校园网络安全与管理解决方案Word文件下载.doc
《校园网络安全与管理解决方案Word文件下载.doc》由会员分享,可在线阅读,更多相关《校园网络安全与管理解决方案Word文件下载.doc(20页珍藏版)》请在冰豆网上搜索。
3.2 桌面电脑系统安全方案 8
3.2.1 电脑系统补丁管理工具–SMS2003 9
3.2.2 SMS2003的主要安全管理功能特性 9
3.3 对关键服务器、业务系统的运维管理-MOM2005 10
3.4 加强网络安全防护–ISA2006 11
3.4.1 ISAServer2006的主要功能特性 12
3.4.2 ISAServer2006在校园信息系统中的部署方案 13
3.4.3 ISAServer2006在校园网络安全应用中的优势总结 15
3.5 反垃圾邮件与防病毒–Sybari 15
3.5.1 在校园网络中进行反垃圾邮件和防病毒势在必行 15
3.5.2 微软在实现反垃圾邮件和防病毒的产品概述 16
3.5.3 Sybari软件在防病毒和垃圾邮件中的优势总结 17
4 软件清单 20
-20-
1应用背景
信息安全是所有信息系统建设的重要问题之一。
在校园网建设中,很多校园网由于系统管理不善,安全保障措施不力,病毒通过系统漏洞,邮件等途径在校园网传播和泛滥,导致校园网成为计算机机病毒滋生和泛滥的温床,给校园网信息系统的应用、管理和维护带来巨大的负面影响。
2方案价值
信息安全是微软公司高度重视的领域。
近年来,微软公司在信息安全和系统安全方面投入了大量的人力和物力,开发了活动目录、桌面计算机管理、服务器运维管理和网络安全服务器等一系列信息安全管理的软件技术、产品和工具,并得到广泛的应用,包括:
管理人员数字身份信息的统一用户管理解决方案,对桌面管理的桌面安全管理解决方案,以及对业务应用进行管理的服务器应用管理解决方案。
关于这些产品的详细功能特性、部署方法、应用案例信息,用户可以访问微软的网站获得(
微软提供的校园安全与管理解决方案从整体上,为校园网管理提供了一个全面、立体的防护和管理手段,校园网管理者借助这些操作简单,易学易用的工具,可以确保校园网信息系统安全,稳定和健康的运行,确实保障信息化建设投资发挥其应有的作用。
该方案全方位的从四个方面对整个校园网的安全进行管理和维护:
1.统一用户管理:
对于一般高校来说,校园网中一般已经有很多基于不同平台、不同开发商、在不同时间开发的各个应用系统,形成一个个的“信息孤岛”。
为了解决“信息孤岛”给校园信息化带来的一系列问题,对于用户的统一身份认证和权限管理是一个十分关键的环节。
统一用户管理是指将校园内各种人员在信息系统中的数字身份统一管理起来,实现各应用系统的用户身份信息整合,这是实现用户权限管理,应用集成,单点登录的基础。
2.桌面计算机补丁管理
在校园网中,往往由于没有及时打上补丁或者进行软件升级而形成大量的安全漏洞,病毒或黑客们通过对漏洞的袭击,可以引发大规模的冲击波、震荡波,甚至造成整个校园网络的瘫痪。
所以,微软在校园的安全和管理方案中桌面安全管理的概念,SMS服务器可以实现软件的自动安装与升级。
这样,老师和学生不再需要手工下载补丁或更新软件,SMS服务器可以在自动地为校园内的每一台机器进行软件升级或者安装软件补丁。
于是极大程度上降低了校园网安全隐患出现的概率。
3.服务器运维管理
一般高校中大部分的服务器上都运行着很多关键业务,如邮件系统、数字图书馆系统、一卡通系统等。
这些服务器一旦当机,会给学校正常的教学、工作、生活等带来很不利的影响。
为了保障这些运行关键业务的服务器7*24小时不间断的正常运行,微软安全与管理解决方案提供了一套运营维护系统,它为系统的健康,正常和稳定地运转提供了一个监控,预警和排错的机制,极大程度降低了运营维护的成本、难度,减少了维护人员的人数和时间,提高了工作效率。
4.网络安全管理
校园网给学生和教师的学习和工作带来巨大效益的同时,它带来的一些负面影响也不容忽视。
例如学生在校园网内访问一些包含有害信息(黄色,赌博,涉毒,邪教等)的网站;
用户访问包含病毒等恶意代码的网页导致病毒进入校园网;
垃圾邮件,病毒邮件等通过电子邮件进入校园网,严重影响了校园网的正常运转;
以及学生在校园网内滥用一些聊天软件、BT下载等对网络的不当使用行为。
微软推出了基于ISAServer2004的“绿色校园网”信息过滤系统,实现了网页内容过滤,邮件过滤,应用程序过滤和用户控制等技术手段,有效地防止了上述现象在校园网内的发生,还给校园网一片洁净的天空。
而且ISA的部署非常简单,IT管理员只需在服务器端部署和维护,学校所有的客户端都遵守ISA服务器端所设定的所有规则。
5.防病毒及垃圾邮件
近年来,由于计算机应用的普及以及互联网的广泛应用,高校中计算机病毒呈爆炸性增长,导致了多次病毒爆发,这也反映出目前计算机系统和网络应用中的问题,计算机病毒已经成为全球性的安全问题。
亚洲地区,特别是中国内地地区,由于高校计算机增长较快,而人们的安全意识相对不够高,因此对计算机病毒的防范相对薄弱,也在近年连续爆发病毒疫情,造成了巨大的损失和严重的破坏。
为信息传递和协同环境提供综合、全面的反病毒、内容管理和电子邮件安全解决方案。
Antigen无与伦比的技术使其成为市场上供MicrosoftExchange和LotusDomino,以及WindowsSMTPGateway用户使用的最为可靠、运行最佳的解决方案。
Sybari将Antigen设计为,全面、彻底地明了Exchange和Domino及WindowsSMTP用户的特有问题。
因而,Antigen知晓如何补充信息传递和协同产品的强势,以及保护其安全性弱点。
Antigen的设计,为群件系统信息传递和协同工作系统创造了最佳可能、最全面彻底的保护。
3方案具体规划
3.1统一的用户管理–活动目录与目录整合(AD+MIIS)
在信息与系统安全管理体系中,对于信息和系统用户的身份认证和权限管理是一个非常关键的环节。
对于处于“信息孤岛”状态的信息系统而言,用户的身份认证和权限管理是由各个系统自行管理的。
随着系统数量的增加,用户需要记忆和使用多个系统的用户名和密码,系统管理员也需要管理同一用户在不同系统中的不同用户身份信息。
这种状况往往导致使用、管理、和系统安全方面的许多缺陷和问题。
从系统整体架构角度出发,新一代校园网的安全体系需要建立一个集中、统一、独立于各应用系统之外的用户认证和权限管理机制,以实现安全、高效的用户身份和权限管理。
从实现的技术手段讲,目前使用最多的技术是目录系统(Directory)。
目录系统的实质是一个特殊的数据库,专门用于存放和管理用户认证和权限管理的信息,并允许外部系统通过开放的标准协议(如:
LDAP协议)对目录系统进行操作。
统一的目录系统是新一代校园网的关键基础设施,是实现用户单点登陆到不同应用系统,统一管理用户身份认证和权限管理的基本条件。
由于统一的目录系统涉及整个系统的用户管理和各个应用系统的安全,在建设统一的目录系统是需要由经验丰富的专业技术人员进行仔细规划和设计,以适应校园网建设当前和未来持续发展的需求。
同时,考虑到用户信息存放地方与类型的多样性,如:
有的存放在目录系统中、有的存放在数据库中、有的存放在文件中,必须有一个目录整合服务的产品来实现对不同地方存放的用户数据进行整合,同时提供用户身份信息的同步。
微软为实现统一用户管理提供了活动目录技术与目录整合服务技术(MIIS):
3.1.1活动目录技术(AD)—统一用户管理
微软的WindowsServer2003提供了免费的目录服务产品–活动目录服务(ActiveDirectory–AD)。
负责校园网中系统用户数字身份的认证,网络资源管理,应用程序管理,文件和打印管理以及系统配置管理等,实现单一登录,安全认证、用户授权、系统策略和桌面安全管理等方面的功能需求。
下图显示了校园内统一用户管理的示意图:
图1统一用户管理实现示意图
活动目录在校园信息化系统中的主要功能特性有:
v实现统一的用户身份管理
部署活动目录后,可以将所有用户的身份信息(用户名、密码、数字证书)统一存放、统一管理。
这是实现统一的用户身份认证、“单点登陆”到不同应用系统的基本条件。
用户在使用系统的过程中不需繁复地输入帐号和密码。
而对于安全级别较高的应用,可以利用活动目录内置的对智能卡技术的支持,加强用户登录验证的控制。
v实现统一的用户权限管理
对于简单的应用系统,通常可以使用目录系统进行用户的权限管理。
可以使用活动目录的组策略技术(GroupPolicy)实现不同粒度的用户权限管理,如控制普通用户对桌面系统重要配置参数的修改能力、禁止用户安装不必要的软件等。
一般来说,可以将大量用户封装到一个组中,通过对一个组制定策略来对大量用户集中管理。
一般情况下子容器继承父容器中所有的组策略。
于是可将越普遍的规则设定在越高层的容器中,通过继承的特性让规则作用于之下的所有容器,避免大量规则的重复制定,易于管理。
v实现用户与机器的分离
无论用户在校园网使用的是哪一台机器,只要使用同一个账号登录到域中,用户保存的文档和其他应用环境都不会变化,保证用户的工作可以继续。
并可以按照用户角色(如老师、学生、家长)等对用户的桌面环境进行定制和自动的更新。
一般来说,用户的角色不同,对系统的要求也不一样。
我们需要针对不同用户的需要为他们建立不同的界面风格、安装合适的应用程序;
同时,当用户的身份发生变化(例如,老师的升职或者调动),可以按照用户新的身份来自动的对用户的桌面进行更新。
v统一管理各种系统的基础支撑
目前的主流桌面系统自动安全管理系统都需要目录系统的支持。
部署活动目录是实现桌面系统自动安全管理的基础。
此外,目录系统也是统一管理打印机、文件服务器等网络资源的核心。
v支持开放的目录标准协议-LDAP
微软的活动目录支持开放的目录标准协议-LDAP。
不同的应用系统均可以使用LDAP协议访问活动目录的内容,对活动目录进行操作。
v灵活多样的部署方式
活动目录支持多种部署方式以满足不同需求,如:
集中式部署、分布式部署、多级部署等。
下图2为在一般高校的单域活动目录部署图:
图2统一用户身份和权限管理结构图
微软活动目录是一个有多年历史、相当成熟的技术,在国内外电子政务建设和大量校园的信息与系统安全建设中得到广泛应用,产生了显著的效益。
3.1.2目录整合服务(MIIS)
MicrosoftIdentityIntegrationServer-MIIS是微软推出的用于用户信息整合与密码管理的产品,它采用了目录整合的技术,可以集成目录、数据库、将应用程序、电子邮件及操作系统的用户识别信息合而为一。
还可整合多种储存机制的识别信息、提供单一的管理接口,提高信息人员的生产力、降低管理成本。
在校园目录整合服务中有很大的作用,MIIS具有以下一些功能特性:
v同步不同平台和系统的用户身份信息
能够同步校园内部门多种异构平台的目录以及非目录用户数据库的用户身份信息,让客户跨越异构平台更新用户身份信息的流程自动化,同时保有整个校园内部内部数据的完整性及一致性。
整个校园内部的用户身份数据可自动保持在最新的状态。
v提高用户账户信息的可管理性
可以在不同系统及平台之间方便地设置或删除使用者账户及身份信息,如分布区域、电子邮件及安全性群组等账户。
例如,当人力资源部门设置新的或删除用
升级会员 