校园网络安全实施方案

发布 2022-06-03 10:26:28 阅读 3188

校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。

一、 网络信息安全系统设计原则。

1.1满足internet分级管理需求

1.2需求、风险、代价平衡的原则

1.3综合性、整体性原则

1.4可用性原则

1.5分步实施原则

目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:

1)大幅度地提高系统的安全性和保密性;

2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;

3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;

4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;

5)安全保密系统具有较好的性能**比,一次性投资,可以长期使用;

6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。

基于上述思想,网络信息安全系统应遵循如下设计原则:

满足因特网的分级管理需求

根据internet网络规模大、用户众多的特点,对internet/intranet信息安全实施分级管理的解决方案,将对它的控制点分为**实施安全管理。

- 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。

- 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。

- 第**:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。

需求、风险、代价平衡的原则

对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。

综合性、整体性原则。

应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。

一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。

即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。

可用性原则

安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。

分步实施原则:分级管理分步实施。

由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。

因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。

二、 网络信息安全系统设计步骤。

网络安全需求分析

确立合理的目标基线和安全策略

明确准备付出的代价

制定可行的技术方案

工程实施方案(产品的选购与定制)

制定配套的法规、条例和管理办法

本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。

三、 网络安全需求

确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:

局域网lan内部的安全问题,包括网段的划分以及vlan的实现

在连接internet时,如何在网络层实现安全性

应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵

如何实现广域网信息传输的安全保密性

加密系统如何布置,包括建立证书管理中心、应用系统集成加密等

如何实现远程访问的安全性

如何评价网络系统的整体安全性

基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如nat)等。

四、 网络安全层次及安全措施

4.1链路安全

4.2网络安全

4.3信息安全

网络的安全层次分为:链路安全、网络安全、信息安全

网络的安全层次及在相应层次上采取的安全措施见下表。

信息安全信息传输安全(动态安全) 数据加密数据完整性鉴别安全管理

信息存储安全(静态安全) 数据库安全终端安全

信息的防泄密信息内容审计

用户鉴别授权(ca)

网络安全访问控制(防火墙) 网络安全检测入侵检测(监控) ipsec(ip安全) 审计分析

链路安全链路加密

4.1链路安全。

链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。

因此,在加密后的数据不需要进行路由交换的情况下,如ddn直通专线用户就可以选择路由加密设备。

一般,线路加密产品主要用于**网、ddn、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于**网,同步线路密码机则可用于许多专线环境。

4.2网络安全。

网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。

目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用**型防火墙,还有一类是复合型防火墙,即包过滤与应用**型防火墙的结合。包过滤防火墙通常基于ip数据包的源或目标ip地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。**型防火墙作用在应用层,一般可以对多种应用协议进行**,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的**程序,并且基于**的防火墙常常会使网络性能明显下降。

应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:vpn功能、计费功能、流量统计与控制功能、监控功能、nat功能等等。

信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决60%-80%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。

信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。

网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。

入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性**流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,自动阻断通信连接或执行用户自定义的安全策略等。

校园网络安全规划方案

校园网络安全规划方案 教育行业专题4 1.校园模拟示意图 如下所示 图 1 1.校园网络安全规划方案 2.校园网关边界安全规划 1.校园网络防毒墙安全应用策略设置,出入站安全规则。首先,确定服务对象 服务端口,应用规则,通信协议,通信端口 数据流向与访问规则,出入站服务。服务对象与端口设置同时,确定...

校园网络安全分析报告

随着我校网络用户的应用增多,网络安全越显重要,近期发现目前防病毒系统基本没有安全级别,根据我们校园网络在其内部网络中防病毒体系所面临的种种困难,下面就校园网络安全通过7个方面,透彻分析以及阐述在实际应用防病毒系统时的具体问题及使用需求 虽然内部网络是用物理方式隔离的,无法连接到外网,且也安装了杀毒软...

网络安全大作业校园网络设计

目。姓名。班级 计算机073 学号 07013663 姓名。班级 计算机073 学号 07013610 姓名。班级 计算机073 题目。姓名。班级 计算机073 学号 07013663 姓名。班级 计算机073 学号 07013610 姓名。班级 计算机073 题目。姓名。班级 计算机073 学号 ...