第四章 某高校校园网安全方案的设计
4.1 校园网安全目标
根据上一节对该高校校园网面临安全问题的分析,校园网的最终安全目标就是要保证校园网各项组织业务的正常开展,为学院提供可靠的网络服务[24].所以校园网安全需要实现以下安全目标:
1.校园网的可靠性和完整性。
2.校园网物理系统的可靠性和完整性。
3.校园网数据信息的完整性与机密性。
4.校园网操作系统及应用软件的完整性。
5.校园网的可控管理。
4.2 校园网安全设计原则
在规划该高校的网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
1.体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
2.全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
3.可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对该高校原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
4.可动态演进的原则
方案应该针对该高校制定统一技术和管理方案,实现统一安全策略的制定,实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统[25].
4.3 校园网当前的安全措施
目前校园网主要的安全措施是[26]:
1.为了确保物理网络连接设备及连接线路的稳定、安全,加强了安全监管巡查,并改善了网络物理设备的所在环境,并对线路进行了维护。
2.为了保护校园网安全,不受外部攻击的影响,在边缘架设了防火墙,对数据包进行了过滤,保证了内部网络的安全性,对数据和网络访问起到了安全作用,IDS 的架设也使校园网在一定程度上具有了检查网络异常数据包,统计分析与预测风险的能力。
3.对于内部网络的安全,使用了 VLAN 技术进了区域的虚拟隔离,使不同安全的等级网络划分开,从而防止病毒的传播扩散,防止攻击。
4.部署了防毒软件及网络行为管理的软件,起到了对可能存在病毒的过滤与查杀;加强了对互联网连入的数据及业务的监控管理。
5.学校根据已出台的国家网络安全法律法规,也都制定了各自的校园网络管理制度和校园网使用办法。
4.4 校园网安全的体系设计
4.4.1 校园网安全模型设计
随着网络技术的发展,网络安全呈现动态性的特点,相对应的网络安全防范也在动态变化过程之中,同时网络安全目标也表现为一个不断改进的、螺旋上升的动态过程。传统的以访问控制技术为核心的单点防范技术已经无法满足网络安全防范的需要。为了达到动态的网络安全目标,需要建立以一定安全指导为原则,能合理地组织各种网络安全防范措施,并有效地将单点的安全技术有机融合成网络安全的防范体系。根据体系建立的要求,从多种安全模型中选择了适合该校校园网安全模型-APPDRR模型。
网络安全的动态特性在模型中得到了一定程度的体现,其中主要是通过入侵的检测和响应完成网络安全的动态防护[27].但 DR 模型不能描述网络安全的动态螺旋上升过程。为了使 DR 模型能够贴切地描述网络安全的本质规律,对 DR 模型进行了修正和补充,在此基础上提出了 APPDRR 模型。APPDRR 模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、实时检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。
根据 APPDRR 模型,风险评估是网络安全的第一个重要环节,通过风险评估,掌握网络安全面临的风险信息,进而采取必要的处置措施,使信息组织的网络安全水平呈现动态螺旋上升的趋势。
网络安全策略是 APPDRR 模型的第二个重要环节,起着承上启下的作用:一方面,安全策略应当随着风险评估的结果和安全需求的变化做相应的更新;另一方面,安全策略在整个网络安全工作中处于原则性的指导地位,其后的检测、响应诸环节都应在安全策略的基础上展开。
系统防护是安全模型中的第三个环节,体现了网络安全的静态防护措施。系统防护是保卫系统的第一道防线,是根据已知的所有安全问题做出防御措施,如系统漏洞修复,访问控制,数据加密等,接下来是第二道防线实时检测、实时响应的环节,体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征,攻击者即使穿过了第一道防线,实时的动态监测系统也可以检测出攻击者的入侵行为,确定其身份,获取包括攻击源、系统损失等重要信息。保不再发生相同类型的入侵事件,进行恢复系统状态、修改安全策略、更新防御系统等动作。
在 APPDRR 模型中并非各个部分的重要程度都是相等的。在安全策略的指导下,进行必要的系统防护具有积极意义。但是,由于网络安全动态的特点,在攻击与防御中,实时监测应该处于一个核心地位。
APPDRR 模型通过风险评估、安全策略、系统防护、实时检测、实时响应和灾难恢复的循环,网络安全不断地得以完善和提高。使得还隐含了 APPDRR 模型还表明百分之百安全的网络是不存在,网络安全的相对性和动态螺旋上升的过程,是一个不断改进的过程。
4.4.2 校园网安全体系设计
该校安全体系结构是采用核心层、汇聚层和接入层三层(边界)的网络架构[28].
依据该三层的网络体系设计,结合思科 SAFE 模块化的设计思想,可以更好的优化校园网安全的体系设计,模块化的设计方式主要有两个有点。一是允许体系结构可以在两个变化的网络功能模块之间建立一种安全的联系,二是,对于体系结构的设计不是在单一阶段来完成,而向设计者提供了通过模块基本信息对模块进行安全评估和实现。这样设计是针对每个功能模块的安全需求,可以部署不同的设计方案,包括设备部署、技术部署、策略部署等。根据校园网络的特点,将校园网划分为各种功能区域模块,来解决校园网存在的网络安全问题。
园区网部分包括网络边缘模块、核心汇聚层模块、服务器模块等。在不同的模块区域综合性的部署了相应的网络安全技术。
该高校建设完善的校园网络安全的防御体系,就能有效地保护校园网的正常运作与使用。
根据某高校校园网络的物理结构及涉及到的安全问题,结合 SAFE 安全体系设计想法,现将该校园网划分为五个模块,进行设计并部署解决方案,其中包括:核心汇聚安全模块、接入层安全模块等五大安全模块。如图 4-2.
4.5 校园网网络硬件安全设计
网络设备安全有两个主要方面:物理安全,逻辑安全。
物理安全指将设备放置在一个远离恶意攻击者的安全地方。物理安全也指在适当的位置放置了冗余系统,假如主系统失效了,在不同物理位置的第二系统可以无缝地接替主系统的功能。
物理安全包括判断对设备潜在的物理威胁,以及设计方法去阻止它们对网络操作运行影响。很难提出一个针对物理安全的全面的保护方案,下面简要的说明了网络物理安全设计时需要考虑的问题。
网络系统的可靠性由网络硬件的可靠性和应用系统的可靠性两个大部分组成。校园网的安全运行,对网络硬件的可靠性提出了很高的要求[29].特别随着高校开展的信息化、数字化的进程,可以说一旦网络/服务器等中断,将会使整个校园网陷于瘫痪,影响网络的稳定性与安全性。因此在方案的设计实施中必须对网络的可靠性进行设计。
4.6 校园网中操作系统及应用程序的安全设计
4.6.1 校园网中操作系统的安全设计
在校园网日常的工作中,计算机病毒会在管理员没有做好安全防范工作就安装和配置操作系统的时候入侵到了操作系统里,这样就会导致在系统安装结束时,病毒也植入到该系统中,影响网络安全。不但如此,由于系统存在漏洞,可能还给校园网攻击者留下了可乘之机。在校园网中学校为了方便交流与学习,都会开设应用服务,如WWW 服务、FTP 服务等。这些服务器的安全问题是不容忽视的。
1.校园网中操作系统的安全设计的注意事项
对于校园网中的主机(服务器与终端)进行强化,其实就是拆分主机的功能,找到主机能够正常运行的关键因素,并保证正在运行的功能尽可能地安全。主机安全强化可分割成很多相互独立的任务,每个任务都基于操作系统而定。即使使用了主机防病毒(AV)、主机防火墙或者主机 IDS,都应该执行这些安全强化步骤。针对该高校部署下列技术可以提高主机的安全性,但还需要良好的系统管理工作。
(1)分区磁盘空间
虽然台式机系统不需要经常分区,但服务器系统却经常需要分区。比如,在 UNIX系统中,最好为下列组件设置单独的分区。
/(或 root) - 这是驻留 OS 内核的 root 分区。该分区通常很小。
/var - 该分区常用来存放系统日志数据。将系统日志事件存放在单独的分区中,可以避免这些文件意外消耗掉文件系统上的所有可用空间。
/home - 用户目录就包含在这里,在这里可以限制它们的空间。
/usr - 该分区通常包含系统的所有软件,它往往是系统中最大的一个分区。
/tmp - 这是一个用于其他功能的小分区。
(2)关闭不需要的服务
主机就是一台标准的台式电脑,不需要为其他用户运行任何服务,如文件传输协议(FTP)。但是一台服务器,它运行的服务应该仅限于它执行任务所需的服务。也就是说,在 web 服务器上就应该运行 HTTP 而不是 Telnet.关闭不需要的服务可以避免让这些服务暴露在攻击之下。如果 Web 服务器只运行 HTTP,那么就可以不用担心该服务器是否存在其他漏洞了。
(3)为需要的服务打补丁
必须运行的任何服务都应该打上最新的补丁。但需要注意的是,因为补丁有可能破坏程序的其他部分。因此,任何补丁在部署到关键系统上之前都要在测试系统或非关键系统上进行测试。
(4)记录关键事件
大多数现代操作系统都会在系统日志文件中将诸如认证失败之类的事件,以及其他与安全相关的信息记录下来。尽管查看所有主机上的这些数据不切实际,但是在关键系统上保留这些数据却很有必要。
2 Windows 操作系统的安全方案
众所周知,Windows 系列的操作系统因其操作方便、功能强大而被广泛使用,在该校园网中大多数无论是大部分的服务器还个人机中都安装的 Windows 系列的操作系统,为了保证 Windows 操作系统在高校网络中的安全性,可以使用 Windows 操作系统安全模型中身份验证、访问控制、机密文件系统等安全策略来增加系统的安全性。
但面对层出不穷的新病毒、新攻击,仍需使系统的安全再进一步提升。
在系统运行时,应采取以下对策:
1)关闭系统默认共享
2)删除不需要的网络协议
3)关闭不必要的有安全隐患的服务
4)启用安全策略,包括账号锁定策略、密码策略、审核策略、用户权限分配、安全选项。其中操作系统的密码十分重要,它是抵抗攻击的第一道防线,因此必须把密码安全作为系统安全的第一步。
5)加强对 Administrator 账号和 Guest 账号的管理监控6)清除页面文件
7)清除 Dump 文件
8)防范 NetBIOS 漏洞攻击,在局域网中 NetBIOS 是方便的消息通信协议,但是在因特网上 NetBIOS 就相当于一个后门程序,很多攻击都可以通过 NetBIOS 漏洞发起。
9)WEB 服务安全设置
WEB 服务和 FTP 服务,应采取以下措施。
l 在安装时不要选择 IIS 服务,安装完毕后,手动添加该服务,将其安装目录设为如 D:\INTE 等任意字符,以加大安全性。
l 删除 Internet 服务管理器、CGI 漏洞文件、及除 ASP 外的应用程序映射。
l 要建立不同文件夹并为相应文件夹设置不同权限来存放类型不同的文件。
10)加固 IIS 服务器的安全配置和管理好 IIS 在整个系统配置里就显得举足轻重,对整个校园网的安全也至关重要。可以采取如下措施:
l 删除目录映射l 删除可执行文件扩展名l 使用第三方 FTP 服务搭建软件,如 SERV-U.可以有效地避免,因系统账户集成认证,密码泄露的严重后果。
3 Linux 操作系统的安全方案
随着网络发展,Linux 操作系统也在不断的发展,加之 Linux 操作系统的开源性与稳定性,现今越来越多的用户开始使用 Linux 操作系统,在该高校,Linux 操作系统也被作为服务器被网络管理人员所使用,尽管 Linux 操作系统具有的稳定性和安全性,但是在使用时也有可能存在一定的安全隐患,在校园网中 Linux 服务器通常会受到拒绝服务攻击、口令破解攻击、欺骗用户攻击和扫描程序与网络监听攻击等,应当给出相应的安全策略和保护措施,这样才能保证校园网络的安全。
(1)设置每个内部用户的权限
(2)保护用户口令文件的安全
(3)加强对系统运行的监控和记录
(4)制定数据备份计划
(5)保持系统核心为最新
(6)对 Linux 网络进行定期安全检查
对于该高校校园网中 Linux 服务器的安全,还应执行如下措施增强安全性:
l 记录对 Linux 操作系统的访问
l 取消不必要的服务
l 对于 Telnet 服务要谨慎使用
l 对 NFS 服务和 NIS 服务进行合理设置
l 禁止使用匿名访问 FTP 服务,禁止 root、adm 等特殊用户远程访问 FTP 服务l 加强 WWW 服务的安全性
l 禁止提供 Finger 服务
虽然做了上述的安全措施,但是由于 Linux 操作系统开源的特性,只能尽量缓解系统所受到的威胁,作为高校 Linux 服务器的管理员,还应加强安全防范意识,定期对系统进行安全检查,发现漏洞即使处理,不给攻击者可乘之机。
4.6.2 校园网应用程序的安全设计
应用程序安全和主机安全有很多相同的关注点。最重要的是保证应用程序打上了最新的安全补丁。这里需要注意的是最新的版本不意味着是稳定的版本。除了保证系统最新,日志记录和应用程序的配置也很重要[30].
4.6.3 校园网络防病毒方案
针对该校园网的所受到的病毒威胁,部署防毒方案。随着防毒技术的发展,防毒产品都升级到了网络版产品,并结合现今云技术,实现了云查杀的功能,做到了尽可能全面的保护网络。
4.7 校园网网络攻击解决方案的设计
根据校园网络中不同用户对不同资源的访问需求,需要制定相应的安全策略,用以缓解网络攻击,以下给出了对应的安全实施方案。
1.校园内部工作人员的安全方案在校园网的内部成员需要对相关的资源进行访问时,相应的安全需求如下。
部门内部工作人员安全要求:
1)能访问本系统内部的服务器
2)能访问公共系统的服务器
(3)能访问业务处理系统的服务器
4)不允许被其他部门的用户访问
部门内部工作人员安全实施方案:
需要将本系统内部的服务器,公共系统服务器,业务处理系统的路由注入本单位内部网络中。
2.各个部门内部服务器的安全方案
系统内部服务器安全要求:
1)允许和本系统内部其他同一系统部门的服务器通信2)允许本单位和本系统内其他部门的授权用户访问3)不允许其他用户访问系统内部服务器安全实施方案:
各个部门内部的服务器都是由各个部门内部管理,所以在接入校园网后,需要各个部门加强服务器的安全管理,把服务器统一托管到学校网络中心进行管理。
3.公共服务器网段的安全方案
公共服务器网段的安全要求:
1)允许其他网段访问本网络中的服务器2)允许本网段访问其他网段公共服务器网段的安全实施方案:
公共服务器本身是开放的,因此将公共服务器的路由与其他所有允许访问用户的路由互相进行分发,但需要注意的是,这样可能导致个别部门的用户如果攻击公共服务器并获得对该服务器的控制权后,可以从该服务器出发访问到其他所有网络,存在一定安全风险。
4.移动人员安全方案
移动人员安全要求:
1)需要对其接入身份进行验证2)透过公网传输数据需要防止泄密3)不允许其它用户的机器非法连接到其物理交换端口移动人员安全实施方案:
在移动接入的安全性上,采用 L2TP+IPSEC,双管齐下的方式,充分利用 L2TP协议本身的身份认证功能,完成对接入用户身份的确认,另外传输数据采用 IPSEC加密之后,可以有效防止内网的数据在外部网络传输时有泄密风险。
5.统一办公网络安全方案统一办公网络安全要求:
校园网络中有多个机关单位在同一个地方办公(如院部大楼),每个机关单位都有一个或多个员工在一起办公,需要访问其每个部门系统内部的服务器。
统一办公网络实施方案:
每个不同的机关部门分配不同的 IP 子网/VLAN,并分别加入其单位内部网络,由于单位内部网络是允许访问系统内部的服务器的,这样就可以实现安全要求。
6.同一部门,分布在不同地方的应用安全方案同一部门,分布在不同地方的应用安全要求:
同一部门,办公地点不在同一个地理位置,需要互相访问。
同一部门,分布在不同地方的应用安全实施方案:
将不同办公地方的 IP 子网/VLAN 都划入部门内部网络,可实现安全需求。
有效的使用访问列表 ACL 可以阻止未经授权的访问,并且可以阻塞带有欺骗 IP地址的分组等,ACL 可以识别拒绝服务攻击,如 smurf 攻击、fraggle 攻击,并能通过阻止来自不合法的 IP 地址的流量等措施来阻止拒绝服务攻击。对于思科设备还可用过 NBAR(基于网络的应用识别)、CAR(承诺访问速率)识别和控制攻击。
4.8 校园网网络管理解决方案
由于校园网的特点,校园网在网络安全建设的核心已经从“外部网络”转向“内部网络”,校园网内部的安全建设面临挑战,加强校园网管理变得尤为重要,如何应对内网的安全威胁,包括已知和未知的威胁;安全策略遵从或强制,阻止新的攻击手段在内网中的有效运行成为了校园网网络管理的目标[31].
4.8.1 网络终端的管理
校园网络受到的威胁,多是在校学生,出于某种目的发起的,所以对于网络中的终端的管理对于校园网的安全能起到一定的作用。终端的安全策略可以采用内网介入控制,上网行为的检测,并尽量实现对于移动存储及其他外设的接入监控。身份认证技术可以有效的实现上述的安全策略。
4.8.2 校园网用户管理
对于该校校园网网络安全管理的解决方案的描述和校园网安全的目标和需求,应制定和执行校园网络安全管理制度、技术措施等,校园网中的用户都应明确责任和义务,提高安全意识,这样就便于对该校园网络的安全事故做出及时相应的处理。学校可以根据自身的情况与校园网用户签署入网协议,这样可以让用户知道学校的安全管理政策,对用户起到强调作用。其次,还应重视网络管理员的岗位专业技能的培训。
