摘要:本论文的研究是以北京理工大学珠海学院(以下简称珠海学院)校园网络建设、发展的实际情况作为基础,是珠海学院4年来校园网络问题的一个整体解决方案,本论文所提出的安全管理体系是整体安全解决方案的一种理论概括。珠海学院的校园网络安全防范方面,不是简单的技术堆叠,是创造性地应用了ACL、防火墙、IDS、流量管理、入侵检测、漏洞扫描等技术手段。全网的安全措施设计自用户端延伸到互联网出口,在用户数据流的各个环节中都应用了安全防范措施。在实际运行中,非常有效的控制了网络中主要的安全问题,网络相当稳定。
本论文最终建立了适应独立学院网络安全管理的体系模型及应用模式,为校园网络中所存在的严重安全问题提出一种思路及解决办法。
关键词:校园网 网络安全 管理体系
Abstract:The research in this thesis is based on the data from the campus network in Zhuhai Campus of Beijing Institute of Technology, which is abbreviated to ZC below. It is a total resolution to all sorts of problems in ZC during last 4 years. The safety management system is a theoretical summary to the total resolution, which is not a simple stacking technology, but the integration of the technology, such as ACL, firework, IDS, Traffic management, intrusion detection and vulnerability scanning. Network-wide security measures are designed from the client to export to the Internet, and safety precautions are applied to every aspect of the user data streams. In actual operation, the main security problems of the networks are controlled effectively, and the network is very stable.
eventually a system model and an application model are established adapting to the safety management for the campus network of colleges and universities. Solutions to the serious security issues of campus network are put forward.
Key Words:campus network、Network Security、management system
上述三个系统在应用中,基本搭建起学校的整个电子资源,其中校务管理系统最为重要,此系统一但瘫痪意味着学校将基本停止正常运行。然而随着互联网技术的发展,黑客的攻击手段日益先进。单一的技术手段无法保证系统的安全运行,只有在安全策略的指导下,建立互动的安全防范体系,才能最终保证网络的安全,保证系统稳定运行。
构建网络安全管理体系模型
一般而言,各学校目前普遍采用PDRR模型来构建安全防御体系。PDRR模型属于动态信息安全理论的模型,PDRR是4个英文单词的头字符:Protection(防护)、Detection(检测)、Response(响应)、Recovery(恢复)。这四个部分构成了一个动态的信息安全周期,如图:
该模型更多的强调通过防火墙、IDS以及VPN等技术来解决校园网络中存在的安全问题,重点在于安全应用技术,同时没有形成体系和防御层次,并忽视了两个重要的安全因素,安全管理与大流量数据拥堵造成的网络安全问题。
为能够更加有效的保证网络及各类应用的安全运行,安全管理体系的设计应突出网络安全的整个流程,从用户的发起端到校园网络的INTERNET出口,在数据流传输的各个环节进行了分布式的安全防范,同时辅以入侵检测、漏洞扫描、流量管理的多种技术手段,加以监控并降低设备不必要的运行压力,保证网络系统稳定运行。在各个环节中,以策略为中心的安全模型可以更充分的发挥模型的各项功能。以安全策略为中心的轮形安全模型,可以从安全、监测、测试、调优、流控五个部分对我们的安全架构进行不断的完善,使其成为一个自防御体系,能够快速、有效、可靠、全面的发现各种系统遭受的攻击,并实现有效的防范,以确保系统的稳定运行。
在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了高效校园网络安全管理体系。
针对于上述的安全架构,在具体的应用中,安全体系架构包含二个模块:分别为校园互联网接入模块、校园园区网模块,二个安全构件组成信息系统的安全架构。这种结构划的设计,有利于在不同的网络功能模块之间更好的划分安全防范的重点,并具有良好的扩展型,允许在今后的网络安全规划中,以一种层次的关系来分发安全策略。
安全模块的设计特点
校园INTERNET接入模块
校园INTERNET接入模块主要是预防INTERNET攻击的第一道门户,是防范INTERNET上黑客攻击的最主要屏障。因此,它的设计思想是以最少的策略,实现最严格的限制与最少的漏洞,同时保证最快的转发速度。
校园园区网模块
校园园区网是内部网的核心,保护着包括内网用户、重要服务器的安全。园区网由一台防火墙、两台互为冗余的主干交换机、内部应用服务器与楼层交换机、IDS模块组成。在防火墙上根据用户、服务进行详细的分类,并针对每一个服务访问做到具体的策略应用,园区网上防火墙的安全配置要求对每个访问做到具体、全面、严格的限制,为每个用户都划分了访问的具体范围,它作为安全防护的中心。
安全架构的检测
完成基本架构的搭建,为了保证各项安全措施能够满足防御要求,采用了多种方式进行系统的模拟安全检测。
(1) 使用两种漏洞扫描软件对系统进行测试,SYMANTEC NETSTAT、及SSS软件进行比较安全测试;
(2) 在防火墙的不同位置,TRUST、UNTRUST、DMZ、DMZ1等区域对包括网络设备、主机系统进行了模拟攻击;
在一个完整的校园安全管理体系中,各个部分之间的分工清晰,相互协作,在具体应用中可以很好的应用在实际的管理模块上。这种方式将简单、高效的布置校园网络的安全,为校园网络的运行及信息化建设奠定良好的安全基础。
北京理工大学珠海学院校园网安全管理体系部署
北京理工大学珠海学院(以下简称珠海学院)自2004年建校以来,珠海学院已拥有在校生15000人,校园网络经历了6年的建设,信息点已达20000个,建成了内网骨干带宽为20G,珠海学院外网带宽600M,校内包括教务系统、网络教学平台、一卡通系统等各类应用已达40个,网络用户已达12500人左右。
安全策略
珠海学院各应用服务器大部分采用WINDOWS 2003,部分采用WINDOWS 2008,数据库服务器采用LINUX操作系统,使用的应用软件主要包括:ORACLE、SQL SERVER、MY SQL、APACHE、IIS等,网络情况、应用环境十分复杂。针对上述问题,在建网初期,即制定了相应的安全管理近期与长期目标。安全体系的近期目标是实现完善的安全审计和取证机制,保证受到入侵后有证可查。鉴于大多数安全事件来自于管理员的误操作,审计在明确事故责任上也能发挥重大作用。长期目标是建立安全预警系统,能够抵御较高水平的黑客攻击。
分布式安全防范措施
分布式防范措施是从用户端到INTERNET出口之间进行层层设防,部署不同的安全技术和措施,从技术方面杜绝出现安全问题的举措。在珠海学院的网络上,我们采取了下列措施:
(1)限定网络用户的不同vlan。(2)实行802.1x的认证协议。(3)网络用户安全管理。(4)网络用户隔离。(5)网间设备数据传输安全。(6)交换机ip与用户ip分别管理。
(7)防止木马的管理方式。(8)设置应用的不同安全等级。(9)服务器的安全管理。
(10)VPN访问。(11)系统恢复。
漏洞扫描
珠海学院在漏洞扫描工具上采用的是俄罗斯Shadow Security Scanner软件,在安全扫描市场中享有速度最快,功效最好的盛名,其功能远远超过了其它众多的扫描分析工具。SSS 可以对很大范围内的系统漏洞进行安全、高效、可靠的安全检测,对系统全部扫面之后,SSS可以对收集的信息进行分析,发现系统设置中容易被攻击的地方和可能的错误,得出对发现问题的可能的解决方法。
在珠海学院的网络管理中,定期对各个主要的交换机、服务器进行安全扫描,以为下一步的安全管理提供依据。
入侵检测
珠海学院的入侵检测系统布置,分为两个层次,首先为NIDS,主要启用防火墙的IDS模块功能;
另外,启用HIDS功能及在服务器上安装个人防火墙设置,珠海学院采用的是MICROSOFT ISA2004。
为了检测有害的入侵者,ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。
流量管理
由于P2P技术的广泛应用,目前大多数网络用户都采用P2P技术的网络工具进行诸如下载、视频、听歌等服务,如迅雷、QQ直播、酷狗等,这些软件的优点是充分利用互联网络,为用户提供丰富的资源。应该说P2P技术的快速发展带动了互联网络的快速发展,让用户能够更加便捷的使用互联网上的资源。
但P2P技术对于网络管理与运营来说是一种严重的挑战,一方面P2P技术过于贪婪,最大化的利用网络带宽进行下载。在珠海学院建网初期,申请的100M互联网带宽在没有任何限制的情况下,仅有120多用户就占满了所有的下行带宽,对校园网络运营影响极大(带宽租用价格较贵)。而且下载的很多资源内包含有大量的木马、病毒程序,对网络的安全运行造成了极大的影响。在珠海学院校园网络运行初期,很多问题是围绕着带宽、速度产生的。P2P应用软件的广发使用对校园网络设备带来了极大的压力,根本无从保证校园网络的稳定运行和安全管理。
经过不断的摸索,珠海学院在控制P2P应用中重点采用了三种措施:
(1)限制用户的带宽:对于单个用户ip,通过防火墙对用户进行带宽管理,为每个用户保证一条相对固定的通道,而不去影响其它用户的上网;
(2)限制用户的连接数:每个服务都是通过TCP或者UDP进行的数据通信,通过防火墙对单个用户ip进行连接数的限制,从而限制诸如迅雷、p2p等贪婪占用通道的工具,以保证网络线路的通畅;
(3)限制或封闭P2P协议的总带宽:P2P协议之所以难以管理,主要是由于这种技术在使用过程中的服务端口可以随机的变化,管理者根本无法确定服务的端口号,也就无法通过传统的设备进行限制和禁止。但任何协议都有自己的特征码,我们通过技术手段对P2P协议的特征进行匹配从而控制这种协议的软件。但考虑到这种软件应用的广泛性,仅对这种软件限制总体流量而并不完全封闭。
安全管理
安全管理贯穿于安全防范体系的始终。实践一再告诉人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。实现安全管理必须遵循可操作、全局性、动态性、管理与技术的有机结合、责权分明、分权制约及安全管理的制度化等原则。
2004年珠海学院校园网络建立后,我们形成了初步的安全管理制度,但在运行过程中,发现存在有很多的问题。校园网络建立初期,设立网管负责全校的校园网络管理、设立了系统管理员负责全校的应用服务器管理,但实际上虽然人员角色明确,但人员任务并不明确。比如,网管人员管理所有的网络设备,但具体的学生用户上网情况并不是十分了解,对存在的问题不是非常清晰。而作为系统管理员并不十分清楚服务器所安装的具体应用软件要求,往往是由应用管理人员对系统进行维护,但又经常忽视系统的安全性。
针对上述问题,我们制定了以业务为主导的管理模式,将校园网络分为两片,宿舍区网络、教学区网络,分别由专人进行管理,但网络路由统一由教学区管理,以保证网络的稳定、畅通性。而应用系统部分分为公共基础服务、校务管理系统、网络教学系统分别由三个专职人员负责维护、管理,并有一人总负责,检查、督促工作的完成情况。
这种管理方式让具体管理人员对于自身管理系统的问题十分清楚,从而保证了整个网络安全体系的动态性和有效性。
运行效果
经过对校园网络的一系列调整、改造,珠海学院的校园网络运行得到了极大的改善,我们从以下几个方面来评定:
网络基本流量对比
珠海学院学生用INTERNET线路共计有3条,2条200M电信带宽,1条100M网通带宽。三条线路分别连接在3台防火墙上,分别为3.1,3.10,4.1。下列图为对前2台防火墙的INTERNET接口进行的数据取样。
如图所示,每到高峰期时,200M带宽基本上已经全部占满,
用户网络运行稳定
珠海学院网络运行时间为8:00-24:00,其余时间断网,下表即位珠海学院上网用户的信息统计。如表所示,一天之中在中午与晚上分别为两个最高峰的运行值,用户在线率高,网络带宽消耗也相应提升。
网络运行稳定
珠海学院网络分为办公网络(教学楼部分)与学生网络(生活区部分),为了保障系统的安全,这两个部分之间的网络作了相应的策略控制,只能通过服务器进行数据交换。每天,网管对两部分网络进行监控各自的运行状态,以及时了解网络中可能出现的问题。
下图分别描述了位于教学区与生活区部分网络设备的运行状况。(测试工具为SolarWinds 2001 Enhanced Ping)
基本服务运行正常
通过对所有流经网络管理器的数据包进行监控,分析得到网络中各种协议的运行情况及流量状态。该监控囊括了网络上所有协议的定义,分作传统协议、P2P下载、网络电视、即时通信、流媒体、网络电话、网络游戏、股票交易、网络安全这些监控模块,直接体现了网络上各种协议的应用情况。
服务器系统运行稳定
通过对主要服务器的系统状态监控,了解CPU、内存、SWAP等的运行状态及各服务进程的运行状态,确定服务器的是否正常。
3 结语
校园网络作为校园信息系统的基础网络平台,网络的安全、稳定运行是保证各项业务平稳运行的基础保障,必须建立起一套可行的、有机的安全管理体系,根据学校的实际特点进行有效的部署。从北京理工大学珠海学院校园网络安全体系的建立中,我们积累了一些基础,并在此基础上,本文提出了在PDRR基础上,以安全策略为核心,以安全技术为支撑,以安全管理作为落实手段,建立了校园网络安全管理体系。
参考文献
康弗瑞.网络安全体系结构.北京:人民邮电出版社,2005年.15-21.
戴英侠.计算机网络安全.北京:清华大学出版社,2004年.89-131.
曾湘黔.防火墙与网络安全-入侵检测和VPNs.北京:清华大学出版社,2004年.
W.RICHARD STEVENS. TCP/IP详解 卷1:协议 .机械工业出版社,2000年.
W..RICHARD STEVENS.TCP/IP详解 卷2:实现TCP/IP .机械工业出版社,2000年.
W.RICHARD STEVENS. TCP/IP详解卷三:TCP事务协议.机械工业出版社,2000年.
张小斌,严望佳.黑客分析与防范技术.北京:清华大学出版社,2003.82-91.
张仕斌,谭三等.网络安全技术.北京:清华大学出版社,2004.87-121.
段钢.加密与解密(第三版).电子工业出版社,2008.
曹元大,薛静锋,祝烈煌,阎慧.入侵检测技术.人民邮电出版社,2007.
应向荣.主动防御系统的重要性[J].北京:中国计算机报,2003.7.