校园网络安全实施计划方案.docVIP

.. - . . word.zl- 校园网络平安实施案 校园网网络是一个分层次的拓扑构造，因此网络的平安防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息平安解决案应该覆盖网络的各个层次，并且与平安管理相结合。 一、 网络信息平安系统设计原那么 · 1.1满足Internet分级管理需求 · 1.2需求、风险、代价平衡的原那么 · 1.3综合性、整体性原那么 · 1.4可用性原那么 · 1.5分步实施原那么 目前，对于新建网络及已投入运行的网络，必须尽快解决网络的平安XX问题，设计时应遵循如下思想： 〔1〕大幅度地提高系统的平安性和XX性； 〔2〕保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性； 〔3〕易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； 〔4〕尽量不影响原网络拓扑构造，便于系统及系统功能的扩展； 〔5〕平安XX系统具有较好的性能价格比，一次性投资，可以长期使用； 〔6〕平安与密码产品具有合法性，并便于平安管理单位与密码管理单位的检查与监视。 基于上述思想，网络信息平安系统应遵循如下设计原那么： 满足因特网的分级管理需求 根据Internet网络规模大、用户众多的特点，对Internet/Intranet信息平安实施分级管理的解决案，将对它的控制点分为三级实施平安管理。 -- 第一级：中心级网络，主要实现外网隔离；外网用户的访问控制；部网的监控；部网传输数据的备份与稽查。 -- 第二级：部门级，主要实现部网与外部网用户的访问控制；同级部门间的访问控制；部门网部的平安审计。 -- 第三级：终端/个人用户级，实现部门网部主机的访问控制；数据库及终端信息资源的平安保护。 需求、风险、代价平衡的原那么 对任一网络，绝对平安难以到达，也不一定是必要的。对一个网络进展实际额研究〔包括任务、性能、构造、可靠性、可维护性等〕，并对网络面临的威胁及可能承当的风险进展定性与定量相结合的分析，然后制定规和措施，确定本系统的平安策略。 综合性、整体性原那么 应用系统工程的观点、法，分析网络的平安及具体措施。平安措施主要包括：行政法律手段、各种管理制度〔人员审查、工作流程、维护保障制度等〕以及专业措施〔识别技术、存取控制、密码、低辐射、容错、防病毒、采用高平安产品等〕。一个较好的平安措施往往是多种法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去对待、分析，才能取得有效、可行的措施。即计算机网络平安应遵循整体平安性原那么，根据规定的平安策略制定出合理的网络平安体系构造。 可用性原那么 平安措施需要人为去完成，如果措施过于复杂，要求过高，本身就降低了平安性，如密钥管理就有类似的问题。其次，措施的采用不能影响系统的正常运行，如不采用或少采用极大地降低运行速度的密码算法。 分步实施原那么：分级管理 分步实施 由于网络系统及其应用扩展围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络平安问题是不现实的。同时由于实施信息平安措施需相当的费用支出。因此分步实施，即可满足网络系统及信息平安的根本需求，亦可节省费用开支。 二、 网络信息平安系统设计步骤 网络平安需求分析 确立合理的目标基线和平安策略 明确准备付出的代价 制定可行的技术案 工程实施案〔产品的选购与定制〕 制定配套的法规、条例和管理方法 本案主要从网络平安需求上进展分析，并基于网络层次构造，提出不同层次与平安强度的校园网网络信息平安解决案。 三、 网络平安需求 确切了解校园网网络信息系统需要解决哪些平安问题是建立合理平安需求的根底。一般来讲，校园网网络信息系统需要解决如下平安问题： 局域网LAN部的平安问题，包括网段的划分以及VLAN的实现 在连接Internet时，如在网络层实现平安性 应用系统如保证平安性 l 如防止黑客对网络、主机、效劳器等的入侵 如实现广域网信息传输的平安XX性 加密系统如布置，包括建立证书管理中心、应用系统集成加密等 如实现远程访问的平安性 如评价网络系统的整体平安性 基于这些平安问题的提出，网络信息系统一般应包括如下平安机制：访问控制、平安检测、攻击监控、加密通信、认证、隐藏网络部信息