校园网安全整体解决方案.ppt

1、校园网络安全整体解决方案XXX 信息安全公司议题议题l l校园网目前的安全问题l l校园网安全整体解决方案l l安全服务体系第一篇第一篇校园网目前的安全问题校园网目前的安全问题理想的网络安全体系理想的网络安全体系安全管理安全管理安全评估安全评估安全策略安全策略应用数据安全应用数据安全 应用平台的安全性应用平台的安全性操作系统平台的安全性操作系统平台的安全性网络安全网络安全数据链路安全数据链路安全物理安全物理安全典型校园网络拓扑图典型校园网络拓扑图远程连接安全边界的确认安全边界的确认本部校区本部校区数据中心数据中心教育网教育网InternetInternet分校区分校区安全边界产生存在的问题存在

2、的问题l l安全意识不足几乎没有进行过安全策略规划l l导致后果安全意识的缺乏，导致了安全建设的全面缺位。各类安全隐患逐日积累，终将千里之堤，毁于蚁穴安全策略安全策略存在的问题存在的问题l l物理安全建设物理安全建设物理安全是信息系统本身存在的前提。但物理安全是信息系统本身存在的前提。但许多学校的物理安全建设程度严重不足许多学校的物理安全建设程度严重不足l l导致后果导致后果设备损坏、数据丢失设备损坏、数据丢失信息系统完全瘫痪信息系统完全瘫痪物理安全物理安全存在的问题存在的问题l l对网络运维管理不足对网络运维管理不足各学校基本没有统一的网络管理手段各学校基本没有统一的网络管理手段l l导致后

3、果导致后果无法对网络的运行情况实时把握无法对网络的运行情况实时把握不能对设备故障环节及时判断并响应不能对设备故障环节及时判断并响应数据链路安全数据链路安全存在的问题存在的问题l l对外部边界的入侵防护不足对外部边界的入侵防护不足许多学校并未考虑在网络出口设立入许多学校并未考虑在网络出口设立入侵防护机制侵防护机制l l导致后果导致后果无法对内部及外部的访问进行分类访无法对内部及外部的访问进行分类访问控制问控制无法针对入侵进行过滤、报警、响应无法针对入侵进行过滤、报警、响应无法有限度地将特定部分有选择地向无法有限度地将特定部分有选择地向外开放外开放网络安全网络安全存在的问题存在的问题l l对外部边

4、界的恶性数据防范不足对外部边界的恶性数据防范不足没有针对病毒、木马、蠕虫、恶性邮没有针对病毒、木马、蠕虫、恶性邮件在网络边界部署任何防护措施件在网络边界部署任何防护措施l l导致后果导致后果无法抑制无法抑制InternetInternet病毒进入校园网病毒进入校园网无法针对外部邮件进行筛选过滤无法针对外部邮件进行筛选过滤网络安全网络安全存在的问题存在的问题l l对核心资源的保护不足对核心资源的保护不足服务器群是学校核心数据所在，但是，大服务器群是学校核心数据所在，但是，大多数学校几乎没有任何防护机制多数学校几乎没有任何防护机制l l导致后果导致后果WEBWEB被篡改被篡改数据库被入侵数据库被入

5、侵题库、课件库泄露题库、课件库泄露网络安全网络安全存在的问题存在的问题l l对部门信息资源的保护不足对部门信息资源的保护不足各院系、图书馆具备独立而彼此关联的各院系、图书馆具备独立而彼此关联的信息系统，对于这些数据资源，目前同信息系统，对于这些数据资源，目前同样几乎没有任何防护措施样几乎没有任何防护措施l l导致后果导致后果电子图书馆业务中断、数据库被删除电子图书馆业务中断、数据库被删除各院系数据档案被窃取、删除各院系数据档案被窃取、删除网络安全网络安全存在的问题存在的问题l l对系统漏洞的检测不足对系统漏洞的检测不足目前几乎没有一所学校配备了专门的漏目前几乎没有一所学校配备了专门的漏洞检查工

6、具或引入相关检测服务洞检查工具或引入相关检测服务l l导致后果导致后果系统漏洞无法被发现系统漏洞无法被发现入侵者利用系统漏洞进行攻击破坏入侵者利用系统漏洞进行攻击破坏安全评估安全评估存在的问题存在的问题l l对系统漏洞的修复不足对系统漏洞的修复不足即使能发现系统漏洞，但管理员缺乏面向即使能发现系统漏洞，但管理员缺乏面向整个网络的漏洞机制，无法保证将校园网整个网络的漏洞机制，无法保证将校园网内每台计算机的系统漏洞弥补完毕内每台计算机的系统漏洞弥补完毕l l导致后果导致后果系统漏洞无法被统一修复系统漏洞无法被统一修复大量的个人升级行为造成了带宽的浪费大量的个人升级行为造成了带宽的浪费操作系统平台的

7、安全性操作系统平台的安全性存在的问题存在的问题l l对校园网病毒的防护不足对校园网病毒的防护不足病毒是日常网络应用中最直接出现的问病毒是日常网络应用中最直接出现的问题。但是目前真正将网络版防病毒软件题。但是目前真正将网络版防病毒软件部署到位的学校寥寥无几部署到位的学校寥寥无几l l导致后果导致后果难以保障系统能免疫于病毒难以保障系统能免疫于病毒难以彻底清除全网病毒难以彻底清除全网病毒应用平台的安全性应用平台的安全性存在的问题存在的问题l l对应用系统安全考虑不足对应用系统安全考虑不足各学校使用的系统在开发时往往未考虑各学校使用的系统在开发时往往未考虑系统本身的安全性，也对应用系统与其系统本身的

8、安全性，也对应用系统与其数据库间的通信安全考虑不足数据库间的通信安全考虑不足l l导致后果导致后果攻击者直接利用系统漏洞或后门进入系攻击者直接利用系统漏洞或后门进入系统统攻击者以系统合法用户身份，篡改应用攻击者以系统合法用户身份，篡改应用系统数据库内容系统数据库内容应用平台的安全性应用平台的安全性存在的问题存在的问题l l数据的安全存储备份数据的安全存储备份数据的安全存储和可靠备份，是安全体系数据的安全存储和可靠备份，是安全体系存在的前提。如果数据本身的安全存在都存在的前提。如果数据本身的安全存在都不能保障，那么一切信息系统和安全系统不能保障，那么一切信息系统和安全系统建设将失去意义。建设将失

9、去意义。目前，许多学校并未建立起完善的整体存目前，许多学校并未建立起完善的整体存储备份架构体系。储备份架构体系。l l导致后果导致后果数据完全丢失数据完全丢失信息系统瘫痪信息系统瘫痪应用数据安全应用数据安全 存在的问题存在的问题l l对用户网络行为的基本认证缺乏对用户网络行为的基本认证缺乏大多数学校未采取相应措施对用户实大多数学校未采取相应措施对用户实名认证名认证l l导致后果导致后果无法将网络行为与真实个人对应无法将网络行为与真实个人对应安全管理安全管理存在的问题存在的问题l l对用户网络行为的审计不足对用户网络行为的审计不足各学校几乎没有针对反动、色情、敏感各学校几乎没有针对反动、色情、敏

10、感的网络行为部署专门的审计工具的网络行为部署专门的审计工具l l导致后果导致后果无法对各类信息的始作俑者进行追踪无法对各类信息的始作俑者进行追踪无法对网络的使用情况进行监控、掌握无法对网络的使用情况进行监控、掌握安全管理安全管理存在的问题存在的问题l l针对网络安全的行政制度不足针对网络安全的行政制度不足目前各院校制订的计算机相关制度，很目前各院校制订的计算机相关制度，很少细化到网络安全层面少细化到网络安全层面l l导致后果导致后果无法让安全技术配套落实无法让安全技术配套落实埋藏了许多管理上的安全隐患埋藏了许多管理上的安全隐患安全管理安全管理存在的问题存在的问题l l缺乏网络安全事件的应急响应

11、机制缺乏网络安全事件的应急响应机制目前各学校基本没有一套全面的应急响应目前各学校基本没有一套全面的应急响应预案预案l l导致后果导致后果无法尽快恢复网络系统的正常运行无法尽快恢复网络系统的正常运行无法找出安全事件的原因并进行弥补无法找出安全事件的原因并进行弥补安全管理安全管理安全隐患汇总安全隐患汇总类别子项内容及相应安全策略安全策略规划几乎从来没有规划过整体安全策略物理安全设备安全不安全的物理环境导致设备损坏、数据丢失数据链路安全网络管理无法对网络流量、使用状态、网络设备工作状态等进行统一管理网络安全边界恶性数据防护对internet病毒及各类邮件过滤缺乏相关措施Internet访问控制没有边

12、界访问控制机制，无法对各类访问进行规则设置服务器群安全防护没有针对服务器群等核心资源进行访问控制内部边界安全防护没有针对图书馆、各院系等部门重要资源进行安全防护安全评估漏洞检测没有健全的系统漏洞检测机制操作系统平台安全漏洞修复没有统一的漏洞修复机制应用系统平台安全病毒防护尚未建立统一的网络防病毒机制应用系统自身安全因设计缺乏安全考虑，导致应用系统安全性低下，同时应用系统的数据都来自数据库，有可能因应用系统安全问题，导致数据库被篡改应用数据安全数据存储备份数据丢失，无法恢复安全管理网络登录认证用户使用网络不经登录，无法将网络行为与个人对应网络安全审计无法纪录用户在网络上的行为安全管理制度目前缺乏

13、与网络安全相关的制度应急响应缺乏应急响应处理预案，无法挽回损失，追查原因第二篇第二篇校园网安全整体解决方案校园网安全整体解决方案三零盛安安全体系三零盛安安全体系整体整体安全体系安全体系安全管理安全管理安全评估安全评估安全策略安全策略应用数据安全应用数据安全 应用平台的安全性应用平台的安全性操作系统平台的安全性操作系统平台的安全性网络安全网络安全数据链路安全数据链路安全物理安全物理安全校园网络安全模型设计校园网络安全模型设计全网安全策略设计全网安全策略设计保护网络及基础措施的运行安全保护网络及基础措施的运行安全保护边界保护边界/外部连接的安全外部连接的安全保护服务器群及重要系统的安全保护服务器群

14、及重要系统的安全加强系统安全管理及审计加强系统安全管理及审计建立系统应急响应机制建立系统应急响应机制安全策略安全策略物理安全建设规划物理安全建设规划人员进出：中控式门禁系统人员进出：中控式门禁系统火灾防护：七弗丙烷气体灭火设备火灾防护：七弗丙烷气体灭火设备湿度温度：机房专用空气调节设备湿度温度：机房专用空气调节设备静电防护：防静电防护静电防护：防静电防护雷击防护：专业防雷工程雷击防护：专业防雷工程设备防盗：红外报警设备设备防盗：红外报警设备物理安全物理安全部署一套全面的网络管理系统，从以下几个方面进行系统管理：系统拓扑自动发现、生成、管理系统拓扑自动发现、生成、管理网络总体流量使用分析网络总体

15、流量使用分析网络关键节点流量统计网络关键节点流量统计远程远程SNMPSNMP管理控制管理控制网络故障管理网络故障管理网络管理建设规划网络管理建设规划数据链路安全数据链路安全系统拓扑自动发现、生成、管理网络管理建设规划网络管理建设规划数据链路安全数据链路安全网络总体流量分析管理网络管理建设规划网络管理建设规划数据链路安全数据链路安全远程设备端口管理网络管理建设规划网络管理建设规划数据链路安全数据链路安全网络故障管理网络管理建设规划网络管理建设规划数据链路安全数据链路安全在网络边界部署防火墙及入侵检测，在网络边界部署防火墙及入侵检测，部署规则如下所示：部署规则如下所示：边界防火墙分为四个端口边界防

16、火墙分为四个端口A A端口：只对内部开放端口：只对内部开放B B端口：只对外部开放端口：只对外部开放C C端口：端口：DMZDMZ区区D D端口：受控区域端口：受控区域防火墙与入侵检测联动防火墙与入侵检测联动外部边界防护建设外部边界防护建设网络安全网络安全外部边界防护建设外部边界防护建设网络安全网络安全IDS和防火墙联动示意图和防火墙联动示意图 Firewall FirewallServersDMZDMZIDS AgentIntranetIntranetIDS Agent监控中心监控中心router攻击者攻击者攻击者攻击者发现攻击发现攻击发现攻击发现攻击发现攻击发现攻击报警报警报警报警采用病毒网关在Internet边界进行病毒、病毒邮件、垃圾邮件、非法邮件的过滤。Internet边界恶性数据防范边界恶性数据防范网络安全网络安全 Internet边界恶性数据防范边界恶性数据防范网络安全网络安全对核心服务器群部署一台防火墙和一台对核心服务器群部署一台防火墙和一台入侵检测系统，按照以下规则配置：入侵检测系统，按照以下规则配置：特定服务器（如学籍、学分管理系统）只允许特特定服务器（如学籍、学分