校园网网络安全解决方案

校园网网络安全解决方案内容摘要：

全问题，并制定具体措施。 一个较好的安全措施往往是多种方法适当综合的应用结果。 一个计算机网络包括个人、设备、软件、数据等环节。 它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 （ 3）一致性原则 ： 这主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安 n 12 全体系结构必须与网络的安全需求相一致。 实际上，在网络建设之初就考虑网络安全对策，比等网络建设好后再考虑，不但容易，而且花费也少 （ 4）易操作性原则 ： 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。 其次，采用的措施不能影响系统正常运行。 （ 5）适应性、灵活性原则 安全措 施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改，为网络今后的发展留有足够的空间。 （ 6）多重保护原则 任何安全保护措施都不是绝对安全的，都可能被攻破。 但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 总体解决方案拓扑图 n 13 天阗 探测引擎天阗 入侵检测控制中心天 镜漏洞扫描系统天恒安防控制中心天恒安防控制中心 １、 在 成都信息工程学院 校园网 中心安装一套天阗入侵检测系统。 防止内外网黑客的入侵。 说明：按实际网络结构决定配置天阗的数量，相应的在后面天阗的安装位置也要做修改。 主要是对服务器群、重要网段进行防护。 ２、 在 成都信息工程学院 校园网 中心安装一套天镜漏洞扫描系统，进行全网的漏洞扫描和分析。 ３、 安装天 恒 防病毒控制中心，并在各客户端安装防病毒软件， 包括工作站、文件服 务器、邮件服务器等， 进行网络防病毒的控制。 系统描述 根据安全的五层次理论，可以将 成都信息工程学院 校园网 的网络安全划分为几个子系统，各子系统大致归类如下： n 14 物理层：设备安全子系统、通讯链路安全子系统、物理环境安全子系统 系统层：防病毒子系统、安全配置子系统 网络层：防黑客子系统、 应用层： 电子邮件系统、系统平台、文件系统以及其它应用系统 管理层：安全 管理体系 我们将根据 成都信息工程学院 校园网 的具体网络情况在第 5 章进行详细设计说明． 5 成都信息工程学院 校园网 网络安全详细设计 设计说明 本解决方案由于从安全的五个层次完整地、全方位地对 成都信息工程学院 校园网 的网络及应用情况进行分析，所以制订的解决方案基本囊括了对所有安全隐患的考虑，不光可以从广度上对网络安全做一个宏观调控，而且对单个的安全环节同样具有相当深度的指导作用。 具体可以归纳成以下几个特点： 全面性 以安全的五层次理论模型为基础，从五个层次出发，分别对每个安全层次就 成都信息工程学院 校园网 的实际网络情 况进行风险点分析，再从每一个层次中分离出若干子系统，完整地将 成都信息工程学院 校园网 的总体安全都考虑在内，最大限度地保证了全面性。 专业性 解决方案所涉及的所有网络安全的概念、系统定义、产品称谓，以及所有有关的安全标准，均符合目前国内、国际有关网络安全的专业规范，确保本方案的技术深度和专业性。 可实施性 每一个子系统在设计的时候都考虑到如何配备和集成现有的安全产品，把可实施性作为子系统设计的一个首要原则，做到方案认可后可以立即投入实施阶段，避免了理论与实施脱节的问题。 n 15 易用性 本解决方案在选择产品 时的一个重要前提，就是产品功能灵活、界面友好，可以使用户在短时间内经过培训上手使用，可以方便地进行维护，尽量体贴用户 可扩展性 随着 成都信息工程学院 校园网 信息化程度的不断提高，其网络结构和应用结构也会日趋复杂，这样，在制订本解决方案时我们尽量为以后的网络扩展预留空间，大部分子系统的细节都可以以更换同类高档次的产品、或进行拓扑扩充来进行功能的扩展 物理子系统 通讯链路安全子系统 成都信息工程学院 校园网 的网络系统内部链路、网络系统与外部网络连接的链路必须保证安全、可靠。 体现在： ● 通信线路的可靠性要求。 包括缺 少线路备份、没有网管监控软件、传输介质落后、线路之间的连接不可靠、线路质量不可靠等问题。 线路原因可能导致传输中断。 ● 如果通信线路的带宽相对比较窄，使得网络在遭受拒绝服务攻击或 flood 攻击时成为瓶颈，甚至在正常交易请求过多时即造成网络拥塞，从而导致正常服务困难甚至中止。 设备安全子系统 整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问被保护的计算机、路由器或交换机等。 体现在： ● 物理设备的存放位置安全性。 ● 关键设备的可靠性、备份。 物理环境安全子系统 物理环境安全管理是整个网络系统安全管理的重要 环节。 物理环境是网络系统的物质基 n 16 础，其安全与否直接关系到网络系统的安全。 因此要高度重视物理环境安全管理。 ● 防灾害、防干扰能力； ● 设备环境的温度、湿度、烟尘； ● 不间断电源保障。 防黑客子系统 简介 我们采用入侵检测系统作为 成都信息工程学院 校园网 的防黑客子系统。 入侵检测是通过软件或硬件来自动、实时、职能化地监视网络运行的安全情况，从计算机网络系统中的若干关键点收集信息，并分析这些信息，发现可疑或攻击行为，并及时和作出响应，如中断连接、记录事件和报警等。 在 成都信息工程学院 校园网 入侵检测系统配置中，我们采用启明星 辰公司的“天阗” 网络入侵 检测 系统，对网络进行实时监控与阻断响应，它集成了在线网络入侵监测、入侵即时处理、离线入侵分析、入侵侦测查询、报告生成等多项功能的分布式计算机安全系统，不仅能即时监控网络资源运行状况，为网络管理员及时提供网络入侵预警和防范解决方案，还使得对于检查黑客入侵，变得有迹可寻，为用户采取进一步行动提供了强有力的技术支持，大大加强了对恶意黑客的威慑力量。 通过使用入侵检测系统，我们可以做到： 对 成都信息工程学院 校园网 网络边界点的数据进行监测，防止黑客的入侵。 对 成都信息工程学院 校园网 核心 业务服务器的数据流量进行监测，防止入侵者的蓄意破坏和篡改。 监视 成都信息工程学院 校园网 内部用户和系统的运行状况，查找非法用户和合法用户的越权操作。 对用户的非正常活动进行统计分析，发现入侵行为的规律。 n 17 实时对检测到的入侵行为进行报警、阻断，能够与防火墙联动。 对关键正常事件及异常行为记录日志，进行审计跟踪管理。 实施说明 在 成都信息工程学院 校园网 中天阗系统主要放置在中心服务器区域，入侵检测区域一方面主要负责异地远程接入的黑客入侵检测，这一区域的特点是带宽不高，但是外部专网入侵的主要途径，入 侵检测区域另一方面主要负责服务器的入侵检测预警。 我们先将连入系统的主要以太网线路接入 中心交换机 ， 在交换机配置镜像口，镜像服务器群的所有端口，并将天阗探测引擎拉入此镜像口。 天阗系统网络应用结构图如下： 图中在防火墙后面 的核心交换机 设置黑客入侵监测探测引擎（硬件固化），对 校园网内服 天阗入侵检测系统控制中心 天阗探测引擎 n 18 务器群进行实时监测 、访问 成都信息工程学院 校园网 内网 数据包 监控、 成都信息工程学院 校园网 外网与 Inter 的网站连接链路和与 Inter 的连接链路进行流量监控，防止入 侵者的攻击。 并在网落设置一台天阗控制中心对系统中的探测引擎进行控制和安全报警。 通过使用天阗可以容易的完成对以下的攻击识别： 网络信息收集 、 网络服务缺陷攻击、Dosamp。 Ddos 攻击、缓冲区溢出攻击、 Web攻击、后门攻击等。 产品特点： 1． 灵活的配置管理界面 2． 内置了多种预定义策略，并允许用户添加修改策略 3． 多种攻击响应方式，同防火墙进行联合行动，阻断任何非法连接 4． 开放式事件特征库，任何人都可以自行定义和添加特征事件 5． 报表分析系统，可对日志进行事后二次分析 6． 网络流量分析，可以帮助分析网络故障 7． 提供固化版本的网络探测器 ，即插即用，方便安装 防病毒子系统 简介 成都信息工程学院 校园网 网络系统采用网络版的防病毒系统很有必要，尤其是对使用众多邮件服务器和 web 服务器 的院校 ，网络版杀毒软件可根据具体情况， 涉及网络内的所有单机、服务器和客户端工作站，要求实现多操作系统平台上的防护，保证数据信息在通过包括磁盘、可移动硬盘、光盘、调制解调器、电子邮件和互联网等入口传输或复制时免除病毒的恶意入侵。 目前主要受到病毒威胁的因素有： 1） 用户可以直接访问服务器，增加了病毒扩散的范围。 n 19 2） 内部用户文件共享病毒扩散。 3） Inter 下载或电子邮 件病毒入侵。 4） Inter 针对 WEB 浏览器的恶意控件。 在 成都信息工程学院 校园 网络系统防病毒措施主要包括技术和管理方面，技术上可在服务器中安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力，防止病毒在整个网络内部进行扩散。 在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器。 管理上应制定一整套有关的规章制度，如：不许使用来历不明的软件或盗版软件，软盘使用前要首先进行消毒等。 只有提高了工作人员的安全意识，并自觉遵守有关规定，才能从根本上防止病毒对网络信息系统的 危害。 具体可通过以下几方面来实现： （ 1）制订防病毒制度、措施和病毒侵害的应急计划《计算机防范病毒制度、措施、与应急计划》。 （ 2）网络防病毒体系 为了使 成都信息工程学院 校园 网络系统中的各节点的主要系统免受病毒侵害，保证网络系统中信息的可用性，必须构建一个从主机到服务器的完善的防病毒体系， 我们采用启明星辰公司的天 恒 安防网络防病毒系统作为 成都信息工程学院 校园网 的病毒防护产品。 天 恒 安防网络防病毒系统是启明星辰公司与芬兰 FSecure 公司携手推出的国产化防病毒产品，其基于策略集中管理的方式和世界一流的病毒检 测和清除能力，使得移动、分布式的企业级病毒防护不再困难。 而且天 恒 安防提供了病毒定义的实时自动更新功能，使得用户无需担心由于忘记更新病毒而引发病毒事件的问题。 实施说明 根据 成都信息工程学院 校园网 网络系统现状，我们建议在 成都信息工程学院 校园网内 统 n 20 一安装天 恒 网络版防病毒软件，在 文件 服务器、 邮件 服务器到客户端的范围内，实行网络化集中管理。 这样一来我们可以建造一个集中控制、多重防护的 立体 防病毒 体系。 具体如图所示： 集中控制 是指 管理员通过一个控制中 心管理全校园网内所有天恒安防防病毒产品。 多重防护 是指从网络中心到各部门层层设防，防止病毒的传播和扩散。 整个系统的防病毒安全设计分三部分： 一、 针对服务器的网络防毒系统。 二、 针对普通 PC 机的网络防毒系统。 保证普通用户的 PC 机不受病毒侵害。 三、 针对邮件服务器服务器 安装邮件 防病毒系统，保证邮件系统不受病毒入侵。 四、 设置管理员 PC 对整个网络防病毒系统进行统一的管理和维护。 天恒安防控制中心 n 21 首先，在 Client/Server 的网络系统结构中，服务器作为网络的核心，为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机。 所 以应重点加强对服务器进行保护，安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力。 其次，在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器。 最后针对邮件服务器的保护，安装邮件服务器防病毒客户端，这样，由单机防毒到网络防毒到邮件服务器，再加上防病毒制度与措施，就构成了一套完整的防病毒体系。 该方案在病毒防护方面，在所有的服务器、工作站以及电子邮件服务器上安装天 恒 安防防病毒软件， 可实现 对磁 盘、可移动磁盘、光盘以及网络所收发文件和电子邮件的附件进行防护。 同时还可实现以下功能： 集中安装、统一策略配置，分组管理 通过一个管理员控制中心，可以管理校园网内所有天恒安防防病毒产品。 控制中心可以以行政级别划 分组。 针对不同部门实际情况，分组设置防病毒 策略。 另外，工作站可以通过控制中心统一安装，并能自动将报警信息及病毒报告上传到管理服务器内，通过控制中心界面显示。 统一的自动升级 在 网络中心 建立防病毒系统的升级服务器，对所有的防病毒软件进行升级。 管理员可在预定的时间自动或手动启动下载最新的升级文件，经测试无 误后，通过 网络中心 系统的管理服务器即可自动分发到各部门的管理服务器上，随后网络中所有安装了天 恒 安防的计算机从各自所在的管理服务器上收到升级文件，并完成自身的升级。 病毒事件报警，应急响应，综合日志分析，疫情通报。 当检测到病毒时，天 恒 安防会采取措施防止病毒的进一步传播，并将有关信息通知个人或着本地和上级的管理员，以便做出应对措施。 同时将出现问题的计算。