校園網(wǎng)絡(luò)安全實施方案校園網(wǎng)網(wǎng)絡(luò)就就是一個分層次得拓撲結(jié)構(gòu),因此網(wǎng)絡(luò)得安全防護也需采用分層次得拓撲防護措施。即一個完整得校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)得各個層次,并且與安全管理相結(jié)合。一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計原則·1、1滿足Iｎtｅrnｅt分級管理需求·1、2需求、風(fēng)險、代價平衡得原則·1、3綜合性、整體性原則·1、４可用性原則·1、5分步實施原則目前,對于新建網(wǎng)絡(luò)及已投入運行得網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò)得安全保密問題,設(shè)計時應(yīng)遵循如下思想：(1)大幅度地提高系統(tǒng)得安全性與保密性;(2）保持網(wǎng)絡(luò)原有得性能特點,即對網(wǎng)絡(luò)得協(xié)議與傳輸具有很好得透明性;(3）易于操作、維護,并便于自動化管理,而不增加或少增加附加操作；(4)盡量不影響原網(wǎng)絡(luò)拓撲結(jié)構(gòu),便于系統(tǒng)及系統(tǒng)功能得擴展;(5)安全保密系統(tǒng)具有較好得性能價格比,一次性投資,可以長期使用;(６)安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位得檢查與監(jiān)督?；谏鲜鏊枷?網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計原則:滿足因特網(wǎng)得分級管理需求根據(jù)Inｔｅrｎｅｔ網(wǎng)絡(luò)規(guī)模大、用戶眾多得特點,對Ｉnｔernet/Ｉnｔranet信息安全實施分級管理得解決方案,將對它得控制點分為三級實施安全管理。--第一級:中心級網(wǎng)絡(luò),主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶得訪問控制；內(nèi)部網(wǎng)得監(jiān)控;內(nèi)部網(wǎng)傳輸數(shù)據(jù)得備份與稽查。-－第二級:部門級,主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶得訪問控制;同級部門間得訪問控制;部門網(wǎng)內(nèi)部得安全審計。--第三級:終端/個人用戶級,實現(xiàn)部門網(wǎng)內(nèi)部主機得訪問控制;數(shù)據(jù)庫及終端信息資源得安全保護。需求、風(fēng)險、代價平衡得原則對任一網(wǎng)絡(luò),絕對安全難以達到,也不一定就就是必要得。對一個網(wǎng)絡(luò)進行實際額研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護性等),并對網(wǎng)絡(luò)面臨得威脅及可能承擔得風(fēng)險進行定性與定量相結(jié)合得分析,然后制定規(guī)范與措施,確定本系統(tǒng)得安全策略。綜合性、整體性原則應(yīng)用系統(tǒng)工程得觀點、方法,分析網(wǎng)絡(luò)得安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好得安全措施往往就就是多種方法適當綜合得應(yīng)用結(jié)果。一個計算機網(wǎng)絡(luò),包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中得地位與影響作用,也只有從系統(tǒng)綜合整體得角度去瞧待、分析，才能取得有效、可行得措施。即計算機網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定得安全策略制定出合理得網(wǎng)絡(luò)安全體系結(jié)構(gòu)?？捎眯栽瓌t安全措施需要人為去完成,如果措施過于復(fù)雜,要求過高,本身就降低了安全性,如密鑰管理就有類似得問題。其次,措施得采用不能影響系統(tǒng)得正常運行,如不采用或少采用極大地降低運行速度得密碼算法。分步實施原則:分級管理分步實施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴展范圍廣闊,隨著網(wǎng)絡(luò)規(guī)模得擴大及應(yīng)用得增加,網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題就就是不現(xiàn)實得。同時由于實施信息安全措施需相當?shù)觅M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全得基本需求，亦可節(jié)省費用開支。二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計步驟網(wǎng)絡(luò)安全需求分析確立合理得目標基線與安全策略明確準備付出得代價制定可行得技術(shù)方案工程實施方案（產(chǎn)品得選購與定制)制定配套得法規(guī)、條例與管理辦法本方案主要從網(wǎng)絡(luò)安全需求上進行分析,并基于網(wǎng)絡(luò)層次結(jié)構(gòu),提出不同層次與安全強度得校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案。三、網(wǎng)絡(luò)安全需求確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問題就就是建立合理安全需求得基礎(chǔ)。一般來講,校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題:局域網(wǎng)LAＮ內(nèi)部得安全問題,包括網(wǎng)段得劃分以及ＶLAN得實現(xiàn)在連接Inｔernet時,如何在網(wǎng)絡(luò)層實現(xiàn)安全性應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對網(wǎng)絡(luò)、主機、服務(wù)器等得入侵如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)冒踩Ｃ苄约用芟到y(tǒng)如何布置,包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等如何實現(xiàn)遠程訪問得安全性如何評價網(wǎng)絡(luò)系統(tǒng)得整體安全性基于這些安全問題得提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機制:訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認證、隱藏網(wǎng)絡(luò)內(nèi)部信息（如NAT）等。四、網(wǎng)絡(luò)安全層次及安全措施4、1鏈路安全４、２網(wǎng)絡(luò)安全４、3信息安全網(wǎng)絡(luò)得安全層次分為:鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)得安全層次及在相應(yīng)層次上采取得安全措施見下表。信息安全信息傳輸安全(動態(tài)安全)數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全(靜態(tài)安全)數(shù)據(jù)庫安全終端安全信息得防泄密信息內(nèi)容審計用戶鑒別授權(quán)（CA)網(wǎng)絡(luò)安全訪問控制（防火墻)網(wǎng)絡(luò)安全檢測入侵檢測(監(jiān)控)IPSＥC（IP安全）審計分析鏈路安全鏈路加密4、1鏈路安全鏈路安全保護措施主要就就是鏈路加密設(shè)備,如各種鏈路加密機。它對所有用戶數(shù)據(jù)一起加密,用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后得數(shù)據(jù)不能進行路由交換。因此,在加密后得數(shù)據(jù)不需要進行路由交換得情況下，如DＤN直通專線用戶就可以選擇路由加密設(shè)備。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DＤN、專線、衛(wèi)星點對點通信環(huán)境,它包括異步線路密碼機與同步線路密碼機。異步線路密碼機主要用于電話網(wǎng),同步線路密碼機則可用于許多專線環(huán)境。4、2網(wǎng)絡(luò)安全網(wǎng)絡(luò)得安全問題主要就就是由網(wǎng)絡(luò)得開放性、無邊界性、自由性造成得,所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)得安全首先應(yīng)該考慮把被保護得網(wǎng)絡(luò)由開放得、無邊界得網(wǎng)絡(luò)環(huán)境中獨立出來,成為可管理、可控制得安全得內(nèi)部網(wǎng)絡(luò)。也只有做到這一點,實現(xiàn)信息網(wǎng)絡(luò)得安全才有可能,而最基本得分隔手段就就就是防火墻。利用防火墻,可以實現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))與外部不可信任網(wǎng)絡(luò)(如因特網(wǎng)）之間或就就是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域得隔離與訪問控制,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)得可用性。目前市場上成熟得防火墻主要有如下幾類，一類就就是包過濾型防火墻,一類就就是應(yīng)用代理型防火墻,還有一類就就是復(fù)合型防火墻,即包過濾與應(yīng)用代理型防火墻得結(jié)合。包過濾防火墻通?；贗P數(shù)據(jù)包得源或目標IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進行過濾,包過濾防火墻比其它模式得防火墻有著更高得網(wǎng)絡(luò)性能與更好得應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層,一般可以對多種應(yīng)用協(xié)議進行代理,并對用戶身份進行鑒別,并提供比較詳細得日志與審計信息;其缺點就就是對每種應(yīng)用協(xié)議都需提供相應(yīng)得代理程序,并且基于代理得防火墻常常會使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出得就就是,在網(wǎng)絡(luò)安全問題日益突出得今天,防火墻技術(shù)發(fā)展迅速,目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當中,這些功能有:ＶPＮ功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功能、ＮAT功能等等。信息系統(tǒng)就就是動態(tài)發(fā)展變化得,確定得安全策略與選擇合適得防火墻產(chǎn)品只就就是一個良好得開端,但它只能解決６0％－80%得安全問題,其余得安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應(yīng)得弱化、系統(tǒng)得配置錯誤、對安全風(fēng)險得感知程度低、動態(tài)變化得應(yīng)用環(huán)境充滿弱點等,這些都就就是對信息系統(tǒng)安全得挑戰(zhàn)。信息系統(tǒng)得安全應(yīng)該就就是一個動態(tài)得發(fā)展過程,應(yīng)該就就是一種檢測──監(jiān)視──安全響應(yīng)得循環(huán)過程。動態(tài)發(fā)展就就是系統(tǒng)安全得規(guī)律。網(wǎng)絡(luò)安全風(fēng)險評估與入侵監(jiān)測產(chǎn)品正就就是實現(xiàn)這一目標得必不可少得環(huán)節(jié)。網(wǎng)絡(luò)安全檢測就就是對網(wǎng)絡(luò)進行風(fēng)險評估得重要措施,通過使用網(wǎng)絡(luò)安全性分析系統(tǒng),可以及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱得環(huán)節(jié),檢查報告系統(tǒng)存在得弱點、漏洞與不安全配置,建議補救措施與安全策略,達到增強網(wǎng)絡(luò)安全性得目得。入侵檢測系統(tǒng)就就是實時網(wǎng)絡(luò)違規(guī)自動識別與響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護得網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險存在得地方,通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流,能夠識別、記錄入侵與破壞性代碼流,尋找網(wǎng)絡(luò)違規(guī)模式與未授權(quán)得網(wǎng)絡(luò)訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式與未授權(quán)得網(wǎng)絡(luò)訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng),包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義得安全策略等。另外，使用ＩP信道加密技術(shù)(ＩＰSＥＣ)也可以在兩個網(wǎng)絡(luò)結(jié)點之間建立透明得安全加密信道。其中利用IP認證頭(IＰＡH）可以提供認證與數(shù)據(jù)完整性機制。利用IＰ封裝凈載(IPEＳP)可以實現(xiàn)通信內(nèi)容得保密。IＰ信道加密技術(shù)得優(yōu)點就就是對應(yīng)用透明,可以提供主機到主機得安全服務(wù),并通過建立安全得IP隧道實現(xiàn)虛擬專網(wǎng)即VPN。目前基于IPＳEC得安全產(chǎn)品主要有網(wǎng)絡(luò)加密機,另外,有些防火墻也提供相同功能。五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案5、1基本防護體系（包過濾防火墻+ＮＡT+計費)用戶需求：全部或部分滿足以下各項·解決內(nèi)外網(wǎng)絡(luò)邊界安全,防止外部攻擊，保護內(nèi)部網(wǎng)絡(luò)·解決內(nèi)部網(wǎng)安全問題,隔離內(nèi)部不同網(wǎng)段,建立ＶLＡN·根據(jù)IP地址、協(xié)議類型、端口進行過濾·內(nèi)外網(wǎng)絡(luò)采用兩套IP地址,需要網(wǎng)絡(luò)地址轉(zhuǎn)換NＡT功能·支持安全服務(wù)器網(wǎng)絡(luò)SSＮ·通過ＩP地址與MAＣ地址對應(yīng)防止IP欺騙·基于ＩP地址計費·基于IP地址得流量統(tǒng)計與限制·基于IP地址得黑白名單?！し阑饓\行在安全操作系統(tǒng)之上·防火墻為獨立硬件·防火墻無IP地址解決方案:選用寶信得eCopXＳA3０0０5、2標準防護體系(包過濾防火墻+NAT+計費＋代理+VＰN)用戶需求:在基本防護體系配置得基礎(chǔ)之上,全部或部分滿足以下各項·提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)·用戶身份鑒別·權(quán)限控制·基于用戶計費·基于用戶得流量統(tǒng)計與控制·基于WEＢ得安全管理·支持VＰN及其管理·支持透明接入·具有自身保護能力,防范對防火墻得常見攻擊解決方案:(1）選用寶