前言：中文期刊網精心挑選了高校網絡安全建設方案范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

高校網絡安全建設方案范文1

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31

高校網絡安全建設方案范文2

關鍵詞:數字圖書館;網絡安全;網絡維護;行為控制

在《高校數字圖書館網絡安全建設探討》中，作者提出了高校建設數字圖書館需要從“系統及網絡的安全”“網頁的安全”“訪問的安全”三個方面加以考慮。雖然這是當前數字圖書館建設時考慮的重點，但是從筆者多年來從事的數字圖書館網絡安全評估經驗來說，這些是遠遠不夠的。故此，筆者從實際數字圖書館系統安全評估方面考慮，提出了:存儲數據的安全、工作人員操作的安全、制度安全、內部人員管理的安全。

1 存儲數據的安全

高校數字圖書館數據安全是指數字圖書館中電子信息資源的存儲安全和存儲讀者信息的數據庫安全。

當前數字圖書館系統大都使用數據庫來存儲數據，國內小型數字圖書館系統常用的有Access和My-SQL，有些大中型數字圖書館系統還使用Oracle、SQL Server、DB2和Sybase。目前許多數字圖書館系統網站存儲著數以TB的電子資源，這些資源是數字圖書館的根本，如果丟失或損壞(被篡改)，將是難以彌補的損失。此外，數字圖書館還存儲讀者(客戶)信息，這些個人信息對讀者來說是極其重要且非常敏感的。這些信息的泄露會對讀者(客戶)造成物質和精神上的損害，數字圖書館系統網站難辭其咎。

在構建數字圖書館時，就要確保這些數據庫系統的安全，合理設置用戶及表格權限，在保障正常運行的同時，盡可能地阻止非授權用戶對數據庫中的敏感數據的訪問。要對數據庫進行異地備份，有條件的話讓Web網站與數據庫分開，使用NTFS分區，并啟用EFS，并對數據庫服務器IP地址加密，增加硬件防火墻，加強對數據的保護。對于基于ASP的網站服務器，對ODBC的訪問要有用戶權限限制，并將Web服務器中的配置ODBC的工具進行刪除，加密數據庫訪問配置文件。

現在數字圖書館系統大多都有客戶的虛擬賬號，存有余額。國內高校數字圖書館系統軟件還提供讀者賬戶在線查詢功能，對客戶賬目查詢所提交的信息，幾乎沒有使用任何加密協議，也沒有對查詢數據加密。黑客嗅探并更改查詢信息后，很容易獲得賬戶信息，進而獲得客戶的詳細資料，造成客戶信息的外泄。現今幾乎所有的高校圖書館都有用于與讀者交流的論壇。這些論壇大多是在修改購得的商業軟件后投入使用的，其源代碼在互聯網上多有流傳，軟件開發商編程的疏漏及軟件存在的技術缺陷，都可能導致讀者信息的泄露。

在這種情況下，讀者注冊后，其相關信息可能在論壇上出現;論壇調用數據庫中讀者信息的同時，數據泄漏的風險大大增加;數據庫連接的透明性也使數據庫服務器容易遭受網絡黑客的攻擊。

為確保數據完整及安全，對數字圖書館系統網站數據要做到每星期進行一次完整性檢查;圖書借還信息及電子資源有償下載信息庫自動增量備份要做到30分鐘。如我們可以通過使用軟件(如使用Symantec Backup Exec 12.5服務器版)來完成。此外，數據庫服務器要有足夠的冗余，保證在每一工作時間都有服務器正常運行。

2 工作人員操作的安全

操作的安全是指數字圖書館工作人員其對信息處理中，其操作是正常的，對事件處理是在其授權內的正常工作。這就是說工作人員的操作是經過授權、認證的，其行為和結果經過他人(系統)審核，在他人(系統)監控下操作。對于誤操作，審核人員可以對此進行恢復。防止操作人員懷有一定的目的進行數據的非授權修改。

工作人員要做好日志的保護和分析工作。網絡日志是網絡用戶對網絡的訪問記錄，也是分析網絡安全的重要依據。許多入侵(內外網)都會在系統上留下痕跡，所以日志的保護是相當重要的。數據庫運行日志，是數據庫各種操作的記錄，保存著各種事務運行請求及運行結果。這些日志，對我們監控網絡及服務器運行至關重要。有些日志如數據庫日志可以通過日志回滾來進行對誤操作數據進行恢復，我校2009年就有工作人員誤操作造成數據嚴重丟失現象，就是通過數據庫日志回滾來恢復數據的。目前，比較流行的是遠程存儲單向流。將路由器、防火墻及重要的服務器(包括數據庫服務器)的日志備份到其他網絡中的計算機，此計算機只能接收指定的網絡設備傳來的請求，對網絡中其他計算機的請求予以舍棄，只接受本地用戶本地操作，這樣可以保護日志的安全。

3 建立、健全相關的法律及各項規章制度

目前，高校開放數字圖書館系統，大大提高了圖書館信息資源的利用率。但是，許多的高校圖書館沒有相應的規章制度，造成極大的安全隱患。有的高校圖書館缺乏對網絡管理員的監控、管理，造成其在數字圖書館中的為所欲為。沒有相應的規章制度，當造成網絡安全事件發生時，沒有人具體負責，造成損失時，沒有相應的追責制度。湖北某高校曾出現管理員任意修改系統數據截留有償下載信息的資金情況發生。我校也有因為沒有相關制度，造成責權不明，網絡管理虛位，當網絡安全事件發生時人員相互推諉，造成不能及時響應，致使數據丟失的嚴重后果。因此，高校數字圖書館要有適合自己的一套規章制度來監督、約束工作人員，使責權到個人，使違規人員受到相應的懲罰，使工作積極人員得到相應的表彰。

4 使用基于行為網絡安全控制技術，加強內部人員管理

當前，計算機網絡安全已經不單單局限于計算機病毒和黑客攻擊，更多的人為因素已經上升到首位。上網行為的監控(包括網絡訪問限制、郵件監控、網絡地址認證監控、網絡借入認證等)已經擺在廣大網絡管理員面前，使用適當的行為控制設備(軟硬件)來控制網絡行為，更好地維護網絡及信息安全。

數字圖書館系統中有相當大部分的成功攻擊是來自于圖書館內部人員。他們比較了解系統的構建，熟悉系統的操作，其攻擊大部分都具有相當的目的性。有些是想夸耀自己的計算機技術，有些是對工作、社會的不滿，還有些是想修改信息獲利。有些是離職人員對系統進行破壞。這些人的行為嚴重地影響了數字圖書館的運行。使用基于行為控制技術的網絡安全設備，就可以控制內部人員的上網行為。使其在其職責授權內使用網絡資源，其行為受監控，并有詳細的日志供日后審核。極大限度地制約此類安全事件的發生。

高校有關部門加強對工作人員的管理，使其意識到破壞系統要受到法律的嚴懲。此外，還要對從業人員進行必要的教育，提高網絡管理人員的思想道德水平。維護高校網絡安全不是單純的技術問題，它與網絡管理人員和網絡使用者的思想道德水平關系甚大。若網絡管理人員的思想道德水平較低，任何技術措施都將失去作用;網絡使用者的思想道德水平則與技術防范的必要性及技術要求成反比。因此，必須高度重視對網絡管理人員和網絡使用者的思想道德教育。要有嚴格的工作人員審核制度，并結合規章制度來約束內部人員。最大限度的保護系統的穩定和網絡的安全。

從本文提出的四方面安全注意事項與2009年12月的筆者在《高校數字圖書館網絡安全建設探討》所提出的三方面一起，形成一個相對來說比較完整的“數字圖書館系統”安全防范系統。高校在構建字圖書館時如若考慮到這七個方面來，所建設的數字圖書館就會安全的多。

參考文獻

[1]楊展，張四大.高校數字圖書館數據及網絡安全[C]//中國計算機信息防護文集.呼和浩特:遠方出版社.2008.

高校網絡安全建設方案范文3

1計算機網絡安全的主要威脅

現代遠程教育培訓是伴隨著網絡技術和多媒體技術的飛速發展而產生的一種新的教育模式，現代遠程教育培訓的發展將大大加大延伸現有學校或單位的教育功能，優化資源利用，擴大教育供給，滿足教育需求，對實現教育的平等化和順應知識經濟時展需要及終身教育體系的構建都具有十分重要的現實意義［2］。但是，在遠程教育培訓網絡中，網絡的很多安全隱患也被帶到了服務器、網絡機房與教室：黑客的惡意攻擊、網絡病毒的傳播、有用數據的泄漏或丟失、非法用戶的未授權訪問、數據的完整性被破壞、學習者與老師之間的交互得不到保障等都極大地破壞了遠程教育培訓網絡的正常開展。歸結起來，遠程教育培訓網絡中存在的安全隱患主要有以下幾個方面：

1.1計算機病毒

計算機病毒已成為很多黑客入侵的先導，是目前威脅網絡安全的禍首。它的侵入在嚴重的情況下會使網絡系統癱瘓，重要數據無法訪問甚至丟失。1.2管理者與使用者的失誤如網絡管理人員安全配置不當造成的安全漏洞；不合理地設定資源訪問控制，一些資源就有可能被偶然或故意地破壞；學員安全意識不強，用戶口令選擇過于簡單或容易破譯，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網絡安全帶來威脅［3］。

1.3黑客的惡意攻擊

黑客是網絡上的一個復雜群體，他們以發現和攻擊網絡操作系統的漏洞和缺陷為樂趣，是網絡面臨的主要威脅。黑客的攻擊和計算機犯罪就屬于這一類，此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性，這就是純粹的信息破壞，這樣的網絡侵犯者被稱為積極侵犯者；另一類是被動攻擊，它是在不影響網絡正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息，這種僅竊聽而不破壞網絡傳輸信息的侵犯者被稱為消極侵犯者。這兩種攻擊均可對計算機網絡造成極大的危害，并導致重要數據的泄漏［2］。

因此，面對網絡安全方面的種種威脅，應該充分認識遠程教育培訓網絡中安全工作的重要性。因為人們的生活越來越信息化，所以網絡的安全也越來越受到更多的關注。網絡危險無處不在，這需要我們隨時保持警惕，不斷學習網絡技術，與之進行長期斗爭。

2遠程教育培訓網絡安全問題的分析和處理方案

2.1網絡安全問題分析

網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、心理學、信息論等多種學科的綜合性技術。網絡安全是指網絡系統資源和信息資源不受自然和人為有害因素的威脅和破壞。具體而言，網絡安全要做到保護個人隱私，控制對網絡資源的訪問，保證信息在網絡上傳輸的保密性、完整性和真實性。在遠程教育培訓中網絡安全問題主要集中在以下幾個方面：

2.1.1網絡安全意識淡薄，沒有嚴格的安全管理制度

“網絡安全無小事”，這就要求我們的管理員、教師、學員給予足夠的重視，進行相應的學習，提高使用網絡的安全意識。而目前由于教學網絡中的服務器開放程度很高，基本沒有訪問限制，由此導致服務器被攻擊、侵入、丟失重要數據文件、郵件泄露的情況屢見不鮮。

2.1.2網絡安全投入資金不足，相應配套設施缺乏

由于很多學校或者單位用于網絡建設的經費不足，有限的經費主要投在網絡應用建設上，對于網絡安全建設沒有比較系統的投入，根本無法抵擋現今網絡上五花八門的病毒攻擊，盡管如此也要保證24h提供各種文字、聲音、視頻等服務，網絡服務器處在一個非常開放的狀態，簡陋的安全體系基本沒有有效的預警手段和防范措施［4］。

2.1.3內部網絡管理混亂

一般來講，大多數學校或單位都會安排特定的網絡教室或者通過辦公室計算機接入遠程教育培訓網，供學員和教職工進行學習。這在很大程度上緩解了部分學員由于沒有條件上網而導致無法獲取足夠教輔資料的矛盾。但是，由于缺乏統一的管理軟件和監控、日志系統，絕大多數機房的登記管理制度存在漏洞，上網用戶的身份無法唯一識別；另外，有些機房為了管理上的方便安裝了還原卡，關機后啟動即恢復到初始狀態，從而在安全管理上形成了漏洞，無法按照安全部門的要求保留上機和上網日志；更有甚者繞開統一管理和國家相關部門的監管，存在極大的安全隱患。

2.2相應的解決方法

2.2.1設計安全的網絡拓撲結構

一般來講遠程教育培訓網的結構比較簡單，基本都是將E-mail、Web、FTP等應用服務器連接在內部網絡（以下簡稱內網）上，在拓撲結構上，需要通過合理設置策略，將服務器群通過交換機與防火墻的DMZ區接入Internet，構筑服務器系統安全的第一道防線。在內網通過虛擬局域網的劃分（VLAN），減少廣播流量，釋放帶寬給用戶應用；并且含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露重要信息的可能性。

2.2.2配備完整系統的網絡安全設備

一般來講，在內部網絡和外網接口處配置統一的網絡安全控制和監管設備即可將絕大多數外部攻擊拒之門外。另外，遠程教育培訓網絡由于需要傳輸圖片、音頻、視頻等數據，對網絡帶寬的需求也很大，廣大學員用戶也需要高帶寬、高速度的服務，因此配置安全設備既要考慮到功能，同時也必須考慮性能，將配置安全設備后對網絡性能的影響盡可能地降到最低［5］。

3基于互聯網的遠程教育培訓系統安全體系的實現

3.1分析需要解決的問題

遠程網絡教育成為傳統教育最有力的補充，也成為了當今各大院校或單位積極建設推進的教育方式，但隨著教育網絡應用的擴大，其安全風險也變得更加嚴重和復雜，不安全的網絡環境會給求知者帶來諸多煩惱和不便。在考慮安全系統功能之前，應針對遠程教育培訓的網絡應用系統特點，詳細地分析系統可能出現的安全問題，并確定系統存在的安全漏洞和安全威脅，一般應考慮以下的安全問題：

3.1.1如何預防病毒

一旦染上病毒，輕則使各種服務器運行速度變慢，重則感染整個網絡，使網絡系統崩潰停止，所有的服務器數據遭到破壞，造成極大的損失。

3.1.2未經授權的訪問

一些不擁有訪問權限的人訪問一些重要的信息，甚至進行惡意更改，例如修改網站的主頁、查看并修改財務數據、修改考生的成績、檔案等。

3.1.3信息泄密

用戶口令泄密、郵件內容泄密、網上考試的考題泄密等。

3.1.4網絡服務無法使用

比如拒絕服務攻擊使網絡主機崩潰；大量的垃圾郵件使郵件服務器無法正常工作；網絡操作系統本身存在的漏洞和缺陷導致黑客輕易地入侵等。

3.2提出解決方案

針對上述遠程教育培訓系統中存在的安全隱患，提出其中的一些解決方案：

3.2.1安全管理體系

大多數的外部安全問題是由內部管理不善、配置不當和不必要的信息泄露引起的。因此，建立組織的部門的網絡安全體系是解決網絡安全的首要任務，加強對網絡安全體系的研究，應采用信息系統安全工程方法，形成完善的安全體系，才不會遺漏任何威脅因素，避免安全漏洞和隱患。以下將從管理和技術兩個方面對高校網絡系統的安全體系作進一步論述。管理方面。從全局管理角度來看，要制訂全局的安全管理策略，從用戶管理角度來看，要實現統一的用戶角色劃分策略。從資源管理角度來看，要實現資源的分布配置和統一的資源目錄管理。從技術管理角度來看，要實現安全的配置和管理。但是，安全的網絡系統首先必須有健全的安全管理體系作保障。安全管理體系包括組織機構，安全管理制度，安全責任體系等。技術方面。除了加強對網絡系統的安全管理，我們要注意使用的安全產品在技術上是否成熟、有效，在使用安全產品時還應該采取合理的安全策略，以規避系統安全風險，減小所帶來的損失。其中的安全策略和防范措施包括網絡系統安全配置，系統自身安全，安全審計，數據保護和網絡數據備份。

3.2.2身份認證機制

在遠程教育培訓環境中，網絡安全就是指網絡信息安全，所謂信息安全，即未經授權的信息不會被瀏覽；未經授權，信息不會被篡改或破壞。所以身份認證是網絡安全中最重要的組成部分，也是安全體系的基礎。較為常用的身份認證技術是基于靜態口令的身份認證技術，該技術的特點是簡單、易用，在一定的安全程度上可以進行有效的用戶身份認證；也可以通過數字矩陣、USB－KEY或者手機短信模式進行身份認證。

3.2.3實施訪問控制

基于Internet的遠程教學系統的用戶大致可分為三類：教師用戶、學習者用戶以及管理員，不同用戶所能見到的內容、所擁有的權限是不同的。因此，為了保障信息不被越權訪問，應加強訪問控制工作，按用戶類別進行注冊，記錄用戶相關信息。同時，對系統中的資源也應進行分類，實行多級管理。

3.2.4注意防范“病毒”入侵

當前Internet已成為計算機病毒傳播的重要途徑，而為了豐富教學系統的資源從網上下載一些軟件又在所難免，因此身處Internet的遠程教學系統應建立多層次的“病毒”防范體系，采取及時升級殺毒軟件，定時運行殺毒軟件查找“病毒”，重點防范要害部位，對重要信息進行備份等措施。

高校網絡安全建設方案范文4

關鍵詞：校園無線網絡；802.11標準；網絡安全

一、概述

隨著信息技術的發展和教育信息化進程的推進，無線局域網技術在高校校園網中的應用也逐漸普及。校園無線局域網表現出方便、靈活的組網方式和廣泛的適用環境等優點，由于無線局域網技術其傳輸介質的開放性，使得數據在通信傳播過程中，極有可能被一些非法的接收設備所接收，這就給入侵者有了可乘之機。加之校園無線網絡自身的特殊性，無線局域網更易遭受黑客攻擊和泄密；此外由于高校網絡本身所具有的應用范圍廣、使用群體復雜、管理難度大等眾多特點，致使網絡本身更具脆弱性，致使網絡本身更具脆弱性，因此如何保障高校校園無線局域網通信的安全，成為使用高校校園無線局域網過程中必須解決的問題。

二、無線網絡存在的安全威脅

無線網絡一般受到的攻擊可分為兩大類：

一類是關于網絡訪問控制、數據機密性保護以及數據完整性保護而進行的攻擊；一類是無線通信網絡的設計、部署以及維護的獨特方式而進行的攻擊。

對于第一類攻擊在有線網絡的環境下也會發生。可見，無線網絡的安全性是在傳統有線網絡的基礎上增加了新的安全性威脅。

（一）保密機制的弱點

1、過于簡單的加密算法

WEP中的IV向量由于位數太短和初始化復位的設計，經常出現重復使用現象，從而輕易的被他人所破解。而對于其中的加密的RC4算法，在其頭256個字節數據中的密鑰存在弱點，容易被黑客攻破。而且，對明文完整性校驗的CRC循環冗余校驗碼只能確保數據正確傳輸，并不能保證其是否被修改，因而也會出現安全的問題。

2、密鑰管理復雜性

在WEP使用的密鑰的過程中需要接受一個外部密鑰管理系統的控制。網絡的安全管理員可以通過外部管理系統控制方式減少IV的沖突數量，使無線網絡難以被攻破。但由于這種方式的過程非常復雜，且需要手工進行操作，所以很多網絡的部署者為了方便，使用缺省的WEP密鑰，從而使黑客對破解密鑰的難度大大減少。

3、用戶安全意識不強

許多用戶安全意識淡薄，沒有改變缺省的配置選項，而缺省的加密設置都是比較簡單或脆弱的，經不起黑客的攻擊。

（二）類型繁多的網絡攻擊

1、探測式攻擊實際上是信息采集活動，黑客們通過這種攻擊搜集網絡數據，用于以后進一步攻擊網絡。通常，軟件工具（例如探測器和掃描器）被用于了解網絡資源情況，尋找目標網絡、主機和應用中的潛在漏洞。例如，有一種專門用于破解密碼的軟件。這種軟件是為網絡管理員而設計的，管理員可以利用它們來幫助那些忘記密碼的員工，或者發現那些沒有告訴任何人自己的密碼就離開了公司的員工的密碼。但是，這種軟件如果被錯誤的人使用，就將成為一種非常危險的武器。

2、訪問攻擊用于發現身份認證服務、文件傳輸協議(FTP)功能等網絡領域的漏洞，以訪問電子郵件帳號、數據庫和其他保密信息。

（三）拒絕服務攻擊

1、信息泄露威脅與網絡欺騙

泄露威脅包括竊聽、截取和監聽。竊聽是指偷聽流經網絡的計算機通信的電子形式，它是以被動和無法覺察的方式入侵檢測設備的。即使網絡不對外廣播網絡信息，只要能夠發現任何明文信息，攻擊者仍然可以使用一些網絡工具來監聽和分析通信量，從而識別出可以破解的信息。欺騙這種攻擊手段是通過騙過網絡設備，使得它們錯誤地認為來自它們的連接是網絡中一個合法的和經過同意的機器發出的。達到欺騙的目的，最簡單的方法是重新定義無線網絡或網卡的MAC地址。

2、用戶設備安全威脅

由于IEEE802.11標準規定WEP加密給用戶分配是一個靜態密鑰，因此只要得到了一塊無線網網卡，攻擊者就可以擁有一個無線網使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜或丟失，其丟失的不僅僅是電腦本身，還包括設備上的身份驗證信息，如網絡的SSID及密鑰。[3]

三、無線校園網絡安全解決方案

（一）身份認證：對于無線網絡的認證可以是基于設備的，通過共享的WEP密鑰來實現

上文中提到的 MAC 地址認證和共享密鑰認證都還有一定的安全隱患。在無線網絡進入校園以后， MAC地址認證需要進行維護和數據管理的問題。例如EAP-TLS、EAP-TTLS、LEAP和PEAP。[4]在無線網絡中，設備認證和用戶認證都應該實施，以確保最有效的無線網絡安全性。用戶認證信息應該通過安全隧道傳輸，從而保證用戶認證信息交換是加密的。因此，對于所有的網絡環境，如果設備支持，最好使用EAP-TTLS或PEAP。針對校園多用戶群體的特點，可以對不同用戶使用不同的認證方法，以此來確保無線校園網絡的安全性。

（二）訪問控制：網絡用戶的訪問控制主要通過AAA服務器來實現

這種方式可以提供更好的可擴展性，有些訪問控制服務器在802.1x的各安全端口上提供了機器認證，在這種環境下，只有當用戶成功通過802.1x規定端口的識別后才能進行端口訪問。

一般來說，無線校園網絡可分為境內網和境外（下轉第122頁）（上接第120頁）網兩大類。境內網是指學校內部訪問數據和資源的過程，教師和學生可根據需要隨時在校園內訪問網絡。例如研究成果、研究資料以及論文等都要求有較好的安全性。這些用戶可以采用802.1x 進行認證。也就是先由用戶向認證服務器發出接入申請，在未通過認證的情況下，用戶無法訪問網絡，也無法獲取IP 地址。設立證書服務器，以數字證書的形式達到雙向認證的目的，能夠有效避免用戶接入非法 AP 以及非法用戶使用網絡，只有在通過雙向認證之后，用戶方可訪問網絡，保證校園網資源的安全性。境外網指從學校外部訪問數據和資源的過程，主要是針對來學校進行學術交流、培訓等用戶，這些用戶關注的是能夠方便、快捷的接入網絡，已進行相關的文件傳輸、瀏覽網站等工作。因此，他們不能訪問校園網內部如學校公共數據庫、圖書館期刊全文數據庫以及一些學校內部資源的一些受限資源。如果用戶是境外網需要訪問校園網以外的數據，要先通過強制 Portal 認證之后方可訪問網絡。[5]根據不同網絡區分的需要采用不同的認證方法，將 802.1x 認證和強制 Portal 認證這兩種認證方式相結合是解決目前無線校園網絡安全問題的有效途徑，并有極強的現實意義。

（三）可用性：無線網絡有著與其它網絡相同的需要，這就是要求最少的停機時間

不管是由于DOS攻擊還是設備故障，無線基礎設施中的關鍵部分仍然要能夠提供無線客戶端的訪問。保證這項功能所花費資源的多少主要取決于保證無線網絡訪問正常運行的重要性。在校園的操場、食堂等場合，如不能給用戶提供無線訪問只會給用戶帶來不便而已。當一個客戶端試圖與某個特定的AP通訊，而認證服務器不能提供服務時也會產生可用性問題。這可能是由于擁塞的連接阻礙了認證交換的數據包，建議賦予該數據包更高的優先級以提供更好的QOS。另外應該設置本地認證作為備用，可以在AAA服務器不能提供服務時對無線客戶端進行認證。

（四）審計：審計工作是確定無線網絡配置是否適當的必要步驟

保護WLAN的第一步就是完成網絡審計，實現對內部網絡的所有訪問節點都做審計，確定欺騙訪問節點，建立規章制度來約束它們，或者完全從網絡上剝離掉它們。從短期來看，校園網絡中心管理員應該使用一些能檢測WLAN網絡流量（以及WLAN訪問節點）的網絡監控產品或工具，例如SnifferTechnologies和WildPackets廠家的產品。不過，采取的這些措施能達到的安全程度畢竟還是有限的，因為它要求網絡管理員要根據WLAN的信號來檢測網絡流量，知道網絡內部的數據流量情況。現在，WLAN的提供商們（例如3Com，Avaya，Cisco，Enterasys和Symbol）將會開發出新的能夠檢測遠程訪問節點的網絡管理工具。校園網絡中心管理者應該形成一個管理政策，保證網絡審計成為一個規范化的行為（至少每三個月檢測一次），來限制具有欺騙訪問行為的站點恣意進入WLAN。