校园网络安全防御与应急.ppt

校园网络安全防御与应急 鲁东明浙江大学网络与信息中心二 五年九月二十二日 报告提纲 校园网络安全状态网络安全防御与应急及关键设备技术浙大网络的安全防御措施 一 校园网络的安全状态 网络带给我们便捷通信 自由交流 海量信息 同时也带来不可忽视的安全隐患与潜在威胁 国家计算机网络应急技术处理协调中心 CNCERT CC 2004年 共收到互联网安全事件报告64 686件 2005年1月 8月 共收到互联网安全事件报告40 000多件 计算机病毒 网络蠕虫1988年11月 Morris蠕虫 互联网主体瘫痪2001年 红色代码 2003年 冲击波病毒 2004年5月 震荡波蠕虫 2005年8月15日 狙击波病毒 黑客攻击2004年 我国共有3617家互联网站遭到黑客攻击 垃圾邮件MessageLabs统计 垃圾邮件比例达到74 携带病毒 广告 医疗 色情 不健康内容传播色情信息 对未成年人的危害增大 非法的访问 校园网络是互联网络的有机组成部分 同时又是为师生员工的教学 科研 管理 服务 文化娱乐等服务的特殊支撑平台 校园网络存在安全隐患 各种各样的应用软件在校园网中广泛使用 Windows系统存在很多的系统安全漏洞 浏览器IE存在严重的安全漏洞 被广泛使用的FTP服务器Serv U也存在严重的缓冲区溢出漏洞 校园网络存在安全隐患 校园网络既是学习研究平台 又是大学文化建设的窗口学生对新技术有好奇 好学的心理 在校园网上测试 使用各种各样网络安全技术和工具 扫描工具 系统漏洞探测工具 学生正处于成长期 不健康内容会对他们的成长产生不利的影响 色情的 反动的 校园网面临的多种威胁 校园网提供各种服务 提供服务的部门安全意识不统一 各种服务器存在安全威胁 教师 学生与外界的频繁Email联系 垃圾邮件非常多 浙大有90 是垃圾邮件 二 网络安全防御与应急及关键设备技术 网络安全防御与应急体系 物理隔离 设备备份 VLAN 防火墙 入侵检测系统 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 防火墙及技术 为网络通信 数据传输提供更有保障的安全性 分类 包过滤防火墙 检查每个IP包的字段 如源地址 目标地址 端口等 状态检测防火墙 动态检查网络连接和包 应用程序代理防火墙 与特定应用程序配合使用 性能 最大带宽 并发连接数 每秒新增连接数 丢包和延迟 自身安全性 产品 Juniper的NetScreen Cisco的Pix 天融信防火墙 天网防火墙 入侵检测与防御及技术 及时发现网络异常行为 并阻止其进一步发展 检测技术 基于误用检测技术 检测与异常规则相匹配的网络行为 基于异常检测技术 检测偏离了正常规则的网络行为 核心技术 模式匹配 基于统计方法 预测模式生成 性能 降低误报率 漏报率 产品 CA的IntrusionDetection 启明星辰的天阗IDS 防病毒及技术 及时发现病毒 并清除 阻止病毒进一步传播 扩散 核心技术 特征代码匹配 病毒特征自动发现 启发式搜索 产品 Norton Kaspersky 金山毒霸 瑞星杀毒软件 反垃圾邮件及技术 过滤 阻止大量的非正常的电子邮件 反垃圾邮件机理 IP地址 域名 邮件地址黑白名单方式 基于垃圾邮件行为模式识别模型 Domainkeys方式 基于PKI的方式对邮件发送者进行验证 对邮件信息进行加密保护 对收信人实现防抵赖机制 基于信头 信体 附件的内容过滤方式 产品 防垃圾邮件网关 如冠群金辰的Kill赤霄邮件过滤网关 防垃圾邮件防火墙 如 博威特的梭子鱼垃圾邮件防火墙 内容过滤及技术 阻止不健康 反动信息的复制 传播 过滤方法 基于关键字 权重关键字 基于URL的过滤 基于文字内容的深度搜索 一般在防病毒网关 反垃圾邮件系统中集成 三 浙大网络的安全防御措施 浙江大学校园网络安全部署示意图 涉密部门 如保卫处 财务处等 需要使用隔离的专网 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 部署双核心交换机 防止一台交换机瘫痪的时候引起整个网络的瘫痪 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 利用SAN网络备份对服务器数据进行备份 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 服务器服务进行备份 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 后勤部门跨校区VLAN 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 出口千兆防火墙 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 内网基于IP和端口包过滤 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 学生宿舍IP和MAC地址绑定 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 核心交换机上接日志与审计服务器 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 认证服务器对普通用户的用户名和密码认证 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 网络防病毒服务器提供校内各病毒客户端的自动升级 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 邮件服务器前部署防垃圾邮件网关 防病毒网关 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 浙江大学校园网络安全部署示意图 物理隔离 设备备份 VLAN 防火墙 内网包过滤 日志审计 身份认证 垃圾邮件过滤 IP和MAC地址绑定 数据备份 服务备份 网络防病毒 三分技术 七分管理 配备完整系统的网络安全设备防火墙 入侵检测系统 网络版的防病毒系统实现对校园网络进行系统的防护 预警和监控建立全校统一的身份认证机制对学生宿舍计算机进行IP地址绑定上网用户必须办理上网登记手续BBS实行实名制规范出口管理严格控制私自连接外网 监控用户的上网行为专人负责对各个网站 BBS内容进行监控 及时阻止有害信息播各网站 BBS保留日志 并建立周报制度各级管理机构设定网络安全员负责相应的网络安全和信息安全工作加强对用户的教育和培训制定校园网络安全管理制度落实网络中心各管理人员责任 定期定期培训各级网络管理员 加强对学生用户的教育 对违反规章制度 提出警告 停止其使用网