|
校園網(wǎng)網(wǎng)絡(luò)管理方案
資源天下 2019/8/17 10:15:51
(接上頁)��,是對網(wǎng)絡(luò)資源使用情況進行管理的重要過程���。詳細完整的文檔是網(wǎng)絡(luò)配置過程的整體部分之一��。網(wǎng)絡(luò)配置文檔應(yīng)包括多種基本內(nèi)容:硬件配置�、軟件配置、用戶及其訪問權(quán)限分配記錄�����。對網(wǎng)絡(luò)進行了科學(xué)合理的配置��,并有完整準(zhǔn)確的文檔記錄���,因此大大減少了用于“救火”的時間����。實踐表明��,網(wǎng)絡(luò)配置文檔越完善�、更新越及時���,則處理網(wǎng)絡(luò)故障的時間就越短�。
3. 網(wǎng)絡(luò)安全管理
3.1 安全管理
網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性���、無邊界性��、自由性造成的���,所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護的網(wǎng)絡(luò)由開放的���、無邊界的網(wǎng)絡(luò)環(huán)境中獨立出來,成為可管理����、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點����,實現(xiàn)信息網(wǎng)絡(luò)的安全才有可能,而最基本的分隔手段就是防火墻�����。利用防火墻���,可以實現(xiàn)內(nèi)部網(wǎng)(信任網(wǎng)絡(luò))與外部不可信任網(wǎng)絡(luò)(如因特網(wǎng))之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制���,保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性����。
3.2 安全管理方案
為滿足因特網(wǎng)的分級管理需求根據(jù)Internet網(wǎng)絡(luò)規(guī)模大����、用戶眾多的特點,對Internet/Intranet信息安全實施分級管理的解決方案�,將對它的控制點分為三級實施安全管理。
第一級:中心級網(wǎng)絡(luò)�����,主要實現(xiàn)內(nèi)外網(wǎng)隔離���;內(nèi)外網(wǎng)用戶的訪問控制�;內(nèi)部網(wǎng)的監(jiān)控�;內(nèi)部網(wǎng)傳輸數(shù)據(jù)的備份與稽查。
第二級:部門級�����,主要實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)用戶的訪問控制��;同級部門間的訪問控制�;部門網(wǎng)內(nèi)部的安全審計。
第三級:終端/個人用戶級���,實現(xiàn)部門網(wǎng)內(nèi)部主機的訪問控制����;數(shù)據(jù)庫及終端信息資源的安全保護�。
3.2.1 規(guī)范出口的管理
實施校園網(wǎng)的整體安全架構(gòu),必須解決多出口的問題��。對于出口進行規(guī)范統(tǒng)一的管理���,使校園網(wǎng)絡(luò)安全體系能夠得以實施�,為校園網(wǎng)的安全提供最基礎(chǔ)的保障��。
3.2.2 配備完整的�、系統(tǒng)的網(wǎng)絡(luò)安全設(shè)備
在網(wǎng)內(nèi)和網(wǎng)外接口處配置一定的統(tǒng)一網(wǎng)絡(luò)安全控制和監(jiān)管設(shè)備就可杜絕大部分的攻擊和破壞,一般包括:防火墻���、入侵檢測系統(tǒng)���、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)版的防病毒系統(tǒng)等。另外配置安全設(shè)備既要考慮到功能�,同時也必須考慮性能和可擴展性,以避免成為網(wǎng)絡(luò)的瓶頸�。通過配置安全產(chǎn)品可以實現(xiàn)對校園網(wǎng)絡(luò)進行系統(tǒng)的防護、預(yù)警和監(jiān)控�,對大量的非法訪問和不健康信息起到有效的阻斷作用,對網(wǎng)絡(luò)的故障可以迅速定位并解決����。
3.2.3 解決用戶上網(wǎng)身份問題,建立全校統(tǒng)一的身份認證系統(tǒng)
校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題�����,而身份認證系統(tǒng)是整個校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)����,否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之,只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認證系統(tǒng)�,才能徹底的解決用戶上網(wǎng)身份問題,同時也為校園信息化的各項應(yīng)用系統(tǒng)提供了安全可靠的保證�。
3.2.4 嚴格規(guī)范上網(wǎng)場所的管理,集中進行監(jiān)控和管理
上網(wǎng)用戶不但要通過統(tǒng)一的校級身份認證系統(tǒng)確認�����,而且,合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控��,上網(wǎng)行為的日志要集中保存在中心服務(wù)器上�����,保證了這個記錄的法律性和準(zhǔn)確性
3.2.5 出臺網(wǎng)絡(luò)安全管理制度
網(wǎng)絡(luò)安全建設(shè)是"三分設(shè)備��,七分管理"�,沒有切實可行的安全保障體系和制度�����,網(wǎng)絡(luò)安全就變成了空談����。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和上網(wǎng)用戶對網(wǎng)絡(luò)的了解程度越深,網(wǎng)絡(luò)安全的形式就越嚴峻����,這也從近幾年互聯(lián)網(wǎng)絡(luò)安全問題頻頻出現(xiàn)得到印證。而網(wǎng)絡(luò)安全的技術(shù)又是非常復(fù)雜和廣泛的��,現(xiàn)狀還是"道高一尺���,魔高一丈"����,這樣,管理的工作就愈發(fā)重要和艱巨����,必須要做到及時進行漏洞修補和定期詢檢,保證對網(wǎng)絡(luò)的監(jiān)控和管理����。另外,學(xué)校必須頒布網(wǎng)絡(luò)行為規(guī)范和具體處罰條例�,這樣才能有效的控制和減少內(nèi)部網(wǎng)絡(luò)的隱患。
3.2.6 防火墻的安全等級和權(quán)限設(shè)置
利用防火墻的安全等級和權(quán)限設(shè)置�����,有選擇地對源地址�、目的地址、TCP端口號����、協(xié)議類型進行篩選,控制數(shù)據(jù)包的傳送����,禁止外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)�����,防止來自外部的惡意攻擊�。
3.2.7 利用虛擬網(wǎng)技術(shù)
利用虛擬網(wǎng)技術(shù)���,將全校分布在不同部門、不同網(wǎng)段上的辦公應(yīng)用服務(wù)器劃分為一個虛擬子網(wǎng)����,限制用戶對其訪問。出開放必要的端口外����,其他端口和服務(wù)安全禁止,以增加安全性����。為了避免用戶濫用網(wǎng)絡(luò)資源,對不同的虛擬子網(wǎng)賦予不同的對外訪問權(quán)限���,如只能訪問校內(nèi)�����、只能訪問中國教育科研網(wǎng)�����、可以訪問整個互聯(lián)網(wǎng)等����,同時按照IP 地址和用戶帳號進行流量控制和統(tǒng)計,力爭是網(wǎng)絡(luò)資源得到更為有效的應(yīng)用�。
3.2.8 軟硬件技術(shù)
利用軟硬件所提供的功能采取盡可能多的措施提高網(wǎng)絡(luò)的安全性,如在各層交換機端口上綁定MAC地址以防止地址盜用����;在網(wǎng)橋上設(shè)(未完,下一頁)
|