教育城域網(wǎng)遠(yuǎn)程接入的網(wǎng)絡(luò)安全設(shè)計(jì)及實(shí)現(xiàn)

教育城域網(wǎng)遠(yuǎn)程接入的網(wǎng)絡(luò)安全設(shè)計(jì)及實(shí)現(xiàn)

隨著教育信息化的深入開(kāi)展，教師對(duì)教育城域網(wǎng)的使用愈加頻繁，網(wǎng)絡(luò)安全性變得日益重要。因此，教育城域網(wǎng)在實(shí)現(xiàn)遠(yuǎn)程接入功能的前提下，更需增強(qiáng)對(duì)遠(yuǎn)程終端安全狀況的識(shí)別能力，精確控制遠(yuǎn)程終端的訪問(wèn)權(quán)限，在應(yīng)用層面上作相應(yīng)的識(shí)別、過(guò)濾，從而保障整個(gè)應(yīng)用系統(tǒng)的安全。目前，教育城域網(wǎng)的安全建設(shè)已取得一些成效，但面對(duì)有效保障各種網(wǎng)絡(luò)接入方式安全的問(wèn)題，傳統(tǒng)的安全防護(hù)思路和技術(shù)面臨著諸如網(wǎng)絡(luò)邊界模糊導(dǎo)致防護(hù)難度劇增、攻擊與入侵的手段愈加隱蔽、網(wǎng)絡(luò)攻擊借“身”入侵合法及合法訪問(wèn)方式被利用等問(wèn)題?！襁h(yuǎn)程接入安全需求分析在網(wǎng)絡(luò)接入方式復(fù)雜多變、新的安全問(wèn)題日益凸顯的情況下，要使遠(yuǎn)程網(wǎng)絡(luò)接入方式做到完全“可信”，就不能僅僅保證接入認(rèn)證時(shí)的身份和狀態(tài)可信，還應(yīng)當(dāng)確保接入后訪問(wèn)過(guò)程中的行為可控，全面防范各種攻擊行為，即從接入發(fā)起開(kāi)始，一直到整個(gè)網(wǎng)絡(luò)訪問(wèn)完成的全過(guò)程的可信和可控。通常，教育城域網(wǎng)在對(duì)各種網(wǎng)絡(luò)接入進(jìn)行保障時(shí)會(huì)部署多種類型的安全系統(tǒng)，這些系統(tǒng)大都各自為戰(zhàn)，因此，迫切需要一套有效的集中管理和分析系統(tǒng)?！襁h(yuǎn)程接入安全措施設(shè)計(jì)1.安全措施的選擇在可信接入防護(hù)中，對(duì)安全防護(hù)措施的需求情況具體分析如下：利用VPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)通道安全；綜合利用VPN、終端管理系統(tǒng)和防火墻實(shí)現(xiàn)用戶身份認(rèn)證和授權(quán)；利用防火墻、流量控制等多種技術(shù)實(shí)現(xiàn)接入行為控制；利用IPS、反病毒、Web過(guò)濾、郵件過(guò)濾等技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)容的安全訪問(wèn)。2.安全措施的整合根據(jù)“深度防護(hù)”的原則，安全防護(hù)設(shè)計(jì)不僅僅是孤立地采取安全措施來(lái)分別解決問(wèn)題的不同方面，還應(yīng)當(dāng)有效地將各類安全措施整合起來(lái)，對(duì)于可信接入，需要實(shí)現(xiàn)以下方面的安全措施整合。（1）對(duì)于內(nèi)外部網(wǎng)絡(luò)間的可信接入方式可通過(guò)UTM設(shè)備來(lái)整合。通過(guò)UTM設(shè)備實(shí)現(xiàn)VPN、防火墻、入侵防御、網(wǎng)關(guān)防病毒、流量控制、Web過(guò)濾、日志審計(jì)等防護(hù)效果，實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)間訪問(wèn)行為和流量的有效控制以及對(duì)惡意行為和病毒的有效防范，為分支結(jié)構(gòu)的遠(yuǎn)程接入提供安全的VPN接入服務(wù)。（2）在外部遠(yuǎn)程辦公終端接入教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)時(shí)，通過(guò)與教育城域網(wǎng)邊界UTM設(shè)備聯(lián)動(dòng)提供可信VPN接入服務(wù)。在外部遠(yuǎn)程辦公終端接入教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)進(jìn)行身份認(rèn)證時(shí)，UTM系統(tǒng)防火墻模塊會(huì)實(shí)現(xiàn)用戶身份認(rèn)證和準(zhǔn)入控制，不符合關(guān)鍵安全策略的終端不允許接入，接入的終端根據(jù)用戶身份和終端狀態(tài)控制其可以訪問(wèn)的網(wǎng)絡(luò)資源。（3）UTM自身的日志審計(jì)與內(nèi)容行為審計(jì)模塊可對(duì)上述兩種接入方式進(jìn)行全面檢測(cè)和審計(jì)，而通過(guò)集中安全管理平臺(tái)對(duì)UTM、內(nèi)容行為審計(jì)等系統(tǒng)進(jìn)行全面的策略管理、設(shè)備狀態(tài)監(jiān)控以及安全事件的集中關(guān)聯(lián)分析和響應(yīng)。●遠(yuǎn)程接入安全的實(shí)現(xiàn)對(duì)于外部終端的可信接入，通過(guò)在教育城域網(wǎng)出口處部署UTM設(shè)備和綜合網(wǎng)管平臺(tái)來(lái)實(shí)現(xiàn)安全接入。對(duì)于有多節(jié)點(diǎn)的遠(yuǎn)程機(jī)構(gòu)，可以采用IPSec方式來(lái)連接。對(duì)于內(nèi)部用戶來(lái)說(shuō)應(yīng)用是透明的，可以在UTM設(shè)備上實(shí)施相應(yīng)的策略。單機(jī)移動(dòng)用戶可以通過(guò)SSLVPN的方式來(lái)連接企業(yè)總部。企業(yè)總部可以通過(guò)安全策略來(lái)控制移動(dòng)用戶的接入，以保障整個(gè)網(wǎng)絡(luò)的安全。外部終端接入全程可信可控的具體實(shí)現(xiàn)方式如下。1.接入VPN保證通道可信外部終端訪問(wèn)教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)時(shí)，首先需要建立安全的VPN訪問(wèn)通道，外部終端通過(guò)VPN（推薦采用便捷高效的SSLVPN接入方式）客戶端向UTM設(shè)備發(fā)起認(rèn)證請(qǐng)求，由UTM設(shè)備的VPN模塊完成VPN發(fā)起終端的身份認(rèn)證，認(rèn)證通過(guò)則允許建立VPN隧道。建議采用數(shù)字證書+USBKey方式進(jìn)行認(rèn)證，沒(méi)有合法數(shù)字證書和USBKey的外部終端無(wú)法建立訪問(wèn)通道。2.確認(rèn)外網(wǎng)接入者身份可信VPN隧道建立后，由防火墻模塊結(jié)合身份認(rèn)證模塊完成通過(guò)VPN隧道進(jìn)行訪問(wèn)的用戶的身份認(rèn)證，采用OTP方式進(jìn)行確認(rèn)。3.確保外部遠(yuǎn)程終端接入時(shí)安全狀態(tài)可信在VPN隧道建立后，接入網(wǎng)絡(luò)前，SSLVPN客戶端將對(duì)外部終端自身安全狀態(tài)進(jìn)行檢測(cè)，以保證遠(yuǎn)程終端接入時(shí)的安全狀態(tài)符合準(zhǔn)入要求。檢查結(jié)果隨同OTP認(rèn)證數(shù)據(jù)提交認(rèn)證服務(wù)器，檢測(cè)策略遵循教育城域網(wǎng)制定的安全策略標(biāo)準(zhǔn)，檢測(cè)內(nèi)容可以涉及外部終端安全狀態(tài)的各個(gè)層面。身份認(rèn)證通過(guò)后，UTM設(shè)備防火墻模塊根據(jù)安全檢查結(jié)果進(jìn)行準(zhǔn)入控制，存在關(guān)鍵不符合項(xiàng)的外部終端，不允許接入教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)，其他終端由防火墻授予相應(yīng)的訪問(wèn)權(quán)限。4.確保外部遠(yuǎn)程終端行為可控對(duì)外網(wǎng)終端的行為進(jìn)行實(shí)時(shí)監(jiān)控，盡可能降低合法用戶非法竊取教育城域網(wǎng)內(nèi)部網(wǎng)絡(luò)重要信息資源的可能性，進(jìn)一步提升外部終端內(nèi)訪問(wèn)過(guò)程中行為的可信和可控。利用UTM設(shè)備的防火墻模塊對(duì)外部終端的網(wǎng)絡(luò)訪問(wèn)行為執(zhí)行嚴(yán)格的控制策略，包含源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時(shí)間、用戶、帶寬等的訪問(wèn)控制，確保外網(wǎng)終端對(duì)教育城域網(wǎng)內(nèi)部進(jìn)行許可的訪問(wèn)。此外，還可以通過(guò)UTM設(shè)備流量管理功能實(shí)現(xiàn)嚴(yán)格的QoS策略，對(duì)外網(wǎng)終端訪問(wèn)流量和類型進(jìn)行限制，節(jié)省寶貴的VPN鏈路帶寬，保障關(guān)鍵業(yè)務(wù)帶寬。5.確保外部終端網(wǎng)絡(luò)內(nèi)訪內(nèi)容的可控通過(guò)UTM設(shè)備的IPS、反病毒、Web過(guò)濾、郵件過(guò)濾等模塊可以實(shí)時(shí)對(duì)外部終端內(nèi)訪過(guò)程中的訪問(wèn)數(shù)據(jù)進(jìn)行病毒查殺、入侵防御，還可檢查是否存在不良Web內(nèi)容，是否屬于垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等其他威脅，實(shí)現(xiàn)外部終端網(wǎng)絡(luò)內(nèi)訪流量的徹底檢測(cè)和防范。6.確保外部終端的政策合規(guī)性UTM設(shè)備可對(duì)多種網(wǎng)絡(luò)信息內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)測(cè)，以實(shí)現(xiàn)外部終端網(wǎng)絡(luò)內(nèi)訪行為的全面審計(jì)，如UTM設(shè)備提供豐富的終端行為、訪問(wèn)行為日志記錄及審計(jì)功能，能夠?qū)崿F(xiàn)日志的分級(jí)管理、自動(dòng)報(bào)表、自動(dòng)報(bào)警功能，并且產(chǎn)生的日志能夠以多種方式導(dǎo)出，系統(tǒng)還提供了多種報(bào)表模板，支持管理員從不同方面進(jìn)行網(wǎng)絡(luò)事件的可視化分析。7.實(shí)現(xiàn)外部終端可信接入的立體保障UTM系統(tǒng)大力提升了外部終端接入過(guò)程中的可信和可控，但對(duì)于外部終端接入環(huán)境下全程的安全事件還缺乏集中分析手段，不能很好把握全局的安全態(tài)勢(shì)，還缺乏全面的監(jiān)控和聯(lián)動(dòng)防御體系以及安全事件的應(yīng)急處理流程和技術(shù)支撐平臺(tái)。在技術(shù)層面，安全管理平臺(tái)集中管理不同位置的VPN設(shè)備，可對(duì)安全日志及安全事件信息進(jìn)行集中審計(jì)，有效實(shí)現(xiàn)了外部終端接入環(huán)境下教育城域網(wǎng)網(wǎng)絡(luò)的安全預(yù)警、入侵行為的實(shí)時(shí)發(fā)現(xiàn)、入侵事件動(dòng)態(tài)響應(yīng)，真正實(shí)現(xiàn)立體的動(dòng)態(tài)防御。在運(yùn)營(yíng)層面，信息安全管理平臺(tái)幫助管理者準(zhǔn)確分析現(xiàn)有系統(tǒng)面臨的威脅，并排列有限順序，理順安全事件的管理流程，制定合理的應(yīng)急響應(yīng)流程和規(guī)范。在決策層面，信息主管可以從業(yè)務(wù)風(fēng)險(xiǎn)層面理解安全事件，通過(guò)風(fēng)險(xiǎn)量化，實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)監(jiān)控和管理，同時(shí)幫助信息主管計(jì)算和跟蹤安全投資回報(bào)率，便于在后期優(yōu)化信息安全投資。綜上，針對(duì)常見(jiàn)的網(wǎng)絡(luò)接入安全問(wèn)題，引入邊界隔離與訪問(wèn)控制技術(shù)、可信網(wǎng)關(guān)技術(shù)、VPN技術(shù)、終端管理技術(shù)、內(nèi)容與行為審計(jì)技術(shù)、安全管理平臺(tái)技術(shù)，建立了多層次、立體式的