校園網絡安全建設方案范例6篇

前言：中文期刊網精心挑選了校園網絡安全建設方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

校園網絡安全建設方案范文1

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31

校園網絡安全建設方案范文2

1.1網絡安全

網絡安全廣義上來說就是與網絡相關的各種事物的安全問題。狹義上來說網絡安全就是指在我們的網絡系統中硬件設備、應用軟件以及系統里面的各種信息等不會被目的不純的人所竊取，使自己網絡系統中的各項數據保持完整和安全。從而保證網絡的正常運行，持續工作。網絡安全包含了計算機網絡，網絡安全技術等學科的相關內容。

1.2高校網絡安全建設的相關意義

高校網絡安全建設給高校帶來了很大的便利，有利于高校各個模塊的連接，保證了高校的快速運轉。現在高校教師的辦公和教學，學生的學習和生活以及后勤人員的工作對網絡的依賴度日益提高。我們的高校生活已經離不開網絡了。學校之間如果要進行相關合作，舉辦相關活動，網絡會是一個最好的宣傳平臺，及時為我們傳遞信息，保證各學校，各部門的有效運轉。為了這些能夠正常的進行，高校網絡安全建設必不可少。而且十分重要。我們必須保證網絡的正常運行，避免信息丟失，傳輸錯誤。因此高校網絡安全建設意義重大而且刻不容緩。

2目前高校網絡安全建設存在的問題

雖然目前各大學校對于網絡安全建設這一方面非常重視，并針對已經出現的問題或者還未出現的問題，采取了一些措施和預防辦法。但是高校網絡安全問題還是十分嚴峻，接下來我將就我認為比較要的一些高校網絡安全的問題進行詳細敘述。

2.1計算機硬件方面的問題

在我看來，網絡安全建設一個最基本的問題，那就是硬件方面的問題。有些高校的計算機沒有及時的更新，往往存在較大的隱患，比如線路老化，散熱不良，內存較小等等。線路老化容易導致火災；散熱不良，內存較小使得計算機工作效率不高。如果在硬件設備管理和使用過程中，存在數據線管理不善的情況，就會可能發生信息泄露等網絡安全問題，給學校帶來不良后果。此外，如果計算機硬件設備受到病毒感染或者木馬入侵，沒有及時進行處理和解決，就會導致信息泄露，相關數據被損害等問題。我們在學校的機房或者打印店就會經常發現U盤檢測到木馬病毒等情況，這些問題看似很小，但是真的是重大隱患。

2.2網絡方面的問題

高校網絡就好像是冰山一角。在互聯網這個大家庭里面，他只是小小的一部分，但是他又與互聯網聯系緊密?；ヂ摼W人員和信息良莠不齊，這就使得高校網絡十分容易受到攻擊。為了獲得信息，謀取利益，黑客會利用高校網絡中的漏洞，對高校網絡進行攻擊，容易導致高校師生信息的泄露和破壞，嚴重的話會使得高校網絡癱瘓，高校工作無法正常進行。

2.3人為因素帶來的問題

學生，作為高校使用網絡最多的群體，往往容易導致校園網絡安全出現問題，一些不正確的操作可能帶來毀滅性的威脅。比如高校選課階段，由于選課人數較多，但是服務器能夠承受的請求有限，但學生不懂的這個道理，一直點擊刷新請求按鈕，這時候就會致使服務器崩潰，帶來嚴重的后果。其次，在高校網絡組建過程中，對服務器以及其他設備管理不恰當，權限分配方面存在漏洞，致使木馬病毒入侵時常發生。威脅校園網絡安全。

2.4軟件技術帶來的問題

高校是我們學習的校園，沒有專業的人員和設備，網絡防御體系比較容易遭受外部力量的損害。不像公司企業，它們擁有完整的網絡防御系統，高端的防御設備，可以在發現問題的時候及時解決和處理問題。此外，軟件問題同樣是高校網絡安全中突出的問題，只要是軟件就不可避免的會出現漏洞，但是高校沒有能力及時解決這些問題，，從而使軟件存在于威脅中。

3高校網絡安全問題解決辦法

對以上高校網絡安全中存在的各種問題，在接下來的部分我將提出解決辦法，以下部分均是我通過查閱資料以及自己的理解總結所得。

3.1加強高校硬件設備管理

作為高校管理者和工作人員，必須重視高校網絡安全硬件設備的管理，網絡安全硬件設備是網絡安全的基石。因此要對核心設備及時更新換代，并加強管理力度，對核心設備及時進行維護優化，定期進行檢查，管理人員到把責任扛下來，確保核心設備的正常運作。

3.2加強網絡安全知識宣傳工作

高校應該大力宣傳網絡安全知識，比如一些宣講會，課堂教育等等。讓全校師生，都認識到網絡安全問題的嚴重性，只有每個人都認識到了問題的重要性，才會認真對待它。

3.3完整的網絡安全防御體系

這是最重要的一點。不管別人怎么攻擊你，你必須有自己的應對方法，所以高校應該有一套完整的網絡安全防御體系。一方面，加強網絡安全體系的構建和完善，校園網絡容易受到損害，因此我們在設計防御體系的時候需要設計多層防御，還有有入侵檢測系統，當別人攻擊你的時候能夠及時發現問題。然后實現全面的保護。當我們發現漏洞，檢測到木馬病毒的時候及時處理問題，確保網絡安全。另一方面，加強應急機制建設。當出現問題的時候我們需要有多套方案，來解決它。網絡中存在的威脅太多太多，沒有應急措施，當這些潛在威脅出現的時候我們會不知所措。這就使得網絡安全成為一句空話。對于一些重要的信息和數據或者文件，要進行備份或者加密處理。預防一切可能發生的危險。

4結束語

校園網絡安全建設方案范文3

越來越龐大的校園網絡正面臨嚴峻的病毒侵襲威脅

隨著信息化時代的到來，以現代化的教育技術手段實現網絡教學、遠程教學、教育資源共享，成為現代教育的需求。于是，校園網作為各種類型網絡的一大分支，有了更加廣泛的應用。

網絡環境分析

校園網實現的環境是學校，要全面支持教師、學生和管理者的教學過程、管理過程、資源共享服務。校園網的安全建設是項復雜的系統工程，需要科學統一規劃，分步實施，充分利用資源，發揮網絡在實際運用中的功效。

校園網結構層次復雜，終端節點基數巨大，因病毒引起的出口癱瘓和基層崩潰事故時有發生。由于校園網在規模、管理、需求上均有鮮明的自身特色，因此必須有量身定做的安全解決方案。

目前，中國主流高校的校園網基本都已成長為千兆甚至萬兆核心帶寬、節點過萬的大型網絡,加之各學院、各部門信息建設的分割等諸多因素，使校園網呈現出典型的由各院系分散建設、由網絡中心集中運維的尷尬局面。整個校園網絡構成復雜，網絡安全的可管理性呈現出幾何級數的下降趨勢。

整體安全威脅

隨著校園網的建成和使用，如何保障正常進行網絡教學、合法訪問教學資源，使網絡免受黑客、病毒、惡意軟件和其他不良意圖的攻擊就顯得尤為重要。校園網必須要有足夠強的安全措施，制定相應網絡安全策略方案，才能確保網絡的安全。

從網絡運維的角度來說，校園網普遍達到百兆甚至千兆到終端桌面，同時，桌面節點通過2~3級交換設備連接就能到達核心層甚至出口，因此，內部感染節點持續掃描和攻擊等行為，將給核心交換設備或出口設備帶來很大的壓力。隨著感染臺數的增加，這種壓力會不斷倍增，并迅速超越上層網絡設備的吞吐量和連接處理能力，這就是所謂的“漏斗效應”。

大規模蠕蟲暴發時，對于校園網絡來說，造成癱瘓的并不是來自網絡外部的掃描，而是內部感染節點的高頻度、大流量的集中掃描。后者將迅速導致各層網絡設備的性能和有效帶寬急劇下降，并會帶來下列問題。

基層癱瘓 大量網絡廣播造成基層交換設備和匯聚設備癱瘓，包括ARP欺騙帶來的局部癱瘓。

出口癱瘓 大量對外連接請求導致出口設備(如路由器、防火墻等)的連接被占用，導致其他用戶無法使用。

核心層癱瘓 網絡核心層或者出口流量基本被病毒掃描流量占據。

節點安全威脅

作為校園網，需要連接多個節點，將分布在不同地理位置的節點連接到同一網絡，使整個網絡相互連通，這是校園網要解決的一個問題。隨著計算機應用的大范圍普及，接入校園網的節點日漸增多。由于這些節點大部分都沒有采取較好的防護措施，使出現病毒泛濫、信息丟失、數據損壞、網絡被攻擊甚至系統癱瘓等嚴重問題的可能性大大增加。因此，構筑信息安全防護體系，建立一套有效的網絡安全機制顯得尤為重要。

從實體節點的角度來說，校園網內有大量承擔教學、科研工作的服務器和相關信息系統，同時也有上萬個為師生和工作人員提供服務的終端節點。

對于信息服務器群組來說，其面臨的攻擊威脅大于普通的桌面系統。但是目前的情況是市面上的相關安全產品并沒有專門為服務器進行特別安全設置，依然采用和終端機器一樣的保護級別。

對于數以萬計的終端用戶節點來說，由于基數龐大，用戶的應用水平千差萬別，如果不能進行有效的保護，將會產生大量的離散不可控點，使整個網絡的安全失去控制。

安全方案思想

校園網安全方案以“統一監控、分布防御、有效響應、集中管理”為指導思想，結合校園網實際情況綜合分析，關注不同環節承擔的任務和面臨的安全壓力。

校園網的出口和核心層是網絡的核心環節。在這些環節，網絡吞吐量大，它們承擔關鍵的通信服務，需要有效的運維保障能力。在內部節點遭到病毒感染的情況下，根據漏斗效應，出口和核心層更容易嚴重失效，甚至崩潰。因此，第一時間對這些影響網絡整體效率的節點迅速準確地定位和定性是解決問題的關鍵。這需要網絡病毒監控系統提供全景安全監控視圖和實時化病毒定位信息。

此時，如采用旁路監聽技術，能夠在不影響網絡效率情況下，實現實時監測網絡環境中的病毒疫情發展趨勢的功能。同時，還能全面檢測各種網絡病毒的掃描、傳輸、攻擊等行為，精確定位病毒的來源，測量、評估病毒產生的網絡壓力狀況，準確提供病毒類別、病毒名稱、病毒變種、病毒危害級別等全面信息，形成病毒趨勢和定位的全景視圖。這會為網管實施下一步的安全策略提供更有力的數據支持。

對于像服務器區這樣的關鍵節點群，主要承擔著為整個網絡提供信息服務的任務，是黑客攻擊的主要目標。由于校園網內服務器眾多，網管人員數量相對較少，因此更需要管理方便的自動化保護產品。

由于校園內大量的終端節點基本上處于不可控或準可控狀態，很容易成為病毒傳播源，影響網絡效率和其他用戶的安全。由于校園網內用戶層次復雜，特別是有大量的學生終端系統完全依賴個人的安全意識和水平，且學生自己多數不會購買安全產品，因而成為校園網安全保障的最大壓力，因此需要一種低成本、高自動化、適應復雜軟硬件環境的解決方案。

方案設計時可考慮讓主機保護系統針對不同類型節點進行安全需求設計，提供文件層、操作系統層、網絡層等的多層次保護，這樣能夠大幅度提高這些關鍵節點的安全性。同時各層次產品都要以與現有反病毒產品互補的形式部署在系統中，這樣才不會產生沖突，且資源占用率低，能夠增強系統的安全系數。

另外，可以針對網管人員設計一個網管工具箱系統，幫助網管深層挖掘系統中存在的安全隱患，使網管擁有比用戶更專業的處理手段。

網絡的離散會使安全問題不收斂，而產品的離散同樣也會帶來這種問題。為此，安全管理中心應該能夠整體管理部署在網絡中的安全產品及設備，使產品之間能夠形成有效聯動，很好地解決產品離散的問題。

安全方案部署

首先，在校園網的總出口部署網絡病毒監控系統，并同時在網絡內部關鍵網段部署網絡病毒監控系統，能夠對全網的病毒情況進行全局監控，對局部網絡形成更加細粒度的安全視圖，快速定位病毒源，隨時了解網絡中的安全狀況。

其次，在服務器群計算機上部署主機保護系統服務器版，在關鍵工作站部署主機保護系統工作站版，對大量基本用戶作為海量節點提供主機保護系統桌面版無限授權。這樣能夠對具體的計算機節點進行安全防護、配置優化、病毒查殺等工作，有效地扼制病毒泛濫，提升系統的安全性。

另外，還要在解決方案中為網管人員提供網管工具箱，對主機系統異常情況進行深度排查、修復及處理。

校園網絡安全建設方案范文4

關鍵詞：校園網絡，安全隱患，防范對策

 

隨著全球性的網絡化、信息化不斷的發展，網絡已慢慢成為人們日常生活中必不可少的部分。近些年來，隨著計算機網絡的迅速發展，校園網絡也快速的發展和普及了，使得校園網在高校的地位越來越重要。。校園網絡作為學校重要的基礎設施,擔當著學校教學、科研、管理、宣傳和對外交流等許多角色。但由于安全意識淡薄和技術力量的薄弱，校園網絡的安全問題日益突出。如何讓校園網正常高效地發揮其宣傳、教學管理、服務等功能，已成為一個不可忽視的問題。。目前校園網絡中存在的安全隱患。1、大多數學校網絡建設經費嚴重不足，所以就將有限的經費投在關鍵設備上，對于網絡安全建設一直沒有比較系統的投入，致使校園網處在一個開放的狀態，沒有任何有效的安全預警手段和防范措施。2、學校的規章制度還不夠完善，還不能夠有效的規范和約束學生、教職工的上網行為。網絡安全制度執行不徹底，各校園網在安全管理上存在著困難，這也是網絡安全問題泛濫的一個重要原因.由此可見，構筑具有必要的信息安全防護體系，建立一套有效的網絡安全機制顯得尤其重要.3、使用的操作系統存在安全漏洞，網絡木馬、病毒和黑客攻擊影響到系統的安全,校內大部分計算機系統或多或少都存在著各種的漏洞，校園網絡對社會開放，這樣一來只要接入INTERNET的用戶就可以對校園的網絡服務器進行攻擊，而流行于網絡上的很多病毒和攻擊就是針對windows漏洞而產生的。用戶的應用程序和安裝的軟件也會存在漏洞。因為校園網是公共的計算資源，很多用戶只是用，而很少管。另外機房根據教學任務，要安裝很多軟件，造成系統負荷增大，系統運行緩慢，使攻擊者有機可乘。4、在校園網絡中，利用在對等網中對計算機中的某個目錄設置共享進行資料的傳輸與共享是人們常采用的一個方法，最為常用的是打印機共享。但可以說大部分的人都沒有充分認識到當一個目錄共享后，在校園網內的用戶可以訪問到，就連在網絡上的各臺計算機都能對它進行訪問。這也成了數據資料安全的隱患。5、許多教師和學生的計算機網絡安全意識薄弱、安全知識缺乏。校園網絡上的攻擊、侵入他人機器，盜用他人帳號非法使用網絡、通過郵件等方式進行騷擾和人身攻擊等事件經常發生，我們學院的應用服務器和普通計算機平均一個星期會經受到數千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內，說明校園網絡上的用戶安全意識淡薄；雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。綜上所述，校園網絡安全的形勢非常嚴峻，為解決以上安全隱患，結合校園網內用戶復雜的特點和現今網絡安全的解決方案和技術，提出了以下校園網絡安全解決方案。 1、提高管理水平建立一個高度權威的信息安全管理機構，并不斷強化其權限和職能；制定統管全局的網絡信息安全法規，做到有章可循、有法可依；制定網絡管理員的激勵制度，促使他們提高工作熱情，加強工作責任心；對網絡管理員進行專業知識和技能的培訓；把網絡信息安全的基本知識納入學校各專業教育之中；對學校教師和其他人員進行信息安全知識普及教育；在學校的網站設立網絡安全信息欄目，網絡法令法規、網絡病毒公告、操作系統更新公告等，并提供常用軟件的補丁下載。。

2、設置硬件防火墻是目前保護計算機不受外界黑客攻擊的有效手段，是內部網絡與外部網絡的一道安全屏障，根據內部網絡的安全政策控制出入網絡的信息流。為了防止校園網內部的病毒、ARP、黑客等攻擊，個人電腦上需安裝防火墻軟件。

3、隨著計算機網絡的發展，攜帶病毒和黑客程序的數據包和電子郵件越來越多，打開或運行這些文件，計算機就有可能感染病毒。安裝有反病毒軟件，就可以預防、檢測一些病毒和黑客程序，有效提高安全性。

4、劃分VLAN有效控制網絡廣播信息的傳播,減輕網絡負擔,同一虛擬網的用戶可更高效通信；不同VLAN之間可以在路由模塊配置訪問控制策略，避免非法訪問，提高網絡安全性；與網絡管理系統（結合使用，網絡管理員可更有效管理網絡，包括監視網絡流量，控制網絡分流和設置安全級別等。

5、提高個人計算機用戶的自我防護能力，安裝可靠的殺毒軟件并保證殺毒軟件更新到最新的病毒庫，定期對重要區域重點掃描，對計算機進行全盤掃描；合理設置計算機的操作系統，關閉遠程協助支持及遠程桌面，關閉網絡共享；養成良好的上網及計算機使用的習慣，設置安全的密碼，保護電子郵件信息不外泄，合理使用聊天工具及在線支付工具，謹慎使用下載軟件和共享軟件，定期做好數據的備份工作等。

6、重視安裝補丁程序，補丁程序中有很大一部分就是因為某些產品或系統的一些安全漏洞被發現后，廠商提供給用戶的一種補救措施，用戶如不及時安裝使用，別人可輕易通過“補丁”程序的接口編寫程序進入目標系統，攻擊目標系統獲得非法訪問權。

參考文獻

[1] 雷震甲．網絡工程師教程[M]．北京：清華大學出版社，2OO4

[2]勞幗齡．網絡安全與管理[M]．北京：高等教育出版社，2OO3

[3] 袁津生，等．計算機網絡安全基礎[M]．北京：人民郵電出版社，2005

校園網絡安全建設方案范文5

（包頭職業技術學院，包頭 014035）

（Baotou Vocational & Technical College，Baotou 014035，China）

摘要： 本文從計算機網絡面臨的各種安全威脅，針對校園網絡的安全問題進行研究，從構建安全防御體系和加強安全管理兩方面設計了校園網絡的安全策略，確立了用P2DR模型的思想來建立校園網的安全防御體系。并得出了構建一套有效的網絡安全防御體系是解決校園網主要威脅和隱患的必要途徑和措施。

Abstract： From all kinds of security threats to computer network, this paper studies the campus network security problem, from two aspects of building security defense system and strengthening the safety management, designs the campus network security policy, establishes the ideas of the P2DR model to establish the campus network security defense system. And it is concluded that the building of a set of effective network security defense system is the necessary way and measures to solve campus network main threats and hidden troubles.

關鍵詞 ： 網絡安全；安全防范；校園網

Key words： network security；safety；campus network

中圖分類號：TP393.1 文獻標識碼：A

文章編號：1006-4311（2015）02-0199-02

0 引言

隨著網絡信息技術的高速發展，網絡安全問題日漸突出，近年，網絡病毒、黑客攻擊等屢見不鮮，國家相關部門也一再要求做好網絡安全建設和管理工作。校園網絡也同樣會面臨威脅，因此應該在知道的網絡功防基礎上構建校園網絡安全體系，首先要從兩方面著手：一是采用一定的技術；二是不斷改進管理方法。

1 校園網絡存在的安全隱患

目前，校園網絡主要存在的安全隱患和漏洞有：

①校園網通過CERNET與Internet相連，在享受Internet帶來的方便快捷的同時，也面臨著遭遇網絡攻擊的風險。②校園網內部存在著很大的安全風險，當前，黑客攻擊工具在網上很普遍，并不需要很復雜的知識的普通人就能操作，因此存在很大的風險。同時因為內部用戶對網絡的應用和結構模式有了一定的了解，所以來自校園網內部的安全隱患更大一些。③操作系統存在的安全隱患，校園網絡服務器安裝的操作系統有Unix、WindowsNT/Windows2000/WindowsXP、Linux等，而這些系統的風險級別不同，例如WINNT/WIN2000/WINXP的可操作性和普遍性使得它們成為了最不安全的操作系統。④伴隨著校園內計算機應用越來越普及，接入校園網的節點也逐漸增多，然而大部分節點都沒有構建一定的防護措施，因此隨時隨地都有可能造成病毒猖獗、校園網絡被攻擊、數據損壞、重要信息丟失、甚至系統癱瘓等嚴重的后果。

由此可見，采取必要的信息安全防護措施，構建有效的校園網絡安全體系尤為重要。

2 構建校園網主動防御系統

現階段，威脅校園網的安全有來自校內的，也有來自校外的。在進行校園網絡安全系統設計的時候，首先就是要了解學校的需要和目標，然后再制定相應的安全措施，但是與此同時需要重點注意的就是，網絡上的安全策略和業務目標與安全設計要求相一致。所以網絡安全的防御體系必須是動態的、變化的，在設計完成安全防御體系后，就需要不斷地適應并隨著安全環境的變化而變化，這樣就可以確保安全防御系統的良好發展，并保證它的有效性和先進性。

2.1 P2DR模型 美國ISS公司提出的P2DR模型是一種動態的網絡安全體系的具有代表性的模型，也是動態安全模型的最初始形態。其中P2DR模型是在整體安全策略的控制和指導下，運動防護工具將系統調整到風險最低的安全狀態。而防護、檢測和相應則就組成了一個完整的，并且是動態的安全循環系統，同時在安全策略的指導下能夠保證信息系統的安全，這也就成為衡量一個網絡系統是否是安全的標準，從而對它的安全性能進行評定。

2.2 校園網絡安全防范體系 在對網絡是否是安全的進行判斷后，就可以針對以上校園網網絡安全系統的安全系統的應用來實現以下的技術：

①在校園網中配置防火墻和入侵檢測系統在校園網的進口處架設了防火墻和網絡入侵檢測系統。②在校園網中運用VLAN技術按照學校各部門、院系擁有的不同的應用業務和不同的安全等級為依據，如有限制非法訪問的需要可以運用VLAN技術。③在校園網中利用軟件配置服務器使用二級防火墻，在學生機房配置訪問控制列表，并利用軟件配置服務器，在服務器上安裝雙網卡，設置連接外網的網卡使用公網IP地址，連接內網的網卡使用私有地址，設置學生客戶機IP地址與服務器內網IP地址在同一網段，網關IP設置為服務器內網IP地址。機房服務器通過服務器連接到互聯網，從而可以起到控制前往Internet的所有用戶的流量的功效。④在校園網安裝殺毒軟件防病毒手段要在整個校園網中，凡是有可能感染和傳播病毒的地方都要安裝應用，安裝相應的防殺毒軟件，可以有效地防止病毒在校園網上傳播。對殺毒軟件要定期進行升級病毒定義碼和掃描引擎。⑤制定相關的安全策略是賦予組織機構技術人員或信息資產使用權的人員所要履行的準則，也是陳述它是一個成功的網絡安全體系的基礎與核心。校園網絡的安全策略主要依據的就是校園網的業務需求所要描述的校園網近期安全目標和長期安全目標，以及安全風險評估分析，不同安全評估標準中保護對象的安全等級方面的內容。

2.3 完善安全制度與管理體系 安全防范體系的核心即是安全管理，它貫穿于整個安全防范體系，在安全防范體系中起到了人的作用。網絡系統的安全性不僅是技術方面的問題，也是日常相應的規章制度管理的問題，不然對于網絡系統的安全來說也只是紙上談兵。

在建立了學校網絡安全防御體系后，學校的網絡控制中心主要負責網絡設備的正常運行和日常的管理，信息中心主要負責的就是網絡上教學資源能夠安全管理和儲存。對已服務器的日志要做到每日必須檢查，每次對重要的數據服務器都要進行異地數據備份。對于操作系統和防病毒軟件包，管理員也需及時打補丁和進行升級，不斷完善和優化網絡安全的管理制度。校園網絡的安全管理是一個長期的并且是動態的過程。

3 結論

在信息技術飛速發展的今天，校園網已然成為了學校信息系統的核心，網絡的不安全就使得整個校園信息系統變得不安全，甚至會造成對教學秩序的紊亂，所以必須建立一套有效且可實施的網絡安全防御系統，來確保校園網絡的安全。本文主要是從當今校園網絡安全可能面臨的一些威脅和存在的攻擊入手，對網絡攻擊的防范進行了設計并將其實現，并且提出了以安全策略為核心，防護、檢測和響應為手段，加以技術防范的一種校園網安全防御系統理念，來確保校園網絡安全的一個切實的解決方案。本文中所采用的技術不能說是非常完善的，一是因為網絡攻擊技術都是在不斷向前發展的，二是因為筆者的設計水平局限性，并且網絡安全本身是一個十分復雜的技術問題，解決的手段也是多樣的，所以還存在很多有待深入研究的問題。

參考文獻：

[1]王宇，盧昱.計算機網絡安全與控制技術[M].北京：科學出版社，2005，6：19-20.

[2]宋勁松.網絡入侵檢測：分析、發現和報告攻擊[M].國防工業出版社，2004，9：26-28.

[3]馮登國.計算機通信網絡安全[M].北京:清華大學出版社，2001，3.

校園網絡安全建設方案范文6

關鍵詞：校園網；ARP欺騙；802.1x認證

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）05-0998-02

校園網是數字化校園建設的基礎，是教學、辦公自動化和信息化的依托，隨著數字化校園建設的不斷發展，廣大師生越來越依賴于校園網內日益豐富的資源和應用。由于校園網自身的一些特點和廣大師生網絡安全意識的淡薄，我們在享受校園網帶來方便的同時，也使校園網面臨著各種安全隱患。ARP欺騙便是其中非常典型的一種，ARP病毒大規模爆發時，其造成的影響和危害都比較嚴重。它利用了ARP協議的天然缺陷，因此單純靠網絡安全軟硬件產品很難防御，這就需要校園網絡管理人員綜合利用科學有效的網絡管理制度配合最新的網絡安全軟硬件產品和網絡技術，形成立體的網絡安全體系，做到預防為主，防治結合。

1 ARP協議及欺騙原理

1.1 ARP協議

地址解析協議 （Address Resolution Protocol），簡稱ARP協議，負責將某個IP地址解析成對應的MAC地址，主要應用在以太網中，但也能在ATM和FDDI網絡中使用。在OSI網絡模型中，網絡被分為七層，IP地址位于OSI七層模型的第三層，MAC地址位于第二層，OSI網絡模型中的各層不能直接打交道，只能通過層之間的接口來相互通訊。局域網中數據通訊是基于MAC地址進行尋址的，而不是IP地址，數據幀如果要到達目的地，就必須知道對方的MAC地址。因此，為保證通訊的順利進行，在僅知道目標主機IP地址的情況下，需要使用ARP協議來實現將目標主機的IP地址解析為對應的MAC地址。

每臺安裝有TCP/IP協議的主機都有一個ARP緩存表，表里記錄了一系列IP、MAC地址對，它描述了其它主機IP地址與MAC地址的對應關系。當主機A往主機B發送數據時，主機A會查找本機的ARP緩存表，如果存在主機B的IP地址，根據ARP緩存表中的對應關系，直接返回主機B的MAC地址，把主機B的MAC地址寫入數據幀；如果不存在主機B的IP地址，主機A會廣播一個ARP請求包，ARP請求包中包含主機B的IP地址，網絡上的所有主機都會接受這個請求，但只有主機B收到這個ARP請求包時，才向主機A發送包含自身MAC地址信息的ARP應答包。這樣，主機A就獲取了主機B的IP地址與MAC地址對應關系，并以此更新本機ARP緩存表，主機A就可以向主機B發送數據了。ARP緩存表采用了老化機制，是有生存期的，生存期結束后，將再次重復以上過程，這樣大大減少ARP緩存表的長度，加快查詢速度。以上就是ARP協議的原理，由于其沒有相應的安全驗證機制，也就使得ARP欺騙產生了。

1.2 ARP欺騙原理

ARP協議是個早期的網絡協議，RFC826在1980年就出版了。早期的互聯網在科研、大學內部使用，采取的是信任模式，追求功能、速度，沒考慮網絡安全。ARP協議缺乏相應的安全驗證機制，主機會接受任何向它發送的ARP應答報文，并根據應答報文中的IP地址和MAC地址更新本地的ARP緩存表，而不管是否發送過相應的ARP請求。因此，可以用虛假ARP應答包來欺騙主機，使主機獲得不真實的IP地址與MAC地址對應關系。

假設局域網中有三臺主機，分別為主機A、主機B、主機C。它們的IP地址分別為192.168.200.11、192.168.200.22、192.168.200.33；MAC地址分別為AD-AD-AD-AD-AD-AD、BD-BD-BD-BD-BD-BD、CD-CD-CD-CD-CD-CD。

在ARP欺騙攻擊前，A和B之間能夠正常通訊。隨后，主機A收到惡意主機C偽造的ARP應答報文，偽造的ARP應答報文中IP地址為主機B的IP地址192.168.200.22，MAC地址為主機C的MAC地址CD-CD-CD-CD-CD-CD，主機A根據偽造的ARP應答報文更新ARP緩存表。此時，主機A的ARP緩存表中主機B的IP地址對應于主機C的MAC地址，由于局域網的數據通信是根據MAC地址進行尋址，主機C通過ARP欺騙就獲取了主機A原本發送給主機B的數據，這是一個簡單的ARP欺編。如果主機B是網關或路由器，主機C通過ARP欺騙，將導致主機A找不到正確的網關而使網絡中斷。ARP欺騙攻擊時，攻擊者持續不斷地發出偽造的ARP應答報文，網絡中產生大量的ARP數據包，導致網絡阻塞，嚴重時將導致局部網絡癱瘓。

2 ARP欺騙防御措施

針對ARP協議及ARP欺騙原理，大家提出了多種ARP欺騙防御措施。例如，安裝ARP防火墻；在接入交換機上做IP地址、MAC地址與交換機端口綁定；劃分足夠小的VLAN，在小規模的網絡中可以考慮將每個終端設備劃入不同VLAN；使用DHCP Snooping技術。實際操作過程中，可以根據具體的網絡情況和預算采取不同的措施或它們的組合。我們主要采用了基于802.1x協議認證對ARP的欺騙進行防御，并綜合了上述劃分VLAN等幾種防御措施，形成一個立體的ARP欺騙防御體系。網絡拓撲示意圖如圖1所示。

如圖1所示，我們主要采用神州數碼DCS-3950系列交換機的802.1x認證功能配合神州數碼DCBI-3000計費管理系統實現校園網認證接入管理。在管理上，嚴格要求校園內每臺主機要接入校園網前必須向網絡管理中心上報主機的MAC地址，申請認證賬號及密碼。網絡管理中心開通賬號、分配相應的靜態IP并與其上報的MAC地址進行綁定。主機使用網絡中心授權的賬號密碼通過802.1x撥號認證才能接入校園網，在此基礎上通過神州數碼DCBA認證才能訪問因特網。基于802.1x認證實現網絡接入，不僅能對ARP欺騙攻擊進行有效的防御并且防止了靜態IP分配策略中IP沖突問題。

3 結束語

總之，校園網的安全建設是一項長期而復雜的工作，它對網絡設備、網絡技術和相關管理制度都有著非常高的要求，只有在網絡設備、網絡技術和網絡管理制度的綜合保證下，才能在最大程度上保證校園網的安全。由于ARP協議的安全缺陷來源于自身設計上的不足，目前針對ARP欺騙，我們基本上只能立足于防御及限制ARP欺騙的影響范圍，ARP病毒攻擊根本徹底的解決只能寄望于IPv6協議應用的早日普及。

參考文獻：

[1] 夏海靜，劉光偉.ARP攻擊防范及解決方案分析[J]. 福建電腦，2011（1）.

[2] 孟迪.基于802.1x協議的校園網ARP欺騙防御[J]. 遼寧科技大學學報， 2010（12）.

[3] 閆實，劉占波，馮修猛.高校校園網ARP病毒欺騙原理及防御方法[J].網絡安全技術與應用，2010（6）.