中国安防行业网:校园安防解决方案(二)来源:中国安防行业网、校园网网络安全解决案例.........................................................................................................12、成都电子科技大学无线校园网建设案例.................................................................................43、校园智能广播技术方案分析.....................................................................................................54、广播系统在校园中的应用.........................................................................................................95、广州市大学城校园监控系统工程案例简介...........................................................................10内容1、校园网网络安全解决案例校园网网络是一个分层次的拓扑结构,因此网络的安全防护也需采用分层次的拓扑防护措施。即一个完整的校园网网络信息安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。一、网络信息安全系统设计原则1.1满足Internet分级管理需求1.2需求、风险、代价平衡的原则1.3综合性、整体性原则1.4可用性原则1.5分步实施原则目前,对于新建网络及已投入运行的网络,必须尽快解决网络的安全保密问题,设计时应遵循如下思想:(1)大幅度地提高系统的安全性和保密性;(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;(4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。基于上述思想,网络信息安全系统应遵循如下设计原则:·满足因特网的分级管理需求根据Internet网络规模大、用户众多的特点,对Internet/Intranet信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的监控;内部网传输数据的备份与稽查。中国安防行业网:第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部门间的访问控制;部门网内部的安全审计。第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。·需求、风险、代价平衡的原则对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。·综合性、整体性原则应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。·可用性原则安全措施需要人为去完成,如果措施过于复杂,要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。·分步实施原则:分级管理分步实施由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。二、网络信息安全系统设计步骤·网络安全需求分析·确立合理的目标基线和安全策略·明确准备付出的代价·制定可行的技术方案·工程实施方案(产品的选购与定制)·制定配套的法规、条例和管理办法本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的校园网网络信息安全解决方案。三、网络安全需求确切了解校园网网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,校园网网络信息系统需要解决如下安全问题:·局域网LAN内部的安全问题,包括网段的划分以及VLAN的实现·在连接Internet时,如何在网络层实现安全性·应用系统如何保证安全性l如何防止黑客对网络、主机、服务器等的入侵·如何实现广域网信息传输的安全保密性·加密系统如何布置,包括建立证书管理中心、应用系统集成加密等·如何实现远程访问的安全性·如何评价网络系统的整体安全性中国安防行业网:基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如NAT)等。]四、网络安全层次及安全措施4.1链路安全4.2网络安全4.3信息安全网络的安全层次分为:链路安全、网络安全、信息安全网络的安全层次及在相应层次上采取的安全措施见下表。信息安全信息传输安全(动态安全)数据加密数据完整性鉴别安全管理信息存储安全(静态安全)数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权(CA)网络安全访问控制(防火墙)网络安全检测入侵检测(监控)IPSEC(IP安全)审计分析链路安全链路加密4.1链路安全链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要进行路由交换的情况下,如DDN直通专线用户就可以选择路由加密设备。一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。4.2网络安全网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑校园网信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于IP数据包的源或目标IP地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN功能、计费功能、流量统计与控制功能、监控功能、NAT功能等等。信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决60%-80%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。信息系统的安全应该是一个动态的发展过程,应该是一种检测──监视──安全响应的循环过程。动态发展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目中国安防行业网:标的必不可少的环节。网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。2、成都电子科技大学无线校园网建设案例成都电子科技大学是以电子信息科学技术为核心教学任务的我国最早的七所重点国防院校之一,于1960年被确立为全国重点大学,学院一直致力于培养电子信息高科技人才,也是首批进入国家“211工程”和“985工程”的院校之一。校园信息化建设一直是高质量、高效率教学办公的保障。因此,拥有业界安全、便捷的校园无线网络也是成都电子科技大学的信息化建设需求之一。昂科信息技术(上海)有限公司针对学院的建筑特点及其需求,提供了基于IEEE802.11标准的无线校园局域网解决方案。本方案覆盖了成都电子科技大学主楼,是主要教学区同时也是学院党政机构重要办公地,无线校园网的部署进一步优化了学院网络化教学、办公环境,提高效率。此项目得到了Intel、IBM公司大力支持,同时也是中国西部大学较早完成无线网络的院校之一。无线校园网方案解决无线信号覆盖范围最大化与无线信号相互干扰最小化的根本矛盾。成都电子科技大学主楼是典型的前苏联式建筑,其特点是楼长、楼高、砖墙厚。经过工程师现场勘探,整栋主楼呈“工”字型,两头为学生教室,中间为办公室,大小办公室大约有70间左右,整个覆盖区楼面长约为175米左右,宽约为15米左右,楼层过长、房间过多、用户分散,再加上各办公室之间采用砖墙结构,对无线信号会造成明显的衰减。如采用常规的覆盖方案将不利于无线网络信号覆盖,并且完成一层楼的覆盖要安装多套无线接入点,无形中提高了方案预算。此外,无线接入点在整个走廊内也会造成明显的干扰,不利于无线网络的正常工作。综合考虑各种不利因素,昂科公司凭借其在无线领域多年的丰富经验,并借鉴移动通信室内分布系统技术制定出了一套采用天馈系统的覆盖方案,在信号范围最大化和信号干扰最小化之间找到一个很好的平衡点。我们在成都电子科技大学的主楼一层、二层、三层各采用两套无线接入点,无线接入点设备分别安装在位于第三层楼的机房内,信号传输先通过功率放大器加强,然后通过低损耗馈线传送到各楼层,在预先设计的位置通过耦合器外接吸顶天线实现对目标区域的覆盖。根据覆盖区域的大小不同,一楼东西两边走廊分别设计了5套天线;二楼东西两边走廊设计了各3套吸顶天线;三楼东西两边走廊上也设计了各3套吸顶天线,共22套吸顶天线。施工完成后,无线网络很好地覆盖了预计目标的区域,顺利通过成都电子科技大学验收。经测试得出该方案是目前最适合在“苏式”建筑中采用的无线网络覆盖方案。现在,成都电子科技大学的师生只需通过Intel“迅驰”移动计算技术的笔记本电脑或者在原有笔记本、台式机上添置无线网卡通过身份认证后即可接入校园无线网络或Internet。该方案还易于扩容,只需在现有网络基础上增加无线接入点即可满足更多用户的上网需求。同时,昂科技术人员在与成电老师们交流的过程中发现他们对无线网络的安全和管理等方面也很重视。昂科向成电介绍了其成熟的安全、可管理、可运营的WLAN校园网的方案,其中包括支持最新WLAN安全标准(W