校园网络安全解决方案引言：校园网网络是一个分层次的拓扑 结构，因此网络的安全防护也需采用分层次的 拓扑防护措施。即一个完整的校园网网络信息 安全解决方案应该覆盖网络的各个层次，并且 与安全管理相结合。校园网络安全解决方案一、网络信息安全系统设计原则o1.满足Internet分级管理需求o2.需求、风险、代价平衡的原则o3.综合性、整体性原则o4.可用性原则o5.分步实施原则校园网络安全解决方案目前，对于新建网络及已投入运行的网络，必须尽快解 决网络的安全保密问题，设计时应遵循如下思想： o大幅度地提高系统的安全性和保密性；o保持网络原有的性能特点，即对网络的协议和传输具有很好的 透明性；o易于操作、维护，并便于自动化管理，而不增加或少增加附加 操作；o尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；o安全保密系统具有较好的性能价格比，一次性投资，可以长期 使用；o安全与密码产品具有合法性，并便于安全管理单位与密码管理 单位的检查与监督。校园网络安全解决方案o基于上述思想，网络信息安全系统应遵循如下设计原则：o满足因特网的分级管理需求根据Internet网络规模大、用户 众多的特点，对Internet/Intranet信息安全实施分级管理的 解决方案，将对它的控制点分为三级实施安全管理。o第一级：中心级网络，主要实现内外网隔离；内外网用户的访 问控制；内部网的监控；内部网传输数据的备份与稽查。o第二级：部门级，主要实现内部网与外部网用户的访问控制； 同级部门间的访问控制；部门网内部的安全审计。o第三级：终端/个人用户级，实现部门网内部主机的访问控制 ；数据库及终端信息资源的安全保护。校园网络安全解决方案o需求、风险、代价平衡的原则对任一网络 ，绝对安全难以达到，也不一定是必要的 。对一个网络进行实际额研究(包括任务、 性能、结构、可靠性、可维护性等)，并对 网络面临的威胁及可能承担的风险进行定 性与定量相结合的分析，然后制定规范和 措施，确定本系统的安全策略。校园网络安全解决方案o综合性、整体性原则应用系统工程的观点、方法 ，分析网络的安全及具体措施。安全措施主要包 括：行政法律手段、各种管理制度(人员审查、工 作流程、维护保障制度等)以及专业措施(识别技 术、存取控制、密码、低辐射、容错、防病毒、 采用高安全产品等)。一个较好的安全措施往往是 多种方法适当综合的应用结果。一个计算机网络 ，包括个人、设备、软件、数据等。这些环节在 网络中的地位和影响作用，也只有从系统综合整 体的角度去看待、分析，才能取得有效、可行的 措施。即计算机网络安全应遵循整体安全性原则 ，根据规定的安全策略制定出合理的网络安全体 系结构。校园网络安全解决方案o可用性原则安全措施需要人为去完成，如果措施 过于复杂，要求过高，本身就降低了安全性，如 密钥管理就有类似的问题。其次，措施的采用不 能影响系统的正常运行，如不采用或少采用极大 地降低运行速度的密码算法。o分步实施原则：分级管理分步实施由于网络系统 及其应用扩展范围广阔，随着网络规模的扩大及 应用的增加，网络脆弱性也会不断增加。一劳永 逸地解决网络安全问题是不现实的。同时由于实 施信息安全措施需相当的费用支出。因此分步实 施，即可满足网络系统及信息安全的基本需求， 亦可节省费用开支。 校园网络安全解决方案校园网络安全解决方案二、网络信息安全系统设计步骤o1.网络安全需求分析o2.确立合理的目标基线和安全策略o3.明确准备付出的代价o4.制定可行的技术方案o5.工程实施方案(产品的选购与定制)o6.制定配套的法规、条例和管理办法o本方案主要从网络安全需求上进行分析，并基于 网络层次结构，提出不同层次与安全强度的校园 网网络信息安全解决方案。校园网络安全解决方案o三、网络安全需求o确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安 全需求的基础。一般来讲，校园网网络信息系统需要解决如下安全 问题：o局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现o在连接Internet时，如何在网络层实现安全性o应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的 入侵o如何实现广域网信息传输的安全保密性o加密系统如何布置，包括建立证书管理中心、应用系统集成加密等o如何实现远程访问的安全性o如何评价网络系统的整体安全性o基于这些安全问题的提出，网络信息系统一般应包括如下安全机制 ：访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内 部信息(如NAT)等。校园网络安全解决方案o四、网络安全层次及安全措施o信息安全网络的安全层次分为:链路安全、网络安 全、信息安全网络的安全层次及在相应层次上采 取的安全措施见下表。o信息安全信息传输安全(动态安全)数据加密数据 完整性鉴别安全管理信息存储安全(静态安全)数 据库安全终端安全信息的防泄密信息内容审计用 户鉴别授权(CA)o网络安全访问控制(防火墙)网络安全检测入侵检 测(监控) IPSEC(IP安全)审计分析链路安全链路 加密校园网络安全解决方案o1.链路安全o链路安全保护措施主要是链路加密设备，如各种 链路加密机。它对所有用户数据一起加密，用户 数据通过通信线路送到另一节点后立即解密。加 密后的数据不能进行路由交换。因此，在加密后 的数据不需要进行路由交换的情况下，如DDN直 通专线用户就可以选择路由加密设备。o一般，线路加密产品主要用于电话网、DDN、专 线、卫星点对点通信环境，它包括异步线路密码 机和同步线路密码机。异步线路密码机主要用于 电话网，同步线路密码机则可用于许多专线环境 。校园网络安全解决方案o2.网络安全o网络的安全问题主要是由网络的开放性、无边界 性、自由性造成的，所以我们考虑校园网信息网 络的安全首先应该考虑把被保护的网络由开放的 、无边界的网络环境中独立出来，成为可管理、 可控制的安全的内部网络。也只有做到这一点， 实现信息网络的安全才有可能，而最基本的分隔 手段就是防火墙。利用防火墙，可以实现内部网( 信任网络)与外部不可信任网络(如因特网)之间或 是内部网不同网络安全域的隔离与访问控制，保 证网络系统及网络服务的可用性。校园网络安全解决方案o目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防 火墙，一类是应用代理型防火墙，还有一类是复合型防火墙， 即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于 IP数据包的源或目标IP地址、协议类型、协议端口号等对数 据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的 网络性能和更好的应用程序透明性。代理型防火墙作用在应用 层，一般可以对多种应用协议进行代理，并对用户身份进行鉴 别，并提供比较详细的日志和审计信息；其缺点是对每种应用 协议都需提供相应的代理程序，并且基于代理的防火墙常常会 使网络性能明显下降。应指出的是，在网络安全问题日益突出 的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将 很多网络边缘功能及网管功能集成到防火墙当中，这些功能有 ：VPN功能、计费功能、流量统计与控制功能、监控功能、 NAT功能等等。校园网络安全解决方案o信息系统是动态发展变化的，确定的安全策略与 选择合适的防火墙产品只是一个良好的开端，但 它只能解决60%-80%的安全问题，其余的安全 问题仍有待解决。这些问题包括信息系统高智能 主动性威胁、后续安全策略与响应的弱化、系统 的配置错误、对安全风险的感知程度低、动态变 化的应用环境充满弱点等，这些都是对信息系统 安全的挑战。o信息系统的安全应该是一个动态的发展过程，应 该是一种检测监视安全响应的循环过程。动 态发展是系统安全的规律。网络安全风险评估和 入侵监测产品正是实现这一目标的必不可少的环 节。校园网络安全解决方案o网络安全检测是对网络进行风险评估的重要措施，通过使用网络安 全性分析系统，可以及时发现网络系统中最薄弱的环节，检查报告 系统存在的弱点、漏洞与不安全配置，建议补救措施和安全策略， 达到增强网络安全性的目的。 o入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感 数据需要保护的网络上或网络上任何有风险存在的地方，通过实时 截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络 违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权 的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包 括实时报警、事件登录，自动阻断通信连接或执行用户自定义的安 全策略等。o另外，使用IP信道加密技术(IPSEC)也可以在两个网络结点之间建 立透明的安全加密信道。其中利用IP认证头(IP AH)可以提供认证与 数据完整性机制。利用IP封装净载(IP ESP)可以实现通信内容的保 密。IP信道加密技术的优点是对应用透明，可以提供主机到主机的 安全服务，并通过建立安全的IP隧道实现虚拟专网即VPN。目前基 于IPSEC的安全产品主要有网络加密机，另外，有些防火墙也提供 相同功能。校园网络安全解决方案o五、校园网网络安全解决方案o1.防护体系o(1).基本防护体系(包过滤防火墙+NAT+计费)o用户需求：全部或部分满足以下各项解决内外网络边界安全 ，防止外部攻击，保护内部网络解决内部网安全问题，隔离 内部不同网段，建立VLAN 根据IP地址、协议类型、端口进 行过滤内外网络采用两套IP地址，需要网络地址转换NAT功 能支持安全服务器网络SSN 通过IP地址与MAC地址对应 防止IP欺骗基于IP地址计费基于IP地址的流量统计与限制 基于IP地址的黑白名单。防火墙运行在安全操作系统之上防 火墙为独立硬件防火墙无IP地址 o解决方案：采用网络卫士防火墙PL FW1000 校园网络安全解决方案o(2).标准防护体系(包过滤防火墙+NAT+计费+ 代理+VPN)o用户需求：在基本防护体系配置的基础之上，全 部或部分满足以下各项提供应用代理服务，隔离 内外网络用户身份鉴别权限控制基于用户计费 基于用户的流量统计与控制基于WEB的安全管理 支持VPN及其管理支持透明接入具有自身保护 能力，防范对防火墙的常见攻击o解决方案：o1).选用网络卫士防火墙PL FW2000o2).防火墙基本配置+网络加密机(IP协议加密机) 校园网络安全解决方案o(3).强化防护体系(包过滤+NAT+计费+代理 +VPN+网络安全检测+监控)o用户需求：在标准防护体系配置的基础之上，全 部或部分满足以下各项网络安全性检测(包括服务 器、防火墙、主机及其它TCP/IP相关设备)o操作系统安全性检测网络监控与入侵检测o解决方案：选用网络卫士防火墙PL FW2000+网 络安全分析系统+网络监控器 校园网络安全解决方案o3.解决用户上网身份问题，建立全校统一 的身份认证系统 o校园网络必须要解决用户上网身份问题， 而身份认证系统是整个校园网络安全体系 的基础的基础，否则即便发现了安全问题 也大多只能不了了之，只有建立了基于校 园网络的全校统一身份认证系统，才能彻 底的解决用户上网身份问题，同时也为校 园信息化的各项应用系统提供了安全可靠 的保证。 校园网络安全解决方案o2.配备完整的、系统的网络安全设备 o在网内和网外接口处配置一定的统一网络安全控 制和监管设备就可杜绝大部分的攻击和破坏，一 般包括：防火墙、入侵检测系统、漏洞扫描系统 、网络版的防病毒系统等。另外配置安全设备既 要考虑到功能，同时也必须考虑性能和可扩展性 ，以避免成为网络的瓶颈。通过配置安全产品可 以实现对校园网络进行系统的防护、预警和监控 ，对大量的非法访问和不健康信息起到有效的阻 断作用，对网络的故障可以迅速定位并解决。 校园网络安全解决方案o4.严格规范上网场所的管理，集中进行监 控和管理 o上网用户不但要通过统一的校级身份认证 系统确认，而且，合法用户上网的行为也 要受到统一的监控，上网行为的日志要集 中保存在中心服务器上，保证了这个记录 的法律性和准确性。 校园网络安全解