校園網(wǎng)網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)應(yīng)用方案

校園網(wǎng)網(wǎng)絡(luò)是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。即一個(gè)完整的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個(gè)層次，并且與安全管理相結(jié)合。

一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)原則

目前，對(duì)于新建網(wǎng)絡(luò)及已投入運(yùn)行的網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò)的安全保密問(wèn)題，設(shè)計(jì)時(shí)應(yīng)遵循如下思想：

（1）大幅度地提高系統(tǒng)的安全性和保密性；

（2）保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性；

（3）易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；

（4）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；

（5）安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；

（6）安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。

基于上述思想，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計(jì)原則：

滿(mǎn)足因特網(wǎng)的分級(jí)管理需求根據(jù)Internet網(wǎng)絡(luò)規(guī)模大、用戶(hù)眾多的特點(diǎn)，對(duì)Internet/Intranet信息安全實(shí)施分級(jí)管理的解決方案，將對(duì)它的控制點(diǎn)分為三級(jí)實(shí)施安全管理。

--第一級(jí)：中心級(jí)網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶(hù)的訪(fǎng)問(wèn)控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

--第二級(jí)：部門(mén)級(jí)，主要實(shí)現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶(hù)的訪(fǎng)問(wèn)控制；同級(jí)部門(mén)間的訪(fǎng)問(wèn)控制；部門(mén)網(wǎng)內(nèi)部的安全審計(jì)。

--第三級(jí)：終端/個(gè)人用戶(hù)級(jí)，實(shí)現(xiàn)部門(mén)網(wǎng)內(nèi)部主機(jī)的訪(fǎng)問(wèn)控制；數(shù)據(jù)庫(kù)及終端信息資源的安全保護(hù)。

需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀(guān)點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專(zhuān)業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

可用性原則安全措施需要人為去完成，如果措施過(guò)于復(fù)雜，要求過(guò)高，本身就降低了安全性，如密鑰管理就有類(lèi)似的問(wèn)題。其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行，如不采用或少采用極大地降低運(yùn)行速度的密碼算法。

分步實(shí)施原則：分級(jí)管理分步實(shí)施由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問(wèn)題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿(mǎn)足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開(kāi)支。

二、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計(jì)步驟

網(wǎng)絡(luò)安全需求分析

確立合理的目標(biāo)基線(xiàn)和安全策略

明確準(zhǔn)備付出的代價(jià)

制定可行的技術(shù)方案

工程實(shí)施方案（產(chǎn)品的選購(gòu)與定制）

制定配套的法規(guī)、條例和管理辦法

本方案主要從網(wǎng)絡(luò)安全需求上進(jìn)行分析，并基于網(wǎng)絡(luò)層次結(jié)構(gòu)，提出不同層次與安全強(qiáng)度的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案。

三、網(wǎng)絡(luò)安全需求

確切了解校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決哪些安全問(wèn)題是建立合理安全需求的基礎(chǔ)。一般來(lái)講，校園網(wǎng)網(wǎng)絡(luò)信息系統(tǒng)需要解決如下安全問(wèn)題：

局域網(wǎng)LAN內(nèi)部的安全問(wèn)題，包括網(wǎng)段的劃分以及VLAN的實(shí)現(xiàn)

在連接Internet時(shí)，如何在網(wǎng)絡(luò)層實(shí)現(xiàn)安全性

應(yīng)用系統(tǒng)如何保證安全性l如何防止黑客對(duì)網(wǎng)絡(luò)、主機(jī)、服務(wù)器等的入侵

如何實(shí)現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?/p>

加密系統(tǒng)如何布置，包括建立證書(shū)管理中心、應(yīng)用系統(tǒng)集成加密等

如何實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)的安全性

如何評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的整體安全性

基于這些安全問(wèn)題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪(fǎng)問(wèn)控制、安全檢測(cè)、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息（如NAT）等。

四、網(wǎng)絡(luò)安全層次及安全措施

信息安全網(wǎng)絡(luò)的安全層次分為：鏈路安全、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見(jiàn)下表。

信息安全信息傳輸安全（動(dòng)態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲(chǔ)安全（靜態(tài)安全）數(shù)據(jù)庫(kù)安全終端安全信息的防泄密信息內(nèi)容審計(jì)用戶(hù)鑒別授權(quán)（CA）

網(wǎng)絡(luò)安全訪(fǎng)問(wèn)控制（防火墻）網(wǎng)絡(luò)安全檢測(cè)入侵檢測(cè)（監(jiān)控）IPSEC（IP安全）審計(jì)分析鏈路安全鏈路加密

4.1鏈路安全

鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對(duì)所有用戶(hù)數(shù)據(jù)一起加密，用戶(hù)數(shù)據(jù)通過(guò)通信線(xiàn)路送到另一節(jié)點(diǎn)后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下，如DDN直通專(zhuān)線(xiàn)用戶(hù)就可以選擇路由加密設(shè)備。

一般，線(xiàn)路加密產(chǎn)品主要用于電話(huà)網(wǎng)、DDN、專(zhuān)線(xiàn)、衛(wèi)星點(diǎn)對(duì)點(diǎn)通信環(huán)境，它包括異步線(xiàn)路密碼機(jī)和同步線(xiàn)路密碼機(jī)。異步線(xiàn)路密碼機(jī)主要用于電話(huà)網(wǎng)，同步線(xiàn)路密碼機(jī)則可用于許多專(zhuān)線(xiàn)環(huán)境。

4.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)的安全問(wèn)題主要是由網(wǎng)絡(luò)的開(kāi)放性、無(wú)邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)由開(kāi)放的、無(wú)邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來(lái)，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪(fǎng)問(wèn)控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。

目前市場(chǎng)上成熟的防火墻主要有如下幾類(lèi)，一類(lèi)是包過(guò)濾型防火墻，一類(lèi)是應(yīng)用代理型防火墻，還有一類(lèi)是復(fù)合型防火墻，即包過(guò)濾與應(yīng)用代理型防火墻的結(jié)合。包過(guò)濾防火墻通常基于IP數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類(lèi)型、協(xié)議端口號(hào)等對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾，包過(guò)濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層，一般可以對(duì)多種應(yīng)用協(xié)議進(jìn)行代理，并對(duì)用戶(hù)身份進(jìn)行鑒別，并提供比較詳細(xì)的日志和審計(jì)信息；其缺點(diǎn)是對(duì)每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，并且基于代理的防火墻常常會(huì)使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是，在網(wǎng)絡(luò)安全問(wèn)題日益突出的今天，防火墻技術(shù)發(fā)展迅速，目前一些領(lǐng)先防火墻廠(chǎng)商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當(dāng)中，這些功能有：VPN功能、計(jì)費(fèi)功能、流量統(tǒng)計(jì)與控制功能、監(jiān)控功能、NAT功能等等。

信息系統(tǒng)是動(dòng)態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個(gè)良好的開(kāi)端，但它只能解決60%-80%的安全問(wèn)題，其余的安全問(wèn)題仍有待解決。這些問(wèn)題包括信息系統(tǒng)高智能主動(dòng)性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯(cuò)誤、對(duì)安全風(fēng)險(xiǎn)的感知程度低、動(dòng)態(tài)變化的應(yīng)用環(huán)境充滿(mǎn)弱點(diǎn)等，這些都是對(duì)信息系統(tǒng)安全的挑戰(zhàn)。

信息系統(tǒng)的安全應(yīng)該是一個(gè)動(dòng)態(tài)的發(fā)展過(guò)程，應(yīng)該是一種檢測(cè)──監(jiān)視──安全響應(yīng)的循環(huán)過(guò)程。動(dòng)態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和入侵監(jiān)測(cè)產(chǎn)品正是實(shí)現(xiàn)這一目標(biāo)的必不可少的環(huán)節(jié)。

網(wǎng)絡(luò)安全檢測(cè)是對(duì)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估的重要措施，通過(guò)使用網(wǎng)絡(luò)安全性分析系統(tǒng)，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)、漏洞與不安全配置，建議補(bǔ)救措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。

入侵檢測(cè)系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險(xiǎn)存在的地方，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪(fǎng)問(wèn)嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪(fǎng)問(wèn)時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，自動(dòng)阻斷通信連接或執(zhí)行用戶(hù)自定義的安全策略等。

另外，使用IP信道加密技術(shù)（IPSEC）也可以在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)之間建立透明的安全加密信道。其中利用IP認(rèn)證頭（IP AH）可以提供認(rèn)證與數(shù)據(jù)完整性機(jī)制。利用IP封裝凈載（IP ESP）可以實(shí)現(xiàn)通信內(nèi)容的保密。IP信道加密技術(shù)的優(yōu)點(diǎn)是對(duì)應(yīng)用透明，可以提供主機(jī)到主機(jī)的安全服務(wù)，并通過(guò)建立安全的IP隧道實(shí)現(xiàn)虛擬專(zhuān)網(wǎng)即VPN。目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡(luò)加密機(jī)，另外，有些防火墻也提供相同功能。

五、校園網(wǎng)網(wǎng)絡(luò)安全解決方案

5.1基本防護(hù)體系（包過(guò)濾防火墻+NAT+計(jì)費(fèi)）

用戶(hù)需求：全部或部分滿(mǎn)足以下各項(xiàng)

·解決內(nèi)外網(wǎng)絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)

·解決內(nèi)部網(wǎng)安全問(wèn)題，隔離內(nèi)部不同網(wǎng)段，建立VLAN

·根據(jù)IP地址、協(xié)議類(lèi)型、端口進(jìn)行過(guò)濾

·內(nèi)外網(wǎng)絡(luò)采用兩套IP地址，需要網(wǎng)絡(luò)地址轉(zhuǎn)換NAT功能

·支持安全服務(wù)器網(wǎng)絡(luò)SSN

·通過(guò)IP地址與MAC地址對(duì)應(yīng)防止IP欺騙

·基于IP地址計(jì)費(fèi)

·基于IP地址的流量統(tǒng)計(jì)與限制

·基于IP地址的黑白名單

·防火墻運(yùn)行在安全操作系統(tǒng)之上

·防火墻為獨(dú)立硬件

·防火墻無(wú)IP地址解決方案：采用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW1000

5.2標(biāo)準(zhǔn)防護(hù)體系（包過(guò)濾防火墻+NAT+計(jì)費(fèi)+代理+VPN）

用戶(hù)需求：在基本防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿(mǎn)足以下各項(xiàng)

·提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)

·用戶(hù)身份鑒別

·權(quán)限控制

·基于用戶(hù)計(jì)費(fèi)

·基于用戶(hù)的流量統(tǒng)計(jì)與控制

·基于WEB的安全管理

·支持VPN及其管理

·支持透明接入

·具有自身保護(hù)能力，防范對(duì)防火墻的常見(jiàn)攻擊

解決方案：

（1）選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000 （2）防火墻基本配置+網(wǎng)絡(luò)加密機(jī)（IP協(xié)議加密機(jī)）

5.3強(qiáng)化防護(hù)體系（包過(guò)濾+NAT+計(jì)費(fèi)+代理+VPN+網(wǎng)絡(luò)安全檢測(cè)+監(jiān)控）

用戶(hù)需求：在標(biāo)準(zhǔn)防護(hù)體系配置的基礎(chǔ)之上，全部或部分滿(mǎn)足以下各項(xiàng)

·網(wǎng)絡(luò)安全性檢測(cè)（包括服務(wù)器、防火墻、主機(jī)及其它TCP/IP相關(guān)設(shè)備）

·操作系統(tǒng)安全性檢測(cè)

·網(wǎng)絡(luò)監(jiān)控與入侵檢測(cè)

解決方案：選用網(wǎng)絡(luò)衛(wèi)士防火墻PL FW2000+網(wǎng)絡(luò)安全分析系統(tǒng)+網(wǎng)絡(luò)監(jiān)控器