校园网络安全设计方案
校园网络安全设计方案
一、安全需求
1.1.1网络现状
随着信息技术的不断发展和网络信息的海量增加,校园网的安全形势日益严峻,目前校园网安全防护体系还存在一些问题,主要体现在:网络的安全防御能力较低,受到病毒、黑客的影响较大,对移动存储介质的上网监测手段不足,缺少综合、高效的网络安全防护和监控手段,削弱了网络应用的可靠性。因此,急需建立一套多层次的安全管理体系,加强校园网的安全防护和监控能力,为校园信息化建设奠定更加良好的网络安全基础。
经调查,现有校园网络拓扑图如下:
1.1.2应用和信息点
楼号&
该楼用
途每层
主机
数
层数每栋
信息
点总
数
实现功能
3行政,办
公,网络
中心50)
4
200主要以校领导、财务、人事为主要
用户。主要是网络中心、计算机机
房、网络实验室为主。网络中心负
责网络维护,管理,中心内设有网
站、电子邮箱、精品课程、FTP资
源、办公系统以及视频点播等服务
器。
.现有安全技术
\
1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
.安全需求
1.构建涵盖校园网所有入网设备的病毒立体防御体系。
计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
2. 建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。
·
3. 建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。
4. 建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
二.安全设计
1.1设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:
1.网络信息安全的木桶原则
网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的“最易渗透原则”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点"的安全性能。
2.网络信息安全的整体性原则
要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。
3.安全性评价与平衡原则
对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。
4.标准化与一致性原则
系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。
5.技术与管理相结合原则
安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
6.统筹规划,分步实施原则
由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性。随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。
7.等级性原则
等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为
不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
8.动态发展原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
9.易操作性原则
首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
.物理层设计
{
1.物理位置选择
机房应选择在具有防震、防风和防雨等能力的建筑内;机房的承重要求应满足设计要求;机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁;机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染,易发生火灾、水灾,易遭受雷击的地区。
2.物理访问控制
有人值守机房出入口应有专人值守,鉴别进入的人员身份并登记在案;无人值守的机房门口应具备告警系统;应批准进入机房的来访人员,限制和监控其活动范围;应对机房划分区域进行管理,区域和区域之间设置物理隔离装置,在重要区域前设置交付或安装等过渡区域。服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。在自己的办工桌上安上笔记本电脑安全锁,以防止笔记本电脑的丢失。
3.防盗窃和防破坏
应将相关服务器放置在物理受限的范围内;应利用光、电等技术设置机房的防盗报警系统,以防进入机房的盗窃和破坏行为;应对机房设置监控报警系统。
4.防雷击
机房建筑应设置避雷装置;应设置防雷保安器,防止感应雷;应设置交流电源地线。
;
5.防火
应设置火灾自动消防系统,自动检测火情,自动报警,并自动灭火;机房及相关的工作房间和辅助房,其建筑材料应具有耐火等级。
6.防水和防潮
水管安装不得穿过屋顶和活动地板下;应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;应采取措施防止雨水通过屋顶和墙壁渗透;应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
7.防静电
应采用必要的接地等防静电措施;应采用防静电地板。
8. 温湿度控制
应设置恒温恒湿系统,使机房温、湿度的变化在设备运行所允许的范围之内。防尘和有害气体控制;机房中应无爆炸、导电、导磁性及腐蚀性尘埃;机房中应无腐蚀金属的气体;机房中应无破坏绝缘的气体。
>
9.电力供应
机房供电应与其他市电供电分开;应设置稳压器和过电压防护设备;应提供短期的备用电力供应(如UPS设备);应建立备用供电系统(如备用发电机),以备常用供电系统停电时启用。
10.电磁防护要求
应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰;电源线和通信线缆应隔离,避免互相干扰。
.网络层设计
1.防火墙技术
建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一个限制器,同时它还是一个分析器,通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动,使得只有经过精心选择的应用协议才能通过,保证了内网环境的安全,如图1所示
。
作为校园网安全的屏障,防火墙是连接内、外层网络之间信息的唯一出入口,根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计.同时利用防火墙的日志记录功能做好备份,提供网络使用情况的统计数据
2.虚拟专网(VPN)技术
对于从专线连接的外部网络用户,采用虚拟专网(VPN)技术,它使架设于公众网络上的园区网使用信道协议及相关的安全程序进行保密,还可以采用点对点协议、加密后送出资料及加密收发两端网络位置等措施使虚拟专网更加可靠。
3.身份认证技术
对于拨号进入园区网的用户进行严格控制,在拨号线路上加装保密机,使无保密机的用户无法拨通;通过用户名和口令的认真检查用户身份;利用回拨技术再次确认和限制非法用户的入侵。
4.加密技术
在外部网络的数据传输过程中,采用密码技术对信息加密是最常用的安全保护手段。目前广泛使用的有对称算法和非对称算法两类加密算法,两种方法结合使用,加上数字签名、数字时间戳、数字水印及数字证书等技术,可以使通信安全得到保证。为存放秘密信息的服务器加装密码机,对园区网上传输的秘密信息加密,以实现秘密数据的安全传输。
5.物理隔离
】
公共网络及因特网上黑客日益猖獗,加上我国使用的计算机及网络设备的软硬件产品大多数是进口的,安全上没有很好的保证,因而将外部网络中的因特网与专用网络如军用网实现物理隔离,使之没有任何连接,可以使园区网与外部专用网络连接时,园区网与Internet无物理联系在安全上较为稳妥。
6.防毒网关
防火墙无法防止病毒的传播,因而需要安装基于Internet网关的防毒软件,具体可以安装到代理服务器上,以防止Internet病毒及Java程序对系统的破坏。
7.网络地址转换技术
当园区网内部主机与外部相连时,使用同一IP地址;相反,外部网络与园区网主机连接时,必须通过网关映射到园区网主机上。它使外部看不到园区网,从而隐藏内部网络,达到保密作用,同时,它还可以解决IP地址的不足。
8.代理服务及路由器
可以根据设置地址、服务、内容等要素来控制用户的访问,代理服务器及路由器起访问的中介作用,使园区网和外部网络间不能直接访问,从而保证内部关键信息的安全。
9.安全扫描
&
可以通过各种安全扫描软件对系统进行检测与分析,迅速找到安全漏洞并加以修复。目前有多种软件可以对设备进行扫描,检查它们的弱点并生成报表。
10.入侵检测
可以采用一些安全产品对网络上流动的数据包进行检查,识别非法入侵和其它可疑行为,并给予及时的响应及防护。如下图所示。
11.用户的身份认证
用户入网访问控制分为三步,即用户名的验证;用户口令的验证;用户帐号的验证。用户口令是入网的关键,必须经过加密,用户还可采用一次一密的方法,或者使用智能卡来验证用户身份。同时,可将用户与所用的计算机联系起来,使用户用固定的计算机上网,以减少用户的流动性,加强管理。
12.权限控制
这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源及用户可执行的操作。
*
13.客户端安全防护
首先,应切断病毒传播的途径,降低感染病毒的风险;其次,使用的浏览器必须确保符合安全标准,使客户端的工作站得到安全保证。
14.安全检测
使用安全检测和扫描软件对网络设备和客户端工作站进行检测和分析,查找安全漏洞并加以修复,使用防病毒软件进行病毒查找和杀毒工作。
加密,访问控制,数字签名,入侵检测,扫描,物理隔
离,安全协议
.传输层安全
操作系统是整个园区网系统工作的基础,也是系统安全的基础,因而必须采取措施保证操作系统平台的安全。安全措施主要包括:采用安全性较高的系统,对系统文件加密,操作系统防病毒、系统漏洞及入侵检测等。
1.采用安全性较高的系统
;
美国国防部技术标准把操作系统安全等级分为D1、C1、C2、B1、B2、B3、A 级,安全等级由低到高,目前主要的操作系统等级为C2级。在使用C2级系统时,应尽量使用C2级的安全措施及功能,对操作系统进行安全配置。在极端重要的园区网系统中,应采用B级操作系统。
2.加密技术
对操作系统中某些重要的文件进行加密,防止非法出版的读取及修改。
3.病毒的防范
在园区网主机上安装防病毒软件,对病毒进行定时或实时的病毒扫描及检测,对防病毒软件进行及时升级以发现和杀灭新型的病毒。
4.安全扫描
通过对园区网主机进行一系列设置和扫描,对系统的各个环节提供可靠的分析结果,为系统管理员提供可靠性和安全性分析报告,对系统进行及时升级以弥补漏洞及关闭“后门”。
5.入侵检测
$
安装基于主机的入侵检测系统,可检查操作系统日志和其它系统特征,判断入侵事件,在非法修改主页时自动作出反应,对已入侵的访问和试图入侵的访问进行跟踪记录,并及时通知系统管理员,使管理员可对网络的各种活动进行实时监视。
.应用层安全
1.蠕虫过滤
蠕虫可以利用电子邮件、文件传输等方式进行扩散,也可以利用系统的漏洞发起动态攻击。病毒防御体系可以根据蠕虫的特点实行多层次处理,在网络层和传输层过滤蠕虫利用漏洞的动态攻击数据,在应用层过滤利用正常协议(SMTP、HTTP、POP3、FTP)传输的静态蠕虫代码。
2.病毒过滤
对于网页浏览(HTTP协议)、文件传输(FTP协议)、邮件传输(SMTP、POP3协议)等病毒,基于专门的病毒引擎进行查杀。对于邮件病毒,可以定义对病毒的处理方式,决定清除病毒、删除附件、丢弃等操作,发现病毒时通知管理员、收件人、发件人等操作。
3.垃圾邮件过滤
垃圾邮件类型大致可以分为以下四种类型:邮件头部包含垃圾邮件特征的邮件;邮件内容包含垃圾邮件特征的邮件;使用Open Relay主机发送的垃圾邮件(Open Relay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件);邮件头部和内容都无法提取特征的垃圾邮件。
&
病毒防御体系按照协议特征对数据包进行分析、重组及解码,按照安全规则通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。可以限制IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、域名等进行过滤;支持对伪装邮件过滤。
4.内容过滤
支持对邮件关键字、附件文件类型进行过滤,通过定义可信或不可信的URL 并进行过滤,可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤,防止敏感信息的侵扰和扩散。
.管理层安全
1. 制定一套严谨严格的操作守则。
要求网管人员严格按照守则进行管理工作,
2.加强网络管理人员的培训。定期对网管人员进行培训,并出外考察,多增长与时俱进的网管技术
三、材料清单和工程设计
.
材料清单
项目型号用途数量
中心交换机RG-S6806中心交换机*
2台
防火墙RG-WALL100确保信息安全2台
路由器TP-LINK TL-WR841N连接外网.
1台
VPN网关CyLan SME-500虚拟专用隧道网络集成于防火墙IDS入侵检测^
一套
设计方案
四、施工
病毒立体防御体系的构建与实施
包括两个方面的内容:一是在内部网络设置防病毒管理与分发服务器,各终端计算机与服务器通过网络相连,形成内部网络的病毒防御系统。二是设置网关防病毒系统,对网络的出入口数据流量进行病毒扫描和过滤。
1.设置防病毒管理与分发服务器
校园网的防病毒管理与分发服务器与上级信息管理中心的防病毒控制中心服务器网络相连,直接接受上一级服务器提供的病毒库升级、客户端防病毒软件升级、广域网病毒扫描和过滤等服务。引导校园网用户自觉把个人用计算机及单位用计算机作为防病毒客户端与防病毒管理与分发服务器进行联接;二是对防病毒管理与分发服务器进行相关配置,使得服务器能够及时对客户端实施病毒自动更新,能够对客户端进行自动或手工方式的病毒扫描和查杀。
2.网关防病毒系统
网关防病毒系统部署在校园网的出入口处。系统能够实现:无人值守,自动操作,可实现自动发现、清除病毒,自动报警,时刻保护网络免受病毒和蠕虫侵害。
入侵检测系统的构建与实施
入侵检测系统包括两个部分:一是传感器,负责采集数据(网络包、系统日志等)、分析数据并生成安全事件;二是控制台,主要承担中央管理的作用。
该系统能够根据应用需要配置若干块网卡,以同时收集若干个网段的数据,进行实时的入侵分析。该系统既可以独立使用,又可以与防火墙配合使用,作为防火墙的补充,提供入侵检测,并对现有的设置进行审计。
入侵检测系统在校园网需检测的网段处以旁路方式接入。
内网安全管理体系的构建与实施
在指定服务器配置内网安全管理系统,校园网联网计算机下载客户端软件,与内网安全管理系统实现网络连接,接受内网安全管理系统提供的安全服务,形成内网安全管理体系。
虚拟专用网(VPN)的构建与实施
在校园网出入口处部署SSL VPN硬件网关,广域网用户利用SSL VPN网关访问校园网资源。实现校园网和广域网的虚拟专用网连接。这种部署方式具有以下特点:一是客户端内不用安装VPN 客户端软件,易部署、管理和扩展;二是无须在
防火墙上为SSL VPN设备做特定的设置。三是兼容B/S和C/S,能达到好管理、好维护、低成本、高利用率的效果。
五、售后服务