某某学院网络安全加固方案

某某学院
网络安全加固方案
目录
第一部分：某某学院网络安全加固方案 (3)
◆ 1.1某某学院网络安全的需求分析 (3)
◆ 1.1.1某某学院现有网络状况介绍及加固方案： (3)
◆ 1.1.2某某学院现有网络状况风险分析： (4)
◆ 1.1.2.1现有网络内网病毒防范 (4)
◆ 1.1.2.2内网安全监控 (4)
◆ 1.1.2.3实现网络运营-----防代理、防假冒 (5)
◆ 1.1.2.4针对内网服务器组的安全有效快捷的管理，减轻管理员的工作负担6
◆ 1.1.2.5保证W EB门户网站的安全和正常运行 (8)
1.2网络安全解决方案建议： (9)
产品基础功能 (15)
策略管理 (15)
日志功能 (16)
终端资产管理 (16)
终端用户管理 (16)
报警与响应管理 (17)
主要功能 (17)
终端准入管理 (17)
终端安全防护 (18)
终端行为管理 (20)
系统管理 (21)
系统架构 (22)
执行单元功能 (22)
日志服务功能 (24)
管理单元日志查询 (24)
执行单元实时监控功能 (24)
第一部分：某某学院网络安全加固方案
◆ 1.1 某某学院网络安全的需求分析
◆1.1.1某某学院现有网络状况介绍及加固方案：
随着校园网建设的快速发展，学校对网络的依赖性越来越强，同时，网络应用也是日新月异。

这就给校园网建设提出了网络的安全和可运营性提出了新的要求，在网络安全方面如何能检测预防病毒，网络攻击，实现网络的安全？在运营方面，如何实现灵活运营，如何防止不法用户享用网络资源？保证学校对网络的投入回报？如何实现对网络的应用监控，保证学生在使用的是健康上进的网络？
某某网络科技有限公司针对这些网络建设的迫切需求，组织专门的研发团队，经过不懈的努力推出了高安全、可运营、健康的校园网络。

现网络拓朴图
◆1.1.2某某学院现有网络状况风险分析：
◆ 1.1.2.1 现有网络内网病毒防范
各种类型网站和程序的应用，造成病毒泛滥，形成对网络安全的严重冲击，同时学生经常使用可以移动存储设备在不同的计算上拷贝文件，造成病毒感染。

在整个网络中一旦有一个计算机中了病毒，病毒就会在网络中迅速传播，导致整个网络瘫痪，给校园网络的维护带来极大的麻烦。

杰安网络科技有限公避开提出病毒安全智能点前置的安全方案，即在网络的汇聚三层交换机上实施不同的病毒安全策略。

某某网络科技有限公司通过在交换机机上设置相应的病毒策略，配合某某网络科技有限公司的认证客户端软件，能具体侦测到具体的计算机上是否有病毒。

当交换机侦测到病毒后交换机立即给用户发布信息提示用户杀毒，并启动网络管理员配置的断开该用户的时间程序，比如管理员设定的时间是2小时，在发现有病毒2小时后，开通该用户的网络，再次检测是否有病毒，如果用户已经杀掉病毒，就为他开通。

如果没有杀掉继续关闭，然后以2小时为时间段循环检测，直到病毒被杀掉。

这种策略作到了有病毒的计算机不能使用网络，同时网络中心也知道具体的用户中了病毒，利于网络管理员定位和发现病毒源，保证整个网络无病毒运行。

◆ 1.1.2.2 内网安全监控
某某网络科技有限公司针对当前内网安全薄弱的现实情况，在业内率先推出的能够实现内网个人访问控制和访问跟踪的安全产品。

能把以前防火墙想做的却一直做不到的事做到了，即把出网访问安全控制前移到用户的接入点。

革新了传统的网络安全模式和思维，克服了传统网络"外强中干"的缺陷。

传统的网络监控是通过网络端口镜像或是抓包软件，通过对流过交换机的数据包的分析来确定用户使用网络的情况，这种方式有两个最大的缺点，一是对数据包的分析需要很高的专业知识，一般的人员完成不了。

二是如果发现问题不能自动解决。

某某网络科技有限公司使用极地银河JD-ESMS终端与内网安全管理软件，实现了对网络的即时监控，这些监控包括实时记录电脑工作台的屏幕快照；通过重播器可随
时播放已记录的历史画面。

可自由选择每次记荧幕快照的时间间隔；同时监控一个或多个工作站等多种功能。

同时还具有对用户的控制功能。

包括：只有用户持有USB
密钥和密码才能在指定电脑上网，禁止使用指定的应用程式，禁止或只运行浏览指定的网站，锁定工作站和登出、重启或关闭工作站。

并可以对所监控的数据进分析归类。

某某网络科技有限公司的网络监控在校园网的应用，可以知道学生的上网的情况，及时发现并阻止学生上不健康的网站。

正确引导学生使用网络，确保学生不受不良网络的影响。

1.1.
2.3 实现网络运营-----防代理、防假冒
网络运营实际是对网络用户的管理，在对网络用户的管理现在最好的解决方案是通过认证的方式，只有认证才能使用网络。

在众多的认证方式中，IEEE 802．1x通过对认证方式和认证体系结构进行优化，有效地解决了传统PPPoE和Web／Portal认证方式带来的问题，消除了网络瓶颈，减轻了网络封装开销，降低了建网成本，从而成为当前校园网选型的一个热点。

通过使用802．1x认证协议使校园网简洁高效、容易实现、安全可靠、易于运营。

但传统的802.1x的基本思想是端口的控制，"端口"的概念可以是物理端口，一般是在二层交换机上实现，需要接入的所有交换机都需要支持802.1x协议，才能实现整网的认证。

这种具有对接入层交换机要求高、功能简单、管理不方便等弱点。

某某网络科技有限公司切实分析用户的需要，提出基于客户端的认证方式。

基于客户端的认证方式是指可以基于用户设备的MAC地址、VLAN、IP等实现认证和控制，即无需与物理端口对应，而是基于用户认证控制，一个物理端口上实现多个用户的接入控制。

在接入层的交换设备不需要支持802.1x。

同时能解决传统802.1x无法解决但对于运营是十分重要的一些问题，如果代理、假冒IP和MAC、假冒DHCP SEVER。

1．防代理
目前在校园网网络建设中，利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍，如Wingate、Sygate、Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。

这样学校提供给学生一条上网的线路，就会
给多个学生使用，大大消耗了网络资源，给学校的运营带来很大的损失。

使用三层交换机上的802.1x扩展功能和802.1x客户端，就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源，需侦测出被代理用户和代理服务器之间代理关系，已认证通过的客户端被当作代理服务器使用。

真正做到学校提供一个网络端口只能一个用户上网。

2．专业打假
学生是一个不安分，好奇心强的群体，他们会一方面把学校的网络当作一个实验环境，测试各种网络功能，另一方面，他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。

现在遇到的除了代理外还有假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。

一些活跃的学生用自己的计算机和操作系统配置一个DHCP SEVER，使在网络上的计算机从假冒的DHCP SEVER学习到IP地址，导致合法用户不能学校到的DHCP提供的正确IP地址而无法使用网络资源。

某某网络科技有限公司通过在会聚三层交换机和客户端软件配合，如果发现有假冒的DHCP SEVER，将立即封掉该账户，让他不能享用网络资源。

传统的认证方式一般是通过IP、MAC地址确定物理端口是否合法，在认证端如果收到合法的IP和MAC地址信息就认为这是合法的用户，许多学生就会利用这种方式的弱点，把自己计算机的IP和MAC修改成合法的地址，这样自己就能使用网络资源。

某某网络科技有限公司提出基于客户端的认证方式，认证方式是基于客户端而不是物理端口，假冒的IP和MAC在这里就起不到任何作用。

某某网络科技有限公司针对学校网络安全和运营管理上最弱的环节提出了自己独特的解决方案，这些内部网络安全和防止不法用户的技术在校园网中，将给学校网络带来一个安全和真正可以运营的网络，给学校的维护带来方便，给学校运营带来最大的利润
1.1.
2.4 针对内网服务器组的安全有效快捷的管理，减轻管理员的工作负担
随着各个学校业务的迅速发展，各种业务和经营支撑系统的不断增加，网络规模迅速扩大，原有的由各个系统分散管理用户和访问授权的管理方式，使帐号和口令的
安全性受到了极大影响，造成业务管理和安全之间的失衡。

因此原有的帐号口令管理措施已不能满足企业目前及未来业务发展的要求。

为了解决这种现状，极地银河（北京）信息科技有限公司提出了集中身份管理解决方案，集帐号管理、授权管理、认证管理和综合审计于一体，为企业提供统一框架，整合企业应用系统、网络设备、主机系统，确保合法用户安全、方便使用特定资源。

既能有效地保障合法用户的权益，又能有效地保障支撑系统安全可靠地运行。

在集中身份管理解决方案中，极地银河将访问控制和操作审计部分抽象成内控堡垒主机产品，解决用户网络设备和服务器设备的访问安全问题。

极地银河内控堡垒主机应用目前先进的技术作为支持，对用户的网络设备、服务器等核心资产的常用访问方式，例如Telnet、SSH、ftp等字符终端访问及RDP、XWindow等图形终端访问，通过协议代理的技术进行访问控制和审计，实现对用户行为的控制、追踪、判定，满足企业内部网络对资源安全性的要求。

极地银河内控堡垒主机与同类产品相比有以下特点：
1．管理员和用户都采用WEB方式访问堡垒主机。

用户通过堡垒主机访问资源时，不管是命令字符方式还是图形方式，都通过统一的WEB平台登录。

用户登录堡垒主机后可以看到所有的授权资源列表，做到真正的单点登录。

2．堡垒主机的WEB登陆方式，方便结合各种认证技术，做组合认证，提高访问的安全性。

例如，支持静态口令、证书、智能卡、各种人体特征（指纹、视网膜等）、动态令牌等等。

3．极地银河内控堡垒主机产品从4A解决方案中抽象出来，提供最便捷的4A项目集成方案。

在程序结构上充分考虑到4A项目和非4A项目的使用场景，以先进的体系结构，清晰合理的模块划分实现多种用户场景的适用性。

在4A项目中，极地银河内控堡垒主机放弃帐号、认证、授权的集中管理，只提供执行单元，完成访问控制和操作审计功能；在非4A项目中极地银河将4A的一些理念融合到内控堡垒主机产品中，除提供基础的访问控制和操作审计功能外，还提供精简的帐号、认证、授权集中管理功能。

4．将访问控制配置抽象成四个策略：主机命令策略、访问时间策略、客户端地址策略、访问锁定策略，简化用户的配置和使用。

5．极地银河内控堡垒主机内部提供认证服务器组件，所有对资源的访问都是认证服务器提供的临时会话号，即使会话号被截获，也无法通过此会话号再次访问资源，
提高资源访问的安全性。

6．提供强大的查询体系，可以灵活的按照各种查询条件进行查询统计，查询用户的行为，对于主机命令查询时，一次可以配置多条主机命令。

查询统计的结果方便形成报表。

1.1.
2.5 保证Web门户网站的安全和正常运行
时至今日，Web网站在某种意义上已经代表了一个组织的公开存在，成为包括政府、企业以及教育领域等各类组织最重要的信息发布交流媒体；Web 改变了信息传递、交换的方式；使社会变得更加平等、高效。

随之而来，web 安全问题也就成为了信息安全领域的核心焦点，各种相关的攻击案例和蠕虫木马行为层出不穷，web网站一直是骇客最大的攻击目标。

近年来各类Web 网站安全威胁正在飞速增长，极大地困扰着用户，给组织的信息网络和核心业务造成严重的破坏。

能否及时发现并成功阻止网络黑客的入侵和攻击、保证Web网站的安全和正常运行成为政府、企业等各类组织所面临的重要问题。

Web 网站攻击涉及到从网络到应用及文件层面，从硬件设备到系统服务等多方面的问题，单一的安全技术很难完善的解决问题。

传统防火墙、IPS等设备对于操作系统、Web 服务软件的弱点漏洞、蠕虫、拒绝服务等攻击行为虽然具有防御能力，但是对于面向Web 应用程序的威胁缺乏有效防护；而Web应用防火墙虽然可以有效防范如 SQL注入、跨站脚本、CSRF、文件路径猜测、系统代码执行、会话劫持等等针对网页的攻击，但对面向操作系统漏洞确无计可施。

领信Web 盾作为安氏领信公司自主研发的创新安全产品，主要防护对象是向面向
互联网提供信息服务的Web网站，提供平台安全、数据安全、通信安全、应用安全、运行安全的全方位的保障，它不同于 IPS设备对Web应用有杰出的防护效果；也不同于Web应用防火墙，能够对系统服务漏洞做有效保护，是全新意义上的Web 网站防护产品。

1.2网络安全解决方案建议：
网络安全建议解决方案拓朴图如下：
*推荐产品：金山毒霸企业版
主要功能特点：
全网智能漏洞修复
针对病毒利用系统漏洞传播的新趋势，金山毒霸网络版6.0率先
采用了分布式的漏洞扫描及修复技术。

管理员通过管理节点获取
客户机主动智能上报的漏洞信息，再精确部署漏洞修复程序；其
通过Proxy（代理）下载修复程序的方式，极大地降低了网络对
外带宽的占用。

全网漏洞扫描及修复过程无需人工参与，且能够
在客户机用户未登录或以受限用户登录情况下进行。

浏览器全面防护/金山网盾
金山毒霸网络版6.0提供了可选金山网盾安装的功能，全面防护浏览器。

用户电脑90%的安全威胁来自浏览网页！金山网盾通过对20余种主流网页浏览器进行全面防护，同时百度、google等主流搜索引擎进行保护，更能立即识别假冒购物网站，保护用户账号及财产安全！
数据流杀毒
基于传统的静态磁盘文件和狭义匹配技术，更进一步从网络和数据流入手，极大地提高了查杀木马及其变种的能力。

爆发性病毒免疫
针对网络中流行的具有高爆发性、高破坏性，并且一旦感染难以彻底清除的病毒，金山毒霸专门研发了应对防护技术。

通过金山毒霸网络版6.0的部署，能够彻底对该类型病毒免疫（包括计算机已经感染该类型病毒的情况），例如维金病毒、熊猫烧香病毒、科多兽病毒等。

全网杀毒，多维防护
率先实现每日病毒库实时更新、防毒体系主动实时升级并自动分发、防毒系统抢先在所有病毒之前启动，赢得时间。

金山毒霸网络版6.0的主动升级机制可保证在第一时间获取最新病毒库，并自动分发给网内所有客户机。

而这一切都不需要管理员作任何操作。

即使面对病毒一日出现多个变种，网络体系依然可以有效防御。

防毒胜于杀毒，抢先启动的防毒系统可保障在Windows未完全启动时就开始保护用户的计算机系统，早于一切开机自运行的病毒程序，使用户避免“带毒杀毒”的危险。

抢先式防毒使您赢得时间，让安全领先一步。

分布式防毒体系，防毒从桌面到服务器覆盖到全网每个节点，在空间上不留盲点。

管理员可通过管理节点对全网或指定的客户机发出查杀病毒指
令，以有效遏止病毒疫情爆发，避免网络内病毒交叉、重复感染；
自动检测多途径的病毒源，实时监测各类病毒入侵，全方位体现病毒实时防护。

自动检测多途径的病毒源，实时监测各类病毒入侵，防毒从源头堵起。

自动检测多途径的病毒源，实时监测各类病毒入侵，全方位体现病毒实时防护。

国际领先的“蓝芯”杀毒引擎，全面查杀数万种病毒，支持查杀白名单过滤，支持数十种压缩格式、多重压缩包直接查杀。

核心技术采用国际领先水平的“蓝芯”杀毒引擎，对各类已知、未知病毒、可疑文件、木马以及其它有害程序可全面查杀；6.0版本全面新增支持查杀白名单过滤功能；全面支持DOS、Windows、UNIX等系统下的数十种压缩格式、多重压缩包的查毒；支持ZIP、RAR等压缩格式、UPX加壳文件的包内直接查杀；嵌入协议层的邮件监控，可双向过滤邮件病毒。

易用灵活的部署及管理，为企业量身定做
可移动的Web管理控制台
控制台基于WEB结构开发，管理员无需安装额外的控制软件，就可以在任意一台计算机上轻松管理整个防毒体系，真正实现了“管理无处不在”。

高效的安装部署方式
管理员可以根据企业网络环境采用WEB页面（ActiveX）安装、远程安装、域脚本安装等方式，在较短的时间内完成网络内大量客户端的安装，简单快速地实现整个网络反病毒体系的部署，最大限度贴合网络实际环境。

灵活定制企业级安全策略
通过金山毒霸网络版6.0的管理节点，既可以配置全网统一的安
全策略，又可以将具有不同需求的客户机分配到特定的组，配置具有针对性的组策略。

通过这种灵活的配置方式，管理员可以轻松地定制企业级安全策略。

多样式的帐户管理设置
默认可分配三种管理员权限，超级管理员、普通管理员、只读管理员，并可以按实际需求，手动修改具体权限，可适应企业不同人员权限的划分设置，以保证灵活与安全。

分组管理功能
IP分组和白名单功能，管理员可以利用IP分组功能进行自定义分组操作，让安装后的客户机按照管理员定义的分组规则自动分配到对应的组内，并将所有不符合IP分组规则的客户机将自动分配到默认客户机组中。

启动白名单功能之后，只允许白名单列表范围内的IP连接到本系统中心，在白名单列表范围之外的IP地址都视其为黑名单，拒绝其连接。

多途径报警机制
管理员可以通过SNMP Trap、NT事件日志、Email及Windows信使服务等多种方式接收病毒事件报警，以保证及时应对病毒疫情。

图形化统计病毒信息
图形化的统计页面可以将网络内的病毒分布状况直观地呈现出来，以便于管理员分析网内病毒发展趋势，并采取针对性的措施。

跨平台
支持Windows、Linux等多种平台操作系统，彻底扫除网络反病毒盲点。

随需切换的客户端操作界面
针对不同用户的需求，客户端采用两种操作界面，用户可通过安全状
态界面查看大部分信息并可执行“一键升级”、“一键杀毒”、“一键漏
洞扫描”等常见任务，操作简单方便。

切换到主界面后，高级用户可
进行更为复杂的操作和设置。

2、体系结构
金山毒霸网络版 6.0 是在网络版5.5的基础上开发的，是一套功能和性能更加强大，技术更先进，界面更完善，专为企业级网络环境设计的反病毒安全解决方案，它能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。

金山毒霸网络版6.0实现了集中式配置、部署、策略管理和报告，并支持管理员对网络安全进行实时审核，以确定哪些节点易于受到病毒的攻击，以及在出现紧急病毒情况时采取何种应急处理措施。

网络管理员可以通过逻辑分组的方式管理客户端和服务器的反病毒相关工作，并可以创建、部署和锁定安全策略和设置，从而使得网络系统保持最新状态和良好的配置。

金山毒霸网络版6.0采用了业界主流的B/S开发模式，由系统中心（拥有基于WEB 的系统中心控制台）、服务器端、客户端组成了反病毒安全保障体系。

系统中心：系统中心是金山毒霸网络版6.0进行信息管理和病毒防护
的控制核心。

系统中心基于CORBA与其它子系统（服务器端和客户端）
连接，其它子系统在系统中心控制下完成协同工作。

通过数据库技术，系统中心可以实时记录网络防护体系内每台计算机上的病毒防护信息、防毒设置信息和终端资源信息。

系统中心具有管理配制升级服务器，客户端和服务器端的权限。

同时，系统中心集成了基于WEB方式的控制台，能够集中管理网络上所有已安装过金山毒霸网络版6.0客户端的计算机，保障每个纳入金山毒霸反病毒体系的计算机时刻处于最佳的防病毒状态。

系统中心控制台
系统中心控制台是整个金山毒霸网络版6.0系统设置、使用和控制的操作平台。

它的界面结构友好、直观，符合用户的使用与操作习惯。

系统中心控制台基于WEB结构开发，管理员无需安装额外的控制软件，网络内任何一台装有IE6.0及其以上浏览器的终端都能用来实现对整个网络的管理，真正实现了“管理无处不在”。

升级服务器：升级服务器负责升级文件的更新与传递，还提供MS漏洞修补程序（Hotfix）下载代理。

升级服务器直接从外网更新升级文件，并负责向客户端及服务器端分发，升级服务器与系统中心绑定。

客户端：客户端面向网络中的客户机群提供反病毒安全防护，是金山毒霸网络版6.0反病毒体系的执行终端之一。

它能够实时监控系统的运行与操作，先进的反病毒“蓝芯”引擎确保了能够全面查杀硬盘及驻留系统内存中的病毒、蠕虫以及特洛伊木马，基于病毒行为检测的启发式查杀技术确保您能及时发现出潜在的未知威胁并采取相应安全措施，基于传统的静态磁盘文件和狭义匹配技术，更进一步从网络和数据流入手，极大地提高了查杀木马及其变种的能力。

病毒隔离系统可以将所有不可修复的受病毒感染文件置于受金山毒霸控制的安全区域内，以便您采取数据过滤等进一步处理措施。

邮件防护能够自动监测收发邮件过程，及时发现隐藏其中的病毒。

漏洞扫描技术能够使您的系统彻底杜绝利用漏洞传播攻击的病毒危害，这其中就包括冲。