姚愷榮

摘要：在對各校區(qū)現(xiàn)有網(wǎng)絡結構及其管理體系進行細致分析的基礎上，結合整個學校校園網(wǎng)絡中信息源的分布及重要級別，對整個校園網(wǎng)絡進行了結構劃分，設計了一個三層集中管理網(wǎng)絡安全模型，以確保校園網(wǎng)絡系統(tǒng)的安全。

關鍵詞：網(wǎng)絡安全；入侵檢測；網(wǎng)絡安全模型

1 設計目標

某高職院校由4所學校合并組建，該校的校園分布在一個城市的不同區(qū)域，形成了多個校區(qū)。該校下屬十幾個教學、行政管理部門，還有多個系一級的教學單位。目前該校網(wǎng)絡已經(jīng)完成了主校區(qū)的核心網(wǎng)絡主控中心建設及分校區(qū)與主校區(qū)內(nèi)部網(wǎng)建設，主校區(qū)和各分校區(qū)之間、各校區(qū)內(nèi)部采用百兆光纖進行連接。為了進一步提高網(wǎng)絡安全性，該校決定搭建一套專門的網(wǎng)絡和信息安全管理系統(tǒng)，以確保整個校園網(wǎng)絡的安全。

2 校園網(wǎng)模型分析

在信息安全管理系統(tǒng)建立之前，考慮到該校目前已經(jīng)在網(wǎng)絡安全設計上采取了一些基本措施，并且涉及到進行整體網(wǎng)絡建設的步驟與保護投資等問題，我們首先對其網(wǎng)絡中存在的安全問題及隱患進行分析，以保證提供方案的針對性與高效性。

（1）該?，F(xiàn)在的工作系統(tǒng)大多是基于瀏覽器/服務器(B/S)、客戶端/服務器(C/S)模式和Internet/Intranet網(wǎng)絡計算模式的分布式應用。在這樣一個分布式應用的環(huán)境中，學校的電子郵件服務器、WWW服務器、文件服務器、數(shù)據(jù)庫服務器、應用服務器等等，每一個都是一個供人出入的“門戶”，只要有一個“門戶”沒有完全保護好，“黑客”就會通過這道門進入系統(tǒng)，竊取或破壞所有系統(tǒng)資源。

（2）目前該校的網(wǎng)絡主要采用TCP/IP作為網(wǎng)絡通訊協(xié)議，主要服務器為Windows2000 Server操作系統(tǒng)。TCP/IP以開放性著稱，共享信息的設計思路貫穿于系統(tǒng)的方方面面，對訪問控制、用戶驗證授權、實時和事后審計等安全內(nèi)容考慮較少，只實現(xiàn)了基本安全控制功能，還存在一些各種各樣的漏洞。

（3）在該校園網(wǎng)中存在著多種應用系統(tǒng)，包括WWW、郵件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等等。這些系統(tǒng)都可能存在一些安全隱患。從應用系統(tǒng)情況看，目前大多數(shù)業(yè)務系統(tǒng)使用單機處理教學、科研、財務、人事和文檔等工作。利用HTTP服務器的一些漏洞，特別是在大量使用服務器腳本的系統(tǒng)上，利用某些可執(zhí)行的腳本程序，入侵者可以很容易獲得系統(tǒng)的控制權。數(shù)據(jù)庫系統(tǒng)本身也存在很多安全問題。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于該校的正常、安全運行至關重要。此外，雖然該校當前也對安全問題也做了一定的考慮，安裝了防病毒軟件并設計了防火墻系統(tǒng)，但是鑒于當前校園網(wǎng)系統(tǒng)安全性的嚴重狀況，這些考慮還是不足的，并沒有形成一套完整的防護體系。

鑒于上述考慮，我們對整個校園網(wǎng)絡結構分布及其各自的防護措施進行了調(diào)整和完善，引入分布式網(wǎng)絡入侵檢測系統(tǒng)，建立了整個學校校園網(wǎng)絡的安全管理體系，并設計了一個自上而下的三層集中—分散管理體系：由主校區(qū)網(wǎng)絡管理為中心，負責整個學校校園網(wǎng)絡管理；各分校區(qū)網(wǎng)絡管理分別負責各自轄區(qū)內(nèi)的二層網(wǎng)絡的管理；各單位網(wǎng)絡管理具體負責各自工作站的管理，以入侵檢測系統(tǒng)為主，以防病毒軟件、防火墻為輔，建立一個多方位的安全保障體系，以確保整個校園網(wǎng)絡系統(tǒng)的安全。

3 安全模型設計

3.1 設計的基本思想

由于該學校的網(wǎng)絡系統(tǒng)是建立在主校區(qū)、分校區(qū)等基礎上的多級分布式網(wǎng)絡系統(tǒng)，其網(wǎng)絡構成包括Unix/NT服務器、郵件服務器、Windows98/2000/XP等聯(lián)網(wǎng)客戶機等，而且各分校區(qū)的局域網(wǎng)之間的通訊都要通過相對不安全的公共網(wǎng)。這樣一種網(wǎng)絡結構采用分布式入侵檢測系統(tǒng)較為適合，為發(fā)揮分布集中管理的優(yōu)勢，我們試圖設計一個結合該校園網(wǎng)絡特點的三層集中管理的網(wǎng)絡模型。然后，在這個模型中融防火墻、防病毒軟件和入侵檢測系統(tǒng)三位一體，構建從邊界防護到核心主機防護的深層防御體系。由于黑客在網(wǎng)絡入侵中攻擊方式各異而且途徑多種多樣，因此在構建校園網(wǎng)絡防御系統(tǒng)時，可以通過移動代理建立完整的防御體系，實施“層層設防、集中控制”的防御策略。

3.2 三層集中管理模型設計

根據(jù)校園網(wǎng)結構，我們將其安全防護體系的部署重點分為了以下幾個方面：PC機防護、實時保護文件/數(shù)據(jù)庫服務器、實時防護郵件服務器、實時Internet網(wǎng)關的防護、在關鍵網(wǎng)段部署入侵檢測系統(tǒng)保護核心數(shù)據(jù)安全。

具體的架構及設備在網(wǎng)絡中的部署如下：

在防御體系的設計中，我們擬在該校主校區(qū)(總部所在地)安裝一臺管理服務器作為全校網(wǎng)絡防御安全管理中心。在各校區(qū)分別安裝一臺管理服務器作為二層防御安全管理中心。在其全校十幾個部門和二級單位中，則可根據(jù)規(guī)模和實際管理需要，安裝管理服務器作為第三層網(wǎng)絡防御安全管理中心，并在各地相應的管理員工作站上安裝管理員客戶端。管理員可以直接通過管理員客戶端登錄到管理服務器進行遠程策略配置分發(fā)等管理工作。在網(wǎng)絡中其他服務器和客戶端上分別安裝客戶端設備，客戶端所有的防御配置(包括防毒軟件)都可以從管理服務器分發(fā)獲得。這樣在整個校園網(wǎng)中就形成了一個自上而下的三層集中管理結構。

第一層：主校區(qū)的管理服務器負責新區(qū)網(wǎng)絡防御策略的制定分發(fā)和信息收集，同時負責二層管理服務器群的策略制定。在防毒方面，主校區(qū)服務器還可以負責從有關網(wǎng)站上下載病毒庫和殺毒引擎升級代碼，向新校區(qū)網(wǎng)絡和二層管理中心提供升級服務。

第二層：二層管理服務器負責各分校區(qū)網(wǎng)絡和各部門的防御策略制定和分發(fā)，同時負責向下屬的沒有設置管理中心的部門分發(fā)安全策略和升級代碼。

第三層：三層管理服務器負責自己網(wǎng)絡的客戶端的安全策略的制定和分發(fā)。

根據(jù)需要，上級管理員可以直接登錄到下級管理控制中心進行安全策略檢查和配置。這樣的防御結構，可以幫助該校園網(wǎng)在網(wǎng)絡中所有可能遭受攻擊的地方均采取相應的防范手段，從而形成一個完整的網(wǎng)絡防御體系。

此外，管理員可以集中制定適用于網(wǎng)絡的所有防御策略，然后分別部署到各個組中去，通過集中管理模式可以使管理員能夠通過一臺管理服務器完成對網(wǎng)絡中的所有機器的集中配置，在客戶端實現(xiàn)零管理。

4 結語

該校園防御結構從各個環(huán)節(jié)增強了校園網(wǎng)絡系統(tǒng)對于入侵者的防御能力，從而為校園網(wǎng)信息系統(tǒng)的高可靠性、可用性提供了保證。同時，校園網(wǎng)三層集中管理結構為在其中實現(xiàn)入侵檢測系統(tǒng)奠定了基礎。

參考文獻

[1]張曉．入侵檢測系統(tǒng)的發(fā)展［J］．信息安全與通信保密，2004，7（3）：23

[2]劉惠方．基于主機的入侵檢測系統(tǒng)分析［J］．信息網(wǎng)絡安全，2005，9（2）：14

[3]李索科．分布式入侵檢測系統(tǒng)［J］．信息網(wǎng)絡安全，2006，6（3）：18