校園網絡安全設計方案一、安全需求樓樓號該樓用每層層數每棟實現功能途主機信息374，數500不等點總數200主要以校領導、財務、人事為主要室為學生更快更好的查閱各類圖速地獲取網上資源)在校園網關鍵部位安裝網絡入侵檢測系統，實時對網絡和信息系統訪問的異只有解決網絡內部的安全問題，才可以排除網絡中最大的安全隱患，內網安全管理體系可以從技術層面幫助網管人員處理好繁雜的客戶端問題。根據防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的備網絡信息安全的木桶原則是指對信息均衡、全面的進行保護。“木桶的最大容積取決于最短的一塊木板”。網絡信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶完整地對系統的安全漏洞和安全威脅進行分析，評估和檢測(包括模擬攻擊)是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅采取及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的性評價與平衡原則對任何網絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與系統是一個龐大的系統工程，其安全體系的設計必須遵循一系列的標準，這樣才能確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。安全體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想訓、安全規章制度建設相結合。．統籌規劃，分步實施原則進步，安全防護不可能一步到位，可在一個比較全面的安全規劃下，根據網絡的網絡規模的擴大及應用的增加，網絡應用和復雜程度的變化，網絡脆弱性也會不斷增加，調整或增強安全防護力度，保證整個網絡最根本的安全需求。等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同 從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足要根據網絡安全的變化不斷調整安全措施，適應新的網絡環境，滿足新的網首先，安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統的正常運行。機房應選擇在具有防震、防風和防雨等能力的建筑內；機房的承重要求應滿足設計要求；機房場地應避免設在建筑物的高層或地下室，以及用水設備的下層染，易發生火災、水災，易遭受雷擊的地區。有人值守機房出入口應有專人值守，鑒別進入的人員身份并登記在案；無人值守的機房門口應具備告警系統；應批準進入機房的來訪人員，限制和監控其活重要區域前設置交付或安裝等過渡區域。服務器應該安放在安裝了監視器的隔離房以確保旁人即使進入房間也無法使用電腦，鑰匙要放在安全的地方。在自己的辦應將相關服務器放置在物理受限的范圍內；應利用光、電等技術設置機房的防盜報警系統，以防進入機房的盜竊和破壞行為；應對機房設置監控報警系統。機房建筑應設置避雷裝置；應設置防雷保安器，防止感應雷；應設置交流電應設置火災自動消防系統，自動檢測火情，自動報警，并自動滅火；機房及相關的工作房間和輔助房，其建筑材料應具有耐火等級。水管安裝不得穿過屋頂和活動地板下；應對穿過墻壁和樓板的水管增加必要的保護措施，如設置套管；應采取措施防止雨水通過屋頂和墻壁滲透；應采取措施防止室內水蒸氣結露和地下積水的轉移與滲透。無腐蝕金屬的氣體；機房中應無破壞絕緣的氣體。機房供電應與其他市電供電分開；應設置穩壓器和過電壓防護設備；應提供短期的備用電力供應(如UPS設備)；應建立備用供電系統(如備用發電機)，以應采用接地方式防止外界電磁干擾和相關服務器寄生耦合干擾；電源線和通建立在現代通信網絡技術和信息安全技術基礎上的防火墻技術是目前應用最廣泛的防護技術．在邏輯上，它既是一個分離器也是一個限制器，同時它還是列部件的組合有效監控內部網與外層網絡之間的信息流動，使得只有經過精心選份認證、審計等的所有安全軟件配置在防火墻上以便對密，還可以采用點對點協對于撥號進入園區網的用戶進行嚴格控制，在撥號線路上加裝保密機，使無保密機的用戶無法撥通；通過用戶名和口令的認真檢查用戶身份；利用回撥技術認和限制非法用戶的入侵。在外部網絡的數據傳輸過程中，采用密碼技術對信息加密是最常用的安全保使用，加上數字簽名、數字時間戳、數字水印及數字證書等技術，可以使通信安以實現秘密數據的安全傳輸。益猖獗，加上我國使用的計算機及網絡設備的軟的，安全上沒有很好的保證，因而將外部網絡中的因特網現物理隔離，使之沒有任何連接，可以使園區網與外部專可以根據設置地址、服務、內容等要素來控制用戶的訪問，代理服務器及路由器起訪問的中介作用，使園區網和外部網絡間不能直接訪問，從而保證內部關可以通過各種安全掃描軟件對系統進行檢測與分析，迅速找到安全漏洞并加可以采用一些安全產品對網絡上流動的數據包進行檢查，識別非法入侵和其訪問控制分為三步，即用戶名的驗證；用戶口令的驗證；用戶帳號這是針對網絡非法操作提出的一種安全保護措施。用戶和用戶組被賦予一定徑，降低感染病毒的風險；其次，使用的瀏覽器用安全檢測和掃描軟件對網絡設備和客戶端工作站進行檢測和分析，查找作。加密，訪問控制，數字簽名，入侵檢測，掃描，物理隔美國國防部技術標準把操作系統安全等級分為D1、C1、C2、B1、B2、B3、A對操作系統中某些重要的文件進行加密，防止非法出版的讀取及修改。過對園區網主機進行一系列設置和掃描，對系統的各個環節提供可靠的分析結果，為系統管理員提供可靠性和安全性分析報告，對系統進行及時升級以彌安裝基于主機的入侵檢測系統，可檢查操作系統日志和其它系統特征，判斷入侵事件，在非法修改主頁時自動作出反應，對已入侵的訪問和試圖入侵的訪問進行跟蹤記錄，并及時通知系統管理員，使管理員可對網絡的各種活動進行實時蠕蟲可以利用電子郵件、文件傳輸等方式進行擴散，也可以利用系統的漏洞發起動態攻擊。病毒防御體系可以根據蠕蟲的特點實行多層次處理，在網絡層和傳輸層過濾蠕蟲利用漏洞的動態攻擊數據，在應用層過濾利用正常協議(SMTP、HTTP、POP3、FTP)傳輸的靜態蠕蟲代碼。理方式，決定清除病毒、刪除附件、丟棄等操作，發現病毒時通知管理員、收件垃圾郵件類型大致可以分為以下四種類型：郵件頭部包含垃圾郵件特征的郵病毒防御體系按照協議特征對數據包進行分析、重組及解碼，按照安全規則支持對郵件關鍵字、附件文件類型進行過濾，通過定義可信或不可信的URL并進行過濾，可以選擇對網頁腳本進行過濾、對傳輸的信息進行智能識別過濾，防止敏感信息的侵擾和擴散。外與時俱進的網管技術RG-S6806RG-WALL100TP-LINKTL-WR841NVPN網關IDSCyLanSME-500虛擬專用隧道網絡入侵檢測集成于防火墻一套防病毒管理與分發服務器與