北京高校校園網(wǎng)絡(luò)安全案例

北京高校校園網(wǎng)絡(luò)安全案例北京某高校是為國家培養(yǎng)國家專業(yè)人才的專業(yè)院校。為了實現(xiàn)“科教強國”、“走內(nèi)涵式發(fā)展道路”的發(fā)展之路，該院面臨的挑戰(zhàn)是如何實現(xiàn)教學(xué)與管理的信息化。而計算機校園網(wǎng)可以說是目前發(fā)展信息技術(shù)的最基礎(chǔ)的設(shè)施。因此，建設(shè)該院的校園網(wǎng)工程是信息化建設(shè)方面的緊迫任務(wù)，是學(xué)校可持續(xù)發(fā)展的重要保證之一。總體建設(shè)目標按照學(xué)院的需求，本系統(tǒng)應(yīng)在技術(shù)上具有先進性，在設(shè)備選型方面具有適當(dāng)?shù)某靶院洼^強的可擴充性，保證系統(tǒng)在3-5年內(nèi)不落后。整個系統(tǒng)與目前流行的技術(shù)和設(shè)備相比需具有極強的性價比。系統(tǒng)應(yīng)充分利用現(xiàn)有的通訊方式，實現(xiàn)最有效的信息溝通，采用開放式和具有可擴展性的結(jié)構(gòu)方案，保證系統(tǒng)的不斷擴充。更為重要的是，隨著安全系統(tǒng)的建成與開通，能夠充分開發(fā)教育信息資源，開展相應(yīng)的信息增值服務(wù)，為教育事業(yè)帶來巨大的社會效益和經(jīng)濟效益；能夠充分展現(xiàn)院校的窗口作用，提高整體工作水平和效率，樹立學(xué)校新形象。學(xué)院網(wǎng)絡(luò)概述該學(xué)院校園網(wǎng)絡(luò)主要由計算機實驗室、教學(xué)樓、學(xué)校信息資源服務(wù)器群、圖書館等網(wǎng)絡(luò)組成。其中出口一方面連接CERNET，另一方面連接INTERNET；網(wǎng)絡(luò)中心的核心交換由P550R交換機完成，后通過P333T級聯(lián)來連接各個網(wǎng)絡(luò)部分。另外，核心交換機P550R上的代理服務(wù)器主要提供學(xué)生在機房實驗室內(nèi)連接外部網(wǎng)絡(luò)之用。安全風(fēng)險分析根據(jù)該學(xué)院校園網(wǎng)絡(luò)整體結(jié)構(gòu)，參考國際標準化組織ISO開放系統(tǒng)互聯(lián)（OSI）模型，我們將網(wǎng)絡(luò)系統(tǒng)劃分成五個層次，即物理層安全、網(wǎng)絡(luò)層安全、操作系統(tǒng)層安全、應(yīng)用層安全以及管理層安全。（一） 物理層安全分析：在本方案中暫不做詳述。（二） 網(wǎng)絡(luò)層安全分析1、 網(wǎng)絡(luò)邊界的安全風(fēng)險分析：該學(xué)院校園網(wǎng)絡(luò)由教學(xué)區(qū)網(wǎng)絡(luò)、計算機實驗室網(wǎng)絡(luò)和學(xué)校資源服務(wù)器群組成。由于存在外聯(lián)服務(wù)的要求應(yīng)在網(wǎng)絡(luò)出口處安裝防火墻對訪問加以控制。但是由于已經(jīng)配備的防火墻不支持TOPSEC聯(lián)動體系，因此可能與需要配備IDS系統(tǒng)無法組成有效地聯(lián)動，這一點的風(fēng)險還是需要考慮的。2、 由于北京城市學(xué)院校園網(wǎng)絡(luò)中大量的使用了網(wǎng)絡(luò)設(shè)備，如交換機、路由器等。使得這些設(shè)備的自身安全性也會直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運轉(zhuǎn)。3、 網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險分析：北京城市學(xué)院校園網(wǎng)絡(luò)與其他院校的遠程傳輸安全的威脅來自如下兩個方面：A、內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來的威脅；B、線路竊聽。（三） 操作系統(tǒng)層的安全風(fēng)險分析系統(tǒng)級的安全風(fēng)險分析主要針對北京城市學(xué)院校園采用的操作系統(tǒng)、數(shù)據(jù)庫、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進行分析。北京城市學(xué)院校園網(wǎng)絡(luò)采用的操作系統(tǒng) （主要為Windows2000server/professional，WindowsNT/Workstation,WindowsME，Windows95/98、UNIX）本身在安全方面考慮較少，服務(wù)器、數(shù)據(jù)庫的安全級別較低，存在一些安全隱患。同時病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。（四） 應(yīng)用層安全風(fēng)險分析北京城市學(xué)院內(nèi)部網(wǎng)絡(luò)系統(tǒng)中主要存在以下安全風(fēng)險：對業(yè)務(wù)系統(tǒng)的非法訪問；用戶提交的業(yè)務(wù)信息被監(jiān)聽或修改；用戶對成功提交的業(yè)務(wù)進行事后抵賴；服務(wù)系統(tǒng)偽裝，騙取用戶口令。（五） 管理層的安全風(fēng)險分析責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。因此，最可行的做法是管理制度和管理解決方案的結(jié)合。該校園網(wǎng)絡(luò)整體安全解決方案（一） 網(wǎng)絡(luò)安全建設(shè)原則：該學(xué)院校園網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標準、相互配套”的原則進行，采用先進的“平臺化”建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅持近期目標與遠期目標相結(jié)合。在實際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開展，相互配套；在實現(xiàn)上分步實施，漸進獲??；在具體設(shè)計中結(jié)構(gòu)上一體化，標準化，平臺化；安全保密功能上多級化，對信道適應(yīng)多元化。（二） 網(wǎng)絡(luò)安全建設(shè)目標：針對學(xué)院網(wǎng)絡(luò)系統(tǒng)在實際運行中所面臨的各種威脅，采用防護、檢測、反應(yīng)、恢復(fù)四方面行之有效的安全措施，建立一個全方位并易于管理的安全體系，確保學(xué)院網(wǎng)絡(luò)系統(tǒng)安全可靠的運行。（三） 安全體系技術(shù)方案1、網(wǎng)絡(luò)級安全方案從網(wǎng)絡(luò)的高度構(gòu)建一個安全平臺，解決北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)的邊界安全、數(shù)據(jù)傳輸?shù)劝踩珕栴}，公用信道上敏感信息傳輸?shù)陌踩Ｃ軉栴}以及網(wǎng)絡(luò)入侵檢測和預(yù)警系統(tǒng)的問題。A、 解決方案：網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實現(xiàn)網(wǎng)絡(luò)的訪問控制，采用安全檢測手段防范非法用戶的主動入侵。在防火墻上通過設(shè)置安全策略增加對服務(wù)器的保護，同時必要時還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓撲結(jié)構(gòu)，使用日志來對非法訪問進行監(jiān)控，使用防火墻與入侵檢測聯(lián)動功能形成動態(tài)、自適應(yīng)的安全防護平臺。B、 產(chǎn)品實施：網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠方發(fā)起。IP協(xié)議族各廠家實現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對更多，如IPsweep，SequenceInsert，teardrop，sync-flood，IPspoofing攻擊等。防火墻是近年發(fā)展起來的重要安全技術(shù)，在學(xué)院網(wǎng)絡(luò)系統(tǒng)中其主要作用是在網(wǎng)絡(luò)邊界處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。C、 天融信防火墻在該學(xué)院網(wǎng)絡(luò)中的應(yīng)用：邊界防火墻的配置：由于在該學(xué)院網(wǎng)絡(luò)邊界處已經(jīng)配備的防火墻可能不支持TOPSEC聯(lián)動協(xié)議，因此將此防火墻更換掉用于其他網(wǎng)絡(luò)部分，如可以放置在9、10層計算機實驗室的出口處用于保護學(xué)生上網(wǎng)時對教學(xué)區(qū)、圖書館網(wǎng)絡(luò)的非法訪問。根據(jù)網(wǎng)絡(luò)具體流量情況，采用型號為NGFW4000，支持TOPSEC聯(lián)動協(xié)議，標準配置三接口的防火墻，其最大并發(fā)連接數(shù)將近60萬個，其中兩個接口分別接外網(wǎng)和內(nèi)網(wǎng)兩個網(wǎng)段，第三個口可以作為預(yù)留。內(nèi)網(wǎng)保護服務(wù)器群防火墻的配置:而在整個校園網(wǎng)中的資源信息服務(wù)器群則是整個網(wǎng)絡(luò)數(shù)據(jù)保護的關(guān)鍵，因此必須在其級聯(lián)的P333T交換機與核心交換機P550R處配備一臺能夠支持TOPSEC聯(lián)動協(xié)議的、高性能天融信網(wǎng)絡(luò)衛(wèi)士防火墻4000系統(tǒng)，用于對內(nèi)部服務(wù)器群的訪問和聯(lián)動保護。此處建議采用型號為NGFW4000-S標準配置三個接口的防火墻，其最大并發(fā)連接數(shù)達到60萬個，一個接口接核心交換機，一個接口接級聯(lián)交換機，另一個接口作為預(yù)留接口。從而實現(xiàn)對內(nèi)部服務(wù)器群的訪問控制保護。原來邊界防火墻的再利用：由于原來的邊界防火墻不支持TOPSEC聯(lián)動協(xié)議，把它替換后可以將其放置在9、10層的計算機實驗室網(wǎng)絡(luò)的出口處，用于保護其對教學(xué)網(wǎng)和圖書館網(wǎng)絡(luò)系統(tǒng)的訪問控制。D、 天融信網(wǎng)絡(luò)衛(wèi)士4000防火墻特點：?防火墻4000是天融信公司積多年來的防火墻開發(fā)經(jīng)驗和應(yīng)用實踐及天融信廣大用戶寶貴建議基礎(chǔ)之上，基于對網(wǎng)絡(luò)安全的深刻理解，融合網(wǎng)絡(luò)科技的最新成果，獨創(chuàng)了系列安全構(gòu)架和實現(xiàn)技術(shù)，經(jīng)過多年的研究和近兩年的開發(fā)所完成的最新一代防火墻產(chǎn)品。?應(yīng)能夠配置成分布式和集中統(tǒng)一管理，由防火墻管理代理程序和管理器組成。?管理安全、方便靈活，防火墻4000經(jīng)過簡單的配置即可接入網(wǎng)絡(luò)進行通信和訪問控制，GUI管理界面提供了清晰的管理結(jié)構(gòu)，每一個管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對所有管理加密（支持SSL和SSH），并進行嚴格的審計，實現(xiàn)了真正的安全遠程管理。同時，可以支持SNMP與當(dāng)前通用的網(wǎng)絡(luò)管理平臺兼容，如HPOpenview、Ciscoworks等，方便管理和維護。?提供面向?qū)ο蟮姆?wù)模板功能，可以方便的定制過濾規(guī)則。?支持雙向地址路由功能，帶寬管理功能，流量控制功能?確保只允許符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)訪問和網(wǎng)絡(luò)服務(wù)，進出北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)，或進入相應(yīng)安全域隔離帶。?防火墻能夠支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle數(shù)據(jù)庫、Sybase數(shù)據(jù)庫、SQL數(shù)據(jù)庫等主流應(yīng)用。當(dāng)然，對不同的控制點，對防火墻的要求會不完全一樣。?有效地反映網(wǎng)絡(luò)攻擊，保證北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)及其業(yè)務(wù)的可用性、可靠性。?要適合北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)接入模式、接口規(guī)范、帶寬要求，防火墻不能成為網(wǎng)絡(luò)或業(yè)務(wù)的瓶頸。?防火墻要符合國家相關(guān)標準和規(guī)范，包括GB/T18019、GB/T18020等。?防火墻要具有很高的可靠性，不會降低北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的可靠性。?深層日志及靈活、強大審計分析功能，提供豐富的日志信息，用戶可根據(jù)特定的需要進行日志選項（不做日志、通信日志（即傳統(tǒng)的日志）、應(yīng)用層協(xié)議日志、應(yīng)用層內(nèi)容日志）。獨創(chuàng)的網(wǎng)絡(luò)實時監(jiān)測信息，可詳細審計命令級操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計分析的有效性。?更好地支持業(yè)界公認的TOPSEC協(xié)議，防火墻應(yīng)具有聯(lián)動功能，能夠?qū)崿F(xiàn)與入侵檢測設(shè)備的通訊。?采用獨創(chuàng)的最新最先進核檢測技術(shù)，即基于OS內(nèi)核的會話檢測技術(shù)，在OS內(nèi)核實現(xiàn)對應(yīng)用層訪問控制。它相對于包過濾和應(yīng)用代理防火墻來講，不但更加成功地實現(xiàn)了對應(yīng)用層的細粒度控制，同時，更有效保證了防火墻的性能。2、安全管理建議A、 在安全組織建設(shè)上：實施安全應(yīng)管理先行，安全組織體系的建設(shè)勢在必行。應(yīng)在學(xué)校建立網(wǎng)絡(luò)安全建設(shè)領(lǐng)導(dǎo)委員會，該委員會應(yīng)由一個主管領(lǐng)導(dǎo)，網(wǎng)絡(luò)管理員，安全操作員等人員組成。主管領(lǐng)導(dǎo)應(yīng)領(lǐng)導(dǎo)安全體系的建設(shè)實施，在安全實施過程中取得相關(guān)部門的配合。網(wǎng)絡(luò)管理員應(yīng)具有豐富的網(wǎng)絡(luò)知識和實際經(jīng)驗，熟悉本地網(wǎng)絡(luò)結(jié)構(gòu)，能夠制定技術(shù)實施策略。安全操作員負責(zé)安全系統(tǒng)的具體實施。另外，在學(xué)校網(wǎng)絡(luò)中心應(yīng)建立安全專家小組，負責(zé)安全問題的重大決策。B、 在網(wǎng)絡(luò)安全管理手段上：隨著該校園網(wǎng)絡(luò)安全建設(shè)的實施，對于性能卓越、操作簡單、應(yīng)用靈活的管理工具便成為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的重要組成部分。天融信公司的TopsecManager安全管理平臺不僅能夠?qū)π@網(wǎng)絡(luò)系統(tǒng)的路由器、交換機進行網(wǎng)絡(luò)管理，而且還能夠?qū)W(wǎng)絡(luò)中心的網(wǎng)絡(luò)安全設(shè)備，如防火墻、加密機、入侵檢測系統(tǒng)、網(wǎng)絡(luò)安全掃描等進行管理。這樣，通過使用一種網(wǎng)絡(luò)安全管理平臺，將網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備完全地聯(lián)系起來，真正地建立起一個完整的、安全的、高效的管理平臺。TopsecManager安全管理平臺主要包含了網(wǎng)絡(luò)構(gòu)成管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)自動化管理等五大主要功能。Topsec