1、清华中学网络改造规划方案重庆天融信2011年5月文档说明本文档所涉及到的文字、图表等，仅限于天融信公司及被呈送方内部使用，未经天融信网络安全技术有限公司书面许可，请勿扩散到第三方。版本控制版本号日期参与人员更新说明1.02011-05天融信项目组建立文档，初始化分发控制编号读者文档权限与文档的主要关系1天融信项目组编写，修改负责编制、修改2清华中学局相关项目成员读取审核目 录1. 网络现状分析41.1. 现状描述41.2. 网络存在问题52. 本次建议规划原则52.1. 需求、风险、代价平衡的原则52.2. 综合性、整体性原则62.3. 一致性原则62.4. 易操作性原则62.5. 分步实施原2、则62.6. 多重保护原则72.7. 可评价性原则72.8. 可扩展性原则72.9. 先进性原则72.10. 管理为本原则72.11. 合理规划、分步实施原则73. 规划设计83.1. 网络改造建议83.1.1. 改造拓扑83.1.2. 改造说明83.2. 建全各项管理规章制度103.2.1. 机房管理103.2.2. 计算机病毒防范制度113.2.3. 数据保密及数据备份制度113.2.4. 网络安全管理员的职责124. 推荐产品清单121. 网络现状分析重庆清华中学局网络建设完成已经于2003年完成，经过七八年的逐步建设完善、运行，基本保证了网络的运行。图1-1 清华中学网络现状简图1.13、. 现状描述如图1-1，网络现状如下： 学校通过电信30M光纤接入互联网，巴南区教育城域网没有使用； 学校网络分为【学生区】与【教师区】；【学生区】主要包含学生机房，通过机房接入交换机连接到网络机房，并通过一台学生区专用防火墙接入Internet；【教师区】网络与【学生区】网络类似，只是【教师区】包含服务器，与【学生区】使用不同的防火墙连接入Internet； 【学生区】与【教师区】最终通过一台交换机接入互联网； 网络中包含一台3层交换机，但是没有使用三层功能，整个网络没有进行vlan划分； 网络设备经过多年逐次添加，布线混乱1.2. 网络存在问题对于一套对网络可靠性、安全性要求较高的学校网络4、系统，存在以下安全问题： 没有通过划分vlan对关键应用（如服务器群）或关键终端进行二层隔离，使整个网络良好运行受到广播风暴、ARP病毒的威胁； 网络防火墙（包括【学生区】与【教师区】）部署于2003年，根据测试，设备已经超负荷运行、功能相对简单，不能满足保护整个网络安全需要； 网络结构需要优化：当前网络没有主干链路、vlan的概念，给网络管理、网络排错、网络维护带来极大的困扰； 在攻击、网络病毒、蠕虫等网络威胁日益严重的今天，整个网络缺乏入侵防御、网络防毒体系，使得整个网络极易受到来自互联网的威胁； 服务器群没有进行重点保护：服务器群可能遭受外部或者内部的攻击威胁； 网络流量没有良好的控制手5、段，互联网资源不能得到合理分配； 机房布线不规范，不仅影响美观，更重要是严重影响故障查找与管理；2. 本次建议规划原则2.1. 需求、风险、代价平衡的原则无论对于任何形式的信息系统，绝对的信息安全都是难以达到的，而且在一定程度上也是没有必要的。对于一个具体的信息系统进行实际的调查研究（包括目标目的、阶段任务、性能、架构、可靠性、可维护性等），并对该系统面临的威胁及可能承担的安全风险进行定性与定量相结合的分析，然后制定满足实际需求的规范和措施，确定符合实际信息系统风险成本花费的安全策略。2.2. 综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段6、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。2.3. 一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）7、及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。2.4. 易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。2.5. 分步实施原则由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。2.6. 多重保护原则任何安全措施都8、不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。2.7. 可评价性原则如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。2.8. 可扩展性原则由于网络安全是动态的，虽然现在的方案解决了目前安全，但是随着时间的变化，原有的网络安全解决方案可能满足不了其需求，这时就需要对原有的网络解方案进行升级，所以现有的网络解决方案应该是具有可扩展性。2.9. 先进性原则采用当今国内、国际上最先进和成熟的计算机软硬件平台、软件设计编程方法、开放式的体系结构和信息安全保障体系，使新建立的9、系统能够最大限度地适应今后的业务发展变化需要。2.10. 管理为本原则安全技术是静态，而解决网络信息安全却是一个动态的过程，只有好的安全管理才能保证安全技术得到正确、合理和及时的使用。三分技术，七分管理就是这样来的。2.11. 合理规划、分步实施原则一个完整的网络安全解决方案不可能在很短的时间全部实施完成，需要对整个安全建设过程进行合理的规划。根据清华中学网络现状，有步骤的分步实施。3. 规划设计3.1. 网络改造建议根据【网络现状分析】与【规划原则】，本次改造建议的主要内容是： 规范网络结构（包括结构改造与vlan划分等工作）； 网络主干链路保护、关键区域保护； 网络入侵防御系统部署； 网络10、防毒部署； 机房规范布线。3.1.1. 改造拓扑图3-1 改造建立拓扑示意图3.1.2. 改造说明3.1.2.1. 网络边界改造考虑到原网络中没有统一边界，且原网络防火墙设备老化，在运行中严重超负荷，且功能不足，本次建议首先改造网络边界，采用在网络边界新部署一台天融信多功能网关(以下简称UTM)，包含防火墙、入侵防御系统、防毒系统、VPN系统、网页过滤系统的功能：通过防火墙细粒度的访问控制策略，有效阻断来自互联网对学校网络的攻击，而且如今防御系统、防毒系统的开启则可以进一步完善整个安全体系。采用UTM设备进行边界隔离和访问控制，制定严格的访问策略，限制未经过许可的访问，从而确保网络的边界安全。11、UTM是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越UTM的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。将需要对外发布的服务器（如web服务器）部署在UTM的DMZ区，防止黑客通过服务器攻击学校网络。通过对边界的改造，有效地保护了整个主干网络；3.1.2.2. 网络主干改造原网络结构不规范，通过【网络边界】改造一定程度上规范了主干联络，但一个典型的网络主干应该包含一台核心交换机；考虑到学校网络流量不是太大，因12、此本次建议新部署一台三层交换作为网络核心交换机（或者直接使用现有的锐捷2800）3.1.2.3. vlan划分为实现网络整体安全性，减小广播风暴对整个网络影响，本次升级方案根据用将网络划分为多个vlan： 内部服务器群一个vlan； 每个机房一个vlan； 不同教学楼的教师机可以单独划分vlan。3.1.2.4. 关键区域保护对于一个网络来说，服务器区域无疑是整个网络的核心保护区。因此应该单独进行保护，考虑到成本问题，本次方案建议在划分服务器vlan后，在服务器群与核心交换机之间部署原有防火墙，以此对防止内网用户对服务器有意、无意的攻击。3.1.2.5. 机房线路规范将机房线路进行规范捆扎，并13、进行相应标识。如果有条件，最好使用配线架规范走线。3.2. 建全各项管理规章制度良好的信息系统需要完善的规章制度来保障，建立完善各项管理规章制度，以进一步保证清华中学局信息系统的稳定和安全。（1）机房管理（2）计算机病毒防范制度（3）数据保密及数据备份制度（4）网络安全管理员的职责3.2.1. 机房管理（1）路由器、交换机和服务器以及通信设备是网络的关键设备，须放置计算机机房内，不得自行配置或更换，更不能挪作它用。（2）计算机房要保持清洁、卫生，并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等)，无关人员未经管理人员批准严禁进入机房。（3）严禁易燃易爆和强磁物品及其它与机房14、工作无关的物品进入机房。（4）建立机房登记制度，对本地局域网络、广域网的运行，建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试，对所发生的故障、处理过程和结果等做好详细登记。（5）网管人员应做好网络安全工作，服务器的各种帐号严格保密。监控网络上的数据流，从中检测出攻击的行为并给予响应和处理。（6）做好操作系统的补丁修正工作。（7）网管人员统一管理计算机及其相关设备，完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。（8）计算机及其相关设备的报废需经过管理部门或专职人员鉴定，确认不符合使用要求后方可申请报废。（9）制定数据管理制度。对数据实施严格的安15、全与保密管理，防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。3.2.2. 计算机病毒防范制度（1）网络管理人员应有较强的病毒防范意识，定期进行病毒检测(特别是邮件服务器)，发现病毒立即处理并通知管理部门或专职人员。（2）采用国家许可的正版防病毒软件并及时更新软件版本。（3）未经上级管理人员许可，当班人员不得在服务器上安装新软件，若确为需要安装，安装前应进行病毒例行检测。（4）经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。3.2.3. 数据保密及数据备份制度 （1）根据数据的保密规定和用途，确定使用16、人员的存取权限、存取方式和审批手续。 （2）禁止泄露、外借和转移专业数据信息。 （3）制定业务数据的更改审批制度，未经批准不得随意更改业务数据。 （4）每周五当班人员制作数据的备份并异地存放，确保系统一旦发生故障时能够快速恢复，备份数据不得更改。 （5）业务数据必须定期、完整、真实、准确地转储到不可更改的介质上，并要求集中和异地保存，保存期限至少2年。 （6）备份的数据必须指定专人负责保管，由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。 （7）备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。3.2.4. 网络安全管理员的17、职责 （1）网络安全管理员主要负责全公司网络（包含局域网、广域网）的系统安全性。 （2）负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。 （3）网络安全管理员应经常保持对最新技术的掌握，实时了解Internet的动向，做到预防为主。 （4）良好周密的日志记录以及细致的分析经常是预测攻击，定位攻击，以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后，网络安全管理员应确定其身份，并对其发出警告，提前制止可能的网络犯罪，若对方不听劝告，在保护系统安全的情况下可做善意阻击并向主管领导汇报。 （5）在做好本职工作的同时，应协助机房管理人员进行机房管理，严格按照18、机房制度执行日常维护。 （6）每月安全管理人员应向主管人员提交当月值班及事件记录，并对系统记录文件保存收档，以备检查。4. 推荐产品清单产品名称型号基本指标数量价格备注网络卫士网关系统TopGate 300-UTM1U主机，最大配置为12个接口，1个扩展插槽，标配4个10/100/1000BASE-T接口；整机吞吐量1Gbps；最大并发连接数160万；MTBF80000小时;IPS性能120M;防病毒性能100M1台部署在互联网边界，作为学校网络安全堡垒核心交换机推荐H3C/HUAWEI/CISCO三层交换机1台作为网络星形拓扑中心，可以沿用原锐捷2800光电收发器当部署核心交换机时，用于将核心交换机的电信号转换为光信号，从而从过光纤到达各教学楼。如果不部署核心交换机，则不部署