校園網絡安全建設精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的校園網絡安全建設主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：校園網絡安全建設范文

【關鍵詞】校園網；網絡安全；安全策略

【中圖分類號】TN915.08【文獻標識碼】A【文章編號】1672-5158（2013）07-0329-02

1 校園網絡安全規范

校園的網絡安全是指利用各種網絡監控和管理技術措施，對網絡系統的硬件、軟件及系統中的數據資源實施保護，使其不會因為一些不利因素而遭到破壞，從而保證網絡系統連續、安全、可靠地運行。

學校網絡中心負責網絡設備的運行管理，信息中心負責網絡資源，系統管理員口令絕對保密，根據用戶需求嚴格控制，合理分配用戶權限，向學生開放的教學實驗室應禁止使用軟驅和光驅，以杜絕病毒的傳播。

2 安全方案建議

2.1 校園網絡狀況分析

（1）資源分布和應用服務體系

校園網絡可向網絡用戶提供：域名服務（DNS），電子郵件服務（Email），遠程登錄（telnet），文件傳輸服務（ftp），電子廣告牌，BBS，電子新聞，WWW以及信息收集，存儲，交換，檢索等服務。

（2）網絡結構的劃分

整個網絡是由各網絡中心，和園區內部網絡通過各種通信方式互聯而成，所有網絡可歸納為由連接子網、公共子網、服務子網、內部網四個部分組成。這四部分組成一個獨立單位的局域網，然后通過廣域連接與其他網絡連接。

2.2 網絡安全目標

為了增加網絡安全性，必須對信息資源加以保護，對服務資源加以控制管理。

（1）信息資源

a：公眾信息；即不需要訪問控制。

b：內部信息；即需要身份驗證以及根據根據身份進行訪問控制。

C：敏感信息；即需要驗證身份和傳輸加密。

（2）服務資源包括：內部服務資源、公眾服務資源

內部服務資源：面向已知客戶，管理和控制內部用戶對信息資源的訪問。

公眾服務資源：面向匿名客戶，防止和抵御外來的攻擊。

3 校園網絡安全技術的應用

3.1 建立網絡安全模型

通信雙方在網絡上傳輸信息時，需要先在雙方之間建立一條邏輯通道。為了在開放的網絡環境中安全地傳輸信息，需要對信息提供安全機制和安全服務。

為了信息的安全傳輸，通常需要一個可信任的第三方。第三方的作用是負責向通信雙方秘密信息，并在雙方發生爭議時進行仲裁。設計一個網絡安全方案時，需要完成以下四個基本任務：

（1）設計一個算法，執行安全相關的轉換；

（2）生成該算法的秘密信息；

（3）研制秘密信息的分發與共享的方法；

（4）設定兩個責任者使用的協議，利用算法和秘密信息取得安全服務。

3.2 數據備份方法

數據備份有多種實現形式，從備份模式看，分為物理備份和邏輯備份；從備份策略看，分為完全備份、增量備份和差異備份。

（1）邏輯備份

邏輯備份也稱作“基于文件的備份”。每個文件都由不同的邏輯塊組成，每個邏輯塊存儲在連續的物理磁盤塊上，備份系統能識別文件結構，并拷貝所有文件和目錄到備份資源上。

（2）物理備份。

物理又稱“基于塊的備份”或“基于設備的備份”，其在拷貝磁盤塊到備份介質上時忽略文件結構，從而提高備份的性能。因為在執行過程中，花在搜索操作上的開銷很少。

（3）完全備份

完全備份是指整個系統或用戶指定的所有文件數據進行一次全面的備份。這種備份方式很直觀，容易理解。如果在備份間隔期間出現數據丟失等問題，可以使用備份文件快速地恢復數據。

（4）增量備份

為了解決完全備份的兩個缺點，出現了更快、更小的增量備份。增量備份只備份相對于上次備份操作更新過的數據。因為在特定的時間段內只有少量的文件發生改變，既節省空間，又縮短了備份的時間。因而這種備份方法比較經濟，可以頻繁地進行。

（5）差異備份

差異備份即備份上一次完全備份后產生和更新的所有新的數據。它的主要目的是將完全恢復時涉及到備份記錄數量限制在兩個，以簡化恢復的復雜性。

3.3 防火墻技術

防火墻是在網絡之間通過執行控制策略來保護網絡的系統，它包括硬件和軟件。設置防火墻的目的是保護內部網絡資源不被外部非授權用戶使用。

防火墻是一個由軟件與硬件組成的系統。由于不同內部網的安全策略與防護目的不同，防火墻系統的配置與實現方式也有很大的區別。簡單的一個包過濾路由器或應用網關、應用服務器都可以作為防火墻使用。

3.4 入侵檢測技術

入侵檢測系統是對計算機和網絡資源的惡意使用行為進行識別的系統。它的目的是監測和發現可能存在的攻擊行為，包括來自系統外部的入侵行為和來自內部的非法授權行為，并采取相應的防護手段。它的基本功能包括：

（1）監控、分析用戶和系統的行為。

（2）檢查系統的配置和漏洞。

（3）評估重要的系統和數據文件的完整性。

（4）對異常行為的統計分析，識別攻擊類型，并向網絡管理人員報警。

（5）對操作系統進行審計、跟蹤管理，識別違反授權的用戶活動。

4 校園網主動防御體系

校園網的安全威脅既有來自校內的，也有來自校外的。在設計校園網網絡安全系統時，首先要了解學校的需要和目標，制定安全策略。因此網絡安全防范體系應該是動態變化的，必須不斷適應安全環境的變化，以保證網絡安全防范體系的良性發展，確保它的有效性和先進性。

安全管理貫穿整個安全防范體系，是安全防范體系的核心。網絡系統的安全性不只是技術方面的問題，一個有效的安全防范體系應該是以安全策略為核心，以安全技術為支撐，以安全管理為落實，安全管理主要是對安全技術和安全策略的管理， 安全策略為安全管理提供管理方向，安全技術是輔助安全管理的措施。當網絡出現攻擊行為或其它安全威脅時，無法進行實時的檢測、監控、報告與預警。同時，也無法提供黑客攻擊的追蹤線索，即缺乏對網絡的可控性與可審查性。這就要求網絡管理員經常通過網絡攻擊掃描器提前識別弱點區域，入侵系統監控和響應安全事件，必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵。

結論

通過上述分析，我提出如下校園網絡安全防范策略：

（1）利用防火墻將內網和外網進行有效隔離，避免與外部網絡直接通信；

（2）利用防火墻建立網絡的安全保護措施，保證系統安全；

（3）利用防火墻對網上服務請求內容進行控制，使非法訪問被拒絕；利用防火墻加強合法用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將訪問權限控制在最低限度內；

（4）在Internet出口處，使用NetHawk監控系統進行網絡活動實時監控；

（5）在本校區部署RJ-iTop網絡隱患掃描系統，定期對整個網絡的安全狀況進行評估，及時彌補出現的漏洞；

（6）加強網絡安全管理，提高全體人員的網絡安全意識和防范技術。

[1] 馮登國.計算機通信網絡安全[M].北京：清華大學出版社，2001，3

[2] 蔡立軍.計算機網絡安全技術[M].北京：中國水利水電出版社， 2005， 52-56

[3] 陳健偉，張輝.計算機網絡與信息安全[M].北京：希望電子出版社，2006.2：42-43

第2篇：校園網絡安全建設范文

【 關鍵詞 】 校園網；信息安全；網絡技術，技術應用

On the Construction of Campus Network and Network Information Security

Luo Qiong

（Sichuan College of Chemical Technology SichuanLuzhou 646005）

【 Abstract 】 campus network is a local area network， LAN is one or several buildings in the computer， terminal， with a mass storage peripheral device， controller， display， as well as for connections to other network and use network connectors connected with each other， with a high speed for the purpose of the network ". With the development of computer technology and network technology， Internet has penetrated into all aspects of the school， the school has established a campus network， campus network construction to help students access to information， to help teachers in the teaching and research activities， helps improve teaching environment， conducive to the school to establish a good image， attract students， improve level of management and management efficiency.

【 Keywords 】 campus network； information security； network technology， technology application

0 前言

現代化信息社會里，要想建一流的學校，要想實現學校的科學高效管理，就必須將網絡技術應用到日常教學管理中。校園網的主要應用范圍大概分為幾種情況：①從教師角度來說，幫助教師從網絡中獲取知識、幫助教師備課、豐富課堂教學內容；②從學生角度來說，校園網是學生學習的工具，是學生之間交流的工具，有利于學生學習文化知識和培養學生良好的人際溝通能力；③從學校后勤管理工作來說，校園網能夠很好地服務于教學管理工作，無論是財務管理、行政管理還是人事管理等都離不開計算機，離不開網絡技術；④從學校整體來說，校園網是一個媒介，是學校與外面溝通的窗口，是一個信息平臺，在這個平臺上既可以從校外獲取各種信息，也可以向外各種信息。

1 校園網建設關鍵技術分析

校園網建設是一個系統工程，需要大量的軟件和硬件，主要分為幾方面。

網絡協議技術：在校園局域網上用到的協議主要有ICP/IP協議、IPX/SPX協議等，協議是通信雙方共同遵守的約定和規范，網絡設備必須安裝或設置各種網絡協議之后才能完成數據的傳輸和發送。

OSI網絡體系結構：主要由應用層、表示層、會話層、運輸層、網絡層、數據鏈路層和物理層組成，其中物理層是位于體系結構的最低層，它定義了OSI網絡中的物理特性和電氣特性。

HTTP、FTP、Telnet協議。HTTP是用于分布式協作超文本信息系統的、通用的、面向對象的應用層協議。FTP是客戶/服務器方式服務的各種規則所組成的集合，主要用來支持Internet文件傳輸。Telnet是采用客戶/服務器模式的應用層協議，提供終端設備與面向進程接口的標準方法，Telnet應用廣泛，功能強大，尤其適用于用戶登錄遠端主機和允許用戶執行遠端主機命令這兩方面，可以在有限的網絡空間下獲取無限的網絡資源。

常用網絡硬件設備：一般來說，網絡設備有網卡、集線器、交換機等，這些設備按照一定的組合方式連接起來，在整個網絡中分別發揮著自己的功能又同時存在著密切的聯系。網卡是實現網絡通訊的重要設備之一，它是計算機與網絡的接口，選用網卡時要注意，網卡有很多種，不同類型的網絡需要使用不同種類的網卡，如從校園網建設的實際應用情況來看，工作站網卡選擇PCI總線的10M /100Mbit/s自適應網卡最適合。路由器主要分為軟路由和硬路由，有靜態的和動態的，路由器是校園網中不可缺少的設備，它的功能比較強大，主要用來將不同的網絡物理分支和不同的通信媒介連接在一起及過濾和隔離網絡數據流、控制和管理復雜的路徑、在網絡分支之間提供安全屏障層等功能，當數據流到達路由器后，路由器根據路徑的代價，選擇一條最佳的路徑，然后把數據幀沿這條路徑發送給目標地址。服務器，校園網中的服務器有數據庫服務器和服務器，學校里計算機數量眾多而且集中，服務器的選擇應該針對校園網特點，選擇具有較大容量、較高處理速度和穩定性的大型服務器。

2 校園網建設思路

校園是一個特殊的網絡環境，校園網的建設應該結合學校實際情況，進行詳細規劃。校園網的建設要體現分布式、開放式、安全可靠，維護簡單等原則，重點是應用局域網技術以及多媒體技術為主的各種網絡應用技術。

校園網建設的目的是為日常教學和后勤行政管理提供服務，不斷提高教學管理水平，拓寬教師和學生的知識面，利用現代信息技術可以推動和改變傳統的教學模式，加速教學方式的改革，改變傳統的灌輸式教育，改變以往老師講、學生聽，死記硬背的傳統教學方式，實施以學生為主的教育教學方式。

校園網建設過程中，應該校園網的功能與作用，結合學校應注重硬件設備、軟件跟上、“智件”超前、“潛件”保障，即“四件”平衡。其中“智件”是主題，是指富有文化知識的教師，“潛件”主要指服務于教學的各種保障措施。

校園網建設過程注重高效、避免重復浪費，校園網是一個復雜的系統工程，在建設之初就應該做好整體規劃，使工程形成良性循環，保證各個環節成本最低，尤其是避免重復投資和不合理利用資源現象的發生，校園網建設過程中要盡量使用成熟技術，因為成熟技術既可以減少風險，又能做到性能穩定、實施快、見效快，維護更新更有保障。

3 校園網的信息安全現狀及解決對策

3.1 校園網的信息安全現狀

校園網本身存在“重技術、輕安全、輕管理”的傾向，在各種論壇、聊天室出現的不良言論無法用人工審核監督的方式有效解決，作為教育信息化基石和院校形象保障的校園信息安全問題不容樂觀。加上院校各類應用系統的不斷增加和擴充，網絡中心等管理單位所維護并管理的服務器逐漸增多，特別是諸多的Linux服務器占據著許多重要應用，比如網站服務器、郵件服務器、解析服務器等，不同于Windows的界面化操作，Linux系統在提供穩定服務的同時對維護人員和維護工作都有較高的要求，從而導致必須為Linux服務器配備較多的技術人員和工作強度。

校園網連接的除了各級行政單位網絡，還連接校內學生機，因此存在許多安全隱患，主要表現有校園網與 Internet 相連，存在著外網攻擊的風險；來自校園網內部的安全威脅；接入校園網的節點數日益增多，這些節點會面臨病毒泛濫、信息丟失、數據損壞等安全問題。

3.2 針對校園網的信息安全所采取的解決對策

隨著網絡的高速發展，信息交流和共享的速度逐漸加快，網絡不斷出現新病毒，校園網存在很大安全隱患，如何更好地對計算機進行防護，如何保護校園網絡的安全是計算機專業人員重點考慮的問題，與此同時，學校對網絡信息安全問題越來越重視，紛紛建立了一套有效的網絡安全機制，重點防范網絡病毒、黑客攻擊。通過瑞星防毒墻、瑞星網絡安全預警系統、網絡版殺毒軟件，實現網絡安全隔離、網絡監控措施、網絡病毒的防范等安全需求。

1）防毒墻的部署

在Internet與校園網內網之間部署了一臺瑞星防毒墻，其中WWW、E-mail、FTP、DNS服務器連接在防火墻的DMZ區，與內、外網間進行隔離，內網口連接校園網內網交換機，外網口通過路由器與 Internet 連接。這樣，通過 Internet 進來的外網用戶只能訪問到對外公開的一些服務（如WWW、E-mail、FTP、DNS等），既保護內網資源不被非法訪問或破壞，也阻止了內部用戶對外部不良資源的使用，并能夠對發生的安全事件進行跟蹤和審計。

2）瑞星網絡安全預警系統的部署

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，根據校園網絡的特點，我們采用瑞星網絡安全預警系統，接入 Cisco 中心交換機上，對來自外部網和校園網內部的各種行為進行實時檢測。

3）瑞星網絡版殺毒軟件的部署

為了實現在整個局域網內病毒的防護，我們在可能感染和傳播病毒的地方采取相應的防病毒手段。實現了遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種安全防護功能。

4）整體實現的主要功能

通過對大學校園網絡的安全設計，在不改變原有網絡結構的基礎上實現多種信息安全，保障大學校內部網絡安全；實現對整個校園網病毒防范和查殺，有效防止病毒在校園網內的傳播；保護脆弱的服務，通過過濾不安全的服務，防火墻可以極大地提高網絡安全和減少子網中主機的風險；控制內部和外部用戶對校內各種應用系統的訪問，有效保護內部各種應用服務器，例如防火墻允許外部訪問特定的Mail Server和Web Server；提供集中的統一安全管理，管理員可以通過管理控制臺對內部和外部用戶指定統一的安全策略；提供強大的安全日志記錄和統計，管理員可以通過各種安全日志對網絡進行實時監控和統計分析，及時發現網絡的各種安全事件。

4 結束語

校園網的發展對教育事業的發展起到了催化劑的作用，教育依托信息技術實現了教學與管理的信息化和現代化，校園網的建設提高了教師的教學水平，提高了學生的學習興趣，提升了教育科研水平，大大增強了學校的綜合實力。雖然，校園網絡技術發展過程中遇到了很多網絡安全考驗和硬件維護等困難，但是只要采取合理的措施，殺毒軟件及時更新，防火墻時時監護等，就一定能在最大程度上保證校園網的信息安全。

參考文獻

[1] 官金安，傅德榮.“基于Internet/Intranet的學校CBE系統的建設”，電化教育研究，2000（2）.

[2] 劉慶瑜.校園網中的網絡安全問題淺談[J].寧波大紅鷹職業技術學院學報；2006年01期.

[3] 紀楠楠.淺析校園網絡安全[J].商業經濟，2007年09期.

[4] 厲曉華.高校網絡安全管理模式的探索與實踐[J].科技創新導報，2009年04期.

第3篇：校園網絡安全建設范文

校園網安全系統的建設是一個龐大而復雜的工程，不可能在短時間內完成，也不能有一個完整而周全的解決方案。我們只能是想方設法使學校的網絡更加安全，盡量減少因為網絡安全帶來的損失。在WPDRRC模型中，連接的依次是預警（Warning）、保護(Protect)、檢測(Detect)、響應(Respond)、恢復(Restore)、反擊(Counterattack)六個環節，內層是人、策略、技術三個逐步擴展的同心六邊形（如上圖）。將安全策略變為安全現實，人是核心，策略是橋梁，技術是保證。下面，我們主要從技術保障、安全策略、人員素質等三個方面，談談對學校網絡安全系統建設的一些建議和做法。

第一道關――硬件技術保障是防線

通過添加硬件防火墻或者“計算機+軟件”式的防火墻，在內部網與外部網之間、專用網與公用網之間構造起第一道保護屏障，最大限度地阻止網絡中的黑客入侵網絡。防火墻對通過的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口，而且還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。防火墻是一個安全策略的檢查站，所有進出的信息都必須通過防火墻，使可疑的訪問被拒絕于門外。

現在筆者所在區域大部分學校都采用“海蜘蛛”作為路由器，目前使用的是“海蜘蛛”V6.1.0，此版特別適用于校園等對網絡應用高要求的環境。專門解決校園網電腦中毒、相互攻擊、上網緩慢等現象。此設備能夠輕松實現以下功能。

用戶安全管理：支持各種防火墻策略。提供DNS/IP/網址/關鍵字過濾功能。支持“PPPoE認證+Web認證+驗證碼”的三重防護，有效地防止ARP、DoS類攻擊。

安全隔離每個用戶：采用一戶一線，杜絕用戶間互相攻擊的現象，即使個別電腦中毒也不會對周圍用戶產生任何影響。

智能QoS功能：能對P2P下載、在線視頻等高帶寬應用采用智能化QoS流量控制，有效防止了這些應用對其他用戶網絡的影響。方便對小區內用戶提供高質量的網絡服務。

長期穩定運行：路由系統基于linux內核，能在長時間不間斷的情況下穩定運作。

完善的備份支持：支持定時關機重啟，遠程備份路由配置文件，簡化了管理員的工作任務。

日常網絡的監管采用《傲科天藍藍安全設備》，可以輕松實現：日志審計、信息過濾、行為管理、內容監控、P2P下載控制、流量管理、策略管理、數據安全管理等功能。

通過采用各種防火墻技術和網絡監管設備的防護，為校園網的安全建立起第一道安全防線，為學校網絡安全提供有力的技術保障。當然，各所學校的具體情況和網絡規模有所不同，采用的校園網安全系統也應有所差別，不可能按照同樣的方法，但是可以采用同樣的模式。

第二道關――網絡安全策略是橋梁

校園網使用者或者說接入點越來越多，隨之而來的網絡安全問題也會越來越多，合理的、優化的網絡安全策略可以有效地降低安全風險，在技術上實現網絡系統的安全管理，制定有關網絡安全管理的規章制度，確保網絡系統安全、可靠地運行。網絡安全策略主要涉及以下幾個方面。

物理安全策略：主要包括機房網絡和辦公網絡的物理隔離、機房環境的建設、防火防盜、電磁干擾、非法用戶入侵等。

訪問控制策略：主要包括重要數據的加密、服務器密碼的安全性、密碼定期更新、用戶權限的控制、對于目錄的訪問權限、敏感數據的控制、用戶驗證機制等。

VLAN劃分策略：當學校網絡規模較大時，建議對學校的網絡進行合理地劃分VLAN，劃分可以按照基于端口、基于MAC地址、基于網絡層協議、根據IP組播、按策略、按用戶定義、非用戶授權劃分VLAN等多種劃分方式。劃分VLAN的目的主要是避免用戶之間的相互干擾，根據學校用戶的特點，可以根據學科進行劃分、根據課程表進行劃分，可以有效地隔離用戶干擾和進行流量控制。

網絡安全管理策略：為保障校園網的正常運行，規范各項操作，通過建立各項規章制度、規范用戶操作、安全等級管理、管理范圍、有關人員的操作流程、機房管理制度、定期維護制度及應急預案等措施，以起到明確職責，責任到人、有理有據、保障有力，將網絡安全的風險降到最低，從內部管理上防范網絡安全事故的發生。

第三道關――人員素質提升是核心

人員素質的提升對校園網的安全起著非常關鍵的作用，我們這里講的人員主要包括兩個方面：一是網絡管理人員，簡單來講就是學校的網管員；二是網絡使用人員，主要是指教師，還包括使用校園網的學生。

網絡管理員技術水平的高低對于保障學校網絡的安全運行起著至關重要的作用，但由于現在很多學校的網管員都是兼職的，沒有接受過專門的培訓，水平參差不齊，短時間內很難提升。網管員要通過多種途徑，學習和掌握足夠的信息安全知識，充分理解相關的安全技術、操作系統和應用軟件的安全性能，不斷跟蹤安全新聞動態、安全技術發展，養成良好的信息安全習慣，成為學校網絡安全管理的主力軍。

對于普通網絡用戶來說，網絡安全威脅來自兩個方面：一方面是被動的，來自病毒、木馬、惡意腳本和插件以及黑客的攻擊等；另一方面卻是主動的，比如瀏覽掛有木馬的非法網站、釣魚網站、含有病毒的垃圾郵件、含有非法鏈接的聊天信息等。根據調查顯示，由于自己無意識地點擊惡意網站而導致中毒木馬的竟然占到了絕大部分。半年內有40.5%的用戶沒有遭遇過病毒和木馬的攻擊，這部分網絡用戶有一個共同點：普遍具有良好的網絡安全意識。由此可見，教師網絡安全意識的提升是整個學校網絡安全系統的核心所在。教師網絡安全意識的提升需要經常組織相關的網絡安全知識的培訓，使得某些網絡安全隱患被消除在萌芽狀態。

第4篇：校園網絡安全建設范文

【關鍵詞】智慧校園；無線網絡安全

隨著信息技術的快速發展，數字化校園乃至智慧校園是高校信息化建設的必然趨勢。

由于校園信息化建設與應用牽扯的面寬、量大，涉及的部門眾多、人員復雜，包含了大量的網絡應用、事務管理、周邊模塊等子系統，迫切需要一個部署簡便、聯通快捷、便于擴展的網絡平臺。盡管有線網絡以速度較快、傳輸穩定、成本低廉等優點始終在網絡建設中處于優勢地位，但其在布設與維護過程中存在的工程量大、破壞性強、移動困難、后期維護成本高、系統覆蓋面積小等缺陷也限制了其進一步的發展。此外，隨著各種無線終端設備的日益普及，原有的校園有線網絡已經難以滿足廣大師生隨時隨地網絡接入的需要，構建穩定、高效、安全的無線局域網逐漸成為高校信息化發展的必然趨勢。

無線局域網是計算機網絡與無線通信技術相結合的產物，它以電磁波作為傳輸媒介，依托802.11a、802.11b、802.11g等協議，實現數據傳輸功能。無線網絡的建成，使得校園網的覆蓋范圍得到拓展、部署方式更加靈活、設備維護更為便捷。目前，無線網絡已經在高校網絡建設中得到了廣泛的推廣和應用，有效提高了數據信息的綜合利用效率。但是，由于無線局域網的信息傳輸媒介是電磁波，這一傳輸的特殊性就導致了它比有線介質（雙絞線、光纖）更容易受到干擾、竊取和破壞。因此，無線局域網的信息安全技術比有線介質網絡顯得更為復雜，其面臨的安全威脅也更加多樣。

一、校園無線局域網面臨的安全威脅

1.網絡竊聽

傳統有線網絡采用物理連接，數據在傳輸時已經由傳輸介質（如雙絞線、同軸電纜、光纖等）提供了物理保護，數據具有封閉性。而無線網絡通過無線電波傳送數據，只要是無線信號覆蓋范圍內的任何無線終端設備都可以接受這些數據，因此無線傳輸的數據很容易被他人竊取，一般說來，大多數網絡通信都是以明文格式出現的，這就會使處于無線信號覆蓋范圍之內的攻擊者可以乘機監視并破解通信。如果這些數據未加密或被惡意破解，則會對個人用戶的隱私及整個無線網絡的安全構成嚴重威脅。

2.非法接入

有線網絡能明顯地分辨出計算機是否連接在網線上。而無線網絡則不同。無線局域網具有開放性，理論上只要是無線接入點（AP）覆蓋范圍內的任何無線終端設備都可以通過AP接入網絡，而AP又無法像有線局域網那樣對接入設備數量與位置進行嚴格的限定和管理，所以如果無線局域網中沒有加入用戶認證體系，那么未經授權的用戶可以很輕松地通過AP接入網絡，這種接入如果是惡意的，就會對整個網絡的安全構成嚴重威脅。

3.病毒攻擊

無線網絡和有線局域網一樣，都會遭受病毒攻擊。不同的是無線網絡中的AP一般都沒有防病毒和防攻擊的功能。一旦黑客知道了某個AP的IP地址，并向其發起拒絕服務攻擊的話，該AP很快就會癱瘓。

二、應對策略

1.物理地址綁定

每個無線客戶端網卡都有唯一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。

物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。這種方式的擴展能力較低，只適合于小型網絡。此外，非法用戶利用網絡偵聽手段很容易竊取合法的MAC地址，而且MAC地址并不難修改，因此非法用戶完全可以盜用合法的MAC地址進行非法接入。對于這一問題，目前所用的解決方法是通過AC對用戶進行綁定，采用VLAN+IP地址+MAC地址來唯一標識一個用戶。

2.SSID訪問控制

服務集標識符（SSID）是無線訪問點使用的識別字符串，客戶端利用它就能建立連接。該標識符由設備制造商設定。無線客戶端必須出示正確的SSID才能訪問無線接入點AP。利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，從而為無線局域網提供一定的安全性。然而無線接入點AP周期向外廣播其SSID，使安全性一定程度下降。倘若黑客知道了這種口令短語，即使未經授權，也很容易使用無線服務。對于部署的每個無線訪問點而言，要選擇獨一無二并且很難猜中的SSID。如果可能的話，禁止通過天線向外廣播該標識符。這樣網絡仍可使用，但不會出現在可用網絡列表上。

3.802.1x擴展認證協議

IEEE802.1x使用標準安全協議（如RADIUS）提供集中的用戶標識、身份驗證、動態密鑰管理。基于802.1x認證體系結構，其認證機制是由用戶端設備、接入設備、后臺RADIUS認證服務器三方完成。IEEE802.1x通過提供用戶和計算機標識、集中的身份驗證以及動態密鑰管理，可將無線網絡安全風險減小到最低程度。在此條件下，作為RADIUS客戶端配置的無線接入點將連接請求發送到中央RADIUS服務器。RADIUS服務器處理此請求并準予或拒絕連接請求。如果準予請求，根據所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成唯一密鑰。然后，客戶機與AP激活WEP，利用密鑰進行通信。

4.加強無線局域網監測與日常管理

第5篇：校園網絡安全建設范文

【關鍵詞】網絡安全；網絡攻擊；建設與規劃；校園網

1、網絡現狀

揚州Z校擁有多個互聯網出口線路，分別是電信100M、電信50M、網通100M、聯通1G和校園網100M。Z校擁有多個計算環境，網絡核心區是思科7609的雙核心交換機組，確保了Z校校園骨干網絡的可用性與高冗余性；數據中心是由直連在核心交換機上的眾多服務器組成；終端區分別是教學樓、院系樓、實驗、實訓樓和圖書館大樓。此外，還有一個獨立的無線校園網絡。Z校網絡信息安全保障能力已經初具規模，校園網絡中已部署防火墻、身份認證、上網行為管理、web應用防火墻等設備。原拓撲結構見圖1。

2、安全威脅分析

目前，Z校網絡安全保障能力雖然初具規模，但是，在信息安全建設方面仍然面臨諸多的問題，如，網絡中缺乏網管與安管系統、對網絡中的可疑情況，沒有分析、響應和處理的手段和流程、無法了解網絡的整體安全狀態，風險管理全憑感覺等等，以上種種問題表明，Z校需要對網絡安全進行一次全面的規劃，以便在今后的網絡安全工作中，建立一套有序、高效和完善的網絡安全體系。

2.1安全設備現狀

Z校部署的網絡安全防護設備較少。在校區的互聯網出口處，部署了一臺山石防火墻，在WEB服務器群前面部署了一臺WEB應用防火墻。

2.2外部網絡安全威脅

互聯網出現的網絡威脅種類繁多，外部網絡威脅一般是惡意入侵的網絡黑客。此類威脅以炫技、惡意破壞、敲詐錢財、篡改數據等為目的，對內網中的各種網絡設備發起攻擊，網絡中雖然有一些基礎的防護，但是，黑客們只要找到漏洞，就會利用內網用戶作跳板進行攻擊，最終攻破內網。此類攻擊隨機性強、方向不確定、復雜度不斷提高、破壞后果嚴重[1]。

2.3內部網絡安全威脅

內部惡意入侵的主體是學生，還有一些網絡安全意識薄弱的教職工。Z校學生眾多，學生們可能本著好奇、試驗、炫技或者惡意破壞等目的，入侵學校網絡[2]。Z校某些教職工也可能瀏覽掛馬網站或者點擊來歷不明的郵件，照成網絡堵塞甚至癱瘓。

3、安全改造需求分析

本次安全改造，以提升鏈路穩定性，提高網絡的服務能力為出發點，Z校在安全改造實施中，應滿足如下的安全建設需求1)提升鏈路的均衡性和利用率：Z校網絡出口與CERNET、Internet互聯，選擇了與電信和聯通兩家運營商合作。利用現有網絡出口鏈路資源，提升網絡訪問速度，最大化保障校園網內部用戶的網絡使用滿意度，同時又要合理節約鏈路成本，均衡使用各互聯網出口鏈路，是網絡安全建設的首要需求。2)實現關鍵設備的冗余性：互聯網邊界的下一代防火墻設備為整個網絡安全改造的核心設備，均以NAT模式或者路由模式部署，承載了整個校園網的業務處理，任何一個設備出現問題將直接導致業務不能夠連續運行，無任何備份措施，只能替換或者跳過出故障的設備，且只能以手工方式完成切換，無論從響應的及時性，還是從保障業務連續性的角度，都存在很大的延遲，為此需要將互聯網出口的下一代防火墻設備進行雙機冗余部署。3)集中管理和日志收集需求：本次安全改造涉及安全設備數量較多，需要對所有安全設備進行統一日志收集、查詢工作，傳統單臺操作單臺部署的方式運維效率低下，所以需要專業集中監控、配置、管理的安全設備，統一對眾多安全設備進行集中監控、策略統一調度、統一升級備份和審計。

4、解決方案

網絡安全建設是一個長期的項目，不可能一蹴而就，一步到位，網絡安全過程建設中，在利用學校原有設備的基礎上，在資金、技術成熟的條件下，逐步實施。Z校網絡安全建設規劃分為短期建設和長期建設兩部分。

4.1短期網絡建設規劃

4.1.1短期部署規劃以安全區域的劃分為設計主線，從安全的角度分析各業務系統可能存在的安全隱患，根據應用系統的特點和安全評估是數據，劃分不同安全等級的區域[3]。通過安全區域的劃分，明確網絡邊界，形成清晰、簡潔的網絡架構，實現各業務系統之間嚴格的訪問安全互聯，有效的實現網絡之間，各業務系統之間的隔離和訪問控制。本次短期網絡建設，把整個網絡劃分為邊界安全防護區域、核心交換區域、安全管理區域、辦公接入區域、服務器集群區域和無線訪問控制區域。4.1.2部署設計網絡拓撲結構見圖2，從圖2可以看出，出口區域，互聯網邊界處的防火墻設備是整個網絡安全改造的核心設備，以NAT模式或者路由模式部署，無任何備份措施，為此需要再引入一臺同型號的防火墻設備，實現雙機冗余部署。同理，原城市熱點認證網關和行為管理設備需要再各補充一臺，組成雙機冗余方案。安全管理區域根據學校預算，部署幾臺安全設備。首先，部署一臺堡壘機，建立集中、主動的安全運維管控模式，降低人為安全風險；其次，部署一臺入侵檢測設備（IDS），實時、主動告警黑客攻擊、蠕蟲、網絡病毒、后門木馬、D.o.S等惡意流量，防止在出現攻擊后無數據可查；再部署一臺漏洞掃描設備，對網絡內部的設備進行漏洞掃描，找出存在的安全漏洞，根據漏洞掃描報告與安全預警通告，制定安全加固實施方案，以保證各系統功能的正常性和堅固性；最后，部署一臺安全審計設備（SAS），實時監控網絡環境中的網絡行為、通信內容，實現對網絡信息數據的監控。服務器集群區域，除了原有的WEB防火墻外，再部署一臺入侵防護設備（IPS），攔截網絡病毒、黑客攻擊、后門木馬、蠕蟲、D.o.S等惡意流量，保護Z校的信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機[4]。

4.2長期網絡建設規劃

網絡安全的防護是動態的、整體的，病毒傳播、黑客攻擊也不是靜態的。在網絡安全領域，不存在一個能完美的防范任何攻擊的網絡安全系統。在網絡中添加再多的網絡安全設備也不可能解決所有網絡安全方面的問題。想要構建一個相對安全的網絡系統，需要建立一套全方位的，從檢測、控制、響應、管理、保護到容災備份的安全保障體系。目前，網絡安全體系化建設結合重點設備保護的策略，再配合第三方安全廠商的安全服務是網絡安全建設的優選。4.2.1網絡體系化建設體系化建設指通過分析網絡的層次關系、安全需要和動態實施過程，建立一個科學的安全體系和模型，再根據安全體系和模型來分析網絡中存在的各種安全隱患，對這些安全隱患提出解決方案，最大程度解決網絡存在的安全風險。體系化建設需要從網絡安全的組織體系、技術體系和管理體系三方面著手，建立統一的安全保障體系。組織體系著眼于人員的組織架構，包括崗位設置、人員錄用、離崗、考核等[5]；技術體系分為物理安全、網絡安全、主機安全、系統運維管理、應用安全、數據安全及備份恢復等；管理體系側重于制度的梳理，包括信息安全工作的總體方針、規范、策略、安全管理活動的管理制度和操作、管理人員日常操作、管理的操作規程。4.2.2體系化設計網絡體系化建設要以組織體系為基礎，以管理體系為保障，以技術體系為支撐[6]，全局、均衡的考慮面臨的安全風險，采取不同強度的安全措施，提出最佳解決方案。具體流程見圖3。體系化建設以風險評估為起點，安全體系為核心，安全指導為原則，體系建設為抓手，組織和制定安全實施策略和防范措施，在建設過程中不斷完善安全體系結構和安全防御體系，全方位、多層次滿足安全需求。

5、結語

從整個信息化安全體系來說，安全是技術與管理的一個有機整體，僅僅借助硬件產品進行的安全防護是不完整的、有局限的。安全問題，是從設備到人，從服務器上每個服務程序到Web防火墻、入侵防御系統、抗拒絕服務系統、漏洞掃描、傳統防火墻等安全產品的綜合問題，每一個環節，都是邁向網絡安全的步驟之一。文中的研究思路、解決方案，對兄弟院校的網絡安全建設和改造有參考價值。

參考文獻：

［1］王霞.數字化校園中網絡與信息安全問題及其解決方案［J］.科技信息，2012.7:183-184

［2］黃智勇.網絡安全防護系統設計與實現［D］.成都：電子科技大學，2011.11:2-3

［3］徐奇.校園網的安全信息安全體系與關鍵技術研究［D］.上海：上海交通大學，2009.5:1-4

［4］張旭輝.某民辦高校網絡信息安全方案的設計與實現［D］.西安:西安電子科技大學，2015.10:16-17

［5］陳堅.高校校園網網絡安全問題分析及解決方案設計［D］長春：長春工業大學，2016.3:23-31

第6篇：校園網絡安全建設范文

【關鍵詞】校園網安全 威脅 防范策略 防火墻

隨著教育與科研網工程的快速發展，許多高校建立起自己的校園網絡。但與此同時，也帶來了網絡安全問題。建立全新校園網絡安全機制。保障網絡的安全運行，使校園網絡成為一個具有良好的安全性、可擴充性和易管理性的信息網絡。

1 校園網絡面臨的威脅

目前，高校校園網絡正處在蓬勃發展階段，網絡基礎設施有了較好的基礎，但網絡環境的復雜性、多變性以及信息系統的脆弱性，決定了網絡安全威脅的客觀存在。國內高校校園網的安全問題有其歷史原因。在以前的網絡建設時期，由于意識與資金方面的原因，以及對技術的偏好和運營意識的不足，普遍都存在重技術、輕安全、輕管理的傾向，常常只是在內部網與互聯網之間放一個防火墻就萬事大吉，有些學校甚至直接連接互聯網，這就面臨更多的安全威脅。不完善的計算機網絡系統、潛在的強大黑客、囂張的計算機病毒、缺乏防范意識的用戶等等，都是威脅網絡安全的隱患。這些安全隱患一旦成為事實，所造成的對整個網絡的損失都是難以估計的。因此，網絡的安全建設是校園網建設過程中重要的一環。

2 校園網絡安全的防范策略

2.1 物理安全策略

網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中，由于網絡系統屬于弱電工程，耐壓值很低。因此，在網絡工程的設計和施工中，應該對場地的封閉、防火、防盜、防靜電、適當的通風、溫度的控制以及電源的安全等提供符合網絡設備要求的安全保證。還要考慮布線系統與照明電線、通信線路及暖氣管道之間的距離，考慮布線系統和絕緣線、線以及接地與焊接的安全。

2.2 制定嚴格的網絡安全管理制度策略

網絡安全最重要的還是要思想上高度重視，校園網的安全需要用完備的安全制度來保障。健全校園網絡安全管理制度是網絡安全的核心。成立專門負責管理信息安全的部門，制定一系列規定。這些規定應包括：計算機網絡安全建設規定，計算機網絡安全管理規定，安全保密管理規定，機房出入管理等。選擇有較高職業道德修養的人做網絡管理員，提高管理人員的管理技術和計算機網絡安全的防范意識，要從基本上保證和鞏固計算機網絡安全。對于使用人員來說，要加大宣傳力度，進行計算機網絡安全教育，提高使用人員的防范意識，保證計算機網絡的相對安全。

2.3 系統安全策略

計算機網絡應用與服務的基礎是操作系統，但是不論采用什么操作系統，恐怕沒有絕對安全的操作系統可以選擇，無論啊個操作系統，其開發廠商必然有其后門。高校校園網絡不但要選用盡可能可靠的操作系統，而且必須對操作系統進行安全配置。

在缺省安裝的條件下計算機系統都會存在一些安全問題，只有專門針對操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。同時采用最先進的漏洞掃描系統定期對網絡中心的網絡設備進行安全檢查。也要優化操作系統，可以通過修正補丁，完善漏洞，加強監控，將服務和應用建立在安全級別較高的操作系統上。而且，必須加強登錄服務器過程的認證，確保用戶的合法性，也應該嚴格限制登錄者的操作權限，將其操作限制在最小的范圍內。

2.4 防火墻安全策略

防火墻是一個系統或一組系統， 它是由一個軟件或和硬件設備組合而成，在內部網與公用的互聯網間執行一定的安全策略，它實際上是一種隔離技術。在校園網中安全防火墻進行雙向限制，一方面限制外界用戶訪問校園內部網絡，較好的防止非法用戶的入侵，一方面限制校園內部用戶訪問外界網絡，通過這雙方的限制保證網絡的安全，就像是一道門將內部網絡和外界通道進行了阻隔。

同時防火墻監控網絡的安全并在異常情況下給出報警提示，尤其對于重大的信息量通過時除進行檢查外，還應做日志登記。所以使用防火墻來保護計算機、服務器和局域網，使其在一定程度上避免受到攻擊并保護網絡資源的安全。

2.5 數據加密策略

數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所采用的主要技術手段之一。數據加密技術相比防火墻來說，更加靈活，可以用以進行動態信息的保護。

在校園網絡系統中，涉及到很多重要信息，如學生成績，科研資料等，如果這些重要信息遭到竊取或破壞，它的經濟和社會影響將是很嚴重的。對于傳輸的重要信息，必須采用加密技術，保證網上傳輸的信息的機密性與完整性。

2.6 部署入侵檢測系統策略

入侵檢測系統是公認的一種對抗網絡安全的有效方式。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身，能實時捕獲內外網之間傳輸的所有數據，通過檢測再采用一定的方式進行阻止或封閉等。強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。

對來自外部網和校園網內部的各種行為進行實時檢測。當檢測到網絡上發生的入侵行為和異常現象，并在數據庫中記錄有關事件，作為網絡管理員事后分析的依據，如果情況嚴重，系統可以發出實時報警，使得學校網絡管理員能夠及時采取應對措施。

2.7 防病毒策略

計算機病毒給上網用戶帶來極大的危害，病毒可以使計算機和計算機網絡系統癱瘓、數據和文件丟失。在校園網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系，應能實現遠程安裝、自動升級、病毒掃描和清除、遠程報警等多種功能。殺毒時要注意使用多種殺毒軟件，尤其要安裝網絡殺毒軟件，結合各種查殺方式交叉清理，可以有效對抗病毒、木馬等對計算機有危害的程序。

3 總結

本文針對目前校園網絡中存在的主要威脅，提出一些網絡安全防范的措施。網絡安全防范策略涵蓋面廣，綜合性強，需要不斷的完善和努力。校園網絡安全是一個循序漸近不斷完善的過程，只有將技術和管理都重視起來，才能切實構筑一個安全的校園網。

參考文獻

[1]謝暉輝.網絡安全技術在校園網中的應用，電腦知識與技術，2009年第09期.

[2]李紅，薛禮.云計算與物聯網[J]，硅谷，2012，09：17+64.

第7篇：校園網絡安全建設范文

校園的計算機使用和網絡的應用不僅實現了教學資源的共享，同時也加強了對教學信息的快速處理，為師生之間的學術討論提供了一條便捷的渠道，使學生的學校生活質量得到明顯改善。但人們卻也往往會忽略了學校的網絡安全。

1校園網絡安全管理的意義

計算機網絡在教學和科研中的作用越突出，網絡的安全管理就越是不能忽視。

1.1關乎學校的利益

目前，大多數學校的校園網都存儲了大量的內部教學資料，其中包括學生的成績信息、檔案文件等，很多重要的工作要依賴網絡才能得以實施，一旦出現個人數據丟失或被盜的事件，會帶給學校和學生很大的損失。所以，加強學校的校園網絡安全的管理具有十分重要的意義的。

1.2關乎學校的形象

學校要想在現今計算機網絡技術不斷發展的信息化時代中脫穎而出，就必須強化對網絡安全的關注。今后校園教育管理的發展趨勢必然是一步步的走向智能化、網絡化。因此，維護校園的網絡安全對學校的整體形象及其長遠發展有著很重要的意義。

2現階段學校網絡安全的現狀及主要問題

就目前來說，校園網絡安全管理的現狀不容樂觀，存在著許多問題，由于學校校內網用戶群體比較特殊，相對來說學校網路的用戶較多，產生的數據量也就會大，直接導致校園網絡的不容易管理。而且學生通過校園網進行上網娛樂的時間大都在下課及休息期間，很容易造成網絡的堵塞，甚至造成會導致病毒的擴散。而另一方面，因為很多學生他們并沒有采取任何保護措施，無形中就導致了病毒的快速傳播，從而出現網絡性能下降，或是造成數據受到破壞、信息丟失的現象，更嚴重者會造成系統癱瘓等無法彌補的后果。關于校園網絡安全問題主要表現在以下幾個方面：

2.1病毒侵入嚴重

校園網絡為教師和學生的日常生活和學習提供了極大的便利，但與此同時也成為了病毒傳播的主要路徑。隨著科學技術的進步，黑客的技術水平也得到了不斷的提高，網絡病毒的傳播性和破壞性已經變得越來越嚴重。有些病毒可能會損壞用戶的硬盤驅動器，甚至更嚴重的話還會導致重要的數據信息丟失，對師生個人和學校都造成了無法彌補的損失。

2.2惡意破壞現象嚴重

對計算機網絡的惡意破壞主要包括對系統破壞和設備損壞兩個方面。設備主要包括校園的網絡交換機和服務器等，它們分布在校園的各個區域，相對來說對它們的管理也不是很容易。而有些人可能會利用維護人員對這些設備的管理方面的漏洞，破壞網絡設備，從而導致整個校園網絡的癱瘓。

3形成校園網絡安全隱患的原因

3.1對于網絡安全維護投入不足

對網絡安全進行維護是一項龐大的系統工程，在維護工作當中會存在人力和物力資源的難度，但由于很多學校的經費有限或者已經將大部分資金投入到購買設備上，對網絡安全的建設并不完備，因此校內網是在一個沒有有效的安全預警狀態中，時刻受到來自各方的威脅。

3.2學生網絡安全意識淡薄

很多學生由于缺乏版權意識，對目前的盜版資源的利用并不能得到遏制，也造成了盜版系統及盜版資源的肆意橫流，這無形中為網絡安全問題埋下了隱患。例如盜版Windows操作系統在安裝后可能會導致計算機系統存在大量的安全漏洞。此外，許多學生對網絡安全沒有足夠的認知，所以他們依然隨意的在互聯網上下載不明軟件，但此軟件很有可能隱藏了木馬病毒，會導致黑客系統的直接侵入。還有一些學生缺乏法律意識，用自己學到的計算機網絡系統知識對校園網絡進行攻擊，這在很大程度上影響了校園網絡的安全運行。

4加強學校網絡安全管理的措施

4.1加快建設網絡防毒體系

在校園網絡的保護系統中可分為服務器保護和保護工作站兩方面。首先是服務器的防病毒設置，防病毒系統應該做到能夠遠程安裝服務器產品，而且還可以實時監控病毒入侵情況。現在，師生利用校園網對電子郵件的應用越來越多，它又增加了一個病毒入侵的途徑。所以，需要在防止病毒入侵的體系中再增設一道關卡以確保了郵件的安全；此外就是工作站的防毒工作，工作站的病毒防護處于防病毒體系的最底層，所以，校內網的用戶要特別注意該工作站的保護工作。

4.2建立用戶賬號管理機制

在對校園網的用戶進行管理的時候，應該給每一位教師設置一個賬號，學生可以使用公共賬號。除此之外，還要加強對密碼的設置和管理。密碼的安全性是網絡安全性的基本內容。因此，在設置密碼的時候，必須保證三個月更換一次，只有這樣才能確保密碼安全。對于校園用戶來說，應該規定按時對密碼進行更新。綜上所述，學校計算機網絡安全管理對于保證學校信息安全，加快學校信息化建設具有十分重要的意義。對于網絡安全管理中存在的問題，一定要高度重視。在制定管理措施的時候，不僅要提升技術水平，更要加強制度建設，唯有如此，學校計算機網絡的安全才能得到保證，才能更好地服務于教學管理。

4.3部署防火墻

為了建立學校內外網的安全屏障，可以在Internet與校園網內網之間部署一臺防火墻，將內、外網間進行隔離，內網口連接校園網內網交換機，外網口通過路由器與Internet連接。這樣的話，通過Internet進來的公眾用戶就只能訪問一些特定的對外公開的服務，內網資源也不能在未授權的情況下被隨意地訪問或者破壞，內部也不能對外網資源進行濫用。一旦在網絡中發生安全事件，學校內部網絡也可以進行跟蹤和審計。在設置防火墻時要遵循校園網安全策略和安全目標，以網絡規劃為依據，設置正確的安全過濾規則，要確保審核IP數據包的內容包括：協議、端口、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總地來說，就是網絡設置要以不允許即禁止為原則。

4.4添加漏洞掃描系統

校園的網絡安全建設可以采用最先進的網絡安全漏洞掃描系統，并定期通過服務器、工作站、交換機等設備對學校的網絡安全進行檢查，與此同時通過設備監測得到的數據也能為系統管理員提供可靠的安全報告，以此作為提高網絡安全級別的重要依據。

4.5建立完善的安全管理制度

因為大多數學校缺乏嚴格的網絡安全管理制度，所以在管理上很容易出現漏洞，這就降低了學校的網絡安全級別。所以，學校應建立一個具有高度權威性的信息安全管理機構，制定完善的管理體系，同時可以增強網絡完全管理人員自身的責任感。與此同時，學校還可以定期的進行網絡安全專業知識和技能的培訓，加強學校教師和學生的網絡安全知識的普及，提高網絡安全的自覺性。最重要的是，學校需要建立應急處置預案的網絡管理部門，確保及時發現存在的網絡安全威脅，并及時安排有效的解決措施。只有學校的網絡管理部門和廣大校園網用戶齊心協力幫助校園網絡安全的維護，才能保證校園網的穩定運行，從而為學校的教學管理提供更好的服務。

4.6建立系統漏洞補丁文件庫

學校需要在網絡中心服務器上下載、安裝系統補丁軟件，及時更新最新的系統補丁，在更新后通過網絡出去，確保所有的內部計算機都是通過漏洞掃描軟件從此服務器下載補丁安裝，這樣既可以保證內部網絡系統的迅速更新，也可以避免系統漏洞受到攻擊。系統漏洞補丁文件庫也可以盡快對受到黑客攻擊的網絡進行修復，彌補漏洞，避免黑客的二次襲擊。

5結束語

網絡安全性日益影響校園網絡的操作，這個過程需要是個復雜細致的解決方案，但實際上并沒有絕對安全的校網絡，所以我們只有通過一定的方法來填充網絡安全漏洞，最大限度地減少網絡安全隱患，確保校園網的安全性。學校同時還必須加強對教師和學生的網絡安全意識、規范互聯網的使用，才能使校園網穩定運行，為師生的工作、學習生活提供更好的服務，是校園網為學校的教學和管理提供優質服務。

作者：陸明昕 單位：西安武警工程大學研究生14隊

引用：

[1]關啟云.校園網絡安全問題分析及對策探討[J].網絡安全技術與應用，2013.

[2]許美玉.校園網安全建設的研究[J].中國電子商務，2013.

第8篇：校園網絡安全建設范文

關鍵詞 數字化校園應用 網絡安全 數字教學 數字管理

中圖分類號：G64 文獻標識碼：A

通過數字化校園網絡基礎建設和應用系統的功能開發，構建一個融教學、科研、管理、生活和服務為一體的數字化校園環境，提高學院的科學管理水平，營造學生的優良學習環境，創建職工工作生活的便利條件。

數字化校園是將現實校園的各項資源數字化，形成的一個數字空間，以現實校園在時間和空間上延伸。它是以網絡為基礎，從環境、資源到活動的全部數字化。校園網絡及其應用系統構成整個校園的神經系統，完成校園的信息傳遞和服務。

隨著數字校園建設的推進和信息系統的廣泛應用，也產生了網絡信息安全的問題。需要各高校和網絡使用單位建立校園網絡安全體系，構建校園網絡安全屏障，實現用戶分級管理、網絡監控、上網行為控制、網絡異常報警等功能，保證校園網絡的安全，保證關鍵數據、關鍵應用、關鍵部門的安全，實現校園網絡及其應用系統安全高效的運行信息時代，信息可以讓企業或個人受益，一些不法分子也會盜取破壞信息來謀利。

1實現目標

數字化校園建設的總體設計目標是：建設一個包括數字環境建設、數字管理建設、數字教學建設、數字生活建設在內，能充分使用教育技術手段的數字化學校，以資源和數據共享為主導，有步驟、分層次地完成學校數字化校園的建設。實現校園服務一卡通系統的建設要求，實現數據、監控、廣播的綜合一體化通信平臺。建設覆蓋全校有線、無線通訊網絡，實現有線及無線通訊系統。

建設智能化系統，建立相應的軟、硬件平臺，實現信息共享、資源共享、科學管理和網絡信息集成。

2需求分析

數字化校園基礎設施建設要將校園網絡與教學系統、管理系統、安全監控系統、電視系統、廣播系統、校園一卡通系統等進行合理的結合，構建成一套科學、便捷、穩定、有效的，能滿足學校教學和管理智能化和數字化運行的綜合系統。因此，必須建設好硬件基礎平臺和網絡支撐平臺以及若干應用系統。

3硬件平臺

（1）中心機房建設。該中心往往是全校主要服務器、交換機等設備放置地，是全校辦公、管理、科研、教學、運營中心。綜合布線系統。該系統用于傳輸數據、語音、影像等信息，可將教學樓、辦公室、電腦、電話等的傳輸網絡與其他信息管理系統相互連接。

（2）網絡管理系統。整個校園網建成后，將有大量的交換機、服務器等網絡設備，需通過一種高效的、快捷的手段來完成對網絡設備及系統的安全控制、性能優化、運營管理等，同時節約人員成本。

4基礎應用

（1）校園一卡通系統。主要包括POS消費機、讀卡器、條碼機、寫卡器、水控器等，從而實現學生收費管理、校園消費、上機管理、學籍管理、圖書管理、轉賬（銀行）、會計業務、查詢服務、綜合業務、門禁考勤、醫療管理、水控管理、科研經費、巡更等。LED屏幕顯示系統，用于顯示文字、表格、動畫、視頻等，也可實現新聞節目、文藝晚會、運動會、體育比賽的直播或轉播等。

（2）監控及報警系統。對校門、校園內、圖書信息樓等要害部位和重點部門進行監控及入侵報警，只要通過該系統在監控中心就能發現校門、園內、要害部位等的情況，發現問題即時解決，不需要保衛人員到處巡邏，節約人員成本。

（3）多媒體教學查詢系統。節目播出均可以實現電腦控制，可以接收并播放音視頻信號，具有教學評估功能，多媒體教室也可接收并集中控制各類節目源等。

（4）計費系統。可以按流量、時間和包月計費，可以對接入的用戶進行驗證和控制，為數字校園的規范管理提供可靠保障。

（5）電話語音系統。學校可與當地電信運營商協商，由運營商投資建設和管理，學校只是按照使用付給投資方使用費。

（6）信息網絡安全系統。以整個校園網安全建設、管理、運行為重點，保障整個校園網絡、各類應用、管理等的正常運行，降低校園網系統存在的各種安全隱患。

5建設項目

根據以上需求情況，設置建設項目：綜合布線；中心機房、計算機網絡及整體網絡建設；校園一卡通；監控及報警；防雷、接地；有線電視、校園廣播；多媒體教學和查詢；LED屏幕顯示；學生機房、數字語音室、模擬導游室、電子閱覽室等；辦公會議室、教學多功能廳、演播室等；校園精品課程全自動錄播；網絡數字教學點播平臺；各類教育教務、辦公自動化及其他網絡管理軟件；樓宇自控系統、建筑智能管理等。

6網絡規劃

網絡建設是建設數字化校園的基礎，必須放在第一位。網絡建設包括：網絡基礎設施建設包括供電系統；校園管道系統；機房：雙路供電、不間斷電源、制冷、防雷與接地等系統。網絡環境建設包括校園主干光纖；數字結構化布線；校園網絡架構；IP地址與NAT；統一儲存；認證與計費；出口管理；網絡安全；網絡管理；運行與維護；行政管理與制度。

網絡應用系統建設包括網站；基于網絡的視頻監控系統；多媒體系統；多種教學系統；精品課程等。

7數字化校園建設中易出現的問題

第9篇：校園網絡安全建設范文

［關鍵詞］網絡安全；校園網；防火墻

前言

東北財經大學經過不斷發展、完善的信息化歷程，完成校園網絡廣泛覆蓋和帶寬升級。同時學校數據服務區運行著包括門戶網站、電子郵箱、數字校園、移動辦公等重要業務系統，隨著各類應用系統的不斷上線，逐步構成了一個服務于學校師生的重要綜合性校園網絡平臺。但另一方面，承載學校業務流程的信息系統安全防護與檢測的技術手段卻仍然相對落后。在當前復雜多變的信息安全形勢下，無論是外部黑客入侵、內部惡意使用，還是大多數情況下內部用戶無意造成的安全隱患，都給學校的網絡安全管理工作帶來較大壓力。而同時，勒索病毒爆發、信息泄露、上級部門要求、法律法規監管等，都在無形中讓學校的信息安全管理壓力越來越大。筆者根據《網絡安全法》和網絡安全等級保護2．0標準的要求，在現有的架構下對東北財經大學校園網絡進行了安全加固設計，提升了校園網主動防御、動態防御、整體防控和精準防護的能力。

1現狀及問題

在互聯網攻擊逐漸從網絡層轉移到應用層的大背景下，學校各類業務系統在開發時難免遺留一些安全漏洞，目前學校安全防護僅在校園網出口部署了網絡層面的安全網關設備，傳統網絡層防火墻在面對層出不窮的應用層安全威脅日漸乏力。黑客利用各種各樣的漏洞發動緩沖區溢出，SQL注入、XSS、CSRF等應用層攻擊，并獲得系統管理員權限，從而進行數據竊取和破壞，對學校核心業務數據的安全造成了嚴重的威脅。數據的重要性不言而喻，尤其對學校的各類學生信息、一卡通等財務數據信息更是安全防護的重中之重，如有閃失，在損害學校師生利益的同時也造成很大的不良影響和法律追責問題。東北財經大學出口7Gbps帶寬，由電信、聯通、移動、教育網等多家運營商組成。隨著學校的網絡規模擴大以及提速降費的背景，互聯網出口將會達到15Gbps帶寬以上，原有的帶寬出口網關弊端顯露：具體包括網關性能不足，無法支持大帶寬，老舊設備無法勝任大流量的轉發工作；IPv6網絡不兼容，無法平滑升級，后續無法滿足國家政策進行IPv6改造的規劃；上網審計和流量控制功能不完善，原有網關未集成上網行為審計功能，未能完全滿足網絡安全法，保障合規上網；不支持基于應用的流量控制，帶寬出口的流量控制效果不佳；對上網行為缺乏有效管理和分析手段，針對學生上網行為沒有好的管理手段和分析方法。同時等級保護2．0也對云安全和虛擬化環境下的網絡安全問題作了要求。東北財經大學信息化建設起步較早，目前校內數據中心的絕大部分已經實現了虛擬化，主要業務系統均在虛擬機上運行，虛擬化技術極大地提升了硬件資源的利用率和業務的高可用性，但現有的120余臺虛擬機的安全隔離和虛擬化環境的東西向流量控制成為安全建設的新問題。為了響應《網絡安全法》以及國家新頒發的網絡安全等級保護2．0的相關要求，提高東北財經大學數據中心的整體安全防護與檢測能力，需要在以下幾個方面進行安全建設：（1）構建安全有效的網絡邊界。主要通過增加學校數據中心的邊界隔離防護、入侵防護、Web應用防護、惡意代碼檢測、網頁防篡改等安全防護能力，減少威脅的攻擊面和漏洞暴露時間。（2）加強對網絡風險識別與威脅檢測。針對突破或繞過邊界防御的威脅，需要增強內網的持續檢測和外部的安全風險監測能力，主要技術手段包括：網絡流量威脅檢測、僵尸主機檢測、安全事件感知、橫向攻擊檢測、終端檢測響應、異常行為感知等。（3）形成全網流量與行為可視的能力。優化帶寬分配，提升師生上網體驗；過濾不良網站和違法言論，保障學生健康上網和安全上網；全面審計所有網絡行為，滿足《網絡安全法》等法律法規要求；在網絡行為可視可控的基礎之上，需要進一步形成校園網絡全局態勢可視的能力。

2網絡安全加固技術方案

按原有拓撲，將東北財經大學校園網劃分為校園網出口區、核心網絡區域、數據業務區域、運維管理區域、校園網接入區五個安全區域，并疊加云端的安全服務。各個區域通過核心網絡區域的匯聚交換與核心交換機相互連接；校園網出口區域有多條外網線路接入，合計帶寬7Gb，為校園網提供互聯網及教育網資源訪問服務；數據業務區部署2套VMware虛擬化集群和1套超云虛擬化集群，承載了學校門戶網站、電子郵件、數字化校園、DNS等各類業務系統；運維管理區域主要負責對整體網絡進行統一安全管理和日志收集；校園網接入區教學樓、辦公樓、圖書館、宿舍樓等子網，存在大量PC終端供學校師生使用；另外學校的教學樓、辦公樓均已實現了無線網絡的覆蓋。在數據業務區域與核心網絡區域邊界部署一臺萬兆高性能下一代防火墻，開啟IPS、WAF、僵尸網絡檢測等安全防護模塊，構建數據業務區融合安全邊界。通過部署下一代防火墻提供網絡層至應用層的訪問控制能力，能夠實現基于IP地址、源／目的端口、應用／服務、用戶、區域／地域、時間等元素進行精細化的訪問控制規則設置；提供專業的漏洞攻擊檢測與防護能力，支持對服務器、口令暴力破解、惡意軟件等漏洞攻擊防護，同時IPS模塊可結合最新威脅情報對高危漏洞進行預警和自動檢測；提供專業的Web應用防護能力，針對SQL注入、XSS、系統命令注入等OWASP十大Web安全威脅進行有效防護，同時提供網頁防篡改、黑鏈檢測以及惡意掃描防護能力，全面保障Web業務安全；提供內網僵尸主機檢測能力，通過雙向流量檢測和熱門威脅特征庫結合，實現對木馬遠控、惡意腳本、勒索病毒、僵尸網絡、挖礦病毒等威脅進行有效識別，快速定位感染主機真實IP地址。在校園網出口區部署高性能上網行為管理，對校園網出口流量進行全面管控，上網行為管理設備部署在核心交換機和出口路由器之間，所有流量都通過上網行為管理處理，實現對內網用戶上網行為的流量管理、行為控制、日志審計等功能，設備提供IPv4／IPv6雙棧協議兼容，有效滿足IPv6建設趨勢下網絡的平滑改造。為了有效管控和審計，設備選型必須能夠全面識別各種應用：（1）支持千萬級URL庫、支持基于關鍵字管控、網頁智能分析系統IWAS從容應對互聯網上數以萬億的網頁、SSL內容識別技術；（2）擁有強大的應用識別庫；（3）識別并過濾HTTP、FTP、mail方式上傳下載的文件；（4）深度內容檢測：IM聊天、網絡游戲、在線流媒體、P2P應用、Email、常用TCP／IP協議等；（5）通過P2P智能識別技術，識別出不常見、未來可能出現的P2P行為，進而封堵、流控和審計。通過強大的應用識別技術，無論網頁訪問行為、文件傳輸行為、郵件行為、應用行為等都能有效實現對上網行為的封堵、流控、審計等管理。同時，也要提供網絡流量可視化方案，管理員可以查看出口流量曲線圖、當前流量應用、用戶流量排名、當前網絡異常狀況（包括DOS攻擊、ARP欺騙等）等信息，直觀了解當前網絡運行狀況。對內網用戶的各種網絡行為流量進行記錄、審計，借助圖形化報表直觀顯示統計結果等，幫助管理員了解流量用戶排名、應用排名等，并自動形成報表文檔，全面掌控用戶網絡行為分布和帶寬資源使用等情況，了解流控策略效果，為帶寬管理的決策提供準確依據。同時支持多線路復用和智能選路功能，通過多線路復用及帶寬疊加技術，復用多條鏈路形成一條互聯網總出口，提升整體帶寬水平。再結合多線路智能選路專利技術，將網流量自動匹配最佳出口。具備全面的合規審計及管控功能，支持對內網用戶的所有上網行為進行審計記錄，滿足《網絡安全法》的要求，能有效防范學生網上不良言論、訪問非法網站等高風險行為，規避法律風險。在數據業務區物理服務和3個虛擬化服務器集群上每臺虛擬機安裝EDR客戶端，針對終端維度提供惡意代碼防護、安全基線核查、微隔離、攻擊檢測等安全能力，打通物理服務器、Vmware集群和超云集群，進行統一的主機／虛擬機邏輯安全域劃分，同時實現云內流量可視、可控，滿足等保2．0云計算擴展項要求。通過部署EDR構建立體可視的端點安全能力，實現全網風險可視，展示全網終端狀態分布，顯示當前安全事件總覽及安全時間分布全網終端安全概覽，支持針對主機參照等級保護標準進行安全基線核查，快速發現不合規項。部署于每臺VM上的端點agent，能夠對云內不同VM、不同業務系統之間的訪問關系、訪問路徑、橫向威脅進行檢測與響應，EDR與虛擬化底層平臺解耦合，解決多虛擬化環境下的兼容性問題，構建動態安全邊界。構建多維度漏斗型檢測框架，EDR平臺內置文件信譽檢測引擎、基因特征檢測引擎、人工智能檢測引擎、行為分析檢測引擎、安全云檢測引擎，從多維度全面發現各類終端威脅。

3結語

通過該方案，提升了威脅防護、風險應對能力。能夠從容應應對勒索病毒、0Day攻擊、APT攻擊、社會工程學、釣魚等新型威脅手段。通過全面的安全可視能力，簡化運維壓力，可以極大降低運維的復雜度，提升安全治理水平，達到了設計要求。

參考文獻

［1］李鍇淞．對于校園網絡建設及網絡安全的探討［J］．數字通信世界息，2019（8）．

［2］李鍇淞，鄒鵬．高校校園網合作運營探索［J］．網絡安全和信息化，2019（9）．

［3］臧齊圣．淺談校園網絡安全防控［J］．計算機產品與流通，2019（9）．

［4］王巖紅．高校校園網安全現狀及優化探討［J］．網絡安全技術與應用，2019（8）．