文档介绍:清华中学
网络改造规划方案
重庆天融信
2011年5月
文档说明
本文档所涉及到的文字、图表等,仅限于天融信公司及被呈送方内部使用,未经天融信网络安全技术有限公司书面许可,请勿扩散到第三方。
版本控制
版本号
日期
参与人员
更新说明
2011-05
天融信项目组
建立文档,初始化
分发控制
编号
读者
文档权限
与文档的主要关系
1
天融信项目组
编写,修改
负责编制、修改
2
清华中学局相关项目成员
读取
审核
目录
1. 网络现状分析 4
. 现状描述 4
. 网络存在问题 5
2. 本次建议规划原则 5
. 需求、风险、代价平衡的原则 5
. 综合性、整体性原则 6
. 一致性原则 6
. 易操作性原则 6
. 分步实施原则 6
. 多重保护原则 7
. 可评价性原则 7
. 可扩展性原则 7
. 先进性原则 7
. 管理为本原则 7
. 合理规划、分步实施原则 7
3. 规划设计 8
. 网络改造建议 8
. 改造拓扑 8
. 改造说明 8
. 建全各项管理规章制度 10
. 机房管理 10
. 计算机病毒防范制度 11
. 数据保密及数据备份制度 11
. 网络安全管理员的职责 12
4. 推荐产品清单 12
网络现状分析
重庆清华中学局网络建设完成已经于2003年完成,经过七八年的逐步建设完善、运行,基本保证了网络的运行。
图1-1 清华中学网络现状简图
现状描述
如图1-1,网络现状如下:
学校通过电信30M光纤接入互联网,巴南区教育城域网没有使用;
学校网络分为【学生区】与【教师区】;【学生区】主要包含学生机房,通过机房接入交换机连接到网络机房,;【教师区】网络与【学生区】网络类似,只是【教师区】包含服务器,与【学生区】;
【学生区】与【教师区】最终通过一台交换机接入互联网;
网络中包含一台3层交换机,但是没有使用三层功能,整个网络没有进行vlan划分;
网络设备经过多年逐次添加,布线混乱
网络存在问题
对于一套对网络可靠性、安全性要求较高的学校网络系统,存在以下安全问题:
没有通过划分vlan对关键应用(如服务器群)或关键终端进行二层隔离,使整个网络良好运行受到广播风暴、ARP病毒的威胁;
网络防火墙(包括【学生区】与【教师区】)部署于2003年,根据测试,设备已经超负荷运行、功能相对简单,不能满足保护整个网络安全需要;
网络结构需要优化:当前网络没有主干链路、vlan的概念,给网络管理、网络排错、网络维护带来极大的困扰;
在攻击、网络病毒、蠕虫等网络威胁日益严重的今天,整个网络缺乏入侵防御、网络防毒体系,使得整个网络极易受到来自互联网的威胁;
服务器群没有进行重点保护:服务器群可能遭受外部或者内部的攻击威胁;
网络流量没有良好的控制手段,互联网资源不能得到合理分配;
机房布线不规范,不仅影响美观,更重要是严重影响故障查找与管理;
本次建议规划原则
需求、风险、代价平衡的原则
无论对于任何形式的信息系统,绝对的信息安全都是难以达到的,而且在一定程度上也是没有必要的。对于一个具体的信息系统进行实际的调查研究(包括目标目的、阶段任务、性能、架构、可靠性、可维护性等),并对该系统面临的威胁及可能承担的安全风险进行定性与定量相结合的分析,然后制定满足实际需求的规范和措施,,确定符合实际信息系统风险成本花费的安全策略。
综合性、整体性原则
应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
一致性原则
一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则
安全措施需要人为去完成