校园局域网安全解决方案

校园局域网安全解决方案

校园局域网安全解决方案

1．绪论

随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，学校教育教学在很大程度上依赖于网络，数据、信息的不安全性也成为最主要的问题。很多时候学校的一些信息被删除、丢失，或校园网内经常有大规模病毒出现。同时受产品和技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。因此，校园网必须有足够强的安全措施，无论是公众网还是校园网中，网络的安全措施应能全方位地针对各种不同的威胁和脆弱性，确保网络信息的CIA。

本方案以山东女子学院局域网安全解决方案为例，包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计等。

2．网络系统概况

2.1 网络概况

山东女子学院现有一万余人，校园占地1134亩，分长清和市内两个校区。本方案主要针对长清校区，现长清校区有教学楼两栋、实验楼一栋、图书馆一栋、学生宿舍五栋、办公楼一栋、行政楼一栋。教学用计算机近三千台。其局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有所有的信息点为在学校的办公和学习提供了一个快速、方便的信息交流平台。在原有网络上实施一套完整、可操作的安全解决方案是必然的。

2.1.1 网络概述

本校的局域网，物理跨度不大，通过千兆交换机在主干网络上提供1000M的

独享带宽，通过下级交换机与各层之间的工作站和服务器连结，并为之提供600M 的独享带宽。利用与中心交换机连结的Cisco 路由器，所有用户可直接访问Internet。

2.1.2 网络结构

计算机网络系统就是利用通信设备和线路将地理位置不同、功能独立的多个计算机系统互联起来，以功能完善的网络软件实现网络中资源共享和信息传递的系统。此局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可按照属性、职能、安全的重要性分为许多子网，包括：办公子网、行政子网、学习子网、教学子网、中心服务器子网等。不同的局域网分属不同的广播域，在中心交换机上将重要网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。

2.1.3 网络结构的特点

在分析本局域网的安全风险时，应考虑到网络的如下几个特点：

1.内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN来实现。

2.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。

在进行网络方案设计时，应综合考虑到这个企业局域网的特点，根据产品的性能、价格、潜在的安全风险进行综合考虑。

2.2 网络应用

校园网网络应用表

其中主要应用有：

1) 电子邮件功能及OA：

校园网信息平台应有功能强大的邮件系统和OA系统，可以为每个使用者建立自己的信箱，和OA账号，安全保密又极大地方便了通信。

2) 讨论和交流功能：

3) 学校网站：

学校有许多信息需要向老师、学生或社会公布，校园网信息平台的安全体系应保证不允许被修改这一点。

4) 科研环境应用系统：

科研环境应用系统多集中在各实验室和多功能竞赛及多功能报告厅，这类网络应用可能需要较高的带宽以满足多媒体实验环境。

5) 电子教学：

电子教学是搭建校园网的首要目标，电子教学的具体形式有：多媒体教学、教学机房、电子图书馆、多媒体教育资源库、内部信息共享

6) 职能管理：

除电子教学外，学校的各项管理工作的现代化也势必要通过网络来实现。

7) 远程教育：

远程教育建起了一座跨越地域、不受规模限制的虚拟学校，将教学信息通过网络向更远处传播，对学校而言引进了更多的事业和机会，对学习者而言也提供了更多的选择。

8) 无线网络：

随时随地能够从网络获得相要的资源成为教育用户追求的目标。国际上已经把拥有无线校园网作为现代化校园的一个标志，我们山东女子学院也应在这点做好先前的准备，迎战未来。

9) 视频点播：

VOD：视频点播，对于校园网的用户，学校通过把好的课件放到 VOD服务器上，让学生们进行点播，灵活的开展教学服务。

2.3 数据存储的位置

3．网络系统安全风险分析

针对这个企业局域网中存在的安全隐患，并且要针对面临的风险，采取相应的安全措施。我们从五个安全层面来考虑保护校园网的安全，并结合本局域网的实际情况，具体地分析网络的安全风险。

3.1 物理安全风险分析

网络的物理安全是整个网络系统安全的前提。主要指地震等灾难；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。

在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全管理制度做好备份，并且加强网络设备和机房的管理，这些风险是可以避免的。

3.2 网络层的安全风险分析

网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。

3.2.1公开服务器面临的威胁

局域网内公开服务器区作为公司的信息发布平台，一旦不能运行或者受到攻击，会对本校造成很大的威胁。我们有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤。

3.2.2 整个网络结构和路由状况

网络系统的成熟与否直接影响安全系统成功的建设。在局域网络系统中，只使用一台路由器，用作与Internet连结的边界路由器，网络结构相对简单，具体配置时可以考虑使用静态路由，这就大大减少了因网络结构和网络路由造成的安全风险。

3.3应用及管理的安全风险分析

应用的安全性涉及到信息、数据的安全性；信息的安全性涉及到；机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于特别重要的信息需要对内部进行保密的可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。

管理是网络中安全最最重要的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

3.4 网络攻击手段

3.4.1 黑客攻击

黑客们的攻击行动无时无刻不在进行，会利用系统和管理上的一切可能利用的漏洞。公开服务器是黑客们最青睐的，一旦黑客发现漏洞，侵入系统服务器后，从普通用户变为高级用户，将会对整个局域网构成很大的威胁。如黑客可能会开发欺骗程序，将其装入系统服务器中，用以监听登录会话、非授权访问、信息泄漏或丢失破坏数据完整性、拒绝服务攻击、利用网络传播病毒等。

我们可以综合采用防火墙技术、Web页面保护技术、入侵检测技术、安全评估技术来保护网络内的信息资源，防止黑客攻击。