，必須對站點的訪問活動進(jìn)行多層次的記錄，及時發(fā)現(xiàn)非法入侵。

結(jié)論

通過上述分析，我提出如下校園網(wǎng)絡(luò)安全防范策略：

（1）利用防火墻將內(nèi)網(wǎng)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

（2）利用防火墻建立網(wǎng)絡(luò)的安全保護(hù)措施，保證系統(tǒng)安全；

（3）利用防火墻對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問被拒絕；利用防火墻加強(qiáng)合法用戶的訪問認(rèn)證，同時在不影響用戶正常訪問的基礎(chǔ)上將訪問權(quán)限控制在最低限度內(nèi)；

（4）在Internet出口處，使用NetHawk監(jiān)控系統(tǒng)進(jìn)行網(wǎng)絡(luò)活動實時監(jiān)控；

（5）在本校區(qū)部署RJ-iTop網(wǎng)絡(luò)隱患掃描系統(tǒng)，定期對整個網(wǎng)絡(luò)的安全狀況進(jìn)行評估，及時彌補(bǔ)出現(xiàn)的漏洞；

（6）加強(qiáng)網(wǎng)絡(luò)安全管理，提高全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)。

[1] 馮登國.計算機(jī)通信網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2001，3

[2] 蔡立軍.計算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：中國水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計算機(jī)網(wǎng)絡(luò)與信息安全[M].北京：希望電子出版社，2006.2：42-43

第2篇：校園網(wǎng)絡(luò)安全建設(shè)范文

【 關(guān)鍵詞 】 校園網(wǎng)；信息安全；網(wǎng)絡(luò)技術(shù)，技術(shù)應(yīng)用

On the Construction of Campus Network and Network Information Security

Luo Qiong

（Sichuan College of Chemical Technology SichuanLuzhou 646005）

【 Abstract 】 campus network is a local area network， LAN is one or several buildings in the computer， terminal， with a mass storage peripheral device， controller， display， as well as for connections to other network and use network connectors connected with each other， with a high speed for the purpose of the network ". With the development of computer technology and network technology， Internet has penetrated into all aspects of the school， the school has established a campus network， campus network construction to help students access to information， to help teachers in the teaching and research activities， helps improve teaching environment， conducive to the school to establish a good image， attract students， improve level of management and management efficiency.

【 Keywords 】 campus network； information security； network technology， technology application

0 前言

現(xiàn)代化信息社會里，要想建一流的學(xué)校，要想實現(xiàn)學(xué)校的科學(xué)高效管理，就必須將網(wǎng)絡(luò)技術(shù)應(yīng)用到日常教學(xué)管理中。校園網(wǎng)的主要應(yīng)用范圍大概分為幾種情況：①從教師角度來說，幫助教師從網(wǎng)絡(luò)中獲取知識、幫助教師備課、豐富課堂教學(xué)內(nèi)容；②從學(xué)生角度來說，校園網(wǎng)是學(xué)生學(xué)習(xí)的工具，是學(xué)生之間交流的工具，有利于學(xué)生學(xué)習(xí)文化知識和培養(yǎng)學(xué)生良好的人際溝通能力；③從學(xué)校后勤管理工作來說，校園網(wǎng)能夠很好地服務(wù)于教學(xué)管理工作，無論是財務(wù)管理、行政管理還是人事管理等都離不開計算機(jī)，離不開網(wǎng)絡(luò)技術(shù)；④從學(xué)校整體來說，校園網(wǎng)是一個媒介，是學(xué)校與外面溝通的窗口，是一個信息平臺，在這個平臺上既可以從校外獲取各種信息，也可以向外各種信息。

1 校園網(wǎng)建設(shè)關(guān)鍵技術(shù)分析

校園網(wǎng)建設(shè)是一個系統(tǒng)工程，需要大量的軟件和硬件，主要分為幾方面。

網(wǎng)絡(luò)協(xié)議技術(shù)：在校園局域網(wǎng)上用到的協(xié)議主要有ICP/IP協(xié)議、IPX/SPX協(xié)議等，協(xié)議是通信雙方共同遵守的約定和規(guī)范，網(wǎng)絡(luò)設(shè)備必須安裝或設(shè)置各種網(wǎng)絡(luò)協(xié)議之后才能完成數(shù)據(jù)的傳輸和發(fā)送。

OSI網(wǎng)絡(luò)體系結(jié)構(gòu)：主要由應(yīng)用層、表示層、會話層、運輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層組成，其中物理層是位于體系結(jié)構(gòu)的最低層，它定義了OSI網(wǎng)絡(luò)中的物理特性和電氣特性。

HTTP、FTP、Telnet協(xié)議。HTTP是用于分布式協(xié)作超文本信息系統(tǒng)的、通用的、面向?qū)ο蟮膽?yīng)用層協(xié)議。FTP是客戶/服務(wù)器方式服務(wù)的各種規(guī)則所組成的集合，主要用來支持Internet文件傳輸。Telnet是采用客戶/服務(wù)器模式的應(yīng)用層協(xié)議，提供終端設(shè)備與面向進(jìn)程接口的標(biāo)準(zhǔn)方法，Telnet應(yīng)用廣泛，功能強(qiáng)大，尤其適用于用戶登錄遠(yuǎn)端主機(jī)和允許用戶執(zhí)行遠(yuǎn)端主機(jī)命令這兩方面，可以在有限的網(wǎng)絡(luò)空間下獲取無限的網(wǎng)絡(luò)資源。

常用網(wǎng)絡(luò)硬件設(shè)備：一般來說，網(wǎng)絡(luò)設(shè)備有網(wǎng)卡、集線器、交換機(jī)等，這些設(shè)備按照一定的組合方式連接起來，在整個網(wǎng)絡(luò)中分別發(fā)揮著自己的功能又同時存在著密切的聯(lián)系。網(wǎng)卡是實現(xiàn)網(wǎng)絡(luò)通訊的重要設(shè)備之一，它是計算機(jī)與網(wǎng)絡(luò)的接口，選用網(wǎng)卡時要注意，網(wǎng)卡有很多種，不同類型的網(wǎng)絡(luò)需要使用不同種類的網(wǎng)卡，如從校園網(wǎng)建設(shè)的實際應(yīng)用情況來看，工作站網(wǎng)卡選擇PCI總線的10M /100Mbit/s自適應(yīng)網(wǎng)卡最適合。路由器主要分為軟路由和硬路由，有靜態(tài)的和動態(tài)的，路由器是校園網(wǎng)中不可缺少的設(shè)備，它的功能比較強(qiáng)大，主要用來將不同的網(wǎng)絡(luò)物理分支和不同的通信媒介連接在一起及過濾和隔離網(wǎng)絡(luò)數(shù)據(jù)流、控制和管理復(fù)雜的路徑、在網(wǎng)絡(luò)分支之間提供安全屏障層等功能，當(dāng)數(shù)據(jù)流到達(dá)路由器后，路由器根據(jù)路徑的代價，選擇一條最佳的路徑，然后把數(shù)據(jù)幀沿這條路徑發(fā)送給目標(biāo)地址。服務(wù)器，校園網(wǎng)中的服務(wù)器有數(shù)據(jù)庫服務(wù)器和服務(wù)器，學(xué)校里計算機(jī)數(shù)量眾多而且集中，服務(wù)器的選擇應(yīng)該針對校園網(wǎng)特點，選擇具有較大容量、較高處理速度和穩(wěn)定性的大型服務(wù)器。

2 校園網(wǎng)建設(shè)思路

校園是一個特殊的網(wǎng)絡(luò)環(huán)境，校園網(wǎng)的建設(shè)應(yīng)該結(jié)合學(xué)校實際情況，進(jìn)行詳細(xì)規(guī)劃。校園網(wǎng)的建設(shè)要體現(xiàn)分布式、開放式、安全可靠，維護(hù)簡單等原則，重點是應(yīng)用局域網(wǎng)技術(shù)以及多媒體技術(shù)為主的各種網(wǎng)絡(luò)應(yīng)用技術(shù)。

校園網(wǎng)建設(shè)的目的是為日常教學(xué)和后勤行政管理提供服務(wù)，不斷提高教學(xué)管理水平，拓寬教師和學(xué)生的知識面，利用現(xiàn)代信息技術(shù)可以推動和改變傳統(tǒng)的教學(xué)模式，加速教學(xué)方式的改革，改變傳統(tǒng)的灌輸式教育，改變以往老師講、學(xué)生聽，死記硬背的傳統(tǒng)教學(xué)方式，實施以學(xué)生為主的教育教學(xué)方式。

校園網(wǎng)建設(shè)過程中，應(yīng)該校園網(wǎng)的功能與作用，結(jié)合學(xué)校應(yīng)注重硬件設(shè)備、軟件跟上、“智件”超前、“潛件”保障，即“四件”平衡。其中“智件”是主題，是指富有文化知識的教師，“潛件”主要指服務(wù)于教學(xué)的各種保障措施。

校園網(wǎng)建設(shè)過程注重高效、避免重復(fù)浪費，校園網(wǎng)是一個復(fù)雜的系統(tǒng)工程，在建設(shè)之初就應(yīng)該做好整體規(guī)劃，使工程形成良性循環(huán)，保證各個環(huán)節(jié)成本最低，尤其是避免重復(fù)投資和不合理利用資源現(xiàn)象的發(fā)生，校園網(wǎng)建設(shè)過程中要盡量使用成熟技術(shù)，因為成熟技術(shù)既可以減少風(fēng)險，又能做到性能穩(wěn)定、實施快、見效快，維護(hù)更新更有保障。

3 校園網(wǎng)的信息安全現(xiàn)狀及解決對策

3.1 校園網(wǎng)的信息安全現(xiàn)狀

校園網(wǎng)本身存在“重技術(shù)、輕安全、輕管理”的傾向，在各種論壇、聊天室出現(xiàn)的不良言論無法用人工審核監(jiān)督的方式有效解決，作為教育信息化基石和院校形象保障的校園信息安全問題不容樂觀。加上院校各類應(yīng)用系統(tǒng)的不斷增加和擴(kuò)充，網(wǎng)絡(luò)中心等管理單位所維護(hù)并管理的服務(wù)器逐漸增多，特別是諸多的Linux服務(wù)器占據(jù)著許多重要應(yīng)用，比如網(wǎng)站服務(wù)器、郵件服務(wù)器、解析服務(wù)器等，不同于Windows的界面化操作，Linux系統(tǒng)在提供穩(wěn)定服務(wù)的同時對維護(hù)人員和維護(hù)工作都有較高的要求，從而導(dǎo)致必須為Linux服務(wù)器配備較多的技術(shù)人員和工作強(qiáng)度。

校園網(wǎng)連接的除了各級行政單位網(wǎng)絡(luò)，還連接校內(nèi)學(xué)生機(jī)，因此存在許多安全隱患，主要表現(xiàn)有校園網(wǎng)與 Internet 相連，存在著外網(wǎng)攻擊的風(fēng)險；來自校園網(wǎng)內(nèi)部的安全威脅；接入校園網(wǎng)的節(jié)點數(shù)日益增多，這些節(jié)點會面臨病毒泛濫、信息丟失、數(shù)據(jù)損壞等安全問題。

3.2 針對校園網(wǎng)的信息安全所采取的解決對策

隨著網(wǎng)絡(luò)的高速發(fā)展，信息交流和共享的速度逐漸加快，網(wǎng)絡(luò)不斷出現(xiàn)新病毒，校園網(wǎng)存在很大安全隱患，如何更好地對計算機(jī)進(jìn)行防護(hù)，如何保護(hù)校園網(wǎng)絡(luò)的安全是計算機(jī)專業(yè)人員重點考慮的問題，與此同時，學(xué)校對網(wǎng)絡(luò)信息安全問題越來越重視，紛紛建立了一套有效的網(wǎng)絡(luò)安全機(jī)制，重點防范網(wǎng)絡(luò)病毒、黑客攻擊。通過瑞星防毒墻、瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)、網(wǎng)絡(luò)版殺毒軟件，實現(xiàn)網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)監(jiān)控措施、網(wǎng)絡(luò)病毒的防范等安全需求。

1）防毒墻的部署

在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署了一臺瑞星防毒墻，其中WWW、E-mail、FTP、DNS服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與 Internet 連接。這樣，通過 Internet 進(jìn)來的外網(wǎng)用戶只能訪問到對外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被非法訪問或破壞，也阻止了內(nèi)部用戶對外部不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行跟蹤和審計。

2）瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)的部署

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，根據(jù)校園網(wǎng)絡(luò)的特點，我們采用瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，接入 Cisco 中心交換機(jī)上，對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實時檢測。

3）瑞星網(wǎng)絡(luò)版殺毒軟件的部署

為了實現(xiàn)在整個局域網(wǎng)內(nèi)病毒的防護(hù)，我們在可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。實現(xiàn)了遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺病毒等多種安全防護(hù)功能。

4）整體實現(xiàn)的主要功能

通過對大學(xué)校園網(wǎng)絡(luò)的安全設(shè)計，在不改變原有網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實現(xiàn)多種信息安全，保障大學(xué)校內(nèi)部網(wǎng)絡(luò)安全；實現(xiàn)對整個校園網(wǎng)病毒防范和查殺，有效防止病毒在校園網(wǎng)內(nèi)的傳播；保護(hù)脆弱的服務(wù)，通過過濾不安全的服務(wù)，防火墻可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險；控制內(nèi)部和外部用戶對校內(nèi)各種應(yīng)用系統(tǒng)的訪問，有效保護(hù)內(nèi)部各種應(yīng)用服務(wù)器，例如防火墻允許外部訪問特定的Mail Server和Web Server；提供集中的統(tǒng)一安全管理，管理員可以通過管理控制臺對內(nèi)部和外部用戶指定統(tǒng)一的安全策略；提供強(qiáng)大的安全日志記錄和統(tǒng)計，管理員可以通過各種安全日志對網(wǎng)絡(luò)進(jìn)行實時監(jiān)控和統(tǒng)計分析，及時發(fā)現(xiàn)網(wǎng)絡(luò)的各種安全事件。

4 結(jié)束語

校園網(wǎng)的發(fā)展對教育事業(yè)的發(fā)展起到了催化劑的作用，教育依托信息技術(shù)實現(xiàn)了教學(xué)與管理的信息化和現(xiàn)代化，校園網(wǎng)的建設(shè)提高了教師的教學(xué)水平，提高了學(xué)生的學(xué)習(xí)興趣，提升了教育科研水平，大大增強(qiáng)了學(xué)校的綜合實力。雖然，校園網(wǎng)絡(luò)技術(shù)發(fā)展過程中遇到了很多網(wǎng)絡(luò)安全考驗和硬件維護(hù)等困難，但是只要采取合理的措施，殺毒軟件及時更新，防火墻時時監(jiān)護(hù)等，就一定能在最大程度上保證校園網(wǎng)的信息安全。

參考文獻(xiàn)

[1] 官金安，傅德榮.“基于Internet/Intranet的學(xué)校CBE系統(tǒng)的建設(shè)”，電化教育研究，2000（2）.

[2] 劉慶瑜.校園網(wǎng)中的網(wǎng)絡(luò)安全問題淺談[J].寧波大紅鷹職業(yè)技術(shù)學(xué)院學(xué)報；2006年01期.

[3] 紀(jì)楠楠.淺析校園網(wǎng)絡(luò)安全[J].商業(yè)經(jīng)濟(jì)，2007年09期.

[4] 厲曉華.高校網(wǎng)絡(luò)安全管理模式的探索與實踐[J].科技創(chuàng)新導(dǎo)報，2009年04期.

第3篇：校園網(wǎng)絡(luò)安全建設(shè)范文

校園網(wǎng)安全系統(tǒng)的建設(shè)是一個龐大而復(fù)雜的工程，不可能在短時間內(nèi)完成，也不能有一個完整而周全的解決方案。我們只能是想方設(shè)法使學(xué)校的網(wǎng)絡(luò)更加安全，盡量減少因為網(wǎng)絡(luò)安全帶來的損失。在WPDRRC模型中，連接的依次是預(yù)警（Warning）、保護(hù)(Protect)、檢測(Detect)、響應(yīng)(Respond)、恢復(fù)(Restore)、反擊(Counterattack)六個環(huán)節(jié)，內(nèi)層是人、策略、技術(shù)三個逐步擴(kuò)展的同心六邊形（如上圖）。將安全策略變?yōu)榘踩F(xiàn)實，人是核心，策略是橋梁，技術(shù)是保證。下面，我們主要從技術(shù)保障、安全策略、人員素質(zhì)等三個方面，談?wù)剬W(xué)校網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的一些建議和做法。

第一道關(guān)――硬件技術(shù)保障是防線

通過添加硬件防火墻或者“計算機(jī)+軟件”式的防火墻，在內(nèi)部網(wǎng)與外部網(wǎng)之間、專用網(wǎng)與公用網(wǎng)之間構(gòu)造起第一道保護(hù)屏障，最大限度地阻止網(wǎng)絡(luò)中的黑客入侵網(wǎng)絡(luò)。防火墻對通過的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口，而且還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。防火墻是一個安全策略的檢查站，所有進(jìn)出的信息都必須通過防火墻，使可疑的訪問被拒絕于門外。

現(xiàn)在筆者所在區(qū)域大部分學(xué)校都采用“海蜘蛛”作為路由器，目前使用的是“海蜘蛛”V6.1.0，此版特別適用于校園等對網(wǎng)絡(luò)應(yīng)用高要求的環(huán)境。專門解決校園網(wǎng)電腦中毒、相互攻擊、上網(wǎng)緩慢等現(xiàn)象。此設(shè)備能夠輕松實現(xiàn)以下功能。

用戶安全管理：支持各種防火墻策略。提供DNS/IP/網(wǎng)址/關(guān)鍵字過濾功能。支持“PPPoE認(rèn)證+Web認(rèn)證+驗證碼”的三重防護(hù)，有效地防止ARP、DoS類攻擊。

安全隔離每個用戶：采用一戶一線，杜絕用戶間互相攻擊的現(xiàn)象，即使個別電腦中毒也不會對周圍用戶產(chǎn)生任何影響。

智能QoS功能：能對P2P下載、在線視頻等高帶寬應(yīng)用采用智能化QoS流量控制，有效防止了這些應(yīng)用對其他用戶網(wǎng)絡(luò)的影響。方便對小區(qū)內(nèi)用戶提供高質(zhì)量的網(wǎng)絡(luò)服務(wù)。

長期穩(wěn)定運行：路由系統(tǒng)基于linux內(nèi)核，能在長時間不間斷的情況下穩(wěn)定運作。

完善的備份支持：支持定時關(guān)機(jī)重啟，遠(yuǎn)程備份路由配置文件，簡化了管理員的工作任務(wù)。

日常網(wǎng)絡(luò)的監(jiān)管采用《傲科天藍(lán)藍(lán)安全設(shè)備》，可以輕松實現(xiàn)：日志審計、信息過濾、行為管理、內(nèi)容監(jiān)控、P2P下載控制、流量管理、策略管理、數(shù)據(jù)安全管理等功能。

通過采用各種防火墻技術(shù)和網(wǎng)絡(luò)監(jiān)管設(shè)備的防護(hù)，為校園網(wǎng)的安全建立起第一道安全防線，為學(xué)校網(wǎng)絡(luò)安全提供有力的技術(shù)保障。當(dāng)然，各所學(xué)校的具體情況和網(wǎng)絡(luò)規(guī)模有所不同，采用的校園網(wǎng)安全系統(tǒng)也應(yīng)有所差別，不可能按照同樣的方法，但是可以采用同樣的模式。

第二道關(guān)――網(wǎng)絡(luò)安全策略是橋梁

校園網(wǎng)使用者或者說接入點越來越多，隨之而來的網(wǎng)絡(luò)安全問題也會越來越多，合理的、優(yōu)化的網(wǎng)絡(luò)安全策略可以有效地降低安全風(fēng)險，在技術(shù)上實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全管理，制定有關(guān)網(wǎng)絡(luò)安全管理的規(guī)章制度，確保網(wǎng)絡(luò)系統(tǒng)安全、可靠地運行。網(wǎng)絡(luò)安全策略主要涉及以下幾個方面。

物理安全策略：主要包括機(jī)房網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)的物理隔離、機(jī)房環(huán)境的建設(shè)、防火防盜、電磁干擾、非法用戶入侵等。

訪問控制策略：主要包括重要數(shù)據(jù)的加密、服務(wù)器密碼的安全性、密碼定期更新、用戶權(quán)限的控制、對于目錄的訪問權(quán)限、敏感數(shù)據(jù)的控制、用戶驗證機(jī)制等。

VLAN劃分策略：當(dāng)學(xué)校網(wǎng)絡(luò)規(guī)模較大時，建議對學(xué)校的網(wǎng)絡(luò)進(jìn)行合理地劃分VLAN，劃分可以按照基于端口、基于MAC地址、基于網(wǎng)絡(luò)層協(xié)議、根據(jù)IP組播、按策略、按用戶定義、非用戶授權(quán)劃分VLAN等多種劃分方式。劃分VLAN的目的主要是避免用戶之間的相互干擾，根據(jù)學(xué)校用戶的特點，可以根據(jù)學(xué)科進(jìn)行劃分、根據(jù)課程表進(jìn)行劃分，可以有效地隔離用戶干擾和進(jìn)行流量控制。

網(wǎng)絡(luò)安全管理策略：為保障校園網(wǎng)的正常運行，規(guī)范各項操作，通過建立各項規(guī)章制度、規(guī)范用戶操作、安全等級管理、管理范圍、有關(guān)人員的操作流程、機(jī)房管理制度、定期維護(hù)制度及應(yīng)急預(yù)案等措施，以起到明確職責(zé)，責(zé)任到人、有理有據(jù)、保障有力，將網(wǎng)絡(luò)安全的風(fēng)險降到最低，從內(nèi)部管理上防范網(wǎng)絡(luò)安全事故的發(fā)生。

第三道關(guān)――人員素質(zhì)提升是核心

人員素質(zhì)的提升對校園網(wǎng)的安全起著非常關(guān)鍵的作用，我們這里講的人員主要包括兩個方面：一是網(wǎng)絡(luò)管理人員，簡單來講就是學(xué)校的網(wǎng)管員；二是網(wǎng)絡(luò)使用人員，主要是指教師，還包括使用校園網(wǎng)的學(xué)生。

網(wǎng)絡(luò)管理員技術(shù)水平的高低對于保障學(xué)校網(wǎng)絡(luò)的安全運行起著至關(guān)重要的作用，但由于現(xiàn)在很多學(xué)校的網(wǎng)管員都是兼職的，沒有接受過專門的培訓(xùn)，水平參差不齊，短時間內(nèi)很難提升。網(wǎng)管員要通過多種途徑，學(xué)習(xí)和掌握足夠的信息安全知識，充分理解相關(guān)的安全技術(shù)、操作系統(tǒng)和應(yīng)用軟件的安全性能，不斷跟蹤安全新聞動態(tài)、安全技術(shù)發(fā)展，養(yǎng)成良好的信息安全習(xí)慣，成為學(xué)校網(wǎng)絡(luò)安全管理的主力軍。

對于普通網(wǎng)絡(luò)用戶來說，網(wǎng)絡(luò)安全威脅來自兩個方面：一方面是被動的，來自病毒、木馬、惡意腳本和插件以及黑客的攻擊等；另一方面卻是主動的，比如瀏覽掛有木馬的非法網(wǎng)站、釣魚網(wǎng)站、含有病毒的垃圾郵件、含有非法鏈接的聊天信息等。根據(jù)調(diào)查顯示，由于自己無意識地點擊惡意網(wǎng)站而導(dǎo)致中毒木馬的竟然占到了絕大部分。半年內(nèi)有40.5%的用戶沒有遭遇過病毒和木馬的攻擊，這部分網(wǎng)絡(luò)用戶有一個共同點：普遍具有良好的網(wǎng)絡(luò)安全意識。由此可見，教師網(wǎng)絡(luò)安全意識的提升是整個學(xué)校網(wǎng)絡(luò)安全系統(tǒng)的核心所在。教師網(wǎng)絡(luò)安全意識的提升需要經(jīng)常組織相關(guān)的網(wǎng)絡(luò)安全知識的培訓(xùn)，使得某些網(wǎng)絡(luò)安全隱患被消除在萌芽狀態(tài)。

第4篇：校園網(wǎng)絡(luò)安全建設(shè)范文

【關(guān)鍵詞】智慧校園；無線網(wǎng)絡(luò)安全

隨著信息技術(shù)的快速發(fā)展，數(shù)字化校園乃至智慧校園是高校信息化建設(shè)的必然趨勢。

由于校園信息化建設(shè)與應(yīng)用牽扯的面寬、量大，涉及的部門眾多、人員復(fù)雜，包含了大量的網(wǎng)絡(luò)應(yīng)用、事務(wù)管理、周邊模塊等子系統(tǒng)，迫切需要一個部署簡便、聯(lián)通快捷、便于擴(kuò)展的網(wǎng)絡(luò)平臺。盡管有線網(wǎng)絡(luò)以速度較快、傳輸穩(wěn)定、成本低廉等優(yōu)點始終在網(wǎng)絡(luò)建設(shè)中處于優(yōu)勢地位，但其在布設(shè)與維護(hù)過程中存在的工程量大、破壞性強(qiáng)、移動困難、后期維護(hù)成本高、系統(tǒng)覆蓋面積小等缺陷也限制了其進(jìn)一步的發(fā)展。此外，隨著各種無線終端設(shè)備的日益普及，原有的校園有線網(wǎng)絡(luò)已經(jīng)難以滿足廣大師生隨時隨地網(wǎng)絡(luò)接入的需要，構(gòu)建穩(wěn)定、高效、安全的無線局域網(wǎng)逐漸成為高校信息化發(fā)展的必然趨勢。

無線局域網(wǎng)是計算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，它以電磁波作為傳輸媒介，依托802.11a、802.11b、802.11g等協(xié)議，實現(xiàn)數(shù)據(jù)傳輸功能。無線網(wǎng)絡(luò)的建成，使得校園網(wǎng)的覆蓋范圍得到拓展、部署方式更加靈活、設(shè)備維護(hù)更為便捷。目前，無線網(wǎng)絡(luò)已經(jīng)在高校網(wǎng)絡(luò)建設(shè)中得到了廣泛的推廣和應(yīng)用，有效提高了數(shù)據(jù)信息的綜合利用效率。但是，由于無線局域網(wǎng)的信息傳輸媒介是電磁波，這一傳輸?shù)奶厥庑跃蛯?dǎo)致了它比有線介質(zhì)（雙絞線、光纖）更容易受到干擾、竊取和破壞。因此，無線局域網(wǎng)的信息安全技術(shù)比有線介質(zhì)網(wǎng)絡(luò)顯得更為復(fù)雜，其面臨的安全威脅也更加多樣。

一、校園無線局域網(wǎng)面臨的安全威脅

1.網(wǎng)絡(luò)竊聽

傳統(tǒng)有線網(wǎng)絡(luò)采用物理連接，數(shù)據(jù)在傳輸時已經(jīng)由傳輸介質(zhì)（如雙絞線、同軸電纜、光纖等）提供了物理保護(hù)，數(shù)據(jù)具有封閉性。而無線網(wǎng)絡(luò)通過無線電波傳送數(shù)據(jù)，只要是無線信號覆蓋范圍內(nèi)的任何無線終端設(shè)備都可以接受這些數(shù)據(jù)，因此無線傳輸?shù)臄?shù)據(jù)很容易被他人竊取，一般說來，大多數(shù)網(wǎng)絡(luò)通信都是以明文格式出現(xiàn)的，這就會使處于無線信號覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解通信。如果這些數(shù)據(jù)未加密或被惡意破解，則會對個人用戶的隱私及整個無線網(wǎng)絡(luò)的安全構(gòu)成嚴(yán)重威脅。

2.非法接入

有線網(wǎng)絡(luò)能明顯地分辨出計算機(jī)是否連接在網(wǎng)線上。而無線網(wǎng)絡(luò)則不同。無線局域網(wǎng)具有開放性，理論上只要是無線接入點（AP）覆蓋范圍內(nèi)的任何無線終端設(shè)備都可以通過AP接入網(wǎng)絡(luò)，而AP又無法像有線局域網(wǎng)那樣對接入設(shè)備數(shù)量與位置進(jìn)行嚴(yán)格的限定和管理，所以如果無線局域網(wǎng)中沒有加入用戶認(rèn)證體系，那么未經(jīng)授權(quán)的用戶可以很輕松地通過AP接入網(wǎng)絡(luò)，這種接入如果是惡意的，就會對整個網(wǎng)絡(luò)的安全構(gòu)成嚴(yán)重威脅。

3.病毒攻擊

無線網(wǎng)絡(luò)和有線局域網(wǎng)一樣，都會遭受病毒攻擊。不同的是無線網(wǎng)絡(luò)中的AP一般都沒有防病毒和防攻擊的功能。一旦黑客知道了某個AP的IP地址，并向其發(fā)起拒絕服務(wù)攻擊的話，該AP很快就會癱瘓。

二、應(yīng)對策略

1.物理地址綁定

每個無線客戶端網(wǎng)卡都有唯一的物理地址標(biāo)識，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實現(xiàn)物理地址過濾。

物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。這種方式的擴(kuò)展能力較低，只適合于小型網(wǎng)絡(luò)。此外，非法用戶利用網(wǎng)絡(luò)偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進(jìn)行非法接入。對于這一問題，目前所用的解決方法是通過AC對用戶進(jìn)行綁定，采用VLAN+IP地址+MAC地址來唯一標(biāo)識一個用戶。

2.SSID訪問控制

服務(wù)集標(biāo)識符（SSID）是無線訪問點使用的識別字符串，客戶端利用它就能建立連接。該標(biāo)識符由設(shè)備制造商設(shè)定。無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進(jìn)行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網(wǎng)提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全性一定程度下降。倘若黑客知道了這種口令短語，即使未經(jīng)授權(quán)，也很容易使用無線服務(wù)。對于部署的每個無線訪問點而言，要選擇獨一無二并且很難猜中的SSID。如果可能的話，禁止通過天線向外廣播該標(biāo)識符。這樣網(wǎng)絡(luò)仍可使用，但不會出現(xiàn)在可用網(wǎng)絡(luò)列表上。

3.802.1x擴(kuò)展認(rèn)證協(xié)議

IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議（如RADIUS）提供集中的用戶標(biāo)識、身份驗證、動態(tài)密鑰管理?；?02.1x認(rèn)證體系結(jié)構(gòu)，其認(rèn)證機(jī)制是由用戶端設(shè)備、接入設(shè)備、后臺RADIUS認(rèn)證服務(wù)器三方完成。IEEE802.1x通過提供用戶和計算機(jī)標(biāo)識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此條件下，作為RADIUS客戶端配置的無線接入點將連接請求發(fā)送到中央RADIUS服務(wù)器。RADIUS服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。如果準(zhǔn)予請求，根據(jù)所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。然后，客戶機(jī)與AP激活WEP，利用密鑰進(jìn)行通信。

4.加強(qiáng)無線局域網(wǎng)監(jiān)測與日常管理

第5篇：校園網(wǎng)絡(luò)安全建設(shè)范文

【關(guān)鍵詞】網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；建設(shè)與規(guī)劃；校園網(wǎng)

1、網(wǎng)絡(luò)現(xiàn)狀

揚(yáng)州Z校擁有多個互聯(lián)網(wǎng)出口線路，分別是電信100M、電信50M、網(wǎng)通100M、聯(lián)通1G和校園網(wǎng)100M。Z校擁有多個計算環(huán)境，網(wǎng)絡(luò)核心區(qū)是思科7609的雙核心交換機(jī)組，確保了Z校校園骨干網(wǎng)絡(luò)的可用性與高冗余性；數(shù)據(jù)中心是由直連在核心交換機(jī)上的眾多服務(wù)器組成；終端區(qū)分別是教學(xué)樓、院系樓、實驗、實訓(xùn)樓和圖書館大樓。此外，還有一個獨立的無線校園網(wǎng)絡(luò)。Z校網(wǎng)絡(luò)信息安全保障能力已經(jīng)初具規(guī)模，校園網(wǎng)絡(luò)中已部署防火墻、身份認(rèn)證、上網(wǎng)行為管理、web應(yīng)用防火墻等設(shè)備。原拓?fù)浣Y(jié)構(gòu)見圖1。

2、安全威脅分析

目前，Z校網(wǎng)絡(luò)安全保障能力雖然初具規(guī)模，但是，在信息安全建設(shè)方面仍然面臨諸多的問題，如，網(wǎng)絡(luò)中缺乏網(wǎng)管與安管系統(tǒng)、對網(wǎng)絡(luò)中的可疑情況，沒有分析、響應(yīng)和處理的手段和流程、無法了解網(wǎng)絡(luò)的整體安全狀態(tài)，風(fēng)險管理全憑感覺等等，以上種種問題表明，Z校需要對網(wǎng)絡(luò)安全進(jìn)行一次全面的規(guī)劃，以便在今后的網(wǎng)絡(luò)安全工作中，建立一套有序、高效和完善的網(wǎng)絡(luò)安全體系。

2.1安全設(shè)備現(xiàn)狀

Z校部署的網(wǎng)絡(luò)安全防護(hù)設(shè)備較少。在校區(qū)的互聯(lián)網(wǎng)出口處，部署了一臺山石防火墻，在WEB服務(wù)器群前面部署了一臺WEB應(yīng)用防火墻。

2.2外部網(wǎng)絡(luò)安全威脅

互聯(lián)網(wǎng)出現(xiàn)的網(wǎng)絡(luò)威脅種類繁多，外部網(wǎng)絡(luò)威脅一般是惡意入侵的網(wǎng)絡(luò)黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數(shù)據(jù)等為目的，對內(nèi)網(wǎng)中的各種網(wǎng)絡(luò)設(shè)備發(fā)起攻擊，網(wǎng)絡(luò)中雖然有一些基礎(chǔ)的防護(hù)，但是，黑客們只要找到漏洞，就會利用內(nèi)網(wǎng)用戶作跳板進(jìn)行攻擊，最終攻破內(nèi)網(wǎng)。此類攻擊隨機(jī)性強(qiáng)、方向不確定、復(fù)雜度不斷提高、破壞后果嚴(yán)重[1]。

2.3內(nèi)部網(wǎng)絡(luò)安全威脅

內(nèi)部惡意入侵的主體是學(xué)生，還有一些網(wǎng)絡(luò)安全意識薄弱的教職工。Z校學(xué)生眾多，學(xué)生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學(xué)校網(wǎng)絡(luò)[2]。Z校某些教職工也可能瀏覽掛馬網(wǎng)站或者點擊來歷不明的郵件，照成網(wǎng)絡(luò)堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩(wěn)定性，提高網(wǎng)絡(luò)的服務(wù)能力為出發(fā)點，Z校在安全改造實施中，應(yīng)滿足如下的安全建設(shè)需求1)提升鏈路的均衡性和利用率：Z校網(wǎng)絡(luò)出口與CERNET、Internet互聯(lián)，選擇了與電信和聯(lián)通兩家運營商合作。利用現(xiàn)有網(wǎng)絡(luò)出口鏈路資源，提升網(wǎng)絡(luò)訪問速度，最大化保障校園網(wǎng)內(nèi)部用戶的網(wǎng)絡(luò)使用滿意度，同時又要合理節(jié)約鏈路成本，均衡使用各互聯(lián)網(wǎng)出口鏈路，是網(wǎng)絡(luò)安全建設(shè)的首要需求。2)實現(xiàn)關(guān)鍵設(shè)備的冗余性：互聯(lián)網(wǎng)邊界的下一代防火墻設(shè)備為整個網(wǎng)絡(luò)安全改造的核心設(shè)備，均以NAT模式或者路由模式部署，承載了整個校園網(wǎng)的業(yè)務(wù)處理，任何一個設(shè)備出現(xiàn)問題將直接導(dǎo)致業(yè)務(wù)不能夠連續(xù)運行，無任何備份措施，只能替換或者跳過出故障的設(shè)備，且只能以手工方式完成切換，無論從響應(yīng)的及時性，還是從保障業(yè)務(wù)連續(xù)性的角度，都存在很大的延遲，為此需要將互聯(lián)網(wǎng)出口的下一代防火墻設(shè)備進(jìn)行雙機(jī)冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設(shè)備數(shù)量較多，需要對所有安全設(shè)備進(jìn)行統(tǒng)一日志收集、查詢工作，傳統(tǒng)單臺操作單臺部署的方式運維效率低下，所以需要專業(yè)集中監(jiān)控、配置、管理的安全設(shè)備，統(tǒng)一對眾多安全設(shè)備進(jìn)行集中監(jiān)控、策略統(tǒng)一調(diào)度、統(tǒng)一升級備份和審計。

4、解決方案

網(wǎng)絡(luò)安全建設(shè)是一個長期的項目，不可能一蹴而就，一步到位，網(wǎng)絡(luò)安全過程建設(shè)中，在利用學(xué)校原有設(shè)備的基礎(chǔ)上，在資金、技術(shù)成熟的條件下，逐步實施。Z校網(wǎng)絡(luò)安全建設(shè)規(guī)劃分為短期建設(shè)和長期建設(shè)兩部分。

4.1短期網(wǎng)絡(luò)建設(shè)規(guī)劃

4.1.1短期部署規(guī)劃以安全區(qū)域的劃分為設(shè)計主線，從安全的角度分析各業(yè)務(wù)系統(tǒng)可能存在的安全隱患，根據(jù)應(yīng)用系統(tǒng)的特點和安全評估是數(shù)據(jù)，劃分不同安全等級的區(qū)域[3]。通過安全區(qū)域的劃分，明確網(wǎng)絡(luò)邊界，形成清晰、簡潔的網(wǎng)絡(luò)架構(gòu)，實現(xiàn)各業(yè)務(wù)系統(tǒng)之間嚴(yán)格的訪問安全互聯(lián)，有效的實現(xiàn)網(wǎng)絡(luò)之間，各業(yè)務(wù)系統(tǒng)之間的隔離和訪問控制。本次短期網(wǎng)絡(luò)建設(shè)，把整個網(wǎng)絡(luò)劃分為邊界安全防護(hù)區(qū)域、核心交換區(qū)域、安全管理區(qū)域、辦公接入?yún)^(qū)域、服務(wù)器集群區(qū)域和無線訪問控制區(qū)域。4.1.2部署設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖2，從圖2可以看出，出口區(qū)域，互聯(lián)網(wǎng)邊界處的防火墻設(shè)備是整個網(wǎng)絡(luò)安全改造的核心設(shè)備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設(shè)備，實現(xiàn)雙機(jī)冗余部署。同理，原城市熱點認(rèn)證網(wǎng)關(guān)和行為管理設(shè)備需要再各補(bǔ)充一臺，組成雙機(jī)冗余方案。安全管理區(qū)域根據(jù)學(xué)校預(yù)算，部署幾臺安全設(shè)備。首先，部署一臺堡壘機(jī)，建立集中、主動的安全運維管控模式，降低人為安全風(fēng)險；其次，部署一臺入侵檢測設(shè)備（IDS），實時、主動告警黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、D.o.S等惡意流量，防止在出現(xiàn)攻擊后無數(shù)據(jù)可查；再部署一臺漏洞掃描設(shè)備，對網(wǎng)絡(luò)內(nèi)部的設(shè)備進(jìn)行漏洞掃描，找出存在的安全漏洞，根據(jù)漏洞掃描報告與安全預(yù)警通告，制定安全加固實施方案，以保證各系統(tǒng)功能的正常性和堅固性；最后，部署一臺安全審計設(shè)備（SAS），實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容，實現(xiàn)對網(wǎng)絡(luò)信息數(shù)據(jù)的監(jiān)控。服務(wù)器集群區(qū)域，除了原有的WEB防火墻外，再部署一臺入侵防護(hù)設(shè)備（IPS），攔截網(wǎng)絡(luò)病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護(hù)Z校的信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)[4]。

4.2長期網(wǎng)絡(luò)建設(shè)規(guī)劃

網(wǎng)絡(luò)安全的防護(hù)是動態(tài)的、整體的，病毒傳播、黑客攻擊也不是靜態(tài)的。在網(wǎng)絡(luò)安全領(lǐng)域，不存在一個能完美的防范任何攻擊的網(wǎng)絡(luò)安全系統(tǒng)。在網(wǎng)絡(luò)中添加再多的網(wǎng)絡(luò)安全設(shè)備也不可能解決所有網(wǎng)絡(luò)安全方面的問題。想要構(gòu)建一個相對安全的網(wǎng)絡(luò)系統(tǒng)，需要建立一套全方位的，從檢測、控制、響應(yīng)、管理、保護(hù)到容災(zāi)備份的安全保障體系。目前，網(wǎng)絡(luò)安全體系化建設(shè)結(jié)合重點設(shè)備保護(hù)的策略，再配合第三方安全廠商的安全服務(wù)是網(wǎng)絡(luò)安全建設(shè)的優(yōu)選。4.2.1網(wǎng)絡(luò)體系化建設(shè)體系化建設(shè)指通過分析網(wǎng)絡(luò)的層次關(guān)系、安全需要和動態(tài)實施過程，建立一個科學(xué)的安全體系和模型，再根據(jù)安全體系和模型來分析網(wǎng)絡(luò)中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網(wǎng)絡(luò)存在的安全風(fēng)險。體系化建設(shè)需要從網(wǎng)絡(luò)安全的組織體系、技術(shù)體系和管理體系三方面著手，建立統(tǒng)一的安全保障體系。組織體系著眼于人員的組織架構(gòu)，包括崗位設(shè)置、人員錄用、離崗、考核等[5]；技術(shù)體系分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)運維管理、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)等；管理體系側(cè)重于制度的梳理，包括信息安全工作的總體方針、規(guī)范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規(guī)程。4.2.2體系化設(shè)計網(wǎng)絡(luò)體系化建設(shè)要以組織體系為基礎(chǔ)，以管理體系為保障，以技術(shù)體系為支撐[6]，全局、均衡的考慮面臨的安全風(fēng)險，采取不同強(qiáng)度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設(shè)以風(fēng)險評估為起點，安全體系為核心，安全指導(dǎo)為原則，體系建設(shè)為抓手，組織和制定安全實施策略和防范措施，在建設(shè)過程中不斷完善安全體系結(jié)構(gòu)和安全防御體系，全方位、多層次滿足安全需求。

5、結(jié)語

從整個信息化安全體系來說，安全是技術(shù)與管理的一個有機(jī)整體，僅僅借助硬件產(chǎn)品進(jìn)行的安全防護(hù)是不完整的、有局限的。安全問題，是從設(shè)備到人，從服務(wù)器上每個服務(wù)程序到Web防火墻、入侵防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、漏洞掃描、傳統(tǒng)防火墻等安全產(chǎn)品的綜合問題，每一個環(huán)節(jié)，都是邁向網(wǎng)絡(luò)安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網(wǎng)絡(luò)安全建設(shè)和改造有參考價值。

參考文獻(xiàn)：

［1］王霞.數(shù)字化校園中網(wǎng)絡(luò)與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)設(shè)計與實現(xiàn)［D］.成都：電子科技大學(xué)，2011.11:2-3

［3］徐奇.校園網(wǎng)的安全信息安全體系與關(guān)鍵技術(shù)研究［D］.上海：上海交通大學(xué)，2009.5:1-4

［4］張旭輝.某民辦高校網(wǎng)絡(luò)信息安全方案的設(shè)計與實現(xiàn)［D］.西安:西安電子科技大學(xué)，2015.10:16-17

［5］陳堅.高校校園網(wǎng)網(wǎng)絡(luò)安全問題分析及解決方案設(shè)計［D］長春：長春工業(yè)大學(xué)，2016.3:23-31

第6篇：校園網(wǎng)絡(luò)安全建設(shè)范文

【關(guān)鍵詞】校園網(wǎng)安全 威脅 防范策略 防火墻

隨著教育與科研網(wǎng)工程的快速發(fā)展，許多高校建立起自己的校園網(wǎng)絡(luò)。但與此同時，也帶來了網(wǎng)絡(luò)安全問題。建立全新校園網(wǎng)絡(luò)安全機(jī)制。保障網(wǎng)絡(luò)的安全運行，使校園網(wǎng)絡(luò)成為一個具有良好的安全性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)。

1 校園網(wǎng)絡(luò)面臨的威脅

目前，高校校園網(wǎng)絡(luò)正處在蓬勃發(fā)展階段，網(wǎng)絡(luò)基礎(chǔ)設(shè)施有了較好的基礎(chǔ)，但網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因。在以前的網(wǎng)絡(luò)建設(shè)時期，由于意識與資金方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍都存在重技術(shù)、輕安全、輕管理的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就面臨更多的安全威脅。不完善的計算機(jī)網(wǎng)絡(luò)系統(tǒng)、潛在的強(qiáng)大黑客、囂張的計算機(jī)病毒、缺乏防范意識的用戶等等，都是威脅網(wǎng)絡(luò)安全的隱患。這些安全隱患一旦成為事實，所造成的對整個網(wǎng)絡(luò)的損失都是難以估計的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。

2 校園網(wǎng)絡(luò)安全的防范策略

2.1 物理安全策略

網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，應(yīng)該對場地的封閉、防火、防盜、防靜電、適當(dāng)?shù)耐L(fēng)、溫度的控制以及電源的安全等提供符合網(wǎng)絡(luò)設(shè)備要求的安全保證。還要考慮布線系統(tǒng)與照明電線、通信線路及暖氣管道之間的距離，考慮布線系統(tǒng)和絕緣線、線以及接地與焊接的安全。

2.2 制定嚴(yán)格的網(wǎng)絡(luò)安全管理制度策略

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，校園網(wǎng)的安全需要用完備的安全制度來保障。健全校園網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全的核心。成立專門負(fù)責(zé)管理信息安全的部門，制定一系列規(guī)定。這些規(guī)定應(yīng)包括：計算機(jī)網(wǎng)絡(luò)安全建設(shè)規(guī)定，計算機(jī)網(wǎng)絡(luò)安全管理規(guī)定，安全保密管理規(guī)定，機(jī)房出入管理等。選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，提高管理人員的管理技術(shù)和計算機(jī)網(wǎng)絡(luò)安全的防范意識，要從基本上保證和鞏固計算機(jī)網(wǎng)絡(luò)安全。對于使用人員來說，要加大宣傳力度，進(jìn)行計算機(jī)網(wǎng)絡(luò)安全教育，提高使用人員的防范意識，保證計算機(jī)網(wǎng)絡(luò)的相對安全。

2.3 系統(tǒng)安全策略

計算機(jī)網(wǎng)絡(luò)應(yīng)用與服務(wù)的基礎(chǔ)是操作系統(tǒng)，但是不論采用什么操作系統(tǒng)，恐怕沒有絕對安全的操作系統(tǒng)可以選擇，無論啊個操作系統(tǒng)，其開發(fā)廠商必然有其后門。高校校園網(wǎng)絡(luò)不但要選用盡可能可靠的操作系統(tǒng)，而且必須對操作系統(tǒng)進(jìn)行安全配置。

在缺省安裝的條件下計算機(jī)系統(tǒng)都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。同時采用最先進(jìn)的漏洞掃描系統(tǒng)定期對網(wǎng)絡(luò)中心的網(wǎng)絡(luò)設(shè)備進(jìn)行安全檢查。也要優(yōu)化操作系統(tǒng)，可以通過修正補(bǔ)丁，完善漏洞，加強(qiáng)監(jiān)控，將服務(wù)和應(yīng)用建立在安全級別較高的操作系統(tǒng)上。而且，必須加強(qiáng)登錄服務(wù)器過程的認(rèn)證，確保用戶的合法性，也應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其操作限制在最小的范圍內(nèi)。

2.4 防火墻安全策略

防火墻是一個系統(tǒng)或一組系統(tǒng)， 它是由一個軟件或和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)與公用的互聯(lián)網(wǎng)間執(zhí)行一定的安全策略，它實際上是一種隔離技術(shù)。在校園網(wǎng)中安全防火墻進(jìn)行雙向限制，一方面限制外界用戶訪問校園內(nèi)部網(wǎng)絡(luò)，較好的防止非法用戶的入侵，一方面限制校園內(nèi)部用戶訪問外界網(wǎng)絡(luò)，通過這雙方的限制保證網(wǎng)絡(luò)的安全，就像是一道門將內(nèi)部網(wǎng)絡(luò)和外界通道進(jìn)行了阻隔。

同時防火墻監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進(jìn)行檢查外，還應(yīng)做日志登記。所以使用防火墻來保護(hù)計算機(jī)、服務(wù)器和局域網(wǎng)，使其在一定程度上避免受到攻擊并保護(hù)網(wǎng)絡(luò)資源的安全。

2.5 數(shù)據(jù)加密策略

數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破壞所采用的主要技術(shù)手段之一。數(shù)據(jù)加密技術(shù)相比防火墻來說，更加靈活，可以用以進(jìn)行動態(tài)信息的保護(hù)。

在校園網(wǎng)絡(luò)系統(tǒng)中，涉及到很多重要信息，如學(xué)生成績，科研資料等，如果這些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)和社會影響將是很嚴(yán)重的。對于傳輸?shù)闹匾畔ⅲ仨毑捎眉用芗夹g(shù)，保證網(wǎng)上傳輸?shù)男畔⒌臋C(jī)密性與完整性。

2.6 部署入侵檢測系統(tǒng)策略

入侵檢測系統(tǒng)是公認(rèn)的一種對抗網(wǎng)絡(luò)安全的有效方式。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，通過檢測再采用一定的方式進(jìn)行阻止或封閉等。強(qiáng)大完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。

對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實時檢測。當(dāng)檢測到網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)，如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實時報警，使得學(xué)校網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。

2.7 防病毒策略

計算機(jī)病毒給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機(jī)和計算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在校園網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、自動升級、病毒掃描和清除、遠(yuǎn)程報警等多種功能。殺毒時要注意使用多種殺毒軟件，尤其要安裝網(wǎng)絡(luò)殺毒軟件，結(jié)合各種查殺方式交叉清理，可以有效對抗病毒、木馬等對計算機(jī)有危害的程序。

3 總結(jié)

本文針對目前校園網(wǎng)絡(luò)中存在的主要威脅，提出一些網(wǎng)絡(luò)安全防范的措施。網(wǎng)絡(luò)安全防范策略涵蓋面廣，綜合性強(qiáng)，需要不斷的完善和努力。校園網(wǎng)絡(luò)安全是一個循序漸近不斷完善的過程，只有將技術(shù)和管理都重視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。

參考文獻(xiàn)

[1]謝暉輝.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用，電腦知識與技術(shù)，2009年第09期.

[2]李紅，薛禮.云計算與物聯(lián)網(wǎng)[J]，硅谷，2012，09：17+64.

第7篇：校園網(wǎng)絡(luò)安全建設(shè)范文

校園的計算機(jī)使用和網(wǎng)絡(luò)的應(yīng)用不僅實現(xiàn)了教學(xué)資源的共享，同時也加強(qiáng)了對教學(xué)信息的快速處理，為師生之間的學(xué)術(shù)討論提供了一條便捷的渠道，使學(xué)生的學(xué)校生活質(zhì)量得到明顯改善。但人們卻也往往會忽略了學(xué)校的網(wǎng)絡(luò)安全。

1校園網(wǎng)絡(luò)安全管理的意義

計算機(jī)網(wǎng)絡(luò)在教學(xué)和科研中的作用越突出，網(wǎng)絡(luò)的安全管理就越是不能忽視。

1.1關(guān)乎學(xué)校的利益

目前，大多數(shù)學(xué)校的校園網(wǎng)都存儲了大量的內(nèi)部教學(xué)資料，其中包括學(xué)生的成績信息、檔案文件等，很多重要的工作要依賴網(wǎng)絡(luò)才能得以實施，一旦出現(xiàn)個人數(shù)據(jù)丟失或被盜的事件，會帶給學(xué)校和學(xué)生很大的損失。所以，加強(qiáng)學(xué)校的校園網(wǎng)絡(luò)安全的管理具有十分重要的意義的。

1.2關(guān)乎學(xué)校的形象

學(xué)校要想在現(xiàn)今計算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展的信息化時代中脫穎而出，就必須強(qiáng)化對網(wǎng)絡(luò)安全的關(guān)注。今后校園教育管理的發(fā)展趨勢必然是一步步的走向智能化、網(wǎng)絡(luò)化。因此，維護(hù)校園的網(wǎng)絡(luò)安全對學(xué)校的整體形象及其長遠(yuǎn)發(fā)展有著很重要的意義。

2現(xiàn)階段學(xué)校網(wǎng)絡(luò)安全的現(xiàn)狀及主要問題

就目前來說，校園網(wǎng)絡(luò)安全管理的現(xiàn)狀不容樂觀，存在著許多問題，由于學(xué)校校內(nèi)網(wǎng)用戶群體比較特殊，相對來說學(xué)校網(wǎng)路的用戶較多，產(chǎn)生的數(shù)據(jù)量也就會大，直接導(dǎo)致校園網(wǎng)絡(luò)的不容易管理。而且學(xué)生通過校園網(wǎng)進(jìn)行上網(wǎng)娛樂的時間大都在下課及休息期間，很容易造成網(wǎng)絡(luò)的堵塞，甚至造成會導(dǎo)致病毒的擴(kuò)散。而另一方面，因為很多學(xué)生他們并沒有采取任何保護(hù)措施，無形中就導(dǎo)致了病毒的快速傳播，從而出現(xiàn)網(wǎng)絡(luò)性能下降，或是造成數(shù)據(jù)受到破壞、信息丟失的現(xiàn)象，更嚴(yán)重者會造成系統(tǒng)癱瘓等無法彌補(bǔ)的后果。關(guān)于校園網(wǎng)絡(luò)安全問題主要表現(xiàn)在以下幾個方面：

2.1病毒侵入嚴(yán)重

校園網(wǎng)絡(luò)為教師和學(xué)生的日常生活和學(xué)習(xí)提供了極大的便利，但與此同時也成為了病毒傳播的主要路徑。隨著科學(xué)技術(shù)的進(jìn)步，黑客的技術(shù)水平也得到了不斷的提高，網(wǎng)絡(luò)病毒的傳播性和破壞性已經(jīng)變得越來越嚴(yán)重。有些病毒可能會損壞用戶的硬盤驅(qū)動器，甚至更嚴(yán)重的話還會導(dǎo)致重要的數(shù)據(jù)信息丟失，對師生個人和學(xué)校都造成了無法彌補(bǔ)的損失。

2.2惡意破壞現(xiàn)象嚴(yán)重

對計算機(jī)網(wǎng)絡(luò)的惡意破壞主要包括對系統(tǒng)破壞和設(shè)備損壞兩個方面。設(shè)備主要包括校園的網(wǎng)絡(luò)交換機(jī)和服務(wù)器等，它們分布在校園的各個區(qū)域，相對來說對它們的管理也不是很容易。而有些人可能會利用維護(hù)人員對這些設(shè)備的管理方面的漏洞，破壞網(wǎng)絡(luò)設(shè)備，從而導(dǎo)致整個校園網(wǎng)絡(luò)的癱瘓。

3形成校園網(wǎng)絡(luò)安全隱患的原因

3.1對于網(wǎng)絡(luò)安全維護(hù)投入不足

對網(wǎng)絡(luò)安全進(jìn)行維護(hù)是一項龐大的系統(tǒng)工程，在維護(hù)工作當(dāng)中會存在人力和物力資源的難度，但由于很多學(xué)校的經(jīng)費有限或者已經(jīng)將大部分資金投入到購買設(shè)備上，對網(wǎng)絡(luò)安全的建設(shè)并不完備，因此校內(nèi)網(wǎng)是在一個沒有有效的安全預(yù)警狀態(tài)中，時刻受到來自各方的威脅。

3.2學(xué)生網(wǎng)絡(luò)安全意識淡薄

很多學(xué)生由于缺乏版權(quán)意識，對目前的盜版資源的利用并不能得到遏制，也造成了盜版系統(tǒng)及盜版資源的肆意橫流，這無形中為網(wǎng)絡(luò)安全問題埋下了隱患。例如盜版Windows操作系統(tǒng)在安裝后可能會導(dǎo)致計算機(jī)系統(tǒng)存在大量的安全漏洞。此外，許多學(xué)生對網(wǎng)絡(luò)安全沒有足夠的認(rèn)知，所以他們依然隨意的在互聯(lián)網(wǎng)上下載不明軟件，但此軟件很有可能隱藏了木馬病毒，會導(dǎo)致黑客系統(tǒng)的直接侵入。還有一些學(xué)生缺乏法律意識，用自己學(xué)到的計算機(jī)網(wǎng)絡(luò)系統(tǒng)知識對校園網(wǎng)絡(luò)進(jìn)行攻擊，這在很大程度上影響了校園網(wǎng)絡(luò)的安全運行。

4加強(qiáng)學(xué)校網(wǎng)絡(luò)安全管理的措施

4.1加快建設(shè)網(wǎng)絡(luò)防毒體系

在校園網(wǎng)絡(luò)的保護(hù)系統(tǒng)中可分為服務(wù)器保護(hù)和保護(hù)工作站兩方面。首先是服務(wù)器的防病毒設(shè)置，防病毒系統(tǒng)應(yīng)該做到能夠遠(yuǎn)程安裝服務(wù)器產(chǎn)品，而且還可以實時監(jiān)控病毒入侵情況?，F(xiàn)在，師生利用校園網(wǎng)對電子郵件的應(yīng)用越來越多，它又增加了一個病毒入侵的途徑。所以，需要在防止病毒入侵的體系中再增設(shè)一道關(guān)卡以確保了郵件的安全；此外就是工作站的防毒工作，工作站的病毒防護(hù)處于防病毒體系的最底層，所以，校內(nèi)網(wǎng)的用戶要特別注意該工作站的保護(hù)工作。

4.2建立用戶賬號管理機(jī)制

在對校園網(wǎng)的用戶進(jìn)行管理的時候，應(yīng)該給每一位教師設(shè)置一個賬號，學(xué)生可以使用公共賬號。除此之外，還要加強(qiáng)對密碼的設(shè)置和管理。密碼的安全性是網(wǎng)絡(luò)安全性的基本內(nèi)容。因此，在設(shè)置密碼的時候，必須保證三個月更換一次，只有這樣才能確保密碼安全。對于校園用戶來說，應(yīng)該規(guī)定按時對密碼進(jìn)行更新。綜上所述，學(xué)校計算機(jī)網(wǎng)絡(luò)安全管理對于保證學(xué)校信息安全，加快學(xué)校信息化建設(shè)具有十分重要的意義。對于網(wǎng)絡(luò)安全管理中存在的問題，一定要高度重視。在制定管理措施的時候，不僅要提升技術(shù)水平，更要加強(qiáng)制度建設(shè)，唯有如此，學(xué)校計算機(jī)網(wǎng)絡(luò)的安全才能得到保證，才能更好地服務(wù)于教學(xué)管理。

4.3部署防火墻

為了建立學(xué)校內(nèi)外網(wǎng)的安全屏障，可以在Internet與校園網(wǎng)內(nèi)網(wǎng)之間部署一臺防火墻，將內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過路由器與Internet連接。這樣的話，通過Internet進(jìn)來的公眾用戶就只能訪問一些特定的對外公開的服務(wù)，內(nèi)網(wǎng)資源也不能在未授權(quán)的情況下被隨意地訪問或者破壞，內(nèi)部也不能對外網(wǎng)資源進(jìn)行濫用。一旦在網(wǎng)絡(luò)中發(fā)生安全事件，學(xué)校內(nèi)部網(wǎng)絡(luò)也可以進(jìn)行跟蹤和審計。在設(shè)置防火墻時要遵循校園網(wǎng)安全策略和安全目標(biāo)，以網(wǎng)絡(luò)規(guī)劃為依據(jù)，設(shè)置正確的安全過濾規(guī)則，要確保審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問?？偟貋碚f，就是網(wǎng)絡(luò)設(shè)置要以不允許即禁止為原則。

4.4添加漏洞掃描系統(tǒng)

校園的網(wǎng)絡(luò)安全建設(shè)可以采用最先進(jìn)的網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)，并定期通過服務(wù)器、工作站、交換機(jī)等設(shè)備對學(xué)校的網(wǎng)絡(luò)安全進(jìn)行檢查，與此同時通過設(shè)備監(jiān)測得到的數(shù)據(jù)也能為系統(tǒng)管理員提供可靠的安全報告，以此作為提高網(wǎng)絡(luò)安全級別的重要依據(jù)。

4.5建立完善的安全管理制度

因為大多數(shù)學(xué)校缺乏嚴(yán)格的網(wǎng)絡(luò)安全管理制度，所以在管理上很容易出現(xiàn)漏洞，這就降低了學(xué)校的網(wǎng)絡(luò)安全級別。所以，學(xué)校應(yīng)建立一個具有高度權(quán)威性的信息安全管理機(jī)構(gòu)，制定完善的管理體系，同時可以增強(qiáng)網(wǎng)絡(luò)完全管理人員自身的責(zé)任感。與此同時，學(xué)校還可以定期的進(jìn)行網(wǎng)絡(luò)安全專業(yè)知識和技能的培訓(xùn)，加強(qiáng)學(xué)校教師和學(xué)生的網(wǎng)絡(luò)安全知識的普及，提高網(wǎng)絡(luò)安全的自覺性。最重要的是，學(xué)校需要建立應(yīng)急處置預(yù)案的網(wǎng)絡(luò)管理部門，確保及時發(fā)現(xiàn)存在的網(wǎng)絡(luò)安全威脅，并及時安排有效的解決措施。只有學(xué)校的網(wǎng)絡(luò)管理部門和廣大校園網(wǎng)用戶齊心協(xié)力幫助校園網(wǎng)絡(luò)安全的維護(hù)，才能保證校園網(wǎng)的穩(wěn)定運行，從而為學(xué)校的教學(xué)管理提供更好的服務(wù)。

4.6建立系統(tǒng)漏洞補(bǔ)丁文件庫

學(xué)校需要在網(wǎng)絡(luò)中心服務(wù)器上下載、安裝系統(tǒng)補(bǔ)丁軟件，及時更新最新的系統(tǒng)補(bǔ)丁，在更新后通過網(wǎng)絡(luò)出去，確保所有的內(nèi)部計算機(jī)都是通過漏洞掃描軟件從此服務(wù)器下載補(bǔ)丁安裝，這樣既可以保證內(nèi)部網(wǎng)絡(luò)系統(tǒng)的迅速更新，也可以避免系統(tǒng)漏洞受到攻擊。系統(tǒng)漏洞補(bǔ)丁文件庫也可以盡快對受到黑客攻擊的網(wǎng)絡(luò)進(jìn)行修復(fù)，彌補(bǔ)漏洞，避免黑客的二次襲擊。

5結(jié)束語

網(wǎng)絡(luò)安全性日益影響校園網(wǎng)絡(luò)的操作，這個過程需要是個復(fù)雜細(xì)致的解決方案，但實際上并沒有絕對安全的校網(wǎng)絡(luò)，所以我們只有通過一定的方法來填充網(wǎng)絡(luò)安全漏洞，最大限度地減少網(wǎng)絡(luò)安全隱患，確保校園網(wǎng)的安全性。學(xué)校同時還必須加強(qiáng)對教師和學(xué)生的網(wǎng)絡(luò)安全意識、規(guī)范互聯(lián)網(wǎng)的使用，才能使校園網(wǎng)穩(wěn)定運行，為師生的工作、學(xué)習(xí)生活提供更好的服務(wù)，是校園網(wǎng)為學(xué)校的教學(xué)和管理提供優(yōu)質(zhì)服務(wù)。

作者：陸明昕 單位：西安武警工程大學(xué)研究生14隊

引用：

[1]關(guān)啟云.校園網(wǎng)絡(luò)安全問題分析及對策探討[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013.

[2]許美玉.校園網(wǎng)安全建設(shè)的研究[J].中國電子商務(wù)，2013.

第8篇：校園網(wǎng)絡(luò)安全建設(shè)范文

關(guān)鍵詞 數(shù)字化校園應(yīng)用 網(wǎng)絡(luò)安全 數(shù)字教學(xué) 數(shù)字管理

中圖分類號：G64 文獻(xiàn)標(biāo)識碼：A

通過數(shù)字化校園網(wǎng)絡(luò)基礎(chǔ)建設(shè)和應(yīng)用系統(tǒng)的功能開發(fā)，構(gòu)建一個融教學(xué)、科研、管理、生活和服務(wù)為一體的數(shù)字化校園環(huán)境，提高學(xué)院的科學(xué)管理水平，營造學(xué)生的優(yōu)良學(xué)習(xí)環(huán)境，創(chuàng)建職工工作生活的便利條件。

數(shù)字化校園是將現(xiàn)實校園的各項資源數(shù)字化，形成的一個數(shù)字空間，以現(xiàn)實校園在時間和空間上延伸。它是以網(wǎng)絡(luò)為基礎(chǔ)，從環(huán)境、資源到活動的全部數(shù)字化。校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)構(gòu)成整個校園的神經(jīng)系統(tǒng)，完成校園的信息傳遞和服務(wù)。

隨著數(shù)字校園建設(shè)的推進(jìn)和信息系統(tǒng)的廣泛應(yīng)用，也產(chǎn)生了網(wǎng)絡(luò)信息安全的問題。需要各高校和網(wǎng)絡(luò)使用單位建立校園網(wǎng)絡(luò)安全體系，構(gòu)建校園網(wǎng)絡(luò)安全屏障，實現(xiàn)用戶分級管理、網(wǎng)絡(luò)監(jiān)控、上網(wǎng)行為控制、網(wǎng)絡(luò)異常報警等功能，保證校園網(wǎng)絡(luò)的安全，保證關(guān)鍵數(shù)據(jù)、關(guān)鍵應(yīng)用、關(guān)鍵部門的安全，實現(xiàn)校園網(wǎng)絡(luò)及其應(yīng)用系統(tǒng)安全高效的運行信息時代，信息可以讓企業(yè)或個人受益，一些不法分子也會盜取破壞信息來謀利。

1實現(xiàn)目標(biāo)

數(shù)字化校園建設(shè)的總體設(shè)計目標(biāo)是：建設(shè)一個包括數(shù)字環(huán)境建設(shè)、數(shù)字管理建設(shè)、數(shù)字教學(xué)建設(shè)、數(shù)字生活建設(shè)在內(nèi)，能充分使用教育技術(shù)手段的數(shù)字化學(xué)校，以資源和數(shù)據(jù)共享為主導(dǎo)，有步驟、分層次地完成學(xué)校數(shù)字化校園的建設(shè)。實現(xiàn)校園服務(wù)一卡通系統(tǒng)的建設(shè)要求，實現(xiàn)數(shù)據(jù)、監(jiān)控、廣播的綜合一體化通信平臺。建設(shè)覆蓋全校有線、無線通訊網(wǎng)絡(luò)，實現(xiàn)有線及無線通訊系統(tǒng)。

建設(shè)智能化系統(tǒng)，建立相應(yīng)的軟、硬件平臺，實現(xiàn)信息共享、資源共享、科學(xué)管理和網(wǎng)絡(luò)信息集成。

2需求分析

數(shù)字化校園基礎(chǔ)設(shè)施建設(shè)要將校園網(wǎng)絡(luò)與教學(xué)系統(tǒng)、管理系統(tǒng)、安全監(jiān)控系統(tǒng)、電視系統(tǒng)、廣播系統(tǒng)、校園一卡通系統(tǒng)等進(jìn)行合理的結(jié)合，構(gòu)建成一套科學(xué)、便捷、穩(wěn)定、有效的，能滿足學(xué)校教學(xué)和管理智能化和數(shù)字化運行的綜合系統(tǒng)。因此，必須建設(shè)好硬件基礎(chǔ)平臺和網(wǎng)絡(luò)支撐平臺以及若干應(yīng)用系統(tǒng)。

3硬件平臺

（1）中心機(jī)房建設(shè)。該中心往往是全校主要服務(wù)器、交換機(jī)等設(shè)備放置地，是全校辦公、管理、科研、教學(xué)、運營中心。綜合布線系統(tǒng)。該系統(tǒng)用于傳輸數(shù)據(jù)、語音、影像等信息，可將教學(xué)樓、辦公室、電腦、電話等的傳輸網(wǎng)絡(luò)與其他信息管理系統(tǒng)相互連接。

（2）網(wǎng)絡(luò)管理系統(tǒng)。整個校園網(wǎng)建成后，將有大量的交換機(jī)、服務(wù)器等網(wǎng)絡(luò)設(shè)備，需通過一種高效的、快捷的手段來完成對網(wǎng)絡(luò)設(shè)備及系統(tǒng)的安全控制、性能優(yōu)化、運營管理等，同時節(jié)約人員成本。

4基礎(chǔ)應(yīng)用

（1）校園一卡通系統(tǒng)。主要包括POS消費機(jī)、讀卡器、條碼機(jī)、寫卡器、水控器等，從而實現(xiàn)學(xué)生收費管理、校園消費、上機(jī)管理、學(xué)籍管理、圖書管理、轉(zhuǎn)賬（銀行）、會計業(yè)務(wù)、查詢服務(wù)、綜合業(yè)務(wù)、門禁考勤、醫(yī)療管理、水控管理、科研經(jīng)費、巡更等。LED屏幕顯示系統(tǒng)，用于顯示文字、表格、動畫、視頻等，也可實現(xiàn)新聞節(jié)目、文藝晚會、運動會、體育比賽的直播或轉(zhuǎn)播等。

（2）監(jiān)控及報警系統(tǒng)。對校門、校園內(nèi)、圖書信息樓等要害部位和重點部門進(jìn)行監(jiān)控及入侵報警，只要通過該系統(tǒng)在監(jiān)控中心就能發(fā)現(xiàn)校門、園內(nèi)、要害部位等的情況，發(fā)現(xiàn)問題即時解決，不需要保衛(wèi)人員到處巡邏，節(jié)約人員成本。

（3）多媒體教學(xué)查詢系統(tǒng)。節(jié)目播出均可以實現(xiàn)電腦控制，可以接收并播放音視頻信號，具有教學(xué)評估功能，多媒體教室也可接收并集中控制各類節(jié)目源等。

（4）計費系統(tǒng)。可以按流量、時間和包月計費，可以對接入的用戶進(jìn)行驗證和控制，為數(shù)字校園的規(guī)范管理提供可靠保障。

（5）電話語音系統(tǒng)。學(xué)校可與當(dāng)?shù)仉娦胚\營商協(xié)商，由運營商投資建設(shè)和管理，學(xué)校只是按照使用付給投資方使用費。

（6）信息網(wǎng)絡(luò)安全系統(tǒng)。以整個校園網(wǎng)安全建設(shè)、管理、運行為重點，保障整個校園網(wǎng)絡(luò)、各類應(yīng)用、管理等的正常運行，降低校園網(wǎng)系統(tǒng)存在的各種安全隱患。

5建設(shè)項目

根據(jù)以上需求情況，設(shè)置建設(shè)項目：綜合布線；中心機(jī)房、計算機(jī)網(wǎng)絡(luò)及整體網(wǎng)絡(luò)建設(shè)；校園一卡通；監(jiān)控及報警；防雷、接地；有線電視、校園廣播；多媒體教學(xué)和查詢；LED屏幕顯示；學(xué)生機(jī)房、數(shù)字語音室、模擬導(dǎo)游室、電子閱覽室等；辦公會議室、教學(xué)多功能廳、演播室等；校園精品課程全自動錄播；網(wǎng)絡(luò)數(shù)字教學(xué)點播平臺；各類教育教務(wù)、辦公自動化及其他網(wǎng)絡(luò)管理軟件；樓宇自控系統(tǒng)、建筑智能管理等。

6網(wǎng)絡(luò)規(guī)劃

網(wǎng)絡(luò)建設(shè)是建設(shè)數(shù)字化校園的基礎(chǔ)，必須放在第一位。網(wǎng)絡(luò)建設(shè)包括：網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)包括供電系統(tǒng)；校園管道系統(tǒng)；機(jī)房：雙路供電、不間斷電源、制冷、防雷與接地等系統(tǒng)。網(wǎng)絡(luò)環(huán)境建設(shè)包括校園主干光纖；數(shù)字結(jié)構(gòu)化布線；校園網(wǎng)絡(luò)架構(gòu)；IP地址與NAT；統(tǒng)一儲存；認(rèn)證與計費；出口管理；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)管理；運行與維護(hù)；行政管理與制度。

網(wǎng)絡(luò)應(yīng)用系統(tǒng)建設(shè)包括網(wǎng)站；基于網(wǎng)絡(luò)的視頻監(jiān)控系統(tǒng)；多媒體系統(tǒng)；多種教學(xué)系統(tǒng)；精品課程等。

7數(shù)字化校園建設(shè)中易出現(xiàn)的問題

第9篇：校園網(wǎng)絡(luò)安全建設(shè)范文

［關(guān)鍵詞］網(wǎng)絡(luò)安全；校園網(wǎng)；防火墻

前言

東北財經(jīng)大學(xué)經(jīng)過不斷發(fā)展、完善的信息化歷程，完成校園網(wǎng)絡(luò)廣泛覆蓋和帶寬升級。同時學(xué)校數(shù)據(jù)服務(wù)區(qū)運行著包括門戶網(wǎng)站、電子郵箱、數(shù)字校園、移動辦公等重要業(yè)務(wù)系統(tǒng)，隨著各類應(yīng)用系統(tǒng)的不斷上線，逐步構(gòu)成了一個服務(wù)于學(xué)校師生的重要綜合性校園網(wǎng)絡(luò)平臺。但另一方面，承載學(xué)校業(yè)務(wù)流程的信息系統(tǒng)安全防護(hù)與檢測的技術(shù)手段卻仍然相對落后。在當(dāng)前復(fù)雜多變的信息安全形勢下，無論是外部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無意造成的安全隱患，都給學(xué)校的網(wǎng)絡(luò)安全管理工作帶來較大壓力。而同時，勒索病毒爆發(fā)、信息泄露、上級部門要求、法律法規(guī)監(jiān)管等，都在無形中讓學(xué)校的信息安全管理壓力越來越大。筆者根據(jù)《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護(hù)2．0標(biāo)準(zhǔn)的要求，在現(xiàn)有的架構(gòu)下對東北財經(jīng)大學(xué)校園網(wǎng)絡(luò)進(jìn)行了安全加固設(shè)計，提升了校園網(wǎng)主動防御、動態(tài)防御、整體防控和精準(zhǔn)防護(hù)的能力。

1現(xiàn)狀及問題

在互聯(lián)網(wǎng)攻擊逐漸從網(wǎng)絡(luò)層轉(zhuǎn)移到應(yīng)用層的大背景下，學(xué)校各類業(yè)務(wù)系統(tǒng)在開發(fā)時難免遺留一些安全漏洞，目前學(xué)校安全防護(hù)僅在校園網(wǎng)出口部署了網(wǎng)絡(luò)層面的安全網(wǎng)關(guān)設(shè)備，傳統(tǒng)網(wǎng)絡(luò)層防火墻在面對層出不窮的應(yīng)用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發(fā)動緩沖區(qū)溢出，SQL注入、XSS、CSRF等應(yīng)用層攻擊，并獲得系統(tǒng)管理員權(quán)限，從而進(jìn)行數(shù)據(jù)竊取和破壞，對學(xué)校核心業(yè)務(wù)數(shù)據(jù)的安全造成了嚴(yán)重的威脅。數(shù)據(jù)的重要性不言而喻，尤其對學(xué)校的各類學(xué)生信息、一卡通等財務(wù)數(shù)據(jù)信息更是安全防護(hù)的重中之重，如有閃失，在損害學(xué)校師生利益的同時也造成很大的不良影響和法律追責(zé)問題。東北財經(jīng)大學(xué)出口7Gbps帶寬，由電信、聯(lián)通、移動、教育網(wǎng)等多家運營商組成。隨著學(xué)校的網(wǎng)絡(luò)規(guī)模擴(kuò)大以及提速降費的背景，互聯(lián)網(wǎng)出口將會達(dá)到15Gbps帶寬以上，原有的帶寬出口網(wǎng)關(guān)弊端顯露：具體包括網(wǎng)關(guān)性能不足，無法支持大帶寬，老舊設(shè)備無法勝任大流量的轉(zhuǎn)發(fā)工作；IPv6網(wǎng)絡(luò)不兼容，無法平滑升級，后續(xù)無法滿足國家政策進(jìn)行IPv6改造的規(guī)劃；上網(wǎng)審計和流量控制功能不完善，原有網(wǎng)關(guān)未集成上網(wǎng)行為審計功能，未能完全滿足網(wǎng)絡(luò)安全法，保障合規(guī)上網(wǎng)；不支持基于應(yīng)用的流量控制，帶寬出口的流量控制效果不佳；對上網(wǎng)行為缺乏有效管理和分析手段，針對學(xué)生上網(wǎng)行為沒有好的管理手段和分析方法。同時等級保護(hù)2．0也對云安全和虛擬化環(huán)境下的網(wǎng)絡(luò)安全問題作了要求。東北財經(jīng)大學(xué)信息化建設(shè)起步較早，目前校內(nèi)數(shù)據(jù)中心的絕大部分已經(jīng)實現(xiàn)了虛擬化，主要業(yè)務(wù)系統(tǒng)均在虛擬機(jī)上運行，虛擬化技術(shù)極大地提升了硬件資源的利用率和業(yè)務(wù)的高可用性，但現(xiàn)有的120余臺虛擬機(jī)的安全隔離和虛擬化環(huán)境的東西向流量控制成為安全建設(shè)的新問題。為了響應(yīng)《網(wǎng)絡(luò)安全法》以及國家新頒發(fā)的網(wǎng)絡(luò)安全等級保護(hù)2．0的相關(guān)要求，提高東北財經(jīng)大學(xué)數(shù)據(jù)中心的整體安全防護(hù)與檢測能力，需要在以下幾個方面進(jìn)行安全建設(shè)：（1）構(gòu)建安全有效的網(wǎng)絡(luò)邊界。主要通過增加學(xué)校數(shù)據(jù)中心的邊界隔離防護(hù)、入侵防護(hù)、Web應(yīng)用防護(hù)、惡意代碼檢測、網(wǎng)頁防篡改等安全防護(hù)能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強(qiáng)對網(wǎng)絡(luò)風(fēng)險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強(qiáng)內(nèi)網(wǎng)的持續(xù)檢測和外部的安全風(fēng)險監(jiān)測能力，主要技術(shù)手段包括：網(wǎng)絡(luò)流量威脅檢測、僵尸主機(jī)檢測、安全事件感知、橫向攻擊檢測、終端檢測響應(yīng)、異常行為感知等。（3）形成全網(wǎng)流量與行為可視的能力。優(yōu)化帶寬分配，提升師生上網(wǎng)體驗；過濾不良網(wǎng)站和違法言論，保障學(xué)生健康上網(wǎng)和安全上網(wǎng)；全面審計所有網(wǎng)絡(luò)行為，滿足《網(wǎng)絡(luò)安全法》等法律法規(guī)要求；在網(wǎng)絡(luò)行為可視可控的基礎(chǔ)之上，需要進(jìn)一步形成校園網(wǎng)絡(luò)全局態(tài)勢可視的能力。

2網(wǎng)絡(luò)安全加固技術(shù)方案

按原有拓?fù)?，將東北財經(jīng)大學(xué)校園網(wǎng)劃分為校園網(wǎng)出口區(qū)、核心網(wǎng)絡(luò)區(qū)域、數(shù)據(jù)業(yè)務(wù)區(qū)域、運維管理區(qū)域、校園網(wǎng)接入?yún)^(qū)五個安全區(qū)域，并疊加云端的安全服務(wù)。各個區(qū)域通過核心網(wǎng)絡(luò)區(qū)域的匯聚交換與核心交換機(jī)相互連接；校園網(wǎng)出口區(qū)域有多條外網(wǎng)線路接入，合計帶寬7Gb，為校園網(wǎng)提供互聯(lián)網(wǎng)及教育網(wǎng)資源訪問服務(wù)；數(shù)據(jù)業(yè)務(wù)區(qū)部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學(xué)校門戶網(wǎng)站、電子郵件、數(shù)字化校園、DNS等各類業(yè)務(wù)系統(tǒng)；運維管理區(qū)域主要負(fù)責(zé)對整體網(wǎng)絡(luò)進(jìn)行統(tǒng)一安全管理和日志收集；校園網(wǎng)接入?yún)^(qū)教學(xué)樓、辦公樓、圖書館、宿舍樓等子網(wǎng)，存在大量PC終端供學(xué)校師生使用；另外學(xué)校的教學(xué)樓、辦公樓均已實現(xiàn)了無線網(wǎng)絡(luò)的覆蓋。在數(shù)據(jù)業(yè)務(wù)區(qū)域與核心網(wǎng)絡(luò)區(qū)域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網(wǎng)絡(luò)檢測等安全防護(hù)模塊，構(gòu)建數(shù)據(jù)業(yè)務(wù)區(qū)融合安全邊界。通過部署下一代防火墻提供網(wǎng)絡(luò)層至應(yīng)用層的訪問控制能力，能夠?qū)崿F(xiàn)基于IP地址、源／目的端口、應(yīng)用／服務(wù)、用戶、區(qū)域／地域、時間等元素進(jìn)行精細(xì)化的訪問控制規(guī)則設(shè)置；提供專業(yè)的漏洞攻擊檢測與防護(hù)能力，支持對服務(wù)器、口令暴力破解、惡意軟件等漏洞攻擊防護(hù)，同時IPS模塊可結(jié)合最新威脅情報對高危漏洞進(jìn)行預(yù)警和自動檢測；提供專業(yè)的Web應(yīng)用防護(hù)能力，針對SQL注入、XSS、系統(tǒng)命令注入等OWASP十大Web安全威脅進(jìn)行有效防護(hù)，同時提供網(wǎng)頁防篡改、黑鏈檢測以及惡意掃描防護(hù)能力，全面保障Web業(yè)務(wù)安全；提供內(nèi)網(wǎng)僵尸主機(jī)檢測能力，通過雙向流量檢測和熱門威脅特征庫結(jié)合，實現(xiàn)對木馬遠(yuǎn)控、惡意腳本、勒索病毒、僵尸網(wǎng)絡(luò)、挖礦病毒等威脅進(jìn)行有效識別，快速定位感染主機(jī)真實IP地址。在校園網(wǎng)出口區(qū)部署高性能上網(wǎng)行為管理，對校園網(wǎng)出口流量進(jìn)行全面管控，上網(wǎng)行為管理設(shè)備部署在核心交換機(jī)和出口路由器之間，所有流量都通過上網(wǎng)行為管理處理，實現(xiàn)對內(nèi)網(wǎng)用戶上網(wǎng)行為的流量管理、行為控制、日志審計等功能，設(shè)備提供IPv4／IPv6雙棧協(xié)議兼容，有效滿足IPv6建設(shè)趨勢下網(wǎng)絡(luò)的平滑改造。為了有效管控和審計，設(shè)備選型必須能夠全面識別各種應(yīng)用：（1）支持千萬級URL庫、支持基于關(guān)鍵字管控、網(wǎng)頁智能分析系統(tǒng)IWAS從容應(yīng)對互聯(lián)網(wǎng)上數(shù)以萬億的網(wǎng)頁、SSL內(nèi)容識別技術(shù)；（2）擁有強(qiáng)大的應(yīng)用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內(nèi)容檢測：IM聊天、網(wǎng)絡(luò)游戲、在線流媒體、P2P應(yīng)用、Email、常用TCP／IP協(xié)議等；（5）通過P2P智能識別技術(shù)，識別出不常見、未來可能出現(xiàn)的P2P行為，進(jìn)而封堵、流控和審計。通過強(qiáng)大的應(yīng)用識別技術(shù)，無論網(wǎng)頁訪問行為、文件傳輸行為、郵件行為、應(yīng)用行為等都能有效實現(xiàn)對上網(wǎng)行為的封堵、流控、審計等管理。同時，也要提供網(wǎng)絡(luò)流量可視化方案，管理員可以查看出口流量曲線圖、當(dāng)前流量應(yīng)用、用戶流量排名、當(dāng)前網(wǎng)絡(luò)異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當(dāng)前網(wǎng)絡(luò)運行狀況。對內(nèi)網(wǎng)用戶的各種網(wǎng)絡(luò)行為流量進(jìn)行記錄、審計，借助圖形化報表直觀顯示統(tǒng)計結(jié)果等，幫助管理員了解流量用戶排名、應(yīng)用排名等，并自動形成報表文檔，全面掌控用戶網(wǎng)絡(luò)行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準(zhǔn)確依據(jù)。同時支持多線路復(fù)用和智能選路功能，通過多線路復(fù)用及帶寬疊加技術(shù)，復(fù)用多條鏈路形成一條互聯(lián)網(wǎng)總出口，提升整體帶寬水平。再結(jié)合多線路智能選路專利技術(shù)，將網(wǎng)流量自動匹配最佳出口。具備全面的合規(guī)審計及管控功能，支持對內(nèi)網(wǎng)用戶的所有上網(wǎng)行為進(jìn)行審計記錄，滿足《網(wǎng)絡(luò)安全法》的要求，能有效防范學(xué)生網(wǎng)上不良言論、訪問非法網(wǎng)站等高風(fēng)險行為，規(guī)避法律風(fēng)險。在數(shù)據(jù)業(yè)務(wù)區(qū)物理服務(wù)和3個虛擬化服務(wù)器集群上每臺虛擬機(jī)安裝EDR客戶端，針對終端維度提供惡意代碼防護(hù)、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務(wù)器、Vmware集群和超云集群，進(jìn)行統(tǒng)一的主機(jī)／虛擬機(jī)邏輯安全域劃分，同時實現(xiàn)云內(nèi)流量可視、可控，滿足等保2．0云計算擴(kuò)展項要求。通過部署EDR構(gòu)建立體可視的端點安全能力，實現(xiàn)全網(wǎng)風(fēng)險可視，展示全網(wǎng)終端狀態(tài)分布，顯示當(dāng)前安全事件總覽及安全時間分布全網(wǎng)終端安全概覽，支持針對主機(jī)參照等級保護(hù)標(biāo)準(zhǔn)進(jìn)行安全基線核查，快速發(fā)現(xiàn)不合規(guī)項。部署于每臺VM上的端點agent，能夠?qū)υ苾?nèi)不同VM、不同業(yè)務(wù)系統(tǒng)之間的訪問關(guān)系、訪問路徑、橫向威脅進(jìn)行檢測與響應(yīng)，EDR與虛擬化底層平臺解耦合，解決多虛擬化環(huán)境下的兼容性問題，構(gòu)建動態(tài)安全邊界。構(gòu)建多維度漏斗型檢測框架，EDR平臺內(nèi)置文件信譽(yù)檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發(fā)現(xiàn)各類終端威脅。

3結(jié)語

通過該方案，提升了威脅防護(hù)、風(fēng)險應(yīng)對能力。能夠從容應(yīng)應(yīng)對勒索病毒、0Day攻擊、APT攻擊、社會工程學(xué)、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復(fù)雜度，提升安全治理水平，達(dá)到了設(shè)計要求。

參考文獻(xiàn)

［1］李鍇淞．對于校園網(wǎng)絡(luò)建設(shè)及網(wǎng)絡(luò)安全的探討［J］．?dāng)?shù)字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網(wǎng)合作運營探索［J］．網(wǎng)絡(luò)安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網(wǎng)絡(luò)安全防控［J］．計算機(jī)產(chǎn)品與流通，2019（9）．

［4］王巖紅．高校校園網(wǎng)安全現(xiàn)狀及優(yōu)化探討［J］．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（8）．