校園網(wǎng)絡(luò)安全設(shè)計(jì)方案

校園網(wǎng)絡(luò)安全設(shè)計(jì)方案

校園網(wǎng)絡(luò)安全設(shè)計(jì)方案一、安全需求隨著信息技術(shù)的不斷發(fā)展和網(wǎng)絡(luò)信息的海量增加，校園網(wǎng)的安全形勢(shì)日益嚴(yán)峻。目前校園網(wǎng)安全防護(hù)體系存在一些問(wèn)題，主要體現(xiàn)在網(wǎng)絡(luò)的安全防御能力較低，受到病毒、黑客的影響較大，對(duì)移動(dòng)存儲(chǔ)介質(zhì)的上網(wǎng)監(jiān)測(cè)手段不足，缺少綜合、高效的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控手段，削弱了網(wǎng)絡(luò)應(yīng)用的可靠性。因此，急需建立一套多層次的安全管理體系，加強(qiáng)校園網(wǎng)的安全防護(hù)和監(jiān)控能力，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)安全基礎(chǔ)。經(jīng)調(diào)查，現(xiàn)有校園網(wǎng)絡(luò)拓?fù)鋱D如下：應(yīng)用和信息點(diǎn)：-行政、辦公、網(wǎng)絡(luò)中心：50主機(jī)，4層-每棟實(shí)現(xiàn)功能信息點(diǎn)總數(shù)：200-圖書(shū)館：1005主機(jī)，7層-教學(xué)樓（1,2,11,16）：500主機(jī)，4層-宿舍（5,6,8,9,10,12,13,14,15,16,17）：1807主機(jī)，10-27層不等-多媒體教室：1200主機(jī)現(xiàn)有安全技術(shù)：1.操作系統(tǒng)和應(yīng)用軟件自身的身份認(rèn)證功能，實(shí)現(xiàn)訪問(wèn)限制。2.定期對(duì)重要數(shù)據(jù)進(jìn)行備份數(shù)據(jù)備份。3.每臺(tái)校園網(wǎng)電腦安裝有防毒殺毒軟件。1.1.1網(wǎng)絡(luò)現(xiàn)狀建立涵蓋校園網(wǎng)所有入網(wǎng)設(shè)備的病毒立體防御體系。通過(guò)計(jì)算機(jī)終端防病毒軟件實(shí)現(xiàn)統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫(kù)的更新。同時(shí)，在校園網(wǎng)關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)時(shí)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)訪問(wèn)的異常行為進(jìn)行監(jiān)測(cè)和報(bào)警。只有解決網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題，才能排除網(wǎng)絡(luò)中最大的安全隱患。因此，建立高效可靠的內(nèi)網(wǎng)安全管理體系，從技術(shù)層面幫助網(wǎng)管人員處理好繁雜的客戶端問(wèn)題。此外，建立虛擬專(zhuān)用網(wǎng)(VPN)和專(zhuān)用通道，提高網(wǎng)絡(luò)安全性。1.1.2應(yīng)用和信息點(diǎn)行政、辦公、網(wǎng)絡(luò)中心主要用戶為校領(lǐng)導(dǎo)、財(cái)務(wù)、人事。網(wǎng)絡(luò)中心負(fù)責(zé)網(wǎng)絡(luò)維護(hù)、管理，中心內(nèi)設(shè)有網(wǎng)站、電子郵箱、精品課程、FTP資源、辦公系統(tǒng)以及視頻點(diǎn)播等服務(wù)器。每棟樓實(shí)現(xiàn)功能信息點(diǎn)總數(shù)為200，主要以計(jì)算機(jī)機(jī)房、網(wǎng)絡(luò)實(shí)驗(yàn)室為主。圖書(shū)館內(nèi)有各類(lèi)圖書(shū)進(jìn)行管理，建立電子閱覽室為學(xué)生更快更好的查閱各類(lèi)圖書(shū)。教學(xué)樓主要是多媒體教室，能夠?qū)崿F(xiàn)多媒體教學(xué)，快速地獲取網(wǎng)上資源。宿舍主要能夠較快地獲取網(wǎng)上資源，擁有語(yǔ)音布線。總之，建立多層次的安全管理體系，加強(qiáng)校園網(wǎng)的安全防護(hù)和監(jiān)控能力，為校園信息化建設(shè)奠定更加良好的網(wǎng)絡(luò)安全基礎(chǔ)。使用VPN網(wǎng)關(guān)設(shè)備和相關(guān)技術(shù)手段，為需要高度保密的用戶建立虛擬專(zhuān)用網(wǎng)。在網(wǎng)絡(luò)安全防范的整體設(shè)計(jì)過(guò)程中，應(yīng)遵循以下9項(xiàng)原則：1.網(wǎng)絡(luò)信息安全的木桶原則：對(duì)信息進(jìn)行全面、均衡的保護(hù)，分析、評(píng)估和檢測(cè)系統(tǒng)的安全漏洞和威脅，防止最常用的攻擊手段，提高整個(gè)系統(tǒng)的安全性能。2.網(wǎng)絡(luò)信息安全的整體性原則：包括安全防護(hù)機(jī)制、安全檢測(cè)機(jī)制和安全恢復(fù)機(jī)制，以盡快恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。3.安全性評(píng)價(jià)與平衡原則：建立合理的實(shí)用安全性與用戶需求評(píng)價(jià)與平衡體系，正確處理需求、風(fēng)險(xiǎn)與代價(jià)的關(guān)系，做到安全性與可用性相容。4.標(biāo)準(zhǔn)化與一致性原則：遵循一系列標(biāo)準(zhǔn)，確保各個(gè)分系統(tǒng)的一致性，使整個(gè)系統(tǒng)安全地互聯(lián)互通、信息共享。5.技術(shù)與管理相結(jié)合原則：技術(shù)手段與管理手段相結(jié)合，實(shí)現(xiàn)信息安全的全面保護(hù)。安全體系是一個(gè)復(fù)雜的系統(tǒng)工程，它涉及到人、技術(shù)、操作等多種要素。單靠技術(shù)或單靠管理都無(wú)法實(shí)現(xiàn)完善的安全防護(hù)。因此，必須將各種安全技術(shù)與運(yùn)行管理機(jī)制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合，才能建立一個(gè)全面有效的安全體系。在制定安全規(guī)劃時(shí)，需要遵循統(tǒng)籌規(guī)劃、分步實(shí)施的原則。由于政策規(guī)定、服務(wù)需求的不明朗，環(huán)境、條件、時(shí)間的變化，攻擊手段的進(jìn)步，安全防護(hù)不可能一步到位。因此，應(yīng)該先建立基本的安全體系，保證基本的、必須的安全性。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加，需要不斷調(diào)整或增強(qiáng)安全防護(hù)力度，保證整個(gè)網(wǎng)絡(luò)最根本的安全需求。等級(jí)性原則是指安全層次和安全級(jí)別。良好的信息安全系統(tǒng)必然是分為不同等級(jí)的，包括對(duì)信息保密程度分級(jí)，對(duì)用戶操作權(quán)限分級(jí)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)（安全子網(wǎng)和安全區(qū)域），對(duì)系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)的分級(jí)（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對(duì)不同級(jí)別的安全對(duì)象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。動(dòng)態(tài)發(fā)展原則是指要根據(jù)網(wǎng)絡(luò)安全的變化不斷調(diào)整安全措施，適應(yīng)新的網(wǎng)絡(luò)環(huán)境，滿足新的網(wǎng)絡(luò)安全需求。易操作性原則是指安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。同時(shí)，措施的采用不能影響系統(tǒng)的正常運(yùn)行。在物理層設(shè)計(jì)中，需要注意物理位置選擇、物理訪問(wèn)控制、防盜竊和防破壞等方面。機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)，符合設(shè)計(jì)要求的承重要求。機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁。機(jī)房場(chǎng)地應(yīng)當(dāng)避開(kāi)強(qiáng)電場(chǎng)、強(qiáng)磁場(chǎng)、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。在物理訪問(wèn)控制方面，有人值守機(jī)房出入口應(yīng)有專(zhuān)人值守，鑒別進(jìn)入的人員身份并登記在案。無(wú)人值守的機(jī)房門(mén)口應(yīng)具備告警系統(tǒng)。應(yīng)批準(zhǔn)進(jìn)入機(jī)房的來(lái)訪人員，限制和監(jiān)控其活動(dòng)范圍。應(yīng)對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前設(shè)置交付或安裝等過(guò)渡區(qū)域。服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。機(jī)箱、鍵盤(pán)、電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無(wú)法使用電腦，鑰匙要放在安全的地方。在自己的辦工桌上安上筆記本電腦安全鎖，以防止筆記本電腦的丟失。防盜竊和防破壞是保護(hù)物理設(shè)備安全的重要措施，需要根據(jù)實(shí)際情況采取相應(yīng)的安全防護(hù)措施。為了保證網(wǎng)絡(luò)通信的安全性和可靠性，同時(shí)降低網(wǎng)絡(luò)運(yùn)營(yíng)成本，虛擬專(zhuān)網(wǎng)(VPN)技術(shù)應(yīng)運(yùn)而生。VPN技術(shù)是一種利用公用網(wǎng)絡(luò)建立專(zhuān)用網(wǎng)絡(luò)的技術(shù)，通過(guò)加密和隧道技術(shù)，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)陌踩院退矫苄?。VPN技術(shù)可以有效地解決遠(yuǎn)程辦公、異地備份和數(shù)據(jù)傳輸?shù)葐?wèn)題，同時(shí)也可以提高網(wǎng)絡(luò)的可靠性和靈活性。在VPN的設(shè)計(jì)過(guò)程中，需要考慮網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、加密算法、證書(shū)管理、用戶認(rèn)證等因素，以確保網(wǎng)絡(luò)的安全和可靠性。3.網(wǎng)絡(luò)監(jiān)控技術(shù)網(wǎng)絡(luò)監(jiān)控技術(shù)是保障網(wǎng)絡(luò)安全的重要手段之一。通過(guò)網(wǎng)絡(luò)監(jiān)控技術(shù)，可以實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)的運(yùn)行狀態(tài)、流量情況、攻擊行為等，及時(shí)發(fā)現(xiàn)和處理網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)監(jiān)控技術(shù)包括網(wǎng)絡(luò)流量監(jiān)測(cè)、入侵檢測(cè)、漏洞掃描、日志分析等多種技術(shù)手段。其中，入侵檢測(cè)系統(tǒng)(IDS)和入侵防御系統(tǒng)(IPS)是比較常用的網(wǎng)絡(luò)監(jiān)控技術(shù)。IDS可以實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量，發(fā)現(xiàn)和報(bào)警網(wǎng)絡(luò)攻擊行為，而IPS則可以在發(fā)現(xiàn)攻擊行為后，自動(dòng)采取相應(yīng)的防御措施，保障網(wǎng)絡(luò)的安全性。4.網(wǎng)絡(luò)安全培訓(xùn)網(wǎng)絡(luò)安全培訓(xùn)是提高網(wǎng)絡(luò)安全意識(shí)和技能的重要手段之一。通過(guò)網(wǎng)絡(luò)安全培訓(xùn)，可以提高員工的安全意識(shí)，加強(qiáng)密碼安全、網(wǎng)絡(luò)防護(hù)、信息保密等方面的培訓(xùn)，同時(shí)也可以提高員工的技能水平，如漏洞掃描、入侵檢測(cè)、應(yīng)急響應(yīng)等方面的技能培訓(xùn)。網(wǎng)絡(luò)安全培訓(xùn)應(yīng)該針對(duì)不同的人群，包括網(wǎng)絡(luò)管理員、普通員工、高管等，同時(shí)也應(yīng)該采用多種形式，如在線學(xué)習(xí)、面對(duì)面培訓(xùn)、模擬演練等，以提高培訓(xùn)效果。5.數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)備份和恢復(fù)是保障網(wǎng)絡(luò)安全的重要手段之一。通過(guò)定期備份數(shù)據(jù)，可以預(yù)防數(shù)據(jù)丟失和損壞的風(fēng)險(xiǎn)，同時(shí)也可以保證數(shù)據(jù)的完整性和可用性。數(shù)據(jù)備份應(yīng)該考慮備份周期、備份介質(zhì)、備份位置等因素，以確保備份的安全性和可靠性。在數(shù)據(jù)恢復(fù)方面，應(yīng)該建立完善的恢復(fù)機(jī)制和流程，及時(shí)恢復(fù)數(shù)據(jù)，以保證業(yè)務(wù)的正常運(yùn)行。同時(shí)，也應(yīng)該定期測(cè)試備份和恢復(fù)流程，以確保備份和恢復(fù)的可靠性。為保障園區(qū)網(wǎng)的安全，采用了多種技術(shù)手段。首先，對(duì)于從外部網(wǎng)絡(luò)連接的用戶，采用虛擬專(zhuān)網(wǎng)(VPN)技術(shù)進(jìn)行保密，包括信道協(xié)議、加密傳輸和身份認(rèn)證等措施，以確保數(shù)據(jù)的可靠性。其次，對(duì)于撥號(hào)進(jìn)入園區(qū)網(wǎng)的用戶，加裝保密機(jī)以限制非法用戶的入侵，并通過(guò)用戶名和口令的認(rèn)證檢查用戶身份。此外，采用加密技術(shù)對(duì)信息進(jìn)行加密，包括對(duì)稱(chēng)算法和非對(duì)稱(chēng)算法兩類(lèi)加密算法的結(jié)合使用，以及數(shù)字簽名、數(shù)字時(shí)間戳、數(shù)字水印和數(shù)字證書(shū)等技術(shù)的應(yīng)用。同時(shí)，通過(guò)物理隔離、防毒網(wǎng)關(guān)、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)、代理服務(wù)及路由器等手段，保障了園區(qū)網(wǎng)的安全性。最后，采用安全掃描和入侵檢測(cè)技術(shù)，及時(shí)發(fā)現(xiàn)安全漏洞并進(jìn)行修復(fù)，確保園區(qū)網(wǎng)的安全性。用戶入網(wǎng)訪問(wèn)控制包括三個(gè)步驟：驗(yàn)證用戶名、驗(yàn)證用戶口令和驗(yàn)證用戶帳號(hào)。用戶口令是入網(wǎng)的關(guān)鍵，必須進(jìn)行加密，用戶還可以采用一次一密的方法或使用智能卡來(lái)驗(yàn)證身份。同時(shí)，可以將用戶與所用的計(jì)算機(jī)聯(lián)系起來(lái)，使用戶用固定的計(jì)算機(jī)上網(wǎng)，以減少用戶的流動(dòng)性，加強(qiáng)管理。權(quán)限控制是一種針對(duì)網(wǎng)絡(luò)非法操作提出的安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)哪些目錄、子目錄、文件和其他資源以及用戶可執(zhí)行的操作。在客戶端安全防護(hù)方面，首先需要切斷病毒傳播的途徑，降低感染病毒的風(fēng)險(xiǎn)；其次，使用的瀏覽器必須符合安全標(biāo)準(zhǔn)，以確?？蛻舳说墓ぷ髡镜玫桨踩ＷC。同時(shí)，使用安全檢測(cè)和掃描軟件對(duì)網(wǎng)絡(luò)設(shè)備和客戶端工作站進(jìn)行檢測(cè)和分析，查找安全漏洞并加以修復(fù)，使用防病毒軟件進(jìn)行病毒查找和殺毒工作。在傳輸層安全方面，操作系統(tǒng)是整個(gè)園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，因此必須采取措施保證操作系統(tǒng)平臺(tái)的安全。安全措施包括采用安全性較高的系統(tǒng)、對(duì)系統(tǒng)文件加密、操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測(cè)等。采用安全性較高的系統(tǒng)是操作系統(tǒng)安全的基礎(chǔ)。在使用C2級(jí)系統(tǒng)時(shí)，應(yīng)盡量使用C2級(jí)的安全措施及功能，對(duì)操作系統(tǒng)進(jìn)行安全配置。在極端重要的園區(qū)網(wǎng)系統(tǒng)中，應(yīng)采用B級(jí)操作系統(tǒng)。對(duì)操作系統(tǒng)中的重要文件進(jìn)行加密，防止非法讀取和修改。在園區(qū)網(wǎng)主機(jī)上安裝防病毒軟件，并對(duì)病毒進(jìn)行定時(shí)或?qū)崟r(shí)的病毒掃描和檢測(cè)，對(duì)防病毒軟件進(jìn)行及時(shí)升級(jí)以發(fā)現(xiàn)和殺滅新型的病毒。通過(guò)對(duì)園區(qū)網(wǎng)主機(jī)進(jìn)行一系列設(shè)置和掃描，對(duì)系統(tǒng)的各個(gè)環(huán)節(jié)提供可靠的分析結(jié)果，為系統(tǒng)管理員提供可靠性和安全性分析報(bào)告，對(duì)系統(tǒng)進(jìn)行及時(shí)升級(jí)以彌補(bǔ)漏洞及關(guān)閉“后門(mén)”。安裝基于主機(jī)的入侵檢測(cè)系統(tǒng)，可檢查操作系統(tǒng)日志和其它系統(tǒng)特征，判斷入侵事件，在非法修改主頁(yè)時(shí)自動(dòng)作出反應(yīng)，對(duì)已入侵的訪問(wèn)和試圖入侵的訪問(wèn)進(jìn)行跟蹤記錄，并及時(shí)通知系統(tǒng)管理員，使管理員可對(duì)網(wǎng)絡(luò)的各種活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)視。在應(yīng)用層安全方面，蠕蟲(chóng)過(guò)濾是一種防范蠕蟲(chóng)攻擊的技術(shù)。為了保護(hù)校園網(wǎng)的安全，我們采取了以下兩個(gè)措施：首先，我們?cè)趦?nèi)部網(wǎng)絡(luò)中設(shè)置了防病毒管理與分發(fā)服務(wù)器，通過(guò)網(wǎng)絡(luò)連接各終端計(jì)算機(jī)與服務(wù)器，形成病毒防御系統(tǒng)。該服務(wù)器直接接受上級(jí)信息管理中心的病毒庫(kù)升級(jí)、客戶端防病毒軟件升級(jí)、廣域網(wǎng)病毒掃描和過(guò)濾等服務(wù)。我們鼓勵(lì)校園網(wǎng)用戶將個(gè)人用計(jì)算機(jī)及單位用計(jì)算機(jī)作為防病毒客戶端與防病毒管理與分發(fā)服務(wù)器進(jìn)行聯(lián)接。我們也對(duì)防病毒管理與分發(fā)服務(wù)器進(jìn)行了相關(guān)配置，使得服務(wù)器能夠及時(shí)對(duì)客戶端實(shí)施病毒自動(dòng)更新，能夠?qū)蛻舳诉M(jìn)行自動(dòng)或手工方式的病毒掃描和查殺。其次，我們?cè)O(shè)置了網(wǎng)關(guān)防病毒系統(tǒng)，對(duì)網(wǎng)絡(luò)的出入口數(shù)據(jù)流量進(jìn)行病毒掃描和過(guò)濾。該系統(tǒng)部署在校園網(wǎng)的出入口處，能夠?qū)崿F(xiàn)無(wú)人值守、自動(dòng)操作、自動(dòng)發(fā)現(xiàn)、清除病毒、自動(dòng)報(bào)警等功能，時(shí)刻保護(hù)網(wǎng)絡(luò)免受病毒和蠕蟲(chóng)侵害。除此之外，我們還構(gòu)建了入侵檢測(cè)系統(tǒng)和內(nèi)網(wǎng)安全管理體系。入侵檢測(cè)系統(tǒng)包括傳感器和控制臺(tái)兩個(gè)部分，能夠根據(jù)應(yīng)用需要配置若干塊網(wǎng)卡，進(jìn)行實(shí)時(shí)的入侵分析，既可以獨(dú)立使用，又可以與防火墻配合使用，提供入侵檢測(cè)，并對(duì)現(xiàn)有的設(shè)置進(jìn)行審計(jì)。內(nèi)網(wǎng)安全