1、題 目姓名： 班級： 計算機073 學號： 07013663 姓名： 班級： 計算機073 學號： 07013610 姓名： 班級： 計算機073 學號： 07013668 （為本方案的主要負責同學）計算機與信息學院二零一零年六月一、方案背景介紹XX中學校園網絡 12幢樓宇約458個信息點。其中1幢辦公樓32個信息點， 3幢教學樓60個信息點（19+20+21=60），7幢教師宿舍樓172個信息點（21+21+28+28+27+36+11=172），1幢教輔用房硅步樓194個信息點（122+60+12=194）。主干網絡提供1000M帶寬，到桌面提供100M帶寬，連接15幢樓宇，校內互聯，學校

2、各部門子系統連接校園主干網口，各網段內、各網段之間計算機互訪和校內資源共享；校園網與國際互聯網相連：局域網內的計算機通過WWW服務器代理網。核心內部網絡建設，包括DNS服務器、EMAIL服務器、WWW服務器、FTP服務器、BBS服務器、數據庫服務器等，對外能與Internet互聯，對內提供校內各種局域網的接口，提供Internet服務，如電子郵件、遠程登陸、文件傳輸、信息查詢等。提供網絡教學環境：網絡提供視頻、音頻、課件在校園網內傳輸，提供視頻點播系統服務；提供辦公自動化管理服務：進行各類公文收發、分類的處理；提供遠程用戶訪問服務。 二、方案設計任務分工 方案設計，找資料：龔卓成,陳林滔開題報

3、告：龔卓成，陳林滔解決方案報告撰寫：何駿,龔卓成解決方案報告修改：何駿,陳林滔三、需求分析從對內安全和對外安全兩個角度進行分析:1.來自外部網絡的安全威脅 由于需要，網絡與外部網絡進行了連接，這些連接集中在安全威脅的第一層，包括：如果內部網絡和這些外部網絡之間的連接為直接連接，外部網絡則可以直接訪問內部網絡的主機，若內部和外部沒有隔離措施，內部系統較容易遭到攻擊。 由于需要，學生和教師在非校區內使用ISP撥號上網連接上Internet，進入學校內部網網絡，這時非法的internet用戶也可以通過各種手段訪問內部網絡。這種連接使學校內部網絡很容易受到來自internet的攻擊。攻擊一旦發生，首先

4、遭到破壞的將是辦公自動化網的主機，另外，通過使用連接托管服務器網站與辦公自動化網的DDN專線，侵入者可以繼續攻擊托管服務器網站部分。攻擊的手段以及可能造成的危害多種多樣。 1.對外安全分析安裝軟件、硬件防火墻，網絡防病毒軟件，客戶端防病毒軟件 利用代理服務器提供Internet與Intranet之間的防火墻功能 通過網管軟件實時記錄網絡的運行狀態。2.來自內部網絡的安全威脅網絡上的節點眾多，網絡應用復雜，網絡管理困難。這些問題主要體現在安全威脅的第二和第三個層面上，具體問題： 網絡的實際結構無法控制； 網管人員無法及時了解網絡的運行狀況； 無法了解網絡的漏洞和可能發生的攻擊； 對于已經或正在發

5、生的攻擊缺乏有效的追查手段； 訪問控制的問題2.對內安全分析 利用VLAN的安全特性，按照學校各部分的基本工作性質結合樓宇的分布劃分子網網段 一方面對子網內信息點設置訪問控制，另一方面對不同子網的訪問進行控制。 服務器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、教務管理平臺的訪問和管理采用有效的掃描工具，定期對網絡進行掃描，發現網絡結構的變化，及時糾正錯誤使用有效的工具，及時發現錯誤，關閉非法應用，保證網絡的安全 進行客觀的網絡風險評估，及時發現網絡中的安全隱患，并提出切實可行的防范措施 記錄攻擊行為的全過程，為調查工作提供依

6、據網絡安全設計方案樓宇交換機 樓宇交換機 網 管交換機 桌面交換機 桌面交換機 DNS對內安全：利用VLAN的安全特性，按照學校各部分的基本工作性質結合樓宇的分布劃分子網網段：1段，辦公樓；段，教師周轉房（1，2）；段，為臨江園2幢教師住宿樓，段為硅步樓，段為2號教師住宿樓，段為1號教師住宿樓。段為3幢教學樓。一方面對子網內信息點設置訪問控制，另一方面對不同子網的訪問進行控制。服務器訪問控制：通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、教務管理平臺的訪問和管理對外安全：安裝軟件、硬件防火墻，網絡防病毒軟件，客戶端防病毒軟件；利用代理服務

7、器提供Internet與Intranet之間的防火墻功能；通過網管實時記錄網絡的運行狀態。網絡可靠性設計：網絡主干采用基于樹型的多星型結構，使之具有鏈路冗余特性，能使樹型中有一線路出現故障時，只有本線路出故障，其它網絡部分仍然能正常運行。接入Internet：采用DDN接入。DDN是英文Digital Data Network的縮寫，這是隨著數據通信業務發展而迅速發展起來的一種新型網絡。基于端口的虛網劃分；利用VIAN國際標準802.1Q，實現跨交換機的VLAN，通過IEEE802.1d協議所支持的生成樹技術（Spanning Tree），實現各中繼之間的負載均衡；采用VLANPruning技

8、術來優化交換網絡中廣播對網絡性能的影響；網絡管理方案設計：根據學校和服務器應用模式及全網范圍資源集中管理的原則，建立網管中心（中心機房），統一網絡中的交換設備的管理配置，虛網設計和配置，各種服務建立等。建立安全管理制度。提高包括系統管理員和用戶在內的人員的技術素質和職業道德修養。對重要部門和信息，嚴格做好開機查毒，及時備份數據.對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念，提高計算機用戶的安全意識.對計算機用戶不斷進行法制教育，包括計算機安全法、計算機犯罪法、保密法、數

9、據保護法等，明確計算機用戶和系統管理人員應履行的權利和義務，自覺遵守合法信息系統原則、合法用戶原則、信息公開原則、信息利用原則和資源限制原則，自覺地和一切違法犯罪的行為作斗爭，維護計算機及網絡系統的安全，維護信息系統的安全。除此之外，還應教育計算機用戶和全體工作人員，應自覺遵守為維護系統安全而建立的一切規章制度，包括人員管理制度、運行維護和管理制度、計算機處理的控制和管理制度、各種資料管理制度、機房保衛管理制度、專機專用和嚴格分工等管理制度。網管工作站對全網所有交換設備和路由設備進行統一管理、配置和維護；進行故障隔離、分析、統計、報警、設置；網管軟件采用圖形化界面，支持廣泛的網管平臺。物理安全

10、層面：對計算機系統的安全環境條件，包括溫度、濕度、空氣潔凈度、腐蝕度、蟲害、振動和沖擊、電氣干擾等方面執行設備所規定的標準機房場地環境的選擇計算機系統選擇一個合適的安裝場所十分重要。它直接影響到系統的安全性和可靠性。選擇計算機房場地，要注意其外部環境安全性、地質可靠性、場地抗電磁干擾性，避開強振動源和強噪聲源，并避免設在建筑物高層和用水設備的下層或隔壁。還要注意出入口的管理。 機房的安全防護為了防止未經過授權的個人或者團體篡改數據盜竊計算機設備，應做到物理訪問控制來識別訪問用戶的身份，并對其合法性進行驗證；其次，對來訪者必須限定其活動范圍；第三，要在計算機系統中心設備外設多層安全防護圈，以防止

11、非法暴力入侵；第四設備所在的建筑物應具有抵御各種自然災害的設施。五、總結擁有一個高水準的校園網，必將促進校園網絡應用向WWW、E-mail、FTP的更高層次應用發展。計算機網絡技術的發展，引發了學校各項工作的深刻變革。高性能校園網的建設大大提高了學校的管理水平，為師生員工更好地進行教學、科研等提供了先進的平臺，極大地推動了學校的信息化建設。統一平臺、整合資源，將很多原來劃分在不同部門、不同系統的應用放在一個同時兼具高度靈活性、穩固的校園網平臺上，產生出巨大的協同效應，甚至從根本上改變了原有的教育模式。同時進一步利用這個平臺有效整合學校內部資源，以信息化促進學校內外部業務統一、流程優化。隨著校園網基礎建設的加強及學校信息化程度的提高，學校最終將迎來科學管理和教學的新時代。 計算機網絡安全是一項復雜的系統工程，涉及技術、設備、管理和制度等多方面