導語：如何才能寫好一篇機房網絡設計方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

Abstract: Taking lightning protection design of the network computer room of one unit as example, the lightning protection is implemented from buildings, power lines or signal lines being struck by lightning current and equipment being damaged through cable and optical cable to guarantee the safe and stable operation of equipment of computer network system.

關鍵詞：機房；防雷；雷電；入侵

Key words: computer room；lightning protection；lightning；invasion

中圖分類號：TP3文獻標識碼：A 文章編號：1006-4311（2011）24-0170-01

1解決方案

1.1 建筑物的直擊雷防護按照國家標準GB50057-94《建筑物防雷設計規(guī)范》的要求，重要計算機網絡系統(tǒng)機房所在大樓在等級上劃分為第二類或第三類防雷建筑物，一般都按要求建設有必要的外部防雷設施，如辦公大樓樓頂?shù)谋芾拙W、避雷針或混合組成的接閃器等，這些接閃器通過大樓內基礎的主鋼筋，將強大的雷電流引入大地，形成較好的建筑物防雷設施。

1.2 計算機網絡系統(tǒng)感應雷防護防止感應雷入侵是計算機網絡系統(tǒng)防雷工作的重點，表面上看感應雷的危害并不是那么大，但實際上，它極易形成感應雷高壓電，對電腦設備構成較大的威脅，因為感應雷是由靜電感應或電磁感應產生，這些東西都極易導致電流入侵的，常見的電流入侵有以下幾種方式：

1.2.1 雷云放電，在地面上，沿誘導千伏輸電通訊線路，傳過上千伏的電壓，擊壞連接的電氣設備，通過通信線路的侵襲連接的設備。這種電流的入侵，影響范圍大，給人們生活帶來很大的困擾。

1.2.2 直擊雷擊中地面物體，附近的土壤被強烈的擊穿打壓，雷電流直接入侵電纜的外觀，將氣體擊穿，致使高壓線路入侵。

1.2.3 閃電擊中了一個多芯電纜連接不同來源的導線或者多條電纜平行鋪設的電線時，電線會誘發(fā)相鄰的過電壓，低電壓擊壞電子設備。

2現(xiàn)場情況分析

2.1 基本情況在本單位地處縣城中心位置，周邊有廣電局的信號塔，無其它高大建筑物。辦公大樓已有避雷針、避雷帶、避雷網等外部防雷設施，網絡計算機房在辦公大樓二樓，計算機網絡系統(tǒng)的供電系統(tǒng)由市電三相低壓電源供電，機房供電電源由配電室配電柜直供大樓配電箱，由大樓配電箱至機房配電箱供給UPS電源設備；機房計算機網絡通信線進出采用雙絞線纜，通訊專線的線路采用語音電纜線，機房接地通過辦公樓總建筑接地網。

2.2 方案設計機房所在辦公大樓已有相應的外部防雷設施，如避雷針、避雷帶等，主要考慮大樓的內部防雷，計算機網絡系統(tǒng)雷擊電磁脈沖防護按照GB50057-94《建筑物防雷設計規(guī)范》A類要求設計，為了有效地將雷電過電壓降低到設備能夠承受的水平，供電系統(tǒng)必須采取3-4級電源電涌保護器進行保護，網絡通信系統(tǒng)采取精細保護，對于進出機房的電纜、電線安裝合適的網絡信號防雷器。機房實行聯(lián)合接地，建立合格的接地系統(tǒng)，對進出機房所有線路實行等電位連接。設計內容主要包括機房設備等電位連接、瞬間過電壓保護和鋪設接地網的設計三個方面。

2.2.1 等電位連接設計在機房防靜電地板的隱蔽處安放局部等電位接地端子板，使安全保護接地、信號工作接地、屏蔽接地、防靜電接地和浪涌保護器接地等四種接地共用一組接地裝置。為了消除各地網之間的電位差，保證設備不因雷電的反擊而損壞，當外來導電物體、電力線纜、通信線纜在不同地點進入辦公樓時，應設若干等電位連接帶，并就近接地。

2.2.2 機房電源設備瞬間過電壓保護從電磁兼容的觀點來看，由外到內可分為幾級保護區(qū)。辦公樓外部是容易遭受直擊雷的區(qū)域，危險性最高，是暴露區(qū)，為0區(qū)；辦公樓內部到機房所處的位置為非暴露區(qū)，可將其分為1區(qū)、2區(qū)，越往內部，危險程度越低。從總配電室變壓器低壓輸出端到機房設備端，必須實行分級保護，將雷電過電壓降低到設備能夠承受的水平，電源線路是雷電過電壓侵入的主要途徑之一。

2.3 鋪設接地網設計為了把強大的電流引入大地，我們采取“接地”這一方式，它是避雷設計方案中很重要的一個環(huán)節(jié)，無論是直擊雷還是感應雷，都可以通過這一方式將電流導入大地。

因此，為了提高機房機房接地系統(tǒng)的可靠性，需按照規(guī)范要求整改辦公大樓地網接地電阻>1Ω。根據(jù)具體情況，通過沿機房大樓建立不同形式的接地網（包括水平接地體、垂直接地體）來擴大接地網的有效面積和改善地網的結構?；疽笕缦拢?/p>

2.3.1 接地電阻值要求R＜1Ω；

2.3.2 接地體應離機房所在主建筑物3-5m左右鋪設；

2.3.3 水平和垂直接地體應埋入地下深度不小于0.5m，垂直接地體長2.5m，每隔3-5m設置一個垂直接地體；

2.3.4 垂直接地體宜直接打入深溝內，采用50×50×5mm的熱鍍鋅角鋼；水平接地體應挖溝埋設，則選50×5mm的熱鍍鋅扁鋼；

2.3.5 在地網焊接時，焊接面積應≥6倍接觸點，并且要雙面實焊，且焊點做防腐蝕防銹處理；

2.3.6 各地網應在地面下0.6-0.8m處與多根建筑立柱鋼筋實焊，并涂上防腐漆，作防腐蝕、防銹處理；

2.3.7 土壤導電性能差時采用敷設降阻劑法，使接地電阻≤1Ω；

2.3.8 垂直接地體坑內、水平接地體溝內回填土時，必須是低電阻率土壤回填并分層夯實；

2.3.9 與大樓基礎地網多點焊接，連接處不應松動、脫焊、接觸不良，并預留接地測試點。

3總結

在日常生活中，由于電腦對雷電過壓的防護要求比較高，所以現(xiàn)在已經把對計算機的防雷設計這一塊單挑出來，進行專門的設計。

根據(jù)機房所在的地理環(huán)境進行綜合考慮，對設備間雷電入侵的主要來源做整體的保護，并根據(jù)一些現(xiàn)有的成熟技術經驗，采取經濟和有效的防護措施，以保護辦公樓和辦公樓內各向電子網絡設備不受雷電損害或使雷擊損害降低到最低程度。

參考文獻：

[1]GB50057-94《建筑物防雷設計規(guī)范》，2010.

[2]GB50343《建筑物信息系統(tǒng)防雷技術規(guī)范》，2004.

篇2

關鍵詞：工程設計網絡應用方案探討

隨著計算機及其應用技術的日益發(fā)展,特別是信息技術的飛速發(fā)展,各勘測設計院建立自己的局域網,成為勢在必行的工作或計劃,總院也要求2000年甲級院必須建網。但是,為什么要建網？建一個什么樣的網？它的帶寬多大才合適？在網上干些什么？怎樣實現(xiàn)信息共享？除了信息共享和設備共享外,還能做什么？怎么樣才能通過網絡提高CAD勘測設計效率？怎么樣才能通過網絡實現(xiàn)ISO9000的管理？這些都是大家所關心的問題,也都希望能有一個系統(tǒng)而完整的解決方案。本文就這些問題做一些初步的探討。

1工程設計領域計算機應用的現(xiàn)狀和面臨的問題

自80年代以來,工程設計行業(yè)CAD的應用已經有相當大的發(fā)展,大部分設計單位已拋掉了圖板而由計算機輔助完成設計,其中部分設計院的CAD應用達到相當高的水平。近年來,不少院已達到人手一機并接近100的CAD出圖率。但是,隨著計算機應用在各設計院的深入和普及,一些問題也漸漸暴露出來。

在這普及推廣CAD應用的10余年里,很多工程設計單位都積累了大量的電子文檔和電子圖檔,這些都是無形資產,它們的積累構成了企業(yè)最寶貴的財富。但這些電子信息分散在單個的PC上,無法對其共享和利用,不可能進行有效的檢索和查詢,由于缺乏管理,久而久之變成了電子垃圾,反而影響了日常生產。各設計院迫切需要對現(xiàn)有的電子信息進行有效的組織和管理。

企業(yè)要參與國際市場的競爭,其質量規(guī)范體系必須與國際接軌。PDM（ProductsDataManagement）產品中的工作流程控制模塊,以其嚴格的工序審核和制約,可為實施ISO9000提供有力的工具。

工程設計部門已開始從面向產品整個生命周期的角度來重新思考、重整、優(yōu)化企業(yè)內部的設計工具,對設計過程進行重整,以便更有效地組織生產。但面臨如下問題：

隨著電子存貯的各種圖紙文檔數(shù)量的增加,如何有效地管理、瀏覽和查找這些電子圖檔？

改型設計是利用計算機和已有的圖紙來提高工作效率的,如何有效地共享信息資源？

設計變更時,如何利用圖紙的版本策略來跟蹤設計,以確保信息的一致性和有效性？

如何應用計算機將全面質量管理或ISO9000質量標準有效地貫徹到設計流程中去？

如何對設計流程進行規(guī)范和管理？如何加強設計過程中設計人員間的交流和協(xié)同？

如何將大量歷史資料歸檔,利用計算機進行管理,并逐步積累,建立通用件、通用圖庫？

如何有效地對項目組成員進行工作量的均衡、調整、評估？

如何有效地對項目及分項目的進度進行跟蹤、調整？

解決問題的途徑是建立一個合適的網絡,并且要有相應的網絡應用軟件。

2工程設計網絡系統(tǒng)解決方案

各設計院建網工作的關鍵是方案選擇,要從網絡的傳輸介質到面向用戶的應用系統(tǒng),提供全面解決方案,包括：綜合布線子系統(tǒng)、計算機網絡子系統(tǒng)和產品數(shù)據(jù)管理子系統(tǒng)(圖1)。

在這個網絡系統(tǒng)中,結構化綜合布線系統(tǒng)為網絡提供可靠的傳輸介質,使之具有高度的可管理性和可擴展性,能支持多種先進的網絡技術；網絡子系統(tǒng)則在布線系統(tǒng)的基礎上,為高層的應用系統(tǒng)提供足夠的網絡帶寬,為產品數(shù)據(jù)管理系統(tǒng)提供高速、可靠的網絡平臺。結構化綜合布線系統(tǒng)和網絡子系統(tǒng)是網絡的基礎,只要滿足一定的數(shù)據(jù)傳輸帶寬,滿足網絡的管理要求即可,它們具有與一般企業(yè)網絡相似的要求；但是,最高層的網絡應用軟件系統(tǒng),應考慮生產和管理的需要,滿足工程設計的特殊要求。

圖一：網絡系統(tǒng)組成示意圖

2.1結構化綜合布線系統(tǒng)

為了滿足網絡對于帶寬、管理、擴充和靈活應用的要求,達到經濟合理的目標,擬采用

結構化綜合布線系統(tǒng),它由四個子系統(tǒng)組成：工作區(qū)子系統(tǒng)、水平子系統(tǒng)、垂直子系統(tǒng)和管理子系統(tǒng)；網絡布線用五類無屏蔽雙絞線或光纖,每個用戶節(jié)點與網絡連接…,這里不去詳細討論。

2.2計算機網絡系統(tǒng)

考慮到整體目標和目前的發(fā)展趨勢,網絡可采用10Base/100BaseT交換式快速以太網,擬用WindowsNT或Novell作為網絡系統(tǒng)軟件,并采用相應的網管軟件和防病毒軟件。本文也不作具體討論。

2.3網絡應用子系統(tǒng)

為了滿足工程設計部門的特殊要求,上海交通大學金維計算機系統(tǒng)集成有限公司針對工程設計領域中的實際問題,引進了PDM（ProductsDataManagement）技術來開發(fā)有關的網絡應用軟件,一般來講,PDM是管理與產品相關的信息和過程的技術：

l與產品相關的所有信息,包括部件信息,結構配置、文件、CAD檔案、審批信息等;

l與產品相關的所有過程,即對這些過程的定義和管理,包括信息的審批和分配。

篇3

論文摘要：高校網絡中心機房是校園網絡的核心樞紐，該文結合廣東理工職業(yè)學院中心機房工程建設實踐，簡單介紹了校園網中心機房設計原則及機房建設的整體規(guī)劃，對詳細設計部分內容做了重點論述。 

中心機房是校園網絡的核心與樞紐, 是數(shù)據(jù)交換的中心和數(shù)據(jù)存儲中心, 如何嚴格按照國家標準，參照國際先進規(guī)范，建設一個現(xiàn)代化、規(guī)范化的機房，為計算機的可靠運行提供一個穩(wěn)定的環(huán)境，成為人們日益關心的課題。 

校園網絡中心機房環(huán)境，包括硬件與軟件環(huán)境，是一門多學科綜合技術，為了保證各種智能設備與計算機系統(tǒng)穩(wěn)定可靠運轉，計算機機房環(huán)境必須滿足計算機等微電子設備和工作人員對溫度、濕度、潔凈度、電磁強度、屏蔽、防漏、電源質量、振動、防雷、接地和安全保衛(wèi)等要求。中心機房建設工程是一種涉及到空調技術、供配電技術、抗干擾技術、防雷防過壓技術、凈化技術、消防技術、安防技術、建筑和裝飾技術等多種專業(yè)的綜合性的產業(yè)。 

1 項目介紹 

廣東理工職業(yè)學院中山校區(qū)網絡中心機房，面積共約150平方米。層高4.5米，裝修完成后要求凈高達2.8米，包括各類功能房間，整個中心機房基本工程包括有機房裝修系統(tǒng)、配電系統(tǒng)、防雷接地系統(tǒng)、空調及新風系統(tǒng)、消防系統(tǒng)、綜合布線系統(tǒng)、門禁系統(tǒng)、閉路監(jiān)視系統(tǒng)、kvm系統(tǒng)等。機房區(qū)域規(guī)劃基本可分為四大部份，主機房、配線間、氣瓶間、配電間。 

1) 主機房：用于放置ups電源主機及各種服務器設備等各弱電系統(tǒng)設備安裝區(qū)域。面積為105.3平方米。 

2) 配線區(qū)：用于放置網絡機柜、網絡設備、光配線架、網絡配線架等設備安裝區(qū)域。面積為12.3平方米。 

3) 配電間：用于放置電池、市電配電柜、ups配電柜等配電設備。面積為18.6平方米。 

4) 氣瓶間：用于放置氣瓶等消防設備。面積為14.4平方米。 

2 設計原則 

機房建設工程，要以兼顧人機并重之原則，設計應以運行條件、安全可靠作為首要的考慮因素，在保證系統(tǒng)運行的可靠性、系統(tǒng)的設計壽命、信息安全的要求的基礎上保證操作人員的工作環(huán)境。 

先進性：立足于高起點，采用先進、成熟、實用的技術。機房系統(tǒng)中各個子系統(tǒng)軟、硬件配置采用模塊化、開放式結構并通過集成，實現(xiàn)信息資源共享，提高設備利用率，降低能耗，實現(xiàn)科學的機房管理。 

高安全可靠性：為保證機房能為用戶提供連續(xù)不間斷的服務，機房須具有高可靠性。系統(tǒng)設計時應盡量減少單點故障的存在。 

機房內部計算機系統(tǒng)涉及到機密信息，需要保證機房的安全性，必須具有視頻監(jiān)控系統(tǒng)、門禁系統(tǒng)等安保系統(tǒng)以保證用戶的設備和數(shù)據(jù)不受侵害。 

可擴展性：由于信息網絡系統(tǒng)需求的不斷變化，技術的不斷提高，在施工建設時應考慮對資源需求的改變，以使整個系統(tǒng)具有靈活的可擴展性。 

易管理維護：通過使用先進和可靠的管理工具來實現(xiàn)系統(tǒng)的高質量管理，以節(jié)約人力資源，實時監(jiān)控、監(jiān)測整個中心機房的運行狀況、語音報警，實時事件記錄，迅速確定故障，提高可靠性，簡化機房管理人員的維護工作。 

高性能價格比：保證在保證機房的高可靠性的基礎上，機房的材料產品、設備的選型應合理選擇材料與設備；以較高的性能價格比設計機房，提供高效能與高效益。 

舒適性：機房設計中對空調、照明、聲響及環(huán)境進行優(yōu)化調整，為管理人員提供舒適的工作環(huán)境。 

3 總體規(guī)劃 

機房總體規(guī)劃就是按照標準化的流程、規(guī)模化的運作，優(yōu)質、快速規(guī)劃機房工程建設方案。機房總體建設方案由機房裝修系統(tǒng)、供配電系統(tǒng)、空調系統(tǒng)、消防系統(tǒng)、防雷接地系統(tǒng)、通訊系統(tǒng)、機房監(jiān)控系統(tǒng)和kvm系統(tǒng)等部分組成，包含了機房工程的全部過程：從前期的規(guī)劃選址，到后期內部系統(tǒng)的設計施工；從前期整個項目的總體管理，到后期的調試、開通；從前期對用戶的使用培訓，到后期的維護保養(yǎng)等方面。 

4 詳細設計 

4.1 機房裝修系統(tǒng) 

機房裝修系統(tǒng)，是整個機房的基礎。它主要起著功能區(qū)劃分及保證機房環(huán)境的作用。可分為電磁屏蔽系統(tǒng)、抗靜電地板系統(tǒng)、防塵天花系統(tǒng)及其他裝飾等四個子系統(tǒng)。 

本方案裝飾選用的材料必須全部采用符合國際標準[1-2]或國內優(yōu)質標準。所有材料應具備環(huán)保、阻燃、無毒、防火性能好；安全耐用，不易變形，美觀不變色；不起塵，易清潔，吸音效果好；防靜電、抗電磁干擾等性能。 

4.2 空調系統(tǒng) 

空調系統(tǒng)，是機房運行環(huán)境的保障。計算機主機及通訊設備是高精密的電子設備，對機房環(huán)境有嚴格的要求，其中最重要的是溫度、濕度和潔凈度。即是所謂的“三度”要求。 

根據(jù)我院工程現(xiàn)場勘測的實際情況，主機房設計為風冷式下送風精密空調。采用1臺35kw的國際名牌精密空調和2臺5匹工業(yè)級普通柜式空調負責主機房和網絡配線間的溫濕度調節(jié)，精密空調采用下送風，頂回風方式。以保證機房空調系統(tǒng)的穩(wěn)定性、可靠性，2臺5匹普通柜式空調作為備份使用，確保了區(qū)域內設備的安全運行。

4.3 供配電系統(tǒng) 

配電系統(tǒng)，是整體機房高可用性的后盾。計算機及網絡通訊設備投入服務后如無一個長期穩(wěn)定的供電系統(tǒng)來保證計算機及網絡通訊設備和有關外圍設備正常運行，勢必造成嚴重的后果。 

計算機機房的供配電系統(tǒng)是一個綜合性供配電系統(tǒng)，在這個系統(tǒng)中不僅要解決計算機等微電子設備的用電問題，還要解決其他設備的用電問題。 

廣東理工職業(yè)學院中山校區(qū)網絡中心機房配電系統(tǒng)設計具體如下： 

1) 機房內插座分二種：不間斷電源（ups）供電的計算機主機和重要通信設備專用插座；市電直接供電的輔助設備用標準插座。 

2) 在市電配電箱，主要包括空調機、照明及機房內維修插座的配電，應分開回路設計，每一回路設置單獨電源開關控制。 

3) 在機房設專用ups配電柜，主要負責計算機用電設備、應急照明、安全出口等供電，配電方式采用放射式。 

4) 主機房內每個機柜位置提供2個ups供電專用插座，由ups通過配電箱為每個機柜組提供一個ups回路?；芈凡捎脄r-bv-3×4mm2阻燃電線，使用25a空開控制。所有這些插座安裝于地板下并做墊高處理，相應的防靜電地板處需有出線口。

4.4 消防系統(tǒng) 

消防系統(tǒng)，是整體機房安全運行的盾牌?；馂膱缶捎脽煾刑綔y器和溫感探測器，探測器安裝在吊頂上和活動地板下，兩者聯(lián)合使用提高報警的可靠性，火災自動探測器即能發(fā)出警報信號，控制器顯示報警的探測器所在位置。滅火系統(tǒng)采用七氟丙烷（fm200）自動氣體滅火系統(tǒng)。 

該工程共分2個防護區(qū)（即：配電間、主機房和配線間），而且設有氣瓶貯存間，七氟丙烷可以集中放置在氣瓶間，實現(xiàn)三層布控(即天花頂、地板下及使用空間)，立體式滅火系統(tǒng)。 

4.5 防雷接地系統(tǒng) 

防雷接地系統(tǒng)，是整體機房安全運行的保證。機房設施的雷擊過壓及電磁干擾防護，是保護通信線路、設備及人身安全的重要技術手段，是確保通信線路暢通、設備安全運行不可缺少的技術環(huán)節(jié)。 

一個完整的防雷系統(tǒng)包括三個方面：直接雷擊的防護、感應雷擊的防護和接地系統(tǒng)。 

4.6 通訊系統(tǒng) 

通訊系統(tǒng)，是整體機房的神經中樞。計算機及其他微電子設備之間的信號傳輸以及機房與外界的“聯(lián)系”都要靠穩(wěn)定的通訊系統(tǒng)來實現(xiàn)。主要包括結構化布線系統(tǒng)[3]。網絡中心機房及運維、監(jiān)控辦公室采用六類非屏蔽雙絞線，按其功能區(qū)域設計信息點，并考慮預留余量，中心機房布線集中在配線間，配線間和主機房通過地板下預留線槽走線連接。機房靜地板下敷設鍍鋅鐵槽、鍍鋅鋼管、鐵皮分線盒等，采取下走線方式。所有管槽均做墊高處理，要求接地良好。 

4.7 機房監(jiān)控系統(tǒng)[4] 

機房監(jiān)控系統(tǒng)是機房運行的“守護神”。確保做到“三防犯”及“雙保險”。 

本機房采用數(shù)字硬盤錄像系統(tǒng)，對中心機房實現(xiàn)24小時安全監(jiān)控。結構上采用b/s架構，采用分散監(jiān)控，集中管理。由中心控制軟件平臺統(tǒng)一控制各軟件系統(tǒng)。各個軟件系統(tǒng)間相互獨立，在其中某個軟件系統(tǒng)出現(xiàn)故障的情況下，其余的各個系統(tǒng)仍能夠繼續(xù)正常工作。 

4.8 kvm系統(tǒng) 

kvm系統(tǒng)使中心機房的各種服務器、網絡設備實現(xiàn)“一站式”管理。本方案采用2臺數(shù)字交換機對32臺服務器進行管理，實現(xiàn)1個本地用戶、2個遠程用戶對服務器的集中控制。機房內的所有64臺服務器都與專用服務器接口電纜進行連接，專用服務器接口電纜通過六類線連接到數(shù)字式kvm交換機上，數(shù)字式kvm交換機的網絡端口通過普通六類線纜連接至以太網上，控制終端通過tcp/ip對所有服務器進行統(tǒng)一管理。 

5 結束語 

在進行網絡中心機房建設過程中，作為網絡中心機房設計者和建設者應具有超前意識，優(yōu)化機房的硬件及軟件環(huán)境，并采用高新技術管理模式—智能化機房管理，確保機房正常工作。 

參考文獻： 

[1] gb2887-89.計算站場地技術要求[s]. 

[2] gb 50174-2008.電子計算機機房設計規(guī)范[s]. 

篇4

【關鍵詞】計算機網絡;信息防御;安全意識;安全管理

當下，信息技術不斷發(fā)展，促使計算機網絡覆蓋面積逐漸增大。但是，對計算機網絡進行實際應用過程中，存在一些不法分子對網絡信息進行惡意侵害，導致計算機網絡信息安全面臨一定安全隱患。這種情況下，要求計算機網絡安全管理人員對這一行為進行科學防御，通過科學手段，保障相應網絡信息不受侵害。

1計算機網絡安全管理中存在的問題

1.1計算機網絡用戶信息安全意識淡薄相應計算機網絡用戶，實施相應操作過程中，認為內部網絡安全性較好，因此便放松了安全警惕。此外，用戶自身安全意識淡薄，對相應密碼等進行設置過程中，安全級別較低，甚至有的用戶根本不設置密碼。用戶對移動介質進行使用過程中，并不注重安全檢查，在不同計算機上進行U盤等移動介質的隨意使用，有些用戶在不同計算機上隨意拷貝文件。還有一些用戶，為了方便起見，直接對插入計算機的內網網線隨意切換。這些情況的存在，均為病毒和木馬的轉換提供了條件，進而為不同單位和企業(yè)等計算就網絡安全帶來安全性威脅。1.2不注重網絡安全管理企業(yè)和相應事業(yè)機關單位等，內部網絡管理人員管理水平參差不齊，部分規(guī)模較小的單位，存在一些網絡管理人員身兼數(shù)職，其自身經歷和技術能力等的限制，導致網絡管理水平不高。對本單位計算機操作系統(tǒng)進行安裝過程中，沒有及時對系統(tǒng)安裝相應的補丁和殺毒軟件等，導致計算機出現(xiàn)漏洞。計算機人員對相應軟件進行安裝過程中，沒有對相應的應用軟件做出安全檢查，這就導致安裝出現(xiàn)隱患，最終導致計算機網絡信息安全面臨威脅。此外，服務器和交換機等設備在日常運行過程中，缺乏完善的維護措施，導致網絡故障出現(xiàn)，進而導致整個網絡安全應用受到一定影響。1.3計算機網絡設計缺陷一些企業(yè)和機關事業(yè)單位的網絡所涉及的內容有內網、外網兩部分內容，部分單位存在健康網絡和網等多套網絡，網絡環(huán)境十分復雜，這些網絡的建設時間不同，建設標準也有所不同，這就很容易導致網絡設計出現(xiàn)缺陷。部分單位中，機房沒有安裝UPS和防雷、消防等保護設施，并且沒有對一些重要資料和數(shù)據(jù)庫等實施異地備份，最終造成數(shù)據(jù)丟失等問題出現(xiàn)。

2計算機網絡信息的防御技術應用實踐

對計算機網絡信息防御技術的應用實踐進行分析，其日常運行過程中，存在一定安全隱患，對這些隱患進行分類，以網絡信息技術的實際應用作為依據(jù)，使用相對合理的防御技術，并且構建出較為健康和安全的計算機網絡信息環(huán)境。當下，針對計算機網絡信息而言，主要將防御技術建立在動態(tài)自適應性網絡安全模型的PPOR基礎上。圖1為主從式DDOS攻擊結構。2.1安全掃描用戶對其進行使用過程中，一定要具備較高的網絡安全意識。對此，對網絡信息進行安全掃描、行為掃描和模糊匹配等十分必要。對動態(tài)性能等進行強力掃描，可以找出計算機中存在的安全隱患，對掃描情況進行反饋，可以做出相應處理措施。2.2系統(tǒng)增強對其進行實際應用過程中，計算機網絡安全架構難以對這一威脅及時發(fā)現(xiàn)，這就引發(fā)了安全隱患?？梢赃m當增加相應系統(tǒng)，從而提升防御能力。進行系統(tǒng)的增加，可以對計算機網絡信息當中一部分惡意數(shù)據(jù)進行適當檢測核攔截，進而避免惡意數(shù)據(jù)對計算機帶來影響，促使傷害擴大。2.3學習、自適應對學習型和自適應防御系進行科學應用，能夠促使計算機網絡防御能力得以提升，這一防御系統(tǒng)，這種防御系統(tǒng)，主要體現(xiàn)在智能化防入侵能力上，對計算機實施傳統(tǒng)檢測和掃描所獲得的反饋，實施智能化學習，進而形成一種新型防御能力。通過這種方式，促使計算機網絡可以針對新型病毒，進行充分免疫，結合不同供給以及入侵情況進行科學控制，促使計算機網絡信息安全水平得以提升。2.4實施響應和黑客誘騙技術實施相應，需要建立在動態(tài)自適應網絡安全模型PPDR基礎之上，在運行過程中，如果發(fā)現(xiàn)計算機網絡遭受了外部空攻擊，或者自身出現(xiàn)漏洞，通過實時響應或者電子郵件等方式，將相關內容向用戶反應，從而方便對這些內容進行及時處理。黑客誘導技術，主要是對虛假信息進行釋放，進而對黑客入侵時間適當?shù)耐涎?，通過這種方式，為用戶對病毒的防御提供足夠的時間。將實時響應和黑客誘導兩種方式相互結合，從而在黑客入侵的第一時間，向外發(fā)出警報，進而使用戶能夠盡快的進行處理和防御，最終提升計算機網絡信息安全。

3計算機網絡信息安全防御應注意的問題

3.1合理規(guī)劃，建設安全防御體系計算機網絡運行的整個過程，均需要具備一定的計算機網絡安全防御體系。計算機網絡處于規(guī)劃階段時，需要對其實施整體規(guī)劃，并且對其進行分步實施。此外，高度重視對網絡基礎設施進行建設，卻好計算機網絡相互配套。此外，對單位各種網絡關系進行認真清理，對網絡布局情況進行科學合理的規(guī)劃，從而使網絡較差情況適當減少，降低網絡層級。對企業(yè)以及機關事業(yè)單位的建設過程中，可以在核心層的互通網絡，不能在接入互聯(lián)?？梢詫饫w資源進行科學優(yōu)化，促使核心和接入的網絡得以實現(xiàn)，不能設置匯聚層。對計算機網絡系統(tǒng)進行使用過程中，要重視對相應管理人員以及網絡信息使用人員進行定期培訓，提升這些人員的技術水平。對其開展一定的思想教育，提升其安全意識，確保系統(tǒng)始終處于安全運行中。3.2提高計算機網絡信息防毒和殺毒功能當前，計算機網絡得到不斷普及，這為很多木馬和病毒等侵入提供了可能。對此，在計算機網絡內部，需要設置較為完善的防毒和殺毒措施，這樣做，促使計算機網絡防毒和殺毒功能得以提升，對網絡內部防毒以及殺毒功能進行有機結合，確保計算機網絡信息足夠安全。3.3對關鍵信息進行備份為了使計算機網絡的安全性得到進一步提升，促使信息丟失和損壞等方面的影響得到有效降低，需要關鍵性數(shù)據(jù)進行備份。此外，對相應硬件裝置以及網絡信息之間進行隔離，通過這種方式，防止信息數(shù)據(jù)丟失。3.4對網絡防護設備進行科學設置在網絡信息當中，防火墻屬于整個計算機當中的隔離層，將計算機自身信息和外界信息之間進行科學隔離，確保計算機網絡信息足夠安全。企業(yè)以及相應機關事業(yè)單位，可以在內部網絡邊界上，設置一定的防火墻。針對較為重要的網絡，尤其是涉及秘密保護信息的相應內容，需要在內部網絡上、安全網關和入侵檢測等相關設備，為了使單位內部計算機因為違規(guī)外聯(lián)網引起的信息泄露等情況出現(xiàn)，則需要在內部網絡上，安裝一定具備違規(guī)外聯(lián)管理的計算機管系統(tǒng)，通過這種形式，防止內部計算機和互聯(lián)網相互連接，并且提醒相應管理人員，對這一內容進行及時處理。3.5身份證網絡信息加密為了使內部網絡當中的應用軟件系統(tǒng)數(shù)據(jù)安全得到保障，如果企業(yè)具備相應條件，可以在內部建設相應的用戶統(tǒng)一身份認證系統(tǒng)。這種用戶統(tǒng)一身份認證系統(tǒng)，改變了原有的“用戶名+密碼”的認證方式，借助PKI/CA當做一種身份認證技術手段，間用戶為核心，建立一定的安全應用框架，最終對上層業(yè)務資源等進行科學整合，最終實現(xiàn)對用戶以及業(yè)務資源的集中性管理。此外，對內部信息資源的安全提供一定保護。針對以及較為重要的文件而言，相應技術人員可以對這些數(shù)據(jù)或者文件、口令等設置一套較為高級的加密。

4結束語

總而言之，當今計算機網絡使用范圍不斷擴大，覆蓋面越來越廣，可謂是滲透在各行業(yè)當中。借助相應計算機網絡防御策，對計算機網絡信息安全問題進行科學分析，針對當前計算機網絡存在的安全隱患，制定科學有效的防御措施，只有這樣，才能有效提升計算機網絡信息防御水平，提升安全系數(shù)。相關用戶和計算機網絡信息安全管理人員，要提升自身安全意識，營造出一種健康、安全的計算機網絡信息使用環(huán)境。

參考文獻

[1]高博.關于計算機網絡服務器的入侵與防御技術的探討[J].電子技術與軟件工程,2015(08):226-227.

[2]李先宗.計算機網絡安全防御技術探究[J].電腦知識與技術,2015(21):33-35.

[3]李軍.基于信息時代的網絡技術安全及網絡防御分析[J].網絡安全技術與應用,2016(01):17-18.

[4]張燕.數(shù)據(jù)挖掘技術在計算機網絡病毒防御中的應用探究[J].太原城市職業(yè)技術學院學報,2016(04):174-176.

篇5

關鍵詞： 網絡信息系統(tǒng)；信息安全；措施；檢測；方案設計

隨著信息化的高速發(fā)展，信息安全已成為網絡信息系統(tǒng)能否正常運行所必須面對的問題，它貫穿于網絡信息系統(tǒng)的整個生命周期。安全檢測是保障網絡信息系統(tǒng)安全的重要手段，通過安全檢測，我們可以提前發(fā)現(xiàn)系統(tǒng)漏洞，分析安全風險，及時采取安全措施。

1 物理安全措施和檢測方法

物理安全是信息系統(tǒng)安全中的基礎，如果無法保證實體設備的安全，就會使計算機設備遭到破壞或是被不法分子入侵，計算機系統(tǒng)中的物理安全，首先要采取有效的技術控制手段來控制接觸計算機系統(tǒng)的人員，確保計算機系統(tǒng)物理環(huán)境的安全；其次要采取是設備標記、計算機設備維護以及機房防盜等安全措施，確保計算機設備的安全。另外，通信線路是網絡信息系統(tǒng)正常運行的信息管道，物理安全還包括通信線路實體的安全。檢測網絡信息系統(tǒng)物理安全的主要方法是現(xiàn)場檢查、方案審查以及調查問卷檢查等。

2 網絡安全措施及檢測方法

網絡的開放性帶來了方便的可用性，但也使其更容易受到外界的攻擊和威脅。入侵者可以利用系統(tǒng)中的安全漏洞，采用惡意程序來攻擊網絡，篡改、竊取網絡信息，從而導致網絡癱瘓、系統(tǒng)停止運行。在網絡維護過程中，應采用合適的檢測手段，采用嚴格的措施與網絡攻防行為對抗，保障網絡安全。檢測方法可從下面三個角度考慮。

2.1 網絡結構安全要求

網絡信息系統(tǒng)為了保證內部網絡拓撲信息不被非法獲得，在不對性能造成影響的前提下，采用動態(tài)地址映射隔離內部網絡；在網絡信息系統(tǒng)內部采用使用加密設備以及劃分VLAN的方法來防止非法竊聽；采取監(jiān)控、隔離的措施來保護重要的服務器。網絡結構安全可以采取方案審查和現(xiàn)場檢查的方法來檢測網絡信息系統(tǒng)網絡結構是否合理，是否安全。

2.2 網絡系統(tǒng)設備安全要求

網絡系統(tǒng)的網絡設備包括防火墻、入侵檢測系統(tǒng)、以及安全評估系統(tǒng)等。1）防火墻。防火墻的抗攻擊能力特別強，它是不同網絡以及網絡安全域信息交換的唯一出入口，在檢測網絡信息系統(tǒng)安全時，需檢測防火墻功能是否正常，包括：網絡數(shù)據(jù)包過濾功能、訪問控制功能、網絡訪問行為功能以及安全審計、安全告警功能；2）路由器。路由器的檢測主要包括對其管理功能的檢測以及基本功能的檢測，路由器是否具備路由加密功能、訪問控制功能、審計數(shù)據(jù)生成功能以及身份鑒別等功能，是否只有授權的管理員才能對路由器進行管理；3）入侵檢測系統(tǒng)。入侵檢測系統(tǒng)可以它可以協(xié)助系統(tǒng)對付網絡攻擊，主動保護自己免受攻擊，使信息安全基礎的結構更加的完整。入侵檢測系統(tǒng)的檢測主要包括：實時監(jiān)測網絡上的數(shù)據(jù)流，分析處理和過濾生成的審計數(shù)據(jù)；聯(lián)動功能和自動響應功能是否正常；身份認識功能是否合理有效，什么權限的授權人員才有資格設置入侵管理規(guī)則，才能查閱、統(tǒng)計、管理以及維護日志記錄，其他人不能任意的更改或刪除日志記錄；4）病毒防范系統(tǒng)。病毒防范系統(tǒng)應保證以下功能正常運行：病毒防范功能、病毒特征庫更新功能以及審計數(shù)據(jù)生成與管理。病毒防范系統(tǒng)安全檢測包括：系統(tǒng)是否能控制病毒侵入途徑，控制并阻斷病毒在系統(tǒng)內傳播；系統(tǒng)是否能在病毒侵入時應及時的隔離、清除病毒，在日志上詳細記錄病毒時間的發(fā)生及處理過程；病毒特征庫是否定期更新，定期統(tǒng)計和分析病毒的相關日志記錄，及時的對病毒防范策略進行調整；5）漏洞掃描儀。漏洞掃描儀可定期掃描系統(tǒng)，發(fā)現(xiàn)系統(tǒng)漏洞，防范于未然。系統(tǒng)漏洞信息具有雙面性，維護人員盡早發(fā)現(xiàn)它可采取措施填補，不法份子也可利用它搞破壞。在檢測網絡信息系統(tǒng)的安全時，應考慮到系統(tǒng)安全設備中是否包括有安全漏洞掃描系統(tǒng)，只有授權人員才能對漏洞掃描器進行查閱、管理、統(tǒng)計、維護掃描報告，只有授權人員才能制定掃描規(guī)則，比如說定義攻擊類型、標準服務類型以及IP地址，授權使用者要定期的更新掃描特征數(shù)據(jù)庫，并及時的調整安全策略，更新反病毒數(shù)據(jù)庫或設置更高的保護級別。6）安全審計系統(tǒng)。審計數(shù)據(jù)是系統(tǒng)根據(jù)設置的審計規(guī)則產生的，審計系統(tǒng)應具備審計查閱功能、選擇性審計功能。只有授權人才有權查閱審計系統(tǒng)的日志記錄；采取加密保護措施來確保日志的安全，任何人不得隨意更改日志記錄。

2.3 網絡系統(tǒng)可用性要求

網絡系統(tǒng)的可用性是網絡信息系統(tǒng)安全要求的重要組成部分，保證網絡系統(tǒng)安全的技術手段有：網絡冗余、技術方案驗證、網絡管理和監(jiān)控等方面。其中，網絡冗余是解決網絡故障的重要措施，備份重要的網絡設備和網絡線路，實時監(jiān)控網絡的運行狀態(tài)，一旦網絡出現(xiàn)故障或是信息流量突變可以及時的切換分配，確保網絡的正常運行。我們應適當?shù)牟捎镁W絡監(jiān)控系統(tǒng)、網絡管理系統(tǒng)這些網絡管理和監(jiān)控手段，或是運用網絡故障發(fā)現(xiàn)、網絡異常報警等功能來確保網絡運行的安全。

3 運行安全措施和檢測方法

信息系統(tǒng)的安全與運行密不可分，網絡信息系統(tǒng)的運行安全主要包括以下幾個方面的內容：

3.1 備份與恢復

為了使數(shù)據(jù)保持一致和完整，需要對網絡系統(tǒng)的數(shù)據(jù)進行備份，以此來確保整體網絡系統(tǒng)數(shù)據(jù)的安全。備份和恢復的檢測方案是：1）如果系統(tǒng)的硬件或存儲媒體發(fā)生故障，使用系統(tǒng)自帶的備份功能，進行單機備份，然后將數(shù)據(jù)存儲到其他存儲設備；2）使用經過認證的備份軟件進行數(shù)據(jù)備份。在計算機信息系統(tǒng)中，系統(tǒng)應能提供定時的自動備份，備份的自動化，降低由維護員的操作帶來的風險；在自動備份的過程中，如果出現(xiàn)異常情況，可自動報警；為了確保備份的實時性，應該進行事務跟蹤；應該指派專人來負責備份和恢復；應按照數(shù)據(jù)等級對備份數(shù)據(jù)進行分級管理；使用的備份軟件應該先經過認證再進行數(shù)據(jù)備份，并能夠與操作系統(tǒng)兼容。3）在建立系統(tǒng)時要進行設備備份冗余備份。局域網內存在備份服務器，備份的數(shù)據(jù)保存在本地和異地；為了確保備份的高效性，要采用多個磁帶機并行的方法共同執(zhí)行的方法；采用RAID等技術，確保備份的容錯性。

3.2 惡意代碼

惡意代碼是指沒有作用卻會帶來危險的代碼。惡意代碼本身是程序，通過執(zhí)行可能會利用網絡信息系統(tǒng)的漏洞來攻擊和破壞系統(tǒng)。處理惡意代碼的類別有兩種：1）系統(tǒng)應審查從非安全途徑，比如網絡、光盤等途徑獲取的文件的安全；一旦發(fā)現(xiàn)惡意代碼，要及時的采取有效措施最大限度的清除惡意代碼；2）系統(tǒng)應審查所有從外界獲取的文件；在一定范圍內建立防惡意代碼體系，具有防惡意代碼工具，在造成損失之前徹底清除惡意代碼。

3.3 入侵檢測

入侵檢測可以實時保護和防范網絡惡意攻擊以及誤操作，它能夠提前攔截和響應系統(tǒng)的入侵。入侵檢測應保證在線有效運行：1）可分析處理和過濾安全事件報警記錄，全方位的反映系統(tǒng)的安全情況；2）支持用戶根據(jù)系統(tǒng)安全需求定義用戶規(guī)則模板；3）能實時監(jiān)測系統(tǒng)活動，尋找敏感或可疑的系統(tǒng)活動；4）和防火墻機及其他網絡設備聯(lián)動，實施阻斷連接。

3.4 應急響應

應急響應的目的是在發(fā)生緊急事件或是安全事件時，確保系統(tǒng)不中斷或緊急恢復。應急響應方案應包括的措施有：1）能夠在發(fā)生安全事件或是緊急事件時及時的做出影響分析，并組成應急小組，在法定時間內對發(fā)生的事件做出響應；2）具有完善的應急計劃和多種切實可行的備選方案，要有由外地和本地專家組成的應急小組，在法定時間內對發(fā)生的事件做出響應。

3.5 系統(tǒng)維護

維護的目的是確保系統(tǒng)的正常運行，減少安全風險，不同信息系統(tǒng)的安全要求不同，其維護安全的要求也會不同，可以分這幾種：一種是對所有系統(tǒng)進行一般性的檢測和維護，這是幾乎所有計算機信息系統(tǒng)都需注意到的問題。另一種是對特殊的設備進行特別維護，對特殊設備進行維護，要針對特殊設備自身的特點進行。無論是一般性的檢測和維護，還是特殊設備的特殊維護，在維護過程中，都要考慮到可能造成數(shù)據(jù)的丟失的問題，并提出相應的解決方案，使系統(tǒng)具有完善的維護設備。

4 系統(tǒng)軟件安全措施及檢測方法

軟件安全是網絡信息安全應考慮的一部分。軟件安全是指確保計算機軟件的完整性以及不被破壞或是泄漏。軟件的完整性指的是系統(tǒng)應用軟件、數(shù)據(jù)庫管理軟件等相關資料的完整性，系統(tǒng)軟件在保證網絡系統(tǒng)正常運行中發(fā)揮著重要的作用。

4.1 系統(tǒng)軟件安全檢查與驗收

定期檢查軟件，對軟件進行有效管理，定期的檢查是為了及時的發(fā)現(xiàn)安全隱患，針對存在的問題來適當?shù)母倪M現(xiàn)行的軟件，以保證軟件的安全。

在正式對軟件進行加載之前，應該先檢測軟件，確定軟件和其他應用軟件之間是否兼容，檢測人員必須對檢測結果的真實性、準確性負責，對檢測軟件的結果應做好完整的記錄。

4.2 軟件安全的檢測方法

軟件安全的檢測方法有兩種：雙份比較法和軟件安全設置支持系統(tǒng)法。雙份比較法是指在計算機中安裝兩份軟件，一份運行，一份備份，當運行的軟件出現(xiàn)問題影響到系統(tǒng)的正常運行時，就運行備份軟件。比較這兩個軟件，如果備份軟件也在運行中出現(xiàn)問題，則說明該軟件存在造成網絡信息系統(tǒng)出現(xiàn)故障的隱患，面臨著安全的威脅；如果備份軟件在運行過程中是正常的，就將備份軟件復制一份，再進行相同的檢測。

5 應用安全措施及檢測方法

網絡信息系統(tǒng)的安全因素是動態(tài)變化的，其中，應用安全指的是解決用戶在應用業(yè)務程序過程中的安全問題。應用系統(tǒng)的服務將網絡用戶連接起來，一般包括電子郵件服務、FTP服務、WWW服務、以及文件共享等應用，無論信息的傳遞，還是信息的共享，在檢測網絡信息系統(tǒng)的安全時，必須對網絡和信息系統(tǒng)的安全性進行測試。

5.1 電子郵件服務

電子郵件服務安全可以借助病毒防火墻等工具，查殺和過濾病毒，過濾收發(fā)電子郵件中可能隱藏的對郵件客戶端形成危害的惡意代碼；安裝電子郵件過濾工具，以有效防御拒絕服務攻擊，比如說垃圾郵件或是電子郵件炸彈等；應使服務器只提供電子郵件服務，并安裝電子郵件服務檢測引擎。

5.2 FTP服務

FTP服務器的應采取的安全措施是：應該在FTP服務器中安裝檢測引擎；應該使用強鑒別機制來認證FTP的用戶身份；應該使用安全工具來保護FIP會話；應加密FTP的數(shù)據(jù)傳輸；采取專機專用的形式；另外，對FTP服務器的訪問要進行日志審計。

5.3 WWW服務

WWW服務是目前應用最廣的一種基本互聯(lián)網應用，WWW服務的安全措施包括服務器安全狀態(tài)、服務器操作系統(tǒng)平臺、服務器配置以及服務器軟件等方面，在查找、檢索、瀏覽及添加信息時，應使用網頁防篡改工具來實時監(jiān)測和刷新WWW服務器的內容。

參考文獻：

[1]葉里莎，網絡信息系統(tǒng)安全檢測方案設計[D].四川大學，2004（9）.

[2]王永剛，淺析網絡信息系統(tǒng)技術安全與防范[J].科技創(chuàng)新與應用，2012（4）.

[3]趙軍勇，網絡信息系統(tǒng)技術安全與防范[J].視聽界，2011（8）.

[4]李曼、臺飛，網絡信息系統(tǒng)技術安全與防范[J].科技風，2009（6）.

[5]張茹冰，網絡信息系統(tǒng)技術安全與防范[J].計算機光盤軟件與應用，2012（2）.

[6]宮兆斌，網絡入侵檢測技術研究與應用[J].大連海事大學，2010（5）.

篇6

關鍵詞：局域網；校園網；搭建；管理；安全性

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2013）36-8282-04

1 概述

隨著校園網的普及和發(fā)展，校園網出現(xiàn)了各式各樣的問題，如：校園網絡安全、校園網的網絡風暴.....目前，大多數(shù)高校已經初步完成了校園網硬件工程的搭建。但是由于這些年來各個高校對于校園網絡的認識不夠透徹，進而造成了很多認識誤區(qū)。例如：認為校園網絡建設使用的硬件越好，校園網就可以發(fā)揮出自己應有的效益。從而導致在建設中盲目的追求高檔的設備搭建，但是因為各個高校對于校園網絡的建設缺乏綜合規(guī)劃和管理以及對于管理人員和教師缺少學習和培訓，自認為校園網搭建完，連接上了internet就等于實現(xiàn)了辦公自動化和教學信息化。其實這時的校園網根本無法發(fā)揮出自己在學校管理、教育教學應用中所應發(fā)揮的效益。

構建校園網的意義：隨著校園網的發(fā)展，校園網展現(xiàn)出了越來越強的高效性，校園網的建設已經成為高校基礎建設的重中之重，更加成為衡量一個高校教育信息化、現(xiàn)代化的重要標桿。

2 校園網需求分析

2.1學校建筑位置分析

學校建筑分別教師公寓區(qū)，學生公寓區(qū)，行政區(qū)，辦公區(qū)，綜合樓，教學區(qū)，服務器機房。其中學生公寓區(qū)（A區(qū)、B區(qū)、C區(qū)），教師公寓區(qū)，行政區(qū)（財務處、人事處、教務處、招生就業(yè)處），辦公區(qū)（A區(qū)、B區(qū)、C區(qū)），綜合樓（電子閱覽室、網絡實驗室、電子語音室），教學區(qū)（現(xiàn)代服務學院、數(shù)字傳媒學院、機電系）。

對學校建筑位置的分析如圖1所示。

2.2校園網布線分析

根據(jù)以上信息點分布和需求分析，并結合學校實際情況分析所得如圖2。

3 校園網方案設計

3.1校園網的建設目標和原則

網絡構建工程的目標：實現(xiàn)Internet高速接入；實現(xiàn)DHCP、DNS、WWW、Email等多種服務；實現(xiàn)多媒體教學、網絡教學等服務；實現(xiàn)遠程教務管理、科研管理、教學管理、設備管理、圖書管理；實現(xiàn)網絡的安全性，其中包括防火墻的配置、防止網絡病毒的入侵、防止黑客的入侵、做好數(shù)據(jù)的災難恢復等；實現(xiàn)主干網絡千兆傳輸并做好實現(xiàn)冗余備份。為了能實現(xiàn)以上目標，校園網建設需要堅持一下原則：實用性和經濟性；先進性；開放性；可擴充性；可靠性和安全性

3.2網絡體系結構設計

層次化結構設計有三個關鍵層的概念，第一層是核心層（Core Layer），第二層是匯聚層（Distribution Layer），第三層是接入層（Access Layer）。

1）核心層為骨干網絡提供數(shù)據(jù)交換。理論上的分層網絡結構中，核心層只完成數(shù)據(jù)交換。

2） 匯聚層主要的功能是完成數(shù)據(jù)包尋址、過濾、處理、策略增強等其他任務。

3） 接入層的主要功能是終端用戶接入。同時優(yōu)先級設定和帶寬交換等優(yōu)化網絡資源的設置也在接入層完成。

4 綜合布線

綜合布線是指一種模塊化且靈活性高的信息傳輸通道。它包括兩部分的傳輸通道，第一個是建筑內的傳輸通信通道，另一個是建筑群之間的傳輸通信通道。它可以使語音、數(shù)據(jù)、圖像設備和通信交換設備與其他管理設備彼此連接，并且可以使這些設備和外部的網絡連接。綜合布線的組建包括：各種傳輸介質、相關連接硬件（如配線架、連接器、插座、插頭和適配器）以及電氣保護設備等。它們是組成綜合布線的基礎設備，它們不僅便于安裝，而且容易更換，從而達到模塊化和靈活性高的目的，綜合布線如圖3所示。

綜合布線的優(yōu)點如下：

1）結構清晰，便于管理和維護；

2）材料統(tǒng)一先進，適應今后的發(fā)展需要；

3）靈活性強，適應各種不同的需求；

4）便于擴充，節(jié)約費用，提供高了系統(tǒng)的可靠性。

4.1 工作區(qū)子系統(tǒng)

工作區(qū)子系統(tǒng)是指從信息插座延伸至終端設備的整個區(qū)域。它是由信息插座、信息模塊、連接線纜和適配器組成的。線纜一般采用軟線（Patch Cable）材料，線纜的最大長度不應超過5M。工作區(qū)可支持固定電話、數(shù)據(jù)終端、電視機、計算機等終端設備。

4.2 水平子系統(tǒng)

水平子系統(tǒng)指的是從信息插座開始到管理間子系統(tǒng)的配線架。它的組成部分包括：信息插座、水平線纜、配線設備等組成。綜合布線中水平子系統(tǒng)是計算機網絡信息傳輸?shù)闹匾M成部分，采用星形拓撲結構，每個信息點都要連接到管理子系統(tǒng)當中。水平子系統(tǒng)的線纜一般由4對UTP線纜組成，如果出現(xiàn)了電磁干擾或是信息需要保密時，這時線纜可以使用屏蔽雙絞線。如果需要高速傳輸?shù)臅r候，可以使用光纖來代替。但是其最大水平距離為：90M。水平距離指的是從管理間子系統(tǒng)中的配線架的JACK端口至工作區(qū)的信息插座的電纜長度。當水平距離超過這個長度信號衰減增大，從而無法保證網絡傳輸?shù)姆€(wěn)定性和高效性。水平子系統(tǒng)的施工量在綜合布線施工當中是最大的，在施工完成時無法輕易更改原有的設計。因此水平子系統(tǒng)的施工應該嚴格要求，保證整個網絡的鏈路性。

水平子系統(tǒng)當中的水平線纜可采用五類雙絞線、超五類雙絞線，當出現(xiàn)電磁干擾的時候可以使用屏蔽雙絞線，當需要高速傳輸?shù)臅r候可以使用光纖。

4.3管理區(qū)子系統(tǒng)

管理子系統(tǒng)功能是將垂直干線子系統(tǒng)與各個樓層間的水平子系統(tǒng)連接于此，使整個網絡變成一個有機的整體。管理子系統(tǒng)放置電信布線系統(tǒng)設備，包括水平子系統(tǒng)、垂直干線子系統(tǒng)的機械和電氣終端。管理子系統(tǒng)有三種應用：水平/垂直干線連接、主干線系統(tǒng)互相接入、入樓設備的連接。管理子系統(tǒng)如圖4所示。

圖4 管理區(qū)子系統(tǒng)設備連接結構圖

4.4垂直干線子系統(tǒng)

垂直干線子系統(tǒng)指的是連接主設備間到各個樓層配線間的線纜組成。垂直干線子系統(tǒng)的結構是一個星形拓撲結構，其主要功能是把各個管理間的干線連接到設備間上。垂直干線子系統(tǒng)一般采用4芯、6芯、12芯的62.5μm/125μm多模光纜。垂直干線子系統(tǒng)一般是由主設備間提供骨干線路，是這個網絡的信息樞紐。

4.5 設備間子系統(tǒng)

設備間子系統(tǒng)是垂直主干線纜終接的場所，也是建筑群來的線纜的終接場所。設備間一般存放著各種數(shù)據(jù)語音主機設備、路由器、匯聚層交換機、UPS電源和管理工作站等設備。一般建議設備間子系統(tǒng)在大樓的中部，這樣方便以后的網絡擴展。

4.6 建筑群子系統(tǒng)

建筑群子系統(tǒng)是指將一棟建筑的線纜延伸到建筑群的其它建筑的通信設備和設施。建筑群子系統(tǒng)使用開發(fā)式的星形拓撲結構。施工方式一般有四種：架空布線法、直埋布線法、地下水道布線法、隧道內電纜布線法。為了能進行遠距離的通信并避免雷擊對網絡設備的破壞，一般采用多?；騿文９饫w。

5 校園網的管理與安全

5.1 網絡管理

ISO建議網絡管理應該包括以下基本功能：故障管理、計費管理、配置管理、性能管理和安全管理。

現(xiàn)在最常用的網絡管理協(xié)議有兩個：SNMP協(xié)議和CMIS/CMIP協(xié)議。

5.2 網絡安全

網絡安全是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不會因為非法用戶的使用而使得網絡系統(tǒng)遭到破壞。

網絡安全是的主要功能是保護數(shù)據(jù)在傳輸期間是可信的，它強調的是網絡通信中的信息或是數(shù)據(jù)是完整性（Interity）、可用性（Availability）和保密性（Confidentiality）。完整性指的是保護信息不被非法的用戶更改或是破壞；可用性指的是避免拒絕服務或是拒絕授權反問；保密性指的是保證信息不被非法用戶獲得。

5.2.1 NAT

網絡地址轉換（NAT，Networkaddressress Translation）屬接入廣域網（WAN）技術，是一種將私有IP地址轉化為合法IP地址的轉換技術，它被廣泛使用在各種各種網絡接入Internet中。因為NAT技術可以隱藏內網的計算機使它們不暴露在Internet中，從而避免了許多的網絡攻擊。另一方面NAT服務又解決了IPV4地址不足的問題。

NAT技術轉換方式有三種，即靜態(tài)轉換（Static Nat）、動態(tài)轉換（Dynamic Nat）和端口多路復用（OverLoad）。

5.2.2 ACL

訪問控制列表（Access Control List）是路由器和交換機接口的指令列表，用來控制端口進出的數(shù)據(jù)包。最直接的功能就是數(shù)據(jù)包的過濾。通過ACL可以在路由器、三層交換上進行數(shù)據(jù)流進行過濾。

1）ACL可以限制或控制整個網絡的流量，從而提高網絡的整體性能。

2）ACL可以提供網絡安全訪問。從而使得網絡的安全性大大增加。

6 結論

校園網組建讓我深刻的認識到了自己的不足，也從中學到了很多的知識。整個局域網組建的過程是一邊參考資料一邊摸索出來的，因為校園網屬于中大型的局域網，所以需要考慮的方面和方向比較多，在本次的方案中可能存在很多的不足之處。有很多細致的東西沒有考慮透徹。距離真正的組網還有很長的一段路要走，還有很多的地方沒有完善的地方，還需要不斷的補充和完善。

但是通過這次校園網組網的論文編寫，讓我找回被我遺忘了許久的知識和能力。通過網絡查閱了很多的資料也讓我學到了很多新知識，不僅豐富了我的知識庫也大大的增強了我的個人實踐能力。

參考文獻：

[1] 唐濤，白濤.網絡組建及應用典型實例精粹[M].北京：電子工業(yè)出版社，2007.

[2] 張建輝，尹光.基于工作過程的中小企業(yè)網絡組建[M].北京：清華大學出版社，2010.

[3] 陳敏.局域網組建與交換技術項目教程[M].北京：電子工業(yè)出版社，2011.

[4] 全國高等教育自學考試指導委員會組編[M].北京：經濟科學出版社，2007.

[5] Richard Deal. CCNA學習指南——Cisco Certified Network Associate （Exam 640-802）（中文版）[M].北京：人民郵電出版社，2009.

[6] Diane Teare，Catherine Paquet. CCNP學習指南：組建可擴展的Cisco互連網絡（BSCI）[M]. 陳宇，袁國忠，譯.3版.北京：人民郵電出版社，2007.

篇7

【關鍵詞】校園網；網絡安全；防火墻；VLAN

【Abstract】With the continuous development of the University information system, almost all colleges and universities have established their own campus network. network security has become a critical issue , it is because the network has the openness and Inherent weaknesses and human negligence, this article described from the software, hardware and management solutions.

【Key words】Campus Network;Network security;Firewalls;VLAN

在當今社會，網絡逐漸取代了很多傳統(tǒng)信息通道，成為一種不可缺少的信息交換媒體應用在各個領域。然而，由于網絡具有開放性、互聯(lián)性、連接方式的多樣性及終端分布的不均勻性，再加上本身存在的技術弱點和人為的疏忽，網絡安全就成了至關重要的問題。

隨著高校信息化建設的不斷開展，幾乎所有的高校都建立了自己的校園網，為加快信息處理、合理配置和充分利用優(yōu)質教育資源、科研和管理提供資源共享、信息交流和協(xié)同工作的平臺，同時也是衡量一個高校教育信息化、現(xiàn)代化的重要標志。

在校園網的建設過程中，由于安全意識淡薄和資金欠缺，技術落后等多方面的原因，使得各高校普遍都存在著“輕安全、輕管理”的現(xiàn)象。但是隨著網絡規(guī)模的急劇膨脹，學生網絡用戶的快速增長，u盤的普及應用，校園網已經不僅僅服務于教育、科研和行政管理，它應用已經逐漸滲透到校園生活的方方面面。同時，學生是一個比較特殊的群體，他們思想單純，心性不定，又對新鮮事物存在極大好奇心，容易受外界影響，學校有責任限制他們登陸不健康網站。在這種情況下，校園網的安全問題日益嚴峻起來。那么，如何在開放網絡環(huán)境下保證校園網正常、安全、高效地運行就成為各個高校不可回避的一個十分重要的問題。

1．網絡安全定義

網絡信息安全一般分為網絡安全和信息安全兩個層面。網絡安全包括系統(tǒng)安全，即硬件平臺、操作系統(tǒng)、應用軟件和運行服務安全，即保證服務的連續(xù)性、高效率。信息安全是指數(shù)據(jù)安全，包括數(shù)據(jù)加密、備份、程序等，我院主要是使用數(shù)據(jù)終端設備來進行數(shù)據(jù)信息保護的技術，如防火墻、防病毒等技術。

我們天津濱海職業(yè)學院的校園網絡系統(tǒng)構成除了新校的十多個部門外，還包括成教的舊校區(qū)，而每一個部門或用戶都有寶貴的或機密的信息，校園網絡內部的信息也可以說是門類較多、豐富多彩。其中有的信息可以被外部訪問，而有的信息相對外部來說是保密的。對這些信息如何去很好的管理，也是一個很重要的問題。管理作為信息安全保障三大要素之一，常常在保障信息安全的“鏈條”中，它成為最重要的一環(huán)。

2.校園網絡的現(xiàn)狀

2.1我校園網絡的拓撲結構

天津濱海職業(yè)學院校園網作為服務于全校教育、科研和行政管理的計算機信息網絡，實現(xiàn)了校園內局域網互通，并通過交換機與互聯(lián)網相聯(lián)。校園網由核心層、匯聚層和接入層構成星型千兆以太網絡，網絡的設計思想是萬兆可擴展，千兆為主干，百兆到桌面。核心層作為整個網絡的核心，選用思科三層交換機為服務器作為這個網絡數(shù)據(jù)快速轉發(fā)的核心基礎；接入層直接面向客戶端，選用的是思科二層交互機連接不同的VLAN；匯聚層作為核心層和接入層的分界點。

校園內建筑物之間的連接選用多模光纖，以行政樓為中心，向其他建筑物輻射；樓內采用非屏雙絞線纜。網絡拓撲結構十分簡單，網絡入口在學院的網絡中心，由電信光纖經過防火墻，最后到達核心交換機，再從核心交換機向四周輻射通向各個匯聚交換機。

2.2我校園網絡面臨的問題

我校園網的安全問題有其歷史原因：在以前，主要因為意識與資金方面的原因，學校網絡建設經費投入嚴重不足，所以就將有限的經費投在關鍵設備上，對于網絡安全建設一直沒有比較系統(tǒng)的投入，致使校園網處在一個開放的狀態(tài)，沒有任何有效的安全預警手段和防范措施。只是在內部網與互聯(lián)網之間放一個防火墻就萬事大吉，同時對學生上網不加限制，從而導致病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等等，這些安全隱患只要發(fā)生一次，對整個網絡都將是致命性的。我校園網建設中面臨的問題有如下幾個方面:

2.2.1硬件設備簡陋

校園網的出口是網絡規(guī)劃和建設中需要重點考慮的問題,它關系到校園網用戶對Internet訪問的速度。我校網絡整體結構設備簡陋，現(xiàn)有設備技術指標低，沒有路由器，路由選擇由三層交換機來完成，為了提高速度，防火墻設置也不是很高。校園網建設的目的是為學校的各項工作信息化服務，提高工作效率，應強調其應用，應多購置服務器，每個服務器滿足一個應用，把應用平臺搭建起來，供師生逐漸熟悉，最終完全接受。

2.2.2 IP地址欺騙、盜用

現(xiàn)在TCP/IP協(xié)議廣泛用于各種網絡。但是TCP/IP協(xié)議本身就存在很多問題，幾乎所有的internet協(xié)議都沒有考慮安全機制。TCP/IP協(xié)議是采用物理地址來為網絡節(jié)點的唯一標識，但是由于我們采用的是DHCP服務器技術，節(jié)點的IP地址是不固定的，是一個公共數(shù)據(jù)，因此攻擊者可以直接修改節(jié)點的IP地址，冒充某個可信節(jié)點的IP地址，進行攻擊。

篇8

關鍵詞：計算機 網絡安全 網絡建設 安全技術

中圖分類號：TN711 文獻標識碼：A 文章編號：

隨著計算機網絡的不斷發(fā)展，信息全球化已成為人類發(fā)展的現(xiàn)實。但由于計算機網絡具有多樣性、開放性、互連性等特點，致使網絡易受攻擊。具體的攻擊是多方面的，有來自黑客的攻擊，也有其他諸如計算機病毒等形式的攻擊。因此，網絡的安全措施就顯得尤為重要，只有針對各種不同的威脅或攻擊采取必要的措施，才能確保網絡信息的保密性、安全性和可靠性。

1威脅計算機網絡安全的因素

計算機網絡安全所面臨的威脅是多方面的，一般認為，目前網絡存在的威脅主要表現(xiàn)在：

1.1非授權訪問

沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開系統(tǒng)訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。

1.2信息泄漏或丟失

指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括：信息在傳輸中丟失或泄漏(如"黑客"利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、賬號等重要信息)、信息在存儲介質中丟失或泄漏、通過建立隱蔽隧道等竊取敏感信息等。 1.3破壞數(shù)據(jù)完整性

以非法手段竊得對數(shù)據(jù)的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

1.4拒絕服務攻擊

它不斷對網絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統(tǒng)或不能得到相應的服務。

1.5利用網絡傳播病毒

通過網絡傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。

2網絡安全建設方法與技術

網絡具有訪問方式多樣、用戶群龐大、網絡行為突發(fā)性較高的特點。網絡安全問題要從網絡規(guī)劃階段制定各種策略，并在實際運行中加強管理。為保障網絡系統(tǒng)的正常運行和網絡信息的安全，需要從多個方面采取對策。攻擊隨時可能發(fā)生，系統(tǒng)隨時可能被攻破，對網絡的安全采取防范措施是很有必要的。常用的防范措施有以下幾種。

2.1計算機病毒防治

大多數(shù)計算機都裝有殺毒軟件，如果該軟件被及時更新并正確維護，它就可以抵御大多數(shù)病毒攻擊。定期地升級軟件是很重要的。在病毒入侵系統(tǒng)時，對于病毒庫中已知的病毒或可疑程序、可疑代碼，殺毒軟件可以及時地發(fā)現(xiàn)，并向系統(tǒng)發(fā)出警報，準確地查找出病毒的來源。大多數(shù)病毒能夠被清除或隔離。再有，對于不明來歷的軟件、程序及陌生郵件，不要輕易打開或執(zhí)行。感染病毒后要及時修補系統(tǒng)漏洞，并進行病毒檢測和清除。 2.2防火墻技術

防火墻是控制兩個網絡間互相訪問的一個系統(tǒng)。它通過軟件和硬件相結合，能在內部網絡與外部網絡之間構造起一個"保護層"，網絡內外的所有通信都必須經過此保護層進行檢查與連接，只有授權允許的通信才能獲準通過保護層。防火墻可以阻止外界對內部網絡資源的非法訪問，也可以控制內部對外部特殊站點的訪問，提供監(jiān)視Internet安全和預警的方便端點。當然，防火墻并不是萬能的，即使是經過精心配置的防火墻也抵擋不住隱藏在看似正常數(shù)據(jù)下的通道程序。根據(jù)需要合理的配置防火墻，盡量少開端口，采用過濾嚴格的WEB程序以及加密的HTTP協(xié)議，管理好內部網絡用戶，經常升級，這樣可以更好地利用防火墻保護網絡的安全。

2.3入侵檢測

攻擊者進行網絡攻擊和入侵的原因，在于計算機網絡中存在著可以為攻擊者所利用的安全弱點、漏洞以及不安全的配置，比如操作系統(tǒng)、網絡服務、TCP／IP協(xié)議、應用程序、網絡設備等幾個方面。如果網絡系統(tǒng)缺少預警防護機制，那么即使攻擊者已經侵入到內部網絡，侵入到關鍵的主機，并從事非法的操作，我們的網管人員也很難察覺到。這樣，攻擊者就有足夠的時間來做他們想做的任何事情。

基于網絡的IDS，即入侵檢測系統(tǒng)，可以提供全天候的網絡監(jiān)控，幫助網絡系統(tǒng)快速發(fā)現(xiàn)網絡攻擊事件，提高信息安全基礎結構的完整性。IDS可以分析網絡中的分組數(shù)據(jù)流，當檢測到未經授權的活動時，IDS可以向管理控制臺發(fā)送警告，其中含有詳細的活動信息，還可以要求其他系統(tǒng)(例如路由器)中斷未經授權的進程。IDS被認為是防火墻之后的第二道安全閘門，它能在不影響網絡性能的情況下對網絡進行監(jiān)聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

2.4安全漏洞掃描技術

安全漏洞掃描技術可以自動檢測遠程或本地主機安全性上的弱點，讓網絡管理人員能在入侵者發(fā)現(xiàn)安全漏洞之前，找到并修補這些安全漏洞。安全漏洞掃描軟件有主機漏洞掃描，網絡漏洞掃描，以及專門針對數(shù)據(jù)庫作安全漏洞檢查的掃描器。各類安全漏洞掃描器都要注意安全資料庫的更新，操作系統(tǒng)的漏洞隨時都在，只有及時更新才能完全的掃描出系統(tǒng)的漏洞，阻止黑客的入侵。

2.5數(shù)據(jù)加密技術

數(shù)據(jù)加密技術是最基本的網絡安全技術，被譽為信息安全的核心，最初主要用于保證數(shù)據(jù)在存儲和傳輸過程中的保密性。它通過變換和置換等各種方法將被保護信息置換成密文，然后再進行信息的存儲或傳輸，即使加密信息在存儲或者傳輸過程為非授權人員所獲得，也可以保證這些信息不為其認知，從而達到保護信息的目的。該方法的保密性直接取決于所采用的密碼算法和密鑰長度。

2.6安全隔離技術

面對新型網絡攻擊手段的不斷出現(xiàn)和高安全網絡的特殊需求，全新安全防護理念"安全隔離技術"應運而生。它的目標是，在確保把有害攻擊隔離在可信網絡之外，并保證可信網絡內部信息不外泄的前提下，完成網絡間信息的安全交換。隔離概念的出現(xiàn)是為了保護高安全度網絡環(huán)境。

2.7黑客誘騙技術

黑客誘騙技術是近期發(fā)展起來的一種網絡安全技術，通過一個由網絡安全專家精心設置的特殊系統(tǒng)來引誘黑客，并對黑客進行跟蹤和記錄。這種黑客誘騙系統(tǒng)通常也稱為蜜罐(Honeypot)系統(tǒng)，其最重要的功能是特殊設置的對于系統(tǒng)中所有操作的監(jiān)視和記錄，網絡安全專家通過精心的偽裝使得黑客在進入到目標系統(tǒng)后，仍不知曉自己所有的行為已處于系統(tǒng)的監(jiān)視之中。為了吸引黑客，網絡安全專家通常還在蜜罐系統(tǒng)上故意留下一些安全后門來吸引黑客上鉤，或者放置一些網絡攻擊者希望得到的敏感信息，當然這些信息都是虛假信息。這樣，當黑客正為攻入目標系統(tǒng)而沾沾自喜的時候，他在目標系統(tǒng)中的所有行為，包括輸入的字符、執(zhí)行的操作都已經為蜜罐系統(tǒng)所記錄。有些蜜罐系統(tǒng)甚至可以對黑客網上聊天的內容進行記錄。蜜罐系統(tǒng)管理人員通過研究和分析這些記錄，可以知道黑客采用的攻擊工具、攻擊手段、攻擊目的和攻擊水平，通過分析黑客的網上聊天內容還可以獲得黑客的活動范圍以及下一步的攻擊目標，根據(jù)這些信息，管理人員可以提前對系統(tǒng)進行保護。同時在蜜罐系統(tǒng)中記錄下的信息還可以作為對黑客進行的證據(jù)。

篇9

人工智能、大數(shù)據(jù)、光纖網絡等技術的發(fā)展和改進，人類社會已經進入到了“互聯(lián)網+”時代，有力的促進了信息化系統(tǒng)的普及和使用，比如證券交易所開發(fā)了結算交易系統(tǒng)，政府機關開發(fā)了電子政務系統(tǒng)，旅游景區(qū)開發(fā)了旅游住宿管理系統(tǒng)等，提高了行業(yè)智能化、自動化和共享化水平?；ヂ?lián)網雖然為人們帶來了極大的方便，提高了各行業(yè)的信息化水平，但是其也面臨著海量的安全攻擊威脅，比如數(shù)以萬計的病毒或木馬，都給互聯(lián)網的應用帶來了極大的障礙。目前，網絡中流行的攻擊包括病毒木馬、DDOS攻擊等，這些病毒木馬常常發(fā)生各類型的變異，比如2018年初爆發(fā)的勒索病毒，攻擊了很多政企單位的服務器，導致終端操作系統(tǒng)無法登錄和訪問，傳統(tǒng)的防火墻、殺毒軟件等網絡安全防御軟件已經無法滿足需求，需要引入大數(shù)據(jù)技術，以便能夠將被動防御技術改進為主動防御技術，及時的查處網絡中的病毒或木馬，從而可以提高互聯(lián)網防御水平。

1.網絡安全防御現(xiàn)狀研究

網絡安全防御經過多年的研究，已經吸引了很多的學者和企業(yè)開發(fā)先進的防御技術，比如360安全衛(wèi)士、訪問控制列表、防火墻等，同時還提出了一些更加先進的深度包過濾和自治網絡等防御技術，這些技術均由許多的網絡安全防御學者、專家和企業(yè)進行研究提出，已經在網絡中部署喝應用，一定程度上提高了網絡防御水平。（1）防火墻防火墻是一種部署于因特網和局域網之間防御工具，其類似一個過濾器，可以不熟一些過濾規(guī)則，從而可以讓正常的數(shù)據(jù)通過防火墻，也可以阻止攜帶病毒或木馬的數(shù)據(jù)通過防火墻，防火墻經過多年的部署，已經誕生了數(shù)據(jù)庫防火墻、網絡防火墻、服務器防火墻等，使用枚舉規(guī)則禁止查看每一個協(xié)議是否正常，能夠防御一定的病毒或木馬。（2）殺毒軟件殺毒軟件也是一個非常關鍵的程序代碼，可以在殺毒軟件系統(tǒng)的服務器中保存檢測出的病毒或木馬基因特征片段，將這些片段可以與網絡中的數(shù)據(jù)信息進行匹配，從而可以查找網絡中的病毒或木馬，及時的將其從網絡中清除。殺毒軟件為了能夠準確的識別病毒，目前引入了許多的先進技術，這些技術包括脫殼技術、自我保護技術等，同時目前也吸引了更多的網絡安全防御公司研究殺毒軟件，最為著名的軟件廠商包括360、瑞星、江民、卡巴斯基等，同時騰訊公司、搜狗公司也開發(fā)了自己的安全管理技術，大大的提高網絡防御能力。（3）訪問控制列表訪問控制列表是一個易于配置、安裝簡單和管理容易的網絡安全防御工具，設置了黑白兩個關鍵名單，白名單收錄了安全數(shù)據(jù)源IP地址，黑名單收錄了非法的數(shù)據(jù)源IP地址。訪問控制列表已經可以在四個層次配置防御策略，分別是目錄及控制級、入網訪問控制級、屬性控制級和權限控制級。訪問控制列表級別越高訪問性能越好，但是工作效率非常慢，不能夠實時升級訪問控制列表，因此應用的場所比較簡單，一般都是不重要的中小學實驗室等，許多大型政企單位都不用這個防御措施。（4）深度包過濾深度包過濾能夠嵌入到硬件中形成一個固件，這樣就可以快速的采集網絡中的數(shù)據(jù)，然后利用深度包過濾的枚舉檢查規(guī)則，不僅檢查數(shù)據(jù)包的頭部IP地址、目的IP地址，還檢查數(shù)據(jù)包中的內容，以便能夠深入到數(shù)據(jù)包內部檢查是否存在病毒或木馬，一旦發(fā)現(xiàn)就可以啟動防御軟件。深度包過濾可以實施穿透式檢查規(guī)則，分析每一個協(xié)議字段，深入到內部檢查的更加詳細和全面，從而避免病毒或木馬隱藏在數(shù)據(jù)包內部，因此深度包過濾已經在很多領域得到應用，比如阿里云、騰訊云、百度云等都采用了這些技術，許多的政企單位也采用了深度包過濾技術，進一步提高了數(shù)據(jù)防御水平。（5）自治網絡自治網絡作為一種先進的互聯(lián)網安全防御技術，其采用了自動愈合的建設理念，在網絡中構建了一個冗余策略，一旦網絡受到病毒或木馬的攻擊，此時自治網絡就可以將這些一部分網絡設備隔離，同時形成一個新傳輸通道為網絡設備提供連接，知道數(shù)據(jù)修復完畢之后才能夠將這些網絡拓撲結構納入到網絡中。自治網絡可以實現(xiàn)自我防御，也可以調動網絡信息安全的許多的資源，將網絡病毒導入備用服務器，此時就可以殺滅這些病毒。

2.基于大數(shù)據(jù)的網絡安全防御系統(tǒng)設計

網絡安全防御系統(tǒng)集成了很多先進的技術，尤其是快速的數(shù)據(jù)采集和大數(shù)據(jù)分析技術，能夠將傳統(tǒng)的被動網絡安全防御模式轉變?yōu)橹鲃?，提高網絡安全防御性能。本文結合傳統(tǒng)的網絡安全防御功能及引入的大數(shù)據(jù)技術，給出了網絡安全防御系統(tǒng)的主要功能，這些功能包括四個關鍵方面，分別是數(shù)據(jù)采集功能、大數(shù)據(jù)圖1基于大數(shù)據(jù)的網絡安全防御系統(tǒng)功能分析功能、網絡安全防御功能和防御效果評估功能。（1）網絡數(shù)據(jù)采集功能目前，人們已經進入到了“互聯(lián)網+”時代，網絡部署的軟硬件資源非常多，訪問的用戶頻次數(shù)以億計，因此網絡安全防御首先需要構建一個強大的數(shù)據(jù)采集功能，可以及時的采集網絡中的軟硬件數(shù)據(jù)資源，將這些網絡數(shù)據(jù)發(fā)送給大數(shù)據(jù)分析功能。網絡數(shù)據(jù)采集過程中可以引入深度包過濾功能，利用這個深度包過濾可以快速的采集網絡數(shù)據(jù)，提高網絡數(shù)據(jù)采集速度。（2）大數(shù)據(jù)分析和處理功能網絡數(shù)據(jù)采集完畢之后，系統(tǒng)將數(shù)據(jù)發(fā)送給大數(shù)據(jù)分析和處理模塊，該模塊中包含了很多的病毒基因片段或特征，可以針對網絡數(shù)據(jù)進行智能分析，將預處理后的網絡數(shù)據(jù)與學習到的特征進行對比，以便能夠發(fā)現(xiàn)這些數(shù)據(jù)信息中是否潛藏著木馬或病毒，發(fā)現(xiàn)之后及時的將其發(fā)送給安全防御模塊。（3）網絡安全防御功能網絡安全防御與傳統(tǒng)的防御技術一致，采用木馬或病毒查殺軟件，因此一旦發(fā)現(xiàn)網絡中存在病毒或木馬，此時就可以啟動網絡安全防御工具，及時的將網絡中的病毒或木馬殺滅，并且可以跟蹤病毒或木馬來源，從而可以鎖定源頭服務器，將源頭清除掉。如果源頭涉及到犯罪就可以獲取這些證據(jù)，同時將這些證據(jù)發(fā)送給公安機關進行偵破。（4）防御效果評估功能網絡安全防御功能完成之后，系統(tǒng)可以針對處理效果進行評估，從而可以獲取網絡系統(tǒng)中的殺毒信息，將這些網絡病毒消滅，避免網絡中的病毒或木馬復發(fā)。網絡安全防御效果評估之后，還可以跟蹤大數(shù)據(jù)分析的準確度，一旦準確度降低就可以及時進行學習，從而提高網絡安全防御性能。大數(shù)據(jù)是一種非常關鍵的數(shù)據(jù)處理和分析技術，可以利用多種算法，比如BP神經網絡算法、支持向量機、深度學習、K-means算法等挖掘數(shù)據(jù)中潛在的知識，這些知識對人們是有價值的，能夠幫助人們進行決策。本文為了能夠更好的展示互聯(lián)網應用性能，重點描述了深度學習算法分析互聯(lián)網安全數(shù)據(jù)過程。深度學習算法是一種多層次的卷積神經網絡，包括兩個非常關鍵的層次結構，一個是卷積層稱為病毒數(shù)據(jù)特征提取層，一個卷積層為病毒數(shù)據(jù)特征映射層，可以識別病毒數(shù)據(jù)中的特征數(shù)據(jù)，同時將池化層進行處理，壓縮和處理池化層數(shù)據(jù)信息，比如進行預處理、二值化等，刪除病毒數(shù)據(jù)中的一些明顯的噪聲特征。池化層可以將海量的病毒數(shù)據(jù)進行壓縮，減少卷積神經網絡分析時設置的參數(shù)，解決卷積神經網絡學習和訓練時容易產生的過度擬合問題，避免病毒識別模型陷入到一個過度擬合狀態(tài)，避免無法提高病毒識別能力，還會提升病毒識別處理開銷。全連接層就是一個關鍵分類器，可以將學習到的病毒知識標記到一個特征空間，這樣就可以提高病毒識別結果的可解釋性。卷積神經網絡通過學習和訓練之后，其可以形成一個動態(tài)優(yōu)化的網絡結構，這個結構可以在一定時期內保持不變，能夠實現(xiàn)病毒特征的識別、分析，為病毒識別提供一個準確的結果。

篇10

摘要：本文從校園網設計原則出發(fā)，著重描述校園網架構以及各網絡層次結構的選擇和建議。

一、校園網絡設計原則

（一）整體規(guī)劃、分步實施原則。充分考慮整體需求，既要考慮到目前的應用需求，還應考慮校園網建設過程中的資金投入不可能一步到位、以及今后出現(xiàn)新技術和新需求的實際情況，做到升級維護簡單易行，后期建設不浪費原有投資。

（二）先進性和成熟性原則。要有先進的設計思想和超前意識，設計要充分應用已經成熟的先進技術，采用市場覆蓋率高、標準化和技術成熟的軟硬件產品，能根據(jù)技術的發(fā)展平穩(wěn)的向新技術過渡，保證網絡通訊介質、網絡設計核心的向后兼容性。

（三）可擴充性原則。要建設成完整統(tǒng)一、組網靈活、易擴充的彈性網絡平臺，采用層次性的系統(tǒng)設計原則，使網絡具有良好的可擴充性，在將來網絡升級或再投資的情況下，能隨時通過增加網絡設備或模塊來對現(xiàn)有設備進行升級和擴充，并能把替換下來的設備應用到分支或邊緣網絡上。

（四）開放性和標準化原則。網絡設計采用開放技術、開放結構、開放系統(tǒng)組件和開放用戶接口，能兼容不同的拓撲結構，支持良好的維護、測量和管理手段，提供網絡統(tǒng)一實時監(jiān)控，實現(xiàn)設備的統(tǒng)一管理；整個網絡系統(tǒng)全部采用或符合國際標準，以便和不同廠家的產品互操作和互聯(lián)，自由地選擇不同廠家的計算機、網絡設備及操作系統(tǒng)。

（五）安全可靠性原則。充分考慮整個網絡的穩(wěn)定性，要充分考慮關鍵鏈路、設備、系統(tǒng)的冗余設計，支持網絡節(jié)點的備份和線路保護，通過使用網絡用戶身份識別、vlan、包過濾、入侵檢測及防火墻等技術建立全方位、立體化的網絡安全體系，保證網絡系統(tǒng)的安全性。

（六）經濟實用性原則。網絡規(guī)劃設計應具有良好的性價比，要考慮到網絡技術的日新月異，選擇網絡設備時要有前瞻性，要能夠兼容未來的標準技術及應用，避免現(xiàn)在選擇的技術或設備在一段時間后就會過時甚至被淘汰，造成新一輪的大規(guī)模投資，盡量減少二次投資。

二、網絡結構設計方案

（一）網絡架構選擇。在校園網的建設過程中，主干網選擇何種網絡技術對網絡建設的成功與否起著決定性作用。選擇適合自身校園網絡需求特點的主流網絡技術，不但能保證網絡的高性能，還能保證網絡的先進性和擴展性，將來能向新技術、新設備平穩(wěn)過渡，從而保護原有投資。校園網屬于局域網范疇，通過網絡主干將各樓宇內的局域子網互聯(lián)起來，并通過出口系統(tǒng)，實現(xiàn)與外部教育網、公網互聯(lián)。網絡主干、各樓宇的子網、網絡出口、各種網絡安全系統(tǒng)以及網絡管理系統(tǒng)構成完整的校園網絡系統(tǒng)。

目前，校園主干網建設中采用的網絡技術主要有千兆以太網技術、萬兆以太網技術、fddi技術以及atm技術，這些技術各有優(yōu)缺，選擇時需要綜合考慮實際建設的具體需求，選擇適合于學校自身實際情況的網絡。通過以上幾種技術對比，千兆以太網和萬兆以太網技術具有傳輸速率高、技術成熟、性價比優(yōu)異等特點，是當今校園網建設的主流技術，同時也是對原有網絡升級的明智選擇。因此，如果是中等規(guī)模的院校，其校園網絡規(guī)劃可選取以千兆以太網組建網絡核心，以百兆以太網作為分支局域網的組網方式。

（二）網絡層次結構選擇。對于中等規(guī)模高校而言，根據(jù)校園規(guī)劃、校園內數(shù)據(jù)訪問流量特點，網絡可采用模塊化、層次化的設計方法，使用核心層、匯聚層、接入層三層構架方式。通過千兆光纖交換構建網絡核心層，構成網絡主干；通過千兆雙絞線交換構建匯聚層，構成樓宇子網交換；通過百兆交換構成接入層，實現(xiàn)樓宇中各樓層房間的網絡接入。核心層通過1ge技術構成互聯(lián)，主要完成數(shù)據(jù)的高速轉發(fā)；匯聚層在主干光纖線路上選擇幾個節(jié)點作為匯聚節(jié)點，匯聚節(jié)點與核心節(jié)點之間通過1ge技術連接，匯聚節(jié)點通過1ge與接入層節(jié)點連接；接入層完成用戶的接入控制、速率限制和網絡準入檢測，以及通過802.3af技術提供對無線ap、ip視頻監(jiān)控頭等的以太網供電。

1.核心層?？紤]學校網絡建設有一個逐漸擴大規(guī)模的過程，設計時充分考慮了網絡結構靈活性，先在校園網絡部署2核心節(jié)點，雙冗余模式。兩個核心節(jié)點采用2臺高性能千兆路由交換機作為主干中心交換機，將兩核心節(jié)點以千兆雙回路互聯(lián)提供無阻塞傳輸骨干網，并實現(xiàn)負載分擔和互為備份，提高核心層的可靠性和穩(wěn)定性。