校園網(wǎng)一體化安全防護(hù)研究

彭 偉 任友群

摘要:安全問題是校園網(wǎng)絡(luò)建設(shè)和使用中面臨的重大課題,本論文從網(wǎng)絡(luò)安全產(chǎn)品的部署角度出發(fā),闡述了校園網(wǎng)一體化安全防護(hù)技術(shù)的思路,并對(duì)其具體內(nèi)容做了較為詳細(xì)的論述。

關(guān)鍵詞:校園網(wǎng) 一體化 安全防護(hù) 統(tǒng)一威脅管理

中圖分類號(hào):TP393.08 文獻(xiàn)標(biāo)識(shí)碼:B 文章編號(hào):1673-8454(2009)21-0020-03

一、問題的提出

互聯(lián)網(wǎng)自身的安全缺陷是導(dǎo)致互聯(lián)網(wǎng)脆弱性的根本原因?；ヂ?lián)網(wǎng)的脆弱性體現(xiàn)在設(shè)計(jì)、實(shí)現(xiàn)、維護(hù)的各個(gè)環(huán)節(jié)。設(shè)計(jì)階段,互聯(lián)網(wǎng)的設(shè)計(jì)之初沒有充分考慮安全威脅,因?yàn)樽畛醯幕ヂ?lián)網(wǎng)只是用于少數(shù)可信的用戶群體。許多網(wǎng)絡(luò)協(xié)議和應(yīng)用沒有提供必要的安全服務(wù),比如電子郵件使用的SMTP協(xié)議沒有提供認(rèn)證機(jī)制,曾經(jīng)是導(dǎo)致垃圾郵件泛濫的重要原因,遠(yuǎn)程登錄使用的Telnet協(xié)議明文傳輸用戶名和口令等,而且IP網(wǎng)絡(luò)也不提供任何服務(wù)質(zhì)量控制機(jī)制,導(dǎo)致目前在大規(guī)模拒絕服務(wù)攻擊面前幾乎無能為力。[1] 作為學(xué)校重要基礎(chǔ)設(shè)施的校園網(wǎng)擔(dān)負(fù)著教學(xué)、科研、管理和對(duì)外交流的重任,它的安全狀況直接影響到教學(xué)、科研、管理和對(duì)外交流的順利進(jìn)行。目前,隨著網(wǎng)絡(luò)應(yīng)用的進(jìn)一步深入,網(wǎng)絡(luò)上所面臨的攻擊也越來越頻繁。同時(shí),隨著學(xué)校網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,用戶對(duì)網(wǎng)絡(luò)性能要求的不斷提高,校園網(wǎng)安全問題越來越被廣泛關(guān)注。[2]

二、校園網(wǎng)常見的安全威脅及應(yīng)對(duì)措施

校園網(wǎng)既是大量網(wǎng)絡(luò)攻擊的發(fā)源地,也是網(wǎng)絡(luò)攻擊者最容易攻破的目標(biāo)。當(dāng)前,校園網(wǎng)常見的安全威脅有如下幾種。

1.蠕蟲病毒泛濫

網(wǎng)絡(luò)上蠕蟲病毒的危害越來越嚴(yán)重,發(fā)作越來越頻繁。而且,蠕蟲病毒往往與黑客技術(shù)相結(jié)合,計(jì)算機(jī)中毒發(fā)作后,導(dǎo)致拒絕服務(wù)攻擊,嚴(yán)重的甚至造成全網(wǎng)服務(wù)中斷。有些病毒還具有黑客程序的功能,一旦侵入我們的計(jì)算機(jī)系統(tǒng),病毒控制者就可以非常容易地從入侵的系統(tǒng)中竊取信息,并遠(yuǎn)程控制這些系統(tǒng)。

需要建立一套完善的防毒網(wǎng)關(guān),加強(qiáng)多級(jí)進(jìn)入點(diǎn)的安全保護(hù),并對(duì)網(wǎng)絡(luò)安全管理進(jìn)行規(guī)范,才能對(duì)病毒進(jìn)行有效的防護(hù)。

2.校內(nèi)用戶在校外不安全訪問學(xué)校內(nèi)網(wǎng)

校園網(wǎng)用戶在校外要能安全地訪問到校園網(wǎng),獲取其數(shù)據(jù),如工資報(bào)表、科研成果、研究資料和論文等。這些數(shù)據(jù)的安全性要求比較高,要充分考慮遠(yuǎn)程登錄校園網(wǎng)的安全問題。

需要建立VPN網(wǎng)關(guān),通過隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)校內(nèi)用戶在校外對(duì)學(xué)校內(nèi)網(wǎng)的安全訪問。

3.Web攻擊

隨著Web 2.0交互應(yīng)用程序的出現(xiàn),Web得到了迅速發(fā)展,但通過Web發(fā)起的攻擊也越來越多。Web上大量的惡意軟件和犯罪軟件嵌入到無辜的第三方站點(diǎn)中。網(wǎng)絡(luò)欺詐也繼續(xù)發(fā)展,其攻擊行為更復(fù)雜。

需要建立上網(wǎng)行為管理,對(duì)流氓軟件、惡意軟件和數(shù)據(jù)泄露等Web安全進(jìn)行有效的防范。

4.外網(wǎng)對(duì)內(nèi)網(wǎng)的不安全訪問

在校園網(wǎng)中,來自校園網(wǎng)外部的攻擊越來越頻繁。如何在校園網(wǎng)內(nèi)部和校園網(wǎng)外部之間建立一道安全的保護(hù)屏障,以保護(hù)校園網(wǎng)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的入侵是我們一直在努力做的工作。

防火墻是校園網(wǎng)絡(luò)安全的第一道屏障,一個(gè)防火墻能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。

5.黑客攻擊

隨著互聯(lián)網(wǎng)黑客技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。對(duì)于黑客自身來說,要闖入校園網(wǎng)絡(luò)實(shí)在是太容易了。

為此,應(yīng)部署入侵檢測(cè)(防御)系統(tǒng),它依照一定的安全策略,對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視,盡可能發(fā)現(xiàn)(防御)各種攻擊企圖、攻擊行為或者攻擊結(jié)果,以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

以上介紹的五種威脅,如果都要解決,現(xiàn)在常用的做法是購買相應(yīng)的安全產(chǎn)品,分別加以部署,如圖1所示。

隨著網(wǎng)絡(luò)中的應(yīng)用越來越復(fù)雜,安全問題以出人意料的速度增長,并且在攻擊方式、攻擊目標(biāo)上亦呈多樣化發(fā)展趨勢(shì)?；谶@個(gè)特點(diǎn),原先各自為戰(zhàn)的安全產(chǎn)品總是處于疲于應(yīng)付的狀態(tài),無法很好地實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)的安全保護(hù)。為了校園網(wǎng)絡(luò)的安全,學(xué)校通常被迫部署多臺(tái)、多種安全設(shè)備。并且隨著新安全威脅的出現(xiàn),還需要再部署更多的安全設(shè)備。新增加安全域時(shí)有時(shí)需要重新建設(shè)安全系統(tǒng)。這樣一種部署方式,將帶來如下的問題:

安全系統(tǒng)由此變得異常復(fù)雜;

復(fù)雜的安全系統(tǒng)將使整個(gè)信息系統(tǒng)的穩(wěn)定性降低;

多臺(tái)設(shè)備的加入,也就加入了多個(gè)可能的故障點(diǎn);

新增的安全域通常需要獨(dú)立、重復(fù)建設(shè)安全系統(tǒng);

管理成本高,管理難度大,維護(hù)困難。

三、校園網(wǎng)一體化安全防護(hù)

按照上面的部署方法,我們部署了那么多的安全產(chǎn)品,還是有很多用戶在抱怨。事實(shí)證明:擁有了網(wǎng)絡(luò)安全產(chǎn)品不等于就擁有了安全,真正的安全還需要好的安全管理?，F(xiàn)在,越來越多的網(wǎng)絡(luò)安全解決方案也體現(xiàn)了安全管理更重要這一理念。

隨著學(xué)校對(duì)校園網(wǎng)絡(luò)安全的重視,防火墻、防毒網(wǎng)關(guān)以及上網(wǎng)行為管理等一系列網(wǎng)絡(luò)安全產(chǎn)品也在不斷進(jìn)駐學(xué)校,由此給學(xué)校帶來了越來越復(fù)雜的校園網(wǎng)安全管理體制。如果學(xué)校負(fù)責(zé)網(wǎng)絡(luò)安全的管理人員對(duì)部署的安全架構(gòu)沒有一個(gè)較為完整的認(rèn)識(shí),網(wǎng)絡(luò)管理人員要進(jìn)行安全管理肯定就比較困難。讓防火墻、防毒網(wǎng)關(guān)以及上網(wǎng)行為管理之類的網(wǎng)絡(luò)安全產(chǎn)品彼此獨(dú)立運(yùn)行,應(yīng)該問題不大。但是,如何讓這些網(wǎng)絡(luò)安全產(chǎn)品協(xié)調(diào)一致以保護(hù)學(xué)校的校園網(wǎng)絡(luò),如何讓網(wǎng)絡(luò)管理人員對(duì)它們的性能進(jìn)行監(jiān)控,如何構(gòu)建一體化的安全防護(hù)體系等問題是那些已經(jīng)配備了網(wǎng)絡(luò)安全產(chǎn)品或正在實(shí)施網(wǎng)絡(luò)安全產(chǎn)品的學(xué)校所考慮的問題。

是否有一種方案,能對(duì)校園網(wǎng)進(jìn)行一體化的安全防護(hù)?早在2002年,就有公司提出了統(tǒng)一威脅管理(UTM)技術(shù)。當(dāng)時(shí),因?yàn)榛旌贤{的出現(xiàn),為了滿足用戶對(duì)防火墻、IDS、VPN、反病毒等的集中管理需求,提出了將這些技術(shù)整合進(jìn)一個(gè)盒子里,進(jìn)行統(tǒng)一威脅的管理。

校園網(wǎng)一體化安全防護(hù)應(yīng)該是通過完整的安全策略,利用多個(gè)安全產(chǎn)品有效互動(dòng)實(shí)施全方位保護(hù),而不是單純安全產(chǎn)品的堆砌。一體化安全防護(hù)能在一個(gè)硬件平臺(tái)上整合各種安全功能,如防火墻、VPN網(wǎng)關(guān)、上網(wǎng)行為管理、入侵檢測(cè)(防御)和防毒網(wǎng)關(guān)等,希望通過在校園網(wǎng)出口處部屬一個(gè)硬件設(shè)備,一攬子解決幾乎所有的安全問題,如圖2所示。在該體系結(jié)構(gòu)中,各模塊的功能是分離的,每種模塊負(fù)責(zé)其各自的功能。

校園網(wǎng)一體化安全防護(hù)首先提供高度智能化的數(shù)據(jù)流交換處理,提供深度包檢測(cè)的功能。根據(jù)進(jìn)入數(shù)據(jù)流的應(yīng)用類型,可靈活地對(duì)數(shù)據(jù)流進(jìn)行調(diào)度;根據(jù)管理員的配置及應(yīng)用特性,可對(duì)數(shù)據(jù)流進(jìn)行分類,并將分類的數(shù)據(jù)流發(fā)送到相應(yīng)的安全應(yīng)用模塊進(jìn)行處理。

也就是說,可以根據(jù)實(shí)際安全的需求來實(shí)現(xiàn)對(duì)數(shù)據(jù)流的調(diào)度。網(wǎng)絡(luò)安全管理員可以根據(jù)用戶的需求來決定某類型的數(shù)據(jù)流需要穿過哪些或哪個(gè)安全應(yīng)用模塊的檢查,也可以控制數(shù)據(jù)流穿過各個(gè)安全應(yīng)用模塊的順序。另外,數(shù)據(jù)流發(fā)送的方式可以是串行發(fā)送,也可以是并行發(fā)送?？梢愿鶕?jù)用戶的實(shí)際需求,對(duì)進(jìn)出系統(tǒng)的數(shù)據(jù)流進(jìn)行不同的檢查,不同的用戶或IP地址也可以有不同的安全應(yīng)用模塊組合順序。這樣,就可以根據(jù)用戶的實(shí)際安全需求以任意順序組合各種安全應(yīng)用模塊。[4]

安全應(yīng)用模塊可獨(dú)立處理各種安全應(yīng)用,包括防火墻、VPN網(wǎng)關(guān)、上網(wǎng)行為管理、IDS/IPS、防病毒網(wǎng)關(guān)等。

安全應(yīng)用模塊以負(fù)載均衡的方式工作,滿足超高性能的需求;在可靠性方面,可實(shí)現(xiàn)“N+1”備份技術(shù)。負(fù)載均衡和“N+1”備份等技術(shù)的應(yīng)用,大大提高了校園網(wǎng)一體化安全防護(hù)系統(tǒng)的安全性。

校園網(wǎng)一體化安全防護(hù)具有如下優(yōu)點(diǎn):[5]

提供了高性能的綜合安全防護(hù),各安全應(yīng)用獨(dú)享資源,相互之間不競(jìng)爭資源,可同時(shí)打開所有安全功能。

是一個(gè)可平滑“長大”的安全系統(tǒng)。系統(tǒng)具有高可擴(kuò)展性、高可伸縮性。當(dāng)需求增加時(shí),可靈活地?cái)U(kuò)展原有系統(tǒng)。如果采用分類設(shè)備一臺(tái)臺(tái)搭建安全系統(tǒng),增加了系統(tǒng)的復(fù)雜度、降低了系統(tǒng)的穩(wěn)定性、擴(kuò)展升級(jí)困難以及維護(hù)成本高。

這些設(shè)備通常都是即插即用的,只需要很少的安裝配置,減少了維護(hù)量,降低了復(fù)雜性。

當(dāng)一臺(tái)設(shè)備出現(xiàn)故障之后,即使是一個(gè)非專業(yè)人員也可以很容易地用另外一臺(tái)設(shè)備替換它,使網(wǎng)絡(luò)盡快恢復(fù)正常,使排錯(cuò)更容易。

校園網(wǎng)一體化安全防護(hù)提供多項(xiàng)安全功能,可以將用戶需求的多種安全特性集中到一個(gè)硬件設(shè)備里,構(gòu)成一個(gè)標(biāo)準(zhǔn)的統(tǒng)一網(wǎng)絡(luò)管理平臺(tái),這是今后網(wǎng)絡(luò)安全發(fā)展的方向。然而,測(cè)試結(jié)果表明:在校園網(wǎng)一體化安全防護(hù)中,如果將全部的安全功能打開,這個(gè)系統(tǒng)的性能將大大降低。其中,校園網(wǎng)一體化安全防護(hù)中的防毒網(wǎng)關(guān)、P2P和及時(shí)消息檢測(cè)功能對(duì)速度的影響最大。

由于校園網(wǎng)一體化安全防護(hù)系統(tǒng)中,一旦開通所有的安全應(yīng)用模塊,消耗的資源相當(dāng)大,所以僅使用通用服務(wù)器和網(wǎng)絡(luò)系統(tǒng)技術(shù),要實(shí)現(xiàn)對(duì)應(yīng)用層的高速處理,性能上肯定達(dá)不到要求。為此,需要有強(qiáng)勁的處理能力來支持。在校園網(wǎng)一體化安全防護(hù)中,只有解決了功能與性能的矛盾,一體化安全防護(hù)才能既實(shí)現(xiàn)像防火墻這種常規(guī)的網(wǎng)絡(luò)級(jí)安全,又能處理像病毒與蠕蟲掃描這種需要高速處理的應(yīng)用級(jí)安全。只有解決了功能和性能的矛盾,校園網(wǎng)一體化安全防護(hù)才能得到長足的發(fā)展。[6]

四、結(jié)束語

校園網(wǎng)的一體化安全防護(hù)是指在建校園網(wǎng)的時(shí)候就考慮好安全因素,并且讓網(wǎng)絡(luò)的各個(gè)組成部分都具有安全功能。而且,在實(shí)施一體化的安全網(wǎng)絡(luò)時(shí),可以分模塊、分層次有序進(jìn)行。用戶可以根據(jù)自身的網(wǎng)絡(luò)特點(diǎn)和安全要素,來制定網(wǎng)絡(luò)安全的建設(shè)順序。

校園網(wǎng)一體化安全防護(hù)不僅大大降低管理上的復(fù)雜度,充分發(fā)揮應(yīng)有的管理效益,而且縮短部署時(shí)間,減少部署成本,使排錯(cuò)更容易,具有高擴(kuò)展性、高伸縮性和高安全性。一旦解決了功能和性能的矛盾,校園網(wǎng)一體化安全防護(hù)將是今后校園網(wǎng)安全解決方案的首選方向。

參考文獻(xiàn):

[1]http://www.snjyxxw.com/smqqjxx/bsje/yjs/200711/4907.html

[2]http://emic.moe.edu.cn/

[3]http://www.websense.com/

[4]http://sec.chinabyte.com/455/8764955.shtml

[5]梁明君. UTM技術(shù)研究[J].信息安全與通信保密,2008(9).

[6]沈晴霓.中國UTM一體化安全管理技術(shù)的發(fā)展創(chuàng)新[J].現(xiàn)代電信科技,2007(7).

(編輯:于黎明)