信息安全設(shè)計方案設(shè)計方案

一、立項背景

隨著高校內(nèi)多個網(wǎng)絡工程的進一步實施，學校教育信息化、校園網(wǎng)絡化已經(jīng)成為網(wǎng)絡時代教育的發(fā)展方向。在當今的互聯(lián)網(wǎng)環(huán)境下，計算機被攻擊、破壞的事件經(jīng)常發(fā)生，我們經(jīng)常需要面對的信息安全問題有：黑客侵襲、內(nèi)部漏洞、病毒干擾、人為錯誤等。因此，在校園網(wǎng)絡建設(shè)中，網(wǎng)絡信息安全成為需要特別考慮的問題。

1.1、校園網(wǎng)信息系統(tǒng)安全現(xiàn)狀

1.2、現(xiàn)有安全技術(shù)和需求

1．操作系統(tǒng)和應用軟件本身的身份認證功效，實現(xiàn)訪問限制。

2．定時對重要數(shù)據(jù)進行備份數(shù)據(jù)備份。

3．每臺校園網(wǎng)電腦安裝有防毒殺毒軟件。

1．構(gòu)建涵蓋校園網(wǎng)全部入網(wǎng)設(shè)備的病毒立體防御體系。

計算機終端防病毒軟件能及時有效地發(fā)現(xiàn)、抵抗病毒的攻擊和徹底去除病毒，通過計算機終端防病毒軟件實現(xiàn)統(tǒng)一的安裝、統(tǒng)一的管理和病毒庫的更新。

2.建立全天候監(jiān)控的網(wǎng)絡信息入侵檢測體系

在校園網(wǎng)核心部位安裝網(wǎng)絡入侵檢測系統(tǒng)，實時對網(wǎng)絡和信息系統(tǒng)訪問的異常行為進行監(jiān)測和報警。

3.建立高效可靠的內(nèi)網(wǎng)安全管理體系

只有解決網(wǎng)絡內(nèi)部的安全問題，才能夠排除網(wǎng)絡中最大的安全隱患，內(nèi)網(wǎng)安全管理體系能夠從技術(shù)層面協(xié)助網(wǎng)管人員解決好繁雜的客戶端問題。

4.建立虛擬專用網(wǎng)()和專用通道

使用網(wǎng)關(guān)設(shè)備和有關(guān)技術(shù)手段，對機密性規(guī)定較高的顧客建立虛擬專用網(wǎng)。

經(jīng)調(diào)查，現(xiàn)有校園網(wǎng)絡拓撲圖以下：

二、設(shè)計方案拓撲圖

三、設(shè)計原則

根據(jù)防備安全攻擊的安全需求、需要達成的安全目的、對應安全機制所需的安全服務等因素，參考("系統(tǒng)安全工程能力成熟模型")和17799(信息安全管理原則)等國際原則，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統(tǒng)均衡性等方面，網(wǎng)絡安全防備體系在整體設(shè)計過程中應遵照下列9項原則：

3.2.物理層設(shè)計

3.2.1物理位置選擇

3.3網(wǎng)絡層設(shè)計

3.3.1防火墻技術(shù)

建立在當代通信網(wǎng)絡技術(shù)和信息安全技術(shù)基礎(chǔ)上的防火墻技術(shù)是現(xiàn)在應用最廣泛的防護技術(shù)．在邏輯上，它既是一種分離器也是一種限制器，同時它還是一種分析器，通過設(shè)立在異構(gòu)網(wǎng)絡(如可信的校園網(wǎng)與不可信的公共網(wǎng))之間的一系列部件的組合有效監(jiān)控內(nèi)部網(wǎng)與外層網(wǎng)絡之間的信息流動，使得只有通過精心選擇的應用合同才干通過，確保了內(nèi)網(wǎng)環(huán)境的安全，如圖所示：

作為校園網(wǎng)安全的屏障，防火墻是連接內(nèi)、外層網(wǎng)絡之間信息的唯一出入口，根據(jù)具體的安全政策控制(允許、回絕、監(jiān)測)出入網(wǎng)絡的信息流．校園網(wǎng)絡管理員要將諸如口令、加密、身份認證、審計等的全部安全軟件配備在防火墻上方便對網(wǎng)絡存取和訪問進行監(jiān)控審計．同時運用防火墻的日志統(tǒng)計功效做好備份，提供網(wǎng)絡使用狀況的統(tǒng)計數(shù)據(jù)。

假定校園網(wǎng)通過路由器與相連。校園內(nèi)的地址范疇是擬定的，且有明確的閉和邊界。它有一種C類的地址，有，，，等服務器，可采用下列存取控制方略。

對進入主干網(wǎng)的存取控制

校園網(wǎng)有自己地址，應嚴禁地址從本校路由器訪問。可用下述命令設(shè)立與校園網(wǎng)連接的路由器：

E0

162.105.17.1

20

!

2.105.17.00.0.225

2:對網(wǎng)絡中心資源主機的訪問控制

網(wǎng)絡中心的，，，等服務器是重要的資源，要特別的保護，可對網(wǎng)絡中心所在子網(wǎng)嚴禁，，，以外的一切服務。

3：對校外非法網(wǎng)址的訪問

普通狀況，某些傳輸非法信息的站點重要在校外，而這些站點的域名可能是已知的，這時可通過計費系統(tǒng)獲得最新的訪問信息，運用域名查詢或字符匹配等辦法擬定來自某個的訪問是非法的。

3.3.2、拓撲構(gòu)造：

3.4、網(wǎng)絡層設(shè)計

3.5傳輸層安全

操作系統(tǒng)是整個園區(qū)網(wǎng)系統(tǒng)工作的基礎(chǔ)，也是系統(tǒng)安全的基礎(chǔ)，因而必須采用方法確保操作系統(tǒng)平臺的安全。安全方法重要涉及：采用安全性較高的系統(tǒng)，對系統(tǒng)文獻加密，操作系統(tǒng)防病毒、系統(tǒng)漏洞及入侵檢測等。

3.6、應用層安全

3.7、管理層安全

1.制訂一套嚴謹嚴格的操作守則。規(guī)定網(wǎng)管