校園網(wǎng)絡(luò)搭建及網(wǎng)絡(luò)安全的研究

校園網(wǎng)絡(luò)搭建及網(wǎng)絡(luò)安全的研究摘要隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展校園網(wǎng)絡(luò)已成為支持教學(xué)的重要手段。高校的科研、管理、交通等任務(wù)。校園網(wǎng)能否穩(wěn)定、安全地運(yùn)行，直接影響著企業(yè)的有序穩(wěn)定發(fā)展。和學(xué)校的意識(shí)形態(tài)創(chuàng)建它是黨的一項(xiàng)非常重要的任務(wù)，也是核心。全校黨委領(lǐng)導(dǎo)的工作和加強(qiáng)學(xué)校建設(shè)，實(shí)現(xiàn)德育的基本使命，當(dāng)前，中國(guó)特色社會(huì)主義進(jìn)入新時(shí)代。隨著網(wǎng)絡(luò)信息技術(shù)的深入發(fā)展和以智能手機(jī)為代表的移動(dòng)設(shè)備的廣泛普及。網(wǎng)絡(luò)由此成為不同意識(shí)形態(tài)、文化和價(jià)值觀自由競(jìng)爭(zhēng)的關(guān)鍵領(lǐng)域。新時(shí)代，由于網(wǎng)絡(luò)信息系統(tǒng)的發(fā)展，意識(shí)形態(tài)建設(shè)面臨更多機(jī)遇和挑戰(zhàn)：擁有意識(shí)形態(tài)的領(lǐng)導(dǎo)權(quán)、管理權(quán)和話語(yǔ)權(quán)。網(wǎng)絡(luò)工作牢牢掌控已成為當(dāng)務(wù)之急。宣傳思想工作的重大事件。高校處于思想工作的前沿，肩負(fù)著傳播馬克思主義科學(xué)理論的重要使命。認(rèn)真學(xué)習(xí)馬克思主義理論。培養(yǎng)德、智、體、藝全面發(fā)展的社會(huì)主義創(chuàng)造者和接班人，發(fā)展壯大新時(shí)代高校思想網(wǎng)絡(luò)是基礎(chǔ)。大局和長(zhǎng)遠(yuǎn)是堅(jiān)持中國(guó)特色社會(huì)主義教育和高等教育方式的關(guān)鍵。關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)搭建；網(wǎng)絡(luò)安全；研究目錄TOC\o"1-3"\h\u1874摘要 117161第一章緒論 357211.1論文研究的背景以及目的和意義 314051.1.1項(xiàng)目研究背景 3183111.1.2研究目的和意義 3130451.2校園網(wǎng)絡(luò)安全管理及體系結(jié)構(gòu)優(yōu)化研究國(guó)內(nèi)外發(fā)展現(xiàn)狀 431804第二章基于校園網(wǎng)絡(luò)安全管理及體系結(jié)構(gòu)優(yōu)化研究的設(shè)計(jì)方案 5238442.1網(wǎng)絡(luò)出口安全設(shè)計(jì)的設(shè)計(jì)方案 597012.1.1多個(gè)互聯(lián)網(wǎng)出口的挑戰(zhàn) 5256362.1.2安全防御挑戰(zhàn) 53859第三章校園網(wǎng)絡(luò)出口區(qū)域安全部署設(shè)計(jì) 640243.1設(shè)備配置和部署 7128323.2部署效果 791653.3滿足用戶對(duì)校園網(wǎng)出口的需求 8128713.3.1強(qiáng)大的多核架構(gòu) 8209413.3.2通用安全平臺(tái) 829198第四章網(wǎng)絡(luò)內(nèi)部基礎(chǔ)架構(gòu)的設(shè)計(jì)方案 8137614.1校園網(wǎng)絡(luò)層級(jí)架構(gòu) 9231584.2虛擬局域網(wǎng)VLAN技術(shù) 10177541）抑制廣播風(fēng)暴 11164722）提高用戶訪問(wèn)安全性 1121273）網(wǎng)絡(luò)管理簡(jiǎn)單、直觀 11454第五章網(wǎng)絡(luò)應(yīng)用系統(tǒng)及用戶終端安全的設(shè)計(jì)方案 11278375.1高校應(yīng)用系統(tǒng)的分析 118855.2多平臺(tái)的一體化，實(shí)現(xiàn)數(shù)字化（智能）校園的本質(zhì) 14244215.3搭建各類防護(hù)系統(tǒng)，防止不法分子侵入網(wǎng)絡(luò) 15139452.4網(wǎng)絡(luò)安全管理制度體系的完善 1620223結(jié)語(yǔ) 1720697參考文獻(xiàn) 1815097致謝 19第一章緒論1.1論文研究的背景以及目的和意義1.1.1項(xiàng)目研究背景計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展帶來(lái)了一場(chǎng)全球范圍的信息技術(shù)革命，計(jì)算機(jī)網(wǎng)絡(luò)就是生產(chǎn)力。目前網(wǎng)絡(luò)技術(shù)已深入應(yīng)用在社會(huì)經(jīng)濟(jì)、文化、科研、教育、軍事等各個(gè)領(lǐng)域，現(xiàn)在任何人可以在任何地方、任何時(shí)間以任何方式共享任何資源。但是人們?cè)谥匾曢_(kāi)發(fā)網(wǎng)絡(luò)應(yīng)用的同時(shí)卻忽略了網(wǎng)絡(luò)的管理及安全，近年來(lái)網(wǎng)絡(luò)攻擊、病毒入侵、破壞資源等網(wǎng)絡(luò)犯罪數(shù)量呈幾何數(shù)的增長(zhǎng)，國(guó)家從2007年開(kāi)始加大對(duì)網(wǎng)絡(luò)犯罪的監(jiān)管力度，然而作為網(wǎng)絡(luò)建設(shè)和使用單位，許多單位在網(wǎng)絡(luò)安全建設(shè)方面投資還很薄弱，由于網(wǎng)絡(luò)安全體系不健全而引發(fā)的各類網(wǎng)絡(luò)故障時(shí)有發(fā)生。本論文主要從高校校園網(wǎng)絡(luò)建設(shè)與應(yīng)用現(xiàn)狀出發(fā)，制定一套適合高校的網(wǎng)絡(luò)安全架構(gòu)，然后結(jié)合目前網(wǎng)絡(luò)建設(shè)方面存在的優(yōu)點(diǎn)及不足，對(duì)學(xué)校校園網(wǎng)絡(luò)安全體系建設(shè)和管理進(jìn)行了研究分析，針對(duì)學(xué)校網(wǎng)絡(luò)的建設(shè)情況，設(shè)計(jì)出一個(gè)解決學(xué)校網(wǎng)絡(luò)安全管理的方案。具體從網(wǎng)絡(luò)基礎(chǔ)平臺(tái)建設(shè)、網(wǎng)絡(luò)邊界防御、網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)用戶管理、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)制度等方面進(jìn)行研究，目的是解決校園網(wǎng)絡(luò)存在的網(wǎng)絡(luò)管理和安全方面的不足及隱患，保護(hù)校園網(wǎng)內(nèi)硬件、軟件及數(shù)據(jù)資源的安全，使校園網(wǎng)能更好地為學(xué)院辦公、教學(xué)、科研提供服務(wù)。1.1.2研究目的和意義目前，大多數(shù)高校已建成或正在建設(shè)一套完整的校園網(wǎng)絡(luò)系統(tǒng)。數(shù)字化校園的建成，使學(xué)?？赏ㄟ^(guò)信息化手段管理各項(xiàng)業(yè)務(wù)，教學(xué)模式也變的多樣化，明顯的提升了教育教學(xué)的效率，對(duì)于提高學(xué)校的管理和教學(xué)質(zhì)量具有十分重要的意義。但隨著黑客攻擊和網(wǎng)絡(luò)病毒傳播的行為，校園網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)不能忽視的問(wèn)題，數(shù)據(jù)的安全、學(xué)校自身的利益受到嚴(yán)重威脅。因此能否保證校園網(wǎng)絡(luò)內(nèi)各應(yīng)用系統(tǒng)穩(wěn)定安全地運(yùn)行，便成為校園網(wǎng)絡(luò)管理所面臨的一個(gè)重要問(wèn)題。本論文著重研究校園網(wǎng)絡(luò)面臨的各種安全威脅，研究防火墻、服務(wù)器系統(tǒng)、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)加密與認(rèn)證、制度建設(shè)等網(wǎng)絡(luò)安全技術(shù)的協(xié)同工作和整體搭建，并對(duì)網(wǎng)絡(luò)安全進(jìn)行測(cè)試、分析及相關(guān)技術(shù)進(jìn)行深入的研究。1.2校園網(wǎng)絡(luò)安全管理及體系結(jié)構(gòu)優(yōu)化研究國(guó)內(nèi)外發(fā)展現(xiàn)狀在國(guó)外，網(wǎng)絡(luò)安全一直以來(lái)都受到高度重視，將網(wǎng)絡(luò)安全上升到國(guó)家安全戰(zhàn)略的高度，在美國(guó)，多個(gè)不同的領(lǐng)域，例如政界、教育界、工商界等積極合作，探索出了一系列的網(wǎng)絡(luò)安全體系架構(gòu)，比較經(jīng)典的有PDRR模型、PDR模型、IATF架構(gòu)等，其中PDRR模型最為經(jīng)典，該模型主要包含四個(gè)方面，第一為防護(hù)方面，包含各類加密和訪問(wèn)控制機(jī)制，例如加密、數(shù)字簽名、訪問(wèn)控制、認(rèn)證、信息隱藏機(jī)制和防火墻技術(shù)。第二為檢測(cè)方面，包含各類入侵的檢測(cè)和防御，例如入侵檢測(cè)技術(shù)（IPS，IDS）脆弱性檢測(cè)、信息完整性以及攻擊性檢測(cè)。第三為恢復(fù)方面，包括系統(tǒng)及數(shù)據(jù)恢復(fù)、數(shù)據(jù)備份、數(shù)據(jù)還原等。第四為響應(yīng)方面，包括應(yīng)急體系、入侵分析、安全狀態(tài)評(píng)估。PDRR體系被國(guó)外很多大學(xué)做為網(wǎng)絡(luò)安全建設(shè)的參考模型，以此建立了校園網(wǎng)絡(luò)安全體系，但在建設(shè)的過(guò)程中，往往為一塊一塊逐步完成，呈現(xiàn)出模塊化建設(shè)方式，缺少頂層設(shè)計(jì)，這就造成了各模塊間的彼此獨(dú)立，不能做到有機(jī)聯(lián)動(dòng)。目前，國(guó)內(nèi)很多高校也按此來(lái)規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全架構(gòu)，存在同樣的問(wèn)題，建設(shè)的各個(gè)環(huán)節(jié)零散化，想到什么建什么，出現(xiàn)什么問(wèn)題彌補(bǔ)什么，結(jié)果就會(huì)造成盲目投資、資源難以整合、亡羊補(bǔ)牢等諸多問(wèn)題，同時(shí)國(guó)內(nèi)很多高校還沒(méi)有重視到網(wǎng)絡(luò)安全的重要性，缺乏頂層設(shè)計(jì)，而且網(wǎng)絡(luò)安全工作受限于人員編制少、預(yù)算低、技術(shù)力量薄弱等因素，缺乏順暢的管理機(jī)制、精細(xì)的管控服務(wù)、規(guī)范的運(yùn)維流程以及高性能的設(shè)備，所以首先應(yīng)建立一套統(tǒng)一的安全防護(hù)體系，然后向?qū)W校領(lǐng)導(dǎo)匯報(bào)，加大重視程度，建立相應(yīng)的應(yīng)急預(yù)警機(jī)制，同時(shí)國(guó)內(nèi)校園網(wǎng)的研究主要是針對(duì)某些區(qū)域的架構(gòu)優(yōu)化、信息過(guò)濾、加密等防御手段的研究，針對(duì)性比較強(qiáng)，很難找到一整套適合高校網(wǎng)絡(luò)的技術(shù)方案，更沒(méi)有一套具體的適合校園網(wǎng)絡(luò)安全架構(gòu)的整體方案。第二章基于校園網(wǎng)絡(luò)安全管理及體系結(jié)構(gòu)優(yōu)化研究的設(shè)計(jì)方案2.1網(wǎng)絡(luò)出口安全設(shè)計(jì)的設(shè)計(jì)方案目前，隨著數(shù)字化校園為特征的教育信息化的超高速發(fā)展，高校的教學(xué)教務(wù)管理的信息化，科研管理和辦公自動(dòng)化應(yīng)用已全面應(yīng)用于日常的工作中。由于信息化水平的普遍提高，數(shù)量傳輸?shù)捏w量逐步增加，國(guó)內(nèi)絕大多數(shù)的高校已部署了萬(wàn)兆核心網(wǎng)絡(luò)，互聯(lián)網(wǎng)出口速率也普遍達(dá)到千兆以上，甚至萬(wàn)兆，而且接入了多條互聯(lián)網(wǎng)鏈路。萬(wàn)兆校園網(wǎng)，千兆互聯(lián)網(wǎng)的接入切實(shí)解決了帶寬不足的問(wèn)題，滿足了數(shù)以萬(wàn)計(jì)校園用戶的網(wǎng)絡(luò)需求，但是越來(lái)越多的接入鏈路、龐大的數(shù)據(jù)收發(fā)、不同身份用戶等因素形成的網(wǎng)絡(luò)出口面臨如下挑戰(zhàn)。2.1.1多個(gè)互聯(lián)網(wǎng)出口的挑戰(zhàn)多個(gè)互聯(lián)網(wǎng)出口是當(dāng)前國(guó)內(nèi)大部分高校校園網(wǎng)出口所采用的模式15，其原因主要有兩個(gè)方面：1）提高訪問(wèn)不同網(wǎng)絡(luò)資源的速度?；ヂ?lián)網(wǎng)中不同的資源分散在不同的服務(wù)器中，這些服務(wù)器對(duì)外提供服務(wù)的出口有電信、移動(dòng)、聯(lián)通、教育網(wǎng)等不同的網(wǎng)絡(luò)線路，為了提高訪問(wèn)不同的資源走最快的線路，往往高校采用了多接入的方式，例如用戶訪問(wèn)電信資源，而資源的存放地為電信出口，那么訪問(wèn)速度非?？欤?lián)通、移動(dòng)的情況是一致的。2）解決單一線路中斷問(wèn)題，避免出現(xiàn)某一出口的單點(diǎn)故障。在實(shí)際應(yīng)用中，單一的線路往往會(huì)受到管網(wǎng)施工、市政綠化、大樓基建等因素的影響，導(dǎo)致線纜被挖斷，所有采用多個(gè)不同的出口，同時(shí)接入多家運(yùn)營(yíng)商，但多個(gè)不同的出口需要做很多策略路由，實(shí)際應(yīng)用中的路由規(guī)則可能會(huì)達(dá)到數(shù)千甚至上萬(wàn)條，一些新設(shè)備由于大量出口策略路由的設(shè)置，導(dǎo)致性能下降，影響出口性能。2.1.2安全防御挑戰(zhàn)校園網(wǎng)絡(luò)出口是校園網(wǎng)的“大門(mén)”，作為出口管理的設(shè)備是安全的第一道關(guān)卡。近年來(lái)，隨著網(wǎng)絡(luò)帶寬的迅速增長(zhǎng)，網(wǎng)絡(luò)應(yīng)用的普及，個(gè)人財(cái)產(chǎn)的虛擬貨幣化，隨之而來(lái)網(wǎng)絡(luò)威脅也大幅增加，其中包括木馬攻擊，密碼掃描，黑客入侵，抗拒絕服務(wù)攻擊，蠕蟲(chóng)病毒，惡意軟件，垃圾郵件。出口設(shè)備需要防范外網(wǎng)攻擊或病毒入侵的威脅。校園網(wǎng)的帶寬越大，應(yīng)用越多，對(duì)網(wǎng)絡(luò)的危害會(huì)造成更大的威脅，出口設(shè)備的安全機(jī)制和防范能力面臨前所未有的挑戰(zhàn)。（1）流量控制挑戰(zhàn)近年來(lái)，隨著P2P應(yīng)用的日益豐富，高清電視、高清直播平臺(tái)的大眾化，這些應(yīng)用占據(jù)了大量的網(wǎng)絡(luò)資源，即便增加更多的出口帶寬，如不加以管控，也無(wú)法滿足這些需求，這便導(dǎo)致了正常的應(yīng)用程序的運(yùn)行不能得到保證。因此，對(duì)這些應(yīng)用采取流量管理控制是非常有必要的。（2）內(nèi)容審計(jì)挑戰(zhàn)邊界設(shè)備時(shí)常要做大量的地址轉(zhuǎn)換記錄、寫(xiě)運(yùn)行日志，以滿足網(wǎng)監(jiān)部門(mén)的要求與審計(jì)相關(guān)的內(nèi)容。但開(kāi)啟日志收集和分析功能之后，會(huì)降低原本就承擔(dān)海量地址轉(zhuǎn)換工作的邊界設(shè)備性能。（3）高可靠挑戰(zhàn)校園網(wǎng)出口區(qū)域在非常重要的位置，校園網(wǎng)出口發(fā)生故障會(huì)導(dǎo)致整個(gè)校園網(wǎng)無(wú)法訪問(wèn)互聯(lián)網(wǎng)絡(luò)，甚至造成內(nèi)網(wǎng)的中斷，如何提升出口設(shè)備的可靠性，如何確保故障中斷后有恢復(fù)機(jī)制，這些都是校園網(wǎng)絡(luò)管理者面臨的重大問(wèn)題。第三章校園網(wǎng)絡(luò)出口區(qū)域安全部署設(shè)計(jì)基于前面對(duì)校園網(wǎng)出口的現(xiàn)狀與遠(yuǎn)景的分析，對(duì)高校出口區(qū)域設(shè)計(jì)了如下的安全解決方案，如圖所示。3.1設(shè)備配置和部署在校園網(wǎng)的網(wǎng)絡(luò)出口區(qū)，將傳統(tǒng)僅僅支持簡(jiǎn)單NAT功能的x86路由器更換為基于ASICL的高性能新一代防火墻，并使其萬(wàn)兆接口與核心交換機(jī)萬(wàn)兆骨干網(wǎng)絡(luò)相連；出口鏈路至少支持四個(gè)以上的互聯(lián)網(wǎng)接入，按照一般高校接入情況，設(shè)計(jì)為分別是Cernet線路500M，中國(guó)電信線路500M。在設(shè)備上設(shè)置多出口的智能路由規(guī)則、龐大的地址池做海量的地址轉(zhuǎn)換、抗攻擊策略，并且特征庫(kù)實(shí)時(shí)升級(jí)、一到七層鏈路負(fù)載均衡、訪問(wèn)策略、日志收集分析。為更好的保證校園內(nèi)各用戶的均衡上網(wǎng)應(yīng)在高性能防火墻后面部署流量控制系統(tǒng)，按照用戶以及應(yīng)用類別為其分配適當(dāng)?shù)牧髁俊?.2部署效果硬件采用模塊化結(jié)構(gòu)。該設(shè)備有四個(gè)接口卡擴(kuò)展槽。設(shè)備具有10吉比特?cái)?shù)據(jù)處理功能，最多支持16吉比特（SFP+）接口和34吉比特（不含光電）接口（特殊接頭或共享交換機(jī)接口）；具有獨(dú)立的管理界面本次自帶1個(gè)接口擴(kuò)展板，4個(gè)10/100/1000BASE-T口和4個(gè)SFP口，本設(shè)備有2個(gè)1000M單模模塊。本設(shè)備采用多核并行多平臺(tái)安全操作系統(tǒng)。并采用雙重安全操作系統(tǒng)設(shè)計(jì)。軟件采用模塊化結(jié)構(gòu)設(shè)計(jì)?？梢詳U(kuò)展IPSECVPN、SSLVPN、防病毒、入侵防御、URL類型過(guò)濾等功能。按要求網(wǎng)絡(luò)吞吐量：26Gbps；并發(fā)連接數(shù)：2400萬(wàn)；新增TCP連接數(shù)：212萬(wàn)/秒；新的HTTP連接：217萬(wàn)/秒。軟件采用模塊化結(jié)構(gòu)設(shè)計(jì)，支持端口過(guò)濾、封堵；支持NAT：支持802.1x協(xié)議：支持流量監(jiān)控；支持路由模式（靜態(tài)路由、動(dòng)態(tài)路由）、交換模式、混合模式、虛擬線模式，至少支持四對(duì)虛擬線配置；支持雙機(jī)熱備主模式或主備模式部署；支持智能選路及服務(wù)器負(fù)載均衡技術(shù)和P2P控制技術(shù)，支持智能DNS技術(shù)。具備上述的功能和性能的防火墻設(shè)備對(duì)出口的安全防護(hù)將具有更好的效果，體現(xiàn)在三個(gè)方面，分別為高可擴(kuò)容，地址轉(zhuǎn)換功能強(qiáng)大，安全防護(hù)效果明顯。3.3滿足用戶對(duì)校園網(wǎng)出口的需求3.3.1強(qiáng)大的多核架構(gòu)核心處理器設(shè)備在同一芯片上結(jié)合了多個(gè)CPU和多個(gè)核心和線程處理器。并且支持的加解密引擎包括AES、3DES等算法。內(nèi)部數(shù)據(jù)交換總線帶寬高達(dá)256G，處理器支持C語(yǔ)言開(kāi)發(fā)，方便用戶添加新功能。3.3.2通用安全平臺(tái)設(shè)備應(yīng)具有自主研發(fā)的專用安全軟件平臺(tái)的開(kāi)發(fā)。平臺(tái)以通用標(biāo)準(zhǔn)為參照，基于先進(jìn)體系結(jié)構(gòu)及模塊化設(shè)計(jì)，集WEB管理系統(tǒng)，網(wǎng)絡(luò)接口，高安全性，高性能，高智能化，安全可靠，易擴(kuò)展等特性應(yīng)用技術(shù)，是所有防火墻廠家都需遵循的原則。校園網(wǎng)絡(luò)安全解決方案很好地解決了校園網(wǎng)絡(luò)信息安全出口，有效保護(hù)了校園網(wǎng)絡(luò)的安全穩(wěn)定。由于我在從事校園網(wǎng)絡(luò)管理工作，按其實(shí)際情況設(shè)計(jì)了圖一拓?fù)鋱D，設(shè)計(jì)兩條接入鏈路，通過(guò)新一代萬(wàn)兆防火墻接入，該防火墻配置了端口防護(hù)、高性能NAT、策略路由、智能DNS、日志分析、鏈路均衡等功能，在其和核心交換機(jī)之間配備了流量管理系統(tǒng)，為各用戶、各樓宇、各個(gè)應(yīng)用分配了固定的帶寬，保證了用戶在保障教學(xué)、辦公的情況下均衡、公平的使用互聯(lián)網(wǎng)絡(luò)資源。第四章網(wǎng)絡(luò)內(nèi)部基礎(chǔ)架構(gòu)的設(shè)計(jì)方案對(duì)校園網(wǎng)內(nèi)部總體采用分層式模型架構(gòu)進(jìn)行搭建，關(guān)鍵設(shè)備采取VLAN劃分、ACL策略、冗余鏈路、鏈路聚合等技術(shù)進(jìn)行設(shè)計(jì)。校園網(wǎng)絡(luò)的設(shè)計(jì)總體按照以下幾個(gè)方面實(shí)施。首先為設(shè)計(jì)原則先進(jìn)性：先進(jìn)的設(shè)計(jì)理念、網(wǎng)絡(luò)架構(gòu)，采用被廣泛使用的產(chǎn)品，具有標(biāo)準(zhǔn)化和技術(shù)成熟的軟硬件產(chǎn)品：實(shí)用性：建網(wǎng)時(shí)在通信可保障未來(lái)3-5年的時(shí)間內(nèi)，應(yīng)充分考慮利用和保護(hù)現(xiàn)有的設(shè)備，新購(gòu)設(shè)備做到適度超前安全性：主要有兩個(gè)方面，第一、網(wǎng)絡(luò)用戶的安全性；2、數(shù)據(jù)傳輸?shù)陌踩浴＞W(wǎng)絡(luò)用戶的安全性主要體現(xiàn)在網(wǎng)絡(luò)的操作系統(tǒng)，而數(shù)據(jù)傳輸安全性則須在網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)解決。其次為性能和功能的要求：按照主流校園網(wǎng)絡(luò)三層設(shè)計(jì)原則，核心層采用萬(wàn)兆帶寬的網(wǎng)絡(luò)，匯聚層采用千兆帶寬的網(wǎng)絡(luò)，接入層采用帶寬百兆的網(wǎng)絡(luò)。結(jié)合目前應(yīng)用水平和未來(lái)網(wǎng)絡(luò)的擴(kuò)展綜合考慮，每層各端口采用端口百兆的交換式網(wǎng)絡(luò)。校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)，包括拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)覆蓋技術(shù)選擇（有線、無(wú)線）、綜合布線系統(tǒng)的設(shè)計(jì)。目前很多高校已經(jīng)實(shí)施或者計(jì)劃實(shí)施大二層網(wǎng)絡(luò)，但由于大二層網(wǎng)絡(luò)直接管理所有網(wǎng)絡(luò)節(jié)點(diǎn)，需要極高的處理能力，所以對(duì)頂層設(shè)備也就是核心交換機(jī)的要求很高，且價(jià)格昂貴，這里建議一般高校使用技術(shù)更為成熟，使用更多的三層網(wǎng)絡(luò)架構(gòu)。4.1校園網(wǎng)絡(luò)層級(jí)架構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選用交換式的星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，是目前使用最多、最為普遍的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)，分為三級(jí)結(jié)構(gòu)，如圖所示。 第一層為核心層，是整個(gè)校園網(wǎng)絡(luò)的中心節(jié)點(diǎn)，包含互聯(lián)網(wǎng)出口、防火墻（提供NAT和端口防護(hù)等功能）、核心交換機(jī)（負(fù)責(zé)整個(gè)園區(qū)的數(shù)據(jù)交換）、各類服務(wù)器。第二層為匯聚層，是管理整個(gè)樓宇的核心區(qū)域，包含樓宇的匯聚交換機(jī)，管理間的相關(guān)設(shè)施，以及樓宇內(nèi)的水平和垂直走線，樓宇和核心層的互聯(lián)。第三層為接入層，樓宇內(nèi)的接入交換機(jī)，管理著各個(gè)樓層的房間節(jié)點(diǎn)，為三級(jí)節(jié)點(diǎn)，指房間內(nèi)的信息面板到接入交換機(jī)的區(qū)域。4.2虛擬局域網(wǎng)VLAN技術(shù)VLAN（虛擬局域網(wǎng)）通過(guò)為子網(wǎng)提供數(shù)據(jù)鏈路連接來(lái)抽象出局域網(wǎng)（LAN）的概念。一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)可以支持多個(gè)獨(dú)立的VLAN，從而創(chuàng)建子網(wǎng)的第2層（數(shù)據(jù)鏈路）實(shí)現(xiàn)。VLAN與廣播域相關(guān)聯(lián)。它通常由一個(gè)或多個(gè)以太網(wǎng)交換機(jī)組成。VLAN使網(wǎng)絡(luò)管理員可以輕松劃分單個(gè)交換網(wǎng)絡(luò)，以滿足其系統(tǒng)的功能和安全要求，而無(wú)需運(yùn)行新電纜或?qū)ζ洚?dāng)前網(wǎng)絡(luò)基礎(chǔ)架構(gòu)進(jìn)行重大更改。端口交換機(jī)上的（接口）可以分配給一個(gè)或多個(gè)VLAN，從而可以將系統(tǒng)劃分為邏輯組，基于與之關(guān)聯(lián)的部門(mén)，并建立有關(guān)如何允許單獨(dú)組中的系統(tǒng)與每個(gè)系統(tǒng)進(jìn)行通信的規(guī)則，這些組的范圍可以從簡(jiǎn)單實(shí)用到復(fù)雜和合法。使用VLAN具有以下優(yōu)點(diǎn)：1）抑制廣播風(fēng)暴通過(guò)劃分VLAN可隔離廣播域，使廣播在有限的區(qū)域內(nèi)傳播。2）提高用戶訪問(wèn)安全性可以按照不同的部門(mén)，設(shè)置對(duì)應(yīng)的訪問(wèn)權(quán)限。3）網(wǎng)絡(luò)管理簡(jiǎn)單、直觀可在一個(gè)區(qū)域管理網(wǎng)內(nèi)所有計(jì)算機(jī)，無(wú)需改變物理架構(gòu)，節(jié)省建網(wǎng)費(fèi)用，提高管理效率。按照上述介紹，劃分VLAN目的就是，提高網(wǎng)絡(luò)的質(zhì)量，做到安全可控，提升管理效率等。第五章網(wǎng)絡(luò)應(yīng)用系統(tǒng)及用戶終端安全的設(shè)計(jì)方案校園網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的建設(shè)根本目的是為了用戶能夠更好的訪問(wèn)各個(gè)應(yīng)用系統(tǒng)及各類網(wǎng)絡(luò)，那么高校應(yīng)該建立哪些應(yīng)用系統(tǒng)來(lái)滿足師生的需求，這些應(yīng)用系統(tǒng)如何能夠在一個(gè)平臺(tái)下運(yùn)行，怎么才能保證用戶安全的訪問(wèn)校園網(wǎng)絡(luò)應(yīng)用系統(tǒng)？下面按照三個(gè)方面來(lái)逐一解答，并且設(shè)計(jì)完善的解決方案。5.1高校應(yīng)用系統(tǒng)的分析各種應(yīng)用系統(tǒng)涵蓋教學(xué)、科研、管理與服務(wù)并表示最終的校園信息服務(wù)。根據(jù)用戶角色和用途的不同，可分為八個(gè)系統(tǒng)。主要包括：綜合服務(wù)系統(tǒng)、移動(dòng)門(mén)戶系統(tǒng)、科研管理系統(tǒng)、人力資源管理系統(tǒng)、學(xué)術(shù)管理系統(tǒng)、助教系統(tǒng)、再生分析分析系統(tǒng)、支持系統(tǒng)。按具體功能分類：基地平臺(tái)、統(tǒng)一信息集成系統(tǒng)、移動(dòng)門(mén)戶系統(tǒng)、科研管理系統(tǒng)、會(huì)議管理系統(tǒng)、檔案資源生成系統(tǒng)、校情展示與支持系統(tǒng)、決策、OA辦公系統(tǒng)、內(nèi)控管理系統(tǒng)和人力資源管理系統(tǒng)、學(xué)術(shù)管理系統(tǒng)、酒店管理系統(tǒng)、實(shí)驗(yàn)管理系統(tǒng)、教育管理系統(tǒng)、研究生管理系統(tǒng)、媒體管理系統(tǒng)教學(xué)、互動(dòng)教學(xué)系統(tǒng)、在線考試系統(tǒng)、教學(xué)質(zhì)量管理系統(tǒng)、社區(qū)管理系統(tǒng)、大數(shù)據(jù)分析系統(tǒng)。門(mén)戶系統(tǒng)是一個(gè)集成信息的環(huán)境。它可以結(jié)合分布式和異構(gòu)的應(yīng)用程序和資源。使用相同的訪問(wèn)門(mén)戶允許使用結(jié)構(gòu)化數(shù)據(jù)資源非結(jié)構(gòu)化文檔和互聯(lián)網(wǎng)資源包括各種應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)和跨平臺(tái)的無(wú)縫訪問(wèn)和集成提供了一個(gè)支持?jǐn)?shù)據(jù)訪問(wèn)、傳輸和互操作的集成環(huán)境。并使他們能夠有效地開(kāi)發(fā)、集成、供應(yīng)和管理個(gè)人業(yè)務(wù)應(yīng)用程序。并根據(jù)每個(gè)用戶的特點(diǎn)不同的喜好和角色可定制的安全通道以及為特定用戶提供訪問(wèn)關(guān)鍵業(yè)務(wù)信息的個(gè)性化應(yīng)用界面，以便教師、學(xué)生和員工可以找到相關(guān)信息并處理相關(guān)交易。使用高校門(mén)戶可以很好的解決“數(shù)據(jù)孤島”的問(wèn)題。同時(shí)大學(xué)門(mén)戶功能，例如“單點(diǎn)登錄”、“個(gè)人頁(yè)面”、“信息”、“搜索”和“導(dǎo)航”可能是有效的。方便游客需要的信息學(xué)術(shù)研究管理系統(tǒng)旨在統(tǒng)計(jì)學(xué)術(shù)研究成果、獎(jiǎng)項(xiàng)、工作量和其他教職員工數(shù)據(jù)，以便可以使用教職員工津貼的統(tǒng)計(jì)數(shù)據(jù)。數(shù)據(jù)分析等?？蒲泄芾硐到y(tǒng)的功能見(jiàn)表。人事管理主要為教工信息管理、部門(mén)管理、教師檔案管理、社保管理、師資培訓(xùn)管理等。便于人事部對(duì)教工的管理。人事管理系統(tǒng)功能表見(jiàn)所示。學(xué)生勞動(dòng)力管理系統(tǒng)涵蓋了學(xué)校學(xué)生活動(dòng)的方方面面。包括學(xué)校狀態(tài)管理等功能模塊心理健康管理規(guī)則和規(guī)則管理兼職勞務(wù)管理獎(jiǎng)學(xué)金管理學(xué)生資助管理該系統(tǒng)是一個(gè)基于瀏覽器的程序，使用校園網(wǎng)/互聯(lián)網(wǎng)，無(wú)縫連接到智慧校園平臺(tái)。該系統(tǒng)涵蓋了課程管理的整個(gè)業(yè)務(wù)。支持高校標(biāo)準(zhǔn)化課程管理工作流程。實(shí)現(xiàn)在線業(yè)務(wù)處理并為學(xué)生秘書(shū)處的教師、學(xué)生、教師和顧問(wèn)提供一致的在線辦公服務(wù)平臺(tái)各機(jī)構(gòu)等，以便各部門(mén)之間進(jìn)行信息交流和合作。有效學(xué)生數(shù)據(jù)的統(tǒng)計(jì)評(píng)估以學(xué)生管理系統(tǒng)的形式呈現(xiàn)：學(xué)業(yè)管理系統(tǒng)通過(guò)提供學(xué)籍管理等多種服務(wù)，幫助學(xué)校和教師了解學(xué)生在校情況。心理健康管理規(guī)則和規(guī)則管理兼職工作管理獎(jiǎng)學(xué)金管理學(xué)生援助管理和管理學(xué)生作業(yè)：使用大數(shù)據(jù)分析記錄學(xué)生在校學(xué)習(xí)和生活狀況。并根據(jù)各方面的信息在學(xué)校之間進(jìn)行全面的學(xué)生評(píng)估。節(jié)省學(xué)生管理費(fèi)用。5.2多平臺(tái)的一體化，實(shí)現(xiàn)數(shù)字化（智能）校園的本質(zhì)在校園網(wǎng)上搭建三個(gè)基礎(chǔ)的校園智能平臺(tái)：一個(gè)集中的數(shù)據(jù)門(mén)戶平臺(tái)；集中認(rèn)證平臺(tái)和開(kāi)放的數(shù)據(jù)共享中心它使用三個(gè)主要平臺(tái)來(lái)實(shí)現(xiàn)各種業(yè)務(wù)系統(tǒng)的單點(diǎn)登錄數(shù)據(jù)交換。并使用一致的業(yè)務(wù)數(shù)據(jù)標(biāo)準(zhǔn)將校園內(nèi)的遺留業(yè)務(wù)系統(tǒng)連接到門(mén)戶系統(tǒng)。統(tǒng)一信息門(mén)戶平臺(tái)：統(tǒng)一信息門(mén)戶平臺(tái)是學(xué)校面向教師、學(xué)生等用戶的綜合服務(wù)平臺(tái)的唯一入口。為教師、學(xué)生等用戶提供單一來(lái)源的數(shù)據(jù)服務(wù)和個(gè)性化應(yīng)用，是全校應(yīng)用管理平臺(tái)和生態(tài)建設(shè)的主要支撐工具。應(yīng)用管理平臺(tái)通過(guò)監(jiān)控平臺(tái)上所有應(yīng)用的運(yùn)行狀態(tài)，實(shí)現(xiàn)用戶行為分析，提高應(yīng)用服務(wù)質(zhì)量。訪問(wèn)狀態(tài)平均應(yīng)用中斷時(shí)間和使用率統(tǒng)一身份認(rèn)證平臺(tái)：作為網(wǎng)絡(luò)授權(quán)和訪問(wèn)控制中心，智慧校園提供統(tǒng)一的用戶管理。認(rèn)證服務(wù)并為所有學(xué)校應(yīng)用系統(tǒng)和底層平臺(tái)設(shè)置權(quán)限。并實(shí)現(xiàn)所有人的單點(diǎn)登錄（SingleSignOn，sso），使用戶能夠訪問(wèn)任務(wù)。更便捷、更可靠的學(xué)校申請(qǐng)系統(tǒng)開(kāi)放數(shù)據(jù)共享中心平臺(tái)：作為智慧校園數(shù)據(jù)服務(wù)支撐中心，是集數(shù)據(jù)標(biāo)準(zhǔn)化、數(shù)據(jù)采集、存儲(chǔ)于一體的綜合數(shù)據(jù)管理平臺(tái)。以及整個(gè)醫(yī)院的信息共享服務(wù)。實(shí)現(xiàn)各種應(yīng)用系統(tǒng)的集成以及系統(tǒng)之間的信息交換消除數(shù)據(jù)孤島并為學(xué)校宏觀決策分析提供數(shù)據(jù)支持。利用虛擬化技術(shù)整合服務(wù)資源。網(wǎng)絡(luò)資源和存儲(chǔ)資源合二為一高速建立虛擬資源池。高可用性和靈活訪問(wèn)將現(xiàn)有服務(wù)器部署到云中的每個(gè)單元。部署云數(shù)據(jù)管理系統(tǒng)，將虛擬資源池升級(jí)為單一云數(shù)據(jù)平臺(tái)。如果每個(gè)單位或個(gè)人用戶都需要一個(gè)服務(wù)資源處理資源或云數(shù)據(jù)平臺(tái)完成后的存儲(chǔ)資源。他們所要做的就是申請(qǐng)學(xué)校。和批準(zhǔn)后他們將不必要地分配不同的資源。單獨(dú)購(gòu)買(mǎi)服務(wù)器和存儲(chǔ)以及節(jié)省學(xué)費(fèi)的計(jì)算單位。運(yùn)營(yíng)和維護(hù)成本提高學(xué)校資源的使用效率。云數(shù)據(jù)平臺(tái)架構(gòu)如圖所示。5.3搭建各類防護(hù)系統(tǒng)，防止不法分子侵入網(wǎng)絡(luò)隨著網(wǎng)絡(luò)的飛速發(fā)展，人們的生活方式也發(fā)生了極大的變化，通過(guò)網(wǎng)絡(luò)可以傳遞辦公文件、下載有用的資源、通過(guò)網(wǎng)絡(luò)購(gòu)買(mǎi)商品、上傳自己的各類資料，高校網(wǎng)絡(luò)也離不開(kāi)這些需求，現(xiàn)在很多不法分子盯上了在網(wǎng)絡(luò)中的各類人群，通過(guò)黑客技術(shù)，例如密碼破譯、ARP攻擊、SEQ注入、掛馬等方式攻擊用戶的網(wǎng)絡(luò)，侵害用戶的正當(dāng)權(quán)益。對(duì)于DMZ（服務(wù)器）區(qū)的防護(hù)對(duì)于校園網(wǎng)來(lái)說(shuō)至關(guān)重要，業(yè)務(wù)WEB服務(wù)器前端部署專業(yè)的WEB應(yīng)用防火墻（WAF），保護(hù)Web應(yīng)用程序服務(wù)和Web內(nèi)容。防止網(wǎng)站攻擊和欺騙行為了解跨站反攻擊網(wǎng)站的防SQL注入、防黑客入侵和防欺騙功能，有效控制網(wǎng)站的服務(wù)器系統(tǒng)和網(wǎng)絡(luò)。內(nèi)容進(jìn)行安全保護(hù)。在應(yīng)用程序和業(yè)務(wù)邏輯級(jí)別解決真正的網(wǎng)站安全問(wèn)題。使用HTTP協(xié)議檢查、Web屬性庫(kù)（符合OWASP）、爬蟲(chóng)規(guī)則。反吸規(guī)則跨站點(diǎn)請(qǐng)求規(guī)則、文件、上傳/下載數(shù)據(jù)和敏感度。檢測(cè)弱密碼和其他細(xì)粒度的檢測(cè)和保護(hù)?；谟脩粜袨橹悄軝z測(cè)的動(dòng)態(tài)保護(hù)機(jī)制，通過(guò)HTTP協(xié)議保護(hù)，全面檢測(cè)和阻斷黑客攻擊行為SSL加密會(huì)話支持解析用戶真實(shí)IP地址通過(guò)代理服務(wù)器訪問(wèn)，支持X-Real-IP或X-Forwarded-For字段值。用作實(shí)際的源IP地址。它也支持自定義字段名稱。配置Web漏洞掃描模塊，支持SQL注入、跨站腳本、目錄遍歷等各種WEB應(yīng)用的安全掃描和漏洞檢測(cè)，并導(dǎo)出Web漏洞掃描報(bào)告。網(wǎng)站作為機(jī)構(gòu)對(duì)外的服務(wù)窗口，面向互聯(lián)網(wǎng)公眾提供信息發(fā)布服務(wù)和業(yè)務(wù)交互服務(wù)。因此必須對(duì)網(wǎng)站內(nèi)容信息的寫(xiě)權(quán)限進(jìn)行嚴(yán)格控制，保證非授權(quán)的人員不能夠篡改網(wǎng)頁(yè)內(nèi)容信息和網(wǎng)站配置信息。建議在web服務(wù)器上部署網(wǎng)頁(yè)防篡改，通過(guò)文件底層驅(qū)動(dòng)技術(shù)對(duì)Web站點(diǎn)目錄提供全方位的保護(hù)，防止黑客、病毒等對(duì)目錄中的網(wǎng)頁(yè)、電子文檔、圖片、數(shù)據(jù)庫(kù)等任何類型的文件進(jìn)行非法篡改和破壞，同時(shí)不影響網(wǎng)絡(luò)用戶瀏覽網(wǎng)站內(nèi)容。如圖搭建了訪問(wèn)DMZ區(qū)的網(wǎng)關(guān)。2.4網(wǎng)絡(luò)安全管理制度體系的完善網(wǎng)絡(luò)安全管理系統(tǒng)是網(wǎng)絡(luò)安全的重要組成部分。許多校園網(wǎng)絡(luò)專注于建設(shè)而不是管理。實(shí)踐表明，不完善的安全管理體系是造成網(wǎng)絡(luò)風(fēng)險(xiǎn)的主要原因之一。許多普通高校也在建立網(wǎng)絡(luò)安全體系的“發(fā)展歷程”在這個(gè)階段校園網(wǎng)的安全管理往往不規(guī)范，首先是由于實(shí)時(shí)監(jiān)控系統(tǒng)和缺乏安全警報(bào)和行動(dòng)計(jì)劃。因此，網(wǎng)絡(luò)管理員無(wú)法及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞。有效的安全保護(hù)并耐心解決問(wèn)題，出現(xiàn)問(wèn)題后無(wú)從下手，甚至不能在第一時(shí)間找到適當(dāng)?shù)呢?fù)責(zé)人指揮解決問(wèn)題：第二，缺乏校園信息化工作領(lǐng)導(dǎo)小組/信息化安全工作領(lǐng)導(dǎo)小組這樣的管理機(jī)構(gòu)，信息化建設(shè)和安全管理不能做到“四有”即有序、有組織、有牽頭人、有智囊團(tuán)，各有關(guān)部門(mén)往往各司其職，很難做到意見(jiàn)統(tǒng)一，處理得當(dāng)。第三，機(jī)房、設(shè)備、系統(tǒng)的操作使用規(guī)程不清晰，進(jìn)出機(jī)房缺乏實(shí)名登記，設(shè)備操作記錄不完善，系統(tǒng)使用權(quán)限劃分不清晰。第四，缺乏核心數(shù)據(jù)管理辦法，不能做到專人專管專責(zé)，導(dǎo)致數(shù)據(jù)在日常使用、保管、導(dǎo)入導(dǎo)出時(shí)出現(xiàn)人人可經(jīng)手，人人不負(fù)責(zé)，數(shù)據(jù)被篡改、被盜用，甚至丟失，出現(xiàn)上述問(wèn)題不能第一時(shí)間問(wèn)責(zé)、追回。第五，缺乏針對(duì)用戶的網(wǎng)絡(luò)管理制度，網(wǎng)絡(luò)用戶安全意識(shí)淡薄，校園網(wǎng)上的接入終端存在空口令或簡(jiǎn)易口令，有些個(gè)人計(jì)算機(jī)系統(tǒng)“漏洞百出”，既不安裝防火墻又不安裝（或更新）殺毒軟件：網(wǎng)絡(luò)IP地址盜用；專用網(wǎng)與公網(wǎng)混用等等?？傊惶淄晟频男@網(wǎng)絡(luò)管理制度是確保網(wǎng)絡(luò)正常運(yùn)行的必備組成部分，下面我按照網(wǎng)絡(luò)體系架構(gòu)層級(jí)，分析并制定出網(wǎng)絡(luò)管理制度的各個(gè)組成部分。校園網(wǎng)絡(luò)按照管理層級(jí)，可分為國(guó)家層、單位頂層、C1O（網(wǎng)絡(luò)管理者）層、設(shè)備運(yùn)行層、用戶終端層。國(guó)家層為國(guó)家制定的各項(xiàng)信息網(wǎng)絡(luò)的規(guī)章制度，單位和個(gè)人必須無(wú)條件的按此要求執(zhí)行，或者據(jù)此來(lái)制定適合本單位的各項(xiàng)管理制度。單位頂層為制定各項(xiàng)制度及信息化建設(shè)的核心管理機(jī)構(gòu)，當(dāng)前信息網(wǎng)絡(luò)是各個(gè)行業(yè)的重要組成部分，網(wǎng)絡(luò)的規(guī)劃和建設(shè)是否得當(dāng)是保證行業(yè)業(yè)務(wù)正常開(kāi)展的前提，再者信息安全是關(guān)乎到企事業(yè)單位甚至是國(guó)家穩(wěn)定的，對(duì)于信息安全高危行業(yè)大學(xué)來(lái)說(shuō)更是重中之重，所以高校應(yīng)成立由書(shū)記、校長(zhǎng)牽頭負(fù)責(zé)的信息化工作領(lǐng)導(dǎo)小組。網(wǎng)絡(luò)中心層為校園網(wǎng)絡(luò)制度體系最為龐大的層面，制度由學(xué)校信息化工作小組制定，具體管理者是信息網(wǎng)絡(luò)的具體管理者和直接責(zé)任人，通過(guò)該層需制定信息中心的管理職責(zé)，各個(gè)基本的校園網(wǎng)絡(luò)管理制度的研究和制定。結(jié)語(yǔ)本論文重點(diǎn)考慮了整體安全建設(shè)規(guī)劃，保障學(xué)校的數(shù)據(jù)安全性。通過(guò)信息化提高學(xué)校的建設(shè)水平，為學(xué)?？蒲小⒔虒W(xué)等方面提供了技術(shù)支撐，同時(shí)又保障各項(xiàng)數(shù)據(jù)的安全。同時(shí)能夠?qū)χ攸c(diǎn)人群的預(yù)警和監(jiān)控，保障學(xué)校突發(fā)事件的產(chǎn)生。網(wǎng)絡(luò)安全是國(guó)家重視而且也在大力推動(dòng)的事情，本項(xiàng)目中信息安全等級(jí)保護(hù)建設(shè)，是國(guó)家的基本制度，是今年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》提出的重點(diǎn)，現(xiàn)在的網(wǎng)絡(luò)安全建設(shè)有嚴(yán)格的法律要求。本項(xiàng)目也能夠體現(xiàn)學(xué)校積極響應(yīng)號(hào)召，做好網(wǎng)絡(luò)安全建設(shè)，保障學(xué)校師生數(shù)據(jù)安全。并在一定程度上提高安