朱愛軍

（湖南科技職業(yè)學(xué)院，湖南 長沙 410004）

基于縱深防御思想的校園網(wǎng)安全研究

朱愛軍

（湖南科技職業(yè)學(xué)院，湖南 長沙 410004）

在分析校園網(wǎng)建設(shè)現(xiàn)有網(wǎng)絡(luò)資源及應(yīng)用的基礎(chǔ)上，提出了以防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)、防病毒技術(shù)、安全評估技術(shù)為核心的完整的安全解決方案。通過該方案的提出和實(shí)現(xiàn)，提高校園網(wǎng)建設(shè)的安全防護(hù)系數(shù)。

校園網(wǎng)；安全；防御

1．引言

為了解決高職院校校園網(wǎng)面臨的安全問題，需要在網(wǎng)絡(luò)中的各個(gè)環(huán)節(jié)都采取必要的安全防范措施，通過多種安全防范技術(shù)和措施的綜合運(yùn)用，才能更有效地保證校園網(wǎng)的信息和網(wǎng)絡(luò)安全。

校園網(wǎng)信息與網(wǎng)絡(luò)的安全問題主要包括物理實(shí)體安全和系統(tǒng)運(yùn)行安全兩個(gè)方面，本文將重點(diǎn)介紹如何應(yīng)用相應(yīng)網(wǎng)絡(luò)安全技術(shù)構(gòu)建高職院校信息網(wǎng)絡(luò)的問題以及幾種關(guān)鍵技術(shù)在高職院校信息網(wǎng)中的應(yīng)用和配置。

2．病毒防范

計(jì)算機(jī)病毒問題是網(wǎng)絡(luò)用戶面臨的首要問題，高職院校信息網(wǎng)在建設(shè)和維護(hù)的過程中同樣也不斷受到病毒的破壞和影響。由于使用和管理的不完善，客戶機(jī)經(jīng)常感染計(jì)算機(jī)病毒，并多次影響到各級(jí)局域網(wǎng)的正常工作，甚至引起局域網(wǎng)的癱瘓。為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受計(jì)算機(jī)病毒的侵害，同時(shí)也是為了建立一個(gè)集中有效的防病毒控制機(jī)制，需要應(yīng)用基于網(wǎng)絡(luò)的防病毒技術(shù)?；诰W(wǎng)絡(luò)的防病毒技術(shù)可以在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)上實(shí)現(xiàn)對計(jì)算機(jī)病毒的防范。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以防范主機(jī)受到病毒的感染，同時(shí)通過這些主機(jī)傳遞的文件也可以避免被病毒侵害，并且可以建立一個(gè)集中有效的防病毒控制機(jī)制，從而保護(hù)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全。

在殺毒軟件的選擇過程中，我們結(jié)合了校園信息網(wǎng)絡(luò)結(jié)構(gòu)與單位教師、學(xué)生網(wǎng)絡(luò)安全的知識(shí)水平、殺毒產(chǎn)品本身的易用性和可定制性、殺毒產(chǎn)品的技術(shù)、服務(wù)支持等售后服務(wù)以及公安部對現(xiàn)有市場上網(wǎng)絡(luò)防病毒產(chǎn)品進(jìn)行的測評報(bào)告，采用北京瑞星科技股份有限公司的瑞星殺毒軟件企業(yè)版。

由于校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)是物理隔離的，但殺毒軟件必須通過升級(jí)才能保證最新、最強(qiáng)的殺毒能力，為了保證殺毒系統(tǒng)的智能升級(jí)，我們采用通過物理轉(zhuǎn)換設(shè)備在校園網(wǎng)內(nèi)部建立瑞星公司升級(jí)的鏡像網(wǎng)站，實(shí)現(xiàn)病毒代碼和查殺引擎的升級(jí)。病毒庫通過互聯(lián)網(wǎng)上的瑞星網(wǎng)站首先被復(fù)制到信息網(wǎng)內(nèi)部的瑞星鏡像網(wǎng)站上，然后系統(tǒng)中心登陸鏡像網(wǎng)站更新后再往下面發(fā)送升級(jí)信息。

3．訪問控制

作為高校，各類用戶歷來對信息網(wǎng)內(nèi)的各種信息感興趣，尤其是在高校招生或者學(xué)生畢業(yè)的時(shí)候，部分不法份子為取得不正當(dāng)利益，入侵高校服務(wù)器，嚴(yán)重危害高校網(wǎng)絡(luò)安全。同時(shí)，由于單位內(nèi)部嚴(yán)格的等級(jí)制度，對于不同級(jí)別不同職務(wù)的人員，所應(yīng)了解和掌握的單位信息也是有很大區(qū)別的。校園網(wǎng)提供了通過計(jì)算機(jī)遠(yuǎn)程獲取敏感信息甚至保密信息的途徑。我們必須加強(qiáng)對信息網(wǎng)的訪問控制管理，杜絕敏感信息的泄露。

在校園網(wǎng)設(shè)置防火墻后，所有從其它局域網(wǎng)訪問該網(wǎng)的主機(jī)以及網(wǎng)內(nèi)對服務(wù)器的訪問請求都首先到達(dá)防火墻。防火墻可以通過分析這些數(shù)據(jù)包的性質(zhì)控制網(wǎng)絡(luò)中對主機(jī)的訪問。由于在訪問主機(jī)時(shí)，實(shí)行了用戶與源IP的綁定，并對各用戶的訪問權(quán)限作了規(guī)定。主機(jī)在與外界進(jìn)行通訊時(shí)是在應(yīng)用層而非在網(wǎng)絡(luò)層完成的。如果有不法分子通過入侵電信專線或橋接電信專線的方法入侵總隊(duì)信息網(wǎng)的話，防火墻首先會(huì)根據(jù)網(wǎng)絡(luò)制定的安全策略對來訪的數(shù)據(jù)進(jìn)行用戶與源IP綁定審查，對不符合要求的訪問一律拒絕，于是來自外網(wǎng)和非法用戶的攻擊行為不能到達(dá)校園網(wǎng)的主機(jī)服務(wù)器。對于一些特定的服務(wù)請求，防火墻還可以進(jìn)行其它的強(qiáng)制認(rèn)證手段、密級(jí)驗(yàn)證等，只有來自合法主機(jī)的合法操作在通過認(rèn)證之后才能到達(dá)要訪問的主機(jī)[1]。通過以上幾種方式的過濾，基本上可以保證到達(dá)網(wǎng)絡(luò)內(nèi)部主機(jī)的訪問都是安全合法的。由此可以有效地防止非法訪問，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)的安全性。

防火墻選擇所考慮的因素和入侵檢測基本一致，同時(shí)結(jié)合各安全產(chǎn)品之間兼容性原則，我們選擇了北京天融信公司生產(chǎn)的網(wǎng)絡(luò)衛(wèi)士防火墻4000（NGFW4000）。該產(chǎn)品可以通過其TOPSEC（Talent Open Platform for Security）網(wǎng)絡(luò)安全開放平臺(tái)標(biāo)準(zhǔn)API接口與天闐IDS進(jìn)行聯(lián)動(dòng)。NGFW4000是天融信網(wǎng)絡(luò)衛(wèi)士系列防火墻的中端產(chǎn)品，是一款成熟的廣受市場認(rèn)同的主流產(chǎn)品，具有訪問控制、內(nèi)容過濾、防病毒、NAT、IPSEC VPN、SSL VPN、帶寬管理、負(fù)載均衡、雙機(jī)熱備等多種功能，廣泛支持路由、多播、生成樹、VLAN、DHCP等協(xié)議，適用于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、應(yīng)用豐富的政府、軍工、學(xué)校、中型企業(yè)等網(wǎng)絡(luò)環(huán)境，該產(chǎn)品完全滿足校園信息網(wǎng)絡(luò)的需求。

4．入侵檢測

校園網(wǎng)設(shè)置了防火墻后，可以解決多數(shù)的網(wǎng)絡(luò)安全問題，但是防火墻并不是萬能的。有些攻擊行為僅僅依靠防火墻是不能防范的，比如攻擊行為是從內(nèi)部網(wǎng)絡(luò)上發(fā)起的，那么對主機(jī)的訪問就不需要通過防火墻，防火墻也就不能對主機(jī)進(jìn)行保護(hù)了。而對于校園信息網(wǎng)，非法或超權(quán)限訪問的用戶更多的是來自單位內(nèi)部的人員。所以尋求一種新的防范技術(shù)加強(qiáng)對防火墻以外功能的補(bǔ)充是很有必要的。入侵檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)檢測，由于可以記錄和禁止網(wǎng)絡(luò)活動(dòng)，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它試圖發(fā)現(xiàn)入侵者或識(shí)別出對計(jì)算機(jī)的非法訪問行為，并對其進(jìn)行隔離。入侵檢測系統(tǒng)能發(fā)現(xiàn)其它安全措施無法發(fā)現(xiàn)的攻擊行為，反追蹤攻擊源，進(jìn)行犯罪事實(shí)證據(jù)的收集。因此在網(wǎng)絡(luò)上配備入侵檢測系統(tǒng)可以進(jìn)一步提高網(wǎng)絡(luò)的安全級(jí)別。

入侵檢測的主要技術(shù)有：模式匹配，異常檢測，協(xié)議分析，我們在選擇入侵檢測系統(tǒng)時(shí)，主要考慮如下的因素[2]：(1)系統(tǒng)的價(jià)格；(2)特征庫升級(jí)與維護(hù)的費(fèi)用。像防病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法；(3)最大可處理流量(包/秒PPS)。由于高職院校信息網(wǎng)要求的帶寬較高，需要支持遠(yuǎn)程視頻同步，需要高速的入侵檢測引擎。故而性能是一個(gè)非常重要的指標(biāo)；(4)該產(chǎn)品是否容易被躲避；(5)運(yùn)行與維護(hù)系統(tǒng)的開銷；(6)產(chǎn)品支持的入侵特征數(shù)；(7)是否通過國家權(quán)威機(jī)構(gòu)的評測。主要的權(quán)威測評機(jī)構(gòu)有：國家信息安全測評認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心。最終在綜合各方面的因素后，在硬件方面我們選擇了北京啟明星辰信息技術(shù)有限公司生產(chǎn)的天闐NS200，與之配套的軟件則是天闐千兆入侵檢測與管理系統(tǒng)V6.0。

5．安全評估

計(jì)算機(jī)漏洞[3]是指計(jì)算機(jī)系統(tǒng)具有的某種可能被入侵者利用的屬性，安全漏洞(Security Hole)通常又稱作脆弱性(vulnerability)。計(jì)算機(jī)漏洞是系統(tǒng)的一種特性，惡意的主體(攻擊者或攻擊程序)能夠利用這種特性，通過已授權(quán)的手段和方式獲得對資源的未授權(quán)訪問，或者對系統(tǒng)造成損害。這里的漏洞既包括單個(gè)計(jì)算機(jī)系統(tǒng)的脆弱性，也包括計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的漏洞。如果不法份子利用計(jì)算機(jī)漏洞對信息網(wǎng)進(jìn)行攻擊，造成的后果將是難以想象的?！熬影菜嘉?，防患于未然”，我們應(yīng)該積極主動(dòng)查找系統(tǒng)的漏洞，主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)自身存在的安全隱患，先于入侵者發(fā)現(xiàn)并修復(fù)系統(tǒng)的漏洞，這也是解決網(wǎng)絡(luò)安全的基本方法之一。

掃描器對網(wǎng)絡(luò)安全很重要，它能揭示一個(gè)網(wǎng)絡(luò)的薄弱點(diǎn)。在任何一個(gè)現(xiàn)有的平臺(tái)上都有幾百個(gè)熟知的安全脆弱性。在大多數(shù)情況下，這些漏洞都是唯一的，僅影響一個(gè)網(wǎng)絡(luò)服務(wù)。人工測試單臺(tái)主機(jī)的漏洞是一項(xiàng)極其繁瑣的工作，而掃描程序能輕易解決這些問題。掃描程序開發(fā)者利用可得到的常用攻擊方法并把它們集成到整個(gè)掃描中，這樣使用者就可以通過分析輸出的結(jié)果發(fā)現(xiàn)系統(tǒng)的漏洞。

我們可以在本校園信息網(wǎng)向總部連接的路由器的外部設(shè)立一臺(tái)安全分析工作站或在內(nèi)部網(wǎng)絡(luò)分支機(jī)構(gòu)交換機(jī)的外部設(shè)立一臺(tái)這樣的工作站，平時(shí)關(guān)閉，需要時(shí)可以從多角度對整個(gè)網(wǎng)絡(luò)進(jìn)行全方位的漏洞分析掃描，并給出安全性建議，以便于系統(tǒng)管理員及時(shí)堵住系統(tǒng)安全漏洞。要求各級(jí)網(wǎng)絡(luò)管理員定時(shí)進(jìn)行安全掃描檢測，保障系統(tǒng)安全。

在漏洞掃描器的選擇上，我們同樣選擇了北京啟明星辰信息技術(shù)有限公司開發(fā)的“天鏡”網(wǎng)絡(luò)漏洞掃描與評估系統(tǒng)。該系統(tǒng)是一套基于Windows平臺(tái)的漏洞掃描軟件，它包括了網(wǎng)絡(luò)模擬攻擊、漏洞檢測、報(bào)告服務(wù)進(jìn)程、提取對象信息、風(fēng)險(xiǎn)評估和安全建議等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能地消除安全隱患。該系統(tǒng)具有強(qiáng)大的漏洞檢測能力和檢測效率、貼切用戶需求的功能定義、靈活多樣的檢測方式、詳盡的漏洞修補(bǔ)方案和友好的報(bào)表系統(tǒng)，并支持在線升級(jí)。

在交換機(jī)的選型上，我們選擇了港灣FlexHammer5210系列交換機(jī)。該系列交換機(jī)是為了滿足高安全、多業(yè)務(wù)承載、高性能的網(wǎng)絡(luò)環(huán)境開發(fā)的新一代智能多層交換機(jī)，具備傳統(tǒng)三層交換機(jī)大容量、高性能等優(yōu)點(diǎn)，同時(shí)還具有領(lǐng)先的安全特性，適合作為關(guān)注業(yè)務(wù)、服務(wù)、關(guān)注網(wǎng)絡(luò)安全的中小型城域網(wǎng)匯聚三層交換機(jī)、小區(qū)核心匯聚層交換機(jī)和企業(yè)級(jí)大客戶接入層交換機(jī)。

6．結(jié)語

本文以傳統(tǒng)的安全體系和設(shè)計(jì)原則為基礎(chǔ)，在縱深防御技術(shù)模型的基礎(chǔ)上，提出了基于主動(dòng)防御思想的高職院校信息網(wǎng)安全防護(hù)體系。從病毒防范、入侵檢測、訪問控制和安全評估四個(gè)方面出發(fā)，提出安全防護(hù)體系的需求、設(shè)計(jì)原則、部署的特點(diǎn)。通過對產(chǎn)品的性能、價(jià)格和易用性等方面的比較，選取了適合高職院校信息網(wǎng)的安全產(chǎn)品，并以此為基礎(chǔ)，構(gòu)建信息網(wǎng)完整的安全解決方案。

[1]謝希仁．計(jì)算機(jī)網(wǎng)絡(luò)（第二版）[M]．北京：電子工業(yè)出版社，1999．

[2]陳向陽，肖迎元等．網(wǎng)絡(luò)工程規(guī)劃與設(shè)計(jì)[M]．北京：清華大學(xué)出版社，2007．

[3]戴宗坤等．信息系統(tǒng)安全[M]．北京：金城出版社，2002．

[4]Lars Klander．挑戰(zhàn)黑客-網(wǎng)絡(luò)安全的最終解決方案[M]．陳永劍等譯．北京：電子工業(yè)出版社，2000．

[5]胡道元，閔京華編著．網(wǎng)絡(luò)安全[M]．北京：清華大學(xué)出版，2004.

[6]徐國哎，楊義先，胡正名．安全局域網(wǎng)的設(shè)計(jì)和實(shí)現(xiàn)[J]．計(jì)算機(jī)工程與應(yīng)用，2001，8：30-31．

Research on the Campus Network Security Based on Defense in Depth

ZhuAijun
(Hunan Vocational College of Science and Technology,Hunan 410004,Changsha)

Based on the analysis of the campus network construction resource and application,this paper proposes a security solution with the firewall technology,intrusion detection technology,vulnerability scanning technology,anti-virus technology and safety assessment technology as the core.This solution can improve the safety coefficient of the campus network construction.

campus network;security;defense

朱愛軍,男，湖南邵東人，碩士，講師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)，網(wǎng)絡(luò)安全。