智慧校園網(wǎng)絡(luò)安全解決方案

網(wǎng)絡(luò)安全是一個系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因為網(wǎng)絡(luò)安全包含多個層面，既有層次上的劃分、結(jié)構(gòu)上的劃分，也有防范目標上的差別。在層次上涉及到網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等；在結(jié)構(gòu)上，不同節(jié)點考慮的安全是不同的；在目標上，有些系統(tǒng)專注于防范破壞性的攻擊，有些系統(tǒng)是用來檢查系統(tǒng)的安全漏洞，有些系統(tǒng)用來增強基本的安全環(huán)節(jié)（如審計），有些系統(tǒng)解決信息的加密、認證問題，有些系統(tǒng)考慮的是防病毒的問題。任何一個產(chǎn)品不可能解決全部層面的問題，這與系統(tǒng)的復雜程度、運行的位置和層次都有很大關(guān)系，因而一個完整的安全體系應(yīng)該是一個由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素?；谖覀儗τ谝陨蠈Π踩R和安全模型的理解和分析，對于學校來說，建立一個完整的校園網(wǎng)絡(luò)安全體系，需要使用安全廠商提供的成熟的安全產(chǎn)品和技術(shù)。因此，我們從以下幾個方面制定了一個一攬子的校園網(wǎng)絡(luò)安全解決方案。1.安全性考慮要素

根據(jù)智慧化校園網(wǎng)的實際應(yīng)用場景不同，可以從以下幾個層面進行安全考慮：1）物理層安全主要包括三個方面：環(huán)境安全、設(shè)備安全、線路安全。為了將不同密級的網(wǎng)絡(luò)隔離開，采用隔離技術(shù)將外網(wǎng)和內(nèi)部保護網(wǎng)兩個網(wǎng)絡(luò)在物理上隔離同時保證在邏輯上兩個網(wǎng)絡(luò)能夠連通。將可信網(wǎng)和不可信網(wǎng)要物理隔斷，可信網(wǎng)絡(luò)上的計算機不能訪問不可信網(wǎng)絡(luò)。兩個網(wǎng)絡(luò)能夠有選擇的交換數(shù)據(jù)，好像它們直接相連一樣。2）網(wǎng)絡(luò)層安全解決網(wǎng)絡(luò)層安全的總體思路是業(yè)務(wù)隔離、分層實施、重點保護核心設(shè)備。通過定制設(shè)備安全策略、部署防火墻和IDS系統(tǒng)、部署網(wǎng)管系統(tǒng)和日志系統(tǒng)、日常維護流程保證等措施來保障網(wǎng)絡(luò)層的安全。（1）在多個網(wǎng)絡(luò)層面（外網(wǎng)、?；饏^(qū)和內(nèi)部保護網(wǎng)）之間均設(shè)置防火墻，需要實施相應(yīng)的安全策略控制，并采用安全檢測手段防范非法用戶的主動入侵。

同時，網(wǎng)絡(luò)系統(tǒng)的重要主機或服務(wù)器的地址使用Internet保留地址，并有統(tǒng)一的地址和域名分配辦法，這樣一方面解決合法IP不足的問題，另一方面，利用Internet無法對保留地址進行路由的特點，杜絕與Internet直接互連。--采用的防火墻產(chǎn)品具有以下功能：--基于狀態(tài)檢測的分組過濾--多級的立體訪問控制機制--面向?qū)ο蟮墓芾頇C制--持多種連接方式，透明、路由--支持OSPF、IPX、NETBEUI、SNMP等協(xié)議--具有雙向的地址轉(zhuǎn)換能力--透明應(yīng)用代理功能--一次性口令認證機制--帶寬管理能力--內(nèi)置了一定的入侵檢測功能或能夠與入侵檢測設(shè)備聯(lián)動--遠程管理能力--靈活的審計、日志功能（2）部署基于網(wǎng)絡(luò)、實時的入侵檢測系統(tǒng)實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，全面?zhèn)陕牼W(wǎng)上信息流、動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，通過檢測和實時分析，及時甚至提前發(fā)現(xiàn)非法或異常行為，并進行響應(yīng)。通過采取告警、阻斷（如發(fā)送TCPReset報文等）、與其他網(wǎng)絡(luò)設(shè)備聯(lián)動等事件響應(yīng)方式，以最快的速度阻止入侵事件的發(fā)生。（3）系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)采用雙網(wǎng)雙平面，避免單點故障，每臺服務(wù)器都有同時連接到兩臺主干網(wǎng)絡(luò)交換機上，實現(xiàn)網(wǎng)絡(luò)路由的備份，這樣，在一條網(wǎng)路出現(xiàn)故障的情況下，整個網(wǎng)絡(luò)系統(tǒng)仍然可以正常運行，有力地保證了系統(tǒng)的安全性和可靠性。2）系統(tǒng)層安全從物理安全、登錄安全、用戶安全、文件系統(tǒng)、數(shù)據(jù)安全、各應(yīng)用系統(tǒng)安全等方面制定強化安全的措施。Unix（或UnixLike）平臺具有良好的穩(wěn)定性和病毒免疫力，系統(tǒng)關(guān)鍵節(jié)點如校園各應(yīng)用系統(tǒng)服務(wù)器、數(shù)據(jù)中心、財務(wù)系統(tǒng)等等采

用Unix（或UnixLike）操作系統(tǒng)，其他采用Windows環(huán)境的服務(wù)器安裝防病毒軟件，預防病毒和惡意攻擊。3）應(yīng)用層安全主要通過分權(quán)分域管理、加強操作系統(tǒng)自身安全、雙機集群、用戶數(shù)據(jù)加密存儲、接口數(shù)據(jù)加密傳輸?shù)确绞?。?）分權(quán)分域：對中心和虛擬中心操作員分權(quán)分域管理，涉及操作員的角色（權(quán)限）設(shè)置、地區(qū)設(shè)置和可管理數(shù)據(jù)類別設(shè)置。（2）操作系統(tǒng)自身安全：加強操作系統(tǒng)用戶管理、關(guān)閉不常用的端口和服務(wù)、及時安裝操作系統(tǒng)補丁。（3）雙機集群：系統(tǒng)中的核心服務(wù)器等采用雙機群集技術(shù)，可以保證當任何一臺主機出現(xiàn)故障的時候，另一臺主機可以接替援用，將原來運行在該主機上的應(yīng)用軟件包接管過來，從而確保對用戶的不間斷服務(wù)。同時中心服務(wù)器上的硬盤都應(yīng)支持熱插拔，當出現(xiàn)故障時，可以在不斷電、不停機的情況下替換這些部件。從而保證局部的故障不會影響整個系統(tǒng)的運行，同時也方便系統(tǒng)的維護。（4）用戶數(shù)據(jù)加密存儲：任何系統(tǒng)維護人員都不能直接看到用戶數(shù)據(jù)。而只能的得到系統(tǒng)的統(tǒng)計結(jié)果。同時對用戶關(guān)鍵數(shù)據(jù)，如密碼等采用不可逆的加密算法如MD5進行加密存儲。（5）接口數(shù)據(jù)加密傳輸：在和其他外部系統(tǒng)接口交換數(shù)據(jù)過程中，接口數(shù)據(jù)采加密算法進行加密傳輸。經(jīng)過上述幾個方面的防范，對于病毒、惡意程序、Hacker入侵完全可以避免，能夠保證系統(tǒng)的安全。當然完善的維護制度是保證上述策略能夠很好貫徹的保證，因此需要制定完善的機房維護制度，每天檢查防火墻、防病毒軟件、操作系統(tǒng)、數(shù)據(jù)庫的日志，及時發(fā)現(xiàn)問題，從而針對問題及時解決。新增的安全組件主要包含二大部分：（1）應(yīng)用于被監(jiān)控局域網(wǎng)絡(luò)包括基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)、安全掃描系統(tǒng)。（2）應(yīng)用于被監(jiān)控局域網(wǎng)絡(luò)與廣域網(wǎng)絡(luò)之間主要是指防火墻，還可以有針對于防火墻的入侵檢測系統(tǒng)。

2.主要安全手段

1）雙層防火墻

為了更好的保護學校智慧化校園中需要訪問外網(wǎng)的服務(wù)器以及內(nèi)部網(wǎng)絡(luò)的安全，系統(tǒng)建議采用雙層防火墻機制，如下圖所示：

雙層防火墻組網(wǎng)方案在外部防火墻和內(nèi)部防火墻之間稱為?；饏^(qū)，提供外部網(wǎng)絡(luò)訪問的服務(wù)器就位于這個區(qū)域，表明即使攻擊者通過外部防火墻進入這個區(qū)域，也無法攻入內(nèi)部網(wǎng)絡(luò)。雙層防火墻通過設(shè)置了兩層防火墻，使得內(nèi)部網(wǎng)絡(luò)更為安全。外層防火墻實現(xiàn)包過濾功能，然而卻允許外部網(wǎng)絡(luò)訪問其中的服務(wù)器，如管理平臺門戶服務(wù)器、查詢網(wǎng)關(guān)、防病毒服務(wù)器等；內(nèi)部防火墻允許最中間的內(nèi)部網(wǎng)絡(luò)可以訪問外部網(wǎng)絡(luò)。基于高安全性考慮，校園網(wǎng)內(nèi)部系統(tǒng)WEBServer與Internet之間采用雙層防火墻技術(shù)，將WEBServer放在防火墻的DMZ（?；饏^(qū)），即WEBServer與內(nèi)、外網(wǎng)之間均設(shè)置防火墻，建議這兩個防火墻采用不同廠商的防火墻。WEB服務(wù)器在一定程度上和應(yīng)用服務(wù)器交互獲取系統(tǒng)業(yè)務(wù)數(shù)據(jù)及業(yè)務(wù)邏輯，而WEB服務(wù)器是對公網(wǎng)服務(wù)的，那么應(yīng)用服務(wù)器很可能成為系統(tǒng)的一個安全薄弱環(huán)節(jié)，外網(wǎng)的攻擊就有可能通過應(yīng)用服務(wù)器進入核心數(shù)據(jù)系統(tǒng)。因此，內(nèi)網(wǎng)和應(yīng)用服務(wù)器之間的交互在一定程度上必須考慮訪問權(quán)限和安全性問題。防火墻的每個端口都有不同的安全級別，低安全級別端口和高安全級別端口之間只能容許單向訪問，低安全級別端口要主動訪問高安全級別端口是需要單獨授權(quán)的。而且協(xié)議端口號也可以根據(jù)協(xié)議的需要來動態(tài)開放使用。防火墻同時也具有解決公網(wǎng)最為猖獗的DDOS（分布式拒絕服務(wù)）攻擊的能

力。2）病毒防殺策略針對病毒的特點，需制定了完善的病毒防殺策略。對于病毒的入侵，防范是關(guān)鍵，要做到很好的防范，需要從下面幾個方面入手：（1）操作系統(tǒng)操作系統(tǒng)的安全是整個防病毒的關(guān)鍵，每個操作系統(tǒng)都存在安全的漏洞，為了最大限度的防止操作系統(tǒng)的漏洞，就需要即使安裝最新的操作系統(tǒng)的補丁，將漏洞的危險降到最低。另外操作系統(tǒng)的用戶和密碼也是操作系統(tǒng)容易出問題的部分，為了避免由于用戶和密碼的原因，需要盡量減少系統(tǒng)的用戶，將不需要的用戶和密碼刪除，并且密碼長度要求8位以上，密碼的組成為數(shù)字、字母、特殊字符的組合，避免密碼被攻破。（2）網(wǎng)絡(luò)網(wǎng)絡(luò)的安全是保證系統(tǒng)安全的基本，現(xiàn)在很多病毒、木馬、蠕蟲都是通過網(wǎng)絡(luò)來傳播，因此網(wǎng)絡(luò)的安全就額外重要。網(wǎng)絡(luò)完全的保證主要由雙層防火墻來保證將內(nèi)網(wǎng)和外網(wǎng)分離，將不需要開放給公網(wǎng)的設(shè)備都放在內(nèi)網(wǎng)，將需要開放的設(shè)備放置在DMZ區(qū)，這樣的結(jié)構(gòu)能夠很好的防止網(wǎng)絡(luò)的攻擊。另外系統(tǒng)和外網(wǎng)之間的鏈接也都需要架設(shè)防火墻，這樣能夠防止一個網(wǎng)絡(luò)出問題不會影響其他網(wǎng)絡(luò)的安全，在防火墻上不開放不必要的端口和協(xié)議，嚴格設(shè)置防火墻的訪問策略能夠很好的保證網(wǎng)絡(luò)的安全。（3）數(shù)據(jù)庫數(shù)據(jù)庫的安全也是系統(tǒng)安全的重要的一環(huán)，數(shù)據(jù)庫是整個系統(tǒng)的核心，數(shù)據(jù)的安全是數(shù)據(jù)庫安全的根本。數(shù)據(jù)庫的安全的保證需要及時的安裝數(shù)據(jù)庫的補丁，嚴格控制數(shù)據(jù)庫的用戶和密碼，以及各個用戶的權(quán)限。（4）專業(yè)的防病毒軟件安裝專業(yè)的防病毒軟件是系統(tǒng)安全不可缺少的部分，專業(yè)的防病毒軟件能夠有效的制止病毒的攻擊和破壞，是系統(tǒng)安全的最后的一環(huán)。要保證防病毒軟件能夠有效的防止病毒的入侵就需要及時更新病毒庫，定期對系統(tǒng)做全面的病毒掃描，及時發(fā)現(xiàn)并消滅病毒。建議設(shè)置為每天自動更新病毒庫，以及每周對系統(tǒng)做

全面的病毒掃描。經(jīng)過上述的4個方面的防范，對于病毒入侵完全可以避免，保證系統(tǒng)的安全。當然完善的維護制度是保證上述策略能夠很好貫徹的保證，因此需要制定完善的機房維護制度，每天檢查防火墻、防病毒軟件、操作系統(tǒng)、數(shù)據(jù)庫的日志，及時發(fā)現(xiàn)問題，從而針對問題及時解決。3）部署IDS系統(tǒng)對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem,簡稱IDS）。入侵檢測系統(tǒng)的主要功能有：1）監(jiān)測并分析用戶和系統(tǒng)的活動；2）核查系統(tǒng)配置和漏洞；3）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；4）識別已知的攻擊行為；5）統(tǒng)計分析異常行為；6）操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動?？梢圆捎肅A等廠商的入侵檢測產(chǎn)品，如CAeTrustIntrusionDetection等。下面根據(jù)學校智慧化校園中應(yīng)用系統(tǒng)的重要程度，分別給出安全配置解決方案建議。4）上網(wǎng)行為管理（1）防止帶寬資源濫用上網(wǎng)行為管理通過基于應(yīng)用類型、網(wǎng)站類別、文件類型、用戶/用戶組、時間段等的細致帶寬分配策略限制P2P、在線視頻、大文件下載等不良應(yīng)用所占用的帶寬，保障OA、ERP等辦公應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和網(wǎng)絡(luò)辦公應(yīng)用的使用效率。（2）記錄上網(wǎng)軌跡滿足法規(guī)要求上網(wǎng)行為管理可以幫助組織詳盡記錄用戶的上網(wǎng)軌跡，做到網(wǎng)絡(luò)行為有據(jù)可查，滿足組織對網(wǎng)絡(luò)行為記錄的相關(guān)要求、規(guī)避可能的法規(guī)風險。

（3）管控外發(fā)信息，降低泄密風險上網(wǎng)行為管理充分考慮網(wǎng)絡(luò)使用中的主動泄密、被動泄密行為，從事前防范、事中告警、事后追蹤等多方面防范泄密，為組織保護信息資產(chǎn)安全，降低網(wǎng)絡(luò)風險。（4）為網(wǎng)絡(luò)管理與優(yōu)化提供決策依據(jù)上網(wǎng)行為管理提供了豐富的網(wǎng)絡(luò)可視化報表，能夠提供詳細報告讓管理者清晰掌握互聯(lián)網(wǎng)流量的使用情況，找到造成網(wǎng)絡(luò)故障的原因和網(wǎng)絡(luò)瓶頸所在，從而對精細化管理網(wǎng)絡(luò)并持續(xù)加以優(yōu)化提供了有效依據(jù)。（5）防止病毒木馬等網(wǎng)絡(luò)風險利用其內(nèi)置的危險插件和惡意腳本過濾等創(chuàng)新技術(shù)過濾掛馬網(wǎng)站的訪問、封堵不良網(wǎng)站等，從源頭上切斷病毒、木馬的潛入，再結(jié)合終端安全強度檢查與網(wǎng)絡(luò)準入、DOS防御、ARP欺騙防護等多種安全手段，實現(xiàn)立體式安全護航，確保組織安全上網(wǎng)。5）VPN認證（1）移動辦公通過VPN使筆記本、桌面PC、智能手機、PDA等移動終端設(shè)備實現(xiàn)安全、便捷的