校园网安全管理方案.doc

校园网安全管理方案陈欢（福建商业高等专科学校，福州市鼓楼区江厝路黄埔19号350012）摘要：校园网络是数字化校园的基础架构，它属于规模较大的园区网络。在网络安全问题日益突出的今天，本文分析了校园网络安全的现状、特点与需求，阐述了校园网络安全需要重点关注的安全技术。在此基础上，提出了校园网安全方案，重点介绍了统一威胁管理、网络访问控制、端点安全保护、网络安全监控等相关技术。关键词：网络安全；统一威胁管理（UTM）；网络接入控制（NAC）；终端安全1 引言当前，计算机网络的安全性是每一个网络的设计者和管理者都极为关心的热点。由于因特网协议的开放性，使得计算机网络的接入变得十分容易。正是在这样的背景下，能够威胁到计算机网络安全的因素就非常多。校园网作为计算机网络的一类，同样面临着一系列的安全问题，受到来自网络内外的攻击。一般的校园网安全方案存在安全手段单一的问题，大多只是简单地采用防火墙等有限措施来保护网络安全。而这些措施往往存在很大的局限性，它们不能覆盖到整个校园网安全的各个层次、各个方位，这样的网络系统就存在很多的安全隐患。比如缺乏强健的认证、授权和访问控制等，往往使攻击者有机可乘；管理员无法了解网络的漏洞和可能发生的攻击。传统的被动式抵御方式只能等待入侵者的攻击，缺乏主动防范的功能，对于己经或正在发生的攻击缺乏有效的追查手段，对从网络进入的病毒无法控制等。这些都是需要解决的安全问题。以下，将对校园网的网络安全现状和安全需求进行分析，并提出相关的解决方案。2 校园网建设现状及安全需求2.1 校园网的现状与特点从上世纪末开始，我国高校开始大规模建设校园网络，随着建设的深入，校园网在数字化校园的基础平台作用日益突出，师生通过校园网络可以非常方便的实现在线学习、访问因特网资源等，校园内原有相对独立的信息系统也可以通过网络进行交互，并且能对外界进行信息发布。校园网的建立，将相对封闭的校园直接面向世界，为学校的发展带来了诸多好处，今天校园网的建设和发展水平已经成为衡量高等院校建设和管理水平的重要标志之一。高校校园网的建设周期普遍较长，且具有如下特点：(l)网络规模大、系统管理复杂：校园网用户群体较大，少则数千、多则数万，网络用户密集。构成校园网的设备品牌多样，造成管理的复杂性。计算机的购置和管理情况更加复杂，有学生自行购买、自己维护的；有院系统一采购、专人维护的；有教师自主购买、无专人维护的。终端分散于各宿舍、教研室和办公室，控制权和使用权一般都归用户所有，几乎涵盖各种操作系统。(2)网络环境开放、网络活动繁杂：教学和科研的特点决定了校园网络环境应该是开放的、管理也是较为宽松的。比如，企业网可以限制内部浏览网页和电子邮件的流量，甚至限制在计算机上安装使用未经许可的软件，但是在校园网环境下是没有办法做到的。校园网中除了通常的HTTP、Email、FTP、P2P等活动外，还存在各类网络实验室自设的服务活动。用户安全保密意识、事件处理水平差别很大。学生用户相当活跃，对网络新技术充满好奇，勇于尝试各种攻击技术，对网络有一定的影响力和破坏力。由于，业务系统繁多，管理使用权分散，难以集中管理控制。(3)盗版资源泛滥、安全漏洞多：盗版软件普遍使用，影视资源广泛传播，不仅占用大量网络带宽，也给网络安全带来隐患。安装盗版系统的计算机上留下了大量的安全漏洞，为网络攻击提供了入口，给网络安全造成了很大的隐患。2.2 主要的安全问题和安全需求虽然绝大多数校园网已部署了一些基本的网络安全设备，例如防火墙、入侵检测系统以及防病毒网关等，但这些设备基于单点部署或多点部署，难以满足目前网络的整体安全需求。校园网络用户众多，学生群体使用网络活跃，同时用户使用网络的技术水平、安全意识也相差很大，相对管理严格的企业网络来说，高校网络用户基本是松散的管理状态，这给安全管理与安全策略的集中部署带来了一定的难度。由于校园网络开放的特征，校园网的用户往往要直接面对来自校园网内外攻击的威胁，而日益增长的网络安全事件已成为制约校园网可用性的主要因素。校园网络既是大量攻击的发源地，也是攻击者最容易攻破的目标。当前校园网典型的安全问题有：(1)计算机系统漏洞普遍存在，对信息安全、系统使用、网络运行构成严重的威胁；(2)内部用户的攻击行为越来越多，危害不亚于来自外网的攻击；(3)内部用户对网络资源滥用，有的校内用户利用免费的校园网络资源提供商业的或者免费的视频、软件资源下载，占用了大量的网络带宽，影响了校园网络的应用；(4)垃圾邮件、不良信息广泛传播，有的利用校园网络内无人管理的服务器作为中转，严重影响学校的声誉。因此，这也就给网络管理员提出了以下几方面的安全需求。在用户接入方面，校园网普遍有以下几个安全需求：l 对用户的身份进行标识和认证，保证只有授权用户可以访问校园网；l 及时发现影响网络运行的异常行为来源，以便采取控制措施减少影响；l 一些安全事件的事后追查，有时需要追踪到用户身份。从应用的角度来看，从网站到电子邮件，从文件下载到数据库应用，从流媒体到VOIP等等，校园网涉及绝大多数的互联网应用服务，互联网应用层面出现的问题在校园网中都可以找到，因此，快速定位安全问题的源头是高校网络安全管理者普遍需要解决的问题。3 安全问题的解决技术及方案针对校园网的以上安全特点和安全需求，在进行网络安全规划与设计过程中，提出了以下几种解决技术和方案。3.1 统一威胁管理（UTM）和应用防火墙的部署根据IDC的统计，统一威胁管理（UTM）是安全设备市场业务增长最快的部分，预计2009年的全球销售将超过30亿美元。许多边界防火墙现在已经演变成为了多功能统一威胁管理设备。UTM并不是单独一个产品，而是目前一种以最小代价对抗复杂网络攻击的方法，UTM的一体化网络安全平台在单个整合的盒子里提供了防火墙、入侵预防和防病毒服务。同时，还有许多产品可以提供进一步的安全服务，包括反间谍软件和VPN功能，以及反垃圾邮件和Web过滤等。当然，想要将所有的东西都整合在一个平台上是不切实际的，对于许多应用需求而言，问题并不在于是否要应用UTM，而在于何时、何地和如何整合安全服务。成功的UTM部署需要认真的规划，要先考虑在网络的哪个位置整合安全服务，再考虑这样做之后所带来的好处和影响，最后，有计划地将安全服务分布到多个UTM设备或UTM群上。对于校园网络而言，由于其管理状态的松散性,在网络边缘处统一部署UTM是一种比较有效的方式，它是保证校园网安全的第一道屏障，用它来隔离可信区域和不可信区域。许多UTM防火墙使用“深层次”的数据包检查和代理技术来检测来自恶意网址、病毒和间谍软件的消息内容，但它们仍然只是一般用途的设备。随着网络防火墙变得健壮，攻击者调整了他们的战术。目前，最危险的威胁主要是针对于特定应用协议的弱点、编码缺陷和配置错误等方面的。应用防火墙可以阻止这些更有针对性的攻击。应用防火墙是一种高度专业化的系统，旨在保护一个单一的业务应用。举例来说，Web应用防火墙会检查HTTP/HTTPS/SOAP/XML的请求和响应，寻找攻击Web服务器和应用的对象。VoIP应用防火墙过滤和代理SIP/SIPS/RTCP/RTP的流，将呼叫映射到已注册用户，并保护呼叫管理器和PBX不受VoIP黑客攻击。应用防火墙并不能替换UTM防火墙；它们是部署在已建立的可信界限内的，用一个更细致的安全层来扩大保护范围。应用防火墙在一些网络防护不能有效保护的高价值、高威胁和关键任务应用的地方作用明显。如图1所示，应用防火墙是UTM的一个有效补充。图1 应用防火墙作为UTM的补充3.2 网络接入控制（NAC）和终端安全控制今天，更多的攻击来自于网络内部，而不是外部。2006年IDC安全调查报告（图2）显示：网络规模越大，其发生网络内部攻击事件的比例越大。在今年的计算机安全委员会计算机犯罪与安全调查（Computer Security Institute Computer Crime and Security Survey）报告中，报道最多的事件就是内部网络接入使用不当和过多的病毒感染邮件。这同样也是在校园网中普遍存在和亟需解决的一个问题。图2 2006年IDC安全调查报告为了防止校园网内部用户的不当行为，我们需要反思目前的安全架构，必须设想桌面系统已经失密。这种保护架构的中心是利用一些安全工具，如网络接入控制（NAC）和端点安全产品（图3）。通过这些工具，集中式的安全系统可以确保只有经过授权的个人才能使用指定的设备访问网络。图3 应用NAC和端点安全进行保护在过去几年里，依赖于网络边缘安全机制，通过建立边界，将可信的内部网与其他外部网分离。然而，校园网络的分布式和动态性特性，加上对应用程序和数据的针对性威胁改变了原有网络安全关注的焦点。今天，网络安全更多关注的是控制个体用户对服务和数据的访问，以及对用户行为的审核，以确保其遵守安全政策和规则。网络接入控制（NAC）已经成为一种对用户加强终端安全和分配合适访问权限的有效方法。网络接入必须更严格地进行控制，以反映用户身份和端点状态，对管理终端加强安全策略。NAC采用了SSL VPN的一种方法，它将每一个用户都视为是潜在不安全和不可信赖的。NAC将根据用户身份验证、终端安全状态和策略的组合给用户授予资源访问权限。NAC在网络连接时或定期重新评估之后，作出访问控制的决定。感染病毒的电脑都将被隔离后进行修复，干净的机器才可以被允许进行Internet访问。网络接入控制（NAC）技术的这些特性对于用户数量多、应用需求复杂的校园网十分适用，它将在很大程度上抑制校园网内部用户的攻击行为和对网络资源的滥用。另外，我们还要加强对终端的安全控制。随着互联网连接的增长，个人防火墙大受欢迎并被包含到操作系统中，但这些安全措施都还仅仅是开始。要阻止更多样化的敌对威胁，桌面安全厂商已经在终端安全套件上安装了更高级的防护。跟UTM一样，它组合了防火墙、防病毒、反间谍软件、反垃圾邮件以及入侵预防等服务。与UTM不同的是，终端安全套件是在每个主机上运行的程序。UTM能够阻止恶意软件的传播，因此可以减少带宽消耗和清理费用。终端安全套件可以使桌面系统增强抗内部攻击的能力，并能保证移动笔记本电脑安全地连接到公共网络。UTM和终端安全套件的协同工作，更高效地保护了网络。3.3 网络安全监控控制网络访问只是成功的一半，剩下的就是严密观察从那些防护旁溜过的或网络内部的任何威胁和高风险流量。网络入侵检测系统（IDS）通过积极地观测网络流量并向管理员发出攻击警告补充了边界防火墙的功能。现在，入侵检测系统已在很大程度上让位给了入侵防预系统（IPS）一个不仅可以检测还可以阻止入侵的预防系统。阻止入侵会将监测的流量与签名和协议规则进行对比，IPS着重关注于可信边界，即在防火墙或VPN集线器之后，与主机连接的地方的流量，当发现有入侵时，IPS可以采取基于策略的行动断开该连接或对来源进行检查。目前，网络安全监控还必须关心网络内部的异常活动，服务器和主机之间非典型的交互行为都可以作为攻击的证据。为了解决这个问题，已经出现了一类新的安全产品：网络行为分析（NBA）。它使用流量观测来发现流量峰、意外活动和违反安全策略的行为。如果IPS尚未部署签名和终端安全补丁时，NBA可以帮助IPS描述出攻击的关系、标记异常和发现Zero-day攻击。最后，在大中型校园网络中，由于安全问题的复杂性急剧增加，以至在没有协助的情况下管理员都无法有效地分析日志、警报和流量记录。安全信息管理（SIM）产品可以从网络设备、应用服务器、数据库、防火墙、VPN集中器、NAC设备、终端安全服务器等收集和汇总有关的安全数据。和NBA一样，SIM是较大型校园网络应该关注的新领域。4 总结本文主要讨论的是如何设计建立一个高安全性的校园网络安全系统。首先，从校园网建设的特点入手，分析了校园网的安全需求，为有针对性地解决突出的校园网络安全问题，提出了一系列相关的技术及解决方案。研究和实践表明，重视在网络边缘对统一威胁管理和应用防火墙的部署，结合用户接入层的网络访问控制和终端安全控制，应用安全监控和分析技术，校园网络安全是可以得到一定程度的保障的。当然，随着计算机网络的扩大，威胁网络安全因素的不断变化，任