浅谈校园网网络安全设计与方案.doc

浅谈校园网网络安全设计与方案

随着互联网的高速发展和教育信息化进程的不断深入，校园网在学校教学、科研和管理中的作用越来越重要，校园网越来越得到普及，同时学校校园网络安全问题也日益突出，而制定一个完善的网格解决方案成为重要。因此网络的安全防护需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次，并且与安全管理相结合。

一、网络信息安全系统设计对策

为了满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点，对Internet信息安全实施分级管理的解决方案，可以对它的控制点分为三级实施安全管理。[1]

第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的监控；内部网传输数据的备份与稽查。

第二级：部门级，主要实现内部网与外部网用户的访问控制；同级部门间的访问控制；部门网内部的安全审计。

第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。

需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。[2]

一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。[3]可用性原则安全措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了安全性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。分步实施原则：分级管理分步实施由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。

二、网络信息安全系统设计步骤

第一步：进行网络安全需求分析，确立合理的目标基线和安全策略

第二步：明确准备付出的代价，制定可行的技术方案

第三步：工程实施方案（产品的选购与定制）

第四步：制定配套的法规、条例和管理办法

三、网络安全需求与措施手段

1.安全需求

局域网LAN内部的安全问题，包括网段的划分以及VLAN的实现，在连接Internet时，如何在网络层实现安全；应用系统如何保证安全性；如何防止黑客对网络、主机、服务器等的入侵；如何实现广域网信息传输的安全保密性；加密系统如何布置，包括建立证书管理中心、应用系统集成加密等。

2.措施

信息安全信息传输安全（动态安全）数据加密数据完整性鉴别安全管理信息存储安全（静态安全）数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权（CA）；网络安全访问控制（防火墙）网络安全检测入侵检测（监控）IPSEC（IP安全）审计分析链路安全链路加密

3.手段

设立防火墙。利用防火墙，可以实现内部网（信任网络）与外部不可信任网络（如因特网）之间或是内部网不同网络安全域的隔离与访问控制，保证网络系统及网络服务的可用性。目前市场上成熟的防火墙主要有如下几类，一类是包过滤型防火墙，一类是应用代理型防火墙，还有一类是复合型防火墙，即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤，包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层，一般可以对多种应用协议进行代理，并对用户身份进行鉴别，并提供比较详细的日志和审计信息；其缺点是对每种应用协议都需提供相应的代理程序，并且基于代理的防火墙常常会使网络性能明显下降。应指出的是，在网络安全问题日益突出的今天，防火墙技术发展迅速，目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中，这些功能有：VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。

四、校园网网络安全解决方案

强化防护体系（包过滤+NAT+计费+代理+VPN+网络安全检测+监控）用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项

1.网络安全性检测（包括服务器、防火墙、主机及其它TCP/IP相关设备）

2.操作系统安全性检测·网络监控与入侵检测

解决方案：选用网络卫士防火墙PLFW2000+网络安全分析系统+网络监控器

五、加强网络安全管理制度建设

“三分技术、七分管理”，网络安全尤为如此。各学校