【正文】 根據(jù)需求分析，可以知道整個校園網(wǎng)信息點的數(shù)目，同時也知道這些信息點在整個校園內(nèi)的分布情況。 3． 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計和 邏輯設(shè)計，在完成結(jié)構(gòu)設(shè)計后才能對網(wǎng)絡(luò)設(shè)備進(jìn)行選型。因此我們在設(shè)計一個校園網(wǎng)時，要充分考慮到對已有校園網(wǎng)資源的再次利用，又要考慮到將來對校園網(wǎng)進(jìn)一步的升級改造。一般來說，一個校園網(wǎng)系統(tǒng)總體目標(biāo)是分步實施的，包括功能的分步實施和規(guī)模的分步實施。在完成校園網(wǎng)的需求分析之后，就要對整個校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計。通過對實際需要進(jìn)行細(xì)致的分析，才能確定系統(tǒng)的總體目標(biāo)和近期目標(biāo)。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點： 高速的局域網(wǎng)連接 校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項基本要求； 信息結(jié)構(gòu) 多樣化 校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等）、學(xué)校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊則多為 WWW 方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理 校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太過專業(yè)化； 15 經(jīng)濟(jì)實用 學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實用，具備很高的性能價格比。對于校園網(wǎng)來說，必須對技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識，只有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理 的規(guī)劃。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 2. FTTX+LAN 接入方式。 匯聚層：在分配線間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備 Catalyst 6506 上去，終端用戶可以通過超 5 類 UTP 線纜連接到各層交換機(jī)中去， 14 可以實現(xiàn) 10/100M 的自適應(yīng)通道連接到局域網(wǎng)中去。 Catalyst6506 交換機(jī)引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用 Cisco 特有的 Netflow 技術(shù)，完全滿足核心線性三層交換的能力。其中配置兩個電源同時供電，彼此分擔(dān)負(fù)荷并互為備份。同時Cisco 3662 作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號服務(wù)器，提供分支機(jī)構(gòu)的撥號接入。選擇 Catalyst 3524 和Catalyst 3548 作為計算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級匯聚交換機(jī)，為終端用戶提供 10/100M 到桌面。選擇 Catalyst 3548 作為外網(wǎng)交換機(jī)。 先進(jìn)性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時候，能方便地擴(kuò)展，保護(hù)目前的所有投資；設(shè)計的配置可以靈活變通，以便適應(yīng)客戶的其他要求。 可靠性校園網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運行，具有很高的 MTBF(平均無故障工作時間 )和極低的 MTBR(平均無故障率 )，提高容錯設(shè)計，支持故障檢測和恢復(fù)，可管理性強(qiáng)。 學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合 信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實現(xiàn)各項管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項靈魂工程。一個 Hub 所組成的域稱為沖突域 ,也就是說 ,網(wǎng)絡(luò)上任何一臺計算機(jī)在收發(fā)數(shù)據(jù)時 ,其他所有計算機(jī)都能夠收到 ,且這些計算機(jī)不能同時進(jìn)行數(shù)據(jù)的收發(fā) ,否則會發(fā)生碰撞 (CSMA/ CD 協(xié)議會阻止碰撞 )。集線器 (HUB):根據(jù)微機(jī)的數(shù)量 ,利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問題。 BNC 口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。網(wǎng)卡根據(jù)傳輸速率可分為： 10Mbps網(wǎng)卡（ ISA 插口或 PCI 插口）、 100Mbps PCI 插口網(wǎng)卡、 10Mbps/100Mbps 自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。 校園網(wǎng)建設(shè)需求分析 需求分析 局域網(wǎng)最大的特點就是可以實現(xiàn)資源的最佳利用 ,如 :共享磁盤設(shè)備、打印機(jī)等 ,從而可以在組建的局域 網(wǎng)內(nèi)部互相調(diào)用文件 ,并可在任何一臺共享打印機(jī)上進(jìn)行打印 。3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。 漏洞掃描。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象，并記錄有關(guān)事件。 入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則 . (2） 禁止訪問系統(tǒng)級別的服務(wù) ( 如 HTTP , FTP 等 )。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。同時，可以限制外來的垃圾郵件。 內(nèi)容過濾器。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能 .。 殺毒軟件。 [2] 校園網(wǎng)絡(luò)安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過 網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。 12 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理 。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵 檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。對于出口進(jìn)行規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。 作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。 國內(nèi)高校校園 網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍都存在 “ 重技術(shù)、輕安全、輕管理 “ 的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。因而對目錄共享安全意識的單薄，會導(dǎo)致了信息的外泄。成了數(shù)據(jù)資料安全的一個隱患。 3) 目錄共享導(dǎo)致信息的外泄 , 在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機(jī)中的某個目錄設(shè)置共享進(jìn)行資料的傳輸與共享是人們常采用的一個方法。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。它是威力 最強(qiáng)大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。借助機(jī)器對某些消息為進(jìn)行錯誤校驗來攻擊服務(wù)器。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。 Fraggle 攻擊對 Smurf 攻擊做了修改。攻擊者將報文地址設(shè)為 Echo 地址，這樣 Echo78 地址就必須不問斷的響應(yīng)該報文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。 5 ) LAND 攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送 SYN 握手信息．已達(dá)到癱瘓主機(jī)的目的。 4 ) SYN 洪水攻擊。 3 ） UDP 洪水攻擊。 2）淚滴攻擊。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式 。典型的拒絕服務(wù)攻擊表現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。之所以介 紹拒絕服務(wù)攻擊，因為拒絕服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。 廣義的網(wǎng)絡(luò)攻擊包括很多方面。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計算機(jī)網(wǎng)絡(luò)。這時候的病毒傳播 還是線下傳播。 計算機(jī)病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識其傳播途徑和傳播機(jī)理。潛伏性則是指計算機(jī)病毒可以長時間地潛伏在文件中，在相應(yīng)的觸發(fā)機(jī)制出現(xiàn)前并第 10 頁 共 31 頁 ） 10 不影響計算機(jī)，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。傳染性則是計算機(jī)病 毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。計算機(jī)病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計算機(jī)病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾大特征。 [7] 校園網(wǎng)絡(luò)安全威脅 1 計算機(jī)病毒 計算機(jī)病毒是一組通過復(fù)制自身來感染其它軟件的程序。 綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。 校園網(wǎng)也同樣不能幸免。但現(xiàn)實中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺 乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項目交給一些實力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低，后期維護(hù)費用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是 一攬子 計劃，忽視了后期維護(hù)和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運作為了解決上述問題，在建網(wǎng)時應(yīng)注意： 1. 校園網(wǎng)建設(shè)沒有通用方案，每個學(xué)校應(yīng)根據(jù)自身實際情況（資金和技術(shù)能力），設(shè)計自身的校園網(wǎng)絡(luò)； 2. 校園網(wǎng)建設(shè)是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能 一蹴而就 ，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃； 3. 重視對教師的培訓(xùn)，避免因教師素質(zhì)原 因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪費。截止 2020 年年初，教育部宣布有 500 多家已建立。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計劃將全國 122 所一流大學(xué)與社會廣泛連接，構(gòu)筑一個教育與研究 的專用網(wǎng)絡(luò)；英國提出要在 2020 年成立網(wǎng)上工業(yè)大學(xué)，到 2020 年所有中小學(xué)、圖書館、 學(xué)院和大學(xué)全部 介入全國的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。 在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎不亞于其他如政府網(wǎng)的興建速度。目前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。因此，如何在現(xiàn)有的條件下避免 這樣 事件發(fā)生，搞好網(wǎng)絡(luò)的安全工作已成了一個重要課題。 校園網(wǎng)絡(luò)安全 現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對加快信息處理、提高工作效率、實現(xiàn)資源共享都起大了無法估量的作用，但在積極發(fā)展辦公自動化、信息電子化、實現(xiàn)資源共享的同時，網(wǎng)絡(luò)的安全問題越來越成為一個非常嚴(yán)懲的隱患，就好像一顆定時炸彈一樣，深深 的埋在教育現(xiàn)代化的進(jìn)程中，如果這一個隱患不除，那么也許有一天，學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。 由于校園網(wǎng)絡(luò)內(nèi)運行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。 [1] 校園網(wǎng)絡(luò)安全概述 自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安 全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。 計算機(jī)技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價格不斷下降；同時人們的認(rèn)識水平和經(jīng)濟(jì)實力不斷提高。 我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。主要表現(xiàn)在： 當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。是否在學(xué)校采用最先進(jìn)的信息和傳播技術(shù)是一個有決定性意義的問題 ,而且十分重要的是 ,學(xué)校應(yīng)該處于影響整個社會深刻變革的中心地位。網(wǎng)絡(luò)安