数字化校园安全体系实施方案

数字化校园安全体系实施方案

2006年9月

目录

1．防御入侵——电脑病毒防护 (1)

1．1实现目标 (1)

1．2实施原则 (1)

2．主动监测——网络监控与入侵检测 (4)

2．1现状分析 (4)

2．2具体技术要求 (5)

2．3入侵检测系统实施方案 (6)

3．数据恢复——数据的备份 (7)

3．1需要数据备份的原因 (7)

3．2实施原则 (8)

3．3具体技术要求 (9)

作为数字化校园建设的一个重要组成部分，安全体系的构建对数字化校园建设的成败起着决定性的作用。为了保障数字化校园的正常运行，我们从三个方面来实施安全体系的构建方案：防御入侵、主动监测和数据恢复。

1．防御入侵——电脑病毒防护

电脑病毒的威胁永远是电脑安全人员首先要考虑的问题。全球的病毒攻击数量继续上升，病毒本身变得越来越复杂而且更有针对性，这种新型病毒被称为混合型病毒，混合型病毒将传统病毒原理和黑客攻击原理巧妙的结合在一起，将病毒复制、蠕虫蔓延、漏洞扫描、漏洞攻击、DOS攻击、遗留后门等等攻击技术综合在一起。而最近对互联网威胁很大的间谍软件和广告软件，给学校不仅造成网络管理的复杂，同时可能会带给学校无法估计的损失。混合型病毒的传播速度非常快，其造成的破坏程度也要比以前的计算机病毒所造成的破坏大得多，混合型病毒的出现使人们意识必须设计一个有效的保护战略来在病毒爆发之前进行遏制。这个保护战略必须要针对网络中所有可能的病毒攻击设置对应的防毒软件，建立全方位、多层次的立体防毒系统配置，通过在桌面和学校的网络等级集成来提供病毒保护。

1．1实现目标

通过选择国际领先的网络病毒防护产品，为学院网络系统提供一个技术领先、稳定可靠的全方位、多层次病毒立体防御体系，有效抵御各种病毒和混合威胁的攻击。提高学院的病毒防御水平。

1．2实施原则

根据学院网络系统的现状以及系统防毒安全和管理的需要，我们考虑防病毒系统需要遵循以下几条原则：

1．技术和产品的成熟性和稳定性。充分考虑防病毒产品本身和技术上的成熟性。网络防病毒产品必须是成熟而且经受大量考验的防病毒产品，在各种操作系统平台

和服务器平台上都有相应的病毒防范软件的版本并且能够和操作系统紧密结合。

2．满足需求为第一。针对企业的具体应用情况，建立满足需求的病毒防护系统。对整个病毒防御体系进行合理建设，尽量满足各种需求。

3．必须是主动式的，而不是在病毒发生爆发后再作出反应。针对混合型病毒提供主动保护主要处于以下几个原因，主要是混合病毒传播的速度和它们的破坏程度；

停机时间造成巨大的成本，需要大量的IT资源来清理病毒。对于混合型病毒必须

要提供主动式的防御。

4．扩展性和可升级性。可升级能力是衡量防病毒系统是否具有生命力的重要指标。

防病毒软件必须不断及时地升级病毒样本文件和引擎，在功能、性能上都在不断

采用新的技术，保证系统的向前发展。向用户提供多种病毒特征文件和病毒引擎

的方便的升级方式，保证组织机构的防病毒系统在第一时间内得到升级。

5．可管理性。对于学院这样比较大的组织机构，要管理防病毒软件的分发、升级、配置和支持是一个非常难的事，这就要求提供一个方便管理的平台。防病毒系统

必须提供简化管理的工具，可以在几个集中的点上对整个网络中的客户端和服务

器进行管理，包括对病毒特征文件和防病毒引擎的分发升级、报警管理和日志分

析整理以及病毒处理方式配置等。

6．易用性。在学院这样一个大的组织机构中，大部分的使用人员并非计算机专业人员，而且由于业务繁忙，不可能系统学习每一个工具软件。这就要求客户端的防

病毒软件必须简单易用，自动化程度高，最好无须用户干预。防病毒的客户端软

件应当能够自动对病毒实时检测、清除和报告，简化使用的复杂度，结合统一的

控制台，用户几乎不需要知道有防病毒软件的存在。

1．3 实施方案

防病毒产品主要部署于办公区电脑，大约采购200个点的服务，服务器防病毒产品采购20个点的服务，此外还需要采购硬件防火墙4台。

根据以上的实施原则，我们在进行防病毒部署的时候，需要按照以下几点进行。

1．高度集中的管理。集中管理不仅是针对防病毒产品，要求该产品能够支持网络管理人员在一台服务器上可以控制全院所有的防病毒客户端进行更新、扫描以及相

关技术数据统计，同时也是要求学院的办公电脑要统一安装防病毒产品。根据计

算机学的木桶原理（一个木桶盛水的多少不是由木桶周围最长的木条决定，而是

由木桶周围最短的木条所决定），统一的防病毒产品的部署能够使学院的病毒防御

达到最优化的效果。在上一年度趋势防病毒产品的部署中我们可以看到，在报修

电脑中毒的办公电脑中，仅有2台电脑是安装了趋势防病毒产品的，1台是中了

QQ病毒（现趋势公司正在针对国内病毒推出相应的病毒库），1台是在中毒后安

装趋势产品的，其余的电脑要么是没有安装任何防病毒产品，要么是安装其它防病毒产品。统一的防病毒部署一方面有利于提升电脑的病毒防护能力，另一方面也为网络管理人员的防病毒管理提供了便利。

2．特殊部门特殊防护。除了对于所有普通的办公电脑进行防病毒产品部署外，对于一些特殊的地点，我们分别采用不同的防护措施。

i.网络中心的服务器群承担着学院所有的网络服务，相应的防病毒部署也采

用服务器级的防病毒产品，同时加上网络管理人员全天候的服务器状态巡

视，可基本保障服务器的运行正常。

ii.对于学院的一些重要部门，例如财务处、教务处等涉及钱财、学生成绩等敏感电脑数据的办公电脑，由于网络管理人员无法时刻掌控电脑的运行状

况，建议部署防病毒客户端后，再采用硬件防火墙为这些部门的电脑与校

园网之间再加多一道安全屏障。

iii.对于学生机房这样的学院教学电脑聚集地，由于所有电脑都采用了电脑还原卡，并且有专业的电脑技术人员进行了防病毒管理，可以基本保障防病

毒安全。

iv.对于学生宿舍这样个人电脑的聚集地，预计今年入网点数将过千。由于入网点数较多，而且绝大多数学生对于电脑知识都了解甚少，如果不采取一

定的防病毒措施，一旦有大规模的病毒爆发，学生宿舍几乎百分之百将成

为学院病毒传播的发源地。采取防御措施的话，如果采用学院采购的每年

付费的防病毒产品将大大提高学院教学成本，不大可行。建议一方面采取

学生宿舍学生管理的方法，由学生管理员从网上下载可用的防病毒产品对

学生宿舍进行部署，并且由电脑协会定期向学生进行防病毒宣传与培训，

提高学生宿舍电脑的防病毒能力；另一方面，在学生宿舍与学院校园网的

接口处一次性投入购置一台较高级的带病毒防御功能的防火墙，这样既可

防御病毒爆发时病毒从学生宿舍向校园网内部传播，也可在一定程度上制

止极少数别有居心的学生由宿舍内部向校园网发起攻击。

3．防病毒产品必须具备技术成熟、运行稳定、反应及时等特点。

i.采用的防病毒产品必须是一个网络版本，支持网络管理员在病毒服务器控

制下属客户端的更新、扫描与技术统计，客户端电脑无须进行任何操作，

只要部署了防病毒产品后即可保证电脑的安全。