第一篇：朱舜堅 校園網安全論文

湖南第一師范學院 畢業(yè)論文(設計)題目 學生姓名學號 指導教師系（部）專業(yè)班級完成時間

校園網安全 朱舜堅 03090130846 余麗群 信息科學與工程系 08通信一班 2011年4月5日



目錄

第1章 緒論..........................................................................................................3 第2章

校園網安全............................................................................................4

2.1 校園網概述............................................................................................4 2.2 校園網安全現狀分析............................................................................5 2.3 校園網安全威脅....................................................................................6 第3章

校園網安全措施....................................................................................9

3.1 校園網安全管理......................................................................................9 3.2 校園網安全措施..................................................................................10 第4章

校園網安全系統(tǒng)設計..........................................................................10 4.1 校園網建設需求分析..........................................................................10 4.2 技術方案..............................................................................................13 4.3 校園網的運行......................................................................................26 4.4 校園網網絡數據庫的不安全因素......................................................28 結束語..................................................................................................................28 參考文獻..............................................................................................................28

校園網安全

摘要：校園網的安全十分重要，它承載著學校的教務、行政、后勤、圖書資料、對外聯絡方面的事務處理。網絡安全是任何計算機網絡建設必須解決的重要問題，校園網建設應把網絡管理與安全放在突出地位，對網上信息提供多層次的、基于策略的安全保護措施。

關鍵字：安全產品；INTERNET接入方式；校園網威脅；

第1章 緒論

隨著網絡的高速發(fā)展，網絡的安全問題日益突出，近年來，黑客攻擊、網絡病毒等屢屢曝光，國家相關部門也一再三令五申要求切實做好網絡安全建設和管理工作。但是在高校網絡建設的過程中，由于對技術的偏好和運營意識的不足，普遍都存在“重技術、輕安全、輕管理”的傾向，隨著網絡規(guī)模的急劇膨脹，網絡用戶的快速增長，關鍵性應用的普及和深入，校園網從早先教育、科研的試驗網的角色已經轉變成教育、科研和服務并重的帶有運營性質的網絡，校園網在學校的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題。

隨著教育信息化的不斷推進，各高等院校都相繼建成了自己的校園網絡并連入互聯網，校園網在學校的信息化建設中扮演了至關重要的角色。但必須看到，隨著校園網絡規(guī)模的急劇膨脹，網絡用戶的快速增長，尤其是校園網絡所面對的使用群體的特殊性（擁有一定的網絡知識、具備強烈的好奇心和求知欲、法律紀律意識卻相對淡漠），如何保證校園網絡能正常的運行不受各種網絡黑客的侵害就成為各個高校不可回避的一個緊迫問題，解決網絡安全問題刻不容緩。

第2章 校園網安全

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安

共28頁第1頁

全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡的生命在于其安全性。因此，在現有的技術條件下，如何構建相對可靠的校園網絡安全體系，就成了校園網絡管理人員的一個重要課題。

網絡的發(fā)展極大地改變了人們的生活和工作方式，Internet更是給人們帶來了無盡的便捷。我們的教育也正朝著信息化、網絡化發(fā)展，隨著“校校通”工程的深入開展，許多學校都投資建設了校園網絡并投入使用。校園網絡在我們的校園管理、日常教學等方面正扮演著越來越重要的角色。但是，在我們驚嘆于網絡的強大功能時，還應當清醒地看到，網絡世界并不是一方凈土。“網絡天空（Worm Netsky）”、“高波（Worm Agobot）”、“愛情后門（Worm Lovgate）”及“震蕩波（Worm Sasser）”等病毒，使人們更加深刻的認識到了網絡安全的重要性。因此，在現有的技術條件下，如何構建相對可靠的校園網絡安全體系，就成了校園網絡管理人員的一個重要課題。

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網絡服務不中斷。2.1 校園網概述

信息技術已引起了全面而深刻的社會變革，為此，世界各國政府都對教育的發(fā)展給予了前所未有的關注，把信息化教育放到重要的位置上，紛紛提出了本國的信息化教育規(guī)劃。是否在學校采用最先進的信息和傳播技術是一個有決定性意義的問題，而且十分重要的是，學校應該處于影響整個社會深刻變革的中心地位。因此校園網信息系統(tǒng)的建設，是非常必要的，也是可行的。主要表現在：

1、當前校園網信息系統(tǒng)已經發(fā)展到了與校際互聯、國際互聯、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，發(fā)展對學校教育現代化的建設提出了越來越高的要求。

2、教育信息量的不斷增多，使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息服務的要求越來越強烈。

3、我國各級教育研究部門、軟件開發(fā)單位、教學設備供應商和各級學校不斷開發(fā)提供了各種在網絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用

共28頁第2頁

化，迫切需要網絡環(huán)境。

4、現代教育改革的需要。

5、計算機技術的飛速發(fā)展，使相應產品價格不斷下降；同時人們的認識水平和經濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教育信息管理和信息服務是完全可行的。2.2 校園網安全現狀分析

隨著網絡技術的發(fā)展，可以說現在的大部分學校都建立了校園網絡并投入使用，這對加快信息處理、提高工作效率、實現資源共享都起到了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實現資源共享的同時，網絡的安全問題越來越成為一個非常嚴重的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現代化的進程中，如果這一個隱患不除，那么也許有一天，學校信息平臺服務器遭到攻擊而停止工作、整個校園網絡被迫停止、學校積累的各種數據和信息被刪除了，導致辛苦積累的大量教育資源被破壞。比如2003年暴發(fā)的“震蕩波”、“沖擊波”、“FORMA”等病毒，雖沒有造成很大的損失，但足以使人民認識到網絡安全的重要性。因此，如何在現有的條件下避免這樣事件發(fā)生，搞好網絡的安全工作已成了一個重要課題。

1997年開始，我國校園網絡建設悄然興起。全國各省市都把建設校園網作為現代教育的頭等大事來抓。

1999年9月，教育部決定正式啟動國家現代遠程教育工程，清華大學、浙江大學、北京郵電大學、湖南大學等高校獲準進行試點。目前，這幾所院校已初步形成了開辦現代遠程教育的技術手段。

各校在實踐中逐漸意識到：一所學校教育質量的好壞，學術水平層次的高低，與教學手段的先進程度有一定關系，教學手段對學校整體的發(fā)展有著直接影響。

在世界各發(fā)達國家，校園網的建設速度似乎不亞于其他如政府網的興建速度?，F代教育的實施程度也與校園網絡建設直接相關聯。如美國要求所有中小學生都能上網，都能使用電子郵件，并計劃將全國122所一流大學與社會廣泛連接，構筑一個教育與研究的專用網絡；英國提出要在2000年成立網上工業(yè)大學，到2002年所有中小學、圖書館、學院和大學全部介入全國的學習網；新加坡提出八歲兒童能閱讀，十二歲兒童能上網。

共28頁第3頁

1996年，教育部提出要以全國1000所中小學校作為試點，建立起各自的校園網絡。截止2000年年初，教育部宣布有500多家已建立。可以說，在國家政策扶持下，我國校園網建設取得了飛速發(fā)展。但現實中，各地在建立學校校園網的過程中又存在這樣那樣的問題，如有的學校建網初期就缺乏整體規(guī)劃，從而導致主干網和各子網通路不暢，或是導致后期整體效率不高；有的學校缺乏必要的網絡建設監(jiān)督人員，將項目交給一些實力較弱或是責任心較差的公司全權負責，結果導致建網質量偏低，后期維護費用偏大；還有的學校認為校園網就是“一攬子”計劃，忽視了后期維護和配套建設工作，從而導致后期預算偏緊，校園網難以正常運作。為了解決上述問題，在建網時應注意：

1、校園網建設沒有通用方案，每個學校應根據自身實際情況（資金和技術能力），設計自身的校園網絡。

2、校園網建設是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能“一蹴而就”，更不能只考慮局部建設，而缺乏整體規(guī)劃。

3、重視對教師的培訓，避免因教師素質原因導致網絡應用效率不高，從而導致資源的浪費。

隨著計算機網絡的廣泛使用和網絡之間信息傳輸量的急劇增長，一些機構和部門在得益于網絡加快業(yè)務運作的同時，其上網的數據也遭到了不同程度的破壞，或被刪除或被復制，數據的安全性和自身的利益受到了嚴重的威脅。

校園網也同樣不能幸免。黑客入侵校園網的新聞也時有發(fā)生，非法更改考試成績；更改英語全國四、六級統(tǒng)考成績；更改考研成績；非法盜取學校招生、分配機密等。

綜上所述，網絡必須有足夠強的安全措施。無論是公眾網還是校園網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。2.3 校園網安全威脅

1、計算機病毒

計算機病毒是一組通過復制自身來感染其它軟件的程序。當程序運行時，嵌入的病毒也隨之運行并感染其它程序。計算機病毒種類繁多，形形色色，但就已經發(fā)現的計算機病毒而言，其危害性主要表現為破壞性、傳染性、寄生性、潛伏

共28頁第4頁

性和激發(fā)性幾大特征。

破壞性是指計算機病毒可能會干擾軟件的運行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運行，又或者毀掉部分數據或程序，使之無法恢復，甚至可以毀壞整個系統(tǒng)，導致系統(tǒng)崩潰。傳染性則是計算機病毒能通過自我復制傳染到內存、硬盤甚至文件中。寄生性表現為病毒程序一般不獨立存在．而是寄生在磁盤系統(tǒng)區(qū)或文件中。潛伏性則是指計算機病毒可以長時間地潛伏在文件中，在相應的觸發(fā)機制出現前并不影響計算機，但當被觸發(fā)后，則后果嚴重。激發(fā)性是指病毒程序可以按照沒計者的要求，例如指定的日期、時間或特定的條件出現在某個點激活并發(fā)起攻擊。

計算機病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認識其傳播途徑和傳播機理。計算機病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。這時候的病毒傳播還是線下傳播。隨著計算機網絡的發(fā)展，計算機病毒傳播主要是通過磁盤拷貝、互聯網上的文件傳輸、硬件設備中的固化病毒程序等方式實現。

病毒還可以利用網絡的薄弱環(huán)節(jié)攻擊計算機網絡。在現有的各計算機系統(tǒng)中都存在著一定的缺陷，尤其是網絡系統(tǒng)軟件方面存在著漏洞。因此，網絡病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。

2、網絡攻擊校園網面臨的另一個安全威脅就是網絡攻擊。

廣義的網絡攻擊包括很多方面。這里結合校園網絡安全的特點，重點介紹拒絕服務(DoS，Daniel of Service)攻擊。之所以介紹拒絕服務攻擊，因為拒絕服務攻擊在校園網發(fā)牛的更為普遍。這是因為校園網用戶集中度高、密度大，為拒絕服務攻擊提供了天然條件。加之學生的好奇心的因素，導致拒絕服務攻擊發(fā)生頻率較高，是危害校園網安全的重要類型之一。

拒絕服務攻擊是通過攻擊主機、服務器、路由器等網絡設備，導致被攻擊網絡無法提供服務的一種攻擊方式。典型的拒絕服務攻擊表現為攻擊者向被攻擊網絡大陸發(fā)送數據從而消耗其資源、使得用戶無法訪問所需信息。

拒絕服務攻擊的方法多樣。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯合使用的模式。就其攻擊手段來說，主要有以下幾種：

（1）死亡之Ping。早期的網絡不支持大包，攻擊者通過網絡發(fā)送大量的數據包到被攻擊者網絡，造成網絡堵塞以致癱瘓。目前的網絡已經能夠支持大包，共28頁第5頁

這種方式已經不再出現。

（2）淚滴攻擊。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝，導致網絡訪問失敗的方式。

（3）UDP洪水攻擊。攻擊利用如chargen和echo等簡單的TCP／IP服務。相互發(fā)送大量數據以占滿帶寬，從而癱瘓網絡的方式。

（4）SYN洪水攻擊。攻擊者通過想服務器發(fā)送連續(xù)的SYN握手信息，以達到癱瘓服務器的攻擊方式。

（5）LAND攻擊。該攻擊是讓服務器自己向自己發(fā)送SYN握手信息，已達到癱瘓主機的目的。

（6）Smurf攻擊。攻擊者將報文地址設為Echo地址，這樣Echo78地址就必須不簡短地響應該報文，使得網絡帶寬被侵占，從而達到癱瘓網絡的目的。

（7）Fraggle攻擊。Fraggle攻擊對Smurf攻擊做了修改。

（8）電子郵件炸彈。通過向一臺服務器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務器的作用。

（9）急性消息攻擊。借助機器對某些消息為進行錯誤校驗來攻擊服務器。（10）分布式拒絕服務攻擊。它是威力最強大的拒絕服務攻擊方式，其主要采用多臺服務器對同一網絡同時發(fā)起攻擊，導致該網絡瞬間癱瘓。

常見的拒絕服務攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。無論哪種方式，都對網絡安全造成很大的危害。、存在的安全隱患。以我校為例，校園網絡存在的安全隱患和漏洞有：

（1）計算機與Internet相連，卻沒有安裝相應的殺毒軟件及防火墻。（2）使用的操作系統(tǒng)存在安全漏洞，網絡木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。校內大部分計算機系統(tǒng)或多或少都存在著各種的漏洞，校園網絡又對社會開放，這樣一來只要接入INTERNET的用戶就可以對校園的網絡服務器進行攻擊，而流行于網絡上的很多病毒如“震蕩波、沖擊波、尼姆達”病毒都是利用系統(tǒng)的漏洞來進行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機當中，在以后的計算機啟動后，木馬就在機器中打開一個服務，通過這個服務將你計算機的信息、資料向外傳遞。

（3）目錄共享導致信息的外泄，在校園網絡中，利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所有的人都沒有充分認識到當一個目錄共享后，就不光是校園網內的用戶

共28頁第6頁

可以訪問到，而是連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的一個隱患。本人曾經搜索過外地機器的一個C類IP網段，發(fā)現共享的機器就有十幾臺，而且許多機器是將整個C盤和D盤進行共享，并且在共享時將屬性設置為完全共享，且不進行密碼保護，這樣只要將其映射成一個網絡硬盤，就能對上面的資料、文檔進行查看、修改、刪除。因而對目錄共享安全意識的單薄，會導致信息的外泄。

（4）網絡安全意識淡薄，校園網絡上的攻擊、侵入他人機器，盜用他人帳號非法使用網絡、非法獲取未授權的文件、通過郵件等方式進行騷擾和人身攻擊等事件經常發(fā)生、屢見不鮮，本校應用服務器和普通計算機平均一個星期會經受到數千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內，說明校園網絡上的用戶安全意識淡薄。另外，沒有制定完善而嚴格的網絡安全制度，各校園網在安全管理上也沒有任何標準，這也是網絡安全問題泛濫的一個重要原因。由此可見，構筑具有必要的信息安全防護體系，建立一套有效的網絡安全機制顯得尤其重要。

第3章

校園網安全措施

3.1 校園網安全管理

針對目前高校校園網安全現狀的認識與理解，在防病毒軟件、防火墻或智能網關等構成的防御體系下，對于防止來自校園網外的攻擊已經足夠。以下五點是高校的安全策略：

1、規(guī)范出口管理，實施校園網的整體安全架構，必須解決多出口的問題。對于出口進行規(guī)范統(tǒng)一的管理，使校園網絡安全體系能夠得以實施。為校園網的安全提供最基礎的保障。

2、配備完整系統(tǒng)的網絡安全設備，在網內和網外接口處配置一定的統(tǒng)一網絡安全控制和監(jiān)管設備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網絡版的防病毒系統(tǒng)等。另外，通過配置安全產品可以實現對校園網絡進行系統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網絡的故障可以迅速定位并解決。

共28頁第7頁

3、解決用戶上網身份問題，建立全校統(tǒng)一的身份認證系統(tǒng)。校園網絡必須要解決用戶上網身份問題，而身份認證系統(tǒng)是整個校園網絡安全體系的基礎的基礎，否則即便發(fā)現了安全問題也大多只能不了了之，只有建立了基于校園網絡的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網身份問題，同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。

4、嚴格規(guī)范上網場所的管理，集中進行監(jiān)控和管理。上網用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認，而且，合法用戶上網的行為也要受到統(tǒng)一的監(jiān)控，上網行為的日志要集中保存在中心服務器上，保證了這個記錄的法律性和準確性。

5、根據相關部門的要求，配備專門的安全管理人員，出臺網絡安全管理制度。網絡安全的技術是多樣化的，現狀還是“道高一尺，魔高一丈”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網絡的監(jiān)控和管理。3.2 校園網安全措施

前述各種網絡安全威脅，都是通過網絡安全缺陷和系統(tǒng)軟硬件漏洞來對網絡發(fā)起攻擊的。為杜絕網絡威脅，主要手段就是完善網絡病毒監(jiān)管能力，堵塞網絡漏洞，從而達到網絡安全。

1、殺毒軟件

殺毒產品的部署。在該網絡防病毒方案中，要達到一個目的就是：要在整個局域網內杜絕病毒的感染、傳播和發(fā)作。為了實現這一點，應在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段；同時為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

（1）在學校網絡中心配置一臺高效的Windows2000服務器安裝一個殺毒軟件的系統(tǒng)中心，負責管理校內網點的計算機。

（2）在各辦公室分別安裝殺毒軟件的客戶端。

（3）安裝完殺毒軟件，在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。

（4）網絡中心負責整個校園網的升級工作。

共28頁第8頁

2、采用VLAN技術

VLAN技術是在局域網內將工作站邏輯的劃分成多個網段，從而實現虛擬工作組的技術。VLAN技術根據不同的應用業(yè)務以及不同的安全級別，將網絡分段并進行隔離，實現相互間的訪問控制，可以達到限制用戶非法訪問的目的。

3、內容過濾

內容過濾器是有效保護網絡系免于誤用和無意識服務拒絕的工具。同時，可以限制外來的垃圾郵件。

4、防火墻

在與Internet相連的每一臺電腦上都裝上防火墻，成為內外網之間一道牢固的安全屏障。在防火墻設置上按照以下原則配置來提高網絡安全性：

（1）根據校園網安全策略和安全目標，規(guī)劃設置正確的安全過濾規(guī)則，規(guī)則審核IP數據包的內容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問?？傮w上遵從“不被允許的服務就是被禁止”的原則。

（2）禁止訪問系統(tǒng)級別的服務(如HTTP，FTP等)。局域網內部的機器只允許訪問文件、打印機共享服務。使用動態(tài)規(guī)則管理，允許授權運行的程序開放的端口服務，比如網絡游戲或者視頻語音電話軟件提供的服務。

（3）如果在局域網中使用你的機器，那么你就必須正確設置你在局域網中的IP，防火墻系統(tǒng)才能認識哪些數據包是從局域網來，哪些是從互聯網來，從而保證你在局域網中正常使用網絡服務（如文件、打印機共享）功能。

（4）定期查看防火墻訪問日志，及時發(fā)現攻擊行為和不良上網記錄。（5）允許通過配置網卡對防火墻設置，提高防火墻管理安全性。

5、入侵檢測

入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網絡攻擊。擴展系統(tǒng)管理員的安全管理能力。提高信息安全基礎結構的完整性。入侵檢測系統(tǒng)能實時捕獲內外網之間傳輸的數據，利用內置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網絡上發(fā)生的入侵行為和異常現象，并記錄有關事件。入侵檢測系統(tǒng)還可以發(fā)出實時報警，使網絡管理員能夠及時采取應對措施。

6、漏洞掃描

共28頁第9頁

隨著軟件規(guī)模的不斷增大。系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。因此，應采用先進的漏洞掃描系統(tǒng)定期對工作站、服務器等進行安全檢查，并寫出詳細的安全性分析報告，及時地將發(fā)現的安全漏洞打上“補丁”。

7、數據加密

數據加密是核心的對策，是保障數據安全最基本的技術措施和理論基礎。

8、加強網絡安全管理

加強網絡管理主要是要做好兩方面的工作。首先，加強網絡安全知識的培訓和普及；其次，是健全完善管理制度和相應的考核機制，以提高網絡管理的效率。

第4章

校園網安全系統(tǒng)設計

4.1 校園網建設需求分析

4.1.1 需求分析

局域網最大的特點就是可以實現資源的最佳利用，如:共享磁盤設備、打印機等，從而可以在組建的局域網內部互相調用文件，并可在任何一臺共享打印機上進行打印。當然也可以借助Wingate或Sygate等軟件多機共享一臺Modem上網；或者通過代理服務器連上Internet，享受非一般的速度。網卡根據傳輸速率可分為：10Mbps網卡（ISA 插口或PCI插口）、100Mbps PCI插口網卡、10Mbps/100Mbps自適應網卡和千兆網卡。目前10Mbps ISA插口的網卡仍以其低廉的價格占有市場的一定份額，但由于10Mbps ISA插口網卡的網絡傳輸速率低，且占用大量的CPU資源，只適應于那些對速度要求不高的局域網，因此用100Mbps PCI插口的網卡或者10Mbps/100Mbps自適應網卡，夠適應于用戶比較多，網上傳輸的數據量大和需要進行多媒體信息傳輸的應用環(huán)境。

BNC口是用細同軸電纜作為傳輸媒介的一種網卡接口。RJ45是采用雙絞線作為傳輸媒介的一種網卡接口，RJ45的接口酷似電話線的接口，但網絡線使用的是8芯的接頭，使用RJ45的缺點是架設成本高，但安裝和維護較為方便，因此我們一般使用RJ45接口。根據微機的數量，利用 HUB構成星形結構，在工作站較多的情況下，會因 HUB的處理速率遠遠低于通信線路的傳輸速度，從而造成瓶頸問題。因此有條件的話可選用交換機。一個 Hub所組成的域稱為沖突

共28頁第10頁

域，也就是說，網絡上任何一臺計算機在收發(fā)數據時，其他所有計算機都能夠收到，且這些計算機不能同時進行數據的收發(fā)，否則會發(fā)生碰撞(CSMA/ CD協(xié)議能阻止碰撞)。此外每臺接入 Hub的計算機，都要檢測接收到的數據目的地址，以確認是否是收到自己的通信信息，因此計算機 CPU占用率高，全網通信效率低，只適用于小型工作組級別應用。

學校校園網是為學校師生提供教學、管理、科研和綜合信息服務的寬帶多媒體網絡；是學校信息化教學環(huán)境的基礎設施和實現各項管理的物質基礎；是建立遠程教育體系的基本保證；是提高全民素質的重要手段；也是一項靈魂工程。其設計方案應注意以下原則：

實用性校園網設計應能滿足學校目前對網絡應用的要求，充分實現學校內部管理、教學和科研的網絡化、信息化的要求，使網絡的整體性能盡快得到充分的發(fā)揮，并且便于掌握。

可靠性校園網的系統(tǒng)及網絡結構較為復雜，同時在部分子系統(tǒng)中存在較高的技術性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的MTBF(平均無故障工作時間)和極低的MTBR(平均無故障率)，提高容錯設計，支持故障檢測和恢復，可管理性強。

統(tǒng)一性在系統(tǒng)的設計過程中，堅持“三統(tǒng)一”，即統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一出口。

先進性在系統(tǒng)的開發(fā)過程中，既能滿足當前院校對網絡的應用需求，又可以在將來需要擴展的時候，能方便地擴展，保護目前的所有投資；設計的配置可以靈活變通，以便適應客戶的其他要求。4.1.2 關鍵設備

在產品選購之前一定要經過認真的分析，這次參與組網的機構選用美國Cisco公司的Catalyst 6506作為數據網絡系統(tǒng)的內部核心交換機，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機，Catalyst 6506的交換容量以及端口數量等技術指標足以滿足網絡目前的需求。選擇Catalyst 3548作為外網交換機?？梢酝ㄟ^千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過10/100M自適應通道接入到Cisco Catalyst 3524和Catalyst 3548交換機上。選擇Catalyst 3524和Catalyst 3548作為計算機網絡系統(tǒng)的二級匯聚交換機，為終端用戶提供10/100M到桌面。選擇Cisco 3662作為計算機網絡系統(tǒng)DDN、ISDN訪問

共28頁第11頁

路由器，既可以滿足上級單位Internet的DDN、ISDN接入的需求，又可以滿足繼續(xù)擴展的需求。同時Cisco 3662作為計算機網絡系統(tǒng)的撥號服務器，提供分支機構的撥號接入。

網絡核心層：用一臺Cisco的高端三層交換機Catalyst 6506作為整個交換系統(tǒng)的核心，由網絡中心網絡管理員統(tǒng)一調度，從而使計算機網絡系統(tǒng)成為一個具有整合的千兆以太網主干并具備第三層交換功能的綜合網絡通信平臺。其中配置兩個電源同時供電，彼此分擔負荷并互為備份。一塊WS-X6K-S1A-MSFC2交換引擎是交換機的心臟，它控制交換機的尋址、數據轉發(fā)、模塊控制等。Catalyst6506交換機引擎卡上的MSFC2(Multilayer Switching Feature Card)卡具有極強的三層交換能力，利用Cisco特有的Netflow技術，完全滿足核心線性三層交換的能力。另一塊WS-X6408-GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設備、接入層設備、網管工作站及網絡應用服務器都直接連入到核心層設備上去。

匯聚層：在分配線間分別設立Cisco Catalyst 3524和Catalyst 3548作為計算機網絡系統(tǒng)匯聚層設備，匯聚層設備將通過光纜以千兆以太網為主干連接到核心層設備Catalyst 6506上去，終端用戶可以通過超5類UTP線纜連接到各層交換機中去，可以實現10/100M的自適應通道連接到局域網中去。

接入層：在網絡接入層中我們選用了一臺Cisco 3660路由器作為廣域互連和外部用戶撥號訪問網關，其中主要采用了兩種接入方式分別實現各自功能：

1、ADSL接入方式。

2、FTTX+LAN接入方式。4.1.3 校園網網絡拓撲結構

根據校園網的需求分析及建設目標，本設計方案采用交換式千兆以太網作為主干，百兆交換到桌面。網絡拓撲采用星型樹結構，網絡中心的交換機使用堆疊方式連接。

共28頁第12頁

圖4。1。3

圖4-1校園網的拓撲

4.2 技術方案

4.2.1 校園網的建設規(guī)劃

校園網建設作為一項復雜的系統(tǒng)工程，與任何一項工程建設一樣，在開始建設前都要根據工程的特點事先進行詳細的工程規(guī)化與技術需求分析，它的成功與否都直接影響到工程的建設質量以及今后網絡能否可靠運行，因此要特別認真地進行系統(tǒng)規(guī)劃。對于校園網來說，必須對技術和教育的發(fā)展前景有著清醒的認識，只有這樣，才能從很好地為校園網進行合理的規(guī)劃。

1、校園網的應用特點

隨著現代化教學活動的開展和與國內外教學機構交往的增多，對通過網絡進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮師生的創(chuàng)造力，校園網絡建設成為現代教育機構的必然選擇。校園網大都屬于中小型系統(tǒng)，以園區(qū)局域網為主，一個基本的校園網具有以下的特點：

高速的局域網連接--校園網的核心為面向校園內部師生的網絡，因此園區(qū)局域網是該系統(tǒng)的建設重點，由于參與網絡應用的師生數量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數據傳輸是網絡的一項基本要求。

信息結構多樣化--校園網應用分為電子教學（多媒體教室、電子圖書館等）、學校管理和遠程通訊（遠程教學、互聯網接入）三大部分內容：電子教學包含大量多媒體信息，學校管理以數據庫為主，遠程通訊則多為004km.cn 的 3C905B-TX 100MB網卡。為使校園網能訪問Internet，網絡中心的代理服務器可連接ASDL等通訊線路。

共28頁第20頁

（3）計算機教室

配置400臺左右586以上微機，通過星型網絡拓撲結構將所有微機連接到可堆疊交換機上，再通過交換機連接校園主干網。為方便教學，可在以上網絡教室的基礎上安裝多媒體教學平臺，使之成為一個既能完成信息技術學科教學，又能進行多媒體輔助教學，還能開展基于Internet技術的網絡活動的多媒體網絡活動室。

（4）教師備課機房

為了能給廣大教師提供一個完備的多媒體網絡備課環(huán)境，校園網應能為每位教師提供網絡接入終端，即每位教師都配有一臺連接校園網的多媒體計算機，這將是一項投資很大的綜合布線工程。為降低成本，一般中小學校可采用建設一個配置有10-20臺酷睿2以上多媒體計算機的教師網絡備課機房的方案。配有多媒體的連網計算機既能滿足廣大教師電子備課、電子閱覽的需要，同時也能滿足教師進行遠程通訊、網上檢索等基于Internet環(huán)境的教科研活動。

（5）圖書館系統(tǒng)

圖書館系統(tǒng)應該包括兩個方面，第一是圖書編目、借閱管理系統(tǒng)，它為圖書館管理提供了標準化、自動化、網絡化的采編、流通、查詢、統(tǒng)計以及讀者管理等手段，如省教委推薦使用的共創(chuàng)圖書管理系統(tǒng)；第二是多媒體視聽閱覽室，滿足讀者使用越來越多的電子音像讀物的要求。多媒體視聽閱覽室從技術本質上來講就是一個多媒體計算機網絡室，如果學校已建好前面所述的多媒體網絡活動室或教師備課機房，只要在網絡上連接有一套光盤鏡像服務器，即可實現多媒體視聽閱覽的功能。

（6）多媒體綜合教室

信息化環(huán)境的構筑其根本目的是為教學服務的，因此課堂信息化教學環(huán)境的建立應該是校園網建設的一個重要目標。針對課堂教學而言，計算機網絡應能為師生合作教學模式提供支持。在合作教學模式下，教師通過網絡安排教學計劃，指導學生學習，批改學生作業(yè)，實施網上教學；學生既可以在教師幫助下進行自主學習，也可通過小組討論等形式在同伴中開展合作學習。在當前情況下，在每個教室構建信息化教學環(huán)境還處在摸索探討階段，存在著投資大、可參考方案少等不利因素。有的學校采用在每個班級配置高亮度液晶投影儀、多媒體計算機、多功能視頻展示臺等設備的方法來實施教學環(huán)境信息化，教學仍舊還是在一個典型的以教師為中心的教學模式下進行著，這與構建校園信息化教學環(huán)境的初衷相

共28頁第21頁

距尚遠。因此在當前形勢下，一般中小學可在具有多媒體網絡環(huán)境的計算機教室內開展基于多媒體網絡環(huán)境下的合作教學模式的實驗活動，而為開展多媒體輔助教學活動配設專用的多媒體綜合教室。多媒體綜合教室內配備有多媒體計算機、高亮度液晶投影儀、多功能視頻展示臺各一臺，功放音響一套，其中多媒體計算機通過網卡連入校園主干網，從而方便調用網絡內其它計算機上的教學資源，實現資源共享。多媒體綜合教室不僅可滿足正常的輔助教學活動，還可以用來舉辦講座、開展培訓，不失為當前形勢下一種經濟實惠的選擇。學?？筛鶕虒W實際需要配置一到二個多媒體綜合教室。

（7）校長辦公室及其它相關處室

配置相應數量的酷睿2以上多媒體計算機，通過網卡與校園主干網相連，以實現學校信息管理的自動化、無紙化。

以上只是整個校園網中一些主要的網絡組成部分，此外還有學生宿舍樓、教師宿舍樓、實驗室教學樓等。

2、虛擬網設計

由于整個網絡較大，所以必須通過劃分VLAN來實現流量的合理分配、內部網絡的安全。通常VLAN的實現有以下幾種方法：

（1）基于端口的虛擬工作組。

（2）基于MAC、協(xié)議、子網的虛擬工作組。

（3）Tagged VLAN：通過在數據幀中增加VLAN標記位來區(qū)分不同的工作組。

本文選用的Catalyst 6506等交換機都支持以上各種VLAN的劃分方法。

雖然三種方式各有千秋，但是從實際出發(fā)，采用基于交換端口的VLAN劃分方式是一種理想的選擇，也是目前實際中普遍采用的劃分方式。

考慮到網絡安全性的需要，還可以在路由交換機上進行相應的設置，實現網絡訪問控制。比如可以限制哪些用戶擁有訪問中心服務器的權利，哪些則沒有。

根據以上思想，將計算機網絡（根據不同的部門劃分）劃分成幾個不同的虛擬網，并賦予不同的IP子網地址。

由于系統(tǒng)的特殊性，可以配合虛擬網的劃分，給不同的虛擬網配置不同的子網段，整個網絡可以非常方便地劃分為幾個子網，子網之間的通信由中心路由式交換機來實現，具體可以采用OSPF路由協(xié)議。

3、網絡軟件運行平臺

共28頁第22頁

（1）服務器操作系統(tǒng)：由于美國Microsoft公司推出的網絡操作系統(tǒng)Windows 2003具有與有著廣泛應用基礎的在Windows 2003服務器上，對直接連接到 Internet 的計算機啟用防火墻功能，支持網絡適配器、DSL 適配器或者撥號調制解調器連接到 Internet。

（2）Web服務系統(tǒng)：選用Windows NT下的IIS信息服務系統(tǒng)。另外也有許多免費的BBS電子公告、中文論壇、網絡聊天軟件可以在NT下安全運行。

（3）數據庫軟件：建議采用“甲骨文”oracle數據庫軟件。

（4）電子郵件系統(tǒng)：可采用Microsoft公司的Exchange Server，為簡便使用也可采用一些共享軟件如Sharemail、Imail等，這些軟件都是基于標準SMTP/POP3/IMAP4/LDAP協(xié)議的郵件服務器軟件，用戶界面簡單直觀，非常易于管理。

（5）網頁維護制作軟件：Macrosoft公司的FrontPage、Macromedia 公司的Dreamweaver、Flash都是很好選擇。

（6）多媒體課件制作軟件：Macromedia 公司的Authorware、Director，洪圖多媒體著作工作等都有著非常友好的界面，使用方便，擁有著大量的用戶，推薦使用。

（7）代理服務軟件：可采用WinGate3.05 for NT，這是一個功能完善、性能穩(wěn)定的代理服務軟件，非常好用。

（8）工作站操作系統(tǒng)： Windows XP、Windows 2003。

9)校園辦公管理用軟件：選用省教委統(tǒng)一推薦使用的“共創(chuàng)校園辦公管理信息系統(tǒng)”網絡版。

10)工作站其它應用軟件：文字處理、數據表格、圖形處理、瀏覽器、電子郵件等都有許多大家熟悉并經常使用的軟件。

隨著網絡使用的日益廣泛，今后校園網絡在此基礎上還將不斷擴充，覆蓋面將越來越廣，如視頻點播系統(tǒng)、遠程登錄管理系統(tǒng)、各類收費服務IC卡系統(tǒng)等。4.3 校園網的運行

4.3.1 校園網的應用

1．校園網管理信息系統(tǒng)

國基礎教育校園網集成系統(tǒng)CFES面向全校，覆蓋教育行政管理、圖書館管

共28頁第23頁

理、后勤管理和互聯網連接等領域，分為教學管理、學生管理、行政管理、通用服務、互聯網絡和圖書館管理等分系統(tǒng)，以及教務管理、教師管理、教材管理、設備管理、學籍管理、考績管理、人事管理、文書管理、綜合查詢、通用查詢、電子郵件、遠程登錄、圖書編目、圖書流通、圖書檢索和館長查詢等近七十個管理子系統(tǒng)。

2．校園網計算機教學系統(tǒng)

計算機教學系統(tǒng)主要包括多媒體網絡教室、多媒體視頻點播、多媒體視頻廣播系統(tǒng)。

3．校園網站

校園網不是一個獨立的、封閉的體系，校園網與Internet互連后，校園網用戶在權限允許的范圍內可以使用Internet上的Web訪問、Email收發(fā)、FTP、Telnet、BBS、新聞組、討論組、個人主頁等服務。

校園網站連接Internet，用于宣傳學校形象、教學信息發(fā)布、提供信息查詢等，以后可成為網上教學的渠道。網站主頁的設計，主要由老師創(chuàng)意，學生制作，體現學生的創(chuàng)造性，培養(yǎng)學生的動手能力。4.3.2 校園網的管理

根據前面介紹的校園網設計方案建設而成的一個校園網絡投入運行之后，它的穩(wěn)定性及可靠性是很高。網絡系統(tǒng)出現的問題，一般情況下主要有人為操作失誤（包括計算機病毒引起的故障）和整個網絡系統(tǒng)本身不可避免的故障。因此要想使計算機網絡的各種故障減少到最低的話，網絡管理員就要在平時做好網絡的預防性維護以及重要數據的備份、計算機病毒的防護，記錄網絡事件等工作。同時人為操作造成的故障在整個網絡故障的絕大部分，因此要注意加強網絡使用人員的應用技能和道德品質，可減少人員有意無意對網絡造成的傷害。

預防性維護是非常重要的，日常維護的主要工作是：清理污垢和其他一些污染，如果灰塵等污垢太多的話就會造成設備散熱不良，嚴重的還會引起電子器件間的短路。還要檢查各種網絡設備的連接情況，在一個計算機網絡中各種連接是現容易出問題的，因此，每隔一段日期就檢查一下局域網中所有計算機系統(tǒng)的連線是否松動，還要查看一下電源線、顯示器、網絡，串行和并行電纜以及各種配件等。任何提供服務的網絡都應該擁有備份系統(tǒng)，在備份之后還要進行測試，以保證備份的系統(tǒng)能夠正常工作。要確保備份系統(tǒng)的完整性，在安裝了服務器或備

共28頁第24頁

份設備之后，或者對系統(tǒng)進行了重大的修改之后（如升級），一定要把整個系統(tǒng)備份下來，再恢復其中的部分文件進行測試。根據系統(tǒng)中的數據 情況，可能每一項都要進行完全備份，也可能只做增量備份就可以滿足需要了，具體需要備份的數量應由系統(tǒng)環(huán)境來決定。4.4 校園網絡數據庫的不安全因素

1、環(huán)境分析

網絡數據庫一般采用客戶機/服務器(Client/Server)模式。在客戶機/服務器結構中，客戶機向服務器發(fā)出請求，服務器為客戶機提供完成這個請求的服務。例如，當某用戶查詢信息時，客戶機將用戶的要求轉換成一個或多個標準的信息查詢請求，通過計算機網絡發(fā)給服務器，服務器接到客戶機的查詢請求后，完成相應操作，并將查出的結果通過網絡回送給客戶機。

2、不安全因素分析

對網絡數據庫系統(tǒng)運行環(huán)境的分析，網絡數據庫系統(tǒng)正常運行的管理包括:硬件組成的網絡拓撲結構的管理、網絡操作系統(tǒng)及網絡數據庫系統(tǒng)的管理、日常工作中制度和人的管理。它的安全性問題相應包括三個方面的內容：

（1）運行網絡數據庫系統(tǒng)的硬件安全性，即物理安全。包括服務器、交換機、網線、電源等設備故障;水災、火災等環(huán)境事故。

（2）運行網絡數據庫系統(tǒng)的網絡安全性。主要指網絡數據庫系統(tǒng)自身安全性以及網絡數據庫所處的網絡環(huán)境面臨的安全風險。如病毒入侵和黑客攻擊、網絡操作系統(tǒng)及應用系統(tǒng)的安全，主要表現在開發(fā)商的后門(Back-door)以系統(tǒng)本身的漏洞上。

（3）運行網絡數據庫系統(tǒng)的管理安全性。主要包括管理不善、人員操作失誤、制度不健全，造成日常管理中出現安全風險。

結束語

沒有安全保證的校園網絡就像沒有剎車的車子跑在高速公路上?；ヂ摼W絡的飛速發(fā)展，對校園網絡中師生的工作和學習已經產生了深遠的影響，網絡在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識

共28頁第25頁

到，網絡安全問題的日益嚴重也越來越成為網絡應用的巨大阻礙，校園網絡安全已經到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網絡安全問題，校園網絡的應用才能健康、高速的發(fā)展。

本文分析了校園網絡面臨的主要危害，并針對危害提出了相應的安全解決措施。文中分析認為，校園網絡安全重點在防病毒和防攻擊。為此，文中針對病毒的特點和網絡攻擊的特性，提出了校園網絡的相應措施。采用上述措施，基本能夠解決校園網絡面臨威脅風險，從而建構一個安全、高效的網絡。

參考文獻

[1]徐亞鳳.解析校園網絡的安全及管理.牡丹江大學學報.2008,17(8):118—125 [2]鄭春.軟硬件結合的校園網安全策略.軟件導刊.2008,7(8):181—183 [3]江鐵.高校校園網安全策略設計.科技信息.2008,20:422—423 [4]孫力.淺談校園網絡安全技術的應用[J] 甘肅科技,2009（09）

[5]容強.網絡入侵誘騙技術在高校網絡安全中的研究與實現[J]

計算機安全,2009（06）[6]周麗娟.校園網絡安全策略研究[J] 長春師范學院學報（自然科學版）2009（06）

共28頁第26頁

第二篇：校園網安全分析及策略計算機原創(chuàng)論文

新 鄉(xiāng) 學 院

畢

業(yè)

論

文

論文題目 院（系）名稱 專業(yè)名稱 班

級 學生姓名 學

號 指導教師姓名

校園網安全分析及策略 國際教育與交流中心 計算機網絡技術 07級 張新 2007123401018 葉濤 2010年4月完成

目錄

內容摘要..........................................................1 關鍵詞.............................................................1 Abstract...........................................................1 Key words..........................................................1 1.緒論.............................................................2

1.1課題背景..................................................2 1.2校園網的發(fā)展...........................................2 2.校園網發(fā)展現狀與分析.............................................3 2.1校園網發(fā)展現狀..............................................3 2.2校園網的安全需求............................................4 2.3校園網安全面臨的威脅........................................5 3.校園網可采用的安全技術策略.......................................5 3.1防火墻部署..................................................6 3.2入侵檢測系統(tǒng)部署..........................................6 3.3訪問控制..................................................7 3.4運用虛擬局域網（VLAN）技術................................8 3.5安裝補丁程序和網絡版殺毒產品..............................8 4.校園網的安全設計方案.............................................9 5.校園網安全方案實施后的效果......................................11

5.1校園網安全方面..........................................11 5.2網絡管理方面............................................12 5.3小結....................................................16 參考文獻.........................................................18 致謝.............................................................19

內容摘要：隨著網絡在世界范圍的普及，校園網作為服務于教育、科研和行政管理的計算機網絡，實現了校園網內聯網、信息共享，并與Internet互聯。為教師和學生的工作、學習、生活、娛樂帶來了許多便利。但校園網同時也面臨著嚴峻的網絡安全形勢，本文將圍針對校園網安全問題提出解決方法及策略，確保校園網正常、高效、安全的運行。

關鍵詞：校園網 網絡安全 設計

Abstract：With the popularity of the network in the world, campus network who supplies service for education, science research and administration, joins the Intranet and the Internet shares the information, It's convenient for teachers and students' work, study,living and entertainments, but also facing serious network security situation.To ensure campus network be operated normally, efficiently and safely is the problem for collages,the paper carried out a new solution.Key words:Campus network Network security Network design

1.緒論

1.1課題背景

隨著Internet的迅速發(fā)展和應用的普及，計算機網絡已經深入教育、政府、商業(yè)、軍事等各行各業(yè)，成為社會重要的基礎設施，同時網絡安全問題也日益突出。

校園網作為學校信息化建設的基礎設施，在教學、科研、管理和對外交流等方面都起著舉足輕重的作用。隨著高校網絡規(guī)模的急劇膨脹，網絡用戶的快速增長，網絡數據的急劇增加，校園網的安全問題也不斷暴露出來，如病毒侵蝕、惡意軟件、黑象攻擊等，校園網時刻都會受到來自內部和外部的威脅與危害，針對校園網的安全向題，構建完善的網絡安全體系是越來越重要。而且校園網與其它網絡比具有以下一些特點:(I)校園網的數據流量大、速度快、規(guī)模大

近年來，隨著高校擴招和合并，校園網的用戶群體一般比較大，少則數千人、多則數萬人。許多校園網已經發(fā)展為一個跨城域的網絡。校園網已發(fā)展成為了一個全面信息的化階段。多媒體教學和網絡視頻應用的推廣對網絡交換速度和數據量提出更 2 高的要求，同時也要求網絡安全部件要有更快的處理速度和更高的性能。(2)校園網中的設備來源多樣化、管理復雜

校園網是一個平臺，面向高校的師生，校園網中的設備來源比較復雜。容易出現計算機病毒“交叉感染”，無法分清責任。(3)活躍的用戶群體

高校的學生是最活躍的網絡用戶，對網絡新技術充滿好奇，面對精力充沛的高校學生，網絡安全更為迫切。(4)有限的投入

校園網的后期管理容易被忽視，特別是管理和維護吧人員方面的投入明顯不足，無暇顧及、也沒有條件管理和維護千臺、萬臺計算機的安全。(5)盜版資源泛濫

從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼，許多系統(tǒng)因此被攻擊者侵入和利用。

1.2校園網的發(fā)展

網絡技術的發(fā)展，尤其是Internet的出現，使我們校園生活、學習、工作和環(huán)境發(fā)生了巨大的變化。利用學校計算機網絡，采用先進的管理軟件，可規(guī)范學校的管理行為，提高管理水平和工作效率；在減輕工作量的同時，利用計算機存儲量大、處理快速準確的特點，為學校的決策提供準確及時的信息。在學校的辦公、信息交流和通信方面充分發(fā)揮計算機網絡的作用，在軟件的支持下實現網上協(xié)同工作。

計算機網絡將使教學模式上有比較大突破，原來的老師、學生和網絡三者之間的關系將發(fā)生變化，教師不再是知識的惟一擁有者和權威者，把知識傳授給學生。學生應是學習的主體，校園網為學生的探索式學習提供情景和資源，老師只作為學習的指導者。在教學過程中將采用網絡技術、多媒體技術，利用網絡上豐富的教學資源，激發(fā)學生的學習興趣，提高教學質量。多媒體技術將文本、聲音、圖像、動畫和視頻技術融為一體，使的教學活動變得生動且形式多變，從而提高學生學習的積極性、效率和效果。

高校校園網早期應用主要局限于行政辦公、后勤、教學與計算中心，分離性較大，大部分采用企業(yè)網模式。而現在大部分高校在規(guī)劃校園網時已計劃將網絡覆蓋至學生宿舍區(qū)以及教師家屬區(qū)，向在校學生及教職工提供園區(qū)內部互連以及Internet接入 3 服務。

2.校園網的發(fā)展現狀與分析

2.1校園網現狀

校園網絡作為學校重要的基礎設施，其安全狀況直接影響著學校的教學活動，校園網網絡上各種信息數據急劇的增加，校園網絡信息安全面臨嚴峻問題。

校園網網絡信息十分豐富，網絡用戶的活動也非?；钴S，校園網內部網絡數據往往用于滿足學校正常的行政辦公需要、廣大師生的教務教學需要、學生們的課余校園文化生活等等，這些無論是涉及個人隱私或利益的信息，還是學校行政辦公的文檔信息，以及用于政治宣傳和管理的信息都需要進行完整性、真實性保護和控制，這就需要對進出校園網的訪問行為進行必要的、有效性的控制，封堵某些禁止的行為和業(yè)務，避免損失。

校園網絡系統(tǒng)中接入著成百上千臺計算機，這些計算機的操作系統(tǒng)各種各樣，通常分布在不同的物理位置，由不同的用戶操作，用于不同的用途，由于這些差異，使得校園網網絡中計算機中的漏洞問題十分嚴重。因為使用者的安全意識不強，或者采取措施不及時造成的損失在校園網網內時有發(fā)生，因此采用安全、及時的漏洞掃描技術對校園網網絡中的系統(tǒng)漏洞進行掃描，在攻擊發(fā)生之前發(fā)現網絡和系統(tǒng)中的漏洞，并及時采取措施進行修復，可以進一步提高校園網絡信息安全保障水平。

校園網接入互聯網以后，用戶通過校園網進入互聯網。網絡上的各種信息良蕎不齊，色情、暴力、邪教內容的網站泛濫，對正在形成世界觀和人生觀的學生來說，有可能還不能正確地對待這類內容，這些違反人類道德標準和有關法律法規(guī)的有毒信息對他們危害極大，如果信息安全措施不好，不僅會有部分學生進入這些網站，還可能在校園內傳播這類不良信息。

校園網網絡的方便快捷同時也為病毒的肆意傳播留下可能，下載的程序和電子郵件都有可能帶有病毒。通過網絡傳播病毒無論在傳播速度，還是破壞性和傳播范圍等方面都是單機病毒不能比擬的。大量病毒傳播不僅占用網絡資源，而且破壞服務器或單機，最終影響整個學校網絡系統(tǒng)的正常運作，嚴重的還可能造成校園網網絡的癱瘓，因此郵件監(jiān)控和防病毒工作也是校園網絡信息安全的一個重要方面。

教育信息化、校園網絡化作為網絡時代的教育方式和教育環(huán)境，己經成為教育發(fā)展的方向。隨著各高校網絡規(guī)模的急劇膨脹、網絡用戶的快速增長，校園網網絡信息 4 安全問題已經成為當前各高校網絡建設中不可忽視的首要問題。隨著網絡技術的發(fā)展與普及，校園網早已成為現代化教育建設的基礎設施，校園網建設己經不僅僅只是局限于實現網絡內部資源共享和外部信息互換。各學校為了能夠實現以網養(yǎng)網，對網絡設計提出了更高的要求，可運營、更安全、更實用成了今天對校園網絡關注的焦點。

2.2校園網安全需求

第一，高校面臨著嚴峻的網絡安全形勢。越來越多的報道表明高校校園網己意識的淡薄，而另一方面，高校學生—這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責任感。有關數字顯示，目前校園網遭受的惡意攻擊，70%來自高校網絡內部，如何保障校園網絡的安全成為高校校園網絡建設時不得不考慮的問題。

第二，網絡安全一定是全方位的安全。首先，網絡出口、數據中心、服務器等重點區(qū)域要做到安全過濾;其次，不管接入設備，還是骨干設備，設備本身需要具備強大的安全防護,要具備強大的安全防護能力，并且安全策略部署不能影響到網絡的性能，不造成網絡單點故障;最后，要充分考慮全局統(tǒng)一的安全部署，需要能夠從接入控制，到對網絡安全事件進行深度探測，到現有安全設備有機的聯動，到對安全事件觸發(fā)源的準確定位和根據身份進行的隔離、修復措施，從而能對網絡形成一個由內至外的整體安全架構。

所以，在對出口等重點區(qū)域進行安全部署的同時，要更加全面的考慮安全問題，讓整個網絡從設備級的安全上升一個臺階，擺脫僅僅局部加強某個單點的安全強度的手段。根據校園網的需求和現狀，校園網在安全方面要滿足以下幾點安全需求:(I)校園網禁止外部非校園網用戶未經許可訪問內部的數據，實現內部網絡和重要服務器數據的安全防護。

(2)校園網內部各部門，個人之間網絡訪問進行控制，各部門，個人之間在未經授權的情況下，不能相互訪問，實現網絡的隔離。

(3)加強網絡監(jiān)控，實現對涉及重要服務器數據的攻擊行為的紀錄與分析。

(4)加強網絡病毒的防范。

(5)加強安全管理，對校園網內部訪問進行規(guī)范化。

2.3校園網安全面臨的威脅

校園網內的用戶數量較大，局域網絡數目較多，認真分析可以總結出校園網面 5 臨如下的安全威脅：

(I)各種操作系統(tǒng)以及應用系統(tǒng)自身的漏洞帶來的安全威脅；(2)Internet網絡用戶對校園網存在非法訪問或惡意入侵的威脅；

(3)來自校園網內外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。內部教職工以及學生可能由于使用盜版介質將病毒帶入校園內網；

(4)內部用戶對Internet的非法訪問威脅，如瀏覽黃色、暴力、反動等網站，以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內網；

(5)內外網惡意用戶可能利用利用一些工具對網絡及服務器發(fā)起DOS/DDOS攻擊，導致網絡及服務不可用；

(6)校園網內的學生群體是主要的OICQ用戶，目前針對OICQ的黑客程序隨處可見；

(7)可能會因為校園網內管理人員以及全體師生的安全意識不強、管理制度不健全，帶來校園網的威脅；

3.校園網可采用的安全技術策略

3.1防火墻技術

防火墻是網絡安全的一種防護手段，它是位于兩個信任程度不同的軟件或硬件設備之間的組合，對兩個網絡之間的通信進行控制，通過控制和監(jiān)測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理，防止外部網絡不安全的信息流入內部網絡和限制內部網絡的重要信息流到外部網絡，以達到保護系統(tǒng)安全的目的。

防火墻作為一種將內外網隔離的技術，普遍運用于校園網安全建設中。防火墻是一種按某種規(guī)則對專網和互聯網, 或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離), 從而阻斷不希望發(fā)生的網絡間通信的系統(tǒng)。部署防火墻技術, 構筑內外網之間的安全屏障, 可以有效地將內部網與外部網隔離開來, 保護校園網絡不受未經授權的第三方侵入。通過Internet 進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS 等), 既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用, 并能夠對發(fā)生在網絡中的安全事件進行跟蹤和審計。現在有許多基于硬件或軟件的防火墻, 如華為、神州數碼、聯想、瑞星等廠商的產品。

防火墻技術有一些局限性。防火墻不能防范不經過它的攻擊，不能防止來自網絡內部的攻擊和安全問題，不具備實時監(jiān)控入侵的能力，不能防止策略配置不當或錯誤配置引起的安全威脅，不能防止受病毒感染的文件的傳輸，不能防止利用服務器系統(tǒng)和網絡協(xié)議漏洞進行的攻擊，不能防止數據驅動式的攻擊，不能夠防止內部合法用戶的主動泄密行為，不能防止本身的安全漏洞威脅。

防火墻作為第一道安全防線，部署防火墻無疑可以保護校園網網絡系統(tǒng)的安全，但是由于防火墻本身的局限性，僅僅在校園網內部網絡入口處部署防火墻系統(tǒng)還不能完全有效的保護整個校園網網絡系統(tǒng)的信息安全。3.2入侵檢測系統(tǒng)部署

入侵檢測系統(tǒng)為網絡提供實時的監(jiān)控，并且在發(fā)現入侵的初期采取相應的防護手段，入侵檢測系統(tǒng)已經成為網絡信息安全架構中必要的附加手段。

入侵檢測系統(tǒng)通常被認為是防火墻之后的第二道安全閘門，部署于防火墻之后，對網絡活動進行實時檢測，是防火墻的延續(xù)和合理補充。入侵監(jiān)測系統(tǒng)可以記錄和禁止網絡活動，可以和防火墻、路由器配合工作，在不影響網絡性能的情況下能對網絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的處理，實現對網絡信息的實時保護。入侵檢測系統(tǒng)通過幫助系統(tǒng)對付網絡攻擊，擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應等)，提高了信息安全基礎結構的完整性。入侵檢測系統(tǒng)從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)通過掃描當前網絡的活動，監(jiān)視和記錄網絡的流量，并根據定義好的規(guī)則來過濾從主機網卡到網線上的流量，提供實時報警。入侵檢測系統(tǒng)可以完成監(jiān)視、分析用戶及系統(tǒng)活動，系統(tǒng)構造和弱點的審計，識別反映已知進攻的活動模式并向相關人士報警，評估重要系統(tǒng)和數據文件的完整性，操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為等等任務。

在校園網絡中部署入侵檢測系統(tǒng)，能夠有效防御各種攻擊，控制網絡資源濫用，利用該系統(tǒng)的日志，還可以部分分析出用戶的上網行為，可以進一步保證校園網的穩(wěn)定運行、保障網絡系統(tǒng)的信息安全。

根據對校園網網絡信息安全的風險分析，入侵防護安全需求的重點是校園網的中心服務器群和網絡骨干區(qū)域。通過入侵檢測設備對核心交換機的流量進行監(jiān)控，從而實現入侵檢測的功能。一般采用具備入侵防護與入侵檢測功能相結合的產品就可以滿 7 足需求。

入侵防護需求主要防御的方面包括防御來自外部的威脅，阻止蠕蟲、網絡病毒、間諜軟件和黑客攻擊對校園網重要網絡區(qū)域和服務器群造成的安全損失，提高校園網絡的整體抗攻擊能力;防御來自網絡內部的威脅，阻止蠕蟲、網絡病毒爆發(fā)對校園網絡重要網絡區(qū)域和服務器群的破壞，保障校園網絡的正常運行;有效控制校園網絡資源的濫用情況，阻止用戶因使用各種即時通訊軟件、P2P下載、網絡在線游戲以及在線視頻而影響網絡的正常運行，通過凈化網絡流量，實現網絡加速;監(jiān)測和防護校園網絡系統(tǒng)中重要區(qū)域和服務器群的安全運行，全面把握安全狀態(tài)，以便于及時發(fā)現可能的安全攻擊，防止安全事件的發(fā)生，保證整個校園網系統(tǒng)的網絡信息安全。

3.3訪問控制

訪問控制的主要任務是保證網絡資源不被非法使用和非法訪問。用戶的入網訪問控制通常有用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳戶的缺省限制檢查等。當用戶進入網絡后, 網絡系統(tǒng)就賦予這一用戶一定的訪問權限, 用戶只能在其權限內進行操作。這樣, 就保證網絡資源不被非法訪問和非法使用。訪問控制必須遵從最小特權原則, 即用戶在其合法的訪問授權之外而無其他的訪問特權, 以保證有效防止網絡因超權限訪問而造成的損失。

賬號和密碼保護可以說是系統(tǒng)的第一道防線, 目前網上的大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統(tǒng), 那么前面的防衛(wèi)措施幾乎就沒有作用, 所以對服務器系統(tǒng)管理員的賬號和密碼進行管理是保證系統(tǒng)安全非常重要的措施。

系統(tǒng)管理員密碼的位數一定要多, 至少應該在8位以上, 而且不要設置成容易猜測的密碼, 如自己的名字、出生日期等。對于普通用戶, 設置一定的賬號管理策略, 如各種開機口令、登陸口令、共享權限口令等等, 并強制用戶每個月更改一次密碼。對于一些不常用的賬戶要關閉, 比如匿名登錄賬號。

3.4 運用虛擬局域網(VLAN)技術

VLAN(Virtual Local Area Network)即虛擬局域網, 是一種通過將局域網內的設備邏輯地(而不是物理地)劃分成一個個網段從而實現虛擬工作組的新興技術。采用交換式局域網技術(ATM或以太交換)的校園網絡, 可以用VLAN 技術來加強內部網絡管理。VLAN 技術的核心是網絡分段, 根據不同的應用業(yè)務以及不同的安全級別, 8 將網絡分段并進行隔離, 實現相互間的訪問控制, 可以達到限制用戶非法訪問的目的。

3.5安裝補丁程序和網絡版殺毒產品

操作系統(tǒng)都有漏洞, 作為網絡系統(tǒng)管理員就有責任及時地將“補丁”(Patch)打上。大部分校園網服務器使用的是微軟的Windows NT/2000 操作系統(tǒng), 因為使用的人特別多, 所以發(fā)現的Bug 也特別多, 同時,蓄意攻擊它們的人也特別多。微軟公司為了彌補操作系統(tǒng)的安全漏洞, 在其網站上提供了許多補丁, 可以到網上下載并安裝相關升級包。計算機病毒的特點是具有非授權的可執(zhí)行性、隱蔽性好、感染性強、潛伏得深、破壞性廣泛、有條件地觸發(fā)而發(fā)作、新病毒層出不窮等。計算機病毒的危害多種多樣。病毒程序會消耗資源使網絡速度變慢;病毒會干擾、改變用戶終端的圖像或聲音, 使用戶無法正常工作: 有些病毒還會破壞文件、存儲器、軟件和硬件。使部分網絡癱瘓有些病毒會在硬盤上設置遠程共享區(qū), 形成后門, 為黑客大開方便之門。目前, 大多數反病毒廠商(如瑞星、冠群金辰、趨勢、賽門鐵克、熊貓等)都已經推出了網絡版的殺毒軟件;同時, 在網絡版的殺毒軟件使用中, 必須要定期或及時升級殺毒軟件。

安全防范體系的建立不是一勞永逸的，校園網絡自身的情況不斷變化，新的安全問題不斷涌現，必須根據情況的變化和現有體系中暴露出的一些問題，不斷對此體系進行及時的維護和更新，保證網絡安全防范體系的良性發(fā)展，確保它的有效性和先進性。

4.校園網安全設計方案

針對上述分析當今校園網普遍面臨的安全隱患。特別是近年來，隨著學生宿舍、教職工家屬等接入校園網后，網絡規(guī)模急劇增大。同時，校園網絡的應用水平也在不斷提高。規(guī)模的壯大和運用水平的提高就決定了校園網面臨的隱患也相應加劇。下圖是比較普遍的校園網拓撲結構?；诖藞D，我將從物理、系統(tǒng)、網絡、應用及管理五個層次分析和設計適合于校園網的安全建議方案。

1．物理層安全

物理層的安全主要包括環(huán)境、設備及線路的安全。系統(tǒng)中心或機房的建設應遵照：GB50173-93《電子計算機機房設計規(guī)范》、GB2887-89《計算機站場地安全要求》及GB2887-89《計算機站場地技術條件》的要求。在設備集中的管理間安裝干擾器防止由于設備輻射造成的信息泄漏。同時，要注意保護線路的安全，防止用戶的搭線行為。2.系統(tǒng)安全

系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數據庫、及相關產品的安全漏洞和病毒造成的威脅。解決的技術手段主要有以下幾種：

①用主機加固手段對主機加固，如升級、打補丁、關閉不需要的端口等；

②用主機訪問控制手段加強對主機的訪問控制； 3．網絡層安全

校園網中局域網數目較多，根據需要多個網絡可能要互相聯接。正是這種多網的互聯，使我們對網絡層的安全要極度重視。定義一個網絡或各網絡內不同安全等級的部分為不同的安全域。安全域之間的連接處叫網絡邊界。下面主要討論以下幾方面的網絡層安全防護：

①劃分安全子網。如果同一局域網內有不同等級的安全域，可以通過劃分子網及 10 VLAN的方法加以訪問控制。如在教學局域網中學生機房和多媒體機房之間可以通過劃分子網來控制，不允許學生機房的機器訪問多媒體機房的機器。

②加強網絡邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控制。如校園內網、校園外網和Internet之間，利用防火墻進行訪問控制和內容過濾?？捎行У亟鉀Q需求中提到的多種威脅

③防止內外的攻擊威脅。在每個安全域內或多個安全域之間安裝入侵檢測系統(tǒng)（IDS）,可有效地防止來自網絡內外的攻擊。

④定期的網絡安全性檢測實現持續(xù)安全。利用漏洞掃描器（Scanner）,定期對系統(tǒng)進行安全性評估，及時發(fā)現安全隱患并實施修補，可達到網絡的相對持續(xù)安全。

⑤建立網絡防病毒系統(tǒng)。在校園網中安裝網絡版的防毒系統(tǒng)，集中控制、管理查殺網絡中服務器、終端的病毒，保護全網不被病毒侵害。

4．應用層安全

應用層的安全措施主要有以下幾點：

①應用系統(tǒng)自身的加固； ②建立身份驗證系統(tǒng)； ③建立審計系統(tǒng)； ④建立備份系統(tǒng)； 5． 管理層安全

實現管理層的安全主要注意以下幾點：

① 建立安全管理平臺。主要是指將各種安全系統(tǒng)或設備集中控管、綜合分析。

② 建立、健全安全管理體制。校園網用戶較多，一定要建立一套合理可行的安全管理制度。只有制度和設備的完美結合才能真正提高校園網的安全水平。③ 提高全員的安全意識。

5.安全方案實施后的效果

校園網在實施全局安全方案后，校園網在安全方面和管理方面都有大的改善。5.1校園網安全方面

校園網在實施了全局安全防御系統(tǒng)后實現了校園網全局的安全部署，包括:全部學 生宿舍、教師宿舍、機房和辦公區(qū)域。

全局安全防御系統(tǒng)可以對所有安全事件、網絡病毒攻擊行為、用戶行為和用戶主 11 機安全信息進行深入分析和全局監(jiān)控。通過這種實時全網偵測，可以在第一時間內將網絡異常現象通過接入層隔離出網絡，使得網絡異?，F象完全不影響核心網絡:在發(fā)現安全問題后能自動對用戶進行安全事件告警，并迅速根據用戶身份選擇將用戶隔離到安全修復區(qū)域或自動阻斷異常數據流該系統(tǒng)部署完成后，對網絡內的安全事件和網絡病毒進行了有效抑止。

另外，通過校園網全局安全防御系統(tǒng)的主機信息獲取和完整性(HostIntegrity)檢測，能夠清楚網絡中的應用情況，并約定用戶主機的準入標準，比如:校園網用戶可以安裝什么軟件，禁止安裝何種軟件。這一方面，獲取的主機信息可以為校園網管理的決策提供判斷依據。另一方面，從側面體現了學院網絡中心的職責轉變，從單一的維護向對網絡平臺的可靠運行負責的轉變，其中就涉及對網絡相應規(guī)則、制度的制定。

此外，通過校園網全局安全防御系統(tǒng)先進的“免疫型”防ARP欺騙改擊手段，能夠徹底解決ARP攻擊帶來的安全漏洞和斷網事件的發(fā)生。過去，我們只有在某個區(qū)域發(fā)生斷網之后，才去判斷是否是ARP欺騙，并進行手工處理。若用戶未能完全殺毒，極可能又會引起該區(qū)域的網絡中斷。由于校園網全局安全防御系統(tǒng)自動的ARP防范，網絡中心的老師再也不用為了一個小小的欺騙犯愁了，而是可以將大量的時間和精力投入到更有意義的事情中去。

5.1.1完善的主機完整性檢測

校園網全局安全防御系統(tǒng)通過獲取接入網絡的主機信息(軟件安裝情況、硬件配置、網絡信息)來了解主機的情況，管理員通過對主機的安全狀態(tài)進行判斷后，即可制定出對應的主機完整性即HI(Host Integrity)規(guī)則，來保障主機必須/禁止安裝哪些軟件、必須/禁止開啟嘟些服務、必須/禁止運行哪些進程以及管理注冊表中對應鍵值的數值，通過這些檢測，對主機的安全情況有了一個細致的檢測，同時，在檢測失敗后，給出用戶如何修復不安全因素的解決方法，同時，對用戶的上網行為進行限制，例如只允許訪問修復服務器去下載補丁或這相關軟件。通過主機完整性檢測的啟用，保障了用戶安裝并開啟必須的防范軟件和服務，同時對病毒所引起的注冊表修改等行為也可以有效的恢復，最重要的是，通過這些行為與網絡控制的結合，使得用戶必須通過主機完整性檢測才能入網，否則就是無法上網辦公，保障了安全手段的強制 12 性，也將不安全因素排除在了網外。如圖5-1

圖5-1 SMP的主機完整性(HI)檢測

5.1.2安全的聯動防范網絡攻擊

在校園網的全局安全解決方案中，除了傳統(tǒng)的入侵檢測設備IDS的加入外，還加入了IDS跟安全管理平臺SMP的聯動，在發(fā)現安全事件之后，可以及時準 確的定位到攻擊的發(fā)起者，并通過下發(fā)安全策略、警告消息和修復程序來制止攻擊者保護被攻擊者，必要時可以通過定位攻擊者采取行政手段。在ARP病毒防 范方面，全局安全防御通過安全網關、安全智能交換機、SMP和SU之間的聯動，實現了網關的綁定，ARP表的靜態(tài)維護，客戶端IP-MAC的綁定，通過多重工 事的立體防御。

第一重:網關防御，如圖5-2 13

網關防御的實現過程如下:(1)SMP通過SAM學習已通過認證的合法用戶的IP-MAC對應關系.(2)SMP將用戶的ARP信息通知相應網關。(3)網關生成對應用戶的可信任ARP表項。通過網關防御可以實現以下效果:(1)攻擊者冒充用戶IP對網關進行欺騙。

(2)真正的用戶已經在網關的可信任ARP表項中，欺騙行為失敗。

可信任ARP是全局安全防御系統(tǒng)功能專署的表項。通過聯動SMP，動態(tài)學習己通過認證的用戶ARP，保障合法用戶的上網質量?？尚湃蜛RP是一種介于 靜態(tài)和動態(tài)ARP之間的地址表項。與靜態(tài)ARP不同，可信任ARP也有老化機 制，過期自動刪除;可信任ARP有專門預留的地址空間，不會被動態(tài)ARP所修 改?？尚湃蜛RP能夠自動檢測用戶是否在線?？尚湃蜛RP老化時，會自動檢側用戶在線情況，如果用戶在線，會自動恢復生存周期。

第二重:用戶端防御，如圖5-3 14

用戶端防御的實現方法如下:(1)在SMP上設置網關的正確IP-MAC對應信息。(2)用戶認證通過，SMP將網關的ARP信息下傳至SUo(3)SU靜態(tài)綁定網關的ARP o 通過用戶端防御，可以實現以下效果:(1)攻擊者冒充網關欺騙合法用戶。

(2)用戶已經靜態(tài)綁定網關地址，欺騙攻擊無效。

第三重:交換機非法報文過濾，如圖5-4

交換機非法報文過濾，是通過S21和29系列交換機的安全功能來實現的，具體實現方法如下:(1)用戶認證通過后，21交換機會在接入端口上綁定用戶的IP-MAC對應信 息。

15(2)21交換機對報文的源地址進行檢查，對非法的攻擊報文一律丟棄處理。(3)該操作不占用交換機CPU資源，直接由端口芯片處理。圖S-4 ARP防御的第三重—交換機非法報文過濾 交換機非法報文過濾可以實現以下的效果:(1)攻擊者偽造源IP和MAC地址發(fā)起攻擊。(2)報文不符合綁定規(guī)則，被交換機丟棄。

通過以上的三重立體ARP防護方法，解決了ARP欺騙中的網關型欺騙，中間人欺騙以及ARP泛洪攻擊，給我們的局域網帶來更加干凈的網絡環(huán)境。

5.2網絡管理方面

5.2.1入網身份驗證

作為全局安全的身份基礎平臺，SAM系統(tǒng)實現了蘇州托普信息職業(yè)技術學 院全體學生宿舍、教師宿舍、辦公和公共機房身份認證。該系統(tǒng)基于802.1 x技 術，實現了對用戶的身份和IP, MAC、交換機端口、交換機IP等信息嚴格綁定，一旦出現安全事件，可迅速追查到人。SAM系統(tǒng)提供的完善的計費運營功能，為校園網運營提供了足夠的數據支撐。通過該系統(tǒng)的部署，有效的防止了IP地 址盜用，極大的減輕了校園網管理的運營負擔，并為全局網絡安全提供了基礎身 份平臺。如下圖5-5，5-5份認證

而入網身份驗證的多元素綁定，也有效的杜絕了IP地址沖突現象的發(fā)生，只有用自己的IP才能登陸上網，而通過用戶漫游功能，也實現了用戶在不同地 區(qū)認證上網的需求。如圖5-6 16

5-6網身份驗證多元素綁定

5.2.2防非法外聯

通過SAM的防非法外聯功能，可以限制接入主機的撥號、架設代理的功能，防止不受控的上網行為發(fā)生，將危險置之網外，如圖5-3

圖

5-7加接入控制組

5.3小結

隨著網絡的普及，校園網給教師和老師的學習、生活、工作和院校的管理帶來了很大的便利，但隨之而來，也產生了許多問題。校園網系統(tǒng)龐大，設備來源多，管理復雜，師生的安全意識不強，管理層資金短缺，各種操作系統(tǒng)以及應用系統(tǒng)自身的漏洞等諸多因素導致了校園網的不安全，如信息的泄露，非法用戶入侵，黑客攻擊等。17 因此，校園網的安全問題越來越受關注。本文分析了校園網的現狀及對校園網安全造成威脅的諸多因素，從而提出了校園網安全設計方案，解決了校園網的安全問題。

參考文獻

[1]劉永華，解圣慶，張鳳云。局域網組建、管理與維護[M]北京：清華大學出版社。

[2]劉欽創(chuàng)。網絡安全技術與應用[J]2006.2.1期

[3]賈鐵軍，王堅，沈學東。網絡安全技術及應用實踐教程[M]北京：機械工業(yè)出版社，2009.2 [4]趙安軍，徐邦海。網絡安全及應用[M]北京：北京人民出版社。[5]田寶玉。計算機網絡與信息安全[M] 北京：北京郵電大學出版社。[6]劉欽創(chuàng)?，F代計算機。[J]2006.3.25 期

致謝

首先感謝葉濤老師在我論文的選題、寫作過程中給予的細致關心和指導。在論文的選題和研究方面，葉老師提出了很多指導性的意見，很受啟發(fā)。

感謝學院三年來的授業(yè)解惑，使我在專業(yè)技術方面得到了很大的提高，開闊了視野，為今后的工作打下了良好的基礎。

感謝新鄉(xiāng)學院的同學們，大家一起學習，一起探討，互相幫助合作，度過了充實快樂的時光。

最后，再次向所有幫助和關心過我的人們表示由衷的感謝!

張新

2010年4月12日

第三篇：物理教研工作總結 朱堅

物理教研工作總結 朱堅

本學期，物理科組在校領導的關心與支持下，本著團結互助，努力工作的態(tài)度，以常規(guī)教學為重點，以第二課堂活動為發(fā)展的目標，扎實的做好各項基本工作，取得了一些成績，現總結如下幾個方面 一：扎實做好常規(guī)教學工作

1、開學初，開了全組教師會議，學習了學校在本學期的工作計劃和校教導處的工作設想，明確了工作目標，制訂了物理組在本學的工作計劃，要求教師們認真做好教學的常規(guī)工作，各班統(tǒng)一教學進度，統(tǒng)一練習，本學期的分層教學工作開展正常。課堂上注重分層教學，在學生中開展“一幫一”活動，讓好成績學生在課外輔導成績較差學生，爭取共同上進。

2、做好科組備課工作，按學校的要求，本學期認真做好科組集體備課與備課組工作，在本學期共開展了11次科組活動，傳達與落實有關工作要求與交流教學心得與經驗，在活動中，大家積極發(fā)言，暢所欲言，把自己的教學困惑在科組中進行交流，探討解決辦法，取得了較好的效果，實現了教研的有效性。

3、“一幫一”工作開展正常。本學期科組許文龍與黃丹、陳文龍與周潔芳結對子，實行幫扶工作，通過互相聽課，互相交流等方式，促進教學水平的發(fā)展，效果還有待觀察。

4、以“三案定學”為教研平臺，進行“核心循環(huán)教學法”課堂教學改革：努力提高科組教師的教學水平，本學期許多老師上了公開課。本學期，在江主任親自帶領下，本科組在“核心循環(huán)教學法”方面做了嘗試，以“三案定學”為平臺，由國正老師上了一堂“天平”的“同課異構”課。江主任的親自參與課堂教學，對全科組是一種極大的激勵。科組全體老師通過認真聽課，課后，大家對“天平”一課進行了熱烈的討論，并就三案定學的疑問與校長進行了交流與討論，讓大家對“三案定學”有了較全面與深刻的體會與認識。通過本次活動，大家又積極參與到“三案定學稿”的編寫中，通過每人編寫一個，在進行討論的方式，大家確定了三案定學的編寫要求與原則，寒假期間也分工了大家對初二下冊的全冊內容進行分工。下學期將在初二進行三案定學的教學嘗試。

5、積極參加市各種交流活動，提高教師的業(yè)務能力。本學期共參加了在龍洞中學、龍?zhí)吨袑W、舉行的“初中物理教學研討會”，通過聽課，講座，提高了大家教學水平。二：認真開展第二課堂活動

1、在校慶科技節(jié)活動中，全組教師同心協(xié)力。承擔了校慶科技節(jié)的主要工作，如朱老師負責雞蛋撞地球，佘海英負責了科技知識大比拼，葉逸偉負責遙控車比賽，許文龍負責機器人滅火表演，葉樹權負責遙控飛機表演，陳文龍、葉逸偉、周潔芳負責紙火箭的知識講座與比賽。這些科技活動的開展豐富了學生的知識。煅煉了學生能力，培養(yǎng)了學生學習興趣。

2、第二課堂活動內容豐富取得了一些成績：本學期科組共承擔了初二奧物競賽、初三奧物競賽中學生物理創(chuàng)意實驗興趣小組。這些活動能做到定地點，定時間，定人員。有計劃的開展。獲得單項比賽冠軍1人次，亞軍二等獎2人次，季軍三等獎3人次的好成績。

3、加強學生的科技創(chuàng)新與科技制作，在?？萍脊?jié)活動中，共收到學生作品52件，在此基礎上評出了一、二、三等獎，并篩選出22件優(yōu)秀作品，在鎮(zhèn)博物館進行展覽，取得了較好的效果。

第四篇：校園網安全管理條例

校園網安全管理條例

校園網是學校重要的基礎設施之一，為全體師生員工提供一種先進、可靠、安全的計算機網絡環(huán)境，支持學校的教學、科研和管理工作。為充分發(fā)揮校園網的作用，特制訂本條例。

1.校園網的所有工作人員必須遵守國家有關法律、法規(guī)，嚴格執(zhí)行安全保密制度，并對所提供的信息負責。

2.任何個人不得利用計算機網絡從事危害國家安全、泄露國家秘密的活動；不得查閱、復制和傳播有礙社會治安和傷風敗俗的信息。

3.校園網的所有工作人員和用戶必須接受和配合學校治安部門依法進行的監(jiān)督檢查和采取的必要措施。

4.校園網實行統(tǒng)一管理、分層負責制。網絡中心對校管資源進行管理，各部門管理人員負責部門級資源的管理，計算機系統(tǒng)管理員對計算機系統(tǒng)進行管理。

5.嚴禁任何用戶擅自連入校園網，入網單位和個人要辦理入網登記手續(xù)，并簽署相應的信息安全協(xié)議。

6.各部門設專人負責審查上網信息，嚴禁涉及國家機密的信息上網。

7.校園網工作人員和用戶在網絡上發(fā)現有礙社會治安和不健康的信息時有義務及時上報網絡管理人員，并自覺立即刪除。

8.校園網各部門管理機構設定網絡安全員，負責相應的網絡安全和信息安全工作，并定期對網絡用戶進行有關信息安全和網絡安全教育。

9.違反本條例規(guī)定，有下列行為之一者，校園網絡中心可提出警告或停止其使用網絡；情節(jié)嚴重者，提交校行政部門或有關司法部門處理。

查閱、復制或傳播下列信息的；

煽動分裂國家、破壞國家統(tǒng)一和民族團結、推翻社會主義制度；

煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施；

捏造或者歪曲事實，故意散布謠言，擾亂社會秩序；

公然侮辱他人或者捏造事實誹謗他人；

宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等;

破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全活動;

盜用他人賬號;

私自轉借、轉讓用戶賬號造成危害;

故意制作、傳播計算機病毒等破壞性程序;

不按國家和學校有關規(guī)定擅自接納網絡用戶;

上網信息審查不嚴，造成嚴重后果。

第五篇：校園網安全管理條例

校園網安全管理條例

校園網是學校重要的基礎設施之一，為全體師生提供一種先進、可靠安全的計算機網絡環(huán)境，支持學校的教學、科研管理工作。為充分發(fā)揮校園網的作用，特制訂本條例。

1、校園網的所有工作人員和用戶必須遵守國家有關法律、法規(guī)，嚴格執(zhí)行安全保密制度，并對所提供的信息負責。

2、任何個人不得利用計算機網絡從事危害國家安全、泄露國家秘密的活動。不得查閱、復制和傳播有礙社會治安和傷風敗俗的信息。

3、校園網的所有工作人員和用戶必須接受并配合學校治安部門依法進行的監(jiān)督檢查和采取必要的措施。

4、校園網實行統(tǒng)一管理，分層負責制，網絡中心對校管資源進行管理，各科室、部門管理人負責對各科室、部門資源進行管理，計算機系統(tǒng)管理人員負責對各計算機系統(tǒng)的管理。

5、嚴禁任何用戶擅自連入校園網，入網單位和個人要辦理入網登記手續(xù)，并簽署相應的信息安全協(xié)議。

6、各單位設專人負責審查上網信息，嚴禁涉及國家機密的信息上網。

7、校園網工作人員和用戶在網絡上發(fā)現有礙社會治安和不健康的信息時，有義務及時上報網絡管理人員并自覺立即銷毀。

8、校園網各級管理機構設定網絡安全員，負責相應的網絡安全和信息安全工作，并定期對網絡用戶進行有關信息安全的網絡安全教育。

9、違返本條例規(guī)定，有一列行為之一者，校園網絡中心可提出警告，并停止其使用網絡。情節(jié)嚴重者，提交校行政部門和有關司法部門處理。

1）查閱復制傳播下列信息的：

A）煽動分裂國家，破壞國家統(tǒng)一和民族團結、推翻社會主義制度。

B）煽動抗拒、破壞憲法和國家法律、行政法規(guī)的實施。

C）捏造或者歪曲事實，故意散布謠言，擾亂社會次序。

D）公然侮辱他人或捏造事實毀謗他人。

E）宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。

2）破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全活動。

3）盜用他人帳號。

4）私自轉借、轉讓用戶帳號造成危害。

5）故意制作、傳播計算機病毒等破壞性程序。

6）不按國家和學校有關規(guī)定擅自接納網絡用戶。

7）上網信息審查不嚴，造成嚴重后果。