網絡技術的發展極大地改變了人們的生活和工作方式,Internet給人們帶來了無盡的便捷。但是,在我們驚嘆于網絡的強大功能的同時,還應當清醒地看到,網絡世界并不安全。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起Internet 計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞給企業造成的損失令人觸目驚心。人們在享受到網絡的優越性的同時,對網絡安全問題變得越來越重視。作為高等院校,如何構筑相對可靠的校園網絡安全體系問題,也變得越來越突出了。
一般來說,構筑校園網絡安全體系,要從兩個方面著手:一是采用一定的技術;二是不斷改進管理方法。
從技術角度看,目前常用的安全手段有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由等,這些技術對防止非法入侵系統起到了一定的防御作用。防火墻作為一種將內外網隔離的技術,普遍運用于校園網安全建設中。
網絡現狀
中央財經大學是一所面向全國,以經濟學和管理學為主,法學、文學等學科相互支撐、協調發展的綜合性大學。該大學校園網一期工程為全校教育和科研建立了計算機信息網絡,實現了校園內計算機聯網,信息資源共享并通過中國教育和科研計算機網(CERNET)與Internet互連,其服務對象主要是校內的教學、科研和行政管理單位。原先校園網結構是:校園內建筑物之間的連接選用多模光纖,以電教樓為中心,輻射向其他建筑物,樓內水平線纜采用超五類非屏雙絞線纜。CISCO Catalyst8540十三槽多業務路由交換機作為中心交換機;二級交換機為CISCO Catalyst 5505和CISCO Catalyst 2924。
安全隱患
當時,校園網絡存在的安全隱患和漏洞有:
1、校園網通過CERNET與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。
2、校園網內部也存在很大的安全隱患,由于內部用戶對網絡的結構和應用模式都比較了解,因此來自內部的安全威脅更大一些。現在,黑客攻擊工具在網上泛濫成災,而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。
3、目前使用的操作系統存在安全漏洞,對網絡安全構成了威脅。中央財經大學的網絡服務器安裝的操作系統有WindowsNT/Windows2000、Unix、Linux等,這些系統安全風險級別不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系統:本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞;Unix由于其技術的復雜性導致高級黑客對其進行攻擊:自身安全漏洞(RIP路由轉移等)、服務安全漏洞、Unix自身的病毒等等,這些都對原有網絡安全構成威脅。
4、隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,而這些節點大部分都沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。
由此可見,構筑具有必要的信息安全防護體系,建立一套有效的網絡安全機制顯得尤其重要。
解決方案及具體實現
根據中央財經大學校園網的結構特點及面臨的安全隱患,我們在廣泛征集各方意見、悉心比較的基礎上,決定采用北京瑞星公司設計的校園網絡安全體系方案。瑞星公司在系統、科學地分析計算機網絡OSI模型的基礎上,確定了以下幾個必須考慮的安全防護要點:網絡安全隔離、網絡監控措施、網絡安全漏洞、網絡病毒的防范。
一、防火墻部署
我們在Internet與校園網內網之間部署一臺瑞星RFW-100防火墻,成為內外網之間一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS對外服務器連接在防火墻的DMZ區,與內、外網間進行隔離,內網口連接校園網內網交換機,外網口通過路由器與Internet連接。那么,通過Internet進來的公眾用戶只能訪問到對外公開的一些服務(如WWW、MAIL、FTP、DNS等),既保護內網資源不被外部非授權用戶非法訪問或破壞,也可以阻止內部用戶對外部不良資源的濫用,并能夠對發生在網絡中的安全事件進行跟蹤和審計。在防火墻設置上我們按照以下原則配置來提高網絡安全性:
1)根據校園網安全策略和安全目標,規劃設置正確的安全過濾規則,規則審核IP數據包的內容包括:協議、端口、源地址、目的地址、流向等項目,嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從“不被允許的服務就是被禁止”的原則。
2)將防火墻配置成過濾掉以內部網絡地址進入路由器的IP包,這樣可以防范源地址假冒和源路由類型的攻擊;過濾掉以非法IP地址離開內部網絡的IP包,防止內部網絡發起的對外攻擊。
3)在防火墻上建立內網計算機的IP地址和MAC地址的對應表,防止IP地址被盜用。
4)定期查看防火墻訪問日志,及時發現攻擊行為和不良上網記錄。
5)允許通過配置網卡對防火墻設置,提高防火墻管理安全性。
二、入侵檢測系統部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火墻相對靜態防御的不足。根據學校網絡的特點,我們采用瑞星入侵檢測系統RIDS-100,對來自外部網和校園網內部的各種行為進行實時檢測,及時發現各種可能的攻擊企圖,并采取相應的措施。具體來講,就是將RIDS-100入侵檢測引擎接入CISCO Catalyst8540中心交換機上。RIDS-100入侵檢測系統集入侵檢測、網絡管理和網絡監視功能于一身,能實時捕獲內外網之間傳輸的所有數據,利用內置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網絡上發生的入侵行為和異常現象,并在數據庫中記錄有關事件,作為網絡管理員事后分析的依據;如果情況嚴重,RIDS-100可以發出實時報警,使得學校管理員能夠及時采取應對措施。
三、漏洞掃描系統
我們采用目前最先進的漏洞掃描系統定期對工作站、服務器、交換機等進行安全檢查,并根據檢查結果向系統管理員提供詳細可靠的安全性分析報告,為提高網絡安全整體水平產生重要依據。
四、瑞星網絡版殺毒產品部署
在該網絡防病毒方案中,我們最終要達到一個目的就是:要在整個局域網內杜絕病毒的感染、傳播和發作,為了實現這一點,我們應該在整個網絡內可能感染和傳播病毒的地方采取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網絡的防病毒體系,應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。
1)在學校網絡中心配置一臺高效的Windows2000服務器安裝一個瑞星殺毒軟件網絡版的系統中心,負責管理1200多個主機網點的計算機。
2)在各行政、教學單位等20多個分支機構分別安裝瑞星殺毒軟件網絡版的客戶端。
3)安裝完瑞星殺毒軟件網絡版后,在管理員控制臺對網絡中所有客戶端進行定時查殺毒的設置,保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。
4)網絡中心負責整個校園網的升級工作。為了安全和管理的方便起見,由網絡中心的系統中心定期地、自動地到瑞星網站上獲取最新的升級文件(包括病毒定義碼、掃描引擎、程序文件等),然后自動將最新的升級文件分發到其它1200多個主機網點的客戶端與服務器端,并自動對瑞星殺毒軟件網絡版進行更新。采取這種升級方式,一方面確保校園網內的瑞星殺毒軟件的更新保持同步,使整個校園網都具有最強的防病毒能力;另一方面,由于整個網絡的升級、更新都是有程序來自動、智能完成,就可以避免由于人為因素造成網絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。
五、安全管理
常言說:“三分技術,七分管理”,安全管理是保證網絡安全的基礎,安全技術是配合安全管理的輔助措施。我們建立了一套校園網絡安全管理模式,制定詳細的安全管理制度,如機房管理制度、病毒防范制度等,并采取切實有效的措施保證制度的執行。
應用效果
目前,校園網二期工程已基本完成,中央財經大學的校園網系統正處于忙碌的運行當中,病毒的感染率明顯下降,有害信息和不健康的網絡內容大大減少,校園網安全得到了有利保障。隨著今后合作的加強,必將對該校校園網建設產生深遠的影響。
