设计方案一、立项背景随着高校内各种网络工程的深入实施,学校教育信息化、校园网络化已经成为网络时代教育的发展方向。
在当今的互联网环境下,计算机被攻击、破坏的事件经常发生,我们经常需要面对的信息安全问题有:黑客侵袭、内部漏洞、病毒干扰、人为错误等。
因此,在校园网络建设中,网络信息安全成为需要特别考虑的问题。
1.1、校园网信息系统安全现状1.2、现有安全技术和需求1.操作系统和应用软件自身的身份认证功能,实现访问限制。
2.定期对重要数据进行备份数据备份。
3.每台校园网电脑安装有防毒杀毒软件。
1.构建涵盖校园网所有入网设备的病毒立体防御体系。
计算机终端防病毒软件能及时有效地发现、抵御病毒的攻击和彻底清除病毒,通过计算机终端防病毒软件实现统一的安装、统一的管理和病毒库的更新。
2. 建立全天候监控的网络信息入侵检测体系在校园网关键部位安装网络入侵检测系统,实时对网络和信息系统访问的异常行为进行监测和报警。
3. 建立高效可靠的内网安全管理体系只有解决网络内部的安全问题,才可以排除网络中最大的安全隐患,内网安全管理体系可以从技术层面帮助网管人员处理好繁杂的客户端问题。
4. 建立虚拟专用网(VPN)和专用通道使用VPN网关设备和相关技术手段,对机密性要求较高的用户建立虚拟专用网。
经调查,现有校园网络拓扑图如下:二、设计方案拓扑图三、设计原则根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素,参照SSE-CMM("系统安全工程能力成熟模型")和ISO17799(信息安全管理标准)等国际标准,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下9项原则:3.2.物理层设计3.2.1物理位置选择3.3网络层设计3.3.1防火墙技术建立在现代通信网络技术和信息安全技术基础上的防火墙技术是目前应用最广泛的防护技术.在逻辑上,它既是一个分离器也是一个限制器,同时它还是一个分析器,通过设置在异构网络(如可信的校园网与不可信的公共网)之间的一系列部件的组合有效监控内部网与外层网络之间的信息流动,使得只有经过精心选择的应用协议才能通过,保证了内网环境的安全,如图所示:作为校园网安全的屏障,防火墙是连接内、外层网络之间信息的唯一出入口,根据具体的安全政策控制(允许、拒绝、监测)出入网络的信息流.校园网络管理员要将诸如口令、加密、身份认证、审计等的所有安全软件配置在防火墙上以便对网络存取和访问进行监控审计.同时利用防火墙的日志记录功能做好备份,提供网络使用情况的统计数据。
假定校园网通过Cisco路由器与CERNET相连。
校园内的IP地址范围是确定的,且有明确的闭和边界。
它有一个C类的IP地址,有DNS,Email,WWW,FTP等服务器,可采用以下存取控制策略。
对进入CERNET主干网的存取控制校园网有自己IP地址,应禁止IP地址从本校路由器访问CERNET。
可用下述命令设置与校园网连接的路由器:Interface E0Decription campusNetIpadd 162.105.17.1access_list group 20 out!access_list 20 permit ip 162.105.17.0 0.0.2252: 对网络中心资源主机的访问控制网络中心的DNS,Email,FTP,WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止DNS,Email,WWW,FTP 以外的一切服务。
3:对校外非法网址的访问一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的,这时可通过计费系统获得最新的IP访问信息,利用域名查询或字符匹配等方法确定来自某个IP的访问是非法的。
3.3.2、拓扑结构:3.4、网络层设计3.5传输层安全操作系统是整个园区网系统工作的基础,也是系统安全的基础,因而必须采取措施保证操作系统平台的安全。
安全措施主要包括:采用安全性较高的系统,对系统文件加密,操作系统防病毒、系统漏洞及入侵检测等。
3.6、应用层安全3.7、管理层安全1. 制定一套严谨严格的操作守则。
要求网管人员严格按照守则进行管理工作。
2.加强网络管理人员的培训。
定期对网管人员进行培训,并出外考察,多增长与时俱进的网管技术。
四、材料清单和工程设计4.1、材料清单售后服务方案1.售后服务概述公司长期以来一直致力于提供高质量、完善的支持服务,确保用户的系统稳定运行。
公司拥有一批资深的施工人员,具有丰富的经验,能够很好的解决设备各类故障,强大的用户支持队伍和良好的用户满意度是我们的一大优势。
维护计划及承诺一、项目售后服务内容承诺我公司贯彻执行:“诚信正直、成就客户、完善自我、追求卓越”的宗旨,对于已经竣工、验收合格的项目进行质量跟踪服务,本着技术精益求精的精神,向用户奉献一流的技术和一流的维护服务。
我公司如果承接了端拾器项目,将严格遵循标书及合同的规定,在保证期内向业主提供该项目的责任和义务。
在保修期之后,考虑到设备维护的连续性,建议业主与我公司签订维护合同,以确保此系统项目的正常运行所必需的技术支持和管理支持。
二、服务与保证期在项目验收合格之日起,开始进行售后服务工作,包括以下几个方面:1、售后服务期;2、维护人员;3、售后服务项目;4、服务响应时间。
三、售后服务期在项目验收合格之日起,即进入了售后服务期。
售后服务期=质量保证期+质量维护期质量保证期:在质量保证期内,如因质量问题造成的故障,实行免费更换设备、元器件及材料。
如因非质量因素造成的故障,收取更换设备、元器件及材料成本费。
质量维护期:在质量保证期之后,即自行进入质量维护期。
我方对所承担端拾器项目提供终身质量维护服务,以不高于本合同设备单价的优惠价格提供所需更换的元器件及材料,另收维护人员工本费。
四、具体措施承诺1、首先在签订项目合同的同时与客户签订售后服务保证协议书,排除客户的后顾之忧,对客户做出实事求是的、客观的承诺。
2、对已经验收合格交付用户的端拾器项目,在合同期内与用户进行联系,记录用户使用情况,系统运行状况等进行质量跟踪调查,变被动服务为主动服务。
3、对已交工的端拾器项目建立系统运行档案,并进行质量跟踪。
4、系统运行档案记录其端拾器项目运行情况、各类设备使用情况、操作人员操作水平情况及人员流动情况。
5、针对各用户单位操作人员出现的代表性问题,定期对操作人员进行技术培训或到现场培训及指导。
6、正在使用中的系统、设备出现故障时,公司维修服务人员接到报告后及时赴现场处理、维修。
7、对于运行时间较长的端拾器项目,公司维修服务人员定期与客户进行联系询问情况,定期到客户方进行巡视、检查,并做出记录,记录归档保存。
8、施工保证将选派具有丰富经验的技术人员负责端拾器项目具体施工,保证安装质量及系统使用功能,并保证整个系统运行平稳、高效、可靠。
9、系统保修作为项目承包单位,我公司将严格遵循招标文件及合同的规定,向业主提供端拾器项目最终验收合格之日起,在保质期范围内免费维修。
10、保修期内设备损坏,经鉴定为设备本身原因造成的故障,我方负责免费维修或者更换;同时负责在保修期内定期对设备提供保养维护服务。
总之,为使业主使用放心、使用方便、保证端拾器项目正常运行,公司全体技术、维护人员本着客户第一的原则,全心全意地为客户着想,全力以赴的进行工作,让我们共同携手,为创造美好的明天而努力工作。
五、保修服务内容及范围我公司将为所承担的各个端拾器项目提供保修服务,有效期从项目验收后,业主在竣工报告上签字之日起。
1、响应时间:具体的响应时间将按故障级别划分;2、维修地点:用户现场。
我公司负责实施的所有系统项目,在正常环境下做适当使用时所发生的故障,我公司将提供约定保修服务。
非当前故障,我公司安排提供服务,但需按收费标准另收费用。
我公司的保修服务仅限于经我公司认定的合格产品。
所谓不合格的产品包括:非经我公司供应的产品、非经我公司认定合格的产品及顾客不允许我公司做功能改进的产品。
下列情况所发生的系统损害不包括在保修服务范围内:1、使用不适当的工具进行系统维护时造成的系统设备损坏;2、现场环境不符合我公司建议的规范;3、意外、自然灾害、疏忽及不当使用、战争、暴动、罢工、雷击或电力故障、顾客搬运不当的损坏,经由非我公司人员或其授权的子承包商对系统进行修改和变动;4.设备的维护和信息处理方式。
六、系统维护1、系统运行管理工作为了保证系统能够长时间的正常运行,我们将进行完善的系统培训,同时制定各个系统项目操作规程,并配合业主制定操作人员责任界面及合理的交接班制度。
2、系统维护保养我公司的售后服务人员在维护期内将对贵方的系统项目提供服务,使它们保持良好的运行状态。
3、月度保养坚持月度维护保养,保证每个系统项目机械装置保持最佳工作状态。
七、维护及服务支持措施1、电话支持服务电话服务热线号码以我方提供给业主的号码为准(包括电话和传真号码)。
如有更改,我方至少在自更改之日起3天内以电子邮件、传真、电话的方式通知业主。
2、现场排除故障或技术指导我方在接到业主的电话支持服务请求后,如果不能通过电话支持服务解决设备或产品发生的技术故障,且经双方商议确认需要进行现场支持的情况下,我方将派专业项目技术人员及时前往现场协助业主排除故障。
3、电话咨询服务对业主在使用设备或产品过程中产生的非故障类问题,我方提供电话咨询服务。
4、投诉受理服务我方在公司设有用户投诉电话。