校園網(wǎng)絡管理及信息安全解決實施方案

1、.PAGE . 完美WORD格式 整理分享 XX金融學院校園網(wǎng)絡管理與信息安全解決方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc359100942摘要1HYPERLINK l _Toc359100943一概述1HYPERLINK l _Toc359100944二對當前校園網(wǎng)絡現(xiàn)狀的研究分析1HYPERLINK l _Toc359100945三XX金融學院網(wǎng)絡拓撲圖 PAGEREF _Toc359100945 h 2HYPERLINK l _Toc359100946四校園網(wǎng)主要面臨的安全威脅 PAGEREF _Toc359100946 h 2HYPERLINK l

2、_Toc3591009474.1 計算機病毒破壞 PAGEREF _Toc359100947 h 2HYPERLINK l _Toc3591009484.2 校園網(wǎng)絡設備管理不健全 PAGEREF _Toc359100948 h 3HYPERLINK l _Toc3591009494.3 計算機系統(tǒng)漏洞 PAGEREF _Toc359100949 h 3HYPERLINK l _Toc3591009504.4 用戶對校園網(wǎng)網(wǎng)絡資源的濫用 PAGEREF _Toc359100950 h 4HYPERLINK l _Toc3591009514.5 校園網(wǎng)安全管理制度缺失 PAGEREF _Toc3

3、59100951 h 4HYPERLINK l _Toc3591009524.6 網(wǎng)絡管理者和使用者的安全技術能力低 PAGEREF _Toc359100952 h 4HYPERLINK l _Toc359100953五網(wǎng)絡安全解決方案設計 PAGEREF _Toc359100953 h 5HYPERLINK l _Toc3591009545.1 身份認證 PAGEREF _Toc359100954 h 5HYPERLINK l _Toc3591009555.2 部署網(wǎng)絡防病毒系統(tǒng) PAGEREF _Toc359100955 h 5HYPERLINK l _Toc3591009565.3 防止

4、IP地址盜用和ARP攻擊 PAGEREF _Toc359100956 h 5HYPERLINK l _Toc3591009575.4 設置漏洞管理系統(tǒng) PAGEREF _Toc359100957 h 6HYPERLINK l _Toc3591009585.5 設置防火墻保護網(wǎng)絡安全 PAGEREF _Toc359100958 h 6HYPERLINK l _Toc3591009595.6 設置WEB應用防護系統(tǒng) PAGEREF _Toc359100959 h 7HYPERLINK l _Toc3591009605.7 定期對服務器進行備份和維護 PAGEREF _Toc359100960 h

5、7HYPERLINK l _Toc3591009615.8 加強校園管理 PAGEREF _Toc359100961 h 7HYPERLINK l _Toc359100962六結束語 PAGEREF _Toc359100962 h 8HYPERLINK l _Toc359100963參考文獻 PAGEREF _Toc359100963 h 8.摘要：隨著信息技術的不斷發(fā)展,網(wǎng)絡安全已成為一個不可忽視的問題。而校園網(wǎng)絡的安全是一個普遍存在較為復雜的系統(tǒng)工程,需要引起每個使用校園網(wǎng)的人足夠的重視并全方位地加以防范本文針對目前校園網(wǎng)面臨的現(xiàn)狀進行了分析。列舉出了影響校園網(wǎng)安全的主要因素,并提出了解決

6、方案。關鍵詞 校園網(wǎng)絡 網(wǎng)絡安全 網(wǎng)絡安全措施 解決方案一 概述隨著信息化程度的提高,計算機網(wǎng)絡得到了飛速發(fā)展,校園網(wǎng)絡信息化也逐步發(fā)展起來了。而高校校園信息化建設工作的整體推進, 應用系統(tǒng)的整合、統(tǒng)一門戶平臺的實施、數(shù)據(jù)存儲中心的建立以及各種信息的共享與交流, 都需要切實做好校園網(wǎng)絡安全體系建設, 建立事故預警機制,做好善后處理工作, 結合硬件、軟件, 采取各種技術措施, 建立一個基于管理措施和多種技術的高校校園網(wǎng)絡安全體系, 確保校園信息化各類基礎設施不受來自網(wǎng)內(nèi)和網(wǎng)外用戶非法訪問和破壞, 管理內(nèi)部用戶對外部資源的合法訪問, 全面做好校園信息化的安全保衛(wèi)工作。保證校園內(nèi)外信息資料順暢的交流

7、, 面對校園網(wǎng)絡中的種種安全威脅,必須采取及時有效的措施來解決。二對當前校園網(wǎng)絡現(xiàn)狀的研究分析當前校園網(wǎng)絡普遍面臨著網(wǎng)絡規(guī)模大,設備多。從網(wǎng)絡結構上看,可分為核心、匯聚和接入3個層次,包含很多的路由器,交換機等網(wǎng)絡設備和服務器、微機等主機設備等問題。校園網(wǎng)通常是雙出口結構,分別與 Cerner、Internet 互聯(lián)。而且用戶種類豐富。不同用戶對網(wǎng)絡功能的要求不同。教學區(qū)和辦公區(qū)要求局域網(wǎng)絡共享,實現(xiàn)基于網(wǎng)絡的應用,并能接入INTERNET。學生區(qū)主要是接入INTERNET的需求。應用系統(tǒng)豐富。校園網(wǎng)單位眾多,有很多基于局域網(wǎng)的應用,如多媒體教學系統(tǒng),圖書館管理系統(tǒng),學生檔案管理系統(tǒng),財務處理

8、系統(tǒng)等。這些應用之間互相隔離。還有很多基于INTERTNET的應用,如WWW、E-MAIL等,需要和INTERNET的交互。各種應用服務器,如DNS,WWW,E-MAIL,FTP等與核心交換機高速連接,對內(nèi)外網(wǎng)提供服務。三XX金融學院網(wǎng)絡拓撲圖四 校園網(wǎng)主要面臨的安全威脅4.1 計算機病毒破壞計算機病毒已經(jīng)成為影響校園網(wǎng)絡安全的重要因素,它不僅影響系統(tǒng)的正常運行、破壞系統(tǒng)軟件及文件系統(tǒng)、使整個網(wǎng)絡運行效率下降,甚至造成計算機和整個網(wǎng)絡系統(tǒng)的癱瘓。制病毒在校園網(wǎng)中的廣泛傳播: 一是在網(wǎng)關處禁止常見病毒的入侵, 關閉校園網(wǎng)絡對外的可能產(chǎn)生病毒入侵的端口; 二是在校園網(wǎng)內(nèi)安裝具有計算機信息系統(tǒng)安全專

9、用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品, 在整個校園網(wǎng)內(nèi)采取病毒防范措施; 三是查找到病毒宿主機, 對其實施隔離措施, 將用戶的網(wǎng)絡訪問強行定向到校內(nèi)在線殺毒站點進行病毒查殺; 四是對服務器等重要設備設定安全策略,監(jiān)控系統(tǒng)狀態(tài), 有效防范校園網(wǎng)絡內(nèi)的病毒和惡意入侵。4.2 校園網(wǎng)絡設備管理不健全校園網(wǎng)絡涉及硬件的設備分布在整個校同內(nèi),管理起來有一定的難度。從網(wǎng)絡設備所處層級看, 校園網(wǎng)網(wǎng)絡層級一般可分為核心層、匯聚層、接入層, 要確保各個層級的安全, 網(wǎng)絡設備本身的安全可靠是前提, 否則網(wǎng)絡設備所配置的安全策略就失去了其意義。為了集中管理存放在校內(nèi)各樓宇中的交換機設備, 學校一般會購置具備遠程管

10、理功能的交換機, 也同樣是出于集中管理的目的, 網(wǎng)絡管理者往往會將交換機的遠程登陸帳戶設置成一模一樣或者就干脆采用設備的出廠默認值, 如果攻擊者獲取到設備的登陸帳號, 將會給用戶和網(wǎng)絡管理帶來無法想象的威脅。暴露在外面的設施,可能遭到有意或無意的損壞,這就會造成校園網(wǎng)絡全部或部分癱瘓的嚴重后果,而且大多數(shù)校園網(wǎng)絡信息化設備投入由于資金投入不足,致使校園網(wǎng)絡建設方面存在著各種開放式的安全隱患。4.3 計算機系統(tǒng)漏洞入侵者攻擊校園網(wǎng)主要是利用軟件或攻擊代碼對網(wǎng)絡軟件或硬件的安全漏洞加以攻擊, 獲得相應權限后, 非法獲取目標主機的資源, 也可能會在控制目標主機后, 以其為跳板 , 對其他計算機或網(wǎng)絡

11、實施攻擊和非法訪問并隱藏真實身份。終端系統(tǒng)漏洞主要有三個方面:一是普通計算機和服務器操作系統(tǒng)等軟件漏洞。校園網(wǎng)中廣泛使用的網(wǎng)絡操作系統(tǒng)主要是Windows 操作系統(tǒng), 也有較少部分的其他類型操作系統(tǒng), 這些系統(tǒng)都存在各種各樣的安全漏洞, 許多計算機病毒都是利用操作系統(tǒng)的漏洞進行傳染的。二是校園網(wǎng)絡硬件設備漏洞。連接校園網(wǎng)絡各基礎設施的硬件設備 , 基本工作原理是運行存儲在芯片中的程序, 實現(xiàn)一系列功能, 這些程序或多或少的都會存在一些漏洞, 這些漏洞給入侵者提供了攻擊網(wǎng)絡的可能。三是校園網(wǎng)站、各單位基于WEB 的業(yè)務管理系統(tǒng)等代碼漏洞。校園網(wǎng)絡上運行著大量的網(wǎng)站和眾多的業(yè)務管理系統(tǒng), 對校內(nèi)和

12、校外提供豐富多彩的工作、學習和娛樂等內(nèi)容, 但這些站點的代碼在編寫過程中, 存在很多不嚴謹?shù)牡胤? 甚至有些程序設計人員可能會在代碼中留下一些后門程序, 這給攻擊者留下了攻擊的途徑。4.4 用戶對校園網(wǎng)網(wǎng)絡資源的濫用實際上有相當一部分的因特網(wǎng)訪問是與正常的工作無關的,有人利用校園網(wǎng)資源從事商業(yè)活動或大量的視頻、軟件資源下載服務,有人甚至去訪問一些不健康的甚至反動站點,從而導致大量非法內(nèi)容或垃圾郵件甚至一些木馬程序的進入,占用了大量珍貴的網(wǎng)絡資源,嚴重浪費了校園網(wǎng)資源,造成流量堵寨、子網(wǎng)速度慢等問題。4.5 校園網(wǎng)安全管理制度缺失隨著校同內(nèi)對計算機虛用的需求,接入校園網(wǎng)的計算機日益增加,校園網(wǎng)安

13、全管理制度缺失問題也越發(fā)嚴重。校園網(wǎng)經(jīng)常會發(fā)生計算機病毒泛濫、信息丟失數(shù)據(jù)損壞、網(wǎng)絡被攻擊、系統(tǒng)癱瘓等嚴重情況。校園網(wǎng)的建設普遍存在著重運行、輕管理的現(xiàn)象。而且當前很多高校校園網(wǎng)絡建設存在重硬件、輕軟件及重運行、輕管理的兩種極端現(xiàn)象, 網(wǎng)絡建設者通常將網(wǎng)絡系統(tǒng)作為一項純技術工程來實施, 沒有建立一套完善的安全管理方案,網(wǎng)絡管理員只需將精力集中于日常的簡單事務管理上, 如上網(wǎng)線路的故障維護、賬號的開通和維護、服務器的日常管理和業(yè)務應用系統(tǒng)的日常維護等, 網(wǎng)絡規(guī)范化、安全化管理嚴重不足, 很少關注和研究網(wǎng)絡入侵手段、防范措施、安全機制等內(nèi)容。4.6 網(wǎng)絡管理者和使用者的安全技術能力低雖然高校校園網(wǎng)

14、絡建設者和使用者具備足夠的安全意識, 但可能會陷于安全技術能力不足的缺憾。網(wǎng)絡管理者不具備豐富的安全管理經(jīng)驗和技術能力, 就無從談起對網(wǎng)絡的安全保障, 至多只能防范和處理一些簡單的安全威脅, 遇到重大問題, 通常只能求助于校外專業(yè)人士。網(wǎng)絡使用者的安全技術能力更是嚴重不足, 絕大多數(shù)的用戶只是簡單的使用計算機和網(wǎng)絡, 安全防范措施一般只是安裝殺毒軟件, 期望殺毒軟件能解決所有安全問題, 但這往往是不可能的。五 網(wǎng)絡安全解決方案設計5.1 身份認證對于每一個入校園網(wǎng)的用戶,我們需要對其身份進行驗證,身份驗證信息包括用戶的用戶名、密碼、用戶PC機的MAC地址、用戶PC所在交換機的IP地址、用戶PC

15、所在交換機的端口號,通過以上的信息的綁定,可以避免了個人信息被盜用,當安全事故發(fā)生的時候,只要能夠發(fā)現(xiàn)肇事者的一項信息就可以準確定位到該用戶,便于事情的處理。5.2 部署網(wǎng)絡防病毒系統(tǒng)網(wǎng)絡管理者一般應通過四種策略來防范和控制病毒在校園網(wǎng)中的廣泛傳播: 一是在網(wǎng)關處禁止常見病毒的入侵, 關閉校園網(wǎng)絡對外的可能產(chǎn)生病毒入侵的端口; 二是在校園網(wǎng)內(nèi)安裝具有計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品, 在整個校園網(wǎng)內(nèi)采取病毒防范措施; 三是查找到病毒宿主機, 對其實施隔離措施, 將用戶的網(wǎng)絡訪問強行定向到校內(nèi)在線殺毒站點進行病毒查殺; 四是對服務器等重要設備設定安全策略 ,監(jiān)控系統(tǒng)狀態(tài),

16、 有效防范校園網(wǎng)絡內(nèi)的病毒和惡意入侵。5.3 防止IP地址盜用和ARP攻擊通過對每一個ARP報文進行深度的檢測,即檢測ARP報文中的源IP和源MAC是否和端口安全規(guī)則一致,如果不一致,視為更改了IP地址,所以的數(shù)據(jù)包都不能進入網(wǎng)絡,這樣可有效防止安全端口上的ARP欺騙,防止非法信息點冒充網(wǎng)絡關鍵設備的IP,造成網(wǎng)絡通訊的混亂。5.4 設置漏洞管理系統(tǒng)設置漏洞管理系統(tǒng),能夠有效避免由漏洞攻擊導致的安全問題。它從漏洞的整個生命周期著手,在周期的不同階段采取不同的措施,是一個循環(huán)、周期執(zhí)行的工作流程。對用戶網(wǎng)絡中的資產(chǎn)進行自動發(fā)現(xiàn)并按照資產(chǎn)重要性進行分類；自動周期對網(wǎng)絡資產(chǎn)的漏洞進行評估并將結果自動

17、發(fā)送和保存；采用業(yè)界權威的分析模型對漏洞評估的結果進行定性和定量的風險分析,并根據(jù)資產(chǎn)重要性給出可操作性強的漏洞修復方案；根據(jù)漏洞修復方案,對網(wǎng)絡資產(chǎn)中存在的漏洞進行合理的修復或者調(diào)整網(wǎng)絡的整體安全策略進行規(guī)避；對修復完畢的漏洞進行修復確認：定期重復上述步驟。通過漏洞管理將網(wǎng)絡資產(chǎn)按照重要性進行分類,自動周期升級并對網(wǎng)絡資產(chǎn)進行評估,最后自動將風險評估結果自動發(fā)送給相關責任人,大大降低人工維護成本。漏洞管理系統(tǒng)包括硬件平臺和管理控制臺,部署在網(wǎng)絡的核心交換機處,對整個網(wǎng)絡中的資產(chǎn)提供漏洞管理功能。5.5 設置防火墻保護網(wǎng)絡安全防火墻系統(tǒng)是一種建立在現(xiàn)在同學網(wǎng)絡技術和信息安全技術基礎的應用性安全

18、技術產(chǎn)品,是一種使用較早的,也是目前使用較廣泛的網(wǎng)絡安全防范產(chǎn)品。防火墻通過控制和檢測網(wǎng)絡之中的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。在需要隔離的網(wǎng)絡區(qū)域之間設置防火墻。典型地,在 Internet 與校園網(wǎng)之間部署一臺防火墻,成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將WWW 、 MAIL 、 FTP 、 DNS 等服務器連接在防火墻的 DMZ 區(qū),與內(nèi)、外網(wǎng)間進行隔離,內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機,外網(wǎng)口通過路由器與 Internet 連接。那么,通過 Internet 進來的公眾用戶只能訪問到對外公開的一些服務如 WWW 、 MAIL 、 FTP 、 DNS 等,既保護內(nèi)網(wǎng)資源不被外部非授

19、權用戶非法訪問或破壞,也可以阻止內(nèi)部用戶對外部不良資源的濫用,并能夠?qū)Πl(fā)生在網(wǎng)絡中的安全事件進行跟蹤和審計。5.6 設置WEB應用防護系統(tǒng)高校網(wǎng)絡安全體系中,需要新型的技術和設備來應對WEB攻擊,保證網(wǎng)站安全,維護高校聲譽；為廣大師生等用戶提供持續(xù)優(yōu)質(zhì)服務。這種新型的技術就是WEB防火墻。傳統(tǒng)的邊界安全設備,如防火墻,局限于自身的產(chǎn)品定位和防護深度,不能有效地提供針對 Web 應用攻擊完善的防御能力。Web 應用防火墻Web Application Firewall, 簡稱：WAF代表了一類新興的信息安全技術,用以解決諸如防火墻一類傳統(tǒng)設備束手無策的 Web 應用安全問題。與傳統(tǒng)防火墻不同,W

20、AF 工作在應用層,因此對 Web 應用防護具有先天的技術優(yōu)勢?；趯?Web 應用業(yè)務和邏輯的深刻理解,WAF 對來自 Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網(wǎng)站站點進行有效防護。5.7 定期對服務器進行備份和維護為防止不能預料的系統(tǒng)故障或用戶不小心的非法操作,系統(tǒng)管理管理員需要定期備份服務器上的重要系統(tǒng)文件。比如用戶賬戶。文件資料可以用RAID方式進行每周備份,重要的資料還應用保存在另外的服務器上或者備份在光盤中。監(jiān)視服務器上資源的使用情況,刪除過期和無用的文件,確保服務器高效運行。5.8 加強校園管理校園網(wǎng)絡安全保障是一個硬件、軟件和人力資源有機結合的整體, 三方面相輔相成, 缺一不可。因此, 在