浅论校园网络中心安全防护措施
2009-09-23于莉
于 莉
【摘 要】校园网络中心作为校园网络运行的管理者,要对整个网络进行控制和保护,以尽可能预防和避免网络安全问题的出现。通过分析本院校园网络的结构以及所面临的安全问题,提出了有针对性的网络安全防护措施和实施建议。
【关键词】网络中心 安全问题 防护措施 实施建议
一、学院校园网拓扑结构分析
学院办公楼、图书馆、教学楼主要采用星型拓扑结构相互进行信息传送,学院www服务器和电大服务器通过专线和Internet相连。通过网络拓扑分析,形成学院网络整体拓扑结构图,如图1所示。这样可以为网络日常管理提供必要的技术资料。
二、当前学院计算网络所面临的的主要安全问题
(一)内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
(二)局域网内基础设施面临来自Internet的威胁,例如蠕虫、黑客攻击、木马、拒绝服务攻击、病毒传播等。
(三)局域网内蠕虫病毒感染及其他病毒的传播。
(四)大量带宽浪费在与工作无关的业务流量上,如qq聊天、BT下载等P2P应用。
(五)web服务器安全措施存在漏洞。
(六)远程用户登录的安全身份认证问题。
(七)操作系统漏洞造成的安全隐患问题。
(八)网络防病毒体系的欠缺造成的安全问题。
(九)网络管控手段的落后,造成的监控不到位和维护的不及时。
三、学院网络安全方案
鉴于上述安全问题,在对当前的网络安全方案和网络安全产品的成熟度进行深入了解的基础上,提出了适合于我院的计算机网络安全框架建议。
(一)在Internet出口部署入侵防御系统—防火墙
1.安装位置:局域网与路由器之间
2.局域网防火墙作用
(1)实现单向访问,允许局域网用户访问INTERNET资源,但是严格限制INTERNET用户对局域网资源的访问。
(2)通过防火墙,将整个局域网划分INTERNET,DMZ区,内网访问区这三个逻辑上分开的区域,有利于对整个网络进行管理。
(3)局域网所有工作站和服务器处于防火墙地整体防护之下,只要通过防火墙设置的修改,就能有限绝大部分防止来自INTERNET上的攻击,网络管理员只需要关注DMZ区对外提供服务的相关应用的安全漏洞。
(4)通过防火墙的过滤规则,实现端口级控制,限制局域网用户对INTERNET的访问。
(5)进行流量控制,确保重要业务对流量的要求。
(6)通过过滤规则,以时间为控制要素,限制大流量网络应用在上班时间的使用。
(二)在局域网内部关键部位部署入侵防御系统—入侵检测
关键部位指的一是重要的服务器,如学院的www服务器、电大服务器,二是重要的网段,如办公楼和教学楼网段。通过在局域网内部部署入侵防御系统,可以在网络内部建立不同的安全域,在网络的边界实施保护,它实际上保护了网络内部资源。
1.入侵检测安装位置:局域网DMZ区
2.IDS的作用
(1)作为旁路设备,监控网络中的信息,统计并记录网络中的异常主机以及异常连接。
(2)中断异常连接。
(3)通过联动机制,向防火墙发送指令,在限定的时间内对特定的IP地址实施封堵。
(三)全网部署端点准入防御系统
主要作用是从网络端点接入控制入手,加强网络终端的主动防御能力,控制病毒、蠕虫的蔓延。通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区”内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击。
(四)整个网络安装网络版防病毒软件
整个网络安装网络版防病毒软件。由于我院网络管理人员比较少,因此,需要功能强大,操作简便且易于维护的软件,以及反应灵敏的安全防护系统,以便一旦出现问题,能够迅速做出反应,将问题上报给管理员,并及时处理。鉴于上述原因,可选择瑞星公司生产的2008网络版杀毒软件。
具体方案是:在学院电教中心安装瑞星杀毒软件网络版的一级系统中心,负责管理整个校园网络中的所有二级系统中心;将校园网内的所有服务器和工作站按照不同部门和系别划分为数个区域,并分别在这几个区域设立二级系统中心,负责管理各个区域下的所有计算机。此外,在每台计算机上都安装瑞星杀毒软件网络版客户端或服务器端,用以保证所有计算机都时刻运行瑞星的实时监控程序,同时由一级系统中心负责整个网络内部的软件升级工作。这样,采用分级的管理模式,可以有效地提高工作效率,降低风险。一旦某级的网络出现问题,便于该级的网络管理员在第一时间做出反应,使问题在第一时间得到最有效的解决。
(五)网络管理软件
为便于网络管理员对整个网络的管理,可在局域网中安装网络管理软件,以实现如下的作用:
1.收集局域网中所有资源的硬件信息
2.收集局域网中所有终端和服务器的操作系统、系统补丁等软件信息
3.收集交换机等网络设备的工作状况等信息
4.判断局域网用户是否使用了MODEM等非法网络设备与INTERNET连接
5.显示实时网络连接情况
6.如果交换机等核心网络设备出现异常,及时向网管中心报警
(六)动态口令认证系统
该系统服务器端可安装在WWW服务器上,客户端应配置给网页更新人员。动态口令认证系统的作用就是通过定期修改密码,确保密码的不可猜测性。
(七)QOS流量管理系统
安装在路由器和防火墙之间,也可选择防火墙本身自带的QOS带宽管理模块。其作用为:
1.通过IP地址,为重要用户分配足够的带宽。
2.通过端口,为重要的应用分配足够的带宽资源。
3.限制非业务流量的带宽。
4.在资源闲置时期,允许其他人员使用资源,一旦重要用户或者重要应用需要使用带宽,则确保它们能够至少使用分配给他们的带宽资源。
(八)重要终端个人防护软件
个人防护软件的作用:
1.保护个人终端不受攻击。
2.不允许任何主机(包括局域网主机)非授权访问重要终端资源。
3.防止局域网感染病毒主机通过攻击的方式感染重要终端。
(九)页面防篡改系统
在WWW服务器上安装页面防篡改系统,以达到以下作用:
1.定期比对发布页面文件与备份文件,一旦发现不匹配,用备份文件替换发布文件。
2.通过特殊的认证机制,允许授权用户修改页面文件。
3.能够对数据库文件进行比对。
四、分步实施建议
网络安全涉及面相当广,同时进行建设的可行性较差,因此,建议按照以下方式进行分阶段实施。
1.第一阶段
(1)技术方面,采用防火墙、网络防病毒软件、页面防篡改系统来建立一个结构上较完善的网络系统。
(2)服务方面,进行网络拓扑分析、建立中心机房管理制度、建立操作系统以及防病毒软件定期升级机制、对重要服务器的访问日志进行备份,通过这些服务,增强网络的抗干扰性。
(3)支持方面,要求服务商提供故障排除服务,以提高网络的可靠性,降低网络故障对网络的整体影响。
2.第二阶段
在第一阶段安全建设的基础上,进一步增加网络安全设备,采纳新的安全服务和技术支持来增强网络的可用性。
(1)技术方面,采用入侵检测、邮件防病毒软件、动态口令认证系统、并在重要客户端安装个人版防护软件。
(2)服务方面,对服务器进行定期扫描与加固、对防火墙日志进行备份与分析、对入侵检测设备的日志进行备份、建立设备备份系统以及文件备份系统。
(3)支持方面,要求服务商提供灾难恢复、实时日志检索、实时查杀病毒、实时网络监控等技术支持。
3.第三阶段
在这一阶段,采取的措施以进一步提高网络效率为主。
(1)技术方面,采用反垃圾邮件系统、网络管理软件、QOS流量管理软件。
(2)服务方面,采用白客渗透测试,要求服务商定期提供整体安全分析报告。
(3)支持方面,要求能够实时查找攻击源。
参考文献:
[1]http://www.securitycn.net.
[2]http://www.rising.com.cn.