孫瀛
(北華大學(xué)工程訓(xùn)練中心,吉林 吉林 132021)
隨著我國(guó)大學(xué)數(shù)字化建設(shè)的逐步深入,校園網(wǎng)作為數(shù)字化校園的基礎(chǔ)平臺(tái)己經(jīng)在各個(gè)高校普遍建立。同時(shí),來(lái)自因特網(wǎng)的病毒、攻擊甚至色情反動(dòng)等違法內(nèi)容也進(jìn)入了校園網(wǎng),支撐學(xué)校運(yùn)行的信息系統(tǒng)以及校園網(wǎng)的用戶要直接面對(duì)來(lái)自校園網(wǎng)內(nèi)外攻擊的威脅,校園網(wǎng)中的網(wǎng)絡(luò)安全事件成為制約校園網(wǎng)可用性的主要因素。由于歷史的原因,各個(gè)高校的校園網(wǎng)建設(shè)都盡力經(jīng)歷了若干個(gè)發(fā)展期,設(shè)備品牌種類繁多,設(shè)備在功能上、處理能力上也有較大差別。從TCP/IP模型上來(lái)看,校園網(wǎng)面臨物理層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全等全方位的威脅。
校園網(wǎng)屬于中到大型規(guī)模的園區(qū)網(wǎng)絡(luò),過(guò)去校園網(wǎng)管理者把安全管理的重點(diǎn)側(cè)重于網(wǎng)絡(luò)邊界、主機(jī)安全和病毒防護(hù)等方面,但近一兩年大量基于二層的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)資源濫用、應(yīng)用層攻擊等現(xiàn)象的出現(xiàn)給校園網(wǎng)絡(luò)的安全運(yùn)行帶來(lái)了極大的威脅,今天網(wǎng)絡(luò)安全問(wèn)題已分布于TCP/IP模型的每一個(gè)層面上,如圖1。
圖1 TCP/IP協(xié)議棧中的安全關(guān)注點(diǎn)
從物理環(huán)境角度講,地震、水災(zāi)、火災(zāi)、雷擊等環(huán)境事故,電源故障,人為操作失誤或錯(cuò)誤,電磁干擾,線路截獲等,都對(duì)校園網(wǎng)絡(luò)的安全構(gòu)成威脅,保證校園網(wǎng)絡(luò)系統(tǒng)中各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。
網(wǎng)絡(luò)層安全是容易被忽視但又是攻擊最容易實(shí)施、也是最不容易被發(fā)現(xiàn)的安全威脅,它可以使網(wǎng)絡(luò)癱瘓或者通過(guò)非法獲取密碼等敏感信息的方式來(lái)危及網(wǎng)絡(luò)用戶的安全。由于任何一個(gè)合法用戶都能獲取一個(gè)以太網(wǎng)端口的訪問(wèn)權(quán)限,而這些用戶都有可能成為黑客,同時(shí)由于設(shè)計(jì)OSI模型的時(shí)候,允許不同通信層處于相對(duì)獨(dú)立的工作模式,因此承載所有客戶關(guān)鍵應(yīng)用的網(wǎng)絡(luò)第二層的安全就變得至關(guān)重要。近年來(lái),校園網(wǎng)內(nèi)來(lái)自網(wǎng)絡(luò)第二層的攻擊數(shù)量驚人,已成為校園網(wǎng)絡(luò)管理者非常頭痛的安全問(wèn)題。根據(jù)安全威脅的特征分析,來(lái)自于網(wǎng)絡(luò)第二層的攻擊主要包括:MAC地址泛濫攻擊、DHCP服務(wù)器欺騙攻擊、ARP欺騙、IP/MAC地址欺騙。
應(yīng)用層安全是指應(yīng)用系統(tǒng)的安全,包括應(yīng)用系統(tǒng)訪問(wèn)控制安全、應(yīng)用系統(tǒng)數(shù)據(jù)傳輸安全、應(yīng)用系統(tǒng)的桌面安全。今天,各種蠕蟲(chóng)、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合,形成復(fù)合型威脅,使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊校園網(wǎng)核心服務(wù)器和應(yīng)用,攻擊終端用戶計(jì)算機(jī),給用戶帶來(lái)信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失;對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DOS/DDOS攻擊,造成基礎(chǔ)設(shè)施的癱瘓;更有甚者,像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及,校園網(wǎng)寶貴的寬帶資源被業(yè)務(wù)無(wú)關(guān)流量浪費(fèi),形成巨大的資源損失。面對(duì)這些問(wèn)題,傳統(tǒng)解決方案最大的問(wèn)題是,防火墻工作在TCP/IP 3~4層上,根本就“看”不到這些威脅的存在。無(wú)帶寬管理和應(yīng)用控制能力已成為多數(shù)校園網(wǎng)安全管理者普遍面臨的問(wèn)題。
管理混亂、安全管理制度不健全,責(zé)權(quán)不明及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。管理方面的安全隱患包括:內(nèi)部管理人員或師生為了方便省事,設(shè)置的口令過(guò)短和過(guò)于簡(jiǎn)單,甚至不設(shè)置用戶口令,導(dǎo)致很容易破解。責(zé)任不清,使用相同的口令、用戶名,導(dǎo)致權(quán)限管理混亂,信息泄密。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。內(nèi)部不滿的人員有的可能造成極大的安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全模型對(duì)大型網(wǎng)絡(luò)的安全設(shè)計(jì)與實(shí)現(xiàn)有非常重要的指導(dǎo)意義。我們可以圍繞PDRR安全模型思想設(shè)計(jì)一個(gè)有針對(duì)性的、完善的校園網(wǎng)安全體系,提高學(xué)校校園網(wǎng)的安全。PDRR是 4個(gè)英文單詞的頭字符:Protection(防護(hù))、Detection(檢測(cè))、Response(響應(yīng))、Recovery(恢復(fù)),如圖 2 所示。
圖2 PDRR安全模型
PDRR安全模型的基本思想是:以安全策略為核心,通過(guò)文件完整性檢查、流量統(tǒng)計(jì)、異常分析、模式匹配以及基于應(yīng)用、目標(biāo)、主機(jī)、網(wǎng)絡(luò)的入侵檢查等方法進(jìn)行安全漏洞檢測(cè),為系統(tǒng)快速響應(yīng)提供依據(jù)。當(dāng)發(fā)現(xiàn)系統(tǒng)有異常時(shí),根據(jù)系統(tǒng)的安全策略作出快速響應(yīng),并將系統(tǒng)動(dòng)態(tài)調(diào)整到“最安全”或“風(fēng)險(xiǎn)最低”的狀態(tài),從而保護(hù)系統(tǒng)安全。在安全策略的指導(dǎo)下,防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)組成了一個(gè)完整的、動(dòng)態(tài)的安全循環(huán),從而達(dá)到不斷增強(qiáng)網(wǎng)絡(luò)安全的目的。依據(jù)PDRR模型的指導(dǎo)思想,從安全問(wèn)題分層考慮,提出下面一個(gè)解決方案:
(1)接入層安全控制區(qū):為防范網(wǎng)絡(luò)層的攻擊,主要部署應(yīng)用DHCP偵聽(tīng)、動(dòng)態(tài)ARP防護(hù)、端口綁定、802.IX接入認(rèn)證等安全技術(shù),這幾種技術(shù)通常關(guān)聯(lián)使用,為降低大量廣播數(shù)據(jù)給網(wǎng)絡(luò)帶來(lái)的危害,在接口上開(kāi)啟廣播報(bào)文限制。
(2)網(wǎng)絡(luò)核心安全控制區(qū):主要使用訪問(wèn)控制列表(ACL)來(lái)控制VLAN之間的訪問(wèn),將內(nèi)網(wǎng)用戶間的訪問(wèn)做必要的隔離和限制;利用ACL防范假冒源IP地址攻擊;同時(shí)使用防火墻設(shè)置DMZ區(qū)。
(3)服務(wù)器安全區(qū):使用嚴(yán)格的訪問(wèn)控制限制內(nèi)外網(wǎng)對(duì)服務(wù)器網(wǎng)段的訪問(wèn),應(yīng)用PVLAN技術(shù),進(jìn)一步控制服務(wù)器之間不必要的訪問(wèn)。
(4)網(wǎng)絡(luò)邊際安全區(qū):使用三區(qū)域單向或雙向的訪問(wèn)控制,禁止DMZ區(qū)域?qū)?nèi)網(wǎng)的訪問(wèn)和外網(wǎng)對(duì)內(nèi)網(wǎng)的直接訪問(wèn);加強(qiáng)VPN服務(wù)的用戶認(rèn)證與資源訪問(wèn)的管理,避免門(mén)戶大開(kāi)現(xiàn)象的發(fā)生。
(5)部署電子郵件過(guò)濾等內(nèi)容管理系統(tǒng),根據(jù)內(nèi)容的分類進(jìn)行訪問(wèn)控制,杜絕色情、反政府、邪教等非法、不健康內(nèi)容的接觸和傳播。阻斷對(duì)含有病毒、木馬等各種惡意代碼,以及內(nèi)容欺詐網(wǎng)站的訪問(wèn),解決病毒、惡意代碼通過(guò)電子郵件進(jìn)入內(nèi)網(wǎng)傳播的問(wèn)題。
計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)建實(shí)際上是入侵者與反入侵者之間的持久的對(duì)抗過(guò)程。所以任何計(jì)算機(jī)網(wǎng)絡(luò)安全體系一定不是可以一勞永逸地防范任何攻擊的完美系統(tǒng),人們力圖建立的只能是一個(gè)動(dòng)態(tài)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。它是一個(gè)動(dòng)態(tài)加靜態(tài)的防御,是被動(dòng)加主動(dòng)的防御,甚至是抗擊,是計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)加計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的完整安全觀念。
[1]楊義先,鈕心忻.網(wǎng)絡(luò)安全的理論與技術(shù).北京:人民郵電出版社.2003.10.
[2]李濤.網(wǎng)絡(luò)安全概論.北京:電子工業(yè)出版社.2004.11.
[3]胡錚.網(wǎng)絡(luò)與信息安全.北京:清華大學(xué)出版社.2006.5.
[4]StephenNorthcutt.深入剖析網(wǎng)絡(luò)邊界安全.北京:機(jī)械工業(yè)出版社.2003.8.
[5]盧昱,王宇.計(jì)算機(jī)網(wǎng)絡(luò)安全與控制技術(shù).北京:科學(xué)出版社.2005.