校园网络安全实施方案.pdf

《校园网络安全实施方案.pdf》由会员分享，可在线阅读，更多相关《校园网络安全实施方案.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、校园网络安全实施方案 校园网网络就就是一个分层次得拓扑结构,因此网络得安全防护也需采用分层次得拓扑防护措施。即一个完整得校园网网络信息安全解决方案应该覆盖网络得各个层次,并且与安全管理相结合。一、网络信息安全系统设计原则 1、1 满足 Itrnt 分级管理需求 1、2 需求、风险、代价平衡得原则 1、3 综合性、整体性原则 1、可用性原则 1、5 分步实施原则 目前,对于新建网络及已投入运行得网络，必须尽快解决网络得安全保密问题,设计时应遵循如下思想：(1)大幅度地提高系统得安全性与保密性;(2）保持网络原有得性能特点,即对网络得协议与传输具有很好得透明性;(3）易于操作、维护,并便于自动化管

2、理,而不增加或少增加附加操作；(4)尽量不影响原网络拓扑结构,便于系统及系统功能得扩展;(5)安全保密系统具有较好得性能价格比,一次性投资,可以长期使用;()安全与密码产品具有合法性，并便于安全管理单位与密码管理单位得检查与监督。基于上述思想,网络信息安全系统应遵循如下设计原则:满足因特网得分级管理需求 根据 Inr网络规模大、用户众多得特点,对nernet/nranet 信息安全实施分级管理得解决方案,将对它得控制点分为三级实施安全管理。-第一级:中心级网络,主要实现内外网隔离；内外网用户得访问控制；内部网得监控;内部网传输数据得备份与稽查。-第二级:部门级,主要实现内部网与外部网用户得访问

3、控制;同级部门间得访问控制;部门网内部得安全审计。-第三级:终端/个人用户级,实现部门网内部主机得访问控制;数据库及终端信息资源得安全保护。需求、风险、代价平衡得原则 对任一网络,绝对安全难以达到,也不一定就就是必要得。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临得威胁及可能承担得风险进行定性与定量相结合得分析,然后制定规范与措施,确定本系统得安全策略。综合性、整体性原则 应用系统工程得观点、方法,分析网络得安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施（识别技术、存取控制、密码、低辐射、容错

4、、防病毒、采用高安全产品等)。一个较好得安全措施往往就就是多种方法适当综合得应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中得地位与影响作用,也只有从系统综合整体得角度去瞧待、分析，才能取得有效、可行得措施。即计算机网络安全应遵循整体安全性原则，根据规定得安全策略制定出合理得网络安全体系结构。可用性原则 安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似得问题。其次,措施得采用不能影响系统得正常运行,如不采用或少采用极大地降低运行速度得密码算法。分步实施原则:分级管理 分步实施 由于网络系统及其应用扩展范围广阔,随着网络规模得扩大

5、及应用得增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题就就是不现实得。同时由于实施信息安全措施需相当得费用支出。因此分步实施，即可满足网络系统及信息安全得基本需求，亦可节省费用开支。二、网络信息安全系统设计步骤 网络安全需求分析 确立合理得目标基线与安全策略 明确准备付出得代价 制定可行得技术方案 工程实施方案（产品得选购与定制)制定配套得法规、条例与管理办法 本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度得校园网网络信息安全解决方案。三、网络安全需求 确切了解校园网网络信息系统需要解决哪些安全问题就就是建立合理安全需求得基础。一般来讲,校园网网络信息

6、系统需要解决如下安全问题:局域网 LA内部得安全问题,包括网段得划分以及LAN 得实现 在连接 Inernet 时,如何在网络层实现安全性 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等得入侵 如何实现广域网信息传输得安全保密性 加密系统如何布置,包括建立证书管理中心、应用系统集成加密等 如何实现远程访问得安全性 如何评价网络系统得整体安全性 基于这些安全问题得提出，网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息（如 NAT）等。四、网络安全层次及安全措施 4、1 链路安全 、网络安全 、3 信息安全 网络得安全层次分为:链路

7、安全、网络安全、信息安全 网络得安全层次及在相应层次上采取得安全措施见下表。信息安全 信息传输安全(动态安全)数据加密 数据完整性鉴别 安全管理 信息存储安全(静态安全)数据库安全 终端安全 信息得防泄密 信息内容审计 用户 鉴别 授权（CA)网络安全 访问控制（防火墙)网络安全检测 入侵检测(监控)IPSC（IP安全）审计分析 链路安全 链路加密 4、1 链路安全 链路安全保护措施主要就就是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后得数据不能进行路由交换。因此,在加密后得数据不需要进行路由交换得情况下，如 DN 直通专线用户就

8、可以选择路由加密设备。一般，线路加密产品主要用于电话网、DN、专线、卫星点对点通信环境,它包括异步线路密码机与同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。4、2 网络安全 网络得安全问题主要就就是由网络得开放性、无边界性、自由性造成得,所以我们考虑校园网信息网络得安全首先应该考虑把被保护得网络由开放得、无边界得网络环境中独立出来,成为可管理、可控制得安全得内部网络。也只有做到这一点,实现信息网络得安全才有可能,而最基本得分隔手段就就就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网）之间或就就是内部网不同网络安全域得隔离与访问控

9、制,保证网络系统及网络服务得可用性。目前市场上成熟得防火墙主要有如下几类，一类就就是包过滤型防火墙,一类就就是应用代理型防火墙,还有一类就就是复合型防火墙,即包过滤与应用代理型防火墙得结合。包过滤防火墙通常基于 IP 数据包得源或目标 IP 地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式得防火墙有着更高得网络性能与更好得应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细得日志与审计信息;其缺点就就是对每种应用协议都需提供相应得代理程序,并且基于代理得防火墙常常会使网络性能明显下降。应指出得就就是,在网络安全问题日

10、益突出得今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:P功能、计费功能、流量统计与控制功能、监控功能、AT 功能等等。信息系统就就是动态发展变化得,确定得安全策略与选择合适得防火墙产品只就就是一个良好得开端,但它只能解决080%得安全问题,其余得安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应得弱化、系统得配置错误、对安全风险得感知程度低、动态变化得应用环境充满弱点等,这些都就就是对信息系统安全得挑战。信息系统得安全应该就就是一个动态得发展过程,应该就就是一种检测监视安全响应得循环过程。动态发展就就是系统

11、安全得规律。网络安全风险评估与入侵监测产品正就就是实现这一目标得必不可少得环节。网络安全检测就就是对网络进行风险评估得重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱得环节,检查报告系统存在得弱点、漏洞与不安全配置,建议补救措施与安全策略,达到增强网络安全性得目得。入侵检测系统就就是实时网络违规自动识别与响应系统。它位于有敏感数据需要保护得网络上或网络上任何有风险存在得地方,通过实时截获网络数据流,能够识别、记录入侵与破坏性代码流,寻找网络违规模式与未授权得网络访问尝试。当发现网络违规模式与未授权得网络访问时，入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录，

12、自动阻断通信连接或执行用户自定义得安全策略等。另外，使用P 信道加密技术(S)也可以在两个网络结点之间建立透明得安全加密信道。其中利用 IP 认证头(I H）可以提供认证与数据完整性机制。利用 I封装净载(IP EP)可以实现通信内容得保密。I信道加密技术得优点就就是对应用透明,可以提供主机到主机得安全服务,并通过建立安全得 IP 隧道实现虚拟专网即 VPN。目前基于 IPEC 得安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。五、校园网网络安全解决方案 5、1 基本防护体系（包过滤防火墙+T+计费)用户需求：全部或部分满足以下各项 解决内外网络边界安全,防止外部攻击，保护内部网络

13、解决内部网安全问题,隔离内部不同网段,建立LN 根据 IP 地址、协议类型、端口进行过滤 内外网络采用两套 IP 地址,需要网络地址转换 NT 功能 支持安全服务器网络 SS 通过P 地址与 MA地址对应防止 IP 欺骗 基于P 地址计费 基于 IP 地址得流量统计与限制 基于 IP 地址得黑白名单。防火墙运行在安全操作系统之上 防火墙为独立硬件 防火墙无 IP 地址 解决方案:选用宝信得 eCop XA30 5、2 标准防护体系(包过滤防火墙+NAT+计费代理+VN)用户需求:在基本防护体系配置得基础之上,全部或部分满足以下各项 提供应用代理服务，隔离内外网络 用户身份鉴别 权限控制 基于用户计费 基于用户得流量统计与控制 基于 WE得安全管理 支持 VN 及其管理 支持透明接入 具有自身保护能力,防范对防火墙得常见攻击 解决方案:(1）选用宝信得 eCop XSA3000 (2）防火墙基本配置网络加密机(IP协议加密机)、3 强化防护体系（包过滤+NAT计费+代理PN+网络安全检测 监控)用户需求:在标准防护体系配置得基础之上,全部或部分满足以下各项 网络安全性检测(包括服务器、防火墙、主机及其它/P 相关设备）操作系统安全性检测 网络监控与入侵检测 解决方案:选用宝信得 eC XS300+网络安全分析系统网络监控器