邵陽學院網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)需求

邵陽學院網(wǎng)絡(luò)安全保障系統(tǒng)建設(shè)需求網(wǎng)絡(luò)安全十分重要，尤其數(shù)據(jù)中心在今后的網(wǎng)絡(luò)系統(tǒng)中承載全校師生的訪問，安全、可控的數(shù)據(jù)訪問時保障數(shù)據(jù)中心穩(wěn)定運行的重要依據(jù)和條件，因此在數(shù)據(jù)中心建設(shè)過程中針對數(shù)據(jù)流的訪問必須建立完善的安全保障系統(tǒng)。本次安全保障系統(tǒng)從兩個方面進行建設(shè)，分別為網(wǎng)絡(luò)安全防護、系統(tǒng)安全防護，如下：1.1網(wǎng)絡(luò)安全防護網(wǎng)絡(luò)安全主要用于保障數(shù)據(jù)中心的從訪問控制、安全審計、邊界完整性檢查、入侵防御、惡意代碼防護等進行建設(shè)。建設(shè)內(nèi)容如下：1、 采用高性能防火墻，控制數(shù)據(jù)流的訪問行為，授權(quán)合法的數(shù)據(jù)流訪問。2、采用2套網(wǎng)絡(luò)審計系統(tǒng)，分別對數(shù)據(jù)中心和校園網(wǎng)進行行為審計，通過對安全事件的連續(xù)收集與積累并加以分析，對其中有疑問的某些站點或用戶進行審計跟蹤，為發(fā)現(xiàn)可能產(chǎn)生的破壞性行為提供有利的證據(jù)。3、 WEB防火墻，提供Web應(yīng)用實時深度防御的同時，實現(xiàn)Web應(yīng)用加速與防止敏感信息泄露的功能，為Web應(yīng)用提供全方位的防護。4、 采用IDS,對非法網(wǎng)絡(luò)入侵及惡意代碼進行實時監(jiān)測，檢測攻擊行為并記錄產(chǎn)生告警信息。如下圖:火藥^1目即日學院?；鼐W(wǎng)圖1. 邵陽學院數(shù)據(jù)中心網(wǎng)絡(luò)安全防護拓撲示意圖

1?1?1高性能防火墻高性能防火墻作為置于不同網(wǎng)絡(luò)域之間的訪問控制設(shè)備，是增強數(shù)據(jù)中心安全性的重要安全措施。防火墻通常采用多接口的軟硬件一體化產(chǎn)品，用于邊界防護或兩個不同安全域之間的防護。本次采用兩臺高性能防火墻，部署于數(shù)據(jù)中心匯聚交換機與邵陽學院核心交換機之間，兩臺高性能防火墻為主備或主主關(guān)系，即在其中一臺防火墻發(fā)生故障的情況仍舊能保障數(shù)據(jù)中心各個應(yīng)用系統(tǒng)對外正常提供應(yīng)用訪。兩臺高性能防火墻在數(shù)據(jù)中心和邵陽學院校園網(wǎng)之間形成信息通信唯一通道，用于實現(xiàn)網(wǎng)絡(luò)訪問控制，進行數(shù)據(jù)包過濾和NAT,防止外部用戶非法使用數(shù)據(jù)中心的資源，保護數(shù)據(jù)中心的資源不被破壞，防止數(shù)據(jù)中心的敏感數(shù)據(jù)被竊取。此外高性能防火墻用于決定哪些數(shù)據(jù)中心應(yīng)用服務(wù)可以被外界訪問，外界的哪些用戶可以訪問數(shù)據(jù)中心的服務(wù)，以及哪些外部服務(wù)可以被數(shù)據(jù)中心訪問。校園網(wǎng)管理員可以根據(jù)訪問需求，制定適當?shù)陌踩L問策略，控制（允許訪問或拒絕訪問）不同區(qū)域之間的訪問行為。高性能防火墻通過檢測和控制網(wǎng)絡(luò)之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡(luò)的安全保護，從總體上看，咼性能具有以下幾大基本功能：1、 具備4個萬兆接口分別用于與數(shù)據(jù)中心匯聚交換機和邵陽學院校園網(wǎng)核心交換機互聯(lián)，確保邵陽學院數(shù)萬學生訪問應(yīng)用系統(tǒng)的帶寬需求；2、 具備高性能，確保大量突發(fā)流量訪問各項應(yīng)用系統(tǒng)時能夠正常工作，建議防火墻處理性能＞20G3、 過濾和管理進出網(wǎng)絡(luò)的數(shù)據(jù)包；封堵禁止的訪問行為；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊進行檢測和報警；4、 進行內(nèi)網(wǎng)地址轉(zhuǎn)換；通過自身以及和IDS系統(tǒng)的聯(lián)動達到阻止網(wǎng)絡(luò)入侵和非法訪問的目的；5、 其他附加的功能，如：負載均衡、應(yīng)用層過濾、防病毒等功能。1?1?2網(wǎng)絡(luò)安全審計系統(tǒng)分別在邵陽學院核心交換機與數(shù)據(jù)中心匯聚交換機上旁掛一臺網(wǎng)絡(luò)審計系統(tǒng)，網(wǎng)絡(luò)安全審計系統(tǒng)一般由數(shù)據(jù)中心、管理中心和審計引擎組成。數(shù)據(jù)中心、管理中心安裝在服務(wù)器上。審計引擎部署于業(yè)務(wù)服務(wù)器子網(wǎng)交換機，全面?zhèn)陕犜摌I(yè)務(wù)子網(wǎng)交換機上的通信信息，動態(tài)監(jiān)視流過的所有數(shù)據(jù)包，進行檢測和實時分析，并將分析結(jié)果發(fā)送到數(shù)據(jù)庫保存。審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對安全事件的不斷收集與積累并且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現(xiàn)或可能產(chǎn)生的破壞性行為提供有為的證據(jù)。1.1.3WEB應(yīng)用防火墻邵陽學院數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)應(yīng)用安全建設(shè)中web應(yīng)用程序基于ASP、PHP、JSP等開發(fā)的B/S業(yè)務(wù)，本身不可避免的存在軟件開發(fā)本身的漏洞、造成黑客的SQL注入，致使業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫和網(wǎng)頁文件被篡改或者被竊取的問題進行有針對性的應(yīng)用安全加固。通過Web安全子系統(tǒng)部署于web服務(wù)器區(qū)核心交換前實現(xiàn)雙向內(nèi)容的檢測，針對HTTP協(xié)議的深入解析，精確識別出協(xié)議中的各種要素，如cookie、Get參數(shù)、Post表單等，并對這些數(shù)據(jù)進行快速的解析，以還原其原始通信的信息，根據(jù)這些解析后的原始信息，精確的檢測其是否包含威脅內(nèi)容。Web安全子系統(tǒng)作為web客戶端與服務(wù)器請求與響應(yīng)的中間人，能夠有效的避免web服務(wù)器直接暴露在互聯(lián)網(wǎng)之上，采用雙向內(nèi)容檢測技術(shù)可檢測過濾HTTP雙向交互的數(shù)據(jù)流包括response報文，對惡意流量，以及服務(wù)器外發(fā)的有風險信息進行實時的清洗與過濾，防止web安全風險。在邵陽學院數(shù)據(jù)中心匯聚交換機與WEB服務(wù)器群之間串接一臺web防火墻系統(tǒng)，Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一款產(chǎn)品。總體來說，Web應(yīng)用防火墻的具有以下四大個方面的功能：1） 審計設(shè)備：用來截獲所有HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。2） 訪問控制設(shè)備：用來控制對Web應(yīng)用的訪問，既包括主動安全模式也包括被動安全模式。3） 架構(gòu)/網(wǎng)絡(luò)設(shè)計工具：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。4） WEB應(yīng)用加固工具：這些功能增強被保護Web應(yīng)用的安全性，它不僅能夠屏蔽WEB應(yīng)用固有弱點，而且能夠保護WEB應(yīng)用編程錯誤導致的安全隱患。1.1?4網(wǎng)絡(luò)入侵檢測系統(tǒng)在邵陽學院數(shù)據(jù)中心匯聚交換機上旁掛一臺入侵檢測系統(tǒng)（IDS）。入侵檢測技術(shù)IDS是一種主動發(fā)現(xiàn)網(wǎng)絡(luò)隱患的安全技術(shù)。作為防火墻的合理補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響虛），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。網(wǎng)絡(luò)入侵檢測系統(tǒng)通常由控制中心和探測引擎兩個部分組成?？刂浦行臑檐浖到y(tǒng)，安裝在服務(wù)器上；探測引擎為軟硬件一體化主機，采用旁路工作模式。探測引擎負責監(jiān)聽該引擎所在的物理網(wǎng)絡(luò)上的所有通信行為，識別反映已知進攻的活動模式并報警，使管理員時刻了解網(wǎng)絡(luò)系統(tǒng)的異常行為，為安全策略制定提供參考依據(jù)。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息。在發(fā)現(xiàn)入侵行為后，能夠及時做出響應(yīng)，包括通知防火墻系統(tǒng)，利用防火墻阻斷功能切斷可疑的網(wǎng)絡(luò)連接，并記錄時間信息。入侵檢測系統(tǒng)和其他審計跟蹤產(chǎn)品結(jié)合，可以提供針對企業(yè)信息資源的全面審計資料，這些資料對于攻擊還原、入侵取證、異常事件識別、網(wǎng)絡(luò)故障排除等都有很重要的作用。IDS可以防止或減輕下述的網(wǎng)絡(luò)威脅：＞識別黑客常用入侵與攻擊手段入侵檢測技術(shù)通過分析各種攻擊的特征，可以全面快速地識別探測攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、電子郵件攻擊、瀏覽器攻擊等各種常用攻擊手段，并做相應(yīng)的防范。＞監(jiān)控網(wǎng)絡(luò)異常通信IDS系統(tǒng)會對網(wǎng)絡(luò)中不正常的通信連接做出反應(yīng)，保證網(wǎng)絡(luò)通信的合法性；任何不符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)數(shù)據(jù)都會被IDS偵測到并警告。＞鑒別對系統(tǒng)漏洞及后門的利用IDS系統(tǒng)一般帶有系統(tǒng)漏洞及后門的詳細信息，通過對網(wǎng)絡(luò)數(shù)據(jù)包連接的方式，對連接端口以及連接中特定的內(nèi)容等特征進行分析，有效地發(fā)現(xiàn)網(wǎng)絡(luò)通信中針對系統(tǒng)漏洞進行的非法行為。＞完善網(wǎng)絡(luò)安全管理IDS通過對攻擊或入侵的檢測及反應(yīng),可以有效地發(fā)現(xiàn)和防止大部分的網(wǎng)絡(luò)犯罪行為，給網(wǎng)絡(luò)安全管理提供了一個集中、方便、有效的工具。使用IDS系統(tǒng)的數(shù)據(jù)監(jiān)測、主動掃描、網(wǎng)絡(luò)審計、統(tǒng)計分析功能，可以進一步監(jiān)控網(wǎng)絡(luò)故障，完善網(wǎng)絡(luò)管理。1?2系統(tǒng)安全防護系統(tǒng)安全從系統(tǒng)配置、補丁分發(fā)、網(wǎng)絡(luò)漏洞掃描、安全管理平臺、信任體系等進行建設(shè)。建設(shè)內(nèi)容如下：1、 采用防病毒及補丁分發(fā)系統(tǒng)，對數(shù)據(jù)中心的服務(wù)器操作系統(tǒng)的進行病毒的查殺和補丁檢測和監(jiān)控。2、 采用網(wǎng)絡(luò)漏洞掃描系統(tǒng)，對數(shù)據(jù)中心的重要服務(wù)器、防火墻、交換機以及PC終端等進行漏洞掃描，檢查存在的漏洞信息并生產(chǎn)報告提供給管理人員。

如下圖:譏'EM藥火均-七遲輙1IIH1111撫據(jù)=?■淀衆(zhòng)說日如下圖:譏'EM藥火均-七遲輙1IIH1111撫據(jù)=?■淀衆(zhòng)說日3匚聚鼠壬誦思宜菊咽垂刊輕丁対去:懇席料飆的孫禺蔵詵籠巧火均眄塔豐孑丟菲盟阻翹鯉史噲污河攔雀樂皺匪陽學院校園網(wǎng)眄站豐卩樂蕪圖2. 邵陽學院系統(tǒng)安全防護拓撲示意圖1.2.1防病毒軟件與補丁分發(fā)系統(tǒng)惡意代碼與計算機病毒會利用u盤、軟盤、光盤等介質(zhì)以及網(wǎng)絡(luò)等途徑傳播，感染計算機和服務(wù)器，不做及時的預防會蔓延至整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)的癱瘓。而且部分計算機病毒會修改數(shù)據(jù)與程序、毀壞文件、破壞硬件、泄漏敏感信息、占用系統(tǒng)資源、造成網(wǎng)絡(luò)阻塞、造成系統(tǒng)拒絕服務(wù)等。由此，防范病毒與惡意代碼危害是信息系統(tǒng)安全建設(shè)的重要內(nèi)容。系統(tǒng)安全防護建設(shè)中，新增一套網(wǎng)絡(luò)版防病毒軟件（最好是專用的虛擬化殺毒軟件）在數(shù)據(jù)中心的服務(wù)器以及部分終端用戶部署防病毒客戶端，實現(xiàn)對系統(tǒng)惡意代碼與計算機病毒的防護。網(wǎng)絡(luò)版殺毒軟件的服務(wù)器由系統(tǒng)管理員定期更新。目前數(shù)據(jù)中心絕大多數(shù)使用的操作系統(tǒng)為Windows系列操作系統(tǒng)，很容易受到各種針對微軟產(chǎn)品的病毒和黑客的攻擊，而且危害大、傳播速度快、暴發(fā)頻繁。打補丁是防止病毒和黑客利用系統(tǒng)漏洞實施攻擊的最好防護措施。通過防病毒軟件的補丁管理功能對補丁進行自動分發(fā)、用戶環(huán)境自動測試、網(wǎng)管統(tǒng)一管理，同時且采用流量控制手段減少對網(wǎng)絡(luò)帶寬的占用，同時保證未打補丁的新網(wǎng)絡(luò)終端只與補丁管理服務(wù)器相連通，不與其它網(wǎng)絡(luò)設(shè)備相連通，防止服務(wù)器由于未打補丁感染病毒。1.2.2漏洞掃描系統(tǒng)在邵陽學院數(shù)據(jù)中心匯聚交換機上旁掛一臺漏洞掃描系統(tǒng)，管理員可以在網(wǎng)絡(luò)任意與其連通節(jié)點進行操作和管理。漏洞掃描器采用已知的安全脆弱性數(shù)據(jù)庫來探測漏洞，定期對網(wǎng)絡(luò)的重要服務(wù)器、pc機、防火墻、交換機等進行漏洞掃描，通過確定目標設(shè)備的系統(tǒng)狀態(tài)，發(fā)現(xiàn)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)存在的漏洞（這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰）。對目標系統(tǒng)在模擬黑客入侵的情況下對系統(tǒng)的脆弱性進行掃描，生成詳細的可視化報告，準確而全面地報告網(wǎng)絡(luò)存在的脆弱性和漏洞，同時向管理人員提出相應(yīng)的解決辦法及安全建議。主要功能要求如下：掃描功能：可以掃描任何應(yīng)用TCP/IP協(xié)議的網(wǎng)絡(luò)主機或網(wǎng)絡(luò)設(shè)備，掃描內(nèi)容包括端口掃描、帳戶掃描、網(wǎng)絡(luò)設(shè)備掃描、操作系統(tǒng)識別、數(shù)據(jù)庫掃描和Web掃描等。應(yīng)適應(yīng)多種操作系統(tǒng)：能夠準確地識別各種操作系統(tǒng)：如SunSolaris、SCOUnix、HP-UX、IBMAix、DigitalUNIX、SGIIRIX、Linux、Windows9X/NT/2000/XP等系統(tǒng)。報告功能：具備全面詳細的分析報告能力，可根據(jù)安全管理的不同角色定位按照要求生成面向主管領(lǐng)導、部門領(lǐng)導、技術(shù)人員的不同類型的報告。同時，用戶能夠按自己的需要自定義報告模板，滿足用戶的特殊需求。報告中的內(nèi)容包括漏洞信息、漏洞主機信息、危險級別、修補建議等，并提供安全補丁，實現(xiàn)與供應(yīng)商的熱連接，以保證快速及時地修補漏洞。管理功能：能夠為用戶提供缺省的多種掃描策略，用戶可根據(jù)實際需求來選擇合適的策略。應(yīng)用特定配置的策略，用戶能實現(xiàn)不同內(nèi)容、不同