第一篇:校園網絡安全實施方案
校園網絡安全實施方案
校園網網絡是一個分層次的拓撲結構,因此網絡的安全防護也需采用分層次的拓撲防護措施。即一個完整的校園網網絡信息安全解決方案應該覆蓋網絡的各個層次,并且與安全管理相結合。
一、網絡信息安全系統設計原則
· 1.1滿足Internet分級管理需求
· 1.2需求、風險、代價平衡的原則
· 1.3綜合性、整體性原則
· 1.4可用性原則
· 1.5分步實施原則
目前,對于新建網絡及已投入運行的網絡,必須盡快解決網絡的安全保密問題,設計時應遵循如下思想:
(1)大幅度地提高系統的安全性和保密性;(2)保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;(3)易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
(4)盡量不影響原網絡拓撲結構,便于系統及系統功能的擴展;
(5)安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
(6)安全與密碼產品具有合法性,并便于安全管理單位與密碼管理單位的檢查與監督。
基于上述思想,網絡信息安全系統應遵循如下設計原則:
滿足因特網的分級管理需求
根據Internet網絡規模大、用戶眾多的特點,對Internet/Intranet信息安全實施分級管理的解決方案,將對它的控制點分為三級實施安全管理。
--第一級:中心級網絡,主要實現內外網隔離;內外網用戶的訪問控制;內部網的監控;內部網傳輸數據的備份與稽查。
--第二級:部門級,主要實現內部網與外部網用戶的訪問控制;同級部門間的訪問控制;部門網內部的安全審計。
--第三級:終端/個人用戶級,實現部門網內部主機的訪問控制;數據庫及終端信息資源的安全保護。
需求、風險、代價平衡的原則
對任一網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。
綜合性、整體性原則
應用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
可用性原則
安全措施需要人為去完成,如果措施過于復雜,要求過高,本身就降低了安全性,如密鑰管理就有類似的問題。其次,措施的采用不能影響系統的正常運行,如不采用或少采用極大地降低運行速度的密碼算法。
分步實施原則:分級管理 分步實施
由于網絡系統及其應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。
二、網絡信息安全系統設計步驟
網絡安全需求分析
確立合理的目標基線和安全策略
明確準備付出的代價
制定可行的技術方案
工程實施方案(產品的選購與定制)
制定配套的法規、條例和管理辦法
本方案主要從網絡安全需求上進行分析,并基于網絡層次結構,提出不同層次與安全強度的校園網網絡信息安全解決方案。
三、網絡安全需求
確切了解校園網網絡信息系統需要解決哪些安全問題是建立合理安全需求的基礎。一般來講,校園網網絡信息系統需要解決如下安全問題:
局域網LAN內部的安全問題,包括網段的劃分以及VLAN的實現
在連接Internet時,如何在網絡層實現安全性
應用系統如何保證安全性 l 如何防止黑客對網絡、主機、服務器等的入侵
如何實現廣域網信息傳輸的安全保密性
加密系統如何布置,包括建立證書管理中心、應用系統集成加密等
如何實現遠程訪問的安全性
如何評價網絡系統的整體安全性
基于這些安全問題的提出,網絡信息系統一般應包括如下安全機制:訪問控制、安全檢測、攻擊監控、加密通信、認證、隱藏網絡內部信息(如NAT)等。
四、網絡安全層次及安全措施
4.1鏈路安全
4.2網絡安全
4.3信息安全
網絡的安全層次分為:鏈路安全、網絡安全、信息安全
網絡的安全層次及在相應層次上采取的安全措施見下表。
信息安全 信息傳輸安全(動態安全)數據加密 數據完整性鑒別 安全管理
信息存儲安全(靜態安全)數據庫安全 終端安全
信息的防泄密 信息內容審計
用戶 鑒別 授權(CA)
網絡安全 訪問控制(防火墻)網絡安全檢測 入侵檢測(監控)IPSEC(IP安全)審計分析
鏈路安全 鏈路加密
4.1鏈路安全
鏈路安全保護措施主要是鏈路加密設備,如各種鏈路加密機。它對所有用戶數據一起加密,用戶數據通過通信線路送到另一節點后立即解密。加密后的數據不能進行路由交換。因此,在加密后的數據不需要進行路由交換的情況下,如DDN直通專線用戶就可以選擇路由加密設備。
一般,線路加密產品主要用于電話網、DDN、專線、衛星點對點通信環境,它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網,同步線路密碼機則可用于許多專線環境。
4.2網絡安全
網絡的安全問題主要是由網絡的開放性、無邊界性、自由性造成的,所以我們考慮校園網信息網絡的安全首先應該考慮把被保護的網絡由開放的、無邊界的網絡環境中獨立出來,成為可管理、可控制的安全的內部網絡。也只有做到這一點,實現信息網絡的安全才有可能,而最基本的分隔手段就是防火墻。利用防火墻,可以實現內部網(信任網絡)與外部不可信任網絡(如因特網)之間或是內部網不同網絡安全域的隔離與訪問控制,保證網絡系統及網絡服務的可用性。
目前市場上成熟的防火墻主要有如下幾類,一類是包過濾型防火墻,一類是應用代理型防火墻,還有一類是復合型防火墻,即包過濾與應用代理型防火墻的結合。包過濾防火墻通常基于IP數據包的源或目標IP地址、協議類型、協議端口號等對數據流進行過濾,包過濾防火墻比其它模式的防火墻有著更高的網絡性能和更好的應用程序透明性。代理型防火墻作用在應用層,一般可以對多種應用協議進行代理,并對用戶身份進行鑒別,并提供比較詳細的日志和審計信息;其缺點是對每種應用協議都需提供相應的代理程序,并且基于代理的防火墻常常會使網絡性能明顯下降。應指出的是,在網絡安全問題日益突出的今天,防火墻技術發展迅速,目前一些領先防火墻廠商已將很多網絡邊緣功能及網管功能集成到防火墻當中,這些功能有:VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。
信息系統是動態發展變化的,確定的安全策略與選擇合適的防火墻產品只是一個良好的開端,但它只能解決60%-80%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等,這些都是對信息系統安全的挑戰。
信息系統的安全應該是一個動態的發展過程,應該是一種檢測──監視──安全響應的循環過程。動態發展是系統安全的規律。網絡安全風險評估和入侵監測產品正是實現這一目標的必不可少的環節。
網絡安全檢測是對網絡進行風險評估的重要措施,通過使用網絡安全性分析系統,可以及時發現網絡系統中最薄弱的環節,檢查報告系統存在的弱點、漏洞與不安全配置,建議補救措施和安全策略,達到增強網絡安全性的目的。
入侵檢測系統是實時網絡違規自動識別和響應系統。它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方,通過實時截獲網絡數據流,能夠識別、記錄入侵和破壞性代碼流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時,入侵檢測系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,自動阻斷通信連接或執行用戶自定義的安全策略等。
另外,使用IP信道加密技術(IPSEC)也可以在兩個網絡結點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數據完整性機制。利用IP封裝凈載(IP ESP)可以實現通信內容的保密。IP信道加密技術的優點是對應用透明,可以提供主機到主機的安全服務,并通過建立安全的IP隧道實現虛擬專網即VPN。目前基于IPSEC的安全產品主要有網絡加密機,另外,有些防火墻也提供相同功能。
五、校園網網絡安全解決方案
5.1 基本防護體系(包過濾防火墻+NAT+計費)
用戶需求:全部或部分滿足以下各項 · 解決內外網絡邊界安全,防止外部攻擊,保護內部網絡
· 解決內部網安全問題,隔離內部不同網段,建立VLAN · 根據IP地址、協議類型、端口進行過濾
· 內外網絡采用兩套IP地址,需要網絡地址轉換NAT功能
· 支持安全服務器網絡SSN
· 通過IP地址與MAC地址對應防止IP欺騙
· 基于IP地址計費
· 基于IP地址的流量統計與限制
· 基于IP地址的黑白名單。
· 防火墻運行在安全操作系統之上
· 防火墻為獨立硬件
· 防火墻無IP地址
解決方案:選用寶信的 eCop XSA3000
5.2 標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)
用戶需求:在基本防護體系配置的基礎之上,全部或部分滿足以下各項 · 提供應用代理服務,隔離內外網絡
· 用戶身份鑒別
· 權限控制
· 基于用戶計費
· 基于用戶的流量統計與控制
· 基于WEB的安全管理
· 支持VPN及其管理
· 支持透明接入
· 具有自身保護能力,防范對防火墻的常見攻擊
解決方案:
(1)選用寶信的 eCop XSA3000
(2)防火墻基本配置+網絡加密機(IP協議加密機)
5.3 強化防護體系(包過濾+NAT+計費+代理+VPN+網絡安全檢測+ 監控)
用戶需求:在標準防護體系配置的基礎之上,全部或部分滿足以下各項
· 網絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備)
· 操作系統安全性檢測
· 網絡監控與入侵檢測
解決方案:選用寶信的 eCop XSA3000+網絡安全分析系統+網絡監控器
第二篇:校園網絡安全責任書
XXX中學校園網絡安全責任書
圍繞總目標,落實總目標,為安全使用計算機,保護校園網絡系統的安全,保證校園網絡的正常運行,促進我校教育教學,提高教育教學質量,制定本責任書。
一、不得利用網絡從事危害國家安全、泄露國家機密等犯罪活動,不制作、查閱、復制、傳播有礙社會治安和違反社會公德的信息;
二、不得利用網絡干擾其他網絡用戶、破壞網絡服務、網絡信息和網絡設備等,不散布計算機病毒、不向他人發送惡意的、挑釁性的信息。
三、增強網絡安全意識,不使用盜版或來路不明的軟件,不將有安全隱患的計算機接入校園網,各教師必須按學校分配的IP地址上網使用,任何人不得更改IP及網絡設置,不得盜用IP地址及計算機名稱。
四、每臺計算機上必須安裝防病毒軟件,各教研組、辦公室要切實做好防病毒措施,隨時注意殺毒軟件是否開啟,及時在線升級殺毒軟件并及時殺毒。
五、不得在校園網上玩電子游戲,不得傳閱有政治問題和淫穢色情內容的信息;不得利用微信、QQ、微博等軟件傳播危害民族團結、社會穩定、國家安全的信息。
任何人不得查閱、復制或傳播下列信息:
(1)煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;
(2)煽動抗拒、破壞憲法和國家法律、行政法規的實施;(3)捏造或者歪曲事實,故意散布謠言,擾亂社會秩序;(4)公然侮辱他人或者捏造事實誹謗他人;
(5)宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。
六、所有上網用戶必須遵守國家有關法律、法規,嚴格執行安全保密制度,并對所提供的信息負責。任何辦公室和個人不得利用聯網計算機從事危害校園網及本地局域網服務器的活動。
七、使用網絡的全體教職員工必須向學校法人和有關學校領導報告違法行為和有害信息。
八、不得在校園網內使用來歷不明、引發病毒傳染的軟件或文件;對于外來光盤、優盤上的文件應使用合格的殺毒軟件進行檢查、殺毒。
九、不得未經允許使用各種各樣的WIFI設備。
十、責任人應妥善保管所使用的計算機,并對該機所發出的任何信息及瀏覽內容負責。
十一、對于違反本管理規定造成不良后果,將給予相應的黨紀、政紀處分,情節嚴重的,移交司法部門處理。
教職工簽字:
網絡管理員簽字:
校長簽字:
書記簽字:
XXX中學(蓋章)2017年3月10日
第三篇:校園網絡安全知識
校園網絡安全知識
常見的幾種網絡安全問題
1.陷入網絡游戲中欲罷不能,玩了第一級,就想玩到第二級、第三級……玩者在游戲過程中為了獲得榮譽、自尊,不惜出賣友誼、信譽,對同伴欺騙、訛詐甚至施暴。
2.玩游戲不僅花費他們所有的業余時間,而且一旦上癮就很難控制自己甚至不想上學,經常曠課、逃學,成績下降,導致退學。
3.網絡還隱藏著其它陷阱。網上聊天交友是學生喜歡的“節目”,但在虛擬環境下交網友比現實生活中要更加警惕,以防上當受騙。
4.過度使用互聯網,使自身的社會功能、工作、學習和生活等方面受到嚴重的影響和損害。長時間的上網會造成不愿與外界交往,行為孤僻,喪失了正常的人際關系。
上網要警惕哪些心理健康問題
1.計算機依賴成癮。使用者沒有任何明確目的,不可抑制地長時間操作計算機或上網瀏覽網頁、玩游戲等,幾乎每天上網5-6個小時,常熬夜上網,網癮日益嚴重。
2.網絡交際成癮。在現實生活中不愿和人直接交往,不合群,沉默寡言,但喜歡網絡交際,經常上網聊天或通過其他網絡交流方式與人交流思想情感,一天不上網交際就渾身不舒服。
3.網絡色情成癮。上網者迷戀網上的所有色情音樂、圖片以及影像等。有專家指出每周花費11小時以上用來漫游色情網站的人,就有色情成癮的嫌疑。4.強迫信息收集成癮。這包括強迫性地從網上收集無用的、無關緊要的或者不迫切需要的信息。
5.游戲成癮。包括不可抑制地長時間玩計算機游戲,這是較普遍存在的現象,不但用家中的電腦可以輕松地進行連網游戲,遍街的電腦網吧更是絕佳的去處,既可以逃避家長的耳目,還可眾人一起連機,使游戲更加的刺激有趣。
6.如果一段時間不能上網,就會產生失落感、焦慮癥、空虛感,煩躁不安,想找人吵架或想攻擊別人;有的心情郁悶,產生悲觀厭世情緒和自殺念頭。
如何擺脫網絡成癮癥
如果你覺得網癮太大,自己抵抗力太小,那么以下的三條具體建議,可以幫助你預防網絡成癮癥:
1.不要把上網作為逃避現實生活問題或者消極情緒的工具。“借網消愁愁更愁”。理由是,上網逃脫不了現實,逃得過初一,逃不過十五。更重要的是,因為你的上網行為在不知不覺中已經得到了強化,網癮加重。
2.上網之前先定目標。每次花兩分鐘時間想一想你要上網干什么,把具體要完成的任務列在紙上。不要認為這個兩分鐘是多余的,它可以為你省10個兩分鐘,甚至100個兩分鐘。
3.上網之前先限定時間。看一看你列在紙上的任務,用1分鐘估計一下大概需要多長時間。假設你估計要用40分鐘,那么把小鬧鐘定到20分鐘,到時候看看你進展到哪里了。
總之,我們在享受高科技帶來的全新概念時,不能忘記很重要的一個原則:網絡的精彩絕倫、快速便捷以及其他的種種優點都不能完完全全地替代現實生活,網絡生活只能作為現實生活的一部分。
上網應小心網絡陷阱
不可否認,互聯網確實開拓了我們的視野,豐富了我們的生活,但是互聯網上也存在著大量的陷阱。如果不能認識到這些陷阱的危害并預防它們,那么,互聯網帶給我們的恐怕不再是鮮花和美酒,而是財物的浪費、秘密的泄露,更有甚者會危及到人身的安全。
“網絡陷阱”到底有幾種,如何破解?根據近年來網絡陷阱的表現大致可以分成四大類:病毒陷阱、色情陷阱、感情陷阱以及金錢陷阱。
1.病毒陷阱。病毒陷阱是網上最常見的一種陷阱。電腦病毒是一種經過惡意設計,能隱蔽運行和自我復制、具有破壞力和不良表現欲的計算機軟件,它們在用戶不注意的時候侵入計算機系統,破壞用戶文件,竊取用戶隱私,強迫用戶瀏覽不良站點。因特網的廣泛應用,使得病毒的制造和傳播空前活躍,帶有黑客性質的病毒和嵌入網頁的惡意代碼大量涌現。由于個人計算機系統的天生脆弱性與互聯網的開放性,我們將不得不與病毒長久共存。
應對措施:對付病毒陷阱的最有效方法就是選擇一個合適的在線殺毒軟件,并隨時升級它的防毒代碼,對可能帶有惡意代碼的不良網站保持警惕,在沒有通過病毒檢測前不要輕易打開來路不明的文件。
2.色情陷阱。色情陷阱是互聯網的一大毒害。因為各個國家法律不同,所以色情陷阱是長期存在的。目前出現了一種依托色情網站的惡意撥號軟件,用戶在瀏覽該網頁時會受到誘惑而下載運行它,此時,配有“貓”的電腦會自動撥打國際長途,給用戶造成巨額話費。
應對措施:對付這類陷阱的最根本方法就是不去瀏覽色情網頁,轉移自己的注意力,如聽聽音樂、打打球等,使自己的興趣逐漸轉移到健康的活動上去。3.感情陷阱。感情陷阱是上過網的青年男女的困惑。不少人熱衷于去聊天室找異性聊天。沉迷于精神戀愛之中,這不僅耗時勞神,而且還有一定的風險性。有人想把網上戀情向現實生活中擴展,則大多不能如意。有心理變態者專門扮作異性去談情說愛,還有人通過網絡搞愛情騙局,險象環生。
應對措施:對付這種陷阱,關鍵是要有定力,端正自己的上網觀,不做有悖于道德和為人準則的事情。
4.金錢陷阱。金錢陷阱是目前網絡新產生的一種危害極大的陷阱,陷阱設計者的最終目的就是騙到錢,主要有這么幾種方式:
一是網絡傳銷。交錢入會,靠發展下線賺錢,上線賺下線、下下線的錢;與傳統傳銷相比,網絡擴散范圍更廣、速度更快,而且傳銷的產品也不僅限于化妝品、藥品等實物,還包括計算機軟件、各種信息等。
二是網上競拍。此種騙術主要是找“托兒”或者自己哄抬拍品價格,以誘人上當,高價將拍品買走。國內目前還沒有相應的法規對此種行為進行有效約束。如果你要參加商品或藏品競拍的話,一定要了解拍品的價值及市場定位,可千萬不要在輪番叫價中上了拍主及“托兒”的當。
三是郵件行騙。網上“幸運郵件陷阱”的制造者常常轉換地點,在網上發出無數的電子郵件,信中說:“閣下收到的是‘幸運郵件’,只要你按照信中的地址寄出小額幸運款,幸運則會降臨,你將收到數以萬元計的匯款,如果你有意失去這次機會,噩運將會長久地追隨……云云。”如果你真信了這套胡謅,把錢寄了出去,那么你等到的將是無休止的后悔。
四是短信詐騙、電話詐騙。
應對措施:對付這類陷阱就是不能貪圖小便宜,不要輕易向個人或不知名的小型網站寄錢或者透露你的信用卡。
上網應遵守的道德準則和規范
1.講究社會公德和 IT 職業道德,用掌握的計算機知識技術服務社會,造福社會,自覺維護國家安全和社會公共利益,保護個人、法人和其他組織的合法權益,不以任何方式、目的危害計算機信息系統安全。
2.珍惜網絡匿名權,做文明的“網民”。3.尊重公民的隱私權,不進行任何電子騷擾。4.尊重他人的知識產權,不侵占他人的網絡資源。
5.尊重他人的知識產權、通信自由和秘密,不進行侵權活動。6.誠實守信,不制作、傳播虛假信息。
7.遠離罪惡、色情信息,不查閱、復制、制作或傳播有害信息。8.遵守《全國青少年網絡文明公約》: 要善于網上學習,不瀏覽不良信息。要誠實友好交流,不侮辱欺詐他人。要增強自護意識,不隨意約會網友。要維護網絡安全,不破壞網絡秩序。要有益身心健康,不沉溺虛擬時空。
第四篇:校園網絡安全方案設計
汕尾職業技術學院-------數學與應用系
校園網絡安全方案設計
班級:123網絡技術2班
姓名:李仲富 學號:2012324208
設計題目: 校園網絡安全方案設計
設計時間:6月20號至6月30號
汕尾職業技術學院-------數學與應用系
一、校園網方案設計原則與需求
1.1設計原則:保證校園網的穩定運行和利用。
1.2網絡建設需求:高度的穩定性和高性能性,對網絡統一管理和高效處理。
二、校園網方案設計
2.1校園網現網拓撲圖
整個網絡采用二級的網絡架構:核心、接入。
核心采用一臺RG-S4909,負責整個校園網的數據轉發,同時為接入交換機S1926F+、內部服務器提供百兆接口。網絡出口采用RG-WALL1200防火墻。
2.2校園網設備更新方案
更換核心設備
汕尾職業技術學院-------數學與應用系
核心采用一臺銳捷網絡面向10萬兆平臺設計的多業務IPV6路由交換機RG-S8606,負責整個校園網的數據轉發。在C區增加一臺SAM服務器,部署SAM系統,同時A區和B區用3臺S2126G替換原有S1926F+。將原有的S4909放到東校區做為匯聚設備,下接三臺S2126G實現安全控制,其它二層交換機分別接入相應的S2126G。B區匯聚采用一臺S2126G,剩余兩臺S2126G用于保護重點機器,其它交換機接入對應的S2126G。C區的網絡結構也做相應的調整,采用現有的兩臺S2126G做為匯聚設備,其它交換機分別接入這兩臺交換機,從而實現所有匯聚層交換機都能進行安全控制,重點區域在接入層進行安全控制的網絡布局。
2.3 網絡安全系統的管理
1、確定計算機安全管理責任人和安全領導小組負責人 應當履行下列職責:
(一)組織宣傳計算機信息網絡安全管理方面的法律、法規和有關政策;
(二)擬定并組織實施本校計算機信息網絡安全管理的各項規章制度;
(三)定期組織檢查本校計算機信息網絡系統安全運行情況,及時排除各種安全隱患;
(四)負責組織本校學生的安全教育和培訓;
汕尾職業技術學院-------數學與應用系
2、配備1至2名計算機學生安全員(由技術負責人和技術操作人員組成),應當履行下列職責:
(一)執行本單位計算機信息網絡安全管理的各項規章制度;
(二)按照計算機信息網絡安全技術規范要求對計算機信息系統安全運行情況進行檢查測試,及時排除各種安全隱患;
2.4網絡安全系統的風險評估
一般可能會遭受到外部的攻擊和入侵、內部的攻擊或誤用、企業內的病毒傳播,以及安全管理漏洞等方面。
2.5網絡安全設計
2.5.1校園網網絡安全需求分析
1.網絡安全的防范:
病毒產生的原因:校園網很重要的一個特征就是用戶數比較多,會有很多的PC機缺乏有效的病毒防范手段,這樣,當用戶在頻繁的訪問INTERNET的時候,通過局域網共享文件的時候,通過U盤,光盤拷貝文件的時候,系統都會感染上病毒,當某個學生感染上病毒后,他會向校園網的每一個角落發送,發送給其他用戶,發送給服務器。
病毒對校園網的影響:校園網萬兆、千兆、百兆的網絡帶寬都被大量的病毒數據包所消耗,用戶正常的網絡訪問得不到響應,辦公平臺不能使用;資源庫、VOD不能點播;INTERNET上不了,學生、老師面臨著看著豐富的校園網資源卻不能使用的尷尬境地。
2、防止IP、MAC地址的盜用
IP、MAC地址的盜用的原因:某校園網采用靜態IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用戶可以隨意的更改IP地址,在網卡屬性的高級選項中可以隨意的更改MAC地址。如果用戶有意無意的更改自己的IP、MAC地址,會引起多方沖突,如果與網關地址沖突,同一網段內的所有用戶都不能使用網絡;如果惡意用戶發送虛假的IP、MAC的對應關系,用戶的大量上網數據包都落入惡意用戶的手中,造成ARP欺騙攻擊。
IP、MAC地址的盜用對校園網的影響:在用戶看來,校園網絡是一個很不可靠是會給我帶來很多麻煩的網絡,因為大量的IP、MAC沖突的現象導致了用戶經常不能使用網絡上的資源,而且,用戶在正常工作和學習時候,自己的電腦上會經常
汕尾職業技術學院-------數學與應用系
彈出MAC地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏,用戶會盡量減少網絡的使用,這樣,學生、老師對校園網以及網絡中心的信心會逐漸減弱,投入幾百萬的校園網也就不能充分發揮其服務于教學的作用,造成很大程度上的資源浪費。
3、安全事故發生時候,需要準確定位到用戶 安全事故發生時候,需要準確定位到用戶原因:
資料:國家的要求:2002年,朱镕基簽署了282號令,要求各大INTERNET運營機構(包括高校)必須要保存60天的用戶上網記錄,以待相關部門審計。
校園網正常運行的需求:如果說不能準確的定位到用戶,學生會在網絡中肆無忌彈進行各種非法的活動,會使得校園網變成“黑客”娛樂的天堂,更嚴重的是,如果當某個學生在校外的某個站點發布了大量涉及政治的比如法輪功的言論,這時候公安部門的網絡信息安全監察科找到我們的時候,我們無法處理,學校或者說網絡中心只有替學生背這個黑鍋。
4、安全事故發生時候,不能準確定位到用戶的影響:
一旦發生這種涉及到政治的安全事情發生后,很容易在社會上廣泛傳播,上級主管部門會對學校做出處理;同時也會大大降低學校在社會上的影響力,降低家長、學生對學校的滿意度,對以后學生的招生也是大有影響的。
5、用戶上網時間的控制
無法控制學生上網時間的影響:如果缺乏有效的機制來限制用戶的上網時間,學生可能會利用一切機會上網,會曠課。像網吧一樣無人監管,通宵、影響明天的課程。精力。
6、用戶網絡權限的控制
在校園網中,不同用戶的訪問權限應該是不一樣的,比如學生應該只能夠訪問資源服務器,上網,不能訪問辦公網絡、財務網絡。辦公網絡的用戶因該不能訪問財務網絡。因此,需要對用戶網絡權限進行嚴格的控制。例如:學院的重要的部門。學生選課。資料檔案。
7、各種網絡攻擊的有效屏蔽
校園網中常見的網絡攻擊比如MAC FLOOD、SYN FLOOD、DOS攻擊、掃描攻擊、ARP欺騙攻擊、流量攻擊、非法組播源、非法DHCP服務器及DHCP攻擊、竊取交換機的管理員密碼、發送大量的廣播報文,這些攻擊的存在,會擾亂網絡的正常運行低了校園網的效率。計算機專業的學生搞惡作劇,做實驗
2.6.2某校園網網絡安全方案設計思想和實施
汕尾職業技術學院-------數學與應用系
2.6.2.1安全到邊緣的設計思想
用戶在訪問網絡的過程中,首先要經過的就是交換機,如果我們能在用戶試圖進入網絡的時候,也就是在接入層交換機上部署網絡安全無疑是達到更好的效果。2.6.2.2全局安全的設計思想
銳捷網絡提倡的是從全局的角度來把控網絡安全,安全不是某一個設備的事情,應該讓網絡中的所有設備都發揮其安全功能,互相協作,形成一個全民皆兵的網絡,最終從全局的角度把控網絡安全。2.6.2.3全程安全的設計思想
用戶的網絡訪問行為可以分為三個階段,包括訪問網絡前、訪問網絡的時候、訪問網絡后。對著每一個階段,都應該有嚴格的安全控制措施。2.6.3校園網網絡安全方案
銳捷網絡結合SAM系統和交換機嵌入式安全防護機制設計的特點,從三個方面實現網絡安全:事前的準確身份認證、事中的實時處理、事后的完整審計。2.6.3.1事前的身份認證
對于每一個需要訪問網絡的用戶,我們需要對其身份進行驗證,身份驗證信息包括用戶的用戶名/密碼、用戶PC的IP地址、用戶PC的MAC地址、用戶PC所在交換機的IP地址、用戶PC所在交換機的端口號、用戶被系統定義的允許訪問網絡的時間,通過以上信息的綁定,可以達到如下的效果:
每一個用戶的身份在整個校園網中是唯一,避免了個人信息被盜用.當安全事故發生的時候,只要能夠發現肇事者的一項信息比如IP地址,就可以準確定位到該用戶,便于事情的處理。
只有經過網絡中心授權的用戶才能夠訪問校園網,防止非法用戶的非法接入,這也切斷了惡意用戶企圖向校園網中傳播網絡病毒、黑客程序的通道。2.6.3.2網絡攻擊的防范
1、常見網絡病毒的防范
對于常見的比如沖擊波、振蕩波等對網絡危害特別嚴重的網絡病毒,通過部署擴展的ACL,能夠對這些病毒所使用的TCP、UDP的端口進行防范,一旦某個用戶不小心感染上了這種類型的病毒,不會影響到網絡中的其他用戶,保證了校園網網絡帶寬的合理使用。
2、未知網絡病毒的防范
汕尾職業技術學院-------數學與應用系
對于未知的網絡病毒,通過在網絡中部署基于數據流類型的帶寬控制功能,為不同的網絡應用分配不同的網絡帶寬,保證了關鍵應用比如WEB、課件資源庫、郵件數據流有足夠可用的帶寬,當新的病毒產生時,不會影響到主要網絡應用的運行,從而保證了網絡的高可用性。
3、防止IP地址盜用和ARP攻擊
通過對每一個ARP報文進行深度的檢測,即檢測ARP報文中的源IP和源MAC是否和端口安全規則一致,如果不一致,視為更改了IP地址,所有的數據包都不能進入網絡,這樣可有效防止安全端口上的ARP欺騙,防止非法信息點冒充網絡關鍵設備的IP(如服務器),造成網絡通訊混亂。
4、防止假冒IP、MAC發起的MAC FloodSYN Flood攻擊
通過部署IP、MAC、端口綁定和IP+MAC綁定(只需簡單的一個命令就可以實現)。并實現端口反查功能,追查源IP、MAC訪問,追查惡意用戶。有效的防止通過假冒源IP/MAC地址進行網絡的攻擊,進一步增強網絡的安全性。
5、非法組播源的屏蔽
銳捷產品均支持IMGP源端口檢查,實現全網杜絕非法組播源,指嚴格限定IGMP組播流的進入端口。當IGMP源端口檢查關閉時,從任何端口進入的視頻流均是合法的,交換機會把它們轉發到已注冊的端口。當IGMP源端口檢查打開時,只有從路由連接口進入的視頻流才是合法的,交換機把它們轉發向已注冊的端口;而從非路由連接口進入的視頻流被視為是非法的,將被丟棄。銳捷產品支持IGMP源端口檢查,有效控制非法組播,實現全網杜絕非法組播源,更好地提高了網絡的安全性和全網的性能,同時可以有效杜絕以組播方式的傳播病毒.在校園網流媒體應用多元化和潮流下具有明顯的優勢,而且也是網絡帶寬合理的分配所必須的。同時IGMP源端口檢查,具有效率更高、配置更簡單、更加實用的特點,更加適用于校園運營網絡大規模的應用環境。
6、對DOS攻擊,掃描攻擊的屏蔽
通過在校園網中部署防止DOS攻擊,掃描攻擊,能夠有效的避免這二種攻擊行為,節省了網絡帶寬,避免了網絡設備、服務器遭受到此類攻擊時導致的網絡中斷。2.7 業務連續策略
可分為4種類型:人力不可抗拒事件、高傳染性疾病、物理訪問、it邏輯訪問 2.8 業務持續計劃進行測試、保持和重新評估(1)測試即使:1桌面測試 2模擬
汕尾職業技術學院-------數學與應用系
3技術恢復測試
4供應商設備和服務測試 5排練
(2)保持與重新評估:考慮各方面的更新1人員 2地址或電話號碼 3過程 4風險
第五篇:校園網絡安全管理制度
黃香小學校園網絡安全管理制度
第一章
總 則
第一條 為了保護校園網絡系統的安全、促進學校計算機網絡的應用和發展、保證校園網絡的正常運行和網絡用戶的使用權益,制定本安全管理制度。
第二條 本管理制度所稱的校園網絡系統,是指由學校投資購買、由信息中心負責維護和管理的校園網絡主、輔節點設備、配套的網絡線纜設施及網絡服務器、工作站所構成的、為校園網絡應用及服務的硬件、軟件的集成系統。
第三條 校園網系統的系統設備管理、維護工作由電教室負責,任何單位和個人,未經信息中心同意、不得擅自安裝、拆卸或改變網絡設備。
第四條 任何單位和個人、不得利用聯網計算機從事危害校園網及本地局域網服務器、工作站的活動,不得危害或侵入未授權的(包括CERNET或其它互聯網在內的)服務器、工作站。
第二章
安全管理組織
第五條 校園網絡安全領導小組由校長、信息中心、辦公室等部門負責人組成,對校園網絡安全負責。信息中心在安全領導小組指導下負責具體的網絡安全運行管理工作。信息中心指定專人作為網絡安全專管員,負責對本部門工作人員的安全教育;網絡安全保護的管理工作,對各項安全保護制度的執行情況進行監督;配合公安機關開展案件調查工作。
第三章
安全保護運行
第六條 除信息中心,其他單位或個人不得以任何方式試圖登陸進入校園網主、輔節點、服務器等設備進行修改、設置、刪除等操作;任何人不得以任何借口盜竊、破壞網絡設施;不得采用各種手段切斷學校、部門或他人網絡的連接。
第七條 校園內從事施工、建設,不得危害計算機網絡系統的安全。校園網絡主結點及二級結點必須保證節點設備24小時正常運行,不得以任何理由關閉有關設備或電源。
第八條校園網出口處安裝防火墻對有害連接和有害信息進行記錄和過濾。所有提供公開服務的計算機上均應安裝病毒防火墻和入侵檢測系統,對網絡連接進行記錄,記錄保存半年以上。
第九條 任何連入校園網絡的計算機均須安裝防病毒軟件。信息中心應及時將有礙校園網絡安全的計算機斷開連接后通報其所在部門進行處理。
第十條 凡未通過信息中心而自行與ISP聯網的計算機不得接入校園網。
第十一條 未經信息中心允許,任何人不得非法私自將計算機接入校園網,不得以不真實身份使用網絡資源,不得竊取他人帳號、口令使用網絡資源, 不得盜用其它人的IP地址入網。第十二條任何人不得利用各種網絡設備或軟件技術從事用戶帳戶及口令的偵聽、盜用活動,不得使用任何非法手段獲取他人信息。
第十三條校園網主、輔節點設備、連接線路及服務器等發生破壞案件后,信息中心必須在24小時內向學校領導及公安機關報告。
第十四條 凡發現有《計算機信息網絡國際互聯網安全保護管理辦法》第四、五、六、七條情形之一的,應保留有關原始記錄,做好數據備份,通知校園網絡安全領導小組,并于24小時內向當地公安機關報告。情節嚴重的應立即報告公安機關,并配合公安部門做好調查處置工作。
第四章
信息管理
第十五條 網絡用戶必須遵守《計算機信息網絡國際互聯網安全保管辦法》。
第十六條 校園網內的系統軟件、應用軟件及信息數據要實施保密措施。信息資源保密等級可分為:(1)可向Internet公開的;(2)可向校內公開的;(3)可向本部門公開的。
第十七條 校園網中對外發布信息的WWW服務器中的內容,網站發布內容由網站管理員審核、審核備案后,通過信息中心分配的專用帳號進行發布。帳號由各部門專人保管使用,不得隨意公布轉借。
第十八條 未經學校網絡安全領導小組允許,任何單位或個人不得在學校網站上開設交互式欄目,不得設立游戲站點或純娛樂性站點,一經發現,要追究有關人員的責任。第十九條 凡需開設的電子公告欄(BBS)的部門必須建立信息審核員、站長和欄目主持人組成的三級管理,分級負責制;填寫《BBS開設申請表》,明確所開辦的欄目內容及范圍;建立欄目主持人資格審定制度、用戶登記制度、日志備份制度。BBS開放期間必須有專人管理,采取有效的身份識別、安全防護和有害信息過濾保存技術,并具有安全審計功能。
第二十條 校園網的所有用戶有義務向網絡安全管理人員或有關部門報告違法犯罪行為和有害的、不健康的信息,并協助有關部門進行調查。校網絡安全小組要不定期檢查校園網絡信息發布的內容,督促信息中心和各部門對有害信息進行清除和備份。信息中心建立備案制度,記錄來自校園網絡內部和外部的可疑行為,記錄保存半年以上。
第二十一條 校園網接入用戶必須遵守知識產權的有關法律法規。
第二十二條 嚴禁在校園網上使用來歷不明、引發病毒傳染的軟件;對于來歷不明的可能引起計算機病毒的軟件應使用公安部門推薦的殺毒軟件檢查、殺毒。
第五章 違約責任與處罰
第二十三條 違反本條例規定,有下列行為之一者,信息中心可向所在部門提出警告,并停止其網絡使用。
1.查閱、復制或傳播下列信息:(1)煽動抗拒、破壞憲法和國家法律、行政法規實施;(2)煽動分裂國家、破壞國家統一和民族團結、推翻社會主義制度;(3)捏造或者歪曲事實,散布謠言擾亂社會秩序;(4)公然侮辱他人或者捏造事實誹謗他人的;(5)宣揚封建迷信、淫穢、色情、暴力、兇殺、恐怖等。(6)損害學校形象和學校利益的;(7)其他違反憲法和法律、行政法規的。2.破壞、盜用計算機網絡中的信息資源和危害計算機網絡安全的活動的。
3.盜用他人帳號或IP地址的。4.私自轉借、轉讓用戶帳號的。
5.故意制作、傳播計算機病毒等破壞性程序的。6.不按國家和學校有關規定擅自接納網絡用戶的。7.上網信息審查不嚴, 造成嚴重后果的。
8.使用任何工具破壞網絡正常運行或竊取他人信息的。
上述違規造成學校一定損失的,由學校保衛科依照有關法律、法規及校紀校規進行處理,情節嚴重者移交公安機關處理。
第六章 其他
第二十四條 本管理制度中由學校信息中心負責解釋。
第二十五條 本制度自公布之日起實行。
云夢縣黃香小學 2016年9月5日