智慧校园网络安全等保设计方案

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

智慧校园网络安全等保

设计方案

目录

1技术建设方案 (3)

1.1校园网总体架构设计 (3)

1.1.1建设原则 (3)

1.1.2校园网建设内容框架 (4)

1.1.3网络架构拓扑图 (6)

1.1.4网络设计概述 (6)

1.1.5骨干网络方案先进性与可行性 (7)

1.2网络安全设计 (15)

1.2.1设备级安全功能 (15)

1.2.2防ARP攻击设计 (15)

1.2.3交换机IP防扫描设计 (16)

1.2.4防DOS/DDOS攻击 (16)

1.2.5路由安全设计 (17)

1.2.6设备管理安全设计 (18)

1.2.7汇聚嵌入式安全 (19)

1.2.8接入安全控制 (19)

1.2.9IP+MAC+端口绑定 (20)

1.2.10防止病毒广播泛洪 (20)

1.2.11入网用户身份认证 (20)

1.2.12防止对DHCP服务器攻击 (20)

1.2.13多元素绑定技术构筑高安全校园网 (21)

1.2.14防止用户私设代理服务器 (22)

1.2.15恶意用户追查 (22)

1.3等保建设方案 (22)

1.3.1总体建设目标 (22)

1.3.2安全技术体系目标 (23)

1.3.3物理安全设计 (23)

1.3.4计算环境安全设计 (24)

1.3.5系统安全审计 (26)

1.3.6数据完整性与保密性 (28)

1.3.7备份与恢复 (29)

1.3.8区域边界安全设计 (30)

1.3.9安全隔离 (31)

1.3.10通信网络安全设计 (35)

1.3.11网络设备防护 (35)

1技术建设方案

1.1 校园网总体架构设计

1.1.1建设原则

安全性

网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,充分考虑安全性,针对教育行业网络的各种应用,有多种的保护机制,如划分VLAN、IP/MAC地址绑定、802.1x用户访问控制、802.1d、802.1w、802.1s冗余链路保护等,另外还具有良好的防病毒能力,提高整个网络的安全性,保证内外网安全。

先进性

系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位,采用万/千兆以太网技术构建网络主干、支干线路。

开放性

采用开放的软硬件平台和数据库管理系统,遵循国际标准化组织提出的开放系统互联的标准,应用软件必须独立于软硬件平台,能集成任何第三方的应用,具有良好的可扩展性、可移植性和互操作性。

扩展性

系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,跟踪网络发展的前沿方向,符合网络的发展趋势并具有充分的扩展性。系统建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护用户投资,最终形成一个统一的、一体化的综合网络系统。

高性能

网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。

可运营管理

为了让校园网能够良性、稳定、持续、健康的发展,对校园网用户进行严格的管理和控制,学校需要对校园网进行用户接入管理管理,通过对上网的用户进行认证,记录上网用户的行为,为学校的网络管理提供便利的工具。

同时可进行计费扩展,通过对用户收取一定的费用来达到“以网养网”的目的,并要求运营系统能够贴近校园用户的应用模式,方便维护和管理。

规范化和标准化

网络体系结构、通信协议及软件的设计和开发必须按照国家或行业标准进行,要模块化、结构化、数据要代码化,以便于信息共享和交流及将来的维护。在系统设计和软件开发时,应用程序必须规范化、模块化和可复用。

1.1.2校园网建设内容框架

校园骨干网络设计

本次山西工程技术学院网络改造,需要建成一个高带宽(万兆)、高冗余(设备冗余、线路冗余)达到99.999%的稳定是校园骨干网络的最终目的,建设可扩展的新一代校园网络架构,骨干网络采用两台核心组成虚拟化连接到各楼宇汇聚。

校园出口网络设计

新增专用网络出口设备,承载出口NAT、链路负载均衡,智能选路功能。

有线无线统一认证方式:结合智慧校园统一身份认证系统,采用一体化认证方式为校园各类用户提供上网认证服务,减轻使用和维护复杂度。

上网行为管理:要求实现对互联网访问行为的全面管理,包括网页过滤、行为控制、流量管理、防范法规风险、互联网访问行为记录、上网安全等多个方面。分类存储所有访问的源IP、目的IP、源端口号、目的端口号、应用类型、数据包大小、数据包数量。结合认证统,通过源IP/时间,找到对应的帐号,将安全事件度应到人甚至对应到发生安全事件的地点。

网络信息安全防护:通过实名认证,防火墙策略来保障校园网的网络信息安全,对来自外部的网络攻击和渗透进行有效防护,提高网络信息安全。

校园无线网络设计

全面建设学校的WLAN无线校园网,实现校内随时随地的通过WI-FI访问校园网。WLAN信号覆盖教学、办公楼宇的室内区域,满足每个办公室、教室、实验室和门厅区域的信号接收强度≥-75dBm。室外覆盖区域包括广场、运动场、篮球场,室外AP覆盖区域终端连接速率最高可达到1.75Gbps,满足80%以上区域接收信号强度≥-75dBm,每个场所支持并发用户100个以上。

无线全部采用基于802.11ac协议的室内室外高性能AP产品,所有AP均支持2.4GHz和5.8GHz频段的双路接入,要求每个AP至少支持1.167Gbps速率。

无线用户通过统一的访问登录系统可实现多种基于用户或用户群的访问控制:包括基于不同的用户或用户群可实施不同的认证方式;基于不同的用户或用户群可实施不同的资源访问权限控制;基于不同的用户或用户群可实施不同的接入上、下行带宽控制;基于不同的用户或用户群可实施基于时间的接入控制;上述多种接入控制策略实施、操作过程要方便、易用,即时生效。

相关文档
最新文档