.信息安全技术课程设计题目：高校系统安全设计专业： 网络工程 姓名： 魏奎，王凌云 班级： 1305021 学号： 28，33 指导老师: 宋车梅老师 高校是我省省属重点大学。该校拥有已开通信息点 1 万多个，上网电脑一万多台，校园网师生用户群多达2 万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。 高校的网络结构分为核心、汇聚和接入 3 个层次，网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构，可以通过 ChinaNet，也可以通过CERNET 进入互联网。学校有16 个C 的教育网IP 地址和8 个ChinaNet 的IP 地址。校园网资源建设成效显著，现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习平台，图书馆丰富的电子图书资源，教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网，为广大师生提供了良好的资源服务。二、 网络安全需求分析将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地减少损失。 在工作站、服务器上安装相应的防病毒软件，由中央控制台统一控制和管理，实现全网统一防病毒。 通过对校园网网络结构、应用及安全威胁分析，可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：1. 公开服务器的安全保护2. 防止黑客从外部攻击3. 入侵检测与监控4. 信息审计与记录5. 病毒防护6. 数据安全保护7. 数据备份与恢复8. 网络的安全管理针对校内网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：1.大幅度地提高系统的安全性（重点是可用性和可控性）；2.保持网络原有的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5.安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；6.安全产品具有合法性，及经过国家有关管理部门的认可或认证；7.分布实施。三、 网络体系架构要建立一套全面的信息安全系统，就要从自身的应用状况分析，分析可能存在安全漏洞，从重要性、紧迫性出发，逐一提供建设参考。1.区分内外网，加强内部网络的安全防护：找到网络的对外接口（互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络），在对外网络的接口处安装防火墙系统，通过防火墙实现内外网的隔离，保证内部网络的安全。通过防火墙实现访问控制，控制内部用户的上网行为；通过防火墙验证访问内部的用户身份、访问权限等；通过入侵防护检测访问者的访问行为；因为数据在网络上的传输都是明文的，为了保证数据传输的安全性须对数据进行加密，可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。目前，大部分防火墙的功能差异并不太大，性能成为选择防火墙的主要指标，市场上的防火墙根据架构的不同，可分为三大类：ASIC芯片、NP架构、传统的86架构，ASIC芯片级的防火墙把大部分处理通过芯片来完成，不再占用CPU资源，具有更好的处理性能。2.建立多层次、全方面的防病毒系统1) 根据病毒寄存的环境，在所有服务器和客户机上安装网络版防毒系统2) 根据病毒传播的途径，在网关处安装网关防毒网关，在浏览网页、下载资料、收发邮件时进行有效的病毒防护3) 在内部交换层，通过硬件的网络防毒墙对网络中的数据包进行检测，有效的进行网络层病毒、蠕虫、恶意攻击行为的防护，保护内部网络的稳定与畅通。3.加强核心网络、核心应用的安全防护核心网络、服务器群是一个网络的中心部分，应更加注重安全的防范，为了防止来自外部和内部的攻击，应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护；对操作系统及应用系统的漏洞及时的安装补丁；为防止核心系统的运行出现固障，应对核心系统所在的网络线路进行冗余设计，并对交换机、路由器设备进行双路冗余。同时，把安装重要应用系统的服务器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份。对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护。4.加强数据备份数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成，但是，磁盘阵列的稳定性是不能保证的。一般情况，可以通过磁带机对磁盘阵列的数据进行再次备份；也可以通过另一台磁盘阵列进行数据的相互备份。通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份，并提供相应用恢复方案。5.加强应用系统的安全防护对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤。对于应用系统必须加强用户身份认证，通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现，也可以通过专业的身份认证系统，考虑到终端用户对帐号、密码的管理能力较差，建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。6.加强网络管理信息系统的安全只靠以上的安全设备是不能解决问题的，三分技术七分管理，必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成，使信息系统管理人员对信息系统的运行状况一目了然。网络管理系统应该具备和实现：1) 获取全网拓扑结构图，在网络线路、基础联接层面了解网络系统的运行状况。2) 监控路由器、交换机、防火墙等网络设备的运行情况，监测控制网络流量，及时提供报警，并能方便的对网络设备进行系统配置和管理。3) 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等，及时提供报警，并能方便的对主机设备进行配置和管理。4) 监控应用系统的运行状况，对用户进行访问控制、记录访问及操作日志。5) 管理网络中的所有终端设资源，方便进行远程的管理和操作控制。6) 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网行为等操作行为。7) 实现系统补丁管理、补丁分发，对操作系统、应用系统进行及时的补丁更新。8) 限制不安全的设备的接入。以上为网络管理系统所须具备的功能，缺一不可，建议在选择产品时，作为重要的参考依据。7.漏洞扫描、安全评估仅管如上所述，我们己经采取了众多的安全措施，但是，我们的信息系统是一个不断建设完善的系统，在系统的不断建设过程，仍然会出现一些新的安全漏洞，安全系统的是否部署到位，我们的信息系统是否仍然存在安全隐患，作为信息系统的管理人员仍然需要进行定期的安全检查。漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具，我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端进行全面的检测，通过模拟黑客的进攻方法，对被检系统进行攻击性的安全漏洞和隐患扫描，提交风险评估报告，并提供相应的整改措施。找出网络中存在的漏洞，防患于未然。8.安全管理及培训1) 制定并实施信息安全制度2) 加强网络安全意识的教育和培养3) 加强网络安全知识的培训4) 定期进行终端安全产品的应用操作指导四、 网络安全体系架构1.2. 操作系统安全配置与测试 应用服务器（WWW）安全配置 操作系统采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。可以通过IP地址和域名限制，创建虚拟文件目录，更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。3. 防病毒体系设计防病毒系统不仅是检测和清除病毒，还应加强对病毒的防护工作，在网络中不仅要部署被动防御体系（防病毒系统）还要采用主动防御机制（防火墙、安全策略、漏洞修复等），将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统，保证不出现防病毒漏洞。因此，远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。在跨区域的广域网内，要保证整个广域网安全无毒，首先要保证每一个局域网的安全无毒。也就是说，一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求，建立局域网防病毒控制系统，分别设置有针对性的防病毒策略。从总部到分支机构，由上到下，各个局域网的防病毒系统相结合，最终形成一个立体的、完整的病毒防护体系。4. 防火墙设计、配置与测试网络建成后，为保证整个网络正常地运行、防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要。主要表现在以下几方面：身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。网络安全是有层次的，在不同层次，安全的着重点也不同，大致归纳起来可将网络安全划分成两个层次：网络层安全和应用层安全。因此，此次设计选用iscosecurePI防火墙。CiscoSecurePI防火墙是Cisco防火墙家族中的专用防火墙设施，是防火墙市场中的领先产品，CiscoSecurePI防火墙可提供强大的安全，且不影响网络性能。它可提供全面的防火墙保护，对外部世界完全隐藏了内部网体系结构。通过CiscoSecurePI防火墙可以建立使用标准的虚拟专网VPN连接。CiscoSecurePI防火墙加强了内部网、外部网链路和Internet之间的安全访问。五、 安全产品选型1.产品选型该校园网现行核心区选用锐捷核心交换机RG-S5750S系列，24端口10/100/1000M自适应端口（支持PoE远程供电），12个复用的SFP接口，2个扩展槽。支持4K个802.1Q VLAN、支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。防火墙采用深信服M5400VPN防火墙。2个LAN口，4个WAN口，2个串口 。IPSec VPN隧道数：5200 条/并发SSL用户数：800 /每秒新建用户数：80 /每秒新建会话数：500/最大并发会话数目：600,000 。接入层采用H3C S1048交换机，提供48个符合IEEE802.3u标准的10/100M自适应以太网接口，所有端口均支持全线速无阻塞交换以及端口自动翻转功能，外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3标准； 提供48个10/100M自适应以太网端口； 每个端口都支持Auto-MDI/MDI功能； 每个端口都提供Speed和Link/Act指示灯，显示端口的工作状态。2.网络拓扑图六、 安全策略制定1.操作系统安全配置与应用服务器（WWW）安全配置操作系统采用server 03，并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下