浙江省交通干部学校网络安全策略
2012-04-29余文艳
余文艳
摘要:数字化校园中的网络安全已经成为当前各学校网络建设中不可忽视的首要问题。文章基于我校网络安全的现状及特点,提出相应的控制策略。
关键词:校园网络;安全策略
随着我国经济与科技的不断发展,教育信息化、校园网络化作为网络时代的教育方式和环境,已经成为教育发展的方向。同时,校园网安全问题也成为当前各学校网络建设中不可忽视的首要问题。从以下几方面来保证校园网的网络安全。
一、规划合理的网络拓扑结构
校园网以学校的核心机房为全网中心,采用千兆以太网技术,将全校的计算机及已有的局域网全部连网,整个校园网络分成以下几个部分:
1.省交通厅办公网。独立专网:原有安全设备防火墙作为边界安全设备,做访问控制及安全过滤;
2.校园外网1(学生网络)。该网络主要用户为流动外来学员以及内部学生使用,主要应用为访问因特网;
3.校园外网2(教职工网络)。该网络主要用户为校内教职工,主要应用有:访问因特网、访问校园内网资源等;并且将业务系统对外访问的门户网站及邮件系统等规划到DMZ区域;
4.校园内网。主要为业务系统(核心业务,重要数据),对内、对外提供服务;通过网闸做双网隔离,实现内网与外网隔离,并提供业务系统数据安全交换。
通过以上网络改造,把原来的学校外网分成三个网络:学生网,教工网和内网。其中学生网和后两个网络之间实现了物理隔离,这样避免了学生网对教师网可能造成的直接隐患。而后两者之间是通过网闸的作用实现内外网隔离。在业务系统中,把含机密性数据的服务器放在网闸之内,使外网上的用户不能直接访问内部数据,而只把一些不含机密信息的公用服务器放在网闸之外,这样既简化了网络结构、方便上网,又实现了重要信息的保护。
二、从硬件上做好网络安全控制
主要包括以下几方面。
1.出口上网控制
主要是防火墙控制。在校园外网部署出口上网控制设备——防火墙设备。教职工网络出口防火墙考虑到学校整体教职工数量和访问流量的需求,使用核心交换机集成的模块化万兆防火墙设备,使核心交换机的任意端口均能成为防火墙的过滤端口。不仅摆脱了传统防火墙端口数量上的限制,且更利于保证整体设备性能的稳定性和整体网络情况的安全性。通过防火墙的设置,可以实现访问控制、包过滤、上网行为管理、流量控制、抗攻击等功能,并且支持VPN连接。
2.边界防护设备
采用IPS入侵防御设备作为边界防护设备,可以检测、防御、甚至阻断网络。
边界防护设备——IPS入侵防御设备可以实现以下功能:
(1)入侵检测与防护:采用自研检测引擎,具备基于IP碎片重组、TCP流重组、会话状态、协议异常和七层应用行为等的攻击识别功能
(2)旁路保护:支持硬件Bypass、软件Bypass功能
(3)高可用性:支持双机热备、多机集群
3.物理隔离网闸设备
根据国家保密局颁布的《计算机信息系统国际联网保密管理规定》,涉及机密数据和应用的信息系统与互联网和其他公共信息网络必须实现物理隔离。
物理隔离网闸设备是在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换的网络安全设备。物理隔离网闸系统必须是采用专有隔离硬件和协议,并采用国际上最新的信息轮渡机制,集成了安全操作系统、内容过滤、数字签名、病毒查杀、访问控制和安全审计等多种安全技术,对传输数据的类型、内容等进行检查和过滤,提供可信任的专用信息交换服务,有效地克服了由于物理隔离引起的业务系统数据交换瓶颈,保持了两个个网络间物理隔离的特性,同时提供了一种安全、有效的数据交换途径。
实现功能:(1)保护服务器区的数据与外网实现物理隔离。(2)服务器区可以与外界进行正常的数据库传输、数据库同步、FTP访问、邮件访问、安全浏览、定制访问、安全通道等多种功能,但外网的攻击无法进入服务器区。(3)对进出服务器区的数据进行抗DDoS/DoS攻击、蠕虫防护、病毒扫描,保证服务器区数据的完整性和安全性
三、移动访问VPN设备
SSLVPN是解决远程用户访问校园内业务和数据最简单最安全的解决技术。与复杂的IPSecVPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSecVPN一样必须为每一台客户机安装客户端软件。
通过SSLVPN设备,为校园内教职工和各级领导提供基于标准浏览器的SSLVPN接入方案,使教职工和各级领导在任何地点、任何时间,以任何方式都可以安全地访问单位内部关键应用,同时以快速简捷的应用模式、出色的稳定性、领先的性能来提升校园信息化业务系统远程访问的安全保障和工作效率。
实现功能:(1)可以对移动办公的用户实现不同部门、不同角色的权限与访问列表分配,免客户端、免控件,实现100%零客户端(2)针对不同用户开放不同的端口,以保护内网的数据安全
四、安装企业版网络防病毒软件系统
企业版防病毒软件系统拥有以下功能特性:
1.对通过https协议和POP3S协议传输的加密通信数据进行检查,并且加强了在压缩文件中检测其他杀软漏报的未知病毒的能力。主动防护功能在系统启动时抢先启动,确保终端设备的安全。
2.全面保护Email客户端。
3.对移动设备进行不同保护级别的扫描。
4.对系统进程详细扫描诊断查找隐藏威胁,可通过创建可供启动救援查杀的CD/DVD或USB驱动器,协助修复被感染的电脑系统。
5.通过自我防护技术防止恶意程序破坏核心进程,保证对系统不间断的防护。
五、从管理的角度加强网络安全
1.加强入网访问控制。加强用户帐号和密码的管理。要求各教职工及时更新、保管密码。
2.加强网络的权限控制。通过统一身份认证系统赋予用户可以使用哪些系统的哪些功能可以使用哪些资源。
通过以上策略,较好地实现了网络安全控制。当然,网络安全的实现是无止境的,需要在工作中与时俱进,不断完善。
(作者单位:浙江省交通干部学校)