【正文】 沒有安裝相應(yīng)的殺毒軟件及防火墻。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的 安全。校內(nèi)大部分計算機系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對社會開 放，這樣一來只要接入 INTERNET 的用戶就可以對校園的網(wǎng)絡(luò)服務(wù)器進行攻擊， 而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達”病毒都是利用系統(tǒng)的漏洞來進行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計算機當(dāng)中，在 以后的計算機啟動后，木馬就在機器中打開一個服務(wù)，通過這個服務(wù)將你計算機的 信息、資料向外傳遞。 利用在對等網(wǎng)中對計算機中的某 3) 目錄共 享導(dǎo)致信息的外泄 , 在校園網(wǎng)絡(luò)中， 個目錄設(shè)置共享進行資料的傳輸與共享是人們常采用的一個方法。但可以說幾乎所 有的人都沒有充分認(rèn)識到當(dāng)一個目錄共享昌吉職業(yè)技術(shù)學(xué)院計算機系 2021 界畢業(yè)設(shè)計（論文） 5 后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問 到，而是連在網(wǎng)絡(luò)上的各臺計算機都能對它進行訪問。這也成了數(shù)據(jù)資料安全的一 個隱患。我曾經(jīng)搜索過外地機器的一個 C 類 IP 網(wǎng)段，發(fā)現(xiàn)共享的機器就有十幾臺， 而且許多機器是將整個 C 盤、 盤進行共享， D 并且在共享時將屬性設(shè)置為完全共享， 且不進行密碼保護，這樣只要將其映射成一個網(wǎng)絡(luò)硬盤，就能對上面的資料、文檔 進行查看、修 改、刪除。因而對目錄共享安全意識的單薄，會導(dǎo)致了信息的外泄。 4) 網(wǎng)絡(luò)安全意識淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機器，盜用他人帳號非 法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進行騷擾和人身攻擊等事件 經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計算機平均一個星期會經(jīng)受到數(shù)千次 甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò) 上的用戶安全意識淡?。涣硗?，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在 安全管理上也沒有任何標(biāo)準(zhǔn)，這也是網(wǎng)絡(luò)安全問題泛濫的一個重要原因 .由此可見， 構(gòu)筑具 有必要的信息安全防護體系，建立一套有效的網(wǎng)絡(luò)安全機制顯得尤其重要。 第二章 校園網(wǎng)絡(luò)安全策略 校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重 視起來，才能切實構(gòu)筑一個安全的校園網(wǎng)。 國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因， 以及對技術(shù)的偏好和運營意識的不足， 普遍都存在 “重技術(shù)、 輕安全、輕管理“的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大 吉， 有些學(xué)校甚至直接連接互聯(lián)網(wǎng)， 這就給病毒、 黑客提供了充分施展身手的空間。 而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次， 對整個網(wǎng)絡(luò)都將是致命性的。 作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出 了。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個方面著手：一是采用先進的技術(shù)； 二是不斷改進管理方法。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng) 關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。以下五點是高校 的安全策略： 規(guī)范出口管理，實施校園網(wǎng)的整體安全架構(gòu)，必須解決多 出口的問題。對 于出口進行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。為校園網(wǎng)的安全 提供最基礎(chǔ)的保障。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò) 安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測 系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外，通過配置安全產(chǎn)品可以實現(xiàn) 對校園網(wǎng)絡(luò)進行系統(tǒng)的防護、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有 效的阻斷作用，對網(wǎng)絡(luò)的故障可以迅速定位并解決。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。校園網(wǎng) 絡(luò)必須要 解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)， 否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng) 一身份認(rèn)證系統(tǒng)，才能徹底的解決用昌吉職業(yè)技術(shù)學(xué)院計算機系 2021 界畢業(yè)設(shè)計（論文） 6 戶上網(wǎng)身份問題，同時也為校園信息化的各項 應(yīng)用系統(tǒng)提供了安全可靠的保證。 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。上網(wǎng)用戶不但要通過統(tǒng) 一的校級身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上 網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個記錄的法律性和準(zhǔn)確性。 根據(jù)相關(guān)部門的要求， 配 備專門的安全管理人員， 出臺網(wǎng)絡(luò)安全管理制度 。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈”，因此管理的工作就 愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。 校園網(wǎng)絡(luò)安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā) 起攻擊的。 為杜絕網(wǎng)絡(luò)威脅， 主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力， 堵塞網(wǎng)絡(luò)漏洞， 從而達到網(wǎng)絡(luò)安全。 殺毒軟件。 、殺毒軟件。 殺毒產(chǎn)品的部署 . 在該網(wǎng)絡(luò)防病毒方案中，要達到一個目的就是：要在整個局 域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染 和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個 網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查 殺等多種功能 .。 （ 1）在學(xué)校網(wǎng)絡(luò)中心配置一臺高效的 Windows2021 服務(wù)器安裝一個殺毒軟件 的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點的計算機。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。 （ 3）安裝完殺毒軟件，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進行定時查殺毒的 設(shè)置，保證所有客戶端即使在沒有 聯(lián)網(wǎng)的時候也能夠定時進行對本機的查殺毒。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。 采用 VLAN 技術(shù)。 、 技術(shù)。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作 組的技術(shù)。 VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別，將網(wǎng)絡(luò)分段并進 行隔離，實現(xiàn)相互間的訪問控制，可以達到限制用戶非法訪問的目的。 內(nèi)容過濾器：內(nèi)容過濾器是有效保護網(wǎng)絡(luò)系免于誤用和無意識服務(wù)拒絕的工具。同時，可以 限制外來的垃圾郵件。 防火墻。 、防火墻。 在與 Inter 相連的每一臺電 腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的 安全屏障。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性 : (1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核 IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來 自公網(wǎng)對校園內(nèi)部網(wǎng)不必要的、非法的訪問。總體上遵從“不被允許的服務(wù)就是被 禁止”的原則 . (2)禁止訪問系統(tǒng)級別的服務(wù) ( 如 HTTP , FTP 等 )。局域網(wǎng)內(nèi)部的機器只允許 訪問文件、打印機共享服務(wù)。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口 服務(wù) ，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。 (3)如果你在局域網(wǎng)中使用你的機器，那么你就必須正確設(shè)置你在局域網(wǎng)中的 IP，防火墻系統(tǒng)才能認(rèn)識哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證 你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機共享）功能。 (4)定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 (5)允許通過配置網(wǎng)卡對防火墻設(shè)置，提高防火墻管理安全性 . 入侵檢測。 、入侵檢測。 入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。擴展系統(tǒng)管理員 的安全管理能力．提高信息安全基礎(chǔ)結(jié) 構(gòu)的完整性。入侵檢測系統(tǒng)能實時捕獲內(nèi)外 網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢 測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。入侵檢測系統(tǒng)還可昌吉職業(yè)技術(shù)學(xué)院計算機系 2021 界畢業(yè)設(shè)計（論文） 7 以發(fā)出 實時報警，使網(wǎng)絡(luò)管理員能夠及時采取應(yīng)對措施。 漏洞掃描。 、漏洞掃描。 隨著軟件規(guī)模的不斷增大． 系統(tǒng)中的安全漏洞或 “后門” 也不可避免地存在． 因 此，應(yīng)采用先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器等進行安全檢查，并寫出詳 細(xì)的安全性分析報告，及時地將發(fā)現(xiàn)的安全漏洞打上“補丁”。 數(shù)據(jù)加密。 、數(shù)據(jù)加密。 數(shù)據(jù)加 密是核心的對策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。 加強網(wǎng)絡(luò)安全管理：加強網(wǎng)絡(luò)管理主要是要做好兩方面的工作。首先，加強網(wǎng)絡(luò)安全知識的培訓(xùn)和 普及；其次，是健全完善管理制度和相應(yīng)的考核機制，以提高網(wǎng)絡(luò)管理的效率。 第三章 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。學(xué)校 建立了一套校園網(wǎng)絡(luò)安全系統(tǒng)，制定詳細(xì)的安全管理制度，如機房管理制度、病毒 防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進行計算 機網(wǎng)絡(luò)安全知識培訓(xùn)，或發(fā)放常見病毒 解決方案等。 校園網(wǎng)建設(shè)需求分析 需求分析 局域網(wǎng)最大的特點就是可以實現(xiàn)資源的最佳利用 ,如 :共享磁盤設(shè)備、打印機等 , 從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件 ,并可在任何一臺共享打印機上進行打 印 。當(dāng)然也可以借助 Wingate 或 Sygate 等軟件多機共享一臺 Modem 上網(wǎng)；或者通過 代理服務(wù)器連上 Inter，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為： 10Mbps 網(wǎng)卡（ ISA 插口或 PCI 插口） 、 100Mbps PCI 插口網(wǎng)卡、10Mbps/100Mbps 自適應(yīng)網(wǎng) 卡和千兆網(wǎng)卡。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份 額，但由于 10Mbps ISA 插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU 資源，只 適應(yīng)于那些對速度要求不高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者 10Mbps/100Mbps 自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要 進行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。 BNC 口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。 RJ45 是采用雙絞線作 為傳輸媒介的一種網(wǎng)卡接口， RJ45 的接 口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是 8 芯的接頭，使用 RJ45 的缺點是架設(shè)成本高，但安裝和維護較為方便，因此我們一 般使用 RJ45 接口。集線器 (HUB):根據(jù)微機的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工 作站較多的情況下 ,會因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造 成瓶頸問題。因此有條件的話可選用交換機。一個 Hub 所組成的域稱為沖突域 , 也就是說 ,網(wǎng)絡(luò)上任何一臺計算機在收發(fā)數(shù)據(jù)時 ,其他所有計算機都能夠收到 ,且 這些計算機不能同時進行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞 (CSMA/ CD 協(xié)議會阻止碰 撞 )。此外每臺接入 Hub 的計算機 ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否 是收到自己的通信信息 ,因此計算機 CPU 占用率高 ,全網(wǎng)通信效率低 ,只適用于小 型工作組級別應(yīng)用。 學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體 網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程 教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項靈魂工程。其設(shè)計方 案應(yīng)注意以下原則： 昌吉職業(yè)技術(shù)學(xué)院計算機系 2021 界畢業(yè)設(shè)計（論文） 8 實用性校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充 分實現(xiàn)學(xué)校內(nèi)部管 理、 教學(xué)和科研的網(wǎng)絡(luò)化、 信息化的要求， 使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮， 并且便于掌握。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時在部分子系統(tǒng)中存在較高的技 術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的 MTBF(平均無故障 工作時間 )和極低的 MTBR(平均無故障率 )，提高容錯設(shè)計，支持故障檢測和恢復(fù)， 可管理性強。 統(tǒng)一性在系統(tǒng)的設(shè)計過程中，堅持 三統(tǒng)一 ，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出 口。 先進性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對網(wǎng)絡(luò)的應(yīng)用需求，又可以在 將 來需要擴展的時候，能方便地擴展，保護目前的所有投資；設(shè)計的配置可以靈活 變通，以便適應(yīng)客戶的其他要求。 關(guān)鍵設(shè)備 在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析，這次參與組網(wǎng)的機構(gòu)選用美國 Cisco 公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機， Catalyst 6506 是大容量 的具有高交換能力的第三層模塊化交換機， Catalyst 6506 的交換容量以及端口數(shù)量 等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。選擇 Catalyst 3548 作為外網(wǎng)交換機?？梢酝? 過千兆的光纖 鏈路連接到核心交換機， 而所有的用戶終端可以通過 10/100M 自適應(yīng) 通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機上。選擇 Catalyst 3524 和 Catalyst 3548 作為計算機網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機，為終端用戶提供 10/100M 到 桌面。選擇