校園網信息安全整體解決方案
一、網絡狀況和安全隱患
大學校園網作為服務于教育、科研和行政管理的計算機網絡,實現了校園內連網、信息共享,并與 Internet 互聯,在校園網的建設上采用 光纖連接, 以電教樓為中心,通過二級交換機向校內其他建筑物輻射。校園網連接的除了各級行政單位網絡,還連接校內學生機,因此存在許多安全隱患,主要表現有:
1.校園網與 Internet 相連,面臨著外網攻擊的風險
2.來自內部的安全威脅
3.接入校園網的節點數日益增多,這些節點會面臨病毒泛濫、信息丟失、數據損壞等安全問題
大學校園網的大多數節點沒有采取防護措施,因此,建立一套有效的網絡安全機制就顯得尤為重要,以下是必須考慮的安全防護要點:網絡病毒的防范,網絡病毒將會對網絡的重要數據的安全、網絡環境的正常運行帶來嚴重危害,因此防止計算機網絡病毒是安全工作的重要環節。
二、文化教育行業解決方案
根據大學校園網的結構特點及面臨的安全隱患,我們將通過防毒墻、網絡安全預警系統、網絡版殺毒軟件,實現網絡安全隔離、網絡監控措施、網絡病毒的防范等安全需求,為大學校園構建統一、安全的網絡。
防毒墻的部署
在Internet與校園網內網之間部署了一臺防毒墻,其中WWW、E-mail、FTP、DNS服務器連接在防火墻的DMZ區,與內、外網間進行隔離,內網口連接校園網內網交換機,外網口通過路由器與 Internet 連接。這樣,通過 Internet 進來的外網用戶只能訪問到對外公開的一些服務(如WWW、E-mail、FTP、DNS等),既保護內網資源不被非法訪問或破壞,也阻止了內部用戶對外部不良資源的使用,并能夠對發生的安全事件進行跟蹤和審計。
網絡安全預警系統的部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,根據校園網絡的特點,我們采用網絡安全預警系統,接入 Cisco 中心交換機上,對來自外部網和校園網內部的各種行為進行實時檢測。
網絡版殺毒軟件的部署
為了實現在整個局域網內病毒的防護,我們在可能感染和傳播病毒的地方采取相應的防病毒手段。實現了遠程安裝、智能升級、遠程報警、集中管理、分布查殺病毒等多種安全防護功能。
▲圖1 校園網絡安全實施圖
三、選用設備
網絡版殺毒軟件、防毒墻、網絡安全預警系統
四、整體實現的主要功能
通過對大學校園網絡的安全設計,在不改變原有網絡結構的基礎上實現多種信息安全,保障大學校內部網絡安全 :
1.實現對整個校園網病毒防范和查殺,有效防止病毒在校園網內的傳播
2.保護脆弱的服務,通過過濾不安全的服務,防火墻 可以極大地提高網絡安全和減少子網中主機的風險
3.控制內部和外部用戶對校內各種應用系統的訪問,有效保護內部各種應用服務器,例如,防火墻允許外部訪問特定的Mail Server和Web Server
4.提供集中的統一安全管理,管理員可以通過管理控制臺對內部和外部用戶指定統一的安全策略
5.提供強大的安全日志記錄和統計,管理員可以通過各種安全日志對網絡進行實時監控和統計分析,及時發現網絡的各種安全事件
安全解決方案的應用是很廣泛的,校園中的體現只是更加明顯,希望讀者從中能夠得到一些幫助和啟發。
【編輯推薦】
