【文章內(nèi)容簡介】 全問題，并制定具體措施。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個計算機(jī)網(wǎng)絡(luò)包括個人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們在網(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。 （ 3）一致性原則 ： 這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期（或生命周期）同時存在，制定的安 n 12 全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少 （ 4）易操作性原則 ： 安全措施要由人來完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。 （ 5）適應(yīng)性、靈活性原則 安全措 施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改，為網(wǎng)絡(luò)今后的發(fā)展留有足夠的空間。 （ 6）多重保護(hù)原則 任何安全保護(hù)措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時，其它層保護(hù)仍可保護(hù)信息的安全。 總體解決方案拓?fù)鋱D n 13 天闐 探測引擎天闐 入侵檢測控制中心天 鏡漏洞掃描系統(tǒng)天恒安防控制中心天恒安防控制中心 １、 在 成都信息工程學(xué)院 校園網(wǎng) 中心安裝一套天闐入侵檢測系統(tǒng)。防止內(nèi)外網(wǎng)黑客的入侵 。 說明：按實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)決定配置天闐的數(shù)量，相應(yīng)的在后面天闐的安裝位置也要做修改。 主要是對服務(wù)器群、重要網(wǎng)段進(jìn)行防護(hù) 。 ２、 在 成都信息工程學(xué)院 校園網(wǎng) 中心安裝一套天鏡漏洞掃描系統(tǒng)，進(jìn)行全網(wǎng)的漏洞掃描和分析。 ３、 安裝天 恒 防病毒控制中心，并在各客戶端安裝防病毒軟件， 包括工作站、文件服 務(wù)器、郵件服務(wù)器等， 進(jìn)行網(wǎng)絡(luò)防病毒的控制。 系統(tǒng)描述 根據(jù)安全的五層次理論，可以將 成都信息工程學(xué)院 校園網(wǎng) 的網(wǎng)絡(luò)安全劃分為幾個子系統(tǒng)，各子系統(tǒng)大致歸類如下： n 14 物理層：設(shè)備安全子系統(tǒng)、通訊鏈路安全子系統(tǒng)、物理環(huán)境安全子系統(tǒng) 系統(tǒng)層：防病毒子系統(tǒng)、安全配置子系統(tǒng) 網(wǎng)絡(luò)層：防黑客子系統(tǒng)、 應(yīng)用層： 電子郵件系統(tǒng)、系統(tǒng)平臺、文件系統(tǒng)以及其它應(yīng)用系統(tǒng) 管理層：安全 管理體系 我們將根據(jù) 成都信息工程學(xué)院 校園網(wǎng) 的具體網(wǎng)絡(luò)情況在第 5 章進(jìn)行詳細(xì)設(shè)計說明． 5 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)安全詳細(xì)設(shè)計 設(shè)計說明 本解決方案由于從安全的五個層次完整地、全方位地對 成都信息工程學(xué)院 校園網(wǎng) 的網(wǎng)絡(luò)及應(yīng)用情況進(jìn)行分析，所以制訂的解決方案基本囊括了對所有安全隱患的考慮，不光可以從廣度上對網(wǎng)絡(luò)安全做一個宏觀調(diào)控，而且對單個的安全環(huán)節(jié)同樣具有相當(dāng)深度的指導(dǎo)作用。具體可以歸納成以下幾個特點(diǎn)： 全面性 以安全的五層次理論模型為基礎(chǔ)，從五個層次出發(fā)，分別對每個安全層次就 成都信息工程學(xué)院 校園網(wǎng) 的實(shí)際網(wǎng)絡(luò)情 況進(jìn)行風(fēng)險點(diǎn)分析，再從每一個層次中分離出若干子系統(tǒng)，完整地將 成都信息工程學(xué)院 校園網(wǎng) 的總體安全都考慮在內(nèi)，最大限度地保證了全面性 。 專業(yè)性 解決方案所涉及的所有網(wǎng)絡(luò)安全的概念、系統(tǒng)定義、產(chǎn)品稱謂，以及所有有關(guān)的安全標(biāo)準(zhǔn)，均符合目前國內(nèi)、國際有關(guān)網(wǎng)絡(luò)安全的專業(yè)規(guī)范，確保本方案的技術(shù)深度和專業(yè)性 。 可實(shí)施性 每一個子系統(tǒng)在設(shè)計的時候都考慮到如何配備和集成現(xiàn)有的安全產(chǎn)品，把可實(shí)施性作為子系統(tǒng)設(shè)計的一個首要原則，做到方案認(rèn)可后可以立即投入實(shí)施階段，避免了理論與實(shí)施脫節(jié)的問題 。 n 15 易用性 本解決方案在選擇產(chǎn)品 時的一個重要前提，就是產(chǎn)品功能靈活、界面友好，可以使用戶在短時間內(nèi)經(jīng)過培訓(xùn)上手使用，可以方便地進(jìn)行維護(hù)，盡量體貼用戶 可擴(kuò)展性 隨著 成都信息工程學(xué)院 校園網(wǎng) 信息化程度的不斷提高，其網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)也會日趨復(fù)雜，這樣，在制訂本解決方案時我們盡量為以后的網(wǎng)絡(luò)擴(kuò)展預(yù)留空間，大部分子系統(tǒng)的細(xì)節(jié)都可以以更換同類高檔次的產(chǎn)品、或進(jìn)行拓?fù)鋽U(kuò)充來進(jìn)行功能的擴(kuò)展 物理子系統(tǒng) 通訊鏈路安全子系統(tǒng) 成都信息工程學(xué)院 校園網(wǎng) 的網(wǎng)絡(luò)系統(tǒng)內(nèi)部鏈路、網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)連接的鏈路必須保證安全、可靠。體現(xiàn)在： ● 通信線路的可靠性要求。包括缺 少線路備份、沒有網(wǎng)管監(jiān)控軟件、傳輸介質(zhì)落后、線路之間的連接不可靠、線路質(zhì)量不可靠等問題。線路原因可能導(dǎo)致傳輸中斷。 ● 如果通信線路的帶寬相對比較窄，使得網(wǎng)絡(luò)在遭受拒絕服務(wù)攻擊或 flood 攻擊時成為瓶頸，甚至在正常交易請求過多時即造成網(wǎng)絡(luò)擁塞，從而導(dǎo)致正常服務(wù)困難甚至中止。 設(shè)備安全子系統(tǒng) 整個網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問被保護(hù)的計算機(jī)、路由器或交換機(jī)等。體現(xiàn)在： ● 物理設(shè)備的存放位置安全性。 ● 關(guān)鍵設(shè)備的可靠性、備份。 物理環(huán)境安全子系統(tǒng) 物理環(huán)境安全管理是整個網(wǎng)絡(luò)系統(tǒng)安全管理的重要 環(huán)節(jié)。物理環(huán)境是網(wǎng)絡(luò)系統(tǒng)的物質(zhì)基 n 16 礎(chǔ)，其安全與否直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的安全。因此要高度重視物理環(huán)境安全管理。 ● 防災(zāi)害、防干擾能力； ● 設(shè)備環(huán)境的溫度、濕度、煙塵； ● 不間斷電源保障。 防黑客子系統(tǒng) 簡介 我們采用入侵檢測系統(tǒng)作為 成都信息工程學(xué)院 校園網(wǎng) 的防黑客子系統(tǒng)。 入侵檢測是通過軟件或硬件來自動、實(shí)時、職能化地監(jiān)視網(wǎng)絡(luò)運(yùn)行的安全情況，從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，發(fā)現(xiàn)可疑或攻擊行為，并及時和作出響應(yīng)，如中斷連接、記錄事件和報警等。 在 成都信息工程學(xué)院 校園網(wǎng) 入侵檢測系統(tǒng)配置中，我們采用啟明星 辰公司的“天闐” 網(wǎng)絡(luò)入侵 檢測 系統(tǒng)，對網(wǎng)絡(luò)進(jìn)行實(shí)時監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測、入侵即時處理、離線入侵分析、入侵偵測查詢、報告生成等多項(xiàng)功能的分布式計算機(jī)安全系統(tǒng)，不僅能即時監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行動提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對惡意黑客的威懾力量。 通過使用入侵檢測系統(tǒng)，我們可以做到： 對 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測，防止黑客的入侵。 對 成都信息工程學(xué)院 校園網(wǎng) 核心 業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進(jìn)行監(jiān)測，防止入侵者的蓄意破壞和篡改。 監(jiān)視 成都信息工程學(xué)院 校園網(wǎng) 內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。 對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律。 n 17 實(shí)時對檢測到的入侵行為進(jìn)行報警、阻斷，能夠與防火墻聯(lián)動。 對關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計跟蹤管理。 實(shí)施說明 在 成都信息工程學(xué)院 校園網(wǎng) 中天闐系統(tǒng)主要放置在中心服務(wù)器區(qū)域，入侵檢測區(qū)域一方面主要負(fù)責(zé)異地遠(yuǎn)程接入的黑客入侵檢測，這一區(qū)域的特點(diǎn)是帶寬不高，但是外部專網(wǎng)入侵的主要途徑，入 侵檢測區(qū)域另一方面主要負(fù)責(zé)服務(wù)器的入侵檢測預(yù)警。我們先將連入系統(tǒng)的主要以太網(wǎng)線路接入 中心交換機(jī) ， 在交換機(jī)配置鏡像口，鏡像服務(wù)器群的所有端口，并將天闐探測引擎拉入此鏡像口 。 天闐系統(tǒng)網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)圖如下： 圖中在防火墻后面 的核心交換機(jī) 設(shè)置黑客入侵監(jiān)測探測引擎（硬件固化），對 校園網(wǎng)內(nèi)服 天闐入侵檢測系統(tǒng)控制中心 天闐探測引擎 n 18 務(wù)器群進(jìn)行實(shí)時監(jiān)測 、訪問 成都信息工程學(xué)院 校園網(wǎng) 內(nèi)網(wǎng) 數(shù)據(jù)包 監(jiān)控、 成都信息工程學(xué)院 校園網(wǎng) 外網(wǎng)與 Inter 的網(wǎng)站連接鏈路和與 Inter 的連接鏈路進(jìn)行流量監(jiān)控，防止入 侵者的攻擊。并在網(wǎng)落設(shè)置一臺天闐控制中心對系統(tǒng)中的探測引擎進(jìn)行控制和安全報警。 通過使用天闐可以容易的完成對以下的攻擊識別： 網(wǎng)絡(luò)信息收集 、 網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dosamp。Ddos 攻擊、緩沖區(qū)溢出攻擊、 Web攻擊、后門攻擊等。 產(chǎn)品特點(diǎn)： 1． 靈活的配置管理界面 2． 內(nèi)置了多種預(yù)定義策略，并允許用戶添加修改策略 3． 多種攻擊響應(yīng)方式，同防火墻進(jìn)行聯(lián)合行動，阻斷任何非法連接 4． 開放式事件特征庫，任何人都可以自行定義和添加特征事件 5． 報表分析系統(tǒng)，可對日志進(jìn)行事后二次分析 6． 網(wǎng)絡(luò)流量分析，可以幫助分析網(wǎng)絡(luò)故障 7． 提供固化版本的網(wǎng)絡(luò)探測器 ，即插即用，方便安裝 防病毒子系統(tǒng) 簡介 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)系統(tǒng)采用網(wǎng)絡(luò)版的防病毒系統(tǒng)很有必要，尤其是對使用眾多郵件服務(wù)器和 web 服務(wù)器 的院校 ，網(wǎng)絡(luò)版殺毒軟件可根據(jù)具體情況， 涉及網(wǎng)絡(luò)內(nèi)的所有單機(jī)、服務(wù)器和客戶端工作站，要求實(shí)現(xiàn)多操作系統(tǒng)平臺上的防護(hù)，保證數(shù)據(jù)信息在通過包括磁盤、可移動硬盤、光盤、調(diào)制解調(diào)器、電子郵件和互聯(lián)網(wǎng)等入口傳輸或復(fù)制時免除病毒的惡意入侵。 目前主要受到病毒威脅的因素有： 1） 用戶可以直接訪問服務(wù)器，增加了病毒擴(kuò)散的范圍。 n 19 2） 內(nèi)部用戶文件共享病毒擴(kuò)散。 3） Inter 下載或電子郵 件病毒入侵。 4） Inter 針對 WEB 瀏覽器的惡意控件。 在 成都信息工程學(xué)院 校園 網(wǎng)絡(luò)系統(tǒng)防病毒措施主要包括技術(shù)和管理方面，技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力，防止病毒在整個網(wǎng)絡(luò)內(nèi)部進(jìn)行擴(kuò)散。在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件，將病毒在本地清除而不致于擴(kuò)散到其他主機(jī)或服務(wù)器。管理上應(yīng)制定一整套有關(guān)的規(guī)章制度，如：不許使用來歷不明的軟件或盜版軟件，軟盤使用前要首先進(jìn)行消毒等。只有提高了工作人員的安全意識，并自覺遵守有關(guān)規(guī)定，才能從根本上防止病毒對網(wǎng)絡(luò)信息系統(tǒng)的 危害。具體可通過以下幾方面來實(shí)現(xiàn)： （ 1）制訂防病毒制度、措施和病毒侵害的應(yīng)急計劃《計算機(jī)防范病毒制度、措施、與應(yīng)急計劃》。 （ 2）網(wǎng)絡(luò)防病毒體系 為了使 成都信息工程學(xué)院 校園 網(wǎng)絡(luò)系統(tǒng)中的各節(jié)點(diǎn)的主要系統(tǒng)免受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，必須構(gòu)建一個從主機(jī)到服務(wù)器的完善的防病毒體系， 我們采用啟明星辰公司的天 恒 安防網(wǎng)絡(luò)防病毒系統(tǒng)作為 成都信息工程學(xué)院 校園網(wǎng) 的病毒防護(hù)產(chǎn)品。 天 恒 安防網(wǎng)絡(luò)防病毒系統(tǒng)是啟明星辰公司與芬蘭 FSecure 公司攜手推出的國產(chǎn)化防病毒產(chǎn)品，其基于策略集中管理的方式和世界一流的病毒檢 測和清除能力，使得移動、分布式的企業(yè)級病毒防護(hù)不再困難。而且天 恒 安防提供了病毒定義的實(shí)時自動更新功能，使得用戶無需擔(dān)心由于忘記更新病毒而引發(fā)病毒事件的問題。 實(shí)施說明 根據(jù) 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀，我們建議在 成都信息工程學(xué)院 校園網(wǎng)內(nèi) 統(tǒng) n 20 一安裝天 恒 網(wǎng)絡(luò)版防病毒軟件，在 文件 服務(wù)器、 郵件 服務(wù)器到客戶端的范圍內(nèi)，實(shí)行網(wǎng)絡(luò)化集中管理。 這樣一來我們可以建造一個集中控制、多重防護(hù)的 立體 防病毒 體系 。 具體如圖所示： 集中控制 是指 管理員通過一個控制中 心管理全校園網(wǎng)內(nèi)所有天恒安防防病毒產(chǎn)品。 多重防護(hù) 是指從網(wǎng)絡(luò)中心到各部門層層設(shè)防，防止病毒的傳播和擴(kuò)散。 整個系統(tǒng)的防病毒安全設(shè)計分三部分： 一、 針對服務(wù)器的網(wǎng)絡(luò)防毒系統(tǒng)。 二、 針對普通 PC 機(jī)的網(wǎng)絡(luò)防毒系統(tǒng)。保證普通用戶的 PC 機(jī)不受病毒侵害。 三、 針對郵件服務(wù)器服務(wù)器 安裝郵件 防病毒系統(tǒng)，保證郵件系統(tǒng)不受病毒入侵。 四、 設(shè)置管理員 PC 對整個網(wǎng)絡(luò)防病毒系統(tǒng)進(jìn)行統(tǒng)一的管理和維護(hù)。 天恒安防控制中心 n 21 首先，在 Client/Server 的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中，服務(wù)器作為網(wǎng)絡(luò)的核心，為資源共享和信息交換提供了便利條件，但同時也給病毒的傳播和擴(kuò)散以可乘之機(jī)。所 以應(yīng)重點(diǎn)加強(qiáng)對服務(wù)器進(jìn)行保護(hù)，安裝服務(wù)器端防病毒系統(tǒng)，以提供對病毒的檢測、清除、免疫和對抗能力。其次，在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件，將病毒在本地清除而不致于擴(kuò)散到其他主機(jī)或服務(wù)器。最后針對郵件服務(wù)器的保護(hù)，安裝郵件服務(wù)器防病毒客戶端，這樣，由單機(jī)防毒到網(wǎng)絡(luò)防毒到郵件服務(wù)器，再加上防病毒制度與措施，就構(gòu)成了一套完整的防病毒體系。 該方案在病毒防護(hù)方面，在所有的服務(wù)器、工作站以及電子郵件服務(wù)器上安裝天 恒 安防防病毒軟件， 可實(shí)現(xiàn) 對磁 盤、可移動磁盤、光盤以及網(wǎng)絡(luò)所收發(fā)文件和電子郵件的附件進(jìn)行防護(hù)。同時還可實(shí)現(xiàn)以下功能： 集中安裝、統(tǒng)一策略配置，分組管理 通過一個管理員控制中心，可以管理校園網(wǎng)內(nèi)所有天恒安防防病毒產(chǎn)品?？刂浦行目梢砸孕姓墑e劃 分組 。針對不同部門實(shí)際情況，分組設(shè)置防病毒 策略 。 另外，工作站可以通過控制中心統(tǒng)一安裝，并能自動將報警信息及病毒報告上傳到管理服務(wù)器內(nèi)，通過控制中心界面顯示。 統(tǒng)一的自動升級 在 網(wǎng)絡(luò)中心 建立防病毒系統(tǒng)的升級服務(wù)器，對所有的防病毒軟件進(jìn)行升級。管理員可在預(yù)定的時間自動或手動啟動下載最新的升級文件，經(jīng)測試無 誤后，通過 網(wǎng)絡(luò)中心 系統(tǒng)的管理服務(wù)器即可自動分發(fā)到各部門的管理服務(wù)器上，隨后網(wǎng)絡(luò)中所有安裝了天 恒 安防的計算機(jī)從各自所在的管理服務(wù)器上收到升級文件，并完成自身的升級。病毒事件報警，應(yīng)急響應(yīng)，綜合日志分析，疫情通報 。 當(dāng)檢測到病毒時，天 恒 安防會采取措施防止病毒的進(jìn)一步傳播，并將有關(guān)信息通知個人或著本地和上級的管理員，以便做出應(yīng)對措施。同時將出現(xiàn)問題的計算