信息安全设计专业方案.docx

设计方案 一、 立项背景 伴随高校内多种网络工程深入实施，学校教育信息化、校园网络化已经成为网络时代教育发展方向。在当今互联网环境下，计算机被攻击、破坏事件常常发生，我们常常需要面正确信息安全问题有：黑客侵袭、内部漏洞、病毒干扰、人为错误等。所以，在校园网络建设中，网络信息安全成为需要尤其考虑问题。 1.1、校园网信息系统安全现实状况 校园网信息系统安全现实状况 1、安全意识淡薄校园网上接入终端仍存在用户空口令或简易口令终端设备;有些个人计算机系统漏洞百出;既不安装防火墙又不安装(或更新)杀毒软件;网络 IP地址盗用;专用网和公网混用等等 2、安全体系松散缺乏安全预警及监控体系, 管理员不能立即发觉网络系统存在最新漏洞。 3、网络上病毒、攻击泛滥伴随校园网络规模不停扩大、性能不停提升, 计算机病毒传输路径日益增多、传输速度越来越快, 造成影响也就越来越严重 1.2、现有安全技术和需求 1．操作系统和应用软件本身身份认证功效，实现访问限制。 2．定时对关键数据进行备份数据备份。 3．每台校园网电脑安装有防毒杀毒软件。 1．构建涵盖校园网全部入网设备病毒立体防御体系。 计算机终端防病毒软件能立即有效地发觉、抵御病毒攻击和根本清除病毒，经过计算机终端防病毒软件实现统一安装、统一管理和病毒库更新。 2. 建立全天候监控网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问异常行为进行监测和报警。 3. 建立高效可靠内网安全管理体系 只有处理网络内部安全问题，才能够排除网络中最大安全隐患，内网安全管理体系能够从技术层面帮助网管人员处理好繁杂用户端问题。 4. 建立虚拟专用网(VPN)和专用通道 使用VPN网关设备和相关技术手段，对机密性要求较高用户建立虚拟专用网。 经调查，现有校园网络拓扑图以下： 二、设计方案拓扑图 三、设计标准 依据防范安全攻击安全需求、需要达成安全目标、对应安全机制所需安全服务等原因，参考SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准，综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵照以下9项标准： 设计标准 1．网络信息安全木桶标准 2．网络信息安全整体性标准 3．安全性评价和平衡标准 4．标准化和一致性标准 5．技术和管理相结合标准 6．统筹计划，分步实施标准 7．等级性标准 8．动态发展标准 9．易操作性标准 3.2.物理层设计 3.2.1物理位置选择 物理位置选择 1、物理访问控制 2、防偷窃和防破坏 3.防雷击 4.防火 5.防水和防潮 6.防静电 7. 温湿度控制 8、电力供给 9.电磁防护要求 3.3网络层设计 3.3.1防火墙技术 建立在现代通信网络技术和信息安全技术基础上防火墙技术是现在应用最广泛防护技术．在逻辑上，它既是一个分离器也是一个限制器，同时它还是一个分析器，经过设置在异构网络(如可信校园网和不可信公共网)之间一系列部件组合有效监控内部网和外层网络之间信息流动，使得只有经过精心选择应用协议才能经过，确保了内网环境安全，图所表示： 作为校园网安全屏障，防火墙是连接内、外层网络之间信息唯一出入口，依据具体安全政策控制(许可、拒绝、监测)出入网络信息流．校园网络管理员要将诸如口令、加密、身份认证、审计等全部安全软件配置在防火墙上方便对网络存取和访问进行监控审计．同时利用防火墙日志统计功效做好备份，提供网络使用情况统计数据。 假定校园网经过Cisco路由器和CERNET相连。校园内IP地址范围是确定 ，且有明确闭和边界。它有一个C类IP地址，有DNS，Email，WWW，FTP等服务器， 可采取以下存取控制策略。    对进入CERNET主干网存取控制        校园网有自己IP地址，应严禁IP地址从本校路由器访问CERNET。可用下述命令设 置和校园网连接路由器：          Interface E0    Decription campusNet          Ipadd  162.105.17.1          access_list group 20 out          !    access_list 20 permit ip 162.105.17.0 0.0.225  2: 对网络中心资源主机访问控制        网络中心DNS，Email，FTP，WWW等服务器是关键资源，要尤其保护，可对 网络中心所在子网严禁DNS，Email，WWW，FTP以外一切服务。  3：对校外非法网址访问  通常情况，部分传输非法信息站点关键在校外，而这些站点域名可能是已知 ，这时可经过计费系统取得最新IP访问信息，利用域名查询或字符匹配等方法确定 来自某个IP访问是非法。 3.3.2、拓扑结构： 3.4、网络层设计 网络层设计 1.防火墙技术 2.虚拟专网(VPN)技术 3.身份认证技术 4．加密技术 5．物理隔离 6．防毒网关 7.网络地址转换技术 8.代理服务及路由器 9.安全扫描 10.入侵检测 11.用户身份认证 12.权限控制 13.用户端安全防护 14.安全检测 3.5传输层安全 操作系统是整个园区网系统工作基础，也是系统安全基础，所以必需采取方法确保操作系统平台安全。安全方法关键包含：采取安全性较高系统，对系统文件加密，操作系统防病毒、系统漏洞及入侵检测等。 传输层安全 1.采取安全性较高系统 2.加密技术 3.病毒防范 4.安全扫描 5.入侵检测 3.6、应用层安全 应用层安全 1.蠕虫过滤 2.病毒过滤 3.垃圾邮件过滤 4.内容过滤 3.7、管理层安全 1. 制订一套严谨严格操作守则。要求网管人员严格根据守则进行管理工作。 2． 加强网络管理人员培训。定时对网管人员进行培训，并出外考察，多增加和时俱进网管技术。 四、材料清单和工程设计 4.1、材料清单 项目 型号 用途 数量 中心交换机 RG-S6806 中心交换机 2台 防火墙 RG-WALL100 确保信息安全 2台 路由器 TP-LINK TL-WR841N 连接外网 1台 VPN网关 CyLan SME-500 虚拟专用隧道网络 集成于防火墙 IDS 入侵检测 一套