學校網絡安全管理方案范例6篇

前言：中文期刊網精心挑選了學校網絡安全管理方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

學校網絡安全管理方案范文1

一、學校網絡與信息安全工作情況

本次檢查內容主要包含網絡與信息系統安全的管理機構、規章制度、設施設備、網站和信息運行情況、人技防護、隊伍建設等5個方面，同時從物理安全差距、網絡安全差距、主機安全差距、應用安全差距、數據安全及恢復差距等5個方面對主機房和14個信息系統、1個網站進行等級保護安全技術差距分析，通過差距分析，明確各層次安全域相應等級的安全差距，為下一步安全技術解決方案設計和安全管理建設提供依據。

從檢查情況看，我校網絡與信息安全總體運維情況良好，未出現任何一起重大網絡安全與信息安全事件（事故）。近幾年，學校領導重視學校網絡信息安全工作，始終把網絡信息安全作為信息化工作的重點內容；網絡信息安全工作機構健全、責任明確，日常管理維護工作比較規范；管理制度較為完善，技術防護措施得當，信息安全風險得到有效降低；比較重視信息系統（網站）系統管理員和網絡安全技術人員培訓，應急預案與應急處置技術隊伍有落實；加強對學生網絡宣傳引導教育，日常重視微信、微博、QQ群的管理，提倡爭當“綠色網民”；工作經費有一定保障，網絡安全工作經費納入年度預算，在最近一年學校信息化經費投入中，網絡建設與設備購置費用約占56、5%，數字資源與平臺開發費用約占40、6%，培訓費用約占0、6%，運行與維護費用約占1、04%，研究及其他費用約占1、23%，總計投入占學校同期教育總經費支出的比例約1、57%，基本保證了校園網信息系統（網站）持續安全穩定運行。

1、網絡信息安全組織管理

20xx年學校成立網絡與信息安全工作領導小組，校主要領導擔任組長，網絡與信息安全工作辦公室設在黨委工作部，領導小組全面負責學校網絡信息安全工作，教育技術與信息中心作為校園網運維部門承擔信息系統安全技術防護與技術保障工作，對全校網絡信息安全工作進行安全管理和監督責任。各部門承擔本單位信息系統和網站信息內容的直接安全責任。20xx年，由于人動，及時調整網絡安全和信息安全領導小組成員名單，依照“誰主管誰負責、誰運維誰負責、誰使用誰負責”的原則，明確各部門負責人為部門網站的具體負責人，建立學校網絡信息員隊伍，同時，還組建網絡文明志愿者隊伍，對網絡出現的熱點問題，及時跟蹤、跟帖、匯報。

2、信息系統（含網站）日常安全管理

學校建有“校園網絡系統安全管理（暫行）條例”、“學生上網管理辦法“、“校園網絡安全保密管理條例（試行）”、“校園網管理制度”、“網絡與信息安全處理預案”、“網上信息監控制度”等系列規章制度。各系統（網站）使用單位基本能按要求，落實責任人，較好地履行網站信息上傳審簽制度、信息系統數據保密與防篡改制度。日常監控對象包括主要網絡設備、安全設備、應用服務器等，其中網絡中的邊界防火墻、網絡核心交換機和路由器、學校站服務器均納入重點監控。日常維護操作較規范，多數單位做到了杜絕弱口令并定期更改，嚴密防護個人電腦，定期備份數據，定期查看安全日志等，隨時掌握系統（網站）狀態，保證正常運行。

3、信息系統（網站）技術防護

學校網絡信息安全前期的防控主要是基于山石防火墻、深信服防火墻及行為管理軟件，20xx年為加強校園網絡安全管理，購置了“網頁防篡改、教師行為管理、負載均衡”等相關安全設備，20xx年二月中旬完成校園信息系統（含網站）等級保護的定級和備案，并上報xxx市網安支隊。同時，按二級等保要求，約投資110萬元，完成“網絡入侵防御系統、網絡安全審計系統、運維審計-堡壘機系統、服務及測評及機房改造（物理安全）”等網絡安全設備的采購工作，目前，方案已經通過專家論證。

20xx年4月-6月及20xx年3月對網站系統進行安全測評，特別對系統層和應用層漏洞掃描，發現（教務管理系統、教學資源庫）出現漏洞，及時整改，并將結果上報省教育廳、省網安大隊、xxx市網安支隊。同時，對各防火墻軟件7個庫進行升級，對服務器操作系統存在的漏洞及時補丁和修復，做好網站的備份工作等。

4、網絡信息安全應急管理

20xx年學校制定了《xxx職業技術學校網絡與信息安全處理預案》、《xxx職業技術學校網絡安全和學生校內聚集事件應急處置預案》。教育技術與信息中心為應急技術支持單位，在重大節日及敏感時期，采用24小時值班制度，對網絡安全問題即知即改，確保網絡安全事件快速有效處置。

二、檢查發現的主要問題

對照《通知》中的具體檢查項目，我校在網絡與信息安全技術和安全管理建設上還存在一定的問題：

1、由于學校信息化建設尚處于起步階段，學院數據中心建設相對薄弱，未建成完善的數據中心共享體系，各應用系統的數據資源安全及災備均由相關使用部門獨自管理。同時，網絡安全保障平臺（校園網絡安全及信息安全等級保護）尚在建設中。

2、部分系統（網站）日常管理維護不夠規范，仍存在管理員弱口令、數據備份重視不夠、信息保密意識較差等問題；學校子網頁網管員為兼職，投入精力難以保證，而且未取得相應資格證書；由于經費問題，個別應用系統未能及時升級，容易發生安全事故。

3、目前尚未開展網絡安全預案演練，還未真正組建一支校內外聯合的網絡安全專家隊伍，未與社會企業簽訂應急支持協議和完成應急隊伍建設規劃。

三、整改措施

針對存在的問題，學校網絡與信息安全工作領導小組專門進行了研究部署。

1、全面開展信息系統等級保護工作。按照相關《通知》要求，20xx年8月底全面完成網絡安全保障平臺建設，根據系統在不同階段的需求、業務特性及應用重點，采用等級化與體系化相結合的安全體系設計方案，形成整體的等級化的安全保障體系，同時根據安全技術建設和安全管理建設，保障信息系統整體的安全。

2、完善網絡安全管理制度。根據等級保護要求,進行信息安全策略總綱設計、信息安全各項管理制度設計、信息安全技術規范設計等，保障信息系統整體安全。

學校網絡安全管理方案范文2

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31

學校網絡安全管理方案范文3

關鍵詞：校園網絡；防御體系；安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)26-6379-03

Construction and Analysis of Campus Network Defense System

WU Dong-ni

(College of Computer and Information Science of Kaili University, Kaili 556000, China)

Abstract: With the development of camputer network, the security of network becomes more and more important. Especially for the campus, it is very important that How to defense the influence of unsafty. The paper discusses the the defensive sturcture of campus network that is established on the basis of technology, security technology management and security management, and also discusses its defensive technology.

Key words: campus network; defensive system; security

校園網絡的飛速發展，已經成為了校園信息化建設的重要載體，承擔了學校教學、科研、辦公等日常工作的運行，其安全問題也成為了網絡管理者最棘手的首要問題。校園網服務于全校師生，人數多、學生好奇心強、上網時間比較集中等原因，使得校園網絡面臨著各種各樣的威脅。如何保證校園網絡的安全，使全校師生擁有健康和諧的網絡環境？我們需要構建一個全面的、互動的網絡安全防御體系來阻止威脅的侵害。

1 校園網絡防御體系的構建

為了保護校園內數據信息資源的安全，一般學校的校園網絡在安全方面主要采取了路由器和防火墻進行保護。通過相應的端口設置，可以對內部數據包進行過濾從而達到安全的性能。但是這種防御比較單一，面對千變萬化的黑客攻擊手段，校園網絡更加需要一套全面的、互動的防御管理體系。

1.1 校園網絡防御體系的結構

網絡信息安全的保護主要有三個基本的要素，即檢測，響應和防護[1]。檢測是及時發現各種入侵攻擊行為。響應是在發現入侵行為之后，及時的切斷入侵、抵抗攻擊者的進一步破壞活動而做出的反擊行為。防護是對網絡信息的保護，使之免受黑客的攻擊。同樣，校園網絡信息的安全也少不了這三個要素，可以通過采用IDS入侵檢測系統進行信息數據檢測，人工控制做出相應的阻斷、掃描等響應，通過防火墻進行網絡安全的保護。基于此思想，校園網絡防御體系結構主要由3個層次組成，即：物理安全層、安全技術層和安全管理層。見圖1所示。

物理安全層是網絡安全的基礎，主要是指防盜、防火、防靜電、防雷擊和防電磁泄漏等方面[2]，目的是保障網絡設備的安全。安全技術層是保證網絡安全的核心，涉及到的網絡管理技術有防火墻、入侵檢測系統、漏洞掃描及防病毒技術，通過各種技術的互動、合理的應用來保護校園網的安全。安全管理層針對的是人員的管理，主要是由管理者對網絡設備、突發事件及網絡運行的管理，使之最有效的保障校園網的安全。

1.2 校園網絡防御體系的實現過程

校園網絡防御體系結構涉及到防火墻、入侵檢測、漏洞掃描、數據備份與恢復等網絡安全技術。通過這些技術的相互補充和協調工作，建立一個聯動的、動態的多層自防御體系，使網絡安全的性能達到最優。各系統之間既能互動、又能保持相互的獨立。各種安全管理技術對網絡安全的具體實現方案見圖2。

第一道安全防線采用防火墻來阻止來自網絡外部的攻擊和入侵。防火墻是不同網絡或網絡安全區域之間信息的惟一出入口，它可根據網絡的安全策略控制出入網絡的信息流，且本身具有較強的抗攻擊能力。防火墻的各個端口可以通過不同的配置來進行改變，可以基于不同的策略定義不同的路由，并且防火墻本身沒有操作系統，消除了操作系統本身級別上的安全漏洞問題。防火墻通過相應的設置可以保證基本服務的數據包通過，對于未知的、存在隱患的數據包則可進行禁止。設置為：[3]WWW端口為80，采用TCP或UDP協議，eth1=>允許所有來自Intranet的WWW包，eth0=>僅允許目的為內部網服務器的WWW包；ftp端口為21，ftp-data端口為20，均采用TCP協議，eth1=>允許所有來自Intranet的ftp、ftp-data包，eth0=>僅允許目的為內部ftp服務器的數據包；telnet端口為21，采用TCP協議，eth1=>允許所有來自Intranet的telnet包，eth0=>僅允許目的為bbs服務器的包；Smtp端口為21，采用TCP協議，eth1=>允許所有來自Intranet的Smtp包，eth0=>僅允許目的為email服務器的smtp請求等等的相應設置。因此，防火墻作為網絡安全的第一道防線，從一定程度上可以解決網絡安全存在的問題，但是防火墻并不是萬能的，防火墻是一種被動的訪問控制設備，而且提供的是安全區域的周邊防護，只能對網絡出入口的數據信息進行控制，所以，單一的防火墻是無法保障網絡內部的安全。

第二道防線由入侵檢測系統組成。入侵檢測是一種動態的安全防護技術[4]，該系統通過在網絡和主機系統中主動尋找入侵行為并告警，從而提供對內部攻擊、外部攻擊和誤操作的實時控制，它可以作為防火墻的合理補充，入侵檢測技術能夠幫助防火墻對付網絡上存在的攻擊行為，對系統管理員的安全管理能力進行擴展。入侵檢測系統與防火墻進行互動，比如有一個攻擊行為nmap掃描，它沒有被防火墻阻斷，就會掃描內部主機端口，尋找目標主機存在的漏洞，一旦發現漏洞就會進行下一步的攻擊行為。與防火墻進行互動的入侵檢測就能檢測到跳過防火墻的nmap掃描攻擊，從而自動修改防火墻的存取規則，來拒絕這個nmap掃描攻擊。在互動之前，兩者需要先定義設置好端口，互相配置對方的IP地址，防火墻以服務器的模式運行，IDS以客戶端的模式運行。這是實現網絡動態性安全的關鍵。

第三道防線由漏洞掃描系統構成。目的是定期掃描系統，檢查并補上系統漏洞。從而減少攻擊行為成功的可能性。利用漏洞掃描技術，可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行掃描，系統管理員還可以了解網絡系統中存在的不安全的網絡服務等。

第四道防線是防病毒技術。網絡安全的保證，需要建立一個有效的病毒預防和查殺機制。在網絡中部署分布式、網絡化的防病毒系統，管理人員可以從中心位置對整個網絡進行實時的病毒查殺，終端用戶也能自己進行查殺。具體措施是：在學校網絡的中心機房服務器上全部安裝殺毒軟件，由管理人員負責管理各個主機網點。并且在學校的各個行政部門及教學部門分別都安裝殺毒軟件的客戶端。要保證所有計算機都安裝殺毒軟件的客戶端，不能漏掉一個，防止出現“木桶效應”。

第五道防線由恢復系統構成。為了確保信息的安全性，預防數據信息丟失造成的損害，建立有效的恢復機制是必須的。對服務器和重要數據進行相應的備份，如果系統或數據一旦遭到破壞，網絡將會中斷、數據將會丟失，此時，我們就可以啟動備份的數據，使網絡在最短的時間內進行恢復回到正常。因此，為了避免意外情況的發生，一定要做好備份恢復工作，除了操作系統本身提供的一些備份功能之外，還可以選擇專業的備份工具，如Veritas的Backupexce和Legato的Networker等。

各個有效的網絡安全管理技術之間并不是孤立的，網絡的安全需要彼此之間相互的協調進行保護。但俗話說“三分技術，七分管理”，只有安全的網絡管理技術是不夠的，還需要人員的管理，使各種網絡安全管理技術發揮最優的作用。學校需要建立一個安全的管理制度和安全策略來確保學校網絡的安全，從管理體制上保證網絡安全策略的切實可行。比如，學校成立網絡安全管理小組、應急小組，并應有相應的管理職責等。

2 校園網絡防御體系防護的模擬分析

為了測試和分析黑客入侵時，校園網絡所建立的安全防范體系在防護方面所起的作用，建立了一個模擬測試環境進行分析。在該試驗環境中[5]，使用防火墻、路由器作為防護工具，IDS作為偵測工具，產品響應及人工響應作為事件響應方式，備份系統作為恢復機制，通過管理平臺管理這些產品，以安全政策為指導，以安全管理制度為落實手段，使學校建立的網絡安全防護體系發揮作用。在分析中，分別從校園網絡受到的外部攻擊和內部攻擊進行的。

2.1 外部攻擊行為的防護性能分析

黑客攻擊行為多種多樣，這里采用最常見的惡意代碼病毒的攻擊為分析對象。以尼姆達病毒為例進行分析。

尼姆達病毒是通過電子郵件等方式傳播的蠕蟲病毒惡意代碼。具有感染速度快、擴散面廣、傳播形式復雜多樣等特點，通過系統漏洞、局域網共享、電子郵件和文件等四種途徑傳播，能感染裝有各類Windows操作系統的服務器和個人電腦。

如圖3所示，防范體系對尼姆達病毒攻擊的防護過程如下：

Step1：如果黑客或者是被利用的用戶通過尼姆達病毒來攻擊被保護的校園網絡中的節點A。

Step2：若該攻擊行為被防病毒系統首先發現，就由防病毒系統直接殺掉，將結果報告給管理人員記錄（即＃，響應過程結束。若尼姆達病毒的攻擊首先是被IDS檢測到，則會由IDS向管理平臺報告攻擊警報。

Step3：管理平臺受到報警信息之后，會立刻通知防病毒系統查殺節點A上的病毒。

Step4：防病毒系統會對主機A進行病毒查殺，并將處理結果報送管理平臺，由管理平臺進行記錄存檔，再將處理的結果信息反饋給IDS。

2.2內部攻擊行為的防護性能分析

內部攻擊以內部口令攻擊為分析對象，通過內部用戶或者黑客使用letmein等口令攻擊內部節點A為例，防范體系對內部口令攻擊的防護過程如下（如圖4所示）：

Step1：內部黑客使用口令攻擊軟件從內部對校園中被保護的節點A進行攻擊。

Step2：口令的攻擊行為首先被節點A上的IDS檢測到，然后由IDS向管理平臺報告攻擊警報信息。

Step3：管理平臺在收到節點A的IDS報警信息后，由管理人員根據具體的情況通過內部管理制度的規定進行處理，或者由主機A上的IDS直接阻斷該攻擊，過程響應結束。

3 結束語

總之，隨著學校的不斷發展，校園網絡務必將日趨龐大，網絡環境也更加復雜，面臨的網絡攻擊也更大，因此安全防御體系的建立尤為重要，文中提到的方案基于安全技術層面、安全技術管理層面、安全管理層面組建的防御體系并不是固定不變的，它需要在實踐中不斷的整合、不斷的完善，為學校的教學、科研、服務、生活等活動的正常開展提供一個安全的網絡保障。

參考文獻：

[1] 石志國,薛為民,尹浩.計算機網絡安全教程[M].北京:清華大學出版社,北京交通大學出版社,2008.

[2] 汪婧.校園網絡建設及網絡安全的研究[D].南昌大學,2009,12.

[3] 祁宏偉.校園網絡信息安全保護研究與實現[D].內蒙古大學,2010,6.

學校網絡安全管理方案范文4

關鍵詞：計算機網絡；安全管理；安全策略；準入控制

0　引言

隨著當代信息科學與技術的突飛猛進，特別是信息網絡化的飛速發展，人類社會正在向信息化社會全面發展。信息化進程對教育產生了深刻的影響，高校的教學與管理借助計算機網絡已經司空見慣，大學資源計劃(URP)更是涵蓋了大學校園網各種應用系統的集成系統，使全校的信息能通過統一的接口實現有效的共享。但與此同時也出現了諸多網絡安全問題，病毒、特洛伊木馬、網絡蠕蟲、惡意軟件、間諜軟件以及拒絕服務(DOS)攻擊等各種安全威脅事件成指數級增長，因此網絡的安全管理顯得非常重要。

1　安全問題探因

目前，我國高校計算機網絡的安全管理普遍存在問題，或是病毒入侵致使校園網癱瘓，或是信息過濾不足致使大量垃圾郵件沖垮郵件服務器等。造成這些問題的原因主要有以下五個方面：

(1)在高校計算機網絡興起的初期，校園網的建設只重視規模不在乎安全。大部分的學校將主要精力和財力集中于校園網的擴容建設，在網絡安全方面的投入不足，缺乏必要的網絡安全意識。

(2)高校網絡安全管理人才缺乏?，F有的網管人員多數對網絡安全的技術和經驗不足，難以應付日益復雜多變的網絡環境，缺乏處理突發網絡安全事故的經驗和能力。

(3)網絡用戶安全防范意識薄弱，缺乏足夠的網絡安全防御技術和能力。高校校園網內的網絡用戶主體是大學生，收發郵件、聊天、下載等很流行，如果缺乏足夠的網絡安全防御技術和能力，就會在不經意間感染病毒并加以傳播，對校園網造成嚴重影響甚至癱瘓。

(4)網絡道德教育嚴重后。惡意使用網絡資源、瀏覽黃色網頁、接受、不良信息等問題日趨嚴重，大學生網絡犯罪也呈現上升趨勢。

(5)相關的管理法規、制度不健全，監督機制不完備，管理漏洞多。高校對國家已出臺的法規，如《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等宣傳力度不夠，很多師生不了解，也未定出適應于本校的網絡安全管理規定。另外，網絡安全監督的機制也沒有完善，大部分高校未發揮學校在網絡安全管理中的主導作用。

據此，學校在計算機網絡的安全管理方面應加大力度，采取相應的措施，防范可能存在的網絡安全隱患，保障校園網的安全運行。

2　構建全面的安全策略

2．1　改進管理

從學校政策層面考慮，應重視高校計算機網絡的安全管理，加大投入，完善校園網安全管理的各項規章制度，健全網絡安全監督機制；并引進專業的網絡安全管理人才，對網絡管理人員進行專項培訓，加強安全意識和安全業務技能；重視校園網絡用戶安全教育，大力開展學生網絡道德教育，對大學生進行安全常識教育，如防殺病毒軟件的安裝、病毒庫的更新、來歷不明電子郵件的處理等，以抵御來自校園網外部的攻擊。

2．2　技術安全策略

從技術應用層面考慮，應通過合理有效的網絡管理技術來應對日趨復雜多變的網絡環境，通過各種技術手段來監督、組織和控制網絡通信服務以及信息處理，確保計算機網絡的持續正常運行，并在計算機網絡運行異常時能及時響應和排除故障。以下將主要闡述四種技術在高校計算機網絡安全管理上的應用。

(1)入侵檢測系統

入侵檢測系統(IDS)是一種不同于防火墻的主動保護網絡資源的網絡安全系統，是防火墻合理和必要的補充。它完全改變了傳統網絡安全防護體系被動防守的局面，使網絡防護變得更積極、更主動，特別是IDS可視化安全管理功能給網絡安全防護工作帶來了革命性的變化。

擁有防火墻的用戶可以通過IDS與防火墻的聯動，進一步加強網絡安全管理的控制功能。當IDS發現入侵時，可以在報警的同時通知防火墻攔截可疑的數據包，實現對入侵行為全方位的控制。對于網絡中原先就使用網管軟件的用戶來說，如果IDS產生的報警消息可以被他們的網管軟件所接收，那就意味著其現有資源可以得到最大限度的利用，而且可以實現對包括入侵在內的各種網絡異?，F象的統一管理。另外，IDS還可以通過SNMP?Trap消息將報警事件發送到網管平臺，實現與各類網管平臺的集成。

(2)身份認證管理與準入控制

在眾多的網絡安全事件背后，普遍存在的事實是大多數的網絡用戶不能及時安裝系統補丁和升級病毒庫。每個網絡用戶都可能成為網絡攻擊的發起者，同時也是受害者。因此，如何管理眾多的用戶及其接入計算機，如何確保絕大多數的接入計算機是安全的，這些問題決定了能在多大程度上保證網絡的可用性。

網絡準入控制就是思科為了應對這種情況而率先提出來的。它通過對用戶的身份認證，對用戶的接入設備進行安全狀態評估(包括防病毒軟件，系統補丁等)，使每個接入點都具有較高的可信身份和基本的安全條件，從而保護網絡基礎設施。從中可以看出，身份認證是網絡準入控制的基礎，不論采用哪種準入控制方案，都必須采用某種形式的身份認證技術。目前常用的身份認證方式包括：用戶名／密碼方式，公鑰證書方式，動態口令方式等。

以清華大學的準入控制系統為例，它通過提供綜合管理平臺，對用戶和接入設備進行集中管理，統一實施校園網的安全策略。在用戶終端試圖接入網絡時，安全客戶端首先搜集、評估用戶機器的安全特征，包括系統補丁、病毒庫版本等信息；并把這些特征和用戶信息上傳至認證服務器，進行用戶身份認證和安全策略對照；根據對照結果，非法用戶將被策略控制服務器拒絕接入網絡；是合法用戶、但接入計算機沒有達到基本安全要求的將被隔離到隔離區；進入隔離區的用戶可以根據組織的網絡安全策略，進行安裝系統補丁、升級病毒庫、檢查終端系統信息等操作，直到接入終端符合組織網絡安全策略；合法合格的接入終端可以根據組織安全策略正常訪問網絡。

(3)蠕蟲主動防治

Internet蠕蟲是無須計算機使用者干預即可運行的獨立程序，它通過不停地獲得網絡中存在漏洞的計算機上的部分或全部控制權來進行傳播。蠕蟲在傳播速度和危害性兩個方面上遠遠高于傳統意義上的病毒。因此，在Internet上必須采用自動化的防范系統。

目前，主要有三類Internet蠕蟲主動防治技術：接種疫苗用于遏制易感主機數量；強制關機用于遏制已感主機數量；雙向疏導用于遏制蠕蟲傳播流量。在蠕蟲防治的不同階段――預防、檢測、遏制和清除階段，這三類技術既可以單獨形成自動蠕蟲防治系統，也可以組合在一起構成更大規模的自動防治系統。

蠕蟲疫苗接種的過程必須首先建立易感主機列表，并利用漏洞攻擊代碼，隨后嵌入蠕蟲疫苗，實施疫苗接種。而強制關機 是針對已感主機的主動防治技術，在某些情況下，直接關掉已感主機是比較有效的降低蠕蟲傳播速度的措施，僅靠在網絡邊界封堵流量并不能直接減少已感主機的數量。雙向疏導則是通過控制已感主機的流量來控制蠕蟲的傳播流量，對于本地網絡而言，已感主機的出流量可以通過DNS劫持技術來控制，已感主機的入流量可以通過零路由技術來控制。

(4)出口流量的分析與管理

高校校園網的網絡規模正在不斷擴大，校園網內部數據傳輸率越來越高，上網用戶數量多，上網時間比較集中，并且網絡應用越來越豐富，這些因素對校園網的出口壓力越來越大。部分用戶的過度下載，占用了校園網出口的大部分網絡帶寬，也使網絡設備嚴重地超負荷運轉。如以BitTorrent(BT)為代表的P2P下載就占用了網絡接入的大量帶寬，據統計已超過50％。因此，學校網絡中心應利用技術手段禁止或限制某些不合理的網絡應用，限制用戶校外下載，合理地使用校內的網絡資源。與此同時，也可以盡量減少外部不良信息、病毒、蠕蟲等對校園網絡的危害，減輕校園網安全管理的負擔。

對BT應用進行封鎖，大致有三種方法。第一，針對BT客戶軟件的應用端口6880～6890，在出口路由器或防火墻上，利用ACL訪問控制方法將此范圍的應用禁止使用；第二，對BT種子服務器、BT跟蹤服務器進行封鎖；第三，對出口使用CISCO路由器的網絡，可利用CISCO公司出品的PDLM模塊，針對BT應用服務標識封鎖BT等點對點應用。而要對BT應用進行帶寬限制，可以利用校園網出口三層交換機或路由器提供的QOS質量服務功能，對不同應用給予一定的帶寬限制，并對不同的應用給予不同的優先級，以保障重要應用的服務質量?；蛘哌\用針對點對點應用的專用流量控制設備，從應用層來識別點到點應用，并根據管理策略有針對性地對點對點應用加以帶寬限制，保障用戶合理使用網絡資源。

3 結束語

學校網絡安全管理方案范文5

1.1網絡存儲技術安全

對于一個企業來說，網絡存儲數據的安全性是極其重要的一個工作內容，一旦重要的數據被損壞或者丟失，便會對企業日常生產、運作造成重大的影響，甚至是會產生無法估計和難以彌補的損失，故計算機系統不是永遠可靠的，單單依靠雙機熱備份、磁盤陣列、磁盤鏡像、數據庫軟件的自動復制等備份功能已經遠遠解決不了網絡安全的問題，所以，計算機網絡需要有完整的數據存儲模式。目前的存儲模式有直接連接存儲模式（DirectAttachedStorage，DAS）、網絡存儲模式（NetworkAttachedStorage，NAS）、存儲區域網絡（StorageAreaNetwork，SAN）。

1.2網絡規劃、設計及實施安全

在網絡規劃、設計及實施方面側重于網絡安全性的方案選取，包括選用安全的操作系統、設置網絡防火墻、網絡防殺病毒、數據加密和信息工作制度的保密等等方面，充分發揮網絡安全性的原則。

2網絡安全管理策略

在計算機網絡系統中，絕對的安全是不存在的，制定健全的網絡安全管理策略是計算機網絡安全的重要保證，只有通過網絡管理人員、與企業相關的、及網絡使用人員的共同努力，運用一切可以使用的工具和技術，盡一切可能去控制、減小、降低以及避免一切非法的網絡行為，盡可能地把不安全的因素降到最低。

2.1網絡安全管理策略的可變性

網絡安全策略并不是一成不變的，它具有可變的特性。一方面，由于企業或者單位組織內部結構、組織方式的不斷變化，相關業務和數據類型和分布的更新也不斷地發生著變化；另一方面：從網絡安全技術的角度講，攻擊者的攻擊方式、防止攻擊的措施也在不斷地升級和改進，所以，安全策略是一個變化性的策略，必須要和網絡當前的狀態相適應。

2.2網絡安全策略的核心內容

網絡安全策略的核心內容有：定方案、定崗、定位、定員、定目標、定制度、定工作流程（方崗位員目制流），也就是我們通常所說的“七定”。

2.3網絡安全策略的設計與實施步驟

（1）確定網絡安全需求，確定網絡安全需求的范圍，評估面臨的網絡風險；

（2）制訂可實現的網絡安全策略目標；

（3）制訂網絡安全策略規劃：制定本地網絡安全規劃、遠程網絡安全規劃、Internet網絡安全規劃等規劃內容；

（4）制訂網絡安全系統的日常維護計劃。

3網絡安全防御與改善措施

3.1網絡安全防范管理

做好網絡安全防范計劃于與策略，對網絡安全進行防范控制盒管理，提高網絡自身穩定性、可靠性，要有較高的警惕安全的意識，從而，能夠抵御較大的網絡安全風險。網絡安全防范措施可以有：

（1）國家信息安全漏洞共享平臺；

（2）反網絡病毒聯盟組織。

3.2建立良好的網絡安全機制

目前，常用的安全機制有身份驗證、授權、數據加密、密鑰加密和數字簽名、數據包過濾、防火墻、入侵監測系統、物理安全等。在此，我們重點介紹數據加密、入侵檢測系統和防火墻技術。

（1）數據加密：該技術更好的實現了信息的保密性，確保了信息在傳輸及存儲過程中不會被其他人獲取，它是一種十分有效的網絡安全技術措施。因此，為了保障數據的存儲和傳輸安全，需要對一些重要數據進行加密。

（2）入侵檢測系統：在系統檢測或者可能的情況下，阻止入侵者試圖控制自己的系統或者網絡資源的行為。入侵檢測系統是一種主動保護網絡免受攻擊的安全技術，從而簡化網絡管理員的工作，保護網絡安全的運行。

（3）防火墻技術：建立在內外網絡邊界上的過濾封鎖機制。內部網絡被認為是安全和可信賴的，外部網絡（通常是Internet，互聯網）被認為是不安全和不可信賴的。防火墻技術是一種被動網絡安全技術，是目前應用最多的一種網絡安全技術，但是，防火墻技術有它的局限性，它假設了網絡邊界和服務，導致對內部的非法訪問難以有效的進行控制。

3.3引入網絡安全審計系統

學校網絡安全管理方案范文6

關鍵詞：校園網；安全因素； Internet；計算機病毒

校園網絡作為學校重要的基礎設施，擔當著學校教學、科研、管理和對外交流等許多角色。校園網安全狀況直接影響著學校的教學活動。

一、安全問題的表現形式

1.計算機系統漏洞。

目前，校園網中廣泛使用的網絡操作系統主要是Windows XP，存在各種各樣的安全問題，比如服務器、操作系統、防火墻、TCP / IP協議等方面都存在大量安全漏洞。

2.計算機病毒的破壞。

計算機病毒影響計算機系統的正常運行、破壞系統軟和文件系統、使網絡效率下降、甚至造成計算機和網絡系統的癱瘓，是影響校園網絡安全的主要因索。計算機病毒具有以下特點：一是攻擊隱蔽性強；二是繁殖能力強；三是傳染途徑廣；四是潛伏期長；五是破壞力大。

3.來自網絡外部的入侵、攻擊等惡意破壞行為。

校園網與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。黑客也經常利用網絡攻擊校園網的服務器，以竊取一些學校重要信息以及個人隱私。

4.非正常途徑訪問或內部破壞。

在高校中，有人為了報復而銷毀或篡改人事檔案記錄；有人私自改變程序設置，引起系統混亂；有人越權處理公務，為了個人私利竊取機密數據；一些學生通過非正常的手段獲取習題的答案或者在考試前獲得考試內容，使正常的教學練習失去意義。這些行為都嚴重地破壞了學校的管理秩序。

二、網絡的安全策略

網絡的安全策略就是針對網絡的實際情況，在網絡管理的整個過程，具體對各種網絡安全措施進行取合。網絡的安全策略可以說是在一定條件下的成本和效率的平衡。校園網具有訪問方式多樣，用戶群龐大，網絡行為突發性較高等特點。網絡的安全問題需要從網絡規劃設計階段就仔細考慮，并在實際運行中嚴格管理。為保證校園網絡的安全性，一般采用以下一些策略：

1.身份認證技術。

身份認證是對通信方進行身份確認來阻止非授權用戶進入。常用的身份認證方法有口令認證法。主要是給系統管理員帳戶設置足夠復雜的強密碼，最好是字母+數字+符號的組合；系統管理員的121令應嚴格管理，不定期地予以更換。

2.防范系統安全漏洞。

及時更新操作系統，安裝各種補丁程序非常重要。一般用戶需要借助第三方產品（如：漏洞掃描系統）的幫助，及時發現安全隱患。目前，許多新型計算機病毒都是利用操作系統的漏洞進行傳染的。

3.網絡監控措施。

在不影響網絡正常運行的情況下，增加內部網絡監控機制，可以最大限度地保護網絡資源。

4.網絡安全隔離。

防火墻作為一種將內外網隔離的技術，普遍運用于校園網安全建設中。合理使用防火墻，可以構筑內外網之間的安全屏障，有效地將內部網與外部網隔離開來，有利于提高網絡抵抗黑客攻擊的能力和系統的安全性。

5.數據備份和恢復。

對于計算機而言，最重要的應該是硬盤中存儲的數據。用戶數據不要與系統共用一個分區，避免因重裝系統造成數據丟失。重要的數據要及時備份，備份前要進行病毒查殺，數據備份可采取異地備份、光盤備份等多種方式。

6.制定切實可行的網絡安全管理制度。

為了確保整個網絡的安全有效運行，有必要對網絡進行全面的安全性分析和研究，制定出一套滿足網絡實際安全需要的、切實可行的安全管理。主要包括以下幾方面的內容：

（1）建立一個權威的信息安全管理機構，制定統管全局的網絡信息安全規定；

（2）制定網絡管理員的激勵制度，促使他們提高工作熱情，加強工作責任心；

（3）對網絡管理員進行專業知識和技能的培訓，培養一支具有安全管理意識的網管隊伍，使他們從技術上提高應對各種攻擊破壞的能力；

（4）把網絡信息安全的基本知識納入學校各專業教育之中；

（5）對學校教師和其他人員進行信息安全知識普及教育；

（6）在學校的網站設立網絡安全信息欄目，網絡法令法規、網絡病毒公告、操作系統更新公告等，并提供常用軟件的補丁下載。

三、總結

校園網的安全問題是一個較為復雜的系統工程，從嚴格的意義上來講，沒有絕對安全的網絡系統，提高校園網絡的安全系數是要以降低網絡效率和增加投入為代價的。隨著計算機技術的飛速發展，網絡的安全有待于在時間中進一步研究和探索。

參考文獻

【1】張德慶，Internet網絡安全管理研究，2001.