午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、清華中學(xué)網(wǎng)絡(luò)改造規(guī)劃方案重慶天融信2011年5月文檔說明本文檔所涉及到的文字、圖表等，僅限于天融信公司及被呈送方內(nèi)部使用，未經(jīng)天融信網(wǎng)絡(luò)安全技術(shù)有限公司書面許可，請勿擴(kuò)散到第三方。版本控制版本號日期參與人員更新說明1.02011-05天融信項目組建立文檔，初始化分發(fā)控制編號讀者文檔權(quán)限與文檔的主要關(guān)系1天融信項目組編寫，修改負(fù)責(zé)編制、修改2清華中學(xué)局相關(guān)項目成員讀取審核目 錄1. 網(wǎng)絡(luò)現(xiàn)狀分析41.1. 現(xiàn)狀描述41.2. 網(wǎng)絡(luò)存在問題52. 本次建議規(guī)劃原則52.1. 需求、風(fēng)險、代價平衡的原則52.2. 綜合性、整體性原則62.3. 一致性原則62.4. 易操作性原則62.5. 分步實施原2、則62.6. 多重保護(hù)原則72.7. 可評價性原則72.8. 可擴(kuò)展性原則72.9. 先進(jìn)性原則72.10. 管理為本原則72.11. 合理規(guī)劃、分步實施原則73. 規(guī)劃設(shè)計83.1. 網(wǎng)絡(luò)改造建議83.1.1. 改造拓?fù)?3.1.2. 改造說明83.2. 建全各項管理規(guī)章制度103.2.1. 機(jī)房管理103.2.2. 計算機(jī)病毒防范制度113.2.3. 數(shù)據(jù)保密及數(shù)據(jù)備份制度113.2.4. 網(wǎng)絡(luò)安全管理員的職責(zé)124. 推薦產(chǎn)品清單121. 網(wǎng)絡(luò)現(xiàn)狀分析重慶清華中學(xué)局網(wǎng)絡(luò)建設(shè)完成已經(jīng)于2003年完成，經(jīng)過七八年的逐步建設(shè)完善、運行，基本保證了網(wǎng)絡(luò)的運行。圖1-1 清華中學(xué)網(wǎng)絡(luò)現(xiàn)狀簡圖1.13、. 現(xiàn)狀描述如圖1-1，網(wǎng)絡(luò)現(xiàn)狀如下： 學(xué)校通過電信30M光纖接入互聯(lián)網(wǎng)，巴南區(qū)教育城域網(wǎng)沒有使用； 學(xué)校網(wǎng)絡(luò)分為【學(xué)生區(qū)】與【教師區(qū)】；【學(xué)生區(qū)】主要包含學(xué)生機(jī)房，通過機(jī)房接入交換機(jī)連接到網(wǎng)絡(luò)機(jī)房，并通過一臺學(xué)生區(qū)專用防火墻接入Internet；【教師區(qū)】網(wǎng)絡(luò)與【學(xué)生區(qū)】網(wǎng)絡(luò)類似，只是【教師區(qū)】包含服務(wù)器，與【學(xué)生區(qū)】使用不同的防火墻連接入Internet； 【學(xué)生區(qū)】與【教師區(qū)】最終通過一臺交換機(jī)接入互聯(lián)網(wǎng)； 網(wǎng)絡(luò)中包含一臺3層交換機(jī)，但是沒有使用三層功能，整個網(wǎng)絡(luò)沒有進(jìn)行vlan劃分； 網(wǎng)絡(luò)設(shè)備經(jīng)過多年逐次添加，布線混亂1.2. 網(wǎng)絡(luò)存在問題對于一套對網(wǎng)絡(luò)可靠性、安全性要求較高的學(xué)校網(wǎng)絡(luò)4、系統(tǒng)，存在以下安全問題： 沒有通過劃分vlan對關(guān)鍵應(yīng)用（如服務(wù)器群）或關(guān)鍵終端進(jìn)行二層隔離，使整個網(wǎng)絡(luò)良好運行受到廣播風(fēng)暴、ARP病毒的威脅； 網(wǎng)絡(luò)防火墻（包括【學(xué)生區(qū)】與【教師區(qū)】）部署于2003年，根據(jù)測試，設(shè)備已經(jīng)超負(fù)荷運行、功能相對簡單，不能滿足保護(hù)整個網(wǎng)絡(luò)安全需要； 網(wǎng)絡(luò)結(jié)構(gòu)需要優(yōu)化：當(dāng)前網(wǎng)絡(luò)沒有主干鏈路、vlan的概念，給網(wǎng)絡(luò)管理、網(wǎng)絡(luò)排錯、網(wǎng)絡(luò)維護(hù)帶來極大的困擾； 在攻擊、網(wǎng)絡(luò)病毒、蠕蟲等網(wǎng)絡(luò)威脅日益嚴(yán)重的今天，整個網(wǎng)絡(luò)缺乏入侵防御、網(wǎng)絡(luò)防毒體系，使得整個網(wǎng)絡(luò)極易受到來自互聯(lián)網(wǎng)的威脅； 服務(wù)器群沒有進(jìn)行重點保護(hù)：服務(wù)器群可能遭受外部或者內(nèi)部的攻擊威脅； 網(wǎng)絡(luò)流量沒有良好的控制手5、段，互聯(lián)網(wǎng)資源不能得到合理分配； 機(jī)房布線不規(guī)范，不僅影響美觀，更重要是嚴(yán)重影響故障查找與管理；2. 本次建議規(guī)劃原則2.1. 需求、風(fēng)險、代價平衡的原則無論對于任何形式的信息系統(tǒng)，絕對的信息安全都是難以達(dá)到的，而且在一定程度上也是沒有必要的。對于一個具體的信息系統(tǒng)進(jìn)行實際的調(diào)查研究（包括目標(biāo)目的、階段任務(wù)、性能、架構(gòu)、可靠性、可維護(hù)性等），并對該系統(tǒng)面臨的威脅及可能承擔(dān)的安全風(fēng)險進(jìn)行定性與定量相結(jié)合的分析，然后制定滿足實際需求的規(guī)范和措施，確定符合實際信息系統(tǒng)風(fēng)險成本花費的安全策略。2.2. 綜合性、整體性原則應(yīng)用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段6、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識別技術(shù)、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產(chǎn)品等）。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)，包括個人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。2.3. 一致性原則一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計（包括初步或詳細(xì)設(shè)計）7、及實施計劃、網(wǎng)絡(luò)驗證、驗收、運行等，都要有安全的內(nèi)容及措施，實際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全措施，不但容易，且花費也小得多。2.4. 易操作性原則安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。2.5. 分步實施原則由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實的。同時由于實施信息安全措施需相當(dāng)?shù)馁M用支出。因此分步實施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。2.6. 多重保護(hù)原則任何安全措施都8、不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。2.7. 可評價性原則如何預(yù)先評價一個安全設(shè)計并驗證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機(jī)構(gòu)的評估來實現(xiàn)。2.8. 可擴(kuò)展性原則由于網(wǎng)絡(luò)安全是動態(tài)的，雖然現(xiàn)在的方案解決了目前安全，但是隨著時間的變化，原有的網(wǎng)絡(luò)安全解決方案可能滿足不了其需求，這時就需要對原有的網(wǎng)絡(luò)解方案進(jìn)行升級，所以現(xiàn)有的網(wǎng)絡(luò)解決方案應(yīng)該是具有可擴(kuò)展性。2.9. 先進(jìn)性原則采用當(dāng)今國內(nèi)、國際上最先進(jìn)和成熟的計算機(jī)軟硬件平臺、軟件設(shè)計編程方法、開放式的體系結(jié)構(gòu)和信息安全保障體系，使新建立的9、系統(tǒng)能夠最大限度地適應(yīng)今后的業(yè)務(wù)發(fā)展變化需要。2.10. 管理為本原則安全技術(shù)是靜態(tài)，而解決網(wǎng)絡(luò)信息安全卻是一個動態(tài)的過程，只有好的安全管理才能保證安全技術(shù)得到正確、合理和及時的使用。三分技術(shù)，七分管理就是這樣來的。2.11. 合理規(guī)劃、分步實施原則一個完整的網(wǎng)絡(luò)安全解決方案不可能在很短的時間全部實施完成，需要對整個安全建設(shè)過程進(jìn)行合理的規(guī)劃。根據(jù)清華中學(xué)網(wǎng)絡(luò)現(xiàn)狀，有步驟的分步實施。3. 規(guī)劃設(shè)計3.1. 網(wǎng)絡(luò)改造建議根據(jù)【網(wǎng)絡(luò)現(xiàn)狀分析】與【規(guī)劃原則】，本次改造建議的主要內(nèi)容是： 規(guī)范網(wǎng)絡(luò)結(jié)構(gòu)（包括結(jié)構(gòu)改造與vlan劃分等工作）； 網(wǎng)絡(luò)主干鏈路保護(hù)、關(guān)鍵區(qū)域保護(hù)； 網(wǎng)絡(luò)入侵防御系統(tǒng)部署； 網(wǎng)絡(luò)10、防毒部署； 機(jī)房規(guī)范布線。3.1.1. 改造拓?fù)鋱D3-1 改造建立拓?fù)涫疽鈭D3.1.2. 改造說明3.1.2.1. 網(wǎng)絡(luò)邊界改造考慮到原網(wǎng)絡(luò)中沒有統(tǒng)一邊界，且原網(wǎng)絡(luò)防火墻設(shè)備老化，在運行中嚴(yán)重超負(fù)荷，且功能不足，本次建議首先改造網(wǎng)絡(luò)邊界，采用在網(wǎng)絡(luò)邊界新部署一臺天融信多功能網(wǎng)關(guān)(以下簡稱UTM)，包含防火墻、入侵防御系統(tǒng)、防毒系統(tǒng)、VPN系統(tǒng)、網(wǎng)頁過濾系統(tǒng)的功能：通過防火墻細(xì)粒度的訪問控制策略，有效阻斷來自互聯(lián)網(wǎng)對學(xué)校網(wǎng)絡(luò)的攻擊，而且如今防御系統(tǒng)、防毒系統(tǒng)的開啟則可以進(jìn)一步完善整個安全體系。采用UTM設(shè)備進(jìn)行邊界隔離和訪問控制，制定嚴(yán)格的訪問策略，限制未經(jīng)過許可的訪問，從而確保網(wǎng)絡(luò)的邊界安全。11、UTM是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，通過監(jiān)測、限制、更改跨越UTM的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，有選擇地接受外部訪問，對內(nèi)部強化設(shè)備監(jiān)管、控制對服務(wù)器與外部網(wǎng)絡(luò)的訪問，在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間架起一道屏障，以防止發(fā)生不可預(yù)測的、潛在的破壞性侵入。將需要對外發(fā)布的服務(wù)器（如web服務(wù)器）部署在UTM的DMZ區(qū)，防止黑客通過服務(wù)器攻擊學(xué)校網(wǎng)絡(luò)。通過對邊界的改造，有效地保護(hù)了整個主干網(wǎng)絡(luò)；3.1.2.2. 網(wǎng)絡(luò)主干改造原網(wǎng)絡(luò)結(jié)構(gòu)不規(guī)范，通過【網(wǎng)絡(luò)邊界】改造一定程度上規(guī)范了主干聯(lián)絡(luò)，但一個典型的網(wǎng)絡(luò)主干應(yīng)該包含一臺核心交換機(jī)；考慮到學(xué)校網(wǎng)絡(luò)流量不是太大，因12、此本次建議新部署一臺三層交換作為網(wǎng)絡(luò)核心交換機(jī)（或者直接使用現(xiàn)有的銳捷2800）3.1.2.3. vlan劃分為實現(xiàn)網(wǎng)絡(luò)整體安全性，減小廣播風(fēng)暴對整個網(wǎng)絡(luò)影響，本次升級方案根據(jù)用將網(wǎng)絡(luò)劃分為多個vlan： 內(nèi)部服務(wù)器群一個vlan； 每個機(jī)房一個vlan； 不同教學(xué)樓的教師機(jī)可以單獨劃分vlan。3.1.2.4. 關(guān)鍵區(qū)域保護(hù)對于一個網(wǎng)絡(luò)來說，服務(wù)器區(qū)域無疑是整個網(wǎng)絡(luò)的核心保護(hù)區(qū)。因此應(yīng)該單獨進(jìn)行保護(hù)，考慮到成本問題，本次方案建議在劃分服務(wù)器vlan后，在服務(wù)器群與核心交換機(jī)之間部署原有防火墻，以此對防止內(nèi)網(wǎng)用戶對服務(wù)器有意、無意的攻擊。3.1.2.5. 機(jī)房線路規(guī)范將機(jī)房線路進(jìn)行規(guī)范捆扎，并13、進(jìn)行相應(yīng)標(biāo)識。如果有條件，最好使用配線架規(guī)范走線。3.2. 建全各項管理規(guī)章制度良好的信息系統(tǒng)需要完善的規(guī)章制度來保障，建立完善各項管理規(guī)章制度，以進(jìn)一步保證清華中學(xué)局信息系統(tǒng)的穩(wěn)定和安全。（1）機(jī)房管理（2）計算機(jī)病毒防范制度（3）數(shù)據(jù)保密及數(shù)據(jù)備份制度（4）網(wǎng)絡(luò)安全管理員的職責(zé)3.2.1. 機(jī)房管理（1）路由器、交換機(jī)和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備，須放置計算機(jī)機(jī)房內(nèi)，不得自行配置或更換，更不能挪作它用。（2）計算機(jī)房要保持清潔、衛(wèi)生，并由專人7*24負(fù)責(zé)管理和維護(hù)(包括溫度、濕度、電力系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)，無關(guān)人員未經(jīng)管理人員批準(zhǔn)嚴(yán)禁進(jìn)入機(jī)房。（3）嚴(yán)禁易燃易爆和強磁物品及其它與機(jī)房14、工作無關(guān)的物品進(jìn)入機(jī)房。（4）建立機(jī)房登記制度，對本地局域網(wǎng)絡(luò)、廣域網(wǎng)的運行，建立檔案。未發(fā)生故障或故障隱患時當(dāng)班人員不可對中繼、光纖、網(wǎng)線及各種設(shè)備進(jìn)行任何調(diào)試，對所發(fā)生的故障、處理過程和結(jié)果等做好詳細(xì)登記。（5）網(wǎng)管人員應(yīng)做好網(wǎng)絡(luò)安全工作，服務(wù)器的各種帳號嚴(yán)格保密。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊的行為并給予響應(yīng)和處理。（6）做好操作系統(tǒng)的補丁修正工作。（7）網(wǎng)管人員統(tǒng)一管理計算機(jī)及其相關(guān)設(shè)備，完整保存計算機(jī)及其相關(guān)設(shè)備的驅(qū)動程序、保修卡及重要隨機(jī)文件。（8）計算機(jī)及其相關(guān)設(shè)備的報廢需經(jīng)過管理部門或?qū)Ｂ毴藛T鑒定，確認(rèn)不符合使用要求后方可申請報廢。（9）制定數(shù)據(jù)管理制度。對數(shù)據(jù)實施嚴(yán)格的安15、全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。當(dāng)班人員應(yīng)在數(shù)據(jù)庫的系統(tǒng)認(rèn)證、系統(tǒng)授權(quán)、系統(tǒng)完整性、補丁和修正程序方面實時修改。3.2.2. 計算機(jī)病毒防范制度（1）網(wǎng)絡(luò)管理人員應(yīng)有較強的病毒防范意識，定期進(jìn)行病毒檢測(特別是郵件服務(wù)器)，發(fā)現(xiàn)病毒立即處理并通知管理部門或?qū)Ｂ毴藛T。（2）采用國家許可的正版防病毒軟件并及時更新軟件版本。（3）未經(jīng)上級管理人員許可，當(dāng)班人員不得在服務(wù)器上安裝新軟件，若確為需要安裝，安裝前應(yīng)進(jìn)行病毒例行檢測。（4）經(jīng)遠(yuǎn)程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認(rèn)無病毒后方可使用。3.2.3. 數(shù)據(jù)保密及數(shù)據(jù)備份制度 （1）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用16、人員的存取權(quán)限、存取方式和審批手續(xù)。 （2）禁止泄露、外借和轉(zhuǎn)移專業(yè)數(shù)據(jù)信息。 （3）制定業(yè)務(wù)數(shù)據(jù)的更改審批制度，未經(jīng)批準(zhǔn)不得隨意更改業(yè)務(wù)數(shù)據(jù)。 （4）每周五當(dāng)班人員制作數(shù)據(jù)的備份并異地存放，確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復(fù)，備份數(shù)據(jù)不得更改。 （5）業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實、準(zhǔn)確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少2年。 （6）備份的數(shù)據(jù)必須指定專人負(fù)責(zé)保管，由管理人員按規(guī)定的方法同數(shù)據(jù)保管員進(jìn)行數(shù)據(jù)的交接。交接后的備份數(shù)據(jù)應(yīng)在指定的數(shù)據(jù)保管室或指定的場所保管。 （7）備份數(shù)據(jù)資料保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。3.2.4. 網(wǎng)絡(luò)安全管理員的17、職責(zé) （1）網(wǎng)絡(luò)安全管理員主要負(fù)責(zé)全公司網(wǎng)絡(luò)（包含局域網(wǎng)、廣域網(wǎng)）的系統(tǒng)安全性。 （2）負(fù)責(zé)日常操作系統(tǒng)、網(wǎng)管系統(tǒng)、郵件系統(tǒng)的安全補丁、漏洞檢測及修補、病毒防治等工作。 （3）網(wǎng)絡(luò)安全管理員應(yīng)經(jīng)常保持對最新技術(shù)的掌握，實時了解Internet的動向，做到預(yù)防為主。 （4）良好周密的日志記錄以及細(xì)致的分析經(jīng)常是預(yù)測攻擊，定位攻擊，以及遭受攻擊后追查攻擊者的有力武器。察覺到網(wǎng)絡(luò)處于被攻擊狀態(tài)后，網(wǎng)絡(luò)安全管理員應(yīng)確定其身份，并對其發(fā)出警告，提前制止可能的網(wǎng)絡(luò)犯罪，若對方不聽勸告，在保護(hù)系統(tǒng)安全的情況下可做善意阻擊并向主管領(lǐng)導(dǎo)匯報。 （5）在做好本職工作的同時，應(yīng)協(xié)助機(jī)房管理人員進(jìn)行機(jī)房管理，嚴(yán)格按照18、機(jī)房制度執(zhí)行日常維護(hù)。 （6）每月安全管理人員應(yīng)向主管人員提交當(dāng)月值班及事件記錄，并對系統(tǒng)記錄文件保存收檔，以備檢查。4. 推薦產(chǎn)品清單產(chǎn)品名稱型號基本指標(biāo)數(shù)量價格備注網(wǎng)絡(luò)衛(wèi)士網(wǎng)關(guān)系統(tǒng)TopGate 300-UTM1U主機(jī)，最大配置為12個接口，1個擴(kuò)展插槽，標(biāo)配4個10/100/1000BASE-T接口；整機(jī)吞吐量1Gbps；最大并發(fā)連接數(shù)160萬；MTBF80000小時;IPS性能120M;防病毒性能100M1臺部署在互聯(lián)網(wǎng)邊界，作為學(xué)校網(wǎng)絡(luò)安全堡壘核心交換機(jī)推薦H3C/HUAWEI/CISCO三層交換機(jī)1臺作為網(wǎng)絡(luò)星形拓?fù)渲行模梢匝赜迷J捷2800光電收發(fā)器當(dāng)部署核心交換機(jī)時，用于將核心交換機(jī)的電信號轉(zhuǎn)換為光信號，從而從過光纖到達(dá)各教學(xué)樓。如果不部署核心交換機(jī)，則不部署