【文章內(nèi)容簡(jiǎn)介】 全問題，并制定具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。 （ 3）一致性原則 ： 這主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安 n 12 全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。實(shí)際上，在網(wǎng)絡(luò)建設(shè)之初就考慮網(wǎng)絡(luò)安全對(duì)策，比等網(wǎng)絡(luò)建設(shè)好后再考慮，不但容易，而且花費(fèi)也少 （ 4）易操作性原則 ： 安全措施要由人來(lái)完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。其次，采用的措施不能影響系統(tǒng)正常運(yùn)行。 （ 5）適應(yīng)性、靈活性原則 安全措 施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改，為網(wǎng)絡(luò)今后的發(fā)展留有足夠的空間。 （ 6）多重保護(hù)原則 任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 總體解決方案拓?fù)鋱D n 13 天闐 探測(cè)引擎天闐 入侵檢測(cè)控制中心天 鏡漏洞掃描系統(tǒng)天恒安防控制中心天恒安防控制中心 １、 在 成都信息工程學(xué)院 校園網(wǎng) 中心安裝一套天闐入侵檢測(cè)系統(tǒng)。防止內(nèi)外網(wǎng)黑客的入侵 。 說(shuō)明：按實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)決定配置天闐的數(shù)量，相應(yīng)的在后面天闐的安裝位置也要做修改。 主要是對(duì)服務(wù)器群、重要網(wǎng)段進(jìn)行防護(hù) 。 ２、 在 成都信息工程學(xué)院 校園網(wǎng) 中心安裝一套天鏡漏洞掃描系統(tǒng)，進(jìn)行全網(wǎng)的漏洞掃描和分析。 ３、 安裝天 恒 防病毒控制中心，并在各客戶端安裝防病毒軟件， 包括工作站、文件服 務(wù)器、郵件服務(wù)器等， 進(jìn)行網(wǎng)絡(luò)防病毒的控制。 系統(tǒng)描述 根據(jù)安全的五層次理論，可以將 成都信息工程學(xué)院 校園網(wǎng) 的網(wǎng)絡(luò)安全劃分為幾個(gè)子系統(tǒng)，各子系統(tǒng)大致歸類如下： n 14 物理層：設(shè)備安全子系統(tǒng)、通訊鏈路安全子系統(tǒng)、物理環(huán)境安全子系統(tǒng) 系統(tǒng)層：防病毒子系統(tǒng)、安全配置子系統(tǒng) 網(wǎng)絡(luò)層：防黑客子系統(tǒng)、 應(yīng)用層： 電子郵件系統(tǒng)、系統(tǒng)平臺(tái)、文件系統(tǒng)以及其它應(yīng)用系統(tǒng) 管理層：安全 管理體系 我們將根據(jù) 成都信息工程學(xué)院 校園網(wǎng) 的具體網(wǎng)絡(luò)情況在第 5 章進(jìn)行詳細(xì)設(shè)計(jì)說(shuō)明． 5 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)安全詳細(xì)設(shè)計(jì) 設(shè)計(jì)說(shuō)明 本解決方案由于從安全的五個(gè)層次完整地、全方位地對(duì) 成都信息工程學(xué)院 校園網(wǎng) 的網(wǎng)絡(luò)及應(yīng)用情況進(jìn)行分析，所以制訂的解決方案基本囊括了對(duì)所有安全隱患的考慮，不光可以從廣度上對(duì)網(wǎng)絡(luò)安全做一個(gè)宏觀調(diào)控，而且對(duì)單個(gè)的安全環(huán)節(jié)同樣具有相當(dāng)深度的指導(dǎo)作用。具體可以歸納成以下幾個(gè)特點(diǎn)： 全面性 以安全的五層次理論模型為基礎(chǔ)，從五個(gè)層次出發(fā)，分別對(duì)每個(gè)安全層次就 成都信息工程學(xué)院 校園網(wǎng) 的實(shí)際網(wǎng)絡(luò)情 況進(jìn)行風(fēng)險(xiǎn)點(diǎn)分析，再?gòu)拿恳粋€(gè)層次中分離出若干子系統(tǒng)，完整地將 成都信息工程學(xué)院 校園網(wǎng) 的總體安全都考慮在內(nèi)，最大限度地保證了全面性 。 專業(yè)性 解決方案所涉及的所有網(wǎng)絡(luò)安全的概念、系統(tǒng)定義、產(chǎn)品稱謂，以及所有有關(guān)的安全標(biāo)準(zhǔn)，均符合目前國(guó)內(nèi)、國(guó)際有關(guān)網(wǎng)絡(luò)安全的專業(yè)規(guī)范，確保本方案的技術(shù)深度和專業(yè)性 。 可實(shí)施性 每一個(gè)子系統(tǒng)在設(shè)計(jì)的時(shí)候都考慮到如何配備和集成現(xiàn)有的安全產(chǎn)品，把可實(shí)施性作為子系統(tǒng)設(shè)計(jì)的一個(gè)首要原則，做到方案認(rèn)可后可以立即投入實(shí)施階段，避免了理論與實(shí)施脫節(jié)的問題 。 n 15 易用性 本解決方案在選擇產(chǎn)品 時(shí)的一個(gè)重要前提，就是產(chǎn)品功能靈活、界面友好，可以使用戶在短時(shí)間內(nèi)經(jīng)過(guò)培訓(xùn)上手使用，可以方便地進(jìn)行維護(hù)，盡量體貼用戶 可擴(kuò)展性 隨著 成都信息工程學(xué)院 校園網(wǎng) 信息化程度的不斷提高，其網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)也會(huì)日趨復(fù)雜，這樣，在制訂本解決方案時(shí)我們盡量為以后的網(wǎng)絡(luò)擴(kuò)展預(yù)留空間，大部分子系統(tǒng)的細(xì)節(jié)都可以以更換同類高檔次的產(chǎn)品、或進(jìn)行拓?fù)鋽U(kuò)充來(lái)進(jìn)行功能的擴(kuò)展 物理子系統(tǒng) 通訊鏈路安全子系統(tǒng) 成都信息工程學(xué)院 校園網(wǎng) 的網(wǎng)絡(luò)系統(tǒng)內(nèi)部鏈路、網(wǎng)絡(luò)系統(tǒng)與外部網(wǎng)絡(luò)連接的鏈路必須保證安全、可靠。體現(xiàn)在： ● 通信線路的可靠性要求。包括缺 少線路備份、沒有網(wǎng)管監(jiān)控軟件、傳輸介質(zhì)落后、線路之間的連接不可靠、線路質(zhì)量不可靠等問題。線路原因可能導(dǎo)致傳輸中斷。 ● 如果通信線路的帶寬相對(duì)比較窄，使得網(wǎng)絡(luò)在遭受拒絕服務(wù)攻擊或 flood 攻擊時(shí)成為瓶頸，甚至在正常交易請(qǐng)求過(guò)多時(shí)即造成網(wǎng)絡(luò)擁塞，從而導(dǎo)致正常服務(wù)困難甚至中止。 設(shè)備安全子系統(tǒng) 整個(gè)網(wǎng)絡(luò)的安全首先要確保網(wǎng)絡(luò)設(shè)備的安全，保證非授權(quán)用戶不能訪問被保護(hù)的計(jì)算機(jī)、路由器或交換機(jī)等。體現(xiàn)在： ● 物理設(shè)備的存放位置安全性。 ● 關(guān)鍵設(shè)備的可靠性、備份。 物理環(huán)境安全子系統(tǒng) 物理環(huán)境安全管理是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全管理的重要 環(huán)節(jié)。物理環(huán)境是網(wǎng)絡(luò)系統(tǒng)的物質(zhì)基 n 16 礎(chǔ)，其安全與否直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的安全。因此要高度重視物理環(huán)境安全管理。 ● 防災(zāi)害、防干擾能力； ● 設(shè)備環(huán)境的溫度、濕度、煙塵； ● 不間斷電源保障。 防黑客子系統(tǒng) 簡(jiǎn)介 我們采用入侵檢測(cè)系統(tǒng)作為 成都信息工程學(xué)院 校園網(wǎng) 的防黑客子系統(tǒng)。 入侵檢測(cè)是通過(guò)軟件或硬件來(lái)自動(dòng)、實(shí)時(shí)、職能化地監(jiān)視網(wǎng)絡(luò)運(yùn)行的安全情況，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，發(fā)現(xiàn)可疑或攻擊行為，并及時(shí)和作出響應(yīng)，如中斷連接、記錄事件和報(bào)警等。 在 成都信息工程學(xué)院 校園網(wǎng) 入侵檢測(cè)系統(tǒng)配置中，我們采用啟明星 辰公司的“天闐” 網(wǎng)絡(luò)入侵 檢測(cè) 系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控與阻斷響應(yīng)，它集成了在線網(wǎng)絡(luò)入侵監(jiān)測(cè)、入侵即時(shí)處理、離線入侵分析、入侵偵測(cè)查詢、報(bào)告生成等多項(xiàng)功能的分布式計(jì)算機(jī)安全系統(tǒng)，不僅能即時(shí)監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時(shí)提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對(duì)于檢查黑客入侵，變得有跡可尋，為用戶采取進(jìn)一步行動(dòng)提供了強(qiáng)有力的技術(shù)支持，大大加強(qiáng)了對(duì)惡意黑客的威懾力量。 通過(guò)使用入侵檢測(cè)系統(tǒng)，我們可以做到： 對(duì) 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行監(jiān)測(cè)，防止黑客的入侵。 對(duì) 成都信息工程學(xué)院 校園網(wǎng) 核心 業(yè)務(wù)服務(wù)器的數(shù)據(jù)流量進(jìn)行監(jiān)測(cè)，防止入侵者的蓄意破壞和篡改。 監(jiān)視 成都信息工程學(xué)院 校園網(wǎng) 內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。 對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律。 n 17 實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻聯(lián)動(dòng)。 對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。 實(shí)施說(shuō)明 在 成都信息工程學(xué)院 校園網(wǎng) 中天闐系統(tǒng)主要放置在中心服務(wù)器區(qū)域，入侵檢測(cè)區(qū)域一方面主要負(fù)責(zé)異地遠(yuǎn)程接入的黑客入侵檢測(cè)，這一區(qū)域的特點(diǎn)是帶寬不高，但是外部專網(wǎng)入侵的主要途徑，入 侵檢測(cè)區(qū)域另一方面主要負(fù)責(zé)服務(wù)器的入侵檢測(cè)預(yù)警。我們先將連入系統(tǒng)的主要以太網(wǎng)線路接入 中心交換機(jī) ， 在交換機(jī)配置鏡像口，鏡像服務(wù)器群的所有端口，并將天闐探測(cè)引擎拉入此鏡像口 。 天闐系統(tǒng)網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)圖如下： 圖中在防火墻后面 的核心交換機(jī) 設(shè)置黑客入侵監(jiān)測(cè)探測(cè)引擎（硬件固化），對(duì) 校園網(wǎng)內(nèi)服 天闐入侵檢測(cè)系統(tǒng)控制中心 天闐探測(cè)引擎 n 18 務(wù)器群進(jìn)行實(shí)時(shí)監(jiān)測(cè) 、訪問 成都信息工程學(xué)院 校園網(wǎng) 內(nèi)網(wǎng) 數(shù)據(jù)包 監(jiān)控、 成都信息工程學(xué)院 校園網(wǎng) 外網(wǎng)與 Inter 的網(wǎng)站連接鏈路和與 Inter 的連接鏈路進(jìn)行流量監(jiān)控，防止入 侵者的攻擊。并在網(wǎng)落設(shè)置一臺(tái)天闐控制中心對(duì)系統(tǒng)中的探測(cè)引擎進(jìn)行控制和安全報(bào)警。 通過(guò)使用天闐可以容易的完成對(duì)以下的攻擊識(shí)別： 網(wǎng)絡(luò)信息收集 、 網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dosamp。Ddos 攻擊、緩沖區(qū)溢出攻擊、 Web攻擊、后門攻擊等。 產(chǎn)品特點(diǎn)： 1． 靈活的配置管理界面 2． 內(nèi)置了多種預(yù)定義策略，并允許用戶添加修改策略 3． 多種攻擊響應(yīng)方式，同防火墻進(jìn)行聯(lián)合行動(dòng)，阻斷任何非法連接 4． 開放式事件特征庫(kù)，任何人都可以自行定義和添加特征事件 5． 報(bào)表分析系統(tǒng)，可對(duì)日志進(jìn)行事后二次分析 6． 網(wǎng)絡(luò)流量分析，可以幫助分析網(wǎng)絡(luò)故障 7． 提供固化版本的網(wǎng)絡(luò)探測(cè)器 ，即插即用，方便安裝 防病毒子系統(tǒng) 簡(jiǎn)介 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)系統(tǒng)采用網(wǎng)絡(luò)版的防病毒系統(tǒng)很有必要，尤其是對(duì)使用眾多郵件服務(wù)器和 web 服務(wù)器 的院校 ，網(wǎng)絡(luò)版殺毒軟件可根據(jù)具體情況， 涉及網(wǎng)絡(luò)內(nèi)的所有單機(jī)、服務(wù)器和客戶端工作站，要求實(shí)現(xiàn)多操作系統(tǒng)平臺(tái)上的防護(hù)，保證數(shù)據(jù)信息在通過(guò)包括磁盤、可移動(dòng)硬盤、光盤、調(diào)制解調(diào)器、電子郵件和互聯(lián)網(wǎng)等入口傳輸或復(fù)制時(shí)免除病毒的惡意入侵。 目前主要受到病毒威脅的因素有： 1） 用戶可以直接訪問服務(wù)器，增加了病毒擴(kuò)散的范圍。 n 19 2） 內(nèi)部用戶文件共享病毒擴(kuò)散。 3） Inter 下載或電子郵 件病毒入侵。 4） Inter 針對(duì) WEB 瀏覽器的惡意控件。 在 成都信息工程學(xué)院 校園 網(wǎng)絡(luò)系統(tǒng)防病毒措施主要包括技術(shù)和管理方面，技術(shù)上可在服務(wù)器中安裝服務(wù)器端防病毒系統(tǒng)，以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力，防止病毒在整個(gè)網(wǎng)絡(luò)內(nèi)部進(jìn)行擴(kuò)散。在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件，將病毒在本地清除而不致于擴(kuò)散到其他主機(jī)或服務(wù)器。管理上應(yīng)制定一整套有關(guān)的規(guī)章制度，如：不許使用來(lái)歷不明的軟件或盜版軟件，軟盤使用前要首先進(jìn)行消毒等。只有提高了工作人員的安全意識(shí)，并自覺遵守有關(guān)規(guī)定，才能從根本上防止病毒對(duì)網(wǎng)絡(luò)信息系統(tǒng)的 危害。具體可通過(guò)以下幾方面來(lái)實(shí)現(xiàn)： （ 1）制訂防病毒制度、措施和病毒侵害的應(yīng)急計(jì)劃《計(jì)算機(jī)防范病毒制度、措施、與應(yīng)急計(jì)劃》。 （ 2）網(wǎng)絡(luò)防病毒體系 為了使 成都信息工程學(xué)院 校園 網(wǎng)絡(luò)系統(tǒng)中的各節(jié)點(diǎn)的主要系統(tǒng)免受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，必須構(gòu)建一個(gè)從主機(jī)到服務(wù)器的完善的防病毒體系， 我們采用啟明星辰公司的天 恒 安防網(wǎng)絡(luò)防病毒系統(tǒng)作為 成都信息工程學(xué)院 校園網(wǎng) 的病毒防護(hù)產(chǎn)品。 天 恒 安防網(wǎng)絡(luò)防病毒系統(tǒng)是啟明星辰公司與芬蘭 FSecure 公司攜手推出的國(guó)產(chǎn)化防病毒產(chǎn)品，其基于策略集中管理的方式和世界一流的病毒檢 測(cè)和清除能力，使得移動(dòng)、分布式的企業(yè)級(jí)病毒防護(hù)不再困難。而且天 恒 安防提供了病毒定義的實(shí)時(shí)自動(dòng)更新功能，使得用戶無(wú)需擔(dān)心由于忘記更新病毒而引發(fā)病毒事件的問題。 實(shí)施說(shuō)明 根據(jù) 成都信息工程學(xué)院 校園網(wǎng) 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀，我們建議在 成都信息工程學(xué)院 校園網(wǎng)內(nèi) 統(tǒng) n 20 一安裝天 恒 網(wǎng)絡(luò)版防病毒軟件，在 文件 服務(wù)器、 郵件 服務(wù)器到客戶端的范圍內(nèi)，實(shí)行網(wǎng)絡(luò)化集中管理。 這樣一來(lái)我們可以建造一個(gè)集中控制、多重防護(hù)的 立體 防病毒 體系 。 具體如圖所示： 集中控制 是指 管理員通過(guò)一個(gè)控制中 心管理全校園網(wǎng)內(nèi)所有天恒安防防病毒產(chǎn)品。 多重防護(hù) 是指從網(wǎng)絡(luò)中心到各部門層層設(shè)防，防止病毒的傳播和擴(kuò)散。 整個(gè)系統(tǒng)的防病毒安全設(shè)計(jì)分三部分： 一、 針對(duì)服務(wù)器的網(wǎng)絡(luò)防毒系統(tǒng)。 二、 針對(duì)普通 PC 機(jī)的網(wǎng)絡(luò)防毒系統(tǒng)。保證普通用戶的 PC 機(jī)不受病毒侵害。 三、 針對(duì)郵件服務(wù)器服務(wù)器 安裝郵件 防病毒系統(tǒng)，保證郵件系統(tǒng)不受病毒入侵。 四、 設(shè)置管理員 PC 對(duì)整個(gè)網(wǎng)絡(luò)防病毒系統(tǒng)進(jìn)行統(tǒng)一的管理和維護(hù)。 天恒安防控制中心 n 21 首先，在 Client/Server 的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中，服務(wù)器作為網(wǎng)絡(luò)的核心，為資源共享和信息交換提供了便利條件，但同時(shí)也給病毒的傳播和擴(kuò)散以可乘之機(jī)。所 以應(yīng)重點(diǎn)加強(qiáng)對(duì)服務(wù)器進(jìn)行保護(hù)，安裝服務(wù)器端防病毒系統(tǒng)，以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力。其次，在客戶端的主機(jī)也應(yīng)安裝單機(jī)防病毒軟件，將病毒在本地清除而不致于擴(kuò)散到其他主機(jī)或服務(wù)器。最后針對(duì)郵件服務(wù)器的保護(hù)，安裝郵件服務(wù)器防病毒客戶端，這樣，由單機(jī)防毒到網(wǎng)絡(luò)防毒到郵件服務(wù)器，再加上防病毒制度與措施，就構(gòu)成了一套完整的防病毒體系。 該方案在病毒防護(hù)方面，在所有的服務(wù)器、工作站以及電子郵件服務(wù)器上安裝天 恒 安防防病毒軟件， 可實(shí)現(xiàn) 對(duì)磁 盤、可移動(dòng)磁盤、光盤以及網(wǎng)絡(luò)所收發(fā)文件和電子郵件的附件進(jìn)行防護(hù)。同時(shí)還可實(shí)現(xiàn)以下功能： 集中安裝、統(tǒng)一策略配置，分組管理 通過(guò)一個(gè)管理員控制中心，可以管理校園網(wǎng)內(nèi)所有天恒安防防病毒產(chǎn)品?？刂浦行目梢砸孕姓?jí)別劃 分組 。針對(duì)不同部門實(shí)際情況，分組設(shè)置防病毒 策略 。 另外，工作站可以通過(guò)控制中心統(tǒng)一安裝，并能自動(dòng)將報(bào)警信息及病毒報(bào)告上傳到管理服務(wù)器內(nèi)，通過(guò)控制中心界面顯示。 統(tǒng)一的自動(dòng)升級(jí) 在 網(wǎng)絡(luò)中心 建立防病毒系統(tǒng)的升級(jí)服務(wù)器，對(duì)所有的防病毒軟件進(jìn)行升級(jí)。管理員可在預(yù)定的時(shí)間自動(dòng)或手動(dòng)啟動(dòng)下載最新的升級(jí)文件，經(jīng)測(cè)試無(wú) 誤后，通過(guò) 網(wǎng)絡(luò)中心 系統(tǒng)的管理服務(wù)器即可自動(dòng)分發(fā)到各部門的管理服務(wù)器上，隨后網(wǎng)絡(luò)中所有安裝了天 恒 安防的計(jì)算機(jī)從各自所在的管理服務(wù)器上收到升級(jí)文件，并完成自身的升級(jí)。病毒事件報(bào)警，應(yīng)急響應(yīng)，綜合日志分析，疫情通報(bào) 。 當(dāng)檢測(cè)到病毒時(shí)，天 恒 安防會(huì)采取措施防止病毒的進(jìn)一步傳播，并將有關(guān)信息通知個(gè)人或著本地和上級(jí)的管理員，以便做出應(yīng)對(duì)措施。同時(shí)將出現(xiàn)問題的計(jì)算