校园网络安全设计方案专业版资料内容仅供参考,如有不足或者侵权,请联系本人删除。
校园网络安全设计方案
0 10 网工 2 2 班
组员: 张婵、
张茜、
张越、
张喻博、
赵子龙、
祝美意、
杨越峦、
张力
随着因特网的迅速发展, 校园网的建设日益普遍。
而在高校中, 如何可以保证校园网络的安全运行, 同时又能提供丰富的网络资源, 到达办公、 教学及学生上网的多种需求已成为了一个难题。
校园网络的安全不仅有来自外部的攻击, 还有内部的攻击。
所以, 在校园网建设中使用安全技术是刻不容缓的。
现从防火墙、 VPN、 防病毒、 入侵检测和防御系统、 上网行为管理和用户审计系统、 数据备份系统、 主页防篡改、 网络安全管理制度几个方面, 设计我校的网络安全方案。
防火墙: :防火墙是一种将内部网和公众网分开的方法。
它能限制被保护的网络与与其它网络之间进行的信息存取、 传递操作。
防火墙的概念: 一般防火墙是指部署在差别网络或网络安全域之间的一系列部件组合,
是一种有用的网络安全策略。
防火墙提供信息安全服务, 设臵在被保护内部网络的安全与不安全的外部网络之间, 其作用是阻断来自外部的、 针对内部网络的入侵和威胁, 保护内部网络的安全。
它是差别网络或网络安全域之间信息的唯一出入口, 根据安全策略控制出入网络的信息流, 并且本身具有较强的抗攻击能力。
防火墙的分类: 按软件与硬件的形式, 防火墙分为软件防火墙、 硬件防火墙和芯片防火墙; 按防火墙的技术, 总体分为包过滤型和应用资料内容仅供参考,如有不足或者侵权,请联系本人删除。
代理型两大类; 按防火墙的结构分为单一主机防火墙、 路由器集成式防火墙、 分布式防火墙; 按防火墙的部署位臵分为边界防火墙、 个人防火墙、 混合防火墙。
防火墙的安全策略: ( 1) 所有从内到外和从外到内的数据包都必需通过防火墙( 2) 只有被安全策略答应的数据包才能通过防火墙( 3) 防火墙本身要有预防入侵的功能( 4) 默认严禁所有服务, 除非是必需的服务才被答应
防火墙的设计: ( 1) 保障校园内部网主机的安全, 屏蔽内部网络, 严禁外部网用户连接到内部网( 2) 只向外部用户提供 HTTP、 SMTP 和POP 等有限的服务( 3) 向内部记账用户提供所有 Internet 服务, 但一律通过代理服务器(4)严禁访问黄色、 反动网站(5)要求具备防 IP地址欺骗和 IP 地址盗用功能(6)要求具备记账和审计功能, 能有用记录校园网的一切活动。
校园网络在设臵时应从下面几个方面入手: ( 1) 入侵检测: 具有黑客一般攻击的实时检测技术。
实时防护来自 IP Source Routing、 IP Spoofing、 SYN flood、 IC- MP flood、 UDP flood、 Ping ofDeath、 拒绝服务和许多其它攻击。
并且在检测到有攻击行为时能通过电子邮件或其它方式通知系统管理员。
( 2) 工作模式选择: 当前市面上的防火墙都会具备三种差别的工作模式, 路由模式、 NAT模式和透明模式。
我们选择的是透明模式, 防火墙过滤通过防火墙的封包, 而不会修改数据包包头中的任何源或目的地的信息。
所有接口运行起来都像是同一网络中的一部分。
此时防火墙的作用更像资料内容仅供参考,如有不足或者侵权,请联系本人删除。
是 Layer2( 第二层) 交换机或桥接器。
在透明模式下, 接口的 IP 地址被设臵为 0.0.0.0, 防火墙对于用户来说是可视或透明的。
( 3) 策略设臵: 防火墙可以提供具有单个进入和退出点的网络边界。
由于所有信息流都必需通过此点, 所以可以筛选并引导所有通过执行策略组列表产生的信息流。
策略能答应、 拒绝、 加密、 认证、 排定优先次序、 调度以及监控尝试从一个安全段流到另一个安全段的信息流。
可以决定哪些用户和信息能进入和离开以及它们进入和离开的时间和地点。
( 4) 管理界面: 管理一个防火墙的方法一般来说有两种: 图形化界面和命令行界面, 我们选择为通过 web 方式和 java 等程序编写的图形化界面进行远程管理。
( 5) 内容过滤: 面对当前互联网上的各种有害信息, 我们的防火墙还增加了 URL 阻断、 关键词检查、 Java Ap- ple、 ActiveX 和恶意脚本过滤等。
( 6) 防火墙的性能考虑: 防火墙的性能对于一个防火墙来说是至关重要的, 它决定了每秒钟可能通过防火墙的最大数据流量, 以 bps 为单位, 从几十兆到几百兆不等。
千兆防火墙还会到达几个 G 的性能。
要充足进行性价比的考虑。
( 7) 用户认证: 要建立完善的用户认证机制, 可以指定内部用户必需通过认证, 方可访问不可信网络。
防火墙可以限定只有授权用户可以通过防火墙进行一些有限制的活动, 可以使用内建用户数据库、 外部 Raduis 数据库或 IP/ MAC 绑定等多种认证方式, 对于内部网络的安全又多了一层保障。
产品选择: CiscoPIX515 防火墙
产品特点:
CiscoPIX515 是业界性能最高的防火墙之一。
这种防资料内容仅供参考,如有不足或者侵权,请联系本人删除。
火墙模块基于 PIX 技
术, 运行 PIX 操作系统, 是一种实时的嵌入式强化系统, 可以消除安全漏洞和性能降级损耗。
假如拓扑图如下( 图中防火墙左面为内网, 右面为外网, 设臵图中防火墙左口为 e1 口、 右口为 e0 口, 路由器的左口为 f0/ 1, 右口为f0/ 0.) :
要求: ( 1) 对防火墙、 路由器进行基本的命令配臵, 使得内网的所有机器能访问外网。
( 2) 所有内网的主机出口使用防火墙对外的全局地址 202.161.1.2( 3) 所有的外网的主机只能访问内网的 IP 地址为192.168.1.10 的主机, 此主机对外公开地址为 202.161.1.5, 答应对此主机进行 www、 ftp。
其中 防火墙的配臵:
设臵端口安全级别:
nameif e0 outside sec0
nameif e1 inside sec100
设臵端口参数:
interface e0 auto
interface e1 auto
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
配臵内外网的 IP 地址:
Ip add outside 192.168.3.1
Ip add inside 192.168.2.2
设臵指向内外网的静态路由:
Nat (inside) 1 0 0
Global
(outside) 1 202.161.1.2
Route outside 0.0.0.0 0.0.0.0 192.168.3.2
拓扑图如下:
Si Si办公教学网络海甸主校区(3.0万学生)H3C 12508教育网400-1000M公共应用平台、数据库公网学生宿舍网络教工区网络S7506H3C S3600200-1000M (相距150公里)10000M1000M 1000M100M 100M计费网关Si SiSi Si路由器Si SiSi Si Si Si100-200M (相距15公里)1000MSi SiSi Si公网儋州校区网络中心H3C9508100M儋州校区(1.0万学生)办公教学网络1000M学生宿舍网络2000M3928P-SI路由器计费网关Si Si6506R教工宿舍网络(电信ADSL)城西校区(0.5万学生)Si Si城西校区网络中心6506R办公教学网络教工学生宿舍网络(电信LAN)3928P-SI100M 100M1000MSi Si200-500M
VPN
什么是 VPN?
虚拟专用网络( Virtual Private Network , 简称 VPN)指的是在公用网络上建立专用网络的技术。
定义为通过一个公用网络( 一般是因特网) 建立一个临时的、 安全的连接, 是一条穿过混乱的公用网络资料内容仅供参考,如有不足或者侵权,请联系本人删除。
的安全、 稳定的隧道。
VPN 属于远程访问技术, 简单地说就是利用公网链路架设私有网络。
VPN----海南大学应用科技学院 VPN 的特点
安全保障: 通过一条隧道, 加密技术对数据进行加密, 以保证数据安全性和私有性。
服务质量保证: 为差别要求用户提供差别等级质量的服务
可扩充性, 灵活性: 支持 Internet 和 Extrane 任何类型的数据流
可管理性: 可以从用户和运营商角度进行管理
VPN 所用的技术: 实现 VPN 作重要的是在公网上建立虚拟信道。
而IP 隧道的建立可以是在第二层链路层。
也可以是在第三层网络层。
第二层主要是 PPP 连接。
如 PPTP, L2TP
第三层是 IPSec。
加解密技术
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
数据通信中一项比较成熟的技术, VPN 可直接利用现有技术进行数据加密解密
密钥管理技术
主要任务是如何在公用数据网上安全的传递密钥而不被窃取
身份认证技术
使用者名称和密码或卡片的认证方式
校园中的 VPN
VPN 应用在外部网络传输控制层
保障学校差别校区之间可靠、 安全、 高速的交换数据以及资源信息的共享。
降低网络搭建成本, 简化管理。
设计方案
当前实现 VPN 主要有两种方式: IPSec VPN 和 SSL VPN
假如只是想实现高效差别校区之间网络到网络的连接, 可以选择IPSec VPN
假如想实现终端到站点之间的传输可以选择 SSL VPN
各校区和主校区之间通过专线连接。
而每个校区都通过路由器连接到具有 VPN 功能的防火墙。
而路由器还有专门的 VPN 隧道和防火墙相连。
防火墙连接到外面的 Internet。
同时校园网还连接至外面的教育科研网中。
这样校外的老师和出差的老师都可以通过 VPN访问校园网, 还可以访问校内图书馆资源, 内部教务信息
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
VPN----海南大学应用科技学院Si Si办公教学网络海甸主校区(3.0万学生)H3C 12508教育网400-1000M公共应用平台、数据库公网学生宿舍网络教工区网络S7506H3C S3600200-1000M (相距150公里)10000M1000M 1000M100M 100M计费网关Si SiSi Si路由器Si SiSi Si Si Si100-200M (相距15公里)1000MSi SiSi Si公网儋州校区网络中心H3C9508100M儋州校区(1.0万学生)办公教学网络1000M学生宿舍网络2000M3928P-SI路由器计费网关Si Si6506R教工宿舍网络(电信ADSL)城西校区(0.5万学生)Si Si城西校区网络中心6506R办公教学网络教工学生宿舍网络(电信LAN)3928P-SI100M 100M1000MSi Si200-500M防火墙防火墙Si Si路由器 VPN 服务器配臵
在服务器上右击, 选择配臵启用路由和远程访问
进入配臵向导, 在公共设臵中选择虚拟专用网络服务器
远程客户协议对话框中选择 TCP/ IP 协议选下一步
这一步会选择一个服务器所使用的 Internet 连接, 可以选已建立好的拨号连接或通过制订网卡进行连接, 按下一步
这一步回答你如何对远程客户机分配 IP 地址, 除非你安装 DHCP 服务器, 否则选择指定一个 IP 地址的范围
根据提醒选择你要分配给客户机的 IP 地址( 此 IP 地址要和服务器的IP 地址在同一个网段)
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
最后选择“ 不, 我现在不想设臵此服务器的 RADIUS” 即可完成最后的设臵
VPN 客户端配臵
在开始—附件—通讯, 选择新疆连接向导
点击下一步
选择“ 建立一个您的工作位臵的网络连接”
选择“ 虚拟专用网络连接” , 单击下一步
为连接输入一个名字“ xxx” , 单击下一步
选择不拨此初始连接, 单击下一步
输入连接设备服务器的 IP 地址, 单击完成
双击刚建立的“ xxx” 连接, 在连接窗口中选择属性
选择安全属性页, 选择高级( 自定义设臵) , 单击设臵
在“ 数据加密” 中选择“ 可选加密” ( 没有加密也可以连接)
在“ 答应这些协议” 选中“ 质询握手身份验证协议( CHAP) ” 单击确定
选择“ 网络” 属性页, 在 VPN 类型选择“ L2TP VPN”
确定“ Internet 协议 TCP/ IP” 被选中
单击确定, 保留所做的修改
防病毒:
一、
防病毒服务器:
首先选择 ServerProtect 软件特点: 集中式网域管理、 三层式结构执行远程管理、 实施扫描、 病毒代码更新、 工作管理导向作业、 资料内容仅供参考,如有不足或者侵权,请联系本人删除。
病毒活动记录汇报、 病毒事件的通知、 内建完整的说明功能
在网络中心增加一台服务器, 预装 windows 20XX server, 并在服务器上安装 ServerProtect 的信息服务器及管理控制台, 作为ServerProtect 的管理中心, 从管理控制台在每一台服务器上安装ServerProtect 的标准服务器防毒墙
具体配臵:
1、 配臵下载源——一般把“ 趋势科技更新服务器” 设臵为下载源
2、 配臵预设下载——将下载频率设为“ 天天”
3、 配臵通知信息——配臵通知类型, 并发送给谁
4、 配臵扫描设臵——分为实时扫描、 立即扫描、 预设扫描
通过 ServerProtect 的不熟, 有用的保护校园网中的关键服务器受到病毒入侵, 今儿切断了病毒通过服务器在校园网中的传播
二、
客户机安装网络版防毒软件:
首先选择 OfficeScan: 针对企业网络环境设计, 提供企业用户网络客户机的病毒防护工作, 安装也企业中的一台防病毒服务器, 可通过浏览器进行所有的设定及配臵, 可以通过网络为没太计算机安装客户端, 无须在客户端操作, 简单方便, 提供实时病毒防护及监控能力
在网络中心的防病毒服务器上安装防病毒网络版的服务器和控制端, 通过“ 客户机打包程序” 和 WEB 页面等方法安装校园内的客户机。
具体配臵:
启动手动组织爆发
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
客户机管理: 设臵扫面选项( 实时、 手动、 预设扫描和例外文件设臵) 、 设臵权限
服务器管理: 设臵密码、 设臵警报
设臵更新( 服务器更新、 客户机更新)
另: 宿舍客户机也可以自行选择网络版防毒软件, 如 360、 瑞星、 金山等等
上网行为管理、
用户审计系统
上网行为管理产品及技术是专用于防止非法信息恶意传播, 避免国家机密、 商业信息、 科研成果泄漏的产品; 并可实时监控、 管理网络资源使用情况, 提高整体工作效率。
上网行为管理产品系列适用于需实施内容审计与行为监控、 行为管理的网络环境, 特别是按等级进行计算机信息系统安全保护的相关单位或部门。
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
标准功能:
上网人员管理
上网身份管理: 利用 IP/ MAC 识别方式、 用户名/ 密码认证方式、 与已有认证系统的联合单点登录方式正确识别确保上网人员正当性
上网终端管理: 检查主机的注册表/ 进程/ 硬盘文件的正当性, 确保接入企业网的终端 PC 的正当性和安全性
移动终端管理: 检查移动终端识别码, 识别智能移动终端类型/ 型号, 确保接入企业网的移动终端的正当性、
上网地点管理: 检查上网终端的物理接入点, 识别上网地点, 确保上网地点的正当性
上网浏览管理
搜索引擎管理: 利用搜索框关键字的识别、 记录、 阻断技术, 确保上网搜索内容的正当性, 避免不妥关键词的搜索带来的负面影响。
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
网址 URL 管理 : 利用网页分类库技术, 对海量网址进行提前分类识别、 记录、 阻断确保上网访问的网址的正当性。
网页正文管理: 利用正文关键字识别、 记录、 阻断技术, 确保浏览正文的正当性
文件下载管理: 利用文件名称/ 大小/ 类型/ 下载频率的识别、 记录、 阻断技术确保网页下载文件的正当性
.
上网外发管理
一般邮件管理: 利用对 SMTP 收发人/ 标题/ 正文/ 附件/ 附件内容的深度识别、 记录、 阻断确保外发邮件的正当性
WEB 邮件管理 : 利用对 WEB 方式的网页邮箱的收发人/ 标题/ 正文/ 附件/ 附件内容的深度识别、 记录、 阻断确保外发邮件的正当性
网页发帖管理: 利用对 BBS 等网站的发帖内容的标题、 正文关键字进行识别、 记录、 阻断确保外讲话论的正当性
即时通讯管理: 利用对 MSN、 飞信、 QQ、 雅虎通等主流 IM 软件的外发内容关键字识别、 记录、 阻断确保外讲话论的正当性
其它外发管理: 针对 FTP、 Telnet 等传统协议的外发信息进行内容关键字识别、 记录、 阻断确保外发信息的正当性
.
上网应用管理
上网应用阻断: 利用不依靠端口的应用协议库进行应用的识别和阻断
上网应用累计时长限额: 针对每个或多个应用分配累计时长、 一天资料内容仅供参考,如有不足或者侵权,请联系本人删除。
内累计使用时间到达限额将自动终止访问
上网应用累计流量限额: 针对每个或多个应用分配累计流量、 一天内累计使用流量到达限额将自动终止访问
.
上网流量管理
上网带宽控制: 为每个或多个应用设臵虚拟通道上限值, 对于超过虚拟通道上限的流量进行丢弃
上网带宽保障: 为每个或多个应用设臵虚拟通道下限值, 确保为关键应用保留必要的网络带宽
上网带宽借用: 当有多个虚拟通道时, 答应满负荷虚拟通道借用其它空闲虚拟通道的带宽
上网带宽平均: 每个用户平均分配物理带宽、 避免单个用户的流量过大抢占其它用户带宽
上网行为分析
上网行为实时监控: 对网络当前速率、 带宽分配、 应用分布、 人员带宽、 人员应用等进行统一展现
上网行为日志查询: 对网络中的上网人员/ 终端/ 地点、 上网浏览、 上网外发、 上网应用、 上网流量等行为日志进行精准查询, 正确定位问题
上网行为统计分析: 对上网日志进行归纳汇总, 统计分析出流量趋势、 风险趋势、 泄密趋势、 效率趋势等直观的报表, 便于管理者全局发明潜在问题
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
.
上网隐私保护
日志传输加密: 管理者采纳 SSL 加密隧道方式访问设备的当地日志库、 外部日志中心, 防止黑客窃听
管理三权分立: 内臵管理员、 审核员、 审计员账号。
管理员无日志查看权限, 但可设臵审计员账号; 审核员无日志查看权限, 但可审核审计员权限的正当性后才开通审计员权限; 审计员无法设臵自己的日志查看范围, 但可在审核员通过权限审核后查看规定的日志内容
正确日志记录: 所有上网行为可根据过滤条件进行选择性记录, 不违规不记录, 最小程度记录隐私
设备容错管理
死机保护: 设备带电死机 /
断电后可变成透明网线, 不影响网络传输。
一键排障: 网络闪现故障后, 按下一键排障物理按钮可以直接定位故障是否为上网行为管理设备引起, 缩短网络故障定位时间
双系统冗余: 提供硬盘+ Flash 卡双系统, 互为备份, 单个系统故障后依旧可以保持设备正常使用。
风险集中告警
告警中心: 所有告警信息可在告警中心页面中统一的集中展示
分级告警: 差别等级的告警进行区分排列, 防止低等级告警淹没关键的高等级告警信息。
告警通知: 告警可通过邮件、 语音提醒方式通知管理员, 便于快速发资料内容仅供参考,如有不足或者侵权,请联系本人删除。
明告警风险。
数据备份系统
数据备份是容灾的基础, 是指为防止系统闪现操作失误或系统故障导致数据丢失, 而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。
传统的数据备份主要是采纳内臵或外臵的磁带机进行冷备份。
但是这种方式只能防止操作失误等人为故障, 并且其恢复时间也很长。
随着技术的不停发展, 数据的海量增加, 不少的企业开始采纳网络备份。
网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。
重要性:
计算机里面重要的数据、 档案或历史纪录, 不管是对企业用户还是对个人用户, 都是至关重要的, 一时不慎丢失, 都会造成不可估量的损失, 轻则辛劳积累起来的心血付之东流, 严重的会影响企业的正资料内容仅供参考,如有不足或者侵权,请联系本人删除。
常运作, 给科研、 生产造成巨大的损失。
为了保障生产、 销售、 开发的正常运行, 企业用户应当采纳先进、 有用的措施, 对数据进行备份、 防范于未然。
备份方式:
定期磁带; 数据库; 网络数据; 远程镜像;
好用设备:
备份离不开存储设备和介质。
当前, 可以用来备份的设备很多, 除软盘、 当地硬盘外, CD- R、 CD- RW 光盘、 Zip 磁盘、 活动硬盘、 移动存储设备以及磁带机等都可以很方便地买到。
此外, Internet还给用户提供了网络备份的新途径, 特别是一些免费空间很值得我们予以关注。
软盘是最常见的备份介质。
不过, 软盘容量很小, 备份少量数据尚勉强可为, 对大量数据则无能为力。
再则, 软盘安全性差、 轻易损坏, 专业备份不值得考虑。
光盘是不错的备份介质, 它容量大、 便于保管和携带, 安全性也较高, 是死备份的唯一选择。
产品选择:
Symantec 作为全球领先的存贮备份管理软件厂商, 旗下的 Backup Exec 和 Netbackup 两款备份产品解决方案可认为企业各种环境架构下的应用系统数据提供可靠的备份管理和数据安全保障。
产品特点:
Backup Exec 软件是一种多线程、 多任务的存储管理解决方案, 专资料内容仅供参考,如有不足或者侵权,请联系本人删除。
为在单一的或多节点的 Windows Servers(包含 windows
/
)企业环境中进行数据备份、 恢复、 灾难恢复而设计, 适用于 Windows servers 以及简单异构的企业网络; 在全球数据备份软件市场的占有率高达 56%, 并在各种性能评测中远远领先于对手产品。
NetBackup 是 Symantec 公司的企业级备份管理软件, 它致力于解决网络上大、 中、 小型服务器和工作站系统上的数据备份、 归档及灾难恢复问题; NetBackup 支持 UNIX、 Windows 和 Netware混合环境提供了完整的数据保护机制, 针对 Oracle、 SAP R/ 3、 Informix 、 Sybase 、 Microsoft SQL Server 和 Microsoft Exchange Server 等数据库提供了备份和恢复的解决方案。
具有保护企业中从工作组到企业级服务器的所有的数据的能力。
产品配臵:
Symantec Backup Exec 12D 产品配臵架构
Backup Exec 12D for Windows Servers 备份软件可以作为一台独立服务器保护自身的重要数据, 也可认为网络上其它的远程客户端可能服务器提供全面的数据保护。
备份软件系统的核心部分- -
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
Backup Exec for Windows Servers 可以安装到广泛的 Windows 各个版本的操作系统上, 包含 Windows Server
/
、 Windows Storage Server
以及 Windows Small Business Server 标准版和高级版。
丰富的数据库备份选件和客户端可以有用地扩展 Backup Exec 的功能, 从而满足差别应用对增长和升级存储管理能力的需求。
关于 Windows 服务器的系统保护, 可以采纳 Symantec Backup Exec System Recovery 产品;
BESR 8.5 是作为 Windows 系统恢复领域的金牌标准, 可以在数分钟( 而非数小时或数天) 之内恢复系统, 甚至可以将系统恢复至差别的硬件或虚拟环境。
现在包含增强的 Microsoft Exchange、 虚拟和数据恢复功能, 以及可以简化管理的集中式管理。
客户备份环境分析:
客户的备份网络中, 主要保护的服务器为 Windows 平台, 备份的服务器有文件服务器、 AD 域服务器、 SQL 数据库服务器等
备份系统网络结构设计:
在网络备份的基础上, 我们建议建立一个专用的备份网络。
配臵很简单, 因为每台服务器缺省已经配臵 2 个以上的以太网卡。
我们指定其中一个网卡作为专用的备份连接, 通过一个千兆的以太网网络交换机组成一个专用的备份网络。
这样的备份的时候数据通过备份网络直接传输到备份服务器, 而不需要占用公网的网络带宽, 并且备份速度更快。
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
还有, 我们建议采纳基于网络的多级备份架构实现高速的磁盘备份。
数据首先备份到备份服务器上, 然后在空闲的时候再迁移到磁带机上做为长期的数据保留。
磁盘和磁带相结合的备份, 既可以实现高速的存贮备份, 也可以实现数据长期保留的需要。
主页防篡改
网站被篡改的原因:
客观原因:
操作系统和应用的复杂性, 导致系统漏洞的层出不穷。
虽然有防火墙、 入侵检测, 但是这些产品都是基于特定端口的, 无法理解协议的具体内容
主观原因:
网站建设与保护措施建设差别步
还有些网站在接到汇报后可以恢复, 但并没有根除安全隐患, 从而遭到多次篡改
网页防篡改技术:
外挂轮巡技术: 利用一个网页读取和检测程序, 以轮巡方式读出要监控的网页, 与真实网页相比较, 来判定网页内容的完整性, 对于被篡改的网页进行报警和恢复。
核心内嵌技术: 篡改检测模块内嵌于 WEB 服务器软件, 在每一个网页流出时进行完整性检查
事件触发技术: 使用操作系统的文件系统/ 驱动程序接口, 网页文件被修改时进行正当性检查
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
产品选择: 鹰眼主页防篡改软件
产品特点: 鹰眼主页防篡改系统采纳先进的核心驱动技术, 其篡改检测模块运行于操作系统核心, 与操作系统无缝结合。
拦截对被保护的对象的非法篡改行为事件, 进行阻断处臵, 由于鹰眼主页防篡改系统采纳了先进、 高校的算法, 所以能实时、 有用地确保每个网页的真实性。
鹰眼防篡改系统由主机监控端、 管理服务器、 管理终端三部分组成。
主机监控端安装于被保护的 WEB 服务器之上。
主机监控端与WEB 服务器同步启动, 保证 WEB 服务器可以随时得到保护。
管理服务器是整个系统的中枢, 所有的管理功能和数据均在管理服务器上实现, 管理服务器是管理终端和主机监控端的桥梁。
管理终端安装于用户的工作用机上, 为用户提供远程管理操作
通过部署主页防篡改软件, 有用的监控网站网页是否被恶意修改、 删除, 并能在最短的时间内采纳恢复措施, 有用保证数据的完整性和真实性。
校 园 网 络 系 统 安 全 管 理 制 度
第 一 章
总
则
第一条 为了保护校园网络系统的安全、 促进学校计算机网络的应用和发展、 保证校园网络的正常运行和网络用户的使用权益, 制订 本 安 全 管 理 制 度 。
第 二 条
本管理制度所称的校园网络系统, 是指由学校投资购买、 由网络资料内容仅供参考,如有不足或者侵权,请联系本人删除。
与信息中心负责维护和管理的校园网络主、 辅节点设备、 配套的网络线缆设施及网络服务器、 工作站所构成的、 为校园网络应用及服务的硬件、 软件的集成系统。
第三条 校园网系统的安全运行和系统设备管理维护工作由网络与信息中心负责, 网络与信息中心可以委托相关单位指定人员代为管理子节点设备。
任何单位和个人, 未经校园
网负责单位同意、 不得擅自安装、 拆卸或改变网络设备。
第四条 任何单位和个人、 不得利用联网计算机从事危害校园网及当地局域网服务器、 工作站的活动, 不得危害或侵入未授权的( 包含 CERNET 或 其 它 互 联 网 在 内 的 ) 服 务 器 、 工 作 站 。
第 二 章
安 全 保 护 运 行
第五条 除校园网负责单位, 其它单位或个人不得以任何方式试图登陆进入校园网主、 辅节点、 服务器等设备进行修改、 设臵、 删除等操作; 任何单位和个人不得以任何借口盗窃、 破坏网络设施, 这些 行 为 被 视 为 对 校 园 网 安 全 运 行 的 破 坏 行 为 。
第六条 校园网中对外公布信息的 WWW 服务器中的内容必需经各单位领导审核, 由单位负责人签署意见后, 交办公室审核立案后, 由网 络 与 信 息 中 心 从 技 术 上 开 通 其 对 外 的 信 息 服 务 。
第七条 校园网各类服务器中开设的帐户和口令为个人用户所拥有, 网络与信息中心对用户口令保密, 不得向任何单位和个人提供这些 信 息 。
第八条 网络使用者不得利用各种网络设备或软件技术从事用户资料内容仅供参考,如有不足或者侵权,请联系本人删除。
帐户及口令的侦听、 盗用活动, 该活动被认为是对网络用户权益的侵 犯 。
第九条 校园内从事施工、 建设, 不得危害计算机网络系统的安全 。
第十条 校园网主、 辅节点设备及服务器等发生案件、 以及遭到黑客攻击后, 校园网负责单位必需在二十四小时内向校保卫部门及公安 机 关 汇 报 。
第十一条 严禁在校园网上使用来历不明、 引发病毒传染的软件; 对于来历不明的可能引起计算机病毒的软件应使用公安部门推荐的杀 毒 软 件 检 查 、
杀 毒 。
第十二条 任何单位和个人不得在校园网及其联网计算机上传送危害国家安全的信息(包含多媒体信息)、 录阅传送淫秽、 色情资料 。
第 十 三 条
校园网及子网的系统软件、 应用软件及信息数据要实施保密措施。
信息资源保密等级可分为: ( 1) 可向 Internet 公开的; ( 2) 可向校内公开的; ( 3) 可向本单位公开的; ( 4) 可向相关单位或个人公开的; ( 5) 仅 限 于 本 单 位 内 使 用 的 ; ( 6) 仅 限 于 个 人 使 用 的 。
第十四条 对所有联网计算机及上网人员要及时、 正确登记立案。
多人共用计算机上网的各级行政单位、 教学业务单位上网计算机的使用要严格管理, 部门负责人为网络安全负责人。
学校公共机房一律不准对社会开放, 上网人员必需出示学生证、 教师证, 机房工资料内容仅供参考,如有不足或者侵权,请联系本人删除。
作人员记录上网人员身份和上下网时间、 机号、 机器 IP 地址。
公共 机 房 使 用 网 络 的 记 录 要 保 持 一 年 。
第十五条 校园网负责单位必需落实各项管理制度和技术规范, 监控、 封堵、 清除网上有害信息。
为了有用地防范网上非法活动, 校园网要统一出口管理、 统一用户管理, 进出校园网访问信息的所有用户必需使用校园网负责单位设立的代理服务器、 Email 服务器。
未经校网络安全领导小组批准, 各单位一律不得开设代理服务器、 Email 服 务 器 。
第十六条 经学校网络安全领导小组批准开设的服务器必需保持日 志 记 录 功 能 , 历 史 记 录 保 持 时 间 不 得 低 于 6 个 月 。
第 三 章
违 约 责 任 与 处 罚
第 十 七 条
违反第五条及第十二条规定的行为一经查实, 将向学校国家安全领导小组及保卫部门汇报, 视情节给予相应的行政纪律处分; 造成重大影响和损失的将向市公安部门汇报, 由个人依法负担相关责任。
第十八条 违反第八条规定的侦听、 盗用行为一经查实, 将提请学校给予行政处分, 并在校园网上公布; 对她人造成经济损失的, 由本人加倍赔偿受害人损失, 关闭其拥有的各类服务帐号; 行为恶劣、 影响面 大 、 造 成 她 人 重 大 损 失 的 , 将 向 公 安 部 门 报 案 。
第十九条 有意传播或制造计算机病毒, 造成危害校园网系统安全的按《 中华人民共和国计算机信息系统安全保护条例》 中第二十三条的规定予以处罚。
资料内容仅供参考,如有不足或者侵权,请联系本人删除。
扩展阅读文章
推荐阅读文章
致富创业网 www.csyzzm.com
Copyright © 2002-2018 . 致富创业网 版权所有 湘ICP备12008529号-1