最新网络实训室建设规划方案.doc

《最新网络实训室建设规划方案.doc》由会员分享，可在线阅读，更多相关《最新网络实训室建设规划方案.doc（97页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络实训室建设规划方案(可以直接使用，可编辑 优秀版资料，欢迎下载）计算机网络实训室建设方案一、 总体目标在信息化技术飞速普及和发展的今天，社会对信息网络的依赖程度越来越高。社会对计算机网络建设、应用、管理维护人才需求越来越大,同时对网络技术人才要求标准较高，要求同时具备系统的理论知识、扎实熟练的动手能力。我校网络实训室总体的建设目标是打造理实一体化实训室,全面提升我校网络专业人才培养方式，培养出符合社会需要的网络技术人才。拓宽学生就业渠道,打响学校教育品牌。二、明确目标1.网络实训室能够提供网络专业学生“边做边学”环境。学生在动手实践中加深理论认识，同时提高分析问题、解决问题能力，加强职业素

2、质，包括：开拓精神、团队合作、服务意识、敬业精神等各方面素质的培养。2.满足专业课程开课的需要，提供网络建设人才、网络管理人才、网络编程人才三个方向的培训内容。实训室提供的实训功能，能够满足计算机网络基础、局域网组建与维护、中小型网络搭建与维护、企业网搭建上课的要求。3。能够成为网络相关专业考证的培训场所和考证场所。4。能够培养先进的网络专业知识研究环境，提高老师的专业知识水平，打造出精品课程和精品教材.二、 建设内容1。建设面积:60平米2.建设方案：拟建设共8个实训组，每组采用六角岛式办公桌，每组配备6台电脑，可供6名学生使用。实训室中有一个核心机柜，放置中心交换机组、防火墙以及必要的服务

3、器等。每个实训组都配备一个小机柜（RACK），用于放置本组的实训设备。每个实训组采用了专业的串行通信设备：访问控制服务器RCMS（机架控制和管理服务器）作为控制中心，统一为学生安排和清除本组RACK实训设备实验内容。每组的RCMS连接到核心交换机，形成整体的网络实训室,由老师统一化进行管理和调配。网络实训室逻辑拓扑如图1所示。从而整个实训室环境方案具有了最强烈的真实感和易操作性。图1实训中心能够在环境发生改变（如人员的大规模增加、需要进行大型项目的实验等）的情况下进行设备或模块的组合与增加，保证实训的教学质量。如图2所示:图23。具备实验的功能包括：交换实验交换机基本配置、交换机堆叠、利用TF

4、TP管理交换机配置、虚拟局域网VLAN、802.3ad冗余备份测试、生成树配置、IP访问列表、交换机集群管理、虚拟冗余网关VRRP、交换机安全、端口镜像。路由实验路由器的基本配置、TFTP管理路由器配置、PPP、静态路由、RIP Version 1/2路由协议、IP访问列表、网络地址转换、OSPF路由协议、路由备份技术、路由重分布、策略路由、网络地址转换的应用。安全试验实验-防火墙的基本设置、包过滤技术、QOS、防范攻击技术服务器认证实验-网络用户认证技术、网络常见应用服务器搭建技术(WWW、 FTP 、MAIL)三、 设备清单及经费A包:实训室管理设备设备类别技术参数单位数量单价（元）备注三

5、层交换机4插槽核心路由交换机机箱，电源11冗余，标配1个MRS-PWR-A1-AC-B交流电源，1个热插拔风扇盘，不含管理模块套1￥36,000 中心交换机,互连整个实验室网络，提供28个接口.可以在上面划分vlan。上面的三层交换机端口不足，需要扩展端口,根据实验室的信息点数来确定需要几台，一般情况下，加一台48口的交换机应该足够用了三层交换机模块DCRS-6804E增强系列管理模块,含1口万兆(XFP）24口千兆SFP接口12口10/100/1000Base-T（Combo）接口，基于ASIC的硬件线速 IPv6块1￥52,500 主控及提供24接口三层交换机模块DCRS6804E增强系列

6、管理模块，含1口万兆（XFP）24口10/100/1000Base-T12口千兆SFP(Combo)接口,基于ASIC的硬件线速 IPv6块1￥53，400 主控及提供24接口防火墙小型企业级安全网关DCFW-1800S-HV2 物理参数：1U标准机箱、5个10/100/1000M以太网电口 台1￥20,400 保证实验室与外网安全隔离，调试数据加密,可换其他型号网络实验室管理系统网络大学实验室管理控制中心， 增强版，1U机架式。4个千兆电口。支持网络实验设备的集中、统一管理。带有80个实验设备的使用许可套1￥38,640 每实验室只需要购买一套高端环保机柜(2米）DC-RACK-42UB新型

7、环保机柜(宽深高：600mm800mm2104mm)，标配：1个简易隔板,1个1U空白面板，1个1U水平理线架，1个6位专业排插，12个束线带.M5内六角扳手。(网络实验室推荐用高档机柜）台1￥9,690 小计210，630 B包:每个实训组设备设备名称技术参数单位数量单价（元）小计（元）备注串口控制服务器设备调试控制器，机架式.标配: 16个RJ45串行通信口,1个Console口， 2个10/100M以太网口， 10根串口控制线,1根Console控制线。台1￥7,140 7，140 实验台管理拓扑连接器网络拓扑连接器:48个连接口，最大24个连接组,连接组端口实现数据帧透明转发；4个Co

8、mbo千兆管理接口,支持数据镜像。用于网络实验室，配合Netcollege实现所见即所得的网络拓扑连接管理。台1￥10,650 10，650 三层IPv6交换机可堆叠智能安全路由交换机，24口10/100BaseTX，固化2个SFP千兆光口和2个10/100/1000Base-T千兆接口.实验室主力销售产品。台2￥8,550 17,100 二层交换机可堆叠智能安全交换机，24口10/100Base-TX,固化4个千兆/百兆Combo(SFP/GT)接口台2￥4，980 9,960 选择DCS395026C也可以，并且395026C也有堆叠线缆路由器模块化路由器，2个10/100Base-TX路

9、由口,2个高速同/异步串口，4个网络/语音接口卡插槽，1个配置口，1个AUX口(2个串口需另配CR-2-V35MT或CR2V35FC线缆）【R1版本】台4￥7，740 30,960 路由实验路由器线缆DB60(针)-1DB34 DCE(孔)+1DB34DTE(针),V.35 1拖2混合型线缆,适用于DCR-26系列标配2T端口及MR-WIC-2T、MRNM-4T、MR-NM1E2T、MR-NM2T1BS/T模块根4￥249 996 2611使用防火墙小型企业级安全网关DCFW1800S-HV2 物理参数：1U标准机箱、5个10/100/1000M以太网电口 台2￥20,400 40，800 教

10、材中既有S-H的界面，也有SH V2版本的界面合计￥220,716 8个实训组+管理设备总计：￥465,490.80四、 后期建设内容相关实验室的管理制度。计算机网络实训室平面图(面积：60m2)投影仪教师机空调空调说明：本实训室共配备中心机柜1个、教师机1台，6组实训设备，每组包含9台网络设备、6台计算机，总共计算机37台，其中教师机1台，网络设备超过60台，因此必须配备空调两台。123456机柜机柜机柜机柜机柜机柜机柜华山职业技术学校二一四年四月十四日网络安全建设方案2021年7月1。 前言11.1. 方案涉及范围11.2. 方案参考标准21。3。 方案设计原则32. 安全需求分析42。1

11、. 符合等级保护的安全需求42。1.1. 等级保护框架设计42。1.2。 相应等级的安全技术要求52.2。 自身安全防护的安全需求52.2.1。 物理层安全需求52。2.2。 网络层安全需求62。2。3. 系统层安全需求72。2。4. 应用层安全需求83。 网络安全建设内容83.1. 边界隔离措施103.1。1. 下一代防火墙103。1.2. 入侵防御系统123.1.3。 流量控制系统123。1。4。 流量清洗系统143.2。 应用安全措施143.2.1。 WEB应用防火墙143.2.2。 上网行为管理系统153。2.3. 内网安全准入控制系统163.3。 安全运维措施163.3.1. 堡垒机

12、163.3.2. 漏洞扫描系统173.3.3. 网站监控预警平台183。3。4。 网络防病毒系统193.3.5. 网络审计系统201. 前言1.1. 方案涉及范围方案设计中的防护重点是学校中心机房的服务器区域,这些服务器承载了学校内部的所有业务系统，因此是需要重点防护的信息资产。学校目前采取了数据大集中的模式,将所有的业务数据集中在中心机房,数据大集中模式将导致数据中心的安全风险也很集中，因此必须对中心机房服务器区域进行重点防护。方案中还要对综合网管区域、数据存储区域、办公区域进行规划和设计,纳入到整体的安全防护体系内.1.2. 方案参考标准本方案的主要规划的重点内容是网络安全防护体系，规划的

13、防护对象以学校数据中心为主,规划的参考标准是等级保护，该方案的设计要点就是定级和保障技术的规划，针对教育部和省教育厅对等级保护的相关要求,本方案将主要参考以下的标准进行规划：方案的建设思想方面，将严格按照湘教发【2021】33号文件关于印发湖南省教育信息系统安全等级保护工作实施方案的通知，该文件对计算机信息系统的等级化保护提出了建设要求，是我省今后一段时期内信息安全保障工作的纲领性文件,文件中对我省教育行业信息安全保障工作指出了总体思路.系统定级方面:参考信息系统安全等级保护定级指南，该指南适用于党政机关网络于信息系统，其中涉及国家秘密的网络与信息系统，按照国家有关保密规定执行，其他网络与信息

14、系统定级工作参考本指南进行，本指南对定级工作的原则、职责分工、工作程序、定级要素和方法进行了描述，并对网络与信息系统提出了最低安全等级要求，高等职业学校应不低于最低安全等级要求。在本项目中我们建议学校数据中心可按照二级的建设目标进行规划。本方案参考的指南和标准具体见下表：安全要素遵循标准指导思想中办200327号文件(国家信息化领导小组关于加强信息安全保障工作的意见）等级保护信息系统安全等级保护定级指南电子政务信息安全保障技术框架技术方面GB 18336信息技术 安全技术 信息技术安全性评估准则信息安全技术 信息系统安全等级保护基本要求（试用稿）1.3. 方案设计原则学校数据中心安全体系的建设

15、应遵循国家相关信息安全保障体系建设的总体原则，按照统一规划、统一标准、适度超前;分级、分阶段实施；互联互通、资源共享、安全保密；以需求为导向、以应用促发展的原则进行建设，本方案将严格遵从以下的建设原则:重点保护原则本次项目建设，属于学校信息安全保障体系的基础防护平台建设阶段，以基础性保障为准，同时对中心机房进行重点防护，根据信息系统安全等级保护定级指南,本方案针对重要的核心部位严格按照二级要求进行规划，确保重要的信息资产能够得到重点的防护,具备相当的抗攻击能力；分布实施原则数据中心建设的效果将直接影响学校的信息化建设，特别是安全保障体系的建设,因此在规划阶段必须通盘考虑，实施的时候可按照阶段进

16、行分布实施,确保学校信息化建设，以及安全保障体系的建设能够有序开展,并且前期的工作能够为后期的建设打好基础，避免重复建设；管理与技术并进的原则学校数据中心是一个高技术的系统工程，要实现各业务系统的功能和性能，又要采取先进的安全技术,还要对已建立的系统实施有效的安全管理，在进行安全技术基础设施建设时应注意建立配套的运行管理机制和安全规章制度。经济实用性原则对学校数据中心安全体系设计时，既要考虑安全风险和需求,又要考虑系统建设的成本,在保证整体安全的前提下，尽可能的减少投资规模,压缩开支。优化系统设计,合理进行系统配置，所采用的产品，要便于操作、实用高效。标准化原则技术的标准化是信息系统建设的基本

17、要求，也是电子化和信息化的前提.学校数据中心构成复杂、应用多种多样，为了保证信息的安全互通互连，确保安全保障体系建设的典型意义和全面推广应用价值，必须严格遵循国家和有关部门关于信息系统安全管理的规定及建设规范，按照统一的标准进行设计。适度安全原则任何信息系统都不能做到绝对的安全,学校数据中心也不例外.因此,在安全体系设计时，要在安全需求、安全风险和安全成本之间进行平衡和折中，过多的安全要求必将造成安全成本的迅速增加和运行的复杂性。统一规划原则信息安全保障体系的建设必须适应其信息化的要求,必须兼顾核心业务和非核心业务的信息化需求，从安全技术保障、安全组织保障和安全运营保障等角度出发，为学校规划全

18、面的信息安全保障体系.2. 安全需求分析从安全建设的角度，本方案认为学校的安全建设来自两个方面,一是从符合国家政策的角度,需要按照公安部的相关标准，按照分级、分域的建设思路，进行总体的安全规划和设计;另外也需要从自身安全防护的角度,分析对抗外部恶意攻击、防范内部误操作行为、规避物理安全风险、强化安全管理等方面的建设需求。具体内容如下：2.1. 符合等级保护的安全需求2.1.1. 等级保护框架设计本方案中，针对学校数据中心,按照功能类型的方式进行区域的划分，根据信息资产重要性的差别，划分为服务器区域、办公区域、运维区域、数据存储区域等；各区域内设备类型的差别,以及对业务应用影响的区别，导致各个区

19、域应该采用不同的安全防护要求.其中，服务器区域内主要是各类应用服务器，包括数据库服务器、各类业务系统等,该区域是数据中心最重要的信息资产，必须重点进行防护。运维区域内主要是目前已经采用的网络管理软件，包括运行网管软件的服务器和数据库系统，在本期项目建设中，还可以将一些软件的安全防护系统部署在该区域内，比如堡垒机、漏洞扫描系统等，其重要性仅次于服务器区域。数据存储区域则是方案建议规划出的一个区域，作为综合网管区域的本地数据灾备中心，该区域主要部署了磁盘柜等存储设备，由于在物理上该区域与服务器区域紧密相连，因此其重要性也是比较高的；办公区域：包括学校的办公人员的桌面用机,该区域的设备遭到破坏后，对

20、业务系统不会造成大面积的影响，因此重要性最低，但是该区域要做好防病毒、补丁管理、行为管理等方面，要防止该区域的设备被攻击者利用，作为进一步攻击其他区域的“跳板”；2.1.2. 相应等级的安全技术要求综合参考信息系统安全等级保护定级指南，我们可将学校网络和信息系统划分为网络基础设施、业务处理平台和应用系统三个层次，其中,业务处理平台包括了本地计算区域和区域边界。对服务器区域的安全防护机制按照二级的要求进行建设，对应用系统的安全防护机制按照二级的要求进行建设,其他区域可参考此标准，根据自身重要性的区别，适当调整技术要求。2.2. 自身安全防护的安全需求从自身安全防护的角度，我们认为学校数据中心除了

21、满足相关标准以外，还需要考虑物理、终端、边界、网络、系统和管理方面的安全风险，并由此产生了以下的安全需求。2.2.1. 物理层安全需求保证网络信息系统各种设备的物理安全是保证整个网络信息系统安全的基础。物理安全是保护计算机网络设备、设施以及其他介质免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： 环境安全：对系统所在环境的安全保护,如区域保护和灾难保护；（参见国家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求 ；设备安全：主要包括设备的防盗、防毁、防电磁信息辐射

22、泄漏、防止线路截获、抗电磁干扰及电源保护等； 介质安全：包括信息系统数据所依赖的存储介质和传输介质的安全,确保不会因为物理介质的故障导致信息数据受损; 2.2.2. 网络层安全需求网络是信息系统赖以存在的实体，离开了网络平台,信息的传递、业务的开展将无从依托，因此如何保障网络的安全，是构建学校数据中心系统安全架构的基础性工作，对于数据中心来讲，网络安全主要解决运行环境的安全问题，对应网络层安全威胁,网络安全主要的技术手段包括访问控制技术、加密传输技术、检测与响应技术等,对照学校数据中心的实际情况，我们看到其存在以下的安全需求：访问控制需求l 防范非法用户的非法访问非法用户的非法访问也就是黑客或

23、间谍的攻击行为.在没有任何防范措施的情况下,网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式，对有攻击目的的人而言,根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事,而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段,防范来自非法用户的攻击，严格控制只有合法用户才能访问合法资源。l 防范合法用户的非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息是可以对外开放，而有些信息是要求保密或具有一定的隐

24、私性。外部用户(指来自外部网络的合法用户）被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问权限进行严格控制。l 防范假冒合法用户的非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源.那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的IP地址或用户名等资源进行非法访问。因此，必需从访问控制上做到防止假冒而进行的非法访问。入侵防御需求防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。但网络配置

25、了防火墙却不一定安全,防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。因为网络安全是整体的，动态的,不是单一产品能够完全实现，所以确保网络更加安全必须配备入侵检测和响应系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）.2.2.3. 系统层安全需求安全漏洞检测和修补需求网络系统存在安全漏洞(如安全配置不严密等)和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素.入侵者通常都是通过一些程序来探测网络中系统中存在的一些安全漏洞，然后通过发现的安全漏洞,采取相就技术进行攻击，因此,必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞,并采用相应的措施填

26、补系统漏洞，对网络设备等存在的不安全配置重新进行安全配置。安全加固需求对关键的服务器主机系统进行安全加固，提供用户认证、访问控制和审计，严格控制用户对服务器系统的访问,禁止黑客利用系统的开口隐患和安全管理功能的不足之处进行非法访问,避免内部用户的滥用。2.2.4. 应用层安全需求防病毒需求针对防病毒危害性极大并且传播极为迅速的特点，必须配备涵盖客户端、服务器、邮件系统、互联网网关的整套防病毒体系，实现全网的病毒安全防护，彻底切断病毒繁殖和传播的途径。防垃圾邮件需求必须采用有效的手段防范互联网垃圾邮件进入网络内部邮件服务器系统，干扰正常业务通信.身份认证需求必须采用必要的用户身份认证和授权管理机

27、制，对网络用户身份的真实性、合法性进行集中的控制.数据安全需求对重要的业务数据和管理数据应提供可靠的备份和恢复机制，防止因非法攻击或意外事件造成数据的破坏或丢失；3. 网络安全建设内容建议在本期项目的建设中，重点从网络安全、系统安全、应用安全、管理安全的角度出发，进行建设，同时在本期项目成功建设的基础上，再进一步向物理安全、组织体系、运行体系方面进行扩展，实现全面的安全策略。具体的实施方案可参考下图表示：图3。1 学校网络安全拓扑示意图在本方案中，在互联网接入边界处部署防火墙系统,形成层次化的访问控制和区域隔离。特别针对服务器区域,利用安全边界接入平台技术加强访问控制力度,有效保障重要的应用系

28、统不受到非法的访问。此外，在服务器接入边界处部署入侵防御系统,一方面有效抵抗拒绝服务、扫描、恶意代码、木马、蠕虫等网络攻击行为,降低来自互联网和校园内部的威胁与风险。在防火墙边界隔离的基础上,部署入侵防御系统可以进行深度的检测与防护，提升系统的检测力度。同时，还在互联网接入边界处部署流量控制系统,根据应用和用户进行带宽的分配与监控。在WEB网站前端部署一台WEB应用防火墙,防范来自互联网对WEB网站的攻击行为。在互联网接入边界处部署上网行为管理系统,规范办公区人员的互联网行为，保障核心业务系统的流量带宽。同时，还在互联网接入边界处部署流量清洗系统，对网络中的异常流量进行分析和清洗，保障有限带宽

29、的合理化利用。在内网署一套安全准入控制系统,加强网络安全管理及内部PC的安全管理。部署堡垒机来对管理员和第三方维护人员进行设备维护时进行审计管理。部署漏洞扫描系统对全网的服务器、网络设备、安全设备和终端进行检测，发现网络中存在的安全漏洞，并采用相应的措施填补系统漏洞.参考图3。1，针对学校数据中心，采取的主要防护措施包括：3.1. 边界隔离措施3.1.1. 下一代防火墙防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通信，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通信，起到安全域划分、访问控制、NAT转换和杀毒、漏洞检测等防护的作用,同时该防火墙还作为

30、VPN网关为移动办公BYOD人员提供远程安全连接.通过使用防火墙过滤不安全的服务，提高网络安全和减少子网中主机的风险，提供对系统的访问控制；阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。设立防火墙的目的是保护一个网络不受来自另一个网络的攻击，防火墙的主要功能包括以下几个方面：1防火墙提供安全边界控制的基本屏障.设置防火墙可提高内部网络安全性,降低受攻击的风险；2防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件（如口令、加密、认证、审计等），比分散管理更经济；3防火墙强化安全认证和监控审计。因为所有进出

31、网络的数据流都必须通过防火墙，防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务;4防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器，即能防外，又能防止内部未经授权用户对外网的访问。防火墙设备的部署，可实现以下功能：1通过防火墙连接，隔离安全区域通过对访问请求的审核，我们隔离了内部网络同外部网络连接，可以达到保护脆弱的服务、控制对内部的访问、记录和统计网络利用数据以及非法使用数据和策略执行等功能.在有不安全网络接入时，全部通信都受到防火墙的监控，通过防护墙的策略可以设置成相应的保护级别，以保证系统的安全性.2过滤网络中不必要传输的垃圾数据防火墙是一种网关型的设备，各个区域之间的

32、通信,可以通过防火墙的添加，如果在其上添加一些策略,就可以过滤掉部分无用的信息，在网络中只能传输必要的应用数据.3利用防火墙的带宽控制功能，调整链路的带宽利用防火墙是一种网关型的设备，而且防火墙具有带宽控制的特性，可以依据应用来限制流量，来调整链路的带宽。实现每个用户、服务器的带宽控制，提高链路带宽利用的效率。4通过防火墙的保护，隐蔽内部网络信息，提高系统的安全性使得各个内网区不受到黑客的攻击,黑客无法通过防火墙进行扫描、攻击等非法动作。可防止黑客通过外部网对重要服务器的TCP/UDP的端口非法扫描,消除系统安全的隐患。可防止攻击者通过外部网对重要服务器的源路由攻击、IP碎片包攻击、DNS /

33、 RIP / ICMP攻击、SYN攻击、拒绝服务等多种攻击。防火墙还具有一定的入侵检测功能，当发现有绕过防火墙攻击重要服务器时,防火墙将自动报警并根据策略进行响应。5强大的应用层控制防火墙提供应用级透明代理，可以对高层应用(HTTP、FTP、SMTP、POP3、NNTP）做了更详细控制，如HTTP命令（GET，POST,HEAD)及URL,FTP命令（GEI,PUT)及文件控制.这对于提高网络中的应用服务器的安全非常有意义。3.1.2. 入侵防御系统刚才提到防火墙实现的是不同安全域之间的访问控制和管理，而入侵防御系统实现的是对整个内网的访问控制、数据包深度过滤、漏洞攻击防御、邮件病毒过滤、报文

34、完整性分析等功能，并提供更高的性能、更细的安全控制粒度、更深的内容攻击防御、更大的功能扩展空间、更丰富的服务和协议支持，为网络提供完整的立体式网络安全防护。入侵防御系统是在线部署在网络中，提供主动的、实时的防护，具备对2到7层网络的线速、深度检测能力,同时配合以精心研究、及时更新的攻击特征库，即可以有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理，从而达到对网络架构防护、网络性能保护和核心应用防护。3.1.3. 流量控制系统随着互联网的逐步发展，网上用户和业务流量在不断增长，除传统数据业务外，网络 、网络视频、P2P下载等新型网络应用使得骨干

35、网络中话音、视频、点到点下载流量在呈几何基数级膨胀趋势.今天的互联网用户中，没有听说或使用过Skype、QQ、MSN、BT、Emule、PPLive等应用的恐怕已经是极少数。网络应用繁荣的同时，网络管理的难度也随之增加.传统的网络设备由于无法识别应用层的流量信息，致使应用级别的管控不到位，网络管理的灰色地带不断增加.主要表现在：n 网络透明度降低：无法获知网上的各种应用及用户准确分布情况，无法针对不同用户、不同应用设置差异化的管理策略；n 网络资源滥用严重,难以进行有效控制管理:如,观看在线视频（网络电视、在线影视）、利用各种下载工具下载喜欢的音乐/影视等；致使网络链路经常处于流量饱和的状态，

36、无法满足日益增长的应用需求；n 关键用户、关键应用的服务质量难以得到有效保障:网络应用流量种类、数量不断增多,无序化的竞争经常导致关键用户、关键应用的服务体验的降低；n 网络安全性降低:由于网络的无序化管理，内部人员对网络应用的滥用，大量蠕虫病毒、DDOS攻击趁虚而入，这些以消耗网络资源为目的的流量类攻击发展迅猛，却没有有效的防范、控制手段，造成网络拥塞，甚至网络瘫痪，为网络安全带来了重大的隐患；另外，现有网络设备无法实现应用级别管控还会给各类不同用户带来其它一些严重问题,例如：n 对于企业网络：用户网络行为监管困难，既便制定了内部网络管理条例，员工的上网行为也难以进行有效的管理。例如，在工作

37、时间炒股票（大智慧、通花顺、钱龙等）、玩网络游戏（传奇、魔兽、联众、反恐精英等)、用MSN、QQ等即时通讯工具进行与工作无关的聊天等，这不仅会影响工作效率，也会给网络管理带来巨大隐患；n 对于电信运营商网络：对应用管控的缺失，造成非法VoIP、P2P应用、在线视频应用的泛滥，一方面，其占有了大量的网络资源,带来了扩容压力；另一方面，其也对运营商的主营业务(传统的语音业务、新兴的IPTV业务等)收入造成了巨大的影响。对于今天的网络管理者而言，如何深度感知网络应用,通过适当的带宽管理技术来解决带宽增长与业务收益、网络扩容与用户体验之间的不对称关系，实现对用户和业务的分级化识别管理，和基于用户和用户

38、业务流量的管理和增值显得尤为重要。在这种背景下，流量控制系统就能够很好的解决上述网络面临的问题,它通过高速数据内容检测、数据流状态监测、IP隧道和微码固件等方法，在对网络应用深度解析的基础上，实现了27层的应用识别分类、流量属性分析、流量策略管理、分类统计报告以及状态预警等多种功能。流控为提高网络透明度，实施网络应用服务管理以及拓展网络增值业务提供了有效和可靠的硬件平台，在对网络流量进行精确识别分析进而达到控制的目的的同时，巩固和加强了网络的安全管理。3.1.4. 流量清洗系统随着各种业务对Internet依赖程度的日益加强，DDoS攻击所带来的损失也愈加严重.包括运营商、企业及政府机构的各种

39、用户时刻都受到了DDoS攻击的威胁,而未来更加强大的攻击工具的出现，为日后发动数量更多、破坏力更强的DDoS攻击带来可能。正是由于DDoS攻击非常难于防御，以及其危害严重,所以如何有效的应对DDoS攻击就成为Internet使用者所需面对的严峻挑战.网络设备或者传统的边界安全设备,诸如防火墙、入侵检测系统，作为整体安全策略中不可缺少的重要模块，都不能有效的提供针对DDoS攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击,必须采用专门的设备，对攻击进行有效检测及阻断,进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式.因此,对骨干设备的防护也是整个网络环境的关键，建议在互

40、联网接入处部署专业的DDoS防护产品,保障用户网络可用性。3.2. 应用安全措施3.2.1. WEB应用防火墙随着信息技术的不断发展,互联网已经成为信息传播、流通、交换及存储的重要手段。信息高速公路的兴建使人类完全突破了传统的信息获取方式，存储在计算机中的资料都在逐渐增加,对信息的保护比以往更加重要也更加困难。由于 Internet 是个开放的网络，网站发布的信息一天二十四小时都在被查询、阅读、下载或转载。网站内容复制容易，转载速度快，学校WEB站点网页如果被篡改,后果难以预料，篡改网页将会被迅速、广泛传播，从而直接危害网站的利益。尤其是网站上发布的重要新闻、重大方针政策以及法规等，一旦被黑客

41、篡改,将严重影响政府形象，甚至造成重大的政治经济损失和恶劣的社会影响。WEB服务器前端部署WEB应用防火墙，可以提高相关WEB站点的安全性。当出现黑客攻击或工作人员某些操作失误，WEB应用防火墙能够实时恢复网站文件,保证网站的连续正常运行；同时还能够记录篡改事件的相关资料，从而为安全部门提供调查的线索和证据。WEB应用防火墙具备实时、低耗等性能指标,既能够保证篡改页面的立即恢复,又能保证网站的正常服务性能不受影响。WEB应用防火墙支持全透明部署模式,全面支持HTTPS协议，在提供WEB应用实时深度防御的同时实现WEB应用加速及敏感信息泄露防护,能够解决应用及业务逻辑层面的安全问题，特别是解决目

42、前所面临的各类网站安全问题,如：注入攻击、跨站脚本攻击（钓鱼攻击）、恶意编码(网页木马）、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。3.2.2. 上网行为管理系统随着信息化建设的开展，工作和生活对于互联网的依赖性越来越强.在学校职工利用互联网获得更多更及时地资源的时候,一些网络性能方面和应用方面的问题被暴露了出来,大量的P2P等非关键应用无情地吞噬着网络有限的带宽资源，使得网络管理人员头痛不已.在没有对P2P流量进行策略管理的时间段内，P2P等非关键应用的流量几乎占用了60-70%的网络带宽，关键性应用如OA、Email、WEB网站等却得不到保障，会严重影响了机关网络的健康发展。通

43、过在互联网出口处部署一台上网行为管理系统，对互联网资源做一个合理的流量控制，抑制P2P的滥用，并保障关键应用的带宽，大幅度提高访问互联网的速度,有效提升带宽利用率.上网行为管理系统提供了强大的网页过滤功能,屏蔽对非法网站的访问；提供基于时间、用户、应用的精细管理策略，控制职工在上班时间玩网络游戏、炒股、观看在线视频，以及无节制的网络聊天，从而保障工作效率；提供对电子邮件、即时通讯、论坛发帖等途径的外发信息进行监控审计，避免机密信息泄露或发表反动言论等。3.2.3. 内网安全准入控制系统学校业务种类越来越多，重要性越来越突出.所以办公计算机的系统安全以及日常的运行维护显的尤为重要,如果出现安全漏

44、洞或安全事故,将会严重影响整体业务运行安全。由于学校信息化程度较高，终端点数较多，对IT软硬件的资产管理及故障维护靠人工施行难度较大，且效率低下，迫切需要通过技术手段规范人员入网及日常终端使用行为。为加强网络安全管理及加强内部PC的安全管理，建议在内网部署一套安全准入控制系统，这套系统将重点解决以下问题: 用户入网身份证书认证化 入网终端登记注册认证化 违规终端不准入网、入网终端必合规 安全检查一目了然、智能傻瓜式修复 用户权限的细粒度分派及管理 全网终端软硬件资产合理、实时、有序管理 终端系统补丁、杀毒软件、应用程序等有效统一管理安全准入控制系统可以对所有的入网设备进行身份认证,包括MAC地址、IP地址、基于用户名和密码的身份、接入设备端口、所在VLAN等信息，还支持UKEY、支持智能卡、数字证书认证、LDAP、无缝结合域管理。保证接入设备为合法终端.3.3. 安全运维措施3.3.1. 堡垒机随着信息技术的不断发展和信息化建设的不断进步，业务应用、办公系统不断推出和投入运行，信息系统在政府机构运营中全面渗透。学校信息系统使用数量众多的网络设备、服务器主机来提供基础网络服务、运行关键业务。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生，另外黑客的恶意访问也有可能获取系统权限，闯入内