华迪实习 云南xxx学院网络工程设计 方案书

云南

XXX学院校园网改造

方案书

第四小组方案设计人员

（）

云南XXX学院校园网改造方案

目录

第一章 概述..............................................................................................................- 4 -

1.1. 文档大纲 ...................................................................................................- 4 - 1.2. 项目背景 ...................................................................................................- 4 - 1.3. 项目范围 ...................................................................................................- 4 - 1.4. 项目目标 ...................................................................................................- 4 - 1.5. 设计标准与规范 .......................................................................................- 4 - 第二章 用户需求......................................................................................................- 4 -

2.1. 技术目标 ...................................................................................................- 4 - 2.2. 应用系统 ...................................................................................................- 5 - 2.3. 服务器要求 ...............................................................................................- 5 - 2.4. 网络建设需求 ...........................................................................................- 5 - 2.5. 系统集成要求 ...........................................................................................- 6 - 第三章 综合布线设计..............................................................................................- 6 -

3.1. 采用综合布线方案概述 ...........................................................................- 6 - 3.2 工作区子系统设计介绍 ............................................................................- 7 - 3.3 水平区子系统设计介绍 ............................................................................- 7 - 3.4 垂直主干线子系统设计介绍 ....................................................................- 7 - 3.5 设备间子系统设计介绍 ............................................................................- 8 - 3.6 建筑群子系统设计介绍 ............................................................................- 8 - 3.7 综合布线系统的安装与施工指南 ............................................................- 9 - 3.8 产品选型说明 ............................................................................................- 9 - 第四章 网络拓扑结构设计................................................................................... - 10 -

4.1 拓扑图设计 ............................................................................................. - 10 -

4.1.1 设计说明 ...................................................................................... - 10 - 4.2 核心层设计 ............................................................................................. - 11 -

4.2.1 双核心热冗余备份设计 .............................................................. - 11 - 4.3 出口设计 ................................................................................................. - 12 - 4.4 防火墙 ..................................................................................................... - 13 - 4.5 主要设备选型 ......................................................................................... - 13 - 第五章 VLAN与IP规划 ........................................................................................ - 14 -

5.1 VLAN与IP技术介绍 ................................................................................ - 14 -

5.1.1 VLAN与IP划分方案 ..................................................................... - 14 -

第六章 网络管理与安全方案............................................................................... - 15 -

6.1 网络管理方案 ......................................................................................... - 15 - 6.2 网络安全方案 ......................................................................................... - 16 - 第七章 工程施工管理........................................................................................... - 26 -

7.1 标准化 ..................................................................................................... - 26 -

- 2 -

第四小组方案书

7.2 施工计划表 ............................................................................................. - 26 - 7.3 施工配合 ................................................................................................. - 26 - 7.4 铺设线缆和管道 ..................................................................................... - 27 - 7.5 搭建配线架 ............................................................................................. - 27 - 第八章 测试与验收............................................................................................... - 28 -

8.1 测试目标及其验收标准 ......................................................................... - 28 - 8.2 测试种类 ................................................................................................. - 28 - 8.3 测试需要的网络设备和网络资源 ......................................................... - 28 - 第九章 售后服务与技术支持............................................................................... - 28 - 第十章 项目预算................................................................................................... - 28 -

10.1 布线材料清单及报价 ........................................................................... - 28 - 10.2 网络设备清单及报价 ........................................................................... - 29 -

- 3 -

云南XXX学院校园网改造方案

第一章 概述

1.1. 文档大纲 1.2. 项目背景 1.3. 项目范围 1.4. 项目目标 1.5. 设计标准与规范

第二章 用户需求

2.1. 技术目标

众所周知，电子计算机机房装饰，不同于普通的宾馆、家庭装饰，机房装饰工程是一项系统工程，是现代科学技术和装饰艺术的综合。机房内放置有复杂的电子设备和机电设备，对装饰的要求，主要是满足计算机对机房提出的技术要求，在机房装饰艺术上以既大方舒适，又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。以期达到现代化的装饰水平和视觉效果。

网络核心机房是整个校园计算机网络开展应用的中心和关键所在，为消除安全隐患，确保通信设备和通信网络的安全可靠，应该建设在一个安全、可靠、稳定的基础环境中。数据中心机房应符合国际标准和相关规范，在洁净与温湿度、供配电、接地、防雷、防静电、防盗与防破坏等各方面满足征信系统的环境要求和管理要求。

- 4 -

第四小组方案书

2.2. 应用系统

本次机房建设将包括一下几个子系统：1、机房空调与新风系统；2、电气系统（供配电系统）；3、UPS系统；4、建筑装饰系统；5、消防及自动报警系统；6、机房漏水监测系统；7、机房其他配套设备系统

2.3. 服务器要求

由于此处为校园网，主要功能是实现好学校与外部的上网功能，以及实现学校的资源共享 ，服务器具体功能（安全监控中心、数据中心、存储中心、网管中心），WWW服务，作为信息服务的平台，Email服务，作为信息传递和与外界交流的主要手段。

2.4. 网络建设需求

实用性和先进性

采用先进成熟的技术和设备，尽可能采用先进的技术、设备和材料，以适应高速的数据与需要，使整个系统在一段时期内保证技术的先进性，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。 安全可靠性

为保证各项业务应用，网络必须具有高可靠性，决不能出现单点故障。要对机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制控制手段和事故监控与安全保密等技术措施提高数据中心机房的安全可靠性。 灵活性与可扩展性

计算机机房必须具有良好的灵活性与可扩展性，能够根据机房业务不断深入发展的需要，扩大设备容量和提高用户数量和质量的功能。应具备支持多种网络传输，多种物理接口的能力，提供技术升级设备更新的灵活性。 管理性

- 5 -

云南XXX学院校园网改造方案

6.2 网络安全方案

6.2.1 GSN 今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。可以断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。 今天，网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系代替陈旧的安防措施。业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”，将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。在此基础上，GSN不仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。

GSN，即 Global Security Network，中文名称“全局安全网络”。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时针对网络环境的变化和新的网络行为进行学习，达到对未知安全事件的防范。

GSN方案由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素组成，能实现同一网络环境下的全局联动，使每个设备都发挥安全防护的作用。GSN由三个层面组成;

（1）后台服务层面：

身份认证系统——身份认证系统能够提供严格的用户接入控制，通过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证系统针对用户的入网，提供入网控制功能，同时，认证系统还可以实现用户帐号、用户IP、用户MAC、设备IP、设备端口的静态绑定、动态绑定以及自动绑定，保证用户入网身份唯一。

安全管理平台——安全管理平台是安全防御体系的管理与控制中心，是统一安全管理平台的核心组成部分。通过安全管理平台，可以对系统内的安全设备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理，并能有效的配置和管理全局安全设备，从而实现全局安全设备的集中管理，起到安全网管的作用。通过统一的技术方法，将系统所有的安全日志、安全事件集中收集管理，实现集中的日志分析、审计与报告。同时通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势，确保安全事件、事故得到及时的响应和处理。

- 16 -

第四小组方案书

安全修复系统——安全修复系统的作用是跟踪安全漏洞的变化，能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略，点到面自动强制分发部署补丁程序。

（2）网络层面：

安全联动设备——安全联动设备是校园网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口，同交换机、路由器、防火墙、IDS等各类网络设备实现安全联动。

（3）用户层面：

安全客户端——安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息，包括对防病毒软件信息的收集。同时安全客户端可以评估操作系统的版本、补丁程度等信息，并且把这些信息传递到安全管理平台，没有进行适当升级的主机将被隔离到网络修复区域，从而保障网络的安全运行。与传统的解决方案不同，安全客户端通过对用户终端设备信息的搜集，可预先识别和防止用户对网络的恶意行为，排除潜在的已知和未知的安全风险。

GSN的优势：

(1)提供统一、严格的用户入网身份验证机制

GSN提供了统一的身份管理模式，对接入内网的用户进行身份合法性验证 没有合法身份的用户被隔离在内网之外，无法登录访问网络。

图

（2）支持对用户名、密码、用户IP、用户MAC、交换机IP及交换机端口六元素进行灵活绑定

（3）灵活的用户访问权限管理

①不同部门和组织的用户往往需要约束不同的访问控制权限 ②财务部门的数据服务器不允许其它部门访问

③访客用户不能访问所有内网资源，但允许访问外网及内网的DNS

④GSN提供了灵活的访问权限控制功能充分满足用户权限控制的多样化需求 （4）GSN端点防护体系，检验终端无漏洞、病毒、木马后方能进入网络 （5）与杀毒软件、IDS等联动

- 17 -

云南XXX学院校园网改造方案

通过对网络结构、网络安全风险分析，再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。

6.2.2 需求 1、物理上安全需求

针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止电磁辐射泄漏机密信息。对重要的设备进行备份；对重要系统进行备份等安全保护。 2、访问控制需求

防范非法用户非法访问

非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式，对有攻出击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事，而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，严格控制只在合法用户才能访问合法资源。

防范合法用户非授权访问 合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息是可以对外开放，而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问仅限过行严格控制。

防范假冒合法用户非法访问 从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的IP地址或用户名等资源进行非法访问。因此，必需从访问控制上做到防止假冒而过行的非法访问。 3、 加密机需求

加密传输是网络安全重要手段之一。信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密，使得在网上传的数据以密文传输，因为数据是密文。所以，即使，在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行技术手段，对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此，必需配备加密设备对数据进行传输加密。 4、入侵检测系统需求

也许有人认为，网络配了防火墙就安全了，就可以高枕无忧了。其实，这是一种错误的认识，网络安全是整体的，动态的，不是单一产品能够完全实现。防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的

- 18 -

第四小组方案书

访问进行严格控制（允许、禁止、报警）。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。 5、安全风险评估系统需求

网络系统存在安全漏洞（如安全配置不严密等）和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程来探测网络中系统中存在的一些安全漏洞，然后通过发现的安全漏洞，采取相就技术进行攻击，因此，必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞，并采用相应的措施填补系统漏洞，对网络设备等存在的不安全配置重新进行安全配置。

6、防病毒系统需求

针对防病毒危害性极大并且传播极为迅速，必须配备从客户端到网关的整套防病毒软件，实现全网的病毒安全防护。

6.2.3 安全管理体制 健全的人的安全意识可以通过安全常识培训来提高。人的行为的约束只能通过严格的管理体制，并利用法律手段来实现。

6.2.4 构建CA系统 由于网络系统必须采用加密措施。而加密系统通常都通过加密密钥来实现，而密钥的分发及管理的可靠性却存在安全问题，构建CA系统就是在这个基础上提出的。通过信任的第三方来确保通信双方互相交换信息。

6.2.5 安全目标 基于以上的需求分析，我们认为网络系统可以实现以下安全目标： ?保护网络系统的可用性 ?保护网络系统服务的连续性

?防范网络资源的非法访问及非授权访问 ?防范入侵者的恶意攻击与破坏

?保护校园信息通过网上传输过程中的机密性、完整性 ?防范病毒的侵害

?实现网络的安全管理。

6.2.6 网络安全实现策略及产品选型原则

网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品？在进行网络安全产品选型时，应该要求网络安全产品满足两方面的要求：一是安全产品必须符合国家有关安全管理部门的政策要求；二是安全产品的功能与性能要求。

1、满足国家管理部门的政策性方面要求 针对相关的安全产品必须查看其是否得到相应的许可证，如：

- 19 -

云南XXX学院校园网改造方案

?密码产品满足国家密码管理委员会的要求。 ?安全产品获得国家公安部颁发的销售许可证。

?安全产品获得中国信息安全产品测评认证中心的测评认证。 ?安全产品获得总参谋部颁发的国防通信网设备器材进网许可证。 ?符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。

2、安全产品的选型原则 从安全产品自来选择必须考虑产品功能、性能、运行稳定性以及扩展性，并且对安全产品，还必须考查其产品自身的安全性。

6.2.7 网络安全方案设计原则

在进行网络系统安全方案设计、规划时，应遵循以下原则：

1、需求、风险、代价平衡分析的原则 对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。

2、综合性、整体性原则 应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。

计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

3、一致性原则 一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。

4、易操作性原则 安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

- 20 -

第四小组方案书

5、适应性及灵活性原则 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。

6、多重保护原则 任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

7、可评价性原则 如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。

网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全的动态性是指，网络安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个机器），原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。所以，建立网络安全系统不是一劳永逸的事情。

针对安全体系的特性，我们可以采用\统一规划、分步实施\的原则。具体而言，我们可以先对网络做一个比较全面的安全体系规划，然后，根据我们网络的实际应用状况，先建立一个基础的安全防护体系，保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系。

对于学校行业网络安全体系的建立，我们建议采取以上的原则，先对整个网络进行整体的安全规划，然后，根据实际状况建立一个从防护--检测--响应的基础的安全防护体系，提高整个网络基础的安全性，保证应用系统的安全性。

6.2.8 网络安全体系结构 通过对网络应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络的安全目标。具体的安全控制系统可以从以下几个方面分述: 物理安全、系统安全、网络安全、应用安全、管理安全。

1、物理安全 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： 1.1环境安全

对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》

- 21 -

云南XXX学院校园网改造方案

1.2设备安全

设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格管理及提高员工的整体安全意识来实现。 1.3 媒体安全

包括媒体数据的安全及媒体本身的安全。显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。

正常的防范措施主要在三个方面： 对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。

对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

对终端设备辐射的防范。终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽降低了部份屏蔽效能，但可大大改善工作环境，使人感到在普通机房内一样工作。

2、系统安全 2.1 网络结构安全

网络结构的安全主要指，网络拓扑结构是否合理；线路是否有冗余；路由是否冗余，防止单点失败等。工行网络在设计时，比较好的考虑了这些因素，可以说网络结构是比较合理的、比较安全的。 2.2操作系统安全

对于操作系统的安全防范可以采取如下策略：尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件（如UNIX下：/.rhost、etc/host、passwd、shadow、group等；Windows NT下的LMHOST、SAM等）使用权限进行严格限制；加强口令字的使用（增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令），并及时给系统打补丁、系统内部的相互调用不对外公开。

通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。

- 22 -

第四小组方案书

2.3 应用系统安全

在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。如文件服务、电子邮件服务器等应用系统，可以关闭服务器上如HTTP、FTP、TELNET、RLOGIN等服务。还有就是加强登录身份认证。确保用户使用的合法性；并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。

3、网络安全 网络安全是整个安全解决方案的关键，从访问控制、通信保密、入侵检测、网络安全扫描系统、防病毒分别描述。 3.1 隔离与访问控制

3.1.1 严格的管理制度可制定的制度

《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安全责任制度》等。

3.1.2 划分虚拟子网(VLAN)

内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网（VLAN），在没有配置路由的情况下，不同虚拟子网间是不能够互相访问。通过虚拟子网的划分,能够实较粗略的访问控制。 3.1.3 配备防火墙

防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。

3.2 通信保密

数据的机密性与完整性，主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。可以选择以下几种方式： 3.2.1 链路层加密

对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止非授权用户读懂、篡改传输的数据。

链路加密机由于是在链路级，加密机制是采用点对点的加密、解密。即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机。通过两端加密机的协商配合实现加密、解密过程。 3.2.2 网络层加密

鉴于网络分布较广，网点较多，而且可能采用DDN、FR等多种通讯线路。如果采用多种链路加密设备的设计方案则增加了系统投资费用，同时为系统维护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加密设备（VPN），VPN是网络加密机，是实现端至端的加密，即一个网点只需配备一台

- 23 -

云南XXX学院校园网改造方案

VPN加密机。根据具体策略，来保护内部敏感信息和企业秘密的机密性、真实性及完整性。

IPsec是在TCP/IP体系中实现网络安全服务的重要措施。而VPN设备正是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络的线路建立IP安全隧道，能够保护子网间传输信息的机密性、完整性和真实性。经过对VPN的配置，可以让网络内的某些主机通过加密隧道，让另一些主机仍以明文方式传输，以达到安全、传输效率的最佳平衡。一般来说，VPN设备可以一对一和一对多地运行，并具有对数据完整性的保证功能，它安装在被保护网络和路由器之间的位置。设备配置见下图。目前全球大部分厂商的网络安全产品都支持IPsec标准。

由于VPN设备不依赖于底层的具体传输链路，它一方面可以降低网络安全设备的投资；而另一方面，更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台。对学校行业网络系统这样一种大型的网络，VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点，应根据企业具体需求，在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。 3.3 入侵检测

利用防火墙并经过严格配置，可以阻止各种不安全访问通过防火墙，从而降低安全风险。但是，网络安全不可能完全依靠防火墙单一产品来实现，网络安全是个整体的，必须配相应的安全产品，作为防火墙的必要补充。入侵检测系统就是最好的安全产品，入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。 3.4 扫描系统

网络扫描系统可以对网络中所有部件（Web站点，防火墙，路由器，TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。

系统扫描系统可以对网络系统中的所有操作系统进行安全性扫描，检测操作系统存在的安全漏洞，并产生报表，以供分析；还会针对具体安全漏洞提出补救措施。

3.5 病毒防护

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，学校网络系统中使用的操作系统一般均为WINDOWS系统，比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反病毒技术包括预防病毒、检测病毒和杀毒三种技术： 3.5.1 预防病毒技术

预防病毒技术通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破

- 24 -

第四小组方案书

坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。

3.5.2 检测病毒技术

检测病毒技术是通过对计算机病毒的特征来进行判断的技术（如自身校验、关键字、文件长度的变化等），来确定病毒的类型。 3.5.3 杀毒技术

杀毒技术通过对计算机病毒代码的分析，开发出具有删除病毒程序并恢复原文件的软件。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测。一旦发现与病毒代码库中相匹配的病毒代码，反病毒程序会采取相应处理措施（清除、更名或删除），防止病毒进入网络进行传播扩散。

6.2.9 应用安全 1 内部OA系统中资源共享

严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。虽然说用户名加口令的机制不是很安全，但对一般用户而言，还是起到一定的安全防护，即使有刻意破解者，只要口令设得复杂些，也得花费相当长的时间。

2 信息存储

对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。

6.2.10 构建CA体系 针对信息的安全性、完整性、正确性和不可否认性等问题，目前国际上先进的方法是采用信息加密技术、数字签名技术。具体实现的办法是使用数字证书，通过数字证书，把证书持有者的公开密钥（Public Key）与用户的身份信息紧密安全地结合起来，以实现身份确认和不可否认性。签发数字证书的机构即数字证书认证中心（CA，Certification Authority），数字证书认证中心为用户签发数字证书，为用户身份确认提供各种相应的服务。在数字证书中有证书拥有者的甄别名称（DN，Distinguish Name），并且还有其公开密钥，对应于该公开密钥的私有密钥由证书的拥有者持有，这对密钥的作用是用来进行数字签名和验证签名，这样就能够保证通讯双方的真实身份，同时采用数字签名技术还很好地解决了不可否认性的问题。根据机构本身的特点，可以考滤先构建一个本系统内部的CA系统，即所有的证书只能限定在本系统内部使用有效。随着不断发展及需求情况下，可以对CA系统进行扩充与国家级CA系统互联，实现不同企业间的交叉认证。

6.2.11安全管理 1、制定健全的安全管理体制

- 25 -

本文来源：https://www.bwwdw.com/article/qhc2.html