A. 校園網基本網路搭建及網路安全設計分析
摘要:伴隨著Internet的日益普及,網路應用的蓬勃發展,網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊,網路中的敏感數據有可能泄露或被修改,保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建,通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。
關鍵詞:校園網;網路搭建;網路安全;設計。
以Internet為代表的信息化浪潮席捲全球,信息 網路技術 的應用日益普及和深入,伴隨著網路技術的高速發展,各種各樣的安全問題也相繼出現,校園網被「黑」或被病毒破壞的事件屢有發生,造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。
一、 基本網路的搭建。
由於校園網網路特性(數據流量大,穩定性強,經濟性和擴充性)和各個部門的要求(製作部門和辦公部門間的訪問控制),我們採用下列方案:
1. 網路拓撲結構選擇:網路採用星型拓撲結構(如圖1)。它是目前使用最多,最為普遍的區域網拓撲結構。節點具有高度的獨立性,並且適合在中央位置放置網路診斷設備。
2.組網技術選擇:目前,常用的主幹網的組網技術有快速乙太網(100Mbps)、FDDI、千兆乙太網(1000Mbps)和ATM(155Mbps/622Mbps)。快速乙太網是一種非常成熟的組網技術,它的造價很低,性能價格比很高;FDDI也是一種成熟的組網技術,但技術復雜、造價高,難以升級;ATM技術成熟,是多媒體應用系統的理想網路平台,但它的網路帶寬的實際利用率很低;目前千兆乙太網已成為一種成熟的組網技術,造價低於ATM網,它的有效帶寬比622Mbps的ATM還高。因此,個人推薦採用千兆乙太網為骨幹,快速乙太網交換到桌面組建計算機播控網路。
二、網路安全設計。
1.物理安全設計 為保證校園網信息網路系統的物理安全,除在網路規劃和場地、環境等要求之外,還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多,在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散,通常是在物理上採取一定的防護措施,來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面:對主機房及重要信息存儲、收發部門進行屏蔽處理,即建設一個具有高效屏蔽效能的屏蔽室,用它來安裝運行主要設備,以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計,如信號線、電話線、空調、消防控制線,以及通風、波導,門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制,由於電纜傳輸輻射信息的不可避免性,現均採用光纜傳輸的方式,大多數均在Modem出來的設備用光電轉換介面,用光纜接出屏蔽室外進行傳輸。
2.網路共享資源和數據信息安全設計 針對這個問題,我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN(Virtual LocalArea Network)即虛擬區域網,是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須放置在同一個物理空間里,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中,即使是兩台計算機有著同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的,它在乙太網幀的基礎上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍,並能夠形成虛擬工作組,動態管理網路。從目前來看,根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員,被設定的埠都在同一個廣播域中。例如,一個交換機的1,2,3,4,5埠被定義為虛擬網AAA,同一交換機的6,7,8埠組成虛擬網BBB。這樣做允許各埠之間的通訊,並允許共享型網路的升級。
但是,這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN,不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員,其配置過程簡單明了。
3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術,防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。
第一,防病毒技術。病毒伴隨著計算機系統一起發展了十幾年,目前其形態和入侵途徑已經發生了巨大的變化,幾乎每天都有新的病毒出現在INTERNET上,並且藉助INTERNET上的信息往來,尤其是EMAIL進行傳播,傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。
為保護伺服器和網路中的工作站免受到計算機病毒的侵害,同時為了建立一個集中有效地病毒控制機制,天下論文網需要應用基於網路的防病毒技術。這些技術包括:基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如,我們准備在主機上統一安裝網路防病毒產品套間,並在計算機信息網路中設置防病毒中央控制台,從控制台給所有的網路用戶進行防病毒軟體的分發,從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後,不但可以做到主機防範病毒,同時通過主機傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統,從而保證計算機網路信息安全。形成的整體拓撲圖。
第二,防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備,專門用於TCP/IP體系的網路層提供鑒別,訪問控制,安全審計,網路地址轉換(NAT),IDS,,應用代理等功能,保護內部 區域網安全 接入INTERNET或者公共網路,解決內部計算機信息網路出入口的安全問題。
校園網的一些信息不能公布於眾,因此必須對這些信息進行嚴格的保護和保密,所以要加強外部人員對校園網網路的訪問管理,杜絕敏感信息的泄漏。通過防火牆,嚴格控制外來用戶對校園網網路的訪問,對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護,包括:過濾掉不安全的服務和非法訪問,控制對特殊站點的訪問,提供監視INTERNET安全和預警,系統認證,利用日誌功能進行訪問情況分析等。通過防火牆,基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問,保護重要主機上的數據,提高網路完全性。校園網網路結構分為各部門區域網(內部安全子網)和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。
內部安全子網連接整個內部使用的計算機,包括各個VLAN及內部伺服器,該網段對外部分開,禁止外部非法入侵和攻擊,並控制合法的對外訪問,實現內部子網的安全。共享安全子網連接對外提供的WEB,EMAIL,FTP等服務的計算機和伺服器,通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器,隱藏伺服器的其它服務,減少系統漏洞。
參考文獻:
[1]Andrew S. Tanenbaum. 計算機網路(第4版)[M].北京:清華大學出版社,2008.8.
[2]袁津生,吳硯農。 計算機網路安全基礎[M]. 北京:人民郵電出版社,2006.7.
[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.
B. 網路安全解決方案
方案分為安全技術部分和安全管理部分。
安全技術部分:
1.物理安全
需要建設獨立的計算機機房,滿足防水、防火、防靜電等要求。機房設置門禁和視頻監控。
2.網路安全
採用防火牆進行安全區域分割,把公司網路分為伺服器區和辦公區。設置不同的安全規則以防範黑客攻擊。採用上網行為管理產品對網路行為和流量進行管控。
3.系統安全
採用終端安全管理系統,對客戶端進行管控,重點管控網路行為、補丁升級和軟體分發等。對伺服器進行安全加固,保障伺服器安全。
4.應用安全
對Web電子商務伺服器進行漏洞掃描和加固,防範SQL注入等應用攻擊,必要時採用Web防護系統(Web防火牆、防篡改)。對資料庫的操作行為進行審計。
5.數據安全
對資料庫和關鍵系統進行定期備份,並做好應急措施。
安全管理部分
首先要建立網路安全負責制,由公司主要領導掛帥。建立機房安全管理制度,伺服器安全運維制度,計算機終端安全使用規范,與員工簽訂網路安全協議,提供員工網路安全意識。
C. 安全網路協議書
實用的安全網路協議書3篇
現如今,協議在生活中的使用越來越廣泛,簽訂協議可以保障自身的權益不被侵害。一般協議是怎麼起草的呢?下面是我為大家收集的安全網路協議書3篇,僅供參考,大家一起來看看吧。
甲方:提供單位______________
乙方:接入單位______________
中國教育和科研計算機網(cernet)是國家教育委員會直接領導管理的全國性教育和科研計算機網路,其目的是利用先進實用的計算機技術和網路通信技術,實現校園網間計算機連網、信息資源共享並與國際學術計算機網路互連,其服務對象主要是我國的教育和科研機構。中國教育和科研計算機網的所有接入單位必須與相應的網路提供單位簽署本項協議,並報上一級網路備案。
第一條總則
(一)中國教育和科研計算機網接入單位的所有工作人員和用戶必須遵守執行《中華人民共和國計算機信息網路國際聯網管理暫行規定》和國家有關法律法規,嚴格執行安全保密制度,並對所提供的信息負責。
(二)中國教育和科研計算機網的所有工作人員和用戶必須對所提供的信息負責。不得利用計算機連網從事危害國家安全、泄露國家秘密等犯罪活動,不得製作、查閱復制和傳播有礙社會治安和有傷風化的信息。
(三)在中國教育和科研計算機網上不允許進行任何干擾網路用戶,破壞網路服務和破壞網路設備的活動,這些活動包括(但並不局限於)在網路上發布不真實的信息、散布計算機病毒、使用網路進入未經授權使用的計算機、不以真實身份使用網路資源等。
(四)中國教育和科研計算機網在各級管理機構設立網路安全員,負責相應的網路安全和信息安全工作。
(五)中國教育和科研計算機網的各級網路管理機構定期對相應的網路用戶進行有關的信息安全和網路安全教育。
(六)中國教育和科研計算機網責成各級管理單位根據國家有關規定對於上網信息進行審查。凡涉及國家機密的信息嚴禁上網。
(七)中國教育和科研計算森含豎機網的所有用戶有義務向網路安全員和有關部門報告違法犯罪行為和有害信息。
(八)中國教育和科研計算機網的有關工作人員和用戶必須接受並配合國家有關部門依法進行的監督檢查。
第二條接入管理
(一)接入中國教育和科研計算機網的連網單位和用戶必須遵守中國教育和科研計算機網制定的規定和制度,按時繳納有關費用。
(二)中國教育和科研計算機網的接入單位和用戶不允許與其它互連單位私自連網。
(三)與中國教育和科研計算機網中止連網的接入單位和用戶單位必須把相應的ip地址退還中國教育和科研計算機網。
(四)中國教育和科老桐研計算機網的接入單位必須嚴格執行《中國教育和科研計算機網管理辦法》的規定,不允許發展授權范圍以外的任何用戶。
(五)中國教育和科研計算機網的接入單位必須成立管理機構對於網路進行嚴格管理必須設立網路安全員,負責相應的網路安全和信息安全工作,保存網路運的有關記錄。網路安全員要指導系統管理員和用戶對於各自負責的網路系統、計算機系統和上網資源進行管理。
(六)中國教育和科研計算機網的所有接入網路必須與中國教育和科研計算機網或上一級接入網路簽署本協議並與自己的所有個人用戶簽署《中國教育和科研計算機網用戶守則》。各級網路管理機構必須保留相應的協議和守則備查。
第三條信息管理
(一)中國教育和科研計算機網的接入單位必須定期對相應的網路用戶進行有關信息安全和網路安全的檢查和教育。
(二)中國教育和科研計算機網的接入單位和用戶必須對於自己的上網信息負責。涉及國家機密的信息嚴禁上網。
(三)中國教育和科研計算機網的接入單位和用戶有義務向上一級網路和有關部門報告網路上的違法犯罪行為和有害信息。
(四)中國教育和科研計算機網的接入單位和用戶必須遵守知識產權的有關法律法規。
第四條懲罰條例
中國教育和科研計算機網對違反本條例的接入單位和用戶進行警告、停止網路連接直至訴諸法律。本單位作為中國教育和科研計算機網的此大接入單位同意遵守上述條款,如違反本協議,願意接受處罰並承擔法律責任。
甲方:_________________
蓋章:_________________
負責人簽字:___________
日期:_________________
聯系地址:_____________
郵編:_________________
電話:_________________
傳真:_________________
電子郵件:__________
乙方:_________________
單位名稱:_____________
蓋章:_________________
單位負責人簽字:_______
網路中心主任簽字:_____
日期:_________________
通信地址:_____________
郵編:_________________
電話:_________________
傳真:_________________
電子郵件:_____________
網路名稱:_____________
ip地址范圍:___________
域名:__________
連網方式:_____________
連網日期:_____________
互聯網的迅猛發展,以其豐富的內容、開闊的眼界、快捷的方式正逐漸地改變著人們的生活和交流方式。微信、微博、qq等網路工具已經成為信息傳播、人際溝通和文化交流的重要渠道。但是網上的不良、不實信息和不文明行為仍然存在,影響社會健康發展,對大學生的身心健康帶來極大的負面影響。
為提升全院師生的網路安全意識,倡導師生文明使用網路,構建安全、健康、和諧的校園網路環境,黨委宣傳部面向全院師生發出如下倡議:
一、自覺遵守《中華人民共和國憲法》、《中華人民共和國計算機信息系統安全保護條例》等國家有關法律、法規和政策,樹立正確的網路觀,抵制不文明行為,爭做文明網民。
二、自覺選擇上網安全通道。主動使用綠色上網過濾軟體,正確把握上網時間和上網時段,嚴格屏蔽不良網站,確保個人的身心健康。
三、自覺抵制網路低俗之風。做到不製作、不瀏覽、不轉載、不傳播。
四、增強網路道德文明意識。崇尚科學,追求真知,明確網上的是非觀念,使用網路文明語言,明辨網路信息真假,增強網路文明意識,爭做網路文明使者。
五、主動參與到抵制網路有害信息的行動中去,積極揭露和舉報網路不安全信息。
六、正確使用網路資源,堅決杜絕整日沉迷於網路游戲,禁止不良網路信息的傳播。
七、加強自我學習,學會自我約束,增強辨別謠言、抵制謠言的能力,逐步樹立成熟陽光的上網態度。
美好的網路環境需要我們共同創造,希望廣大師生能夠自覺、自律地養成安全、文明、健康的上網習慣。構建一個安全、和諧的校園網路環境!
XXX
時間:XXXX年XX月XX日
授權方(甲方):
地址:
電話:
被授權方(乙方):
地址:
電話:
簽訂此協議書即表明,乙方同意遵守此委託書的行為限制,甲方同意乙方對甲方所有權網站(含頁面、網站資料庫及內網)進行非惡意測試包括模擬入侵,模擬植入病毒、模擬盜取資料等等。此委託書是在平等自願的基礎上,依據《中華人民共和國合同法》有關規定就項目的`執行,經雙方友好協商後訂立。
一、關於測試
測試時間:__________________________________。
測試費用:__________________________________。
測試地點:___________________________________。
檢測單價:___________________________________。
測試人數:___________________________________。
檢測總費用:_______________________________。
測試項目:___________________________________。
實收費用:___________________________________。
測試目的:___________________________________。
二、關於付款付款方式
付款時間:本合同簽訂後甲方應支付全部評測費用至乙方,者驗收完成後甲方應支付全部評測費用至乙方。
三、雙方的權利與義務
1、乙方在測試過程中對甲方的所提供的網路結構、內部重要數據及資料進行保密,不得拷貝及留存甲方所有權網站(含頁面、網站資料庫及內網)內涉及商業秘密的數據。乙方測試所獲不涉及甲方商業秘密的數據由乙方所有。
2、甲方不得借測試之名,獲取乙方的非專利技術及商業秘密;或在測試過程中,用任何手段獲取乙方的非專利技術及商業秘密。
3、乙方的測試過程須在不影響甲方網站(含頁面、網站資料庫及內網)的正常運作的前提下進行。
4、測試結束後由甲方網路負責人檢查網站(含頁面、網站資料庫及內網)恢復狀況驗收,由乙方向甲方提交測試報告正本一份,甲方簽收驗收測試報告後,完成驗收。驗收無誤後,乙方對甲方所有權網站不負任何責任。
5、驗收結束後乙方應在____日內將甲方網站(含頁面、網站資料庫及內網)恢復到測試之前的狀態。
6、甲方對提供給乙方的測試環境的真實性及合法性負責以及對提供的所有權的網路應享有完全的產權。
7、甲方委託乙方對甲方所有權的網路(含頁面、網站資料庫及內網)進行網路安全測試,在不違反本授權委託書的前提下,乙方不承擔任何法律相關責任以及連帶責任。
8、如遇不可抗力導致測試無法如期進行、無法按時完成或終止的,乙方不承擔任何責任。
9、甲方對測試結果如有異議,於《測試報告》完成之日起____日內向乙方提出書面申請,同時附上《測試報告》原件及預付復檢費。甲方辦妥以上手續後,乙方將在收到預付復檢費___日內安排復檢,不可重復性試驗不進行復檢。
四、違約責任
1、測試過程中由於乙方具體測試行為導致甲方資料數據丟失,由乙方負責恢復數據;因此而造成的經濟損失,由乙方負責賠付。
2、測試過程中須有甲方網路負責人在場,甲方須積極配合乙方測試的進行。如因甲方原因導致測試無法如期進行、無法按時完成或終止的,由甲方承擔相應的違約責任。
3、如因乙方原因,導致測試進度延遲,則甲方可酌情提出賠償要求,雙方經協商一致後另行簽訂書面協議,作為本合同的補充。
五、爭議解決
雙方因履行本合同所發生的一切爭議,應通過友好協商解決;如協商解決不成,就提交___________仲裁委員會進行仲裁。裁決對雙方當事人具有同等約束力。
六、其他
1、本合同自雙方授權代表簽字蓋章之日起生效,自受託方的主要義務履行完畢之日起終止。
2、本合同未盡事宜由雙方協商解決。
3、本合同的正本一式兩份,雙方各執一份,具有同等法律效力。
甲方(簽章):
簽訂日期:________年________月________日
乙方(簽章):
簽訂日期:________年________月________日
D. 網工專業包括哪些領域
網路工程專業通常涵蓋以下領域:
1. 計算機網路基礎: 計算機網路的體系結構、協議、技術和標准等基本概念和知識。
2. 網路規劃與設計:基於需求和實際情況,制定網路規劃和設計方案,並對網路進行建模、模擬和優化等。
3. 網路安全:包括網路安全的基本概念、網路安全威脅、防禦和攻擊技術、安全策略和管理等方面的知識。
4. 無線網路技術:涵蓋無線網路的原理、技術和應用,包括蜂窩網路、Wi-Fi、藍牙和移動通信等技術。
5. 雲計算與大數據技術:包括雲計算基礎設施、雲存儲、雲安全、大數據處理、人工智慧等方面的知識。
6. 網路管理與維護:涵蓋網路設備的管理和維護,包括網路故障診斷、調試、維護和監控等。
7. 物聯網技術:包括物聯網的基礎概念、架構、協議和應用,以及物聯網安全、移動物聯網等方面的知識。
總之,網路工程專業是一門綜合性很強的學科,涵蓋了計算機科學、通信技術、信息安全、數據處理等多個領域的知識。