校园网络安全设计方案

校园网络安全设计方案一、安全需求1.1.1随着信息技术的不停发展和网络信息的海量增加，校园网的安全形势日益严峻，现在校园网安全防护体系还存在某些问题，重要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段局限性，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。经调查，现有校园网络拓扑图以下：1.1.楼号该楼用途每层主机数层数每栋信息点总数实现功效3行政，办公，网络中心504200重要以校领导、财务、人事为重要顾客。重要是网络中心、计算机机房、网络实验室为主。网络中心负责网络维护，管理，中心内设有网站、电子邮箱、精品课程、FTP资源、办公系统以及视频点播等服务器。20图书馆1005500对图书馆内各类图书进行管理，对图书资料进行解决。建立电子阅览室为学生更快更加好的查阅各类图书。重要以文献传输、视频传输为主。7（1,2,11,16）教学楼10-200不等7150重要是多媒体教室。能够实现多媒体教学，快速地获取网上资源4（5,6,8,9,1012,13,14，15,16,17）宿舍18071200能够较快地获取网上资源，拥有语音布线1.2.现有安全技术1．操作系统和应用软件本身的身份认证功效，实现访问限制。2．定时对重要数据进行备份数据备份。3．每台校园网电脑安装有防毒杀毒软件。1.3.安全需求1．构建涵盖校园网全部入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵抗病毒的攻击和彻底去除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2.建立全天候监控的网络信息入侵检测体系在校园网核心部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。3.建立高效可靠的内网安全管理体系只有解决网络内部的安全问题，才能够排除网络中最大的安全隐患，内网安全管理体系能够从技术层面协助网管人员解决好繁杂的客户端问题。4.建立虚拟专用网(VPN)和专用通道使用VPN网关设备和有关技术手段，对机密性规定较高的顾客建立虚拟专用网。二．安全设计1．1设计原则根据防备安全攻击的安全需求、需要达成的安全目的、对应安全机制所需的安全服务等因素，参考SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理原则)等国际原则，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防备体系在整体设计过程中应遵照下列9项原则：

1．网络信息安全的木桶原则

网络信息安全的木桶原则是指对信息均衡、全方面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一种复杂的计算机系统，它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，特别是多顾客网络系统本身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗入原则”，必然在系统中最单薄的地方进行攻击。因此，充足、全方面、完整地对系统的安全漏洞和安全威胁进行分析，评定和检测（涉及模拟攻击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是避免最惯用的攻击手段，根本目的是提高整个系统的"安全最低点"的安全性能。

2．网络信息安全的整体性原则

规定在网络发生被攻击、破坏事件的状况下，必须尽量地快速恢复网络信息中心的服务，减少损失。因此，信息安全系统应当涉及安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的多个安全威胁采用的对应的防护方法，避免非法攻击的进行。安全检测机制是检测系统的运行状况，及时发现和制止对系统进行的多个攻击。安全恢复机制是在安全防护机制失效的状况下，进行应急解决和尽量、及时地恢复信息，减少供应的破坏程度。

3．安全性评价与平衡原则

对任何网络，绝对安全难以达成，也不一定是必要的，因此需要建立合理的实用安全性与顾客需求评价与平衡体系。安全体系设计要对的解决需求、风险与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息与否安全，没有绝对的评判原则和衡量指标，只能决定于系统的顾客需求和具体的应用环境，具体取决于系统的规模和范畴，系统的性质和信息的重要程度。

4．原则化与一致性原则

系统是一种庞大的系统工程，其安全体系的设计必须遵照一系列的原则，这样才干确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。

5．技术与管理相结合原则

安全体系是一种复杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不可能实现。因此，必须将多个安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。

6．统筹规划，分步实施原则

由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，可在一种比较全方面的安全规划下，根据网络的实际需要，先建立基本的安全体系，确保基本的、必须的安全性。随着此后随着网络规模的扩大及应用的增加，网络应用和复杂程度的变化，网络脆弱性也会不停增加，调节或增强安全防护力度，确保整个网络最根本的安全需求。

7．等级性原则

等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的，涉及对信息保密程度分级，对顾客操作权限分级，对网络安全程度分级（安全子网和安全区域），对系统实现构造的分级（应用层、网络层、链路层等），从而针对不同级别的安全对象，提供全方面、可选的安全算法和安全体制，以满足网络中不同层次的多个实际需求。

8．动态发展原则

要根据网络安全的变化不停调节安全方法，适应新的网络环境，满足新的网络安全需求。

9．易操作性原则

首先，安全方法需要人为去完毕，如果方法过于复杂，对人的规定过高，本身就减少了安全性。另首先，方法的采用不能影响系统的正常运行。1.2.物理层设计1．物理位置选择机房应选择在含有防震、防风和防雨等能力的建筑内；机房的承重规定应满足设计规定；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染，易发生火灾、水灾，易遭受雷击的地区。2.物理访问控制有人值守机房出入口应有专人值守，鉴别进入的人员身份并登记在案；无人值守的机房门口应含有告警系统；应同意进入机房的来访人员，限制和监控其活动范畴；应对机房划分区域进行管理，区域和区域之间设立物理隔离装置，在重要区域前设立交付或安装等过渡区域。服务器应当安放在安装了监视器的隔离房间内，并且监视器要保存15天以上的摄像统计。机箱，键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。在自己的办工桌上安上笔记本电脑安全锁，以避免笔记本电脑的丢失。3．防盗窃和防破坏应将有关服务器放置在物理受限的范畴内；应运用光、电等技术设立机房的防盗报警系统，以防进入机房的盗窃和破坏行为；应对机房设立监控报警系统。4.防雷击机房建筑应设立避雷装置；应设立防雷保安器，避免感应雷；应设立交流电源地线。5.防火应设立火灾自动消防系统，自动检测火情，自动报警，并自动灭火；机房及有关的工作房间和辅助房，其建筑材料应含有耐火等级。6.防水和防潮水管安装不得穿过屋顶和活动地板下；应对穿过墙壁和楼板的水管增加必要的保护方法，如设立套管；应采用方法避免雨水通过屋顶和墙壁渗入；应采用方法避免室内水蒸气结露和地下积水的转移与渗入。7.防静电应采用必要的接地等防静电方法；应采用防静电地板。8.温湿度控制应设立恒温恒湿系统，使机房温、湿度的变化在设备运行所允许的范畴之内。防尘和有害气体控制；机房中应无爆炸、导电、导磁性及腐蚀性尘埃；机房中应无腐蚀金属的气体；机房中应无破坏绝缘的气体。9.电力供应机房供电应与其它市电供电分开；应设立稳压器和过电压防护设备；应提供短期的备用电力供应（如UPS设备）；应建立备用供电系统（如备用发电机），以备惯用供电系统停电时启用。10.电磁防护规定应采用接地方式避免外界电磁干扰和有关服务器寄生耦合干扰；电源线和通信线缆应隔离，避免互相干扰。1.3．网络层设计1．防火墙技术建立在当代通信网络技术和信息安全技术基础上的防火墙技术是现在应用最广泛的防护技术．在逻辑上，它既是一种分离器也是一种限制器，同时它还是一种分析器，通过设立在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动，使得只有通过精心选择的应用合同才干通过，确保了内网环境的安全，如图1所示作为校园网安全的屏障，防火墙是连接内、外层网络之间信息的唯一出入口，根据具体的安全政策控制(允许、回绝、监测)出入网络的信息流．校园网络管理员要将诸如口令、加密、身份认证、审计等的全部安全软件配备在防火墙上方便对网络存取和访问进行监控审计．同时运用防火墙的日志统计功效做好备份，提供网络使用状况的统计数据2.虚拟专网(VPN)技术对于从专线连接的外部网络顾客，采用虚拟专网(VPN)技术，它使架设于公众网络上的园区网使用信道合同及有关的安全程序进行保密，还能够采用点对点合同、加密后送出资料及加密收发两端网络位置等方法使虚拟专网更加可靠。3.身份认证技术对于拨号进入园区网的顾客进行严格控制，在拨号线路上加装保密机，使无保密机的顾客无法拨通；通过顾客名和口令的认真检查顾客身份；运用回拨技术再次确认和限制非法顾客的入侵。4．加密技术在外部网络的数据传输过程中，采用密码技术对信息加密是最惯用的安全保护手段。现在广泛使用的有对称算法和非对称算法两类加密算法，两种办法结合使用，加上数字签名、数字时间戳、数字水印及数字证书等技术，能够使通信安全得到确保。为寄存秘密信息的服务器加装密码机，对园区网上传输的秘密信息加密，以实现秘密数据的安全传输。5．物理隔离公共网络及因特网上黑客日益猖獗，加上我国使用的计算机及网络设备的软硬件产品大多数是进口的，安全上没有较好的确保，因而将外部网络中的因特网与专用网络如军用网实现物理隔离，使之没有任何连接，能够使园区网与外部专用网络连接时，园区网与Internet无物理联系在安全上较为稳妥。6．防毒网关防火墙无法避免病毒的传输，因而需要安装基于Internet网关的防毒软件，具体能够安装到代理服务器上，以避免Internet病毒及Java程序对系统的破坏。7.网络地址转换技术当园区网内部主机与外部相连时，使用同一IP地址；相反，外部网络与园区网主机连接时，必须通过网关映射到园区网主机上。它使外部看不到园区网，从而隐藏内部网络，达成保密作用，同时，它还能够解决IP地址的局限性。8.代理服务及路由器能够根据设立地址、服务、内容等要素来控制顾客的访问，代理服务器及路由器起访问的中介作用，使园区网和外部网络间不能直接访问，从而确保内部核心信息的安全。9.安全扫描能够通过多个安全扫描软件对系统进行检测与分析，快速找到安全漏洞并加以修复。现在有多个软件能够对设备进行扫描，检查它们的弱点并生成报表。10.入侵检测能够采用某些安全产品对网络上流动的数据包进行检查，识别非法入侵和其它可疑行为，并予以及时的响应及防护。以下图所示。11.顾客的身份认证顾客入网访问控制分为三步，即顾客名的验证；顾客口令的验证；顾客帐号的验证。顾客口令是入网的核心，必须通过加密，顾客还可采用一次一密的办法，或者使用智能卡来验证顾客身份。同时，可将顾客与所用的计算机联系起来，使顾客用固定的计算机上网，以减少顾客的流动性，加强管理。12.权限控制这是针对网络非法操作提出的一种安全保护方法。顾客和顾客组被赋予一定的权限，网络控制顾客和顾客组能够访问哪些目录、子目录、文献和其它资源及顾客可执行的操作。13.客户端安全防护首先，应切断病毒传输的途径，减少感染病毒的风险；另首先，使用的浏览器必须确保符合安全原则，使客户端的工作站得到安全确保。14.安全检测使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析，查找安全漏洞并加以修复，使用防病毒软件进行病毒查找和杀毒工作。加密，访问控制，数字签名，入侵检测，扫描，物理隔离，安全合同1.4．传输层安全操作系统是整个园区网系统工作的基础，也是系统安全的基础，因而必须采用方法确保操作系统平台的安全。安全方法重要涉及：采用安全性较高的系统，对系统文献加密，操作系统防病毒、系统漏洞及入侵检测等。1.采用安全性较高的系统美国国防部技术原则把操作系统安全等级分为D1、C1、C2、B1、B2、B3、A级，安全等级由低到高，现在重要的操作系统等级为C2级。在使用C2级系统时，应尽量使用C2级的安全方法及功效，对操作系统进行安全配备。在极端重要的园区网系统中，应采用B级操作系统。2.加密技术对操作系统中某些重要的文献进行加密，避免非法出版的读取及修改。3.病毒的防备在园区网主机上安装防病毒软件，对病毒进行定时或实时的病毒扫描及检测，对防病毒软件进行及时升级以发现和杀灭新型的病毒。4.安全扫描通过对园区网主机进行一系列设立和扫描，对系统的各个环节提供可靠的分析成果，为系统管理员提供可靠性和安全性分析报告，对系统进行及时升级以弥补漏洞及关闭“后门”。5.入侵检测安装基于主机的入侵检测系统，可检查操作系统日志和其它系统特性，判断入侵事件，在非法修改主页时自动作出反映，对已入侵的访问和试图入侵的访问进行跟踪统计，并及时告知系统管理员，使管理员可对网络的多个活动进行实时监视。1.5．应用层安全1.蠕虫过滤蠕虫能够运用电子邮件、文献传输等方式进行扩散，也能够运用系统的漏洞发起动态攻击。病毒防御体系能够根据蠕虫的特点实施多层次解决，在网络层和传输层过滤蠕虫运用漏洞的动态攻击数据，在应用层过滤运用正常合同(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。2.病毒过滤对于网页浏览(HTTP合同)、文献传输(FTP合同)、邮件传输(SMTP、POP3合同)等病毒，基于专门的病毒引擎进行查杀。对于邮件病毒，能够定义对病毒的解决方式，决定去除病毒、删除附件、丢弃等操作，发现病毒时告知管理员、收件人、发件人等操作。3.垃圾邮件过滤垃圾邮件类型大致能够分为下列四种类型：邮件头部包含垃圾邮件特性的邮件;邮件内容包含垃圾邮件特性的邮件;使用OpenRelay主机发送的垃圾邮件(OpenRelay方式的SMTP邮件服务器被运用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特性的垃圾邮件。病毒防御体系按照合同特性对数据包进行分析、重组及解码，按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行解决。能够限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接受者地址、域名等进行过滤;支持对伪装邮件过滤。4.内容过滤支持对邮件核心字、附件文献类型进行过滤，通过定义可信或不可信的URL并进行过滤，能够选择对网页脚本进行过滤、对传输的信息进行智能识别过滤，避免敏感信息的侵扰和扩散。1.6.管理层安全1.制订一套严谨严格的操作守则。规定网管人员严格按照守则进行管理工作，2．加强网络管理人员的培训。定时对网管人员进行培训，并出外考察，多增加与时俱进的网管技术三、材料清单和工程设计3.1材料清单项目型号用途数量中心交换机RG-S6806中心交换机2台防火墙RG-WALL100确保信息安全2台路由器TP-LINKTL-WR841N连接外网1台VPN网关CyLanSME-500虚拟专用隧道网络集成于防火墙IDS入侵检测一套3.2设计方案四、施工4.1病毒立体防御体系的构建与实施涉及两个方面的内容：一是在内部网络设立防病毒管理与分发服务器，各终端计算机与服务器通过网络相连，形成内部网络的病毒防御系统。二是设立网关防病毒系统，对网络的出入口数据流量进行病毒扫描和过滤。1.设立防病毒管理与分发服务器校园网的防病毒管理与分发服务器与上级信息管理中心的防病毒控制中心服