校园网络安全实施专项方案.doc

1、校园网络安全实施方案校园网网络是一个分层次拓扑结构，所以网络安全防护也需采取分层次拓扑防护方法。即一个完整校园网网络信息安全处理方案应该覆盖网络各个层次，而且和安全管理相结合。一、 网络信息安全系统设计标准 1.1满足Internet分级管理需求 1.2需求、风险、代价平衡标准 1.3综合性、整体性标准 1.4可用性标准 1.5分步实施标准 现在，对于新建网络及已投入运行网络，必需立即处理网络安全保密问题，设计时应遵照以下思想：（1）大幅度地提升系统安全性和保密性； （2）保持网络原有性能特点，即对网络协议和传输含有很好透明性；（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

2、 （4）尽可能不影响原网络拓扑结构，便于系统及系统功效扩展； （5）安全保密系统含有很好性能价格比，一次性投资，能够长久使用； （6）安全和密码产品含有正当性，并便于安全管理单位和密码管理单位检验和监督。 基于上述思想，网络信息安全系统应遵照以下设计标准： 满足因特网分级管理需求 依据Internet网络规模大、用户众多特点，对Internet/Intranet信息安全实施分级管理处理方案，将对它控制点分为三级实施安全管理。 - 第一级：中心级网络，关键实现内外网隔离；内外网用户访问控制；内部网监控；内部网传输数据备份和稽查。 - 第二级：部门级，关键实现内部网和外部网用户访问控制；同级部门间

3、访问控制；部门网内部安全审计。 - 第三级：终端/个人用户级，实现部门网内部主机访问控制；数据库及终端信息资源安全保护。 需求、风险、代价平衡标准 对任一网络，绝对安全难以达成，也不一定是必需。对一个网络进行实际额研究（包含任务、性能、结构、可靠性、可维护性等），并对网络面临威胁及可能负担风险进行定性和定量相结合分析，然后制订规范和方法，确定本系统安全策略。 综合性、整体性标准应用系统工程见解、方法，分析网络安全及具体方法。安全方法关键包含：行政法律手段、多种管理制度（人员审查、工作步骤、维护保障制度等）和专业方法（识别技术、存取控制、密码、低辐射、容错、防病毒、采取高安全产品等）。一个很好安

4、全方法往往是多个方法合适综合应用结果。一个计算机网络，包含个人、设备、软件、数据等。这些步骤在网络中地位和影响作用，也只有从系统综合整体角度去看待、分析，才能取得有效、可行方法。即计算机网络安全应遵照整体安全性标准，依据要求安全策略制订出合理网络安全体系结构。 可用性标准 安全方法需要人为去完成，假如方法过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似问题。其次，方法采取不能影响系统正常运行，如不采取或少采取极大地降低运行速度密码算法。 分步实施标准：分级管理 分步实施因为网络系统及其应用扩展范围宽广，伴随网络规模扩大及应用增加，网络脆弱性也会不停增加。一劳永逸地处理网络安全问题是不

5、现实。同时因为实施信息安全方法需相当费用支出。所以分步实施，即可满足网络系统及信息安全基础需求，亦可节省费用开支。 二、 网络信息安全系统设计步骤网络安全需求分析 确立合理目标基线和安全策略 明确准备付出代价 制订可行技术方案 工程实施方案（产品选购和定制） 制订配套法规、条例和管理措施 本方案关键从网络安全需求上进行分析，并基于网络层次结构，提出不一样层次和安全强度校园网网络信息安全处理方案。 三、 网络安全需求 确切了解校园网网络信息系统需要处理哪些安全问题是建立合理安全需求基础。通常来讲，校园网网络信息系统需要处理以下安全问题：局域网LAN内部安全问题，包含网段划分和VLAN实现 在连接

6、Internet时，怎样在网络层实现安全性 应用系统怎样确保安全性 l 怎样预防黑客对网络、主机、服务器等入侵 怎样实现广域网信息传输安全保密性 加密系统怎样部署，包含建立证书管理中心、应用系统集成加密等 怎样实现远程访问安全性 怎样评价网络系统整体安全性 基于这些安全问题提出，网络信息系统通常应包含以下安全机制：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息（如NAT）等。四、 网络安全层次及安全方法 4.1链路安全 4.2网络安全 4.3信息安全 网络安全层次分为:链路安全、网络安全、信息安全 网络安全层次及在对应层次上采取安全方法见下表。 信息安全 信息传输安全（动态安全

7、） 数据加密 数据完整性判别 安全管理 信息存放安全（静态安全） 数据库安全 终端安全 信息防泄密 信息内容审计 用户 判别 授权（CA） 网络安全 访问控制（防火墙) 网络安全检测 入侵检测（监控) IPSEC（IP安全） 审计分析 链路安全 链路加密 4.1链路安全链路安全保护方法关键是链路加密设备，如多种链路加密机。它对全部用户数据一起加密，用户数据经过通信线路送到另一节点后立即解密。加密后数据不能进行路由交换。所以，在加密后数据不需要进行路由交换情况下，如DDN直通专线用户就能够选择路由加密设备。通常，线路加密产品关键用于电话网、DDN、专线、卫星点对点通信环境，它包含异步线路密码机和

8、同时线路密码机。异步线路密码机关键用于电话网，同时线路密码机则可用于很多专线环境。 42网络安全网络安全问题关键是由网络开放性、无边界性、自由性造成，所以我们考虑校园网信息网络安全首先应该考虑把被保护网络由开放、无边界网络环境中独立出来，成为可管理、可控制安全内部网络。也只有做到这一点，实现信息网络安全才有可能，而最基础分隔手段就是防火墙。利用防火墙，能够实现内部网（信任网络）和外部不可信任网络（如因特网）之间或是内部网不一样网络安全域隔离和访问控制，确保网络系统及网络服务可用性。 现在市场上成熟防火墙关键有以下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过

9、滤和应用代理型防火墙结合。包过滤防火墙通常基于IP数据包源或目标IP地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式防火墙有着更高网络性能和愈加好应用程序透明性。代理型防火墙作用在应用层，通常能够对多个应用协议进行代理，并对用户身份进行判别，并提供比较具体日志和审计信息；其缺点是对每种应用协议全部需提供对应代理程序，而且基于代理防火墙常常会使网络性能显著下降。应指出是，在网络安全问题日益突出今天，防火墙技术发展快速，现在部分领先防火墙厂商已将很多网络边缘功效及网管功效集成到防火墙当中，这些功效有：VPN功效、计费功效、流量统计和控制功效、监控功效、NAT功效等等。信息系统是

10、动态发展改变，确定安全策略和选择适宜防火墙产品只是一个良好开端，但它只能处理60%80%安全问题，其它安全问题仍有待处理。这些问题包含信息系统高智能主动性威胁、后续安全策略和响应弱化、系统配置错误、对安全风险感知程度低、动态改变应用环境充满弱点等，这些全部是对信息系统安全挑战。信息系统安全应该是一个动态发展过程，应该是一个检测监视安全响应循环过程。动态发展是系统安全规律。网络安全风险评定和入侵监测产品正是实现这一目标必不可少步骤。网络安全检测是对网络进行风险评定关键方法，经过使用网络安全性分析系统，能够立即发觉网络系统中最微弱步骤，检验汇报系统存在弱点、漏洞和不安全配置，提议补救方法和安全策略

11、，达成增强网络安全性目标。入侵检测系统是实时网络违规自动识别和响应系统。它在有敏感数据需要保护网络上或网络上任何有风险存在地方，经过实时截获网络数据流，能够识别、统计入侵和破坏性代码流，寻求网络违规模式和未授权网络访问尝试。当发觉网络违规模式和未授权网络访问时，入侵检测系统能够依据系统安全策略做出反应，包含实时报警、事件登录，自动阻断通信连接或实施用户自定义安全策略等。另外，使用IP信道加密技术（IPSEC）也能够在两个网络结点之间建立透明安全加密信道。其中利用IP认证头（IP AH）能够提供认证和数据完整性机制。利用IP封装净载（IP ESP）能够实现通信内容保密。IP信道加密技术优点是对应

12、用透明，能够提供主机到主机安全服务，并经过建立安全IP隧道实现虚拟专网即VPN。现在基于IPSEC安全产品关键有网络加密机，另外，有些防火墙也提供相同功效。五、 校园网网络安全处理方案 5.1 基础防护体系（包过滤防火墙NAT计费） 用户需求：全部或部分满足以下各项 处理内外网络边界安全，预防外部攻击，保护内部网络 处理内部网安全问题，隔离内部不一样网段，建立VLAN 依据IP地址、协议类型、端口进行过滤 内外网络采取两套IP地址，需要网络地址转换NAT功效 支持安全服务器网络SSN 经过IP地址和MAC地址对应预防IP欺骗 基于IP地址计费 基于IP地址流量统计和限制 基于IP地址黑白名单。

13、 防火墙运行在安全操作系统之上 防火墙为独立硬件 防火墙无IP地址 处理方案：选择宝信 eCop XSA3000 5.2 标准防护体系（包过滤防火墙NAT计费代理VPN） 用户需求：在基础防护体系配置基础之上，全部或部分满足以下各项 提供给用代理服务，隔离内外网络 用户身份判别 权限控制 基于用户计费 基于用户流量统计和控制 基于WEB安全管理 支持VPN及其管理 支持透明接入 含有本身保护能力，防范对防火墙常见攻击处理方案：（1）选择宝信 eCop XSA3000 （2）防火墙基础配置网络加密机（IP协议加密机） 5.3 强化防护体系（包过滤NAT计费代理VPN网络安全检测 监控） 用户需求：在标准防护体系配置基础之上，全部或部分满足以下各项 网络安全性检测（包含服务器、防火墙、主机及其它TCP/IP相关设备） 操作系统安全性检测 网络监控和入侵检测 处理方案：选择宝信 eCop XSA3000网络安全分析系统网络监控器