網路安全大作業校園網路設計

題目★姓名班級：計算機073

學號： 07013663

姓名班級：計算機073

學號： 07013610

姓名班級：計算機073

學號： 07013668

（★為本方案的主要負責同學）

計算機與資訊學院

二零一零年六月

一、方案背景介紹

xx中學校園網路

12幢樓宇約458個資訊點。其中1幢辦公樓32個資訊點， 3幢教學樓60個資訊點（19+20+21=60），7幢教師宿舍樓172個資訊點（21+21+28+28+27+36+11=172），1幢教輔用房矽步樓194個資訊點（122+60+12=194）。

主幹網路提供1000m頻寬，到桌面提供100m頻寬，連線15幢樓宇，校內互聯，學校各部門子系統連線校園主幹網口，各網段內、各網段之間計算機互訪和校內資源共享；

校園網與國際網際網路相連：區域網內的計算機通過www伺服器**

網。核心內部網路建設，包括dns伺服器、email伺服器、www伺服器、ftp伺服器、bbs伺服器、資料庫伺服器等，對外能與internet互聯，對內提供校內各種區域網的介面，提供internet服務，如電子郵件、遠端登陸、檔案傳輸、資訊查詢等。

提供網路教學環境：網路提供**、音訊、課件在校園網內傳輸，提供**點播系統服務；

提供辦公自動化管理服務：進行各類公文收發、分類的處理；

提供遠端使用者訪問服務。

二、方案設計任務分工

方案設計，找資料：龔卓成,陳林滔

開題報告：龔卓成，陳林滔

解決方案報告撰寫：何駿,龔卓成

解決方案報告修改：何駿,陳林滔

三、需求分析

從對內安全和對外安全兩個角度進行分析:

1.來自外部網路的安全威脅

由於需要，網路與外部網路進行了連線，這些連線集中在安全威脅的第一層，包括：如果內部網路和這些外部網路之間的連線為直接連線，外部網路則可以直接訪問內部網路的主機，若內部和外部沒有隔離措施，內部系統較容易遭到攻擊。

由於需要，學生和教師在非校區內使用isp撥號上網連線上internet，進入學校內部網網路，這時非法的internet使用者也可以通過各種手段訪問內部網路。這種連線使學校內部網路很容易受到來自internet的攻擊。攻擊一旦發生，首先遭到破壞的將是辦公自動化網的主機，另外，通過使用連線託管伺服器**與辦公自動化網的ddn專線，侵入者可以繼續攻擊託管伺服器**部分。

攻擊的手段以及可能造成的危害多種多樣。

1.對外安全分析

安裝軟體、硬體防火牆，網路防病毒軟體，客戶端防病毒軟體

利用**伺服器提供internet與intranet之間的防火牆功能

通過網管軟體實時記錄網路的執行狀態。

2.來自內部網路的安全威脅

網路上的節點眾多，網路應用複雜，網路管理困難。這些問題主要體現在安全威脅的第二和第三個層面上，具體問題：

● 網路的實際結構無法控制；

● 網管人員無法及時了解網路的執行狀況；

無法了解網路的漏洞和可能發生的攻擊；

● 對於已經或正在發生的攻擊缺乏有效的追查手段；

訪問控制的問題

2.對內安全分析

利用vlan的安全特性，按照學校各部分的基本工作性質結合樓宇的分布劃分子網網段

一方面對子網內資訊點設定訪問控制，另一方面對不同子網的訪問進行控制。

伺服器訪問控制：通過密碼、口令（不定期修改、定期儲存密碼與口令）等禁止非授權使用者對伺服器的訪問，以及對辦公自動化平台、教務管理平台的訪問和管理

採用有效的掃瞄工具，定期對網路進行掃瞄，發現網路結構的變化，及時糾正錯誤

使用有效的工具，及時發現錯誤，關閉非法應用，保證網路的安全

進行客觀的網路風險評估，及時發現網路中的安全隱患，並提出切實可行的防範措施

記錄攻擊行為的全過程，為調查工作提供依據

四、網路安全設計方案

對內安全：

a) 利用vlan的安全特性，按照學校各部分的基本工作性質結合樓宇的分布劃分子網網段：192.168.

10段，辦公樓；192.168.20段，教師周轉房（1，2）；192.

168.30段，為臨江園2幢教師住宿樓，192.168.

40段為矽步樓，192.168.50段為2號教師住宿樓，192.

168.60段為1號教師住宿樓。192.

168.70段為3幢教學樓。一方面對子網內資訊點設定訪問控制，另一方面對不同子網的訪問進行控制。

b) 伺服器訪問控制：通過密碼、口令（不定期修改、定期儲存密碼與口令）等禁止非授權使用者對伺服器的訪問，以及對辦公自動化平台、教務管理平台的訪問和管理

對外安全：

安裝軟體、硬體防火牆，網路防病毒軟體，客戶端防病毒軟體；利用**伺服器提供internet與intranet之間的防火牆功能；通過網管實時記錄網路的執行狀態。

網路可靠性設計：

網路主幹採用基於樹型的多星型結構，使之具有鏈路冗餘特性，能使樹型中有一線路出現故障時，只有本線路出故障，其它網路部分仍然能正常執行。

接入internet：

採用ddn接入。ddn是英文digital data network的縮寫，這是隨著資料通訊業務發展而迅速發展起來的一種新型網路。

基於埠的虛網劃分；

利用vian國際標準802.1q，實現跨交換機的vlan，通過ieee802.1d協議所支援的生成樹技術（spanning tree），實現各中繼之間的負載均衡；

採用vlanpruning技術來優化交換網路中廣播對網路效能的影響；

網路管理方案設計：

根據學校和伺服器應用模式及全網範圍資源集中管理的原則，建立網管中心（中心機房），統一網路中的交換裝置的管理配置，虛網設計和配置，各種服務建立等。

建立安全管理制度。提高包括系統管理員和使用者在內的人員的技術素質和職業道德修養。對重要部門和資訊，嚴格做好開機查毒，及時備份資料.

對計算機使用者的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網路的立法和執法力度等方面。加強計算機安全管理、加強使用者的法律、法規和道德觀念，提高計算機使用者的安全意識.

對計算機使用者不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、資料保**等，明確計算機使用者和系統管理人員應履行的權利和義務，自覺遵守合法資訊系統原則、合法使用者原則、資訊公開原則、資訊利用原則和資源限制原則，自覺地和一切違法犯罪的行為作鬥爭，維護計算機及網路系統的安全，維護資訊系統的安全。除此之外，還應教育計算機使用者和全體工作人員，應自覺遵守為維護系統安全而建立的一切規章制度，包括人員管理制度、執行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。

網管工作站對全網所有交換裝置和路由裝置進行統一管理、配置和維護；進行故障隔離、分析、統計、報警、設定；網管軟體採用圖形化介面，支援廣泛的網管平台。

物理安全層面：

對計算機系統的安全環境條件，包括溫度、濕度、空氣潔淨度、腐蝕度、蟲害、振動和衝擊、電氣干擾等方面執行裝置所規定的標準

機房場地環境的選擇

計算機系統選擇乙個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地，要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強雜訊源，並避免設在建築物高層和用水裝置的下層或隔壁。

還要注意出入口的管理。

機房的安全防護

為了防止未經過授權的個人或者團體篡改資料盜竊計算機裝置，應做到物理訪問控制來識別訪問使用者的身份，並對其合法性進行驗證；其次，對來訪者必須限定其活動範圍；第三，要在計算機系統中心裝置外設多層安全防護圈，以防止非法暴力入侵；第四裝置所在的建築物應具有抵禦各種自然災害的設施。

五、總結

擁有乙個高水準的校園網，必將促進校園網路應用向www、e-mail、ftp的更高層次應用發展。計算機網路技術的發展，引發了學校各項工作的深刻變革。高效能校園網的建設大大提高了學校的管理水平，為師生員工更好地進行教學、科研等提供了先進的平台，極大地推動了學校的資訊化建設。

統一平台、整合資源，將很多原來劃分在不同部門、不同系統的應用放在乙個同時兼具高度靈活性、穩固的校園網平台上，產生出巨大的協同效應，甚至從根本上改變了原有的教育模式。同時進一步利用這個平台有效整合學校內部資源，以資訊化促進學校內外部業務統

一、流程優化。隨著校園網基礎建設的加強及學校資訊化程度的提高，學校最終將迎來科學管理和教學的新時代。

計算機網路安全是一項複雜的系統工程，涉及技術、裝置、管理和制度等多方面的因素，安全解決方案的制定需要從整體上進行把握。網路安全解決方案是綜合各種計算機網路資訊系統安全技術，將安全作業系統技術、防火牆技術、病毒防護技術、入侵檢測技術、安全掃瞄技術等綜合起來，形成一套完整的、協調一致的網路安全防護體系。我們必須做到管理和技術並重，安全技術必須結合安全措施，並加強計算機立法和執法的力度，建立備份和恢復機制，制定相應的安全標準。

網路安全大作業校園網路設計

校園網路安全方案設計

校園網路安全應急預案

校園網路安全管理規定

網路安全大作業校園網路設計

校園網路安全方案設計

校園網路安全應急預案

校園網路安全管理規定

相關推薦