鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案

《鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案》由會員分享，可在線閱讀，更多相關(guān)《鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案（41頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 1 鐵道警官高等?？茖W(xué)院鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目網(wǎng)絡(luò)改造與升級項目規(guī)劃方案規(guī)劃方案河南九洲計算機有限公司河南九洲計算機有限公司2010 年年 11 月月 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 2 目錄目錄前前 言言.41項目名稱項目名稱.52項目概述項目概述.53設(shè)計目標(biāo)設(shè)計目標(biāo).64設(shè)計原則設(shè)計原則.65相關(guān)政策法規(guī)和文件相關(guān)政策法規(guī)和文件.75.1 國家信息安全標(biāo)準(zhǔn)、指南.75.2 國際信息安全標(biāo)準(zhǔn).86項目需求分析項目需求分析 .86.1 現(xiàn)狀描述 .86.2 需求分析.

2、96.2.1上網(wǎng)行為管理需求.96.2.2數(shù)據(jù)備份需求.106.2.3網(wǎng)絡(luò)運維監(jiān)控需求.106.2.4入侵防御需求.106.2.5入侵檢測需求.136.2.6漏洞掃描需求.166.2.7VOD點播系統(tǒng)需求.187 7 安全技術(shù)體系設(shè)計安全技術(shù)體系設(shè)計.187.1 安全技術(shù)體系總體框架設(shè)計.187.1.1 網(wǎng)絡(luò)安全.197.1.2 主機安全.197.1.3 應(yīng)用安全.207.1.4 集中的安全管理和監(jiān)控.207.2 防火墻系統(tǒng)設(shè)計 .21 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 3 7.2.1 防火墻系統(tǒng)部署的意義.217.2.2 防火墻系統(tǒng)部署方式.217.2.3

3、 防火墻系統(tǒng)部署效果.227.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計.247.3.1 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)的意義.247.3.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署方式.247.4 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計.257.4.1 部署內(nèi)網(wǎng)安全管理系統(tǒng)的意義.257.4.2 內(nèi)網(wǎng)安全管理系統(tǒng)部署方式.267.4.3 內(nèi)網(wǎng)安全管理系統(tǒng)部署效果.267.5 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計.287.5.1 部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義.287.5.2 網(wǎng)絡(luò)防病毒系統(tǒng)部署原則.307.5.3 網(wǎng)絡(luò)防病毒系統(tǒng)署方式.317.5.4 整體防毒系統(tǒng)所達到的效果.327.6 漏洞掃描子系統(tǒng)設(shè)計.337.6.1 漏洞掃描部署方案.337.6.2 漏洞掃描的作用.3

4、37.7 網(wǎng)絡(luò)運維監(jiān)控設(shè)計.357.7.1 系統(tǒng)平臺構(gòu)成.357.7.2 系統(tǒng)技術(shù)架構(gòu).357.8 VOD 點播系統(tǒng)設(shè)計 .378 設(shè)備清單設(shè)備清單.41 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 4 前前 言言數(shù)字化校園是以網(wǎng)絡(luò)為基礎(chǔ)，利用先進的信息化手段和工具，實現(xiàn)從環(huán)境（包括設(shè)備、教室等） 、資源（如圖書、講義、課件等） 、到活動（包括教、學(xué)、管理、服務(wù)、辦公等）的全部數(shù)字化，在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個數(shù)字空間以拓展現(xiàn)實校園的時間和空間維度，從而提升了傳統(tǒng)校園的效率，擴展了傳統(tǒng)校園的功能，最終實現(xiàn)教育過程的全面信息化。實施數(shù)字化校園工程的核心目標(biāo)核心目標(biāo)是充分

5、利用信息技術(shù)，建立多層次、創(chuàng)新型、開放式的高等學(xué)校，提高辦學(xué)的質(zhì)量和效益。要以新的人才觀、教學(xué)觀和管理理論為指導(dǎo)，超越傳統(tǒng)的高等教育模式，培養(yǎng)適應(yīng)信息社會要求的創(chuàng)新型人才。具體來說： 在教學(xué)方面：在教學(xué)方面：要利用多媒體、網(wǎng)絡(luò)技術(shù)實現(xiàn)高質(zhì)量教學(xué)資源、信息資源和智力資源的共享與傳播，并同時促進高水平的師生互動，促進主動式、協(xié)作式、研究型的學(xué)習(xí)，從而形成開放、高效的教學(xué)模式，更好地培養(yǎng)學(xué)生的信息素養(yǎng)以及問題解決能力和創(chuàng)新能力。 在科研方面：在科研方面：要利用互聯(lián)網(wǎng)促進科研資源和設(shè)備的共享，加快科研信息傳播，促進國際性學(xué)術(shù)交流，開展網(wǎng)上合作研究，并且利用網(wǎng)絡(luò)促進最新科研成果向教學(xué)領(lǐng)域的轉(zhuǎn)化，以及科研

6、成果的產(chǎn)業(yè)化和市場化，從而大大提高科研的創(chuàng)新水平和輻射力。 在管理方面：在管理方面：要利用信息技術(shù)實現(xiàn)職能信息管理的自動化，實現(xiàn)上下級部門之間更迅速便捷的溝通，實現(xiàn)不同職能部門之間的數(shù)據(jù)共享與協(xié)調(diào)，提高決策的科學(xué)性和民主性，減員增效，形成充滿活力的新型管理機制。 在公共服務(wù)體系方面：在公共服務(wù)體系方面：要建立覆蓋學(xué)校教學(xué)、科研、管理、生活等各個區(qū)域的寬帶高速網(wǎng)絡(luò)環(huán)境，提供面向全體師生的基本網(wǎng)絡(luò)服務(wù)和正版軟件服務(wù)；要建設(shè)高質(zhì)量的數(shù)字化的圖書館、教學(xué)樓、實訓(xùn)中心等；要在校園內(nèi)建立電子身份及其認證系統(tǒng)，從而為學(xué)校高水平的教學(xué)、科研和管理等提供強有力的支撐。 在學(xué)校社區(qū)服務(wù)方面：在學(xué)校社區(qū)服務(wù)方面：要

7、適應(yīng)后勤社會化改革的需要開展各種網(wǎng)絡(luò)化服務(wù) 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 5 項目，包括電子商務(wù)、電子醫(yī)療等，為師生員工提供便捷、高效、集成、健康的生活和休閑娛樂服務(wù)，形成智能型的社區(qū)服務(wù)體系。鐵道警官高等?？茖W(xué)校在目前形勢下開展校園網(wǎng)改造與升級建設(shè)應(yīng)該是非常有利的。鐵道警官學(xué)校校園網(wǎng)改造與升級工程建設(shè)完成后，新的校園網(wǎng)將為現(xiàn)代化教育和教學(xué)，方便教工、學(xué)生科研和學(xué)習(xí)發(fā)揮重要的作用，也為將來學(xué)校數(shù)字化校園的建設(shè)奠定良好的網(wǎng)絡(luò)基礎(chǔ)。以下是信息安全建設(shè)規(guī)劃的正式計劃書：1 項目名稱項目名稱項目名稱：項目名稱：鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目2 項目概述項

8、目概述高校教育信息化是指高等學(xué)校為適應(yīng)信息化社會的要求，營造信息應(yīng)用環(huán)境，整合教育資源，促進和深化教育教學(xué)改革，在教學(xué)、科研、學(xué)習(xí)、管理、后勤服務(wù)等各方面全面運用以計算機、多媒體和網(wǎng)絡(luò)通訊為基礎(chǔ)的現(xiàn)代信息技術(shù)，實現(xiàn)教育教學(xué)全過程的信息化。從概念上來看，教育信息化是從信息技術(shù)與教育的關(guān)系出發(fā)，側(cè)重以有關(guān)信息技術(shù)的觀念、思想、設(shè)施、設(shè)備、知識和技能等來影響教育的過程和結(jié)果。理解這一概念，不能片面地認為高校的教育信息化只是為教學(xué)服務(wù)的，而是要從宏觀廣義的角度來理解，方能準(zhǔn)確把握其概念，全面掌握教育信息化的豐富內(nèi)涵。高校的教育信息化既是以教學(xué)信息化為核心，以為教學(xué)服務(wù)為重點，同時還為科研、管理、后勤、

9、產(chǎn)業(yè)等(包括學(xué)生的學(xué)習(xí)活動)凡是為實現(xiàn)育人目標(biāo)為開展的各類活動提供服務(wù)，并成為各類活動的具體表現(xiàn)形式和服務(wù)手段。教育信息化的手段是運用現(xiàn)代信息技術(shù)，本質(zhì)是改善高校辦學(xué)條件和增強高校的辦學(xué)水平，目的是為了提高人才的培養(yǎng)質(zhì)量，表現(xiàn)形式和發(fā)展結(jié)果必然是數(shù)字化校園。鐵道警官高等專科學(xué)院現(xiàn)有網(wǎng)絡(luò)因為各種原因，設(shè)計較為混亂，還須進一步優(yōu)化；網(wǎng)絡(luò)安全設(shè)備較少，網(wǎng)絡(luò)安全有待進一步強化，鞏固安全措施；管理不嚴(yán)格，學(xué)生私用無線路由器海量下載，占用帶寬，嚴(yán)重影響了教學(xué)辦公工作 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 6 的正常使用，需要從技術(shù)手段上加強管理；校內(nèi)應(yīng)用系統(tǒng)較少，課件管理混

10、亂，急需一套 VOD 點播系統(tǒng)，推進課件管理的規(guī)范化。3 設(shè)計目標(biāo)設(shè)計目標(biāo)鐵道警官高等?？茖W(xué)校校園網(wǎng)將改造升級成為一個以辦公自動化、計算機輔助教學(xué)、現(xiàn)代計算機校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進、擴展性強、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中心等）的校園主干網(wǎng)絡(luò)。將學(xué)校的各種微機、工作站、終端設(shè)備和局域網(wǎng)連接起來并與國家科研教育網(wǎng)相連，在網(wǎng)上對外宣傳學(xué)校的形象，獲取Internet 網(wǎng)上的教育資源，形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計算機網(wǎng)絡(luò)系統(tǒng)。在此基礎(chǔ)上以信息化教育和管理模式為目的建立滿足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，建成數(shù)字

11、校園，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。 網(wǎng)絡(luò)進行優(yōu)化后，實現(xiàn)教育網(wǎng)和網(wǎng)通網(wǎng)的雙鏈路冗余結(jié)構(gòu)，其中的一個網(wǎng)絡(luò)不通的情況下，可切換到另外一個網(wǎng)絡(luò)，保證 7*24 小時網(wǎng)絡(luò)可用。 增加網(wǎng)絡(luò)設(shè)備，防止外來不法人員的入侵，內(nèi)部安全可靠，病毒得到有效控制，涉密信息得到安全穩(wěn)妥的保護。 為校園網(wǎng)用戶根據(jù)職責(zé)，工作需要不同，設(shè)置不同的帶寬，使校園網(wǎng)應(yīng)用真正落到實處，真正發(fā)揮實際的效用。 建設(shè)數(shù)字化點播系統(tǒng)，為教師授課高效快捷的提供課件等網(wǎng)絡(luò)資源。4 設(shè)計原則設(shè)計原則鐵道警官高等專科學(xué)校校園網(wǎng)改造升級項目設(shè)計將遵守下面的基本原則，以實用為主，選用先進的、成熟的技術(shù)，設(shè)計中充分考慮系統(tǒng)的開放性，考慮到未來的

12、發(fā)展，便于各子系統(tǒng)的互聯(lián)和擴展。 實用性：系統(tǒng)的設(shè)計應(yīng)以實用為第一原則。在符合需要的前提下，合理平衡系統(tǒng)的經(jīng)濟性與超前性，以避免片面追求超前性而偏離實際，或片面追求經(jīng)濟性而損害鐵道警官高等專科學(xué)校校園網(wǎng)的智能性。 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 7 先進性：鐵道警官高等?？茖W(xué)校校園網(wǎng)改造升級項目采用的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備在使用期間，具有一定的先進性，避免因技術(shù)陳舊造成整個校園網(wǎng)系統(tǒng)性能不高和過早淘汰。 成熟性：在充分考慮先進性的同時，優(yōu)先選擇成熟技術(shù)，最大限度地發(fā)揮投資效益。 可靠性：系統(tǒng)無論在硬件上還是在軟件上都應(yīng)采取多種保護措施，保證系統(tǒng) 24 小時不間斷正

13、常運行。子系統(tǒng)故障不影響其他子系統(tǒng)運行，也不影響集成系統(tǒng)除該子系統(tǒng)以外的其他功能的運行。同時還應(yīng)充分考慮系統(tǒng)權(quán)限安全措施，進一步保證系統(tǒng)的可靠性。 經(jīng)濟性：升級工程所選用的設(shè)備與系統(tǒng)，以現(xiàn)有成熟的設(shè)備與系統(tǒng)為基礎(chǔ)，以總體目標(biāo)為方向，局部服從全局，力求系統(tǒng)在初次投入和整個運行生命周期獲得最佳的性能/價格比。 開放可擴展性：系統(tǒng)設(shè)計盡量采用國家和國際標(biāo)準(zhǔn)及規(guī)范，兼容不同廠商、不同協(xié)議的設(shè)備和系統(tǒng)的信號傳輸，各子系統(tǒng)可方便進出系統(tǒng)。并對近期可望使用的技術(shù)予以考慮。無論是系統(tǒng)設(shè)備還是網(wǎng)絡(luò)拓撲結(jié)構(gòu)，都應(yīng)具有良好的開放性，用戶可以根據(jù)需要變化，對系統(tǒng)進行擴展或升級。 易維護性：系統(tǒng)必須具有高度的可維護性和

14、易維護性，盡量做到所需維護人員少，維護工作量小，維護強度低，維護費用低。 服務(wù)性：從設(shè)計、施工到運行，始終圍繞為用戶服務(wù)這個宗旨，讓用戶用得放心、用得安心、用得省心、用得舒心。5 相關(guān)政策法規(guī)和文件相關(guān)政策法規(guī)和文件5.1 國家信息安全標(biāo)準(zhǔn)、指南國家信息安全標(biāo)準(zhǔn)、指南 GB/T 202742006 信息系統(tǒng)安全保障評估框架 GB/T 19715.12005 信息技術(shù)信息技術(shù)安全管理指南第 1 部分信息技術(shù)安全概念和模型 GB/T19715.22005 信息技術(shù)信息技術(shù)安全管理指南第 2 部分管理和規(guī)劃 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 8 信息技術(shù)安全 GB

15、/T 197162005 信息技術(shù)信息安全管理實用規(guī)則 GB/T 183362001 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則 GB/T 209842007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 GB/T 209882007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 GB/Z 209862007 信息安全事件分類分級指南 GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 信息系統(tǒng)安全保護等級定級指南（報批稿） 信息系統(tǒng)安全等級保護實施指南（報批稿） 信息系統(tǒng)安全等級保護基本要求（報批稿） 信息系統(tǒng)安全等級保護測評準(zhǔn)則（送審稿） 信息安全等級保護管理辦法（公通字 2007 43 號） 5.2 國際信息安全標(biāo)

16、準(zhǔn)國際信息安全標(biāo)準(zhǔn) ISO/IEC 27001:2005 信息安全技術(shù) 信息系統(tǒng)安全管理要求 ISO/IEC 13335 信息技術(shù) 信息技術(shù)安全管理指南 第 1 部分：信息技術(shù)安全概念和模型 ISO/IEC TR 154431: 2005 信息技術(shù)安全保障框架 第一部分 概述和框架 ISO/IEC TR 154432: 2005 信息技術(shù)安全保障框架 第二部分 保障方法 ISO/IEC WD 154433 信息技術(shù)安全保障框架 第三部分 保障方法分析 ISO/IEC PDTR 19791: 2004 信息技術(shù) 安全技術(shù) 運行系統(tǒng)安全評估6 項目需求分析項目需求分析6.1 現(xiàn)狀描述現(xiàn)狀描述鐵道警

17、官高等專科學(xué)校校園網(wǎng)現(xiàn)已建成為一個以辦公自動化、計算機輔助教學(xué)、現(xiàn)代計算機校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進、擴展性強、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 9 心等）的校園主干網(wǎng)絡(luò)。已將學(xué)校的各種微機、工作站、終端設(shè)備和局域網(wǎng)連接起來并與國家科研教育網(wǎng)相連，在網(wǎng)上對外宣傳學(xué)校的形象，獲取 Internet網(wǎng)上的教育資源，形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計算機網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)已完成學(xué)校教育信息化的基礎(chǔ)設(shè)施建設(shè)，包括學(xué)校校區(qū)的綜合布線系統(tǒng)，計算機網(wǎng)絡(luò)系統(tǒng)和服務(wù)器系統(tǒng)的建設(shè)。6.2 需求分析需求分析

18、6.2.1 上網(wǎng)行為管理需求上網(wǎng)行為管理需求近年來,國內(nèi)高等院校的信息化水平快速發(fā)展, 互聯(lián)網(wǎng)也發(fā)揮著越來越重要的作用;與此同時，網(wǎng)絡(luò)的安全問題日益突出，利用互聯(lián)網(wǎng)進行違法犯罪的案件呈日益增長的趨勢, 散布各種損害學(xué)校名譽的情況也時有發(fā)生。而高教行業(yè)動輒成千上萬的內(nèi)網(wǎng)用戶規(guī)模，一方面為網(wǎng)絡(luò)帶寬帶來很大壓力，另一方面用戶眾多難于管理，很容易出現(xiàn)網(wǎng)絡(luò)安全問題。國家教育部、公安部等相關(guān)部門也三令五申地要求各高校切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在校園網(wǎng)絡(luò)建設(shè)的過程中，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 10 速增長、關(guān)鍵性應(yīng)用

19、的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色。作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運行不受各種網(wǎng)絡(luò)黑客的侵害，并對學(xué)生的上網(wǎng)行為進行有效的管理，已經(jīng)成為了各個高校不可回避的緊迫問題。6.2.2 數(shù)據(jù)備份需求數(shù)據(jù)備份需求鐵道警官高等?？茖W(xué)院現(xiàn)有應(yīng)用系統(tǒng)及數(shù)據(jù)庫備份機制為手工備份，備份間隔時間長，而且極不方便。6.2.3 網(wǎng)絡(luò)運維監(jiān)控需求網(wǎng)絡(luò)運維監(jiān)控需求鐵道警官高等專科學(xué)院經(jīng)過多年的發(fā)展，信息化水平有了很大提高，信息化覆蓋范圍已經(jīng)涵蓋了整個校園的各個角落，是一個龐大且復(fù)雜的網(wǎng)

20、絡(luò)，但是信息化管理辦公室運維中遇到的了很多的問題：設(shè)備種類以及型號多，對設(shè)備的維護不具備統(tǒng)一性；由于設(shè)備多，所以對設(shè)備進行的操作和改動往往無法記錄和查詢；由于是網(wǎng)絡(luò)規(guī)模較大，所以網(wǎng)絡(luò)中的數(shù)據(jù)活動比較豐富，難以掌控；對網(wǎng)絡(luò)流量的分析存在瓶頸，無法得知網(wǎng)絡(luò)堵塞從何而來；網(wǎng)絡(luò)時快時慢，時通時斷，但不知道問題出自哪里；缺少統(tǒng)一且集中的管理平臺，分散的管理造成資源浪費和成本增加；因此為了改變這一不利局面，我們建議部署網(wǎng)絡(luò)管理軟件，對整網(wǎng)運行情況和在線設(shè)備進行管理和監(jiān)控。6.2.4 入侵防御需求入侵防御需求首先我們來探討一個問題：入侵攻擊行為包括哪些？什么樣的行為可以稱為入侵攻擊行為？我們來看對入侵行為的

21、標(biāo)準(zhǔn)定義：入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠，不可用的故意行為。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 11 通常提到對入侵行為的防御，大家都會想到防火墻。防火墻作為企業(yè)級安全保障體系的第一道防線，已經(jīng)得到了非常廣泛的應(yīng)用，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是需要實時的阻斷防御與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應(yīng)用層攻擊等行為無法進行判斷

22、，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達不到完全防御的要求。想要實現(xiàn)完全的入侵防御，就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：online 式在線部署，深層分析網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。有數(shù)據(jù)顯示，70%以上的攻擊行為發(fā)生在傳輸層和應(yīng)用層之間，我們稱這類4-7 層上的攻擊為深層攻擊行為。深層攻擊行為有如下特點：第一：新攻擊種類出現(xiàn)頻率高，新攻擊手段出現(xiàn)速度快。據(jù)美國 CERT/CC 的統(tǒng)計數(shù)據(jù)，2006 年共收到信息系統(tǒng)漏洞報告 8064 個，比 2005 年增長了 34.6%，漏洞數(shù)量的迅速增長

23、標(biāo)志著新攻擊類型的迅速增長，而在同一份報告中，采用分布式蜜罐技術(shù)捕獲的新攻擊樣本數(shù)量平均每天有近100 個，最多的一天幾近 700，這意味著平均每天發(fā)現(xiàn) 100 種新的攻擊手段，最多的一天發(fā)現(xiàn)的新攻擊手段可多達 700 種，這是一個非常驚人的數(shù)據(jù)。第二：攻擊過程隱蔽。文件捆綁：打開一份文檔，結(jié)果執(zhí)行了一個與文檔捆綁的木馬程序；文件偽裝：可愛的熊貓圖片，竟然是蠕蟲病毒；跨站腳本攻擊：僅僅是訪問了一個網(wǎng)站的頁面，就被安上了間諜軟件。攻擊行為正以越來越可以亂真的面貌出現(xiàn)。除了深層攻擊行為這些自身的特點外，越來越多的業(yè)務(wù)應(yīng)用，也增加了判斷攻擊行為的難度：到底是正常的應(yīng)用還是是違規(guī)的應(yīng)用呢？如何更好的實

24、現(xiàn)對這些深層攻擊的防御，是入侵防御系統(tǒng)需要解決的問題。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 12 深層需要高效和準(zhǔn)確，防御則意味著及時的阻斷，深層防御需要兼顧兩者。由于一些復(fù)雜行為不易通過簡單的特征識別是否屬于攻擊，導(dǎo)致用戶資產(chǎn)未得到充分保護，甚至影響正常業(yè)務(wù)。入侵防御系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、SQL 注入等無法通過特征判斷的攻擊行為也能實現(xiàn)精確阻斷。這標(biāo)志著入侵防御系統(tǒng)的精確阻斷能力達到國際領(lǐng)先水平。IPS 能實現(xiàn)的精確阻斷精確阻斷溢出攻擊精確阻斷木馬后門精確阻斷

25、即時通訊行為精確阻斷 SQL 注入攻擊精確阻斷間諜軟件精確阻斷網(wǎng)絡(luò)游戲行為精確阻斷流行蠕蟲攻擊精確阻斷僵尸程序精確阻斷異常協(xié)議行為精確阻斷數(shù)據(jù)庫漏洞攻擊精確阻斷惡意代碼精確阻斷脆弱口令行為精確阻斷操作系統(tǒng)漏洞攻擊精確阻斷掃描探測行為精確阻斷廣告軟件行為在線部署，高效可靠在線部署，高效可靠入侵防御系統(tǒng)是以透明方式串行部署于被保護對像的前端，而作為在線深層防御產(chǎn)品，在達到精確阻斷攻擊行為的同時，需要保障正常業(yè)務(wù)高可用性。入侵防御系統(tǒng)通過內(nèi)置硬件 Watchdog 技術(shù)、軟件監(jiān)控進程，對系統(tǒng)異常實時監(jiān)控和處理，實現(xiàn)軟、硬件雙 Bypass 功能。不增加網(wǎng)絡(luò)故障點。在提升效率方面，入侵防御系統(tǒng)采用任務(wù)

26、與虛擬 CPU 綁定的技術(shù)，消除并行處理的等待和切換時間；基于任務(wù)特點合理分配、高效利用硬件資源，根據(jù)分析任務(wù)特征自動選擇最優(yōu)算法，提升匹配效率；實現(xiàn)微秒級時延，滿足電信級業(yè)務(wù)的應(yīng)用。綜合管理，易用、易查綜合管理，易用、易查入侵防御系統(tǒng)支持向?qū)降牟呗耘渲霉芾?，可根?jù)需求靈活調(diào)整保護策略，達到最佳防御效果；在及時準(zhǔn)確發(fā)現(xiàn)各類攻擊的同時，提供多種響應(yīng)方式；此外，還對歷史記錄信息提供細致的查詢分析功能。入侵防御系統(tǒng)綜合管理功能列表管理功能用戶管理、拓撲管理、配置管理、策略管理等 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 13 狀態(tài)監(jiān)控系統(tǒng)狀態(tài)監(jiān)控、拓撲（通訊）狀態(tài)監(jiān)控等

27、告警響應(yīng)阻斷鏈接、報警顯示、記錄日志，郵件告警、SNMP TRAP 信息等報表分析分類報表分析、綜合報表分析、管理報表分析、自定義報表分析等支持在線更新，防御最新威脅支持在線更新，防御最新威脅隨著攻擊種類日益增加，對最新威脅的防御成為考核入侵防御系統(tǒng)升級能力與廠商及時響應(yīng)能力的一項重要指標(biāo)。入侵防御系統(tǒng)可通過在線自動升級，增加防御最新威脅的事件特征和分析算法，精確阻斷新的威脅類型。核心服務(wù)器區(qū)承載廣域網(wǎng)全部的重要服務(wù)請求，開放端口較少，主要安全威脅來自于對已開放端口的應(yīng)用層行為攻擊，包括用戶權(quán)限不當(dāng)提升造成的信息泄露、網(wǎng)絡(luò)病毒的傳播與爆發(fā)期的網(wǎng)絡(luò)堵塞以及各類違規(guī)應(yīng)用造成的異常流量。6.2.5

28、入侵檢測需求入侵檢測需求鐵道警官高等?？茖W(xué)院的服務(wù)器、客戶端主機系統(tǒng)大多為 WIN2K 系統(tǒng)，漏洞較多，很容易被攻擊或入侵。網(wǎng)絡(luò)內(nèi)部沒有監(jiān)控措施，必須實時的對網(wǎng)絡(luò)連接和傳輸?shù)臄?shù)據(jù)進行監(jiān)控，發(fā)現(xiàn)入侵行為馬上報警，或進行阻斷。入侵是對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進行操作,威脅計算機或網(wǎng)絡(luò)的安全機制（包括機密性、完整性、可用性）的行為。入侵可能是來自互聯(lián)網(wǎng)的攻擊者對系統(tǒng)的非法訪問，也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進行非法訪問。入侵技術(shù)和手段是不斷發(fā)展的。從攻擊者的角度說，入侵所需要的技術(shù)是復(fù)雜的，而應(yīng)用的手段往往又表現(xiàn)得非常簡單，如下圖所示。這種特點導(dǎo)致攻擊現(xiàn)象越來越普遍，對

29、網(wǎng)絡(luò)和計算機的威脅也越來越突出。 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 14 入侵過程一般可以概括為五個步驟或階段，我們可以就入侵過程的五個階段來分析其應(yīng)用的技術(shù)和手段。需要注意的是，作為具體的攻擊，不一定完全按此五個階段進行。信息探測信息探測信息探測一般是入侵過程的開始，攻擊者開始對網(wǎng)絡(luò)內(nèi)部或外部進行有意或無意的可攻擊目標(biāo)的搜尋，主要應(yīng)用的技術(shù)包括：目標(biāo)路由信息探測、目標(biāo)主機操作系統(tǒng)探測、端口探測、帳戶信息搜查、應(yīng)用服務(wù)和應(yīng)用軟件信息探測以及目標(biāo)系統(tǒng)已采取的防御措施查找等等。目前，攻擊者采用的手段主要是掃描工具，如操作系統(tǒng)指紋鑒定工具、端口掃描工具等等。攻擊嘗

30、試攻擊嘗試攻擊者在進行信息探測后，獲取了其需要的相關(guān)信息，也就確定了在其知識范疇內(nèi)比較容易實現(xiàn)的攻擊目標(biāo)嘗試對象，然后開始對目標(biāo)主機的技術(shù)或管理漏洞進行深入分析和驗證，這就意味著攻擊嘗試的進行。目前，攻擊者常用的手段主要是漏洞校驗和口令猜解，如：專用的 CGI 漏洞掃描工具、登錄口令破解等等。權(quán)限提升權(quán)限提升攻擊者在進行攻擊嘗試以后，如果成功也就意味著攻擊者從原先沒有權(quán)限 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 15 的系統(tǒng)獲取了一個訪問權(quán)限，但這個權(quán)限可能是受限制的，于是攻擊者就會采取各種措施，使得當(dāng)前的權(quán)限得到提升，最理想的就是獲得最高權(quán)限（如Admin 或者

31、 Root 權(quán)限） ，這樣攻擊者才能進行深入攻擊。這個過程就是權(quán)限提升。目前，攻擊者常用的手段主要是通過緩沖區(qū)溢出的攻擊方式。深入攻擊深入攻擊攻擊者通過權(quán)限提升后，一般是控制了單臺主機，從而獨立的入侵過程基本完成。但是，攻擊者也會考慮如何將留下的入侵痕跡消除，同時開辟一條新的路徑便于日后再次進行更深入地攻擊，因此，作為深入攻擊的主要技術(shù)手段就有日志更改或替換、木馬植入以及進行跳板攻擊等等。木馬的種類更是多種多樣，近年來，木馬程序結(jié)合病毒的自動傳播來進行入侵植入更是屢見不鮮。拒絕服務(wù)拒絕服務(wù)如果目標(biāo)主機的防范措施比較好，前面的攻擊過程可能不起效果。作為部分惡意的攻擊者還會采用拒絕服務(wù)的攻擊方式，

32、模擬正常的業(yè)務(wù)請求來阻塞目標(biāo)主機對外提供服務(wù)的網(wǎng)絡(luò)帶寬或消耗目標(biāo)主機的系統(tǒng)資源，使正常的服務(wù)變得非常困難，嚴(yán)重的甚至導(dǎo)致目標(biāo)主機宕機，從而達到攻擊的效果。目前，拒絕服務(wù)工具成為非常流行的攻擊手段，甚至結(jié)合木馬程序發(fā)展成為分布式拒絕服務(wù)攻擊，其攻擊威力更大。網(wǎng)絡(luò)安全是一個動態(tài)的概念,可以用網(wǎng)絡(luò)動態(tài)安全模型來描述，能夠提供給用戶更完整、更合理的安全機制。全網(wǎng)動態(tài)安全體系可由下面的公式概括：網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全(S)(S) = = 風(fēng)險分析風(fēng)險分析(A)+(A)+ 制定策略制定策略(P)(P) + + 系統(tǒng)防護系統(tǒng)防護(P)(P) + + 實時檢測實時檢測(D)(D) + + 實時響應(yīng)實時響應(yīng)(R)(R

33、) + + 災(zāi)難恢復(fù)災(zāi)難恢復(fù)(R)(R)即：網(wǎng)絡(luò)安全是一個“APPDRR”的動態(tài)安全模型。然而，在這個安全模型中，并非各個部分的重要程度都是等同的。在安全策略的指導(dǎo)下，進行必要的 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 16 系統(tǒng)防護有積極的意義，但是，無論網(wǎng)絡(luò)防護得多么牢固，依舊不能說“網(wǎng)絡(luò)是安全的” 。因為隨著技術(shù)的發(fā)展，任何防護措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實時檢測是處在一個核心的地位。在實時檢測中，入侵檢測系統(tǒng)（英文簡稱 IDS：Intrusion Detection System）是目前最為主要的

34、一個廣泛應(yīng)用的技術(shù)和管理手段。入侵檢測就是對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程。入侵檢測系統(tǒng)則是從多種計算機系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。它能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)傳輸或主機系統(tǒng)，自動檢測可疑行為，及時發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊從而實時響應(yīng)，并提供了安全事件的詳細說明及恢復(fù)、修補措施。入侵檢測系統(tǒng)還可以與防火墻等其它安全產(chǎn)品緊密結(jié)合，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡(luò)安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實時攻擊行為，并對其進行響應(yīng)。從網(wǎng)絡(luò)安全防護上講，防火墻技術(shù)給出了一個靜態(tài)防護的概念，而入侵檢測技術(shù)具有動態(tài)防御的意義。入侵檢測具

35、有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進行統(tǒng)計，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。6.2.6 漏洞掃描需求漏洞掃描需求鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)部署應(yīng)用中，不可能保證各個節(jié)點每時每刻都能處在系統(tǒng)漏洞最少的狀態(tài)。必須有專門的漏洞掃描工具協(xié)助管理員定時對整個系統(tǒng)做安全評估。所以，需要對整個系統(tǒng)進行漏洞掃描系統(tǒng)部署。1988 年第一個針對 UNIX 系統(tǒng)的蠕蟲誕生以來，計算機蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。尤其是近幾年開始針對廣泛使用的 Windows 操作系統(tǒng)的高危蠕蟲不斷出現(xiàn)，給社會造成了巨大的損失，蠕蟲現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)

36、上最可怕的安全威脅。 “沖擊波” ， “震蕩波”都是利用了微軟Windows 系統(tǒng)的漏洞進行傳播和感染，也就是說他們都依賴于漏洞的存在。產(chǎn)生安全漏洞的主要原因有三點：很多軟件在設(shè)計時忽略或者很少考慮安全性問題造成了安全漏洞。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 17 這樣產(chǎn)生的安全漏洞分為兩類：第一類，是由于操作系統(tǒng)本省設(shè)計缺陷帶來的安全漏洞，這類漏洞將被運行在該系統(tǒng)上的應(yīng)用程序所繼承；第二類是應(yīng)用軟件程序的安全漏洞。第二類漏洞更為常見，更需要得到廣泛的關(guān)注。保證系統(tǒng)安全不是僅僅使用個別安全工具就能做到的，需要在對網(wǎng)絡(luò)進行總體分析的前提下制定安全策略，并且用一

37、系列的安全軟件來實現(xiàn)一個完整的安全解決方案。保證系統(tǒng)的安全還需要提高人員的安全防范意識，最終做到安全有效的防范。在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，絕大多數(shù)漏洞存在的原因在于管理員對系統(tǒng)進行了錯誤的配置，或者沒有及時的升級系統(tǒng)軟件到最新的版本。如果及時掌握網(wǎng)絡(luò)中存在漏洞的主機，就能通過安裝補丁程序有效的防范蠕蟲的攻擊和來自網(wǎng)絡(luò)黑客的攻擊。因此就有漏洞掃描技術(shù)和對應(yīng)的技術(shù)工具掃描軟件。在條件許可的情況下，采用漏洞掃描系統(tǒng)選配的漏洞驗證工具，對一些重要網(wǎng)段、服務(wù)器進行模擬滲透攻擊，對網(wǎng)絡(luò)的現(xiàn)有的安全水平進行比較客觀的評價是檢測遠程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。用于檢查、分析網(wǎng)絡(luò)范圍內(nèi)的設(shè)備、網(wǎng)絡(luò)服務(wù)、操作系

38、統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的安全性，從而為提高網(wǎng)絡(luò)安全的等級提供決策的支持。網(wǎng)絡(luò)漏洞掃描基本的原理是通過與目標(biāo)主機 TCP/IP 端口建立連接并請求某些服務(wù)（如 TELNET、FTP 等） ，記錄目標(biāo)主機的應(yīng)答，搜集目標(biāo)主機相關(guān)信息（如匿名用戶是否可以登錄等） ，從而發(fā)現(xiàn)目標(biāo)主機某些內(nèi)在的安全弱點。漏洞掃描技術(shù)的重要性在于把極為煩瑣的安全檢測，通過程序來自動完成，這不僅減輕管理者的工作，而且縮短了檢測時間，使安全問題問題更早被發(fā)現(xiàn)。大多數(shù)情況下而言，使用自動的漏洞掃描技術(shù)可以快速、深入地對網(wǎng)絡(luò)或目標(biāo)主機進行安全檢測。系統(tǒng)管理員利用漏洞掃描技術(shù)對局域網(wǎng)絡(luò)、Web 站點、主機操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻

39、系統(tǒng)的安全漏洞進行掃描，可以了解在運行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能導(dǎo)致黑客攻擊的安全漏洞， 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 18 還可以檢測主機系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯誤等等。利用安全掃描軟件，可以能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和利用之前予以修補，從而提高網(wǎng)絡(luò)的安全性。6.2.7VOD 點播系統(tǒng)需求點播系統(tǒng)需求鐵道警官高等?？茖W(xué)院目前沒有 VOD 課件點播系統(tǒng)。建成后的視頻點播系統(tǒng)可以為全校師生的學(xué)習(xí)、資料保存，內(nèi)容回顧等提供一個良好的管理與發(fā)布平臺，依托校園網(wǎng)網(wǎng)絡(luò)，使教學(xué)資源能夠

40、快速、直觀的提供給每一個師生。7 7 安全技術(shù)體系設(shè)計安全技術(shù)體系設(shè)計7.17.1 安全技術(shù)體系總體框架設(shè)計安全技術(shù)體系總體框架設(shè)計在具體的安全建設(shè)中應(yīng)根據(jù)安全目標(biāo)、網(wǎng)絡(luò)狀況、目前用戶最關(guān)注的安全重點和現(xiàn)有投資規(guī)模選擇當(dāng)前最迫切需要的安全防護機制，用以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠運行。在前面的章節(jié)中我們已經(jīng)對校園網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu)進行了全面分析并按照等級保護的原則對改造后的網(wǎng)絡(luò)信息系統(tǒng)進行了區(qū)域劃分和各區(qū)域的安全保護級別定義。結(jié)合用戶的實際需要，我們設(shè)計了一套由多種安全技術(shù)和多層防護措施構(gòu)成的安全體系總體技術(shù)框架，希望能幫助校園網(wǎng)絡(luò)有效抵御來自內(nèi)、外網(wǎng)絡(luò)的安全威脅。主要包括：（1）網(wǎng)絡(luò)安全劃分安全

41、域，部署防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)等；（2）主機安全部署服務(wù)器/客戶端防病毒系統(tǒng)、終端安全管理系統(tǒng)、補丁管理系統(tǒng)等；（3）應(yīng)用安全部署防惡意代碼系統(tǒng)等；（4）管理 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 19 部署安全管理平臺，在安全管理平臺的基礎(chǔ)上，建立安全管理中心。7.1.17.1.1 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1、邊界防護 在對整個網(wǎng)絡(luò)進行了安全域劃分和確定安全等級后，我們將對各區(qū)域的邊界采取一定的隔離和控制措施，制定適當(dāng)?shù)陌踩呗?，確保在不同安全等級的區(qū)域之間在根據(jù)業(yè)務(wù)需要進行互聯(lián)互通的同時，避免高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。首先

42、我們將根據(jù)整體網(wǎng)絡(luò)的區(qū)域劃分情況進行 VLAN 的劃分和路由規(guī)劃，對安全等級較高的安全域，在其邊界部署狀態(tài)檢測防火墻提供安全防護，對安全等級較低的安全域的邊界則可以使用策略路由或訪問控制列表來進行控制。具體的安全域邊界隔離機制和訪問控制策略建議如下：在互聯(lián)網(wǎng)邊界采用防火墻提供邊界隔離和訪問控制，對外提供信息服務(wù)的WEB、MAIL 服務(wù)器單獨組成一個 DMZ 區(qū)，允許內(nèi)部用戶訪問互聯(lián)網(wǎng)上的特定應(yīng)用，允許互聯(lián)網(wǎng)主機訪問 DMZ 區(qū)服務(wù)器上開放的服務(wù)，拒絕其他所有訪問；2、入侵檢測在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，對外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內(nèi)網(wǎng)發(fā)起的各種高級、復(fù)雜的攻擊

43、行為進行檢測和阻斷。系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，對檢測到的各種攻擊行為均可直接阻斷并生成日志報告和報警信息。3、漏洞掃描系統(tǒng)面向全網(wǎng)實時進行漏洞掃描，發(fā)現(xiàn)安全漏洞，彌補漏洞，降低網(wǎng)絡(luò)風(fēng)險級別。7.1.27.1.2 主機安全主機安全1、服務(wù)器和客戶端病毒防護系統(tǒng) 在整個網(wǎng)絡(luò)中的所有服務(wù)器（WINDOWS、LINUX）和客戶端（WINDOWS）計算機上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件，并配置防病毒系統(tǒng)管理中心對所 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 20 有主機上的防病毒軟件進行集中管理、監(jiān)控、統(tǒng)一升級、集中查殺

44、毒。 2、終端安全管理系統(tǒng)通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署終端安全管理代理軟件，包障網(wǎng)絡(luò)終端的信息安全。3、補丁管理系統(tǒng)通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署補丁管理系統(tǒng)，集中管理客戶端軟件系統(tǒng)補丁的升級、系統(tǒng)配置策略，可以定義終端補丁下載，補丁升級策略以及增強終端系統(tǒng)安全配置策略，并下發(fā)給運行于各終端設(shè)備上的代理程序，代理執(zhí)行這些策略，保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明。此外，為了提高整個網(wǎng)絡(luò)用戶補丁升級的效率，避免由于終端用戶的同時補丁升級給網(wǎng)絡(luò)帶寬帶來的影響，可以在網(wǎng)絡(luò)內(nèi)部搭建補丁升級服務(wù)器，保證終端設(shè)備補丁

45、升級的及時有效。7.1.37.1.3 應(yīng)用安全應(yīng)用安全1、互聯(lián)網(wǎng)惡意代碼防范 當(dāng)前，互聯(lián)網(wǎng)病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入單位所面臨的重要威脅之一，建議在校園網(wǎng)絡(luò)中可能遭到互聯(lián)網(wǎng)惡意代碼侵襲的網(wǎng)絡(luò)邊界位置均部署網(wǎng)關(guān)級的惡意代碼防范系統(tǒng)，徹底阻斷互聯(lián)網(wǎng)惡意代碼在校園網(wǎng)絡(luò)中的傳播。 7.1.47.1.4 集中的安全管理和監(jiān)控集中的安全管理和監(jiān)控部署綜合安全管理平臺，提供集中的安全審計、風(fēng)險管理、事件響應(yīng)，對全網(wǎng)進行統(tǒng)一的安全管理和網(wǎng)絡(luò)管理，在安全管理平臺的基礎(chǔ)上，建立安全運營中心，實現(xiàn)對安全事件的實時檢測、及時響應(yīng)和綜合防護，對網(wǎng)絡(luò)系統(tǒng)安全防護體系的動態(tài)更新，大大降低安全

46、事件發(fā)生的概率，并將安全事件的影響降低到最小。針對校園網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用特點和目前所面臨的主要安全風(fēng)險，結(jié)合業(yè)內(nèi)先進的安全技術(shù)和優(yōu)秀的安全產(chǎn)品，我們提出了集以下多種安全機制于一體的安 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 21 全解決方案，幫助校園網(wǎng)絡(luò)建立覆蓋網(wǎng)絡(luò)、主機、應(yīng)用及管理等各個層面的整體安全防護體系，以確保校園網(wǎng)絡(luò)安全可靠地運行。7.27.2 防火墻系統(tǒng)設(shè)計防火墻系統(tǒng)設(shè)計7.2.17.2.1 防火墻系統(tǒng)部署的意義防火墻系統(tǒng)部署的意義防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，

47、提供內(nèi)外網(wǎng)絡(luò)通信。通過使用 Firewall 過濾不安全的服務(wù)器，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風(fēng)險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動的安全防御工具。 設(shè)立防火墻的目的就是保護一個網(wǎng)絡(luò)不受來自另一個網(wǎng)絡(luò)的攻擊，防火墻的主要功能包括以下幾個方面：（1）防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險。（2）防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實施。防火墻集成所有安全軟件（如口令、加密、認證、審計等） ，比分散管理更經(jīng)濟。（3）防火墻強化安全認證和監(jiān)控審計。因為所有進

48、出網(wǎng)絡(luò)的通信流都通過防火墻，使防火墻也能提供日志記錄、統(tǒng)計數(shù)據(jù)、報警處理、審計跟蹤等服務(wù)。（4）防火墻能阻止內(nèi)部信息泄漏。防火墻實際意義上也是一個隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權(quán)用戶對互聯(lián)網(wǎng)的訪問。7.2.27.2.2 防火墻系統(tǒng)部署防火墻系統(tǒng)部署方式方式建議在校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)的各個出口邊界位置部署防火墻系統(tǒng)提供邊界安全隔離。對內(nèi)部各不同區(qū)域之間也存在安全隔離和訪問控制需求的，也可以采用防火墻系統(tǒng)提供不同區(qū)域之間的邊界隔離，尤其是對安全保護級別要求較高的區(qū)域如服務(wù)器區(qū)域，建議在其區(qū)域邊界處設(shè)置防火墻系統(tǒng)，負責(zé)審核 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司

49、 22 進出本網(wǎng)絡(luò)區(qū)域的訪問請求，確保只有合法的訪問才能通過，從而為重要子網(wǎng)建立安全的防御屏障，防范來自主干網(wǎng)上其他節(jié)點的非法訪問和入侵。具體設(shè)計如下：1.1.1.11.1.1.1網(wǎng)絡(luò)邊界防火墻網(wǎng)絡(luò)邊界防火墻建議在網(wǎng)絡(luò)邊界采用一套防火墻提供邊界隔離和訪問控制，將辦公網(wǎng)作為被保護的內(nèi)網(wǎng)，允許內(nèi)部主機訪問互聯(lián)網(wǎng)上的特定應(yīng)用，拒絕其他所有訪問。同時，將辦公區(qū)域面向互聯(lián)網(wǎng)提供信息發(fā)布和通訊服務(wù)的 WEB、MAIL 服務(wù)器等單獨保護在防火墻的 DMZ 區(qū)，與內(nèi)網(wǎng)進行有效隔離，避免互聯(lián)網(wǎng)用戶直接訪問校園網(wǎng)絡(luò)中的內(nèi)部主機。7.2.37.2.3 防火墻系統(tǒng)部署效果防火墻系統(tǒng)部署效果防火墻系統(tǒng)可實現(xiàn)以下的基本功

50、能： 隔離安全區(qū)域隔離安全區(qū)域防火墻采用多安全區(qū)域體系，每個物理接口對應(yīng)一個獨立的安全區(qū)域，在不同網(wǎng)絡(luò)區(qū)域之間進行互聯(lián)時，全部通信都受到防火墻的監(jiān)控，通過防火墻的安全策略可以將所聯(lián)區(qū)域設(shè)置成相應(yīng)的保護級別，以保證關(guān)鍵系統(tǒng)的安全。每個區(qū)域的安全策略只對該區(qū)域有效。每個區(qū)域可以單獨設(shè)置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。 提供豐富的提供豐富的 AAAAAA 功能功能防火墻支持對網(wǎng)絡(luò)用戶提供豐富的安全身份認證，如一次性口令（OTP） 、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域認證及數(shù)字證書等常用的安全認證方法，也可以使用專用的認證客戶端

51、軟件進行認證?；谟脩舻陌踩呗愿`活、更廣泛地實現(xiàn)了用戶鑒別和用戶授權(quán)的控制，并提供了豐富的安全日志來記錄用戶的安全事件。 提供地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡(luò)信息提供地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡(luò)信息正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有 IP 地址通過防火墻訪問外部網(wǎng)絡(luò)。對外界網(wǎng)絡(luò)用戶來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 23 不知道是來自內(nèi)部網(wǎng)的某個地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)等信息。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務(wù)的 WEB 服務(wù)器等采用私有 IP 地址作為真實地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過

52、的目的地址，這樣也能夠有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進行保護。 防御外界黑客攻擊防御外界黑客攻擊防火墻自身也可提供了一定的入侵檢測和防護功能，能抵御常見的各種網(wǎng)絡(luò)攻擊，并可以和 IDS 實現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了高性能。 深入的應(yīng)用層控制深入的應(yīng)用層控制通過防火墻對進出網(wǎng)絡(luò)的數(shù)據(jù)包中的高層協(xié)議（HTTP、FTP、SMTP、POP3、NNTP）內(nèi)容實行更詳細的控制，如 HTTP 命令（GET，POST，HEAD）及 URL，F(xiàn)TP 命令（GEI，PUT）及文件控制。 這對于提高基于通用 Internet 服務(wù)的應(yīng)用服務(wù)器的安全性非常有意義。 帶寬管理和帶寬管理和 QOS防火墻提

53、供多層次的分布式帶寬管理功能，優(yōu)化網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。例如，通過防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)站維護人員等定義與外部網(wǎng)絡(luò)通信時的最大帶寬，而且?guī)捒梢允欠謱拥?，例如部門帶寬下面有小組帶寬然后是個人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。 日志記錄與審計日志記錄與審計當(dāng)防火墻系統(tǒng)被配置為工作在不同安全域之間的關(guān)鍵節(jié)點時，防火墻系統(tǒng)就能夠?qū)Σ煌踩蛑g的訪問請求做出日志記錄。日志是對一些可能的攻擊行為進行分析和防范的十分重要的情報。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計。這樣網(wǎng)絡(luò)管理員通過對統(tǒng)計結(jié)果進行分析，掌握網(wǎng)絡(luò)的運行狀態(tài)，繼而更加

54、有效的管理整個網(wǎng)絡(luò)。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 24 7.37.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計7.3.17.3.1 部署網(wǎng)絡(luò)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)的意義入侵檢測系統(tǒng)的意義在基于 TCP/IP 的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵檢測系統(tǒng)可以同時檢測內(nèi)部和外部威脅。入侵檢測系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù)） 。一旦入侵被檢測到，會引發(fā)某種響應(yīng)（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來

55、源或適當(dāng)?shù)胤垂簦?。利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風(fēng)險。但是，還存在著一些防火墻所不能防范的安全威脅，入侵者可尋找防火墻背后可能敞開的后門，或者入侵者也可能就在防火墻內(nèi)，而防火墻對于所保護網(wǎng)絡(luò)內(nèi)部的終端設(shè)備所發(fā)出的攻擊是無能為力的，因為這種訪問沒有經(jīng)過防火墻。所以需要在包含敏感數(shù)據(jù)和關(guān)鍵服務(wù)的網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，或執(zhí)行用戶自定義的安全策略做阻斷等。入侵檢測是防火

56、墻等其它安全措施的補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)） ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時檢測。7.3.27.3.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署方式網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署方式建議在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，實時檢測、分析網(wǎng)絡(luò)上的通訊數(shù)據(jù)流，尤其是對進出安全域邊界或進出存放有涉密信息的關(guān)鍵網(wǎng)段、服務(wù)器主機的通

57、鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 25 訊數(shù)據(jù)流進行監(jiān)控，及時發(fā)現(xiàn)違規(guī)行為和異常行為，并提供阻斷和報警。入侵檢測系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，因其是以在線并聯(lián)方式部署的，對檢測到的各種攻擊行為均可直接阻斷并生成日志報告和報警信息。7.47.4 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計7.4.17.4.1 部署內(nèi)網(wǎng)安全管理系統(tǒng)的意義部署內(nèi)網(wǎng)安全管理系統(tǒng)的意義目前國內(nèi)政府機關(guān)、軍隊、科研機構(gòu)、學(xué)校和企事業(yè)單位中的網(wǎng)絡(luò)都具有相當(dāng)?shù)囊?guī)模，網(wǎng)絡(luò)中大量使用計算機及其它網(wǎng)絡(luò)設(shè)備。這些設(shè)備帶來高效應(yīng)用的同時，由于自身確實存

58、在著安全風(fēng)險隱患，應(yīng)該采用相關(guān)網(wǎng)絡(luò)安全技術(shù)、手段來保障整個網(wǎng)絡(luò)運行的安全。盡管以上大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護設(shè)施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決：1、內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為； 2、非法的準(zhǔn)入控制等行為；3、違反規(guī)定將專網(wǎng)專用的計算機帶出網(wǎng)絡(luò)進入到其它網(wǎng)絡(luò)；4、網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到安全事件源的實時、快速、精確定位、遠程阻斷隔離操作。安全事件發(fā)生后，網(wǎng)管一般通過交換機、路由器或防

59、火墻進行封堵，但設(shè)置復(fù)雜，操作風(fēng)險大，而且絕大多數(shù)普通交換機并沒有被設(shè)置成 SNMP 可管理模式，因此不能夠方便地進行隔離操作；5、大規(guī)模病毒（安全）事件發(fā)生后，網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，無法做到事后分析、加強安全預(yù)警；6、靜態(tài) IP 地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道 IP 地址的使用、IP 同 MAC 地址的綁定情況以及網(wǎng)絡(luò)中 IP 分 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 26 配情況；7、針對網(wǎng)絡(luò)內(nèi)部安全隱患，自動檢測網(wǎng)絡(luò)中主機的安全防范等級，進行補丁大面積分發(fā)，徹底解決網(wǎng)絡(luò)中的不安全因素。8、大型網(wǎng)絡(luò)

60、系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜，不能明確劃分管理責(zé)任范圍；9、網(wǎng)絡(luò)中計算機設(shè)備硬件設(shè)備繁多，不能做到精確統(tǒng)計。 采用內(nèi)網(wǎng)安全管理系統(tǒng)則能夠完全解決上述網(wǎng)絡(luò)安全管理工作中遇到的常見問題。7.4.27.4.2 內(nèi)網(wǎng)安全管理系統(tǒng)部署方式內(nèi)網(wǎng)安全管理系統(tǒng)部署方式內(nèi)網(wǎng)安全管理系統(tǒng)提供終端安全管理、非法外聯(lián)監(jiān)控、補丁管理、網(wǎng)絡(luò)準(zhǔn)入控制等功能。需在內(nèi)網(wǎng)的所有 Windows 客戶端安裝客戶端的代理，在服務(wù)器區(qū)域部署內(nèi)網(wǎng)安全管理系統(tǒng)策略服務(wù)器、補丁升級服務(wù)器、局域網(wǎng)準(zhǔn)入控制服務(wù)器，在邊界部署網(wǎng)關(guān)準(zhǔn)入控制服務(wù)器等進行整個網(wǎng)絡(luò)的安全管理。具體部署方式如下：1、在辦公網(wǎng)部署內(nèi)網(wǎng)安全管理系統(tǒng)策略服務(wù)器2、在辦公網(wǎng)部署網(wǎng)絡(luò)準(zhǔn)入控制

61、服務(wù)器，包括局域網(wǎng)準(zhǔn)入控制服務(wù)器和網(wǎng)關(guān)準(zhǔn)入控制服務(wù)器3、 在辦公網(wǎng)分別部署補丁升級服務(wù)器7.4.37.4.3 內(nèi)網(wǎng)安全管理系統(tǒng)部署效果內(nèi)網(wǎng)安全管理系統(tǒng)部署效果內(nèi)網(wǎng)終端安全管理內(nèi)網(wǎng)終端安全管理主要通過安全代理實現(xiàn)以下功能：網(wǎng)絡(luò)連接管理：動態(tài)地采取不同的安全策略以消除內(nèi)部用戶進行非法網(wǎng)絡(luò)連接所帶來的威脅，包括監(jiān)控和阻止內(nèi)部網(wǎng)絡(luò)用戶通過雙網(wǎng)卡、無線網(wǎng)卡、調(diào)制解調(diào)器、VPN 撥號適配器等網(wǎng)絡(luò)設(shè)備進行在線違規(guī)撥號上網(wǎng)或違規(guī)離線上網(wǎng)等行為。外設(shè)管理：限制特定終端系統(tǒng)上的軟驅(qū)、光驅(qū)、U 盤、移動硬盤等外存設(shè)備 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 27 的使用，對使用操作進行

62、詳細記錄，有效避免單位機密數(shù)據(jù)外泄。文件訪問控制：對終端系統(tǒng)上所有機密文件讀寫、拷貝、刪除等操作進行實時監(jiān)控，詳細記錄對機密文件的操作，為企業(yè)的審計工作提供幫助。終端修復(fù)：如果主機完整性不符合安全策略的要求，客戶端安全代理能夠自動執(zhí)行恢復(fù)操作，確保只有符合安全策略的主機才能連接到企業(yè)網(wǎng)絡(luò)。常用的恢復(fù)操作有： 開啟防病毒軟件、主機防火墻、主機型入侵檢測軟件； 升級病毒定義、主機防火墻策略、主機入侵檢測特征庫； 自動下載并安裝 Windows 的各種補?。?更改操作系統(tǒng)設(shè)置（強密碼保護、禁止修改注冊表、禁止修改 IP 和 MAC 地址、禁止啟動系統(tǒng)服務(wù)等等） 。網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入控制 主要包括以

63、下兩個方面的控制：局域網(wǎng)準(zhǔn)入與隔離：當(dāng)移動用戶和外來人員從局域網(wǎng)內(nèi)部接入的時候，邊界防護措施往往會失去效用，這時就需要設(shè)置一套局域網(wǎng)準(zhǔn)入控制服務(wù)器，通過和 802.1x 交換機的聯(lián)動，在局域網(wǎng)接入層實現(xiàn)對用戶的網(wǎng)絡(luò)準(zhǔn)入控制。局域網(wǎng)準(zhǔn)入控制服務(wù)器會要求交換機主動認證接入的 PC，如果 PC 上沒有安裝安全管理客戶端軟件，或者其他主機安全狀況檢查沒有達標(biāo)，則交換機可以根據(jù)服務(wù)器的指令，拒絕其接入內(nèi)部網(wǎng)絡(luò)，或?qū)⑵涓綦x到一個漫游區(qū)，修復(fù)安全狀況，或者受限制的訪問網(wǎng)絡(luò)。一旦安全修復(fù)完成，服務(wù)器會通知交換機將該 PC 從漫游區(qū)切換到工作的 VLAN 之中。此外，局域網(wǎng)準(zhǔn)入控制服務(wù)器還能與通用的 3A 認證

64、服務(wù)器結(jié)合實現(xiàn)接入用戶身份認證，在接入設(shè)備安全性認證通過后，局域網(wǎng)準(zhǔn)入控制服務(wù)器將根據(jù)用戶身份認證的結(jié)果來動態(tài)分配工作 VLAN。邊界準(zhǔn)入與隔離： 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 28 用于控制使用 VPN 和 RAS 撥號接入的遠程用戶，由于這些遠程用戶處于網(wǎng)絡(luò)邊界保護范圍之外，通常暴露在公共網(wǎng)絡(luò)之中，面臨較大的安全風(fēng)險，一旦被病毒或黑客攻陷，就會成為攻擊企業(yè)網(wǎng)絡(luò)的跳板，從而給單位帶來災(zāi)難性的損失。通過在互連網(wǎng)出口位置設(shè)置邊界準(zhǔn)入控制服務(wù)器，能夠驗證通過 VPN 隧道聯(lián)入的遠程用戶主機上是否運行了內(nèi)網(wǎng)安全管理客戶端軟件，并且要求客戶端軟件提交該遠程主機的

65、安全檢查報告，當(dāng)遠程主機沒有運行安全管理客戶端軟件，或者安全檢查結(jié)果不達標(biāo)的時候，認證強制網(wǎng)關(guān)能夠阻止用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，但提供用戶恢復(fù)其安全的綠色通路。補丁管理補丁管理通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署補丁管理系統(tǒng)，集中管理客戶端軟件系統(tǒng)補丁的升級、系統(tǒng)配置策略，可以定義終端補丁下載，補丁升級策略以及增強終端系統(tǒng)安全配置策略，并下發(fā)給運行于各終端設(shè)備上的代理程序，代理執(zhí)行這些策略，保證終端系統(tǒng)補丁升級、安全配置的完備有效，整個管理過程都是自動完成的，對終端用戶來說完全透明。為了提高整個網(wǎng)絡(luò)用戶補丁升級的效率，避免由于終端用戶的同時補丁升級給網(wǎng)絡(luò)帶寬帶來的影響，可以在網(wǎng)絡(luò)內(nèi)部搭建

66、補丁升級服務(wù)器，保證終端設(shè)備補丁升級的及時有效。7.57.5 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計7.5.17.5.1 部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義自從 1983 年世界上第一個計算機病毒出現(xiàn)以來，在不到 20 年的時間里，計算機病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。因此病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互連，病毒的傳播途徑和速度大大加快，造成的危害也不斷增加。計算機病毒可按照其破壞的目標(biāo)分為下列幾種類型： 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案河南九洲計算機有限公司 29 程序型病毒：通常以文件擴展名為.COM/.EXE/.SYS/.DLL/.OVL 或.SCR 的程序文件作為其感染目標(biāo)。由于程序文件的使用范圍極為廣泛，而且格式簡單，容易被病毒附身，因此成為病毒作者最愛下手的目標(biāo)。引導(dǎo)型病毒：以硬盤和軟盤的非文件區(qū)域（系統(tǒng)區(qū)域）為感染對象。這些區(qū)域通常是病毒從一臺計算機傳播到另一臺計算機最有效的傳播途徑。引導(dǎo)型病毒感染和傳播的成功率很高，往往比程序型病毒高出好幾倍。宏病毒：以具有宏功能的數(shù)據(jù)文件為感染對象。Micros