- 1、本文档共9页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
.
..
设计方案
立项背景
随着高校内各种网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代教育的发展方向。在当今的互联网环境下,计算机被攻击、破坏的事件经常发生,我们经常需要面对的信息安全问题有:黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此,在校园网络建设中,网络信息安全成为需要特别考虑的问题。
1.1、校园网信息系统安全现状
校园网信息系统安全现状
1、安全意识淡薄校园网上的接入终端仍存在用户空口令或简易口令的终端设备;有些个人计算机系统漏洞百出;既不安装防火墙又不安装(或更新)杀毒软件;网络 IP地址盗用;专用网与公网混用等等
2、安全体系松散缺乏安全预警及监控体系, 管理员不能及时发现网络系统存在的最新漏洞。
3、网络上病毒、攻击泛滥随着校园网络规模的不断扩大、性能的不断提高, 计算机病毒的传播途径日益增多、传播速度越来越快, 造成的影响也就越来越严重
1.2、现有安全技术和需求
1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
1.构建涵盖校园网所有入网设备的病毒立体防御体系。
计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
2. 建立全天候监控的网络信息入侵检测体系
在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。
3. 建立高效可靠的内网安全管理体系
只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。
4. 建立虚拟专用网(VPN)和专用通道
使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
经调查,现有校园网络拓扑图如下:
二、设计方案拓扑图
三、设计原则
根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM(系统安全工程能力成熟模型)和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:
设计原则
1.网络信息安全的木桶原则
2.网络信息安全的整体性原则
3.安全性评价与平衡原则
4.标准化与一致性原则
5.技术与管理相结合原则
6.统筹规划,分步实施原则
7.等级性原则
8.动态发展原则
9.易操作性原则
3.2.物理层设计
3.2.1物理位置选择
物理位置选择
1、物理访问控制
2、防盗窃和防破坏
3.防雷击
4.防火
5.防水和防潮
6.防静电
7. 温湿度控制
8、电力供应
9.电磁防护要求
3.3网络层设计
3.3.1防火墙技术
建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一个限制器,同时它还是一个分析器,通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动,使得只有经过精心选择的应用协议才能通过,保证了内网环境的安全,如图所示:
作为校园网安全的屏障,防火墙是连接内、外层网络之间信息的唯一出入口,根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计.同时利用防火墙的日志记录功能做好备份,提供网络使用情况的统计数据。
假定校园网通过Cisco路由器与CERNET相连。校园内的IP地址范围是确定?的,且有明确的闭和边界。它有一个C类的IP地址,有DNS,Email,WWW,FTP等服务器,?可采用以下存取控制策略。
?
?对进入CERNET主干网的存取控制?
??????校园网有自己IP地址,应禁止IP地址从本校路由器访问CERNET。可用下述命令设?置与校园网连接的路由器:???????
??Interface?E0?
??Decription?campusNet????????
?Ipadd??????????
?access_list?group?20?out???????
??!?
??access_list?20?permit?ip??0.0.225?
2:?对网络中心资源主机的访问控制?
??????网络中心的DNS,Email,FTP,WWW等服务器是重要的资源,要特别的保护,可对?网络中心所在子网禁止DNS,Email,WWW,FTP以外的一切服务。
?3:对校外非法网址的访问?
一般情况,一些传播非法信息的站点主要在校外,而这些站点的域
文档评论(0)