中学网络优化方案详解.docx

XX中学校园网络安全优化加固解决方案XXXX科技有限公司2016年11月1.需求概述1.1背景介绍随着互联网技术的发展，学校的教学模式和学生的学习模式、行为习惯都在不断发生改变：网上业务：学校建设了更多的网上业务平台，通过互联网来开展教学；沟通桥梁：内部学生也更加依赖互联网与外部的合作伙伴、人员进行沟通和交流，提升学习效率，获取资讯和知识；移动互联网：移动互联网的消费化趋势也逐渐影响到学校内部的IT系统，学生更喜欢通过WLAN、移动终端类开展工作；因此，在学生的日常工作中，闽宁中学需要针对互联网出口平台的如下上网行为管理、上网安全防护需求进行改造，提供一个更安全、更高效的上网环境。1.2上网行为管理需求学生访问互联网的习惯正在发生变化，从最早使用PC、有线局域网，到更多使用移动终端、WLAN来进行办公，如果过度开放的上网环境会带来以下问题：1.2.1学习效率低下网络的普及改变了传统的办公方式，而内网中总有部分学生在学习时间有意无意的做与工作无关的网络行为，比如聊天、玩网游、看视频、网购等，而且越来越多的学生正在通过学校无线网络来使用移动APP版的淘宝、陌陌。这严重影响工作效率，从而导致学校竞争力的下降。所以，学校需要针对PC、移动终端等各种应用、APP进行更有效的识别和管控。1.2.2带宽滥用和浪费互联网中充斥着P2P下载、在线视频、游戏、在线小说等耗费带宽的非关键业务应用，学生在使用这些应用的过程中必然会占用大量的带宽，而关键的业务应用、关键人员角色则得不到足够的资源。此外，传统的带宽管理策略都是静态的，当带宽空闲时，依然会限制学生的流量，带宽价值被大大浪费。所以，IT部门需要针对各种应用类型、学生角色、带宽占用情况等，提供更加灵活、细致、动态的带宽管理策略，提升学生上网体验。1.2.3BYOD的管理随着移动终端的普及，学生往往会采用PC、智能手机、Pad等多种终端，通过有线和无线网络，在不同的位置（办公座位、会议室等），接入学校IT系统。这种使用场景的多样化，让传统上网管理的手段，难以应对内部资料的泄密、移动终端设备的盗用、移动APP难以管控等管理问题。1.2.4WLAN安全隐患在一些没有提供Wlan的单位，学生为了便捷性，往往会通过360随身WiFi、家用WiFi路由器等方式私自建立个人Wlan，让自己的移动终端可以随意使用单位的上网资源。这给学校的安全策略管理带来的很多的管理漏洞。所以，IT部门需要针对私接的非法无线热点、非法代理等威胁进行有效的识别、管控。1.2.5来宾访客接入学校组建WLan后，当有来宾访客需要上网时，要么直接开放，安全风险高，人员随意接入，无法定位身份；要么需要提前申请临时账号，管理复杂。所以，学校需要一套使用便捷，即来即用，同时又能满足安全合规要求的来宾访客认证系统。1.2.6数据泄密伴随着网盘、社交媒体、流量加密等应用/技术的广泛使用，学校重要数据泄密的方式越来越多样，风险越来越高。在有意无意间，一个学生就可以轻易的把学校内部的敏感信息、高价值信息资产，外发的互联网上，给学校的公众形象、业务开展带来严重的风险。1.2.7网络违规违法学校内网学生在日常办公中拥有访问互联网的权限，可通过QQ、MSN、论坛或微博等方式外发信息，如果包含了色情、赌博、反动等不良内容，都属于网络违规违法行为，学校或个人将承担法律责任。所以，学校需要根据82令的相关要求，建立全面、完善的上网行为的合规审查机制，并建立严格的审查权限管理机制。1.3上网安全防护需求1.3.1终端感染病毒、木马病毒、木马、蠕虫仍是互联网出口面临的最为迫切的安全防护需求，病毒木马蠕虫对终端的危害可能导致终端系统瘫痪、终端被控制、终端存储的信息被窃取、终端被引导访问钓鱼网站、终端成为僵尸网络甚至于终端被控制之后形成跳板攻击危害到终端具有权限访问的各类服务器。1.3.2终端系统漏洞终端感染病毒、木马、蠕虫等威胁是终端面临的主要威胁之一。而终端系统层面的漏洞被利用，会导致终端更严重的风险，比如终端被控制成为黑客攻击的跳板，或者终端成为僵尸网络的一部分，随时有可能发起针对内网的攻击。针对终端系统层面的安全防护主要是不断发现的各种安全漏洞，包括本地溢出，远程溢出等脆弱性问题。由于操作系统都不可避免的存在bug，包括安全方面的bug，因此系统和软件本身的脆弱性是不可能完全避免的，只能在一定时间内减少和降低危害。据统计被黑客用来做针对核心服务器的终端漏洞里，终端学生经常使用到的一些软件和系统的漏洞成为黑客使用率最高的漏洞。其中包括PDF漏洞、flash的漏洞、IE的漏洞、OFFICE的漏洞等。如何防止通过针对这些漏洞的入侵行为，是互联网出口安全建设必不可少的关键部分。1.3.3APT不断渗透随着“火焰”蠕虫的爆发，高级持续性威胁（APT攻击）受到业内的关注。