某市教育城域网由市教育中心、市属多所中小学及运营商提供的IP城域宽带网构成。该教育信息网需要建成一个开放、快速、畅通、安全、可靠的网络系统。它既是市教育系统各部门、各学校之间的计算机网络通信系统，又是为社会各部门、区民和广大师生提供教育信息服务的网络系统。它的主要功能是，为学校提供网络化、信息化的教育环境。

    目前，某市的教育网与中国教育和科研网和INTERNET的连接，基于Internet公网的开放性国际性与自由性，使得教育网络将面临严重的安全危胁。

    为了推动教育信息化的顺利实施，某市教育城域网络系统在各级领导的关心下逐年加大了整体网络安全方面的投入。今年，在“层层设防、立体防护、策略联动、管理为上”的方针指引下，决定采用方正方通入侵检测系统产品对校园网系统进行全面的网络安全管理和保护。

    针对教育网络内、外部网络安全威胁及系统应用本身上所存在的潜在的安全风险，我们制定了以方正方通入侵检测系统为安全核心，联动防病毒、防火墙、漏洞扫描等静态安全产品逐渐形成层次化、分布式、立体深层防御系统。

     方案设计目标

    入侵检测系统是近年出现的新型网络安全技术目的是提供实时的入侵检测及采取相应的防护手段如发现违规访问阻断网络连接内部越权访问等发现更为隐蔽的攻击。

    教育网安全体系必须建立一个智能化的实时攻击识别和响应系统管理和降低网络安全风险保证网络安全防护能力能够不断增强。为此，需要建立入侵检测体系。网络入侵检测系统可以在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测系统在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的、智能的防护体系。

     方案设计原则

    1、 使用必要和有效的监控和审查机制对安全机制的有效性、安全策略的正确性进行定期、持续的审查和监控

     定期审查 使用具有入侵知识库的安全扫描软件对系统的安全进行审查。可以验证现有被审查系统的安全特性。

     持续监控 实时的对系统中发生的事件进行监控和审查，并根据入侵知识库的信息及时发现正在进行或即将进行的入侵或破坏行为。

    2、 部署必要的技术和产品在安全机制失效和灾难的情况下采取正确、及时、有效的措施

     及时报警，以争取管理和技术人员的及时介入

    专门的实时检测产品和某些具有识别攻击企图的防火墙产品能够在发生可以或危险事件时向系统管理员报告。选择这样的产品，并正确的配置报警机制。

     在入侵正在进行时自动或通过人员干预中止威胁系统安全的行为

    入侵检测系统具备根据管理员的配置对某些入侵事件作出响应。但这类响应功能在很多时候缺少足够的实用性，比如误动作导致的系统正常操作受到干扰。因此在很多情况下，需要管理员做出正确的措施。

     在系统遭到破坏时在尽可能短的时间内恢复系统的运转

    部署合理的灾难恢复系统，并制定日常备份和灾难恢复制度，可以使系统在遭到破坏时迅速恢复，并使损失的数据最小。