信息安全设计方案

《信息安全设计方案》由会员分享，可在线阅读，更多相关《信息安全设计方案（11页珍藏版）》请在装配图网上搜索。

1、设计方案一、立项背景随着高校内各种网络工程的深入实施， 学校教育信息化、校园网络化 已经成为网络时代教育的发展方向。 在当今的互联网环境下，计算机 被攻击、破坏的事件经常发生，我们经常需要面对的信息安全问题有： 黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此，在校园网络建 设中，网络信息安全成为需要特别考虑的问题。1.1、校园网信息系统安全现状校园网信息系统安全现状1、安全意识淡薄校园网 上的接入终端仍存在 用户空口令或简易口 令的终端设备；有些个 人计算机系统漏洞百 出；既不安装防火墙又 不安装（或更新）杀毒 软件；网络IP地址盗 用;专用网与公网混用 等等2、安全体系松散缺乏安 全预警及监

2、控体系， 管理员不能及时发现 网络系统存在的最新 漏洞。3、网络上病毒、攻击泛滥随着校园网络规模 的不断扩大、性能的 不断提高，计算机病 毒的传播途径日益增 多、传播速度越来越 快，造成的影响也就 越来越严重1.2、现有安全技术和需求1 操作系统和应用软件自身的身份认证功能，实现访问限制2. 定期对重要数据进行备份数据备份。3 每台校园网电脑安装有防毒杀毒软件。1. 构建涵盖校园网所有入网设备的病毒立体防御体系。计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒， 通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2. 建立全天候监控的网络信息入侵检测体系在校园

3、网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异 常行为进行监测和报警。3. 建立高效可靠的内网安全管理体系只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安 全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。4. 建立虚拟专用网（VPN）和专用通道使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用 网。经调查，现有校园网络拓扑图如下：InTrnrt、设计方案拓扑图三、设计原则根据防范安全攻击的安全需求、 需要达到的安全目标、对应安全 机制所需的安全服务等因素，参照 SSE-CMM係统安全工程能力成熟 模型”）和ISO17799（信息安全

4、管理标准）等国际标准，综合考虑可实 施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络 安全防范体系在整体设计过程中应遵循以下 9项原则：设计原则1.网络信息安 全的木 桶原则2.网络 信息安 全的整 体性原则3安全性评价 与平衡 原则4.标准化与一 致性原则5.技术与管理 相结合原则6.统筹 规划， 分步实 施原则7.等级性原则8.动态 发展原则9.易操 作性原则32物理层设计物理位置选择物理位置选择1、物理 访问控 制2、防盗 窃和防 破坏3.防雷击4.防火5.防水和防潮6.防静电7. 温湿度控 制8电力 供应9.电磁防护要 求3.3网络层设计331防火墙技术建立在现代通信网络技

5、术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上，它既是一个分离器也是一 个限制器，同时它还是一个分析器，通过设置在异构网络（如可信的校园网与不可信的公共网）之间的一系列部件的组合有效监控内部网 与外层网络之间的信息流动，使得只有经过精心选择的应用协议才能 通过，保证了内网环境的安全，如图所示：的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等 的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审 计.同时利用防火墙的日志记录功能做好备份，提供网络使用情况的统计数据。假定校园网通过Cisco路由器与CERNE相连。校园内的IP地址 范围是确定 的，且有明确

6、的闭和边界。它有一个 C类的IP地址，有 DNS Email, WWWFTP等服务器，可采用以下存取控制策略。对进入CERNE主干网的存取控制校园网有自己IP地址，应禁止IP地址从本校路由器访问CERNET可用下述命令设 置与校园网连接的路由器：Interface E0Decription campusNetIpadd access_list group 20 out!access_list 20 permit ip 2: 对网络中心资源主机的访问控制网络中心的DNS Email, FTP, WW等服务器是重要的资源，要特 别的保护，可对网络中心所在子网禁止 DNS Email，WWWFTP以

7、外 的一切服务。3：对校外非法网址的访问一般情况， 一些传播非法信息的站点主要在校外， 而这些站点的 域名可能是已知 的，这时可通过计费系统获得最新的 IP 访问信息， 利用域名查询或字符匹配等方法确定 来自某个 IP 的访问是非法的。、拓扑结构：3.4、网络层设计网络层设计1防火墙技术2虚拟专网呼NN技术3.身 份 认 证 技 术4加密技术5.物 理 隔 离6. 防 毒 网 关7.网络地址转换技术8代理服务及路由器9.安 全 扫 描10.入 侵 检 测11.12.权 限 控 制13.客 户 端 安 全 防 护14.安全检测3.5传输层安全操作系统是整个园区网系统工作的基础，也是系统安全的基础

8、， 因而必须采取措施保证操作系统平台的安全。 安全措施主要包括：采 用安全性较高的系统，对系统文件加密，操作系统防病毒、系统漏洞 及入侵检测等。传输层安全1.采用安全性 较咼的系统2.加密技术3.病毒的防范4.安全扫描5.入侵检测3.6、应用层安全应用层安全1.蠕虫过滤2.病毒过滤3.垃圾邮件过滤4.内容过滤3.7、管理层安全1.制定一套严谨严格的操作守则。要求网管人员严格按照守 则进行管理工作。2 加强网络管理人员的培训。定期对网管人员进行培训，并 出外考察，多增长与时俱进的网管技术。四、材料清单和工程设计4.1、材料清单项目型号用途数量中心交换机:RG-S6806中心交换机2台防火墙RG-WALL100确保信息安全2台路由器TP-LINK TL-WR841N连接外网1台VPN网 关CyLan SME-500虚拟专用隧道网络集成于防火墙IDS入侵检测一套欢迎您的下载，资料仅供参考!致力为企业和个人提供合同协议， 策划案计划书，学习资料等等打造全网一站式需求