學校網絡安全部署的實踐

陶衛東

計算機網絡安全主要包括,網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。下面根據多年網絡管理方面的經驗,從網絡管理方面對網絡安全作一個闡述。

1.部分學校網絡安全現狀分析

在沒有防火墻時,內部網絡上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。一些學校為了提高網絡的安全性能,在學校網絡和互聯網之間架設了防火墻,防火墻負責管理Internet和學校內部網絡之間的訪問。管理員在防火墻上定義了策略來防止非法用戶,比如防止黑客、網絡破壞者等進入內部網絡。禁止存在安全脆弱性的服務進出網絡,并抗擊來自各種路線的攻擊。防火墻能夠簡化安全管理,網絡的安全性是在防火墻系統上得到加固,而不是分布在內部網絡的所有主機上。

2.學校網絡安全部署思路

網絡安全技術與各種安全隱患之間進行的是一場深入、多層次的戰爭。為了徹底扭轉“各自為戰”的被動局面,唯有用全局化、智能化的安全體系代替陳舊的安防措施。即由安全交換機、安全客戶端、安全管理平臺、用戶認證系統、安全修復系統、VPN客戶端、防火墻等多重網絡元素組成,實現同一網絡環境下的全局聯動,使網絡中的每個設備都在發揮著安全防護的作用,構成“多兵種協同作戰”的全新安全體系。通過將用戶入網強制安全、統一安全策略管理、動態網絡帶寬分配、嵌入式安全機制集成到一個網絡安全解決方案中,達到對網絡安全威脅的自動防御,網絡受損系統的自動修復,同時可針對網絡環境的變化和新的網絡行為自動學習,從而達到對未知網絡安全事件的防范。將安全結構覆蓋網絡傳輸設備(網絡交換機、路由器等)和網絡終端設備(用戶PC、服務器等),成為一個全局化的網絡安全綜合體系。

3.學校網絡安全部署方法

網絡安全綜合體系是一套由軟件和硬件聯動的解決方案,它由后臺的管理系統、網絡接入設備、入侵檢測設備以及安全客戶端共同構成。

3.1身份管理策略

身份策略管理服務器上保存著用戶的身份信息,用戶在正是接入網絡之前,需要在服務器上通過認證,以保障用戶身份的合法性。采用服務器跟安全客戶端聯動來獲取入網PC的安全現狀,從而制定出對應的安全修補策略下發到PC上來完成主機完整性的管理。

3.2安全事件分析

安全事件分析器是安全事件的收集、分析與上報。作為與IDS入侵檢測設備直接接口的平臺,安全事件分析器上預置了大量的安全事件庫,從而能夠對IDS設備反饋回來的安全事件進行準確的分析,并決定是否需要上報給身份策略管理服務器,由其進行處理。

3.3安全終端

安全終端是一個客戶端軟件,它的作用是跟身份策略管理服務器配合實現用戶的身份認證和主機完整性檢查、安全策略的下發,并在發生安全事件時接收身份策略管理服務器發來的處理策略,來對主機進行響應的處理。

3.4入侵檢測(IDS)

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,并采取相應的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據;如果情況嚴重,系統可以發出實時報警,使得學校管理員能夠及時采取應對措施。

IDS由四部分組成,控制臺、事件收集器、日志服務器和傳感器。傳感器通過鏡像口旁路經過交換機的數據流量,來進行網絡安全事件的檢測,一旦檢測到安全事件,傳感器會將時間發送給事件收集器,并報由控制臺進行處理。通過控制臺跟身份策略管理服務器的聯動,可以讓身份策略管理服務器在第一時間獲得發起攻擊和遭到攻擊的用戶的IP、MAC等網絡信息,并通過與身份策略管理服務器的聯動查找出發起攻擊的元兇,然后通過客戶端下發相應的策略。IDS就是我們部署到網絡中的一根探針,時刻監測著網絡中的一舉一動。

網絡安全綜合體系正是因為實現了網絡與軟件的聯動,通過安全智能交換機上的802.1X、ACL等功能,將用戶身份、PC安全、用戶行為等元素與網絡的通與斷結合在一起,通過對與身份策略管理服務器下發的命令的準確執行,將一切的不安全因素排除在網絡之外。