第一篇：中小學校園網網絡安全管理制度

中小學校園網網絡安全管理制度

一、校園網的安全運行和所有網絡設備的管理維護工作由學校網絡 管理中心負責。

二、網絡管理中心機房 要裝置調溫、調濕、穩(wěn)壓、接地、防雷、防火、防盜等設備，保證網絡設備的安全運行，要建立完整、規(guī)范的校園網設備運行情況檔案及網絡設備帳目，認真做好各項資料(軟件)的記錄、分類和妥善保存工作。

三、除網絡管理中心外，其他單位或個人不得以任何方式試圖登陸校園網后臺管理端，不得對服務器等設備進行修改、設置、刪除等操作。

四、校園網對外發(fā)布信息的 WEB 服務器中的內容，必須經發(fā)布信息的學校部門負責人審核并簽署意見后，交校辦公室審核備案，由網絡管理中心從技術上開通其對外的信息服務。

五、網絡使用者不得利用各種網絡設備或軟件技術從事用戶賬戶及口令的偵聽、盜用活動，該活動被認為是對校園網網絡用戶權益的侵犯。

六、為防范黑客攻擊，校園網出口處應設置硬件防火墻。若遭到黑客攻擊，網絡管理中心必須在二十四小時內向當?shù)乜h以上 公安機關報告。

七、嚴禁在校園網上使用來歷不明及可能引發(fā)計算機病毒的軟件。外來軟件應使用經 公安部門頒發(fā)了《計算機信息系統(tǒng)安全專用產品銷售許可證》的殺毒 軟件檢查、殺毒。

八、不得在校園網及其聯(lián)網計算機上傳送危害國家安全的信息(包括多媒體信息)、錄閱傳送淫穢、色情資料。

九、校園網的系統(tǒng)軟件、應用軟件及信息數(shù)據(jù)要實施保密措施。信息資源分不同的保密等級對學校各部門開放。

十、雙休日、節(jié)假日，要有專人檢查網絡運行情況。

十一、學校網絡管理中心必須遵守 國家公安部及省公安廳關于網絡管理的各項法律、法規(guī)和有關 技術規(guī)范，監(jiān)控、封堵、清除網上有害信息。為了有效地防范網上非法活動，校園網要統(tǒng)一出口管理、統(tǒng)一用戶管理，進出校園網訪問信息的所有用戶必須使用網絡管理中心負責設立的代理服務器、Email 服務器。

十二、服務器必須保持日志記錄功能，歷史記錄保持時間不得低于 60天。

中小學網絡管理員任職條件及工作職責

一、網絡管理員任職條件、具有大專以上學歷，掌握扎實的計算機基礎知識，接受過網絡專業(yè)知識培訓并獲相應的資格證書，具有一定的校園網網絡管理技能，勝任本職工作。、遵守國家公安部及省公安廳關于網絡管理的各項法律、法規(guī)。嚴守國家機密。

3、思想端正，作風扎實，責任心強。、熱心校園網管理工作，工作積極主動。

二、網絡管理員工作職責、在學校領導和網絡管理中心負責人的領導下，負責學校校園網的管理工作。承擔學校網絡安全運行，為學校教學、辦公、學習、生活等提供安全、暢通的高速信息通道的工作職責。、每天實時監(jiān)控校園網運行情況，定時巡察校園網內各服務器、各子網及各用戶點的運行狀態(tài)，及時做好值班記錄。、每天監(jiān)控防火墻、過濾網及殺毒軟件的運行，并做好記錄。在學校網站上及時公布目前互聯(lián)網上病毒及防病毒的動態(tài)及學校防病毒方面的要求及措施，及時做好防病毒軟件的更新、升級工作。

4、定時做好校園網各種運行軟件的數(shù)據(jù)備份工作。備份文檔每季度整理一次，并刻錄成光盤保存，根據(jù)制度只提供相關部門人員查看。、定時對服務器、各部門用戶的重要數(shù)據(jù)、文件進行備份，防止信息資源的丟失。

6、管理校園內所有網絡設備，及時發(fā)現(xiàn)故障，向主管部門提出處理意見并及時維修。

7、及時升級操作系統(tǒng)以及必要的軟件和硬件。、針對網絡系統(tǒng)的應用進行流量監(jiān)控，管理好內部局域網絡和 INTERNET 之間的數(shù)據(jù)信息，為學校教學教務工作提供優(yōu)質的服務。

中小學計算機教室管理制度

一、計算機教室是 信息技術教育的重要場所，供師生教學、培訓使用。

二、學校要加強對計算機教室的管理，安排專職或兼職管理員 負責計算機教室的日常管理、使用、保養(yǎng)、維護、安全工作。

三、做好計算機及輔助設備、軟件及有關文件資料的登記造冊工作。要分類編號定位，逐一登記入賬，做到賬據(jù)齊全、賬物相符。

四、做好計算機教室清潔衛(wèi)生工作，保持室內整潔。

五、做好設備日常維護保養(yǎng)工作。要有防塵、防潮、防高低溫、防曬、防靜電等措施。雨季和假期要定時開機。

六、嚴控外來磁盤、光盤和優(yōu)盤等存儲介質的使用，定期進行計算機病毒檢測和殺毒工作。

七、建立工作日志，記載每天計算機教室的日常工作情況。建立每臺計算機的使用、保養(yǎng)、故障維修的技術檔案。

八、加強 防火、防盜的 安全保衛(wèi)工作。機房內嚴禁明火并合理配置消防器材，管理員應正確掌握消防器材的使用方法。下班離開教室時，管理員要負責關閉電源、鎖好門窗。

九、禁止擅自拆裝硬件，凡有人為損壞，查明責任、照價賠償。

十、禁止使用人員對計算機教室機器的系統(tǒng)軟件進行刪改, 未經許可不得隨意安裝應用系統(tǒng)軟件,禁止 通過本教室機器傳播病毒、攻擊性程序，以及有不健康內容的文件。

中小學計算機操作規(guī)程

一、進入機房前要更換專用拖鞋或使用鞋套，可攜帶上機操作必備的課本、資料和練習本。書包和其它物品應放在指定地點。

二、計算機教室實行定人定位及上機登記制度。學生上機時按指定位置入座，填寫《上機登記表》?！渡蠙C登記表》包括姓名、班級、上機時間、機器狀況、離機時間等內容。

三、開機前，應先檢查電源和計算機設備，并查看該座位的 《上機登記表》，發(fā)現(xiàn)問題及時報告。

四、嚴格遵守上機操作程序：先打開顯示器等外部設備，再打開主機電源；關機時順序相反。不準頻繁關啟電源，關開機間隔在一分鐘以上。

五、上機操作必須在教師的指導下進行。出現(xiàn)異常情況，應及時報告計算機教師，不得自行處理。

六、不得在機上玩游戲或進行與教學無關的操作。

七、不得私自修改計算機系統(tǒng)配置，如設置密碼、增刪軟件等。

八、在使用計算機過程中，不得晃動或搬運機箱及設備，不得插接或拔下各種聯(lián)結線和接口卡。

九、學生上機時，應遵守機房紀律，不得大聲喧嘩，不要隨意下位走動。保持機房清潔衛(wèi)生。

十、注意愛護計算機以及教室內的其它物品。上機完畢，應主動把各項物品放回原處。

第二篇：中小學網絡安全管理制度

余慶縣中小學網絡安全管理制度

1、組織教職工認真學習《計算機信息網絡國際互聯(lián)網安全保護管理辦法》，提高教職員工的維護網絡安全的警惕性和自覺性。

2、校園網絡設施系學校貴重財產和精密設備，學校師生應嚴格執(zhí)行有關規(guī)定。

3、校園網絡要有完備的防火、防潮、防盜、防磁、防雷、防觸電、防病毒和防黑客侵入等設備和措施。中心機房應安裝空調，保持室溫、溫度穩(wěn)定。

4、學校應制定《網絡事故安全預案》，師生應掌握其相關內容。當發(fā)生緊急事件時按照《網絡事故安全預案》進行處理。

5、校園網絡管理人員負責監(jiān)控校園網絡的運行狀態(tài)，隨時了解網絡運行情況，如有異常，應及時處理，保證學校的教育教學和各項管理正常進行。

6、校園網絡管理人員應隨時查看網絡日志，屏蔽含有有害數(shù)據(jù)的網頁。

7、師生不得在網絡上發(fā)布不真實的信息、散布有害信息（包括計算機病毒、反動信息等）、進入未經授權使用的計算機和不以真實身份使用網絡資源，禁止訪問不明網站，瀏覽反動、色情淫穢網頁；不準攻擊內部或者外部的任何機器。

8、學校師生在發(fā)現(xiàn)有害信息或數(shù)據(jù)時，應及時向校園網絡管理人員報告，并保護現(xiàn)場及相關資料。

9、教職工必須認真保管自己的機器賬號和網管授權使用的賬號，應對所使用的數(shù)據(jù)做好定期備份，在緊急時刻應立即備份。

10、學校要積極接受并配合公安機關的安全監(jiān)督、檢查和指導，如實向公安機關提供有關安全保護的信息、資料及數(shù)據(jù)文件，協(xié)助公安機關查處通過國際聯(lián)網的計算機信息網絡的違法犯罪行為。

11、上班時間不準上網玩游戲、看電影、聊天等做與工作無關的事情，嚴禁利用校園網進行賭博、詐騙等非法活動和行為。

第三篇：校園網網絡安全設計方案

[摘要] 計算機網絡安全建設是涉及我國經濟發(fā)展、社會發(fā)展和國家安全的重大問題。本文結合網絡安全建設的全面信息，在對網絡系統(tǒng)詳細的需求分析基礎上，依照計算機網絡安全設計目標和計算機網絡安全系統(tǒng)的總體規(guī)劃，設計了一個完整的、立體的、多層次的網絡安全防御體系。

[關鍵詞] 網絡安全方案設計實現(xiàn)

一、計算機網絡安全方案設計與實現(xiàn)概述

影響網絡安全的因素很多，全的主要技術有防火墻技術、入侵檢測技術、安全評估技術、防病毒技術、加密技術、身份認證技術，等等。為了保護網絡系統(tǒng)的安全，行整合，建立一個完整的、立體的、解決方案，可以防止安全風險的各個方面的問題。

二、計算機網絡安全方案設計并實現(xiàn)

1.桌面安全系統(tǒng)

用戶的重要信息都是以文件的形式存儲在磁盤上，這樣可以提高辦公的效率，動辦公的情況更是如此。件泄密等安全隱患。

本設計方案采用清華紫光公司出品的紫光信息安全保護系統(tǒng)”的商品名稱。紫光算協(xié)處理器（CAU）、只讀存儲器（儲器（E2PROM）等，以及固化在tem）、硬件ID號、各種密鑰和加密算法等。紫光artCOS，其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，2.病毒防護系統(tǒng)

基于單位目前網絡的現(xiàn)狀，在網絡中添加一臺服務器，用于安裝必須結合網絡的具體需求，將多種安全措施進多層次的網絡安全防御體系，SS鎖的內部集成了包括中央處理器（ROM），隨機存儲器（ROM內部的芯片操作系統(tǒng)這樣一個全面的網絡安全使用戶可以方便地存取、修改、分發(fā)。造成泄密。特別是對于移防止文“紫光S鎖”是清華紫光“桌面計算機CPU）、加密運RAM）、電可擦除可編程只讀存COS（Chip Operating SysS鎖采用了通過中國人民銀行認證的Sm防止非法軟件對S鎖進行操作。IMSS。

保護網絡安全的技術、手段也很多。一般來說，保護網絡安但同時也造成用戶的信息易受到攻擊，因此，需要對移動用戶的文件及文件夾進行本地安全管理，鎖產品，（1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產品可以和Domino的群件服務器無縫相結合并內嵌到Notes的數(shù)據(jù)庫中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件，實時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。

（2)服務器防毒。采用趨勢科技的ServerProtect。該產品的最大特點是內含集中管理的概念，防毒模塊和管理模塊可分開安裝。一方面使所有服務器的防毒系統(tǒng)可以從單點進行部署，管理和更新。（3)客戶端防毒。采用趨勢科技的使管理者通過單點控制所有客戶機上的防毒模塊，更新。其最大特點是擁有靈活的產品集中部署方式，不受支持SMS，登錄域腳本，共享安裝以外，還支持純（4)集中控管TVCS。管理員可以通過此工具在整個趨勢科技的防病毒軟件，支持跨域和跨網段的管理，無論運行于何種平臺和位置，裝和分發(fā)代理部署，網絡的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警報，給管理帶來極大的便利。3.動態(tài)口令身份認證系統(tǒng)動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎上，通過十次以上的非線性迭代運算，先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。4.訪問控制“防火墻”

單位安全網由多個具有不同安全信任度的網絡部分構成，訪問、辨別身份偽裝等方面存在著很大的缺陷，方案選用四臺網御防火墻，這些重要部門的訪問控制。通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部署防火墻，過防火墻將網絡內部不同部門的網絡或關鍵服務器劃分為不同的網段，保護了單位網絡服務器，使其不受來自內部的攻擊，來自單位網內部其他部門的網絡的攻擊。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另

OfficeScan。該產品作為網絡版的客戶端防毒系統(tǒng)，并可以自動對所有客戶端的防毒模塊進行Windows域管理模式的約束，除Web的部署方式。

企業(yè)范圍內進行配置、監(jiān)視和維護并能顯示基于服務器的防病毒產品狀態(tài)。TVCS在整個網絡中總起一個單一管理控制臺作用。簡便的安

結合生成動態(tài)口令的特點，加以精心修改，完成時間參數(shù)與密鑰充分的混合擴散。在此基礎上，采用在控制不可信連接、分辨非法從而構成了對網絡安全的重要隱患。本設計實現(xiàn)通彼此隔離。這樣不僅也保護了各部門網絡和數(shù)據(jù)服務器不受如果有人闖進您的一個部門，或者如果病毒開始蔓

分別配置在高性能服務器和三個重要部門的局域網出入口，延，網段能夠限制造成的損壞進一步擴大。5.信息加密、信息完整性校驗

為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網之間建立起獨立的安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。SJW-22網絡密碼機系統(tǒng)組成網絡密碼機（硬件）:是一個基于專用內核，具有自主版權的高級通信保護控制系統(tǒng)。本地管理器（軟件）絡密碼機本地管理系統(tǒng)軟件。中心管理器（軟件）機設備進行統(tǒng)一管理的系統(tǒng)軟件。6.安全審計系統(tǒng)根據(jù)以上多層次安全防范的策略，安全網的安全建設可采取的方法，“內審息是否泄密，以解決內層安全。安全審計系統(tǒng)能幫助用戶對安全網的安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網絡上的動態(tài)，發(fā)現(xiàn)網絡入侵和違規(guī)行為，重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關行為有關的信息。

在安全網中使用的安全審計系統(tǒng)應實現(xiàn)如下功能：成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。本設計方案選用漢邦安全審計系統(tǒng)是針對目前網絡發(fā)展現(xiàn)狀及存在的安全問題，人員而設計的一套網絡安全產品，制系統(tǒng)。

（1）安全審計系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構成。主機傳感器安裝在要監(jiān)視的目標主機上，其監(jiān)視目標主機的人機界面操作、監(jiān)控及共享資源的使用情況。心為主機傳感器設定監(jiān)控規(guī)則，文件保護審計和主機信息審計。①文件保護審計：:是一個安裝于密碼機本地管理平臺上的基于網絡或串口方式的網

:是一個安裝于中心管理平臺（忠實記錄網絡上發(fā)生的一切，”的安全審計系統(tǒng)作為安全審計工具。是一個分布在整個安全網范圍內的網絡安全監(jiān)視監(jiān)測、同時獲得監(jiān)控結果、Windows系統(tǒng)）上的對全網的密碼“加密”、“外防”、“內審”相結合提供取證手段。作為網絡安全十分安全審計數(shù)據(jù)生

面向企事業(yè)的網絡管理控RAS連接、監(jiān)控網絡連接情況網絡管理員通過安全監(jiān)控中主要功能有

”是對系統(tǒng)內部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以及內部機密信安全審計自動響應、“漢邦軟科安全監(jiān)控中心是管理平臺和監(jiān)控平臺，報警信息以及日志的審計。文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理

規(guī)則設置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護進行用戶管理。

②主機信息審計:對網絡內公共資源中，所有主機進行審計，可以審計到主機的機器名、當前用戶、操作系統(tǒng)類型、IP地址信息。

（2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內，系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結束。

②監(jiān)視鍵盤:在用戶指定的時間段內，截獲戶實時控制鍵盤截獲的開始和結束。③監(jiān)測監(jiān)控RAS連接：在用戶指定的時間段內，記錄所有的時控制ass連接信息截獲的開始和結束。當連接的操作。

④監(jiān)測監(jiān)控網絡連接：在用戶指定的時間段內，記錄所有的網絡連接信息UDP，NetBios）。用戶實時控制網絡連接信息截獲的開始和結束。由用戶指定非法的網絡連接列表，當出現(xiàn)非法連接時，系統(tǒng)將自動進行報警或掛斷連接的操作。單位內網中安全審計系統(tǒng)采集的數(shù)據(jù)來源于安全傳感器，保證探頭能夠采集進出網絡的所有數(shù)據(jù)。上，負責為主機傳感器設定監(jiān)控規(guī)則，同時獲得監(jiān)控結果、報警信息以及日志的審計。內網中的安全計算機為600臺，需要安裝7.入侵檢測系統(tǒng)IDS

入侵檢測作為一種積極主動的安全防護技術，實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。的角度出發(fā)，入侵檢測理應受到人們的高度重視，可以看出。

根據(jù)網絡流量和保護數(shù)據(jù)的重要程度，選擇的交換機處放置，核心交換機放置控制臺，和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。在單位安全內網中，入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網和其他部門子網之間，通過實時截取網絡上的是數(shù)據(jù)流，他網絡違規(guī)活動。8.漏洞掃描系統(tǒng)

本內網網絡的安全性決定了整個系統(tǒng)的安全性?；紥呙鐸型聯(lián)動型產品。I型聯(lián)動型產品適用于該內網這樣的高端用戶，持式掃描儀和機架型掃描服務器結合一體，網管人員就可以很方便的實現(xiàn)了集中管理的功能。網絡人員使用I型聯(lián)動型產品，程較高的掃描速度的掃描，可以實現(xiàn)和策略。同時移動式掃描儀可以跨越網段、支持定時和多IP地址的自動掃描，網管人員可以很輕松的就可以進行整個網絡的掃描，根據(jù)系統(tǒng)提供的掃描報告，配合我們提供的三級服務體系，高了工作效率。

聯(lián)動掃描系統(tǒng)支持多線程掃描，網管人員可以很輕松的對自己的網絡進行掃描和漏洞的彌補。同時提供了Host Sensor Programgas連接非法時，系統(tǒng)將自動進行報警或掛斷計算機，所以應在安全計算機安裝主機安全監(jiān)控中心安裝在信息中心的一臺主機600個傳感器。提供了對內部攻擊、從網絡安全的立體縱深、這從國際入侵檢測產品市場的蓬勃IDS探測器（百兆）配置在內部關鍵子網監(jiān)控和管理所有的探測器因此提供了對內部攻擊分析網絡通訊會話軌跡，在內網高性能服務器處配置一臺網絡隱200信息點以上的多個網絡進行多線IDS、防火墻聯(lián)動，尤其適合于制定全網統(tǒng)一的安全穿透防火墻，實現(xiàn)分布式掃描，服務器和掃描儀都大大的減輕了工作負擔，支持定時和多RAS連接信息。用戶實(外部攻擊和誤操作的 尋找網絡攻擊模式和其I型聯(lián)動型產品由手IP地址的自動掃描，Web，單位發(fā)展就用戶的所有鍵盤輸入，用

包括:TCP多層次防御 就可以很方便的對極大的提有較高的掃描速度，方式的遠程

管理，網管不需要改變如何的網絡拓撲結構和添加其他的應用程序就可以輕輕松松的保證了網絡的安全性。另外對于信息點少、網絡環(huán)境變化大的內網配置網絡隱患掃描II型移動式掃描儀。移動式掃描儀使用靈活，可以跨越網段、穿透防火墻，對重點的服務器和網絡設備直接掃描防護，這樣保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協(xié)調性，最大可能地消除安全隱患。

在防火墻處部署聯(lián)動掃描系統(tǒng)，在部門交換機處部署移動式掃描儀，實現(xiàn)放火墻、聯(lián)動掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動，保證了網絡安全隱患掃描儀和其他網絡安全產品的合作和協(xié)調性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，優(yōu)化資源，提高網絡的運行效率和安全性。

三、結束語

隨著網絡應用的深入普及，網絡安全越來越重要，有了更高的要求。一個特定系統(tǒng)的網絡安全方案，系統(tǒng)的實際應用而做。由于各個系統(tǒng)的應用不同，化為一個模式，用這個模子去套所有的信息系統(tǒng)。本文根據(jù)網絡安全系統(tǒng)設計的總體規(guī)劃控制、信息加密、信息完整性校驗、抗抵賴、安全審計、入侵檢測、漏洞掃描等方面安全技術和管理措施設計出一整套解決方案，目的是建立一個完整的、防御體系。

論文參考

國家和企業(yè)都對建立一個安全的網絡應建立在對網絡風險分析的基礎上，結合不能簡單地把信息系統(tǒng)的網絡安全方案固,從桌面系統(tǒng)安全、病毒防護、身份鑒別、訪問立體的、多層次的網絡安全

第四篇：鶴壁職業(yè)技術學院中小學校園網網絡安全知識講座通知

中小學校園網網絡安全知識講座通知

隨著，我市中小學校園網規(guī)模不斷擴大,網絡應用和網絡環(huán)境日趨復雜,影響校園網絡安全和信息安全的問題也日益增多。目前，我市中小學網絡用戶的安全意識和安全防范水平參差不齊，網絡病毒在校園網上廣泛傳播，導致大量終端用戶計算機感染病毒，不僅對用戶工作造成不必要的損失，而且使網速變慢、網絡擁堵現(xiàn)象頻繁，造成了網絡資源的極大浪費，嚴重危害校園網絡安全和信息安全。為增強我市中小學校園網抗擊病毒的能力，提高用戶的網絡安全意識，增強防御網絡病毒攻擊和查殺毒能力，我系在階梯教室舉辦了《校園網網絡安全知識講座》，主講人為曹老師，講座的主要內容包括：

（１）提高校園網用戶安全意識；

（２）常見病毒類型和查殺方法；

（３）提高網絡信息安全的方法和措施。

講座由各個中小學學生科負責網絡安全的老師和學生參加，歡迎大家踴躍參加。

鶴壁職業(yè)技術學院 電子信息工程系

2008年9月3日

第五篇：XX校園網網絡安全解決方案

網絡安全課程設計

目錄

一、校園網概況

二、校園網安全需求分析

三、產品選型和網絡拓撲圖介紹

四、操作系統(tǒng)安全配置與測試

五、應用服務器（WWW）安全配置

六、防病毒體系設計

七、防火墻設計、配置與測試

一、校園網概況 該校園網始建于2000年8月，至今已經歷了四個主要發(fā)展階段，網絡覆蓋已遍及現(xiàn)有的教學辦公區(qū)和學生宿舍區(qū)。截止目前，校園網光纜鋪設約一萬二千米，信息點鋪設接近一萬，開設上網帳號8000多個，辦理學校免費郵箱2000左右。

校園網主干現(xiàn)為雙千兆環(huán)網結構。校園網接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網絡性能。

校園網現(xiàn)有三條寬帶出口并行接入Internet，500兆中國電信、100兆中國網通和100兆中國教育科研網，通過合理的路由策略，為校園網用戶提供了良好的出口帶寬。

校園網資源建設成效顯著，現(xiàn)有資源服務包括大學門戶網站、新聞網站、各學院和職能部門網站、安農科技網站、郵件服務、電子校務、畢博輔助教學平臺、在線電視、VOD點播、音樂欣賞、公用FTP、文檔下載、軟件下載、知識園地、站點導航、在線幫助、系統(tǒng)補丁、網絡安全、個人主頁、計費服務、VPN、DHCP、域名服務等。還有外語學習的平臺，圖書館豐富的電子圖書資源，教務處的學分制教學信息服務網、科技處的科研管理平臺等。眾多的資源服務構成了校園網的資源子網，為廣大師生提供了良好的資源服務。

二、校園網安全需求分析

將安全策略、硬件及軟件等方法結合起來，構成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網絡，減少網絡的安全風險。

定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網統(tǒng)一防病毒。

通過對校園網網絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對服務器的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：

公開服務器的安全保護

防止黑客從外部攻擊

入侵檢測與監(jiān)控

信息審計與記錄

病毒防護

數(shù)據(jù)安全保護

數(shù)據(jù)備份與恢復

網絡的安全管理

針對這個企業(yè)局域網絡系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設計時應滿足如下要求：

1.大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；

2.保持網絡原有的能特點，即對網絡的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網絡設置；

3.易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

4.盡量不影響原網絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展；

5.安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；

6.安全產品具有合法性，及經過國家有關管理部門的認可或認證； 7.分布實施。

三、產品選型和網絡拓撲圖介紹

該校園網現(xiàn)行核心區(qū)選用銳捷核心交換機RG-S5750S系列，24端口10/100/1000M自適應端口（支持PoE遠程供電），12個復用的SFP接口，2個擴展槽。支持4K個802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。

防火墻采用深信服M5400VPN防火墻。2個LAN口，4個WAN口，2個串口。IPSec VPN隧道數(shù)：5200 條/并發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會話數(shù)：500/最大并發(fā)會話數(shù)目：600,000。接入層采用H3C S1048交換機，提供48個符合IEEE802.3u標準的10/100M自適應以太網接口，所有端口均支持全線速無阻塞交換以及端口自動翻轉功能，外形采用19英寸標準機架設計。符合IEEE802.3、IEEE802.3u和IEEE802.3x標準； 提供48個10/100M自適應以太網端口； 每個端口都支持Auto-MDI/MDIX功能； 每個端口都提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。

校園網拓撲圖：

（四、五、）操作系統(tǒng)安全配置與測試，WWW配置與測試。

操作系統(tǒng)采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置圖例如下：

然后建立網站文件夾目錄：

性能與目錄安全性配置：

可以通過IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號燈多種方法來提高WWW服務器的安全性。通過局域網網內不同主機對服務器的訪問來測試配置情況。

六、防病毒體系設計

防病毒體系總體規(guī)劃：

防病毒系統(tǒng)不僅是檢測和清除病毒，還應加強對病毒的防護工作，在網絡中不僅要部署被動防御體系（防病毒系統(tǒng)）還要采用主動防御機制（防火墻、安全策略、漏洞修復等），將病毒隔離在網絡大門之外。通過管理控制臺統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級防病毒產品的重要需求。

在跨區(qū)域的廣域網內，要保證整個廣域網安全無毒，首先要保證每一個局域網的安全無毒。也就是說，一個企業(yè)網的防病毒系統(tǒng)是建立在每個局域網的防病毒系統(tǒng)上的。應該根據(jù)每個局域網的防病毒要求，建立局域網防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。從總部到分支機構，由上到下，各個局域網的防病毒系統(tǒng)相結合，最終形成一個立體的、完整的病毒防護體系。

1.構建控管中心集中管理架構

保證網絡中的所有客戶端計算機、服務器可以從管理系統(tǒng)中及時得到更新，同時系統(tǒng)管理人員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被系統(tǒng)管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。2.構建全方位、多層次的防毒體系

結合企業(yè)實際網絡防毒需求，構建了多層次病毒防線，分別是網絡層防毒、郵件網關防毒、Web網關防毒、群件防毒、應用服務器防毒、客戶端防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點，實現(xiàn)病毒的全面布控。3.構建高效的網關防毒子系統(tǒng)

網關防毒是最重要的一道防線，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應用的病毒風險，同時對郵件中的關鍵字、垃圾郵件進行阻擋，有效阻斷病毒最主要傳播途徑。

4.構建高效的網絡層防毒子系統(tǒng)

企業(yè)中網絡病毒的防范是最重要的防范工作，通過在網絡接口和重要安全區(qū)域部署網絡病毒系統(tǒng)，在網絡層全面消除外來病毒的威脅，使得網絡病毒不再肆意傳播，同時結合病毒所利用的傳播途徑，結合安全策略進行主動防御。

5.構建覆蓋病毒發(fā)作生命周期的控制體系 當一個惡性病毒入侵時，防毒系統(tǒng)不僅僅使用病毒代碼來防范病毒，而是具備完善的預警機制、清除機制、修復機制來實現(xiàn)病毒的高效處理，特別是對利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個網絡的新型病毒具有很好的防護手段。防毒系統(tǒng)在病毒代碼到來之前，可以通過網關可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等多種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來后又沒有擴散的途徑。在清除與修復階段又可以對發(fā)現(xiàn)的病毒高效清除，快速恢復系統(tǒng)至正常狀態(tài)。6.病毒防護能力

防病毒能力要強、產品穩(wěn)定、操作系統(tǒng)兼容性好、占用系統(tǒng)資源少、不影響應用程序的正常運行，減少誤報的幾率。7.系統(tǒng)服務

系統(tǒng)服務是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒體系建立起來之后，能否對病毒進行有效的防范，與病毒廠商能否提供及時、全面的服務有著極為重要的關系。這一方面要求軟件提供商要有全球化的防毒體系為基礎，另一方面也要求廠商能有精良的本地化技術人員作依托，不管是對系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的可疑文件，都能進行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網絡安全事件，需要防病毒廠商具有較強的應急處理能力及售后服務保障，并且做出具體、詳細的應急處理機制計劃表和完善的售后服務保障體系。防病毒體系的管理功能：

防病毒系統(tǒng)能夠實現(xiàn)分級、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網定時/定級查殺病毒、全網遠程查殺策略設置、遠程報警、移動式管理、集中式授權管理、全面監(jiān)控主流郵件服務器、全面監(jiān)控郵件客戶端、統(tǒng)一的管理界面，直接監(jiān)視和操縱服務器端/客戶端，根據(jù)實際需要，添加自定義任務（例如更新和掃描任務等），支持大型網絡統(tǒng)一管理的多級中心系統(tǒng)等多種復雜的管理功能。8.資源占用率 防病毒系統(tǒng)進行實時監(jiān)控或多或少地要占用部分系統(tǒng)資源，這就不可避免地要帶來系統(tǒng)性能的降低。尤其是對郵件、網頁和FTP文件的監(jiān)控掃描，由于工作量相當大，因此對系統(tǒng)資源的占用較大。因此，防病毒系統(tǒng)占用系統(tǒng)資源要較低，不影響系統(tǒng)的正常運行。8.系統(tǒng)兼容性

防病毒系統(tǒng)要具備良好的兼容性，將支持以下操作系統(tǒng)：Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架構的操作系統(tǒng)。

9.病毒庫組件升級

防病毒系統(tǒng)提供多種升級方式以及自動分發(fā)的功能，支持多種網絡連接方式，具有升級方便、更新及時等特點，管理員可以十分輕松地按照預先設定的升級方式實現(xiàn)全網內的統(tǒng)一升級，減少病毒庫增量升級對網絡資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計算機上，時刻保證病毒庫都是最新的，且版本一致，杜絕因版本不一致而可能造成的安全漏洞和安全隱患。10.軟件商的企業(yè)實力

軟件商的實力一方面指它對現(xiàn)有產品的技術支持和服務能力，另一方面是指它的后續(xù)發(fā)展能力。因為企業(yè)級防毒軟件實際是用戶企業(yè)與防病毒廠商的長期合作，企業(yè)實力將會影響這種合作的持續(xù)性，從而影響到用戶企業(yè)在此方面的投入成本。

七、防火墻設計、配置

對于深信服M5400可以做以下方面的配置：

1、用戶與策略管理配置：

WEB、HTTP URL過濾：

郵件過濾：

網頁內容審計：

認證方式：