校園網(wǎng)絡(luò)安全建設(shè)案例分析

 一、網(wǎng)絡(luò)安全建設(shè)背景
隨著校園信息化建設(shè)成為了高校發(fā)展的新方向，校園信息化建設(shè)逐漸成為高校綜合實(shí)力的一種體現(xiàn)。然而，在當(dāng)前復(fù)雜而又嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)下，各高校對(duì)網(wǎng)絡(luò)安全的重視程度日益提高，也是各個(gè)高校進(jìn)行信息化教學(xué)工作的重要前提。
二、校園網(wǎng)面臨的具體問(wèn)題
當(dāng)前各大高校校園網(wǎng)網(wǎng)絡(luò)安全均存在著不同程度的問(wèn)題和隱患，我認(rèn)為這些問(wèn)題和隱患主要體現(xiàn)在以下三個(gè)方面，人防、管防和技防。校園網(wǎng)絡(luò)安全“人防“問(wèn)題，即網(wǎng)絡(luò)安全隊(duì)伍建設(shè)問(wèn)題；校園網(wǎng)絡(luò)安全“管防“問(wèn)題，即網(wǎng)絡(luò)安全管理制度問(wèn)題；校園網(wǎng)絡(luò)安全“技防“問(wèn)題，即網(wǎng)絡(luò)安全設(shè)備問(wèn)題，本文重點(diǎn)分析“技防”，網(wǎng)絡(luò)安全設(shè)備的投入是整個(gè)校園網(wǎng)絡(luò)安全建設(shè)的重中之重，而校園網(wǎng)絡(luò)安全設(shè)備投入巨大，并且設(shè)備更新周期短，很多高校缺少系統(tǒng)的投入；隨著國(guó)家對(duì)網(wǎng)絡(luò)安全問(wèn)題的高度重視，高校在技防方面的建設(shè)迫在眉睫。
根據(jù)網(wǎng)絡(luò)改造前拓?fù)鋱D我們可以分析出該高校校園網(wǎng)存在如下網(wǎng)絡(luò)安全隱患。
問(wèn)題一、網(wǎng)站服務(wù)器區(qū)域缺少必要的安全防護(hù)。
該高校的門戶網(wǎng)站、管理系統(tǒng)等直接暴露在公網(wǎng)之上，門戶網(wǎng)站及管理系統(tǒng)服務(wù)器將會(huì)遭遇惡意入侵、服務(wù)器文件感染病毒、網(wǎng)站掛馬、管理程序被植入廣告等網(wǎng)絡(luò)威脅行為。
問(wèn)題二、缺少上網(wǎng)行為審計(jì)系統(tǒng)。
網(wǎng)絡(luò)拓?fù)渲腥鄙偕暇W(wǎng)行為審計(jì)設(shè)備，沒(méi)有對(duì)校內(nèi)網(wǎng)行為進(jìn)行記錄，無(wú)法定位、分析、判斷出網(wǎng)絡(luò)的異常網(wǎng)絡(luò)行為，對(duì)于一些影響社會(huì)和諧的網(wǎng)絡(luò)事件無(wú)法追查及控制，嚴(yán)重影響了校園網(wǎng)絡(luò)的安全。
問(wèn)題三、缺少對(duì)網(wǎng)內(nèi)、網(wǎng)外攻擊的有效防御。
該校園網(wǎng)缺少防御網(wǎng)絡(luò)攻擊的安全設(shè)備，如果發(fā)生內(nèi)外網(wǎng)攻擊，如DOS/DDOS攻擊、蠕蟲(chóng)病毒、木馬植入等網(wǎng)絡(luò)威脅行為，將會(huì)嚴(yán)重影響了學(xué)校的信息化教學(xué)及網(wǎng)絡(luò)信息化辦公。
問(wèn)題四、網(wǎng)絡(luò)結(jié)構(gòu)不合理，核心骨干網(wǎng)絡(luò)缺少雙核心。
校園網(wǎng)絡(luò)核心設(shè)備為單核心，存在單點(diǎn)故障隱患，業(yè)務(wù)風(fēng)險(xiǎn)大，任意一點(diǎn)故障都會(huì)造成大面積甚至全校業(yè)務(wù)中斷。
三、針對(duì)上述問(wèn)題提出的解決方案
1、在網(wǎng)絡(luò)出口串聯(lián)部署下一代防火墻NF，通過(guò)下一代防火墻可以對(duì)應(yīng)用層攻擊、病毒進(jìn)行全面阻斷，可實(shí)現(xiàn)基于源/目的IP地址、協(xié)議/端口、時(shí)間、用戶、VPN、安全區(qū)的訪問(wèn)控制，保證內(nèi)部網(wǎng)絡(luò)的安全。
2、校園網(wǎng)內(nèi)部部署IPS系統(tǒng)，IPS提供一種主動(dòng)的、實(shí)時(shí)的防護(hù)，對(duì)常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進(jìn)行檢測(cè)，阻止入侵活動(dòng)，預(yù)先對(duì)攻擊性的流量進(jìn)行自動(dòng)攔截，而不是簡(jiǎn)單地在監(jiān)測(cè)到惡意流量后發(fā)出警報(bào)。入侵防御系統(tǒng)采用串聯(lián)的方式接入到網(wǎng)絡(luò)鏈路中，即入侵防御系統(tǒng)如果檢測(cè)到攻擊企圖，就會(huì)自動(dòng)地將攻擊包丟掉或?qū)⒐粼醋钄?，而不把攻擊流量放進(jìn)內(nèi)部網(wǎng)絡(luò)。
3、在服務(wù)器區(qū)域部署Web應(yīng)用防火墻，它提供Web應(yīng)用實(shí)時(shí)深度防御的同時(shí)，實(shí)現(xiàn)Web應(yīng)用加速與防止敏感信息泄露的功能。WAF可以解決目前所面臨的各類網(wǎng)站安全問(wèn)題，如：注入攻擊、跨站攻擊、腳本木馬、緩沖區(qū)溢出、信息泄露、應(yīng)用層DoS/DDoS攻擊等常見(jiàn)安全問(wèn)題，WAF設(shè)備采用透明網(wǎng)橋模式管理方便，在不需要改變?cè)W(wǎng)絡(luò)拓?fù)涞那闆r下，串聯(lián)接入校園網(wǎng)絡(luò)中，對(duì)Web攻擊進(jìn)行防御。
   4、安全審計(jì)系統(tǒng)，對(duì)流經(jīng)核心交換機(jī)訪問(wèn)互聯(lián)網(wǎng)的流量進(jìn)行行為審計(jì)。在網(wǎng)絡(luò)中部署安全審計(jì)系統(tǒng)，可以實(shí)時(shí)監(jiān)控上網(wǎng)人員的訪問(wèn)行為和信息的傳播，掌握校園網(wǎng)絡(luò)的狀態(tài)，及時(shí)發(fā)現(xiàn)違反安全策略的事件并實(shí)時(shí)告警、記錄，并對(duì)信息源進(jìn)行定位與分析，便于事后追查并取證 。
5.雙核心設(shè)備應(yīng)用
構(gòu)建基于雙核心的網(wǎng)絡(luò)核心設(shè)備熱備，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)及系統(tǒng)容災(zāi)，滿足50ms電信級(jí)切換時(shí)間要求，確保學(xué)校的網(wǎng)絡(luò)穩(wěn)定。
四、未來(lái)的工作方向
升級(jí)后的校園網(wǎng)雖然有了網(wǎng)絡(luò)安全保障，但是缺少對(duì)網(wǎng)絡(luò)更細(xì)化的管理，后續(xù)工作為提供上網(wǎng)行為管理系統(tǒng)，對(duì)校園網(wǎng)上網(wǎng)流量進(jìn)行更合理的規(guī)劃，控制教師及學(xué)生的上網(wǎng)行為，提高網(wǎng)絡(luò)資源的利用率。
五、結(jié)束語(yǔ)
本文對(duì)某高校校園網(wǎng)現(xiàn)存的安全問(wèn)題進(jìn)行了分析，并提出了一個(gè)事前防御，事中檢測(cè)，事后審計(jì)，全方位、多層次的網(wǎng)絡(luò)安全解決方案，并提出了后續(xù)的工作方向，筆者認(rèn)為網(wǎng)絡(luò)安全方案的提出要充分考慮學(xué)校現(xiàn)有問(wèn)題，以及學(xué)校的承載能力，根據(jù)具體的需求提出不同的方案，靈活實(shí)現(xiàn)。