鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案

《鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案》由會員分享，可在線閱讀，更多相關(guān)《鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案（41頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 1 鐵道警官高等?？茖W(xué)院鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案規(guī)劃方案河南九洲計(jì)算機(jī)有限公司河南九洲計(jì)算機(jī)有限公司2010 年年 11 月月 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 2 目錄目錄前前 言言.41項(xiàng)目名稱項(xiàng)目名稱.52項(xiàng)目概述項(xiàng)目概述.53設(shè)計(jì)目標(biāo)設(shè)計(jì)目標(biāo).64設(shè)計(jì)原則設(shè)計(jì)原則.65相關(guān)政策法規(guī)和文件相關(guān)政策法規(guī)和文件.75.1 國家信息安全標(biāo)準(zhǔn)、指南.75.2 國際信息安全標(biāo)準(zhǔn).86項(xiàng)目需求分析項(xiàng)目需求分析 .86.1 現(xiàn)狀描述 .86.2 需求分析.

2、96.2.1上網(wǎng)行為管理需求.96.2.2數(shù)據(jù)備份需求.106.2.3網(wǎng)絡(luò)運(yùn)維監(jiān)控需求.106.2.4入侵防御需求.106.2.5入侵檢測需求.136.2.6漏洞掃描需求.166.2.7VOD點(diǎn)播系統(tǒng)需求.187 7 安全技術(shù)體系設(shè)計(jì)安全技術(shù)體系設(shè)計(jì).187.1 安全技術(shù)體系總體框架設(shè)計(jì).187.1.1 網(wǎng)絡(luò)安全.197.1.2 主機(jī)安全.197.1.3 應(yīng)用安全.207.1.4 集中的安全管理和監(jiān)控.207.2 防火墻系統(tǒng)設(shè)計(jì) .21 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 3 7.2.1 防火墻系統(tǒng)部署的意義.217.2.2 防火墻系統(tǒng)部署方式.217.2.3

3、 防火墻系統(tǒng)部署效果.227.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì).247.3.1 部署網(wǎng)絡(luò)入侵檢測系統(tǒng)的意義.247.3.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署方式.247.4 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì).257.4.1 部署內(nèi)網(wǎng)安全管理系統(tǒng)的意義.257.4.2 內(nèi)網(wǎng)安全管理系統(tǒng)部署方式.267.4.3 內(nèi)網(wǎng)安全管理系統(tǒng)部署效果.267.5 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計(jì).287.5.1 部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義.287.5.2 網(wǎng)絡(luò)防病毒系統(tǒng)部署原則.307.5.3 網(wǎng)絡(luò)防病毒系統(tǒng)署方式.317.5.4 整體防毒系統(tǒng)所達(dá)到的效果.327.6 漏洞掃描子系統(tǒng)設(shè)計(jì).337.6.1 漏洞掃描部署方案.337.6.2 漏洞掃描的作用.3

4、37.7 網(wǎng)絡(luò)運(yùn)維監(jiān)控設(shè)計(jì).357.7.1 系統(tǒng)平臺構(gòu)成.357.7.2 系統(tǒng)技術(shù)架構(gòu).357.8 VOD 點(diǎn)播系統(tǒng)設(shè)計(jì) .378 設(shè)備清單設(shè)備清單.41 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 4 前前 言言數(shù)字化校園是以網(wǎng)絡(luò)為基礎(chǔ)，利用先進(jìn)的信息化手段和工具，實(shí)現(xiàn)從環(huán)境（包括設(shè)備、教室等） 、資源（如圖書、講義、課件等） 、到活動（包括教、學(xué)、管理、服務(wù)、辦公等）的全部數(shù)字化，在傳統(tǒng)校園的基礎(chǔ)上構(gòu)建一個(gè)數(shù)字空間以拓展現(xiàn)實(shí)校園的時(shí)間和空間維度，從而提升了傳統(tǒng)校園的效率，擴(kuò)展了傳統(tǒng)校園的功能，最終實(shí)現(xiàn)教育過程的全面信息化。實(shí)施數(shù)字化校園工程的核心目標(biāo)核心目標(biāo)是充分

5、利用信息技術(shù)，建立多層次、創(chuàng)新型、開放式的高等學(xué)校，提高辦學(xué)的質(zhì)量和效益。要以新的人才觀、教學(xué)觀和管理理論為指導(dǎo)，超越傳統(tǒng)的高等教育模式，培養(yǎng)適應(yīng)信息社會要求的創(chuàng)新型人才。具體來說： 在教學(xué)方面：在教學(xué)方面：要利用多媒體、網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)高質(zhì)量教學(xué)資源、信息資源和智力資源的共享與傳播，并同時(shí)促進(jìn)高水平的師生互動，促進(jìn)主動式、協(xié)作式、研究型的學(xué)習(xí)，從而形成開放、高效的教學(xué)模式，更好地培養(yǎng)學(xué)生的信息素養(yǎng)以及問題解決能力和創(chuàng)新能力。 在科研方面：在科研方面：要利用互聯(lián)網(wǎng)促進(jìn)科研資源和設(shè)備的共享，加快科研信息傳播，促進(jìn)國際性學(xué)術(shù)交流，開展網(wǎng)上合作研究，并且利用網(wǎng)絡(luò)促進(jìn)最新科研成果向教學(xué)領(lǐng)域的轉(zhuǎn)化，以及科研

6、成果的產(chǎn)業(yè)化和市場化，從而大大提高科研的創(chuàng)新水平和輻射力。 在管理方面：在管理方面：要利用信息技術(shù)實(shí)現(xiàn)職能信息管理的自動化，實(shí)現(xiàn)上下級部門之間更迅速便捷的溝通，實(shí)現(xiàn)不同職能部門之間的數(shù)據(jù)共享與協(xié)調(diào)，提高決策的科學(xué)性和民主性，減員增效，形成充滿活力的新型管理機(jī)制。 在公共服務(wù)體系方面：在公共服務(wù)體系方面：要建立覆蓋學(xué)校教學(xué)、科研、管理、生活等各個(gè)區(qū)域的寬帶高速網(wǎng)絡(luò)環(huán)境，提供面向全體師生的基本網(wǎng)絡(luò)服務(wù)和正版軟件服務(wù)；要建設(shè)高質(zhì)量的數(shù)字化的圖書館、教學(xué)樓、實(shí)訓(xùn)中心等；要在校園內(nèi)建立電子身份及其認(rèn)證系統(tǒng)，從而為學(xué)校高水平的教學(xué)、科研和管理等提供強(qiáng)有力的支撐。 在學(xué)校社區(qū)服務(wù)方面：在學(xué)校社區(qū)服務(wù)方面：要

7、適應(yīng)后勤社會化改革的需要開展各種網(wǎng)絡(luò)化服務(wù) 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 5 項(xiàng)目，包括電子商務(wù)、電子醫(yī)療等，為師生員工提供便捷、高效、集成、健康的生活和休閑娛樂服務(wù)，形成智能型的社區(qū)服務(wù)體系。鐵道警官高等?？茖W(xué)校在目前形勢下開展校園網(wǎng)改造與升級建設(shè)應(yīng)該是非常有利的。鐵道警官學(xué)校校園網(wǎng)改造與升級工程建設(shè)完成后，新的校園網(wǎng)將為現(xiàn)代化教育和教學(xué)，方便教工、學(xué)生科研和學(xué)習(xí)發(fā)揮重要的作用，也為將來學(xué)校數(shù)字化校園的建設(shè)奠定良好的網(wǎng)絡(luò)基礎(chǔ)。以下是信息安全建設(shè)規(guī)劃的正式計(jì)劃書：1 項(xiàng)目名稱項(xiàng)目名稱項(xiàng)目名稱：項(xiàng)目名稱：鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目2 項(xiàng)目概述項(xiàng)

8、目概述高校教育信息化是指高等學(xué)校為適應(yīng)信息化社會的要求，營造信息應(yīng)用環(huán)境，整合教育資源，促進(jìn)和深化教育教學(xué)改革，在教學(xué)、科研、學(xué)習(xí)、管理、后勤服務(wù)等各方面全面運(yùn)用以計(jì)算機(jī)、多媒體和網(wǎng)絡(luò)通訊為基礎(chǔ)的現(xiàn)代信息技術(shù)，實(shí)現(xiàn)教育教學(xué)全過程的信息化。從概念上來看，教育信息化是從信息技術(shù)與教育的關(guān)系出發(fā)，側(cè)重以有關(guān)信息技術(shù)的觀念、思想、設(shè)施、設(shè)備、知識和技能等來影響教育的過程和結(jié)果。理解這一概念，不能片面地認(rèn)為高校的教育信息化只是為教學(xué)服務(wù)的，而是要從宏觀廣義的角度來理解，方能準(zhǔn)確把握其概念，全面掌握教育信息化的豐富內(nèi)涵。高校的教育信息化既是以教學(xué)信息化為核心，以為教學(xué)服務(wù)為重點(diǎn)，同時(shí)還為科研、管理、后勤、

9、產(chǎn)業(yè)等(包括學(xué)生的學(xué)習(xí)活動)凡是為實(shí)現(xiàn)育人目標(biāo)為開展的各類活動提供服務(wù)，并成為各類活動的具體表現(xiàn)形式和服務(wù)手段。教育信息化的手段是運(yùn)用現(xiàn)代信息技術(shù)，本質(zhì)是改善高校辦學(xué)條件和增強(qiáng)高校的辦學(xué)水平，目的是為了提高人才的培養(yǎng)質(zhì)量，表現(xiàn)形式和發(fā)展結(jié)果必然是數(shù)字化校園。鐵道警官高等?？茖W(xué)院現(xiàn)有網(wǎng)絡(luò)因?yàn)楦鞣N原因，設(shè)計(jì)較為混亂，還須進(jìn)一步優(yōu)化；網(wǎng)絡(luò)安全設(shè)備較少，網(wǎng)絡(luò)安全有待進(jìn)一步強(qiáng)化，鞏固安全措施；管理不嚴(yán)格，學(xué)生私用無線路由器海量下載，占用帶寬，嚴(yán)重影響了教學(xué)辦公工作 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 6 的正常使用，需要從技術(shù)手段上加強(qiáng)管理；校內(nèi)應(yīng)用系統(tǒng)較少，課件管理混

10、亂，急需一套 VOD 點(diǎn)播系統(tǒng)，推進(jìn)課件管理的規(guī)范化。3 設(shè)計(jì)目標(biāo)設(shè)計(jì)目標(biāo)鐵道警官高等專科學(xué)校校園網(wǎng)將改造升級成為一個(gè)以辦公自動化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中心等）的校園主干網(wǎng)絡(luò)。將學(xué)校的各種微機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來并與國家科研教育網(wǎng)相連，在網(wǎng)上對外宣傳學(xué)校的形象，獲取Internet 網(wǎng)上的教育資源，形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。在此基礎(chǔ)上以信息化教育和管理模式為目的建立滿足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，建成數(shù)字

11、校園，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。 網(wǎng)絡(luò)進(jìn)行優(yōu)化后，實(shí)現(xiàn)教育網(wǎng)和網(wǎng)通網(wǎng)的雙鏈路冗余結(jié)構(gòu)，其中的一個(gè)網(wǎng)絡(luò)不通的情況下，可切換到另外一個(gè)網(wǎng)絡(luò)，保證 7*24 小時(shí)網(wǎng)絡(luò)可用。 增加網(wǎng)絡(luò)設(shè)備，防止外來不法人員的入侵，內(nèi)部安全可靠，病毒得到有效控制，涉密信息得到安全穩(wěn)妥的保護(hù)。 為校園網(wǎng)用戶根據(jù)職責(zé)，工作需要不同，設(shè)置不同的帶寬，使校園網(wǎng)應(yīng)用真正落到實(shí)處，真正發(fā)揮實(shí)際的效用。 建設(shè)數(shù)字化點(diǎn)播系統(tǒng)，為教師授課高效快捷的提供課件等網(wǎng)絡(luò)資源。4 設(shè)計(jì)原則設(shè)計(jì)原則鐵道警官高等?？茖W(xué)校校園網(wǎng)改造升級項(xiàng)目設(shè)計(jì)將遵守下面的基本原則，以實(shí)用為主，選用先進(jìn)的、成熟的技術(shù)，設(shè)計(jì)中充分考慮系統(tǒng)的開放性，考慮到未來的

12、發(fā)展，便于各子系統(tǒng)的互聯(lián)和擴(kuò)展。 實(shí)用性：系統(tǒng)的設(shè)計(jì)應(yīng)以實(shí)用為第一原則。在符合需要的前提下，合理平衡系統(tǒng)的經(jīng)濟(jì)性與超前性，以避免片面追求超前性而偏離實(shí)際，或片面追求經(jīng)濟(jì)性而損害鐵道警官高等?？茖W(xué)校校園網(wǎng)的智能性。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 7 先進(jìn)性：鐵道警官高等?？茖W(xué)校校園網(wǎng)改造升級項(xiàng)目采用的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備在使用期間，具有一定的先進(jìn)性，避免因技術(shù)陳舊造成整個(gè)校園網(wǎng)系統(tǒng)性能不高和過早淘汰。 成熟性：在充分考慮先進(jìn)性的同時(shí)，優(yōu)先選擇成熟技術(shù)，最大限度地發(fā)揮投資效益。 可靠性：系統(tǒng)無論在硬件上還是在軟件上都應(yīng)采取多種保護(hù)措施，保證系統(tǒng) 24 小時(shí)不間斷正

13、常運(yùn)行。子系統(tǒng)故障不影響其他子系統(tǒng)運(yùn)行，也不影響集成系統(tǒng)除該子系統(tǒng)以外的其他功能的運(yùn)行。同時(shí)還應(yīng)充分考慮系統(tǒng)權(quán)限安全措施，進(jìn)一步保證系統(tǒng)的可靠性。 經(jīng)濟(jì)性：升級工程所選用的設(shè)備與系統(tǒng)，以現(xiàn)有成熟的設(shè)備與系統(tǒng)為基礎(chǔ)，以總體目標(biāo)為方向，局部服從全局，力求系統(tǒng)在初次投入和整個(gè)運(yùn)行生命周期獲得最佳的性能/價(jià)格比。 開放可擴(kuò)展性：系統(tǒng)設(shè)計(jì)盡量采用國家和國際標(biāo)準(zhǔn)及規(guī)范，兼容不同廠商、不同協(xié)議的設(shè)備和系統(tǒng)的信號傳輸，各子系統(tǒng)可方便進(jìn)出系統(tǒng)。并對近期可望使用的技術(shù)予以考慮。無論是系統(tǒng)設(shè)備還是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，都應(yīng)具有良好的開放性，用戶可以根據(jù)需要變化，對系統(tǒng)進(jìn)行擴(kuò)展或升級。 易維護(hù)性：系統(tǒng)必須具有高度的可維護(hù)性和

14、易維護(hù)性，盡量做到所需維護(hù)人員少，維護(hù)工作量小，維護(hù)強(qiáng)度低，維護(hù)費(fèi)用低。 服務(wù)性：從設(shè)計(jì)、施工到運(yùn)行，始終圍繞為用戶服務(wù)這個(gè)宗旨，讓用戶用得放心、用得安心、用得省心、用得舒心。5 相關(guān)政策法規(guī)和文件相關(guān)政策法規(guī)和文件5.1 國家信息安全標(biāo)準(zhǔn)、指南國家信息安全標(biāo)準(zhǔn)、指南 GB/T 202742006 信息系統(tǒng)安全保障評估框架 GB/T 19715.12005 信息技術(shù)信息技術(shù)安全管理指南第 1 部分信息技術(shù)安全概念和模型 GB/T19715.22005 信息技術(shù)信息技術(shù)安全管理指南第 2 部分管理和規(guī)劃 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 8 信息技術(shù)安全 GB

15、/T 197162005 信息技術(shù)信息安全管理實(shí)用規(guī)則 GB/T 183362001 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則 GB/T 209842007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范 GB/T 209882007 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范 GB/Z 209862007 信息安全事件分類分級指南 GB 178591999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 信息系統(tǒng)安全保護(hù)等級定級指南（報(bào)批稿） 信息系統(tǒng)安全等級保護(hù)實(shí)施指南（報(bào)批稿） 信息系統(tǒng)安全等級保護(hù)基本要求（報(bào)批稿） 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則（送審稿） 信息安全等級保護(hù)管理辦法（公通字 2007 43 號） 5.2 國際信息安全標(biāo)

16、準(zhǔn)國際信息安全標(biāo)準(zhǔn) ISO/IEC 27001:2005 信息安全技術(shù) 信息系統(tǒng)安全管理要求 ISO/IEC 13335 信息技術(shù) 信息技術(shù)安全管理指南 第 1 部分：信息技術(shù)安全概念和模型 ISO/IEC TR 154431: 2005 信息技術(shù)安全保障框架 第一部分 概述和框架 ISO/IEC TR 154432: 2005 信息技術(shù)安全保障框架 第二部分 保障方法 ISO/IEC WD 154433 信息技術(shù)安全保障框架 第三部分 保障方法分析 ISO/IEC PDTR 19791: 2004 信息技術(shù) 安全技術(shù) 運(yùn)行系統(tǒng)安全評估6 項(xiàng)目需求分析項(xiàng)目需求分析6.1 現(xiàn)狀描述現(xiàn)狀描述鐵道警

17、官高等?？茖W(xué)校校園網(wǎng)現(xiàn)已建成為一個(gè)以辦公自動化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 9 心等）的校園主干網(wǎng)絡(luò)。已將學(xué)校的各種微機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來并與國家科研教育網(wǎng)相連，在網(wǎng)上對外宣傳學(xué)校的形象，獲取 Internet網(wǎng)上的教育資源，形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)已完成學(xué)校教育信息化的基礎(chǔ)設(shè)施建設(shè)，包括學(xué)校校區(qū)的綜合布線系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和服務(wù)器系統(tǒng)的建設(shè)。6.2 需求分析需求分析

18、6.2.1 上網(wǎng)行為管理需求上網(wǎng)行為管理需求近年來,國內(nèi)高等院校的信息化水平快速發(fā)展, 互聯(lián)網(wǎng)也發(fā)揮著越來越重要的作用;與此同時(shí)，網(wǎng)絡(luò)的安全問題日益突出，利用互聯(lián)網(wǎng)進(jìn)行違法犯罪的案件呈日益增長的趨勢, 散布各種損害學(xué)校名譽(yù)的情況也時(shí)有發(fā)生。而高教行業(yè)動輒成千上萬的內(nèi)網(wǎng)用戶規(guī)模，一方面為網(wǎng)絡(luò)帶寬帶來很大壓力，另一方面用戶眾多難于管理，很容易出現(xiàn)網(wǎng)絡(luò)安全問題。國家教育部、公安部等相關(guān)部門也三令五申地要求各高校切實(shí)做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在校園網(wǎng)絡(luò)建設(shè)的過程中，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 10 速增長、關(guān)鍵性應(yīng)用

19、的普及和深入，校園網(wǎng)從早先教育、科研的試驗(yàn)網(wǎng)已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色。作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害，并對學(xué)生的上網(wǎng)行為進(jìn)行有效的管理，已經(jīng)成為了各個(gè)高校不可回避的緊迫問題。6.2.2 數(shù)據(jù)備份需求數(shù)據(jù)備份需求鐵道警官高等?？茖W(xué)院現(xiàn)有應(yīng)用系統(tǒng)及數(shù)據(jù)庫備份機(jī)制為手工備份，備份間隔時(shí)間長，而且極不方便。6.2.3 網(wǎng)絡(luò)運(yùn)維監(jiān)控需求網(wǎng)絡(luò)運(yùn)維監(jiān)控需求鐵道警官高等?？茖W(xué)院經(jīng)過多年的發(fā)展，信息化水平有了很大提高，信息化覆蓋范圍已經(jīng)涵蓋了整個(gè)校園的各個(gè)角落，是一個(gè)龐大且復(fù)雜的網(wǎng)

20、絡(luò)，但是信息化管理辦公室運(yùn)維中遇到的了很多的問題：設(shè)備種類以及型號多，對設(shè)備的維護(hù)不具備統(tǒng)一性；由于設(shè)備多，所以對設(shè)備進(jìn)行的操作和改動往往無法記錄和查詢；由于是網(wǎng)絡(luò)規(guī)模較大，所以網(wǎng)絡(luò)中的數(shù)據(jù)活動比較豐富，難以掌控；對網(wǎng)絡(luò)流量的分析存在瓶頸，無法得知網(wǎng)絡(luò)堵塞從何而來；網(wǎng)絡(luò)時(shí)快時(shí)慢，時(shí)通時(shí)斷，但不知道問題出自哪里；缺少統(tǒng)一且集中的管理平臺，分散的管理造成資源浪費(fèi)和成本增加；因此為了改變這一不利局面，我們建議部署網(wǎng)絡(luò)管理軟件，對整網(wǎng)運(yùn)行情況和在線設(shè)備進(jìn)行管理和監(jiān)控。6.2.4 入侵防御需求入侵防御需求首先我們來探討一個(gè)問題：入侵攻擊行為包括哪些？什么樣的行為可以稱為入侵攻擊行為？我們來看對入侵行為的

21、標(biāo)準(zhǔn)定義：入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠，不可用的故意行為。 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 11 通常提到對入侵行為的防御，大家都會想到防火墻。防火墻作為企業(yè)級安全保障體系的第一道防線，已經(jīng)得到了非常廣泛的應(yīng)用，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報(bào)道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。想要實(shí)現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是需要實(shí)時(shí)的阻斷防御與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實(shí)現(xiàn)較為低層的入侵防御，對應(yīng)用層攻擊等行為無法進(jìn)行判斷

22、，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時(shí)切斷可疑連接，都達(dá)不到完全防御的要求。想要實(shí)現(xiàn)完全的入侵防御，就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：online 式在線部署，深層分析網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實(shí)施及時(shí)的阻斷。有數(shù)據(jù)顯示，70%以上的攻擊行為發(fā)生在傳輸層和應(yīng)用層之間，我們稱這類4-7 層上的攻擊為深層攻擊行為。深層攻擊行為有如下特點(diǎn)：第一：新攻擊種類出現(xiàn)頻率高，新攻擊手段出現(xiàn)速度快。據(jù)美國 CERT/CC 的統(tǒng)計(jì)數(shù)據(jù)，2006 年共收到信息系統(tǒng)漏洞報(bào)告 8064 個(gè)，比 2005 年增長了 34.6%，漏洞數(shù)量的迅速增長

23、標(biāo)志著新攻擊類型的迅速增長，而在同一份報(bào)告中，采用分布式蜜罐技術(shù)捕獲的新攻擊樣本數(shù)量平均每天有近100 個(gè)，最多的一天幾近 700，這意味著平均每天發(fā)現(xiàn) 100 種新的攻擊手段，最多的一天發(fā)現(xiàn)的新攻擊手段可多達(dá) 700 種，這是一個(gè)非常驚人的數(shù)據(jù)。第二：攻擊過程隱蔽。文件捆綁：打開一份文檔，結(jié)果執(zhí)行了一個(gè)與文檔捆綁的木馬程序；文件偽裝：可愛的熊貓圖片，竟然是蠕蟲病毒；跨站腳本攻擊：僅僅是訪問了一個(gè)網(wǎng)站的頁面，就被安上了間諜軟件。攻擊行為正以越來越可以亂真的面貌出現(xiàn)。除了深層攻擊行為這些自身的特點(diǎn)外，越來越多的業(yè)務(wù)應(yīng)用，也增加了判斷攻擊行為的難度：到底是正常的應(yīng)用還是是違規(guī)的應(yīng)用呢？如何更好的實(shí)

24、現(xiàn)對這些深層攻擊的防御，是入侵防御系統(tǒng)需要解決的問題。 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 12 深層需要高效和準(zhǔn)確，防御則意味著及時(shí)的阻斷，深層防御需要兼顧兩者。由于一些復(fù)雜行為不易通過簡單的特征識別是否屬于攻擊，導(dǎo)致用戶資產(chǎn)未得到充分保護(hù)，甚至影響正常業(yè)務(wù)。入侵防御系統(tǒng)融合了基于攻擊躲避原理的阻斷方法與基于攻擊特征的阻斷方法，不但有效提高了對各種深層攻擊行為的識別能力，而且對攻擊變種、SQL 注入等無法通過特征判斷的攻擊行為也能實(shí)現(xiàn)精確阻斷。這標(biāo)志著入侵防御系統(tǒng)的精確阻斷能力達(dá)到國際領(lǐng)先水平。IPS 能實(shí)現(xiàn)的精確阻斷精確阻斷溢出攻擊精確阻斷木馬后門精確阻斷

25、即時(shí)通訊行為精確阻斷 SQL 注入攻擊精確阻斷間諜軟件精確阻斷網(wǎng)絡(luò)游戲行為精確阻斷流行蠕蟲攻擊精確阻斷僵尸程序精確阻斷異常協(xié)議行為精確阻斷數(shù)據(jù)庫漏洞攻擊精確阻斷惡意代碼精確阻斷脆弱口令行為精確阻斷操作系統(tǒng)漏洞攻擊精確阻斷掃描探測行為精確阻斷廣告軟件行為在線部署，高效可靠在線部署，高效可靠入侵防御系統(tǒng)是以透明方式串行部署于被保護(hù)對像的前端，而作為在線深層防御產(chǎn)品，在達(dá)到精確阻斷攻擊行為的同時(shí)，需要保障正常業(yè)務(wù)高可用性。入侵防御系統(tǒng)通過內(nèi)置硬件 Watchdog 技術(shù)、軟件監(jiān)控進(jìn)程，對系統(tǒng)異常實(shí)時(shí)監(jiān)控和處理，實(shí)現(xiàn)軟、硬件雙 Bypass 功能。不增加網(wǎng)絡(luò)故障點(diǎn)。在提升效率方面，入侵防御系統(tǒng)采用任務(wù)

26、與虛擬 CPU 綁定的技術(shù)，消除并行處理的等待和切換時(shí)間；基于任務(wù)特點(diǎn)合理分配、高效利用硬件資源，根據(jù)分析任務(wù)特征自動選擇最優(yōu)算法，提升匹配效率；實(shí)現(xiàn)微秒級時(shí)延，滿足電信級業(yè)務(wù)的應(yīng)用。綜合管理，易用、易查綜合管理，易用、易查入侵防御系統(tǒng)支持向?qū)降牟呗耘渲霉芾恚筛鶕?jù)需求靈活調(diào)整保護(hù)策略，達(dá)到最佳防御效果；在及時(shí)準(zhǔn)確發(fā)現(xiàn)各類攻擊的同時(shí)，提供多種響應(yīng)方式；此外，還對歷史記錄信息提供細(xì)致的查詢分析功能。入侵防御系統(tǒng)綜合管理功能列表管理功能用戶管理、拓?fù)涔芾?、配置管理、策略管理?鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 13 狀態(tài)監(jiān)控系統(tǒng)狀態(tài)監(jiān)控、拓?fù)洌ㄍㄓ崳顟B(tài)監(jiān)控等

27、告警響應(yīng)阻斷鏈接、報(bào)警顯示、記錄日志，郵件告警、SNMP TRAP 信息等報(bào)表分析分類報(bào)表分析、綜合報(bào)表分析、管理報(bào)表分析、自定義報(bào)表分析等支持在線更新，防御最新威脅支持在線更新，防御最新威脅隨著攻擊種類日益增加，對最新威脅的防御成為考核入侵防御系統(tǒng)升級能力與廠商及時(shí)響應(yīng)能力的一項(xiàng)重要指標(biāo)。入侵防御系統(tǒng)可通過在線自動升級，增加防御最新威脅的事件特征和分析算法，精確阻斷新的威脅類型。核心服務(wù)器區(qū)承載廣域網(wǎng)全部的重要服務(wù)請求，開放端口較少，主要安全威脅來自于對已開放端口的應(yīng)用層行為攻擊，包括用戶權(quán)限不當(dāng)提升造成的信息泄露、網(wǎng)絡(luò)病毒的傳播與爆發(fā)期的網(wǎng)絡(luò)堵塞以及各類違規(guī)應(yīng)用造成的異常流量。6.2.5

28、入侵檢測需求入侵檢測需求鐵道警官高等?？茖W(xué)院的服務(wù)器、客戶端主機(jī)系統(tǒng)大多為 WIN2K 系統(tǒng)，漏洞較多，很容易被攻擊或入侵。網(wǎng)絡(luò)內(nèi)部沒有監(jiān)控措施，必須實(shí)時(shí)的對網(wǎng)絡(luò)連接和傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)控，發(fā)現(xiàn)入侵行為馬上報(bào)警，或進(jìn)行阻斷。入侵是對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的安全機(jī)制（包括機(jī)密性、完整性、可用性）的行為。入侵可能是來自互聯(lián)網(wǎng)的攻擊者對系統(tǒng)的非法訪問，也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進(jìn)行非法訪問。入侵技術(shù)和手段是不斷發(fā)展的。從攻擊者的角度說，入侵所需要的技術(shù)是復(fù)雜的，而應(yīng)用的手段往往又表現(xiàn)得非常簡單，如下圖所示。這種特點(diǎn)導(dǎo)致攻擊現(xiàn)象越來越普遍，對

29、網(wǎng)絡(luò)和計(jì)算機(jī)的威脅也越來越突出。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 14 入侵過程一般可以概括為五個(gè)步驟或階段，我們可以就入侵過程的五個(gè)階段來分析其應(yīng)用的技術(shù)和手段。需要注意的是，作為具體的攻擊，不一定完全按此五個(gè)階段進(jìn)行。信息探測信息探測信息探測一般是入侵過程的開始，攻擊者開始對網(wǎng)絡(luò)內(nèi)部或外部進(jìn)行有意或無意的可攻擊目標(biāo)的搜尋，主要應(yīng)用的技術(shù)包括：目標(biāo)路由信息探測、目標(biāo)主機(jī)操作系統(tǒng)探測、端口探測、帳戶信息搜查、應(yīng)用服務(wù)和應(yīng)用軟件信息探測以及目標(biāo)系統(tǒng)已采取的防御措施查找等等。目前，攻擊者采用的手段主要是掃描工具，如操作系統(tǒng)指紋鑒定工具、端口掃描工具等等。攻擊嘗

30、試攻擊嘗試攻擊者在進(jìn)行信息探測后，獲取了其需要的相關(guān)信息，也就確定了在其知識范疇內(nèi)比較容易實(shí)現(xiàn)的攻擊目標(biāo)嘗試對象，然后開始對目標(biāo)主機(jī)的技術(shù)或管理漏洞進(jìn)行深入分析和驗(yàn)證，這就意味著攻擊嘗試的進(jìn)行。目前，攻擊者常用的手段主要是漏洞校驗(yàn)和口令猜解，如：專用的 CGI 漏洞掃描工具、登錄口令破解等等。權(quán)限提升權(quán)限提升攻擊者在進(jìn)行攻擊嘗試以后，如果成功也就意味著攻擊者從原先沒有權(quán)限 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 15 的系統(tǒng)獲取了一個(gè)訪問權(quán)限，但這個(gè)權(quán)限可能是受限制的，于是攻擊者就會采取各種措施，使得當(dāng)前的權(quán)限得到提升，最理想的就是獲得最高權(quán)限（如Admin 或者

31、 Root 權(quán)限） ，這樣攻擊者才能進(jìn)行深入攻擊。這個(gè)過程就是權(quán)限提升。目前，攻擊者常用的手段主要是通過緩沖區(qū)溢出的攻擊方式。深入攻擊深入攻擊攻擊者通過權(quán)限提升后，一般是控制了單臺主機(jī)，從而獨(dú)立的入侵過程基本完成。但是，攻擊者也會考慮如何將留下的入侵痕跡消除，同時(shí)開辟一條新的路徑便于日后再次進(jìn)行更深入地攻擊，因此，作為深入攻擊的主要技術(shù)手段就有日志更改或替換、木馬植入以及進(jìn)行跳板攻擊等等。木馬的種類更是多種多樣，近年來，木馬程序結(jié)合病毒的自動傳播來進(jìn)行入侵植入更是屢見不鮮。拒絕服務(wù)拒絕服務(wù)如果目標(biāo)主機(jī)的防范措施比較好，前面的攻擊過程可能不起效果。作為部分惡意的攻擊者還會采用拒絕服務(wù)的攻擊方式，

32、模擬正常的業(yè)務(wù)請求來阻塞目標(biāo)主機(jī)對外提供服務(wù)的網(wǎng)絡(luò)帶寬或消耗目標(biāo)主機(jī)的系統(tǒng)資源，使正常的服務(wù)變得非常困難，嚴(yán)重的甚至導(dǎo)致目標(biāo)主機(jī)宕機(jī)，從而達(dá)到攻擊的效果。目前，拒絕服務(wù)工具成為非常流行的攻擊手段，甚至結(jié)合木馬程序發(fā)展成為分布式拒絕服務(wù)攻擊，其攻擊威力更大。網(wǎng)絡(luò)安全是一個(gè)動態(tài)的概念,可以用網(wǎng)絡(luò)動態(tài)安全模型來描述，能夠提供給用戶更完整、更合理的安全機(jī)制。全網(wǎng)動態(tài)安全體系可由下面的公式概括：網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全(S)(S) = = 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析(A)+(A)+ 制定策略制定策略(P)(P) + + 系統(tǒng)防護(hù)系統(tǒng)防護(hù)(P)(P) + + 實(shí)時(shí)檢測實(shí)時(shí)檢測(D)(D) + + 實(shí)時(shí)響應(yīng)實(shí)時(shí)響應(yīng)(R)(R

33、) + + 災(zāi)難恢復(fù)災(zāi)難恢復(fù)(R)(R)即：網(wǎng)絡(luò)安全是一個(gè)“APPDRR”的動態(tài)安全模型。然而，在這個(gè)安全模型中，并非各個(gè)部分的重要程度都是等同的。在安全策略的指導(dǎo)下，進(jìn)行必要的 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 16 系統(tǒng)防護(hù)有積極的意義，但是，無論網(wǎng)絡(luò)防護(hù)得多么牢固，依舊不能說“網(wǎng)絡(luò)是安全的” 。因?yàn)殡S著技術(shù)的發(fā)展，任何防護(hù)措施都不能保證網(wǎng)絡(luò)不出現(xiàn)新的安全事件，不被手段高超的人員成功入侵。在攻擊與防御的較量中，實(shí)時(shí)檢測是處在一個(gè)核心的地位。在實(shí)時(shí)檢測中，入侵檢測系統(tǒng)（英文簡稱 IDS：Intrusion Detection System）是目前最為主要的

34、一個(gè)廣泛應(yīng)用的技術(shù)和管理手段。入侵檢測就是對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識別的過程。入侵檢測系統(tǒng)則是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。它能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸或主機(jī)系統(tǒng)，自動檢測可疑行為，及時(shí)發(fā)現(xiàn)來自網(wǎng)絡(luò)外部或內(nèi)部的攻擊從而實(shí)時(shí)響應(yīng)，并提供了安全事件的詳細(xì)說明及恢復(fù)、修補(bǔ)措施。入侵檢測系統(tǒng)還可以與防火墻等其它安全產(chǎn)品緊密結(jié)合，最大程度地為網(wǎng)絡(luò)系統(tǒng)提供安全保障。入侵檢測系統(tǒng)是一種動態(tài)網(wǎng)絡(luò)安全技術(shù)，它能夠發(fā)現(xiàn)入侵者實(shí)時(shí)攻擊行為，并對其進(jìn)行響應(yīng)。從網(wǎng)絡(luò)安全防護(hù)上講，防火墻技術(shù)給出了一個(gè)靜態(tài)防護(hù)的概念，而入侵檢測技術(shù)具有動態(tài)防御的意義。入侵檢測具

35、有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計(jì)，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評估自己的系統(tǒng)。6.2.6 漏洞掃描需求漏洞掃描需求鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)部署應(yīng)用中，不可能保證各個(gè)節(jié)點(diǎn)每時(shí)每刻都能處在系統(tǒng)漏洞最少的狀態(tài)。必須有專門的漏洞掃描工具協(xié)助管理員定時(shí)對整個(gè)系統(tǒng)做安全評估。所以，需要對整個(gè)系統(tǒng)進(jìn)行漏洞掃描系統(tǒng)部署。1988 年第一個(gè)針對 UNIX 系統(tǒng)的蠕蟲誕生以來，計(jì)算機(jī)蠕蟲病毒以其快速、多樣化的傳播方式不斷給網(wǎng)絡(luò)世界帶來災(zāi)害。尤其是近幾年開始針對廣泛使用的 Windows 操作系統(tǒng)的高危蠕蟲不斷出現(xiàn)，給社會造成了巨大的損失，蠕蟲現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)

36、上最可怕的安全威脅。 “沖擊波” ， “震蕩波”都是利用了微軟Windows 系統(tǒng)的漏洞進(jìn)行傳播和感染，也就是說他們都依賴于漏洞的存在。產(chǎn)生安全漏洞的主要原因有三點(diǎn)：很多軟件在設(shè)計(jì)時(shí)忽略或者很少考慮安全性問題造成了安全漏洞。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 17 這樣產(chǎn)生的安全漏洞分為兩類：第一類，是由于操作系統(tǒng)本省設(shè)計(jì)缺陷帶來的安全漏洞，這類漏洞將被運(yùn)行在該系統(tǒng)上的應(yīng)用程序所繼承；第二類是應(yīng)用軟件程序的安全漏洞。第二類漏洞更為常見，更需要得到廣泛的關(guān)注。保證系統(tǒng)安全不是僅僅使用個(gè)別安全工具就能做到的，需要在對網(wǎng)絡(luò)進(jìn)行總體分析的前提下制定安全策略，并且用一

37、系列的安全軟件來實(shí)現(xiàn)一個(gè)完整的安全解決方案。保證系統(tǒng)的安全還需要提高人員的安全防范意識，最終做到安全有效的防范。在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，絕大多數(shù)漏洞存在的原因在于管理員對系統(tǒng)進(jìn)行了錯(cuò)誤的配置，或者沒有及時(shí)的升級系統(tǒng)軟件到最新的版本。如果及時(shí)掌握網(wǎng)絡(luò)中存在漏洞的主機(jī)，就能通過安裝補(bǔ)丁程序有效的防范蠕蟲的攻擊和來自網(wǎng)絡(luò)黑客的攻擊。因此就有漏洞掃描技術(shù)和對應(yīng)的技術(shù)工具掃描軟件。在條件許可的情況下，采用漏洞掃描系統(tǒng)選配的漏洞驗(yàn)證工具，對一些重要網(wǎng)段、服務(wù)器進(jìn)行模擬滲透攻擊，對網(wǎng)絡(luò)的現(xiàn)有的安全水平進(jìn)行比較客觀的評價(jià)是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的一種安全技術(shù)。用于檢查、分析網(wǎng)絡(luò)范圍內(nèi)的設(shè)備、網(wǎng)絡(luò)服務(wù)、操作系

38、統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的安全性，從而為提高網(wǎng)絡(luò)安全的等級提供決策的支持。網(wǎng)絡(luò)漏洞掃描基本的原理是通過與目標(biāo)主機(jī) TCP/IP 端口建立連接并請求某些服務(wù)（如 TELNET、FTP 等） ，記錄目標(biāo)主機(jī)的應(yīng)答，搜集目標(biāo)主機(jī)相關(guān)信息（如匿名用戶是否可以登錄等） ，從而發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的安全弱點(diǎn)。漏洞掃描技術(shù)的重要性在于把極為煩瑣的安全檢測，通過程序來自動完成，這不僅減輕管理者的工作，而且縮短了檢測時(shí)間，使安全問題問題更早被發(fā)現(xiàn)。大多數(shù)情況下而言，使用自動的漏洞掃描技術(shù)可以快速、深入地對網(wǎng)絡(luò)或目標(biāo)主機(jī)進(jìn)行安全檢測。系統(tǒng)管理員利用漏洞掃描技術(shù)對局域網(wǎng)絡(luò)、Web 站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以及防火墻

39、系統(tǒng)的安全漏洞進(jìn)行掃描，可以了解在運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中存在的不安全的網(wǎng)絡(luò)服務(wù)，在操作系統(tǒng)上存在的可能導(dǎo)致黑客攻擊的安全漏洞， 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 18 還可以檢測主機(jī)系統(tǒng)中是否被安裝了竊聽程序，防火墻系統(tǒng)是否存在安全漏洞和配置錯(cuò)誤等等。利用安全掃描軟件，可以能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并在網(wǎng)絡(luò)攻擊者掃描和利用之前予以修補(bǔ)，從而提高網(wǎng)絡(luò)的安全性。6.2.7VOD 點(diǎn)播系統(tǒng)需求點(diǎn)播系統(tǒng)需求鐵道警官高等?？茖W(xué)院目前沒有 VOD 課件點(diǎn)播系統(tǒng)。建成后的視頻點(diǎn)播系統(tǒng)可以為全校師生的學(xué)習(xí)、資料保存，內(nèi)容回顧等提供一個(gè)良好的管理與發(fā)布平臺，依托校園網(wǎng)網(wǎng)絡(luò)，使教學(xué)資源能夠

40、快速、直觀的提供給每一個(gè)師生。7 7 安全技術(shù)體系設(shè)計(jì)安全技術(shù)體系設(shè)計(jì)7.17.1 安全技術(shù)體系總體框架設(shè)計(jì)安全技術(shù)體系總體框架設(shè)計(jì)在具體的安全建設(shè)中應(yīng)根據(jù)安全目標(biāo)、網(wǎng)絡(luò)狀況、目前用戶最關(guān)注的安全重點(diǎn)和現(xiàn)有投資規(guī)模選擇當(dāng)前最迫切需要的安全防護(hù)機(jī)制，用以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠運(yùn)行。在前面的章節(jié)中我們已經(jīng)對校園網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu)進(jìn)行了全面分析并按照等級保護(hù)的原則對改造后的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行了區(qū)域劃分和各區(qū)域的安全保護(hù)級別定義。結(jié)合用戶的實(shí)際需要，我們設(shè)計(jì)了一套由多種安全技術(shù)和多層防護(hù)措施構(gòu)成的安全體系總體技術(shù)框架，希望能幫助校園網(wǎng)絡(luò)有效抵御來自內(nèi)、外網(wǎng)絡(luò)的安全威脅。主要包括：（1）網(wǎng)絡(luò)安全劃分安全

41、域，部署防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)等；（2）主機(jī)安全部署服務(wù)器/客戶端防病毒系統(tǒng)、終端安全管理系統(tǒng)、補(bǔ)丁管理系統(tǒng)等；（3）應(yīng)用安全部署防惡意代碼系統(tǒng)等；（4）管理 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 19 部署安全管理平臺，在安全管理平臺的基礎(chǔ)上，建立安全管理中心。7.1.17.1.1 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全1、邊界防護(hù) 在對整個(gè)網(wǎng)絡(luò)進(jìn)行了安全域劃分和確定安全等級后，我們將對各區(qū)域的邊界采取一定的隔離和控制措施，制定適當(dāng)?shù)陌踩呗?，確保在不同安全等級的區(qū)域之間在根據(jù)業(yè)務(wù)需要進(jìn)行互聯(lián)互通的同時(shí)，避免高等級系統(tǒng)的安全受低等級系統(tǒng)的影響。首先

42、我們將根據(jù)整體網(wǎng)絡(luò)的區(qū)域劃分情況進(jìn)行 VLAN 的劃分和路由規(guī)劃，對安全等級較高的安全域，在其邊界部署狀態(tài)檢測防火墻提供安全防護(hù)，對安全等級較低的安全域的邊界則可以使用策略路由或訪問控制列表來進(jìn)行控制。具體的安全域邊界隔離機(jī)制和訪問控制策略建議如下：在互聯(lián)網(wǎng)邊界采用防火墻提供邊界隔離和訪問控制，對外提供信息服務(wù)的WEB、MAIL 服務(wù)器單獨(dú)組成一個(gè) DMZ 區(qū)，允許內(nèi)部用戶訪問互聯(lián)網(wǎng)上的特定應(yīng)用，允許互聯(lián)網(wǎng)主機(jī)訪問 DMZ 區(qū)服務(wù)器上開放的服務(wù)，拒絕其他所有訪問；2、入侵檢測在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，對外界網(wǎng)絡(luò)黑客利用防火墻為合法的用戶訪問而開放的端口穿透防火墻對內(nèi)網(wǎng)發(fā)起的各種高級、復(fù)雜的攻擊

43、行為進(jìn)行檢測和阻斷。系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，對檢測到的各種攻擊行為均可直接阻斷并生成日志報(bào)告和報(bào)警信息。3、漏洞掃描系統(tǒng)面向全網(wǎng)實(shí)時(shí)進(jìn)行漏洞掃描，發(fā)現(xiàn)安全漏洞，彌補(bǔ)漏洞，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)級別。7.1.27.1.2 主機(jī)安全主機(jī)安全1、服務(wù)器和客戶端病毒防護(hù)系統(tǒng) 在整個(gè)網(wǎng)絡(luò)中的所有服務(wù)器（WINDOWS、LINUX）和客戶端（WINDOWS）計(jì)算機(jī)上部署相應(yīng)平臺的網(wǎng)絡(luò)版防病毒軟件，并配置防病毒系統(tǒng)管理中心對所 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 20 有主機(jī)上的防病毒軟件進(jìn)行集中管理、監(jiān)控、統(tǒng)一升級、集中查殺

44、毒。 2、終端安全管理系統(tǒng)通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署終端安全管理代理軟件，包障網(wǎng)絡(luò)終端的信息安全。3、補(bǔ)丁管理系統(tǒng)通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署補(bǔ)丁管理系統(tǒng)，集中管理客戶端軟件系統(tǒng)補(bǔ)丁的升級、系統(tǒng)配置策略，可以定義終端補(bǔ)丁下載，補(bǔ)丁升級策略以及增強(qiáng)終端系統(tǒng)安全配置策略，并下發(fā)給運(yùn)行于各終端設(shè)備上的代理程序，代理執(zhí)行這些策略，保證終端系統(tǒng)補(bǔ)丁升級、安全配置的完備有效，整個(gè)管理過程都是自動完成的，對終端用戶來說完全透明。此外，為了提高整個(gè)網(wǎng)絡(luò)用戶補(bǔ)丁升級的效率，避免由于終端用戶的同時(shí)補(bǔ)丁升級給網(wǎng)絡(luò)帶寬帶來的影響，可以在網(wǎng)絡(luò)內(nèi)部搭建補(bǔ)丁升級服務(wù)器，保證終端設(shè)備補(bǔ)丁

45、升級的及時(shí)有效。7.1.37.1.3 應(yīng)用安全應(yīng)用安全1、互聯(lián)網(wǎng)惡意代碼防范 當(dāng)前，互聯(lián)網(wǎng)病毒、蠕蟲、木馬、流氓軟件等各類惡意代碼已經(jīng)成為互聯(lián)網(wǎng)接入單位所面臨的重要威脅之一，建議在校園網(wǎng)絡(luò)中可能遭到互聯(lián)網(wǎng)惡意代碼侵襲的網(wǎng)絡(luò)邊界位置均部署網(wǎng)關(guān)級的惡意代碼防范系統(tǒng)，徹底阻斷互聯(lián)網(wǎng)惡意代碼在校園網(wǎng)絡(luò)中的傳播。 7.1.47.1.4 集中的安全管理和監(jiān)控集中的安全管理和監(jiān)控部署綜合安全管理平臺，提供集中的安全審計(jì)、風(fēng)險(xiǎn)管理、事件響應(yīng)，對全網(wǎng)進(jìn)行統(tǒng)一的安全管理和網(wǎng)絡(luò)管理，在安全管理平臺的基礎(chǔ)上，建立安全運(yùn)營中心，實(shí)現(xiàn)對安全事件的實(shí)時(shí)檢測、及時(shí)響應(yīng)和綜合防護(hù)，對網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系的動態(tài)更新，大大降低安全

46、事件發(fā)生的概率，并將安全事件的影響降低到最小。針對校園網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用特點(diǎn)和目前所面臨的主要安全風(fēng)險(xiǎn)，結(jié)合業(yè)內(nèi)先進(jìn)的安全技術(shù)和優(yōu)秀的安全產(chǎn)品，我們提出了集以下多種安全機(jī)制于一體的安 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 21 全解決方案，幫助校園網(wǎng)絡(luò)建立覆蓋網(wǎng)絡(luò)、主機(jī)、應(yīng)用及管理等各個(gè)層面的整體安全防護(hù)體系，以確保校園網(wǎng)絡(luò)安全可靠地運(yùn)行。7.27.2 防火墻系統(tǒng)設(shè)計(jì)防火墻系統(tǒng)設(shè)計(jì)7.2.17.2.1 防火墻系統(tǒng)部署的意義防火墻系統(tǒng)部署的意義防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通信，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，

47、提供內(nèi)外網(wǎng)絡(luò)通信。通過使用 Firewall 過濾不安全的服務(wù)器，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。防火墻屬于一種被動的安全防御工具。 設(shè)立防火墻的目的就是保護(hù)一個(gè)網(wǎng)絡(luò)不受來自另一個(gè)網(wǎng)絡(luò)的攻擊，防火墻的主要功能包括以下幾個(gè)方面：（1）防火墻提供安全邊界控制的基本屏障。設(shè)置防火墻可提高內(nèi)部網(wǎng)絡(luò)安全性，降低受攻擊的風(fēng)險(xiǎn)。（2）防火墻體現(xiàn)網(wǎng)絡(luò)安全策略的具體實(shí)施。防火墻集成所有安全軟件（如口令、加密、認(rèn)證、審計(jì)等） ，比分散管理更經(jīng)濟(jì)。（3）防火墻強(qiáng)化安全認(rèn)證和監(jiān)控審計(jì)。因?yàn)樗羞M(jìn)

48、出網(wǎng)絡(luò)的通信流都通過防火墻，使防火墻也能提供日志記錄、統(tǒng)計(jì)數(shù)據(jù)、報(bào)警處理、審計(jì)跟蹤等服務(wù)。（4）防火墻能阻止內(nèi)部信息泄漏。防火墻實(shí)際意義上也是一個(gè)隔離器，即能防外，又能防止內(nèi)部未經(jīng)授權(quán)用戶對互聯(lián)網(wǎng)的訪問。7.2.27.2.2 防火墻系統(tǒng)部署防火墻系統(tǒng)部署方式方式建議在校園網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)的各個(gè)出口邊界位置部署防火墻系統(tǒng)提供邊界安全隔離。對內(nèi)部各不同區(qū)域之間也存在安全隔離和訪問控制需求的，也可以采用防火墻系統(tǒng)提供不同區(qū)域之間的邊界隔離，尤其是對安全保護(hù)級別要求較高的區(qū)域如服務(wù)器區(qū)域，建議在其區(qū)域邊界處設(shè)置防火墻系統(tǒng)，負(fù)責(zé)審核 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司

49、 22 進(jìn)出本網(wǎng)絡(luò)區(qū)域的訪問請求，確保只有合法的訪問才能通過，從而為重要子網(wǎng)建立安全的防御屏障，防范來自主干網(wǎng)上其他節(jié)點(diǎn)的非法訪問和入侵。具體設(shè)計(jì)如下：1.1.1.11.1.1.1網(wǎng)絡(luò)邊界防火墻網(wǎng)絡(luò)邊界防火墻建議在網(wǎng)絡(luò)邊界采用一套防火墻提供邊界隔離和訪問控制，將辦公網(wǎng)作為被保護(hù)的內(nèi)網(wǎng)，允許內(nèi)部主機(jī)訪問互聯(lián)網(wǎng)上的特定應(yīng)用，拒絕其他所有訪問。同時(shí)，將辦公區(qū)域面向互聯(lián)網(wǎng)提供信息發(fā)布和通訊服務(wù)的 WEB、MAIL 服務(wù)器等單獨(dú)保護(hù)在防火墻的 DMZ 區(qū)，與內(nèi)網(wǎng)進(jìn)行有效隔離，避免互聯(lián)網(wǎng)用戶直接訪問校園網(wǎng)絡(luò)中的內(nèi)部主機(jī)。7.2.37.2.3 防火墻系統(tǒng)部署效果防火墻系統(tǒng)部署效果防火墻系統(tǒng)可實(shí)現(xiàn)以下的基本功

50、能： 隔離安全區(qū)域隔離安全區(qū)域防火墻采用多安全區(qū)域體系，每個(gè)物理接口對應(yīng)一個(gè)獨(dú)立的安全區(qū)域，在不同網(wǎng)絡(luò)區(qū)域之間進(jìn)行互聯(lián)時(shí)，全部通信都受到防火墻的監(jiān)控，通過防火墻的安全策略可以將所聯(lián)區(qū)域設(shè)置成相應(yīng)的保護(hù)級別，以保證關(guān)鍵系統(tǒng)的安全。每個(gè)區(qū)域的安全策略只對該區(qū)域有效。每個(gè)區(qū)域可以單獨(dú)設(shè)置自己的默認(rèn)安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域?qū)?yīng)的安全策略。 提供豐富的提供豐富的 AAAAAA 功能功能防火墻支持對網(wǎng)絡(luò)用戶提供豐富的安全身份認(rèn)證，如一次性口令（OTP） 、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域認(rèn)證及數(shù)字證書等常用的安全認(rèn)證方法，也可以使用專用的認(rèn)證客戶端

51、軟件進(jìn)行認(rèn)證?；谟脩舻陌踩呗愿`活、更廣泛地實(shí)現(xiàn)了用戶鑒別和用戶授權(quán)的控制，并提供了豐富的安全日志來記錄用戶的安全事件。 提供地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡(luò)信息提供地址轉(zhuǎn)換，對外隱藏內(nèi)部網(wǎng)絡(luò)信息正向源地址轉(zhuǎn)換使內(nèi)部網(wǎng)用戶可使用私有 IP 地址通過防火墻訪問外部網(wǎng)絡(luò)。對外界網(wǎng)絡(luò)用戶來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 23 不知道是來自內(nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。反向目的地址轉(zhuǎn)換可使對外提供信息發(fā)布服務(wù)的 WEB 服務(wù)器等采用私有 IP 地址作為真實(shí)地址，外界用戶所訪問到的是被防火墻轉(zhuǎn)換過

52、的目的地址，這樣也能夠有效的隱藏內(nèi)部服務(wù)器信息，對服務(wù)器進(jìn)行保護(hù)。 防御外界黑客攻擊防御外界黑客攻擊防火墻自身也可提供了一定的入侵檢測和防護(hù)功能，能抵御常見的各種網(wǎng)絡(luò)攻擊，并可以和 IDS 實(shí)現(xiàn)聯(lián)動。這不但提高了安全性，而且保證了高性能。 深入的應(yīng)用層控制深入的應(yīng)用層控制通過防火墻對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包中的高層協(xié)議（HTTP、FTP、SMTP、POP3、NNTP）內(nèi)容實(shí)行更詳細(xì)的控制，如 HTTP 命令（GET，POST，HEAD）及 URL，F(xiàn)TP 命令（GEI，PUT）及文件控制。 這對于提高基于通用 Internet 服務(wù)的應(yīng)用服務(wù)器的安全性非常有意義。 帶寬管理和帶寬管理和 QOS防火墻提

53、供多層次的分布式帶寬管理功能，優(yōu)化網(wǎng)絡(luò)資源的應(yīng)用，提高網(wǎng)絡(luò)資源應(yīng)用效率。例如，通過防火墻的帶寬管理，可為內(nèi)部網(wǎng)絡(luò)的重要用戶如領(lǐng)導(dǎo)、網(wǎng)站維護(hù)人員等定義與外部網(wǎng)絡(luò)通信時(shí)的最大帶寬，而且?guī)捒梢允欠謱拥模绮块T帶寬下面有小組帶寬然后是個(gè)人帶寬等，可以防止帶寬被濫用，保證重要的通信的順暢。 日志記錄與審計(jì)日志記錄與審計(jì)當(dāng)防火墻系統(tǒng)被配置為工作在不同安全域之間的關(guān)鍵節(jié)點(diǎn)時(shí)，防火墻系統(tǒng)就能夠?qū)Σ煌踩蛑g的訪問請求做出日志記錄。日志是對一些可能的攻擊行為進(jìn)行分析和防范的十分重要的情報(bào)。另外,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計(jì)。這樣網(wǎng)絡(luò)管理員通過對統(tǒng)計(jì)結(jié)果進(jìn)行分析，掌握網(wǎng)絡(luò)的運(yùn)行狀態(tài)，繼而更加

54、有效的管理整個(gè)網(wǎng)絡(luò)。 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 24 7.37.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì)7.3.17.3.1 部署網(wǎng)絡(luò)部署網(wǎng)絡(luò)入侵檢測系統(tǒng)的意義入侵檢測系統(tǒng)的意義在基于 TCP/IP 的網(wǎng)絡(luò)中，普遍存在遭受攻擊的風(fēng)險(xiǎn)。除了惡意的攻擊外，非惡意目的發(fā)起的攻擊也是非常重要的一部分。有效的入侵檢測系統(tǒng)可以同時(shí)檢測內(nèi)部和外部威脅。入侵檢測系統(tǒng)的目的是檢測惡意和非預(yù)期的數(shù)據(jù)和行為（如變更數(shù)據(jù)、惡意執(zhí)行、允許非預(yù)期資源訪問的請求和非預(yù)期使用服務(wù)） 。一旦入侵被檢測到，會引發(fā)某種響應(yīng)（如斷開攻擊者連接、通知操作員、自動停止或減輕攻擊、跟蹤攻擊來

55、源或適當(dāng)?shù)胤垂簦?。利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，還存在著一些防火墻所不能防范的安全威脅，入侵者可尋找防火墻背后可能敞開的后門，或者入侵者也可能就在防火墻內(nèi)，而防火墻對于所保護(hù)網(wǎng)絡(luò)內(nèi)部的終端設(shè)備所發(fā)出的攻擊是無能為力的，因?yàn)檫@種訪問沒有經(jīng)過防火墻。所以需要在包含敏感數(shù)據(jù)和關(guān)鍵服務(wù)的網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略做阻斷等。入侵檢測是防火

56、墻等其它安全措施的補(bǔ)充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)） ，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)檢測。7.3.27.3.2 網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署方式網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署方式建議在網(wǎng)絡(luò)中部署入侵檢測系統(tǒng)，實(shí)時(shí)檢測、分析網(wǎng)絡(luò)上的通訊數(shù)據(jù)流，尤其是對進(jìn)出安全域邊界或進(jìn)出存放有涉密信息的關(guān)鍵網(wǎng)段、服務(wù)器主機(jī)的通

57、鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 25 訊數(shù)據(jù)流進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)違規(guī)行為和異常行為，并提供阻斷和報(bào)警。入侵檢測系統(tǒng)工作在第二層到第七層，通常使用特征匹配和異常分析的方法來識別各種網(wǎng)絡(luò)攻擊行為，因其是以在線并聯(lián)方式部署的，對檢測到的各種攻擊行為均可直接阻斷并生成日志報(bào)告和報(bào)警信息。7.47.4 內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)內(nèi)網(wǎng)安全管理系統(tǒng)設(shè)計(jì)7.4.17.4.1 部署內(nèi)網(wǎng)安全管理系統(tǒng)的意義部署內(nèi)網(wǎng)安全管理系統(tǒng)的意義目前國內(nèi)政府機(jī)關(guān)、軍隊(duì)、科研機(jī)構(gòu)、學(xué)校和企事業(yè)單位中的網(wǎng)絡(luò)都具有相當(dāng)?shù)囊?guī)模，網(wǎng)絡(luò)中大量使用計(jì)算機(jī)及其它網(wǎng)絡(luò)設(shè)備。這些設(shè)備帶來高效應(yīng)用的同時(shí)，由于自身確實(shí)存

58、在著安全風(fēng)險(xiǎn)隱患，應(yīng)該采用相關(guān)網(wǎng)絡(luò)安全技術(shù)、手段來保障整個(gè)網(wǎng)絡(luò)運(yùn)行的安全。盡管以上大多數(shù)用戶采用了專門的網(wǎng)絡(luò)通道技術(shù)、物理隔離技術(shù)、安全網(wǎng)段劃分、安全防護(hù)設(shè)施（如防火墻、入侵檢測、漏洞掃描）等方式保證自己的網(wǎng)絡(luò)安全，但是，對類似下面的安全問題仍然無法做到真正意義上的解決：1、內(nèi)部網(wǎng)絡(luò)用戶通過調(diào)制解調(diào)器、雙網(wǎng)卡、無線網(wǎng)卡等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)、違規(guī)離線上網(wǎng)等行為； 2、非法的準(zhǔn)入控制等行為；3、違反規(guī)定將專網(wǎng)專用的計(jì)算機(jī)帶出網(wǎng)絡(luò)進(jìn)入到其它網(wǎng)絡(luò)；4、網(wǎng)絡(luò)出現(xiàn)病毒、蠕蟲攻擊等安全問題后，不能做到安全事件源的實(shí)時(shí)、快速、精確定位、遠(yuǎn)程阻斷隔離操作。安全事件發(fā)生后，網(wǎng)管一般通過交換機(jī)、路由器或防

59、火墻進(jìn)行封堵，但設(shè)置復(fù)雜，操作風(fēng)險(xiǎn)大，而且絕大多數(shù)普通交換機(jī)并沒有被設(shè)置成 SNMP 可管理模式，因此不能夠方便地進(jìn)行隔離操作；5、大規(guī)模病毒（安全）事件發(fā)生后，網(wǎng)管無法確定病毒黑客事件源頭、無法找到網(wǎng)絡(luò)中的薄弱環(huán)節(jié)，無法做到事后分析、加強(qiáng)安全預(yù)警；6、靜態(tài) IP 地址的網(wǎng)絡(luò)由于用戶原因造成使用管理混亂、網(wǎng)管人員無法知道 IP 地址的使用、IP 同 MAC 地址的綁定情況以及網(wǎng)絡(luò)中 IP 分 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 26 配情況；7、針對網(wǎng)絡(luò)內(nèi)部安全隱患，自動檢測網(wǎng)絡(luò)中主機(jī)的安全防范等級，進(jìn)行補(bǔ)丁大面積分發(fā)，徹底解決網(wǎng)絡(luò)中的不安全因素。8、大型網(wǎng)絡(luò)

60、系統(tǒng)中區(qū)域結(jié)構(gòu)復(fù)雜，不能明確劃分管理責(zé)任范圍；9、網(wǎng)絡(luò)中計(jì)算機(jī)設(shè)備硬件設(shè)備繁多，不能做到精確統(tǒng)計(jì)。 采用內(nèi)網(wǎng)安全管理系統(tǒng)則能夠完全解決上述網(wǎng)絡(luò)安全管理工作中遇到的常見問題。7.4.27.4.2 內(nèi)網(wǎng)安全管理系統(tǒng)部署方式內(nèi)網(wǎng)安全管理系統(tǒng)部署方式內(nèi)網(wǎng)安全管理系統(tǒng)提供終端安全管理、非法外聯(lián)監(jiān)控、補(bǔ)丁管理、網(wǎng)絡(luò)準(zhǔn)入控制等功能。需在內(nèi)網(wǎng)的所有 Windows 客戶端安裝客戶端的代理，在服務(wù)器區(qū)域部署內(nèi)網(wǎng)安全管理系統(tǒng)策略服務(wù)器、補(bǔ)丁升級服務(wù)器、局域網(wǎng)準(zhǔn)入控制服務(wù)器，在邊界部署網(wǎng)關(guān)準(zhǔn)入控制服務(wù)器等進(jìn)行整個(gè)網(wǎng)絡(luò)的安全管理。具體部署方式如下：1、在辦公網(wǎng)部署內(nèi)網(wǎng)安全管理系統(tǒng)策略服務(wù)器2、在辦公網(wǎng)部署網(wǎng)絡(luò)準(zhǔn)入控制

61、服務(wù)器，包括局域網(wǎng)準(zhǔn)入控制服務(wù)器和網(wǎng)關(guān)準(zhǔn)入控制服務(wù)器3、 在辦公網(wǎng)分別部署補(bǔ)丁升級服務(wù)器7.4.37.4.3 內(nèi)網(wǎng)安全管理系統(tǒng)部署效果內(nèi)網(wǎng)安全管理系統(tǒng)部署效果內(nèi)網(wǎng)終端安全管理內(nèi)網(wǎng)終端安全管理主要通過安全代理實(shí)現(xiàn)以下功能：網(wǎng)絡(luò)連接管理：動態(tài)地采取不同的安全策略以消除內(nèi)部用戶進(jìn)行非法網(wǎng)絡(luò)連接所帶來的威脅，包括監(jiān)控和阻止內(nèi)部網(wǎng)絡(luò)用戶通過雙網(wǎng)卡、無線網(wǎng)卡、調(diào)制解調(diào)器、VPN 撥號適配器等網(wǎng)絡(luò)設(shè)備進(jìn)行在線違規(guī)撥號上網(wǎng)或違規(guī)離線上網(wǎng)等行為。外設(shè)管理：限制特定終端系統(tǒng)上的軟驅(qū)、光驅(qū)、U 盤、移動硬盤等外存設(shè)備 鐵道警官高等專科學(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 27 的使用，對使用操作進(jìn)行

62、詳細(xì)記錄，有效避免單位機(jī)密數(shù)據(jù)外泄。文件訪問控制：對終端系統(tǒng)上所有機(jī)密文件讀寫、拷貝、刪除等操作進(jìn)行實(shí)時(shí)監(jiān)控，詳細(xì)記錄對機(jī)密文件的操作，為企業(yè)的審計(jì)工作提供幫助。終端修復(fù)：如果主機(jī)完整性不符合安全策略的要求，客戶端安全代理能夠自動執(zhí)行恢復(fù)操作，確保只有符合安全策略的主機(jī)才能連接到企業(yè)網(wǎng)絡(luò)。常用的恢復(fù)操作有： 開啟防病毒軟件、主機(jī)防火墻、主機(jī)型入侵檢測軟件； 升級病毒定義、主機(jī)防火墻策略、主機(jī)入侵檢測特征庫； 自動下載并安裝 Windows 的各種補(bǔ)??； 更改操作系統(tǒng)設(shè)置（強(qiáng)密碼保護(hù)、禁止修改注冊表、禁止修改 IP 和 MAC 地址、禁止啟動系統(tǒng)服務(wù)等等） 。網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)絡(luò)準(zhǔn)入控制 主要包括以

63、下兩個(gè)方面的控制：局域網(wǎng)準(zhǔn)入與隔離：當(dāng)移動用戶和外來人員從局域網(wǎng)內(nèi)部接入的時(shí)候，邊界防護(hù)措施往往會失去效用，這時(shí)就需要設(shè)置一套局域網(wǎng)準(zhǔn)入控制服務(wù)器，通過和 802.1x 交換機(jī)的聯(lián)動，在局域網(wǎng)接入層實(shí)現(xiàn)對用戶的網(wǎng)絡(luò)準(zhǔn)入控制。局域網(wǎng)準(zhǔn)入控制服務(wù)器會要求交換機(jī)主動認(rèn)證接入的 PC，如果 PC 上沒有安裝安全管理客戶端軟件，或者其他主機(jī)安全狀況檢查沒有達(dá)標(biāo)，則交換機(jī)可以根據(jù)服務(wù)器的指令，拒絕其接入內(nèi)部網(wǎng)絡(luò)，或?qū)⑵涓綦x到一個(gè)漫游區(qū)，修復(fù)安全狀況，或者受限制的訪問網(wǎng)絡(luò)。一旦安全修復(fù)完成，服務(wù)器會通知交換機(jī)將該 PC 從漫游區(qū)切換到工作的 VLAN 之中。此外，局域網(wǎng)準(zhǔn)入控制服務(wù)器還能與通用的 3A 認(rèn)證

64、服務(wù)器結(jié)合實(shí)現(xiàn)接入用戶身份認(rèn)證，在接入設(shè)備安全性認(rèn)證通過后，局域網(wǎng)準(zhǔn)入控制服務(wù)器將根據(jù)用戶身份認(rèn)證的結(jié)果來動態(tài)分配工作 VLAN。邊界準(zhǔn)入與隔離： 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 28 用于控制使用 VPN 和 RAS 撥號接入的遠(yuǎn)程用戶，由于這些遠(yuǎn)程用戶處于網(wǎng)絡(luò)邊界保護(hù)范圍之外，通常暴露在公共網(wǎng)絡(luò)之中，面臨較大的安全風(fēng)險(xiǎn)，一旦被病毒或黑客攻陷，就會成為攻擊企業(yè)網(wǎng)絡(luò)的跳板，從而給單位帶來災(zāi)難性的損失。通過在互連網(wǎng)出口位置設(shè)置邊界準(zhǔn)入控制服務(wù)器，能夠驗(yàn)證通過 VPN 隧道聯(lián)入的遠(yuǎn)程用戶主機(jī)上是否運(yùn)行了內(nèi)網(wǎng)安全管理客戶端軟件，并且要求客戶端軟件提交該遠(yuǎn)程主機(jī)的

65、安全檢查報(bào)告，當(dāng)遠(yuǎn)程主機(jī)沒有運(yùn)行安全管理客戶端軟件，或者安全檢查結(jié)果不達(dá)標(biāo)的時(shí)候，認(rèn)證強(qiáng)制網(wǎng)關(guān)能夠阻止用戶訪問企業(yè)內(nèi)部網(wǎng)絡(luò)，但提供用戶恢復(fù)其安全的綠色通路。補(bǔ)丁管理補(bǔ)丁管理通過在所有聯(lián)網(wǎng)的 Windows 客戶端上部署補(bǔ)丁管理系統(tǒng)，集中管理客戶端軟件系統(tǒng)補(bǔ)丁的升級、系統(tǒng)配置策略，可以定義終端補(bǔ)丁下載，補(bǔ)丁升級策略以及增強(qiáng)終端系統(tǒng)安全配置策略，并下發(fā)給運(yùn)行于各終端設(shè)備上的代理程序，代理執(zhí)行這些策略，保證終端系統(tǒng)補(bǔ)丁升級、安全配置的完備有效，整個(gè)管理過程都是自動完成的，對終端用戶來說完全透明。為了提高整個(gè)網(wǎng)絡(luò)用戶補(bǔ)丁升級的效率，避免由于終端用戶的同時(shí)補(bǔ)丁升級給網(wǎng)絡(luò)帶寬帶來的影響，可以在網(wǎng)絡(luò)內(nèi)部搭建

66、補(bǔ)丁升級服務(wù)器，保證終端設(shè)備補(bǔ)丁升級的及時(shí)有效。7.57.5 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)計(jì)7.5.17.5.1 部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義部署網(wǎng)絡(luò)防病毒系統(tǒng)的意義自從 1983 年世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)以來，在不到 20 年的時(shí)間里，計(jì)算機(jī)病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。因此病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互連，病毒的傳播途徑和速度大大加快，造成的危害也不斷增加。計(jì)算機(jī)病毒可按照其破壞的目標(biāo)分為下列幾種類型： 鐵道警官高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項(xiàng)目規(guī)劃方案河南九洲計(jì)算機(jī)有限公司 29 程序型病毒：通常以文件擴(kuò)展名為.COM/.EXE/.SYS/.DLL/.OVL 或.SCR 的程序文件作為其感染目標(biāo)。由于程序文件的使用范圍極為廣泛，而且格式簡單，容易被病毒附身，因此成為病毒作者最愛下手的目標(biāo)。引導(dǎo)型病毒：以硬盤和軟盤的非文件區(qū)域（系統(tǒng)區(qū)域）為感染對象。這些區(qū)域通常是病毒從一臺計(jì)算機(jī)傳播到另一臺計(jì)算機(jī)最有效的傳播途徑。引導(dǎo)型病毒感染和傳播的成功率很高，往往比程序型病毒高出好幾倍。宏病毒：以具有宏功能的數(shù)據(jù)文件為感染對象。Micros