校园网络规划与设计校园网络建设的安全策略和规划实践

时间：2020-02-29 07:34:47　来源：雅意学习网本文已影响人

　　三年前我市整合中等职业教育，其中我校和另两个学校合并，以我校为主，其他称为东、西校区。校领导决定整合网络，推进信息化建设，包括对外网上招生，内部网络化办公、电子图书馆、选课系统、排课系统、图书借阅、食堂、洗浴、一卡通等工程。实践中，我们注重服务、效能、易用性、安全性、费用等因素的权衡，使用了如下安全策略。
　　
　　一、以账户为核心进行管理
　　
　　1.一个用户、一个账户(One userOne account)，全校一卡通。
　　2.账户灵活分组，赋予适当权限。
　　建教师组和学生组。将账户加入其中，分别赋予适当权限。
　　有时也面对临时目标设立虚拟工作组。
　　
　　二、保证主干畅通，全网冗余设计，负载均衡
　　
　　核心层采用高性能双并列主干交换机结构，一个链路失效后，快速将负载转移到集束的其他链路上，使网络正常运行。
　　采用HSRP，一个路由器不工作时，另一个可迅速接管，不至整个网络瘫痪，在第三层上实现路由容错、负载均衡、对用户通明。
　　
　　三、合理设置和分配IP地址
　　
　　1.静、动结合
　　重要的服务器、网关等少数设备为静态IP；其他机器通过DHCP服务器动态分配。
　　2.划分VLAN
　　为隔绝广播风暴，方便组内共享和教学，合理划分VLAN。
　　每个机房设一个VLAN，可用于教学广播系统授课、分发素材和控制。
　　每个教研组设一个VLAN，可访问组内共享的教案、课件等材料。
　　设置一管理VLAN，连在核心三层交换机上，配置ACL，只许管理VLAN和特定主机直接访问每一台机器，其他均过滤。在管理VLAN中设一无线接入端口，通过WPA-PSK(TKIP)加密链路，但出于安全考虑平时不开通。
　　
　　四、设置VPN
　　
　　1.LANtoLAN方式VPN
　　VPN网关上配输入输出过滤器，将VPN隧道数据流转发给VPN服务器，其他数据流按类型转发给相应的服务器，隧道使用IPSec提供安全保障。
　　
　　2.客户到LAN方式VPN
　　采用SSL隧道安全协议。设置教师和学生公用VPN账号密码和并发数，Web登录后，仍要进行个人账户验证，才可访问。
　　开通专用管理员VPN账号，在进行证书认证后，可远程登录维护。
　　
　　五、数据库的安全策略
　　
　　1.采用分布式数据库
　　为减少校际间带宽的占用、便于管理，采用分布式，使数据库的存储和使用尽量在本校区内完成。
　　
　　2.站点间相互信任、数据一致性维护、加密和备份
　　站点间通过Kerberos基于对称密码体制的双向身份验证协议来进行信任验证。
　　当多用户并发访问数据时，会产生丢失更新、读过时数据、读脏数据等问题，采用两段封锁协议可使并发调度策略串行化，避免带来的问题：如死锁，则强行撤销引起死锁的事务，数据库回滚。
　　分片设计上，遵循完备性、重构和不相交条件。
　　对敏感字段进行库内加密，常用于索引的字段明文存放。
　　数据库定期冷热备份，多用增量备份，建立日志和检查点，以便发生事务、系统或介质故障和病毒破坏时进行数据恢复。
　　
　　六、防火墙配置
　　
　　用ACL允许教师账户访问Inter―net，在规定时间以外拒绝学生账户访问Internet；对外过滤非法IP地址和协议，通过账户名口令登录。才能访问内部资源。
　　用代理服务器，分担部分用户认证，缓存设计大大分减了出校流量、冗余，使安全性和性能得以提高。
　　管理人员每天检查日志，及时发现异常进行处理。
　　
　　七、防毒措施
　　
　　用卡巴斯基的网络版进行实时监控定期查杀；每台PC上安装杀毒软件，定时升级，实时监控和查杀。
　　学生机房克隆前，母盘要保证无毒；中毒后可一键还原。
　　以上就是我校网络建设中安全策略和机制的设计实施情况，在实际运行和使用中不断改进取得了好的效果。
　　
　　参考文献：
　　
　　[1]张友生，系统分析师考试全程指导[M].北京：清华大学出版社，2009
　　[2]郭向勇，吴光斌，赵怡滨，千兆位以太网组网技术[M].北京：电子工业出版社，2002
　　
　　(编辑：郭桂真)

校园网络规划与设计校园网络建设的安全策略和规划实践

最新文章

热门文章

校园网络规划与设计 校园网络建设的安全策略和规划实践

最新文章

热门文章

校园网络规划与设计校园网络建设的安全策略和规划实践