彭 偉 任友群

摘要:安全問題是校園網(wǎng)絡(luò)建設(shè)和使用中面臨的重大課題,本論文從網(wǎng)絡(luò)安全產(chǎn)品的部署角度出發(fā),闡述了校園網(wǎng)一體化安全防護技術(shù)的思路,并對其具體內(nèi)容做了較為詳細的論述。

關(guān)鍵詞:校園網(wǎng) 一體化 安全防護 統(tǒng)一威脅管理

中圖分類號:TP393.08 文獻標(biāo)識碼:B 文章編號:1673-8454(2009)21-0020-03

一、問題的提出

互聯(lián)網(wǎng)自身的安全缺陷是導(dǎo)致互聯(lián)網(wǎng)脆弱性的根本原因。互聯(lián)網(wǎng)的脆弱性體現(xiàn)在設(shè)計、實現(xiàn)、維護的各個環(huán)節(jié)。設(shè)計階段,互聯(lián)網(wǎng)的設(shè)計之初沒有充分考慮安全威脅,因為最初的互聯(lián)網(wǎng)只是用于少數(shù)可信的用戶群體。許多網(wǎng)絡(luò)協(xié)議和應(yīng)用沒有提供必要的安全服務(wù),比如電子郵件使用的SMTP協(xié)議沒有提供認(rèn)證機制,曾經(jīng)是導(dǎo)致垃圾郵件泛濫的重要原因,遠程登錄使用的Telnet協(xié)議明文傳輸用戶名和口令等,而且IP網(wǎng)絡(luò)也不提供任何服務(wù)質(zhì)量控制機制,導(dǎo)致目前在大規(guī)模拒絕服務(wù)攻擊面前幾乎無能為力。[1] 作為學(xué)校重要基礎(chǔ)設(shè)施的校園網(wǎng)擔(dān)負著教學(xué)、科研、管理和對外交流的重任,它的安全狀況直接影響到教學(xué)、科研、管理和對外交流的順利進行。目前,隨著網(wǎng)絡(luò)應(yīng)用的進一步深入,網(wǎng)絡(luò)上所面臨的攻擊也越來越頻繁。同時,隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴大,用戶對網(wǎng)絡(luò)性能要求的不斷提高,校園網(wǎng)安全問題越來越被廣泛關(guān)注。[2]

二、校園網(wǎng)常見的安全威脅及應(yīng)對措施

校園網(wǎng)既是大量網(wǎng)絡(luò)攻擊的發(fā)源地,也是網(wǎng)絡(luò)攻擊者最容易攻破的目標(biāo)。當(dāng)前,校園網(wǎng)常見的安全威脅有如下幾種。

1.蠕蟲病毒泛濫

網(wǎng)絡(luò)上蠕蟲病毒的危害越來越嚴(yán)重,發(fā)作越來越頻繁。而且,蠕蟲病毒往往與黑客技術(shù)相結(jié)合,計算機中毒發(fā)作后,導(dǎo)致拒絕服務(wù)攻擊,嚴(yán)重的甚至造成全網(wǎng)服務(wù)中斷。有些病毒還具有黑客程序的功能,一旦侵入我們的計算機系統(tǒng),病毒控制者就可以非常容易地從入侵的系統(tǒng)中竊取信息,并遠程控制這些系統(tǒng)。

需要建立一套完善的防毒網(wǎng)關(guān),加強多級進入點的安全保護,并對網(wǎng)絡(luò)安全管理進行規(guī)范,才能對病毒進行有效的防護。

2.校內(nèi)用戶在校外不安全訪問學(xué)校內(nèi)網(wǎng)

校園網(wǎng)用戶在校外要能安全地訪問到校園網(wǎng),獲取其數(shù)據(jù),如工資報表、科研成果、研究資料和論文等。這些數(shù)據(jù)的安全性要求比較高,要充分考慮遠程登錄校園網(wǎng)的安全問題。

需要建立VPN網(wǎng)關(guān),通過隧道技術(shù)、加密協(xié)議和安全密鑰來實現(xiàn)校內(nèi)用戶在校外對學(xué)校內(nèi)網(wǎng)的安全訪問。

3.Web攻擊

隨著Web 2.0交互應(yīng)用程序的出現(xiàn),Web得到了迅速發(fā)展,但通過Web發(fā)起的攻擊也越來越多。Web上大量的惡意軟件和犯罪軟件嵌入到無辜的第三方站點中。網(wǎng)絡(luò)欺詐也繼續(xù)發(fā)展,其攻擊行為更復(fù)雜。

需要建立上網(wǎng)行為管理,對流氓軟件、惡意軟件和數(shù)據(jù)泄露等Web安全進行有效的防范。

4.外網(wǎng)對內(nèi)網(wǎng)的不安全訪問

在校園網(wǎng)中,來自校園網(wǎng)外部的攻擊越來越頻繁。如何在校園網(wǎng)內(nèi)部和校園網(wǎng)外部之間建立一道安全的保護屏障,以保護校園網(wǎng)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的入侵是我們一直在努力做的工作。

防火墻是校園網(wǎng)絡(luò)安全的第一道屏障,一個防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。

5.黑客攻擊

隨著互聯(lián)網(wǎng)黑客技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。對于黑客自身來說,要闖入校園網(wǎng)絡(luò)實在是太容易了。

為此,應(yīng)部署入侵檢測(防御)系統(tǒng),它依照一定的安全策略,對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視,盡可能發(fā)現(xiàn)(防御)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。

以上介紹的五種威脅,如果都要解決,現(xiàn)在常用的做法是購買相應(yīng)的安全產(chǎn)品,分別加以部署,如圖1所示。

隨著網(wǎng)絡(luò)中的應(yīng)用越來越復(fù)雜,安全問題以出人意料的速度增長,并且在攻擊方式、攻擊目標(biāo)上亦呈多樣化發(fā)展趨勢?；谶@個特點,原先各自為戰(zhàn)的安全產(chǎn)品總是處于疲于應(yīng)付的狀態(tài),無法很好地實現(xiàn)對校園網(wǎng)絡(luò)的安全保護。為了校園網(wǎng)絡(luò)的安全,學(xué)校通常被迫部署多臺、多種安全設(shè)備。并且隨著新安全威脅的出現(xiàn),還需要再部署更多的安全設(shè)備。新增加安全域時有時需要重新建設(shè)安全系統(tǒng)。這樣一種部署方式,將帶來如下的問題:

安全系統(tǒng)由此變得異常復(fù)雜;

復(fù)雜的安全系統(tǒng)將使整個信息系統(tǒng)的穩(wěn)定性降低;

多臺設(shè)備的加入,也就加入了多個可能的故障點;

新增的安全域通常需要獨立、重復(fù)建設(shè)安全系統(tǒng);

管理成本高,管理難度大,維護困難。

三、校園網(wǎng)一體化安全防護

按照上面的部署方法,我們部署了那么多的安全產(chǎn)品,還是有很多用戶在抱怨。事實證明:擁有了網(wǎng)絡(luò)安全產(chǎn)品不等于就擁有了安全,真正的安全還需要好的安全管理?，F(xiàn)在,越來越多的網(wǎng)絡(luò)安全解決方案也體現(xiàn)了安全管理更重要這一理念。

隨著學(xué)校對校園網(wǎng)絡(luò)安全的重視,防火墻、防毒網(wǎng)關(guān)以及上網(wǎng)行為管理等一系列網(wǎng)絡(luò)安全產(chǎn)品也在不斷進駐學(xué)校,由此給學(xué)校帶來了越來越復(fù)雜的校園網(wǎng)安全管理體制。如果學(xué)校負責(zé)網(wǎng)絡(luò)安全的管理人員對部署的安全架構(gòu)沒有一個較為完整的認(rèn)識,網(wǎng)絡(luò)管理人員要進行安全管理肯定就比較困難。讓防火墻、防毒網(wǎng)關(guān)以及上網(wǎng)行為管理之類的網(wǎng)絡(luò)安全產(chǎn)品彼此獨立運行,應(yīng)該問題不大。但是,如何讓這些網(wǎng)絡(luò)安全產(chǎn)品協(xié)調(diào)一致以保護學(xué)校的校園網(wǎng)絡(luò),如何讓網(wǎng)絡(luò)管理人員對它們的性能進行監(jiān)控,如何構(gòu)建一體化的安全防護體系等問題是那些已經(jīng)配備了網(wǎng)絡(luò)安全產(chǎn)品或正在實施網(wǎng)絡(luò)安全產(chǎn)品的學(xué)校所考慮的問題。

是否有一種方案,能對校園網(wǎng)進行一體化的安全防護?早在2002年,就有公司提出了統(tǒng)一威脅管理(UTM)技術(shù)。當(dāng)時,因為混合威脅的出現(xiàn),為了滿足用戶對防火墻、IDS、VPN、反病毒等的集中管理需求,提出了將這些技術(shù)整合進一個盒子里,進行統(tǒng)一威脅的管理。

校園網(wǎng)一體化安全防護應(yīng)該是通過完整的安全策略,利用多個安全產(chǎn)品有效互動實施全方位保護,而不是單純安全產(chǎn)品的堆砌。一體化安全防護能在一個硬件平臺上整合各種安全功能,如防火墻、VPN網(wǎng)關(guān)、上網(wǎng)行為管理、入侵檢測(防御)和防毒網(wǎng)關(guān)等,希望通過在校園網(wǎng)出口處部屬一個硬件設(shè)備,一攬子解決幾乎所有的安全問題,如圖2所示。在該體系結(jié)構(gòu)中,各模塊的功能是分離的,每種模塊負責(zé)其各自的功能。

校園網(wǎng)一體化安全防護首先提供高度智能化的數(shù)據(jù)流交換處理,提供深度包檢測的功能。根據(jù)進入數(shù)據(jù)流的應(yīng)用類型,可靈活地對數(shù)據(jù)流進行調(diào)度;根據(jù)管理員的配置及應(yīng)用特性,可對數(shù)據(jù)流進行分類,并將分類的數(shù)據(jù)流發(fā)送到相應(yīng)的安全應(yīng)用模塊進行處理。

也就是說,可以根據(jù)實際安全的需求來實現(xiàn)對數(shù)據(jù)流的調(diào)度。網(wǎng)絡(luò)安全管理員可以根據(jù)用戶的需求來決定某類型的數(shù)據(jù)流需要穿過哪些或哪個安全應(yīng)用模塊的檢查,也可以控制數(shù)據(jù)流穿過各個安全應(yīng)用模塊的順序。另外,數(shù)據(jù)流發(fā)送的方式可以是串行發(fā)送,也可以是并行發(fā)送。可以根據(jù)用戶的實際需求,對進出系統(tǒng)的數(shù)據(jù)流進行不同的檢查,不同的用戶或IP地址也可以有不同的安全應(yīng)用模塊組合順序。這樣,就可以根據(jù)用戶的實際安全需求以任意順序組合各種安全應(yīng)用模塊。[4]

安全應(yīng)用模塊可獨立處理各種安全應(yīng)用,包括防火墻、VPN網(wǎng)關(guān)、上網(wǎng)行為管理、IDS/IPS、防病毒網(wǎng)關(guān)等。

安全應(yīng)用模塊以負載均衡的方式工作,滿足超高性能的需求;在可靠性方面,可實現(xiàn)“N+1”備份技術(shù)。負載均衡和“N+1”備份等技術(shù)的應(yīng)用,大大提高了校園網(wǎng)一體化安全防護系統(tǒng)的安全性。

校園網(wǎng)一體化安全防護具有如下優(yōu)點:[5]

提供了高性能的綜合安全防護,各安全應(yīng)用獨享資源,相互之間不競爭資源,可同時打開所有安全功能。

是一個可平滑“長大”的安全系統(tǒng)。系統(tǒng)具有高可擴展性、高可伸縮性。當(dāng)需求增加時,可靈活地擴展原有系統(tǒng)。如果采用分類設(shè)備一臺臺搭建安全系統(tǒng),增加了系統(tǒng)的復(fù)雜度、降低了系統(tǒng)的穩(wěn)定性、擴展升級困難以及維護成本高。

這些設(shè)備通常都是即插即用的,只需要很少的安裝配置,減少了維護量,降低了復(fù)雜性。

當(dāng)一臺設(shè)備出現(xiàn)故障之后,即使是一個非專業(yè)人員也可以很容易地用另外一臺設(shè)備替換它,使網(wǎng)絡(luò)盡快恢復(fù)正常,使排錯更容易。

校園網(wǎng)一體化安全防護提供多項安全功能,可以將用戶需求的多種安全特性集中到一個硬件設(shè)備里,構(gòu)成一個標(biāo)準(zhǔn)的統(tǒng)一網(wǎng)絡(luò)管理平臺,這是今后網(wǎng)絡(luò)安全發(fā)展的方向。然而,測試結(jié)果表明:在校園網(wǎng)一體化安全防護中,如果將全部的安全功能打開,這個系統(tǒng)的性能將大大降低。其中,校園網(wǎng)一體化安全防護中的防毒網(wǎng)關(guān)、P2P和及時消息檢測功能對速度的影響最大。

由于校園網(wǎng)一體化安全防護系統(tǒng)中,一旦開通所有的安全應(yīng)用模塊,消耗的資源相當(dāng)大,所以僅使用通用服務(wù)器和網(wǎng)絡(luò)系統(tǒng)技術(shù),要實現(xiàn)對應(yīng)用層的高速處理,性能上肯定達不到要求。為此,需要有強勁的處理能力來支持。在校園網(wǎng)一體化安全防護中,只有解決了功能與性能的矛盾,一體化安全防護才能既實現(xiàn)像防火墻這種常規(guī)的網(wǎng)絡(luò)級安全,又能處理像病毒與蠕蟲掃描這種需要高速處理的應(yīng)用級安全。只有解決了功能和性能的矛盾,校園網(wǎng)一體化安全防護才能得到長足的發(fā)展。[6]

四、結(jié)束語

校園網(wǎng)的一體化安全防護是指在建校園網(wǎng)的時候就考慮好安全因素,并且讓網(wǎng)絡(luò)的各個組成部分都具有安全功能。而且,在實施一體化的安全網(wǎng)絡(luò)時,可以分模塊、分層次有序進行。用戶可以根據(jù)自身的網(wǎng)絡(luò)特點和安全要素,來制定網(wǎng)絡(luò)安全的建設(shè)順序。

校園網(wǎng)一體化安全防護不僅大大降低管理上的復(fù)雜度,充分發(fā)揮應(yīng)有的管理效益,而且縮短部署時間,減少部署成本,使排錯更容易,具有高擴展性、高伸縮性和高安全性。一旦解決了功能和性能的矛盾,校園網(wǎng)一體化安全防護將是今后校園網(wǎng)安全解決方案的首選方向。

參考文獻:

[1]http://www.snjyxxw.com/smqqjxx/bsje/yjs/200711/4907.html

[2]http://emic.moe.edu.cn/

[3]http://www.websense.com/

[4]http://sec.chinabyte.com/455/8764955.shtml

[5]梁明君. UTM技術(shù)研究[J].信息安全與通信保密,2008(9).

[6]沈晴霓.中國UTM一體化安全管理技術(shù)的發(fā)展創(chuàng)新[J].現(xiàn)代電信科技,2007(7).

(編輯:于黎明)