第一篇:校园招聘方案设计
人员招聘与选拔直接影响企业、组织人力资源的输入和引进质量,它将直接影响一个组织的兴衰成败。管理学家汤姆•彼得斯说:“企业或者组织唯一真正的资源是人,招聘就是充分开发人力资源以做好工作。”希望自己在今后的学习工作当中能够多接触这方面,多进行锻炼。
某集团2010年度校园招聘方案设计
背景介绍:该集团成立于1996年,主营项目为制药,旅游业等行业。鉴于近年来该集团公司进军房地产,发展初具规模,前景颇为良好,急需建筑方向各专业人才的加入,为房地产分公司加入新鲜血液,特举行校园招聘会。
一、制定招聘计划:
(1)进行职务分析并提交增员申请;
(2)确定需求 ;
(3)制定招聘活动执行方案:
a.招聘小组的人员及其具体分工:房地产分公司总经理
或分管副总经理(负责最终确定录取名单);人力资源部部门经理(负责招聘的具体细节内容,组织进行面试);外聘职业顾问(负责考察应聘者专业素质以外的其他综合素质,面试的具体实施者);
b.招聘信息的发布:
时间:招聘会召开之前十五天;
方式:通过校园招生就业网络发布,并适当在校
园内进行宣传;
c.招聘对象的来源与范围:土木工程、工程测量、工
程机械、安全工程、给排水、建筑环境与设备、会计学等专业应届本科毕业生;
d.招聘方法:
首先,进行简历投递,初步进行筛选;
其次,进行专业能力测试,采用笔试的方法,进
行二次筛选;
再次,进行个人心理测试及个人气质类型测试;
最后,进行面试;
e.面试安排:随机安排顺序,安排应聘者按照顺序依
次进入指定考场进行面试;
f.面试题目设计:包括三部分:应聘者自我介绍;职
业顾问进行提问;应聘者对于自己感兴趣的问题进行反向提问;
g.甄选方法:综合考虑专业能力、职业道德、特长和
潜力、个人心理测试及气质类型测试及面试现场表现进行筛选。
二、发布招聘信息
三、投递简历(资格审查)
四、笔试及面试
五、体检,并进行背景调查
六、确定录取名单,发出录取名单
七、签订劳动合同
八、对本次招聘进行招聘评估(包括成效评估和效益评估)
第二篇:销售员招聘方案设计
销售员招聘方案设计
人管1421
3501寝
成员名单:
140242001
姚星汝
140242002
郑景文
140242003
王璟瑶
140242004
王
馨
140242006
杨
婷
皇家汽车
招兵买马
皇家汽车自成立来,迅速发展,主要经营奥迪、宝马、沃尔沃、凯迪拉克、奔驰、雷克萨斯等汽车品牌。为拓展皇家汽车销售,现特向社会招聘人才。
We
Want
You,Welcome
To
Join
Us
1.热爱销售工作,乐观积极,敢于挑战高薪;
2.口齿清晰,有亲和力及较强客户沟通能力;
3.较强的团队合作能力,吃苦耐劳,抗压能力强;
4.有销售经验者优先;市场营销相关专业优先。
5.本科文凭以上
6.要求应聘者必须提供身份证原件
应聘地点:长沙市望城区雷锋大道
要求
基本工资(2000-5000元/月)+奖金+补贴+年终奖+优秀员工激励奖金等;(三个月以上员工平均月综合收入可达4000-10000元),试用期补贴600,高提成8%---25%
汽车销售员(5名)
待遇
聘
销售员招聘计划
一、招聘人数
根据公司在职人员离职产生的岗位空缺和公司2015年生产规模的扩大,现确定招聘人数为5人(3男2女)。
二、招聘要求及条件
1、热爱销售工作,乐观积极,敢于挑战高薪;
2、熟悉互联网络,熟练使用网络交流工具和各种办公软件;
3、口齿清晰,有亲和力及较强客户沟通能力;
4、较强的团队合作能力,吃苦耐劳,抗压能力强;
5、设定年销售目标并完成指定的销售预算;
6、按时间表对所分配目标和地区执行业务发展计划;
7、有销售经验者优先;市场营销相关专业优先。
8、本科文凭以上。
9、具备较强的市场分析、营销、推广能力和良好的人际沟通、协调能力,分析和解决问题的能力。
10、要求应聘者必须提供身份证原件(或由户口所在地派出所出具的贴有本人近期照片的户籍证明,内容包括姓名、身份证号码、地址等,照片上盖有派出所户籍专用章,否则一律视为无效证件)。
薪酬福利:
合理优厚的薪金:基本工资(2000-5000元/月)+奖金+补贴+年终奖+优秀员工激励奖金等;(三个月以上员工平均月综合收入可达4000-10000元),试用期补贴600,高提成8%---25%。
三、招聘时间及方式
1、招聘信息发布时间:
①将2016年5月份定为本公司的“招聘宣传月”;
②每周二、周四组织专人外出发放、张贴招聘简章,做好周边地区的招工宣传工作。
2、招聘方式:
①在周边地区大量张贴广告;
②在给员工邮寄新年贺卡时,附本公司的招聘简章,以扩大宣传范围;
③通过职业介绍所和劳务市场等渠道招聘员工;
④联系各中专院校,招聘技术人才;
⑤各人才市场招聘会;
⑥公司内部员工转介。
四、招聘小组
1、招聘组长:人力资源部经理
组员:招聘专员、人事专员
2、小组职责:组长负责制定外出宣传时间表及宣传内容,提出招聘建议和方法,组员负责准备宣传物品,执行宣传任务等。
五、招聘时间工作表
5月2日:起草招聘广告
5月3日-5月9日:进行招聘广告版面设计
5月10日:与报社、网站刊登广告
5月11日-5月30日:接待应聘者、整理应聘资料、对资料进行筛选
6月1日:进行面试
6月4日:复试
6月10日:向通过复试的人员通知录用
6月11日:新员工上班
六、招聘费用预算及效果分析
1、各种招聘费用清单:
①印制广告及相关宣传材料:600元/月;
②中介机构招聘费用:50元/人;
③员工介绍费用:50元/人;
④邮寄信件费用:1元/封;
⑤联系本科院校,帮助学生就业,原则上不付给报酬;
⑥招聘会摊位费:60元/摊/天。
2、招聘效果分析:
①邮寄信件和张贴招聘广告的实际费用较低,但是,需要投入的人力、物力较大,招聘效果相对较差。预计能完成总招聘计划的15%左右。
费用计算方式:(600元/月*
2月)
+
(1元/封*
200封)=1400元
②员工介绍和联系中介机构的招聘费用相对较高,但是,人力、物力的投入较少,招聘效果较好。预计能完成总招聘计划的85%左右。
费用计算方式:50元/人*
200人
=1000元
③招聘会摊位费:60*2*7=840元
综上所述:预计2016年的招聘总费用为:1400元+1000元+
840元
=3240元
3、开展招聘效果评估反馈
①开展在职员工满意度调查:
A.对公司开展一次全面的满意度调查,目的是找出公司目前在人力资源管理方面存在的各种潜在问题。
B.离职访谈:对所有离职员工开展离职访谈工作,找出离职的真正原因,以找出深层次存在的问题
②反馈意见:将发现的问题及时向公司决策层反馈意见,调整公司的战略发展规划和人力资源规划
招聘岗位的素质模型
销售员的素质模型
●主动积极
●业务敏感度
●解决问题能力
●客户至上
●沟通与影响
●自信
●灵活性
●成就导向
●精通行业知识
●学习力
结构面试提问提纲(招聘汽车销售员)
1.首先做三分钟自我介绍
2.请简单说明现在汽车行业的基本情况以及你自己对这个行业的看法。
3.简单说说您应聘的我们这家公司的基本情况以及一些优缺点。
4.您以前有过类似销售这方面的经验吗?请简单说明。
5.您在选择工作中最看重的是什么?(成长空间、培训机会、发挥平台、薪酬等)
6.我们的销售工作可能不是一帆风顺的,谈谈您的工作或生活中出现的低潮期,您是如何克服的?
7.假如您的下属未按期完成您布置给他的任务,如果您的上司责怪下来,您认为是谁的责任,为什么?
8.在销售过程中经常会遇到蛮不讲理的客户,这时你该怎么做?
9.假如你和一个生活习惯非常糟糕的人在一起工作,你怎样使对方改变他的不良行为?
10.你认为良好的沟通最重要的是什么?
11.人们购买产品的三个主要原因是什么?
12.电话推销和面对面推销的区别有哪些?为使电话推销成功,需要怎样的技巧?
13.当你接管了一个新的客户群时,你如何才能使这些人成为你的固定客户?
面试评分表
应聘人姓名:
应聘岗位:
专业/学历:
性别: 年龄:
面试成员:
面试时间:
评价方向
评价要素
评价等级
差
较差
一般
较好
好
个人基本素质评价
1、仪容
2、语言表达能力
3、亲和力和感染力
4、沟通能力
5、时间观念与纪律观念
6、人格成熟程度(情绪稳定性、心理健康等)
7、思维逻辑性,条理性
8、应变能力
9、分析判断能力
10、自我认知度
相关工作经验及专业知识
11、工作经验与岗位的匹配程度
12、所具备的专业知识、工作技能与岗位的吻合性
13、学习能力
录用适合性评价
14、个性特征与企业文化的相融性
15、以往工作的稳定性
16、职位胜任能力及发展潜力
用人部门审核
面试意见
综合评价及录用建议
入职日期
薪资
元/月(试用)元/月(转正)
人事行政部审核
总经理审核
无领导小组讨论题目及评分表
试题一
面包销毁:
假设你是某面包公司的业务员。现在公司派你去偏远地区销毁一卡车的过期面包。在行进的途中,刚好遇到一群饥饿的难民堵住了去路,因为他们坚信你所坐的卡车里有能吃的东西。这时报道难民动向的记者也刚好赶来。对于难民来说,他们肯定要解决饥饿问题;对于记者来说,他是要报道事实的;对于你业务员来说,你是要销毁面包的。
现在要求你既要解决难民的饥饿问题,让他们吃这些过期的面包(不会致命的,无损于身体健康),以便销毁这些面包,又不能让记者报到过期面包的这一事实?请问你将如何处理?
说明:1、面包不会致命。2、不能贿赂记者。3、不能损害公司形象。
每位小组成员首先利用3分钟时间仔细阅读题目,然后利用15分钟时间进行小组内部讨论,给出一致结论。
达成一致意见后,请推选一名队员做2分钟的总结汇报.试题二:
目标群体:40岁以上的中老年人
利益诉求:XX牌阳光葵花籽油,关爱心血管健康
支持点:该产品中富含丰富的亚油酸,能有效软化血管,促进血液流通
该产品是国家中年人协会推荐的品牌
根据以上信息,制定一个促销活动或广告创意请进行小组自由讨论(25分钟);在规定时间内得到一致结果,并选派一位代表陈述讨论的结果并说明理由(时间控制在5分钟)。
无领导小组讨论评分表
测试指标
团队意识
沟通能力
应变能力
专业知识能力
组织协调
能力
外貌气质
权重
评分等级
优
16-22
16-22
12-17
10-14
9-13
9-12
中
5-15
5-15
4-11
4-9
4-8
4-8
差
0-4
0-4
0-3
0-3
0-3
0-3
记录行为
第三篇:公司员工招聘方案设计
新光公司员工招聘方案设计
通过本学期学习了人力资源管理这门课程,我系统地掌握了人力资源管理的基本理论和基本技能,一直想自己动手结合具体企业人力资源管理工作实际,实践一下所学的知识和技能,根据所学的内容结合我对新光公司的实习和调研,针对新光公司的实际,作了以下设计,如有不足之处,请老师批评批正。
1.设计方案企业的基本情况介绍、存在问题
新光公司注册资本金3310万元;占地19070m2;厂房建筑34385m2;700名员工,其中科技人员143人;年销售额1.4~2.0亿元。公司设置了总师室,由总设计师和总工艺师具体指导科技开发工作。科技开发部有大专以上科技人员80多人,具有高级职称的科技人员18名专职从事科技开发工作。科技投入在2002年已达到568.73万元(其中管理费用列支141.96万元,生产费用列支426.77万元),占公司2000年销售收入1.41亿元的4%。同时公司强调以责任结果为价值导向,力图建立一种自我激励、自我管理、自我约束的机制。并为员工提供了管理与专业技术双重职业发展通道。2.方案设计的目的、意义
2.1培训能增强员工对企业的归属感和主人翁责任感。
2.2培训能促进企业与员工、管理层与员工层的双向沟通,增强企业向心力和凝聚力,塑造优秀的企业文化。
2.3培训能提高员工综合素质,提高生产效率和服务水平,树立企业良好形象,增强企业盈利能力。
2.4适应市场变化、增强竞争优势,培养企业的后备力量,保持企业永继经营的生命力。3.设计方案的主要内容
4.1应聘人员登记表
4.2.1笔试试题
测 验 题 目
答题说明
本测验共有40道题,涉及我们的工作、生活、价值观等方面。对于这些问题,每个人的看法都会不尽相同,任何基于真实情况的回答都是你的个性、特点的反映,没有“对”或“不对”之分。请在每道题的A和B中选择一个答案,不要漏掉任何一道题。有些题你可能从未碰到过或难以选择,不需要过多思考,凭第一感觉回答即可。
工作兴趣
你认为这一职位涉及到哪些方面的工作 ? 你为什么想做这份工作 ?
你为什么认为你能胜任这方面的工作? 你对待遇有什么要求? 你怎么知道我们公司的?目前的工作状况
如果可能,你什么时候可以到我们公司上班? 你的工作单位是?工作职务? 工作经历
目前或最后一个工作的职务(名称)
在该公司工作期间你一直是从事同一种工作吗?是或不是
如果不是,说明你曾从事过哪些不同的工作、时间多久及各自的主要任务 你最初的薪水是多少? 现在的薪水是多少? 你为什么要辞去那份工作?教育背景
你认为你所受的哪些教育或培训将帮助你胜任你申请的工作? 对你受过的所有正规教育进行说明 5.工作以外的活动(业余活动) 工作以外你做些什么? 个人问题
能介绍一下你的家庭成员吗(如有)? 家庭成员知道你来应聘这份工作吗? 你能加班吗? 自我评估
你认为你最大优点是什么? 你认为你最大的缺点是什么? 你希望的薪水是多少? 你为什么要换工作?
你认为你上一个工作的主要工作成绩是什么?
你对你上一个工作满意的地方在哪里,还有那些不满? 你与你的上、下级及同事的关系怎么样?
你认为你有哪些有利的条件来胜任将来的职位? 你对我们公司的印象怎样?
你对申请的职位的最大兴趣是什么? 对你的工作有激励作用的因素有那些? 你更喜欢独自工作还是协作工作? 4.2.3测试评估
测试结果评价表
4.2.4(1)录用通知书
录用通知书
先生/女士:
在上周五与您的会面是很愉快的。我们现在很高兴地通知您,我们企业向您提供岗位。
接受该岗位的工作意味着您应该完成下列的工作职责,并对负责。您的基本工资将是每月元。
我们很希望您能够接受该岗位的工作。我们会为您提供较好的发展机会、良好的工作环境和优厚的报酬。
我们很希望您能在月日之前答复我们。如果您还有什么疑问,请尽快与XXX联系。他的联系电话是XXX-XXX。期望尽快得到您的答复。
××公司人力资源部
年月日
(2)辞谢通知书
辞谢通知书
尊敬的先生/女士:
十分感谢您对我们企业的 XXX 岗位的兴趣。您对我们企业的支持,我们不胜感激。您在申请与应聘该岗位时的良好表现,我们印象很深。但由于我们名额有限,这次只能割爱。我们已经将您的有关资料存档,并会保留半年,如果有了新的空缺,我们会优先考虑您。
感谢您能理解我们的决定。祝您早日寻找到理想的岗位。对您热诚应聘我们的企业,再次表示感谢!
××公司人力资源部年月日
第四篇:校园网络安全方案设计
汕尾职业技术学院-------数学与应用系
校园网络安全方案设计
班级:123网络技术2班
姓名:李仲富 学号:2012324208
设计题目: 校园网络安全方案设计
设计时间:6月20号至6月30号
汕尾职业技术学院-------数学与应用系
一、校园网方案设计原则与需求
1.1设计原则:保证校园网的稳定运行和利用。
1.2网络建设需求:高度的稳定性和高性能性,对网络统一管理和高效处理。
二、校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。
2.2校园网设备更新方案
更换核心设备
汕尾职业技术学院-------数学与应用系
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在C区增加一台SAM服务器,部署SAM系统,同时A区和B区用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。B区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。C区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3 网络安全系统的管理
1、确定计算机安全管理责任人和安全领导小组负责人 应当履行下列职责:
(一)组织宣传计算机信息网络安全管理方面的法律、法规和有关政策;
(二)拟定并组织实施本校计算机信息网络安全管理的各项规章制度;
(三)定期组织检查本校计算机信息网络系统安全运行情况,及时排除各种安全隐患;
(四)负责组织本校学生的安全教育和培训;
汕尾职业技术学院-------数学与应用系
2、配备1至2名计算机学生安全员(由技术负责人和技术操作人员组成),应当履行下列职责:
(一)执行本单位计算机信息网络安全管理的各项规章制度;
(二)按照计算机信息网络安全技术规范要求对计算机信息系统安全运行情况进行检查测试,及时排除各种安全隐患;
2.4网络安全系统的风险评估
一般可能会遭受到外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。
2.5网络安全设计
2.5.1校园网网络安全需求分析
1.网络安全的防范:
病毒产生的原因:校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常
汕尾职业技术学院-------数学与应用系
弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
资料:国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。像网吧一样无人监管,通宵、影响明天的课程。精力。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。例如:学院的重要的部门。学生选课。资料档案。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行低了校园网的效率。计算机专业的学生搞恶作剧,做实验
2.6.2某校园网网络安全方案设计思想和实施
汕尾职业技术学院-------数学与应用系
2.6.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.6.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.6.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.6.3校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.6.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.6.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
汕尾职业技术学院-------数学与应用系
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.7 业务连续策略
可分为4种类型:人力不可抗拒事件、高传染性疾病、物理访问、it逻辑访问 2.8 业务持续计划进行测试、保持和重新评估(1)测试即使:1桌面测试 2模拟
汕尾职业技术学院-------数学与应用系
3技术恢复测试
4供应商设备和服务测试 5排练
(2)保持与重新评估:考虑各方面的更新1人员 2地址或电话号码 3过程 4风险
第五篇:校园网络安全方案设计
校园网络安全方案设计案例2案例)
班 级: 学 号: 设计人:李**
(校园
第一章、校园网方案设计原则与需求
1.1设计原则
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求
网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求 网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求
防止IP地址冲突
非法站点访问过滤
非法言论的准确追踪
恶意攻击的实时处理
记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询
需要能够对网络设备进行集中的统一管理
需要对网络故障进行快速高效的处理
第二章、校园网方案设计
2.1校园网现网拓扑图
整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交
换机的高性能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能
使用的尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如果当某个学生在校外的某个站点发布了大量涉及政治的比如法轮功的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行
低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。
2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用.当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击
通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员 的故障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信
息的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端,第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。