前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全建設(shè)意義文章，供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

論文摘要：隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)正變得日益重要，已經(jīng)滲透到各行業(yè)的生產(chǎn)管理、經(jīng)營(yíng)管理等各個(gè)領(lǐng)域。因此，認(rèn)清網(wǎng)絡(luò)的脆弱性和存在的潛在威脅，并采取強(qiáng)有力的防范措施，對(duì)于保障計(jì)算機(jī)網(wǎng)絡(luò)的安全、可靠、正常運(yùn)行具有十分重要的意義。本文分析了對(duì)網(wǎng)絡(luò)安全建設(shè)造成威脅的諸多原因，并在技術(shù)及管理方面提出了相應(yīng)的防范對(duì)策。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，信息全球化已成為人類發(fā)展的現(xiàn)實(shí)。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有多樣性、開放性、互連性等特點(diǎn)，致使網(wǎng)絡(luò)易受攻擊。具體的攻擊是多方面的，有來(lái)自黑客的攻擊，也有其他諸如計(jì)算機(jī)病毒等形式的攻擊。因此，網(wǎng)絡(luò)的安全措施就顯得尤為重要，只有針對(duì)各種不同的威脅或攻擊采取必要的措施，才能確保網(wǎng)絡(luò)信息的保密性、安全性和可靠性。

1威脅計(jì)算機(jī)網(wǎng)絡(luò)安全的因素

計(jì)算機(jī)網(wǎng)絡(luò)安全所面臨的威脅是多方面的，一般認(rèn)為，目前網(wǎng)絡(luò)存在的威脅主要表現(xiàn)在：

1.1非授權(quán)訪問

沒有預(yù)先經(jīng)過(guò)同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。

1.2信息泄漏或丟失

指敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過(guò)對(duì)信息流向、流量、通信頻度和長(zhǎng)度等參數(shù)的分析，推出有用信息，如用戶口令、賬號(hào)等重要信息)、信息在存儲(chǔ)介質(zhì)中丟失或泄漏、通過(guò)建立隱蔽隧道等竊取敏感信息等。

1.3破壞數(shù)據(jù)完整性

以非法手段竊得對(duì)數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

1.4拒絕服務(wù)攻擊

它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

1.5利用網(wǎng)絡(luò)傳播病毒

通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，而且用戶很難防范。

2網(wǎng)絡(luò)安全建設(shè)方法與技術(shù)

網(wǎng)絡(luò)具有訪問方式多樣、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性較高的特點(diǎn)。網(wǎng)絡(luò)安全問題要從網(wǎng)絡(luò)規(guī)劃階段制定各種策略，并在實(shí)際運(yùn)行中加強(qiáng)管理。為保障網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行和網(wǎng)絡(luò)信息的安全，需要從多個(gè)方面采取對(duì)策。攻擊隨時(shí)可能發(fā)生，系統(tǒng)隨時(shí)可能被攻破，對(duì)網(wǎng)絡(luò)的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計(jì)算機(jī)病毒防治

大多數(shù)計(jì)算機(jī)都裝有殺毒軟件，如果該軟件被及時(shí)更新并正確維護(hù)，它就可以抵御大多數(shù)病毒攻擊。定期地升級(jí)軟件是很重要的。在病毒入侵系統(tǒng)時(shí)，對(duì)于病毒庫(kù)中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時(shí)地發(fā)現(xiàn)，并向系統(tǒng)發(fā)出警報(bào)，準(zhǔn)確地查找出病毒的來(lái)源。大多數(shù)病毒能夠被清除或隔離。再有，對(duì)于不明來(lái)歷的軟件、程序及陌生郵件，不要輕易打開或執(zhí)行。感染病毒后要及時(shí)修補(bǔ)系統(tǒng)漏洞，并進(jìn)行病毒檢測(cè)和清除。

2.2防火墻技術(shù)

防火墻是控制兩個(gè)網(wǎng)絡(luò)間互相訪問的一個(gè)系統(tǒng)。它通過(guò)軟件和硬件相結(jié)合，能在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間構(gòu)造起一個(gè)"保護(hù)層"，網(wǎng)絡(luò)內(nèi)外的所有通信都必須經(jīng)過(guò)此保護(hù)層進(jìn)行檢查與連接，只有授權(quán)允許的通信才能獲準(zhǔn)通過(guò)保護(hù)層。防火墻可以阻止外界對(duì)內(nèi)部網(wǎng)絡(luò)資源的非法訪問，也可以控制內(nèi)部對(duì)外部特殊站點(diǎn)的訪問，提供監(jiān)視Internet安全和預(yù)警的方便端點(diǎn)。當(dāng)然，防火墻并不是萬(wàn)能的，即使是經(jīng)過(guò)精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻，盡量少開端口，采用過(guò)濾嚴(yán)格的WEB程序以及加密的HTTP協(xié)議，管理好內(nèi)部網(wǎng)絡(luò)用戶，經(jīng)常升級(jí)，這樣可以更好地利用防火墻保護(hù)網(wǎng)絡(luò)的安全。

2.3入侵檢測(cè)

攻擊者進(jìn)行網(wǎng)絡(luò)攻擊和入侵的原因，在于計(jì)算機(jī)網(wǎng)絡(luò)中存在著可以為攻擊者所利用的安全弱點(diǎn)、漏洞以及不安全的配置，比如操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、TCP／IP協(xié)議、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等幾個(gè)方面。如果網(wǎng)絡(luò)系統(tǒng)缺少預(yù)警防護(hù)機(jī)制，那么即使攻擊者已經(jīng)侵入到內(nèi)部網(wǎng)絡(luò)，侵入到關(guān)鍵的主機(jī)，并從事非法的操作，我們的網(wǎng)管人員也很難察覺到。這樣，攻擊者就有足夠的時(shí)間來(lái)做他們想做的任何事情。

基于網(wǎng)絡(luò)的IDS，即入侵檢測(cè)系統(tǒng)，可以提供全天候的網(wǎng)絡(luò)監(jiān)控，幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS可以分析網(wǎng)絡(luò)中的分組數(shù)據(jù)流，當(dāng)檢測(cè)到未經(jīng)授權(quán)的活動(dòng)時(shí)，IDS可以向管理控制臺(tái)發(fā)送警告，其中含有詳細(xì)的活動(dòng)信息，還可以要求其他系統(tǒng)(例如路由器)中斷未經(jīng)授權(quán)的進(jìn)程。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。

2.4安全漏洞掃描技術(shù)

安全漏洞掃描技術(shù)可以自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性上的弱點(diǎn)，讓網(wǎng)絡(luò)管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補(bǔ)這些安全漏洞。安全漏洞掃描軟件有主機(jī)漏洞掃描，網(wǎng)絡(luò)漏洞掃描，以及專門針對(duì)數(shù)據(jù)庫(kù)作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫(kù)的更新，操作系統(tǒng)的漏洞隨時(shí)都在，只有及時(shí)更新才能完全的掃描出系統(tǒng)的漏洞，阻止黑客的入侵。

2.5數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是最基本的網(wǎng)絡(luò)安全技術(shù)，被譽(yù)為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中的保密性。它通過(guò)變換和置換等各種方法將被保護(hù)信息置換成密文，然后再進(jìn)行信息的存儲(chǔ)或傳輸，即使加密信息在存儲(chǔ)或者傳輸過(guò)程為非授權(quán)人員所獲得，也可以保證這些信息不為其認(rèn)知，從而達(dá)到保護(hù)信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長(zhǎng)度。

2.6安全隔離技術(shù)

面對(duì)新型網(wǎng)絡(luò)攻擊手段的不斷出現(xiàn)和高安全網(wǎng)絡(luò)的特殊需求，全新安全防護(hù)理念"安全隔離技術(shù)"應(yīng)運(yùn)而生。它的目標(biāo)是，在確保把有害攻擊隔離在可信網(wǎng)絡(luò)之外，并保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)絡(luò)間信息的安全交換。隔離概念的出現(xiàn)是為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境。

2.7黑客誘騙技術(shù)

黑客誘騙技術(shù)是近期發(fā)展起來(lái)的一種網(wǎng)絡(luò)安全技術(shù)，通過(guò)一個(gè)由網(wǎng)絡(luò)安全專家精心設(shè)置的特殊系統(tǒng)來(lái)引誘黑客，并對(duì)黑客進(jìn)行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐(Honeypot)系統(tǒng)，其最重要的功能是特殊設(shè)置的對(duì)于系統(tǒng)中所有操作的監(jiān)視和記錄，網(wǎng)絡(luò)安全專家通過(guò)精心的偽裝使得黑客在進(jìn)入到目標(biāo)系統(tǒng)后，仍不知曉自己所有的行為已處于系統(tǒng)的監(jiān)視之中。為了吸引黑客，網(wǎng)絡(luò)安全專家通常還在蜜罐系統(tǒng)上故意留下一些安全后門來(lái)吸引黑客上鉤，或者放置一些網(wǎng)絡(luò)攻擊者希望得到的敏感信息，當(dāng)然這些信息都是虛假信息。這樣，當(dāng)黑客正為攻入目標(biāo)系統(tǒng)而沾沾自喜的時(shí)候，他在目標(biāo)系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作都已經(jīng)為蜜罐系統(tǒng)所記錄。有些蜜罐系統(tǒng)甚至可以對(duì)黑客網(wǎng)上聊天的內(nèi)容進(jìn)行記錄。蜜罐系統(tǒng)管理人員通過(guò)研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過(guò)分析黑客的網(wǎng)上聊天內(nèi)容還可以獲得黑客的活動(dòng)范圍以及下一步的攻擊目標(biāo)，根據(jù)這些信息，管理人員可以提前對(duì)系統(tǒng)進(jìn)行保護(hù)。同時(shí)在蜜罐系統(tǒng)中記錄下的信息還可以作為對(duì)黑客進(jìn)行起訴的證據(jù)。

2.8網(wǎng)絡(luò)安全管理防范措施

對(duì)于安全領(lǐng)域存在的問題，應(yīng)采取多種技術(shù)手段和措施進(jìn)行防范。在多種技術(shù)手段并用的同時(shí)，管理工作同樣不容忽視。規(guī)劃網(wǎng)絡(luò)的安全策略、確定網(wǎng)絡(luò)安全工作的目標(biāo)和對(duì)象、控制用戶的訪問權(quán)限、制定書面或口頭規(guī)定、落實(shí)網(wǎng)絡(luò)管理人員的職責(zé)、加強(qiáng)網(wǎng)絡(luò)的安全管理、制定有關(guān)規(guī)章制度等等，對(duì)于確保網(wǎng)絡(luò)的安全、可靠運(yùn)行將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級(jí)和安全管理范圍；指定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。

參考文獻(xiàn)

[1]張琳，黃仙姣．淺談網(wǎng)絡(luò)安全技術(shù)[J]．電腦知識(shí)與技術(shù)，2006(11)

[2]盧云燕．網(wǎng)絡(luò)安全及其防范措施[J]，科技情報(bào)開發(fā)與經(jīng)濟(jì)，2006(10)

第2篇

主要功能模塊劃分

對(duì)于文中平臺(tái)主要功能的實(shí)現(xiàn)，則主要通過(guò)業(yè)務(wù)邏輯層來(lái)完成，概括起來(lái)主要包含四個(gè)方面的功能。

1設(shè)備管理

對(duì)于設(shè)備管理模塊來(lái)說(shuō)，可以作為其他功能模塊的基礎(chǔ)，是其他模塊有機(jī)結(jié)合的基礎(chǔ)模塊，主要包括幾個(gè)子功能：(1)設(shè)備信息管理；(2)設(shè)備狀態(tài)監(jiān)控；(3)設(shè)備拓?fù)涔芾淼?。這些子功能的實(shí)現(xiàn)，可以在網(wǎng)絡(luò)拓?fù)浜褪謩?dòng)的基礎(chǔ)上，通過(guò)統(tǒng)一通信接口來(lái)對(duì)設(shè)備的狀態(tài)和性能進(jìn)行實(shí)施的監(jiān)控和管理，必要的情況下，還可以通過(guò)圖形化的方式來(lái)表示，方便平臺(tái)和系統(tǒng)管理員對(duì)設(shè)備運(yùn)行狀態(tài)的及時(shí)掌握和定位，減輕管理員的工作量。

2事件分析

作為安全設(shè)備管理平臺(tái)的核心模塊，安全事件分析模塊的目的就是對(duì)大量的網(wǎng)絡(luò)事件進(jìn)行分析和處理、篩選，減輕管理員的工作壓力，所以，該功能模塊的主要子功能有安全時(shí)間分類統(tǒng)計(jì)、關(guān)聯(lián)分析和處理等。同樣，該功能模塊也能夠通過(guò)統(tǒng)一通信接口來(lái)對(duì)各個(gè)安全設(shè)備所生成的時(shí)間報(bào)告進(jìn)行收集、統(tǒng)計(jì)，在統(tǒng)計(jì)分析的過(guò)程中，可以根據(jù)不同的標(biāo)準(zhǔn)進(jìn)行分類，如時(shí)間、事件源、事件目的和事件類型等，通過(guò)科學(xué)統(tǒng)計(jì)和分析，還可以利用圖表的方式進(jìn)行結(jié)果顯示，從而實(shí)現(xiàn)對(duì)安全事件內(nèi)容關(guān)系及其危害程度進(jìn)行準(zhǔn)確分析的目的，并從海量的安全事件中挑選出危險(xiǎn)程度最高的事件供管理員參考。

3策略管理

安全設(shè)備管理平臺(tái)中的策略管理模塊包含多個(gè)功能，即策略信息管理、沖突檢測(cè)和策略決策等功能。通過(guò)對(duì)各類安全設(shè)備的策略進(jìn)行標(biāo)準(zhǔn)化定義的基礎(chǔ)上，就可以統(tǒng)一對(duì)設(shè)備的策略定義進(jìn)行管理和修改，對(duì)當(dāng)前所采用的策略進(jìn)行網(wǎng)絡(luò)安全事件沖突檢測(cè)，及時(shí)發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)設(shè)置沖突和異常，確保網(wǎng)絡(luò)策略配置的正確性和合理性。通過(guò)對(duì)網(wǎng)絡(luò)環(huán)境中安全事件的深入分析，在跟當(dāng)前所采用安全策略相比較的基礎(chǔ)上，就能夠?yàn)樵O(shè)備的安全設(shè)置提供合理化建議，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全設(shè)備設(shè)置的決策輔助和支持。

4級(jí)別評(píng)估

最后一個(gè)功能模塊就是安全級(jí)別評(píng)估模塊，該模塊的主要任務(wù)就是對(duì)網(wǎng)絡(luò)商業(yè)設(shè)備安全制度的收集匯總、實(shí)施情況的總結(jié)和級(jí)別的評(píng)估等。該模塊通過(guò)對(duì)網(wǎng)絡(luò)安全事件的深入分析，在結(jié)合安全策略設(shè)置的基礎(chǔ)上，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全水平的準(zhǔn)確評(píng)估，從而為網(wǎng)絡(luò)安全管理的實(shí)施和水平的提高提供有價(jià)值的數(shù)據(jù)參考。

平臺(tái)中的通信方法

要實(shí)現(xiàn)網(wǎng)絡(luò)中異構(gòu)安全設(shè)備的統(tǒng)一管理，就需要通過(guò)統(tǒng)一的通信接口來(lái)實(shí)現(xiàn)，該接口的主要功能就是通過(guò)對(duì)網(wǎng)絡(luò)中異構(gòu)設(shè)備運(yùn)行狀態(tài)、安全事件等信息的定時(shí)獲取，從技術(shù)的角度解決異構(gòu)設(shè)備所造成的安全信息格式不兼容和通信接口多樣的問題，實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的標(biāo)準(zhǔn)化和格式的標(biāo)準(zhǔn)化。

1資源信息標(biāo)準(zhǔn)化

在網(wǎng)絡(luò)安全管理中，所涉及到的安全資源信息主要包括安全設(shè)備的運(yùn)行狀態(tài)、設(shè)備配置策略信息和安全事件信息等。其中，安全設(shè)備的運(yùn)行狀態(tài)信息主要通過(guò)數(shù)據(jù)交換層中的通信程序通過(guò)跟安全設(shè)備的定時(shí)通信來(lái)得到，可以通過(guò)圖表的方式進(jìn)行可視化。這些資源信息主要采用RRD文件的方式進(jìn)行存儲(chǔ)，但是采用數(shù)據(jù)庫(kù)存儲(chǔ)的則比較少，這主要是由于：(1)RRD文件適合某個(gè)時(shí)間點(diǎn)具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲(chǔ)；(2)如果對(duì)多臺(tái)安全設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控的情況下，就應(yīng)該建立跟數(shù)據(jù)庫(kù)的多個(gè)連接，給后臺(tái)數(shù)據(jù)庫(kù)的通信造成影響。對(duì)于上面提到的安全設(shè)備的運(yùn)行狀態(tài)信息和安全事件信息，通過(guò)對(duì)各種安全設(shè)備信息表述格式的充分考慮，本文中所設(shè)計(jì)平臺(tái)決定采用XML語(yǔ)言來(lái)對(duì)設(shè)備和平臺(tái)之間的差異性進(jìn)行描述，不僅實(shí)現(xiàn)了相應(yīng)的功能，還能夠?yàn)槠脚_(tái)提供調(diào)用轉(zhuǎn)換。而對(duì)于安全策略類的信息，則是先通過(guò)管理員以手動(dòng)的方式將安全策略添加到平臺(tái)，然后再在平臺(tái)中進(jìn)行修改，之后就可以在通過(guò)平臺(tái)的檢測(cè)沖突，由平臺(tái)自動(dòng)生成設(shè)備需要的策略信息，然后再通過(guò)管理員對(duì)策略進(jìn)行手動(dòng)的修改。

2格式標(biāo)準(zhǔn)化

對(duì)于安全事件和策略的格式標(biāo)準(zhǔn)化問題，可以通過(guò)格式的差異描述文件來(lái)實(shí)現(xiàn)彼此之間的轉(zhuǎn)換，這里提到的差異描述文件則采用XML格式來(lái)表述，而格式的自動(dòng)轉(zhuǎn)換則通過(guò)JavaBean的內(nèi)置缺省功能來(lái)實(shí)現(xiàn)。

3通信處理機(jī)制

對(duì)于通信接口而言，由不同廠家所提供的同類型設(shè)備之間的差異也比較大。所以，對(duì)于設(shè)備的運(yùn)行狀態(tài)信息，主要采用兩種途徑來(lái)獲?。?1)通過(guò)標(biāo)準(zhǔn)的SNMP、WMI方式獲得；(2)通過(guò)專用的Socket接口調(diào)用特定函數(shù)來(lái)獲得。而對(duì)于網(wǎng)絡(luò)運(yùn)行中的安全事件，其獲得途徑也有兩種：(1)通過(guò)專用Socket接口來(lái)獲得；(2)將安全事件通過(guò)推送的方式發(fā)送到指定的安全管理設(shè)備。通過(guò)綜合分析，本文平臺(tái)主要采用獨(dú)立的通信程序和集中設(shè)置調(diào)用的方法來(lái)獲得安全資源信息，這樣就可（1）以實(shí)現(xiàn)對(duì)安全設(shè)備管理的最有效支持。本文所采用方式的實(shí)現(xiàn)機(jī)制為：平臺(tái)通過(guò)標(biāo)準(zhǔn)接口獲取網(wǎng)絡(luò)的安全資源信息，再通過(guò)通信程序的調(diào)用設(shè)置功能，對(duì)程序調(diào)用的時(shí)間間隔及其語(yǔ)法規(guī)范進(jìn)行定義。

第3篇

一、 基本網(wǎng)絡(luò)的搭建。

由于校園網(wǎng)網(wǎng)絡(luò)特性(數(shù)據(jù)流量大,穩(wěn)定性強(qiáng),經(jīng)濟(jì)性和擴(kuò)充性)和各個(gè)部門的要求(制作部門和辦公部門間的訪問控制),我們采用下列方案:

1. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇:網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu)(如圖1)。它是目前使用最多,最為普遍的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。節(jié)點(diǎn)具有高度的獨(dú)立性,并且適合在中央位置放置網(wǎng)絡(luò)診斷設(shè)備。

2.組網(wǎng)技術(shù)選擇:目前,常用的主干網(wǎng)的組網(wǎng)技術(shù)有快速以太網(wǎng)(100Mbps)、FDDI、千兆以太網(wǎng)(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太網(wǎng)是一種非常成熟的組網(wǎng)技術(shù),它的造價(jià)很低,性能價(jià)格比很高;FDDI也是一種成熟的組網(wǎng)技術(shù),但技術(shù)復(fù)雜、造價(jià)高,難以升級(jí);ATM技術(shù)成熟,是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺(tái),但它的網(wǎng)絡(luò)帶寬的實(shí)際利用率很低;目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù),造價(jià)低于ATM網(wǎng),它的有效帶寬比622Mbps的ATM還高。因此,個(gè)人推薦采用千兆以太網(wǎng)為骨干,快速以太網(wǎng)交換到桌面組建計(jì)算機(jī)播控網(wǎng)絡(luò)。

二、網(wǎng)絡(luò)安全設(shè)計(jì)。

1.物理安全設(shè)計(jì) 為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全,除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外,還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多,在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散,通常是在物理上采取一定的防護(hù)措施,來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)。正常的防范措施主要在三個(gè)方面:對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理,即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室,用它來(lái)安裝運(yùn)行主要設(shè)備,以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的效能,在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì),如信號(hào)線、電話線、空調(diào)、消防控制線,以及通風(fēng)、波導(dǎo),門的關(guān)起等。對(duì)本地網(wǎng) 、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制,由于電纜傳輸輻射信息的不可避免性,現(xiàn)均采用光纜傳輸?shù)姆绞?大多數(shù)均在Modem出來(lái)的設(shè)備用光電轉(zhuǎn)換接口,用光纜接出屏蔽室外進(jìn)行傳輸。

2.網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計(jì) 針對(duì)這個(gè)問題,我們決定使用VLAN技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)物理隔離來(lái)實(shí)現(xiàn)。VLAN(Virtual LocalArea Network)即虛擬局域網(wǎng),是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。

IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。

但由于它是邏輯地而不是物理地劃分,所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須放置在同一個(gè)物理空間里,即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其它VLAN中,即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段,但是它們卻沒有相同的VLAN號(hào),它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLANID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò)。從目前來(lái)看,根據(jù)端口來(lái)劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機(jī)的端口來(lái)劃分VLAN成員,被設(shè)定的端口都在同一個(gè)廣播域中。例如,一個(gè)交換機(jī)的1,2,3,4,5端口被定義為虛擬網(wǎng)AAA,同一交換機(jī)的6,7,8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊,并允許共享型網(wǎng)絡(luò)的升級(jí)。

但是,這種劃分模式將虛擬網(wǎng)絡(luò)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN,不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來(lái)劃分網(wǎng)絡(luò)成員,其配置過(guò)程簡(jiǎn)單明了。

3.計(jì)算機(jī)病毒、黑客以及電子郵件應(yīng)用風(fēng)險(xiǎn)防控設(shè)計(jì) 我們采用防病毒技術(shù),防火墻技術(shù)和入侵檢測(cè)技術(shù)來(lái)解決相關(guān)的問題。防火墻和入侵檢測(cè)還對(duì)信息的安全性、訪問控制方面起到很大的作用。

第一,防病毒技術(shù)。病毒伴隨著計(jì)算機(jī)系統(tǒng)一起發(fā)展了十幾年,目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化,幾乎每天都有新的病毒出現(xiàn)在INTERNET上,并且借助INTERNET上的信息往來(lái),尤其是EMAIL進(jìn)行傳播,傳播速度極其快。計(jì)算機(jī)黑客常用病毒夾帶惡意的程序進(jìn)行攻擊。

為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受到計(jì)算機(jī)病毒的侵害,同時(shí)為了建立一個(gè)集中有效地病毒控制機(jī)制,天下需要應(yīng)用基于網(wǎng)絡(luò)的防病毒技術(shù)。這些技術(shù)包括:基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如,我們準(zhǔn)備在主機(jī)上統(tǒng)一安裝網(wǎng)絡(luò)防病毒產(chǎn)品套間,并在計(jì)算機(jī)信息網(wǎng)絡(luò)中設(shè)置防病毒中央控制臺(tái),從控制臺(tái)給所有的網(wǎng)絡(luò)用戶進(jìn)行防病毒軟件的分發(fā),從而達(dá)到統(tǒng)一升級(jí)和統(tǒng)一管理的目的。安裝了基于網(wǎng)絡(luò)的防病毒軟件后,不但可以做到主機(jī)防范病毒,同時(shí)通過(guò)主機(jī)傳遞的文件也可以避免被病毒侵害,這樣就可以建立集中有效地防病毒控制系統(tǒng),從而保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全。形成的整體拓?fù)鋱D。

第二,防火墻技術(shù)。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備,專門用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別,訪問控制,安全審計(jì),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),IDS,VPN,應(yīng)用等功能,保護(hù)內(nèi)部局域網(wǎng)安全接入INTERNET或者公共網(wǎng)絡(luò),解決內(nèi)部計(jì)算機(jī)信息網(wǎng)絡(luò)出入口的安全問題。