解决方案信息安全设计方案

信息安全设计方案设计方案

一、立项背景

随着高校内多个网络工程的进一步实施，学校教育信息化、校园网络化已经成为网络时代教育的发展方向。在当今的互联网环境下，计算机被攻击、破坏的事件经常发生，我们经常需要面对的信息安全问题有：黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此，在校园网络建设中，网络信息安全成为需要特别考虑的问题。

1.1、校园网信息系统安全现状

1.2、现有安全技术和需求

1．操作系统和应用软件本身的身份认证功效，实现访问限制。

2．定时对重要数据进行备份数据备份。

3．每台校园网电脑安装有防毒杀毒软件。

1．构建涵盖校园网全部入网设备的病毒立体防御体系。

计算机终端防病毒软件能及时有效地发现、抵抗病毒的攻击和彻底去除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。

2.建立全天候监控的网络信息入侵检测体系

在校园网核心部位安装网络入侵检测系统，实时对网络和信息系统访问的异常行为进行监测和报警。

3.建立高效可靠的内网安全管理体系

只有解决网络内部的安全问题，才能够排除网络中最大的安全隐患，内网安全管理体系能够从技术层面协助网管人员解决好繁杂的客户端问题。

4.建立虚拟专用网()和专用通道

使用网关设备和有关技术手段，对机密性规定较高的顾客建立虚拟专用网。

经调查，现有校园网络拓扑图以下：

二、设计方案拓扑图

三、设计原则

根据防备安全攻击的安全需求、需要达成的安全目的、对应安全机制所需的安全服务等因素，参考("系统安全工程能力成熟模型")和17799(信息安全管理原则)等国际原则，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防备体系在整体设计过程中应遵照下列9项原则：

3.2.物理层设计

3.2.1物理位置选择

3.3网络层设计

3.3.1防火墙技术

建立在当代通信网络技术和信息安全技术基础上的防火墙技术是现在应用最广泛的防护技术．在逻辑上，它既是一种分离器也是一种限制器，同时它还是一种分析器，通过设立在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动，使得只有通过精心选择的应用合同才干通过，确保了内网环境的安全，如图所示：

作为校园网安全的屏障，防火墙是连接内、外层网络之间信息的唯一出入口，根据具体的安全政策控制(允许、回绝、监测)出入网络的信息流．校园网络管理员要将诸如口令、加密、身份认证、审计等的全部安全软件配备在防火墙上方便对网络存取和访问进行监控审计．同时运用防火墙的日志统计功效做好备份，提供网络使用状况的统计数据。

假定校园网通过路由器与相连。校园内的地址范畴是拟定的，且有明确的闭和边界。它有一种C类的地址，有，，，等服务器，可采用下列存取控制方略。

对进入主干网的存取控制

校园网有自己地址，应严禁地址从本校路由器访问。可用下述命令设立与校园网连接的路由器：

E0

162.105.17.1

20

!

2.105.17.00.0.225

2:对网络中心资源主机的访问控制

网络中心的，，，等服务器是重要的资源，要特别的保护，可对网络中心所在子网严禁，，，以外的一切服务。

3：对校外非法网址的访问

普通状况，某些传输非法信息的站点重要在校外，而这些站点的域名可能是已知的，这时可通过计费系统获得最新的访问信息，运用域名查询或字符匹配等办法拟定来自某个的访问是非法的。

3.3.2、拓扑构造：

3.4、网络层设计

3.5传输层安全

操作系统是整个园区网系统工作的基础，也是系统安全的基础，因而必须采用方法确保操作系统平台的安全。安全方法重要涉及：采用安全性较高的系统，对系统文献加密，操作系统防病毒、系统漏洞及入侵检测等。

3.6、应用层安全

3.7、管理层安全

1.制订一套严谨严格的操作守则。规定网管