于　莉

【摘 要】校園網(wǎng)絡中心作為校園網(wǎng)絡運行的管理者,要對整個網(wǎng)絡進行控制和保護,以盡可能預防和避免網(wǎng)絡安全問題的出現(xiàn)。通過分析本院校園網(wǎng)絡的結構以及所面臨的安全問題,提出了有針對性的網(wǎng)絡安全防護措施和實施建議。

【關鍵詞】網(wǎng)絡中心 安全問題 防護措施 實施建議

一、學院校園網(wǎng)拓撲結構分析

學院辦公樓、圖書館、教學樓主要采用星型拓撲結構相互進行信息傳送,學院www服務器和電大服務器通過專線和Internet相連。通過網(wǎng)絡拓撲分析,形成學院網(wǎng)絡整體拓撲結構圖,如圖1所示。這樣可以為網(wǎng)絡日常管理提供必要的技術資料。

二、當前學院計算網(wǎng)絡所面臨的的主要安全問題

(一)內部網(wǎng)絡和外部網(wǎng)絡之間的連接為直接連接,外部用戶不但可以訪問對外服務的服務器,同時也容易地訪問內部的網(wǎng)絡服務器,這樣,由于內部和外部沒有隔離措施,內部系統(tǒng)較容易遭到攻擊。

(二)局域網(wǎng)內基礎設施面臨來自Internet的威脅,例如蠕蟲、黑客攻擊、木馬、拒絕服務攻擊、病毒傳播等。

(三)局域網(wǎng)內蠕蟲病毒感染及其他病毒的傳播。

(四)大量帶寬浪費在與工作無關的業(yè)務流量上,如qq聊天、BT下載等P2P應用。

(五)web服務器安全措施存在漏洞。

(六)遠程用戶登錄的安全身份認證問題。

(七)操作系統(tǒng)漏洞造成的安全隱患問題。

(八)網(wǎng)絡防病毒體系的欠缺造成的安全問題。

(九)網(wǎng)絡管控手段的落后,造成的監(jiān)控不到位和維護的不及時。

三、學院網(wǎng)絡安全方案

鑒于上述安全問題,在對當前的網(wǎng)絡安全方案和網(wǎng)絡安全產(chǎn)品的成熟度進行深入了解的基礎上,提出了適合于我院的計算機網(wǎng)絡安全框架建議。

(一)在Internet出口部署入侵防御系統(tǒng)—防火墻

1.安裝位置:局域網(wǎng)與路由器之間

2.局域網(wǎng)防火墻作用

(1)實現(xiàn)單向訪問,允許局域網(wǎng)用戶訪問INTERNET資源,但是嚴格限制INTERNET用戶對局域網(wǎng)資源的訪問。

(2)通過防火墻,將整個局域網(wǎng)劃分INTERNET,DMZ區(qū),內網(wǎng)訪問區(qū)這三個邏輯上分開的區(qū)域,有利于對整個網(wǎng)絡進行管理。

(3)局域網(wǎng)所有工作站和服務器處于防火墻地整體防護之下,只要通過防火墻設置的修改,就能有限絕大部分防止來自INTERNET上的攻擊,網(wǎng)絡管理員只需要關注DMZ區(qū)對外提供服務的相關應用的安全漏洞。

(4)通過防火墻的過濾規(guī)則,實現(xiàn)端口級控制,限制局域網(wǎng)用戶對INTERNET的訪問。

(5)進行流量控制,確保重要業(yè)務對流量的要求。

(6)通過過濾規(guī)則,以時間為控制要素,限制大流量網(wǎng)絡應用在上班時間的使用。

(二)在局域網(wǎng)內部關鍵部位部署入侵防御系統(tǒng)—入侵檢測

關鍵部位指的一是重要的服務器,如學院的www服務器、電大服務器,二是重要的網(wǎng)段,如辦公樓和教學樓網(wǎng)段。通過在局域網(wǎng)內部部署入侵防御系統(tǒng),可以在網(wǎng)絡內部建立不同的安全域,在網(wǎng)絡的邊界實施保護,它實際上保護了網(wǎng)絡內部資源。

1.入侵檢測安裝位置:局域網(wǎng)DMZ區(qū)

2.IDS的作用

(1)作為旁路設備,監(jiān)控網(wǎng)絡中的信息,統(tǒng)計并記錄網(wǎng)絡中的異常主機以及異常連接。

(2)中斷異常連接。

(3)通過聯(lián)動機制,向防火墻發(fā)送指令,在限定的時間內對特定的IP地址實施封堵。

(三)全網(wǎng)部署端點準入防御系統(tǒng)

主要作用是從網(wǎng)絡端點接入控制入手,加強網(wǎng)絡終端的主動防御能力,控制病毒、蠕蟲的蔓延。通過安全客戶端、安全策略服務器、接入設備以及防病毒軟件的聯(lián)動,可以將不符合安全要求的終端限制在“隔離區(qū)”內,防止“危險”終端對網(wǎng)絡安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊。

(四)整個網(wǎng)絡安裝網(wǎng)絡版防病毒軟件

整個網(wǎng)絡安裝網(wǎng)絡版防病毒軟件。由于我院網(wǎng)絡管理人員比較少,因此,需要功能強大,操作簡便且易于維護的軟件,以及反應靈敏的安全防護系統(tǒng),以便一旦出現(xiàn)問題,能夠迅速做出反應,將問題上報給管理員,并及時處理。鑒于上述原因,可選擇瑞星公司生產(chǎn)的2008網(wǎng)絡版殺毒軟件。

具體方案是:在學院電教中心安裝瑞星殺毒軟件網(wǎng)絡版的一級系統(tǒng)中心,負責管理整個校園網(wǎng)絡中的所有二級系統(tǒng)中心;將校園網(wǎng)內的所有服務器和工作站按照不同部門和系別劃分為數(shù)個區(qū)域,并分別在這幾個區(qū)域設立二級系統(tǒng)中心,負責管理各個區(qū)域下的所有計算機。此外,在每臺計算機上都安裝瑞星殺毒軟件網(wǎng)絡版客戶端或服務器端,用以保證所有計算機都時刻運行瑞星的實時監(jiān)控程序,同時由一級系統(tǒng)中心負責整個網(wǎng)絡內部的軟件升級工作。這樣,采用分級的管理模式,可以有效地提高工作效率,降低風險。一旦某級的網(wǎng)絡出現(xiàn)問題,便于該級的網(wǎng)絡管理員在第一時間做出反應,使問題在第一時間得到最有效的解決。

(五)網(wǎng)絡管理軟件

為便于網(wǎng)絡管理員對整個網(wǎng)絡的管理,可在局域網(wǎng)中安裝網(wǎng)絡管理軟件,以實現(xiàn)如下的作用:

1.收集局域網(wǎng)中所有資源的硬件信息

2.收集局域網(wǎng)中所有終端和服務器的操作系統(tǒng)、系統(tǒng)補丁等軟件信息

3.收集交換機等網(wǎng)絡設備的工作狀況等信息

4.判斷局域網(wǎng)用戶是否使用了MODEM等非法網(wǎng)絡設備與INTERNET連接

5.顯示實時網(wǎng)絡連接情況

6.如果交換機等核心網(wǎng)絡設備出現(xiàn)異常,及時向網(wǎng)管中心報警

(六)動態(tài)口令認證系統(tǒng)

該系統(tǒng)服務器端可安裝在WWW服務器上,客戶端應配置給網(wǎng)頁更新人員。動態(tài)口令認證系統(tǒng)的作用就是通過定期修改密碼,確保密碼的不可猜測性。

(七)QOS流量管理系統(tǒng)

安裝在路由器和防火墻之間,也可選擇防火墻本身自帶的QOS帶寬管理模塊。其作用為:

1.通過IP地址,為重要用戶分配足夠的帶寬。

2.通過端口,為重要的應用分配足夠的帶寬資源。

3.限制非業(yè)務流量的帶寬。

4.在資源閑置時期,允許其他人員使用資源,一旦重要用戶或者重要應用需要使用帶寬,則確保它們能夠至少使用分配給他們的帶寬資源。

(八)重要終端個人防護軟件

個人防護軟件的作用:

1.保護個人終端不受攻擊。

2.不允許任何主機(包括局域網(wǎng)主機)非授權訪問重要終端資源。

3.防止局域網(wǎng)感染病毒主機通過攻擊的方式感染重要終端。

(九)頁面防篡改系統(tǒng)

在WWW服務器上安裝頁面防篡改系統(tǒng),以達到以下作用:

1.定期比對發(fā)布頁面文件與備份文件,一旦發(fā)現(xiàn)不匹配,用備份文件替換發(fā)布文件。

2.通過特殊的認證機制,允許授權用戶修改頁面文件。

3.能夠對數(shù)據(jù)庫文件進行比對。

四、分步實施建議

網(wǎng)絡安全涉及面相當廣,同時進行建設的可行性較差,因此,建議按照以下方式進行分階段實施。

1.第一階段

(1)技術方面,采用防火墻、網(wǎng)絡防病毒軟件、頁面防篡改系統(tǒng)來建立一個結構上較完善的網(wǎng)絡系統(tǒng)。

(2)服務方面,進行網(wǎng)絡拓撲分析、建立中心機房管理制度、建立操作系統(tǒng)以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份,通過這些服務,增強網(wǎng)絡的抗干擾性。

(3)支持方面,要求服務商提供故障排除服務,以提高網(wǎng)絡的可靠性,降低網(wǎng)絡故障對網(wǎng)絡的整體影響。

2.第二階段

在第一階段安全建設的基礎上,進一步增加網(wǎng)絡安全設備,采納新的安全服務和技術支持來增強網(wǎng)絡的可用性。

(1)技術方面,采用入侵檢測、郵件防病毒軟件、動態(tài)口令認證系統(tǒng)、并在重要客戶端安裝個人版防護軟件。

(2)服務方面,對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統(tǒng)以及文件備份系統(tǒng)。

(3)支持方面,要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網(wǎng)絡監(jiān)控等技術支持。

3.第三階段

在這一階段,采取的措施以進一步提高網(wǎng)絡效率為主。

(1)技術方面,采用反垃圾郵件系統(tǒng)、網(wǎng)絡管理軟件、QOS流量管理軟件。

(2)服務方面,采用白客滲透測試,要求服務商定期提供整體安全分析報告。

(3)支持方面,要求能夠實時查找攻擊源。

參考文獻:

[1]http://www.securitycn.net.

[2]http://www.rising.com.cn.