安全网络建设精选(十四篇)

序言：作为思想的载体和知识的探索者，写作是一种独特的艺术，我们为您准备了不同风格的14篇安全网络建设，期待它们能激发您的灵感。

篇1

集聚区成立绿色产业集聚区食品安全基层责任网络建设领导小组，由区食安委主任担任领导小组组长，副主任担任副组长，各成员和各街道食安委主任为领导小组成员。领导小组下设办公室，办公室设在工商分局。区食品安全基层责任网络建设领导小组及其办公室负责统筹协调全区食品安全基层责任网络建设工作。各街道要按照《通知》要求，统一负责当地食品安全基层责任网络建设工作，明确工作任务，细化工作措施，确定时间进度，确保如期、扎实推进各项工作。

二、强化工作措施

（一）在各街道办事处设立食品安全委员会，由街道办事处主要负责人担任主任，街道办事处分管负责人担任副主任，街道辖区内农技、兽医、林技、水利、公安、综合执法、卫生监督等站（所、员）以及中心学校、卫生院等单位主要负责人为成员。食品安全委员会下设办公室（以下简称“食安办”），食安办设在街道办事处有关内设机构，由街道办事处分管负责人兼任主任，食品安全管理专（兼）职负责人和本辖区市场监督管理机构、农产品质量安全监管机构负责人担任副主任。

（二）常住人口规模达2万人以上或常住人口规模未达2万人但食品安全监管任务繁重的街道，必须配备1名或以上食安办专职人员；常住人口规模在2万人以下的街道，配备1名或以上食安办专职或兼职人员。

（三）为进一步整合、优化资源，各地在开展食品安全基层责任网络建设中，可依托街道综治网格，将食品安全管理要求纳入综治网格管理内容实行同网格管理，并与综治工作一起同研究、同部署、同落实。同时，在食品安全监管任务相对繁重的街道社区及中心乡镇所在地社区（行政村）统一聘设1名食品安全专职协管员，专职协管员聘用由街道办事处统一负责，其管理、考核由街道食安办会同社区居委会（村委会）负责，其工作报酬由集聚区财政负担。在其他行政村（社区）可聘设兼职协管员，兼职协管员工作报酬由集聚区根据工作实际统筹解决。

（四）明确工作职责。按照属地管理原则，乡镇（街道）将食品安全工作列为重要职责，切实做好食品安全隐患排查、信息报告、协助执法、宣传教育和统筹协调等工作，主要职责是：负责本辖区食品安全综合协调，组织贯彻落实上级决策部署，分析形势，研究部署本区域食品安全工作；建立健全食品安全工作机制，组织力量协助监管部门开展食品生产经营各环节安全巡查和隐患排查；制订本辖区食品安全网格化管理方案并组织实施；统筹规划本地食品摊贩经营场所，协助开展日常管理；建立责任网格内食品生产经营者数据库，并上报相关信息；针对存在问题和上级部署，及时开展专项整治，组织或配合县级食品安全监管部门查处辖区内无证生产经营、制假售假食品违法行为，建立健全各项长效监管机制；负责推荐、管理、培训辖区内各行政村（社区）协管员、信息员，明确其工作职责、考核办法等事项；做好民间厨师登记备案、农村家宴申报备案和管理工作，预防群体性食品安全事件发生，及时上报并协助处理食品安全事故；协助开展食品安全风险监测样品采集和食源性疾病调查；受理群众食品安全举报投诉，并按照职责权限及时处理；开展食品安全宣传教育工作。

行政村（社区）网格化管理的重点是：建立定期巡查、检查制度，协助乡镇（街道）食安办及上级食品安全监管部门做好责任网格内食品生产加工经营单位的日常管理；建立健全食品安全网格化管理信息上报程序，及时上报、反馈食品安全管理信息；参加乡镇（街道）及各级食品安全监管部门组织的食品安全知识等培训，熟悉食品安全监管的有关政策、法律、法规和相关知识；开展食品安全法律法规及科普知识宣传；协助开展食品安全风险监测样品采集和食源性疾病调查；协助做好食品安全突发事件应急处置工作，网格内发生食品安全事故或突发事件，按照规定程序和时限及时上报，不擅自对外信息。

（五）切实加强基层责任网络各层级人员的食品安全监管业务知识培训。由市食安办牵头，会同相关监管部门每年定期组织乡镇（街道）食安办工作人员及社区专职协管员开展一次食品安全监管业务知识培训，教育普及食品安全法律法规和监管知识，并进行培训效果考核，对考核不合格人员，提交街道办事处予以撤换。由街道食安办牵头，会同相关部门每年定期组织所属行政村（社区）的兼职协管员以及本街道驻联行政村（社区）干部开展一次食品安全监管业务知识培训。

（六）为保障基层责任网络各层级人员依法行使食品安全监督检查职权，由区食安办会同当地市场监管、农业、林业、水利等部门联合公布行政村（社区）协管员名单，在《意见》框架下明确赋予协管员开展食品安全日常检查、工作普查、隐患排查、督促指导和临时性应急处置等非行政执法类工作职权，并统一配发食品（农产品）安全协管证件。对无正当理由拒绝协管人员检查的相关单位，由食品安全监管部门加强日常执法检查，防止出现监管盲区。

（七）各地要积极探索创新，建立健全工作机制，切实发挥好食品安全基层责任网络的作用。重点是要建立定期例会制度，加强基层协管人员与监管执法部门的工作会商；建立执法巡查协作制度，监管部门执法人员在开展执法检查活动中，要主动邀请当地协管员共同参与，做好传帮带；建立信息共享制度，搭建监管部门、乡镇（街道）食安办和协管员之间双向互通的信息通报交流平台，及时传递工作信息，提高工作效率；建立人动通报备案制度，各街道食安办工作人员、协管员要相对保持稳定，如确需变动，要及时通报上级食安办，并对新进人员及时进行培训考核；建立协管员年度考核制度，由街道食安办会同有关监管部门，每年一次对辖内协管员进行工作考评，考评不合格的应及时予以撤换或调整，切实督促协管员履行好职责。

篇2

关键词：信息技术；校园网络建设；安全管理；防范措施

随着计算机网络技术的快速发展与普及，网络已深入到各个行业以及日常生活中并起着关键性的作用，也极大的推动了校园网络的建设，成为了校园重要的基础设施。校园网络的建设对教学管理、科研管理等活动带来方便的同时校园网络也存在着安全隐患，导致计算机网络系统的崩溃，严重影响了校园网络的正常运行，为校园管理工作带来了大量的工作负担。为了保证校园网络的保密性与安全性，校园网络的运行管理与安全措施显得格外重要，不容忽视。

1 校园网络存在的安全隐患

1.1 系统自身存在的漏洞

自从微软推出Windows操作系统到至今的Vista系统的诞生，都存在着不可避免的，一直让人头疼的漏洞，而且校园使用的网络大部分都是Windows系统，系统本身存在着防火墙、服务器、IP协议等诸多方面的漏洞，随着用户的不断使用导致安全问题产生，为学校管理带来了诸多麻烦与负担。

1.2 计算机病毒严重入侵

随着网络的迅速发展，给学校带来方便的同时，也成为了计算机病毒传播的最快的捷径。病毒编制者水平的提高以及与黑客软件的结合，使网络病毒经常爆发，严重的情况下会破坏计算机的硬件和软件，致使机密数据外泄，使计算机运行缓慢、频繁死机不能正常运行，整个网络完全处于瘫痪的状态，对校园网络使用造成了严重的威胁。

1.3 自然灾害突然袭击

自然灾害带来的破坏与损失让人措手不及，防不胜防，主要的灾害有：地震、风暴、水灾和火灾等，还有环境带来的影响，如湿度、温度和污染等破坏。大部分的高校计算机机房都没有防水、防电、防火、避雷等防范措施，事故不断发生，没有抵御自然灾害的能力，设备损坏、数据丢失、信息外露的现象屡见不鲜。

1.4 内部与外部的攻击

攻击有两种方式，一个是来自互联网外部的攻击，一个是来自学校内部学生的攻击。学生是学校网络的活跃用户，对网络充满了好奇心，不断尝试各种玩法，在网上学到的以及自己研究的各种攻击方法企图去破解学校的各种信息。

2 校园网络安全隐患的成因

2.1 网络安全意识薄弱

学校管理人员以及教师对网络安全没有足够的重视，而大部分校园学生认为校园网络是集体系统，网络安全维护不是自己的责任，自然有相关的网络管理人员进行维护，防范意识淡薄、缺乏责任心。此外，除了计算机专业的教师与学生对计算机的结构框架有所了解外，大部分用户都不具备最基本的网络知识和网络安全抵御能力与防范意识，导致校园网络经常性遭受病毒入侵，影响正常运行。

2.2 盗版资源的干扰

互联网拓宽了人们的视野，丰富了人们的生活，但是无处不在的盗版成为了社会的隐患，多种网络资源都存在着盗版现象。盗版资源成为网络急需解决的问题，校园网络中的盗版软件、盗版资源的使用也非常普遍，随着用户的不断使用给系统留下了安全隐患，而且下载盗版软件时还隐藏着后门、木马等相关的代码，对校园系统产生了破坏性的攻击。

2.3 资金投入不足

高校校园把大部分的资金投入到购买硬件设备上，技术性的投入比例相对较大，而对于校园网络安全维护的投入相对较小。另外，普遍缺乏防范安全意识，只是简单安装设备，保证网络能够正常、安全运行就可以了，忽视了网络安全的维护，缺乏责任心，缺乏抵御外部与内部入侵的能力。因此，要在网络技术投入与安全措施上做到平衡，加强安全防御，使网络正常有序的运行。

3 校园网络安全管理措施

3.1 提高师生网络安全意识

高校内发生网络安全危机，多数是因为没有网络方面的安全知识，导致黑客入侵进行破坏，因此学校要加强网络安全防御意识，抵御来自校园网内外部的攻击。学校可以利用网络优势进行安全常识教育，例如校园广播，在学生休息或者上放学期间播放有关网络的一些常识。此外，还应开设网络安全课程，如《信息安全技术》、《计算机网络》、《网络安全与管理技术》等，使学生掌握基本网络知识，不轻易使用盗版软件、不随便浏览诚信度低的网站，养成文明上网的好习惯，提高网络安全意识和辨别能力。

3.2 引进网络管理人才

高校校园网络的不断普及和发展，校园网上的相关数据、信息、资料越来越多，越来越重要，同时校园网络的攻击、资源的盗用也越来越严重，因此，加强网络技术人员和网络用户对网络技术与安全使用尤为重要。学校应该引进网络安全管理的优秀人才，形成网络安全管理队伍，或者学校也可以派出本校优秀的计算机网络管理人才参加网络安全管理培训，或者不定期的聘请专业的网络管理专家进入校园讲授网络技术相关知识，通过“引进来和走出去”的方式来提高网络人员的专业素质和管理能力。

3.3 加强防火墙技术

防火墙是实现校园网络安全的一个有效的方法，它使互联网与内部网建立了一个安全网关，保护内部网免受非法用户的强烈入侵。为了防止内部网络发起对外攻击，要在防火墙上建立计算机的IP和MAC地址，如果两个地址不是一一对应的一律禁止，还要定期查看防火墙的访问日志以及时发现是否有攻击行为，提高防火墙的安全管理性，减少给校园网络带来的安全隐患。

4 结语

校园网络安全与技术管理问题是一个复杂的系统工程，校园网络对此要进行全方位的防范，因此，提高校园网络是一个非常迫切和具有挑战性的任务，要将技术和管理相结合，建立一个安全的校园网。虽然网络存在着各种安全威胁，但在校园建设中起着灵活、快捷的作用。总而言之，在利用校园网络的同时，要不断的加强校园网络建设，完善校园网络管理制度，建立坚固的校园网络安全防线，建立一个安全、绿色的校园网络环境。

[参考文献]

[1]牛晓旺.校园网络安全问题及维护方案[J].办公业务，2013（8）.

篇3

高校网络建设信息安全

随着现代社会科技水平的逐步提升，网络资源在社会发展中的应用范围逐步扩大，高校网络建设是现代教育结构体系中不可或缺的一部分，也是我国网络建设系统的重点建设区域，一方面，高校网络建设要做好网络资源的综合开发，为高校网络建设的发展提供技术支持；另一方面，高校网络建设也要加强UI安全管理，保障网络信息的整体应用安全性，为现代网络技术在我国教育领域的拓展应用提供保障。

一、高校网络建设中信息安全管理的作用

1、高校网络结构的完善

高校网络建设是高校软件建设中的一部分，是我国教育结构逐步优化发展的主要结构形式，加大高校网络建设中的信息安全治理，是高校网络建设结构逐步拓展与优化的发展新途径，实现了高校网络建设结构体系内部结构之间合理性对接，进一步拓展现代高校网络资源的综合完善性发展，为我国教育事业的完善提供了更加安全可靠的技术保障。

2、高校网络信息的畅通

高校网络建设是现代高校获取教育教学资源的重要途径，加强校园网络安全治理，实施网络系统内部及时更新，网络信息资源安全应用，制定合理有序的校园网络管理制度，保障校园网络应用的信息畅通性，同时也可以提高高校内部信息资源的安全管理，最大限度的发挥网络在现代高校教育中发挥的辅助优势，促进现代教育资源的管理结构逐步紧凑发展。

3、高校信息系统的良性循环

此外，高校信息系y的信息安全治理也是实现高校网络资源良性循环的必要保障。一方面，现代化教育形式的开展注重，依托计算机网络平台作为主要的技术载体，其中包括教师的教学课件，研究成果以及校园日常工作的管理等部分，加强网络安全治理，降低校园网络受到其他网络的干扰，保障校园工作的顺利实施；另一方面，高校学生是校园网络应用的主体，加强高校网络建设的信息安全管理，能够为学生建立良好的网络应用环境，实现大现代学生网络应用的正确引导，实现现代高校网络建设中的信息系统的良性循环。

二、高校网络建设中信息安全治理的途径

1、做好网络信息安全的宣传

高校网络建设是现代高校建设中不可缺少的一部分，提升高校网络建设的治理，逐步开拓现代高校网络建设安全管理的途径。高校网络安全信息管理不仅注重安全信息治理的技术措施，同时也要做好现代网络安全资源的理念引导，例如：某高校为了提升高校网络建设中的信息安全治理，积极做好高校网络安全管理工作的宣传，为高校大学生对网络信息安全管理得到正确的思想引导，从而为现代高校网络建设中的信息安全治理工作的开展奠定了良好的基础，推进我国网络信息安全治理子在高校信息应用的综合性引导。

另一方面，高校网络信息安全治理工作的制度管理与综合性融合，也要开展网络信息系统的管理制度，例如：某高校为了实现网络建设信息安全治理工作的进一步开展，积极组织学生进行校园网络信息系统开发大赛，善于发挥高校大学计算机系统开发与应用的创新研发能力，同时也为高校网络建设信息信息管理工作的进一步开展提供了源源不断的技术支持，高校充分应用现代校园网络信息安全治理这一实际环境，灵活应用，促进现代高校学生的发展。

2、网络传输地址独立管理

高校网络信息安全治理，做好网络传输地址的独立化管理。现代网络信息传输的建立，是依托以太网为基础，在同一网络地址的基础上，分为多个子系统，从而逐步构建网络传输结构，高校网络建设中的信息安全治理的进一步开展，高校可以在基础网络建设的基础上，实施网络传输IP地址的创新改革，最终确定完善的信息网络安全结构。例如：某高校为了提升校园网络信息安全管理，在现代社会网络传输的基础上，采用数据模拟信号建立校园IP地址的综合保护，数字模拟信号可以保护校园网络安全传输，避免外部对网络内部数据传输的盗取，即使网络校园网络信息受到病毒干扰，IP地址的安全网络也会及时对网络信息进行数据保护，最大化降低校园网络信息受到病毒侵害或者干扰。

3、高校网络信息安全系统升级

现代网络技术的发展为我国教育事业的发展提供了巨大的信息数据资源库，拓展现代高校网络的信息安全治理措施发挥安全管理作用，实现现代高校网络信息安全系统升级。一方面，高校安全管理系统数据管理系统结构可以定期进行系统内部资源的综合升级，保障高校网络信息安全系统能够对抗现代网络应用领域的信息病毒或者信息窃取问题；另一方面，高校网络信息安全系统融合计算机系统信息智能化管理，加强校园网络信息资源传输与应用的安全性。例如：某高校为了实现网络系统管理的信息安全管理发挥保护作用，实施高校网络信息系统登录安全管理，采用指纹登录和密码登录同时应用，教师或者学生应用校园网络数据库资源时，必须先登录信息数据库，确认信息资源传输环境安全，计算机信息资源才能够登录，体现了现代高校网络信息安全治理系统升级。

4、网络治理的安全制度实施

高校网络信息安全治理工作的开展，也需要配合高校网络建设中信息安全管理制度，高校加强对校园网络信息传输管理，从高校管理实际出发，制定与高校实际情况相互吻合的网络安全治理制度。例如：网络安全操作系统，日常维护工作以及信息资源传输管理规定等，逐步引导现代高校网络建设中信息安全管理体系内部系统与外部保障系统的同步融合。

高校网络建设是现代网络结构逐步优化与完善的必然发展趋势，为我国教育事业的发展提供良好的教育结构发展趋势，同时，加强现代高校网络建设的安全管理，是实现网络信息传输与教育完美结合的必然要求，从而引导高校网络建设的科学发展。

参考文献：

[1]林浩.浅析高校网络与信息安全及其治理[J/OL].电脑知识与技术，2015（23）.

[2]王全民，陈智博，李华.信息安全防范视角下高校网络管理员队伍建设探究[J].西部素质教育，2016，01：27.

[3]谭辉军.浅谈高校图书馆的网络信息安全建设[J].中小企业管理与科技（中旬刊），2016，02：251-252.

篇4

关键词：民航 信息网络 系统安

一、民航信息网络系统安全问题分析

近年来，随着我国经济水平的不断提升，大幅度推动民航领域的发展，在这一背景下，民航的信息网络系统随之进入建设高峰期，该系统除与飞机的飞行安全有关之外，还与空防和运行安全有着极为密切的关联，一旦系统出现问题，轻则会影响民航的正常运营，严重时将会危及到飞机的飞行安全，极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障，致使机场的空管雷达无法提供正常的数据，直接导致70余架航班不能按时起落降，数千名乘客的出行受到影响；又如，某航空公司的电子客票系统被黑客入侵，导致多名乘客的机票信息泄露，媒体报道后，造成严重的社会影响，诸如此类事件不胜枚举。

通过对国内一些航空公司进行调查后发现，绝大部分都曾经发生过信息网络安全事件，在诱发安全事件的原因中，计算机病毒、木马、电脑蠕虫等所占的比例较大，约为70-80%左右，网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生，主要是因为民航信息网络系统的安全防护水平不高，给恶意入侵、黑客攻击提供了可能。鉴于此，必须从管理和技术两个方面着手，加强民航信息网络安全建设。

二、民航信息网络安全建设策略

为确保民航信息网络系统安全，必须建立起一套科学合理、切实可行的安全管理制度，并采取先进的技术措施，提高系统的安全等级。

（一）加强安全管理

1.构建完善的制度体系。民航信息网络系统的安全离不开管理，而想要使管理发挥出应有的成效，就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况，并总结以往的经验教训，量身定制安全计划和方案，如网络信息安全等级保护与分级保护、安全通报制度等等，确保所有的安全管理工作都能有制度可依。与此同时，还应不断加强对相关人员的管理，提高他们的安全意识，从根本上保证信息网络系统的安全性。

2.做好管理维护工作。民航信息网络系统是由诸多设备组成，想要保证系统的安全，就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点，即启动后不能随意关闭，因此，可从如下几个方面保证系统安全、稳定运行：①控制主机温度。可在信息网络系统建设时，为相关的硬件设施配备一套双机热备加磁盘阵列，这样能够确保网络信息系统的安全性，同时可以选用小型机作为民航运营数据库或是离港系统的服务器，该服务器采用的是分布式架构，其能够在确保安全的基础上，提高系统的可用性。②定期检查。民航信息网络系统中，有一些软件的可靠性相对较低，若是大量用户同时上线可能会导致系统死机的问题发生，通过定期的检查，能及时发现问题，并进行升级维护，由此不但能够提高系统运行效率，而且还能确保\行安全。

（二）安全技术措施

民航在进行信息网络系统安全建设的过程中，要采取合理可行的技术措施，为信息网络系统的安全保驾护航。

1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术，其能够通过对网络信息系统的审计数据、安全日志等进行检测，找出入侵以及入侵企图，这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控，进而采取相应的措施加以应对，从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统，运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测，发现并报告网络信息系统中的异常现象，对针对信息网络系统安全的行为做出及时有效地应对。

2.身份认证技术。该技术具体是对系统操作者身份的确认，其能够借助网络防火墙、安全网关等，对信息网络系统的用户身份权限进行管理，民航的信息网络系统一般只能对操作者的数字身份信息进行识别，而通过身份认证技术的应用，则可有效解决系统操作者物理与数字身份的对应问题，由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时，可以采用以下几种方式对系统操作者的身份进行认证：用户名+密码；用户基本信息验证，如证件号码、信用卡号等；特征识别，如视网膜、指纹、声音等。此外，还可以采用USB key，这样可以进一步提升系统的安全性能。

3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术，它能够有效防止各种机密数据被外部窃取、更改，对于信息安全具有极强的保证。具体应用时，可对一些重要的文件进行加密，这样即便有非法用户入侵到系统当中也无法查看加密文件的内容，加密后等于给文件上锁，其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来，可有效防止垃圾邮件。民航在信息网络系统安全建设时，可合理运用加密和数字签名技术，为各类重要信息提供安全保障。

4.网路防火墙。民航在进行信息网络安全建设时，应当选用高端的防火墙产品，除要具备防火墙的基本功能之外，还应兼具VPN网关功能，建议采用分组过滤式防火墙或是双穴网关防火墙，同时要考虑不同接入方式的适应性。需要注意的是，防火墙要选用正版的，并定期进行升级，这样才能使其作用得以最大限度地发挥。

三、结语

综上所述，民航信息网络安全的重要性不言而喻，因此，必须做好信息网络系统的安全建设工作，民航企业可以结合自身的实际情况，制定科学的管理制度，并采取先进的技术措施，提高系统的安全性，这样不但能减少或是杜绝各类安全事件的发生，而且还有利于促进我国民航事业的持续发展。

参考文献：

[1]余焰，余凯.以空管信息为核心，建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息，2015，（04）.

[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术，2015，（07）.

[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场，2014，（07）.

篇5

关键词：安全；信息化；规划

中图分类号：TP393　文献标识码：A

1　校园网安全运行现状与需求

1.1校园网安全建设现状分析

网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。随着高校的发展，用网人数的增加，校园网用户对信息与网络安全的要求也越来越高。大部分高校以往的网络建设，重点是“建设”，强调网络的覆盖范围，出口带宽，基础应用等，而对网络安全的关注度不够，往往是“想起一个建一个，需要一个建～个”，没有形成系统、全面、高效的网络安全体系。随着高校“信息化”建设的呼声越来越高，网络安全体系的建设也在逐步受到学校各级领导的重视。

1.2校园网安全体系建设需求

网络安全建设一直是各高校网络建设的难点和薄弱环节，一方面，技术管理手段的不全面以及管理机制的不完善制约了安全防范的力度；另一方面，校园网用户甚至是系统管理员的安全意识淡漠，以及学生用户网络行为的不确定性成为各高校网络安全工作的瓶颈。因此，网络中心需要通过采取一系列的网络安全措施、制定一系列的网络安全管理制度，在提高网络管理技术手段的同时，逐步增强用户的网络安全意识，构建稳定、安全、绿色的校园网。

2　网络安全体系建设规划

随着学校网络与信息化建设的逐步深入，网络安全问题、信息数据安全问题日益突出。建立一套网络安全体系，是各高校在信息化过程中的重要任务之一。

2.1校园网安全建设规划

根据各高校网络建设规划，结合现有的网络安全技术手段，应从以下几个方面做好校园网安全建设工作。

2.1.1加强网络设施安全建设

网络设施安全主要指网络设备、服务器等硬件设备的物理安全。某高校网络中心曾经发生过同批次多块硬盘损坏，机柜门被撬开。学生恶意偷用电源。光缆被挖断等安全事件，因此。在信息化的建设中，保证设备的物理安全尤为重要。

建立机房、设备间的防火、防盗、监控和报警方案：

对一些关键设备。系统和链路，应设置冗余备份系统，避免网络设备因天灾或人为因素对网络造成的影响。

2.1.2终端安全防范措施

随着各高校网络覆盖范围的逐步增加，用网人数不断增多(如某高校校园网同时在线用户已经达到4500人)，用户终端的安全问题成为校园网内网安全的主要问题之一。由于用网人员的计算机水平参差不齐，以及学生用户网络行为的不可控性，给网络安全带来了很大的隐患，因此需要从以下几个方面完善终端安全防范措施：

提供并推广可供全校师生员工使用的网络版杀毒软件，以及校内WSUS服务，逐步建立“没有杀毒软件”、“不打系统补丁”不上网的安全意识；

对校内突发的终端安全事故进行监控，及时提供必要的专杀工具、漏洞补丁：

提高技术人员的技术水平，采取相应的检测手段，利用先进的仪器设备，减少用户端安全事故的排查和定位时间。

2.1.3应用服务器安全措施

应用服务器是数字化校园的基础，是各个业务系统的载体，所以它的安全是至关重要的，因此，系统管理员的技术手段和安全意识在服务器的安全管理中起到至关重要的作用。

制定相关技术文档，规范应用服务器上线前的安全检查，督促管理员使用正版操作系统、安装杀毒软件、防火墙、自动更新等，并且定期扫描系统漏洞，更改系统密码。保证操作系统安全；

建立完善可靠的容灾恢复方案，对关键服务器采用双机热备方式，并且提供可靠的数据备份系统，如采用RAID技术以及利用磁带备份数据，确保事故发生时业务数据不丢失，系统能够快速恢复；

建立授权控制体系，对不同管理员设定不同的系统、数据库管理权限：

完善访问日志分析系统，定期对日志进行整理和分析，制定相应的安全策略。

2.1.4网络出口及边界安全

目前高校网络出口及边界设备主要分为路由器。防火墙、VPN等三类设备，网络出口及边界的安全主要包括配置合理、全面的安全策略，以及如何提高安全响应速度和快速、准确地定位攻击来源。针对这些方面，需要在出口及边界设备的管理中做到以下几点：

建立密码维护制度。定期更换设备Telnet、SSH登录密码以及SNMP共同体名；

>制定详细的ACL策略，限制登录设备的IP地址；

采取NAT机制。在保证校内用户正常上网的同时，继续优化8812路由器的安全功能；

启用防火墙的防病毒功能，在源头阻断病毒入侵；

合理规划SSL VPN的用户权限；

建立IDS+IPS的联动机制。完善网络监控与入侵防范；

建立出入双向的访问日志系统。

2.1.5应用分析控制技术的应用

在网络安全管理中，网络流量、网络应用的分析至关重要，网络管理人员需要明确地知道网络中有哪些网络应用，各种应用在网络中所占的带宽以及是否存在不良应用，如图1。

随着上网人数的增多，网络出口不可避免地出现拥堵现象，因此，需要进一步对网络应用进行分析，并制定有效的控制策略。

实时记录出口带宽使用情况，对恶意占用带宽的应用进行限制，确保基本应用的高效运行；

对网络流量进行监控，利用相关协议分析工具对网络应用进行深层坎的分析。

2.2信息安全建设规划

信息安全指保证系统中的信息不被破坏、不被窃取、不被非法复制和使用等。

2.2.1信息安全保障措施

通过一系列的措施，保证信息在传输和存储时的安全。

建立完善的实名上网制度，并且与各系统的日志配合，建立“上网ID+上网时间+上网IP+上网入”的一一对应关系；

建立合理的文件上传、审查制度，对关键数据采取数字签名技术，做到谁上传谁负责，安全事故责任到人；

对论坛、留言板等提供用户交流的版块加强监管力度。对有害和敏感信息进行监控；

数字校园关键服务器问数据传输采取加密方式，防止网络窃听、数据泄露等安全事故的发生；

对病毒邮件、垃圾邮件以及含有敏感信息的邮件进行过滤。

2.2.2数据安全建设

随着高校信息化建设的推进，各部门工作信息化的程度也将越来越高，如何保证数据安全，提高管理信息系统(MIS)的安全性是信息化过程中必须考虑的问题。

各部门需要制定MIS的相关管理制度：

制定MIS系统数据备份、灾难恢复方案；

定期对MIS漏洞进行修补。防止数据泄露。

2.3全局安全体系建设

根据对网络体系分层的概念，针对不同的层次制定不同的网络安全措施。做到有的放矢，从技术上实现检测、上报和控制一体化。例如锐捷公司提出的全局安全网络(GSN)，如图2。

整合已建立的安全措施，增加针对上网用户的准入策略。在用户连入网络之前先进行客户端病毒及漏洞扫描，保证连入网络的客户端的安全性，从而最大限度地降低网络安全风险：

建立统一的安全管理平台(SMP)，通过下发警告消息，下发修复程序，下发阻断或者隔离策略等手段智能处理安全事件。

篇6

论文摘要：随着计算机技术和通信技术的发展，计算机网络正变得日益重要，已经渗透到各行业的生产管理、经营管理等各个领域。因此，认清网络的脆弱性和存在的潜在威胁，并采取强有力的防范措施，对于保障计算机网络的安全、可靠、正常运行具有十分重要的意义。本文分析了对网络安全建设造成威胁的诸多原因，并在技术及管理方面提出了相应的防范对策。

随着计算机网络的不断发展，信息全球化已成为人类发展的现实。但由于计算机网络具有多样性、开放性、互连性等特点，致使网络易受攻击。具体的攻击是多方面的，有来自黑客的攻击，也有其他诸如计算机病毒等形式的攻击。因此，网络的安全措施就显得尤为重要，只有针对各种不同的威胁或攻击采取必要的措施，才能确保网络信息的保密性、安全性和可靠性。

1威胁计算机网络安全的因素

计算机网络安全所面临的威胁是多方面的，一般认为，目前网络存在的威胁主要表现在：

1.1非授权访问

没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

1.2信息泄漏或丢失

指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括：信息在传输中丢失或泄漏(如"黑客"利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、账号等重要信息)、信息在存储介质中丢失或泄漏、通过建立隐蔽隧道等窃取敏感信息等。

1.3破坏数据完整性

以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。

1.4拒绝服务攻击

它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

1.5利用网络传播病毒

通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。

2网络安全建设方法与技术

网络具有访问方式多样、用户群庞大、网络行为突发性较高的特点。网络安全问题要从网络规划阶段制定各种策略，并在实际运行中加强管理。为保障网络系统的正常运行和网络信息的安全，需要从多个方面采取对策。攻击随时可能发生，系统随时可能被攻破，对网络的安全采取防范措施是很有必要的。常用的防范措施有以下几种。

2.1计算机病毒防治

大多数计算机都装有杀毒软件，如果该软件被及时更新并正确维护，它就可以抵御大多数病毒攻击。定期地升级软件是很重要的。在病毒入侵系统时，对于病毒库中已知的病毒或可疑程序、可疑代码，杀毒软件可以及时地发现，并向系统发出警报，准确地查找出病毒的来源。大多数病毒能够被清除或隔离。再有，对于不明来历的软件、程序及陌生邮件，不要轻易打开或执行。感染病毒后要及时修补系统漏洞，并进行病毒检测和清除。

2.2防火墙技术

防火墙是控制两个网络间互相访问的一个系统。它通过软件和硬件相结合，能在内部网络与外部网络之间构造起一个"保护层"，网络内外的所有通信都必须经过此保护层进行检查与连接，只有授权允许的通信才能获准通过保护层。防火墙可以阻止外界对内部网络资源的非法访问，也可以控制内部对外部特殊站点的访问，提供监视Internet安全和预警的方便端点。当然，防火墙并不是万能的，即使是经过精心配置的防火墙也抵挡不住隐藏在看似正常数据下的通道程序。根据需要合理的配置防火墙，尽量少开端口，采用过滤严格的WEB程序以及加密的HTTP协议，管理好内部网络用户，经常升级，这样可以更好地利用防火墙保护网络的安全。

2.3入侵检测

攻击者进行网络攻击和入侵的原因，在于计算机网络中存在着可以为攻击者所利用的安全弱点、漏洞以及不安全的配置，比如操作系统、网络服务、TCP／IP协议、应用程序、网络设备等几个方面。如果网络系统缺少预警防护机制，那么即使攻击者已经侵入到内部网络，侵入到关键的主机，并从事非法的操作，我们的网管人员也很难察觉到。这样，攻击者就有足够的时间来做他们想做的任何事情。

基于网络的IDS，即入侵检测系统，可以提供全天候的网络监控，帮助网络系统快速发现网络攻击事件，提高信息安全基础结构的完整性。IDS可以分析网络中的分组数据流，当检测到未经授权的活动时，IDS可以向管理控制台发送警告，其中含有详细的活动信息，还可以要求其他系统(例如路由器)中断未经授权的进程。IDS被认为是防火墙之后的第二道安全闸门，它能在不影响网络性能的情况下对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.4安全漏洞扫描技术

安全漏洞扫描技术可以自动检测远程或本地主机安全性上的弱点，让网络管理人员能在入侵者发现安全漏洞之前，找到并修补这些安全漏洞。安全漏洞扫描软件有主机漏洞扫描，网络漏洞扫描，以及专门针对数据库作安全漏洞检查的扫描器。各类安全漏洞扫描器都要注意安全资料库的更新，操作系统的漏洞随时都在，只有及时更新才能完全的扫描出系统的漏洞，阻止黑客的入侵。

2.5数据加密技术

数据加密技术是最基本的网络安全技术，被誉为信息安全的核心，最初主要用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储或传输，即使加密信息在存储或者传输过程为非授权人员所获得，也可以保证这些信息不为其认知，从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。

2.6安全隔离技术

面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念"安全隔离技术"应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网络间信息的安全交换。隔离概念的出现是为了保护高安全度网络环境。

2.7黑客诱骗技术

黑客诱骗技术是近期发展起来的一种网络安全技术，通过一个由网络安全专家精心设置的特殊系统来引诱黑客，并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为蜜罐(Honeypot)系统，其最重要的功能是特殊设置的对于系统中所有操作的监视和记录，网络安全专家通过精心的伪装使得黑客在进入到目标系统后，仍不知晓自己所有的行为已处于系统的监视之中。为了吸引黑客，网络安全专家通常还在蜜罐系统上故意留下一些安全后门来吸引黑客上钩，或者放置一些网络攻击者希望得到的敏感信息，当然这些信息都是虚假信息。这样，当黑客正为攻入目标系统而沾沾自喜的时候，他在目标系统中的所有行为，包括输入的字符、执行的操作都已经为蜜罐系统所记录。有些蜜罐系统甚至可以对黑客网上聊天的内容进行记录。蜜罐系统管理人员通过研究和分析这些记录，可以知道黑客采用的攻击工具、攻击手段、攻击目的和攻击水平，通过分析黑客的网上聊天内容还可以获得黑客的活动范围以及下一步的攻击目标，根据这些信息，管理人员可以提前对系统进行保护。同时在蜜罐系统中记录下的信息还可以作为对黑客进行起诉的证据。

2.8网络安全管理防范措施

对于安全领域存在的问题，应采取多种技术手段和措施进行防范。在多种技术手段并用的同时，管理工作同样不容忽视。规划网络的安全策略、确定网络安全工作的目标和对象、控制用户的访问权限、制定书面或口头规定、落实网络管理人员的职责、加强网络的安全管理、制定有关规章制度等等，对于确保网络的安全、可靠运行将起到十分有效的作用。网络安全管理策略包括：确定安全管理等级和安全管理范围；指定有关网络操作使用规程和人员出入机房管理制度；制定网络系统的维护制度和应急措施等。

参考文献

[1]张琳，黄仙姣．浅谈网络安全技术[J]．电脑知识与技术，2006(11)

[2]卢云燕．网络安全及其防范措施[J]，科技情报开发与经济，2006(10)

篇7

近年来，互联网在中国迅速发展。然而，伴随着互联网的蓬勃发展，一些不和谐的因素开始出现：网络谣言、网络诈骗、信息泄露、信息等乱象频现，威胁着互联网的健康发展。

互联网安全立法存在短板

法律出台缓慢和公民守法意识薄弱成为当下网络信息发展的痼疾。事实上，我国对于完善网络安全的立法工作一直在不断尝试和努力中。但是在中央网络安全和信息化领导小组办公室网络安全协调局调研员张胜看来，我国网络信息安全的立法面临三大软肋。

“首先，现行法律法规体系尚未完善。”张胜表示，在我国现行涉及网络安全的法律法规中，部门规章所占比例大，且在制定的规章中，纵向的统筹法律和横向的有机协调还不够。第二个“软肋”是，我国网络法律结构单一，难以适应信息技术发展的需要和日益严重的网络安全问题。网络安全保护实践的依据多为保护条例或管理办法，缺少系统规范网络行为的基本法律，如《网络安全法》《网络犯罪法》《电子信息个人出版法》《电子信息个人隐私法》等。同时，这些条例或管理办法更多使用综合性基本性条款，缺少具体的取舍性条款，难以适应技术发展和越来越多的网络问题。第三个“软肋”是，我国现行的网络安全法律法规中，有的条款无法与传统的法律规则相协调。“例如网络安全与个人隐私保护之间的争议，至今还没解决。”

立法需要基础设施的支撑

在美国、德国、意大利等发达国家，不但有完善的法律保障公民的个人信息不被泄露，同时，一整套电子信息验证标准也对法律形成了有力支撑。

公安部第三研究所网络身份技术事业部主任邹翔介绍，欧盟早在2005年就推出相关战略保证网络社会的身份管理。以德国为例，德国2010年新一代身份证，身份证采用eID公民网络电子身份标识，这是一种在网络上用远程证明个人真实身份的权威性电子信息文件。同时，德国强调个人信息最小化和个人信息确认的原则。“你在网上买酒，只需要提最基础的信息，比如年龄已经超过18岁就行，不用太详细。此外，匹配加密模块、密码可信模块，电子签名设备、签名验证标准等配套检验技术也很完善，最大程度地保障了公民个人网络信息的安全，更对法律形成了有效支撑。”邹翔说。

篇8

在计算机网络飞速发展的今天，网络营销，电子商务等快速进入企业业务活动中，企业总部、企业地方分支机构、移动出差人员，充分利用Internet的公共资源及便利条件，通过VPN（Virtual Private Network，虚拟专用网）技术它们连接在一起，形成一个跨地域更大的网络，方便企业用户、分支机构及合作伙伴随时随地的接入并访问企业网络，与企业总部网络进行数据信息安全传输与交流，不但给企业带来数字化时代，方便信息交流与企业的管理，而且也给企业带来不菲的经济效益，与此同时，也给企业网带来了安全隐患，数据信息如何跨越公共网络的复杂环境进行安全的远程传输成为关键。对于中小型企业资金相对比较贫乏，技术力量薄弱这种情况，研究经济实用的远程数据信息安全性传输就显得非常重要。

2 中小型企业网络现状及需求

国有大中型企业是我国的经济支柱，中小企业是我国经济组成的重要组成部分，我国中小型企业众多，对计算机网络技术应用比较简单，没有很好的利用Internet的优势，实现企业经济的腾飞及壮大。中小型企业网络主要应用是日常办公，数据处理，属于“单机版”类型，或者企业分支机构与总部就是简单通过电子邮件，或者qq进行企业数据信息传输，这样安全保密性太差。主要原因是：

1） 中小型企业资金比较贫乏，没有更多的资金来购买成熟网络安全产品，而且成熟的网络安全产品价格一般比较昂贵，主要面向大型企业。中小型企业分布广，业务灵活，经济实惠的远程数据安全传输解决方案甚少，而且技术复杂，维护较难，不能满足中小企业的需要。

2） 中小型企业技术力量薄弱，没有专业的网络技术人员，一般是企业年轻的懂点计算机的员工兼职网络管理，与专业网络管理员还有一定的差距。

3） 中小型企业网络基本属于一个“信息孤岛”，与外界进行数据通信不能做到安全可靠传输，不能确保数据信息不泄露、不丢失、不被篡改等，影响企业的快速发展。

3） 中小型企业领导重视网络建设还不够，网络建设相对比较简单，根据中小型企业目前对网络的需要及依赖，进行简单网络建设，没有长远的网络建设规划，致使企业在壮大的过程中，网络建设不能快步跟上，往往被忽视。中小企业网络由于资金贫乏，技术力量不足等原因，在建设的初期就还可能留下许多漏洞与不足，这样更容易被黑客攻击。

4） 中小型企业用户不能进行远程数据信息的安全可靠传输，企业员工，或者领导外地出差，或者分支机构的网络，就不能访问企业网络，不能远程进行办公，远程快速的进行事务处理。

5） 中小型企业与合作伙伴之间没有利用互联网的优势，在它们之间没有建立一个企业扩展网络，导致数据信息的安全交流和企业的密切合作收到影响。

在复杂的网络环境下，解决中小型企业的远程数据信息安全可靠的传输就变得越来越重要了，还需考虑方案的经济实用，维护简单容易。对于中小企业网络中传输的重要数据信息，如财务报表等，必须保证数据信息完整性、可用性和机密性。完整性是数据信息在传输或存储过程中保证没有被修改，没有被破坏，没有被丢失等；可用性是数据信息可被授权实体访问，并按需求使用的特性，即指定用户访问指定数据资源；机密性是保证数据信息网络传输保密性和数据存储的保密性，数据信息不会泄露给非授权的用户、实体或过程。确保只有授权用户才可以访问指定数据资源，其他人限制对数据信息的读写等操作。

3 经济实用安全方案

从中小型企业网络现状及需求，利用VPN技术跨越Internet组建中小企业扩展网络，保证远程移动用户、企业分支机构和企业合作伙伴之间安全可靠的进行远程数据信息传输。通过实践实验，研究出经济实用，安全可靠，配置和维护比较容易的中小型企业网络安全性解决方案，如图1所示。VPN服务器也称为VPN网关，可以使用高性能的计算机来担当，并且安装两块网络适配器，一块网络适配器用于连接中小型企业内部网络，分配内网IP地址，另一块网络适配器连接外部网络，分配外网IP地址。VPN服务器是内网和外网连接的必经之路，服务于内外两个网络，也是内网的安全屏障，相当于中小型企业的防火墙，它可以完成对访问企业网络的用户进行身份认证、数据进行加密解密处理、密钥交换等。VPN服务器安装Windows Server 2003操作系统，充分利用公共网络Internet的资源，通过VPN技术，实现中小企业远程数据信息传输的安全性、完整性，可用性和保密性。

3.1 IPSec VPN保证数据信息远程安全传输

1） VPN技术

VPN又称虚拟专用网，是在公共网络中建立专用网络，数据信息通过建立的虚拟加密“安全隧道”在公共网络上进行传输，即充分利用公共网络如Internet的资源，达到公网“私用”的效果。中小企业只需接入Internet，就可以实现全国各地分支机构，甚至全世界各地的分支机构，都可以随时随地的访问企业网络，实现远程数据信息的安全可靠传输。而且VPN具有节省成本、配置相对简单、提供远程访问、扩展性较强、便于管理维护、实现全面控制等好处，是企业网络发展的趋势。

2） IPSec协议

IPSec是一个开放的应用范围广泛的网络层VPN协议标准，是一套安全系统，包括安全协议选择、安全算法、确定服务所使用的密钥等服务，在网络层为IP协议提供安全的保障，即IPSec可有效保护IP数据报的安全，如数据源验证、完整性校验、数据内容加密解密和防重演保护等。保证企业网络用户的身份验证，保证经过网络传输过程中数据信息完整性检查，加密IP地址及数据信息保证其私有性和安全性。

3） 基于IPSec的VPN技术

基于IPSec的VPN技术解决了在Internet复杂的公网上所面临的开放性及不安全因素的威胁，实现在不信任公共网络中，通过虚拟“安全隧道”进行数据信息的安全传输。IPSec协议应用于OSI参考模型的第三层网络层，基于TCP/IP的所有应用都要通过IP层，将数据封装成一个IP数据包后再进行传输，所有要实现对上层网络应用软件的全透明控制，即同时对上层多种应用提供安全网络服务，只需要在网络层上采用VPN技术，基于IPSec的VPN技术提供了5种安全机制，即隧道技术、加密解密技术、密钥管理技术、身份验证技术和防重演保护技术，通过基于IPSe c的VPN技术，来保证传输数据的安全性、可用性、完整性和保密性[1]。

（1）隧道技术，隧道也可称为通道，是在公用网中建立一条虚拟加密通道，让数据包或者数据帧通过这条隧道安全传输。使用虚拟“安全隧道”传递的数据可以是不同协议的数据帧或数据包。“隧道”协议分为二、三层隧道协议，第二层隧道协议先把各种网络协议封装到PPP中，再把整个数据帧装入到隧道协议中。这种双层封装方法形成的数据帧依靠第二层协议来传输，第二层协议包括PPTP、L2TP等。第三层隧道协议是把各种网络协议直接装入到隧道协议中，形成的数据包依靠第三层协议进行传输。第三层协议有GRE、IPSec等。这里使用IPSec中的ESP（Encapsulated Security Payload）和AH（Authentication Header）子协议保护IP数据包和IP数据首部不被第三方侵入，在两个网络之间建立一个虚拟“安全隧道” 用于数据信息的安全传输。授权用户，通过IPSec安全策略的配置实现对网络安全通信的保护意图，其安全策略包括什么时候什么地方对AH和ESP保护，保护什么样的通信数据，什么时候什么地方进行密钥及保护强度的协商。IPSec通过认证和钥匙交换机制确保中小型网络与其分支机构网络或合作伙伴进行既安全又保密的信息传输。在计算机上装有IPSec的终端用户可以通过拨入ISP的方式获得对公司网络的安全访问。

（2）加密解密技术，是为了保障虚拟“安全隧道”的安全可靠性，提供了非常成熟的加密算法和解密算法，如3DES、DES、AES等，抵抗不法分子修改或截取数据信息的能力，同时保证必须使偷听者不能破解或解密拦截到的的数据信息，但是授权用户可以通过解密技术，完整的访问数据资源。

（3）身份认证技术是通过对企业分支用户或远程用户进行身份进行验证，提供安全防护措施与访问控制，包括对VPN“安全隧道”访问控制的功能，有效的抵抗黑客通过VPN通道攻击中小型企业网络的能力。通过VPN服务器对授权用户的身份及权限的验证，严格控制授权的用户访问资源的权限。在每个VPN服务器上为远端用户的身份验证凭据添加用户信息，包括用户名及密码，并且配置了用户名与呼叫用户所使用的用户名称相同的请求拨号接口。

（4）密钥交换技术，为了防止密钥在Internet复杂的公网上传输过程中而不被窃取。提供密钥中心管理服务器，现行的密钥管理技术分为SKIP和ISAKMP/OAKLEY两种。VPN技术能够生成并更新客户端和服务器的加密密钥和密钥的分发，实现动态密钥管理。如果采用L2TP/IPSec模式的站点到站点VPN连接，还需要在每个VPN服务器上同时安装客户端身份验证证书和服务器身份验证证书；如果不安装证书，则需要配置预共享的IPSec密钥。

（5）防重演保护。具备防止数据重演的功能，而且保证通道不能被重演。确保每个IP包的合法性和惟一性，保证信息万一被截取复制后，或者攻击者截取破译信息后，再用相同的信息包获取非法访问权，确保数据信息不会被重新利用、重新传回目标网络，

3.2其他辅助安全措施

对VPN服务器，还可以启动软件防火墙功能，如安全访问策略、日志监控等功能，还可以安装杀毒软件，为内网提供安全屏障，再次增加网络安全可靠性能。软件防火墙通过设置的包过滤规则，分析IP数据报、TCP报文段、UDP报文段等，决定数据包是被阻止，还是继续转发，从网络层和传输层上再次给予安全控制，提供了多层次安全保障体系。还可以增加应用层的过滤规则配置，再次提升VPN服务器安全性。

4 实践应用分析

通过实践应用，跨越Internet的中小型企业网络安全解决方案分别从网络层、传输层和应用层三个层次上给予安全保障，该方案充分利用VPN的“公网专用”的特点，允许中小型企业拥有一个世界范围的专用网络，在公用网中开辟虚拟“安全隧道”来保证远程数据信息传输的可靠性和安全性；通过辅助的防火墙功能，进一步增加其安全。该方案使用高性能的PC充当VPN服务器，并配以Windows Server 2003操作系统，无需额外的复杂硬件设备与高昂的系统软件，成本低、经济实用、容易实现、维护简单，是中小型企业网络扩展不错的选择方案。VPN服务器不但具备VPN技术的功能外，还是一个中小企业的防火墙，安全配置、安全策略容易实现，一旦出现较大安全威胁，便于快速隔离网络。

当然此方案也存在一些缺陷，主要是有依赖操作系统的安全性，操作系统本身的漏洞可能会造成安全隐患；VPN服务器是集多种服务于一体，需要较高高性能的计算机；VPN服务器故障会导致网络连接失效；由软件实现数据加密与解密、包过滤等，一定程度会占用系统资源，也会使通信效率略有降低；同时重注企业内部员工的安全培训，有效地抑制社会学的攻击，对来自企业内部员工的攻击显得无能为力。

5 结束语

跨越Internet的中小型企业网络安全技术方案比较经济、实用、安全、配置简单，为中小企业打造一个世界范围的网络提供了较有力的技术支持，使得中小企业网络也融入到互联网这个“大家庭”中，不仅提高了中小型企业的工作效率，而且增强了其竞争力，将推动中小型企业电子商务，电子贸易，网络营销走向繁荣，加快了中小企业网络信息化和经济快速发展的步伐。

参考文献：

[1] 郝春雷， 郑阳平.中小型企业敏感分支网络安全解决方案[J].商业时代，2007，（21）：45.

[2] 阿楠. VPN虚拟专用网的安全[J].互联网天地，2007，（7）：46-47.

[3] 李春泉，周德俭，吴兆华. VPN技术及其在企业网络安全技术中的应用[J]. 桂林工学院学报，2004，3：365-368.

[4] 韩儒博，邬钧霆，徐孟春.虚拟专用网络及其隧道实现技术[J]. 微计算机信息，2005，14：1-3.

篇9

关键词：等级保护分级管理；中小型网络；安全建设

中图分类号：TP309文献标识码：A文章编号：1007-9599 (2011) 24-0000-01

SMs Network Security Building Analysis in Level Protection Hierarchical Management

Xu Aihua,Lv Yun

(Nanjing Institute of Science& Technology Information,Nanjing 210018)

Abstract:This article based on "communications network security management approach"in the basic situation of small and medium sized networks and applications based on the analysis of the characteristics on small and medium sized network construction and management of network security solutions.

Keywords:Level protection classification management;Small network;

Security building

一、工信部关于等级保护分级管理的要求

如何利用等级保护中分级管理制度，确定不同的系统不同的安全策略，消除内部网向公网传送的信息可能被他人窃听或篡改等等安全隐患，对中小网络而言至关重要。为此，自2010年3月1日起，工业和信息化部了《通信网络安全防护管理办法》(以下简称《办法》)开始施行。《办法》要求通信网络运行单位应按照各通信网络单元遭到破坏后可能造成的危害程度，将本单位已正式投入运行的通信网络单元由低到高分别划分为一级、二级、三级、四级、五级。《办法》要求，通信网络运行单位应当在通信网络定级评审通过后三十日内，将通信网络单元的划分和定级情况按照有关规定向电信管理机构备案。电信管理机构对通信网络运行单位开展通信网络安全防护工作的情况进行检查。

二、中小型网络基本情况与应用特点

中小型计算机网络主要应用于办公自动化系统、信息查询系统、邮件服务、财务、人事、计划系统等实际工作和WWW应用中。根据中小型计算机网络的应用特点，需要保证网络中的数据具有可用性、可靠性、保密性、完整性、安全性等。又由于计算机网络跨越公共网络及与Internet网互联，这就给计算机网络带来严峻的安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。这些安全问题如果得不到解决，那将会给计算机网络带来严重的安全隐患。所谓可用性是指网络信息可被授权用户访问的特性，即网络信息服务在需要时，能够保证授权用户使用。可靠性是指网络系统硬件和软件无故障运行的性能，是网络系统安全最基本的要求；保密性是指网络信息不被泄露的特性，保密性是保证信息即使泄露，非授权用户在有限的时间内也不能识别真正的信息内容；完整性即网络信息在存储和传输过程中不被删除、修改、伪造、乱序、重放和插入等操作，是指网络信息未经授权不能进行改变的特性，也称作不可否认性。从技术角度看，网络安全的内容大体包括四个方面，即：网络实体安全、软件安全网络数据安全和网络安全管理。由此可见，计算机网络安全不仅要保护计算机网络设备安全，还要保护数据安全。因此实施网络安全保护方案，目的是以保证算机网络自身的安全。

三、中小型网络安全解决方案

随着网络威胁越来越普遍、破坏性越来越严重，网络入侵者攻击来源广泛，形式多样。通常采用信息收集、探测分析系统的安全弱点和实施攻击有步骤地进行入侵。如在目标系统安装木马程序用来窥探目标，网络所熟悉的病毒，如红色代码、冲击波，口令蠕虫等对网络造成了巨大损失。本文按照安全风险、需求分析结果、安全目标及安全设计原则，为中小型计算机网络解决网络安全问题，力求构建一个适合于中小型计算机网络的安全体系。

（一）外网安全设计

1.防火墙系统：采用防火墙系统实现对内部网和广域网进行隔离保护。对内部网络中服务器子网通过单独的防火墙设备进行保护。

2.入侵检测系统：采用入侵检测设备，作为防火墙的功能互补，提供对监控网段的攻击的实时报警和积极响应。

3.病毒防护系统：强化病毒防护系统的应用策略和管理策略，增强病毒防护有效性。

4.垃圾邮件过滤系统：过滤邮件，阻止垃圾邮件及病毒邮件的入侵。

（二）内网安全设计

采用访问控制策略，通过密码、口令（不定期修改、定期保存密码与口令）等禁止非授权用户对服务器的访问，以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。对内部采用：网络管理软件系统：使网管人员对网络中的实时数据流量情况能够清晰了解。掌握整个网络使用流量的平均标准，定位网络流量的基线，及时发现网络是否出现异常流量并控制带宽。

具体可采用Juniper的整合式安全设备+三层交换机的配置方案。Juniper的整合式安全设备专为互联网网络安全而设，将硬件状态防火墙、虚拟专用网（IP sec VPN）、入侵防护（IPS）和流量管理等多种安全功能集于一体，可以通过内置的Web UI、命令行界面或中央管理方案进行统一管理。

三层交换机具用于日志审计及监控。根据不同用户安全级别或者根据不同部门的安全访问需求，网络利用三层交换机来划分虚拟子网（VLAN）。因为三层交换机具有路由功能，在没有配置路由的情况下，不同虚拟子网间是不能够互相访问，同时通过在不同VLAN间做限制来实现不同资源的访问控制。通过虚拟子网的划分，既方便局域网络的互联，又能够实现访问控制。

四、结束语

总之，我们必须不断强化信息安全观念，加强网络与信息系统安全保障工作的检查和监督，充分利用《通信网络安全防护管理办法》关于安全等级划分的要求制定具体的信息安全防护策略，全面落实各项制度、预案，加强技术积累，定期进行网络漏洞扫描等安全有效措施，切实加强网络与信息系统安全保障工作，确保中小型网络信息系统的安全稳定运行。

参考文献：

篇10

【关键词】校园网；网络安全；安全策略

【中图分类号】TN915.08【文献标识码】A【文章编号】1672-5158（2013）07-0329-02

1 校园网络安全规范

校园的网络安全是指利用各种网络监控和管理技术措施，对网络系统的硬件、软件及系统中的数据资源实施保护，使其不会因为一些不利因素而遭到破坏，从而保证网络系统连续、安全、可靠地运行。

学校网络中心负责网络设备的运行管理，信息中心负责网络资源，系统管理员口令绝对保密，根据用户需求严格控制，合理分配用户权限，向学生开放的教学实验室应禁止使用软驱和光驱，以杜绝病毒的传播。

2 安全方案建议

2.1 校园网络状况分析

（1）资源分布和应用服务体系

校园网络可向网络用户提供：域名服务（DNS），电子邮件服务（Email），远程登录（telnet），文件传输服务（ftp），电子广告牌，BBS，电子新闻，WWW以及信息收集，存储，交换，检索等服务。

（2）网络结构的划分

整个网络是由各网络中心，和园区内部网络通过各种通信方式互联而成，所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网，然后通过广域连接与其他网络连接。

2.2 网络安全目标

为了增加网络安全性，必须对信息资源加以保护，对服务资源加以控制管理。

（1）信息资源

a：公众信息；即不需要访问控制。

b：内部信息；即需要身份验证以及根据根据身份进行访问控制。

C：敏感信息；即需要验证身份和传输加密。

（2）服务资源包括：内部服务资源、公众服务资源

内部服务资源：面向已知客户，管理和控制内部用户对信息资源的访问。

公众服务资源：面向匿名客户，防止和抵御外来的攻击。

3 校园网络安全技术的应用

3.1 建立网络安全模型

通信双方在网络上传输信息时，需要先在双方之间建立一条逻辑通道。为了在开放的网络环境中安全地传输信息，需要对信息提供安全机制和安全服务。

为了信息的安全传输，通常需要一个可信任的第三方。第三方的作用是负责向通信双方秘密信息，并在双方发生争议时进行仲裁。设计一个网络安全方案时，需要完成以下四个基本任务：

（1）设计一个算法，执行安全相关的转换；

（2）生成该算法的秘密信息；

（3）研制秘密信息的分发与共享的方法；

（4）设定两个责任者使用的协议，利用算法和秘密信息取得安全服务。

3.2 数据备份方法

数据备份有多种实现形式，从备份模式看，分为物理备份和逻辑备份；从备份策略看，分为完全备份、增量备份和差异备份。

（1）逻辑备份

逻辑备份也称作“基于文件的备份”。每个文件都由不同的逻辑块组成，每个逻辑块存储在连续的物理磁盘块上，备份系统能识别文件结构，并拷贝所有文件和目录到备份资源上。

（2）物理备份。

物理又称“基于块的备份”或“基于设备的备份”，其在拷贝磁盘块到备份介质上时忽略文件结构，从而提高备份的性能。因为在执行过程中，花在搜索操作上的开销很少。

（3）完全备份

完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份。这种备份方式很直观，容易理解。如果在备份间隔期间出现数据丢失等问题，可以使用备份文件快速地恢复数据。

（4）增量备份

为了解决完全备份的两个缺点，出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作更新过的数据。因为在特定的时间段内只有少量的文件发生改变，既节省空间，又缩短了备份的时间。因而这种备份方法比较经济，可以频繁地进行。

（5）差异备份

差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个，以简化恢复的复杂性。

3.3 防火墙技术

防火墙是在网络之间通过执行控制策略来保护网络的系统，它包括硬件和软件。设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。

防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同，防火墙系统的配置与实现方式也有很大的区别。简单的一个包过滤路由器或应用网关、应用服务器都可以作为防火墙使用。

3.4 入侵检测技术

入侵检测系统是对计算机和网络资源的恶意使用行为进行识别的系统。它的目的是监测和发现可能存在的攻击行为，包括来自系统外部的入侵行为和来自内部的非法授权行为，并采取相应的防护手段。它的基本功能包括：

（1）监控、分析用户和系统的行为。

（2）检查系统的配置和漏洞。

（3）评估重要的系统和数据文件的完整性。

（4）对异常行为的统计分析，识别攻击类型，并向网络管理人员报警。

（5）对操作系统进行审计、跟踪管理，识别违反授权的用户活动。

4 校园网主动防御体系

校园网的安全威胁既有来自校内的，也有来自校外的。在设计校园网网络安全系统时，首先要了解学校的需要和目标，制定安全策略。因此网络安全防范体系应该是动态变化的，必须不断适应安全环境的变化，以保证网络安全防范体系的良性发展，确保它的有效性和先进性。

安全管理贯穿整个安全防范体系，是安全防范体系的核心。网络系统的安全性不只是技术方面的问题，一个有效的安全防范体系应该是以安全策略为核心，以安全技术为支撑，以安全管理为落实，安全管理主要是对安全技术和安全策略的管理， 安全策略为安全管理提供管理方向，安全技术是辅助安全管理的措施。当网络出现攻击行为或其它安全威胁时，无法进行实时的检测、监控、报告与预警。同时，也无法提供黑客攻击的追踪线索，即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域，入侵系统监控和响应安全事件，必须对站点的访问活动进行多层次的记录，及时发现非法入侵。

结论

通过上述分析，我提出如下校园网络安全防范策略：

（1）利用防火墙将内网和外网进行有效隔离，避免与外部网络直接通信；

（2）利用防火墙建立网络的安全保护措施，保证系统安全；

（3）利用防火墙对网上服务请求内容进行控制，使非法访问被拒绝；利用防火墙加强合法用户的访问认证，同时在不影响用户正常访问的基础上将访问权限控制在最低限度内；

（4）在Internet出口处，使用NetHawk监控系统进行网络活动实时监控；

（5）在本校区部署RJ-iTop网络隐患扫描系统，定期对整个网络的安全状况进行评估，及时弥补出现的漏洞；

（6）加强网络安全管理，提高全体人员的网络安全意识和防范技术。

[1] 冯登国.计算机通信网络安全[M].北京：清华大学出版社，2001，3

[2] 蔡立军.计算机网络安全技术[M].北京：中国水利水电出版社， 2005， 52-56

[3] 陈健伟，张辉.计算机网络与信息安全[M].北京：希望电子出版社，2006.2：42-43

篇11

现代智能建筑设备中的网络数据的目标、特性和应对的安全措施

智能建筑区域数据库中的数据必须具有以下特殊性：首先是独立性，包括物理数据独立性，即改变内部模式时无需改变概念或外部模式，数据库物理存储的变动还会影响访向数据的应用程序；逻辑数据独立性，即修改概念模式时无需修改外部模式；其次是共享性，数据库中的数据应可被几个用户和应用程序共享；最后是持续性，即数据在整个设定有效期内稳定保持。

数据库有三个主要组成部分：数据、联系、约束和模式。数据库管理系统则是为数据库访问服务的软件，它应为支持应用程序和操作库中的数据提供下列服务：事务处理、并发控制、恢复、语言接口、容错性、数据目录、存储管理。

智能建筑中的数据库系统（含子数据库系统）与某些商业系统相比，虽然规模不大，但功能复杂、性质迥异，因而主数据库与各子系统数据库的集成有着很高的技术难度，可以说是现有各种数据库技术的集成。理想的智能建筑数据库系统应具有以下特性：开放性面向对象，关系型，实时性、多媒体性、互操作性、分布性、异构性等。所以一个理想的智能建筑（集成）数据库体系应该是开放的，面向对象的、关系型的、实时的，分布式的或操作的多媒体异约数据库体系。这一体系的安全保障：

首先是安全性，即数据库在数据不得被非法更改或外泄。同时，智能建筑数据库中的数据也具有其他一般特性，如一致性等。其次是安全保障，智能建筑中各子系统数据库必须能免受非授权的泄露导致更改和破坏，每个用户（也包括各子系统）和应用程序都应只拥有特定的数据访问权，以防非法访问与操作。这一功能在FAS、SAS及某些OSA系统中是必不可少的。

因特网的数据库访问技术和远程监控的框架及房地产信息网络的安全措施

首先，因特网的数据库技术相结合的Web数据库的应用，实现了信息从静态向动态的转变，而其中远程数据服务是核心。

目前比较流行的Browser/Server模型是采用三层模式结构：表示（Browser），提供可视界面，用户通过可视界面观察信息和数据，并向中间层发出服务请求；中间层（WebServer）实现正式的进程和逻辑规则，响应用户服务请求，是用户服务和数据服务的逻辑桥梁；数据库服务层（DBServer），实现所有的典型数据处理活动，包括数据的获取、修改、更新及相关服务。

Browser端一般没有应用程序，借助于Javaapplet、Actives、javascript、vabscvipt等技术可以处理一些简单的客户端处理逻辑，显示用户界面和WebServer端的运行结果。中间层负责接受远程或本地的数据查询请求，然后运用服务器脚本，借助于中间部件把数据请求通过数据库驱动程序发送到DBServer上以获取相关数据再把结果数据转化成HTML及各种脚本传回客户的Browser、DBServer端负责管理数据库，处理数据更新及完成查询要求，运行存储过程，可以是集成式的也可以是分布式的。在三层结构中，数据计算与数据处理集中在中间层，即功能层。由于中间层的服务器的性能容易提升，所以在Internet下的三层结构可以满足用户的需求。

其次，远程监控的框架。

基于因特网的楼宇设备运程监控结构，这个结构是基于NT的平台上。对于市场上的BA系统，如江森和霍尼维尔等，他们系统内置有专用的数据库，并提供有接口可以转化为标准的数据库，通过前面提供的方法，用户可以从远程通过调用数据库来了解整个BA系统的情况。如果他想获得BA系统的实时状况和实时控制BA系统可以直接通过相应的CGI程序监控BA系统。

通过这样的结构，授权的用户可以在远程获得建筑设备每一个部件的相关数据，除了数据监测和报警功能之外，还有比如数据记录趋向预测、基本维护等功能。现代的BAS系统包括数以千计的外部点，所以传输的数据必须经过优化仅仅是关键数据才应该在BAS和远程使用者间传输。而在房地产建筑设备中，

HVAC系统和照明系统最耗能的，在开率控制系统的功能时，用户的满意程度是主要的参考因素，所以目前建筑设备的控制和足够通风量；照明系统，为房客和公用区提供足够照明；报警系统有，对烟、火警的探测和处理；传送系统有升降机，传送带，运输带和自动门，电力供应系统等。

在大多数BAS系统中，主要是四类信号：模拟输入、模拟输出、数字输出、数字输入。对于一个具体的BAS系统而言，它的输入输出包括烟感探头状态，空气混合室、中过滤器状态，识别空调房间情况的传感器等；二进制输出包括回风机、送风机、VAV控制盒、照明、报警等；模拟量的输入包括回风和室外新风的温湿度；送风压力，VAV控制盒的空气流动速度，送回温度、房间温度、回风温度等；模拟量输出包括送风、回风的风速，冷水的流动速度等。所以可将需要远程传输的信号可以分为五类进行传输状态类、感受器类、报警器类、趋势类和控制类。版权所有

在现代化的房地产建筑中智能建筑建设与网络营销的原则为：业务为导向，市场为支力，网络为基础，技术为支撑，效益为根本，服务为保障

智能建筑设备给人们带来方便的同时，也给自己带来了一个个不速之客——黑客、信息网络及网络炸弹和因之而来利用网络犯罪分子，在方便自己的同时，也为那些离智能的犯罪分子带来了一个靠近自己便捷的通道。毫无疑问在HTML语言规划制定和Vbscript及javascript文件操作功能被现代建筑设备中广泛应用的同时，房地产信息网络安全不由自主地成为我们首当其冲的问题。

如前边所述，在利用数据库和因特网技术监控的同时，房地产信息网络的安全问题的措施也应运而生。

而网络“营销”需要两个条件：一是采取传统的市场营销手段；二是在网上提供价格有吸引力的商品。应该说至少到目前为止，传统营销与网络营销实质上是房地产整体营销策略的两个有机组成部分。传统营销的对象是房地产网站本身和房地产企业品牌，而网络营销的对象是有关企业的大量信息，这两部分是缺一不可的，只有整合才能使其发挥最大的功效。

传统搞品牌。房地产企业网站的知晓和品牌的建立只有通过传统营销方式才能得以实现。网站作为消费者与企业最终产品之间的中介者，首先必须把自己推销出去，引导消费者进入网站，这样才能使他们接触最终产品信息，而网站怎样才能引起消费者的点击欲望呢？传统媒体的广告促销是有力的帮手。就连以网上直销闻名的戴尔公司，也在电视的黄金时段大打广告。在宣传网站的同时，还必须把网站同企业的品牌形象紧密结合在一起，吸引真正有需求的目标消费者，以免虚耗宣传资源。因此企业就必须得在消费者购买决策前树立品牌形象。只有这样，消费者才会垂青于载有该品牌信息的网络。对于房地产这种高价值产品，品牌效应在消费者购买决策者中是一个重要影响因素。良好的品牌形象也是房地产企业的一项无形资产。借助传统媒介建立品牌形象，是房地产企业利用传统营销手法引导消费者登陆企业网站的一个较好方式。如果没有传统营销的帮助，网络营销只能坐着冷板凳，感叹英雄无用武之地了。

篇12

关键词：校园网；网络安全；方案设计

当前网络技术的快速发展，大部分高校已经建立了学校校园网络，为学校师生提供了更好的工作及学习环境，有效实现了资源共享，加快了信息的处理，提高了工作效率【1】。然而校园网网络在使用过程中还存在着安全问题，极易导致学校的网络系统出现问题，因此，要想保证校园网的安全性，首先要对校园网网络安全问题深入了解，并提出有效的网络安全方案设计，合理构建网络安全体系。本文就对校园网网络安全方案设计与工程实践深入探讨。

1.校园网网络安全问题分析

1.1操作系统的漏洞

当前大多数学校的校园网都是采用windows操作系统，这就加大了安全的漏洞，服务器以及个人PC内部都会存在着大量的安全漏洞【2】。随着时间的推移，会导致这些漏洞被人发现并利用，极大的破坏了网络系统的运行，给校园网络的安全带来不利的影响。

1.2网络病毒的破坏

网络病毒是校园网络安全中最为常见的问题，其能够使校园网网络的性能变得较为低下，减慢了上网的速度，使计算机软件出现安全隐患，对其中的重要数据带来破坏，严重的情况下还会造成计算机的网络系统瘫痪。

1.3来自外部网络的入侵和攻击等恶意破坏行为

校园网只有连接到互联网上，才能实现与外界的联系，使校园网发挥出重要的作用。但是，校园网在使用过程中，会遭到外部黑客的入侵和攻击的危险，给校园互联网内部的服务器以及数据库带来不利的影响，使一些重要的数据遭到破坏，给电脑系统造成极大的危害。

1.4来自校园网内部的攻击和破坏

由于大多数高校都开设了计算机专业，一些学生在进行实验操作的时候，由于缺乏专业知识，出于对网络的兴趣，不经意间会使用一些网络攻击工具进行测试，这就给校园网络系统带来一定的安全威胁。

2.校园网网络安全的设计思路

2.1根据安全需求划分相关区域

当前高校校园网都没有重视到安全的问题，一般都是根据网络互通需要为中心进行设计的。以安全为中心的设计思路能够更好的实现校园网的安全性。将校园网络分为不同的安全区域，并对各个区域进行安全设置。其中可以对高校校园网网络安全的互联网服务区、广域网分区、远程接入区、数据中心区等进行不同的安全区域。

2.2用防火墙隔离各安全区域

通过防火墙设备对各安全区域进行隔离，同时防火墙作为不同网络或网络安全区域之间信息的出入口，配置不同的安全策略监督和控制出入网络的数据流，防火墙本身具有一定的抗攻击能力。防火墙把网络隔离成两个区域，分别为受信任的区域和不被信任的区域，其中对信任的区域将对其进行安全策略的保护，设置有效的安全保护措施，防火墙在接入的网络间实现接入访问控制。

3.校园网网络安全方案设计

3.1主干网设计主干网可采用三层网络构架，将原本较为复杂的网络设计分为三个层次，分别为接入层、汇聚层、核心层。每个层次注重特有的功能，这样就将大问题简化成多个小问题。

3.2安全技术的应用3.2.1VLAN技术的应用。虚拟网是一项广泛使用的基础，将其应用于校园网络当中，能够有效的实现虚拟网的划分，形成一个逻辑网络。使用这些技术，能够优化校园网网络的设计、管理以及维护。

3.2.2ACL技术的应用。这项技术不仅具有合理配置的功能，而且还有交换机支持的访问控制列表功能。应用于校园网络当中，能够合理的限制网络非法流量，从而实现访问控制。

3.3防火墙的使用防火墙是建立在两个不同网络的基础之间，首先对其设置安全规则，决定网络中传输的数据包是否允许通过，并对网络运行状态进行监视，使得内部的结构与运行状况都对外屏蔽，从而达到内部网络的安全防护【3】。如图一所示。防火墙的作用主要有这几个方面：一是防火墙能够把内、外网络、对外服务器网络实行分区域隔离，从而达到与外网相互隔离。二是防火墙能够将对外服务器、网络上的主机隔离在一个区域内，并对其进行安全防护，以此提升网络系统的安全性。三是防火墙能够限制用户的访问权限，有效杜绝非法用户的访问。四是防火墙能够实现对访问服务器的请求控制，一旦发现不良的行为将及时阻止。五是防火墙在各个服务器上具有审计记录，有助于完善审计体系。

4.结语

总而言之，校园网络的安全是各大院校所关注的问题，当前校园网网络安全的主要问题有操作系统的漏洞、网络病毒的破坏、来自外部网络的入侵和攻击等恶意破坏行为、来自校园网内部的攻击和破坏等【4】。要想保障校园网网络的安全性，在校园网网络安全的设计方面，应当根据安全需求划分相关区域，用防火墙隔离各安全区域。设计一个安全的校园网络方案，将重点放在主干网设计、安全技术的应用以及防火墙的使用上，不断更新与改进校园网络安全技术，从而提升校园网的安全性。

作者:金茂 单位:杭州技师学院

参考文献：

[1]余思东,黄欣.校园网网络安全方案设计[J]软件导刊,2012,06:138-139

[2]张明,姜峥嵘,陈红丽.基于WLAN的无线校园网的设计与实现[J]现代电子技术,2012,13:63-65+68

篇13

一、 基本网络的搭建。

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:

1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。

但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。

第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,VPN,应用等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。

篇14

关键词： 校园网 网络搭建 网络安全 设计

以Internet为代表的信息化浪潮席卷全球，信息网络技术的应用日益普及和深入。伴随着网络技术的高速发展，各种各样的安全问题也相继出现，校园网被“黑”或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、基本网络的搭建

由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案。

1.网络拓扑结构选择。网络采用星型拓扑结构（如图1）。它是目前使用最多、最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

2.组网技术选择。目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高。FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级。ATM技术成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低。目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计

1.物理安全设计。为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，我们还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计。针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号。它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。

3.计算机病毒、黑客，以及电子邮件应用风险防控设计。我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

第二，防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，VPN，应用等功能，保护内部局域网安全接入INTERNET或者公共网络，解决内部计算机信息网络出入口的安全问题。