校园网网络安全报告.doc

校园网网络安全报告校园网是开放教育的一项基础设施，是提高教学、科研和管理水平不可缺少的支撑环境，也是衡量学校教学水平、管理水平的重要标志。建设校园网实现了与兄弟校园网的互连；实现了与教育网的互连；实现了与国际互连网Internet的连接；实现了学习资源网上资源共享，使学生在网上自主学习成为可能。同时，网络也是学生与教师互动的平台，为教学工作提供了开放性的平台。 一、校园网的基本情况 1.网络使用基本情况 校园网现已覆盖学院所有办公楼、教学楼、食堂、学生宿舍和教师宿舍，信息点达6500余个，校园网接入计算机2450，总用户2627人，实际有效用户1901人，其中宿舍区用户1691人，办公区用户210人。校园网主干带宽达到千兆，到达桌面为百兆，与Internet的接入带宽为1.5M。校园网带宽网通出口120M、电信5M、与成都信息工程学院直链教育网2M。网通为主线路，原对校园网900左右学生用户开放包月不限流量方式，造成网络带宽资源负荷。经相关网络数据信息分析，80%的学生用户长时间在线挂机下载电影游戏等网络资源，使网络带宽资源一直处于饱和状态得不到释放造成网络带宽拥挤资源紧缺。通过吸取其他学院的经验，结合我院自身条件与用户使用情况推行包月限流量的计费方式，同时为校园网用户免费提供校内资源下载平台及 “星空在线”、“卫星电视直播”、“在线图书”等资源服务，丰富了校园生活，拓展了校园公共信息传播渠道。在满足校内用户需求的同时，大大改善了网络使用状况并由原单用户1M的网络带宽提高至1.5M。现校内学生用户已突破1300人，高峰时期网络带宽使用率占仅占总带宽65%左右，保证了充足的网络带宽资源。并对网络资费标准进行划分，降低入网门槛标准，为学生入网提供了实质性的便利。 2.校园网安全 我院现拥有服务器十五台，其中重要收费/计费数据服务器六台、媒体服务器三台、教务系统服务器两台、图书馆及网络图书馆服务器两台、行为审计日志备份服务器两台。针对服务器功能与使用部门进行服务器安全等级分类。对重要数据服务器（如：一卡通数据服务器、DRCOM计费服务器等），通过加装硬件放火墙对其进行网络隔离，以避免服务器遭受网络病毒的攻击及网络后门入侵的破坏。提高了网络的安全可靠性、数据安全性，保证了网络的高稳定性，并对非法攻击的有效抵御；保证了学院的正常运行。 全院统一实行实名制登陆上网，对用户网络行为进行审计与记录，增强了网络安全管理，在规范网络用户的网络行为进行同时做到有据可查，从而减少杜绝了网络违法事件与行为的发生。 通过前期经验总结，结合实际网络情况，对宿舍区实行区域改造。按IP地址、计算机MAC地址、用户帐号相对应缺一不可，提高网络高速稳定性，降低校园网内网络故障的同时对上网用户进行双重地址绑定，保障用户切实利益，杜绝乱用上网帐号、盗用他人帐号等情况。实现一台电脑一个帐号两个地址，增强校内网学生用户管理，提高并保证校内校外网络安全。 3.校园网教学服务 校园网下设有微机室子网、办公子网等。实现按功能划分网络，有效的提高校园网网络功能的拓展。现正试点构建多媒体子网，通过“多媒体子网”对多媒体教室设备运行做到实时情况进行调控与远程协助，减低多媒体设备故障，降低多媒体设备损耗，提高设备使用寿命。并利用网络功能实现多媒体教室统一布控，实现真正意义上的全局统一。减少教室差异性，提高教室对特殊情况的适应性。并为教师提供“电子备课子网”，方便教师对教学课件与教学资源的使用与修改，提高校园网教学与科研的应用。现实多媒体教室功能的拓展及突破教学范围的限制，为“远程教学”打下基础。 （远程教学：通过网络与其他地区的学校或本地其他教室进行连接，向不在同一个地理位置的学生进行授课，或者接收其他地区教师授课。） 4.新任务规划 1）进一步完善基础设施建设： 建立网络安全立体防卫体系，确保校园网安全稳定运行。在现有网络安全系统上部署网络入侵检测系统。逐步丰富网络系统应用，为全院教学、科研和管理提供丰富的网络资源和较为完善的网络服务，丰富信息资源；为学院教务管理工作的提高，促进教学手段和方法的更新提供有效的帮助与支持。 建立虚拟校园系统，提高学院宣传途径；完善“数据资产”的管理措施，整合网络信息资源（包含数字图书、网络课件、各类讲座、电子图书等资源库），构建网络社区系统（网络学习平台、流媒体服务平台、资源共享平台）丰富师生课外学习休闲生活。 完善办公系统、网络短信服务器平台，实现移动教务信息查询与移动办公化。 2）加强网络安全的防范，对中心机房网络结构进行合理化调整，规范化中心机房优化服务器群，提高网络服务运行稳定性。 3）完善“多媒体子网”方便教师开展多媒体教学任务的同时，为多媒体教学资源的建设提供有力支持。 1、项目背景 随着信息化程度的提高，越来越多的学（院）校建了校园网和网站，把校园的介绍、规划、招生、研究成果等发布在网站，让更多的人了解自己的校园，甚至在网上即时进行学 术交流等。在网络信息技术高度发展的今天，xxx大学作为一个高等院校，为了方便学术交流、校友联络、招生报名、研究成果的发布等，建设自己的网站和邮件系统是必须的。在当前的信息互动交流中，电子邮件的应用凭借其快速、灵活的特点，在整个互联网络应用中有着举足轻重的地位。xxx大学提供给师生优质的电子邮件服务，不仅仅可以更好地利用现有网络资源为广大师生服务，还可以充分向海内外树立和宣传xxx大学的品牌形象，同时也方便了校友与母校的联络。 信息化程度的提高，极大地促进了教育事业的发展，但是随之而来的却是信息安全问题。xxx大学校园网以广域网络作为支撑平台，如何保障网络安全成为不可避免的重大问题。在xxx大学校园网中，无论是有意的攻击，还是无意的误操作，都将会给信息系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息；还可以篡改数据库内容、伪造用户身份、否认自己的签名；更有甚者，攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。内部工作人员能较多地接触内部信息，工作中的任何不小心都可能给信息安全带来危险。这些都使信息安全问题越来越复杂。 中国网管联盟面对计算机网络中的种种安全威胁，必须采取有力的措施来保证安全。无论是在局域网还是在广域网中，网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。在xxx大学校园网中，应防患于未然，一旦出了事，亡羊补牢，恐怕为时已晚。根据网络安全监测软件的实际测试情况显示，一个没有安全防护措施的大型网络，其安全漏洞可达1500个左右。目前的网络中虽然采用一些安全产品，有一套安全制度，但由于各种客观和主观的原因仍然存在种种安全上的问题。同时，由于网络的安全状况随着时间变化而变化，因此在作全网安全考虑时，除了合理的使用和配置各种安全软件、硬件产品以外，日常的检测和后续的服务也越来越受到重视。 2、网络简况 根据校园网拓扑图，托普学院通过10M的VPN线路与下面的八个分校连接，通过10M的专线连接到Internet网络上。 在托普学院的网络系统中，网络设备产品类型包括路由器、防火墙、核心交换机、工作组交换机、以太网卡等，服务器平台主要为TurboLinux，工作站系统平台有：WinArray5/Array8/Me/XP/2000 Professional/NT Workstation等，主要的服务器为：Powermail邮件服务器、Oracle数据库服务器、Apache互联网服务器、Pro FTP文件传输服务器等等。 根据托普学院本部服务器部署拓扑图，本部网络的服务器分成两个部分，一部分是对外提供服务的WEB服务器群、DNS服务器和邮件服务器，另一部分是对内提供服务的教学服务器、数据库服务器、代理服务器等。对外提供服务的服务器接到了到CNCNet的防火墙的非军事化区，而对内提供服务的服务器直接接到了主干交换机上。 www_bitscn_com托普学院校园网的财务专网，是通过网通提供的虚拟专网连接起来的一个单独的广域网络，它通过财务信息发布服务器与整个校园网建立联系。 3、系统分析 托普学院校园网络在规划时，已考虑到了安全方面的问题，也采取了一些措施来保障网络的安全，如使用防火墙、MPLS虚拟专用网等等。但是，这些安全措施是不完备的。 (1) 校园网只考虑了对外服务器的安全性，对内服务器则是暴露在内部交换机上，随时可能受到来自内部用户的扫描、窥探和攻击； (2) 整个网络没有采取防病毒措施，如果病毒扩散，将会迅速蔓延到整个网络，后果不堪设想； (3) 在目前只有CNCNet出口的情况下，所有的服务器都接到一台防火墙的DMZ上，从系统效率来看，这样是不合适的，如果将来接到了CerNet上，可以考虑将一部分业务如邮件移到CerNet出口处的防火墙的DMZ区上。 bitsCN.Com 根据安全评估和检测的结果，发现有以下问题： (4) 首先，整个网络的结构复杂，服务器繁多，网络管理员没有合适的工具及时对整个网络的安全状况及时做出评估，无法防患于未然； (5) 其次，我们在对各服务器进行扫描的时候发现，有些服务器打开了多余的服务，攻击者可以通过它们威胁服务器的安全； (6) 最后，有些服务程序本身存在漏洞，这些漏洞可以通过升级服务程序或者对服务器进行设置进行弥补。 因此，我们不仅要采用新的安全设备和技术手段来加固现有的网络系统，而且还要使用专业的安全服务对现有的服务器进行安全改造，全方位提高网络的安全性 中国_网管联盟 4、方案实施 我们综合采用防火墙、入侵检测、内容过滤和安全评估技术，建立xxx大学校园网安全系统框架： (1) 建立完整可行的网络安全、网络管理策略与技术组织措施； (2) 利用防火墙将内部网络、对外服务器网络和外网进行有效隔离，避免与外部网络直接通信； (3) 利用防火墙建立网络各主机和对外服务器的安全保护措施，保证系统安全； (4) 利用防火墙对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝；利用防火墙加强合法用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内； (5) 利用防火墙全面监视对公开服务器的访问，及时发现和阻止非法操作； 中国_网管联盟(6) 利用防火墙及各服务器上的审计记录，形成一个完善的审计体系，在策略之后建立第二条防线； (7) 在本部和各分校，利用入侵检测系统，监测对内，对外服务器的访问； (8) 在本部和各分校，利用入侵检测系统，对服务请求内容进行控制，使非法访问在到达主机前被阻断； (Array) 在本部使