1目录第一章概述...............................................................................................................................21.1高校校园网络安全建设意义...................................................................................................2第二章高校校园网络特点分析.....................................................................................................3第三章安全风险分析.....................................................................................................................53.1物理层安全风险.......................................................................................................53.2网络层安全风险.......................................................................................................53.3系统安全风险............................................................................................................63.4应用层安全风险.......................................................................................................63.5管理层安全风险.......................................................................................................7第四章安全需求分析.....................................................................................................................84.1网络攻击防御需求...........................................................................................................84.2系统安全漏洞管理需求...................................................................................................84.3网络防病毒需求...............................................................................................................94.4WEB应用安全需求..........................................................................................................104.5内容安全管理需求.........................................................................................................104.6INTERNET接入用户控制需求........................................................................................114.7建立完善安全管理制度的需求.....................................................................................11第五章网络安全解决方案...........................................................................................................125.1高校校园网络安全建设原则.........................................................................................125.2.高校校园网络安全解决方案.......................................................................................135.1部署防火墙..............................................................................................................135.2部署入侵检测/保护系统........................................................................................135.3部署漏洞管理系统.................................................................................................155.4部署网络防病毒系统.............................................................................................175.5部署WEB应用防护系统.........................................................................................195.6部署内容安全管理系统.........................................................................................215.7部署校园网用户认证计费管理系统.....................................................................225.8高校校园网络安全建设分步实施建议.................................................................232第一章概述1.1高校校园网络安全建设意义随着网络的普及和发展,高校信息化建设也在快速地进行,校园网在高校及教育系统中的作用越来越大,已经成为高校重要的基础设施,对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前,校园网络已遍及学校的各个部门,有的学校已将网络线通入学生寝室,网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立,能促进学校实现管理网络化和教学手段现代化,对提高学校的管理水平和教学质量具有十分重要的意义。但是,网络中的种种不安全因素(如病毒、黑客的非法入侵、有害信息等)也无时无刻不在威胁校园网络的健康发展,成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理,保证校园网安全、稳定、高效地运转,使其发挥应有的作用,已经成为学校需要解决的重大问题,也是校园网络管理的重要任务。3第二章高校校园网络特点分析高校校园网络具有如下特点:1、网络规模大,设备多。从网络结构上看,可分为核心、汇聚和接入3个层次,包含很多的路由器,交换机等网络设备和服务器、微机等主机设备。2、校园网通常是双出口结构,分别与Cernet、Internet互联。3、用户种类丰富。按用户类型可以划分为教学区(包括教学楼、图书馆、实验楼等)、办公区(包括财务处、学生处、食堂等)、学生生活区、家属区等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享,实现基于网络的应用,并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。4、应用系统丰富。校园网单位众多,有很多基于局域网的应用,如多媒体教学系统,图书馆管理系统,学生档案管理系统,财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用,如、E-MAIL等,需要和INTERNET的交互。各种应用服务器,如DNS,,E-MAIL,FTP等与核心交换机高速连接,对内外网提供服务。高校校园网络拓扑示意图如下:45第三章安全风险分析网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。风险分析是网络安全防护的基础,也是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。3.1物理层安全风险网络的物理层安全风险主要指网络周边环境和物理特性引起的网络设备和线路的阻断,进而造成网络系统的阻断。包括以下内容:1、设备被盗,被毁坏;2、链路老化或被有意或者无意的破坏;3、因电磁辐射造成信息泄露;4、地震、火灾、水灾等自然灾害。3.2网络层安全风险网络层中的安全风险,主要指数据传输、网络边界、网络设备等所引发的安全风险。1.数据传输风险分析数据在网络传输过程中,如果不采取保护措施,就有可能被窃听、篡改和破坏,如采用搭线窃听、在交换机或集线器上连接一个窃听设备等。对高校而言,比较多的风险是:1)私自将多个用户通过交换机接入网络,获得上网服务。62)假冒合法的MAC、IP地址获得上网服务。2.网络边界风险分析不同的网络功能区域之间存在网络边界。如果在网络边界上没有强有力的控制,则网络之间的非法访问或者恶意破坏就无法避免。对于高校而言,整个校园网和INTERNET的网络边界存在很大风险。由于学校对INTERNET开放了、EMAIL等服务,如果控制不好,这些服务器有面临黑客攻击的危险。3.网络设备风险分析由于高校校园网络使用大量的网络设备,这些设备自身的安全性也是要考虑的问题之一,它直接关系到各种网络应用能否正常、高效地运转。交换机和路由器设备如果配置不当或者配置信息改动,会引起信息的泄露,网络瘫痪等后果。3.3系统安全风险系统层的安全风险主要指操作系统、数据库系统以及相关商用产品的安全漏洞和病毒威胁。病毒大多也是利用了操作系统本身的漏洞。目前,高校网络中操作系统有WINDOWS系列和类UNIX系列,大都没有作过安全漏洞修补,极易遭受黑客攻击和病毒侵袭,对网络安全是一个高风险。3.4应用层安全风险高校校园网络中存在大量应用,如服务、邮件服务、数据库服务等。在应用过程中,存在下列风险:1.这些服务本身存在安全漏洞,容易遭受黑客攻击