APP下载

数字校园安全防护系统建设与应用

2012-10-09车红梅昌兆文

中国教育信息化 2012年21期
关键词:网管端点校园网

车红梅,刘 光,昌兆文

(石家庄机械化步兵学院,河北 石家庄050083)

学校网络安全与信息资源保密工作的重点:一是确保交换、服务、存储、备份设备正常运行;二是确保网上信息资源不被破坏或窃取;三是严格防止计算机或存储介质在校园网与互联网间混用,导致泄密;四是杜绝不符合校园网接入要求的终端或不合法用户入网。为有效防范各种攻击破坏行为,确保网络及信息资源安全,构建数字校园网络安全防护系统。

一、建设目标与原则

建设“数字校园安全防护系统”的目标和原则包括:构建整体防御体系;注重安全性能平衡;立足外围终端控制;着眼主动防范攻击;发挥原有设备作用;强化制度规定落实。

二、建设内容与功能

图1 校园网安全防护系统规划示意

1.防范来自外网的病毒及入侵行为

(1)防火墙

学院校园网与全军军事训练综合信息网相连,为防止来自外网的端口扫描、蠕虫等安全威胁,购置具有军队认证资质、性能优良、拥有自主知识产权的天融信NGFW4000(TG-470C)型防火墙,该设备最大并发连接数160万,每秒新建连接数6万,实现以下功能:采用在线模式部署、在优先保证业务持续的基础上提供全面的防护、基于状态的链路检测,可以识别并阻断非法报文、防统计型报文等攻击行为;可以根据数据包的来源和数据包的特征进行阻断设置;支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制;具有完善的日志收集、传输、存储、分析、报告等解决方案。

配置位置:全军网入口处。

(2)防毒墙

为防止来自外网的病毒传播,利用已有的天融信TOPSEC防病毒网关,串接在内网到全军网的出口处,过滤拦截双向的病毒传播。

配置位置:防火墙串行后端。

(3)入侵防御系统

为防止外网对校园网网络、服务、存储、终端设备和内部信息资源的破坏与窃取,及时发现、处理和防御各种入侵行为,购置1台H3C IPS T200E入侵防御设备,配合相应软件构建内网入侵防御系统。该系统在跟踪数据流状态的基础上,对报文进行3层到7层信息的深度检测,可以在蠕虫、病毒、木马、DoS/DDoS、后门、Walk-in蠕虫、连接劫持、带宽滥用等威胁发生前成功地检测并阻断,有效防御针对路由器、交换机、DNS服务器等网络重要基础设施的攻击。

配置位置:防毒墙或防火墙串行后端。

2.防范非法与不安全用户接入内网

(1)身份认证(用户入网实名制)

为防止外来终端随意接入校园网,利用已有的H3C Cams认证系统,在客户端安装H3C认证软件,实现用户名、密码、IP地址、MAC地址绑定后的统一认证,实现数字校园网络接入的实名制。

图2 H3C EAD端点准入防御系统应用示意图

配置位置:安装在1台服务器上,接入核心交换机。

(2)端点准入系统(EAD)

为有效解决用户不及时升级病毒库、不打操作系统补丁、携带众多安全漏洞上网、运行恶意程序、试用黑客程序等问题,购置1套H3C端点准入防御系统。该系统能够在身份认证(实名制)的基础上,支持终端安全的准入控制,实现下线、隔离、提醒、监控等多种控制方式,支持安全状态评估、网络中安全威胁定位、安全事件感知及保护措施执行等,预防终端补丁、防病毒、ARP攻击、异常流量、黑白软件安装和运行等因素可能带来的安全威胁,从端点接入上保证每一个接入网络的终端的安全,从而保证网络和信息安全。

配置位置:安装在1台工控机上,接入核心交换机。

(3)访问控制(ACL)

利用核心交换机的VLAN TAG划分及访问控制列表功能,对各VLAN之间的访问进行控制,杜绝非法的VLAN互访,从而通过设置只允许特定用户访问的VLAN,形成重要信息隔离区,以保证重要主机、系统和信息的安全,防止越权访问网络和使用资源。

配置位置:核心交换机。

3.用户终端安全防护

(1)防病毒感染

强制用户安装瑞星杀毒软件网络版或军事综合信息网防病毒系统,实时自动更新病毒库,有效防范病毒及木马。网管通过EAD端点准入防御系统,自动检测上网终端病毒库更新情况,遇有病毒库没有更新的终端,只允许其与杀毒软件服务器连接,不能访问网络上的其它任何设备或信息。

配置位置:安装于用户上网终端。

(2)防入侵攻击

网管利用网络提供各类个人防火墙软件,用户安装这些软件,以增强入网终端防攻击及部分木马的能力。

配置位置:安装于用户上网终端。

(3)防系统漏洞

用户利用网管已经构建的Windows UPDATA服务器(Windows补丁更新系统),及时更新系统漏洞补丁,杜绝因Windows操作系统漏洞带来的安全隐患。网管通过EAD端点准入防御系统,自动检测上网终端操作系统补丁安装情况,遇有没有安装补丁的终端,只允许其与Windows UPDATA服务器连接。

配置位置:用户上网终端与服务器连接自动更新。

4.网站及应用系统安全防护

(1)网站安全

网站安全是网络安全的重要组成部分,除了利用IPS系统防范蠕虫、病毒、木马、DoS/DDoS、后门等攻击,还要防止黑客向网站进行各类注入及跨站攻击,为此必须在网站建设初期做好安全防范,主要做好代码过滤、脚本防范、数据库防护、服务器安全配置等。

配置位置:网站建设代码及各服务器。

(2)应用系统安全

校园网运行的各类应用系统,必须使用校园 “一卡通”统一安全认证机制,配合VLAN的ACL功能,在系统中设计权限控制功能,以保护应用系统及数据安全。

配置位置:应用系统程序权限管理系统。

5.军训网网络值勤综合管理系统

根据上级 《关于配发军事训练信息网网络值勤综合管理系统的通知》精神,构建该系统运行环境。

6.安全管理制度规定

对网络及信息资源的安全管理是保证网络安全运行的基础,在采用上述网络安全技术措施的同时,建立一套数字校园安全管理与使用的制度章法体系,并采取切实有效的措施保证制度的落实与执行。包括:数字校园网安全管理实施细则;数字校园网使用管理规定;网管机房管理规定;数字校园网应急响应预案;教学训练信息资源使用规定。

三、实现效益

通过实施该项目建设,从网络层、操作系统层、应用层和管理层对园区网进行安全防护,成功阻止了黑客、病毒等网络威胁,保证计算机、网络系统的正常运行。

猜你喜欢

网管端点校园网
数字化校园网建设及运行的几点思考
例谈求解“端点取等”不等式恒成立问题的方法
不等式求解过程中端点的确定
试论最大匹配算法在校园网信息提取中的应用
基于VRRP和MSTP协议实现校园网高可靠性
给水网管的优化布置研究
NAT技术在校园网中的应用
基丁能虽匹配延拓法LMD端点效应处理
北京市中小学网管教师培训需求研究
“五制配套”加强网管