网络系统及信息安全工作情况汇报.docVIP

阜阳粮食学院网络系统及信息安全工作情况汇报 阜阳粮食学院 网络中心 2012-8-24 校园网（CAN）不仅为广大师生提供信息交流的平台，同时，也担负着学院管理的重要职责，已具有不可替代的作用，以我院为例，本校园网除了为师生提供基本的网络信息浏览、邮件、网上聊天、选课、课件下载、远程教学、招生宣传和志愿填报、学籍管理等一系列基本网络服务外，还是校园一卡通系统、监控、电话程控机、电子大屏幕、广播系统、无线信号中继等各种弱电系统应用的综合业务平台，因此，保证校园网络正常运行和信息安全对于我院正常运转具有举足轻重的意义。基于这一认识，我院领导及相关职能部门在阜阳粮食学院新区建设一开始，便将校园网的安全建设放到了基础建设的同等位置。 重要网络与信息系统基本情况 首先在新校区弱电工程项目立项之初，我校成立以院级领导为首，综合事务、网络中心、院办等各部门参与的专门工作小组，开始对安全进行需求分析和技术论证工作，根据考察科大讯飞和网易科技的所推荐的数个在华东地区院校的成功案例，及考察合肥体校、合肥学院等数家大专院校，再根据我院的实际特点，通过竞标的方式选定合肥市电信集团作为我院新校区弱电工程的系统集成商，从安全和管理来说，即希望利用电信集团在系统集成方面的雄厚技术实力和人才优势，通过统一技术和设备，保证系统在基础上的通用性、可靠性和实用性。 网络设备安全 根据现在我院的校园网系统系统核心设备统一采用华为系列产品，实现无缝连接来保证未来系统的可靠性和交互性，便于部署标准的华为信息安全授权、发布、安全架构及产品使用等一系列的配套产品。 （1）联网安全 如图1所示，在网管使用NE40E路由器配套的NAT卡将内外网络做物理隔离，通过1个光口上联防火墙eudemon100接入internet。利用高品质的QoS（Quality of Service）能力，先进的队列调度算法、拥塞控制算法，能够对数据流实现多级的精确调度，从而满足不同用户、不同业务等级的服务质量要求。设置AAA（Authentication, Authorization, Audit: 认证、授权、审计）等级保证不同的用户可以获得可靠的服务。 硬件可靠：NE40E提供关键部件的冗余备份，关键组件支持热插拔与热备份和 ISSU，NSR（Non-Stop Routing），NSF（Non-Stop Forwarding）等技术提高业务恢复能力，实现无中断业务运行。 网络级可靠：NE40E提供IP/LDP/VPN/TE快速重路由/Hot-Standby，IGP、BGP以及组播路由快速收敛，虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol），快速环网保护协议（RRPP，Rapid Ring Protection Protocol），TRUNK链路分担备份，BFD链路快速检测，MPLS/Ethernet OAM，路由协议/端口/VLAN Damping等技术，保证整网稳定性，可以提供端到端200ms保护倒换，业务无中断。 另外NE40E提供的VPN FRR和E-VRRP技术以保证未来在和老校区通过vpn互连时提供业务级可靠服务。 eudemon100防火墙设备通过光口连接internet和NE40E，我院使用标准的路由模式，以NAT方式实现和外网互联，从而达到校园网和外网隔离，尽可能地减少被攻击的可能。它支持DES,3DES, AES及国密办算法，并发连接数：200,000条，新建连接率：5,000条/秒，支持抵抗SYN FLOOD、ICMP FLOOD、UDP FLOOD、Winnuke、Land、Smurf、Fraggle等数十种攻击。同时，对TCP、UDP、分片报文、FTP、SMTP、RTSP、H.323、SIP、HTTP等进行应用状态检测，足够满足我院在有限的将来的全部联网安全需求。 图1. 阜阳粮食学院网络拓扑结构图 （2）网络交换机 树状结构组建校园网络：顶层核心交换机使用S5300，下一步还将准备增购1台，实现双机冗余热备份；次层汇聚层使用S3328TP-EI-24S共6台，交换机内配置AAA；接入层使用65台S2326c，相互间使用光纤互联，从技术上保证1G传输接口。 其可靠性以下协议实现： 支持RRPP环型拓扑、支持相交环和多实例等功能； 支持Smartlink树型拓朴及Smartlink多实例； 支持STP/RSTP/MSTP协议； 支持BPDU保护、根保护和环回保护； 支持智能以太网保护（SEP）； 可选：支持Ipv6。 (其它交换机的设备可靠性详细参数可参见华为技术白皮书) （3）服务器 除财务系统网络外，为实现我院的综合信息查询和管理系统，我院采购了3台DELL R710服务器（Intel尔至强5500双核…），分