《智慧校园信息安全体系建设方案》由会员分享,可在线阅读,更多相关《智慧校园信息安全体系建设方案(34页珍藏版)》请在金锄头文库上搜索。
1、智慧校园信息安全体系建设方案在信息化校园平台系统的建设过程中,计算机系统安全建设是一个必不可少的环节。该系统不仅是一个涉及多部门、多业务、多应用的信息系统,而且其安全性涉及到每个公民的切身利益。1.1. 安全风险分析通过引用TCP/IP分层结构,逐层分析各层次所面临的风险,基于网络的信息安全风险可划分为五个安全层,即物理层、网络层、系统层、应用层和安全管理层。1.1.1. 物理层安全风险物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。例如:设备被盗、被毁坏;设备老化、意外故障;计算机系统通过无线电辐射泄露秘密信息等。1.1.2. 网络层安全风险网络
2、层的安全风险主要包括数据的泄露与篡改、中间业务网络的安全威胁、互联网出口的安全威胁。数据泄露与篡改的安全威胁:同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网内部也存在着内部攻击,敏感信息可能被侵袭者搭线窃取和篡改。关键业务网络的安全威胁:一般来讲,关键的业务网络由于提供服务,网络的一端可能处于一个较为开放的网络环境中,或者很可能与INTERNET网络进行互连,所以业务网络环境的复杂性和开放性成为关键业务网络系统潜在威胁的最大来源。互联网出口的安全威胁:机构或企业的内部办公、业务网络与互联网Internet不可避免地相互联通,这种边界的安全威胁是最大最不可靠的。随着互联网技术
3、的发展,基于网络的黑客攻击技术,入侵技术也在飞快的发展,这些攻击具有方式多种多样,破坏性较大,入侵工具简单易用等特点,这些都使机构或企业网络系统面临巨大的安全风险,严重影响业务的进行。1.1.3. 系统层安全风险系统级的安全风险分析主要针对网络中采用的操作系统、数据库及相关商用产品的安全漏洞和病毒威胁。目前主流的操作系统包括各种商用Unix、Windows、Linux以及各种网络设备或网络安全设备中的专用操作系统。这些操作系统自身也存在许多安全漏洞。随着黑客的技术手段日益高超,新的攻击手段也不断出现。有的是协议自身的问题,有的是系统自身设计不完善造成的,因此,主机系统本身的各种安全隐患,注定将
4、带来各种攻击的可能性。基于这些主机系统之上的业务也将不同程度的受到威胁。1.1.4. 应用层安全风险应用层的安全风险主要表现为身份认证漏洞。主要包括:l 服务系统登录和主机登录使用的静态口令问题,这样非法用户通过网络窃听、非法数据库访问、穷举攻击、重放攻击等手段很容易得到这种静态口令。l 对关键业务服务器的非授权访问:业务服务器是网络系统中提供信息数据服务的关键,许多信息只有相应级别用户才能查阅。l 信息泄漏:如果没有完善的安全措施,可能会有非法用户没有经过允许直接访问网络资源,造成机密信息外泄。1.1.5. 管理层安全风险责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安
5、全风险。建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案。因此,最可行的做法是管理制度和网络安全解决方案相结合。1.2. 系统安全体系信息化校园平台系统的安全体系设计属于系统工程的设计,不是某种单元安全技术能够解决的。安全体系的设计必须以科学的安全体系结构模型为依据,才能保证系统安全体系的完备性、合理性。为了系统、科学地分析安全方案涉及的各种安全问题,通过分析和综合,提出了三维安全体系结构,其结构图如下:三维安全体系结构图1.2.1. 安全服务维安全服务维从安全服务的角度,表示了系统安全的具体内容,包括:l 数据保密性:数据存储和传输时加密,防止数据窃取、窃听。l 数据完整性:防止
6、数据篡改。l 访问控制性:防止非授权使用资源或以非授权的方式使用资源。l 身份认证性:用于确认所声明的身份的有效性。l 安全审计:设置审计记录措施,分析审计记录。l 可用性、可靠性:在系统降级和受到破坏时能使系统继续完成其功能,使得在不利条件下尽可能少地受到侵害者的破坏。1.2.2. 协议层次维协议层次维由ISO/OSI参考模型的七层构成,与TCP/IP层次对应,可以把会话层、表示、应用层统一为“应用层”。从协议层次的角度来表示系统安全体系的分布。总结为物理层、链路层、网络层、传输层、应用层。1.2.3. 系统单元层系统单元层从系统安全的角度表示了系统安全体系各个方面的内容,包括应用系统安全、
7、数据系统安全、网络平台安全、物理安全。贯穿于上述四个方面是安全管理。通过技术手段和行政管理手段,安全管理将涉及到各系统单元在各个协议层次提供的各种安全服务,构成整个系统的安全体系结构。1.3. 网络系统安全1.3.1. 网络安全概述网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性,网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式,包括:窃听报文 攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基
8、本是不可能的。IP地址欺骗 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。源路由攻击 报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。端口扫描 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。拒绝服务攻击 攻击者的目的是阻止合法用户对资源的访问。比如
9、通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失。应用层攻击 有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。另外,网络本身的可靠性与线路安全也是值得关注的问题。1.3.2. 访问控制安全策略在网络系统设计中我们认为采用L3 MPLS VPN与VLAN、IP Sec组合组网方式,可实现不同部门、不同的应用系统之间进行隔离,实现对跨系统、跨部门的访问控制。其本身已
10、经能够提供的安全机制,可保证访问控制的安全。下面针对标书中提出的具体要求,给出具体的实现方案。单位内部工作人员的安全方案:单位内部工作人员安全要求:1)能访问本系统内部的服务器2)能访问公共系统的服务器3)能访问单位内部公文、业务处理系统的服务器4)不允许被其他单位用户访问单位内部工作人员安全实施方案:单位内部工作人员属于单位的内部网网络VPN,为实现上述功能,需要将本系统内部的服务器VPN,公共系统服务器VPN,电子公文交换系统VPN,业务处理系统VPN的路由注入本单位内部网络VPN中。由于VPN之间的路由表彼此隔离,其他VPN不能访问本VPN。系统内部服务器的安全方案:系统内部服务器安全要
11、求:1)允许和本系统内部其他同一系统单位的服务器通信2)允许本单位和本系统内其他单位的授权用户访问3)不允许其他用户访问系统内部服务器安全实施方案:同一系统内部服务器在同一个VPN中。通过将本单位内部网络VPN及本系统内其他单位内部网络VPN的路由注入本系统内部服务器VPN。由于VPN之间的路由表彼此隔离,其他非本系统单位的用户位于其他单位内部网络的VPN中,因此不能访问本单位内部网络VPN。由于VPN之间的路由表彼此隔离,其他VPN不能访问本VPN。公共服务器网段的安全方案公共服务器网段安全要求:1)允许其他网段访问本网络中的服务器2)允许本网段访问其他网段公共服务器网段安全实施方案:公共服
12、务器本身是开放的,因此将公共服务器VPN的路由与其他所有允许访问本VPN的用户所在的VPN的路由互相进行分发。从安全性的角度考虑,我们建议允许公共服务器网段的访问其他网段,因为这样可能导致个别部门的用户如果攻击公共服务器并获得对该服务器的控制权后,可以从该服务器出发访问到其他所有网络,潜在的安全风险比较大。因此,我们解决办法是用防火墙来隔离公共服务器,或用NAT地址转换来实现。特殊需求人员安全方案: 特殊需求人员安全要求:1)不允许其他用户访问该网段2)允许本网段访问多个系统的系统服务器网段和公共服务器网段3)不允许其它用户的机器非法连接到其物理交换端口特殊需求人员安全实施方案:由于VPN之间
13、的路由表彼此隔离,其他VPN不能访问本VPN。为该类用户单独分配一个IP子网/VLAN/VPN,将该VPN的路由与其他系统服务器网段所在的VPN和公共服务器VPN互相进行分发。我们本次应标选择的交换机均具备端口的MAC地址限制功能,即限制某个端口只允许有某个固定的MAC地址的机器进入网络,因此其他用户即使接到同一个物理端口,也无法正常使用。统一办公网络安全方案统一办公网络安全要求:有多个机关单位在同一个地方办公(中区一楼大厅),每个机关单位都有一个或多个员工在一起办公,需要访问其每个单位系统内部的服务器。统一办公网络实施方案:在中区一楼大厅中办公的每个不同单位的员工分配不同的IP子网/VLAN
14、,并分别加入其单位内部网络VPN中,由于单位内部网络VPN是允许访问系统内部的服务器的,因此可以实现安全要求。临时访问单位内部网的安全方案:临时访问单位内部网的安全要求:在办公网内其他部门办事,临时需要访问本单位内部网络或服务器网段。临时访问单位内部网的实施方案:由于所有单位都能够访问系统的公共服务器VPN,每个单位使用一个公共的IP地址加入公共服务器的VPN中,需要提供此功能的单位需要提供一台有两块网卡的服务器,一块网卡在公共服务器VPN中,根据不同单位安全性的要求,另一块网卡在单位内部网络VPN或系统内部服务器VPN中,在服务器上运行Pptp/IPsec服务器,当用户在办公网中其他部门办事
15、的时候,可以通过Pptp/IPsec拨号到该服务器上,并通过该服务器访问本部门内部网络或服务器网段。该服务器由各单位自己负责维护,管理不同用户的密码及访问权限控制,对安全要求比较高的用户,通过以上方案可实现安全要求。同一单位,分布在不同地方的应用安全方案同一单位,分布在不同地方的应用安全要求:同一单位,办公地点不在同一个地理位置,需要互相访问。同一单位,分布在不同地方的应用安全实施方案:将不同办公地方的IP子网/VLAN都划入单位内部网络 VPN,可实现安全需求。各单位特殊人员安全访问方案各单位特殊人员安全访问安全要求:每个单位有一至几个人员,他们可以访问同时几个系统内部服务器,别人无法访问他们,且除他们之外其他用户无权限同时访问几个系统内部服务器。各单位特殊人员安全访问实施方案:每个单位的这些特殊人员如果想访问非本系统的服务器,可以通过PPTP/IPsec拨号到相应服务器所属单位的访问服务器上(该服务器有一个以太网端口在公共服务器VPN中,是可以访问的),在经过用户名/密码认证和授权后访问相关资源,其他未经授权的用户无法访问相关资源。为了限制其他人同时访问他们,可以将这几个特殊用户单独划在一个VPN中。上述实现方式可以实现安全要求。1.3.3. 虚拟局域网和访问控制(VLAN/ACL)内部虚拟局域网和访问控制技术(VLAN和ACL技
