清华中学。
网络改造规划方案。
重庆天融信。
2011年5月。
文档说明。本文档所涉及到的文字、图表等,仅限于天融信公司及被呈送方内部使用,未经天融信网络安全技术****书面许可,请勿扩散到第三方。
版本控制。分发控制。
目录。1. 网络现状分析 4
1.1. 现状描述 4
1.2. 网络存在问题 5
2. 本次建议规划原则 5
2.1. 需求、风险、代价平衡的原则 5
2.2. 综合性、整体性原则 6
2.3. 一致性原则 6
2.4. 易操作性原则 6
2.5. 分步实施原则 6
2.6. 多重保护原则 7
2.7. 可评价性原则 7
2.8. 可扩展性原则 7
2.9. 先进性原则 7
2.10. 管理为本原则 7
2.11. 合理规划、分步实施原则 7
3. 规划设计 8
3.1. 网络改造建议 8
3.1.1. 改造拓扑 8
3.1.2. 改造说明 8
3.2. 建全各项管理规章制度 10
3.2.1. 机房管理 10
3.2.2. 计算机病毒防范制度 11
3.2.3. 数据保密及数据备份制度 11
3.2.4. 网络安全管理员的职责 12
4. 推荐产品清单 12
重庆清华中学局网络建设完成已经于2003年完成,经过七八年的逐步建设完善、运行,基本保证了网络的运行。
图1-1 清华中学网络现状简图。
如图1-1,网络现状如下:
学校通过电信30m光纤接入互联网,巴南区教育城域网没有使用;
学校网络分为【学生区】与【教师区】;【学生区】主要包含学生机房,通过机房接入交换机连接到网络机房,并通过一台学生区专用防火墙接入internet;【教师区】网络与【学生区】网络类似,只是【教师区】包含服务器,与【学生区】使用不同的防火墙连接入internet;
【学生区】与【教师区】最终通过一台交换机接入互联网;
网络中包含一台3层交换机,但是没有使用三层功能,整个网络没有进行vlan划分;
网络设备经过多年逐次添加,布线混乱。
对于一套对网络可靠性、安全性要求较高的学校网络系统,存在以下安全问题:
没有通过划分vlan对关键应用(如服务器群)或关键终端进行二层隔离,使整个网络良好运行受到广播风暴、arp病毒的威胁;
网络防火墙(包括【学生区】与【教师区】)部署于2003年,根据测试,设备已经超负荷运行、功能相对简单,不能满足保护整个网络安全需要;
网络结构需要优化:当前网络没有主干链路、vlan的概念,给网络管理、网络排错、网络维护带来极大的困扰;
在攻击、网络病毒、蠕虫等网络威胁日益严重的今天,整个网络缺乏入侵防御、网络防毒体系,使得整个网络极易受到来自互联网的威胁;
服务器群没有进行重点保护:服务器群可能遭受外部或者内部的攻击威胁;
网络流量没有良好的控制手段,互联网资源不能得到合理分配;
机房布线不规范,不仅影响美观,更重要是严重影响故障查找与管理;
无论对于任何形式的信息系统,绝对的信息安全都是难以达到的,而且在一定程度上也是没有必要的。对于一个具体的信息系统进行实际的调查研究(包括目标目的、阶段任务、性能、架构、可靠性、可维护性等),并对该系统面临的威胁及可能承担的安全风险进行定性与定量相结合的分析,然后制定满足实际需求的规范和措施,,确定符合实际信息系统风险成本花费的安全策略。
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。
即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。
因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
由于网络安全是动态的,虽然现在的方案解决了目前安全,但是随着时间的变化,原有的网络安全解决方案可能满足不了其需求,这时就需要对原有的网络解方案进行升级,所以现有的网络解决方案应该是具有可扩展性。
采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系,使新建立的系统能够最大限度地适应今后的业务发展变化需要。
安全技术是静态,而解决网络信息安全却是一个动态的过程,只有好的安全管理才能保证安全技术得到正确、合理和及时的使用。三分技术,七分管理就是这样来的。
一个完整的网络安全解决方案不可能在很短的时间全部实施完成,需要对整个安全建设过程进行合理的规划。根据清华中学网络现状,有步骤的分步实施。
根据【网络现状分析】与【规划原则】,本次改造建议的主要内容是:
规范网络结构(包括结构改造与vlan划分等工作);
网络主干链路保护、关键区域保护;
网络入侵防御系统部署;
网络防毒部署;
机房规范布线。
图3-1 改造建立拓扑示意图。
考虑到原网络中没有统一边界,且原网络防火墙设备老化,在运行中严重超负荷,且功能不足,本次建议首先改造网络边界,采用在网络边界新部署一台天融信多功能网关(以下简称utm),包含防火墙、入侵防御系统、防毒系统、vpn系统、网页过滤系统的功能:通过防火墙细粒度的访问控制策略,有效阻断来自互联网对学校网络的攻击,而且如今防御系统、防毒系统的开启则可以进一步完善整个安全体系。
采用utm设备进行边界隔离和访问控制,制定严格的访问策略,限制未经过许可的访问,从而确保网络的边界安全。utm是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越utm的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可**的、潜在的破坏**入。
将需要对外发布的服务器(如web服务器)部署在utm的dmz区,防止黑客通过服务器攻击学校网络。
通过对边界的改造,有效地保护了整个主干网络;
原网络结构不规范,通过【网络边界】改造一定程度上规范了主干联络,但一个典型的网络主干应该包含一台核心交换机;考虑到学校网络流量不是太大,因此本次建议新部署一台三层交换作为网络核心交换机(或者直接使用现有的锐捷2800)
为实现网络整体安全性,减小广播风暴对整个网络影响,本次升级方案根据用将网络划分为多个vlan:
内部服务器群一个vlan;
每个机房一个vlan;
不同教学楼的教师机可以单独划分vlan。
对于一个网络来说,服务器区域无疑是整个网络的核心保护区。因此应该单独进行保护,考虑到成本问题,本次方案建议在划分服务器vlan后,在服务器群与核心交换机之间部署原有防火墙,以此对防止内网用户对服务器有意、无意的攻击。
将机房线路进行规范捆扎,并进行相应标识。如果有条件,最好使用配线架规范走线。