信息安全設計方案

設計方案一、立項背景隨著高校內各種網絡工程的深入實施，學校教育信息化、校園網絡化精品文檔放心下載已經成為網絡時代教育的發(fā)展方向。在當今的互聯網環(huán)境下，計算機精品文檔放心下載被攻擊、破壞的事件經常發(fā)生，我們經常需要面對的信息安全問題有：謝謝閱讀黑客侵襲、內部漏洞、病毒干擾、人為錯誤等。因此，在校園網絡建精品文檔放心下載設中，網絡信息安全成為需要特別考慮的問題.1.1、校園網信息系統安全現狀校園網信息系統安全現狀1、安全意識淡薄校園網 2、安全體系松散缺乏安上的接入終端仍存在 全預警及監(jiān)控體系，用戶空口令或簡易口 管理員不能及時發(fā)現令的終端設備；有些個 網絡系統存在的最新人計算機系統漏洞百 漏洞.;既不安裝防火墻又不安裝(或更新）殺毒軟件；網絡IP地址盜用；專用網與公網混用謝謝閱讀等等1.2、現有安全技術和需求

3、網絡上病毒、攻擊泛濫隨著校園網絡規(guī)模的不斷擴大、性能的不斷提高，計算機病毒的傳播途徑日益增多、傳播速度越來越謝謝閱讀,造成的影響也就越來越嚴重1．操作系統和應用軟件自身的身份認證功能,實現訪問限制。精品文檔放心下載2．定期對重要數據進行備份數據備份。3．每臺校園網電腦安裝有防毒殺毒軟件。1．構建涵蓋校園網所有入網設備的病毒立體防御體系。計算機終端防病毒軟件能及時有效地發(fā)現、抵御病毒的攻擊和徹底清除病毒，通過計算機終端防病毒軟件實現統一的安裝、統一的管理和病毒庫的更新。精品文檔放心下載2。 建立全天候監(jiān)控的網絡信息入侵檢測體系在校園網關鍵部位安裝網絡入侵檢測系統，實時對網絡和信息系統訪問的異常行為進行監(jiān)測和報警。精品文檔放心下載建立高效可靠的內網安全管理體系只有解決網絡內部的安全問題,才可以排除網絡中最大的安全隱患，內網安全管理體系可以從技術層面幫助網管人員處理好繁雜的客戶端問題。精品文檔放心下載建立虛擬專用網(VPN)和專用通道使用VPN網關設備和相關技術手段,對機密性要求較高的用戶建立虛擬專用網。謝謝閱讀經調查，現有校園網絡拓撲圖如下：二、設計方案拓撲圖三、設計原則根據防范安全攻擊的安全需求、需要達到的安全目標、對應安全精品文檔放心下載機制所需的安全服務等因素，參照SSE—CMM(”系統安全工程能力成精品文檔放心下載熟模型”)和ISO17799(信息安全管理標準）等國際標準,綜合考慮可精品文檔放心下載實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，網精品文檔放心下載絡安全防范體系在整體設計過程中應遵循以下9項原則：精品文檔放心下載設計原則1．網絡 2．網絡 3．安全 4．標準 5．技術 6．統籌 7．等級 8．動態(tài) 9．易操感謝閱讀信息安信息安性評價化與一與管理規(guī)劃,性原則發(fā)展原作性原全的木全的整與平衡致性原相結合分步實則則桶原則體性原原則則原則施原則則3.2。物理層設計3.2。1物理位置選擇物理位置選擇1、物理2、防盜3。防雷4。防火5.防水6。防靜7。溫濕8、電力9.電磁訪問控竊和防擊和防潮電度控制供應防護要制破壞求3。3網絡層設計3。3.1防火墻技術建立在現代通信網絡技術和信息安全技術基礎上的防火墻技術是目前應用最廣泛的防護技術．在邏輯上，它既是一個分離器也是一個限制器，同時它還是一個分析器，通過設置在異構網絡（如可信的校園網與不可信的公共網）之間的一系列部件的組合有效監(jiān)控內部網與外層網絡之間的信息流動，使得只有經過精心選擇的應用協議才能通過，保證了內網環(huán)境的安全，如圖所示:感謝閱讀作為校園網安全的屏障，防火墻是連接內、外層網絡之間信息的唯一出入口，根據具體的安全政策控制(允許、拒絕、監(jiān)測）出入網絡的信息流．校園網絡管理員要將諸如口令、加密、身份認證、審計感謝閱讀等的所有安全軟件配置在防火墻上以便對網絡存取和訪問進行監(jiān)控審計．同時利用防火墻的日志記錄功能做好備份，提供網絡使用情況的統計數據。謝謝閱讀假定校園網通過Cisco路由器與CERNET相連。校園內的IP地址范圍是確定的，且有明確的閉和邊界。它有一個C類的IP地址，有DNS，Email,WWW，FTP等服務器，可采用以下存取控制策略.謝謝閱讀對進入CERNET主干網的存取控制校園網有自己IP地址，應禁止IP地址從本校路由器訪問CERNET.感謝閱讀可用下述命令設置與校園網連接的路由器：InterfaceE0DecriptioncampusNetIpadd162。105.17.1access_listgroup20out!access_list20permitip0。0。225精品文檔放心下載2：對網絡中心資源主機的訪問控制網絡中心的DNS，Email，FTP,WWW等服務器是重要的資源，要特感謝閱讀別的保護,可對網絡中心所在子網禁止DNS，Email，WWW，FTP以外的一切服務。謝謝閱讀3：對校外非法網址的訪問一般情況,一些傳播非法信息的站點主要在校外，而這些站點的域名可能是已知的，這時可通過計費系統獲得最新的IP訪問信息，利用域名查詢或字符匹配等方法確定來自某個IP的訪問是非法的。謝謝閱讀3。3.2、拓撲結構：3.4、網絡層設計網絡層設計2。3.防虛身4．5．6．0。11。12。13。14.加物防網代安入用權客安火擬份專認密理毒絡理全侵戶限戶全墻網證技隔網地服掃檢的控端檢技（V技術離關址務描測身制安測術PN）術轉及份全技換路認防術技由證護術器3。5傳輸層安全操作系統是整個園區(qū)網系統工作的基礎，也是系統安全的基礎，精品文檔放心下載因而必須采取措施保證操作系統平臺的安全。安全措施主要包括：采感謝閱讀用安全性較高的系統,對系統文件加密，操作系統防病毒、系統漏洞精品文檔放心下載及入侵檢測等。傳輸層安全5。入侵檢測1。采用安全性2.加密技術3。病毒的防范4.安全掃描較高的系統謝謝閱讀3。6、應用層安全應用層安全1.蠕蟲過濾 2。病毒過濾 3。垃圾郵件過濾 4。內容過濾感謝閱讀3.7、管理層安全制定一套嚴謹嚴格的操作守則.要求網管人員嚴格按照守則進行管理工作。感謝閱讀2．加強網絡管理人員的培訓。定期對網管人員進行培訓，并出外考察，多增長與時俱進的網管技術.精品文檔放心下載