信息安全設(shè)計(jì)方案

設(shè)計(jì)方案一、立項(xiàng)背景隨著高校內(nèi)各種網(wǎng)絡(luò)工程的深入推行，學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代教育的發(fā)展方向。在此刻的互聯(lián)網(wǎng)環(huán)境下,計(jì)算機(jī)被攻擊、破壞的事件經(jīng)常發(fā)生，我們經(jīng)常需要面對(duì)的信息安全問題有:黑客侵襲、內(nèi)部漏洞、病毒攪亂、人為錯(cuò)誤等.所以,在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)信息安全成為需要特別考慮的問題。１。1、校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀安全意識(shí)冷淡校園網(wǎng)2、安全系統(tǒng)松弛缺乏安3、網(wǎng)絡(luò)上病毒、攻擊泛１、上的接入終端仍存在全預(yù)警及監(jiān)控系統(tǒng)，濫隨著校園網(wǎng)絡(luò)規(guī)模用戶空口令或簡(jiǎn)單口管理員不能夠?qū)崟r(shí)發(fā)現(xiàn)的不斷擴(kuò)大、性能的令的終端設(shè)備;有些個(gè)網(wǎng)絡(luò)系統(tǒng)存在的最新不斷提高,計(jì)算機(jī)病人計(jì)算機(jī)系統(tǒng)漏洞百漏洞。毒的流傳路子日益增出;既不安裝防火墻又多、流傳速度越來越不安裝(或更新)殺毒快,造成的影響也就軟件；網(wǎng)絡(luò)ＩP地址越來越嚴(yán)重盜用;專用網(wǎng)與公網(wǎng)混用等等1.2、現(xiàn)有安全技術(shù)和需求1．操作系統(tǒng)和應(yīng)用軟件自己的身份認(rèn)證功能，實(shí)現(xiàn)接見限制。２.如期對(duì)重要數(shù)據(jù)進(jìn)行備份數(shù)據(jù)備份。3．每臺(tái)校園網(wǎng)電腦安裝有防毒殺毒軟件。1．成立涵蓋校園網(wǎng)所有入網(wǎng)設(shè)備的病毒立體防守系統(tǒng)。計(jì)算機(jī)終端防病毒軟件能實(shí)時(shí)有效地發(fā)現(xiàn)、抵擋病毒的攻擊和完整除去病毒，經(jīng)過計(jì)算機(jī)終端防病毒軟件實(shí)現(xiàn)一致的安裝、一致的管理和病毒庫(kù)的更新。2。成立全天候監(jiān)控的網(wǎng)絡(luò)信息入侵檢測(cè)系統(tǒng)在校園網(wǎng)要點(diǎn)部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)時(shí)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)接見的異常行為進(jìn)行監(jiān)測(cè)和報(bào)警。成立高效可靠的內(nèi)網(wǎng)安全管理系統(tǒng)只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才能夠除去網(wǎng)絡(luò)中最大的安全隱患，內(nèi)網(wǎng)安全管理系統(tǒng)能夠從技術(shù)層面幫助網(wǎng)管人員辦理好繁瑣的客戶端問題。4。成立虛假專用網(wǎng)（ＶPN）和專用通道使用VPN網(wǎng)關(guān)設(shè)備和相關(guān)技術(shù)手段,對(duì)機(jī)密性要求較高的用戶成立虛假專用網(wǎng)。經(jīng)檢查，現(xiàn)有校園網(wǎng)絡(luò)拓?fù)鋱D以下：二、設(shè)計(jì)方案拓?fù)鋱D三、設(shè)計(jì)原則依照防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全體系所需的安全服務(wù)等因素,參照SSE—ＣＭＭ("系統(tǒng)安全工程能力成熟模型"）和IＳO17７９9（信息安全管理標(biāo)準(zhǔn))等國(guó)際標(biāo)準(zhǔn),綜合考慮可推行性、可管理性、可擴(kuò)展性、綜合齊全性、系統(tǒng)平衡性等方面,網(wǎng)絡(luò)安全防范系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)依照以下９項(xiàng)原則:設(shè)計(jì)原則１.網(wǎng)２.網(wǎng)3．安全4.標(biāo)準(zhǔn)５．技６．統(tǒng)７．等8.動(dòng)向９．易絡(luò)信息絡(luò)信息性議論化與一術(shù)與管籌規(guī)級(jí)性原發(fā)展原操作性安全的安全的與平衡致性原理相結(jié)劃,分則則原則木桶原整體性原則則合原則步推行則原則原則3。２．物理層設(shè)計(jì)3.2.１物理地址選擇物理地址選擇１、物、防盜。防雷４.防５。防6。防靜7。溫濕8、電力９。電23理接見竊和防擊火水和防電度控制供應(yīng)磁防范控制破壞潮要求3。3網(wǎng)絡(luò)層設(shè)計(jì)3。３．１防火墻技術(shù)成立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的防火墻技術(shù)是目前應(yīng)用最廣泛的防范技術(shù)．在邏輯上,它既是一個(gè)分別器也是一個(gè)限制器,同時(shí)它還是一個(gè)解析器,經(jīng)過設(shè)置在異構(gòu)網(wǎng)絡(luò)(如可信的校園網(wǎng)與不能信的公共網(wǎng)）之間的一系列部件的組合有效監(jiān)控內(nèi)部網(wǎng)與外層網(wǎng)絡(luò)之間的信息流動(dòng),使得只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能經(jīng)過,保證了內(nèi)網(wǎng)環(huán)境的安全,以下列圖:作為校園網(wǎng)安全的屏障,防火墻是連接內(nèi)、外層網(wǎng)絡(luò)之間信息的唯一出入口,依照詳盡的安全政策控制(贊同、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流．校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計(jì)等的所有安全軟件配置在防火墻上以便對(duì)網(wǎng)絡(luò)存取和接見進(jìn)行監(jiān)控審計(jì)．同時(shí)利用防火墻的日志記錄功能做好備份,供應(yīng)網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù).假定校園網(wǎng)經(jīng)過Ｃisｃo路由器與ＣERNＥT相連．校園內(nèi)的IP地址范圍是確定的，且有明確的閉和界線.它有一個(gè)C類的IP地址，有DNS,Ｅmａｉｌ，ＷWW,FTP等服務(wù)器，可采用以下存取控制策略。對(duì)進(jìn)入CERNET骨干網(wǎng)的存取控制校園網(wǎng)有自己IＰ地址,應(yīng)禁止ＩP地址從本校路由器接見ＣERNET?？捎孟率雒钤O(shè)置與校園網(wǎng)連接的路由器:IｎｔerｆａceE0DecriptioｎcａmｐuｓNetIpａdｄ１6２。1０5。17.1access_listｇroup２0oｕt!acｃess_list2０permitip１62。10５。17。００。0。2252：對(duì)網(wǎng)絡(luò)中心資源主機(jī)的接見控制網(wǎng)絡(luò)中心的DNS，Emａil,ＦＴP，WWW等服務(wù)器是重要的資源,要特其余保護(hù)，可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止DＮS,Ｅmail，ＷWＷ，F(xiàn)ＴP以外的所有服務(wù)。3:對(duì)校外非法網(wǎng)址的接見一般情況，一些流傳非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的，這時(shí)可經(jīng)過計(jì)費(fèi)系統(tǒng)獲得最新的IP接見信息,利用域名盤問或字符般配等方法確定來自某個(gè)IP的接見是非法的。3。3.2、拓?fù)浣Y(jié)構(gòu):3。4、網(wǎng)絡(luò)層設(shè)計(jì)網(wǎng)絡(luò)層設(shè)計(jì)1。2.3。4.5．6．7。8。9.10.1112.１1防虛身擬份加物防網(wǎng)代安入．用權(quán)3.４?；饘ＵJ(rèn)密理毒絡(luò)理全侵戶限客安墻網(wǎng)證技隔網(wǎng)地服掃檢的控戶全技(VP技術(shù)離關(guān)址務(wù)描測(cè)身制端檢術(shù)N)術(shù)轉(zhuǎn)及份安測(cè)技換路認(rèn)全技由證防術(shù)術(shù)器護(hù)５傳輸層安全操作系統(tǒng)是整個(gè)園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ),也是系統(tǒng)安全的基礎(chǔ)，所以必定采用措施保證操作系統(tǒng)平臺(tái)的安全。安全措施主要包括:采用安全性較高的系統(tǒng),對(duì)系統(tǒng)文件加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測(cè)等。傳輸層安全１.采用安全性2。加密技術(shù)３.病毒的防范4.安全掃描較高的系統(tǒng)5.入侵檢測(cè)3。６、應(yīng)用層安全應(yīng)用層安全１。蠕蟲過濾2.病毒過濾3。垃圾郵件過濾4.內(nèi)容過濾３。７、管理層安全1。擬定一套慎重嚴(yán)格的操作守則。要求網(wǎng)管人員嚴(yán)格依堅(jiān)守則進(jìn)行管理工作。2．加強(qiáng)網(wǎng)絡(luò)管理人員的培訓(xùn).如期對(duì)網(wǎng)管人員進(jìn)行培訓(xùn)，并出外察看,多增添與時(shí)俱進(jìn)的網(wǎng)管技術(shù).四、資料清單和工程設(shè)