【正文】 這個(gè)網(wǎng)絡(luò)就完全處在一種混亂的狀態(tài)，因?yàn)槿绻麤](méi)有非常好的安全策略 ，安全技術(shù)產(chǎn)品就沒(méi)有辦法發(fā)揮效益。如果沒(méi)有有效的安全管理，就不會(huì)做到高效的安全控制和緊急事件的響應(yīng)(更加詳細(xì)和周密的安全策略要結(jié)合安全服務(wù)進(jìn)行 )。 在設(shè)計(jì)中必須考慮技術(shù)與管理并重的思想。 六、互聯(lián)網(wǎng)的病毒威脅 在所有可能存在的安全風(fēng)險(xiǎn)中，病毒無(wú)時(shí)無(wú)刻不在我們身邊威脅著我們的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)的安全，一個(gè)小的疏忽就可能導(dǎo)致系統(tǒng)的全盤(pán)崩潰。另外 ， 病毒 趨勢(shì)最顯著的特點(diǎn)是各類新的有害程序?qū)⒉粩嘤楷F(xiàn)，而不再是過(guò)去那種病毒、蠕蟲(chóng)一統(tǒng)天下的格局。但這并非意味著病毒在數(shù)量和病毒疫情方面會(huì)減弱攻勢(shì)，而是傳統(tǒng)意義上的病毒其主導(dǎo)地 位將逐漸被數(shù)量和種類日益增多的其它各類安全威脅所取代，如撥號(hào)器、間諜軟件、垃圾郵件等。 同時(shí) 后門型木馬及黑客工具出現(xiàn)的頻率大大增加，為黑客攻擊大開(kāi)方便之門。 四川大學(xué)錦城學(xué)院信息工程 網(wǎng)絡(luò)中存在著辦公網(wǎng)，勢(shì)必就要進(jìn)行全面的病毒防護(hù)，因?yàn)楝F(xiàn)在意義上的病毒和黑客程序之間已經(jīng)沒(méi)有界限了。從現(xiàn)代的網(wǎng)絡(luò)安全定義上說(shuō)防病毒就是防黑客，而且從目前網(wǎng)絡(luò)安全事件來(lái)看，防網(wǎng)絡(luò)病毒有的時(shí)候顯得尤為重要 (更加詳細(xì)和周密的安全策略要結(jié)合安全服務(wù)進(jìn)行 )。 在本次設(shè)計(jì)中，防病毒的設(shè)計(jì)思想體現(xiàn)能夠?qū)⒉《镜谋l(fā)隔離在一定 區(qū)域內(nèi)，防止局部病毒事件 演變成全局病毒事件。 針對(duì)以上的要求，必須綜合考慮四川省 四川大學(xué)錦城學(xué)院信息工程 安全問(wèn)題，設(shè)計(jì)提出一套完整的安全策略。 物理安全需求 物理安全是 勞動(dòng)保障 信息系統(tǒng)安全運(yùn)行的前提，是安全系統(tǒng)的重要組成部分。物理安全涉及環(huán)境安全、設(shè)備安全、媒體安全三個(gè)部分，它們分別針對(duì)信息系統(tǒng)所在環(huán)境、所用設(shè)備、所載媒體進(jìn)行安全保護(hù)。 1）環(huán)境安全需求 1. 機(jī)房的安全等級(jí)應(yīng)符合 GB9361— 88 的 A 類； 2. 機(jī)房?jī)?nèi)部要按不同的安全要求和功能劃分區(qū)域，如業(yè)務(wù)系統(tǒng)數(shù)據(jù)處理區(qū)、數(shù)據(jù)操作錄入?yún)^(qū)、網(wǎng)絡(luò)管理區(qū)、辦公應(yīng)用區(qū)，社會(huì)保障IC 卡制卡區(qū)） 等； 3. 根據(jù)工作需要確定用戶能夠進(jìn)入相應(yīng)的區(qū)域，不同的區(qū)域，實(shí)行不同的控制措施； 4. 要有嚴(yán)格的規(guī)章制度和技術(shù)手段（如密碼鎖、監(jiān)視器等）限制人員進(jìn)入非授權(quán)區(qū)域。 2）設(shè)備安全需求 1. 重要設(shè)備必須設(shè)置安全防盜報(bào)警裝置和監(jiān)視系統(tǒng)，防止設(shè)備被盜、被毀； 2. 重要設(shè)備，如服務(wù)器、核心交換機(jī)等，要有冗余熱備份，并能快速在線恢復(fù)； 3. 存放重要設(shè)備的機(jī)房發(fā)生電源故障后，要能提供 1 個(gè)小時(shí)以上的 后備電力供應(yīng)； 4. 重要設(shè)備要存放在能防止雷擊等自然災(zāi)害破壞的機(jī)房中； 5. 存放重要設(shè)備的機(jī)房要具有防電磁干擾、防計(jì)算機(jī)輻射泄漏的設(shè)施。 3）媒體安全需求 1. 保存重要數(shù)據(jù)的介質(zhì)要有異地備份； 2. 存放重要備份數(shù)據(jù)的介質(zhì)要保存在符合 GBJ45— 82 中規(guī)定的一級(jí)耐火等級(jí)的房間，或存放在具備防火、防高溫、防水、防震的容器中； 3. 定期對(duì)備份介質(zhì)進(jìn)行檢查，保證其可用性等； 4. 介質(zhì)庫(kù)必須有專人管理，嚴(yán)格控制人員的進(jìn)出。 網(wǎng)絡(luò)安全需求 網(wǎng)絡(luò)安全是 四川 大學(xué)錦城學(xué)院 信息工程 安全運(yùn)行的基礎(chǔ)，保證系統(tǒng)安全運(yùn)行的關(guān)鍵。網(wǎng)絡(luò)系統(tǒng)的安全需求包括網(wǎng)絡(luò)邊界安全需求、入侵監(jiān)測(cè)與實(shí)時(shí)監(jiān)控需求、安全事件的響應(yīng)和處理需求分析。 系統(tǒng)及應(yīng)用安全需求 系統(tǒng)及應(yīng)用安全需求分析包括防病毒傳播需求分析、操作系 統(tǒng)安全需求、用戶權(quán)限管理需求、訪問(wèn)控制安全需求、業(yè)務(wù)信息系統(tǒng)安全需求等構(gòu)成。具體需求為： 1）防范病毒傳播需求 系統(tǒng)必須能自動(dòng)偵測(cè)并清除來(lái)自網(wǎng)絡(luò)或其他輸入設(shè)備（軟驅(qū)、光驅(qū)、移動(dòng)存儲(chǔ)設(shè)備等）的病毒； 病毒特征庫(kù)和掃描引擎的更新可通過(guò)網(wǎng)絡(luò)分布部署，可通過(guò)服務(wù) 器自動(dòng)分發(fā)客戶端工作站防毒軟件，簡(jiǎn)化安裝過(guò)程； 系統(tǒng)必須能夠在工作站引導(dǎo)區(qū)遭受病毒破壞后幫助進(jìn)行緊急恢復(fù)； 服務(wù)器防病毒系統(tǒng)必須能監(jiān)控、查殺服務(wù)器本身的病毒，也能及時(shí)發(fā)現(xiàn)、處理來(lái)自網(wǎng)絡(luò)上的病毒，及時(shí)清除郵件系統(tǒng)的病毒； 2）操作系統(tǒng)安全需求 操作系統(tǒng)的安全等 級(jí)要達(dá)到 C2 級(jí)； 能夠通過(guò)對(duì)主體（人、進(jìn)程）識(shí)別和對(duì)客體（文件、設(shè)備）標(biāo)注，劃分安全級(jí)別和范疇，實(shí)現(xiàn)由操作系統(tǒng)對(duì)主、客體之間的訪問(wèn)關(guān)系進(jìn)行控制； 能夠定期自動(dòng)地對(duì)操作系統(tǒng)安全進(jìn)行掃描和風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)系統(tǒng)安全弱點(diǎn)和漏洞，并及時(shí)補(bǔ)救； 對(duì)于關(guān)鍵業(yè)務(wù)系統(tǒng)，應(yīng)按照高可用性方案配置，系統(tǒng)具有冗余性和快速故障恢復(fù)能力； 必須能夠按照制定的安全審計(jì)計(jì)劃進(jìn)行審計(jì)處理，包括審計(jì)日志和對(duì)違規(guī)事件的處理； 3）用戶權(quán)限管理需求 能夠?yàn)橛脩舴峙溆脩魳?biāo)識(shí)符 UID，并保證用戶的唯一性； 支持用戶的分級(jí)和分組管理機(jī)制； 能夠設(shè)定用戶訪 問(wèn)權(quán)限的有效日期、有效時(shí)間段； 能夠提供可靠的用戶身份認(rèn)證手段，如密碼等； 權(quán)限管理必須滿足最小授權(quán)原則，使每個(gè)用戶和進(jìn)程只具有完成 其任務(wù)的最小權(quán)限。 4）訪問(wèn)控制需求 建立有效的用戶身份認(rèn)證機(jī)制，防范來(lái)自非法用戶的非法訪問(wèn)和合法用戶的非授權(quán)訪問(wèn)； 能夠提供包括用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶帳號(hào)的缺省限制檢查等多道安全檢查； 能夠支持按照自主訪問(wèn)控制規(guī)則對(duì)用戶進(jìn)行訪問(wèn)控制，即按照用戶與被訪問(wèn)對(duì)象（文件等）的關(guān)系來(lái)決定是否允許訪問(wèn)； 能夠支持使用強(qiáng)制訪問(wèn)控制規(guī)則對(duì)用戶進(jìn)行強(qiáng)制訪問(wèn)控制檢查，即根 據(jù)該用戶在多級(jí)安全模型中所具有的安全屬性（等級(jí)和范疇）、本次訪問(wèn)操作所涉及的對(duì)象（如文件）在多級(jí)安全模型中的安全屬性（等級(jí)和范疇）來(lái)確定這次訪問(wèn)是否被允許； 系統(tǒng)必須能夠防止用戶經(jīng)過(guò)被允許路徑以外的其他訪問(wèn)路徑，隱蔽地實(shí)現(xiàn)某些越權(quán)的非法訪問(wèn)； 系統(tǒng)必須能夠?qū)⒚恳淮卧L問(wèn)記錄在日志文件中，并提供分析和審計(jì)功能。 數(shù)據(jù)安全需求 數(shù)據(jù)安全需求包括數(shù)據(jù)庫(kù)安全需求、數(shù)據(jù)傳輸安全需求、數(shù)據(jù)存儲(chǔ)安全需求等構(gòu)成。 1）數(shù)據(jù)庫(kù)管理系統(tǒng)安全需求 數(shù)據(jù)庫(kù)管理系統(tǒng)本身的安全等級(jí)達(dá)到 C3級(jí)； 能夠通過(guò)對(duì)主體（人、進(jìn)程）識(shí)別和對(duì)客體 （數(shù)據(jù)表、數(shù)據(jù)分片） 標(biāo)注，劃分安全級(jí)別和范疇，實(shí)現(xiàn)由系統(tǒng)對(duì)主、客體之間的訪問(wèn)關(guān)系進(jìn)行強(qiáng)制性控制； 具有增強(qiáng)的口令使用方式限制，用戶必須按規(guī)定的格式設(shè)置口令，才能進(jìn)行注冊(cè)； 能夠按照最小授權(quán)原則，對(duì)數(shù)據(jù)庫(kù)管理員、軟件開(kāi)發(fā)人員、終端用戶授予各自完成自身任務(wù)所需的最小權(quán)限； 能夠?qū)τ跀?shù)據(jù)庫(kù)安全有關(guān)的事件進(jìn)行跟蹤、記錄、報(bào)警和處理，供有關(guān)人員進(jìn)行分析； 2）數(shù)據(jù)傳輸?shù)陌踩枨? 數(shù)據(jù)傳輸?shù)陌踩枨蟀▽?duì)數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性需求。 數(shù)據(jù)傳輸?shù)臋C(jī)密性要求，需要對(duì)勞動(dòng)保障業(yè)務(wù)專網(wǎng)傳輸?shù)拿舾行詷I(yè)務(wù)數(shù)據(jù)（業(yè)務(wù)經(jīng)辦數(shù)據(jù)交換信 息，異地領(lǐng)取養(yǎng)老金人員有關(guān)信息，在職社會(huì)保險(xiǎn)關(guān)系轉(zhuǎn)移人員有關(guān)信息，異地就醫(yī)信息等）機(jī)密性進(jìn)行保護(hù)，支持 WWW、 FTP、 SMTP、 Tel 等 TCP/IP 的標(biāo)準(zhǔn)服務(wù)以及社會(huì)保險(xiǎn)網(wǎng)絡(luò)特有的通訊業(yè)務(wù)； 根據(jù)傳輸完整性要求，保護(hù)網(wǎng)絡(luò)傳輸 IP數(shù)據(jù)包的不可篡改性。 3）數(shù)據(jù)存儲(chǔ)的安全需求 主機(jī)的操作系統(tǒng)、應(yīng)用軟件要有存儲(chǔ)在可靠介質(zhì)的全備份，軟件以及計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的配置和設(shè)置的全部參數(shù)也必須進(jìn)行備份；與系統(tǒng)安裝和恢復(fù)相關(guān)的軟硬件、資料等必須放置在安全的地方； 數(shù)據(jù)必須定期進(jìn)行備份，備份的數(shù)據(jù)必須存儲(chǔ)在可靠的介質(zhì)中并與系統(tǒng)分開(kāi)存放；而且要制定詳盡的使用數(shù)據(jù)備份進(jìn)行故障恢復(fù)的預(yù) 案，并進(jìn)行預(yù)演； 對(duì)于需要保密的存儲(chǔ)數(shù)據(jù)，應(yīng)采取加密措施保證其機(jī)密性。 容災(zāi)備份安全需求 四川大學(xué)錦城學(xué)院信息工程 關(guān)鍵業(yè)務(wù)系統(tǒng)運(yùn)行的持續(xù)性、穩(wěn)定性，業(yè)務(wù)數(shù)據(jù)的完整性、正確性、有效性，會(huì)直接關(guān)系到業(yè)務(wù)的生產(chǎn)、管理與決策活動(dòng)。這就要求對(duì)網(wǎng)絡(luò)、通訊線路、服務(wù)器主機(jī)、存儲(chǔ)等關(guān)鍵設(shè)備以及各種操作系統(tǒng)、數(shù)據(jù)庫(kù)等軟件的故障恢復(fù)和容災(zāi)備份進(jìn)行整體的設(shè)計(jì)和部署。 容災(zāi)備份系統(tǒng)建設(shè)的內(nèi)容包括： 面向數(shù)據(jù)中心提供網(wǎng)絡(luò)通信設(shè)備、通信線路、存儲(chǔ)網(wǎng)絡(luò)設(shè)備的 備份和異地 數(shù)據(jù) 級(jí) 容災(zāi)。 提供數(shù)據(jù)中心和容災(zāi)系統(tǒng)本地?cái)?shù)據(jù)備份。 四川大學(xué)錦城學(xué)院信息工程 數(shù)據(jù)中心數(shù)據(jù)備份和容災(zāi)系統(tǒng)建設(shè)，應(yīng)結(jié)合自身業(yè)務(wù)系統(tǒng)的穩(wěn)定性、有效性和不間斷需求，以及網(wǎng)絡(luò)的實(shí)際情況考慮。 安全管理需求 四川大學(xué)錦城學(xué)院信息工程 對(duì)安全性有較高的要求 ,系統(tǒng)安全建設(shè)應(yīng)與信息系統(tǒng)建設(shè)同步規(guī)劃 ,同步設(shè)計(jì)、同步建設(shè)。在系統(tǒng)安全的各項(xiàng)建設(shè)中，安全管理體系的建設(shè)是關(guān)鍵和基礎(chǔ)。沒(méi)有健全的安全管理，系統(tǒng)的安全性是很難保證的。為此，建立一套科學(xué)的、可靠的、全面而有層次的安全管理體系是 四川大學(xué)錦城學(xué)院信息工程 安全建設(shè)的必要條件和基本 保證。 健全的安全管理體系是各種安全防范措施得以有效實(shí)施、網(wǎng)絡(luò)系統(tǒng)安 全實(shí)現(xiàn)和維系的保證，為此需要建立一套符合社會(huì)保險(xiǎn)系統(tǒng)實(shí)際的安全管理體系。 必要性分析 國(guó)家“面向二十一世紀(jì)教育振興計(jì)劃”重大工程“中國(guó)教育和科研計(jì)算機(jī)網(wǎng)絡(luò) CERNET 高速主干網(wǎng)建設(shè)項(xiàng)目”于 2020 年 12 月完成，標(biāo)志著中國(guó)教育信息化建設(shè)全面駛上快車道。 1） 與“世界一流”的要求相差明顯 信息時(shí)代，要求全面的數(shù)字化，網(wǎng)絡(luò)應(yīng)延伸到學(xué)?；顒?dòng)的每個(gè)教學(xué)和科研場(chǎng)所：即所有教室、所有實(shí)驗(yàn)室、所有辦公桌、所有宿舍。 2） 校外網(wǎng)絡(luò)環(huán)境的迅速發(fā)展 充分 利用 CERNET 的資源，為 四川大學(xué)錦城學(xué)院 學(xué)生 提供通暢的網(wǎng)絡(luò)通信線路，培養(yǎng)網(wǎng)絡(luò)應(yīng)用人才，是 四川大學(xué)錦城學(xué)院 信息工程 建設(shè)的宗旨。1999 年 9 月，國(guó)家正式批復(fù)建設(shè) CERNET 高速主干網(wǎng)項(xiàng)目。該工程 2020 年完工后， CERNET 將擁有自主的高速傳輸網(wǎng)，網(wǎng)絡(luò)主干帶寬不低于 。為此，必須充分利用校園網(wǎng)、讓 四川大學(xué)錦城學(xué)院 的所有學(xué)生能夠便利地共享 CERNET 上豐富的網(wǎng)絡(luò)資源，掌握計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)，使他們能夠在走向交通系統(tǒng)的各行各業(yè)后，促進(jìn)各企事業(yè)在網(wǎng)絡(luò)上的開(kāi)發(fā)與應(yīng)用。 3）網(wǎng)絡(luò)教學(xué)蓬勃發(fā)展的需要 建立遠(yuǎn) 程教學(xué)系統(tǒng)是建設(shè)新世紀(jì)校園教學(xué)模式的重要組成部分，已提到落實(shí)國(guó)家“振興教育行動(dòng)計(jì)劃”的議事日程，并成為當(dāng)前教育信息化熱點(diǎn)之一。為此， 四川大學(xué)錦城學(xué)院 必須提高校園網(wǎng)的覆蓋范圍、通信能力 和管理性能，建立高性能的校園網(wǎng)開(kāi)展網(wǎng)絡(luò)教室服務(wù)；利用 Inter 進(jìn)行遠(yuǎn)程教育服務(wù)，用現(xiàn)代教育模式和手段，充分發(fā)揮優(yōu)秀教師的作用，進(jìn)而大大提高辦學(xué)效率。 綜上所述， 四川大學(xué)錦城學(xué)院 建成一個(gè)全校范圍內(nèi)，高速、開(kāi)放、多媒體的信息服務(wù)與通信基礎(chǔ)設(shè)施 , 達(dá)到國(guó)內(nèi)領(lǐng)先、國(guó)際先進(jìn)的大學(xué)校園網(wǎng)水平。為建設(shè)“世界一流高等學(xué)府”提供良好的網(wǎng)絡(luò)基 礎(chǔ)，使 四川大學(xué)錦城學(xué)院 的學(xué)生、教師、研究生和科研人員在全國(guó)和全世界的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下進(jìn)行學(xué)習(xí)和開(kāi)展科研工作；提高教學(xué)質(zhì)量和研究水平，培養(yǎng)出面向世界、面向未來(lái)的高層次人才。 3 建設(shè)目標(biāo)與任務(wù) 建設(shè)目標(biāo) 四川大學(xué)錦城學(xué)院信息工程 目標(biāo)是想通過(guò)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)系統(tǒng)功能集成，達(dá)到教學(xué)、行政管理以及與國(guó)際互連網(wǎng)之間信息交流的暢通。建立一個(gè)能夠提供綜合應(yīng)用的內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)即校園網(wǎng)，為全校師生提供一個(gè)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，使學(xué)校師生員工能方便地通過(guò)上網(wǎng)查詢各種信息，實(shí)現(xiàn)廣泛的軟件 /硬件資源共享，充 分支持在網(wǎng)絡(luò)中傳送數(shù)據(jù)、聲音、圖形、圖像等多媒體信息。 計(jì)算機(jī)網(wǎng)絡(luò)的建成對(duì)于 提高學(xué)校教學(xué)質(zhì)量 、 提高學(xué)校管理的效率 ，乃至進(jìn)一步提高學(xué)校聲譽(yù)都具有重要意義。 建設(shè)任務(wù) 四川大學(xué)錦城學(xué)院信息工程主要建設(shè)內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)建設(shè)、數(shù)據(jù)系統(tǒng)建設(shè)、應(yīng)用系統(tǒng)建設(shè)、辦公網(wǎng)系統(tǒng)建設(shè)、系統(tǒng)安全建設(shè)、中心機(jī)房建設(shè)和 公共 廣播系統(tǒng)、監(jiān)控系統(tǒng)建設(shè)。具體內(nèi)容： 建設(shè)標(biāo)準(zhǔn)統(tǒng)一、運(yùn)行高效的業(yè)務(wù)處理系統(tǒng)，提高學(xué)院教學(xué)業(yè)務(wù)的處理能力。 建設(shè)方便、快捷的公共服務(wù)系統(tǒng)，為學(xué)生對(duì)象提供更優(yōu)質(zhì)的服務(wù)。 建設(shè)高效、及時(shí)的監(jiān)控系統(tǒng)，提高對(duì)學(xué)生安全保障力 度。 建設(shè)條件 目前， 四川大學(xué)錦城學(xué)院 的土建工程已經(jīng)建成，可以實(shí)施信息化工程建設(shè)。 建設(shè)原則 在進(jìn)行網(wǎng)絡(luò)建設(shè)時(shí)主要考慮以下原則： 1. 先進(jìn)性和標(biāo)準(zhǔn)性 網(wǎng)絡(luò)通信系統(tǒng)采用符合國(guó)際標(biāo)準(zhǔn)的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)方面的先進(jìn)技術(shù)和產(chǎn)品進(jìn)行工程建設(shè)。 2. 良好的可靠性和安全性 在設(shè)計(jì)網(wǎng)絡(luò)時(shí)，考慮選用穩(wěn)定可靠的新產(chǎn)品和技術(shù)，重要部分使其具有必要的冗余容錯(cuò)能力。此外，系統(tǒng)在通信鏈路、數(shù)據(jù)庫(kù)及網(wǎng)絡(luò)等環(huán)節(jié)上采取相應(yīng)的安全措施，盡可能不丟失和損壞數(shù)據(jù)。 3. 可管理性和可擴(kuò)充性 網(wǎng)絡(luò)應(yīng)具有一體化的管理措施和功 能，便于網(wǎng)絡(luò)安裝、配置和維護(hù)。在滿足現(xiàn)有需要的同時(shí)，應(yīng)充分考慮隨著需求的發(fā)展進(jìn)行擴(kuò)充和向上升級(jí)，以保護(hù)現(xiàn)有投資。 4. 可互連性和可互操作性 在網(wǎng)絡(luò)環(huán)境下，應(yīng)采用互連性較好的標(biāo)準(zhǔn)才可能兼容不同的軟硬件平臺(tái)，使網(wǎng)絡(luò)在異種機(jī)和異種網(wǎng)環(huán)境下得以正常運(yùn)行，即網(wǎng)絡(luò)具有良好的互連性和互操作性。 5. 網(wǎng)絡(luò)骨干線