构筑牢不可破的校园网络安全体系
来源:中国IT实验室 更新时间:2007-09-16

  网络技术的发展极大地改变了人们的生活和工作方式,Internet给人们带来了无尽的便捷。但是,在我们惊叹于网络的强大功能的同时,还应当清醒地看到,网络世界并不安全。据美 国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet 计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏给企业造成的损失令人触目惊心。人们在享受到网络的优越性的同时,对网络安全问题变得越来越重视。作为高等院校,如何构筑相对可靠的校园网络安全体系问题,也变得越来越突出了。

  一般来说,构筑校园网络安全体系,要从两个方面着手:一是采用一定的技术;二是不断改进管理方法。

  从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中。

  网络现状

  中央财经大学是一所面向全国,以经济学和管理学为主,法学、文学等学科相互支撑、协调发展的综合性大学。该大学校园网一期工程为全校教育和科研建立了计算机信息网络,实现了校园内计算机联网,信息资源共享并通过中国教育和科研计算机网(CERNET)与Internet互连,其服务对象主要是校内的教学、科研和行政管理单位。原先校园网结构是:校园内建筑物之间的连接选用多模光纤,以电教楼为中心,辐射向其他建筑物,楼内水平线缆采用超五类非屏双绞线缆。CISCO Catalyst8540十三槽多业务路由交换机作为中心交换机;二级交换机为CISCO Catalyst 5505和CISCO Catalyst 2924。

  安全隐患

  当时,校园网络存在的安全隐患和漏洞有:

  1、校园网通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。

  2、校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。现在,黑客攻击工具在网上泛滥成灾,而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。

  3、目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。中央财经大学的网络服务器安装的操作系统有WindowsNT/Windows2000、Unix、Linux等,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞;Unix由于其技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自身的病毒等等,这些都对原有网络安全构成威胁。

  4、随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。

  由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全机制显得尤其重要。

  解决方案及具体实现

  根据中央财经大学校园网的结构特点及面临的安全隐患,我们在广泛征集各方意见、悉心比较的基础上,决定采用北京瑞星公司设计的校园网络安全体系方案。瑞星公司在系统、科学地分析计算机网络OSI模型的基础上,确定了以下几个必须考虑的安全防护要点:网络安全隔离、网络监控措施、网络安全漏洞、网络病毒的防范。

  一、防火墙部署

  我们在Internet与校园网内网之间部署一台瑞星RFW-100防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、FTP、DNS对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口通过路由器与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务(如WWW、MAIL、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性:

  1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。

  2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。

  3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。

  4)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。

  5)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。

  二、入侵检测系统部署

  入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点,我们采用瑞星入侵检测系统RIDS-100,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将RIDS-100入侵检测引擎接入CISCO Catalyst8540中心交换机上。RIDS-100入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,RIDS-100可以发出实时报警,使得学校管理员能够及时采取应对措施。

  三、漏洞扫描系统

  我们采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。

  四、瑞星网络版杀毒产品部署

  在该网络防病毒方案中,我们最终要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。

  1)在学校网络中心配置一台高效的Windows2000服务器安装一个瑞星杀毒软件网络版的系统中心,负责管理1200多个主机网点的计算机。

  2)在各行政、教学单位等20多个分支机构分别安装瑞星杀毒软件网络版的客户端。

  3)安装完瑞星杀毒软件网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。

  4)网络中心负责整个校园网的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到瑞星网站上获取最新的升级文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它1200多个主机网点的客户端与服务器端,并自动对瑞星杀毒软件网络版进行更新。采取这种升级方式,一方面确保校园网内的瑞星杀毒软件的更新保持同步,使整个校园网都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。

  五、安全管理

  常言说:“三分技术,七分管理”,安全管理是保证网络安全的基础,安全技术是配合安全管理的辅助措施。我们建立了一套校园网络安全管理模式,制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采取切实有效的措施保证制度的执行。

  应用效果

  目前,校园网二期工程已基本完成,中央财经大学的校园网系统正处于忙碌的运行当中,病毒的感染率明显下降,有害信息和不健康的网络内容大大减少,校园网安全得到了有利保障。随着今后合作的加强,必将对该校校园网建设产生深远的影响。