北京高校校園網(wǎng)絡(luò)安全案例

北京高校校園網(wǎng)絡(luò)安全案例北京某高校是為國(guó)家培養(yǎng)國(guó)家專業(yè)人才的專業(yè)院校。為了實(shí)現(xiàn)“科教強(qiáng)國(guó)”、“走內(nèi)涵式發(fā)展道路”的發(fā)展之路，該院面臨的挑戰(zhàn)是如何實(shí)現(xiàn)教學(xué)與管理的信息化。而計(jì)算機(jī)校園網(wǎng)可以說(shuō)是目前發(fā)展信息技術(shù)的最基礎(chǔ)的設(shè)施。因此，建設(shè)該院的校園網(wǎng)工程是信息化建設(shè)方面的緊迫任務(wù)，是學(xué)?？沙掷m(xù)發(fā)展的重要保證之一?？傮w建設(shè)目標(biāo)按照學(xué)院的需求，本系統(tǒng)應(yīng)在技術(shù)上具有先進(jìn)性，在設(shè)備選型方面具有適當(dāng)?shù)某靶院洼^強(qiáng)的可擴(kuò)充性，保證系統(tǒng)在3-5年內(nèi)不落后。整個(gè)系統(tǒng)與目前流行的技術(shù)和設(shè)備相比需具有極強(qiáng)的性價(jià)比。系統(tǒng)應(yīng)充分利用現(xiàn)有的通訊方式，實(shí)現(xiàn)最有效的信息溝通，采用開(kāi)放式和具有可擴(kuò)展性的結(jié)構(gòu)方案，保證系統(tǒng)的不斷擴(kuò)充。更為重要的是，隨著安全系統(tǒng)的建成與開(kāi)通，能夠充分開(kāi)發(fā)教育信息資源，開(kāi)展相應(yīng)的信息增值服務(wù)，為教育事業(yè)帶來(lái)巨大的社會(huì)效益和經(jīng)濟(jì)效益；能夠充分展現(xiàn)院校的窗口作用，提高整體工作水平和效率，樹(shù)立學(xué)校新形象。學(xué)院網(wǎng)絡(luò)概述該學(xué)院校園網(wǎng)絡(luò)主要由計(jì)算機(jī)實(shí)驗(yàn)室、教學(xué)樓、學(xué)校信息資源服務(wù)器群、圖書館等網(wǎng)絡(luò)組成。其中出口一方面連接CERNET，另一方面連接INTERNET；網(wǎng)絡(luò)中心的核心交換由P550R交換機(jī)完成，后通過(guò)P333T級(jí)聯(lián)來(lái)連接各個(gè)網(wǎng)絡(luò)部分。另外，核心交換機(jī)P550R上的代理服務(wù)器主要提供學(xué)生在機(jī)房實(shí)驗(yàn)室內(nèi)連接外部網(wǎng)絡(luò)之用。安全風(fēng)險(xiǎn)分析根據(jù)該學(xué)院校園網(wǎng)絡(luò)整體結(jié)構(gòu)，參考國(guó)際標(biāo)準(zhǔn)化組織ISO開(kāi)放系統(tǒng)互聯(lián)（OSI）模型，我們將網(wǎng)絡(luò)系統(tǒng)劃分成五個(gè)層次，即物理層安全、網(wǎng)絡(luò)層安全、操作系統(tǒng)層安全、應(yīng)用層安全以及管理層安全。（一） 物理層安全分析：在本方案中暫不做詳述。（二） 網(wǎng)絡(luò)層安全分析1、 網(wǎng)絡(luò)邊界的安全風(fēng)險(xiǎn)分析：該學(xué)院校園網(wǎng)絡(luò)由教學(xué)區(qū)網(wǎng)絡(luò)、計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)和學(xué)校資源服務(wù)器群組成。由于存在外聯(lián)服務(wù)的要求應(yīng)在網(wǎng)絡(luò)出口處安裝防火墻對(duì)訪問(wèn)加以控制。但是由于已經(jīng)配備的防火墻不支持TOPSEC聯(lián)動(dòng)體系，因此可能與需要配備IDS系統(tǒng)無(wú)法組成有效地聯(lián)動(dòng)，這一點(diǎn)的風(fēng)險(xiǎn)還是需要考慮的。2、 由于北京城市學(xué)院校園網(wǎng)絡(luò)中大量的使用了網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。使得這些設(shè)備的自身安全性也會(huì)直接關(guān)系的學(xué)校業(yè)務(wù)系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。3、 網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)分析：北京城市學(xué)院校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來(lái)自如下兩個(gè)方面：A、內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來(lái)的威脅；B、線路竊聽(tīng)。（三） 操作系統(tǒng)層的安全風(fēng)險(xiǎn)分析系統(tǒng)級(jí)的安全風(fēng)險(xiǎn)分析主要針對(duì)北京城市學(xué)院校園采用的操作系統(tǒng)、數(shù)據(jù)庫(kù)、及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。北京城市學(xué)院校園網(wǎng)絡(luò)采用的操作系統(tǒng) （主要為Windows2000server/professional，WindowsNT/Workstation,WindowsME，Windows95/98、UNIX）本身在安全方面考慮較少，服務(wù)器、數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在一些安全隱患。同時(shí)病毒也是系統(tǒng)安全的主要威脅，所有這些都造成了系統(tǒng)安全的脆弱性。（四） 應(yīng)用層安全風(fēng)險(xiǎn)分析北京城市學(xué)院內(nèi)部網(wǎng)絡(luò)系統(tǒng)中主要存在以下安全風(fēng)險(xiǎn)：對(duì)業(yè)務(wù)系統(tǒng)的非法訪問(wèn)；用戶提交的業(yè)務(wù)信息被監(jiān)聽(tīng)或修改；用戶對(duì)成功提交的業(yè)務(wù)進(jìn)行事后抵賴；服務(wù)系統(tǒng)偽裝，騙取用戶口令。（五） 管理層的安全風(fēng)險(xiǎn)分析責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。因此，最可行的做法是管理制度和管理解決方案的結(jié)合。該校園網(wǎng)絡(luò)整體安全解決方案（一） 網(wǎng)絡(luò)安全建設(shè)原則：該學(xué)院校園網(wǎng)絡(luò)安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排，統(tǒng)一標(biāo)準(zhǔn)、相互配套”的原則進(jìn)行，采用先進(jìn)的“平臺(tái)化”建設(shè)思想，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益，堅(jiān)持近期目標(biāo)與遠(yuǎn)期目標(biāo)相結(jié)合。在實(shí)際建設(shè)中遵循以下指導(dǎo)思想：宏觀上統(tǒng)一規(guī)劃，同步開(kāi)展，相互配套；在實(shí)現(xiàn)上分步實(shí)施，漸進(jìn)獲??；在具體設(shè)計(jì)中結(jié)構(gòu)上一體化，標(biāo)準(zhǔn)化，平臺(tái)化；安全保密功能上多級(jí)化，對(duì)信道適應(yīng)多元化。（二） 網(wǎng)絡(luò)安全建設(shè)目標(biāo)：針對(duì)學(xué)院網(wǎng)絡(luò)系統(tǒng)在實(shí)際運(yùn)行中所面臨的各種威脅，采用防護(hù)、檢測(cè)、反應(yīng)、恢復(fù)四方面行之有效的安全措施，建立一個(gè)全方位并易于管理的安全體系，確保學(xué)院網(wǎng)絡(luò)系統(tǒng)安全可靠的運(yùn)行。（三） 安全體系技術(shù)方案1、網(wǎng)絡(luò)級(jí)安全方案從網(wǎng)絡(luò)的高度構(gòu)建一個(gè)安全平臺(tái)，解決北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)的邊界安全、數(shù)據(jù)傳輸?shù)劝踩珕?wèn)題，公用信道上敏感信息傳輸?shù)陌踩Ｃ軉?wèn)題以及網(wǎng)絡(luò)入侵檢測(cè)和預(yù)警系統(tǒng)的問(wèn)題。A、 解決方案：網(wǎng)絡(luò)邊界安全一般是采用防火墻等成熟產(chǎn)品和技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)的訪問(wèn)控制，采用安全檢測(cè)手段防范非法用戶的主動(dòng)入侵。在防火墻上通過(guò)設(shè)置安全策略增加對(duì)服務(wù)器的保護(hù)，同時(shí)必要時(shí)還可以啟用防火墻的NAT功能隱藏網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使用日志來(lái)對(duì)非法訪問(wèn)進(jìn)行監(jiān)控，使用防火墻與入侵檢測(cè)聯(lián)動(dòng)功能形成動(dòng)態(tài)、自適應(yīng)的安全防護(hù)平臺(tái)。B、 產(chǎn)品實(shí)施：網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠(yuǎn)方發(fā)起。IP協(xié)議族各廠家實(shí)現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對(duì)更多，如IPsweep，SequenceInsert，teardrop，sync-flood，IPspoofing攻擊等。防火墻是近年發(fā)展起來(lái)的重要安全技術(shù)，在學(xué)院網(wǎng)絡(luò)系統(tǒng)中其主要作用是在網(wǎng)絡(luò)邊界處檢查網(wǎng)絡(luò)通訊，根據(jù)設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊。C、 天融信防火墻在該學(xué)院網(wǎng)絡(luò)中的應(yīng)用：邊界防火墻的配置：由于在該學(xué)院網(wǎng)絡(luò)邊界處已經(jīng)配備的防火墻可能不支持TOPSEC聯(lián)動(dòng)協(xié)議，因此將此防火墻更換掉用于其他網(wǎng)絡(luò)部分，如可以放置在9、10層計(jì)算機(jī)實(shí)驗(yàn)室的出口處用于保護(hù)學(xué)生上網(wǎng)時(shí)對(duì)教學(xué)區(qū)、圖書館網(wǎng)絡(luò)的非法訪問(wèn)。根據(jù)網(wǎng)絡(luò)具體流量情況，采用型號(hào)為NGFW4000，支持TOPSEC聯(lián)動(dòng)協(xié)議，標(biāo)準(zhǔn)配置三接口的防火墻，其最大并發(fā)連接數(shù)將近60萬(wàn)個(gè)，其中兩個(gè)接口分別接外網(wǎng)和內(nèi)網(wǎng)兩個(gè)網(wǎng)段，第三個(gè)口可以作為預(yù)留。內(nèi)網(wǎng)保護(hù)服務(wù)器群防火墻的配置:而在整個(gè)校園網(wǎng)中的資源信息服務(wù)器群則是整個(gè)網(wǎng)絡(luò)數(shù)據(jù)保護(hù)的關(guān)鍵，因此必須在其級(jí)聯(lián)的P333T交換機(jī)與核心交換機(jī)P550R處配備一臺(tái)能夠支持TOPSEC聯(lián)動(dòng)協(xié)議的、高性能天融信網(wǎng)絡(luò)衛(wèi)士防火墻4000系統(tǒng)，用于對(duì)內(nèi)部服務(wù)器群的訪問(wèn)和聯(lián)動(dòng)保護(hù)。此處建議采用型號(hào)為NGFW4000-S標(biāo)準(zhǔn)配置三個(gè)接口的防火墻，其最大并發(fā)連接數(shù)達(dá)到60萬(wàn)個(gè)，一個(gè)接口接核心交換機(jī)，一個(gè)接口接級(jí)聯(lián)交換機(jī)，另一個(gè)接口作為預(yù)留接口。從而實(shí)現(xiàn)對(duì)內(nèi)部服務(wù)器群的訪問(wèn)控制保護(hù)。原來(lái)邊界防火墻的再利用：由于原來(lái)的邊界防火墻不支持TOPSEC聯(lián)動(dòng)協(xié)議，把它替換后可以將其放置在9、10層的計(jì)算機(jī)實(shí)驗(yàn)室網(wǎng)絡(luò)的出口處，用于保護(hù)其對(duì)教學(xué)網(wǎng)和圖書館網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)控制。D、 天融信網(wǎng)絡(luò)衛(wèi)士4000防火墻特點(diǎn)：?防火墻4000是天融信公司積多年來(lái)的防火墻開(kāi)發(fā)經(jīng)驗(yàn)和應(yīng)用實(shí)踐及天融信廣大用戶寶貴建議基礎(chǔ)之上，基于對(duì)網(wǎng)絡(luò)安全的深刻理解，融合網(wǎng)絡(luò)科技的最新成果，獨(dú)創(chuàng)了系列安全構(gòu)架和實(shí)現(xiàn)技術(shù)，經(jīng)過(guò)多年的研究和近兩年的開(kāi)發(fā)所完成的最新一代防火墻產(chǎn)品。?應(yīng)能夠配置成分布式和集中統(tǒng)一管理，由防火墻管理代理程序和管理器組成。?管理安全、方便靈活，防火墻4000經(jīng)過(guò)簡(jiǎn)單的配置即可接入網(wǎng)絡(luò)進(jìn)行通信和訪問(wèn)控制，GUI管理界面提供了清晰的管理結(jié)構(gòu)，每一個(gè)管理結(jié)構(gòu)元素包含了豐富的控制元和控制模型。對(duì)所有管理加密（支持SSL和SSH），并進(jìn)行嚴(yán)格的審計(jì)，實(shí)現(xiàn)了真正的安全遠(yuǎn)程管理。同時(shí)，可以支持SNMP與當(dāng)前通用的網(wǎng)絡(luò)管理平臺(tái)兼容，如HPOpenview、Ciscoworks等，方便管理和維護(hù)。?提供面向?qū)ο蟮姆?wù)模板功能，可以方便的定制過(guò)濾規(guī)則。?支持雙向地址路由功能，帶寬管理功能，流量控制功能?確保只允許符合網(wǎng)絡(luò)安全策略的網(wǎng)絡(luò)訪問(wèn)和網(wǎng)絡(luò)服務(wù)，進(jìn)出北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)，或進(jìn)入相應(yīng)安全域隔離帶。?防火墻能夠支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle數(shù)據(jù)庫(kù)、Sybase數(shù)據(jù)庫(kù)、SQL數(shù)據(jù)庫(kù)等主流應(yīng)用。當(dāng)然，對(duì)不同的控制點(diǎn)，對(duì)防火墻的要求會(huì)不完全一樣。?有效地反映網(wǎng)絡(luò)攻擊，保證北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)及其業(yè)務(wù)的可用性、可靠性。?要適合北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)接入模式、接口規(guī)范、帶寬要求，防火墻不能成為網(wǎng)絡(luò)或業(yè)務(wù)的瓶頸。?防火墻要符合國(guó)家相關(guān)標(biāo)準(zhǔn)和規(guī)范，包括GB/T18019、GB/T18020等。?防火墻要具有很高的可靠性，不會(huì)降低北京城市學(xué)院網(wǎng)絡(luò)系統(tǒng)現(xiàn)有的可靠性。?深層日志及靈活、強(qiáng)大審計(jì)分析功能，提供豐富的日志信息，用戶可根據(jù)特定的需要進(jìn)行日志選項(xiàng)（不做日志、通信日志（即傳統(tǒng)的日志）、應(yīng)用層協(xié)議日志、應(yīng)用層內(nèi)容日志）。獨(dú)創(chuàng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)信息，可詳細(xì)審計(jì)命令級(jí)操作，便于入侵行為的分析和追蹤。大大提高防火墻的審計(jì)分析的有效性。?更好地支持業(yè)界公認(rèn)的TOPSEC協(xié)議，防火墻應(yīng)具有聯(lián)動(dòng)功能，能夠?qū)崿F(xiàn)與入侵檢測(cè)設(shè)備的通訊。?采用獨(dú)創(chuàng)的最新最先進(jìn)核檢測(cè)技術(shù)，即基于OS內(nèi)核的會(huì)話檢測(cè)技術(shù)，在OS內(nèi)核實(shí)現(xiàn)對(duì)應(yīng)用層訪問(wèn)控制。它相對(duì)于包過(guò)濾和應(yīng)用代理防火墻來(lái)講，不但更加成功地實(shí)現(xiàn)了對(duì)應(yīng)用層的細(xì)粒度控制，同時(shí)，更有效保證了防火墻的性能。2、安全管理建議A、 在安全組織建設(shè)上：實(shí)施安全應(yīng)管理先行，安全組織體系的建設(shè)勢(shì)在必行。應(yīng)在學(xué)校建立網(wǎng)絡(luò)安全建設(shè)領(lǐng)導(dǎo)委員會(huì)，該委員會(huì)應(yīng)由一個(gè)主管領(lǐng)導(dǎo)，網(wǎng)絡(luò)管理員，安全操作員等人員組成。主管領(lǐng)導(dǎo)應(yīng)領(lǐng)導(dǎo)安全體系的建設(shè)實(shí)施，在安全實(shí)施過(guò)程中取得相關(guān)部門的配合。網(wǎng)絡(luò)管理員應(yīng)具有豐富的網(wǎng)絡(luò)知識(shí)和實(shí)際經(jīng)驗(yàn)，熟悉本地網(wǎng)絡(luò)結(jié)構(gòu)，能夠制定技術(shù)實(shí)施策略。安全操作員負(fù)責(zé)安全系統(tǒng)的具體實(shí)施。另外，在學(xué)校網(wǎng)絡(luò)中心應(yīng)建立安全專家小組，負(fù)責(zé)安全問(wèn)題的重大決策。B、 在網(wǎng)絡(luò)安全管理手段上：隨著該校園網(wǎng)絡(luò)安全建設(shè)的實(shí)施，對(duì)于性能卓越、操作簡(jiǎn)單、應(yīng)用靈活的管理工具便成為網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的重要組成部分。天融信公司的TopsecManager安全管理平臺(tái)不僅能夠?qū)π@網(wǎng)絡(luò)系統(tǒng)的路由器、交換機(jī)進(jìn)行網(wǎng)絡(luò)管理，而且還能夠?qū)W(wǎng)絡(luò)中心的網(wǎng)絡(luò)安全設(shè)備，如防火墻、加密機(jī)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)安全掃描等進(jìn)行管理。這樣，通過(guò)使用一種網(wǎng)絡(luò)安全管理平臺(tái)，將網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備完全地聯(lián)系起來(lái)，真正地建立起一個(gè)完整的、安全的、高效的管理平臺(tái)。TopsecManager安全管理平臺(tái)主要包含了網(wǎng)絡(luò)構(gòu)成管理、網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)性能管理、網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)自動(dòng)化管理等五大主要功能。Topsec