校園網(wǎng)絡(luò)安全方案及對(duì)策

1、-. z.校園網(wǎng)絡(luò)安全設(shè)計(jì)方案一、安全需求網(wǎng)絡(luò)現(xiàn)狀隨著信息技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)信息的海量增加，校園網(wǎng)的安全形勢(shì)日益嚴(yán)峻，目前校園網(wǎng)安全防護(hù)體系還存在一些問題，主要體現(xiàn)在：網(wǎng)絡(luò)的安全防御能力較低，受到病毒、黑客的影響較大，對(duì)移動(dòng)存儲(chǔ)介質(zhì)的上網(wǎng)監(jiān)測(cè)手段不足，缺少綜合、高效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控手段，削弱了網(wǎng)絡(luò)應(yīng)用的可靠性。因此，急需建立一套多層次的安全管理體系，加強(qiáng)校園網(wǎng)的安全防護(hù)和監(jiān)控能力，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)安全基礎(chǔ)。經(jīng)調(diào)查，現(xiàn)有校園網(wǎng)絡(luò)拓?fù)鋱D如下：應(yīng)用和信息點(diǎn)樓號(hào)該樓用途每層主機(jī)數(shù)層數(shù)每棟信息點(diǎn)總數(shù)實(shí)現(xiàn)功能3行政，辦公，網(wǎng)絡(luò)中心504200主要以校領(lǐng)導(dǎo)、財(cái)務(wù)、人事為主要用戶。主要

2、是網(wǎng)絡(luò)中心、計(jì)算機(jī)機(jī)房、網(wǎng)絡(luò)實(shí)驗(yàn)室為主。網(wǎng)絡(luò)中心負(fù)責(zé)網(wǎng)絡(luò)維護(hù)，管理，中心設(shè)有、電子、精品課程、FTP資源、辦公系統(tǒng)以及視頻點(diǎn)播等服務(wù)器。20圖書館1005500對(duì)圖書館各類圖書進(jìn)行管理，對(duì)圖書資料進(jìn)行處理。建立電子閱覽室為學(xué)生更快更好的查閱各類圖書。主要以文件傳輸、視頻傳輸為主。7（1,2,11,16）教學(xué)樓10-200不等7150主要是多媒體教室。能夠?qū)崿F(xiàn)多媒體教學(xué)，快速地獲取網(wǎng)上資源4（5,6,8,9,1012,13,14，15,16,17）宿舍18071200能夠較快地獲取網(wǎng)上資源，擁有語(yǔ)音布線1.2.現(xiàn)有安全技術(shù)1操作系統(tǒng)和應(yīng)用軟件自身的身份認(rèn)證功能，實(shí)現(xiàn)訪問限制。2定期對(duì)重要數(shù)據(jù)進(jìn)行

3、備份數(shù)據(jù)備份。3每臺(tái)校園網(wǎng)電腦安裝有防毒殺毒軟件。1.3.安全需求1構(gòu)建涵蓋校園網(wǎng)所有入網(wǎng)設(shè)備的病毒立體防御體系。計(jì)算機(jī)終端防病毒軟件能及時(shí)有效地發(fā)現(xiàn)、抵御病毒的攻擊和徹底清除病毒，通過計(jì)算機(jī)終端防病毒軟件實(shí)現(xiàn)統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫(kù)的更新。2. 建立全天候監(jiān)控的網(wǎng)絡(luò)信息入侵檢測(cè)體系在校園網(wǎng)關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)時(shí)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進(jìn)行監(jiān)測(cè)和報(bào)警。3. 建立高效可靠的網(wǎng)安全管理體系只有解決網(wǎng)絡(luò)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，網(wǎng)安全管理體系可以從技術(shù)層面幫助網(wǎng)管人員處理好繁雜的客戶端問題。4. 建立虛擬專用網(wǎng)(VPN)和專用通道使用VPN網(wǎng)關(guān)設(shè)備和相關(guān)技

4、術(shù)手段，對(duì)性要求較高的用戶建立虛擬專用網(wǎng)。二安全設(shè)計(jì)11設(shè)計(jì)原則根據(jù)防安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照SSE-CMM(系統(tǒng)安全工程能力成熟模型)和ISO17799(信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn)，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防體系在整體設(shè)計(jì)過程中應(yīng)遵循以下9項(xiàng)原則：1網(wǎng)絡(luò)信息安全的木桶原則網(wǎng)絡(luò)信息安全的木桶原則是指對(duì)信息均衡、全面的進(jìn)行保護(hù)。木桶的最大容積取決于最短的一塊木板”。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的

5、復(fù)雜性、資源共享性使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的最易滲透原則”，必然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析，評(píng)估和檢測(cè)（包括模擬攻擊）是設(shè)計(jì)信息安全系統(tǒng)的必要前提條件。安全機(jī)制和安全服務(wù)設(shè)計(jì)的首要目的是防止最常用的攻擊手段，根本目的是提高整個(gè)系統(tǒng)的安全最低點(diǎn)的安全性能。2網(wǎng)絡(luò)信息安全的整體性原則要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。因此，信息安全系統(tǒng)應(yīng)該包括安全防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護(hù)措施，避免非法攻擊的進(jìn)行。安

6、全檢測(cè)機(jī)制是檢測(cè)系統(tǒng)的運(yùn)行情況，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊。安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和盡量、及時(shí)地恢復(fù)信息，減少供給的破壞程度。3安全性評(píng)價(jià)與平衡原則對(duì)任何網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的，所以需要建立合理的實(shí)用安全性與用戶需求評(píng)價(jià)與平衡體系。安全體系設(shè)計(jì)要正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。評(píng)價(jià)信息是否安全，沒有絕對(duì)的評(píng)判標(biāo)準(zhǔn)和衡量指標(biāo)，只能決定于系統(tǒng)的用戶需求和具體的應(yīng)用環(huán)境，具體取決于系統(tǒng)的規(guī)模和圍，系統(tǒng)的性質(zhì)和信息的重要程度。4標(biāo)準(zhǔn)化與一致性原則系統(tǒng)是一個(gè)龐大的系統(tǒng)工程，其安全體系的設(shè)計(jì)必須遵循一系列的

7、標(biāo)準(zhǔn)，這樣才能確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。5技術(shù)與管理相結(jié)合原則安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，涉及人、技術(shù)、操作等要素，單靠技術(shù)或單靠管理都不可能實(shí)現(xiàn)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。6統(tǒng)籌規(guī)劃，分步實(shí)施原則由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時(shí)間的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位，可在一個(gè)比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡(luò)的實(shí)際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加，調(diào)整或增強(qiáng)安全防護(hù)力

8、度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。7等級(jí)性原則等級(jí)性原則是指安全層次和安全級(jí)別。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息程度分級(jí)，對(duì)用戶操作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。 8動(dòng)態(tài)發(fā)展原則要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。9易操作性原則首先，安全措施需要人為去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。1.2.物理層設(shè)

9、計(jì)1物理位置選擇機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑；機(jī)房的承重要求應(yīng)滿足設(shè)計(jì)要求；機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機(jī)房場(chǎng)地應(yīng)當(dāng)避開強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。2.物理訪問控制有人值守機(jī)房出入口應(yīng)有專人值守，鑒別進(jìn)入的人員身份并登記在案；無人值守的機(jī)房門口應(yīng)具備告警系統(tǒng)；應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來訪人員，限制和監(jiān)控其活動(dòng)圍；應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過渡區(qū)域。服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間，并且監(jiān)視器要保留15天以上的攝像記錄。機(jī)箱，鍵

10、盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全的地方。在自己的辦工桌上安上筆記本電腦安全鎖，以防止筆記本電腦的丟失。3防盜竊和防破壞應(yīng)將相關(guān)服務(wù)器放置在物理受限的圍；應(yīng)利用光、電等技術(shù)設(shè)置機(jī)房的防盜報(bào)警系統(tǒng)，以防進(jìn)入機(jī)房的盜竊和破壞行為；應(yīng)對(duì)機(jī)房設(shè)置監(jiān)控報(bào)警系統(tǒng)。4.防雷擊機(jī)房建筑應(yīng)設(shè)置避雷裝置；應(yīng)設(shè)置防雷保安器，防止感應(yīng)雷；應(yīng)設(shè)置交流電源地線。5.防火應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，自動(dòng)檢測(cè)火情，自動(dòng)報(bào)警，并自動(dòng)滅火；機(jī)房及相關(guān)的工作房間和輔助房，其建筑材料應(yīng)具有耐火等級(jí)。6.防水和防潮水管安裝不得穿過屋頂和活動(dòng)地板下；應(yīng)對(duì)穿過墻壁和樓板的水管增加必要的保護(hù)措施，如設(shè)置套

11、管；應(yīng)采取措施防止雨水通過屋頂和墻壁滲透；應(yīng)采取措施防止室水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。7.防靜電應(yīng)采用必要的接地等防靜電措施；應(yīng)采用防靜電地板。8.溫濕度控制應(yīng)設(shè)置恒溫恒濕系統(tǒng)，使機(jī)房溫、濕度的變化在設(shè)備運(yùn)行所允許的圍之。防塵和有害氣體控制；機(jī)房中應(yīng)無爆炸、導(dǎo)電、導(dǎo)磁性及腐蝕性塵埃；機(jī)房中應(yīng)無腐蝕金屬的氣體；機(jī)房中應(yīng)無破壞絕緣的氣體。9.電力供應(yīng)機(jī)房供電應(yīng)與其他市電供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護(hù)設(shè)備；應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機(jī)），以備常用供電系統(tǒng)停電時(shí)啟用。10.電磁防護(hù)要求應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線

12、和通信線纜應(yīng)隔離，避免互相干擾。1.3網(wǎng)絡(luò)層設(shè)計(jì)1防火墻技術(shù)建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的防火墻技術(shù)是目前應(yīng)用最廣泛的防護(hù)技術(shù)在邏輯上，它既是一個(gè)分離器也是一個(gè)限制器，同時(shí)它還是一個(gè)分析器，通過設(shè)置在異構(gòu)網(wǎng)絡(luò)(如可信的校園網(wǎng)與不可信的公共網(wǎng))之間的一系列部件的組合有效監(jiān)控部網(wǎng)與外層網(wǎng)絡(luò)之間的信息流動(dòng)，使得只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過，保證了網(wǎng)環(huán)境的安全，如圖1所示作為校園網(wǎng)安全的屏障，防火墻是連接、外層網(wǎng)絡(luò)之間信息的唯一出入口，根據(jù)具體的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計(jì)等的所有安全軟件配置在防火墻上以便對(duì)網(wǎng)絡(luò)存

13、取和訪問進(jìn)行監(jiān)控審計(jì)同時(shí)利用防火墻的日志記錄功能做好備份，提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)2.虛擬專網(wǎng)(VPN)技術(shù)對(duì)于從專線連接的外部網(wǎng)絡(luò)用戶，采用虛擬專網(wǎng)(VPN)技術(shù)，它使架設(shè)于公眾網(wǎng)絡(luò)上的園區(qū)網(wǎng)使用信道協(xié)議及相關(guān)的安全程序進(jìn)行，還可以采用點(diǎn)對(duì)點(diǎn)協(xié)議、加密后送出資料及加密收發(fā)兩端網(wǎng)絡(luò)位置等措施使虛擬專網(wǎng)更加可靠。3.身份認(rèn)證技術(shù)對(duì)于撥號(hào)進(jìn)入園區(qū)網(wǎng)的用戶進(jìn)行嚴(yán)格控制，在撥號(hào)線路上加裝機(jī)，使無機(jī)的用戶無法撥通；通過用戶名和口令的認(rèn)真檢查用戶身份；利用回?fù)芗夹g(shù)再次確認(rèn)和限制非法用戶的入侵。4加密技術(shù)在外部網(wǎng)絡(luò)的數(shù)據(jù)傳輸過程中，采用密碼技術(shù)對(duì)信息加密是最常用的安全保護(hù)手段。目前廣泛使用的有對(duì)稱算法和非

14、對(duì)稱算法兩類加密算法，兩種方法結(jié)合使用，加上數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字水印及數(shù)字證書等技術(shù)，可以使通信安全得到保證。為存放秘密信息的服務(wù)器加裝密碼機(jī)，對(duì)園區(qū)網(wǎng)上傳輸?shù)拿孛苄畔⒓用?，以?shí)現(xiàn)秘密數(shù)據(jù)的安全傳輸。5物理隔離公共網(wǎng)絡(luò)及因特網(wǎng)上黑客日益猖獗，加上我國(guó)使用的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備的軟硬件產(chǎn)品大多數(shù)是進(jìn)口的，安全上沒有很好的保證，因而將外部網(wǎng)絡(luò)中的因特網(wǎng)與專用網(wǎng)絡(luò)如軍用網(wǎng)實(shí)現(xiàn)物理隔離，使之沒有任何連接，可以使園區(qū)網(wǎng)與外部專用網(wǎng)絡(luò)連接時(shí)，園區(qū)網(wǎng)與Internet無物理聯(lián)系在安全上較為穩(wěn)妥。6防毒網(wǎng)關(guān)防火墻無法防止病毒的傳播，因而需要安裝基于Internet網(wǎng)關(guān)的防毒軟件，具體可以安裝到代理服務(wù)器上，

15、以防止Internet病毒及Java程序?qū)ο到y(tǒng)的破壞。7.網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)當(dāng)園區(qū)網(wǎng)部主機(jī)與外部相連時(shí)，使用同一IP地址；相反，外部網(wǎng)絡(luò)與園區(qū)網(wǎng)主機(jī)連接時(shí)，必須通過網(wǎng)關(guān)映射到園區(qū)網(wǎng)主機(jī)上。它使外部看不到園區(qū)網(wǎng)，從而隱藏部網(wǎng)絡(luò)，達(dá)到作用，同時(shí)，它還可以解決IP地址的不足。8.代理服務(wù)及路由器可以根據(jù)設(shè)置地址、服務(wù)、容等要素來控制用戶的訪問，代理服務(wù)器及路由器起訪問的中介作用，使園區(qū)網(wǎng)和外部網(wǎng)絡(luò)間不能直接訪問，從而保證部關(guān)鍵信息的安全。9.安全掃描可以通過各種安全掃描軟件對(duì)系統(tǒng)進(jìn)行檢測(cè)與分析，迅速找到安全漏洞并加以修復(fù)。目前有多種軟件可以對(duì)設(shè)備進(jìn)行掃描，檢查它們的弱點(diǎn)并生成報(bào)表。10.入侵檢測(cè)可以采

16、用一些安全產(chǎn)品對(duì)網(wǎng)絡(luò)上流動(dòng)的數(shù)據(jù)包進(jìn)行檢查，識(shí)別非法入侵和其它可疑行為，并給予及時(shí)的響應(yīng)及防護(hù)。如下圖所示。11.用戶的身份認(rèn)證用戶入網(wǎng)訪問控制分為三步，即用戶名的驗(yàn)證；用戶口令的驗(yàn)證；用戶的驗(yàn)證。用戶口令是入網(wǎng)的關(guān)鍵，必須經(jīng)過加密，用戶還可采用一次一密的方法，或者使用智能卡來驗(yàn)證用戶身份。同時(shí)，可將用戶與所用的計(jì)算機(jī)聯(lián)系起來，使用戶用固定的計(jì)算機(jī)上網(wǎng)，以減少用戶的流動(dòng)性，加強(qiáng)管理。12.權(quán)限控制這是針對(duì)網(wǎng)絡(luò)非法操作提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其它資源及用戶可執(zhí)行的操作。13.客戶端安全防護(hù)首先，應(yīng)切斷病毒傳播的途徑

17、，降低感染病毒的風(fēng)險(xiǎn)；其次，使用的瀏覽器必須確保符合安全標(biāo)準(zhǔn)，使客戶端的工作站得到安全保證。14.安全檢測(cè)使用安全檢測(cè)和掃描軟件對(duì)網(wǎng)絡(luò)設(shè)備和客戶端工作站進(jìn)行檢測(cè)和分析，查找安全漏洞并加以修復(fù)，使用防病毒軟件進(jìn)行病毒查找和殺毒工作。加密，訪問控制，數(shù)字簽名，入侵檢測(cè)，掃描，物理隔離，安全協(xié)議1.4傳輸層安全操作系統(tǒng)是整個(gè)園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，因而必須采取措施保證操作系統(tǒng)平臺(tái)的安全。安全措施主要包括：采用安全性較高的系統(tǒng)，對(duì)系統(tǒng)文件加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測(cè)等。1.采用安全性較高的系統(tǒng)美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)安全等級(jí)分為D1、C1、C2、B1、B2、B3、A級(jí)

18、，安全等級(jí)由低到高，目前主要的操作系統(tǒng)等級(jí)為C2級(jí)。在使用C2級(jí)系統(tǒng)時(shí)，應(yīng)盡量使用C2級(jí)的安全措施及功能，對(duì)操作系統(tǒng)進(jìn)行安全配置。在極端重要的園區(qū)網(wǎng)系統(tǒng)中，應(yīng)采用B級(jí)操作系統(tǒng)。2.加密技術(shù)對(duì)操作系統(tǒng)中*些重要的文件進(jìn)行加密，防止非法出版的讀取及修改。3.病毒的防在園區(qū)網(wǎng)主機(jī)上安裝防病毒軟件，對(duì)病毒進(jìn)行定時(shí)或?qū)崟r(shí)的病毒掃描及檢測(cè)，對(duì)防病毒軟件進(jìn)行及時(shí)升級(jí)以發(fā)現(xiàn)和殺滅新型的病毒。4.安全掃描通過對(duì)園區(qū)網(wǎng)主機(jī)進(jìn)行一系列設(shè)置和掃描，對(duì)系統(tǒng)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果，為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告，對(duì)系統(tǒng)進(jìn)行及時(shí)升級(jí)以彌補(bǔ)漏洞及關(guān)閉后門”。5.入侵檢測(cè)安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，可檢查操作系統(tǒng)

19、日志和其它系統(tǒng)特征，判斷入侵事件，在非法修改主頁(yè)時(shí)自動(dòng)作出反應(yīng)，對(duì)已入侵的訪問和試圖入侵的訪問進(jìn)行跟蹤記錄，并及時(shí)通知系統(tǒng)管理員，使管理員可對(duì)網(wǎng)絡(luò)的各種活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)視。1.5應(yīng)用層安全1.蠕蟲過濾蠕蟲可以利用電子、文件傳輸?shù)确绞竭M(jìn)行擴(kuò)散，也可以利用系統(tǒng)的漏洞發(fā)起動(dòng)態(tài)攻擊。病毒防御體系可以根據(jù)蠕蟲的特點(diǎn)實(shí)行多層次處理，在網(wǎng)絡(luò)層和傳輸層過濾蠕蟲利用漏洞的動(dòng)態(tài)攻擊數(shù)據(jù)，在應(yīng)用層過濾利用正常協(xié)議(SMTP、HTTP、POP3、FTP)傳輸?shù)撵o態(tài)蠕蟲代碼。2.病毒過濾對(duì)于網(wǎng)頁(yè)瀏覽(HTTP協(xié)議)、文件傳輸(FTP協(xié)議)、傳輸(SMTP、POP3協(xié)議)等病毒，基于專門的病毒引擎進(jìn)行查殺。對(duì)于病毒，可以定

20、義對(duì)病毒的處理方式，決定清除病毒、刪除附件、丟棄等操作，發(fā)現(xiàn)病毒時(shí)通知管理員、收件人、發(fā)件人等操作。3.垃圾過濾垃圾類型大致可以分為以下四種類型：頭部包含垃圾特征的;容包含垃圾特征的;使用Open Relay主機(jī)發(fā)送的垃圾(Open Relay方式的SMTP服務(wù)器被利用向任何地址發(fā)送的垃圾);頭部和容都無法提取特征的垃圾。病毒防御體系按照協(xié)議特征對(duì)數(shù)據(jù)包進(jìn)行分析、重組及解碼，按照安全規(guī)則通過智能分析對(duì)SMTP連接、IP地址、地址、數(shù)據(jù)容進(jìn)行處理?？梢韵拗艻P地址、地址、數(shù)量、大小;對(duì)標(biāo)題、正文、附件、包含特定關(guān)健字的進(jìn)行過濾;對(duì)特定頭信息、發(fā)送者地址、接收者地址、域名等進(jìn)行過濾;支持對(duì)偽裝過濾

21、。4.容過濾支持對(duì)關(guān)鍵字、附件文件類型進(jìn)行過濾，通過定義可信或不可信的URL并進(jìn)行過濾，可以選擇對(duì)網(wǎng)頁(yè)腳本進(jìn)行過濾、對(duì)傳輸?shù)男畔⑦M(jìn)行智能識(shí)別過濾，防止敏感信息的侵?jǐn)_和擴(kuò)散。1.6.管理層安全1. 制定一套嚴(yán)謹(jǐn)嚴(yán)格的操作守則。要求網(wǎng)管人員嚴(yán)格按照守則進(jìn)行管理工作，2加強(qiáng)網(wǎng)絡(luò)管理人員的培訓(xùn)。定期對(duì)網(wǎng)管人員進(jìn)行培訓(xùn)，并出外考察，多增長(zhǎng)與時(shí)俱進(jìn)的網(wǎng)管技術(shù)三、材料清單和工程設(shè)計(jì)3.1材料清單項(xiàng)目型號(hào)用途數(shù)量中心交換機(jī)RG-S6806中心交換機(jī)2臺(tái)防火墻RG-WALL100確保信息安全2臺(tái)路由器TP-LINK TL-WR841N連接外網(wǎng)1臺(tái)VPN網(wǎng)關(guān)CyLan SME-500虛擬專用隧道網(wǎng)絡(luò)集成于防火墻IDS入侵檢測(cè)一套3.2設(shè)計(jì)方案四、施工4.1病毒立體防御體系的構(gòu)建與實(shí)施包括兩個(gè)方面的容：一是在部網(wǎng)絡(luò)設(shè)置防病毒管理與分發(fā)服務(wù)器，各終端計(jì)算機(jī)與服務(wù)器通過網(wǎng)絡(luò)相連，形成部網(wǎng)絡(luò)的病毒防御系統(tǒng)。二是設(shè)置網(wǎng)關(guān)防病毒系統(tǒng)，對(duì)網(wǎng)絡(luò)的出入口數(shù)據(jù)流量進(jìn)行病毒掃描和過濾。1.設(shè)置防病毒管理與分發(fā)服務(wù)器校園網(wǎng)的防病毒管理與分發(fā)服務(wù)器與上級(jí)信息管理中心的防病毒控制中心服務(wù)器網(wǎng)絡(luò)相連，直