教育信息系统整体安全解决方案-.doc

第一部分 教育网络安全解决方案 一、校园网结构特点及信息安全需求分析 校园网结构特点 随着CERNET在中国教育科研领域的深入发展，校园网信息化建设也日趋完善。总结校园网信息结构的特点，主要有以下几个方面： 校园信息网具备完善、层次化的网络汇结结构，有统一的教育网出口。它是全国高校网的信息互通平台，同时也是通向国际互联网的传输纽带。 校园信息网内建立了一系列重要的应用系统，负责高校日常的信息管理工作，如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。此外，相当多的校园网还启用了学生一卡通系统，用于学生在校区内的购物消费、借书等。数字图书馆是高校的另一个重要系统，它包括门户系统、网上借阅、音像资料管理、TRS 检索，期刊管理等等。 校园网的另一个重要网络是学校科研及中重点试验室网络。尤其是在国家一些重点院校，这部分网络往往都承担了国家级的课题项目，里面涉及到的信息级别较高。 随着信息化程度的深入，校园内学生宿舍区的终端数量日益膨胀。与此同时，教工家属区的PC 也通过校园网的网络资源连入CERNET。对于这两类终端，他们的特点是数量庞大，占用带宽较高且不易管理。 图1：校园信息网示意图 综合以上校园网结构特点，其存在以下安全风险和其脆弱性： 校园信息网平台比较开放，终端数量庞大，非常容易受到来自CERNET本身的安全威胁，例如网络蠕虫传播、安全攻击，垃圾邮件泛滥等等。此外，校园网终端没有统一的管理，每台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响校园网络的正常使用。 学生是CERNET 上重要使用者，对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用，例如：攻击试探、长时间网络下载占用、对重要服务器群的信息窃取等等。这些行为除了会影响校园信息管理系统的正常运行，同时还对那些重要服务器的安全造成了威胁。 学校的重点科研试验室承担了大量的学术研究和试验项目，在研究过程中的数据需要采取严格的安全保护措施。对这部分网络的访问并不一定完全是学校内部的人员，同时还会有相关的外校科研人员。必须要对该网段的访问进行严格的监控和控制措施，以保障其信息的完整性。 校园网的管理结构相对复杂，没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻击等紧急情况，没有相应的处理流程。而且，如果只是通过被动的事后响应，学校投入的IT 资源回报无法最大化，总是在事倍功半的恶性循环之中。 通过上述总结分析可以看出，校园网的安全防护必须是多层次的，全方位的。赛门铁克根据校园网的实际情况，设计了完整、先进的校园网主动安全防护体系，它主要包括： －校园网出口统一威胁控制 －校园网内部安全监控和防御 －校园网内部重要服务器、应用防护（邮件） －校园网内部终端安全防护 图2：校园网信息安全管理体系 二、校园信息网安全建议方案 1．校园网出口统一威胁控制 赛门铁克网关安全Symantec Gateway Security（以下简称SGS）是新一代的统一威胁管理设备。它采用了多种先进的安全技术，对进、出校园网的数据包进行检查、处理和控制。它可以满足校园网抵御混合型威胁的需要。作为业界最全面的统一威胁管理设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。在部署时，SGS 可以根据学校的实际需要启用不同的安全功能模块：IPS/IDS、防病毒、防垃圾邮件，内容过滤、VPN 等。 在校园网出口的地方，我们还可以利用SGS 建立出DMZ 区域，放入一些对应的服务器，如WEB服务器，EMAIL 服务器等。为了避免校园出口的单点故障，可以部署两台或多台SGS 设备。这些设备可以同时执行负载均衡和高可用性责任。 以上方案的效果可以使管理员灵活控制来自CERNET的通讯流量，阻止各种校园外来黑客攻击和病毒、蠕虫以及垃圾邮件；对DMZ区和校园内部网络区别看待，使用不同的安全访问控制规则。 除了在校园网出口部署统一威胁管理方案，还可以在学校内部的网段之间部署。例如在学校科研及重点试验室网段，该网段的信息安全级别相对较高，可以再部署一台SGS设备，设置适合本网段的安全访问控制规则及安全攻击检测规则，保护信息以合法的方式被访问。对于校园网的其它网段，可视情况部署同样的方案。 SGS 在校园网的部署如下图所示： 图3：校园网统一威胁管理部署方案 利用赛门铁克SGS部署在校园网出口和内部重要网段，其特点如下： 具有七种必要的网络安全功能，集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。可以在一台设备