二、網絡信息安全系統設計步驟

　　網絡安全需求分析

　　確立合理的目標基線和安全策略

　　明確預備付出的代價

　　制定可行的技術方案

　　工程實施方案(產品的選購與定制)

　　制定配套的法規、條例和治理辦法

　　本方案主要從網絡安全需求上進行分析，并基于網絡層次結構，提出不同層次與安全強度的校園網網絡信息安全解決方案。

　　三、網絡安全需求

　　確切了解校園網網絡信息系統需要解決哪些安全問題是建立合理安全需求的基礎。一般來講，校園網網絡信息系統需要解決如下安全問題：

　　局域網LAN內部的安全問題，包括網段的劃分以及VLAN的實現

　　在連接Internet時，如何在網絡層實現安全性

　　應用系統如何保證安全性l如何防止黑客對網絡、主機、服務器等的入侵

　　如何實現廣域網信息傳輸的安全保密性

　　加密系統如何布置，包括建立證書治理中心、應用系統集成加密等

　　如何實現遠程訪問的安全性

　　如何評價網絡系統的整體安全性

　　基于這些安全問題的提出，網絡信息系統一般應包括如下安全機制：訪問控制、安全檢測、攻擊監控、加密通信、認證、隱藏網絡內部信息(如NAT)等。

　　四、網絡安全層次及安全措施

　　4.1鏈路安全

　　4.2網絡安全

　　4.3信息安全網絡的安全層次分為:鏈路安全、網絡安全、信息安全網絡的安全層次及在相應層次上采取的安全措施見下表。

　　信息安全信息傳輸安全(動態安全)數據加密數據完整性鑒別安全治理信息存儲安全(靜態安全)數據庫安全終端安全信息的防泄密信息內容審計用戶鑒別授權(CA)

　　網絡安全訪問控制(防火墻)網絡安全檢測入侵檢測(監控) ipSEC(IP安全)審計分析鏈路安全鏈路加密

　　4.1鏈路安全

　　鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數據一起加密，用戶數據通過通信線路送到另一節點后立即解密。加密后的數據不能進行路由交換。因此，在加密后的數據不需要進行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設備。

　　一般，線路加密產品主要用于電話網、DDN、專線、衛星點對點通信環境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網，同步線路密碼機則可用于許多專線環境。

　　4.2網絡安全

　　網絡的安全問題主要是由網絡的開放性、無邊界性、自由性造成的，所以我們考慮校園網信息網絡的安全首先應該考慮把被保護的網絡由開放的、無邊界的網絡環境中獨立出來，成為可治理、可控制的安全的內部網絡。也只有做到這一點，實現信息網絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現內部網(信任網絡)與外部不可信任網絡(如因特網)之間或是內部網不同網絡安全域的隔離與訪問控制，保證網絡系統及網絡服務的可用性。

　　目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結合。包過濾防火墻通常基于IP數據包的源或目標IP地址、協議類型、協議端口號等對數據流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協議進行代理，并對用戶身份進行鑒別，并提供比較具體的日志和審計信息；其缺點是對每種應用協議都需提供相應的代理程序，并且基于代理的防火墻經常會使網絡性能明顯下降。應指出的是，在網絡安全問題日益突出的今天，防火墻技術發展迅速，目前一些領先防火墻廠商已將很多網絡邊緣功能及網管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。

　　信息系統是動態發展變化的，確定的安全策略與選擇合適的防火墻產品只是一個良好的開端，但它只能解決60%-80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境布滿弱點等，這些都是對信息系統安全的挑戰。

　　信息系統的安全應該是一個動態的發展過程，應該是一種檢測──監視──安全響應的循環過程。動態發展是系統安全的規律。網絡安全風險評估和入侵監測產品正是實現這一目標的必不可少的環節。

　　網絡安全檢測是對網絡進行風險評估的重要措施，通過使用網絡安全性分析系統，可以及時發現網絡系統中最薄弱的環節，檢查報告系統存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達到增強網絡安全性的目的。 

　　入侵檢測系統是實時網絡違規自動識別和響應系統。它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方，通過實時截獲網絡數據流，能夠識別、記錄入侵和破壞性代碼流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時，入侵檢測系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄，自動阻斷通信連接或執行用戶自定義的安全策略等。

　　另外，使用IP信道加密技術(IPSEC)也可以在兩個網絡結點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數據完整性機制。利用IP封裝凈載(IP ESP)可以實現通信內容的保密。IP信道加密技術的優點是對應用透明，可以提供主機到主機的安全服務，并通過建立安全的IP隧道實現虛擬專網即VPN。目前基于IPSEC的安全產品主要有網絡加密機，另外，有些防火墻也提供相同功能。

　　五、校園網網絡安全解決方案

　　5.1基本防護體系(包過濾防火墻+NAT+計費)

　　用戶需求：全部或部分滿足以下各項·解決內外網絡邊界安全，防止外部攻擊，保護內部網絡·解決內部網安全問題，隔離內部不同網段，建立VLAN ·根據IP地址、協議類型、端口進行過濾·內外網絡采用兩套IP地址，需要網絡地址轉換NAT功能·支持安全服務器網絡SSN ·通過IP地址與MAC地址對應防止IP欺騙·基于IP地址計費·基于IP地址的流量統計與限制·基于IP地址的黑白名單。

　　·防火墻運行在安全操作系統之上·防火墻為獨立硬件·防火墻無IP地址解決方案：采用網絡衛士防火墻PL FW1000 

　　5.2標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)

　　用戶需求：在基本防護體系配置的基礎之上，全部或部分滿足以下各項·提供給用代理服務，隔離內外網絡·用戶身份鑒別·權限控制·基于用戶計費·基于用戶的流量統計與控制·基于WEB的安全治理·支持VPN及其治理·支持透明接入·具有自身保護能力，防范對防火墻的常見攻擊

　　解決方案：

　　(1)選用網絡衛士防火墻PL FW2000 (2)防火墻基本配置+網絡加密機(IP協議加密機)

　　5.3強化防護體系(包過濾+NAT+計費+代理+VPN+網絡安全檢測+監控)

　　用戶需求：在標準防護體系配置的基礎之上，全部或部分滿足以下各項·網絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備)

　　·操作系統安全性檢測·網絡監控與入侵檢測

　　解決方案：選用網絡衛士防火墻PL FW2000+網絡安全分析系統+網絡監控器