校园网网络是一个分层次的拓扑结构,因而网络的安全防护也需选用分层次的拓扑防护办法。即一个完好的校园网网络信息安全处理计划
应该掩盖网络的各个层次,而且与安全办理相结合。
一、网络信息安全体系规划准则
1.1满意Internet分级办理需求
1.2需求、危险、价值平衡的准则
1.3归纳性、全体性准则
1.4可用性准则
1.5分步施行准则
现在,关于新建网络及已投入运转的网络,有必要赶快处理网络的安全保密问题,规划时应遵从如下思维:
(1)大幅度地进步体系的安全性和保密性;
(2)坚持网络原有的功用特色,即对网络的协议和传输具有很好的通明性;
(3)易于操作、维护,并便于主动化办理,而不添加或少添加附加操作;
(4)尽量不影响原网络拓扑结构,便于体系及体系功用的扩展;
(5)安全保密体系具有较好的功用价格比,一次性出资,能够长期运用;
(6)安全与暗码产品具有合法性,并便于安全办理单位与暗码办理单位的查看与监督。
依据上述思维,网络信息安全体系应遵从如下规划准则:
满意因特网的分级办理需求依据Internet网络规划大、用户许多的特色,对Internet/Intranet信息安全施行分级办理的处理计划,将对它的操控点分为三级施行安全办理。
–榜首级:中心级网络,首要完结表里网阻隔;表里网用户的拜访操控;内部网的监控;内部网传输数据的备份与稽察。
–第二级:部分级,首要完结内部网与外部网用户的拜访操控;同级部分间的拜访操控;部分网内部的安全审计。
–第三级:终端/个人用户级,完结部分网内部主机的拜访操控;数据库及终端信息资源的安全维护。
需求、危险、价值平衡的准则对任一网络,肯定安全难以到达,也纷歧定是必要的。对一个网络进行实践额研讨(包含使命、功用、结构、可靠性、可维护性等),并对网络面对的要挟及或许承当的危险进行定性与定量相结合的剖析,然后拟定规范和办法,确认本体系的安全策略。
归纳性、全体性准则运用体系工程的观念、办法,剖析网络的安全及具体办法。安全办法首要包含:行政法律手法、各种办理制度(人员查看、作业流程、维护保障制度等)以及专业办法(辨认技能、存取操控、暗码、低辐射、容错、防病毒、选用高安全产品等)。一个较好的安全办法往往是多种办法恰当归纳的运用成果。一个计算机网络,包含个人、设备、软件、数据等。这些环节在网络中的位置和影响效果,也只要从体系归纳全体的视点去看待、剖析,才干获得有用、可行的办法。即计算机网络安全应遵从全体安全性准则,依据规定的安全策略拟定出合理的网络安全体系结构。
可用性准则安全办法需求人为去完结,假如办法过于杂乱,要求过高,本身就下降了安全性,如密钥办理就有相似的问题。其次,办法的选用不能影响体系的正常运转,如不选用或少选用极大地下降运转速度的暗码算法。
分步施行准则:分级办理分步施行因为网络体系及其运用扩展规划宽广,跟着网络规划的扩展及运用的添加,网络脆弱性也会不断添加。一了百了地处理网络安全问题是不现实的。一同因为施行信息安全办法需适当的费用开销。因而分步施行,即可满意网络体系及信息安全的根本需求,亦可节约费用开支。
二、网络信息安全体系规划进程
网络安全需求剖析
树立合理的方针基线和安全策略
清晰预备支付的价值
拟定可行的技能计划
工程施行计划(产品的选购与定制)
拟定配套的法规、法令和办理办法
本计划首要从网络安全需求上进行剖析,并依据网络层次结构,提出不同层次与安全强度的校园网网络信息安全处理计划。
三、网络安全需求
切当了解校园网网络信息体系需求处理哪些安全问题是树立合理安全需求的根底。一般来讲,校园网网络信息体系需求处理如下安全问题:
局域网LAN内部的安全问题,包含网段的区分以及VLAN的完结
在衔接Internet时,怎么在网络层完结安全性
运用体系怎么确保安全性l怎么避免黑客对网络、主机、服务器等的侵略
怎么完结广域网信息传输的安全保密性
加密体系怎么安置,包含树立证书办理中心、运用体系集成加密等
怎么完结长途拜访的安全性
怎么点评网络体系的全体安全性
依据这些安全问题的提出,网络信息体系一般应包含如下安全机制:拜访操控、安全检测、进犯监控、加密通讯、认证、躲藏网络内部信息(如NAT)等。
四、网络安全层次及安全办法
4.1链路安全
4.2网络安全
4.3信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采纳的安全办法见下表。
信息安全信息传输安全(动态安全)数据加密数据完好性辨别安全办理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户辨别授权(CA)
网络安全拜访操控(防火墙)网络安全检测侵略检测(监控)IPSEC(IP安全)审计剖析链路安全链路加密
4.1链路安全
链路安全维护办法首要是链路加密设备,如各种链路加密机。它对一切用户数据一同加密,用户数据经过通讯线路送到另一节点后当即解密。加密后的数据不能进行路由交流。因而,在加密后的数据不需求进行路由交流的情况下,如DDN直通专线用户就能够挑选路由加密设备。
一般,线路加密产品首要用于电话网、DDN、专线、卫星点对点通讯环境,它包含异步线路暗码机和同步线路暗码机。异步线路暗码机首要用于电话网,同步线路暗码机则可用于许多专线环境。
4.2网络安全
网络的安全问题首要是由网络的敞开性、无鸿沟性、自由性形成的,所以咱们考虑校园网信息网络的安全首要应该考虑把被维护的网络由敞开的、无鸿沟的网络环境中独立出来,成为可办理、可操控的安全的内部网络。也只要做到这一点,完结信息网络的安全才有或许,而最根本的分隔手法便是防火墙。运用防火墙,能够完结内部网(信赖网络)与外部不行信赖网络(如因特网)之间或是内部网不同网络安全域的阻隔与拜访操控,确保网络体系及网络服务的可用性。
现在市场上老练的防火墙首要有如下几类,一类是包过滤型防火墙,一类是运用署理型防火墙,还有一类是复合型防火墙,即包过滤与运用署理型防火墙的结合。包过滤防火墙一般依据IP数据包的源或方针IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它形式的防火墙有着更高的网络功用和更好的运用程序通明性。署理型防火墙效果在运用层,一般能够对多种运用协议进行署理,并对用户身份进行辨别,并供给比较具体的日志和审计信息;其缺陷是对每种运用协议都需供给相应的署理程序,而且依据署理的防火墙常常会使网络功用显着下降。应指出的是,在网络安全问题日益突出的今日,防火墙技能开展迅速,现在一些抢先防火墙厂商已将许多网络边际功用及网管功用集成到防火墙傍边,这些功用有:VPN功用、计费功用、流量计算与操控功用、监控功用、NAT功用等等。
信息体系是动态开展改变的,确认的安全策略与挑选适宜的防火墙产品仅仅一个杰出的初步,但它只能处理60%-80%的安全问题,其他的安全问题仍有待处理。这些问题包含信息体系高智能主动性要挟、后续安全策略与呼应的弱化、体系的装备过错、对安全危险的感知程度低、动态改变的运用环境充溢缺点等,这些都是对信息体系安全的应战。
信息体系的安全应该是一个动态的开展进程,应该是一种检测──监督──安全呼应的循环进程。动态开展是体系安全的规则。网络安全危险评价和侵略监测产品正是完结这一方针的必不行少的环节。
网络安全检测是对网络进行危险评价的重要办法,经过运用网络安全性剖析体系,能够及时发现网络体系中最单薄的环节,查看陈述体系存在的缺点、缝隙与不安全装备,主张补救办法和安全策略,到达增强网络安全性的意图。
侵略检测体系是实时网络违规主动辨认和呼应体系。它坐落有敏感数据需求维护的网络上或网络上任何有危险存在的当地,经过实时截获网络数据流,能够辨认、记载侵略和破坏性代码流,寻觅网络违规划式和未授权的网络拜访测验。当发现网络违规划式和未授权的网络拜访时,侵略检测体系能够依据体系安全策略做出反响,包含实时报警、事情登录,主动阻断通讯衔接或履行用户自定义的安全策略等。
别的,运用IP信道加密技能(IPSEC)也能够在两个网络结点之间树立通明的安全加密信道。其间运用IP认证头(IP AH)能够供给认证与数据完好性机制。运用IP封装净载(IP ESP)能够完结通讯内容的保密。IP信道加密技能的长处是对运用通明,能够供给主机到主机的安全服务,并经过树立安全的IP地道完结虚拟专网即VPN。现在依据IPSEC的安全产品首要有网络加密机,别的,有些防火墙也供给相同功用。
五、校园网网络安全处理计划
5.1根本防护体系(包过滤防火墙+NAT+计费)
用户需求:悉数或部分满意以下各项
·处理表里网络鸿沟安全,避免外部进犯,维护内部网络
·处理内部网安全问题,阻隔内部不同网段,树立VLAN
·依据IP地址、协议类型、端口进行过滤
·表里网络选用两套IP地址,需求网络地址转化NAT功用
·支撑安全服务器网络SSN
·经过IP地址与MAC地址对应避免IP诈骗
·依据IP地址计费
·依据IP地址的流量计算与约束
·依据IP地址的是非名单
·防火墙运转在安全操作体系之上
·防火墙为独立硬件
·防火墙无IP地址处理计划:选用网络卫兵防火墙PL FW1000
5.2规范防护体系(包过滤防火墙+NAT+计费+署理+VPN)
用户需求:在根本防护体系装备的根底之上,悉数或部分满意以下各项
·供给运用署理服务,阻隔表里网络
·用户身份辨别
·权限操控
·依据用户计费
·依据用户的流量计算与操控
·依据WEB的安全办理
·支撑VPN及其办理
·支撑通明接入
·具有本身维护才能,防备对防火墙的常见进犯
处理计划:
(1)选用网络卫兵防火墙PL FW2000 (2)防火墙根本装备+网络加密机(IP协议加密机)
5.3强化防护体系(包过滤+NAT+计费+署理+VPN+网络安全检测+监控)
用户需求:在规范防护体系装备的根底之上,悉数或部分满意以下各项
·网络安全性检测(包含服务器、防火墙、主机及其它TCP/IP相关设备)
·操作体系安全性检测
·网络监控与侵略检测
处理计划:选用网络卫兵防火墙PL FW2000+网络安全剖析体系+网络监控器
