网络系统及信息安全工作情况汇报.doc
《网络系统及信息安全工作情况汇报.doc》由会员分享,可在线阅读,更多相关《网络系统及信息安全工作情况汇报.doc(37页珍藏版)》请在三一文库上搜索。
1、阜阳粮食学院网络系统及信息安全工作情况汇报阜阳粮食学院 网络中心2012-8-24校园网(CAN)不仅为广大师生提供信息交流的平台,同时,也担负着学院管理的重要职责,已具有不可替代的作用,以我院为例,本校园网除了为师生提供基本的网络信息浏览、邮件、网上聊天、选课、课件下载、远程教学、招生宣传和志愿填报、学籍管理等一系列基本网络服务外,还是校园一卡通系统、监控、电话程控机、电子大屏幕、广播系统、无线信号中继等各种弱电系统应用的综合业务平台,因此,保证校园网络正常运行和信息安全对于我院正常运转具有举足轻重的意义。基于这一认识,我院领导及相关职能部门在阜阳粮食学院新区建设一开始,便将校园网的安全建设
2、放到了基础建设的同等位置。一、 重要网络与信息系统基本情况首先在新校区弱电工程项目立项之初,我校成立以院级领导为首,综合事务、网络中心、院办等各部门参与的专门工作小组,开始对安全进行需求分析和技术论证工作,根据考察科大讯飞和网易科技的所推荐的数个在华东地区院校的成功案例,及考察合肥体校、合肥学院等数家大专院校,再根据我院的实际特点,通过竞标的方式选定合肥市电信集团作为我院新校区弱电工程的系统集成商,从安全和管理来说,即希望利用电信集团在系统集成方面的雄厚技术实力和人才优势,通过统一技术和设备,保证系统在基础上的通用性、可靠性和实用性。1. 网络设备安全根据现在我院的校园网系统系统核心设备统一采
3、用华为系列产品,实现无缝连接来保证未来系统的可靠性和交互性,便于部署标准的华为信息安全授权、发布、安全架构及产品使用等一系列的配套产品。 (1)联网安全如图1所示,在网管使用NE40E路由器配套的NAT卡将内外网络做物理隔离,通过1个光口上联防火墙eudemon100接入internet。利用高品质的QoS(Quality of Service)能力,先进的队列调度算法、拥塞控制算法,能够对数据流实现多级的精确调度,从而满足不同用户、不同业务等级的服务质量要求。设置AAA(Authentication, Authorization, Audit: 认证、授权、审计)等级保证不同的用户可以获得可
4、靠的服务。硬件可靠:NE40E提供关键部件的冗余备份,关键组件支持热插拔与热备份和 ISSU,NSR(Non-Stop Routing),NSF(Non-Stop Forwarding)等技术提高业务恢复能力,实现无中断业务运行。网络级可靠:NE40E提供IP/LDP/VPN/TE快速重路由/Hot-Standby,IGP、BGP以及组播路由快速收敛,虚拟路由冗余协议(VRRP,Virtual Router Redundancy Protocol),快速环网保护协议(RRPP,Rapid Ring Protection Protocol),TRUNK链路分担备份,BFD链路快速检测,MPLS/
5、Ethernet OAM,路由协议/端口/VLAN Damping等技术,保证整网稳定性,可以提供端到端200ms保护倒换,业务无中断。 另外NE40E提供的VPN FRR和E-VRRP技术以保证未来在和老校区通过vpn互连时提供业务级可靠服务。eudemon100防火墙设备通过光口连接internet和NE40E,我院使用标准的路由模式,以NAT方式实现和外网互联,从而达到校园网和外网隔离,尽可能地减少被攻击的可能。它支持DES,3DES, AES及国密办算法,并发连接数:200,000条,新建连接率:5,000条/秒,支持抵抗SYN FLOOD、ICMP FLOOD、UDP FLOOD、W
6、innuke、Land、Smurf、Fraggle等数十种攻击。同时,对TCP、UDP、分片报文、FTP、SMTP、RTSP、H.323、SIP、HTTP等进行应用状态检测,足够满足我院在有限的将来的全部联网安全需求。APNE40-2FirewallEudemon移动网络中心服务器集群:www, DNS, E-Mail, RTX, ftp, OA, surveillance matrixRaid2硬盘网络中心维护平台计算中心图书馆教务处财务处招生/就业#1,2,3学生公寓(暂定:2 Servers)(管理工作站:普通PC)汇聚层核心层S2326S5300cS3300S3300S3300S330
7、0S3300S3300IP Phone院办S2326S2326S2326S2326S2326一卡通服务器监控室图像存储监控点就近接入邻近交换机APAPS2326接入层wLAN/2G/4G移动图1. 阜阳粮食学院网络拓扑结构图(2)网络交换机树状结构组建校园网络:顶层核心交换机使用S5300,下一步还将准备增购1台,实现双机冗余热备份;次层汇聚层使用S3328TP-EI-24S共6台,交换机内配置AAA;接入层使用65台S2326c,相互间使用光纤互联,从技术上保证1G传输接口。其可靠性以下协议实现: 支持RRPP环型拓扑、支持相交环和多实例等功能; 支持Smartlink树型拓朴及Smartl
8、ink多实例; 支持STP/RSTP/MSTP协议; 支持BPDU保护、根保护和环回保护; 支持智能以太网保护(SEP); 可选:支持Ipv6。(其它交换机的设备可靠性详细参数可参见华为技术白皮书)(3)服务器除财务系统网络外,为实现我院的综合信息查询和管理系统,我院采购了3台DELL R710服务器(Intel尔至强5500双核/2G/SAS500G/),分别用于:Web及DNS:阜阳粮食学院网站:(拟);FTP:课件上传、下载,远程教育;OA:学院的日常办公、邮件、人事考勤、学籍管理等的系统集成;其他:利用1台DELL商务机 Celeon D做 RTX服务器,实现腾讯及时通内网实时通信系统
9、;以上系统使用windows server 2003 professional 和redhat enterprise Linux 5.6&5.8操作系统,建立磁盘镜像予以备份。一旦系统增加,还会考虑在富裕服务器上安装VMWare8.0虚拟操作系统,包括用于云计算支持。一卡通系统和监控系统都采用各自原厂改装和自配组合的服务器组合阵列实现本职业务,其运行各自操作管理系统,与其他应用不兼容。(4)磁盘管理已为一卡通系统订购1套IBM磁盘阵列和1块硬盘,决定使用raid2方式实现一卡通财务数据的保护。(5)综合布线终端模块主要使用IBM和AMP产品,网线(catalog 6 & extra catal
10、og 5)采用各色品牌,依据568B综合布线标准实施。2. 电话通信安全使用天波IPX500设备,光纤接入,支持160线,现已开通101个线(号码),由电信集团统一放号和维护,不用端口一律屏蔽,配线架配有防雷接线子。3. 管理安全根据物理区间的不同划分不同的网段,由于是使用电信集团作为总的ISP服务商,目前还没有通过教育网分配公网地址,所以,内网选用192地址段,在主楼、食堂等处使用210.45.10.x,监控系统使用210.45.201.x,一卡通系统210.45.202.x。已部门为单位划分网段,现在已划分了11个vlan网段,各网段间禁止互访。在多个计算中心、网络实验室拟通过路由器和校园
11、网互联。待学院的所有网络设备和工作电脑到位后,就要使用ip和mac地址绑定的方式实现管理。其中财务、人事另外组建单独子网。在学生公寓使用ONU 设备接入公网。无线设备中继规定212.191.x.x方式接入另个子网。4. 安全设备机房使用独立供电系统,多重空气开关保护,后备电源使用UPS(Santek 2kw)/松下电池组4小时。机房弱电单独接地,摇表测试:地阻0.5。机房配有监控器1台,24小时实时监视。其他,利用各种防静电材料和手段来保护硬件设备安全。二、整体安全状况根据国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)的文件精神,重点保护基础信息网络,建立信息安全等级
12、保护制度,制定信息安全等级,按标准进行建设、管理和监督。1确立安全处理规范建立通用的P2DR动态安全模型,即以Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)模式为参照,建立网络中心和各部门安全处理机制,制定网络维护日常管理流程和突发状况应对预案。图2. P2DR安全模型2. 以防护等级确立管理机制根据公通字200466号文件:关于信息安全等级保护工作的实施意见公通字20067号文件:信息安全等级保护管理办法试行和信息安全等级保护信息系统运行安全管理要求在整个学院建立系统保护管理控制机制,将网络划分为3个安全等级,分别为自主保护级、指
13、导保护级和监督保护级,其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的网络实行不同等级的监管。1) 自主保护:各部门(除财务、人事处)下属网络和主机自行保护,由网络中心提供建议和学院通用软件和补丁程序,只在紧急情况下提供系统恢复服务。2) 指导保护:当由各部门系统或设备给整个学院网络造成轻微损害。本级在主管部门的指导下,按照通信行业安全标准进行自主保护。3) 监督保护(分普通监督保护级和重点监督保护级两种情况) 普通监督保护级是指学院网络遭到破坏,或对学院管理、业务部门、群体利益以及网络和业务运营商造成损害。本级按照通信行业安全标准进行自主保护,通知主管部门对其进行监督
14、、检查。 重点监督保护级是指学院网络遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成严重损害。本级按照通信行业安全标准进行自主保护,将由院领导对其进行重点监督、检查。以此为依据,在阜阳粮食学院院办的统一领导和指挥下,确立以网络中心为主导,针对不同的用户群体,定制网络维护、应用、存储的3个等级和权限:分别实现:1) 部门保护,即本机安全由用户自行控制,网络中心随时追踪和指导;2) 重点防护:针对学院内重要公共设备,如财务、人事、招生部门的共享服务器、打印机、电井内交换机设备,采取定时查询、口令限制等;3) 系统保护:对中心机房设备、院级网络采取专人维护、系统加密、授权认
15、证方式实施全面防护。另外,特别规定了在紧急情况下(如断网、重要联网设备当机等)应采取的相应措施,及需要优先保障的用户(院级领导、招生中心、财务)和设备(一卡通、学籍管理系统等)。为贯彻管理责任及时到位,现已开始和各部门签订网络与信息安全责任书(承诺书),其文本详见附录2。4. 确立单位组织处理流程详细结构如图3所示:学院领导正院长院办副院长网络中心主任基础安全n 安全技术架构设计n 制定与维护安全策略n 基础网络安全制度n 安全连接审查n 安全技术产品审查安全运作n 7x24小时支持n 安全事件管理应急中心n 应用和系统的安全支持n 安全部署实施n 安全策略实施安全服务n 安全顾问咨询n 安全
16、认证服务n 入侵检测服务n 防DDoS攻击服务n 安全接入服务安全培训部门人事处安全审计安全运营安全管理NOC网络管理系统评估报告图3. 阜阳粮食学院安全管理组织结构图5持续投入,加紧建设,动态调整随着网络设备的不断升级改造,本网络中心机房的扩建时应当同步建设信息安全设施,保障信息安全与信息化建设相适应。因信息和信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级。等级保护的管理规范和技术标准应按照等级保护工作开展的实际情况适时修订。四、安全状况的判断和处理(1)访问管理(AAA: Authentic
17、ation & Authorization &Audit)非核心设备网络设备都已关闭远程登录功能,在核心路由器、交换机设备通过SSH实现远程登录维护。根据安全需求不同,在所有重要网络设备上设置长短不一、字母数字混合的登录口令,以增加系统破解难度。同时,服务器还有登录次数限定,个别设备还有30天时间提示更改口令提示。网络中心的设备保护口令只在本机房内部由专人保存。各部门和用户也已通过RTX远程通知的方式告知单机系统口令的设置的重要性,其管理按“自我保护”等级要求实施。入离职员工或转换部门,失效口令立即更改或注销。(2)日志管理(详见附录3)1) 建立相关文档、编制调查表、与有关人员访谈、现场实地
18、观察等多种方式尽可能多地收集、分析和整理电信网络的相关信息(详见附录1)。准备文本,对所有机房发生的事件,出入设备进行记录,定期上报网络运行情况。2) 日志定期处理:路由器、防火墙、服务器、交换机日志的记录、查阅和存档。另外,攻击者会试图通过我们允许的协议实施隧道攻击。这就导致了SQL注入、缓存溢出和其它应用层攻击的增长。这种情况迫使我们修改我们的日志策略。虽然我们过去一直把重点放在以网络为中心的攻击方面,保留防火墙报警和网络流量等数据,但是,我们现在需要把重点放在应用层日志方面。系统日志一般通过移动硬盘的放保存1年。3) 审计追踪:日志记录必须被设置3个级别,系统管理员和安全分析员才可以追踪
19、核心网络设备的所有日志(syslog);系统操作员可以查阅登陆、操作、报警信息(access_log);一般部门人员只能浏览和本人有关的数据库登陆等信息(usrlog)。(3)针对网络的攻击解决方案1) 边界安全:在防火墙(Huawei eudemon100)及网关服务器(RHEL 5.6)通过设置,只让经过授权的用户(拥有钥匙或者胸牌的用户)进出。边界安全可以控制对关键性应用、服务和数据的访问,使得只有合法的用户和信息才能从一个网络(信任域)进入另外一个网络。基本的实施是访问控制和防火墙(访问攻击,缓解DOS攻击,检测扫描攻击及作出相应措施)。2) 入侵防范(IDS,IPS):扫描网络流量(
20、通过将流量拷贝一份到传感器),查找可疑的数据分组。利用一个跟踪特征数据库,它们可以记录任何不正常的情况,并采取相应的措施:发出警报,重置攻击者的TCP 连接,或者禁止攻击者的IP 地址再次登录网络。网络IDS(NIDS)检则器通常可以利用一个不可寻址的混和接口卡监听某个子网上的所有流量,并通过另外一个更加可靠的接口发送任何警报和记录的流量。(检测攻击代码,如木马、病毒,扫描攻击)3) 安全连接(VPN):通过NE40e和本部互联,利用互联网协议安全标准(IPS)的虚拟专用网(VPN)可以提供信息的机密性、完整性和终端身份认证。(防止数据被非法用户窃取,防止中间人的攻击)4) 身份识别(802.
21、1X,AAA):在交换机和服务器,只有通过认证的用户才能访问网络(非法用户不能接入,防止密码攻击)。5) 准入控制(NAC/EAD(H3C)):NAC为完全符合安全策略的终端设备提供网络接入,且有助于确保拒绝不符合策略的设备接入,将其放入隔离区以修复,或仅允许其有限地访问资源。(解决网络威胁)6) 行为管理:通过sniffer监控网络行为,限制网络用户对网络的滥用。(解决网络威胁)7) 集成化产品安全:在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。具体产品:我院在服务器级别使用:Macfee和A
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 系统 信息 安全 工作情况 汇报
链接地址:https://www.31doc.com/p-5189534.html