淺論校園網絡中心安全防護措施

于　莉

【摘 要】校園網絡中心作為校園網絡運行的管理者,要對整個網絡進行控制和保護,以盡可能預防和避免網絡安全問題的出現。通過分析本院校園網絡的結構以及所面臨的安全問題,提出了有針對性的網絡安全防護措施和實施建議。

【關鍵詞】網絡中心 安全問題 防護措施 實施建議

一、學院校園網拓撲結構分析

學院辦公樓、圖書館、教學樓主要采用星型拓撲結構相互進行信息傳送,學院www服務器和電大服務器通過專線和Internet相連。通過網絡拓撲分析,形成學院網絡整體拓撲結構圖,如圖1所示。這樣可以為網絡日常管理提供必要的技術資料。

二、當前學院計算網絡所面臨的的主要安全問題

(一)內部網絡和外部網絡之間的連接為直接連接,外部用戶不但可以訪問對外服務的服務器,同時也容易地訪問內部的網絡服務器,這樣,由于內部和外部沒有隔離措施,內部系統較容易遭到攻擊。

(二)局域網內基礎設施面臨來自Internet的威脅,例如蠕蟲、黑客攻擊、木馬、拒絕服務攻擊、病毒傳播等。

(三)局域網內蠕蟲病毒感染及其他病毒的傳播。

(四)大量帶寬浪費在與工作無關的業務流量上,如qq聊天、BT下載等P2P應用。

(五)web服務器安全措施存在漏洞。

(六)遠程用戶登錄的安全身份認證問題。

(七)操作系統漏洞造成的安全隱患問題。

(八)網絡防病毒體系的欠缺造成的安全問題。

(九)網絡管控手段的落后,造成的監控不到位和維護的不及時。

三、學院網絡安全方案

鑒于上述安全問題,在對當前的網絡安全方案和網絡安全產品的成熟度進行深入了解的基礎上,提出了適合于我院的計算機網絡安全框架建議。

(一)在Internet出口部署入侵防御系統—防火墻

1.安裝位置:局域網與路由器之間

2.局域網防火墻作用

(1)實現單向訪問,允許局域網用戶訪問INTERNET資源,但是嚴格限制INTERNET用戶對局域網資源的訪問。

(2)通過防火墻,將整個局域網劃分INTERNET,DMZ區,內網訪問區這三個邏輯上分開的區域,有利于對整個網絡進行管理。

(3)局域網所有工作站和服務器處于防火墻地整體防護之下,只要通過防火墻設置的修改,就能有限絕大部分防止來自INTERNET上的攻擊,網絡管理員只需要關注DMZ區對外提供服務的相關應用的安全漏洞。

(4)通過防火墻的過濾規則,實現端口級控制,限制局域網用戶對INTERNET的訪問。

(5)進行流量控制,確保重要業務對流量的要求。

(6)通過過濾規則,以時間為控制要素,限制大流量網絡應用在上班時間的使用。

(二)在局域網內部關鍵部位部署入侵防御系統—入侵檢測

關鍵部位指的一是重要的服務器,如學院的www服務器、電大服務器,二是重要的網段,如辦公樓和教學樓網段。通過在局域網內部部署入侵防御系統,可以在網絡內部建立不同的安全域,在網絡的邊界實施保護,它實際上保護了網絡內部資源。

1.入侵檢測安裝位置:局域網DMZ區

2.IDS的作用

(1)作為旁路設備,監控網絡中的信息,統計并記錄網絡中的異常主機以及異常連接。

(2)中斷異常連接。

(3)通過聯動機制,向防火墻發送指令,在限定的時間內對特定的IP地址實施封堵。

(三)全網部署端點準入防御系統

主要作用是從網絡端點接入控制入手,加強網絡終端的主動防御能力,控制病毒、蠕蟲的蔓延。通過安全客戶端、安全策略服務器、接入設備以及防病毒軟件的聯動,可以將不符合安全要求的終端限制在“隔離區”內,防止“危險”終端對網絡安全的損害,避免“易感”終端受病毒、蠕蟲的攻擊。

(四)整個網絡安裝網絡版防病毒軟件

整個網絡安裝網絡版防病毒軟件。由于我院網絡管理人員比較少,因此,需要功能強大,操作簡便且易于維護的軟件,以及反應靈敏的安全防護系統,以便一旦出現問題,能夠迅速做出反應,將問題上報給管理員,并及時處理。鑒于上述原因,可選擇瑞星公司生產的2008網絡版殺毒軟件。

具體方案是:在學院電教中心安裝瑞星殺毒軟件網絡版的一級系統中心,負責管理整個校園網絡中的所有二級系統中心;將校園網內的所有服務器和工作站按照不同部門和系別劃分為數個區域,并分別在這幾個區域設立二級系統中心,負責管理各個區域下的所有計算機。此外,在每臺計算機上都安裝瑞星殺毒軟件網絡版客戶端或服務器端,用以保證所有計算機都時刻運行瑞星的實時監控程序,同時由一級系統中心負責整個網絡內部的軟件升級工作。這樣,采用分級的管理模式,可以有效地提高工作效率,降低風險。一旦某級的網絡出現問題,便于該級的網絡管理員在第一時間做出反應,使問題在第一時間得到最有效的解決。

(五)網絡管理軟件

為便于網絡管理員對整個網絡的管理,可在局域網中安裝網絡管理軟件,以實現如下的作用:

1.收集局域網中所有資源的硬件信息

2.收集局域網中所有終端和服務器的操作系統、系統補丁等軟件信息

3.收集交換機等網絡設備的工作狀況等信息

4.判斷局域網用戶是否使用了MODEM等非法網絡設備與INTERNET連接

5.顯示實時網絡連接情況

6.如果交換機等核心網絡設備出現異常,及時向網管中心報警

(六)動態口令認證系統

該系統服務器端可安裝在WWW服務器上,客戶端應配置給網頁更新人員。動態口令認證系統的作用就是通過定期修改密碼,確保密碼的不可猜測性。

(七)QOS流量管理系統

安裝在路由器和防火墻之間,也可選擇防火墻本身自帶的QOS帶寬管理模塊。其作用為:

1.通過IP地址,為重要用戶分配足夠的帶寬。

2.通過端口,為重要的應用分配足夠的帶寬資源。

3.限制非業務流量的帶寬。

4.在資源閑置時期,允許其他人員使用資源,一旦重要用戶或者重要應用需要使用帶寬,則確保它們能夠至少使用分配給他們的帶寬資源。

(八)重要終端個人防護軟件

個人防護軟件的作用:

1.保護個人終端不受攻擊。

2.不允許任何主機(包括局域網主機)非授權訪問重要終端資源。

3.防止局域網感染病毒主機通過攻擊的方式感染重要終端。

(九)頁面防篡改系統

在WWW服務器上安裝頁面防篡改系統,以達到以下作用:

1.定期比對發布頁面文件與備份文件,一旦發現不匹配,用備份文件替換發布文件。

2.通過特殊的認證機制,允許授權用戶修改頁面文件。

3.能夠對數據庫文件進行比對。

四、分步實施建議

網絡安全涉及面相當廣,同時進行建設的可行性較差,因此,建議按照以下方式進行分階段實施。

1.第一階段

(1)技術方面,采用防火墻、網絡防病毒軟件、頁面防篡改系統來建立一個結構上較完善的網絡系統。

(2)服務方面,進行網絡拓撲分析、建立中心機房管理制度、建立操作系統以及防病毒軟件定期升級機制、對重要服務器的訪問日志進行備份,通過這些服務,增強網絡的抗干擾性。

(3)支持方面,要求服務商提供故障排除服務,以提高網絡的可靠性,降低網絡故障對網絡的整體影響。

2.第二階段

在第一階段安全建設的基礎上,進一步增加網絡安全設備,采納新的安全服務和技術支持來增強網絡的可用性。

(1)技術方面,采用入侵檢測、郵件防病毒軟件、動態口令認證系統、并在重要客戶端安裝個人版防護軟件。

(2)服務方面,對服務器進行定期掃描與加固、對防火墻日志進行備份與分析、對入侵檢測設備的日志進行備份、建立設備備份系統以及文件備份系統。

(3)支持方面,要求服務商提供災難恢復、實時日志檢索、實時查殺病毒、實時網絡監控等技術支持。

3.第三階段

在這一階段,采取的措施以進一步提高網絡效率為主。

(1)技術方面,采用反垃圾郵件系統、網絡管理軟件、QOS流量管理軟件。

(2)服務方面,采用白客滲透測試,要求服務商定期提供整體安全分析報告。

(3)支持方面,要求能夠實時查找攻擊源。

參考文獻:

[1]http://www.securitycn.net.

[2]http://www.rising.com.cn.