姚愷榮
摘要:在對(duì)各校區(qū)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)及其管理體系進(jìn)行細(xì)致分析的基礎(chǔ)上,結(jié)合整個(gè)學(xué)校校園網(wǎng)絡(luò)中信息源的分布及重要級(jí)別,對(duì)整個(gè)校園網(wǎng)絡(luò)進(jìn)行了結(jié)構(gòu)劃分,設(shè)計(jì)了一個(gè)三層集中管理網(wǎng)絡(luò)安全模型,以確保校園網(wǎng)絡(luò)系統(tǒng)的安全。
關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);網(wǎng)絡(luò)安全模型
1 設(shè)計(jì)目標(biāo)
某高職院校由4所學(xué)校合并組建,該校的校園分布在一個(gè)城市的不同區(qū)域,形成了多個(gè)校區(qū)。該校下屬十幾個(gè)教學(xué)、行政管理部門,還有多個(gè)系一級(jí)的教學(xué)單位。目前該校網(wǎng)絡(luò)已經(jīng)完成了主校區(qū)的核心網(wǎng)絡(luò)主控中心建設(shè)及分校區(qū)與主校區(qū)內(nèi)部網(wǎng)建設(shè),主校區(qū)和各分校區(qū)之間、各校區(qū)內(nèi)部采用百兆光纖進(jìn)行連接。為了進(jìn)一步提高網(wǎng)絡(luò)安全性,該校決定搭建一套專門的網(wǎng)絡(luò)和信息安全管理系統(tǒng),以確保整個(gè)校園網(wǎng)絡(luò)的安全。
2 校園網(wǎng)模型分析
在信息安全管理系統(tǒng)建立之前,考慮到該校目前已經(jīng)在網(wǎng)絡(luò)安全設(shè)計(jì)上采取了一些基本措施,并且涉及到進(jìn)行整體網(wǎng)絡(luò)建設(shè)的步驟與保護(hù)投資等問題,我們首先對(duì)其網(wǎng)絡(luò)中存在的安全問題及隱患進(jìn)行分析,以保證提供方案的針對(duì)性與高效性。
(1)該?,F(xiàn)在的工作系統(tǒng)大多是基于瀏覽器/服務(wù)器(B/S)、客戶端/服務(wù)器(C/S)模式和Internet/Intranet網(wǎng)絡(luò)計(jì)算模式的分布式應(yīng)用。在這樣一個(gè)分布式應(yīng)用的環(huán)境中,學(xué)校的電子郵件服務(wù)器、WWW服務(wù)器、文件服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等等,每一個(gè)都是一個(gè)供人出入的“門戶”,只要有一個(gè)“門戶”沒有完全保護(hù)好,“黑客”就會(huì)通過這道門進(jìn)入系統(tǒng),竊取或破壞所有系統(tǒng)資源。
(2)目前該校的網(wǎng)絡(luò)主要采用TCP/IP作為網(wǎng)絡(luò)通訊協(xié)議,主要服務(wù)器為Windows2000 Server操作系統(tǒng)。TCP/IP以開放性著稱,共享信息的設(shè)計(jì)思路貫穿于系統(tǒng)的方方面面,對(duì)訪問控制、用戶驗(yàn)證授權(quán)、實(shí)時(shí)和事后審計(jì)等安全內(nèi)容考慮較少,只實(shí)現(xiàn)了基本安全控制功能,還存在一些各種各樣的漏洞。
(3)在該校園網(wǎng)中存在著多種應(yīng)用系統(tǒng),包括WWW、郵件系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等等。這些系統(tǒng)都可能存在一些安全隱患。從應(yīng)用系統(tǒng)情況看,目前大多數(shù)業(yè)務(wù)系統(tǒng)使用單機(jī)處理教學(xué)、科研、財(cái)務(wù)、人事和文檔等工作。利用HTTP服務(wù)器的一些漏洞,特別是在大量使用服務(wù)器腳本的系統(tǒng)上,利用某些可執(zhí)行的腳本程序,入侵者可以很容易獲得系統(tǒng)的控制權(quán)。數(shù)據(jù)庫(kù)系統(tǒng)本身也存在很多安全問題。如何保證和加強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全性和保密性對(duì)于該校的正常、安全運(yùn)行至關(guān)重要。此外,雖然該校當(dāng)前也對(duì)安全問題也做了一定的考慮,安裝了防病毒軟件并設(shè)計(jì)了防火墻系統(tǒng),但是鑒于當(dāng)前校園網(wǎng)系統(tǒng)安全性的嚴(yán)重狀況,這些考慮還是不足的,并沒有形成一套完整的防護(hù)體系。
鑒于上述考慮,我們對(duì)整個(gè)校園網(wǎng)絡(luò)結(jié)構(gòu)分布及其各自的防護(hù)措施進(jìn)行了調(diào)整和完善,引入分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),建立了整個(gè)學(xué)校校園網(wǎng)絡(luò)的安全管理體系,并設(shè)計(jì)了一個(gè)自上而下的三層集中—分散管理體系:由主校區(qū)網(wǎng)絡(luò)管理為中心,負(fù)責(zé)整個(gè)學(xué)校校園網(wǎng)絡(luò)管理;各分校區(qū)網(wǎng)絡(luò)管理分別負(fù)責(zé)各自轄區(qū)內(nèi)的二層網(wǎng)絡(luò)的管理;各單位網(wǎng)絡(luò)管理具體負(fù)責(zé)各自工作站的管理,以入侵檢測(cè)系統(tǒng)為主,以防病毒軟件、防火墻為輔,建立一個(gè)多方位的安全保障體系,以確保整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的安全。
3 安全模型設(shè)計(jì)
3.1 設(shè)計(jì)的基本思想
由于該學(xué)校的網(wǎng)絡(luò)系統(tǒng)是建立在主校區(qū)、分校區(qū)等基礎(chǔ)上的多級(jí)分布式網(wǎng)絡(luò)系統(tǒng),其網(wǎng)絡(luò)構(gòu)成包括Unix/NT服務(wù)器、郵件服務(wù)器、Windows98/2000/XP等聯(lián)網(wǎng)客戶機(jī)等,而且各分校區(qū)的局域網(wǎng)之間的通訊都要通過相對(duì)不安全的公共網(wǎng)。這樣一種網(wǎng)絡(luò)結(jié)構(gòu)采用分布式入侵檢測(cè)系統(tǒng)較為適合,為發(fā)揮分布集中管理的優(yōu)勢(shì),我們?cè)噲D設(shè)計(jì)一個(gè)結(jié)合該校園網(wǎng)絡(luò)特點(diǎn)的三層集中管理的網(wǎng)絡(luò)模型。然后,在這個(gè)模型中融防火墻、防病毒軟件和入侵檢測(cè)系統(tǒng)三位一體,構(gòu)建從邊界防護(hù)到核心主機(jī)防護(hù)的深層防御體系。由于黑客在網(wǎng)絡(luò)入侵中攻擊方式各異而且途徑多種多樣,因此在構(gòu)建校園網(wǎng)絡(luò)防御系統(tǒng)時(shí),可以通過移動(dòng)代理建立完整的防御體系,實(shí)施“層層設(shè)防、集中控制”的防御策略。
3.2 三層集中管理模型設(shè)計(jì)
根據(jù)校園網(wǎng)結(jié)構(gòu),我們將其安全防護(hù)體系的部署重點(diǎn)分為了以下幾個(gè)方面:PC機(jī)防護(hù)、實(shí)時(shí)保護(hù)文件/數(shù)據(jù)庫(kù)服務(wù)器、實(shí)時(shí)防護(hù)郵件服務(wù)器、實(shí)時(shí)Internet網(wǎng)關(guān)的防護(hù)、在關(guān)鍵網(wǎng)段部署入侵檢測(cè)系統(tǒng)保護(hù)核心數(shù)據(jù)安全。
具體的架構(gòu)及設(shè)備在網(wǎng)絡(luò)中的部署如下:
在防御體系的設(shè)計(jì)中,我們擬在該校主校區(qū)(總部所在地)安裝一臺(tái)管理服務(wù)器作為全校網(wǎng)絡(luò)防御安全管理中心。在各校區(qū)分別安裝一臺(tái)管理服務(wù)器作為二層防御安全管理中心。在其全校十幾個(gè)部門和二級(jí)單位中,則可根據(jù)規(guī)模和實(shí)際管理需要,安裝管理服務(wù)器作為第三層網(wǎng)絡(luò)防御安全管理中心,并在各地相應(yīng)的管理員工作站上安裝管理員客戶端。管理員可以直接通過管理員客戶端登錄到管理服務(wù)器進(jìn)行遠(yuǎn)程策略配置分發(fā)等管理工作。在網(wǎng)絡(luò)中其他服務(wù)器和客戶端上分別安裝客戶端設(shè)備,客戶端所有的防御配置(包括防毒軟件)都可以從管理服務(wù)器分發(fā)獲得。這樣在整個(gè)校園網(wǎng)中就形成了一個(gè)自上而下的三層集中管理結(jié)構(gòu)。
第一層:主校區(qū)的管理服務(wù)器負(fù)責(zé)新區(qū)網(wǎng)絡(luò)防御策略的制定分發(fā)和信息收集,同時(shí)負(fù)責(zé)二層管理服務(wù)器群的策略制定。在防毒方面,主校區(qū)服務(wù)器還可以負(fù)責(zé)從有關(guān)網(wǎng)站上下載病毒庫(kù)和殺毒引擎升級(jí)代碼,向新校區(qū)網(wǎng)絡(luò)和二層管理中心提供升級(jí)服務(wù)。
第二層:二層管理服務(wù)器負(fù)責(zé)各分校區(qū)網(wǎng)絡(luò)和各部門的防御策略制定和分發(fā),同時(shí)負(fù)責(zé)向下屬的沒有設(shè)置管理中心的部門分發(fā)安全策略和升級(jí)代碼。
第三層:三層管理服務(wù)器負(fù)責(zé)自己網(wǎng)絡(luò)的客戶端的安全策略的制定和分發(fā)。
根據(jù)需要,上級(jí)管理員可以直接登錄到下級(jí)管理控制中心進(jìn)行安全策略檢查和配置。這樣的防御結(jié)構(gòu),可以幫助該校園網(wǎng)在網(wǎng)絡(luò)中所有可能遭受攻擊的地方均采取相應(yīng)的防范手段,從而形成一個(gè)完整的網(wǎng)絡(luò)防御體系。
此外,管理員可以集中制定適用于網(wǎng)絡(luò)的所有防御策略,然后分別部署到各個(gè)組中去,通過集中管理模式可以使管理員能夠通過一臺(tái)管理服務(wù)器完成對(duì)網(wǎng)絡(luò)中的所有機(jī)器的集中配置,在客戶端實(shí)現(xiàn)零管理。
4 結(jié)語
該校園防御結(jié)構(gòu)從各個(gè)環(huán)節(jié)增強(qiáng)了校園網(wǎng)絡(luò)系統(tǒng)對(duì)于入侵者的防御能力,從而為校園網(wǎng)信息系統(tǒng)的高可靠性、可用性提供了保證。同時(shí),校園網(wǎng)三層集中管理結(jié)構(gòu)為在其中實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)奠定了基礎(chǔ)。
參考文獻(xiàn)
[1]張曉.入侵檢測(cè)系統(tǒng)的發(fā)展[J].信息安全與通信保密,2004,7(3):23
[2]劉惠方.基于主機(jī)的入侵檢測(cè)系統(tǒng)分析[J].信息網(wǎng)絡(luò)安全,2005,9(2):14
[3]李索科.分布式入侵檢測(cè)系統(tǒng)[J].信息網(wǎng)絡(luò)安全,2006,6(3):18