某中学网络安全解决方案.docVIP

中学网络安全解决方案 2008年10月 目 录 1 前言 3 2 安全需求分析 5 2.1 网络安全防护 5 2.2 终端安全管理系统 6 3 中学安全解决方案 10 3.1 UTM安全解决方案 10 3.2 终端安全管理解决方案 14 前言 随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业，全球信息化已成为人类社会发展的大趋势,由此带动了计算机网络的迅猛发展和普遍应用。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击，所以网上信息的安全和保密是一个至关重要的问题。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，可以删除数据库内容，摧毁网络节点，释放计算机病毒等等，这些都使信息安全问题越来越复杂。所以网络的安全性也就成为广大网络用户普遍关心的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。发展和推广网络应用的同时进一步提高网络的安全性，真正做到“既要使网络开放又要使网络安全”这一问题已成为了网络界积极研究的课题。 应该说，技术是一把双刃剑，它在为我国国民经济建设、人民的物质文化生活带来促进和丰富的同时，也对传统的安全体系提出了严峻的挑战，使得国家机密、金融信息等面临巨大的威胁。但是，正确的态度应该是辨证的态度。一方面不能因噎废食，拒绝先进的网络技术和文化，但另一方面一定要对网络威胁给予充分的重视。中国工程院院士沈昌祥说：构筑信息与网络安全防线―事关重大、刻不容缓。紧紧集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御网关系统…… 本方案设计中使用终端安全管理系统实现上述用户管理安全需求。 机房和教师办公区是中学教职员工从事日常操作的工作PC终端，各入网终端的安全将直接影响全网的安全。因此必须对各入网终端最大限度的防止受保护的敏感信息被不法分子非法或违规的入侵、外传、破坏和拷贝。监控内网用户的网络访问行为，防止内网用户对信息系统的损害，同时针对不断发现的操作系统及工具软件的漏洞，及时补打补丁。 终端安全管理系统的主要功能如下： 内网机密信息防护 中学网络与互联网有连接，来自互联网的攻击、破坏和窃取行为可能发生。机密信息的泄漏另一个的风险是内部人员的主动和被动泄密。电脑外设，尤其是USB 移动存储设备，由于它的方便性、存储容量大等特点在现代人的信息生活中扮演着重要的角色，通过它可以拷贝各种信息，给人们生活带来极大方便，同时它也为内网的信息泄露提供各种可能条件。另外，其它的电脑外设，例如光驱、软驱、打印机、绘图仪等，都可以将信息从个人终端计算机转移出去，造成内网机密信息的泄漏。 中学网络内部人员也可能会由于各种原因通过Modem 拨号、ADSL 上网、无线上网等技术手段将个人终端计算机接入互联网。这种行为带来的危害不仅包括内部人员通过主动的邮件发送、即时通讯等手段将机密信息发送到内网之外，也为内网增加了来自互联网上的攻击和破坏的风险，从而导致由互联网入侵或者木马程序等方式造成内网机密信息的被动泄密。 另外，通过各种方式接入内网的设备（包括笔记本、PDA、智能手机等），如果管理不当，也会对内网机密信息造成威胁。其中最大的威胁是非授权接入设备的对内网资源的非法访问。 终端安全管理系统在机密信息防护方面，提供了如下的解决措施： ?? 计算机终端外设管理 ?? 移动存储介质认证管理 ?? 内网用户认证 ?? 打印监控 ?? 文件操作审计 ?? 文件加密 ?? 计算机终端非法外联监控 ?? 内网接入控制 ?? 网络共享访问监控 内网可信管理 内网可信管理包括多个方面，但最重要的是用户身份的管理和移动存储介质的管理。用户由于直接位于内网中并具有对内网资源的直接访问权限，一旦用户身份被冒用，其对内网安全造成的威胁将十分巨大，产生的破坏性后果也相当严重。因此，对一级用户身份的管理是保证内网安全的关键因素之一。通过采取必要的身份认证技术，保证只有授权的、可信的用户才能进入内网的操作系统和应用系统，可最大限度地避免恶意用户对内网资源的破坏、盗取和滥用。移动存储介质已经得到普及应用，移动存储介质使用灵活、方便，使它在武警系统信息化的过程中迅速得到普及，越来越多的敏感信息、秘密数据和档案资料被存贮在无保护的移动存储介质中，这给内网信息资源带来相当大的安全隐患。存储介质作为内网核心机密和敏感信息的载体，实现对它们安全、有效、可信的管理是保证武警信息安全的重要手段。 终端安全管理系统通过强双因子身份认证技术