信息安全设计方案

设计方案一、立项背景随着高校内各种网络工程的深入实施，学校教育信息化、校园网络化精品文档放心下载已经成为网络时代教育的发展方向。在当今的互联网环境下，计算机精品文档放心下载被攻击、破坏的事件经常发生，我们经常需要面对的信息安全问题有：谢谢阅读黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此，在校园网络建精品文档放心下载设中，网络信息安全成为需要特别考虑的问题.1.1、校园网信息系统安全现状校园网信息系统安全现状1、安全意识淡薄校园网 2、安全体系松散缺乏安上的接入终端仍存在 全预警及监控体系，用户空口令或简易口 管理员不能及时发现令的终端设备；有些个 网络系统存在的最新人计算机系统漏洞百 漏洞.;既不安装防火墙又不安装(或更新）杀毒软件；网络IP地址盗用；专用网与公网混用谢谢阅读等等1.2、现有安全技术和需求

3、网络上病毒、攻击泛滥随着校园网络规模的不断扩大、性能的不断提高，计算机病毒的传播途径日益增多、传播速度越来越谢谢阅读,造成的影响也就越来越严重1．操作系统和应用软件自身的身份认证功能,实现访问限制。精品文档放心下载2．定期对重要数据进行备份数据备份。3．每台校园网电脑安装有防毒杀毒软件。1．构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。精品文档放心下载2。 建立全天候监控的网络信息入侵检测体系在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。精品文档放心下载建立高效可靠的内网安全管理体系只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患，内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。精品文档放心下载建立虚拟专用网(VPN)和专用通道使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。谢谢阅读经调查，现有校园网络拓扑图如下：二、设计方案拓扑图三、设计原则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全精品文档放心下载机制所需的安全服务等因素，参照SSE—CMM(”系统安全工程能力成精品文档放心下载熟模型”)和ISO17799(信息安全管理标准）等国际标准,综合考虑可精品文档放心下载实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网精品文档放心下载络安全防范体系在整体设计过程中应遵循以下9项原则：精品文档放心下载设计原则1．网络 2．网络 3．安全 4．标准 5．技术 6．统筹 7．等级 8．动态 9．易操感谢阅读信息安信息安性评价化与一与管理规划,性原则发展原作性原全的木全的整与平衡致性原相结合分步实则则桶原则体性原原则则原则施原则则3.2。物理层设计3.2。1物理位置选择物理位置选择1、物理2、防盗3。防雷4。防火5.防水6。防静7。温湿8、电力9.电磁访问控窃和防击和防潮电度控制供应防护要制破坏求3。3网络层设计3。3.1防火墙技术建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术．在逻辑上，它既是一个分离器也是一个限制器，同时它还是一个分析器，通过设置在异构网络（如可信的校园网与不可信的公共网）之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动，使得只有经过精心选择的应用协议才能通过，保证了内网环境的安全，如图所示:感谢阅读作为校园网安全的屏障，防火墙是连接内、外层网络之间信息的唯一出入口，根据具体的安全政策控制(允许、拒绝、监测）出入网络的信息流．校园网络管理员要将诸如口令、加密、身份认证、审计感谢阅读等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计．同时利用防火墙的日志记录功能做好备份，提供网络使用情况的统计数据。谢谢阅读假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定的，且有明确的闭和边界。它有一个C类的IP地址，有DNS，Email,WWW，FTP等服务器，可采用以下存取控制策略.谢谢阅读对进入CERNET主干网的存取控制校园网有自己IP地址，应禁止IP地址从本校路由器访问CERNET.感谢阅读可用下述命令设置与校园网连接的路由器：InterfaceE0DecriptioncampusNetIpadd162。105.17.1access_listgroup20out!access_list20permitip0。0。225精品文档放心下载2：对网络中心资源主机的访问控制网络中心的DNS，Email，FTP,WWW等服务器是重要的资源，要特感谢阅读别的保护,可对网络中心所在子网禁止DNS，Email，WWW，FTP以外的一切服务。谢谢阅读3：对校外非法网址的访问一般情况,一些传播非法信息的站点主要在校外，而这些站点的域名可能是已知的，这时可通过计费系统获得最新的IP访问信息，利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。谢谢阅读3。3.2、拓扑结构：3.4、网络层设计网络层设计2。3.防虚身4．5．6．0。11。12。13。14.加物防网代安入用权客安火拟份专认密理毒络理全侵户限户全墙网证技隔网地服扫检的控端检技（V技术离关址务描测身制安测术PN）术转及份全技换路认防术技由证护术器3。5传输层安全操作系统是整个园区网系统工作的基础，也是系统安全的基础，精品文档放心下载因而必须采取措施保证操作系统平台的安全。安全措施主要包括：采感谢阅读用安全性较高的系统,对系统文件加密，操作系统防病毒、系统漏洞精品文档放心下载及入侵检测等。传输层安全5。入侵检测1。采用安全性2.加密技术3。病毒的防范4.安全扫描较高的系统谢谢阅读3。6、应用层安全应用层安全1.蠕虫过滤 2。病毒过滤 3。垃圾邮件过滤 4。内容过滤感谢阅读3.7、管理层安全制定一套严谨严格的操作守则.要求网管人员严格按照守则进行管理工作。感谢阅读2．加强网络管理人员的培训。定期对网管人员进行培训，并出外考察，多增长与时俱进的网管技术.精品文档放心下载