校园信息安全解决方案.docx

1、校园信息安全解决方案校园信息安全解决方案班级：学号：姓名：校园信息安全解决方案一、简介1、学校简介xxxx大学（Taiyuan University of Science and Technology），位于xxxxxxx。xxxxxx大学是一所以工为主，装备制造主流学科特色鲜明，理、工、经、管、文、法、哲学、教育和艺术学九大学科门类相互支撑，博士、硕士、学士多层次教育合理衔接的教学研究型大学，是我国重大技术装备领域重要的人才培养和科学研究基地。学校创建于xxxx年，历经xxx等时期，200x年经教育部批准定名为xxxxx。2、校园网络简介随着科技的不断进步，信息网络在中国科研领域的深入发展，

2、校园网信息化建设也日趋完善。教育的观念也得到了极大地拓展，面对全球性的信息技术发展环境，中国的教育行业一直在加强教育信息化建设的步伐，目前教育信息系统已由基础网络建设向内容建设迈进，教学、管理、增值、合作等越来越多的应用在教育网络上运行。快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。通过信息网络，人们学习的兴趣、效率、及能动性得到了空前的提高；远程教育、多媒体教学，计算机教学软件、虚拟大学等应运而生；全球性学术交流、合作研究空前繁荣；信息生产、传播和应用日新月异。现代教育科学、心理科学和信息科

3、学技术的相互渗透，已成为教育改革和发展的强大动力。传统的教育模式面临挑战，不仅培养学生具备读和写的能力，更要求具备迅速的选择和筛选信息、准确地鉴别信息的真伪、创造性地加工和处理信息的能力。随着信息系统的广泛使用，信息的安全、可靠、服务的连续运行变得越来越重要，任何的停机会让我们无所适从，迫使我们不得不考虑信息系统的整体安全性建设，因此有效的预防网络病毒、黑客、蠕虫等攻击造成的网络效率下降、数据泄密、及业务停顿；并提供人为错误、硬件故障、其它灾难后信息系统的快速恢复是至关重要的。二、网络需求安全分析教育行业是应用计算机技术和网络技术的先锋，随着教育信息化的迅猛发展，教育局、教育服务部门、学校等不

4、断增加基于Internet/Intranet的业务系统，如：电子政务系统、网上申报系统、网上审批系统、OA系统、考试系统、资源系统、电子图书系统、学籍管理系统等，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，分别从以下三个方面予以分析：1、由于教育信息化经历了长达20年的建设过程，各业务系统技术不同、来源不同，针对相同的用户群，存在以下的问题：（1）每个系统都有各自的身份认证系统和入口，造成了资源浪费；（2）多个身份认证系统增加了系统管理成本，并增加出现信息安全事故的可能；（3）用户需要记忆多个账户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨；（4）多个身份

5、认证系统，使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化；（5）多个日志，无法统一分析用户的应用行为；（6）对新部署的业务系统缺少身份认证、权限管理和日志系统的接口标准；2、现有的教育信息平台和业务系统，缺乏全面的信息安全保障，存在以下问题：（1）信息采集过程，无法完全确定数据来源真实身份，可能遭遇黑客和破坏分子假冒提交，缺少签名的数据，无法进行错误跟踪和责任追究；（2）信息交换和存储过程，可能出现偷窥、窃取和篡改；（3）信息使用和业务行为，可能出现非法使用、错误操作和事后抵赖；3、教育行业不断提高的信息安全需求和成本控制的矛盾是另一个不容忽视的问题。（1

6、）新技术不断涌现并使用，应用系统越来越复杂，隐蔽的安全漏洞可能更多，要求信息安全系统越来越庞大；（2）病毒制造者、网络黑客和情报间谍分子的技术也在不断提高，要求信息安全技术越来越先进；（3）用户越来越依赖信息技术工作，一旦出现信息安全事故，将产生无法估量的损失，有必要建设一个信息安全保障体系。三、网络体系架构根据校园网地理分布及需求，总结校园网信息结构的特点，主要有以下几个方面：1、校园信息网具备完善、层次化的网络汇结结构，有统一的教育网出口。2、校园信息网内建立了一系列重要的应用系统，负责高校日常的信息管理工作，如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。数字图书馆是高校的另一

7、个重要系统，它包括门户系统、网上借阅、音像资料管理、TRS 检索，期刊管理等等。3、校园网的另一个重要网络是学校科研及中重点试验室网络。尤其是在国家一些重点院校，这部分网络往往都承担了国家级的课题项目，里面涉及到的信息级别较高。4、随着信息化程度的深入，校园内学生宿舍区的终端数量日益膨胀。与此同时，教工家属区的PC 也通过校园网的网络资源连入CERNET。对于这两类终端，他们的特点是数量庞大，占用带宽较高且不易管理。图1：校园信息网体系架构四、网络安全体系结构综合以上校园网结构特点，其存在以下安全风险和其脆弱性：1、校园信息网平台比较开放，终端数量庞大，非常容易受到来自CERNET本身的安全威

8、胁。此外，校园网终端没有统一的管理，每台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响校园网络的正常使用。2、学生是CERNET 上重要使用者，对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用。这些行为除了会影响校园信息管理系统的正常运行，同时还对那些重要服务器的安全造成了威胁。3、学校的重点科研试验室承担了大量的学术研究和试验项目，在研究过程中的数据需要采取严格的安全保护措施。必须要对该网段的访问进行严格的监控和控制措施，以保障其信息的完整性。4、校园网的管理结构相对复杂，没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻

9、击等紧急情况，没有相应的处理流程。而且，如果只是通过被动的事后响应，学校投入的IT 资源回报无法最大化，总是在事倍功半的恶性循环之中。通过上述总结分析可以看出，校园网的安全防护必须是多层次的，全方位的。它主要包括：校园网出口统一威胁控制校园网内部安全监控和防御校园网内部重要服务器、应用防护（邮件）校园网内部终端安全防护图2：校园网信息安全管理体系4.1校园网出口统一威胁控制赛门铁克网关安全Symantec Gateway Security（以下简称SGS）是新一代的统一威胁管理设备。它采用了多种先进的安全技术，对进、出校园网的数据包进行检查、处理和控制。它可以满足校园网抵御混合型威胁的需要。在

10、部署时，SGS 可以根据学校的实际需要启用不同的安全功能模块：IPS/IDS、防病毒、防垃圾邮件，内容过滤、VPN 等。在校园网出口的地方，我们还可以利用SGS 建立出DMZ 区域，放入一些对应的服务器，如WEB服务器，EMAIL 服务器等。为了避免校园出口的单点故障，可以部署两台或多台SGS 设备。这些设备可以同时执行负载均衡和高可用性责任。SGS 在校园网的部署如下图所示：4.2校园网内部安全攻击监控和防御SNS可以监控整个校园网络的通信信息，不需要另外安装任何代理程序，对网络结构的影响也几乎没有。对于SNS的网络监控模式，可以采用IPS/IDS部署模式。SNS 7100 IPS 模式可以

11、支持多个in-line pair(内嵌对)，同时支持报警和拦截模式。校园网管理员可以使用SNS 的“单键防御”技术在这两种模式间切换。从而可以采用不同的安全策略应对变化的网络。报警模式：SNS串接在网络上，发现可疑行为后发出报警通知管理员，不拦截会话。图4：SNS报警模式示意图拦截模式：SNS直接串接在网络上，发现恶意攻击、非法请求，立即拦截。图5：SNS 拦截模式示意图五、安全产品选型 核心交换机WS-C4507R-ECat4500 E-Series 6-Slot Chassis, fan, no ps（机箱）WS-X45-SUP6L-ECatalyst 4500 E-Series Sup

12、6-E Lite, 2x10GE(X2) w/ Twin Gig（引擎）PWR-C45-1000ACCatalyst 4500 1000W AC Power Supply (Data Only) （电源）CAB-AC16A-CH16A AC Power Cord For China（电源线）S45EIPBK9-12253SGCisco CAT4500E IOS IP BASE SSH（IOS）WS-X4506-GB-TCatalyst 4500 6-Port 10/100/1000 PoE or SFP (Optional)（板卡）汇聚交换机WS-C3750G-48TS-SCatalyst 3

13、750 48 10/100/1000T + 4 SFP + IPB Image接入层交换机WS-C2960-48TT-SCatalyst29604810/100+21000BTLANLiteImageWS-C2960-24TC-SCatalyst29602410/100+2T/SFPLANLiteImage安全设备ASA5520-BUN-K9ASA5520AppliancewithSW,HA,4GE+1FE,3DES/AES六、安全策略制定采用系统工程学的方法，把网络安全的整体解决方案实施体系视为一个系统工程，把网络安全系统工程中的产品、工具和信息等要素归纳为解决网络安全问题所需要的知识库，这

14、些是网络安全产品提供商的焦点；把解决网络安全问题所需要的措施划分为若干个逻辑上紧密相连的步骤，这些是网络安全服务商需要提供的内容；在企业具体应用和需求的指导下，服务商综合运用当前最新的产品和工具组成的知识库，科学地采取检测-优化-部署-测试-培训等手段，把产品和服务交织优化，可以把当前系统的安全状态提升到当前网络安全技术所能够达到的相对理想的水平，即趋近100%的安全状态（99.99.%），在此基础上，为防止随着时间的推移，系统安全性不断降低，根据校园网络的特点，设计建立起一整套安全管理机制，另外还包括知识库的升级更新（以保障最新的安全漏洞可以及时被发现）、跟踪审计、定期培训和事件响应等一系列

15、机制，使上面产品和服务交织形成的安全状态在一定时间内得到保持。这些内容，则是网络安全顾问的业务。根据这样的理论体系，结合当前网络安全市场现状，整个网络安全体系的实现，需要网络安全产品提供商、网络安全服务提供商和网络安全专业顾问组合在一起来完成。服务如下图所示：七、产品配置1系统安全配置操作系统的安全与否，直接关系着网络的安全，如果没有高安全性的操作系统任何建筑在其之上的应用和安全技术都相当于在沙滩上建立豪华宫殿，一击即跨。我公司根据不同操作系统的特点从安全的角度上提供安全配置的建议和方法，这些安全配置的方法是我公司技术人员在多年的网络安全实践和网络安全专家的指导性意见下总结出来的，它具有用本身

16、的系统功能来实现网络安全的基本功能。服务方式服务内容具体内容系统安全配置根据用户的应用需求和系统的功能进行系统安全配置Win2000,Winnt,Linux,Unix Cisco 路由设备随着用户系统的更改和设备的变更，提出合理化的配置方法Win2000,Winnt,Linux,Unix Cisco 路由设备2、安全策略的制定我们为了提供完善的安全服务，除了公司技术骨干组成的安全策略制定小组外，我们还专门组成了由国内著名的安全专家和政府测评人员组成的安全顾问组对客户的整体安全策略进行制定。同时，我们根据客户网络应用和结构的变化适时的对安全策略进行修改，保证客户有一套完善的安全策略。服务方式服务

17、内容具体内容安全策略的定制安全技术防火墙策略定制、入侵监测策略的定制、漏洞扫描策略的定制安全管理信息安全总则、信息安全人员组织管理规章、信息安全现状评估和需求分析、信息安全管理规程、信息安全评估规程、信息安全实施和管理规程、信息安全检查执行规程、信息安全紧急响应与数据恢复规程八、总结所谓安全的网络是相对的，随着校园网络拓扑的改变和黑客攻击手段的变化，原来安全的网络也会变得不安全，网络安全建设是一个长期投入的过程，是一个不断完善各种规章制度和加强管理的过程。因此，根据校园现在的实际需要和安全级别，来规划校园网络安全措施和方法，采取循序渐进的态度是可取的。所以前期可以考虑采取防火墙、防病毒、漏洞扫描和入侵检测四种方法，来提高校园网络的安全水平，其他方法随着以后发展灵活采用，也就是说：总体规划、分布实施。校园安全水平的提高，首先是在校相关人员安全防护意识的提高，因此，加强管理老师和同学的网络安全的知识水平和提供必要的培训是尤为重要的，在这方面的投入是值得的。安全工作是一项任重而道远的工作。校园网系统整体安全的实现，并不是通过安装一些产品就可以简单实现，事实上再好的安全产品，如果没有良好的安全策略和管理手段做基础，安全同样是难以实现的。