解決方案信息安全設(shè)計(jì)方案

信息安全設(shè)計(jì)方案設(shè)計(jì)方案

一、立項(xiàng)背景

隨著高校內(nèi)多個(gè)網(wǎng)絡(luò)工程的進(jìn)一步實(shí)施，學(xué)校教育信息化、校園網(wǎng)絡(luò)化已經(jīng)成為網(wǎng)絡(luò)時(shí)代教育的發(fā)展方向。在當(dāng)今的互聯(lián)網(wǎng)環(huán)境下，計(jì)算機(jī)被攻擊、破壞的事件經(jīng)常發(fā)生，我們經(jīng)常需要面對的信息安全問題有：黑客侵襲、內(nèi)部漏洞、病毒干擾、人為錯(cuò)誤等。因此，在校園網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò)信息安全成為需要特別考慮的問題。

1.1、校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀

1.2、現(xiàn)有安全技術(shù)和需求

1．操作系統(tǒng)和應(yīng)用軟件本身的身份認(rèn)證功效，實(shí)現(xiàn)訪問限制。

2．定時(shí)對重要數(shù)據(jù)進(jìn)行備份數(shù)據(jù)備份。

3．每臺校園網(wǎng)電腦安裝有防毒殺毒軟件。

1．構(gòu)建涵蓋校園網(wǎng)全部入網(wǎng)設(shè)備的病毒立體防御體系。

計(jì)算機(jī)終端防病毒軟件能及時(shí)有效地發(fā)現(xiàn)、抵抗病毒的攻擊和徹底去除病毒，通過計(jì)算機(jī)終端防病毒軟件實(shí)現(xiàn)統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫的更新。

2.建立全天候監(jiān)控的網(wǎng)絡(luò)信息入侵檢測體系

在校園網(wǎng)核心部位安裝網(wǎng)絡(luò)入侵檢測系統(tǒng)，實(shí)時(shí)對網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進(jìn)行監(jiān)測和報(bào)警。

3.建立高效可靠的內(nèi)網(wǎng)安全管理體系

只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才能夠排除網(wǎng)絡(luò)中最大的安全隱患，內(nèi)網(wǎng)安全管理體系能夠從技術(shù)層面協(xié)助網(wǎng)管人員解決好繁雜的客戶端問題。

4.建立虛擬專用網(wǎng)()和專用通道

使用網(wǎng)關(guān)設(shè)備和有關(guān)技術(shù)手段，對機(jī)密性規(guī)定較高的顧客建立虛擬專用網(wǎng)。

經(jīng)調(diào)查，現(xiàn)有校園網(wǎng)絡(luò)拓?fù)鋱D以下：

二、設(shè)計(jì)方案拓?fù)鋱D

三、設(shè)計(jì)原則

根據(jù)防備安全攻擊的安全需求、需要達(dá)成的安全目的、對應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參考("系統(tǒng)安全工程能力成熟模型")和17799(信息安全管理原則)等國際原則，綜合考慮可實(shí)施性、可管理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防備體系在整體設(shè)計(jì)過程中應(yīng)遵照下列9項(xiàng)原則：

3.2.物理層設(shè)計(jì)

3.2.1物理位置選擇

3.3網(wǎng)絡(luò)層設(shè)計(jì)

3.3.1防火墻技術(shù)

建立在當(dāng)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的防火墻技術(shù)是現(xiàn)在應(yīng)用最廣泛的防護(hù)技術(shù)．在邏輯上，它既是一種分離器也是一種限制器，同時(shí)它還是一種分析器，通過設(shè)立在異構(gòu)網(wǎng)絡(luò)(如可信的校園網(wǎng)與不可信的公共網(wǎng))之間的一系列部件的組合有效監(jiān)控內(nèi)部網(wǎng)與外層網(wǎng)絡(luò)之間的信息流動，使得只有通過精心選擇的應(yīng)用合同才干通過，確保了內(nèi)網(wǎng)環(huán)境的安全，如圖所示：

作為校園網(wǎng)安全的屏障，防火墻是連接內(nèi)、外層網(wǎng)絡(luò)之間信息的唯一出入口，根據(jù)具體的安全政策控制(允許、回絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流．校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計(jì)等的全部安全軟件配備在防火墻上方便對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)．同時(shí)運(yùn)用防火墻的日志統(tǒng)計(jì)功效做好備份，提供網(wǎng)絡(luò)使用狀況的統(tǒng)計(jì)數(shù)據(jù)。

假定校園網(wǎng)通過路由器與相連。校園內(nèi)的地址范疇是擬定的，且有明確的閉和邊界。它有一種C類的地址，有，，，等服務(wù)器，可采用下列存取控制方略。

對進(jìn)入主干網(wǎng)的存取控制

校園網(wǎng)有自己地址，應(yīng)嚴(yán)禁地址從本校路由器訪問?？捎孟率雒钤O(shè)立與校園網(wǎng)連接的路由器：

E0

162.105.17.1

20

!

2.105.17.00.0.225

2:對網(wǎng)絡(luò)中心資源主機(jī)的訪問控制

網(wǎng)絡(luò)中心的，，，等服務(wù)器是重要的資源，要特別的保護(hù)，可對網(wǎng)絡(luò)中心所在子網(wǎng)嚴(yán)禁，，，以外的一切服務(wù)。

3：對校外非法網(wǎng)址的訪問

普通狀況，某些傳輸非法信息的站點(diǎn)重要在校外，而這些站點(diǎn)的域名可能是已知的，這時(shí)可通過計(jì)費(fèi)系統(tǒng)獲得最新的訪問信息，運(yùn)用域名查詢或字符匹配等辦法擬定來自某個(gè)的訪問是非法的。

3.3.2、拓?fù)錁?gòu)造：

3.4、網(wǎng)絡(luò)層設(shè)計(jì)

3.5傳輸層安全

操作系統(tǒng)是整個(gè)園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，因而必須采用方法確保操作系統(tǒng)平臺的安全。安全方法重要涉及：采用安全性較高的系統(tǒng)，對系統(tǒng)文獻(xiàn)加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測等。

3.6、應(yīng)用層安全

3.7、管理層安全

1.制訂一套嚴(yán)謹(jǐn)嚴(yán)格的操作守則。規(guī)定網(wǎng)管