校园网络安全设计方案(精选12篇)
校园网络安全设计方案 篇1
0 引言
目前, 校园网计算机技术已经在学校教学中起到十分重要的作用。但其安全隐患却无处不在, 人为方面的因素主要体现为管理制度上的缺失, 操作上的不合理等。为了解决这一问题, 文章提出了具体的校园网安全防护措施如下。
1 校园网安全威胁因素
校园网作为因特网的重要组成部分, 为教学提供了极大的方便。由于管理和使用等因素, 校园网面临着严重的安全威胁。其中主要体现为水灾、雷击或者操作人员的操作不当而导致的硬件或者网络系损坏, 另外黑客攻击是校园网系统的主要安全影响因素。近年来, 随着网络技术的发达, 木马安装程序也越来越精密, 不但影响公共网络, 也给校园网的安全带来极大的冲击。学生作为主要操作者, 缺乏专业的技术, 因此容易出现操作失误现象。另外, 学生的好奇心会导致系IP被修改, 或者进入不安全网页, 导致计算机系统被病毒侵害。另外, 校园网系统还面临着系统应用问题和管理风险。系统应用问题主要体现为操作系统安全隐患和数据库安全隐患。由于系统自身设计不完善, 将导致操作系统存在致命的安全隐患, 这需要检修人员和技术人员及时发现并对其进行处理, 以免出现重大安全事故。计算机服务器终端安全风险将导致整个系统的安全系统下降, 出现安全漏洞, 影响计算机的使用寿命。从这一点上, 确保操作系统的信息安全是管理者的重要任务。但在校园网管理上, 由于受到高校制度和对网络教学或者计算机实践教学重视程度不够的影响, 管理安全隐患十分明显。目前, 校园网安全管理依然是人在管理, 管理效率低下的主要原因在于管理人员的综合素质不高, 管理制度不明确。要解决这一问题, 就需要对校园网管理制度进行调整。
2 校园网络安全防范设计方案
为了提高校园网的安全系数, 应建立可靠的拓扑结构, 其中包括备份链路、必要的网络防火墙以及VPN的构建。具体过程如下:
2.1 利用备份链路优化校园网的容错能力
备份链路的使用可有效提高网络的容错能力, 降低安全风险。主要应用于路由器同系统核心交换机之间, 其作用在于对学生连接的外网进行检验和排查, 控制非法连接, 从而提高被访问网页的安全系数。在核心交换机之间同样可进行双链路连接和端口聚合技术, 从而确保链路之间的备份, 提高交换带宽。
2.2 计算机防火墙的合理应用
计算机防火墙在校园网安全中起着决定性的作用。通过防火墙的建立, 可拦截存在安全隐患的网页。操作人员可在防火墙上预设适当的安全规则ACL, 对通过防火墙的数据信息进行检测, 处理存在安全隐患的信息, 禁止其通过, 这一原理使得防火墙具有安装方便, 效率高等特点。在计算机系统中, 防火墙实际上是外网与内网之间连接的唯一出口, 实现了二者之间的隔离, 是一种典型的拓扑结构。根据校园网自身特点, 可对这一拓扑进行调整, 将防火墙放置于核心交换机与服务器群中间。其主要原因为:防止内部操作人员对计算机网络系统发起攻击;降低了黑客对网络的影响, 同时实现对计算机网络系统的内部保护和外部保护, 使流经防火墙的流量降低, 实现其高效性。但是随着科技的发达, 网络木马的类型逐渐增多, 这要求防火墙技术也要不断的更新, 以发挥其积极作用。将计算机防火墙同木马入侵检测紧密结合在一起, 一旦入侵检测系统捕捉到某一恶性攻击, 系统就会自动进行检测。而这一恶性攻击设置防火墙阻断, 则入侵检测系统就会发给防火墙对应的动态阻断方案。这样能够确保防火墙完全按照检测系统所提供的动态策略来进行系统维护。
2.3 VPN的构建
VPN主要针对校园网络的外用, 尤其是针对出差人员, 要尽量控制其使用校内网络资源。如必须使用, 则要构建VPN系统, 即在构建动态的外部网络通往校园网的虚拟专用通道, 也可建立多个校园网络区域之间的VPN系统连接, 提高安全防护效率。
2.4 网络层其他安全技术
网络层其他安全技术主要体现为:防网络病毒和防网络攻击。现在网络病毒对网络的冲击影响已经越来越大, 如:非常猖狂的红色代码、冲击波等网络病毒, 所以有必要对网络病毒继续有效的控制;而网络中针对交换机的攻击和必须经过交换机的攻击有如下几种:MAC攻击、DHCP攻击、ARP攻击、IP/MAC欺骗攻击、STP攻击、IP扫描攻击和网络设备管理安全。
3 校园网的安全管理方案
计算机管理也是校园网安全的主要控制方案。在促进管理效率提高的过程中, 主要可以采取VLAN技术、网络存储技术和交换机端口安全性能提高等方案, 具体表现为以下几个方面:
3.1 应用VLAN技术提升网络安全性能
VLAN技术是校园网安全管理中应用的主要技术, 这一技术的应用有效的提高了计算机安全管理效率, 优化了设备的性能。同时对系统的带宽和灵活性都具有促进作用。VLAN可以独立设计, 也可以联动设计, 具有灵活性, 并且这一技术操作方便有利于资源的优化管理, 只要设置必要的访问权限, 便可实现其功能。
3.2 利用网络存储技术, 确保网络数据信息安全
校园网络数据信息安全一直是网络安全管理中的主要任务之一。除了技术层面的防火墙, 还要求采用合理的存储技术, 确保数据安全。这样, 不但可以防止数据篡改, 还要防止数据丢失。目前, 主要的存储技术包括DAS、RAID和NAS等。
3.3 配置交换机端口控制非法网络接入
交换机端口安全可从限制接入端口的最大连接数、IP地址与接入的MAC地址来实现安全配置。对学生由于好奇而修改IP地址的行为具有控制作用。其原理在于一旦出现不合理操作, 将会触发和该设备连接的交换机端口产生一个违例并对其实施强制关闭。设置管理员权限, 降低不合理操作。配置交换机端口可实现将非法接入的设备挡在最低层。
4 总结
校园网在为教学提供方便的同时, 其安全也值得重视。基于校园网安全防护的复杂性和科技的快速发展, 其安全防范技术也逐渐增强。本文提出了校园网网络安全防范方案其中主要研究了计算机系统的防病毒处理。取得了一定的效果, 但具有一定的问题需要解决。其中包括检测与防护之间的联动如何实现, 防护策略如何更新等。校园网的安全防护对于计算机网络的整体安全具有十分重要的作用, 实现这一系统安全是教学中的主要任务。虽然很多学校开始重视互联网的安全防护, 构建了较为完善的防护制度, 出台了具体的防护措施。但计算机黑客攻击时刻存在, 并且病毒对计算机造成的毁坏越来越大, 如何构建一套积极可行的校园网安全防护手段是学校计算机管理人员的主要任务。
参考文献
[1]陈显亭, 贾晓飞.网络出口转换技术研究[J].电子科技, 2010, 23 (12) :77-79.
[2]高峡, 陈智罡, 袁宗福.网络设备互联[M].北京:科学出版社, 2009.
[3]魏麟.VLAN技术在校园网中的应用[J].电脑知识与技术, 2008 (30) .
校园网络安全设计方案 篇2
一、课程设计(论文)题目 Internet应用服务器构建方案设计
二、课程设计(论文)工作自
2015 年 12 月 29 日起至
2020 年 月
日止。
三、课程设计(论文)地点:
创新综合楼01有线网络实验室
四、课程设计(论文)内容要求: 1.本课程设计的目的
通过课程设计,使学生理论联系实际,在实践中进一步了解计算机网络体系结构,深入理解 TCP/IP参考模型,掌握各种网络规划与设计,初步掌握综合应用技术、高速局域网技术、,初步掌握网络应用技术以及互联网的应用技术。培养学生分析、解决问题的能力,提高学生教师的科技论文写作能力。2.课程设计的任务及要求 1)基本要求:
(1)熟悉交换机、路由器等网络设备的功能和使用;(2)掌握网络规划与设计,掌握网络安全 与管理技术;(3)初步掌握网络应用程序设计技术和互联网应用技术。3)选择课程设计题目具体要求: 1.分析校园网信息服务现状和要求
2.给出校园网设计拓扑结构和网络接入方案
3.为学校校园网各类型的信息服务器构建设计软、硬件方案4.做了测试。以前是用的是edong网络的dns解析服务器。而现在把dns解析服务器指向我自己的dns.cert.ecjtu.jx.cn来解决了这个问题。[现代教育中心老师给我做的cert.ecjtu.jx.cn地址块用我们响应组的dns.cert.ecjtu.jx.cn DNS服务器来做解析]不过过程中出现了无法解析的问题。其实是现代教育中心端口没有开的问题。所以只给我们服务器202.101.208.44开放了6100(替换3389),80,21,三个,后来开了25,53用作mail,和DNS服务器解析。所以就问题得到完美解决。可以收到信件了,之前一直是本地域可以收到邮件,可以发送给QQ邮箱邮件却收不到邮件。7.3 在配置mail服务器的时候。采用了winmail邮件服务系统。其中遇见了telnet 202.101.208.44 25端口没有开放问题。跟上面问题一样。现在教育中心在202.101.208.3 DNS服务器上做了ACL。还有一些配置的细节问题。都全部解决了。Ftp服务器就比较熟悉了,配置过不知道有多少次了。采用的是比较好用的SERV-u 6.0版本。之前也用过7.0版本的,不过不是很好用。那种效果很卡。所以还是选择了6版本。
其实DHCP服务器是没有配置完成,因为在配置的时候考虑到导致校园网自动获取瘫痪状态,所以没有启动,不过在内部的网络做了一个虚拟机 DHCP服务器,还可以模拟互联星空的拨号上网,这里就不阐述了。
大连职工大学校园网设计方案 篇3
【关键词】校园网;需求分析;设计方案;网络安全
一、校园网组建的需求分析
校园网在信息服务与应用方面应满足以下几个方面的需求:学校主页。学校应建立独立的WWW服务器,在网上提高学校主页等服务,包括学校概况、资讯中心、教学科研、组织机构、招生就业以及联系方式等查询类服务。同时考虑到师生之间共享软件,校园网还应提供文件传输服务(ftp)。文件传输服务器上存放各专业教学课件及各种各样自由软件和驱动程序,师生可以根据自己需要随时下载。校园网还应提供多媒体辅助点播教学兼远程教学即要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足学生同时访问时对带宽的基本需要。
二、校园网总体设计思路
校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构。校园网采用星形的网络拓扑结构,骨干网为100M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。传输介质也要适合建网需要。在楼宇之间采用100M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。同时还要遵循安全性原则,信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。第三个原则是灵活性和可扩充性:选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。第四是稳定性和可靠性,可靠性对于一个网络拓扑结构是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。
校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速 互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担 了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足需求。
三、综合布线设计
综合布线特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期,而且在设计、施工和维护方面有一定的便利性。
实用性:实施后的校园网控制系统,其所有的子系统,诸如综合布线系统,数据 通讯,都满足国际标准,具有良好的用户使用界面。并且,网络管理功能完善且方便使用。功能性:为校内教师提供快捷、开放、易于管理的數据信息基础传输平台,为实现无纸化办公创造条件,及时传递可靠、准确的各类重要信息,最终实现办公自动化系统(OA)。
先进性:布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信息 提供高速及宽带的传输能力,适应异步传输模式(ATM)。各性能指标满足支持高带宽的100M、1000M以太网和异步传输(ATM)应用,满足宽带综合业务数字网(B-ISDN)的要求,支持复杂的多任务的ISDN、DDN、xDSL、X.25等分组交换接入应用,能实现校内各教学楼、办公楼与Internet等全球信息高速公路接轨的需求。布线系统要既能满足现阶段应用的需要,也能满足未来多媒体大量的声音、图像、数据传输的需要。
方便性:设备变迁时要有高度的灵活性、管理的方便性,能在设备布局和需要发生变化时实施灵活的线路管理,能够保证系统很容易扩充和升级而不必变动整体配线系统,能够提供有效的工具和手段,以简单、方便地进行线路的分析、检测和故障隔离,当故障发生时,可迅速找到故障点并加以排除。
可靠性:具有对环境的良好适应能力(如防尘、防火、防水),对温度、湿度、电磁场以及建筑物的振动等的适应能力。系统可方便地设置雷电、异常电流和电压保护装置,使设备免受破坏。
扩展性:适应未来网络发展的需要,系统的扩充升级容易。系统不仅能支持现有常规的计算机网络、电脑终端、电话、传真、摄像机、控制设备等通信需要,而且能支持未来的语音、视频、数据多网融合的局域网技术和接入网技术,具有适应未来需求,平稳过度到增强型分布技术的智能型布线系统。
四、网络安全与管理
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部, 如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。
计算机网络安全受到的威胁包括: “黑客”的攻击;计算机病毒;拒绝服务攻击 。为保障网络的安全,在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们应选购一套网络安全防范设备,即瑞星杀毒软件网络版,具有超强病毒查杀、智能主动防御、增强型全网漏洞管理等功能。同时还应安装瑞星企业级防火墙,瑞星全功能 NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。三是将瑞星入侵检测系统作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应) ,提高信息安全基础结构的完整性。
参考文献
[1]徐亚凤.解析校园网络的安全及管理[J].牡丹江大学学报,2008,17(8):118-125.
校园网网络安全方案设计 篇4
校园网的规模十分庞大, 上网用户人数基本上都能达到几千上万人, 随着网络应用的进一步深入, 各种安全问题也会逐渐凸显, 对教学、科研和生活都会造成极大的影响。因此, 全面了解校园网的安全问题, 合理构建网络安全体系是十分必要的。当前校园网的网络安全问题可以从以下方面进行分析:
(1) 操作系统的漏洞。在校园网当中, 绝大多数都是使用windows操作系统, 因此不管是服务器还是个人PC中都会存在大量的安全漏洞, 而且随着时间的推移, 这些安全漏洞会被人发现并且利用, 给系统安全带来严重的破坏。
(2) 网络病毒的破坏。网络病毒是影响校园网网络安全的重要因素, 它会使得网络性能低下、上网速度变慢, 并破坏计算机软件及重要数据, 严重的还会造成计算机以及网络系统的瘫痪。
(3) 来自外部网络的入侵和攻击等恶意破坏行为。校园网是必须连接到互联网上的, 这样才能跟外界联系, 真正实现校园的信息化。但是, 校园网在享受互联网带来的方便快捷的同时, 也面临着遭到外部黑客入侵和攻击的危险。黑客经常会通过外部网络对校园网的服务器、数据库等进行攻击, 窃取或者破坏一些重要数据, 而且随着很多黑客软件的普及, 越来越多的电脑网络爱好者使用这些软件进行攻击实验, 给电脑网络系统造成巨大的危害。
(4) 来自校园网内部的攻击和破坏。很多高校都开设有计算机和网络技术专业, 这些专业的学生出于对网络知识的爱好, 不经意间会使用一些网络攻击工具进行测试, 而且很多会在校园网这一网络体系中应用, 以体现自己的网络实践操作能力, 因此, 给校园网的网络安全系统带来极大的威胁。
2校园网网络安全设计
针对上述的校园网存在的安全问题, 为了能系统、全面地防御与处理, 我们将网络安全体系设计由主干网安全、安全技术应用、用户准入机制、防火墙应用四方面构成, 以保证尽可能的降低校园网的安全隐患。
2.1主干网设计
根据分层理念, 主干网可采用三层网络架构, 通过层次化模型设计, 将复杂的网络设计分成3个层次:接入层、汇聚层和核心层。每个层次着重于某些特定的功能, 这样就能够使一个复杂的大问题变成许多简单的小问题, 如图1所示。
主干网采用三层网络架构, 可以从以下几个方面保证了校园网络的灵活性、可扩充性、可靠性和高效性:①利用分层结构将网络的功能区块化, 使得网络的局部修改和扩充被隔离, 使校园网络更具灵活性;②利用区块的不对称特性优化网络的流量配置, 提高校园网络的性能价格比;③利用网络整体的对称性提供负载均衡, 最大限度地提高网络的性能;④利用网络整体的对称性提供校园网络的冗余, 提高网络的可靠性。
2.2安全技术的应用
(1) VLAN技术的应用。
为了有效地管理网络, 我们在校园网络中进行虚拟网的划分。虚拟网 (VLAN) 技术是目前局域网技术中发展迅速的一种技术, 它通过在现有物理网基础上, 根据实际网络应用的需要灵活配置, 将网络各节点重新划分组网, 形成一个逻辑网络。虚拟网技术的引入给现有网络的设计、管理和维护带来了某些根本性的改变。
(2) ACL技术的应用。
合理配置和使用交换机支持的访问控制列表 (ACL) 功能, 能够合理地限制网络非法流量, 其主要原理为:ACL使用包过滤技术, 在路由器或者核心交换机上对ISO模型的第三层、第四层的包头信息读取, 包括源地址与目的地址、源端口与目的端口, 根据设定的规则对数据包进行过滤, 从而实现访问控制。
校园网节点主要由资源节点与用户节点构成, 资源节点提供大量的应用服务与数据共享供用户节点访问。在这个过程中, ACL技术一方面对资源节点提供保护, 阻止非法用户对资源节点的访问, 另一方面限制特定的用户节点所能具备的访问权限。
2.3用户准入机制设计
对于校园网的用户, 最重要的是对用户准入准出进行控制, 并满足计费管理功能。因此主要解决下面的问题:将网络安全接入控制、防代理、上网用户的多种IP控制和管理功能、非法DHCP server控制、认证时的绑定安全控制功能、合法用户的授权功能、Mac地址防盗功能、主机与IP的绑定功能、多种计费控制功能、对特定用户的强制下线功能、黑名单用户禁止上网功能、支持用户上网的时段控制, 还可以对学生的上网时间加以控制。这些是校园网通常认证计费软件需要实现的功能, 这是一个较为复杂的应用系统, 需要由多方来实现。
校园网另外一个问题是互联网带宽的滥用, 不少学生在网络中使用BT等P2P软件, 大量占用互联网出口带宽, 使得全网访问互联网非常缓慢, 有时也可能因为病毒的原因, 向外大量广播数据包, 导致交换机端口堵塞, 接入交换机可以通过限制接入速度来实现对这些问题的抑制。
上述功能, 可以在接入层或者汇聚层交换机上实现, 这样可以将网络初始流量抑制在每台交换机上, 不至于将异常流量引入核心层交换机, 占用核心层交换机的处理能力, 影响网络性能。
2.4防火墙的使用
防火墙是架构于两个不同网络之间, 根据设定的安全规则, 决定网络中传输的数据包是否允许通过, 并监视网络运行状态, 内部的结构以及运行状况均对外屏蔽, 从而实现内部网络的安全防护。防火墙的主要作用为:①防火墙能够把内、外网络、对外服务器网络实行分区域隔离, 从而杜绝它们与外网直接通信;②防火墙能够将对外服务器、网络上的主机隔离在一个区域内, 通过安全保护措施, 确保安全;③防火墙能够对用户的访问权限进行限制, 在增加合法用户安全性的同时, 也实现对非法用户的拒绝;④防火墙能够实现对访问服务器的请求控制, 发现非法行为以及阻止非法操作;⑤利用防火墙及各服务器上的审计记录, 形成一个完善的审计体系, 在策略之后建立第二条防线。
出口防火墙主要是互联网出口安全规则的检查, 由于是专用的安全设备, 可以定义许多安全规则, 可以根据需要定义较为复杂的规则, 对互联网访问外网服务器和内部网络的行为进行控制, 检测和切断黑客的攻击行为, 从而保证网络的安全运行。
3结束语
校园网的网络安全问题是一个较为复杂的系统工程, 从严格意义上来讲没有绝对安全的网络系统, 我们只有从网络建设初期便应该考虑到网络安全的重要性, 从网络的构建到网络的管理维护都必须对校园网络的安全体系进行充分设计, 并在校园网投入运行的过程中不断地研究和探索, 将网络的安全隐患和存在的风险降到最低。
参考文献
[1]丁扬.校园网络安全现状分析及对策研究[J].中国科技信息, 2010 (6) .
[2]梁广洪.校园计算机网络的安全状况分析[J].信息与电脑, 2009 (9) .
[3]孙卫佳.网络系统集成技术与实训[M].北京:电子工业出版社, 2005.
校园无线网络设计方案 篇5
针对办公楼、教学楼等结构较为复杂的室内区域,可根据建筑结构具体情况,选用以下两种方案:
方案一,采用高灵敏度、穿透能力强的无线AP产品,配合分离式吸顶天线,以一个AP配合一个天线,或一个AP配合多个天线,完成室内区域的完全覆盖。在项目具体实施中,选用Axelwave高校专用AX9600EDU系列无线AP,配合XA-203室内吸顶天线,完成楼宇内部无线覆盖。采用分离式天线设计,可以适应无线设备与高增益天线的连接使用,以保障高质量的无线信号能够覆盖更远距离,同时增强设备在干扰较大的频率环境中使用的能力。
方案二,采用室外覆盖方式,选用室外无线AP,通过天线聚集无线信号,使无线覆盖范围更大、更远,穿透能力更强。设备与天线安置于楼宇顶部或底部,以无线信号向下或向上整体覆盖楼宇。在项目具体实施中,选用Axelwave 高校专用AX9400EDU系列室外无线AP,配合XA212全向天线或XA-124定向天线,完成无线网络覆盖要求。
浅析校园网的设计与网络安全 篇6
一、校园网设计的原则
1.坚持开放性,采用国际标准和通用标准;2.采用先进而成熟的技术;3.易于技术更新和网络扩展;4.实用、性价比高;5.统一规划,分布实施。
二、局域网的布线与技术
1、技术要求
⑴先进性:采用先进的技术、方法、设备,使系统既成熟可靠又能反映当今应用水平。
⑵开放性:整个系统应具有开放性,提供开放的网络接口和数据接口,使不同的产品能够协同运行,方便数据交换、信息共享。
⑶扩充性:系统应易于升级和功能扩充。在系统容量、能力、处理能力等方面具有可扩充性,可以方便地进行产品的升级换代,具有较高的综合性能价格比。
⑷可靠性:系统必须具有出错处理、容错能力、冗余备份功能。
⑸实用性:整个网络的功能应完全立足于学校管理和教学的需求,保证系统信息处理和传递的安全、可靠、及时、准确。
⑹安全性:网络系统必须具有高度的安全性和保密性,通过设置分级保护、控制数据存取的权限,防止对系统的非法侵入。
⑺可维护性:提供有效的网络管理和系统监控、调试、诊断技术,保证系统维护管理简明、方便、有效。
⑻可操作性:必须提供友好的中文界面,操作简便,容错性强,易于管理和维护。
⑼经济性:在充分满足系统应用功能需求和系统性能、并保证系统安全可靠性的前提下,选用物美价廉、经济实用的技术和产品。
2、主干网的选择
当前主干网技术有FDDI(光纤分布式数据接口)、快速以太网、千兆以太网、ATM(异步传输模式),在这几种主干网技术中FDDI是一种已经得到公认的成熟的网络技术。它基于令牌传送存取方式,使用双环结构,通过一个叫做“令牌”的帧在网络上循环而发挥作用,在任何时候,环上只有一个令牌,工作站没有得到令牌就不能进行传输,但FDDI是一种允许不同帧长的共享级访问机制,所以会产生不固定的网络延时及负载,不适合传送影像和语音。快速以太网是100MbpsIEEE802.3u标准,是传统的IEEE802.310Mbps以太网技术的发展,和传统以太网一样,它可以工作在共享型和交换型环境中。快速型以太网可以组成交换式以提供优异服务质量,可以在全双工模式下操作而无冲突发生。千兆以太网是传统以太网和快速以太网的发展。ATM是一种正在开发中的新型单元交换技术,是与当前市场上流行的所有其它LAN技术大相径庭的一种新技术,它使用53字节固定长度的单元交换,在LAN(局域网)和WAN(广域网)上传送数据、声音和图像,即ATM可以将计算机网、电话网、有线电视网融合到单一的网络中。ATM使用相同的单元格式,并采用新颖的交换技术和通信管理方法,提高了不可比拟的可延展性,拥有无限的虚拟带宽潜力。
3、综合布线
校园网络综合布线系统将支持语音、数据等综合信息的高质量传输,并适应各种不同类型不同厂商的电脑及网络产品;布线系统的信息出口采用了国际标准的接口,使任意信息点都能接插不同类型的终端设备以支持话音、数据、图像等数据信息和多媒体信息的传输;布线系统符合综合业务数据网ISDN的要求,以便与国内国际其他网络互连。而且布线按照符合国际标准的结构化布线技术进行设计和施工。
三、网络管理与网络安全
1、接入Internet的方式
接入Internet的方式,目前有电话线通过调制解调器接入、DDN专线接入、ISDN接入和宽带光纤接入,几种接入方式的选择主要从速率与性价比考虑,每间学校要根据自己的实际情况来考虑,肇庆职业学校选择了用宽带专线接入方式。服务器和各信息点上的计算机采用了国际标准的TCP/IP网络通信协议。
2、域网安全管理
由于网络在OSI环境上是一个资源交流和信息流通的共享坏境,这就导致了信息共享和信息安全之间永远是一对矛盾性问题。
现实中,一个网络面临的威胁各种各样,大体上可分为以下几类:
1.内部泄密和破坏。这包括内部泄密人员有意或无意泄密、更改记录;非授权人员有意偷窃机密、更改记录、破坏系统等。
2.截收。通过在信源到信宿之间的任意位置(特别是网关处)的窃听装置,分析出机密信息。由于它是一种被动攻击方式,不破坏传输信息的内容,故难以发现。
3.非法访问。这包括非法用户(黑客)进入网络系统进行违法操作;合法用户以未授权方式进行操作。
4.破坏信息完整性。这指攻击者对信息进行篡改、删除、插入等非法操作。
5.破坏系统可用性。
6.冒充。冒充领导调阅密件;冒充主机骗取合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等消息;接管合法用户,欺骗系统,占用合法资源等。
7.抵赖。可能出现的抵赖行为有:发送信息后信息发送者否认曾经发送过信息或否认信息的内容;接收信息后信息接收者否认曾经收到过该信息或该信息的内容。
8.计算机病毒、蠕虫、木马、逻辑炸弹等其它威胁。
3、网络安全
网络安全机制就是对付上述威胁、保护信息资源的一系列措施。目前有效的安全技术包括:
1.加密。一般利用某种规则将可懂信息变成不可懂信息,以防止信息的非授权泄露。目前比较成功且实用的加密算法有DES(数据加密标准)、IDEA(国际数据加密算法)、RSA。
2.数字签名。通信结束后,为了防止事后抵赖现象,可以采用数字签名技术。数字签名与传统的亲笔签名或印章的作用一样,完成对所传信息的确认。现在一般采用公开密钥算法来实现数字签名,可以有效的验证信息的完整性、有效的抵抗冒充、抵赖等威胁。
3.鉴别。鉴别可以验明用户或消息的正身,可以有效的防止冒充、非法访问和重演访问。
4.访问控制。目的是防止非法访问。它利用访问控制表、口令、权限标记、安全标记、试图访问的时间、试图访问的路径、持续访问的时间来实现访问控制。在Internet中防火墙就是访问控制技术的典型应用。
5.其它安全技术。这包括抗通信业务设计、审计、防/查/杀计算机病毒/木马等等。
校园网安全方案设计浅述 篇7
一、网络管理
应该看到,办公网络在硬件设备建设大步推进的同时,在IT系统运行管理工作中仍存在着一些长期没有解决好的问题。主要表现在:
一是缺乏统一的集中监控与管理平台;
二是缺乏对运行维护工作的规范性管理;
三是缺乏对日常运行维护工作的管理工具;
四是缺乏量化运行质量的工具,无法对下级单位有效考核。
二、物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。
一是环境安全。对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》。)
二是设备安全。主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。
三是媒体安全。包括媒体数据的安全及媒体本身的安全
三、访问控制
一是制定严格的管理制度。可制定的相应:《用户授权实施细则》《口令字及账户管理规范》《权限管理制度》等来实现。
二是配备相应的安全设备。在网络的出口处或网络内部不同安全域之间安装防火墙设备。
三是通过交换机划分VLAN。除了在局域网的出口安装防火墙,通过访问控制来保护内部数据外,在各节点局域网内部可根据业务需要或安全级别的不同,使用三层交换机划分VLAN,从而对不同VLAN中的数据进行保护。在本系统中,通过主干ATM交换机划分VLAN,来实现局域网内不同部门和不同专业公司之间的隔离和访问控制。
四是使用应用代理。对于校园内部网络中的重要业务服务器和WWW、Mail和其他应用服务器,可以使用防火墙的应用代理功能。
五是需要身份认证。大量的日常业务信息的处理和传送发生在局域网内部。从保证信息安全角度来看,操作人员从接触计算机信息系统开始便应启动安全保障系统,信息系统安全的第一道防线便是要求用户出示足以表明其特权身份和资格的依据。用户进入信息系统后,当其需要进行操作和使用系统资源时,除需要进一步进行身份确认外,信息系统还应对用户的权限进行控制,做到用户只能获得或拥有完成其本职工作所需要的最小权力,即所谓最小授权原则。
四、数据保护
数据保护所包含的内容比较广,除了通信保密和访问控制外,还包括以下几个方面。
(一)制定明确的数据保护策略和管理制度
保护策略和管理制度有:《系统信息安全保密等级划分及保护规范》《数据安全管理办法》《上网数据的审批规定》。
(二)安全设备与机制
1.文件加密系统
目前,个人计算机的安全性非常差,文件对本机的所有用户都是开放的,既没有加密,也没有权限控制。因此,实现个人计算机上文档的安全保护是构建安全系统的一个重要部分。通过文件的加密存储,控制文件的访问者,增加文件的安全性,对文件进行保护。
2.数据库安全
数据库安全保密系统是在目前流行的通用数据库(如SYBASE)基础上增加控件,以实现对数据库的访问/存取控制及加密控制等。该系统可需要根据校园计算机网络的具体应用进行二次开发。
(三)服务器灾难恢复
为了保护重点服务器的完整性,防止其上的信息被非法篡改,保护系统运行安全,应使用服务器灾难恢复系统。其可以将服务器上的重要信息进行备份,并定期检测服务器上信息内容的完整性,一旦发现信息被非法篡改,就会使用原始数据对服务器进行灾难恢复。该系统尤其适合于校园计算机网络中对外发布信息的WWW服务器和内部重要的服务器系统。
五、安全审计
网络监视和审计系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方。在重点保护区域,可以单独部署一套网络监控系统(管理器+监控器),也可以在每个需要保护的地方部署一个监控器,在全网使用一个管理器,这种方式便于进行集中管理。在校园计算机网络中的重要网段,使用网络监视器,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
六、病毒防护
防病毒措施主要包括技术和管理方面,技术上可在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力。在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不致于扩散到其他主机或服务器。管理上应制定一整套有关的规章制度,如:不许使用来历不明的软件或盗版软件,软盘使用前要首先进行杀毒等。只有提高了工作人员的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害。为了使校园计算机网络免受病毒侵害,保证网络系统中信息的可用性,必须构建一个从主机到服务器的完善的防病毒体系。
七、备份恢复
一是制订完善的安全备份管理制度。管理制度有:《系统安全备份规范》《数据介质保存规定》等。
二是主要技术途径。对重要设备进行设备备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。备份系统的目的为:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量自动的数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。
在进行备份的过程中,常使用备份软件,它一般应具有以下功能。保证备份数据的完整性,并具有对备份介质的管理能力;支持多种备份方式,可以定时自动备份,还可设置备份自动启动和停止日期;支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描),以保证备份的正确性;提供联机数据备份功能;支持RAID容错技术和图像备份功能。
摘要:计算机技术、网络技术、信息处理技术以及多媒体技术的飞速发展,为高校信息化建设注入了新的活力。高校信息化建设必须依托校园网。只有建成高速、稳定、安全、可靠的校园网,高校的数字信息资源、网络服务、信息服务及MIS等应用系统,才能正常运行。
校园网络安全设计方案 篇8
视频监控系统具备事前吓阻、现场监控、事后佐证等主要功能, 又由于平安城市、平安校园的需要, 正在高速发展中, 目前应用已经渗入到社会生活的各个领域。从发展的历程来看, 视频监控系统经历了三个阶段, 第一代视频监视系统指的是以VCR为代表的传统CCTV监控系统。但维护工作繁琐、无法进行远程访问、无法与其他安防系统 (如门禁、周界防护等) 有效集成、录像质量将会随着时间的推移下降, 存储和转存带不变等, 目前已经很少见。第二代以DVR为代表的视频监视系统出现在上世纪90年代中期视频监视市场上。虽然DVR可以将模拟的视频信号进行数字化, 并存储在电脑硬盘而不是盒式录像带上, 但DVR与模拟摄像机的连接仍是同轴线缆而非网络接口, 无法和成熟的以太网很好融合, 目前已建监控系统多为第二代, 或是在第一代的基础上的平滑升级到第二代。第三代系统指定就是目前正在蓬勃发展的智能网络视频监控, 有时也称为IP视频监控系统。针对在网络环境下使用而设计的, 可以通过网络中的任何一台电脑来观看、录制和管理实时的视频信息。第三代视频监控系统是完全数字化的系统, 它基于标准的TCP/IP协议, 能够通过以太网传输, 布控区域大大超过了前两代系统;它采用开放式架构, 可与门禁、报警、巡更、语音、MIS等系统无缝集成;它基于嵌入式技术, 性能稳定, 无需专人管理;它灵活性大大提高, 并且向前可以做到完全兼容, 可维护性大大增强, 管理成本大大降低, 目前新建视频监控系统多为第三代。
2. 校园视频监控系统的特点和我校监控系统选择
校园内楼宇众多, 人员密集, 需要大量的前端设备监控校内的楼宇、道路和公共场所, 校园安防系统监控点通常达到数百个, 特别是有不同校区的校园。校园内包含许多重要部门和财产高度集中的场所:财务处、一卡通服务中心、网络中心、图书馆、实训基地等, 这些场所都需要365天全天候不间断的安全保障。
由于工程费用总额较大, 因此在校园安防监控系统设计之初就需要考虑系统的“生命周期”的费用, 应降低长期运行成本。由于校园视频监控系统使用前端设备的数量大、线缆距离远, 故障点随之增加, 单靠人工管理大范围分布的大量视频前端设备, 维护难度较大, 且存在点数随时增加的可能性, 在选择设备时应尽量采用技术先进、应用广泛的知名品牌, 重视系统的兼容性和扩展性。
目前第三代智能网络视频监控技术比较成熟, 其存在的优点也为我校技术人员所认同, 经费也能得到有效保障。综合以上各种因素, 我校选择第三代智能网络视频监控技术。并为此成立了以技术、后勤、学工、保卫等人员为主的项目组, 专门负责设备招标、施工和监督。
3. 我校网络视频监控的设计与实施
3.1 学校特点
学校占地200余亩, 建筑面积10万平方米, 在校学生6000余人, 南北狭长, 有东门和南门两个入口, 南北一个主要通道。校园整体布局是在旧校舍的基础上, 功能重新分区, 其中, 校园东南部为教学区, 中部和中北部为实训基地和图书馆, 西北部为生活服务区, 东北部为体育活动区, 其中东部临山, 南面临路, 西部临路且有小区存在, 北面也是临路和小区。学校以高职为主, 兼招中职学生, 部分学生的自律能力较差。
3.2 需求分析
对于“平安校园”的创建, 一定要加强人防和技防。校园暴力和一些意外伤害事件的频繁发生让家长和学校防不胜防, 也为青少年的健康成长带来了不和谐音符。如何建立一套有效的安全防范系统, 杜绝校园内的安全隐患, 成为了家长和学校急待解决的问题。而且家长和学校之间的及时沟通和互动, 也是家校双方在处理突发事件, 以及对学生日常情况及时掌握的一项必备手段。
3.3 设计与实施
3.3.1 针对我校的情况, 采用的智能网络视频监控设计方案要注意以下设计原则
(1) 、南北狭长, 功能分区, 采取分片建网与集中管理相结合。
在我校安防监控系统中, 在财经商贸实训基地二楼设置主控中心, 按学校功能分区, 将学校划分五大区域, 每区域相当于建设一个局域网, 通过交换机集中后再通过光纤传输到主制中心, 从主控中心设置三个工作站, 分别放在校长办公室、保卫处办公室、学生工作处。在五大局域网中有网络摄像机和交换机, 而NAS存储服务器, 万兆核心交换机、解码器、电视墙等均在主控中心。前端设备出现故障时, 不会影响任何设备的正常运转, 各局域网及主控中心会正常运行, 同时CMS并对有问题的监控做出反应。分控中心可以独立工作, 也不影响整体监控系统的运行。
(2) 、重点区域以对射为主, 尤其宿舍走廊和围墙的重点。
对于学校来说, 有些区域属于打架滋事的易发场所, 有些属于盗窃的易发场所, 有些区域属于爬墙外出的易发地段。学校要保护学生的人身、财产安全, 在重点区域采取两个摄像机对射, 减少或消除盲点, 能够有效地进行事前吓阻、现场监控、事后佐证。
(3) 、线缆以地埋为主, 极少部分架空。
我校属于在老校区的基础上不断改造、扩建而形成的优美校园, 但没有做到整体划一、功能分区设置合理, 各种管道和沟渠不能完全形成连线, 这为智能网络视频的控的施工带来较大困难。即使如此, 也要求以地埋为主, 工程前商议多次确定了架空线路。
(4) 、面临山林的围墙较高, 周界防护的有效阻吓可能会摔伤学生。
周界防护目前多采用电子栅栏, 分为高压和低压。即使低压, 也为700V左右, 有较强烈的过电感, 但采用的是脉冲电压, 持续时间一般为0.1秒, 间隔时间为1秒。脉冲最大能量一般为5焦耳, 脉冲最大电量一般1库仑。由此可见, 其能量很小, 不会伤人, 仅给予入侵者较难受的警告, 动摇其攀越围栏的能力与动机, 达到了安全阻吓目的。另外报警可设置延时1-5秒, 会把大量误报过滤到, 不会产生误报。但我校的围墙过高, 电击有效阻吓后, 有可以导致摔伤, 因此不建议安装电子栅栏。
3.3.2 设计方案
依据以上四个原则, 通过保卫处、学工处、后勤处的联合需要分析后, 使用智能网络视频监控系统, 下面将讲述其工作原理、工程图和设备清单。
(1) 智能网络视频监控网络设计
前端设备网络摄像机 (简称IPC) 进行录相直接为数字信息, 通过传输设备进入主控室后, 直接存储在NAS服务器的同时通过解码器输出到电视墙。存储空间的计算公式为:存储空间=通道数*码流*保存日期 (要注意由秒转换成天) 。本工程中, 共有监控点225个, 智能网络视频系统码流最大为2M, 要求影像留存30天, 则:
存储空间为:225*2/8*60*60*24*30/1024/1024=140TB (2为IPC的码流约为2Mb/s) , 需24盘位NAS存储服务器 (每盘位为2T) :140T/2T/24=3个。
网络带宽的计算公式为:8口交换机最高为8*2=16, 100M交换机即可满足要求, 225个监控, 按分片集中, 最多的监控点为88个, 88*2=176, 千兆交换机即可满足要求, 主控中心存储225点, 回放按225路来计算, 所需带宽为 (225+225) *2=900, 按照冗余设计的原则, 千兆交换机已不成满足要求, 故主控中心需要1台万兆交换机。
智能网络视频监控示意图如图1所示:
(2) 我校智能网络监控的工程施工
根据我校楼宇分布和功能分区, 将校区分个五个片区分别独立组网, 摄像头独立供电, 监控点汇聚情况如图2所示:
4. 结束语:
本文在阐述视频监控技术的发展历程的同时扼要介绍模拟视频监控、数字视频监控、智能网络视频监控的主要特点。依据监控技术的发展趋势, 校园安防监控系统的需求特点、设计理念、方案筛选等方面进行了论述, 从而从应用和成本的角度出发帮助我校选择适合学校实际的校园监控建设方案。主要工程实例是以徐州财经高等职业技术学校为蓝本设计实用, 扩展、维护方便的的数字化网络监控校园方案, 希望对其他学校有所借鉴作用。
摘要:近年来, 危害校园安全、侵害学生、学校权益的案件时有发生, 职业学校的内部安全管理仅仅靠人防是远远不够的, 校园安全已经成为一个社会高度关注的热点话题。在过去的几年中, 安防技术不断发展, 尤其是校园安防的发展尤为迅速, 越来越多的学校从原始的人防、物防, 逐渐意识到技防的重要性和必要性。越来越多的学校开始采用视频监控校园, 保卫部门根据视频实时了解校园安全状况和事后调查取证, 极大了威慑了违反校纪以及犯罪活动分子, 保卫了一方校园安全。
关键词:安防网络视频监控,IPC,NVR,解码器
参考文献
[1]吴刚校园安防监控系统的构建与创新分析《中国高新技术企业》2009-11, 第12-13页
[2]吴卫吴琼基于校园网的数字视频监控系统《硅谷》2009-23, 第29和50页
校园网络安全设计方案 篇9
一、传统局域网LAN环境
传统LAN通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成,各节点通常按照它们的物理连接被自然地划分到各个广播域。处于同一LAN内的网络节点间可以直接通信,而处于不同局域网之间的通信则必须通过路由器才能通信。当LAN中出现机器网卡损坏、网络环路或由于病毒等现象引起广播风暴时,由于LAN的连接设备大多采用集线器、网桥或交换机,而它们都不具备隔离广播风暴的功能,因此整个网络的通信就会陷入瘫痪。为了隔离广播风暴,往往采用将一个大的网络划分为若干个小的广播域,用能隔离广播风暴的设备路由器将各个小广播域连接起来。随着网络应用的不断加强,网络结构越来越复杂,各LAN之间、各小广播域之间的通信需要更多的路由器。通信信息经过路由器后,路由器根据数据包中的信息确定数据包的目标地址,然后通过路由表选择最佳的路径将信息传递到目的地,随着路由器数目的增多,网络时延逐渐加长,最终导致网络数据传输速度下降。而且在LAN环境中,每次人员的变动都必须从物理上对其进行变更,须耗费很多的时间和精力。
二、校园网络特点分析
校园网对于提高教学和科研质量、加快学校信息化建设、开展多媒体教学与研究、改善教学和科研条件有着十分重要的意义。校园网用户群密集,网络安全问题蔓延快、对网络影响严重。某台计算机由于各种原因出现故障,反过来又会影响整个网络。校园网业务多,开放性强。校园网是教学、科研的特定场所,也是新技术、新知识最先应用的场所,业务项目多,网络环境相对比较宽松。不能像企业中一样,采取哪一部分影响网络的运行安全就停止该服务或关闭该端口的措施,因此安全隐患比较大。校园网管理难度大。计算机购置和配置情况复杂,部分是统一购置,部分是个人购买,其配置程度不一,不可能统一进行管理;没有相应的安全管理措施,一旦出现安全问题,责任难于到位。为了获得更高的带宽,越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口。校园网的使用引起了教学方法、教学手段、教学工具的重大革新,为学校管理者和老师提供了获取资源、协同工作的有效途径,是教育信息化发展不可或缺的工具。校园网安全、高效运行是每个校园网信息获取和教学的保障,在校园网中采用新兴技术迫在眉睫。
三、VLAN技术
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN在交换机上的实现方法,可以大致划分为4类:
1、基于端口划分的VLAN
2、基于MAC地址划分VLAN
3、基于网络层划分VLAN
4、根据IP组播划分VLAN
VLAN与VLAN间逻辑上是分开的,VLAN成员的数据包只能在同一VLAN内部传送,即使处于同一网络中,不同VLAN间也不能进行直接通信,有效的避免了广播风暴的传播;校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统,网络管理员可采用VLAN技术对广播域进行逻辑划分,达到限制用户非法访问的目的,从而确保重要部门的数据安全。
四、VLAN技术在我校校园网中的应用
1、我校校园网概况
校园网以设在图书馆的校园网网络中心为核心,覆盖校园办公楼、教学楼、实训楼、多媒体中心、图书馆、后勤等主要大楼。采用H3C S7506R交换机作为中心交换机,在其他楼配置二级交换机,楼与楼之间采用H3C E352产品作为三级交换机,办公室采用LS-E126-SI连接各工作站。H3C S7506R中心交换机与带防火墙功能的H3C MSR 50-40路由器相连,各服务器都连到H3C S7506R中心交换上,通过路由器连接Internet。
具体用到的路由交换设备如下:
2、校园网具体情况介绍
(1)出口:学校与电信的网络接口带宽为100MB;
(2)域名:www.einsun.net;
(3)IP地址范围:116.52.9.195--116.52.9.198;
(4)中心交换机:H3C S7506R目前校园网覆盖的楼包括:图书馆、办公楼、教学楼、实验楼、多媒体中心、学生宿舍楼。
3、学校系统情况
目前学校运行的系统主要为:WEB服务器三台;流媒体服务器三台;FTP服务器一台;财务系统一台;OA协同办公系统。就网络整体结构而言,我校校园网是一个百兆以太网链路连接的园区网络。整个网络根据范围的限制可分为两个大的部分:内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分:第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户;第二部分为普通信息安全区,即校园网中普通应用的网络设备和用户。外网即为校园外部网络区域,也就是与校园网相连的Internet。校园网重点考虑网络内部安全:包括信息访问安全和物理安全。信息访问安全即为内部网络各部门和用户之间要能相互进行信息交换,又要保护重要部门数据的保密性,同时应禁止外部用户非法访问内部数据。
4、校园网VLAN安全规划
根据校园网的具体情况,为了达到信息流量的控制,并提供良好的安全性,通过对网络逻辑结构进行分析和合理划分,采用基于端口VLAN技术对校园内部网络不同部门之间进行逻辑隔离,同时抑制广播风暴。根据学校具体建筑物分布情况,每栋楼设置为一个VLAN,共设置30个,VLAN2到VLAN31,VLAN1为交换机出厂时设置,不可更改,不可删除。拓扑结构:以太网拓扑结构主要有总线型、星型、环型、网状型、树型。总线型拓扑所有的站点都链接在同一电缆上,很难进行错误诊断和网络隔离,电缆上的一处故障可能会导致整个网络瘫痪;星型拓扑结构有一个中心控制点,连接简单,故障检测和隔离方便,网络访问协议简单,服务方便,成本低、易于管理、容易扩展,我校网络是以网络中心作为中心点,向周围建筑物辐射,所以校园网拓扑结构主体采用星型拓扑,内部网络拓扑为典型的树型拓扑结构。
爱因森校园网拓扑图如下:
参考文献
[1]Victor S.Frost,K.Sam Shamugan.Generic Approach to LAN Modeling.IEEE Transactions on Communications1997.5.
[2]顾晓燕.VLAN技术及在校园网中的实现[J].开发应用.2006(8).
[3]Dr.V.Rajaravivarma.Virtual Local Area Network Technology and Applications.IEEE Transactions on Communications,1997.
校园网络系统安全解决方案 篇10
关键词:校园网络,系统安全,解决方案
所谓的网络系统安全主要包括网络安全与信息安全两方面, 网络安全包括操作系统, 硬件设施的安全运行, 而信息安全则指数据的加密与备份, 校园网络系统安全防护需要从硬件设施与信息数据两方面进行。面对诸多的校园网络系统安全问题, 我们一定要有面对这些安全问题从各个方面进行思考解决, 以下是我多年以来通过实践跟理论的相互结合, 针对校园网络系统安全问题提出的解决方案, 希望能够得到现在面临或者将来有肯能面临这些校园网络安全问题的学院予以采纳并能够广泛推广。
1 创建校园网络系统的重要性
之所以在学校实施网络信息化管理, 一方面是由于信息化管理推动学校现代化目标的实现。另一方面, 我国目前学校管理的现状要求我们必须在管理模式方面有所创新, 更好地促进社会的发展。
1.1 实施校园管理网络化是提高学校管理水平的内在要求
在科学技术的推动下, 实现数字化、信息化已经成为各行业的发展目标。这种理念同样渗透在教育领域, 学校的信息管理不能离开网络的支撑。譬如, 目前大多数的城市学校已经建立了档案信息化管理系统, 并且信息化管理的应用在加快教育现代化进程、提高学校管理水平的同时, 减少了以前在笔迹模糊、重要事项遗漏的现象。除此之外信息化管理将涉及整个教学流程管理、行政管理、人事安排等众多方面, 是对传统管理模式的革新, 传统的需要手工参与的一切都可以通过人机交互来实现, 这样提升的是整个学校的管理水平。
1.2 促进工作效率的提高
传统的学校管理是通过人来实现的, 师生信息的收集需要专门的工作人员对分散的数据进行统计, 消耗时间而且可能导致误差。信息化的管理将多媒体作为媒介, 打破了时间和空间的局限性, 为工作者减少工作量, 提高了工作效率。除此之外, 传统的学校管理注重的是档案的存储, 而信息化的管理模式注重的是资源的收集与开发利用。在信息技术的支撑下, 杂乱无章的信息被整理的仅仅有条, 这就便于管理者进行监督。
2 校园网络系统面临的主要安全问题
就目前国内现状而言, 校园安全网络存在防护手段单一、认证授权访问权限存在缺陷, 这些问题的存在使得校园网络安全受到威胁。接下来我将对校园网络系统面临的主要安全问题进行论述, 为将来策略的提出奠定现实基础。
2.1 校园网络系统IP地址被别人盗用的安全问题
一个学校的校园内可能有上百部或者上千部甚至更多的电脑, 在这么多的电脑中有一部分是通过正常的途径申请获得的安全合法的IP地址, 然而也有一部分人不经过正常的途径申请合法安全的IP地址, 使用别人合法的IP地址进行上网, 这时候就会使校园网络系统内部正常运行受到干扰, 非法使用别人合法的IP地址, 严重影响了别人的正常上网秩序。
2.2 校园网络系统中防火墙被用于攻击
本来网络系统中的防火墙技术已经在整个互联网发展的过程中已经到了一个非常成熟的阶段, 防火墙在对外防护基本是不可能被入侵的, 在一个校园网络系统里防火墙的作用是对网络系统里以外的威胁进行保护、防护, 对一个校园网络系统里内部的人起到的防护作用是非常小的, 因此问题就出现在这里, 通常一个校园网络系统中的防火墙被遭受侵害的不是外部上网者的入侵更多的时候是来自局域网内部的入侵和攻击, 这也是校园网络系统中重点存在的安全问题之一。
2.3 缺乏安全防患意识
校园网络系统在学校信息化建设方面所处的重要位置要求校方领导高层能够对网络安全防护给予高度重视, 但是就目前国内现状而言, 学校过度的重视技术, 而缺乏安全防护意识, 在网络组建的过程中, 只注意到购买服务器设备而忽视网络安全设备。除此之外计算机内部杀毒软件不健全, 导致网络性能直线下降。
3 校园网络系统安全问题的解决方案
3.1 完善管理制度
现代化的信息技术发展已经被社会大众所接受, 但是这种管理模式在创造经济效益、社会效益的同时也存在许多安全隐患。譬如经常出现的APP中间人攻击、APR报文泛洪攻击等, 已经严重影响了组织机构工作的正常开展。学校在网络安全防护的过程中, 需要吸取经验, 做好安全管理工作, 建立完整的安全防护系统。在具体实践过程中, 禁止工作人员出去与自己工作无关的区域, 对系统维护的时间进行明确规定, 并且详细记录系统在维护前后的状态。除此之外工作人员在使用移动设备的同时进行病毒的查杀, 并且对于常用的杀毒软件进行及时的升级。
3.2 改善防火墙的配置
防火墙的存在就是能够更好的控制内网与外网之间的相互访问, 将符合条件的访问者请入学校的网站内, 而将网络黑客拒之门外, 最大程度的限制了网络黑客的入侵, 防止信息被复制、篡改。为此校方需要对这一设备进行高度重视, 配置符合校园区域网的防火墙。
3.3 做好备份工作
用备份技术来提高数据恢复时的完整性。备份工作可以手工完成, 也可以自动完成。现有的操作系统一般都带有比较初级的备份系统, 如果对备份要求高, 应购买专用的系统备份产品。由于备份本身含有不宜公开的信息, 备份介质也是偷窃者的目标, 因此, 计算机系统允许用户的某些特别文件不进行系统备份, 而做涉密介质备份。
除此之外配置网络安全扫描工具。在现如今快速发展的网络时代, 网络安全防护需要首先清楚信息网存在哪些漏洞, 而这一问题的解决仅仅依靠人力无法达到全面的检测与防护, 这就要求校方能够寻找新型的网络安全扫描仪器。或是进行网络模拟攻击, 以此来发现网络系统漏洞。
4 结论
21 世纪, 信息技术的快速发展在改变人们生活状况、促进教育事业发展的同时, 也面临着巨大的安全问题需要解决。在具体实践过程中需要校方加强网络安全防护意识, 聘请高端网络人员进行系统防护, 与此同时加强制度的完善, 以此来保证校园网络系统的安全运行。相信在各方面的共同努力下, 校园网络安全系统的防护将取得重大进展。
参考文献
[1]杨宇红.校园网络的安全问题分析与对策[J].信息安全与技术, 2011 (4) :30-32.
[2]陈军.校园网络安全问题及对策研究[J].数字技术与应用, 2012 (9) :175.
[3]关启云.校园网络安全问题分析及对策探讨[J].网络安全技术与应用, 2013 (11) :88-89.
[4]吕文光.校园网络安全问题分析与对策[J].科技信息, 2011 (19) :85.
校园网络安全设计方案 篇11
关键词 校园网 基本网络搭建 网络安全设计
中图分类号:TP393 文献标识码:A
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。
1基本网络的搭建
由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
(1)网络拓扑结构选择:网络采用星型拓扑结构。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
(2)组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
2网络安全设计
(1)物理安全设计
为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
(2)网络共享资源和数据信息安全设计
针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。
(3)计算机病毒、黑客以及电子邮件应用风险防控设计
我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。
第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。
为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。
第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。
校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。
内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。
参考文献
[1] Andrew S. Tanenbaum. 计算机网络(第4版)[M].北京:清华大学出版社,2008.8.
[2] 袁津生,吴砚农.计算机网络安全基础[M]. 北京:人民邮电出版社,2006.7.
[3] 中国IT实验室.VLAN及VPN技术[J/OL]. 2009.
高校校园网络安全分析及解决方案 篇12
1.1 较低的安全防范能力
很多高校对校园网经费投入不足,部分高校决策人对校园网信息技术了解不够全面,很多时候经费只限于关键硬件设备的投入,而对于校园网系统建设没有实际投入,这些现状共同造成了校园网的安全防范能力较弱,随时都可能滋生安全隐患,部分数据随时可能丢失、被盗与泄露。
网络病毒是现时困扰校园网的最大难题,病毒的非授权性、隐蔽性、潜伏性、可触发性、破坏性,使得网络安全管理防不胜防。现阶段的网络病毒无论在传播速度、传播范围还是破坏性都更具危害,如不采取相应的保护措施,随时可能造成崩溃、网络瘫痪等严重后果。
高校中的计算机分为三类,一类是办公用机,一类是教学用机,还有一类是学生个人用机,办公用机归教师使用,由于使用者专业差距较大,病毒最易在办公用机上爆发;教学用机则因有专业人员维护,安全性较强;而学生个人用计算机却由于现今已在高校学生宿舍广泛普及,但其中部分学生安全意识薄弱,往往构成了病毒感染的主体对象。这些统共造成了校园网中病毒的随时传染和传播,无疑给校园网管理人员的管理增加了难度。
1.2 较多的网络不安全行为
很多高校师生,对于网络安全意识淡薄,在QQ上和陌生人聊天,发文件,甚至视频聊天,随意使用U盘、移动硬盘;师生可以自由进入互联网,由于互联网上现在有很多不健康信息,另有很多有关色情、暴力、邪教内容的网站泛滥,而在校园网上对这些恶性状况无法进行全面甄别,对于学生就无法进行有效控制。某些不良信息违反了人类的道德标准和有关法律法规,对世界观和人生观正处于形成期的学生来说,危害极为严重。校园网上未安装上网识别装置,无法有效地规范和约束师生的非法访问行为;同时由于缺乏校园网监控系统,不能及时、有效地阻止网上不安全行为的发生。
1.3 较易招致黑客入侵
计算机使用还原软件,关机后再启动即恢复到初始状态,这种情况就导致校园网会出现很大的漏洞,黑客入侵则主要是由于系统“漏洞”所致。校园网在接入Internet的时候,即使有防火墙的保护,由于技术本身的局限或防火墙错误配置等原因,仍很难保证校园网不遭到黑客攻击。
典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。
1.4 较差的管理和维护
很多高校专业技术人员的技术水平参差不齐,另外,很多网络管理人员也没有经过系统的培训,责任心不强,在工作中时不时就容易出现各种错误,同时还缺乏对于网络知识的及时更新。一旦发生问题,往往不能及时补救,就很可能导致校园网陷入瘫痪。
1.5 较弱的网络安全意识
高校学生大部分缺乏网络安全意识,随意在网络上进行购物、聊天、注册网站,这势必会造成个人身份信息的泄漏,使不法分子有机可乘,造成个人和国家财产的损失。
2 高校校园网络安全解决方案
2.1 规范IP地址管理和定期更换管理员密码
网络安全技术的解决方案必须依赖一定的硬件和系统的投入,必须有一定资金作为基础,学校要有一定的政策倾向。对于用户终端IP地址进行合理配置,由固定的人员进行IP地址管理,即IP地址只能由网络中心DHCP服务器分配,而不能来自非法的IP地址提供者。用户必须从DCHP服务器取得IP地址才可进行联网,私自设定IP地址将会自动被交换机禁止。黑客会利用系统漏洞获得管理员密码,进入后台实施破坏性操作,因此管理员要经常更换密码,并且对于密码设置要复杂,还要时时查阅服务器登录日志,保证及时发现异常情况,采取应对措施。
2.2 进行身份认证
身份认证是校园网安全体系的基础。校园网可以实行实名制,用户不仅要通过统一的身份认证系统的科学认证,而且浏览所有网页都要受到监控,其上网日志都将被记录、保存到服务器上,同时要保证此日志的准确性和安全性,防止被篡改或丢失,对此也是高校信息化建设中必须考虑的一个非常重要的内容。
2.3 开展病毒防范工作
校园网防病毒工作主要包括预防计算机病毒入侵、检测定位侵入的计算机病毒和清除系统中已发现的病毒。在校园网中必须建立完整、强大的病毒防范体系,尤其是对服务器要进行彻底堵截。对于当前病毒泛滥,多类适用的网络杀毒软件的合理选择可以有效地防止病毒在校园网上的肆虐传播,必要时还可使用多种杀毒软件实施交叉杀毒。同时,对于高校来说,重要数据要进行定期备份,以防在遭遇系统崩溃、自然灾害和人为破坏时,可及时将系统恢复到原初状态。
2.4 建立信息监控机制
学校必须建立信息监控机构,利用不良信息过滤软件进行检查,加强舆情监控和引导者,网站要注重主旋律的宣传,特别是对贴吧,QQ群、微博参与讨论者,进行正确引导,调动相关部门积极回复学生提出的问题。加强网管人员的专业素质提高,尽量做到由专业人员进行科学、专业的网络管理。
2.5 进行安全培训,制定网络安全制度
高校要对师生进行定期培训,对网络安全也要进行重点培训,明确用户的责任和义务,互相监督,严禁个人或者部门随意安装和运行一些带有黑客性质的软件。同时,制定相应的网络安全制度,做到制度明晰,落实有力。
3 结束语
随着信息技术的发展,校园网已成为高校教学、科研和管理中必不可少的重要工具。只有做好各种安全防范措施,才能应对各种威胁,保证校园网为广大师生提供更优质、安全的服务。
参考文献
[1]陈熔.高校校园网安全分析及安全策略[J].长江大学学报,2008(3):201-202.
[2]贾红宇.浅析高校校园网络安全现状及管理对策[J].科技致富向导,2011(14):87.
【校园网络安全设计方案】推荐阅读:
校园网网络安全设计方案06-06
校园网络设计思路08-31
校园无线网络方案08-10
校园网络测试方案09-07
校园设备局域网络设计06-14
中职数字校园网络设计08-28
校园网络升级改造设计09-20
校园无线网络教室设计11-25
校园网络总体设计概述11-15
网络校园网解决方案10-22