車紅梅，劉 光，昌兆文

（石家莊機(jī)械化步兵學(xué)院，河北 石家莊050083）

學(xué)校網(wǎng)絡(luò)安全與信息資源保密工作的重點(diǎn)：一是確保交換、服務(wù)、存儲、備份設(shè)備正常運(yùn)行；二是確保網(wǎng)上信息資源不被破壞或竊??；三是嚴(yán)格防止計(jì)算機(jī)或存儲介質(zhì)在校園網(wǎng)與互聯(lián)網(wǎng)間混用，導(dǎo)致泄密；四是杜絕不符合校園網(wǎng)接入要求的終端或不合法用戶入網(wǎng)。為有效防范各種攻擊破壞行為，確保網(wǎng)絡(luò)及信息資源安全，構(gòu)建數(shù)字校園網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。

一、建設(shè)目標(biāo)與原則

建設(shè)“數(shù)字校園安全防護(hù)系統(tǒng)”的目標(biāo)和原則包括：構(gòu)建整體防御體系；注重安全性能平衡；立足外圍終端控制；著眼主動防范攻擊；發(fā)揮原有設(shè)備作用；強(qiáng)化制度規(guī)定落實(shí)。

二、建設(shè)內(nèi)容與功能

圖1 校園網(wǎng)安全防護(hù)系統(tǒng)規(guī)劃示意

1.防范來自外網(wǎng)的病毒及入侵行為

（1）防火墻

學(xué)院校園網(wǎng)與全軍軍事訓(xùn)練綜合信息網(wǎng)相連，為防止來自外網(wǎng)的端口掃描、蠕蟲等安全威脅，購置具有軍隊(duì)認(rèn)證資質(zhì)、性能優(yōu)良、擁有自主知識產(chǎn)權(quán)的天融信NGFW4000(TG-470C)型防火墻，該設(shè)備最大并發(fā)連接數(shù)160萬，每秒新建連接數(shù)6萬，實(shí)現(xiàn)以下功能：采用在線模式部署、在優(yōu)先保證業(yè)務(wù)持續(xù)的基礎(chǔ)上提供全面的防護(hù)、基于狀態(tài)的鏈路檢測，可以識別并阻斷非法報(bào)文、防統(tǒng)計(jì)型報(bào)文等攻擊行為；可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置；支持基于源IP地址、目的IP地址、源端口、目的端口、時(shí)間、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、MAC地址等多種方式進(jìn)行訪問控制；具有完善的日志收集、傳輸、存儲、分析、報(bào)告等解決方案。

配置位置：全軍網(wǎng)入口處。

（2）防毒墻

為防止來自外網(wǎng)的病毒傳播，利用已有的天融信TOPSEC防病毒網(wǎng)關(guān)，串接在內(nèi)網(wǎng)到全軍網(wǎng)的出口處，過濾攔截雙向的病毒傳播。

配置位置：防火墻串行后端。

（3）入侵防御系統(tǒng)

為防止外網(wǎng)對校園網(wǎng)網(wǎng)絡(luò)、服務(wù)、存儲、終端設(shè)備和內(nèi)部信息資源的破壞與竊取，及時(shí)發(fā)現(xiàn)、處理和防御各種入侵行為，購置1臺H3C IPS T200E入侵防御設(shè)備，配合相應(yīng)軟件構(gòu)建內(nèi)網(wǎng)入侵防御系統(tǒng)。該系統(tǒng)在跟蹤數(shù)據(jù)流狀態(tài)的基礎(chǔ)上，對報(bào)文進(jìn)行3層到7層信息的深度檢測，可以在蠕蟲、病毒、木馬、DoS/DDoS、后門、Walk-in蠕蟲、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測并阻斷，有效防御針對路由器、交換機(jī)、DNS服務(wù)器等網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施的攻擊。

配置位置：防毒墻或防火墻串行后端。

2.防范非法與不安全用戶接入內(nèi)網(wǎng)

（1）身份認(rèn)證（用戶入網(wǎng)實(shí)名制）

為防止外來終端隨意接入校園網(wǎng)，利用已有的H3C Cams認(rèn)證系統(tǒng)，在客戶端安裝H3C認(rèn)證軟件，實(shí)現(xiàn)用戶名、密碼、IP地址、MAC地址綁定后的統(tǒng)一認(rèn)證，實(shí)現(xiàn)數(shù)字校園網(wǎng)絡(luò)接入的實(shí)名制。

圖2 H3C EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)應(yīng)用示意圖

配置位置：安裝在1臺服務(wù)器上，接入核心交換機(jī)。

（2）端點(diǎn)準(zhǔn)入系統(tǒng)（EAD）

為有效解決用戶不及時(shí)升級病毒庫、不打操作系統(tǒng)補(bǔ)丁、攜帶眾多安全漏洞上網(wǎng)、運(yùn)行惡意程序、試用黑客程序等問題，購置1套H3C端點(diǎn)準(zhǔn)入防御系統(tǒng)。該系統(tǒng)能夠在身份認(rèn)證（實(shí)名制）的基礎(chǔ)上，支持終端安全的準(zhǔn)入控制，實(shí)現(xiàn)下線、隔離、提醒、監(jiān)控等多種控制方式，支持安全狀態(tài)評估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護(hù)措施執(zhí)行等，預(yù)防終端補(bǔ)丁、防病毒、ARP攻擊、異常流量、黑白軟件安裝和運(yùn)行等因素可能帶來的安全威脅，從端點(diǎn)接入上保證每一個接入網(wǎng)絡(luò)的終端的安全，從而保證網(wǎng)絡(luò)和信息安全。

配置位置：安裝在1臺工控機(jī)上，接入核心交換機(jī)。

（3）訪問控制（ACL）

利用核心交換機(jī)的VLAN TAG劃分及訪問控制列表功能，對各VLAN之間的訪問進(jìn)行控制，杜絕非法的VLAN互訪，從而通過設(shè)置只允許特定用戶訪問的VLAN，形成重要信息隔離區(qū)，以保證重要主機(jī)、系統(tǒng)和信息的安全，防止越權(quán)訪問網(wǎng)絡(luò)和使用資源。

配置位置：核心交換機(jī)。

3.用戶終端安全防護(hù)

（1）防病毒感染

強(qiáng)制用戶安裝瑞星殺毒軟件網(wǎng)絡(luò)版或軍事綜合信息網(wǎng)防病毒系統(tǒng)，實(shí)時(shí)自動更新病毒庫，有效防范病毒及木馬。網(wǎng)管通過EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)，自動檢測上網(wǎng)終端病毒庫更新情況，遇有病毒庫沒有更新的終端，只允許其與殺毒軟件服務(wù)器連接，不能訪問網(wǎng)絡(luò)上的其它任何設(shè)備或信息。

配置位置：安裝于用戶上網(wǎng)終端。

（2）防入侵攻擊

網(wǎng)管利用網(wǎng)絡(luò)提供各類個人防火墻軟件，用戶安裝這些軟件，以增強(qiáng)入網(wǎng)終端防攻擊及部分木馬的能力。

配置位置：安裝于用戶上網(wǎng)終端。

（3）防系統(tǒng)漏洞

用戶利用網(wǎng)管已經(jīng)構(gòu)建的Windows UPDATA服務(wù)器（Windows補(bǔ)丁更新系統(tǒng)），及時(shí)更新系統(tǒng)漏洞補(bǔ)丁，杜絕因Windows操作系統(tǒng)漏洞帶來的安全隱患。網(wǎng)管通過EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)，自動檢測上網(wǎng)終端操作系統(tǒng)補(bǔ)丁安裝情況，遇有沒有安裝補(bǔ)丁的終端，只允許其與Windows UPDATA服務(wù)器連接。

配置位置：用戶上網(wǎng)終端與服務(wù)器連接自動更新。

4.網(wǎng)站及應(yīng)用系統(tǒng)安全防護(hù)

（1）網(wǎng)站安全

網(wǎng)站安全是網(wǎng)絡(luò)安全的重要組成部分，除了利用IPS系統(tǒng)防范蠕蟲、病毒、木馬、DoS/DDoS、后門等攻擊，還要防止黑客向網(wǎng)站進(jìn)行各類注入及跨站攻擊，為此必須在網(wǎng)站建設(shè)初期做好安全防范，主要做好代碼過濾、腳本防范、數(shù)據(jù)庫防護(hù)、服務(wù)器安全配置等。

配置位置：網(wǎng)站建設(shè)代碼及各服務(wù)器。

（2）應(yīng)用系統(tǒng)安全

校園網(wǎng)運(yùn)行的各類應(yīng)用系統(tǒng)，必須使用校園 “一卡通”統(tǒng)一安全認(rèn)證機(jī)制，配合VLAN的ACL功能，在系統(tǒng)中設(shè)計(jì)權(quán)限控制功能，以保護(hù)應(yīng)用系統(tǒng)及數(shù)據(jù)安全。

配置位置：應(yīng)用系統(tǒng)程序權(quán)限管理系統(tǒng)。

5.軍訓(xùn)網(wǎng)網(wǎng)絡(luò)值勤綜合管理系統(tǒng)

根據(jù)上級 《關(guān)于配發(fā)軍事訓(xùn)練信息網(wǎng)網(wǎng)絡(luò)值勤綜合管理系統(tǒng)的通知》精神，構(gòu)建該系統(tǒng)運(yùn)行環(huán)境。

6.安全管理制度規(guī)定

對網(wǎng)絡(luò)及信息資源的安全管理是保證網(wǎng)絡(luò)安全運(yùn)行的基礎(chǔ)，在采用上述網(wǎng)絡(luò)安全技術(shù)措施的同時(shí)，建立一套數(shù)字校園安全管理與使用的制度章法體系，并采取切實(shí)有效的措施保證制度的落實(shí)與執(zhí)行。包括：數(shù)字校園網(wǎng)安全管理實(shí)施細(xì)則；數(shù)字校園網(wǎng)使用管理規(guī)定；網(wǎng)管機(jī)房管理規(guī)定；數(shù)字校園網(wǎng)應(yīng)急響應(yīng)預(yù)案；教學(xué)訓(xùn)練信息資源使用規(guī)定。

三、實(shí)現(xiàn)效益

通過實(shí)施該項(xiàng)目建設(shè)，從網(wǎng)絡(luò)層、操作系統(tǒng)層、應(yīng)用層和管理層對園區(qū)網(wǎng)進(jìn)行安全防護(hù)，成功阻止了黑客、病毒等網(wǎng)絡(luò)威脅，保證計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。