校园网安全设计方案
一、校园网网络结构和应用系统概述
校园网信息系统是校园网的数字神经中枢，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育行业整体的工作效率和教育质量。

校园网总体上分为校园内网和校园外网。

校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。

校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。

教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台;图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览;办公自动化局域网是教职员工自动化办公的平台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。

实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统;
校园外网的服务器群构成了校园网的服务系统，一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。

外部网实现了校园网与CERNET及INTERNET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。

二、校园网安全威胁分析
校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的安全威胁:
1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁;
2) Internet网络用户对校园网存在非法访问或恶意入侵的威胁;
3) 来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。

内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网;
4) 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网;
5) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用;
6) 校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见;
7) 可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁;
三、校园网安全方案设计
上述分析的几点是当今校园网普遍面临的安全隐患。

特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。

同时，校园网络的应用水平也在不断提高。

规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。

下图是比较普遍的校园网拓扑结构。

基于此图，我们从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。

1( 物理层安全
物理层的安全主要包括环境、设备及线路的安全。

系统中心或机房的建设应遵照:GB50173-93《电子计算机机房设计规范》、GB2887-89《计算机站场地安全要求》及GB2887-89《计算机站场地技术条件》的要求。

在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。

同时，要注意保护线路的安全，防止用户的搭线窃听行为。

2( 系统安全
系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。

解决的技术手段主要有以下几种:
采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等;
采用主机访问控制手段加强对主机的访问控制;
3( 网络层安全
校园网中局域网数目较多，根据需要多个网络可能要互相联接。

正是这种多网的互联，使我们对网络层的安全要极度重视。

定义一个网络或各网络内不同安全等
级的部分为不同的安全域。

安全域之间的连接处叫网络边界。

下面主要讨论以下几方面的网络层安全防护:
1) 划分安全子网。

如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。

如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。

2) 加强网络边界的访问控制。

安全等级差别较大的边界需要采用防火墙来控制。

如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。

可有效地解决需求中提到的多种威胁。

3) 防止内外的攻击威胁。

在每个安全域内或多个安全域之间安装入侵检测系统(IDS),可有效地防止来自网络内外的攻击。

4) 定期的网络安全性检测实现持续安全。

利用漏洞扫描器(Scanner),定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。

5) 建立网络防病毒系统。

在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。

4( 应用层安全
应用层的安全措施主要有以下几点:
各应用系统自身的加固;
建立身份认证系统;
建立安全审计系统;
建立备份系统;
5( 管理层安全
实现管理层的安全主要注意以下几点:
建立安全管理平台。

主要是指将各种安全系统或设备集中控管、综合分析。

建立、健全安全管理体制。

校园网用户较多，一定要建立一套合理可行的安全管理制度。

只有制度和设备的完美结合才能真正提高校园网的安全水平。

提高全员的安全意识。