校園安防解決方案（二）

1、中國中國安防安防行業(yè)網(wǎng)：行業(yè)網(wǎng)：.cn校園安防解決方案（二）校園安防解決方案（二）來源：中國安防行業(yè)網(wǎng).cn目錄目錄1、校園網(wǎng)網(wǎng)絡安全解決案例........................................................................................................12、成都電子科技大學無線校園網(wǎng)建設案例.........................

2、........................................................33、校園智能廣播技術方案分析....................................................................................................54、廣播系統(tǒng)在校園中的應用...................................

3、.....................................................................85、廣州市大學城校園監(jiān)控系統(tǒng)工程案例簡介...........................................................................10內容內容1、校園網(wǎng)網(wǎng)絡安全解決案例、校園網(wǎng)網(wǎng)絡安全解決案例校園網(wǎng)網(wǎng)絡是一個分層次的拓撲結構，因此網(wǎng)絡的安全

4、防護也需采用分層次的拓撲防護措施。即一個完整的校園網(wǎng)網(wǎng)絡信息安全解決方案應該覆蓋網(wǎng)絡的各個層次，并且與安全管理相結合。一、網(wǎng)絡信息安全系統(tǒng)設計原則1.1滿足Inter分級管理需求1.2需求、風險、代價平衡的原則1.3綜合性、整體性原則1.4可用性原則1.5分步實施原則目前，對于新建網(wǎng)絡及已投入運行的網(wǎng)絡，必須盡快解決網(wǎng)絡的安全保密問題，設計時應遵循如下思想：（1）大幅度地提高系統(tǒng)的安全性和保密性；（2）保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的

5、協(xié)議和傳輸具有很好的透明性；（3）易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；（4）盡量不影響原網(wǎng)絡拓撲結構，便于系統(tǒng)及系統(tǒng)功能的擴展；（5）安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；（6）安全與密碼產品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。基于上述思想，網(wǎng)絡信息安全系統(tǒng)應遵循如下設計原則：滿足因特網(wǎng)的分級管理需求根據(jù)Inter網(wǎng)絡規(guī)模大、用戶眾多的特點，對InterIntra信息安

6、全實施分級管理的解決方案，將對它的控制點分為三級實施安全管理。第一級：中心級網(wǎng)絡，主要實現(xiàn)內外網(wǎng)隔離；內外網(wǎng)用戶的訪問控制；內部網(wǎng)的監(jiān)控；中國中國安防安防行業(yè)網(wǎng)：行業(yè)網(wǎng)：.cn如何評價網(wǎng)絡系統(tǒng)的整體安全性基于這些安全問題的提出，網(wǎng)絡信息系統(tǒng)一般應包括如下安全機制：訪問控制、安全檢測、攻擊監(jiān)控、加密通信、認證、隱藏網(wǎng)絡內部信息（如NAT）等。]四、網(wǎng)絡安全層次及安全措施4.1鏈路安全4.2網(wǎng)絡安全4.3信息安全網(wǎng)絡的安全層次分為:鏈路安全

7、、網(wǎng)絡安全、信息安全網(wǎng)絡的安全層次及在相應層次上采取的安全措施見下表。信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性鑒別安全管理信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內容審計用戶鑒別授權（CA）網(wǎng)絡安全訪問控制（防火墻)網(wǎng)絡安全檢測入侵檢測（監(jiān)控)IPSEC（IP安全）審計分析鏈路安全鏈路加密4.1鏈路安全鏈路安全保護措施主要是鏈路加密設備，如各種鏈路加密機。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一

8、節(jié)點后立即解密。加密后的數(shù)據(jù)不能進行路由交換。因此，在加密后的數(shù)據(jù)不需要進行路由交換的情況下，如DDN直通專線用戶就可以選擇路由加密設備。一般，線路加密產品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網(wǎng)，同步線路密碼機則可用于許多專線環(huán)境。42網(wǎng)絡安全網(wǎng)絡的安全問題主要是由網(wǎng)絡的開放性、無邊界性、自由性造成的，所以我們考慮校園網(wǎng)信息網(wǎng)絡的安全首先應該考慮把被保護的網(wǎng)絡

9、由開放的、無邊界的網(wǎng)絡環(huán)境中獨立出來，成為可管理、可控制的安全的內部網(wǎng)絡。也只有做到這一點，實現(xiàn)信息網(wǎng)絡的安全才有可能，而最基本的分隔手段就是防火墻。利用防火墻，可以實現(xiàn)內部網(wǎng)（信任網(wǎng)絡）與外部不可信任網(wǎng)絡（如因特網(wǎng)）之間或是內部網(wǎng)不同網(wǎng)絡安全域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。目前市場上成熟的防火墻主要有如下幾類，一類是包過濾型防火墻，一類是應用代理型防火墻，還有一類是復合型防火墻，即包過濾與應用代理型防火墻的結合。包

10、過濾防火墻通常基于IP數(shù)據(jù)包的源或目標IP地址、協(xié)議類型、協(xié)議端口號等對數(shù)據(jù)流進行過濾，包過濾防火墻比其它模式的防火墻有著更高的網(wǎng)絡性能和更好的應用程序透明性。代理型防火墻作用在應用層，一般可以對多種應用協(xié)議進行代理，并對用戶身份進行鑒別，并提供比較詳細的日志和審計信息；其缺點是對每種應用協(xié)議都需提供相應的代理程序，并且基于代理的防火墻常常會使網(wǎng)絡性能明顯下降。應指出的是，在網(wǎng)絡安全問題日益突出的今天，防火墻技術發(fā)展迅速，目前一些領先防

11、火墻廠商已將很多網(wǎng)絡邊緣功能及網(wǎng)管功能集成到防火墻當中，這些功能有：VPN功能、計費功能、流量統(tǒng)計與控制功能、監(jiān)控功能、NAT功能等等。信息系統(tǒng)是動態(tài)發(fā)展變化的，確定的安全策略與選擇合適的防火墻產品只是一個良好的開端，但它只能解決60%－80%的安全問題，其余的安全問題仍有待解決。這些問題包括信息系統(tǒng)高智能主動性威脅、后續(xù)安全策略與響應的弱化、系統(tǒng)的配置錯誤、對安全風險的感知程度低、動態(tài)變化的應用環(huán)境充滿弱點等，這些都是對信息系統(tǒng)安全的