1 概述
随着我国对计算机网络的建设投入了大量的人力和物力,在短短的几年中,已经从最初仅仅局限在教育科研单位的网络,迅速发展到今天遍及全国的包括教育、科研、商业、民用各个方面的数个大型网络,如Chinanet(中国邮电网)、Cernet(中国教育网)、Gbnet(金桥网络)等等。目前在网络上提供有价值、有吸引力的信息,对一个单位或学校树立自己的形象,提高自己的知名度,以及开拓和国际上其他学校、组织的联系和往来能够起到很显著的作用。
随着网络的普及,网络的安全问题也越来越引起人们的重视。网络攻击,网络窃取,非法访问等时有发生,政府机关,学校及一些企事业单位对网络的安全要求也日益迫切,在此方面的投入也越来越大。
针对大专院校对网络信息安全的需求,网驰安胜校园网信息安全整体解决方案提供了全面的设计。主要解决下列问题:
对内的保密信息不能外泄
约束监督内部Internet浏览行为
发现问题的后续处理(包括证据的保存)
及时发现外部网络入侵行为,并可获取相应的解决办法
网络访问控制
防病毒
2 方案设计
网驰安胜校园网信息安全方案主要考虑安全对象和安全机制。安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治等。整体解决方案包括网络信息保密检查、入侵检测、访问控制、病毒防范、网络治理等方面。
安胜检查王—网络信息保密检查系统
利用安胜检查王对Internet网上出口点流出的信息自动地进行截获和检查,提供安全检查的策略设置界面,按已设置的策略对信息进行分析和处理,提供多种截获信息的查看和报表形式。提供对MAIL、HTTP、FTP等协议的报文重组和信息还原,方便治理者对信息的治理,同时有效地跟踪追查网络的攻击、破坏、涉密、资源滥用等违法行为。
系统采用前端监测数据、后台数据分析处理的模式。前端系统负责监测ip协议数据包,将所有的数据包截获下来,并以文件的形式保存;后台系统则以指定形式和设定的检测规则来分析、组合前台系统所记载的数据包,并还原成可直接查看的原始数据。
系统类似银行中的摄像机功能,它会记录网络用户的电子邮件发送、网站访问、FTP文件传输等具体操作和内容。此系统有利于网络安全事件的事后分析,同时可担当网络内容检查员,发现互联网上的邪教、色情和暴力等不良网络地址,以便网络治理员制定截堵信息内容过滤策略。系统用来检查用户以电子邮件、FTP文件和网页传递的文件内容,记录可能发生了网络泄密事件,并保存有关文件传递具体信息,以便追查网络涉密事件时使用。
系统以服务器/浏览器方式运作, 服务器连接于网络的出口点, 采集网中的数据,浏览器放在与服务器连接的局域网中,也可放置在远程网中,通过用户界面进行检查工作。设备配置方式灵活,可以有多台浏览器同时进行工作,最简单硬件配置时,可以只用一台设备,兼作采集和浏览。
该系统可以实现下列功能:
(1)网络信息采集:根据IP地址、域名和邮件地址等采集规则,从网络上获取电子邮件,网页内容和FTP文件等网络信息。
(2)网络信息分析处理:识别采集到的网络信息的文件格式、判定压缩类型,并进行全文检索处理,产生要害记录数据结果库。
(3)要害词库治理:以主题的方式来组织治理要害词,用户根据实际需要来配置相应的主题词和要害字。如设置政治、经济、军事等主题词,然后在相应的主题词内配置相应的要害字,同时也可对要害字进行增加、删除、修改等操作。
(4)HTTP监视:对指定IP地址或IP段进行监视,能根据设定的监测规则对数据进行检查,记录客户浏览时的各种文件,如Html文件、图像文件等,为治理用户提供强有力的控制证据。
(5)FTP监视:能完成对指定IP地址或IP段进行监视,根据设定的监测规则对数据进行检查,记录访问服务上FTP用户名、口令字,记录用户在服务器上的操作,如记录用户所PUT和GET的文件内容,记录客户IP地址和服务器地址。
(6)SMTP监视:对特定用户所发出的信件进行监视,指定IP地址或IP段进行监视,根据设定的监测规则对数据进行检查,记载邮件发送时间,原IP地址、发信人邮件地址和收信人邮件地址等。同时系统支持多种邮件编码格式。
(7)检查结果查阅与浏览:用户可以按时间、可疑级别、要害字和地址等方式来查阅电子邮件、网页内容、FTP文件等检查结果。
(8)检查结果统计分析:按IP地址、可疑级别和涉密次数等方式来统计保密检查结果。
(9)检查结果数据备份:用户可从浏览器客户端将检查服务器端的数据进行数据备份,方便日后审计查阅。
(10)系统安全访问控制:系统内置防火墙功能,实现IP地址、端口等网络访问控制模式。系统的操作使用基于角色的授权和治理机制,并以口令方式实现应用级访问控制。数据采集网络接口与检查结果访问网络接口分离,防止攻击者远程攻击。
(11)检查对象控制:系统可灵活的控制哪些网络/IP地址被监视检查,哪些网络/IP地址不能被监视检查。
入侵检测—安胜入侵检测系统(ERCIST-IDS)
安胜网络入侵检测系统(ERCIST-IDS)实时采集网络数据流,使用误用检测模型,分析网络活动中的安全隐患,保护网络和网络中的主机免受攻击。
为准确、及时地检测网络入侵,最大限度地保护网络系统,ERCIST-IDS采用三级架构:治理中心(Console)、数据治理器(Data manager)、网络系统嗅探器(Sensor)。
治理中心:系统的总控中心,治理整个系统的配置、运行。负责制定安全策略,显示网络系统运行状况,是系统的人机交互接口。
数据治理器:负责治理安全事件数据。利用数据库存放大量的网络安全事件数据,便于数据挖掘分析、生成安全报告,帮助网络系统安全治理员了解网络安全状况。
网络系统嗅探器:实时采集所在网段的数据流,依据安全策略分析网络系统运行状况,一旦发现网络入侵,及时采取应对措施,阻止入侵行为,保护网络系统安全。
ERCIST-IDS治理中心运行在Windows平台上;数据治理器运行在Windows平台上;网络系统嗅探器运行在linux平台上或Windows平台上,也可以黑盒子形式提供给用户。三者可以运行在一台主机上,也可以单独运行在各自的主机上,用户可以根据网络流量和网络资源进行权衡。
入侵检测系统可以实现如下功能特点:
(1)实时网络系统监控:ERCIST-IDS实时采集网络数据,能够及时报告网络中的入侵行为。
(2)采用Libpcap捕捉数据链路层的分组:ERCIST-IDS底层数据包捕捉模块采用通用的Libpcap库,因而具有Libpcap的优势。
(3)网络数据重组:ERCIST-IDS具有分片重组的功能,能够检测故意利用小分片逃避安全检测的入侵模式。
(4)基于网络状态的跟踪分析:ERCIST-IDS为了减少误报率,能够采用基于网络连接状态的方法进行判定,而不是根据单个的报文进行判定。
(5)自定义安全规则:用户可以使用系统提供的规则配置接口,定制符合本单位网络特点的安全策略。用户可以指定对哪些地址、地址范围、应用、行为进行监控,对哪些网络活动可以忽略等。使用自定义安全规则,用户可以较好地利用该系统,使该系统发挥最大的效能。
(6)多种协议解码:ERCIST-IDS可以对多种协议解码,分析多种网络应用,包括IP、ICMP、TCP、UDP、FTP、TELNET、HTTP、SMTP、NETBIOS、NNTP、IMAP、POP、SNMP、RPC等等。
(7)阻断网络连接:ERCIST-IDS可以使用多种灵活的方式阻断非法的网络连接。
(8)易于扩展:ERCIST-IDS在设计实现时采用三级结构,利于系统的扩展。
(9)内容丰富的入侵模式库:ERCIST-IDS内置拥有一千多条入侵特征码的模式库,可以及时方便地升级。
(10)良好的自身安全性:ERCIST-IDS具有良好的自身安全性。这体现在:一、只有被授权的用户才可以运行系统。二、各个部件间的通信是经过加密认证的,使通信不被破坏,通信的双方不可仿冒。
(11)通信加密机制:为保障系统自身的安全性,各个部件之间的通信采用了AES加密算法。
(12)数据传输稳定:由于采用成熟的中间件产品,传输治理方便。同时,消息中间件与数据集成中间件技术的综合应用提高了数据的可靠传输。
(13)数据处理灵活:提供了数据预处理和后处理接口,满足对采集数据处理灵活性的要求。
访问控制--绿色校园网系统
绿色防校园网火墙是治理和控制上网内容的,她采用网页内容识别和分级技术,可以把网站进行分类,并过滤和禁止有害的网络信息,校园网治理人员只要在电脑前简单设置就能治理和控制学生上网情况,极大地提高了网络治理的水平,解决了学校网络治理的难题。
该系统的主要功能包括:
(1)强大的过滤功能:采用国际先进水平的具有自主知识产权的信息过滤技术,使有害信息的过滤有效率高达96%。能够拒绝网络黑名单,拒绝暴力、色情、反动站点,根据IP地址过滤(不是简单的URL过滤)。支持页面的要害词过滤。支持用户名过滤,拒绝以及限制内容上载。支持PICS国际图象分级标签系统,可以根据 MIME 类型 和文件扩展过滤. 采用快速算法进行要害词匹配。
(2)丰富的信息分类和内容监视及审计:将需要限制访问的信息分类为不良信息(包括色情、暴力、邪教、赌博等)、新闻信息、娱乐信息(包括网上游戏)、财经信息(包括炒股)等共十几大类200多万个站点,由治理员根据具体情况对各类信息选择禁止或开放访问。还可以对限制信息进行定制,增加或删除信息内容,以便更灵活有效地进行治理,并对信息内容进行监视及审计。
(3)用户自定义信息:由于互联网上信息包罗万象,对不良信息定义的标准又各不相同,所以本系统不可能满足所有用户的不同要求,对本系统不包含或分类与用户要求不同的网页,学校可自行定义黑(有害)白(有益)网页,增加答应或禁止访问的网页,本系统对自定义的网页进行优先处理。
(4)系统自动修复:本系统在意外损坏或人为故意破坏时,系统会自动恢复上次完好的备份,以保证系统能顺利运行,此功能可防止用户将网络电脑上的文件删除而造成不可过滤的漏洞
(5)数据库及时更新升级:由于互联网上天天都有新的信息增加,为保证过滤系统的准确性,本系统会定时自动通过互联网从中科安胜公司系统服务器下载最新数据,确保过滤系统的及时有效性。数据更新可选择自动或手动。
绿色校园网HA-100C服务器是为符合电信通讯标准设计的19”上架式1U(65mm)高超薄机型。(可根据用户需求设计)机箱内前后装有冷却过滤风扇,可以承受工业现场的冲击、振动、粉尘以及高温。
防病毒—诺顿防病毒系统
诺顿防病毒能够自动扫描往来邮件及其附件中的病毒,确保您的电脑不会被带有病毒的邮件感染;诺顿防病毒还可以侦测并清除即时消息及其附件中的病毒,保证您上网聊天时的安全;另外,不论您是从互连网上下载文档,还是通过文件服务器、软盘,移动硬盘,CD等设备来源接受文档,诺顿防病毒均会扫描,严守任何可能的感染途径,绝不让病毒有可乘之机。
诺顿防病毒可以在背景中自动运行查找并清除病毒,不会干扰您使用电脑正常工作。假如碰到无法被修复的被感染文件,诺顿防病毒会将被感染的文件隔离以防病毒传播,并将其上传到赛门铁克安全响应中心交由专家处理。
独家的”程序型病毒拦截技术”( Script Blocking )和”蠕虫拦截技术” ( Worm Block ),不需要事先得到病毒定义码,即可拦截具有病毒特征的可疑程序,突破了同类产品只能通过比对病毒定义码才能防病毒的局限性,符合防病毒产品以”防御为主”的原则。
赛门铁克安全响应中心是国际上公认的权威病毒研究及响应机构,拥有300多名网络安全专家,7X24小时监控全球网络,通过LiveUpdate连网及自动更新的技术为用户实时更新最新的病毒定义和病毒搜索引擎,保证用户的电脑系统时刻处于最佳防御状态。
网管系统—Unicenter NSM(CA)
网络和系统治理的目的是建立一套完整的网络和系统故障监控和性能分析方案。根据需求分析,我们建议利用Unicenter NSM及其选件产品来实现网络的治理。包括系统治理框架、监控视图的设计、监控视图的更新――故障数据的集中和处理、故障数据的采集、高级网络治理操作、网络性能管、操作系统性能治理等方面。
3 方案特点与应用
网驰安胜校园网信息安全解决方案在分析了一般的网络结构、安全风险、安全目标和安全原则等条件的基础上,结合丰富的应用案例以及网驰安胜网络安全系列产品,给出了校园网信息安全总体解决方案,在实际应用中,可对本方案进一步细化和准确化,给用户一个切实可行的实施方案。
目前,该方案已成功应用于中国农业大学、中国人民公安大学等单位。