1、畢業(yè)論文項目名稱：學(xué) 號：學(xué)生姓名：系 別：班 級：指導(dǎo)教師：2011 年 月 日2 摘要1第1章.項目概述1第2章.項目實踐方案的建立22.1網(wǎng)絡(luò)的建設(shè)思路22.2建設(shè)原則及其目標(biāo)22.3網(wǎng)絡(luò)安全特性4第3章.項目實施43.1網(wǎng)絡(luò)信息安全分化43.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計53.3項目技術(shù)應(yīng)用53.4安全技術(shù)手段73.5計算機網(wǎng)絡(luò)安全措施83.6網(wǎng)絡(luò)安全隱患93.7網(wǎng)絡(luò)安全管理9第4章 結(jié)束語10摘要隨著互聯(lián)網(wǎng)絡(luò)的不斷普及，促使人們越來越多的依賴于這種方便而又快捷的消息的來源方式，校園網(wǎng)絡(luò)系統(tǒng)是一個非常龐大而復(fù)雜的系統(tǒng)，它不僅要為現(xiàn)代化教學(xué)、綜合信息管理和辦公自動化等一系列應(yīng)用提供一個基本環(huán)境平臺，還要

2、為各種應(yīng)用系統(tǒng)提供多種服務(wù)，如數(shù)據(jù)庫以及視頻點播和視頻會議系統(tǒng)等。因此，校園網(wǎng)絡(luò)安全問題一直是校園網(wǎng)性能穩(wěn)定與否的關(guān)鍵因素之一。大學(xué)的校園網(wǎng)主干網(wǎng)采用千兆以太網(wǎng)技術(shù)，每種網(wǎng)絡(luò)服務(wù)功能均單獨由一臺服務(wù)器來完成。如郵件服務(wù)器等該大學(xué)校園網(wǎng)通過路由器與相連，整個校園網(wǎng)絡(luò)的安全機構(gòu)建立在整個網(wǎng)絡(luò)系統(tǒng)的平臺上，服務(wù)器、交換機、路由器及相關(guān)軟件硬件均是網(wǎng)絡(luò)安全體系的一部分，但是，由于校園網(wǎng)信息類型復(fù)雜，訪問成員復(fù)雜，尤其是內(nèi)部網(wǎng)絡(luò)用戶擁有較大的訪問權(quán)限，故而網(wǎng)絡(luò)內(nèi)部黑客的攻擊事件頻繁發(fā)生。從理論上講，防火墻是一個被動防御系統(tǒng)，它不能防止來自內(nèi)奸或用戶誤操作的威脅。如果內(nèi)部網(wǎng)絡(luò)用戶直接從那里購置直接的或連接

3、，則繞過了防火墻系統(tǒng)所提供的安全保護(hù)，從而造成一個潛在的后門攻擊渠道。所以計一個網(wǎng)絡(luò)安全系統(tǒng)迫在眉睫。關(guān)鍵詞：網(wǎng)絡(luò)安全 防火墻 訪問權(quán)限 安全保護(hù)2 4 10 第1章.項目概述隨著互聯(lián)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,大學(xué)校園網(wǎng)絡(luò)已經(jīng)成為高校信息化建設(shè)和教學(xué)、科研改革的最重要支撐手段之一,但是校園網(wǎng)安全狀況直接影響著學(xué)校的教學(xué)活動。因此,研究校園網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建具有很強的現(xiàn)實意義。在對學(xué)院進(jìn)行調(diào)研和需求分析的基礎(chǔ)上,提出了校園網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計的構(gòu)思,通過可靠性網(wǎng)絡(luò)系統(tǒng)構(gòu)建、服務(wù)器系統(tǒng)安全的改進(jìn)、遠(yuǎn)程接入系統(tǒng)的構(gòu)建、防病毒體系的構(gòu)建以及多鏈路出口構(gòu)建等幾個方面,綜合性地描述了校園網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)。提出了

4、適合校園網(wǎng)絡(luò)安全系統(tǒng),根據(jù)對網(wǎng)絡(luò)需求的不同,將學(xué)校的各個部門劃分到不同的VLAN中,既增強了可管理性,提高了安全性,也減少了廣播域,提高了網(wǎng)絡(luò)性能和效率,將發(fā)生故障的計算機限定在特定的VLAN中,不至于擴(kuò)展到整個網(wǎng)絡(luò)。同時對重點部門的防范達(dá)到了動靜結(jié)合,主動和被動的結(jié)合,增強了其安全性。在校園安全系統(tǒng)的構(gòu)建上,主要從熱備份路由技術(shù)來實現(xiàn)可靠性網(wǎng)絡(luò)的構(gòu)建,采用雙機熱備、RAID以及鏈路捆綁等技術(shù)來實現(xiàn)服務(wù)器系統(tǒng)的安全,結(jié)合項目管理經(jīng)驗成功開發(fā)完成了成都東軟大學(xué)校園網(wǎng)絡(luò)安全系統(tǒng)。該方案不僅加強了對外網(wǎng)攻擊的防范,而且特別加強了對內(nèi)部網(wǎng)絡(luò)的防范和管理。使用證明本方案可降低計算機病毒對網(wǎng)絡(luò)的危害；減少

5、網(wǎng)絡(luò)入侵者對校園網(wǎng)的影響；大大減少了不良信息在校園網(wǎng)中的傳播；提高了接入的安全性；保證了學(xué)校的網(wǎng)絡(luò)應(yīng)用。通過系統(tǒng)的實施達(dá)到了內(nèi)外結(jié)合,重點防內(nèi)的總體目標(biāo)。校園網(wǎng)的復(fù)合防火墻安全體系，并分析了其存在的不足（隱患），然后為網(wǎng)絡(luò)設(shè)計了一個基于專家系統(tǒng)及人工神經(jīng)網(wǎng)絡(luò)的入侵檢測系統(tǒng)。第2章.項目實踐方案的建立2.1網(wǎng)絡(luò)的建設(shè)思路網(wǎng)作絡(luò)的建設(shè)是一項非常復(fù)雜的系統(tǒng)工程，校園為一個特殊的網(wǎng)絡(luò)應(yīng)用環(huán)境作為論文參考，它的建設(shè)與使用都有其自身的特點。在選擇局域網(wǎng)的網(wǎng)絡(luò)技術(shù)時要體現(xiàn)開放式、分布式、安全可靠、維護(hù)簡單的原則。局域網(wǎng)技術(shù)是一項在20世紀(jì)70年代發(fā)展起來的計算機互聯(lián)技術(shù)，經(jīng)過多年的發(fā)展，技術(shù)已經(jīng)成熟，并得到

6、了廣泛的應(yīng)用，局域網(wǎng)技術(shù)成為網(wǎng)絡(luò)技術(shù)的重要組成部分。計算機多媒體技術(shù)是伴隨著多媒體信息的應(yīng)用而得到迅速發(fā)展的計算機應(yīng)用技術(shù)，在網(wǎng)絡(luò)環(huán)境下，多媒體得到了更快更好的應(yīng)用，使我們得到了更好更多的信息。校園網(wǎng)是使用了局域網(wǎng)技術(shù)以及各種多媒體應(yīng)用技術(shù)，并結(jié)合Internet應(yīng)用等其它的技術(shù)來建設(shè)。使得校園網(wǎng)能滿足現(xiàn)代教學(xué)對信息處理的要求，使計算機的應(yīng)用能對教學(xué)管理現(xiàn)代化起重要的促進(jìn)作用，能實現(xiàn)信息查尋、教務(wù)管理，并與外部網(wǎng)絡(luò)系統(tǒng)進(jìn)行交流等多種需要。2.2建設(shè)原則及其目標(biāo)2.2.1建設(shè)原則校園網(wǎng)建設(shè)是一項綜合性非常強的系統(tǒng)工程，它包括了網(wǎng)絡(luò)系統(tǒng)的總體規(guī)劃、硬件的選型配置、系統(tǒng)管理軟件的應(yīng)用以及人員培訓(xùn)等諸

7、多方面。因此在校園網(wǎng)的建設(shè)工作中必須處理好實用與發(fā)展、建設(shè)與管理、使用與培訓(xùn)等關(guān)系，從而使校園網(wǎng)的建設(shè)工作健康穩(wěn)定地開展。首先，校園網(wǎng)的建設(shè)是一個為學(xué)校教育教學(xué)活動長期服務(wù)的工作，因此在校園網(wǎng)的規(guī)劃建設(shè)過程中，必須從學(xué)校長遠(yuǎn)發(fā)展規(guī)劃出發(fā)，以服務(wù)于教育為基本點，結(jié)合學(xué)校當(dāng)前教育教學(xué)的實際需要，做出科學(xué)的規(guī)劃部署。在校園網(wǎng)的規(guī)劃建設(shè)中，一般學(xué)校應(yīng)遵循“統(tǒng)一規(guī)劃、整體設(shè)計、分步實施”的原則。其次在校園網(wǎng)的建設(shè)中必須堅持硬件建設(shè)與組織管理協(xié)調(diào)發(fā)展的原則，在重視硬件建設(shè)的同時，加強網(wǎng)絡(luò)的組織管理水平，不斷開發(fā)網(wǎng)絡(luò)的功能，從而充分發(fā)揮校園網(wǎng)絡(luò)的功效，提高校園網(wǎng)對學(xué)校教育的服務(wù)水平。2.2.2建設(shè)目標(biāo)校園網(wǎng)

8、絡(luò)的建設(shè)的目標(biāo)是在校園內(nèi)實現(xiàn)多媒體教學(xué)、教務(wù)管理、通信、等信息共享功能，能實現(xiàn)辦公的自動化、無紙化。能通過與Internet的互聯(lián)，為全校師生提供國際互聯(lián)網(wǎng)上的各種服務(wù)。教師可以制作多媒體課件以及在網(wǎng)上保存和查詢教學(xué)資源，能對學(xué)生進(jìn)行多媒體教學(xué)和通過網(wǎng)絡(luò)對學(xué)生進(jìn)行指導(dǎo)與考查等。學(xué)生也可以通過在網(wǎng)上瀏覽和查詢網(wǎng)上學(xué)習(xí)資源，從而可以更好地進(jìn)行學(xué)習(xí)，校園網(wǎng)能為學(xué)校的信息化建設(shè)打下基礎(chǔ)。2.2.3應(yīng)用特點隨著現(xiàn)代化教學(xué)活動的開展和與國內(nèi)外教學(xué)機構(gòu)交往的增多，通過網(wǎng)絡(luò)進(jìn)行信息交流的需求越來越迫切，為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系

9、統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點：高速的局域網(wǎng)連接-校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項基本要求；信息結(jié)構(gòu)多樣化-校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等）、學(xué)校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊則多為www方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求；操作方便，易于管理-校園網(wǎng)面向不同知識層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，

10、界面友好，不宜太過專業(yè)化；經(jīng)濟(jì)實用-學(xué)校對網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實用，具備很高的性能價格比。2.3網(wǎng)絡(luò)安全特性網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征：保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。可用性：可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段第3章.項目實施3.1網(wǎng)絡(luò)信息安全分化針對

11、企業(yè)用戶內(nèi)部網(wǎng)絡(luò)的基本架構(gòu)情況，把網(wǎng)絡(luò)的信息安全劃分為五個層次，從底層往上依次為物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層 （含數(shù)據(jù)庫）及管理層1.物理層安全及解決措施物理安全應(yīng)考慮到環(huán)境安全和設(shè)備、設(shè)施安全。為保護(hù)計算機設(shè)備、設(shè)施 （含網(wǎng)絡(luò)）以及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故 （如電磁污染等）破壞，應(yīng)采取適當(dāng)?shù)谋Ｗo(hù)措施。2.網(wǎng)絡(luò)層安全及解決措施由于網(wǎng)絡(luò)系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)層的安全主要有數(shù)據(jù)加密傳輸、網(wǎng)絡(luò)資源的訪問控制、遠(yuǎn)程接入的安全控制、網(wǎng)絡(luò)漏洞的檢測、網(wǎng)絡(luò)入侵檢測等手段。3.系統(tǒng)層安全及解決措施操作系統(tǒng)訪問控

12、制安全可以通過對用戶的身份認(rèn)證來加強對操作系統(tǒng)的訪問控制。在應(yīng)用系統(tǒng)的訪問控制中提供的兩種解決方案，都包含有對操作系統(tǒng)的訪問控制。原理是通過對用戶訪問權(quán)限的設(shè)定，來決定對操作系統(tǒng)的訪問。4.應(yīng)用層安全及解決措施應(yīng)用層安全是指應(yīng)用系統(tǒng)的安全，包括應(yīng)用系統(tǒng)的訪問控制安全、應(yīng)用系統(tǒng)的數(shù)據(jù)輸安全、應(yīng)用系統(tǒng)的桌面安全。5.管理層安全及解決措施管理層安全包括管理制度、管理技術(shù)。管理制度須制訂一系列的安全管理制度，普及安全教育，包括用戶守則的制訂，如 ：服務(wù)器機房安全制度定制和普通機房管理制度的制訂等。管理技術(shù)包括安全理論知識的培訓(xùn)、對安全產(chǎn)品使用培訓(xùn)、建立安全信息分發(fā)系統(tǒng)、及時通報最新安全事件、建立安全論

13、壇、交流安全技術(shù)等。3.2網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計和邏輯設(shè)計，在完成結(jié)構(gòu)設(shè)計后才能對網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計對于整個網(wǎng)絡(luò)系統(tǒng)來說是十分重要的，它設(shè)計的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實現(xiàn)以及網(wǎng)絡(luò)是否能滿足網(wǎng)絡(luò)的需求。（1）物理設(shè)計根據(jù)需求分析，可以知道整個校園網(wǎng)信息點的數(shù)目，同時也知道這些信息點在整個校園內(nèi)的分布情況。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后，就應(yīng)該考慮如何把校園內(nèi)的信息點連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等，網(wǎng)絡(luò)系統(tǒng)所使用來連接各種網(wǎng)絡(luò)設(shè)備的傳輸介質(zhì)也是需要考慮的問題。（2）邏輯設(shè)計網(wǎng)絡(luò)的邏輯設(shè)計主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分

14、，通過實際的網(wǎng)絡(luò)物理連接，依據(jù)實際需求來實現(xiàn)虛擬網(wǎng)絡(luò)(VLAN)的設(shè)置。無論從網(wǎng)絡(luò)的安全性和IP地址的可管理性來考慮，還是從有效利用IP地址資源的角度來考慮，將整個校園網(wǎng)劃分為多個子網(wǎng)網(wǎng)段并對IP地址資源進(jìn)行有效管理都是十分必要的。3.3項目技術(shù)應(yīng)用3.3.1操作系統(tǒng)應(yīng)用網(wǎng)絡(luò)操作系統(tǒng)NOS（Network Operating System）是在計算機操作系統(tǒng)的基礎(chǔ)上，加上一些具有實現(xiàn)網(wǎng)絡(luò)訪問和控制功能的模塊以及相關(guān)的數(shù)據(jù)通信協(xié)議，是使網(wǎng)絡(luò)上各計算機能夠方便有效地共享網(wǎng)絡(luò)資源、為網(wǎng)絡(luò)用戶提供所需的各種服務(wù)軟件和規(guī)程的集合。目前主要的網(wǎng)絡(luò)操作系統(tǒng)有NetWare、Unix、Linix和Window

15、s。在校園網(wǎng)中一般情況下都用Windows網(wǎng)絡(luò)操作系統(tǒng)，因為它是圖形化的操作界面、使用簡單、安全可靠，以及和普及率很高Windows系列單機操作系統(tǒng)的兼容性很好。3.3.2防火墻技術(shù)防火墻是計算機網(wǎng)絡(luò)上一類防范措施的總稱，它使得內(nèi)部網(wǎng)絡(luò)與Internet之間或其它外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻簡單的可以只用路由器實現(xiàn)，復(fù)雜的則可以用主機甚至一個子網(wǎng)來實現(xiàn)，設(shè)置防火墻的目的都是為了在內(nèi)部網(wǎng)與外部網(wǎng)之間設(shè)立惟一的通道來自簡化網(wǎng)絡(luò)的安全管理。防火墻的功能主要是過濾掉不安全服務(wù)和非法用戶與控制對特殊站點的訪問以及提供監(jiān)視Internet安全和預(yù)警的方便端點。由于網(wǎng)絡(luò)具有天生的

16、開放性，所以有許多防范功能的防火墻也有一些防范不到的地方，如防火墻不能防范不經(jīng)由防火墻的攻擊和感染了病毒的軟件或文件的傳輸。因此，防火墻只能是一種整體安全防范政策的一部分。實現(xiàn)防火墻技術(shù)從層次上大概可以分為報文過濾和應(yīng)用層網(wǎng)關(guān)。報文過濾是在IP層實現(xiàn)的，它的原理是根據(jù)報文的源IP地址、目的IP地址、源端口、目的端口報文信息來判斷是否允許報文通過，因此它可以只用路由器完成。在用應(yīng)用層網(wǎng)關(guān)實現(xiàn)的防火墻有多種方式，如應(yīng)用代理報務(wù)器和網(wǎng)絡(luò)地址轉(zhuǎn)換器等。在校園網(wǎng)中大部分的應(yīng)用都是內(nèi)部網(wǎng)絡(luò)用戶，而內(nèi)部用戶通常具有較大的訪問權(quán)限，因此局域網(wǎng)絡(luò)系統(tǒng)的安全是整個網(wǎng)絡(luò)系統(tǒng)安全中最重要的部分。但相對而言，內(nèi)部的安全

17、問題是可以預(yù)測的，并可據(jù)此制定相應(yīng)的防范措施。3.3.3網(wǎng)絡(luò)技術(shù)學(xué)校建設(shè)校園網(wǎng)有許多需要考慮的問題，如網(wǎng)絡(luò)技術(shù)的選擇、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的選擇、網(wǎng)絡(luò)產(chǎn)品的選擇、網(wǎng)絡(luò)服務(wù)器的選擇以及操作系統(tǒng)、網(wǎng)絡(luò)應(yīng)用服務(wù)、網(wǎng)絡(luò)管理及網(wǎng)絡(luò)安全等方面。下面根據(jù)前面介紹過的各種網(wǎng)絡(luò)技術(shù)來進(jìn)行校園網(wǎng)組建技術(shù)的選擇。1.網(wǎng)絡(luò)技術(shù)類型網(wǎng)絡(luò)系統(tǒng)的建設(shè)應(yīng)遵循高可靠性、技術(shù)先進(jìn)、開放性、成熟標(biāo)準(zhǔn)、易于擴(kuò)展、可維護(hù)性好等原則，并充分考慮性能價格比和今后技術(shù)的發(fā)展。要求系統(tǒng)兼容性好，易于平滑連接，避免網(wǎng)絡(luò)瓶頸。當(dāng)前達(dá)到或超過100Mbps的高速網(wǎng)絡(luò)技術(shù)主要有：快速以太網(wǎng)、FDDI、千兆以太網(wǎng)、ATM交換網(wǎng)。FDDI是幾年前十分流行的高速網(wǎng)

18、絡(luò)技術(shù)，雖然技術(shù)十分成熟，但網(wǎng)絡(luò)管理復(fù)雜且成本較高，現(xiàn)已被逐漸淘汰。ATM是比較先進(jìn)的網(wǎng)絡(luò)技術(shù)，它采用信元交換方式，以很高的速率在任意兩點間建立直接的虛擬通信鏈路，有較強的傳輸質(zhì)量控制能力，特別適合于多媒體信息的傳輸。但在實際使用事因端口價格過高，難以大規(guī)模采用。以太網(wǎng)是種成熟的、質(zhì)優(yōu)價廉的網(wǎng)絡(luò)技術(shù)，其標(biāo)準(zhǔn)已制定完備。經(jīng)過多年發(fā)展，形成了完善的10Mbps、100Mbps和千兆以太網(wǎng)技術(shù)，同時還由共享式的網(wǎng)絡(luò)發(fā)展成為交換式的以太網(wǎng)，具備與FDDI、ATM網(wǎng)絡(luò)融合的多種方法與規(guī)范。從技術(shù)上看，以太網(wǎng)技術(shù)還有不斷發(fā)展的佘地，是一種能夠到長期使用和發(fā)展的技術(shù)，另外以太網(wǎng)還可以在不同速率之間平滑升級，

19、不會有網(wǎng)絡(luò)協(xié)議和規(guī)范上的障礙。綜全以上對高速網(wǎng)絡(luò)技術(shù)的分析，我認(rèn)為在當(dāng)前校園網(wǎng)的建設(shè)中應(yīng)以建設(shè)和使用100Mbps快速以太網(wǎng)為主，在局部主干上使用千兆技術(shù)進(jìn)行連接。2.網(wǎng)絡(luò)拓?fù)涞倪x擇當(dāng)前在局域網(wǎng)的建設(shè)中，主要應(yīng)用的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型和星型。在總線型網(wǎng)絡(luò)中，由于各計算機共享一條通信電纜，而且不需要額外的通信設(shè)備，因此，可以節(jié)約組網(wǎng)費用。但是其缺點也是十分明顯的，網(wǎng)絡(luò)中的任何一個節(jié)點出現(xiàn)故障，都將導(dǎo)致整個網(wǎng)絡(luò)癱瘓，這與在網(wǎng)絡(luò)建設(shè)要求網(wǎng)絡(luò)具有高可靠性和沉佘性不相符，因此使用總線型拓?fù)浣Y(jié)構(gòu)建設(shè)的網(wǎng)絡(luò)已趨于淘汰，在新的網(wǎng)絡(luò)建設(shè)中不應(yīng)再使用。環(huán)型拓?fù)浣Y(jié)構(gòu)是令牌環(huán)網(wǎng)絡(luò)技術(shù)所常用的一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，環(huán)型結(jié)

20、構(gòu)的缺點與總線型的缺點是差不多的，也是一種不太常用的網(wǎng)絡(luò)拓?fù)?。?dāng)前在各種網(wǎng)絡(luò)系統(tǒng)的建設(shè)中使用最多的是星型拓?fù)浣Y(jié)構(gòu)，雖然星型拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)在布線和網(wǎng)絡(luò)設(shè)備的花費多一些，不過目前各種硬件設(shè)備已經(jīng)非常便宜了，這種花費是可以承受的。因而它的優(yōu)點也是十分突出的，主要是當(dāng)網(wǎng)絡(luò)中某個節(jié)點出現(xiàn)故障時不會影響整個網(wǎng)絡(luò)的運行，這使得網(wǎng)絡(luò)從總體上可以提供高度的可靠性和沉佘性，這個性能十分適合校園網(wǎng)這種應(yīng)用環(huán)境，也是校園網(wǎng)的建設(shè)中必須要求做到的。3.3.4建網(wǎng)方案根據(jù)校園網(wǎng)絡(luò)建設(shè)應(yīng)遵循原則的介紹和各種網(wǎng)絡(luò)技術(shù)的分析?？偟膩碚f，交換式快速以太網(wǎng)是目前成熟技術(shù)中最先進(jìn)、最實用的。所以決定選擇光纖交換式快速以太網(wǎng)作為校園網(wǎng)

21、主干，系統(tǒng)總體上采用國際上流行的TCP/IP協(xié)議，并兼顧IPX協(xié)議，采用開放體系及在各種應(yīng)用實踐中得到檢驗的快速以太網(wǎng)技術(shù)和產(chǎn)品。為了加強對分布式多媒體交互教學(xué)的探索，校園網(wǎng)可分為三個層次結(jié)構(gòu)：主干網(wǎng)、廣域網(wǎng)和內(nèi)部局域網(wǎng)。主干網(wǎng)采用1000Mbps快速以太網(wǎng)技術(shù)，內(nèi)部局域網(wǎng)與主干網(wǎng)之間用以太網(wǎng)交換機進(jìn)行互聯(lián)，根據(jù)用戶的需求，網(wǎng)絡(luò)建設(shè)目標(biāo)，采用交換式千兆以太網(wǎng)作為主干網(wǎng)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為星型，這樣可有利于提高網(wǎng)絡(luò)的高可靠性，便于維護(hù)和管理。采用交換式快速以太網(wǎng)做主干有以下原因：速度快，安裝、維護(hù)簡單。主干速度為1000Mbit/s交換，能夠滿足網(wǎng)絡(luò)應(yīng)用層對主干網(wǎng)寬要求；基于標(biāo)準(zhǔn)技術(shù)，使用了以太網(wǎng)M

22、AC層上定義的CSMA/CD協(xié)議，可迅速利用現(xiàn)有設(shè)備接入，網(wǎng)絡(luò)升級方便，性能價格比高。建設(shè)目標(biāo)：構(gòu)建普通學(xué)校校內(nèi)Intranet環(huán)境，并通過代理服務(wù)器接入Internet，實現(xiàn)與Internet 交流。建設(shè)校園網(wǎng)絡(luò)中心，并通過一定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建連接校園網(wǎng)絡(luò)中心、計算機教室、教師備課機房、多媒體教學(xué)活動室、圖書館、校長室、教導(dǎo)處、財務(wù)處等的校園網(wǎng)，使之能通過一定的應(yīng)用軟件完成行政辦公管理、教師備課授課、學(xué)生學(xué)習(xí)交流、校內(nèi)信息公告、遠(yuǎn)程電子通訊、Internet通訊瀏覽等基本功能。3.4安全技術(shù)手段物理措施：例如，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機、大型計算機等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻

23、射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。數(shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實現(xiàn)的。其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備分和審計等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加

24、密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。3.5計算機網(wǎng)絡(luò)安全措施計算機網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個方面，各個方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。3.5.1保護(hù)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是為保護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機密性、完整性、認(rèn)證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施如下：（1）全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略。（2）制定網(wǎng)絡(luò)安全的管理措施。（3）使用防火墻。（4）盡可能記錄網(wǎng)絡(luò)上的一

25、切活動。（5）注意對網(wǎng)絡(luò)設(shè)備的物理保護(hù)。（6）檢驗網(wǎng)絡(luò)平臺系統(tǒng)的脆弱性。（7）建立可靠的識別和鑒別機制。3.5.2保護(hù)應(yīng)用安全保護(hù)應(yīng)用安全，主要是針對特定應(yīng)用（如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng)）所建立的安全防護(hù)措施，它獨立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊，如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過IP層加密，但是許多應(yīng)用還有自己的特定安全要求。由于電子商務(wù)中的應(yīng)用層對安全的要求最嚴(yán)格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。雖然網(wǎng)絡(luò)層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務(wù)

26、應(yīng)用的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。3.5.3保護(hù)系統(tǒng)安全保護(hù)系統(tǒng)安全，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù)，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施：（1）在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等，檢查和確認(rèn)未知的安全漏洞。（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險性。如通過諸多認(rèn)證才允許連通，對所有接入數(shù)據(jù)必須進(jìn)行審計，對系統(tǒng)用戶進(jìn)行嚴(yán)格安全管理。（3）建立詳細(xì)的安全審計日志，以便檢測并跟蹤入侵攻

27、擊等。3.6網(wǎng)絡(luò)安全隱患1 Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)，或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2 Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的安全措施。3 Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問題會直接影響安全服務(wù)。4在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進(jìn)行信封保護(hù)和簽字蓋章。信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子協(xié)定來維系的。5電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。6計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。3.7網(wǎng)絡(luò)安全管理根據(jù)前面介紹的校園網(wǎng)設(shè)計方案建設(shè)而成的一個校園網(wǎng)絡(luò)投入運行之后，它的穩(wěn)定性及可靠性是很高，也就是說出現(xiàn)問題的機率是很小的。但不論多么穩(wěn)定和可靠的網(wǎng)絡(luò)系統(tǒng)都會有出現(xiàn)問題的一天，一般情況下出現(xiàn)的問題主要有人為操作失誤（包括計算機