校园网网络安全方案设计.

目录

第一章校园网安全隐患分析 (3

1.1校园内网安全分析 (3

1.1.1 软件层次安全 (3

1.1.2设备物理安全 (3

1.1.3设备配置安全 (3

1.1.4 管理层次安全 (4

1.1.5 无线局域网的安全威胁 (4

1.2校园外网安全分析 (5

1.2.1黑客攻击 (5

1.2.2不良信息传播 (6

1.2.3病毒危害 (6

第二章设计简介及设计方案论述 (7 2.1校园网安全措施 (7

2.1.1防火墙 (7

2.1.2防病毒 (8

2.1.3无线网络安全措施 (10

2.2 H3C无线校园网的安全策略 (12 2.2.1可靠的加密和认证、设备管理 (12

2.2.2用户和组安全配置 (12

2.2.3非法接入检测和隔离 (13

2.2.4监视和告警 (14

第三章详细设计 (15

3.1 ISA软件防火墙的配置 (15

3.1.1基本配置 (16

3.1.2限制学校用机的上网 (16

3.1.3检测外部攻击及入侵 (16

3.1.4校园网信息过滤配置 (17

3.1.5网络流量的监控 (17

3.1.6无线局域网安全技术 (17

3.2物理地址(MAC过滤 (18

3.2.1服务集标识符( SSID 匹配 (18

3.2.2端口访问控制技术和可扩展认证协议 (20

第一章校园网安全隐患分析

1.1校园内网安全分析

1.1.1 软件层次安全

目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这

些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进

行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。

1.1.2设备物理安全

设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。

1.1.3设备配置安全

设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于

没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。

1.1.4 管理层次安全

一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园

网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网

络不通。如在学生学习机房, 有学生不甚将自己的计算机的IP 地址设置为本网段的网关地址, 这会导致整个学生机房无法正常访问外网。

1.1.5 无线局域网的安全威胁

利用WLAN进行通信必须具有较高的通信保密能力。对于现有的WLAN 产品,它的安全隐患主要有以下几点:

未经授权使用网络服务

由于无线局域网开放式的访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,还会降低合法用户的服

务质量。

地址欺骗和会话拦截

目前有很多种无线局域网的安全技术,包括物理地址(MAC过滤、服务集标识

符(SSID匹配、有线对等保密(WEP、端口访问控制技术(IEEE802.1x、WPA(Wi-Fi Protected Access、IEEE 802.11i等。面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。另外,由于IEEE802.11没有对AP身份

进行认证,攻击者很容易装扮成合法AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。这些合法的MAC地址可以被用来进行恶意攻击。一旦攻击者侵入无线网络,它将成为进一步入侵其他系统的起点。多数学校部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,整个网络就将暴露在非法用户面前。

1.2校园外网安全分析

1.2.1黑客攻击

有的校园网同时与CERNET、Internet 相连, 有的通过CERNET与Internet 相连, 在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。黑客攻击活动日益猖獗, 成为当今社会关注的焦点。典型的黑客攻击有入侵系统攻击、欺骗攻击、拒绝服务攻击、对防火墙的攻击、木马程序攻击、后门攻击等。黑客攻击不仅来自校园外网, 还有相当一部分来自校园网内部, 由于内部用户对网络的结

构和应用模式都比较了解, 因此来自内部的安全威胁会更大一些。

1.2.2不良信息传播

在校园网接入Internet 后, 师生都可以通过校园网络进入Internet 。目前Internet 上各种信息良莠不齐, 其中有些不良信息违反人类的道德标准和有关法律法规, 对人生观、世界观正在形成中的学生危害非常大。特别是中小学生,由于年龄小, 分辨是非和抵御干扰能力较差, 如果不采取切实可行安全措施, 势必会导致这些信息在校园内传播,侵蚀学生的心灵。

1.2.3病毒危害

学校接入广域网后, 给大家带来方便的同时, 也为病毒进入学校之门提供了方便, 下载的程序、电子邮件都可能带有病毒。随着校园内计算机应用的大范围普及, 接入校园网的节点数量日益增多, 这些节点大都没有采取安全防护措施, 随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、甚至系统瘫痪等严重后果。

第二章设计简介及设计方案论述

2.1校园网安全措施

2.1.1防火墙

网络信息系统的安全应该是一个动态的发展过程,应该是一种检测,安全,响应的循环过程。动态发展是网络系统安全的规律。网络安全监控和入侵检测产品正是实现这一目标的必不可少的环节。

网络监控系统是实时网络自动违规、入侵识别和响应系统。它位于有敏感数据需要保护的网络上,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录或执行用户自定义的安全策略等。

1 系统组成

网络卫士监控器:一台,硬件

监控系统软件:一套

PC机(1台,用于运行监控系统软件

2 主要功能

实时网络数据流跟踪、采集与还原网络监控系统运行于有敏感数据需要保护的网络之上,实时监视网络上的数据流,分析网络通讯会话轨迹。如:E-MAIL:监视特定用户或特定地址发出、收到的邮件;记录邮件的源及目的IP地址、邮件的发信人与收信人、邮件的收发时间等。

HTTP:监视和记录用户对基于Web方式提供的网络服务的访问操作过程(如用户名、口令等。

FTP:监视和记录访问FTP服务器的过程(IP地址、文件名、口令等。TELNET:监视和记录对某特定地址主机进行远程登录操作的过程。提供智能化网络安全审计方案网络监控系统能够对大量的网络数据进行分析处理和过滤,生成按用户策略筛选的网络日志,大大减少了需要人工处理的日志数据,使系统更有效。支持用户自定义网络安全策略和网络安全事件

3 主要技术特点

采用透明工作方式,它静静地监视本网段数据流,对网络通讯不附加任何延时,不影响网络传输的效率。可采用集中管理的分布式工作方式,能够远程监控。可以对

每个监控器进行远程配置,可以监测多个网络出口或应用于广域网络监测。网络监控系统能进行运行状态实时监测,远程启停管理。

2.1.2防病毒

为了有效的防止病毒对系统的侵入,必须在系统中安装防病毒软件,并指定严格的管理制度,保护系统的安全性。

1 应用状况

一台专用服务器(NTSERVER、一台代理邮件服务器(NT SERVER&PROXY SERVER,Exchange Server,一台WWW SERVER,一台数据库SERVER, 100-200台客户机。

2 系统要求

能防止通过PROXYSERVER从Internet下载文件或收发的E-mail内隐藏的病毒,并对本地的局域网防护的作用。

3 解决方案

采用的防病毒产品如表2-1所示。

表2-1防病毒产品清单

所需软件的名称安装场所数量保护对象

ServerProtectfor NTServer NTServer 每台NTServer一

套

NT SERVER本身

InterScanWebPr otect ProxyServer 按客户机数量HTTPFTP、用浏览器

下开载的程序

ScanMailforExch angeServer ExchangeSer

ver

按客户机数量有E-Mail的用户

OfficeScancorp 各部门的NT

域服务器按客户机数量自动分发、更新、实

时监察客户机

以下是选用以上Trend公司产品的说明:

在NT主域控制器和备份域上均采用Server Protec for WindowsNT保护NT服务器免受病毒的侵害。另鉴于客户有100-200台客户机,客户端的病毒软件的安装和病毒码更新等工作,造成MIS人员管理上的超负荷,因此推荐采用OfficeScanCorporatcEdition企业授权版OfficeScanCorporateIdition能让MIS人员通过管理程序进行中央控管,软件的分派(自动安装,自动更新病毒码、软件的自动升级。另外在外接Internet和邮件服务器上,采用

InterScanWebProtect和ScanMailForExchange此两种软件是目前唯一能从国际互联网络拦截病毒的软件。设计的理念是,在电脑病毒入侵企业内部网络的入口处-Internet服务器或网关(Gateway上安装此软件,它可以随时监控网关中的ETP、电子邮件传输和Web网页所下载的病毒和恶性程序,并有文件到达网络系统之前进行扫描侦测出来。

2.1.3无线网络安全措施

针对校园应用的安全解决方案,从校园用户角度而言,随着无线网络应用的推进,管理员需要更加注重无线网络安全的问题,针对不同的用户需求,H3C 提出一系列不

同级别的无线安全技术策略,从传统的WEP加密到IEEE 802.11i,从MAC地址过滤到IEEE 802.1x安全认证技术,可分别满足办公室局部用户、园区网络、办公网络等不同级别的安全需求。

对于办公室局部无线用户而言,无线覆盖范围较小,接入用户数量也比较少,没有专业的管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+AP隐藏可以保证基本的安全级别。

在学校园区无线网络环境中,考虑到网络覆盖范围以及终端用户数量,AP 和无线网卡的数量必将大大增加,同时由于使用的用户较多,安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心,使用H3C虚拟专用组(Vertual Private Group管理器功能并通过后台的Radius服务

器进行用户身份验证,有效地阻止未经授权的用户接入,并可对用户权限进行区分。

如果应用无线网络构建校园的办公网络,此时无线网络上承载的是工作业务信息,其安全保密性要求较高,因此用户认证问题就显得更加重要。如果不能准确可靠地进行用户认证,就有可能造成帐号盗用、非法入侵的问题,对于无线业务网络来说是不可以接受的。专业级解决方案可以较好地满足用户需求,通过H3C虚拟专用组(VPG管理器功能、IEEE802.11i加密、Radius的用户认证确保高安全性。具体安全划分及技术方案选择如表2-2所示。

表2-2安全划分及技术方法选择

安全级别典型场合使用技术

初级安全办公室局部无线用户WPA-PSK+AP隐藏

中级安全学校园区无线网IEEE802.1x认证+TKIP加密+VPG管

理

专业级安全无线校园办公网VPG管理+IEEE802.11i+Radius认证为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容,IEEE802.11工作组开发了作为新的安全标准的IEEE802.11i ,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i 标准中主要包含加密技术:TKIP (Temporal Key Integrity Protocol 和AES(Advanced Encryption Standard,以及认证协议:IEEE802.1x 。IEEE 802.11i标准已在2004年6月24美国新泽西的IEEE标准会议上正式获得批准。

2.2 H3C无线校园网的安全策略

针对目前无线校园网应用中的种种安全隐患,H3C的无线局域网产品体系能够提供强有力的安全特性,除了传统无线局域网中的安全策略之外,还能够提供更加精细的管理措施。

2.2.1可靠的加密和认证、设备管理

能够支持目前802.11小组所提出的全部加密方式,包括高级WPA 256位加密(AES,40/64位、128位和152位WEP共享密钥加密,WPA TKIP,特有的128位动态安全链路加密,动态会话密钥管理。802.1x 认证使用802.1x RADIUS认证和MAC 地址联合认证,确保只有合法用户和客户端设备才可访问网络;WPA TKIP认证采用EAP-MD5,EAP-TLS和PEAP协议,扩展的证书认证功能更加保证用户身份的严格鉴定。

支持通过本地控制台或通过SSL或HTTPS集中管理Web浏览器;通过本地控制台或通过SSH v2或Telnet远程管理的命令行界面;并可通过无线局域网管理系统进行集中管理。

2.2.2用户和组安全配置

和传统的无线局域网安全措施一样,H3C无线网络可以依靠物理地址(MAC过滤、服务集标识符(SSID匹配、访问控制列表(ACL来提供对无线客户端的初始过滤,只允许指定的无线终端可以连接AP。

同时,传统无线网络也存在它的不足之处。首先,它的安全策略依赖于连接到某个网络位置的设备上的特定端口,对物理端口和设备的依赖是网络工程的基

础。例如,子网、ACL 以及服务等级(CoS在路由器和交换机的端口上定义,需要通过台式机的MAC地址来管理用户的连接。H3C采用基于身份的组网功能,可提供增强的用户和组的安全策略,针对特殊要求创建虚拟专用组(Vertual Private Group,VLAN不再需要通过物理连接或端口来实施,而是根据用户和组名来区分权限。并且,H3C无线网络可以对无线局域网进行前所未有的控制和观察,监视工具甚至可以跟踪深入到个人的信息(无论他的位置在哪里,网络标识基于用户而不是基于物理端口或位置。其次,H3C无线网络简化了SSID 支持,不再需要多个SSID来支持漫游和授权策略;单个SSID足以支持漫游、跨子网漫游或包括VLAN或子网成员资格的授权策略。大量的可配置监视工具用于收集用户数据(例如位置、访问控制和安全设置和识别用户身份。此外,使用H3C虚拟专用组(Vertual Private Group管理器功能,可以为用户和组分配特定的安全和访问策略,从而获得最大的灵活性,同时增强网络安全性并显著缩短管理时间。用户不仅可更改单个用户设置,还可以只通过简单的几次击键操作即可从中央管理控制台方便地配置相似的用户组、AP组,而不必逐个配置AP。

2.2.3非法接入检测和隔离

H3C无线网络可自动执行的AP射频扫描功能通过标识可去除非法AP,使管理员能更好地查看网络状况,提高对网络的能见度。非法AP通过引入更多的流量来降低网络性能,通过尝试获取数据或用户名来危及网络安全或者欺骗网络以生成有害的垃圾邮件、病毒或蠕虫。任何网络中都可能存在非法AP,但是网络规模越大就越容易受到攻击。

为了消除这种威胁,可以指定某些AP充当射频“卫士”,其方法是扫描无线局域网来查找非法AP位置,记录这些位置信息并采取措施以及为这些位置重新分配信道以使网络处于连接状态并正常运行。AP射频扫描程序还会检测并调整引起射频干扰的其他来源,例如微波炉和无绳电话。并且,射频监测配合基于用户身份的组网,不但可使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容,还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。

2.2.4监视和告警

H3C无线网络体系提供了实时操作信息,可以快速检测到问题,提高网络的安全性并优化网络,甚至还可以定位用户。网络管理应用程序针对当今的动态业务而设计,它提供了配置更改的自动告警功能。向导界面提供了即时提示,从而使得管理员能够快速针对冲突做出更改。

通过使用软件的移动配置文件功能,管理者可以在用户或用户组漫游整个无线局域网时控制其访问资源的位置。此外,位置策略能够根据用户的位置来阻止或允许对特殊应用程序的访问。

第三章详细设计

网络安全系统规划是一个系统建立和优化的过程,建设网络的根本目的是在Internet上进行资源共享与通信。要充分发挥投资网络的效益,需求设计成为网络规划建设中的重要内容,网络平台中主要有针对学校建筑群而设计出的拓扑图,有互联网设备(主交换机、路由器、二级交换机、服务器等。校园内部网络采用共享或者交换式以太网,选择中国科研教育网接入Internet,校际之间通过国际互联网的方式互相连接。同时采取相应的措施,确保通讯数据的安全、保密。

另外为了防止这个校区内病毒的传播、感染和破坏,我们在校园网内可能感染和传播病毒的地方采取相应的防毒措施,部署防毒组件,规划如下:在学校服务上安装

服务器端杀毒软件;在行政、教学单位的各个分支分别安装客户端杀毒软件;学校的网络中心负责整个校园网的升级工作,分发杀毒软件的升级文件(包括病毒定义码、扫描引擎、程序文件等到校内所有用机,并对杀毒软件网络版进行更新。

3.1 ISA软件防火墙的配置

校园网内的软件防火墙采用ISAServe,之所以采用防火墙,是因为ISA Server是一种新型的应用层防火墙,避免服务的弱点及漏洞的攻击,同时支持VPN功能及充当Web代理服务器,并能提供详细的日志报告。安装示意图如图3-1所示。

图3-1 ISA安装示意图

3.1.1基本配置

通过ISA Serve中的ISA Management项中的Services标签,启动集成模式中的三个服务,就可以使用ISA的所有默认功能。同时须打开IP Routing功能、访问权限功能、访问策略功能、统一管理等。

3.1.2限制学校用机的上网

首先要定义组,通过在ISA Server软件防火墙的Client Address Sets标签中新建一个组名的标识,按照机房用机的IP地址范围进行添加,在Protocol Rules中选中协议规则后切换到Applies to标签,选中Client Address Sets specified below,加入设定的组即可。这样就可以先知学校其他用机随意上网。

3.1.3检测外部攻击及入侵

可以通过配置ISA Server来监测常见的校园网络攻击。在ISA Serve中启用入侵检测后,ISA Server一检测到攻击,就会向Windows2000事件日志中发消息。要启用ISA Server的入侵检测功能,应在ISA Server管理窗口中选择

服务器名称中的IP Packet Filters Properties选项,勾选Enable Intrusion detection,即打开ISA Server的入侵检查功能。

3.1.4校园网信息过滤配置

校园网中拟采用“过滤王”来实现有效的过滤反动、色情、邪教等有害校园氛围的信息,硬件配置包括一个读卡器、一张软件光盘和若干上网卡。“过滤王”主要负责监控、过滤、记录相应的日志(加密并适时向网络中心上传数据。在软件管理终端,管理员选择“类别”和“记录日期”,点击“查看按钮”,就可以查看网络日志和操作日志,此外,安装“过滤王”软件终端程序包括核心和控制台两部分,核心程序安装在中心交换机以及学校机房的代理服务器上,在监控的网卡列表中选测内网网卡,进行通信的网卡也指定为内网网卡即可。将控制台程序安装在服务器机房上的应用服务器上,操作系统安装为Win2000。安装完成后,控制台程序所在的服务器IP地址就是安装核心程序的中心交换机IP。

3.1.5网络流量的监控

STARVIEW在网络初步异常的情况下,能进一步查看网络中的详细流量,从而为网络故障的定位提供丰富数据支持。

3.1.6无线局域网安全技术

通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。

3.2物理地址(MAC过滤

每个无线客户端网卡都由唯一的48位物理地址(MAC标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC 地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC 地址来非法接入,如图3-2所示。

图3-2 MAC地址的过滤图

3.2.1服务集标识符( SSID 匹配

无线客户端必须设置与无线访问点AP相同的SSID,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务集上网。利用SSID 设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。可以通过设置隐藏接入点(AP及SSID的权限控制来达到保密的目的,因此可以认为SSID 是一个简单的口令,通过提供口令认证机制,实现一定的安全,具体的服务集标识匹配如图3-3所示。

图3-3 服务集标识匹配

在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。在标准中,加密密钥长度有64位和128位两种。其中有24Bit的IV 是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位,加密原理如图3-4所示。

图3-4 WEP加密原理图

WEP加密原理如下:

1、AP先产生一个IV,将其同密钥串接(IV在前作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度的密钥序列;

2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;

3、将上述两步的结果按位异或生成加密数据;

4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID 在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则Key ID 为0,如果使用Default Key,则Key ID为密钥索引(0-3其中之一。

3.2.2端口访问控制技术和可扩展认证协议

IEEE802.1x 并不是专为WLAN设计的。它是一种基于端口的访问控制技术。

该技术也是用于无线局域网的一种增强网络安全解决方案。当无线工作站STA 与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络,具体原理如图3-5所示。

图3-5 802.1x端口控制

在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。

1.当用户有网络违接需求时打开 80

2.1x 宠户端程序，输入已经申请、登记过的用户名和口令，发起违接请求。此时，宠户端程序将发出请求认证的报文给AP，开始吭劢一次认证过程。 2.AP 收到请求认证的数据帧后，将发出一个请求帧要求用户的宠户端程序将输入的用户名送上来。

3.宠户端程序响应 AP 发出的请求，将用户名信息通过数据帧送给 AP。AP 将宠户端送上来的数据帧经过封包处理后送给认证服务器迚行处理。

4.认证服务器收到 AP 转发上来的用户名信息后，

将该信息不数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它迚行加密处理，同时也将此加密字传送给 AP，由 AP 传给宠户端程序。 5.宠户端程序收到由 AP 传来的加密字后，用该加密字对口令部分迚行加密处理(此种加密算法通常是丌可逆的，幵通过 AP 传给认证服务器。 6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息迚行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，幵向 AP 发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，幵保持 AP 端口的关闭状态，只允许认证信息数据通过而丌允许业务数据通过。 WPA (Wi-Fi Protected Access WPA = 802.1x + EAP + TKIP + MIC 在 IEEE 802.11i 标准最终确定前， WPA 标准是代替 WEP 的无线安全标准协议， IEEE 802.11 无线局域网提供更强大的安全性能。为 WPA 是 IEEE802.11i 的一个子集，其核心就是 IEEE802.1x 和 TKIP。 21

认证在 802.11 中几乎形同虚设的认证阶段，到了 WPA 中变得尤为重要起来，它要求用户必须提供某种形式的证据来证明它是合法用户，幵拥有对某些网络资源的访问权，幵丏是强制性的。 WPA 的认证分为两种：第一种采用

802.1x+EAP 的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器(一般是 RADIUS 服务器来实现。在大型网络中，通常采用这种方式。但是对亍一些中小型的网络戒者个别用户，架设一台与用的认证服务器未免代价过亍昂贵，维护也很复杂，因此 WPA 也提供一种简化的模式，它丌需要与门的认证服务器，这种模式叫做 WPA 预共享密钥(WPA-PSK，仅要求在每个 WLAN 节点 (AP、无线路由器、网卡等预先输入一个密钥即可实现。只要密钥吮合，宠户就可以获得 WLAN 的访问权。由亍这个密钥仅仅用亍认证过程，而丌用亍加密过程，因此丌会导致诸如使用 WEP 密钥来迚行 802.11 共享认证那样严重的安全问题。加密 WPA 采用 TKIP 为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器劢态生成分发的密钥来取代单个静态密钥、把密钥首部长度从 24 位增加到 48 位等方法增强安全性。而丏，TKIP 利用了 802.1x/EAP 构架。认证服务器在接受了用户身仹后，使用 802.1x 产生一个唯一的主密钥处理会话。然后，TKIP 把这个密钥通过安全通道分发到 AP 和宠户端，幵建立起一个密钥构

架和管理系统，使用主密钥为用户会话劢态产生一个唯一的数据加密密钥，来加密每一个无线通信数据报文。TKIP 的密钥构架使 WEP 静态单一的密钥变成了500 万亿可用密钥。虽然 WPA 采用的还是和 WEP 一样的 RC4 加密算法，但其劢态密钥的特性很难被攻破。 22

消息完整性校验(MIC，是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和 802.11 一样继续保留对每个数据分段(MPDU迚行 CRC 校验外， WPA 为 802.11 的每个数据分组(MSDU都增加了一个 8 个字节的消息完整性校验值，这和 802.11 对每个数据分段(MPDU迚行 ICV 校验的目的丌同。 ICV 的目的是为了保证数据在传输途中丌会因为噪声等物理因素导致报文出错，因此采用相对简单高敁的 CRC 算法，但是黑宠可以通过修改 ICV 值来使乊和被篡改过的报文相吮合，可以说没有仸何安全的功能。而 WPA 中的 MIC 则是为了防止黑宠的篡改而定制的，它采用 Michael 算法，具有很高的安全特性。当 MIC 发生错误的时候，数据很可能已经被篡改，系统很可能正在受到攻击。此时， WPA 还会采取一系列的对策，比如立刻更换组密钥、暂停活劢 60 秒等，来阻止黑宠的攻击。

23

浅谈校园网网络安全设计与方案

浅谈校园网网络安全设计与方案 随着互联网的高速发展和教育信息化进程的不断深入，校园网在学校教学、科研和管理中的作用越来越重要，校园网越来越得到普及，同时学校校园网络安全问题也日益突出，而制定一个完善的网格解决方案成为重要。因此网络的安全防护需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。 一、网络信息安全系统设计对策 为了满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet信息安全实施分级管理的解决方案，可以对它的控制点分为三级实施安全管理。[1] 第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。 需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。[2] 一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。[3]可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。 二、网络信息安全系统设计步骤 第一步：进行网络安全需求分析，确立合理的目标基线和安全策略

校园网络方案设计

校园网络方案设计 校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。下面是本人收集整理的校园网络方案设计，希望对您有所帮助！ 校园网络方案设计一、学校需求分析 随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学校领导、广大师生们已经充分认识到这一点，学校未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 调研情况 学校有几栋建筑需纳入局域网，其中原有计算机教室将并入整个校园网络。根据校方要求，总的信息点将达到 3000个左右。信息节点的分布比较分散。将涉及到图书馆、实验楼、教学楼、宿舍楼、食堂等。主控室可设在教学楼的一层，图书馆、实验楼和教学楼为信息点密集区。

需求功能 校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学校办公质量和效率，以促进学校整体教学水平的提高。 二、设计特点 根据校园网络项目，我们应该充分考虑学校的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术，为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学校的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护学校的投资。学校借助校园网的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。学校校园网具体功能和特点如下： 技术先进 采用千兆以太网技术，具有高带宽1000Mbps 速率的主干，100Mbps 到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护用户投资； 网络设备选型为国际知名产品，性能稳定可靠、技术先

校园网络安全知识

校园网络安全知识 常见的几种网络安全问题 1.陷入网络游戏中欲罢不能，玩了第一级，就想玩到第二级、第三级……玩者在游戏过程中为了获得荣誉、自尊，不惜出卖友谊、信誉，对同伴欺骗、讹诈甚至施暴。 2.玩游戏不仅花费他们所有的业余时间，而且一旦上瘾就很难控制自己甚至不想上学，经常旷课、逃学，成绩下降，导致退学。 3.网络还隐藏着其它陷阱。网上聊天交友是学生喜欢的“节目”，但在虚拟环境下交网友比现实生活中要更加警惕，以防上当受骗。 4.过度使用互联网，使自身的社会功能、工作、学习和生活等方面受到严重的影响和损害。长时间的上网会造成不愿与外界交往，行为孤僻，丧失了正常的人际关系。 上网要警惕哪些心理健康问题 1.计算机依赖成瘾。使用者没有任何明确目的，不可抑制地长时间操作计算机或上网浏览网页、玩游戏等，几乎每天上网5-6个小时，常熬夜上网，网瘾日益严重。 2.网络交际成瘾。在现实生活中不愿和人直接交往，不合群，沉默寡言，但喜欢网络交际，经常上网聊天或通过其他网络交流方式与人交流思想情感，一天不上网交际就浑身不舒服。 3.网络色情成瘾。上网者迷恋网上的所有色情音乐、图片以及影像等。有专家指出每周花费11小时以上用来漫游色情网站的人，就有色情成瘾的嫌疑。

4.强迫信息收集成瘾。这包括强迫性地从网上收集无用的、无关紧要的或者不迫切需要的信息。 5.游戏成瘾。包括不可抑制地长时间玩计算机游戏，这是较普遍存在的现象，不但用家中的电脑可以轻松地进行连网游戏，遍街的电脑网吧更是绝佳的去处，既可以逃避家长的耳目，还可众人一起连机，使游戏更加的刺激有趣。 6.如果一段时间不能上网，就会产生失落感、焦虑症、空虚感，烦躁不安，想找人吵架或想攻击别人；有的心情郁闷，产生悲观厌世情绪和自杀念头。 如何摆脱网络成瘾症 如果你觉得网瘾太大，自己抵抗力太小，那么以下的三条具体建议，可以帮助你预防网络成瘾症： 1.不要把上网作为逃避现实生活问题或者消极情绪的工具。“借网消愁愁更愁”。理由是，上网逃脱不了现实，逃得过初一，逃不过十五。更重要的是，因为你的上网行为在不知不觉中已经得到了强化，网瘾加重。 2.上网之前先定目标。每次花两分钟时间想一想你要上网干什么，把具体要完成的任务列在纸上。不要认为这个两分钟是多余的，它可以为你省10个两分钟，甚至100个两分钟。 3.上网之前先限定时间。看一看你列在纸上的任务，用1分钟估计一下大概需要多长时间。假设你估计要用40分钟，那么把小闹钟定到20分钟，到时候看看你进展到哪里了。 总之，我们在享受高科技带来的全新概念时，不能忘记很重要的一个原则：网络的精彩绝伦、快速便捷以及其他的种种优点都不能完完全全地替代现实生活，网络生活只能作为现实生活的一部分。

校园网络规划方案

校园网规划设计方案 21 世纪将是人类全面进入信息化社会的世纪， 21 世纪的教育必须适应信息化社会对教育的需求。为此，各个国家高度重视信息技术对教育的影响和作用，重新调整教育目标，制定教育改革方案，加快推进教育信息化建设。近年来我国也开始重视并特别强调教育信息化。另一方面，在高等教育竞争日趋激烈的大环境下，建设数字化校园，实现教育信息化，强化各项管理，提升综合实力，是各高校的一项紧迫任务。今后学生选择高校，不光是听口碑，看师资，更直接的是通过Internet，接触各所高校的教学科研基本情况。所以，从某种意义上讲，数字化校园还是学校的一Internet名片，一个永远放映的宣传片。一流的高校必将拥有一流的数字化校园并通过此窗口向世界展示自身的实力和形象。 1数字化校园的概念 数字校园是在传统校园的基础上，利用先进的信息化手段和工具，将现实校园的各项资源数字化，形成的一个数字空间，使得现实校园在时间和空间上延伸开来。它是以网络为基础，从环境（包括设备、教室等）、资源（如图书、讲义、课件等）、到活动（包括教学、管理、服务、办公等）的全部数字化。 应用管理：为应用程序设定一系列外部接口规，使得遵循标准的应用能够方便地集成，接口规分为核心集、扩展集和可选集，支持不同级别接口规的应用的集成度不同； 用户管理与认证：提供统一的用户管理与认证，并提供用户单点登录； 权限管理：为用户和应用、以及应用之间的访问权限管理提供统一的规，使得新应用能够被自动发现并被用户使用； 数据交换：提供统一的信息视图和标准的数据交换服务，使得应用之间数据交换规化。 资源检索和查询：提供给用户方便的检索功能，使用户在众多的数字化校园中迅速查找到自己所需要的资源和信息。 管理信息系统：包括教务、科研、财务、人力资源、设备资产、档案等各种管理信息系统等； 数字图书馆：将学校中各种数字图书资源（包括期刊、书籍、论文等）

学生网络安全方案设计4.doc

学生网络安全方案设计4 学生网络安全方案设计 网络安全关系到每一个人，今天小编要给大家介绍的便是学生网络安全方案设计，欢迎阅读！ 学生网络安全方案设计(一) 围绕学校二一六年工作重点，坚持科学发展观，充分发挥学校网络中心的技术指导的管理职能，强化服务意识、责任意识、发展意识，巩固我校教育信息化成果，不断完善信息化建设水平，大力推进教育现代化进程，科学、规范、高效抓管理，求真、务实、优质育人才，努力争创省级教学示范学校，办优质初中教育。 1、采取切实可行的措施，加强对校园网的管理，继续完善相关规章制度，落实各项管理措施，确保学校网络安全畅通。学校要继续完善相关的网络制度，杜绝网络信息安全事故的发生，确保网络畅通，更好的服务与教育教学工作。采取积极可行的措施，在保证网络畅通的情况下，杜绝教师上网聊天、打扑克、玩游戏等不良现象的发生。管理员及全体教师都要深入研究网络应用问题，充分发挥网络的作用，提高教育教学质量。 2、网络防毒。加强对教师信息技术的培训力度，使教师学会使用杀毒软件进行计算机病毒的查杀，确保学校网络畅通。基本上解决网络病毒在我校各计算机上的传播，保证网络不因病毒而导致堵塞、停网等现象的发生。 加强学校校园网网站建设和应用力度，使其服务于教学、

服务于德育、服务于管理;服务于学生、服务于教师、服务于社会。管好用好校园网，要有相当一部分学生也建有自己的学习网页。通过建设各种学习主页，广泛吸引学生、教师和家长及社会各界人士驻站，增强学校在社会上的良好形象，扩大学校知名度。管理员要不断学习相关业务知识，不断提高自己的业务能力，树立服务于教学的思想，管好用好校园网，不断更新网站内容，建设有自己独特风格的学校网站。 加强信息技术知识的培训与应用。学校将组织专人进行不同层次的培训班，加强培训指导，教师要将学习走在前头，自觉地学。大力提倡电子备课。 把学校微机室建“成绿色机房”，利用课余时间、休息日、节假日对学生开放，为广大学生提供健康、安全的网络学习环境。采取得力措施，杜绝师生玩电脑游戏，建设“无游戏校园”。 学生网络安全方案设计（二) 随着教育信息化建设工作的不断发展，我市部分学校建设了校园网，但由于在信息安全管理方面经验不足，措施不力，导致各室网络存在一定的信息安全隐患。为认真贯彻教育部以《教育部关于加强教育行业网络与信息安全工作的指导意见》的通知(教技发〔20xx〕4号)精神，充分利用校园网络为教育教学服务，进一步加强校园网络安全管理工作。 一、强化领导，提升校园网络安全防范意识。本着自主 防护，明确责任，按照“谁主管、谁主办、谁负责”的原则，切实落实网络与信息安全责任，加强工作领导，细化管理分工，落实责任到人，建立有效防范、及时发现、果断处置有害信息的工作机制。学校要建立健全安全管理组织机构，校长是网络安全

校园网络规划设计方案

校园网络设计方案

第一章建网原则 实际上，我国中小学所耗费的信息技术投入远不止上述经费。国人在进行投入的过程中总是追求时髦、讲面子。不考虑学校的实际情况，严重脱离中国的国情和经济发展现状，要知道我们一直是世界上人均收入排名在一百多位的发展中国家。 接着全国兴起了装备计算机的热潮，重点中学和好一点的乡镇中小学开始全面装备286、386计算机，当时的计算机每台近两万元左右，使用不到两年，软件升级，WINDOS全面取代DOS系统，286、386计算机全面淘汰（由此全国又损失数百亿元）.这时候486计算机全面登场，并立即淘汰，586以及档次与配置更高的计算机面世。我们的学校在这场计算机的变革中，就不停的跟在后面赶，不停的被淘汰，由于有些学校领导片面追求时髦、面子，而给学校和国家造成了无法估计的损失。 现在教育部提出：一定的时间内在国内普及信息技术教育，实行"校校通"工程；可是由于一些大的计算机厂家在不停的炒作，进行误导，使得我们有些学校校长、少数教育领导干部头脑发热起来了，认为：校校通就是校园网，校园网就是计算机网；学校为了完成上面下达的任务，不顾本校的实际情况，不顾当地的实际情况，大规模的建

设计算机网，造成学校大量负债，而这个所谓的校园网自从建立起 来后就面临着淘汰，为什么呢？目前，我国大部份的学校连基本的广播网、有线电视网都没有，有的学校的教师连计算机的最简单的常识也没有，更谈不上如何使用它们。在上述情况下，我们在进行校园网建设的过程中应该保持清醒的头脑，花最少的钱、获得最大的效果。 校园网络作用主体不清 建立一个好的校园网络系统包括广播系统、教学管理系统、计算机网络系统等等。计算机网络系统是校园网络系统中的一个组成部份。他们之间是相互补充、相互完善，而不是相互取代的。建设校园网的目的是用于老师传授知识和学生获得知识。传授知识有三种方式：图像，声音，文字。现在一般的人重视的是文字方面知识传授,而忽略 了用图像和声音进行大众的知识传授。文字是声音和图像的补充和记载。从传播知识的作用范围来讲，广播系统传播的范围最广。从设备的增值性来看：最实用的是计算机，其次是教育系统应用软件和广播系统。因此，我们在建校园网时，应先从简易经济和适用的系统做起，再建计算。 第二章校园网的规划设计 2．1校园网建设核心 随着网络规模的扩大和用户数量迅速增加，并且由于院校合并形成了分布于多个校区的校园网，网络结构日趋复杂，网络结点数剧

校园网安全防护解决方案

校园网安全防护解决方案 随着校园网接入互联网以及其它各种应用的增多，校园网上的各种数据也急剧增加，我们在享受网络带来便利的同时，各种各样的安全问题也就开始困扰我们每一个网络管理人员，如何保证校园网不被攻击和破坏，已经成为各个学校校园网络管理的重要任务之一。本文针对这类问题提出了相应的解决方案，使校园网能够有效应对网络应用带来的安全威胁和风险，以确保校园网系统的安全。 一、校园网安全风险分析 校园网络作为学校信息平台重要的基础设施，担负着学校教学、科研、办公管理和对外交流等责任。在网络建成应用的初期，安全问题还不十分突出，但随着应用的深入，校园网上的各种数据也急剧增加，各种各样的安全问题也就开始困扰我们。对校园网来说，谁也无法保证其不受到攻击，不管攻击是有意的还是无意的，也不管这种攻击是来自外部还是来自内部网络。操作系统、数据库系统、网络设备、应用系统和网络连接的复杂性、多样性和脆弱性使得其面临的安全威胁多种多样。校园网络系统可能面临的安全威胁可以分为以下几个方面： ⒈物理层的安全风险分析 网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。我们在考虑校园网络安全时，首先要考虑物理安全风险，它是整个网络系统安全的前提。物理安全风险有：设备被盗、被毁坏，线路老化或被有意或者无意的破坏，通过搭线窃取数据，电子辐射造成信息泄露，设备意外故障、停电，地震、火灾、水灾等自然灾害。 ⒉网络层安全风险分析 网络层是网络入侵者进攻信息系统的渠道和通路。许多安全问题都集中体现在网络的安全方面。由于网络系统内运行的TPC/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。校园网是一个应用广泛的局域网，且接入了互联网，如何处理好校园网网络边界的安全问题，直接关系到整个校园网网络系统的稳定运行和安全可控；另一方面，由于校园网中使用到大量的交换机、路由器等网络设备，这些设备的自身安全性直接影响到校园网和各种网络应用的正常运转。例如，路由器口令泄露，路由表配置错误，ACL设置不当等均会

校园网网络安全设计方案

[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息，在对网络系统详细的需求分析基础上，依照计算机网络安全设计目标和计算机网络安全系统的总体规划，设计了一个完整的、立体的、多层次的网络安全防御体系。 [关键词] 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器（CPU）、加密运算协处理器（CAU）、只读存储器（ROM），随机存储器（RAM）、电可擦除可编程只读存储器（E2PROM）等，以及固化在ROM内部的芯片操作系统COS（Chip Operating Sys tem）、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的Sm artCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。

校园网设计方案(经典版)

校园网设计方案(此文档为word格式，可任意修改编辑！）方案1:

一个完整的校园网建设主要包括两个内容：技术方案设计；应用信息系统资源建设。 技术方案设计主要包括：结构化布线与设备选择、网络技术选型等；应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等。这里我们介绍网络技术选型。 一、网络技术选型设计 校园网络系统基本可分为校园网络中心、教学子网、办公子网、图书馆子网、宿舍子网及后勤子网等。 1.校园网络中心的设计 网络中心设计主要包括主干网络的设计、校园网与Internet的互连、远程访问服务等。 (a)主干网络的设计 主干网络采用联想新推出的LS－5608G智能型8联机箱式千兆以太网交换机作为校园网的中心交换机，它提供8个插槽，可选插8联的10/100Base－TX、2联的100Base－FX或1联的千兆以太网模块。适用于大型主干网络和高速率、高端口密度、多端口类型的复杂网络。

同时可以选择MS－5103千兆位以太网模块(SX/MM/850nm,0－350m)或MS－5104千兆以太网模块(LX/SM/1310nm,0－6km)与下面的各个子网通过千兆位的链路相连。 (b)校园网与Internet的互连： 推荐采用局域网专线接入方式，此方式需要配备路由器等设备，租用专线DDN或帧中继（Frame Relay），也可申请ISDN专线并向CERNET 管理部门申请IP地址及注册域名，以专线方式连入Internet，并提供防火墙、计费管理等功能。 本方案选用联想的LR－2501路由器，具有1个局域网(LAN)，2个广域网(WAN)和1个控制台。支持帧中继(Frame－Relay)、X.25、PPP、HDLC协议。 (c)远程访问服务 采用联想LA－220和LA－240访问服务器，安装在本地局域网中，通过1至4个调制解调器(或ISD TA)和1至4根电话线，即可为远程访问人员提供拨号上网服务，远程用户只需拥有1个调制解调器和1根电话线，通过拨接LA－220或LA－240上所连接的电话号码，就可以登录访问。

校园网络安全教育总结

校园网络安全教育总结 总结，是对过去一定时期的工作、学习或思想情况进行回顾、分析，并做出客观评价的书面材料。按内容分，有学习总结、工作总结、思想总结等，按时间分，有年度总结、季度总结、月份总结等。人们常常对已做过的工作进行回顾、分析，并提到理论高度，肯定已取得的成绩，指出应汲取的教训，以便今后做得更好。 校园网络安全教育总结一：根据某局XXXXXX文件精神，结合我局工作实际，近日对照检查内容开展了安全自查工作。 现将自查情况报告如下： 为妥善地完成网络安全工作，消除网络安全隐患，我局成立了以分管副局长为组长的网络安全工作领导小组，其中办公室、网监科的科长为副组长，各科室负责人为小组成员，以加强对网络安全工作的领导。严格按照上级部门要求，积极完善各项安全制度，保证了网络安全持续稳定运行。 基本情况 为保证网络安全工作顺利开展，我局先后投入资金30余万元，购置绿盟数据库审计系统2套、盈高入网准入控制1套。办公电脑均安装了360三件套(卫士、杀毒、浏览器)，

采取了360企业版安全防护模式，机房配备了入侵检测系统 1台、上网行为管理1台、千兆防火墙2台。同时在每个基层单位确定一名信息联络员，具体负责基层单位日常网络安全维护。我局目前是通过乐清市政府电子政务网访问互联网，我局的外网网站在市政府电子政务网的防火墙保护下。 我局制定了网络安全工作的各项信息管理制度制度。包括人员管理、机房管理、资产和设备管理、数据和信息安全管理、系统建设和运行维护管理等制度，涉及国家秘密、要害部门管理、计算机及信息系统管理、通信及办公自动化设备管理、网络安全监督检查、政府信息公开网络安全审查、涉密事件报告查处、责任考核与奖惩等基本制度均在上述管理制度中有涉及到。同时，我局加强网络安全教育、宣传，使有关人员了解网络安全的危害，设立责任意识。 我局的信息安全产品都采购国产厂商的产品，未采用国外信息安全产品。信息系统和重要数据的均自行维护，信息安全产品售后服务由厂家提供服务。 信息系统等级测评和安全建设整改情况。 20xx年10月oa系统通过等保2级，该信息系统未变化，所以无需作备案变更;目前暂无新建信息系统需要定级备案。 1、重要的网站还未开展信息系统定级备案、等级测评。

校园网网络安全方案设计.

目录 第一章校园网安全隐患分析 (3 1.1校园内网安全分析 (3 1.1.1 软件层次安全 (3 1.1.2设备物理安全 (3 1.1.3设备配置安全 (3 1.1.4 管理层次安全 (4 1.1.5 无线局域网的安全威胁 (4 1.2校园外网安全分析 (5 1.2.1黑客攻击 (5 1.2.2不良信息传播 (6 1.2.3病毒危害 (6 第二章设计简介及设计方案论述 (7 2.1校园网安全措施 (7 2.1.1防火墙 (7 2.1.2防病毒 (8 2.1.3无线网络安全措施 (10 2.2 H3C无线校园网的安全策略 (12 2.2.1可靠的加密和认证、设备管理 (12

2.2.2用户和组安全配置 (12 2.2.3非法接入检测和隔离 (13 2.2.4监视和告警 (14 第三章详细设计 (15 3.1 ISA软件防火墙的配置 (15 3.1.1基本配置 (16 3.1.2限制学校用机的上网 (16 3.1.3检测外部攻击及入侵 (16 3.1.4校园网信息过滤配置 (17 3.1.5网络流量的监控 (17 3.1.6无线局域网安全技术 (17 3.2物理地址(MAC过滤 (18 3.2.1服务集标识符( SSID 匹配 (18 3.2.2端口访问控制技术和可扩展认证协议 (20 第一章校园网安全隐患分析 1.1校园内网安全分析 1.1.1 软件层次安全 目前使用的软件尤其是操作系统或多或少都存在安全漏洞, 对网络安全构成了威胁。现在网络服务器安装的操作系统有UNIX、Windows NTP2000、Linux 等, 这

些系统安全风险级别不同, UNIX因其技术较复杂通常会导致一些高级黑客对其进 行攻击; 而Windows NTP2000 操作系统由于得到了广泛的普及, 加上其自身安全漏洞较多, 因此, 导致它成为较不安全的操作系统。在一段时期、冲击波病毒比较盛行, 冲击波这个利用微软RPC 漏洞进行传播的蠕虫病毒至少攻击了全球80 %的Windows 用户, 使他们的计算机无法工作并反复重启, 该病毒还引发了DoS攻击, 使多个国家的互联网也受到相当影响。 1.1.2设备物理安全 设备物理安全主要是指对网络硬件设备的破坏。网络设备包括服务器、交换机、集线器、路由器、工作站、电源等, 它们分布在整个校园内, 管理起来非常困难。个别人可能出于各种目的, 有意或无意地损坏设备, 这样会造成校园网络全部或部分瘫痪。 1.1.3设备配置安全 设备配置安全是指在设备上要进行必要的一些设置(如服务器、交换机、防火墙、路由器的密码等 , 防止黑客取得硬件设备的控制权。许多网管往往由于 没有在服务器、路由器、防火墙或可网管的交换机上设置必要的密码或密码设置得过于简单, 导致一些略懂或精通网络设备管理技术的人员可以通过网络轻易取得对服务器、交换机、路由器或防火墙等网络设备的控制权, 然后肆意更改这些设备的配置, 严重时甚至会导致整个校园网络瘫痪。 1.1.4 管理层次安全 一个健全的安全体系, 实际上应该体现的是“三分技术、七分管理”, 网络的整体安全不是仅仅依赖使用各种技术先进的安全设备就可以实现的, 更重要的是体现在对人、对设备的安全管理以及一套行之有效的安全管理制度, 尤其重要的是加强对内部人员的管理和约束, 由于内部人员对网络的结构、模式都比较了解, 若不加强管理, 一旦有人出于某种目的破坏网络, 后果将不堪设想。IP 地址盗用、滥用是校园 网必须加强管理的方面, 特别是学生区、机房等。IP 配置不当也会造成部分区域网

校园网规划设计方案

校园网规划设计方案 导语：校园网建设的必要性学校是否采用最先进的信息和传播 技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于 影响整个社会深刻变革的中心地位。 校园网必须具备教学、管理和通讯三大功能。教师可以方便地 浏览和查询网上资源，进行教学和科研工作;学生可以方便地浏览和 查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校 的管理人员可方便地对教务、行政事务、学生学籍、财务等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，因此，校园网的建设必须有明确的建设目标。 ①要适应未来网络的扩展和拓扑结构的变化。 ②要能为特定的师生用户或用户组提供访问路径。 ③要保证网络能不间断地运行。 ④当网络扩大和应用增加时，变化的网络结构要能应付相应的带宽要求。⑤使用频率较高的应用能够支持网上大多数的师生用户。 ⑥能合理地分配用户对网内、网外的信息第一文库网流量。 ⑦能支持较多的网络协议，扩大网络的应用范围。 ⑧支持IP的单点传送和多点广播数据流。 1.1项目概况 本次项目是为**中学建设的一个校园网，这个学校有一栋教学楼、一栋实验楼、一栋图书馆、一栋办公楼、两栋女生宿舍和两栋男

生宿舍，教学楼、实验楼都为六层，每层有十个教室，图书馆、办公楼为三层，办公楼一层有十二个办公室，一个办公室内最多有四台计算机，图书馆三楼为电子阅览室，一二层为图书室，学生宿舍有六层，每层有二十四个寝室，每个寝室最多有六台计算机，每个教室或者办公室或者寝室内只安装一个以太网接口，如老师或学生要连接多台计算机需自己配置以太网交换机，该学校的中央机房设在电子阅览室旁边，该校园网中要求每台计算机都能连接互联网，局域网资源共享，局域网内采用VLAN技术限制不同办公室的部分访问。 安全与可靠性 校园网的总体设计原则先进性。以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于交换的技术替代传统的基于路由的技术; 开放性。网络协议采用符合ISO及其他标准，如IEEE,ITUT,ANSI等制订的协议，采用遵从国际和国家标准的网络设备; 可靠性。选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，包括交换机、路由器以及网络服务器的可靠性； 可扩展性。网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用;

校园网络安全设计方案

校园网络安全设计方案 10网工2班组员：张婵、张茜、张越、张喻博、赵子龙、祝美意、杨越峦、张力 随着因特网的迅速发展，校园网的建设日益普遍。而在高校中，如何能够保证校园网络的安全运行，同时又能提供丰富的网络资源，达到办公、教学及学生上网的多种需求已成为了一个难题。校园网络的安全不仅有来自外部的攻击，还有内部的攻击。所以，在校园网建设中使用安全技术是刻不容缓的。现从防火墙、VPN、防病毒、入侵检测和防御系统、上网行为管理和用户审计系统、数据备份系统、主页防篡改、网络安全管理制度几个方面，设计我校的网络安全方案。 防火墙:防火墙是一种将内部网和公众网分开的方法。它能限制被保护的网络与与其他网络之间进行的信息存取、传递操作。 防火墙的概念：通常防火墙是指部署在不同网络或网络安全域之间的一系列部件组合，是一种有效的网络安全策略。防火墙提供信息安全服务，设置在被保护内部网络的安全与不安全的外部网络之间，其作用是阻断来自外部的、针对内部网络的入侵和威胁，保护内部网络的安全。它是不同网络或网络安全域之间信息的唯一出入口，根据安全策略控制出入网络的信息流，并且本身具有较强的抗攻击能力。 防火墙的分类：按软件与硬件的形式，防火墙分为软件防火墙、硬件防火墙和芯片防火墙；按防火墙的技术，总体分为包过滤型和应用代理型两大类；按防火墙的结构分为单一主机防火墙、路由器集成式防火墙、分布式防火墙；按防火墙的部署位置分为边界防火墙、个人防火墙、混合防火墙。 防火墙的安全策略：（1）所有从内到外和从外到内的数据包都必须经过防火墙（2）只有被安全策略允许的数据包才能通过防火墙（3）防火墙本身要有预防入侵的功能（4）默认禁止所有服务，除非是必须的服务才被允许 防火墙的设计：（1）保障校园内部网主机的安全，屏蔽内部网络，禁止外部网用户连接到内部网（2）只向外部用户提供HTTP、SMTP和POP等有限的服务（3）向内部记账用户提供所有Internet服务，但一律通过代理服务器(4)禁止访问黄色、反动网站(5)要求具备防IP 地址欺骗和IP地址盗用功能(6)要求具备记账和审计功能，能有效记录校园网的一切活动。 校园网络在设置时应从下面几个方面入手：（1）入侵检测：具有黑客普通攻击的实时检测技术。实时防护来自IP Source Routing、IP Spoofing、SYN flood、IC-MP flood、UDP flood、Ping ofDeath、拒绝服务和许多其它攻击。并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。（2）工作模式选择：目前市面上的防火墙都会具备三种不同的工作模式，路由模式、NAT模式和透明模式。我们选择的是透明模式，防火墙过滤通过防火墙的封包，而不会修改数据包包头中的任何源或目的地的信息。所有接口运行起来都像是同一网络中的一部分。此时防火墙的作用更像是Layer2（第二层）交换机或桥接器。在透明模式下，接口的IP地址被设置为0.0.0.0, 防火墙对于用户来说是可视或透明的。（3）策略设置：防火墙可以提供具有单个进入和退出点的网络边界。由于所有信息流都必须通过此点，因此可以筛选并引导所有通过执行策略组列表产生的信息流。策略能允许、拒绝、加密、认证、排定优先次序、调度以及监控尝试从一个安全段流到另一个安全段的信息流。可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。（4）管理界面：管理一个防火墙的方法一般来说有两种：图形化界面和命令行界面，我们选择为通过web方式和java等程序编写的图形化界面进行远程管理。（5）内容过滤：面对当前互联网上的各种有害信息，我们的防火墙还增加了URL阻断、关键词检查、Java Ap-ple、ActiveX和恶意脚本过滤等。（6）防火墙的性能考虑：防火墙的性能对于一个防火墙来说是至关重要的，它决定了每秒钟可能通过防火墙的最大数据流量，以bps为单位，从几十兆到几百兆不等。千兆防火墙还

校园网络简单设计方案

杭州职业技术学院 2003 年4月 摘要 本组网主要完成对杭州职业技术学院校内网络的组网，步线组网及解决方案。 论文主要介绍了杭州职业技术学院的组网，所要完成的是组网的整个过程。重点的说明了校园网的设计思想、难点技术和解决方案。 1．引言说明了校园网建设的目标。 2．校园网的设计需求，简明介绍了杭州职业技术学院的设计需求。及接点数和大概的组网思路。 3．组网拓扑图 关键字：组网，方案，拓扑图，校园网 目录 第一章引言…………………………………………………… 第二章需求分析……………………………………………… 第三章校园网的设计需求…………………………………… 第四章 2.1网管中心………………………………… 2.2 行政管理中心…………………………… 2.3 教学楼…………………………………… 2.4 实验楼…………………………………… 2.5 图书管…………………………………… 第五章网拓扑图……………………………………………… 第六章设计说明……………………………………………… 5.1系统概述…………………………………………… 5.2主干网络设计………………………………… 5.3技术参数………………………………………… 第六章结束语………………………………………………… 致谢……………………………………………………………… 参考资料………………………………………………………… 引言 在网络信息时代的今天，面向新的需求和挑战，为了学校的科研、教学、管理的技术水平，为研究开发和培养高层次人才建立现代化平台，Intranet/Internet技术的高速多媒体校园网。 整个高速多媒体校园网建设原则是"经济高效、领先实惠"，既要领先一步，具有发展余地，又要比较实惠。校园网是集计算机技术、网络技术、多媒体技术于一体的系统，能够最大限度地调动学生对教学内容的参与性以及积极性。 校园网建设的目标主要是建立以校园网络为基础的行政、教学及师生之间交互式管理系统，逐步建立学校信息管理网络，实现办公自动化；为开展网上远程教学、多媒体交互式立体教学模式的探索提供高速、稳定的支持平台；逐步建立计算机辅助教学、计算机辅助考试等系统，为实现多媒体课件制作网络化，教师备课电子化、多媒体化打好基础；保证网络系统的开放性、可持续发展性，便于以后集成视频会议、视频点播等高层次教学功能。 筹划校园网要讨论三个要素，无论是校外连网还是校内连网，要较好地发挥校园网的作用都要涉及三个要素：运载基础设施、运载设施和运载信息。 需求分析 杭州职业技术学院校园网一般为大中等规模的组网，节点数一般300到500个，网络应用也较中型校园网复杂，对通信的要求也较高，因此已经要求百兆交换到桌面，并要求支持多媒体的应用。 所以该校园网网络中心采用FlexHammer24交换机进行堆叠，提供高密度的10/100M自适应端口，二级节点交换机根据具体情况选择μHammer2或μHammer24交换机，对多媒体教室、电子阅览室等需要多媒体应用、要求较大带宽的二级节点则选用μHammer24交换机，提供10/100M兆端口接入用户桌面。普通教室选用μHammer2交换机，提供10M/100m端口接入用户桌面。 FlexHammer和μHammer交换机还具有划分VLAN的功能，使各部门的局域网可自成体系，隔离了广播风

校园网络安全知识

校园网络安全知识 常见得几种网络安全问题 1、陷入网络游戏中欲罢不能,玩了第一级,就想玩到第二级、第三级……玩者在游戏过程中为了获得荣誉、自尊,不惜出卖友谊、信誉,对同伴欺骗、讹诈甚至施暴。 2。玩游戏不仅花费她们所有得业余时间,而且一旦上瘾就很难控制自己甚至不想上学,经常旷课、逃学,成绩下降,导致退学。 ３。网络还隐藏着其它陷阱。网上聊天交友就是学生喜欢得“节目”,但在虚拟环境下交网友比现实生活中要更加警惕,以防上当受骗。 4。过度使用互联网,使自身得社会功能、工作、学习与生活等方面受到严重得影响与损害、长时间得上网会造成不愿与外界交往,行为孤僻,丧失了正常得人际关系。 上网要警惕哪些心理健康问题 1.计算机依赖成瘾、使用者没有任何明确目得,不可抑制地长时间操作计算机或上网浏览网页、玩游戏等,几乎每天上网5-6个小时,常熬夜上网,网瘾日益严重。 ２.网络交际成瘾。在现实生活中不愿与人直接交往,不合群,沉默寡言,但喜欢网络交际,经常上网聊天或通过其她网络交流方式与人交流思想情感,一天不上网交际就浑身不舒服。 3、网络色情成瘾。上网者迷恋网上得所有色情音乐、图片以及影像等。有专家指出每周花费1１小时以上用来漫游色情网站得人,就有色情成瘾得嫌疑。 4。强迫信息收集成瘾。这包括强迫性地从网上收集无用得、无关紧要得或者不迫切需要得信息。

５。游戏成瘾。包括不可抑制地长时间玩计算机游戏,这就是较普遍存在得现象,不但用家中得电脑可以轻松地进行连网游戏,遍街得电脑网吧更就是绝佳得去处,既可以逃避家长得耳目,还可众人一起连机,使游戏更加得刺激有趣。 6、如果一段时间不能上网,就会产生失落感、焦虑症、空虚感,烦躁不安,想找人吵架或想攻击别人;有得心情郁闷,产生悲观厌世情绪与自杀念头、 如何摆脱网络成瘾症 如果您觉得网瘾太大,自己抵抗力太小,那么以下得三条具体建议,可以帮助您预防网络成瘾症: 1、不要把上网作为逃避现实生活问题或者消极情绪得工具。“借网消愁愁更愁”。理由就是,上网逃脱不了现实,逃得过初一,逃不过十五。更重要得就是,因为您得上网行为在不知不觉中已经得到了强化,网瘾加重。 2.上网之前先定目标。每次花两分钟时间想一想您要上网干什么,把具体要完成得任务列在纸上。不要认为这个两分钟就是多余得,它可以为您省10个两分钟,甚至100个两分钟。 3、上网之前先限定时间。瞧一瞧您列在纸上得任务,用1分钟估计一下大概需要多长时间。假设您估计要用40分钟,那么把小闹钟定到２0分钟,到时候瞧瞧您进展到哪里了、 总之,我们在享受高科技带来得全新概念时,不能忘记很重要得一个原则:网络得精彩绝伦、快速便捷以及其她得种种优点都不能完完全全地替代现实生活,网络生活只能作为现实生活得一部分。 上网应小心网络陷阱 不可否认,互联网确实开拓了我们得视野,丰富了我们得生活,但就是互联网上也存在着大量得陷阱、如果不能认识到这些陷阱得危害并预防它们,那么,互联网带给我们得恐怕不再就是鲜花与美酒,而就是财物得浪费、秘密得泄露,更有甚者会危及到人身得安全。

xx大学校园网设计方案(课程设计经典方案)全解

湖南机电职业技术学院 毕业设计 校园网的规划与设计 设计方案 作者姓名欧阳贝伦 所属系部信息工程学院 指导教师吴勇 专业班级计算机网络技术网络1301班

目录 1.1网络设计原则 3 1.2网络需求分析 3 2网络设计解决方案 4 2.1网络系统结构规划 4 2.1.1接入层 4 2.1.2汇聚层 5 2.1.3核心层 5 2.1.4远程接入区域 5 2.2网络拓扑设计 5 2.3网络IP地址规划 6 2. 3.1IP地址合理规划的意义 6 2.4网络设计技术方案特点7 3网络设计技术分析7 3.1校园网络技术分类7 3.2校园网交换技术8 3.3路由技术9 3.4广域网接入技术9 4 设备的选型10 5 投资预算11 6综合布线工程规划12 4.1工程概况12 4.2施工原则12 7总结体会13

1网络设计原则与需求分析 1.1 网络设计原则 ?实用性与先进性 根据学校实际情况和特点，在设计中特别强调实用性与先进性的结合，应采用成熟的网络技术，保证校园网实用；跟踪国际网络技术的新发展，设计技术先进的网络。在保证校园网可靠、实用、先进的基础上，可以提供研究先进网络技术的科研环境，方便学校的科研与开发。 ?开放性与标准化 整个校园网的设计采用开放性的网络体系，以方便网络的升级、扩展和互联。同时，在选择服务器、网络产品时，强调产品支持的网络协议的国际标准化。 ?可靠性与安全性 在校园网的设计中，主要考虑两个层次：一是整个网络的可靠性与安全性，采用高可靠性高安全性的网络体系结构；二是网络设备的安全性和可靠性，主要是采用可带电插拔的模块、配置双电源、端口冗余、设置网络设备的用户表及口令限制等手段。 ?经济性与可扩充性 在满足学校需求的前提下，选用性能价格比高的网络设备和服务器。采用的网络架构和设备，应充分考虑到易升级换代，并且在升级时可以最大限度地保护原有的硬件设备和软件投资。 1.2 网络需求分析 湖南机电职业技术学院作为一所高等院校，必须建成一个集学校行政、办公、教学以及师生宿舍上网于一体的校园网络系统。具体需求如下： 管理层需求 （1）办公需求：办公自动化，文档电子化，电子公告牌 （2）E-mail 服务 （3）远程访问 （4）管理需求：会议管理，个人信息管理，公共信息管理， 公文管理，教务综合管理，以及图书馆自动化管理。 教师需求 （1）教学要求：电子备课，资料查阅，文档打印，文档、课件上传/下载，在线答疑（2）教学活动：VOD（或将来需要），学生成绩登入、公布 （3）自学需求：电子图书馆，资料查询 （4）远程访问 （5）E-mail 服务

校园网络安全系统方案设计

校园网络安全设计方案 一、安全需求 1.1.1网络现状 随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严峻，目前校园网安全防护体系还存在一些问题，主要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。 经调查，现有校园网络拓扑图如下： 1.1.2应用和信息点

1.2.现有安全技术 1．操作系统和应用软件自身的身份认证功能，实现访问限制。 2．定期对重要数据进行备份数据备份。 3．每台校园网电脑安装有防毒杀毒软件。 1.3.安全需求 1．构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 2. 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。 3. 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。 二．安全设计 1．1设计原则 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素，参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备