网络安全评估报告
系别: 计算机科学系
班级: 计网104
姓名: 赵东阳
学号: 102111043
某学校网络概述
作为一所国家重点建设的现代化综合性大学,某学院已经全面实现了教学、科研计算机网络化的应用与管理,其校园网建设的特点在于根据根据学校的实际应用,配服务器9台,用途如下:
(1)主服务器2台:装有Windows2000server 操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS 服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
WWW服务器1台:装有Unix 操作系统,负责远程服务管理及WEB 站点的管理。
计费服务器一台:负责学生宿舍和公寓上网信息费的计费管理。
备分服务器:负责校园网关键数据备分。
电子阅览服务器1台:多媒体资料的阅览、查询及文件管理等;
图书管理服务器1台:负责图书资料管理。
教师多媒体备课服务器1台:教师备课、课件制作、资料查询等文件管理以及Proxy 服务等。
多媒体光盘服务器1台:负责多媒体光盘及视频点播服务。
选择HP 公司的AlphaServer ES47 system服务器作为系统的网络服份服器,该服务器具有以下特点:
快速恢复引擎,全面差错管理,环境监视。
积级防错。
高级容错:N+1分布数据保护、在线备份磁盘、控制器双工、可带电热插拔。 自动错误恢复:硬件及软件能将重大服务器差错报告管理员并识别错供智能无人管理的错误恢复,以缩短故障时间、通电错误记录。
该款产品以中档服务器的价格提供了大型机的速度、功率和性能,能够支持高性能技术计算、电信和电子商务领域的关键资源密集型应用。 凭借多达4枚833 MHz Alpha EV68或667 MHz EV67 64位处理器,它能够以惊人的速度处理最艰巨的任务,同时其8 MB双数据速率高速缓存还可使高速缓存的尺寸和带宽成倍增长。其出色的可靠性源自热插拔RAID 存储、高级集群支持,以及冗余热插拔电源和冷却系统。
(2)选择联想万全R350服务器作为数字图书馆和多媒体教学服务器. 适用范围:万全R350服务器是一款性能卓越的服务器精品,面向企业用户的关键应用以及行业用户的重要应用,易于部署为邮件服务器、Proxy 服务器、WEB 服务器、数据库服务器以及其他应用服务器等,适合于对服务器系统可用性、可靠性均有高要求的场合。
主要特点:万全R350服务器64位四核英特尔至强TM 处理器处理器,二级缓存8M ,系统处理性能大副提升;超大容量的ECC DDR内存扩展能力,在保证了数据在系统各部分间准确无误的传递处理的同时,为提升应用系统运行速度留下很大空间;支持功率负载平衡及可故障切换的热插拔冗余电源,故障电源更换简便,进一步减少故障宕机时间;提供对热插拔PCI-X 的支持,在提升系统与PCI 设备间的数据传输速率的同时,进一步增加设备的可用度,使得系统扩容、升级、替换相应设备时不必停机;系统支持多个冗余风扇,为提供长时间连续工作提供进一步保障;集成支持冗余和负载均衡功能的双千兆网卡,极大提升了网
络的可用性和网络吞吐性能;具有7项专利的万全慧眼服务器管理系统,提供更加贴近国内用户使用习惯的服务器管理工具;新版本的万全导航软件的系统备份及恢复工具,为您提供更近一步的无忧管理。
2. 交换机选型
选择cisco 系列交换机具有交换速度快、稳定、扩展性好、升级容易的特点,而且cisco 公司为客户提供优质快捷的客户服务。
核心的交换平台,使用一台CISCO Catalyst 4507R 交换机作为网络的中心汇聚层, 系列产品是公司线速交换网络产品系列定位于大中型核心节点的代表产品系列,Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业提供业务弹性。Cisco Catalyst 4500系列中提供的集成式弹性增强包括1+1超级引擎冗余(只对Cisco Catalyst 4507R)、集成式IP 电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。在大规模校园网中,单台CISCO Catalyst 4507R产品可以被设计作为网络的核心交换、业务控制和冗余控制平台,提供冗余电源,所有关键单元均支持热备份或者多对一负载分担备份,是理想的核心交换平台。在汇聚层选择CISCO WS-C3560G-24TS-S交换机,提供24或更多个100M 接入,同时多路千兆上行。可以实现二层线速转发、同时实现线速的多层策略过滤,用以实现极为复杂的VLAN 业务隔离等。在接入层根据用户分布情况提供不同的接入设备。在用户数量相对密集的场所应使用CISCO WS-C2960-24TC-L 接入,CISCO WS-C2960-24TC-L 可以提24 个10/100M 自适应端口,可提供100M 光模块上行。对用户数量相对少一些的场所可以使用华为 Quidway S3526C接入,华为 Quidway S3526C 可以提供24 个10/100M 自适应端口,可提供100M 光模块上行。
1、网络建设起点高,采用当前国际先进的万兆骨干网,全部采用光纤连接,出口带宽理论上可达千兆;
2、校园网信息点覆盖广,是典型的大规模复杂网络,校园网全面覆盖教学、科研、图书馆、后勤、学生宿舍,服务对象广泛,并全面实现校内办公自动化,实IP 地址达到8000多个,网络节点超过10000个,网络用户高达30000余人;
3、网络结构规范、清晰,网络设备先进,便于管理;
4、双出口,实现了与CERNET 、INTERNET 的互联;
5、双核心,可实现冗余备份和负荷分担,保证网络的稳定运行;
6、已建好IPv6的基础环境,可随时采用最新网络技术。
以下是某校园网络拓扑图:
复杂巨型系统的脆弱性
1、由网络规模扩大带来的脆弱性
由于结构复杂、地理位置广泛、节点众多、部门分割等诸多因素都在加重管理成本,而管理人员、设备又不不能无节制的扩张,因此网络的复杂性地提升将使其可管理性呈几何级数下降。
2、由网络的隐性出口导致的脆弱性
复杂巨系统网络的规模的第一个关联反映是没有办法确保信息出口的唯一性,庞大的网络使每个节点都可能成为数据交换的原点。通过拨号上网、优盘、移动硬盘,光盘等方式导致向网络内部进行信息传递的情况比较普遍。使得网络外部的病毒和攻击能够绕过一般的防范措施渗透进入网络系统内部,对系统信息安全造成危害。
3、由网络带宽增加带来的脆弱性
由于某大学网络带宽较大,主干达到万兆,出口理论上可达千兆,桌面接入速度为百兆,并且随着网络基础设备建设投入的增加,带宽还在进一步提高。一旦内部节点出现问题,如对外的病毒扫描或DDoS 攻击等,就有可能对网络核心层造成强大压力。同时,一般的安全设备则已经无法在这样一个高速运行的网络上进行有效的网络病毒和攻击的监控过滤。
4、游离节点众多而带来的脆弱性
某大学组织机构庞大,人员众多,组成复杂,既包括大量的学生、教师; 也包括了很多相对独立的科研人员、后勤人员和行政管理人员。这些人都有可能是校园网的使用者,很难形成统一的行政管理制度来约束各种网络用户的使用行为和习惯,因此很多网络节点处于不可控的游离状态,而这些游离节点的数量巨大,不收敛,使这些游离节点处于不可管理状态。
以上这些原因导致复杂巨系统网络的可控性下降,安全脆弱性上升,同时网络的安全形势面临着严峻挑战。
网络安全需求分析
据统计,全球安全事件的94%都与病毒相关。经过20多年的发展,目前网络病毒成为了病毒的主流形态,它的传播不再局限于一种方式,而是通过多种多样的方式传播,很多病毒都是集大成者,一个病毒就能完成RPC 攻击,管理员口令猜测,DDOS 攻击,信息窃取,木马驻留,共享攻击,停止防毒软件„„。而且一旦网络病毒爆发,它也不再仅仅是破坏正常文件,而常常是导致网络瘫痪、机密信息丢失,危害越来越严重。
作为全国重点大学—某大学,保证网络的畅通和涉密项目资料的安全是其最需要考虑的部分。经过与某大学校园网的管理者和用户的深入交流,并根据以上对其大规模复杂网络特点和安全现状的分析,安天专家与某大学相关领导一致认为,其信息系统的安全建设目标应集中为:
1、保证涉密节点的安全性
2、保证科研相关节点的稳定性
3、保证日常办公网络的畅通性
4、对于安全事件具有可追溯性
5、对于终端桌面实现集中管理
6、对于游离节点具有隔离能力
7、网络具有快速恢复能力。
网络安全脆弱点分析:
1、校园网与Internet 相连,在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。
2、校园网内部也存在很大的安全隐患。内部用户对网络的结构和应用模式都比较了解,来自内部的安全威胁甚至更大。
3、目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统常有不同级别安全风险的Windows NT/2000、UNIX 、Linux 等,如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS 的漏洞、病毒木马等。
4、随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,且没有采取安全防护措施,随时可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等后果。
5、内部用户对Internet 的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网; 内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS/DDoS攻击等导致网络及服务瘫痪。
6、可能会因为校园网内管理人员以及师生的安全意识不强、管理制度不健全,带来校园网的威胁。
7、网络管理维护的困难。现在很多课堂教学逐步走向网络化,学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂,管理难度增大。
8、网络业务容量及资源调配的困难。这包括如何有效合理地对教育网络带宽的调度和分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用。
9、网络安全、统计等运营问题。这表现在校园网缺乏用户认证、授权、计费体系,安全认证以IP 地址为主,存在有意和无意的攻击等。
(二)、危害校园网络安全的主要威胁
1、网络系统在稳定性和可扩充性方面存在各种各样的安全问题。计算机病毒利用操作系统的漏洞进行传染,如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而受到影响。
2、计算机病毒的破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,这是影响校园网络安全的主要因素。网络的发展也为计算机病毒的蔓延打开了方便之门,病毒无时无刻不在对网络的安全构成潜在的威胁,可能从任一节点潜入并蔓延至整个网络, 尤其是人们频繁使用的电子邮件如今更成为病毒栖身、散播的载体。
3、黑客攻击
黑客攻击早期主要进攻手段有:窃取口令、强力闯入、窃取额外特权、植入“特洛伊木马”等等。随着INTERNET 的发展,黑客的进攻手段从以系统为主的攻击转变到以网络为主的攻击,攻击手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程;通过隐蔽通道进行非法活动;突破网络防火墙;黑客们灵活运用丰富的现成黑客工具进行攻击,入侵常用手法有端口监听、端口扫描、口令入侵等。
4、口令入侵
首先通过网络监听等方式非法获得合法用户的帐号、用户口令,再使用某些合法用户的帐号和口令登陆到目标主机,然后在实施攻击活动。
5、非正常途径访问或内部破坏
破坏数据的完整性, 即使用非法手段删除、修改、重发某些重要信息以干扰用户的正常使用。如在学校中有人为了报复而销毁或篡改人事档案记录、有学生通过非正常的手段获取习题的答案或在考前获得考试内容等使正常的教学练习失去意义等这些安全隐患都严重地破坏了学校的管理秩序。由于担心重要数据库和文件安全性问题,不得不与校园网络物理隔离,使得应用软件不能发挥真正的作用。
6、不良信息的传播
在校园网接入Internet 后,师生都可以通过校园网络在自己的电脑上进入Internet 。Internet 上如娱乐、游戏、暴力、色情、反动等有毒的信息违反了人类的道德标准和有关法律法规,对学生的身心健康危害非常大。
7、访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机,管理制度不健全,网络管理、维护任其,缺乏安全策略,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。 某大学大规模巨型网络安全解决思想
1、统一监控,有效响应
对于复杂巨系统网络,不可能像传统安全模型那样采用静态隔离法达到安全,其根本上是要达到一个动态的应用与安全的平衡。对于这种大型不可控网,首先要肯定病毒和其他安全威胁在的无法避免,因此,我们应该重点考虑以下几个方面:
(1)大规模病毒疫情爆发前能够做到预警
(2)大规模病毒已经爆发和其他安全事件产生后的准确定位。
(3)获得宏观层面观测, 网络上病毒疫情和安全全景视图的能力
(4)获得尽可能多的可控节点的数量
(5)获取对不可控节点的侦控和反映能力。
(6)快速有效的形成整体安全策略
二、校园网络安全管理
校园网络安全指利用网络管理控制技术措施,保证网络的数据机密性、完整性和可用性。目的是确保经网络传输的信息在传输过程中没有任何增加、改变、丢失或非法读取。但随着黑客攻击手法的改进,进一步暴露了网络的脆弱性。如针对网络服务器的拒绝服务式攻击等。现在网络安全管理范围进一步扩大,安全管理也相应地复杂了很多。不仅仅局限于网络建成后的保护措施,也涉及到了网络的设计。较好的网络设计应该保证网络有较好的弹性,能够在数据量很大的时候仍能保证较好的服务质量和稳定性。校园网络安全主要涉及到了以下几个方面:
1.数据安全:保证重要的数据和信息在传输过程中不丢失、被修改、被窃取。
2.结构安全:保障网络规划合理性,并随着使用过程中出现的问题不断调整和改进,保证网络有较好的弹性和服务质量。
3.信息过滤:阻止反动、黄色的信息在网络中传输。
4.访问安全:保护网络不被非法修改和恶意攻击。
5.软件系统安全:确保系统软件的安全,应使用防病毒技术、备份和恢复技术。
6.操作安全:建立规范管理和良好的管理制度,使各工作人员严格遵守规章制度。尽量防止内部工作人员的过失。
以上的分类只是从不同角度对网络安全作出说明,实际上它们是有交叉点的。
三、校园网络安全策略
安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么, 制定恰当的满足需求的策略方案, 然后才考虑技术上如何实施。
1、物理安全策略
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面: (1)环境安全。对系统所
在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。(2)设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2、访问控制策略
访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。(1)入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。(2) 网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源; 可以指定用户对这些文件、目录、设备能够执行哪些操作。(3)目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定对目录下的子目录和文件的权限。(4) 属性安全控制。当用文件、目录和网络设备时, 网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。(5)网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块, 可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或破坏数据; 可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。(6)网络监测和锁定控制。网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。如果不法之徒试图进入网络, 网络服务器应会自动记录企图尝试进入网络的次数, 如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。(7)网络端口和节点的安全控制。端口是虚拟的“门户”, 信息通过它进入和驻留于计算机中, 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护, 并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户, 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制, 用户必须携带证实身份的验证器。在对用户的身份进行验证之后, 才允许用户进入用户端。然后, 用户端和服务器端再进行相互验证。
3、防火墙控制策略
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统, 用来限制外部非法用户访问内部网络资源,通过建立起来的相
应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。
4、信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的http://www.studa.cn/方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全; 端点加密是对源端用户到目的端用户的数据提供保护; 节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下, 信息加密是保证信息机密性的唯一方法。建立信息安全制度, 在硬件产品、技术力量、人员培训方面加大投入, 实施过程中采用预防控制的原则、全员参与原则、动态管理的原则、可持续性原则, 建立起具有自己网络安全特色的体系, 确保信息网络的安全。
5、网络入侵检测技术
网络入侵是入侵者试图破坏信息系统的完整性、机密性、可信性的任何网络活动,识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程,它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
6、备份和镜像技术
用备份和镜像技术提高完整性。采用稳妥的系统保护技术,备份技术是最常用的提高数据完整性的措施,它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
7、有害信息的过滤
对于校园网络,由于使用人群的特定性,必须要对网络的有害信息加以过滤,防止一些色情、暴力和反动信息危害学生的身心健康,必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。
8、网络安全管理规范
网络安全技术的解决方案必须依赖安全管理规范的支持, 在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 建立严格的信息安全保障制度,制定完备的机房安全管理规章,定期监督检查校园网安全制度的落实情况。对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围; 制订有关网络操作使用规程和人员出入机房管理制度; 制定网络系统的维护制度和应急措施等。
四、网络安全体系的探讨
我校现阶段为了保证网络工作顺通,从以下几个方面来实现网路安全管理,如增强网络安全意识、执行安全管理制度、公布网络安全信息、周期性网络维护,同时利用现有比较成熟的技术,如访问控制技术、密钥安全技术、数字签名及身份认证技术、病毒防范技术、防火墙技术、包过滤路由技术、动态口令技术、链路加密技术、数据备份及恢复技术、网络入侵检测技术等综合使用,进一步增强网络安全。
1、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的专业防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2、配置防火墙。防火墙是网络安全的屏障,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet 上的不安全因素蔓延到局域网内部,是网络安全的重要一环。在防火墙设置上比如我们学校按照以下原则配置来提高网络安全性:(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。(2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP 包,防范源地址假冒和源路由类型的攻击; 过滤掉以非法IP 地址离开内部网络的IP 包,防止内部网络发起的对外攻击。(3)在防火墙上建立内网计算机的IP 地址和MAC 地址的对应表,防止IP 地址被盗用。
(4)在局域网的入口架设防火墙,并实现VPN 的功能,在校园网络入口处建立第一层的安全屏障,VPN 保证了管理员在家里或出差时能够安全接入数据中心。
(5)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。(6)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
3、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入
侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
4、Web ,Email ,BBS 的安全监测系统。在服务器中使用网络安全监测系统,实时跟踪、监视网络,截获Internet 网上传输的内容,并将其还原成完整的www 、Email 、FTP 应用等内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取相应措施。
5、漏洞扫描系统。了解网络中存在哪些安全隐患、脆弱点。对网络的复杂性,寻求能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6、IP 盗用问题的解决。在路由器上捆绑IP 和MAC 地址。当某个IP 通过路由器访问Internet 时,路由器要检查发出这个IP 广播包的工作站的MAC 是否与路由器上的MAC 地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP 广播包的工作站返回一个警告信息。
7、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
总之,每一种安全机制都有一定的应用范围和应用环境。校园网络的安全问题,不仅是设备,技术的问题,更是管理的问题。对于校园网络的管理人员,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
但是他们都回避了一个问题,那就是对这些计算机上本身保存的数据如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数黑客来讲没有太大意思,不过他们都不会反对把“肉鸡”上的数据弄回来保存。这时黑客再说" 没有进行破坏" 是说不过去的,根据计算机安全的基本原则,当数据的" 完整性、可用性和机密性" 中任意三者之一在受到破坏的时候,都应视为安全受到了破坏。在被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据,黑客获得这些数据(即使只是查看数据的内容而不下载)时正是破坏了保密性。在实际情 况中,很多商业间谍和政治间谍都是这一类,他们只是默默地拿走你的数据而绝不做任何的破坏,而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉,这其实是最可怕的一种攻击行为。
很多黑客会在“肉鸡”上安装FTP 软件或者开放FTP 服务,再下载其数据,但安装软件和开放服务这样的动作很容易在系统中的各类日志留下记录,有可能
被发现。而不希望被人发觉的黑客会自己建立一台FTP 服务器,让“肉鸡”做为客户端把自己的数据上传过来。
DNS 拒绝服务攻击原理同DrDoS 攻击相同,只是在这里被欺骗利用的不是一般的计算机,而是DNS 服务器。黑客通过向多个DNS 服务器发送大量的伪造的查询请求,查询请求数据包中的源IP 地址为被攻击主机的IP 地址,DNS 服务器将大量的查询结果发送给 被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。
鉴于上述需求,我们在网络出口处部署了全球首款骨干网络病毒监控设备V DS ,实现了高速、高效、实时的出口级检测,并能通过网络行为对未知病毒实现预判、预警。VDS 以旁路方式接入网络,不会影响网络速度,率先解决了现有安全设备不能在网络条件下进行高速准确检测病毒的全球性难题,是目前唯一能够应用于电信级骨干网络的病毒监控设备。
此外,提供VDS 客户端模块(L模块) 实现海量用户节点授权保护。L 模块系统包括病毒扫描查杀、病毒监控、主机防火墙、主机IDS 、安全配置优化,安全消息通告等环节。
2、分布防御
我们将某大学的重要数据区、各教学楼、重要办公区和多媒体教学区按不同的安全级别分成不同的安全区域,针对不同的安全区域的具体情况,采取不同的安全措施。最终使用安天主机保护系统(服务器版和工作站版) 和VDS(L模块) 实现了对各区域节点的有效管理。
图1:某大学校园网子网划分情况示意图
3、集中管理
为了对网内所有安全环节进行集中管理,安天在用户主交换机处接入安天安全管理中心(ASOC),采用专属硬件设备接入网络,管理员通过web 即可实现对系统的管理。ASOC 具有设备和节点管理、病毒库升级分发、终端系统网络状态监控和管理、病毒及网络事件统计、流量统计、全网分析报表等功能。
安全管理中心同时对VDS 和安天主机保护系统进行管理,实现安全策略和病毒库分发以及信息汇总。通过安天安全管理中心,网络管理员可以了解到网内计算机的当前状态,汇总各终端中的病毒疫情和安全态势,并且对网络上所有计算机进行统一升级,全面保护信息系统的高可用性,保障各支撑系统和业务系统高效、稳定的运行。从而做到有效的统一管理。
图2:校园网安全解决方案网络拓扑示意图
实施效果评估
经过实践论证,本方案在不改变原有网络结构和带宽的基础上实现了多种信息安全,保障了某大学内网络的安全,达到了以下几个目标:
1、VDS 提供了强大的实时检测功能,便于网络管理员第一时间了解网络中的病毒感染情况, 提供实时的病毒纪录,使得用户要求快速高效查毒杀毒的需求得以满足。
2、对网络数据以线速实时进行恶意代码特征匹配,全面监测各种蠕虫病毒、恶意代码与攻击行为,可发现未知病毒,并快速告警。
3、保护脆弱的服务,通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
4、可以检测蠕虫病毒的传输,还可以检测它们的扫描与攻击行为,并提供了多种形式的病毒排行榜,可以方便快捷地检测蠕虫病毒的各种行为。例如,在检出次数排行榜中又包括了扫描攻击排行榜、邮件蠕虫排行榜以及其他蠕虫和其他病毒排行榜等等。
5、提供集中的统一安全管理,管理员可以通过管理控制台对内部和外部用户指定统一的安全策略。
6、提供强大的安全日志记录和统计,管理员可以通过各种安全日志对网络进行实时监控和统计分析,及时发现网络的各种安全事件。
网络安全评估报告
系别: 计算机科学系
班级: 计网104
姓名: 赵东阳
学号: 102111043
某学校网络概述
作为一所国家重点建设的现代化综合性大学,某学院已经全面实现了教学、科研计算机网络化的应用与管理,其校园网建设的特点在于根据根据学校的实际应用,配服务器9台,用途如下:
(1)主服务器2台:装有Windows2000server 操作系统,负责整个校园网的管理,教育资源管理等。其中一台服务器装有DNS 服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统,负责整个校园网中各个用户的邮件管理。
WWW服务器1台:装有Unix 操作系统,负责远程服务管理及WEB 站点的管理。
计费服务器一台:负责学生宿舍和公寓上网信息费的计费管理。
备分服务器:负责校园网关键数据备分。
电子阅览服务器1台:多媒体资料的阅览、查询及文件管理等;
图书管理服务器1台:负责图书资料管理。
教师多媒体备课服务器1台:教师备课、课件制作、资料查询等文件管理以及Proxy 服务等。
多媒体光盘服务器1台:负责多媒体光盘及视频点播服务。
选择HP 公司的AlphaServer ES47 system服务器作为系统的网络服份服器,该服务器具有以下特点:
快速恢复引擎,全面差错管理,环境监视。
积级防错。
高级容错:N+1分布数据保护、在线备份磁盘、控制器双工、可带电热插拔。 自动错误恢复:硬件及软件能将重大服务器差错报告管理员并识别错供智能无人管理的错误恢复,以缩短故障时间、通电错误记录。
该款产品以中档服务器的价格提供了大型机的速度、功率和性能,能够支持高性能技术计算、电信和电子商务领域的关键资源密集型应用。 凭借多达4枚833 MHz Alpha EV68或667 MHz EV67 64位处理器,它能够以惊人的速度处理最艰巨的任务,同时其8 MB双数据速率高速缓存还可使高速缓存的尺寸和带宽成倍增长。其出色的可靠性源自热插拔RAID 存储、高级集群支持,以及冗余热插拔电源和冷却系统。
(2)选择联想万全R350服务器作为数字图书馆和多媒体教学服务器. 适用范围:万全R350服务器是一款性能卓越的服务器精品,面向企业用户的关键应用以及行业用户的重要应用,易于部署为邮件服务器、Proxy 服务器、WEB 服务器、数据库服务器以及其他应用服务器等,适合于对服务器系统可用性、可靠性均有高要求的场合。
主要特点:万全R350服务器64位四核英特尔至强TM 处理器处理器,二级缓存8M ,系统处理性能大副提升;超大容量的ECC DDR内存扩展能力,在保证了数据在系统各部分间准确无误的传递处理的同时,为提升应用系统运行速度留下很大空间;支持功率负载平衡及可故障切换的热插拔冗余电源,故障电源更换简便,进一步减少故障宕机时间;提供对热插拔PCI-X 的支持,在提升系统与PCI 设备间的数据传输速率的同时,进一步增加设备的可用度,使得系统扩容、升级、替换相应设备时不必停机;系统支持多个冗余风扇,为提供长时间连续工作提供进一步保障;集成支持冗余和负载均衡功能的双千兆网卡,极大提升了网
络的可用性和网络吞吐性能;具有7项专利的万全慧眼服务器管理系统,提供更加贴近国内用户使用习惯的服务器管理工具;新版本的万全导航软件的系统备份及恢复工具,为您提供更近一步的无忧管理。
2. 交换机选型
选择cisco 系列交换机具有交换速度快、稳定、扩展性好、升级容易的特点,而且cisco 公司为客户提供优质快捷的客户服务。
核心的交换平台,使用一台CISCO Catalyst 4507R 交换机作为网络的中心汇聚层, 系列产品是公司线速交换网络产品系列定位于大中型核心节点的代表产品系列,Cisco Catalyst 4500系列能够为无阻碍的第2/3/4层交换提供集成式弹性,因而能进一步加强对融合网络的控制。可用性高的融合语音/视频/数据网络能够为正在部署基于互联网企业应用的企业提供业务弹性。Cisco Catalyst 4500系列中提供的集成式弹性增强包括1+1超级引擎冗余(只对Cisco Catalyst 4507R)、集成式IP 电话电源、基于软件的容错以及1+1电源冗余。硬件和软件中的集成式冗余性能够缩短停机时间,从而提高生产率、利润率和客户成功率。在大规模校园网中,单台CISCO Catalyst 4507R产品可以被设计作为网络的核心交换、业务控制和冗余控制平台,提供冗余电源,所有关键单元均支持热备份或者多对一负载分担备份,是理想的核心交换平台。在汇聚层选择CISCO WS-C3560G-24TS-S交换机,提供24或更多个100M 接入,同时多路千兆上行。可以实现二层线速转发、同时实现线速的多层策略过滤,用以实现极为复杂的VLAN 业务隔离等。在接入层根据用户分布情况提供不同的接入设备。在用户数量相对密集的场所应使用CISCO WS-C2960-24TC-L 接入,CISCO WS-C2960-24TC-L 可以提24 个10/100M 自适应端口,可提供100M 光模块上行。对用户数量相对少一些的场所可以使用华为 Quidway S3526C接入,华为 Quidway S3526C 可以提供24 个10/100M 自适应端口,可提供100M 光模块上行。
1、网络建设起点高,采用当前国际先进的万兆骨干网,全部采用光纤连接,出口带宽理论上可达千兆;
2、校园网信息点覆盖广,是典型的大规模复杂网络,校园网全面覆盖教学、科研、图书馆、后勤、学生宿舍,服务对象广泛,并全面实现校内办公自动化,实IP 地址达到8000多个,网络节点超过10000个,网络用户高达30000余人;
3、网络结构规范、清晰,网络设备先进,便于管理;
4、双出口,实现了与CERNET 、INTERNET 的互联;
5、双核心,可实现冗余备份和负荷分担,保证网络的稳定运行;
6、已建好IPv6的基础环境,可随时采用最新网络技术。
以下是某校园网络拓扑图:
复杂巨型系统的脆弱性
1、由网络规模扩大带来的脆弱性
由于结构复杂、地理位置广泛、节点众多、部门分割等诸多因素都在加重管理成本,而管理人员、设备又不不能无节制的扩张,因此网络的复杂性地提升将使其可管理性呈几何级数下降。
2、由网络的隐性出口导致的脆弱性
复杂巨系统网络的规模的第一个关联反映是没有办法确保信息出口的唯一性,庞大的网络使每个节点都可能成为数据交换的原点。通过拨号上网、优盘、移动硬盘,光盘等方式导致向网络内部进行信息传递的情况比较普遍。使得网络外部的病毒和攻击能够绕过一般的防范措施渗透进入网络系统内部,对系统信息安全造成危害。
3、由网络带宽增加带来的脆弱性
由于某大学网络带宽较大,主干达到万兆,出口理论上可达千兆,桌面接入速度为百兆,并且随着网络基础设备建设投入的增加,带宽还在进一步提高。一旦内部节点出现问题,如对外的病毒扫描或DDoS 攻击等,就有可能对网络核心层造成强大压力。同时,一般的安全设备则已经无法在这样一个高速运行的网络上进行有效的网络病毒和攻击的监控过滤。
4、游离节点众多而带来的脆弱性
某大学组织机构庞大,人员众多,组成复杂,既包括大量的学生、教师; 也包括了很多相对独立的科研人员、后勤人员和行政管理人员。这些人都有可能是校园网的使用者,很难形成统一的行政管理制度来约束各种网络用户的使用行为和习惯,因此很多网络节点处于不可控的游离状态,而这些游离节点的数量巨大,不收敛,使这些游离节点处于不可管理状态。
以上这些原因导致复杂巨系统网络的可控性下降,安全脆弱性上升,同时网络的安全形势面临着严峻挑战。
网络安全需求分析
据统计,全球安全事件的94%都与病毒相关。经过20多年的发展,目前网络病毒成为了病毒的主流形态,它的传播不再局限于一种方式,而是通过多种多样的方式传播,很多病毒都是集大成者,一个病毒就能完成RPC 攻击,管理员口令猜测,DDOS 攻击,信息窃取,木马驻留,共享攻击,停止防毒软件„„。而且一旦网络病毒爆发,它也不再仅仅是破坏正常文件,而常常是导致网络瘫痪、机密信息丢失,危害越来越严重。
作为全国重点大学—某大学,保证网络的畅通和涉密项目资料的安全是其最需要考虑的部分。经过与某大学校园网的管理者和用户的深入交流,并根据以上对其大规模复杂网络特点和安全现状的分析,安天专家与某大学相关领导一致认为,其信息系统的安全建设目标应集中为:
1、保证涉密节点的安全性
2、保证科研相关节点的稳定性
3、保证日常办公网络的畅通性
4、对于安全事件具有可追溯性
5、对于终端桌面实现集中管理
6、对于游离节点具有隔离能力
7、网络具有快速恢复能力。
网络安全脆弱点分析:
1、校园网与Internet 相连,在享受Internet 方便快捷的同时,也面临着遭遇攻击的风险。
2、校园网内部也存在很大的安全隐患。内部用户对网络的结构和应用模式都比较了解,来自内部的安全威胁甚至更大。
3、目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。网络服务器安装的操作系统常有不同级别安全风险的Windows NT/2000、UNIX 、Linux 等,如Windows NT/2000的普遍性和可操作性使它成为最不安全的系统:自身安全漏洞、浏览器的漏洞、IIS 的漏洞、病毒木马等。
4、随着校园内计算机应用的大范围普及,接入校园网的节点数日益增多,且没有采取安全防护措施,随时可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等后果。
5、内部用户对Internet 的非法访问威胁,如浏览黄色、暴力、反动等网站,以及由于下载文件可能将木马、蠕虫、病毒等程序带入校园内网; 内外网恶意用户可能利用利用一些工具对网络及服务器发起DoS/DDoS攻击等导致网络及服务瘫痪。
6、可能会因为校园网内管理人员以及师生的安全意识不强、管理制度不健全,带来校园网的威胁。
7、网络管理维护的困难。现在很多课堂教学逐步走向网络化,学生在线学习、娱乐时间增加。校园网网络大、业务多、故障问题定位复杂,管理难度增大。
8、网络业务容量及资源调配的困难。这包括如何有效合理地对教育网络带宽的调度和分配,满足教育网络多媒体教学和远程教学、图书馆访问系统、视频会议等应用。
9、网络安全、统计等运营问题。这表现在校园网缺乏用户认证、授权、计费体系,安全认证以IP 地址为主,存在有意和无意的攻击等。
(二)、危害校园网络安全的主要威胁
1、网络系统在稳定性和可扩充性方面存在各种各样的安全问题。计算机病毒利用操作系统的漏洞进行传染,如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染,由于设计的系统不规范、不合理以及缺乏安全性考虑,因而受到影响。
2、计算机病毒的破坏
计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,这是影响校园网络安全的主要因素。网络的发展也为计算机病毒的蔓延打开了方便之门,病毒无时无刻不在对网络的安全构成潜在的威胁,可能从任一节点潜入并蔓延至整个网络, 尤其是人们频繁使用的电子邮件如今更成为病毒栖身、散播的载体。
3、黑客攻击
黑客攻击早期主要进攻手段有:窃取口令、强力闯入、窃取额外特权、植入“特洛伊木马”等等。随着INTERNET 的发展,黑客的进攻手段从以系统为主的攻击转变到以网络为主的攻击,攻击手法包括:通过网络监听获取网上用户的帐号和密码;监听密钥分配过程;通过隐蔽通道进行非法活动;突破网络防火墙;黑客们灵活运用丰富的现成黑客工具进行攻击,入侵常用手法有端口监听、端口扫描、口令入侵等。
4、口令入侵
首先通过网络监听等方式非法获得合法用户的帐号、用户口令,再使用某些合法用户的帐号和口令登陆到目标主机,然后在实施攻击活动。
5、非正常途径访问或内部破坏
破坏数据的完整性, 即使用非法手段删除、修改、重发某些重要信息以干扰用户的正常使用。如在学校中有人为了报复而销毁或篡改人事档案记录、有学生通过非正常的手段获取习题的答案或在考前获得考试内容等使正常的教学练习失去意义等这些安全隐患都严重地破坏了学校的管理秩序。由于担心重要数据库和文件安全性问题,不得不与校园网络物理隔离,使得应用软件不能发挥真正的作用。
6、不良信息的传播
在校园网接入Internet 后,师生都可以通过校园网络在自己的电脑上进入Internet 。Internet 上如娱乐、游戏、暴力、色情、反动等有毒的信息违反了人类的道德标准和有关法律法规,对学生的身心健康危害非常大。
7、访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机,管理制度不健全,网络管理、维护任其,缺乏安全策略,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。 某大学大规模巨型网络安全解决思想
1、统一监控,有效响应
对于复杂巨系统网络,不可能像传统安全模型那样采用静态隔离法达到安全,其根本上是要达到一个动态的应用与安全的平衡。对于这种大型不可控网,首先要肯定病毒和其他安全威胁在的无法避免,因此,我们应该重点考虑以下几个方面:
(1)大规模病毒疫情爆发前能够做到预警
(2)大规模病毒已经爆发和其他安全事件产生后的准确定位。
(3)获得宏观层面观测, 网络上病毒疫情和安全全景视图的能力
(4)获得尽可能多的可控节点的数量
(5)获取对不可控节点的侦控和反映能力。
(6)快速有效的形成整体安全策略
二、校园网络安全管理
校园网络安全指利用网络管理控制技术措施,保证网络的数据机密性、完整性和可用性。目的是确保经网络传输的信息在传输过程中没有任何增加、改变、丢失或非法读取。但随着黑客攻击手法的改进,进一步暴露了网络的脆弱性。如针对网络服务器的拒绝服务式攻击等。现在网络安全管理范围进一步扩大,安全管理也相应地复杂了很多。不仅仅局限于网络建成后的保护措施,也涉及到了网络的设计。较好的网络设计应该保证网络有较好的弹性,能够在数据量很大的时候仍能保证较好的服务质量和稳定性。校园网络安全主要涉及到了以下几个方面:
1.数据安全:保证重要的数据和信息在传输过程中不丢失、被修改、被窃取。
2.结构安全:保障网络规划合理性,并随着使用过程中出现的问题不断调整和改进,保证网络有较好的弹性和服务质量。
3.信息过滤:阻止反动、黄色的信息在网络中传输。
4.访问安全:保护网络不被非法修改和恶意攻击。
5.软件系统安全:确保系统软件的安全,应使用防病毒技术、备份和恢复技术。
6.操作安全:建立规范管理和良好的管理制度,使各工作人员严格遵守规章制度。尽量防止内部工作人员的过失。
以上的分类只是从不同角度对网络安全作出说明,实际上它们是有交叉点的。
三、校园网络安全策略
安全策略包括严格的管理、先进的技术和相关的法律。安全策略决定采用何种方式和手段来保证网络系统的安全。即首先要清楚自己需要什么, 制定恰当的满足需求的策略方案, 然后才考虑技术上如何实施。
1、物理安全策略
保证计算机网络系统各种设备的物理安全是整个网络安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、web 服务器、打印机等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面: (1)环境安全。对系统所
在环境的安全保护, 确保计算机系统有一个良好的电磁兼容工作环境。(2)设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。
2、访问控制策略
访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。(1)入网访问控制。入网访问控制为网络访问提供了第一层访问控制, 它控制哪些用户能够登录到服务器并获取网络资源;控制准许用户入网的时间和准许他们在哪台工作站入网。(2) 网络的权限控制。网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源; 可以指定用户对这些文件、目录、设备能够执行哪些操作。(3)目录级安全控制。网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效, 用户还可进一步指定对目录下的子目录和文件的权限。(4) 属性安全控制。当用文件、目录和网络设备时, 网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。(5)网络服务器安全控制。网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块, 可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台, 以防止非法用户修改、删除重要信息或破坏数据; 可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。(6)网络监测和锁定控制。网络管理员应对网络实施监控, 服务器应记录用户对网络资源的访问, 对非法的网络访问, 服务器应以图形或文字或声音等形式报警, 以引起网络管理员的注意。如果不法之徒试图进入网络, 网络服务器应会自动记录企图尝试进入网络的次数, 如果非法访问的次数达到设定数值, 那么该账户将被自动锁定。(7)网络端口和节点的安全控制。端口是虚拟的“门户”, 信息通过它进入和驻留于计算机中, 网络中服务器的端口往往使用自动回呼设备、静默调制解调器加以保护, 并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户, 静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制, 用户必须携带证实身份的验证器。在对用户的身份进行验证之后, 才允许用户进入用户端。然后, 用户端和服务器端再进行相互验证。
3、防火墙控制策略
防火墙是近期发展起来的一种保护计算机网络安全的技术性措施, 它是一个用以阻止网络中的黑客访问某个机构网络的屏障。它是位于两个网络之间执行控制策略的系统, 用来限制外部非法用户访问内部网络资源,通过建立起来的相
应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入, 防止偷窃或起破坏作用的恶意攻击。
4、信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息, 保护网上传输的数据。网络加密常用的http://www.studa.cn/方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全; 端点加密是对源端用户到目的端用户的数据提供保护; 节点加密是对源节点到目的节点之间的传输链路提供保护。信息加密过程是由各种加密算法来具体实施。多数情况下, 信息加密是保证信息机密性的唯一方法。建立信息安全制度, 在硬件产品、技术力量、人员培训方面加大投入, 实施过程中采用预防控制的原则、全员参与原则、动态管理的原则、可持续性原则, 建立起具有自己网络安全特色的体系, 确保信息网络的安全。
5、网络入侵检测技术
网络入侵是入侵者试图破坏信息系统的完整性、机密性、可信性的任何网络活动,识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程,它不仅检测来自外部的入侵行为,同时也检测来自内部用户的未授权活动。入侵检测应用了以攻为守的策略,它所提供的数据不仅有可能用来发现合法用户滥用特权,还有可能在一定程度上提供追究入侵者法律责任的有效证据。
6、备份和镜像技术
用备份和镜像技术提高完整性。采用稳妥的系统保护技术,备份技术是最常用的提高数据完整性的措施,它是指对需要保护的数据在另一个地方制作一个备份,一旦失去原件还能使用数据备份。镜像技术是指两个设备执行完全相同的工作,若其中一个出现故障,另一个仍可以继续工作。
7、有害信息的过滤
对于校园网络,由于使用人群的特定性,必须要对网络的有害信息加以过滤,防止一些色情、暴力和反动信息危害学生的身心健康,必须采用一套完整的网络管理和信息过滤相结合的系统。实现对校园内电脑访问互联网进行有害信息过滤管理。
8、网络安全管理规范
网络安全技术的解决方案必须依赖安全管理规范的支持, 在网络安全中, 除采用技术措施之外, 加强网络的安全管理, 制定有关的规章制度, 建立严格的信息安全保障制度,制定完备的机房安全管理规章,定期监督检查校园网安全制度的落实情况。对于确保网络安全、可靠地运行将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围; 制订有关网络操作使用规程和人员出入机房管理制度; 制定网络系统的维护制度和应急措施等。
四、网络安全体系的探讨
我校现阶段为了保证网络工作顺通,从以下几个方面来实现网路安全管理,如增强网络安全意识、执行安全管理制度、公布网络安全信息、周期性网络维护,同时利用现有比较成熟的技术,如访问控制技术、密钥安全技术、数字签名及身份认证技术、病毒防范技术、防火墙技术、包过滤路由技术、动态口令技术、链路加密技术、数据备份及恢复技术、网络入侵检测技术等综合使用,进一步增强网络安全。
1、网络病毒的防范。在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的专业防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
2、配置防火墙。防火墙是网络安全的屏障,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet 上的不安全因素蔓延到局域网内部,是网络安全的重要一环。在防火墙设置上比如我们学校按照以下原则配置来提高网络安全性:(1)根据校园网安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP 数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对校园内部网不必要的、非法的访问。(2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP 包,防范源地址假冒和源路由类型的攻击; 过滤掉以非法IP 地址离开内部网络的IP 包,防止内部网络发起的对外攻击。(3)在防火墙上建立内网计算机的IP 地址和MAC 地址的对应表,防止IP 地址被盗用。
(4)在局域网的入口架设防火墙,并实现VPN 的功能,在校园网络入口处建立第一层的安全屏障,VPN 保证了管理员在家里或出差时能够安全接入数据中心。
(5)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。(6)允许通过配置网卡对防火墙设置,提高防火墙管理安全性。
3、采用入侵检测系统。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入
侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
4、Web ,Email ,BBS 的安全监测系统。在服务器中使用网络安全监测系统,实时跟踪、监视网络,截获Internet 网上传输的内容,并将其还原成完整的www 、Email 、FTP 应用等内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取相应措施。
5、漏洞扫描系统。了解网络中存在哪些安全隐患、脆弱点。对网络的复杂性,寻求能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
6、IP 盗用问题的解决。在路由器上捆绑IP 和MAC 地址。当某个IP 通过路由器访问Internet 时,路由器要检查发出这个IP 广播包的工作站的MAC 是否与路由器上的MAC 地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP 广播包的工作站返回一个警告信息。
7、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
总之,每一种安全机制都有一定的应用范围和应用环境。校园网络的安全问题,不仅是设备,技术的问题,更是管理的问题。对于校园网络的管理人员,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
但是他们都回避了一个问题,那就是对这些计算机上本身保存的数据如何处理。确实,对别人的计算机进行破坏这种损人不利已的事情对这大多数黑客来讲没有太大意思,不过他们都不会反对把“肉鸡”上的数据弄回来保存。这时黑客再说" 没有进行破坏" 是说不过去的,根据计算机安全的基本原则,当数据的" 完整性、可用性和机密性" 中任意三者之一在受到破坏的时候,都应视为安全受到了破坏。在被占领的计算机上可能会保存着用户信息、网络拓扑图、商业秘密、财务报表、军事情报和其他各类需要保密的数据,黑客获得这些数据(即使只是查看数据的内容而不下载)时正是破坏了保密性。在实际情 况中,很多商业间谍和政治间谍都是这一类,他们只是默默地拿走你的数据而绝不做任何的破坏,而且尽最大可能地掩盖自己行动的痕迹。这些黑客希望长时间大量地得到珍贵的数据而不被发觉,这其实是最可怕的一种攻击行为。
很多黑客会在“肉鸡”上安装FTP 软件或者开放FTP 服务,再下载其数据,但安装软件和开放服务这样的动作很容易在系统中的各类日志留下记录,有可能
被发现。而不希望被人发觉的黑客会自己建立一台FTP 服务器,让“肉鸡”做为客户端把自己的数据上传过来。
DNS 拒绝服务攻击原理同DrDoS 攻击相同,只是在这里被欺骗利用的不是一般的计算机,而是DNS 服务器。黑客通过向多个DNS 服务器发送大量的伪造的查询请求,查询请求数据包中的源IP 地址为被攻击主机的IP 地址,DNS 服务器将大量的查询结果发送给 被攻击主机,使被攻击主机所在的网络拥塞或不再对外提供服务。
鉴于上述需求,我们在网络出口处部署了全球首款骨干网络病毒监控设备V DS ,实现了高速、高效、实时的出口级检测,并能通过网络行为对未知病毒实现预判、预警。VDS 以旁路方式接入网络,不会影响网络速度,率先解决了现有安全设备不能在网络条件下进行高速准确检测病毒的全球性难题,是目前唯一能够应用于电信级骨干网络的病毒监控设备。
此外,提供VDS 客户端模块(L模块) 实现海量用户节点授权保护。L 模块系统包括病毒扫描查杀、病毒监控、主机防火墙、主机IDS 、安全配置优化,安全消息通告等环节。
2、分布防御
我们将某大学的重要数据区、各教学楼、重要办公区和多媒体教学区按不同的安全级别分成不同的安全区域,针对不同的安全区域的具体情况,采取不同的安全措施。最终使用安天主机保护系统(服务器版和工作站版) 和VDS(L模块) 实现了对各区域节点的有效管理。
图1:某大学校园网子网划分情况示意图
3、集中管理
为了对网内所有安全环节进行集中管理,安天在用户主交换机处接入安天安全管理中心(ASOC),采用专属硬件设备接入网络,管理员通过web 即可实现对系统的管理。ASOC 具有设备和节点管理、病毒库升级分发、终端系统网络状态监控和管理、病毒及网络事件统计、流量统计、全网分析报表等功能。
安全管理中心同时对VDS 和安天主机保护系统进行管理,实现安全策略和病毒库分发以及信息汇总。通过安天安全管理中心,网络管理员可以了解到网内计算机的当前状态,汇总各终端中的病毒疫情和安全态势,并且对网络上所有计算机进行统一升级,全面保护信息系统的高可用性,保障各支撑系统和业务系统高效、稳定的运行。从而做到有效的统一管理。
图2:校园网安全解决方案网络拓扑示意图
实施效果评估
经过实践论证,本方案在不改变原有网络结构和带宽的基础上实现了多种信息安全,保障了某大学内网络的安全,达到了以下几个目标:
1、VDS 提供了强大的实时检测功能,便于网络管理员第一时间了解网络中的病毒感染情况, 提供实时的病毒纪录,使得用户要求快速高效查毒杀毒的需求得以满足。
2、对网络数据以线速实时进行恶意代码特征匹配,全面监测各种蠕虫病毒、恶意代码与攻击行为,可发现未知病毒,并快速告警。
3、保护脆弱的服务,通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
4、可以检测蠕虫病毒的传输,还可以检测它们的扫描与攻击行为,并提供了多种形式的病毒排行榜,可以方便快捷地检测蠕虫病毒的各种行为。例如,在检出次数排行榜中又包括了扫描攻击排行榜、邮件蠕虫排行榜以及其他蠕虫和其他病毒排行榜等等。
5、提供集中的统一安全管理,管理员可以通过管理控制台对内部和外部用户指定统一的安全策略。
6、提供强大的安全日志记录和统计,管理员可以通过各种安全日志对网络进行实时监控和统计分析,及时发现网络的各种安全事件。