论文部分内容阅读
【摘要】校园网作为信息化校园的主要载体,在学校日常办公和教学过程中发挥着巨大的作用,同时,校园网的安全防护也成为网络管理人员最关心的问题。本文基于当前网络面临的安全问题及特点,提出相应的防护策略。
【关键词】全业务;校园网;安全防护
引言
校园网络是信息化校园的基础,校园信息化涉及如一卡通、广播、监控等业务系统和教务、学工、数字图书馆等应用系统。考虑到各种业务类型和安全需求不同,一些学校采用建设各种不同的专网如一卡通专网、监控专网等与校园网并存,既重复投资也为网络管理带来不便,本文研究如何通过优化设计和策略管理来保证全业务网络的安全性和高效性。
1.校园网面临的主要安全问题
一般来讲,高职院校园网在安全方面的隐患和威胁主要来自于内部和外部两个方面,主要分为以下几类。
1.1 内部安全问题
(1)网络设备的物理安全隐患
校园网使用的路由器、交换机、服务器、计算机等硬件设备和光纤、网线等通信链路可能会遭受自然灾害、人为破坏等攻擊。
(2)人为的失误问题
校园网管理人员安全意识较弱,如:所有设备使用同一密码,口令设置较简单,未能定期更改口令、设备中没有使用的端口未关闭等隐患。
(3)管理问题
机房管理不到位,非网络管理员可以随意进出校园网机房。有的学校甚至未设置专职的网络管理员。
(4)系统、软件漏洞威胁
各应用系统的服务器和联网计算机,其上运行的操作系统和各种软件都不同程度存在着漏洞和缺陷。
1.2 外部安全问题
校园网的外部安全隐患主要来自于网络病毒、恶意攻击、非法访问等。
2.全业务校园网的分层防护体系
2.1 基础网络设计
我院校园网采用核心——汇聚——接入的分布式三层网络架构,链路按照万兆——千兆——百兆模式进行网络带宽设计,核心交换机具备十万兆交换的升级能力,不仅满足一定时期内校园应用的需求,同时还具备平滑升级能力,如图1所示。
(1)双核心、双链路提高网络的可靠性
我院校园网核心采用2台H3C 75系列交换机,管理引擎、风扇和电源等关键模块冗余设计,汇聚到核心采用双链路上行,提供了一种能够“自愈”的网络链路或设备的单点故障的网络架构,保证网络系统的高可靠性和稳定性。
(2)插卡式安全防护
核心交换机采用硬件插卡方式提供多种安全防护能力,如IPS插卡、ACG插卡、防火墙插卡等,有效防范常见病毒、DDOS攻击、非法数据包检测等等。
(3)横向虚拟化技术
使用H3C创新的智能弹性架构IRF2(Intelli-
gent Resilient Framework)技术,将校园网中的两台核心交换机、两块防火墙插卡虚拟化为单台逻辑设备,形成一个网络管理与转发节点。
(4)多vlan分隔广播域
使用虚拟局域网vlan(Virtual Local Area Network)技术,将校园网划分为若干个虚拟逻辑网,不同业务系统之间能够相互隔离,在必要的情况下也可以进行互相访问,强化网络管理和网络安全,控制不必要的数据广播。
我院规划20个管理VLAN,实现对一卡通、监控、校园广播等各个业务的逻辑划分;30个服务器VLAN供校内资源服务器使用;100个学生机房VLAN提供教学使用;50个办公VLAN,按建筑划分,为全校教职工提供网络服务;100个学生上网VLAN,按宿舍区楼层划分,为全校近10000个学生提供网络服务。
(5)异地备份容灾
两套核心交换机和存储分别安装在不同楼宇的网络机房,避免了单点故障引起的网络中断,真正地实现了异地备份容灾,提高了网络和数据的可靠性。
(6)虚拟专用网络技术
虚拟专用网络VPN(Virtual Private Network)的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用现有的公用网络服务商提供的网络平台建立专用的逻辑网络,用户数据在逻辑链路中传输。
我院通过路由器上加插SSL-VPN板卡(SSL:Security Socket Layer 安全套接层协议),为全院教职工用户提供了一种通过公网安全访问校园网内部资源的方式,实现移动办公,远程教学等业务。
2.2 校园网络管理
(1)接入控制:
用户接入控制的主要目的在于能够保证用户接入的身份可靠,并且将不同的用户进行分类,归入到不同的区域中,保证其安全的接入网络。
我院上网用户实行身份实名认证,信息管理中心为全院师生分配接入帐号,来访用户分配临时账号,防止非法网络接入。接入控制基于有线和无线两种接入方式进行部署,其中,有线部分采用802.1X认证,认证全部终结在楼层的接入交换机上;无线部分采用portal认证方式接入,认证全部终结在无线控制器上。
(2)终端管理
所有连网的计算机和服务器定期更新系统补丁,安装最新的杀毒软件并实时更新。重要的服务器和应用系统采用双机热备,如认证计费系统、校园门户网站,防止系统故障或用户非法操作对系统和重要数据的危害。
(3)数据管理
数据是校园网各应用系统的核心,数据安全是网络安全的关键所在。硬件损坏、人为失误、系统病毒、非法访问及恶意攻击都可能造成数据损坏,从而影响应用系统的正常运行,因此制定切实可行的数据备份与恢复方案是保证数据完整性的必要手段。我院采用双存储异地互备份的方式,彻底解决了各种可能破坏数据的问题,真正实现了数据异地容灾备份。 (4)加强防火墙等安全设备的设置
核心交换机与出口设备之间部署了插卡式防火墙,提供2-4层包过滤和状态检测技术,对不同信任级别的安全区域制定相应安全策略,防止非授权访问。规范网络出口管理, 关闭服务器上不必要的服务和端口。关键业务的服务器,如一卡通服务器、财务服务器等,只允许指定范围的IP地址访问。
核心交换机部署了插卡式的入侵防御系统IPS(Intrusion Prevention System),H3C将攻击特征库、应用协议库等同时植入到IPS设备中,为用户提供全面、深度的安全防护。
(5)精細化的流量控制
核心交换机部署了插卡式的应用控制网关ACG(Application Control Gateway),采用基于队列的流量处理机制,通过通道、子通道等区分服务模式,并结合时间段、用户/用户组、上行/下行、区域等,对每个业务“流”队列设置不同的优先级策略,实现最小带宽、最大带宽、最大会话数、每会话带宽、新建连接数等控制,实现带宽借用、Qos优先级标记等,真正实现端到端的精细化流量管理;同时对分布在网络中的各种P2P/IM等非关键业务应用进行管理,有效提高了校园网带宽的利用率。
(6)上网行为审计
ACG设备除了可以实现精细化的流量控制,还可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,为用户提供细粒度的网络应用审计管理系统。
(7)智能管理中心
学院网络管理采用H3C的智能管理中心IMC(Intelligence Management Center),IMC平台按照资源、用户、业务、故障告警等模块将网元设备管理、拓扑管理、故障管理、性能管理、用户管理、策略管理、日志管理、报表管理等都集中于一个系统中,提供了实用、易用的认证计费系统和网络管理功能。
(8)安全管理中心
安全管理采用H3C SecCenter系统,基于先进的深度挖掘及分析技术,集安全事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使网络管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
2.3 安全教育和培训
技术是保障、管理是手段,有效的网络管理是全院师生能够安全上网、绿色上网、健康上网的根本保证!学院要重视对校园网管理员的技能培训,面向全院师生定期组织网络安全知识讲座,进行网络安全的宣传教育,养成良好的上网行为习惯。
3.结束语
全业务校园网安全防护体系的建设需贯穿校园网设计、建设、运行和管理的全过程,设计是基础,管理是实现的保障,只有切实执行安全管理的理念,才能建立完善实用的安全防护体系,保证校园网正常、安全、高效地运行。
参考文献
[1]华三通信技术有限公司著.新一代网络建设理论与实践[M].北京:电子工业出版社,2011:335.
[2]王湘渝,陈立.基于多层防护的校园网安全体系研究[J].计算机安全,2009(8).
【关键词】全业务;校园网;安全防护
引言
校园网络是信息化校园的基础,校园信息化涉及如一卡通、广播、监控等业务系统和教务、学工、数字图书馆等应用系统。考虑到各种业务类型和安全需求不同,一些学校采用建设各种不同的专网如一卡通专网、监控专网等与校园网并存,既重复投资也为网络管理带来不便,本文研究如何通过优化设计和策略管理来保证全业务网络的安全性和高效性。
1.校园网面临的主要安全问题
一般来讲,高职院校园网在安全方面的隐患和威胁主要来自于内部和外部两个方面,主要分为以下几类。
1.1 内部安全问题
(1)网络设备的物理安全隐患
校园网使用的路由器、交换机、服务器、计算机等硬件设备和光纤、网线等通信链路可能会遭受自然灾害、人为破坏等攻擊。
(2)人为的失误问题
校园网管理人员安全意识较弱,如:所有设备使用同一密码,口令设置较简单,未能定期更改口令、设备中没有使用的端口未关闭等隐患。
(3)管理问题
机房管理不到位,非网络管理员可以随意进出校园网机房。有的学校甚至未设置专职的网络管理员。
(4)系统、软件漏洞威胁
各应用系统的服务器和联网计算机,其上运行的操作系统和各种软件都不同程度存在着漏洞和缺陷。
1.2 外部安全问题
校园网的外部安全隐患主要来自于网络病毒、恶意攻击、非法访问等。
2.全业务校园网的分层防护体系
2.1 基础网络设计
我院校园网采用核心——汇聚——接入的分布式三层网络架构,链路按照万兆——千兆——百兆模式进行网络带宽设计,核心交换机具备十万兆交换的升级能力,不仅满足一定时期内校园应用的需求,同时还具备平滑升级能力,如图1所示。
(1)双核心、双链路提高网络的可靠性
我院校园网核心采用2台H3C 75系列交换机,管理引擎、风扇和电源等关键模块冗余设计,汇聚到核心采用双链路上行,提供了一种能够“自愈”的网络链路或设备的单点故障的网络架构,保证网络系统的高可靠性和稳定性。
(2)插卡式安全防护
核心交换机采用硬件插卡方式提供多种安全防护能力,如IPS插卡、ACG插卡、防火墙插卡等,有效防范常见病毒、DDOS攻击、非法数据包检测等等。
(3)横向虚拟化技术
使用H3C创新的智能弹性架构IRF2(Intelli-
gent Resilient Framework)技术,将校园网中的两台核心交换机、两块防火墙插卡虚拟化为单台逻辑设备,形成一个网络管理与转发节点。
(4)多vlan分隔广播域
使用虚拟局域网vlan(Virtual Local Area Network)技术,将校园网划分为若干个虚拟逻辑网,不同业务系统之间能够相互隔离,在必要的情况下也可以进行互相访问,强化网络管理和网络安全,控制不必要的数据广播。
我院规划20个管理VLAN,实现对一卡通、监控、校园广播等各个业务的逻辑划分;30个服务器VLAN供校内资源服务器使用;100个学生机房VLAN提供教学使用;50个办公VLAN,按建筑划分,为全校教职工提供网络服务;100个学生上网VLAN,按宿舍区楼层划分,为全校近10000个学生提供网络服务。
(5)异地备份容灾
两套核心交换机和存储分别安装在不同楼宇的网络机房,避免了单点故障引起的网络中断,真正地实现了异地备份容灾,提高了网络和数据的可靠性。
(6)虚拟专用网络技术
虚拟专用网络VPN(Virtual Private Network)的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用现有的公用网络服务商提供的网络平台建立专用的逻辑网络,用户数据在逻辑链路中传输。
我院通过路由器上加插SSL-VPN板卡(SSL:Security Socket Layer 安全套接层协议),为全院教职工用户提供了一种通过公网安全访问校园网内部资源的方式,实现移动办公,远程教学等业务。
2.2 校园网络管理
(1)接入控制:
用户接入控制的主要目的在于能够保证用户接入的身份可靠,并且将不同的用户进行分类,归入到不同的区域中,保证其安全的接入网络。
我院上网用户实行身份实名认证,信息管理中心为全院师生分配接入帐号,来访用户分配临时账号,防止非法网络接入。接入控制基于有线和无线两种接入方式进行部署,其中,有线部分采用802.1X认证,认证全部终结在楼层的接入交换机上;无线部分采用portal认证方式接入,认证全部终结在无线控制器上。
(2)终端管理
所有连网的计算机和服务器定期更新系统补丁,安装最新的杀毒软件并实时更新。重要的服务器和应用系统采用双机热备,如认证计费系统、校园门户网站,防止系统故障或用户非法操作对系统和重要数据的危害。
(3)数据管理
数据是校园网各应用系统的核心,数据安全是网络安全的关键所在。硬件损坏、人为失误、系统病毒、非法访问及恶意攻击都可能造成数据损坏,从而影响应用系统的正常运行,因此制定切实可行的数据备份与恢复方案是保证数据完整性的必要手段。我院采用双存储异地互备份的方式,彻底解决了各种可能破坏数据的问题,真正实现了数据异地容灾备份。 (4)加强防火墙等安全设备的设置
核心交换机与出口设备之间部署了插卡式防火墙,提供2-4层包过滤和状态检测技术,对不同信任级别的安全区域制定相应安全策略,防止非授权访问。规范网络出口管理, 关闭服务器上不必要的服务和端口。关键业务的服务器,如一卡通服务器、财务服务器等,只允许指定范围的IP地址访问。
核心交换机部署了插卡式的入侵防御系统IPS(Intrusion Prevention System),H3C将攻击特征库、应用协议库等同时植入到IPS设备中,为用户提供全面、深度的安全防护。
(5)精細化的流量控制
核心交换机部署了插卡式的应用控制网关ACG(Application Control Gateway),采用基于队列的流量处理机制,通过通道、子通道等区分服务模式,并结合时间段、用户/用户组、上行/下行、区域等,对每个业务“流”队列设置不同的优先级策略,实现最小带宽、最大带宽、最大会话数、每会话带宽、新建连接数等控制,实现带宽借用、Qos优先级标记等,真正实现端到端的精细化流量管理;同时对分布在网络中的各种P2P/IM等非关键业务应用进行管理,有效提高了校园网带宽的利用率。
(6)上网行为审计
ACG设备除了可以实现精细化的流量控制,还可对各种P2P/IM、网络游戏、网络多媒体、文件共享、邮件收发、数据传输、数据库应用等各种上网行为提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,为用户提供细粒度的网络应用审计管理系统。
(7)智能管理中心
学院网络管理采用H3C的智能管理中心IMC(Intelligence Management Center),IMC平台按照资源、用户、业务、故障告警等模块将网元设备管理、拓扑管理、故障管理、性能管理、用户管理、策略管理、日志管理、报表管理等都集中于一个系统中,提供了实用、易用的认证计费系统和网络管理功能。
(8)安全管理中心
安全管理采用H3C SecCenter系统,基于先进的深度挖掘及分析技术,集安全事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使网络管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。
2.3 安全教育和培训
技术是保障、管理是手段,有效的网络管理是全院师生能够安全上网、绿色上网、健康上网的根本保证!学院要重视对校园网管理员的技能培训,面向全院师生定期组织网络安全知识讲座,进行网络安全的宣传教育,养成良好的上网行为习惯。
3.结束语
全业务校园网安全防护体系的建设需贯穿校园网设计、建设、运行和管理的全过程,设计是基础,管理是实现的保障,只有切实执行安全管理的理念,才能建立完善实用的安全防护体系,保证校园网正常、安全、高效地运行。
参考文献
[1]华三通信技术有限公司著.新一代网络建设理论与实践[M].北京:电子工业出版社,2011:335.
[2]王湘渝,陈立.基于多层防护的校园网安全体系研究[J].计算机安全,2009(8).