石家庄市第二职业中专是一所以计算机为主要专业的国办专业学校,校内的网络专业在河北中职学校中具有很强实力。笔者是网络专业的负责人,经过近10年的网络教学和实践,对计算机专业尤其是拥有网络专业的学校的校园网的安全有自己的一些思考和实践。
学校校园网系统的具体情况是:
● 就以往的安全治理来看,以整体防御确保每一台计算机的安全对于学校来说只存在理论的可能性,实践起来较为困难;
● 学校只有一个专职网管人员而且脱离教学任务,对实际情况把握的不是很熟悉。只能完成网管中心的局部安全;
● 就功能而言,学校的计算机网络可分为4大类型:教师集中办公的微机网络、学生上机的微机网络、网管中心网络、学校职能部门例如档案室、会计室、校长室、试卷库等部门网络;
● 学校了解网络安全的专业教师非常多,而且专业各有特长;
● 网络安全课程必须开设,内部攻击不能从制度上禁止。
分区防守,增强“壁垒”
根据以上具体情况结合网络安全问题我们得出了以下的分析结果:
1、靠网管一个人实现整个网络的安全是不可能的。
2、四个不同功能的网络对网络安全的要求是不同的。教师网络因为权限较大所以主动染毒性非常强,但是由教师网络发起的对校园网络的内部攻击非常少。网管中心的网络非常重要但是相对安全。学生气房由于纪律的约束,主动染毒性不存在,但是针对网络的内部攻击次数非常多。学校职能部门网络由于涉及到学校的重要信息以及相关考试的信息,所以对网络安全要求非常高。
3、假如仍然采用习惯的整体防御,会出现一个区域网络安全出了问题导致其他功能区域全部出现问题。
针对学校的具体情况和网络安全问题的分析,我们制定了分区域防守与增强网段“壁垒”的总体安全策略。具体策略如下:
1、 由专业教师包括网管在内组成网络安全小组负责校园网络安全。小组成员根据专业方向的不同负责对威胁网络安全因素的具体防守,从人员方面加强力量。
2、 针对功能不同的网络,例如教师网络、学生网络等进行网络分段,分区域进行防守,不同区域根据安全问题的不同侧重采取相应的网段安全策略。
3、 整个网络安全体系由主防火墙和子防火墙一起构成。主防火墙由网管负责,进行网络整体防守。子防火墙由专业老师具体负责,配置到具体网段进行区域防守。
4、 不同的区域就是网段配置不同的五大安全部件,在防火墙、防毒墙、身份验证、传输加密、IDS/ipS几个方面区别配置来适应不同区域的具体要求。
以上就是分区域防守思想,我们在具体实施之后发现网络安全有以下几点可喜的变化:
1、校园整体网络安全有所提高,不同区域的网络安全由具体人负责,责任到人,相关网络安全问题可以快速解决。
2、因为专业人员的方向不同,负责不同区域的防守个人的专业特长有所体现,处理问题得心应手。
3、在出现安全问题时可以轻松做到尽量减少损失。在损失掉一个区域之后其他区域仍有很强的安全性,以往整个网络同时出现一种安全问题的现象基本杜绝。
4、成立了安全委员会后,负责不同防守任务的人员互通情况相互促进学校安全人员的技能和素质有很大的提高。
但是,简单的靠IP分段会存在许多功能问题。而且由于IP的人为可设置性使得网络存在很大的安全隐患。所以在此基础上学校更换了主交换机和子交换机。使用了主三层交换设备和可配置VLAN的子交换设备和高性能路由器。这样使得我们的分网段实施“壁垒”的思想可以更方便地实现。分网段实施“壁垒”的思想是分区域防守的有利保证,从硬件方面增强了分区域防守的力度。
分网段增强网段“壁垒”的思想较为简单,为了让大家更好理解,在此作简单的阐述。
1、把原来的按地理情况分网段改按功能分网段,在设备的支持下改以物理连接控制为逻辑连接控制。
2、利用设备所能提供的三层交换和VLAN功能加强防火墙实力。
3、改IDS为IPS从根本上可以预防攻击的来临,同时启用设备自带的安全功能加强安全防护。
寻求主动优势
以上就是分网段加强壁垒的思想。在人员得到锻炼从而增强自身技术实力和硬件设备得到加强的基础上,我们对学校校园网的安全做了更大胆的改进。我们变被动防守为主动防守,在相关法律的答应下学校做了大量尝试。
首先,学校建立了自由网络攻击区域对学生们开放,学生可以自由对此区域的机器发起攻击,使得学生们有了攻击的目标。既锻炼了学生们的攻防能力又减少了校园网的内部攻击,一举两得。
其次,学校建立了诱攻区,转移来自外网对学校主服务器的攻击方向。通过改变主服务器的配置,使得来自网外针对服务器的攻击转入诱攻区。而且学校在诱攻区内实施了网络陷阱等多种安全设置使得攻击者徒劳无功,保护了主服务器的安全。
再次,学校对相关服务器提供的服务都实施了虚拟化,使得即使虚拟机被攻陷,主要数据和服务仍然可以很快得以恢复。
同时,学校培养了攻击捕捉手,针对攻击展开了针锋相对的网络捕捉。这样学校对违法攻击就可以追查到具体的攻击IP,为学校从法律角度维护网络安全提供事实依据。
学校还建立了补丁服务器,对所有软件的补丁统一治理,对各区域的机器统一升级,使全校计算机针对各种漏洞的补丁达到了最快速度的处理。全范围的实现防止漏洞攻击,解决了补丁升级不一致导致的安全问题。
在经过以上3个阶段的网络安全策略实施之后,我们经过近一年的实践和数据统计发现整体网络安全有了本质的提高。大范围的网络安全事故基本没有出现,相关攻击大大减少(具体统计数字见下表)。
期待更进一步
我们在实验过程中也发现了相关的问题:
1、由于防火墙的设置导致不同区域网络互访速度下降。
2、由于主防火墙和子防火墙在安全策略上的设置问题导致有些区域的有关网络功能实施困难。
3、由于负责安全的人员比较多,增加了网络安全的密码风险。
针对以上三个问题我们做了相应的改进。速度和安全很难兼顾,所以只有通过更新设备、增大容量来从本质上提高速度。针对主防火墙和子防火墙策略冲突问题,采取了由紧到松的逐步放开的策略,即先关闭相应功能,然后根据具体区域的网络需求经过配置实践后再逐一打开相关功能。这样教师微机网络的网络游戏问题也得到了一定控制。针对密码风险的问题,加强了人员思想培训和密码分发更新制度,基本解决了无意泄密的问题。