数字化校园安全体系实施方案

数字化校园安全体系实施方案
2006年9月
目录
1．防御入侵——电脑病毒防护 (1)
1．1实现目标 (1)
1．2实施原则 (1)
2．主动监测——网络监控与入侵检测 (4)
2．1现状分析 (4)
2．2具体技术要求 (5)
2．3入侵检测系统实施方案 (6)
3．数据恢复——数据的备份 (7)
3．1需要数据备份的原因 (7)
3．2实施原则 (8)
3．3具体技术要求 (9)
作为数字化校园建设的一个重要组成部分，安全体系的构建对数字化校园建设的成败起着决定性的作用。

为了保障数字化校园的正常运行，我们从三个方面来实施安全体系的构建方案：防御入侵、主动监测和数据恢复。

1．防御入侵——电脑病毒防护
电脑病毒的威胁永远是电脑安全人员首先要考虑的问题。

全球的病毒攻击数量继续上升，病毒本身变得越来越复杂而且更有针对性，这种新型病毒被称为混合型病毒，混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DOS攻击、遗留后门等等攻击技术综合在一起。

而最近对互联网威胁很大的间谍软件和广告软件，给学校不仅造成网络管理的复杂，同时可能会带给学校无法估计的损失。

混合型病毒的传播速度非常快，其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多，混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。

这个保护战略必须要针对网络中所有可能的病毒攻击设置对应的防毒软件，建立全方位、多层次的立体防毒系统配置，通过在桌面和学校的网络等级集成来提供病毒保护。

1．1实现目标
通过选择国际领先的网络病毒防护产品，为学院网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。

提高学院的病毒防御水平。

1．2实施原则
根据学院网络系统的现状以及系统防毒安全和管理的需要，我们考虑防病毒系统需要遵循以下几条原则：
1．技术和产品的成熟性和稳定性。

充分考虑防病毒产品本身和技术上的成熟性。

网络防病毒产品必须是成熟而且经受大量考验的防病毒产品，在各种操作系统平台
和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。

2．满足需求为第一。

针对企业的具体应用情况，建立满足需求的病毒防护系统。

对整个病毒防御体系进行合理建设，尽量满足各种需求。

3．必须是主动式的，而不是在病毒发生爆发后再作出反应。

针对混合型病毒提供主动保护主要处于以下几个原因，主要是混合病毒传播的速度和它们的破坏程度；
停机时间造成巨大的成本，需要大量的IT资源来清理病毒。

对于混合型病毒必须
要提供主动式的防御。

4．扩展性和可升级性。

可升级能力是衡量防病毒系统是否具有生命力的重要指标。

防病毒软件必须不断及时地升级病毒样本文件和引擎，在功能、性能上都在不断
采用新的技术，保证系统的向前发展。

向用户提供多种病毒特征文件和病毒引擎
的方便的升级方式，保证组织机构的防病毒系统在第一时间内得到升级。

5．可管理性。

对于学院这样比较大的组织机构，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。

防病毒系统
必须提供简化管理的工具，可以在几个集中的点上对整个网络中的客户端和服务
器进行管理，包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分
析整理以及病毒处理方式配置等。

6．易用性。

在学院这样一个大的组织机构中，大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。

这就要求客户端的防
病毒软件必须简单易用，自动化程度高，最好无须用户干预。

防病毒的客户端软
件应当能够自动对病毒实时检测、清除和报告，简化使用的复杂度，结合统一的
控制台，用户几乎不需要知道有防病毒软件的存在。

1．3 实施方案
防病毒产品主要部署于办公区电脑，大约采购200个点的服务，服务器防病毒产品采购20个点的服务，此外还需要采购硬件防火墙4台。

根据以上的实施原则，我们在进行防病毒部署的时候，需要按照以下几点进行。

1．高度集中的管理。

集中管理不仅是针对防病毒产品，要求该产品能够支持网络管理人员在一台服务器上可以控制全院所有的防病毒客户端进行更新、扫描以及相
关技术数据统计，同时也是要求学院的办公电脑要统一安装防病毒产品。

根据计
算机学的木桶原理（一个木桶盛水的多少不是由木桶周围最长的木条决定，而是
由木桶周围最短的木条所决定），统一的防病毒产品的部署能够使学院的病毒防御
达到最优化的效果。

在上一年度趋势防病毒产品的部署中我们可以看到，在报修
电脑中毒的办公电脑中，仅有2台电脑是安装了趋势防病毒产品的，1台是中了
QQ病毒（现趋势公司正在针对国内病毒推出相应的病毒库），1台是在中毒后安
装趋势产品的，其余的电脑要么是没有安装任何防病毒产品，要么是安装其它防病毒产品。

统一的防病毒部署一方面有利于提升电脑的病毒防护能力，另一方面也为网络管理人员的防病毒管理提供了便利。

2．特殊部门特殊防护。

除了对于所有普通的办公电脑进行防病毒产品部署外，对于一些特殊的地点，我们分别采用不同的防护措施。

i.网络中心的服务器群承担着学院所有的网络服务，相应的防病毒部署也采
用服务器级的防病毒产品，同时加上网络管理人员全天候的服务器状态巡
视，可基本保障服务器的运行正常。

ii.对于学院的一些重要部门，例如财务处、教务处等涉及钱财、学生成绩等敏感电脑数据的办公电脑，由于网络管理人员无法时刻掌控电脑的运行状
况，建议部署防病毒客户端后，再采用硬件防火墙为这些部门的电脑与校
园网之间再加多一道安全屏障。

iii.对于学生机房这样的学院教学电脑聚集地，由于所有电脑都采用了电脑还原卡，并且有专业的电脑技术人员进行了防病毒管理，可以基本保障防病
毒安全。

iv.对于学生宿舍这样个人电脑的聚集地，预计今年入网点数将过千。

由于入网点数较多，而且绝大多数学生对于电脑知识都了解甚少，如果不采取一
定的防病毒措施，一旦有大规模的病毒爆发，学生宿舍几乎百分之百将成
为学院病毒传播的发源地。

采取防御措施的话，如果采用学院采购的每年
付费的防病毒产品将大大提高学院教学成本，不大可行。

建议一方面采取
学生宿舍学生管理的方法，由学生管理员从网上下载可用的防病毒产品对
学生宿舍进行部署，并且由电脑协会定期向学生进行防病毒宣传与培训，
提高学生宿舍电脑的防病毒能力；另一方面，在学生宿舍与学院校园网的
接口处一次性投入购置一台较高级的带病毒防御功能的防火墙，这样既可
防御病毒爆发时病毒从学生宿舍向校园网内部传播，也可在一定程度上制
止极少数别有居心的学生由宿舍内部向校园网发起攻击。

3．防病毒产品必须具备技术成熟、运行稳定、反应及时等特点。

i.采用的防病毒产品必须是一个网络版本，支持网络管理员在病毒服务器控
制下属客户端的更新、扫描与技术统计，客户端电脑无须进行任何操作，
只要部署了防病毒产品后即可保证电脑的安全。

ii.采用的防病毒产品必须是值得信赖的、经受过大量考验的产品；在诸如WINDOWS系列操作系统、LINUX系列操作系统等等不同操作系统上都
能够正常运行。

iii.采用的防病毒产品必须尽可能少的占用电脑系统资源，尽可能少的对教师的日常工作产生影响。

在上一年度部署的趋势防病毒产品的使用中，部署
趋势后电脑速度变慢是很多教师反映的一个问题，问题产生的原因是多方
面的。

但是不管如何，这个问题还是在一定程度上制约了趋势防病毒产品
的部署。

iv.采用的防病毒产品必须能在最短时间内对新出现的病毒做出相应的病毒库，能在最短时间提供更新下载，保证学院的整体防病毒能力始终处于一
个较高的水准。

v.采用的防病毒产品最好能够对未知病毒有一整套妥善的处理方案；对于客户端的电脑能够提供一个安全评价，指出客户端电脑安全的不足之处；或
能提供目前防病毒产品的一些其它新技术。

2．主动监测——网络监控与入侵检测
监测主要涉及两个方面，一方面是在现有的网络基础设施上增加摄像枪或者快球对学院财产的物理安全进行保障，另一方面是通过采购入侵检测系统对学院的网络安全进行保障。

2．1现状分析
针对学院网络的特点，目前主要考虑如何解决网络访问方面的安全问题，针对网络边界的防护除了常规性的部署防火墙外，还应该考虑到通过部署网络入侵检测/入侵防御系统来加强网络访问的安全防护级别和突发事件下的响应时间。

网络安全的方法和措施多种多样，本方案主要针对此次网络入侵/防御系统项目。

入侵检测系统是安全系统重要组成部分，可以对网络上进出交换机的数据包进行数据分析，发现含有攻击指令和操作的数据包，保护网络的安全。

提供对内部攻击、外部攻击和误操作的实时保护。

利用高效的智能检测算法，并配置过滤规则知识库，从而能够快速地对通过系统的信息
包进行分析检测，在保障正常网络通信的同时能够有效地阻止黑客的攻击行为或用户的非法操作。

入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事、自动修改防火墙的配置和报警等。

2．2具体技术要求
基于网络入侵检测系统主要要达到以下功能：
●适用于高速环境的多千兆检测：允许在组织内的任何级别，甚至在千兆中枢上执行
操作，保持2Gbps的检测功能，且不会丢弃数据包。

●主动拦截：可以工作在透明模式下，在不改变网络结构的前提下，自动拦截非法的
网络访问，实现主动防御。

●混合检测体系结构：能使用一组检测方法来有效检测攻击和准确识别攻击。

它组合
使用协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS 逃避处
理、数据流策略冲突、IP 地址拆分重组以及自定义增强特征签名描述语言来收集
恶意活动的证据。

●零时间攻击检测：能检测以前未知的攻击和新攻击（在它们发生时检测）。

即“零
时间”检测，可关闭基于特征签名的系统（这些系统可使网络保持公开状态，直到
特征签名发布）中的固有漏洞的窗口。

●实时事件关联和分析：可过滤掉冗余数据而只分析相关信息，从而使得提供的威胁
通知不会出现数据超载，使用跨节点分析在企业内收集信息，从而快速弄清楚趋势
并在相关事件和事故发生时识别它们。

●完整的数据包捕获、会话回放和数据流查询功能：可以按接口配置以在检测到攻
击时捕获整个数据包，这样，就可以快速确定被感染的数据包是可以过滤掉的良性
事件还是要标记下来以进行进一步调查的事件。

自动化响应操作可以启动通信记录
和数据流导出，并且您可以查询现有的或已保存的数据流以及回放已保存的会话以
进一步帮助对安全事件进行穿透型分析。

●主动响应策略：实时包含和控制攻击并且启动事故响应所需的其他操作。

自定义策
略可基于网络内事件的类型和位置立即响应入侵或拒绝服务攻击。

●经济高效的可缩放部署：单个节点可以监控多个段、交换机端口或VLAN。

可以
将每个节点配置为最多监控8 个快速/千兆以太网端口。

●高可用性部署：可以在高可用性(H/A) 配置中部署节点以确保在对于任务非常关
键的环境中持续地检测攻击，且不丢失任何通信或流数据。

●集中式群集管理：可以包括多个群集，每个群集最多包括120 个节点，并且可以
从中央管理控制台安全地对整个群集进行远程管理。

●基于角色的管理：可定义管理用户并为他们分配角色以授予他们各种级别的访问权
限的能力。

始终可为管理用户分配角色，从完全超级用户权限一直到受限用户访问
权限（该权限只允许监控事件而没有数据包检查功能）。

从控制台所做的所有管理
更改会被记录下来，以用于审核。

●企业报告功能：按需提供群集范围内、基于穿透型控制台的报告，这些报告可以使
用文本、HTML 和PDF 格式生成，还可以通过电子邮件进行发送、保存和打印；
可以通过电子邮件发送这些报告或者使用安全副本将其归档到远程计算机。

2．3入侵检测系统实施方案
根据学院网络的情况，目前有两种部署模式可供选取择：
1.集群部署模式
其中入侵检测产品主节点(Master Node)部署在网络中心，其余从节点(Secondary Node)分别部署在各办公区，由管理员对入侵检测系统主服务器配置,然
后通过入侵检测系统的内部通讯机制下发到各个从节点。

优点：集中管理，事件集中汇总，及早发问题
缺点：因为事件集中汇总，可能会占用带宽资源。

2.分布式部署
所有的入侵检测产品都是独立系统，本地管理员维护本地系统，进行策略配置，事件过滤，对特定事件上报。

优点：节约带宽。

缺点：配置复杂，需另外购置入侵检测系统相互认证设备。

两种模式的优点与缺陷都非常明显。

采用前者将有利于管理，节约成本，网络管理员能够及早的发现问题，处理事务；采用后者主要就是可以节约带宽，但是部署所需要的成本上升。

按照目前的学院规模，50M的带宽采用前者，对带宽的影响将不会很大，同时成本要比后者低，但是我们在做方案时也要考虑到将来网络的发展，那么我们可以目前暂时采用集
群式部署，以后到网络发展到一定规模时再进行入侵检测产品节点的添加、改造，将其转换
成分布式部署。

入侵检测方案图如下图1。

3．数据恢复——数据的备份
3．1需要数据备份的原因
每一位计算机前的使用者都会有这样的经验：一但在操作过程中敲错了一个键，我们几
个小时，甚至是几天的工作成果便有可能付之东流。

据统计，80%以上的数据丢失都是由
于人们的错误操作引起的。

遗憾的是，这样的错误操作对人类来说是永远无法避免的。

另一
方面，随着网络的普遍建立，人们更多的通过网络来传递大量信息。

而在网络环境下，除了
人为的错误操作之外，还有各种各样的病毒感染、系统故障、线路故障等，使得数据信息的
安全无法得到保障，我们对网络的大量投资也失去了意义。

在这种情况下，数据备份就成为
日益重要的措施。

边界路由器
SNS
SNS主控端
图1
3．2实施原则
对数据进行备份是为了保证数据的安全性，消除系统使用者和操作者的后顾之忧。

不同的应用环境要求不同的解决方案来适应，一般来说，要满足以下原则：
稳定性
备份产品的主要作用是为系统提供一个数据保护的方法，于是该产品本身的稳定性就变成了最重要的一个方面。

一定要与操作系统100%的兼容。

全面性
在复杂的计算机网络环境中，可能会包括了各种操作平台，如NetWare、Windows NT/2000、UNIX等，并安装了各种应用系统，如数据库、群件系统等。

选用的备份软件，要支持各种操作系统、数据库和典型应用。

自动化
很多单位由于工作性质，对何时备份、用多长时间备份都有一定的限制。

在下班时间系统负荷轻，适于备份。

可是这会增加系统管理员的负担，由于精神状态等原因，还会给备份安全带来潜在的隐患。

因此，备份方案应能提供定时的自动备份，并利用磁带库等技术进行自动换带。

在自动备份过程中，还要有日志记录功能，并在出现异常情况时自动报警。

高性能
随着业务的不断发展，数据越来越多，更新越来越快，在休息时间来不及备份如此多的内容，在工作时间备份又会影响系统性能。

这就要求在设计备份时，尽量考虑到提高数据备份的速度，利用多个磁带机并行操作的方法。

安全性
计算机网络是计算机病毒传播的高速通道，给数据安全带来极大威胁。

如果在备份的时候，把计算机病毒也完整的备份下来，将会是一种恶性循环。

因此，要求在备份的过程中有查毒、防毒、杀毒的功能，确保无毒备份。

操作简单
数据备份应用于不同领域，进行数据备份的操作人员也处于不同的层次。

这就需要一个直观的、操作简单的图形化用户界面，缩短操作人员的学习时间，减轻操作人员的工作压力，使备份工作得以轻松地设置和完成。

实时性
有些关键性的任务是要24小时不停机运行的，在备份的时候，有一些应用可能仍然处于运行的状态。

那么在进行备份的时候，要采取措施，进行事务跟踪，以保证正确地备份系统中的所有数据。

数据备份实施结构图如下图2
图2
3．3具体技术要求
7．要求能够与现有的备份介质兼容，支持IBM、EMC等不同的存储产品。

8．要求立足现有应用及环境实现数据备份对各服务器系统数据及数据库的数据分别集中备份。

9．必须实现数据的无人守值的定时自动备份。

因为手动备份方式只适用于数据量很小的非关键应用领域。

随着数据量的增大，系统管理人员很难管理备份介质。

同
时，当对同一个数据库的容量超过备份介质的容量时，手动备份工作就变成了一
个极其复杂，效率极低、风险很大的工作了。

10．要求备份软件简单易用，对各种应用，如文件、SQL数据库的备份和恢复的策略设置都有专门的向导功能，以便用户在最短的时间内可以将相关的数据保护
起来。

同时，要求备份软件有像基于日历的任务管理，方便查阅每天的备份作业。

11．要求备份软件有试运行的功能，以便备份策略在实施时得到验证和修改
12．要求能够除了普通的备份恢复日志外，更有生成备份恢复及其它相关管理的统计报表/图表的功能，可以将一段时间内备份恢复、备份设备及介质使用等详细进
行详细的统计，并通过图表的方式表现出来。

13．要求对大数据量的文件进行快速和有效的备份
14．要求备份管理软件可以根据需求有各种方法控制备份和恢复对资源的占用。

例如可以定地义备份和恢复的数据流使用服务器的指定网口以减少网络带宽的占
用，通过选项定义防火墙的端口等。

15．要求备份软件可靠，得到微软公司在各个操作平台上的集成及认证,以证明其可靠性和兼容性。

附1：数字化校园安全监控方案
目前学院对于校园资产设备的保障主要是通过保安的人工值守来完成，随着技术的发展和学院规模的扩大，作为对校园安全防卫、校园监控工作的一个有效补充，数字化监控是必然的趋势。

1．实施原则
全范围监控：通过部署监控点，保证学院所有的重要地点都能在监控室内一览无遗。

操作简便：监控的使用者主要是保安部门人员，要求监控系统的操作简便易用，能够很快上手，无需进行特别专业的培训。

控制成本：充分利用校园网基础设施，合理部署监控点，尽量避免不必要的监控点部署。

分级部署：对校园内部治安点进行分级评价，按照重要程度进行监控点的部署，重要级别高的地点部署多个点并采用较好的前端设备，重要级别低的地点部署单个点或采用普通的前端设备。

可拓展：在部署完监控点后，今后能够在有需要的时候，随时方便快捷的部署任何地点的监控点。

2．实施方案
现有的监控模式有两种：模拟信号和数字信号。

模拟信号的监控特点是监控画面清晰但是资金投入大、可拓展性不强；数字信号的监控特点是监控画面没有模拟信号的画面清晰，部署数字化信号监控点需要良好的网络基础，拓展性强，可直接在电脑上观看监视画面，总体投入成本要低于模拟信号监控系统。

根据我院的实际情况，采用数字信号的监控系统将能有效的利用我院良好的网络硬件基础从而节约成本，并且数字信号正在成为目前监控系统的一个主流方向，所以我们的方案建议采用数字信号的监控系统。

网络监控结构图如下图：
按照安全级别的不同，我们将学院的治安点进行了一个简单的排序，依照：办公楼入口——学生机房——多媒体教室——校内周边——学生宿舍。

对监控点的部署按照2步走的计划，先保证办公楼入口、学生机房和多媒体教室，在保证前者部署完毕的情况下，再考虑校内周边和学生宿舍入口的监控点部署。

具体的监控点部署分布如下：
学院各办公楼的监控部署主要是集中在楼梯入口处，分别包括综合楼、教学1、2、3 INTERNET
硬盘录像机
核心交换机
专业监控屏
远程PC 监控
普通交换机
视频服务器
快球
摄像枪
号楼、实训大楼等入口，监控点为25个；
学院多媒体教室有60间左右，里面包括的设备有电脑、投影机等，对每个教室内都部署一个监控点，点数为65个；
学院学生机房有10间，专业实训室10余间，每个房间部署1个监控点，共计25个点总计部署前端监控设备115点
在监控部署完毕后，大门保安可以通过专业的大型分屏监控仪掌控校园内部所有重要的治安点，保安的负责人员可以在办公室通过PC联网接入到监控网络，查看各治安点的实时情况。

同时，由于采用的数字信号是接入校园网络的，所以保安负责人员在得到授权后可以在任何一个能够上网的地点通过普通PC连接INTERNET查看校内的治安点情况。

监控点的部署只是前端设备的的部署，为了发生安全事故时有依据，在后端我们需要布置一个数字监控硬盘录像机，将所有监控点的监控情况保存到录像机的硬盘上，并保留30天，方面日后查询。