论文部分内容阅读
摘要:该文介绍了当前网络安全技术的不足及学校校园网的安全现状,提出基于全局安全的校园网络设计方案,并给出该方案部署于本单位的实例。
关键词:全局安全;校园网;安全体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校园网作为高校信息化的重要基础,承担着学校教学、科研、管理和社会服务等重要角色,给教师和学生的工作、学习、生活带来了很多便利。但当今校园网面临着严峻的威胁网络安全问题,目前面对威胁,应对问题的主要技术有身份认证技术、入侵检测技术、防火墙技术、防病毒技术等。这些技术都只是针对局部威胁的安全措施,无法保障校园网的整体安全。因此,新的校园网安全思路,注重从“局部防御”到“整体防范”的转变,将安全理念融合到网络基础架构中,依靠多种安全组件联动,实现整体网络的安全,即全局安全解决方案。
1 农职院网络安全现状
广西农业职业技术学院校园网始建于2002年,通过100M链路CERNET、30M电信链路接入Internet,己形成覆盖教学、科研、办公、宿舍等区域的所有建筑物,“千兆主干、百兆到桌面”的网络带宽格局。计算机网络自身的开放性、互联性和共享性,使之不可避免地会受到病毒、黑客、木马等安全威胁和攻击,校园网数据丢失、系统被篡改、网络瘫痪的情形常有发生。其原因主要如下:
① 缺乏有效的身份管理系统
校园网缺少用户身份认证机制,外来用户、非法用户随意接入;缺少可控的身份集中认证系统,对用户进行管理难度大;用户账号存在被盗用的风险,安全审计无法有效进行,在实际发生问题后不能够迅速定位及取证分析。
② 无法保证用户终端合法性
Windows系列系统存在致命漏洞,系统补丁没有及时更新;没有按要求安装杀毒软件,安装后从来不升级或者从来不主动查杀;随意下载违禁软件,不规范使用网络;上述问题造成了病毒和攻击在校园网内泛滥,严重影响正常应用。
③ 网络安全无法有效控制
校园网内部分用户出于对网络的好奇,经常会用学习到的各种方法,非法攻击校园网络核心设备及应用系统,严重影响校园网络的安全稳定运行和校园管理秩序。目前互联网上相关的黑客工具种类繁多、功能丰富、设置简单、使用方便、破坏力大,给这类学生提供了攻击的便利。
2 全局安全校园网络的设计
校园网全局安全理念,由锐捷网络公司于2005年提出,即GSN( Global Security Network),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护作用的新型网络安全模式。具体构架如图1所示,其由三个层面、五个部分组成。
hx01.tif
图1 全局安全网络
校园网全局安全方案通过将校园网用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成起来,从而对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,达到对未知网络安全事件防范目的。其工作原理如下:
1) 用户使用网络之前,首先由接入的交换机+SAM对其进行身份认证。
2) SAM检查用户身份,批准或拒绝用户的接入请求。
3) SAM学习用户的身份、主机环境等信息,并将制定好的策略发送多SU客户端。
4) SU对用户主机进行健康性检查,并将检查结果反馈回SMP服务器。
5) IDS对网络安全事件进行检测收集,将安全事件报告给SEP(安全事件解析器),并由SEP反馈至SMP。
6) SMP对IDS反馈的安全事件进行统一管理,将安全事件关联至用户。
7) SMP对每个用户的健康性检测结果和安全事件进行处理,生成相应的策略,并下发至交换机执行。
3 全局安全网络在我院的部署
根据校园网全局安全设计方案,可把服务器部署在校园网的服务器群中,而IDS的传感器则可根据需要部署在核心或者汇聚层上,越靠近边缘则效果越好,而安全智能交换机则要部署在接入层,保障客户的安全。构建好的广西农职院部署的典型拓扑如图2所示。
hx02.tif
图2 典型的全局安全校园网部署拓扑图
3.1 身份认证系统的部署
作为全局安全的身份基础平台,SAM系统实现了广西农业职业技术学院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.lx技术,实现了对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定。 SAM系统提供的完善的计费运营功能,为校园网运营提供了足够的数据支撑。通过该系统的部署,有效的防止了IP地址盗用,极大的减轻了校园网管理的运营负担,并为全局网络安全提供了基础身份平台。如图3。
其次,SAM提供了完善的自助服务系统,包括快捷注册,个人信息、密码进行修改,上网明细、交费记录、余额查询,在线充值、注销用户等功能。不但方便了终端用户缴费,同时也极大地减轻管理者的管理和收费工作负担,有效缓解学生缴费和学校收费的矛盾。而入网身份验证的多元素绑定,也有效的杜绝了IP地址冲突现象的发生,用户漫游功能,实现了用户在不同地区认证上网的需求。
hx03.tif
图3 身份认证
3.2 安全管理平台的部署
该阶段也叫做终端安全体系的建立。这一阶段只需要在后台部署SMP安全管理平台,校园用户客户端将自动下载并升级到最新版本。通过第一个阶段的统一身份管理实现的网络安全认证与授权,整个网络的安全基础体系已经基本建立。在部署SMP安全策略管理平台。阶段中,通过针对终端系统的安全建设,能够将整个网络的安全体系完成,并且通过SU和SAM、SMP的联动,将整个网络的安全体系进行统一整合,使得管理员可以轻松的进行基于用户的网络安全控制,管理整个网络。
3.3 广西农职院全局安全体系的最终确立
在上述两个阶段的基础上,第三个阶段将解决如下两个最重要的问题:l) 网络设备的统一安全管理:目前我院网络安全的控制都是通过手工的方式来进行实现,并没有通过一个自动化的系统来进行统一规范管理。2) 网络安全事件的发现:目前我院缺乏必要的网络安全发现机制,网络管理针对网络的安全状况没有好的手段来进行了解和评估。因此,本阶段通过在汇聚设备旁路部署IDS入侵检测设备,并实现全网设备的联动,建立一个统一的网络安全管理系统和建立一套网络安全的检测响应机制。我们将IDS部署在设备的镜像端口上。IDS根据设定的规则对所有从核心设备镜像过来的数据包进行分析与过滤,从中检查出违反既定规则的数据包,并生成安全事件。随后将安全事件通过相关接口发送给SMP。
通过安全事件的学习功能,校园网管理员能够清楚的了解当前校园网的安全状况。校园网管理员能够制定相应的策略来处理当前校园网正在发生的问题,或者可能潜在的问题,做出相应的处理策略。
SMP对校园网安全事件的处理主要包括下发警告消息,下发修复程序,下发阻断或者隔离策略。根据不同等级的安全事件,校园网管理员能够制定不同的处理方式。如针对安全等级较低,危害较小的攻击(如扫描),校园网管理员只下发警告消息对用户进行警告。如果某些攻击是由于某些补丁未打,或者运行某些程序能够防止的。则可以下发修复程序至发生安全事件的用户,由用户进行修复。如果某安全事件危害很大(如蠕虫病毒),则可以下发阻断或者隔离策略,对发生该安全事件的用户进行隔离,或者阻断其攻击报文的发送,避免该蠕虫病毒在整个校园网中传播。
我们部署“多兵种协同作战”的全局安全设计方案,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。校园网全局安全解决方案不仅能够满足现阶段校园网安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。
4 总结
校园全局安全设计方案通过对网络终端的强制安全措施,有效防范了可能来自于终端层面上的病毒和安全隐患。凭借网络安全管理平台、安全客户端和杀毒软件的紧密配合,不仅保证了网络大环境的安全,同时也为终端设备提供了全方位安全服务,使网络中的每台终端设备都可以保持健康,而且不会把可能存在的病毒“传染”给别人。校园全局安全设计方案的广泛应用将为用户带来健康的网络环境。
参考文献:
[1] 余华芳,张文浩.校园网络的安全控制[J].计算机科学与技术,2005(2):71-75.
[2] 李小志.高校校园网安全分析及解决方案[J].现代教育技术,2008,18(3):91-93.
[3] 赵文革.校园网络安全的改进[D].重庆:重庆大学,2006.
[4] 告别网络单兵作战解决方案[J].锐捷快讯,2007.
[5] 阳柳.校园网络安全体系的解决方案[J].计算机安全,2007(3):178-182.
收稿日期:2011-09-13
作者简介:黄欣(1983-),男,广西平南人,广西农业职业技术学院现代教育技术与网络信息中心教师,广西大学计算机与电子信息学院在读研究生,研究方向为网络信息安全;赵志刚(1973-),男,广西桂林人,副教授,博士,硕士生导师。
关键词:全局安全;校园网;安全体系
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)31-0000-0c
An Design Proposal of Campus Network Based on Global Security
HUANG Xin1,2, ZHAO Zhi-gang1
(1.Guangxi Agricultural-vocational Technique College, Nangning 530007, China; 2.School of Computer and Electronics Information, Guangxi University, Nanning 530004, China)
Abstract: Abstract: This paper introduces the shortage of present network security technology and the status quo of campus network. It also proposed an design proposal of campus network based on global security and the example of how to deployed this project.
Key words: global security; campus network; security structure
高校校园网作为高校信息化的重要基础,承担着学校教学、科研、管理和社会服务等重要角色,给教师和学生的工作、学习、生活带来了很多便利。但当今校园网面临着严峻的威胁网络安全问题,目前面对威胁,应对问题的主要技术有身份认证技术、入侵检测技术、防火墙技术、防病毒技术等。这些技术都只是针对局部威胁的安全措施,无法保障校园网的整体安全。因此,新的校园网安全思路,注重从“局部防御”到“整体防范”的转变,将安全理念融合到网络基础架构中,依靠多种安全组件联动,实现整体网络的安全,即全局安全解决方案。
1 农职院网络安全现状
广西农业职业技术学院校园网始建于2002年,通过100M链路CERNET、30M电信链路接入Internet,己形成覆盖教学、科研、办公、宿舍等区域的所有建筑物,“千兆主干、百兆到桌面”的网络带宽格局。计算机网络自身的开放性、互联性和共享性,使之不可避免地会受到病毒、黑客、木马等安全威胁和攻击,校园网数据丢失、系统被篡改、网络瘫痪的情形常有发生。其原因主要如下:
① 缺乏有效的身份管理系统
校园网缺少用户身份认证机制,外来用户、非法用户随意接入;缺少可控的身份集中认证系统,对用户进行管理难度大;用户账号存在被盗用的风险,安全审计无法有效进行,在实际发生问题后不能够迅速定位及取证分析。
② 无法保证用户终端合法性
Windows系列系统存在致命漏洞,系统补丁没有及时更新;没有按要求安装杀毒软件,安装后从来不升级或者从来不主动查杀;随意下载违禁软件,不规范使用网络;上述问题造成了病毒和攻击在校园网内泛滥,严重影响正常应用。
③ 网络安全无法有效控制
校园网内部分用户出于对网络的好奇,经常会用学习到的各种方法,非法攻击校园网络核心设备及应用系统,严重影响校园网络的安全稳定运行和校园管理秩序。目前互联网上相关的黑客工具种类繁多、功能丰富、设置简单、使用方便、破坏力大,给这类学生提供了攻击的便利。
2 全局安全校园网络的设计
校园网全局安全理念,由锐捷网络公司于2005年提出,即GSN( Global Security Network),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护作用的新型网络安全模式。具体构架如图1所示,其由三个层面、五个部分组成。
hx01.tif
图1 全局安全网络
校园网全局安全方案通过将校园网用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成起来,从而对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,达到对未知网络安全事件防范目的。其工作原理如下:
1) 用户使用网络之前,首先由接入的交换机+SAM对其进行身份认证。
2) SAM检查用户身份,批准或拒绝用户的接入请求。
3) SAM学习用户的身份、主机环境等信息,并将制定好的策略发送多SU客户端。
4) SU对用户主机进行健康性检查,并将检查结果反馈回SMP服务器。
5) IDS对网络安全事件进行检测收集,将安全事件报告给SEP(安全事件解析器),并由SEP反馈至SMP。
6) SMP对IDS反馈的安全事件进行统一管理,将安全事件关联至用户。
7) SMP对每个用户的健康性检测结果和安全事件进行处理,生成相应的策略,并下发至交换机执行。
3 全局安全网络在我院的部署
根据校园网全局安全设计方案,可把服务器部署在校园网的服务器群中,而IDS的传感器则可根据需要部署在核心或者汇聚层上,越靠近边缘则效果越好,而安全智能交换机则要部署在接入层,保障客户的安全。构建好的广西农职院部署的典型拓扑如图2所示。
hx02.tif
图2 典型的全局安全校园网部署拓扑图
3.1 身份认证系统的部署
作为全局安全的身份基础平台,SAM系统实现了广西农业职业技术学院全体学生宿舍、教师宿舍、办公和公共机房身份认证。该系统基于802.lx技术,实现了对用户的身份和IP、MAC、交换机端口、交换机IP等信息严格绑定。 SAM系统提供的完善的计费运营功能,为校园网运营提供了足够的数据支撑。通过该系统的部署,有效的防止了IP地址盗用,极大的减轻了校园网管理的运营负担,并为全局网络安全提供了基础身份平台。如图3。
其次,SAM提供了完善的自助服务系统,包括快捷注册,个人信息、密码进行修改,上网明细、交费记录、余额查询,在线充值、注销用户等功能。不但方便了终端用户缴费,同时也极大地减轻管理者的管理和收费工作负担,有效缓解学生缴费和学校收费的矛盾。而入网身份验证的多元素绑定,也有效的杜绝了IP地址冲突现象的发生,用户漫游功能,实现了用户在不同地区认证上网的需求。
hx03.tif
图3 身份认证
3.2 安全管理平台的部署
该阶段也叫做终端安全体系的建立。这一阶段只需要在后台部署SMP安全管理平台,校园用户客户端将自动下载并升级到最新版本。通过第一个阶段的统一身份管理实现的网络安全认证与授权,整个网络的安全基础体系已经基本建立。在部署SMP安全策略管理平台。阶段中,通过针对终端系统的安全建设,能够将整个网络的安全体系完成,并且通过SU和SAM、SMP的联动,将整个网络的安全体系进行统一整合,使得管理员可以轻松的进行基于用户的网络安全控制,管理整个网络。
3.3 广西农职院全局安全体系的最终确立
在上述两个阶段的基础上,第三个阶段将解决如下两个最重要的问题:l) 网络设备的统一安全管理:目前我院网络安全的控制都是通过手工的方式来进行实现,并没有通过一个自动化的系统来进行统一规范管理。2) 网络安全事件的发现:目前我院缺乏必要的网络安全发现机制,网络管理针对网络的安全状况没有好的手段来进行了解和评估。因此,本阶段通过在汇聚设备旁路部署IDS入侵检测设备,并实现全网设备的联动,建立一个统一的网络安全管理系统和建立一套网络安全的检测响应机制。我们将IDS部署在设备的镜像端口上。IDS根据设定的规则对所有从核心设备镜像过来的数据包进行分析与过滤,从中检查出违反既定规则的数据包,并生成安全事件。随后将安全事件通过相关接口发送给SMP。
通过安全事件的学习功能,校园网管理员能够清楚的了解当前校园网的安全状况。校园网管理员能够制定相应的策略来处理当前校园网正在发生的问题,或者可能潜在的问题,做出相应的处理策略。
SMP对校园网安全事件的处理主要包括下发警告消息,下发修复程序,下发阻断或者隔离策略。根据不同等级的安全事件,校园网管理员能够制定不同的处理方式。如针对安全等级较低,危害较小的攻击(如扫描),校园网管理员只下发警告消息对用户进行警告。如果某些攻击是由于某些补丁未打,或者运行某些程序能够防止的。则可以下发修复程序至发生安全事件的用户,由用户进行修复。如果某安全事件危害很大(如蠕虫病毒),则可以下发阻断或者隔离策略,对发生该安全事件的用户进行隔离,或者阻断其攻击报文的发送,避免该蠕虫病毒在整个校园网中传播。
我们部署“多兵种协同作战”的全局安全设计方案,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。校园网全局安全解决方案不仅能够满足现阶段校园网安全环境的需求,同时也为今后可能发生的安全威胁做出了准备。
4 总结
校园全局安全设计方案通过对网络终端的强制安全措施,有效防范了可能来自于终端层面上的病毒和安全隐患。凭借网络安全管理平台、安全客户端和杀毒软件的紧密配合,不仅保证了网络大环境的安全,同时也为终端设备提供了全方位安全服务,使网络中的每台终端设备都可以保持健康,而且不会把可能存在的病毒“传染”给别人。校园全局安全设计方案的广泛应用将为用户带来健康的网络环境。
参考文献:
[1] 余华芳,张文浩.校园网络的安全控制[J].计算机科学与技术,2005(2):71-75.
[2] 李小志.高校校园网安全分析及解决方案[J].现代教育技术,2008,18(3):91-93.
[3] 赵文革.校园网络安全的改进[D].重庆:重庆大学,2006.
[4] 告别网络单兵作战解决方案[J].锐捷快讯,2007.
[5] 阳柳.校园网络安全体系的解决方案[J].计算机安全,2007(3):178-182.
收稿日期:2011-09-13
作者简介:黄欣(1983-),男,广西平南人,广西农业职业技术学院现代教育技术与网络信息中心教师,广西大学计算机与电子信息学院在读研究生,研究方向为网络信息安全;赵志刚(1973-),男,广西桂林人,副教授,博士,硕士生导师。