《教育信息系统整体安全解决方案.doc》由会员分享,可在线阅读,更多相关《教育信息系统整体安全解决方案.doc(26页珍藏版)》请在金锄头文库上搜索。
1、北京赛门铁克信息技术有限公司 校园网安全解决方案 教育信息系统整体安全解决方案北京赛门铁克信息技术有限公司2006年4月随着信息技术的不断发展,教育的时空观念得到了极大地拓展;人们学习的兴趣、效率、及能动性得到了空前的提高;远程教育、多媒体教学,计算机教学软件、虚拟大学等应运而生;全球性学术交流、合作研究空前繁荣;信息生产、传播和应用日新月异。现代教育科学、心理科学和信息科学技术的相互渗透,已成为教育改革和发展的强大动力。传统的教育模式面临挑战,不仅培养学生具备读和写的能力,更要求具备迅速的选择和筛选信息、准确地鉴别信息的真伪、创造性地加工和处理信息的能力。面对全球性的信息技术发展环境,中国的
2、教育行业一直在加强教育信息化建设的步伐。自十年前校园网建设启动至今,目前100%的高校建立了校园网,一半以上的中小学也完成了基础设施的建设。目前教育信息系统已由基础网络建设向内容建设迈进,教学、管理、增值、合作等越来越多的应用在教育网络上运行。随着信息系统的广泛使用,信息的安全、可靠、服务的连续运行变得越来越重要,任何的停机会让我们无所适从,迫使我们不得不考虑信息系统的整体安全性建设。Symantec提供教育信息系统整体安全性解决方案,有效的预防网络病毒、黑客、儒虫等攻击造成的网络效率下降、数据泄密、及业务停顿;并提供人为错误、硬件故障、其它灾难后信息系统的快速恢复。8第一部分 教育网络安全解
3、决方案一、校园网结构特点及信息安全需求分析校园网结构特点随着CERNET在中国教育科研领域的深入发展,校园网信息化建设也日趋完善。总结校园网信息结构的特点,主要有以下几个方面:1 校园信息网具备完善、层次化的网络汇结结构,有统一的教育网出口。它是全国高校网的信息互通平台,同时也是通向国际互联网的传输纽带。2 校园信息网内建立了一系列重要的应用系统,负责高校日常的信息管理工作,如学生档案管理、教务管理、人事管理、财务管理、后勤管理等。此外,相当多的校园网还启用了学生一卡通系统,用于学生在校区内的购物消费、借书等。数字图书馆是高校的另一个重要系统,它包括门户系统、网上借阅、音像资料管理、TRS 检
4、索,期刊管理等等。3 校园网的另一个重要网络是学校科研及中重点试验室网络。尤其是在国家一些重点院校,这部分网络往往都承担了国家级的课题项目,里面涉及到的信息级别较高。4 随着信息化程度的深入,校园内学生宿舍区的终端数量日益膨胀。与此同时,教工家属区的PC 也通过校园网的网络资源连入CERNET。对于这两类终端,他们的特点是数量庞大,占用带宽较高且不易管理。图1:校园信息网示意图综合以上校园网结构特点,其存在以下安全风险和其脆弱性:1 校园信息网平台比较开放,终端数量庞大,非常容易受到来自CERNET本身的安全威胁,例如网络蠕虫传播、安全攻击,垃圾邮件泛滥等等。此外,校园网终端没有统一的管理,每
5、台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响校园网络的正常使用。2 学生是CERNET 上重要使用者,对网络的渴望、好奇和其它一些原因直接导致了在某些情况下对网络的未授权使用,例如:攻击试探、长时间网络下载占用、对重要服务器群的信息窃取等等。这些行为除了会影响校园信息管理系统的正常运行,同时还对那些重要服务器的安全造成了威胁。3 学校的重点科研试验室承担了大量的学术研究和试验项目,在研究过程中的数据需要采取严格的安全保护措施。对这部分网络的访问并不一定完全是学校内部的人员,同时还会有相关的外校科研人员。必须要对该网段的访问进行严格的监控和控制措施,以保障其信息的完整性。4
6、校园网的管理结构相对复杂,没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻击等紧急情况,没有相应的处理流程。而且,如果只是通过被动的事后响应,学校投入的IT 资源回报无法最大化,总是在事倍功半的恶性循环之中。通过上述总结分析可以看出,校园网的安全防护必须是多层次的,全方位的。赛门铁克根据校园网的实际情况,设计了完整、先进的校园网主动安全防护体系,它主要包括:校园网出口统一威胁控制校园网内部安全监控和防御校园网内部重要服务器、应用防护(邮件)校园网内部终端安全防护图2:校园网信息安全管理体系二、校园信息网安全建议方案1校园网出口统一威胁控制赛门铁克网关安全Syma
7、ntec Gateway Security(以下简称SGS)是新一代的统一威胁管理设备。它采用了多种先进的安全技术,对进、出校园网的数据包进行检查、处理和控制。它可以满足校园网抵御混合型威胁的需要。作为业界最全面的统一威胁管理设备,它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎、获奖的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPsec 的VPN技术无缝地集成在一起。在部署时,SGS 可以根据学校的实际需要启用不同的安全功能模块:IPS/IDS、防病毒、防垃圾邮件,内容过滤、VPN 等。在校园网出口的地方,我们还可以利用SGS 建立出DMZ 区域,放入一些对
8、应的服务器,如WEB服务器,EMAIL 服务器等。为了避免校园出口的单点故障,可以部署两台或多台SGS 设备。这些设备可以同时执行负载均衡和高可用性责任。以上方案的效果可以使管理员灵活控制来自CERNET的通讯流量,阻止各种校园外来黑客攻击和病毒、蠕虫以及垃圾邮件;对DMZ区和校园内部网络区别看待,使用不同的安全访问控制规则。除了在校园网出口部署统一威胁管理方案,还可以在学校内部的网段之间部署。例如在学校科研及重点试验室网段,该网段的信息安全级别相对较高,可以再部署一台SGS设备,设置适合本网段的安全访问控制规则及安全攻击检测规则,保护信息以合法的方式被访问。对于校园网的其它网段,可视情况部署
9、同样的方案。SGS 在校园网的部署如下图所示:图3:校园网统一威胁管理部署方案利用赛门铁克SGS部署在校园网出口和内部重要网段,其特点如下: 具有七种必要的网络安全功能,集成了防火墙、基于协议异常和基于攻击特征的入侵防御及入侵检测、著名的病毒防护、基于 URL 的内容过滤、反垃圾邮件以及符合 IPSec 标准的 VPN 技术。可以在一台设备上实现对校园网的统一威胁管理。 Symantec Gateway Security 系列独到之处在于采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则(顺序无关),防火墙会自动按照最安全的策略选择并解释执行规则。大大减少了信息管理员的管理成本,易
10、于维护使用。 校园网的信息平台相对开放,多数具有较强破坏力的复杂攻击是对应用数据流的攻击,而不是仅仅在IP层,所以对应用数据和协议命令的控制是非常必要的。Symantec Gateway Security 系列使用智能安全代理,对IP应用(例如FTP,SMTP,SQL*NET)独立控制,保证只有合法的协议命令和数据才能通过。例如Symantec Gateway Security 5600系列防火墙可以抵制SMTP 后门命令和FTP、 SMTP和HTTP 数据流中存在的缓冲区溢出攻击。 Symantec Gateway Security提供集中式管理,通过集中的日志记录、警报、报告和策略配置简化
11、网络安全的管理。同时Symantec Gateway Security具有集成的高可用性和负载均衡选件,能够满足任何规模的校园网的性能要求。2校园网内部安全攻击监控和防御结合校园网的网络环境,我们可以针对校园网主要核心交换机部署赛门铁克网络安全设备,即Symantec Network Security(以下简称SNS )。根据校园网交换机带宽的实际利用率,在每台SNS 设备上应用的授权带宽可从50M 到2G。SNS部署时的端口使用情况如下:SNS 7100系列的所配备网卡接口有三种类型, 管理端口(有IP地址,不能监听) 监控网卡(无IP地址,工作在混杂模式(promiscuous mode)
12、下,仅用于收集对应交换机端口的数据包)。 TCP Reset发送端口(无IP地址,只用于发送TCP Reset包)这样的工作模式,既能保证SNS设备的安全,又有很好的灵活性,如果校园网需要监控多台交换机,只需将SNS的监控网卡分别与其相连,不用另外购置新的设备。SNS可以监控整个校园网络的通信信息,不需要另外安装任何代理程序,对网络结构的影响也几乎没有。对于SNS的网络监控模式,可以采用IPS/IDS部署模式。SNS 7100 IPS 模式可以支持多个in-line pair(内嵌对),同时支持报警和拦截模式。校园网管理员可以使用SNS 的“单键防御”技术在这两种模式间切换。从而可以采用不同的
13、安全策略应对变化的网络。报警模式:SNS串接在网络上,发现可疑行为后发出报警通知管理员,不拦截会话。图4:SNS报警模式示意图拦截模式:SNS直接串接在网络上,发现恶意攻击、非法请求,立即拦截。图5:SNS 拦截模式示意图如果使用IDS部署模式,学校不用更改交换机配置,无需额外占用交换机端口资源,SNS 7100支持802.1q trunk协议。在透明模式下,IDS不会影响学校的现有网络应用。SNS对经过监控网卡的数据包进行分析,将恶意请求,非法访问直接拦截。在IPS(入侵拦截模式)下,SNS设备直接串接在校园网络中。为了防止因为SNS在正常设备时的重启或服务暂止而影响网络通信中断,建议在部署
14、SNS时,同时配合部署SNS旁路设备保持网络通畅。SNS旁路设备,会监听SNS的运行状态,并在SNS不能提供正常服务时,自动接管网络通信,保证网络的畅通。图6:SNS 在拦截模式下的故障旁路处理每台SNS 7100 设备在对交换机部署IPS 模式的同时,还可以对其它网络部署成IDS模式。它是利用交换机的SPAN/RSPAN 功能,将SNS7100设备上的监控端口直接连接在SPAN 端口,这种模式一般部署在校园的某一个网段上,监视和检测该网段所有的数据流量,如校园的学生楼、教工宿舍区等。可以看出,SNS的网络监控的部署模式是非常灵活的,完全可以满足校园网的不同需求。图7:校园网网络安全监控和防御
15、Symantec Network Security部署在校园网具备如下特点: 满足高速环境的检测需求。Symantec Network Security 7100 就多千兆高速通信监控设置了新标准,允许在校园内的任何级别执行检测功能,且不会丢弃数据包。 对攻击主动拦截。SNS设备可以工作在透明模式下,在不改变网络结构的前提下,自动拦截非法的网络访问,实现主动防御。 混合检测体系结构,识别零时间攻击。Symantec Network Security 7100组合协议异常检测、状态特征签名、漏洞攻击拦截、通信速率监控、IDS 逃避处理、数据流策略冲突、IP 地址拆分重组以及自定义增强特征签名描述语言来收集恶意活动的证据。Symantec Network Security 7100 的协议异常检测有助于检测以前未知的攻击和新攻击(在它们发生时检测)。此功能称为“零时间”检测。 实时事件关联和分析,快速定位校园网威胁来源。Symantec Network
