20XX年校园网络
安全评估报告
计算机应用技术系
09网络技术班 **
指导老师 **
前言
经过半年的网络安全课程学习,王薇老师教给我们很多很多网络安全的知识和应用,让我们的技能得到了很大的提升。根据所学的知识和查询网络所得的数据,我对校园网络安全做了如下评估和报告。
随着Internet的普及,校园网已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段,它是以现代化的网络及计算机技术为手段,形成将校园内所有服务器、工作站、局域网及相关设施高速联接起来,使各种基于计算机网络的教学方法、管理方法及文化宣传得以广泛应用并能和外部互联网沟通的硬件和软件平台。
随着网络的高速发展,网络的安全问题日益突出,近两年间,黑客攻击、网络病毒等屡屡曝光,在高校网络建设的过程中,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和服务并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,而如何有效地加以管理和维护,是校园网得以有效、安全运行的关键。
校园网网络的安全十分重要,它承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理。本文从网络安全的各个方面,详细分析了威胁校园网网络安全的各种因素,提出了若干可行的安全管理的策略,从设备资源和技术角度上做了深入的探讨。
封面 1
某校园网由三个物理区域:教学办公大楼、图书馆大楼、学生教工宿舍构成。在整个网络中,各信息点按功能又划分为行政办公、电子网络教室、中心管理机房、普通教室等不同区域,各区域与互联网连接的目的也是不一样的,对特定区域,与互联网连接将受到一定限制。校园网采用千兆到楼,百兆到桌面的全交换网络系统,覆盖东西两院、艺术附中以及各个家属区,共计光纤链路40余条,交换机250余台,网络信息点一万多个。整个系统包括一批高性能网络交换机、路由器、防火墙、入侵检测、存储、备份和安全认证计费管理软件、网络版杀毒软件。核心采用锐捷RG-6810E高性能三层管理交换机,汇聚采用锐捷三层交换机,接入桌面采用锐捷21系列。现有的WEB服务器,“一卡通”数字系统,OA办公管理系统,教务管理系统,图书管理系统,流媒体服务器,网络杀毒服务器,为全院教学科研、管理和生活等方面提供了良好的Internet应用服务。校园主接入主干网如下:
图1 校园网接入主干图
校园网承载着学校的教务、行政、后勤、图书资料、对外联络等方面事务处理,它的安全状况直接影响着学校的教学、科 研、行政管理、对外交流等活动。在网络建成的初期,安全问题可能还不突出.随着应用的深入.校园网上各种数据会急剧增加、访问增多.潜在的安全缺陷和漏洞、恶意的攻击等造成的问题开始频繁出现。
校园网受到的攻击以及安全方面的缺陷主要有: (1)有害信息的传播
校园网与Internet融为一体,师生都可以通过校园网络在自己的机器上进人Internet。目前Internet上充斥各种海量信据息,散布违犯四项基本原则、有关色情、暴力、三俗内容的文章、网页、网站比较多。这些有毒的信息违反人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非 常大。
(2)病毒破坏
通过网络传播的病毒无论是在传播速度、破坏性和传播范围等方面都是单机病毒所不能比拟的。特别是在学校接人广域网后。为外面病毒进入学校大开方便之门,下载的程序和电子邮件都可能带有病毒。而且网络病毒的变异速度快,攻击机理复杂,必须不断更新病毒库。
(3)恶意入侵
学校涉及的机密不是很多,来自外部的非法访问的可能性要少一些.关键是内部的非法访问。一些学生可能会通过非 正常的手段获得习题的答案,使正常的教学练习失去意义。更有甚者.有的学生可能在考前获得考试内容,严重地破坏了学校的管理秩序或者破坏教务系统.恶意更改成绩,扰乱教学工作程序。
(4)恶意破坏
对计算机硬件系统和软件系统的恶意破坏,这包括对网络设备和网络系统两个方面的破坏。网络设备包括服务器、交换机、集线器、路由器、通信媒体、工作站等,它们分布在整个校园内,不可能24小时专人看管, 以避免故意的或非故意的某些破坏。会造成校园网络全部或部分瘫痪。
另一方面是利用黑客技术对校园网络系统进行破坏。表现在以下几个方面:对学校网站的主页面进行修改,破坏学校的形象:向服务器发送大量信息使整个网络陷于瘫痪;利用学校的邮件服务器转发各种非法的信息等。
(5)口令入侵
用户非法获得口令入侵,破坏网络。
了解计算机网络工程设计的一般过程,明确计算机网络设计的基本原则;通过网络设备的配置,能了解网络安全管理与维护设置的功能,掌握网络设备的配置方法和配置操作。通过对校园网的调研,能了解网络安全管理与维护在校园中的具体应用,并在现有条件下进行简单的模拟。
了解网络安全管理与维护在校园网中的应用情况,制定一个应用方案,在现有实验设备的基础上来实现这个方案。
本次课程设计让我们有了一个既动手又动脑,独立实践的机会,将理论和实际有机的结合起来,锻炼了我们分析、解决实际问题的能力。通过从了解设备功能、掌握设计原理到应用原理,利用设备解决实际问题这样一个循序渐进的过程,培养自己理论与实践相结合的能力。
在校园网的网络安全管理及维护中,设计方案应从以下几个方面进行需求分析:
虚拟网主要作用和目的是:解决主干网内网络站点的增加、删除、移动等操作,方便网络的维护和管理。可以建立不受地理位置限制的,覆盖整个校园的相互具有一定独立性的网络或者逻辑子网,即虚拟网。利用虚拟网可以有效的管理和限制不同子网之间的访问,各部门可以各自占用一个独立的虚拟网,整个虚拟网是可升级的、可扩展的。根据校园网的实际需求,各类人员可以在相应逻辑子网内开展工作。网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。
校园主干网是覆盖整个园区的网络,其组成结构相当复杂,而科技的进步和教育形势的发展又要求校园网具有延伸性和扩展性。随着网络复杂度的增加,给网络管理带来成级数增加的管理工作量。网络管理要求解决的问题包括:
(1)虚拟网管理、分配。目前的虚拟网主要基于局域网交换端口,如果一个部门扩展新的入网地点,新的扩展将改变交换机端口设置。网络管理借助相应的管理软件来解决该问题。
(2)对所有网络设备端口的监视和管理。对所有网络设备的远地配置和控制,包括网络设备端口的开放和关闭,整个网络的故障检测,故障自动报警功能,整个网络性能的统计和分析报告,甚至收费。按照这些网络管理的需求,应采用基于GUI(图形用户界面)的网络管理软件来实现。
校园网络安全主要有以下要求:各个部门访问网络的控制,各单位之间在未经授权的情况下,不能相互访问。内部网中要建立防火墙,即禁止外部用户未经许可访问内部的数据,或者内部用户未经许可访问外部数据。
对安全问题主要有以下考虑:校园网应该是一个开放的系统,它不像政府或商业公司的网络一样具有极高的安全保密性;但校园网应该安全的,它应具备抵御恶意攻击的能力,一些科研成果也不是对任何人都开放的。利用虚拟网技术和防火墙技术可以较为合理地解决安全与开放的问题。
在校园网的网络安全管理及维护中,建立单机版反病毒防御体系,设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵,提供防范、检测手段和对攻击作出反应,采取自动抗击措施,对保证网络安全及维护是很有必要的。
(1)防火墙技术
为整个网络筑起一道高墙,将黑客及未授权的用户拒于门外。
(2)建立网络入侵侦测系统
在MIS系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法,是在网络中安装网络入侵侦测系统(IDS)。系统可以实时监控网段的流量,发现有攻击特征的行为后,立即报警,并且可以阻断该会话,阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后,入侵侦测系统(IDS)应分别检测各自的应用网段
由于基层的网络与局域网通过光纤连接在一起,各个应用系统在它们之间有信息传递,为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,应在基层网络和局域网有业务关系的单机上安装反病毒软件。这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,要求程序定时进行扫描,既保证了重点网络的安全,又降低了校园网在防病毒方面的投资。
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
(1)大幅度地提高系统的安全性和保密性;
(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
(3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
(4)尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
(5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
(6)安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
(7)分步实施原则:分级管理 分步实施。
采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。采用各种安全技术,构筑防御系统,主要有:
(1)防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2)2NAT技术:隐藏内部网络信息。
(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的信道在公共网络上创建一个安全的私有连接。它通过安全的数据信道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。建立分层管理和各级安全管理中心。
网络是个动态的系统,它的变化包括网络设备的调整,网络配置的变化,各种操作系统、应用程序的变化,管理人员的变化。即使最初制定的安全策略十分可,但是随着网络结构和应用的不断变化,安全策略可能失效,必须及时进行相应的调整。
图2 校园网网络拓扑结构图
网络中的关键设备应放置于可靠的机房,并有健全的管理制度和措施;加强安全检查,定期对网络和系统进行扫描、检查和巡视;培养师生的安全意识,加强口令管理,限制用户采用容易破怿的口令; 保持对国际上先进安全技术的跟踪。学习和研究,及时进行技术升级。
(1) 通过VLAN技术,控制网络流量,提供网络效率,防止网络侦听(sniffer);
(2) 不同的VLAN,可以根据功能区域的不同,设定不同的安全级别;对于重要网络设备和管理系统,应设置最高的安全级别;
(3) 对于向外提供信息服务的重要服务器,关闭不需要开放的服务端口,限制用户的操作权限,防止非法操作;
(4) 采用访问控制表进行访问限制,过滤不正当的访问和恶意攻击;
(5) 通过防病毒软件和适当的个人电脑网络设置,建立桌面级的系统安全;
(6) 校园网可以通过DHCP服务器,实现动态地址分配与认证,实现对内信息内容的访问控制。
系统管理员需要定期备份服务器上的重要系统文件。比如操作系统盘,做备份存档。文件资料等可以用RAID方式进行每周备份。这样一旦服务器出现故障,可以损失降的很小。
在校园网中,重要的数据往往保存在整个中心结点的服务器上,这也是病毒攻击的首要目标。为了保护这些数据,网络管理员必须在网络服务器上设置全面的保护措施。因此,网络防病毒软件安装在服务器工作站和邮件系统上。这样病毒扫描的任务是网络上所有的工作站共同承担的,这样可以在工作站的日常工作中加入病毒扫描任务,网络版杀毒软件一般都支持定时的升级,全网杀毒等功能,很好地帮助了网络人员 。
校园网络的安全问题,不仅是设备,技术的问题,更是管理的问题。对于校园网络的管理人员来讲,一定要提高网络安全意识,加强网络安全技术的掌握,注重对学生教工的网络安全知识培训,而且更需要制定一套完整的规章制度来规范上网人员的行为。
校园网的安全及相应的管理策略是一个需要长期关注的实用研究课题。在校园网的使用实践的过程中,牢固树立安全意识、不断采用新技术、完善管理规章制度才能有效地保证校园网正常、安全地运行。在具体的工作中,可以根据人力、财力、物力的资源情况,在一定的安全目标预期下,进行适当组织,综合制定一个行之有效的最佳方案,保证校园网稳定可靠运行。
[1] 张公忠.现代网络技术教程(第二版).北京:电子工业出版社,2004.1
[2] 王竹林.校园网组建与管理.北京:清华大学出版社,2002.2
[3] 孔旭影.网络工程基础.北京:电子工业出版社 2003.1
[4] 余小鹏.网络工程规划与设计.北京:清华大学出版社 2007.3
[5] 实用网络技术配置指南(初级篇).锐捷网络大学,2005.2
摘 要
本文从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对校园网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施.
关键词: 网络安全,安全防范,校园网, VPN
第一章 前 言
二十一世纪是只是经济时代。随着现代科学技术的飞速发展,全球信息化浪潮势不可挡,已经迅速延伸至国防、科研、教育等各个领域,也不可避免地改变着传统的企业人事的工作模式,利用当前蓬勃发展的一计算机和网络为主导的现代信息技术则是企业实现现代化工作的必不可少的技术基础,
我国的信息起步晚,本可以高起点,高标准的建设我国的信息高速公路,但由于我国经济能力和幅员辽阔,建设成本压力很大,因此发展较为缓慢。
学校,尤其是各大高校,作为知识基地和人才基地,它理应为代表信息产业技术发展的最前沿,然而现状是工业水平高于学术水平,即使这样,19xx年中国教育科研网正是启动以来,已与国内几百所学校相连,20xx年该网“二期工程”完成时,除达到连接1000所大学的目标外,对有条件的中小学也将提供上网接入服务,但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费,如何利用当前先进的计算机技术与校园网资源,实现学校各项业务系统的集成,提高应用水平成为学校校园网建设的工作重点。校园网在国内发展还不成熟,学校、媒体甚至计算机业界,对校园网都缺乏全面、深入的理解和认识,带有一定的盲目性和偏见。建设校园网要经过周密的论证、谨慎的决策和紧张的施工。米钱存在的一些情况是,网建成了问题也
出现了;设计目标无法实现;应用软件缺乏,阻碍了设想实施;维护费用不堪承受等等。这就是需要在网络建设实施前确定明确的设计目标,是技术和成本找到最佳点,并考虑到日后的升级,既可扩展性。
第二章 校园网主动防御体系
校园网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的类型,即服务攻击与非服务攻击。
(1)服务攻击
指对为网络提供某种服务的服务器发起攻击,遭成该网络的“拒绝服务”,使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。
(2)非服务攻击
非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关,它往往利用协议或操作系统实现协议时的漏洞来达到目的。
校园网络主要存在的安全隐患和漏洞有:
(1)校园网通过CERNET与Internet相连,在享受Internet方便快捷的同时,也面临着遭遇攻击的风险。
(2)校园网内部也存在很大的安全隐患,由于内部用户对网络的结构和应用模式都比较了解,因此来自内部的安全威胁更大一些。而现在,黑客攻击工具在网上十分常见,一般人员并不需要很复杂的知识就能用,所以存在很大的危险。
(3)目前使用的操作系统存在安全漏洞,对网络安全构成了威胁。大学的网络服务器安装的操作系统有WindowsNT/Windows2000、Unix、Linux等,这些系统安全风险级别不同,例如WINNT/WIN2000的普遍性和可操作性使得它也是最不安全的系统:本身系统的漏洞、浏览器的漏洞、IIS的漏洞;Unix由于其技术的复杂性导致高级黑客对其进行攻击:自身安全漏洞(RIP路由转移等)、服务安全漏洞、Unix自身的病毒等等,这些都对原有网络安全构成威胁。
(4)随着校园内计算机应用的大范围普及,接入校园网节点日渐增多,而这些节点大部分都没有采取一定的防护措施,随时有可能造成病毒泛滥、信息丢
失、数据损坏、网络被攻击、系统瘫痪等严重后果。
由此可见,构筑具有必要的信息安全防护体系,建立一套有效的网络安全体系显得尤其重要。
第一节 P2DR模型
美国国际互联网安全系统公司( ISS )提出的 P 2 D R模型是指:策略 ( P o l i c y )、防护( P r o t e c t i o n )、检测( D e t e c t i o n ) 和响应 ( R e s p o n s e )。P 2 D R模型强调防护、检测和响应等环节的动态循环过程,通过这种过程达到保持网络系统的相对安全。所以P 2 D R模型是“整体的、动态的”的安全循环,在安全策略整体的控制下指导下保证信息系统的安全。P 2 D R模型如图1-1所示。
图 1-1 P2DR模型
P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型,也是动态安全模型的雏形。P2DR模型包括四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。P2DR 模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系,当入侵者
要发起攻击时,每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间―检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,这也要花费时间―响应时间Rt。
P2DR 模型就可以用一些典型的数学公式来表达安全的要求:
(1)公式 1:Pt > Dt + Rt 。
Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间。Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间。Rt代表从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。那么,针对于需要保护的安全目标,如果上述数学公式满足防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
(2)公式 2:Et = Dt + Rt,如果 Pt = 0。
公式的前提是假设防护时间为0。Dt代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。比如,对Web Server被破坏的页面进行恢复。那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间 Pt,降低检测时间 Dt和响应时间 Rt。
第二节 校园网络安全防范体系
安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管理两个方面的重要内容,校园网络安全防范体系构建是以安全策略为核心,防护,检测和响应为实施方法,并通过安全培训加强所有人员的安全意识,完善安全体系安全单元环境。安全体系的示意图如图1-2所示。
图1-2 安全防范体系
针对以上校园网网络安全体系应用以下安全技术来实现:
(1)配置防火墙和入侵检测系统
在校园网的进口处架设了防火墙和网络入侵检测系统。防火墙作为一种将内外网隔离的技术, 普遍运用于校园网安全建设中。防火墙可以有效地隔离内部网与外部网, 保护校园内部网络免遭非法的侵入。网络安全检测工具是一个网络安全性评估分析软件,不时的扫描分析网络系统, 网络管理员根据检测的报告系统分析存在的弱点和漏洞,及时采取补救措施,以达到增强网络安全性的目的。基于网络的入侵检测系统,对监视网段中的各种数据包进行特征分析,会根据产品中配置规则情况录取是否发出警报或直接切断网络连接。
(2)采用V L A N技术
按学校各部门拥有不同的应用业务以及不同的安全级别,有限制非法访问可以运用 V L A N技术。如使用三层交换机基于端口划分技术将网络分段并进行隔离,实现访问控制。
(3)配置代理服务器
在计算机中心学生机房配置访问控制列表,使用二级防火墙,并利用代理软件配置代理服务器,在代理服务器上安装双网卡,连接外网的网卡使用公网I P地址,连接内网的网卡使用私有地址,学生客户机 I P地址与代理服务器内网 I
P地址在同一网段,网关 I P为代理服务器内网 I P地址。机房机器通过代理服务器连接互联网,可以控制前往I n t e me t 的所有用户的流量。
(4)安装杀毒软件
在整个校园网中只要有可能感染和传播病毒的地方都采取相应的防病毒手段,安装相适应的防杀毒软件,有效地防止病毒在校园网上感染、传播和发作。对防病毒软件要有效、快速地升级病毒定义码和扫描引擎。网络的安全管理是一个长期的、动态的过程。本网络系统的安全性还存在不少问题,比如说防止网络攻击方面, 尽管使用了入侵检测系统和防火墙的联动技术,但是,目前的入侵检测系统对未知的攻击检测能力较弱,且存在误报率太高的缺点。这些问题有待我们作进一步的探讨和改进,不断的分阶段完善安全防范体系。
(5)制定安全策略
安全策略是赋予了组织机构技术人员或信息资产使用权的人员必须履行的准则的正规陈述它是一个成功的网络安全体系的基础与核心。业务需求和风险分析是安全策略的主要制定依据。校园网络的安全策略是依据校园网的业务需求描述了校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容。
第三节 完善安全制度与管理
安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。网络系统的安全性不只是技术方面的问题,如果日常管理上没有相应规章制度来管理约束,再先进的软件技术, 硬件设备对网络系统的安全来说也是不安全的。一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理, 安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施。当网络出现攻击行为或其它一些安全威胁时,无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵检测系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
安全管理主要是对安全策略的一系列实施操作,这些操作是构建网络安全体系必不可少的。没有完善的安全管理体系,很难保证网络系统的安全。必须制定
详细的安全管理制度,如机房管理制度、病毒防范制度等,并采 取切实有效的措施保证制度的执行。学院网络安全防范体系建立以后,学院的网络控制中心负责网络设备的运行管理,信息中心负责网络教学资源的安全管理。规定系统管理员要进行日常的网络安全管理,实时地、动态地监控网络运行情况,每日必须检查服务器的日志,对重要的数据服务器,每日必须进行异地数据备份。同时管理员的密码必须达到一定的长度并且建议每周修改一次。管理员需及时对操作系统打补丁和防病毒软件包的升级,不断完善和优化网络安全防范体系。
第三章 VPN校园网络中的应用
一、 IPSec/SSL 一体化VPN技术原理
IPSec VPN 需要用户必须安装特定的客户端软件,这需要专业技术人员进行操作。此外IPSec VPN不能透过NET防火墙。且IPSec VPN 不允许从公网计算机接入专网。
SSL VPN不需要安装任何客户端软件,用户只需输入SSL服务器的URL,然后再输入用户名及密码,即可完成远程登录的操作。故SSL VPN最适合学校远程访问接入。而Ipsec VPN 是在两个局域网之间通过Internet建立安全连接,保护的是点对点间的通讯,并不局限于web应用,还能构建局域网之间的虚拟专用网络,功能和应用的扩展更强。故Ipsec VPN适合校区间点对点连接。因此,这种集成的VPN解决方案充分发挥了Ipsec VPN和SSL VPN的各自优势,能更好的满足校园网的多种需求。
二、 IPSec/SSL实现过程
那么,在校园网中部署Ipsec/SSL一体化VPN,它们又是如何工作的呢?
(一)IPSec实现过程
IPSec技术原理可以表达为其连接的五个步骤:
(1)IPSec对等体发起会话,触发IPSec感兴趣流量,并在对等体中配置安全策略
(2)IKE阶段1,IKE鉴别IPSec对等体并协商IKE安全关联(SA),为阶段2中的IPSec安全关联(SA)协商建立安全通道。
(3) IKE阶段2--IKE协商IPSec安全关联参数,并在对等体中建立相匹配的IPSec安全关联(SA)。
(4)数据传输—基于保存在安全关联数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
(5)IPSec隧道终止--IPSec安全关联(SA)因被删除或超时而终止。 简单点说就是:发起对等体会话→协商安全关联(SA)构建安全通道→协商安全关联参数→传输数据→隧道终止。
(二)SSL实现过程
SSL协议是基于Web应用的安全协议,它指定了在应用程序协议(如HTTP/Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为连接提供数据加密、服务器认证以及可选的客户机认证。
作为应用层协议,SSL使用公开密匙体制和X.509数字证书技术保护信息传输的机密性和完整性,但它不能保证信息的不可抵赖性。SSL安全协议主要提供三方面的服务:
(1) 认证用户和服务器,使得它们能够确信数据将被发送到正确的客户服
务器上;
(2) 加密数据以隐藏被传输的数据;
(3) 维护数据的完整性,确保数据在传输过程中不被改变。
它是由SSL记录协议、握手协议、密匙更改协议和警告协议组成,。它们共同为应用访问连接提供认证,加密和防纂改功能。其协议栈如图1-3:
图1-3 SSL协议栈
SSL协议的主要用途是在两个通信应用程序之间提供机密性和可靠性,这个过程通过三个协议来完成:握手协议、记录协议和警告协议。且在SSL通信中,服务器方使用443端口,而客户方的端口是人选的。
三、IPSec/SSL 一体化VPN校园网方案
下面本文将结合校园布局,拟定一个IPSec/SSL一体化VPN校园方案,进一步讨论VPN技术在校园网中的应用。
(一)校园网络布局特点
例如:校园分为二个校区:东校区、西校区。为此拟定的校园拓扑设计如下图1-4,目前适合校园具体情况的IPSec/SSL一体化的网络设备产品很多,通过
综合考虑(如安全性、稳健性、可管理性和性价比等)可选用深信服科技有限公司的SINFOR M5100-S VPN网关及其配套产品,该网关集成IPSec VPN、SSL VPN、防火墙功能。IPSec VPN功能可以降低成本实现和分校区的网间互联;而SSL VPN功能则最适合移动办公人员的远程安全接入。防火墙功能还可以有效保证学校网络的Internet入口的安全。
图1-4校园网拓扑图
(二)IPSec/SSL VPN配置
(1)配置中心校区SINFOR M5100-S VPN网关
1 系统配置:
①将SINFOR M5100-S VPN硬件网关放置在中心校区的Internet出口处,配置其内外网接口的ip地址、子网掩码、外网接口的默认网关、DNS,线路类型选择以太网。
②将需要被分校区和移动办公人员访问的各种应用服务器(财务系统、OA、WEB服务器)的网关指向SINFOR M5100-S VPN的内网接口。
2 IPSec VPN配置
①在WebAgent设置中,输入“中心校区WAN口IP地址:4009”。
②针对中心校区需开发资源情况设定中心校区VPN内网服务设置,以便为各接入分校区分配相应权限(如对财务/OA/图书馆系统等);
③为接入分校区分配合法的用户名密码等账户信息,可根据需要为每个账号分配不同的VPN权限,在启动ID鉴权的情况下需要把所有需接入中心校区的远
程用户生成证书后传给中心网络管理员并分别绑定到对应的用户账户上;
④配置VPN内的QoS,为各种重要应用分配更高的优先级别,以便在网络繁忙时为这些重要应用预留更高的带宽;
3 SSL VPN配置
①在WebAgent设置中,不需要设置任何信息。用户直接在浏览器里面输入学校WAN口IP就可以访问SSL VPN。
②为移动接入分配合法的用户名、密码等账号信息,根据每个账户选定不同认证方式,如用户名密码、数字证书、短信认证、Dkey以及外部认证。
③为移动用户分配可用资源,包括Web资源和App资源。可通过修改“访问地址”来实现的Web资源定义,但有一定的局限性。 App资源几乎支持所有的C/S应用,包括Web、Emall和FTP。所以添加“资源”时,尽量使用App资源来添加,可视情况而定。
(2)配置分校区SINFOR M5100 VPN网关
1 将SINFOR M5100 VPN硬件网关放置在分校区Internet出口处,配置内网接口的ip地址、子网掩码、输入外网接口的用户名、密码、勾选【自动拨号】,线路类型选择ADSL.
2 将需要被中心校区访问的各种PC机的网关指向SINFOR M5100 VPN内网接口。
3 在WebAgent设置中,输入“任何IP地址:4009”。
4 在连接管理中,新增一条连接;在主WebAgent选项中填入“中心桥区WAN的IP地址:4009”;输入分配给分校区的用户名、密码;并为新连接命名,传输类型选择TCP,勾选【启用】选项。
(3)配置移动办公人员浏览器
1 使用SSL VP之前,可能需要对浏览器进行必要的设置步骤如下:
打开IE中的【工具】菜单【Internet选项】, 在打开Internet选项中的
【高级】选项卡,勾选【使用SSL2.0、SSL3、0和使用TLS1/0】选项,后点击
【应用】。设置如图1-5所示:
图1-5 Internet选项
设置好IE浏览器之后,直接在正地址栏输入SSL VPN的登录页面地址来登录SSLVPN。
但是倘若是第一次访问SSLVPN时,还需要安装一些“ActiveX控件”和“数字证书”后即可进入登录界面,原理如图1-6相似,在登录界面输入正确的【用户名】和【密码】,即可登录。
图1-6“ActiveX控件”安装提示
登录成功后,还会自动安装SSL VNIC(SSL虚拟网卡)。
至此,一次登录SSLVPN,并访问SSLVPN内网资源的过程即完成。
需要退出SSLVPN时,点击【注销】按钮,即可安全退出SSLVPN。注销之后,用户将不能访问SSLVPN的资源,所以弹出一个提示框,让用户确认,选择【确定】即可。如下图1-7所示。
图1—7 SSL VPN推出提示
单位信息安全评估报告管理信息系统单位二零一一年九月11目标单位信息安全检查工作的主要目标是通过自评估工作发现本局信息系统当前面临的…
XX公司XX网络安全评估报告目录XX公司XX网络安全评估报告1评估依据的标准1第一章物理与环境层评估122项目1电源评估2项目2线…
20XX年校园网络安全评估报告计算机应用技术系09网络技术班**指导老师**前言经过半年的网络安全课程学习,王薇老师教给我们很多很…
网络安全评估方案书1项目需求随着信息时代的到来企业业务的运作越来越依赖于互联网互联网给我们带来快捷方便高效服务的同时也带来了巨大的…
网络安全评估报告与解析face宋体gtltSTRONGgt网络安全评估活动报告与解析ltBRgtltSTRONGgtltFONTg…
附件4信息安全服务风险评估报告V110客户安全风险分析客户名称NameSecurityRiskAnalysis客户资产记录如FTP…
信息安全评估报告管理信息系统二零一六年一月11目标单位信息安全检查工作的主要目标是通过自评估工作发现本局信息系统当前面临的主要安全…
可靠性软件评估报告目前关于可靠性分析方面的软件产品在市场上出现的越来越多其中比较著名的有以下3种产品英国的ISOGRAPH广五所的…
××银行关于网络视频监控设备安全评估的报告人行××分行:自接到《中国人民银行北京分行营业管理部办公室关于转发,金融业信息安全风险提…