校园网网络安全设计方案

1、一、计算机网络安全方案设计与实现概述影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术， 等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。二、计算机网络安全方案设计并实现1.桌面安全系统用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。 特别是

2、对于移动办公的情况更是如此。因此， 需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。本设计方案采用清华紫光公司出品的紫光s 锁产品，“ 紫光 s 锁” 是清华紫光 “ 桌面计算机信息安全保护系统” 的商品名称。紫光s 锁的内部集成了包括中央处理器（cpu ） 、加密运算协处理器（cau ） 、只读存储器（rom ） ，随机存储器（ram ） 、电可擦除可编程只读存储器（ e2prom ）等，以及固化在rom 内部的芯片操作系统cos （chip operating system） 、硬件 id 号、各种密钥和加密算法等。紫光s 锁采用了通过 中国 人民银行认证的smart

3、cos ，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对s 锁进行操作。2.病毒防护系统基于单位目前网络的现状，在网络中添加一台服务器，用于安装imss 。（ 1)邮件防毒。 采用趋势科技的scanmail for notes 。该产品可以和domino 的群件服务器无缝相结合并内嵌到notes 的数据库中， 可防止病毒入侵到lotuenotes的数据库及 电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何notes工作站或web 界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。scanmail是notes domino server 使用率最高的防

4、病毒软件。（2)服务器防毒。采用趋势科技的serverprotect 。该产品的最大特点是内含集中管理的概念， 防毒模块和管理模块可分开安装。一方面减少了整个防毒系统对原系统的影响，另一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。（3)客户端防毒。采用趋势科技的officescan 。该产品作为网络版的客户端防毒系统，使管理者通过单点控制所有客户机上的防毒模块，并可以自动对所有客户端的防毒模块进行更新。其最大特点是拥有灵活的产品集中部署方式，不受windows域管理模式的约束，除支持 sms ，登录域脚本，共享安装以外，还支持纯web 的部署方式。（4)集中控管tvcs 。管理员

5、可以通过此工具在整个企业 范围内进行配置、监视和维护趋势科技的防病毒软件，支持跨域和跨网段的管理，并能显示基于服务器的防病毒产品状态。无论运行于何种平台和位置，tvcs 在整个网络中总起一个单一管理控制台作用。简便的安装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上，结合生成动态口令的特点，加以精心修改，通过十次以上的非线性迭代运算，完成时间参数与密钥充分的混合扩散。在此基础上， 采用先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。4.访问控制 “

6、防火墙 ” 单位安全网由多个具有不同安全信任度的网络部分构成，在控制不可信连接、分辨非法访问、 辨别身份伪装等方面存在着很大的缺陷，从而构成了对网络安全的重要隐患。本设计方案选用四台网御防火墙，分别配置在高性能服务器和三个重要部门的局域网出入口，实现这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，通过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，彼此隔离。 这样不仅保护了单位网络服务器，使其不受来自内部的攻击，也保护了各部门网络和数据服务器不受来自单位网内部其他部门的网络的攻击。如果有人闯进您的一个部门，或者如果病毒开始蔓延，网段

7、能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。sjw-22 网络密码机系统组成网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。本地管理器（软件）:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。中心管理器（软件）:是一个安装于中心管理平台（windows系统）上的对全网的密码机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略，安全网的安全建设可采取“

8、加密 ”、 “ 外防 ”、 “ 内审 ” 相结合的方法，“ 内审 ” 是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。 作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用“ 汉邦软科 ” 的安全审计系统作为安

9、全审计工具。汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。（1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控ras 连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则

10、设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、ip 地址信息。（2)资源监控系统主要有四类功能。监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。监视键盘 :在用户指定的时间段内，截获host sensor program用户的所有键盘输入，用户实时控制键盘截获的开始和结束。监测监控ras 连接：在用户指定的时间段内，记录所有的ras 连接信息。用户实时控制 ass 连接信息

11、截获的开始和结束。当gas 连接非法时，系统将自动进行报警或挂断连接的操作。监测监控 网络 连接：在用户指定的时间段内，记录所有的网络连接信息(包括 :tcp ，udp ，netbios ） 。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。单位内网中安全审计系统采集的数据来源于安全计算 机， 所以应在安全计算机安装主机传感器， 保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600 台，需要安

12、装600 个传感器。7.入侵检测系统ids 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护， 在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发， 入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展 就可以看出。根据网络流量和保护数据的重要程度，选择ids 探测器（百兆）配置在内部关键子网的交换机处放置， 核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。在单位安全内网中， 入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，

13、 通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其他网络违规活动。8.漏洞扫描系统本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描 i 型联动型产品。 i 型联动型产品适用于该内网这样的高端用户，i 型联动型产品由手持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用i 型联动型产品， 就可以很方便的对200 信息点以上的多个网络进行多线程较高的扫描速度的扫描，可以实现和ids、防火墙联动， 尤其适合于制定全网统一的安全策略。 同时移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多ip 地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多ip 地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了web 方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描ii 型移动式扫描仪。移动