【文章內(nèi)容簡介】 可以按照不同的標(biāo)準(zhǔn)來區(qū)分，通常可以按照網(wǎng)絡(luò)的拓?fù)浜途W(wǎng)絡(luò)的功能分為校園網(wǎng)的體系機(jī)構(gòu)和校園網(wǎng)的功能結(jié)構(gòu)。 校園網(wǎng)網(wǎng)絡(luò)體系結(jié)構(gòu)概述 （ 1）校園網(wǎng)基礎(chǔ)設(shè)施建設(shè)是我們數(shù)字化校園的基礎(chǔ)，它的建設(shè)水平和效果直接影響到我們運(yùn)行在校園網(wǎng)上的服務(wù)，影響到全校的教學(xué)、科研甚 至影響到師生的日常生活。校園網(wǎng)的建設(shè)包括根據(jù)自身的應(yīng)用需求和特點(diǎn)進(jìn)行校園網(wǎng)的體系結(jié)構(gòu)的設(shè)計(jì)，相關(guān)技術(shù)設(shè)備的選擇，網(wǎng)絡(luò)出口包括設(shè)備之間拓?fù)潢P(guān)系的確定、集成、調(diào)試，應(yīng)用建設(shè)等關(guān)鍵環(huán)節(jié)，在這些環(huán)節(jié)當(dāng)中也包含著對校園網(wǎng)絡(luò)安全的考慮與設(shè)計(jì)。 （ 2）網(wǎng)絡(luò)體系結(jié)構(gòu)是關(guān)于如何構(gòu)建網(wǎng)絡(luò)的技術(shù)，它包括兩個(gè)層次的內(nèi)涵。一是要標(biāo)識出網(wǎng)絡(luò)系統(tǒng)由哪些部分組成，清晰地描述出各個(gè)部分的目的、功能和特點(diǎn)。二是要描述網(wǎng)絡(luò)各組成部分之間的關(guān)系，如何將各部分有機(jī)地結(jié)合在一起，形成完整的網(wǎng)絡(luò)系統(tǒng)，從而保證網(wǎng)絡(luò)有效地運(yùn)行，也就是將各部分進(jìn)行集成的方式 。 （ 3）校園網(wǎng)安全策略的制定和實(shí)施是以各高校校園網(wǎng)的基礎(chǔ)體系結(jié)構(gòu)和網(wǎng)絡(luò)應(yīng)用具體情況為依據(jù)和實(shí)施基礎(chǔ)的。因此在制定各高校的網(wǎng)絡(luò)安全策略和實(shí)施具體的安全策略之前，透徹分析校園網(wǎng)體系結(jié)構(gòu) ,網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，網(wǎng)絡(luò)的路由策略，網(wǎng)絡(luò)的區(qū)域劃分， IP 及 VLAN 的規(guī)劃，網(wǎng)絡(luò)訪問策略，各應(yīng)用系統(tǒng)的功能服務(wù)對象，訪問限制等等是非常有必要的，其性能直接影響到網(wǎng)絡(luò)安全策略的實(shí)施效果。 校園網(wǎng)系統(tǒng)功能構(gòu)成 校園網(wǎng)作為校園網(wǎng)絡(luò)信息平臺應(yīng)該由一個(gè)平臺和三個(gè)系統(tǒng)構(gòu)成，即系統(tǒng)管理平臺、校園公共信息系統(tǒng)、校園 管理信息及辦公自動(dòng)化系統(tǒng)、校園教學(xué)資源庫系統(tǒng)。見下圖 11 圖 11 校 園網(wǎng)系統(tǒng)功能結(jié)構(gòu)圖 校園公共信息系統(tǒng) 校園管理信息系統(tǒng) 辦公自動(dòng)化系統(tǒng) 教學(xué)資源庫系統(tǒng) 校園 BBS 校園聊天室 校園大事記 通知公告 信息發(fā)布 資料管理 電子圖書館 遠(yuǎn)程教育系統(tǒng) 多媒體教學(xué) 系統(tǒng)管理 權(quán)限管理 校園系統(tǒng)管理平臺 教務(wù)管理 成績管理 學(xué)籍管理 課程注冊管理 生活管理 就業(yè)管理 電子郵件 公文管理 個(gè)人信息管理 討論區(qū) 后勤管理 人事管理 校園的應(yīng)用管理平臺 （ 1）校園應(yīng)用系統(tǒng)管理平臺是一個(gè)安全性好、易管理、可靠性高的操作平臺。在此平臺上可輕松的實(shí)現(xiàn)系統(tǒng)備份和恢復(fù)、用戶權(quán)限的設(shè)置、用戶注冊以及資源的調(diào)整、初始化等管理工作。通過使用 Intra/Inter 技術(shù)實(shí)現(xiàn)了與 Inter的無縫連接。 （ 2）教學(xué)資源庫系統(tǒng)提供一致的資源管理和使用方式，實(shí)現(xiàn)簡便精確的資 源獲取與檢索，全面支持教學(xué)應(yīng)用，包括對各類教學(xué)軟件庫、教學(xué)網(wǎng)絡(luò)平臺、電子閱覽室等資源的分類、檢索和管理、多媒體教學(xué)、遠(yuǎn)程教育等功能。 （ 3）校園管理信息系統(tǒng)用于支持學(xué)校日常管理的各項(xiàng)工作。用戶通過使用人事管理、教育教學(xué)管理、后勤管理、教學(xué)資源與應(yīng)用平臺、圖書館管理、生活管理等多個(gè)功能子系統(tǒng)可以方便快捷地處理各種復(fù)雜數(shù)據(jù)操作和文字錄入，完成各種校園信息數(shù)據(jù)的有效管理。 典型校園網(wǎng)拓?fù)浣Y(jié)構(gòu) 校園網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)包括校園網(wǎng)的網(wǎng)絡(luò)邊界設(shè)備，核心及骨干設(shè)備，網(wǎng)絡(luò)接入層設(shè)備，網(wǎng)絡(luò)服務(wù)提供設(shè)備和這些設(shè)備的連接 方式以及該結(jié)構(gòu)采用的協(xié)議及技術(shù)。 當(dāng)前的校園網(wǎng)多采用 1000M 以太網(wǎng)主干技術(shù)， 1000M 或 100M 到樓， 100M 或 10M到桌面，部分區(qū)域采用無線接入技術(shù)（ ）實(shí)現(xiàn)無線接入。校園網(wǎng)絡(luò)一般有邊界路由器，高性能的核心路由交換機(jī)，各分布層的三層路由交換機(jī)，大量的二層可網(wǎng)管接入交換機(jī)，以及防火墻，內(nèi)容過濾系統(tǒng)，流量分析系統(tǒng)，網(wǎng)絡(luò)設(shè)備管理系統(tǒng)等網(wǎng)絡(luò)硬件設(shè)備。校園網(wǎng)多采用星形拓?fù)浣Y(jié)構(gòu)。 常見的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)如圖 12 圖 12 校園網(wǎng)拓?fù)浣Y(jié)構(gòu) 校園網(wǎng)的建設(shè)目標(biāo) 網(wǎng) 絡(luò)安全是抵御內(nèi)外部各種形式的威脅，以保證網(wǎng)絡(luò)安全的過程。為了深入理解什么是網(wǎng)絡(luò)安全，必須理解網(wǎng)絡(luò)安全目的是在保護(hù)網(wǎng)絡(luò)上所面臨的威脅，理解一個(gè)能夠用于阻止這些攻擊的主要機(jī)制也是很重要的。通常，在網(wǎng)絡(luò)上實(shí)現(xiàn)最終的安全目標(biāo)可通過下面的步驟完成，每一步都是為了澄清攻擊和阻止攻擊的保護(hù)方法之間的關(guān)系。下面的步驟是在一個(gè)站上建立和實(shí)現(xiàn)安全的方法： 第 1 步：確定要保護(hù)的是什么； 第 2 步：決定盡力保護(hù)它免于什么威脅； 第 3 步：確定威脅的可能性； 第 4 步：以一種劃算的方法實(shí)現(xiàn)保護(hù)資產(chǎn)的目的； 第 5 步：不斷地檢查這些步驟，每當(dāng) 發(fā)現(xiàn)一個(gè)弱點(diǎn)就進(jìn)行改進(jìn)。 校園網(wǎng)絡(luò)系統(tǒng)需要實(shí)現(xiàn)以下安全目標(biāo)： （ 1）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問； （ 2）保護(hù)信息通過網(wǎng)上傳輸過程中的完整性、機(jī)密性。 （ 3）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性； （ 4）防御入侵者的惡意破壞與攻擊； （ 5）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性； 4 網(wǎng)絡(luò)安全概述 網(wǎng)絡(luò)安全的含義 網(wǎng)絡(luò)安全從其本質(zhì)來講就是網(wǎng)絡(luò)上信息安全，它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各式各樣的安全漏洞和威脅。廣義上講，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性和可控性的相關(guān)技術(shù)和理論，都是 網(wǎng)絡(luò)安全的研究領(lǐng)域。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及數(shù)據(jù)受到保護(hù)，不遭受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。且在不同環(huán)境和應(yīng)用中又不同的解釋。 （ 1）運(yùn)行系統(tǒng)安全：即保證信息處理和傳輸系統(tǒng)的安全，包括計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境和傳輸環(huán)境的法律保護(hù)、計(jì)算機(jī)結(jié)構(gòu)設(shè)計(jì)的安全性考慮、硬件系統(tǒng)的安全運(yùn)行、計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全、數(shù)據(jù)庫系統(tǒng)的安全、電磁信息泄露的防御等。 （ 2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問題跟蹤、 計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。 （ 3）網(wǎng)絡(luò)上信息傳輸?shù)陌踩杭葱畔鞑ズ蠊陌踩?、包括信息過濾、不良信息過濾等。 （ 4）網(wǎng)絡(luò)上信息內(nèi)容的安全：即我們討論的狹義的 “信息安全 ”；側(cè)重于保護(hù)信息的機(jī)密性、真實(shí)性和完整性。本質(zhì)上是保護(hù)用戶的利益和隱私。 網(wǎng)絡(luò)安全的屬性 網(wǎng)絡(luò)安全具有三個(gè)基本的屬性：機(jī)密性、完整性、可用性。 （ 1）機(jī)密性：是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要 范措施是密碼技術(shù)。 （ 2）完整性：是指保證信息與信息系統(tǒng)可被授權(quán)人正常使用，主要防范措施是確保信息與信息系統(tǒng)處于一個(gè)可靠的運(yùn)行狀態(tài)之下。 以上可以看出：在網(wǎng)絡(luò)中，維護(hù)信息載體和信息自身的安全都包括了機(jī)密性、完整性、可用性這些重要的屬性 網(wǎng)絡(luò)安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對某些潛在的安全威脅而設(shè)計(jì)的，可以根據(jù)實(shí)際情況單獨(dú)或組合使用。如何在有限的投入下合理地使用安全機(jī)制，以便盡可能地降低安全風(fēng)險(xiǎn)，是值得討論的，網(wǎng)絡(luò)信息安全機(jī)制應(yīng)包括 :技術(shù)機(jī)制和管理機(jī)制兩方面的內(nèi)容。 網(wǎng)絡(luò)安全技術(shù)機(jī)制 網(wǎng)絡(luò)安全技術(shù)機(jī)制包含以下內(nèi)容： （ 1）加密和隱藏。加密使信息改變，攻擊者無法了解信息的內(nèi)容從而達(dá)到保護(hù)；隱藏則是將有用信息隱藏在其他信息中，使攻擊者無法發(fā)現(xiàn)。 （ 2）認(rèn)證和授權(quán)。網(wǎng)絡(luò)設(shè)備之間應(yīng)互認(rèn)證對方的身份，以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制；同時(shí)網(wǎng)絡(luò)也必須認(rèn)證用戶的身份，以授權(quán)保證合法的用戶實(shí)施正確的操作。 （ 3）審計(jì)和定位。通過對一些重要的事件進(jìn)行記錄，從而在系統(tǒng)中發(fā)現(xiàn)錯(cuò)誤或受到攻擊時(shí)能定位錯(cuò)誤并找到防范失效的原因，作為 內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ)。 （ 4）完整性保證。利用密碼技術(shù)的完整性保護(hù)可以很好地對付非法篡改，當(dāng)信息源的完整性可以被驗(yàn)證卻無法模仿時(shí)，可提供不可抵賴服務(wù)。 （ 5）權(quán)限和存取控制：針對網(wǎng)絡(luò)系統(tǒng)需要定義的各種不同用戶，根據(jù)正確的認(rèn)證，賦予其適當(dāng)?shù)牟僮鳈?quán)力，限制其越級操作。 （ 6）任務(wù)填充：在任務(wù)間歇期發(fā)送無用的具有良好模擬性能的隨機(jī)數(shù)據(jù)，以增加攻擊者通過分析通信流量和破譯密碼獲得信息難度。 網(wǎng)絡(luò)安全管理機(jī)制 網(wǎng)絡(luò)信息安全不僅僅是技術(shù)問題，更是一個(gè)管理問題，要解決網(wǎng)絡(luò)信息安全問 題，必須制定正確的目標(biāo)策略，設(shè)計(jì)可行的技術(shù)方案，確定合理的資金技術(shù)，采取相應(yīng)的管理措施和依據(jù)相關(guān)法律制度。 校園網(wǎng)存在的安全隱患 校園網(wǎng)在學(xué)校的日常事務(wù)中發(fā)揮著重要的作用，與此同時(shí)，校園網(wǎng)的安全問題也越來越突出，黑客入侵、網(wǎng)絡(luò)病毒、管理不善等原因使得校園網(wǎng)絡(luò)面臨著嚴(yán)重的威脅。 危害校園網(wǎng)安全的內(nèi)部因素 在校園網(wǎng)所面臨的威脅當(dāng)中，內(nèi)部因素是一個(gè)重要的方面，這其中既包括軟硬件自身存在的缺陷，也包括管理者的管理水平等主觀方面的因素。 軟硬件自身存在的漏洞 來自硬件系統(tǒng) 的安全威脅。一方面是指物理安全，主要是由于網(wǎng)絡(luò)硬件設(shè)備的放置不合適或者防御措施不得力，使得服務(wù)器、工作站、交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)備，光纜和雙絞線等網(wǎng)絡(luò)線路以及 UPS 和電纜線等電源設(shè)備遭受雷電、水、火意外事故或人為破壞等等而造成的校園網(wǎng)不能正常使用。另一方面是指設(shè)置安全，主要是在設(shè)備上進(jìn)行必要的設(shè)置，防止黑客取得硬件設(shè)備的遠(yuǎn)程控制權(quán)等。硬件系統(tǒng)安全是制訂校園網(wǎng)安全整體解決方案時(shí)首先應(yīng)考慮的問題。 系統(tǒng)安全漏洞是指系統(tǒng)在設(shè)計(jì)時(shí)沒有考慮到的缺陷，特別是操作系統(tǒng)，因?yàn)檫@些軟件一般都比較的復(fù)雜、龐大，有時(shí)會(huì)因?yàn)槌绦騿T 的疏忽或軟件設(shè)計(jì)上的失誤而留下一些漏洞。理論上講任何一個(gè)系統(tǒng)都不同程度地存在著漏洞。因?yàn)橄到y(tǒng)漏洞的存在，使得針對系統(tǒng)漏洞的網(wǎng)絡(luò)攻擊和蠕蟲病毒也層出不窮。攻擊者對系統(tǒng)漏洞進(jìn)行攻擊，入侵成功后將獲得系統(tǒng)的相應(yīng)權(quán)限，進(jìn)而盜取重要資料或?qū)ο到y(tǒng)進(jìn)行破壞活動(dòng)。目前學(xué)校的計(jì)算機(jī)系統(tǒng)絕大多數(shù)都是使用 Windows2020/XP 操作系統(tǒng)，而Windows 操作系統(tǒng)是不太安全的。因?yàn)?Windows 操作系統(tǒng)的漏洞比較多，由 Windows操作系統(tǒng)漏洞引發(fā)的不安全問題時(shí)有發(fā)生。 設(shè)置上的失誤 合理規(guī)劃配置設(shè)施是校園網(wǎng) 發(fā)揮作用的關(guān)鍵。在校園網(wǎng)規(guī)劃時(shí)，應(yīng)考慮長遠(yuǎn)，因?yàn)橐坏┚C合布線、設(shè)備配置完成 后 再進(jìn)行調(diào)整 就 可能需要再重新設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)，很多地方需要重新布線，網(wǎng)絡(luò)設(shè)備也需要重新設(shè)置，這樣既浪費(fèi)人力，物力，也會(huì)影響到教學(xué)。對于一些重要的場所，例如圖書館、電子閱覽室、資料室、電腦室、多媒體制作室、教室、辦公室等應(yīng)多設(shè)信息點(diǎn)。同時(shí)網(wǎng)絡(luò)集成公司的技術(shù)實(shí)力、施工質(zhì)量及其五花八門的解決方案大多是自吹自擂，并沒有通過權(quán)威部門的評審、鑒定，致使網(wǎng)絡(luò)市場處于一種比較混亂的局面。 管理上的漏洞 管理是信息網(wǎng)絡(luò)安全中最重要的部分 。管理混亂、責(zé)權(quán)不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)，主在