智慧校园网络安全等保设计方案

智慧校园网络安全等保

设计方案

1

目 录

1

技术建设方案 .................................................................................................................... 3

1.1

校园网总体架构设计 .................................................................................................... 3 1.1.1 建设原则 ........................................................................................................... 3 1.1.2 校园网建设内容框架 ....................................................................................... 4 1.1.3 网络架构拓扑图 ............................................................................................... 6 1.1.4 网络设计概述 ................................................................................................... 6 1.1.5 骨干网络方案先进性与可行性 ....................................................................... 7 1.2 网络安全设计 .............................................................................................................. 15

1.2.1 设备级安全功能 ............................................................................................. 15 1.2.2 防ARP攻击设计 ............................................................................................. 15 1.2.3 交换机IP防扫描设计 ................................................................................... 16 1.2.4 防DOS/DDOS攻击 ........................................................................................... 16 1.2.5 路由安全设计 ................................................................................................. 17 1.2.6 设备管理安全设计 ......................................................................................... 18 1.2.7 汇聚嵌入式安全 ............................................................................................. 19 1.2.8 接入安全控制 ................................................................................................. 19 1.2.9 IP+MAC+端口绑定 ........................................................................................... 20 1.2.10 防止病毒广播泛洪 ......................................................................................... 20 1.2.11 入网用户身份认证 ......................................................................................... 20 1.2.12 防止对DHCP服务器攻击 ............................................................................... 20 1.2.13 多元素绑定技术构筑高安全校园网 ............................................................. 21 1.2.14 防止用户私设代理服务器 ............................................................................. 22 1.2.15 恶意用户追查 ................................................................................................. 22 1.3 等保建设方案 .............................................................................................................. 22

1.3.1 总体建设目标 ................................................................................................. 22 1.3.2 安全技术体系目标 ......................................................................................... 23 1.3.3 物理安全设计 ................................................................................................. 23 1.3.4 计算环境安全设计 ......................................................................................... 24 1.3.5 系统安全审计 ................................................................................................. 26 1.3.6 数据完整性与保密性 ..................................................................................... 28 1.3.7 备份与恢复 ..................................................................................................... 29 1.3.8 区域边界安全设计 ......................................................................................... 30 1.3.9 安全隔离 ......................................................................................................... 31 1.3.10 通信网络安全设计 ......................................................................................... 35 1.3.11 网络设备防护 ................................................................................................. 35

2

1 技术建设方案

1.1 校园网总体架构设计

1.1.1 建设原则 安全性

网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对教育行业网络的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络的安全性，保证内安全。 先进性

系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线路。 开放性

采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放系统互联的标准，应用软件必须于软硬件平台，能集成任何第三方的应用，具有良好的可扩展性、可移植性和互操作性。

3

扩展性

系统必须具有良好的可扩充性，在系统结构、系统容量与技术方案等方面必须具有升级换代的可能，核心设备必须采用模块化的结构，跟踪网络发展的前沿方向，符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源，保证各部门现有的计算机系统的使用，逐步过渡，有效保护用户投资，最终形成一个统一的、一体化的综合网络系统。 高性能

网络链路和设备具备足够高的数据转发能力，保证各种信息的高质量无阻塞传输；交换系统具有很高的交换容量与多服务支持的能力，保证网络服务的质量。 可运营管理

为了让校园网能够良性、稳定、持续、健康的发展，对校园网用户进行严格的管理和控制，学校需要对校园网进行用户接入管理管理，通过对上网的用户进行认证，记录上网用户的行为，为学校的网络管理提供便利的工具。

同时可进行计费扩展，通过对用户收取一定的费用来达到“以网养网”的目的，并要求运营系统能够贴近校园用户的应用模式，方便维护和管理。 规范化和标准化

网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行，要模块化、结构化、数据要代码化，以便于信息共享和交流及将来的维护。在系统设计和软件开发时，应用程序必须规范化、模块化和可复用。 1.1.2 校园网建设内容框架 校园骨干网络设计

本次山西工程技术学院网络改造，需要建成一个高带宽（万兆）、高冗余（设备冗余、线路冗余）达到99.999%的稳定是校园骨干网络的最终目的，建设可扩展的新一代校园网络架构，骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚。

4

校园出口网络设计

新增专用网络出口设备，承载出口NAT、链路负载均衡，智能选路功能。

有线无线统一认证方式：结合智慧校园统一身份认证系统，采用一体化认证方

式为校园各类用户提供上网认证服务，减轻使用和维护复杂度。

上网行为管理：要求实现对互联网访问行为的全面管理，包括网页过滤、行为

控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统，通过源IP/时间，找到对应的帐号，将安全事件度应到人甚至对应到发生安全事件的地点。

网络信息安全防护：通过实名认证，防火墙策略来保障校园网的网络信息安全，

对来自外部的网络攻击和渗透进行有效防护，提高网络信息安全。 校园无线网络设计

全面建设学校的WLAN无线校园网，实现校内随时随地的通过WI-FI访问校园网。WLAN信号覆盖教学、办公楼宇的室内区域，满足每个办公室、教室、实验室和门厅区域的信号接收强度≥-75dBm。室外覆盖区域包括广场、运动场、篮球场，室外AP覆盖区域终端连接速率最高可达到1.75Gbps，满足80%以上区域接收信号强度≥-75dBm，每个场所支持并发用户100个以上。

无线全部采用基于802.11ac协议的室内室外高性能AP产品，所有AP均支持2.4GHz和5.8GHz频段的双路接入，要求每个AP至少支持1.167Gbps速率。

无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制：包括基于不同的用户或用户群可实施不同的认证方式；基于不同的用户或用户群可实施不同的资源访问权限控制；基于不同的用户或用户群可实施不同的接入上、下行带宽控制；基于不同的用户或用户群可实施基于时间的接入控制；上述多种接入控制策略实施、操作过程要方便、易用，即时生效。

5

1.1.3 网络架构拓扑图

1.1.4 网络设计概述

如上图所示：

山西工程技术学院网络可以分为2大部分，第一部分为学校有线办公网，包括办公网有线接入区，网络管理服务器区，核心区，互联网出口区等，主要承载的业务外全校的有线接入业务及全校的校内应用承载。另外一部分网第三方投资建设的无线运营网。该网络主要为全校师生提供校内无线的全面覆盖，包括宿舍区的无线接入，教学办公区的无线接入等。有线办公网与无线运营网络互相融合，共用一套接入认证系统，师生可以方便的通过有线，无线网络访问到校园网数据中心的各种应用。在访问互联网时，认证计费系统可以智能的把老师的互联网流量导向到办公网出口链路上，学生的互联网流量导向到对应的运营网出口链路上。

本网络主要以校园网的原有有线网络为基础，主要作用是为学校各职能单位提供安全稳定的有线网络接入服务，以及为校园网应用提供安全稳定的运行环境。全网分为办公网有线接入区，网络管理服务器区，核心区，互联网出口区四大区域。

6

办公网核心区：提供全校办公网各个区域的数据安全交换，保证全校师生可以通过无线运营网访问到学校的数据中心的各种校内应用。

网络管理服务器区：承载全校的各种校内应用，包括教务系统，教学资源系统，学校的各种智慧化应用。为这些应用提供安全稳定的运行环境。以及运行认证系统，网管系统等。

互联网出口区：主要为全校教职工提供安全稳定出口互联网上网服务。部署BRAS，与认证计费系统联动实现校园网用户准出认证。BRAS可以根据用户的账户属性选择对应的运营商链路访问互联网，同时该设备可以模拟PPPOE拨号，实现和运营商宽带网络的无缝对接。部署出口防火墙，保证校园网内网的安全运行。部署上网行为管理系统，通过与认证计费系统联动，实现互联网上网行为的实名制审计。

办公网有线接入区：覆盖全校各个教学区域，办公区域，图书馆、自习室等公共区域，提供有线网络接入服务。

教学区无线接入：包括全校办公区，教学区，图书馆，报告厅，餐厅等各个公共区域的无线接入覆盖。

宿舍区无线接入：包括全校所有宿舍的有线无线统一接入。

网络管理服务器区：部署认证计费系统，实现全校有线无线的统一接入认证计费。部署防代理系统，防止学生无线用户共享接入互联网，保证投资商的投资收益。

1.1.5 骨干网络方案先进性与可行性 校园骨干网络

本方案采用高性能数据中心交换机锐捷S8610E，采用虚拟化技术实现虚拟化管理，核心设备通过一体化板卡的扩充实现统一的数据表项、统一的管理地址、统一的设备配置等单台逻辑设备的对外特征。

7

核心层一直被认为是所有流量的最终承受者和汇聚者，承担校园网骨干的高速数据交换。所以对核心层的设计以及网络设备的要求十分严格，要求核心交换机拥有较高的性能及可靠性。否则随着信息化建设的进一步深化，特别是随着学校内部资源平台的不断完善和丰富，核心交换机将无法满足这些建设需求。

山西工程技术学院中心机房作为园区核心层的中心，将承担学校骨干的高速数据交换，同时为未来我校构建基于云服务架构的智慧校园提供支撑，所以核心交换机一方面要满足高性能的要求，另一方面要求支持云计算特性；通过比较在此方案核心层的设计中，采用两台高性能的核心交换机作为核心设备，构成双核心结构，实现双机热备,负载均衡，设备支持OSPF协议以及虚拟化协议（将两台设备虚拟层一台设备）以达到核心任意一台设备发生故障都能保证网络正常运行的目的，这一切对用户都是透明的，因此为用户网络的正常运用提供的有利的保障。同时核心交换机支持数据中心虚拟化功能的特性：FCoE、CEE、TRILL等技术。各个汇聚节点采用双线路方式连接到核心设备上，保证可靠性。 核心区域架构设计改造

总体来讲本方案设计的核心交换机需要满足一下几个要求：

1. 高性能

高端交换机性能和端口密度的提升会受到其硬件的，而虚拟化技术系统的性能和端口密度是虚拟化技术内部所有设备性能和端口数量的总和。因此，虚拟化技术能够轻易的将设备的核心交换能力、用户端口的密度扩大数倍，从而大幅度提高单台设备的性能。

此外传统的生成树等技术为了避免环路的发生，会采用阻断一条链路的方式，而虚拟化技术可以通过跨设备链路聚合等特性，让原本“Active-standby”的工作模式，转变成为负载分担的模式，从而提高整网的运行效率。

2. 高可靠

8

链路级：虚拟化技术设备之间的物理端口支持链路聚合，虚拟化技术系统和上、下层设备之间的物理连接也支持聚合功能，这样，通过多链路备份提高了链路的可靠性。

协议级：虚拟化技术提供实时的协议热备份功能，负责将协议的配置信息备份到其他所有的成员设备，从而实现协议可靠。

设备级：虚拟化技术系统由多台成员设备组成，Master设备负责系统的运行、管理和维护，Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障，系统会迅速自动选举新的Master，以保证通过系统的业务不中断，从而实现了设备级的备份。相比传统的二层生成树技术和三层的VRRP技术，其收敛时间从N秒级缩短到毫秒级。

3. 高性能硬件模块

采用高性能硬件模块实现，进行设备机箱见得快速检测和设备间数据高度转发，不依赖交换机CPU和内存资源，适用于大规模的网络，无软件升级方式带来的弊端。

4. 超过10公里的虚拟化技术

虚拟交换引擎板卡配置光接口，最远可实现超过10（可以支持到10-100公里）公里的虚拟化，实现7*24小时的不间断网络服务。

5. 为云计算数据中心提供基础支持

未来山西工程技术学院如果需要建立基于云服务的校园网，核心设备支持云计算对网络设备的技术要求。实施云计算第一步是对服务器进行虚拟化，虚拟化后个虚拟机之间的数据交互管理需要VEPA技术进行支持；同时存储和网络融合后需要交换机支持FCoE技术；跨区的虚拟机迁移，需要设备支持TRILL技术。

核心交换机虚拟化示意图

在传统网络中，为了增强网络的可靠性，在核心层部署两台交换机，所有汇聚层交换机都有两条链路分别连接到两台核心层交换机。为了消除环路，在汇聚层交换机和核心层交换机上配置MSTP协议阻塞一部分链路；为了提供冗余网关，

9

在核心层交换机上配置VRRP协议。

核心层汇聚层接入层

传统网络拓扑

传统网络存在的缺陷如下所示：

网络拓扑复杂，管理困难。为了增加可靠性，设计了一些冗余链路，使得网络中出现环路，不得不配置MSTP协议消除环路，实际应用中可能由于链路流量比较大导致BPDU报文丢失，MSTP拓扑振荡，影响网络的正常运行。

故障恢复时间一般在秒级。如VRRP协议，状态为master的交换机发生故障，处于backup状态的交换机至少要等3秒钟才会切换成master。

生成树协议为了消除环路，需要把一些链路阻塞，没有利用这些链路的带宽，造成资源浪费。

为了解决传统网络的这些问题，提出一种把两台物理交换机组合成一台虚拟交换机的新技术，称为VSU，全称是Virtual Switch Unit，即虚拟交换单元。如图 1.2所示，把传统网络中两台核心层交换机用VSU替换，VSU和汇聚层交换机通过聚合链路连接。在外围设备看来，VSU相当于一台交换机。

10

VSU核心层VSL汇聚层接入层

VSU组网应用示意图（物理视图）

VSU核心层汇聚层接入层

VSU组网应用示意图（逻辑视图）

11

极简网络核心认证设计先进性与可行性

本方案通过核心采用双NS8610E，实现大二层核心认证系统。通过这样的集中认证+统一网关，改变整个无线网络部署方式。

有线、无线设备在网络核心层集中认证后，部署方式更简单，更灵活，更适合持续扩展，同时用户体验到更快上网速率。

统一网关部署在网络核心层，网关性能大幅提升，无线网络部署时，不再担心性能瓶颈问题。

统一认证、统一安全策略后，不存在与多套认证系统对接问题，方便管理。

方案部署后，最大可承载90000双栈终端同时在线，1000个/S终端快速上线，完全满足未来10年的网络演进,在网络使用的高峰期，用户上网仍不受影响，仍能获得高速认证的超快体验。原因是：交换机通过软硬件处理机制，能够屏蔽非法认证报文，保护认证服务器免受攻击，保障用户上网认证体验。

12

校园出口系统先进性与可行性

校园网出口区作为校园网的边界，主要负责承担边界网络的数据转发、流量控制、安全防护、安全审计等功能。校园网出口区分层功能如下图所示：

出口区功能表

边界连接层处于边界网的最外端，是边界网中的数据交换基础平台，此平台主要由边界网中的路由器来。边界连接层需要考虑以下三个方面。

13

1. 边界连接

部署高性能的多功能网关来实现NAT转发。

2. 智能路由选路

校园网用户在访问属于不同ISP提供的信息资源时，边界连接层需要智能的根据用户访问的信息资源，选择不同的ISP（不同的广域网链路）来进行访问。从而避免访问路径跨越了不同ISP网络，确保资源访问效率最大化。

3. 多链路负载

通过ISP线路、教育网线路分别连接至Internet、Cernet。为了提高出口带宽的整体利用率，同时提供链路冗余备份，边界连接层必须提供多链路负载均衡与备份功能。

出于对网络出口的性能和可靠性考虑，向多个运营商同时租用多条互联网线路的情况在国内是非常普遍的。但是，对于拥有两条或两条以上的互联网链路的用户，如何既保证多条链路带宽被充分利用不被浪费，又保证对内对外访问所选择的路径是最快速的最优的，安全网关必须支持多链路负载均衡技术，对多个ISP链路的可用性和性能进行监督，对双向数据流进行智能路径选择，从而保证用户拥有最佳的互联网接入体验。

安全防护

安全防护，是出口网络设计中必不可少的内容。针对出口网络中所部署的安全防护，主要有以下三个方面：

报文过滤

通过访问控制列表（ACL）实现了灵活的各种粒度的报文过滤 ,包括：标准ACL 、扩展ACL。

审计系统

部署一套日志审计系统，实现以下功能：

Flow流日志：源IP、目的IP、源端口、目的端口、流起始时间、结束时间、接受字节数，发送字节数等关键信息

出口NAT日志：经过NAT转换前的源IP地址、源端口，经过NAT转换后的源IP地址、源端

和运营计费平台无缝对接，将用户认证上息和出口日志结合起来，实现快速的用户上息统计和违规用户定位。满足82号令要求。

14

1.2 网络安全设计

1.2.1 设备级安全功能

设备级可靠性主要从设备自身可靠性，网络中的核心层交换机需要具备关键的可靠性技术：

 可靠性指标必须达到99.99%。

 所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔。

 网络核心设备无源背板，采用无源器件的背板，可靠性更高。  网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。

 为避免因病毒、蠕虫等引起的网络泛洪对网络设备造成CPU升高等影响网络的情况出现，所有设备应具备CPU保护技术来避免异常流量和攻击流量对设备可靠性的威胁。

 安全策略部署透明，不影响设备和网络性能，不影响业务和用户体验 基于上述要求，选择的核心交换机支持多种硬件的安全防护技术，主要包括：引擎切换数据不间断转发、电源冗余、业务模块热插拔、防Dos攻击、防扫描、防源IP地址欺骗、SPOH、CPP、LPM+HDR等。通过采用专门针对攻击手段设计的ASIC芯片针对网络中的各种攻击进行安全的防护，保证在处理安全问题的同时依然不影响网络正常数据的转发。

建议选择的全系列交换机具备的硬件CPU保护功能（CPP）可实现对CPU的自动硬件防护机制，保证设备不会因为协议攻击而宕机。

同时交换机上具备的SPOH技术（基于硬件的同步式处理），在线卡的每个端口上利用FFP硬件进行安全防护和智能保障，各端口可以同步地、不影响整机性能地进行硬件处理。最长匹配（LPM）技术解决了“流精确匹配”的缺点，支持一个网段使用一个硬件转发表项，杜绝了攻击和病毒对硬件存储空间的危害。HDR抛弃了传统方式CPU参与“一次路由”的效率影响，在路由转发前形成路由表项，避免了攻击和病毒对CPU利用率的危害。LPM+HDR技术的结合不仅极大地提升了路由效率，而且保障设备在病毒和攻击环境下的稳定运行。 1.2.2 防ARP攻击设计

作为攻击源的主机伪造一个ARP数据包，此ARP包中的IP与MAC地址对同真实的IP与MAC对应关系不同，此伪造的ARP包发送出去后，网内其它主机根据收到的ARP包中的SENDER’S字段，ARP缓存被更新，被欺骗主机或网络设备的ARP缓存中特定IP被关联到错误的MAC地址，被欺骗主机或网络设备访问特定IP的数据包将不能被发送到真实的目的主机或网关，目的主机或网关不能被

15

正常访问。

防ARP欺骗设计

在宿舍区接入交换机上开启ARP-CHECK功能，提取ACE中的IP+MAC资源，形成新的ACE资源（ARP报文过滤），对经过交换机的ARP报文进行检验，对交换机绑定表中存在的ARP表项进行放行，对非法的ARP报文直接丢弃，从而实现防ARP欺骗功能。

1.2.3 交换机IP防扫描设计

众所周知，许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用了网络带宽，导致正常的网络通讯无法进行。而且，互联网上扫描的工具多如牛毛。

为此，方案中的三层核心交换机提供了防扫描的功能，用以防止黑客扫描和类似“冲击波病毒”的攻击，以减轻三层交换机的CPU负担。

目前发现的扫描攻击有两种：

 目的IP地址不断变化的扫描， “scan dest ip attack”。这种扫描攻击是最危害网络的，不但消耗网络带宽，增加交换机的负担，更是大部分黑客攻击手段的起手工具。

 目的IP地址不存在的扫描， “same dest ip attack”。这种攻击主要是通过增加交换机CPU的负担来实现的。对三层交换机来说，如果目的IP地址存在，则报文的转发会通过交换芯片直接转发，不会占用交换机CPU的资源；而如果目的IP地址不存在，那么交换机CPU会定时去尝试连接，如果存在大量的这种尝试连接，也会消耗CPU资源。当然，这种攻击的危害比第一种小得多了。 以上这两种攻击，核心交换机都可以通过在接口上调整相应的攻击阀值、攻击主机隔离时间等参数，来减轻其对网络的影响。另外，还可以根据网络中可监控的主机数，在全局模式下设置可监控攻击主机的最大值，以达到更好地保护系统的要求。

1.2.4 防DOS/DDOS攻击

近年来，各种DoS攻击（Denial of Service，拒绝服务）报文在互联网上传播，给互联网用户带来很大烦恼。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。攻击报文主要采用伪装源IP以防暴露其踪迹。

针对这种情况，RFC2827提出在网络接入处设置入口过滤（IngressFilting），来伪装源IP的报文进入网络。这种方法更注重在攻击的早期和从整体上防止DoS的发生，因而具有较好效果。使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。ISP应该也必须采用此功能防止报文攻击

16

进入Internet；企业（校园网）的网管应该执行过滤来确保企业网不会成为此类攻击的发源地。

交换机采用基于RFC2827的入口过滤规则来防止DoS攻击，这种过滤是通过自动生成特定的ACL来实现，该过滤采用硬件实现而不会给网络转发增加负担。 1.2.5 路由安全设计

（1）路由认证和保护

路由认证（RoutingAuthentication），就是运行于不同设备的相同的动态路由协议之间，对相互传递的路由刷新报文进行的确认，以便使得设备能够接受真正而安全的路由刷新报文。

任何运行一个不支持路由认证的路由协议，都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞，向网络发送不正确或者不一致的路由刷新，由于设备无法证实这些刷新，而使得设备被欺骗，最终导致网络的瘫痪。 目前，多数路由协议支持路由认证，并且实现的方式大体相同。认证过程有基于明文的，也有基于更安全的MD5校验。

MD5认证与明文认证的过程类似，只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。

为了保证路由协议的安全，在路由协议配置时必须配置OSPF的认证，建议采用MD5认证。

（2）关闭IP功能服务

有些IP特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关闭这些IP功能的能力。

 IP源路由选项开关

在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项，它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。并且，在分组到达目的地的过程中，把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。

因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构。因此，设备应能关闭IP源路由选项功能。

 重定向开关

网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。

17

一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。

因此，设备应能关闭ICMP重定向报文的转发。

 定向广播报文转发开关

在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。

 ICMP协议的功能开关

很多常见的网络攻击利用了ICMP协议功能。

ICMP协议允许网络设备中间节点（路由器）向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。

对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息，因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理，以减少ICMP对网络安全的影响。 1.2.6 设备管理安全设计

（1）只开放必要的网络服务

网络设备可以提供很多网络服务，有些服务可能成为网络攻击的对象。为了提供网络设备的安全级别，尽可能关闭不必要的服务，降低网络攻击的风险。

（2）网络管理认证

管理员认证应采用集中认证和本地认证相结合的方式，集中认证为主要认证方式，本地认证为备份认证方式，在集中认证服务器无法访问的情况下使用本地认证。集中认证采用Radius认证协议，同时在设备上建立本地用户数据库，在Radius服务器不可用的情况下，使用本地数据库进行验证。在VTY和Console接口上启用管理认证，认证方式为集中认证和本地认证相结合。

（3）Telnet接入安全

TELNET是对网络设备进行管理的主要手段，可以对设备进行最为有效的操作，为了确保TELNET访问的合法性和安全性，我们需要注意：

1.设置最大会话连接数；

2.设置访问控制列表，TELNET的连接请求来自指定的源IP网段； 3.尽量用SSH代替TELNET，采用SSH的好处是所有信息以加密的形式在网络中传输。

（4）SNMP安全

18

通过SNMP可以对设备进行全面的日常管理，为了提高SNMP管理的安全性，需要应注意以下几点：

1.避免使用缺省的snmp community，设置高质量的口令； 2.不同区域的网络设备采用不同的snmpcommunity；

3.把只读snmpcommunity和可读写snmpcommunity区分开来； 4.配置ACL来能够通过SNMP访问网络设备的IP地址。 1.2.7 汇聚嵌入式安全

面对现在网络环境越来越多的网络病毒和攻击威胁，要求操作系统提供强大的网络病毒和攻击防护能力，网络硬件不仅提供了基于SPOH技术的ACL功能，而且还支持防源IP地址欺骗（Souce IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力，从设备本身的功能即可保证网络安全。 因此对于局域网中，建议如下部署：在核心汇聚部署支持防源IP地址欺骗（Souce IP Spoofing）、防DOS/DDOS攻击（Synflood，Smurf），防扫描（PingSweep）等能力。

1.2.8 接入安全控制

在接入部署ACL，对冲击波、蠕虫等病毒进行防范已经生成数BPDU攻击、MAC攻击等二层攻击，使有害数据包在接入就被过滤。要求接入交换机具备完善的QoS以及强大的安全接入控制能力。具体要求如下：

二至四层线速转发，二至七层智能识别：硬件全线速实现路由、ACL、QOS、带宽

，全面提升用户体验；

硬件实现端口与MAC地址和用户IP地址的绑定：不需要第三方设备或软件，仅通

过设定访问交换机上某个端口的用户MAC地址和IP，就可硬件实现严格控制对该端口的用户输入，有效防止非法用户的接入。

有效杜绝非法组播源：支持IGMP源端口检查功能，以及支持IGMP源IP检查

功能，有效地杜绝非法的组播源播放非法的组播信息，更好地提高了网络的安全性。

极灵活的基于流的带宽控制能力：具备MAC流、IP流、应用流等多层流分类和

流控制能力，实现灵活精细的带宽控制、转发优先级等多种流策略，带宽粒度达Kbps，支持网络根据不同的业务、以及不同业务所需要的服务质量特性，提供差异化服务

完善的QoS：RG-S29E支持完善的QOS，以DiffServ标准为核心的QoS保障系

统，支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；

强大的安全接入控制能力：硬件本身即可实现端口与MAC地址和用户IP地址的

绑定，另外和配合宽带认证计费管理系统可实现用户帐号与IP、MAC、交换机IP、

19

端口、Vlan ID多元素的复合绑定。保证用户身份的合法性和唯一性，可以有效的避免IP地址冲突、帐号盗用等问题发生。

通过PVLAN即可隔离用户信息互通：采用保护端口（即将该端口设为保护端口）

实现端口之间相互隔离，不必占用VLAN资源。采用保护端口即保证用户信息安全，又节约VLAN资源，同时不必再修改VLAN配置，大大提高维护效率。

多端口同步监控MSPAN：通过一个端口可同时监控多个端口的数据流，可以只

监控输入帧或只监控输出帧或双向帧，有效提高监测效率。 1.2.9 IP+MAC+端口绑定

学生宿舍区的用户上网的安全性非常重要，要求接入交换机可以实现端口IP+MAC地址的绑定关系，可以支持基于MAC地址的802.1X认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。 1.2.10 防止病毒广播泛洪

要求接入交换机可实现广播报文的计数累计功能，往往一台主机受病毒时会发出大量的广播报文，交换机可实现对与进入报文的计数累计，广播病毒一般会在短时间内产生大量的广播包，通过可设置广播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭，确保网络的安全、稳定。 1.2.11 入网用户身份认证

基于802.1X的扩展的认证计费系统在用户第一次上网就必须认证，保证了用户上网的安全和合法性。 1.2.12 防止对DHCP服务器攻击

使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后会分发非法地址给终端用户，造成用户无法使用网络，；二是用户DHCP Smurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。

对于第一种情况，使用接入交换机的访问列表就可以实现防范：

在安全接入交换机上定义一个访问列表，该访问列表允许目的IP地址为合法DHCP 服务器（或这个网段的网关地址，部分三层交换机在DHCP relay之后，DHCP sever的地址会替换成三层SVI的地址）、source port为67而destination port为68的UDP报文通过。而其它source port为67而destination port为68的UDP报文拒绝，之后把这个访问列表应用到上联物理端口上。同时再定义一个访问列表，拒绝source port为67而destination port为68的UDP报文通过，并运用在下联端口。

20

对于第二种情况，开启接入交换机的端口安全功能就可以实现防范。在接入交换机设置端口安全，可以根据网络的实际情况设置，设置某个端口下学习源MAC的个数，一旦学习到的源MAC地址大于设置值，那么数据帧就会在端口丢弃，同时发送警告信息通知网管员，或是逻辑上关闭该端口。如下图：

而对于用户手工设置静态IP地址，造成和已分发的动态IP地址冲突，可以通过认证系统指定用户只能采用DHCP获取IP。 1.2.13 多元素绑定技术构筑高安全校园网

IP地址、MAC地址、接入交换机端口、以及接入交换机IP、身份信息、是标识网络用户的基本元素，而单一的元素无法为管理员来标识一个用户，而网络安全被利用最多还是MAC、IP地址等。

1、 MAC地址欺骗

将合法的MAC 地址修改成不存在的MAC 地址或其他人的MAC 地址，从而达到隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC 地址欺骗。

2、 MAC地址泛洪攻击交换机

由于交换机内部的MAC 地址表空间是有限的，正常情况下，这些MAC 地址表是足够用的，一般情况下，基本不会发生MAC 地址表被占满的情况。但如果有人恶意对这台交换机进行MAC 地址泛洪攻击的话，则会很快占满交换机内部MAC 地址表，使得本来交换机本来是按单播进行转发数据包的，但由于MAC 地址表已经被占满了，所有的交换机的端口都在一个广播域里了，因此交换机转发数据包的机制变成了广播了。因此交换机变成了一个Hub，因此别的端口可以收到所有的其他端口的数据，因此用户的信息传输也没有安全保障了。

3、 IP地址随意更改

手工更改用户自己的IP地址，这使得原本分到该IP地址的合法用户无法正常上网，同时也将导致整个网络的IP地址管理混乱。非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，

21

这样就可以逃避网管的追查，“堂而皇之”的攻击对方了。

因此根据以上安全的情况，我们建议采用认证系统的绑定功能，对宿舍网用户进行管理。通过认证系统(AAA)服务器绑定每一个用户的元素信息，当用户认证时，802.1X客户端将所需要的元素信息传送到认证系统服务器，认证系统会将所传送的信息和数据库做一一的匹配，如果有任一一元素不符合认证系统所定义，那么将视此用户为非合法用户，认证系统将不允许此用户认证通过，并反馈通知用户绑定错误相关信息。如果用户认证通过后修改地址，那么客户端也会检测到并发送到认证系统服务器，同时认证系统服务器会将此用户剔除下线。 为了管理方便，我们建议使用第一次登录自动时绑定信息，当用户第一次认证时将相关的元素信息自动的写入数据库，无需手工录入元素信息作静态绑定。 1.2.14 防止用户私设代理服务器

用户自行架设代理服务器以及用户认证后再自行拨号上网，这是网络安全最大的两个隐患。交换机提供代理服务器屏蔽和拨号屏蔽功能。实现该功能交换机端不需任何设置。只需在认证系统服务器端配置相应的属性。

考虑到学生的技术性较强，在实际的应用的过程当中应当充分考虑到学生的代理服务器的使用，对于代理服务器的防止，交换机配合802.1X的客户端以及认证系统服务器，一旦检测到用户PC机产生代理流量，系统自动将用户剔除下线，并反馈信息。 1.2.15 恶意用户追查

对每个用户分配一个账户，使用认证系统管理用户。由认证系统记录用户每次上网的用户名，源IP地址，上网开始和结束时间。然后通过安全认证管理系统认证系统查找MAC地址和IP地址，就可以根据源IP或源MAC在系统上查到该用户所在的交换机以及在该交换机上所接的端口，通过这种方式可以立刻定位用户，方便对于大型网络的管理，能够方便快捷的防止恶意用户的攻击。同时，认证系统系统可以随机保存15～90天的用户上网记录（根据管理的需要，自行定义天数），并可以实现数据的备份。

1.3 等保建设方案

1.3.1 总体建设目标

为了山西工程技术学院此次建设达到安全三级等级保护的要求，最终实现如下总体安全目标：

（1） 依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标，来划分信息系统的安全等级。

22

（2） 通过信息安全需求分析，判断信息系统的安全保护现状与《信息安全技术信息系统安全等级保护基本要求》之间的差距，确定安全需求，然后根据信息系统的划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划，以指导后续的信息系统安全建设工程实施。

（3） 达到关于信息系统安全等级保护相关要求。

1.3.2 安全技术体系目标

按照信息系统安全等级保护关于信息系统在物理、网络安全运行、信息保密和管理等方面的总体要求，科学合理评估信息系统当前存在的风险，协助其合理确定安全保护等级，在此基础上科学规划设计一整套完整的安全体系改造加固方案。

该安全体系需要全面保卫网络和基础设施、边界和外部接入、计算环境、支持性基础设施、数据和系统等方面内容，实现信息资源的机密、完整、可用、不可抵赖和可审计性，基本做到“进不来、拿不走、改不了、看不懂、跑不了、可审计”。

具体包括：

（1） 保障基础设施安全，保障网络周边环境和物理特性引起的网络设备和线路的持续使用。

（2） 保障网络连接安全，保障网络传输中的安全，尤其保障网络边界和外部接入中的安全。

（3） 保障计算环境的安全，保障操作系统、数据库、服务器、用户终端及相关商用产品的安全。

（4） 保障应用系统安全，保障应用程序层对网络信息的保密性、完整性和信源的真实的保护和鉴别，防止和抵御各种安全威胁和攻击手段，在一定程度上弥补和完善现有操作系统和网络信息系统的安全风险。

（5） 安全管理体系保障，根据国家有关信息安全等级保护方面的标准和规范要求，结合山西工程技术学院实际情况，建立一套切实可行的安全管理体系。

1.3.3 物理安全设计

物理环境安全策略的目的是保护网络中计算机网络通信有一个良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。

23

（1） 机房选址

• 机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。机房场地应避免设在建筑物的高层或地下室，以及用水设备的下层或隔壁。

（2） 机房管理

• 机房出入口安排专人值守，控制、鉴别和记录进入的人员；

• 需进入机房的来访人员须经过申请和审批流程，并和监控其活动范围。

• 对机房划分区域进行管理，区域和区域之间设置物理隔离装置，在重要区域前设置交付或安装等过渡区域；

• 重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。 （3） 机房环境

• 合理规划设备安装位置，应预留足够的空间作安装、维护及操作之用。房间装修必需使用阻燃材料，耐火等级符合国家相关标准规定。机房门大小应满足系统设备安装时运输需要。机房墙壁及天花板应进行表面处理，防止尘埃脱落，机房应安装防静电活动地板。

• 机房安装防雷和接地线，设置防雷保安器，防止感应雷，要求防雷接地和机房接地分别安装，且相隔一定的距离；机房设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料；机房应采取区域隔离防火措施，将重要设备与其他设备隔离开。配备空调系统，以保持房间恒湿、恒温的工作环境；在机房供电线路上配置稳压器和过电压防护设备；提供短期的备用电力供应，满足关键设备在断电情况下的正常运行要求。设置冗余或并行的电力电缆线路为计算机系统供电；建立备用供电系统。铺设线缆要求电源线和通信线缆隔离铺设，避免互相干扰。对关键设备和磁介质实施电磁屏蔽。

（4） 设备与介质管理

为了防止无关人员和不法分子非法接近网络并使用网络中的主机盗取信息、破坏网络和主机系统、破坏网络中的数据的完整性和可用性，必须采用有效的区域监控、防盗报警系统，阻止非法用户的各种临近攻击。此外，必须制定严格的出入管理制度和环境监控制度，以保障区域监控系统和环境监控系统的有效运行。对介质进行分类标识，存储在介质库或档案室中。利用光、电等技术设置机房防盗报警系统；对机房设置监控报警系统。

1.3.4 计算环境安全设计

身份鉴别

24

身份鉴别可分为主机身份鉴别和应用身份鉴别两个方面： （1） 主机身份鉴别

为提高主机系统安全性，保障各种应用的正常运行，对主机系统需要进行一系列的加固措施，包括：

• 对登录操作系统和数据库系统的用户进行身份标识和鉴别，且保证用户名的唯一性。

• 根据基本要求配置用户名/口令；口令必须具备采用3种以上字符、长度不少于8位并定期更换；

• 启用登陆失败处理功能，登陆失败后采取结束会话、非法登录次数和自动退出等措施。

• 远程管理时应启用SSH等管理方式，加密管理数据，防止被网络窃听。 • 对主机管理员登录进行双因素认证方式，采用USB key+密码进行身份鉴别

（2） 应用身份鉴别：

• 为提高应用系统系统安全性应用系统需要进行一系列的加固措施，包括： • 对登录用户进行身份标识和鉴别，且保证用户名的唯一性。

• 根据基本要求配置用户名/口令，必须具备一定的复杂度；口令必须具备采用3种以上字符、长度不少于8位并定期更换。

• 启用登陆失败处理功能，登陆失败后采取结束会话、非法登录次数和自动退出等措施。

应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

访问控制

三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现：在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。 强制访问控制实现：在对安全管理员进行严格的身份鉴别和权限控制基础上，由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制；强制访问控制主体的粒度应为用户级，客体的粒度应为文件或数据库表级。

由此主要控制的是对应用系统的文件、数据库等资源的访问，避免越权非法使用。采用的措施主要包括：

• 启用访问控制功能：制定严格的访问控制安全策略，根据策略控制用户

25

对应用系统的访问，特别是文件操作、数据库访问等，控制粒度主体为用户级、客体为文件或数据库表级。

• 权限控制：对于制定的访问控制规则要能清楚的覆盖资源访问相关的主体、客体及它们之间的操作。对于不同的用户授权原则是进行能够完成工作的最小化授权，避免授权范围过大，并在它们之间形成相互制约的关系。

• 账号管理：严格默认账户的访问权限，重命名默认账户，修改默认口令；及时删除多余的、过期的账户，避免共享账户的存在。

• 访问控制的实现主要采取两种方式：采用安全操作系统，或对操作系统进行安全增强改造，且使用效果要达到以上要求。

1.3.5 系统安全审计

系统审计包含主机审计和应用审计两个层面： （1） 主机审计：

• 部署终端安全管理系统，启用主机审计功能，或部署主机审计系统，实现对主机监控、审计和系统管理等功能。

• 监控功能包括服务监控、进程监控、硬件操作监控、文件系统监控、打印机监控、非法外联监控、计算机用户账号监控等。

• 审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP地址更改审计、服务与进程审计等。审计范围覆盖到服务器上的每个操作系统用户和数据库用户；内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等；保护审计记录，避免受到未预期的删除、修改或覆盖等。同时，根据记录的数据进行统计分析，生成详细的审计报表，

• 系统管理功能包括系统用户管理、主机监控代理状态监控、安全策略管理、主机监控代理升级管理、计算机注册管理、实时报警、历史信息查询、统计与报表等。

（2） 应用审计：

• 应用层安全审计是对业务应用系统行为的审计，需要与应用系统紧密结合，此审计功能应与应用系统统一开发。

• 应用系统审计功能记录系统重要安全事件的日期、时间、发起者信息、类型、描述和结果等，并保护好审计结果，阻止非法删除、修改或覆盖审计记录。同时能够对记录数据进行统计、查询、分析及生成审计报表。

• 部署数据库审计系统对用户行为、用户事件及系统状态加以审计，范围覆盖到每个用户，从而把握数据库系统的整体安全。

26

应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

入侵防范

针对入侵防范主要体现在主机及网络两个层面。 针对主机的入侵防范，可以从多个角度进行处理： （1） 入侵检测系统可以起到防范针对主机的入侵行为； （2） 部署漏洞扫描进行系统安全性检测；

（3） 部署终端安全管理系统，开启补丁分发功能模块及时进行系统补丁升级；

（4） 操作系统的安装遵循最小安装的原则，仅安装需要的组件和应用程序，关闭多余服务等；

（5） 另外根据系统类型进行其它安全配置的加固处理。

针对网络入侵防范，可通过部署网络入侵检测系统来实现。将网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。

入侵检测系统可以部署在山西工程技术学院的核心处以及主要服务器区，这里我们建议在这些区域的交换机上部署入侵检测系统，监视并记录网络中的所有访问行为和操作，有效防止非法操作和恶意攻击。同时，入侵检测系统还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。

需要说明的是，IDP是对防火墙的非常有必要的附加而不仅仅是简单的补充。入侵检测系统作为网络安全体系的第二道防线，对在防火墙系统阻断攻击失败时，可以最大限度地减少相应的损失。因此，IDP应具备更多的检测能力，能够和其他安全产品（边界防火墙、内网安全管理软件等）进行联动。

主机恶意代码防范

各类恶意代码尤其是病毒、木马等是对山西工程技术学院的重大危害，病毒在爆发时将使路由器、三层交换机、防火墙等网关设备性能急速下降，并且占用整个网络带宽。

针对病毒的风险，我们建议重点是将病毒消灭或封堵在终端这个源头上。比如，在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。

在山西工程技术学院安全管理安全域中，可以部署防病毒服务器，负责制定和终端主机防病毒策略，在山西工程技术学院内网建立全网统一的一级升级服务

27

器，在下级节点建立二级升级服务器，由管理中心升级服务器通过互联网或手工方式获得最新的病毒特征库，分发到数据中心节点的各个终端，并下发到各二级服务器。在网络边界通过防火墙进行基于通信端口、带宽、连接数量的过滤控制，可以在一定程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。

软件容错

软件容错的主要目的是提供足够的冗余信息和算法程序,使系统在实际运行时能够及时发现程序设计错误,采取补救措施,以提高软件可靠性,保证整个计算机系统的正常运行。因此在应用系统软件设计时要充分考虑软件容错设计，包括：

（1） 提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求；

（2） 具备自保护功能，在故障发生时，应用系统应能够自动保存当前所有状态，确保系统能够进行恢复。

1.3.6 数据完整性与保密性

目前，山西工程技术学院信息系统中传输的信息主要是重要的业务数据和办公文档，对信息完整性校验提出了一定的需求，特别是通过公网远程接入内网传递数据的私密性有很高的要求。而SSL VPN非常适用于远程接入环境，例如：移动办公接入。它和IDPEC VPN适用于不同的应用场景，可配合使用。

SSL的英文全称是“Secure Sockets Layer”，中文名为“安全套接层协议层”，它是网景（Netscape）公司提出的基于WEB应用的安全协议。SSL协议指定了一种在应用程序协议（如Http、Telenet、NMTP和FTP等）和TCP/IP协议之间提供数据安全性分层的机制，它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法，因此安全性上二者无明显差别。

SSL VPN使用SSL/HTTPS技术作为安全传输机制。这种机制在所有的标准Web浏览器上都有，不用额外的软件实现。使用SSL VPN，在移动用户和内部资源之间的连接通过应用层的Web连接实现，而不是像IPSec VPN在网络层开放的“通道”。SSL对移动用户是理想的技术，因为：

• SSL无需被加载到终端设备上 • SSL无需终端用户配置

28

• SSL无需被限于固定终端，只要有标准浏览器即可使用

产品部署方面，SSL VPN只需单臂旁路方式接入。单臂旁路接入不改变原有网络结构和网路配置，不增加故障点，部署简单灵活，同时提供完整的SSL VPN服务。远程用户只需应用标准IE浏览器即可登陆网关，通过身份鉴别，在基于角色的策略控制下实现对医院内部资源的存取访问。远程移动用户只需打开标准IE浏览器，登陆SSL VPN网关，经过用户认证后即可根据分配给该用户的相应策略进行相关业务系统的访问。

1.3.7 备份与恢复

备份与恢复主要包含两方面内容，首先是指数据备份与恢复，另外一方面是关键网络设备、线路以及服务器等硬件设备的冗余。

数据是最重要的系统资源。数据丢失将会使系统无法连续正常工作。数据错误则将意味着不准确的事务处理。可靠的系统要求能立即访问准确信息。将综合存储战略作为计算机信息系统基础设施的一部分实施不再是一种选择，而已成为必然的趋势。

数据备份系统应该遵循稳定性、全面性、自动化、高性能、操作简单、实时性等原则。备份系统先进的特性可提供增强的性能，易于管理，广泛的设备兼容性和较高的可靠性，以保证数据完整性。广泛的选件和代理能将数据保护扩展到整个系统,并提供增强的功能，其中包括联机备份应用系统和数据文件，先进的设备和介质管理，快速、顺利的灾难恢复以及对光纤通道存储区域网（SAN）的支持等。

本地完全数据备份至少每天一次，且备份介质需要场外存放。

提供能异地数据备份功能，利用通信网络将关键数据定时批量传送至异地备用场地。

对于核心交换设备、外部接入链路以及系统服务器进行双机、双线的冗余设计，保障从网络结构、硬件配置上满足不间断系统运行的需要。

资源控制

为保证山西工程技术学院的应用系统正常的为用户提供服务，必须进行资源控制，否则会出现资源耗尽、服务质量下降甚至服务中断等后果。通过对应用系统进行开发或配置来达到控制的目标，包括：

（3） 会话自动结束：当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够及时检测并自动结束会话，释放资源；

（4） 会话：对应用系统的最大并发会话连接数进行，对一个时间段内可能的并发会话连接数进行，同时对单个帐户的多重并发会话进行，

29

设定相关阈值，保证系统可用性。

（5） 登陆条件：通过设定终端接入方式、网络地址范围等条件终端登录。

（6） 超时锁定：根据安全策略设置登录终端的操作超时锁定。 （7） 用户可用资源阈值：单个用户对系统资源的最大或最小使用限度，保障正常合理的资源占用。

（8） 对重要服务器的资源进行监视，包括CPU、硬盘、内存等。 （9） 对系统的服务水平降低到预先规定的最小值进行检测和报警。 （10） 提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且使用效果要达到以上要求。

抗抵赖

解决系统抗抵赖特性最有效的方法就是采用数字签名技术，通过数字签名及签名验证技术，可以判断数据的发送方是真实存在的用户。数字签名是不对称加密算法的典型应用。数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性同时，通过对签名的验证，可以判断数据在传输过程中是否被更改。从而，可以实现数据的发送方不能对发送的数据进行抵赖，发送的数据是完整的，实现系统的抗抵赖性和完整性需求。

PKI体系具备了完善的数字签名功能。因此部署PKI体系可解决抗抵赖的问题，同时提供身份鉴别和访问控制。

1.3.8 区域边界安全设计

边界访问控制

通过对山西工程技术学院的边界风险与需求分析，在网络层进行访问控制需部署防火墙产品，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。同时可以和内网安全管理系统、网络入侵检测系统等进行安全联动，为网络创造全面纵深的安全防御体系。

在各安全域边界部署防火墙产品，部署效果如下： （1） 网络安全的基础屏障：

30

防火墙能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

（2） 强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

（3） 对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

（4） 防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。

（5） 精确流量管理

通过部署防火墙设备，不仅可以实现精准访问控制与边界隔离防护，还能实现阻止由于病毒或者P2P软件引起的异常流量、进行精确的流量控制等。对各级节点安全域实现全面的边界防护，严格控制节点之间的网络数据流。

1.3.9 安全隔离

根据山西工程技术学院的业务需求，数据中心提供对互联网的访问服务。对这些访问行为，需要对数据交换、传输协议、传输内容、安全决策等进行严格的检查，以防止有互联网引入风险。数据中心内部划分了专门的互联网服务器安全域，将对外提供服务的Web服务器等部署在防火墙的DMZ区，负责接收和处理来自互联网的业务访问请求。防火墙进行严格的访问控制的设定，确保访问身份

31

的合法性。

但是，防火墙无法高度保证传输内容、协议、数据的安全性。同时，需要对互联网业务服务器对数据中心内网数据库的访问进行严格的管理控制，不允许互联网用户访问到互联网业务服务器的数据库。

可以通过在互联网服务器安全域与数据中心内网的安全边界上，在互联网服务器安全域中的业务服务器与单个部门服务器安全域中的业务数据库之间部署安全隔离网闸，对各部门的数据库实现按需数据同步。用户可以通过互联网访问到互联网服务器区中的指定业务前置服务器中，互联网服务器区的业务前置服务器负责接收用户的业务访问请求，并通过安全隔离网闸访问内网某个部门前置受理服务器，在内部安全域实现内网前置处理服务器对相应数据库完成业务处理，并将业务处理结果，按照用户部门的不同，存储在单个部门服务器安全域中、访问用户所在的部门的数据库中，完成用户通过互联网对自己部门业务服务器的访问。

通过这种方式，可以为访问提供更高的安全性保障。安全隔离网闸两侧网络之间所有的TCP/IP连接在其主机系统上都要进行完全的应用协议还原，还原后的应用层信息根据用户的策略进行强制检查后，以格式化数据块的方式通过隔离交换矩阵进行单向交换，在另外一端的主机系统上通过自身建立的安全会话进行最终的数据通信，即实现“协议落地、内容检测”。这样，既从物理上隔离、阻断了具有潜在攻击可能的一切连接，又进行了强制内容检测，从而实现最高级别的安全。

流量控制

对于服务的访问流量，是我们需要保护的流量。但是，往往有一些“异常”的流量，通过部分或完全占据网络资源，使得正常的业务访问延迟或中断。可能发生在互联网服务区安全边界的异常流量，根据产生原因的不同，大致可以分为两类：攻击流量、病毒流量。

（1） 攻击流量：是以拒绝服务式攻击（DDOS）为代表，他们主要来自于互联网，攻击的目标是互联网服务区安全域中的服务系统。

（2） 病毒流量：病毒流量可能源自数据中心内部或互联网，主要是由蠕虫病毒所引发，一旦内部主机感染病毒，病毒会自动的在网络中寻找漏洞主机并感染。互联网中的大量蠕虫病毒，也可能通过安全边界，进入到数据中心网络中来。

通过在互联网服务区安全边界最外侧部署流量管理系统，可以实时的发现并阻断异常流量，为正常的互联网访问请求提供高可靠环境。流量控制系统部署在互联网服务区安全边界最外层，直接面向互联网，阻断来自互联网的攻击，阻断病毒的自动探测和传播。

32

流量控制系统必须具备智能的流量分析能力、特征识别能力，具备大流量入侵时足够的性能处理能力，可以为山西工程技术学院网络系统实现：

（1） 全面识别网络应用流量

使用协议检测、协议解码、特征签名、行为检测四种技术精确识别网络上的每个应用并对其进行分类管理。可以识别13大类、1100种以上网络应用，与应用使用的端口、协议或是否采用加密以及隐蔽机制无关。

（2） 全面识别网络攻击流量

精确识别7大类、1600种以上高风险网络攻击流量，包括DDoS/DoS、缓存区溢出、扫描、木马后门、蠕虫病毒、Web攻击等。

（3） 全面控制网络应用流量

采用精确流量控制技术，实现带宽、保证带宽、带宽借用、应用优先级等一系列带宽管理功能，防止不正常应用对网络带宽资源的过度消耗，保证关键应用带宽，非关键应用带宽，改善和保障整体网络应用的服务质量。

（4） 全面清洗网络攻击流量

能够实时阻挡网络扫描、蠕虫病毒、木马后门、DDoS/ DoS、Web攻击等攻击流量，给用户专业级流量净化设备的效果。如果不能够将占用或消耗网络带宽的攻击流量或者给应用流量带来巨大安全威胁的恶意流量清洗掉，关键应用流量的管理就得不到有效的保障。在有多条广域网链路存在的情况下，可以对每条广域网链路设置不同的流量净化策略。

（5） 全面管理网络应用行为

在应用行为管理上，可以根据不同的时间、用户群组来对IM、P2P、网络游戏、股票证券、非法隧道等下达严格的管理策略，杜绝对不良网站和危险资源的访问，防止对Internet资源的滥用，避免医院敏感信息的泄漏。

（6） 全面的流量监控与报表

具有强大的流量实时监控与报表分析能力。不同策略下网络应用流量的监控与分析报表包括应用流量分布、内部主机流量分布、外部主机流量分布、带宽负载分布、连接数分布、数据包大小分布、QoS流量分布等等。网络攻击流量的监控报表包括每一次异常流量攻击的发生时间、严重程度、处理方式、攻击种类、源IP、目的IP、源端口、目的端口、协议等；对网络攻击流量的分析报表包括来源、目的、种类、威胁程度等的详细分析。

边界完整性检查

边界完整性检查核心是要对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查，维护网络边界完整性。通过部署终端安全管理系统可以实现这一目标。

33

终端安全管理系统其中一个重要功能模块就是非法外联控制，探测内部网中非法上互联网的计算机。非法外联监控主要解决发现和管理用户非法自行建立通路连接非授权网络的行为。通过非法外联监控的管理，可以防止用户访问非信任网络资源，并防止由于访问非信任网络资源而引入安全风险或者导致信息泄密。

（1） 终端非法外联行为监控

可以发现终端试图访问非授信网络资源的行为，如试图与没有通过系统授权许可的终端进行通信，自行试图通过拨号连接互联网等行为。对于发现的非法外联行为，可以记录日志并产生报警信息。

（2） 终端非法外联行为管理

可以禁止终端与没有通过系统授权许可的终端进行通信，禁止拨号上网行为。 边界安全审计

各安全区域边界已经部署了相应的安全设备负责进行区域边界的安全。对于流经各主要边界（重要服务器区域、外部连接边界）需要设置必要的审计机制，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。一般可采取开启边界安全设备的审计功能模块，根据审计策略进行数据的日志记录与审计。同时审计信息要通过安全管理中心进行统一集中管理，为安全管理中心提供必要的边界安全审计数据，利于管理中心进行全局管控。边界安全审计和主机审计、应用审计、网络审计等一起构成完整的、多层次的审计系统。

边界恶意代码防范

一个完善的安全体系应该包含了从桌面到服务器、从内部用户到网络边界的全面地解决方案，以抵御来自黑客和病毒的威胁。

在山西工程技术学院办公边界部署防病毒网关，采用透明接入方式，在最接近病毒发生源安全边界处进行集中防护，对夹杂在网络交换数据中的各类网络病毒进行过滤，可以对网络病毒、蠕虫、混合攻击、端口扫描、间谍软件、P2P软件带宽滥用等各种广义病毒进行全面的拦截。阻止病毒通过网络的快速扩散，将经网络传播的病毒阻挡在外，可以有效防止病毒从其他区域传播到内部其他安全域中。通过部署防病毒网关（防毒墙），截断了病毒通过网络传播的途径，净化了网络流量。

部署的防病毒网关应特别注意设备性能，产品必须具备良好的体系架构保证性能，能够灵活的进行网络部署。同时为使得达到最佳防毒效果，防病毒网关设备和桌面防病毒软件应为不同的厂家产品，两类病毒防护产品共同组成山西工程技术学院医院的立体病毒防护体系。

为能达到最好的防护效果，病毒库的及时升级至最新版本至关重要。对于能

34

够与互联网实现连接的网络，应对自动升级进行准确配置；对与不能与互联网进行连接的网络环境，需采取手动下载升级包的方式进行手动升级。

1.3.10 通信网络安全设计

网络结构安全

网络结构的安全是网络安全的前提和基础，对于山西工程技术学院，选用主要网络设备时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。

网络安全审计

网络安全审计系统主要用于监视并记录网络中的各类操作，侦察系统中存在的现有和潜在的威胁，实时地综合分析出网络中发生的安全事件，包括各种外部事件和内部事件。

在山西工程技术学院交换机处并接部署网络行为监控与审计系统，形成对全网网络数据的流量监测并进行相应安全审计，同时和其它网络安全设备共同为集中安全管理提供监控数据用于分析及检测。

网络行为监控和审计系统将的网络传感器硬件组件连接到网络中的数据会聚点设备上，对网络中的数据包进行分析、匹配、统计，通过特定的协议算法，从而实现入侵检测、信息还原等网络审计功能，根据记录生成详细的审计报表。

网络行为监控和审计系统采用旁路技术，不用在目标主机中安装任何组件。同时网络审计系统可以与其它网络安全设备进行联动，将各自的监控记录送往安全管理安全域中的安全管理服务器，集中对网络异常、攻击和病毒进行分析和检测。

1.3.11 网络设备防护

为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的加固措施，包括：

（1） 对登录网络设备的用户进行身份鉴别，用户名必须唯一；

35

（2） 对网络设备的管理员登录地址进行；

（3） 身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字符、长度不少于8位，并定期更换；

（4） 具有登录失败处理功能，失败后采取结束会话、非法登录次数和当网络登录连接超时自动退出等措施；

（5） 启用SSH等管理方式，加密管理数据，防止被网络窃听。 （6） 对于鉴别手段，三级要求采用两种或两种以上组合的鉴别技术，因此需采用USBkey+密码进行身份鉴别，保证对网络设备进行管理维护的合法性。

通信完整性

信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。 对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。

对于信息传输的完整性校验应由传输加密系统完成。部署SSL VPN系统保证远程数据传输的数据完整性。对于信息存储的完整性校验应由应用系统和数据库系统完成。

通信保密性

应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密。

对于信息传输的通信保密性应由传输加密系统完成。部署SSL VPN系统保证远程数据传输的数据机密性。

网络可信接入

为保证网络边界的完整性，不仅需要进行非法外联行为，同时对非法接入进行监控与阻断，形成网络可信接入，共同维护边界完整性。通过部署终端安全管理系统可以实现这一目标。

终端安全管理系统其中一个重要功能模块就是网络准入控制，启用网络阻断方式包括ARP干扰、802.1x协议联动等。

监测内部网中发生的外来主机非法接入、篡改 IP 地址、盗用 IP 地址等不法行为，由监测控制台进行告警。运用用户信息和主机信息匹配方式实时发现接入主机的合法性，及时阻止 IP 地址的篡改和盗用行为。共同保证山西工程技术学院的边界完整性。具体如下：

（1） 在线主机监测

可以通过监听和主动探测等方式检测系统中所有在线的主机，并判别在线主

36

机是否是经过系统授权认证的信任主机。

（2） 主机授权认证

可以通过在线主机是否安装客户端代理程序，并结合客户端代理报告的主机补丁安装情况，防病毒程序安装和工作情况等信息，进行网络的授权认证，只允许通过授权认证的主机使用网络资源。

（3） 非法主机网络阻断

对于探测到的非法主机，系统可以主动阻止其访问任何网络资源，从而保证非法主机不对网络产生影响，无法有意或无意的对网络攻击或者试图窃密。

（4） 网络白名单策略管理

可生成默认的合法主机列表，根据是否安装安全管理客户端或者是否执行安全策略，来过滤合法主机列表，快速实现合法主机列表的生成。同时允许管理员设置白名单例外列表，允许例外列表的主机不安装客户端但是仍然授予网络使用权限，并根据需要授予可以和其他授权认证过的主机通信的权限或者允许和任意主机通信的权限。

（5） IP和MAC绑定管理

可以将终端的IP和MAC地址绑定，禁止用户修改自身的IP和MAC地址，并在用户试图更改IP和MAC地址时，产生相应的报警信息。

安全管理中心设计

由于山西工程技术学院覆盖面广，用户众多，技术人员水平不一。为了能准确了解系统的运行状态、设备的运行情况，统一部署安全策略，应进行安全管理中心的设计，根据要求，应在系统管理、审计管理和安全管理几个大方面进行建设。

在安全管理安全域中建立安全管理中心，是有效帮助管理人员实施好安全措施的重要保障，是实现业务稳定运行、长治久安的基础。通过安全管理中心的建设，真正实现安全技术层面和管理层面的结合，全面提升用户网络的信息安全保障能力。

系统管理

通过系统管理员对系统的资源和运行进行配置、控制和管理，包括： （1） 用户身份管理：统一管理系统用户身份，按照业务上分工的不同，合理地把相关人员划分为不同的类别或者组，以及不同的角色对模块的访问权限。权限设置可按角色划分，角色分为普通用户、系统管理员、安全管理员、审计管理员等。

（2） 系统资源配置与监控：进行系统资源配置管理与监控，包括CPU负载、磁盘使用情况、服务器内存、数据库的空间、数据库日志空间、SWAP使用情

37

况等，通过配置采样时间，定时检测。

（3） 系统加载和启动：进行系统启动初始化管理，保障系统的正常加载和启动。

（4） 系统运行的异常监控：系统资源和设备受到攻击，或运行异常时，会以告警等信息方式，通知管理员。安全管理平台可提供多种自动处理机制，协助用户监控最新告警，全方位掌控网络异常和攻击。

（5） 数据备份与恢复：数据的定期备份与恢复管理，识别需要定期备份的重要业务信息、系统数据及软件系统，规定备份信息的备份方式、备份频度、存储介质、保存期等；根据数据的重要性及其对系统运行的影响，制定数据的备份策略和恢复策略，定期执行备份与恢复策略。

（6） 恶意代码防范管理：建立恶意代码管理中心，进行防恶意代码软件的统一管理，并根据情况建立二级管理中心。恶意代码管理中心实现：杀毒策略统一集中配置；自动并强制进行恶意代码库升级；定制统一客户端策略并强制执行；进行集中病毒报警等。

（7） 系统补丁管理：集中进行补丁管理，定期统一进行系统补丁安装。注意应首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。

（8） 系统管理员身份认证与审计：对系统管理员进行严格的身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。

审计管理

通过安全审计员对分布在系统各个组成部分的安全审计机制进行集中管理，包括：根据安全审计策略对审计记录进行分类；提供按时间段开启和关闭相应类型的安全审计机制；对各类审计记录进行存储、管理和查询等；对安全审计员进行严格的身份鉴别，并只允许其通过特定的命令或界面进行安全审计操作。

具体集中审计内容包括： （1） 日志监视

实时监视接收到的事件的状况，如最近日志列表、系统风险状况等；监控事件状况的同时也可以监控设备运行参数，以配合确定设备及网络的状态；日志监视支持以图形化方式实时监控日志流量、系统风险等变化趋势。

（2） 日志管理

日志管理实现对多种日志格式的统一管理。通过SNMP、SYSLOG或者其它的日志接口采集管理对象的日志信息，转换为统一的日志格式，再统一管理、分析、报警；自动完成日志数据的格式解析和分类；提供日志数据的存储、备份、恢复、删除、导入和导出操作等功能。日志管理支持分布式日志级联管理，下级管理中

38

心的日志数据可以发送到上级管理中心进行集中管理

（3） 审计分析

• 集中审计可综合各种安全设备的安全事件，以统一的审计结果向用户提供可定制的报表，全面反映网络安全总体状况，重点突出，简单易懂。

• 系统支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行统计分析并生成分析报表；支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析；支持基于多种条件的统计分析，包括：对访问流量、入侵攻击、邮件过滤日志、源地址、用户对网络访问控制日志等。对于入侵攻击日志，可按照入侵攻击事件、源地址、被攻击主机进行统计分析，生成各类趋势分析图表。

• 系统可以生成多种形式的审计报表，报表支持表格和多种图形表现形式；用户可以通过IE浏览器访问，导出审计结果。可设定定时生成日志统计报表，并自动保存以备审阅或自动通过邮件发送给指定收件人，实现对安全审计的流程化处理。

39