|
|
|
|
|
|
|
|
|
|
|
|
校園網安全設計方案 | |
| |
一、 校園網網絡結構和應用系統概述 校園網信息系統是校園網的數字神經中樞,合理的使用不僅能促進各院校的現代化教學改革、提高教學質量、改善教學環境,同時通過各院校之間的互聯互通,將會極大的提高教育行業整體的工作效率和教育質量。 校園網總體上分爲校園內網和校園外網。校園內網主要包括教學局域網、圖書館局域網、辦公自動化局域網等。校園外網主要指學校提供對外服務的服務器羣、與CERNET的接入以及遠程移動辦公用戶的接入等。 教學局域網是教學人員利用計算機開展教學和學生通過計算機來學習的網絡平臺;圖書館局域網實現了圖書館的網絡化管理以及圖書的網上檢索或瀏覽;辦公自動化局域網是教職員工自動化辦公的平臺,可以在此平臺上開展公文管理、會議管理、檔案管理以及個人辦公管理等。實現包括教學管理、科研管理、學員管理、資產管理、人事管理、黨務管理、財務管理、後勤管理等應用,形成院校的綜合管理信息系統; 校園外網的服務器羣構成了校園網的服務系統,一般包括DNS、WEB、FTP、PROXY以及MAIL服務等。外部網實現了校園網與CERNET及INTERNET的基礎接入,使院校教職工和學生能使用電子郵件和瀏覽器等應用方式,在教學、科研和管理工作中利用國內和國際網進行信息交流和共享。 二、 校園網安全威脅分析 校園網內的用戶數量較大,局域網絡數目較多,認真分析可以總結出校園網面臨着如下的安全威脅: 1) 各種操作系統以及應用系統自身的漏洞帶來的安全威脅; 2) Internet網絡用戶對校園網存在非法訪問或惡意***的威脅; 3) 來自校園網內外的各種病毒的威脅,外部用戶可能通過郵件以及文件傳輸等將病毒帶入校園內網。內部教職工以及學生可能由於使用盜版介質將病毒帶入校園內網; 4) 內部用戶對Internet的非法訪問威脅,如瀏覽黃色、暴力、反動等網站,以及由於下載文件可能將***、蠕蟲、病毒等程序帶入校園內網; 5) 內外網惡意用戶可能利用利用一些工具對網絡及服務器發起DOS/DDOS***,導致網絡及服務不可用; 6) 校園網內的學生羣體是主要的OICQ用戶,目前針對OICQ的***程序隨處可見; 7) 可能會因爲校園網內管理人員以及全體師生的安全意識不強、管理制度不健全,帶來校園網的威脅; 三、 校園網安全方案設計 上述分析的幾點是當今校園網普遍面臨的安全隱患。特別是近年來,隨着學生宿舍、教職工家屬等接入校園網後,網絡規模急劇增大。同時,校園網絡的應用水平也在不斷提高。規模的壯大和運用水平的提高就決定了校園網面臨的隱患也相應加劇。下圖是比較普遍的校園網拓撲結構。基於此圖,我們從物理、系統、網絡、應用及管理五個層次分析和設計適合於校園網的安全建議方案。 | |
| |
1. 物理層安全 物理層的安全主要包括環境、設備及線路的安全。系統中心或機房的建設應遵照:GB50173-93《電子計算機機房設計規範》、GB2887-89《計算機站場地安全要求》及GB2887-89《計算機站場地技術條件》的要求。在設備集中的管理間安裝干擾器防止由於設備輻射造成的信息泄漏。同時,要注意保護線路的安全,防止用戶的搭線竊聽行爲。 2. 系統安全 系統層主要解決的是由於各種操作系統、數據庫、及相關產品的安全漏洞和病毒造成的威脅。解決的技術手段主要有以下幾種: 3. 網絡層安全 校園網中局域網數目較多,根據需要多個網絡可能要互相聯接。正是這種多網的互聯,使我們對網絡層的安全要極度重視。定義一個網絡或各網絡內不同安全等級的部分爲不同的安全域。安全域之間的連接處叫網絡邊界。下面主要討論以下幾方面的網絡層安全防護: 1) 劃分安全子網。如果同一局域網內有不同等級的安全域,可以通過劃分子網及VLAN的方法加以訪問控制。如在教學局域網中學生機房和多媒體機房之間可以通過劃分子網來控制,不允許學生機房的機器訪問多媒體機房的機器。 2) 加強網絡邊界的訪問控制。安全等級差別較大的邊界需要採用防火牆來控制。如校園內網、校園外網和Internet之間,利用防火牆進行訪問控制和內容過濾。可有效地解決需求中提到的多種威脅。 3) 防止內外的***威脅。在每個安全域內或多個安全域之間安裝***檢測系統(IDS),可有效地防止來自網絡內外的***。 4) 定期的網絡安全性檢測實現持續安全。利用漏洞掃描器(Scanner),定期對系統進行安全性評估,及時發現安全隱患並實施修補,可達到網絡的相對持續安全。 5) 建立網絡防病毒系統。在校園網中安裝網絡版的防毒系統,集中控制、管理查殺網絡中服務器、終端的病毒,保護全網不被病毒侵害。 4. 應用層安全 應用層的安全措施主要有以下幾點: 5. 管理層安全 實現管理層的安全主要注意以下幾點: |