校园网络安全与管理解决方案Word文档下载推荐.doc
- 文档编号:4043891
- 上传时间:2023-05-02
- 格式:DOC
- 页数:20
- 大小:974KB
校园网络安全与管理解决方案Word文档下载推荐.doc
《校园网络安全与管理解决方案Word文档下载推荐.doc》由会员分享,可在线阅读,更多相关《校园网络安全与管理解决方案Word文档下载推荐.doc(20页珍藏版)》请在冰点文库上搜索。
1应用背景
信息安全是所有信息系统建设的重要问题之一。
在校园网建设中,很多校园网由于系统管理不善,安全保障措施不力,病毒通过系统漏洞,邮件等途径在校园网传播和泛滥,导致校园网成为计算机机病毒滋生和泛滥的温床,给校园网信息系统的应用、管理和维护带来巨大的负面影响。
2方案价值
信息安全是微软公司高度重视的领域。
近年来,微软公司在信息安全和系统安全方面投入了大量的人力和物力,开发了活动目录、桌面计算机管理、服务器运维管理和网络安全服务器等一系列信息安全管理的软件技术、产品和工具,并得到广泛的应用,包括:
管理人员数字身份信息的统一用户管理解决方案,对桌面管理的桌面安全管理解决方案,以及对业务应用进行管理的服务器应用管理解决方案。
关于这些产品的详细功能特性、部署方法、应用案例信息,用户可以访问微软的网站获得(
微软提供的校园安全与管理解决方案从整体上,为校园网管理提供了一个全面、立体的防护和管理手段,校园网管理者借助这些操作简单,易学易用的工具,可以确保校园网信息系统安全,稳定和健康的运行,确实保障信息化建设投资发挥其应有的作用。
该方案全方位的从四个方面对整个校园网的安全进行管理和维护:
1.统一用户管理:
对于一般高校来说,校园网中一般已经有很多基于不同平台、不同开发商、在不同时间开发的各个应用系统,形成一个个的“信息孤岛”。
为了解决“信息孤岛”给校园信息化带来的一系列问题,对于用户的统一身份认证和权限管理是一个十分关键的环节。
统一用户管理是指将校园内各种人员在信息系统中的数字身份统一管理起来,实现各应用系统的用户身份信息整合,这是实现用户权限管理,应用集成,单点登录的基础。
2.桌面计算机补丁管理
在校园网中,往往由于没有及时打上补丁或者进行软件升级而形成大量的安全漏洞,病毒或黑客们通过对漏洞的袭击,可以引发大规模的冲击波、震荡波,甚至造成整个校园网络的瘫痪。
所以,微软在校园的安全和管理方案中桌面安全管理的概念,SMS服务器可以实现软件的自动安装与升级。
这样,老师和学生不再需要手工下载补丁或更新软件,SMS服务器可以在自动地为校园内的每一台机器进行软件升级或者安装软件补丁。
于是极大程度上降低了校园网安全隐患出现的概率。
3.服务器运维管理
一般高校中大部分的服务器上都运行着很多关键业务,如邮件系统、数字图书馆系统、一卡通系统等。
这些服务器一旦当机,会给学校正常的教学、工作、生活等带来很不利的影响。
为了保障这些运行关键业务的服务器7*24小时不间断的正常运行,微软安全与管理解决方案提供了一套运营维护系统,它为系统的健康,正常和稳定地运转提供了一个监控,预警和排错的机制,极大程度降低了运营维护的成本、难度,减少了维护人员的人数和时间,提高了工作效率。
4.网络安全管理
校园网给学生和教师的学习和工作带来巨大效益的同时,它带来的一些负面影响也不容忽视。
例如学生在校园网内访问一些包含有害信息(黄色,赌博,涉毒,邪教等)的网站;
用户访问包含病毒等恶意代码的网页导致病毒进入校园网;
垃圾邮件,病毒邮件等通过电子邮件进入校园网,严重影响了校园网的正常运转;
以及学生在校园网内滥用一些聊天软件、BT下载等对网络的不当使用行为。
微软推出了基于ISAServer2004的“绿色校园网”信息过滤系统,实现了网页内容过滤,邮件过滤,应用程序过滤和用户控制等技术手段,有效地防止了上述现象在校园网内的发生,还给校园网一片洁净的天空。
而且ISA的部署非常简单,IT管理员只需在服务器端部署和维护,学校所有的客户端都遵守ISA服务器端所设定的所有规则。
5.防病毒及垃圾邮件
近年来,由于计算机应用的普及以及互联网的广泛应用,高校中计算机病毒呈爆炸性增长,导致了多次病毒爆发,这也反映出目前计算机系统和网络应用中的问题,计算机病毒已经成为全球性的安全问题。
亚洲地区,特别是中国内地地区,由于高校计算机增长较快,而人们的安全意识相对不够高,因此对计算机病毒的防范相对薄弱,也在近年连续爆发病毒疫情,造成了巨大的损失和严重的破坏。
为信息传递和协同环境提供综合、全面的反病毒、内容管理和电子邮件安全解决方案。
Antigen无与伦比的技术使其成为市场上供MicrosoftExchange和LotusDomino,以及WindowsSMTPGateway用户使用的最为可靠、运行最佳的解决方案。
Sybari将Antigen设计为,全面、彻底地明了Exchange和Domino及WindowsSMTP用户的特有问题。
因而,Antigen知晓如何补充信息传递和协同产品的强势,以及保护其安全性弱点。
Antigen的设计,为群件系统信息传递和协同工作系统创造了最佳可能、最全面彻底的保护。
3方案具体规划
3.1统一的用户管理–活动目录与目录整合(AD+MIIS)
在信息与系统安全管理体系中,对于信息和系统用户的身份认证和权限管理是一个非常关键的环节。
对于处于“信息孤岛”状态的信息系统而言,用户的身份认证和权限管理是由各个系统自行管理的。
随着系统数量的增加,用户需要记忆和使用多个系统的用户名和密码,系统管理员也需要管理同一用户在不同系统中的不同用户身份信息。
这种状况往往导致使用、管理、和系统安全方面的许多缺陷和问题。
从系统整体架构角度出发,新一代校园网的安全体系需要建立一个集中、统一、独立于各应用系统之外的用户认证和权限管理机制,以实现安全、高效的用户身份和权限管理。
从实现的技术手段讲,目前使用最多的技术是目录系统(Directory)。
目录系统的实质是一个特殊的数据库,专门用于存放和管理用户认证和权限管理的信息,并允许外部系统通过开放的标准协议(如:
LDAP协议)对目录系统进行操作。
统一的目录系统是新一代校园网的关键基础设施,是实现用户单点登陆到不同应用系统,统一管理用户身份认证和权限管理的基本条件。
由于统一的目录系统涉及整个系统的用户管理和各个应用系统的安全,在建设统一的目录系统是需要由经验丰富的专业技术人员进行仔细规划和设计,以适应校园网建设当前和未来持续发展的需求。
同时,考虑到用户信息存放地方与类型的多样性,如:
有的存放在目录系统中、有的存放在数据库中、有的存放在文件中,必须有一个目录整合服务的产品来实现对不同地方存放的用户数据进行整合,同时提供用户身份信息的同步。
微软为实现统一用户管理提供了活动目录技术与目录整合服务技术(MIIS):
3.1.1活动目录技术(AD)—统一用户管理
微软的WindowsServer2003提供了免费的目录服务产品–活动目录服务(ActiveDirectory–AD)。
负责校园网中系统用户数字身份的认证,网络资源管理,应用程序管理,文件和打印管理以及系统配置管理等,实现单一登录,安全认证、用户授权、系统策略和桌面安全管理等方面的功能需求。
下图显示了校园内统一用户管理的示意图:
图1统一用户管理实现示意图
活动目录在校园信息化系统中的主要功能特性有:
v实现统一的用户身份管理
部署活动目录后,可以将所有用户的身份信息(用户名、密码、数字证书)统一存放、统一管理。
这是实现统一的用户身份认证、“单点登陆”到不同应用系统的基本条件。
用户在使用系统的过程中不需繁复地输入帐号和密码。
而对于安全级别较高的应用,可以利用活动目录内置的对智能卡技术的支持,加强用户登录验证的控制。
v实现统一的用户权限管理
对于简单的应用系统,通常可以使用目录系统进行用户的权限管理。
可以使用活动目录的组策略技术(GroupPolicy)实现不同粒度的用户权限管理,如控制普通用户对桌面系统重要配置参数的修改能力、禁止用户安装不必要的软件等。
一般来说,可以将大量用户封装到一个组中,通过对一个组制定策略来对大量用户集中管理。
一般情况下子容器继承父容器中所有的组策略。
于是可将越普遍的规则设定在越高层的容器中,通过继承的特性让规则作用于之下的所有容器,避免大量规则的重复制定,易于管理。
v实现用户与机器的分离
无论用户在校园网使用的是哪一台机器,只要使用同一个账号登录到域中,用户保存的文档和其他应用环境都不会变化,保证用户的工作可以继续。
并可以按照用户角色(如老师、学生、家长)等对用户的桌面环境进行定制和自动的更新。
一般来说,用户的角色不同,对系统的要求也不一样。
我们需要针对不同用户的需要为他们建立不同的界面风格、安装合适的应用程序;
同时,当用户的身份发生变化(例如,老师的升职或者调动),可以按照用户新的身份来自动的对用户的桌面进行更新。
v统一管理各种系统的基础支撑
目前的主流桌面系统自动安全管理系统都需要目录系统的支持。
部署活动目录是实现桌面系统自动安全管理的基础。
此外,目录系统也是统一管理打印机、文件服务器等网络资源的核心。
v支持开放的目录标准协议-LDAP
微软的活动目录支持开放的目录标准协议-LDAP。
不同的应用系统均可以使用LDAP协议访问活动目录的内容,对活动目录进行操作。
v灵活多样的部署方式
活动目录支持多种部署方式以满足不同需求,如:
集中式部署、分布式部署、多级部署等。
下图2为在一般高校的单域活动目录部署图:
图2统一用户身份和权限管理结构图
微软活动目录是一个有多年历史、相当成熟的技术,在国内外电子政务建设和大量校园的信息与系统安全建设中得到广泛应用,产生了显著的效益。
3.1.2目录整合服务(MIIS)
MicrosoftIdentityIntegrationServer-MIIS是微软推出的用于用户信息整合与密码管理的产品,它采用了目录整合的技术,可以集成目录、数据库、将应用程序、电子邮件及操作系统的用户识别信息合而为一。
还可整合多种储存机制的识别信息、提供单一的管理接口,提高信息人员的生产力、降低管理成本。
在校园目录整合服务中有很大的作用,MIIS具有以下一些功能特性:
v同步不同平台和系统的用户身份信息
能够同步校园内部门多种异构平台的目录以及非目录用户数据库的用户身份信息,让客户跨越异构平台更新用户身份信息的流程自动化,同时保有整个校园内部内部数据的完整性及一致性。
整个校园内部的用户身份数据可自动保持在最新的状态。
v提高用户账户信息的可管理性
可以在不同系统及平台之间方便地设置或删除使用者账户及身份信息,如分布区域、电子邮件及安全性群组等账户。
例如,当人力资源部门设置新的或删除用户账户时,MIIS可以根据人力资源系统数据库的变更自动同步更新其他系统的用户账户信息,有效地提高信息系统的安全性。
v密码管理功能
密码管理功能可让用户或系统管理人员方便地透过Web接口来重设跨越多重系统的密码,简化跨系统、多系统的用户密码管理流程。
将AD与MIIS结合可以实现完整的统一用户管理解决方案,实现用户信息的同步、用户身份管理、以及单点登录等功能,提高校园网的信息安全水平以及教职员工的工作效率。
3.2桌面电脑系统安全方案
根据统计,平均每七千行左右的软件程序就可能存在一个缺陷(BUG),软件缺陷是所有软件产品不可避免的共同问题。
实践经验也表明,大量信息安全问题都是由于软件漏洞受到病毒感染和黑客攻击造成的。
由于多数校园网内部大量计算机没有及时安装软件补丁,系统漏洞很容易受到病毒感染和黑客攻击,导致信息和网络安全问题。
经常可见的情况是,很多社会上大规模爆发的病毒问题平息之后,在校园网内部仍会反复发作,导致校园网瘫痪,服务器宕机和系统崩溃等严重安全事故。
使得校园网成为“名负其实”的计算机病毒滋生和泛滥的“温床”。
针对上述问题,根据微软多年的实践经验,我们建议校园网采用以下措施来提升Windows计算机的安全水平:
·
努力实现桌面电脑操作系统的标准化:
使用正版操作系统软件,减少操作系统软件的版本种类(最好能够做到操作系统版本的统一),这是实现桌面电脑系统安全管理的基础。
及时安装各种安全补丁软件:
包括操作系统、应用系统补丁和防病毒软件。
在校园内部署能够自动安装安全补丁软件的系统和工具:
从根本上解决安全补丁安装和软件分发的统一管理问题
3.2.1电脑系统补丁管理工具–SMS2003
随着学校的不断发展以及计算机系统的不断扩展,IT管理人员花费越来越多的精力在客户机管理方面,包括:
整理软件,硬件清单并归档,防毒软件和应用软件的版本升级,客户端桌面服务,用户权限控制等。
当出现问题时,往往不能得到及时的解决。
建立一个更可管理且高效率的计算机系统已是势在必行了。
使用MicrosoftSystemManagementServer2003来管理现有的计算机系统,可帮助学校IT管理人员更好的进行系统管理。
SMS实现软件的自动安装与升级。
不仅如此,如果因为网络故障或者其他原因造成软件升级或补丁安装的意外中断,SMS服务器可从客户端反馈回的报表中得知这次服务不成功,下次将会继续对这个客户端进行升级服务,直至服务成功为止。
SMS服务器极大地提高校园网的安全性能、方便统一管理。
下图3为SMS服务器自动进行软件分发和补丁安装的工作流程图:
图3SMS自动进行软件分发和补丁安装的流程图
3.2.2SMS2003的主要安全管理功能特性
v定期进行安全漏洞扫描
SMS2003使用微软的安全基础扫描评估工具(MBSA)定时对各系统进行扫描,并对比微软的最新补丁列表,以决定系统是否存在安全漏洞、是否需要安装最新的补丁。
部署在管理中心的SMS2003服务器会根据MSBA的扫描结果生成安全检查报告,发送给系统管理员,以便及时发现安全隐患并采取应对措施。
v自动管理软件的补丁与版本升级
微软每月在固定时间会发布最新的系统和应用补丁,SMS可以自动下载最新补丁列表,对桌面系统和其他系统安装新的补丁。
SMS2003支持服务器端设定规则向指定的被管理的系统实施“精确”的补丁安装,也可以对被管理的系统进行配置,定期从服务器下载新的补丁并自动安装。
v全面细致的硬件、软件资产管理
SMS2003提供了信息收集功能,可以使管理员能够及时、准确地获得系统所有设备的硬件、软件信息,高效地进行系统安全管理。
3.3对关键服务器、业务系统的运维管理-MOM2005
校园网体系包括众多的关键业务应用系统。
如何保证这些关键系统的安全、高效、可靠运行是高校IT部门面临的一大挑战。
微软的OperationManagementServer2005(MOM2005)是专门用于对这些关键应用系统服务器进行集中、实时、自动监控,并在出现异常情况时根据设定的预案采取对应的故障处理措施。
MOM2005提供的主要功能特性有:
v集中的服务器和应用软件运维监控
MOM2005图形化的系统监控与管理操作界面,提供操作系统、关键业务系统、服务运行状态(事件、运行状态、故障等)的快速监控管理手段。
状态视图包括:
ü
各设备名称、详细的硬件配置、软件安装信息;
全网系统升级状态信息;
以列表形式展现各操作系统、关键业务系统、服务运行状态;
以系统总体拓扑结构形式展现各操作系统、关键业务系统、服务运行状态;
对具体事件、故障提供快速的跟踪、展现机制;
并联结对应的专家系统以提供技术支持;
根据不同的应用特性对系统设备进行分组监控;
v高效、多种形式的故障自动处理
当故障或特定事件出现时,MOM2005会通过电子邮件、短信、即时消息等形式把故障信息传送给指定的负责人,或根据预案规则自动触发并执行脚本、批处理命令等;
以实现、报警、以至自动处理/修复机制。
v系统运维知识专家库
MOM2005提供完整的系统运维知识专家库。
并可将系统运行过程中产生的故障问题进行积累,将其升华为经验和知识,不断自我完善为整个系统的运维知识专家系统。
3.4加强网络安全防护–ISA2006
随着因特网技术和校园信息化应用的发展,数字化校园应用不只是局限于校园内部,还需要通过因特网与校外应用进行信息交换。
以及学生在校园网内滥用一些聊天软件等对网络的不当使用行为。
学校急需一个“绿色卫士”来保证校园网的健康,安全运转并被正确使用。
教育系统的各级信息化部门都有责任“净化网络空间,实现绿色上网”。
在网络层安全方面,微软提供了网络层应用的安全工具-InternetSecurity&
AccelerationServer2004(ISA2006),可用于进一步提升系统的网络安全水平。
ISA2006提供了网页过滤、邮件过滤、应用程序过滤和用户控制、等多种网络信息内容安全的功能(如下图4所示)。
同时,ISAServer2006还是一个应用层的防火墙服务器,可以防止黑客,病毒,恶意行为入侵信息网络,形成对于网络硬件防火墙安全功能的补充和增强。
此外,ISAServer2006提供了Web缓存功能,可以提高网络的带宽利用率,在不增加网络出口带宽的情况下,提高用户上网的速度,改善用户上网的体验。
图4ISAServer2006体系架构图
3.4.1ISAServer2006的主要功能特性
1.过滤功能:
ISA最重要的功能之一,防止学生上网访问一些不良网站,主要包括:
§
网页过滤功能:
集成合作伙伴提供的网站过滤插件,每日更新黑名单网址数据库;
应用程序过滤功能:
通过定义一些常用应用程序的签名信息来过滤用户使用某些特定应用,如聊天、游戏等;
垃圾邮件过滤功能:
ISA服务器执行SMTP邮件的检测,阻止危险代码和不想要的电子邮件进入网络。
2.缓存功能:
ISA服务器部署为正向缓存服务器,并配置学校、教委的ISA服务器实现级联,这种配置及部署方案可以使客户端更快地访问所请求的内容。
启用缓存后,可以配置缓存规则,即确定是存储指定站点中的内容,还是从ISA服务器缓存中检索该内容。
缓存规则应用于所请求的站点,而与源网络无关。
此外,在启用了缓存的情况下,还可以配置内容下载任务,提前主动缓存所需内容。
3.控制功能:
通过配置防火墙策略规则,可以根据需要控制用户访问Internet的权限。
可以在系统里定义不同的用户群,如学生、教师等,然后为不同的用户群设定不同的上网权限,如上网地点、上网时间等。
4.安全功能:
所有网络管理员共同关心的安全问题都与攻击有关,在ISA服务器上可以通过配置入侵检测筛选器来检测各种特定的攻击:
DNS入侵。
发生了主机名溢出、长度溢出或区域复制攻击。
DNS区域复制入侵。
发生了区域复制攻击。
检测到入侵。
外部用户曾尝试入侵。
POP入侵。
检测到POP缓冲区溢出。
Windows带外攻击(WinNuke)
Land攻击
循环Ping攻击
IP半扫描攻击
UDP炸弹攻击
端口扫描攻击
另外,网络上蠕虫病毒的攻击也是令网络管理员很头痛的问题,ISA服务器可以检查应用程序层的命令和数据。
通过状态筛选机制来阻止传递攻击代码。
ISA服务器监控状态应用程序层筛选器检查超文本传输协议(HTTP)命令和数据,并阻止数据包传递到网络中,这阻止了外围攻击。
这一功能是传统的防火墙设备所无法实现的。
5.监控功能:
可以通过Web界面,实现对绿色校园网系统进行监控。
监控信息包括:
服务器的服务健康状态,如ISA防火墙服务、网站过滤器服务,数据引擎服务等;
当前在线用户数,用户连接状态等;
当前被过滤或阻挡的网站访问信息;
系统各种告警和错误信息;
系统运行性能状况,显示服务器的性能信息,如可用磁盘、CPU利用率、可用内存、网络利用率等。
6.报表功能:
系统可以根据日志文件收集的Internet访问数据生成报表,可以按照每天、每周、每月或每年的重复周期来生成报表。
报表可以提供以下多种统计数据:
用户访问Internet的情况。
被过滤或拒绝访问的情况
用户最常用的协议和应用程序。
按应用程序、协议和方向分类的总体Internet使用情况。
试图违反网络安全的操作情况。
3.4.2ISAServer2006在校园信息系统中的部署方案
各学校自有Internet出口,区教委可以通过部署本方案实现对区内各学校的网络建设和使用起到指导,监督和管理的功能。
具体部署方式如下图所示:
图5单个校园部署模式
图6.教育城域网部署模式
在每个学校及区教委的网络出口处均部署ISA服务器,对于自有Internet出口的学校,将通过Internet连接到区教委网络中心,自动下载信息过滤规则和网络访问策略。
网站黑白名单和访问控制策略由市教委、区教委、学校自上而下统一管理和维护;
网络访问统计报表则自下而上进行收集和上报。
3.4.3ISAServer2006在校园网络安全应用中的优势总结
基于微软ISAServer2006(InternetSecurity&
AcceleratorServer2004)开发的“绿色校园网”解决方案不仅是一个信息过滤系统,同时还能给各学校提供垃圾邮件过滤,应用程序过滤和用户上网控制等多方面的功能,除此之外,ISAServer还是一款优秀的应用层防火墙和Web缓存服务器,可以加强校园网络的安全性和加快用户访问因特网的速度。
由于ISAServer具有灵活,开放的借口,本方案的经过扩展后,还能为老师教学,学生上网起到辅助教学和护航的作用。
比如老师上课时,把一个班级的同学分成几个小组讨论研究不同的课题,学生要查询不同的资料,校园网信息过滤系统就像一个分流机器,大量的不同信息从总入口进入,不健康的被折回无法打开,健康的内容再分流到各个教育资源库的类别中,以供不同课题的学生们查用。
老师还可以浏览学生上过网站的记录,协助学校理解与分析学生上网情况。
I
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 校园 网络安全 管理 解决方案