校园网信息系统的安全方案.docVIP

87班 姓名：见海春 学号：42 题目：校园网信息系统的安全方案 一、网络信息安全系统设计原则 1. 满足Internet分级管理需求 ??? 2．需求、风险、代价平衡的原则 ??? 3．综合性、整体性原则 ??? 4．可用性原则 ?? ?5．分步实施原则 　　目前，对于新建网络及已投入运行的网络，必须尽快解决网络的安全保密问题，设计时应遵循如下思想： 　　（1）大幅度地提高系统的安全性和保密性； 　　（2）保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； 　　（3）易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； 　　（4）尽量不影响原网络拓扑结构，便于系统及系统功能的扩展； 　　（5）安全保密系统具有较好的性能价格比，一次性投资，可以长期使用； 　　（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。 　　基于上述思想，网络信息安全系统应遵循如下设计原则： 　　满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息安全实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。 　　--第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。 　　--第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。 　　--第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。 　　二、网络信息安全系统设计步骤 　　网络安全需求分析 　　确立合理的目标基线和安全策略 　　明确准备付出的代价 　　制定可行的技术方案 　　工程实施方案（产品的选购与定制） 　　制定配套的法规、条例和管理办法 本方案主要从网络安全需求上进行分析，并基于网络层次结构，提出不同层次与安全强度的校园网网络信息安全解决方案。 三、网络安全解决方案： 由上可见，校园网中的安全风险是多样的，也需要多种技术构建安全防护体系，综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施包括。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施制定出合理的网络安全体系结构。 安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性需求、风险、代价平衡的原则 对任一网络，绝对安全难以达到，也不一定是必要的。分步实施原则随着网络规模的扩大及应用的增加，网络也会不断增加一劳永逸地解决网络安全问题是不现实的。同时由于实施安全措施需相当的费用支出因此分步实施，满足网络安全的基本需求，。在防火墙设置上按照以下原则配置来提高网络安全性： 1、根据校园网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。2、将防火墙配置成过滤掉以内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP 地址离开内部网络的 IP 包，防止内部网络发起的对外攻击。 3、在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP 地址被盗用。4、定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 网络版网络版集中式管理、分布式杀毒的特点，在管理服务器上，安装网络版的控制中心，在全校各个子网中安装下级子控制中心，方便管理本网段中的所有客户端。网络版客户端?网络版客户端有多种安装方式，对于域用户可以采用自动分发安装的方式，使域中的用户在登陆时自动安装网络版的客户端，也可采用光盘直接安装，网络共享安装对于非域用户可以采用网络共享方式安装，也可以采用光盘直接安装移动控制台?系统管理员在任意一台电脑（与控制中心所在的服务器联网）上安装移动控制台，管理员可通过移动控制台直接管理各种平台的服务器端/客户端在管理员控制台上，管理员能够对上述任何一种服务器端/客户端进行直接操作：设置、查毒、杀毒、通知升级、启动/关闭实时监控等。升级策略??????首先升级控制中心，升级完毕后，客户端通过控制中心升级，这样在升级过程中可以最大程度的减少因访问外部网络而感染病毒的概率。让控制中心每日自动升级。????在客户端普通操作台升级，也可以通过设置让客户端自动升级。多级控制中心、自由分组??? 通过移动控制台集中管理所有客户端，实现对多个子控制中心的集中管理。这个结构对于网络规模扩大或新增节点都可以很