校園網網絡是一個分層次的拓撲結構,因此網絡的安全防護也需采用分層次的拓撲防護措施。即一個完整的校園網網絡信息安全解決方案應該覆蓋網絡的各個層次,并且與安全管理相結合。
一、網絡信息安全系統設計原則
1.1滿足Internet分級管理需求
1.2需求、風險、代價平衡的原則
1.3綜合性、整體性原則
1.4可用性原則
1.5分步實施原則
目前,對于新建網絡及已投入運行的網絡,必須盡快解決網絡的安全保密問題,設計時應遵循如下思想:
(1)大幅度地提高系統的安全性和保密性;
(2)保持網絡原有的性能特點,即對網絡的協議和傳輸具有很好的透明性;
(3)易于操作、維護,并便于自動化管理,而不增加或少增加附加操作;
(4)盡量不影響原網絡拓撲結構,便于系統及系統功能的擴展;
(5)安全保密系統具有較好的性能價格比,一次性投資,可以長期使用;
(6)安全與密碼產品具有合法性,并便于安全管理單位與密碼管理單位的檢查與監督。
基于上述思想,網絡信息安全系統應遵循如下設計原則:
滿足因特網的分級管理需求根據Internet網絡規模大、用戶眾多的特點,對Internet/Intranet信息安全實施分級管理的解決方案,將對它的控制點分為三級實施安全管理。
--第一級:中心級網絡,主要實現內外網隔離;內外網用戶的訪問控制;內部網的監控;內部網傳輸數據的備份與稽查。
--第二級:部門級,主要實現內部網與外部網用戶的訪問控制;同級部門間的訪問控制;部門網內部的安全審計。
--第三級:終端/個人用戶級,實現部門網內部主機的訪問控制;數據庫及終端信息資源的安全保護。
需求、風險、代價平衡的原則對任一網絡,絕對安全難以達到,也不一定是必要的。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然后制定規范和措施,確定本系統的安全策略。
綜合性、整體性原則應用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡,包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則,根據規定的安全策略制定出合理的網絡安全體系結構。
可用性原則安全措施需要人為去完成,如果措施過于復雜,要求過高,本身就降低了安全性,如密鑰管理就有類似的問題。其次,措施的采用不能影響系統的正常運行,如不采用或少采用極大地降低運行速度的密碼算法。
分步實施原則:分級管理分步實施由于網絡系統及其應用擴展范圍廣闊,隨著網絡規模的擴大及應用的增加,網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由于實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網絡系統及信息安全的基本需求,亦可節省費用開支。
二、網絡信息安全系統設計步驟
網絡安全需求分析
確立合理的目標基線和安全策略
明確準備付出的代價
制定可行的技術方案
工程實施方案(產品的選購與定制)
制定配套的法規、條例和管理辦法
本方案主要從網絡安全需求上進行分析,并基于網絡層次結構,提出不同層次與安全強度的校園網網絡信息安全解決方案。
三、網絡安全需求
確切了解校園網網絡信息系統需要解決哪些安全問題是建立合理安全需求的基礎。一般來講,校園網網絡信息系統需要解決如下安全問題:
局域網LAN內部的安全問題,包括網段的劃分以及VLAN的實現
在連接Internet時,如何在網絡層實現安全性
應用系統如何保證安全性l如何防止黑客對網絡、主機、服務器等的入侵
如何實現廣域網信息傳輸的安全保密性
加密系統如何布置,包括建立證書管理中心、應用系統集成加密等
如何實現遠程訪問的安全性
如何評價網絡系統的整體安全性
基于這些安全問題的提出,網絡信息系統一般應包括如下安全機制:訪問控制、安全檢測、攻擊監控、加密通信、認證、隱藏網絡內部信息(如NAT)等。
四、網絡安全層次及安全措施
4.1鏈路安全
4.2網絡安全
4.3信息安全網絡的安全層次分為:鏈路安全、網絡安全、信息安全網絡的安全層次及在相應層次上采取的安全措施見下表。
信息安全信息傳輸安全(動態安全)數據加密數據完整性鑒別安全管理信息存儲安全(靜態安全)數據庫安全終端安全信息的防泄密信息內容審計用戶鑒別授權(CA)
網絡安全訪問控制(防火墻)網絡安全檢測入侵檢測(監控)IPSEC(IP安全)審計分析鏈路安全鏈路加密
4.1鏈路安全
鏈路安全保護措施主要是鏈路加密設備,如各種鏈路加密機。它對所有用戶數據一起加密,用戶數據通過通信線路送到另一節點后立即解密。加密后的數據不能進行路由交換。因此,在加密后的數據不需要進行路由交換的情況下,如DDN直通專線用戶就可以選擇路由加密設備。
一般,線路加密產品主要用于電話網、DDN、專線、衛星點對點通信環境,它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網,同步線路密碼機則可用于許多專線環境。
4.2網絡安全
網絡的安全問題主要是由網絡的開放性、無邊界性、自由性造成的,所以我們考慮校園網信息網絡的安全首先應該考慮把被保護的網絡由開放的、無邊界的網絡環境中獨立出來,成為可管理、可控制的安全的內部網絡。也只有做到這一點,實現信息網絡的安全才有可能,而最基本的分隔手段就是防火墻。利用防火墻,可以實現內部網(信任網絡)與外部不可信任網絡(如因特網)之間或是內部網不同網絡安全域的隔離與訪問控制,保證網絡系統及網絡服務的可用性。
目前市場上成熟的防火墻主要有如下幾類,一類是包過濾型防火墻,一類是應用代理型防火墻,還有一類是復合型防火墻,即包過濾與應用代理型防火墻的結合。包過濾防火墻通常基于IP數據包的源或目標IP地址、協議類型、協議端口號等對數據流進行過濾,包過濾防火墻比其它模式的防火墻有著更高的網絡性能和更好的應用程序透明性。代理型防火墻作用在應用層,一般可以對多種應用協議進行代理,并對用戶身份進行鑒別,并提供比較詳細的日志和審計信息;其缺點是對每種應用協議都需提供相應的代理程序,并且基于代理的防火墻常常會使網絡性能明顯下降。應指出的是,在網絡安全問題日益突出的今天,防火墻技術發展迅速,目前一些領先防火墻廠商已將很多網絡邊緣功能及網管功能集成到防火墻當中,這些功能有:VPN功能、計費功能、流量統計與控制功能、監控功能、NAT功能等等。
信息系統是動態發展變化的,確定的安全策略與選擇合適的防火墻產品只是一個良好的開端,但它只能解決60%-80%的安全問題,其余的安全問題仍有待解決。這些問題包括信息系統高智能主動性威脅、后續安全策略與響應的弱化、系統的配置錯誤、對安全風險的感知程度低、動態變化的應用環境充滿弱點等,這些都是對信息系統安全的挑戰。
信息系統的安全應該是一個動態的發展過程,應該是一種檢測──監視──安全響應的循環過程。動態發展是系統安全的規律。網絡安全風險評估和入侵監測產品正是實現這一目標的必不可少的環節。
網絡安全檢測是對網絡進行風險評估的重要措施,通過使用網絡安全性分析系統,可以及時發現網絡系統中最薄弱的環節,檢查報告系統存在的弱點、漏洞與不安全配置,建議補救措施和安全策略,達到增強網絡安全性的目的。
入侵檢測系統是實時網絡違規自動識別和響應系統。它位于有敏感數據需要保護的網絡上或網絡上任何有風險存在的地方,通過實時截獲網絡數據流,能夠識別、記錄入侵和破壞性代碼流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規模式和未授權的網絡訪問時,入侵檢測系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,自動阻斷通信連接或執行用戶自定義的安全策略等。
另外,使用IP信道加密技術(IPSEC)也可以在兩個網絡結點之間建立透明的安全加密信道。其中利用IP認證頭(IP AH)可以提供認證與數據完整性機制。利用IP封裝凈載(IP ESP)可以實現通信內容的保密。IP信道加密技術的優點是對應用透明,可以提供主機到主機的安全服務,并通過建立安全的IP隧道實現虛擬專網即VPN。目前基于IPSEC的安全產品主要有網絡加密機,另外,有些防火墻也提供相同功能。
五、校園網網絡安全解決方案
5.1基本防護體系(包過濾防火墻+NAT+計費)
用戶需求:全部或部分滿足以下各項
·解決內外網絡邊界安全,防止外部攻擊,保護內部網絡
·解決內部網安全問題,隔離內部不同網段,建立VLAN
·根據IP地址、協議類型、端口進行過濾
·內外網絡采用兩套IP地址,需要網絡地址轉換NAT功能
·支持安全服務器網絡SSN
·通過IP地址與MAC地址對應防止IP欺騙
·基于IP地址計費
·基于IP地址的流量統計與限制
·基于IP地址的黑白名單
·防火墻運行在安全操作系統之上
·防火墻為獨立硬件
·防火墻無IP地址解決方案:采用網絡衛士防火墻PL FW1000
5.2標準防護體系(包過濾防火墻+NAT+計費+代理+VPN)
用戶需求:在基本防護體系配置的基礎之上,全部或部分滿足以下各項
·提供應用代理服務,隔離內外網絡
·用戶身份鑒別
·權限控制
·基于用戶計費
·基于用戶的流量統計與控制
·基于WEB的安全管理
·支持VPN及其管理
·支持透明接入
·具有自身保護能力,防范對防火墻的常見攻擊
解決方案:
(1)選用網絡衛士防火墻PL FW2000 (2)防火墻基本配置+網絡加密機(IP協議加密機)
5.3強化防護體系(包過濾+NAT+計費+代理+VPN+網絡安全檢測+監控)
用戶需求:在標準防護體系配置的基礎之上,全部或部分滿足以下各項
·網絡安全性檢測(包括服務器、防火墻、主機及其它TCP/IP相關設備)
·操作系統安全性檢測
·網絡監控與入侵檢測
解決方案:選用網絡衛士防火墻PL FW2000+網絡安全分析系統+網絡監控器
