淺論校園網(wǎng)絡(luò)中心安全防護(hù)措施

于　莉

【摘 要】校園網(wǎng)絡(luò)中心作為校園網(wǎng)絡(luò)運(yùn)行的管理者,要對整個網(wǎng)絡(luò)進(jìn)行控制和保護(hù),以盡可能預(yù)防和避免網(wǎng)絡(luò)安全問題的出現(xiàn)。通過分析本院校園網(wǎng)絡(luò)的結(jié)構(gòu)以及所面臨的安全問題,提出了有針對性的網(wǎng)絡(luò)安全防護(hù)措施和實(shí)施建議。

【關(guān)鍵詞】網(wǎng)絡(luò)中心 安全問題 防護(hù)措施 實(shí)施建議

一、學(xué)院校園網(wǎng)拓?fù)浣Y(jié)構(gòu)分析

學(xué)院辦公樓、圖書館、教學(xué)樓主要采用星型拓?fù)浣Y(jié)構(gòu)相互進(jìn)行信息傳送,學(xué)院www服務(wù)器和電大服務(wù)器通過專線和Internet相連。通過網(wǎng)絡(luò)拓?fù)浞治?形成學(xué)院網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu)圖,如圖1所示。這樣可以為網(wǎng)絡(luò)日常管理提供必要的技術(shù)資料。

二、當(dāng)前學(xué)院計(jì)算網(wǎng)絡(luò)所面臨的的主要安全問題

(一)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接,外部用戶不但可以訪問對外服務(wù)的服務(wù)器,同時也容易地訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器,這樣,由于內(nèi)部和外部沒有隔離措施,內(nèi)部系統(tǒng)較容易遭到攻擊。

(二)局域網(wǎng)內(nèi)基礎(chǔ)設(shè)施面臨來自Internet的威脅,例如蠕蟲、黑客攻擊、木馬、拒絕服務(wù)攻擊、病毒傳播等。

(三)局域網(wǎng)內(nèi)蠕蟲病毒感染及其他病毒的傳播。

(四)大量帶寬浪費(fèi)在與工作無關(guān)的業(yè)務(wù)流量上,如qq聊天、BT下載等P2P應(yīng)用。

(五)web服務(wù)器安全措施存在漏洞。

(六)遠(yuǎn)程用戶登錄的安全身份認(rèn)證問題。

(七)操作系統(tǒng)漏洞造成的安全隱患問題。

(八)網(wǎng)絡(luò)防病毒體系的欠缺造成的安全問題。

(九)網(wǎng)絡(luò)管控手段的落后,造成的監(jiān)控不到位和維護(hù)的不及時。

三、學(xué)院網(wǎng)絡(luò)安全方案

鑒于上述安全問題,在對當(dāng)前的網(wǎng)絡(luò)安全方案和網(wǎng)絡(luò)安全產(chǎn)品的成熟度進(jìn)行深入了解的基礎(chǔ)上,提出了適合于我院的計(jì)算機(jī)網(wǎng)絡(luò)安全框架建議。

(一)在Internet出口部署入侵防御系統(tǒng)—防火墻

1.安裝位置:局域網(wǎng)與路由器之間

2.局域網(wǎng)防火墻作用

(1)實(shí)現(xiàn)單向訪問,允許局域網(wǎng)用戶訪問INTERNET資源,但是嚴(yán)格限制INTERNET用戶對局域網(wǎng)資源的訪問。

(2)通過防火墻,將整個局域網(wǎng)劃分INTERNET,DMZ區(qū),內(nèi)網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域,有利于對整個網(wǎng)絡(luò)進(jìn)行管理。

(3)局域網(wǎng)所有工作站和服務(wù)器處于防火墻地整體防護(hù)之下,只要通過防火墻設(shè)置的修改,就能有限絕大部分防止來自INTERNET上的攻擊,網(wǎng)絡(luò)管理員只需要關(guān)注DMZ區(qū)對外提供服務(wù)的相關(guān)應(yīng)用的安全漏洞。

(4)通過防火墻的過濾規(guī)則,實(shí)現(xiàn)端口級控制,限制局域網(wǎng)用戶對INTERNET的訪問。

(5)進(jìn)行流量控制,確保重要業(yè)務(wù)對流量的要求。

(6)通過過濾規(guī)則,以時間為控制要素,限制大流量網(wǎng)絡(luò)應(yīng)用在上班時間的使用。

(二)在局域網(wǎng)內(nèi)部關(guān)鍵部位部署入侵防御系統(tǒng)—入侵檢測

關(guān)鍵部位指的一是重要的服務(wù)器,如學(xué)院的www服務(wù)器、電大服務(wù)器,二是重要的網(wǎng)段,如辦公樓和教學(xué)樓網(wǎng)段。通過在局域網(wǎng)內(nèi)部部署入侵防御系統(tǒng),可以在網(wǎng)絡(luò)內(nèi)部建立不同的安全域,在網(wǎng)絡(luò)的邊界實(shí)施保護(hù),它實(shí)際上保護(hù)了網(wǎng)絡(luò)內(nèi)部資源。

1.入侵檢測安裝位置:局域網(wǎng)DMZ區(qū)

2.IDS的作用

(1)作為旁路設(shè)備,監(jiān)控網(wǎng)絡(luò)中的信息,統(tǒng)計(jì)并記錄網(wǎng)絡(luò)中的異常主機(jī)以及異常連接。

(2)中斷異常連接。

(3)通過聯(lián)動機(jī)制,向防火墻發(fā)送指令,在限定的時間內(nèi)對特定的IP地址實(shí)施封堵。

(三)全網(wǎng)部署端點(diǎn)準(zhǔn)入防御系統(tǒng)

主要作用是從網(wǎng)絡(luò)端點(diǎn)接入控制入手,加強(qiáng)網(wǎng)絡(luò)終端的主動防御能力,控制病毒、蠕蟲的蔓延。通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及防病毒軟件的聯(lián)動,可以將不符合安全要求的終端限制在“隔離區(qū)”內(nèi),防止“危險”終端對網(wǎng)絡(luò)安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊。

(四)整個網(wǎng)絡(luò)安裝網(wǎng)絡(luò)版防病毒軟件

整個網(wǎng)絡(luò)安裝網(wǎng)絡(luò)版防病毒軟件。由于我院網(wǎng)絡(luò)管理人員比較少,因此,需要功能強(qiáng)大,操作簡便且易于維護(hù)的軟件,以及反應(yīng)靈敏的安全防護(hù)系統(tǒng),以便一旦出現(xiàn)問題,能夠迅速做出反應(yīng),將問題上報給管理員,并及時處理。鑒于上述原因,可選擇瑞星公司生產(chǎn)的2008網(wǎng)絡(luò)版殺毒軟件。

具體方案是:在學(xué)院電教中心安裝瑞星殺毒軟件網(wǎng)絡(luò)版的一級系統(tǒng)中心,負(fù)責(zé)管理整個校園網(wǎng)絡(luò)中的所有二級系統(tǒng)中心;將校園網(wǎng)內(nèi)的所有服務(wù)器和工作站按照不同部門和系別劃分為數(shù)個區(qū)域,并分別在這幾個區(qū)域設(shè)立二級系統(tǒng)中心,負(fù)責(zé)管理各個區(qū)域下的所有計(jì)算機(jī)。此外,在每臺計(jì)算機(jī)上都安裝瑞星殺毒軟件網(wǎng)絡(luò)版客戶端或服務(wù)器端,用以保證所有計(jì)算機(jī)都時刻運(yùn)行瑞星的實(shí)時監(jiān)控程序,同時由一級系統(tǒng)中心負(fù)責(zé)整個網(wǎng)絡(luò)內(nèi)部的軟件升級工作。這樣,采用分級的管理模式,可以有效地提高工作效率,降低風(fēng)險。一旦某級的網(wǎng)絡(luò)出現(xiàn)問題,便于該級的網(wǎng)絡(luò)管理員在第一時間做出反應(yīng),使問題在第一時間得到最有效的解決。

(五)網(wǎng)絡(luò)管理軟件

為便于網(wǎng)絡(luò)管理員對整個網(wǎng)絡(luò)的管理,可在局域網(wǎng)中安裝網(wǎng)絡(luò)管理軟件,以實(shí)現(xiàn)如下的作用:

1.收集局域網(wǎng)中所有資源的硬件信息

2.收集局域網(wǎng)中所有終端和服務(wù)器的操作系統(tǒng)、系統(tǒng)補(bǔ)丁等軟件信息

3.收集交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作狀況等信息

4.判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡(luò)設(shè)備與INTERNET連接

5.顯示實(shí)時網(wǎng)絡(luò)連接情況

6.如果交換機(jī)等核心網(wǎng)絡(luò)設(shè)備出現(xiàn)異常,及時向網(wǎng)管中心報警

(六)動態(tài)口令認(rèn)證系統(tǒng)

該系統(tǒng)服務(wù)器端可安裝在WWW服務(wù)器上,客戶端應(yīng)配置給網(wǎng)頁更新人員。動態(tài)口令認(rèn)證系統(tǒng)的作用就是通過定期修改密碼,確保密碼的不可猜測性。

(七)QOS流量管理系統(tǒng)

安裝在路由器和防火墻之間,也可選擇防火墻本身自帶的QOS帶寬管理模塊。其作用為:

1.通過IP地址,為重要用戶分配足夠的帶寬。

2.通過端口,為重要的應(yīng)用分配足夠的帶寬資源。

3.限制非業(yè)務(wù)流量的帶寬。

4.在資源閑置時期,允許其他人員使用資源,一旦重要用戶或者重要應(yīng)用需要使用帶寬,則確保它們能夠至少使用分配給他們的帶寬資源。

(八)重要終端個人防護(hù)軟件

個人防護(hù)軟件的作用:

1.保護(hù)個人終端不受攻擊。

2.不允許任何主機(jī)(包括局域網(wǎng)主機(jī))非授權(quán)訪問重要終端資源。

3.防止局域網(wǎng)感染病毒主機(jī)通過攻擊的方式感染重要終端。

(九)頁面防篡改系統(tǒng)

在WWW服務(wù)器上安裝頁面防篡改系統(tǒng),以達(dá)到以下作用:

1.定期比對發(fā)布頁面文件與備份文件,一旦發(fā)現(xiàn)不匹配,用備份文件替換發(fā)布文件。

2.通過特殊的認(rèn)證機(jī)制,允許授權(quán)用戶修改頁面文件。

3.能夠?qū)?shù)據(jù)庫文件進(jìn)行比對。

四、分步實(shí)施建議

網(wǎng)絡(luò)安全涉及面相當(dāng)廣,同時進(jìn)行建設(shè)的可行性較差,因此,建議按照以下方式進(jìn)行分階段實(shí)施。

1.第一階段

(1)技術(shù)方面,采用防火墻、網(wǎng)絡(luò)防病毒軟件、頁面防篡改系統(tǒng)來建立一個結(jié)構(gòu)上較完善的網(wǎng)絡(luò)系統(tǒng)。

(2)服務(wù)方面,進(jìn)行網(wǎng)絡(luò)拓?fù)浞治?、建立中心機(jī)房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機(jī)制、對重要服務(wù)器的訪問日志進(jìn)行備份,通過這些服務(wù),增強(qiáng)網(wǎng)絡(luò)的抗干擾性。

(3)支持方面,要求服務(wù)商提供故障排除服務(wù),以提高網(wǎng)絡(luò)的可靠性,降低網(wǎng)絡(luò)故障對網(wǎng)絡(luò)的整體影響。

2.第二階段

在第一階段安全建設(shè)的基礎(chǔ)上,進(jìn)一步增加網(wǎng)絡(luò)安全設(shè)備,采納新的安全服務(wù)和技術(shù)支持來增強(qiáng)網(wǎng)絡(luò)的可用性。

(1)技術(shù)方面,采用入侵檢測、郵件防病毒軟件、動態(tài)口令認(rèn)證系統(tǒng)、并在重要客戶端安裝個人版防護(hù)軟件。

(2)服務(wù)方面,對服務(wù)器進(jìn)行定期掃描與加固、對防火墻日志進(jìn)行備份與分析、對入侵檢測設(shè)備的日志進(jìn)行備份、建立設(shè)備備份系統(tǒng)以及文件備份系統(tǒng)。

(3)支持方面,要求服務(wù)商提供災(zāi)難恢復(fù)、實(shí)時日志檢索、實(shí)時查殺病毒、實(shí)時網(wǎng)絡(luò)監(jiān)控等技術(shù)支持。

3.第三階段

在這一階段,采取的措施以進(jìn)一步提高網(wǎng)絡(luò)效率為主。

(1)技術(shù)方面,采用反垃圾郵件系統(tǒng)、網(wǎng)絡(luò)管理軟件、QOS流量管理軟件。

(2)服務(wù)方面,采用白客滲透測試,要求服務(wù)商定期提供整體安全分析報告。

(3)支持方面,要求能夠?qū)崟r查找攻擊源。

參考文獻(xiàn):

[1]http://www.securitycn.net.

[2]http://www.rising.com.cn.