en
茶陵思源实验学校信息化建设
2019-09-18
65 

本次安全建设需求如下:

1、外网出口防护:出口安全是整个系统的第一层防护措施,能够保证整个系统整体的安全稳定以及独立性,结合上述的一些功能化的安全措施,从而对内部安全网络形成立体、全面的防护。

2、整网入侵防御系统:

一、全网出口和服务器区域边界:针对现在流行的以蠕虫、木马、间谍软件、DDoS攻击、带宽滥用为代表的应用层攻击,需要在核心链路部署入侵防御系统对整网的应用层入侵提供安全保障。

二、服务器区域的WEB应用安全防护:此次web系统作为对外企业门户网站系统平台,需要考虑在Internet上的安全因素,如跨站脚本攻击、网页篡改、DDOS攻击、SQL注入攻击、溢出攻击等等。WEB应用的安全防护,需要通过主动与被动结合,事前防御和事后弥补的多层次手段来达到防护目的。

4、链路及系统优化:

一、全网出口链路负载:

考虑到客户的多条出口链路情况,为了使客户带宽资源利用率提高,以及优化Internet访问,需要根据访问目的IP地址等等对出口链路进行负载均衡。

二、服务器区域服务器负载:由于学校内外系统平台的访问频繁及高流量、高峰值的特性,所以需要对系统服务器群进行访问优化,根据每台服务器实时性能状态、资源耗用率,链路质量等等因素对业务系统进行负载均衡

5、全网出口流量控制及上网审计需求:根据公安部第82号令,以及学校自身办公效率提升诉求,需要针对网络出口不同流量进行智能分析处理,保障关键应用流量,限制无关应用,同时规范师生上网行为,防止非法上网行为给学校造成不良的社会影响。

6、可对全网安全防护设备进行统一平台管理,解决网络异构管理难题。

1.1  建设原则

通过统一管理平台管理整个网络及业务系统出口,对互联网出口的安全防护、分区分域建设。系统建成应为完整的可扩展的一套系统,实现数据处理、数据检索、日志存储、策略定制和分组管理等需要。

稳定性:系统需具备高度的稳定性,支持软、硬件Bypass,保障系统的正常运行。

实用性:主要技术和产品必须具有成熟、稳定、实用的特点,既要便于用户使用,又要便于系统管理。

先进性:系统设计要采用成熟可靠的体系和软件硬件产品,应支持对主流技术、协议和标准的升级,以及有完备的技术支持团队。

开放性:系统平台应是一个开放的且符合业界主流技术标准的平台,要适应业务应用对系统进行定制的要求。

扩展性:系统应支持灵活组网和网络改扩建的需要,能够快速部署和随网络结构进行调整,并无需改动平台主体结构和功能。

安全性:要对数据库提供备份和恢复机制,对管理权限实行分组管理分组授权。

 

 

1.2  方案思路

通过与客户进行技术交流,需求收集及分析,此次学校网络的整体安全改造解决方案包含系统出口边界安全防护、FW、WEB应用安全防护、链路优化、流量控制及上网行为审计等四大方面。通过多层次、多纬度的防护技术和客户系统的应用交付优化措施,为客户网络完成全方位无缝隙的安全防护,以及更优的用户体验。

客户系统通过本方案的建设部署后,整体拓扑如下:

1.2.1  整体拓扑

5.png

Copyright © 2016 湖南东兴信息技术有限公司. All rights reserved  ICP备案号:湘ICP备17018379号-1