contact

Contact Us
電子郵箱:
service#wantjoin.cn
(請將#改成@)
QQ 點(diǎn)擊這里給我發(fā)消息

校園網(wǎng)安全設計方案

當前位置 : 首頁(yè) > Products

校園網(wǎng)安全設計方案

詳細說(shuō)明

一、校園網(wǎng)網(wǎng)絡(luò )結構和應用系統概述 
  校園網(wǎng)信息系統是校園網(wǎng)的數字神經(jīng)中樞,合理的使用不僅能促進(jìn)各院校的現代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境,同時(shí)通過(guò)各院校之間的互聯(lián)互通,將會(huì )極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量。 

  校園網(wǎng)總體上分為校園內網(wǎng)和校園外網(wǎng)。校園內網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書(shū)館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與CERNET的接入以及遠程移動(dòng)辦公用戶(hù)的接入等。 

  教學(xué)局域網(wǎng)是教學(xué)人員利用計算機開(kāi)展教學(xué)和學(xué)生通過(guò)計算機來(lái)學(xué)習的網(wǎng)絡(luò )平臺;圖書(shū)館局域網(wǎng)實(shí)現了圖書(shū)館的網(wǎng)絡(luò )化管理以及圖書(shū)的網(wǎng)上檢索或瀏覽;辦公自動(dòng)化局域網(wǎng)是教職員工自動(dòng)化辦公的平臺,可以在此平臺上開(kāi)展公文管理、會(huì )議管理、檔案管理以及個(gè)人辦公管理等。實(shí)現包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財務(wù)管理、后勤管理等應用,形成院校的綜合管理信息系統; 

  校園外網(wǎng)的服務(wù)器群構成了校園網(wǎng)的服務(wù)系統,一般包括DNS、WEB、FTP、PROXY以及MAIL服務(wù)等。外部網(wǎng)實(shí)現了校園網(wǎng)與CERNET及INTERNET的基礎接入,使院校教職工和學(xué)生能使用電子郵件和瀏覽器等應用方式,在教學(xué)、科研和管理工作中利用國內和國際網(wǎng)進(jìn)行信息交流和共享。

二、校園網(wǎng)安全威脅分析 
  校園網(wǎng)內的用戶(hù)數量較大,局域網(wǎng)絡(luò )數目較多,認真分析可以總結出校園網(wǎng)面臨著(zhù)如下的安全威脅:

  1、各種操作系統以及應用系統自身的漏洞帶來(lái)的安全威脅;
  2、Internet網(wǎng)絡(luò )用戶(hù)對校園網(wǎng)存在非法訪(fǎng)問(wèn)或惡意入侵的威脅; 
  3、來(lái)自校園網(wǎng)內外的各種病毒的威脅,外部用戶(hù)可能通過(guò)郵件以及文件傳輸等將病毒帶入校園內網(wǎng)。內部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內網(wǎng); 內部用戶(hù)對Internet的非法訪(fǎng)問(wèn)威脅,如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲(chóng)、病毒等程序帶入校園內網(wǎng); 
  4、內外網(wǎng)惡意用戶(hù)可能利用利用一些工具對網(wǎng)絡(luò )及服務(wù)器發(fā)起DOS/DDOS攻擊,導致網(wǎng)絡(luò )及服務(wù)不可用;
  5、校園網(wǎng)內的學(xué)生群體是主要的OICQ用戶(hù),目前針對OICQ的黑客程序隨處可見(jiàn); 
  6、可能會(huì )因為校園網(wǎng)內管理人員以及全體師生的安全意識不強、管理制度不健全,帶來(lái)校園網(wǎng)的威脅;

三、校園網(wǎng)安全方案設計 
  上述分析的幾點(diǎn)是當今校園網(wǎng)普遍面臨的安全隱患。特別是近年來(lái),隨著(zhù)學(xué)生宿舍、教職工家屬等接入校園網(wǎng)后,網(wǎng)絡(luò )規模急劇增大。同時(shí),校園網(wǎng)絡(luò )的應用水平也在不斷提高。規模的壯大和運用水平的提高就決定了校園網(wǎng)面臨的隱患也相應加劇。下圖是比較普遍的校園網(wǎng)拓撲結構?;诖藞D,我們從物理、系統、網(wǎng)絡(luò )、應用及管理五個(gè)層次分析和設計適合于校園網(wǎng)的安全建議方案。


1、物理層安全 
  物理層的安全主要包括環(huán)境、設備及線(xiàn)路的安全。系統中心或機房的建設應遵照:GB50173-93《電子計算機機房設計規范》、GB2887-89《計算機站場(chǎng)地安全要求》及GB2887-89《計算機站場(chǎng)地技術(shù)條件》的要求。在設備集中的管理間安裝干擾器防止由于設備輻射造成的信息泄漏。同時(shí),要注意保護線(xiàn)路的安全,防止用戶(hù)的搭線(xiàn)竊聽(tīng)行為。

2、系統安全
  系統層主要解決的是由于各種操作系統、數據庫、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種: 
  
  4采用主機加固手段對主機加固,如升級、打補丁、關(guān)閉不需要的端口等; 
  4采用主機訪(fǎng)問(wèn)控制手段加強對主機的訪(fǎng)問(wèn)控制;

3、網(wǎng)絡(luò )層安全 
  校園網(wǎng)中局域網(wǎng)數目較多,根據需要多個(gè)網(wǎng)絡(luò )可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián),使我們對網(wǎng)絡(luò )層的安全要極度重視。定義一個(gè)網(wǎng)絡(luò )或各網(wǎng)絡(luò )內不同安全等級的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò )邊界。下面主要討論以下幾方面的網(wǎng)絡(luò )層安全防護:

⑴劃分安全子網(wǎng)。
  如果同一局域網(wǎng)內有不同等級的安全域,可以通過(guò)劃分子網(wǎng)及VLAN的方法加以訪(fǎng)問(wèn)控制。如在教學(xué)局域網(wǎng)中學(xué)生機房和多媒體機房之間可以通過(guò)劃分子網(wǎng)來(lái)控制,不允許學(xué)生機房的機器訪(fǎng)問(wèn)多媒體機房的機器。 
⑵加強網(wǎng)絡(luò )邊界的訪(fǎng)問(wèn)控制。安全等級差別較大的邊界需要采用防火墻來(lái)控制。如校園內網(wǎng)、校園外網(wǎng)和Internet之間,利用防火墻進(jìn)行訪(fǎng)問(wèn)控制和內容過(guò)濾??捎行У亟鉀Q需求中提到的多種威脅。 

⑶防止內外的攻擊威脅。在每個(gè)安全域內或多個(gè)安全域之間安裝聯(lián)想入侵檢測系統(IDS),可有效地防止來(lái)自網(wǎng)絡(luò )內外的攻擊。

⑷定期的網(wǎng)絡(luò )安全性檢測實(shí)現持續安全。利用漏洞掃描器(Scanner),定期對系統進(jìn)行安全性評估,及時(shí)發(fā)現安全隱患并實(shí)施修補,可達到網(wǎng)絡(luò )的相對持續安全。

⑸建立網(wǎng)絡(luò )防病毒系統。在校園網(wǎng)中安裝網(wǎng)絡(luò )版的防毒系統,集中控制、管理查殺網(wǎng)絡(luò )中服務(wù)器、終端的病毒,保護全網(wǎng)不被病毒侵害。

4應用層安全 
  應用層的安全措施主要有以下幾點(diǎn): 

⑴各應用系統自身的加固; 

⑵建立身份認證系統; 

⑶建立安全審計系統; 

⑷建立備份系統; 

5管理層安全 
  實(shí)現管理層的安全主要注意以下幾點(diǎn): 

⑴建立安全管理平臺。主要是指將各種安全系統或設備集中控管、綜合分析。 

⑵建立、健全安全管理體制。校園網(wǎng)用戶(hù)較多,一定要建立一套合理可行的安全管理制度。只有制度和設備的完美結合才能真正提高校園網(wǎng)的安全水平。 

⑶提高全員的安全意識。