校园网网络安全设计方案.docx

校园网网络安全设计方案摘要 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息，在对网络系统详细的需求分析基础上，依照计算机网络安全设计目标和计算机网络安全系统的总体规划，设计了一个完整的、立体的、多层次的网络安全防御体系。 关键词 网络安全方案设计实现 一、计算机网络安全方案设计与实现概述 影响网络安全的因素很多，保护网络安全的技术、手段也很多。一般来说，保护网络安全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，必须结合网络的具体需求，将多种安全措施进行整合，建立一个完整的、立体的、多层次的网络安全防御体系，这样一个全面的网络安全解决方案，可以防止安全风险的各个方面的问题。 二、计算机网络安全方案设计并实现 1.桌面安全系统 用户的重要信息都是以文件的形式存储在磁盘上，使用户可以方便地存取、修改、分发。这样可以提高办公的效率，但同时也造成用户的信息易受到攻击，造成泄密。特别是对于移动办公的情况更是如此。因此，需要对移动用户的文件及文件夹进行本地安全管理，防止文件泄密等安全隐患。 本设计方案采用清华紫光公司出品的紫光S锁产品，“紫光S锁”是清华紫光“桌面计算机信息安全保护系统”的商品名称。紫光S锁的内部集成了包括中央处理器、加密运算协处理器、只读存储器，随机存储器、电可擦除可编程只读存储器等，以及固化在ROM内部的芯片操作系统COS、硬件ID号、各种密钥和加密算法等。紫光S锁采用了通过中国人民银行认证的SmartCOS，其安全模块可防止非法数据的侵入和数据的篡改，防止非法软件对S锁进行操作。 2.病毒防护系统 基于单位目前网络的现状，在网络中添加一台服务器，用于安装IMSS。 :是一个基于专用内核，具有自主版权的高级通信保护控制系统。 本地管理器:是一个安装于密码机本地管理平台上的基于网络或串口方式的网络密码机本地管理系统软件。 中心管理器:是一个安装于中心管理平台上的对全网的密码机设备进行统一管理的系统软件。 6.安全审计系统 根据以上多层次安全防范的策略，安全网的安全建设可采取“加密”、“外防”、“内审”相结合的方法，“内审”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信息是否泄密，以解决内层安全。 安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，忠实记录网络上发生的一切，提供取证手段。作为网络安全十分重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。 在安全网中使用的安全审计系统应实现如下功能：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。 本设计方案选用“汉邦软科”的安全审计系统作为安全审计工具。 汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，面向企事业的网络管理人员而设计的一套网络安全产品，是一个分布在整个安全网范围内的网络安全监视监测、控制系统。 安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控RAS连接、监控网络连接情况及共享资源的使用情况。安全监控中心是管理平台和监控平台，网络管理员通过安全监控中心为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。主要功能有文件保护审计和主机信息审计。 文件保护审计：文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。 主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。 。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。 单位内网中安全审计系统采集的数据来源于安全计算机，所以应在安全计算机安装主机传感器，保证探头能够采集进出网络的所有数据。安全监控中心安装在信息中心的一台主机上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。单位内网中的安全计算机为600台，需要安装600个传感器。 7.入侵检测系统IDS 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全的立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国际入侵检测产品市场的蓬勃发展就可以看出。 根据网络流量和保护数据的重要程度，选择IDS探测器配置在内部关键子网的交换机处放置，核心交换机放置控制台，监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，分析网络通讯会话轨迹，寻找网络攻击模式和其他网络违规活动。 8.漏洞扫描系统 本内网网络的安全性决定了整个系统的安全性。在内网高性能服务器处配置一台网络隐患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户，I型联动型产品由手持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品，就可以很方便的对200信息点以上的多个网络进行多线程较高的扫描速度的扫描，可以实现和IDS、防火墙联动，尤其适合于制定全网统一的安全策略。同时移动式扫描仪可以跨越网段、穿透防火墙，实现分布式扫描，服务器和扫描仪都支持定时和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，大大的减轻了工作负担，极大的提高了工作效率。 联动扫描系统支持多线程扫描，有较高的扫描速度，支持定时和多IP地址的自动扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Web方式的远程管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。 在防火墙处部署联动扫描系统，在部门交换机处部署移动式扫描仪，实现放火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。 三、结束语 随着网络应用的深入普及，网络安全越来越重要，国家和企业都对建立一个安全的网络有了更高的要求。一个特定系统的网络安全方案，应建立在对网络风险分析的基础上，结合系统的实际应用而做。由于各个系统的应用不同，不能简单地把信息系统的网络安全方案固化为一个模式，用这个模子去套所有的信息系统。 本文根据网络安全系统设计的总体规划,从桌面系统安全、病毒防护、身份鉴别、访问控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、立体的、多层次的网络安全防御体系。