高校校園網(wǎng)安全解決方案2

TOC\o"1-5"\h\z\o"CurrentDocument"第一章概述 2\o"CurrentDocument"高校校園網(wǎng)絡(luò)安全建設(shè)意義 2\o"CurrentDocument"第二章高校校園網(wǎng)絡(luò)特點(diǎn)分析 3\o"CurrentDocument"第三章安全風(fēng)險(xiǎn)分析 5\o"CurrentDocument"物理層安全風(fēng)險(xiǎn) 5網(wǎng)絡(luò)層安全風(fēng)險(xiǎn) 5\o"CurrentDocument"系統(tǒng)安全風(fēng)險(xiǎn) 6\o"CurrentDocument"應(yīng)用層安全風(fēng)險(xiǎn) 6\o"CurrentDocument"管理層安全風(fēng)險(xiǎn) 7\o"CurrentDocument"第四章安全需求分析 8網(wǎng)絡(luò)攻擊防御需求 8\o"CurrentDocument"系統(tǒng)安全漏洞管理需求 8網(wǎng)絡(luò)防病毒需求 9\o"CurrentDocument"WEB應(yīng)用安全需求 10\o"CurrentDocument"內(nèi)容安全管理需求 10\o"CurrentDocument"INTERNET接入用戶(hù)控制需求 11\o"CurrentDocument"建立完善安全管理制度的需求 11\o"CurrentDocument"第五章網(wǎng)絡(luò)安全解決方案 12\o"CurrentDocument"5.1高校校園網(wǎng)絡(luò)安全建設(shè)原則 12\o"CurrentDocument"5.2.高校校園網(wǎng)絡(luò)安全解決方案 13\o"CurrentDocument"5.1部署防火墻 13\o"CurrentDocument"5.2部署入侵檢測(cè)/保護(hù)系統(tǒng) 13\o"CurrentDocument"5.3部署漏洞管理系統(tǒng) 15\o"CurrentDocument"部署網(wǎng)絡(luò)防病毒系統(tǒng) 17\o"CurrentDocument"5.5部署WEB應(yīng)用防護(hù)系統(tǒng) 19\o"CurrentDocument"部署內(nèi)容安全管理系統(tǒng) 21\o"CurrentDocument"部署校園網(wǎng)用戶(hù)認(rèn)證計(jì)費(fèi)管理系統(tǒng) 22\o"CurrentDocument"高校校園網(wǎng)絡(luò)安全建設(shè)分步實(shí)施建議 23第一章概述高校校園網(wǎng)絡(luò)安全建設(shè)意義隨著網(wǎng)絡(luò)的普及和發(fā)展，高校信息化建設(shè)也在快速地進(jìn)行，校園網(wǎng)在高校及教育系統(tǒng)中的作用越來(lái)越大，已經(jīng)成為高校重要的基礎(chǔ)設(shè)施，對(duì)學(xué)校的教學(xué)、科研、管理和對(duì)外交流等發(fā)揮了很好的保障作用目前，校園網(wǎng)絡(luò)已遍及學(xué)校的各個(gè)部門(mén)，有的學(xué)校已將網(wǎng)絡(luò)線(xiàn)通入學(xué)生寢室，網(wǎng)絡(luò)已經(jīng)成為師生工作、學(xué)習(xí)、生活不可缺少的工具。校園網(wǎng)絡(luò)的建立，能促進(jìn)學(xué)校實(shí)現(xiàn)管理網(wǎng)絡(luò)化和教學(xué)手段現(xiàn)代化，對(duì)提高學(xué)校的管理水平和教學(xué)質(zhì)量具有十分重要的意義。但是，網(wǎng)絡(luò)中的種種不安全因素（如病毒、黑客的非法入侵、有害信息等）也無(wú)時(shí)無(wú)刻不在威脅校園網(wǎng)絡(luò)的健康發(fā)展，成為教育信息化建設(shè)過(guò)程中不容忽視的問(wèn)題。如何加強(qiáng)校園網(wǎng)絡(luò)的安全管理，保證校園網(wǎng)安全、穩(wěn)定、高效地運(yùn)轉(zhuǎn)，使其發(fā)揮應(yīng)有的作用，已經(jīng)成為學(xué)校需要解決的重大問(wèn)題也是校園網(wǎng)絡(luò)管理的重要任務(wù)。第二章高校校園網(wǎng)絡(luò)特點(diǎn)分析高校校園網(wǎng)絡(luò)具有如下特點(diǎn)：1、網(wǎng)絡(luò)規(guī)模大，設(shè)備多。從網(wǎng)絡(luò)結(jié)構(gòu)上看，可分為核心、匯聚和接入3個(gè)層次，包含很多的路由器，交換機(jī)等網(wǎng)絡(luò)設(shè)備和服務(wù)器、微機(jī)等主機(jī)設(shè)備。2、校園網(wǎng)通常是雙出口結(jié)構(gòu)，分別與Cernet、Internet互聯(lián)。3、用戶(hù)種類(lèi)豐富。按用戶(hù)類(lèi)型可以劃分為教學(xué)區(qū)（包括教學(xué)樓圖書(shū)館、實(shí)驗(yàn)樓等）、辦公區(qū)（包括財(cái)務(wù)處、學(xué)生處、食堂等）、學(xué)生生活區(qū)、家屬區(qū)等。不同用戶(hù)對(duì)網(wǎng)絡(luò)功能的要求不同。教學(xué)區(qū)和辦公區(qū)要求局域網(wǎng)絡(luò)共享，實(shí)現(xiàn)基于網(wǎng)絡(luò)的應(yīng)用，并能接入INTERNET。學(xué)生區(qū)和家屬區(qū)主要是接入INTERNET的需求。4、應(yīng)用系統(tǒng)豐富。校園網(wǎng)單位眾多，有很多基于局域網(wǎng)的應(yīng)用如多媒體教學(xué)系統(tǒng)，圖書(shū)館管理系統(tǒng)，學(xué)生檔案管理系統(tǒng)，財(cái)務(wù)處理系統(tǒng)等。這些應(yīng)用之間互相隔離。還有很多基于INTERTNET的應(yīng)用如WWW、E-MAIL等，需要和INTERNET的交互。各種應(yīng)用服務(wù)器如DNS，WWW，E-MAIL，F(xiàn)TP等與核心交換機(jī)高速連接，對(duì)內(nèi)外網(wǎng)提供服務(wù)。高校校園網(wǎng)絡(luò)拓?fù)涫疽鈭D如下：■cerne: internet敦學(xué)區(qū) 辦曲巨 靈屬區(qū)第三章安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)安全不單是單點(diǎn)的安全，而是整個(gè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進(jìn)行立體的防護(hù)。要知道如何防護(hù)，首先需要了解安全風(fēng)險(xiǎn)來(lái)自于何處。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類(lèi)。風(fēng)險(xiǎn)分析是網(wǎng)絡(luò)安全防護(hù)的基礎(chǔ)，也是網(wǎng)絡(luò)安全技術(shù)需要提供的一個(gè)重要功能。它要連續(xù)不斷地對(duì)網(wǎng)絡(luò)中的消息和事件進(jìn)行檢測(cè)，對(duì)系統(tǒng)受到侵?jǐn)_和破壞的風(fēng)險(xiǎn)進(jìn)行分析。風(fēng)險(xiǎn)分析必須包括網(wǎng)絡(luò)中所有有關(guān)的成分。物理層安全風(fēng)險(xiǎn)網(wǎng)絡(luò)的物理層安全風(fēng)險(xiǎn)主要指網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線(xiàn)路的阻斷，進(jìn)而造成網(wǎng)絡(luò)系統(tǒng)的阻斷。包括以下內(nèi)容：1、設(shè)備被盜，被毀壞；2、鏈路老化或被有意或者無(wú)意的破壞;3、因電磁輻射造成信息泄露；4、地震、火災(zāi)、水災(zāi)等自然災(zāi)害。3.2網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)3.2網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)網(wǎng)絡(luò)層中的安全風(fēng)險(xiǎn)，主要指數(shù)據(jù)傳輸、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備等所引發(fā)的安全風(fēng)險(xiǎn)。數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中，如果不采取保護(hù)措施，就有可能被竊聽(tīng)篡改和破壞，如采用搭線(xiàn)竊聽(tīng)、在交換機(jī)或集線(xiàn)器上連接一個(gè)竊聽(tīng)設(shè)備等。對(duì)高校而言，比較多的風(fēng)險(xiǎn)是：1)私自將多個(gè)用戶(hù)通過(guò)交換機(jī)接入網(wǎng)絡(luò)，獲得上網(wǎng)服務(wù)。2)假冒合法的MAC、IP地址獲得上網(wǎng)服務(wù)。網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析不同的網(wǎng)絡(luò)功能區(qū)域之間存在網(wǎng)絡(luò)邊界。如果在網(wǎng)絡(luò)邊界上沒(méi)有強(qiáng)有力的控制，則網(wǎng)絡(luò)之間的非法訪問(wèn)或者惡意破壞就無(wú)法避免。對(duì)于高校而言，整個(gè)校園網(wǎng)和INTERNET的網(wǎng)絡(luò)邊界存在很大風(fēng)險(xiǎn)。由于學(xué)校對(duì)INTERNET開(kāi)放了WWW、EMAIL等服務(wù)，如果控制不好，這些服務(wù)器有面臨黑客攻擊的危險(xiǎn)。網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)分析由于高校校園網(wǎng)絡(luò)使用大量的網(wǎng)絡(luò)設(shè)備，這些設(shè)備自身的安全性也是要考慮的問(wèn)題之一，它直接關(guān)系到各種網(wǎng)絡(luò)應(yīng)用能否正常、高效地運(yùn)轉(zhuǎn)。交換機(jī)和路由器設(shè)備如果配置不當(dāng)或者配置信息改動(dòng)，會(huì)引起信息的泄露，網(wǎng)絡(luò)癱瘓等后果。系統(tǒng)安全風(fēng)險(xiǎn)系統(tǒng)層的安全風(fēng)險(xiǎn)主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)以及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅。病毒大多也是利用了操作系統(tǒng)本身的漏洞。目前，高校網(wǎng)絡(luò)中操作系統(tǒng)有WINDOWS系列和類(lèi)UNIX系列大都沒(méi)有作過(guò)安全漏洞修補(bǔ)，極易遭受黑客攻擊和病毒侵襲，對(duì)網(wǎng)絡(luò)安全是一個(gè)高風(fēng)險(xiǎn)。應(yīng)用層安全風(fēng)險(xiǎn)高校校園網(wǎng)絡(luò)中存在大量應(yīng)用，如WWW服務(wù)、郵件服務(wù)、數(shù)據(jù)庫(kù)服務(wù)等。在應(yīng)用過(guò)程中，存在下列風(fēng)險(xiǎn)：這些服務(wù)本身存在安全漏洞，容易遭受黑客攻擊。當(dāng)前，尤其針對(duì)WEB應(yīng)用的攻擊成為趨勢(shì)。不對(duì)應(yīng)用者的行為監(jiān)管存在的風(fēng)險(xiǎn)。如學(xué)生瀏覽黃色，暴力網(wǎng)站在論壇等發(fā)表非法言論；濫用P2P，在線(xiàn)視頻等，嚴(yán)重占用網(wǎng)絡(luò)帶寬。管理層安全風(fēng)險(xiǎn)責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。第四章安全需求分析由上可見(jiàn)，高校校園網(wǎng)中的安全風(fēng)險(xiǎn)是多樣的，也需要多種技術(shù)構(gòu)建綜合安全防護(hù)體系，保證校園網(wǎng)安全。4.1網(wǎng)絡(luò)攻擊防御需求4.1網(wǎng)絡(luò)攻擊防御需求高校校園網(wǎng)絡(luò)連接INTERNET，因此從安全角度看，可以劃分為兩大區(qū)域，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。在內(nèi)外網(wǎng)之間必須有安全隔離措施，對(duì)數(shù)據(jù)的流動(dòng)進(jìn)行控制。首先內(nèi)部網(wǎng)絡(luò)是私有網(wǎng)絡(luò)，其訪問(wèn)ITNERNET的流量必須隱藏真實(shí)地址，而轉(zhuǎn)換為公網(wǎng)地址；其次，網(wǎng)絡(luò)邊界要有適當(dāng)?shù)脑L問(wèn)控制策略，既需要控制內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)INTERNET的流量，更需要嚴(yán)格控制INTERNET可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)的流量，以防止黑客攻擊和非法訪問(wèn)。因而只允許INTERNET訪問(wèn)校園網(wǎng)對(duì)其開(kāi)放的服務(wù)，如WWW、EMAIL等，其他服務(wù)全部禁止。對(duì)通過(guò)INTERNET到校園內(nèi)網(wǎng)應(yīng)用如OA系統(tǒng)的連接，采用IPSECVPN或者SSLVPN技術(shù)，以保證數(shù)據(jù)安全性。即使被黑客竊聽(tīng)，也無(wú)法解密。采用流量監(jiān)聽(tīng)和阻斷惡意流量機(jī)制，對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。監(jiān)視和分析用戶(hù)及系統(tǒng)的活動(dòng)，識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向管理員報(bào)警。系統(tǒng)安全漏洞管理需求高校有大量的應(yīng)用服務(wù)器和網(wǎng)絡(luò)設(shè)備，以及應(yīng)用程序和數(shù)據(jù)庫(kù)系統(tǒng)。眾所周知，在服務(wù)器和網(wǎng)絡(luò)設(shè)備操作系統(tǒng)（包括WINDOWS,類(lèi)UNIX），應(yīng)用協(xié)議（如TCP/IP），應(yīng)用程序中，存在很多安全漏洞。蠕蟲(chóng)爆發(fā)、病毒、木馬以及惡意代碼都是利用安全漏洞對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行攻擊。如果對(duì)系統(tǒng)中的各種漏洞不能及時(shí)發(fā)現(xiàn)和修復(fù)，就有很大的被攻擊的風(fēng)險(xiǎn)，造成很大的損失，例如“沖擊波”蠕蟲(chóng)和“震蕩波”

蠕蟲(chóng)的爆發(fā)。所以要有漏洞管理機(jī)制，及時(shí)掃描和修復(fù)系統(tǒng)安全漏洞保護(hù)網(wǎng)絡(luò)安全。4.3網(wǎng)絡(luò)防病毒需求4.3網(wǎng)絡(luò)防病毒需求高校校園網(wǎng)用戶(hù)眾多，網(wǎng)絡(luò)環(huán)境復(fù)雜，病毒入口點(diǎn)非常多，如何保證在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作是網(wǎng)絡(luò)安全的一個(gè)重要問(wèn)題。一個(gè)良好的網(wǎng)絡(luò)防病毒方案應(yīng)該達(dá)到如下目標(biāo)：要在整個(gè)大學(xué)校園的內(nèi)部網(wǎng)絡(luò)內(nèi)杜絕病毒的感染、傳播和發(fā)作，整個(gè)網(wǎng)絡(luò)內(nèi)只要有可能感染和傳播病毒的地方都應(yīng)該采取相應(yīng)的防病毒手段。同時(shí)為了網(wǎng)絡(luò)管理人員有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)簡(jiǎn)易、自動(dòng)、智能和強(qiáng)制執(zhí)行防病毒策略的維護(hù)管理方式。網(wǎng)絡(luò)實(shí)施防病毒系統(tǒng)應(yīng)力求達(dá)到在整個(gè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中構(gòu)造一個(gè)整體的、全方位的、無(wú)縫的、功能強(qiáng)大的防病毒體系，保護(hù)校園網(wǎng)絡(luò)免遭來(lái)自外部和內(nèi)部病毒的威脅和破壞，從根本上杜絕病毒的發(fā)作和傳播，有效地保護(hù)學(xué)校內(nèi)部資源。同時(shí)，該方案還必須是一個(gè)使用方便的，靈活的和全自動(dòng)的系統(tǒng)，可以完全自動(dòng)的升級(jí)；可以在本網(wǎng)的任何地方管理全網(wǎng)；等等。最后，它還必須是一個(gè)易于擴(kuò)充和修正的方案，能方便的適應(yīng)將來(lái)網(wǎng)絡(luò)擴(kuò)充時(shí)可能的變更。特別地，校園網(wǎng)需要很好地防范ARP欺騙病毒。ARP欺騙病毒是目前高校校園網(wǎng)中比較泛濫的一種病毒，該病毒一般屬于木馬病毒，不具備主動(dòng)傳播的特性，不會(huì)自我復(fù)制，但是由于其發(fā)作的時(shí)候會(huì)向全網(wǎng)發(fā)送偽造的ARP數(shù)據(jù)包，嚴(yán)重干擾全網(wǎng)的正常運(yùn)行，其危害甚至比一些蠕蟲(chóng)病毒還要嚴(yán)重得多。ARP病毒發(fā)作時(shí)，通常會(huì)造成網(wǎng)絡(luò)掉線(xiàn)，但網(wǎng)絡(luò)連接正常，內(nèi)網(wǎng)的部分電腦不能上網(wǎng)，或者所有電腦均不能上網(wǎng)，無(wú)法打開(kāi)網(wǎng)頁(yè)或打開(kāi)網(wǎng)頁(yè)慢以及局域網(wǎng)連接時(shí)斷時(shí)續(xù)并且網(wǎng)速較慢等現(xiàn)象，嚴(yán)重影響到校園網(wǎng)絡(luò)的正常運(yùn)行。因此，必須有合適的措施應(yīng)對(duì)ARP欺騙病毒對(duì)網(wǎng)絡(luò)的危害，保證網(wǎng)絡(luò)的持續(xù)可用性。4.4WEB應(yīng)用安全需求據(jù)權(quán)威機(jī)構(gòu)IDC調(diào)查顯示，Web應(yīng)用越來(lái)越豐富的同時(shí)，針對(duì)Web服務(wù)器的攻擊也與日俱增。SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬、應(yīng)用層DDOS等安全事件，頻繁發(fā)生。WEB攻擊一旦得逞，將嚴(yán)重影響網(wǎng)站所屬組織的聲譽(yù)甚而可能引發(fā)重大的政治影響。對(duì)于高校而言，門(mén)戶(hù)網(wǎng)站是其對(duì)外宣傳的窗口和內(nèi)部交流的平臺(tái)，網(wǎng)站的安全直接影響學(xué)校的聲譽(yù)。因此，必須杜絕網(wǎng)頁(yè)篡改，網(wǎng)站拒絕服務(wù)等安全事件的發(fā)生。4.5內(nèi)容安全管理需求隨著計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活各個(gè)領(lǐng)域的迅速普及，網(wǎng)絡(luò)發(fā)展從連通時(shí)代到應(yīng)用時(shí)代的轉(zhuǎn)變，如何保證網(wǎng)絡(luò)內(nèi)容安全，凈化網(wǎng)絡(luò)環(huán)境規(guī)范上網(wǎng)行為，符合國(guó)家法規(guī)要求，是廣大機(jī)構(gòu)迫切需要解決的問(wèn)題有不良影響或危害的網(wǎng)絡(luò)行為有：1、利用工作時(shí)間，聊天、炒股、玩網(wǎng)絡(luò)游戲等行為，影響工作效率；2、因訪問(wèn)不良網(wǎng)站而遭受惡意代碼、間諜軟件及釣魚(yú)式攻擊等影響機(jī)構(gòu)網(wǎng)絡(luò)正常運(yùn)行；3、隨意使用P2P下載、在線(xiàn)視頻等，嚴(yán)重占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常業(yè)務(wù)無(wú)法獲取足夠網(wǎng)絡(luò)資源；4、瀏覽非法網(wǎng)站、發(fā)表敏感信息和傳播非法言論，造成惡劣社會(huì)影響，并可能導(dǎo)致國(guó)家法律問(wèn)題；5、隨意通過(guò)EMAIL、即時(shí)通訊等方式發(fā)送敏感業(yè)務(wù)信息，導(dǎo)致信息外泄事件發(fā)生；根據(jù)調(diào)查數(shù)據(jù)顯示，以上事件呈逐年上升趨勢(shì)，導(dǎo)致機(jī)構(gòu)工作效率降低、重要敏感信息泄露、業(yè)務(wù)應(yīng)用無(wú)法正常運(yùn)行、網(wǎng)絡(luò)帶寬資源濫用、不良反動(dòng)言論傳播甚至面臨國(guó)家法律風(fēng)險(xiǎn)等，給機(jī)構(gòu)造成嚴(yán)重的經(jīng)濟(jì)損失和巨大的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。尤其高校作為高等教育機(jī)構(gòu)的特殊性質(zhì)，更需要營(yíng)造健康的網(wǎng)絡(luò)環(huán)境，屏蔽色情、暴力等不良網(wǎng)站；同時(shí)，對(duì)學(xué)生的上網(wǎng)行為也要有效監(jiān)管，屏蔽學(xué)生在一些網(wǎng)站、論壇、博客中發(fā)布的危害國(guó)家聲譽(yù)的言論，阻止不良信息擴(kuò)散。INTERNET接入用戶(hù)控制需求高校面向?qū)W生區(qū)，家屬區(qū)提供INTERNET接入服務(wù)。對(duì)每帳戶(hù)只允許接入一個(gè)用戶(hù)，以便合理收費(fèi)，防止非授權(quán)接入INTERNET。但在實(shí)際運(yùn)營(yíng)中出現(xiàn)以下情況：1、 利用代理服務(wù)器軟件或者SOHO路由器實(shí)現(xiàn)多人利用同一帳號(hào)上網(wǎng)。2、 IP，MAC地址假冒。有的認(rèn)證方式是通過(guò)IP、MAC地址確定物理端口是否合法，在認(rèn)證端如果收到合法的IP和MAC地址信息就認(rèn)為這是合法的用戶(hù)，許多學(xué)生就會(huì)利用這種方式的弱點(diǎn)，把自己計(jì)算機(jī)的IP和MAC修改成合法的地址，這樣自己就能使用網(wǎng)絡(luò)資源因此，校園網(wǎng)INTERNET需要一個(gè)有效的用戶(hù)接入認(rèn)證機(jī)制，應(yīng)對(duì)代理或IP地址假冒的挑戰(zhàn)。4.7建立完善安全管理制度的需求“三分技術(shù)，七分管理”。實(shí)施安全應(yīng)管理先行，安全組織體系的建設(shè)勢(shì)在必行。應(yīng)在學(xué)校建立網(wǎng)絡(luò)安全建設(shè)領(lǐng)導(dǎo)委員會(huì)，該委員會(huì)應(yīng)由一個(gè)主管領(lǐng)導(dǎo)，網(wǎng)絡(luò)管理員，安全操作員等人員組成。主管領(lǐng)導(dǎo)應(yīng)領(lǐng)導(dǎo)安全體系的建設(shè)實(shí)施，在安全實(shí)施過(guò)程中取得相關(guān)部門(mén)的配合。網(wǎng)絡(luò)管理員應(yīng)具有豐富的網(wǎng)絡(luò)知識(shí)和實(shí)際經(jīng)驗(yàn)，熟悉本地網(wǎng)絡(luò)結(jié)構(gòu)，能夠制定技術(shù)實(shí)施策略。安全操作員負(fù)責(zé)安全系統(tǒng)的具體實(shí)施。另外，在學(xué)校網(wǎng)絡(luò)中心應(yīng)建立安全專(zhuān)家小組，負(fù)責(zé)安全問(wèn)題的重大決策。第五章網(wǎng)絡(luò)安全解決方案由上可見(jiàn)，高校校園網(wǎng)中的安全風(fēng)險(xiǎn)是多樣的，也需要多種技術(shù)構(gòu)建綜合安全防護(hù)體系，保證校園網(wǎng)安全。5.1高校校園網(wǎng)絡(luò)安全建設(shè)原則高校校園網(wǎng)絡(luò)安全建設(shè)是一個(gè)復(fù)雜、艱巨的系統(tǒng)工程，必須遵循如下原則，才能收到良好的效果。1.綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施包括管理手段和技術(shù)手段。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施，制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)?？捎眯栽瓌t安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，要求過(guò)高，本身就降低了安全性。盡量保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，對(duì)網(wǎng)絡(luò)的拓?fù)洳恍枰蟮母淖?。需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。高校要對(duì)自身網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)和需求進(jìn)行分析，以自己財(cái)力所能承擔(dān)的代價(jià)去解決盡可能全面的安全問(wèn)題。分步實(shí)施原則隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也會(huì)不斷增加一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施網(wǎng)絡(luò)安全措施需相當(dāng)?shù)馁M(fèi)用支出，因此高?？筛鶕?jù)財(cái)力分步實(shí)施，首先滿(mǎn)足網(wǎng)絡(luò)安全的基本需求，再逐漸解決更高層次的安全需求。5.2.高校校園網(wǎng)絡(luò)安全解決方案5.1部署防火墻在需要隔離的網(wǎng)絡(luò)區(qū)域之間部署防火墻。典型地，在Internet與校園網(wǎng)之間部署一臺(tái)防火墻，成為內(nèi)外網(wǎng)之間一道牢固的安全屏障。將WWW、MAIL、FTP、DNS等服務(wù)器連接在防火墻的DMZ區(qū)，與內(nèi)、外網(wǎng)間進(jìn)行隔離，內(nèi)網(wǎng)口連接校園網(wǎng)內(nèi)網(wǎng)交換機(jī)，外網(wǎng)口通過(guò)路由器與Internet連接。那么，通過(guò)Internet進(jìn)來(lái)的公眾用戶(hù)只能訪問(wèn)到對(duì)外公開(kāi)的一些服務(wù)（如WWW、MAIL、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被外部非授權(quán)用戶(hù)非法訪問(wèn)或破壞，也可以阻止內(nèi)部用戶(hù)對(duì)外部不良資源的濫用，并能夠?qū)Πl(fā)生在網(wǎng)絡(luò)中的安全事件進(jìn)行跟蹤和審計(jì)。在防火墻設(shè)置上按照以下原則配置來(lái)提高網(wǎng)絡(luò)安全性：1、根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過(guò)濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問(wèn)。總體上遵從“不被允許的服務(wù)就是被禁止”的原則。2、將防火墻配置成過(guò)濾掉以?xún)?nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包這樣可以防范源地址假冒和源路由類(lèi)型的攻擊；過(guò)濾掉以非法IP地址離開(kāi)內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。3、在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對(duì)應(yīng)表，防止IP地址被盜用。4、定期查看防火墻訪問(wèn)日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。部署入侵檢測(cè)/保護(hù)系統(tǒng)防火墻作為安全保障體系的第一道防線(xiàn)，防御黑客攻擊。但是，隨著攻擊者知識(shí)的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻已經(jīng)無(wú)法滿(mǎn)足企業(yè)的安全需要，部署了防火墻的安全保障體系仍需要進(jìn)一步完善。傳統(tǒng)防火墻的不足主要體現(xiàn)在以下幾個(gè)方面：?防火墻作為訪問(wèn)控制設(shè)備，無(wú)法檢測(cè)或攔截嵌入到普通流量中的惡意攻擊代碼，比如針對(duì)WEB服務(wù)的CodeRed蠕蟲(chóng)等。有些主動(dòng)或被動(dòng)的攻擊行為是來(lái)自防火墻內(nèi)部的，防火墻無(wú)法發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的攻擊行為。作為網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，受限于功能設(shè)計(jì)，防火墻難以識(shí)別復(fù)雜的網(wǎng)絡(luò)攻擊并保存相關(guān)信息，以協(xié)助后續(xù)調(diào)查和取證工作的開(kāi)展入侵檢測(cè)系統(tǒng)IDS(IntrusionDetectionSystem)是繼防火墻之后迅猛發(fā)展起來(lái)的一類(lèi)安全產(chǎn)品，它通過(guò)檢測(cè)、分析網(wǎng)絡(luò)中的數(shù)據(jù)流量從中發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，及時(shí)識(shí)別入侵行為和未授權(quán)網(wǎng)絡(luò)流量并實(shí)時(shí)報(bào)警。IDS彌補(bǔ)了防火墻的某些設(shè)計(jì)和功能缺陷，側(cè)重網(wǎng)絡(luò)監(jiān)控，注重安全審計(jì)，適合對(duì)網(wǎng)絡(luò)安全狀態(tài)的了解，但隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展，IDS也面臨著新的挑戰(zhàn)：IDS旁路在網(wǎng)絡(luò)上，當(dāng)它檢測(cè)出黑客入侵攻擊時(shí)，攻擊已到達(dá)目標(biāo)造成損失。IDS無(wú)法有效阻斷攻擊，比如蠕蟲(chóng)爆發(fā)造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS無(wú)能為力。蠕蟲(chóng)、病毒、DDoS攻擊、垃圾郵件等混合威脅越來(lái)越多，傳播速度加快，留給人們響應(yīng)的時(shí)間越來(lái)越短，使用戶(hù)來(lái)不及對(duì)入侵做出響應(yīng)，往往造成企業(yè)網(wǎng)絡(luò)癱瘓，IDS無(wú)法把攻擊防御在企業(yè)網(wǎng)絡(luò)之外。為了彌補(bǔ)防火墻和IDS的缺陷，入侵保護(hù)系統(tǒng)IPS(IntrusionPreventionSystem)作為IDS的替代產(chǎn)品應(yīng)運(yùn)而生。網(wǎng)絡(luò)入侵防御系統(tǒng)作為一種在線(xiàn)部署的產(chǎn)品，提供主動(dòng)的、實(shí)時(shí)的防護(hù)，其設(shè)計(jì)目標(biāo)旨在準(zhǔn)確監(jiān)測(cè)網(wǎng)絡(luò)異常流量，自動(dòng)對(duì)各類(lèi)攻擊性的流量，尤其是應(yīng)用層的威脅進(jìn)行實(shí)時(shí)阻斷，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量的同時(shí)或之后才發(fā)出告警。通過(guò)防火墻和IPS的聯(lián)合部署，高校校園網(wǎng)絡(luò)基本上能防御內(nèi)外網(wǎng)的從2-7層的攻擊，并能審計(jì)、記錄攻擊行為，便于調(diào)查攻擊。部署示意圖如下：匚聚交換機(jī)接為交換機(jī)學(xué)生區(qū)匚聚交換機(jī)接為交換機(jī)學(xué)生區(qū)胯忌區(qū)5.3部署漏洞管理系統(tǒng)部署漏洞管理系統(tǒng)，能夠有效避免由漏洞攻擊導(dǎo)致的安全問(wèn)題。它從漏洞的整個(gè)生命周期著手，在周期的不同階段采取不同的措施，是一個(gè)循環(huán)、周期執(zhí)行的工作流程。一個(gè)相對(duì)完整的漏洞管理過(guò)程包含以下步驟：對(duì)用戶(hù)網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行自動(dòng)發(fā)現(xiàn)并按照資產(chǎn)重要性進(jìn)行分類(lèi)；自動(dòng)周期對(duì)網(wǎng)絡(luò)資產(chǎn)的漏洞進(jìn)行評(píng)估并將結(jié)果自動(dòng)發(fā)送和保存；采用業(yè)界權(quán)威的分析模型對(duì)漏洞評(píng)估的結(jié)果進(jìn)行定性和定量的風(fēng)險(xiǎn)分析，并根據(jù)資產(chǎn)重要性給出可操作性強(qiáng)的漏洞修復(fù)方案；根據(jù)漏洞修復(fù)方案，對(duì)網(wǎng)絡(luò)資產(chǎn)中存在的漏洞進(jìn)行合理的修復(fù)或者調(diào)整網(wǎng)絡(luò)的整體安全策略進(jìn)行規(guī)避；對(duì)修復(fù)完畢的漏洞進(jìn)行修復(fù)確認(rèn)；6.定期重復(fù)上述步驟1-5。通過(guò)漏洞管理產(chǎn)品，集中、及時(shí)找出漏洞并詳細(xì)了解漏洞相關(guān)信息，不需要用戶(hù)每天去關(guān)注不同廠商的漏洞公告，因?yàn)楦鱾€(gè)廠商的漏洞公告不會(huì)定期發(fā)布，即使發(fā)布了漏洞公告絕大多數(shù)用戶(hù)也不能夠及時(shí)地獲得相關(guān)信息。通過(guò)漏洞管理產(chǎn)品將網(wǎng)絡(luò)資產(chǎn)按照重要性進(jìn)行分類(lèi)，自動(dòng)周期升級(jí)并對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行評(píng)估，最后自動(dòng)將風(fēng)險(xiǎn)評(píng)估結(jié)果自動(dòng)發(fā)送給相關(guān)責(zé)任人，大大降低人工維護(hù)成本。漏洞管理產(chǎn)品根據(jù)評(píng)估結(jié)果定性、定量分析網(wǎng)絡(luò)資產(chǎn)風(fēng)險(xiǎn)，反映用戶(hù)網(wǎng)絡(luò)安全問(wèn)題，并把問(wèn)題的重要性和優(yōu)先級(jí)進(jìn)行分類(lèi)，方便用戶(hù)有效地落實(shí)漏洞修補(bǔ)和風(fēng)險(xiǎn)規(guī)避的工作流程，并為補(bǔ)丁管理產(chǎn)品提供相應(yīng)的接口。漏洞管理產(chǎn)品能夠提供完整的漏洞管理機(jī)制，方便管理者跟蹤、記錄和驗(yàn)證評(píng)估的成效。漏洞管理系統(tǒng)包括硬件平臺(tái)和管理控制臺(tái)，部署在網(wǎng)絡(luò)的核心交換機(jī)處，對(duì)整個(gè)網(wǎng)絡(luò)中的資產(chǎn)提供漏洞管理功能。示意圖如下：遼聚支養(yǎng)機(jī)WWVV腿蜩DN刮艮務(wù)器ElviAIL遼聚支養(yǎng)機(jī)WWVV腿蜩DN刮艮務(wù)器ElviAIL服霽蓄橋心交按利芋蟲(chóng)國(guó)載學(xué)區(qū)亦必區(qū)靈屬區(qū)5.4部署網(wǎng)絡(luò)防病毒系統(tǒng)在高校校園網(wǎng)部署網(wǎng)絡(luò)版防病毒系統(tǒng)，進(jìn)行全網(wǎng)病毒防護(hù)。網(wǎng)絡(luò)版防病毒系統(tǒng)具有集中式管理、分布式殺毒的特點(diǎn)，非常適合大型復(fù)雜網(wǎng)絡(luò)的部署。其應(yīng)具有如下功能：?在病毒管理服務(wù)器上，安裝網(wǎng)絡(luò)版的控制中心，在全校各個(gè)子網(wǎng)中安裝下級(jí)子控制中心，方便管理本網(wǎng)段中的所有客戶(hù)端。?網(wǎng)絡(luò)版客戶(hù)端安裝方法：網(wǎng)絡(luò)版客戶(hù)端有多種安裝方式，對(duì)于域用戶(hù)可以采用自動(dòng)分發(fā)安裝的方式，使域中的用戶(hù)在登陸時(shí)自動(dòng)安裝網(wǎng)絡(luò)版的客戶(hù)端，也可采用光盤(pán)直接安裝，網(wǎng)絡(luò)共享安裝；對(duì)于非域用戶(hù)可以采用網(wǎng)絡(luò)共享方式安裝，也可以采用光盤(pán)直接安裝。?移動(dòng)控制臺(tái)功能系統(tǒng)管理員在任意一臺(tái)電腦（與控制中心所在的服務(wù)器聯(lián)網(wǎng)）上安裝移動(dòng)控制臺(tái)，管理員可通過(guò)移動(dòng)控制臺(tái)直接管理各種平臺(tái)的服務(wù)器端/客戶(hù)端。在管理員控制臺(tái)上，管理員能夠?qū)ι鲜鋈魏我环N服務(wù)器端/客戶(hù)端進(jìn)行直接操作：設(shè)置、查毒、殺毒、通知升級(jí)、啟動(dòng)/關(guān)閉實(shí)時(shí)監(jiān)控等。?升級(jí)策略首先升級(jí)控制中心，升級(jí)完畢后，客戶(hù)端通過(guò)控制中心升級(jí)，這樣在升級(jí)過(guò)程中可以最大程度的減少因訪問(wèn)外部網(wǎng)絡(luò)而感染病毒的概率。可以設(shè)置讓控制中心每日自動(dòng)升級(jí)。在客戶(hù)端普通操作臺(tái)可以手動(dòng)升級(jí)，也可以通過(guò)設(shè)置讓客戶(hù)端自動(dòng)升級(jí)。多級(jí)控制中心、自由分組通過(guò)移動(dòng)控制臺(tái)集中管理所有客戶(hù)端，實(shí)現(xiàn)對(duì)多個(gè)子控制中心的集中管理。這個(gè)結(jié)構(gòu)對(duì)于網(wǎng)絡(luò)規(guī)模擴(kuò)大或新增節(jié)點(diǎn)都可以很容易地實(shí)現(xiàn)集中管理。具有分組功能，網(wǎng)絡(luò)管理員能夠在控制臺(tái)自己所管理的機(jī)器進(jìn)行合理的分組，可以對(duì)分組統(tǒng)一的配置、查殺等，而且也解決了在沒(méi)有分組功能前，機(jī)器過(guò)多導(dǎo)致管理困難的問(wèn)題，網(wǎng)絡(luò)管理員會(huì)更加方便，而且會(huì)大大提高管理效率。全網(wǎng)遠(yuǎn)程報(bào)警當(dāng)網(wǎng)絡(luò)中任意一臺(tái)計(jì)算機(jī)上掃描程序發(fā)現(xiàn)病毒時(shí)，都能夠自動(dòng)及時(shí)準(zhǔn)確地把病毒信息記錄并傳遞給網(wǎng)絡(luò)管理員。?全網(wǎng)集中管理網(wǎng)絡(luò)中客戶(hù)端安裝和殺毒確保有效完成，客戶(hù)端未經(jīng)授權(quán)不能任意停止全網(wǎng)統(tǒng)一的殺毒行動(dòng)，客戶(hù)端未經(jīng)授權(quán)不能任意卸載。針對(duì)校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)及病毒特點(diǎn)，應(yīng)用網(wǎng)絡(luò)版防病毒系統(tǒng)的“遠(yuǎn)程安裝”、“定時(shí)升級(jí)”、“集中管理”、“全網(wǎng)殺毒”、“遠(yuǎn)程報(bào)警”、“無(wú)限分級(jí)”、“自由分組”等功能，對(duì)校園網(wǎng)絡(luò)中的核心應(yīng)用提供多層次和強(qiáng)有力的保護(hù)，可以適應(yīng)高校校園網(wǎng)復(fù)雜的應(yīng)用環(huán)境，滿(mǎn)足校園網(wǎng)對(duì)于全網(wǎng)防病毒的需求，有效解決整個(gè)校園網(wǎng)面臨的病毒威脅。防病毒系統(tǒng)由服務(wù)器端和客戶(hù)端組成。防病毒服務(wù)器部署在核心交換機(jī)處，需要?dú)⒍镜拿總€(gè)終端安裝一個(gè)客戶(hù)端。示意圖如下：

封庸土服務(wù)器遼聚交養(yǎng)機(jī)c^cemet^/Internet防灼皿臚飛廠檢心突換機(jī)一「 fl*封庸土服務(wù)器遼聚交養(yǎng)機(jī)c^cemet^/Internet防灼皿臚飛廠檢心突換機(jī)一「 fl*麗祠詈理慕銳VUWW腿蜩DNSflg務(wù)器

EMAIL^^-S潮管理系筑

掛制臺(tái)學(xué)■生區(qū)歉學(xué)區(qū)辦仝區(qū)靈塚區(qū)肇趕亙譽(yù)赫宜迫出彗直B學(xué)■生區(qū)歉學(xué)區(qū)辦仝區(qū)靈塚區(qū)5.5部署WEB應(yīng)用防護(hù)系統(tǒng)高校網(wǎng)絡(luò)安全體系中，需要新型的技術(shù)和設(shè)備來(lái)應(yīng)對(duì)WEB攻擊，保證網(wǎng)站安全，維護(hù)高校聲譽(yù)；為廣大師生等用戶(hù)提供持續(xù)優(yōu)質(zhì)服務(wù)。這種新型的技術(shù)就是WEB防火墻。傳統(tǒng)的邊界安全設(shè)備，如防火墻，局限于自身的產(chǎn)品定位和防護(hù)深度，不能有效地提供針對(duì)Web應(yīng)用攻擊完善的防御能力。防火墻的不足主要體現(xiàn)在：1、 傳統(tǒng)的防火墻作為訪問(wèn)控制設(shè)備，主要工作在OSI模型三、四層，基于IP報(bào)文進(jìn)行檢測(cè)。設(shè)計(jì)之初，它就無(wú)需理解Web應(yīng)用程序語(yǔ)言如HTML及XML，也無(wú)需理解HTTP會(huì)話(huà)。因此，它也不可能對(duì)HTML應(yīng)用程序用戶(hù)端的輸入進(jìn)行驗(yàn)證、或是檢測(cè)到一個(gè)已經(jīng)被惡意修改過(guò)參數(shù)的URL請(qǐng)求。惡意的攻擊流量將封裝為HTTP請(qǐng)求，從80或443端口順利通過(guò)防火墻檢測(cè)。2、 有一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，但局限于最初產(chǎn)品的定位以及對(duì)Web應(yīng)用

攻擊的研究深度不夠，只能提供非常有限的Web應(yīng)用防護(hù)，難以應(yīng)對(duì)當(dāng)前最大的安全威脅，如SQL注入、跨站腳本。對(duì)網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬這類(lèi)緊迫問(wèn)題，更是無(wú)能為力。IPS（入侵檢測(cè)系統(tǒng)）彌補(bǔ)了防火墻的某些缺陷，但隨著網(wǎng)絡(luò)技術(shù)和Web應(yīng)用的發(fā)展復(fù)雜化，IPS在WEB專(zhuān)用防護(hù)領(lǐng)域已經(jīng)開(kāi)始力不從心。具體體現(xiàn)為：1、 安全威脅的技術(shù)根源在于安全漏洞的存在。防護(hù)僅能一定程度緩解針對(duì)Web應(yīng)用的攻擊。徹底消除安全隱患，需要借助Web應(yīng)用漏洞掃描工具，用以診斷Web應(yīng)用程序脆弱性。傳統(tǒng)IPS設(shè)備更多從防護(hù)著手，不具備事前預(yù)防的能力。2、 針對(duì)當(dāng)前泛濫的DDoS攻擊，傳統(tǒng)IPS設(shè)備僅具備基本防護(hù)功能，很難滿(mǎn)足應(yīng)用層細(xì)粒度防護(hù)的需求。3、 如果攻擊者已經(jīng)成功實(shí)施攻擊、引發(fā)安全事件發(fā)生時(shí)，局限于攻擊防護(hù)的產(chǎn)品定位，傳統(tǒng)IPS設(shè)備不能提供補(bǔ)償措施、為客戶(hù)降低安全風(fēng)險(xiǎn)。Web應(yīng)用防火墻（WebApplicationFirewall,簡(jiǎn)稱(chēng)：WAF）代表了一類(lèi)新興的信息安全技術(shù)，用以解決諸如防火墻一類(lèi)傳統(tǒng)設(shè)備束手無(wú)策的Web應(yīng)用安全問(wèn)題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)?；趯?duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對(duì)來(lái)自Web應(yīng)用程序客戶(hù)端的各類(lèi)請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類(lèi)網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。WEB應(yīng)用防火墻部署在需要保護(hù)的WWW服務(wù)器前端，示意圖如下：

防丈諳Db-IZ遼聚空搜機(jī)檢心交換機(jī)3 DKEJ踴證

EMAIL^^VWM防丈諳Db-IZ遼聚空搜機(jī)檢心交換機(jī)3 DKEJ踴證

EMAIL^^VWM服翅翻訓(xùn)輸

掛制臺(tái)半生區(qū)擁學(xué)區(qū)壽仝區(qū)靈陽(yáng)區(qū)5.6部署內(nèi)容安全管理系統(tǒng)傳統(tǒng)網(wǎng)絡(luò)防護(hù)設(shè)備（如防火墻、入侵檢測(cè)系統(tǒng)等）是解決網(wǎng)絡(luò)安全問(wèn)題的基礎(chǔ)設(shè)備，其所具備的訪問(wèn)控制、網(wǎng)絡(luò)攻擊事件檢測(cè)等功能,能夠抵抗大多數(shù)來(lái)自外網(wǎng)的攻擊；但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的內(nèi)部正常網(wǎng)絡(luò)訪問(wèn)行為。然而，相對(duì)于網(wǎng)絡(luò)層安全，由正常網(wǎng)絡(luò)應(yīng)用行為導(dǎo)致的安全事件，更加隱蔽，不易察覺(jué)，所以損失也更加巨大。因此，我們還需要細(xì)粒度的應(yīng)用層和內(nèi)容層策略控制。實(shí)現(xiàn)這個(gè)目標(biāo)的新技術(shù)就是內(nèi)容