清华中学网络安全改造规划方案v(编辑修改稿)

清华中学网络安全改造规划方案v(编辑修改稿)内容摘要：

次添加，布线混乱 . 网络存在问题 对于一套对网络可靠性、安全性要求较高的学校网络系统，存在以下安全问题：  没有通过划分 vlan 对关键应用（如服务器群）或关键终端进行二层隔离，使整个网络 良好运行受到广播风暴、 ARP 病毒的威胁；  网络防火墙（包括【学生区】与【教师区】）部署于 2020 年 ，根据测试，设备已经超负荷运行、功能相对简单，不能满足保护整个网络安全需要；  网络结构需要优化：当前网络没有主干链路、 vlan 的概念，给网络管理、网络排错、网络维护带来极大的困扰；  在攻击、网络病毒、蠕虫等网络威胁日益严重的今天，整个网络缺乏入侵防御、网络防毒体系，使得整个网络极易受到来自互联网的威胁；  服务器群没有进行重点保护 ：服务器群可能遭受外部或者内部的攻击威胁；  网络流量没有良好的控制手段，互联网资源不能得到合理分配；  机房布线不规范，不仅影响美观，更重要是严重影响故障查找与管理； 2. 本次建议 规划原 则 . 需求、风险、代价平衡的原则 无论对于任何形式的信息系统，绝对的信息安全都是难以达到的，而且在一定程度上也是没有必要的。 对于一个具体的信息系统进行实际的调查研究（包括目标目的、阶段任务、性能、架构、可靠性、可维护性等），并对该系统面临的威胁及可能承担的安全风险进行定性与定量相结合的分析，然后制定满足实际需清华中学网络安全改造 规划 方案 重庆 天融信 第 6 页 求的规范和措施，确定符合实际信息系统风险成本花费的安全策略。 . 综合性、整体性原则 应用系统工程的观点、方法，分析网络的安全及具体措施。 安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、 维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。 一个较好的安全措施往往是多种方法适当综合的应用结果。 一个计算机网络，包括个人、设备、软件、数据等。 这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。 即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 . 一致性原则 一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相 一致。 安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。 . 易操作性原则 安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。 其次，措施的采用不能影响系统的正常运行。 . 分步实施原则 由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。 一劳永逸地解决网络安全问题是不现实的。 同时由于实施信息安全措施需相当的费用支出。 因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。 清华中学网络安全改造 规划 方案 重庆 天融信 第 7 页 . 多重保护原则 任何安全措施都不是绝对安全的，都可能被攻破。 但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 . 可评价性原则 如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。 . 可扩展性原则 由于网络安全是动态的，虽然现在的方案解决了目前安全，但是随着时间的变化，原有的网络安全解决方案可能满足不了其需求，这时就需要对原有的网络解方案进行升级，所以现有的网络解决方案应该是具有可扩展性。 . 先进性原则 采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系，使新建立的系统能够最大限度地适应今后的业务发展变化需要。 . 管理为本原则 安全技术是静态，而解决网络信息安全却是一个动态的过程，只有好的安全管理才能保证安全技术得到正确、合理和及时的使 用。 三分技术，七分管理就是这样来的。 . 合理规划、分步实施原则 一个完整的网络。