信息安全设计方案.docxVIP

设计方案 一、立项背景 随着高校内各种网络工程的深入实施， 学校教育信息化、校园网络化 已经成为网络时代教育的发展方向。 在当今的互联网环境下，计算机 被攻击、破坏的事件经常发生，我们经常需要面对的信息安全问题有： 黑客侵袭、内部漏洞、病毒干扰、人为错误等。因此，在校园网络建 设中，网络信息安全成为需要特别考虑的问题。 1.1、校园网信息系统安全现状 校园网信息系统安全现状 1、安全意识淡薄校园网 上的接入终端仍存在 用户空口令或简易口 令的终端设备；有些个 人计算机系统漏洞百 出；既不安装防火墙又 不安装（或更新）杀毒 软件；网络IP地址盗 用;专用网与公网混用 等等 2、安全体系松散缺乏安 全预警及监控体系， 管理员不能及时发现 网络系统存在的最新 漏洞。 3、网络上病毒、攻击泛 滥随着校园网络规模 的不断扩大、性能的 不断提高，计算机病 毒的传播途径日益增 多、传播速度越来越 快，造成的影响也就 越来越严重 1.2、现有安全技术和需求 1 ?操作系统和应用软件自身的身份认证功能，实现访问限制 定期对重要数据进行备份数据备份。 3 ?每台校园网电脑安装有防毒杀毒软件。 构建涵盖校园网所有入网设备的病毒立体防御体系。 计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒， 通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。 建立全天候监控的网络信息入侵检测体系 在校园网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异 常行为进行监测和报警。 建立高效可靠的内网安全管理体系 只有解决网络内部的安全问题，才可以排除网络中最大的安全隐患，内网安 全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。 建立虚拟专用网（VPN）和专用通道 使用VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用 网。 经调查，现有校园网络拓扑图如下： InT^rnrt、设计方案拓扑图 InT^rnrt 、设计方案拓扑图 三、设计原则 根据防范安全攻击的安全需求、 需要达到的安全目标、对应安全 机制所需的安全服务等因素，参照 SSE-CMM係统安全工程能力成熟 模型”）和ISO17799（信息安全管理标准）等国际标准，综合考虑可实 施性、可管理性、可扩展性、综合完备性、系统均衡性等方面，网络 安全防范体系在整体设计过程中应遵循以下 9项原则： 设计原则 1.网络 信息安 全的木 桶原则 2.网络 信息安 全的整 体性原 则 3?安全 性评价 与平衡 原则 4.标准 化与一 致性原 则 5.技术 与管理 相结合 原则 6.统筹 规划， 分步实 施原则 7.等级 性原则 8.动态 发展原 则 9.易操 作性原 则 32物理层设计 3.2.1物理位置选择 物理位置选择 1、物理 访问控 制 2、防盗 窃和防 破坏 3.防雷 击 4.防火 5.防水 和防潮 6.防静 电 7. 温 湿度控 制 8电力 供应 9.电磁 防护要 求 3.3网络层设计 331防火墙技术 建立在现代通信网络技术和信息安全技术基础上的防火墙技术 是目前应用最广泛的防护技术.在逻辑上，它既是一个分离器也是一 个限制器，同时它还是一个分析器，通过设置在异构网络 （如可信的 校园网与不可信的公共网）之间的一系列部件的组合有效监控内部网 与外层网络之间的信息流动，使得只有经过精心选择的应用协议才能 通过，保证了内网环境的安全，如图所示： 的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等 的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审 计.同时利用防火墙的日志记录功能做好备份， 提供网络使用情况的 统计数据。 假定校园网通过Cisco路由器与CERNE相连。校园内的IP地址 范围是确定 的，且有明确的闭和边界。它有一个 C类的IP地址，有 DNS Email, WWWFTP等服务器，可采用以下存取控制策略。 对进入CERNE主干网的存取控制 校园网有自己IP地址，应禁止IP地址从本校路由器访问CERNET 可用下述命令设 置与校园网连接的路由器： Interface E0 Decription campusNet Ipadd access_list group 20 out ! access_list 20 permit ip 0.0.225 2: 对网络中心资源主机的访问控制 网络中心的DNS Email, FTP, WW等服务器是重要的资源，要特 别的保护，可对网络中心所在子网禁止 DNS Email，WWWFTP以外 的一切服务。 3：对校外非法网址的访问 一般情况， 一些传播非法信息的站点主要在校外， 而这些站点的 域名可能是已知 的，这时可通过计费系统获得最新的 IP 访问信息， 利用域名查询或字