北京高校校园网络安全背景
北京某高校是为国家培养国家专业人才的专业院校。为了实现 “科教强国”、“走内涵式发展道路”的发展之路,该院面临的挑战是如何实现教学与管理的信息化。而计算机校园网可以说是目前发展信息技术的最基础的设施。因此,建设该院的校园网工程是信息化建设方面的紧迫任务,是学校可持续发展的重要保证之一。
总体建设目标
按照学院的需求,本系统应在技术上具有先进性,在设备选型方面具有适当的超前性和较强的可扩充性,保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性价比。系统应充分利用现有的通讯方式,实现最有效的信息沟通,采用开放式和具有可扩展性的结构方案,保证系统的不断扩充。
更为重要的是,随着安全系统的建成与开通,能够充分开发教育信息资源,开展相应的信息增值服务,为教育事业带来巨大的社会效益和经济效益;能够充分展现院校的窗口作用,提高整体工作水平和效率,树立学校新形象。
学院网络概述
该学院校园网络主要由计算机实验室、教学楼、学校信息资源服务器群、图书馆等网络组成。其中出口一方面连接CERNET,另一方面连接INTERNET;网络中心的核心交换由P550R交换机完成,后通过P333T级联来连接各个网络部分。另外,核心交换机P550R上的代理服务器主要提供学生在机房实验室内连接外部网络之用。
安全风险分析
根据该学院校园网络整体结构,参考国际标准化组织ISO开放系统互联(OSI)模型,我们将网络系统划分成五个层次,即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。
(一)物理层安全分析:在本方案中暂不做详述。
(二)网络层安全分析
1、网络边界的安全风险分析:该学院校园网络由教学区网络、计算机实验室网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制。但是由于已经配备的防火墙不支持TOPSEC联动体系,因此可能与需要配备IDS系统无法组成有效地联动,这一点的风险还是需要考虑的。
2、由于北京城市学院校园网络中大量的使用了网络设备,如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。
3、网络传输的安全风险分析:北京城市学院校园网络与其他院校的远程传输安全的威胁来自如下两个方面:A、内部业务数据明文传送带来的威胁;B、线路窃听。
(三)操作系统层的安全风险分析
系统级的安全风险分析主要针对北京城市学院校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。北京城市学院校园网络采用的操作系统(主要为Windows 2000 server/professional,Windows NT/Workstation,Windows ME,Windows 95/98、UNIX)本身在安全方面考虑较少,服务器、数据库的安全级别较低,存在一些安全隐患。同时病毒也是系统安全的主要威胁,所有这些都造成了系统安全的脆弱性。
(四)应用层安全风险分析
北京城市学院内部网络系统中主要存在以下安全风险:对业务系统的非法访问;用户提交的业务信息被监听或修改;用户对成功提交的业务进行事后抵赖;服务系统伪装,骗取用户口令。
(五)管理层的安全风险分析
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。因此,最可行的做法是管理制度和管理解决方案的结合。
该校园网络整体安全解决方案
(一)网络安全建设原则:该学院校园网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想:宏观上统一规划,同步开展,相互配套;在实现上分步实施,渐进获取;在具体设计中结构上一体化,标准化,平台化;安全保密功能上多级化,对信道适应多元化。
(二)网络安全建设目标:针对学院网络系统在实际运行中所面临的各种威胁,采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,确保学院网络系统安全可靠的运行。
(三)安全体系技术方案
1、网络级安全方案
从网络的高度构建一个安全平台,解决北京城市学院网络系统的边界安全、数据传输等安全问题,公用信道上敏感信息传输的安全保密问题以及网络入侵检测和预警系统的问题。
A、解决方案:网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制,采用安全检测手段防范非法用户的主动入侵。
在防火墙上通过设置安全策略增加对服务器的保护,同时必要时还可以启用防火墙的NAT功能隐藏网络拓扑结构,使用日志来对非法访问进行监控,使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。
B、产品实施:网络层通讯可以跨越路由器,因此攻击可以从远方发起。IP协议族各厂家实现的不完善,因此,在网络层发现的安全漏洞相对更多,如IP sweep, Sequence Insert, teardrop,sync-flood, IP spoofing攻击等。 防火墙是近年发展起来的重要安全技术,在学院网络系统中其主要作用是在网络边界处检查网络通讯,根据设定的安全规则,在保护内部网络安全的前提下,提供内外网络通讯。
防火墙实施拓扑图
C、天融信防火墙在该学院网络中的应用:
边界防火墙的配置:由于在该学院网络边界处已经配备的防火墙可能不支持TOPSEC联动协议,因此将此防火墙更换掉用于其他网络部分,如可以放置在9、10层计算机实验室的出口处用于保护学生上网时对教学区、图书馆网络的非法访问。根据网络具体流量情况,采用型号为NGFW4000,支持TOPSEC联动协议,标准配置三接口的防火墙,其最大并发连接数将近60万个,其中两个接口分别接外网和内网两个网段,第三个口可以作为预留。
内网保护服务器群防火墙的配置:而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键,因此必须在其级联的P333T交换机与核心交换机P550R处配备一台能够支持TOPSEC联动协议的、高性能天融信网络卫士防火墙4000系统,用于对内部服务器群的访问和联动保护。此处建议采用型号为NGFW4000-S标准配置三个接口的防火墙,其最大并发连接数达到60万个,一个接口接核心交换机,一个接口接级联交换机,另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。
原来边界防火墙的再利用:由于原来的边界防火墙不支持TOPSEC联动协议,把它替换后可以将其放置在9、10层的计算机实验室网络的出口处,用于保护其对教学网和图书馆网络系统的访问控制。
D、天融信网络卫士4000防火墙特点:
? 防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上,基于对网络安全的深刻理解,融合网络科技的最新成果,独创了系列安全构架和实现技术,经过多年的研究和近两年的开发所完成的最新一代防火墙产品。
? 应能够配置成分布式和集中统一管理,由防火墙管理代理程序和管理器组成。
? 管理安全、方便灵活,防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,每一个管理结构元素包含了丰富的控制元和控制模型。对所有管理加密(支持SSL和SSH),并进行严格的审计,实现了真正的安全远程管理。同时,可以支持SNMP与当前通用的网络管理平台兼容,如HP Openview、Cisco works等,方便管理和维护。
? 提供面向对象的服务模板功能,可以方便的定制过滤规则。
? 支持双向地址路由功能,带宽管理功能,流量控制功能
? 确保只允许符合网络安全策略的网络访问和网络服务,进出北京城市学院网络系统,或进入相应安全域隔离带。
? 防火墙能够支持HTTP、FTP、TELNET、SMTP、NOTES、Oracle数据库、Sybase数据库、SQL数据库等主流应用。当然,对不同的控制点,对防火墙的要求会不完全一样。
? 有效地反映网络攻击,保证北京城市学院网络系统及其业务的可用性、可靠性。
? 要适合北京城市学院网络系统的网络接入模式、接口规范、带宽要求,防火墙不能成为网络或业务的瓶颈。
? 防火墙要符合国家相关标准和规范,包括GB/T18019、GB/T18020等。
? 防火墙要具有很高的可靠性,不会降低北京城市学院网络系统现有的可靠性。
? 深层日志及灵活、强大审计分析功能,提供丰富的日志信息,用户可根据特定的需要进行日志选项(不做日志、通信日志(即传统的日志)、应用层协议日志、应用层内容日志)。独创的网络实时监测信息,可详细审计命令级操作,便于入侵行为的分析和追踪。大大提高防火墙的审计分析的有效性。
? 更好地支持业界公认的TOPSEC协议,防火墙应具有联动功能,能够实现与入侵检测设备的通讯。
? 采用独创的最新最先进核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能。
2、安全管理建议
A、 在安全组织建设上:
实施安全应管理先行,安全组织体系的建设势在必行。应在学校建立网络安全建设领导委员会,该委员会应由一个主管领导,网络管理员,安全操作员等人员组成。主管领导应领导安全体系的建设实施,在安全实施过程中取得相关部门的配合。网络管理员应具有丰富的网络知识和实际经验,熟悉本地网络结构,能够制定技术实施策略。安全操作员负责安全系统的具体实施。
另外,在学校网络中心应建立安全专家小组,负责安全问题的重大决策。
B、在网络安全管理手段上:
随着该校园网络安全建设的实施,对于性能卓越、操作简单、应用灵活的管理工具便成为网络安全基础设施的重要组成部分。天融信公司的Topsec Manager安全管理平台不仅能够对校园网络系统的路由器、交换机进行网络管理,而且还能够对网络中心的网络安全设备,如防火墙、加密机、入侵检测系统、网络安全扫描等进行管理。这样,通过使用一种网络安全管理平台,将网络中所有的网络设备和安全设备完全地联系起来,真正地建立起一个完整的、安全的、高效的管理平台。
Topsec Manager安全管理平台主要包含了网络构成管理、网络故障管理、网络性能管理、网络安全管理和网络自动化管理等五大主要功能。
Topsec Manager可按预定的管理策略和时间表自行启动或终止管理功能,同时支持基于经验的过程预置,对常规网络事务进行自动锁定、自动恢复及策略化服务,从而大大减轻了管理员的负担,并提高了管理的效率。
网络安全管理平台实施拓扑图见下图:
网络安全管理平台实施拓扑图
总之,Topsec Manager能够满足您对网络安全集中管理的基本需求,因为它提供对网络结构的可视化管理;支持多厂商、多品种的网络设备;对网络故障能够瞬间感知;对网管策略可以预先设定与自动实施;对跨地域的网络能够集中控制和管理;保证网络连续可靠地工作。