高校网络安全解决方案_华软作业.docx

xx高校网络安全解决方案目录xx高校网络安全解决方案1一、 xx校园网络的安全需求分析、安全漏洞分析与安全评估。21安全需求分析22. 安全漏洞分析22.1漏洞的概念22.2漏洞的分类23. 安全评估43.1物理方面的威胁43.2行为方面的威胁53.3应用方面的威胁5二、校园网络更新的拓扑图、网络安全产品造型、采购与报价61.更新后的拓扑图62.网络安全产品造型63.采购以及报价7三、校园网络病毒防护方案71.校园网络病毒防护问题72.针对校园网络病毒的解决方案7四、外部访问校园网的vpn设计81.vpn 技术简介82.vpn技术的优点83.vpn技术的选用8五、实施方案、网络安全制度、安全教育与安全知识培训计划91.实施方案92.网络安全制度93.安全教育与安全知识培训计划10 一、 xx校园网络的安全需求分析、安全漏洞分析与安全评估。1安全需求分析 防止校园网外部用户对校园网内的用户进行攻击 校园网外部用户只能访问www服务、mail服务、其他服务只对校园网内部用户开放。 所有服务器的操作系统采用windows server，www服务使用iss。 需要病毒系统。 部分外出教职工和学校出差，需要远程接入校园网络。2. 安全漏洞分析2.1漏洞的概念漏洞是存在于系统中的一个弱点或者缺点。广义的漏洞是指非法用户未经授权获得访问或提高其访问层次的硬件或软件特征。实际上，漏洞可以是任何东西，许多用户非常熟悉的特殊的硬件和软件存在漏洞，如ibm兼容机的cmos口令在coms的电池供电不足、不能供电或被移走情况下会丢失cmos信息也是漏洞；操作系统、浏览器、tcp/ip、免费电子邮箱等都存在漏洞。微软对漏洞的明确定义：“漏洞是可以在攻击过程中利用的弱点，可以是软件、硬件、程序缺点、功能设计或者配置不当等。”2.2漏洞的分类漏洞的表现形式各式各样，从不同的方面来划分，漏洞的类型是不一样的，下面从几不同方面简要介绍一下。（1）从不同角度划分：对一个特定程序的安全漏洞，要以从多方面进行分类。1.从用户群体可分为：大众类软件的漏洞，如windows的漏洞、ie的漏洞等。专用软件的漏洞 ，如oracle漏洞、apache漏洞等。2.从数据角度分为：能读按理不能读的数据库，包括内存中的数据库、文件中的数据、用户输入的数据、数据库中的数据等。能把指定的内容写入指定的地方（这个地方包括文件、内存、数据库等）。3.从触发条件上可以分为：主动触发漏洞，攻击者可以主动利用该漏洞进行攻击，如直接访问他人计算机。被动触发漏洞，必须要计算机的操作人员配合才能进行攻击 所利用的漏洞。比如攻击者给管理员发一封邮件，带了一个特殊的jpg图片文件，如果管理员打开图片文件就会导致看图软件的某个漏洞被触发，从面系统被攻击；介如果管理员不看这个图片，则不会受攻击。4.从时序上可分为：已发现很久的漏洞：厂商已经发布补丁或修补方法，很多人都已经知道。这类漏洞 通常很多人已经进行了修补，宏观上看危害比较小。刚发现的漏洞：厂商刚发补丁或修补方法，知道 的人还不多。相对于上一各漏洞其危害性较大，如果此时出现了蠕虫或傻瓜化的利用程序，那么会导致大批系统受到攻击。oday：还没有公开的漏洞，在私下交易中的。这类漏洞通常对大众不会有什么 影响，介会导致攻击者瞄准的目标受到精确攻击，危害也是非常之大的。（2）按照漏洞的形成原因划分按照漏洞的形成原因，漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。1.程序逻辑结构漏洞这种类型的漏洞有可能是编程人员在编写程序时，因为程序的逻辑设计不合理或者错误而造成的程序逻辑漏洞。这种类型的漏洞最典型的是微软的是微软的windows 2000用户登录的中文输入法漏洞。非授权人员可以通过 登录界面的输入法的帮助文件绕过windows的用户名和密码验证而取得计算机的最高权限。2.程序设计错误漏洞这种类型的漏洞是编程人员在编写程序时由于技术上的疏忽造成的漏洞。这种类型的漏洞最典型的是缓冲区溢出漏洞，它也是被黑客利用得最多的一种类型的漏洞。3.开放式协议造成的漏洞目前，国际互联网的通信采用的是具有开放性的tcp/ip协议。因为tcp/ip协议的最初设计者在设计该通信协时，只考虑到了协议的实用性，而没有考虑到协议的开放和透明性嗅探网络数据包，窃取数据包里面的用户口令和密码信息；tcp协议三次握手的潜在缺陷所导致的拒绝服务攻击等。1. 人为因素造成的漏洞一个系统如果本身设计得很完善，安全性也很高，但管理人员安全意识淡薄，同时会给系统留下漏洞。例如，系统本身非常完备安全，但系统登录所需要的管理员账号或口令因为设置过于简单而被黑客猜解出来了，那么其他的环节再安全也没有丝毫意义了。（3）按照漏洞可能对系统造成的直接威胁划分按照漏洞可能对系统造成的直接威胁可划分如下：1.远程管理员权限攻击者无须通过一个账号登录到本地而直接获得远程系统的管理员权限，通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出，小部分来自守护进程本身的逻辑缺陷。2.本地管理员权限攻击者在已有一个本地账号能登录到系统的情况下，通过攻击本地某些有缺陷的程序、竞争条件等手段，得到系统的管理员权限。例如，linux的restore是一个suid程序，它执行时间可以获得系统root权限。3.普通用户访问权限攻击者利用服务器漏洞，取得系统的普通用户存取权限，对unix类系统通常是shell访问权限，对windows系统通常是cmd。exe的访问权限，能够以一般用户的身份执行程序，存取文件。攻击者通常攻击非root身份运行的守护进程、有缺陷的cgi程序等手段获得这种访问权限。4.远程拒绝服务攻击利用这类漏洞，无须登录即可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。早期的linux和bsd的tcp/ip堆栈的ip片断重组模块存在缺陷，攻击者通过向系统发出特殊的ip片断包即可使机器崩溃。5.口令恢复因为采用了很弱的口令加密方式，使攻击者可能很容易地分析出口令的加密方法，从而通过某种方法得到密码后还原出明文来。6.欺骗利用这类漏洞，攻击者可以对目标系统实施某种形式的欺骗，这通常是由于系统的实现上存在某些缺陷造成的。例如，ie曾经存在一个漏洞，允许一个恶意网络在另一个网站窗口内插入内容，从而欺骗用户输入敏感数据。（4）按照漏洞被利用方式划分漏洞的存在是个客观事实，但漏洞只能以一定的方式被利用，每个漏洞都要求攻击处于网络空间一个特定的位置，可能的攻击方式分为以下4类：1.物理接触攻击者需要物理地接触目标系统才能利用这类漏洞，对系统的安全构成威胁。2.主机模式这是通常的漏洞利用方式。攻击方为客户机，被攻击方为目标主机。比如，攻击者发现目标主机的某个守护进程存在一个远程溢出漏洞，攻击者可能因此取得主机的额外访问权。3.客户机模式当一个用户访问网络上的一个主机时，可能遭到主机发送给自己恶意命令的袭击。客户机不应该过度信任主机。如web浏览器ie存在不少漏洞，可以使一些恶意的网站用html标记通过那些漏洞在浏览的客户机中执行程序或读写文件。4.中间人方式当攻击者位于一个可以观察或截获两个机器之间的通信的位置时，就可以认为攻击者处于中间人方式。对于某些公钥加密的实现，攻击者可以截获并取代密钥伪装成网络上的两个节点来绕过这种限制。3. 安全评估3.1物理方面的威胁网络物理安全是整个网络系统安全的前提,它主要体现在对网络硬件设备的破坏,这也是目前校园网中比较常见的一种安全威胁。主要体现在以下方面： 自然环境事故对整个网络系统造成的毁灭。如：火灾、水灾、地震等。 无意识人为原因造成校园网网络线路的破坏,如:施工不慎挖断线缆、室内装修剪断线路等; 校园中的明线较多，人流量较大，裸露在外面的线很容易被损坏。 人为故意造成校园网网络设备的破坏,如:设备被盗,被毁等。3.2行为方面的威胁 对网络运维管理不足，各学校基本没有统一的网络管理手段。 对外部边界的入侵防护不足，学校并未考虑在网络出口设立入侵防护机制。 校园网络中有不少学生或者老师无心之失或者恶作剧等原因对网络进行破坏或者攻击行为，将会给网络信息系统带来难于预料的重大损失。 u盘、移动硬盘等移动介质交叉使用和在连接互联网的电脑使用，造成病毒交叉感染等。 来自外网“黑客“的攻击。“黑客” 木马、蠕虫病毒的攻击导致信息失窃、网络瘫痪等问题。 冒充合法用户。主要指利用各种假冒或欺骗手段非法获得合法用户的使用权，以达到占用合法用户资源的目的。 破坏数据的完整性。是指用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。3.3应用方面的威胁 病毒程序和木马程序的危害:由于校园网接入的计算机数量很大,计算机普遍采用 windows作为操作系统,而目前各种计算机病毒大多数都是针对windows操作系统的,网络又是病毒传播的最好、最快的途径之一.病毒程序可以通过网上下载、电子邮件、盗版光盘或软盘等传播途径潜入校园网。因此,病毒的危害是不可轻视的。校园网中一旦有一台计算机受病毒感染,病毒程序就完全可能在极短的时间内迅速扩散,传播到校园网上的所有计算机,可能造成信息泄漏、文件丢失、破坏数据、毁损硬件、阻塞网络,甚至造成整个计算机网络传输中断和系统瘫痪。 资源共享的问题 :校园网内部有办公自动化系统,而办公网络应用通常是共享网络资源,缺少必要的访问控制策略,我们就可能有意、无意的把硬盘中重要信息长期暴露在网络上,从而被轻易窃取并传播出去造成泄密。特别是校园网上的共享磁盘,不同的用户出于工作的方便性,把一些资料和信息放到了共享磁盘上,提供给需要者。但是共享磁盘的特点是大家共同享有,别有用心的人完全可以在需要者拿走这些资料和信息之前,截走这些资料和信息。 对应用服务器的恶意攻击 :针对校园网应用服务器的网络攻击,往往具有影响范围广、损失大、后续处理难度高的特点,是目前校园网管理员最关注的安全问题。校园网中较易受攻击的应用服务器主要是dns服务器、web应用服务器和邮件服务器。 来自互联网的安全威胁 :校园网是与internet互连的。由于internet的开放性、国际性与自由性,校园网将面临更加严重的安全威胁。如果校园网与外部网络间没有采取一定的安全防护措施,校园网很容易遭到来自外网黑客的攻击。二、校园网络更新的拓扑图、网络安全产品造型、采购与报价1.更新后的拓扑图2.网络安全产品造型fortigate-3600 病毒防火墙为大型企业和服务提供商应用所要求的千兆性能、可靠性提供较高的性能需求。fortigate-3600 4gbps 的性能确立了更新层次的性价比，还提供了一套完整的包括防病毒、防火墙、内容过滤、vpn、nids 和流量控制功能。它可以很容易安装在只使用防病毒和内容过滤或作为全面的网络安全解决方案的现有网络环境。高可用性和冗 余 热 交 换 电 源 的 支 持 增 强 了 fortigate-3600 的 可 靠 性 ， 确 保 其 不 间 断 的 运 行 。fortigate-3600 提供了细粒度的安全，支持独立的安全区域和映射到 vlan 的策略，实时的自动更新攻击数据库。fortinet 公司的实时响应服务器提供了持续的攻击库更新以保护网络不受病毒、蠕虫、木马及其他攻击，使网络随时随地的得到安全保护。3.采购以及报价三、校园网络病毒防护方案1.校园网络病毒防护问题在校园的生产生活中对信息化网络的依赖程度也是越来越高了，然而，由于校园网的特殊性，使校园网的安全问题比例始终要多于其它行业，究其原因有三：1.接入校园网的人员范围较广。2.接入的终端设备不固定。3.缺乏统一的管理标准和规范。2.针对校园网络病毒的解决方案 终端病毒防护：病毒虽然是通过网络进行传播的，但始终还是会落到实实在在的媒介之上，那就是计算机终端，所以对终端的防护是必不可少的，对于企业而言，网络版防病毒体系化的建设比较简单和有效，然而对于校园确实很难，所以，即使全网不采取网络版的模式，也要确保每台接入网络的终端都安装部署防病毒软件，且要及时更新病毒库版本; 网络准入检查：不管是人员的不固定还是接入终端的不固定，但在接入前都需要进行接入的安全性检查，控制粒度视不同需求而定，至少应包括对终端系统的安全程度进行检查，检查接入者的合法性、检测终端系统自身的安全，是否安装了终端防病毒软件以及病毒库是否为最新等等，由于上面我们已经说过，可能某些校园出于某种特殊原因并未采取网络版的防病毒软件，就需要我们的准入检测能够识别出多种不同品牌的防病毒软件及其最新的病毒库版本，才能够使接入检查显得更专业、更彻底、更有效; 空中病毒防护：在对终端和终端准入进行了有效的控制后，相信病毒爆发的机率会极大程度的降低，但还是不能杜绝病毒在网络中传播，因为互联网的开放性，意味着网络一直都有可能被外来的病毒所侵袭，例如通过浏览网页、收发电子邮件等等都会将病毒主动“请”进来;再有就是还有一些平板电脑、智能终端无法完全满足网络准入检查的要求，而又不得不对其提供相应的网络服务，对于这类终端，防护手段还比较薄弱，致使这些智能终端成为了网络的短板，造成网络中的病毒屡禁不止，那么如何能够对网络中飞来飞去的病毒进行有效的防范呢？这就需要我们采用相应的网关防病毒技术手段，将病毒在传播途中就直接过滤掉，避免了由于终端操作不当中毒而造成的后续烦恼。四、外部访问校园网的vpn设计1.vpn 技术简介vpn（virtual private network，虚拟专用网）是将 internet 作为计算机网络主干的一种网络模式，是利用公共网络资源来构建虚拟专用网络的技术，它以 internet 为介质，构造数据传输隧道，对传输的数据进行加密和验证，通过使用加密认证等技术来虚拟出一个安全可靠的网络. 2.vpn技术的优点 降低成本：vpn 是利用了现有的 internet 或其它公共网络的基础设施为用户创建安全隧道，不需要使用专门的线路，采用 vpn 技术，只需拨入当地的 isp 就可以安全的接入内部网络. 易于扩展：由于网络规模的扩大，节点越来越多且分散，如果都是采用专线连接，实施起来较困难，采用 vpn 技术，只需添加一台 vpn 设备，改变相关配置即可实现. 保证安全：vpn 技术利用可靠的加密认证技术，在内部网络之间建立隧道，能够保证通迅数据的机密性和完整性，提供与专用网络一样的安全和功能保障，保证信息不被泄露或暴露给未授权的用户，保证信息不被未授权的用户改变、删除或替代.3.vpn技术的选用传统 vpn 和提供商指定 vpn 技术被服务供应商和企业广泛采用. 然而由于它们的成本较高且功能较少，因而使得新的 vpn 技术，如 ipsec vpn，ssl vpn 正得到越来越多的应用. ssl vpn 与 ipsec vpn相比之间有很大的区别，ipsec vpn 通常是提供站点与站点之间的连接，而 ssl vpn 则是为移动用户提供远程接入校园网服务很好的应用技术. 可以选择采用 ipsec vpn 或 ssl vpn 来实现用户远程访问校园网内部资源，让校园网内部资源安全地对师生提供网外接入访问服务. 基于 ipsec vpn 和 ssl vpn 的不同技术特点和校园网的应用实际，采用目前流行的新技术ssl vpn 可以方便解决校内资源开放与权限两个问题.从图中可以看到，vpn 安全设备起着关键性的作用. 任何经过授权的外网用户，通过 ssl vpn 接入技术，远程登录 vpn 设备，接入校园网内，完成 vpn 隧道建立；接着再经由 vpn 设备进行源 ip 地址转换，引入 ip 地址替换技术将外网移动用户自动授权，用户便可随需选择校内馆藏资源进行自由查阅和访问，无需再次手动输入验证。五、实施方案、网络安全制度、安全教育与安全知识培训计划1.实施方案 网络安全需求分析 确立合理的目标基线和安全策略 明确准备付出的代价 制定可行的技术方案 工程实施方案（产品的选购与定制） 制定配套的法规、条例和管理办法2.网络安全制度第一条：校园网使用者必须遵守国家有关法律、法规，必须遵守中华人民共和国保守国家秘密法和国家保密局计算机信息系统国际互联网保密管理规定。第二条：校园网的所有用户必须接受学校依法进行监督检查和采取的必要措施。遵守学校的管理制