隨著信息化進(jìn)程的深入,網(wǎng)絡(luò)安全問題已成為信息時代人類共同面臨的挑戰(zhàn),對于網(wǎng)絡(luò)安全來說基本上可以從兩個不同的角度做出解釋,即信息安全和控制安全。要想讓網(wǎng)絡(luò)安全真正做到“滴水不漏”,除了要使網(wǎng)絡(luò)安全、可信之外更要達(dá)到可控、可管。
為了營造“高速、穩(wěn)定、可控、可管”的健康網(wǎng)絡(luò)環(huán)境,各大網(wǎng)絡(luò)設(shè)備廠商均在著力報告自己的網(wǎng)絡(luò)解決方案,而作為國家重點扶持的教育領(lǐng)域,校園信息化建設(shè)則以人數(shù)龐大、架構(gòu)復(fù)雜多樣、網(wǎng)絡(luò)環(huán)境不易管理成為網(wǎng)絡(luò)廠商難以攻克的一大難題。
2006年7月,集美大學(xué)在校園網(wǎng)升級改造工程之初,就將網(wǎng)絡(luò)安全就作為重要的指標(biāo)納入整體方案,采納銳捷網(wǎng)絡(luò)提供的GSN全局安全網(wǎng)絡(luò)解決方案。“在采用GSN后,我們明顯發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的各類安全問題和病毒直線下降,網(wǎng)絡(luò)的安全性和穩(wěn)定性得到了空前提高。”集美大學(xué)網(wǎng)絡(luò)中心主任李斌奇如是說。
在網(wǎng)絡(luò)改造前,集美大學(xué)的校園網(wǎng)絡(luò)狀況十分的混亂:出口堵塞、蠕蟲爆發(fā)、ARP欺騙導(dǎo)致的大規(guī)模斷網(wǎng)時有發(fā)生,更為嚴(yán)重的是這些網(wǎng)絡(luò)問題很難查到根源,問題發(fā)生后經(jīng)常需要集美大學(xué)的網(wǎng)絡(luò)中心老師對交換機進(jìn)行排查,或為反復(fù)發(fā)作的病毒疲于奔命。而銳捷網(wǎng)絡(luò)對集美大學(xué)校園網(wǎng)進(jìn)行升級后,依靠整體的網(wǎng)絡(luò)解決方案,集美大學(xué)不但做到了對病毒、惡意攻擊的封殺,更能夠明確地知道問題出在哪里,通過GSN全局安全網(wǎng)絡(luò)、SAM身份認(rèn)證計費系統(tǒng)、萬兆骨干網(wǎng)絡(luò)“三刀”斬斷了安全隱患,升級徹底改變了以往“剪不斷,理還亂”的固有問題,為集美大學(xué)提供了高速穩(wěn)定、可控、可管的新一代校園網(wǎng)絡(luò)環(huán)境。
一刀 ——“切枝”
集美大學(xué)實施的GSN系統(tǒng)實現(xiàn)了對全網(wǎng)所有的安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶行為和用戶主機安全信息的深入分析和全局監(jiān)控。在實時監(jiān)測的基礎(chǔ)上,通過安全聯(lián)動,網(wǎng)絡(luò)中心的老師可以在第一時間將網(wǎng)絡(luò)上存在的異常現(xiàn)象的機器通過接入層,隔離到安全修復(fù)區(qū)域或自動阻斷異常數(shù)據(jù)流,使得網(wǎng)絡(luò)異常現(xiàn)象完全不影響全網(wǎng)的運行。
網(wǎng)絡(luò)改造完畢后,GSN對網(wǎng)絡(luò)內(nèi)的安全事件和網(wǎng)絡(luò)病毒進(jìn)行了有效抑制,在GSN全局安全解決方案中,將SMP作為一個可信任的第三方,通過SMP來提供正確的ARP信息,并將正確的網(wǎng)關(guān)ARP信息下發(fā)至安全客戶端進(jìn)行靜態(tài)綁定,將正確主機的ARP信息發(fā)送至網(wǎng)關(guān),生成受信任ARP項。從系統(tǒng)提供的安全時間統(tǒng)計報表來看,ARP欺騙、蠕蟲病毒等安全事件已經(jīng)較部署前有了大幅度的減少。
前段時間,“熊貓燒香”讓百萬臺電腦紛紛“中招”,正在網(wǎng)管不斷重啟交換機、用戶不斷重新安裝系統(tǒng)時,“熊貓燒香”在集美大學(xué),處于一種完全被動的狀態(tài),集美大學(xué)網(wǎng)絡(luò)中心技術(shù)主管陳偉斌回憶到:“最開始我們壓根不知道‘熊貓燒香’這回事,即使是在網(wǎng)絡(luò)上已經(jīng)傳得沸沸揚揚的時候,我都還沒怎么注意,直到幾個別的院校信息中心的同學(xué)給我打電話,說他們那邊的網(wǎng)絡(luò)因為‘熊貓燒香’而幾次癱瘓,要我注意的時候,我才開始留心。”
這第一刀的“切枝”真正實現(xiàn)了病毒來襲也能“斬得斷”,為集美大學(xué)校園網(wǎng)營造了一個相對安全的網(wǎng)絡(luò)環(huán)境。
二刀 ——“斷根”
依靠銳捷網(wǎng)絡(luò)獨有的SAM認(rèn)證計費系統(tǒng),集美大學(xué)實現(xiàn)了全體學(xué)生宿舍、教師宿舍、辦公和公共機房的身份認(rèn)證。該系統(tǒng)基于802.1x技術(shù),對用戶的身份和IP、MAC、交換機端口,交換機IP等信息進(jìn)行嚴(yán)格綁定,一旦出現(xiàn)問題,可以迅速追查到人。以往集美大學(xué)中普遍存在的不知道是什么類型的安全問題,更不清楚這個問題到底出在哪里的網(wǎng)絡(luò)狀況已經(jīng)得到了根本改善,“理還亂”的窘境已經(jīng)不復(fù)存在。SAM身份認(rèn)證使集美大學(xué)網(wǎng)絡(luò)中心的老師們能夠?qū)栴}“刨根問底”,并一刀切斷。
三刀 ——“塑形”
綜合考慮集美大學(xué)網(wǎng)絡(luò)發(fā)展的現(xiàn)有狀況,銳捷網(wǎng)絡(luò)對骨干網(wǎng)絡(luò)也進(jìn)行了側(cè)重以萬兆以太網(wǎng)技術(shù)的網(wǎng)絡(luò)改造。規(guī)劃后的校園網(wǎng)絡(luò)既切斷了病毒造成的諸多危害,實現(xiàn)了網(wǎng)絡(luò)的可控、可管,又以萬兆以太網(wǎng)技術(shù)和支持IPv6協(xié)議的網(wǎng)絡(luò)架構(gòu)為集美大學(xué)營造了高速、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。
本次校園網(wǎng)建設(shè),實現(xiàn)了全網(wǎng)統(tǒng)一認(rèn)證和全局安全部署。通過GSN系統(tǒng),從接入層就對用戶和計算機進(jìn)行安全審計,只有合法用戶和健康的計算機才能進(jìn)入校園網(wǎng)。在匯聚層部署了IDS,負(fù)責(zé)全網(wǎng)所有安全事件的偵測和向RG-SMP平臺上報,根據(jù)網(wǎng)絡(luò)安全事件的不同,自動采用相應(yīng)的策略進(jìn)行響應(yīng),做到網(wǎng)絡(luò)安全監(jiān)測與網(wǎng)絡(luò)接入控制聯(lián)動,網(wǎng)絡(luò)控制措施與用戶信息互動。
可以說,網(wǎng)絡(luò)安全建設(shè)和管理水平高,達(dá)到了全省乃至全國高校領(lǐng)先水平,校園網(wǎng)建設(shè)真正朝著“調(diào)整、穩(wěn)定、安全、可控、可管”的目標(biāo)邁進(jìn)著。
“切枝-斷根-塑形”不僅僅對于高教行業(yè),對于其他行業(yè)這三刀同樣有效。由制定標(biāo)準(zhǔn)、異變隔離、線下修補造成的全局安全,使網(wǎng)絡(luò)安全不再是事后彌補,而是預(yù)防、監(jiān)治為一體的健康型新網(wǎng)絡(luò)。
GSN使用前后-安全事件數(shù)據(jù)
