邵陽學(xué)院網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)需求

邵陽學(xué)院網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)需求網(wǎng)絡(luò)安全十分重要，尤其數(shù)據(jù)中心在今后的網(wǎng)絡(luò)系統(tǒng)中承載全校師生的訪問，安全、可控的數(shù)據(jù)訪問時(shí)保障數(shù)據(jù)中心穩(wěn)定運(yùn)行的重要依據(jù)和條件，因此在數(shù)據(jù)中心建設(shè)過程中針對(duì)數(shù)據(jù)流的訪問必須建立完善的安全保障系統(tǒng)。本次安全保障系統(tǒng)從兩個(gè)方面進(jìn)行建設(shè)，分別為網(wǎng)絡(luò)安全防護(hù)、系統(tǒng)安全防護(hù)，如下：1.1網(wǎng)絡(luò)安全防護(hù)網(wǎng)絡(luò)安全主要用于保障數(shù)據(jù)中心的從訪問控制、安全審計(jì)、邊界完整性檢查、入侵防御、惡意代碼防護(hù)等進(jìn)行建設(shè)。建設(shè)內(nèi)容如下：1、 采用高性能防火墻，控制數(shù)據(jù)流的訪問行為，授權(quán)合法的數(shù)據(jù)流訪問。2、采用2套網(wǎng)絡(luò)審計(jì)系統(tǒng)，分別對(duì)數(shù)據(jù)中心和校園網(wǎng)進(jìn)行行為審計(jì)，通過對(duì)安全事件的連續(xù)收集與積累并加以分析，對(duì)其中有疑問的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，為發(fā)現(xiàn)可能產(chǎn)生的破壞性行為提供有利的證據(jù)。3、 WEB防火墻，提供Web應(yīng)用實(shí)時(shí)深度防御的同時(shí)，實(shí)現(xiàn)Web應(yīng)用加速與防止敏感信息泄露的功能，為Web應(yīng)用提供全方位的防護(hù)。4、 采用IDS,對(duì)非法網(wǎng)絡(luò)入侵及惡意代碼進(jìn)行實(shí)時(shí)監(jiān)測(cè)，檢測(cè)攻擊行為并記錄產(chǎn)生告警信息。如下圖:火藥^1目即日學(xué)院?；鼐W(wǎng)圖1. 邵陽學(xué)院數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)拓?fù)涫疽鈭D

1?1?1高性能防火墻高性能防火墻作為置于不同網(wǎng)絡(luò)域之間的訪問控制設(shè)備，是增強(qiáng)數(shù)據(jù)中心安全性的重要安全措施。防火墻通常采用多接口的軟硬件一體化產(chǎn)品，用于邊界防護(hù)或兩個(gè)不同安全域之間的防護(hù)。本次采用兩臺(tái)高性能防火墻，部署于數(shù)據(jù)中心匯聚交換機(jī)與邵陽學(xué)院核心交換機(jī)之間，兩臺(tái)高性能防火墻為主備或主主關(guān)系，即在其中一臺(tái)防火墻發(fā)生故障的情況仍舊能保障數(shù)據(jù)中心各個(gè)應(yīng)用系統(tǒng)對(duì)外正常提供應(yīng)用訪。兩臺(tái)高性能防火墻在數(shù)據(jù)中心和邵陽學(xué)院校園網(wǎng)之間形成信息通信唯一通道，用于實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制，進(jìn)行數(shù)據(jù)包過濾和NAT,防止外部用戶非法使用數(shù)據(jù)中心的資源，保護(hù)數(shù)據(jù)中心的資源不被破壞，防止數(shù)據(jù)中心的敏感數(shù)據(jù)被竊取。此外高性能防火墻用于決定哪些數(shù)據(jù)中心應(yīng)用服務(wù)可以被外界訪問，外界的哪些用戶可以訪問數(shù)據(jù)中心的服務(wù)，以及哪些外部服務(wù)可以被數(shù)據(jù)中心訪問。校園網(wǎng)管理員可以根據(jù)訪問需求，制定適當(dāng)?shù)陌踩L問策略，控制（允許訪問或拒絕訪問）不同區(qū)域之間的訪問行為。高性能防火墻通過檢測(cè)和控制網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)，從總體上看，咼性能具有以下幾大基本功能：1、 具備4個(gè)萬兆接口分別用于與數(shù)據(jù)中心匯聚交換機(jī)和邵陽學(xué)院校園網(wǎng)核心交換機(jī)互聯(lián)，確保邵陽學(xué)院數(shù)萬學(xué)生訪問應(yīng)用系統(tǒng)的帶寬需求；2、 具備高性能，確保大量突發(fā)流量訪問各項(xiàng)應(yīng)用系統(tǒng)時(shí)能夠正常工作，建議防火墻處理性能＞20G3、 過濾和管理進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包；封堵禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警；4、 進(jìn)行內(nèi)網(wǎng)地址轉(zhuǎn)換；通過自身以及和IDS系統(tǒng)的聯(lián)動(dòng)達(dá)到阻止網(wǎng)絡(luò)入侵和非法訪問的目的；5、 其他附加的功能，如：負(fù)載均衡、應(yīng)用層過濾、防病毒等功能。1?1?2網(wǎng)絡(luò)安全審計(jì)系統(tǒng)分別在邵陽學(xué)院核心交換機(jī)與數(shù)據(jù)中心匯聚交換機(jī)上旁掛一臺(tái)網(wǎng)絡(luò)審計(jì)系統(tǒng)，網(wǎng)絡(luò)安全審計(jì)系統(tǒng)一般由數(shù)據(jù)中心、管理中心和審計(jì)引擎組成。數(shù)據(jù)中心、管理中心安裝在服務(wù)器上。審計(jì)引擎部署于業(yè)務(wù)服務(wù)器子網(wǎng)交換機(jī)，全面?zhèn)陕犜摌I(yè)務(wù)子網(wǎng)交換機(jī)上的通信信息，動(dòng)態(tài)監(jiān)視流過的所有數(shù)據(jù)包，進(jìn)行檢測(cè)和實(shí)時(shí)分析，并將分析結(jié)果發(fā)送到數(shù)據(jù)庫保存。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對(duì)安全事件的不斷收集與積累并且加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便對(duì)發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有為的證據(jù)。1.1.3WEB應(yīng)用防火墻邵陽學(xué)院數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)應(yīng)用安全建設(shè)中web應(yīng)用程序基于ASP、PHP、JSP等開發(fā)的B/S業(yè)務(wù)，本身不可避免的存在軟件開發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取的問題進(jìn)行有針對(duì)性的應(yīng)用安全加固。通過Web安全子系統(tǒng)部署于web服務(wù)器區(qū)核心交換前實(shí)現(xiàn)雙向內(nèi)容的檢測(cè)，針對(duì)HTTP協(xié)議的深入解析，精確識(shí)別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對(duì)這些數(shù)據(jù)進(jìn)行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，精確的檢測(cè)其是否包含威脅內(nèi)容。Web安全子系統(tǒng)作為web客戶端與服務(wù)器請(qǐng)求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，采用雙向內(nèi)容檢測(cè)技術(shù)可檢測(cè)過濾HTTP雙向交互的數(shù)據(jù)流包括response報(bào)文，對(duì)惡意流量，以及服務(wù)器外發(fā)的有風(fēng)險(xiǎn)信息進(jìn)行實(shí)時(shí)的清洗與過濾，防止web安全風(fēng)險(xiǎn)。在邵陽學(xué)院數(shù)據(jù)中心匯聚交換機(jī)與WEB服務(wù)器群之間串接一臺(tái)web防火墻系統(tǒng)，Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品?？傮w來說，Web應(yīng)用防火墻的具有以下四大個(gè)方面的功能：1） 審計(jì)設(shè)備：用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會(huì)話。2） 訪問控制設(shè)備：用來控制對(duì)Web應(yīng)用的訪問，既包括主動(dòng)安全模式也包括被動(dòng)安全模式。3） 架構(gòu)/網(wǎng)絡(luò)設(shè)計(jì)工具：當(dāng)運(yùn)行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。4） WEB應(yīng)用加固工具：這些功能增強(qiáng)被保護(hù)Web應(yīng)用的安全性，它不僅能夠屏蔽WEB應(yīng)用固有弱點(diǎn)，而且能夠保護(hù)WEB應(yīng)用編程錯(cuò)誤導(dǎo)致的安全隱患。1.1?4網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在邵陽學(xué)院數(shù)據(jù)中心匯聚交換機(jī)上旁掛一臺(tái)入侵檢測(cè)系統(tǒng)（IDS）。入侵檢測(cè)技術(shù)IDS是一種主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)隱患的安全技術(shù)。作為防火墻的合理補(bǔ)充，入侵檢測(cè)技術(shù)能夠幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響虛），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通常由控制中心和探測(cè)引擎兩個(gè)部分組成。控制中心為軟件系統(tǒng)，安裝在服務(wù)器上；探測(cè)引擎為軟硬件一體化主機(jī)，采用旁路工作模式。探測(cè)引擎負(fù)責(zé)監(jiān)聽該引擎所在的物理網(wǎng)絡(luò)上的所有通信行為，識(shí)別反映已知進(jìn)攻的活動(dòng)模式并報(bào)警，使管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的異常行為，為安全策略制定提供參考依據(jù)。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息。在發(fā)現(xiàn)入侵行為后，能夠及時(shí)做出響應(yīng)，包括通知防火墻系統(tǒng)，利用防火墻阻斷功能切斷可疑的網(wǎng)絡(luò)連接，并記錄時(shí)間信息。入侵檢測(cè)系統(tǒng)和其他審計(jì)跟蹤產(chǎn)品結(jié)合，可以提供針對(duì)企業(yè)信息資源的全面審計(jì)資料，這些資料對(duì)于攻擊還原、入侵取證、異常事件識(shí)別、網(wǎng)絡(luò)故障排除等都有很重要的作用。IDS可以防止或減輕下述的網(wǎng)絡(luò)威脅：＞識(shí)別黑客常用入侵與攻擊手段入侵檢測(cè)技術(shù)通過分析各種攻擊的特征，可以全面快速地識(shí)別探測(cè)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應(yīng)的防范。＞監(jiān)控網(wǎng)絡(luò)異常通信IDS系統(tǒng)會(huì)對(duì)網(wǎng)絡(luò)中不正常的通信連接做出反應(yīng)，保證網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會(huì)被IDS偵測(cè)到并警告。＞鑒別對(duì)系統(tǒng)漏洞及后門的利用IDS系統(tǒng)一般帶有系統(tǒng)漏洞及后門的詳細(xì)信息，通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)包連接的方式，對(duì)連接端口以及連接中特定的內(nèi)容等特征進(jìn)行分析，有效地發(fā)現(xiàn)網(wǎng)絡(luò)通信中針對(duì)系統(tǒng)漏洞進(jìn)行的非法行為。＞完善網(wǎng)絡(luò)安全管理IDS通過對(duì)攻擊或入侵的檢測(cè)及反應(yīng),可以有效地發(fā)現(xiàn)和防止大部分的網(wǎng)絡(luò)犯罪行為，給網(wǎng)絡(luò)安全管理提供了一個(gè)集中、方便、有效的工具。使用IDS系統(tǒng)的數(shù)據(jù)監(jiān)測(cè)、主動(dòng)掃描、網(wǎng)絡(luò)審計(jì)、統(tǒng)計(jì)分析功能，可以進(jìn)一步監(jiān)控網(wǎng)絡(luò)故障，完善網(wǎng)絡(luò)管理。1?2系統(tǒng)安全防護(hù)系統(tǒng)安全從系統(tǒng)配置、補(bǔ)丁分發(fā)、網(wǎng)絡(luò)漏洞掃描、安全管理平臺(tái)、信任體系等進(jìn)行建設(shè)。建設(shè)內(nèi)容如下：1、 采用防病毒及補(bǔ)丁分發(fā)系統(tǒng)，對(duì)數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)的進(jìn)行病毒的查殺和補(bǔ)丁檢測(cè)和監(jiān)控。2、 采用網(wǎng)絡(luò)漏洞掃描系統(tǒng)，對(duì)數(shù)據(jù)中心的重要服務(wù)器、防火墻、交換機(jī)以及PC終端等進(jìn)行漏洞掃描，檢查存在的漏洞信息并生產(chǎn)報(bào)告提供給管理人員。

如下圖:譏'EM藥火均-七遲輙1IIH1111撫據(jù)=?■淀衆(zhòng)說日如下圖:譏'EM藥火均-七遲輙1IIH1111撫據(jù)=?■淀衆(zhòng)說日3匚聚鼠壬誦思宜菊咽垂刊輕丁対去:懇席料飆的孫禺蔵詵籠巧火均眄塔豐孑丟菲盟阻翹鯉史噲污河攔雀樂皺匪陽學(xué)院校園網(wǎng)眄站豐卩樂蕪圖2. 邵陽學(xué)院系統(tǒng)安全防護(hù)拓?fù)涫疽鈭D1.2.1防病毒軟件與補(bǔ)丁分發(fā)系統(tǒng)惡意代碼與計(jì)算機(jī)病毒會(huì)利用u盤、軟盤、光盤等介質(zhì)以及網(wǎng)絡(luò)等途徑傳播，感染計(jì)算機(jī)和服務(wù)器，不做及時(shí)的預(yù)防會(huì)蔓延至整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)的癱瘓。而且部分計(jì)算機(jī)病毒會(huì)修改數(shù)據(jù)與程序、毀壞文件、破壞硬件、泄漏敏感信息、占用系統(tǒng)資源、造成網(wǎng)絡(luò)阻塞、造成系統(tǒng)拒絕服務(wù)等。由此，防范病毒與惡意代碼危害是信息系統(tǒng)安全建設(shè)的重要內(nèi)容。系統(tǒng)安全防護(hù)建設(shè)中，新增一套網(wǎng)絡(luò)版防病毒軟件（最好是專用的虛擬化殺毒軟件）在數(shù)據(jù)中心的服務(wù)器以及部分終端用戶部署防病毒客戶端，實(shí)現(xiàn)對(duì)系統(tǒng)惡意代碼與計(jì)算機(jī)病毒的防護(hù)。網(wǎng)絡(luò)版殺毒軟件的服務(wù)器由系統(tǒng)管理員定期更新。目前數(shù)據(jù)中心絕大多數(shù)使用的操作系統(tǒng)為Windows系列操作系統(tǒng)，很容易受到各種針對(duì)微軟產(chǎn)品的病毒和黑客的攻擊，而且危害大、傳播速度快、暴發(fā)頻繁。打補(bǔ)丁是防止病毒和黑客利用系統(tǒng)漏洞實(shí)施攻擊的最好防護(hù)措施。通過防病毒軟件的補(bǔ)丁管理功能對(duì)補(bǔ)丁進(jìn)行自動(dòng)分發(fā)、用戶環(huán)境自動(dòng)測(cè)試、網(wǎng)管統(tǒng)一管理，同時(shí)且采用流量控制手段減少對(duì)網(wǎng)絡(luò)帶寬的占用，同時(shí)保證未打補(bǔ)丁的新網(wǎng)絡(luò)終端只與補(bǔ)丁管理服務(wù)器相連通，不與其它網(wǎng)絡(luò)設(shè)備相連通，防止服務(wù)器由于未打補(bǔ)丁感染病毒。1.2.2漏洞掃描系統(tǒng)在邵陽學(xué)院數(shù)據(jù)中心匯聚交換機(jī)上旁掛一臺(tái)漏洞掃描系統(tǒng)，管理員可以在網(wǎng)絡(luò)任意與其連通節(jié)點(diǎn)進(jìn)行操作和管理。漏洞掃描器采用已知的安全脆弱性數(shù)據(jù)庫來探測(cè)漏洞，定期對(duì)網(wǎng)絡(luò)的重要服務(wù)器、pc機(jī)、防火墻、交換機(jī)等進(jìn)行漏洞掃描，通過確定目標(biāo)設(shè)備的系統(tǒng)狀態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)存在的漏洞（這些漏洞會(huì)使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰）。對(duì)目標(biāo)系統(tǒng)在模擬黑客入侵的情況下對(duì)系統(tǒng)的脆弱性進(jìn)行掃描，生成詳細(xì)的可視化報(bào)告，準(zhǔn)確而全面地報(bào)告網(wǎng)絡(luò)存在的脆弱性和漏洞，同時(shí)向管理人員提出相應(yīng)的解決辦法及安全建議。主要功能要求如下：掃描功能：可以掃描任何應(yīng)用TCP/IP協(xié)議的網(wǎng)絡(luò)主機(jī)或網(wǎng)絡(luò)設(shè)備，掃描內(nèi)容包括端口掃描、帳戶掃描、網(wǎng)絡(luò)設(shè)備掃描、操作系統(tǒng)識(shí)別、數(shù)據(jù)庫掃描和Web掃描等。應(yīng)適應(yīng)多種操作系統(tǒng)：能夠準(zhǔn)確地識(shí)別各種操作系統(tǒng)：如SunSolaris、SCOUnix、HP-UX、IBMAix、DigitalUNIX、SGIIRIX、Linux、Windows9X/NT/2000/XP等系統(tǒng)。報(bào)告功能：具備全面詳細(xì)的分析報(bào)告能力，可根據(jù)安全管理的不同角色定位按照要求生成面向主管領(lǐng)導(dǎo)、部門領(lǐng)導(dǎo)、技術(shù)人員的不同類型的報(bào)告。同時(shí)，用戶能夠按自己的需要自定義報(bào)告模板，滿足用戶的特殊需求。報(bào)告中的內(nèi)容包括漏洞信息、漏洞主機(jī)信息、危險(xiǎn)級(jí)別、修補(bǔ)建議等，并提供安全補(bǔ)丁，實(shí)現(xiàn)與供應(yīng)商的熱連接，以保證快速及時(shí)地修補(bǔ)漏洞。管理功能：能夠?yàn)橛脩籼峁┤笔〉亩喾N掃描策略，用戶可根據(jù)實(shí)際需求來選擇合適的策略。應(yīng)用特定配置的策略，用戶能實(shí)現(xiàn)不同內(nèi)容、不同