网络安全解决方案
一、方案背景介绍......................................................................3
1.1 背景...................................................................................3
1.2 现有网络概况.................................................................. 3
1.3 改造需求.......................................................................... 4
二、方案设计任务分工..............................................................4
三、需求分析..............................................................................4
四、网络安全设计方案..............................................................5
4.1 安全方案设计原则.......................................................... 5
4.2 安全机制与技术.............................................................. 6
4.3 网络安全体系结构.......................................................... 6
4.3.1 物理安全.................................................................. 6
4.3.2 网络安全.................................................................. 6
4.3.3 网络系统安全..........................................................7
4.3.4 系统安全.................................................................. 7
4.3.5 信息安全.................................................................. 8
4.3.6 应用安全.................................................................. 8
4.3.7 安全管理.................................................................. 8
五、总结......................................................................................9
一、方案背景介绍
1.1 背景
绍兴市第一中学,有在校师生 2000 人左右,学校分配有六个实验室,每个实验室有
50 台,30 个班级,每个教室配备一台电脑。高级部门(例如校长室之类的)每个领导配备
一台电脑。共有设备 350 台。整个网络采用分层的单出口结构,接入层采用一台 CISCO 设
备,通过一条至电信部门的 10M 专线与广域网相连。主要应用为内部办公、网站发布、邮件
系统、财务办公、档案管理系统、招生管理系统等。
1.2 现有网络概况
现有的网络拓扑结构如图所示。其主要交换设备均采用 CISCO 公司的产品,网络拓扑
比较简单,应用服务相对集中。
中央交换设备为 Catalyst 5000 配置情况
边缘交换机为两台 Catalyst3000.配置情况
路由器和通信服务器是 CISCO 2511,8 块 modem,剩余一个同步口,一个异步口,还
可扩展 8 路电话线路和一路外连专线
主服务器为 SUN 4,设备陈旧,性能较低。
无虚网划分,无网管
拨号用户有简单的通讯量统计功能,校内专线用户无统计功能
服务主要为 Email 和 WWW,提供与 Internet 接入。
1.3 改造需求
服务多样性:增加服务除现有服务外,可增加计费系统,图书检索,多媒体系统,BBS
和 FTP,Proxy 服务等功能。
可管理性:包括对拨号用户和校内专线用户的信息量的统计,对师生访问权限的控制
机制和对国外出口的管理。
安全性:加强对系统的管理,主机系统应有较强的抗攻击能力,在条件允许的情况下
要有虚网划分机制,对网间的信息交换要有安全策略。
可扩充性:现有的网络应具有很强的扩展能力,可以满足近期内可预见的用户接入需
求,同时具有面向新技术的平滑升级能力。
二、方案设计任务分工
三、需求分析
随着信息化程度的提高,越来越多的学(院)校建了校园网和网站,把校园的介绍、
规划、招生、研究成果等发布在网站,让更多的人了解自己的校园,甚至在网上即时进行学
术交流等。在网络信息技术高度发展的今天,绍兴第一中学作为绍兴市重点院校,为了方便
学术交流、校友联络、招生报名、研究成果的发布等,建设自己的网站和邮件系统是必须的。
在当前的信息互动交流中,电子邮件的应用凭借其快速、灵活的特点,在整个互联网络应用
中有着举足轻重的地位。
绍兴市第一中学提供给师生优质的电子邮件服务,不仅仅可以更好地利用现有网络资
源为广大师生服务,还可以充分宣传绍兴市第一中学的美好形象,可以吸收广大的学生前去
就读,充分展示学校的优越性,同时也方便了校友与母校的联络。
信息化程度的提高,极大地促进了教育事业的发展,但是随之而来的却是信息安全问
题。第一中学校园网以广域网络作为支撑平台,如何保障网络安全成为不可避免的重大问题。
在第一中学中,无论是有意的攻击,还是无意的误操作,都将会给信息系统带来不可估量的
损失。攻击者可以窃听网络上的信息、窃取用户的口令和数据库的信息;还可以篡改数据库
内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络
节点、释放计算机病毒等等。内部工作人员能较多地接触内部信息,工作中的任何不小心都
可能给信息安全带来危险。这些都使信息安全问题越来越复杂。
面对计算机网络中的种种安全威胁,必须采取有力的措施来保证安全。无论是在局域
网还是在广域网中,网络的安全措施应是能全方位地杜绝各种不同的威胁和脆弱性,这样才
能确保网络信息的保密性、完整性和可用性。在第一中学大学校园网中,应防患于未然,一
旦出了事,亡羊补牢,恐怕为时已晚。
根据网络安全监测软件的实际测试情况显示,一个没有安全防护措施的大型网络,其
安全漏洞可达 1500 个左右。目前的网络中虽然采用一些安全产品,有一套安全制度,但由
于各种客观和主观的原因仍然存在种种安全上的问题。同时,由于网络的安全状况随着时间
变化而变化,因此在作全网安全考虑时,除了合理的使用和配置各种安全软件、硬件产品以
外,日常的检测和后续的服务也越来越受到重视。
四、网络安全设计方案
4.1 安全方案设计原则
在对这个学校局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:应用系统工程的观点、方法,分析网络的安全及具体措施。安
全措施主要包括:专业措施(识别技术、存取控制、密码、防病毒、采用高安全产品等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设
备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去
看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据
规定的安全策略制定出合理的网络安全体系结构。
一致性原则:一致性原则主要是指网络安全问题应与整个网络的工作周期,同时存在,
制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计及实施计划、网络
验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑
网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身
就降低了安全性。其次,措施的采用不能影响系统的正常运行。
4.2 安全机制与技术
安全机制:访问控制机制、认证机制等;
安全技术:防火墙技术、鉴别技术、病毒防治技术等;在安全的开放环境中,用户可以
使用各种安全应用。安全应用由一些安全服务来实现;而安全服务又是由各种安全机制或安
全技术来实现的。应当指出,同一安全机制有时也可以用于实现不同的安全服务。
4.3 网络安全体系结构
通过对网络的全面了解,按照安全策略的要求、风险分析的结果及整个网络的安全目
标,整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成:物理安全、
网络安全、网络系统安全、系统安全、信息安全、应用安全和安全管理
4.3.1 物理安全
保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全
是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作
失误或错误及各种计算机犯罪行为导致的破坏过程。
4.3.2 网络安全
安全系统是建立在网络系统之上的,网络结构的安全是安全系统成功建立的基础。在整
个网络结构的安全方面,主要考虑网络结构、系统和路由的优化。
网络结构的建立要考虑环境、设备配置与应用情况、远程联网方式、通信量的估算、网
络维护管理等因素。成熟的网络结构应具有开放性、标准化、可靠性、先进性和实用性,并
且应该有结构化的设计,充分利用现有资源,完善的安全保障体系。网络结构采用分层的体
系结构,利于维护管理,利于更高的安全控制。
网络结构的优化,在网络拓扑上主要考虑到冗余链路;防火墙的设置和入侵检测的实时
监控等。
4.3.3 网络系统安全
4.3.3.1 访问控制及内外网的隔离
访问控制可以通过如下几个方面来实现:
1.制订严格的管理制度:可制定的相应:《用户授权实施细则》、《口令字及帐户管理规范》、
《权限管理制度》。
2.配备相应的安全设备:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问
控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同
网络或网络安全域之间信息的唯一出入口。
防火墙主要的种类是包过滤型,包过滤防火墙一般利用 IP 和 TCP 包的头信息对进出被
保护网络的 IP 包信息进行过滤,能根据学校的安全政策来控制出入网络的信息流。由于这
种防火墙安装在被保护网络与路由器之间的通道上,因此也对被保护网络和外部网络起到隔
离作用。
防火墙具有以下四大基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;;
记录通过防火墙的信息内容和活动;对网络攻击的检测和告警。
4.3.3.2 内部网不同网络安全域的隔离及访问控制
在这里,主要利用 VLAN 技术来实现对内部子网的物理隔离。通过在交换机上划分 VLAN
可以将整个网络划分为几个不同的广播域,实现内部一个网段与另一个网段的物理隔离。这
样,就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的
一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感。通过将信任
网段与不信任网段划分在不同的 VLAN 段内,就可以限制局部网络安全问题对全局网络造成
的影响。
4.3.3.3 网络安全检测
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的
环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络系统进行安全性
分析,及时发现并修正存在的弱点和漏洞。
4.3.4 系统安全
系统的安全主要是指操作系统、应用系统的安全性以及网络硬件平台的可靠性。对于操
作系统的安全防范可以采取如下策略:
对操作系统进行安全配置,提高系统的安全性;系统内部调用不对 Internet 公开;关
键性信息不直接公开,尽可能采用安全性高的操作系统。
应用系统在开发时,采用规范化的开发过程,尽可能的减少应用系统的漏洞;
网络上的服务器和网络设备尽可能不采取同一家的产品;
通过专业的安全工具(安全检测系统)定期对网络进行安全评估。
4.3.5 信息安全
在这个企业的局域网内,信息主要在内部传递,因此信息被窃听、篡改的可能性很小,
是比较安全的。
4.3.6 应用安全
在应用安全上,主要考虑通信的授权,传输的加密和审计记录。这必须加强登录过程的
认证(特别使在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录
者的操作权限,将其完成的操作限制在最小的范围内。另外,在加强主机的管理上,除了上
面谈的访问控制和系统漏洞检测外,还可以采用访问存取控制,对权限进行分割和管理。应
用安全平台要加强资源目录管理和授权管理、传输加密、审计记录和安全管理。对应用安全,
主要考虑确定不同服务的应用软件并紧密注视其 Bug ;对扫描软件不断升级。
4.3.7 安全管理
为了保护网络的安全性,除了在网络设计上增加安全服务功能,完善系统的安全保密措
施外,安全管理规范也是网络安全所必须的。安全管理策略一方面从纯粹的管理上即安全管
理规范来实现,另一方面从技术上建立高效的管理平台(包括网络管理和安全管理)。安全
管理策略主要有:定义完善的安全管理模型;建立长远的并且可实施的安全策略;彻底贯彻
规范的安全防范措施;建立恰当的安全评估尺度,并且进行经常性的规则审核。当然,还需
要建立高效的管理平台。