高校校園網安全解決方案

目錄第一章概述 2

1.1 高校校園網路安全建設意義 2

第二章高校校園網路特點分析 3

第三章安全風險分析 5

3.1 物理層安全風險 5

3.2 網路層安全風險 5

3.3 系統安全風險 6

3.4 應用層安全風險 6

3.5 管理層安全風險 7

第四章安全需求分析 8

4.1 網路攻擊防禦需求 8

4.2 系統安全漏洞管理需求 8

4.3 網路防病毒需求 9

4.4 web應用安全需求 10

4.5 內容安全管理需求 10

4.6 internet接入使用者控制需求 11

4.7 建立完善安全管理制度的需求 11

第五章網路安全解決方案 12

5.1 高校校園網路安全建設原則 12

5.2. 高校校園網路安全解決方案 13

5.1部署防火牆 13

5.2部署入侵檢測/保護系統 13

5.3 部署漏洞管理系統 15

5.4 部署網路防病毒系統 17

5.5 部署web應用防護系統 19

5.6 部署內容安全管理系統 21

5.7 部署校園網使用者認證計費管理系統 22

5.8 高校校園網路安全建設分步實施建議 23

隨著網路的普及和發展，高校資訊化建設也在快速地進行，校園網在高校及教育系統中的作用越來越大，已經成為高校重要的基礎設施，對學校的教學、科研、管理和對外交流等發揮了很好的保障作用。目前，校園網路已遍及學校的各個部門，有的學校已將網路線通入學生寢室，網路已經成為師生工作、學習、生活不可缺少的工具。校園網路的建立，能促進學校實現管理網路化和教學手段現代化，對提高學校的管理水平和教學質量具有十分重要的意義。

但是，網路中的種種不安全因素（如病毒、黑客的非法入侵、有害資訊等）也無時無刻不在威脅校園網路的健康發展，成為教育資訊化建設過程中不容忽視的問題。如何加強校園網路的安全管理，保證校園網安全、穩定、高效地運轉，使其發揮應有的作用，已經成為學校需要解決的重大問題，也是校園網路管理的重要任務。

高校校園網路具有如下特點：

1、網路規模大，裝置多。從網路結構上看，可分為核心、匯聚和接入3個層次，包含很多的路由器，交換機等網路裝置和伺服器、微機等主機裝置。

2、校園網通常是雙出口結構，分別與 cernet、internet 互聯。

3、使用者種類豐富。按使用者型別可以劃分為教學區（包括教學樓、圖書館、實驗樓等）、辦公區（包括財務處、學生處、食堂等）、學生生活區、家屬區等。不同使用者對網路功能的要求不同。

教學區和辦公區要求區域網路共享，實現基於網路的應用，並能接入internet。學生區和家屬區主要是接入internet的需求。

4、應用系統豐富。校園網單位眾多，有很多基於區域網的應用，如多**教學系統，圖書館管理系統，學生檔案管理系統，財務處理系統等。這些應用之間互相隔離。

還有很多基於intertnet的應用，如www、e-mail等，需要和internet的互動。各種應用伺服器，如dns，www，e-mail，ftp等與核心交換機高速連線，對內外網提供服務。

高校校園網路拓撲示意圖如下：

網路安全不單是單點的安全，而是整個資訊網的安全，需要從物理、網路、系統、應用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風險來自於何處。網路安全系統必須包括技術和管理兩方面，涵蓋物理層、系統層、網路層、應用層和管理層各個層面上的諸多風險類。

風險分析是網路安全防護的基礎，也是網路安全技術需要提供的乙個重要功能。它要連續不斷地對網路中的訊息和事件進行檢測，對系統受到侵擾和破壞的風險進行分析。風險分析必須包括網路中所有有關的成分。

網路的物理層安全風險主要指網路周邊環境和物理特性引起的網路裝置和線路的阻斷，進而造成網路系統的阻斷。包括以下內容：

1、裝置被盜，被毀壞；

2、鏈路老化或被有意或者無意的破壞;

3、因電磁輻射造成資訊洩露；

4、**、火災、水災等自然災害。

網路層中的安全風險，主要指資料傳輸、網路邊界、網路裝置等所引發的安全風險。

1. 資料傳輸風險分析

資料在網路傳輸過程中，如果不採取保護措施，就有可能被竊聽、篡改和破壞，如採用搭線竊聽、在交換機或集線器上連線乙個竊聽裝置等。對高校而言，比較多的風險是：

1) 私自將多個使用者通過交換機接入網路，獲得上網服務。

2) 假冒合法的mac、ip位址獲得上網服務。

2. 網路邊界風險分析

不同的網路功能區域之間存在網路邊界。如果在網路邊界上沒有強有力的控制，則網路之間的非法訪問或者惡意破壞就無法避免。對於高校而言，整個校園網和internet的網路邊界存在很大風險。

由於學校對internet開放了www、email等服務，如果控制不好，這些伺服器有面臨黑客攻擊的危險。

3. 網路裝置風險分析

由於高校校園網路使用大量的網路裝置，這些裝置自身的安全性也是要考慮的問題之一，它直接關係到各種網路應用能否正常、高效地運轉。交換機和路由器裝置如果配置不當或者配置資訊改動，會引起資訊的洩露，網路癱瘓等後果。

系統層的安全風險主要指作業系統、資料庫系統以及相關商用產品的安全漏洞和病毒威脅。病毒大多也是利用了作業系統本身的漏洞。目前，高校網路中作業系統有windows系列和類unix系列，大都沒有作過安全漏洞修補，極易遭受黑客攻擊和病毒侵襲，對網路安全是乙個高風險。

高校校園網路中存在大量應用，如www服務、郵件服務、資料庫服務等。在應用過程中，存在下列風險：

1. 這些服務本身存在安全漏洞，容易遭受黑客攻擊。當前，尤其針對web應用的攻擊成為趨勢。

2. 不對應用者的行為監管存在的風險。如學生瀏覽黃色，暴力**；在論壇等發表非法言論；濫用p2p，****等，嚴重占用網路頻寬。

責權不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。

由上可見，高校校園網中的安全風險是多樣的，也需要多種技術構建綜合安全防護體系，保證校園網安全。

高校校園網路連線internet，因此從安全角度看，可以劃分為兩大區域，內部網路和外部網路。在內外網之間必須有安全隔離措施，對資料的流動進行控制。首先內部網路是私有網路，其訪問itnernet的流量必須隱藏真實位址，而轉換為公網位址；其次，網路邊界要有適當的訪問控制策略，既需要控制內部網路可以訪問internet的流量，更需要嚴格控制internet可以訪問內部網路的流量，以防止黑客攻擊和非法訪問。

因而只允許internet訪問校園網對其開放的服務，如www、email 等，其他服務全部禁止。

對通過internet到校園內網應用如oa系統的連線，採用ipsec vpn或者ssl vpn技術，以保證資料安全性。即使被黑客竊聽，也無法解密。

採用流量監聽和阻斷惡意流量機制，對網路進行保護。監視和分析使用者及系統的活動，識別反映已知進攻的活動模式並向管理員報警。

高校有大量的應用伺服器和網路裝置，以及應用程式和資料庫系統。眾所周知，在伺服器和網路裝置作業系統（包括windows,類unix），應用協議（如tcp/ip），應用程式中，存在很多安全漏洞。蠕蟲爆發、病毒、木馬以及惡意**都是利用安全漏洞對網路和系統進行攻擊。

如果對系統中的各種漏洞不能及時發現和修復，就有很大的被攻擊的風險，造成很大的損失，例如「衝擊波」蠕蟲和「**波」蠕蟲的爆發。所以要有漏洞管理機制，及時掃瞄和修復系統安全漏洞保護網路安全。

高校校園網使用者眾多，網路環境複雜，病毒入口點非常多，如何保證在整個區域網內杜絕病毒的感染、傳播和發作是網路安全的乙個重要問題。乙個良好的網路防病毒方案應該達到如下目標：要在整個大學校園的內部網路內杜絕病毒的感染、傳播和發作，整個網路內只要有可能感染和傳播病毒的地方都應該採取相應的防病毒手段。

同時為了網路管理人員有效、快捷地實施和管理整個網路的防病毒體系，應能實現簡易、自動、智慧型和強制執行防病毒策略的維護管理方式。網路實施防病毒系統應力求達到在整個內部網路系統中構造乙個整體的、全方位的、無縫的、功能強大的防病毒體系，保護校園網路免遭來自外部和內部病毒的威脅和破壞，從根本上杜絕病毒的發作和傳播，有效地保護學校內部資源。同時，該方案還必須是乙個使用方便的，靈活的和全自動的系統，可以完全自動的公升級；可以在本網的任何地方管理全網；等等。

最後，它還必須是乙個易於擴充和修正的方案，能方便的適應將來網路擴充時可能的變更。

特別地，校園網需要很好地防範arp欺騙病毒。arp欺騙病毒是目前高校校園網中比較氾濫的一種病毒，該病毒一般屬於木馬病毒，不具備主動傳播的特性，不會自我複製，但是由於其發作的時候會向全網傳送偽造的arp資料報，嚴重干擾全網的正常執行，其危害甚至比一些蠕蟲病毒還要嚴重得多。

高校校園網安全解決方案

高校校園網安全解決方案

9 3校園網解決方案

數位化校園網解決方案

高校校園網安全解決方案

高校校園網安全解決方案

9 3校園網解決方案

數位化校園網解決方案

相關推薦