《信息安全技术课程设计》
题目:高校系统安全设计
专业:网络工程
姓名:魏奎,王凌云
班级:1305021
学号:28,33
指导老师: 宋车梅老师
XX 高校是我省省属重点大学。该校拥有已开通信息点1 万多个,上网电脑一万多台,校园网师生用户群多达 2 万余人。校园网已经成为全校师生员工日常学习、工作中不可或缺的重要信息平台。
XX 高校的网络结构分为核心、汇聚和接入3 个层次,网络类型分为教学子网、办公子网、学生宿舍子网。接入方式包括拨号上网、宽带接入、无线上联等各种形式。校园网双出口结构,可以通过ChinaNet,也可以通过CERNET 进入互联网。学校有16 个C 的教育网IP 地址和8 个ChinaNet 的IP 地址。校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、
科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、网络安全需求分析
将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。通过对校园网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。
因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
1. 公开服务器的安全保护
2. 防止黑客从外部攻击
3. 入侵检测与监控
4. 信息审计与记录
5. 病毒防护
6. 数据安全保护
7. 数据备份与恢复
8. 网络的安全管理
针对校内网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
三、网络体系架构
要建立一套全面的信息安全系统,就要从自身的应用状况分析,分析可能存在安全漏洞,从重要性、紧迫性出发,逐一提供建设参考。
1.区分内外网,加强内部网络的安全防护:
找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全。通过防火墙实现访问控制,控制内部用户的上网行为;通过防火墙验证访问内部的用户身份、访问权限等;通过入侵防护检测访问者的访问行为;因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN 模块或专用的VPN设备建立VPN通道。
目前,大部分防火墙的功能差异并不太大,性能成为选择防火墙的主要指标,市场上的防火墙根据架构的不同,可分为三大类:ASIC芯片、NP架构、传统的X86架构,ASIC芯片级的防火墙把大部分处理通过芯片来完成,不再占用CPU资源,具有更好的处理性能。
2.建立多层次、全方面的防病毒系统
1) 根据病毒寄存的环境,在所有服务器和客户机上安装网络版防毒系统
2) 根据病毒传播的途径,在网关处安装网关防毒网关,在浏览网页、下载
资料、收发邮件时进行有效的病毒防护
3) 在内部交换层,通过硬件的网络防毒墙对网络中的数据包进行检测,有
效的进行网络层病毒、蠕虫、恶意攻击行为的防护,保护内部网络的稳
定与畅通。
3.加强核心网络、核心应用的安全防护
核心网络、服务器群是一个网络的中心部分,应更加注重安全的防范,为了防止来自外部和内部的攻击,应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护;对操作系统及应用系统的漏洞及时的安装补丁;为防止核心系统的运行出现固障,应对核心系统所在的网络线路进行冗余设计,并对交换机、路由器设备进行双路冗余。同时,把安装重要应用系统的服务器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份。对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护。
4.加强数据备份
数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成,但是,磁盘阵列的稳定性是不能保证的。一般情况,可以通过磁带机对磁盘阵列的数据进行再次备份;也可以通过另一台磁盘阵列进行数据的相互备份。通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份,并提供相应用恢复方案。
5.加强应用系统的安全防护
对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤。对于应用系统必须加强用户身份认证,通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现,也可以通过专业的身份认证系统,考虑到终端用户对帐号、密码的管理能力较差,建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。
6.加强网络管理
信息系统的安全只靠以上的安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。
网络管理系统应该具备和实现:
1) 获取全网拓扑结构图,在网络线路、基础联接层面了解网络系统的运行
状况。
2) 监控路由器、交换机、防火墙等网络设备的运行情况,监测控制网络流
量,及时提供报警,并能方便的对网络设备进行系统配置和管理。
3) 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等,及
时提供报警,并能方便的对主机设备进行配置和管理。
4) 监控应用系统的运行状况,对用户进行访问控制、记录访问及操作日志。
5) 管理网络中的所有终端设资源,方便进行远程的管理和操作控制。
6) 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网
行为等操作行为。
7) 实现系统补丁管理、补丁分发,对操作系统、应用系统进行及时的补丁
更新。
8) 限制不安全的设备的接入。
以上为网络管理系统所须具备的功能,缺一不可,建议在选择产品时,作为重要的参考依据。
7.漏洞扫描、安全评估
仅管如上所述,我们己经采取了众多的安全措施,但是,我们的信息系
统是一个不断建设完善的系统,在系统的不断建设过程,仍然会出现一些新的安全漏洞,安全系统的是否部署到位,我们的信息系统是否仍然存在安全隐患,作为信息系统的管理人员仍然需要进行定期的安全检查。
漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具,我们可
以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端进行全面的检测,通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。找出网络中存在的漏洞,防患于未然。
8.安全管理及培训
1) 制定并实施信息安全制度
2) 加强网络安全意识的教育和培养
3) 加强网络安全知识的培训
4) 定期进行终端安全产品的应用操作指导
四、网络安全体系架构
1.
2. 操作系统安全配置与测试应用服务器(WWW)安全配置操作系统采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。
可以通过IP地址和域名限制,创建虚拟文件目录,更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。
3. 防病毒体系设计
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。
4. 防火墙设计、配置与测试
网络建成后,为保证整个网络正常地运行、防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要。主要表现在以下几方面:身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。
网络安全是有层次的,在不同层次,安全的着重点也不同,大致归纳起来可将网络安全划分成两个层次:网络层安全和应用层安全。因此,此次设计选用CiscosecurePIX防火墙。CiscoSecurePIX防火墙是Cisco防火墙家族中的专用防火墙设施,是防火墙市场中的领先产品,CiscoSecurePIX防火墙可提供强大的安全,且不影响网络性能。它可提供全面的防火墙保护,对外部世界完全隐藏了内部网体系结构。通过CiscoSecurePIX防火墙可以建立使用IPSec标准的虚拟专网VPN连接。CiscoSecurePIX防火墙加强了内部网、外部网链路和Internet之间的安全访问。
五、安全产品选型
1.产品选型
该校园网现行核心区选用锐捷核心交换机RG-S5750S系列,24端口
10/100/1000M自适应端口(支持PoE远程供电),12个复用的SFP接口,2个扩展槽。支持4K个802.1Q VLAN、支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持V oice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。防火墙采用深信服M5400VPN防火墙。2个LAN口,4个W AN口,2个串口。IPSec VPN 隧道数:5200 条/并发SSL用户数:800 /每秒新建用户数:80 /每秒新建会话数:500/最大并发会话数目:600,000 。接入层采用H3C S1048交换机,提供48个符合IEEE802.3u标准的10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准;提供48个10/100M自适应以太网端口;每个端口都支持Auto-MDI/MDIX功能;每个端口都提供Speed和Link/Act指示灯,显示端口的工作状态。
2.网络拓扑图
六、安全策略制定
1.操作系统安全配置与应用服务器(WWW)安全配置
操作系统采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下:
然后建立网站文件夹目录:
性能与目录安全性配置:
2.防病毒体系设计防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。1) 构建控管中心集中管理架构
2) 构建全方位、多层次的防毒体系
3) 构建高效的网关防毒子系统
4) 构建高效的网络层防毒子系统
5) 构建覆盖病毒发作生命周期的控制体系
6) 病毒防护能力
7) 系统服务
8) 资源占用率
9) 系统兼容性
10) 病毒库组件升级
11) 软件商的企业实力
七、产品配置
1. 操作系统的安全配置和测试
1) 物理安全
设备的无人监控,加锁,防潮
2) 停止Guest帐号
3) 限制用户数量
对于Windows NT/2000主机,如果系统帐户超过10个
4) 多个管理员帐号
创建一个一般用户权限帐号用来处理电子邮件以及处理一些日常事物,另一个拥有Administrator权限的帐户只在需要的时候使用
5) 管理员帐号改名
6) 陷阱帐号
创建一个名为“Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码
7) 更改默认权限
共享文件的权限从“Everyone”组改成“授权用户
8) 安全密码
要求用户首此登陆的时候更改成复杂的密码,还要注意经常更改密码。
9) 屏幕保护密码
10) NTFS分区
把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT、FAT32的文件系统安全得多。
11) 防毒软件
设置了放毒软件,“黑客”们使用的那些有名的木马就毫无用武之地了,并且要经常升级病毒库。
12) 备份盘的安全
不能把资料备份在同一台服务器上,这样的话还不如不要备份
2. 服务器系统的漏洞扫描和测试
1) 机器有些用户没有密码,有些用户有些简单的密码
2) 不是所有的硬盘都是用的NTFS文件系统
3) 设置匿名登录的最大数量和权限
4) 没有设置自动更新
5) 没有设置用户登录密码的过期时间
6) LLS的锁定工具没在机器上运行
7) 一些LLS的实例应用程序安装在机器上了
8) 父路径在一些网站或虚拟目录被启用
9) MSADC , SCrits虚拟目录在一个或更多的网站下面
10) Internet explorer 对用户没有安全的设置
3. 恶意代码的防范系统设计
1) 装一款技术比较先进和成熟的查毒软件,并自动升级,系统要打最新的补丁。
2) 系统是人开发的,任何系统都存在漏洞,所以要做好数据的备份,这里我们选择差分备份,一旦机器中了病毒和木马,可以在很短的时间内回复。
3) 在交换机上配置ACL Deny一些恶意代码常用的端口:
Ip access-list exten 100
access-list 100 deny tcp any any eq 135
access-list 100 deny tcp any any eq 136
access-list 100 deny tcp any any eq 139
access-list 100 deny tcp any any eq 445
access-list 100 deny tcp any any eq 4444
access-list 100 deny udp any any eq 135
access-list 100 deny udp any any eq 136
access-list 100 deny udp any any eq 445
access-list 100 deny udp any any eq 4444
access-list 100 deny udp any any eq netbios-ss
access-list 100 deny udp any any eq netbios-ns
access-list 100 deny udp any any eq netbios-dgm
access-list 100 permit ip any any
inter f0/1 – 24
ip access-group 100 in
4. 防火墙的配置
NA T,dhcp 的配置
ip nat inside source list 1 interface Serial1/0 overload
ip classless
access-list 1 permit 192.168.1.0 0.0.0.255
ip dhcp excluded-address 192.168.1.1
ip nat outside
ip nat inside
ip dhcp pool cisco
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 210.176.102.10
配置扩展的ACL让出去的能进来,从外面进不来比如从校园网内部能ping出去,也能进来,但是从外面PING不进来。
ip access-list extended
permit tcp any host 192
permit tcp any host 192
deny ip any any log
ip access-list extended
permit tcp any any refl
permit udp any any refl
permit icmp any any ref
ip access-list extended
permit ospf any any
evaluate tcp-acl
evaluate udp-acl
evaluate icmp-acl
ip inspect name tcp-acl
ip inspect tcp-acl in
八、总结
网络安全是各单位面临的一个重要问题,它不仅取决于网络管理人员的知识水平和所付出的辛勤劳动,更决定于主要领导的重视程度和网络使用着的网络安全意识以及使用习惯的好坏等。随着网络技术的发展,各单位所面临的安全问题会进一步复杂化和深入化。如何保证单位网络的安全,是一个值得长期研究和付出努力的问题。