contact

Contact Us
電子郵箱:
service#wantjoin.cn
(請(qǐng)將#改成@)
QQ 點(diǎn)擊這里給我發(fā)消息

校園網(wǎng)安全設(shè)計(jì)方案

當(dāng)前位置 : 首頁(yè) > Products

校園網(wǎng)安全設(shè)計(jì)方案

詳細(xì)說(shuō)明

一、校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)概述 
  校園網(wǎng)信息系統(tǒng)是校園網(wǎng)的數(shù)字神經(jīng)中樞,合理的使用不僅能促進(jìn)各院校的現(xiàn)代化教學(xué)改革、提高教學(xué)質(zhì)量、改善教學(xué)環(huán)境,同時(shí)通過(guò)各院校之間的互聯(lián)互通,將會(huì)極大的提高教育行業(yè)整體的工作效率和教育質(zhì)量。 

  校園網(wǎng)總體上分為校園內(nèi)網(wǎng)和校園外網(wǎng)。校園內(nèi)網(wǎng)主要包括教學(xué)局域網(wǎng)、圖書(shū)館局域網(wǎng)、辦公自動(dòng)化局域網(wǎng)等。校園外網(wǎng)主要指學(xué)校提供對(duì)外服務(wù)的服務(wù)器群、與CERNET的接入以及遠(yuǎn)程移動(dòng)辦公用戶的接入等。 

  教學(xué)局域網(wǎng)是教學(xué)人員利用計(jì)算機(jī)開(kāi)展教學(xué)和學(xué)生通過(guò)計(jì)算機(jī)來(lái)學(xué)習(xí)的網(wǎng)絡(luò)平臺(tái);圖書(shū)館局域網(wǎng)實(shí)現(xiàn)了圖書(shū)館的網(wǎng)絡(luò)化管理以及圖書(shū)的網(wǎng)上檢索或?yàn)g覽;辦公自動(dòng)化局域網(wǎng)是教職員工自動(dòng)化辦公的平臺(tái),可以在此平臺(tái)上開(kāi)展公文管理、會(huì)議管理、檔案管理以及個(gè)人辦公管理等。實(shí)現(xiàn)包括教學(xué)管理、科研管理、學(xué)員管理、資產(chǎn)管理、人事管理、黨務(wù)管理、財(cái)務(wù)管理、后勤管理等應(yīng)用,形成院校的綜合管理信息系統(tǒng); 

  校園外網(wǎng)的服務(wù)器群構(gòu)成了校園網(wǎng)的服務(wù)系統(tǒng),一般包括DNS、WEB、FTP、PROXY以及MAIL服務(wù)等。外部網(wǎng)實(shí)現(xiàn)了校園網(wǎng)與CERNET及INTERNET的基礎(chǔ)接入,使院校教職工和學(xué)生能使用電子郵件和瀏覽器等應(yīng)用方式,在教學(xué)、科研和管理工作中利用國(guó)內(nèi)和國(guó)際網(wǎng)進(jìn)行信息交流和共享。

二、校園網(wǎng)安全威脅分析 
  校園網(wǎng)內(nèi)的用戶數(shù)量較大,局域網(wǎng)絡(luò)數(shù)目較多,認(rèn)真分析可以總結(jié)出校園網(wǎng)面臨著如下的安全威脅:

  1、各種操作系統(tǒng)以及應(yīng)用系統(tǒng)自身的漏洞帶來(lái)的安全威脅;
  2、Internet網(wǎng)絡(luò)用戶對(duì)校園網(wǎng)存在非法訪問(wèn)或惡意入侵的威脅; 
  3、來(lái)自校園網(wǎng)內(nèi)外的各種病毒的威脅,外部用戶可能通過(guò)郵件以及文件傳輸?shù)葘⒉《編胄@內(nèi)網(wǎng)。內(nèi)部教職工以及學(xué)生可能由于使用盜版介質(zhì)將病毒帶入校園內(nèi)網(wǎng); 內(nèi)部用戶對(duì)Internet的非法訪問(wèn)威脅,如瀏覽黃色、暴力、反動(dòng)等網(wǎng)站,以及由于下載文件可能將木馬、蠕蟲(chóng)、病毒等程序帶入校園內(nèi)網(wǎng); 
  4、內(nèi)外網(wǎng)惡意用戶可能利用利用一些工具對(duì)網(wǎng)絡(luò)及服務(wù)器發(fā)起DOS/DDOS攻擊,導(dǎo)致網(wǎng)絡(luò)及服務(wù)不可用;
  5、校園網(wǎng)內(nèi)的學(xué)生群體是主要的OICQ用戶,目前針對(duì)OICQ的黑客程序隨處可見(jiàn); 
  6、可能會(huì)因?yàn)樾@網(wǎng)內(nèi)管理人員以及全體師生的安全意識(shí)不強(qiáng)、管理制度不健全,帶來(lái)校園網(wǎng)的威脅;

三、校園網(wǎng)安全方案設(shè)計(jì) 
  上述分析的幾點(diǎn)是當(dāng)今校園網(wǎng)普遍面臨的安全隱患。特別是近年來(lái),隨著學(xué)生宿舍、教職工家屬等接入校園網(wǎng)后,網(wǎng)絡(luò)規(guī)模急劇增大。同時(shí),校園網(wǎng)絡(luò)的應(yīng)用水平也在不斷提高。規(guī)模的壯大和運(yùn)用水平的提高就決定了校園網(wǎng)面臨的隱患也相應(yīng)加劇。下圖是比較普遍的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)。基于此圖,我們從物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用及管理五個(gè)層次分析和設(shè)計(jì)適合于校園網(wǎng)的安全建議方案。


1、物理層安全 
  物理層的安全主要包括環(huán)境、設(shè)備及線路的安全。系統(tǒng)中心或機(jī)房的建設(shè)應(yīng)遵照:GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB2887-89《計(jì)算機(jī)站場(chǎng)地安全要求》及GB2887-89《計(jì)算機(jī)站場(chǎng)地技術(shù)條件》的要求。在設(shè)備集中的管理間安裝干擾器防止由于設(shè)備輻射造成的信息泄漏。同時(shí),要注意保護(hù)線路的安全,防止用戶的搭線竊聽(tīng)行為。

2、系統(tǒng)安全
  系統(tǒng)層主要解決的是由于各種操作系統(tǒng)、數(shù)據(jù)庫(kù)、及相關(guān)產(chǎn)品的安全漏洞和病毒造成的威脅。解決的技術(shù)手段主要有以下幾種: 
  
  4采用主機(jī)加固手段對(duì)主機(jī)加固,如升級(jí)、打補(bǔ)丁、關(guān)閉不需要的端口等; 
  4采用主機(jī)訪問(wèn)控制手段加強(qiáng)對(duì)主機(jī)的訪問(wèn)控制;

3、網(wǎng)絡(luò)層安全 
  校園網(wǎng)中局域網(wǎng)數(shù)目較多,根據(jù)需要多個(gè)網(wǎng)絡(luò)可能要互相聯(lián)接。正是這種多網(wǎng)的互聯(lián),使我們對(duì)網(wǎng)絡(luò)層的安全要極度重視。定義一個(gè)網(wǎng)絡(luò)或各網(wǎng)絡(luò)內(nèi)不同安全等級(jí)的部分為不同的安全域。安全域之間的連接處叫網(wǎng)絡(luò)邊界。下面主要討論以下幾方面的網(wǎng)絡(luò)層安全防護(hù):

⑴劃分安全子網(wǎng)。
  如果同一局域網(wǎng)內(nèi)有不同等級(jí)的安全域,可以通過(guò)劃分子網(wǎng)及VLAN的方法加以訪問(wèn)控制。如在教學(xué)局域網(wǎng)中學(xué)生機(jī)房和多媒體機(jī)房之間可以通過(guò)劃分子網(wǎng)來(lái)控制,不允許學(xué)生機(jī)房的機(jī)器訪問(wèn)多媒體機(jī)房的機(jī)器。 
⑵加強(qiáng)網(wǎng)絡(luò)邊界的訪問(wèn)控制。安全等級(jí)差別較大的邊界需要采用防火墻來(lái)控制。如校園內(nèi)網(wǎng)、校園外網(wǎng)和Internet之間,利用防火墻進(jìn)行訪問(wèn)控制和內(nèi)容過(guò)濾??捎行У亟鉀Q需求中提到的多種威脅。 

⑶防止內(nèi)外的攻擊威脅。在每個(gè)安全域內(nèi)或多個(gè)安全域之間安裝聯(lián)想入侵檢測(cè)系統(tǒng)(IDS),可有效地防止來(lái)自網(wǎng)絡(luò)內(nèi)外的攻擊。

⑷定期的網(wǎng)絡(luò)安全性檢測(cè)實(shí)現(xiàn)持續(xù)安全。利用漏洞掃描器(Scanner),定期對(duì)系統(tǒng)進(jìn)行安全性評(píng)估,及時(shí)發(fā)現(xiàn)安全隱患并實(shí)施修補(bǔ),可達(dá)到網(wǎng)絡(luò)的相對(duì)持續(xù)安全。

⑸建立網(wǎng)絡(luò)防病毒系統(tǒng)。在校園網(wǎng)中安裝網(wǎng)絡(luò)版的防毒系統(tǒng),集中控制、管理查殺網(wǎng)絡(luò)中服務(wù)器、終端的病毒,保護(hù)全網(wǎng)不被病毒侵害。

4應(yīng)用層安全 
  應(yīng)用層的安全措施主要有以下幾點(diǎn): 

⑴各應(yīng)用系統(tǒng)自身的加固; 

⑵建立身份認(rèn)證系統(tǒng); 

⑶建立安全審計(jì)系統(tǒng); 

⑷建立備份系統(tǒng); 

5管理層安全 
  實(shí)現(xiàn)管理層的安全主要注意以下幾點(diǎn): 

⑴建立安全管理平臺(tái)。主要是指將各種安全系統(tǒng)或設(shè)備集中控管、綜合分析。 

⑵建立、健全安全管理體制。校園網(wǎng)用戶較多,一定要建立一套合理可行的安全管理制度。只有制度和設(shè)備的完美結(jié)合才能真正提高校園網(wǎng)的安全水平。 

⑶提高全員的安全意識(shí)。