【正文】 求越來越迫切，為促進教學(xué)、方便管理和進一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機構(gòu)的必然選擇。 14 技術(shù)方案 校園網(wǎng)的建設(shè)規(guī)劃 校園網(wǎng)建設(shè)作為一項復(fù)雜的系統(tǒng)工程，與任何一項工程建設(shè)一樣，在開始建設(shè)前都要根據(jù)工程的特點事先進行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運行都有直接的關(guān)系，因此要特別認(rèn)真地進行系統(tǒng)規(guī)劃。 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo)，本設(shè)計方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。 接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺 Cisco 3660 路由器作為廣域互連和外部用戶撥號訪問網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實現(xiàn)各自功能： 1. ADSL 接入方式。另一塊WSX6408GBIC 的 8 端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。一塊 WSX6KS1AMSFC2 交換引擎是交換機的心臟，它控制交換機的尋址 、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 網(wǎng)絡(luò)核心層：用一臺 Cisco 的高端三層交換機 Catalyst 6506 作為整個交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計算機網(wǎng)絡(luò)系統(tǒng)成為一個具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺。選擇 Cisco 3662 作為計算機網(wǎng)絡(luò)系統(tǒng) DDN、 ISDN 訪問路由器，既可以滿 足上級單位 Inter 的 DDN、 ISDN 接入的需求，又可以滿足繼續(xù)擴展的需求?？梢酝ㄟ^千兆的光纖鏈路連接到核心交換機，而所有的用戶終端可以通過 10/100M 自適應(yīng)通道接入到 Cisco Catalyst 3524 和 Catalyst 3548 交換機上。 關(guān)鍵設(shè)備 在產(chǎn)品選購之前一定要經(jīng)過認(rèn)真的分析，這次參與組網(wǎng)的機構(gòu)選用美國 Cisco公司的 Catalyst 6506 作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機， Catalyst 6506 是大容量的具有高交換能力的第三層模塊化交 換機， Catalyst 6506 的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿足網(wǎng)絡(luò)目前的需求。 統(tǒng)一性在系統(tǒng)的設(shè)計過程中，堅持 三統(tǒng)一 ，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。其設(shè)計方案應(yīng)注意以下原則： 實用性校園網(wǎng)設(shè)計應(yīng)能滿足學(xué)校目前對網(wǎng)絡(luò)應(yīng)用的要求，充分實現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握。此外每臺接入 Hub 的計算機 ,都要檢測接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計算機 CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級別應(yīng)用。因此有條件的話可選用交換機。 RJ45 是采用雙絞線作為傳輸媒介的一種網(wǎng)卡接口， RJ45 的接口酷似電話線的接口，但網(wǎng)絡(luò)線使用的是 8芯的接頭，使用 RJ45 的缺點是架設(shè)成本高，但安裝和維護較為方便，因此我們一般使用 RJ45 接口。目前 10Mbps ISA 插口的網(wǎng)卡仍以其低廉的價格占有市場的一定份額，但由于 10Mbps ISA 插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的 CPU 資源，只適應(yīng)于那些對速度要求不高的局域網(wǎng)，因此用 100Mbps PCI 插口的網(wǎng)卡或者10Mbps/100Mbps 自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。當(dāng)然也可以借助 Wingate 或 Sygate 等軟件多機共享一臺 Modem 上網(wǎng)；或者通過代理服務(wù)器連上 Inter，享受非一般的速度。學(xué)校建立了一套校園網(wǎng)絡(luò)安全 系統(tǒng) ，制定詳細(xì)的安全管理制度，如機房管理制度、病毒防范制度等，并采取切實有效的措施保證制度的執(zhí)行，并定期對校內(nèi)教師進行計算機網(wǎng)絡(luò)安全知識培訓(xùn)，或發(fā)放常見病毒解決方案等。首先，加強網(wǎng)絡(luò)安全知識的培訓(xùn)和普及；其次，是健全完善管理制度和相應(yīng)的考核機制，以提 高網(wǎng)絡(luò)管理的效率。 加強網(wǎng)絡(luò)安全管理。 數(shù)據(jù)加密。 漏洞掃描。入侵檢測系統(tǒng)能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢 11 測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并記錄有關(guān)事件。 入侵檢測系統(tǒng)是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊。 (4）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。使用動態(tài)規(guī)則管理，允許授權(quán)運行的程序開放的端口服務(wù)，比如網(wǎng)絡(luò)游戲或者視頻語音電話軟件提供的服務(wù)。總體上遵從“不被允許的服務(wù)就是被禁止”的原則 . (2）禁止訪問系統(tǒng)級別的服務(wù) ( 如 HTTP , FTP 等 )。 在與 Inter 相連的每一臺電腦上都裝上防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。同時，可以限制外來的垃圾郵件。 內(nèi)容過濾器。 VLAN 技術(shù)是在局域網(wǎng)內(nèi)將工作站邏輯的劃分成多個網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。 （ 4）網(wǎng)絡(luò)中心負(fù)責(zé)整個校園網(wǎng)的升級工作。 （ 2）在各辦公室分別安裝殺毒軟件的客戶端。為了實現(xiàn)這一點，應(yīng)在整個網(wǎng)絡(luò)內(nèi)可能感染和 傳播病毒的地方采取相應(yīng)的防病毒手段；同時為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能 .。 殺毒軟件。 [2] 校園網(wǎng)絡(luò)安全措施 前述各種網(wǎng)絡(luò)安全威脅，都是通過網(wǎng)絡(luò)安全缺陷和系統(tǒng)軟硬件漏洞來對網(wǎng)絡(luò)發(fā)起攻擊的。 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度 。 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理 。 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng) 。 配備完整系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。對于出口進行 規(guī)范統(tǒng)一的管理，使校園網(wǎng)絡(luò)安全體系能夠得以實施。 校園網(wǎng)安全管理 針對目前高校校園網(wǎng)安全現(xiàn)狀的認(rèn)識與理解，在防病毒軟件、防火墻或智能網(wǎng)關(guān)等構(gòu)成的防御體系下，對于防止來自校園網(wǎng)外的攻擊已經(jīng)足夠。 作為高等院校，如何構(gòu)筑相對可靠的校園網(wǎng)絡(luò)安全體系問題，變得越來越突出了。 國內(nèi)高校校園網(wǎng)的安全問題有其歷史原因：在以前的網(wǎng)絡(luò)時期，一方面因為意識與資金方面的原因，以及對技術(shù)的偏好和運營意識的不足，普遍都存在 “ 重技術(shù)、輕安全、輕管理 “ 的傾向，常常只是在內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間放一個防火墻就萬事大吉，有些學(xué)校甚至直接連接互聯(lián)網(wǎng)，這就給病毒、黑客提供了充分施展身手的空間。因而對目錄共享安全意識的單薄，會導(dǎo)致了信息的外泄。這也成了數(shù)據(jù)資料安全的一個隱患。 3) 目錄共享 導(dǎo)致信息的外泄 , 在校園網(wǎng)絡(luò)中，利用在對等網(wǎng)中對計算機中的某個目錄設(shè)置共享進行資料的傳輸與共享是人們常采用的一個方法。 2) 使用的操作系統(tǒng)存在安全漏洞，網(wǎng)絡(luò)木馬、病毒和黑客攻擊影響到系統(tǒng)的安全。無論哪種方式，都對網(wǎng)絡(luò)安全造成很大的危害。它是威力最強大的拒絕服務(wù)攻擊方式，其主要采用多臺服務(wù)器對同一網(wǎng)絡(luò)同時發(fā)起攻擊，導(dǎo)致該網(wǎng)絡(luò)瞬間癱瘓。借助機器對某些消息為進行錯誤校驗來攻擊服務(wù)器。通過向一臺服務(wù)器大量的不間斷的發(fā)送電子郵件，起到癱瘓服務(wù)器的作用。 Fraggle 攻擊對 Smurf 攻擊做了修改。攻擊者將報文地址設(shè)為 Echo 地址，這樣 Echo78 地址就必須不問斷的響應(yīng)該報文，使得網(wǎng)絡(luò)帶寬被侵占，從而達(dá)到癱瘓網(wǎng)絡(luò)的目的。 5 ) LAND 攻擊 該攻擊是讓服務(wù)器自己向自己發(fā)送 SYN 握手信息．已達(dá)到癱瘓主機的目的。 4 ) SYN 洪水攻擊。 3 ） UDP 洪水攻擊。 2）淚滴攻擊。早期的網(wǎng)絡(luò)不支持大包，攻擊者通過網(wǎng)絡(luò)發(fā)送大母的大數(shù)據(jù)包到被攻擊者網(wǎng)絡(luò)，造成網(wǎng)絡(luò)堵塞以致癱瘓。攻擊者在發(fā)起攻擊時，可能采取單一手段的攻擊模式，也可能采取多種攻擊手段聯(lián)合使用的模式。典型的拒絕服務(wù)攻擊表 現(xiàn)為攻擊者向被攻擊網(wǎng)絡(luò)大陸發(fā)送數(shù)據(jù)從而消耗其資源、使得用戶無法訪問所需信息。加之學(xué)生的好奇心的因素，導(dǎo)致拒絕服務(wù)攻擊發(fā)生頻率較高，是危害校園網(wǎng)安全的重要類型之一。之所以介紹拒絕服務(wù)攻擊，因為拒絕服務(wù)攻擊在校園網(wǎng)發(fā)牛的更為普遍。 廣義的網(wǎng)絡(luò)攻擊包括很多方面。因此．網(wǎng)絡(luò)病毒利用軟件的破綻和研制時因疏忽而留下的“后門”大肆發(fā)起攻擊。 病毒還可以利用網(wǎng)絡(luò)的薄弱環(huán)節(jié)攻擊計算機網(wǎng)絡(luò)。這時候的病毒傳播還是線下傳播。 計 算機病毒的傳染性證明其具有傳播性，防止病毒傳播，首先必須認(rèn)識其傳播途徑和傳播機理。潛伏性則是指計算機病毒可以長時間地潛伏在文件中，在相應(yīng)的觸發(fā)機制出現(xiàn)前并不影響計算機，但當(dāng)被觸發(fā)后，則后果嚴(yán)重。傳染性則是計算機病毒能通過自我復(fù)制傳染到內(nèi)存、硬盤甚至文件中。計算機病毒種類繁多，形形色色，但就已經(jīng)發(fā)現(xiàn)的計算機病毒而言，其危害性主要表現(xiàn)為破壞性、傳染性、寄生性、潛伏性和激發(fā)性幾 大特征。 [7] 校園網(wǎng)絡(luò)安全威脅 1 計算機病毒 計算機病毒是一組通過復(fù)制自身來感染其它軟件的程序。 綜上所述，網(wǎng)絡(luò)必須有足夠強的安全措施。 校園網(wǎng)也同樣不能幸免。但現(xiàn)實中，各地在建立學(xué)校校園網(wǎng)的過程中又存在這樣那樣的問題，如有的學(xué)校建網(wǎng)初期就缺乏整體規(guī)劃，從而導(dǎo)致主干網(wǎng)和各子網(wǎng)通路不暢，或是導(dǎo)致后期整體效率不高；有的學(xué)校缺乏必要的網(wǎng)絡(luò)建設(shè)監(jiān)督人員，將項目交給一些實力較弱或是責(zé)任心較差的公司全權(quán)負(fù)責(zé)，結(jié)果導(dǎo)致建網(wǎng)質(zhì)量偏低，后期維護費用偏大；還有的學(xué)校認(rèn)為校園網(wǎng)就是 一攬子 計劃，忽視了后期維護和配套建設(shè)工作，從而導(dǎo)致后期預(yù)算偏緊，校園網(wǎng)難以正常運作為了解決上述問題，在建網(wǎng)時應(yīng)注意： 1. 校園網(wǎng)建設(shè)沒有通用方案，每個學(xué)校應(yīng)根據(jù)自身實際情況（資 金和技術(shù)能力），設(shè)計自身的校園網(wǎng)絡(luò)； 2. 校園網(wǎng)建設(shè)是一個周期較長，規(guī)模龐大的系統(tǒng)工程，不能 一蹴而就 ，更不能只考慮局部建設(shè)，而缺乏整體規(guī)劃； 3. 重視對教師的培訓(xùn)，避免因教師素質(zhì)原因?qū)е戮W(wǎng)絡(luò)應(yīng)用效率不高，從而導(dǎo)致資源的浪費。截止 2020 年年初，教育部宣布有 500 多家已建立。如美國要求所有中小學(xué)生都能上網(wǎng)，都能使用電子郵件，并計劃將全國 122 所一流大學(xué)與社會廣泛連接，構(gòu)筑一個教育與研究的專用網(wǎng)絡(luò)；英國提出要在 2020 年成立網(wǎng)上工業(yè)大學(xué)，到 2020 年所有中小學(xué)、圖書館、 學(xué)院和大學(xué)全部 介入全國的學(xué)習(xí)網(wǎng)；新加坡提出八歲兒童能閱讀，十二歲兒童能上網(wǎng)。 在世界各發(fā)達(dá)國家，校園網(wǎng)的建設(shè)速度似乎 不亞于其他如政府網(wǎng)的興建速度。目前，這幾所院校已初步形成了開辦現(xiàn)代遠(yuǎn)程教育的技術(shù)手段。全國各省市都把建設(shè)校園網(wǎng)作為現(xiàn)代教育的頭等大事來抓。因此，如何在現(xiàn)有的條 件下避免 這樣 事件發(fā)生，搞好網(wǎng)絡(luò)的安全工作已成了一個重要課題。 校園網(wǎng)絡(luò)安全 現(xiàn)狀分析 隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，可以說現(xiàn)在的大部分學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這對加快 信息處理、提高工作效率、實現(xiàn)資源共享都起大了無法估量的作用， 4 但在積極發(fā)展辦公自動化、信息電子化、實現(xiàn)資源共享的同時，網(wǎng)絡(luò)的安全問題越來越成為一個非常嚴(yán)懲的隱患，就好像一顆定時炸彈一樣，深深的埋在教育現(xiàn)代化的進程中，如果這一個隱患不除，那么也許有一天，學(xué)校信息平臺服務(wù)器遭到攻擊而停止工作、整個校園網(wǎng)絡(luò)被迫停止、學(xué)校積累的各種數(shù)據(jù)和信息被刪除了，導(dǎo)致辛苦積累的大量教育資源被破壞。 由于校園網(wǎng)絡(luò)內(nèi)運行的主要是多種網(wǎng)絡(luò)協(xié)議，而這些網(wǎng)絡(luò)協(xié)議并非專為安全通訊而設(shè)計。 [1] 校園網(wǎng)絡(luò)安全概述 自信息系統(tǒng)開始運行以來就存在信息系統(tǒng)安全問題，通過網(wǎng)絡(luò)遠(yuǎn)程訪問而構(gòu)成的安全威脅成為日益受到嚴(yán)重關(guān)注的問題。 計算機技術(shù)的飛速發(fā)展，使相應(yīng)產(chǎn)品價格不斷下降；同時 人們的認(rèn)識水平和經(jīng)濟實力不斷提高。 我國各級教育研究部門、軟件開發(fā)單位、教學(xué)設(shè)備供應(yīng)商和各級學(xué)校不斷開發(fā)提供了各種在網(wǎng)絡(luò)上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡(luò)環(huán)境。主要表現(xiàn)在： 3 當(dāng)前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠(yuǎn)程教學(xué)和協(xié)作工作的階段，發(fā)展對學(xué)校教育現(xiàn)代化的建設(shè)提出了越來越高的要求。是否在學(xué)校采用最先進的信息和傳播技術(shù)是一個有決定性意義的問題 ,而且十分重要的是 ,學(xué)校應(yīng)該處于影響整個社會深刻變革的中心地位。 校園網(wǎng)概述 計算機網(wǎng)絡(luò)是指通過傳輸媒體連接的多部計算機組成的系統(tǒng)，使登陸其上的所有用戶能夠共享軟硬件資源，這就要求有強而保險的安全信息保障技術(shù) 。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。但是，在我們驚嘆于網(wǎng)絡(luò)的強大功 能時，還應(yīng)當(dāng)清醒地看到，網(wǎng)絡(luò)世界并不是一方凈土。我們的 教育 也正朝著信息化、網(wǎng)絡(luò)化發(fā)展，隨著 “校校通 ”工程的深入開展，許多學(xué)校都 投資 建設(shè)了校園網(wǎng)絡(luò)并投入使用。因此，在現(xiàn)有的技術(shù)條件下，如何構(gòu)建相對可靠的校園網(wǎng)絡(luò)安全體系，就成了校園網(wǎng)絡(luò)管理人員的一個重要課題。 2 1. 校園網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是一門涉及 計算機 科學(xué)、網(wǎng)絡(luò)技術(shù)、 通信 技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用 數(shù)學(xué) 、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。 隨