通信学院校园网安全解决方案Word格式.docx
《通信学院校园网安全解决方案Word格式.docx》由会员分享,可在线阅读,更多相关《通信学院校园网安全解决方案Word格式.docx(11页珍藏版)》请在冰点文库上搜索。
2、管理设计6
六、方案实施7
1)构建涵盖校园网所有入网设备的病毒立体防御体系7
2)建立全天候监控的网络信息入侵检测体系8
3)建立高效可靠的内网安全管理体系9
(1)网络隔离度保障:
9
(2)客户端防病毒软件及应用软件管理:
(3)病毒引入点确定:
10
(4)非正常终端阻止入网:
(5)网络资源有效管理:
(6)客户端流量分析和排序:
11
4)建立虚拟专用网(VPN)和专用通道11
5)病毒立体防御体系的构建与实施12
(1)设置防病毒管理与分发服务器:
12
(2)网关防病毒系统:
13
6)入侵检测系统的构建与实施13
7)内网安全管理体系的构建与实施13
8)虚拟专用网(VPN)的构建与实施14
七、结束语14
一、概述
随着当今科学技术的迅猛发展,世界各国的综合实力越来越体现在科技和教育水平的不断发展以及国民科技文化素质的迅速提高上。
因此,加强科学技术普及教育,提高全民族尤其是青少年的科技素质,已成为持续增强国家创新能力和竞争力的基础性工程。
随着信息化的深入,使安全问题就更加严峻,特别是某些安全问题如病毒、攻击和入侵等已经引起了人们的高度重视。
信息化安全是一个普遍问题,但是,不同行业信息化有自己的特点,信息化的重点和所采取的对策也不尽相同,因此针对学校信息化的特点,系统地分析问题并提出适合学校的安全对策是有必要的。
二、校园网安全系统设计原则
校园网网络安全建设是一项综合性非常强的系统工程,它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。
因此在校园网安全的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系,从而使校园网的建设工作健康稳定地开展。
首先,校园网安全网络的建设是一个为学校教育教学活动长期服务的工作,因此在校园网安全网络的规划建设过程中,必须从学校长远发展规划出发,以服务于教育为基本点,结合学校当前教育教学的实际需要,做出科学的规划部署。
在校园网的规划建设中,一般学校应遵循“统一规划、整体设计、分步实施”的原则。
其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则,在重视硬件建设的同时,加强网络的组织管理水平,不断开发网络的功能,从而充分发挥校园网络的功效,提高校园网对学校教育的服务水平。
学校校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络;
是学校信息化教学环境的基础设施和实现各项管理的物质基础;
是建立远程教育体系的基本保证;
是提高全民素质的重要手段;
也是一项灵魂工程。
其设计方案应注意以下原则:
校园网网络安全设计应能满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。
校园网的安全系统及网络结构较为复杂,同时在部分子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和安全运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检测和恢复,可管理性强。
在系统的设计过程中,坚持"
三统一"
,即统一规划、统一标准、统一出口。
在系统的开发过程中,既能满足当前院校对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;
设计的配置可以灵活变通,以便适应客户的其他要求。
在充分满足以上要求的前提下,应充分考虑到学校的经济承受能力,尽可能地节约投资,利用好资源。
三、建设目标
校园网络安全建设的目标是在校园内实现多媒体教学、教务管理、通信、双向视频点播(VOD)等信息共享功能,能实现办公的自动化、无纸化。
能通过与Internet的互联,为全校师生提供国际互联网上的各种服务。
教师可以制作多媒体课件以及在网上保存和查询教学资源,能对学生进行多媒体教学和通过网络对学生进行指导与考查等。
学生也可以通过在网上浏览和查询网上学习资源,从而可以更好地进行学习,校园网能为学校的信息化建设打下基础,校园网络安全性,也对于校园信息资源保护作用也有很大的功能。
四、网络安全需求
建立办公自动化系统
办公楼共有40个信息点。
要求通过校园网连至INTERNET,达到100M到桌面,并对财务科,人事科等科室进行单独子网管理。
建立综合多媒体教室
共70个信息点。
有70个多媒体教室,每个教室60台PC。
要求可网管,通过校园网上连至INTERNET,达到100M到桌面。
共50个信息点。
每个实验室60台PC。
要求可网管,
通过校园网上连至INTERNET,达到100M到桌面。
3、为了满足教职工的需要,
提高教职工教学条件和水平,大力发展网上教学,优秀科目科件制作等。
将教职工宿舍区的PC通过校园网上连至INTERNET,达到10M到桌面,以后可扩展到100M。
4、学校校园网建设
所需PC和投影仪有校方自行选择和安装。
学生宿舍PC通过校园网上连至INTERNET,达到10M到桌面,以后可扩展到100M。
以方便学生查找资料
5、解决内外网络边界安全,
防止外部攻击,保护内部网络。
解决内部网安全问题,隔离内部不同网段,建立VLAN。
根据IP地址、协议类型、端口进行过滤。
内外网络采用两套IP地址,需要网络地址转换NAT功能。
支持安全服务器网络SSN。
通过IP地址与MAC地址对应防止IP欺骗。
基于IP地址计费。
基于IP地址的流量统计与限制。
基于IP地址的黑白名单。
防火墙运行在安全操作系统之上。
防火墙为独立硬件。
防火墙无IP地址
五、解决方案设计
1、安全设计
需求:
能够轻松部署,支持PPPoE协议,提供ADSL/ISDN接入方式,让学校以及分支机构享受无以伦比的性价比,设置简洁,通过浏览器可以轻松完成功能配置,还能支持DHCP服务器功能,节省用户网络管理投资,支持无地址接入,集成内容过滤、邮件过滤,防止非法信息、恶意脚本及垃圾邮件;
集成防拒绝服务网关,提供攻击检测及攻击抵御,成VPN,可以进行隧道认证及数据加密,保护了企业机密同时降低了沟通成本,同时支持用户认证;
支持应用层日志及加密日志存储,有效审计进出网络的敏感信息解决方案:
可启用标准或扩展访问控制列表进行数据报或数据段控制,在内外网口设置一台防火墙保证整个网络抵御来自内,外网的攻击。
2、管理设计
对于希望了解当前网络拓扑逻辑结构的操作员,系统采用傻瓜方式,以默认形式为用户自动绘制出整个网络的逻辑视图,不需用户干预。
对于只想掌控自己关心的网络设备的操作员,系统采用DIY方式,支持操作员按物理连接或自己随意的自组物理视图。
强大的自动发现功能,具有对第二层、第三层及应用层设备的自动识别能力,能准确定位神州数码品牌的网络设备。
自动绘制出的网络拓扑图还可以通过另存为的方式供操作员修改。
解决方案:
使用神州数码LinkManager。
LinkManager网管系统是一套基于WindowsNT平台的高度集成、功能较完善、实用性强、方便易用的全中文用户界面网络管理系统。
它是神州数码网络有限公司根据中国用户的实际需求,遵循ISO网络管理模型的五大功能域(性能管理、配置管理、故障管理、计费管理及安全管理)的架构,自行组织研发出来的一套具有自有知识产权的网管系统。
LinkManager具有既面向指定设备,又支持通用网络设备的"
垂直+水平"
的管理特性。
也就是说,它能够对神州数码网络有限公司推出的具有SNMP功能的网络设备提供齐全的设备管理和功能管理,同时也能够良好地支持其他任何具有通用SNMP功能的网络设备,提供整个网络的拓扑结构和常用网络管理信息。
六、方案实施
具体方案内容包括如下四个方面:
1)构建涵盖校园网所有入网设备的病毒立体防御体系
在网络中心机房建立防病毒监测与控制中心,配置防病毒管理和分发服务器;
各二级网站配置最新版本防火墙,各用户终端通过与防病毒管理与分发服务器进行网络互连,由服务器统一配置最新版本的防杀病毒软件,并实现定时升级与更新。
防病毒包括四个方面:
计算机终端防病毒、文件和数据库服务器防病毒、邮件服务器防病毒和网关防病毒。
计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
但工作站防病毒对网络的依赖较强,必须同时有其它工具配合;
文件和数据库服务器的防病毒软件同样能够及时有效地发现、抵御病毒的攻击和彻底清除病毒,尤其针对文件系统的宏病毒等。
服务器的防病毒软件还具有以下功能:
实时病毒监控功能、远程安装、远程调用、病毒代码自动更新、病毒活动日志、多种报警通知的方式;
邮件服务器的防病毒软件能够对经过的邮件中的病毒进行实时查杀,确保经由邮件服务器的附件随时处于病毒的免疫状态。
针对在校园网出入口的流量,在校园网出口处设置网关防病毒系统。
对通过FTP下载文件、通过POP3接收下载外部邮件时可能携带的恶性的Java/ActiveX程序和病毒进行查杀扫描,对通过SMTP发送的外部和内部邮件的附件、消息体进行病毒的过滤。
2)建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。
入侵检测系统(IDS)是新一代动态安全防范技术,通过对计算机网络或主机中的若干关键信息的收集和分析,从中发现是否有违反安全策略的行为和被攻击的迹象。
它是一种集检测、记录、报警和响应于一体的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。
入侵检测系统是对防火墙的必要补充,可对网络资源进行实时检测,及时发现入侵者,预防合法用户对资源的误操作,与其它安全产品一起构筑立体的安全防御体系。
入侵检测系统的工作流程可分为数据采集、数据分析和做出响应三部分。
IDS首先采集来自网络系统不同节点携带网络入侵行为的数据,例如系统日志、网络数据包、文件与用户活动的状态和行为;
接着通过模式匹配、异常检测和完整性分析等技术,对数据进行分析以寻找入侵者;
最后,一旦确认存在入侵,IDS就进入响应过程,并在日志、报警和安全控制等方面做出反应。
3)建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。
内网安全管理体系可以实现:
监控移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查,违规接入内部网络;
监测内网计算机绕过防火墙等设备,违规接入网络的行为;
监控物理隔离的网络内部设备违规接入Internet的行为;
监控违反规定将专网专用的计算机带出网络进入到其它网络的行为;
可提供IP和MAC地址绑定功能;
统一监控网络内的防病毒软件安装情况和升级情况,了解网络中的病毒软件安装状况,必要时可通过此系统强制为客户端安装防病毒程序,如果需要,此系统也可监控终端软件的安装情况,并进行相应的管理(如安装软件,禁止使用特定软件,删除软件等)。
在网络出现病毒、蠕虫攻击等安全问题时,对安全事件源的实时、快速、精确定位、并可进行远程阻断隔离操作的问题。
在大规模病毒(安全)事件发生后,帮助网管确定病毒或黑客事件源头,以做到事后分析、责任查处和加强安全预警的问题。
软件阻断模式一般采用C/S模式和分布式技术进行软件阻断,可跨网段,跨VLAN,穿透防火墙进行阻断。
网络管理人员可在管理端精确定位异常终端,并通过ARP地址干扰技术进行阻断。
统一汇总和监视网络各终端的进程,可以增量式的显示网络中新出现的进程,也可统计网络中最常运行的进程,从而统计出网络客户端软件的使用情况。
此系统可对网络中出现的异常进程(很可能病毒进程)进行定位和报警,在必要时可直接阻断。
对IP地址使用情况进行监视和管理;
网络管理员可精确统计网络计算机入网设备,了解当前网络IP资源使用,以取代原始的数据资料记载的手段,增强了设备管理信息的实时性、准确性。
提供入网设备精确定位功能,精确定位发生安全问题的终端设备所在地点和使用人等,以增加安全应急反应速度,简化网络管理员的工作。
基于主机方式对网络中客户端流量、分支网络带宽流量进行分析,防止非法入侵、滥用网络资源。
可由网络管理人员设定流量的阈值参数,当流量(含出、入或总流量)超过一定限度并持续一定时间后,进行有关信息上报,以便网管了解客户端流量异常,从而快速分析是否是网络安全事故。
4)建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
VPN在网络层对数据传输进行加密,优于针对具体链路类型的链路层传输加密。
主要应用在内联网、网间网中,对专线连接使用网关对网关模式。
使用安全VPN可以有效地解决网际互联的安全传输问题。
安全VPN系统具有下述特点功能:
具有符合国家密码管理委员会规定的密码协议、密码算法和密钥管理制度;
安全VPN设备能支持透明的信息加解密和认证功能;
系统具有集中统一的网络管理功能,能够集中在线监控管理、密钥能自动生成、分发、更新;
加密产品具有很高的自身安全性;
采用IP层数据保护技术,适应于不同的数据链路接入;
能保证数据传输中的机密性、完整性,用户远程登录时的身份认证及实现基于个人身份的访问权限控制。
部署与实施
综上所述,校园网信息和网络安全的部署方式可如图1所示。
图1信息网络安全防护体系
5)病毒立体防御体系的构建与实施
包括两个方面的内容:
一是在内部网络设置防病毒管理与分发服务器,各终端计算机与服务器通过网络相连,形成内部网络的病毒防御系统。
二是设置网关防病毒系统,对网络的出入口数据流量进行病毒扫描和过滤。
校园网的防病毒管理与分发服务器与上级信息管理中心的防病毒控制中心服务器网络相连,直接接受上一级服务器提供的病毒库升级、客户端防病毒软件升级、广域网病毒扫描和过滤等服务。
引导校园网用户自觉把个人用计算机及单位用计算机作为防病毒客户端与防病毒管理与分发服务器进行联接;
二是对防病毒管理与分发服务器进行相关配置,使得服务器能够及时对客户端实施病毒自动更新,能够对客户端进行自动或手工方式的病毒扫描和查杀。
网关防病毒系统部署在校园网的出入口处。
系统能够实现:
无人值守,自动操作,可实现自动发现、清除病毒,自动报警,时刻保护网络免受病毒和蠕虫侵害。
6)入侵检测系统的构建与实施
入侵检测系统包括两个部分:
一是传感器,负责采集数据(网络包、系统日志等)、分析数据并生成安全事件;
二是控制台,主要承担中央管理的作用。
该系统能够根据应用需要配置若干块网卡,以同时收集若干个网段的数据,进行实时的入侵分析。
该系统既可以独立使用,又可以与防火墙配合使用,作为防火墙的补充,提供入侵检测,并对现有的设置进行审计。
入侵检测系统在校园网需检测的网段处以旁路方式接入。
7)内网安全管理体系的构建与实施
在指定服务器配置内网安全管理系统,校园网联网计算机下载客户端软件,与内网安全管理系统实现网络连接,接受内网安全管理系统提供的安全服务,形成内网安全管理体系。
8)虚拟专用网(VPN)的构建与实施
在校园网出入口处部署SSLVPN硬件网关,广域网用户利用SSLVPN网关访问校园网资源。
实现校园网和广域网的虚拟专用网连接。
这种部署方式具有以下特点:
一是客户端内不用安装VPN客户端软件,易部署、管理和扩展;
二是无须在防火墙上为SSLVPN设备做特定的设置。
三是兼容B/S和C/S,能达到好管理、好维护、低成本、高利用率的效果。
七、结束语
保证信息和网络的安全是校园网能够得到广泛应用的重要前提条件,一个单独的安全解决方案很难充分保证校园网安全,因此建立一套多层次的安全管理方案是十分必要的
升级会员 