1、一、立項(xiàng)背景 隨著高校內(nèi)各種網(wǎng)絡(luò)工程的深入實(shí)施， 學(xué)校教育信息化、校園網(wǎng)絡(luò)化 已經(jīng)成為網(wǎng)絡(luò)時(shí)代教育的發(fā)展方向。 在當(dāng)今的互聯(lián)網(wǎng)環(huán)境下，計(jì)算機(jī) 被攻擊、破壞的事件經(jīng)常發(fā)生，我們經(jīng)常需要面對(duì)的信息安全問題有: 黑客侵襲、內(nèi)部漏洞、病毒干擾、人為錯(cuò)誤等。因此，在校園網(wǎng)絡(luò)建 設(shè)中，網(wǎng)絡(luò)信息安全成為需要特別考慮的問題1.1、校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀1、安全意識(shí)淡薄校園網(wǎng)2、安全體系松散缺乏安3、網(wǎng)絡(luò)上病毒、攻擊泛上的接入終端仍存在全預(yù)警及監(jiān)控體系，濫隨著校園網(wǎng)絡(luò)規(guī)模用戶空口令或簡(jiǎn)易口管理員不能及時(shí)發(fā)現(xiàn)的不斷擴(kuò)大、性能的令的終端設(shè)備；有些個(gè)網(wǎng)絡(luò)系統(tǒng)存在的最新不斷提高，計(jì)算機(jī)病人計(jì)算機(jī)系

2、統(tǒng)漏洞百漏洞。毒的傳播途徑日益增出;既不安裝防火墻又多、傳播速度越來越不安裝（或更新）殺毒快，造成的影響也就軟件；網(wǎng)絡(luò)IP地址盜越來越嚴(yán)重用;專用網(wǎng)與公網(wǎng)混用等等1.2、現(xiàn)有安全技術(shù)和需求1. 操作系統(tǒng)和應(yīng)用軟件自身的身份認(rèn)證功能，實(shí)現(xiàn)訪問限制。2. 定期對(duì)重要數(shù)據(jù)進(jìn)行備份數(shù)據(jù)備份。3. 每臺(tái)校園網(wǎng)電腦安裝有防毒殺毒軟件。1. 構(gòu)建涵蓋校園網(wǎng)所有入網(wǎng)設(shè)備的病毒立體防御體系。計(jì)算機(jī)終端防病毒軟件能及時(shí)有效地發(fā)現(xiàn)、抵御病毒的攻擊和徹底清除病毒， 通過計(jì)算機(jī)終端防病毒軟件實(shí)現(xiàn)統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫(kù)的更新。2. 建立全天候監(jiān)控的網(wǎng)絡(luò)信息入侵檢測(cè)體系在校園網(wǎng)關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)時(shí)對(duì)網(wǎng)

3、絡(luò)和信息系統(tǒng)訪問的異 常行為進(jìn)行監(jiān)測(cè)和報(bào)警。3. 建立高效可靠的內(nèi)網(wǎng)安全管理體系只有解決網(wǎng)絡(luò)內(nèi)部的安全問題，才可以排除網(wǎng)絡(luò)中最大的安全隱患，內(nèi)網(wǎng)安 全管理體系可以從技術(shù)層面幫助網(wǎng)管人員處理好繁雜的客戶端問題。4. 建立虛擬專用網(wǎng)（VPN）和專用通道使用VPN網(wǎng)關(guān)設(shè)備和相關(guān)技術(shù)手段，對(duì)機(jī)密性要求較高的用戶建立虛擬專用 網(wǎng)。經(jīng)調(diào)查，現(xiàn)有校園網(wǎng)絡(luò)拓?fù)鋱D如下：TnTcrnrT二、設(shè)計(jì)方案拓?fù)鋱D根據(jù)防范安全攻擊的安全需求、需要達(dá)到的安全目標(biāo)、對(duì)應(yīng)安全機(jī)制所需的安全服務(wù)等因素，參照SSE-CMM係統(tǒng)安全工程能力成熟模型"）和ISO17799（信息安全管理標(biāo)準(zhǔn)）等國(guó)際標(biāo)準(zhǔn)，綜合考慮可實(shí) 施性、可管

4、理性、可擴(kuò)展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡(luò)安全防范體系在整體設(shè)計(jì)過程中應(yīng)遵循以下 9項(xiàng)原則:設(shè)計(jì)原則1.網(wǎng)絡(luò)信息安 全的木 桶原則2.網(wǎng)絡(luò) 信息安 全的整 體性原則3.安全性評(píng)價(jià) 與平衡 原則4.標(biāo)準(zhǔn)化與一 致性原則5技術(shù)與管理 相結(jié)合原則6.統(tǒng)籌 規(guī)劃， 分步實(shí) 施原則7.等級(jí)性原則8.動(dòng)態(tài) 發(fā)展原則9.易操 作性原則32物理層設(shè)計(jì) 3.2.1物理位置選擇物理位置選擇1、物理訪問控 制2、防盜竊和防 破壞3.防雷 擊4.防火5.防水和防潮6.防靜電7. 溫濕度控 制8電力 供應(yīng)9.電磁防護(hù)要 求3.3網(wǎng)絡(luò)層設(shè)計(jì) 331防火墻技術(shù)建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的防火墻技術(shù)

5、是目前應(yīng)用最廣泛的防護(hù)技術(shù).在邏輯上，它既是一個(gè)分離器也是一 個(gè)限制器，同時(shí)它還是一個(gè)分析器，通過設(shè)置在異構(gòu)網(wǎng)絡(luò) （如可信的校園網(wǎng)與不可信的公共網(wǎng)）之間的一系列部件的組合有效監(jiān)控內(nèi)部網(wǎng) 與外層網(wǎng)絡(luò)之間的信息流動(dòng)，使得只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能 通過，保證了內(nèi)網(wǎng)環(huán)境的安全，如圖所示:作為校園網(wǎng)安全的屏障，防火墻是連接內(nèi)、外層網(wǎng)絡(luò)之間信息的唯一出入口，根據(jù)具體的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò) 的信息流.校園網(wǎng)絡(luò)管理員要將諸如口令、加密、身份認(rèn)證、審計(jì)等 的所有安全軟件配置在防火墻上以便對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審 計(jì).同時(shí)利用防火墻的日志記錄功能做好備份， 提供網(wǎng)絡(luò)使用情況的 統(tǒng)計(jì)數(shù)據(jù)

6、。假定校園網(wǎng)通過Cisco路由器與CERNE相連。校園內(nèi)的IP地址 范圍是確定 的，且有明確的閉和邊界。它有一個(gè) C類的IP地址，有DNS, Email, WWW, FTP等服務(wù)器，可采用以下存取控制策略。對(duì)進(jìn)入CERNE主干網(wǎng)的存取控制校園網(wǎng)有自己IP地址，應(yīng)禁止IP地址從本校路由器訪問CERNET 可用下述命令設(shè) 置與校園網(wǎng)連接的路由器：Interface E0Decription campusNetIpadd access_listgroup 20 out access_list20 permit ip 0.0.225 2:對(duì)網(wǎng)絡(luò)中心資

7、源主機(jī)的訪問控制網(wǎng)絡(luò)中心的 DNS，Email，F(xiàn)TP，WWW 等服務(wù)器是重要的資源，要特別的保護(hù)，可對(duì) 網(wǎng)絡(luò)中心所在子網(wǎng)禁止 DNS，Email，WWW，F(xiàn)TP以外的一切服務(wù)。3：對(duì)校外非法網(wǎng)址的訪問般情況， 一些傳播非法信息的站點(diǎn)主要在校外， 而這些站點(diǎn)的域名可能是已知 的，這時(shí)可通過計(jì)費(fèi)系統(tǒng)獲得最新的 IP 訪問信息， 利用域名查詢或字符匹配等方法確定 來自某個(gè)IP的訪問是非法的。3.3.2、拓?fù)浣Y(jié)構(gòu)：I、i*internet3.4、網(wǎng)絡(luò)層設(shè)計(jì)網(wǎng)絡(luò)層設(shè)計(jì)2.虛 擬 專 網(wǎng)(VPN) 技 術(shù)3.身 份 認(rèn) 證 技 術(shù)4.加 密 技 術(shù)5.物 理 隔 離6. 防 毒 網(wǎng) 關(guān)7. 網(wǎng) 絡(luò) 地

8、址 轉(zhuǎn) 換 技 術(shù)8.代 理 服 務(wù) 及 路 由 器9.安 全 掃 描10.入 侵 檢 測(cè)11.用 戶 的 身 份 認(rèn) 證12.權(quán) 限 控 制13.客 戶 端 安 全 防 護(hù)14.3.5傳輸層安全操作系統(tǒng)是整個(gè)園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ),因而必須采取措施保證操作系統(tǒng)平臺(tái)的安全。 安全措施主要包括：采 用安全性較高的系統(tǒng)，對(duì)系統(tǒng)文件加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞 及入侵檢測(cè)等。傳輸層安全1.采用安全性 較高的系統(tǒng)2.加密技術(shù)3.病毒的防范4.安全掃描5.入侵檢測(cè)3.6、應(yīng)用層安全應(yīng)用層安全1.蠕蟲過濾2.病毒過濾3.垃圾郵件過濾4.內(nèi)容過濾3.7、管理層安全1. 制定一套嚴(yán)謹(jǐn)嚴(yán)格的操作守則。 要求網(wǎng)管人員嚴(yán)格按照守 則進(jìn)行管理工作。2.加強(qiáng)網(wǎng)絡(luò)管理人員的培訓(xùn)。定期對(duì)網(wǎng)管人員進(jìn)行培訓(xùn)，并 出外考察，多增長(zhǎng)與時(shí)俱進(jìn)的網(wǎng)管技術(shù)。四、材料清