校园网络安全设计方案.docx

校园网络安全设计方案 校内网络平安设计方案一、平安需求1.1.1网络现状随着信息技术的不断进展和网络信息的海量增加，校内网的平安形势日益严峻，目前校内网平安防护体系还存在一些问题，主要表达在：网络的平安防备力量较低，受到病毒、黑客的影响较大，对挪动存储介质的上网监测手段缺乏，缺少综合、高效的网络平安防护和监控手段，减弱了网络应用的牢靠性。因此，急需建立一套多层次的平安管理体系，加强校内网的平安防护和监控力量，为校内信息化建立奠定更加良好的网络平安根底。经调查，现有校内网络拓扑图如下：1.1.2应用和信息点1.2.现有平安技术1．操作系统和应用软件自身的身份认证功能，实现访问限制。2．定期对重要数据进展备份数据备份。3．每台校内网电脑安装有防毒杀毒软件。1.3.平安需求1．构建涵盖校内网全部入网设备的病毒立体防备体系。计算机终端防病毒软件能准时有效地发觉、抵挡病毒的攻击和彻底去除病毒，通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。2. 建立全天候监控的网络信息入侵检测体系在校内网关键部位安装网络入侵检测系统，实时对网络和信息系统访问的异样行为进展监测和报警。3. 建立高效牢靠的内网平安管理体系只有解决网络内部的平安问题，才可以排除网络中最大的平安隐患，内网平安管理体系可以从技术层面关心网管人员处理好繁杂的客户端问题。4. 建立虚拟专用网(VPN)和专用通道用法VPN网关设备和相关技术手段，对机密性要求较高的用户建立虚拟专用网。二．平安设计1．1设计原那么依据防范平安攻击的平安需求、需要到达的平安目的、对应平安机制所需的平安效劳等因素，参照SSE-CMM(系统平安工程力量成熟模型)和ISO17799(信息平安管理标准)等国际标准，综合考虑可施行性、可管理性、可扩展性、综合完备性、系统平衡性等方面，网络平安防范体系在整体设计过程中应遵循以下9项原那么：1．网络信息平安的木桶原那么网络信息平安的木桶原那么是指对信息平衡、全面的进展爱护。“木桶的最大容积取决于最短的一块木板〞。网络信息系统是一个冗杂的计算机系统，它本身在物理上、操作上和管理上的种种破绽构成了系统的平安脆弱性，尤其是多用户网络系统自身的冗杂性、资源共享性使单纯的技术爱护防不胜防。攻击者用法的“最易浸透原那么〞，必定在系统中最薄弱的地方进展攻击。因此，充分、全面、完好地对系统的平安破绽和平安威逼进展分析，评估和检测〔包括模拟攻击〕是设计信息平安系统的必要前提条件。平安机制和平安效劳设计的首要目的是防止最常用的攻击手段，根本目的是进步整个系统的平安最低点的平安性能。2．网络信息平安的整体性原那么要求在网络发生被攻击、破坏大事的状况下，必需尽可能地快速复原网络信息中心的效劳，削减损失。因此，信息平安系统应当包括平安防护机制、平安检测机制和平安复原机制。平安防护机制是依据详细系统存在的各种平安威逼实行的相应的防护措施，避开非法攻击的进展。平安检测机制是检测系统的运行状况，准时发觉和制止对系统进展的各种攻击。平安复原机制是在平安防护机制失效的状况下，进展应急处理和尽量、准时地复原信息，削减供应的破坏程度。3．平安性评价与平衡原那么对任何网络，肯定平安难以到达，也不肯定是必要的，所以需要建立合理的有用平安性与用户需求评价与平衡体系。平安体系设计要正确处理需求、风险与代价的关系，做到平安性与可用性相容，做到组织上可执行。评价信息是否平安，没有肯定的评判标准和衡量指标，只能打算于系统的用户需求和详细的应用环境，详细取决于系统的规模和范围，系统的性质和信息的重要程度。4．标准化与全都性原那么系统是一个浩大的系统工程，其平安体系的设计必需遵循一系列的标准，这样才能确保各个分系统的全都性，使整个系统平安地互联互通、信息共享。5．技术与管理相结合原那么平安体系是一个冗杂的系统工程，涉及人、技术、操作等要素，单靠技术或单靠管理都不行能实现。因此，必需将各种平安技术与运行管理机制、人员思想训练与技术培训、平安规章制度建立相结合。6．统筹规划，分步施行原那么由于政策规定、效劳需求的不明朗，环境、条件、时间的改变，攻击手段的进步，平安防护不行能一步到位，可在一个比拟全面的平安规划下，依据网络的实际需要，先建立根本的平安体系，保证根本的、必需的平安性。随着今后随着网络规模的扩大及应用的增加，网络应用和冗杂程度的改变，网络脆弱性也会不断增加，调整或增加平安防护力度，保证整个网络最根本的平安需求。7．等级性原那么等级性原那么是指平安层次和平安级别。良好的信息平安系统必定是分为不同等级的，包括对信息必威体育官网网址程度分级，对用户操作权限分级，对网络平安程度分级〔平安子网和平安区域〕，对系统实现构造的分级〔应用层、网络层、链路层