校園網路安全技術設計

A. 求網路安全設計方案

這樣專業性的你在這兒找？？太天真了！

B. 網路安全技術措施

最佳的解決方案

1.安裝瑞星殺毒或卡巴斯基等殺毒軟體，實時清除電腦木馬病毒；

2.安裝個人硬體防火牆，簡單使用，實時監控且能100%防禦黑客攻擊，又不會影響電腦出現卡機等現象。

目前此類產品中阿爾敘個人硬體防火牆做比較專業，價格還算能接受

在設置一個網路時，無論它是一個區域網（LAN）、虛擬LAN（VLAN）還是廣域網（WAN），在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求，以電子化的方式設計和存儲的規則，用於控制訪問許可權等領域。當然，安全策略也包括一個企業所執行的書面的或者口頭的規定。另外，企業必須決定由誰來實施和管理這些策略，以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室，安全人員在其中監控建築物或者園區的安全，進行巡邏或者發出警報。那什麼是安全策略呢？所實施的策略應當控制誰可以訪問網路的哪個部分，以及如何防止未經授權的用戶進入訪問受限的領域。例如，通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略，例如警告員工不要在工作場所張貼他們的密碼等，通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢？制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且，網路策略管理部門應當獲得極為可靠，擁有所需要的技術能力的人員。如前所述，大部分網路安全漏洞都來自於內部，所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命，網路管理人員就可以利用復雜的軟體工具，來幫助他們通過基於瀏覽器的界面，制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢？如果相關各方都不知道和了解規則，那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。

C. 校園網路安全設計！主要是伺服器群這這方面的設計！謝謝

〔摘要〕高校校園網已成為高校信息化建設的重要支撐平台，本文根據高校實際情況，從設計目標、思想和原則入手，分析並設計了高校校園網方案。
〔關鍵詞〕校園網核心設備設計
隨著計算機網路的發展，校園網已經成為高等院校走向信息化時代的必然發展趨勢，使我國高等教育管理向智能化發展。它是網路技術和電子信息技術和高等院校發展相結合的產物。校園網以信息資源為根本，硬體網路系統為物襲頌質基礎，同時以網路軟體系統實現系統的管理與使用，是一個具有寬頻通路和交互功能的專業性區域網，應具有教學、科研、管理和通訊等四大功能。

一、設計目標

校園網的設計目標簡而言之是將各種不同應用的信息資源通過高性能的網路設備相互連接起來，形成校園區內部的Intranet系統，對外通過路由設備接入廣域網。具體而言這樣的設計目標應該是：建設一個以辦公自動化、計算機輔助教學、現代計算機校園文化為核心，以現代網路技術為依託、技術先進、擴展性強、覆蓋全校樓宇的校園主幹網路，將學校的各種PC機工作站、終端設備和區域網連接起來，並與有關廣域網相連:在網上宣傳和獲取教育資源;在此基礎上建立能滿足教學、科研和管理工作需要的軟、硬體環境;開發各類信息庫和應用系統，為學校各類人員提供充分的網路信息服務;系統總體設計本著總體規劃、分布實施的原則，充分體現系統的技術先進性、高度的安全可靠性、良好的開放性、可擴展性，以及建設經濟性。

二、設計的關鍵

1.網路技術選型
在校園網網路的建設中，主幹網選擇何種網路技術對網路建設的成拍唯鄭功與否起著決定性的作用。選擇適合校園網路需求特點的主流網路技術，不但能保證網路的高性能，還能保證網路的先進性和擴展性，能夠在未來向更新技術平滑過度，保護用戶的投資。所以要根據實際應用的需要，採用千兆乙太網作為校園網的主幹網，因為作為整個校園網的信息交換中心，網路的速度會直接影響到其他各子網的性能;在建設多媒體教室時，由於網路中將會有很多的圖像和聲音的傳輸，因此對帶寬和傳輸速度有很高的要求，採用快速乙太網就是最好的選擇；而對於其他一些只有諸如簡單文件傳輸之類的應用的環境，採用乙太網就能滿足要求。不同網路技術的復雜程度，在一定程度上直接影響校園網的維護、管理和使用效果。千兆乙太網繼承了乙太網的技術簡單，容易學習掌握的特點，是校園網的首選技術。
2.校園網的出口解決方案
目前，高校校園網IP資源及注冊域名基本來源於中國教育科研計算機網——CERNET，但資費比較高，除了重點高校，帶寬也受到了很大限制。而隨著用戶數量的不斷增加，多數高校原有CERNET接入帶寬已不能滿足需求，擴大校園網出口帶寬迫在眉睫，但擴大出口帶寬頻來的一個直接問題便是網路信息費的急劇增大，與CERNET相比，通過本地ISP接入CHINANET，在相同接入帶寬的情況下費用較低。所以，採用雙出口方案是高校校園網發展的一個新趨勢，它綜合運用了靜態、網路地址轉換和策略路由等技術，充分整合了CERNET及本地ISP的優勢資源，是一種行之有效的校園網出口瓶頸解決方案。
3.網路核心設備的選擇
(1)骨幹帶寬的選擇。網路應用的增加對網路帶寬提出了直接的需求。事實上，從1983年802.3標準的正是成立開始，乙太網技術經過20年的發展，已進入萬兆乙太網（802.3ae標准）的時代。校園網路應用也是極其豐富的。並且隨著組播技術在校園的應用，校園網核心層將面臨嚴峻的考驗。出於對網路發展的考慮，基於網路業務的發展，在擁有近山沖萬個信息點的高校採用萬兆乙太網技術構建核心層是可行的。目前業務還沒完全開展起來，先採用千兆骨幹，但核心設備必須支持萬兆，並且在教育行業有應用，證明核心產品的成熟性和穩定性。在實現端到端的乙太網訪問的同時提高了傳輸的效率，有效地保證了多媒體教學、數字圖書館等業務的開展。
(2)處理能力。核心層是網路高速交換的骨幹，被設計成盡可能高速包轉發率，同時能夠提供高速的Internet的接入和高冗餘性能，同時由於各高校基本採用了Internet和CERNET雙出口，而且出口的速率不同，所以所選擇的網路核心層設備應該能夠提供多網路出口的智能選擇的功能，本身能夠提供冗餘特性。核心層設備須能夠支持多種不同模塊的插槽和提供多種不同的網路模塊，支持到流媒體所需的網路的組播協議和網路的多播協議的處理能力，需要線速的數據轉發和數據交換功能，即高背板帶寬支持和高性能網路處理晶元的支持；由於是核心設備，還必須考慮整體網路的災難備份和設備冗餘，在設計中考慮的設備冗餘需要有設備支持和協議支持，設備支持就是指在核心不能由單台設備進行整個網路的數據交換，需要有至少兩台設備對整個網路進行有效的支撐，並已經具備災難備份的硬體支撐能力。在協議上，需要支持冗餘協議，實現整體網路冗餘。支持在單台設備失效的同時，在最短的時間切換，避免網路損失。
對於核心交換機在整個網路的設計，還要考慮整體業務的支撐方式，因為設備只是物理承載層面，而用戶需要在該物理層面實現其業務，達到職能和流程的有效快捷，這樣，物理設備的業務支撐能力就至關重要。核心設備應提供分布式L2/3/4層介面板處理應用流（視頻、話音、數據）、重要用戶的優先順序，支持NAT、MPLS、VPN、策略路由等應用；支持基於埠、MAC、VLAN、IP、應用類型等多種Qos；支持四個優先順序隊列和WRED、WRR、PQ、WFQ等流分類、排隊、調度和整形機制。賦予交換機高度的智能性，高效支持各種應用業務。
對於核心設備在網路中的舉足輕重的位置，安全對於整個網路來說也整個網路的至關重要的，對於外部的黑客攻擊和內部的病毒攻擊的屏蔽，是保證整個網路運行的關鍵。核心設備要提供完善的ACL訪問控制策略的定製，防止非法內容的訪問；廣播包抑制及廣播源定位功能，保證網路用戶安全。
(3)對於未來的擴展設計。對於在中心位置的核心設備的設計而言，隨著時代的改變，其業務結構和規模也會改變，這樣需要整個網路設備能夠對未來的變化具備應對措施；由於核心設備是數據和業務的核心，所以，不能輕易的進行更換，同時，考慮到成本的因素，除非核心設備已經完全不能支撐目前業務的進行，否則，基本都會採取在原來的設備增加功能支撐來滿足新業務的需求。這樣，對於未來的擴展性就變得異常重要，核心設備擴展槽，接插模塊類型，埠密度數應有所考慮，以保證整體設備的高性價比。
4.安全方案的部署
從各高校網路現狀分析，目前面臨的網路安全威脅來源主要來自以下幾個方面：一是來自Internet的安全威脅，各高校有自己獨立的鏈路通往Internet。從Internet上的任意接入點對本區域網發起的基於網路的攻擊，以及對外公開的應用伺服器的攻擊，這樣可以造成網路性能的急劇下降，應用伺服器的癱瘓。使整體網路正常的內、外雙向通信、存儲等服務受阻或中斷;二是來自校內區域網內部的惡意安全攻擊，網路連接學生的計算機，學生有可能基於學習的目的可能使用各種入侵的軟體，給系統造成隱含的威脅;三是高校內各相關部門的數據上報採用FTP 方式逐級復制，處於完全敞開和透明的模式，只要掌握IP地址，傳輸數據就可以被輕易截獲，從而造成保密信息的泄露;再有來自操作系統、應用系統本身的漏洞及來自互聯網、內部區域網的病毒安全威脅的攻擊。學校范圍內的病毒防護不能依靠個人的自覺性，應當從網關、伺服器、客戶端多個層面來統一部署，實施整體病毒防護解決方案。這樣才能從根本上杜絕病毒的發作和傳播，有效地保護學校內部資源，同時對新出現的病毒有一個很好的、快速的響應系統。

作為學校網路安全的防線，防火牆、入侵檢測、防病毒系統是必不可少的，它可有效的對來自外網和內網的攻擊做出及時告警，並給予一定的響應措施。
5.專網的設計
近來年，各高校依託校園網線路的其他各項應用也相繼加入。如校園一卡通工程，涉及到全校師生及校財務、圖書館、餐飲等多個部門。既有用戶的身份識別，有又用戶的消費，所以，應考慮到此類應用的專網設計。包括設備選擇、VLAN劃分、IP規劃、訪問列表設置等。再有，校保安系統視頻監控、冬季取暖溫度採集系統都將工作在校園網上。
6.其他注意問題
在用戶管理、計費方面，要保證計費數據的准確，交換機可以支持用戶賬號、IP地址、MAC地址、交換機埠、VLAN的綁定，保證了用戶上網期間IP地址不被盜用，支持基於流量/時長/包月/帶寬的計費及其組合計費方式。
在用戶日誌管理方面，業務管理平台和接入交換機配置可以實現完善的用戶日誌功能。用戶訪問日誌的內容包括用戶名、源MAC、VLANID、源IP、目的IP、訪問時間。用戶的目的IP地址改變時會產生一條日誌。根據這些信息可以很方便的定位用戶在某個時間段訪問了那些內部伺服器，與伺服器的日誌相對應追查出一些事故的責任人。
在網路管理方面，網路管理軟體支持多種操作平台，並能夠與多種通用網管平台集成，實現從設備級到網路級全方位的網路管理。提供統一拓撲發現功能，實現全網監控，可以實時監控所有設備的運行狀況，並根據網路運行環境變化提供合適的方式對網路參數進行配置修改，保證網路以最優性能正常運行。
此外，高校用戶數較多，所以，故障管理、集群管理、流量性能監控等也是必不可少的。

三、結束語

高校校園網是一個復雜的系統工程，構建高性能的校園網需要與新的網路設計理念緊密結合，以高性能、高可靠性、高安全性及先進的服務質量（Qos）為核心，將高校的教學、科研及管理在校園網的平台支撐下更上一個台階。
參考文獻:
[1]Douglas Comer,《Internetworking With TCP/IP Vol Ⅰ:Principles, protocols,and Architectures》,Fourth Edition,Publishing house of electronics instry,2001
[2]Andrew S.Tanenbaum,《Computer Networks》,Third Edition,Prentice-Hall International,Inc.,1997
[3]Howard C.Berkowitz,《Desingning routing and switching architectures for enterprise networks》,Publishing house of electronics instry,2000

僅供參考

D. 校園網網路安全方案設計

這個你需要找當地的網路公司來做布局.工程也比較大.不過設計起來並不難,只是實施比較麻煩而已.我是做學校機房網路安全的,有問題可以直接網路HI我
1 圖就不太好做了,只能通過語言來說,因為不知道你們學校的布局.
2 你說的也比較簡單,只需要辦公樓和機房建一個區域網,你連接外網的網線,只建一個內網就可以了.學生和老師的宿舍,單獨拉一根網線路由,根本就涉及不到辦公樓和機房的區域網了.
3 網路安全主要就是辦公樓和機房,宿舍屬於老師和學生的個人電腦,而且連接外網,不屬於公共電腦,也就涉及不到安全管理了.辦公和機房電腦,只需要同一管理,安裝保護卡,同一分配IP,統一機型,統一內部文件,管理起來非常方便.

E. 校園網基本網路搭建及網路安全設計分析

摘要：伴隨著Internet的日益普及，網路應用的蓬勃發展，網路信息資源的安全備受關注。校園網網路中的主機可能會受到非法入侵者的攻擊，網路中的敏感數據有可能泄露或被修改，保證網路系統的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網路拓撲結構和網組技術對校園網網路進行搭建，通過物理、數據等方面的設計對網路安全進行完善是解決上述問題的有效 措施 。

關鍵詞：校園網；網路搭建；網路安全；設計。

以Internet為代表的信息化浪潮席捲全球，信息 網路技術 的應用日益普及和深入，伴隨著網路技術的高速發展，各種各樣的安全問題也相繼出現，校園網被「黑」或被病毒破壞的事件屢有發生，造成了極壞的社會影響和巨大的經濟損失。維護校園網網路安全需要從網路的搭建及網路安全設計方面著手。

一、 基本網路的搭建。

由於校園網網路特性（數據流量大，穩定性強，經濟性和擴充性）和各個部門的要求（製作部門和辦公部門間的訪問控制），我們採用下列方案：

1. 網路拓撲結構選擇：網路採用星型拓撲結構（如圖1）。它是目前使用最多，最為普遍的區域網拓撲結構。節點具有高度的獨立性，並且適合在中央位置放置網路診斷設備。

2.組網技術選擇：目前，常用的主幹網的組網技術有快速乙太網（100Mbps）、FDDI、千兆乙太網（1000Mbps）和ATM（155Mbps/622Mbps）。快速乙太網是一種非常成熟的組網技術，它的造價很低，性能價格比很高；FDDI也是一種成熟的組網技術，但技術復雜、造價高，難以升級；ATM技術成熟，是多媒體應用系統的理想網路平台，但它的網路帶寬的實際利用率很低；目前千兆乙太網已成為一種成熟的組網技術，造價低於ATM網，它的有效帶寬比622Mbps的ATM還高。因此，個人推薦採用千兆乙太網為骨幹，快速乙太網交換到桌面組建計算機播控網路。

二、網路安全設計。

1.物理安全設計 為保證校園網信息網路系統的物理安全，除在網路規劃和場地、環境等要求之外，還要防止系統信息在空間的擴散。計算機系統通過電磁輻射使信息被截獲而失密的案例已經很多，在理論和技術支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術給計算機系統信息的__帶來了極大的危害。為了防止系統中的信息在空間上的擴散，通常是在物理上採取一定的防護措施，來減少或干擾擴散出去的空間信號。正常的防範措施主要在三個方面：對主機房及重要信息存儲、收發部門進行屏蔽處理，即建設一個具有高效屏蔽效能的屏蔽室，用它來安裝運行主要設備，以防止磁鼓、磁帶與高輻射設備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯系、連接中均要採取相應的隔離措施和設計，如信號線、電話線、空調、消防控制線，以及通風、波導，門的關起等。對本地網 、區域網傳輸線路傳導輻射的抑制，由於電纜傳輸輻射信息的不可避免性，現均採用光纜傳輸的方式，大多數均在Modem出來的設備用光電轉換介面，用光纜接出屏蔽室外進行傳輸。

2.網路共享資源和數據信息安全設計 針對這個問題，我們決定使用VLAN技術和計算機網路物理隔離來實現。VLAN（Virtual LocalArea Network）即虛擬區域網，是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。

IEEE於1999年頒布了用以標准化VLAN實現方案的802.1Q協議標准草案。VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

但由於它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須放置在同一個物理空間里，即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到 其它 VLAN中，即使是兩台計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。VLAN是為解決乙太網的廣播問題和安全性而提出的，它在乙太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播范圍，並能夠形成虛擬工作組，動態管理網路。從目前來看，根據埠來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機的埠來劃分VLAN成員，被設定的埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5埠被定義為虛擬網AAA，同一交換機的6，7，8埠組成虛擬網BBB。這樣做允許各埠之間的通訊，並允許共享型網路的升級。

但是，這種劃分模式將虛擬網路限制在了一台交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN，不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員，其配置過程簡單明了。

3.計算機病毒、黑客以及電子郵件應用風險防控設計 我們採用防病毒技術，防火牆技術和入侵檢測技術來解決相關的問題。防火牆和入侵檢測還對信息的安全性、訪問控制方面起到很大的作用。

第一，防病毒技術。病毒伴隨著計算機系統一起發展了十幾年，目前其形態和入侵途徑已經發生了巨大的變化，幾乎每天都有新的病毒出現在INTERNET上，並且藉助INTERNET上的信息往來，尤其是EMAIL進行傳播，傳播速度極其快。計算機黑客常用病毒夾帶惡意的程序進行攻擊。

為保護伺服器和網路中的工作站免受到計算機病毒的侵害，同時為了建立一個集中有效地病毒控制機制，天下論文網需要應用基於網路的防病毒技術。這些技術包括：基於網關的防病毒系統、基於伺服器的防病毒系統和基於桌面的防病毒系統。例如，我們准備在主機上統一安裝網路防病毒產品套間，並在計算機信息網路中設置防病毒中央控制台，從控制台給所有的網路用戶進行防病毒軟體的分發，從而達到統一升級和統一管理的目的。安裝了基於網路的防病毒軟體後，不但可以做到主機防範病毒，同時通過主機傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統，從而保證計算機網路信息安全。形成的整體拓撲圖。

第二，防火牆技術。企業防火牆一般是軟硬體一體的網路安全專用設備，專門用於TCP/IP體系的網路層提供鑒別，訪問控制，安全審計，網路地址轉換（NAT），IDS，，應用代理等功能，保護內部 區域網安全 接入INTERNET或者公共網路，解決內部計算機信息網路出入口的安全問題。

校園網的一些信息不能公布於眾，因此必須對這些信息進行嚴格的保護和保密，所以要加強外部人員對校園網網路的訪問管理，杜絕敏感信息的泄漏。通過防火牆，嚴格控制外來用戶對校園網網路的訪問，對非法訪問進行嚴格拒絕。防火牆可以對校園網信息網路提供各種保護，包括：過濾掉不安全的服務和非法訪問，控制對特殊站點的訪問，提供監視INTERNET安全和預警，系統認證，利用日誌功能進行訪問情況分析等。通過防火牆，基本可以保證到達內部的訪問都是安全的可以有效防止非法訪問，保護重要主機上的數據，提高網路完全性。校園網網路結構分為各部門區域網（內部安全子網）和同時連接內部網路並向外提供各種網路服務的安全子網。防火牆的拓撲結構圖。

內部安全子網連接整個內部使用的計算機，包括各個VLAN及內部伺服器，該網段對外部分開，禁止外部非法入侵和攻擊，並控制合法的對外訪問，實現內部子網的安全。共享安全子網連接對外提供的WEB，EMAIL，FTP等服務的計算機和伺服器，通過映射達到埠級安全。外部用戶只能訪問安全規則允許的對外開放的伺服器，隱藏伺服器的其它服務，減少系統漏洞。

參考文獻：

[1]Andrew S. Tanenbaum. 計算機網路（第4版）[M].北京：清華大學出版社，2008.8.

[2]袁津生，吳硯農。 計算機網路安全基礎[M]. 北京：人民郵電出版社，2006.7.

[3]中國IT實驗室。 VLAN及技術[J/OL], 2009.

F. 我需要一份校園網的設計方案，可以幫助我嗎具體的資料如下

綜合布線方案
技術方案
結構化綜合布線(SCS)系統技術設計方案
一、綜述
A. 布線系統將貫穿於1、2、3樓的各個平面。主要為話音、數據、圖像等系統信號提供高性能傳輸路由。
B. 作為一個綜合性的線路平台，應具有最大的兼容性和開放性，可滿足各類型通訊及計算機等的傳輸需要和網路結構，提供一個標准化、高帶寬、低成本的網路環境。
C. 系統應具有開放的模塊化結構，可靈活地進行資源分配，線路管理、變更和擴展。
D. 系統應提供一個安全、有序、便於管理的設備安裝及連接環境，可快捷簡便地進行系統安裝和運行。
E在充分考慮目前應用情況下，以高起點和適度超前的原則來規劃本系統。為各種高性能應用提供充足的傳輸帶寬，為日後系統的升級提供充足的空間。
F. 採用目前國際上最先進的工程標准及規范，去設計和規劃系統，使之成為市內的有代表性的工程樣板。
G．客戶基本情況
樓層面積約16.5 x 9米，且已有光纖到樓層。網路信息點：90個；語音信息點：18個
二、系統設計
1、系統選型
PANDUIT結構化綜合布線
基於上述的系統目標規模，在系統選型上應選用在技術上處於領導地位，產品成熟穩定，具有極佳應用效果的布線材料。本設計中，我們推薦使用PANDUIT的建築物結構化綜合布線系統。
PANDUIT美國泛達公司是世界著名的網路布線系統生產商---被喻為專家級的布線產品，PANDUIT是世界工業標准組織的成員之一。它以推廣採用創新產品而享譽全球市場，其二代布線產品以高品質享譽國際包括美國、日本及歐洲等多個國家中，在其布線市場的佔有率在前三名之內。
PANDUIT布線產品---PAN-NET網路布線系統的明顯優點是絕對的模塊化、免打及可方便地採用色標管理。該系統包括可供雙絞線、同軸電纜和光纜使用的單個模塊，此類模塊可以混合安裝，這樣可以最大限度地提高系統的密度和靈活性。
著名網路廠家CISCO公司指定PANDUIT為其唯一的布線產品，專家的選擇更顯卓越出眾。此外，3COM、MOTOROLA、LEHMAN BROTHER證券行也是PANDUIT的客戶。
1997年PANDUIT泛達公司在北京成立了代表外，同上海代表一起，再加上分銷商及系統集成商的努力，泛達公司在國內取得了令人鼓舞的業績。泛達公司的國內客戶包括：中華人民共和國專利局、國家教育部、CISCO北京辦事處、上海通用汽車、中國銀行江蘇分行、大慶油田採油公司，昆明新聞中心、鞍山證券、長春證券以及華夏證券、華南師范大學電教系、廣州港務局等。

技術上的不斷領先和創新，為世界性的工業標准提供指導作用。
PANDUIT產品保證：
20年的PAN-NET產品質保------包括所有的PAN-NET產品。
15年的網路系統質保------保證滿足你要求的端對端高性能布線系統。

2、系統規劃
2.1 結構
樓內布線系統
1) SCS結構化布線系統樓內布線分為工作區子系統，水平子系統、主幹子系統及管理/設備子系統的五個部分。
2) 採用中心星形結構，分為水平、系統主幹布線兩個層次。如下圖：

3) 從設備間出發，水平布線採用4對的UTP電纜，阻抗100W，最長布線距離限制為90米。工作位的信 息出口處採用兼容EIA、RJ45 的5類液純派8針插座模塊連接。在配線架端，採用RJ45式端接模塊，可滿足多系統（數據和視像等）並行使用。並可採用D8SA模塊跳線與網路設備直接連接，全套採用超五類布線器件組成。
4) 設備中心內鬧賀，將設立管理配線架，對各應用網路進行配接管理，採用RJ45模塊專用跳線褲芹；對於 構造網路的各種通信設備，則提供統一的19inch工業標准設備機架作設備的安裝；而設備的連接同樣採用標准RJ45模式統一連接介面(可選)。
5) 樓內信息點配置表：

三、系統描述及安裝規范
體系統配置和結構可參照綜合布線系統的結構示意圖及系統配置表。
1、工作區子系統
指各應用位置上的信息插座、終端設備連接線等部分；分布在建築物內的不同位置，全部採用國際標准EIA/TIA568B(RJ45)插座介面，以各種方式固定在牆上或地板上。
對於本方案中，我們的設計是使所有插座都支持155Mbps數據通信（計算機通信）應用，故採用全PANDUIT超五類CJ588信息插座，以同時滿足數據和視像的應用。而水平信息點的分布，是按照大樓需求分析統計所得，具體的分布還要根據各樓層的實際應用和裝修環境再作確定。
1.1 材料規格/性能
每個信息點配有一個RJ45 8針模式插座，每個插座由4對非屏蔽電纜單獨配線。可用於話音、數據和圖象等網路連接應用。這些插座已通過了美國UL獨立實驗室的測試認可。
信息點使用的標准8針模式連接插座，符合ISO 8877標准和EIA－TIA568協會的機械性能和電氣性能標准。相關文件有：
ISO/IEC 11801通用布線標准
EIA－TIA568
為增強介面的通用性，本方案選用了PANDUITCJ588標准插座模塊，經測試能支持100Mbps乙太網、622Mbps的ATM應用。具有較好的NEXT、Attentuation性能指標和網路ACR值。面板規格為86×86mm，面板上有應用標識及座位編號標簽，可方便地進行系統管理。
這些插座在連接電纜時不需任何工具，安裝電纜是根據插座背後標明的與RJ45插座的接點相一致的編號進行的。

1.2 器件構成
在工作區內，有關布線的組件包括：
終端模塊化插座/面板
多功能插座底盒
平衡器和適配器
工作位設備連線
在SCS綜合布線系統中，設置終端設備的地方應當設至少2個86×86mm插座位。用以安裝工作站運作過程中，所必須配置的電源插座和網路介面插座。
普通辦公工作位信息點配置情況如下：
一個CJ588插座（型號CJ588）。是8針模塊化插座，同時可用於數據、圖象網路等應用；
一個220伏10/16安培的電源插座；最好能附加一個電腦工作站的備用電源插座（UPS）。

1.3 插座安裝方法
CJ588信息插座模塊根據各種環境有如下的安裝方法：
放在插座盒裡，插座盒可以安裝在牆面上或鑲嵌在牆上，也可以安裝在活動地坂上；
安裝在辦公桌面上；
直接安裝在組合式辦公傢具上；
裝在PBM導線柱上（若電纜從吊頂下來）。
2、水平子系統
本系統是把分布在同一水平層內的信息插座，以星型結構連接到管理模塊上。採用PANDUIT的超5類4對非屏蔽雙絞線(UTP)；每個信息插座的信息出口均對應布放1條4對水平電纜。
2.1 材料規格/性能
2.1.1 Panit 超5類電纜
每個工作位信息插座連接1條PVC阻燃外皮4對UTP雙絞線電纜。可用於話音、高速數據、圖象網路等應用。其技術性能為：
屬於五類產品系列，
符合ISO/IEC/IS11801 D級標准，及EIA/TIA-568A的標准
特性阻抗：100W±15W
纜直徑：5.2mm
單導線採用AWG24/0.51mm線號
根據PANDUIT結構化綜合布線系統的關於布線長度及盤曲彎度的規范：
信息點與配線架之間距離，最大為90米；
電纜彎曲半徑為電纜外皮直徑的8倍。
2.2 水平電纜的布放及管道
為結構化布線系統的管槽，有別於強電的管槽布放方法，除要有結構化、靈活性等特點外，其密封性、屏蔽性及儲線容量等方面都有較高的要求。
系統的布線是放射型的，線纜量較大，所以線槽容量的計算很重要。按照標準的線槽設計方法，應根據水平線的外徑來確定線槽的容量。
即：線纜的橫截面積之和 × 1.8
水平線子系統完成由接線間到工作區信霄口線路連接的功能。分為兩種管線方式：
2.2.1 走廊電纜通道
電纜通道必須是金屬或塑料製成的。應該根據電纜的大小和可用空間的大小計算並安裝電纜通道。
傳輸數據的銅芯電纜應受到保護，以免受主要干擾源的干擾，尤其不受產生重大幹擾源的電力電纜的干擾。這些干擾對高頻的影響很大並因此污染附近的通信電纜，因此可採用一個基礎的預防措施，即把電纜通道的用途作一個長期性的規定：
"弱電"電纜通道（數據、電話、圖象）
"強電"電纜通道（電力電源）
在可能的情況下，這兩種通道都應用金屬材料做成並固定在天花內，這些金屬材料的通道構成了一個珍貴的接地物體，可以將電纜容納其中並加以固定，因而可以將外部的干擾電源引導他處。這些通道的金屬物體應當根據現行的安全標准與地線連接。
以下介紹幾種可能的走向：
當弱電電纜通道折走向與電力電纜的走向相同時，它們之間應至少相距30厘米。我們建議可以將走廊的一側用於強電電纜，另一側用於弱電電纜。電纜通道的0.3米距離內應當避免熒光燈。
對本項目，採用走吊頂的輕型裝配式槽形電纜橋架方案。這種方式適用於大型建築物，為水平線纜系統提供機械保護和支持。裝配式槽形電纜橋架是一種閉合式的金屬槽架，安裝在天花內，從弱電井引向各個設有信息點的開間。再由牆內的不同規格的鐵管及導槽，將線路引到辦公室的插座底盒內。
2.2.2 辦公室里的電纜通道
"弱電"電纜通道應盡可能近地延伸至信息點附近。在辦公室配線時採用與走廊電纜通道相同的規定。但如果與電力電纜的平行走向長度較短，相隔距離也可較近，其平行距離及走線的管道彎曲應注意：
少於2.5米時，兩者之間的相距至少2.5厘米
少於10米時，兩者之間的相距至少4厘米
如果數據電纜設在一個全金屬的線槽內並與地線正確連接，與電源電纜相隔距離可以是1厘米，但同時平行的長度必須小於10米
在安放電纜時，必須注意遵守電纜的最小彎曲度，UTP為外徑8倍，光纜為外徑的10倍。並因此預計電纜通道。同時，電纜也必須遵守一些機械性能的要求以避免其電性能的衰減。
2.3 垂直線纜布放及管道
怎樣設置電纜通道尤其是垂直布線的管道是布線安裝中的首要考慮的問題之一。因為其直接影響到水平、垂直布線走線情況。
規范與標准
電纜通道安置需看安裝所在環境的情況而定，為了能限制可能的電磁干擾，電纜通道、豎井和配線間都應當設在距離電梯和發電機盡可能遠的地方。電纜通道也應與多網格狀的接地系統相連接。
強電和保護電纜可能會給話音/數據/圖象信號弱電電纜帶來干擾。因此必須採取一些必要措施，以便這些不同類型導體的通道能運行正常：
不同的電纜金屬通道之間相隔至少0.3米。
強電/弱電電纜處於同一電纜通道里，強電與弱電電纜分開，並用金屬板隔離，而且導線之間的距離相隔0.3米。
平行電纜管道必須遵守以上規定。當遇到電纜交叉而過時，交叉必須成直角，以減弱迴路影響。
3、管理區子系統\設備子系統
處於各線纜匯集點，將各系統線纜用標準的線架模塊進行分區端接，並實現水平配線、光纖干線及設備信道之間的交連和互連，可方便地將通訊線路定位或重新定位到不同的工作區，
3.1 管理、設備配線間的環境需求
配線間不應是一個"壁櫥"，而應當是一個真正的操作工作室，其特點如下：
面積：（其規模根據安裝在此的設備大小而定）
電源供應：至少1KVA（具體根據安裝的設備而定）
低阻抗接地：低於5（建議值）
通風系統
免提電話
與豎井相連
照明至少200勒克司
門寬至少75厘米，帶鎖
遠離所有電磁干擾源
配線間的面積應當不僅足容納布線系統的所有連接器具，而且也能滿足容納所需的通訊設備及配件以便構成所有網路。這些設備一般是19"規格，要求電源供應和通風。因此在配置中，我們為每個管理設備間設置了一個19"設備機架。
配線間應距離強力電動機（電梯和發電機）和電力電源變電室至少2米。配線架框架的兩端應當與設在工作室里的接地帶連接（根據接地等級），否則應與工作室的主要接地端子連接。配線架應當與電纜金屬通道連接。在同一配線架的各軌道之間應保證電的連續性。
配線間應關上門以保證所裝網路的安全。而大樓配線間應該由局內指定一個部門作統一管理和維護。如果由好幾個部門同時使用，他們可以共享配線間，但是這時可能會出現管理混亂，並容易發生安全和保密問題。
3.2 設備配線間的組織
配線間的組織應當加以分析以便能安放短、中期中所需要的全部設備。光纖布線的配線間和銅線布線的配線間可以是同一個。但是，如果光纖模塊的量很多，最好將光纖模塊放在一個專門的配線架上。
設備配線間內應由兩方面的設施構成。一部分是配線管理線架；另一方面是具體網路設備的安放和配接器件。
在配線間裡面，有配線器架、配線器框架以及安裝以下傳輸設備所需的19"構件（底架、櫃）：中繼器
集中器
集線器裝置
局部網路的伺服器
網關、路由設備等
圖象通信有源產品

配線器架和框架上放置各種模塊以連接配線電纜。這樣，再使用一些附件和有源設備，就可以構成具有一定拓撲結構的網路了。在這些元部件上作一些變動即可以改變拓撲結構。

配線間之間的連接通過更高網路或通過主幹電纜進行。配線間接收所有來自辦公室的水平配線電纜以及來自於其它管理配線間的主幹電纜。這些主幹電纜，根據不同情況可以是雙絞線的，也可以是光纖的。
對於光纖配線，光纖的載體（光纖頭或光纖線架）也放在這配線間內。
3.3 配線間的設備

線間安裝結構圖：
配線間里的設備分成四部分：
配線架模塊
光纖配線架
19"承載部件（機箱、機架、配線板）
分區網路設備
3.3.1 配線架模塊
19"RJ45模塊化配線架（主機房設備環路互連）
本項目主要的應用是話音、計算機網路傳輸，因此在與設備連接的管理配線架上，我們可選取了與計算機網路設備具有相同介面的RJ45模塊式配線架CPP24WBL；及110型P110B100R4WJ配線架。可安裝在標準的19"設備機櫃上，可通過標準的RJ45跳接線及話音跳線與網路設備及話音總機直接配接。
為了能符合在配線間安全方面的標准，這些連接模塊是用聚酸醋製成的，沒有毒性。
這些模塊運用了接插領域最新的科技進步成果，尺寸結構極其緊湊，用聚碳酸酯製成（牢固、電性能高），接點堅硬受到保護（藏在一層塑料裡面因此不突出在外），新的製作IDC接點的技術，使其連接性能質量更高，傳輸性能優化，特別適合高速率傳輸。
3.3.2
19"承載部件隨著通信網路傳送速度的提高，樓內結構化線路系統的廣泛應用；越來越多的電子設備在網路得到應用：共享集線器、交換機、Modem、路由器、橋接器、Mux等。而通常這些電子器件都是以標准19"作為裝配尺寸。因此，在配線設備間類都配置一定數量的19"標准設備機櫃。
3.4 中心配線
本工程在大樓2樓設置總配線架，作為本大樓所有UTP電纜主幹的配線中心及1至3樓水平線纜的配線中心。
四、系統服務
我方對本項目實行總承包，從系統設計，工程管理，管槽安裝，線纜布放，線纜端接、系統安裝調試，性能測試，驗收報告、向PANDUIT申請15年系統保證及日後系統保養；提供一攬子服務。以下為工程服務的標准及范圍：
1、工程設計、施工及驗收標准
1.1標准
IEEE 802.3 10BASE－T，10BASE－FL
IEEE 802.3U 100Base-T
IEEE 802.5 TOKEN RING
EIA/TIA 568 EIA/TSB 40
EIA/TIA SP-2840
IEEE 802.6 FDDI/CDDI/TPDDI
CCITT ATM 155MBPS
1.2安裝與設計規范
中國民用建築電氣設計規范 JGJ/T 16-92
EIA/TIA 568 商業建築布線標准
性能測試符合UNDERWRITER LABORATORY(UL)的區域網纜線規劃
工業企業通信設計規范
市內電話線路工程施工及驗收技術規范
公布的<<建築與建築群綜合布線系統工程設計規范>> ( 中國工程建設標准化協會標准 )
2、設計服務
當確定由我方承接本工程項目後，在需方提供建築藍圖的前提下，本公司的工程師將按照美國PANDUIT的設計標准，為用戶設計建築物的綜合布線系統。
該綜合布線系統應參照國內有關通訊、計算機網路對傳輸線路的要求、標准等，如標准有沖突時，以標准高的為准。並向用戶提供管線方案、建築分布、系統配置、設備選型及工程進度等工程設計方案。
3、施工服務及人員配置
3.1 管槽安裝、線纜布放及督導：
為了確保在布線過程中線纜不會受到損壞，我方會派出由PANDUIT指定工程師2人，在現場督導施工人員完成線纜在建築物中的鋪設；另外，我方同時會派出專業的管槽施工隊，負責管槽的現場安裝與線纜的布放，從而保證了線纜在不同的環境下，都能達到高速傳輸指標要求；為了確保布線質量，我方將用專用儀器及時檢測線路的通道干擾、衰減等性能，並提交檢測結果的證明文件。
3.2 配線及端接：
負責對主、分配線架進行安裝，以及對各子系統電纜的配線、系統設置、安裝和跳接。這部分工作會由我方的工程技術人員負責，以保證其高質量地完成。
3.3 測試：
測試分二級進行，即自測和PANDUIT測試。工程人員分二端進行跟蹤測試，並詳細填寫測試記錄，其中包括線序、通斷、串擾及衰減的測試，且必須滿足PANDUIT的標准。
4、工程驗收和服務
4.1 驗收與保證：
在整個施工、測試過程結束後，我方將向客方提交完整的工程文檔，及系統測試數據；最後聯同客方的領導和相關工程負責人，對工程進行驗收，確定合格後，提交驗收證明文件。
自驗收之日起，我方負責向客戶提供1年的工程質量保修。並提供終身系統保養和技術支持。並協助客戶向PANDUIT申請十五年系統保證。
4.2 文檔：
為了方便用戶的管理和驗收，我們將向用戶提供整套布線系統，包括系統結構圖、編號圖、配線管理圖表及系統應用方案等有關資料。
4.3 培訓：
負責現場培訓2名技術人員，以使他們具有對布線系統獨立管理的能力。
5、與其它系統的配合
交換機系統和計算圾絡系統的服務(包括安裝、培訓、維護)，由提供相應系統設備的廠商負責。其與綜合布線系統相關的部分，即各系統內部由綜合布線系統構成部分的服務有我方負責組織協調實施。對整個連接進行可靠性測試，並提交測試證明文件。
五、系統報價
1、PANDUIT布線材料費用預算表：
略
工程范圍包括：
1、管槽安裝、線纜布放；
2、線纜整理、編碼、 標識；
3、設備櫃及演示板內的配線架安裝，與線纜端接；
4、插座的標識、端接及面板安裝；
5、布線的初測與性能測試；
6、編寫布線分布圖、編碼表、完工測試報告

G. 你可以把那份校園網網路安全設計方案發給我嗎

成都信息工程學院
網路工程系

《安全系統整體解決方案設計》
課程設計報告

成績（總分）：
網路現狀描述
（10分） 漏洞分析
（20分） 物理安全
（15分） 主機安全
（20分） 網路安全
（25分） 總結
（10分）

姓名： 熊懷剛
學號： 2004033031
班級： 信安（1）班

第一章 企業網路的現狀描述 3
1.1 企業網路的現狀描述 3
第二章 企業網路的漏洞分析 4
2.1 物理安全 4
2.2 主機安全 4
2.3外部安全 4
2.4內部安全 5
2.5內部網路之間、內外網路之間的連接安全 5
第三章 企業網路安全整體解決方案設計 5
3.1 企業網路的設計目標 5
3.2 企業網路的設計原則 6
3.3 物理安全解決方案 6
3.4 主機安全解決方案 7
3.5 網路安全解決方案 7
第四章 方案的驗證及調試 8
第五章 總結 9
參考資料 9

 
企業網路整體解決方案設計
第一章 企業網路的現狀描述
1.1 企業網路的現狀描述

網路拓撲圖

以Internet發展為代表的全球性信息化浪潮日益深刻，信息網路技術的應用正日益普及和廣泛，應用層次正在深入，應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,以往一直保持獨立的大型機和中-高端開放式系統（Unix和NT）部分迅速融合成為一個異構企業部分。
以往安全系統的設計是採用被動防護模式，針對系統出現的各種情況採取相應的防護措施，當新的應用系統被採納以後、或者發現了新的系統漏洞，使系統在實際運行中遭受攻擊，系統管理員再根據情況採取相應的補救措施。這種以應用處理為核心的安全防護方案使系統管理人員忙於處理不同系統產生的各種故障。人力資源浪費很大，而且往往是在系統破壞造成以後才進行處理，防護效果不理想，也很難對網路的整體防護做出規劃和評估。
安全的漏洞往往存在於系統中最薄弱的環節，郵件系統、網關無一不直接威脅著企業網路的正常運行;中小企業需要防止網路系統遭到非法入侵、未經授權的存取或破壞可能造成的數據丟失、系統崩潰等問題，而這些都不是單一的防病毒軟體外加伺服器就能夠解決的。因此無論是網路安全的現狀，還是中小企業自身都向廣大安全廠商提出了更高的要求。

第二章 企業網路的漏洞分析
2.1 物理安全
網路的物理安全的風險是多種多樣的。
網路的物理安全主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬體、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網路系統安全的前提，在這個企業區區域網內，由於網路的物理跨度不大，只要制定健全的安全管理制度，做好備份，並且加強網路設備和機房的管理，防止非法進入計算機控制室和各種盜竊，破壞活動的發生，這些風險是可以避免的。
2.2 主機安全
對於中國來說，恐怕沒有絕對安全的操作系統可以選擇，無論是Microsoft的Windows NT或者其他任何商用UNIX操作系統，其開發廠商必然有其Back-Door。我們可以這樣講：沒有完全安全的操作系統。但是，我們可以對現有的操作平台進行安全配置、對操作和訪問許可權進行嚴格控制，提高系統的安全性李扒。因此，不但要選用盡可能可靠的操作系統和硬體平台。而且，必須加強登錄過程的認證，特別是在到達伺服器主機之前的認證，確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。
與日常生活當中一樣，企業主機也存在著各種各樣的安全問題。使用者的使用許可權不同，企業主機所付與的管理許可權也不一樣，同一台主機對不同的人有著不同的使用范圍。同時，企業主機也會受到來自病毒，黑客等的襲擊，企業主機對此也必須做好預防。在安裝應用程序的時候，還得注意它的合法許可權，以防止它所攜帶的一些無用的插件或者木馬病毒來影響主機的運行和正常工作，甚至盜取企業機密。搏攜
2.3外部安全
拒絕服務攻基擾伏擊。值得注意的是，當前運行商受到的拒絕服務攻擊的威脅正在變得越來越緊迫。對拒絕服務攻擊的解決方案也越來越受到國際上先進電信提供商的關注。對大規模拒絕服務攻擊能夠阻止、減輕、躲避的能力是標志著一個電信企業可以向客戶承諾更為健壯、具有更高可用性的服務，也是真個企業的網路安全水平進入一個新境界的重要標志。
外部入侵。這里是通常所說的黑客威脅。從前面幾年時間的網路安全管理經驗和滲透測試結果來看，當前大多數電信網路設備和服務都存在著被入侵的痕跡，甚至各種後門。這些是對網路自主運行的控制權的巨大威脅，使得客戶在重要和關鍵應用場合沒有信心，損失業務，甚至造成災難性後果。
病毒。病毒時時刻刻威脅著整個互聯網。前段時間美國國防部和全年北京某部內部網遭受的大規模病毒爆發都使得整個內部辦公和業務癱瘓數個小時，而MS Blaster及Nimda和Code Red的爆發更是具有深遠的影響，促使人們不得不在網路的各個環節考慮對於各種病毒的檢測防治。對病毒的徹底防禦重要性毋庸置疑。
2.4內部安全
最新調查顯示，在受調查的企業中60%以上的員工利用網路處理私人事務。對網路的不正當使用，降低了生產率、阻礙電腦網路、消耗企業網路資源、並引入病毒和間諜，或者使得不法員工可以通過網路泄漏企業機密，從而導致企業數千萬美金的損失。
不滿的內部員工可能在WWW站點上開些小玩笑，甚至破壞。不論如何，他們最熟悉伺服器、小程序、腳本和系統的弱點。對於已經離職的不滿員工，可以通過定期改變口令和刪除系統記錄以減少這類風險。但還有心懷不滿的在職員工，這些員工比已經離開的員工能造成更大的損失，例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入資料庫、刪除數據等等。
2.5內部網路之間、內外網路之間的連接安全
內部網路與外部網路間如果在沒有採取一定的安全防護措施，內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制，也可能造成信息泄漏或非法攻擊。據調查統計，已發生的網路安全事件中，70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉，自已攻擊或泄露重要信息內外勾結，都將可能成為導致系統受攻擊的最致命安全威脅。
隨著企業的發展壯大及移動辦公的普及，逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麼處理總部與分支機構、移動辦公人員的信息共享安全，既要保證信息的及時共享，又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網路連接安全直接影響企業的高效運作

第三章 企業網路安全整體解決方案設計
3.1 企業網路的設計目標
企業網路安全的設計目標與其他網路安全的設計目標一致，包括：保密性，完整性等面向數據的安全及可用性，可控性，可審查性等面向用戶的安全。面向用戶的安全即網路安全又包含：鑒別，授權，訪問控制，抗否認性和可服務性，以及在於內容的個人隱私，知識產權等的保護。企業網路的安全即指該網路系統的硬體，軟體及其系統中的數據的安全。網路信息的傳輸，存儲，處理和使用都要求處於安全的狀態。
保密性：指信息不泄露給非授權的個人，實體和過程，或供其使用的特性。
完整性：指信息未經授權不能被修改，不被破壞，不被插入，不延遲，不亂序和不丟失的特性。對網路信息安全進行攻擊其最終目的就是破壞信息的完整性。
可用性：指合法用戶訪問並能按要求順序使用信息的特性，即保證合法用戶在需要時可以訪問到信息及相關資產。
可控性：指授權機構對信息的內容及傳播具有控制能力的特性，可以控制授權范圍內的信息流向以及方式。
可審查性：指在信息交流過程結束後，通信雙方不能抵賴曾經做出的行為，也不能否認曾經接收到對方的信息。
3.2 企業網路的設計原則
在對這個企業區域網網路系統安全方案設計、規劃時，應遵循以下原則：
綜合性、整體性原則：應用系統工程的觀點、方法，分析網路的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路，包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則：對任一網路，絕對安全難以達到，也不一定是必要的。對一個網路進行實際 、額研究（包括任務、性能、結構、可靠性、可維護性等），並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規范和措施，確定本系統的安全策略。
一致性原則：一致性原則主要是指網路安全問題應與整個網路的工作周期（或生命周期）同時存在，制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計（包括初步或詳細設計）及實施計劃、網路驗證、驗收、運行等，都要有安全的內容光煥發及措施，實際上，在網路建設的開始就考慮網路安全對策，比在網路建設好後再考慮安全措施，不但容易，且花費也小得多。
易操作性原則：安全措施需要人為去完成，如果措施過於復雜，對人的要求過高，本身就降低了安全性。其次，措施的採用不能影響系統的正常運行。
分步實施原則：由於網路系統及其應用擴展范圍廣闊，隨著網路規模的擴大及應用的增加，網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網路系統及信息安全的基本需求，亦可節省費用開支。
多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。
可評價性原則：如何預先評價一個安全設計並驗證其網路的安全性，這需要通過國家有關網路信息安全測評認證機構的評估來實現。
3.3 物理安全解決方案
環境安全：對系統所在環境的安全保護，如區域保護和災難保護。
設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等。
媒體安全：包括媒體數據的安全及媒體本身的安全。
3.4 主機安全解決方案
1.對主機用戶進行分組管理，根據不同的安全級別將用戶分為若乾等級，每一等級的用戶只能訪問與其等級相對應的系統資源和數據。其次應該考慮的是強有力的身份認證，確保用戶的密碼不會被他人所猜測到。
2.及時更新主機系統，防止因系統漏洞而遭到黑客或病毒的攻擊。
3.對於應用服務，我們應該只開放那些需要的服務，並隨時更新。而對於那些用不到的服務應該盡量關閉。
4.安裝並及時升級殺毒軟體以避免來自病毒的苦惱
5.安裝防火牆可以有效的防止黑客的攻擊
3.5 網路安全解決方案
在內部網路中，主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路，在某些情況下，它的一些區域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內，就可以限制局部網路安全問題對全局網路造成的影響。
將分散系統整合成一個異構網路系統，數據存儲系統整合成網路數據中心，通過存儲區域網的形式對系統的各種應用提供數據支持。隨著信息的訪問方式多樣化,信息的處理速度和信息的交換量都成倍數的增長。使整個信息系統對數據的依賴程度越來越高。採取以數據為核心，為數據訪問和數據處理採用整體防護解決方案也是系統必然的選擇。基於聯動聯防和網路集中管理、監控技術，將所有網路安全和數據安全產品有機的結合在一起，在漏洞預防、攻擊處理、破壞修復三方面給用戶提供整體的解決方案，能夠極大地提高系統防護效果，降低網路管理的風險和復雜性。
整體防護主要包括以下方面：
數據訪問控制系統:
•防火牆——對不同安全域之間信息交換進行訪問控制。
•防病毒——對計算機病毒進行檢測、查殺和系統修復。
•入侵檢測——對網路進行監測, 提供對網路攻擊的實時保護, 是防火牆的合理補充。
•漏洞掃描——對網路安全性通過掃描進行分析評估。
•VPN加密——對網路數據進行封包和加密，使公網上傳輸私有數據，達到私有網路的安全級別。
•物理隔離——內部網不得直接或間接地連接公共網，滿足高度數據安全要求。
數據安全處理系統：
•數據存儲——基於RAID的存儲技術防止系統硬體故障。
•雙機容錯——提供系統應用級的故障處理，適用於高可靠性需求。
•數據備份——基於時間對文件和資料庫級別的系統故障提供解決方案。
•災難恢復——對整個主機系統提供保障和系統的快速故障修復能力。

下圖是防護系統對一個完整的網路攻擊及防護方法的演示效果圖：

第四章 方案的驗證及調試
採用集中管理、統一監控的整體防護解決方案，能夠極大的提高內部網路對網路攻擊的防範能力和數據故障的處理能力，降低了網路管理的復雜性，提高了整個網路的可用性和穩定性。具體表現在以下方面：
•漏洞掃描和防病毒系統增強了各個網路節點自身系統的穩定性和抗攻擊能力。
•防火牆作為網路系統的屏障極大地降低了內部系統遭受網路攻擊的可能性。
•入侵檢測與防火牆採用聯動聯防提高了系統自動對網路攻擊的識別和防禦能力。
•網路隔離系統將內部核心業務系統與外部網路物理隔離，降低了網路風險。
•磁碟陣列和雙機容錯提高了主機系統對軟硬體故障的自動修復能力。
•網路存儲方案將系統應用與數據讀寫分離，提高了系統的處理速度，節省了網路帶寬。
•數據備份和災難恢復降低了由於數據丟失造成的網路風險，提高了系統管理員排除故障的速度和效果。
•系統主幹的所有防護設備都採用了冗餘設計，防止了單點失效產生的故障隱患。
•採用網路管理工具使系統管理員對整個網路的運行狀況一目瞭然，使網路管理更加簡單、方便。
整個安全防護系統的效果評估作為一個整體的安全防護系統，方案設計中對於攻擊行為的每一個步驟都有相應的措施進行防禦，並且系統管理員可以通過網路管理軟體掌握內部所有的安全隱患和攻擊企圖，根據具體情況採取靈活的處理措施，從而達到最大的防護效果。

第五章 總結
通過這次課程設計，我才了解到做一個企業網路安全系統整體解決方案的復雜。在我經歷了網上查資料，書本找資料的過程中，我也只是完成了這么一些。對於一個企業網路來說，我想：理論終究是理論，還需要時間驗證，而且在企業網路中面臨著各種各樣的問題，或者是在這個方案中沒有提到的，那麼在整體方案設計的方面我需要學習的東西還很多。已經大四了，馬上就要畢業了，我也將進入到另一個學習的范疇中了，一個更需要努力更需要動手實踐的領域！

參考資料
（1）保護網路空間的國家戰略 美國
（3）計算機系統安全 曹天傑等 高等教學出版社
（4）密碼編碼學與網路安全-原理與實踐（第三版）William Stallings等 電子工業出版

H. 大學校園網設計方案_校園網建設規劃

校園網建設和規劃

校園網是為學校師生提供教學、科研和綜合信息服務的寬頻多媒體網路；是學校信息化教學環境的基礎設施和實現橋寬型各項管理的物質基礎；是建立遠程教育體系的基本保證；是提高全民素質的重要手段。可見，校園網的建設和應用是一項靈魂工程。教育信息化是我國國民經濟和社會信息化的重要組成部分，並已納入我國的"十五"計劃中。中等職業教育擔負著培養數以億計高素質勞動巧游者和技能型人才的重要使命，是我國經濟社會發展和人力資源強國建設的重要基礎。

近期國家教育督導團日前發布《國家教育督導報告：關注中等職業教育》。此次《報告》的發布旨在強化各級政府依法履行發展職業教育責任，落實教育規劃綱要要求，促進中等職業教育發展。教育部副部長劉利民就發布《報告》與部分省份分管負責同志約談，共商促進職業教育發展的思路。無疑地說明了中等職業教育信息化建設的緊迫性和重要性。

校園網建設規劃是一項技術性、系統性敏猜很強的工程。它由計算機網路系統、安防系統等組成。表面上看是一個綜合布線系統，已及覆蓋學校教學、管理等各個方面的應用軟體組成，同時還要考慮到技術的可行性、資金的可行性、拓展的可行性等諸多因素。下面就來談談校園網建設和規劃。

我校在整個信息化建設中，可大致分為七個大方面：

 校園網路硬體建設

 校園安防系統建設

 校園VOD視頻智能點播系統建設

 校園一卡通

 校園網路軟體建設

 校園網路安全建設

 校園智能照明控制系統建設

一、校園網路硬體建設

目前，就校園網網路建設中，採用先進的千兆乙太網及無線網路相結合的構架。千兆交換式乙太網是網路實施中最成熟的方式之一，具有結構簡單、投資較少、建設周期短、維護方便等特點，為大多數學校所採用。

隨著近幾年來，無線校園網路的建設浪潮在全球蔓延：美國、歐洲、日本、新加坡等國家紛紛建立起無線校園網路環境。我國的無線校園網路建設步伐也緊跟著技術的發展。上海中學、北京大學都是無線校園網路建設的典範。無線區域網以其靈活布設、高帶寬和無線接入的優勢，可以突破有線網路節點限制、實現多人同時上網的問題，大大地增加了校園網路信息點，方便在校師生獲取信息，進一步提升學校的信息化水平。此外，無線網路環境的引入，為嶄新的無線多媒體提供了應用平台，從而將教育信息化建設帶入一個嶄新的天地。

我校根據自身的實際情況，擬採用千兆乙太網和無線網路相結合

的網路架構，保證學校網路的穩定性、安全性、靈活性等。

通過網路的建設，可以實現：

 校園網路的快速接入，強大的核心交換機為整個校園網提供了一

顆乃至數顆強大的心臟。

 全面支持兼容教學管理、學生管理、行政管理、通用服務、互聯

網路和圖書館管理等分系統。

 通過高帶寬實現校園網多媒體計算機教學系統，為現代化教學提

供了一個新的平台。

 建立完善的校園網站，與Internet互連後，校園網用戶在許可權

允許的范圍內可以使用Internet上的Web訪問、Email收發、FTP、Telnet、BBS、新聞組、討論組、個人主頁等服務。

 校園網站連接Internet，用於宣傳學校形象、教學信息發布、

提供信息查詢等，以後可成為網上教學的渠道。

 無線網路與千兆乙太網絡環境互為補充，擴展網路使用范圍，取

消了傳統網路接入上的埠限制問題，為移動多媒體教學應用提供移動平台，進一步便於筆記本電腦用戶隨時隨地的使用網路。  支持個人數字助理(PDA)的網路應用，使得校園網路的應用更為

靈活多變。

 為外來的賓客提供便捷靈活的網路接入服務。

 學校管理人員可隨時隨地進行教學管理，教務管理等日常工作，

突破了傳統辦公管理模式。

 ……

二、校園安防系統建設

伴隨著平安重慶工作的不斷深入，「平安校園」作為「平安重慶」的重要組成部分。

如何利用校園安防系統來解決學校安全防衛工作的後顧之憂，來解決學校諸如畫面質量、成像效果、設備可靠性等疑慮。採用一套具有合理性、先進性、可操作性的系統是解決這一問題的根本手段。

為確保學校教育安全工作，我校擬採用百萬高清監控系統、周界報警、門禁系統等幾個子系統來對整個校園實現全方位防衛，同時可與110實現聯網，運用3G網路等技術手段來實現更為高效、快捷、靈活的管理應用。

百萬高清監控系統是業界目前一致認同的發展方向。百萬高清攝像機與模擬攝像機最大的差別在於畫質上的飛躍，使用者所得到的畫面更清晰、更流暢，從而在發生意外突發性事件（例如盜竊、打架、失火等）時，校園領導能夠迅速查知現場情況，從而快速進行全校人員安全疏散等工作，最大程度上保護學校安全。

周界報警及門禁系統作為校園監控系統的重要組成部分，將能更好地做到對校園周界的防衛工作。

通過安防系統的建設，可以實現：

 實時監控：通過本系統能夠實時監控了解校園內所有情況及動態。

特別是園區的安全等重點防護點位，加強園區內部的安全監控，發揮高效的管理機制。

 安全管理：通過該系統的動態檢測錄像功能，把正常校園生活進

行全面管理，包括人員流動、財物監管等。

 遠程瀏覽：使用最簡便的通訊手段實現實時遠程視頻監控，讓每

一名管理者不管在本地教室，還是在旅途中，甚至全球任何一處有通訊的地方，都可以通過電腦、手機、PDA等來實現視頻監控。  校園周界入侵移動檢測：自動檢測進入校園周界的人、動物、汽

車等移動目標。對翻越、破壞等行為進行預警監測。

 解決在雪天，雨天，大風等惡劣天氣下無法監控報警的情況。  門禁系統實現學校各個區域的安全通行管理：對於學校不同的區

域，按許可權進行有效的通行管理，包括教學樓、宿舍樓、辦公樓、車庫等重點建築。

 徘徊檢測：在校園部分區域內，如重要實驗室、圍牆、財務室等

區域當有人徘徊一段時間後，系統將會自動識別並報警。同時在監視屏上自動彈出徘徊人及其運動軌跡。

 聯動報警：報警裝臵和視頻監控系統與110聯網，當發生偷盜、

搶劫、師生被侵害或重大自然災害性事故時，聯網學校可通過報警系統，以聲音提示和顏色顯示的方式予以報警。

 強大的系統兼容能力：充分利用已有資源進行下一步建，兼容多

家主流產品，從而實現在一個系統平台上實現統一集中管理。  ……

三、校園VOD視頻智能點播系統建設

校園網VOD視頻智能點播系統在現有校園網基礎上建立一種新的實時、交互的學習環境，在教學過程中可以實現隨時隨地點播教學課件完成教學，從而突破了傳統的集體教學的時間和空間的限制，實現了個性化教學，達到最佳的教學效果。這將會是傳統的校園教學模式的一次革命性的變革，真正實現了以素質教育為本的教育目標。

所謂VOD（VIDEO ON DEMAND）視頻點播系統,也稱互動式多媒體視頻點播業務，即通過高速上網技術連上各種寬頻多媒體伺服器進行網上教學、視頻會議等各種互動式活動；是集動態影視圖像、靜態圖片、聲音、文字等信息為一體的，為用戶提供實時、高質量、交互性服務的多媒體通信業務。VOD的本質是交互性，即信息的使用者根據自己的需求主動獲得多媒體信息，它區別於傳統信息發布的最大不同：一是主動性、二是選擇性。

系統通過專業的寬頻視音頻解決方案，優秀的視頻流技術，卓越的整體性能，分布式架構體系，支持視頻伺服器集群接入和負載均衡，輕松實現大流量視頻流並發點播。

通過此系統，我們可以輕松實現：

 互動式教學視頻點播，包括課件、教學視頻、娛樂等，自由截取

網路動態視頻流、前後拖動播放、停止、快進、快退。

 操作簡單、使用方便、功能強大的視音頻編輯工具系統。

 伺服器端實現零管理，數據可隨意備份，保證用戶數據安全；管

理員可在本地或異地進行系統維護和後台管理。

 在校園內不同的區域進行分區音、視頻管理，可與安防系統聯機

管理，根據許可權分級使用。

 實現在同一區域內，不同音、視頻的播放，用戶可根據語言、自

身喜好、專業需求等不同方式，進行互動點播。

 ……

四、校園一卡通

校園一卡通系統是一種非常有效的管理手段，它能將數量龐大、流動頻繁的師生群體科學地管理起來，它代表了當今校園信息化的發展趨勢，是學校現代化管理和校園數字化的重要標志。

校園一卡通系統是將採取銀行卡金融功能與非接觸式電子錢包、電子化校務管理相整合的方式，由指定銀行與貴校聯合發行校園銀行卡，師生們可以在各地銀行網點或自動終端實現存取款、消費、轉帳等金融功能；可以代替教職員工和學生等在校內的所有個人證件（如學生證、工作證、圖書證、醫療證、臨時證），應用於需要身份識別的各個MIS系統，也可以通過設在非接觸式IC晶元內的電子錢包實現餐飲、校內購物、上機上網、醫療等校內的各種消費。

校園一卡通系統將極大的提升學校在社會上形象，鼓舞廣大師生員工的士氣，提升師生、員工作為學校一員的榮譽感和自豪感。

通過校園一卡通，我們可以實現：

 資金自由流轉：實現校園卡上從銀行帳戶向校園卡帳戶的資金轉

入，實現銀行卡直接充值。解決學校資金管理問題

 IC卡多種情況應用，如食堂售餐管理、輔助教務/教學管理、學

籍管理、上機/上網管理、圖書借閱管理、考勤管理等

 IC卡POS機消費：可校內消費（如開水、飲水機、小賣部購物、

打字、復印、傳真、電話等）管理。要求各消費點必須設臵POS機，可實現聯網或離線消費。

 IC卡輔助校內醫療管理：用於校內醫療管理系統。將校園卡用於

師生在學校各校區的醫務所就診的身份憑證。

 IC卡輔助身份認證系統：可以在獨立式IC卡身份識別器上顯示

持卡人的身份信息，用於學校辨認人員身份，並且可以通過簡訊方式告之學生家長，學生到校時間、離校時間、在校情況等。  ……

五、校園網路軟體建設

穩定強健的硬體基礎，必須要與系統平台和應用軟體相配合，才能使校園網發揮應有的作用。因此，軟體規劃就必不可少。一個完善的軟體規劃可以減少事後不必要的重復工作。

 網路系統平台規劃：

目前網路操作系統主要有WINDOWS NT SERVER、WINDOWS 2003 SERVER、UNIX、LINUX等。WINDOWS系列具有操作界面友好，易於維

護，應有軟體豐富的特點。但對於訪問量較大的伺服器來說，要求有較高配臵。UNIX平台具有優秀的網路性能，但一台配臵優良的UNIX伺服器價格驚人，軟體的安裝相對復雜，自從X-WINDOWS問世以來，它的可操作性有所改善。LINUX是網路操作系統中的新秀。與UNIX一樣，它的網路性能卓越，並且LINUX支持現今幾乎所有的連網技術（乙太網、高速乙太網、ATM、數據機、ISDN、令牌環）和網路協議（TCP/IP、PPP、SLIP等）。在相同的硬體上其性能已超過WINDOWS系列及其它的UNIX。同時LINUX以近乎免費的價格和高性能的應用體系已為大多數網站所採用。目前，有許多軟體開發商為其開發相應的應用軟體，其中包括基於WEB的校園網應用軟體。因此，它已成為基於WEB應用軟體的最理想的網路平台。

 應用平台規劃：

在應用平台規劃之前必須了解整個校園網要實現的功能。一個典型的校園網路應具有以下基本功能：

1. 校園WEB站點。其中應包括教育論壇（提供國家的教育方針、

政策，教學科研成果，研究性學習，並根據各自學校的教育教

學實踐創辦特色版面）、聊天室（提供學生、教師和家長之間

在線交流的空間）。

2. 校園電子郵件系統。方便學生、教師校內外的信息交流。

3. 電子圖書系統和電子閱覽室。

4. 教學課件庫。

5. OA辦公系統、日常行政管理系統、教師學生評估系統。

6. INTERNET介面。

六、校園網路安全建設

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行。校園網路特別是已與INTERNET相連的校園網路，對於網路的安全防範就顯得特別重要。因為一次的惡意破壞或管理人員的誤操作都會帶來巨大的損失。因此，一方面要加強管理人員及使用者的技術培訓及有關法律和道德教育，另一方面，要建立起一套有效的軟、硬體的監控、防護體系。學校可以採用高性能的防火牆軟、硬體。它應具有強大的包過濾功能、圖形化的配臵界面、建立URL的訪問限制、流量分析、實時入侵檢測、入侵告警及網路數據流量分析等功能。

七：校園智能照明控制系統建設

新校園的建設要適應網路時代的發展，應引入智能化的概念。在傳統的樓宇自控系統中，一般只包括了綜合布線、計算機網路、安防、消防、閉路電視監控等子系統。但近年來，隨著經濟的發展和科技的進步，人們對照明燈具節能和科學管理提出了更高的要求，使得照明控制在智能化領域的地位越來越重要。而在新校區的建設熱潮中，各

類院校和他們的建設者也意識到了智能照明的重要性。相對商業樓宇而言，校園里的大功率動力和製冷設備比重較少，照明燈具則相對比重更多。使用照明控制系統，更能體現其在節能與管理方面的優勢，提高學校的科學管理水平。

通過智能照明控制系統，我們可以看到與傳統照明系統的區別：  智能照明系統更能達到良好的節能效果，延長燈具壽命。

 智能照明控制系統可以根據不同場合、不同的人流量，進行時間

段、工作模式的細分，把不必要的照明關掉，在需要時自動開啟。  系統還能充分利用自然光，自動調節室內照度。控制系統實現了

不同工作場合的多種照明工作模式，在保證必要照明的同時，有效減少了燈具的工作時間，節省了不必要的能源開支。

 改善工作環境，提高工作效率：合理地選用光源、燈具及性能優

越的照明控制系統，提高照明質量，有效地控制各種照明場所的平均照度值，從而提高照度均勻性

 實現多種的照明效果：多種照明控制方式，可以使同一建築物具

備多種藝術效果，為建築增色不少。現代建築物中，照明不單純地為滿足人們視覺上的明暗效果，更應具備多種的控制方案，使建築物更加生動，藝術性更強，給人豐富的視覺效果和美感。  智能照明控制系統是以自動控制為主、人工控制為輔的系統。在

一般的情況下，不需要有人的參與，照明系統自動實現開關和調光功能。

 合理配臵照明系統，從長遠利益來看，既倡導了環保，又確實的

節約費用開支，還提升了學校的整體形象，實為一舉多得。

結束語

在我國學校日益加大信息化校園的建設步伐，許多先進的信息處理技術都被引入校園，它為數字化校園提供信息採集，涉及到校園生活的各個方面，使教育與信息技術真正地融合，逐步實現以人為本，從校園環境、資源到活動的全部數字化管理。本文通過以上對學校校園網的初步規劃，在總結多種校園網的建設方式的基礎上，提出了以千兆乙太網和無線網路為構架校園主幹網路的解決方案，更包含了安防、VOD點播、一卡通等子系統，必定能為學校的校園信息化建設畫上濃墨重彩的一筆，使學校成為更具影響力的名校之一。

I. 求1 校園網網路安全方案設計 方案

網路HI我，我有一份以前網路安全課的大作業。和你這題目一樣。

J. 校園網設計方案

怎麼覺得你把方案自己都說賀指掉了```
其實和你上述綜合起來的話，配拍山真的是已經差不多了~
你要注意的就是記得要有外鏈~
多貼合生活，多放點學校的內容和信息```
平易培中近人才能做到最好~