铁道警官高等专科学院网络改造与升级项目规划方案.doc

铁道警官高等专科学院网络改造与升级项目规划方案河南九洲计算机有限公司2010年11月目录前 言41项目名称52项目概述53设计目标64设计原则65相关政策法规和文件75.1 国家信息安全标准、指南75.2 国际信息安全标准86项目需求分析86.1现状描述86.2 需求分析96.2.1上网行为管理需求96.2.2数据备份需求106.2.3网络运维监控需求106.2.4入侵防御需求106.2.5入侵检测需求136.2.6漏洞扫描需求166.2.7VOD点播系统需求187安全技术体系设计187.1安全技术体系总体框架设计187.1.1网络安全197.1.2主机安全197.1.3应用安全207.1.4集中的安全管理和监控207.2防火墙系统设计217.2.1防火墙系统部署的意义217.2.2防火墙系统部署方式217.2.3防火墙系统部署效果227.3网络入侵检测系统设计247.3.1部署网络入侵检测系统的意义247.3.2网络入侵检测系统的部署方式247.4内网安全管理系统设计257.4.1部署内网安全管理系统的意义257.4.2内网安全管理系统部署方式267.4.3内网安全管理系统部署效果267.5网络防病毒系统设计287.5.1部署网络防病毒系统的意义287.5.2网络防病毒系统部署原则307.5.3网络防病毒系统署方式317.5.4整体防毒系统所达到的效果327.6漏洞扫描子系统设计337.6.1漏洞扫描部署方案337.6.2漏洞扫描的作用337.7网络运维监控设计357.7.1系统平台构成357.7.2系统技术架构357.8 VOD点播系统设计378设备清单41前 言数字化校园是以网络为基础，利用先进的信息化手段和工具，实现从环境（包括设备、教室等）、资源（如图书、讲义、课件等）、到活动（包括教、学、管理、服务、办公等）的全部数字化，在传统校园的基础上构建一个数字空间以拓展现实校园的时间和空间维度，从而提升了传统校园的效率，扩展了传统校园的功能，最终实现教育过程的全面信息化。实施数字化校园工程的核心目标是充分利用信息技术，建立多层次、创新型、开放式的高等学校，提高办学的质量和效益。要以新的人才观、教学观和管理理论为指导，超越传统的高等教育模式，培养适应信息社会要求的创新型人才。具体来说：u 在教学方面：要利用多媒体、网络技术实现高质量教学资源、信息资源和智力资源的共享与传播，并同时促进高水平的师生互动，促进主动式、协作式、研究型的学习，从而形成开放、高效的教学模式，更好地培养学生的信息素养以及问题解决能力和创新能力。u 在科研方面：要利用互联网促进科研资源和设备的共享，加快科研信息传播，促进国际性学术交流，开展网上合作研究，并且利用网络促进最新科研成果向教学领域的转化，以及科研成果的产业化和市场化，从而大大提高科研的创新水平和辐射力。u 在管理方面：要利用信息技术实现职能信息管理的自动化，实现上下级部门之间更迅速便捷的沟通，实现不同职能部门之间的数据共享与协调，提高决策的科学性和民主性，减员增效，形成充满活力的新型管理机制。u 在公共服务体系方面：要建立覆盖学校教学、科研、管理、生活等各个区域的宽带高速网络环境，提供面向全体师生的基本网络服务和正版软件服务；要建设高质量的数字化的图书馆、教学楼、实训中心等；要在校园内建立电子身份及其认证系统，从而为学校高水平的教学、科研和管理等提供强有力的支撑。u 在学校社区服务方面：要适应后勤社会化改革的需要开展各种网络化服务项目，包括电子商务、电子医疗等，为师生员工提供便捷、高效、集成、健康的生活和休闲娱乐服务，形成智能型的社区服务体系。铁道警官高等专科学校在目前形势下开展校园网改造与升级建设应该是非常有利的。铁道警官学校校园网改造与升级工程建设完成后，新的校园网将为现代化教育和教学，方便教工、学生科研和学习发挥重要的作用，也为将来学校数字化校园的建设奠定良好的网络基础。以下是信息安全建设规划的正式计划书：1 项目名称项目名称：铁道警官高等专科学院网络改造与升级项目2 项目概述高校教育信息化是指高等学校为适应信息化社会的要求，营造信息应用环境，整合教育资源，促进和深化教育教学改革，在教学、科研、学习、管理、后勤服务等各方面全面运用以计算机、多媒体和网络通讯为基础的现代信息技术，实现教育教学全过程的信息化。从概念上来看，教育信息化是从信息技术与教育的关系出发，侧重以有关信息技术的观念、思想、设施、设备、知识和技能等来影响教育的过程和结果。理解这一概念，不能片面地认为高校的教育信息化只是为教学服务的，而是要从宏观广义的角度来理解，方能准确把握其概念，全面掌握教育信息化的丰富内涵。高校的教育信息化既是以教学信息化为核心，以为教学服务为重点，同时还为科研、管理、后勤、产业等(包括学生的学习活动)凡是为实现育人目标为开展的各类活动提供服务，并成为各类活动的具体表现形式和服务手段。教育信息化的手段是运用现代信息技术，本质是改善高校办学条件和增强高校的办学水平，目的是为了提高人才的培养质量，表现形式和发展结果必然是数字化校园。铁道警官高等专科学院现有网络因为各种原因，设计较为混乱，还须进一步优化；网络安全设备较少，网络安全有待进一步强化，巩固安全措施；管理不严格，学生私用无线路由器海量下载，占用带宽，严重影响了教学办公工作的正常使用，需要从技术手段上加强管理；校内应用系统较少，课件管理混乱，急需一套VOD点播系统，推进课件管理的规范化。3 设计目标铁道警官高等专科学校校园网将改造升级成为一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇（教学楼、办公楼、学生宿舍、教工宿舍、体育中心等）的校园主干网络。将学校的各种微机、工作站、终端设备和局域网连接起来并与国家科研教育网相连，在网上对外宣传学校的形象，获取Internet网上的教育资源，形成结构合理、内外沟通的校园计算机网络系统。在此基础上以信息化教育和管理模式为目的建立满足教学、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，建成数字校园，为学校各类人员提供充分的网络信息服务。u 网络进行优化后，实现教育网和网通网的双链路冗余结构，其中的一个网络不通的情况下，可切换到另外一个网络，保证7*24小时网络可用。u 增加网络设备，防止外来不法人员的入侵，内部安全可靠，病毒得到有效控制，涉密信息得到安全稳妥的保护。u 为校园网用户根据职责，工作需要不同，设置不同的带宽，使校园网应用真正落到实处，真正发挥实际的效用。u 建设数字化点播系统，为教师授课高效快捷的提供课件等网络资源。4 设计原则铁道警官高等专科学校校园网改造升级项目设计将遵守下面的基本原则，以实用为主，选用先进的、成熟的技术，设计中充分考虑系统的开放性，考虑到未来的发展，便于各子系统的互联和扩展。u 实用性：系统的设计应以实用为第一原则。在符合需要的前提下，合理平衡系统的经济性与超前性，以避免片面追求超前性而偏离实际，或片面追求经济性而损害铁道警官高等专科学校校园网的智能性。u 先进性：铁道警官高等专科学校校园网改造升级项目采用的网络结构和设备在使用期间，具有一定的先进性，避免因技术陈旧造成整个校园网系统性能不高和过早淘汰。u 成熟性：在充分考虑先进性的同时，优先选择成熟技术，最大限度地发挥投资效益。u 可靠性：系统无论在硬件上还是在软件上都应采取多种保护措施，保证系统24小时不间断正常运行。子系统故障不影响其他子系统运行，也不影响集成系统除该子系统以外的其他功能的运行。同时还应充分考虑系统权限安全措施，进一步保证系统的可靠性。u 经济性：升级工程所选用的设备与系统，以现有成熟的设备与系统为基础，以总体目标为方向，局部服从全局，力求系统在初次投入和整个运行生命周期获得最佳的性能/价格比。u 开放可扩展性：系统设计尽量采用国家和国际标准及规范，兼容不同厂商、不同协议的设备和系统的信号传输，各子系统可方便进出系统。并对近期可望使用的技术予以考虑。无论是系统设备还是网络拓扑结构，都应具有良好的开放性，用户可以根据需要变化，对系统进行扩展或升级。u 易维护性：系统必须具有高度的可维护性和易维护性，尽量做到所需维护人员少，维护工作量小，维护强度低，维护费用低。u 服务性：从设计、施工到运行，始终围绕为用户服务这个宗旨，让用户用得放心、用得安心、用得省心、用得舒心。5 相关政策法规和文件5.1 国家信息安全标准、指南u GB/T 202742006 信息系统安全保障评估框架u GB/T 19715.12005信息技术信息技术安全管理指南第1部分信息技术安全概念和模型u GB/T19715.22005信息技术信息技术安全管理指南第2部分管理和规划信息技术安全u GB/T 197162005 信息技术信息安全管理实用规则u GB/T 183362001 信息技术安全技术信息技术安全性评估准则u GB/T 209842007信息安全技术 信息安全风险评估规范u GB/T 209882007信息系统灾难恢复规范u GB/Z 209862007信息安全事件分类分级指南u GB 178591999 计算机信息系统安全保护等级划分准则u 信息系统安全保护等级定级指南（报批稿）u 信息系统安全等级保护实施指南（报批稿）u 信息系统安全等级保护基本要求（报批稿）u 信息系统安全等级保护测评准则（送审稿） u 信息安全等级保护管理办法（公通字 2007 43号） 5.2 国际信息安全标准u ISO/IEC 27001:2005信息安全技术 信息系统安全管理要求u ISO/IEC 13335信息技术 信息技术安全管理指南 第1部分：信息技术安全概念和模型u ISO/IEC TR 154431: 2005 信息技术安全保障框架 第一部分 概述和框架u ISO/IEC TR 154432: 2005信息技术安全保障框架 第二部分 保障方法u ISO/IEC WD 154433 信息技术安全保障框架 第三部分 保障方法分析u ISO/IEC PDTR 19791: 2004 信息技术 安全技术 运行系统安全评估6 项目需求分析6.1现状描述铁道警官高等专科学校校园网现已建成为一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇（教学楼、办公楼、学生宿舍、教工宿舍、体育中心等）的校园主干网络。已将学校的各种微机、工作站、终端设备和局域网连接起来并与国家科研教育网相连，在网上对外宣传学校的形象，获取Internet网上的教育资源，形成结构合理、内外沟通的校园计算机网络系统。现已完成学校教育信息化的基础设施建设，包括学校校区的综合布线系统，计算机网络系统和服务器系统的建设。6.2 需求分析6.2.1上网行为管理需求近年来,国内高等院校的信息化水平快速发展, 互联网也发挥着越来越重要的作用;与此同时，网络的安全问题日益突出，利用互联网进行违法犯罪的案件呈日益增长的趋势, 散布各种损害学校名誉的情况也时有发生。而高教行业动辄成千上万的内网用户规模，一方面为网络带宽带来很大压力，另一方面用户众多难于管理，很容易出现网络安全问题。国家教育部、公安部等相关部门也三令五申地要求各高校切实做好网络安全建设和管理工作。但是在校园网络建设的过程中，随着网络规模的急剧膨胀、网络用户的快速增长、关键性应用的普及和深入，校园网从早先教育、科研的试验网已经转变成教育、科研和服务并重的带有运营性质的网络，校园网在学校的信息化建设中已经在扮演了至关重要的角色。作为数字化信息的最重要传输载体，如何保证校园网络能正常的运行不受各种网络黑客的侵害，并对学生的上网行为进行有效的管理，已经成为了各个高校不可回避的紧迫问题。6.2.2数据备份需求铁道警官高等专科学院现有应用系统及数据库备份机制为手工备份，备份间隔时间长，而且极不方便。6.2.3网络运维监控需求铁道警官高等专科学院经过多年的发展，信息化水平有了很大提高，信息化覆盖范围已经涵盖了整个校园的各个角落，是一个庞大且复杂的网络，但是信息化管理办公室运维中遇到的了很多的问题：Ø设备种类以及型号多，对设备的维护不具备统一性；Ø由于设备多，所以对设备进行的操作和改动往往无法记录和查询；Ø由于是网络规模较大，所以网络中的数据活动比较丰富，难以掌控；Ø对网络流量的分析存在瓶颈，无法得知网络堵塞从何而来；Ø网络时快时慢，时通时断，但不知道问题出自哪里；Ø缺少统一且集中的管理平台，分散的管理造成资源浪费和成本增加；因此为了改变这一不利局面，我们建议部署网络管理软件，对整网运行情况和在线设备进行管理和监控。6.2.4入侵防御需求首先我们来探讨一个问题：入侵攻击行为包括哪些？什么样的行为可以称为入侵攻击行为？我们来看对入侵行为的标准定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠，不可用的故意行为。通常提到对入侵行为的防御，大家都会想到防火墙。防火墙作为企业级安全保障体系的第一道防线，已经得到了非常广泛的应用，但是各式各样的攻击行为还是被不断的发现和报道，这就意味着有一类攻击行为是防火墙所不能防御的，比如说应用层的攻击行为。想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是需要实时的阻断防御与响应。防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层攻击等行为无法进行判断，而入侵检测等旁路设备由于部署方式的局限，在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。想要实现完全的入侵防御，就需要将完全协议分析和在线防御相融合，这就是入侵防御系统（IPS）：online式在线部署，深层分析网络实时数据，精确判断隐含其中的攻击行为，实施及时的阻断。有数据显示，70%以上的攻击行为发生在传输层和应用层之间，我们称这类4-7层上的攻击为深层攻击行为。深层攻击行为有如下特点：第一：新攻击种类出现频率高，新攻击手段出现速度快。据美国CERT/CC的统计数据，2006年共收到信息系统漏洞报告8064个，比2005年增长了34.6%，漏洞数量的迅速增长标志着新攻击类型的迅速增长，而在同一份报告中，采用分布式蜜罐技术捕获的新攻击样本数量平均每天有近100个，最多的一天几近700，这意味着平均每天发现100种新的攻击手段，最多的一天发现的新攻击手段可多达700种，这是一个非常惊人的数据。第二：攻击过程隐蔽。文件捆绑：打开一份文档，结果执行了一个与文档捆绑的木马程序；文件伪装：可爱的熊猫图片，竟然是蠕虫病毒；跨站脚本攻击：仅仅是访问了一个网站的页面，就被安上了间谍软件。攻击行为正以越来越可以乱真的面貌出现。除了深层攻击行为这些自身的特点外，越来越多的业务应用，也增加了判断攻击行为的难度：到底是正常的应用还是是违规的应用呢？如何更好的实现对这些深层攻击的防御，是入侵防御系统需要解决的问题。深层需要高效和准确，防御则意味着及时的阻断，深层防御需要兼顾两者。由于一些复杂行为不易通过简单的特征识别是否属于攻击，导致用户资产未得到充分保护，甚至影响正常业务。入侵防御系统融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法，不但有效提高了对各种深层攻击行为的识别能力，而且对攻击变种、SQL注入等无法通过特征判断的攻击行为也能实现精确阻断。这标志着入侵防御系统的精确阻断能力达到国际领先水平。IPS能实现的精确阻断精确阻断溢出攻击精确阻断木马后门精确阻断即时通讯行为精确阻断SQL注入攻击精确阻断间谍软件精确阻断网络游戏行为精确阻断流行蠕虫攻击精确阻断僵尸程序精确阻断异常协议行为精确阻断数据库漏洞攻击精确阻断恶意代码精确阻断脆弱口令行为精确阻断操作系统漏洞攻击精确阻断扫描探测行为精确阻断广告软件行为在线部署，高效可靠入侵防御系统是以透明方式串行部署于被保护对像的前端，而作为在线深层防御产品，在达到精确阻断攻击行为的同时，需要保障正常业务高可用性。入侵防御系统通过内置硬件Watchdog技术、软件监控进程，对系统异常实时监控和处理，实现软、硬件双Bypass功能。不增加网络故障点。在提升效率方面，入侵防御系统采用任务与虚拟CPU绑定的技术，消除并行处理的等待和切换时间；基于任务特点合理分配、高效利用硬件资源，根据分析任务特征自动选择最优算法，提升匹配效率；实现微秒级时延，满足电信级业务的应用。综合管理，易用、易查入侵防御系统支持向导式的策略配置管理，可根据需求灵活调整保护策略，达到最佳防御效果；在及时准确发现各类攻击的同时，提供多种响应方式；此外，还对历史记录信息提供细致的查询分析功能。入侵防御系统综合管理功能列表管理功能用户管理、拓扑管理、配置管理、策略管理等状态监控系统状态监控、拓扑（通讯）状态监控等告警响应阻断链接、报警显示、记录日志，邮件告警、SNMP TRAP信息等报表分析分类报表分析、综合报表分析、管理报表分析、自定义报表分析等支持在线更新，防御最新威胁随着攻击种类日益增加，对最新威胁的防御成为考核入侵防御系统升级能力与厂商及时响应能力的一项重要指标。入侵防御系统可通过在线自动升级，增加防御最新威胁的事件特征和分析算法，精确阻断新的威胁类型。核心服务器区承载广域网全部的重要服务请求，开放端口较少，主要安全威胁来自于对已开放端口的应用层行为攻击，包括用户权限不当提升造成的信息泄露、网络病毒的传播与爆发期的网络堵塞以及各类违规应用造成的异常流量。6.2.5入侵检测需求铁道警官高等专科学院的服务器、客户端主机系统大多为WIN2K系统，漏洞较多，很容易被攻击或入侵。网络内部没有监控措施，必须实时的对网络连接和传输的数据进行监控，发现入侵行为马上报警，或进行阻断。入侵是对信息系统的非授权访问及（或）未经许可在信息系统中进行操作,威胁计算机或网络的安全机制（包括机密性、完整性、可用性）的行为。入侵可能是来自互联网的攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行非法访问。入侵技术和手段是不断发展的。从攻击者的角度说，入侵所需要的技术是复杂的，而应用的手段往往又表现得非常简单，如下图所示。这种特点导致攻击现象越来越普遍，对网络和计算机的威胁也越来越突出。入侵过程一般可以概括为五个步骤或阶段，我们可以就入侵过程的五个阶段来分析其应用的技术和手段。需要注意的是，作为具体的攻击，不一定完全按此五个阶段进行。n 信息探测信息探测一般是入侵过程的开始，攻击者开始对网络内部或外部进行有意或无意的可攻击目标的搜寻，主要应用的技术包括：目标路由信息探测、目标主机操作系统探测、端口探测、帐户信息搜查、应用服务和应用软件信息探测以及目标系统已采取的防御措施查找等等。目前，攻击者采用的手段主要是扫描工具，如操作系统指纹鉴定工具、端口扫描工具等等。n 攻击尝试攻击者在进行信息探测后，获取了其需要的相关信息，也就确定了在其知识范畴内比较容易实现的攻击目标尝试对象，然后开始对目标主机的技术或管理漏洞进行深入分析和验证，这就意味着攻击尝试的进行。目前，攻击者常用的手段主要是漏洞校验和口令猜解，如：专用的CGI漏洞扫描工具、登录口令破解等等。n 权限提升攻击者在进行攻击尝试以后，如果成功也就意味着攻击者从原先没有权限的系统获取了一个访问权限，但这个权限可能是受限制的，于是攻击者就会采取各种措施，使得当前的权限得到提升，最理想的就是获得最高权限（如Admin 或者Root权限），这样攻击者才能进行深入攻击。这个过程就是权限提升。目前，攻击者常用的手段主要是通过缓冲区溢出的攻击方式。n 深入攻击攻击者通过权限提升后，一般是控制了单台主机，从而独立的入侵过程基本完成。但是，攻击者也会考虑如何将留下的入侵痕迹消除，同时开辟一条新的路径便于日后再次进行更深入地攻击，因此，作为深入攻击的主要技术手段就有日志更改或替换、木马植入以及进行跳板攻击等等。木马的种类更是多种多样，近年来，木马程序结合病毒的自动传播来进行入侵植入更是屡见不鲜。n 拒绝服务如果目标主机的防范措施比较好，前面的攻击过程可能不起效果。作为部分恶意的攻击者还会采用拒绝服务的攻击方式，模拟正常的业务请求来阻塞目标主机对外提供服务的网络带宽或消耗目标主机的系统资源，使正常的服务变得非常困难，严重的甚至导致目标主机宕机，从而达到攻击的效果。目前，拒绝服务工具成为非常流行的攻击手段，甚至结合木马程序发展成为分布式拒绝服务攻击，其攻击威力更大。网络安全是一个动态的概念,可以用网络动态安全模型来描述，能够提供给用户更完整、更合理的安全机制。全网动态安全体系可由下面的公式概括：网络安全(S) = 风险分析(A)+ 制定策略(P) + 系统防护(P) + 实时检测(D) + 实时响应(R) + 灾难恢复(R)即：网络安全是一个“APPDRR”的动态安全模型。然而，在这个安全模型中，并非各个部分的重要程度都是等同的。在安全策略的指导下，进行必要的系统防护有积极的意义，但是，无论网络防护得多么牢固，依旧不能说“网络是安全的”。因为随着技术的发展，任何防护措施都不能保证网络不出现新的安全事件，不被手段高超的人员成功入侵。在攻击与防御的较量中，实时检测是处在一个核心的地位。在实时检测中，入侵检测系统（英文简称IDS：Intrusion Detection System）是目前最为主要的一个广泛应用的技术和管理手段。入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统则是从多种计算机系统及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。它能够实时监控网络传输或主机系统，自动检测可疑行为，及时发现来自网络外部或内部的攻击从而实时响应，并提供了安全事件的详细说明及恢复、修补措施。入侵检测系统还可以与防火墙等其它安全产品紧密结合，最大程度地为网络系统提供安全保障。入侵检测系统是一种动态网络安全技术，它能够发现入侵者实时攻击行为，并对其进行响应。从网络安全防护上讲，防火墙技术给出了一个静态防护的概念，而入侵检测技术具有动态防御的意义。入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、识别攻击行为、对异常行为进行统计，使系统管理员可以较有效地监视、审计、评估自己的系统。6.2.6漏洞扫描需求铁道警官高等专科学院网络部署应用中，不可能保证各个节点每时每刻都能处在系统漏洞最少的状态。必须有专门的漏洞扫描工具协助管理员定时对整个系统做安全评估。所以，需要对整个系统进行漏洞扫描系统部署。1988年第一个针对UNIX系统的蠕虫诞生以来，计算机蠕虫病毒以其快速、多样化的传播方式不断给网络世界带来灾害。尤其是近几年开始针对广泛使用的Windows操作系统的高危蠕虫不断出现，给社会造成了巨大的损失，蠕虫现在已经成为网络上最可怕的安全威胁。“冲击波”，“震荡波”都是利用了微软Windows系统的漏洞进行传播和感染，也就是说他们都依赖于漏洞的存在。产生安全漏洞的主要原因有三点： 很多软件在设计时忽略或者很少考虑安全性问题造成了安全漏洞。这样产生的安全漏洞分为两类：第一类，是由于操作系统本省设计缺陷带来的安全漏洞，这类漏洞将被运行在该系统上的应用程序所继承；第二类是应用软件程序的安全漏洞。第二类漏洞更为常见，更需要得到广泛的关注。 保证系统安全不是仅仅使用个别安全工具就能做到的，需要在对网络进行总体分析的前提下制定安全策略，并且用一系列的安全软件来实现一个完整的安全解决方案。 保证系统的安全还需要提高人员的安全防范意识，最终做到安全有效的防范。在现在的网络环境中，绝大多数漏洞存在的原因在于管理员对系统进行了错误的配置，或者没有及时的升级系统软件到最新的版本。如果及时掌握网络中存在漏洞的主机，就能通过安装补丁程序有效的防范蠕虫的攻击和来自网络黑客的攻击。因此就有漏洞扫描技术和对应的技术工具扫描软件。在条件许可的情况下，采用漏洞扫描系统选配的漏洞验证工具，对一些重要网段、服务器进行模拟渗透攻击，对网络的现有的安全水平进行比较客观的评价是检测远程或本地系统安全脆弱性的一种安全技术。用于检查、分析网络范围内的设备、网络服务、操作系统、数据库系统等系统的安全性，从而为提高网络安全的等级提供决策的支持。网络漏洞扫描基本的原理是通过与目标主机TCP/IP端口建立连接并请求某些服务（如TELNET、FTP等），记录目标主机的应答，搜集目标主机相关信息（如匿名用户是否可以登录等），从而发现目标主机某些内在的安全弱点。漏洞扫描技术的重要性在于把极为烦琐的安全检测，通过程序来自动完成，这不仅减轻管理者的工作，而且缩短了检测时间，使安全问题问题更早被发现。大多数情况下而言，使用自动的漏洞扫描技术可以快速、深入地对网络或目标主机进行安全检测。系统管理员利用漏洞扫描技术对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描，可以了解在运行的网络系统中存在的不安全的网络服务，在操作系统上存在的可能导致黑客攻击的安全漏洞，还可以检测主机系统中是否被安装了窃听程序，防火墙系统是否存在安全漏洞和配置错误等等。利用安全扫描软件，可以能够及时发现网络漏洞并在网络攻击者扫描和利用之前予以修补，从而提高网络的安全性。6.2.7VOD点播系统需求铁道警官高等专科学院目前没有VOD课件点播系统。建成后的视频点播系统可以为全校师生的学习、资料保存，内容回顾等提供一个良好的管理与发布平台，依托校园网网络，使教学资源能够快速、直观的提供给每一个师生。7安全技术体系设计7.1安全技术体系总体框架设计在具体的安全建设中应根据安全目标、网络状况、目前用户最关注的安全重点和现有投资规模选择当前最迫切需要的安全防护机制，用以确保网络信息系统的安全可靠运行。在前面的章节中我们已经对校园网络信息系统结构进行了全面分析并按照等级保护的原则对改造后的网络信息系统进行了区域划分和各区域的安全保护级别定义。结合用户的实际需要，我们设计了一套由多种安全技术和多层防护措施构成的安全体系总体技术框架，希望能帮助校园网络有效抵御来自内、外网络的安全威胁。主要包括：（1）网络安全划分安全域，部署防火墙系统、入侵检测系统、漏洞扫描系统、网络准入控制系统等；（2）主机安全部署服务器/客户端防病毒系统、终端安全管理系统、补丁管理系统等；（3）应用安全部署防恶意代码系统等；（4）管理部署安全管理平台，在安全管理平台的基础上，建立安全管理中心。7.1.1网络安全1、边界防护 在对整个网络进行了安全域划分和确定安全等级后，我们将对各区域的边界采取一定的隔离和控制措施，制定适当的安全策略，确保在不同安全等级的区域之间在根据业务需要进行互联互通的同时，避免高等级系统的安全受低等级系统的影响。首先我们将根据整体网络的区域划分情况进行VLAN的划分和路由规划，对安全等级较高的安全域，在其边界部署状态检测防火墙提供安全防护，对安全等级较低的安全域的边界则可以使用策略路由或访问控制列表来进行控制。具体的安全域边界隔离机制和访问控制策略建议如下：在互联网边界采用防火墙提供边界隔离和访问控制，对外提供信息服务的WEB、MAIL服务器单独组成一个DMZ区，允许内部用户访问互联网上的特定应用，允许互联网主机访问DMZ区服务器上开放的服务，拒绝其他所有访问；2、入侵检测在网络中部署入侵检测系统，对外界网络黑客利用防火墙为合法的用户访问而开放的端口穿透防火墙对内网发起的各种高级、复杂的攻击行为进行检测和阻断。系统工作在第二层到第七层，通常使用特征匹配和异常分析的方法来识别各种网络攻击行为，对检测到的各种攻击行为均可直接阻断并生成日志报告和报警信息。3、漏洞扫描系统面向全网实时进行漏洞扫描，发现安全漏洞，弥补漏洞，降低网络风险级别。7.1.2主机安全1、服务器和客户端病毒防护系统 在整个网络中的所有服务器（WINDOWS、LINUX）和客户端（WINDOWS）计算机上部署相应平台的网络版防病毒软件，并配置防病毒系统管理中心对所有主机上的防病毒软件进行集中管理、监控、统一升级、集中查杀毒。 2、终端安全管理系统通过在所有联网的Windows客户端上部署终端安全管理代理软件，包障网络终端的信息安全。3、补丁管理系统通过在所有联网的Windows客户端上部署补丁管理系统，集中管理客户端软件系统补丁的升级、系统配置策略，可以定义终端补丁下载，补丁升级策略以及增强终端系统安全配置策略，并下发给运行于各终端设备上的代理程序，代理执行这些策略，保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明。此外，为了提高整个网络用户补丁升级的效率，避免由于终端用户的同时补丁升级给网络带宽带来的影响，可以在网络内部搭建补丁升级服务器，保证终端设备补丁升级的及时有效。7.1.3应用安全1、互联网恶意代码防范ü 当前，互联网病毒、蠕虫、木马、流氓软件等各类恶意代码已经成为互联网接入单位所面临的重要威胁之一，建议在校园网络中可能遭到互联网恶意代码侵袭的网络边界位置均部署网关级的恶意代码防范系统，彻底阻断互联网恶意代码在校园网络中的传播。 7.1.4集中的安全管理和监控部署综合安全管理平台，提供集中的安全审计、风险管理、事件响应，对全网进行统一的安全管理和网络管理，在安全管理平台的基础上，建立安全运营中心，实现对安全事件的实时检测、及时响应和综合防护，对网络系统安全防护体系的动态更新，大大降低安全事件发生的概率，并将安全事件的影响降低到最小。针对校园网络的业务应用特点和目前所面临的主要安全风险，结合业内先进的安全技术和优秀的安全产品，我们提出了集以下多种安全机制于一体的安全解决方案，帮助校园网络建立覆盖网络、主机、应用及管理等各个层面的整体安全防护体系，以确保校园网络安全可靠地运行。7.2防火墙系统设计7.2.1防火墙系统部署的意义防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通信，根据用户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通信。通过使用Firewall过滤不安全的服务器，提高网络安全和减少子网中主机的风险，提供对系统的访问控制；阻止攻击者获得攻击网络系统的有用信息，记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。防火墙属于一种被动的安全防御工具。 设立防火墙的目的就是保护一个网络不受来自另一个网络的攻击，防火墙的主要功能包括以下几个方面：（1）防火墙提供安全边界控制的基本屏障。设置防火墙可提高内部网络安全性，降低受攻击的风险。（2）防火墙体现网络安全策略的具体实施。防火墙集成所有安全软件（如口令、加密、认证、审计等），比分散管理更经济。（3）防火墙强化安全认证和监控审计。因为所有进出网络的通信流都通过防火墙，使防火墙也能提供日志记录、统计数据、报警处理、审计跟踪等服务。（4）防火墙能阻止内部信息泄漏。防火墙实际意义上也是一个隔离器，即能防外，又能防止内部未经授权用户对互联网的访问。7.2.2防火墙系统部署方式建议在校园网络与外部网络互联的各个出口边界位置部署防火墙系统提供边界安全隔离。对内部各不同区域之间也存在安全隔离和访问控制需求的，也可以采用防火墙系统提供不同区域之间的边界隔离，尤其是对安全保护级别要求较高的区域如服务器区域，建议在其区域边界处设置防火墙系统，负责审核进出本网络区域的访问请求，确保只有合法的访问才能通过，从而为重要子网建立安全的防御屏障，防范来自主干网上其他节点的非法访问和入侵。具体设计如下：1.1.1.1 网络边界防火墙建议在网络边界采用一套防火墙提供边界隔离和访问控制，将办公网作为被保护的内网，允许内部主机访问互联网上的特定应用，拒绝其他所有访问。同时，将办公区域面向互联网提供信息发布和通讯服务的WEB、MAIL服务器等单独保护在防火墙的DMZ区，与内网进行有效隔离，避免互联网用户直接访问校园网络中的内部主机。7.2.3防火墙系统部署效果防火墙系统可实现以下的基本功能：l 隔离安全区域防火墙采用多安全区域体系，每个物理接口对应一个独立的安全区域，在不同网络区域之间进行互联时，全部通信都受到防火墙的监控，通过防火墙的安全策略可以将所联区域设置成相应的保护级别，以保证关键系统的安全。每个区域的安全策略只对该区域有效。每个区域可以单独设置自己的默认安全策略，所有对该区域的访问都将匹配与该区域对应的安全策略。l 提供丰富的AAA功能防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS 、TACACS、LDAP、secuid 、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更灵活、更广泛地实现了用户鉴别和用户授权的控制，并提供了丰富的安全日志来记录用户的安全事件。l 提供地址转换，对外隐藏内部网络信息正向源地址转换使内部网用户可使用私有IP 地址通过防火墙访问外部网络。对外界网络用户来说，访问全部是来自于防火墙转换后的地址，并不知道是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。反向目的地址转换可使对外提供信息发布服务的WEB服务器等采用私有IP 地址作为真实地址，外界用户所访问到的是被防火墙转换过的目的地址，这样也能够有效的隐藏内部服务器信息，对服务器进行保护。l 防御外界黑客攻击防火墙自身也可提供了一定的入侵检测和防护功能，能抵御常见的各种网络攻击，并可以和IDS 实现联动。这不但提高了安全性，而且保证了高性能。l 深入的应用层控制通过防火墙对进出网络的数据包中的高层协议（HTTP、FTP、SMTP、POP3、NNTP）内容实行更详细的控制，如HTTP命令（GET，POST，HEAD）及URL，FTP命令（GEI，PUT）及文件控制。 这对于提高基于通用Internet服务的应用服务器的安全性非常有意义。l 带宽管理和QOS防火墙提供多层次的分布式带宽管理功能，优化网络资源的应用，提高网络资源应用效率。例如，通过防火墙的带宽管理，可为内部网络的重要用户如领导、网站维护人员等定义与外部网络通信时的最大带宽，而且带宽可以是分层的，例如部门带宽下面有小组带宽然后是个人带宽等，可以防止带宽被滥用，保证重要的通信的顺畅。l 日志记录与审计当防火墙系统被配置为工作在不同安全域之间的关键节点时，防火墙系统就能够对不同安全域之间的访问请求做出日志记录。日志是对一些可能的攻击行为进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况做出统计。这样网络管理员通过对统计结果进行分析，掌握网络的运行状态，继而更加有效的管理整个网络。7.3网络