【正文】 層 ? 策略和管理層 ? 防病毒 一、網(wǎng)絡層的安全分析 由于大型網(wǎng)絡系統(tǒng)內(nèi)運行的 TCP/IP 協(xié)議并非專為安全通訊而設計，所以網(wǎng)絡系統(tǒng)存在大量安全隱患和威脅。因此 四川 大學錦城學院 信息工程 應具有能夠對抗 各種 威脅源發(fā)起的惡意攻擊、較為嚴重的自然災難（災難發(fā)生的強度較大、持續(xù)時間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當危害程度（內(nèi)部人員的惡意威脅、設備的較嚴重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復。 安全需求 四川 大學錦城學院 信息工程 按照國家的要求和實際的應用需求，參照國家信息系統(tǒng)安全等級保護 第三級，也就是監(jiān)督保護級 進 行設計 。 性能需求 性能需求包括響應時間、吞吐量和精度三方面。 分析：由于 四川 大學錦城學院 現(xiàn)目前有學生及教師共 5000 人，而且每年將有近 3000 新生前來注冊報到， 因此在 四川 大學錦城學院 信息 工程的建設中必須充分考慮未來由于 新生報到 的增加對整個系統(tǒng)帶來的數(shù)據(jù)存儲，交換和安全帶來的壓力。 交換區(qū)數(shù)據(jù)庫：主要包括公共服務數(shù)據(jù)庫、宏觀決策用數(shù)據(jù)庫等。 數(shù)據(jù)流程 按照 四川 大學錦城學院 項目的總體設計， 計算機網(wǎng)絡中心建立 數(shù)據(jù)中心，數(shù)據(jù)中心根據(jù)功能需要設立生產(chǎn)區(qū)、交換區(qū)、決策區(qū)。 管理平臺系統(tǒng)功能全面、操作方便、在設計上 必須 充分考慮到職技校、大中專及本科院校的教育特點和現(xiàn)狀。應用現(xiàn)代計算機網(wǎng)絡、通訊、多媒體、數(shù)據(jù)庫等軟件技術，由數(shù)據(jù)中心（數(shù)據(jù)庫）、系統(tǒng)軟件、信息支持系統(tǒng)組成。 2 項目建設的必要性 現(xiàn)狀 四川大學錦城學院信息工程現(xiàn)狀是全新修 建的教學分院， 需要建立 網(wǎng)絡系統(tǒng)、 數(shù)據(jù) 中心 、應用管理系統(tǒng)、 信息化安全體系 、 校園安防系統(tǒng) 、 公共 廣播系統(tǒng) 、衛(wèi)星和有線電視系統(tǒng)。 [8]域名是以文字表達的入網(wǎng)計算機或設備的名字，域名結構包含計算機主機名、機構名、網(wǎng)絡名、最高層域名等項目。 [6]IP地址稱作網(wǎng)絡協(xié)議地址，是分配給主機的一個 32 位地址，由 4 個字節(jié)組成，包括動態(tài) IP 地址和靜態(tài) IP地址兩種方式。 [4]虛擬專網(wǎng)（ Virtual Private Network，簡稱 VPN），是利用公共網(wǎng)絡資源構建專用網(wǎng)絡，即通過對網(wǎng)絡數(shù)據(jù)的封包和加密傳輸，在公網(wǎng)上傳輸專有數(shù)據(jù)，達到專用網(wǎng)絡的級別。 [3]互聯(lián)網(wǎng)（ Inter）也稱因特網(wǎng)，是將不同地區(qū)、不同規(guī)模的網(wǎng)絡互相聯(lián)接，以廣泛的發(fā)布和獲取信息。 關鍵術語定義與說明 [1]信息系統(tǒng) (Information System): 基于計算機或計算機網(wǎng)絡，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索和服務 的人機系統(tǒng) 。 ? 與 Inter 相關的其它應用 —— 從傳統(tǒng)的電子郵件、 FTP、網(wǎng)絡新聞、 BBS 到新的視頻會議、虛擬現(xiàn)實等。 ? Web、多媒體技術 —— 包括動態(tài)超文本語言、 PUSH 技術、 VIEDO Stream技術等。這些技術包括： ? Inter 高速主干網(wǎng)技術 —— 建立在 SDH、 ATM 等基礎上的高速主 干網(wǎng)技術，將極大地緩解 Inter 的擁擠狀況，并形成一個高速信息應用平臺。為了提高教學質量，必須掌握各種先進信息技術的應用方法。首先，時代的發(fā)展對學生提出了新的要求，面 臨眾多的競爭和擇業(yè)的壓力，要求能在校園中學到更多的技能?？梢哉f，校園 信息工程 必將成為新世紀的教育模式。從而為廣大教師、學生和科研人員提供了一個全新的網(wǎng)絡計算環(huán)境，在根本上改變了他們之間的信息交流、資源共享、科學計算和科研合作的方式，極大地促進了教育和科研事業(yè)的迅速發(fā)展。 項目編號： 四川大學錦城學院信息工程項目 可行性研究報告 編制單位： 2020 年 10 月 審定： 審核： 校核： 編制人員： 參編人員： 編制單位資質證明： 目錄 1 綜述 項目概況 信息技術的發(fā)展已成為現(xiàn)代社會發(fā)展狀況的重要標志；為了積極發(fā)展信息科技，迎接信息社會的到來，進入八十年代以來，世界上幾乎所有的發(fā)達國家都已相繼建成了國家級的教育和科研計算機網(wǎng)絡，并相互連接成為覆蓋全球的國際性學術計算機網(wǎng)絡 Inter。這種全球性 的計算機網(wǎng)加快了信息傳遞的速度，使全球信息資源共享走向快捷和成熟。 在我國，也相繼建成中國教育和科研計算機網(wǎng)絡 (CERNET)、黨政信息網(wǎng)等國家級網(wǎng)絡服務體系，國內(nèi)大中專院校紛紛著手建設校園 信息工程 。 網(wǎng)絡技術的出現(xiàn)和發(fā)展在學校教育模式上發(fā)生變革的基本原因。其次，對于教師而言，他們既是教學者，也是學習者。 另一方面，信息技術的飛速發(fā)展是促進教育模式變化的最直接的外因，因為正是這些技術使得人們對于教育的種種設想成為現(xiàn)實。 ? 各種接入技術 —— 如 DDN、 ADSL、 HFC、衛(wèi)星接入等，使得視頻 會議、可視電話、視頻廣播、在線討論成為可能。多媒體和 Web 技術的結合，使得教學的方式和內(nèi)容發(fā)生了很大的變化。 編制依據(jù) [1]標準化工作導則 標準編寫的基本規(guī)定 ； [2]信息處理 程序構造及其表示的約定 GB/T 135021992； [3]信息處理系統(tǒng) 計算機系統(tǒng)配置圖符號及約定 GB/T 140851993； [4]計算機信息系統(tǒng)安全保護等級劃分準則 GB/T 178591999； [5]信息技術 安全技術 信息技術安全性評估準則 GB/T 183362020； [6]信息技術 開放系統(tǒng)互聯(lián) 高層安全模型 GB/T 179652020； [7]信息技術 開放系統(tǒng)互聯(lián) 基本參考模型 GB/T 9387； [8]信息技術 開放系統(tǒng)互聯(lián) 應用層結構 GB/T 171761997； [9]信息技術 開放系統(tǒng)互聯(lián) 開放系統(tǒng)安全框架 GB/T 18794； [10] 信息技術 開放系統(tǒng)互聯(lián) 通用高層安全 GB/T 18237； [11] 建筑與建筑群綜合布 線系統(tǒng)工程設計規(guī)范 GB/T503112020； [12] 建筑與建筑群綜合布線系統(tǒng)工程驗收規(guī)范 GB/T503122020； [13] 計算機軟件工程術語 GB/T 114571995； [14] 計算機軟件產(chǎn)品開發(fā)文件編制指南 GB/T 85671988； [15] 計算機軟件需求說明編制指南 GB/T 93851988； [16] 計算機軟件配置管理計劃規(guī)范 GB/T 125051990； [17] 軟件維護指南 GB/T 140791993； [18] 軟件文檔管理指南 GB/T 166801996； [19] 計算機軟件質量保證計劃規(guī)范 GB/T 125041990； [20] 數(shù)據(jù)流 程圖、程序流程圖、系統(tǒng)流程圖、程序網(wǎng)絡圖和系統(tǒng)資源圖的文件編制符號及約定 GB/T 15261989； [21] 計算機場地通用規(guī)范 GB/T28872020； [22] 計算機場地安全要求 GB93611988； [23] 電子計算機機房設計規(guī)范 GB 5017493； [24] 電子計算機機房施工及驗收規(guī)范 SJ/T3000393； [25] 計算機信息系統(tǒng)防雷保安器 GA 17398； [26] 建筑設計防火規(guī)范 GBJ1687； [27] 建筑室內(nèi)裝修防火規(guī)范 GB5022295； [28] 建筑物防雷設計規(guī)范 GB5005794； [29] 商業(yè)建筑電信接地和接線要求 JSTD607A； [30] 計算機信息系統(tǒng)設備電磁泄漏發(fā)射限值 GGBB11999； [31] 計算機信息系統(tǒng)設備電磁泄漏發(fā)射測試方法 GGBB21999； [32] 涉及國家秘密的信息系統(tǒng)分級保護技術要求 BMB172020。 [2]廣域網(wǎng)（ wide area work，簡稱 WAN），是一種跨越大的地域的網(wǎng)絡，通常覆蓋一個省或全國?；诨ヂ?lián)網(wǎng)的應用有信息查詢、電子郵件、網(wǎng)上交易、網(wǎng)絡電話、遠程主機登錄、遠程文件傳輸?shù)取? [5]網(wǎng)絡視頻會議系統(tǒng)是利用 Inter 技術傳播聲音和圖像，具有視頻、音頻傳送；文件傳輸；程序共享；文字聊天；電子白板教學；用戶和會議資源管理等主要功能。 [7]DNS（ Domain Name Service），稱為域名管理系統(tǒng)，是 Inter 上解決網(wǎng)上機器命名的一種系統(tǒng)，采用分層管理模式。各級網(wǎng)絡依照 DNS 命名規(guī)則對本網(wǎng)內(nèi)的計算機命名，并負責完成通訊時域名到 IP地址的轉換。 需求描述 業(yè)務流程， 四川 大學錦城學院 高校管理平臺，采用 B/S 技術開發(fā)成功的新一代校園網(wǎng)軟件平臺。在此平臺上，集成了各種事務處理系統(tǒng)、基礎辦公軟件等多種應用系統(tǒng)。擁有一整套完善的 權限管理體系，確保系統(tǒng)數(shù)據(jù)的安全，可靠。 生產(chǎn)區(qū)數(shù)據(jù)庫：包括 學院 基本信息庫、 學生 基本信息庫、在職 教師基本信息庫、校產(chǎn)信息庫、教學資源信息庫、校園安全信息庫等 各種參數(shù)信息庫。 宏觀決策區(qū)數(shù)據(jù)庫：包括宏觀決策數(shù)據(jù)庫等。 功能需求 四川 大學錦城學院 信息工程包括 網(wǎng)絡系統(tǒng)、 數(shù)據(jù)系統(tǒng)、應用管理系統(tǒng)、 、信息化安全 系統(tǒng)、 校園安防系統(tǒng) 、 公共 廣播系統(tǒng) 、衛(wèi)星和有線電視系統(tǒng)。性能需求的滿足程度要受到網(wǎng)絡、硬件、軟件、人員等多種因素的影響。涉及社會秩序、經(jīng)濟建設和公共利益的信息系統(tǒng)，其受到破壞后，會對社會秩序、經(jīng)濟建設和公共利益造成較大損害。 對整個信息系統(tǒng)的安全分析如下。整個網(wǎng)絡就會受到來自網(wǎng)絡外部和內(nèi)部的雙重威脅。常見得一些手法如下： IP 欺騙、重放或重演、拒絕服務攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務攻擊、篡改、堆棧溢出等。 雖然在網(wǎng)絡中已經(jīng)配置了防火墻，但是現(xiàn)在的大量黑客掃描工具和感染、攻擊程序都能夠透過防火墻進行工作，由于防火墻自身一些系統(tǒng)的漏洞和一些函數(shù)的非完善性都可能讓某些有針對性的黑客程序的欺騙通過。如果網(wǎng)絡管理員沒有非 常詳細的進行系統(tǒng)的加固和非常完善的正確的安全配置，而只是原來系統(tǒng)的默認安裝的話，這樣的主機系統(tǒng)是極其不安全的。 三、應用層的安全分析 應用層安全是指用戶在網(wǎng)絡上的應用系統(tǒng)的安全，包括 WEB、 FTP、郵件系統(tǒng)、 DNS、以及互聯(lián)網(wǎng)應用等網(wǎng)絡基本服務，業(yè)務系統(tǒng)，辦公自動化系統(tǒng)，電子商務系統(tǒng)等。由于應用系統(tǒng)復雜多樣，沒有特定的安全技術能夠完全解決一些特殊應用系統(tǒng)的安全問題，但對一些通用的應用 程序，如 Web Server 程序， FTP 服務程序， Email 服務程序，瀏覽器， MS Office 辦公軟件等，安全評估軟件可以幫助檢查這些應用程序自身的安全漏洞和由于配置不當造成的安全漏洞。 四、數(shù)據(jù)層的安全分析 四川大學錦城學院信息工程 中存在大量實時數(shù)據(jù)處理量，數(shù)據(jù)的安全問題主要體現(xiàn)在以下幾個方面： 系統(tǒng)認證：口令強度不夠，過期帳號，登錄攻擊等。 系統(tǒng)完整性： Y2K 兼容，特洛伊木馬，審核配置，補丁和修正程序等。 對于系統(tǒng)認證、授權就要數(shù)據(jù)庫管理員對數(shù)據(jù)庫進行全面的認真的安全配置和管理，同時加強數(shù)據(jù)庫本身系統(tǒng)的不斷升級和修補加固。如果沒有有效的安全管理，就不會做到高效的安全控制和緊急事件的響應(更加詳細和周密的安全策略要結合安全服務進行 )。 六、互聯(lián)網(wǎng)的病毒威脅 在所有可能存在的安全風險中，病毒無時無刻不在我們身邊威脅著我們的系統(tǒng)、網(wǎng)絡、數(shù)據(jù)的安全，一個小的疏忽就可能導致系統(tǒng)的全盤崩潰。但這并非意味著病毒在數(shù)量和病毒疫情方面會減弱攻勢，而是傳統(tǒng)意義上的病毒其主導地 位將逐漸被數(shù)量和種類日益增多的其它各類安全威脅所取代，如撥號器、間諜軟件、垃圾郵件等。 四川大學錦城學院信息工程 網(wǎng)絡中存在著辦公網(wǎng)，勢必就要進行全面的病毒防護，因為現(xiàn)在意義上的病毒和黑客程序之間已經(jīng)沒有界限了。 在本次設計中，防病毒的設計思想體現(xiàn)能夠將病毒的爆發(fā)隔離在一定 區(qū)域內(nèi)，防止局部病毒事件 演變成全局病毒事件。 物理安全需求 物理安全是 勞動保障 信息系統(tǒng)安全運行的前提，是安全系統(tǒng)的重要組成部分。 1）環(huán)境安全需求 1. 機房的安全等級應符合 GB9361— 88 的 A 類； 2. 機房內(nèi)部要按不同的安全要求和功能劃分區(qū)域，如業(yè)務系統(tǒng)數(shù)據(jù)處理區(qū)、數(shù)據(jù)操作錄入?yún)^(qū)、網(wǎng)絡管理區(qū)、辦公應用區(qū)，社會保障IC 卡制卡區(qū)） 等； 3. 根據(jù)工作需要確定用戶能夠進入相應的區(qū)域，不同的區(qū)域，實行不同的控制措施； 4. 要有嚴格的規(guī)章制度和技術手段（如密碼鎖、監(jiān)視器等）限制人員進入非授權區(qū)域。 3）媒體安全需求 1. 保存重要數(shù)據(jù)的介質要有