第八章 某大學校園網絡安全解決方案

1、項目背景

隨著信息化程度的提高，越來越多的學（院）校建了校園網和網站，把校園的介紹、規劃、招生、研究成果等發布在網站，讓更多的人了解自己的校園，甚至在網上即時進行學術交流等。在網絡信息技術高度發展的今天，xxx大學作為一個高等院校，為了方便學術交流、校友聯絡、招生報名、研究成果的發布等，建設自己的網站和郵件係統是必須的。在當前的信息互動交流中，電子郵件的應用憑借其快速、靈活的特點，在整個互聯網絡應用中有著舉足輕重的地位。xxx大學提供給師生優質的電子郵件服務，不僅僅可以更好地利用現有網絡資源為廣大師生服務，還可以充分向海內外樹立和宣傳xxx大學的品牌形象，同時也方便了校友與母校的聯絡。

信息化程度的提高，極大地促進了教育事業的發展，但是隨之而來的卻是信息安全問題。xxx大學校園網以廣域網絡作為支撐平台，如何保障網絡安全成為不可避免的重大問題。在xxx大學校園網中，無論是有意的攻擊，還是無意的誤操作，都將會給信息係統帶來不可估量的損失。攻擊者可以竊聽網絡上的信息、竊取用戶的口令和數據庫的信息；還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名；更有甚者，攻擊者可以刪除數據庫內容、摧毀網絡節點、釋放計算機病毒等等。內部工作人員能較多地接觸內部信息，工作中的任何不小心都可能給信息安全帶來危險。這些都使信息安全問題越來越複雜。

麵對計算機網絡中的種種安全威脅，必須采取有力的措施來保證安全。無論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地杜絕各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。在xxx大學校園網中，應防患於未然，一旦出了事，亡羊補牢，恐怕為時已晚。根據網絡安全監測軟件的實際測試情況顯示，一個沒有安全防護措施的大型網絡，其安全漏洞可達1500個左右。目前的網絡中雖然采用一些安全產品，有一套安全製度，但由於各種客觀和主觀的原因仍然存在種種安全上的問題。同時，由於網絡的安全狀況隨著時間變化而變化，因此在作全網安全考慮時，除了合理的使用和配置各種安全軟件、硬件產品以外，日常的檢測和後續的服務也越來越受到重視。

2、網絡簡況

根據校園網拓撲圖，xxx大學通過10M的VPN線路與下麵的八個分校連接，通過10M的專線連接到Internet網絡上。

在xxx大學的網絡係統中，網絡設備產品類型包括路由器、防火牆、核心交換機、工作組交換機、以太網卡等，服務器平台主要為TurboLinux，工作站係統平台有：Win95/98/Me/XP/2000Professional/NTWorkstation等，主要的服務器為：Powermail郵件服務器、Oracle數據庫服務器、Apache互聯網服務器、ProFTP文件傳輸服務器等等。

根據xxx大學本部服務器部署拓撲圖，本部網絡的服務器分成兩個部分，一部分是對外提供服務的WEB服務器群、DNS服務器和郵件服務器，另一部分是對內提供服務的教學服務器、數據庫服務器、代理服務器等。對外提供服務的服務器接到了到CNCNet的防火牆的非軍事化區，而對內提供服務的服務器直接接到了主幹交換機上。

xxx大學校園網的財務專網，是通過網通提供的虛擬專網連接起來的一個單獨的廣域網絡，它通過財務信息發布服務器與整個校園網建立聯係。