上海交大:六大措施保障網(wǎng)絡(luò)安全
建設(shè)一個(gè)安全可靠、穩(wěn)定可管理的網(wǎng)絡(luò)已成為人們的共識。對校園網(wǎng)而言,這可能需要管理者們付出更大的努力。高校校園網(wǎng)服務(wù)于教學(xué)科研的宗旨,決定其必然是一個(gè)管理相對寬松的開放式系統(tǒng),無法做到像企業(yè)網(wǎng)一樣進(jìn)行嚴(yán)格統(tǒng)一的管理,這使得保障校園網(wǎng)安全成為一個(gè)大挑戰(zhàn)。
上海交通大學(xué)從自身情況出發(fā),應(yīng)用了以下六項(xiàng)措施保障網(wǎng)絡(luò)安全。
措施1 網(wǎng)絡(luò)交換路由設(shè)備的安全配置
根據(jù)不同控制策略的要求,對校園網(wǎng)邊界路由器,各校區(qū)核心交換機(jī),匯聚點(diǎn)交換機(jī)以及樓內(nèi)三層交換機(jī)分級配置合理的訪問控制列表(ACL),從而保障網(wǎng)絡(luò)安全。機(jī)制如下:
對蠕蟲病毒常見傳播端口和其他特征的控制,可以有效控制蠕蟲病毒大面積擴(kuò)散;
對常見木馬端口和系統(tǒng)漏洞開放端口的控制,可以有效降低網(wǎng)絡(luò)攻擊和掃描的成功率;
對IP源地址的檢查將使部分攻擊者無法冒用合法用戶的IP地址發(fā)動(dòng)攻擊;
對部分ICMP報(bào)文的控制將有助于降低Smuff攻擊的威脅。
在網(wǎng)絡(luò)安全日常管理維護(hù)和出現(xiàn)病毒爆發(fā)或其他突發(fā)安全威脅時(shí),合理配置ACL將有助于快速定位和清除威脅。
措施2 采取靜態(tài)IP地址管理模式
上海交通大學(xué)長期以來一直采用校園網(wǎng)用戶靜態(tài)IP地址管理模式。所有網(wǎng)絡(luò)用戶入網(wǎng)前需要事先從網(wǎng)絡(luò)中心申請獲取靜態(tài)IP地址。網(wǎng)絡(luò)中心收到申請后在用戶接入的二層交換機(jī)上完成一次用戶MAC-接入交換機(jī)端口的綁定,并在用戶樓內(nèi)三層交換機(jī)上實(shí)現(xiàn)用戶IP-MAC的一一綁定,使用這種方法來確認(rèn)最終用戶,消除IP地址盜用等情況。雖然看上去比較復(fù)雜,但由于網(wǎng)絡(luò)中心針對校園網(wǎng)中使用的各種不同廠家和類型交換機(jī),都開發(fā)了相應(yīng)的綁定程序,所有的綁定管理工作都由程序自動(dòng)完成,所以管理人員的工作量并不大。網(wǎng)絡(luò)中心的網(wǎng)管數(shù)據(jù)庫里存放著全校范圍內(nèi)數(shù)千臺接入交換機(jī)的端口-用戶房間端口信息數(shù)據(jù),以及所有用戶的詳細(xì)使用信息和相關(guān)IP-MAC資料,所有這些都為建立可管理的安全校園網(wǎng)提供了基礎(chǔ)。
這種管理模式的好處很多:一旦出現(xiàn)掃描攻擊,垃圾郵件等網(wǎng)絡(luò)安全事件,根據(jù)IP/MAC/端口可以在第一時(shí)間迅速定位來源,從而為采取下一步處理措施提供準(zhǔn)確的依據(jù)。這樣一個(gè)完整準(zhǔn)確的用戶信息系統(tǒng)的存在,為以后構(gòu)想中的網(wǎng)絡(luò)自防御體系創(chuàng)造了條件。
措施3 中央集中控制病毒
在病毒的防控方面,學(xué)校采取中央集中控制管理的模式,統(tǒng)一采購網(wǎng)絡(luò)版殺毒軟件,免費(fèi)提供給校內(nèi)用戶使用,使得病毒庫可以及時(shí)快速升級。此外,建立一個(gè)校內(nèi)網(wǎng)絡(luò)安全站點(diǎn),及時(shí)發(fā)布安全公告,提供一些安全建議和相關(guān)安全工具下載也是十分必要的。
在2003年沖擊波病毒爆發(fā)以后,網(wǎng)絡(luò)中心開始思考如何應(yīng)對由于微軟操作系統(tǒng)漏洞引起的大規(guī)模蠕蟲病毒感染。當(dāng)年就建立了微軟軟件更新(SUS)站點(diǎn),給校園網(wǎng)用戶提供微軟操作系統(tǒng)補(bǔ)丁的快速自動(dòng)更新。今年又建立了微軟Windows軟件更新(WSUS)站點(diǎn)和Linux系列操作系統(tǒng)的自動(dòng)更新站點(diǎn),提供操作系統(tǒng)、微軟Office應(yīng)用程序、SQL數(shù)據(jù)庫的校內(nèi)快速自動(dòng)更新服務(wù)。因?yàn)閃SUS的數(shù)據(jù)庫里可以存儲(chǔ)所有用戶的更新信息,所以網(wǎng)絡(luò)中心就可以掌握校內(nèi)計(jì)算機(jī)的漏洞分布情況,并且誰裝了補(bǔ)丁誰沒裝一目了然。為了普及校內(nèi)計(jì)算機(jī)安裝自動(dòng)更新,盡可能的消除操作系統(tǒng)級別的安全隱患,我們計(jì)劃于近期進(jìn)行半強(qiáng)制性的安裝。
措施4 積極防范網(wǎng)絡(luò)攻擊
我們在校園網(wǎng)邊界出口部署了IDS,核心路由器上啟用了NetFlow、sFlow等進(jìn)行監(jiān)控,對關(guān)鍵的網(wǎng)絡(luò)節(jié)點(diǎn)通過端口鏡像、分光等方式進(jìn)行進(jìn)一步分析處理網(wǎng)絡(luò)數(shù)據(jù)包,通過部署基于Nessus的漏洞掃描服務(wù)器對校園網(wǎng)計(jì)算機(jī)進(jìn)行定期安全掃描。
及時(shí)查看并分析處理這些監(jiān)控?cái)?shù)據(jù)和報(bào)表有助于在第一時(shí)間發(fā)現(xiàn)異常網(wǎng)絡(luò)安全事件并進(jìn)行處理,防患于未然。
實(shí)踐證明,選用合適的軟件和分析處理方式將會(huì)大幅度提高工作效率。商業(yè)軟件固然不錯(cuò),但很多開源軟件如Ethereal、Ntop、Nessus等在這些方面一樣做得很優(yōu)秀,并且易于用戶根據(jù)自己的需要進(jìn)行二次開發(fā)。
措施5 統(tǒng)一身份認(rèn)證
對于無線網(wǎng)絡(luò)的安全而言,用戶接入認(rèn)證是非常關(guān)鍵的。網(wǎng)絡(luò)中心使用了校內(nèi)統(tǒng)一身份認(rèn)證來限制校外用戶未經(jīng)授權(quán)的無線訪問。由于WEP認(rèn)證具有天然的弱安全性,網(wǎng)絡(luò)中心又同時(shí)提供了基于802.1x的認(rèn)證平臺進(jìn)行校內(nèi)統(tǒng)一身份認(rèn)證并鼓勵(lì)用戶使用。
措施6 鼓勵(lì)學(xué)生當(dāng)網(wǎng)管
宿舍網(wǎng)的網(wǎng)絡(luò)安全管理在很多學(xué)校往往是比較頭疼的,上海交大網(wǎng)絡(luò)中心在這方面取得了讓學(xué)校師生滿意的成績,而且,網(wǎng)絡(luò)中心也沒有太多人力深陷其中。根本原因還是在學(xué)校有關(guān)部門的大力配合下,建立了一支由數(shù)百人組成的學(xué)生宿舍網(wǎng)管員隊(duì)伍,每個(gè)樓都配有至少一名學(xué)生網(wǎng)管員,一般在樓內(nèi)招聘。日常管理由學(xué)生工作部門負(fù)責(zé),工資待遇納入學(xué)校勤工助學(xué)體系,但網(wǎng)管員具體工作由網(wǎng)絡(luò)中心加以指導(dǎo)。
通過培訓(xùn)這些學(xué)生網(wǎng)管員掌握基本的網(wǎng)絡(luò)安全意識和基本技能,大量的網(wǎng)絡(luò)安全問題都消失在萌芽狀態(tài)。當(dāng)處于病毒爆發(fā)期或有網(wǎng)絡(luò)安全突發(fā)事件時(shí),分布在全校各處的學(xué)生網(wǎng)管員也可以第一時(shí)間做出響應(yīng),協(xié)助網(wǎng)絡(luò)中心的工作。
結(jié)束語
很多時(shí)候,校園網(wǎng)絡(luò)安全管理人員都會(huì)發(fā)出這個(gè)感慨:發(fā)現(xiàn)病毒和攻擊其實(shí)并不難,難的是面對層出不窮的大量病毒和攻擊時(shí),如何去快速響應(yīng)處理。要實(shí)現(xiàn)網(wǎng)絡(luò)安全,單單依靠網(wǎng)絡(luò)中心的力量肯定是不夠的,要?jiǎng)訂T各部門院系的力量,激發(fā)學(xué)生的興趣和創(chuàng)造力,建立專門的網(wǎng)絡(luò)安全隊(duì)伍,通過培訓(xùn)等各方面途徑來提高所有網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)安全意識。只有網(wǎng)絡(luò)安全意識深入人心,才有可能創(chuàng)造出一個(gè)長期的良好的校園網(wǎng)安全環(huán)境。
【編輯推薦】
