1、某校園網(wǎng)絡(luò)規(guī)劃設(shè)計方案某校園網(wǎng)絡(luò)規(guī)劃設(shè)計方案摘要汁算機網(wǎng)絡(luò)安全建設(shè)是涉及我國經(jīng)濟發(fā)展、社會發(fā)展和國家安全的重大問題。本 文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全而信息，在對網(wǎng)絡(luò)系統(tǒng)詳細的需求分析基礎(chǔ)上，依照計算機網(wǎng)絡(luò)安 全設(shè)計目標和訃算機網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，設(shè)計了一個完整的、立體的、多層次的網(wǎng)絡(luò) 安全防御體系。關(guān)鍵詞網(wǎng)絡(luò)安全方案設(shè)il實現(xiàn)一、計算機網(wǎng)絡(luò)安全方案設(shè)計與實現(xiàn)概述影響網(wǎng)絡(luò)安全的因素很多，保護網(wǎng)絡(luò)安全的技術(shù)、手段也很多。一般來說，保護網(wǎng)絡(luò)安 全的主要技術(shù)有防火墻技術(shù)、入侵檢測技術(shù)、安全評估技術(shù)、防病毒技術(shù)、加密技術(shù)、身份 認證技術(shù)，等等。為了保護網(wǎng)絡(luò)系統(tǒng)的安全，必須結(jié)合網(wǎng)絡(luò)的具體需求，將多種安全措施

2、進 行整合，建立一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系，這樣一個全面的網(wǎng)絡(luò)安全 解決方案，可以防止安全風險的個方而的問題。二、計算機網(wǎng)絡(luò)安全方案設(shè)計并實現(xiàn)1. 桌面安全系統(tǒng)用戶的重要信息都是以文件的形式存儲在磁盤上，使用戶可以方便地存取、修改、分發(fā)。 這樣可以提高辦公的效率，但同時也造成用戶的信息易受到攻擊，造成泄密。特別是對于移 動辦公的情況更是如此。因此，需要對移動用戶的文件及文件夾進行本地安全管理，防止文 件泄密等安全隱患。本設(shè)計方案采用淸華紫光公司出品的紫光S鎖產(chǎn)品，“紫光S鎖”是淸華紫光“桌而計算機 信息安全保護系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器（CPU）、加

3、密運 算協(xié)處理器（CAU）、只讀存儲器（ROM）,隨機存儲器（RAM）、電可擦除可編程只讀存 儲器（E2PROM）等，以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS （Chip Operating Sys tem）、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認證的Sm artCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改，防止非法軟件對S鎖進行操作。2. 病毒防護系統(tǒng)基于單位目前網(wǎng)絡(luò)的現(xiàn)狀，在網(wǎng)絡(luò)中添加一臺服務(wù)器，用于安裝IMSS。(1) 郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服 務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫

4、中，可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電 子郵件，實時掃描并淸除隱藏于數(shù)據(jù)庫及信件附件中的病毒?？赏ㄟ^任何Notes工作站或 Web界面遠程控管防毒管理工作，并提供實時監(jiān)控病毒流量的活動記錄報告。ScanMail是 Notes Domino Server使用率最髙的防病毒軟件。(2) 服務(wù)器防毒。采用趨勢科技的ServerProtecto該產(chǎn)品的最大特點是內(nèi)含集中管理 的概念，防毒模塊和管理模塊可分開安裝。一方而減少了整個防毒系統(tǒng)對原系統(tǒng)的影響，另 一方而使所有服務(wù)器的防毒系統(tǒng)可以從單點進行部署，管理和更新。(3) 客戶端防毒。采用趨勢科技的OfficeScan.該產(chǎn)品作為網(wǎng)絡(luò)版的

5、客戶端防毒系統(tǒng), 使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行 更新。苴最大特點是擁有靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約朿，除 支持SMS,登錄域腳本，共享安裝以外，還支持純Web的部署方式。(4) 集中控管TVCS。管理員可以通過此工具在整個企業(yè)范用內(nèi)進行配置、監(jiān)視和維護 趨勢科技的防病毒軟件，支持跨域和跨網(wǎng)段的管理，并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。 無論運行于何種平臺和位置，TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安 裝和分發(fā)代理部署，網(wǎng)絡(luò)的分析和病毒統(tǒng)計功能以及自動下載病毒代碼文件和病毒爆發(fā)警 報，給管理帶來極大

6、的便利。3. 動態(tài)口令身份認證系統(tǒng)動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上，結(jié)合生成動態(tài)口令的特點，加以精心修改, 通過十次以上的非線性迭代運算，完成時間參數(shù)與密鑰充分的混合擴散。任此基礎(chǔ)上，采用 先進的身份認證及加解密流程、先進的密鑰管理方式，從整體上保證了系統(tǒng)的安全性。4. 訪問控制"防火墻”單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法 訪問、辨別身份偽裝等方而存在著很大的缺陷，從而構(gòu)成了對網(wǎng)絡(luò)安全的重要隱患。本設(shè)汁 方案選用四臺網(wǎng)御防火墻，分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)岀入口，實現(xiàn) 這些重要部門的訪問控制。通過在核心交換機和髙性能服務(wù)

7、器群之間及核心交換機和重要部門之間部署防火墻，通 過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。這樣不僅 保護了單位網(wǎng)絡(luò)服務(wù)器，使其不受來自內(nèi)部的攻擊，也保護了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受 來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進您的一個部門，或者如果病毒開始蔓 延，網(wǎng)段能夠限制造成的損壞進一步擴大。5. 信息加密、信息完整性校驗為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的安全通道， 通過嚴格的加密和認證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實性和私有性。SJW-22網(wǎng)絡(luò)密碼機系統(tǒng)組成網(wǎng)絡(luò)密碼機（硬件）：是一個基于專用內(nèi)核，具有自主版權(quán)的髙

8、級通信保護控制系統(tǒng)。本地管理器（軟件）：是一個安裝于密碼機本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng) 絡(luò)密碼機本地管理系統(tǒng)軟件。中心管理器（軟件）：是一個安裝于中心管理平臺（Windows系統(tǒng)）上的對全網(wǎng)的密碼 機設(shè)備進行統(tǒng)一管理的系統(tǒng)軟件。6. 安全審計系統(tǒng)根據(jù)以上多層次安全防范的策略，安全網(wǎng)的安全建設(shè)可采取"加密;"外防;“內(nèi)審”相結(jié)合 的方法，"內(nèi)審”是對系統(tǒng)內(nèi)部進行監(jiān)視、審查，識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機密信 息是否泄密，以解決內(nèi)層安全。安全審計系統(tǒng)能幫助用戸對安全網(wǎng)的安全進行實時監(jiān)控，及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài)， 發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為，忠實記錄網(wǎng)絡(luò)上發(fā)

9、生的一切，提供取i正手段。作為網(wǎng)絡(luò)安全十分 重要的一種手段，安全審計系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。在安全網(wǎng)中使用的安全審計系統(tǒng)應(yīng)實現(xiàn)如下功能：安全審計自動響應(yīng)、安全審計數(shù)據(jù)生 成、安全審計分析、安全審計瀏覽、安全審計事件存儲、安全審計事件選擇等。本設(shè)計方案選用"漢邦軟科”的安全審計系統(tǒng)作為安全審il工具。漢邦安全審計系統(tǒng)是針對目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題，面向企事業(yè)的網(wǎng)絡(luò)管理 人員而設(shè)計的一套網(wǎng)絡(luò)安全產(chǎn)品，是一個分布在整個安全網(wǎng)范I羽內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測、控 制系統(tǒng)。（1）安全審汁系統(tǒng)由安全監(jiān)控中心和主機傳感器兩個部分構(gòu)成。主機傳感器安裝在要 監(jiān)視的目標

10、主機上，其監(jiān)視目標主機的人機界而操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況 及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺，網(wǎng)絡(luò)管理員通過安全監(jiān)控中 心為主機傳感器設(shè)龍監(jiān)控規(guī)則，同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。主要功能有 文件保護審計和主機信息審計。 文件保護審計：文件保護安裝在審計中心，可有效的對被審計主機端的文件進行管理 規(guī)則設(shè)置，包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命需、記錄日志、提供 報警等功能。以及對文件保護進行用戶管理。 主機信息審計:對網(wǎng)絡(luò)內(nèi)公共資源中，所有主機進行審計，可以審計到主機的機器名、 當前用戶、操作系統(tǒng)類型、IP地址信息。（2）資源監(jiān)控系統(tǒng)

11、主要有四類功能。監(jiān)視屏幕:在用戶指左的時間段內(nèi)，系統(tǒng)自動每 隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實時控制屏幕截獲的開始和結(jié)束。監(jiān)視鍵盤:在用戶指圧的時間段內(nèi)，截獲Host Sensor Program用戶的所有鍵盤輸入，用 戶實時控制鍵盤截獲的開始和結(jié)束。 監(jiān)測監(jiān)控RAS連接：在用戶指圮的時間段內(nèi)，記錄所有的RAS連接信息。用戸實 時控制ass連接信息截獲的開始和結(jié)束。當gas連接非法時，系統(tǒng)將自動進行報警或掛斷 連接的操作。 監(jiān)測監(jiān)控網(wǎng)絡(luò)連接：在用戶指立的時間段內(nèi)，記錄所有的網(wǎng)絡(luò)連接信息（包括:TCP, UDP, NetBios）o用戶實時控制網(wǎng)絡(luò)連接信息截獲的開始和結(jié)束。由用戶指左非法的網(wǎng)絡(luò) 連

12、接列表，當出現(xiàn)非法連接時，系統(tǒng)將自動進行報警或掛斷連接的操作。單位內(nèi)網(wǎng)中安全審計系統(tǒng)采集的數(shù)據(jù)來源于安全訃算機，所以應(yīng)在安全計算機安裝主機 傳感器，保證探頭能夠采集進岀網(wǎng)絡(luò)的所有數(shù)據(jù)。安全監(jiān)控中心安裝在信息中心的一臺主機 上，負責為主機傳感器設(shè)上監(jiān)控規(guī)則，同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計。單位 內(nèi)網(wǎng)中的安全計算機為600臺，需要安裝600個傳感器。7. 入侵檢測系統(tǒng)IDS入侵檢測作為一種枳極主動的安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的 實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全的立體縱深、多層次防御 的角度出發(fā)，入侵檢測理應(yīng)受到人們的髙度重視，這從國際入侵檢

13、測產(chǎn)品市場的蓬勃發(fā)展就 可以看出。根據(jù)網(wǎng)絡(luò)流量和保護數(shù)據(jù)的重要程度，選擇IDS探測器（百兆）配置在內(nèi)部關(guān)鍵子網(wǎng) 的交換機處放巻，核心交換機放置控制臺，監(jiān)控和管理所有的探測器因此提供了對內(nèi)部攻擊 和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。在單位安全內(nèi)網(wǎng)中，入侵檢測系統(tǒng)運行于有敏感數(shù)據(jù)的幾個要害部門子網(wǎng)和其他部門子 網(wǎng)之間，通過實時截取網(wǎng)絡(luò)上的是數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會話軌跡，尋找網(wǎng)絡(luò)攻擊模式和英 他網(wǎng)絡(luò)違規(guī)活動。8. 漏洞掃描系統(tǒng)本內(nèi)網(wǎng)網(wǎng)絡(luò)的安全性決圧了整個系統(tǒng)的安全性。在內(nèi)網(wǎng)高性能服務(wù)器處配置一臺網(wǎng)絡(luò)隱 患掃描I型聯(lián)動型產(chǎn)品。I型聯(lián)動型產(chǎn)品適用于該內(nèi)網(wǎng)這樣的髙端用戶，I型聯(lián)動型產(chǎn)

14、品由手 持式掃描儀和機架型掃描服務(wù)器結(jié)合一體，網(wǎng)管人員就可以很方便的實現(xiàn)了集中管理的功 能。網(wǎng)絡(luò)人員使用I型聯(lián)動型產(chǎn)品，就可以很方便的對200信息點以上的多個網(wǎng)絡(luò)進行多線 程較髙的掃描速度的掃描，可以實現(xiàn)和IDS、防火墻聯(lián)動，尤英適合于制左全網(wǎng)統(tǒng)一的安全 策略。同時移動式掃描儀可以跨越網(wǎng)段、穿透防火墻，實現(xiàn)分布式掃描，服務(wù)器和掃描儀都 支持左時和多IP地址的自動掃描，網(wǎng)管人員可以很輕松的就可以進行整個網(wǎng)絡(luò)的掃描，根 據(jù)系統(tǒng)提供的掃描報告，配合我們提供的三級服務(wù)體系，大大的減輕了工作負擔，極大的提 高了工作效率。聯(lián)動掃描系統(tǒng)支持多線程掃描，有較髙的掃描速度，支持左時和多IP地址的自動掃描, 網(wǎng)管

15、人員可以很輕松的對自己的網(wǎng)絡(luò)進行掃描和漏洞的彌補。同時提供了 Web方式的遠程 管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓撲結(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了 網(wǎng)絡(luò)的安全性。另外對于信息點少、網(wǎng)絡(luò)環(huán)境變化大的內(nèi)網(wǎng)配苣網(wǎng)絡(luò)隱患掃描II型移動式 掃描儀。移動式掃描儀使用靈活，可以跨越網(wǎng)段、穿透防火墻，對重點的服務(wù)器和網(wǎng)絡(luò)設(shè)備 直接掃描防護，這樣保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合作和協(xié)調(diào)性，最大 可能地消除安全隱患。在防火墻處部署聯(lián)動掃描系統(tǒng)，在部門交換機處部署移動式掃描儀，實現(xiàn)放火墻、聯(lián)動 掃描系統(tǒng)和移動式掃描儀之間的聯(lián)動，保證了網(wǎng)絡(luò)安全隱患掃描儀和其他網(wǎng)絡(luò)安全產(chǎn)品的合 作和協(xié)調(diào)性，最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，優(yōu)化資源， 提高網(wǎng)絡(luò)的運行效率和安全性。三、結(jié)束語隨著網(wǎng)絡(luò)應(yīng)用的深入普及，網(wǎng)絡(luò)安全越來越重要，國家和企業(yè)都對建立一個