论整体构建校园网络安全体系的方法及实现
2014-09-19 09:22:32余辉
网络安全技术与应用 2014年1期
余 辉
(四川省水产学校 四川 611730)
0 引言
在详细分析校园网络的基础上,设计了校园网络安全体系的总体结构,如图1所示。网络的各种安全因素都涵盖在这一体系结构之内,尤其是重大的安全问题和安全隐患更是不会缺少的。从区域角度考虑,校园网络安全体系被划分成了公网区域、安全基础设施区域、外单位区域以及专用区域四个域,公共安全区域包括的内容主要有边界访问控制和入侵检测系统,还有公共服务层、网页保护、抗DOS以及防火墙等;安全基础设施区域主要包含三大体系:应急响应和支援体系、基于PKI/PMI的认证和授权管理体系以及网络病毒防治服务体系;外单位区域主要有网络隔离、信息交换层、边界网络控制以及VPN等;专网区域涵盖的内容是比较多的,主要有办公业务层、多重认证与授权及强审计、系统镜像、防火墙、漏洞扫描以及入侵检测等,共同组成了校园网络安全体系,为校园网络的安全性提供了可靠性的保障。
图1 校园网络安全体系子系统构成示意图
1 VPN网络子系统功能
VPN网络实现的载体是电信公司提供的地域网,校园网络运用的是独立的VLAN。为了使各办学点不同的业务能够正常地进行,既可以采用ACL访问控制列表进行业务的控制,也可以采用VLAN、MAC地址绑定的方法实现。办公内部网络系统的数据、学院业务系统的数据大都是通过 VPN隧道传输的,VPN隧道主要是由IPSec VPN技术从网点路由器到中心路由器建立的。VPN网络子系统能够对各办学点设备的安全以及办学点到中心多业务数据的安全可靠传输进行有效的控制,以确保安全传输的安全性。VPN虚拟专用网是由IPSEC组建的。
2 安全检测子系统功能
网络安全检测子系统主要应用于校园网的Email服务器、校园网的WWW服务器等各种服务器,能够实现对互联网的信息进行实时地跟踪和监视,可以将互联网上传输的各种类型的内容进行及时截获,并将这些内容还原成完整的Telnet、WWW、FTP以及Email等应用内容,建立相应的数据库并使这些记录得到很好的保存。当网络上有非法的内容进行传输时,应将这些内容及时地告知给上级安全网络中心,以便能够及时采取措施使问题得到有效解决。在数据库中保存的访问日志利用专门的日志分析工具可以进行统计并且绘制成统计图,然后能够认真地分析访问地址和流量,便能够及时地了解到明显的攻击行为。
3 入侵检测子系统功能
入侵检测技术是一种能够及时发现并报告系统中未经授权或异常现象的技术,能够为计算机系统提供安全性的保障。入侵检测系统能够使各个安全区域的安全保障工作得到有效的解决。在校园网中最好从网络的入侵检测和主机的入侵检测两方面进行检测,即采用混合入侵检测,以确保校园网络的安全。入侵检测系统主要分为探测引擎(也叫传感器Sensor)和控制中心(可分级)两大部分。控制中心一般是控制本地或远程网络中的主机代理引擎、网络探测引擎活动的管理系统。这一系统能够代理引擎和各种探测引擎配置策略进行警戒的、日志的管理。控制中心能够明确地显示出入侵者的源IP地址、目的端口、当前用户和进程以及目的IP地址等入侵报警信息,同时还能够对事件进行阻断、报警等多种响应设置。探测引擎的重要组成策略驱动的分析系统和网络监听系统。对物理网络上的所有通信信息,探测引擎能够进行实时地监听和分析,还能够及时地告知控制中心所分析的结果,同时需要认真做好控制中心指令的接受和响应工作。IDS部署的方式是采用网络探测引擎且在相应的交换机上开一个镜像端口,然后利用旁路侦听的方法对网络上流过的所有数据包进行动态性地监测。在探测器和控制中心相互作用以及探测引擎和控制中心都设置密保的情况下,不仅能够避免被骗的问题,还能够防止在策略、日志等在传输的过程中被其他人私自修改。不仅如此,所有的端口和服务都已经被关闭了,所以不仅让IDS这一设备对于外界而言变得更加透明,并且也让对IDS提供了安全性的保障。通过实践应用,能够对过滤和分析的范围进行合理地调整,以实现数据包数量减少的目的。
4 漏洞扫描子系统功能
网络层安全问题的解决首先需要明确网络中存在的各种安全隐患。由于大型网络具有变化速度快、复杂程度较高等特点,在寻找安全漏洞、做风险评估时单纯地依靠网络管理员的技术和经验是不能使问题得到有效解决的。比较有效的方法是寻找一种能够检查网络漏洞、对网络问题进行评估以及提出修改意见的网络安全扫描工具,在解决网络最新的安全漏洞和去除安全隐患时,可以通过系统配置、打补丁等多种方法使出现的上述问题得到有效的解决。
5 WUSU子系统功能
WUSU补丁通过自动分发系统使内网PC补丁得到了统一升级,使病毒得到有效地防范。当WUSU服务器被配置在内网之中,就可以被用作内网的控制台和升级服务器。升级数据是由独立的外网的WSUS服务器升级后导出的,然后通过存储介质就可以数据文件导入到内网的WUSU服务器上,从首实现服务器升级的目的。
6 管理制度子系统功能
在对每个安全层次进行研究和分析之后,分别制订了切实可行的规章制度,主要有《计算机安全组织及安全责任制》《运行中心管理制度》《计算机文档管理制度》《安全教育及培训制度》以及《计算机安全防范系统管理制度》等,不仅使各项安全措施真正落实到位,还使其自身的作用得到最大限度地发挥。
[1]江铁.网络安全综述[J].电脑知识与技术.2008(36)
[2]江铁,匡慜.网络安全现状及对策[J].警官文苑.2010(04)
[3]周喆.计算机网络安全的防范策略分析[J].电脑知识与技术.2009(05)
猜你喜欢
舰船科学技术(2022年21期)2022-12-12 08:06:44
铁道通信信号(2020年3期)2020-09-21 09:13:00
中国生殖健康(2019年10期)2019-01-07 01:21:04
信息安全研究(2018年12期)2018-12-29 11:01:46
铁道通信信号(2018年8期)2018-11-10 05:15:44
小学生必读(中年级版)(2018年4期)2018-07-05 06:00:48
商周刊(2017年22期)2017-11-09 05:08:31
河南电力(2015年5期)2015-06-08 06:01:46
皖西学院学报(2015年5期)2015-02-28 17:52:46
声屏世界(2015年7期)2015-02-28 15:20:13
