校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告

校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告..校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告校園網(wǎng)是開放教育的一項(xiàng)基礎(chǔ)設(shè)施，是提高教學(xué)、科研和管理水平不可缺少的支撐環(huán)境，也是衡量學(xué)校教學(xué)水平、管理水平的重要標(biāo)志。建設(shè)校園網(wǎng)實(shí)現(xiàn)了與兄弟校園網(wǎng)的互連；實(shí)現(xiàn)了與教育網(wǎng)的互連；實(shí)現(xiàn)了與國際互連網(wǎng)Internet的連接；實(shí)現(xiàn)了學(xué)習(xí)資源網(wǎng)上資源共享，使學(xué)生在網(wǎng)上自主學(xué)習(xí)成為可能。同時(shí)，網(wǎng)絡(luò)也是學(xué)生與教師互動(dòng)的平臺(tái)，為教學(xué)工作提供了開放性的平臺(tái)。一、校園網(wǎng)的基本情況1.網(wǎng)絡(luò)使用基本情況校園網(wǎng)現(xiàn)已覆蓋學(xué)院所有辦公樓、教學(xué)樓、食堂、學(xué)生宿舍和教師宿舍，信息點(diǎn)達(dá)6500余個(gè)，校園網(wǎng)接入計(jì)算機(jī)2450，總用戶2627人，實(shí)際有效用戶1901人，其中宿舍區(qū)用戶1691人，辦公區(qū)用戶210人。校園網(wǎng)主干帶寬達(dá)到千兆，到達(dá)桌面為百兆，與Internet的接入帶寬為1.5M。校園網(wǎng)帶寬網(wǎng)通出口120M、電信5M、與成都信息工程學(xué)院直鏈教育網(wǎng)2M。網(wǎng)通為主線路，原對(duì)校園網(wǎng)900左右學(xué)生用戶開放包月不限流量方式，造成網(wǎng)絡(luò)帶寬資源負(fù)荷。經(jīng)相關(guān)網(wǎng)絡(luò)數(shù)據(jù)信息分析，80%的學(xué)生用戶長時(shí)間在線掛機(jī)下載電影游戲等網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)帶寬資源一直處于飽和狀態(tài)得不到釋放造成網(wǎng)絡(luò)帶寬擁擠資源緊缺。通過吸取其他學(xué)院的經(jīng)驗(yàn)，結(jié)合我院自身?xiàng)l件與用戶使用情況推行包月限流量的計(jì)費(fèi)方式，同時(shí)為校園網(wǎng)用戶免費(fèi)提供校內(nèi)資源下載平臺(tái)與“星空在線”、“衛(wèi)星電視直播”、“在線圖書”等資源服務(wù)，豐富了校園生活，拓展了校園公共信息傳播渠道。在滿足校內(nèi)用戶需求的同時(shí)，大大改善了網(wǎng)絡(luò)使用狀況并由原單用戶1M的網(wǎng)絡(luò)帶寬提高至1.5M。現(xiàn)校內(nèi)學(xué)生用戶已突破1300人，高峰時(shí)期網(wǎng)絡(luò)帶寬使用率占僅占總帶寬65%左右，保證了充足的網(wǎng)絡(luò)帶寬資源。并對(duì)網(wǎng)絡(luò)資費(fèi)標(biāo)準(zhǔn)進(jìn)行劃分，降低入網(wǎng)門檻標(biāo)準(zhǔn)，為學(xué)生入網(wǎng)提供了實(shí)質(zhì)性的便利。2.校園網(wǎng)安全我院現(xiàn)擁有服務(wù)器十五臺(tái)，其中重要收費(fèi)/計(jì)費(fèi)數(shù)據(jù)服務(wù)器六臺(tái)、媒體服務(wù)器三臺(tái)、教務(wù)系統(tǒng)服務(wù)器兩臺(tái)、圖書館與網(wǎng)絡(luò)圖書館服務(wù)器兩臺(tái)、行為審計(jì)日志備份服務(wù)器兩臺(tái)。針對(duì)服務(wù)器功能與使用部門進(jìn)行服務(wù)器安全等級(jí)分類。對(duì)重要數(shù)據(jù)服務(wù)器（如：一卡通數(shù)據(jù)服務(wù)器、DRCOM計(jì)費(fèi)服務(wù)器等），通過加裝硬件放火墻對(duì)其進(jìn)行網(wǎng)絡(luò)隔離，以避免服務(wù)器遭受網(wǎng)絡(luò)病毒的攻擊與網(wǎng)絡(luò)后門入侵的破壞。提高了網(wǎng)絡(luò)的安全可靠性、數(shù)據(jù)安全性，保證了網(wǎng)絡(luò)的高穩(wěn)定性，并對(duì)非法攻擊的有效抵御；保證了學(xué)院的正常運(yùn)行。全院統(tǒng)一實(shí)行實(shí)名制登陸上網(wǎng)，對(duì)用戶網(wǎng)絡(luò)行為進(jìn)行審計(jì)與記錄，增強(qiáng)了網(wǎng)絡(luò)安全管理，在規(guī)范網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)行為進(jìn)行同時(shí)做到有據(jù)可查，從而減少杜絕了網(wǎng)絡(luò)XX事件與行為的發(fā)生。通過前期經(jīng)驗(yàn)總結(jié)，結(jié)合實(shí)際網(wǎng)絡(luò)情況，對(duì)宿舍區(qū)實(shí)行區(qū)域改造。按IP地址、計(jì)算機(jī)MAC地址、用戶XX相對(duì)應(yīng)缺一不可，提高網(wǎng)絡(luò)高速穩(wěn)定性，降低校園網(wǎng)內(nèi)網(wǎng)絡(luò)故障的同時(shí)對(duì)上網(wǎng)用戶進(jìn)行雙重地址綁定，保障用戶切實(shí)利益，杜絕亂用上網(wǎng)XX、盜用他人XX等情況。實(shí)現(xiàn)一臺(tái)電腦一個(gè)XX兩個(gè)地址，增強(qiáng)校內(nèi)網(wǎng)學(xué)生用戶管理，提高并保證校內(nèi)校外網(wǎng)絡(luò)安全。3.校園網(wǎng)教學(xué)服務(wù)校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第1頁。校園網(wǎng)下設(shè)有微機(jī)室子網(wǎng)、辦公子網(wǎng)等。實(shí)現(xiàn)按功能劃分網(wǎng)絡(luò)，有效的提高校園網(wǎng)網(wǎng)絡(luò)功能的拓展?，F(xiàn)正試點(diǎn)構(gòu)建多媒體子網(wǎng)，通過“多媒體子網(wǎng)”對(duì)多媒體教室設(shè)備運(yùn)行做到實(shí)時(shí)情況進(jìn)行調(diào)控與遠(yuǎn)程協(xié)助，減低多媒體設(shè)備故障，降低多媒體設(shè)備損耗，提高設(shè)備使用壽命。并利用網(wǎng)絡(luò)功能實(shí)現(xiàn)多媒體教室統(tǒng)一布控，實(shí)現(xiàn)真正意義上的全局統(tǒng)一。減少教室差異性，提高教室對(duì)特殊情況的適應(yīng)性。并為教師提供“電子備課子網(wǎng)”，方便教師對(duì)教學(xué)課件與教學(xué)資源的使用與修改，提高校園網(wǎng)教學(xué)與科研的應(yīng)用。現(xiàn)實(shí)多媒體教室功能的拓展與突破教學(xué)范圍的限制，為“遠(yuǎn)程教學(xué)”打下基礎(chǔ)。校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第1頁。（遠(yuǎn)程教學(xué)：通過網(wǎng)絡(luò)與其他地區(qū)的學(xué)校或本地其他教室進(jìn)行連接，向不在同一個(gè)地理位置的學(xué)生進(jìn)行授課，或者接收其他地區(qū)教師授課。）4.新任務(wù)規(guī)劃1）進(jìn)一步完善基礎(chǔ)設(shè)施建設(shè)：①建立網(wǎng)絡(luò)安全立體防衛(wèi)體系，確保校園網(wǎng)安全穩(wěn)定運(yùn)行。在現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)上部署網(wǎng)絡(luò)入侵檢測系統(tǒng)。逐步豐富網(wǎng)絡(luò)系統(tǒng)應(yīng)用，為全院教學(xué)、科研和管理提供豐富的網(wǎng)絡(luò)資源和較為完善的網(wǎng)絡(luò)服務(wù)，豐富信息資源；為學(xué)院教務(wù)管理工作的提高，促進(jìn)教學(xué)手段和方法的更新提供有效的幫助與支持。②建立虛擬校園系統(tǒng)，提高學(xué)院宣傳途徑；完善“數(shù)據(jù)資產(chǎn)”的管理措施，整合網(wǎng)絡(luò)信息資源（包含數(shù)字圖書、網(wǎng)絡(luò)課件、各類講座、電子圖書等資源庫），構(gòu)建網(wǎng)絡(luò)社區(qū)系統(tǒng)（網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)、流媒體服務(wù)平臺(tái)、資源共享平臺(tái)）豐富師生課外學(xué)習(xí)休閑生活。③完善辦公系統(tǒng)、網(wǎng)絡(luò)短信服務(wù)器平臺(tái)，實(shí)現(xiàn)移動(dòng)教務(wù)信息查詢與移動(dòng)辦公化。2）加強(qiáng)網(wǎng)絡(luò)安全的防范，對(duì)中心機(jī)房網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行合理化調(diào)整，規(guī)范化中心機(jī)房優(yōu)化服務(wù)器群，提高網(wǎng)絡(luò)服務(wù)運(yùn)行穩(wěn)定性。3）完善“多媒體子網(wǎng)”方便教師開展多媒體教學(xué)任務(wù)的同時(shí)，為多媒體教學(xué)資源的建設(shè)提供有力支持。1、項(xiàng)目背景

隨著信息化程度的提高，越來越多的學(xué)（院）校建了校園網(wǎng)和，把校園的介紹、規(guī)劃、招生、研究成果等發(fā)布在，讓更多的人了解自己的校園，甚至在網(wǎng)上即時(shí)進(jìn)行學(xué)術(shù)交流等。在網(wǎng)絡(luò)信息技術(shù)高度發(fā)展的今天，xxx大學(xué)作為一個(gè)高等院校，為了方便學(xué)術(shù)交流、校友聯(lián)絡(luò)、招生報(bào)名、研究成果的發(fā)布等，建設(shè)自己的和系統(tǒng)是必須的。在當(dāng)前的信息互動(dòng)交流中，電子的應(yīng)用憑借其快速、靈活的特點(diǎn)，在整個(gè)互聯(lián)網(wǎng)絡(luò)應(yīng)用中有著舉足輕重的地位。xxx大學(xué)提供給師生優(yōu)質(zhì)的電子服務(wù)，不僅僅可以更好地利用現(xiàn)有網(wǎng)絡(luò)資源為廣大師生服務(wù)，還可以充分向海內(nèi)外樹立和宣傳xxx大學(xué)的品牌形象，同時(shí)也方便了校友與母校的聯(lián)絡(luò)。

信息化程度的提高，極大地促進(jìn)了教育事業(yè)的發(fā)展，但是隨之而來的卻是信息安全問題。xxx大學(xué)校園網(wǎng)以廣域網(wǎng)絡(luò)作為支撐平臺(tái)，如何保障網(wǎng)絡(luò)安全成為不可避免的重大問題。在xxx大學(xué)校園網(wǎng)中，無論是有意的攻擊，還是無意的誤操作，都將會(huì)給信息系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令和數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)、釋放計(jì)算機(jī)病毒等等。內(nèi)部工作人員能較多地接觸內(nèi)部信息，工作中的任何不小心都可能給信息安全帶來危險(xiǎn)。這些都使信息安全問題越來越復(fù)雜。中國網(wǎng)管聯(lián)盟校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第2頁。

面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中的種種安全威脅，必須采取有力的措施來保證安全。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的XX性、完整性和可用性。在xxx大學(xué)校園網(wǎng)中，應(yīng)防患于未然，一旦出了事，亡羊補(bǔ)牢，恐怕為時(shí)已晚。根據(jù)網(wǎng)絡(luò)安全監(jiān)測軟件的實(shí)際測試情況顯示，一個(gè)沒有安全防護(hù)措施的大型網(wǎng)絡(luò)，其安全漏洞可達(dá)1500個(gè)左右。目前的網(wǎng)絡(luò)中雖然采用一些安全產(chǎn)品，有一套安全制度，但由于各種客觀和主觀的原因仍然存在種種安全上的問題。同時(shí)，由于網(wǎng)絡(luò)的安全狀況隨著時(shí)間變化而變化，因此在作全網(wǎng)安全考慮時(shí)，除了合理的使用和配置各種安全軟件、硬件產(chǎn)品以外，日常的檢測和后續(xù)的服務(wù)也越來越受到重視。

2、網(wǎng)絡(luò)簡況bitscn

根據(jù)校園網(wǎng)拓?fù)鋱D，托普學(xué)院通過10M的VPN線路與下面的八個(gè)分校連接，通過10M的專線連接到Internet網(wǎng)絡(luò)上。

在托普學(xué)院的網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)設(shè)備產(chǎn)品類型包括路由器、防火墻、核心交換機(jī)、工作組交換機(jī)、以太網(wǎng)卡等，服務(wù)器平臺(tái)主要為TurboLinux，工作站系統(tǒng)平臺(tái)有：WinArray5/Array8/Me/XP/2000Professional/NTWorkstation等，主要的服務(wù)器為：Powermail服務(wù)器、Oracle數(shù)據(jù)庫服務(wù)器、Apache互聯(lián)網(wǎng)服務(wù)器、ProFTP文件傳輸服務(wù)器等等。

根據(jù)托普學(xué)院本部服務(wù)器部署拓?fù)鋱D，本部網(wǎng)絡(luò)的服務(wù)器分成兩個(gè)部分，一部分是對(duì)外提供服務(wù)的WEB服務(wù)器群、DNS服務(wù)器和服務(wù)器，另一部分是對(duì)內(nèi)提供服務(wù)的教學(xué)服務(wù)器、數(shù)據(jù)庫服務(wù)器、代理服務(wù)器等。對(duì)外提供服務(wù)的服務(wù)器接到了到CNCNet的防火墻的非軍事化區(qū)，而對(duì)內(nèi)提供服務(wù)的服務(wù)器直接接到了主干交換機(jī)上。校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第2頁。www_bitscn_com校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第3頁。托普學(xué)院校園網(wǎng)的財(cái)務(wù)專網(wǎng)，是通過網(wǎng)通提供的虛擬專網(wǎng)連接起來的一個(gè)單獨(dú)的廣域網(wǎng)絡(luò)，它通過財(cái)務(wù)信息發(fā)布服務(wù)器與整個(gè)校園網(wǎng)建立聯(lián)系。

3、系統(tǒng)分析

托普學(xué)院校園網(wǎng)絡(luò)在規(guī)劃時(shí)，已考慮到了安全方面的問題，也采取了一些措施來保障網(wǎng)絡(luò)的安全，如使用防火墻、MPLS虛擬專用網(wǎng)等等。但是，這些安全措施是不完備的。

(1)校園網(wǎng)只考慮了對(duì)外服務(wù)器的安全性，對(duì)內(nèi)服務(wù)器則是暴露在內(nèi)部交換機(jī)上，隨時(shí)可能受到來自內(nèi)部用戶的掃描、窺探和攻擊；

(2)整個(gè)網(wǎng)絡(luò)沒有采取防病毒措施，如果病毒擴(kuò)散，將會(huì)迅速蔓延到整個(gè)網(wǎng)絡(luò)，后果不堪設(shè)想；

(3)在目前只有CNCNet出口的情況下，所有的服務(wù)器都接到一臺(tái)防火墻的DMZ上，從系統(tǒng)效率來看，這樣是不合適的，如果將來接到了CerNet上，可以考慮將一部分業(yè)務(wù)如移到CerNet出口處的防火墻的DMZ區(qū)上。bitsCN

根據(jù)安全評(píng)估和檢測的結(jié)果，發(fā)現(xiàn)有以下問題：

(4)首先，整個(gè)網(wǎng)絡(luò)的結(jié)構(gòu)復(fù)雜，服務(wù)器繁多，網(wǎng)絡(luò)管理員沒有合適的工具與時(shí)對(duì)整個(gè)網(wǎng)絡(luò)的安全狀況與時(shí)做出評(píng)估，無法防患于未然；

(5)其次，我們在對(duì)各服務(wù)器進(jìn)行掃描的時(shí)候發(fā)現(xiàn)，有些服務(wù)器打開了多余的服務(wù)，攻擊者可以通過它們威脅服務(wù)器的安全；

(6)最后，有些服務(wù)程序本身存在漏洞，這些漏洞可以通過升級(jí)服務(wù)程序或者對(duì)服務(wù)器進(jìn)行設(shè)置進(jìn)行彌補(bǔ)。

因此，我們不僅要采用新的安全設(shè)備和技術(shù)手段來加固現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，而且還要使用專業(yè)的安全服務(wù)對(duì)現(xiàn)有的服務(wù)器進(jìn)行安全改造，全方位提高網(wǎng)絡(luò)的安全性中國_網(wǎng)管聯(lián)盟

4、方案實(shí)施

我們綜合采用防火墻、入侵檢測、內(nèi)容過濾和安全評(píng)估技術(shù)，建立xxx大學(xué)校園網(wǎng)安全系統(tǒng)框架：

(1)建立完整可行的網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理策略與技術(shù)組織措施；

(2)利用防火墻將內(nèi)部網(wǎng)絡(luò)、對(duì)外服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

(3)利用防火墻建立網(wǎng)絡(luò)各主機(jī)和對(duì)外服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

(4)利用防火墻對(duì)網(wǎng)上服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；利用防火墻加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

(5)利用防火墻全面監(jiān)視對(duì)公開服務(wù)器的訪問，與時(shí)發(fā)現(xiàn)和阻止非法操作；校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第3頁。中國_網(wǎng)管聯(lián)盟校園網(wǎng)網(wǎng)絡(luò)安全報(bào)告全文共4頁，當(dāng)前為第4頁。

(6)利用防火墻與各服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，在策略之后建立第二條防線；

(7)在本部和各分校，利用入侵檢測系統(tǒng)，監(jiān)測對(duì)內(nèi)，對(duì)外服務(wù)器的訪問；

(8)在本部和各分校，利用入侵檢測系統(tǒng)，對(duì)服務(wù)請(qǐng)求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被阻斷；

(Array)在本部使用入侵檢測系統(tǒng)的控制臺(tái)，對(duì)各分校的探測