XX學(xué)校校園網(wǎng)安全方案綜述

1、目 錄一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計原則1. 滿足In ternet分級管理需求2. 需求、風(fēng)險、代價平衡的原則3. 綜合性、整體性原則4. 可用性原則5. 分步實施原則二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計步驟1. 網(wǎng)絡(luò)安全需求分析2. 確立合理的目標(biāo)基線和安全策略3. 明確準(zhǔn)備付出的代價4. 制定可行的技術(shù)方案5. 工程實施方案（產(chǎn)品的選購與定制）6. 制定配套的法規(guī)、條例和管理辦法三、網(wǎng)絡(luò)安全需求四、網(wǎng)絡(luò)安全層次及安全措施1. 鏈路安全2. 網(wǎng)絡(luò)安全3. 信息安全五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案1. 防護(hù)體系2. 配備完整的網(wǎng)絡(luò)設(shè)備3. 建立完整身份認(rèn)證4 安全監(jiān)控與管理功能六、實例方案1. 校園網(wǎng)概述2. 產(chǎn)品

2、選型和網(wǎng)絡(luò)拓?fù)浣榻B3. 配置與檢測六、結(jié)語摘要：計算機(jī)網(wǎng)絡(luò)安全建設(shè)是涉及我國經(jīng)濟(jì)發(fā)展、社會發(fā)展和國家安全的重大問 題。本文結(jié)合網(wǎng)絡(luò)安全建設(shè)的全面信息，在對網(wǎng)絡(luò)系統(tǒng)詳細(xì)的需求分析基礎(chǔ)上， 依照計算機(jī)網(wǎng)絡(luò)安全設(shè)計目標(biāo)和計算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的總體規(guī)劃，設(shè)計了一個完整的、立體的、多層次的網(wǎng)絡(luò)安全防御體系。校園網(wǎng)網(wǎng)絡(luò)是一個分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分 層次的拓?fù)浞雷o(hù)措施。即一個完整的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng) 絡(luò)的各個層次，并且與安全管理相結(jié)合。一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計原則1. 滿足In ternet分級管理需求2. 需求、風(fēng)險、代價平衡的原則3. 綜合性、整體性原則4. 可用

3、性原則5. 分步實施原則目前，對于新建網(wǎng)絡(luò)及已投入運行的網(wǎng)絡(luò)， 必須盡快解決網(wǎng)絡(luò)的安全保密問 題，設(shè)計時應(yīng)遵循如下思想：大幅度地提高系統(tǒng)的安全性和保密性；保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與 監(jiān)督?；谏鲜鏊枷?，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計原則：滿足因特網(wǎng)的分級管理需求根據(jù)In ternet網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點， 對Inter

4、net/lntranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。第一級：中心級網(wǎng)絡(luò)，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部 網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的 訪問控制；部門網(wǎng)內(nèi)部的安全審計。第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機(jī)的訪問控制；數(shù)據(jù)庫及終 端信息資源的安全保護(hù)。需求、風(fēng)險、代價平衡的原則對任一網(wǎng)絡(luò)，絕對安全難以達(dá)到，也不一定是 必要的。對一個網(wǎng)絡(luò)進(jìn)行實際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù) 性等），并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，

5、然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措 施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防 病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng) 用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中 的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、 分析，才能取得有效、 可行的措施。即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制 定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)可用性原則安全措施需要人為去

6、完成，如果措施過于復(fù)雜，要求過高，本身 就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng) 的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。分步實施原則：分級管理分步實施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不 現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計步驟1. 網(wǎng)絡(luò)安全需求分析2. 確立合理的目標(biāo)基線和安全策略3. 明確準(zhǔn)備付出的代價4. 制定可行的技術(shù)方案5. 工程實施方案（產(chǎn)品的

7、選購與定制）6. 制定配套的法規(guī)、條例和管理辦法本方案主要從網(wǎng)絡(luò)安全需求上進(jìn)行分析，并基于網(wǎng)絡(luò)層次結(jié)構(gòu)，提出不同層次與安全強(qiáng)度的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案。三、網(wǎng)絡(luò)安全需求確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求 的基礎(chǔ)。一般來講，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問題：局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及 VLAN勺實現(xiàn)在連接In ternet時，如何在網(wǎng)絡(luò)層實現(xiàn)安全性應(yīng)用系統(tǒng)如何保證安全性，如何防止黑客對網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄约用芟到y(tǒng)如何布置，包括建立證書管理中心、應(yīng)用系統(tǒng)集成加密等如何實現(xiàn)遠(yuǎn)程訪問的安全性如何評價網(wǎng)絡(luò)

8、系統(tǒng)的整體安全性基于這些安全問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問控制 單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成， 在控 制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu) 成了對網(wǎng)絡(luò)安全的重要隱患。本設(shè)計方案選用四臺網(wǎng)御防火墻，分別配置在高性 能服務(wù)器和三個重要部門的局域網(wǎng)出入口，實現(xiàn)這些重要部門的訪問控制。通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部 署防火墻，通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng) 段，彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器，使其不受來自內(nèi)部的攻擊，也 保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自

9、單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn) 一步擴(kuò)大。安全檢測入侵檢測作為一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。 從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國際入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出攻擊監(jiān)控病毒防護(hù)系統(tǒng)。（1）郵件防毒。（2）服務(wù)器防毒。（3）客戶端防毒。信息加密、信息完整性校驗為有效解決辦公區(qū)之間信息的傳輸安全，可以在多個子網(wǎng)之間建立起獨立的 安全通道，通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性

10、、真實性和私有性。隱藏網(wǎng)絡(luò)內(nèi)部信息（如網(wǎng)絡(luò)地址轉(zhuǎn)換NAT等。四、網(wǎng)絡(luò)安全層次及安全措施信息安全網(wǎng)絡(luò)的安全層次分為：鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見下表。信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息 存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別 授權(quán)（CA）網(wǎng)絡(luò)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測入侵檢測（監(jiān)控）IPSEC（IP安全） 審計分析鏈路安全鏈路加密1. 鏈路安全鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對所有用戶 數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后的數(shù)據(jù)

11、不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下，如 DDN直通專線用戶就可以選擇路由加密設(shè)備。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機(jī)和同步線路密碼機(jī)。 異步線路密碼機(jī)主要用于電話網(wǎng)，同 步線路密碼機(jī)則可用于許多專線環(huán)境。2. 網(wǎng)絡(luò)安全網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以我 們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一 點，實現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。利用防火 墻，可以實現(xiàn)內(nèi)部網(wǎng)

12、（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng) 不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。目前市場上成熟的防火墻主要有如下幾類， 一類是包過濾型防火墻，一類是 應(yīng)用代理型防火墻，還有一類是復(fù)合型防火墻，即包過濾與應(yīng)用代理型防火墻的 結(jié)合。包過濾防火墻通常基于IP數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類型、協(xié)議端 口號等對數(shù)據(jù)流進(jìn)行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性 能和更好的應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層，一般可以對多種應(yīng)用 協(xié)議進(jìn)行代理，并對用戶身份進(jìn)行鑒別，并提供比較詳細(xì)的日志和審計信息； 其 缺點是對每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，

13、并且基于代理的防火墻常常會 使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是，在網(wǎng)絡(luò)安全問題日益突出的今天，防火墻技 術(shù)發(fā)展迅速，目前一些領(lǐng)先防火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到 防火墻當(dāng)中，這些功能有：VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功 能、NAT功能等等。信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是 一個良好的開端，但它只能解決 60%-808的安全問題，其余的安全問題仍有待解 決。這些問題包括信息系統(tǒng)高智能主動性威脅、 后續(xù)安全策略與響應(yīng)的弱化、系 統(tǒng)的配置錯誤、對安全風(fēng)險的感知程度低、動態(tài)變化的應(yīng)用環(huán)境充滿弱點等，這 些都是對信息系統(tǒng)安全的挑戰(zhàn)。信息系統(tǒng)的安

14、全應(yīng)該是一個動態(tài)的發(fā)展過程，應(yīng)該是一種檢測監(jiān)視 安全響應(yīng)的循環(huán)過程。動態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全風(fēng)險評估和入侵監(jiān) 測產(chǎn)品正是實現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。網(wǎng)絡(luò)安全檢測是對網(wǎng)絡(luò)進(jìn)行風(fēng)險評估的重要措施，通過使用網(wǎng)絡(luò)安全性分析系統(tǒng)，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)， 檢查報告系統(tǒng)存在的弱點、漏洞 與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。入侵檢測系統(tǒng)是實時網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要 保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險存在的地方，通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)

15、的網(wǎng)絡(luò)訪問時， 入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策 略做出反應(yīng)，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的 安全策略等。另外，使用IP信道加密技術(shù)(IPSEC)也可以在兩個網(wǎng)絡(luò)結(jié)點之間建立透明的 安全加密信道。其中利用IP認(rèn)證頭(IP AH)可以提供認(rèn)證與數(shù)據(jù)完整性機(jī)制。 利用IP封裝凈載(IP ESP)可以實現(xiàn)通信內(nèi)容的保密。IP信道加密技術(shù)的優(yōu)點 是對應(yīng)用透明，可以提供主機(jī)到主機(jī)的安全服務(wù)，并通過建立安全的IP隧道實現(xiàn)虛擬專網(wǎng)即VPN目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡(luò)加密機(jī)，另外，有些 防火墻也提供相同功能。五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案1. 防護(hù)體系(1) .基本防護(hù)體系(包

16、過濾防火墻+NAT計費)用戶需求：全部或部分滿足以下各項解決內(nèi)外網(wǎng)絡(luò)邊界安全， 防止外部攻 擊，保護(hù)內(nèi)部網(wǎng)絡(luò)解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN 根據(jù)IP地址、協(xié)議類型、端口進(jìn)行過濾內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地 址轉(zhuǎn)換NAT功能支持安全服務(wù)器網(wǎng)絡(luò) SSN 通過IP地址與MAC地址(硬件 位址，用來定義網(wǎng)絡(luò)設(shè)備的位置)對應(yīng)防止 IP欺騙基于IP地址計費基于 IP地址的流量統(tǒng)計與限制基于IP地址的黑白名單。防火墻運行在安全操作 系統(tǒng)之上防火墻為獨立硬件防火墻無IP地址解決方案：采用網(wǎng)絡(luò)衛(wèi)士防火墻 PL FW1000(2) .標(biāo)準(zhǔn)防護(hù)體系(包過濾防火墻+NAT計費+代理+VPN

17、)用戶需求：在基本防護(hù)體系配置的基礎(chǔ)之上， 全部或部分滿足以下各項提 供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)用戶身份鑒別權(quán)限控制基于用戶計費基 于用戶的流量統(tǒng)計與控制基于 WEB勺安全管理支持VPN及其管理支持透明 接入具有自身保護(hù)能力，防范對防火墻的常見攻擊解決方案：1) .選用網(wǎng)絡(luò)衛(wèi)士防火墻 PL FW20002) .防火墻基本配置+網(wǎng)絡(luò)加密機(jī)(IP協(xié)議加密機(jī))(3) .強(qiáng)化防護(hù)體系(包過濾+NAT計費+代理+VPN網(wǎng)絡(luò)安全檢測+監(jiān)控)用戶需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上， 全部或部分滿足以下各項網(wǎng) 絡(luò)安全性檢測（包括服務(wù)器、防火墻、主機(jī)及其它 TCP/IP相關(guān)設(shè)備）操作系統(tǒng)安全性檢測網(wǎng)絡(luò)監(jiān)控與入

18、侵檢測解決方案：選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控 器2. 配備完整的、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大 部分的攻擊和破壞，一般包括：防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版 的防病毒系統(tǒng)等。另外配置安全設(shè)備既要考慮到功能，同時也必須考慮性能和可 擴(kuò)展性，以避免成為網(wǎng)絡(luò)的瓶頸。通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進(jìn)行系 統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對大量的非法訪問和不健康信息起到有效的阻斷作用， 對網(wǎng)絡(luò)的故障可以迅速定位并解決。3. 解決用戶上網(wǎng)身份問題，建立全校統(tǒng)一的身份認(rèn)證系統(tǒng)校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題， 而身

19、份認(rèn)證系統(tǒng)是整個校園網(wǎng)絡(luò)安 全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題， 同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證。4. 嚴(yán)格規(guī)范上網(wǎng)場所的管理，集中進(jìn)行監(jiān)控和管理上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認(rèn)證系統(tǒng)確認(rèn)， 而且，合法用戶上網(wǎng)的 行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上， 保證了 這個記錄的法律性和準(zhǔn)確性。5. 改造電子郵件系統(tǒng)，提供多種安全監(jiān)控和管理功能針對目前郵件系統(tǒng)存在的安全隱患，航天聯(lián)志結(jié)合國內(nèi)知名的郵件安全系統(tǒng) 提供商美訊智推出了專門針對校園網(wǎng)的郵件安

20、全系統(tǒng)。該系統(tǒng)具有強(qiáng)大的高準(zhǔn)確率和低誤報率，使被垃圾郵件的準(zhǔn)確率高達(dá) 98%而且獨特的策略模塊可以幫助 用戶簡單輕松的視線郵件系統(tǒng)的管理與維護(hù)；全面防護(hù)針對傳輸層25端口的攻擊，防止郵件地址泄露，保障郵件系統(tǒng)的安全；通過直觀的圖標(biāo)和多種查詢方式 全面顯示郵件的應(yīng)用情況并可以及時調(diào)整策略設(shè)定。這些優(yōu)秀的功能為校園網(wǎng)的 郵件安全帶來了堅實的防護(hù)。6. 根據(jù)相關(guān)部門的要求，配備專門的安全管理人員，出臺網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全建設(shè)是三分設(shè)備，七分管理，沒有切實可行的安全保障體系和制 度，網(wǎng)絡(luò)安全就變成了空談。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和上網(wǎng)用戶對網(wǎng)絡(luò)的了解 程度越深，網(wǎng)絡(luò)安全的形式就越嚴(yán)峻，這也從近幾年互

21、聯(lián)網(wǎng)絡(luò)安全問題頻頻出現(xiàn) 得到印證。而網(wǎng)絡(luò)安全的技術(shù)又是非常復(fù)雜和廣泛的，現(xiàn)狀還是道高一尺，魔高一丈，這樣，管理的工作就愈發(fā)重要和艱巨，必須要做到及時進(jìn)行漏洞修補(bǔ) 和定期詢檢，保證對網(wǎng)絡(luò)的監(jiān)控和管理。另外，學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具 體處罰條例，這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對校園網(wǎng)絡(luò)中師生的生活和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影 響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無處不在。 但在享受高科技帶來的便捷同時， 我們 需要清醒的認(rèn)識到，網(wǎng)絡(luò)安全問題的日益嚴(yán)重也越來越成為網(wǎng)絡(luò)應(yīng)用的巨大阻 礙，校園網(wǎng)絡(luò)安全已經(jīng)到了必須要統(tǒng)一管理和徹底解決的地步，只有很好的解決了網(wǎng)絡(luò)安全問題，校園網(wǎng)絡(luò)的應(yīng)用

22、才能健康、高速的發(fā)展。網(wǎng)絡(luò)拓?fù)鋱D：六、實例（一）校園網(wǎng)概況該校園網(wǎng)始建于2000年8月，至今已經(jīng)歷了四個主要發(fā)展階段，網(wǎng)絡(luò)覆蓋已遍及現(xiàn)有的教學(xué)辦公區(qū)和學(xué)生宿舍區(qū)。截止目前，校園網(wǎng)光纜鋪設(shè)約一萬二千米，信息點鋪設(shè)接近一萬，開設(shè)上網(wǎng)帳號 8000多個，辦理學(xué)校免費郵箱2000左右。校園網(wǎng)主干現(xiàn)為雙千兆環(huán)網(wǎng)結(jié)構(gòu)。校園網(wǎng)接入均為千兆光纖到大樓，百兆交換到桌面，具有良好的網(wǎng)絡(luò)性能。校園網(wǎng)現(xiàn)有三條寬帶出口并行接入In ternet，500兆中國電信、100兆中國網(wǎng)通和100兆中國教育科研網(wǎng)，通過合理的路由策略，為校園網(wǎng)用戶提供了良好的出口帶寬。校園網(wǎng)資源建設(shè)成效顯著，現(xiàn)有資源服務(wù)包括大學(xué)門戶網(wǎng)站、 新聞網(wǎng)

23、站、各學(xué)院和職能 部門網(wǎng)站、安農(nóng)科技網(wǎng)站、郵件服務(wù)、電子校務(wù)、畢博輔助教學(xué)平臺、在線電視、VOD點播、音樂欣賞、公用 FTP、文檔下載、軟件下載、知識園地、站點導(dǎo)航、在線幫助、系統(tǒng)補(bǔ)丁、網(wǎng)絡(luò)安全、個人主頁、計費服務(wù)、VPN、DHCP、域名服務(wù)等。還有外語學(xué)習(xí)平臺，圖多的資源服務(wù)構(gòu)成了校園網(wǎng)的資源子網(wǎng)，為廣大師生提供了良好的資源服務(wù)。校園網(wǎng)安全需求分析將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險。定期進(jìn)行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應(yīng)故障的手段，同時具備很好的安全取證措施。

24、使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)，最大限度地減少損失。在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。通過對校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)、 應(yīng)用及安全威脅分析， 可以看出其安全問題主要集中在對服務(wù)器的 安全保護(hù)、防黑客和病毒、重要網(wǎng)段的保護(hù)以及管理安全上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：公開服務(wù)器的安全保護(hù)防止黑客從外部攻擊入侵檢測與監(jiān)控信息審計與記錄病毒防護(hù)數(shù)據(jù)安全保護(hù) 數(shù)據(jù)備份與恢復(fù)網(wǎng)絡(luò)的安全管理針對這個企業(yè)局域網(wǎng)絡(luò)系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計時應(yīng)滿足如下要求：1大幅

25、度地提高系統(tǒng)的安全性（重點是可用性和可控性）；2保持網(wǎng)絡(luò)原有的能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；3易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；4盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；5安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；6安全產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；7分布實施。（二）產(chǎn)品選型和網(wǎng)絡(luò)拓?fù)鋱D介紹該校園網(wǎng)現(xiàn)行核心區(qū)選用銳捷核心交換機(jī)RG-S5750S系列，24端口 10/100/1000M自適應(yīng)端口（支持PoE遠(yuǎn)程供電），12個復(fù)用的SFP接口，2個擴(kuò)展槽。支持 4K個80

26、2.1Q VLAN 支持 Super VLAN、支持 Protocol VLAN、支持 Private VLAN、支持 Voice VLAN（*）、支 持基于 MAC地址的VLAN（*）、支持 QinQ、支持STP、RSTP、MSTP。防火墻采用深信服 M5400VPN防火墻。2個LAN 口，4個WAN 口，2個串口 。IPSec VP N隧道數(shù)：5200條併發(fā)SSL用戶數(shù)：800 /每秒新建用戶數(shù)：80 /每秒新建會話數(shù)：500/ 最大并發(fā)會話數(shù)目：600,000。接入層采用 H3C S1048交換機(jī)，提供48個符合IEEE802.3 u標(biāo)準(zhǔn)的10/100M自適應(yīng)以太網(wǎng)接口，所有端口均支持全

27、線速無阻塞交換以及端口自動翻轉(zhuǎn)功能，外形采用19英寸標(biāo)準(zhǔn)機(jī)架設(shè)計。符合IEEE802.3、IEEE802.3U和IEEE802.3x標(biāo)準(zhǔn)；提供48個10/100M自適應(yīng)以太網(wǎng)端口；每個端口都支持 Auto-MDI/MDIX 功能；每個端口都 提供Speed和Link/Act指示燈，顯示端口的工作狀態(tài)。校園網(wǎng)拓?fù)鋱D:嚴(yán)尸鼻性ChinamtCemetCNCPJ6506Z4RJ650(AT#A,#tt“ 一 轉(zhuǎn)壞* AH* m* 筆 WB 爭櫛 1，MM： 一 ftJEMK 一靈ica-snfrtf HOK戸 Z.#* “:二黑磁IS辦塚 一* AA-ttCRlt字生咼會冋:SKB辦蚣喝齦f電懂 f

28、 Afli Q JSf Afffr（四、五、）操作系統(tǒng)安全配置與測試，WWW配置與測試。操作系統(tǒng)采用server 03 ，并在其上配置IIS、WWWDHCP DNS等。配置圖例如下:然后建立網(wǎng)站文件夾目錄:趣歸區(qū)ii： (4 *也固 SI3 ijja丄Itfti -Fiji.m叩爲(wèi)輒FTP尅21:：擴(kuò)! YId加將誹熾1莉十和國鬥!mF粘.血罰性辭關(guān)如占 ?nn田dmi附輛關(guān)認(rèn)snip im 癢is師251詁訊崛廟OftUrniPmSB 正匪ii悻翻槪*的醫(yī)&蚪開ip團(tuán)腔肴醫(yī)* 帥間IF SO務(wù)毎jJ稈叫曲站Muiilh性能與目錄安全性配置:iMrniLBia KjS I 員 | Kan 杲0

29、8 | 主冃* | XQSl| wn 頭 | B*ar名 3 閆 glf&My 名左iTf 址曳g!Mo課倉黑醫(yī)湍AczWear皿It ftq口潔i負(fù).r出K.4m cr址址筍|l I6t D 1比 ab 站.C應(yīng)陽血 o su n)q：J:ttUflf U iEl 13:1苦#軒爐覽蹄僅麗駅 m可以通過IP地址和域名限制，創(chuàng)建虛擬文件目錄，更改端口號燈多種方法來提高WW服務(wù)器的安全性。通過局域網(wǎng)網(wǎng)內(nèi)不同主機(jī)對服務(wù)器的訪問來測試配置情況。（六）、防病毒體系設(shè)計防病毒體系總體規(guī)劃：防病毒系統(tǒng)不僅是檢測和清除病毒，還應(yīng)加強(qiáng)對病毒的防護(hù)工作，在網(wǎng)絡(luò)中不僅要部署被動防御體系（防病毒系統(tǒng)）還要采用主動防

30、御機(jī)制（防火墻、安全策略、漏洞修復(fù)等），將病毒隔離在網(wǎng)絡(luò)大門之外。通過管理控制臺統(tǒng)一部署防病毒系統(tǒng)，保證不出現(xiàn)防病毒漏洞。因此，遠(yuǎn)程安裝、集中管理、統(tǒng)一防病毒策略成為企業(yè)級防病毒產(chǎn)品的重要需求。在跨區(qū)域的廣域網(wǎng)內(nèi)，要保證整個廣域網(wǎng)安全無毒，首先要保證每一個局域網(wǎng)的安全無毒。也就是說，一個企業(yè)網(wǎng)的防病毒系統(tǒng)是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的。應(yīng)該根據(jù)每個局域網(wǎng)的防病毒要求， 建立局域網(wǎng)防病毒控制系統(tǒng)，分別設(shè)置有針對性的防病毒策略。從總部到分支機(jī)構(gòu)，由上到下，各個局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個立體的、完整的病毒防護(hù)體系。1. 構(gòu)建控管中心集中管理架構(gòu)保證網(wǎng)絡(luò)中的所有客戶端計算機(jī)、 服務(wù)器可

31、以從管理系統(tǒng)中及時得到更新， 同時系統(tǒng)管理人 員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進(jìn)行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被系統(tǒng)管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。2. 構(gòu)建全方位、多層次的防毒體系結(jié)合企業(yè)實際網(wǎng)絡(luò)防毒需求，構(gòu)建了多層次病毒防線，分別是網(wǎng)絡(luò)層防毒、郵件網(wǎng)關(guān)防毒、 Web網(wǎng)關(guān)防毒、群件防毒、應(yīng)用服務(wù)器防毒、客戶端防毒，保證斬斷病毒可以傳播、寄生 的每一個節(jié)點，實現(xiàn)病毒的全面布控。3. 構(gòu)建高效的網(wǎng)關(guān)防毒子系統(tǒng)網(wǎng)關(guān)防毒是最重要的一道防線，一方面消除外來郵件SMTP、POP3病毒的威脅，另一方面消除通過HTTP、FTP等應(yīng)用的病毒風(fēng)險，同時對郵件中的

32、關(guān)鍵字、垃圾郵件進(jìn)行阻擋，有 效阻斷病毒最主要傳播途徑。4. 構(gòu)建高效的網(wǎng)絡(luò)層防毒子系統(tǒng)企業(yè)中網(wǎng)絡(luò)病毒的防范是最重要的防范工作，通過在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒系統(tǒng)，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不再肆意傳播，同時結(jié)合病毒所利用的傳播途徑，結(jié)合安全策略進(jìn)行主動防御。5. 構(gòu)建覆蓋病毒發(fā)作生命周期的控制體系當(dāng)一個惡性病毒入侵時，防毒系統(tǒng)不僅僅使用病毒代碼來防范病毒，而是具備完善的預(yù)警機(jī)制、清除機(jī)制、修復(fù)機(jī)制來實現(xiàn)病毒的高效處理，特別是對利用系統(tǒng)漏洞、端口攻擊為手段癱瘓整個網(wǎng)絡(luò)的新型病毒具有很好的防護(hù)手段。防毒系統(tǒng)在病毒代碼到來之前，可以通過網(wǎng)關(guān)可疑信息過濾、端口屏蔽、共享控

33、制、重要文件/文件夾寫保護(hù)等多種手段來對病毒進(jìn)行有效控制，使得新病毒未進(jìn)來的進(jìn)不來、進(jìn)來后又沒有擴(kuò)散的途徑。在清除與修復(fù)階段又可 以對發(fā)現(xiàn)的病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。6. 病毒防護(hù)能力防病毒能力要強(qiáng)、產(chǎn)品穩(wěn)定、操作系統(tǒng)兼容性好、占用系統(tǒng)資源少、不影響應(yīng)用程序的正常運行，減少誤報的幾率。7. 系統(tǒng)服務(wù)系統(tǒng)服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒體系建立起來之后，能否對病毒進(jìn)行有效的防范，與病毒廠商能否提供及時、全面的服務(wù)有著極為重要的關(guān)系。這一方面要求軟件提供商要有全球化的防毒體系為基礎(chǔ)，另一方面也要求廠商能有精良的本地化技術(shù)人員作依托，不管是對系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的

34、可疑文件，都能進(jìn)行快速的分析和方案提供。如果有新病毒爆發(fā)及其它網(wǎng)絡(luò)安全事件，需要防病毒廠商具有較強(qiáng)的應(yīng)急處理能力及售后服務(wù)保障，并且做出具體、詳細(xì)的應(yīng)急處理機(jī)制計劃表和完善的售后服務(wù)保障體系。防病毒體系的管理功能：防病毒系統(tǒng)能夠?qū)崿F(xiàn)分級、分組管理，不同組及客戶端執(zhí)行不同病毒查殺策略，全網(wǎng)定時/定級查殺病毒、全網(wǎng)遠(yuǎn)程查殺策略設(shè)置、遠(yuǎn)程報警、移動式管理、集中式授權(quán)管理、全面監(jiān) 控主流郵件服務(wù)器、全面監(jiān)控郵件客戶端、統(tǒng)一的管理界面，直接監(jiān)視和操縱服務(wù)器端/客戶端，根據(jù)實際需要，添加自定義任務(wù)（例如更新和掃描任務(wù)等），支持大型網(wǎng)絡(luò)統(tǒng)一管理的多級中心系統(tǒng)等多種復(fù)雜的管理功能。8. 資源占用率防病毒系統(tǒng)進(jìn)

35、行實時監(jiān)控或多或少地要占用部分系統(tǒng)資源，這就不可避免地要帶來系統(tǒng)性能的降低。尤其是對郵件、網(wǎng)頁和FTP文件的監(jiān)控掃描，由于工作量相當(dāng)大，因此對系統(tǒng)資源的占用較大。因此，防病毒系統(tǒng)占用系統(tǒng)資源要較低，不影響系統(tǒng)的正常運行。8. 系統(tǒng)兼容性防病毒系統(tǒng)要具備良好的兼容性，將支持以下操作系統(tǒng)：Win dows NT、Win dows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux 等 X86 和X64架構(gòu)的操作系統(tǒng)。9. 病毒庫組件升級防病毒系統(tǒng)提供多種升級方式以及自動分發(fā)的功能，支持多種網(wǎng)絡(luò)連接方式，具有升級方便、更新及時等特點，管理員可以十分輕松地按照預(yù)先設(shè)定的升級方式實現(xiàn)全網(wǎng)內(nèi)的統(tǒng)一升級， 減少病毒庫增量升級對網(wǎng)絡(luò)資源的占用，并且采用均衡流量的策略，盡快將新版本部署到全部計算機(jī)上，時刻保證病毒庫都是最新的，且版本一致，杜絕因版本不一致而可能造成的安 全漏洞和安全隱患。10