数字校园安全防护系统建设与应用

2012-10-09车红梅昌兆文

中国教育信息化 2012年21期

车红梅，刘光，昌兆文

（石家庄机械化步兵学院，河北石家庄050083）

学校网络安全与信息资源保密工作的重点：一是确保交换、服务、存储、备份设备正常运行；二是确保网上信息资源不被破坏或窃取；三是严格防止计算机或存储介质在校园网与互联网间混用，导致泄密；四是杜绝不符合校园网接入要求的终端或不合法用户入网。为有效防范各种攻击破坏行为，确保网络及信息资源安全，构建数字校园网络安全防护系统。

一、建设目标与原则

建设“数字校园安全防护系统”的目标和原则包括：构建整体防御体系；注重安全性能平衡；立足外围终端控制；着眼主动防范攻击；发挥原有设备作用；强化制度规定落实。

二、建设内容与功能

图1 校园网安全防护系统规划示意

1.防范来自外网的病毒及入侵行为

（1）防火墙

学院校园网与全军军事训练综合信息网相连，为防止来自外网的端口扫描、蠕虫等安全威胁，购置具有军队认证资质、性能优良、拥有自主知识产权的天融信NGFW4000(TG-470C)型防火墙，该设备最大并发连接数160万，每秒新建连接数6万，实现以下功能：采用在线模式部署、在优先保证业务持续的基础上提供全面的防护、基于状态的链路检测，可以识别并阻断非法报文、防统计型报文等攻击行为；可以根据数据包的来源和数据包的特征进行阻断设置；支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；具有完善的日志收集、传输、存储、分析、报告等解决方案。

配置位置：全军网入口处。

（2）防毒墙

为防止来自外网的病毒传播，利用已有的天融信TOPSEC防病毒网关，串接在内网到全军网的出口处，过滤拦截双向的病毒传播。

配置位置：防火墙串行后端。

（3）入侵防御系统

为防止外网对校园网网络、服务、存储、终端设备和内部信息资源的破坏与窃取，及时发现、处理和防御各种入侵行为，购置1台H3C IPS T200E入侵防御设备，配合相应软件构建内网入侵防御系统。该系统在跟踪数据流状态的基础上，对报文进行3层到7层信息的深度检测，可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断，有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。

配置位置：防毒墙或防火墙串行后端。

2.防范非法与不安全用户接入内网

（1）身份认证（用户入网实名制）

为防止外来终端随意接入校园网，利用已有的H3C Cams认证系统，在客户端安装H3C认证软件，实现用户名、密码、IP地址、MAC地址绑定后的统一认证，实现数字校园网络接入的实名制。

图2 H3C EAD端点准入防御系统应用示意图

配置位置：安装在1台服务器上，接入核心交换机。

（2）端点准入系统（EAD）

为有效解决用户不及时升级病毒库、不打操作系统补丁、携带众多安全漏洞上网、运行恶意程序、试用黑客程序等问题，购置1套H3C端点准入防御系统。该系统能够在身份认证（实名制）的基础上，支持终端安全的准入控制，实现下线、隔离、提醒、监控等多种控制方式，支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等，预防终端补丁、防病毒、ARP攻击、异常流量、黑白软件安装和运行等因素可能带来的安全威胁，从端点接入上保证每一个接入网络的终端的安全，从而保证网络和信息安全。

配置位置：安装在1台工控机上，接入核心交换机。

（3）访问控制（ACL）

利用核心交换机的VLAN TAG划分及访问控制列表功能，对各VLAN之间的访问进行控制，杜绝非法的VLAN互访，从而通过设置只允许特定用户访问的VLAN，形成重要信息隔离区，以保证重要主机、系统和信息的安全，防止越权访问网络和使用资源。

配置位置：核心交换机。

3.用户终端安全防护

（1）防病毒感染

强制用户安装瑞星杀毒软件网络版或军事综合信息网防病毒系统，实时自动更新病毒库，有效防范病毒及木马。网管通过EAD端点准入防御系统，自动检测上网终端病毒库更新情况，遇有病毒库没有更新的终端，只允许其与杀毒软件服务器连接，不能访问网络上的其它任何设备或信息。

配置位置：安装于用户上网终端。

（2）防入侵攻击

网管利用网络提供各类个人防火墙软件，用户安装这些软件，以增强入网终端防攻击及部分木马的能力。

配置位置：安装于用户上网终端。

（3）防系统漏洞

用户利用网管已经构建的Windows UPDATA服务器（Windows补丁更新系统），及时更新系统漏洞补丁，杜绝因Windows操作系统漏洞带来的安全隐患。网管通过EAD端点准入防御系统，自动检测上网终端操作系统补丁安装情况，遇有没有安装补丁的终端，只允许其与Windows UPDATA服务器连接。

配置位置：用户上网终端与服务器连接自动更新。

4.网站及应用系统安全防护

（1）网站安全

网站安全是网络安全的重要组成部分，除了利用IPS系统防范蠕虫、病毒、木马、DoS/DDoS、后门等攻击，还要防止黑客向网站进行各类注入及跨站攻击，为此必须在网站建设初期做好安全防范，主要做好代码过滤、脚本防范、数据库防护、服务器安全配置等。

配置位置：网站建设代码及各服务器。

（2）应用系统安全

校园网运行的各类应用系统，必须使用校园 “一卡通”统一安全认证机制，配合VLAN的ACL功能，在系统中设计权限控制功能，以保护应用系统及数据安全。

配置位置：应用系统程序权限管理系统。

5.军训网网络值勤综合管理系统

根据上级《关于配发军事训练信息网网络值勤综合管理系统的通知》精神，构建该系统运行环境。

6.安全管理制度规定

对网络及信息资源的安全管理是保证网络安全运行的基础，在采用上述网络安全技术措施的同时，建立一套数字校园安全管理与使用的制度章法体系，并采取切实有效的措施保证制度的落实与执行。包括：数字校园网安全管理实施细则；数字校园网使用管理规定；网管机房管理规定；数字校园网应急响应预案；教学训练信息资源使用规定。