校园网基本网络搭建及网络安全设计分析

摘要:伴随着Internet的日益普及,网络应用的蓬勃发展,网络信息资源的安全备受关注。校园网网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露或被修改,保证网络系统的保密性、完整性、可用性、可控性、可审查性方面具有其重要意义。通过网络拓扑结构和网组技术对校园网网络进行搭建,通过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效措施。


(资料图)

关键词:校园网;网络搭建;网络安全;设计。

以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、 基本网络的搭建。

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:

1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。

但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。

第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,___,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。

参考文献:

[1]Andrew S. Tanenbaum. 计算机网络(第4版)[M].北京:清华大学出版社,2008.8.

[2]袁津生,吴砚农。 计算机网络安全基础[M]. 北京:人民邮电出版社,2006.7.

[3]中国IT实验室。 VLAN及___技术[J/OL], 2009.

计算机网络信息安全及其防护策略的研究

摘 要:现代社会经济发展形势下,科学技术不断进步,计算机技术和网络技术逐渐成为社会运行中的重要条件。信息技术进步的同时,使得计算机网络信息也面临着较大的安全威胁,极易遭受破坏并造成难以预估的损失。本文简要分析了造成计算机网络信息存在安全隐患的具体因素,并提出可行的防护策略,保证计算机系统的安全高效运行。

关键词:计算机;网络信息;安全隐患;防护策略

现代社会经济不断发展进步,以计算机网络技术为代表的信息技术在社会生产生活中扮演着重要的角色,随着城市工业化进程的不断加快,社会群体对网络信息的需求不断加大,计算机网络技术在人们的工作与生活中承担着重要的责任。而当前计算机网络信息存在较大的安全隐患,严重影响信息传输的可靠性,对于整个社会的稳定和谐发展都是极为不利的。此种情况下,加大力度探讨计算机网络信息安全的防护策略,具有一定重要意义。

1.计算机网络信息安全概述

完整的计算机网络安全定义包括两个方面:一是物理安全,也就是在计算机网络环境下的所有计算机相关硬件设施必须被保护,不能随意遭到损毁或者丢失;二是逻辑安全,也就是计算机网络环境中的所有用户信息、共享资源等互联网信息必须保证其完整性和保密性,不得随意被更改、损毁和泄露。

2.计算机网络信息存在安全隐患的原因分析

安全的信息运行、安全的数据连通以及网络管理人员高度的安全意识是确保计算机网络信息安全的关键性因素。由于作为基础软件的操作系统能够为人们提供一个环境以供其程序正常运行,其本身还具备对软硬件资源等的管理功能,这就容易导致安全隐患的产生。操作系统本身具备的管理功能在运行过程中存在诸多细节上的缺陷,整个系统的运行情况很可能因为一个细小的程序问题而受到影响。

3.计算机网络信息安全的防护策略

3.1 加强用户账号的安全管理

现代社会发展形势下,科学技术不断进步,用户账号所涉及的范围较广泛,用户为操作便捷往往将邮件账号、网银账号以及登录账号等进行绑定,而此种情况下就为网络黑客提供了可乘之机。网络黑客通过不法手段获取用户账号及密码,进而对计算机网络系统进行攻击和破坏,给用户造成严重的损失。此种情况下,为保证计算机网络信息安全,应当从用户账号入手,积极采取有效措施保证用户的账号安全,可以通过设置复杂的系统登录密码的方式,以降低用户账号被盗的风险。与此同时应当尽可能避免相似账户的重复注册,以减少信息泄露。用户在密码的设置上,应当尽可能采用特殊符号、字母与数字相组合的方式设置为长密码,并随时进行修改,从而对计算机网络信息进行科学化的安全防护。

3.2 安装防火墙和杀毒软件

在计算机网络系统运行过程中,部分用户忽视了防火墙和杀毒软件的重要性,认为那些是可有可无的东西,此种情况下往往就加大了计算机网络信息的安全风险。为保证计算机网络系统的安全运行,应当结合系统运行特点及实际需求及时安装防火墙和杀毒软件,以保证信息安全。网络防火墙在计算机网络信息系统运行过程中发挥着重要的作用,其能够对网络之间的访问进行科学化控制,对网络外部用户访问进行有效组织,有效组织非正常渠道访问内部网络资源的行为,并通过互联网对内部网络操作环境进行安全保护,从而保证计算机网络系统的安全运行,加强计算机网络信息安全管理。网络防火墙在数据包的作用下能够实现两个或多个网络之间的相互传递和安全检查,进一步对网络系统运行状况进行监督,从而保证计算机网络信息的安全性和可靠性。按照技术的不同进行分类,可以将网络防火墙分为监测型、代理型、地址转换型等,就实际应用情况来看,地址转换型防火墙能够将内部IP地质实现外部化,从而对IP地质进行有效隐藏,保护内部网络资源安全。此种情况下,外部网络访问内部网络时往往难以掌握具体链接,而需要通过处理后的外部IP及端口实现访问。

3.3 对漏洞补丁程序进行有序安装

在计算机网络系统运行过程中,及时安装漏洞补丁程序也是对计算机网络信息安全进行有效防护的一种策略。通常情况下,计算机网络系统设计受到多种因素的影响极易出现网络漏洞,其中常见的影响因素包含程序设计不完善,软硬件功能缺失以及配置不合理等,最终导致计算机网络系统存在黑客攻击的安全隐患。来自美国的调查研究报告表明,任何一种软件都不可避免地存在漏洞和缺陷,这些漏洞和软件就为黑客和病毒攻击提供了便利,导致计算机网络信息存在严重的安全隐患。因此在计算机网络系统实际运行过程中应当积极采取有效措施对此类问题进行处理,以保证计算机网络信息安全。在计算机网络系统运行过程中应当及时对网络补丁程序进行更新和安装,及时修复系统漏洞,以保证计算就网络处于一个健康的运行环境下。在计算机网络系统运行过程中可以利用tiger、COPS等软件对计算机网络系统漏洞进行准确扫描,并通过瑞星卡卡和360安全卫士、电脑管家等对系统漏洞进行扫描和修复,切实保证计算机网络信息安全。

结语

当前社会发展形势下,科学技术不断进步,若想要保证计算机网络信息安全,应当结合时代发展特征不断加强技术创新,尊重网络信息安全领域的特殊性,加强技术创新,通过对多种防护措施加以优化利用,积极构建安全高效的计算机网络信息安全防护体系,切实保证网络信息安全,推进现代计算机系统的稳定运行。

参考文献

[1]高杨.计算机网络信息安全及其防护策略的研究[J].科技创新导报,2014,11(21):47-47.

[2]赵林,张伟.计算机网络信息安全及防护策略研究[J].网络安全技术与应用,2014(3):159-160.

[3]宋增海,王洪苹.分析计算机网络信息安全及防护策略研究[J].电源技术应用,2013(5).

推荐内容