校園網絡安全設計方案一、安全需求1.1.1隨著信息技術的不停發展和網絡信息的海量增加，校園網的安全形勢日益嚴峻，現在校園網安全防護體系還存在某些問題，重要體現在：網絡的安全防御能力較低，受到病毒、黑客的影響較大，對移動存儲介質的上網監測手段局限性，缺少綜合、高效的網絡安全防護和監控手段，削弱了網絡應用的可靠性。因此，急需建立一套多層次的安全管理體系，加強校園網的安全防護和監控能力，為校園信息化建設奠定更加良好的網絡安全基礎。經調查，現有校園網絡拓撲圖以下：1.1.樓號該樓用途每層主機數層數每棟信息點總數實現功效3行政，辦公，網絡中心504200重要以校領導、財務、人事為重要顧客。重要是網絡中心、計算機機房、網絡實驗室為主。網絡中心負責網絡維護，管理，中心內設有網站、電子郵箱、精品課程、FTP資源、辦公系統以及視頻點播等服務器。20圖書館1005500對圖書館內各類圖書進行管理，對圖書資料進行解決。建立電子閱覽室為學生更快更加好的查閱各類圖書。重要以文獻傳輸、視頻傳輸為主。7（1,2,11,16）教學樓10-200不等7150重要是多媒體教室。能夠實現多媒體教學，快速地獲取網上資源4（5,6,8,9,1012,13,14，15,16,17）宿舍18071200能夠較快地獲取網上資源，擁有語音布線1.2.現有安全技術1．操作系統和應用軟件本身的身份認證功效，實現訪問限制。2．定時對重要數據進行備份數據備份。3．每臺校園網電腦安裝有防毒殺毒軟件。1.3.安全需求1．構建涵蓋校園網全部入網設備的病毒立體防御體系。計算機終端防病毒軟件能及時有效地發現、抵抗病毒的攻擊和徹底去除病毒，通過計算機終端防病毒軟件實現統一的安裝、統一的管理和病毒庫的更新。2.建立全天候監控的網絡信息入侵檢測體系在校園網核心部位安裝網絡入侵檢測系統，實時對網絡和信息系統訪問的異常行為進行監測和報警。3.建立高效可靠的內網安全管理體系只有解決網絡內部的安全問題，才能夠排除網絡中最大的安全隱患，內網安全管理體系能夠從技術層面協助網管人員解決好繁雜的客戶端問題。4.建立虛擬專用網(VPN)和專用通道使用VPN網關設備和有關技術手段，對機密性規定較高的顧客建立虛擬專用網。二．安全設計1．1設計原則根據防備安全攻擊的安全需求、需要達成的安全目的、對應安全機制所需的安全服務等因素，參考SSE-CMM("系統安全工程能力成熟模型")和ISO17799(信息安全管理原則)等國際原則，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，網絡安全防備體系在整體設計過程中應遵照下列9項原則：

1．網絡信息安全的木桶原則

網絡信息安全的木桶原則是指對信息均衡、全方面的進行保護。“木桶的最大容積取決于最短的一塊木板”。網絡信息系統是一種復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，特別是多顧客網絡系統本身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的“最易滲入原則”，必然在系統中最單薄的地方進行攻擊。因此，充足、全方面、完整地對系統的安全漏洞和安全威脅進行分析，評定和檢測（涉及模擬攻擊）是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是避免最慣用的攻擊手段，根本目的是提高整個系統的"安全最低點"的安全性能。

2．網絡信息安全的整體性原則

規定在網絡發生被攻擊、破壞事件的狀況下，必須盡量地快速恢復網絡信息中心的服務，減少損失。因此，信息安全系統應當涉及安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的多個安全威脅采用的對應的防護方法，避免非法攻擊的進行。安全檢測機制是檢測系統的運行狀況，及時發現和制止對系統進行的多個攻擊。安全恢復機制是在安全防護機制失效的狀況下，進行應急解決和盡量、及時地恢復信息，減少供應的破壞程度。

3．安全性評價與平衡原則

對任何網絡，絕對安全難以達成，也不一定是必要的，因此需要建立合理的實用安全性與顧客需求評價與平衡體系。安全體系設計要對的解決需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執行。評價信息與否安全，沒有絕對的評判原則和衡量指標，只能決定于系統的顧客需求和具體的應用環境，具體取決于系統的規模和范疇，系統的性質和信息的重要程度。

4．原則化與一致性原則

系統是一種龐大的系統工程，其安全體系的設計必須遵照一系列的原則，這樣才干確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。

5．技術與管理相結合原則

安全體系是一種復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將多個安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。

6．統籌規劃，分步實施原則

由于政策規定、服務需求的不明朗，環境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一種比較全方面的安全規劃下，根據網絡的實際需要，先建立基本的安全體系，確?；镜?、必須的安全性。隨著此后隨著網絡規模的擴大及應用的增加，網絡應用和復雜程度的變化，網絡脆弱性也會不停增加，調節或增強安全防護力度，確保整個網絡最根本的安全需求。

7．等級性原則

等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的，涉及對信息保密程度分級，對顧客操作權限分級，對網絡安全程度分級（安全子網和安全區域），對系統實現構造的分級（應用層、網絡層、鏈路層等），從而針對不同級別的安全對象，提供全方面、可選的安全算法和安全體制，以滿足網絡中不同層次的多個實際需求。

8．動態發展原則

要根據網絡安全的變化不停調節安全方法，適應新的網絡環境，滿足新的網絡安全需求。

9．易操作性原則

首先，安全方法需要人為去完畢，如果方法過于復雜，對人的規定過高，本身就減少了安全性。另首先，方法的采用不能影響系統的正常運行。1.2.物理層設計1．物理位置選擇機房應選擇在含有防震、防風和防雨等能力的建筑內；機房的承重規定應滿足設計規定；機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層或隔壁；機房場地應當避開強電場、強磁場、強震動源、強噪聲源、重度環境污染，易發生火災、水災，易遭受雷擊的地區。2.物理訪問控制有人值守機房出入口應有專人值守，鑒別進入的人員身份并登記在案；無人值守的機房門口應含有告警系統；應同意進入機房的來訪人員，限制和監控其活動范疇；應對機房劃分區域進行管理，區域和區域之間設立物理隔離裝置，在重要區域前設立交付或安裝等過渡區域。服務器應當安放在安裝了監視器的隔離房間內，并且監視器要保存15天以上的攝像統計。機箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方。在自己的辦工桌上安上筆記本電腦安全鎖，以避免筆記本電腦的丟失。3．防盜竊和防破壞應將有關服務器放置在物理受限的范疇內；應運用光、電等技術設立機房的防盜報警系統，以防進入機房的盜竊和破壞行為；應對機房設立監控報警系統。4.防雷擊機房建筑應設立避雷裝置；應設立防雷保安器，避免感應雷；應設立交流電源地線。5.防火應設立火災自動消防系統，自動檢測火情，自動報警，并自動滅火；機房及有關的工作房間和輔助房，其建筑材料應含有耐火等級。6.防水和防潮水管安裝不得穿過屋頂和活動地板下；應對穿過墻壁和樓板的水管增加必要的保護方法，如設立套管；應采用方法避免雨水通過屋頂和墻壁滲入；應采用方法避免室內水蒸氣結露和地下積水的轉移與滲入。7.防靜電應采用必要的接地等防靜電方法；應采用防靜電地板。8.溫濕度控制應設立恒溫恒濕系統，使機房溫、濕度的變化在設備運行所允許的范疇之內。防塵和有害氣體控制；機房中應無爆炸、導電、導磁性及腐蝕性塵埃；機房中應無腐蝕金屬的氣體；機房中應無破壞絕緣的氣體。9.電力供應機房供電應與其它市電供電分開；應設立穩壓器和過電壓防護設備；應提供短期的備用電力供應（如UPS設備）；應建立備用供電系統（如備用發電機），以備慣用供電系統停電時啟用。10.電磁防護規定應采用接地方式避免外界電磁干擾和有關服務器寄生耦合干擾；電源線和通信線纜應隔離，避免互相干擾。1.3．網絡層設計1．防火墻技術建立在當代通信網絡技術和信息安全技術基礎上的防火墻技術是現在應用最廣泛的防護技術．在邏輯上，它既是一種分離器也是一種限制器，同時它還是一種分析器，通過設立在異構網絡(如可信的校園網與不可信的公共網)之間的一系列部件的組合有效監控內部網與外層網絡之間的信息流動，使得只有通過精心選擇的應用合同才干通過，確保了內網環境的安全，如圖1所示作為校園網安全的屏障，防火墻是連接內、外層網絡之間信息的唯一出入口，根據具體的安全政策控制(允許、回絕、監測)出入網絡的信息流．校園網絡管理員要將諸如口令、加密、身份認證、審計等的全部安全軟件配備在防火墻上方便對網絡存取和訪問進行監控審計．同時運用防火墻的日志統計功效做好備份，提供網絡使用狀況的統計數據2.虛擬專網(VPN)技術對于從專線連接的外部網絡顧客，采用虛擬專網(VPN)技術，它使架設于公眾網絡上的園區網使用信道合同及有關的安全程序進行保密，還能夠采用點對點合同、加密后送出資料及加密收發兩端網絡位置等方法使虛擬專網更加可靠。3.身份認證技術對于撥號進入園區網的顧客進行嚴格控制，在撥號線路上加裝保密機，使無保密機的顧客無法撥通；通過顧客名和口令的認真檢查顧客身份；運用回撥技術再次確認和限制非法顧客的入侵。4．加密技術在外部網絡的數據傳輸過程中，采用密碼技術對信息加密是最慣用的安全保護手段?，F在廣泛使用的有對稱算法和非對稱算法兩類加密算法，兩種辦法結合使用，加上數字簽名、數字時間戳、數字水印及數字證書等技術，能夠使通信安全得到確保。為寄存秘密信息的服務器加裝密碼機，對園區網上傳輸的秘密信息加密，以實現秘密數據的安全傳輸。5．物理隔離公共網絡及因特網上黑客日益猖獗，加上我國使用的計算機及網絡設備的軟硬件產品大多數是進口的，安全上沒有較好的確保，因而將外部網絡中的因特網與專用網絡如軍用網實現物理隔離，使之沒有任何連接，能夠使園區網與外部專用網絡連接時，園區網與Internet無物理聯系在安全上較為穩妥。6．防毒網關防火墻無法避免病毒的傳輸，因而需要安裝基于Internet網關的防毒軟件，具體能夠安裝到代理服務器上，以避免Internet病毒及Java程序對系統的破壞。7.網絡地址轉換技術當園區網內部主機與外部相連時，使用同一IP地址；相反，外部網絡與園區網主機連接時，必須通過網關映射到園區網主機上。它使外部看不到園區網，從而隱藏內部網絡，達成保密作用，同時，它還能夠解決IP地址的局限性。8.代理服務及路由器能夠根據設立地址、服務、內容等要素來控制顧客的訪問，代理服務器及路由器起訪問的中介作用，使園區網和外部網絡間不能直接訪問，從而確保內部核心信息的安全。9.安全掃描能夠通過多個安全掃描軟件對系統進行檢測與分析，快速找到安全漏洞并加以修復?，F在有多個軟件能夠對設備進行掃描，檢查它們的弱點并生成報表。10.入侵檢測能夠采用某些安全產品對網絡上流動的數據包進行檢查，識別非法入侵和其它可疑行為，并予以及時的響應及防護。以下圖所示。11.顧客的身份認證顧客入網訪問控制分為三步，即顧客名的驗證；顧客口令的驗證；顧客帳號的驗證。顧客口令是入網的核心，必須通過加密，顧客還可采用一次一密的辦法，或者使用智能卡來驗證顧客身份。同時，可將顧客與所用的計算機聯系起來，使顧客用固定的計算機上網，以減少顧客的流動性，加強管理。12.權限控制這是針對網絡非法操作提出的一種安全保護方法。顧客和顧客組被賦予一定的權限，網絡控制顧客和顧客組能夠訪問哪些目錄、子目錄、文獻和其它資源及顧客可執行的操作。13.客戶端安全防護首先，應切斷病毒傳輸的途徑，減少感染病毒的風險；另首先，使用的瀏覽器必須確保符合安全原則，使客戶端的工作站得到安全確保。14.安全檢測使用安全檢測和掃描軟件對網絡設備和客戶端工作站進行檢測和分析，查找安全漏洞并加以修復，使用防病毒軟件進行病毒查找和殺毒工作。加密，訪問控制，數字簽名，入侵檢測，掃描，物理隔離，安全合同1.4．傳輸層安全操作系統是整個園區網系統工作的基礎，也是系統安全的基礎，因而必須采用方法確保操作系統平臺的安全。安全方法重要涉及：采用安全性較高的系統，對系統文獻加密，操作系統防病毒、系統漏洞及入侵檢測等。1.采用安全性較高的系統美國國防部技術原則把操作系統安全等級分為D1、C1、C2、B1、B2、B3、A級，安全等級由低到高，現在重要的操作系統等級為C2級。在使用C2級系統時，應盡量使用C2級的安全方法及功效，對操作系統進行安全配備。在極端重要的園區網系統中，應采用B級操作系統。2.加密技術對操作系統中某些重要的文獻進行加密，避免非法出版的讀取及修改。3.病毒的防備在園區網主機上安裝防病毒軟件，對病毒進行定時或實時的病毒掃描及檢測，對防病毒軟件進行及時升級以發現和殺滅新型的病毒。4.安全掃描通過對園區網主機進行一系列設立和掃描，對系統的各個環節提供可靠的分析成果，為系統管理員提供可靠性和安全性分析報告，對系統進行及時升級以彌補漏洞及關閉“后門”。5.入侵檢測安裝基于主機的入侵檢測系統，可檢查操作系統日志和其它系統特性，判斷入侵事件，在非法修改主頁時自動作出反映，對已入侵的訪問和試圖入侵的訪問進行跟蹤統計，并及時告知系統管理員，使管理員可對網絡的多個活動進行實時監視。1.5．應用層安全1.蠕蟲過濾蠕蟲能夠運用電子郵件、文獻傳輸等方式進行擴散，也能夠運用系統的漏洞發起動態攻擊。病毒防御體系能夠根據蠕蟲的特點實施多層次解決，在網絡層和傳輸層過濾蠕蟲運用漏洞的動態攻擊數據，在應用層過濾運用正常合同(SMTP、HTTP、POP3、FTP)傳輸的靜態蠕蟲代碼。2.病毒過濾對于網頁瀏覽(HTTP合同)、文獻傳輸(FTP合同)、郵件傳輸(SMTP、POP3合同)等病毒，基于專門的病毒引擎進行查殺。對于郵件病毒，能夠定義對病毒的解決方式，決定去除病毒、刪除附件、丟棄等操作，發現病毒時告知管理員、收件人、發件人等操作。3.垃圾郵件過濾垃圾郵件類型大致能夠分為下列四種類型：郵件頭部包含垃圾郵件特性的郵件;郵件內容包含垃圾郵件特性的郵件;使用OpenRelay主機發送的垃圾郵件(OpenRelay方式的SMTP郵件服務器被運用向任何地址發送的垃圾郵件);郵件頭部和內容都無法提取特性的垃圾郵件。病毒防御體系按照合同特性對數據包進行分析、重組及解碼，按照安全規則通過智能分析對SMTP連接、IP地址、郵件地址、數據內容進行解決。能夠限制IP地址、郵件地址、郵件數量、郵件大小;對郵件標題、正文、附件、包含特定關健字的郵件進行過濾;對特定郵件頭信息、郵件發送者地址、郵件接受者地址、域名等進行過濾;支持對偽裝郵件過濾。4.內容過濾支持對郵件核心字、附件文獻類型進行過濾，通過定義可信或不可信的URL并進行過濾，能夠選擇對網頁腳本進行過濾、對傳輸的信息進行智能識別過濾，避免敏感信息的侵擾和擴散。1.6.管理層安全1.制訂一套嚴謹嚴格的操作守則。規定網管人員嚴格按照守則進行管理工作，2．加強網絡管理人員的培訓。定時對網管人員進行培訓，并出外考察，多增加與時俱進的網管技術三、材料清單和工程設計3.1材料清單項目型號用途數量中心交換機RG-S6806中心交換機2臺防火墻RG-WALL100確保信息安全2臺路由器TP-LINKTL-WR841N連接外網1臺VPN網關CyLanSME-500虛擬專用隧道網絡集成于防火墻IDS入侵檢測一套3.2設計方案四、施工4.1病毒立體防御體系的構建與實施涉及兩個方面的內容：一是在內部網絡設立防病毒管理與分發服務器，各終端計算機與服務器通過網絡相連，形成內部網絡的病毒防御系統。二是設立網關防病毒系統，對網絡的出入口數據流量進行病毒掃描和過濾。1.設立防病毒管理與分發服務器校園網的防病毒管理與分發服務器與上級信息管理中心的防病毒控制中心服