① 計算機網路的論文5000字範文
隨著計算機 網路技術 的發展和完善,計算機網路系統結構日趨龐大,功能完善且獨立。下文是我為大家搜集整理的關於計算機網路的論文5000字 範文 的內容,希望能對大家有所幫助,歡迎大家閱讀參考!
計算機網路的論文5000字範文篇1
淺析事業單位計算機網路安全維護工作
摘要:在信息化時代背景下,事業單位在辦公以及管理方面已經大范圍實行了計算機網路技術,通過計算機網路可以進行信息共享,有效的提高了工作效率。在事業單位運營管理的過程中,很多關於單位的機密信息都會錄入到電腦中,而在計算機網路面臨安全問題時,就可能會導致信息的泄露,由此對單位的發展造成不利。所以對事業單位計算機網路運行過程中面臨的安全問題進行了分析,然後提出了安全維護 措施 ,對於提高計算機網路的安全性具有重要的意義。
關鍵詞:計算機網路安全管理;事業單位;管理
計算機網路由於辦公自動化程度高,運行速度快,所以可有效的提高工作效率,現階段,在事業單位中計算機網路的應用范圍不斷擴大,各種工作都可以通過網路來完成,通過單位的內部網路,可以詳細的獲取單位所有信息。但是由於計算機網路自身具有開放性的特徵,並且計算機網路的安全問題一直都無法得到徹底的解決方式,所以對事業單位產生了一定的影響。如果網路信息泄漏,不僅會導致客戶信息的泄露,同時企業內部的各種機密信息也面臨巨大的風險,會嚴重損害到個人以及單位的切身利益。所以應該加強事業單位計算機網路安全維護工作,從制度建設到實際操作執行,都需要有健全的防護措施,以確保單位內部信息資料的安全性。
1影響計算機網路安全的主要因素
1.1網路資源的共享性
資源共享是計算機網路運行的主要特徵,在資源共享下才能夠加深各部門之間的聯絡,提高工作效率。但是也正是因為資源共享性才為攻擊者提供了破壞安全的技術,因為在單位內部的信息資源准許外部服務請求時,攻擊者就可以利用這個機會進行網路攻擊,從而獲取單位內部信息。
1.2網路的開放性
網路具有開放性的特點,世界上任何一個國家的任何一個用戶都可以參與到網路中來。並且隨著網路信息網的功能逐步擴大,在網路上要想獲取單位以及個人的信息將更加容易。比如網路中使用的人肉搜索,可以通過全體網民的參與,或者任何自己想要的信息,這已經和現實社會直接關聯。
1.3網路 操作系統 的漏洞
網路操作系統是進行網路信息運行的主要形式,通過硬體系統與軟體系統的操作,能夠實現各種網路行為。但是由於網路協議具有復雜性的特點,所以在操作的過程中必然存在各種缺陷和漏洞,這是目前還無法徹底解決的安全問題。
1.4網路系統設計的缺陷
網路設計是指拓撲結構的設計和各種網路設備的選擇等。網路設備、網路協議、網路操作系統等都會直接帶來安全隱患。合理的網路設計在節約資源的情況下,還可以提供較好的安全性,不合理的網路設計則會成為網路的安全威脅。
1.5惡意攻擊
惡意攻擊是計算機網路面臨的最重要的安全問題,黑客通過高超的技術手段,利用木馬病毒等手段入侵單位內部的計算機網路,從而惡意篡改或者竊取單位內部信息,為單位造成一定的損失。這種黑客惡意攻擊的行為,隨著黑客水平的提高,其入侵的成功率就越高,對於一般性的事業單位其防範能力較弱。
2計算機網路安全的防範措施
2.1防火牆技術
防火牆是網路安全的屏障,配置防火牆是實現網路安全最基本、最經濟、最有效的安全措施之一。防火牆是指一個由軟體或和硬體設備組合而成,處於單位或網路群體計算機與外界通道之間,限制外界用戶對內部網路訪問及管理內部用戶訪問外界網路的許可權。當一個網路接上Internet之後,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火牆技術完成。
防火牆能極大地提高一個內部網路的安全性,並通過過濾不安全的服務而降低風險。防火牆可以強化網路安全策略,通過以防火牆為中心的安全方案配置,能將所有安全軟體(如口令、加密、身份認證)配置在防火牆上。其次,對網路存取和訪問進行監控審計。如果所有的訪問都經過防火牆,那麼,防火牆就能記錄下這些訪問並做出日誌記錄,同時,也能提供網路使用情況的統計數據。當發生可疑動作時,防火牆能進行適當的報警,並提供網路是否受到監測和攻擊的詳細信息。再次,防止內部信息的外泄。利用防火牆對內部網路的劃分,可實現內部網重點網段的隔離,從而降低了局部重點或敏感網路安全問題對全局網路造成的影響。
2.2數據加密與用戶授權訪問控制技術
相對於防火牆技術而言,數據加密和用戶授權訪問控制技術則顯得比較靈活,尤其是對於單位內部的信息安全防範具有較好的效果。數據加密技術主要應用於對動態信息的保護,在面對外部攻擊時,能夠及時的檢測出攻擊行為,並且給予相應的保護,而對於被動攻擊,則能夠有效的避免攻擊行為的發生。數據加密技術主要是通過「密鑰」的方式來完成,密鑰只能是經過授權的用戶才能夠掌握,可有效的保護信息安全。而用戶授權訪問控制技術是根據單位內部的信息機密程度而對訪問者進行控制的一種方式,主要是在操作系統中實現。單位根據信息的機密程度將其分為若干個安全等級,然後只有具有相應許可權的人才可以訪問相應等級的信息,一般是通過用戶名和密碼的雙重防護方式來實現。
2.3入侵檢測技術
入侵檢測系統是從多種計算機系統及網路系統中收集信息,再通過這此信息分析入侵特徵的網路安全系統。IDS被認為是防火牆之後的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統驅逐入侵攻擊;在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊後,收集入侵攻擊的相關信息,作為防範系統的知識,添加入策略集中,增強系統的防範能力,避免系統再次受到同類型的入侵。此外,還有防病毒技術,主要為防病毒軟體的使用。加強單位內部安全管理隊伍建設,提高計算機網路安全防護水平。提升網路主機的操作 系統安全 和物理安全,為防火牆技術的發揮提供有利的基礎保障。
3結束語
計算機網路是一個復雜的系統,其功能異常強大,但是在為人們的工作和生活帶來便利的同時,也存在一定的安全風險。如果網路信息被篡改或者竊取,那麼將會對單位造成極大的損失,所以在單位內部應該建立完善的網路信息安全防護體系。為了確保單位計算機網路的安全運行,需要加強全體人員計算機網路安全防範意識,並且使用先進的網路安全防範技術,做好全面的網路安全防範措施,提高計算機管理人員的綜合業務水平,為單位的高效運行創造一個健康的網路環境。
參考文獻:
[1]黃翔.加強事業單位計算機網路安全管理水平的探索[J].計算機光碟軟體與應用,2014,5,1.
[2]譚人瑋.淺談事業單位計算機網路安全管理[J].計算機光碟軟體與應用,2012,4,8.
[3]周偉.試論當前事業單位計算機網路維護存在的問題及對策分析[J].計算機光碟軟體與應用,2013,6,15.
計算機網路的論文5000字範文篇2試論涉密計算機網路安全保密 方法
摘要:本文就涉密計算機網路安全保密問題及解決方法進行了分析,注重把握涉密系統的安全保密工程建設問題,提出了相應的保密建議。
關鍵詞:涉密系統;計算機網路安全;保密策略
涉密系統的安全保密工程較為復雜,在對這一問題處理過程中,需要考慮到涉密系統的保密方案,通過保密方案的有效設計,滿足涉密計算機實際需要。本文在對該問題分析過程中,從保密方案設計、安全保密策略兩個方面入手,具體的分析內容如下。
一、安全保密方案設計
涉密計算機網路安全保密系統包括了計算機終端、伺服器、無線移動平台三個部分,涵蓋的內容較多,並且在具體應用過程中,需要對使用人員的許可權進行認證,通過身份識別後,才能夠登錄系統,對系統進行相應的操作。網路安全控制系統包括了授權、控制USB、網路介面以及授信涉密終端的訪問,通過對網路傳輸數據進行控制和監測,避免系統內部重要信息遭到泄露,保證系統的安全性和可靠性[1]。
一般來說,在進行保密方案設計過程中,通常考慮以下幾點:
(一)伺服器安全:伺服器安全問題涉及到了伺服器與通信埠的鏈接和加密操作,並對操作人員進行相應的身份認證。同時,伺服器安全保密方案設計還應該涉及到管理許可權的控制,並利用USB令牌密碼,實現控制目的。
(二)客戶端安全:客戶端安全問題主要涉及到了文件的傳輸保護,包括了傳輸進程、注冊表、遠程接入監控等相關內容。客戶端安全需要避免客戶端代理出現被破壞的情況,並且需要採取雙向的保護措施,從USB介面、I/O埠、本地硬碟等進行加密操作,保證客戶端安全。
(三)管理安全:管理安全主要在於對管理人員的身份信息進行認證,通過USB令牌,可以使管理人員獲得管理許可權,進行計算機系統管理。
二、涉密計算機網路安全保密的解決方法
涉密計算機網路安全保密問題的解決,要考慮到涉密系統與非涉密系統的區分,在涉密系統內部對安全域進行劃分,並能夠針對於重要文件信息進行重點管理,從而提升涉密系統的安全性和可靠性。具體的解決方法如下所示:
(一)劃分涉密系統與非涉密系統。
涉密計算機網路安全保密方案的應用,要對涉密系統和非涉密系統進行區分,能夠使二者之間有一個較為明確的界限,這樣一來,可以對涉密系統進行針對性的管理。涉密系統在使用過程中,不能夠進行國際聯網,應該採取物理層的區分方式。同時,結合安全保密技術,對涉密系統進行重點管理,對非涉密系統採取基本的管理方式即可,對保密費用進行合理劃分,降低保密成本。涉密系統保密過程中,還需要對涉密系統的規模和范圍予以明確,從而保證工作具有較強的針對性[2]。一般來說,涉密系統在保護過程中,存在著定密太嚴和定密不規范的情況,導致安全保密成本增加,也使得一些需要保密的信息遭到忽略,不利於涉密系統的安全工作。針對於這一情況,明確定密工作必須得到應有的重視,並且在具 體操 作過程中,要注重結合實際情況,選擇有效的保密措施,提升系統安全性。
(二)加強安全域的劃分。
涉密系統內部設置了相應的安全域,安全域包括了安全策略域和保護主客體兩個部分。系統內部在進行安全域劃分過程中,需要考慮到區域網、邏輯子網等網路結構,從而對涉密系統內部安全域劃分問題予以有效考慮。安全域結構組成,需要針對於信息密級和重要性進行劃分,並且融入VLAN、域等理念,保證安全域劃分與實際需要保持一致性。
(三)注重加強管理。
涉密計算機網路安全系統保密過程中,由於技術手段存在一定的不足,這就導致系統安全可能存在一定的隱患。這樣一來,針對於技術缺陷,可以通過管理對問題予以彌補。一般來說,涉密計算機系統安全系統保密的管理與技術比例為7:3,管理對於涉密計算機安全性重要程度更高。在保密系統設計完成後,需要結合具體情況,加強管理工作,實現管理手段與技術手段的緊密結合,從而提升保密系統的安全性和可靠性。
涉密計算機網路安全工作,關鍵點在於技術手段和管理手段的有機結合,只有這樣,才能夠降低系統遭受非法入侵幾率。但是由於技術手段存在一定的漏洞,使安全問題影響到了涉密計算機系統,針對於這一情況,要注重對涉密系統與非涉密系統進行分離,並對涉密系統內部的安全域進行有效劃分,加強管理,以保證重要信息不被泄露,提升系統的可靠性。
參考文獻
[1]俞迪.基於涉密計算機網路安全保密解決方案的分析[J].中國新通信,2014,03:35.
[2]劉勇.基於涉密計算機網路安全保密解決方案的分析[J].信息通信,2014,02:92.
>>>下一頁更多精彩的「計算機網路的論文5000字範文」
② 校園網路搭建畢業論文
校園網路搭建畢業論文
維護校園網網路安全需要從網路的搭建及網路安全設計方面著手,通過各種技術手段,對校園網網路進行搭建,通過物理、數據等方面的設計對網路安全進行完善是解決上策,現在我就整理了一份,校園網搭建的畢業論文,希望對大家有所幫助。
一、學校需求分析
隨著計算機、通信和多媒體技術的發展,使得網路上的應用更加豐富。同時在多媒體教育和管理等方面的需求,對校園網路也提出進一步的要求。因此需要一個高速的、具有先進性的、可擴展的校園計算機網路以適應當前網路技術發展的趨勢並滿足學校各方面應用的需梁亮如要。信息技術的普及教育已經越來越受到人們關注。學校領導、廣大師生們已經充分認識到這一點,學校未來的教育方法和手段,將是構築在教育信息化發展戰略之上,通過加大信息網路教育的投入,開展網路化教學,開展教育信息服務和遠程教育服務等將成為未來建設的具體內容。
調研情況
學校有幾棟建築需納入區域網,其中原有計算機教室將並入整個校園網路。根據校方要求,總的信息點將達到 3000個左右。信息節點的分布比較分散。將涉及到圖書館、實驗樓、教學樓、宿舍樓、食堂等。主控室可設在教學樓的一層,圖書館、實驗樓和教學樓為信息點密集區。
需求功能
校園網最終必須是一個集計算機網路技術、多項信息管理、辦公自動化和信息發布等功能於一體的綜合信息平台,並能夠有效促進現有的管理體制和管理方法,提高學校辦公質量和效率,以促進學校整體教學水平的提高。
二、設計特點
根據校園網路項目,我們應該充分考慮學校的實際情況,注重設備選型的性能價格比,採用成熟可靠的技術,為學校設計成一個技術先進、靈活可用、性能優秀、可升級擴展的校園網路。考慮到學校的中長期發展規劃,在網路結構、網路應用、網路管理、系統性能以及遠程教學等各個方面能夠適應未來的'發展,最大程度地保護學校的投資。學校藉助校園網的建設,可充分利用豐富的網上應用系統及教學資源,發揮網路資源共享、信息快捷、無地理限制等優勢,橡啟真正把現代化管理、教育技術融入學校的日常教育與辦公管理當中。學校校園網具體功能和特點如下:
技術先進
採用千兆乙太網技術,具有高帶寬1000Mbps 速率的主幹,100Mbps 到桌面,運行目前的各種應用系統綽綽有餘,還可輕松應付將來一段時間內的應用要求,且易於升級和擴展,最大限度的保護用戶投資;
網路設備選型為國際知名產品,性能穩定可靠、技術先進、產品系列全及完善的服務保證;
採用支持網路管理的交換設備,足不出戶即可管理配置整個網路。
網路互聯:
提供國際互聯網ISDN 專線接入(或DDN),實現與各公共網的連接;
可擴容的遠程撥號接入/撥出,共享資源、發布信息等。應用系統及教學資源豐富;
有綜合網路辦公系統及各個應用管理系統,實現辦公自動化,管理信息化;
有以WEB資料庫為中心的綜合信息平台,可進行消息發布,招生廣告、形象宣傳、課業輔導、教案參考展示、資料查詢、郵件服務及遠程教學等。
三、校園網布局結構
校園比較大,建築樓群多、布局比較分散。因此在設計校園鍵燃網主幹結構時既要考慮到目前實際應用有所側重,又要兼顧未來的發展需求。主幹網以中控室為中心,設幾個主幹交換節點,包括中控室、實驗樓、圖書館、教學樓、宿舍樓。中心交換機和主幹交換機採用千兆光纖交換機。中控室至圖書館、校園網的主幹即中控室與教學樓、實驗樓、圖書館、宿舍樓之間全部採用8芯室外光纜;樓內選用進口6芯室內光纜和5類線。
根據學校的實際應用,配伺服器7台,用途如下:
① 主伺服器2台:裝有Solaris操作系統,負責整個校園網的管理,教育資源管理等。其中一台伺服器裝有DNS服務,負責整個校園網中各個域名的解析。另一台伺服器裝有電子郵件系統,負責整個校園網中各個用戶的郵件管理。
②WWW伺服器1台:裝有Linux操作系統,負責遠程服務管理及WEB站點的管理。WEB伺服器採用現在比較流行的APACHE伺服器,用PHP語言進行開發,連接MYSQL資料庫,形成了完整的動態網站。
③電子閱覽伺服器1台:多媒體資料的閱覽、查詢及文件管理等;
④教師備課伺服器1台:教師備課、課件製作、資料查詢等文件管理以及Proxy服務等。
⑤光碟伺服器1台:負責多媒體光碟及視頻點播服務。
⑥圖書管理伺服器1台:負責圖書資料管理。
在充分考慮學校未來的應用,整個校園的信息節點設計為3000個左右。交換機總數約 50台左右,其中主幹交換機5台,配有千兆光纖介面。原有計算機機房通過各自的交換機接入最近的主交換節點,並配成多媒體教學網。INTERNET接入採用路由器接ISDN方案,也可選用DDN專線。可保證多用戶群的數據瀏覽和下載。
四、網路拓撲圖
光纖乙太網技術是現在兩大主流通信技術的融合和發展,即乙太網和光網路。它集中了乙太網和光網路的優點,如乙太網應用普遍、價格低廉、組網靈活、管理簡單,光網路可靠性高、容量大。光乙太網的高速率、大容量消除了存在於區域網和廣域網之間的帶寬瓶頸,將成為未來融合話音、數據和視頻的單一網路結構。光纖乙太網產品可以藉助乙太網設備採用乙太網數據包格式實現WAN通信業務。目前,光纖乙太網可以實現10Mbps、100Mbps以及1Gbps等標准乙太網速度。
光纖乙太網設備是以第2層LAN交換機、第3層LAN交換機,SONET設備和DWDM為基礎。一些公司推出專為出了光纖乙太網交換機,這種交換機具有多種特性,可以盡量確保服務質量(如實現數據包分類和擁塞管理等)。這種產品均可能要求下列關鍵技術和性能:高可靠性、高埠密度、服務質量保證等功能。
光纖乙太網業務與其他寬頻接入相比更為經濟高效,但到目前為止它的使用只限於辦公大樓或樓群內已鋪設光纖的地方。使用乙太網的這種新方法的戰略價值不僅僅限於廉價的接入。它既可用於接入網,也可用於服務供應商網路中的本地骨幹網。它可以只用在第2 層,也可以作為實現第3層業務的有效途徑。它可以支持IP、IPX以及其他傳統協議。此外,由於在本質上它仍屬於LAN,因此可用來幫助服務供應商管理企業LAN及企業LAN和其他網之間的互連。
;③ 關於校園網網路安全的論文
高校校園網網路安全問題分析與對策 【摘要】隨著互聯網的高速發展和教育信息化進程的不斷深入,校園網在高校教學、科研和管理中的作用越來越重要,同時高校校園網路安全問題也日益突出。如何提高校園網的安全性已是迫切需要解決的問題。文章從高校校園網的特點出發,分析了目前高校校園網普遍存在的安全問題,並提出了加強高校校園網安全管理的對策。
【關鍵詞】校園網 安全問題 分析 對策
高校是計算機網路誕生的搖籃,也是最早應用網路技術的地方。校園網是當代高校重要基礎設施之一,是促進學校提升教學質量、提高管理效率和加強對外交流合作的重要平台,校園網的安全狀況直接影響著學校的各項工作。在校園網建設初期,網路安全問題可能還不突出,但隨著應用的不斷深入和用戶的不斷增加,高校校園網上的數據信息急劇增長,各種各樣的安全問題層出不窮。「校園網既是大量攻擊的發源地,也是攻擊者最容易攻破的目標」[1],校園網路安全已經引起了各高校的高度重視。本文對高校校園網的安全問題進行了分析,並探討了加強高校校園網安全管理的對策。
1 高校校園網安全問題分析
1.1 高校校園網的特點
與其它區域網相比,高校校園網自身的特點導致網路安全問題嚴重、安全管理復雜。其特點可以概括為兩個方面:
(1)用戶群體的特點。高校校園網用戶群體以高校學生為主。一方面,用戶數量大、網路水平較高。隨著高校的擴招,現在各高校的在校學生規模越來越大,校園網用戶少則幾千,多則幾萬,而且往往比較集中。高校學習以自主性學習為主,決定了高校學生可供自主支配的時間寬裕。通過學習,高校學生普遍掌握了一定的計算機基礎知識和網路知識,其計算機水平比普通商業用戶要高,而且他們對網路新技術充滿好奇,勇於嘗試,通常是最活躍的網路用戶。另一方面,用戶網路安全意識、版權意識普遍較為淡薄。高校學生往往對網路安全問題的嚴重後果認識不足、理解不深,部分學生甚至還把校園網當成自己的「練兵場」,在校園網上嘗試各種攻擊技術。另外,由於資金不足和缺乏版權意識等原因,導致高校學生在校園網上大量使用盜版軟體和盜版資源。攻擊技術的嘗試和盜版軟體的傳播既佔用了大量的網路帶寬,又給網路安全帶來了極大的隱患。
(2)校園網建設和管理的特點。一方面,校園網建設需要投入大量的經費,少則幾百萬,多則幾千萬,而高校的經費普遍是比較緊張的,有限的投入往往用於擴展網路規模、增加網路應用這些師生都能看到成果的方面,而往往忽視或輕視師生不容易看到成果的網路安全方面。由於投入少,缺少必要的網路安全管理設備和軟體,致使管理和維護出現困難。另一方面,各高校為了學校的教學、科研、管理以及學生學習生活的需要,目前基本上都建立了千兆主幹、百兆桌面,甚至萬兆主幹、千兆桌面的校園網,高帶寬的校園網給校園網用戶帶來了方便,但同時也大大增加了網路完全管理的難度。
1.2 當前高校校園網面臨的主要網路安全問題和威脅
(1)安全漏洞。校園網內普遍存在用戶操作系統漏洞和應用軟體安全漏洞,這些漏洞影響用戶系統的正常使用和網路的正常運行,對網路安全構成嚴重的威脅,一旦被黑客或病毒利用,甚至有可能導致災難性的後果。
(2)病毒和攻擊。網路病毒發病和傳播速度極快,而許多校園網用戶由於各種各樣的原因,沒有安裝殺毒軟體或不能及時更新殺毒軟體病毒庫,造成網路病毒泛濫,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網路資源,造成網路擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內部用戶的攻擊越來越多、危害越來越大,已經嚴重影響到了校園網的正常使用。
(3)濫用網路資源。在校園網內,用戶濫用網路資源的情況嚴重,有私自開設代理伺服器,非法獲取網路服務的,也有校園網用戶非法下載或上載的,甚至有的用戶每天都不斷網,其流量每天都達到幾十個G,佔用了大量的網路帶寬,影響了校園網的其它應用。
(4)不良信息的傳播。不良信息的傳播對正在形成世界觀和人生觀的大學生而言,危害是非常大的。網路上的信息良莠不齊,其中有違反人類道德標准或法律法規的,如果不對這些信息加以過濾和處理,學生就會有在校園網內瀏覽淫穢、賭博、暴力等不健康網頁的機會。要確保高校學生健康成長、積極向上,就必須採取措施對校園網路信息進行過濾和處理,使他們盡可能少地接觸網路上的不良信息。
(5)垃圾郵件。垃圾郵件對校園網的破壞性很大,它佔用網路帶寬,造成郵件伺服器擁塞,進而降低整個網路的運行效率,同時也是網路病毒、攻擊和不良信息傳播的重要途徑之一。現在雖然很多高校都建立了電子郵件伺服器為校園網用戶提供郵件服務,但由於缺乏郵件過濾軟體以及缺少限制郵件轉發的相關管理制度,使郵件伺服器成為了垃圾郵件的攻擊對象和中轉站,大大增大了校園網的網路流量,浪費了大量的校園網帶寬,造成校園網用戶收發郵件速度慢,甚至導致郵件伺服器崩潰。
(6)惡意破壞。惡意破壞主要是指對網路設備和網路系統的破壞。設備破壞是指對網路硬體設備的破壞。現在各高校校園網的設備數量多、類型雜、分布比較分散,管理起來非常困難,個別用戶可能出於某些目的,會有意或無意地將它們損壞。系統破壞是指利用黑客技術對校園網路各系統進行破壞,如:修改或刪除網路設備的配置文件、篡改學校主頁等等。而這兩個方面的破壞均會影響校園網的安全運行,造成校園網路全部或部分癱瘓,甚至造成網路安全事故。
2 加強高校校園網安全管理的對策
高校校園網路安全管理是一項復雜的系統工程,要提高網路安全,必須根據實際情況,從多個方面努力。
2.1 加強網路安全管理制度建設
「三分技術、七分管理」,網路安全尤為如此。各高校要根據校園網的實際情況,制定並嚴格執行有效的安全管理制度。如:校園網網路安全管理制度、網路主幹管理與維護制度、校園網非主幹維護制度、網路安全管理崗位職責、網路運行管理制度、主頁維護管理制度、校園網信息發布與管理制度、病毒防治管理制度、重要數據備份與管理制度等。此外,為更加有效控制和減少校園網路的內部隱患,各高校必須制定網路行為規范和違反該規范的具體處罰條例。
2.2 做好物理安全防護
物理安全防護是指通過採用輻射防護、屏幕口令、狀態檢測、報警確認、應急恢復等手段保護網路伺服器等計算機系統、網路交換路由等網路設備和網路線纜等硬體實體免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞②。如:將防火牆、核心交換機以及各種重要伺服器等重要設備盡量放在核心機房進行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設備、主幹設備以及接入交換機等設備落實到人,進行嚴格管理。物理安全防護是確保校園網路系統正常工作、免受干擾破壞的最基本手段。
2.3 加強對用戶的教育和培訓
通過網路安全教育使用戶對校園網路所面臨的各類威脅有較為系統、全面的認識,明確這些威脅對他們的危害,增強他們的網路安全意識,讓所有校園網用戶都來關心、關注網路安全。通過對校園網用戶的培訓,使他們能盡量保證自己使用的計算機安全,能處理一些簡單的安全問題,從而減少網路安全事故的發生。遇到網路安全問題時,能做好記錄並及時向有關部門報告。
2.4 提高網路管理人員技術水平高水平的網路管理人員能夠根據校園網的實際安全狀況,通過對校園網的重要資源設置使用許可權與口令、通過對相應網路安全設備尤其是核心設備進行系統配置以有效地保證校園網系統的安全。因此要保證校園網的安全運行,就需要培養一支具有較高安全管理意識的網路管理員隊伍,提高他們維護網路安全的警惕性和應對各種攻擊的能力。各高校要從兩個方面著手:一是要加強對現有網路管理技術人員的培訓,提高他們應對網路安全問題的能力和水平;二是要引進高水平的網路安全管理技術人員,提升網路管理技術人員整體技術水平。
2.5 規范出口、入口管理
為適應管理和工作的需要,現在高校校園網都有多個網路出口(如:教育網、電信網等),要實施校園網的整體安全策略,首先就要對多出口進行統一管理,以解決校園網多出口帶來的安全問題,使校園網路安全體系能夠得以實施,為校園網的安全提供最基礎的保障,如:不同出口間的隔離,封鎖病毒埠,阻止入侵者的攻擊,應用ACL拒絕IP地址欺騙等。
2.6 配備網路安全設備或系統
為減少來自校園網內外的攻擊和破壞,需要在校園網中配置必要的網路安全設備,如網路入侵保護系統、主頁防篡改系統、防火牆、網路防病毒系統、漏洞掃描系統、內容過慮系統、補丁升級系統、伺服器的安全監測系統等等。通過配置網路安全設備,能夠實現對校園網路的控制和監管,能夠阻斷大量的非法訪問,能夠過濾來自網路的不健康數據信息,能夠幫助網路管理員在發生網路故障時迅速定位。充分利用好這些網路安全設備可以大大提高校園網的安全級別。
2.7 建立全校統一的身份認證系統
身份認證系統是整個校園網路安全體系的基礎,是校園網上信息安全的第一道屏障,是保證校園網內各應用系統安全運行的依靠。各高校要建立基於校園網路的全校統一身份認證系統,對校園網用戶上網進行身份認證。這樣不僅可以阻止非法用戶的上網行為,而且也能統一監控合法戶上網的行為。
2.8 建立更安全的電子郵件系統
目前有些優秀的電子郵件安全系統具有強大的高准確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現郵件系統的管理與維護,有的電子郵件系統判別垃圾郵件的准確率接近百分之百。各高校要多方分析、比較,選擇優秀的電子郵件安全系統保證校園網的郵件系統安全,以改變郵件系統存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現狀。
2.9 做好備份和應急處理
對校園網來說,一套完整的備份和恢復方案是迫切需要的。備份既指對校園網重要數據的備份,也指核心設備和線路的備份[3]。對網頁伺服器,要配置網頁防篡改系統,以防止網頁被更改;對校園網中的核心設備的系統配置要進行備份,以便設備出故障時能及時恢復;對校園網中的核心線路要留有冗餘,以便線路出故障時能立即啟用冗餘線路以保證校園網路主幹的運行。應急響應是校園網整體安全的重要組成部分,各高校的校園網路管理部門要制定網路安全的有關應急處理措施和制度,以保證在出現網路安全問題時要及時按照應急處理措施處理以減少損失。
3 結束語
校園網的安全管理是一項復雜的系統工程,沒有一勞永逸的安全措施。各高校要在校園網的建設和管理過程中及時分析校園網中的安全問題,並研究方法,制訂措施,確保校園網正常、高效、安全地運行,為學校的教學、管理和科研服好務。
參考文獻
[1] 沙桂蘭.淺談校園網路安全控制策略[M],電腦知識與技術.2007,3.
[2] 高冰.網路安全措施探討[M],東北財經大學學報.2003,4.
[3] 林濤.網路安全與管理[M].北京:電子工業出版社.2005.
[4] www.eol.cn 中國教育在線.
④ 校園網實施方案設計論文
校園網實施方案
摘 要
新世紀,以多媒體技術為依託的現代教育技術突破了傳統教學過程的局限,改變了傳統的教學模式、教學方法,能促進教育觀念、教學思想的轉變。面對教育界的新形式,為了加大學校與外界間的信息交流、提高學生的綜合素質、提高辦公和教學效率、進行高效的信息傳輸,學校校園網路建設勢在必行。
市場上成型的產品或方案並不能很好的適應學校的實際情況。本設計方案首先從學校的實際需求出發,在實地考察的基礎上,結合當前的主流產品與成熟技術,對校園網的建設進行了總體規劃。在方案設計這一部分確定了校園網的設計原則;從網路多媒體應用的需求出發,討論了多媒體應用需要的網路技術;確定了整個布線以網路中心為起點,呈星型狀向周圍建築物和各信息點分布的拓撲結構。項目實施部分對設備的選型、布線、Internet接入、軟體的選擇進行了分析。校園網的建設就是為了應用,本方案從電子教學、職能管理、遠程教育三方面進行了闡述。校園網建成以後,為保證教學的正常進行、網路的正常運轉,管理並保護好整個網路的安全就顯得十分重要了,網路管理和網路安全這兩部分對此問題進行了設計。最後總結了設計中存在的問題和特點。
校園網的建設應用是一個不斷完善的過程,是一個應用—升級—再應用—再升級循環往復的過程。只升級不應用,會造成硬體資源的浪費,只應用不升級,資源將不能滿足實際的需要,要兩者不斷循環往復發展,才能真正進入校園網建設的良性循環。
關鍵詞: 校園網 千兆乙太網 快速乙太網 ATM技術 三層交換技術 結構化布線 保留IP 網路管理 網路安全技術
The campus net implement project
Abstract:
New century, the modern that take multi-media technique as to rely on ecation the technique breaks the traditional teaching process to limit, changing the traditional teaching mode, teaching method, can promote the change of ecate the idea, teaching thought.Face the new form of the ecational circles, for the sake of the enlargement school and the information exchanges of the outsides, raise the studentcomprehensive character and raise to transact to deliver with teaching efficiency, information carry on efficiently, the campus netconstruction power of the school at go necessarily. Proct or projects
model on the market are also can't actual circumstance of the good orientation school.First this design project sets out from the actual need of the school, on the foundation of on-the-spot investigation, combining the essential proct and mature techniques at present, carried on the total programming to the construction of the campus net.Design the design principle that this part made sure the campus net in the project;The multi-media applied need sets out from the network, discussing the network technique of the multi-media applied demand;Making sure the whole cloth line take the network center as the point of departure, the that presents a form of star to distribute toward the surroundings building and each information point rushes toward the structure.The item implement part chooses to the equipments the type, cloth line, Internet connects to go into, software of choice carried on the analysiconstruction of the campus net be for the sake of application, this project ecated three aspects to carry on to elaborate from the electronics teaching, the working talent management, long range.The campus net set up later, for guarantee that the teaching carries on normally, the normal operation of the network, the safety that manages to protect whole network also seemed to be very important, these two parts of the network management and the network safetieses carried on the design to this problem.Tallied up the design finally in the existent problem and characteristicses.
The construction application of the campus net is a continuously perfect process, is an application- upgrade- again applied- again upgrade circulation the process of the back and forth.Upgrading only shouldn't use, will result in the hardware resources waste, only applied don't upgrade, the resources won't can satisfy the actual demand, wanting that both circulate the back and forth development continuously, thenning can be real into the virtuous cycle of the campus net construction.
Keyword:
The campus net thousand trillion ether net fast ether net ATM technique three layers exchange the technique structure to turn the safe technique of the cloth line reservation IP network management network
⑤ 計算機網路信息安全及對策的畢業論文,5000字
摘 要 探索了網路平安的目前狀況及新問題由來以及幾種主要網路平安技術,提出了實現網路平安的幾條辦法。
網路平安 計算機網路 防火牆
1 網路平安及其目前狀況
1.1 網路平安的概念
國際標准化組織(ISO)將「計算機平安」定義為摘要:「為數據處理系統建立和採取的技術和管理的平安保護,保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄漏」。上述計算機平安的定義包含物理平安和邏輯平安兩方面的內容,其邏輯平安的內容可理解為我們常說的信息平安,是指對信息的保密性、完整性和可用性的保護,而網路平安性的含義是信息平安的引申,即網路平安是對網路信息保密性、完整性和可用性的保護。
1.2 網路平安的目前狀況
目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元,而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨向公司稱,像Sobig、Slammer等網路病毒和蠕蟲造成的網路大塞車,去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網路危險造成的損失則很難量化,網路平安新問題帶來的損失由此可見一斑。
2 網路平安的主要技術
平安是網路賴以生存的保障,只有平安得到保障,網路才能實現自身的價值。網路平安技術隨著人們網路實踐的發展而發展,其涉及的技術面非常廣,主要的技術如認證、加密、防火牆及入侵檢測是網路平安的重要防線。
2.1 認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問,使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下摘要:
2.1.1 身份認證
當系統的用戶要訪問系統資源時要求確認是否是合法的用戶,這就是身份認證。常採用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2 報文認證
主要是通信雙方對通信的內容進行驗證,以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。
2.1.3 訪問授權
主要是確認用戶對某資源的訪問許可權。
2.1.4 數字簽名
數字簽名是一種使用加密認證電子信息的方法,其平安性和有用性主要取決於用戶私匙的保護和平安的哈希函數。數字簽名技術是基於加密技術的,可用對稱加密演算法、非對稱加密演算法或混合加密演算法來實現。
2.2 數據加密
加密就是通過一種方式使信息變得混亂,從而使未被授權的人看不懂它。主要存在兩種主要的加密類型摘要:私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又稱對稱密匙加密,因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快,很輕易在硬體和軟體件中實現。
2.2.2 公匙加密
公匙加密比私匙加密出現得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用於加密信息,另一個用於解密信息。公匙加密系統的缺點是它們通常是計算密集的,因而比私匙加密系統的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統。
2.3 防火牆技術
防火牆是網路訪問控制設備,用於拒絕除了明確答應通過之外的所有通信數據,它不同於只會確定網路信息傳輸方向的簡單路由器,而是在網路傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火牆都採用幾種功能相結合的形式來保護自己的網路不受惡意傳輸的攻擊,其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和代理伺服器技術,它們的平安級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮平安兼顧網路連接能力。此外,現今良好的防火牆還採用了VPN、檢視和入侵檢測技術。
防火牆的平安控制主要是基於IP地址的,難以為用戶在防火牆內外提供一致的平安策略;而且防火牆只實現了粗粒度的訪問控制,也不能和企業內部使用的其他平安機制(如訪問控制)集成使用;另外,防火牆難於管理和配置,由多個系統(路由器、過濾器、代理伺服器、網關、保壘主機)組成的防火牆,管理上難免有所疏忽。
2.4 入侵檢測系統
入侵檢測技術是網路平安探究的一個熱點,是一種積極主動的平安防護技術,提供了對內部入侵、外部入侵和誤操作的實時保護,在網路系統受到危害之前攔截相應入侵。隨著時代的發展,入侵檢測技術將朝著三個方向發展摘要:分布式入侵檢測、智能化入侵檢測和全面的平安防禦方案。
入侵檢測系統(Instusion Detection System, 簡稱IDS)是進行入侵檢測的軟體和硬體的組合,其主要功能是檢測,除此之外還有檢測部分阻止不了的入侵;檢測入侵的前兆,從而加以處理,如阻止、封閉等;入侵事件的歸檔,從而提供法律依據;網路遭受威脅程度的評估和入侵事件的恢復等功能。
2.5 虛擬專用網(VPN)技術
VPN是目前解決信息平安新問題的一個最新、最成功的技術課題之一,所謂虛擬專用網(VPN)技術就是在公共網路上建立專用網路,使數據通過平安的「加密管道」在公共網路中傳播。用以在公共通信網路上構建VPN有兩種主流的機制,這兩種機制為路由過濾技術和隧道技術。目前VPN主要採用了如下四項技術來保障平安摘要:隧道技術(Tunneling)、加解密技術(Encryption %26amp; Decryption)、密匙管理技術(Key Management)和使用者和設備身份認證技術(Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的平安服務,這些平安服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法,如按接入方式分成專線VPN和撥號VPN;按隧道協議可分為第二層和第三層的;按發起方式可分成客戶發起的和伺服器發起的。
2.6 其他網路平安技術
(1)智能卡技術,智能卡技術和加密技術相近,其實智能卡就是密匙的一種媒體,由授權用戶持有並由該用戶賦和它一個口令或密碼字,該密碼字和內部網路伺服器上注冊的密碼一致。智能卡技術一般和身份驗證聯合使用。
(2)平安脆弱性掃描技術,它為能針對網路分析系統當前的設置和防禦手段,指出系統存在或潛在的平安漏洞,以改進系統對網路入侵的防禦能力的一種平安技術。
(3)網路數據存儲、備份及容災規劃,它是當系統或設備不幸碰到災難後就可以迅速地恢復數據,使整個系統在最短的時間內重新投入正常運行的一種平安技術方案。
其他網路平安技術還有我們較熟悉的各種網路防殺病毒技術等等。
3 網路平安新問題的由來
網路設計之初僅考慮到信息交流的便利和開放,而對於保障信息平安方面的規劃則非常有限,這樣,伴隨計算機和通信技術的迅猛發展,網路攻擊和防禦技術循環遞升,原來網路固有優越性的開放性和互聯性變成信息的平安性隱患之便利橋梁。網路平安已變成越來越棘手的新問題,只要是接入到網際網路中的主機都有可能被攻擊或入侵了,而遭受平安新問題的困擾。
目前所運用的TCP/IP協議在設計時,對平安新問題的忽視造成網路自身的一些特徵,而所有的應用平安協議都架設在TCP/IP之上,TCP/IP協議本身的平安新問題,極大地影響了上層應用的平安。網路的普及和應用還是近10年的事,而操作系統的產生和應用要遠早於此,故而操作系統、軟體系統的不完善性也造成平安漏洞;在平安體系結構的設計和實現方面,即使再完美的體系結構,也可能一個小小的編程缺陷,帶來巨大的平安隱患;而且,平安體系中的各種構件間缺乏緊密的通信和合作,輕易導致整個系統被各個擊破。
4 網路平安新問題策略的思索
網路平安建設是一個系統工程、是一個社會工程,網路平安新問題的策略可從下面4個方面著手。
網路平安的保障從技術角度看。首先,要樹立正確的思想預備。網路平安的特性決定了這是一個不斷變化、快速更新的領域,況且我國在信息平安領域技術方面和國外發達國家還有較大的差距,這都意味著技術上的「持久戰」,也意味著人們對於網路平安領域的投資是長期的行為。其次,建立高素質的人才隊伍。目前在我國,網路信息平安存在的突出新問題是人才稀缺、人才流失,尤其是拔尖人才,同時網路平安人才培養方面的投入還有較大缺欠。最後,在具體完成網路平安保障的需求時,要根據實際情況,結合各種要求(如性價比等),需要多種技術的合理綜合運用。
網路平安的保障從管理角度看。考察一個內部網是否平安,不僅要看其技術手段,而更重要的是看對該網路所採取的綜合辦法,不光看重物理的防範因素,更要看重人員的素質等「軟」因素,這主要是重在管理,「平安源於管理,向管理要平安」。再好的技術、設備,而沒有高質量的管理,也只是一堆廢鐵。
網路平安的保障從組織體系角度看。要盡快建立完善的網路平安組織體系,明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系,和認證認可各級結構,保證信息平安技術、信息平安工程、信息平安產品,信息平安管理工作的組織體系。
最後,在盡快加強網路立法和執法力度的同時,不斷提高全民的文明道德水準,倡導健康的「網路道德」,增強每個網路用戶的平安意識,只有這樣才能從根本上解決網路平安新問題。
參考文獻
1 張千里,陳光英.網路平安新技術[M.北京摘要:人民郵電出版社,2003
2 高永強,郭世澤.網路平安技術和應用大典[M.北京摘要:人民郵電出版社,2003
3 周國民. 入侵檢測系統評價和技術發展探究[J.現代電子技術,2004(12)
4 耿麥香.網路入侵檢測技術探究綜述[J,網路平安,2004(6)
⑥ 校園網路設計(高分)
給你一個參考的
校園網路設計方案
一、需求分析
根據學校的基本情況,網路設計要滿足以下要求:
1.校園內有一個中心機房,三棟教學樓、一個辦公室和一個多功能廳都必須能連上互聯網。
2.中心機房設一課件庫,可讓所有的教室都訪問。
3.建立網站,無論校園網內外都能訪問。
4.分別建一個視頻伺服器和一個文件伺服器。
5.建立一個無線上網的伺服器。
二、設備分析
根據對網路需求的考察,根據合理性、實用性和節約費用等原則進行設備選擇:
1.基於路由器和交換機的局部網間的互聯是最好的解決方案。網路協議方面,以網際協議(IP)作為校園網網路系統的公用網路協議實行標准化,使用IP作為標准傳輸協議,在以後對網路進行擴充以與其它的網路互連時,可以跨越多個平台自然而然地提供互操作能力和無縫連接功能。
2.在網路伺服器的選擇上,選擇了HP或DELL計算機公司的伺服器,作為世界知名品牌,可提供最優良的系統設備和優質的售後服務。
3.在主幹網建設時,選擇3Com和Cisco系統產品,它能夠以極具競爭力的價格提供所有技術,為我們提供一個集成化、高性能、靈活、可伸縮、安全和高性能價格比的解決方案的標准。
4.在局部網建設方面,選擇使用3COM和Bay Networks或聯想D-LINK產品作為骨幹網基礎設施的基礎。 3COM和Bay Networks方案提供了可伸縮的結構和高性能的設備,能夠高速傳輸數據,同時通過它們Secure技術保證了安全地接入Internet和一體化的網路解決方案。
5.計算機終端設備的選型既考慮性能、價格比、設備的運行維護費用,也考慮設備的可擴充性,確保系統主要設備的投入在整個系統的生命周期內能得到充分利用並具有強健靈活的體系結構。同時,也考慮局部子網對硬體和信息流量的要求,必須能夠提供專用的高速帶寬,以處理日常數據信息和峰值操作,並能夠支持各種新技術和新增用戶。
6.安全性是另一個關鍵要求,要保證能夠安全地接入Internet。
三、具體方案
1.網路結構採用星型,主幹速率採用1000M,所以選用國際上著名的3com或arlotto網路產品作為網路的中心交換、路由和分支交換設備;
2.主交換機設備選用3com或arlotto的高端千兆路由多協議中心交換機;
網路中心下連的其它子系統,配置的邊緣100M交換機可選擇3COM3000系列、arlotto系列、聯想D-LINK系列交換機;
3.邊緣交換機與主中心交換機的連接速率為1000M;
4.各樓層之間網路連接的主幹線採用千兆線路,主要考慮網路的速度、將來網路的擴容以及與有關網路連接,其它分支採用100M雙絞線。採用AMP結構化布線系統(PDS)進行網路布線;
綜上,中心交換機使用千兆機;連接邊緣高速百兆交換機;整個網路以一級千兆為中心,組成一個星型網路;這樣就組建了目前先進、流行的千兆乙太網和乙太網(Ethernet)、快速乙太網(Fast Ethernet)網路的組合,主幹是1000M網路,其它分支為快速乙太網 100BASE-TX,速度 100M/200Mbps。
四、設計標准:開放系統與標准化
所謂開放就是要求系統的網路環境、操作系統、資料庫資源以及客戶端開發工具建立在有關工業標准之上,用戶在軟硬體的選擇上有廣闊的餘地,而且能夠在原有的系統之上方便擴充。
標準是開放的前提,只有建立在一定的標准之上,各種平台上的各種應用系統才能方便的集成在一起。Internet應用框架就是一個標準的開放系統。其中涉及的主要標准如下:
網路層/傳輸層協議 TCP/IP、SPX/IPX、NetBUEI
應用層協議 SNMP,FTP,HTTP,RPC
網路計算構架 JAVA、ActiveX、CGI、ASP
資料庫查尋語言 SQL
資料庫訪問API ODBC、JDBC、DB-Library
五、伺服器操作平台的選擇
選擇WINDOWS 2000做為文件伺服器操作系統平台,
操作系統是軟體平台的核心,網路操作系統所具備的功能和性能決定了網路系統的整體水平,同時也決定了應用及技術的發展方向。Microsoft公司的WINDOWS 2000操作平台是在PC和LAN(區域網)的基礎上發展起來的32位操作系統,功能強大且易於使用;且WINDOWS 2000支持當前所有的網路協議,包括TCP/IP、SPX/IPX、NetBUEI、AppleTalk、DLC、PPP、PPTP,可以和NetWare、UNIX等系統協同工作,可以連接DOS、Windows3.x 、Windows NT Workstation、Windows 95/98、OS/2、Macintosh等協同工作;WINDOW 2000內置Iternet伺服器(IIS)的網路操作系統,通過資料庫聯結器(IDC)與資料庫系統集成,使用戶可以通過瀏覽器來訪問資料庫系統。
⑦ 校園網基本網路搭建及網路安全設計分析
摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊,網路中的敏感數據有可能泄露或被修改,保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建,通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。
關鍵詞:校園網;網路搭建;網路安全;設計。
以Internet為代表的信息化浪潮席捲全球,信息 網路技術 的應用日益普及和深入,伴隨著網路技術的高速發展,各種各樣的安全問題也相繼出現,校園網被「黑」或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。
一、 基本網路的搭建。
由於校園網網路特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1. 網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷設備。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FDDI、千兆乙太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速乙太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網路平台,但它的網路帶寬的實際利用率很低;目前千兆乙太網已成為一種成熟的組網技術,造價低於ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路安全設計。
1.物理安全設計 為保證校園網信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
2.網路共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬區域網,是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中,即使是兩台計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的,它在乙太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍,並能夠形成虛擬工作組,動態管理網路。從目前來看,根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員,被設定的埠都在同一個廣播域中。例如,一個交換機的1,2,3,4,5埠被定義為虛擬網AAA,同一交換機的6,7,8埠組成虛擬網BBB。這樣做允許各埠之間的通訊,並允許共享型網路的升級。
但是,這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN,不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術,防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,並且藉助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護伺服器和網路中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下論文網需要應用基於網路的防病毒技術。這些技術包括:基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如,我們准備在主機上統一安裝網路防病毒產品套間,並在計算機信息網路中設置防病毒中央控制台,從控制台給所有的網路用戶進行防病毒軟體的分發,從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後,不但可以做到主機防範病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網路信息安全。形成的整體拓撲圖。
第二,防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備,專門用於TCP/IP體系的網路層提供鑒別,訪問控制,安全審計,網路地址轉換(NAT),IDS,,應用代理等功能,保護內部 區域網安全 接入INTERNET或者公共網路,解決內部計算機信息網路出入口的安全問題。
校園網的一些信息不能公布於眾,因此必須對這些信息進行嚴格的保護和保密,所以要加強外部人員對校園網網路的訪問管理,杜絕敏感信息的泄漏。通過防火牆,嚴格控制外來用戶對校園網網路的訪問,對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊站點的訪問,提供監視INTERNET安全和預警,系統認證,利用日誌功能進行訪問情況分析等。通過防火牆,基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問,保護重要主機上的數據,提高網路完全性。校園網網路結構分為各部門區域網(內部安全子網)和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。
內部安全子網連接整個內部使用的計算機,包括各個VLAN及內部伺服器,該網段對外部分開,禁止外部非法入侵和攻擊,並控制合法的對外訪問,實現內部子網的安全。共享安全子網連接對外提供的WEB,EMAIL,FTP等服務的計算機和伺服器,通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器,隱藏伺服器的其它服務,減少系統漏洞。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網路(第4版)[M].北京:清華大學出版社,2008.8.
[2]袁津生,吳硯農。 計算機網路安全基礎[M]. 北京:人民郵電出版社,2006.7.
[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.
⑧ 大學校園網設計方案_校園網建設規劃
校園網建設和規劃
校園網是為學校師生提供教學、科研和綜合信息服務的寬頻多媒體網路;是學校信息化教學環境的基礎設施和實現橋寬型各項管理的物質基礎;是建立遠程教育體系的基本保證;是提高全民素質的重要手段。可見,校園網的建設和應用是一項靈魂工程。教育信息化是我國國民經濟和社會信息化的重要組成部分,並已納入我國的"十五"計劃中。中等職業教育擔負著培養數以億計高素質勞動巧游者和技能型人才的重要使命,是我國經濟社會發展和人力資源強國建設的重要基礎。
近期國家教育督導團日前發布《國家教育督導報告:關注中等職業教育》。此次《報告》的發布旨在強化各級政府依法履行發展職業教育責任,落實教育規劃綱要要求,促進中等職業教育發展。教育部副部長劉利民就發布《報告》與部分省份分管負責同志約談,共商促進職業教育發展的思路。無疑地說明了中等職業教育信息化建設的緊迫性和重要性。
校園網建設規劃是一項技術性、系統性敏猜很強的工程。它由計算機網路系統、安防系統等組成。表面上看是一個綜合布線系統,已及覆蓋學校教學、管理等各個方面的應用軟體組成,同時還要考慮到技術的可行性、資金的可行性、拓展的可行性等諸多因素。下面就來談談校園網建設和規劃。
我校在整個信息化建設中,可大致分為七個大方面:
校園網路硬體建設
校園安防系統建設
校園VOD視頻智能點播系統建設
校園一卡通
校園網路軟體建設
校園網路安全建設
校園智能照明控制系統建設
一、校園網路硬體建設
目前,就校園網網路建設中,採用先進的千兆乙太網及無線網路相結合的構架。千兆交換式乙太網是網路實施中最成熟的方式之一,具有結構簡單、投資較少、建設周期短、維護方便等特點,為大多數學校所採用。
隨著近幾年來,無線校園網路的建設浪潮在全球蔓延:美國、歐洲、日本、新加坡等國家紛紛建立起無線校園網路環境。我國的無線校園網路建設步伐也緊跟著技術的發展。上海中學、北京大學都是無線校園網路建設的典範。無線區域網以其靈活布設、高帶寬和無線接入的優勢,可以突破有線網路節點限制、實現多人同時上網的問題,大大地增加了校園網路信息點,方便在校師生獲取信息,進一步提升學校的信息化水平。此外,無線網路環境的引入,為嶄新的無線多媒體提供了應用平台,從而將教育信息化建設帶入一個嶄新的天地。
我校根據自身的實際情況,擬採用千兆乙太網和無線網路相結合
的網路架構,保證學校網路的穩定性、安全性、靈活性等。
通過網路的建設,可以實現:
校園網路的快速接入,強大的核心交換機為整個校園網提供了一
顆乃至數顆強大的心臟。
全面支持兼容教學管理、學生管理、行政管理、通用服務、互聯
網路和圖書館管理等分系統。
通過高帶寬實現校園網多媒體計算機教學系統,為現代化教學提
供了一個新的平台。
建立完善的校園網站,與Internet互連後,校園網用戶在許可權
允許的范圍內可以使用Internet上的Web訪問、Email收發、FTP、Telnet、BBS、新聞組、討論組、個人主頁等服務。
校園網站連接Internet,用於宣傳學校形象、教學信息發布、
提供信息查詢等,以後可成為網上教學的渠道。
無線網路與千兆乙太網絡環境互為補充,擴展網路使用范圍,取
消了傳統網路接入上的埠限制問題,為移動多媒體教學應用提供移動平台,進一步便於筆記本電腦用戶隨時隨地的使用網路。 支持個人數字助理(PDA)的網路應用,使得校園網路的應用更為
靈活多變。
為外來的賓客提供便捷靈活的網路接入服務。
學校管理人員可隨時隨地進行教學管理,教務管理等日常工作,
突破了傳統辦公管理模式。
……
二、校園安防系統建設
伴隨著平安重慶工作的不斷深入,「平安校園」作為「平安重慶」的重要組成部分。
如何利用校園安防系統來解決學校安全防衛工作的後顧之憂,來解決學校諸如畫面質量、成像效果、設備可靠性等疑慮。採用一套具有合理性、先進性、可操作性的系統是解決這一問題的根本手段。
為確保學校教育安全工作,我校擬採用百萬高清監控系統、周界報警、門禁系統等幾個子系統來對整個校園實現全方位防衛,同時可與110實現聯網,運用3G網路等技術手段來實現更為高效、快捷、靈活的管理應用。
百萬高清監控系統是業界目前一致認同的發展方向。百萬高清攝像機與模擬攝像機最大的差別在於畫質上的飛躍,使用者所得到的畫面更清晰、更流暢,從而在發生意外突發性事件(例如盜竊、打架、失火等)時,校園領導能夠迅速查知現場情況,從而快速進行全校人員安全疏散等工作,最大程度上保護學校安全。
周界報警及門禁系統作為校園監控系統的重要組成部分,將能更好地做到對校園周界的防衛工作。
通過安防系統的建設,可以實現:
實時監控:通過本系統能夠實時監控了解校園內所有情況及動態。
特別是園區的安全等重點防護點位,加強園區內部的安全監控,發揮高效的管理機制。
安全管理:通過該系統的動態檢測錄像功能,把正常校園生活進
行全面管理,包括人員流動、財物監管等。
遠程瀏覽:使用最簡便的通訊手段實現實時遠程視頻監控,讓每
一名管理者不管在本地教室,還是在旅途中,甚至全球任何一處有通訊的地方,都可以通過電腦、手機、PDA等來實現視頻監控。 校園周界入侵移動檢測:自動檢測進入校園周界的人、動物、汽
車等移動目標。對翻越、破壞等行為進行預警監測。
解決在雪天,雨天,大風等惡劣天氣下無法監控報警的情況。 門禁系統實現學校各個區域的安全通行管理:對於學校不同的區
域,按許可權進行有效的通行管理,包括教學樓、宿舍樓、辦公樓、車庫等重點建築。
徘徊檢測:在校園部分區域內,如重要實驗室、圍牆、財務室等
區域當有人徘徊一段時間後,系統將會自動識別並報警。同時在監視屏上自動彈出徘徊人及其運動軌跡。
聯動報警:報警裝臵和視頻監控系統與110聯網,當發生偷盜、
搶劫、師生被侵害或重大自然災害性事故時,聯網學校可通過報警系統,以聲音提示和顏色顯示的方式予以報警。
強大的系統兼容能力:充分利用已有資源進行下一步建,兼容多
家主流產品,從而實現在一個系統平台上實現統一集中管理。 ……
三、校園VOD視頻智能點播系統建設
校園網VOD視頻智能點播系統在現有校園網基礎上建立一種新的實時、交互的學習環境,在教學過程中可以實現隨時隨地點播教學課件完成教學,從而突破了傳統的集體教學的時間和空間的限制,實現了個性化教學,達到最佳的教學效果。這將會是傳統的校園教學模式的一次革命性的變革,真正實現了以素質教育為本的教育目標。
所謂VOD(VIDEO ON DEMAND)視頻點播系統,也稱互動式多媒體視頻點播業務,即通過高速上網技術連上各種寬頻多媒體伺服器進行網上教學、視頻會議等各種互動式活動;是集動態影視圖像、靜態圖片、聲音、文字等信息為一體的,為用戶提供實時、高質量、交互性服務的多媒體通信業務。VOD的本質是交互性,即信息的使用者根據自己的需求主動獲得多媒體信息,它區別於傳統信息發布的最大不同:一是主動性、二是選擇性。
系統通過專業的寬頻視音頻解決方案,優秀的視頻流技術,卓越的整體性能,分布式架構體系,支持視頻伺服器集群接入和負載均衡,輕松實現大流量視頻流並發點播。
通過此系統,我們可以輕松實現:
互動式教學視頻點播,包括課件、教學視頻、娛樂等,自由截取
網路動態視頻流、前後拖動播放、停止、快進、快退。
操作簡單、使用方便、功能強大的視音頻編輯工具系統。
伺服器端實現零管理,數據可隨意備份,保證用戶數據安全;管
理員可在本地或異地進行系統維護和後台管理。
在校園內不同的區域進行分區音、視頻管理,可與安防系統聯機
管理,根據許可權分級使用。
實現在同一區域內,不同音、視頻的播放,用戶可根據語言、自
身喜好、專業需求等不同方式,進行互動點播。
……
四、校園一卡通
校園一卡通系統是一種非常有效的管理手段,它能將數量龐大、流動頻繁的師生群體科學地管理起來,它代表了當今校園信息化的發展趨勢,是學校現代化管理和校園數字化的重要標志。
校園一卡通系統是將採取銀行卡金融功能與非接觸式電子錢包、電子化校務管理相整合的方式,由指定銀行與貴校聯合發行校園銀行卡,師生們可以在各地銀行網點或自動終端實現存取款、消費、轉帳等金融功能;可以代替教職員工和學生等在校內的所有個人證件(如學生證、工作證、圖書證、醫療證、臨時證),應用於需要身份識別的各個MIS系統,也可以通過設在非接觸式IC晶元內的電子錢包實現餐飲、校內購物、上機上網、醫療等校內的各種消費。
校園一卡通系統將極大的提升學校在社會上形象,鼓舞廣大師生員工的士氣,提升師生、員工作為學校一員的榮譽感和自豪感。
通過校園一卡通,我們可以實現:
資金自由流轉:實現校園卡上從銀行帳戶向校園卡帳戶的資金轉
入,實現銀行卡直接充值。解決學校資金管理問題
IC卡多種情況應用,如食堂售餐管理、輔助教務/教學管理、學
籍管理、上機/上網管理、圖書借閱管理、考勤管理等
IC卡POS機消費:可校內消費(如開水、飲水機、小賣部購物、
打字、復印、傳真、電話等)管理。要求各消費點必須設臵POS機,可實現聯網或離線消費。
IC卡輔助校內醫療管理:用於校內醫療管理系統。將校園卡用於
師生在學校各校區的醫務所就診的身份憑證。
IC卡輔助身份認證系統:可以在獨立式IC卡身份識別器上顯示
持卡人的身份信息,用於學校辨認人員身份,並且可以通過簡訊方式告之學生家長,學生到校時間、離校時間、在校情況等。 ……
五、校園網路軟體建設
穩定強健的硬體基礎,必須要與系統平台和應用軟體相配合,才能使校園網發揮應有的作用。因此,軟體規劃就必不可少。一個完善的軟體規劃可以減少事後不必要的重復工作。
網路系統平台規劃:
目前網路操作系統主要有WINDOWS NT SERVER、WINDOWS 2003 SERVER、UNIX、LINUX等。WINDOWS系列具有操作界面友好,易於維
護,應有軟體豐富的特點。但對於訪問量較大的伺服器來說,要求有較高配臵。UNIX平台具有優秀的網路性能,但一台配臵優良的UNIX伺服器價格驚人,軟體的安裝相對復雜,自從X-WINDOWS問世以來,它的可操作性有所改善。LINUX是網路操作系統中的新秀。與UNIX一樣,它的網路性能卓越,並且LINUX支持現今幾乎所有的連網技術(乙太網、高速乙太網、ATM、數據機、ISDN、令牌環)和網路協議(TCP/IP、PPP、SLIP等)。在相同的硬體上其性能已超過WINDOWS系列及其它的UNIX。同時LINUX以近乎免費的價格和高性能的應用體系已為大多數網站所採用。目前,有許多軟體開發商為其開發相應的應用軟體,其中包括基於WEB的校園網應用軟體。因此,它已成為基於WEB應用軟體的最理想的網路平台。
應用平台規劃:
在應用平台規劃之前必須了解整個校園網要實現的功能。一個典型的校園網路應具有以下基本功能:
1. 校園WEB站點。其中應包括教育論壇(提供國家的教育方針、
政策,教學科研成果,研究性學習,並根據各自學校的教育教
學實踐創辦特色版面)、聊天室(提供學生、教師和家長之間
在線交流的空間)。
2. 校園電子郵件系統。方便學生、教師校內外的信息交流。
3. 電子圖書系統和電子閱覽室。
4. 教學課件庫。
5. OA辦公系統、日常行政管理系統、教師學生評估系統。
6. INTERNET介面。
六、校園網路安全建設
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行。校園網路特別是已與INTERNET相連的校園網路,對於網路的安全防範就顯得特別重要。因為一次的惡意破壞或管理人員的誤操作都會帶來巨大的損失。因此,一方面要加強管理人員及使用者的技術培訓及有關法律和道德教育,另一方面,要建立起一套有效的軟、硬體的監控、防護體系。學校可以採用高性能的防火牆軟、硬體。它應具有強大的包過濾功能、圖形化的配臵界面、建立URL的訪問限制、流量分析、實時入侵檢測、入侵告警及網路數據流量分析等功能。
七:校園智能照明控制系統建設
新校園的建設要適應網路時代的發展,應引入智能化的概念。在傳統的樓宇自控系統中,一般只包括了綜合布線、計算機網路、安防、消防、閉路電視監控等子系統。但近年來,隨著經濟的發展和科技的進步,人們對照明燈具節能和科學管理提出了更高的要求,使得照明控制在智能化領域的地位越來越重要。而在新校區的建設熱潮中,各
類院校和他們的建設者也意識到了智能照明的重要性。相對商業樓宇而言,校園里的大功率動力和製冷設備比重較少,照明燈具則相對比重更多。使用照明控制系統,更能體現其在節能與管理方面的優勢,提高學校的科學管理水平。
通過智能照明控制系統,我們可以看到與傳統照明系統的區別: 智能照明系統更能達到良好的節能效果,延長燈具壽命。
智能照明控制系統可以根據不同場合、不同的人流量,進行時間
段、工作模式的細分,把不必要的照明關掉,在需要時自動開啟。 系統還能充分利用自然光,自動調節室內照度。控制系統實現了
不同工作場合的多種照明工作模式,在保證必要照明的同時,有效減少了燈具的工作時間,節省了不必要的能源開支。
改善工作環境,提高工作效率:合理地選用光源、燈具及性能優
越的照明控制系統,提高照明質量,有效地控制各種照明場所的平均照度值,從而提高照度均勻性
實現多種的照明效果:多種照明控制方式,可以使同一建築物具
備多種藝術效果,為建築增色不少。現代建築物中,照明不單純地為滿足人們視覺上的明暗效果,更應具備多種的控制方案,使建築物更加生動,藝術性更強,給人豐富的視覺效果和美感。 智能照明控制系統是以自動控制為主、人工控制為輔的系統。在
一般的情況下,不需要有人的參與,照明系統自動實現開關和調光功能。
合理配臵照明系統,從長遠利益來看,既倡導了環保,又確實的
節約費用開支,還提升了學校的整體形象,實為一舉多得。
結束語
在我國學校日益加大信息化校園的建設步伐,許多先進的信息處理技術都被引入校園,它為數字化校園提供信息採集,涉及到校園生活的各個方面,使教育與信息技術真正地融合,逐步實現以人為本,從校園環境、資源到活動的全部數字化管理。本文通過以上對學校校園網的初步規劃,在總結多種校園網的建設方式的基礎上,提出了以千兆乙太網和無線網路為構架校園主幹網路的解決方案,更包含了安防、VOD點播、一卡通等子系統,必定能為學校的校園信息化建設畫上濃墨重彩的一筆,使學校成為更具影響力的名校之一。