校园网络安全问题及对策本科生毕业论文(编辑修改稿)

校园网络安全问题及对策本科生毕业论文(编辑修改稿)内容摘要：

个网络都将是致命性的。 作为高等院校，如何构筑相对可靠的校园网络安全体系问题，变得越来越突出了。 一般来说，构筑校园网络安全体系，要从两个方面着手：一是采用先进的技术；二是不断改进管理方法。 校园网安全管理 针对目前高校校园网安全现状的认识与理解，在防病毒软件、防火墙或智能网关等构成的防御体系下，对于防止来自校园网外的攻击已经足够。 以下五点 是 高校的安全策略： 规范出口管理，实施校园 网的整体安全架构，必须解决多出口的问题。 对于出口进行规范统一的管理，使校园网络安全体系能够得以实施。 为校园网的安全提供最基础的保障。 配备完整系统的网络安全设备，在网内和网外接口处配置一定的统一网络安全控制和监管设备就可杜绝大部分的攻击和破坏，一般包括：防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。 另外，通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控，对大量的非法访问和不健康信息起到有效的阻断作用，对网络的故障可以迅速定位并解决。 解决用户上网身份问题，建立全校统一的身份认 证系统。 校园网络必须要解决用户上网身份问题，而身份认证系统是整个校园网络安全体系的基础的基础，否则即便发现了安全问题也大多只能不了了之，只有建立了基于校园网络的全校统一身份认证系统，才能彻底的解决用户上网身份问题，同时也为校园信息化的各项应用系统提供了安全可靠的保证。 宿州学院毕业论文（设计） 9 严格规范上网场所的管理，集中进行监控和管理。 上网用户不但要通过统一的校级身份认证系统确认，而且，合法用户上网的行为也要受到统一的监控，上网行为的日志要集中保存在中心服务器上，保证了这个记录的法律性和准确性。 根据相关部门的要求，配 备专门的安全管理人员，出台网络安全管理制度。 网络安全的技术是多样化的，现状还是 “道高一尺，魔高一丈 ”，因此管理的工作就愈发重要和艰巨，必须 要 做到及时进行漏洞修补和定期询检，保证对网络的监控和管理。 [2] 校园网络安全措施 前述各种网络安全威胁，都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。 为杜绝网络威胁，主要手段就是完善网络病毒监管能力，堵塞网络漏洞，从而达到网络安全。 杀毒软件。 杀毒产品 的 部署 . 在该网络防病毒方案中，要达到一个目的就是：要在整个局域网内杜绝病毒的感染、 传播和发作。 为了实现这一点，应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段；同时为了有效、快捷地实施和管理整个网络的防病毒体系，应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能 .。 （ 1）在学校网络中心配置一台高效的 Windows2020 服务器安装一个杀毒软件的系统中心，负责管理校内网点的计算机。 （ 2）在各办公室分别安装 杀毒软件的 客户端。 （ 3）安装完 杀毒软件 ，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 （ 4）网络中心负责整个校园网的升级工作。 采用 VLAN 技术。 VLAN 技术是在局域网内将工作站逻辑的划分成多个网段，从而实现虚拟工作组的技术。 VLAN 技术根据不同的应用业务以及不同的安全级别，将网络分段并进行隔离，实现相互间的访问控制，可以达到限制用户非法访问的目的。 内容过滤器。 宿州学院毕业论文（设计） 10 内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。 同时，可以限制外来的垃圾邮件。 防火墙。 在与 Inter 相连的每一台电脑上都装上防火墙，成为内外网之间一道牢固的安全屏障。 在防火墙设置上按照以 下原则配置来提高网络安全性 : (1)根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。 总体上遵从“不被允许的服务就是被禁止”的原则 . (2）禁止访问系统级别的服务 ( 如 HTTP , FTP 等 )。 局域网内部的机器只允许访问文件、打印机共享服务。 使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。 (3）如果你在局域网中使用你的机器，那么你 就必须正确设置你在局域网中的IP，防火墙系统才能认识哪些数据包是从局域网来，哪些是从互联网来，从而保证你在局域网中正常使用网络服务（如文件、打印机共享）功能。 (4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 (5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性 . 入侵检测。 入侵检测系统是防火墙的合理补充，帮助系统对付网络攻击。 扩展系统管理员的安全管理能力．提高信息安全基础结构的完整性。 入侵检测系统能实时捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配和智能分析的方法， 检测网络上发生的入侵行为和异常现象，并记录有关事件。 入侵检测系统还可以发出实时报警，使网络管理员能够及时采取应对措施。 漏洞扫描。 随着软件规模的不断增大．系统中的安全漏洞或“后门”也不可避免地存在．因此，应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查，并写出详细的安全性分析报告，及时地将发现的安全漏洞打上“补丁”。 数据加密。 数据加密是核心的对策，是保障数据安全最基本的技术措施和理论基础。 加强网络安全管理。 宿州学院毕业论文（设计） 11 加强网络管理主要是要做好两方面的工作。 首先，加强网络安全知识的培训 和普及；其次，是健全完善管理制度和相应的考核机制，以提高网络管理的效率。 [6]宿州学院毕业论文（设计） 11 3. 校园网络安全系统设计 安全管理是保证网络安全的基础，安全技术是配合安全管理的辅助措施。 学校建立了一套校园网络安全 系统 ，制定详细的安全管理制度，如机房管理制度、病毒防范制度等，并采取切实有效的措施保证制度的执行，并定期对校内教师进行计算机网络安全知识培训，或发放常见病毒解决方案等。 校园网建设需求分析 需求分析 局域网最大的特点就是可以实现资源的最佳利用 ,如 :共享磁盘设备、打印机等 ,从 而可以在组建的局域网内部互相调用文件 ,并可在任何一台共享打印机上进行打印。 当然也可以借助 Wingate 或 Sygate 等软件多机共享一台 Modem 上网；或者通过代理服务器连上 Inter，享受非一般的速度。 网卡根据传输速率可分为： 10Mbps网卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口网卡、 10Mbps/100Mbps 自适应网卡和千兆网卡。 目前 10Mbps ISA 插口的网卡仍以其低廉的价格占有市场的一定份额，但由于 10Mbps ISA 插口网卡的网络传输速率低，且占用大量的 CPU 资源，只适应 于那些对速度要求不高的局域网，因此用 100Mbps PCI 插口的网卡或者10Mbps/100Mbps 自适应网卡，够适应于用户比较多，网上传输的数据量大和需要进行多媒体信息传输的应用环境。 BNC 口是用细同轴电缆作为传输媒介的一种网卡接口。 RJ45 是采用双绞线作为传输媒介的一种网卡接口， RJ45 的接口酷似电话线的接口，但网络线使用的是 8芯的接头，使用 RJ45 的缺点是架设成本高，但安装和维护较为方便，因此我们一般使用 RJ45 接口。 集线器 (HUB):根据微机的数量 ,利用 HUB 构成星形结构 ,在工作站较多的情况 下 ,会因 HUB 的处理速率远远低于通信线路的传输速度 ,从而造成瓶颈问题。 因此有条件的话可选用交换机。 一个 Hub 所组成的域称为冲突域 ,也就是说 ,网络上任何一台计算机在收发数据时 ,其他所有计算机都能够收到 ,且这些计算机不能同时进行数据的收发 ,否则会发生碰撞 (CSMA/ CD 协议会阻止碰撞 )。 此外每台接入 Hub 的计算机 ,都要检测接收到的数据目的地址 ,以确认是否是收到自己的通信信息 ,因此计算机 CPU占用率高 ,全网通信效率低 ,只适用于小型工作组级别应用。 宿州学院毕业论文（设计） 12 学校校园网是为学校师生提供教学 、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段；也是一项灵魂工程。 其设计方案应注意以下原则： 实用性校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。 可靠性校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的 MTBF(平均无故障工作时间 )和极低的 MTBR(平均无故障率 )，提高容错设计，支持故障检测和恢复，可管理性强。 统一性在系统的设计过程中，坚持 三统一 ，即统一规划、统一标准、统一出口。 先进性在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。 关键设备 在产品选购之前一定要经过认真的分析，这次参与组网的机构选用美国 Cisco公司的 Catalyst 6506 作为数据网络系统的内部核心交换机， Catalyst 6506 是大容量的具有高交换能力的第三层模块化交换机， Catalyst 6506 的交换容量以及端口数量等技术指标足以满足网络目前的需求。 选择 Catalyst 3548 作为外网交换机。 可以通过千兆的光纤链路连接到核心交换机，而所有的用户终端可以通过 10/100M 自适应通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交换机上。 选择 Catalyst 3524 和Catalyst 3548 作为计算机网络系统的二级汇聚交换机，为终端用户提供 10/100M 到桌面。 选择 Cisco 3662 作为计算机网络系统 DDN、 ISDN 访问路由器，既可以满足上级单位 Inter 的 DDN、 ISDN 接入的需求，又可以满足继续扩展的需求。 同时Cisco 3662 作为计算机网络系统的拨号服务器，提供分支机构的拨号接入。 网络核心层：用一台 Cisco 的高端三层交换机 Catalyst 6506 作为整个交换系统的核心，由网络中心网络管理员统一调度，从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。 其中配置两个电源同时供电，彼此分担负荷并互为备份。 一块 WSX6KS1AMSFC2 交换引擎是交换机的心脏，它控制交换机的寻址、数据转发、模块控制等。 Catalyst6506 交换机引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有极强的三层交换能力，宿州学院毕业论文（设计） 13 利用 Cisco 特有的 Netflow 技术，完全满足核心线性三层交换的能力。 另一块WSX6408GBIC 的 8 端口千兆以太光纤模块将所有的汇聚层设备、接入层设备、网管工作站及网络应用服务器都直接连入到核心层设备上去。 汇聚层：在分配线间分别设立 Cisco Catalyst 3524 和 Catalyst 3548 作为计算机网络系统汇聚层设备，汇聚层设备将通过光缆以千兆以太网为主干连接到核心层设备 Catalyst 6506 上去，终端用户可以通过超 5 类 UTP 线缆连接到各层交换机中去，可以实现 10/100M 的自适应通道连接到局域网中去。 接入层；在网络接入层中我们选用了一台 Cisco 3660 路由器作为广域互连和外部用户拨号访问网关，其中主要采用了两种接入方式分别实现各自功能： 1. ADSL 接入方式。 2. FTTX+LAN 接入方式。 校园网网络拓扑结构 根据校园网的 需求分析及建设目标，本设计方案采用交换式千兆以太网作为主干，百兆交换到桌面。 网络拓扑采用星型树结构，网络中心的交换机使用堆叠方式连接。 技术方案 校园网的建设规划 校园网建设作为一项复杂的系统工程，与任何一项工程建设一样，在开始建设宿州学院毕业论文（设计）。