校园网络安全设计方案

1、-CAL-FENGHAI-(2020YEAR-YICAI)JINGBIAN校园网络安全设计方案一.安全需求1.1.1网络现状随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严 峻，L1前校园网安全防护体系还存在一些问题，主要体现在：网络的安全防御能 力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺 少综合、髙效的网络安全防护和监控手段，削弱了网络应用的可靠性。因此，急 需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园 信息化建设奠定更加良好的网络安全基础。1.1.2应用和信息点楼号该楼用 途每层 主机层数栋息总 每信点数实现功能3行政

2、， 办公， 网络中 心504200主要以校领导、财务、人事为主 要用户。主要是网络中心、计算 机机房、网络实验室为主。网络 中心负责网络维护，管理，中心 内设有网站、电子邮箱、精品课 程、FTP资源、办公系统以及视频 点播等服务器。20图书馆1005500对图书馆内各类图书进行管理 对图书资料进行处理。建立电子 阅览室为学生更快更好的查阅各 类图书。主要以文件传输、视频 传输为主。7(1,2,11,16)教学楼10-200不等7150主要是多媒体教室。能够实现多 媒体教学，快速地获取网上资源4(5,689,1012.13.14,15.16.17)宿舍18071200能够较快地获取网上资源，拥有

3、 语音布线丄2现有安全技术1 -操作系统和应用软件自身的身份认证功能，实现访问限制。2. 定期对重要数据进行备份数据备份。3 -每台校园网电脑安装有防毒杀毒软件。丄3 安全需求丄构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病 毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2. 建立全天候监控的网络信息入侵检测体系在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异 常行为进行监测和报警。3. 建立高效可靠的内网安全管理体系只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安 全管

4、理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4.建立虚拟专用网（VPN）和专用通道使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专 用网。二安全设计11设计原则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的 安全服务等因素，参照SSE-CMMC系统安全工程能力成熟模型”）和ISO17799（信 息安全管理标准）等国际标准，综合考虑可实施性、可管理性、可扩展性、综合 完备性、系统均衡性等方面，网络安全防范体系在整体设计过程中应遵循以下9 项原则：1 -网络信息安全的木桶原则网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最 大容积取

5、决于最短的一块木板”。网络信息系统是一个复杂的计算机系统，它本 身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用 户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用 的“最易渗透原则”，必然在系统中最薄弱的地方进行攻击。因此，充分、全 面、完整地对系统的安全漏洞和安全威胁进行分析，评估和检测（包括模拟攻 击）是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的 是防止最常用的攻击手段，根本目的是提高整个系统的“安全最低点“的安全性2 -网络信息安全的整体性原则要求在网络发生被攻击、破坏事件的情况下，必须尽可能地快速恢复网络 信息中心的服务

6、，减少损失。因此，信息安全系统应该包括安全防护机制、安全 检测机制和安全恢复机制。安全防护机制是根据具体系统存在的各种安全威胁采 取的相应的防护措施，避免非法攻击的进行。安全检测机制是检测系统的运行情 况，及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失 效的情况下，进行应急处理和尽量、及时地恢复信息，减少供给的破坏程度。3. 安全性评价与平衡原则对任何网络，绝对安全难以达到，也不一定是必要的，所以需要建立合理 的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险 与代价的关系，做到安全性与可用性相容，做到组织上可执行。评价信息是否安 全，没有绝对的评判标准

7、和衡量指标，只能决定于系统的用户需求和具体的应用 环境，具体取决于系统的规模和范围，系统的性质和信息的重要程度。4. 标准化与一致性原则系统是一个庞大的系统工程，其安全体系的设计必须遵循一系列的标准， 这样才能确保各个分系统的一致性，使整个系统安全地互联互通、信息共享。5. 技术与管理相结合原则安全体系是一个复杂的系统工程，涉及人、技术、操作等要素，单靠技术 或单靠管理都不可能实现。因此，必须将各种安全技术与运行管理机制、人员思 想教育与技术培训、安全规章制度建设相结合。6 .统筹规划，分步实施原则由于政策规定、服务需求的不明朗，环境、条件、时间的变化，攻击手段的进步，安全防护不可能一步到位，

8、可在一个比较全面的安全规划下，根据网络 的实际需要，先建立基本的安全体系，保证基本的、必须的安全性。随着今后随 着网络规模的扩大及应用的増加，网络应用和复杂程度的变化，网络脆弱性也会 不断増加，调整或増强安全防护力度，保证整个网络最根本的安全需求。7. 等级性原则等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不 同等级的，包括对信息保密程度分级，对用户操作权限分级，对网络安全程度分 级（安全子网和安全区域），对系统实现结构的分级（应用层、网络层、链路层 等），从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制， 以满足网络中不同层次的各种实际需求。8. 动态发展原则

9、要根据网络安全的变化不断调整安全措施，适应新的网络环境，满足新的 网络安全需求。9. 易操作性原则首先，安全措施需要人为去完成，如果措施过于复杂，对人的要求过高， 本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。12物理层设计1物理位置选择机房应选择在具有防震、防风和防雨等能力的建筑内；机房的承重要求应满 足设计要求；机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层 或隔壁；机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污 染，易发生火灾、水灾，易遭受雷击的地区。2. 物理访问控制有人值守机房出入口应有专人值守，鉴别进入的人员身份并登记在案；无人 值守的机房

10、门口应具备告警系统；应批准进入机房的来访人员，限制和监控其活 动范围；应对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重 要区域前设置交付或安装等过渡区域。服务器应该安放在安装了监视器的隔离房 间内，并且监视器要保留15天以上的摄像记录。机箱，键盘，电脑桌抽屉要上 锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在安全的地方。在自己 的办工桌上安上笔记本电脑安全锁，以防止笔记本电脑的丢失。3. 防盗窃和防破坏应将相关服务器放置在物理受限的范围内；应利用光、电等技术设置机房的 防盗报警系统，以防进入机房的盗窃和破坏行为；应对机房设置监控报警系统。 4防雷击机房建筑应设置避雷装置；应

11、设置防雷保安器，防止感应雷；应设置交流电 源地线。5防火应设置火灾自动消防系统，自动检测火情，自动报警，并自动灭火；机房及 相关的工作房间和辅助房，其建筑材料应具有耐火等级。6防水和防潮水管安装不得穿过屋顶和活动地板下；应对穿过墙壁和楼板的水管増加必要 的保护措施，如设置套管；应采取措施防止雨水通过屋顶和墙壁渗透；应采取措 施防止室内水蒸气结露和地下积水的转移与渗透。7防静电应采用必要的接地等防静电措施；应采用防静电地板。8.温湿度控制应设置恒温恒湿系统，使机房温、湿度的变化在设备运行所允许的范围之 内。防尘和有害气体控制；机房中应无爆炸、导电、导磁性及腐蚀性尘埃；机房 中应无腐蚀金属的气体；

12、机房中应无破坏绝缘的气体。9电力供应机房供电应与其他市电供电分开；应设置稳压器和过电压防护设备；应提供 短期的备用电力供应（如UPS设备）；应建立备用供电系统（如备用发电机）, 以备常用供电系统停电时启用。10. 电磁防护要求应采用接地方式防止外界电磁干扰和相关服务器寄生耦合干扰；电源线和通 信线缆应隔离，避免互相干扰。1.3网络层设计1防火墙技术建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用 最广泛的防护技术在逻辑上，它既是一个分离器也是一个限制器，同时它还是 个分析器，通过设置在异构网络（如可信的校园网与不可信的公共网）之间的一系列部件的组合有效监控内部网与外层网络之间的

13、信息流动，使得只有经过精心 选择的应用协议才能通过，保证了内网环境的安全，如图1所示内部网内部数据库作为校园网安全的屏障，防火墙是连接内、外层网络之间信息的唯一出入 口，根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流校园网络 管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上 以便对网络存取和访问进行监控审计同时利用防火墙的曰志记录功能做好备 份，提供网络使用情况的统计数据2虚拟专网(VPN)技术对于从专线连接的外部网络用户，采用虚拟专网(VPN)技术，它使架设于公 众网络上的园区网使用信道协议及相关的安全程序进行保密，还可以采用点对点 协议、加密后送出资料及加

14、密收发两端网络位置等措施使虚拟专网更加可靠。3身份认证技术对于拨号进入园区网的用户进行严格控制，在拨号线路上加装保密机，使无 保密机的用户无法拨通；通过用户名和口令的认真检查用户身份；利用回拨技术 再次确认和限制非法用户的入侵。4. 加密技术在外部网络的数据传输过程中，采用密码技术对信息加密是最常用的安全保 护手段。目前广泛使用的有对称算法和非对称算法两类加密算法，两种方法结合 使用，加上数字签名、数字时间戳、数字水印及数字证书等技术，可以使通信安 全得到保证。为存放秘密信息的服务器加装密码机，对园区网上传输的秘密信息 加密，以实现秘密数据的安全传输。5. 物理隔离公共网络及因特网上黑客曰益猖

15、獗，加上我国使用的计算机及网络设备的软 硬件产品大多数是进口的，安全上没有很好的保证，因而将外部网络中的因特网 与专用网络如军用网实现物理隔离，使之没有任何连接，可以使园区网与外部专 用网络连接时，园区网与Internet无物理联系在安全上较为稳妥。6 .防毒网关防火墙无法防止病毒的传播，因而需要安装基于Internet网关的防毒软件， 具体可以安装到代理服务器上，以防止Internet病毒及Java程序对系统的破坏7网络地址转换技术当园区网内部主机与外部相连时，使用同一IP地址；相反，外部网络与园 区网主机连接时，必须通过网关映射到园区网主机上。它使外部看不到园区网， 从而隐藏内部网络，达到

16、保密作用，同时，它还可以解决IP地址的不足。8代理服务及路由器可以根据设置地址、服务、内容等要素来控制用户的访问，代理服务器及路 由器起访问的中介作用，使园区网和外部网络间不能直接访问，从而保证内部关 键信息的安全。9安全扫描可以通过各种安全扫描软件对系统进行检测与分析，迅速找到安全漏洞并加 以修复。目前有多种软件可以对设备进行扫描，检查它们的弱点并生成报表。10.入侵检测可以采用一些安全产品对网络上流动的数据包进行检查，识别非法入侵和其 它可疑行为，并给予及时的响应及防护。如下图所示。响应模块校I元1网节点信号搜集信号分析11用户的身份认证用户入网访问控制分为三步，即用户名的验证；用户口令的

17、验证；用户帐号 的验证。用户口令是入网的关键，必须经过加密，用户还可采用一次一密的方 法，或者使用智能卡来验证用户身份。同时，可将用户与所用的计算机联系起 来，使用户用固定的计算机上网，以减少用户的流动性，加强管理。12. 权限控制这是针对网络非法操作提出的一种安全保护措施。用户和用户组被赋予一定 的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其它资源及 用户可执行的操作。13. 客户端安全防护首先，应切断病毒传播的途径，降低感染病毒的风险；其次，使用的浏览器 必须确保符合安全标准，使客户端的工作站得到安全保证。14. 安全检测使用安全检测和扫描软件对网络设备和客户端工作站进行检

18、测和分析，查找 安全漏洞并加以修复，使用防病毒软件进行病毒查找和杀毒工作。加密，访问控制，数字签名，入侵检测，扫描，物理 隔离，安全协议1.4 传输层安全操作系统是整个园区网系统工作的基础，也是系统安全的基础，因而必须采 取措施保证操作系统平台的安全。安全措施主要包括：采用安全性较高的系统， 对系统文件加密，操作系统防病毒、系统漏洞及入侵检测等。1采用安全性较高的系统美国国防部技术标准把操作系统安全等级分为DI、Cl、C2、Bl、B2、B3、 A级，安全等级由低到高，目前主要的操作系统等级为C2级。在使用C2级系统 时，应尽量使用C2级的安全措施及功能，对操作系统进行安全配置。在极端重 要的园

19、区网系统中，应采用B级操作系统。2加密技术对操作系统中某些重要的文件进行加密，防止非法出版的读取及修改。3病毒的防范在园区网主机上安装防病毒软件，对病毒进行定时或实时的病毒扫描及检 测，对防病毒软件进行及时升级以发现和杀灭新型的病毒。4安全扫描通过对园区网主机进行一系列设置和扫描，对系统的各个环节提供可靠的分 析结果，为系统管理员提供可靠性和安全性分析报告，对系统进行及时升级以弥 补漏洞及关闭“后门”。5入侵检测安装基于主机的入侵检测系统，可检查操作系统曰志和其它系统特征，判断 入侵事件，在非法修改主页时自动作出反应，对已入侵的访问和试图入侵的访问 进行跟踪记录，并及时通知系统管理员，使管理员

20、可对网络的各种活动进行实时 监视。1.5应用层安全1蠕虫过滤蠕虫可以利用电子邮件、文件传输等方式进行扩散，也可以利用系统的漏洞 发起动态攻击。病毒防御体系可以根据蠕虫的特点实行多层次处理，在网络层和 传输层过滤蠕虫利用漏洞的动态攻击数据，在应用层过滤利用正常协议（SMTP、 HTTP、POP3、FTP）传输的静态蠕虫代码。2病毒过滤对于网页浏览（HTTP协议）、文件传输（FTP协议）、邮件传输（SMTP、POP3协 议）等病毒，基于专门的病毒引擎进行查杀。对于邮件病毒，可以定义对病毒的 处理方式，决定清除病毒、删除附件、丢弃等操作，发现病毒时通知管理员、收 件人、发件人等操作。3垃圾邮件过滤垃

21、圾邮件类型大致可以分为以下四种类型：邮件头部包含垃圾邮件特征的邮 件;邮件内容包含垃圾邮件特征的邮件;使用Open Relay主机发送的垃圾邮件（Open Relay方式的SMTP邮件服务器被利用向任何地址发送的垃圾邮件）;邮件头 部和内容都无法提取特征的垃圾邮件。病毒防御体系按照协议特征对数据包进行分析、重组及解码，按照安全规则 通过智能分析对SMTP连接、IP地址、邮件地址、数据内容进行处理。可以限制 IP地址、邮件地址、邮件数量、邮件大小;对邮件标题、正文、附件、包含特定 关健字的邮件进行过滤;对特定邮件头信息、邮件发送者地址、邮件接收者地址、 域名等进行过滤;支持对伪装邮件过滤。4内容

22、过滤支持对邮件关键字、附件文件类型进行过滤，通过定义可信或不可信的URL 并进行过滤，可以选择对网页脚本进行过滤、对传输的信息进行智能识别过滤， 防止敏感信息的侵扰和扩散。16管理层安全1.制定一套严谨严格的操作守则。要求网管人员严格按照守则进行管理工作，2 .加强网络管理人员的培训。定期对网管人员进行培训，并出外考察，多増长与时俱进的网管技术三、材料清单和工程设计3.1材料清单项目型号用途数量中心交换机RG-S68O6中心交换机2台防火墙RG-WALL100确保信息安全2台路由器TP-LINKTL-WR841N连接外网1台VPN网关CyLan SME-500虚拟专用隧道网络集成于防火墙IDS入侵检测套3.2设计方案防火墙防火墙 路由器四、施工4.1病毒立体防御体系的构建与实施包括两个方面的内容：一是在内部网络设置防病毒管理与分发服务器，各终端计算机与服务器通过网络相连，形成内部网络的病毒防御系统。二是设置网关防病毒系统，对网络的出入口数据流量进行病毒扫描和过滤。1 设置防病毒管理与分发服务器校园网的防病毒管理与分发服务器与上级信息管理中心的防病