校園網(wǎng)絡(luò)安全設(shè)計方案

年4月19日校園網(wǎng)絡(luò)安全設(shè)計方案文檔僅供參考，不當之處，請聯(lián)系改正。校園網(wǎng)絡(luò)安全設(shè)計方案10網(wǎng)工2班組員：張嬋、張茜、張越、張喻博、趙子龍、祝美意、楊越巒、張力隨著因特網(wǎng)的迅速發(fā)展，校園網(wǎng)的建設(shè)日益普遍。而在高校中，如何能夠保證校園網(wǎng)絡(luò)的安全運行，同時又能提供豐富的網(wǎng)絡(luò)資源，達到辦公、教學及學生上網(wǎng)的多種需求已成為了一個難題。校園網(wǎng)絡(luò)的安全不但有來自外部的攻擊，還有內(nèi)部的攻擊。因此，在校園網(wǎng)建設(shè)中使用安全技術(shù)是刻不容緩的?，F(xiàn)從防火墻、VPN、防病毒、入侵檢測和防御系統(tǒng)、上網(wǎng)行為管理和用戶審計系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、主頁防篡改、網(wǎng)絡(luò)安全管理制度幾個方面，設(shè)計我校的網(wǎng)絡(luò)安全方案。防火墻:防火墻是一種將內(nèi)部網(wǎng)和公眾網(wǎng)分開的方法。它能限制被保護的網(wǎng)絡(luò)與與其它網(wǎng)絡(luò)之間進行的信息存取、傳遞操作。防火墻的概念：一般防火墻是指部署在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件組合，是一種有效的網(wǎng)絡(luò)安全策略。防火墻提供信息安全服務(wù)，設(shè)置在被保護內(nèi)部網(wǎng)絡(luò)的安全與不安全的外部網(wǎng)絡(luò)之間，其作用是阻斷來自外部的、針對內(nèi)部網(wǎng)絡(luò)的入侵和威脅，保護內(nèi)部網(wǎng)絡(luò)的安全。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，而且本身具有較強的抗攻擊能力。防火墻的分類：按軟件與硬件的形式，防火墻分為軟件防火墻、硬件防火墻和芯片防火墻；按防火墻的技術(shù)，總體分為包過濾型和應用代理型兩大類；按防火墻的結(jié)構(gòu)分為單一主機防火墻、路由器集成式防火墻、分布式防火墻；按防火墻的部署位置分為邊界防火墻、個人防火墻、混合防火墻。防火墻的安全策略：（1）所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)包都必須經(jīng)過防火墻（2）只有被安全策略允許的數(shù)據(jù)包才能經(jīng)過防火墻（3）防火墻本身要有預防入侵的功能（4）默認禁止所有服務(wù)，除非是必須的服務(wù)才被允許防火墻的設(shè)計：（1）保障校園內(nèi)部網(wǎng)主機的安全，屏蔽內(nèi)部網(wǎng)絡(luò)，禁止外部網(wǎng)用戶連接到內(nèi)部網(wǎng)（2）只向外部用戶提供HTTP、SMTP和POP等有限的服務(wù)（3）向內(nèi)部記賬用戶提供所有Internet服務(wù)，但一律經(jīng)過代理服務(wù)器(4)禁止訪問黃色、反動網(wǎng)站(5)要求具備防IP地址欺騙和IP地址盜用功能(6)要求具備記賬和審計功能，能有效記錄校園網(wǎng)的一切活動。校園網(wǎng)絡(luò)在設(shè)置時應從下面幾個方面入手：（1）入侵檢測：具有黑客普通攻擊的實時檢測技術(shù)。實時防護來自IPSourceRouting、IPSpoofing、SYNflood、IC-MPflood、UDPflood、PingofDeath、拒絕服務(wù)和許多其它攻擊。而且在檢測到有攻擊行為時能經(jīng)過電子郵件或其它方式通知系統(tǒng)管理員。（2）工作模式選擇：當前市面上的防火墻都會具備三種不同的工作模式，路由模式、NAT模式和透明模式。我們選擇的是透明模式，防火墻過濾經(jīng)過防火墻的封包，而不會修改數(shù)據(jù)包包頭中的任何源或目的地的信息。所有接口運行起來都像是同一網(wǎng)絡(luò)中的一部分。此時防火墻的作用更像是Layer2（第二層）交換機或橋接器。在透明模式下，接口的IP地址被設(shè)置為,防火墻對于用戶來說是可視或透明的。（3）策略設(shè)置：防火墻能夠提供具有單個進入和退出點的網(wǎng)絡(luò)邊界。由于所有信息流都必須經(jīng)過此點，因此能夠篩選并引導所有經(jīng)過執(zhí)行策略組列表產(chǎn)生的信息流。策略能允許、拒絕、加密、認證、排定優(yōu)先次序、調(diào)度以及監(jiān)控嘗試從一個安全段流到另一個安全段的信息流。能夠決定哪些用戶和信息能進入和離開以及它們進入和離開的時間和地點。（4）管理界面：管理一個防火墻的方法一般來說有兩種：圖形化界面和命令行界面，我們選擇為經(jīng)過web方式和java等程序編寫的圖形化界面進行遠程管理。（5）內(nèi)容過濾：面對當前互聯(lián)網(wǎng)上的各種有害信息，我們的防火墻還增加了URL阻斷、關(guān)鍵詞檢查、JavaAp-ple、ActiveX和惡意腳本過濾等。（6）防火墻的性能考慮：防火墻的性能對于一個防火墻來說是至關(guān)重要的，它決定了每秒鐘可能經(jīng)過防火墻的最大數(shù)據(jù)流量，以bps為單位，從幾十兆到幾百兆不等。千兆防火墻還會達到幾個G的性能。要充分進行性價比的考慮。（7）用戶認證：要建立完善的用戶認證機制，能夠指定內(nèi)部用戶必須經(jīng)過認證，方可訪問不可信網(wǎng)絡(luò)。防火墻能夠限定只有授權(quán)用戶能夠經(jīng)過防火墻進行一些有限制的活動，能夠使用內(nèi)建用戶數(shù)據(jù)庫、外部Raduis數(shù)據(jù)庫或IP/MAC綁定等多種認證方式，對于內(nèi)部網(wǎng)絡(luò)的安全又多了一層保障。產(chǎn)品選擇：CiscoPIX515防火墻產(chǎn)品特點：CiscoPIX515是業(yè)界性能最高的防火墻之一。這種防火墻模塊基于PIX技術(shù)，運行PIX操作系統(tǒng)，是一種實時的嵌入式強化系統(tǒng)，能夠消除安全漏洞和性能降級損耗。假如拓撲圖如下（圖中防火墻左面為內(nèi)網(wǎng)，右面為外網(wǎng)，設(shè)置圖中防火墻左口為e1口、右口為e0口，路由器的左口為f0/1，右口為f0/0.）：要求：（1）對防火墻、路由器進行基本的命令配置，使得內(nèi)網(wǎng)的所有機器能訪問外網(wǎng)。（2）所有內(nèi)網(wǎng)的主機出口使用防火墻對外的全局地址（3）所有的外網(wǎng)的主機只能訪問內(nèi)網(wǎng)的IP地址為0的主機，此主機對外公開地址為，允許對此主機進行www、ftp。其中防火墻的配置：設(shè)置端口安全級別：nameife0outsidesec0nameife1insidesec100設(shè)置端口參數(shù)：interfacee0autointerfacee1auto配置內(nèi)外網(wǎng)的IP地址：IpaddoutsideIpaddinside設(shè)置指向內(nèi)外網(wǎng)的靜態(tài)路由：Nat(inside)100Global(outside)1Routeoutside拓撲圖如下：VPN什么是VPN？虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，簡稱VPN)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。定義為經(jīng)過一個公用網(wǎng)絡(luò)（一般是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN屬于遠程訪問技術(shù)，簡單地說就是利用公網(wǎng)鏈路架設(shè)私有網(wǎng)絡(luò)。VPN的特點安全保障：經(jīng)過一條隧道，加密技術(shù)對數(shù)據(jù)進行加密，以保證數(shù)據(jù)安全性和私有性。服務(wù)質(zhì)量保證：為不同要求用戶提供不同等級質(zhì)量的服務(wù)可擴充性，靈活性：支持Internet和Extrane任何類型的數(shù)據(jù)流可管理性：能夠從用戶和運營商角度進行管理VPN所用的技術(shù)：實現(xiàn)VPN作重要的是在公網(wǎng)上建立虛擬信道。而IP隧道的建立能夠是在第二層鏈路層。也能夠是在第三層網(wǎng)絡(luò)層。第二層主要是PPP連接。如PPTP，L2TP第三層是IPSec。加解密技術(shù)數(shù)據(jù)通信中一項比較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)進行數(shù)據(jù)加密解密密鑰管理技術(shù)主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全的傳遞密鑰而不被竊取身份認證技術(shù)使用者名稱和密碼或卡片的認證方式校園中的VPNVPN應用在外部網(wǎng)絡(luò)傳輸控制層保障學校不同校區(qū)之間可靠、安全、高速的交換數(shù)據(jù)以及資源信息的共享。降低網(wǎng)絡(luò)搭建成本，簡化管理。設(shè)計方案當前實現(xiàn)VPN主要有兩種方式：IPSecVPN和SSLVPN如果只是想實現(xiàn)高效不同校區(qū)之間網(wǎng)絡(luò)到網(wǎng)絡(luò)的連接，能夠選擇IPSecVPN如果想實現(xiàn)終端到站點之間的傳輸能夠選擇SSLVPN各校區(qū)和主校區(qū)之間經(jīng)過專線連接。而每個校區(qū)都經(jīng)過路由器連接到具有VPN功能的防火墻。而路由器還有專門的VPN隧道和防火墻相連。防火墻連接到外面的Internet。同時校園網(wǎng)還連接至外面的教育科研網(wǎng)中。這樣校外的老師和出差的老師都能夠經(jīng)過VPN訪問校園網(wǎng)，還能夠訪問校內(nèi)圖書館資源，內(nèi)部教務(wù)信息VPN服務(wù)器配置在服務(wù)器上右擊，選擇配置啟用路由和遠程訪問進入配置向?qū)В诠苍O(shè)置中選擇虛擬專用網(wǎng)絡(luò)服務(wù)器遠程客戶協(xié)議對話框中選擇TCP/IP協(xié)議選下一步這一步會選擇一個服務(wù)器所使用的Internet連接，能夠選已建立好的撥號連接或經(jīng)過制定網(wǎng)卡進行連接，按下一步這一步回答你如何對遠程客戶機分配IP地址，除非你安裝DHCP服務(wù)器，否則選擇指定一個IP地址的范圍根據(jù)提示選擇你要分配給客戶機的IP地址（此IP地址要和服務(wù)器的IP地址在同一個網(wǎng)段）最后選擇“不，我現(xiàn)在不想設(shè)置此服務(wù)器的RADIUS”即可完成最后的設(shè)置VPN客戶端配置在開始—附件—通訊，選擇新疆連接向?qū)c擊下一步選擇“建立一個您的工作位置的網(wǎng)絡(luò)連接”選擇“虛擬專用網(wǎng)絡(luò)連接”，單擊下一步為連接輸入一個名字“xxx”，單擊下一步選擇不撥此初始連接，單擊下一步輸入連接設(shè)備服務(wù)器的IP地址，單擊完成雙擊剛建立的“xxx”連接，在連接窗口中選擇屬性選擇安全屬性頁，選擇高級（自定義設(shè)置），單擊設(shè)置在“數(shù)據(jù)加密”中選擇“可選加密”（沒有加密也能夠連接）在“允許這些協(xié)議”選中“質(zhì)詢握手身份驗證協(xié)議（CHAP）”單擊確定選擇“網(wǎng)絡(luò)”屬性頁，在VPN類型選擇“L2TPVPN”確定“Internet協(xié)議TCP/IP”被選中單擊確定，保存所做的修改防病毒：一、防病毒服務(wù)器：首先選擇ServerProtect軟件特點：集中式網(wǎng)域管理、三層式結(jié)構(gòu)執(zhí)行遠程管理、實施掃描、病毒代碼更新、工作管理導向作業(yè)、病毒活動記錄報告、病毒事件的通知、內(nèi)建完整的說明功能在網(wǎng)絡(luò)中心增加一臺服務(wù)器，預裝windows20XXserver，并在服務(wù)器上安裝ServerProtect的信息服務(wù)器及管理控制臺，作為ServerProtect的管理中心，從管理控制臺在每一臺服務(wù)器上安裝ServerProtect的標準服務(wù)器防毒墻具體配置：1、配置下載源——一般把“趨勢科技更新服務(wù)器”設(shè)置為下載源2、配置預設(shè)下載——將下載頻率設(shè)為“每天”3、配置通知信息——配置通知類型，并發(fā)送給誰4、配置掃描設(shè)置——分為實時掃描、立即掃描、預設(shè)掃描經(jīng)過ServerProtect的不熟，有效的保護校園網(wǎng)中的關(guān)鍵服務(wù)器受到病毒入侵，今兒切斷了病毒經(jīng)過服務(wù)器在校園網(wǎng)中的傳播二、客戶機安裝網(wǎng)絡(luò)版防毒軟件：首先選擇OfficeScan：針對企業(yè)網(wǎng)絡(luò)環(huán)境設(shè)計，提供企業(yè)用戶網(wǎng)絡(luò)客戶機的病毒防護工作，安裝也企業(yè)中的一臺防病毒服務(wù)器，可經(jīng)過瀏覽器進行所有的設(shè)定及配置，能夠經(jīng)過網(wǎng)絡(luò)為沒太計算機安裝客戶端，無須在客戶端操作，簡單方便，提供實時病毒防護及監(jiān)控能力在網(wǎng)絡(luò)中心的防病毒服務(wù)器上安裝防病毒網(wǎng)絡(luò)版的服務(wù)器和控制端，經(jīng)過“客戶機打包程序”和WEB頁面等方法安裝校園內(nèi)的客戶機。具體配置：啟動手動組織爆發(fā)客戶機管理：設(shè)置掃面選項（實時、手動、預設(shè)掃描和例外文件設(shè)置）、設(shè)置權(quán)限服務(wù)器管理：設(shè)置密碼、設(shè)置警報設(shè)置更新（服務(wù)器更新、客戶機更新）另：宿舍客戶機也能夠自行選擇網(wǎng)絡(luò)版防毒軟件，如360、瑞星、金山等等上網(wǎng)行為管理、用戶審計系統(tǒng)上網(wǎng)行為管理產(chǎn)品及技術(shù)是專用于防止非法信息惡意傳播，避免國家機密、商業(yè)信息、科研成果泄漏的產(chǎn)品；并可實時監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率。上網(wǎng)行為管理產(chǎn)品系列適用于需實施內(nèi)容審計與行為監(jiān)控、行為管理的網(wǎng)絡(luò)環(huán)境，特別是按等級進行計算機信息系統(tǒng)安全保護的相關(guān)單位或部門。標準功能:上網(wǎng)人員管理上網(wǎng)身份管理：利用IP/MAC識別方式、用戶名/密碼認證方式、與已有認證系統(tǒng)的聯(lián)合單點登錄方式準確識別確保上網(wǎng)人員合法性上網(wǎng)終端管理：檢查主機的注冊表/進程/硬盤文件的合法性，確保接入企業(yè)網(wǎng)的終端PC的合法性和安全性移動終端管理：檢查移動終端識別碼，識別智能移動終端類型/型號，確保接入企業(yè)網(wǎng)的移動終端的合法性、上網(wǎng)地點管理：檢查上網(wǎng)終端的物理接入點，識別上網(wǎng)地點，確保上網(wǎng)地點的合法性上網(wǎng)瀏覽管理搜索引擎管理：利用搜索框關(guān)鍵字的識別、記錄、阻斷技術(shù)，確保上網(wǎng)搜索內(nèi)容的合法性，避免不當關(guān)鍵詞的搜索帶來的負面影響。網(wǎng)址URL管理：利用網(wǎng)頁分類庫技術(shù)，對海量網(wǎng)址進行提前分類識別、記錄、阻斷確保上網(wǎng)訪問的網(wǎng)址的合法性。網(wǎng)頁正文管理：利用正文關(guān)鍵字識別、記錄、阻斷技術(shù)，確保瀏覽正文的合法性文件下載管理：利用文件名稱/大小/類型/下載頻率的識別、記錄、阻斷技術(shù)確保網(wǎng)頁下載文件的合法性.上網(wǎng)外發(fā)管理普通郵件管理：利用對SMTP收發(fā)人/標題/正文/附件/附件內(nèi)容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性WEB郵件管理：利用對WEB方式的網(wǎng)頁郵箱的收發(fā)人/標題/正文/附件/附件內(nèi)容的深度識別、記錄、阻斷確保外發(fā)郵件的合法性網(wǎng)頁發(fā)帖管理：利用對BBS等網(wǎng)站的發(fā)帖內(nèi)容的標題、正文關(guān)鍵字進行識別、記錄、阻斷確保外發(fā)言論的合法性即時通訊管理：利用對MSN、飛信、QQ、雅虎通等主流IM軟件的外發(fā)內(nèi)容關(guān)鍵字識別、記錄、阻斷確保外發(fā)言論的合法性其它外發(fā)管理：針對FTP、Telnet等傳統(tǒng)協(xié)議的外發(fā)信息進行內(nèi)容關(guān)鍵字識別、記錄、阻斷確保外發(fā)信息的合法性.上網(wǎng)應用管理上網(wǎng)應用阻斷：利用不依賴端口的應用協(xié)議庫進行應用的識別和阻斷上網(wǎng)應用累計時長限額：針對每個或多個應用分配累計時長、一天內(nèi)累計使用時間達到限額將自動終止訪問上網(wǎng)應用累計流量限額：針對每個或多個應用分配累計流量、一天內(nèi)累計使用流量達到限額將自動終止訪問.上網(wǎng)流量管理上網(wǎng)帶寬控制：為每個或多個應用設(shè)置虛擬通道上限值，對于超過虛擬通道上限的流量進行丟棄上網(wǎng)帶寬保障：為每個或多個應用設(shè)置虛擬通道下限值，確保為關(guān)鍵應用保留必要的網(wǎng)絡(luò)帶寬上網(wǎng)帶寬借用：當有多個虛擬通道時，允許滿負荷虛擬通道借用其它空閑虛擬通道的帶寬上網(wǎng)帶寬平均：每個用戶平均分配物理帶寬、避免單個用戶的流量過大搶占其它用戶帶寬上網(wǎng)行為分析上網(wǎng)行為實時監(jiān)控：對網(wǎng)絡(luò)當前速率、帶寬分配、應用分布、人員帶寬、人員應用等進行統(tǒng)一展現(xiàn)上網(wǎng)行為日志查詢：對網(wǎng)絡(luò)中的上網(wǎng)人員/終端/地點、上網(wǎng)瀏覽、上網(wǎng)外發(fā)、上網(wǎng)應用、上網(wǎng)流量等行為日志進行精準查詢，精確定位問題上網(wǎng)行為統(tǒng)計分析：對上網(wǎng)日志進行歸納匯總，統(tǒng)計分析出流量趨勢、風險趨勢、泄密趨勢、效率趨勢等直觀的報表，便于管理者全局發(fā)現(xiàn)潛在問題.上網(wǎng)隱私保護日志傳輸加密：管理者采用SSL加密隧道方式訪問設(shè)備的本地日志庫、外部日志中心，防止黑客竊聽管理三權(quán)分立：內(nèi)置管理員、審核員、審計員賬號。管理員無日志查看權(quán)限，但可設(shè)置審計員賬號；審核員無日志查看權(quán)限，但可審核審計員權(quán)限的合法性后才開通審計員權(quán)限；審計員無法設(shè)置自己的日志查看范圍，但可在審核員經(jīng)過權(quán)限審核后查看規(guī)定的日志內(nèi)容精確日志記錄：所有上網(wǎng)行為可根據(jù)過濾條件進行選擇性記錄，不違規(guī)不記錄，最小程度記錄隱私設(shè)備容錯管理死機保護：設(shè)備帶電死機/斷電后可變成透明網(wǎng)線，不影響網(wǎng)絡(luò)傳輸。一鍵排障：網(wǎng)絡(luò)出現(xiàn)故障后，按下一鍵排障物理按鈕能夠直接定位故障是否為上網(wǎng)行為管理設(shè)備引起，縮短網(wǎng)絡(luò)故障定位時間雙系統(tǒng)冗余：提供硬盤+Flash卡雙系統(tǒng)，互為備份，單個系統(tǒng)故障后依舊能夠保持設(shè)備正常使用。風險集中告警告警中心：所有告警信息可在告警中心頁面中統(tǒng)一的集中展示分級告警：不同等級的告警進行區(qū)分排列，防止低等級告警淹沒關(guān)鍵的高等級告警信息。告警通知：告警可經(jīng)過郵件、語音提示方式通知管理員，便于快速發(fā)現(xiàn)告警風險。數(shù)據(jù)備份系統(tǒng)數(shù)據(jù)備份是容災的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導致數(shù)據(jù)丟失，而將全部或部分數(shù)據(jù)集合從應用主機的硬盤或陣列復制到其它的存儲介質(zhì)的過程。傳統(tǒng)的數(shù)據(jù)備份主要是采用內(nèi)置或外置的磁帶機進行冷備份。可是這種方式只能防止操作失誤等人為故障，而且其恢復時間也很長。隨著技術(shù)的不斷發(fā)展，數(shù)據(jù)的海量增加，不少的企業(yè)開始采用網(wǎng)絡(luò)備份。網(wǎng)絡(luò)備份一般經(jīng)過專業(yè)的數(shù)據(jù)存儲管理軟件結(jié)合相應的硬件和存儲設(shè)備來實現(xiàn)。重要性：計算機里面重要的數(shù)據(jù)、檔案或歷史紀錄，不論是對企業(yè)用戶還是對個人用戶，都是至關(guān)重要的，一時不慎丟失，都會造成不可估量的損失，輕則辛苦積累起來的心血付之東流，嚴重的會影響企業(yè)的正常運作，給科研、生產(chǎn)造成巨大的損失。為了保障生產(chǎn)、銷售、開發(fā)的正常運行，企業(yè)用戶應當采取先進、有效的措施，對數(shù)據(jù)進行備份、防范于未然。備份方式：定期磁帶；數(shù)據(jù)庫；網(wǎng)絡(luò)數(shù)據(jù)；遠程鏡像；好用設(shè)備：備份離不開存儲設(shè)備和介質(zhì)。當前，能夠用來備份的設(shè)備很多，除軟盤、本地硬盤外，CD-R、CD-RW光盤、Zip磁盤、活動硬盤、移動存儲設(shè)備以及磁帶機等都能夠很方便地買到。另外，Internet還給用戶提供了網(wǎng)絡(luò)備份的新途徑，特別是一些免費空間很值得我們予以關(guān)注。軟盤是最常見的備份介質(zhì)。不過，軟盤容量很小，備份少量數(shù)據(jù)尚勉強可為，對大量數(shù)據(jù)則無能為力。再則，軟盤安全性差、容易損壞，專業(yè)備份不值得考慮。光盤是不錯的備份介質(zhì)，它容量大、便于保管和攜帶，安全性也較高，是死備份的唯一選擇。產(chǎn)品選擇：Symantec作為全球領(lǐng)先的存儲備份管理軟件廠商，旗下的BackupExec和Netbackup兩款備份產(chǎn)品解決方案能夠為企業(yè)各種環(huán)境架構(gòu)下的應用系統(tǒng)數(shù)據(jù)提供可靠的備份管理和數(shù)據(jù)安全保障。產(chǎn)品特點：BackupExec軟件是一種多線程、多任務(wù)的存儲管理解決方案，專為在單一的或多節(jié)點的WindowsServers(包括windows/)企業(yè)環(huán)境中進行數(shù)據(jù)備份、恢復、災難恢復而設(shè)計，適用于Windowsservers以及簡單異構(gòu)的企業(yè)網(wǎng)絡(luò)；在全球數(shù)據(jù)備份軟件市場的占有率高達56％，并在各種性能評測中遠遠領(lǐng)先于對手產(chǎn)品。NetBackup是Symantec公司的企業(yè)級備份管理軟件,它致力于解決網(wǎng)絡(luò)上大、中、小型服務(wù)器和工作站系統(tǒng)上的數(shù)據(jù)備份、歸檔及災難恢復問題；NetBackup支持UNIX、Windows和Netware混合環(huán)境提供了完整的數(shù)據(jù)保護機制，針對Oracle、SAPR/3、Informix、Sybase、MicrosoftSQLServer和MicrosoftExchangeServer等數(shù)據(jù)庫提供了備份和恢復的解決方案。具有保護企業(yè)中從工作組到企業(yè)級服務(wù)器的所有的數(shù)據(jù)的能力。產(chǎn)品配置：SymantecBackupExec12D產(chǎn)品配置架構(gòu)BackupExec12DforWindowsServers備份軟件能夠作為一臺獨立服務(wù)器保護自身的重要數(shù)據(jù)，也能夠為網(wǎng)絡(luò)上其它的遠程客戶端或者服務(wù)器提供全面的數(shù)據(jù)保護。備份軟件系統(tǒng)的核心部分--BackupExecforWindowsServers能夠安裝到廣泛的Windows各個版本的操作系統(tǒng)上，包括WindowsServer/、WindowsStorageServer以及WindowsSmallBusinessServer標準版和高級版。豐富的數(shù)據(jù)庫備份選件和客戶端能夠有效地擴展BackupExec的功能，從而滿足不同應用對增長和升級存儲管理能力的需求。關(guān)于Windows服務(wù)器的系統(tǒng)保護，能夠采用SymantecBackupExecSystemRecovery產(chǎn)品；BESR8.5是作為Windows系統(tǒng)恢復領(lǐng)域的金牌標準，能夠在數(shù)分鐘（而非數(shù)小時或數(shù)天）之內(nèi)恢復系統(tǒng)，甚至能夠?qū)⑾到y(tǒng)恢復至不同的硬件或虛擬環(huán)境?，F(xiàn)在包含增強的MicrosoftExchange、虛擬和數(shù)據(jù)恢復功能，以及能夠簡化管理的集中式管理?？蛻魝浞莪h(huán)境分析：客戶的備份網(wǎng)絡(luò)中，主要保護的服務(wù)器為Windows平臺，備份的服務(wù)器有文件服務(wù)器、AD域服務(wù)器、SQL數(shù)據(jù)庫服務(wù)器等備份系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計：在網(wǎng)絡(luò)備份的基礎(chǔ)上，我們建議建立一個專用的備份網(wǎng)絡(luò)。配置很簡單，因為每臺服務(wù)器缺省已經(jīng)配置2個以上的以太網(wǎng)卡。我們指定其中一個網(wǎng)卡作為專用的備份連接，經(jīng)過一個千兆的以太網(wǎng)網(wǎng)絡(luò)交換機組成一個專用的備份網(wǎng)絡(luò)。這樣的備份的時候數(shù)據(jù)經(jīng)過備份網(wǎng)絡(luò)直接傳輸?shù)絺浞莘?wù)器，而不需要占用公網(wǎng)的網(wǎng)絡(luò)帶寬，而且備份速度更快。還有，我們建議采用基于網(wǎng)絡(luò)的多級備份架構(gòu)實現(xiàn)高速的磁盤備份。數(shù)據(jù)首先備份到備份服務(wù)器上，然后在空閑的時候再遷移到磁帶機上做為長期的數(shù)據(jù)保留。磁盤和磁帶相結(jié)合的備份，既能夠?qū)崿F(xiàn)高速的存儲備份，也能夠?qū)崿F(xiàn)數(shù)據(jù)長期保留的需要。主頁防篡改網(wǎng)站被篡改的原因：客觀原因：操作系統(tǒng)和應用的復雜性，導致系統(tǒng)漏洞的層出不窮。雖然有防火墻、入侵檢測，可是這些產(chǎn)品都是基于特定端口的，無法理解協(xié)議的具體內(nèi)容主觀原因：網(wǎng)站建設(shè)與保護措施建設(shè)不同步還有些網(wǎng)站在接到報告后能夠恢復，但并沒有根除安全隱患，從而遭到多次篡改網(wǎng)頁防篡改技術(shù)：外掛輪巡技術(shù)：利用一個網(wǎng)頁讀取和檢測程序，以輪巡方式讀出要監(jiān)控的網(wǎng)頁，與真實網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進行報警和恢復。核心內(nèi)嵌技術(shù)：篡改檢測模塊內(nèi)嵌于WEB服務(wù)器軟件，在每一個網(wǎng)頁流出時進行完整性檢查事件觸發(fā)技術(shù)：使用操作系統(tǒng)的文件系統(tǒng)/驅(qū)動程序接口，網(wǎng)頁文件被修改時進行合法性檢查產(chǎn)品選擇：鷹眼主頁防篡改軟件產(chǎn)品特點：鷹眼主頁防篡改系統(tǒng)采用先進的核心驅(qū)動技術(shù)，其篡改檢測模塊運行于操作系統(tǒng)核心，與操作系統(tǒng)無縫結(jié)合。攔截對被保護的對象的非法篡改行為事件，進行阻斷處理，由于鷹眼主頁防篡改系統(tǒng)采用了先進、高校的算法，因此能實時、有效地確保每個網(wǎng)頁的真實性。鷹眼防篡改系統(tǒng)由主機監(jiān)控端、管理服務(wù)器、管理終端三部分組成。主機監(jiān)控端安裝于被保護的WEB服務(wù)器之上。主機監(jiān)控端與WEB服務(wù)器同步啟動，保證WEB服務(wù)器能夠隨時得到保護。管理服務(wù)器是整個系統(tǒng)的中樞，所有的管理功能和數(shù)據(jù)均在管理服務(wù)器上實現(xiàn)，管理服務(wù)器是管理終端和主機監(jiān)控端的橋梁。管理終端安裝于用戶的工作用機上，為用戶提供遠程管理操作經(jīng)過部署主頁防篡改軟件，有效的監(jiān)控網(wǎng)站網(wǎng)頁是否被惡意修改、刪除，并能在最短的時間內(nèi)采取恢復措施，有效保證數(shù)據(jù)的完整性和真實性。校園網(wǎng)絡(luò)系統(tǒng)安全管理制度

第一章總則

第一條為了保護校園網(wǎng)絡(luò)系統(tǒng)的安全、促進學校計算機網(wǎng)絡(luò)的應用和發(fā)展、保證校園網(wǎng)絡(luò)的正常運行和網(wǎng)絡(luò)用戶的使用權(quán)益，制定本安全管理制度。

第二條

本管理制度所稱的校園網(wǎng)絡(luò)系統(tǒng)，是指由學校投資購買、由網(wǎng)絡(luò)與信息中心負責維護和管理的校園網(wǎng)絡(luò)主、輔節(jié)點設(shè)備、配套的網(wǎng)絡(luò)線纜設(shè)施及網(wǎng)絡(luò)服務(wù)器、工作站所構(gòu)成的、為校園網(wǎng)絡(luò)應用及服務(wù)的硬件、軟件的集成系統(tǒng)。第三條校園網(wǎng)系統(tǒng)的安全運行和系統(tǒng)設(shè)備管理維護工作由網(wǎng)絡(luò)與信息中心負責，網(wǎng)絡(luò)與信息中心能夠委托相關(guān)單位指定人員代為管理子節(jié)點設(shè)備。任何單位和個人，未經(jīng)校園網(wǎng)負責單位同意、不得擅自安裝、拆卸或改變網(wǎng)絡(luò)設(shè)備。

第四條任何單位和個人、不得利用聯(lián)網(wǎng)計算機從事危害校園網(wǎng)及本地局域網(wǎng)服務(wù)器、工作站的活動，不得危害或侵入未授權(quán)的（包括CERNET或其它互聯(lián)網(wǎng)在內(nèi)的）服務(wù)器、工作站。

第二章安全保護運行

第五條除校園網(wǎng)負責單位，其它單位或個人不得以任何方式試圖登陸進入校園網(wǎng)主、輔節(jié)點、服務(wù)器等設(shè)備進行修改、設(shè)置、刪除等操作；任何單位和個人不得以任何借口盜竊、破壞網(wǎng)絡(luò)設(shè)施，這些行為被視為對校園網(wǎng)安全運行的破壞行為。

第六條校園網(wǎng)中對外發(fā)布信息的WWW服務(wù)器中的內(nèi)容必須經(jīng)各單位領(lǐng)導審核，由單位負責人簽署意見后，交辦公室審核備案后，由網(wǎng)絡(luò)與信息中心從技術(shù)上開通其對外的信息服務(wù)。

第七條校園網(wǎng)各類服務(wù)器中開設(shè)的帳戶和口令為個人用戶所擁有，網(wǎng)絡(luò)與信息中心對用戶口令保密，不得向任何單位和個人提供這些信息。

第八條網(wǎng)絡(luò)使用者不得利用各種網(wǎng)絡(luò)設(shè)備或軟件技術(shù)從事用戶帳戶及口令的偵聽、盜用活動，該活動被認為是對網(wǎng)絡(luò)用戶權(quán)益的侵犯。

第九條校園內(nèi)從事施工、建設(shè)，不得危害計算