XX學校校園網(wǎng)安全方案綜述

1、目 錄一、網(wǎng)絡信息安全系統(tǒng)設計原則1. 滿足In ternet分級管理需求2. 需求、風險、代價平衡的原則3. 綜合性、整體性原則4. 可用性原則5. 分步實施原則二、網(wǎng)絡信息安全系統(tǒng)設計步驟1. 網(wǎng)絡安全需求分析2. 確立合理的目標基線和安全策略3. 明確準備付出的代價4. 制定可行的技術方案5. 工程實施方案（產(chǎn)品的選購與定制）6. 制定配套的法規(guī)、條例和管理辦法三、網(wǎng)絡安全需求四、網(wǎng)絡安全層次及安全措施1. 鏈路安全2. 網(wǎng)絡安全3. 信息安全五、校園網(wǎng)網(wǎng)絡安全解決方案1. 防護體系2. 配備完整的網(wǎng)絡設備3. 建立完整身份認證4 安全監(jiān)控與管理功能六、實例方案1. 校園網(wǎng)概述2. 產(chǎn)品

2、選型和網(wǎng)絡拓撲介紹3. 配置與檢測六、結語摘要：計算機網(wǎng)絡安全建設是涉及我國經(jīng)濟發(fā)展、社會發(fā)展和國家安全的重大問 題。本文結合網(wǎng)絡安全建設的全面信息，在對網(wǎng)絡系統(tǒng)詳細的需求分析基礎上， 依照計算機網(wǎng)絡安全設計目標和計算機網(wǎng)絡安全系統(tǒng)的總體規(guī)劃，設計了一個完整的、立體的、多層次的網(wǎng)絡安全防御體系。校園網(wǎng)網(wǎng)絡是一個分層次的拓撲結構，因此網(wǎng)絡的安全防護也需采用分 層次的拓撲防護措施。即一個完整的校園網(wǎng)網(wǎng)絡信息安全解決方案應該覆蓋網(wǎng) 絡的各個層次，并且與安全管理相結合。一、網(wǎng)絡信息安全系統(tǒng)設計原則1. 滿足In ternet分級管理需求2. 需求、風險、代價平衡的原則3. 綜合性、整體性原則4. 可用

3、性原則5. 分步實施原則目前，對于新建網(wǎng)絡及已投入運行的網(wǎng)絡， 必須盡快解決網(wǎng)絡的安全保密問 題，設計時應遵循如下思想：大幅度地提高系統(tǒng)的安全性和保密性；保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性；易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；盡量不影響原網(wǎng)絡拓撲結構，便于系統(tǒng)及系統(tǒng)功能的擴展；安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與 監(jiān)督?；谏鲜鏊枷耄W(wǎng)絡信息安全系統(tǒng)應遵循如下設計原則：滿足因特網(wǎng)的分級管理需求根據(jù)In ternet網(wǎng)絡規(guī)模大、用戶眾多的特點， 對Inter

4、net/lntranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。第一級：中心級網(wǎng)絡，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部 網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的 訪問控制；部門網(wǎng)內(nèi)部的安全審計。第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制；數(shù)據(jù)庫及終 端信息資源的安全保護。需求、風險、代價平衡的原則對任一網(wǎng)絡，絕對安全難以達到，也不一定是 必要的。對一個網(wǎng)絡進行實際額研究（包括任務、性能、結構、可靠性、可維護 性等），并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，

5、然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。綜合性、整體性原則應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措 施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護保障制度等）以及專業(yè)措施（識別技術、存取控制、密碼、低輻射、容錯、防 病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當綜合的應 用結果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中 的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、 分析，才能取得有效、 可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制 定出合理的網(wǎng)絡安全體系結構可用性原則安全措施需要人為去

6、完成，如果措施過于復雜，要求過高，本身 就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng) 的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。分步實施原則：分級管理分步實施由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不 現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。二、網(wǎng)絡信息安全系統(tǒng)設計步驟1. 網(wǎng)絡安全需求分析2. 確立合理的目標基線和安全策略3. 明確準備付出的代價4. 制定可行的技術方案5. 工程實施方案（產(chǎn)品的

7、選購與定制）6. 制定配套的法規(guī)、條例和管理辦法本方案主要從網(wǎng)絡安全需求上進行分析，并基于網(wǎng)絡層次結構，提出不同層次與安全強度的校園網(wǎng)網(wǎng)絡信息安全解決方案。三、網(wǎng)絡安全需求確切了解校園網(wǎng)網(wǎng)絡信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求 的基礎。一般來講，校園網(wǎng)網(wǎng)絡信息系統(tǒng)需要解決如下安全問題：局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及 VLAN勺實現(xiàn)在連接In ternet時，如何在網(wǎng)絡層實現(xiàn)安全性應用系統(tǒng)如何保證安全性，如何防止黑客對網(wǎng)絡、主機、服務器等的入侵如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄约用芟到y(tǒng)如何布置，包括建立證書管理中心、應用系統(tǒng)集成加密等如何實現(xiàn)遠程訪問的安全性如何評價網(wǎng)絡

8、系統(tǒng)的整體安全性基于這些安全問題的提出，網(wǎng)絡信息系統(tǒng)一般應包括如下安全機制：訪問控制 單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡部分構成， 在控 制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構 成了對網(wǎng)絡安全的重要隱患。本設計方案選用四臺網(wǎng)御防火墻，分別配置在高性 能服務器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。通過在核心交換機和高性能服務器群之間及核心交換機和重要部門之間部 署防火墻，通過防火墻將網(wǎng)絡內(nèi)部不同部門的網(wǎng)絡或關鍵服務器劃分為不同的網(wǎng) 段，彼此隔離。這樣不僅保護了單位網(wǎng)絡服務器，使其不受來自內(nèi)部的攻擊，也 保護了各部門網(wǎng)絡和數(shù)據(jù)服務器不受來自

9、單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡的攻擊。如果有人闖進您的一個部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進 一步擴大。安全檢測入侵檢測作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。 從網(wǎng)絡安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視，這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出攻擊監(jiān)控病毒防護系統(tǒng)。（1）郵件防毒。（2）服務器防毒。（3）客戶端防毒。信息加密、信息完整性校驗為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的 安全通道，通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性

10、、真實性和私有性。隱藏網(wǎng)絡內(nèi)部信息（如網(wǎng)絡地址轉換NAT等。四、網(wǎng)絡安全層次及安全措施信息安全網(wǎng)絡的安全層次分為：鏈路安全、網(wǎng)絡安全、信息安全網(wǎng)絡的安全層次及在相應層次上采取的安全措施見下表。信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息 存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別 授權（CA）網(wǎng)絡安全訪問控制（防火墻）網(wǎng)絡安全檢測入侵檢測（監(jiān)控）IPSEC（IP安全） 審計分析鏈路安全鏈路加密1. 鏈路安全鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶 數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后的數(shù)據(jù)

11、不能進行路由交換。因此，在加密后的數(shù)據(jù)不需要進行路由交換的情況下，如 DDN直通專線用戶就可以選擇路由加密設備。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機和同步線路密碼機。 異步線路密碼機主要用于電話網(wǎng)，同 步線路密碼機則可用于許多專線環(huán)境。2. 網(wǎng)絡安全網(wǎng)絡的安全問題主要是由網(wǎng)絡的開放性、無邊界性、自由性造成的，所以我 們考慮校園網(wǎng)信息網(wǎng)絡的安全首先應該考慮把被保護的網(wǎng)絡由開放的、無邊界的網(wǎng)絡環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡。也只有做到這一 點，實現(xiàn)信息網(wǎng)絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火 墻，可以實現(xiàn)內(nèi)部網(wǎng)

12、（信任網(wǎng)絡）與外部不可信任網(wǎng)絡（如因特網(wǎng)）之間或是內(nèi)部網(wǎng) 不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。目前市場上成熟的防火墻主要有如下幾類， 一類是包過濾型防火墻，一類是 應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的 結合。包過濾防火墻通常基于IP數(shù)據(jù)包的源或目標IP地址、協(xié)議類型、協(xié)議端 口號等對數(shù)據(jù)流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡性 能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用 協(xié)議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息； 其 缺點是對每種應用協(xié)議都需提供相應的代理程序，

13、并且基于代理的防火墻常常會 使網(wǎng)絡性能明顯下降。應指出的是，在網(wǎng)絡安全問題日益突出的今天，防火墻技 術發(fā)展迅速，目前一些領先防火墻廠商已將很多網(wǎng)絡邊緣功能及網(wǎng)管功能集成到 防火墻當中，這些功能有：VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功 能、NAT功能等等。信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是 一個良好的開端，但它只能解決 60%-808的安全問題，其余的安全問題仍有待解 決。這些問題包括信息系統(tǒng)高智能主動性威脅、 后續(xù)安全策略與響應的弱化、系 統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，這 些都是對信息系統(tǒng)安全的挑戰(zhàn)。信息系統(tǒng)的安

14、全應該是一個動態(tài)的發(fā)展過程，應該是一種檢測監(jiān)視 安全響應的循環(huán)過程。動態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡安全風險評估和入侵監(jiān) 測產(chǎn)品正是實現(xiàn)這一目標的必不可少的環(huán)節(jié)。網(wǎng)絡安全檢測是對網(wǎng)絡進行風險評估的重要措施，通過使用網(wǎng)絡安全性分析系統(tǒng)，可以及時發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)， 檢查報告系統(tǒng)存在的弱點、漏洞 與不安全配置，建議補救措施和安全策略，達到增強網(wǎng)絡安全性的目的。入侵檢測系統(tǒng)是實時網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。它位于有敏感數(shù)據(jù)需要 保護的網(wǎng)絡上或網(wǎng)絡上任何有風險存在的地方，通過實時截獲網(wǎng)絡數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問嘗試。 當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權

15、的網(wǎng)絡訪問時， 入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策 略做出反應，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的 安全策略等。另外，使用IP信道加密技術(IPSEC)也可以在兩個網(wǎng)絡結點之間建立透明的 安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數(shù)據(jù)完整性機制。 利用IP封裝凈載(IP ESP)可以實現(xiàn)通信內(nèi)容的保密。IP信道加密技術的優(yōu)點 是對應用透明，可以提供主機到主機的安全服務，并通過建立安全的IP隧道實現(xiàn)虛擬專網(wǎng)即VPN目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡加密機，另外，有些 防火墻也提供相同功能。五、校園網(wǎng)網(wǎng)絡安全解決方案1. 防護體系(1) .基本防護體系(包

16、過濾防火墻+NAT計費)用戶需求：全部或部分滿足以下各項解決內(nèi)外網(wǎng)絡邊界安全， 防止外部攻 擊，保護內(nèi)部網(wǎng)絡解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN 根據(jù)IP地址、協(xié)議類型、端口進行過濾內(nèi)外網(wǎng)絡采用兩套IP地址，需要網(wǎng)絡地 址轉換NAT功能支持安全服務器網(wǎng)絡 SSN 通過IP地址與MAC地址(硬件 位址，用來定義網(wǎng)絡設備的位置)對應防止 IP欺騙基于IP地址計費基于 IP地址的流量統(tǒng)計與限制基于IP地址的黑白名單。防火墻運行在安全操作 系統(tǒng)之上防火墻為獨立硬件防火墻無IP地址解決方案：采用網(wǎng)絡衛(wèi)士防火墻 PL FW1000(2) .標準防護體系(包過濾防火墻+NAT計費+代理+VPN

17、)用戶需求：在基本防護體系配置的基礎之上， 全部或部分滿足以下各項提 供應用代理服務，隔離內(nèi)外網(wǎng)絡用戶身份鑒別權限控制基于用戶計費基 于用戶的流量統(tǒng)計與控制基于 WEB勺安全管理支持VPN及其管理支持透明 接入具有自身保護能力，防范對防火墻的常見攻擊解決方案：1) .選用網(wǎng)絡衛(wèi)士防火墻 PL FW20002) .防火墻基本配置+網(wǎng)絡加密機(IP協(xié)議加密機)(3) .強化防護體系(包過濾+NAT計費+代理+VPN網(wǎng)絡安全檢測+監(jiān)控)用戶需求：在標準防護體系配置的基礎之上， 全部或部分滿足以下各項網(wǎng) 絡安全性檢測（包括服務器、防火墻、主機及其它 TCP/IP相關設備）操作系統(tǒng)安全性檢測網(wǎng)絡監(jiān)控與入

18、侵檢測解決方案：選用網(wǎng)絡衛(wèi)士防火墻PL FW2000網(wǎng)絡安全分析系統(tǒng)+網(wǎng)絡監(jiān)控 器2. 配備完整的、系統(tǒng)的網(wǎng)絡安全設備在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡安全控制和監(jiān)管設備就可杜絕大 部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡版 的防病毒系統(tǒng)等。另外配置安全設備既要考慮到功能，同時也必須考慮性能和可 擴展性，以避免成為網(wǎng)絡的瓶頸。通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡進行系 統(tǒng)的防護、預警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用， 對網(wǎng)絡的故障可以迅速定位并解決。3. 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認證系統(tǒng)校園網(wǎng)絡必須要解決用戶上網(wǎng)身份問題， 而身

19、份認證系統(tǒng)是整個校園網(wǎng)絡安 全體系的基礎的基礎，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡的全校統(tǒng)一身份認證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題， 同時也為校園信息化的各項應用系統(tǒng)提供了安全可靠的保證。4. 嚴格規(guī)范上網(wǎng)場所的管理，集中進行監(jiān)控和管理上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認， 而且，合法用戶上網(wǎng)的 行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務器上， 保證了 這個記錄的法律性和準確性。5. 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能針對目前郵件系統(tǒng)存在的安全隱患，航天聯(lián)志結合國內(nèi)知名的郵件安全系統(tǒng) 提供商美訊智推出了專門針對校園網(wǎng)的郵件安

20、全系統(tǒng)。該系統(tǒng)具有強大的高準確率和低誤報率，使被垃圾郵件的準確率高達 98%而且獨特的策略模塊可以幫助 用戶簡單輕松的視線郵件系統(tǒng)的管理與維護；全面防護針對傳輸層25端口的攻擊，防止郵件地址泄露，保障郵件系統(tǒng)的安全；通過直觀的圖標和多種查詢方式 全面顯示郵件的應用情況并可以及時調(diào)整策略設定。這些優(yōu)秀的功能為校園網(wǎng)的 郵件安全帶來了堅實的防護。6. 根據(jù)相關部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡安全管理制度網(wǎng)絡安全建設是三分設備，七分管理，沒有切實可行的安全保障體系和制 度，網(wǎng)絡安全就變成了空談。隨著網(wǎng)絡技術的迅速發(fā)展和上網(wǎng)用戶對網(wǎng)絡的了解 程度越深，網(wǎng)絡安全的形式就越嚴峻，這也從近幾年互

21、聯(lián)網(wǎng)絡安全問題頻頻出現(xiàn) 得到印證。而網(wǎng)絡安全的技術又是非常復雜和廣泛的，現(xiàn)狀還是道高一尺，魔高一丈，這樣，管理的工作就愈發(fā)重要和艱巨，必須要做到及時進行漏洞修補 和定期詢檢，保證對網(wǎng)絡的監(jiān)控和管理。另外，學校必須頒布網(wǎng)絡行為規(guī)范和具 體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡的隱患。互聯(lián)網(wǎng)絡的飛速發(fā)展，對校園網(wǎng)絡中師生的生活和學習已經(jīng)產(chǎn)生了深遠的影 響，網(wǎng)絡在我們的生活中已經(jīng)無處不在。 但在享受高科技帶來的便捷同時， 我們 需要清醒的認識到，網(wǎng)絡安全問題的日益嚴重也越來越成為網(wǎng)絡應用的巨大阻 礙，校園網(wǎng)絡安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡安全問題，校園網(wǎng)絡的應用

22、才能健康、高速的發(fā)展。網(wǎng)絡拓撲圖：六、實例（一）校園網(wǎng)概況該校園網(wǎng)始建于2000年8月，至今已經(jīng)歷了四個主要發(fā)展階段，網(wǎng)絡覆蓋已遍及現(xiàn)有的教學辦公區(qū)和學生宿舍區(qū)。截止目前，校園網(wǎng)光纜鋪設約一萬二千米，信息點鋪設接近一萬，開設上網(wǎng)帳號 8000多個，辦理學校免費郵箱2000左右。校園網(wǎng)主干現(xiàn)為雙千兆環(huán)網(wǎng)結構。校園網(wǎng)接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網(wǎng)絡性能。校園網(wǎng)現(xiàn)有三條寬帶出口并行接入In ternet，500兆中國電信、100兆中國網(wǎng)通和100兆中國教育科研網(wǎng)，通過合理的路由策略，為校園網(wǎng)用戶提供了良好的出口帶寬。校園網(wǎng)資源建設成效顯著，現(xiàn)有資源服務包括大學門戶網(wǎng)站、 新聞網(wǎng)

23、站、各學院和職能 部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務、電子校務、畢博輔助教學平臺、在線電視、VOD點播、音樂欣賞、公用 FTP、文檔下載、軟件下載、知識園地、站點導航、在線幫助、系統(tǒng)補丁、網(wǎng)絡安全、個人主頁、計費服務、VPN、DHCP、域名服務等。還有外語學習平臺，圖多的資源服務構成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務。校園網(wǎng)安全需求分析將安全策略、硬件及軟件等方法結合起來，構成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡，減少網(wǎng)絡的安全風險。定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

24、使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。通過對校園網(wǎng)網(wǎng)絡結構、 應用及安全威脅分析， 可以看出其安全問題主要集中在對服務器的 安全保護、防黑客和病毒、重要網(wǎng)段的保護以及管理安全上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：公開服務器的安全保護防止黑客從外部攻擊入侵檢測與監(jiān)控信息審計與記錄病毒防護數(shù)據(jù)安全保護 數(shù)據(jù)備份與恢復網(wǎng)絡的安全管理針對這個企業(yè)局域網(wǎng)絡系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設計時應滿足如下要求：1大幅

25、度地提高系統(tǒng)的安全性（重點是可用性和可控性）；2保持網(wǎng)絡原有的能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡設置；3易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；4盡量不影響原網(wǎng)絡拓撲結構，同時便于系統(tǒng)及系統(tǒng)功能的擴展；5安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；6安全產(chǎn)品具有合法性，及經(jīng)過國家有關管理部門的認可或認證；7分布實施。（二）產(chǎn)品選型和網(wǎng)絡拓撲圖介紹該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機RG-S5750S系列，24端口 10/100/1000M自適應端口（支持PoE遠程供電），12個復用的SFP接口，2個擴展槽。支持 4K個80

26、2.1Q VLAN 支持 Super VLAN、支持 Protocol VLAN、支持 Private VLAN、支持 Voice VLAN（*）、支 持基于 MAC地址的VLAN（*）、支持 QinQ、支持STP、RSTP、MSTP。防火墻采用深信服 M5400VPN防火墻。2個LAN 口，4個WAN 口，2個串口 。IPSec VP N隧道數(shù)：5200條併發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會話數(shù)：500/ 最大并發(fā)會話數(shù)目：600,000。接入層采用 H3C S1048交換機，提供48個符合IEEE802.3 u標準的10/100M自適應以太網(wǎng)接口，所有端口均支持全

27、線速無阻塞交換以及端口自動翻轉功能，外形采用19英寸標準機架設計。符合IEEE802.3、IEEE802.3U和IEEE802.3x標準；提供48個10/100M自適應以太網(wǎng)端口；每個端口都支持 Auto-MDI/MDIX 功能；每個端口都 提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。校園網(wǎng)拓撲圖:嚴尸鼻性ChinamtCemetCNCPJ6506Z4RJ650(AT#A,#tt“ 一 轉壞* AH* m* 筆 WB 爭櫛 1，MM： 一 ftJEMK 一靈ica-snfrtf HOK戸 Z.#* “:二黑磁IS辦塚 一* AA-ttCRlt字生咼會冋:SKB辦蚣喝齦f電懂 f

28、 Afli Q JSf Afffr（四、五、）操作系統(tǒng)安全配置與測試，WWW配置與測試。操作系統(tǒng)采用server 03 ，并在其上配置IIS、WWWDHCP DNS等。配置圖例如下:然后建立網(wǎng)站文件夾目錄:趣歸區(qū)ii： (4 *也固 SI3 ijja丄Itfti -Fiji.m叩爲輒FTP尅21:：擴! YId加將誹熾1莉十和國鬥!mF粘.血罰性辭關如占 ?nn田dmi附輛關認snip im 癢is師251詁訊崛廟OftUrniPmSB 正匪ii悻翻槪*的醫(yī)&蚪開ip團腔肴醫(yī)* 帥間IF SO務毎jJ稈叫曲站Muiilh性能與目錄安全性配置:iMrniLBia KjS I 員 | Kan 杲0

29、8 | 主冃* | XQSl| wn 頭 | B*ar名 3 閆 glf&My 名左iTf 址曳g!Mo課倉黑醫(yī)湍AczWear皿It ftq口潔i負.r出K.4m cr址址筍|l I6t D 1比 ab 站.C應陽血 o su n)q：J:ttUflf U iEl 13:1苦#軒爐覽蹄僅麗駅 m可以通過IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號燈多種方法來提高WW服務器的安全性。通過局域網(wǎng)網(wǎng)內(nèi)不同主機對服務器的訪問來測試配置情況。（六）、防病毒體系設計防病毒體系總體規(guī)劃：防病毒系統(tǒng)不僅是檢測和清除病毒，還應加強對病毒的防護工作，在網(wǎng)絡中不僅要部署被動防御體系（防病毒系統(tǒng)）還要采用主動防

30、御機制（防火墻、安全策略、漏洞修復等），將病毒隔離在網(wǎng)絡大門之外。通過管理控制臺統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個廣域網(wǎng)安全無毒，首先要保證每一個局域網(wǎng)的安全無毒。也就是說，一個企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的。應該根據(jù)每個局域網(wǎng)的防病毒要求， 建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。從總部到分支機構，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結合，最終形成一個立體的、完整的病毒防護體系。1. 構建控管中心集中管理架構保證網(wǎng)絡中的所有客戶端計算機、 服務器可

31、以從管理系統(tǒng)中及時得到更新， 同時系統(tǒng)管理人 員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被系統(tǒng)管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。2. 構建全方位、多層次的防毒體系結合企業(yè)實際網(wǎng)絡防毒需求，構建了多層次病毒防線，分別是網(wǎng)絡層防毒、郵件網(wǎng)關防毒、 Web網(wǎng)關防毒、群件防毒、應用服務器防毒、客戶端防毒，保證斬斷病毒可以傳播、寄生 的每一個節(jié)點，實現(xiàn)病毒的全面布控。3. 構建高效的網(wǎng)關防毒子系統(tǒng)網(wǎng)關防毒是最重要的一道防線，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應用的病毒風險，同時對郵件中的

32、關鍵字、垃圾郵件進行阻擋，有 效阻斷病毒最主要傳播途徑。4. 構建高效的網(wǎng)絡層防毒子系統(tǒng)企業(yè)中網(wǎng)絡病毒的防范是最重要的防范工作，通過在網(wǎng)絡接口和重要安全區(qū)域部署網(wǎng)絡病毒系統(tǒng)，在網(wǎng)絡層全面消除外來病毒的威脅，使得網(wǎng)絡病毒不再肆意傳播，同時結合病毒所利用的傳播途徑，結合安全策略進行主動防御。5. 構建覆蓋病毒發(fā)作生命周期的控制體系當一個惡性病毒入侵時，防毒系統(tǒng)不僅僅使用病毒代碼來防范病毒，而是具備完善的預警機制、清除機制、修復機制來實現(xiàn)病毒的高效處理，特別是對利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個網(wǎng)絡的新型病毒具有很好的防護手段。防毒系統(tǒng)在病毒代碼到來之前，可以通過網(wǎng)關可疑信息過濾、端口屏蔽、共享控

33、制、重要文件/文件夾寫保護等多種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來后又沒有擴散的途徑。在清除與修復階段又可 以對發(fā)現(xiàn)的病毒高效清除，快速恢復系統(tǒng)至正常狀態(tài)。6. 病毒防護能力防病毒能力要強、產(chǎn)品穩(wěn)定、操作系統(tǒng)兼容性好、占用系統(tǒng)資源少、不影響應用程序的正常運行，減少誤報的幾率。7. 系統(tǒng)服務系統(tǒng)服務是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒體系建立起來之后，能否對病毒進行有效的防范，與病毒廠商能否提供及時、全面的服務有著極為重要的關系。這一方面要求軟件提供商要有全球化的防毒體系為基礎，另一方面也要求廠商能有精良的本地化技術人員作依托，不管是對系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的

34、可疑文件，都能進行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網(wǎng)絡安全事件，需要防病毒廠商具有較強的應急處理能力及售后服務保障，并且做出具體、詳細的應急處理機制計劃表和完善的售后服務保障體系。防病毒體系的管理功能：防病毒系統(tǒng)能夠?qū)崿F(xiàn)分級、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網(wǎng)定時/定級查殺病毒、全網(wǎng)遠程查殺策略設置、遠程報警、移動式管理、集中式授權管理、全面監(jiān) 控主流郵件服務器、全面監(jiān)控郵件客戶端、統(tǒng)一的管理界面，直接監(jiān)視和操縱服務器端/客戶端，根據(jù)實際需要，添加自定義任務（例如更新和掃描任務等），支持大型網(wǎng)絡統(tǒng)一管理的多級中心系統(tǒng)等多種復雜的管理功能。8. 資源占用率防病毒系統(tǒng)進

35、行實時監(jiān)控或多或少地要占用部分系統(tǒng)資源，這就不可避免地要帶來系統(tǒng)性能的降低。尤其是對郵件、網(wǎng)頁和FTP文件的監(jiān)控掃描，由于工作量相當大，因此對系統(tǒng)資源的占用較大。因此，防病毒系統(tǒng)占用系統(tǒng)資源要較低，不影響系統(tǒng)的正常運行。8. 系統(tǒng)兼容性防病毒系統(tǒng)要具備良好的兼容性，將支持以下操作系統(tǒng)：Win dows NT、Win dows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux 等 X86 和X64架構的操作系統(tǒng)。9. 病毒庫組件升級防病毒系統(tǒng)提供多種升級方式以及自動分發(fā)的功能，支持多種網(wǎng)絡連接方式，具有升級方便、更新及時等特點，管理員可以十分輕松地按照預先設定的升級方式實現(xiàn)全網(wǎng)內(nèi)的統(tǒng)一升級， 減少病毒庫增量升級對網(wǎng)絡資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計算機上，時刻保證病毒庫都是最新的，且版本一致，杜絕因版本不一致而可能造成的安 全漏洞和安全隱患。10