寶德科技校園網(wǎng)網(wǎng)絡安全解決方案

　　一、網(wǎng)絡信息安全系統(tǒng)設計原則

　　1.1滿足Internet分級管理需求

　　1.2需求、風險、代價平衡的原則

　　1.3綜合性、整體性原則

　　1.4可用性原則

　　1.5分步實施原則

　　目前，對于新建網(wǎng)絡及已投入運行的網(wǎng)絡，必須盡快解決網(wǎng)絡的安全保密問題，設計時應遵循如下思想：

　　(1)大幅度地提高系統(tǒng)的安全性和保密性；

　　(2)保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性；

　　(3)易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；

　　(4)盡量不影響原網(wǎng)絡拓撲結構，便于系統(tǒng)及系統(tǒng)功能的擴展；

　　(5)安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；

　　(6)安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。

　　基于上述思想，網(wǎng)絡信息安全系統(tǒng)應遵循如下設計原則：

　　滿足因特網(wǎng)的分級管理需求根據(jù)Internet網(wǎng)絡規(guī)模大、用戶眾多的特點，對Internet/Intranet信息安全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。

　　--第一級：中心級網(wǎng)絡，主要實現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。

　　--第二級：部門級，主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制；同級部門間的訪問控制；部門網(wǎng)內(nèi)部的安全審計。

　　--第三級：終端/個人用戶級，實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制；數(shù)據(jù)庫及終端信息資源的安全保護。

　　需求、風險、代價平衡的原則對任一網(wǎng)絡，絕對安全難以達到，也不一定是必要的。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

　　綜合性、整體性原則應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網(wǎng)絡，包括個人、設備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡安全體系結構。

　　可用性原則安全措施需要人為去完成，如果措施過于復雜，要求過高，本身就降低了安全性，如密鑰管理就有類似的問題。其次，措施的采用不能影響系統(tǒng)的正常運行，如不采用或少采用極大地降低運行速度的密碼算法。

　　分步實施原則：分級管理分步實施由于網(wǎng)絡系統(tǒng)及其應用擴展范圍廣闊，隨著網(wǎng)絡規(guī)模的擴大及應用的增加，網(wǎng)絡脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

　　二、網(wǎng)絡信息安全系統(tǒng)設計步驟

　　網(wǎng)絡安全需求分析

　　確立合理的目標基線和安全策略

　　明確準備付出的代價

　　制定可行的技術方案

　　工程實施方案(產(chǎn)品的選購與定制)

　　制定配套的法規(guī)、條例和管理辦法

　　本方案主要從網(wǎng)絡安全需求上進行分析，并基于網(wǎng)絡層次結構，提出不同層次與安全強度的校園網(wǎng)網(wǎng)絡信息安全解決方案。

　　三、網(wǎng)絡安全需求

　　確切了解校園網(wǎng)網(wǎng)絡信息系統(tǒng)需要解決哪些安全問題是建立合理安全需求的基礎。一般來講，校園網(wǎng)網(wǎng)絡信息系統(tǒng)需要解決如下安全問題：

　　局域網(wǎng)LAN內(nèi)部的安全問題，包括網(wǎng)段的劃分以及VLAN的實現(xiàn)

　　在連接Internet時，如何在網(wǎng)絡層實現(xiàn)安全性

　　應用系統(tǒng)如何保證安全性l如何防止黑客對網(wǎng)絡、主機、服務器等的入侵

　　如何實現(xiàn)廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?/p>

　　加密系統(tǒng)如何布置，包括建立證書管理中心、應用系統(tǒng)集成加密等

　　如何實現(xiàn)遠程訪問的安全性

　　如何評價網(wǎng)絡系統(tǒng)的整體安全性

　　基于這些安全問題的提出，網(wǎng)絡信息系統(tǒng)一般應包括如下安全機制：訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認證、隱藏網(wǎng)絡內(nèi)部信息(如NAT)等。

　　四、網(wǎng)絡安全層次及安全措施

　　4.1鏈路安全

　　4.2網(wǎng)絡安全

　　4.3信息安全網(wǎng)絡的安全層次分為:鏈路安全、網(wǎng)絡安全、信息安全網(wǎng)絡的安全層次及在相應層次上采取的安全措施見下表。

　　信息安全信息傳輸安全(動態(tài)安全)數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全(靜態(tài)安全)數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(CA)

　　網(wǎng)絡安全訪問控制(防火墻)網(wǎng)絡安全檢測入侵檢測(監(jiān)控)IPSEC(IP安全)審計分析鏈路安全鏈路加密

　　4.1鏈路安全

　　鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。加密后的數(shù)據(jù)不能進行路由交換。因此，在加密后的數(shù)據(jù)不需要進行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設備。

　　一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網(wǎng)，同步線路密碼機則可用于許多專線環(huán)境。

　　4.2網(wǎng)絡安全

　　網(wǎng)絡的安全問題主要是由網(wǎng)絡的開放性、無邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡的安全首先應該考慮把被保護的網(wǎng)絡由開放的、無邊界的網(wǎng)絡環(huán)境中獨立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡。也只有做到這一點，實現(xiàn)信息網(wǎng)絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡)與外部不可信任網(wǎng)絡(如因特網(wǎng))之間或是內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。

　　目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結合。包過濾防火墻通?；贗P數(shù)據(jù)包的源或目標IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協(xié)議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；其缺點是對每種應用協(xié)議都需提供相應的代理程序，并且基于代理的防火墻常常會使網(wǎng)絡性能明顯下降。應指出的是，在網(wǎng)絡安全問題日益突出的今天，防火墻技術發(fā)展迅速，目前一些領先防火墻廠商已將很多網(wǎng)絡邊緣功能及網(wǎng)管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功能、NAT功能等等。

　　信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個良好的開端，但它只能解決60%-80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，這些都是對信息系統(tǒng)安全的挑戰(zhàn)。

　　信息系統(tǒng)的安全應該是一個動態(tài)的發(fā)展過程，應該是一種檢測──監(jiān)視──安全響應的循環(huán)過程。動態(tài)發(fā)展是系統(tǒng)安全的規(guī)律。網(wǎng)絡安全風險評估和入侵監(jiān)測產(chǎn)品正是實現(xiàn)這一目標的必不可少的環(huán)節(jié)。

　　網(wǎng)絡安全檢測是對網(wǎng)絡進行風險評估的重要措施，通過使用網(wǎng)絡安全性分析系統(tǒng)，可以及時發(fā)現(xiàn)網(wǎng)絡系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報告系統(tǒng)存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達到增強網(wǎng)絡安全性的目的。

　　入侵檢測系統(tǒng)是實時網(wǎng)絡違規(guī)自動識別和響應系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護的網(wǎng)絡上或網(wǎng)絡上任何有風險存在的地方，通過實時截獲網(wǎng)絡數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問嘗試。當發(fā)現(xiàn)網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。

　　另外，使用IP信道加密技術(IPSEC)也可以在兩個網(wǎng)絡結點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數(shù)據(jù)完整性機制。利用IP封裝凈載(IP ESP)可以實現(xiàn)通信內(nèi)容的保密。IP信道加密技術的優(yōu)點是對應用透明，可以提供主機到主機的安全服務，并通過建立安全的IP隧道實現(xiàn)虛擬專網(wǎng)即VPN。目前基于IPSEC的安全產(chǎn)品主要有網(wǎng)絡加密機，另外，有些防火墻也提供相同功能。

　　五、校園網(wǎng)網(wǎng)絡安全解決方案

　　5.1基本防護體系(包過濾防火墻+NAT+計費)

　　用戶需求：全部或部分滿足以下各項

　　·解決內(nèi)外網(wǎng)絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡

　　·解決內(nèi)部網(wǎng)安全問題，隔離內(nèi)部不同網(wǎng)段，建立VLAN

　　·根據(jù)IP地址、協(xié)議類型、端口進行過濾

　　·內(nèi)外網(wǎng)絡采用兩套IP地址，需要網(wǎng)絡地址轉換NAT功能

　　·支持安全服務器網(wǎng)絡SSN

　　·通過IP地址與MAC地址對應防止IP欺騙

　　·基于IP地址計費

　　·基于IP地址的流量統(tǒng)計與限制

　　·基于IP地址的黑白名單

　　·防火墻運行在安全操作系統(tǒng)之上

　　·防火墻為獨立硬件

　　·防火墻無IP地址解決方案：采用網(wǎng)絡衛(wèi)士防火墻PL FW1000

　　5.2標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)

　　用戶需求：在基本防護體系配置的基礎之上，全部或部分滿足以下各項

　　·提供應用代理服務，隔離內(nèi)外網(wǎng)絡

　　·用戶身份鑒別

　　·權限控制

　　·基于用戶計費

　　·基于用戶的流量統(tǒng)計與控制

　　·基于WEB的安全管理

　　·支持VPN及其管理

　　·支持透明接入

　　·具有自身保護能力，防范對防火墻的常見攻擊

　　解決方案：

　　(1)選用網(wǎng)絡衛(wèi)士防火墻PL FW2000 (2)防火墻基本配置+網(wǎng)絡加密機(IP協(xié)議加密機)

　　5.3強化防護體系(包過濾+NAT+計費+代理+VPN+網(wǎng)絡安全檢測+監(jiān)控)

　　用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項

　　·網(wǎng)絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備)

　　·操作系統(tǒng)安全性檢測

　　·網(wǎng)絡監(jiān)控與入侵檢測

　　解決方案：選用網(wǎng)絡衛(wèi)士防火墻PL FW2000+網(wǎng)絡安全分析系統(tǒng)+網(wǎng)絡監(jiān)控器