校園網(wǎng)安全設(shè)計方案

1、校園網(wǎng)安全設(shè)計方案一、 校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述校園網(wǎng)信息系統(tǒng)是校園網(wǎng)的數(shù)字神經(jīng)中樞，合理的使用不僅能促進(jìn)各院校的現(xiàn) 代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境，同時通過各院校之間的互聯(lián)互通， 將會極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量。校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書 館局域網(wǎng)、辦公自動化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對外服務(wù)的服務(wù)器群、與 CERNET的接入以及遠(yuǎn)程移動辦公用戶的接入等。教學(xué)局域網(wǎng)是教學(xué)人員利用訃算機(jī)開展教學(xué)和學(xué)生通過計算機(jī)來學(xué)習(xí)的網(wǎng)絡(luò)平 臺；圖書館局域網(wǎng)實現(xiàn)了圖書館的網(wǎng)絡(luò)化管理以及圖書的網(wǎng)上檢索或瀏覽;辦公自動 化局域網(wǎng)是教職員

2、工自動化辦公的平臺，可以在此平臺上開展公文管理、會議管 理、檔案管理以及個人辦公管理等。實現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、資 產(chǎn)管理、人事管理、黨務(wù)管理、財務(wù)管理、后勤管理等應(yīng)用，形成院校的綜合管理 信息系統(tǒng)；校園外網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng)，一般包括 DS、WEB、FTP、 PROXY以及 MAIL 服務(wù)等。外部網(wǎng)實現(xiàn)了校園網(wǎng)與 CERNET 及 INTERNET 的基礎(chǔ)接 入，使院校教職工和學(xué)生能使用電子郵件和瀏覽器等應(yīng)用方式，在教學(xué)、科研和管 理工作中利用國內(nèi)和國際網(wǎng)進(jìn)行信息交流和共享。二、 校園網(wǎng)安全威脅分析校園網(wǎng)內(nèi)的用戶數(shù)量較大，局域網(wǎng)絡(luò)數(shù) LI 較多，認(rèn)真分析可以總結(jié)出

3、校園網(wǎng)面 臨著如下的安全威脅：1) 各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來的安全威脅；2) Internet 網(wǎng)絡(luò)用戶對校園網(wǎng)存在非法訪問或惡意入侵的威脅；3）來自校園網(wǎng)內(nèi)外的各種病毒的威脅，外部用戶可能通過郵件以及文件傳輸 等將病毒帶入校園內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能山于使用盜版介質(zhì)將病毒帶入校 園內(nèi)網(wǎng)；4）內(nèi)部用戶對 Internet 的非法訪問威脅，如瀏覽黃色、暴力、反動等網(wǎng)站， 以及由于下載文件可能將木馬、蠕蟲、病毒等程序帶入校園內(nèi)網(wǎng)；5）內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對網(wǎng)絡(luò)及服務(wù)器發(fā)起 DOS/DDOS 攻 擊，導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用；6）校園網(wǎng)內(nèi)的學(xué)生群體是主要的 OICQ 用戶

4、，口前針對 OICQ 的黑客程序隨處 可見；7）可能會因為校園網(wǎng)內(nèi)管理人員以及全體師生的安全意識不強(qiáng)、管理制度不 健全，帶來校園網(wǎng)的威脅；三、校園網(wǎng)安全方案設(shè)計上述分析的兒點是當(dāng)今校園網(wǎng)普遍面臨的安全隱患。特別是近年來，隨著學(xué)生 宿舍、教職工家屬等接入校園網(wǎng)后，網(wǎng)絡(luò)規(guī)模急劇增大。同時，校園網(wǎng)絡(luò)的應(yīng)用水 平也在不斷提高。規(guī)模的壯大和運(yùn)用水平的提高就決定了校園網(wǎng)面臨的隱患也相應(yīng) 加劇。下圖是比較普遍的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)?；诖藞D，我們從物理、系統(tǒng)、網(wǎng)絡(luò)、 應(yīng)用及管理五個層次分析和設(shè)計適合于校園網(wǎng)的安全建議方案。1（物理層安全物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照:GB5

5、0173-93電子計算機(jī)機(jī)房設(shè)計規(guī)范、GB2887-89計算機(jī)站場地安全要 求及GB2887-89計算機(jī)站場地技術(shù)條件的要求。在設(shè)備集中的管理間安裝干 擾器防止 111于設(shè)備輻射造成的信息泄漏。同時，要注意保護(hù)線路的安全，防止用戶 的搭線竊聽行為。2（系統(tǒng)安全系統(tǒng)層主要解決的是山于各種操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)產(chǎn)品的安全漏洞和病 毒造成的威脅。解決的技術(shù)手段主要有以下兒種：采用主機(jī)加固手段對主機(jī)加固，如升級、打補(bǔ)丁、關(guān)閉不需要的端口等；采用主機(jī)訪問控制手段加強(qiáng)對主機(jī)的訪問控制；3（網(wǎng)絡(luò)層安全校園網(wǎng)中局域網(wǎng)數(shù) LI 較多，根據(jù)需要多個網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián)，使我們對網(wǎng)絡(luò)層的安全要極

6、度重視。定義一個網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等 級的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下兒 方面的網(wǎng)絡(luò)層安全防護(hù)：1）劃分安全子網(wǎng)。如果同一局域網(wǎng)內(nèi)有不同等級的安全域，可以通過劃分子 網(wǎng)及VLAN 的方法加以訪問控制。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可 以通過劃分子網(wǎng)來控制，不允許學(xué)生機(jī)房的機(jī)器訪問多媒體機(jī)房的機(jī)器。2）加強(qiáng)網(wǎng)絡(luò)邊界的訪問控制。安全等級差別較大的邊界需要采用防火墻來控 制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和 Internet 之間，利用防火墻進(jìn)行訪問控制和內(nèi)容過 濾。可有效地解決需求中提到的多種威脅。3）防止內(nèi)外的攻擊威脅。在每個安全域內(nèi)或多個安全域之間安裝入侵檢測系 統(tǒng)（IDS）,可有效地防止來自網(wǎng)絡(luò)內(nèi)外的攻擊。4）定期的網(wǎng)絡(luò)安全性檢測實現(xiàn)持續(xù)安全。利用漏洞掃描器（Scanner）,定期對 系統(tǒng)進(jìn)行安全性評估，及時發(fā)現(xiàn)安全隱患并實施修補(bǔ)，可達(dá)到網(wǎng)絡(luò)的相對持續(xù)安 全。5）建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng)，集中控制、管 理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒，保護(hù)全網(wǎng)不被病毒侵害。4（應(yīng)用層安全應(yīng)用層的安全措施主要有以下兒點：各應(yīng)用系統(tǒng)自身的加固；建立身份認(rèn)證系統(tǒng)；0建立安全審訃系統(tǒng)；e建立備份系統(tǒng);5（管理層安全實現(xiàn)管理層的安全主要注意以下兒點:O建立安