校园网络安全整体解决方案.ppt

校园网络安全整体解决方案 XXX 信息安全公司 议题 校园网目前的安全问题 校园网安全整体解决方案 安全服务体系 第一篇校园网目前的安全问题 理想的网络安全体系 典型校园网络拓扑图 安全边界的确认 存在的问题 安全意识不足 　几乎没有进行过安全策略规划 导致后果 　安全意识的缺乏，导致了安全建设的全面缺位。各类安全隐患逐日积累，终将千里之堤，毁于蚁穴 存在的问题 物理安全建设 　物理安全是信息系统本身存在的前提。但许多学校的物理安全建设程度严重不足 导致后果 设备损坏、数据丢失 信息系统完全瘫痪 存在的问题 对网络运维管理不足 　各学校基本没有统一的网络管理手段 导致后果 无法对网络的运行情况实时把握 不能对设备故障环节及时判断并响应 存在的问题 对外部边界的入侵防护不足 　许多学校并未考虑在网络出口设立入侵防护机制 导致后果 无法对内部及外部的访问进行分类访问控制 无法针对入侵进行过滤、报警、响应 无法有限度地将特定部分有选择地向外开放 存在的问题 对外部边界的恶性数据防范不足 　没有针对病毒、木马、蠕虫、恶性邮件在网络边界部署任何防护措施 导致后果 无法抑制Internet病毒进入校园网 无法针对外部邮件进行筛选过滤 存在的问题 对核心资源的保护不足 　服务器群是学校核心数据所在，但是，大多数学校几乎没有任何防护机制 导致后果 WEB被篡改 数据库被入侵 题库、课件库泄露　 存在的问题 对部门信息资源的保护不足 　各院系、图书馆具备独立而彼此关联的信息系统，对于这些数据资源，目前同样几乎没有任何防护措施 导致后果 电子图书馆业务中断、数据库被删除 各院系数据档案被窃取、删除 　 存在的问题 对系统漏洞的检测不足 　目前几乎没有一所学校配备了专门的漏洞检查工具或引入相关检测服务 导致后果 系统漏洞无法被发现 入侵者利用系统漏洞进行攻击破坏 　 存在的问题 对系统漏洞的修复不足 　即使能发现系统漏洞，但管理员缺乏面向整个网络的漏洞机制，无法保证将校园网内每台计算机的系统漏洞弥补完毕 导致后果 系统漏洞无法被统一修复 大量的个人升级行为造成了带宽的浪费 存在的问题 对校园网病毒的防护不足 　病毒是日常网络应用中最直接出现的问题。但是目前真正将网络版防病毒软件部署到位的学校寥寥无几 导致后果 难以保障系统能免疫于病毒 难以彻底清除全网病毒 　 存在的问题 对应用系统安全考虑不足 　各学校使用的系统在开发时往往未考虑系统本身的安全性，也对应用系统与其数据库间的通信安全考虑不足 导致后果 攻击者直接利用系统漏洞或后门进入系统 攻击者以系统合法用户身份，篡改应用系统数据库内容　 存在的问题 数据的安全存储备份 　数据的安全存储和可靠备份，是安全体系存在的前提。如果数据本身的安全存在都不能保障，那么一切信息系统和安全系统建设将失去意义。 　目前，许多学校并未建立起完善的整体存储备份架构体系。 导致后果 数据完全丢失 信息系统瘫痪 存在的问题 对用户网络行为的基本认证缺乏 　大多数学校未采取相应措施对用户实名认证 导致后果 无法将网络行为与真实个人对应 　 存在的问题 对用户网络行为的审计不足 　各学校几乎没有针对反动、色情、敏感的网络行为部署专门的审计工具 导致后果 无法对各类信息的始作俑者进行追踪 无法对网络的使用情况进行监控、掌握 　 存在的问题 针对网络安全的行政制度不足 　目前各院校制订的计算机相关制度，很少细化到网络安全层面 导致后果 无法让安全技术配套落实 埋藏了许多管理上的安全隐患 存在的问题 缺乏网络安全事件的应急响应机制 　目前各学校基本没有一套全面的应急响应预案 导致后果 无法尽快恢复网络系统的正常运行 无法找出安全事件的原因并进行弥补 安全隐患汇总 第二篇校园网安全整体解决方案 三零盛安安全体系 校园网络安全模型设计 全网安全策略设计 保护网络及基础措施的运行安全 保护边界/外部连接的安全 保护服务器群及重要系统的安全 加强系统安全管理及审计 建立系统应急响应机制 物理安全建设规划 人员进出：中控式门禁系统 火灾防护：七弗丙烷气体灭火设备 湿度温度：机房专用空气调节设备 静电防护：防静电防护 雷击防护：专业防雷工程 设备防盗：红外报警设备 网络管理建设规划 　部署一套全面的网络管理系统，从以下几个方面进行系统管理： 系统拓扑自动发现、生成、管理 网络总体流量使用分析 网络关键节点流量统计 远程SNMP管理控制 网络故障管理 网络管理建设规划 系统拓扑自动发现、生成、管理 　　　 网络管理建设规划 网络总体流量分析管理 　　　 网络管理建设规划 远程设备端口管理 　　　 网络管理建设规划 网络故障管理 　　　 外部边界防护建设 在网络边界部署防火墙及入侵检测， 部署规则如下所