网络工程规划与设计案例教程项目三_任务四_教育信息系统整体安全解决方案.doc

教育信息系统整体安全解决方案 随着信息技术的不断发展，教育的时空观念得到了极大地拓展；人们学习的兴趣、效率、及能动性得到了空前的提高；远程教育、多媒体教学，计算机教学软件、虚拟大学等应运而生；全球性学术交流、合作研究空前繁荣；信息生产、传播和应用日新月异。现代教育科学、心理科学和信息科学技术的相互渗透，已成为教育改革和发展的强大动力。传统的教育模式面临挑战，不仅培养学生具备读和写的能力，更要求具备迅速的选择和筛选信息、准确地鉴别信息的真伪、创造性地加工和处理信息的能力。 面对全球性的信息技术发展环境，中国的教育行业一直在加强教育信息化建设的步伐。自十年前校园网建设启动至今，目前100%的高校建立了校园网，一半以上的中小学也完成了基础设施的建设。目前教育信息系统已由基础网络建设向内容建设迈进，教学、管理、增值、合作等越来越多的应用在教育网络上运行。 随着信息系统的广泛使用，信息的安全、可靠、服务的连续运行变得越来越重要，任何的停机会让我们无所适从，迫使我们不得不考虑信息系统的整体安全性建设。 Symantec提供教育信息系统整体安全性解决方案，有效的预防网络病毒、黑客、儒虫等攻击造成的网络效率下降、数据泄密、及业务停顿；并提供人为错误、硬件故障、其它灾难后信息系统的快速恢复。第一部分 教育网络安全解决方案 一、校园网结构特点及信息安全需求分析 校园网结构特点 随着CERNET在中国教育科研领域的深入发展，校园网信息化建设也日趋完善。总结校园网信息结构的特点，主要有以下几个方面： 校园信息网具备完善、层次化的网络汇结结构，有统一的教育网出口。它是全国高校网的信息互通平台，同时也是通向国际互联网的传输纽带。 校园信息网内建立了一系列重要的应用系统，负责高校日常的信息管理工作，如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。此外，相当多的校园网还启用了学生一卡通系统，用于学生在校区内的购物消费、借书等。数字图书馆是高校的另一个重要系统，它包括门户系统、网上借阅、音像资料管理、TRS 检索，期刊管理等等。 校园网的另一个重要网络是学校科研及中重点试验室网络。尤其是在国家一些重点院校，这部分网络往往都承担了国家级的课题项目，里面涉及到的信息级别较高。 随着信息化程度的深入，校园内学生宿舍区的终端数量日益膨胀。与此同时，教工家属区的PC 也通过校园网的网络资源连入CERNET。对于这两类终端，他们的特点是数量庞大，占用带宽较高且不易管理。 图1：校园信息网示意图 综合以上校园网结构特点，其存在以下安全风险和其脆弱性： 校园信息网平台比较开放，终端数量庞大，非常容易受到来自CERNET本身的安全威胁，例如网络蠕虫传播、安全攻击，垃圾邮件泛滥等等。此外，校园网终端没有统一的管理，每台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响校园网络的正常使用。 学生是CERNET 上重要使用者，对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用，例如：攻击试探、长时间网络下载占用、对重要服务器群的信息窃取等等。这些行为除了会影响校园信息管理系统的正常运行，同时还对那些重要服务器的安全造成了威胁。 学校的重点科研试验室承担了大量的学术研究和试验项目，在研究过程中的数据需要采取严格的安全保护措施。对这部分网络的访问并不一定完全是学校内部的人员，同时还会有相关的外校科研人员。必须要对该网段的访问进行严格的监控和控制措施，以保障其信息的完整性。 校园网的管理结构相对复杂，没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻击等紧急情况，没有相应的处理流程。而且，如果只是通过被动的事后响应，学校投入的IT 资源回报无法最大化，总是在事倍功半的恶性循环之中。 通过上述总结分析可以看出，校园网的安全防护必须是多层次的，全方位的。赛门铁克根据校园网的实际情况，设计了完整、先进的校园网主动安全防护体系，它主要包括： －校园网出口统一威胁控制 －校园网内部安全监控和防御 －校园网内部重要服务器、应用防护（邮件） －校园网内部终端安全防护 图2：校园网信息安全管理体系 二、校园信息网安全建议方案 1．校园网出口统一威胁控制 赛门铁克网关安全Symantec Gateway Security（以下简称SGS）是新一代的统一威胁管理设备。它采用了多种先进的安全技术，对进、出校园网的数据包进行检查、处理和控制。它可以满足校园网抵御混合型威胁的需要。作为业界最全面的统一威胁管理设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。在部署时，SGS 可以根据学校的实际需要启用不同的安全功