網(wǎng)絡安全建設方案

網(wǎng)絡安全建設方案2016年7月TOC\o"1-5"\h\z\o"CurrentDocument"前言 31。1。方案涉及范圍 31。2。方案參考標準 3\o"CurrentDocument"1。 3。方案設計原則 4\o"CurrentDocument"安全需求分析 5\o"CurrentDocument"2。 1.符合等級保護的安全需求 6\o"CurrentDocument"2.1。 1。等級保護框架設計 6\o"CurrentDocument"2.1。 2。相應等級的安全技術要求 6\o"CurrentDocument"2。 2。自身安全防護的安全需求 72。 2。1。物理層安全需求 7\o"CurrentDocument"2.2.2。 網(wǎng)絡層安全需求 7系統(tǒng)層安全需求 92.2。4。應用層安全需求 9\o"CurrentDocument"網(wǎng)絡安全建設內容 103。 1。邊界隔離措施 113。 1。1。下一代防火墻 11\o"CurrentDocument"3.1。 2。入侵防御系統(tǒng) 12\o"CurrentDocument"3。1.3,流量控制系統(tǒng) 133。1。4,流量清洗系統(tǒng) 143。2。應用安全措施 153。2。1。WEB應用防火墻 15\o"CurrentDocument"3.2。 2.上網(wǎng)行為管理系統(tǒng) 15\o"CurrentDocument"3。2.3。內網(wǎng)安全準入控制系統(tǒng) 163.3.安全運維措施 17堡壘機 17\o"CurrentDocument"漏洞掃描系統(tǒng) 17\o"CurrentDocument"3。3.3。網(wǎng)站監(jiān)控預警平臺 18\o"CurrentDocument"3。3.4.網(wǎng)絡防病毒系統(tǒng) 18\o"CurrentDocument"3.3.5。網(wǎng)絡審計系統(tǒng) 19前言方案設計中的防護重點是學校中心機房的服務器區(qū)域，這些服務器承載了學校內部的所有業(yè)務系統(tǒng)，因此是需要重點防護的信息資產。學校目前采取了數(shù)據(jù)大集中的模式，將所有的業(yè)務數(shù)據(jù)集中在中心機房，數(shù)據(jù)大集中模式將導致數(shù)據(jù)中心的安全風險也很集中，因此必須對中心機房服務器區(qū)域進行重點防護.方案中還要對綜合網(wǎng)管區(qū)域、數(shù)據(jù)存儲區(qū)域、辦公區(qū)域進行規(guī)劃和設計，納入到整體的安全防護體系內。1.2.方案參考標準本方案的主要規(guī)劃的重點內容是網(wǎng)絡安全防護體系，規(guī)劃的防護對象以學校數(shù)據(jù)中心為主,規(guī)劃的參考標準是等級保護，該方案的設計要點就是定級和保障技術的規(guī)劃，針對教育部和省教育廳對等級保護的相關要求，本方案將主要參考以下的標準進行規(guī)劃：方案的建設思想方面，將嚴格按照湘教發(fā)[2011]33號文件關于印發(fā)《湖南省教育信息系統(tǒng)安全等級保護工作實施方案》的通知，該文件對計算機信息系統(tǒng)的等級化保護提出了建設要求,是我省今后一段時期內信息安全保障工作的綱領性文件，文件中對我省教育行業(yè)信息安全保障工作指出了總體思路.系統(tǒng)定級方面:參考《信息系統(tǒng)安全等級保護定級指南》，該指南適用于黨政機關網(wǎng)絡于信息系統(tǒng)，其中涉及國家秘密的網(wǎng)絡與信息系統(tǒng)，按照國家有關保密規(guī)定執(zhí)行，其他網(wǎng)絡與信息系統(tǒng)定級工作參考本指南進行，本指南對定級工作的原則、職責分工、工作程序、定級要素和方法進行了描述，并對網(wǎng)絡與信息系統(tǒng)提出了最低安全等級要求，高等職業(yè)學校應不低于最低安全等級要求.在本項目中我們建議學校數(shù)據(jù)中心可按照二級的建設目標進行規(guī)劃。本方案參考的指南和標準具體見下表：安全要素遵循標準指導思想中辦[2003]27號文件（《國家信息化領導小組關于加強信息安全保障工作的意見》）等級保護《信息系統(tǒng)安全等級保護定級指南》《電子政務信息安全保障技術框架》技術方面GB18336信息技術安全技術信息技術安全性評估準則信息安全技術信息系統(tǒng)安全等級保護基本要求（試用稿）方案設計原則學校數(shù)據(jù)中心安全體系的建設應遵循國家相關信息安全保障體系建設的總體原則，按照統(tǒng)一規(guī)劃、統(tǒng)一標準、適度超前；分級、分階段實施；互聯(lián)互通、資源共享、安全保密；以需求為導向、以應用促發(fā)展的原則進行建設，本方案將嚴格遵從以下的建設原則：重點保護原則本次項目建設，屬于學校信息安全保障體系的基礎防護平臺建設階段，以基礎性保障為準，同時對中心機房進行重點防護，根據(jù)《信息系統(tǒng)安全等級保護定級指南》，本方案針對重要的核心部位嚴格按照二級要求進行規(guī)劃,確保重要的信息資產能夠得到重點的防護，具備相當?shù)目构裟芰Γ环植紝嵤┰瓌t數(shù)據(jù)中心建設的效果將直接影響學校的信息化建設，特別是安全保障體系的建設，因此在規(guī)劃階段必須通盤考慮，實施的時候可按照階段進行分布實施，確保學校信息化建設，以及安全保障體系的建設能夠有序開展，并且前期的工作能夠為后期的建設打好基礎，避免重復建設；管理與技術并進的原則學校數(shù)據(jù)中心是一個高技術的系統(tǒng)工程，要實現(xiàn)各業(yè)務系統(tǒng)的功能和性能，又要采取先進的安全技術，還要對已建立的系統(tǒng)實施有效的安全管理，在進行安全技術基礎設施建設時應注意建立配套的運行管理機制和安全規(guī)章制度。經(jīng)濟實用性原則對學校數(shù)據(jù)中心安全體系設計時，既要考慮安全風險和需求，又要考慮系統(tǒng)建設的成本，在保證整體安全的前提下，盡可能的減少投資規(guī)模，壓縮開支.優(yōu)化系統(tǒng)設計，合理進行系統(tǒng)配置，所采用的產品，要便于操作、實用高效。標準化原則技術的標準化是信息系統(tǒng)建設的基本要求，也是電子化和信息化的前提。學校數(shù)據(jù)中心構成復雜、應用多種多樣，為了保證信息的安全互通互連，確保安全保障體系建設的典型意義和全面推廣應用價值，必須嚴格遵循國家和有關部門關于信息系統(tǒng)安全管理的規(guī)定及建設規(guī)范，按照統(tǒng)一的標準進行設計。適度安全原則任何信息系統(tǒng)都不能做到絕對的安全，學校數(shù)據(jù)中心也不例外。因此，在安全體系設計時，要在安全需求、安全風險和安全成本之間進行平衡和折中，過多的安全要求必將造成安全成本的迅速增加和運行的復雜性.統(tǒng)一規(guī)劃原則信息安全保障體系的建設必須適應其信息化的要求，必須兼顧核心業(yè)務和非核心業(yè)務的信息化需求，從安全技術保障、安全組織保障和安全運營保障等角度出發(fā)，為學校規(guī)劃全面的信息安全保障體系。安全需求分析從安全建設的角度，本方案認為學校的安全建設來自兩個方面，一是從符合國家政策的角度，需要按照公安部的相關標準，按照分級、分域的建設思路，進行總體的安全規(guī)劃和設計;另外也需要從自身安全防護的角度，分析對抗外部惡意攻擊、防范內部誤操作行為、規(guī)避物理安全風險、強化安全管理等方面的建設需求。具體內容如下：21.符合等級保護的安全需求等級保護框架設計本方案中，針對學校數(shù)據(jù)中心，按照功能類型的方式進行區(qū)域的劃分，根據(jù)信息資產重要性的差別，劃分為服務器區(qū)域、辦公區(qū)域、運維區(qū)域、數(shù)據(jù)存儲區(qū)域等；各區(qū)域內設備類型的差別，以及對業(yè)務應用影響的區(qū)別，導致各個區(qū)域應該采用不同的安全防護要求.其中，服務器區(qū)域內主要是各類應用服務器，包括數(shù)據(jù)庫服務器、各類業(yè)務系統(tǒng)等，該區(qū)域是數(shù)據(jù)中心最重要的信息資產，必須重點進行防護。運維區(qū)域內主要是目前已經(jīng)采用的網(wǎng)絡管理軟件，包括運行網(wǎng)管軟件的服務器和數(shù)據(jù)庫系統(tǒng)，在本期項目建設中，還可以將一些軟件的安全防護系統(tǒng)部署在該區(qū)域內，比如堡壘機、漏洞掃描系統(tǒng)等，其重要性僅次于服務器區(qū)域.數(shù)據(jù)存儲區(qū)域則是方案建議規(guī)劃出的一個區(qū)域，作為綜合網(wǎng)管區(qū)域的本地數(shù)據(jù)災備中心，該區(qū)域主要部署了磁盤柜等存儲設備，由于在物理上該區(qū)域與服務器區(qū)域緊密相連，因此其重要性也是比較高的；辦公區(qū)域:包括學校的辦公人員的桌面用機，該區(qū)域的設備遭到破壞后，對業(yè)務系統(tǒng)不會造成大面積的影響，因此重要性最低，但是該區(qū)域要做好防病毒、補丁管理、行為管理等方面,要防止該區(qū)域的設備被攻擊者利用，作為進一步攻擊其他區(qū)域的“跳板”；相應等級的安全技術要求綜合參考《信息系統(tǒng)安全等級保護定級指南》，我們可將學校網(wǎng)絡和信息系統(tǒng)劃分為網(wǎng)絡基礎設施、業(yè)務處理平臺和應用系統(tǒng)三個層次，其中，業(yè)務處理平臺包括了本地計算區(qū)域和區(qū)域邊界.對服務器區(qū)域的安全防護機制按照二級的要求進行建設，對應用系統(tǒng)的安全防護機制按照二級的要求進行建設，其他區(qū)域可參考此標準，根據(jù)自身重要性的區(qū)別，適當調整技術要求。2?2.自身安全防護的安全需求從自身安全防護的角度，我們認為學校數(shù)據(jù)中心除了滿足相關標準以外，還需要考慮物理、終端、邊界、網(wǎng)絡、系統(tǒng)和管理方面的安全風險，并由此產生了以下的安全需求。物理層安全需求保證網(wǎng)絡信息系統(tǒng)各種設備的物理安全是保證整個網(wǎng)絡信息系統(tǒng)安全的基礎。物理安全是保護計算機網(wǎng)絡設備、設施以及其他介質免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程.它主要包括三個方面：環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護；（參見國家標準GB50173-93《電子計算機機房設計規(guī)范》、國標GB2887—89《計算站場地技術條件》、GB9361-88《計算站場地安全要求》；設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；介質安全：包括信息系統(tǒng)數(shù)據(jù)所依賴的存儲介質和傳輸介質的安全，確保不會因為物理介質的故障導致信息數(shù)據(jù)受損；網(wǎng)絡層安全需求網(wǎng)絡是信息系統(tǒng)賴以存在的實體，離開了網(wǎng)絡平臺，信息的傳遞、業(yè)務的開展將無從依托，因此如何保障網(wǎng)絡的安全，是構建學校數(shù)據(jù)中心系統(tǒng)安全架構的基礎性工作，對于數(shù)據(jù)中心來講，網(wǎng)絡安全主要解決運行環(huán)境的安全問題，對應網(wǎng)絡層安全威脅，網(wǎng)絡安全主要的技術手段包括訪問控制技術、加密傳輸技術、檢測與響應技術等，對照學校數(shù)據(jù)中心的實際情況，我們看到其存在以下的安全需求：訪問控制需求|?防范非法用戶的非法訪問非法用戶的非法訪問也就是黑客或間諜的攻擊行為.在沒有任何防范措施的情況下，網(wǎng)絡的安全主要是靠主機系統(tǒng)自身的安全，如用戶名及口令字這些簡單的控制。但對于用戶名及口令的保護方式，對有攻擊目的的人而言，根本就不是一種障礙。他們可以通過對網(wǎng)絡上信息的監(jiān)聽，得到用戶名及口令或者通過猜測用戶及口令，這都將不是難事，而且可以說只要花費很少的時間。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，嚴格控制只有合法用戶才能訪問合法資源.?防范合法用戶的非授權訪問合法用戶的非授權訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。一般來說，每個成員的主機系統(tǒng)中，有一部份信息是可以對外開放，而有些信息是要求保密或具有一定的隱私性。外部用戶（指來自外部網(wǎng)絡的合法用戶）被允許正常訪問的一定的信息，但他同時通過一些手段越權訪問了別人不允許他訪問的信息,因此而造成他人的信息泄密.所以，還得加密訪問控制的機制，對服務及訪問權限進行嚴格控制。?防范假冒合法用戶的非法訪問從管理上及實際需求上是要求合法用戶可正常訪問被許可的資源。既然合法用戶可以訪問資源。那么，入侵者便會在用戶下班或關機的情況下，假冒合法用戶的IP地址或用戶名等資源進行非法訪問。因此，必需從訪問控制上做到防止假冒而進行的非法訪問。入侵防御需求防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的措施之一。防火墻可以對所有的訪問進行嚴格控制（允許、禁止、報警）。但網(wǎng)絡配置了防火墻卻不一定安全,防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其它攻擊。因為網(wǎng)絡安全是整體的，動態(tài)的，不是單一產品能夠完全實現(xiàn),所以確保網(wǎng)絡更加安全必須配備入侵檢測和響應系統(tǒng)，對透過防火墻的攻擊進行檢測并做相應反應（記錄、報警、阻斷）.2.2.3.系統(tǒng)層安全需求安全漏洞檢測和修補需求網(wǎng)絡系統(tǒng)存在安全漏洞（如安全配置不嚴密等）和操作系統(tǒng)安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素.入侵者通常都是通過一些程序來探測網(wǎng)絡中系統(tǒng)中存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相就技術進行攻擊，因此，必需配備網(wǎng)絡安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)檢測網(wǎng)絡中存在的安全漏洞，并采用相應的措施填補系統(tǒng)漏洞，對網(wǎng)絡設備等存在的不安全配置重新進行安全配置。安全加固需求對關鍵的服務器主機系統(tǒng)進行安全加固,提供用戶認證、訪問控制和審計，嚴格控制用戶對服務器系統(tǒng)的訪問，禁止黑客利用系統(tǒng)的開口隱患和安全管理功能的不足之處進行非法訪問，避免內部用戶的濫用。2.2.4.應用層安全需求防病毒需求針對防病毒危害性極大并且傳播極為迅速的特點，必須配備涵蓋客戶端、服務器、郵件系統(tǒng)、互聯(lián)網(wǎng)網(wǎng)關的整套防病毒體系，實現(xiàn)全網(wǎng)的病毒安全防護，徹底切斷病毒繁殖和傳播的途徑。防垃圾郵件需求必須采用有效的手段防范互聯(lián)網(wǎng)垃圾郵件進入網(wǎng)絡內部郵件服務器系統(tǒng)，干擾正常業(yè)務通信。身份認證需求必須采用必要的用戶身份認證和授權管理機制，對網(wǎng)絡用戶身份的真實性、合法性進行集中的控制。數(shù)據(jù)安全需求對重要的業(yè)務數(shù)據(jù)和管理數(shù)據(jù)應提供可靠的備份和恢復機制，防止因非法攻擊或意外事件造成數(shù)據(jù)的破壞或丟失；網(wǎng)絡安全建設內容建議在本期項目的建設中，重點從網(wǎng)絡安全、系統(tǒng)安全、應用安全、管理安全的角度出發(fā)，進行建設，同時在本期項目成功建設的基礎上，再進一步向物理安全、組織體系、運行體系方面進行擴展，實現(xiàn)全面的安全策略。具體的實施方案可參考下圖表示：圖3.1學校網(wǎng)絡安全拓撲示意圖在本方案中，在互聯(lián)網(wǎng)接入邊界處部署防火墻系統(tǒng)，形成層次化的訪問控制和區(qū)域隔離.特別針對服務器區(qū)域，利用安全邊界接入平臺技術加強訪問控制力度，有效保障重要的應用系統(tǒng)不受到非法的訪問。此外，在服務器接入邊界處部署入侵防御系統(tǒng)，一方面有效抵抗拒絕服務、掃描、惡意代碼、木馬、蠕蟲等網(wǎng)絡攻擊行為，降低來自互聯(lián)網(wǎng)和校園內部的威脅與風險.在防火墻邊界隔離的基礎上，部署入侵防御系統(tǒng)可以進行深度的檢測與防護，提升系統(tǒng)的檢測力度。同時,還在互聯(lián)網(wǎng)接入邊界處部署流量控制系統(tǒng)，根據(jù)應用和用戶進行帶寬的分配與監(jiān)控。在WEB網(wǎng)站前端部署一臺WEB應用防火墻，防范來自互聯(lián)網(wǎng)對WEB網(wǎng)站的攻擊行為。在互聯(lián)網(wǎng)接入邊界處部署上網(wǎng)行為管理系統(tǒng)，規(guī)范辦公區(qū)人員的互聯(lián)網(wǎng)行為，保障核心業(yè)務系統(tǒng)的流量帶寬。同時，還在互聯(lián)網(wǎng)接入邊界處部署流量清洗系統(tǒng)，對網(wǎng)絡中的異常流量進行分析和清洗，保障有限帶寬的合理化利用。在內網(wǎng)署一套安全準入控制系統(tǒng)，加強網(wǎng)絡安全管理及內部PC的安全管理。部署堡壘機來對管理員和第三方維護人員進行設備維護時進行審計管理。部署漏洞掃描系統(tǒng)對全網(wǎng)的服務器、網(wǎng)絡設備、安全設備和終端進行檢測，發(fā)現(xiàn)網(wǎng)絡中存在的安全漏洞，并采用相應的措施填補系統(tǒng)漏洞。參考圖3.1,針對學校數(shù)據(jù)中心，采取的主要防護措施包括：邊界隔離措施下一代防火墻防火墻是近年發(fā)展起來的重要安全技術，其主要作用是在網(wǎng)絡入口點檢查網(wǎng)絡通信，根據(jù)用戶設定的安全規(guī)則，在保護內部網(wǎng)絡安全的前提下，提供內外網(wǎng)絡通信，起到安全域劃分、訪問控制、NAT轉換和殺毒、漏洞檢測等防護的作用，同時該防火墻還作為VPN網(wǎng)關為移動辦公BYOD人員提供遠程安全連接.通過使用防火墻過濾不安全的服務，提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險，提供對系統(tǒng)的訪問控制;阻止攻擊者獲得攻擊網(wǎng)絡系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動的安全防御工具。設立防火墻的目的是保護一個網(wǎng)絡不受來自另一個網(wǎng)絡的攻擊，防火墻的主要功能包括以下幾個方面：防火墻提供安全邊界控制的基本屏障。設置防火墻可提高內部網(wǎng)絡安全性，降低受攻擊的風險；防火墻體現(xiàn)網(wǎng)絡安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認證、審計等），比分散管理更經(jīng)濟；防火墻強化安全認證和監(jiān)控審計.因為所有進出網(wǎng)絡的數(shù)據(jù)流都必須通過防火墻，防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務；防火墻能阻止內部信息泄漏。防火墻實際意義上也是一個隔離器，即能防外，又能防止內部未經(jīng)授權用戶對外網(wǎng)的訪問.防火墻設備的部署，可實現(xiàn)以下功能：通過防火墻連接，隔離安全區(qū)域通過對訪問請求的審核，我們隔離了內部網(wǎng)絡同外部網(wǎng)絡連接，可以達到保護脆弱的服務、控制對內部的訪問、記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能.在有不安全網(wǎng)絡接入時，全部通信都受到防火墻的監(jiān)控，通過防護墻的策略可以設置成相應的保護級別，以保證系統(tǒng)的安全性。過濾網(wǎng)絡中不必要傳輸?shù)睦鴶?shù)據(jù)防火墻是一種網(wǎng)關型的設備，各個區(qū)域之間的通信，可以通過防火墻的添加，如果在其上添加一些策略，就可以過濾掉部分無用的信息，在網(wǎng)絡中只能傳輸必要的應用數(shù)據(jù)。利用防火墻的帶寬控制功能,調整鏈路的帶寬利用防火墻是一種網(wǎng)關型的設備，而且防火墻具有帶寬控制的特性，可以依據(jù)應用來限制流量，來調整鏈路的帶寬。實現(xiàn)每個用戶、服務器的帶寬控制，提高鏈路帶寬利用的效率。通過防火墻的保護，隱蔽內部網(wǎng)絡信息，提高系統(tǒng)的安全性使得各個內網(wǎng)區(qū)不受到黑客的攻擊，黑客無法通過防火墻進行掃描、攻擊等非法動作。可防止黑客通過外部網(wǎng)對重要服務器的TCP/UDP的端口非法掃描，消除系統(tǒng)安全的隱患?？煞乐构粽咄ㄟ^外部網(wǎng)對重要服務器的源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN攻擊、拒絕服務等多種攻擊。防火墻還具有一定的入侵檢測功能，當發(fā)現(xiàn)有繞過防火墻攻擊重要服務器時，防火墻將自動報警并根據(jù)策略進行響應.強大的應用層控制防火墻提供應用級透明代理，可以對高層應用（HTTP、FTP、SMTP、POP3、NNTP）做了更詳細控制，如HTTP命令（GET，POST，HEAD）及URL,FTP命令（GEI，PUT）及文件控制。這對于提高網(wǎng)絡中的應用服務器的安全非常有意義.入侵防御系統(tǒng)剛才提到防火墻實現(xiàn)的是不同安全域之間的訪問控制和管理,而入侵防御系統(tǒng)實現(xiàn)的是對整個內網(wǎng)的訪問控制、數(shù)據(jù)包深度過濾、漏洞攻擊防御、郵件病毒過濾、報文完整性分析等功能，并提供更高的性能、更細的安全控制粒度、更深的內容攻擊防御、更大的功能擴展空間、更豐富的服務和協(xié)議支持，為網(wǎng)絡提供完整的立體式網(wǎng)絡安全防護。入侵防御系統(tǒng)是在線部署在網(wǎng)絡中，提供主動的、實時的防護，具備對2到7層網(wǎng)絡的線速、深度檢測能力，同時配合以精心研究、及時更新的攻擊特征庫，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡中的各種流量進行有效管理，從而達到對網(wǎng)絡架構防護、網(wǎng)絡性能保護和核心應用防護。流量控制系統(tǒng)隨著互聯(lián)網(wǎng)的逐步發(fā)展，網(wǎng)上用戶和業(yè)務流量在不斷增長，除傳統(tǒng)數(shù)據(jù)業(yè)務外，網(wǎng)絡電話、網(wǎng)絡視頻、P2P下載等新型網(wǎng)絡應用使得骨干網(wǎng)絡中話音、視頻、點到點下載流量在呈幾何基數(shù)級膨脹趨勢。今天的互聯(lián)網(wǎng)用戶中，沒有聽說或使用過Skype、QQ、MSN、BT、Emule、PPLive等應用的恐怕已經(jīng)是極少數(shù)。網(wǎng)絡應用繁榮的同時,網(wǎng)絡管理的難度也隨之增加.傳統(tǒng)的網(wǎng)絡設備由于無法識別應用層的流量信息,致使應用級別的管控不到位，網(wǎng)絡管理的灰色地帶不斷增加.主要表現(xiàn)在：.網(wǎng)絡透明度降低:無法獲知網(wǎng)上的各種應用及用戶準確分布情況,無法針對不同用戶、不同應用設置差異化的管理策略；.網(wǎng)絡資源濫用嚴重，難以進行有效控制管理：如，觀看在線視頻（網(wǎng)絡電視、在線影視）、利用各種下載工具下載喜歡的音樂/影視等；致使網(wǎng)絡鏈路經(jīng)常處于流量飽和的狀態(tài)，無法滿足日益增長的應用需求；.關鍵用戶、關鍵應用的服務質量難以得到有效保障：網(wǎng)絡應用流量種類、數(shù)量不斷增多，無序化的競爭經(jīng)常導致關鍵用戶、關鍵應用的服務體驗的降低；.網(wǎng)絡安全性降低:由于網(wǎng)絡的無序化管理，內部人員對網(wǎng)絡應用的濫用,大量蠕蟲病毒、DDOS攻擊趁虛而入，這些以消耗網(wǎng)絡資源為目的的流量類攻擊發(fā)展迅猛，卻沒有有效的防范、控制手段,造成網(wǎng)絡擁塞，甚至網(wǎng)絡癱瘓，為網(wǎng)絡安全帶來了重大的隱患；另外，現(xiàn)有網(wǎng)絡設備無法實現(xiàn)應用級別管控還會給各類不同用戶帶來其它一些嚴重問題，例如：.對于企業(yè)網(wǎng)絡：用戶網(wǎng)絡行為監(jiān)管困難，既便制定了內部網(wǎng)絡管理條例，員工的上網(wǎng)行為也難以進行有效的管理。例如，在工作時間炒股票（大智慧、通花順、錢龍等）、玩網(wǎng)絡游戲（傳奇、魔獸、聯(lián)眾、反恐精英等）、用MSN、QQ等即時通訊工具進行與工作無關的聊天等，這不僅會影響工作效率，也會給網(wǎng)絡管理帶來巨大隱患；對于電信運營商網(wǎng)絡：對應用管控的缺失，造成非法VoIP、P2P應用、在線視頻應用的泛濫，一方面，其占有了大量的網(wǎng)絡資源，帶來了擴容壓力；另一方面，其也對運營商的主營業(yè)務（傳統(tǒng)的語音業(yè)務、新興的IPTV業(yè)務等）收入造成了巨大的影響.對于今天的網(wǎng)絡管理者而言，如何深度感知網(wǎng)絡應用，通過適當?shù)膸捁芾砑夹g來解決帶寬增長與業(yè)務收益、網(wǎng)絡擴容與用戶體驗之間的不對稱關系，實現(xiàn)對用戶和業(yè)務的分級化識別管理，和基于用戶和用戶業(yè)務流量的管理和增值顯得尤為重要.在這種背景下，流量控制系統(tǒng)就能夠很好的解決上述網(wǎng)絡面臨的問題，它通過高速數(shù)據(jù)內容檢測、數(shù)據(jù)流狀態(tài)監(jiān)測、IP隧道和微碼固件等方法，在對網(wǎng)絡應用深度解析的基礎上，實現(xiàn)了2?7層的應用識別分類、流量屬性分析、流量策略管理、分類統(tǒng)計報告以及狀態(tài)預警等多種功能.流控為提高網(wǎng)絡透明度，實施網(wǎng)絡應用服務管理以及拓展網(wǎng)絡增值業(yè)務提供了有效和可靠的硬件平臺，在對網(wǎng)絡流量進行精確識別分析進而達到控制的目的的同時，鞏固和加強了網(wǎng)絡的安全管理.流量清洗系統(tǒng)隨著各種業(yè)務對Internet依賴程度的日益加強，DDoS攻擊所帶來的損失也愈加嚴重。包括運營商、企業(yè)及政府機構的各種用戶時刻都受到了DDoS攻擊的威脅，而未來更加強大的攻擊工具的出現(xiàn)，為日后發(fā)動數(shù)量更多、破壞力更強的DDoS攻擊帶來可能。正是由于DDoS攻擊非常難于防御，以及其危害嚴重，所以如何有效的應對DDoS攻擊就成為Internet使用者所需面對的嚴峻挑戰(zhàn)。網(wǎng)絡設備或者傳統(tǒng)的邊界安全設備,諸如防火墻、入侵檢測系統(tǒng)，作為整體安全策略中不可缺少的重要模塊，都不能有效的提供針對DDoS攻擊完善的防御能力。面對這類給Internet可用性帶來極大損害的攻擊,必須采用專門的設備，對攻擊進行有效檢測及阻斷，進而遏制這類不斷增長的、復雜的且極具欺騙性的攻擊形式.因此，對骨干設備的防護也是整個網(wǎng)絡環(huán)境的關鍵，建議在互聯(lián)網(wǎng)接入處部署專業(yè)的DDoS防護產品，保障用戶網(wǎng)絡可用性.3.2應用安全措施WEB應用防火墻隨著信息技術的不斷發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲的重要手段。信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式，存儲在計算機中的資料都在逐漸增加,對信息的保護比以往更加重要也更加困難。由于Internet是個開放的網(wǎng)絡，網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢、閱讀、下載或轉載.網(wǎng)站內容復制容易，轉載速度快，學校WEB站點網(wǎng)頁如果被篡改，后果難以預料，篡改網(wǎng)頁將會被迅速、廣泛傳播從而直接危害網(wǎng)站的利益。尤其是網(wǎng)站上發(fā)布的重要新聞、重大方針政策以及法規(guī)等，一旦被黑客篡改，將嚴重影響政府形象，甚至造成重大的政治經(jīng)濟損失和惡劣的社會影響。WEB服務器前端部署WEB應用防火墻，可以提高相關WEB站點的安全性.當出現(xiàn)黑客攻擊或工作人員某些操作失誤，WEB應用防火墻能夠實時恢復網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運行；同時還能夠記錄篡改事件的相關資料，從而為安全部門提供調查的線索和證據(jù)。WEB應用防火墻具備實時、低耗等性能指標，既能夠保證篡改頁面的立即恢復，又能保證網(wǎng)站的正常服務性能不受影響。WEB應用防火墻支持全透明部署模式，全面支持HTTPS協(xié)議，在提供WEB應用實時深度防御的同時實現(xiàn)WEB應用加速及敏感信息泄露防護，能夠解決應用及業(yè)務邏輯層面的安全問題，特別是解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站腳本攻擊（釣魚攻擊）、惡意編碼（網(wǎng)頁木馬）、緩沖區(qū)溢出、信息泄露、應用層DOS/DDOS攻擊等等。上網(wǎng)行為管理系統(tǒng)隨著信息化建設的開展，工作和生活對于互聯(lián)網(wǎng)的依賴性越來越強.在學校職工利用互聯(lián)網(wǎng)獲得更多更及時地資源的時候，一些網(wǎng)絡性能方面和應用方面的問題被暴露了出來，大量的P2P等非關鍵應用無情地吞噬著網(wǎng)絡有限的帶寬資源，使得網(wǎng)絡管理人員頭痛不已。在沒有對P2P流量進行策略管理的時間段內，P2P等非關鍵應用的流量幾乎占用了60—70%的網(wǎng)絡帶寬，關鍵性應用如OA、Email、WEB網(wǎng)站等卻得不到保障，會嚴重影響了機關網(wǎng)絡的健康發(fā)展.通過在互聯(lián)網(wǎng)出口處部署一臺上網(wǎng)行為管理系統(tǒng)，對互聯(lián)網(wǎng)資源做一個合理的流量控制，抑制P2P的濫用，并保障關鍵應用的帶寬,大幅度提高訪問互聯(lián)網(wǎng)的速度，有效提升帶寬利用率。上網(wǎng)行為管理系統(tǒng)提供了強大的網(wǎng)頁過濾功能，屏蔽對非法網(wǎng)站的訪問;提供基于時間、用戶、應用的精細管理策略，控制職工在上班時間玩網(wǎng)絡游戲、炒股、觀看在線視頻，以及無節(jié)制的網(wǎng)絡聊天，從而保障工作效率;提供對電子郵件、即時通訊、論壇發(fā)帖等途徑的外發(fā)信息進行監(jiān)控審計,避免機密信息泄露或發(fā)表反動言論等。3.2.3.內網(wǎng)安全準入控制系統(tǒng)學校業(yè)務種類越來越多，重要性越來越突出.所以辦公計算機的系統(tǒng)安全以及日常的運行維護顯的尤為重要，如果出現(xiàn)安全漏洞或安全事故,將會嚴重影響整體業(yè)務運行安全。由于學校信息化程度較高，終端點數(shù)較多，對IT軟硬件的資產管理及故障維護靠人工施行難度較大，且效率低下，迫切需要通過技術手段規(guī)范人員入網(wǎng)及日常終端使用行為.為加強網(wǎng)絡安全管理及加強內部PC的安全管理，建議在內網(wǎng)部署一套安全準入控制系統(tǒng)，這套系統(tǒng)將重點解決以下問題：＞用戶入網(wǎng)身份證書認證化＞入網(wǎng)終端登記注冊認證化＞違規(guī)終端不準入網(wǎng)、入網(wǎng)終端必合規(guī)＞安全檢查一目了然、智能傻瓜式修復＞用戶權限的細粒度分派及管理＞全網(wǎng)終端軟硬件資產合理、實時、有序管理＞終端系統(tǒng)補丁、殺毒軟件、應用程序等有效統(tǒng)一管理安全準入控制系統(tǒng)可以對所有的入網(wǎng)設備進行身份認證，包括MAC地址、IP地址、基于用戶名和密碼的身份、接入設備端口、所在VLAN等信息，還支持U-KEY、支持智能卡、數(shù)字證書認證、LDAP、無縫結合域管理。保證接入設備為合法終端。3.3.安全運維措施堡壘機隨著信息技術的不斷發(fā)展和信息化建設的不斷進步，業(yè)務應用、辦公系統(tǒng)不斷推出和投入運行，信息系統(tǒng)在政府機構運營中全面滲透。學校信息系統(tǒng)使用數(shù)量眾多的網(wǎng)絡設備、服務器主機來提供基礎網(wǎng)絡服務、運行關鍵業(yè)務。由于設備和服務器眾多，系統(tǒng)管理員壓力太大等因素，越權訪問、誤操作、濫用、惡意破壞等情況時有發(fā)生，另外黑客的惡意訪問也有可能獲取系統(tǒng)權限,闖入內部網(wǎng)絡，造成不可估量的損失。如何提高系統(tǒng)運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，提供控制和審計依據(jù)，降低運維成本，滿足相關標準要求，越來越成為管理員關心的問題.通過部署堡壘機，該設備扮演著看門者的職責,所有對網(wǎng)絡設備和服務器的請求都要從這扇大門經(jīng)過。因此它能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉所有對目標設備的非法訪問行為。并能夠將所有的輸出信息全部記錄下來；具備審計回放功能，能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡的內控審計功能.因此，堡壘機能夠極大的保護內部網(wǎng)絡設備及服務器資源的安全性,使得內部網(wǎng)絡管理更加合理化和專業(yè)化.漏洞掃描系統(tǒng)在內網(wǎng)服務器區(qū)部署一臺漏洞掃描系統(tǒng).其主要用于分析和指出有關網(wǎng)絡的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告,并針對檢測到的網(wǎng)絡安全隱患給出相應的修補措施和安全建議.漏洞掃描系統(tǒng)通過模擬黑客的進攻方法，對被檢系統(tǒng)進行攻擊性的安全漏洞和隱患掃描，提交風險評估報告，并提供相應的整改措施。先于黑客發(fā)現(xiàn)并彌補漏洞，防患于未然.預防性的安全檢