四川建筑职业技术学院校园网建设及安全方案设计与实现

节779509密级：四川大学工程硕士专业学位论文(设计)题目堕纠整煎墼些垫盎茎瞳撞国圈盎选丞童全盎耋遮盐鱼塞墨作者越完成日期2QQ§生≥县2垦旦培养单位四刖盍堂指导教师直勇副数援指导教师羞建筮直级王狸垣工程领域一电王皇垣信工程攫圣堂焦目期至QQ§生县旦四川建筑职业技术学院校园网建设及安全 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 设计与实现工程领域：电子与通信工程研究生杨毅指导教师方勇姜建敏摘要信息技术在教育领域的应用，极大地丰富了教学的内容、教材的形式，促进了教育模式、方法及观念的变革。在信息化时代，信息网络是重要的基础设施，也是现代教育不可少的物质条件。早期的四川建筑职业技术学院校园网主干网络已经不能满足学院日益发展的信息化需求。因此，针对学院网络应用与管理的现状，学院专门立项解决这个问题，该项目的目的是在现有的网络的基础上，将校园网进行升级，建设一个智能、安全、覆盖整个校园的校园网，实现用户管理、数据管理、信息管理、信息服务、网上办公、网上教学、电子商务、安全管理等全方位网络应用的要求，使学校的教学、科研和管理达到一个更高的层次。本文作者参与了整个项目的立项、需求调研、需求分析，项目详细设计和项目实施工作。本论文对从学院校园网需求出发，分析了网络现状和存在的问题；提出了新校园网建设的需求，从校园网的网络规划、拓扑结构、业务应用系统功能、安全保障和安全管理等方面进行了详细分析：提出了满足以上各方面的系统建设详细方案，按校园网渐进发展模式，配置适当的产品和部署方式进行了实施。本论文还针对校园网的安全问题，提出了一个安全保护方案，对校园网络中的核心应用，提供多层次和强有力的保护：并实现了一个适应校园网复杂的应用环境的防病毒解决方案。关键词：校园网，网络安全，职业教育，信息服务2ThePlanDesignAndRealizationforTheCampusNetworkConstructionandSecurityofSichuanArchitectureProfessionalTechnologyCollegeField：Electronic＆CommunicationEngineeringGraduatestudent：YangMSupervisor：FangYongJiangJianminAbstractThecontentandfoFillSofteachingarebeingenrichedbytheintroductionofinformationtechnelegy(In，and“tlltheuseellT'themodes，themethodsandtheconee：ptsofeducationhasbeenreformed．Duringthisinformationtime．campusnetworkiSthenecessarybasiceq西pmentforbuildingthetop-rankingprofessionaltechnologycollegeWiththefasterdevelopmentofOurcampusbuildingandtllemoreneedofinformation．thebackboneofexistingcampusnetworkcannotansweralltheneedofthecampus’Sinformationbuilding．Forthereasonsmentionedbefore，theSichuanArchitectureProfessional"rechnologyCollegefundedaspecialprojecttosolvetheseproblems．Theprojectwillhelpthecollege’Scampusnctworkbecomemoreintelligent．securer,andhavemoredigitalpracticability．ThcnewcampusnetworkCancovereverywhereofthecampus．itwillhelpthecollegerealizethemanagementofconsumers，datum，information，informationservice，andalSOhasthefunctionsofnetworkbffice，networkteaching，electronicbusiness，securitymanagement．Theteaching．researchandmanagementofthecollegewillbeimprovedtogetagreaterprogress．Theauthorofthisthesispattieipatesint11eprojectfundinganddoesmuchwerkinthenewcampusnetwork’Sdemandanalysis，particularactualizationplan．Thethesisgivestheanalysesfor也eactualitiesandtheproblemsinthecampusnetwork．andputforwardthenewneedsof血ecampusnetworkconstruction．Moredetailedanalysesaregivenintheseaspects：thecampusnetworkplan,topology,thefunctionofthebusinessapplicationsystem，andsecurityprotectionandmanagement．Tosatisfytheneedsabove，aparticularplanisgiven．Propernetworkproductsaredisposedbyrightways，alloftheseworkiskepttOastepbystepdevelopingmode．Thethesisalsogivesanetworksecurityplantoprovidethemultipleandpowerfulprotectionforthecoreapplicationpartofthecampusnetwork；andrealizeananti—virusplanthatCanadapttothecomplexcampusnetworkenvironments．Keywords：campusnetwork，thesecurityofnetwork,professionaleducation，informationservice1．概述1．1学院简介四川建筑职业技术学院是经四川省人民政府批准成立的专科层次的全日制普通高等院校。学院的成立，填补了四川无独立设置的建筑类大专院校的空白。学院现占地674余亩，建筑面积179300平方米，图书32．2万册，有功能齐全的教学实验、实训设施和校园网，有多媒体、语音、美术、制图、计算机CAI等专用教室，有计算机网络、力学、土工、测量、建材、给排水、液压、熟处理、供热通风、电工电子、机械、金相、财会模拟等实验室；有 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 田径运动场和各类体育设施；有设施齐全的学生公寓和生活设旅。学校现有教职工560人，其中专任教师354人：副教授级职称的教师100人，中级职称的教师165人，”双师型。教师74人。教师的学术水平高，教学科研成果多，有一批在西南地区乃至全国有影响的专业和学科学术带头人，编写出版了全国职教统编教材及科技书籍80余种。学院现有备类学生近9000人，全曰制在校学生7108人，四川、重庆等22个省(市、自治区)的莘莘学子汇集学院，营造了浓厚的高校文化氛围。1．2校园网发展历程信息技术的发展，不仅对人类的生活和工作产生了深远影响，也深刻地影响着人类的教育与学习。信息技术引入教育领域，极大地丰富了教学的内容、教材的形式，促进了教育模式、方法及观念的变革。校园计算机网络是高校信息化的基础。在信息化时代，信息网络是重要的基础设施，是创办全国一流高职学院必不可少的物质条件，四川建筑职业技术学院一直很重视这方面的工作。1999年四川建筑职业技术学院校园网建成：通过光缆将3栋楼(实验楼、老办公楼、教务处)内的局域网连起来，校园网出口为一台CISC02500路由器，通过256I(DDN专线与因特网连通，采用INTEL510T为主交换机；2500同时作为远程用户的访问服务器。初步建成校园网上的因特网信息服务系统，搭建了web、E-mail、ftp以及代理等服务器。建立了四川建筑职业技术学院网站。2000年将DDN专线改为100M的AI)SL专线，上行带宽为512K。2002年四川建筑职业技术学院网站第一次改版。2003年初将ADSL改为100M光纤直接接入因特网。同年网管中心机房搬迁至图书馆进行了改造，重新配置了2台联想万全PC服务器，使整个服务器群总数达到7台，6同时采用了交换网络和VLAN技术，主干网配置了一台背板速率为8．8Gbps的D-LinkDES一3326可网管千兆交换机作为核心交换机，采用千兆光纤连接全院6栋主要建筑。网管中心配置了～台D—Link704P路由器，使得在因特网上能访问学院的办公自动化系统。目前，校园网通过单模光纤分别以lOOMbps的带宽接入中国电信的德阳城域网节点。再与国际互连网(公用主干网)相连。主要教学、办公建筑采用单模和多模光纤连接，形成了校区内部的高速网络连接。校内主干为百兆连接，连接了包括办公、教学、实验、科研等部门在内的10栋楼字，并采用VLAN技术，跨越地理限制，按应用需求将整个网络划分为十一个互连的局域网。全院上网计算机台数达一千余台。校园网除了提供www、FTP、电子邮件和BBS等常规因特网服务外，还有学校的办公自动化系统、教务管理系统等教学服务平台，以及各部门、班级和教师个人的网站。四川建筑职业技术学院校园网逻辑拓扑图72．学院校园网建设要求2．1校园网建设的主要目标随着学院建设速度的不断加快，建筑楼宇的不断增多以及信息化的需求加大，校园网主干网络已经不能满足学院日益发展的信息化建设的需要。急需建设一个智能、安全、可运营数字化、覆盖整个校园的校园网。校园网不仅要使分布在不同地理位置的网络节点互连互通组成一个统一的网络，更为重要的是要将学校的各种信息资源有序高效的组织起来，以满足学校教学、科研、管理和信息交流等方面的需求。学校的建设的总体目标是采用先进的网络通信技术和计算机技术，建立一个覆盖德阳主校区的综合网络，实现用户管理、数据管理、信息管理、信息服务、网上办公、网上教学、电子商务、安全管理等全方位网络应用的要求，使学校的教学、科研和管理达到一个更高的层次。2．2校园网需求分析校园网络要发挥它的作用，必须要建设符合学院发展和需求的应用管理系统。校园网是服务于教学、科研及学校管理等众多环节的综合系统，而不仅只是因特网的浏览系统和信息播放系统陋1。目前成熟的校园网综合系统功能主要集中在以下几个方面：辅助教师教学，提高教学手段；提供网络服务，方便师生教研；改善办公条件，提高工作效率：开放对外窗口。树立学院形象。据此，校园网建设需要解决以下几个主要问题：●校园主干网升级为千兆网·通过El接入中国教育网(CERNET)西南地区节点——电子科技大学，实现两个出口连接因特网通过VPN(虚拟专网)方式实现和成都校区的联网，图书资源共享将教师宿舍和学生宿舍接入校园网内，共享校园网资源建立以网数据库为中心的综合信息平台，整合一套招分、教学、财务、学生管理等部门共享和管理的数据库软件逐步完善校园信息服务系统，建立网上视频会议系统、信息查询系统等信息服务提高网络管理、安全、运行维护水平，采用基于用户的IP网关计帐系统加快学院网站(主页)建设速度，扩大信息量，树立学院良好形象●●●●●●3．网络规划3．1校园网设计原贝Ut30l1．先进性采用当前国际先进成熟的主流技术，采用业界相关国际标准。设备选型要是先进和系列化的，系统应是可扩充的。便于进行升级换代。建立Intranet／因特网模式的总体结构，符合当今信息化发展的趋势。通过Intranet／[习特网的建立，加速国内外院校之间的信息交流。2．实用性建网时应充分考虑利用和保护现有资源，充分发挥设备效益，要保证系统和应用软件全中文界面，且功能完善，界面友好，兼容性强，能最方便地实现各种功能。3．可管理性设计网络时充分考虑网络日后的管理和维护工作，并选用易于操作和维护的网络操作系统，大大减轻网络运营时的管理和维护负担。采用智能化网络管理，最大程度地降低网络的运行成本和维护。4．可扩展性网络规划设计要满足学院不断发展的要求，还要满足技术发展需要而实现低成本扩展和升级的需求。采用符合国际和国内工业标准的协议和接口，从而使校园网具有良好的开放性，实现与其他网络和信息资源的容易互联互通。并可以在网络的不同层次上增加节点和子网。一般包括开放标准、技术、结构、系统组件和用户接口等原则。在实用的基础上必须采用先进的成熟的技术，选购具有先进水平的计算机网络系统和设备，并保留向ATM过渡的自然性。由于计算机技术的飞速发展和计算机网络技术的日新月异，网络系统扩充能力的大小已变得非常重要，因此考虑网络系统的可扩充性是相当重要的。5．高性能价格比结合日益进步的科技新技术和校园的具体情况，制定合乎经济效益的解决方案，在满足需求的基础上，充分保障学校的经济效益。坚持经济性原则，力争用最少的钱办更多的事，以获得最大的效益。6．安全性提供多层次安全控制手段，建立完善的安全管理体系，防止数据受侵击和破坏，有可靠的防病毒措施和阻挡不良信息进入的措施。用各种有效的安全措施，保证网络系统9和应用系统安全运行。安全包括4个层面．网络安全，操作系统安全，数据库安全，应用系统安全““。由于Intemet的开放性，世界各地的Intemet用户也可访问校园网，校园网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。3．2通信子网规划设计校园信息系统网络应是为办公、科研和管理服务的综合性网络系统。”。学院网络改造主要是对原网管中心设备进行升级，作为现有网络的分中心，并在新的网络中心增加一些网络设备，通过光纤与原网络中心相连，为校园网提供服务。1．网络拓扑结构网络主干，用于连接各个主要建筑物，为主要的部门提供上网条件，主干的选型和设计是信息系统网络的主要工作之一。采用基于第三层交换的千兆以太网作为校园网主干。千兆交换式以太网能够为每个端口提供1G的带宽，可以满足校园主干网的需要。它具有较高的性能价格比，同时它具有良好的互操作性，并具有向后兼容性；可以从现有的传统以太网方便、平滑地升级到于兆以太网嘞1。网络中心和各主要楼宇之间通过千兆光纤连接。2．核心层网络中心仍设在图书馆三楼。网络中心有中心交换机、服务器群、路由器、防火墙等设备构成。网络中心的中心交换机是整个网络的核心和命脉，直接关系到网络的整体性能，是数据流量集中的地方。主干交换机采用RG-S6806E万兆核心路由交换机，其它设备以中心交换机为中心，以星型拓扑结构通过光纤连接在一起。选择中心交换机主要考虑性能、功能和可扩展性，具备三层交换功能、能够划分VLAN的带有千兆光纤接口具有丰富的接口、完善的网管功能和较强的适应能力。3．接入层考虑到网络对带宽的实际需求和不断增加的网络应用对带宽持续增长的需求趋势，节点交换机采用高性能快速以太网交换机，使每个按入用户真正拥有10／100M的独享带宽。另外，由于所用节点交换机数量太多，要求该交换机具有良好的可管理能力。因而采用了RG-$21268。4．出口系统将信息系统网络与Cemet和Intemet相连接的系统，出口系统的主要问题包括豫个方面：一个是选择合适的连接方式，如DDN、X．25、卫星、微波等方式连网：另～个是防火墙的建设，它与出口系统的安全性有直接的关系。3．3资源子网规划服务器子网直接接入核心交换机。四川建筑职业技术学院校园网络拓扑图4．网络建设4．1实现产品选型校园网的核心层产品采用模块化万兆路由交换机RG-S6808E，接入层交换机产品采用全千兆三层路由交换机RpS2126S。整体网络采用了三层构架，为了满足现代网络的多种应用，带宽设计原则是“千兆骨干，百兆桌面”接入。各个楼宇通过千兆光纤连接到网管中心。首先。校园网核心层采用锐捷网络RG—S6808E为中心，RG．S6800的交换、路由、ACL、QOS等复杂功能通过硬件实现。插入了M6808E一12SFP／GT、M6806E一24T4SFP／GT双管理模块做业务模块。RG一$6808E提供256G背板带宽，二／三层包转发速率可达143Mpps，可为用户提供高速无阻塞的数据交换。$6806提供128个快速以太网端口、96个千兆光纤端口和8个万兆端口，并可根据学院日后的需求灵活配置，构建弹性可扩展的网络。其次，在汇聚层采用了RG一$2126S。，考虑到网络对带宽的实际需求和不断增加的网络应用对网络带宽持续增长的需求趋势，在网络接入级采用高性能的接入级快速以太网交换机，使每个接入用户真正拥有IO／IOOM的独享宽带。另由于所使用的接入级网络交换机数量多，要求该交换机具有良好的可管理能力，启用交换机的802．1x、snmp管理等功能。RG-$2126S是一款全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量(QoS)以及组播管理特性，并可以实施灵活多样的ACL访问控制。可通过SNMP、Telnet、Web和Console口等多种方式提供丰富的管理。采用RG-$2624路由器和RG-WALLl00防火墙。RG-$2624采用模块化结构设计，拥有丰富的网络安全特性和完备的冗余备份解决方案。它支持VolP特性、IP组播协议，有丰富的Qo$特性，是高性价比的三网合一解决方案。RG—wALLl00是锐捷网络采用独创的分类算法设计的新一代安全产品，支持扩展状态检测技术，具有商性能的网络传输功能。同时，在启用动态端口应用程序时，可提供强有力的安全信道。从功能上来说，它实现了扩展的状态检测功能、防范入侵、URL过滤、HTTP透明代理、SMTP代理、分离DNS、NAT功能和审计、报告等。此外，全网使用RG—SAM做为计费认证系统。用star-view做整个网络的管理平台。以RG-SAM为核心软件的“高安全、可运营、易管理”的第二代解决方案SAM-I【，为用户提供了校园网建设的最佳选择，能够带来最优的用户体验。StarView管理系统能提供整个网络的拓扑结构，实现了在网络中心对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMoN管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。同时，节约了人力、物力的投入，降低校园网络的综合运行维护成本。StarView可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。4．2网络实现4．3网络信息4．3．1交换机管理IP地址信息设备型号设备安装位置设备管理IP管理VLAN备注$6800E中心机房172．16．1．1l$2126S行政楼172．16．1．2l财务为另一个vainS2126S东区教学楼172．16．1．31S2126S一号教学楼172．16．1．41$2126S教务处172．16．1．5lS2126S二号楼172．16．1．6lS2126S四号楼172．16．1．7lS2126S实验楼172．16．1．81防火墙中心机房172．16。2．2型号是RG-WALLl00路由器中心机房型号是RG-R26244．3，2VLAN与IP地址信息IP网段网关VL^取功V洲说明222．20．85．0／25222．20．85．12行政222．20．83．0／24222．20．83．13办公，2／1—3222．20．85．128／26222．20．85．1294机房1#(在图书馆)222．20．80．64／28222．20．80．655机房2#(在实验楼)222．20．80．128／2622220．80．1296机房3#(在实验楼)222．20．80，192／26222．20．80．1937机房4#(在实验楼)222．20．81．0／26222。20．8L18机房5#(在实验楼)222．20．81．64／26222．20．81．659机房6#(在实验楼)222．20．81．128／26222．20．81．12910机房7#(在实验楼)222．20．81．192／26222．20．81．193ll机房8#(在实验楼)222．20．82．0／26222．20．82．112机房9#(在四号教学楼)222．20．82．64／26222．20．82．6513机房10#(在东区教学楼)222．20．82．128／26222．20．82．12914机房“#(在东区教学楼)222．20．86．0／25222．20．86．116营业机房l#(在四号楼)222．20．86．128／25222．20．86．12917营业机房2#(在实验楼)222．20．85．192／26222．20．85．19320营业机房3#(在图书馆)222．20．80．0／26222．20．80．120服务器222．20．84．0／24222．20．84．12l教学vlan222．20．82．192／27222．20．82．19322财务室222．20．82．224／27222．20．82．22523远程招生办(在行政楼)222．20．87．0／26222．20．87．124图书vlan222．20．87．64／26222．20．87．6525质控vlan(在实验楼)172．16．1．O／24172．16．1．11管理(所有锐捷网络交换机)192．169．2．0／24192．169．2．2100连接到防火墙的VLAN4．3．3防火墙接口IP信息端口IP地址下一跳IP地址说明EthO220．6．165，30255．255，255．t92220．6、165．1接电信网EthllO．10．1．210．10．1．1接路由器(教育网)Eth3192．169．2，1255．255．255．0192．169．2．2接内网Eth2备用I)mz区4．3．4路由器IP分配信息端口IP地址下一跳IP地址说明FO10．10．1．1／3010．10．1．2接防火墙SO202．112．14．110／30202．112．14。111接教育网154．3．5服务器IP地址信息服务器名称服务器IP地址服务器网关所属vLANSAM—II认证／计费服务器222．20．80．8222．20．80．120STARVIEW网管222．20．80．8222．20．80．120OHCPSERVER222．20．80．8222．20．80．120WEBSERVER222．20．80．5222．20．80．120220．6．t65、5220．6．165．1DNSSERVER222．20．80．9222．20．80．120222．20．80．10FirPSERVER222．20．80．6222．20．80．120教务处SERVER222．20．804222．20．80．120图书馆SERVER222．20．80．20222．20．80．120BBSSERVER220．6．165．3220．6．165．14．3．6各网络设备具体配置1．中心交换机(RG-S6806E)配置(!)VLAN端口对照表端口号所属vLAN描述G1／11，2，3，20，22连接到行政楼GI／21，3连接到后勤基建处GI／31，3，21连接到一号楼G1／4l'3，20连接到教务楼G1／51，3，2l连接至tJ--号楼G1／6l，2l连接到四号楼的教学VLANG1／8l，3，5-11，25连接到实验楼的非营业机房F2／1】，13，14连接到东区机房F2／224连接到图书馆的办公楼6F2／34连接到图书馆的机房F2／420连接到图书馆的营业机房F2／5～ll，F2／16—20，G1／11，G1／1220连接到服务器群，包括SAY—11和WEBF2／12100连接到防火墙F2／1323连接到行政楼的远程招生办F2／1416连接到四号楼的营业性机房F2／1517连接到实验楼的营业机房F2／213连接到宿舍楼F2／22-24，G2／26-28保留②配置清单通过TELNET或CONSOLE进行配置servicedhcp／十启用DHCPRELAY*／iphelper—address22220．80．8iDaccess-[istextendedl01A防冲击波、震荡波等病毒以及没打SOL补丁发送大量SQLmonitor报文等十／denyudpanyanyeq1434denyudpanyanyeq135denyudpanyanyeqtftpdenyudpanyanyeq5554denyudpaRyanyeq1068denytcpanyanyeq135denytcpanyanyeq5554denytcpanyanyeq1068denytcpanyanyeq6881denytcpanyanyeq6882denytcpanyanyeq6666denytcpanyanyeq6667denytcpanyanyeq6668permitiPanyany2．行政楼$2126S的配置弘”‘④VLAN和端口对照表端口号所属vLAN描述FO／1-322连接到财务PcFO／43连接到老办公楼FO／520连接到财务服务器F0／6-242连接到所有的办公PC61／11，2，3，20，22TRUNK口，上联到$6806EinterfacefastEthernet0／3switchportaccessvlan22dotlxport—controlautointerfacevlan1noshutdownipaddress172．17．1．2255．255．255．0／}交换机管理ip*／radius—serverkeyipdefault—gateway172．17．1．1snmp—servercommunitypublicrwend②2t26S培训部分／丰密钥，需要和SAIJ-II配置的一致}／／丰网关ip*／／*snmp管理公共名，必须是RW*／考虑到学生和老师用的机器都没有安装认证／计费系统的客户端Supplicant2．43，所有汇聚层交换机$2126S的802．1X认证都没有打开。 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 所有机器都从内网服务器上下载了Supplicant2．43后，开始认证／计费系统SAM-If全网应用。$2126S打开802．1X认证方法如下：进入到交换机的全局状态，configtinterrangef0／1—24(选择802．1x应用端口，这里l--24口都启用，也可以到每个接口应用。)dotlxpert—controlauto(启用802．Ix，需要注意的是，不要把802．1x应用到与核心交换机连接的端口)end之后，盯保存配置。3．后勤基建处$2t26S的配置VLAN和端口的对照表端口号所属VLAN描述FO／l一243连接到所有办公PcGI／11，3TRuNIc口，上联到$6806EG2／I3连接到东区教学楼4．东区机房S1926S的配置：VLAN和端口的对照表端口号所属VLAN描述PO／l13连接到lO#机房FO／2—2414连接到1t#机房Gl／1l，13，14TRUNK口，上联到$6806E5．～号楼的$2126S的配置VLAN和端口的对照表端口号所属VLAN描述FO／13连接N--楼的S1926SFO／2—63连接到办公PcF0／7-242l连接到教学PcGl／1l，3，21TRUNK口，上联到$6806E6．教务处的S2126S的配置VLAN和端口的对照表端口号所属VLAN描述FO／l20连接服务器FO／2—243连接到办公PCGI／I1，3，20TRUNK口，上联到$6806E7．二号楼的$2126S的配置VLAN和端口的对照表端口号所属vLAN描述F0／l一621连接办公PcFO／7—243连接到教学PCGI／Il，3．21TRUNK口，上联到$6806E8．四号楼的$2126S的配置VLAN和端口的对照表端口号所属VLAN描述FO／1-242l连接到所有教学终端61／II，21TRUNK口，上联到$6806E9．实验楼的$2126S的配置VLAN和端口的对照表端口号所属VLAN描述F0／l5连接机房FO／26连接机房(A3：三楼机房)FO／37连接机房FO／48连接机房(±木机房)F0／59连接机房(A6二号机房)F0／610连接机房(A2一号机房)FO／7—1011连接机房(B6经管机房)FO／11—233连接到办公PcF0／2425连接到质控办(C3)G1／11，3，5-ll-25TRUNK口，上联=孤Js6806E2I5．网络安全需求任何计算机网络，只要运行就可能面临安全性威胁，校园网也不例外。校园网及其信息系统所面临的安全威协既可能来自校园内部，又可能来自校园外部。通过对校园网的网络、应用和安全管理的分析，校园网主要有以下安全需求：·要加强校园网特别是对外服务器网段和内部服务器等重点网段的保护；校园网与外网之间的访问连接必须控制；办公网、教研网络要和非办公网、教研网络隔离。·加强对学生上网行为的管理，净化学生心灵，限制访问Internet上的反动、色情、暴力等不健康网站和网页。●加强对校园网内部应用服务器和应用系统的安全保护，加强用户身份认证和访问控制等安全管理功能，防范非授权访问、防范敏感信息泄露。●针对WEB服务器，要加强防攻击和防主页篡改能力。●加强对网络病毒的防范，防止网络病毒在校园网泛滥。●针对对校园网的攻击行为以及校园网内发出的攻击，必须能够实时检测并阻断。●加强校园网内部的管理，提高全体用户的安全意识。·在保证安全的同时，为出差在外的教职工(特别是学院领导)提供通过Internet访问校园网应用的安全、可靠而且简单、方便的途径。6．安全解决方案【Io，12’13】6．1配备完整的系统的网络安全设备校园网络虽然比较复杂，但从整体技术架构来看，还是属于局域网范畴。根据学院的机构设置情况，可以分为三个主要安全域：办公自动化安全域(0A系统)i公共信息服务安全域(包括WEB服务、DNS服务以及邮件服务等)；关键部门安全域(如教务部门、财务部门等)。因此，在局域网和外部网络接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外需要注意的是，校园网络现在基本上都是高速网络，因此配置安全设备既要考虑到功能同时也必须考虑性能，将配置安全设备后对网络性能的影响尽可能的降到最低。据此要求，校园网络需要配备以下安全设备；6．1．t路由器的选择路由器作为网络之间数据通信的核心设备，其本身的安全性能尤为关键，因为作为网络转接设备的路由器，需要不断接收与发送路由信息及IP数据报，而路由信息与敏感rP数据报的安全正是网络安全防护的核心。因此，强化路由器本身的安全防范往往可以收到事半功倍之效。安全路由器应该具备网络互联、网络隔离、流量控制、身份认证、访问控制、数据加密和安全管理等主要功能。校园网内部一般安全域的互联时应选择安全路由器，而在与内部重要安全域和外部网络的连接处应选择安全路由器和防火墙配合使用。路由器的配置通过TELNET或CONSOLE的密码router—scjy#shrunBuildingconfiguration．．．Currentconfigurati011：version6．14(2)hostname。router—scjy’enablesecret5$l$n8CL$aOV9yRuv7vREErDBroXlr／enablepasswordlPsubnet-zerointerfaceFastEthernet0NOiPaddressnoiPmroute—cacheshutdown6．1．2高性能的硬件防火墙防火墙是部署在不同网络安全域之间的一系列部件的组合。它能够根据用户的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力，是提供信息安全服务，实现网络和信息安全的基础设施。防火墙一般部署在两个位置f13】，一是与外网的连接处，外网不仅指Inte功et，还指本单位局域网以外的其它网络：二是内部划分的安全域中确有必要的重要的安全域前。对防火墙指标要求：1．数据包过滤●支持源地址与目标地址的过滤条件；·可基于端口、接口、流量、协议类型、工作时间段来设置过滤条件；·支持TCP单向控制的数据包过滤。过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外的攻击。2．支持网络地址转换(NAT)·支持静态网络地址转换，即“一对～”的网络地址转换；●支持动态网络地址转换，即IP地址池。防止IP地址被盗用。3．流量统计与控制具有流量统计与控制功能，能根据IP地址(网段)、IP包进行流量统计和相对应的对象进行流量控制。4．抗攻击能力●具备一定的抗攻击能力，防火墙可以对已经发生的攻击行为做出适当的反应以消除或缓减攻击对目标主机的影响：●防火墙自己的安全性，能防止针对防火墙本身的攻击行为。5．管理功能◆支持本地及远程管理方式，可以集中管理多台防火墙；●具有图形界面的管理方式：●支持用户的认证与管理。6．日志与审计提供完备的曰志记录及报警功能，在日志中记录网络流量、对发生的攻击的安全分析等信息。7．性能指标·设备连续无故障运行时间大于4万小时；●时延小于0．04ms；·不产生网络瓶颈，防火墙吞吐量不低于95^lbps(百兆环境下)：·在不影响性能的情况下，有效规则数不低于400条。·防火墙并发连接数不低于8000条，每秒可处理新会话数大于3000个，能同时响应400条以上安全策略或规则。8．其它功能要求·支持透明接入方式(桥接方式)；具有开放接口，可与其它安全产品(如入侵检测产品)联动。我们在Internet与校园网内网之间部署了一台RG-WALLl00防火墙，在内外网之间建立～道牢固的安全屏障。其中w唧、E-mail、FTP、DNS服务器连接在防火墙的DMZ区(即“非军事区”，是为不信任系统提供服务的孤立网段，它阻止内网和外网直接通信，以保证内网安全)，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。这样，通过Internet进来的外网用户只能访问到对外公开的一些服务(如ww、E-mail、FTP、DNS等)，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的使用，并能够对发生在网络中的安全事件进行跟踪和审计。防火墙是一种被动的、静态的安全防护技术1131，再配合其它安全产品和技术，如入侵检测与安全审计、漏洞扫描、病毒防范等，形成一个主动与被动互补的、动静结合的、多层次的、完善的安全防护体系，保证系统的安全。防火墙配置l、做地址变换(使用地址池方法，使教育网的IP地址可以正常的上电信的公网)。2、做策略蹄由，内部网用户访问外网优选电信网；外部网访问内网WEB等服务器走教育网，回路优选教育网。3、配置管理防火墙只能通过网管机器进行。在IE内输入用户名／密码进行配置。6．1．3旁路监听型的入侵检测系统在不影响网络正常运行的情况下，增加内部网络监控机制可以做到最大限度的网络资源保护。入侵检测系统(IDS)是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流．能够识别、记录入侵和破坏性代码流。寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和末授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录、自动阻断通信连接或执行用户自定义的安全策略等。入侵检测系统主要部署对tnternet提供公共信息网络和内部重要的服务器或网络(安全域)。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。为打造网络接体安全，网络信息部在三层交换机上做了端口镜象，放置了入侵检测弓}擎。通过此引擎，实现了不仅仅对嗍、ENAIL等服务器主机的入侵检测，而且实现了对校园网网络的入侵检测。实时监视网段中传输的各种数据包，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。通过入侵检测系统的配合，网络管理人员可以及时发现网络中存在的异常情况，并加以解决，而且还可以形成对天、对周、对月的安全分析报告，掌握安全分析的第一手资料。对入侵检测系统指标要求：1．入侵检测功能●提供实时的网络入侵检测，可自动识别各种入侵攻击模式；●提供定期的入侵检测规则库升级；·对最新出现的攻击有较快的响应速度。2．规则配置●灵活定制各种入侵检测规则；●提供用户自定义规则，可灵活定制攻击特征。3．响应方式●具有多种响应方式，包括声音报警、E-IdML报警、阻断TCP会话等：●与其它安全产品(如防火墙产品)联动能力。4．审计日志及报表·提供详细的入侵检测日志；·提供灵活的、多种格式的分析报表；●提供灵活的查询手段。5．管理功能·管理配置界面友好、易用；·具备分布式部署统～管理功能，支持远程管理；●具备灵活的用户管理措施。6．性能要求●在百兆以太网的网络环境中，当流量较大(如80Mbps／s)时，自＆够保证基本不丢包(95％)；·误报率不高于5％，成功检测率不低于90％；●成功拦截率不低于85％；●对现有网络性能的影响不高于3％，对现有主机性能的影响不高于5％。7．其它要求基本不影响原有网络结构以及网络性能。8．提供产品二次开发的接口及服务6．1．4漏洞扫描系统网络安全检测技术是对网络进行风险评估的重要措施，通过使用网络安全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略，达到增强网络安全性的目的。实现网络安全检测的主要技术是漏洞扫描【”】，包括网络漏洞扫描、主机系统漏洞扫描以及数据库系统漏洞扫描等几个部分。漏洞扫描作为系统安全性能评估、系统安全加固和裁剪的重要手段，对校园网的关键系统应建立定期漏洞扫描制度。对漏洞扫描软件指标要求：1．必须支持对以下操作系统的漏洞扫描：WindowsNT／2000、主流UNIX平台，以及LINUX平台：2．必须支持对以下应用系统扫描：WEB服务、MAIL服务(包括ExchangeServer)、数据库服务(Sybase、MSSQL、Oracle、DB2等)：3．能对网络设备进行漏洞扫描；4．具有安全扫描策略模板，支持用户自定义安全扫描策略；5．支持并行扫描，能够对大的网络同时执行多个扫描：6．可以设置定时扫描或手动扫描；7．提供多样化的报表，包括总体趋势分析报表、详细漏洞描述分析报表等8．对检测结果进行综合统计分析，提出有效的安全加固建议；9．提供定期漏洞库的升级服务：lO．性能要求：●误报率不高于5％；●成功检测率不低于90％；·对现有网络性能的影响不高于3％，对现有主机性能的影响不高于5％。6．1．5安全审计系统网络安全审计系统主要是监控来自网络内部和外部的用户活动，侦察系统中现存的和潜在的威胁，对与安全有关的活动的相关信息进行识别、记录、存储和分析，对突发事件进行报警和响型13l。审计系统自身的数据具备防销毁、防篡改的特性，能够为网络犯罪案件的侦破和取证提供精确、宝贵的辅助数据。它可以在内部局域网上建立完善的安全预警和安全应急反应体系，为信息系统的安全运行提供保障。网络层的安全监控与审计又包括入侵检测与预警、数据分析和内容检测、系统紧急反馈等几个方面。对网络安全审计系统指标要求：1．网络审计功能·能够忠实记录网络系统中用户活动的过程以及进行的操作，支持H丌P、Telnet、FTP、SMTP、eOP3等标准协议；·支持标准协议的还原功能，如Tether等协议；·支持Windows文件共享(NetBIOS协议)审计功能。2．规则配置●可灵活定制各种协议的审计规则；●提供用户自定义规则。3．响应方式·系统应该具有多种响应方式，包括声音报警、阻断TCP会话等；·与其它安全产品(如防火墙产品)联动能力。4．审计日志及报表●提供详细的网络审计日志；●提供统计分析报表：·提供灵活的查询手段。5．管理功能●具备分布式部署统～管理功能，支持远程管理·具备用户管理能力，可对访问权限进行控制。6．其它要求：·基本不影响原有网络结构以及网络性能：●提供产品二次开发的接口及服务。6．1．6旁路监听型不良内容过滤系统网络信息部的邮件服务器和BBS服务器基本上都实现了不良有害违法信息的过滤功能，使得校园对外的媒介正常。6．1．7覆盖全校范围的网络版防病毒系统随着计算机技术的不断发展，病毒也变得越来越复杂和高级。从最简单的DOS引导病毒到现代的宏病毒和交形病毒，病毒在不断的进化之中。随着近年Internet的发展，E—MAIL和一批网络工具的出现改变了人类信息的传播方式和生活，病毒也已从存储介质(软、硬、光盘)的感染发展为网络通信和电子邮件的感染，使计算机病毒的种类迅速增加，扩散速度大大加快，出现了一批新的传播方式和表现力的病毒。病毒的主发地点和传播方式也已经由以往的单机之间的介质传染完成了向网络系统的转化，如CIH、Melisa、CodeRed、NIMDA等网络病毒对企业及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的【“J。所以，防止计算机病毒是计算机网络安全工作的重耍环节。对于以前的单机版的杀毒软件已经不能解决网络中大肆蔓延的病毒，这样就存在着交叉感染的问题。病毒的表现形式不单单是破坏了本机的数据文件，而且有的病毒使得机器向网络上发大量的数据包，堵塞网络带宽，不仅仅耽误了自己的工作，还影响到周围的人，甚至造成校园网交换机的死机、网络的瘫痪。鉴于此，网络信息部使用了瑞星网络版杀毒软件。防病毒系统的部署从可靠和经济的角度考虑，应采取统一部署的方式。对于网络防杀暂时无法顾及部门安装单机版的病毒防杀软件，或建立定期杀毒制度和使用外部存储设备前的杀毒制度，并定期进行病毒库的更新升级。根据校园网络现状，我们在充分考虑可行性的基础上，为了实现在整个局域网内杜绝病毒的感染、传播和发作，在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系，实现了远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种功能。对病毒防杀系统指标要求：1．全方位网络病毒防范体系提供对服务器以及客户端的全方位病毒防护，支持的系统至少应包括MSWindows95／98／NT／2000／XP。2。病毒防杀能力能够防杀目前世界上流行的各种病毒及其变种；具备收集国内国际上最新病毒的能力，病毒库更新快速有效a3．实时和定时扫描功能对用户当前操作的数据进行实时检测，防止病毒传播：具有定时扫描功能。4．方便的病毒防护管理功能具有全网服务器、客户端的统一安装、统一配蠢功能，可形成全网统一的病毒防护体系；具有全网集中式目志管理功能。5．系统资源占用率资源占用率不超过系统资源的10％。6．方便的升级和维护功能定期自动将升级文件通过企业内部网络进行发送；能实现全网的自动更新。7．系统扩展性具有二次开发接口及服务的能力。6．1．8网络故障检测以及网络故障诊断设备通过配置以上安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。306．2解决用户上网身份问题，建立全校统一的身份认证系统校园网络基础安全设施配备后，必须要解决用户上网身份问题，而身份认证系统是蹙个校园网络安全体系的基础的基础，用户身份如果得不到落实，即便发现了安全问题也大多只能不了了之。同时全校的统一身份认证系统，是学校信息化建设中必须要考虑的一个非常重要建设内容。各校园网络管理部门对身份认证系统的技术选型应该要慎之又慎。现在的校园网内的一些应用系统或多或少的有具有一定的身份认证功能，但从安全性、通用性、及时性和权威性来看，都不能令人满意，而且存在很大的安全隐患。为此，必须建立基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。身份认证与授权系统的主要内容包括PKI体系、身份认证体系以及授权管理与访问控制体系。1．基于PKI核心技术的CA体系及其部署基于PKI核心技术的cA(CertificationAuthority)是一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。RA(RegistrationAuthority)是用户和cA的接口。它所获得的用户标识的准确性是cA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记，如通过电子邮件、浏览器等方式登记。要确保整个PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的RA系统。2．身份认证体系和授权管理体系及其部署由于网络空间中的虚拟和匿名特性，在信息系统进行基于用户身份的访问控制时必须首先对用户的真实身份进行验证。身份认证技术的核心是利用被认证方的某些第三方无法伪造的特征信息来确认被认证方身份的真实性【l31。根据认证过程中所使用的认证信息来分，用户身份认证技术大致包括口令方式、基于秘密信息的认证手段、动态口令身份认证、基于物理安全性的认证手段等四类。授权管理实现的主要功能是在确认用户身份的情况下，对于该用户访问系统资源进行控制。目前的比较通用的授权管理技术是采用规范ACL描述用户的授权信息、采用授权管理中心进行集中授权、提供各种实施授权查询和控制的API和接口、在操作系统或应用平台上增加嵌入型的授权管理模式。对于一般系统的开发和系统开发的初始阶段至少要采用口令方式进行身份认证，但要加强口令管理，如口令长度必须大于八位，更换周期小于一个月，并且口令由系统自动生成，记录更改情况，口令在数据库中加密保存，加密传输等。vlan22radius—serverhost222．20．80．8／对目定RADIUS认证服务器}／aaaauthenticationdotlx／丰启用802．Ix认证木／aaaaccountingserver222．20．80．8／}指定RADIDS记帐服务器}／aaaaccounting胁启用记帐$／enablesecretlevel15＆Z>H．Y*T2YC，tZ[VSUD+S(＼WY--G1X)SVenablesecretlevel155&Ztj9=G12YTR：>}L5Uu一：C，tY8UO<D+SinterfacefastEthernet0／1switchportaccessvlan22dotlxport-controlauto／}端口启用802．Ix认iS*／interfacefastEthernet0／2switchportaccessvlan22dotlxport—controlauto6．3严格规范上网场所的管理，集中进行监控和管理校园网络建设从教学科研的角度出发，应该鼓励建设更多的公众上网场所，给学校师生提供了解网络和通过网络学习、工作的方便。但从安全管理的角度来看，对于众多上网场所的管理，只有使用统一的机房管理软件、集中身份认证并且进行集中的管理和监控，才可以有效的保证网络安全。现在，大多校园内的上网场所管理基本处在“网络管理孤岛”的状态，大量的上网用户身份无法鉴别，在这些上网场所的行为也基本上是不受控制的；另外，上网场所采用“还原卡”的方式可以简化了机房管理，但这给安全管理带来了麻烦。根据有关部门规定，上网场所的上网日志要保存至少三个月。因此，要解决用户上网身份认证、上网日志保存和查询的问题，最有效的解决办法就是采用集中身份认证、集中管理监控的方式[12。，具体来说有以下两个步骤：1．用户使用网络首先通过统一的校级身份认证系统确认，非合法用户无法使用校园网络。2．合法用户上网的行为受到统一的监控并且上网行为日志集中保存在中心服务器上。这样既可以不给机房管理增加负担，同时也可以提供至少三个月以上的日志备查。另外，由于是将访问日志直接传送到中心监控服务器上，这保证了这个记录的严肃性和准确性。6．4改造电子邮件系统，提供多种安全监控和管理功能大多校园网络使用的免费的电子邮件系统，由于功能和性能等多方面的差距．已经明显不适应用户使用和网络安全对邮件系统的要求：另外，在安全管理方面，无法提供及对的监控和日志，对一些有害信息无法迸行过滤，也成为了校园网络安全管理的主要隐患。从网络安全以及网络应用的要求来看，改造校园网络电子邮件系统是势在必行的。7．安全管理f19】互联网络的飞速发展，对校园网络中师生的生活和学习已经产生了深远的影响，网络在我们的生活中已经无处不在。建设和运行校园网的目的是利用先进实用的计算机技术和网络通信技术，实现校园计算机连网，信息资源共享并与CERNET及其它计算机网络互连，为我院教学科研和管理服务。但在享受高科技带来的便捷同时，我们需要清醒的认识到，网络安全问题的日益严重也越来越成为网络应用的巨大阻碍，校园网络安全已经到了必须要统一管理和彻底解决的地步，只有很好的解决了网络安全问题，校园网络的应用才能健康、高速的发展。安全管理是系统安全的重要组成部分，网络安全建设是“技术与管理并重”，没有切实可行的安全保障体系和制度，网络安全就变成了空谈。随着网络技术的迅速发展和上网用户对网络的了解程度越深，网络安全的形式就越严峻，这也从近几年互联网络安全问题频频出现得到印证。而网络安全的技术又是非常复杂和广泛的，现状还是“道高一尺，魔高一丈”，这样，管理的工作就愈发重要和艰巨，必须要做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。另外，学校必须颁布网络行为规范和具体处罚条例，这样才能有效的控制和减少内部网络的隐患。7．1管理机构作为安全管理体系的一部分，必须建立～系列的安全机构。一个管理框架应该是为初始化并控制实现组织内部的信息安全而建立的。合适的系统的管理应支持信息安全政策，指定安全系统中的各类角色，并协调组织内各项因素，以实现信息安全。必要时，在系统内应建立一些专用的信息安全知识的资料库，供组织内部使用。同时，完备的信息安全系统应时时与组织外部的安全专家联络，跟踪最新动向、监测标准和评估方法，并在处理安全事件时，提供适当的解决办法。根据中国教育和科研计算机网有关条例，学院成立了校园网管理委员会，负责领导、监督和协调校园网的建设和运行：负责对校园网建设、使用和运行中的重大政策性问题进行决策；研究如何充分发挥校园网的作用。校园网管理委员会由院分管领导牵头，由院办公室、宣传部、科研处、教务处、总务处、财务处、人事处、学生处、保卫处和图书馆等部门领导参加，办公地点设在信息网络中心。成立专家小组，负责校园网的整体建设规划，解决建设、运行中出现的重大技术问题。学院信息网络中心为校园网建设和管理的常设机构，负责校园网具体建设、规划、开发及校园网各项管理政策的制定等工作；负责受理全院的用户帐号申请、IP地址分配、系统资源配置、系统维护、安全防护和日常管理工作；为校园网用户提供公共信息资源。协助各单位规划、建设二级了网，并提供技术资源和指导。学院校园网实行二级管理，各部门负责人负责对各自部门发布的信息进行审查，并做好保密工作。各单位依实际情况成立网络管理小组或至少指定一名网络管理员。各单位网络管理员的职责是：负责本单位接入的计算机系统或接入网络的运行、管理并保存网络运行的有关记录；负责保管和维护校园鼯主干网放置在本单位的设置；对本单位的校园网用户进行登记、管理并提供咨询；及时向学院网络中心报告网络使用情况，并收集反映本单位用户的意见。7．2接入网络及用户管理校园网用户分为单位用户和个人用户。单位用户必须是学院的正式机构；个人用户必须是学院的教职员工和在校生。校园网向校外教育、科研单位提供接入服务，先由网络中心与申请接入单位草拟协议，报校园网络管理委员会研究，院领导批准。学院的各单位用户的计算机系统或网络与校园网连接前。必须先经所在单位主管领导批准，并在本单位网络管理员处登记备案，然后向网络中心提出书强申请并按要求提供所需资料，经院校园网管理委员会批准后，与网络中心签署《中国教育和科研计算机网用户守贝lJ》。网络中心只给经院校园网管理委员会批准接入的计算机系统和网络分配IP地址、开设帐号并根据实际需要配鹭域名。校园网为本校教职员工个人提供电话拨号入网服务。申请入网的教职员工须到网络中心填写入网申请登记表、用户守则及公安部门备案表，携带身份证、工作证及交纳有关费用后由网络中心予以开户。用户用自行购买的调制解调器按入。校园网的用户。无特殊原因，均采用用户单位和用户个人的汉语拼音名(或缩写)或者英文名(或缩写)作为帐户名。以保持帐户名的清晰性和简洁性。校园网的用户必须严格使用由网络中心及本单位网络管理员分配的IP地址，各单位网络管理员对本单位的IP地址分配进行登记并报网络中心备案，由网络中心负责进行监督和检查。用户必须遵守国家和学院的有关规定和制度，按时缴纳有关费用。校园网的接入单位和用户不准利用校园网开展经营性活动。网络中心可根据学院的实际情况对校园网用户的访问权限进行一定的控制。个人用户在离校前必须到网络中心办理取消帐户手续。7．3网络安全和信息安全管理网络中心采取各种技术和行政手段，保证校园网的网络安全和校园网上的信息安全。校园网是学院的公共服务设施，凡连入校园网内的计算机系统、网络互联设备和信息均受保护。未经本单位网络管理员报网络中心批准，任何单位和个人不得将计算机连入校园网或使用网络资源；不得折卸或改动光缆和双绞线的布线结构；不得移动或改动交换机、集线器等网络设备的位置和接线。校园网工作人员和所有用户都必须严格执行安全保密制度，不准利用校园网从事危害国家安全、泄露国家秘密、违反国家法律法规等犯罪活动和违反学院规章制度的活动：不允许利用校园网传播违反四项基本原则的信息；不得制作、查阅、复制和传播有损社会主义精神文明、有碍社会治安和有伤风化的信息。校园网的工作人员和所有人员用户应对自己所提供的信息负责。不得在校园网上发布不真实的信息、散布计算机病毒、传播黑客程序、滥用网络进行游戏：不得使用网络进入未经授权使用的计算机或不以真实身份使用网络资源等以及进行其他干扰网络用户、破坏网络服务和网络设备的活动。网上用户在和外部进行通信的时候，要注意不打开可疑的邮件：用户在离开自己使用的机器前要退出系统或者运行屏幕保护程序。校园网的工作人员应该遵守相应的机房和运行维护 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ，负责为全校校排除入网故障，提供咨询及培训服务，严格日常安全、网络维护值班工作。管理人员不得随意更动主机网络设备配置，要对主机房的主机进行开机、关机等日常的操作建立操作程序，并建立系统运行日惠；在系统进行变更时，应该记录在系统运行变更日志中，如添加应用程序、系统升级等。在管理上，访问控制要做到：内部所有的机器应该提供口令保护功能；所有的应用应该提供基于角色的口令保护功能；敏感信息访问必须通过身份授权认证。加强室外传输线路的监测，发现问题及时与有关部门取得联系，保证通信线路畅通。信息网络中心工作人员不准私自带人进入。各单位网络管理员同时兼网络安全员，负责本单位的网络安全和信息安全工作。网络安全员的工作接受学院保密委员会的指导，定期对本单位的校园网用户进行有关网络安全和信息安全的教育。各部门的上网信息必须先由各自部门领导审查，再由院网络中心按中国教育和科研计算机网和学院有关规定审查后才能上网发布，凡违反国家有关规定的信息和涉及国家秘密的信息严禁上网。网络中心有权检查用户在校园网帐户下的所有信息，如认为情况异常，有权关闭用户帐户，并要求用户作出解释。校园网的用户必须对自己的帐号加强管理，防止他人盗用后在网上进行非法活动。用户也不得把帐号转借他人，如出现他人使用帐号造成违法后果，帐户所有者负有责任。未经网络中心和帐户的行为，视为偷窃，按情节严重程度，分别给予警告、校园网内通报、经济处罚、关闭帐户和不同程度的行政处分，乃至追究法律责任。校园网的所有用户有义务向本单位网络安全员、网络中心和保卫处报告有害信息和违法犯罪行为。校园网的工作人员和用户必须接受国家和上级有关部门依法进行的监督检查。对违反本规定的校园网用户，校园网管理委员会将责成网络中心对其进行警告、关闭帐户、停止网络连接等处理，情节严重者将追究其法律责任。7．4系统安全事件现场处理安全人员虽发现安全事件系入侵行为时要对入侵者采取克制态度。安全人员除进行记录、可以与入侵者进行网络对话，对话时要考虑是否打扰入侵者。安全事件处理最核心的问题是消除当前威胁，首先对入侵者进行监视、跟踪，确定入侵行为的痕迹并消除之(例如新帐号和被监控文件被修改)，然后利用完整性检查工具进行检查。【lI】监视时，可采用系统服务了解攻击者使用了哪个进程，监视网络出入的情况，最好采用它机监视的方法，要注意反监视问题的处理。跟踪主要是跟踪连接，以确定攻击者的出发地和源头。最后要摆脱入侵者。如果安全事件属于计算机病毒，用杀毒软件进行消除。恢复系统可以采取现场联机恢复和关闭网络连接恢复两种方法。一旦攻击发生，如果不能采取关机和关闭网络连接的措施，就只能采取现场联机恢复。7．5网络运行管理校园网上的主页及管理信息系统的各类数据库，由院网络中心统一规划建设，由各有关单位及个人按要求制作上网；对各单位的软、硬件资源，在院网络中心指导下安排上网，达到资源共享的目的。网络中心的校园网运行费、校园网通讯费和校园网维护费由学院每年拨专款支付。各教学、科研和管理部门，凡利用校园网进行的网络资源开发或应用系统开发，必须由网络中心统一规划，经校园网管理委员会批准，方可立项。网络中心的主交换机和主服务器应每天24小时开机，网络中心利用一切技术手段，确保网络设备的安全运转。校园网主干节点放置在各单位的网络设备和各单位的服务器、网络设备由本单位的网络管理员负责管理。7．6收费管理各单位、个人用户的网络使用费按有关规定收取。校园网络服务费由网络管理中心统一收取，按学院规定上缴财务处，专款专用，用于更新网络设备和软件。结束语信息技术引入教育领域，极大地丰富了教学的内容、教材的形式，促进了教育模式、方法及观念的变革。在信息化时代，信息网络是重要的基础设施，是创办全国一流高职学院必不可少的物质条件，四川建筑职业技术学院一直很重视这方面的工作。学院建设速度的不断加快，建筑楼宇的不断增多以及信息化的需求加大，校园网主干网络已经不能满足学院日益发展的信息化建设的需要。因此，针对四JII建筑职业技术学院网络应用与管理的现状，学院专门立项解决这个问题，该项目的目的是在现有的网络的基础上，将校园网进行升级，建设一个智能、安全、可运营数字化、覆盖整个校园的校园网，实现用户管理、数据管理、信息管理、信息服务、网上办公、网上教学、电子商务、安全管理等全方位网络应用的要求，使学校的教学、科研和管理达到一个更高的层次。本文作者参与了整个项目的需求调研、需求分析，项目实施概要设计和项目实施详细设计工作。本论文就是作者完成该项目设计和建设任务后经脱密处理后完成的。本论文主要通过对校园网的网络、应用和安全管理的分析，针对校园网的安全问题，提出安全解决方案，达到下列目的：对校园网络中的核心应用，提供多层次和强有力的保护；适应校园网复杂的应用环境，提供简便、易用的防病毒解决方案；为校园网渐进式的发展模式，配置适当的产品和部署方式。致谢感谢我的导师方勇副教授和姜建敏高级工程师!在艰苦的求学岁月中，导师渊博的知识，严谨的学风，高尚的人格，以及对知识孜孜不倦的追求，给我留下了无法磨灭的记忆，也将是我终身的榜样。导师的悉心指导，热情鼓励，使我得以顺利完成学业。感谢所有教授过我的老师，以及班主任陈老师对我的教导和关照!感谢同我一道艰苦求学的同学给我的帮助和快乐!感谢领导和同事们对我的关心和支持!感谢我的家人为我做出的巨大牺牲!感谢所有给予我帮助和关心的人⋯⋯参考文献『1】张尧学等，计算机网络与Internet教程，清华大学出版社，1999．7f2】张国呜主编，网络管理员教程，清华大学出版社，2004．7【3】雷震甲主编，网络工程师教程，清华大学出版社，2004．7【4】王文明，计算机网络原理，北京大学出版社，2002【5】彭澎编著，计算机网络教程，机械工业出版社，2002『6】戴梧叶、郭景晶，网络的设计与组建，人民邮电出版社，2000f7]李永旺等，网络组建实用教程，国防工业出版社，2001[8j曾明、李建军等，网络技术精要——网络管理500问，电子工业出版社，2003．11[9]9罗键、李劲，计算机网络技术与网络应用，科学出版社，2003．3【1o】刘荫铭，计算机安全技术，清华大学出版，2000．2【11】袁家政，计算机网络安全与应用技术，清华大学出版，2002．8【12】孙锐，信息安全原理及应用，清华大学出版，2003．7[131贾晶，信息系统的安全与保密，清华大学出版，2003．7[141刘远生，计算机网络基础，清华大学出版，2004．9[15】谭浩强，网络管理基础实用教程，清华大学出版，2004．8[16】(美)SeanHarnedy，简单网络管理协议教程，电子工业出版社，1999．8[17]陈冠铭等，计算机网络原理与应用，中国铁道出版社，2003．1【18]卓建新，计算机病毒原理及防治，北京邮电大学出版社，2004．4【19】四川建筑职业技术学院校园网络服务管理暂行办法内部资料2003．10【20]沈大林，计算机网络基础案例教程，中国铁道出版社，2004．11[21]徐敬东、张建忠，计算机网络，清华大学出版，2002．8[22】虞和洵，校园网的建设与管理，南京：东南大学出版社，1997[23]BruceSchneier，SecretsandLies：DigitalSecurityinaNetworkedWorld，机械工业出版社，2001．9[24]张芳，如何构筑牢固的校园网络安全体系，中国计算机报，2004．3．10【25]沈辉等，计算机网络工程与实训，清华大学出版，2001．7【26]雷咏梅、赵霖等，计算机网络信息安全保密技术，清华大学出版，2003．9【27】PriscillaOppenheimer．Top—DownNetworkDesign．CiscoPress，1999[28】李振银，网络管理与维护，中国铁道出版社，2004．5[29】李宏力，计算机网络综合布线系统，清华大学出版，2003．8[30】张奕，千兆以太网技术在校园网中的应用，电子工程师，2000，26(4)：10—12[31]DavidHarley,RobertSlade，UrsE．GaRiker，VimsesRevealed，人民邮电出版社，2002．9【32】LarryLPeterson，BruceS．Davie，ComputerNetworksASystemsApproach，机械工业出版社，2002．3声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得四川大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。本学位论文成果是本人在四川大学读书期间在导师指导下取得的，论文成果归四川大学所有，特此声明。工程硕士研究生(签名)：{I勿害之指导教师(㈣：衫冽砗，月∥日／四川建筑职业技术学院校园网建设及安全方案设计与实现作者：杨毅学位授予单位：四川大学参考文献(32条)1.张尧学计算机网络与Internet教程19992.张国鸣网络管理员教程20043.雷震甲网络工程师教程20044.王文明计算机网络原理20025.彭澎计算机网络教程20026.戴梧叶.郭景晶网络的设计与组建20007.李永旺网络组建实用教程20018.曾明.李建军网络技术精要——网络管理500问20039.罗键.李劲计算机网络技术与网络应用200310.刘荫铭计算机安全技术200011.袁家政计算机网络安全与应用技术200212.孙锐信息安全原理及应用200313.贾晶信息系统的安全与保密200314.刘远生计算机网络基础200415.谭浩强网络管理基础实用教程200416.SeanHarnedy简单网络管理协议教程199917.陈冠铭计算机网络原理与应用200318.卓建新计算机病毒原理及防治200419.四川建筑职业技术学院四川建筑职业技术学院校园网络服务管理暂行办法200320.沈大林计算机网络基础案例教程200421.徐敬东.张建忠计算机网络200222.虞和洵校园网的建设与管理199723.BruceSchneierSecretsandLies:DigitalSecurityinaNetworkedWorld200124.张芳如何构筑牢固的校园网络安全体系200425.沈辉计算机网络工程与实训200126.雷咏梅.赵霖计算机网络信息安全保密技术200327.PriscillaOppenheimerTop-DownNetworkDesign199928.李振银网络管理与维护200429.李宏力计算机网络综合布线系统200330.张奕.王征千兆以太网技术在校园网中的应用[期刊论文]-电子工程师2000(4)31.DavidHarley.RobertSlade.UrsEGattiker,VirusesRevealed200232.LarryLPeterson.BruceSDavieComputerNetworksASystemsApproach2002相似文献(10条)1.期刊论文陈洪涛.彭克.ChenHongtao.PengKe高校校园网网络安全整体解决方案研究-科技广场2006,""(8)针对校园网安全管理问题,对高校校园网面临的各种安全威胁,逐一进行分析,探索一套科学合理的网络安全解决方案.2.期刊论文王继成.WANGJi-cheng大学校园网的网络安全与防范策略-沈阳农业大学学报（社会科学版）2007,9(5)随着大学校园网在教学、科研、管理等方面的广泛应用,校园网运行和管理所面临的安全问题也就愈发突出,校园网的安全问题严重阻碍了大学信息化建设的步伐.因此,建设健全校园网络安全体系已经成为数字化校园建设过程中不可忽视的重要组成部分.在分析大学校园网存在的风险及安全问题的基础上,作者对大学校园网安全与防范策略进行分析和论述,并结合沈阳农业大学校园网网络安全工作实践,提出了建立有机的、智能化的网络安全防范体系保护校园网的安全,需要有一个整体解决方案;需要管理、技术、观念不断更新;需要学校决策者本着"三分技术、七分管理"的原则对网络安全给予战略性认识和强有力的推动.3.期刊论文方东权.杨岿.FangDongquan.YANGKui校园网网络安全与管理-网络安全技术与应用2005,""(3)本文针对日前威胁校园网网络安全的各种因素,根据网络安全与管理理论,结合作者从事网络安全与管理工作的实践,提出了校园网网络安全与管理策略.4.学位论文钟平校园网安全防范技术研究2007随着互联网的普及和国内各高校网络建设的不断发展，大多数高校都建立了自己的校园网，它已经成为高校信息化的重要部分。校园网与互联网一样，存在着各种各样的网络安全问题。在建设初期中，由于安全意识、安全管理等多方面的原因，在网络安全方面没有引起足够的重视，造成网络安全事故不断发生，使校园网的安全面临极大的威胁。随着数学化校园建设的不断推进，如何构建可靠的校园网络安全防范体系成为不可忽视的问题。本文系统地介绍了网络安全的概念，讨论了校园网面临的各种安全威胁，深入研究了校园网络安全相关技术，分析了OSI的安全体系结构、常见动态安全模型以及主动防御技术，提出了“基于主动防御的动态校园网络安全模型”。该模型是一个覆盖整个校园网络的全方位、多层次、多种防御手段的主动式动态网络安全模型。在该模型的指导下，利用网络安全防范的相关技术，建立校园网安全防范体系，从根本上解决来自网络内外部对网络安全造成的各种威胁，为韩山师范学院的教学信息系统、行政管理、信息交流提供一个安全的环境和完整的平台。 全文 企业安全文化建设方案企业安全文化建设导则安全文明施工及保证措施创建安全文明校园实施方案创建安全文明工地监理工作情况 从如下六个方面对校园网络安全防范技术及其应用进行研究和探讨：第一，对国内外网络安全防范技术研究的现状和发展趋势进行总结和分析；第二，阐述对网络安全的概念的理解和网络安全研究内容及其体系结构；第三，校园网面临的安全威胁以及在数字化校园建设中对网络安全的要求；第四，校园网络安全相关技术研究，着重分析了密码技术、认证技术、防火墙、入侵检测技术、访问控制和虚拟专用网技术等；第五，比较分析了常见的动态网络安全体系模型和主动防御技术，探讨如何构建基于主动防御的动态校园网络安全模型；第六，从物理层、网络层、系统层和应用层等方面对韩山师院校园网络进行了全面的安全现状分析，并在此基础上，根据“基于主动防御的动态校园网络安全模型”设计了韩山师院校园网络安全防范解决方案并逐步付诸实施。5.期刊论文邓小莉.黄正荣论校园网网络安全的现状及对策-科技信息2009,""(4)校园网为院校的教学、科研及管理等提供了良好的平台.校园网的安全越来越受到人们的关注,作者从病毒感染、安全工具的使用、内部网络用户的威胁等方面分析影响校园网网络安全的因素,并从技术和管理者角度提出了防范校园网络安全的措施,确保校园网网络正常运行.6.期刊论文李贺江.范咏红校园网网络安全及防范技术初探-辽宁农业职业技术学院学报2008,10(2)校园网络的安全防范不仅关系到网络的正常使用,同时也关系到学生与网络中非法信息的接触.通过对校园网络安全防范技术及可能对校园网网络安全造成威胁的因素进行了介绍,提出了对其进行防范的技术措施以及加强校园网网络安全建设的建议.7.期刊论文林景华校园网网络安全与管理-沿海企业与科技2005,""(12)文章针对目前威胁校园网网络安全的各种因素,根据网络安全与管理理论,提出了校园网网络安全与管理策略.8.学位论文刁敏基于高校校园网的网络安全研究2009计算机技术和通信技术的飞速发展带来了社会的巨大变革，二十一世纪是人类社会发展最快的一个世纪，而且这种发展速度必将随着高科技技术的发展而发展的更快。以Internet为代表的信息时代的产物已经深入到人们的生活、工作等各个领域，对我们的工作、学习和生活产生了深远的影响，提高了工作效率，改变了生活状态。但我们同时也看到，网络技术在给广大用户带来极大方便的同时，所暴露出的安全问题也与日俱增。各种入侵、攻击手段层出不穷，给网络的安全使用带来了极大的困扰。<br>　　Internet诞生之初并没有考虑网络安全问题，但随着Internet规模的扩大，拓扑结构的复杂化、用户数量的激增，Internet暴露出来很多安全问题。安全也成为了Internet发展道路上急需解决的问题。<br>　　高校校园网作为Internet网络最重要的组成部分，承担着新技术的应用和推广职能。随着教育体制的逐步完善，近几年高校得到了空前的发展。高校内各种管理系统、电子数据等都依托于高校校园网。但校园网以往的安全策略是以传统防火墙和防病毒软件构建的二层防护体系，在网络使用之初安全策略基本可以满足需要。但随着网络攻击手段的提高，攻击者角色的不断变化，二层防护体系已经很难适应当前的校园网，网络安全的防护措施应朝着综合、立体、多维的体系发展。<br>　　入侵检测系统和入侵防御系统作为防火墙技术很好的补充，弥补了防火墙技术的缺点，从硬件的角度加固了网络安全。校园网身份认证系统加强了对网络用户的识别并简化了账户信息的管理，从软件的角度提出来更简单、更安全的网络防护措施。基于不同设备和技术的特点，论文提出了构建基于入侵检测系统的分布式防火墙模式和建立一套安全的身份认证系统模型，通过这两种技术模式的联动，确保校园网络最大程度的安全。相信这种网络安全模式对于构建其他网络的安全体系也能起到很好的借鉴作用。9.期刊论文刘蕾高校校园网网络安全问题与对策-科技资讯2008,""(13)随着互联网的普及和发展,校园网已经成为高校信息化的重要组成部分.然而校园网正面临着来自各个方面的威胁和攻击,校园网的网络安全问题日益突出.本文首先介绍了校园网网络安全问题产生的根源,并针对目前存在的问题,提出了关于高校校园网网络安全问题的防范对策和建议,希望能够对高校校园网的建设有所启发与帮助.10.期刊论文孙剑颖.邹鹏东北财经大学校园网网络安全及出口优化解决案例-中国教育信息化·高教职教2010,""(1)校园网已成为教学和科研的重要平台,但大量增长的网络用户也给网络的管理带来了一系列的问题,其中最突出的是网络安全和网络出口问题.本文简单介绍了东北财经大学校园网网络安全及出口优化的解决方案.引证文献(1条)1.陈震社会救助管理信息系统平台方案设计与实现[学位论文]硕士2006本文链接：http://d.g.wanfangdata.com.cn/Thesis_Y779509.aspx授权使用：上海海事大学(wflshyxy)，授权号：c736634d-a09b-4034-9c92-9e09011eb1a1下载时间：2010年10月8日 封面 摘要 英文摘要 1.概述 1.1学院简介 1.2校园网发展历程 2.学院校园网建设要求 2.1校园网建设的主要目标 2.2校园网需求分析 3.网络规划 3.1校园网设计原则[30] 3.2通信子网规划设计 3.3资源子网规划 4.网络建设 4.1实现产品选型 4.2网络实现 4.3网络信息 4.3.1交换机管理IP地址信息 4.3.2VLAN与IP地址信息 4.3.3防火墙接口IP信息 4.3.4路由器IP分配信息 4.3.5服务器IP地址信息 4.3.6各网络设备具体配置 5.网络安全需求 6.安全解决方案[10,12,13] 6.1配备完整的系统的网络安全设备 6.1.1路由器的选择 6.1.2高性能的硬件防火墙 6.1.3旁路监听型的入侵检测系统 6.1.4漏洞扫描系统 6.1.5安全审计系统 6.1.6旁路监听型不良内容过滤系统 6.1.7覆盖全校范围的网络版防病毒系统 6.1.8网络故障检测以及网络故障诊断设备 6.2解决用户上网身份问题，建立全校统一的身份认证系统 6.3严格规范上网场所的管理，集中进行监控和管理 6.4改造电子邮件系统，提供多种安全监控和管理功能 7.安全管理[19] 7.1管理机构 7.2接入网络及用户管理 7.3网络安全和信息安全管理 7.4系统安全事件现场处理 7.5网络运行管理 7.6收费管理 结束语 致谢 参考文献 声明