第一篇:XX校园网网络安全解决方案
网络安全课程设计
目录
一、校园网概况
二、校园网安全需求分析
三、产品选型和网络拓扑图介绍
四、操作系统安全配置与测试
五、应用服务器(WWW)安全配置
六、防病毒体系设计
七、防火墙设计、配置与测试
一、校园网概况 该校园网始建于2000年8月,至今已经历了四个主要发展阶段,网络覆盖已遍及现有的教学办公区和学生宿舍区。截止目前,校园网光缆铺设约一万二千米,信息点铺设接近一万,开设上网帐号8000多个,办理学校免费邮箱2000左右。
校园网主干现为双千兆环网结构。校园网接入均为千兆光纤到大楼,百兆交换到桌面,具有良好的网络性能。
校园网现有三条宽带出口并行接入Internet,500兆中国电信、100兆中国网通和100兆中国教育科研网,通过合理的路由策略,为校园网用户提供了良好的出口带宽。
校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、校园网安全需求分析
将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
通过对校园网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分布实施。
三、产品选型和网络拓扑图介绍
该校园网现行核心区选用锐捷核心交换机RG-S5750S系列,24端口10/100/1000M自适应端口(支持PoE远程供电),12个复用的SFP接口,2个扩展槽。支持4K个802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。
防火墙采用深信服M5400VPN防火墙。2个LAN口,4个WAN口,2个串口。IPSec VPN隧道数:5200 条/并发SSL用户数:800 /每秒新建用户数:80 /每秒新建会话数:500/最大并发会话数目:600,000。接入层采用H3C S1048交换机,提供48个符合IEEE802.3u标准的10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准; 提供48个10/100M自适应以太网端口; 每个端口都支持Auto-MDI/MDIX功能; 每个端口都提供Speed和Link/Act指示灯,显示端口的工作状态。
校园网拓扑图:
(四、五、)操作系统安全配置与测试,WWW配置与测试。
操作系统采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下:
然后建立网站文件夹目录:
性能与目录安全性配置:
可以通过IP地址和域名限制,创建虚拟文件目录,更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。
六、防病毒体系设计
防病毒体系总体规划:
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。
1.构建控管中心集中管理架构
保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。2.构建全方位、多层次的防毒体系
结合企业实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面布控。3.构建高效的网关防毒子系统
网关防毒是最重要的一道防线,一方面消除外来邮件SMTP、POP3病毒的威胁,另一方面消除通过HTTP、FTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径。
4.构建高效的网络层防毒子系统
企业中网络病毒的防范是最重要的防范工作,通过在网络接口和重要安全区域部署网络病毒系统,在网络层全面消除外来病毒的威胁,使得网络病毒不再肆意传播,同时结合病毒所利用的传播途径,结合安全策略进行主动防御。
5.构建覆盖病毒发作生命周期的控制体系 当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前,可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除,快速恢复系统至正常状态。6.病毒防护能力
防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行,减少误报的几率。7.系统服务
系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后,能否对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件,需要防病毒厂商具有较强的应急处理能力及售后服务保障,并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。防病毒体系的管理功能:
防病毒系统能够实现分级、分组管理,不同组及客户端执行不同病毒查杀策略,全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面,直接监视和操纵服务器端/客户端,根据实际需要,添加自定义任务(例如更新和扫描任务等),支持大型网络统一管理的多级中心系统等多种复杂的管理功能。8.资源占用率 防病毒系统进行实时监控或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大。因此,防病毒系统占用系统资源要较低,不影响系统的正常运行。8.系统兼容性
防病毒系统要具备良好的兼容性,将支持以下操作系统:Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架构的操作系统。
9.病毒库组件升级
防病毒系统提供多种升级方式以及自动分发的功能,支持多种网络连接方式,具有升级方便、更新及时等特点,管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级,减少病毒库增量升级对网络资源的占用,并且采用均衡流量的策略,尽快将新版本部署到全部计算机上,时刻保证病毒库都是最新的,且版本一致,杜绝因版本不一致而可能造成的安全漏洞和安全隐患。10.软件商的企业实力
软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,企业实力将会影响这种合作的持续性,从而影响到用户企业在此方面的投入成本。
七、防火墙设计、配置
对于深信服M5400可以做以下方面的配置:
1、用户与策略管理配置:
WEB、HTTP URL过滤:
邮件过滤:
网页内容审计:
认证方式:
第二篇:校园网网络安全设计方案
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,行整合,建立一个完整的、立体的、解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,这样可以提高办公的效率,动办公的情况更是如此。件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光信息安全保护系统”的商品名称。紫光算协处理器(CAU)、只读存储器(储器(E2PROM)等,以及固化在tem)、硬件ID号、各种密钥和加密算法等。紫光artCOS,其安全模块可防止非法数据的侵入和数据的篡改,2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装必须结合网络的具体需求,将多种安全措施进多层次的网络安全防御体系,SS锁的内部集成了包括中央处理器(ROM),随机存储器(ROM内部的芯片操作系统这样一个全面的网络安全使用户可以方便地存取、修改、分发。造成泄密。特别是对于移防止文“紫光S锁”是清华紫光“桌面计算机CPU)、加密运RAM)、电可擦除可编程只读存COS(Chip Operating SysS锁采用了通过中国人民银行认证的Sm防止非法软件对S锁进行操作。IMSS。
保护网络安全的技术、手段也很多。一般来说,保护网络安但同时也造成用户的信息易受到攻击,因此,需要对移动用户的文件及文件夹进行本地安全管理,锁产品,(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。(3)客户端防毒。采用趋势科技的使管理者通过单点控制所有客户机上的防毒模块,更新。其最大特点是拥有灵活的产品集中部署方式,不受支持SMS,登录域脚本,共享安装以外,还支持纯(4)集中控管TVCS。管理员可以通过此工具在整个趋势科技的防病毒软件,支持跨域和跨网段的管理,无论运行于何种平台和位置,装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,通过十次以上的非线性迭代运算,先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,访问、辨别身份伪装等方面存在着很大的缺陷,方案选用四台网御防火墙,这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,保护了单位网络服务器,使其不受来自内部的攻击,来自单位网内部其他部门的网络的攻击。一方面减少了整个防毒系统对原系统的影响,另
OfficeScan。该产品作为网络版的客户端防毒系统,并可以自动对所有客户端的防毒模块进行Windows域管理模式的约束,除Web的部署方式。
企业范围内进行配置、监视和维护并能显示基于服务器的防病毒产品状态。TVCS在整个网络中总起一个单一管理控制台作用。简便的安
结合生成动态口令的特点,加以精心修改,完成时间参数与密钥充分的混合扩散。在此基础上,采用在控制不可信连接、分辨非法从而构成了对网络安全的重要隐患。本设计实现通彼此隔离。这样不仅也保护了各部门网络和数据服务器不受如果有人闯进您的一个部门,或者如果病毒开始蔓
分别配置在高性能服务器和三个重要部门的局域网出入口,延,网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。SJW-22网络密码机系统组成网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。本地管理器(软件)络密码机本地管理系统软件。中心管理器(软件)机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略,安全网的安全建设可采取的方法,“内审息是否泄密,以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,人员而设计的一套网络安全产品,制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控及共享资源的使用情况。心为主机传感器设定监控规则,文件保护审计和主机信息审计。①文件保护审计::是一个安装于密码机本地管理平台上的基于网络或串口方式的网
:是一个安装于中心管理平台(忠实记录网络上发生的一切,”的安全审计系统作为安全审计工具。是一个分布在整个安全网范围内的网络安全监视监测、同时获得监控结果、Windows系统)上的对全网的密码“加密”、“外防”、“内审”相结合提供取证手段。作为网络安全十分安全审计数据生
面向企事业的网络管理控RAS连接、监控网络连接情况网络管理员通过安全监控中主要功能有
”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信安全审计自动响应、“汉邦软科安全监控中心是管理平台和监控平台,报警信息以及日志的审计。文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理
规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获户实时控制键盘截获的开始和结束。③监测监控RAS连接:在用户指定的时间段内,记录所有的时控制ass连接信息截获的开始和结束。当连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。单位内网中安全审计系统采集的数据来源于安全传感器,保证探头能够采集进出网络的所有数据。上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。内网中的安全计算机为600台,需要安装7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,实时保护,在网络系统受到危害之前拦截和响应入侵。的角度出发,入侵检测理应受到人们的高度重视,可以看出。
根据网络流量和保护数据的重要程度,选择的交换机处放置,核心交换机放置控制台,和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,他网络违规活动。8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,程较高的扫描速度的扫描,可以实现和策略。同时移动式扫描仪可以跨越网段、支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,高了工作效率。
联动扫描系统支持多线程扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Host Sensor Programgas连接非法时,系统将自动进行报警或挂断计算机,所以应在安全计算机安装主机安全监控中心安装在信息中心的一台主机600个传感器。提供了对内部攻击、从网络安全的立体纵深、这从国际入侵检测产品市场的蓬勃IDS探测器(百兆)配置在内部关键子网监控和管理所有的探测器因此提供了对内部攻击分析网络通讯会话轨迹,在内网高性能服务器处配置一台网络隐200信息点以上的多个网络进行多线IDS、防火墙联动,尤其适合于制定全网统一的安全穿透防火墙,实现分布式扫描,服务器和扫描仪都大大的减轻了工作负担,支持定时和多RAS连接信息。用户实(外部攻击和误操作的 寻找网络攻击模式和其I型联动型产品由手IP地址的自动扫描,Web,单位发展就用户的所有键盘输入,用
包括:TCP多层次防御 就可以很方便的对极大的提有较高的扫描速度,方式的远程
管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,有了更高的要求。一个特定系统的网络安全方案,系统的实际应用而做。由于各个系统的应用不同,化为一个模式,用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、防御体系。
论文参考
国家和企业都对建立一个安全的网络应建立在对网络风险分析的基础上,结合不能简单地把信息系统的网络安全方案固,从桌面系统安全、病毒防护、身份鉴别、访问立体的、多层次的网络安全
第三篇:中小学校园网网络安全管理制度
中小学校园网网络安全管理制度
一、校园网的安全运行和所有网络设备的管理维护工作由学校网络 管理中心负责。
二、网络管理中心机房 要装置调温、调湿、稳压、接地、防雷、防火、防盗等设备,保证网络设备的安全运行,要建立完整、规范的校园网设备运行情况档案及网络设备帐目,认真做好各项资料(软件)的记录、分类和妥善保存工作。
三、除网络管理中心外,其他单位或个人不得以任何方式试图登陆校园网后台管理端,不得对服务器等设备进行修改、设置、删除等操作。
四、校园网对外发布信息的 WEB 服务器中的内容,必须经发布信息的学校部门负责人审核并签署意见后,交校办公室审核备案,由网络管理中心从技术上开通其对外的信息服务。
五、网络使用者不得利用各种网络设备或软件技术从事用户账户及口令的侦听、盗用活动,该活动被认为是对校园网网络用户权益的侵犯。
六、为防范黑客攻击,校园网出口处应设置硬件防火墙。若遭到黑客攻击,网络管理中心必须在二十四小时内向当地县以上 公安机关报告。
七、严禁在校园网上使用来历不明及可能引发计算机病毒的软件。外来软件应使用经 公安部门颁发了《计算机信息系统安全专用产品销售许可证》的杀毒 软件检查、杀毒。
八、不得在校园网及其联网计算机上传送危害国家安全的信息(包括多媒体信息)、录阅传送淫秽、色情资料。
九、校园网的系统软件、应用软件及信息数据要实施保密措施。信息资源分不同的保密等级对学校各部门开放。
十、双休日、节假日,要有专人检查网络运行情况。
十一、学校网络管理中心必须遵守 国家公安部及省公安厅关于网络管理的各项法律、法规和有关 技术规范,监控、封堵、清除网上有害信息。为了有效地防范网上非法活动,校园网要统一出口管理、统一用户管理,进出校园网访问信息的所有用户必须使用网络管理中心负责设立的代理服务器、Email 服务器。
十二、服务器必须保持日志记录功能,历史记录保持时间不得低于 60天。
中小学网络管理员任职条件及工作职责
一、网络管理员任职条件、具有大专以上学历,掌握扎实的计算机基础知识,接受过网络专业知识培训并获相应的资格证书,具有一定的校园网网络管理技能,胜任本职工作。、遵守国家公安部及省公安厅关于网络管理的各项法律、法规。严守国家机密。
3、思想端正,作风扎实,责任心强。、热心校园网管理工作,工作积极主动。
二、网络管理员工作职责、在学校领导和网络管理中心负责人的领导下,负责学校校园网的管理工作。承担学校网络安全运行,为学校教学、办公、学习、生活等提供安全、畅通的高速信息通道的工作职责。、每天实时监控校园网运行情况,定时巡察校园网内各服务器、各子网及各用户点的运行状态,及时做好值班记录。、每天监控防火墙、过滤网及杀毒软件的运行,并做好记录。在学校网站上及时公布目前互联网上病毒及防病毒的动态及学校防病毒方面的要求及措施,及时做好防病毒软件的更新、升级工作。
4、定时做好校园网各种运行软件的数据备份工作。备份文档每季度整理一次,并刻录成光盘保存,根据制度只提供相关部门人员查看。、定时对服务器、各部门用户的重要数据、文件进行备份,防止信息资源的丢失。
6、管理校园内所有网络设备,及时发现故障,向主管部门提出处理意见并及时维修。
7、及时升级操作系统以及必要的软件和硬件。、针对网络系统的应用进行流量监控,管理好内部局域网络和 INTERNET 之间的数据信息,为学校教学教务工作提供优质的服务。
中小学计算机教室管理制度
一、计算机教室是 信息技术教育的重要场所,供师生教学、培训使用。
二、学校要加强对计算机教室的管理,安排专职或兼职管理员 负责计算机教室的日常管理、使用、保养、维护、安全工作。
三、做好计算机及辅助设备、软件及有关文件资料的登记造册工作。要分类编号定位,逐一登记入账,做到账据齐全、账物相符。
四、做好计算机教室清洁卫生工作,保持室内整洁。
五、做好设备日常维护保养工作。要有防尘、防潮、防高低温、防晒、防静电等措施。雨季和假期要定时开机。
六、严控外来磁盘、光盘和优盘等存储介质的使用,定期进行计算机病毒检测和杀毒工作。
七、建立工作日志,记载每天计算机教室的日常工作情况。建立每台计算机的使用、保养、故障维修的技术档案。
八、加强 防火、防盗的 安全保卫工作。机房内严禁明火并合理配置消防器材,管理员应正确掌握消防器材的使用方法。下班离开教室时,管理员要负责关闭电源、锁好门窗。
九、禁止擅自拆装硬件,凡有人为损坏,查明责任、照价赔偿。
十、禁止使用人员对计算机教室机器的系统软件进行删改, 未经许可不得随意安装应用系统软件,禁止 通过本教室机器传播病毒、攻击性程序,以及有不健康内容的文件。
中小学计算机操作规程
一、进入机房前要更换专用拖鞋或使用鞋套,可携带上机操作必备的课本、资料和练习本。书包和其它物品应放在指定地点。
二、计算机教室实行定人定位及上机登记制度。学生上机时按指定位置入座,填写《上机登记表》。《上机登记表》包括姓名、班级、上机时间、机器状况、离机时间等内容。
三、开机前,应先检查电源和计算机设备,并查看该座位的 《上机登记表》,发现问题及时报告。
四、严格遵守上机操作程序:先打开显示器等外部设备,再打开主机电源;关机时顺序相反。不准频繁关启电源,关开机间隔在一分钟以上。
五、上机操作必须在教师的指导下进行。出现异常情况,应及时报告计算机教师,不得自行处理。
六、不得在机上玩游戏或进行与教学无关的操作。
七、不得私自修改计算机系统配置,如设置密码、增删软件等。
八、在使用计算机过程中,不得晃动或搬运机箱及设备,不得插接或拔下各种联结线和接口卡。
九、学生上机时,应遵守机房纪律,不得大声喧哗,不要随意下位走动。保持机房清洁卫生。
十、注意爱护计算机以及教室内的其它物品。上机完毕,应主动把各项物品放回原处。
第四篇:校园网多媒体教室解决方案
校园网多媒体教室解决方案
校园网的建设主要是为了教学应用,而多媒体辅助教学和多媒体教室是教学应用的核心,在网络组建时应考虑多媒体信息的特点,如信息量大,对时间延迟敏感等;在校园网中常会出现几十个学生执行相同操作的现象,所以要考虑并发信息的控制;学生利用网络做作业,教师要在家拨号访问学校网络,学籍管理信息在网上传输,所以也要考虑网络的安全性,防止黑客破坏网络,学生抄袭作业;校园网又是面向不同知识层次的教师、学生和办公人员的工具,它帮助我们更好地提高教学水平、办公效率和学习兴趣,所以应用和管理应简便易行,界面友好,不宜太专业化。考虑各个学校的具体情况如性质、规模、财务等,蓝代维斯科技提出了多种不同的校园网解决方案以供参考:
1、小型校园网解决方案
这是一个相对小型的校园网络,适宜于单一建筑内的网络应用,方案特点如下(黑体部分表示主要特点,详见后文阐述):
(1)支持多媒体全面应用,包括多媒体教室、电子阅览室、多媒体教学;
(2)高性能,全交换,满足用户需求;
(3)管理简单,浏览器方式无需专门培训;
(4)系统高安全,保密性高;
(5)ISDN连接方式,按需建立连接降低链路费用。
实现应用如下:
1个多媒体教室:50个多媒体用户;
1个电子阅览室:24个多媒体用户;
60个校园网普通/多媒体用户;
互联网接入,安全的广域网访问。
方案拓扑结构如下:
由图可看出,网络设备组成为:
Catalyst 2924交换机 一台
Catalyst 1924/2924交换机 五台
Cisco1700/800路由器 一台
Catalyst 2924交换机是这一网络的核心设备,它提供了24个10/100M自适应的高速以太网端口,为分支交换机Catalyst 1924和数据量很大的主服务器工作站提供高速主干连接;1924交换机具有两个100M快速以太网端口和24个10M端口,100M用于2924或教师用机的连接,10M则可提供给数据流量较少的学生机和办公机器;图中多媒体教室用到其中两台1924或2924,可为近五十台学生机提供互联网连接,另三台分别分配给电子图书浏览和办公用。这是一个全交换的网络,相对共享式集线器而言,交换机各端口拥有独占的带宽,能实现多路并行传输,不易发生冲突,能为多媒体信息提供更好的保障。
考虑到互联网接入是校园网的发展趋势,在每套解决方案中都用到了路由器来引入广域网的远程连接,这套方案中用到了思科公司的低端路由器Cisco 1700,它提供了对内的10/100M局域网接口和对外的128K的ISDN或专线连接,通过Internet实现远程教学或教学演播等应用。ISDN是国内已广泛应用的一种拨号技术,按连接时间计费,费用仅为普通电话线的2-3倍,但带宽却能达到3-4倍,且传输稳定,连接迅速。在实现基本数据传递的基础上,用户根据自己的需要灵活选用上述网络设备中的某些性能。如:路由器和交换机的组内广播功能可为多媒体信息的传输提供更高的服务;而拥有两个100M端口的1924可与2924之间建立快速以太网通道,在全双工模式下达到400M的高速级联;此外,在图中1700/800路由器上带有一个红色砖墙标志,它表示该路由器兼任了防火墙--蓝代维斯科技系列中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中--对连接到Internet这一开放网络的用户来说,安全性是网络设计中不容忽视的一项重要因素。
这套方案的好处是简便易行,成本很低,并且兼顾了教学、管理和通讯三方面应用。在实现高性价比的桌面应用的同时又做到易于配置和管理:2924和1924都属即插即用的设备,如果不添加特殊功能则不需任何配置,1700/800的设置和管理也十分方便,这样用户使用起来将得心应手,无后顾之忧。
2、支持长距离光缆的小型校园网解决方案
这套校园网络与第一套大致相似,但引入了光缆连接,因此除了具备前套方案的所有特点外,还能扩展局域网覆盖区域,适用于多建筑校园网的应用。
方案特点如下:
(1)支持多媒体应用,包括多媒体教室、电子阅览室、多媒体教学;
(2)高性能,全交换,满足用户需求;
(3)管理简单,浏览器方式无需专门培训;
(4)系统安全,保密性高;
(5)ISDN连接方式,按需建立连接降低链路费用;
(6)采用光缆支持较长距离,满足不同用户需求。
实现应用如下:
1个多媒体教室:50个多媒体用户;
1个电子阅览室:24个多媒体用户;
60个校园网普通/多媒体用户;
互联网接入,安全的广域网访问。
拓扑结构如下:
比较图1和图2可看出,图2中的中央交换机改为Catalyst 2924M,用于办公管理和电子浏览的两台分支交换机也改为Catalyst 1924C,相应的交换机间的级联链路改为了光缆。这样建设成本略为提高,设备组成变为:
由图可看出,网络设备组成为:
Catalyst 2924M交换机 一台(配置2/4端口100BaseFX模块)
Catalyst 1924/2924交换机 三台
Catalyst 1924C交换机 两台
Cisco 1700/800路由器 一台
交换机2924M的'M'表示模块化,这里选择了一个2或4端口100M光纤模块;1924C的'C'表示光纤,它的其中一个100M端口由1924的100BaseTX(双绞线)变为100BaseFX(光纤)。交换机间的多模光缆连接距离可达数百米,基本能满足校园内各建筑间连接距离要求,这样即使教学大楼、办公大楼和图书馆分散在不同位置,依然能够实现高性能的局域网应用。两台用于多媒体教学的1924/2924交换机与同一大楼内的2924M仍采用双绞线连接即可。
3、融合多媒体应用的中型校园网解决方案
对于应用更为复杂,需要更高局域网性能和多样化远程连接的学校,思科公司又推出第三套建议方案。方案特点:
(1)高性能全交换,千兆主干,满足大负荷网络运行需求;
(2)虚拟网络方便管理,提高网络安全与性能;
(3)支持多媒体应用包括多媒体教室、电子阅览室、多媒体教学;
(4)卓越的IP/TV多媒体应用系统,满足用户点播、广播需求,实现多媒体教学和管理;
(5)管理简单,浏览器方式无需专门培训;
(6)系统安全,保密性高;
(7)带宽优化技术,降低链路费用。
实现应用如下:
无用户数限制的IP/TV视频点播、广播系统;
2个多媒体教室:100个多媒体用户;
1个电子阅览室:24个多媒体用户;
80个校园网普通/多媒体用户;
16个远程用户拨号访问校园网;
互联网接入,安全的广域网访问。
拓扑结构如下:
图中网络设备组成为:
Catalyst 3524M交换机 两台
Catalyst 1924/2924/3524/3548交换机 六台
Cisco 2620路由器 一台(配置NM-8AM模块)
IP/TV视频软件 一套
方案中局域网核心由两台Catalyst 3524交换机通过千兆以太网级联组成。Catalyst 3524交换机具有24个10/100M端口和两个千兆端口,因此两台3524之间可通过两条千兆连接建立以太网通道,实现高达4G的主干连接,并且可以选择不同的1000M链路类型(1000BaseSX、1000BaseLX/LH等)来满足或长或短的距离要求;其10/100M端口用于分支交换机和主服务器的连接。
二级交换机采用Catalyst 1924/2924/3524/3548,通过100M端口与3524的10/100M端口上联,而剩余的100M或10M端口则可留给多媒体教室的教师用机和学生机,或办公用PC。通过这样的两级级联,局域网用户扩展到上百名,并且有更多的100M端口为数据库、多媒体教学或网络管理服务器提供高速连接,网络整体容量大大提高。
远程连接设备也改进为Cisco 2620路由器,它本身具有一个10/100M快速以太网端口,这里还为其选配了一个NM-8AM模块,可同时建立八条115.2Kbps的电话拨号连接,因此应用非常灵活:用户可以将一部分拨号链路连通ISP去访问Internet,或通过Internet实现远程多媒体教学;而将另一部分链路留给在家备课的老师或复习的学生,师生们可以很方便地利用家中的电话线和调制解调器连到学校的2620路由器上,满足Internet访问、数据查询及电子浏览等应用。考虑到Internet外部入侵和拨号用户的非法登录等不安全因素,2620路由器的操作系统也升级到防火墙版本,同时肩负起数据检验和过滤的功能。
除了远程连接的功能,Cisco 2620的10/100M以太网端口也为校园内部局域网实现VLAN的应用提供了可能:VLAN的划分是在交换机上进行的,利用这项功能可以将整个局域网分割成相对隔离的几个虚拟网段(即VLAN)来分别对应不同的机构和用途,从而提高VLAN内数据传递效率以及VLAN之间的安全性;当不同部门(VLAN)之间需要进行数据交换时,就需要借助路由器的路由功能,这就是VLAN的路由--VLAN的路由只能在100M以上局域网端口上完成,这是选用Cisco 2620来实现VLAN应用的原因。如不需要VLAN之间路由,也可以选择Cisco 1750路由器。
除了一个NM模块以外,2620还空余了两个WIC的广域网插槽,可为以后网络扩充(如增加DDN、ISDN或帧中继等链路)留用。
这套方案的另一关键是引入了思科公司的一套功能强大的视频应用软件-IP/TV,它的主要性能包括:
IP/TV是一套综合性客户机/服务器应用系统,服务器软件用于捕获和存贮TV图像客户机软件则可以调用和观看图像,此外还有专门的管理软件对图像内容和用户情况实施管理;
IP/TV可以实现的应用有两大类:视频广播和点播--前者由管理员选定播放内容,实时或定时向指定的客户机发送;后者则由用户自己选择所需的内容,播放到自己所处的客户机中;
IP/TV的图像采用标准的视频文件格式,如MPEG-
1、AVI、H.261等,当服务器容量和线路质量足够好时,可采用分辨率较高的图像格式,反之则可降低分辨率来减轻服务器和线路负担;
IP/TV支持标准的实时传输和组内广播协议,有利于提高传输质量,实现完全同步的全屏播放,同时保障数据传递效率,避免带宽浪费;
IP/TV具有完善的管理特性,可以对节目实施编排,也可以对观众的情况进行跟踪,查看哪些观众在观看广播的内容,哪些观众在点播节目,并能够给出分析,以便更好的规划网络带宽等参数;
IP/TV还提供了便于教学应用的疑问管理器和幻灯播放。学生可以通过点击浏览器窗口中的疑问管理器输入问题,管理器将问题传递到显示器得以立即答复或存档以便日后补答。幻灯播放使学员在一个窗口中观看教学幻灯的同时看到教员的形象;
IP/TV基于流行的Windows NT操作系统和TCP/IP网络协议,硬件平台为PC服务器,便于实施和掌握,经济可行。
由此可见,IP/TV是一套非常适合教学系统的应用解决方案。在拓扑图中主干交换机3524通过100M端口连接了一台IP/TV的主服务器,利用摄像机或卫星天线获取多媒体教学内容并存贮起来,其它教师和学生用机都可以作为IP/TV的客户机以广播或点播方式接收图像;此外,远程的电教馆也设有一台IP/TV服务器,可复制主服务器的教学内容,便于当地学生观看。
4、3层交换的大型校园网解决方案
如果学校经费足够,校园网可以具备多种不同的形式来满足用户的特定需求。蓝代维斯列举了两种不同的解决方案,下面为其中之一:
方案特点:
(1)高性能全交换,千兆主干,满足大负荷网络运行需求;
(2)虚拟网络方便管理、提高网络安全与性能;
(3)高效三层交换,按需划分网络,管理得心应手;
(4)支持多媒体应用,包括多媒体教室、电子阅览室、多媒体教学;
(5)卓越的IP/TV多媒体应用系统,满足用户点播、广播需求,实现多媒体教学、管理;
(6)管理简单,浏览器方式无需专门培训;
(7)强大安全特性,专用防火墙产品支持大数据量访问;
(8)带宽优化技术,降低链路费用。
实现应用如下:
无用户数限制的IP/TV视频点播、广播系统
2个多媒体教室:100个多媒体用户
1个电子阅览室:24个多媒体用户
120个校园网普通/多媒体用户
16个远程用户拨号访问校园网
高速互联网接入,安全的广域网访问。
拓扑结构如下:
图中网络设备组成为:
Catalyst 3524/3548交换机 两台
Catalyst 2948G-L3/4000交换机 一台
Catalyst 1924/2924/3524/3548交换机 六台
Cisco 2610路由器 一台(配置NM-8AM模块)
IP/TV视频软件 一套
PIX防火墙一台
与前套方案比较,本方案中路由器由10/100M以太网端口的2620换为相对便宜的10M以太网端口的2610或10/100M以太网端口的1750,这是因为校园局域网中采用了支持3层交换的2948G-L3/或4000交换机。添加的设备主要有两台:Catalyst 2948G-L3和PIX防火墙。
Catalyst2948GL3具有48个10/100M快速以太网和2个千兆以太网端口,它与两台Catalyst 3524一起共同构筑了一个更为强健的网络主干;更关键的是,新推出的2948GL3交换机具备第三层交换的特性,它既保留了传统的第二层交换在各端口间传递数据时的高线速,又集成了原来在第三层路由中才有的完善的控制功能如审计、广播隔离等。在前套方案中,VLAN的划分是在交换机上进行的,但当不同部门(VLAN)之间需要进行数据交换时,就需要借助路由器的路由功能,而现在在同一台设备中同时支持二层、三层功能,进行广播隔离、全线速网络互联,从而大大提高了校园网的性能。如采用Catalyst 4000系列三层交换机也可以以4000作为核心,直接与各教学楼、图书馆相连。
加在远程访问路由器2610/1750后的PIX防火墙结合软硬件的专用安全设备,也是本方案的亮点之一,它体现出用户对网络安全的极度关注。所有流经PIX的数据都必须接受严格而全面的检验,检验内容包括数据的源和目标地址、TCP随机序列号、TCP端口号和附加标志等,只有满足特定条件的数据才能穿过这道防火墙;相对集成在路由器上的防火墙和软件防火墙而言,PIX使用自己专有的软件系统,不需借助于外部操作平台,内核技术不公开,因此能更有效地阻止网络黑客的攻击;而配套的硬件组成使其数据处理效率更高;此外,PIX还支持网络地址翻译的功能,能够实现内部IP到合法IP的转换,方便更多的用户利用有限地IP地址资源作Internet访问。
5、千兆主干,百兆交换到桌面的大型校园网解决方案(50-80万元规模)
前套方案强调的是第三层交换和网络安全,本套投资大致相当的方案则重在数据的高速传输。
方案特点:
(1)高性能全交换,千兆骨干、百兆交换到桌面;
(2)虚拟网络方便管理、提高网络安全与性能;
(3)支持多媒体应用包括多媒体教室、电子阅览室、多媒体教学;
(4)卓越的IP/TV多媒体应用系统,满足用户点播、广播需求,实现多媒体教学、管理;
(5)管理简单,浏览器方式无需专门培训;
(6)系统安全,保密性高;
(7)高速缓存提高广域网速度,降低网络费用;
实现应用如下:
无用户数限制的IP/TV视频点播、广播系统
2个多媒体教室:100个多媒体用户
1个电子阅览室:24个多媒体用户
90个校园网普通/多媒体用户
16个远程用户拨号访问校园网
高速互联网接入,安全的广域网访问
拓扑结构如下:
图中网络设备组成为:
Catalyst 3508G/4000交换机 一台
Catalyst 3524/3548交换机 七台
Cisco 3640路由器 一台
Cache Engine高速缓存 一台
IP/TV视频软件 一套
可以看出,这一方案的最大特点是没有了纯10M口交换机,而用到了七台3524/3548交换机连接到桌面,网络核心设备相应更换为3508G或4000,它的以太网端口全为千兆,与七台3524/3548的千兆上联口连成了一个强有力的网络主干;3524的24个10/100M端口为所有教学和办公用PC提供连接,这些端口自适应的特性使PC网卡不论是旧有的10M还是新配备的100M都能应用自如,便于网络的逐步升级。千兆主干、100M到桌面的连接方式能将多媒体教学的优越性发挥得淋漓尽致,即使有更多用户要加入到视频点播的应用,网络带宽也不致成为瓶颈。
远程访问的路由器也由原来的2600系列换为了Cisco 3640,3640共有四个接口插槽,可选配更多的拨号端口或将插槽空余留作以后网络扩充用;3640的局域网接口也为模块形式,用户可根据远程访问的数据量大小选择10M或10/100M端口;与2600系列相比,除了可选网络接口的数量和类型增加,3640还具有更高的数据处理能力,使广域网的容量能随局域网的改进作相应提高。
CacheEngine又称高速缓存,用于改善Internet和Intranet访问性能的一项产品,从名称可以看出,它实际上是一个大容量存储设备,专门用来存储用户曾经访问过的Web页面,这样当其他用户要访问同一页面时,就不需要再到WWW服务器上去寻找,而直接从高速缓存中调用;这样即节省了链路带宽,也减轻了WWW服务器的负担,同时大大提高访问效率,对线路带宽宝贵的远程Web访问尤为适合。在本方案中,当校园内用户需要频繁访问远端电教馆以Web形式存放的图像时,CacheEngine将大显身手。
以上五个方案是蓝代维斯科技结合学校典型应用推出的建议方案,它们的整体特点为:
1.高速--全交换,千兆骨干,10/100兆交换到桌面;
2.化繁就简--多媒体教学、办公管理、远程通信一网实现;
3.可靠--全冗余,热备份,快速恢复
4.安全--从集成路由器防火墙到专用PIX防火墙,提供端到端的保障;
5.使用简便--基于浏览器和一些网络管理工具的图形化配置,管理;
6.经济实用--高性价比产品,支持系统平滑升级,可满足100~1000用户的需求。
各学校可参考上述方案并结合自身的实际情况作相应的修改或重新设计。
关于北京蓝代维斯科技有限公司
北京蓝代维斯科技有限公司(BeijingLandavisTechnology Co.,Ltd.)作为专业的IT综合服务商,公司定位为第三方专业服务提供商,蓝代维斯一直致力于IT整体化外包服务业务,网络多媒体设计方案、视频会议解决方案及技术咨询、计算机系统集成技术开发应用推广及办公自动化设备销售、维护、维修及安装等方面业务.。
我们凭借先进的经营理念和一流的技术优势,和客户建立起了良好的技术服务体系及产品销售渠道.我们秉承“诚信为本”的理念.坚持IT服务和销售并行发展的原则,与中国惠普、IBM、爱普生、三星、佳能、联想、明基、理光、东芝、夏普等国内外知名企业保持良好的合作关系,在技术支持体系的基础上,通过对IT产业的正确把握及理解,使我们在客户中享有良好的声誉.经过长期的业务发展,我们拥有了一支年轻有朝气又有实战经验的团队.我们以服务为先导的管理模式,加强团队协作重视遵循流程化管理的经营理念.为客户提供更加完善、优质、快捷的服务。
第五篇:绿色校园网解决方案
绿色校园网解决方案
绿色校园网系统实现了校园网教育资源使用情况统计和分析、不良网络信息监控和过滤、青少年网络行为习惯和趋势分析等功能,首次实现了不良网络内容侵害青少年的预警机制。同时以《中国青少年网络协会专属网络内容测评依据(试行)》为基础,评选出一批适合未成年人使用的绿色网络产品和内容,从主动引导未成年人健康上网的角度出发,推出了校内绿色上网导航,疏堵结合,进一步把指导青少年网络习惯的培养和上网行为的引导工作落到实处。目前,该系统已经在市直中小学10多所中小学进行了试点运行,取得了良好的效果。
这是继2010年开展的中国青少年网络协会绿色网络内容征集和评选活动之后的又一个加深对青少年网络习惯的了解,保护青少年网络安全,引导青少年健康上网,推动青少年绿色网络发展,促进青少年绿色网络平台建设的重要活动。这既是认真贯彻党和国家关于互联网建设“积极利用、科学发展、依法管理、确保安全”基本方针的具体行动,也是落实《未成年人保护法》规定的“国家鼓励研究开发有利于未成年人健康成长的网络产品,推广用于阻止未成年人沉迷网络的新技术”宪法性法律规定的具体举措,还是运用绿色网络凝聚健康网络资源,切实加强未成年学生思想道德建设的方式创新。
下一步,将在党和国家相关部门的指导下,切实把绿色校园网络建设好、管理好和利用好。一是推动绿色校园网的建设普及工作,要与教育等部门密切配合,在全国各地中小学校开展绿色网络建设和管理的培训工作。二是真正运用绿色校园网络,为教学工作和学生快乐成长提供有效服务,比如配套建设免费的家校通平台。三是要不断完善绿色校园网,使之在技术上先进、管理上便捷、服务上高效和经济上简约。四是运用绿色校园网弘扬先进文化,打造成为广大中小学生的学习资源网,广大家长的教育助手网和广大教育工作者的辅助工作网,成为培养杰出人才的未来创造网。