校园网络安全设计方案.docx

《校园网络安全设计方案.docx》由会员分享，可在线阅读，更多相关《校园网络安全设计方案.docx（8页珍藏版）》请在优知文库上搜索。

1、校园网络平安设计方案一、平安需求1.Ll网络现状随着信息技术的不断开展和网络信息的海量增加，校园网的平安形势日益严峻，目前校园网平安防护体系还存在一些问题，主要表达在：网络的平安防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段缺乏，缺少综合、高效的网络平安防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的平安管理体系，加强校园网的平安防护和监控能力，为校园信息化建设奠定更加良好的网络平安根底。经调查，现有校园网络拓扑图如下：1.L2应用和信息点楼号该楼用途层机每主数层数栋息总每信点数实现功能3行政，办公，网络中心504200主要以校领导、财务、人事为主要用户

2、。主要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护，管理，中心内设有网站、电子邮箱、精品课程、FrP资源、办公系统以及视频点播等效劳器。20图书馆1005500对图书馆内各类图书进行管理，对图书资料进行处理。建立电子阅览室为学生更快更好的查阅各类图书。主要以文件传输、视频传输为主。7(1,2,11,16)教学楼10-200不等7150主要是多媒体教室。能够实现多媒体教学，快速地获取网上资源4(5,6,8,9,1012,13,14,15,16,17)宿舍18071200能够较快地获取网上资源，拥有语音布线12现有平安技术1 .操作系统和应用软件自身的身份认证功能，实现访问限制。2

3、 .定期对重要数据进行备份数据备份。.每台校园网电脑安装有防毒杀毒软件。1.3.平安需求1 .构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底去除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2 .建立全天候监控的网络信息入侵检测体系在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。3 .建立高效可靠的内网平安管理体系只有解决网络内部的平安问题，才可以排除网络中最大的平安隐患，内网平安管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4 .建立虚拟专用网（VPN）和专

4、用通道使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。二.平安设计1.1设计原那么根据防范平安攻击的平安需求、需要到达的平安目标、对应平安机制所需的平安效劳等因素，参照SSEYMM（系统平安工程能力成熟模型）和IS017799（信息平安管理标准）等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络平安防范体系在整体设计过程中应遵循以下9项原那么：1 .网络信息平安的木桶原那么网络信息平安的木桶原那么是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种

5、种漏洞构成了系统的平安脆弱性，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原那么，必然在系统中最薄弱的地方进行攻击。因此，充分、全面、完整地对系统的平安漏洞和平安威胁进行分析，评估和检测包括模拟攻击）是设计信息平安系统的必要前提条件。平安机制和平安效劳设计的首要目的是防止最常用的攻击手段，根本目的是提高整个系统的平安最低点的平安性能。2 .网络信息平安的整体性原那么要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络信息中心的效劳，减少损失。因此，信息平安系统应该包括平安防护机制、平安检测机制和平安恢复机制。平安防护机制是根据具体系统

6、存在的各种平安威胁采取的相应的防护措施，防止非法攻击的进行。平安检测机制是检测系统的运行情况，及时发现和制止对系统进行的各种攻击。平安恢复机制是在平安防护机制失效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。3 .平安性评价与平衡原那么对任何网络，绝对平安难以到达，也不一定是必要的，所以需要建立合理的实用平安性与用户需求评价与平衡体系。平安体系设计要正确处理需求、风险与代价的关系，做到平安性与可用性相容，做到组织上可执行。评价信息是否平安，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。4 .标

7、准化与一致性原那么系统是一个庞大的系统工程，其平安体系的设计必须遵循一系列的标准，这样才能确保各个分系统的一致性，使整个系统平安地互联互通、信息共享。5 .技术与管理相结合原那么平安体系是一个复杂的系统工程，涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此，必须将各种平安技术与运行管理机制、人员思想教育与技术培训、平安规章制度建设相结合。6,统筹规划，分步实施原那么由于政策规定、效劳需求的不明朗，环境、条件、时间的变化，攻击手段的进步，平安防护不可能一步到位，可在一个比拟全面的平安规划下，根据网络的实际需要，先建立根本的平安体系，保证根本的、必须的平安性。随着今后随着网络规模的扩

8、大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不断增加，调整或增强平安防护力度，保证整个网络最根本的平安需求。7 .等级性原那么等级性原那么是指平安层次和平安级别。良好的信息平安系统必然是分为不同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络平安程度分级（平安子网和平安区域），对系统实现结构的分级（应用层、网络层、链路层等），从而针对不同级别的平安对象，提供全面、可选的平安算法和平安体制，以满足网络中不同层次的各种实际需求。8 .动态开展原那么要根据网络平安的变化不断调整平安措施，适应新的网络环境，满足新的网络平安需求。9,易操作性原那么首先，平安措施需要人为去完成，如果

9、措施过于复杂，对人的要求过高,本身就降低了平安性。其次，措施的采用不能影响系统的正常运行。1.2.物理层设计1 .物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内；机房的承重要求应满足设计要求；机房场地应防止设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。2 .物理访问控制有人值守机房出入口应有专人值守，鉴别进入的人员身份并登记在案；无人值守的机房门口应具备告警系统；应批准进入机房的来访人员，限制和监控其活动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区

10、域前设置交付或安装等过渡区域。效劳器应该安放在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像记录。机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在平安的地方。在自己的办工桌上安上笔记本电脑平安锁，以防止笔记本电脑的丧失。3,防盗窃和防破坏应将相关效劳器放置在物理受限的范围内；应利用光、电等技术设置机房的防盗报警系统，以防进入机房的盗窃和破坏行为；应对机房设置监控报警系统。4 .防雷击机房建筑应设置避雷装置；应设置防雷保安器，防止感应雷；应设置交流电源地线。5 .防火应设置火灾自动消防系统，自动检测火情，自动报警，并自动灭火；机房及相关的工作房间和辅助房

11、，其建筑材料应具有耐火等级。6 .防水和防潮水管安装不得穿过屋顶和活动地板下；应对穿过墙壁和楼板的水管增加必要的保护措施，如设置套管；应采取措施防止雨水通过屋顶和墙壁渗透；应采取措施防止室内水蒸气结露和地下积水的转移与渗透。7 .防静电应采用必要的接地等防静电措施；应采用防静电地板。8 .温湿度控制应设置恒温恒湿系统，使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制；机房中应无爆炸、导电、导磁性及腐蚀性尘埃；机房中应无腐蚀金属的气体；机房中应无破坏绝缘的气体。9 .电力供给机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供短期的备用电力供给（如UPS设备）；应

12、建立备用供电系统（如备用发电机），以备常用供电系统停电时启用。10 .电磁防护要求应采用接地方式防止外界电磁干扰和相关效劳器寄生耦合干扰；电源线和通信线缆应隔离，防止互相干扰。1.3.网络层设计1.防火墙技术建立在现代通信网络技术和信息平安技术根底上的防火墙技术是目前应用最广泛的防护技术.在逻辑上，它既是一个别离器也是一个限制器，同时它还是一个分析器，通过设置在异构网络（如可信的校园网与不可信的公共网）之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动，使得只有经过精心选择的应用协议才能通过，保证了内网环境的平安，如图1所示作为校园网平安的屏障，防火墙是连接内、外层网络之间信息的唯一

13、出入口，根据具体的平安政策控制（允许、拒绝、监测）出入网络的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等的所有平安软件配置在防火墙上以便对网络存取和访问进行监控审计.同时利用防火墙的日志记录功能做好备份，提供网络使用情况的统计数据2.虚拟专网（VPN）技术对于从专线连接的外部网络用户，采用虚拟专网（VPN）技术，它使架设于公众网络上的园区网使用信道协议及相关的平安程序进行保密，还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。3 .身份认证技术对于拨号进入园区网的用户进行严格控制，在拨号线路上加装保密机，使无保密机的用户无法拨通；通过用户名和口令

14、的认真检查用户身份；利用回拨技术再次确认和限制非法用户的入侵。4 .加密技术在外部网络的数据传输过程中，采用密码技术对信息加密是最常用的平安保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法，两种方法结合使用，加上数字签名、数字时间戳、数字水印及数字证书等技术，可以使通信平安得到保证。为存放秘密信息的效劳器加装密码机，对园区网上传输的秘密信息加密，以实现秘密数据的平安传输。5 .物理隔离公共网络及因特网上黑客日益猖獗，加上我国使用的计算机及网络设备的软硬件产品大多数是进口的，平安上没有很好的保证，因而将外部网络中的因特网与专用网络如军用网实现物理隔离，使之没有任何连接，可以使园区网与外

15、部专用网络连接时，园区网与Internet无物理联系在平安上较为稳妥。6 .防毒网关防火墙无法防止病毒的传播，因而需要安装基于Internet网关的防毒软件，具体可以安装到代理效劳器上，以防止Internet病毒及Java程序对系统的破坏。7 .网络地址转换技术当园区网内部主机与外部相连时，使用同一IP地址；相反，外部网络与园区网主机连接时，必须通过网关映射到园区网主机上。它使外部看不到园区网，从而隐藏内部网络，到达保密作用，同时，它还可以解决IP地址的缺乏。8 .代理效劳及路由器可以根据设置地址、效劳、内容等要素来控制用户的访问，代理效劳器及路由器起访问的中介作用，使园区网和外部网络间不能直接访问，从而保证内部关键信息的平安。9 .平安扫描可以通过各种平安扫描软件对系统进行检测与分析，迅速找到平安漏洞并加以修复。目前有多种软件可以对设备进行扫描，检查它们的弱点并生成报表。10 .入侵检测可以采用一些平安产品对网络上流动的数据包进行检查，识别非法入侵和其它可疑行为，并给予及时的响应及防护。如下列图所示。11 .用户的身份认证用户入网访问控制分为三步，即用户名的验证；用户口令的验证；用户帐号的验证。用户口令是入网的关键，必须经过加密，用户还可采用一次一密的方法，或者使用智能卡来验证用户身份。同时，可将用户与所用的计算机联系起来，使用户用固