校园网络安全全面解决方案

2004-9-21　发布方：xigp　网友评论 0 条　点击进入论坛

    一、 校园网概述
    信息技术已引起了全面而深刻的社会变革，将彻底改变我们的教育、我们的学校、我们的教师和我们的孩子，教育该如何面对这种冲击？为此，世界各国政府都对教育的发展给予了前所未有的关注，把信息化教育放到重要的位置上，纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。  因此校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：
    1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。
    2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。
    3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。
    4、现代教育改革的需要。
    5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。
    1.1我国校园网现状
    无论您是否意识到，我们正处于这样一个时代：计算机技术无孔不入地渗透到社会的每一个角落，人们的生活方式也在潜移默化中改变着。教育这个任何时代永恒的主题，也因现代高科技的发展而发生质的变化。目前国内校园网建设的蓬勃发展正在告诉我们这样一个事实：未来教育将从传统"课堂"教育向网上教育发展，而校园网的建设正是这一重大转变的开端。教育也要"上网"
    1997年开始，我国校园网络建设悄然兴起。全国各省市都把建设校园网作为现代教育的头等大事来抓。
    1999年9月，教育部决定正式启动国家现代远程教育工程，清华大学、浙江大学、北京邮电大学、湖南大学等高校获准进行试点。目前，这几所院校已初步形成了开办现代远程教育的技术手段。
    各校在实践中逐渐意识到：一所学校教育质量的好坏，学术水平层次的高低，与教学手段的先进程度息息相关，教学手段对学校整体的发展有着直接影响。
    在世界各发达国家，校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。如美国要求所有中小学生都能上网，都能使用电子邮件，并计划将全国122所一流大学与社会广泛连接，构筑一个教育与研究的专用网络；英国提出要在2000年成立网上工业大学，到2002年所有中小学、图书馆、学院和大学全部介入全国的学习网；新加坡提出八岁儿童能阅读，十二岁儿童能上网。
    也许像发达国家那样建立覆盖全国的教育网络在我国目前国情下还不现实，我们当前的首要任务是减少文盲。但21世纪，不懂电脑的人无异于信息时代的文盲。信息时代人的重要能力体现就是对信息的获取和处理能力，网络将架起信息交流和获取的桥梁。从这个意义上讲，21世纪的中国每一所学校都应该建立起自己的校园网络。
    信息时代，未来教育发展层次的高低与教育网络的建设息息相关，未来教育具有创造性、多样性、开放性和个性化的特点。我们落后的教学手段与封闭的教学模式再也不能适应未来教育需求，我们需要的是在现代计算机技术基础上，全方位开放、互动式交流的全新网络教育环境。
    1996年，教育部提出要以全国1000所中小学校作为试点，建立起各自的校园网络。截止2000年年初，教育部宣布有500多家已建立。可以说，在国家政策扶持下，我国校园网建设取得了飞速发展。但现实中，各地在建立学校校园网的过程中又存在这样那样的问题，如有的学校建网初期就缺乏整体规划，从而导致主干网和各子网通路不畅，或是导致后期整体效率不高；有的学校缺乏必要的网络建设监督人员，将项目交给一些实力较弱或是责任心较差的公司全权负责，结果导致建网质量偏低，后期维护费用偏大；还有的学校认为校园网就是"一揽子"计划，忽视了后期维护和配套建设工作，从而导致后期预算偏紧，校园网难以正常运作……为了解决上述问题，在建网时应注意：
    1. 校园网建设没有通用方案，每个学校应根据自身实际情况（资金和技术能力），设计自身的校园网络；
    2. 校园网建设是一个周期较长，规模庞大的系统工程，不能"一蹴而就"，更不能只考虑局部建设，而缺乏整体规划；
    3. 重视对教师的培训，避免因教师素质原因导致网络应用效率不高，从而导致资源的浪费。
    各学校应抓住契机把握"网"脉，根据自身条件使校园网建设达到一个新的高度。
    发达国家经验告诉我们，建设校园网需要全社会的关注与支持。与政府有限投入相比，来自工业界和非赢利社会组织的资金支持将是校园网建设的巨大推动力。20世纪末，几乎与世界同步，企业已感受到未来校园网建设的市场需求，校园网络产品的日益丰富和实用为学校提供了更大选择空间。在推动教育发展及企业自身利益的双重驱动下，企业提供的产品及服务日益完善和多样化，从而为我国校园网的建设提供了良好的操作平台。目前，国内针对校园需求推出了各种各样的产品及解决方案。如清华同方专门针对我国学校教育情况推出的面向教育行业的全方位解决方案，包括各类教学办公设备和产品（教育电脑、服务器、光盘产品设备、数字办公中心、多媒体网络教室（THTF－2000H）、校园管理系统、考试系统、教师备课系统），为校园网络建设提供了很好的解决方案。自推出以来，已成功为重庆、沈阳等地中小学校园构建了良好性能的校园网络。同时清华同方依托清华大学的教育经验以及技术上的优势，将未来现代教育的理念传输到我国教育行业中，也能促进我国全面素质教育的展开及延续。据悉，清华大学网上教育现已开通，也许很快，学生便能通过网络圆上"清华梦"。另外，近期迅速崛起的许多教育网站，也为学生提供了更多的网络信息。

    入世后电讯资费的减低及服务的完善，也为我国校园网的建设提供了良好契机。目前，我国电讯服务业有严格的进入限制。"入世"后，中国将在五年内取消对移动电话的限制，六年内取消对国内电话线路的限制，约占中国国内电讯往来75％的北京、上海和广州的主要电讯服务通道，将立即对所有电讯服务商开放，并允许所有电讯服务领域中外国投资的份额达到49％。这意味着美国等信息产业大国将以其巨大优势参与竞争。竞争的加剧将大大促进我国的信息技术的发展。由于竞争，电讯资费将大幅下调，教育信息化将大大降低成本。这些变化将为国内校园网建设开创有利的条件。
    据有关资料显示，截止1999年底，全国中小学计算机的配置已达到15万多台；全国重点高校有95％以上启动了校园网或局域网建设。更为重要的是，教育界已经意识到，现在的计算机教育已由单纯的一门课程发展为信息化教育工程。可以预计，借助网络的教育手段必将在中国大地遍地生根。
    但另一方面，随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏,或被删除或被复制，数据的安全性和自身的利益受到了严重的威胁。
    校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生，非更改考试成绩；更改英语全国四、六级统考成绩；更改考研成绩；非法盗取学校招生、分配机密 …
    而且,我们还必须关注一下学生上网情况，创造良好的上网环境，保证学生健康上网。近日由一市场研究有限公司调查公布的一组数据，引起中国教育学家和社会学家的关注。在参与调查的三千名中国大中学生中，曾光顾色情网站的占46%，76%的学生网民沉迷聊天室，只有近三成的同学在回答上网目的时选择"搜索信息"、"下载软件"，另有35%的人选择玩游戏。
    近日香港商报的消息也表示，在中国目前1000万的网民中，有157万是在校大专学生。一般校园网吧对不健康网站都装备拒绝访问装置，然而让网络管理部门完全清楚数以万计的网站健康与否着实是个难题，何况每天还有不少新的网站产生呢！据调查，学生在校园网吧和宿舍上网都没有访问国外网站的权限，但在良莠不齐的国内网站中，不健康的网站一样存在。
    综上所述，网络必须有足够强的安全措施。无论是公众网还是校园网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。
    1.2校园网的总体设计思想
    校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化教学环境系统。因此，在总体上如何筹划、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。
    总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先是进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。
    校园网总体设计方案是否科学，要看其能否满足以下基本要求：
    1. 整体规划安排。从学校建设的全局和全面工作需要出发，考虑部门的地理分布和通信条件。整体规划网络建设方案，对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。
    2. 先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术，兼顾网络技术的发展方向，选择结构化、可扩充、多用途的网络产品，保证网络在较长时间内不落后。
    3. 结构合理。在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。
    4. 高效实用。着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机仿真，远程计算机与数据处理等。     
    5．支持宽带多媒体业务，例如远程教学、多媒体网络教室、会议电视    
    6．为学术交流提供良好的环境与CERNET、CHINANET等进行高速互连，快速访问Internet，与国内外同行交流信息、协同工作和展示学校的形象。
    1.3校园网建设的整体内容:
    一个完整的校园网建设应包括三个内容：网络技术方案设计；应用信息系统资源建设；网络安全方案设计。本书将着重介绍网络安全方案设计，网络技术方案设计和应用信息系统资源建设将作简单介绍。
    网络技术方案设计主要包括两个方面：结构化布线与设备选择、网络技术及设备选型。
    应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等的选择。内部信息资源建设包括校园办公管理系统、多媒体网络教室、多媒体电子图书阅览室、网络多媒体课件制作系统、内部通信信息服务系统、视频点播等。外部信息资源建设包括学校主页、远程教学、Internet信息管理等。
    网络安全方案设计主要包括网络安全设计和网络安全管理。
    1.4校园网络安全概述
    自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。
    由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，校园网络可能存在的安全威胁来自以下方面：
    1. 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；
    2. 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；
    3. 来自内部网用户的安全威胁；
    4. 缺乏有效的手段监视、评估网络系统的安全性；
    5. 采用的TCP/IP协议族软件，本身缺乏安全性；
    6. 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

    二、西风网络安全解决方案
    2.1湖南西风层次式网络安全模型
    第一层："东方网警"防火墙，该层主要功能是对任何访问网络的外部行为进行认证，同时最大限度的对外部网络屏蔽信息、结构和运行状态，对未经授权的用户予以限制。
    第二层："东方网警"入侵检测系统，该层主要作用是对通过第一层限制的外部访问者进行检测。该系统主动的网络安全防护技术，先从网络系统资源中搜集信息，分析可能出现的攻击行为，对各种入侵行为做出响应，同时在不影响网络性能的前提下进行监测，避免由外部攻击造成的损失。
    第三层："东方网警"专网机，网络信息在传输过程中容易被网络攻击行为截取或被修改、若有意插入假信息甚至是病毒等，使信息的完整性受到破坏。该层主要是通过对所传输信息进行加密，接收方用私有密钥对接收到的信息进行解密。避免信息在传输中遭到破坏。
    第四层："东方网警"邮件监控系统和"东方网警"网站监控系统，该层作用主要是防止网站主页被破坏或防止网络内部用户通过EMAIL、UPLOAD等方式向外界发送信息，以防信息外泄。
    第五层："东方网警"数据备份系统，该层是对网络内各种数据进行搜集，并按时进行备份，避免一旦重大事故发生而造成的资源损失。
    第六层："东方网警"网络隐患扫描系统和"东方网警"系统隐患扫描系统，该层作用是对各种由于因合法用户失误或故意而导致的网络、系统的损坏，它通过主动对网络及系统的检测分析存在漏洞及问题，从而提醒网管对系统进行及时的维护。
    网络安全是一个长期的、动态的过程，内部人员的蓄意破坏、管理操作者的失误、商业对手的嗅探、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全，而一个网络系统的安全性取决于它最薄弱的环节，对任一层次或细节的忽略都将导致无法估量的损失。湖南西风科技的层次式安全模型是一个动态调节网络安全策略、自动响应保护的反馈防范体系，它实时监控、捕获网络中任何安全漏洞、入侵信息，对可疑或攻击行为采取告警、拦截等方式，将不安全因素消除在萌芽状态中。
    2.2西风网络安全产品
    一个优秀的网络安全整体解决方案，离不开产品的支持，产品决定了体系的严谨性和规范性。任何产品得不到用户的认可与肯定，就毫无意义。公司在研发生产的每一个五一节，都融入了客户至上的思想和他们的真实需求，本着"心系用户"的宗旨，设计从创新入手、突破关键技术，加大软件产品开发的规范性和可控性。深圳高交会上，一位与会领导曾用一句话概括了西风产品的精髓--"科技融入智慧，推动网络进步"。
    由湖南西风科技所有网络安全产品组成的层次式网络安全防护体系如图所示：

    安全评估软件：发现漏洞，提供详细漏洞报告，辅助安全管理员及时修补漏洞，保障网络、系统和数据库的全面安全。比如：
    "东方网警"隐患扫描系统 for Windows NT 4.0 Workstation
    "东方网警"隐患扫描系统 for Solaris (SPARC) 2.3+
    "东方网警"隐患扫描系统 for Linux kernel 2.0.24+
    实时监控软件：实时监控访问网络和系统的数据包，分析可疑行为，警告安全管理员或中断攻击连接，保护网络和系统不受攻击，生成详细报表，为管理员完善安全策略提供依据。比如：
    "东方网警"入侵检测系统 Console for Windows 95/98、NT 4.0 Server/Workstation
    "东方网警"入侵检测系统 Network Engine for NT 4.0 Server/Workstation
    "东方网警"入侵检测系统 Network Engine for Solaris (SPARC) 2.5.1,2.6,2.7
    "东方网警"入侵检测系统 Network Engine for Solaris x86 2.6,2.7
    "东方网警"入侵检测系统 System Agent for NT Server/Workstation
    "东方网警"入侵检测系统 System Agent for Solaris SPARC 2.5.1, 2.6, 7
    三 校园网络安全系统的总体规划
    3.1安全体系结构
    网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如图所示：

    3.1.1安全体系设计
    安全体系设计原则
    在进行计算机网络安全设计、规划时，应遵循以下原则：
    1． 需求、风险、代价平衡分析的原则 ：
    2． 综合性、整体性原则 ：
    3．一致性原则 ：
    4．易操作性原则 ：
    5．适应性、灵活性原则
    6．多重保护原则
    任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。
    网络安全策略
    安全策略分安全管理策略和安全技术实施策略两个方面：
    1． 管理策略
    安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。
    2． 技术策略
    技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。
    安全管理原则
    计算机信息系统的安全管理主要基于三个原则。
    1．多人负责原则
    每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。
    2．任期有限原则
    一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。
    3．职责分离原则
    除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
    安全管理的实现
    信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：
    l 确定该系统的安全等级；
    l 根据确定的安全等级，确定安全管理的范围；
    l 制订相应的机房出入管理制度，对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；
    l 制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；
    l 制订完备的系统维护制度，维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录；
    l 制订应急措施，要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小；
    l 建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。
    安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。
    总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。
    网络安全设计
    由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。
    物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。
    在链路层，通过"桥"这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。
在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等，其中Internet/企业网的接口要采用专用防火墙，骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。
    一、 校园网概述
    信息技术已引起了全面而深刻的社会变革，将彻底改变我们的教育、我们的学校、我们的教师和我们的孩子，教育该如何面对这种冲击？为此，世界各国政府都对教育的发展给予了前所未有的关注，把信息化教育放到重要的位置上，纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。  因此校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：
    1、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。
    2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。
    3、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统，并且越来越形象化、实用化，迫切需要网络环境。
    4、现代教育改革的需要。
    5、计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。
    1.1我国校园网现状
    无论您是否意识到，我们正处于这样一个时代：计算机技术无孔不入地渗透到社会的每一个角落，人们的生活方式也在潜移默化中改变着。教育这个任何时代永恒的主题，也因现代高科技的发展而发生质的变化。目前国内校园网建设的蓬勃发展正在告诉我们这样一个事实：未来教育将从传统"课堂"教育向网上教育发展，而校园网的建设正是这一重大转变的开端。教育也要"上网"
    1997年开始，我国校园网络建设悄然兴起。全国各省市都把建设校园网作为现代教育的头等大事来抓。
    1999年9月，教育部决定正式启动国家现代远程教育工程，清华大学、浙江大学、北京邮电大学、湖南大学等高校获准进行试点。目前，这几所院校已初步形成了开办现代远程教育的技术手段。
    各校在实践中逐渐意识到：一所学校教育质量的好坏，学术水平层次的高低，与教学手段的先进程度息息相关，教学手段对学校整体的发展有着直接影响。
    在世界各发达国家，校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。如美国要求所有中小学生都能上网，都能使用电子邮件，并计划将全国122所一流大学与社会广泛连接，构筑一个教育与研究的专用网络；英国提出要在2000年成立网上工业大学，到2002年所有中小学、图书馆、学院和大学全部介入全国的学习网；新加坡提出八岁儿童能阅读，十二岁儿童能上网。
    也许像发达国家那样建立覆盖全国的教育网络在我国目前国情下还不现实，我们当前的首要任务是减少文盲。但21世纪，不懂电脑的人无异于信息时代的文盲。信息时代人的重要能力体现就是对信息的获取和处理能力，网络将架起信息交流和获取的桥梁。从这个意义上讲，21世纪的中国每一所学校都应该建立起自己的校园网络。
    信息时代，未来教育发展层次的高低与教育网络的建设息息相关，未来教育具有创造性、多样性、开放性和个性化的特点。我们落后的教学手段与封闭的教学模式再也不能适应未来教育需求，我们需要的是在现代计算机技术基础上，全方位开放、互动式交流的全新网络教育环境。
    1996年，教育部提出要以全国1000所中小学校作为试点，建立起各自的校园网络。截止2000年年初，教育部宣布有500多家已建立。可以说，在国家政策扶持下，我国校园网建设取得了飞速发展。但现实中，各地在建立学校校园网的过程中又存在这样那样的问题，如有的学校建网初期就缺乏整体规划，从而导致主干网和各子网通路不畅，或是导致后期整体效率不高；有的学校缺乏必要的网络建设监督人员，将项目交给一些实力较弱或是责任心较差的公司全权负责，结果导致建网质量偏低，后期维护费用偏大；还有的学校认为校园网就是"一揽子"计划，忽视了后期维护和配套建设工作，从而导致后期预算偏紧，校园网难以正常运作……为了解决上述问题，在建网时应注意：
    1. 校园网建设没有通用方案，每个学校应根据自身实际情况（资金和技术能力），设计自身的校园网络；
    2. 校园网建设是一个周期较长，规模庞大的系统工程，不能"一蹴而就"，更不能只考虑局部建设，而缺乏整体规划；
    3. 重视对教师的培训，避免因教师素质原因导致网络应用效率不高，从而导致资源的浪费。
    各学校应抓住契机把握"网"脉，根据自身条件使校园网建设达到一个新的高度。
    发达国家经验告诉我们，建设校园网需要全社会的关注与支持。与政府有限投入相比，来自工业界和非赢利社会组织的资金支持将是校园网建设的巨大推动力。20世纪末，几乎与世界同步，企业已感受到未来校园网建设的市场需求，校园网络产品的日益丰富和实用为学校提供了更大选择空间。在推动教育发展及企业自身利益的双重驱动下，企业提供的产品及服务日益完善和多样化，从而为我国校园网的建设提供了良好的操作平台。目前，国内针对校园需求推出了各种各样的产品及解决方案。如清华同方专门针对我国学校教育情况推出的面向教育行业的全方位解决方案，包括各类教学办公设备和产品（教育电脑、服务器、光盘产品设备、数字办公中心、多媒体网络教室（THTF－2000H）、校园管理系统、考试系统、教师备课系统），为校园网络建设提供了很好的解决方案。自推出以来，已成功为重庆、沈阳等地中小学校园构建了良好性能的校园网络。同时清华同方依托清华大学的教育经验以及技术上的优势，将未来现代教育的理念传输到我国教育行业中，也能促进我国全面素质教育的展开及延续。据悉，清华大学网上教育现已开通，也许很快，学生便能通过网络圆上"清华梦"。另外，近期迅速崛起的许多教育网站，也为学生提供了更多的网络信息。

    入世后电讯资费的减低及服务的完善，也为我国校园网的建设提供了良好契机。目前，我国电讯服务业有严格的进入限制。"入世"后，中国将在五年内取消对移动电话的限制，六年内取消对国内电话线路的限制，约占中国国内电讯往来75％的北京、上海和广州的主要电讯服务通道，将立即对所有电讯服务商开放，并允许所有电讯服务领域中外国投资的份额达到49％。这意味着美国等信息产业大国将以其巨大优势参与竞争。竞争的加剧将大大促进我国的信息技术的发展。由于竞争，电讯资费将大幅下调，教育信息化将大大降低成本。这些变化将为国内校园网建设开创有利的条件。
    据有关资料显示，截止1999年底，全国中小学计算机的配置已达到15万多台；全国重点高校有95％以上启动了校园网或局域网建设。更为重要的是，教育界已经意识到，现在的计算机教育已由单纯的一门课程发展为信息化教育工程。可以预计，借助网络的教育手段必将在中国大地遍地生根。
    但另一方面，随着计算机网络的广泛使用和网络之间信息传输量的急剧增长，一些机构和部门在得益于网络加快业务运作的同时，其上网的数据也遭到了不同程度的破坏,或被删除或被复制，数据的安全性和自身的利益受到了严重的威胁。
    校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生，非更改考试成绩；更改英语全国四、六级统考成绩；更改考研成绩；非法盗取学校招生、分配机密 …
    而且,我们还必须关注一下学生上网情况，创造良好的上网环境，保证学生健康上网。近日由一市场研究有限公司调查公布的一组数据，引起中国教育学家和社会学家的关注。在参与调查的三千名中国大中学生中，曾光顾色情网站的占46%，76%的学生网民沉迷聊天室，只有近三成的同学在回答上网目的时选择"搜索信息"、"下载软件"，另有35%的人选择玩游戏。
    近日香港商报的消息也表示，在中国目前1000万的网民中，有157万是在校大专学生。一般校园网吧对不健康网站都装备拒绝访问装置，然而让网络管理部门完全清楚数以万计的网站健康与否着实是个难题，何况每天还有不少新的网站产生呢！据调查，学生在校园网吧和宿舍上网都没有访问国外网站的权限，但在良莠不齐的国内网站中，不健康的网站一样存在。
    综上所述，网络必须有足够强的安全措施。无论是公众网还是校园网中，网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。
    1.2校园网的总体设计思想
    校园网不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化教学环境系统。因此，在总体上如何筹划、组织网络建设和开发应用的设计思想是校园网建设中的最重要的问题。
    总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先是进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓朴结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。
    校园网总体设计方案是否科学，要看其能否满足以下基本要求：
    1. 整体规划安排。从学校建设的全局和全面工作需要出发，考虑部门的地理分布和通信条件。整体规划网络建设方案，对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。
    2. 先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术，兼顾网络技术的发展方向，选择结构化、可扩充、多用途的网络产品，保证网络在较长时间内不落后。
    3. 结构合理。在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。
    4. 高效实用。着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机仿真，远程计算机与数据处理等。     
    5．支持宽带多媒体业务，例如远程教学、多媒体网络教室、会议电视    
    6．为学术交流提供良好的环境与CERNET、CHINANET等进行高速互连，快速访问Internet，与国内外同行交流信息、协同工作和展示学校的形象。
    1.3校园网建设的整体内容:
    一个完整的校园网建设应包括三个内容：网络技术方案设计；应用信息系统资源建设；网络安全方案设计。本书将着重介绍网络安全方案设计，网络技术方案设计和应用信息系统资源建设将作简单介绍。
    网络技术方案设计主要包括两个方面：结构化布线与设备选择、网络技术及设备选型。
    应用信息系统资源建设主要包括：内部信息资源建设、外部信息资源建设等的选择。内部信息资源建设包括校园办公管理系统、多媒体网络教室、多媒体电子图书阅览室、网络多媒体课件制作系统、内部通信信息服务系统、视频点播等。外部信息资源建设包括学校主页、远程教学、Internet信息管理等。
    网络安全方案设计主要包括网络安全设计和网络安全管理。
    1.4校园网络安全概述
    自信息系统开始运行以来就存在信息系统安全问题，通过网络远程访问而构成的安全威胁成为日益受到严重关注的问题。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。
    由于校园网络内运行的主要是多种网络协议，而这些网络协议并非专为安全通讯而设计。所以，校园网络可能存在的安全威胁来自以下方面：
    1. 操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC；
    2. 防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经过检验；
    3. 来自内部网用户的安全威胁；
    4. 缺乏有效的手段监视、评估网络系统的安全性；
    5. 采用的TCP/IP协议族软件，本身缺乏安全性；
    6. 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。

    二、西风网络安全解决方案
    2.1湖南西风层次式网络安全模型
    第一层："东方网警"防火墙，该层主要功能是对任何访问网络的外部行为进行认证，同时最大限度的对外部网络屏蔽信息、结构和运行状态，对未经授权的用户予以限制。
    第二层："东方网警"入侵检测系统，该层主要作用是对通过第一层限制的外部访问者进行检测。该系统主动的网络安全防护技术，先从网络系统资源中搜集信息，分析可能出现的攻击行为，对各种入侵行为做出响应，同时在不影响网络性能的前提下进行监测，避免由外部攻击造成的损失。
    第三层："东方网警"专网机，网络信息在传输过程中容易被网络攻击行为截取或被修改、若有意插入假信息甚至是病毒等，使信息的完整性受到破坏。该层主要是通过对所传输信息进行加密，接收方用私有密钥对接收到的信息进行解密。避免信息在传输中遭到破坏。
    第四层："东方网警"邮件监控系统和"东方网警"网站监控系统，该层作用主要是防止网站主页被破坏或防止网络内部用户通过EMAIL、UPLOAD等方式向外界发送信息，以防信息外泄。
    第五层："东方网警"数据备份系统，该层是对网络内各种数据进行搜集，并按时进行备份，避免一旦重大事故发生而造成的资源损失。
    第六层："东方网警"网络隐患扫描系统和"东方网警"系统隐患扫描系统，该层作用是对各种由于因合法用户失误或故意而导致的网络、系统的损坏，它通过主动对网络及系统的检测分析存在漏洞及问题，从而提醒网管对系统进行及时的维护。
    网络安全是一个长期的、动态的过程，内部人员的蓄意破坏、管理操作者的失误、商业对手的嗅探、网络黑客的攻击、操作系统公开或未公开的漏洞、网络架构的变动、网络安全人才的缺乏都将导致网络系统的不安全，而一个网络系统的安全性取决于它最薄弱的环节，对任一层次或细节的忽略都将导致无法估量的损失。湖南西风科技的层次式安全模型是一个动态调节网络安全策略、自动响应保护的反馈防范体系，它实时监控、捕获网络中任何安全漏洞、入侵信息，对可疑或攻击行为采取告警、拦截等方式，将不安全因素消除在萌芽状态中。
    2.2西风网络安全产品
    一个优秀的网络安全整体解决方案，离不开产品的支持，产品决定了体系的严谨性和规范性。任何产品得不到用户的认可与肯定，就毫无意义。公司在研发生产的每一个五一节，都融入了客户至上的思想和他们的真实需求，本着"心系用户"的宗旨，设计从创新入手、突破关键技术，加大软件产品开发的规范性和可控性。深圳高交会上，一位与会领导曾用一句话概括了西风产品的精髓--"科技融入智慧，推动网络进步"。
    由湖南西风科技所有网络安全产品组成的层次式网络安全防护体系如图所示：

    安全评估软件：发现漏洞，提供详细漏洞报告，辅助安全管理员及时修补漏洞，保障网络、系统和数据库的全面安全。比如：
    "东方网警"隐患扫描系统 for Windows NT 4.0 Workstation
    "东方网警"隐患扫描系统 for Solaris (SPARC) 2.3+
    "东方网警"隐患扫描系统 for Linux kernel 2.0.24+
    实时监控软件：实时监控访问网络和系统的数据包，分析可疑行为，警告安全管理员或中断攻击连接，保护网络和系统不受攻击，生成详细报表，为管理员完善安全策略提供依据。比如：
    "东方网警"入侵检测系统 Console for Windows 95/98、NT 4.0 Server/Workstation
    "东方网警"入侵检测系统 Network Engine for NT 4.0 Server/Workstation
    "东方网警"入侵检测系统 Network Engine for Solaris (SPARC) 2.5.1,2.6,2.7
    "东方网警"入侵检测系统 Network Engine for Solaris x86 2.6,2.7
    "东方网警"入侵检测系统 System Agent for NT Server/Workstation
    "东方网警"入侵检测系统 System Agent for Solaris SPARC 2.5.1, 2.6, 7
    三 校园网络安全系统的总体规划
    3.1安全体系结构
    网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等，其安全体系结构如图所示：

    3.1.1安全体系设计
    安全体系设计原则
    在进行计算机网络安全设计、规划时，应遵循以下原则：
    1． 需求、风险、代价平衡分析的原则 ：
    2． 综合性、整体性原则 ：
    3．一致性原则 ：
    4．易操作性原则 ：
    5．适应性、灵活性原则
    6．多重保护原则
    任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。
    网络安全策略
    安全策略分安全管理策略和安全技术实施策略两个方面：
    1． 管理策略
    安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。
    2． 技术策略
    技术策略要针对网络、操作系统、数据库、信息共享授权提出具体的措施。
    安全管理原则
    计算机信息系统的安全管理主要基于三个原则。
    1．多人负责原则
    每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。
    2．任期有限原则
    一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。
    3．职责分离原则
    除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
    安全管理的实现
    信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：
    l 确定该系统的安全等级；
    l 根据确定的安全等级，确定安全管理的范围；
    l 制订相应的机房出入管理制度，对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；
    l 制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；
    l 制订完备的系统维护制度，维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录；
    l 制订应急措施，要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小；
    l 建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。
    安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级用户的培训也十分重要，只有当用户对网络安全性有了深入了解后，才能降低网络信息系统的安全风险。
    总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。
    网络安全设计
    由于网络的互连是在链路层、网络层、传输层、应用层不同协议层来实现，各个层的功能特性和安全特性也不同，因而其网络安全措施也不相同。
    物理层安全涉及传输介质的安全特性，抗干扰、防窃听将是物理层安全措施制定的重点。
    在链路层，通过"桥"这一互连设备的监视和控制作用，使我们可以建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。
在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等，其中Internet/企业网的接口要采用专用防火墙，骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。
    3.2安全产品选型原则
    在进行网络安全方案的产品选型时，要求安全产品至少应包含以下功能：
    l 访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前；
    l 检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效；
    l 攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）；
    l 加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息；
    l 认证：良好的认证体系可防止攻击者假冒合法用户；
    l 备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务；
    l 多层防御：攻击者在突破第一道防线后，延缓或阻断其到达攻击目标；
    l 隐藏内部信息：使攻击者不能了解系统内的基本情况；
    l 设立安全监控中心：为信息系统提供安全体系管理、监控，保护及紧急情况服务。
    四、网络安全服务及技术培训支持
    4.1网络安全服务
    湖南西风科技发展有限公司是一家为用户提供网络安全服务的高新技术企业，它拥有一支优秀的网络安全专家队伍，致力于网络安全技术研究、网络安全产品开发，在网络协议、网络攻防、网络监控、虚拟私有网（VPN）、网络安全隐患扫描、防火墙、信息过滤等网络安全技术方面有着丰富的经验，已经研制开发出了一系列具有自主知识产权的网络安全软件产品，包括：防火墙、入侵检测系统、隐患扫描系统，专网机等。"湖南西风科技"本着以用户为中心，为用户提供标准化、专业化、多元化、全方位服务的宗旨，为用户提供风险评估、全面的安全解决方案、处理突发网络安全事件、紧急响应、产品选型及安全知识咨询等安全服务。
    4.2技术支持
    作为全国知名的信息安全服务机构，湖南西风科技发展有限公司通过先进的产品、领先的技术、完善的服务，为学校、政府和企业网络信息资源提供可靠的保护。湖南西风科技发展有限公司自进入市场以来，先后参与了国内多个重大网络安全项目的建设，为不同领域的用户提供了先进、可靠的网络安全解决方案。如何才能不负众望，是我们关注的焦点。为此，我们一直在作不懈的努力。公司一贯坚持在发展的同时，赢得最高用户满意度的宗旨。公司有义务向用户提供最好的技术支持和服务，提高用户的满意度。
    随着IP网络技术的高速发展，IP应用的日益增多，随之而来的"新通信世界"的概念也逐步被越来越多的人所接受。随着新技术的应用所产生的影响和变革有：
    1. 通过应用新的通信技术使人们日常生活和工作模式发生变化；
    2. 最终用户和产品供应商对这些新技术产品的工程、维护、运营模式将随之发生变化。这些新技术的应用，将使人们深深体会到"地球村"的真实含义。
    3. 由于通信技术的发展，远程维护技术作为地球村概念的一种应用在维护技术中的比重日益加大。
    4.2.1  售前技术支持
    湖南西风科技发展有限公司将根据用户网络的架构，分析用户网络的安全需求，提供全方位网络安全方案的设计；并可以根据用户需要，提供产品使用培训、产品的安装和调试演示、技术测试、试点工程产品实施及试运行期间的技术咨询和问题解答，还可提供现场故障解决、培训等服务。
    4.2.2  售后技术支持
    由湖南西风科技发展有限公司及湖南西风科技发展有限公司代理组织专职技术工程师，负责网络安全项目中的产品安装、维护、系统支持与咨询服务。这其中包括：
    电话支持
    公司提供7X24小时产品售后支持，最终用户有权得到西风公司的技术电话支持。西风公司将在接到最终用户电话的一小时内同用户取得联系。
    包括热线电话即时指导服务：由用户方的技术人员对故障现象、故障信息进行详细的观察记录，然后通过热线电话通报湖南西风科技发展有限公司，共同确认解决方案，指导用户方人员现场操作，排除故障。
    现场支持
    公司建有故障快速响应队伍，最终用户有权得到现场支援。当最终用户报告产品故障通过技术电话支持不能被解决时，湖南西风科技发展有限公司将派出技术工程师在48小时内抵达现场，为用户提供现场支持服务。
    远程在线服务
    在紧急情况下，湖南西风科技发展有限公司提供远程在线方式解决疑难问题或突发事件。湖南西风科技发展有限公司将对最终用户的电子邮件在24小时内给予答复。
    巡回检修
    湖南西风科技发展有限公司将定期对最终用户的系统进行巡回检修服务，并到用户现场进行培训、系统维护、专业咨询等服务。
    软件升级
    最终用户有权得到合同文档所列软件产品发行的全部软件升级版本（包括有关的版本注释）。这包括当合同文档所列软件产品有新的软件升级版本时，及时通知最终用户。根据最终用户的请求，向每一个现场发送一份当前版本的软件原版拷贝。

相关案例

• ·惠普网络助力中小学校网络建设解决方案[图]
• ·广州高科通信校园网VoIP解决方案[图]
• ·安奈特中小学校园网解决方案[图]
• ·校园网络解决方案
• ·华为校园网解决方案[图]

• ·华胜天成数字校园框架方案
• ·联想多功能教室解决方案[图]
• ·东软集团教育行业全方面解决方案
• ·东软集团数字化校园解决方案[组图]
• ·蓝牙技术与移动校园网面临问题与解决方案

推荐解决方案

领军企业实施案例

电子杂志订阅

赞助商链接