資源描述:
《教育信息系統(tǒng)整體安全解決方案.pdf》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1�、校園網(wǎng)安全解決方案——————————————————————————————————————————————第一部分教育網(wǎng)絡(luò)安全解決方案一、校園網(wǎng)結(jié)構(gòu)特點(diǎn)及信息安全需求分析校園網(wǎng)結(jié)構(gòu)特點(diǎn)隨著CERNET在中國教育科研領(lǐng)域的深入發(fā)展��,校園網(wǎng)信息化建設(shè)也日趨完善���??偨Y(jié)校園網(wǎng)信息結(jié)構(gòu)的特點(diǎn),主要有以下幾個(gè)方面:1.校園信息網(wǎng)具備完善��、層次化的網(wǎng)絡(luò)匯結(jié)結(jié)構(gòu)�,有統(tǒng)一的教育網(wǎng)出口。它是全國高校網(wǎng)的信息互通平臺�,同時(shí)也是通向國際互聯(lián)網(wǎng)的傳輸紐帶。2.校園信息網(wǎng)內(nèi)建立了一系列重要的應(yīng)用系統(tǒng)��,負(fù)責(zé)高校日常的信息管理工作���,如學(xué)生檔案管理����、教務(wù)管理��、人事管理�����、財(cái)務(wù)管理��、后勤管理
2�、等��。此外,相當(dāng)多的校園網(wǎng)還啟用了學(xué)生一卡通系統(tǒng)�����,用于學(xué)生在校區(qū)內(nèi)的購物消費(fèi)��、借書等��。數(shù)字圖書館是高校的另一個(gè)重要系統(tǒng)���,它包括門戶系統(tǒng)��、網(wǎng)上借閱����、音像資料管理����、TRS檢索,期刊管理等等�����。3.校園網(wǎng)的另一個(gè)重要網(wǎng)絡(luò)是學(xué)?��?蒲屑爸兄攸c(diǎn)試驗(yàn)室網(wǎng)絡(luò)��。尤其是在國家一些重點(diǎn)院校���,這部分網(wǎng)絡(luò)往往都承擔(dān)了國家級的課題項(xiàng)目��,里面涉及到的信息級別較高�����。4.隨著信息化程度的深入���,校園內(nèi)學(xué)生宿舍區(qū)的終端數(shù)量日益膨脹。與此同時(shí)����,教工家屬區(qū)的PC也通過校園網(wǎng)的網(wǎng)絡(luò)資源連入CERNET。對于這兩類終端�,他們的特點(diǎn)是數(shù)量龐大,占用帶寬較高且不易管理�����。1校園網(wǎng)安全解決方案———————————
3��、———————————————————————————————————圖1:校園信息網(wǎng)示意圖綜合以上校園網(wǎng)結(jié)構(gòu)特點(diǎn)����,其存在以下安全風(fēng)險(xiǎn)和其脆弱性:1.校園信息網(wǎng)平臺比較開放,終端數(shù)量龐大�,非常容易受到來自CERNET本身的安全威脅,例如網(wǎng)絡(luò)蠕蟲傳播���、安全攻擊�����,垃圾郵件泛濫等等��。此外���,校園網(wǎng)終端沒有統(tǒng)一的管理,每臺機(jī)器上的操作系統(tǒng)安全漏洞補(bǔ)丁不能及時(shí)更新���。這些威脅都會(huì)嚴(yán)重影響校園網(wǎng)絡(luò)的正常使用���。2.學(xué)生是CERNET上重要使用者,對網(wǎng)絡(luò)的渴望�、好奇和其它一些原因直接導(dǎo)致了在某些情況下對網(wǎng)絡(luò)的未授權(quán)使用���,例如:攻擊試探、長時(shí)間網(wǎng)絡(luò)下載占用�、對重要服務(wù)器群的信息竊
4、取等等�。這些行為除了會(huì)影響校園信息管理系統(tǒng)的正常運(yùn)行,同時(shí)還對那些重要服務(wù)器的安全造成了威脅���。3.學(xué)校的重點(diǎn)科研試驗(yàn)室承擔(dān)了大量的學(xué)術(shù)研究和試驗(yàn)項(xiàng)目���,在研究過程中的數(shù)據(jù)需要采取嚴(yán)格的安全保護(hù)措施。對這部分網(wǎng)絡(luò)的訪問并不一定完全是學(xué)校內(nèi)部的人員��,同時(shí)還會(huì)有相關(guān)的外?�?蒲腥藛T���。必須要對該網(wǎng)段的訪問進(jìn)行嚴(yán)格的監(jiān)控和控制措施���,以保障其信息的完整性。4.校園網(wǎng)的管理結(jié)構(gòu)相對復(fù)雜��,沒有系統(tǒng)的安全管理和安全事件監(jiān)控機(jī)制。一旦遇到網(wǎng)絡(luò)蠕蟲傳播���、垃圾郵件擁塞�、安全攻擊等緊急情況���,沒有相應(yīng)的處理流程。而且��,如果只是通過被動(dòng)的事后響應(yīng)�,學(xué)校投入的IT資源回報(bào)無法最大化,總是在事倍
5�、功半的惡性循環(huán)之中。2校園網(wǎng)安全解決方案——————————————————————————————————————————————通過上述總結(jié)分析可以看出����,校園網(wǎng)的安全防護(hù)必須是多層次的,全方位的��。賽門鐵克根據(jù)校園網(wǎng)的實(shí)際情況��,設(shè)計(jì)了完整�����、先進(jìn)的校園網(wǎng)主動(dòng)安全防護(hù)體系,它主要包括:-校園網(wǎng)出口統(tǒng)一威脅控制-校園網(wǎng)內(nèi)部安全監(jiān)控和防御-校園網(wǎng)內(nèi)部重要服務(wù)器����、應(yīng)用防護(hù)(郵件)-校園網(wǎng)內(nèi)部終端安全防護(hù)圖2:校園網(wǎng)信息安全管理體系二、校園信息網(wǎng)安全建議方案1.校園網(wǎng)出口統(tǒng)一威脅控制賽門鐵克網(wǎng)關(guān)安全SymantecGatewaySecurity(以下簡稱SGS)是新一
6��、代的統(tǒng)一威脅管理設(shè)備���。它采用了多種先進(jìn)的安全技術(shù)����,對進(jìn)�����、出校園網(wǎng)的數(shù)據(jù)包進(jìn)行檢查��、處理和控制�。它可以滿足校園網(wǎng)抵御混合型威脅的需要。作為業(yè)界最全面的統(tǒng)一威脅管理設(shè)備�,它將全封包檢查防火墻、基于協(xié)議異常和基于特征的入侵防御及入侵檢測引擎��、獲獎(jiǎng)的病毒防護(hù)��、基于URL的內(nèi)容過濾、反垃圾郵件以及符合IPsec的VPN技術(shù)無縫地集成在一起��。在部署時(shí)�����,SGS可以根據(jù)學(xué)校的實(shí)際需要啟用不同的安全功能模塊:IPS/IDS�����、防病毒�、防垃圾郵件�����,內(nèi)容3校園網(wǎng)安全解決方案——————————————————————————————————————————————過濾��、VPN等�。在
7、校園網(wǎng)出口的地方����,我們還可以利用SGS建立出DMZ區(qū)域,放入一些對應(yīng)的服務(wù)器��,如WEB服務(wù)器,EMAIL服務(wù)器等���。為了避免校園出口的單點(diǎn)故障�����,可以部署兩臺或多臺SGS設(shè)備�。這些設(shè)備可以同時(shí)執(zhí)行負(fù)載均衡和高可用性責(zé)任����。以上方案的效果可以使管理員靈活控制來自CERNET的通訊流量,阻止各種校園外來黑客攻擊和病毒����、蠕蟲以及垃圾郵件;對DMZ區(qū)和校園內(nèi)部網(wǎng)絡(luò)區(qū)別看待�,使用不同的安全訪問控制規(guī)則。除了在校園網(wǎng)出口部署統(tǒng)一威脅管理方案�,還可以在學(xué)校內(nèi)部的網(wǎng)段之間部署。例如在學(xué)??蒲屑爸攸c(diǎn)試驗(yàn)室網(wǎng)段,該網(wǎng)段的信息安全級別相對較高���,可以再部署一臺SGS設(shè)備��,設(shè)置適合本網(wǎng)段的
8�、安全訪問控制規(guī)則及安全攻擊檢測規(guī)則,保護(hù)信息以合法的
