第一篇：企業(yè)網(wǎng)絡安全方案的設計

信息安全課程設計

xx網(wǎng)絡安全方案的設計

海南經(jīng)貿(mào)職業(yè)技術學院信息技術系

︽ 網(wǎng) 絡

安

課 全

程 ︾

設

計

報

告

題 目 XX網(wǎng)絡安全方案的設計

學 號 310609040104

班 級 網(wǎng)絡工程06-1班

姓 名 王某某

指導老師 王天明

信息安全課程設計

xx網(wǎng)絡安全方案的設計設計企業(yè)網(wǎng)絡安全方案

摘 要：在這個信息技術飛速發(fā)展的時代，許多有遠見的企業(yè)都認識到很有必要依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺來極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業(yè)整體網(wǎng)絡安全方案以及該方案的組織和實施等方面的闡述，為企業(yè)提供一個可靠地、完整的方案。

關鍵詞： 信息安全、企業(yè)網(wǎng)絡安全、安全防護

一、引言

隨著國內計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。應此如何使企業(yè)信息網(wǎng)絡系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡體系結構也會變得越來越復雜，應用系統(tǒng)也會越來越多。但從整個網(wǎng)絡系統(tǒng)的管理上來看，通常包括內部用戶，也有外部用戶，以及內外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡系統(tǒng)存在三個方面的安全問題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。

（2）企業(yè)內網(wǎng)的安全性：最新調查顯示，在受調查的企業(yè)中60%以上的員 信息安全課程設計

xx網(wǎng)絡安全方案的設計工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡、消耗企業(yè)網(wǎng)絡資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密，從而導致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內部的網(wǎng)絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。

（3）內部網(wǎng)絡之間、內外網(wǎng)絡之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡簡圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設計

xx網(wǎng)絡安全方案的設計

圖說明 圖一 企業(yè)網(wǎng)絡簡圖

對該公司的信息安全系統(tǒng)無論在總體構成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強，安全防護僅限于網(wǎng)絡安全，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。

（2）原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢，存在一定的網(wǎng)絡安全隱患，產(chǎn)品亟待升級。

（3）經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。

（4）計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術手段，提高數(shù)據(jù)的機密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

（2）網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。（3）信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

（4）信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。具體如下： 1.標準化原則

信息安全課程設計

xx網(wǎng)絡安全方案的設計2.系統(tǒng)化原則 3.規(guī)避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則

四、企業(yè)網(wǎng)絡安全解決方案的思路

1.安全系統(tǒng)架構

安全方案必須架構在科學網(wǎng)絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。

隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。這種多層次的安全體系不僅要求在網(wǎng)絡邊界設置防火墻VPN，還要設置針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內容完全阻擋在企業(yè)內部網(wǎng)之外。2.安全防護體系

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。如圖二所示：

圖說明 圖二 網(wǎng)絡與信息安全防范體系模型

信息安全課程設計

xx網(wǎng)絡安全方案的設計3.企業(yè)網(wǎng)絡安全結構圖

通過以上分析可得總體安全結構應實現(xiàn)大致如圖三所示的功能:

圖說明 圖三

總體安全結構圖

五、整體網(wǎng)絡安全方案

1.網(wǎng)絡安全認證平臺

證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(Public Key Infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

1）身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

信息安全課程設計

xx網(wǎng)絡安全方案的設計

2）數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

4）不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。

3.網(wǎng)絡防火墻

采用防火墻系統(tǒng)實現(xiàn)對內部網(wǎng)和廣域網(wǎng)進行隔離保護。對內部網(wǎng)絡中服務器子網(wǎng)通過單獨的防火墻設備進行防護。其網(wǎng)絡結構一般如下：

圖說明 圖四 防火墻

此外在實際中可以增加入侵檢測系統(tǒng)，作為防火墻的功能互補，提供對監(jiān)控 信息安全課程設計

xx網(wǎng)絡安全方案的設計網(wǎng)段的攻擊的實時報警和積極響應等功能。4.病毒防護系統(tǒng)

應強化病毒防護系統(tǒng)的應用策略和管理策略，增強勤業(yè)網(wǎng)絡的病毒防護功能。這里我們可以選擇瑞星網(wǎng)絡版殺毒軟件企業(yè)版。瑞星網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件，通過瑞星網(wǎng)絡防病毒體系在網(wǎng)絡內客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網(wǎng)絡內計算機病毒事件，并實現(xiàn)對網(wǎng)絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護

在一個企業(yè)中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統(tǒng)保護的簡圖（透明方式）:

信息安全課程設計

xx網(wǎng)絡安全方案的設計

圖說明

圖五

郵件系統(tǒng)保護 6.關鍵網(wǎng)段保護

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應此對外應是保密的。所以這些網(wǎng)段我們也應給予特別的防護。簡圖如下圖六所示。

圖說明

圖六

關鍵網(wǎng)段的防護 7.日志分析和統(tǒng)計報表能力

對網(wǎng)絡內的安全事件也應都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)還應自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目 信息安全課程設計

xx網(wǎng)絡安全方案的設計標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。8.內部網(wǎng)絡行為的管理和監(jiān)控

除對外的防護外，對網(wǎng)絡內的上網(wǎng)行為也應該進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當文件的下載。企業(yè)內部用戶上網(wǎng)信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網(wǎng)絡內部網(wǎng)絡行為的監(jiān)控可以規(guī)范網(wǎng)絡內部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)內部產(chǎn)生網(wǎng)絡安全隱患。因此對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

則內網(wǎng)綜合保護簡圖如下圖七所示：

信息安全課程設計

xx網(wǎng)絡安全方案的設計

圖說明

圖七

內網(wǎng)綜合保護 9.移動用戶管理系統(tǒng)

對于企業(yè)內部的筆記本電腦在外工作，當要接入內部網(wǎng)也應進行安全控制，確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網(wǎng)。10.身份認證的解決方案

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USB Key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實施方式

由以上的分析及設計，可知網(wǎng)絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 信息安全課程設計

xx網(wǎng)絡安全方案的設計流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖說明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

（4）在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

七、總結

本課程設計以某公司為例，分析了網(wǎng)絡安全現(xiàn)狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡的安全管理。也希望通過本方 信息安全課程設計

xx網(wǎng)絡安全方案的設計案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。

本次課程設計的完成，首先應感謝劉老師的指導。由于剛開始選題不恰當，所以完成的不理想，后來和劉老師交流后決定用這個項目來做。此外，也感謝同學的幫助。特別是在課程設計中需要繪制圖形時，給我推薦了“億圖”繪圖工具，使得本課程設計中所需的圖形都得以順利繪制出來，能較好的展示出整個設計的過程。

教師評語：

第二篇：企業(yè)網(wǎng)絡安全方案設計

信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計企業(yè)網(wǎng)絡安全方案設計

摘 要：在這個信息技術飛速發(fā)展的時代，許多有遠見的企業(yè)都認識到很有必要依托先進的IT技術構建企業(yè)自身的業(yè)務和運營平臺來極大地提升企業(yè)的核心競爭力，使企業(yè)在殘酷的競爭環(huán)境中脫穎而出。經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。本文主要通過安全體系建設原則、實例化的企業(yè)整體網(wǎng)絡安全方案以及該方案的組織和實施等方面的闡述，為企業(yè)提供一個可靠地、完整的方案。

關鍵詞： 信息安全、企業(yè)網(wǎng)絡安全、安全防護

一、引言

隨著國內計算機和網(wǎng)絡技術的迅猛發(fā)展和廣泛普及，企業(yè)經(jīng)營活動的各種業(yè)務系統(tǒng)都立足于Internet/Intranet環(huán)境中。但隨之而來的安全問題也在困擾著用戶。Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。一旦網(wǎng)絡系統(tǒng)安全受到嚴重威脅，甚至處于癱瘓狀態(tài)，將會給企業(yè)、社會、乃至整個國家?guī)砭薮蟮慕?jīng)濟損失。應此如何使企業(yè)信息網(wǎng)絡系統(tǒng)免受黑客和病毒的入侵，已成為信息事業(yè)健康發(fā)展所要考慮的重要事情之一。

一般企業(yè)網(wǎng)絡的應用系統(tǒng)，主要有WEB、E-mail、OA、MIS、財務系統(tǒng)、人事系統(tǒng)等。而且隨著企業(yè)的發(fā)展，網(wǎng)絡體系結構也會變得越來越復雜，應用系統(tǒng)也會越來越多。但從整個網(wǎng)絡系統(tǒng)的管理上來看，通常包括內部用戶，也有外部用戶，以及內外網(wǎng)之間。因此，一般整個企業(yè)的網(wǎng)絡系統(tǒng)存在三個方面的安全問題：

（1）Internet的安全性：隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊，工作效率下降，直接或間接的經(jīng)濟損失也很大。

（2）企業(yè)內網(wǎng)的安全性：最新調查顯示，在受調查的企業(yè)中60%以上的員信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率、阻礙電腦網(wǎng)絡、消耗企業(yè)網(wǎng)絡資源、并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密，從而導致企業(yè)數(shù)千萬美金的損失。所以企業(yè)內部的網(wǎng)絡安全同樣需要重視，存在的安全隱患主要有未授權訪問、破壞數(shù)據(jù)完整性、拒絕服務攻擊、計算機病毒傳播、缺乏完整的安全策略、缺乏監(jiān)控和防范技術手段、缺乏有效的手段來評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性、缺乏自動化的集中數(shù)據(jù)備份及災難恢復措施等。

（3）內部網(wǎng)絡之間、內外網(wǎng)絡之間的連接安全：隨著企業(yè)的發(fā)展壯大及移動辦公的普及，逐漸形成了企業(yè)總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎么處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經(jīng)成為企業(yè)成長過程中不得不考慮的問題。各地機構與總部之間的網(wǎng)絡連接安全直接影響企業(yè)的高效運作。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡簡圖如下，分析現(xiàn)狀并分析需求：

信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

圖說明 圖一 企業(yè)網(wǎng)絡簡圖

對該公司的信息安全系統(tǒng)無論在總體構成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強，安全防護僅限于網(wǎng)絡安全，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。

（2）原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢，存在一定的網(wǎng)絡安全隱患，產(chǎn)品亟待升級。

（3）經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。

（4）計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術手段，提高數(shù)據(jù)的機密性、完整性和可用性。

由以上分析可知該公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

（2）網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。（3）信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

（4）信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。具體如下： 1.標準化原則 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計2.系統(tǒng)化原則 3.規(guī)避風險原則 4.保護投資原則 5.多重保護原則 6.分步實施原則

四、企業(yè)網(wǎng)絡安全解決方案的思路

1.安全系統(tǒng)架構

安全方案必須架構在科學網(wǎng)絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。

隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。這種多層次的安全體系不僅要求在網(wǎng)絡邊界設置防火墻VPN，還要設置針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內容完全阻擋在企業(yè)內部網(wǎng)之外。2.安全防護體系

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。如圖二所示：

圖說明 圖二 網(wǎng)絡與信息安全防范體系模型 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計3.企業(yè)網(wǎng)絡安全結構圖

通過以上分析可得總體安全結構應實現(xiàn)大致如圖三所示的功能:

圖說明 圖三

總體安全結構圖

五、整體網(wǎng)絡安全方案

1.網(wǎng)絡安全認證平臺

證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(Public Key Infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

1）身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

2）數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

3）數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

4）不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。2.VPN系統(tǒng)

VPN(Virtual Private Network)虛擬專用網(wǎng)，是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護費用、易于擴展、數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

通過安裝部署VPN系統(tǒng)，可以為企業(yè)構建虛擬專用網(wǎng)絡提供了一整套安全的解決方案。它利用開放性網(wǎng)絡作為信息傳輸?shù)拿襟w，通過加密、認證、封裝以及密鑰交換技術在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實現(xiàn)移動用戶、遠程LAN的安全連接。

集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。

3.網(wǎng)絡防火墻

采用防火墻系統(tǒng)實現(xiàn)對內部網(wǎng)和廣域網(wǎng)進行隔離保護。對內部網(wǎng)絡中服務器子網(wǎng)通過單獨的防火墻設備進行防護。其網(wǎng)絡結構一般如下：

圖說明 圖四 防火墻

此外在實際中可以增加入侵檢測系統(tǒng)，作為防火墻的功能互補，提供對監(jiān)控信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計網(wǎng)段的攻擊的實時報警和積極響應等功能。4.病毒防護系統(tǒng)

應強化病毒防護系統(tǒng)的應用策略和管理策略，增強勤業(yè)網(wǎng)絡的病毒防護功能。這里我們可以選擇瑞星網(wǎng)絡版殺毒軟件企業(yè)版。瑞星網(wǎng)絡殺毒軟件是一個專門針對網(wǎng)絡病毒傳播特點開發(fā)的網(wǎng)絡防病毒軟件，通過瑞星網(wǎng)絡防病毒體系在網(wǎng)絡內客戶端和服務器上建立反病毒系統(tǒng)，并且可以實現(xiàn)防病毒體系的統(tǒng)一、集中管理，實時掌握、了解當前網(wǎng)絡內計算機病毒事件，并實現(xiàn)對網(wǎng)絡內的所有計算機遠程反病毒策略設置和安全操作。5.對服務器的保護

在一個企業(yè)中對服務器的保護也是至關重要的。在這里我們選擇電子郵件為例來說明對服務器保護的重要性。

電子郵件是Internet上出現(xiàn)最早的應用之一。隨著網(wǎng)絡的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡上傳播。然而由于網(wǎng)絡的開放性和郵件協(xié)議自身的缺點，電子郵件存在著很大的安全隱患。

目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統(tǒng)保護的簡圖（透明方式）: 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

圖說明

圖五

郵件系統(tǒng)保護 6.關鍵網(wǎng)段保護

企業(yè)中有的網(wǎng)段上傳送的數(shù)據(jù)、信息是非常重要的，應此對外應是保密的。所以這些網(wǎng)段我們也應給予特別的防護。簡圖如下圖六所示。

圖說明

圖六

關鍵網(wǎng)段的防護 7.日志分析和統(tǒng)計報表能力

對網(wǎng)絡內的安全事件也應都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)還應自動生成各種形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。8.內部網(wǎng)絡行為的管理和監(jiān)控

除對外的防護外，對網(wǎng)絡內的上網(wǎng)行為也應該進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當文件的下載。企業(yè)內部用戶上網(wǎng)信息識別度應達到每一個URL請求和每一個URL請求的回應。通過對網(wǎng)絡內部網(wǎng)絡行為的監(jiān)控可以規(guī)范網(wǎng)絡內部的上網(wǎng)行為，提高工作效率，同時避免企業(yè)內部產(chǎn)生網(wǎng)絡安全隱患。因此對于桌面微機的管理和監(jiān)控是減少和消除內部威脅的有效手段。

桌面安全系統(tǒng)把電子簽章、文件加密應用和安全登錄以及相應的智能卡管理工具集成到一起，形成一個整體，是針對客戶端安全的整體解決方案。分別有以下幾種系統(tǒng)：

1)電子簽章系統(tǒng)

利用非對稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術，可以無縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對文檔進行簽章，或是打開文檔時驗證文檔的完整性和查看文檔的作者。

2)安全登錄系統(tǒng)

安全登錄系統(tǒng)提供了對系統(tǒng)和網(wǎng)絡登錄的身份認證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計算機和網(wǎng)絡。用戶如果需要離開計算機，只需拔出智能密碼鑰匙，即可鎖定計算機。

3)文件加密系統(tǒng)

文件加密應用系統(tǒng)保證了數(shù)據(jù)的安全存儲。由于密鑰保存在智能密碼鑰匙中，加密算法采用國際標準安全算法或國家密碼管理機構指定安全算法，從而保證了存儲數(shù)據(jù)的安全性。

則內網(wǎng)綜合保護簡圖如下圖七所示： 信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計

圖說明

圖七

內網(wǎng)綜合保護 9.移動用戶管理系統(tǒng)

對于企業(yè)內部的筆記本電腦在外工作，當要接入內部網(wǎng)也應進行安全控制，確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網(wǎng)。10.身份認證的解決方案

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USB Key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實施方式

由以上的分析及設計，可知網(wǎng)絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖說明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

（4）在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

七、總結

本設計以某公司為例，分析了網(wǎng)絡安全現(xiàn)狀，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡的安全管理。也希望通過本方案的信息安全課程設計

企業(yè)網(wǎng)絡安全方案的設計實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。

第三篇：企業(yè)網(wǎng)絡安全方案設計---

海南經(jīng)貿(mào)職業(yè)技術學院信息技術系

︽ 網(wǎng) 絡

安

案 全

例 ︾

設

計

報

告

題 目 企業(yè)網(wǎng)絡安全方案的設計

學 號 1***

班 級 11級網(wǎng)絡1 班

姓 名 XXX

指導老師 XXX

要解決的幾個關鍵問題

目錄

摘 要：.......................................................................................................2

一、引言....................................................................................................2

二、以某公司為例，綜合型企業(yè)網(wǎng)絡簡圖如下，分析現(xiàn)狀并分析需求：.....................................................................................................................3

三、設計原則............................................................................................4

四、企業(yè)網(wǎng)絡安全解決方案的思路........................................................5

（一）安全系統(tǒng)架構..........................................................................5

（二）安全防護體系..........................................................................5

（三）企業(yè)網(wǎng)絡安全結構圖..............................................................6

五、整體網(wǎng)絡安全方案............................................................................7

（一）網(wǎng)絡安全認證平臺..................................................................7

（二）VPN系統(tǒng)................................................................................7

（三）網(wǎng)絡防火墻..............................................................................8

（四）病毒防護系統(tǒng)..........................................................................8

（五）對服務器的保護......................................................................9

（六）日志分析和統(tǒng)計報表能力....................................................10

（七）內部網(wǎng)絡行為的管理和監(jiān)控..............................................11

（八）身份認證的解決方案............................................................12

六、方案的組織與實施方式..................................................................12

七、總結..................................................................................................13 教師評語：..............................................................................................14

要解決的幾個關鍵問題

設計企業(yè)網(wǎng)絡安全方案

摘 要：

隨著互聯(lián)網(wǎng)的不斷更新與發(fā)展，它給我們帶來了極大的利益和方便。但是，隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術的普及，使我們面臨另外提個困境：私人數(shù)據(jù)、重要的企業(yè)資源以及政府機密等信息被暴露在公共網(wǎng)絡空間之下，伴隨而來的網(wǎng)絡安全問題越來越引起人們的關注。計算機系統(tǒng)一旦遭受破壞，將給使用單位造成重大經(jīng)濟損失，并嚴重影響正常工作的順利開展。加強企業(yè)網(wǎng)絡安全工作，是一些企業(yè)建設工作的重要工作內容之一。

關鍵詞： 信息安全、企業(yè)網(wǎng)絡安全、安全防護

一、引言

隨著互聯(lián)網(wǎng)的空前發(fā)展以及互聯(lián)網(wǎng)技術的不斷普及，企業(yè)的重要數(shù)據(jù)信息都被暴露在公共網(wǎng)絡空間下，很容易丟失或者被一些不法人士獲取。由于黑客的攻擊、病毒的入侵、以及人為操作的不當?shù)龋加锌赡芡{到重要信息數(shù)據(jù)，這些危害也越來越受到人們的重視。因此，根據(jù)企業(yè)的實際情況建立一套切實可行的安全網(wǎng)絡方案來改善這個情況，如何使企業(yè)信息網(wǎng)絡系統(tǒng)免受黑客和病毒的入侵，使企業(yè)的數(shù)據(jù)機密信息得以保護，并且可以保證企業(yè)的網(wǎng)絡順暢的工作，有助于公司的長遠發(fā)展。

網(wǎng)絡安全技術是指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g手段，主要包括物理的安全分析技術，網(wǎng)絡結構安全分析技術，系統(tǒng)安全分析技術，管理安全分析技術，以及其他的安全服務和安全機制策略。

21世紀全世界的計算機都將通過Internet聯(lián)到一起，信息安全的內涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會,網(wǎng)絡社會的時候，我國將建立起一套完整的網(wǎng)絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡安全體系。

網(wǎng)絡安全產(chǎn)品有以下幾大特點：第一，網(wǎng)絡安全來源于安全策略與技術的多 2

要解決的幾個關鍵問題

樣化，如果采用一種統(tǒng)一的技術和策略也就不安全了；第二，網(wǎng)絡的安全機制與技術要不斷地變化；第三，隨著網(wǎng)絡在社會各方面的延伸，進入網(wǎng)絡的手段也越來越多，因此，網(wǎng)絡安全技術是一個十分復雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

信息安全是國家發(fā)展所面臨的一個重要問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分，甚至應該看到它對我國未來電子 化、信息化的發(fā)展將起到非常重要的作用。

二、以某公司為例，綜合型企業(yè)網(wǎng)絡簡圖如下，分析現(xiàn)狀并分析需求：

圖說明 圖一 企業(yè)網(wǎng)絡簡圖

要解決的幾個關鍵問題

（一）對該公司的信息安全系統(tǒng)無論在總體構成、信息安全產(chǎn)品的功能和性能上也都可能存在一定的缺陷，具體表現(xiàn)在：

（1）系統(tǒng)性不強，安全防護僅限于網(wǎng)絡安全，系統(tǒng)、應用和數(shù)據(jù)的安全存在較大的風險。

（2）原有的網(wǎng)絡安全產(chǎn)品在功能和性能上都不能適應新的形勢，存在一定的網(wǎng)絡安全隱患，產(chǎn)品亟待升級。

（3）經(jīng)營管理對計算機應用系統(tǒng)的依賴性增強，計算機應用系統(tǒng)對網(wǎng)絡的依賴性增強。計算機網(wǎng)絡規(guī)模不斷擴大，網(wǎng)絡結構日益復雜。計算機網(wǎng)絡和計算機應用系統(tǒng)的正常運行對網(wǎng)絡安全提出了更高的要求。

（4）計算機應用系統(tǒng)涉及越來越多的企業(yè)關鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強各計算機應用系統(tǒng)的用戶管理和身份的認證，加強對數(shù)據(jù)的備份，并運用技術手段，提高數(shù)據(jù)的機密性、完整性和可用性。

（二）由以上分析可知該公司信息系統(tǒng)存在較大的風險，信息安全的需求主要體現(xiàn)在如下幾點：

（1）某公司信息系統(tǒng)不僅需要安全可靠的計算機網(wǎng)絡，也需要做好系統(tǒng)、應用、數(shù)據(jù)各方面的安全防護。為此，要加強安全防護的整體布局，擴大安全防護的覆蓋面，增加新的安全防護手段。

（2）網(wǎng)絡規(guī)模的擴大和復雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計算機網(wǎng)絡安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進行升級或重新部署。（3）信息安全工作日益增強的重要性和復雜性對安全管理提出了更高的要求，為此要加快規(guī)章制度和技術規(guī)范的建設，使安全防范的各項工作都能夠有序、規(guī)范地進行。

（4）信息安全防范是一個動態(tài)循環(huán)的過程，如何利用專業(yè)公司的安全服務，做好事前、事中和事后的各項防范工作，應對不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。

三、設計原則

安全體系建設應按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標準、分步實施”的原則進行，避免重復投入、重復建設，充分考慮整體和局部的利益。具體如下： 1.技術先進性原則 2.系統(tǒng)性原則

要解決的幾個關鍵問題

3.管理可控性原則 4.技術與管理相結合原則 5.多重保護原則 6.系統(tǒng)可伸縮性原則 7.測評認證原則

四、企業(yè)網(wǎng)絡安全解決方案的思路

（一）安全系統(tǒng)架構

一個網(wǎng)絡系統(tǒng)的安全建設通常包括許多方面，包括物理安全、數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。根據(jù)企業(yè)各級內部網(wǎng)絡機構、廣域網(wǎng)結構、和三級網(wǎng)絡管理、應用業(yè)務系統(tǒng)的特點，安全方案必須架構在科學網(wǎng)絡安全系統(tǒng)架構之上，因為安全架構是安全方案設計和分析的基礎。

隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付來自應用層的攻擊了。舉個簡單的例子，那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻VPN安全體系所無法對付的。因此我們建議企業(yè)采用立體多層次的安全系統(tǒng)架構。這種多層次的安全體系不僅要求在網(wǎng)絡邊界設置防火墻VPN，還要設置針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內容完全阻擋在企業(yè)內部網(wǎng)之外。

（二）安全防護體系

信息安全防范應做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個動態(tài)的過程，事前、事中和事后的技術手段應當完備，安全管理應貫穿安全防范活動的始終。如圖二所示：

要解決的幾個關鍵問題

圖說明 圖二 網(wǎng)絡與信息安全防范體系模型

（三）企業(yè)網(wǎng)絡安全結構圖

通過以上分析可得總體安全結構應實現(xiàn)大致如圖三所示的功能:

圖說明 圖三

總體安全結構圖

要解決的幾個關鍵問題

五、整體網(wǎng)絡安全方案

（一）網(wǎng)絡安全認證平臺

證書認證系統(tǒng)無論是企業(yè)內部的信息網(wǎng)絡還是外部的網(wǎng)絡平臺，都必須建立在一個安全可信的網(wǎng)絡之上。目前，解決這些安全問題的最佳方案當數(shù)應用PKI/CA數(shù)字認證服務。PKI(Public Key Infrastructure，公鑰基礎設施)是利用公開密鑰理論和技術建立起來的提供在線身份認證的安全體系，它從技術上解決了網(wǎng)上身份認證、信息完整性和抗抵賴等安全問題，為網(wǎng)絡應用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認證服務。通過建設證書認證中心系統(tǒng)，建立一個完善的網(wǎng)絡安全認證平臺，能夠通過這個安全平臺實現(xiàn)以下目標：

1.身份認證(Authentication)：確認通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過數(shù)字證書來確認對方的身份。

2.數(shù)據(jù)的機密性(Confidentiality)：對敏感信息進行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來完成。

3.數(shù)據(jù)的完整性(Integrity)：確保通信信息不被破壞(截斷或篡改)，通過哈希函數(shù)和數(shù)字簽名來完成。

4.不可抵賴性(Non-Repudiation)：防止通信對方否認自己的行為，確保通信方對自己的行為承認和負責，通過數(shù)字簽名來完成，數(shù)字簽名可作為法律證據(jù)。

（二）VPN系統(tǒng)一個完全私有的網(wǎng)絡可以解決許多安全問題，因為很多惡意攻擊者根本無法進入網(wǎng)絡實施攻擊。但是，對于一個普通的地理覆蓋范圍廣的企業(yè)或公司，要搭建物理上私有的網(wǎng)絡，往往在財政預算上是不合理的。VPN技術就是為了解決這樣一種安全需求的技術。

VPN的英文全稱是“Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡”。顧名思義，虛擬專用網(wǎng)絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網(wǎng)之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。

要解決的幾個關鍵問題

集中的安全策略管理可以對整個VPN網(wǎng)絡的安全策略進行集中管理和配置。

（三）網(wǎng)絡防火墻

采用防火墻系統(tǒng)實現(xiàn)對內部網(wǎng)和廣域網(wǎng)進行隔離保護。其網(wǎng)絡結構一般如下：

圖說明 圖四 防火墻

安裝好專業(yè)切功能強勁的防火墻，來有效防御外來黑客病毒等方面的攻擊。在兩個網(wǎng)絡之間加強訪問控制的一整套裝置，是內部網(wǎng)絡與外部網(wǎng)絡之間的安全防范系統(tǒng)通常安裝在內部網(wǎng)絡與外部網(wǎng)絡的鏈接點上。所有來自internet（外部網(wǎng)）的傳輸信息或從內部網(wǎng)絡發(fā)出的信息都必須穿過防火墻。

入侵行為的發(fā)覺。它通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息，并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。行進入侵檢測的軟件與硬件的組合便是入侵監(jiān)測系統(tǒng)。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結果。一個合格的入侵檢測系統(tǒng)能大大簡化管理員的工作，保證網(wǎng)絡安全的運行。

（四）病毒防護系統(tǒng)

基于單位目前網(wǎng)絡的現(xiàn)狀，在網(wǎng)絡中添加一臺服務器，用于安裝IMSS。

要解決的幾個關鍵問題

1.郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或Web界面遠程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

2.服務器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點是內含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。

3.客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡版的客戶端防毒系統(tǒng)，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS，登錄域腳本，共享安裝以外，還支持純Web的部署方式。

4.集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內進行配置、監(jiān)視和維護趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務器的防病毒產(chǎn)品狀態(tài)。無論運行于何種平臺和位置，TVCS在整個網(wǎng)絡中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署，網(wǎng)絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。

（五）對服務器的保護

服務器的安全對企業(yè)來說是至關重要的，近幾年來，服務器遭遇“黑手”的風險越來越大，就最近服務器遭遇病毒、黑客攻擊的新聞不絕于耳。首先，這些惡意的攻擊行為，旨在消耗服務器資源，影響服務器的正常運作，甚至攻擊到服務器所在網(wǎng)絡癱瘓。還有一方面，就是入侵行為，這種大多與某些利益有關聯(lián)，有的涉及到企業(yè)的敏感信息，有的是同行相煎。

目前廣泛應用的電子郵件客戶端軟件如 OUTLOOK 支持S/MIME(Secure Multipurpose Internet Mail Extensions)，它是從 PEM(Privacy Enhanced Mail)和 MIME(Internet 郵件的附件標準)發(fā)展而來的。首先，它的認證機制依賴于層次 9

要解決的幾個關鍵問題

結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織(根證書)之間相互認證，整個信任關系基本是樹狀的。其次，S/MIME 將信件內容加密簽名后作為特殊的附件傳送。保證了信件內容的安全性。下圖五是郵件系統(tǒng)保護的簡圖（透明方式）:

圖說明

圖五

郵件系統(tǒng)保護

（六）日志分析和統(tǒng)計報表能力

所有的網(wǎng)站統(tǒng)計報告都是相同的么？日志分析與實時統(tǒng)計分析工具報告和追蹤網(wǎng)站的活動都有著很大的區(qū)別。因為他們收集不同的信息，所以提供的報告也許并不一致。實時統(tǒng)計工具的優(yōu)勢在于跟蹤訪問者行為和精確的頁面瀏覽量統(tǒng)計。

如果很清楚的理解這些工具是怎樣進行統(tǒng)計的，您將能更好的理解兩種報告的差異，并協(xié)調使用不同的數(shù)據(jù)，從而幫助您在營銷和市場活動中做出更有效的決定。

對網(wǎng)絡內的安全事件也應都作出詳細的日志記錄，這些日志記錄包括事件名稱、描述和相應的主機IP地址等相關信息。此外，報表系統(tǒng)還應自動生成各種 10

要解決的幾個關鍵問題

形式的攻擊統(tǒng)計報表，形式包括日報表，月報表，年報表等，通過來源分析，目標分析，類別分析等多種分析方式，以直觀、清晰的方式從總體上分析網(wǎng)絡上發(fā)生的各種事件，有助于管理人員提高網(wǎng)絡的安全管理。

（七）內部網(wǎng)絡行為的管理和監(jiān)控

內部網(wǎng)絡行為監(jiān)管審計系統(tǒng)是在網(wǎng)絡整體安全解決方案的基礎上，綜合了黨政機關內部網(wǎng)絡的安全需求，采取多層架構、分布式設計，可滿足黨政機關以及企事業(yè)單位對保障數(shù)據(jù)、信息的安全性及完整性的迫切要求。對內部網(wǎng)絡行為的管理監(jiān)控結果有效，審計結果取證完整、記錄可信。以下是幾種系統(tǒng)：

1.監(jiān)控中心控制臺

運行在Windows2000各種版本/Windows XP下，對系統(tǒng)安全策略進行統(tǒng)一管理與發(fā)布，對系統(tǒng)的安全設備及配置進行統(tǒng)一管理，對系統(tǒng)的日志進行審計、分析、報告，對安全事件進行應急響應和處理，可隨機抽查網(wǎng)絡內受控主機的屏幕信息并可記錄和回放。2.身份認證識別服務器

運行在Windows2000 Server版本下，采用一次一變的動態(tài)口令，有效的解決了一般靜態(tài)口令易截取、易竊聽、易猜測等安全隱患，用于內部網(wǎng)使用人員的身份管理和網(wǎng)絡安全管理員身份的認證控制。3.受控主機代理

運行在Windows2000各種版本/Windows XP下，根據(jù)監(jiān)控中心控制臺設置的策略規(guī)則（包括登錄策略、文件策略、一機兩用策略、屏幕監(jiān)控策略、輸入輸出策略等），實時進行信息采集，阻止違規(guī)操作，將違規(guī)操作報警到控制臺。4.郵件監(jiān)控器代理

運行在Windows2000各種版本下，安裝在郵件服務器中，根據(jù)監(jiān)控中心控制臺設置的郵件策略規(guī)則，根據(jù)時間段、計算機的IP地址、Email地址進行阻止、報警，將違規(guī)操作報警到控制臺。5.網(wǎng)絡感應器代理

運行在Windows2000各種版本/Windows XP下，采集網(wǎng)絡中的信息流量，根據(jù)控制臺的要求，將采集的網(wǎng)絡信息流量上傳到控制臺，進行審計統(tǒng)計。并可實時檢測出網(wǎng)絡內非法接入的其它設備。

要解決的幾個關鍵問題

則內網(wǎng)綜合保護簡圖如下圖七所示：

圖說明

圖七

內網(wǎng)綜合保護

（八）身份認證的解決方案

身份認證是指計算機及網(wǎng)絡系統(tǒng)確認操作者身份的過程?；赑KI的身份認證方式是近幾年發(fā)展起來的一種方便、安全的身份認證技術。它采用軟硬件相結合、一次一密的強雙因子認證模式，很好地解決了安全性與易用性之間的矛盾。USB Key是一種USB接口的硬件設備，它內置單片機或智能卡芯片，可以存儲用戶的密鑰或數(shù)字證書，利用USB Key內置的密碼算法實現(xiàn)對用戶身份的認證。

基于PKI的USB Key的解決方案不僅可以提供身份認證的功能，還可構建用戶集中管理與認證系統(tǒng)、應用安全組件、客戶端安全組件和證書管理系統(tǒng)通過一定的層次關系和邏輯聯(lián)系構成的綜合性安全技術體系，從而實現(xiàn)上述身份證、授權與訪問控制、安全審計、數(shù)據(jù)的機密性、完整性、抗抵賴性的總體要求。

六、方案的組織與實施方式

由以上的分析及設計，可知網(wǎng)絡與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過程中的防范和攻擊后的應對。具體的安全管理貫穿全 12

要解決的幾個關鍵問題

流程圖，如圖八所示。安全管理貫穿全流程圖不僅描述了安全防范的動態(tài)過程，也為本方案的實施提供了借鑒。

圖說明

圖八 安全管理貫穿全流程圖

因此在本方案的組織和實施中，除了工程的實施外，還應重視以下各項工作：

(1)在初步進行風險分析基礎上，方案實施方應進行進一步的風險評估，明確需求所在，務求有的放矢，確保技術方案的針對性和投資的回報。

(2)把應急響應和事故恢復作為技術方案的一部分，必要時可借助專業(yè)公司的安全服務，提高應對重大安全事件的能力。

(3)該方案投資大，覆蓋范圍廣，根據(jù)實際情況，可采取分地區(qū)、分階段實施的方式。

（4）在方案實施的同時，加強規(guī)章制度、技術規(guī)范的建設，使信息安全的日常工作進一步制度化、規(guī)范化。

七、總結

本課程設計以某公司為例，分析了網(wǎng)絡安全現(xiàn)狀，重點提出了管理技術和維護技術。隨著現(xiàn)在的發(fā)展，網(wǎng)絡的不安全因素很多，網(wǎng)絡管理和維護尤其重要，指出目前存在的風險，隨后提出了一整套完整的解決方案，涵蓋了各個方面，從

要解決的幾個關鍵問題

技術手段的改進，到規(guī)章制度的完善；從單機系統(tǒng)的安全加固，到整體網(wǎng)絡的安全管理。也希望通過本方案的實施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來自各方面的攻擊和威脅，把風險降到最低水平。

教師評語：

第四篇：校園網(wǎng)絡安全方案設計

汕尾職業(yè)技術學院-------數(shù)學與應用系

校園網(wǎng)絡安全方案設計

班級:123網(wǎng)絡技術2班

姓名:李仲富 學號：2012324208

設計題目: 校園網(wǎng)絡安全方案設計

設計時間:6月20號至6月30號

汕尾職業(yè)技術學院-------數(shù)學與應用系

一、校園網(wǎng)方案設計原則與需求

1.1設計原則：保證校園網(wǎng)的穩(wěn)定運行和利用。

1.2網(wǎng)絡建設需求：高度的穩(wěn)定性和高性能性，對網(wǎng)絡統(tǒng)一管理和高效處理。

二、校園網(wǎng)方案設計

2.1校園網(wǎng)現(xiàn)網(wǎng)拓撲圖

整個網(wǎng)絡采用二級的網(wǎng)絡架構：核心、接入。

核心采用一臺RG－S4909，負責整個校園網(wǎng)的數(shù)據(jù)轉發(fā)，同時為接入交換機S1926F+、內部服務器提供百兆接口。網(wǎng)絡出口采用RG-WALL1200防火墻。

2.2校園網(wǎng)設備更新方案

更換核心設備

汕尾職業(yè)技術學院-------數(shù)學與應用系

核心采用一臺銳捷網(wǎng)絡面向10萬兆平臺設計的多業(yè)務IPV6路由交換機RG-S8606，負責整個校園網(wǎng)的數(shù)據(jù)轉發(fā)。在C區(qū)增加一臺SAM服務器，部署SAM系統(tǒng)，同時A區(qū)和B區(qū)用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設備，下接三臺S2126G實現(xiàn)安全控制，其它二層交換機分別接入相應的S2126G。B區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。C區(qū)的網(wǎng)絡結構也做相應的調整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。

2.3 網(wǎng)絡安全系統(tǒng)的管理

1、確定計算機安全管理責任人和安全領導小組負責人 應當履行下列職責：

（一）組織宣傳計算機信息網(wǎng)絡安全管理方面的法律、法規(guī)和有關政策；

（二）擬定并組織實施本校計算機信息網(wǎng)絡安全管理的各項規(guī)章制度；

（三）定期組織檢查本校計算機信息網(wǎng)絡系統(tǒng)安全運行情況，及時排除各種安全隱患；

（四）負責組織本校學生的安全教育和培訓；

汕尾職業(yè)技術學院-------數(shù)學與應用系

2、配備１至２名計算機學生安全員（由技術負責人和技術操作人員組成），應當履行下列職責：

（一）執(zhí)行本單位計算機信息網(wǎng)絡安全管理的各項規(guī)章制度；

（二）按照計算機信息網(wǎng)絡安全技術規(guī)范要求對計算機信息系統(tǒng)安全運行情況進行檢查測試，及時排除各種安全隱患；

2.4網(wǎng)絡安全系統(tǒng)的風險評估

一般可能會遭受到外部的攻擊和入侵、內部的攻擊或誤用、企業(yè)內的病毒傳播，以及安全管理漏洞等方面。

2.5網(wǎng)絡安全設計

2.5.1校園網(wǎng)網(wǎng)絡安全需求分析

1.網(wǎng)絡安全的防范：

病毒產(chǎn)生的原因：校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。

病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網(wǎng)資源卻不能使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關地址沖突，同一網(wǎng)段內的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常

汕尾職業(yè)技術學院-------數(shù)學與應用系

彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對校園網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。

3、安全事故發(fā)生時候，需要準確定位到用戶 安全事故發(fā)生時候，需要準確定位到用戶原因：

資料：國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關部門審計。

校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的比如法輪功的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我們無法處理，學?；蛘哒f網(wǎng)絡中心只有替學生背這個黑鍋。

4、安全事故發(fā)生時候，不能準確定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。

5、用戶上網(wǎng)時間的控制

無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。像網(wǎng)吧一樣無人監(jiān)管，通宵、影響明天的課程。精力。

6、用戶網(wǎng)絡權限的控制

在校園網(wǎng)中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。辦公網(wǎng)絡的用戶因該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權限進行嚴格的控制。例如：學院的重要的部門。學生選課。資料檔案。

7、各種網(wǎng)絡攻擊的有效屏蔽

校園網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行低了校園網(wǎng)的效率。計算機專業(yè)的學生搞惡作劇，做實驗

2.6.2某校園網(wǎng)網(wǎng)絡安全方案設計思想和實施

汕尾職業(yè)技術學院-------數(shù)學與應用系

2.6.2.1安全到邊緣的設計思想

用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無疑是達到更好的效果。2.6.2.2全局安全的設計思想

銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全，安全不是某一個設備的事情，應該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡，最終從全局的角度把控網(wǎng)絡安全。2.6.2.3全程安全的設計思想

用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問網(wǎng)絡的時候、訪問網(wǎng)絡后。對著每一個階段，都應該有嚴格的安全控制措施。2.6.3校園網(wǎng)網(wǎng)絡安全方案

銳捷網(wǎng)絡結合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現(xiàn)網(wǎng)絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。2.6.3.1事前的身份認證

對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果：

每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。

只有經(jīng)過網(wǎng)絡中心授權的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。2.6.3.2網(wǎng)絡攻擊的防范

1、常見網(wǎng)絡病毒的防范

對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的ACL，能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。

2、未知網(wǎng)絡病毒的防范

汕尾職業(yè)技術學院-------數(shù)學與應用系

對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。

3、防止IP地址盜用和ARP攻擊

通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊

通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。

6、對DOS攻擊，掃描攻擊的屏蔽

通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。2.7 業(yè)務連續(xù)策略

可分為4種類型：人力不可抗拒事件、高傳染性疾病、物理訪問、it邏輯訪問 2.8 業(yè)務持續(xù)計劃進行測試、保持和重新評估（1）測試即使：1桌面測試 2模擬

汕尾職業(yè)技術學院-------數(shù)學與應用系

3技術恢復測試

4供應商設備和服務測試 5排練

（2）保持與重新評估：考慮各方面的更新1人員 2地址或電話號碼 3過程 4風險

第五篇：校園網(wǎng)絡安全方案設計

校園網(wǎng)絡安全方案設計案例2案例）

班 級： 學 號： 設計人：李**

（校園

第一章、校園網(wǎng)方案設計原則與需求

1.1設計原則

1.充分滿足現(xiàn)在以及未來3-5年內的網(wǎng)絡需求，既要保證校園網(wǎng)能很好的為學校服務，又要保護學校的投資。

2.強大的安全管理措施，四分建設、六分管理，管理維護的好壞是校園網(wǎng)正常運行的關鍵

3.在滿足學校的需求的前提下，建出自己的特色 1.2網(wǎng)絡建設需求

網(wǎng)絡的穩(wěn)定性要求

整個網(wǎng)絡需要具有高度的穩(wěn)定性，能夠滿足不同用戶對網(wǎng)絡訪問的不同要求 網(wǎng)絡高性能需求

整個網(wǎng)絡系統(tǒng)需要具有很高的性能，能夠滿足各種流媒體的無障礙傳輸，保證校園網(wǎng)各種應用的暢通無阻

認證計費效率高，對用戶的認證和計費不會對網(wǎng)絡性能造成瓶頸 網(wǎng)絡安全需求

防止IP地址沖突

非法站點訪問過濾

非法言論的準確追蹤

惡意攻擊的實時處理

記錄訪問日志提供完整審計 網(wǎng)絡管理需求

需要方便的進行用戶管理，包括開戶、銷戶、資料修改和查詢

需要能夠對網(wǎng)絡設備進行集中的統(tǒng)一管理

需要對網(wǎng)絡故障進行快速高效的處理

第二章、校園網(wǎng)方案設計

2.1校園網(wǎng)現(xiàn)網(wǎng)拓撲圖

整個網(wǎng)絡采用二級的網(wǎng)絡架構：核心、接入。

核心采用一臺RG－S4909，負責整個校園網(wǎng)的數(shù)據(jù)轉發(fā)，同時為接入交換機S1926F+、內部服務器提供百兆接口。網(wǎng)絡出口采用RG-WALL1200防火墻。原有網(wǎng)絡設備功能較少，無法進行安全防護，已經(jīng)不能滿足應用的需求。

2.2校園網(wǎng)設備更新方案

方案一：不更換核心設備

核心仍然采用銳捷網(wǎng)絡S4909交換機，在中校區(qū)增加一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+,其中匯聚交換機各采用一臺新增的S2126G，剩余的兩臺S2126G用于加強對關鍵機器的保護，中校區(qū)的網(wǎng)絡結構也做相應的調整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。

方案二：更換核心設備

核心采用一臺銳捷網(wǎng)絡面向10萬兆平臺設計的多業(yè)務IPV6路由交換機RG-S8606，負責整個校園網(wǎng)的數(shù)據(jù)轉發(fā)。在中校區(qū)增加一臺SAM服務器，部署SAM系統(tǒng)，同時東校區(qū)和西校區(qū)各用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區(qū)做為匯聚設備，下接三臺S2126G實現(xiàn)安全控制，其它二層交換機分別接入相應的S2126G。西校區(qū)匯聚采用一臺S2126G，剩余兩臺S2126G用于保護重點機器，其它交換機接入對應的S2126G。中校區(qū)的網(wǎng)絡結構也做相應的調整，采用現(xiàn)有的兩臺S2126G做為匯聚設備，其它交換機分別接入這兩臺交換機，從而實現(xiàn)所有匯聚層交換機都能進行安全控制，重點區(qū)域在接入層進行安全控制的網(wǎng)絡布局。2.3骨干網(wǎng)絡設計

骨干網(wǎng)絡由RG-S8606構成，核心交換機RG-S8606主要具有5特性：

1、骨干網(wǎng)帶寬設計：千兆骨干，可平滑升級到萬兆

整個骨干網(wǎng)采用千兆雙規(guī)線路的設計，二條線路通過VRRP冗余路由協(xié)議和OSPF動態(tài)路由協(xié)議實現(xiàn)負載分擔和冗余備份，以后，隨著網(wǎng)絡流量的增加，可以將鏈路升級到萬兆。

2、骨干設備的安全設計：CSS安全體系架構

3、CSS之硬件CPP CPP即CPU Protect Policy，RG-S8606采用硬件來實現(xiàn)，CPP提供管理模塊和線卡CPU的保護功能，對發(fā)往CPU的數(shù)據(jù)流進行帶寬限制（總帶寬、QOS隊列帶寬、類型報文帶寬），這樣，對于ARP攻擊的數(shù)據(jù)流、針對CPU的網(wǎng)絡攻擊和病毒數(shù)據(jù)流，RG-S8606分配給其的帶寬非常的有限，不會影響其正常工作。

由于銳捷10萬兆產(chǎn)品RG-S8606采用硬件的方式實現(xiàn)，不影響整機的運行效率

4、CSS之SPOH技術

現(xiàn)在的網(wǎng)絡需要更安全、需要為不同的業(yè)務提供不同的處理優(yōu)先級，這樣，大量的ACL和QOS需要部署，需要核心交換機來處理，而這些應用屬于對交換機硬件資源消耗非常大的，核心交換機RG-S8606通過在交換機的每一個用戶端口上增加一個FFP(快速過濾處理器)，專門用來處理ACL和QOS，相當于把交換機的每一個端口都變成了一臺獨立的交換機，可以保證在非常復雜的網(wǎng)絡環(huán)境中核心交

換機的高性能。

2.4網(wǎng)絡安全設計

2.4.1某校園網(wǎng)網(wǎng)絡安全需求分析

1、網(wǎng)絡病毒的防范

病毒產(chǎn)生的原因：某校園網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的PC機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問INTERNET的時候，通過局域網(wǎng)共享文件的時候，通過U盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向校園網(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。

病毒對校園網(wǎng)的影響：校園網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公平臺不能使用；資源庫、VOD不能點播；INTERNET上不了，學生、老師面臨著看著豐富的校園網(wǎng)資源卻不能

使用的尷尬境地。

2、防止IP、MAC地址的盜用

IP、MAC地址的盜用的原因：某校園網(wǎng)采用靜態(tài)IP地址方案，如果缺乏有效的IP、MAC地址管理手段，用戶可以隨意的更改IP地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址，會引起多方?jīng)_突，如果與網(wǎng)關地址沖突，同一網(wǎng)段內的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的IP、MAC的對應關系，用戶的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成ARP欺騙攻擊。

IP、MAC地址的盜用對校園網(wǎng)的影響：在用戶看來，校園網(wǎng)絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的IP、MAC沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對校園網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱，投入幾百萬的校園網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程度上的資源浪費。

3、安全事故發(fā)生時候，需要準確定位到用戶 安全事故發(fā)生時候，需要準確定位到用戶原因：

國家的要求：2002年，朱镕基簽署了282號令，要求各大INTERNET運營機構（包括高校）必須要保存60天的用戶上網(wǎng)記錄，以待相關部門審計。

校園網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成“黑客”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)布了大量涉及政治的比如法輪功的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我們無法處理，學?；蛘哒f網(wǎng)絡中心只有替學生背這個黑鍋。

4、安全事故發(fā)生時候，不能準確定位到用戶的影響：

一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。

5、用戶上網(wǎng)時間的控制

無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會曠課。學生家長會對學校產(chǎn)生強烈的不滿，會認為學校及其的不負責任，不是在教書育人。這對學校的聲譽以及學校的長期發(fā)展是及其不利的。

6、用戶網(wǎng)絡權限的控制

在校園網(wǎng)中，不同用戶的訪問權限應該是不一樣的，比如學生應該只能夠訪問資源服務器，上網(wǎng)，不能訪問辦公網(wǎng)絡、財務網(wǎng)絡。辦公網(wǎng)絡的用戶因該不能訪問財務網(wǎng)絡。因此，需要對用戶網(wǎng)絡權限進行嚴格的控制。

7、各種網(wǎng)絡攻擊的有效屏蔽

校園網(wǎng)中常見的網(wǎng)絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發(fā)送大量的廣播報文，這些攻擊的存在，會擾亂網(wǎng)絡的正常運行

低了校園網(wǎng)的效率。

2.4.2某校園網(wǎng)網(wǎng)絡安全方案設計思想 2.4.2.1安全到邊緣的設計思想

用戶在訪問網(wǎng)絡的過程中，首先要經(jīng)過的就是交換機，如果我們能在用戶試圖進入網(wǎng)絡的時候，也就是在接入層交換機上部署網(wǎng)絡安全無疑是達到更好的效果。2.4.2.2全局安全的設計思想

銳捷網(wǎng)絡提倡的是從全局的角度來把控網(wǎng)絡安全，安全不是某一個設備的事情，應該讓網(wǎng)絡中的所有設備都發(fā)揮其安全功能，互相協(xié)作，形成一個全民皆兵的網(wǎng)絡，最終從全局的角度把控網(wǎng)絡安全。2.4.2.3全程安全的設計思想

用戶的網(wǎng)絡訪問行為可以分為三個階段，包括訪問網(wǎng)絡前、訪問網(wǎng)絡的時候、訪問網(wǎng)絡后。對著每一個階段，都應該有嚴格的安全控制措施。2.4.3某校園網(wǎng)網(wǎng)絡安全方案

銳捷網(wǎng)絡結合SAM系統(tǒng)和交換機嵌入式安全防護機制設計的特點，從三個方面實現(xiàn)網(wǎng)絡安全：事前的準確身份認證、事中的實時處理、事后的完整審計。

2.4.3.1事前的身份認證

對于每一個需要訪問網(wǎng)絡的用戶，我們需要對其身份進行驗證，身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統(tǒng)定義的允許訪問網(wǎng)絡的時間，通過以上信息的綁定，可以達到如下的效果：

每一個用戶的身份在整個校園網(wǎng)中是唯一，避免了個人信息被盜用.當安全事故發(fā)生的時候，只要能夠發(fā)現(xiàn)肇事者的一項信息比如IP地址，就可以準確定位到該用戶，便于事情的處理。

只有經(jīng)過網(wǎng)絡中心授權的用戶才能夠訪問校園網(wǎng)，防止非法用戶的非法接入，這也切斷了惡意用戶企圖向校園網(wǎng)中傳播網(wǎng)絡病毒、黑客程序的通道。2.4.3.2網(wǎng)絡攻擊的防范

1、常見網(wǎng)絡病毒的防范

對于常見的比如沖擊波、振蕩波等對網(wǎng)絡危害特別嚴重的網(wǎng)絡病毒，通過部署擴展的ACL，能夠對這些病毒所使用的TCP、UDP的端口進行防范，一旦某個用戶不小心感染上了這種類型的病毒，不會影響到網(wǎng)絡中的其他用戶，保證了校園網(wǎng)網(wǎng)絡帶寬的合理使用。

2、未知網(wǎng)絡病毒的防范

對于未知的網(wǎng)絡病毒，通過在網(wǎng)絡中部署基于數(shù)據(jù)流類型的帶寬控制功能，為不同的網(wǎng)絡應用分配不同的網(wǎng)絡帶寬，保證了關鍵應用比如WEB、課件資源庫、郵件數(shù)據(jù)流有足夠可用的帶寬，當新的病毒產(chǎn)生時，不會影響到主要網(wǎng)絡應用的運行，從而保證了網(wǎng)絡的高可用性。

3、防止IP地址盜用和ARP攻擊

通過對每一個ARP報文進行深度的檢測，即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致，如果不一致，視為更改了IP地址，所有的數(shù)據(jù)包都不能進入網(wǎng)絡，這樣可有效防止安全端口上的ARP欺騙，防止非法信息點冒充網(wǎng)絡關鍵設備的IP（如服務器），造成網(wǎng)絡通訊混亂。

4、防止假冒IP、MAC發(fā)起的MAC FloodSYN Flood攻擊

通過部署IP、MAC、端口綁定和IP+MAC綁定（只需簡單的一個命令就可以實現(xiàn)）。并實現(xiàn)端口反查功能，追查源IP、MAC訪問，追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網(wǎng)絡的攻擊，進一步增強網(wǎng)絡的安全性。

5、非法組播源的屏蔽

銳捷產(chǎn)品均支持IMGP源端口檢查，實現(xiàn)全網(wǎng)杜絕非法組播源，指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉發(fā)到已注冊的端口。當IGMP源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換機把它們轉發(fā)向已注冊的端口；而從非路由連接口進入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡的安全性和全網(wǎng)的性能，同時可以有效杜絕以組播方式的傳播病毒.在校園網(wǎng)流媒體應用多元化和潮流下具有明顯的優(yōu)勢，而且也是網(wǎng)絡帶寬合理的分配所必須的。同時IGMP源端口檢查，具有效率更高、配置更簡單、更加實用的特點，更加適用于校園運營網(wǎng)絡大規(guī)模的應用環(huán)境。

6、對DOS攻擊，掃描攻擊的屏蔽

通過在校園網(wǎng)中部署防止DOS攻擊，掃描攻擊，能夠有效的避免這二種攻擊行為，節(jié)省了網(wǎng)絡帶寬，避免了網(wǎng)絡設備、服務器遭受到此類攻擊時導致的網(wǎng)絡中斷。2.4.3.3事后的完整審計

當用戶訪問完網(wǎng)絡后，會保存有完備的用戶上網(wǎng)日志紀錄，包括某個用戶名，使用那個IP地址，MAC地址是多少，通過那一臺交換機的哪一個端口，什么時候開始訪問網(wǎng)絡，什么時候結束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過查詢該日志，來唯一的確定該用戶的身份，便于了事情的處理。2.5網(wǎng)絡管理設計

網(wǎng)絡管理包括設備管理、用戶管理、網(wǎng)絡故障管理 2.5.1網(wǎng)絡用戶管理

網(wǎng)絡用戶管理見網(wǎng)絡運營設計開戶部分 2.5.2網(wǎng)絡設備管理

網(wǎng)絡設備的管理通過STARVIEW實現(xiàn)，主要提供以下功能，這些功能也是我們常見的解決問題的思路：

1、網(wǎng)絡現(xiàn)狀及故障的自動發(fā)現(xiàn)和了解

STARVIEW能自動發(fā)現(xiàn)網(wǎng)絡拓撲結構，讓網(wǎng)絡管理員對整個校園網(wǎng)了如指掌，對于用戶私自掛接的HUB、交換機等設備能及時地發(fā)現(xiàn)，提前消除各種安全隱患。對于網(wǎng)絡中的異常故障，比如某臺交換機的CPU利用率過高，某條鏈路上的流量負載過大，STARVIEW都可以以不同的顏色進行顯示，方便管理員及時地發(fā)現(xiàn)網(wǎng)絡中的異常情況。

2、網(wǎng)絡流量的查看

STARVIEW在網(wǎng)絡初步異常的情況下，能進一步的察看網(wǎng)絡中的詳細流量，從而為網(wǎng)絡故障的定位提供了豐富的數(shù)據(jù)支持。

3、網(wǎng)絡故障的信息自動報告

STARVIEW支持故障信息的自動告警，當網(wǎng)絡設備出現(xiàn)故障時，會通過TRAP的方式進行告警，網(wǎng)絡管理員的界面上能看到各種故障信息，這些信息同樣為管理員 的故障排除提供了豐富的信息。

4、設備面板管理

STARVIEW的設備面板管理能夠很清楚的看到校園中設備的面板，包括端口數(shù)量、狀態(tài)等等，同時可以很方便的登陸到設備上，進行配置的修改，完善以及各種信

息的察看。

5、RGNOS操作系統(tǒng)的批量升級

校園網(wǎng)很大的一個特點就是規(guī)模大，需要使用大量的接入層交換機，如果需要對這些交換機進行升級，一臺一臺的操作，會給管理員的工作帶來很大的壓力，STARVIEW提供的操作系統(tǒng)的批量升級功能，能夠很方便的一次對所有的相同型號的交換機進行升級，加大的較少了網(wǎng)絡管理員的工作量。

2.5.3網(wǎng)絡故障管理

隨著校園網(wǎng)用戶數(shù)的增多，尤其是宿舍網(wǎng)運營的開始，用戶網(wǎng)絡故障的排除會成為校園網(wǎng)管理工作的重點和難點，傳統(tǒng)的網(wǎng)絡故障解決方式主要是這樣一個流程：

2.6流量管理系統(tǒng)設計

網(wǎng)絡中的流量情況是網(wǎng)絡是否正常的關鍵，網(wǎng)絡中大量的P2P軟件的使用，已經(jīng)對各種網(wǎng)絡業(yè)務的正常開展產(chǎn)生了非常嚴重的影響，有的學校甚至因為P2P軟件的泛濫，直接導致了網(wǎng)絡出口的癱瘓。2.6.1方案一：傳統(tǒng)的流量管理方案

傳統(tǒng)的流量管理方案的做法很多就是簡單的封堵這些P2P軟件，從而達到控制流量的目的，這有三大弊端，第一：這些軟件之所以有如此強大的生命力，是因為用戶通過使用這些軟件的確能快速的獲取各種有用的資源，如果簡單的通過禁止的方式，用戶的意見會非常的大，同時，各種有用的資源我們很難獲取。

第二：各種新型的，對網(wǎng)絡帶寬消耗更大的應用軟件也在不斷的出現(xiàn)。所謂道高一尺，魔高一丈，一味的封堵這些軟件，我們永遠處于被動的局面，顯然不能從根本上解決這個問題。

第三：我們無法獲取網(wǎng)絡中的流量信息，無法為校園網(wǎng)的優(yōu)化，網(wǎng)絡管理，網(wǎng)絡故障預防和排除提供數(shù)據(jù)支撐。2.6.2方案二：銳捷的流量管理與控制方案

銳捷網(wǎng)絡的流量管理主要通過RG-NTD+日志處理軟件+RG-SAM系統(tǒng)來實現(xiàn)。NTD是銳捷流量管理解決方案的重要組成部分，我們希望能為用戶提供一種流量控制和管理的方法而不單純是流量計費，銳捷的流量管理方案有三大功能：

第一：為SAM系統(tǒng)對用戶進行流量計費提供原始數(shù)據(jù)，這是我們已經(jīng)實現(xiàn)了的功能。該功能能滿足不同消費層次的用戶對帶寬的需求，經(jīng)濟條件好一點，可以多用點流量，提高了用戶的滿意度。而且，對于以后新出現(xiàn)的功能更加強大的下載軟件，都不必擔心用戶任意使用造成帶寬擁塞。

第二：提供日志審計和帶寬管理功能，通過NTD、SAM、日志系統(tǒng)的結合，能夠做到基于用戶身份對用戶進行管理，做到將用戶名、源IP、目的IP直接關聯(lián)，通過目的IP，可以直接定位到用戶名，安全事件處理起來非常的方便，同時還能提供P2P的限速，帶寬管理等功能，這一部分的功能我們會在明年4月份提供。第三：能夠對網(wǎng)絡中的各種流量了如指掌，可以對用戶經(jīng)常訪問的資源進行分析對比，為應用系統(tǒng)的建設、服務器的升級改造提供數(shù)據(jù)支持；能夠及時的發(fā)現(xiàn)網(wǎng)絡中的病毒、惡意流量，從而進行有效的防范，結合認證計費系統(tǒng)SAM，能夠捕捉到事件源頭，并于做出處理。

總體來說，流量控制和管理和日志系統(tǒng)的整體解決方案對于校園網(wǎng)的長期健康可持續(xù)發(fā)展是很有幫助的。