论文部分内容阅读
摘要:安全问题是校园网络建设和使用中面临的重大课题,本论文从网络安全产品的部署角度出发,阐述了校园网一体化安全防护技术的思路,并对其具体内容做了较为详细的论述。
关键词:校园网 一体化 安全防护 统一威胁管理
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2009)21-0020-03
一、问题的提出
互联网自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多网络协议和应用没有提供必要的安全服务,比如电子邮件使用的SMTP协议没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的Telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。[1] 作为学校重要基础设施的校园网担负着教学、科研、管理和对外交流的重任,它的安全状况直接影响到教学、科研、管理和对外交流的顺利进行。目前,随着网络应用的进一步深入,网络上所面临的攻击也越来越频繁。同时,随着学校网络规模的不断扩大,用户对网络性能要求的不断提高,校园网安全问题越来越被广泛关注。[2]
二、校园网常见的安全威胁及应对措施
校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。
1.蠕虫病毒泛滥
网络上蠕虫病毒的危害越来越严重,发作越来越频繁。而且,蠕虫病毒往往与黑客技术相结合,计算机中毒发作后,导致拒绝服务攻击,严重的甚至造成全网服务中断。有些病毒还具有黑客程序的功能,一旦侵入我们的计算机系统,病毒控制者就可以非常容易地从入侵的系统中窃取信息,并远程控制这些系统。
需要建立一套完善的防毒网关,加强多级进入点的安全保护,并对网络安全管理进行规范,才能对病毒进行有效的防护。
2.校内用户在校外不安全访问学校内网
校园网用户在校外要能安全地访问到校园网,获取其数据,如工资报表、科研成果、研究资料和论文等。这些数据的安全性要求比较高,要充分考虑远程登录校园网的安全问题。
需要建立VPN网关,通过隧道技术、加密协议和安全密钥来实现校内用户在校外对学校内网的安全访问。
3.Web攻击
随着Web 2.0交互应用程序的出现,Web得到了迅速发展,但通过Web发起的攻击也越来越多。Web上大量的恶意软件和犯罪软件嵌入到无辜的第三方站点中。网络欺诈也继续发展,其攻击行为更复杂。
需要建立上网行为管理,对流氓软件、恶意软件和数据泄露等Web安全进行有效的防范。
4.外网对内网的不安全访问
在校园网中,来自校园网外部的攻击越来越频繁。如何在校园网内部和校园网外部之间建立一道安全的保护屏障,以保护校园网内部网络免受外部非法用户的入侵是我们一直在努力做的工作。
防火墙是校园网络安全的第一道屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
5.黑客攻击
随着互联网黑客技术的飞速发展,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入校园网络实在是太容易了。
为此,应部署入侵检测(防御)系统,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现(防御)各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
以上介绍的五种威胁,如果都要解决,现在常用的做法是购买相应的安全产品,分别加以部署,如图1所示。
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。基于这个特点,原先各自为战的安全产品总是处于疲于应付的状态,无法很好地实现对校园网络的安全保护。为了校园网络的安全,学校通常被迫部署多台、多种安全设备。并且随着新安全威胁的出现,还需要再部署更多的安全设备。新增加安全域时有时需要重新建设安全系统。这样一种部署方式,将带来如下的问题:
安全系统由此变得异常复杂;
复杂的安全系统将使整个信息系统的稳定性降低;
多台设备的加入,也就加入了多个可能的故障点;
新增的安全域通常需要独立、重复建设安全系统;
管理成本高,管理难度大,维护困难。
三、校园网一体化安全防护
按照上面的部署方法,我们部署了那么多的安全产品,还是有很多用户在抱怨。事实证明:拥有了网络安全产品不等于就拥有了安全,真正的安全还需要好的安全管理。现在,越来越多的网络安全解决方案也体现了安全管理更重要这一理念。
安全应用模块以负载均衡的方式工作,满足超高性能的需求;在可靠性方面,可实现“N 1”备份技术。负载均衡和“N 1”备份等技术的应用,大大提高了校园网一体化安全防护系统的安全性。
校园网一体化安全防护具有如下优点:[5]
提供了高性能的综合安全防护,各安全应用独享资源,相互之间不竞争资源,可同时打开所有安全功能。
是一个可平滑“长大”的安全系统。系统具有高可扩展性、高可伸缩性。当需求增加时,可灵活地扩展原有系统。如果采用分类设备一台台搭建安全系统,增加了系统的复杂度、降低了系统的稳定性、扩展升级困难以及维护成本高。
这些设备通常都是即插即用的,只需要很少的安装配置,减少了维护量,降低了复杂性。
当一台设备出现故障之后,即使是一个非专业人员也可以很容易地用另外一台设备替换它,使网络尽快恢复正常,使排错更容易。
校园网一体化安全防护提供多项安全功能,可以将用户需求的多种安全特性集中到一个硬件设备里,构成一个标准的统一网络管理平台,这是今后网络安全发展的方向。然而,测试结果表明:在校园网一体化安全防护中,如果将全部的安全功能打开,这个系统的性能将大大降低。其中,校园网一体化安全防护中的防毒网关、P2P和及时消息检测功能对速度的影响最大。
由于校园网一体化安全防护系统中,一旦开通所有的安全应用模块,消耗的资源相当大,所以仅使用通用服务器和网络系统技术,要实现对应用层的高速处理,性能上肯定达不到要求。为此,需要有强劲的处理能力来支持。在校园网一体化安全防护中,只有解决了功能与性能的矛盾,一体化安全防护才能既实现像防火墙这种常规的网络级安全,又能处理像病毒与蠕虫扫描这种需要高速处理的应用级安全。只有解决了功能和性能的矛盾,校园网一体化安全防护才能得到长足的发展。[6]
四、结束语
校园网的一体化安全防护是指在建校园网的时候就考虑好安全因素,并且让网络的各个组成部分都具有安全功能。而且,在实施一体化的安全网络时,可以分模块、分层次有序进行。用户可以根据自身的网络特点和安全要素,来制定网络安全的建设顺序。
校园网一体化安全防护不仅大大降低管理上的复杂度,充分发挥应有的管理效益,而且缩短部署时间,减少部署成本,使排错更容易,具有高扩展性、高伸缩性和高安全性。一旦解决了功能和性能的矛盾,校园网一体化安全防护将是今后校园网安全解决方案的首选方向。
参考文献:
[1]http://www.snjyxxw.com/smqqjxx/bsje/yjs/200711/4907.html
[2]http://emic.moe.edu.cn/
[3]http://www.websense.com/
[4]http://sec.chinabyte.com/455/8764955.shtml
[5]梁明君. UTM技术研究[J].信息安全与通信保密,2008(9).
[6]沈晴霓.中国UTM一体化安全管理技术的发展创新[J].现代电信科技,2007(7).
(编辑:于黎明)
关键词:校园网 一体化 安全防护 统一威胁管理
中图分类号:TP393.08 文献标识码:B 文章编号:1673-8454(2009)21-0020-03
一、问题的提出
互联网自身的安全缺陷是导致互联网脆弱性的根本原因。互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段,互联网的设计之初没有充分考虑安全威胁,因为最初的互联网只是用于少数可信的用户群体。许多网络协议和应用没有提供必要的安全服务,比如电子邮件使用的SMTP协议没有提供认证机制,曾经是导致垃圾邮件泛滥的重要原因,远程登录使用的Telnet协议明文传输用户名和口令等,而且IP网络也不提供任何服务质量控制机制,导致目前在大规模拒绝服务攻击面前几乎无能为力。[1] 作为学校重要基础设施的校园网担负着教学、科研、管理和对外交流的重任,它的安全状况直接影响到教学、科研、管理和对外交流的顺利进行。目前,随着网络应用的进一步深入,网络上所面临的攻击也越来越频繁。同时,随着学校网络规模的不断扩大,用户对网络性能要求的不断提高,校园网安全问题越来越被广泛关注。[2]
二、校园网常见的安全威胁及应对措施
校园网既是大量网络攻击的发源地,也是网络攻击者最容易攻破的目标。当前,校园网常见的安全威胁有如下几种。
1.蠕虫病毒泛滥
网络上蠕虫病毒的危害越来越严重,发作越来越频繁。而且,蠕虫病毒往往与黑客技术相结合,计算机中毒发作后,导致拒绝服务攻击,严重的甚至造成全网服务中断。有些病毒还具有黑客程序的功能,一旦侵入我们的计算机系统,病毒控制者就可以非常容易地从入侵的系统中窃取信息,并远程控制这些系统。
需要建立一套完善的防毒网关,加强多级进入点的安全保护,并对网络安全管理进行规范,才能对病毒进行有效的防护。
2.校内用户在校外不安全访问学校内网
校园网用户在校外要能安全地访问到校园网,获取其数据,如工资报表、科研成果、研究资料和论文等。这些数据的安全性要求比较高,要充分考虑远程登录校园网的安全问题。
需要建立VPN网关,通过隧道技术、加密协议和安全密钥来实现校内用户在校外对学校内网的安全访问。
3.Web攻击
随着Web 2.0交互应用程序的出现,Web得到了迅速发展,但通过Web发起的攻击也越来越多。Web上大量的恶意软件和犯罪软件嵌入到无辜的第三方站点中。网络欺诈也继续发展,其攻击行为更复杂。
需要建立上网行为管理,对流氓软件、恶意软件和数据泄露等Web安全进行有效的防范。
4.外网对内网的不安全访问
在校园网中,来自校园网外部的攻击越来越频繁。如何在校园网内部和校园网外部之间建立一道安全的保护屏障,以保护校园网内部网络免受外部非法用户的入侵是我们一直在努力做的工作。
防火墙是校园网络安全的第一道屏障,一个防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
5.黑客攻击
随着互联网黑客技术的飞速发展,网络世界的安全性不断受到挑战。对于黑客自身来说,要闯入校园网络实在是太容易了。
为此,应部署入侵检测(防御)系统,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现(防御)各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
以上介绍的五种威胁,如果都要解决,现在常用的做法是购买相应的安全产品,分别加以部署,如图1所示。
随着网络中的应用越来越复杂,安全问题以出人意料的速度增长,并且在攻击方式、攻击目标上亦呈多样化发展趋势。基于这个特点,原先各自为战的安全产品总是处于疲于应付的状态,无法很好地实现对校园网络的安全保护。为了校园网络的安全,学校通常被迫部署多台、多种安全设备。并且随着新安全威胁的出现,还需要再部署更多的安全设备。新增加安全域时有时需要重新建设安全系统。这样一种部署方式,将带来如下的问题:
安全系统由此变得异常复杂;
复杂的安全系统将使整个信息系统的稳定性降低;
多台设备的加入,也就加入了多个可能的故障点;
新增的安全域通常需要独立、重复建设安全系统;
管理成本高,管理难度大,维护困难。
三、校园网一体化安全防护
按照上面的部署方法,我们部署了那么多的安全产品,还是有很多用户在抱怨。事实证明:拥有了网络安全产品不等于就拥有了安全,真正的安全还需要好的安全管理。现在,越来越多的网络安全解决方案也体现了安全管理更重要这一理念。
安全应用模块以负载均衡的方式工作,满足超高性能的需求;在可靠性方面,可实现“N 1”备份技术。负载均衡和“N 1”备份等技术的应用,大大提高了校园网一体化安全防护系统的安全性。
校园网一体化安全防护具有如下优点:[5]
提供了高性能的综合安全防护,各安全应用独享资源,相互之间不竞争资源,可同时打开所有安全功能。
是一个可平滑“长大”的安全系统。系统具有高可扩展性、高可伸缩性。当需求增加时,可灵活地扩展原有系统。如果采用分类设备一台台搭建安全系统,增加了系统的复杂度、降低了系统的稳定性、扩展升级困难以及维护成本高。
这些设备通常都是即插即用的,只需要很少的安装配置,减少了维护量,降低了复杂性。
当一台设备出现故障之后,即使是一个非专业人员也可以很容易地用另外一台设备替换它,使网络尽快恢复正常,使排错更容易。
校园网一体化安全防护提供多项安全功能,可以将用户需求的多种安全特性集中到一个硬件设备里,构成一个标准的统一网络管理平台,这是今后网络安全发展的方向。然而,测试结果表明:在校园网一体化安全防护中,如果将全部的安全功能打开,这个系统的性能将大大降低。其中,校园网一体化安全防护中的防毒网关、P2P和及时消息检测功能对速度的影响最大。
由于校园网一体化安全防护系统中,一旦开通所有的安全应用模块,消耗的资源相当大,所以仅使用通用服务器和网络系统技术,要实现对应用层的高速处理,性能上肯定达不到要求。为此,需要有强劲的处理能力来支持。在校园网一体化安全防护中,只有解决了功能与性能的矛盾,一体化安全防护才能既实现像防火墙这种常规的网络级安全,又能处理像病毒与蠕虫扫描这种需要高速处理的应用级安全。只有解决了功能和性能的矛盾,校园网一体化安全防护才能得到长足的发展。[6]
四、结束语
校园网的一体化安全防护是指在建校园网的时候就考虑好安全因素,并且让网络的各个组成部分都具有安全功能。而且,在实施一体化的安全网络时,可以分模块、分层次有序进行。用户可以根据自身的网络特点和安全要素,来制定网络安全的建设顺序。
校园网一体化安全防护不仅大大降低管理上的复杂度,充分发挥应有的管理效益,而且缩短部署时间,减少部署成本,使排错更容易,具有高扩展性、高伸缩性和高安全性。一旦解决了功能和性能的矛盾,校园网一体化安全防护将是今后校园网安全解决方案的首选方向。
参考文献:
[1]http://www.snjyxxw.com/smqqjxx/bsje/yjs/200711/4907.html
[2]http://emic.moe.edu.cn/
[3]http://www.websense.com/
[4]http://sec.chinabyte.com/455/8764955.shtml
[5]梁明君. UTM技术研究[J].信息安全与通信保密,2008(9).
[6]沈晴霓.中国UTM一体化安全管理技术的发展创新[J].现代电信科技,2007(7).
(编辑:于黎明)