校园网安全体系设计思路

　　第一步：确立整体防护目标

　　1.确定防护范围：校园网用户量大，复杂性高，而资源有限，无法做到面面俱到。因此，首先就需要分析区分出重点和普通防护范围。

　　2.明确防护力度：“道高一尺，魔高一丈”，攻击手段不断更新，漏洞也层出不穷，因此不可能做到每一个攻击都能防护，防护最常见的攻击手段才是首要目的。

　　第二步：根据目标，确定防护手段和方案

　　1.首先对不同保护对象进行安全需求分析，从而选择合适的安全产品进行针对性的防护。

　　2.按安全防护需求相同的原则，对保护对象进行区域划分，即安全域划分，以便施加一致的安全防护手段，并最小化各安全域间的连接，最大程度降低各类攻击的风险。

　　3.根据安全域的实际情况定制相应的安全防护策略。

　　第三步：针对无法防护的情况，制定相对完善的处理方案

　　定期进行全网的安全评估工作，及时发现安全隐患，及时修复。保存实时和历史的各类日志，特别是网络流量日志和系统及应用日志，实现在攻击发生后能追朔攻击来源及方式的目的。同时，制定全面的安全管理制度，进行人员教育，避免大多数人为原因引起的安全问题。

　　安全体系设计实施

　　整体防护目标

　　1.防护范围（如图1所示）

　　重点防护范围：重要应用服务器群，包括我校人事管理信息系统、电子校务平台系统、若干各院系部门网站及服务系统、电子邮件服务器、域名服务器以及各种认证服务器。

图1  华中科技大学校园网安全域划分

　　普通防护范围：校园网出口。

　　无防护范围：校园网其余部分，主要是办公网、学生网及无线网内部互访流量。

　　2.防护力度

　　重点防护范围：拦截各种已知的网络层攻击和应用层漏洞攻击。不对各种系统特有的逻辑漏洞进行防护，但提供日志进行事后追溯。

　　普通防护范围：主要流量由个人用户发起，应用复杂，流量大，不进行应用层攻击拦截，主要拦截大规模DoS和扫描等对主干网络产生影响的网络层攻击。

　　无防护范围：必要时通过镜像局部流量到安全设备的方式进行分析处理。

　　防护方案的设计与实施

　　1.安全需求分析

　　重点防护范围：大多数系统为网站，其他包括上网认证、DNS、Email、数据库、FTP以及一些自研应用系统。为全校用户提供服务，安全需求高。由于存储的数据敏感度高，需要进行应用层以上级别的攻击防护。

　　普通防护范围：这部分区域流量主要由普通用户发起，应用极其复杂，流量巨大，用户上网行为随机性大，一般被黑客刻意入侵的可能性较小，且不对外提供服务，安全需求低。应用级安全防护可能会造成较多误拦截，影响用户的用网体验，因此只进行必要的网络层攻击防护。

　　2.防护设备的选取

　　应用层安全设备：WAF和UTM。网络层安全设备：高性能硬件防火墙。

　　WAF：Web Application Firewall ,专门针对Web应用安全提供防护，可拦截绝大多数的Web应用攻击。

　　UTM：United Threat Management ,将入侵防护、病毒过滤、信息泄露、垃圾邮件过滤等多种安全特性集成于一个硬件设备里，构成一个标准的安全统一管理平台。