校園安防解決方案（二）

1、中國中國安防安防行業(yè)網(wǎng)：行業(yè)網(wǎng)：.cn校園安防解決方案（二）校園安防解決方案（二）來源：中國安防行業(yè)網(wǎng).cn目錄目錄1、校園網(wǎng)網(wǎng)絡(luò)安全解決案例........................................................................................................12、成都電子科技大學(xué)無線校園網(wǎng)建設(shè)案例.........................

2、........................................................33、校園智能廣播技術(shù)方案分析....................................................................................................54、廣播系統(tǒng)在校園中的應(yīng)用...................................

3、.....................................................................85、廣州市大學(xué)城校園監(jiān)控系統(tǒng)工程案例簡介...........................................................................10內(nèi)容內(nèi)容1、校園網(wǎng)網(wǎng)絡(luò)安全解決案例、校園網(wǎng)網(wǎng)絡(luò)安全解決案例校園網(wǎng)網(wǎng)絡(luò)是一個分層次的拓?fù)浣Y(jié)構(gòu)，因此網(wǎng)絡(luò)的安全

4、防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施。即一個完整的校園網(wǎng)網(wǎng)絡(luò)信息安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)的各個層次，并且與安全管理相結(jié)合。一、網(wǎng)絡(luò)信息安全系統(tǒng)設(shè)計原則1.1滿足Inter分級管理需求1.2需求、風(fēng)險、代價平衡的原則1.3綜合性、整體性原則1.4可用性原則1.5分步實(shí)施原則目前，對于新建網(wǎng)絡(luò)及已投入運(yùn)行的網(wǎng)絡(luò)，必須盡快解決網(wǎng)絡(luò)的安全保密問題，設(shè)計時應(yīng)遵循如下思想：（1）大幅度地提高系統(tǒng)的安全性和保密性；（2）保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的

5、協(xié)議和傳輸具有很好的透明性；（3）易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；（4）盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；（5）安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；（6）安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督?；谏鲜鏊枷?，網(wǎng)絡(luò)信息安全系統(tǒng)應(yīng)遵循如下設(shè)計原則：滿足因特網(wǎng)的分級管理需求根據(jù)Inter網(wǎng)絡(luò)規(guī)模大、用戶眾多的特點(diǎn)，對InterIntra信息安

6、全實(shí)施分級管理的解決方案，將對它的控制點(diǎn)分為三級實(shí)施安全管理。第一級：中心級網(wǎng)絡(luò)，主要實(shí)現(xiàn)內(nèi)外網(wǎng)隔離；內(nèi)外網(wǎng)用戶的訪問控制；內(nèi)部網(wǎng)的監(jiān)控；中國中國安防安防行業(yè)網(wǎng)：行業(yè)網(wǎng)：.cn如何評價網(wǎng)絡(luò)系統(tǒng)的整體安全性基于這些安全問題的提出，網(wǎng)絡(luò)信息系統(tǒng)一般應(yīng)包括如下安全機(jī)制：訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認(rèn)證、隱藏網(wǎng)絡(luò)內(nèi)部信息（如NAT）等。]四、網(wǎng)絡(luò)安全層次及安全措施4.1鏈路安全4.2網(wǎng)絡(luò)安全4.3信息安全網(wǎng)絡(luò)的安全層次分為:鏈路安全

7、、網(wǎng)絡(luò)安全、信息安全網(wǎng)絡(luò)的安全層次及在相應(yīng)層次上采取的安全措施見下表。信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)（CA）網(wǎng)絡(luò)安全訪問控制（防火墻)網(wǎng)絡(luò)安全檢測入侵檢測（監(jiān)控)IPSEC（IP安全）審計分析鏈路安全鏈路加密4.1鏈路安全鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機(jī)。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一

8、節(jié)點(diǎn)后立即解密。加密后的數(shù)據(jù)不能進(jìn)行路由交換。因此，在加密后的數(shù)據(jù)不需要進(jìn)行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設(shè)備。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點(diǎn)對點(diǎn)通信環(huán)境，它包括異步線路密碼機(jī)和同步線路密碼機(jī)。異步線路密碼機(jī)主要用于電話網(wǎng)，同步線路密碼機(jī)則可用于許多專線環(huán)境。42網(wǎng)絡(luò)安全網(wǎng)絡(luò)的安全問題主要是由網(wǎng)絡(luò)的開放性、無邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡(luò)的安全首先應(yīng)該考慮把被保護(hù)的網(wǎng)絡(luò)

9、由開放的、無邊界的網(wǎng)絡(luò)環(huán)境中獨(dú)立出來，成為可管理、可控制的安全的內(nèi)部網(wǎng)絡(luò)。也只有做到這一點(diǎn)，實(shí)現(xiàn)信息網(wǎng)絡(luò)的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實(shí)現(xiàn)內(nèi)部網(wǎng)（信任網(wǎng)絡(luò)）與外部不可信任網(wǎng)絡(luò)（如因特網(wǎng)）之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應(yīng)用代理型防火墻，還有一類是復(fù)合型防火墻，即包過濾與應(yīng)用代理型防火墻的結(jié)合。包

10、過濾防火墻通?；贗P數(shù)據(jù)包的源或目標(biāo)IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進(jìn)行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡(luò)性能和更好的應(yīng)用程序透明性。代理型防火墻作用在應(yīng)用層，一般可以對多種應(yīng)用協(xié)議進(jìn)行代理，并對用戶身份進(jìn)行鑒別，并提供比較詳細(xì)的日志和審計信息；其缺點(diǎn)是對每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，并且基于代理的防火墻常常會使網(wǎng)絡(luò)性能明顯下降。應(yīng)指出的是，在網(wǎng)絡(luò)安全問題日益突出的今天，防火墻技術(shù)發(fā)展迅速，目前一些領(lǐng)先防

11、火墻廠商已將很多網(wǎng)絡(luò)邊緣功能及網(wǎng)管功能集成到防火墻當(dāng)中，這些功能有：VPN功能、計費(fèi)功能、流量統(tǒng)計與控制功能、監(jiān)控功能、NAT功能等等。信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產(chǎn)品只是一個良好的開端，但它只能解決60%－80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應(yīng)的弱化、系統(tǒng)的配置錯誤、對安全風(fēng)險的感知程度低、動態(tài)變化的應(yīng)用環(huán)境充滿弱點(diǎn)等，這些都是對信息系統(tǒng)安全的