3校园网整体安全解决方案.doc

《3校园网整体安全解决方案.doc》由会员分享，可在线阅读，更多相关《3校园网整体安全解决方案.doc（5页珍藏版）》请在三一文库上搜索。

1、校园网整体安全解决方案校园网安全设计方案一、 校园网网络结构和应用系统概述校园网信息系统是校园网的数字神经中枢，合理的使用不仅能促进各院校的现代化教学改革、提高教学质量、改善教学环境，同时通过各院校之间的互联互通，将会极大的提高教育行业整体的工作效率和教育质量。校园网总体上分为校园内网和校园外网。校园内网主要包括教学局域网、图书馆局域网、办公自动化局域网等。校园外网主要指学校提供对外服务的服务器群、与CERNET的接入以及远程移动办公用户的接入等。教学局域网是教学人员利用计算机开展教学和学生通过计算机来学习的网络平台；图书馆局域网实现了图书馆的网络化管理以及图书的网上检索或浏览；办公自动化局域

2、网是教职员工自动化办公的平台，可以在此平台上开展公文管理、会议管理、档案管理以及个人办公管理等。实现包括教学管理、科研管理、学员管理、资产管理、人事管理、党务管理、财务管理、后勤管理等应用，形成院校的综合管理信息系统；校园外网的服务器群构成了校园网的服务系统，一般包括DNS、WEB、FTP、PROXY以及MAIL服务等。外部网实现了校园网与CERNET及INTERNET的基础接入，使院校教职工和学生能使用电子邮件和浏览器等应用方式，在教学、科研和管理工作中利用国内和国际网进行信息交流和共享。二、 校园网安全威胁分析校园网内的用户数量较大，局域网络数目较多，认真分析可以总结出校园网面临着如下的安

3、全威胁：1) 各种操作系统以及应用系统自身的漏洞带来的安全威胁；2) Internet网络用户对校园网存在非法访问或恶意入侵的威胁；3) 来自校园网内外的各种病毒的威胁，外部用户可能通过邮件以及文件传输等将病毒带入校园内网。内部教职工以及学生可能由于使用盗版介质将病毒带入校园内网；4) 内部用户对Internet的非法访问威胁，如浏览黄色、暴力、反动等网站，以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网；5) 内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击，导致网络及服务不可用；6) 校园网内的学生群体是主要的OICQ用户，目前针对OICQ的黑客程序随处可见

4、；7) 可能会因为校园网内管理人员以及全体师生的安全意识不强、管理制度不健全，带来校园网的威胁；三、 校园网安全方案设计上述分析的几点是当今校园网普遍面临的安全隐患。特别是近年来，随着学生宿舍、教职工家属等接入校园网后，网络规模急剧增大。同时，校园网络的应用水平也在不断提高。规模的壮大和运用水平的提高就决定了校园网面临的隐患也相应加剧。下图是比较普遍的校园网拓扑结构。基于此图，我们从物理、系统、网络、应用及管理五个层次分析和设计适合于校园网的安全建议方案。1 物理层安全物理层的安全主要包括环境、设备及线路的安全。系统中心或机房的建设应遵照：GB50173-93电子计算机机房设计规范、GB288

5、7-89计算机站场地安全要求及GB2887-89计算机站场地技术条件的要求。在设备集中的管理间安装干扰器防止由于设备辐射造成的信息泄漏。同时，要注意保护线路的安全，防止用户的搭线窃听行为。2 系统安全系统层主要解决的是由于各种操作系统、数据库、及相关产品的安全漏洞和病毒造成的威胁。解决的技术手段主要有以下几种：1)、采用主机加固手段对主机加固，如升级、打补丁、关闭不需要的端口等；2)、采用主机访问控制手段加强对主机的访问控制；3 网络层安全校园网中局域网数目较多，根据需要多个网络可能要互相联接。正是这种多网的互联，使我们对网络层的安全要极度重视。定义一个网络或各网络内不同安全等级的部分为不同的

6、安全域。安全域之间的连接处叫网络边界。下面主要讨论以下几方面的网络层安全防护：1) 划分安全子网。如果同一局域网内有不同等级的安全域，可以通过划分子网及VLAN的方法加以访问控制。如在教学局域网中学生机房和多媒体机房之间可以通过划分子网来控制，不允许学生机房的机器访问多媒体机房的机器。2) 加强网络边界的访问控制。安全等级差别较大的边界需要采用防火墙来控制。如校园内网、校园外网和Internet之间，利用防火墙进行访问控制和内容过滤。可有效地解决需求中提到的多种威胁。3) 防止内外的攻击威胁。在每个安全域内或多个安全域之间安装入侵检测系统（IDS）,可有效地防止来自网络内外的攻击。4) 定期的

7、网络安全性检测实现持续安全。利用漏洞扫描器（Scanner）,定期对系统进行安全性评估，及时发现安全隐患并实施修补，可达到网络的相对持续安全。5) 建立网络防病毒系统。在校园网中安装网络版的防毒系统，集中控制、管理查杀网络中服务器、终端的病毒，保护全网不被病毒侵害。4 应用层安全应用层的安全措施主要有以下几点：1)、各应用系统自身的加固；2)、建立身份认证系统；3)、建立安全审计系统；4)、建立备份系统；5 管理层安全实现管理层的安全主要注意以下几点：1)、建立安全管理平台。主要是指将各种安全系统或设备集中控管、综合分析。2)、建立、健全安全管理体制。校园网用户较多，一定要建立一套合理可行的安

8、全管理制度。只有制度和设备的完美结合才能真正提高校园网的安全水平。3)、提高全员的安全意识。校园网络安全整体解决方案校园网已经在我国的教育系统广泛使用，在广大教育工作者和学生们享受它带来的方便的同时，校园网的信息安全问题，也日益突出。在DDOS攻击在互联网上活动猖獗的时候，大部分攻击都是利用校园网的主机进行的。黑客利用这些主机在管理上的松懈来达到发动攻击的目的，同时也隐藏了自己。由此可见，校园网存在严重的安全隐患。联想根据校园网系统的具体特点，建立一个防护-检测-响应的完整的安全防护体系，从而提高整个网络的安全，保证应用系统的安全性。 防火墙设置保护校园网内部网不被非授权用户访问，控制互联网用户对网站系统的访问。 防火墙IDS模块保护校园网系统免遭网络攻击。 防火墙防病毒模块保护校园网系统免遭计算机病毒的侵害。 主页防篡改监控系统保护网站主页面不被非授权删除、修改、替换。 VPN加密网关保护校园网各分支机构之间传输的机密数据的传输安全。 邮件服务器防病毒系统防止计算机病毒通过邮件系统在校园网内传播。