摘要: ●方案背景 21世纪是信息时代,随着计算机技术的高速发展,数字图书馆建设成为信息时代发展的重要组成部分,它将首都师范大学的广大师生读者与图书馆紧密地结合在一起,大大提高了文献信息的利用效率,增强了图书馆的服务能力。 首都师范大学图书馆分为主校区图书馆和北一区图...
●方案背景
21世纪是信息时代,随着计算机技术的高速发展,数字图书馆建设成为信息时代发展的重要组成部分,它将首都师范大学的广大师生读者与图书馆紧密地结合在一起,大大提高了文献信息的利用效率,增强了图书馆的服务能力。
首都师范大学图书馆分为主校区图书馆和北一区图书馆两个部分,两个图书馆通过一条单模光纤连接形成一个统一的局域网络。在整个图书馆网络中只有一台思科防火墙做边界访问控制,由于首都师范大学图书馆网络系统的复杂性、开放性、终端分布的不均匀性,致使网络极易受到黑客、恶性软件或非法授权的入侵与攻击。因此,如何确保数字图书馆网络的安全,成为亟待解决的问题。
●安全需求
网络系统安全域划分,依据不同安全域的安全等级要求,实施相应的安全保护措施;
边界安全防护及访问控制,将不同的安全域之间形成安全边界屏障,可以有效规避大部分网络层安全威胁,并降低系统层安全威胁对图书馆信息系统的影响。
系统防病毒,需要考虑主机的病毒查杀及网关处的病毒防御,并要保证病毒库的及时升级。
系统入侵检测及入侵防御通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。
网络系统安全监控与管理,当网络设备及应用系统大量增加时,系统管理的效率下降、人工投入高,技术手段不达标等问题突出,实现有限资源条件下的高效管理,统一监控与管理成为首选技术平台。
●方案设计
1、访问控制设计 :分别在主校区和北一区局域网与服务器区域之间部署一套UTM系统(内层防火墙),采用与外部防火墙异构的防火墙产品,同时启用IPS功能和防病毒功能。
2、入侵检测系统设计 :分别在主校区和北一区局域网的两台交换机上部署一套千兆IDS设备,监视和防范内部网络上的违规访问行为,主要监听进出服务器区域和两个图书馆之间的流量。对网络上传输的敏感数据包进行深层分析,可有效地发现防火墙无法识别的特殊应用层攻击行为。
3、入侵防御系统设计 :在防火墙与校园网之间串联一套入侵防御系统,抵御来自校园网区域的病毒、蠕虫、恶意代码及其他攻击。对网络上传输的敏感数据包进行深层分析,可有效地发现防火墙无法识别的特殊应用层攻击行为。
4、防病毒系统设计 :设计完善的病毒防护管理体系,负责防病毒软件的自动分发、自动升级、集中配置和管理、统一事件和告警处理、保证整个网络内病毒防护体系的一致性和完整性。分别通过桌面客户端防病毒、服务器端防病毒,并在图书馆与校园网之间部署一套防毒墙系统。
5、安全管理中心设计 :在网管区部署统一安全监控管理平台,实现全网统一安全管理,将网络设备、安全设备、服务器、应用系统统一纳入到安全管理平台,以实现全面监控与管理。
●部署实施
通过部署两套UTM系统,实现精细的访问控制策略,保证网络边界安全;
通过部署两套IDS系统、一套IPS系统,实现全网入侵检测,全面监控校园网内的网络入侵,实时触发报警通知,并能够基于策略进行灵活控制;
通过部署防病毒网关,配合现有的网络版杀毒软件,构建全网病毒防护体系,保证图书馆信息系统不受病毒侵入,即使已经侵入,也能够及时发现并清除。
通过部署安全管理系统,将网络设备,安全设备,服务器及应用系统都纳入管理平台,实现设备统一管理,业务集中监控,故障一目了然,全网集中管理。
●实施效果
帮助首都师范大学图书馆梳理了网络安全域边界,建立了精细的访问控制体系,保证网络架构的边界安全。
帮助首都师范大学图书馆建立了全网防病毒的框架体系,从预防及灾后处理两个方面部署了细致的解决方案。
