校園網(wǎng)絡(luò)安全實(shí)施計(jì)劃方案

歡迎下載內(nèi)容僅供參考校園網(wǎng)絡(luò)安全實(shí)施方案校園網(wǎng)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措相結(jié)合。一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)原則1.1滿足Internet分級(jí)管理需求1.2需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則1.3綜合性、整體性原則1.4可用性原則1.5分步實(shí)施原則下思想：大幅度地提高系統(tǒng)的安全性和性；歡迎下載保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；安全系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；基于上述思想，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則：滿足因特網(wǎng)的分級(jí)管理需求根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對(duì)Internet/Intranet信息安全實(shí)施分級(jí)管理的解決方案，將對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管理。--第一級(jí)：中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)外網(wǎng)隔離；外網(wǎng)用戶的訪問(wèn)控制；部網(wǎng)的監(jiān)控；部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。--第二級(jí)：部門級(jí)，主要實(shí)現(xiàn)部網(wǎng)與外部網(wǎng)用戶的訪問(wèn)控制；同級(jí)部門間的訪問(wèn)控制；部門網(wǎng)部的安全審計(jì)。--第三級(jí)：終端/個(gè)人用戶級(jí)，實(shí)現(xiàn)部門網(wǎng)部主機(jī)的訪問(wèn)控制；數(shù)據(jù)庫(kù)及終端信息資源的安全保護(hù)。需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等與定量相結(jié)合的分析，然后制定規(guī)和措施，確定本系統(tǒng)的安全策略。綜合性、整體性原則段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等。一個(gè)較好的安全措施往往是可用性原則安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，要求過(guò)高，本身就降低了安全性運(yùn)行速度的密碼算法。分步實(shí)施原則：分級(jí)管理分步實(shí)施用支出。因此分步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)步驟網(wǎng)絡(luò)安全需求分析明確準(zhǔn)備付出的代價(jià)制定可行的技術(shù)方案工程實(shí)施方案（產(chǎn)品的選購(gòu)與定制）制定配套的法規(guī)、條例和管理辦法校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案。三、網(wǎng)絡(luò)安全需求確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問(wèn)題是建立合理安全需求的基礎(chǔ)。一般來(lái)講，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問(wèn)題：局域網(wǎng)LAN部的安全問(wèn)題，包括網(wǎng)段的劃分以及VLAN在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對(duì)網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩约用芟到y(tǒng)如何布置，包括建立證書(shū)管理中心、應(yīng)用系統(tǒng)集成加密等如何實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的安全性如何評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性基于這些安全問(wèn)題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問(wèn)控制、安全檢測(cè)、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)部信息（如NAT）等。四、網(wǎng)絡(luò)安全層次及安全措施鏈路安全網(wǎng)絡(luò)安全信息安全網(wǎng)絡(luò)的安全層次分為:鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見(jiàn)下表。信息安全信息傳輸安全（動(dòng)態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲(chǔ)安全（靜態(tài)安全）數(shù)據(jù)庫(kù)安全終端安全信息的防泄密信息容審計(jì)用戶鑒別授權(quán)（CA）網(wǎng)絡(luò)安全訪問(wèn)控制（)網(wǎng)絡(luò)安全檢測(cè)入侵檢測(cè)（)安全）析鏈路安全鏈路加密鏈路安全DDN直通專線用戶就可以選擇路由加密設(shè)備。一般，線路加密產(chǎn)品主要用于網(wǎng)、DDN、專線、衛(wèi)星點(diǎn)對(duì)點(diǎn)通信環(huán)境，它包括異步線路密境。網(wǎng)絡(luò)安全（信任網(wǎng)絡(luò)（如因特網(wǎng)可用性。IP數(shù)據(jù)包的源或目標(biāo)IP墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性功能等等。信息系統(tǒng)是動(dòng)態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個(gè)良好的開(kāi)端，但它只能解決60%－80%程度低、動(dòng)態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等，這些都是對(duì)信息系統(tǒng)安全的挑戰(zhàn)。信息系統(tǒng)的安全應(yīng)該是一個(gè)動(dòng)態(tài)的發(fā)展過(guò)程必不可少的環(huán)節(jié)。施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。入侵檢測(cè)系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)另外，使用IP信道加密技術(shù)也可以在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間建立透明的安全加密信道IP（IPAIP（IPES）可以實(shí)現(xiàn)通信容的。IPIP隧道實(shí)現(xiàn)虛擬專網(wǎng)即IPSEC的安全產(chǎn)品主要有網(wǎng)絡(luò)加密機(jī)，另外，有些防火墻也提供相同功能。五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案基本防護(hù)體系（用戶需求：全部或部分滿足以下各項(xiàng)解決外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)部網(wǎng)絡(luò)解決部網(wǎng)安全問(wèn)題，隔離部不同網(wǎng)段，建立VLAN根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過(guò)濾外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能支持安全服務(wù)器網(wǎng)絡(luò)SSN通過(guò)IP地址與MAC地址對(duì)應(yīng)防止IP欺騙基于IP地址計(jì)費(fèi)基于IP地址的流量統(tǒng)計(jì)與限制基于IP地址的黑白。防火墻運(yùn)行在安全操作系統(tǒng)之上防火墻為獨(dú)立硬件防火墻無(wú)IP地址解決方案：選用寶信的eCopXSA3000標(biāo)準(zhǔn)防護(hù)體系（用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿足以下各項(xiàng)提供應(yīng)用代理服務(wù)，隔離外網(wǎng)絡(luò)用戶身份鑒別權(quán)限控制基于用戶計(jì)費(fèi)基于用戶的流量統(tǒng)計(jì)與控制基于WEB的安全管理支持VPN及其管理支持透明接入具有自身保護(hù)能力，防對(duì)防火墻的常見(jiàn)攻擊解決方案：eCopXSA3000防火墻基本配置＋網(wǎng)絡(luò)加密機(jī)IP協(xié)議加密機(jī)）強(qiáng)化防護(hù)體系（＋網(wǎng)絡(luò)安全檢測(cè)＋監(jiān)控用戶需