⑴ 國家對網路安全科研經費要求
暫無明確的要求。根據查詢相關資料例如:
1、在由信息安全系劉吉強教授牽頭申報的謹滾旁國家重點研發計劃「物聯網與智慧城市關鍵技術及示範」重點專項2020年度項目「城市備碼智能系統可信任機理與關鍵技術」已批復立項。該項目總經費3633萬元,其中中央財政經費1633萬元,執行周期為3年。
2、四川省高校重點實驗室(軍民融合)、成都市信息安全保密重點實驗室、成都市商用密碼技術研究院等科研平台,正在籌建「新一代密碼技術與系統安全四川省重點實驗室「。近三年,學院年均到賬科研經費近1000萬元,承擔了國家自然科學基金、科技部網路空間安全重大專項、國家242信息安全計祥橡劃、四川省網路安全重大專項、四川省人工智慧安全重大專項、四川省重點研發計劃、四川省科技支撐計劃等項目30多項。
⑵ 校園網安全建設需要考慮哪些方面需要做行為管理嗎
對於高校校園網的安全建設而言,主要考慮以下幾個方面:
•需要對整個校園的網路安全統籌規劃,建立體系化的安全保障系統;
•建設過程需要遵循等級保護的要求,結合等級化的方法來設計;
•將校園網劃分安全域,分域管理,更有利於安全重點管理;
•部署必要的安全產品是安全防護的主導,需要和校園業務的特性相結合,特別是高校門戶網站、數據中心;
•安全服務是安全產品的必要補充,體系化建設咨詢、風險評估、滲透測試、應急響應等安全服務將貫穿用戶安全建設過程,協助用戶提升安全防護能力。
要解決教育行業的網路安全問題:
首先,防火牆是不可缺少的設備,防火牆是解決網路邊界問題最成熟的設備,星峰航建議用戶選擇有帶寬管理,流量控制,限制BT,內容過濾以及AAA認證功能的防火牆設備,這樣可以解決校園網中的流量問題,限制師生上BT等下載軟體佔用大量帶寬,AAA認證功能可以讓用戶先認證再上網,能夠保證安全性。如果再進行細致的配置,能夠讓防火牆發揮到最大的效用;
其次,為了保證校園網內健康的網路環境,建議部署星峰航高校網路行為管理系統,網路行為管理系統能夠預先設置規則,限定師生只能上健康的網站,同時能夠對上網的行為進行監控和管理,是校園網內有效的管理手段。
目前解決遠程接入安全最有效的方案就是使用SSL VPN技術,對於校園網來說,需要保證來自各種網路接入條件的師生都能夠安全的接入到網內,同時還要支持手機接入,因此使用星峰航安全接入網關來保證遠程接入的安全,滿足校園網用戶的需求。
示意圖如下所示:
⑶ 信息化項目網路安全預算不低於
新建信息化項目的網路安全預算不低於項目總預算的5%。
《醫療衛生機構網路安全管理辦法》第二十八條各醫療衛生機構應高度重視網路安全管理工作,將其列入重要議事日程,加強統籌領導和規劃設計,依法依規落實人員、經費投入、安全保護措施建設等重大問題,保證信息系統建設時安全保護措施同步規劃、同步建設和同步使用。
第二十九條各醫療衛生機構應加強網路安全業務交流,嚴格執行網路安全繼續教育制度,鼓勵管理崗位和技術崗位持證上崗。通過組織開展學術交流及比武競賽的方式,發現選拔網路安全人才,建立人才庫,建立健全人才發現、培養、選拔和使用機制,為做好網路安全工作提供人才保障。
第三十條各醫療衛生機構應保障開展網路安全等級測評、風險評估、攻防演練競賽、安全建設整改、安全保護平台建設、密碼保障系統建設、運維、教育培訓等經費投入。新建信息化項目的網路安全預算不低於項目總預算的5%。
第三十一條各醫療衛生機構應進一步完善網路安全考核評價制度,明確考核指標,組織開展考核。鼓勵有條件的醫療衛生機構將考核與績效掛鉤。
⑷ 網路安全技術的問題及解決方案
園網路技術安全問題解決方案
隨著網路的高速發展,網路的安全問題日益突出,近兩年間,黑客攻擊、網路病毒等屢屢曝光,國家相關部門也一再三令五申要求切實做好網路安全建設和管理工作。但是在高校網路建設的過程中,由於對技術的偏好和運營意識的不足,普遍都存在"重技術、輕安全、輕管理"的傾向,隨著網路規模的急劇膨脹,網路用戶的快速增長,關鍵性應用的普及和深入,校園網從早先教育、科研的試驗網的角色已經轉變成教育、科研和服務並重的帶有運營性質的網路,校園網在學校的信息化建設中已經在扮演了至關重要的角色,作為數字化信息的最重要傳輸載體,如何保證校園網路能正常的運行不受各種網路黑客的侵害就成為各個高校不可迴避的一個緊迫問題,解決網路安全問題刻不容緩。
字串8
一、目前校園網路中存在的安全問題
字串2
1、網路安全方面的投入嚴重不足,沒有系統的網路安全設施配備
字串5
大多數學校網路建設經費嚴重不足,所以就將有限的經費投在關鍵設備上,對於網路安全建設一直沒有比較系統的投入,致使校園網處在一個開放的狀態,沒有任何有效的安全預警手段和防範措施。 字串3
2、 學校的上網場所管理較混亂 字串7
由於缺乏統一的網路出口、網路管理軟體和網路監控、日誌系統,是學校的網路管理各自為政,缺乏上網的有效監控和日誌,上網用戶的身份無法唯一識別,存在極大的安全隱患。
字串1
3、 電子郵件系統極不完善,無任何安全管理和監控的手段
字串1
電子郵件既是互聯網必不可少的一個應用之一,同時也是病毒和垃圾的重要傳播手段。目前絕大多數校園網郵件系統依然採用互聯網上下載的免費版本的郵件系統,不能提供自身完善的安全防護,更沒有提供任何針對用戶來往信件過濾、監控和管理的手段,完全不符合國家對安全郵件系統的要求,出現問題時也無法及時有效的解決
字串4
4.網路病毒泛濫,造成網路性能急劇下降,很多重要數據丟失,損失不可估量。 字串2
網路病毒的肆虐傳播,極大的消耗了網路資源;造成網路性能下降,單純單機殺毒軟體已經不能滿足用戶的需求,迫切需要集中管理、統一升級、統一監控的針對網路的防病毒體系。
字串7
5.網路安全意識淡薄,沒有指定完善的網路安全管理制度 字串9
校園網路上的用戶安全意識淡薄,大量的非正常訪問導致網路資源的浪費,同時也為網路的安全帶來了極大的安全隱患。 字串5
綜上所述,校園網路安全的形勢非常嚴峻,為解決以上安全隱患和漏洞,結合校園網特點和現今網路安全的典型解決方案和技術,航天聯志公司根據多年對校園網路的深刻理解,提出了以下校園網路安全解決方案。 字串2
二、校園網路安全解決方案
字串9
1、規范出口的管理 字串4
實施校園網的整體安全架構,必須解決多出口的問題。對於出口進行規范統一的管理,使校園網路安全體系能夠得以實施。為校園網的安全提供最基礎的保障。
字串1
2、 配備完整的、系統的網路安全設備
字串4
在網內和網外介面處配置一定的統一網路安全控制和監管設備就可杜絕大部分的攻擊和破壞,一般包括:防火牆、入侵檢測系統、漏洞掃描系統、網路版的防病毒系統等。另外配置安全設備既要考慮到功能,同時也必須考慮性能和可擴展性,以避免成為網路的瓶頸。通過配置安全產品可以實現對校園網路進行系統的防護、預警和監控,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網路的故障可以迅速定位並解決。
字串7
3、 解決用戶上網身份問題,建立全校統一的身份認證系統 字串7
校園網路必須要解決用戶上網身份問題,而身份認證系統是整個校園網路安全體系的基礎的基礎,否則即便發現了安全問題也大多隻能不了了之,只有建立了基於校園網路的全校統一身份認證系統,才能徹底的解決用戶上網身份問題,同時也為校園信息化的各項應用系統提供了安全可靠的保證。
字串6
4.嚴格規范上網場所的管理,集中進行監控和管理 字串1
上網用戶不但要通過統一的校級身份認證系統確認,而且,合法用戶上網的行為也要受到統一的監控,上網行為的日誌要集中保存在中心伺服器上,保證了這個記錄的法律性和准確性。 字串8
5. 改造電子郵件系統,提供多種安全監控和管理功能
字串9
針對目前郵件系統存在的安全隱患,航天聯志結合國內知名的郵件安全系統提供商美訊智推出了專門針對校園網的郵件安全系統。該系統具有強大的高准確率和低誤報率,使被垃圾郵件的准確率高達98%;而且獨特的策略模塊可以幫助用戶簡單輕松的視線郵件系統的管理與維護;全面防護針對傳輸層25埠的攻擊,防止郵件地址泄露,保障郵件系統的安全;通過直觀的圖標和多種查詢方式全面顯示郵件的應用情況並可以及時調整策略設定。這些優秀的功能為校園網的郵件安全帶來了堅實的防護。
字串2
6.根據相關部門的要求,配備專門的安全管理人員,出台網路安全管理制度
字串7
網路安全建設是"三分設備,七分管理",沒有切實可行的安全保障體系和制度,網路安全就變成了空談。隨著網路技術的迅速發展和上網用戶對網路的了解程度越深,網路安全的形式就越嚴峻,這也從近幾年互聯網路安全問題頻頻出現得到印證。而網路安全的技術又是非常復雜和廣泛的,現狀還是"道高一尺,魔高一丈",這樣,管理的工作就愈發重要和艱巨,必須要做到及時進行漏洞修補和定期詢檢,保證對網路的監控和管理。另外,學校必須頒布網路行為規范和具體處罰條例,這樣才能有效的控制和減少內部網路的隱患。
字串3
互聯網路的飛速發展,對校園網路中師生的生活和學習已經產生了深遠的影響,網路在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時,我們需要清醒的認識到,網路安全問題的日益嚴重也越來越成為網路應用的巨大阻礙,校園網路安全已經到了必須要統一管理和徹底解決的地步,只有很好的解決了網路安全問題,校園網路的應用才能健康、高速的發展。
⑸ 網路安全專項經費使用范圍
網路安全工作經費包括以下項目:支持網路安全應急技術支撐隊伍建設費、專家隊伍建設費、基礎平台建設費、技術研發該、預案演練費、物資保障費等。
⑹ 東北大學網路免費時間
自2019年1月1日零點起,新增校園網套餐:資費0元/月,每月提敗爛供免費外網訪問流量5G,超出流量按旦枯胡0.002元/M計費。校園網模攔用戶可在"IP控制網關"自助開通激活或切換套餐
⑺ 網路安全預算一般不低於多少
網路安全預算一般不能低於5%
為給數字經濟發展提供堅實的網路安全保障,建議對網路安全預算佔比提出強制要求。制定網路安全預算投入在信息化建設投入中不能低於5%的強制性標准。大數據是新型生產要素和重要的基礎性戰略資源,龐大用戶群體所創造的大數據價值也是互聯網巨頭高估值的重要組成部分。
信息化項目建設方案 一、概述 (一)項目名稱。 (二)項目性質:新建、擴建、升級改造。 (三)項目承擔單位及負責人,包括項目建設單位簡況、機構職責等概 況。 (四)項目建設方案編制依據,包括項目提出的理由與過程。 (五)項目建設目標、規模、周期。 (六)項目建設內容一覽表。 (七)總投資及來源。 (八)經濟及社會效益。 二、現狀、必要性和需求分析 (一)現狀及存在的問題。
⑻ 網路信息安全的費用是不是很高
目前來說,大部分的提供此服務的培訓機構費用都在一萬七到兩萬之間,低於一萬學費的培訓機構是少之又少,也不可靠,所以與其糾結於費用問題,不如看看哪個培訓機構性價比更高。選擇培訓機構可以從培訓機構的綜合實力、課程體系、就業保障這幾點進行考量。
祝你早日找到心儀的機構!!!
⑼ 100分求校園區域網建設實施方案,急!!!
校園網的建設主要是為了教學應用,而多媒體輔助教學和多媒體教室是教學應用的核心,在網路建設時應考慮多媒體信息的特點,如信息量大,對時間延遲敏感等;在校慧早園網中常會出現幾十個學生執行相同操作的現象,所以要考慮並發信息的控制;學生利用網路做作業,教師要在家撥號訪問學校網路,學籍管理信息在網上傳輸,所以也要考慮網路的安全性,防止黑客破壞網路,學生抄襲作業;校園網又是面向不同知識層次的教師、學生和辦公人員的工具,它幫助我們更好地提高教學水平、辦公效率和學習興趣,所以應用和管理應簡便易行,界面友好,不宜太專業化。考慮各個學校的具體情況如性質、規模、財務等,思科公司提出了多種不同的校園網解決方案以供參考:
1、小型校園網解決方案(5-10萬元規模)
這是一個相對小型的校園網路,適宜於單一建築內的網路應用,方案特點如下(黑體部分表示主要特點,詳見後文闡述):
(1)支持多媒體應用,包括多媒體教室、電子閱覽室、多媒體教學;
(2)高性能,全交換,滿足用戶需求;
(3)管理簡單,瀏覽器方式無需專門培訓;
(4)系統安全,保密性高;
(5)ISDN連接方式,按需建立連接降低鏈路費用。
實現應用如下:
1個多媒體教室:50個多媒體用戶;
1個電子閱覽室:24個多媒體用戶;
60個校園網普通/多媒體用戶;
互聯網接入,安全的廣域網訪問。
方案拓撲結構如下:
由圖可看出,網路設備組成為:
Catalyst2924交換機
一台
Catalyst1924/2924交換機
五台
Cisco1700/800路由器
一台
思科公司的Catalyst2924交換機是這一網路的核心設備,它提供了24個10/100M自適應的快速乙太網埠,為分支交換機Catalyst1924和數據量很大的主伺服器或網管工作站提供高速主幹連接;1924交換機具有兩個100M快速乙太網埠和24個10M埠,100M用於2924或教師用機的連接,10M則可提供給數據流量較少的學生機和辦公機器;圖中多媒體教室用到其中兩台1924或2924,可為近五十台學生機提供網路連接,另三台分別分配給電子圖書瀏覽和辦公用。這是一個全交換的網路,相對共享式集線器而言,交換機各埠擁有獨占的帶寬,能實現多路並行傳輸,不易發生沖突,能為多媒體信息提供更好的保障。
考慮到Internet接入是校園網的發展趨勢,在每套解決方案中都用到了路由器來引入廣域網的遠程連接,這套方案中用到了思科公司的低端路由器Cisco1700,它提供了對內的10/100M區域網介面和對外的128K的ISDN或專線連接,通過Internet實現遠程教學或教學演播等應用。ISDN是國內已廣泛應用的一種撥號技術,按連接時間計費,費用僅為普通電話線的2-3倍,但帶寬卻能達到3-4倍,且傳輸穩定,連接迅速。在實現基本數據傳悔族遞的基礎上,用戶可以根據自己的需要靈活選用上述網路設備中的某些性能。如:路由器和交換機的組內廣播功能可為多媒體信息的傳輸提供更高的服務質量;而擁有兩個100M埠的1924可與2924之間建立快速乙太網通道,在全雙工模式下達到400M的高速級聯;此外,在圖中1700/800路由器上帶有一個紅色磚牆標志,它表示該路由器兼任了防火牆--思科公司系列中、低端路由器都可以通過操作系統升級具備防火牆性能,在承擔遠程連接的同時實施數據包檢驗和過濾,防止非法用戶侵入到內部區域網中--對連接到Internet這一開放網路的用戶來說,安全性是網路設計中不容忽視的一項重要因素。
這套方案的好處是簡便易行,成本很低,並且兼顧了教學、管理和通訊三方面應用。方案中所用到的產品都屬思科公司產品中的低端設備,在實現高性價比的桌面應用的同時又做到易於配置和管理:2924和1924都屬即插即用的設備,如果不添加特殊功能則不需任何配置,1700/800的設置和管理也十分方便,這樣用戶使用起來將得心應手,無後顧之憂。
2、支持長距離光纜的小型校園網解決方案(7-15萬元規模)
這套校園網路與第一套大致相似,但引入了光纜連接,因此除了具備前套方案的所有特點外,還能擴展區域網覆蓋區域,適用於多建築校園網的應用。
方案特點如下:
(1)支持多媒體應用,包括多媒體教室、電子閱覽室、多媒體教學;
(2)高性能,全交換,滿足用戶需求;
(3)管理簡單,瀏覽器方式無需專門前前雀培訓;
(4)系統安全,保密性高;
(5)ISDN連接方式,按需建立連接降低鏈路費用;
(6)採用光纜支持較長距離,滿足不同用戶需求。
實現應用如下:
1個多媒體教室:50個多媒體用戶;
1個電子閱覽室:24個多媒體用戶;
60個校園網普通/多媒體用戶;
互聯網接入,安全的廣域網訪問。
圖中的中央交換機為Catalyst2924M,用於辦公管理和電子瀏覽的兩台分支交換機也改為Catalyst1924C,相應的交換機間的級聯鏈路改為了光纜。這樣建設成本略為提高,設備組成變為:
Catalyst2924M交換機
一台(配置2/4埠100BaseFX模塊)
Catalyst1924/2924交換機
三台
Catalyst1924C交換機
兩台
Cisco1700/800路由器
一台
交換機2924M的『M』表示模塊化,這里選擇了一個2或4埠100M光纖模塊;1924C的『C』表示光纖,它的其中一個100M埠由1924的100BaseTX(雙絞線)變為100BaseFX(光纖)。交換機間的多模光纜連接距離可達數百米,基本能滿足校園內各建築間連接距離要求,這樣即使教學大樓、辦公大樓和圖書館分散在不同位置,依然能夠實現高性能的區域網應用。兩台用於多媒體教學的1924/2924交換機與同一大樓內的2924M仍採用雙絞線連接即可。
3、融合多媒體應用的中型校園網解決方案(15-30萬元規模)
對於應用更為復雜,需要更高區域網性能和多樣化遠程連接的學校,思科公司又推出第三套建議方案。方案特點:
(1)高性能全交換,千兆主幹,滿足大負荷網路運行需求;
(2)虛擬網路方便管理,提高網路安全與性能;
(3)支持多媒體應用包括多媒體教室、電子閱覽室、多媒體教學;
(4)卓越的IP/TV多媒體應用系統,滿足用戶點播、廣播需求,實現多媒體教學和管理;
(5)管理簡單,瀏覽器方式無需專門培訓;
(6)系統安全,保密性高;
(7)帶寬優化技術,降低鏈路費用。
實現應用如下:
無用戶數限制的IP/TV視頻點播、廣播系統;
2個多媒體教室:100個多媒體用戶;
1個電子閱覽室:24個多媒體用戶;
80個校園網普通/多媒體用戶;
16個遠程用戶撥號訪問校園網;
互聯網接入,安全的廣域網訪問。
拓撲結構如下:
圖中網路設備組成為:
Catalyst3524M交換機
兩台
Catalyst1924/2924/3524/3548交換機
六台
Cisco2620路由器
一台(配置NM-8AM模塊)
IP/TV視頻軟體
一套
方案中區域網核心由兩台Catalyst3524交換機通過千兆乙太網級聯組成。Catalyst3524交換機具有24個10/100M埠和兩個千兆埠,因此兩台3524之間可通過兩條千兆連接建立乙太網通道,實現高達4G的主幹連接,並且可以選擇不同的1000M鏈路類型(1000BaseSX、1000BaseLX/LH等)來滿足或長或短的距離要求;其10/100M埠用於分支交換機和主伺服器的連接。
遠程連接設備也改進為Cisco2620路由器,它本身具有一個10/100M快速乙太網埠,這里還為其選配了一個NM-8AM模塊,可同時建立八條115.2Kbps的電話撥號連接,因此應用非常靈活:用戶可以將一部分撥號鏈路連通ISP去訪問Internet,或通過Internet實現遠程多媒體教學;而將另一部分鏈路留給在家備課的老師或復習的學生,師生們可以很方便地利用家中的電話線和數據機連到學校的2620路由器上,滿足Internet訪問、數據查詢及電子瀏覽等應用。考慮到Internet外部入侵和撥號用戶的非法等不安全因素,2620路由器的操作系統也升級到防火牆版本,同時肩負起數據檢驗和過濾的功能。
除了遠程連接的功能,Cisco2620的10/100M乙太網埠也為校園內部區域網實現VLAN的應用提供了可能:VLAN的劃分是在交換機上進行的,利用這項功能可以將整個區域網分割成相對隔離的幾個虛擬網段(即VLAN)來分別對應不同的機構和用途,從而提高VLAN內數據傳遞效率以及VLAN之間的安全性;當不同部門(VLAN)之間需要進行數據交換時,就需要藉助路由器的路由功能,這就是VLAN的路由--VLAN的路由只能在100M以上區域網埠上完成,這是選用Cisco2620來實現VLAN應用的原因。如不需要VLAN之間路由,也可以選擇Cisco1750路由器。
除了一個NM模塊以外,2620還空餘了兩個WIC的廣域網插槽,可為以後網路擴充(如增加DDN、ISDN或幀中繼等鏈路)留用。
這套方案的另一關鍵是引入了思科公司的一套功能強大的視頻應用軟體-IP/TV,它的主要性能包括:
?IP/TV是一套綜合性客戶機/伺服器應用系統,伺服器軟體用於捕獲和存貯TV圖像客戶機軟體則可以調用和觀看圖像,此外還有專門的管理軟體對圖像內容和用戶情況實施管理;
?IP/TV可以實現的應用有兩大類:視頻廣播和點播--前者由管理員選定播放內容,實時或定時向指定的客戶機發送;後者則由用戶自己選擇所需的內容,播放到自己所處的客戶機中;
?IP/TV的圖像採用標準的視頻文件格式,如MPEG-1、AVI、H.261等,當伺服器容量和線路質量足夠好時,可採用解析度較高的圖像格式,反之則可降低解析度來減輕伺服器和線路負擔;
?IP/TV支持標準的實時傳輸和組內廣播協議,有利於提高傳輸質量,實現完全同步的全屏播放,同時保障數據傳遞效率,避免帶寬浪費;
?IP/TV具有完善的管理特性,可以對節目實施編排,也可以對觀眾的情況進行跟蹤,查看哪些觀眾在觀看廣播的內容,哪些觀眾在點播節目,並能夠給出分析,以便更好的規劃網路帶寬等參數;
?IP/TV還提供了便於教學應用的疑問管理器和幻燈播放。學生可以通過點擊瀏覽器窗口中的疑問管理器輸入問題,管理器將問題傳遞到顯示器得以立即答復或存檔以便日後補答。幻燈播放使學員在一個窗口中觀看教學幻燈的同時看到教員的形象;
?IP/TV基於流行的WindowsNT操作系統和TCP/IP網路協議,硬體平台為PC伺服器,便於實施和掌握,經濟可行。
由此可見,IP/TV是一套非常適合教學系統的應用解決方案。在拓撲圖中主幹交換機3524通過100M埠連接了一台IP/TV的主伺服器,利用攝像機或衛星天線獲取多媒體教學內容並存貯起來,其它教師和學生用機都可以作為IP/TV的客戶機以廣播或點播方式接收圖像;此外,遠程的電教館也設有一台IP/TV伺服器,可復制主伺服器的教學內容,便於當地學生觀看。
4、3層交換的大型校園網解決方案(50-80萬元規模)
如果學校經費足夠,校園網可以具備多種不同的形式來滿足用戶的特定需求。思科公司列舉了兩種不同的解決方案,下面為其中之一:
方案特點:
(1)高性能全交換,千兆主幹,滿足大負荷網路運行需求;
(2)虛擬網路方便管理、提高網路安全與性能;
(3)高效三層交換,按需劃分網路,管理得心應手;
(4)支持多媒體應用,包括多媒體教室、電子閱覽室、多媒體教學;
(5)卓越的IP/TV多媒體應用系統,滿足用戶點播、廣播需求,實現多媒體教學、管理;
(6)管理簡單,瀏覽器方式無需專門培訓;
(7)強大安全特性,專用防火牆產品支持大數據量訪問;
(8)帶寬優化技術,降低鏈路費用。
實現應用如下:
無用戶數限制的IP/TV視頻點播、廣播系統
2個多媒體教室:100個多媒體用戶
1個電子閱覽室:24個多媒體用戶
120個校園網普通/多媒體用戶
16個遠程用戶撥號訪問校園網
高速互聯網接入,安全的廣域網訪問。
拓撲結構如下:
圖中網路設備組成為:
Catalyst3524/3548交換機
兩台
Catalyst2948G-L3/4000交換機
一台
Catalyst1924/2924/3524/3548交換機
六台
Cisco2610路由器
一台(配置NM-8AM模塊)
IP/TV視頻軟體
一套
PIX防火牆
一台
與前套方案比較,本方案中路由器由10/100M乙太網埠的2620換為相對便宜的10M乙太網埠的2610或10/100M乙太網埠的1750,這是因為校園區域網中採用了支持3層交換的2948G-L3/或4000交換機。添加的設備主要有兩台:Catalyst2948G-L3和PIX防火牆。
Catalyst2948GL3具有48個10/100M快速乙太網和2個千兆乙太網埠,它與兩台Catalyst3524一起共同構築了一個更為強健的網路主幹;更關鍵的是,新推出的2948GL3交換機具備第三層交換的特性,它既保留了傳統的第二層交換在各埠間傳遞數據時的高線速,又集成了原來在第三層路由中才有的完善的控制功能如審計、廣播隔離等。在前套方案中,VLAN的劃分是在交換機上進行的,但當不同部門(VLAN)之間需要進行數據交換時,就需要藉助路由器的路由功能,而現在在同一台設備中同時支持二層、三層功能,進行廣播隔離、全線速網路互聯,從而大大提高了校園網的性能。如採用Catalyst4000系列三層交換機也可以以4000作為核心,直接與各教學樓、圖書館相連。
5、千兆主幹,百兆交換到桌面的大型校園網解決方案(50-80萬元規模)
前套方案強調的是第三層交換和網路安全,本套投資大致相當的方案則重在數據的高速傳輸。
方案特點:
(1)高性能全交換,千兆骨幹、百兆交換到桌面;
(2)虛擬網路方便管理、提高網路安全與性能;
(3)支持多媒體應用包括多媒體教室、電子閱覽室、多媒體教學;
(4)卓越的IP/TV多媒體應用系統,滿足用戶點播、廣播需求,實現多媒體教學、管理;
(5)管理簡單,瀏覽器方式無需專門培訓;
(6)系統安全,保密性高;
(7)高速緩存提高廣域網速度,降低網路費用;
實現應用如下:
無用戶數限制的IP/TV視頻點播、廣播系統
2個多媒體教室:100個多媒體用戶
1個電子閱覽室:24個多媒體用戶
90個校園網普通/多媒體用戶
16個遠程用戶撥號訪問校園網
高速互聯網接入,安全的廣域網訪問
拓撲結構如下:
圖中網路設備組成為:
Catalyst3508G/4000交換機
一台
Catalyst3524/3548交換機
七台
Cisco3640路由器
一台
CacheEngine高速緩存
一台
IP/TV視頻軟體
一套
CacheEngine又稱高速緩存,是思科公司用於改善Internet和Intranet訪問性能的一項產品,從名稱可以看出,它實際上是一個大容量存儲設備,專門用來存儲用戶曾經訪問過的Web頁面,這樣當其它用戶要訪問同一頁面時,就不需要再到WWW伺服器上去尋找,而直接從高速緩存中調用;這樣即節省了鏈路帶寬,也減輕了WWW伺服器的負擔,同時大大提高訪問效率,對線路帶寬寶貴的遠程Web訪問尤為適合。在本方案中,當校園內用戶需要頻繁訪問遠程電教館以Web形式存放的圖像時,CacheEngine將大顯身手。
以上五個方案是思科公司結合中小學校典型應用推出的建議方案,它們的整體特點為:
1.高速--全交換,千兆骨幹,10/100兆交換到桌面;
2.化繁就簡--多媒體教學、辦公管理、遠程通信一網實現;
3.可靠--全冗餘,熱備份,快速恢復
4.安全--從集成路由器防火牆到專用PIX防火牆,提供端到端的保障;
5.使用簡便--基於瀏覽器和一些網路管理工具的圖形化配置,管理;
6.經濟實用--高性價比產品,支持系統平滑升級,可滿足100~1000用戶的需求。
各學校可參考上述方案並結合自身的實際情況作相應的修改或重新設計。
成功案例分析
思科公司在中小學校園網建設中已經擁有許多成功的實際案例,這里將援引其中之二:
1、陳經倫中學校園網方案
需求分析:
?同時提供電子教學、網路化管理、Internet訪問和個人撥號用戶接入;
?軟體應用系統包括校長辦公系統、教務管理系統、財務管理系統、檔案管理系統、多媒體教學系統、電子備課系統、電子閱覽系統、成績統計分析、題庫及測試系統、圖書管理系統、校長評估系統等,同時為網路上的每個客戶提供EMAIL、WWW瀏覽、文件傳輸FTP、新聞組NEWS、公告板BBS、終端模擬TELNET;
?需要聯網的建築物共十座:3座教學樓、2座辦公樓、1座綜合樓、1座游泳館、1座圖書館樓和2座宿舍樓;
?對網路安全性有一定要求;
拓撲設計:
考慮到與Internet的連接和遠程撥號訪問的產品優勢、領先的千兆乙太網技術和較好的性能價格比,客戶選擇了思科公司的網路產品來建設陳經倫中學校園網。
網路拓撲結構如下:
應用分析:
校園網是由性價比最高的快速乙太網和性能最卓越的千兆乙太網混合組成的,採用星型拓撲,以Cisco3548和Cisco3508通過千兆口級聯作為校園主幹中心交換機,部門級(各建築物)交換機採用Cisco3524,主要通過1000BASE-SX與中心交換機連接,各樓層局域交換機採用Cisco3524,區域網交換機與部門交換機之間通過1000Base-TX連接。從中心交換機到各教學樓、圖書館樓、游泳館樓交換機是千兆乙太網主幹,到其它各樓交換機是100M乙太網主幹;具體而言,Cisco3548與Cisco3508兩台交換機的千兆口級聯後,共同提供八條千兆主幹、一條百兆主幹,再到各信息端為10/100M自適應埠。這種按帶寬需求建設網路的構建方式既節省經費,又能充分發揮設備優勢,取得最優的整體性能價格比。
如圖所示,學校將建立Internet站點,通過路由器連入互聯網;此外還設立了Internet服務中心為遠程用戶和移動用戶提供撥號上網服務,該中心位於學校網控中心內。連接Internet的路由器和服務中心的撥號伺服器可以用一台Cisco2610路由器實現,選配一塊具備1個WAN串口的介面卡,帶寬最高可達2M,通過DDN專線連接到Internet;再選配一塊NM-16AM模塊,可提供16口撥號連接。
為實現多媒體教學,陳經倫中學選裝了思科公司的IP/TV軟體,為各大樓的學生提供視頻廣播6和點播服務。
考慮到網路設備較多,結構較為復雜,學校還打算在二期工程中加裝思科的網管系統CiscoWorksWindows來對所有網路設備實施管理。由於整套系統均用到思科網路產品,那麼採用同一廠商的網管能夠對設備進行更為詳盡細致的管理,它擁有思科全套產品的資料庫,能夠調出各種產品的直觀視圖,深入到每個物理埠去查詢狀態信息;並且基於流行的Windows操作平台,界面友好,易於操作。
在安全方面,學校採用了代理防火牆來檢驗外部進入的數據;此外,學校內部關鍵服務項目伺服器也設立了完善的用戶許可權記錄和多重口令驗證系統,能夠實施多重防範。
2、徐州五中校園網方案
需求分析:
?校園網將覆蓋全校的教學、生活區,主要用作教學;
?網路中傳遞的數據有普通文字和多媒體數據兩大類,應用包括多媒體教學、視頻點播等;
?以實驗樓網路中心為核心,連接教學樓、辦公樓、行政樓、圖書館等網路分中心;
?網路應具備高速、開放、安全、易於管理等特點。
拓撲設計:
考慮到思科網路技術有限公司作為網路業界領先廠商,產品在路由和交換等領域具備先進技術和獨特優勢,能夠將上述網路需求完美地實現,因此網路設備選用了思科的產品。
網路拓撲結構如下:
應用分析:
網路可為三級結構,主幹採用百兆交換式乙太網;第一級是網管中心,設在實驗樓,核心交換機採用思科Catalyst2924交換機,第二級包括幾個主幹節點,從網管中心連接到校區主幹節點,採用Catalyst2924交換機,從網管中心到各主幹節點全部實現百兆互聯;第三級是各主幹節點到主要建築物樓內的區域網和單機用戶,以及樓層間的集線器,通過各樓內的三級交換機Catalyst1912(12個10M和2個100M乙太網埠)或原有集線器設備,以10M速度到桌面,末級節點數共約100個。
所有樓層配線間可根據本樓層信息交換流量的大小,選擇採用Catalyst1912或集線器作為樓層的交換機,其中中心伺服器、辦公區伺服器和部分執行關鍵任務的客戶機還可以以100M方式與網路相連,形成一個信息點全交換的網路結構。
學校的多媒體教學用到了思科公司的IP/TV網路視頻系統,主要應用包括:課件製作、點播教學、廣播教學、電子閱覽、以及遠程教學等。
⑽ 關於校園網網路安全的論文
高校校園網網路安全問題分析與對策 【摘要】隨著互聯網的高速發展和教育信息化進程的不斷深入,校園網在高校教學、科研和管理中的作用越來越重要,同時高校校園網路安全問題也日益突出。如何提高校園網的安全性已是迫切需要解決的問題。文章從高校校園網的特點出發,分析了目前高校校園網普遍存在的安全問題,並提出了加強高校校園網安全管理的對策。
【關鍵詞】校園網 安全問題 分析 對策
高校是計算機網路誕生的搖籃,也是最早應用網路技術的地方。校園網是當代高校重要基礎設施之一,是促進學校提升教學質量、提高管理效率和加強對外交流合作的重要平台,校園網的安全狀況直接影響著學校的各項工作。在校園網建設初期,網路安全問題可能還不突出,但隨著應用的不斷深入和用戶的不斷增加,高校校園網上的數據信息急劇增長,各種各樣的安全問題層出不窮。「校園網既是大量攻擊的發源地,也是攻擊者最容易攻破的目標」[1],校園網路安全已經引起了各高校的高度重視。本文對高校校園網的安全問題進行了分析,並探討了加強高校校園網安全管理的對策。
1 高校校園網安全問題分析
1.1 高校校園網的特點
與其它區域網相比,高校校園網自身的特點導致網路安全問題嚴重、安全管理復雜。其特點可以概括為兩個方面:
(1)用戶群體的特點。高校校園網用戶群體以高校學生為主。一方面,用戶數量大、網路水平較高。隨著高校的擴招,現在各高校的在校學生規模越來越大,校園網用戶少則幾千,多則幾萬,而且往往比較集中。高校學習以自主性學習為主,決定了高校學生可供自主支配的時間寬裕。通過學習,高校學生普遍掌握了一定的計算機基礎知識和網路知識,其計算機水平比普通商業用戶要高,而且他們對網路新技術充滿好奇,勇於嘗試,通常是最活躍的網路用戶。另一方面,用戶網路安全意識、版權意識普遍較為淡薄。高校學生往往對網路安全問題的嚴重後果認識不足、理解不深,部分學生甚至還把校園網當成自己的「練兵場」,在校園網上嘗試各種攻擊技術。另外,由於資金不足和缺乏版權意識等原因,導致高校學生在校園網上大量使用盜版軟體和盜版資源。攻擊技術的嘗試和盜版軟體的傳播既佔用了大量的網路帶寬,又給網路安全帶來了極大的隱患。
(2)校園網建設和管理的特點。一方面,校園網建設需要投入大量的經費,少則幾百萬,多則幾千萬,而高校的經費普遍是比較緊張的,有限的投入往往用於擴展網路規模、增加網路應用這些師生都能看到成果的方面,而往往忽視或輕視師生不容易看到成果的網路安全方面。由於投入少,缺少必要的網路安全管理設備和軟體,致使管理和維護出現困難。另一方面,各高校為了學校的教學、科研、管理以及學生學習生活的需要,目前基本上都建立了千兆主幹、百兆桌面,甚至萬兆主幹、千兆桌面的校園網,高帶寬的校園網給校園網用戶帶來了方便,但同時也大大增加了網路完全管理的難度。
1.2 當前高校校園網面臨的主要網路安全問題和威脅
(1)安全漏洞。校園網內普遍存在用戶操作系統漏洞和應用軟體安全漏洞,這些漏洞影響用戶系統的正常使用和網路的正常運行,對網路安全構成嚴重的威脅,一旦被黑客或病毒利用,甚至有可能導致災難性的後果。
(2)病毒和攻擊。網路病毒發病和傳播速度極快,而許多校園網用戶由於各種各樣的原因,沒有安裝殺毒軟體或不能及時更新殺毒軟體病毒庫,造成網路病毒泛濫,不僅嚴重地危害到了用戶計算機安全,而且極大的消耗了網路資源,造成網路擁塞,給每一個用戶都帶來極大的不便。同時外來的攻擊和內部用戶的攻擊越來越多、危害越來越大,已經嚴重影響到了校園網的正常使用。
(3)濫用網路資源。在校園網內,用戶濫用網路資源的情況嚴重,有私自開設代理伺服器,非法獲取網路服務的,也有校園網用戶非法下載或上載的,甚至有的用戶每天都不斷網,其流量每天都達到幾十個G,佔用了大量的網路帶寬,影響了校園網的其它應用。
(4)不良信息的傳播。不良信息的傳播對正在形成世界觀和人生觀的大學生而言,危害是非常大的。網路上的信息良莠不齊,其中有違反人類道德標准或法律法規的,如果不對這些信息加以過濾和處理,學生就會有在校園網內瀏覽淫穢、賭博、暴力等不健康網頁的機會。要確保高校學生健康成長、積極向上,就必須採取措施對校園網路信息進行過濾和處理,使他們盡可能少地接觸網路上的不良信息。
(5)垃圾郵件。垃圾郵件對校園網的破壞性很大,它佔用網路帶寬,造成郵件伺服器擁塞,進而降低整個網路的運行效率,同時也是網路病毒、攻擊和不良信息傳播的重要途徑之一。現在雖然很多高校都建立了電子郵件伺服器為校園網用戶提供郵件服務,但由於缺乏郵件過濾軟體以及缺少限制郵件轉發的相關管理制度,使郵件伺服器成為了垃圾郵件的攻擊對象和中轉站,大大增大了校園網的網路流量,浪費了大量的校園網帶寬,造成校園網用戶收發郵件速度慢,甚至導致郵件伺服器崩潰。
(6)惡意破壞。惡意破壞主要是指對網路設備和網路系統的破壞。設備破壞是指對網路硬體設備的破壞。現在各高校校園網的設備數量多、類型雜、分布比較分散,管理起來非常困難,個別用戶可能出於某些目的,會有意或無意地將它們損壞。系統破壞是指利用黑客技術對校園網路各系統進行破壞,如:修改或刪除網路設備的配置文件、篡改學校主頁等等。而這兩個方面的破壞均會影響校園網的安全運行,造成校園網路全部或部分癱瘓,甚至造成網路安全事故。
2 加強高校校園網安全管理的對策
高校校園網路安全管理是一項復雜的系統工程,要提高網路安全,必須根據實際情況,從多個方面努力。
2.1 加強網路安全管理制度建設
「三分技術、七分管理」,網路安全尤為如此。各高校要根據校園網的實際情況,制定並嚴格執行有效的安全管理制度。如:校園網網路安全管理制度、網路主幹管理與維護制度、校園網非主幹維護制度、網路安全管理崗位職責、網路運行管理制度、主頁維護管理制度、校園網信息發布與管理制度、病毒防治管理制度、重要數據備份與管理制度等。此外,為更加有效控制和減少校園網路的內部隱患,各高校必須制定網路行為規范和違反該規范的具體處罰條例。
2.2 做好物理安全防護
物理安全防護是指通過採用輻射防護、屏幕口令、狀態檢測、報警確認、應急恢復等手段保護網路伺服器等計算機系統、網路交換路由等網路設備和網路線纜等硬體實體免受自然災害、物理損壞、電磁泄漏、操作失誤以及人為干擾和搭線攻擊的破壞②。如:將防火牆、核心交換機以及各種重要伺服器等重要設備盡量放在核心機房進行集中管理;將光纖等通信線路實行深埋、穿線或架空,防止無意損壞;將核心設備、主幹設備以及接入交換機等設備落實到人,進行嚴格管理。物理安全防護是確保校園網路系統正常工作、免受干擾破壞的最基本手段。
2.3 加強對用戶的教育和培訓
通過網路安全教育使用戶對校園網路所面臨的各類威脅有較為系統、全面的認識,明確這些威脅對他們的危害,增強他們的網路安全意識,讓所有校園網用戶都來關心、關注網路安全。通過對校園網用戶的培訓,使他們能盡量保證自己使用的計算機安全,能處理一些簡單的安全問題,從而減少網路安全事故的發生。遇到網路安全問題時,能做好記錄並及時向有關部門報告。
2.4 提高網路管理人員技術水平高水平的網路管理人員能夠根據校園網的實際安全狀況,通過對校園網的重要資源設置使用許可權與口令、通過對相應網路安全設備尤其是核心設備進行系統配置以有效地保證校園網系統的安全。因此要保證校園網的安全運行,就需要培養一支具有較高安全管理意識的網路管理員隊伍,提高他們維護網路安全的警惕性和應對各種攻擊的能力。各高校要從兩個方面著手:一是要加強對現有網路管理技術人員的培訓,提高他們應對網路安全問題的能力和水平;二是要引進高水平的網路安全管理技術人員,提升網路管理技術人員整體技術水平。
2.5 規范出口、入口管理
為適應管理和工作的需要,現在高校校園網都有多個網路出口(如:教育網、電信網等),要實施校園網的整體安全策略,首先就要對多出口進行統一管理,以解決校園網多出口帶來的安全問題,使校園網路安全體系能夠得以實施,為校園網的安全提供最基礎的保障,如:不同出口間的隔離,封鎖病毒埠,阻止入侵者的攻擊,應用ACL拒絕IP地址欺騙等。
2.6 配備網路安全設備或系統
為減少來自校園網內外的攻擊和破壞,需要在校園網中配置必要的網路安全設備,如網路入侵保護系統、主頁防篡改系統、防火牆、網路防病毒系統、漏洞掃描系統、內容過慮系統、補丁升級系統、伺服器的安全監測系統等等。通過配置網路安全設備,能夠實現對校園網路的控制和監管,能夠阻斷大量的非法訪問,能夠過濾來自網路的不健康數據信息,能夠幫助網路管理員在發生網路故障時迅速定位。充分利用好這些網路安全設備可以大大提高校園網的安全級別。
2.7 建立全校統一的身份認證系統
身份認證系統是整個校園網路安全體系的基礎,是校園網上信息安全的第一道屏障,是保證校園網內各應用系統安全運行的依靠。各高校要建立基於校園網路的全校統一身份認證系統,對校園網用戶上網進行身份認證。這樣不僅可以阻止非法用戶的上網行為,而且也能統一監控合法戶上網的行為。
2.8 建立更安全的電子郵件系統
目前有些優秀的電子郵件安全系統具有強大的高准確率和低誤報率,獨特的策略模塊可以幫助用戶輕松地實現郵件系統的管理與維護,有的電子郵件系統判別垃圾郵件的准確率接近百分之百。各高校要多方分析、比較,選擇優秀的電子郵件安全系統保證校園網的郵件系統安全,以改變郵件系統存在垃圾郵件、郵件病毒、郵件泄密等安全隱患的現狀。
2.9 做好備份和應急處理
對校園網來說,一套完整的備份和恢復方案是迫切需要的。備份既指對校園網重要數據的備份,也指核心設備和線路的備份[3]。對網頁伺服器,要配置網頁防篡改系統,以防止網頁被更改;對校園網中的核心設備的系統配置要進行備份,以便設備出故障時能及時恢復;對校園網中的核心線路要留有冗餘,以便線路出故障時能立即啟用冗餘線路以保證校園網路主幹的運行。應急響應是校園網整體安全的重要組成部分,各高校的校園網路管理部門要制定網路安全的有關應急處理措施和制度,以保證在出現網路安全問題時要及時按照應急處理措施處理以減少損失。
3 結束語
校園網的安全管理是一項復雜的系統工程,沒有一勞永逸的安全措施。各高校要在校園網的建設和管理過程中及時分析校園網中的安全問題,並研究方法,制訂措施,確保校園網正常、高效、安全地運行,為學校的教學、管理和科研服好務。
參考文獻
[1] 沙桂蘭.淺談校園網路安全控制策略[M],電腦知識與技術.2007,3.
[2] 高冰.網路安全措施探討[M],東北財經大學學報.2003,4.
[3] 林濤.網路安全與管理[M].北京:電子工業出版社.2005.
[4] www.eol.cn 中國教育在線.