陶衛(wèi)東

計算機網(wǎng)絡(luò)安全主要包括,網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓撲結(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。下面根據(jù)多年網(wǎng)絡(luò)管理方面的經(jīng)驗,從網(wǎng)絡(luò)管理方面對網(wǎng)絡(luò)安全作一個闡述。

1.部分學(xué)校網(wǎng)絡(luò)安全現(xiàn)狀分析

在沒有防火墻時,內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露給Internet上的其它主機,極易受到攻擊。一些學(xué)校為了提高網(wǎng)絡(luò)的安全性能,在學(xué)校網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間架設(shè)了防火墻,防火墻負責(zé)管理Internet和學(xué)校內(nèi)部網(wǎng)絡(luò)之間的訪問。管理員在防火墻上定義了策略來防止非法用戶,比如防止黑客、網(wǎng)絡(luò)破壞者等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進出網(wǎng)絡(luò),并抗擊來自各種路線的攻擊。防火墻能夠簡化安全管理,網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固,而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。

2.學(xué)校網(wǎng)絡(luò)安全部署思路

網(wǎng)絡(luò)安全技術(shù)與各種安全隱患之間進行的是一場深入、多層次的戰(zhàn)爭。為了徹底扭轉(zhuǎn)“各自為戰(zhàn)”的被動局面,唯有用全局化、智能化的安全體系代替陳舊的安防措施。即由安全交換機、安全客戶端、安全管理平臺、用戶認證系統(tǒng)、安全修復(fù)系統(tǒng)、VPN客戶端、防火墻等多重網(wǎng)絡(luò)元素組成,實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動,使網(wǎng)絡(luò)中的每個設(shè)備都在發(fā)揮著安全防護的作用,構(gòu)成“多兵種協(xié)同作戰(zhàn)”的全新安全體系。通過將用戶入網(wǎng)強制安全、統(tǒng)一安全策略管理、動態(tài)網(wǎng)絡(luò)帶寬分配、嵌入式安全機制集成到一個網(wǎng)絡(luò)安全解決方案中,達到對網(wǎng)絡(luò)安全威脅的自動防御,網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù),同時可針對網(wǎng)絡(luò)環(huán)境的變化和新的網(wǎng)絡(luò)行為自動學(xué)習(xí),從而達到對未知網(wǎng)絡(luò)安全事件的防范。將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備(網(wǎng)絡(luò)交換機、路由器等)和網(wǎng)絡(luò)終端設(shè)備(用戶PC、服務(wù)器等),成為一個全局化的網(wǎng)絡(luò)安全綜合體系。

3.學(xué)校網(wǎng)絡(luò)安全部署方法

網(wǎng)絡(luò)安全綜合體系是一套由軟件和硬件聯(lián)動的解決方案,它由后臺的管理系統(tǒng)、網(wǎng)絡(luò)接入設(shè)備、入侵檢測設(shè)備以及安全客戶端共同構(gòu)成。

3.1身份管理策略

身份策略管理服務(wù)器上保存著用戶的身份信息,用戶在正是接入網(wǎng)絡(luò)之前,需要在服務(wù)器上通過認證,以保障用戶身份的合法性。采用服務(wù)器跟安全客戶端聯(lián)動來獲取入網(wǎng)PC的安全現(xiàn)狀,從而制定出對應(yīng)的安全修補策略下發(fā)到PC上來完成主機完整性的管理。

3.2安全事件分析

安全事件分析器是安全事件的收集、分析與上報。作為與IDS入侵檢測設(shè)備直接接口的平臺,安全事件分析器上預(yù)置了大量的安全事件庫,從而能夠?qū)DS設(shè)備反饋回來的安全事件進行準確的分析,并決定是否需要上報給身份策略管理服務(wù)器,由其進行處理。

3.3安全終端

安全終端是一個客戶端軟件,它的作用是跟身份策略管理服務(wù)器配合實現(xiàn)用戶的身份認證和主機完整性檢查、安全策略的下發(fā),并在發(fā)生安全事件時接收身份策略管理服務(wù)器發(fā)來的處理策略,來對主機進行響應(yīng)的處理。

3.4入侵檢測(IDS)

入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強大完整的入侵檢測體系可以彌補防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測,及時發(fā)現(xiàn)各種可能的攻擊企圖,并采取相應(yīng)的措施。具體來講,就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),利用內(nèi)置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異?，F(xiàn)象,并在數(shù)據(jù)庫中記錄有關(guān)事件,作為網(wǎng)絡(luò)管理員事后分析的依據(jù);如果情況嚴重,系統(tǒng)可以發(fā)出實時報警,使得學(xué)校管理員能夠及時采取應(yīng)對措施。

IDS由四部分組成,控制臺、事件收集器、日志服務(wù)器和傳感器。傳感器通過鏡像口旁路經(jīng)過交換機的數(shù)據(jù)流量,來進行網(wǎng)絡(luò)安全事件的檢測,一旦檢測到安全事件,傳感器會將時間發(fā)送給事件收集器,并報由控制臺進行處理。通過控制臺跟身份策略管理服務(wù)器的聯(lián)動,可以讓身份策略管理服務(wù)器在第一時間獲得發(fā)起攻擊和遭到攻擊的用戶的IP、MAC等網(wǎng)絡(luò)信息,并通過與身份策略管理服務(wù)器的聯(lián)動查找出發(fā)起攻擊的元兇,然后通過客戶端下發(fā)相應(yīng)的策略。IDS就是我們部署到網(wǎng)絡(luò)中的一根探針,時刻監(jiān)測著網(wǎng)絡(luò)中的一舉一動。

網(wǎng)絡(luò)安全綜合體系正是因為實現(xiàn)了網(wǎng)絡(luò)與軟件的聯(lián)動,通過安全智能交換機上的802.1X、ACL等功能,將用戶身份、PC安全、用戶行為等元素與網(wǎng)絡(luò)的通與斷結(jié)合在一起,通過對與身份策略管理服務(wù)器下發(fā)的命令的準確執(zhí)行,將一切的不安全因素排除在網(wǎng)絡(luò)之外。