信息安全設(shè)計方案

設(shè)計方案一、立項背景隨著高校內(nèi)各種網(wǎng)絡(luò)工程的深入實施，學(xué)校教育信息化、校園網(wǎng)絡(luò)化精品文檔放心下載已經(jīng)成為網(wǎng)絡(luò)時代教育的發(fā)展方向。在當(dāng)今的互聯(lián)網(wǎng)環(huán)境下，計算機精品文檔放心下載被攻擊、破壞的事件經(jīng)常發(fā)生，我們經(jīng)常需要面對的信息安全問題有：謝謝閱讀黑客侵襲、內(nèi)部漏洞、病毒干擾、人為錯誤等。因此，在校園網(wǎng)絡(luò)建精品文檔放心下載設(shè)中，網(wǎng)絡(luò)信息安全成為需要特別考慮的問題.1.1、校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀1、安全意識淡薄校園網(wǎng) 2、安全體系松散缺乏安上的接入終端仍存在 全預(yù)警及監(jiān)控體系，用戶空口令或簡易口 管理員不能及時發(fā)現(xiàn)令的終端設(shè)備；有些個 網(wǎng)絡(luò)系統(tǒng)存在的最新人計算機系統(tǒng)漏洞百 漏洞.;既不安裝防火墻又不安裝(或更新）殺毒軟件；網(wǎng)絡(luò)IP地址盜用；專用網(wǎng)與公網(wǎng)混用謝謝閱讀等等1.2、現(xiàn)有安全技術(shù)和需求

3、網(wǎng)絡(luò)上病毒、攻擊泛濫隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴大、性能的不斷提高，計算機病毒的傳播途徑日益增多、傳播速度越來越謝謝閱讀,造成的影響也就越來越嚴(yán)重1．操作系統(tǒng)和應(yīng)用軟件自身的身份認(rèn)證功能,實現(xiàn)訪問限制。精品文檔放心下載2．定期對重要數(shù)據(jù)進(jìn)行備份數(shù)據(jù)備份。3．每臺校園網(wǎng)電腦安裝有防毒殺毒軟件。1．構(gòu)建涵蓋校園網(wǎng)所有入網(wǎng)設(shè)備的病毒立體防御體系。計算機終端防病毒軟件能及時有效地發(fā)現(xiàn)、抵御病毒的攻擊和徹底清除病毒，通過計算機終端防病毒軟件實現(xiàn)統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫的更新。精品文檔放心下載2。 建立全天候監(jiān)控的網(wǎng)絡(luò)信息入侵檢測體系在校園網(wǎng)關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)，實時對網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進(jìn)行監(jiān)測和報警。精品文檔放心下載建立高效可靠的內(nèi)網(wǎng)安全管理體系只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安全隱患，內(nèi)網(wǎng)安全管理體系可以從技術(shù)層面幫助網(wǎng)管人員處理好繁雜的客戶端問題。精品文檔放心下載建立虛擬專用網(wǎng)(VPN)和專用通道使用VPN網(wǎng)關(guān)設(shè)備和相關(guān)技術(shù)手段,對機密性要求較高的用戶建立虛擬專用網(wǎng)。謝謝閱讀經(jīng)調(diào)查，現(xiàn)有校園網(wǎng)絡(luò)拓?fù)鋱D如下：二、設(shè)計方案拓?fù)鋱D三、設(shè)計原則根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對應(yīng)安全精品文檔放心下載機制所需的安全服務(wù)等因素，參照SSE—CMM(”系統(tǒng)安全工程能力成精品文檔放心下載熟模型”)和ISO17799(信息安全管理標(biāo)準(zhǔn)）等國際標(biāo)準(zhǔn),綜合考慮可精品文檔放心下載實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)精品文檔放心下載絡(luò)安全防范體系在整體設(shè)計過程中應(yīng)遵循以下9項原則：精品文檔放心下載設(shè)計原則1．網(wǎng)絡(luò) 2．網(wǎng)絡(luò) 3．安全 4．標(biāo)準(zhǔn) 5．技術(shù) 6．統(tǒng)籌 7．等級 8．動態(tài) 9．易操感謝閱讀信息安信息安性評價化與一與管理規(guī)劃,性原則發(fā)展原作性原全的木全的整與平衡致性原相結(jié)合分步實則則桶原則體性原原則則原則施原則則3.2。物理層設(shè)計3.2。1物理位置選擇物理位置選擇1、物理2、防盜3。防雷4。防火5.防水6。防靜7。溫濕8、電力9.電磁訪問控竊和防擊和防潮電度控制供應(yīng)防護(hù)要制破壞求3。3網(wǎng)絡(luò)層設(shè)計3。3.1防火墻技術(shù)建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的防火墻技術(shù)是目前應(yīng)用最廣泛的防護(hù)技術(shù)．在邏輯上，它既是一個分離器也是一個限制器，同時它還是一個分析器，通過設(shè)置在異構(gòu)網(wǎng)絡(luò)（如可信的校園網(wǎng)與不可信的公共網(wǎng)）之間的一系列部件的組合有效監(jiān)控內(nèi)部網(wǎng)與外層網(wǎng)絡(luò)之間的信息流動，使得只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過，保證了內(nèi)網(wǎng)環(huán)境的安全，如圖所示:感謝閱讀作為校園網(wǎng)安全的屏障，防火墻是連接內(nèi)、外層網(wǎng)絡(luò)之間信息的唯一出入口，根據(jù)具體的安全政策控制(允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流．校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計感謝閱讀等的所有安全軟件配置在防火墻上以便對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計．同時利用防火墻的日志記錄功能做好備份，提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。謝謝閱讀假定校園網(wǎng)通過Cisco路由器與CERNET相連。校園內(nèi)的IP地址范圍是確定的，且有明確的閉和邊界。它有一個C類的IP地址，有DNS，Email,WWW，F(xiàn)TP等服務(wù)器，可采用以下存取控制策略.謝謝閱讀對進(jìn)入CERNET主干網(wǎng)的存取控制校園網(wǎng)有自己IP地址，應(yīng)禁止IP地址從本校路由器訪問CERNET.感謝閱讀可用下述命令設(shè)置與校園網(wǎng)連接的路由器：InterfaceE0DecriptioncampusNetIpadd162。105.17.1access_listgroup20out!access_list20permitip0。0。225精品文檔放心下載2：對網(wǎng)絡(luò)中心資源主機的訪問控制網(wǎng)絡(luò)中心的DNS，Email，F(xiàn)TP,WWW等服務(wù)器是重要的資源，要特感謝閱讀別的保護(hù),可對網(wǎng)絡(luò)中心所在子網(wǎng)禁止DNS，Email，WWW，F(xiàn)TP以外的一切服務(wù)。謝謝閱讀3：對校外非法網(wǎng)址的訪問一般情況,一些傳播非法信息的站點主要在校外，而這些站點的域名可能是已知的，這時可通過計費系統(tǒng)獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。謝謝閱讀3。3.2、拓?fù)浣Y(jié)構(gòu)：3.4、網(wǎng)絡(luò)層設(shè)計網(wǎng)絡(luò)層設(shè)計2。3.防虛身4．5．6．0。11。12。13。14.加物防網(wǎng)代安入用權(quán)客安火擬份專認(rèn)密理毒絡(luò)理全侵戶限戶全墻網(wǎng)證技隔網(wǎng)地服掃檢的控端檢技（V技術(shù)離關(guān)址務(wù)描測身制安測術(shù)PN）術(shù)轉(zhuǎn)及份全技換路認(rèn)防術(shù)技由證護(hù)術(shù)器3。5傳輸層安全操作系統(tǒng)是整個園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，精品文檔放心下載因而必須采取措施保證操作系統(tǒng)平臺的安全。安全措施主要包括：采感謝閱讀用安全性較高的系統(tǒng),對系統(tǒng)文件加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞精品文檔放心下載及入侵檢測等。傳輸層安全5。入侵檢測1。采用安全性2.加密技術(shù)3。病毒的防范4.安全掃描較高的系統(tǒng)謝謝閱讀3。6、應(yīng)用層安全應(yīng)用層安全1.蠕蟲過濾 2。病毒過濾 3。垃圾郵件過濾 4。內(nèi)容過濾感謝閱讀3.7、管理層安全制定一套嚴(yán)謹(jǐn)嚴(yán)格的操作守則.要求網(wǎng)管人員嚴(yán)格按照守則進(jìn)行管理工作。感謝閱讀2．加強網(wǎng)絡(luò)管理人員的培訓(xùn)。定期對網(wǎng)管人員進(jìn)行培訓(xùn)，并出外考察，多增長與時俱進(jìn)的網(wǎng)管技術(shù).精品文檔放心下載