智慧校园网络安全解决方案

《智慧校园网络安全解决方案》由会员分享，可在线阅读，更多相关《智慧校园网络安全解决方案（7页珍藏版）》请在装配图网上搜索。

1、智慧校园网络安全解决方案网络安全是一个系统工程，不是单一的产品或技术可以完全解决的。这是因 为网络安全包含多个层面，既有层次上的划分、结构上的划分，也有防范目标上 的差别。在层次上涉及到网络层的安全、传输层的安全、应用层的安全等；在结 构上，不同节点考虑的安全是不同的；在目标上，有些系统专注于防范破坏性的 攻击，有些系统是用来检查系统的安全漏洞，有些系统用来增强基本的安全环节 （如审计），有些系统解决信息的加密、认证问题，有些系统考虑的是防病毒的 问题。任何一个产品不可能解决全部层面的问题，这与系统的复杂程度、运行的 位置和层次都有很大关系，因而一个完整的安全体系应该是一个由具有分布性的 多种

2、安全技术或产品构成的复杂系统，既有技术的因素，也包含人的因素。基于我们对于以上对安全知识和安全模型的理解和分析，对于学校来说，建 立一个完整的校园网络安全体系，需要使用安全厂商提供的成熟的安全产品和技 术。因此，我们从以下几个方面制定了一个一揽子的校园网络安全解决方案。 1. 安全性考虑要素根据智慧化校园网的实际应用场景不同，可以从以下几个层面进行安全考 虑：1）物理层安全主要包括三个方面：环境安全、设备安全、线路安全。为了将不同密级的网 络隔离开，采用隔离技术将外网和内部保护网两个网络在物理上隔离同时保证在 逻辑上两个网络能够连通。将可信网和不可信网要物理隔断，可信网络上的计算 机不能访问不

3、可信网络。两个网络能够有选择的交换数据，好像它们直接相连一 样。2）网络层安全解决网络层安全的总体思路是业务隔离、分层实施、重点保护核心设备。通 过定制设备安全策略、部署防火墙和 IDS 系统、部署网管系统和日志系统、日常 维护流程保证等措施来保障网络层的安全。（1）在多个网络层面（外网、停火区和内部保护网）之间均设置防火墙， 需要实施相应的安全策略控制，并采用安全检测手段防范非法用户的主动入侵。 同时，网络系统的重要主机或服务器的地址使用Internet保留地址，并有统一 的地址和域名分配办法，这样一方面解决合法IP不足的问题，另一方面，利用 Internet无法对保留地址进行路由的特点，杜

4、绝与Internet直接互连。-采用的防火墙产品具有以下功能：-基于状态检测的分组过滤-多级的立体访问控制机制-面向对象的管理机制-持多种连接方式，透明、路由支持 OSPF、IPX、NETBEUI、SNMP 等协议-具有双向的地址转换能力-透明应用代理功能-一次性口令认证机制-带宽管理能力-内置了一定的入侵检测功能或能够与入侵检测设备联动-远程管理能力-灵活的审计、日志功能（2）部署基于网络、实时的入侵检测系统实时监控网络关键路径的信息， 全面侦听网上信息流、动态监视网络上流过的所有数据包，通过检测和实时分析， 及时甚至提前发现非法或异常行为，并进行响应。通过采取告警、阻断（如发送 TCP R

5、eset 报文等）、与其他网络设备联动等事件响应方式，以最快的速度阻止 入侵事件的发生。（3）系统网络结构采用双网双平面，避免单点故障，每台服务器都有同时 连接到两台主干网络交换机上，实现网络路由的备份，这样，在一条网路出现故 障的情况下，整个网络系统仍然可以正常运行，有力地保证了系统的安全性和可 靠性。2）系统层安全从物理安全、登录安全、用户安全、文件系统、数据安全、各应用系统安全 等方面制定强化安全的措施。Unix （或Unix Like）平台具有良好的稳定性和病 毒免疫力，系统关键节点如校园各应用系统服务器、数据中心、财务系统等等采 用Unix (或Unix Like)操作系统，其他采用

6、Windows环境的服务器安装防病毒 软件，预防病毒和恶意攻击。3) 应用层安全 主要通过分权分域管理、加强操作系统自身安全、双机集群、用户数据加密 存储、接口数据加密传输等方式。(1) 分权分域：对中心和虚拟中心操作员分权分域管理，涉及操作员的角 色(权限)设置、地区设置和可管理数据类别设置。(2) 操作系统自身安全：加强操作系统用户管理、关闭不常用的端口和服 务、及时安装操作系统补丁。(3) 双机集群：系统中的核心服务器等采用双机群集技术，可以保证当任 何一台主机出现故障的时候，另一台主机可以接替援用，将原来运行在该主机上 的应用软件包接管过来，从而确保对用户的不间断服务。同时中心服务器上

7、的硬 盘都应支持热插拔，当出现故障时，可以在不断电、不停机的情况下替换这些部 件。从而保证局部的故障不会影响整个系统的运行，同时也方便系统的维护。(4) 用户数据加密存储：任何系统维护人员都不能直接看到用户数据。而 只能的得到系统的统计结果。同时对用户关键数据，如密码等采用不可逆的加密 算法如 MD5 进行加密存储。(5) 接口数据加密传输：在和其他外部系统接口交换数据过程中，接口数 据采加密算法进行加密传输。经过上述几个方面的防范，对于病毒、恶意程序、Hacker入侵完全可以避 免，能够保证系统的安全。当然完善的维护制度是保证上述策略能够很好贯彻的 保证，因此需要制定完善的机房维护制度，每天

8、检查防火墙、防病毒软件、操作 系统、数据库的日志，及时发现问题，从而针对问题及时解决。新增的安全组件主要包含二大部分：(1) 应用于被监控局域网络包括基于网络的入侵检测系统、安全扫描系统。(2) 应用于被监控局域网络与广域网络之间 主要是指防火墙，还可以有针对于防火墙的入侵检测系统。2.主要安全手段1）双层防火墙为了更好的保护学校智慧化校园中需要访问外网的服务器以及内部网络的安全，系统建议采用双层防火墙机制，如下图所示：双层防火墙组网方案在外部防火墙和内部防火墙之间称为停火区，提供外部网络访问的服务器就 位于这个区域，表明即使攻击者通过外部防火墙进入这个区域，也无法攻入内部 网络。双层防火墙通

9、过设置了两层防火墙，使得内部网络更为安全。外层防火墙 实现包过滤功能，然而却允许外部网络访问其中的服务器，如管理平台门户服务 器、查询网关、防病毒服务器等；内部防火墙允许最中间的内部网络可以访问外 部网络。基于高安全性考虑，校园网内部系统WEB Server与Internet之间采用双层 防火墙技术，将WEB Server放在防火墙的DMZ （停火区），即WEB Server与内、 外网之间均设置防火墙，建议这两个防火墙采用不同厂商的防火墙。WEB服务器在一定程度上和应用服务器交互获取系统业务数据及业务逻辑， 而WEB服务器是对公网服务的，那么应用服务器很可能成为系统的一个安全薄弱 环节，外网

10、的攻击就有可能通过应用服务器进入核心数据系统。因此，内网和应 用服务器之间的交互在一定程度上必须考虑访问权限和安全性问题。防火墙的每个端口都有不同的安全级别，低安全级别端口和高安全级别端口 之间只能容许单向访问，低安全级别端口要主动访问高安全级别端口是需要单独 授权的。而且协议端口号也可以根据协议的需要来动态开放使用。防火墙同时也具有解决公网最为猖獗的DDOS （分布式拒绝服务）攻击的能 力。2 ）病毒防杀策略针对病毒的特点，需制定了完善的病毒防杀策略。对于病毒的入侵，防范是 关键，要做到很好的防范，需要从下面几个方面入手：（1）操作系统操作系统的安全是整个防病毒的关键，每个操作系统都存在安全

11、的漏洞，为 了最大限度的防止操作系统的漏洞，就需要即使安装最新的操作系统的补丁，将 漏洞的危险降到最低。另外操作系统的用户和密码也是操作系统容易出问题的部分，为了避免由于 用户和密码的原因，需要尽量减少系统的用户，将不需要的用户和密码删除，并 且密码长度要求8 位以上，密码的组成为数字、字母、特殊字符的组合，避免密 码被攻破。（2）网络网络的安全是保证系统安全的基本，现在很多病毒、木马、蠕虫都是通过网 络来传播，因此网络的安全就额外重要。网络完全的保证主要由双层防火墙来保 证将内网和外网分离，将不需要开放给公网的设备都放在内网，将需要开放的设 备放置在DMZ区，这样的结构能够很好的防止网络的攻

12、击。另外系统和外网之间 的链接也都需要架设防火墙，这样能够防止一个网络出问题不会影响其他网络的 安全，在防火墙上不开放不必要的端口和协议，严格设置防火墙的访问策略能够 很好的保证网络的安全。（3）数据库数据库的安全也是系统安全的重要的一环，数据库是整个系统的核心，数据 的安全是数据库安全的根本。数据库的安全的保证需要及时的安装数据库的补 丁，严格控制数据库的用户和密码，以及各个用户的权限。（4）专业的防病毒软件安装专业的防病毒软件是系统安全不可缺少的部分，专业的防病毒软件能够 有效的制止病毒的攻击和破坏，是系统安全的最后的一环。要保证防病毒软件能 够有效的防止病毒的入侵就需要及时更新病毒库，定

13、期对系统做全面的病毒扫 描，及时发现并消灭病毒。建议设置为每天自动更新病毒库，以及每周对系统做全面的病毒扫描。经过上述的4个方面的防范，对于病毒入侵完全可以避免，保证系统的安全。 当然完善的维护制度是保证上述策略能够很好贯彻的保证，因此需要制定完善的 机房维护制度，每天检查防火墙、防病毒软件、操作系统、数据库的日志，及时 发现问题，从而针对问题及时解决。3 ）部署IDS系统 对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的 软件与硬件的组合便是入侵检测系统（IntrusionDetection System

14、,简称IDS）。入侵检测系统的主要功能有：1）监测并分析用户和系统的活动；2）核查系统配置和漏洞；3）评估系统关键资源和数据文件的完整性；4）识别已知的攻击行为；5）统计分析异常行为；6）操作系统日志管理，并识别违反安全策略的用户活动。可以采用CA等厂商的入侵检测产品，如CA eTrust Int rusion De tec tion 等。下面根据学校智慧化校园中应用系统的重要程度，分别给出安全配置解决方 案建议。4 ）上网行为管理（1）防止带宽资源滥用 上网行为管理通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用

15、的带宽，保障OA、ERP等办公应用获得足够的带宽支持，提升上网速度和网络办 公应用的使用效率。（2）记录上网轨迹满足法规要求 上网行为管理可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。（3）管控外发信息，降低泄密风险 上网行为管理充分考虑网络使用中的主动泄密、被动泄密行为，从事前防范、 事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，降低网络风 险。（4）为网络管理与优化提供决策依据 上网行为管理提供了丰富的网络可视化报表，能够提供详细报告让管理者清 晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，

16、从而 对精细化管理网络并持续加以优化提供了有效依据。（5）防止病毒木马等网络风险 利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封 堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网 络准入、DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保 组织安全上网。5）VPN 认证（1）移动办公通过VPN使笔记本、桌面PC、智能手机、PDA等移动终端设备实现安全、 便捷的远程接入内网。（2）内网分区逻辑隔离保护 通过细致的权限划分、多种认证安全机制、客户端安全检查等多项技术为您实现安全、可靠、低成本、灵活度高的网络逻辑隔离方案。（3）关键业务信息系统安全加固 提供完整的关键业务信息系统安全加固方案，提供完整的身份认证机制及访问过程保护，并具有专利技术主从帐号绑定指定用户的应用访问帐号，杜绝帐号 冒用及越权访问。（4）防范WLAN非法访问提供安全的WLAN接入方案，通过SSLVPN进行WLAN接入的统一认证，严格 控制访问用户，防止信息泄漏，保护应用安全。