铁道警官高等专科学院网络改造与升级项目规划方案.doc

此文档收集于网络 如有侵权 请联系网站删除 精品文档 铁道警官高等专科学院铁道警官高等专科学院 网络改造与升级项目网络改造与升级项目 规划方案规划方案 河南九洲计算机有限公司河南九洲计算机有限公司 2010 年年 11 月月 此文档收集于网络 如有侵权 请联系网站删除 精品文档 目录目录 前前 言言 4 1项目名称项目名称 5 2项目概述项目概述 5 3设计目标设计目标 6 4设计原则设计原则 6 5相关政策法规和文件相关政策法规和文件 7 5 1 国家信息安全标准 指南 7 5 2 国际信息安全标准 8 6项目需求分析项目需求分析 8 6 1 现状描述 8 6 2 需求分析 9 6 2 1上网行为管理需求 9 6 2 2数据备份需求 10 6 2 3网络运维监控需求 10 6 2 4入侵防御需求 10 6 2 5入侵检测需求 13 6 2 6漏洞扫描需求 16 6 2 7VOD点播系统需求 18 7 7 安全技术体系设计安全技术体系设计 18 7 1 安全技术体系总体框架设计 18 7 1 1 网络安全 19 7 1 2 主机安全 19 7 1 3 应用安全 20 7 1 4 集中的安全管理和监控 20 7 2 防火墙系统设计 21 此文档收集于网络 如有侵权 请联系网站删除 精品文档 7 2 1 防火墙系统部署的意义 21 7 2 2 防火墙系统部署方式 21 7 2 3 防火墙系统部署效果 22 7 3 网络入侵检测系统设计 24 7 3 1 部署网络入侵检测系统的意义 24 7 3 2 网络入侵检测系统的部署方式 24 7 4 内网安全管理系统设计 25 7 4 1 部署内网安全管理系统的意义 25 7 4 2 内网安全管理系统部署方式 26 7 4 3 内网安全管理系统部署效果 26 7 5 网络防病毒系统设计 28 7 5 1 部署网络防病毒系统的意义 28 7 5 2 网络防病毒系统部署原则 30 7 5 3 网络防病毒系统署方式 31 7 5 4 整体防毒系统所达到的效果 32 7 6 漏洞扫描子系统设计 33 7 6 1 漏洞扫描部署方案 33 7 6 2 漏洞扫描的作用 33 7 7 网络运维监控设计 35 7 7 1 系统平台构成 35 7 7 2 系统技术架构 35 7 8 VOD 点播系统设计 37 8 设备清单设备清单 41 此文档收集于网络 如有侵权 请联系网站删除 精品文档 前前 言言 数字化校园是以网络为基础 利用先进的信息化手段和工具 实现从环境 包括设备 教室等 资源 如图书 讲义 课件等 到活动 包括教 学 管理 服务 办公等 的全部数字化 在传统校园的基础上构建一个数字空间 以拓展现实校园的时间和空间维度 从而提升了传统校园的效率 扩展了传统 校园的功能 最终实现教育过程的全面信息化 实施数字化校园工程的核心目标核心目标是充分利用信息技术 建立多层次 创新 型 开放式的高等学校 提高办学的质量和效益 要以新的人才观 教学观和 管理理论为指导 超越传统的高等教育模式 培养适应信息社会要求的创新型 人才 具体来说 在教学方面 在教学方面 要利用多媒体 网络技术实现高质量教学资源 信息资源和 智力资源的共享与传播 并同时促进高水平的师生互动 促进主动式 协 作式 研究型的学习 从而形成开放 高效的教学模式 更好地培养学生 的信息素养以及问题解决能力和创新能力 在科研方面 在科研方面 要利用互联网促进科研资源和设备的共享 加快科研信息传 播 促进国际性学术交流 开展网上合作研究 并且利用网络促进最新科 研成果向教学领域的转化 以及科研成果的产业化和市场化 从而大大提 高科研的创新水平和辐射力 在管理方面 在管理方面 要利用信息技术实现职能信息管理的自动化 实现上下级部 门之间更迅速便捷的沟通 实现不同职能部门之间的数据共享与协调 提 高决策的科学性和民主性 减员增效 形成充满活力的新型管理机制 在公共服务体系方面 在公共服务体系方面 要建立覆盖学校教学 科研 管理 生活等各个区 域的宽带高速网络环境 提供面向全体师生的基本网络服务和正版软件服 务 要建设高质量的数字化的图书馆 教学楼 实训中心等 要在校园内 建立电子身份及其认证系统 从而为学校高水平的教学 科研和管理等提 供强有力的支撑 在学校社区服务方面 在学校社区服务方面 要适应后勤社会化改革的需要开展各种网络化服务 此文档收集于网络 如有侵权 请联系网站删除 精品文档 项目 包括电子商务 电子医疗等 为师生员工提供便捷 高效 集成 健康的生活和休闲娱乐服务 形成智能型的社区服务体系 铁道警官高等专科学校在目前形势下开展校园网改造与升级建设应该是非 常有利的 铁道警官学校校园网改造与升级工程建设完成后 新的校园网将为 现代化教育和教学 方便教工 学生科研和学习发挥重要的作用 也为将来学 校数字化校园的建设奠定良好的网络基础 以下是信息安全建设规划的正式计划书 1 项目名称项目名称 项目名称 项目名称 铁道警官高等专科学院网络改造与升级项目 2 项目概述项目概述 高校教育信息化是指高等学校为适应信息化社会的要求 营造信息应用环 境 整合教育资源 促进和深化教育教学改革 在教学 科研 学习 管理 后勤服务等各方面全面运用以计算机 多媒体和网络通讯为基础的现代信息技 术 实现教育教学全过程的信息化 从概念上来看 教育信息化是从信息技术 与教育的关系出发 侧重以有关信息技术的观念 思想 设施 设备 知识和 技能等来影响教育的过程和结果 理解这一概念 不能片面地认为高校的教育 信息化只是为教学服务的 而是要从宏观广义的角度来理解 方能准确把握其 概念 全面掌握教育信息化的丰富内涵 高校的教育信息化既是以教学信息化 为核心 以为教学服务为重点 同时还为科研 管理 后勤 产业等 包括学生 的学习活动 凡是为实现育人目标为开展的各类活动提供服务 并成为各类活动 的具体表现形式和服务手段 教育信息化的手段是运用现代信息技术 本质是 改善高校办学条件和增强高校的办学水平 目的是为了提高人才的培养质量 表现形式和发展结果必然是数字化校园 铁道警官高等专科学院现有网络因为各种原因 设计较为混乱 还须进一 步优化 网络安全设备较少 网络安全有待进一步强化 巩固安全措施 管理 不严格 学生私用无线路由器海量下载 占用带宽 严重影响了教学办公工作 此文档收集于网络 如有侵权 请联系网站删除 精品文档 的正常使用 需要从技术手段上加强管理 校内应用系统较少 课件管理混乱 急需一套 VOD 点播系统 推进课件管理的规范化 3 设计目标设计目标 铁道警官高等专科学校校园网将改造升级成为一个以办公自动化 计算机 辅助教学 现代计算机校园文化为核心 以现代网络技术为依托 技术先进 扩展性强 能覆盖全校主要楼宇 教学楼 办公楼 学生宿舍 教工宿舍 体 育中心等 的校园主干网络 将学校的各种微机 工作站 终端设备和局域网 连接起来并与国家科研教育网相连 在网上对外宣传学校的形象 获取 Internet 网上的教育资源 形成结构合理 内外沟通的校园计算机网络系统 在此基础上以信息化教育和管理模式为目的建立满足教学 科研和管理工作需 要的软硬件环境 开发各类信息库和应用系统 建成数字校园 为学校各类人 员提供充分的网络信息服务 网络进行优化后 实现教育网和网通网的双链路冗余结构 其中的一个网 络不通的情况下 可切换到另外一个网络 保证 7 24 小时网络可用 增加网络设备 防止外来不法人员的入侵 内部安全可靠 病毒得到有效 控制 涉密信息得到安全稳妥的保护 为校园网用户根据职责 工作需要不同 设置不同的带宽 使校园网应用 真正落到实处 真正发挥实际的效用 建设数字化点播系统 为教师授课高效快捷的提供课件等网络资源 4 设计原则设计原则 铁道警官高等专科学校校园网改造升级项目设计将遵守下面的基本原则 以实用为主 选用先进的 成熟的技术 设计中充分考虑系统的开放性 考虑 到未来的发展 便于各子系统的互联和扩展 实用性 系统的设计应以实用为第一原则 在符合需要的前提下 合理平 衡系统的经济性与超前性 以避免片面追求超前性而偏离实际 或片面追 求经济性而损害铁道警官高等专科学校校园网的智能性 此文档收集于网络 如有侵权 请联系网站删除 精品文档 先进性 铁道警官高等专科学校校园网改造升级项目采用的网络结构和设 备在使用期间 具有一定的先进性 避免因技术陈旧造成整个校园网系统 性能不高和过早淘汰 成熟性 在充分考虑先进性的同时 优先选择成熟技术 最大限度地发挥 投资效益 可靠性 系统无论在硬件上还是在软件上都应采取多种保护措施 保证系 统 24 小时不间断正常运行 子系统故障不影响其他子系统运行 也不影响 集成系统除该子系统以外的其他功能的运行 同时还应充分考虑系统权限 安全措施 进一步保证系统的可靠性 经济性 升级工程所选用的设备与系统 以现有成熟的设备与系统为基础 以总体目标为方向 局部服从全局 力求系统在初次投入和整个运行生命 周期获得最佳的性能 价格比 开放可扩展性 系统设计尽量采用国家和国际标准及规范 兼容不同厂商 不同协议的设备和系统的信号传输 各子系统可方便进出系统 并对近期 可望使用的技术予以考虑 无论是系统设备还是网络拓扑结构 都应具有 良好的开放性 用户可以根据需要变化 对系统进行扩展或升级 易维护性 系统必须具有高度的可维护性和易维护性 尽量做到所需维护 人员少 维护工作量小 维护强度低 维护费用低 服务性 从设计 施工到运行 始终围绕为用户服务这个宗旨 让用户用 得放心 用得安心 用得省心 用得舒心 5 相关政策法规和文件相关政策法规和文件 5 1 国家信息安全标准 指南国家信息安全标准 指南 GB T 20274 2006 信息系统安全保障评估框架 GB T 19715 1 2005 信息技术信息技术安全管理指南第 1 部分信息技术安全 概念和模型 GB T19715 2 2005 信息技术 信息技术安全管理指南第 2 部分管理和规划 此文档收集于网络 如有侵权 请联系网站删除 精品文档 信息技术安全 GB T 19716 2005 信息技术 信息安全管理实用规则 GB T 18336 2001 信息技术 安全技术 信息技术安全性评估准则 GB T 20984 2007 信息安全技术 信息安全风险评估规范 GB T 20988 2007 信息系统灾难恢复规范 GB Z 20986 2007 信息安全事件分类分级指南 GB 17859 1999 计算机信息系统安全保护等级划分准则 信息系统安全保护等级定级指南 报批稿 信息系统安全等级保护实施指南 报批稿 信息系统安全等级保护基本要求 报批稿 信息系统安全等级保护测评准则 送审稿 信息安全等级保护管理办法 公通字 2007 43 号 5 2 国际信息安全标准国际信息安全标准 ISO IEC 27001 2005 信息安全技术 信息系统安全管理要求 ISO IEC 13335 信息技术 信息技术安全管理指南 第 1 部分 信息技术安全 概念和模型 ISO IEC TR 15443 1 2005 信息技术安全保障框架 第一部分 概述和框架 ISO IEC TR 15443 2 2005 信息技术安全保障框架 第二部分 保障方法 ISO IEC WD 15443 3 信息技术安全保障框架 第三部分 保障方法分析 ISO IEC PDTR 19791 2004 信息技术 安全技术 运行系统安全评估 6 项目需求分析项目需求分析 6 1 现状描述现状描述 铁道警官高等专科学校校园网现已建成为一个以办公自动化 计算机辅助 教学 现代计算机校园文化为核心 以现代网络技术为依托 技术先进 扩展 性强 能覆盖全校主要楼宇 教学楼 办公楼 学生宿舍 教工宿舍 体育中 此文档收集于网络 如有侵权 请联系网站删除 精品文档 心等 的校园主干网络 已将学校的各种微机 工作站 终端设备和局域网连 接起来并与国家科研教育网相连 在网上对外宣传学校的形象 获取 Internet 网上的教育资源 形成结构合理 内外沟通的校园计算机网络系统 现已完成学校教育信息化的基础设施建设 包括学校校区的综合布线系统 计算机网络系统和服务器系统的建设 6 2 需求分析需求分析 6 2 1 上网行为管理需求上网行为管理需求 近年来 国内高等院校的信息化水平快速发展 互联网也发挥着越来越重要 的作用 与此同时 网络的安全问题日益突出 利用互联网进行违法犯罪的案件 呈日益增长的趋势 散布各种损害学校名誉的情况也时有发生 而高教行业动 辄成千上万的内网用户规模 一方面为网络带宽带来很大压力 另一方面用户 众多难于管理 很容易出现网络安全问题 国家教育部 公安部等相关部门也 三令五申地要求各高校切实做好网络安全建设和管理工作 但是在校园网络建设的过程中 随着网络规模的急剧膨胀 网络用户的快 此文档收集于网络 如有侵权 请联系网站删除 精品文档 速增长 关键性应用的普及和深入 校园网从早先教育 科研的试验网已经转 变成教育 科研和服务并重的带有运营性质的网络 校园网在学校的信息化建 设中已经在扮演了至关重要的角色 作为数字化信息的最重要传输载体 如何保证校园网络能正常的运行不受 各种网络黑客的侵害 并对学生的上网行为进行有效的管理 已经成为了各个 高校不可回避的紧迫问题 6 2 2 数据备份需求数据备份需求 铁道警官高等专科学院现有应用系统及数据库备份机制为手工备份 备份 间隔时间长 而且极不方便 6 2 3 网络运维监控需求网络运维监控需求 铁道警官高等专科学院经过多年的发展 信息化水平有了很大提高 信息 化覆盖范围已经涵盖了整个校园的各个角落 是一个庞大且复杂的网络 但是 信息化管理办公室运维中遇到的了很多的问题 设备种类以及型号多 对设备的维护不具备统一性 由于设备多 所以对设备进行的操作和改动往往无法记录和查询 由于是网络规模较大 所以网络中的数据活动比较丰富 难以掌控 对网络流量的分析存在瓶颈 无法得知网络堵塞从何而来 网络时快时慢 时通时断 但不知道问题出自哪里 缺少统一且集中的管理平台 分散的管理造成资源浪费和成本增加 因此为了改变这一不利局面 我们建议部署网络管理软件 对整网运行情况和 在线设备进行管理和监控 6 2 4 入侵防御需求入侵防御需求 首先我们来探讨一个问题 入侵攻击行为包括哪些 什么样的行为可以称 为入侵攻击行为 我们来看对入侵行为的标准定义 入侵是指在非授权的情况 下 试图存取信息 处理信息或破坏系统以使系统不可靠 不可用的故意行为 此文档收集于网络 如有侵权 请联系网站删除 精品文档 通常提到对入侵行为的防御 大家都会想到防火墙 防火墙作为企业级安 全保障体系的第一道防线 已经得到了非常广泛的应用 但是各式各样的攻击 行为还是被不断的发现和报道 这就意味着有一类攻击行为是防火墙所不能防 御的 比如说应用层的攻击行为 想要实现完全的入侵防御 首先需要对各种攻击能准确发现 其次是需要 实时的阻断防御与响应 防火墙等访问控制设备没有能做到完全的协议分析 仅能实现较为低层的入侵防御 对应用层攻击等行为无法进行判断 而入侵检 测等旁路设备由于部署方式的局限 在发现攻击后无法及时切断可疑连接 都 达不到完全防御的要求 想要实现完全的入侵防御 就需要将完全协议分析和在线防御相融合 这 就是入侵防御系统 IPS online 式在线部署 深层分析网络实时数据 精 确判断隐含其中的攻击行为 实施及时的阻断 有数据显示 70 以上的攻击行为发生在传输层和应用层之间 我们称这类 4 7 层上的攻击为深层攻击行为 深层攻击行为有如下特点 第一 新攻击种类出现频率高 新攻击手段出现速度快 据美国 CERT CC 的统计数据 2006 年共收到信息系统漏洞报告 8064 个 比 2005 年增长了 34 6 漏洞数量的迅速增长标志着新攻击类型的迅速增长 而在同一份报告中 采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近 100 个 最多的一天几近 700 这意味着平均每天发现 100 种新的攻击手段 最 多的一天发现的新攻击手段可多达 700 种 这是一个非常惊人的数据 第二 攻击过程隐蔽 文件捆绑 打开一份文档 结果执行了一个与文档捆绑的木马程序 文件 伪装 可爱的熊猫图片 竟然是蠕虫病毒 跨站脚本攻击 仅仅是访问了一个 网站的页面 就被安上了间谍软件 攻击行为正以越来越可以乱真的面貌出现 除了深层攻击行为这些自身的特点外 越来越多的业务应用 也增加了判 断攻击行为的难度 到底是正常的应用还是是违规的应用呢 如何更好的实现对这些深层攻击的防御 是入侵防御系统需要解决的问题 此文档收集于网络 如有侵权 请联系网站删除 精品文档 深层需要高效和准确 防御则意味着及时的阻断 深层防御需要兼顾两者 由于一些复杂行为不易通过简单的特征识别是否属于攻击 导致用户资产 未得到充分保护 甚至影响正常业务 入侵防御系统融合了基于攻击躲避原理 的阻断方法与基于攻击特征的阻断方法 不但有效提高了对各种深层攻击行为 的识别能力 而且对攻击变种 SQL 注入等无法通过特征判断的攻击行为也能 实现精确阻断 这标志着入侵防御系统的精确阻断能力达到国际领先水平 IPS 能实现的精确阻断 精确阻断溢出攻击精确阻断木马后门精确阻断即时通讯行为 精确阻断 SQL 注入攻击精确阻断间谍软件精确阻断网络游戏行为 精确阻断流行蠕虫攻击精确阻断僵尸程序精确阻断异常协议行为 精确阻断数据库漏洞攻击精确阻断恶意代码精确阻断脆弱口令行为 精确阻断操作系统漏洞攻击精确阻断扫描探测行为精确阻断广告软件行为 在线部署 高效可靠在线部署 高效可靠 入侵防御系统是以透明方式串行部署于被保护对像的前端 而作为在线深 层防御产品 在达到精确阻断攻击行为的同时 需要保障正常业务高可用性 入侵防御系统通过内置硬件 Watchdog 技术 软件监控进程 对系统异常实 时监控和处理 实现软 硬件双 Bypass 功能 不增加网络故障点 在提升效率方面 入侵防御系统采用任务与虚拟 CPU 绑定的技术 消除并 行处理的等待和切换时间 基于任务特点合理分配 高效利用硬件资源 根据 分析任务特征自动选择最优算法 提升匹配效率 实现微秒级时延 满足电信 级业务的应用 综合管理 易用 易查综合管理 易用 易查 入侵防御系统支持向导式的策略配置管理 可根据需求灵活调整保护策略 达到最佳防御效果 在及时准确发现各类攻击的同时 提供多种响应方式 此 外 还对历史记录信息提供细致的查询分析功能 入侵防御系统综合管理功能列表 管理功能用户管理 拓扑管理 配置管理 策略管理等 此文档收集于网络 如有侵权 请联系网站删除 精品文档 状态监控系统状态监控 拓扑 通讯 状态监控等 告警响应阻断链接 报警显示 记录日志 邮件告警 SNMP TRAP 信息等 报表分析分类报表分析 综合报表分析 管理报表分析 自定义报表分析等 支持在线更新 防御最新威胁支持在线更新 防御最新威胁 随着攻击种类日益增加 对最新威胁的防御成为考核入侵防御系统升级能 力与厂商及时响应能力的一项重要指标 入侵防御系统可通过在线自动升级 增加防御最新威胁的事件特征和分析算法 精确阻断新的威胁类型 核心服务器区承载广域网全部的重要服务请求 开放端口较少 主要安全 威胁来自于对已开放端口的应用层行为攻击 包括用户权限不当提升造成的信 息泄露 网络病毒的传播与爆发期的网络堵塞以及各类违规应用造成的异常流 量 6 2 5 入侵检测需求入侵检测需求 铁道警官高等专科学院的服务器 客户端主机系统大多为 WIN2K 系统 漏 洞较多 很容易被攻击或入侵 网络内部没有监控措施 必须实时的对网络连 接和传输的数据进行监控 发现入侵行为马上报警 或进行阻断 入侵是对信息系统的非授权访问及 或 未经许可在信息系统中进行操作 威胁计算机或网络的安全机制 包括机密性 完整性 可用性 的行为 入侵 可能是来自互联网的攻击者对系统的非法访问 也可能是系统的授权用户对未 授权的内容进行非法访问 入侵技术和手段是不断发展的 从攻击者的角度说 入侵所需要的技术是 复杂的 而应用的手段往往又表现得非常简单 如下图所示 这种特点导致攻 击现象越来越普遍 对网络和计算机的威胁也越来越突出 此文档收集于网络 如有侵权 请联系网站删除 精品文档 入侵过程一般可以概括为五个步骤或阶段 我们可以就入侵过程的五个阶 段来分析其应用的技术和手段 需要注意的是 作为具体的攻击 不一定完全 按此五个阶段进行 信息探测信息探测 信息探测一般是入侵过程的开始 攻击者开始对网络内部或外部进行有意 或无意的可攻击目标的搜寻 主要应用的技术包括 目标路由信息探测 目标 主机操作系统探测 端口探测 帐户信息搜查 应用服务和应用软件信息探测 以及目标系统已采取的防御措施查找等等 目前 攻击者采用的手段主要是扫 描工具 如操作系统指纹鉴定工具 端口扫描工具等等 攻击尝试攻击尝试 攻击者在进行信息探测后 获取了其需要的相关信息 也就确定了在其知 识范畴内比较容易实现的攻击目标尝试对象 然后开始对目标主机的技术或管 理漏洞进行深入分析和验证 这就意味着攻击尝试的进行 目前 攻击者常用 的手段主要是漏洞校验和口令猜解 如 专用的 CGI 漏洞扫描工具 登录口令 破解等等 权限提升权限提升 攻击者在进行攻击尝试以后 如果成功也就意味着攻击者从原先没有权限 此文档收集于网络 如有侵权 请联系网站删除 精品文档 的系统获取了一个访问权限 但这个权限可能是受限制的 于是攻击者就会采 取各种措施 使得当前的权限得到提升 最理想的就是获得最高权限 如 Admin 或者 Root 权限 这样攻击者才能进行深入攻击 这个过程就是权限提 升 目前 攻击者常用的手段主要是通过缓冲区溢出的攻击方式 深入攻击深入攻击 攻击者通过权限提升后 一般是控制了单台主机 从而独立的入侵过程基 本完成 但是 攻击者也会考虑如何将留下的入侵痕迹消除 同时开辟一条新 的路径便于日后再次进行更深入地攻击 因此 作为深入攻击的主要技术手段 就有日志更改或替换 木马植入以及进行跳板攻击等等 木马的种类更是多种 多样 近年来 木马程序结合病毒的自动传播来进行入侵植入更是屡见不鲜 拒绝服务拒绝服务 如果目标主机的防范措施比较好 前面的攻击过程可能不起效果 作为部 分恶意的攻击者还会采用拒绝服务的攻击方式 模拟正常的业务请求来阻塞目 标主机对外提供服务的网络带宽或消耗目标主机的系统资源 使正常的服务变 得非常困难 严重的甚至导致目标主机宕机 从而达到攻击的效果 目前 拒 绝服务工具成为非常流行的攻击手段 甚至结合木马程序发展成为分布式拒绝 服务攻击 其攻击威力更大 网络安全是一个动态的概念 可以用网络动态安全模型来描述 能够提供给 用户更完整 更合理的安全机制 全网动态安全体系可由下面的公式概括 网络安全网络安全 S S 风险分析风险分析 A A 制定策略制定策略 P P 系统防护系统防护 P P 实时检测实时检测 D D 实时响应实时响应 R R 灾难恢复灾难恢复 R R 即 网络安全是一个 APPDRR 的动态安全模型 然而 在这个安全模型 中 并非各个部分的重要程度都是等同的 在安全策略的指导下 进行必要的 此文档收集于网络 如有侵权 请联系网站删除 精品文档 系统防护有积极的意义 但是 无论网络防护得多么牢固 依旧不能说 网络 是安全的 因为随着技术的发展 任何防护措施都不能保证网络不出现新的安 全事件 不被手段高超的人员成功入侵 在攻击与防御的较量中 实时检测是处在一个核心的地位 在实时检测中 入侵检测系统 英文简称 IDS Intrusion Detection System 是目前最为 主要的一个广泛应用的技术和管理手段 入侵检测就是对企图入侵 正在进行的入侵或已经发生的入侵进行识别的 过程 入侵检测系统则是从多种计算机系统及网络中收集信息 再通过这些信 息分析入侵特征的网络安全系统 它能够实时监控网络传输或主机系统 自动 检测可疑行为 及时发现来自网络外部或内部的攻击从而实时响应 并提供了 安全事件的详细说明及恢复 修补措施 入侵检测系统还可以与防火墙等其它 安全产品紧密结合 最大程度地为网络系统提供安全保障 入侵检测系统是一种动态网络安全技术 它能够发现入侵者实时攻击行为 并对其进行响应 从网络安全防护上讲 防火墙技术给出了一个静态防护的概 念 而入侵检测技术具有动态防御的意义 入侵检测具有监视分析用户和系统 的行为 审计系统配置和漏洞 识别攻击行为 对异常行为进行统计 使系统 管理员可以较有效地监视 审计 评估自己的系统 6 2 6 漏洞扫描需求漏洞扫描需求 铁道警官高等专科学院网络部署应用中 不可能保证各个节点每时每刻都 能处在系统漏洞最少的状态 必须有专门的漏洞扫描工具协助管理员定时对整 个系统做安全评估 所以 需要对整个系统进行漏洞扫描系统部署 1988 年第一个针对 UNIX 系统的蠕虫诞生以来 计算机蠕虫病毒以其快速 多样化的传播方式不断给网络世界带来灾害 尤其是近几年开始针对广泛使用 的 Windows 操作系统的高危蠕虫不断出现 给社会造成了巨大的损失 蠕虫现 在已经成为网络上最可怕的安全威胁 冲击波 震荡波 都是利用了微软 Windows 系统的漏洞进行传播和感染 也就是说他们都依赖于漏洞的存在 产 生安全漏洞的主要原因有三点 很多软件在设计时忽略或者很少考虑安全性问题造成了安全漏洞 此文档收集于网络 如有侵权 请联系网站删除 精品文档 这样产生的安全漏洞分为两类 第一类 是由于操作系统本省设计 缺陷带来的安全漏洞 这类漏洞将被运行在该系统上的应用程序所 继承 第二类是应用软件程序的安全漏洞 第二类漏洞更为常见 更需要得到广泛的关注 保证系统安全不是仅仅使用个别安全工具就能做到的 需要在对网 络进行总体分析的前提下制定安全策略 并且用一系列的安全软件 来实现一个完整的安全解决方案 保证系统的安全还需要提高人员的安全防范意识 最终做到安全有 效的防范 在现在的网络环境中 绝大多数漏洞存在的原因在于管 理员对系统进行了错误的配置 或者没有及时的升级系统软件到最 新的版本 如果及时掌握网络中存在漏洞的主机 就能通过安装补丁程序有效的防范 蠕虫的攻击和来自网络黑客的攻击 因此就有漏洞扫描技术和对应的技术工具 扫描软件 在条件许可的情况下 采用漏洞扫描系统选配的漏洞验证工具 对一些重 要网段 服务器进行模拟渗透攻击 对网络的现有的安全水平进行比较客观的 评价是检测远程或本地系统安全脆弱性的一种安全技术 用于检查 分析网络 范围内的设备 网络服务 操作系统 数据库系统等系统的安全性 从而为提 高网络安全的等级提供决策的支持 网络漏洞扫描基本的原理是通过与目标主机 TCP IP 端口建立连接并请求某 些服务 如 TELNET FTP 等 记录目标主机的应答 搜集目标主机相关信息 如匿名用户是否可以登录等 从而发现目标主机某些内在的安全弱点 漏洞 扫描技术的重要性在于把极为烦琐的安全检测 通过程序来自动完成 这不仅 减轻管理者的工作 而且缩短了检测时间 使安全问题问题更早被发现 大多 数情况下而言 使用自动的漏洞扫描技术可以快速 深入地对网络或目标主机 进行安全检测 系统管理员利用漏洞扫描技术对局域网络 Web 站点 主机操作系统 系 统服务以及防火墙系统的安全漏洞进行扫描 可以了解在运行的网络系统中存 在的不安全的网络服务 在操作系统上存在的可能导致黑客攻击的安全漏洞 此文档收集于网络 如有侵权 请联系网站删除 精品文档 还可以检测主机系统中是否被安装了窃听程序 防火墙系统是否存在安全漏洞 和配置错误等等 利用安全扫描软件 可以能够及时发现网络漏洞并在网络攻 击者扫描和利用之前予以修补 从而提高网络的安全性 6 2 7VOD 点播系统需求点播系统需求 铁道警官高等专科学院目前没有 VOD 课件点播系统 建成后的视频点播系 统可以为全校师生的学习 资料保存 内容回顾等提供一个良好的管理与发布 平台 依托校园网网络 使教学资源能够快速 直观的提供给每一个师生 7 7 安全技术体系设计安全技术体系设计 7 17 1 安全技术体系总体框架设计安全技术体系总体框架设计 在具体的安全建设中应根据安全目标 网络状况 目前用户最关注的安全 重点和现有投资规模选择当前最迫切需要的安全防护机制 用以确保网络信息 系统的安全可靠运行 在前面的章节中我们已经对校园网络信息系统结构进行了全面分析并按照 等级保护的原则对改造后的网络信息系统进行了区域划分和各区域的安全保护 级别定义 结合用户的实际需要 我们设计了一套由多种安全技术和多层防护 措施构成的安全体系总体技术框架 希望能帮助校园网络有效抵御来自内 外 网络的安全威胁 主要包括 1 网络安全 划分安全域 部署防火墙系统 入侵检测系统 漏洞扫描系统 网络准入 控制系统等 2 主机安全 部署服务器 客户端防病毒系统 终端安全管理系统 补丁管理系统等 3 应用安全 部署防恶意代码系统等 4 管理 此文档收集于网络 如有侵权 请联系网站删除 精品文档 部署安全管理平台 在安全管理平台的基础上 建立安全管理中心 7 1 17 1 1 网络安全网络安全 1 边界防护 在对整个网络进行了安全域划分和确定安全等级后 我们将对各区域的边 界采取一定的隔离和控制措施 制定适当的安全策略 确保在不同安全等级的 区域之间在根据业务需要进行互联互通的同时 避免高等级系统的安全受低等 级系统的影响 首先我们将根据整体网络的区域划分情况进行 VLAN 的划分和路由规划 对安全等级较高的安全域 在其边界部署状态检测防火墙提供安全防护 对安 全等级较低的安全域的边界则可以使用策略路由或访问控制列表来进行控制 具体的安全域边界隔离机制和访问控制策略建议如下 在互联网边界采用防火墙提供边界隔离和访问控制 对外提供信息服务的 WEB MAIL 服务器单独组成一个 DMZ 区 允许内部用户访问互联网上的特定 应用 允许互联网主机访问 DMZ 区服务器上开放的服务 拒绝其他所有访问 2 入侵检测 在网络中部署入侵检测系统 对外界网络黑客利用防火墙为合法的用户访 问而开放的端口穿透防火墙对内网发起的各种高级 复杂的攻击行为进行检测 和阻断 系统工作在第二层到第七层 通常使用特征匹配和异常分析的方法来 识别各种网络攻击行为 对检测到的各种攻击行为均可直接阻断并生成日志报 告和报警信息 3 漏洞扫描系统 面向全网实时进行漏洞扫描 发现安全漏洞 弥补漏洞 降低网络风险级 别 7 1 27 1 2 主机安全主机安全 1 服务器和客户端病毒防护系统 在整个网络中的所有服务器 WINDOWS LINUX 和客户端 WINDOWS 计算机上部署相应平台的网络版防病毒软件 并配置防病毒系统管理中心对所 此文档收集于网络 如有侵权 请联系网站删除 精品文档 有主机上的防病毒软件进行集中管理 监控 统一升级 集中查杀毒 2 终端安全管理系统 通过在所有联网的 Windows 客户端上部署终端安全管理代理软件 包障网 络终端的信息安全 3 补丁管理系统 通过在所有联网的 Windows 客户端上部署补丁管理系统 集中管理客户端 软件系统补丁的升级 系统配置策略 可以定义终端补丁下载 补丁升级策略 以及增强终端系统安全配置策略 并下发给运行于各终端设备上的代理程序 代理执行这些策略 保证终端系统补丁升级 安全配置的完备有效 整个管理 过程都是自动完成的 对终端用户来说完全透明 此外 为了提高整个网络用户补丁升级的效率 避免由于终端用户的同时 补丁升级给网络带宽带来的影响 可以在网络内部搭建补丁升级服务器 保证 终端设备补丁升级的及时有效 7 1 37 1 3 应用安全应用安全 1 互联网恶意代码防范 当前 互联网病毒 蠕虫 木马 流氓软件等各类恶意代码已 经成为互联网接入单位所面临的重要威胁之一 建议在校园网络中可 能遭到互联网恶意代码侵袭的网络边界位置均部署网关级的恶意代码 防范系统 彻底阻断互联网恶意代码在校园网络中的传播 7 1 47 1 4 集中的安全管理和监控集中的安全管理和监控 部署综合安全管理平台 提供集中的安全审计 风险管理 事件响应 对 全网进行统一的安全管理和网络管理 在安全管理平台的基础上 建立安全运 营中心 实现对安全事件的实时检测 及时响应和综合防护 对网络系统安全 防护体系的动态更新 大大降低安全事件发生的概率 并将安全事件的影响降 低到最小 针对校园网络的业务应用特点和目前所面临的主要安全风险 结合业内先 进的安全技术和优秀的安全产品 我们提出了集以下多种安全机制于一体的安 此文档收集于网络 如有侵权 请联系网站删除 精品文档 全解决方案 帮助校园网络建立覆盖网络 主机 应用及管理等各个层面的整 体安全防护体系 以确保校园网络安全可靠地运行 7 27 2 防火墙系统设计防火墙系统设计 7 2 17 2 1 防火墙系统部署的意义防火墙系统部署的意义 防火墙是近年发展起来的重要安全技术 其主要作用是在网络入口点检查 网络通信 根据用户设定的安全规则 在保护内部网络安全的前提下 提供内 外网络通信 通过使用 Firewall 过滤不安全的服务器 提高网络安全和减少子 网中主机的风险 提供对系统的访问控制 阻止攻击者获得攻击网络系统的有 用信息 记录和统计网络利用数据以及非法使用数据 攻击和探测策略执行 防火墙属于一种被动的安全防御工具 设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击 防 火墙的主要功能包括以下几个方面 1 防火墙提供安全边界控制的基本屏障 设置防火墙可提高内部网络安 全性 降低受攻击的风险 2 防火墙体现网络安全策略的具体实施 防火墙集成所有安全软件 如 口令 加密 认证 审计等 比分散管理更经济 3 防火墙强化安全认证和监控审计 因为所有进出网络的通信流都通过 防火墙 使防火墙也能提供日志记录 统计数据 报警处理 审计跟踪等服务 4 防火墙能阻止内部信息泄漏 防火墙实际意义上也是一个隔离器 即 能防外 又能防止内部未经授权用户对互联网的访问 7 2 27 2 2 防火墙系统部署防火墙系统部署方式方式 建议在校园网络与外部网络互联的各个出口边界位置部署防火墙系统提供 边界安全隔离 对内部各不同区域之间也存在安全隔离和访问控制需求的 也 可以采用防火墙系统提供不同区域之间的边界隔离 尤其是对安全保护级别要 求较高的区域如服务器区域 建议在其区域边界处设置防火墙系统 负责审核 此文档收集于网络 如有侵权 请联系网站删除 精品文档 进出本网络区域的访问请求 确保只有合法的访问才能通过 从而为重要子网 建立安全的防御屏障 防范来自主干网上其他节点的非法访问和入侵 具体设计如下 1 1 1 11 1 1 1网络边界防火墙网络边界防火墙 建议在网络边界采用一套防火墙提供边界隔离和访问控制 将办公网作为 被保护的内网 允许内部主机访问互联网上的特定应用 拒绝其他所有访问 同时 将办公区域面向互联网提供信息发布和通讯服务的 WEB MAIL 服务器等 单独保护在防火墙的 DMZ 区 与内网进行有效隔离 避免互联网用户直接访问 校园网络中的内部主机 7 2 37 2 3 防火墙系统部署效果防火墙系统部署效果 防火墙系统可实现以下的基本功能 隔离安全区域隔离安全区域 防火墙采用多安全区域体系 每个物理接口对应一个独立的安全区域 在 不同网络区域之间进行互联时 全部通信都受到防火墙的监控 通过防火墙的 安全策略可以将所联区域设置成相应的保护级别 以保证关键系统的安全 每 个区域的安全策略只对该区域有效 每个区域可以单独设置自己的默认安全策 略 所有对该区域的访问都将匹配与该区域对应的安全策略 提供丰富的提供丰富的 AAAAAA 功能功能 防火墙支持对网络用户提供丰富的安全身份认证 如一次性口令 OTP S KEY RADIUS TACACS LDAP secuid 域认证及数字证书等常用的安全认 证方法 也可以使用专用的认证客户端软件进行认证 基于用户的安全策略更 灵活 更广泛地实现了用户鉴别和用户授权的控制 并提供了丰富的安全日志 来记录用户的安全事件 提供地址转换 对外隐藏内部网络信息提供地址转换 对外隐藏内部网络信息 正向源地址转换使内部网用户可使用私有 IP 地址通过防火墙访问外部 网络 对外界网络用户来说 访问全部是来自于防火墙转换后的地址 并 此文档收集于网络 如有侵权 请联系网站删除 精品文档 不知道是来自内部网的某个地址 能够有效的隐藏内部网络的拓扑结构等 信息 反向目的地址转换可使对外提供信息发布服务的 WEB 服务器等采用私 有 IP 地址作为真实地址 外界用户所访问到的是被防火墙转换过的目的地 址 这样也能够有效的隐藏内部服务器信息 对服务器进行保护 防御外界黑客攻击防御外界黑客攻击 防火墙自身也可提供了一定的入侵检测和防护功能 能抵御常见的各种网 络攻击 并可以和 IDS 实现联动 这不但提高了安全性 而且保证了高性能 深入的应用层控制深入的应用层控制 通过防火墙对进出网络的数据包中的高层协议 HTTP FTP SMTP POP3 NNTP 内容实行更详细的控制 如 HTTP 命令 GET POST HEAD 及 URL FTP 命令 GEI PUT 及文件控制 这对于提 高基于通用 Internet 服务的应用服务器的安全性非常有意义 带宽管理和带宽管理和 QOS 防火墙提供多层次的分布式带宽管理功能 优化网络资源的应用 提高网 络资源应用效率 例如 通过防火墙的带宽管理 可为内部网络的重要用户如 领导 网站维护人员等定义与外部网络通信时的最大带宽 而且带宽可以是分 层的 例如部门带宽下面有小组带宽然后是个人带宽等 可以防止带宽被滥用 保证重要的通信的顺畅 日志记录与审计日志记录与审计 当防火墙系统被配置为工作在不同安全域之间的关键节点时 防火墙系统 就能够对不同安全域之间的访问请求做出日志记录 日志是对一些可能的攻击 行为进行分析和防范的十分重要的情报 另外 防火墙系统也能够对正常的网络 使用情况做出统计 这样网络管理员通过对统计结果进行分析 掌握网络的运 行状态 继而更加有效的管理整个网络 此文档收集于网络 如有侵权 请联系网站删除 精品文档 7 37 3 网络入侵检测系统设计网络入侵检测系统设计 7 3 17 3 1 部署网络部署网络入侵检测系统的意义入侵检测系统的意义 在基于 TCP IP 的网络中 普遍存在遭受攻击的风险 除了恶意的攻击外 非恶意目的发起的攻击也是非常重要的一部分 有效的入侵检测系统可以同时 检测内部和外部威胁 入侵检测系统的目的是检测恶意和非预期的数据和行为 如变更数据 恶意执行 允许非预期资源访问的请求和非预期使用服务 一 旦入侵被检测到 会引发某种响应 如断开攻击者连接 通知操作员 自动停 止或减轻攻击 跟踪攻击来源或适当地反攻击 利用防火墙技术 经过仔细的配置 通常能够在内外网之间提供安全的网 络保护 降低了网络安全风险 但是 还存在着一些防火墙所不能防范的安全 威胁 入侵者可寻找防火墙背后可能敞开的后门 或者入侵者也可能就在防火 墙内 而防火墙对于所保护网络内部的终端设备所发出的攻击是无能为力的 因为这种访问没有经过防火墙 所以需要在包含敏感数据和关键服务的网络中 部署网络入侵检测系统 通过实时侦听网络数据流 寻找网络违规模式和未授 权的网络访问尝试 当发现网络违规行为和未授权的网络访问时 网络监控系 统能够根据系统安全策略做出反应 包括实时报警 事件登录 或执行用户自 定义的安全策略做阻断等 入侵检测是防火墙等其它安全措施的补充 帮助系统对付网络攻击 扩展 系统管理员的安全管理能力 包括安全审计 监视 进攻识别和响应 提高了 信息安全基础结构的完整性 它从计算机网络系统中的若干关键点收集信息 并分析这些信息 看看网络中是否有违反安全策略的行为和遭到袭击的迹象 入侵检测被认为是防火墙之后的第二道安全闸门 在不影响网络性能的情况下 能对网络进行监测 从而提供对内部攻击 外部攻击和误操作的实时检测 7 3 27 3 2 网络入侵检测系统的部署方式网络入侵检测系统的部署方式 建议在网络中部署入侵检测系统 实时检测 分析网络上的通讯数据流 尤其是对进出安全域边界或进出存放有涉密信息的关键网段 服务器主机的通 此文档收集于网络 如有侵权 请联系网站删除 精品文档 讯数据流进行监控 及时发现违规行为和异常行为 并提供阻断和报警 入侵检测系统工作在第二层到第七层 通常使用特征匹配和异常分析的方 法来识别各种网络攻击行为 因其是以在线并联方式部署的 对检测到的各种 攻击行为均可直接阻断并生成日志报告和报警信息 7 47 4 内网安全管理系统设计内网安全管理系统设计 7 4 17 4 1 部署内网安全管理系统的意义部署内网安全管理系统的意义 目前国内政府机关 军队 科研机构 学校和企事业单位中的网络都具有 相当的规模 网络中大量使用计算机及其它网络设备 这些设备带来高效应用 的同时 由于自身确实存在着安全风险隐患 应该采用相关网络安全技术 手 段来保障整个网络运行的安全 尽管以上大多数用户采用了专门的网络通道技 术 物理隔离技术 安全网段划分 安全防护设施 如防火墙 入侵检测 漏 洞扫描 等方式保证自己的网络安全 但是 对类似下面的安全问题仍然无法 做到真正意义上的解决 1 内部网络用户通过调制解调器 双网卡 无线网卡等网络设备 进行在线违规拨号上网 违规离线上网等行为 2 非法的准入控制等行为 3 违反规定将专网专用的计算机带出网络进入到其它网络 4 网络出现病毒 蠕虫攻击等安全问题后 不能做到安全事件源 的实时 快速 精确定位 远程阻断隔离操作 安全事件发生后 网管 一般通过交换机 路由器或防火墙进行封堵 但设置复杂 操作风险大 而且绝大多数普通交换机并没有被设置成 SNMP 可管理模式 因此不能 够方便地进行隔离操作 5 大规模病毒 安全 事件发生后 网管无法确定病毒黑客事件 源头 无法找到网络中的薄弱环节 无法做到事后分析 加强安全预警 6 静态 IP 地址的网络由于用户原因造成使用管理混乱 网管人员 无法知道 IP 地址的使用 IP 同 MAC 地址的绑定情况以及网络中 IP 分 此文档收集于网络 如有侵权 请联系网站删除 精品文档 配情况 7 针对网络内部安全隐患 自动检测网络中主机的安全防范等级 进行补丁大面积分发 彻底解决网络中的不安全因素 8 大型网络系统中区域结构复杂 不能明确划分管理责任范围 9 网络中计算机设备硬件设备繁多 不能做到精确统计 采用内网安全管理系统则能够完全解决上述网络安全管理工作中遇到的常 见问题 7 4 27 4 2 内网安全管理系统部署方式内网安全管理系统部署方式 内网安全管理系统提供终端安全管理 非法外联监控 补丁管理 网络准 入控制等功能 需在内网的所有 Windows 客户端安装客户端的代理 在服务器 区域部署内网安全管理系统策略服务器 补丁升级服务器 局域网准入控制服 务器 在边界部署网关准入控制服务器等进行整个网络的安全管理 具体部署 方式如下 1 在办公网部署内网安全管理系统策略服务器 2 在办公网