學(xué)校網(wǎng)絡(luò)安全部署的實(shí)踐

陶衛(wèi)東

計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括,網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。下面根據(jù)多年網(wǎng)絡(luò)管理方面的經(jīng)驗(yàn),從網(wǎng)絡(luò)管理方面對(duì)網(wǎng)絡(luò)安全作一個(gè)闡述。

1.部分學(xué)校網(wǎng)絡(luò)安全現(xiàn)狀分析

在沒有防火墻時(shí),內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī),極易受到攻擊。一些學(xué)校為了提高網(wǎng)絡(luò)的安全性能,在學(xué)校網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間架設(shè)了防火墻,防火墻負(fù)責(zé)管理Internet和學(xué)校內(nèi)部網(wǎng)絡(luò)之間的訪問。管理員在防火墻上定義了策略來(lái)防止非法用戶,比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò),并抗擊來(lái)自各種路線的攻擊。防火墻能夠簡(jiǎn)化安全管理,網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固,而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。

2.學(xué)校網(wǎng)絡(luò)安全部署思路

網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進(jìn)行的是一場(chǎng)深入、多層次的戰(zhàn)爭(zhēng)。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動(dòng)局面,唯有用全局化、智能化的安全體系代替陳舊的安防措施。即由安全交換機(jī)、安全客戶端、安全管理平臺(tái)、用戶認(rèn)證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、防火墻等多重網(wǎng)絡(luò)元素組成,實(shí)現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動(dòng),使網(wǎng)絡(luò)中的每個(gè)設(shè)備都在發(fā)揮著安全防護(hù)的作用,構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。通過將用戶入網(wǎng)強(qiáng)制安全、統(tǒng)一安全策略管理、動(dòng)態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機(jī)制集成到一個(gè)網(wǎng)絡(luò)安全解決方案中,達(dá)到對(duì)網(wǎng)絡(luò)安全威脅的自動(dòng)防御,網(wǎng)絡(luò)受損系統(tǒng)的自動(dòng)修復(fù),同時(shí)可針對(duì)網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動(dòng)學(xué)習(xí),從而達(dá)到對(duì)未知網(wǎng)絡(luò)安全事件的防范。將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備(網(wǎng)絡(luò)交換機(jī)、路由器等)和網(wǎng)絡(luò)終端設(shè)備(用戶PC、服務(wù)器等),成為一個(gè)全局化的網(wǎng)絡(luò)安全綜合體系。

3.學(xué)校網(wǎng)絡(luò)安全部署方法

網(wǎng)絡(luò)安全綜合體系是一套由軟件和硬件聯(lián)動(dòng)的解決方案,它由后臺(tái)的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測(cè)設(shè)備以及安全客戶端共同構(gòu)成。

3.1身份管理策略

身份策略管理服務(wù)器上保存著用戶的身份信息,用戶在正是接入網(wǎng)絡(luò)之前,需要在服務(wù)器上通過認(rèn)證,以保障用戶身份的合法性。采用服務(wù)器跟安全客戶端聯(lián)動(dòng)來(lái)獲取入網(wǎng)PC的安全現(xiàn)狀,從而制定出對(duì)應(yīng)的安全修補(bǔ)策略下發(fā)到PC上來(lái)完成主機(jī)完整性的管理。

3.2安全事件分析

安全事件分析器是安全事件的收集、分析與上報(bào)。作為與IDS入侵檢測(cè)設(shè)備直接接口的平臺(tái),安全事件分析器上預(yù)置了大量的安全事件庫(kù),從而能夠?qū)DS設(shè)備反饋回來(lái)的安全事件進(jìn)行準(zhǔn)確的分析,并決定是否需要上報(bào)給身份策略管理服務(wù)器,由其進(jìn)行處理。

3.3安全終端

安全終端是一個(gè)客戶端軟件,它的作用是跟身份策略管理服務(wù)器配合實(shí)現(xiàn)用戶的身份認(rèn)證和主機(jī)完整性檢查、安全策略的下發(fā),并在發(fā)生安全事件時(shí)接收身份策略管理服務(wù)器發(fā)來(lái)的處理策略,來(lái)對(duì)主機(jī)進(jìn)行響應(yīng)的處理。

3.4入侵檢測(cè)(IDS)

入侵檢測(cè)能力是衡量一個(gè)防御體系是否完整有效的重要因素,強(qiáng)大完整的入侵檢測(cè)體系可以彌補(bǔ)防火墻相對(duì)靜態(tài)防御的不足。對(duì)來(lái)自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測(cè),及時(shí)發(fā)現(xiàn)各種可能的攻擊企圖,并采取相應(yīng)的措施。具體來(lái)講,就是將入侵檢測(cè)引擎接入中心交換機(jī)上。入侵檢測(cè)系統(tǒng)集入侵檢測(cè)、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),利用內(nèi)置的攻擊特征庫(kù),使用模式匹配和智能分析的方法,檢測(cè)網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象,并在數(shù)據(jù)庫(kù)中記錄有關(guān)事件,作為網(wǎng)絡(luò)管理員事后分析的依據(jù);如果情況嚴(yán)重,系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警,使得學(xué)校管理員能夠及時(shí)采取應(yīng)對(duì)措施。

IDS由四部分組成,控制臺(tái)、事件收集器、日志服務(wù)器和傳感器。傳感器通過鏡像口旁路經(jīng)過交換機(jī)的數(shù)據(jù)流量,來(lái)進(jìn)行網(wǎng)絡(luò)安全事件的檢測(cè),一旦檢測(cè)到安全事件,傳感器會(huì)將時(shí)間發(fā)送給事件收集器,并報(bào)由控制臺(tái)進(jìn)行處理。通過控制臺(tái)跟身份策略管理服務(wù)器的聯(lián)動(dòng),可以讓身份策略管理服務(wù)器在第一時(shí)間獲得發(fā)起攻擊和遭到攻擊的用戶的IP、MAC等網(wǎng)絡(luò)信息,并通過與身份策略管理服務(wù)器的聯(lián)動(dòng)查找出發(fā)起攻擊的元兇,然后通過客戶端下發(fā)相應(yīng)的策略。IDS就是我們部署到網(wǎng)絡(luò)中的一根探針,時(shí)刻監(jiān)測(cè)著網(wǎng)絡(luò)中的一舉一動(dòng)。

網(wǎng)絡(luò)安全綜合體系正是因?yàn)閷?shí)現(xiàn)了網(wǎng)絡(luò)與軟件的聯(lián)動(dòng),通過安全智能交換機(jī)上的802.1X、ACL等功能,將用戶身份、PC安全、用戶行為等元素與網(wǎng)絡(luò)的通與斷結(jié)合在一起,通過對(duì)與身份策略管理服務(wù)器下發(fā)的命令的準(zhǔn)確執(zhí)行,將一切的不安全因素排除在網(wǎng)絡(luò)之外。