校園局域網(wǎng)安全解決方案

1、校園局域網(wǎng)安全解決方案校園局域網(wǎng)安全解決方案1緒論隨著計算機網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，學(xué)校教育教學(xué)在很大程度上依賴于網(wǎng)絡(luò)，數(shù)據(jù)、信息的不安全性也成為最主要的問題。很多時候?qū)W校的一些信息被刪除、丟失，或校園網(wǎng)內(nèi)經(jīng)常有大規(guī)模病毒出現(xiàn)。同時受產(chǎn)品和技術(shù)條件的限制，很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段，對網(wǎng)絡(luò)安全缺乏整體意識。因此，校園網(wǎng)必須有足夠強的安全措施，無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)能全方位地針對各種不同的威脅和脆弱性，確保網(wǎng)絡(luò)信息的CIA。 本方案以山東女子學(xué)院局域網(wǎng)安全解決方案為例，包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的

2、設(shè)計等。2網(wǎng)絡(luò)系統(tǒng)概況2.1 網(wǎng)絡(luò)概況山東女子學(xué)院現(xiàn)有一萬余人，校園占地1134畝，分長清和市內(nèi)兩個校區(qū)。本方案主要針對長清校區(qū)，現(xiàn)長清校區(qū)有教學(xué)樓兩棟、實驗樓一棟、圖書館一棟、學(xué)生宿舍五棟、辦公樓一棟、行政樓一棟。教學(xué)用計算機近三千臺。其局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接的現(xiàn)有所有的信息點為在學(xué)校的辦公和學(xué)習(xí)提供了一個快速、方便的信息交流平臺。在原有網(wǎng)絡(luò)上實施一套完整、可操作的安全解決方案是必然的。2.1.1 網(wǎng)絡(luò)概述本校的局域網(wǎng)，物理跨度不大，通過千兆交換機在主干網(wǎng)絡(luò)上提供1000M的獨享帶寬，通過下級交換機與各層之間的工作站和服務(wù)器連結(jié)，并為之提供600M的獨享帶寬。

3、利用與中心交換機連結(jié)的Cisco 路由器，所有用戶可直接訪問Internet。2.1.2 網(wǎng)絡(luò)結(jié)構(gòu)計算機網(wǎng)絡(luò)系統(tǒng)就是利用通信設(shè)備和線路將地理位置不同、功能獨立的多個計算機系統(tǒng)互聯(lián)起來，以功能完善的網(wǎng)絡(luò)軟件實現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。此局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照屬性、職能、安全的重要性分為許多子網(wǎng)，包括：辦公子網(wǎng)、行政子網(wǎng)、學(xué)習(xí)子網(wǎng)、教學(xué)子網(wǎng)、中心服務(wù)器子網(wǎng)等。不同的局域網(wǎng)分屬不同的廣播域，在中心交換機上將重要網(wǎng)段各自劃分為一個獨立的廣播域，而將其他的工作站劃分在一個相同的網(wǎng)段。2.1.3 網(wǎng)絡(luò)結(jié)構(gòu)的特點在分

4、析本局域網(wǎng)的安全風(fēng)險時，應(yīng)考慮到網(wǎng)絡(luò)的如下幾個特點： 1.內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進行安全方案設(shè)計時，應(yīng)考慮將不同功能和安全級別的網(wǎng)絡(luò)分割開，這可以通過交換機劃分VLAN來實現(xiàn)。2.網(wǎng)絡(luò)中有二臺應(yīng)用服務(wù)器，在應(yīng)用程序開發(fā)時就應(yīng)考慮加強用戶登錄驗證，防止非授權(quán)的訪問。在進行網(wǎng)絡(luò)方案設(shè)計時，應(yīng)綜合考慮到這個企業(yè)局域網(wǎng)的特點，根據(jù)產(chǎn)品的性能、價格、潛在的安全風(fēng)險進行綜合考慮。 2.2 網(wǎng)絡(luò)應(yīng)用校園網(wǎng)網(wǎng)絡(luò)應(yīng)用表其中主要應(yīng)用有： 1) 電子郵件功能及OA：校園網(wǎng)信息平臺應(yīng)有功能強大的郵件系統(tǒng)和OA系統(tǒng)，可以為每個使用者建立自己的信箱，和OA賬號，安全保密又極大地方便

5、了通信。 2) 討論和交流功能： 3) 學(xué)校網(wǎng)站：學(xué)校有許多信息需要向老師、學(xué)生或社會公布，校園網(wǎng)信息平臺的安全體系應(yīng)保證不允許被修改這一點。 4) 科研環(huán)境應(yīng)用系統(tǒng)：科研環(huán)境應(yīng)用系統(tǒng)多集中在各實驗室和多功能競賽及多功能報告廳，這類網(wǎng)絡(luò)應(yīng)用可能需要較高的帶寬以滿足多媒體實驗環(huán)境。 5) 電子教學(xué)：電子教學(xué)是搭建校園網(wǎng)的首要目標(biāo)，電子教學(xué)的具體形式有：多媒體教學(xué)、教學(xué)機房、電子圖書館、多媒體教育資源庫、內(nèi)部信息共享 6) 職能管理：除電子教學(xué)外，學(xué)校的各項管理工作的現(xiàn)代化也勢必要通過網(wǎng)絡(luò)來實現(xiàn)。7) 遠(yuǎn)程教育：遠(yuǎn)程教育建起了一座跨越地域、不受規(guī)模限制的虛擬學(xué)校，將教學(xué)信息通過網(wǎng)絡(luò)向更遠(yuǎn)處傳播，對

6、學(xué)校而言引進了更多的事業(yè)和機會，對學(xué)習(xí)者而言也提供了更多的選擇。8) 無線網(wǎng)絡(luò)：隨時隨地能夠從網(wǎng)絡(luò)獲得相要的資源成為教育用戶追求的目標(biāo)。國際上已經(jīng)把擁有無線校園網(wǎng)作為現(xiàn)代化校園的一個標(biāo)志，我們山東女子學(xué)院也應(yīng)在這點做好先前的準(zhǔn)備，迎戰(zhàn)未來。9) 視頻點播 ：VOD：視頻點播，對于校園網(wǎng)的用戶，學(xué)校通過把好的課件放到 VOD服務(wù)器上，讓學(xué)生們進行點播，靈活的開展教學(xué)服務(wù)。2.3 數(shù)據(jù)存儲的位置3網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險分析針對這個企業(yè)局域網(wǎng)中存在的安全隱患，并且要針對面臨的風(fēng)險，采取相應(yīng)的安全措施。我們從五個安全層面來考慮保護校園網(wǎng)的安全，并結(jié)合本局域網(wǎng)的實際情況，具體地分析網(wǎng)絡(luò)的安全風(fēng)險。3.1 物理

7、安全風(fēng)險分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。主要指地震等災(zāi)難；電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機多冗余的設(shè)計、機房環(huán)境及報警系統(tǒng)、安全意識等。在這個企業(yè)區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)的物理跨度不大，只要制定健全的安全管理制度做好備份，并且加強網(wǎng)絡(luò)設(shè)備和機房的管理，這些風(fēng)險是可以避免的。3.2 網(wǎng)絡(luò)層的安全風(fēng)險分析網(wǎng)絡(luò)結(jié)構(gòu)的安全涉及到網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)的環(huán)境等。3.2.1公開服務(wù)器面臨的威脅局域網(wǎng)內(nèi)公開服務(wù)器區(qū)作為公司的信息發(fā)布平臺，一旦不能運行或者受到攻擊，會對本校造成很大的威脅。我們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行

8、隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾。3.2.2 整個網(wǎng)絡(luò)結(jié)構(gòu)和路由狀況 網(wǎng)絡(luò)系統(tǒng)的成熟與否直接影響安全系統(tǒng)成功的建設(shè)。在局域網(wǎng)絡(luò)系統(tǒng)中，只使用一臺路由器，用作與Internet連結(jié)的邊界路由器，網(wǎng)絡(luò)結(jié)構(gòu)相對簡單，具體配置時可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)路由造成的安全風(fēng)險。3.3應(yīng)用及管理的安全風(fēng)險分析 應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性；信息的安全性涉及到；機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。對于特別重要的信息需要對內(nèi)部進

9、行保密的可以考慮在應(yīng)用級進行加密，針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時進行加密。管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。3.4 網(wǎng)絡(luò)攻擊手段3.4.1 黑客攻擊 黑客們的攻擊行動無時無刻不在進行，會利用系統(tǒng)和管理上的一切可能利用的漏洞。公開服務(wù)器是黑客們最青睞的，一旦黑客發(fā)現(xiàn)漏洞，侵入系統(tǒng)服務(wù)器后，從普通用戶變?yōu)楦呒売脩?，將會對整個局域網(wǎng)構(gòu)成很大的威脅。如黑客可能會開發(fā)欺騙程序，將其裝入系統(tǒng)服務(wù)器中，用以監(jiān)聽登錄會話、非授權(quán)訪問、信息泄漏或丟失破壞數(shù)據(jù)完整性、拒絕服務(wù)攻擊、利用網(wǎng)絡(luò)傳播病毒等。我們可以綜合采用防火墻技術(shù)、We

10、b頁面保護技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)來保護網(wǎng)絡(luò)內(nèi)的信息資源，防止黑客攻擊。3.4.2 病毒攻擊 計算機病毒一直是計算機安全的主要威脅。當(dāng)我們從網(wǎng)上下載一些東西如可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重的破壞。典型的“CIH”病毒就是一可怕的例子。3.4.3 惡意代碼惡意代碼不限于病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經(jīng)同意的軟件。應(yīng)該加強對惡意代碼的檢測。3.4.4 內(nèi)部不法員工非法攻擊 內(nèi)部員工熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。他們有時可能會做些“小實驗”，亦或者因為心中有不平之事，做些小破壞，他們也可以傳出至關(guān)重要的信息、泄露安全

11、重要信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。 3.4.5 外界非法人員進入內(nèi)部局域網(wǎng)外部人員與內(nèi)部員工相識，內(nèi)部員工對校園局域網(wǎng)的安全體系意識淡薄，同時因為是熟人，所以一時放松了戒備，讓非法人員有了可乘之機。3.5 管理層安全 網(wǎng)絡(luò)中心由專人負(fù)責(zé),非網(wǎng)管人員不得隨意進入,在網(wǎng)絡(luò)中心內(nèi)不得隨意安裝其它電器和非服務(wù)器工作站。 對網(wǎng)絡(luò)的核心資源實行備份保護(含硬件、軟件、數(shù)據(jù)),存放核心資源的場所要有嚴(yán)密的安全保障措施。未經(jīng)網(wǎng)絡(luò)中心許可,各部門不得對現(xiàn)有網(wǎng)絡(luò)(包括網(wǎng)絡(luò)設(shè)備和軟件配置)隨意改動。加強對有權(quán)限進入網(wǎng)絡(luò)工作的人員的管理,對網(wǎng)絡(luò)口令實行分權(quán)分級別管理,同級別的口令不得互用,要定期對口令進行修改

12、并備案存檔。4 安全需求與安全目標(biāo)4.1 安全需求分析 通過前面我們對局域網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對公開服務(wù)器的安全保護、防黑客和病毒、重要網(wǎng)段的保護以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：1、公開服務(wù)器的安全保護2、防止黑客從外部攻擊3、入侵檢測與監(jiān)控4、信息審計與記錄5、病毒防護6、數(shù)據(jù)安全保護7、數(shù)據(jù)備份與恢復(fù)8、網(wǎng)絡(luò)的安全管理針對局域網(wǎng)絡(luò)系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計時應(yīng)滿足如下要求：1.大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；2.保持網(wǎng)絡(luò)原有的能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透

13、明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；3.易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；4.盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；5.安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；6.安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；7.分布實施。4.2 網(wǎng)絡(luò)安全策略 安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。該安全策略模型包括了建立安全環(huán)境的三個重要組成部分，即：威嚴(yán)的法律：安全的基石是社會法律、法規(guī)、與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不

14、敢輕舉妄動。先進的技術(shù)：先進的安全技術(shù)是信息安全的根本保障，用戶對自身面臨的威脅進行風(fēng)險評估，決定其需要的安全服務(wù)種類，選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)。嚴(yán)格的管理：各網(wǎng)絡(luò)使用機構(gòu)、企業(yè)和單位應(yīng)建立相宜的信息安全管理辦法，加強內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。4.3 系統(tǒng)安全目標(biāo) 基于以上的分析，我們認(rèn)為這個局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)該實現(xiàn)以下目標(biāo)：1、建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略 （加上項目符號和編號）2、將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信3、建立網(wǎng)站各主機和服務(wù)器的安全保護措施，保證他們的系統(tǒng)安全4、對網(wǎng)上服務(wù)請求內(nèi)容進

15、行控制，使非法訪問在到達主機前被拒絕5、加強合法用戶的訪問認(rèn)證，同時將用戶的訪問權(quán)限控制在最低限度6、全面監(jiān)視對公開服務(wù)器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為7、加強對各種訪問的審計工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完 整的系統(tǒng)日志8、備份與災(zāi)難恢復(fù)強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復(fù)9、加強網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)5 網(wǎng)絡(luò)安全方案總體設(shè)計5.1 安全方案設(shè)計原則 在對此局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計、規(guī)劃時，應(yīng)遵循以下原則：綜合性、整體性原則：應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策

16、略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。需求、風(fēng)險、代價平衡的原則：對任一網(wǎng)絡(luò)，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡(luò)進行實際研究并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。 一致性原則：一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施容易，且花費小。易操作性原則：安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。分步實施原則：隨著網(wǎng)絡(luò)規(guī)模的擴

17、大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。實施信息安全措施需相當(dāng)?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。多重保護原則：任何安全措施都不是絕對安全的。建立一個多重保護系統(tǒng)，各層保護相互補充，當(dāng)一層保護被攻破時，其它層保護仍可保護信息的安全?？稍u價性原則：如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機構(gòu)的評估來實現(xiàn)。5.2安全服務(wù)、機制與技術(shù)安全服務(wù)：安全服務(wù)主要有：控制服務(wù)、對象認(rèn)證服務(wù)、可靠性服務(wù)等； 安全機制：訪問控制機制、認(rèn)證機制等；安全技術(shù)：防火墻技術(shù)、鑒別技術(shù)、審計監(jiān)控技

18、術(shù)、病毒防治技術(shù)等；在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實現(xiàn)；而安全服務(wù)又是由各種安全機制或安全技術(shù)來實現(xiàn)的。應(yīng)當(dāng)指出，同一安全機制有時也可以用于實現(xiàn)不同的安全服務(wù)。5.3 安全體系結(jié)構(gòu)通過對網(wǎng)絡(luò)的全面了解，按照安全策略的要求、風(fēng)險分析的結(jié)果及整個網(wǎng)絡(luò)的安全目標(biāo)，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。5.3.1 物理安全保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提，物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。 它主要包括三個方面：環(huán)境安全：對系統(tǒng)所在環(huán)境的安

19、全保護，如區(qū)域保護和災(zāi)難保護如場地選擇 、防火、內(nèi)部裝修、供配電系統(tǒng)、空調(diào)系統(tǒng) 、火災(zāi)報警及消防設(shè)施 、防水 、防靜電 、防雷擊 、防鼠害 、電磁波的防護等等。設(shè)備安全：設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾、電源保護和設(shè)備冗余備份等。這些措施通過嚴(yán)格管理及提高員工的整體安全意識來實現(xiàn)。媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。5.3.2 系統(tǒng)安全 系統(tǒng)的安全主要是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性以及網(wǎng)絡(luò)硬件平臺的可靠性。對于操作系統(tǒng)的安全防范可以采取如

20、下策略：1) 對操作系統(tǒng)進行安全配置，提高系統(tǒng)的安全性；系統(tǒng)內(nèi)部調(diào)用不對Internet公開；關(guān)鍵性信息不直接公開，盡可能采用安全性高的操作系統(tǒng)。2) 開發(fā)應(yīng)用系統(tǒng)時，采用規(guī)范化的開發(fā)過程，盡可能減少應(yīng)用系統(tǒng)的漏洞；3) 網(wǎng)絡(luò)上的服務(wù)器和網(wǎng)絡(luò)設(shè)備盡可能不采取同一家的產(chǎn)品；4) 通過專業(yè)的安全工具定期對網(wǎng)絡(luò)進行安全評估。5.3.3 網(wǎng)絡(luò)安全我校的近三千臺機器，不僅需要對網(wǎng)絡(luò)進行劃分，還要對各個網(wǎng)絡(luò)之間進行訪問控制。1劃分多個子網(wǎng)我們主要利用VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離，為了將不同保密級別的網(wǎng)絡(luò)隔離開，我們還要采用隔離技術(shù)將核心密和普密兩個網(wǎng)絡(luò)在物理上隔離，同時保證在邏輯上兩個網(wǎng)絡(luò)能夠連

21、通。2加強各個網(wǎng)絡(luò)訪問之間的控制在中心交換機上對校園網(wǎng)內(nèi)各個Vlan 只允許必要的協(xié)議通過,對于具有威脅性或者易受病毒感染的協(xié)議和端口進行屏蔽;對服務(wù)器Vlan 進行重點設(shè)置,只開放必要的端口;在路由器上進行一些設(shè)置,對學(xué)生教室和機房進行有效控制;還要注意學(xué)校內(nèi)網(wǎng)與Internet 之間的訪問控制,在路由器和外網(wǎng)之間加上防火墻,對外部的內(nèi)容進行過濾,這樣可有效地解決一些外網(wǎng)對我校的攻擊。3.定期對網(wǎng)絡(luò)安全進行控制互聯(lián)網(wǎng)病毒的日益增多，每天要查看中心交換機、路由器的運行情況,做好安全取證，消除網(wǎng)絡(luò)隱患；定期對交換機和路由器做出備份，以在發(fā)生災(zāi)難性破壞時對系統(tǒng)進行恢復(fù)，保障校園網(wǎng)的正常運行。5.3

22、.4 應(yīng)用安全在應(yīng)用安全上，主要考慮通信的授權(quán)，傳輸?shù)募用芎蛯徲嬘涗洝＿@必須加強登錄過程的認(rèn)證（特別是在到達服務(wù)器主機之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。還可以采用訪問存取控制，對權(quán)限進行分割和管理。對應(yīng)用安全，主要考慮確定不同服務(wù)的應(yīng)用軟件并緊密注視其Bug ；對掃描軟件不斷升級。1.服務(wù)器資源安全我校擁有WWW、FTP、DHCP等多個服務(wù)器資源，對于有數(shù)據(jù)變化的資源，要做到每天對數(shù)據(jù)庫進行備份。服務(wù)器資源的訪問也要做到不同等級的控制，對外公布的服務(wù)，每天要注意網(wǎng)頁內(nèi)容,對于反動、不安全因素及時刪除,以免造成不良影響。其他所有資源只允許校內(nèi)訪問，對有后臺管理頁面的只允許管理員進行訪問，以防止程序和資源被破壞。2.防火墻控制防火墻主要的種類是包過濾型，包過濾防火墻一般利用IP和TCP包的頭信