校园网络安全整体解决方案.ppt

校园网络安全整体解决方案,议题,校园网目前的安全问题校园网安全整体解决方案安全服务体系,第一篇校园网目前的安全问题,理想的网络安全体系,典型校园网络拓扑图,远程连接,安全边界的确认,本部校区,数据中心,教育网,Internet,分校区,安全边界产生,存在的问题,安全意识不足几乎没有进行过安全策略规划导致后果安全意识的缺乏，导致了安全建设的全面缺位。各类安全隐患逐日积累，终将千里之堤，毁于蚁穴,存在的问题,物理安全建设物理安全是信息系统本身存在的前提。但许多学校的物理安全建设程度严重不足导致后果设备损坏、数据丢失信息系统完全瘫痪,存在的问题,对网络运维管理不足各学校基本没有统一的网络管理手段导致后果无法对网络的运行情况实时把握不能对设备故障环节及时判断并响应,存在的问题,对外部边界的入侵防护不足许多学校并未考虑在网络出口设立入侵防护机制导致后果无法对内部及外部的访问进行分类访问控制无法针对入侵进行过滤、报警、响应无法有限度地将特定部分有选择地向外开放,存在的问题,对外部边界的恶性数据防范不足没有针对病毒、木马、蠕虫、恶性邮件在网络边界部署任何防护措施导致后果无法抑制Internet病毒进入校园网无法针对外部邮件进行筛选过滤,存在的问题,对核心资源的保护不足服务器群是学校核心数据所在，但是，大多数学校几乎没有任何防护机制导致后果WEB被篡改数据库被入侵题库、课件库泄露,存在的问题,对部门信息资源的保护不足各院系、图书馆具备独立而彼此关联的信息系统，对于这些数据资源，目前同样几乎没有任何防护措施导致后果电子图书馆业务中断、数据库被删除各院系数据档案被窃取、删除,存在的问题,对系统漏洞的检测不足目前几乎没有一所学校配备了专门的漏洞检查工具或引入相关检测服务导致后果系统漏洞无法被发现入侵者利用系统漏洞进行攻击破坏,存在的问题,对系统漏洞的修复不足即使能发现系统漏洞，但管理员缺乏面向整个网络的漏洞机制，无法保证将校园网内每台计算机的系统漏洞弥补完毕导致后果系统漏洞无法被统一修复大量的个人升级行为造成了带宽的浪费,存在的问题,对校园网病毒的防护不足病毒是日常网络应用中最直接出现的问题。但是目前真正将网络版防病毒软件部署到位的学校寥寥无几导致后果难以保障系统能免疫于病毒难以彻底清除全网病毒,存在的问题,对应用系统安全考虑不足各学校使用的系统在开发时往往未考虑系统本身的安全性，也对应用系统与其数据库间的通信安全考虑不足导致后果攻击者直接利用系统漏洞或后门进入系统攻击者以系统合法用户身份，篡改应用系统数据库内容,存在的问题,数据的安全存储备份数据的安全存储和可靠备份，是安全体系存在的前提。如果数据本身的安全存在都不能保障，那么一切信息系统和安全系统建设将失去意义。目前，许多学校并未建立起完善的整体存储备份架构体系。导致后果数据完全丢失信息系统瘫痪,存在的问题,对用户网络行为的基本认证缺乏大多数学校未采取相应措施对用户实名认证导致后果无法将网络行为与真实个人对应,存在的问题,对用户网络行为的审计不足各学校几乎没有针对反动、色情、敏感的网络行为部署专门的审计工具导致后果无法对各类信息的始作俑者进行追踪无法对网络的使用情况进行监控、掌握,存在的问题,针对网络安全的行政制度不足目前各院校制订的计算机相关制度，很少细化到网络安全层面导致后果无法让安全技术配套落实埋藏了许多管理上的安全隐患,存在的问题,缺乏网络安全事件的应急响应机制目前各学校基本没有一套全面的应急响应预案导致后果无法尽快恢复网络系统的正常运行无法找出安全事件的原因并进行弥补,安全隐患汇总,第二篇校园网安全整体解决方案,三零盛安安全体系,整体安全体系,校园网络安全模型设计,全网安全策略设计,保护网络及基础措施的运行安全保护边界/外部连接的安全保护服务器群及重要系统的安全加强系统安全管理及审计建立系统应急响应机制,物理安全建设规划,人员进出：中控式门禁系统火灾防护：七弗丙烷气体灭火设备湿度温度：机房专用空气调节设备静电防护：防静电防护雷击防护：专业防雷工程设备防盗：红外报警设备,部署一套全面的网络管理系统，从以下几个方面进行系统管理：系统拓扑自动发现、生成、管理网络总体流量使用分析网络关键节点流量统计远程SNMP管理控制网络故障管理,网络管理建设规划,系统拓扑自动发现、生成、管理,网络管理建设规划,网络总体流量分析管理,网络管理建设规划,远程设备端口管理,网络管理建设规划,网络故障管理,网络管理建设规划,在网络边界部署防火墙及入侵检测，部署规则如下所示：边界防火墙分为四个端口A端口：只对内部开放B端口：只对外部开放C端口：DMZ区D端口：受控区域防火墙与入侵检测联动,外部边界防护建设,外部边界防护建设,IDS和防火墙联动示意图,Firewall,Intranet,IDSAgent,监控中心,router,攻击者,攻击者,报警,报警,采用病毒网关在Internet边界进行病毒、病毒邮件、垃圾邮件、非法邮件的过滤。,Internet边界恶性数据防范,Internet边界恶性数据防范,对核心服务器群部署一台防火墙和一台入侵检测系统，按照以下规则配置：特定服务器（如学籍、学分管理系统）只允许特定IP段访问WEB、Mail服务完全开放入侵检测和防火墙联动，发现对服务器的入侵行为立刻阻断,服务器群安全防护,服务器群安全防护,通过部署主页防篡改软件，能有效的监控网站网页是否被恶意修改、删除，并能在最短的时间内采取恢复措施，有效的保证数据的完整性与真实性,Web服务器安全防护,Web服务器安全防护,攻击者,发起攻击,防火墙被攻陷,篡改网页,针对部门的信息系统防护，按照不同部门的安全级别及安全需求，可以考虑以下两种方式：VLAN、ACL，建立VLAN间访问控制规则部门级防火墙、入侵检测,对部门信息资源的保护,部署一台网络漏洞扫描仪，对网络各个部分进行漏洞扫描，以发现网络漏洞,系统漏洞检测,市场部,工程部,router,开发部,Servers,Firewall,安全扫描的使用,系统安全评估的途径,为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:从学校外部进行评估:考察学校边界防火墙从学校内部进行评估:考察内部网络系统中的计算机从应用系统进行评估:考察每台服务器上运行的应用系统,系统漏洞修复的目的是弥补系统漏洞，增强系统的的抗攻击性，较大的提高系统本身安全。根据学校具体情况，可以考虑采用以下两种模式：部署请求式升级系统部署中控式升级系统,系统漏洞修复,同步服务器,分发点,客户端,客户端,厂商下载中心,分发点,定期任务:同步组件检查新的更新，检查客户端，并进行必要的更新,客户端,请求式升级系统工作过程,发出请求,发出请求,发出请求,发出请求,发出请求,发出请求,站点服务器,分发点,客户端,客户端,厂商下载中心,分发点,定期任务:同步组件检查新的更新，检查客户端，并进行必要的更新,客户端,中控式升级系统工作过程,在已经考虑了Internet网关防毒的基础上，部署网络版防病毒软件。,校园网病毒防护,应用系统安全建设,应用系统的安全部署建议如下：系统安全加固数据库安全审计,稳如泰山,数据库审计示意图,Select,Update,Select,Update,数据库命令被审计,数据存储备份,对于各个学校的数据存储备份建设，我们建议各个学校根据自己信息系统发展情况，部署不同的存储备份系统。DAS系统NAS系统SAN系统,DAS系统,DAS完全以服务器为中心，寄生在相应服务器或客户端上，其本身是硬件的堆叠，不带有任何存储操作系统,NAS系统,NAS是一种完全脱离服务器就可直接上网的存储设备，因为它本身即具备操作系统,SAN系统,SAN是一种类似于普通局域网的一种高速存储网络，它通过专用的交换机建立起与服务器和磁盘阵列以及磁带库之间的直接连接,网络认证,建议通过网络设备，实现用户登录网络的身份认证，保证每个用户名的唯一性和关联性这是安全审计系统能得以运行的前提条件,用户行为审计,宿舍或办公室用户网络审计机房用户代理审计,网络安全审计功能,HTTP审计对敏感IP进行HTTP审计对敏感URL进行审计对页面关键字进行审计FTP审计对每次FTP协议的登录行为进行记录对敏感IP使用FTP协议的审计对FTP的命令行进行审计，包括对命令、参数以及反馈值的审计SMB审计,POP3审计对POP3协议的登录进行记录对邮件源、目的地址进行记录对关键字（标题、信体）进行审计TELNET审计对Telnet中的命令进行审计SMTP审计QQMSNICQ,网络安全制度,理解客户的业务特征和客户的企业文化,得到客户管理层的明确支持与承诺,组建一个安全管理制度制定小组,确定系统安全整体目标,确定信息管理体系的范围,风险评估与选择安全控制,起草拟订安全管理制度,评估安全管理制度,安全管理制度的实施,安全管理制度的持续改进,应急响应体系,信息安全应急体系包括：事件定位、影响分析、控制风险、限制损害事故的后果，并经过演练后加以执行，以确保在所要求的时间期限内恢复业务处理，减少事件的影响，降低系统的风险。经过评审批准的关键业务体系是组织应急预案保护的对象和组织进行应急预案设计的依据。应急预案的设计应当包括：IT应急措施、非IT应急措施、相关部门的协调、应急资源的保证、应急预案启动条件、应急预案的演练等。,紧急事件列表,事件处理流程,按照安全服务体系，我们首先将为客户制订应急响应规划，在充分了解客户的现状和安全需求后，分析数据中心可能发生的紧急事件，并制订一套应急响应规划。应急响应规划为用户提供了一套行为的指南，当紧急事件发生时，系统管理员可以及时的确定如何采取措施应对紧急事件，提高对紧急事件的处理效率。,应急响应服务体系,第三篇安全服务体系,安全服务简介,网络安全并不是简单的网络安全产品的堆砌就能解决，它需要合适的安全体系和合理的安全产品组合，需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略。安全服务是一个完整安全体系中不可或缺的一部分，安全服务和各种安全产品和技术的融和使用，才能真正的保障一个大型网络的动态和持续安全。专业的安全服务非常适合高端客户在已经建立了一定安全体系后，获得系统集成商无法提供的专业性和个性化支持,信息安全专业服务内容,面向应用的信息安全理念,从客户信息系统整体安全的角度出发，以客户营运的业务流程为着眼点，运用信息系统安全工程技术理论、工具和方法，通过专业、客观的风险分析，在保证客户信息系统应用效率和投资收益比例恰当的前提下，最大程度降低客户的信息系统安全风险，确保客户信息安全目标的实现。,