外文翻译---校园网层次型网络安全设计.docx

附录B：中文原文 校园网层次型网络安全设计 随着我国数字校园工作不断推进，校园网络在给广大师生工作、学习带来便利的同时，其开放性、自由性、交互性和共享性使得一系列网络安全问题相继出现。因此，结合高校管理自身特点，基于校园网的一般性安全需求和安全目标，设计行之有效的网络安全层次模型，构建完善的校园网安全防御体系，保障校园网稳定、高效、安全运行已成为校园网建设过程中必须要解决的问题。从管理和实用的角度出发，校园网完全设计分为物理安全、网络安全和安全管理三个层次。 1 物理安全 物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。保证学院校园网各种设备的物理安全是实现系统安全控制的前提。 1.1机房环境安全 机房、监控等场地设施和环境安全设计：必须符合国家标准并满足应用系统24小时不间断运行的特殊要求(参见国家标准GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地技术条件》、GB9361-88《计算站场地安全要求》)。机房的位置应力求减少无关人员进入的机会，设备的位置远离主要通道，同时，机房的窗户也应避免直接面临街道。 供配电系统安全设计：要求能保证对机房内的主机、服务器、网络设备、通讯设备等的电源供应在任何情况下都不会间断，做到无单点失效和平稳可靠，这就要求两路以上的市电供应，N+1冗余的自备发电机系统，还有能保证足够时间供电的UPS系统。 防雷接地系统安全设计：保证机房的各种设备安全，要求机房设有四种接地形式，即计算机专用直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。消防报警及自动灭火系统安全设计：为实现火灾自动灭火功能，在网络系统各个重点位置，应该设计火灾自动监测及报警系统，以便能自动监测火灾的发生，并且启动自动灭火系统和报警系统。 门禁系统安全设计：安全易用的门禁系统可以保证物理安全，同时也可提高管理的效率，其中需要注意的原则是安全可靠、简单易用、分级制度、中央控制和多种识别方式的结合。 保安监控系统安全设计：保安监控包括闭路监视系统、通道报警系统和人工监控系统。 1.2物理设备安全 主要包括：设备防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰等。 2 网络安全 学院校园网的网络安全重点解决网络层和传输层的通信安全，它包括三个层次：不同局域网之间的隔离与访问控制、公共网络上的数据传输安全和网络入侵检测系统。 2.1隔离与访问控制 基于网络安全的需求，在学院校园网的部分网络边界处采用防火墙(Fire Wall)技术来实现隔离与访问控制。根据校园网的特点一般采用防火墙在透明模式和路由模式同时工作的混合模式，这样提高了网络应用的灵活性，很大程度上提高了防火墙的适应性，通过结合其他安全技术就更能方便快捷地达到用户的安全需求。通过选用核心交换机提供防火墙与包过滤功能，规定网管信息的流向，在中心交换机连接教师/学生宿舍网络、公众信息服务器网络、网管中心网络、教学单位网络和行政办公网络5个接口处，配置防火墙，对5个网络进行隔离并对进/出的数据进行访问控制。 2.2网络传输安全 鉴于目前高校普遍拥有2个以上的校区，不同校区网络之间是通过专线连接起来的。当这些大型局域网通过专线交互数据时，面临的安全威胁有：如何防范恶意攻击?如何确保数据在专线上传输时的安全性?可以采用的安全技术是VPN技术。在网络通信线路上配置VPN网关，在中心交换机上安装VPN管理器。通过VPN网关，可以在专线上构建安全通道，对通信数据提供安全保护;同时，VPN网关还能起到网络隔离作用，如果有攻击者欲借助专线接入学院校园网，由于其访问数据不能走安全通道，因而VPN网关可以对来自非安全通道内的数据自动进行过滤，阻止非法数据通信。 2.3 网络入侵检测系统 入侵检测系统(Intrusion Detection System)，简称IDS，用于对入侵行为进行识别，它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 校园网IDS配置在两个地方。校园网和教育网的连接处：用于对进出教育网的数据进行监视，既监测并阻断来之教育网对校园网的攻击，同时又监测并阻断校园网内用户对教育网的攻击数据包;教师/学生宿舍网络和校园网中心交换机的连接处：学生是校园网的主要使用者，但鉴于大学生思维活跃，有一定的冒险意识，所以必须对其的网络行为进行必要的控制，在学生宿舍网络接入校园网的入口配置IDS，可以实时监测学生对校园网资源访问时的数据包，防止恶意数据包对校园网通信秩序的破坏。 　3 安全管理 给校园网制定一个合适的安全管理制度和安全策略是十分必要的。 3.1安全管理体制 建议成立以学校分管安全的领导为主的校园网