智慧校园网络安全等保设计方案.pdf

智慧校园网络安全等保 设计方案 1 目 录 1 技术建设方案 3 1.1 校园网总体架构设计3 1.1.1 建设原则3 1.1.2 校园网建设内容框架4 1.1.3 网络架构拓扑图6 1.1.4 网络设计概述6 1.1.5 骨干网络方案先进性与可行性7 1.2 网络安全设计 15 1.2.1 设备级安全功能 15 1.2.2 防ARP 攻击设计 15 1.2.3 交换机IP 防扫描设计 16 1.2.4 防DOS/DDOS 攻击 16 1.2.5 路由安全设计 17 1.2.6 设备管理安全设计 18 1.2.7 汇聚嵌入式安全 19 1.2.8 接入安全控制 19 1.2.9 IP+MAC+端口绑定20 1.2.10 防止病毒广播泛洪20 1.2.11 入网用户身份认证20 1.2.12 防止对DHCP 服务器攻击20 1.2.13 多元素绑定技术构筑高安全校园网21 1.2.14 防止用户私设代理服务器22 1.2.15 恶意用户追查22 1.3 等保建设方案22 1.3.1 总体建设目标22 1.3.2 安全技术体系目标23 1.3.3 物理安全设计23 1.3.4 计算环境安全设计24 1.3.5 系统安全审计26 1.3.6 数据完整性与保密性28 1.3.7 备份与恢复29 1.3.8 区域边界安全设计30 1.3.9 安全隔离31 1.3.10 通信网络安全设计35 1.3.11 网络设备防护35 2 1 技术建设方案 1.1 校园网总体架构设计 1.1.1 建设原则 安全性 网络必须具有良好的安全防范措施和密码保护技术，灵活方便的权限设定和 控制机制，使系统具有多种有效手段，防范各种形式对网络的非法入侵和内部攻 击，以保证网络的实体安全、网络安全、系统安全和信息安全，有效地保障正常 的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。因此系统应分别针 对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数 据存取的权限控制等，充分考虑安全性，针对教育行业网络的各种应用，有多种 的保护机制，如划分VLAN、IP/MAC 地址绑定、802.1x 用户访问控制、802.1d、 802.1w、802.1s 冗余链路保护等，另外还具有良好的防病毒能力，提高整个网络 的安全性，保证内外网安全。 先进性 系统设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的 相对先进成熟，整个系统的生命周期应有比较长的时间，可以在信息技术不断发 展的今天，在系统建成以后比较长的一段时间内能满足用户需求增长的需要；不 但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地 位，保证网络建设的领先地位，采用万/千兆以太网技术构建网络主干、支干线 路。 开放性 采用开放的软硬件平台和数据库管理系统，遵循国际标准化组织提出的开放 系统互联的标准，应用软件必须独立于软硬件平台，能集成任何第三方的应用， 具有良好的可扩展性、可移植性和互操作性。