目录第一章概述 (2)1.1 高校校园网络安全建设意义 (2)第二章高校校园网络特点分析 (3)第三章安全风险分析 (5)3.1 物理层安全风险 (5)3.2 网络层安全风险 (5)3.3 系统安全风险 (6)3.4 应用层安全风险 (6)3.5 管理层安全风险 (7)第四章安全需求分析 (8)4.1 网络攻击防御需求 (8)4.2 系统安全漏洞管理需求 (8)4.3 网络防病毒需求 (9)4.4 WEB应用安全需求 (10)4.5 内容安全管理需求 (10)4.6 INTERNET接入用户控制需求 (11)4.7 建立完善安全管理制度的需求 (11)第五章网络安全解决方案 (12)5.1 高校校园网络安全建设原则 (12)5.2. 高校校园网络安全解决方案 (13)5.1部署防火墙 (13)5.2部署入侵检测/保护系统 (13)5.3 部署漏洞管理系统 (15)5.4 部署网络防病毒系统 (17)5.5 部署WEB应用防护系统 (19)5.6 部署内容安全管理系统 (21)5.7 部署校园网用户认证计费管理系统 (22)5.8 高校校园网络安全建设分步实施建议 (23)第一章概述1.1 高校校园网络安全建设意义随着网络的普及和发展，高校信息化建设也在快速地进行，校园网在高校及教育系统中的作用越来越大，已经成为高校重要的基础设施，对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。

目前，校园网络已遍及学校的各个部门，有的学校已将网络线通入学生寝室，网络已经成为师生工作、学习、生活不可缺少的工具。

校园网络的建立，能促进学校实现管理网络化和教学手段现代化，对提高学校的管理水平和教学质量具有十分重要的意义。

但是，网络中的种种不安全因素（如病毒、黑客的非法入侵、有害信息等）也无时无刻不在威胁校园网络的健康发展，成为教育信息化建设过程中不容忽视的问题。

如何加强校园网络的安全管理，保证校园网安全、稳定、高效地运转，使其发挥应有的作用，已经成为学校需要解决的重大问题，也是校园网络管理的重要任务。

第二章高校校园网络特点分析高校校园网络具有如下特点：1、网络规模大，设备多。

从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备。

2、校园网通常是双出口结构，分别与Cernet、Internet 互联。

3、用户种类丰富。

按用户类型可以划分为教学区（包括教学楼、图书馆、实验楼等）、办公区（包括财务处、学生处、食堂等）、学生生活区、家属区等。

不同用户对网络功能的要求不同。

教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入INTERNET。

学生区和家属区主要是接入INTERNET的需求。

4、应用系统丰富。

校园网单位众多，有很多基于局域网的应用，如多媒体教学系统，图书馆管理系统，学生档案管理系统，财务处理系统等。

这些应用之间互相隔离。

还有很多基于INTERTNET的应用，如WWW、E-MAIL等，需要和INTERNET的交互。

各种应用服务器，如DNS，WWW，E-MAIL，FTP等与核心交换机高速连接，对内外网提供服务。

高校校园网络拓扑示意图如下：第三章安全风险分析网络安全不单是单点的安全，而是整个信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。

要知道如何防护，首先需要了解安全风险来自于何处。

网络安全系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。

风险分析是网络安全防护的基础，也是网络安全技术需要提供的一个重要功能。

它要连续不断地对网络中的消息和事件进行检测，对系统受到侵扰和破坏的风险进行分析。

风险分析必须包括网络中所有有关的成分。

3.1 物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断，进而造成网络系统的阻断。

包括以下内容：1、设备被盗，被毁坏；2、链路老化或被有意或者无意的破坏;3、因电磁辐射造成信息泄露；4、地震、火灾、水灾等自然灾害。

3.2 网络层安全风险网络层中的安全风险，主要指数据传输、网络边界、网络设备等所引发的安全风险。

1.数据传输风险分析数据在网络传输过程中，如果不采取保护措施，就有可能被窃听、篡改和破坏，如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。

对高校而言，比较多的风险是：1)私自将多个用户通过交换机接入网络，获得上网服务。

2)假冒合法的MAC、IP地址获得上网服务。

2.网络边界风险分析不同的网络功能区域之间存在网络边界。

如果在网络边界上没有强有力的控制，则网络之间的非法访问或者恶意破坏就无法避免。

对于高校而言，整个校园网和INTERNET的网络边界存在很大风险。

由于学校对INTERNET开放了WWW、EMAIL等服务，如果控制不好，这些服务器有面临黑客攻击的危险。

3.网络设备风险分析由于高校校园网络使用大量的网络设备，这些设备自身的安全性也是要考虑的问题之一，它直接关系到各种网络应用能否正常、高效地运转。

交换机和路由器设备如果配置不当或者配置信息改动，会引起信息的泄露，网络瘫痪等后果。

3.3 系统安全风险系统层的安全风险主要指操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁。

病毒大多也是利用了操作系统本身的漏洞。

目前，高校网络中操作系统有WINDOWS系列和类UNIX系列，大都没有作过安全漏洞修补，极易遭受黑客攻击和病毒侵袭，对网络安全是一个高风险。

3.4 应用层安全风险高校校园网络中存在大量应用，如WWW服务、邮件服务、数据库服务等。

在应用过程中，存在下列风险：1.这些服务本身存在安全漏洞，容易遭受黑客攻击。

当前，尤其针对WEB应用的攻击成为趋势。

2.不对应用者的行为监管存在的风险。

如学生浏览黄色，暴力网站；在论坛等发表非法言论；滥用P2P，在线视频等，严重占用网络带宽。

3.5 管理层安全风险责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

第四章安全需求分析由上可见，高校校园网中的安全风险是多样的，也需要多种技术构建综合安全防护体系，保证校园网安全。

4.1 网络攻击防御需求高校校园网络连接INTERNET，因此从安全角度看，可以划分为两大区域，内部网络和外部网络。

在内外网之间必须有安全隔离措施，对数据的流动进行控制。

首先内部网络是私有网络，其访问ITNERNET的流量必须隐藏真实地址，而转换为公网地址；其次，网络边界要有适当的访问控制策略，既需要控制内部网络可以访问INTERNET的流量，更需要严格控制INTERNET可以访问内部网络的流量，以防止黑客攻击和非法访问。

因而只允许INTERNET访问校园网对其开放的服务，如WWW、EMAIL 等，其他服务全部禁止。

对通过INTERNET到校园内网应用如OA系统的连接，采用IPSEC VPN或者SSL VPN技术，以保证数据安全性。

即使被黑客窃听，也无法解密。

采用流量监听和阻断恶意流量机制，对网络进行保护。

监视和分析用户及系统的活动，识别反映已知进攻的活动模式并向管理员报警。

4.2 系统安全漏洞管理需求高校有大量的应用服务器和网络设备，以及应用程序和数据库系统。

众所周知，在服务器和网络设备操作系统（包括WINDOWS,类UNIX），应用协议（如TCP/IP），应用程序中，存在很多安全漏洞。

蠕虫爆发、病毒、木马以及恶意代码都是利用安全漏洞对网络和系统进行攻击。

如果对系统中的各种漏洞不能及时发现和修复，就有很大的被攻击的风险，造成很大的损失，例如“冲击波”蠕虫和“震荡波”蠕虫的爆发。

所以要有漏洞管理机制，及时扫描和修复系统安全漏洞保护网络安全。

4.3 网络防病毒需求高校校园网用户众多，网络环境复杂，病毒入口点非常多，如何保证在整个局域网内杜绝病毒的感染、传播和发作是网络安全的一个重要问题。

一个良好的网络防病毒方案应该达到如下目标：要在整个大学校园的内部网络内杜绝病毒的感染、传播和发作，整个网络内只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段。

同时为了网络管理人员有效、快捷地实施和管理整个网络的防病毒体系，应能实现简易、自动、智能和强制执行防病毒策略的维护管理方式。

网络实施防病毒系统应力求达到在整个内部网络系统中构造一个整体的、全方位的、无缝的、功能强大的防病毒体系，保护校园网络免遭来自外部和内部病毒的威胁和破坏，从根本上杜绝病毒的发作和传播，有效地保护学校内部资源。

同时，该方案还必须是一个使用方便的，灵活的和全自动的系统，可以完全自动的升级；可以在本网的任何地方管理全网；等等。

最后，它还必须是一个易于扩充和修正的方案，能方便的适应将来网络扩充时可能的变更。

特别地，校园网需要很好地防范ARP欺骗病毒。

ARP欺骗病毒是目前高校校园网中比较泛滥的一种病毒，该病毒一般属于木马病毒，不具备主动传播的特性，不会自我复制，但是由于其发作的时候会向全网发送伪造的ARP数据包，严重干扰全网的正常运行，其危害甚至比一些蠕虫病毒还要严重得多。

ARP病毒发作时，通常会造成网络掉线，但网络连接正常，内网的部分电脑不能上网，或者所有电脑均不能上网，无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象，严重影响到校园网络的正常运行。

因此，必须有合适的措施应对ARP欺骗病毒对网络的危害，保证网络的持续可用性。

4.4 WEB应用安全需求据权威机构IDC调查显示，Web 应用越来越丰富的同时，针对Web 服务器的攻击也与日俱增。

SQL注入、网页篡改、网页挂马、应用层DDOS等安全事件，频繁发生。

WEB攻击一旦得逞，将严重影响网站所属组织的声誉甚而可能引发重大的政治影响。

对于高校而言，门户网站是其对外宣传的窗口和内部交流的平台，网站的安全直接影响学校的声誉。

因此，必须杜绝网页篡改，网站拒绝服务等安全事件的发生。

4.5 内容安全管理需求随着计算机网络在经济和生活各个领域的迅速普及，网络发展从连通时代到应用时代的转变，如何保证网络内容安全，净化网络环境，规范上网行为，符合国家法规要求，是广大机构迫切需要解决的问题。

有不良影响或危害的网络行为有：1、利用工作时间，聊天、炒股、玩网络游戏等行为，影响工作效率；2、因访问不良网站而遭受恶意代码、间谍软件及钓鱼式攻击等，影响机构网络正常运行；3、随意使用P2P 下载、在线视频等，严重占用网络带宽，导致正常业务无法获取足够网络资源；4、浏览非法网站、发表敏感信息和传播非法言论，造成恶劣社会影响，并可能导致国家法律问题；5、随意通过EMAIL、即时通讯等方式发送敏感业务信息，导致信息外泄事件发生；根据调查数据显示，以上事件呈逐年上升趋势，导致机构工作效率降低、重要敏感信息泄露、业务应用无法正常运行、网络带宽资源滥用、不良反动言论传播甚至面临国家法律风险等，给机构造成严重的经济损失和巨大的网络信息安全风险。