校园网络建设的安全策略和规划实践

《校园网络建设的安全策略和规划实践》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、校园网络建设的安全策略和规划实践三年前我市整合中等职业教育，其中我校和另两个学校合并，以我校为主，其他称为东、西校区。校领导决定整合网络，推进信息化建设，包括对外网上招生，内部网络化办公、电子图书馆、选课系统、排课系统、图书借阅、食堂、洗浴、一卡通等工程。实践中，我们注重服务、效能、易用性、安全性、费用等因素的权衡，使用了如下安全策略。一、以账户为核心进行管理1.一个用户、一个账户(OneuserOneaccount),全校一卡通2•账户灵活分组，赋予适当权限建教师组和学生组。将账户加入其中，分别赋予适当权限有时也面对临时目标设立虚拟工作组二、保证

2、主干畅通，全网冗余设计，负载均衡核心层采用高性能双并列主干交换机结构，一个链路失效后，快速将负载转移到集束的其他链路上，使网络正常运行采用HSRP,一个路由器不工作时，另一个可迅速接管，不至整个网络瘫痪，在第三层上实现路由容错、负载均衡、对用户通明三、合理设置和分配IP地址1•静、动结合重要的服务器、网关等少数设备为静态IP;其他机器通过DHCP服务器动态分配1.划分VLAN为隔绝广播风暴，方便组内共享和教学，合理划分VLAN每个机房设一个VLAN,可用于教学广播系统授课、分发素材和控制每个教研组设一个VLAN,可访问组内共享的教案、课件等材料设置

3、一管理VLAN,连在核心三层交换机上，配置ACL,只许管理VLAN和特定主机直接访问每一台机器，其他均过滤。在管理VLAN中设一无线接入端口，通过WPA-PSK(TKIP)加密链路，但出于安全考虑平时不开通四、设置VPN1.LANtoLAN方式VPNVPN网关上配输入输出过滤器，将VPN隧道数据流转发给VPN服务器，其他数据流按类型转发给相应的服务器，隧道使用IPSec提供安全保障2.客户到LAN方式VPN采用SSL隧道安全协议。设置教师和学生公用VPN账号密码和并发数，Web登录后，仍要进行个人账户验证，才可访问开通专用管理员VPN账号，在进行证

4、书认证后，可远程登录维护五、数据库的安全策略1.采用分布式数据库为减少校际间带宽的占用、便于管理，采用分布式，使数据库的存储和使用尽量在本校区内完成2.站点间相互信任、数据一致性维护、加密和备份站点间通过Kerberos基于对称密码体制的双向身份验证协议来进行信任验证当多用户并发访问数据时，会产生丢失更新、读过时数据、读脏数据等问题，采用两段封锁协议可使并发调度策略串行化，避免带来的问题：如死锁，则强行撤销引起死锁的事务，数据库回滚分片设计上，遵循完备性、重构和不相交条件对敏感字段进行库内加密，常用于索引的字段明文存放数据库定期冷热备份，多用增量备

5、份，建立日志和检查点，以便发生事务、系统或介质故障和病毒破坏时进行数据恢复六、防火墙配置用ACL允许教师账户访问Inter—net,在规定时间以外拒绝学生账户访问Internet；对外过滤非法IP地址和协议,通过账户名口令登录。才能访问内部资源用代理服务器，分担部分用户认证，缓存设计大大分减了出校流量、冗余，使安全性和性能得以提高管理人员每天检查日志，及时发现异常进行处理七、防毒措施用卡巴斯基的网络版进行实时监控定期查杀；每台PC上安装杀毒软件，定时升级，实时监控和查杀学生机房克隆前，母盘要保证无毒；中毒后可一键还原以上就是我校网络建设中安全策略和

6、机制的设计实施情况，在实际运行和使用中不断改进取得了好的效果参考文献：[1]张友生，系统分析师考试全程指导[M].北京：清华大学出版社，2009[2]郭向勇，吴光斌，赵怡滨，千兆位以太网组网技术[M].北京：电子工业出版社，2002（编辑：郭桂真）