XXXX大学校园网安全防护体系
一、系统安全性
计算机安全的内容应包括两方面:即物理安全和逻辑安全。物理安全指系统设备及相关设备受到物理保护,免于破坏、丢失等。逻辑安全包括信息完整性、保密性和可用性:保密性指高级别信息仅在授权情况下流向低级别的客体与主体; 完整性指信息不会被非授权修改及信息保持一致性等;
可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。一个系统存在的安全问题可能主要来源于两方面:或者是安全控制机构有故障;或者是系统安全定义有缺陷。前者是一个软件可靠性问题,可以用优秀的软件设计技术配合特殊的安全方针加以克服;而后者则需要精确描述安全系统。 二、我校校园网安全防护体系的主要内容
访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。 检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
攻击监控。通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网
络连接、记录攻击过程、跟踪攻击源等)。
加密通讯。主动的加密通讯,可使攻击者不能了解、修改敏感信息。
认证良好的认证体系可防止攻击者假冒合法用户。
备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
delta并联机器人
多层防御。攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。设立安全监控中心。为信息系统提供安全体系管理、监控、保护及紧急情况服务。三、外联网网络安全内部网(Intranet)与外部网络(Internet)之间的安全控制主要采用防火墙技术。防火墙是利用分组过滤法,隐藏内部地址,实行网络服务代理,防止Internet上的“黑客”侵入内部网络系统,以免内部应用系统遭到破坏。即达到如下目的:
1.从里向外,或从外向内的流量,必须经过防火墙。
2.只有被本地安全政策允许的流量才能通过防火墙。
3.防火墙本身不可穿过。
针对校园网络中存在的各类安全需求,主要采取以下三类防护措施:草耙子
第一类为安全性类,包括访问控制、授权论证、加密、内容安全;
第二类是管理和记账,包括路由器安全管理、记账、监控等;
第三类为连接控制。
目前我校校园网安全防护体系的主要功能为:
聚结器1.访问控制:限制未授权用户访问内部网和信息资源的措施。支持多种应用和协议,包括Internet服务,如安全WEB浏览器、传统Internet应用Mail、FTP等,支持多媒体应用。
2.授权认证:对访问连接的用户采取有效的权限控制和访问者的身份识别。同时对在整个网络范围内发生的认证过程进行全程的监控、跟踪和记录。
3.地址翻译:隐藏内部IP地址和网络结构;把内部的非法IP地址翻译成合法的IP地址。
4.日志、记账:对用户在网络中的活动情况进行记录,允许系统管理员对选择的连接进行记账处理。
除了已有的防火墙外,还通过外联网接入路由器的Access list访问控制功能,有效的控制由内向外或由外向内的数据访问,还可限制用户对TCP/IP指令的使用,包括文件传输和远程登录;对网络资料分类,限制机密资料流入未授权的主机;对数据加密等。
四、内联网网络安全
在网络内部,各部门除了其本身已有的局域网外,还对
它们采取虚拟网技术,使得外面用户无法进入“虚拟工作组”。
内部访问采取如下步骤以确保安全:身份认证-以识别区分合法用户和非法用户,从而阻止非法用户访问系统。
权限控制-通过系统对用户的授权,决定哪些用户有资格访问哪些资源。
审计跟踪-它将记录哪个用户在何时访问了哪些资源,以备非法事件发生后能够有效地追查。
数据加密-对一些机密文件采用加密数据存放,用户一切合法后方可查阅。
1.虚拟局域网:
cmmb移动电视采用这些虚拟局域网之间的访问控制功能可能的问题是降低虚拟局域网之间互连的性能。但是,我院目前的网络通过三层交换技术,缓解了虚拟局域网之间的访问性能的下降,在保证安全性的同时,也保证了一定的网络性能。
VLAN的划分,可以有效的控制VLAN间广播报文的传递,VLAN内部的广播报文不会传递到其它的VLAN中,因此就可以防治非本部门的人利用网上的广播报文对VLAN中的数据进行窃听和分析,以提高内部安全性;同时,由于VLAN的分隔,不同VLAN内的广播报文不会对其它的VLAN造成影响,从而提高网络的整体效率、性能和抗干扰能力,减少广播风暴;
利用中心交换机上高性能路由模块的管理和控制,可以控制内部各VLAN间的访问,例如VLAN中的某个IP地址只允许访问该VLAN内部的资源,或某个VLAN只允许其它VLAN 的用户以HTTP或FTP等方式对它进行访问等,这样就可以有效的限制VLAN间访问的范围和权限。
我院校园网所选华为系列交换机均支持虚网功能,通过VLAN的划分可以灵活的将相同职能的办公室及信息点化并为同一个VLAN,通过802.1Q协议,可以实现跨交换机的VLAN 设置,因此VLAN的设置不会受到地理位置的限制。中心配置Quidway S8016和Quidway S6506以线速交换VLAN信息,消除以往在路由处理上的瓶颈,提高了网络效率。
销子材料
2.访问控制安全
华为产品在其核心软件IOS中嵌套了Access list访问控制列表功能,因此,华所有的路由和交换产品均能够对进出的数据进行安全访问控制。用在广域网上,就可以有目的的对广域网的访问加以限制。
在内部网上,可以通过Quidway S8016上的多层交换模块的访问控制功能对各个网段间的访问进行安全控制。限制网段间的访问范围、方式及应用。
3.用户验证功能
校园网访问互联网需要先通过防火墙与认证计费服务器进行合法性认证。
蝶型弹簧
