校园局域网安全解决方案

校园局域网安全解决方案校园局域网安全解决方案绪论本方案以山东女子学院局域网安全解决方案为例,包括原有网络系统分析、安全需求分析、安全目标确实立、安全体系构造的设计等。随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,学校教育教学在很大程度上依靠于网络,数据、信息的担忧全性也成为最主要的问题。很多时候学校的一些信息被删除、丧失，或校园网内常常有大规模病毒消灭。同时受产品和技术条件的限制，很多人对网络安全的意识仅停留在如何防范病毒阶段，对网络安全缺乏整体意识。因此,校园网必需有足够强的安全措施，无论是公众网还是校园网中，网络的安全措施应能全方位地针对各种不同的威逼和脆弱性,确保网络信息的CIA。本方案以山东女子学院局域网安全解决方案为例,包括原有网络系统分析、安全需求分析、安全目标确实立、安全体系构造的设计等。网络系统概况网络概况1134方案主要针对长清校区，现长清校区有教学楼两栋、试验楼一栋、图书馆一栋、学生宿舍五栋、办公楼一栋、行政楼一栋。教学用计算机近三千台。其局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有全部的信息点为在学校的办公和学习供给了一个快速、便利的信息沟通平台。在原有网络上实施一套完整、可操作的安全解决方案是必定的。2。1.1网络概述1000M600MCisco路由器,全部用户可直接访问Internet。2。1。2网络构造计算机网络系统就是利用通信设备和线路将地理位置不同、功能独立的多个计算机系统互联起来,以功能完善的网络软件实现网络中资源共享和信息传递:Internet网络、公开效劳器区域。内部网络又可依据属性、职能、安全的重要性分为很多子网，包括：办公子网、行政子网、学习子网、教学子网、中心效劳器子网等.不同的局域网分属不同的播送域,在中心交换机上将重要网段各自划分为一个独立的播送域，而将其他的工作站划分在一个一样的网段.2。1。3网络构造的特点在分析本局域网的安全风险时，应考虑到网络的如下几个特点:1。内部网络中存在很多不同的子网,不同的子网有不同的安全性，因此在进展安全方案设计时，应考虑将不同功能和安全级别的网络分割开，这可以通过交换机划分VLAN2验证,防止非授权的访问。性能、价格、潜在的安全风险进展综合考虑.2。2网络应用校园网网络应用表应用名称应用类型应用重要性电子邮件电子邮件否重要FTP文件共享否格外重要主页WEB否格外重要图书馆数据库访问否格外重要认证计费认证计费否格外重要网络维护网上报修否格外重要论坛争论沟通否重要远程教育远程教育否格外重要VoIPIP是重要视频点播视频点播否重要视频会议流媒体是重要网上课堂网上教学否重要远程接入VPN否格外重要安全更安全否格外重要校域名域名效劳否格外重要校内代理代理效劳是重要办公自动化OA否重要其中主要应用有:电子邮件功能及OA:OA系统,可以为每个使用者建立自己的信箱，和OA争论和沟通功能：学校网站：保证不允许被修改这一点。科研环境应用系统:科研环境应用系统多集中在各试验室和多功能竞赛及多功能报告厅，这类网络应用可能需要较高的带宽以满足多媒体试验环境.电子教学：学机房、电子图书馆、多媒体教育资源库、内部信息共享职能治理：除电子教学外,学校的各项治理工作的现代化也势必要通过网络来实现7〕远程教育:远程教育建起了一座跨越地域、不受规模限制的虚拟学校，将教学信息通过了更多的选择。无线网络:把拥有无线校园网作为现代化校园的一个标志，我们山东女子学院也应在这点做好从前的预备,迎战将来。视频点播:VODVOD效劳器上,让学生们进展点播，灵敏的开展教学效劳。集群主机E—mail网络中心效劳器电子邮件集群主机E—mail网络中心效劳器电子邮件全部集群FTP网络中心效劳器文件下载全部集群WindowsDHCP计算中心效劳器编址全部器集群Windows网络治理计算中心效劳器网络治理治理部门数据存储位置应用团体图书馆藏书名目群图书馆效劳器集图书馆藏书名目全部Web网络中心效劳器Web站点全部效劳器效劳器集群WindowsDNS效劳器网络中心效劳器命名全部集群网络系统安全风险分析的安全措施.我们从五个安全层面来考虑保护校园网的安全，并结合本局域网的实际状况,具体地分析网络的安全风险.的安全措施.我们从五个安全层面来考虑保护校园网的安全，并结合本局域网的实际状况,具体地分析网络的安全风险.物理安全风险分析网络的物理安全是整个网络系统安全的前提。主要指地震等灾难；电源故障;人为操作失误或错误；设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。网络的物理安全是整个网络系统安全的前提。主要指地震等灾难；电源故障;人为操作失误或错误；设备被盗、被毁;电磁干扰;线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。在这个企业区局域网内，由于网络的物理跨度不大，只要制定健全的安全治理制度做好备份,并且加强网络设备和机房的治理，这些风险是可以避开的.3。2网络层的安全风险分析网络构造的安全涉及到网络拓扑构造、网络路由状况及网络的环境等。网络构造的安全涉及到网络拓扑构造、网络路由状况及网络的环境等。3.2.1公开效劳器面临的威逼局域网内公开效劳器区作为公司的信息公布平台，一旦不能运行或者受到攻击,会对本校造成很大的威逼.我们有必要将公开效劳器、内部网络与外部网络进展隔离，避开网络构造信息外泄；同时还要对外网的效劳恳求加以过滤。局域网内公开效劳器区作为公司的信息公布平台，一旦不能运行或者受到攻击,会对本校造成很大的威逼.我们有必要将公开效劳器、内部网络与外部网络进展隔离，避开网络构造信息外泄；同时还要对外网的效劳恳求加以过滤。。2整个网络构造和路由状况InternetInternet体配置时可以考虑使用静态路由，这就大大削减了因网络构造和网络路由造成的安全风险.3。3应用及治理的安全风险分析应用的安全性涉及到信息、数据的安全性;信息的安全性涉及到；机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于局域网跨度不大，绝大局部重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于特别重要的信息需要对内部进展保密的可以考虑在应用级进展加密，针对具体的应用直接在应用系统开发时进展加密。应用的安全性涉及到信息、数据的安全性;信息的安全性涉及到；机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于局域网跨度不大，绝大局部重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于特别重要的信息需要对内部进展保密的可以考虑在应用级进展加密，针对具体的应用直接在应用系统开发时进展加密。治理是网络中安全最最重要的局部。责权不明,治理混乱、安全治理制度不健全及缺乏可操作性等都可能引起治理安全的风险。3。4网络攻击手段。1黑客们的攻击行动无时无刻不在进展，会利用系统和治理上的一切可能利用的漏洞。公开效劳器是黑客们最青睐的,一旦黑客觉察漏洞，侵入系统效劳器后,从一般用户变为高级用户，将会对整个局域网构成很大的威逼。如黑客可能会开发哄骗程序,将其装入系统效劳器中，用以监听登录会话、非授权访问、信息泄漏或丧失破坏数据完整性、拒绝效劳攻击、利用网络传播病毒等。黑客们的攻击行动无时无刻不在进展，会利用系统和治理上的一切可能利用的漏洞。公开效劳器是黑客们最青睐的,一旦黑客觉察漏洞，侵入系统效劳器后,从一般用户变为高级用户，将会对整个局域网构成很大的威逼。如黑客可能会开发哄骗程序,将其装入系统效劳器中，用以监听登录会话、非授权访问、信息泄漏或丧失破坏数据完整性、拒绝效劳攻击、利用网络传播病毒等。Web估技术来保护网络内的信息资源，防止黑客攻击.3.4.2计算机病毒始终是计算机安全的主要威逼。当我们从网上下载一些东西如可执行文件和接收来历不明的E-Mail计算机病毒始终是计算机安全的主要威逼。当我们从网上下载一些东西如可执行文件和接收来历不明的E-Mail致严峻的破坏。典型的“CIH”病毒就是一可怕的例子。3。4.3恶意代码不限于病毒,还包括蠕虫、特洛伊木马、规律炸弹、和其他未经同意的软件。应当加强对恶意代码的检测。恶意代码不限于病毒,还包括蠕虫、特洛伊木马、规律炸弹、和其他未经同意的软件。应当加强对恶意代码的检测。3。4。4内部员工生疏效劳器、小程序、脚本和系统的弱点。他们有时可能会做重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等.内部员工生疏效劳器、小程序、脚本和系统的弱点。他们有时可能会做重要的信息、泄露安全重要信息、错误地进入数据库、删除数据等等.3。4。5外部人员与内部员工相识,内部员工对校园局域网的安全体系意识淡薄，同时由于是熟人,所以一时放松了戒备,让非法人员有了可乘之机。外部人员与内部员工相识,内部员工对校园局域网的安全体系意识淡薄，同时由于是熟人,所以一时放松了戒备,让非法人员有了可乘之机。治理层安全网络中心由专人负责,非网管人员不得任凭进入，在网络中心内不得任凭安装其它电器和非效劳器工作站.对网络的核心资源实行备份保护〔含硬件、软网络中心由专人负责,非网管人员不得任凭进入，在网络中心内不得任凭安装其它电器和非效劳器工作站.对网络的核心资源实行备份保护〔含硬件、软入网络工作的人员的治理，对网络口令实行分权分级别治理，同级别的口令不得互用，要定期对口令进展修改并备案存档。4安全需求与安全目标4.1安全需求分析通过前面我们对局域网络构造、应用及安全威逼分析，可以看出其安全问题主要集中在对公开效劳器的安全保护、防黑客和病毒、重要网段的保护以及通过前面我们对局域网络构造、应用及安全威逼分析，可以看出其安全问题主要集中在对公开效劳器的安全保护、防黑客和病毒、重要网段的保护以及1、公开效劳器的安全保护2、防止黑客从外部攻击3、入侵检测与监控4、信息审计与记录5、病毒防护6、数据安全保护7、数据备份与恢复8、网络的安全治理针对局域网络系统的实际状况，在系统考虑如何解决上述安全问题的设计时应满足如下要求:；2.保持网络原有的能特点,即对网络的协议和传输具有很好的透亮性，能透亮接入，无需更改网络设置；34.尽量不影响原网络拓扑构造，同时便于系统及系统功能的扩展;56。安全产品具有合法性，及经过国家有关治理部门的认可或认证；7。分布实施。4。2网络安全策略安全策略是指在一个特定的环境里，为保证供给确定级别的安全保护所必需遵守的规章。该安全策略模型包括了建立安全环境的三个重要组成局部,即：安全策略是指在一个特定的环境里，为保证供给确定级别的安全保护所必需遵守的规章。该安全策略模型包括了建立安全环境的三个重要组成局部,即：威猛的法律:安全的基石是社会法律、法规、与手段，这局部用于建立一慑于法律，不敢轻举妄动。先进的技术：先进的安全技术是信息安全的根本保障，用户对自身面临的威逼进展风险评估，打算其需要的安全效劳种类,选择相应的安全机制，然后集成先进的安全技术.严格的治理：各网络使用机构、企业和单位应建立适宜的信息安全治理方法，加强内部治理，建立审计和跟踪体系，提高整体信息安全意识。4。3系统安全目标基于以上的分析，我们认为这个局域网网络系统安全应当实现以下目标:基于以上的分析，我们认为这个局域网网络系统安全应当实现以下目标:1、建立一套完整可行的网络安全与网络治理策略〔加上工程符号和编号〕2、将内部网络、公开效劳器网络和外网进展有效隔离，避开与外部网络的直接通信3、建立网站各主机和效劳器的安全保护措施，保证他们的系统安全4、对网上效劳恳求内容进展把握，使非法访问在到达主机前被拒绝5、加强合法用户的访问认证,同时将用户的访问权限把握在最低限度6、全面监视对公开效劳器的访问，准时觉察和拒绝担忧全的操作和黑客攻击行为客攻击行为7、加强对各种访问的审计工作,具体记录对网络、公开效劳器的访问行为，形成完整的系统日志8、备份与灾难恢复——强化系统备份，实现系统快速恢复9、加强网络安全治理,提高系统全体人员的网络安全意识和防范技术5网络安全方案总体设计5。1安全方案设计原则在对此局域网网络系统安全方案设计、规划时，应遵循以下原则:综合性、整体性原则：应用系统工程的观点、方法，分析网络的安全及具体措施。计算机网络安全应遵循整体安全性原则，依据规定的安全策略制定出合理的网络安全体系构造。需求、风险、代价平衡的原则：对任一网络，确定安全难以到达，也不愿定是必要的。对一个网络进展实际争论并对网络面临的威逼及可能担当的风险全都性原则：全都性原则主要是指网络安全问题应与整个网络的工作周期同时存在，制定的安全体系构造必需与网络的安全需求相全都。在网络建设的开头就考虑网络安全对策,比在网络建设好后再考虑安全措施简洁,且花费小。易操作性原则:安全措施需要人为去完成，假设措施过于简洁，对人的要求过高,本身就降低了安全性.其次,措施的承受不能影响系统的正常运行。分步实施原则：随着网络规模的扩大及应用的增加,网络脆弱性也不断增加。一劳永逸地解决网络安全问题是不现实的。实施信息安全措施需相当的费用支出.因此分步实施,即可满足网络系统及信息安全的根本需求，亦可节约费用开支.各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。可评价性原则:如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。5。2安全效劳、机制与技术安全机制：访问把握机制、认证机制等；安全技术:防火墙技术、鉴别技术、审计监控技术、病毒防治技术等；在安全的开放环境中,用户可以使用各种安全应用。安全应用由一些安全效劳来实机制有时也可以用于实现不同的安全效劳。5。3安全体系构造通过对网络的全面了解，依据安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。通过对网络的全面了解，依据安全策略的要求、风险分析的结果及整个网络的安全目标,整个网络措施应按系统体系建立。5。3。1物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面:环境安全：对系统所在环境的安全保护，如区域保护和灾难保护如场地选设备安全：设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰、电源保护和设备冗余备份等。这些措施通过严格防止线路截获、抗电磁干扰、电源保护和设备冗余备份等。这些措施通过严格治理及提高员工的整体安全意识来实现.媒体安全：包括媒体数据的安全及媒体本身的安全。为了防止系统中的信息在空间上的集中，通常是在物理上实行确定的防护措施，来削减或干扰集中出去的空间信号.5.3。2系统安全系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以实行如下策略：系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操作系统的安全防范可以实行如下策略：1)Internet2)3)4)5.3。3网络安全我校的近三千台机器,不仅需要对网络进展划分，还要对各个网络之间进展访问把握。我校的近三千台机器,不仅需要对网络进展划分，还要对各个网络之间进展访问把握。1．划分多个子网我们主要利用VLAN别的网络隔离开，我们还要承受隔离技术将核心密和普密两个网络在物理上隔离,同时保证在规律上两个网络能够连通。2．加强各个网络访问之间的把握在中心交换机上对校园网内各个Vlan胁性或者易受病毒感染的协议和端口进展屏蔽;对效劳器Vlan进展重点设置,只开放必要的端口；在路由器上进展一些设置,对学生教室和机房进展有效控只开放必要的端口；在路由器上进展一些设置,对学生教室和机房进展有效控Internet防火墙，对外部的内容进展过滤,这样可有效地解决一些外网对我校的攻击。3。定期对网络安全进展把握坏时对系统进展恢复，保障校园网的正常运行。。4应用安全在应用安全上,主要考虑通信的授权，传输的加密和审计记录.这必需加强登录过程的认证〔特别是在到达效劳器主机之前的认证，确保用户的合法性；在应用安全上,主要考虑通信的授权，传输的加密和审计记录.这必需加强登录过程的认证〔特别是在到达效劳器主机之前的认证，确保用户的合法性；其次应当严格限制登录者的操作权限,将其完