六大措施保障網絡安全
2022-08-13 14:45:40 admin 742
建設一個安全可靠、穩定可管理的網絡已成為人們的共識。對校
園網而言,這可能需要管理者們付出更大的努力。高校校園網服
務于教學科研的宗旨,決定其必然是一個管理相對寬松的開放式
系統,無法做到像企業網一樣進行嚴格統一的管理,這使得保障
校園網安全成為一個大挑戰。
上海交通大學從自身情況出發,應用了以下六項措施保障網絡安
全。
措施1 網絡交換路由設備的安全配置
根據不同控制策略的要求,對校園網邊界路由器,各校區核心交
換機,匯聚點交換機以及樓內三層交換機分級配置合理的訪問控
制列表(ACL),從而保障網絡安全。機制如下:
對蠕蟲病毒常見傳播端口和其他特征的控制,可以有效控制蠕蟲病毒大面積擴散;
對常見木馬端口和系統漏洞開放端口的控制,可以有效降低網絡攻擊和掃描的成功率;
對IP源地址的檢查將使部分攻擊者無法冒用合法用戶的IP地址發動攻擊;
對部分ICMP報文的控制將有助于降低Smuff攻擊的威脅。
在網絡安全日常管理維護和出現病毒爆發或其他突發安全威脅時,合理配置ACL將有助于快速定位和清除威
脅。
措施2 采取靜態IP地址管理模式
上海交通大學長期以來一直采用校園網用戶靜態IP地址管理模式。所有網絡用戶入網前需要事先從網絡中
心申請獲取靜態IP地址。網絡中心收到申請后在用戶接入的二層交換機上完成一次用戶MAC-接入交換機端
口的綁定,并在用戶樓內三層交換機上實現用戶IP-MAC的一一綁定,使用這種方法來確認最終用戶,消除I
P地址盜用等情況。雖然看上去比較復雜,但由于網絡中心針對校園網中使用的各種不同廠家和類型交換
機,都開發了相應的綁定程序,所有的綁定管理工作都由程序自動完成,所以管理人員的工作量并不大。
網絡中心的網管數據庫里存放著全校范圍內數千臺接入交換機的端口-用戶房間端口信息數據,以及所有用
戶的詳細使用信息和相關IP-MAC資料,所有這些都為建立可管理的安全校園網提供了基礎。
這種管理模式的好處很多:一旦出現掃描攻擊,垃圾郵件等網絡安全事件,根據IP/MAC/端口可以在第一時
間迅速定位來源,從而為采取下一步處理措施提供準確的依據。這樣一個完整準確的用戶信息系統的存
在,為以后構想中的網絡自防御體系創造了條件。
措施3 中央集中控制病毒
在病毒的防控方面,學校采取中央集中控制管理的模式,統一采購網絡版殺毒軟件,免費提供給校內用戶
使用,使得病毒庫可以及時快速升級。此外,建立一個校內網絡安全站點,及時發布安全公告,提供一些
安全建議和相關安全工具下載也是十分必要的。
在2003年沖擊波病毒爆發以后,網絡中心開始思考如何應對由于微軟操作系統漏洞引起的大規模蠕蟲病毒
感染。當年就建立了微軟軟件更新(SUS)站點,給校園網用戶提供微軟操作系統補丁的快速自動更新。今年
又建立了微軟Windows軟件更新(WSUS)站點和Linux系列操作系統的自動更新站點,提供操作系統、微軟Off
ice應用程序、SQL數據庫的校內快速自動更新服務。因為WSUS的數據庫里可以存儲所有用戶的更新信息,
所以網絡中心就可以掌握校內計算機的漏洞分布情況,并且誰裝了補丁誰沒裝一目了然。為了普及校內計
算機安裝自動更新,盡可能的消除操作系統級別的安全隱患,我們計劃于近期進行半強制性的安裝。
措施4 積極防范網絡攻擊
我們在校園網邊界出口部署了IDS,核心路由器上啟用了NetFlow、sFlow等進行監控,對關鍵的網絡節點通
過端口鏡像、分光等方式進行進一步分析處理網絡數據包,通過部署基于Nessus的漏洞掃描服務器對校園
網計算機進行定期安全掃描。
及時查看并分析處理這些監控數據和報表有助于在第一時間發現異常網絡安全事件并進行處理,防患于未
然。
實踐證明,選用合適的軟件和分析處理方式將會大幅度提高工作效率。商業軟件固然不錯,但很多開源軟
件如Ethereal、Ntop、Nessus等在這些方面一樣做得很優秀,并且易于用戶根據自己的需要進行二次開
發。
措施5 統一身份認證
對于無線網絡的安全而言,用戶接入認證是非常關鍵的。網絡中心使用了校內統一身份認證來限制校外用
戶未經授權的無線訪問。由于WEP認證具有天然的弱安全性,網絡中心又同時提供了基于802.1x的認證平臺
進行校內統一身份認證并鼓勵用戶使用。
措施6 鼓勵學生當網管
宿舍網的網絡安全管理在很多學校往往是比較頭疼的,上海交大網絡中心在這方面取得了讓學校師生滿意
的成績,而且,網絡中心也沒有太多人力深陷其中。根本原因還是在學校有關部門的大力配合下,建立了
一支由數百人組成的學生宿舍網管員隊伍,每個樓都配有至少一名學生網管員,一般在樓內招聘。日常管
理由學生工作部門負責,工資待遇納入學校勤工助學體系,但網管員具體工作由網絡中心加以指導。
通過培訓這些學生網管員掌握基本的網絡安全意識和基本技能,大量的網絡安全問題都消失在萌芽狀態。
當處于病毒爆發期或有網絡安全突發事件時,分布在全校各處的學生網管員也可以第一時間做出響應,協
助網絡中心的工作。
結束語
很多時候,校園網絡安全管理人員都會發出這個感慨:發現病毒和攻擊其實并不難,難的是面對層出不窮
的大量病毒和攻擊時,如何去快速響應處理。要實現網絡安全,單單依靠網絡中心的力量肯定是不夠的,
要動員各部門院系的力量,激發學生的興趣和創造力,建立專門的網絡安全隊伍,通過培訓等各方面途徑
來提高所有網絡用戶的網絡安全意識。只有網絡安全意識深入人心,才有可能創造出一個長期的良好的校
園網安全環境。
園網而言,這可能需要管理者們付出更大的努力。高校校園網服
務于教學科研的宗旨,決定其必然是一個管理相對寬松的開放式
系統,無法做到像企業網一樣進行嚴格統一的管理,這使得保障
校園網安全成為一個大挑戰。
上海交通大學從自身情況出發,應用了以下六項措施保障網絡安
全。
措施1 網絡交換路由設備的安全配置
根據不同控制策略的要求,對校園網邊界路由器,各校區核心交
換機,匯聚點交換機以及樓內三層交換機分級配置合理的訪問控
制列表(ACL),從而保障網絡安全。機制如下:
對蠕蟲病毒常見傳播端口和其他特征的控制,可以有效控制蠕蟲病毒大面積擴散;
對常見木馬端口和系統漏洞開放端口的控制,可以有效降低網絡攻擊和掃描的成功率;
對IP源地址的檢查將使部分攻擊者無法冒用合法用戶的IP地址發動攻擊;
對部分ICMP報文的控制將有助于降低Smuff攻擊的威脅。
在網絡安全日常管理維護和出現病毒爆發或其他突發安全威脅時,合理配置ACL將有助于快速定位和清除威
脅。
措施2 采取靜態IP地址管理模式
上海交通大學長期以來一直采用校園網用戶靜態IP地址管理模式。所有網絡用戶入網前需要事先從網絡中
心申請獲取靜態IP地址。網絡中心收到申請后在用戶接入的二層交換機上完成一次用戶MAC-接入交換機端
口的綁定,并在用戶樓內三層交換機上實現用戶IP-MAC的一一綁定,使用這種方法來確認最終用戶,消除I
P地址盜用等情況。雖然看上去比較復雜,但由于網絡中心針對校園網中使用的各種不同廠家和類型交換
機,都開發了相應的綁定程序,所有的綁定管理工作都由程序自動完成,所以管理人員的工作量并不大。
網絡中心的網管數據庫里存放著全校范圍內數千臺接入交換機的端口-用戶房間端口信息數據,以及所有用
戶的詳細使用信息和相關IP-MAC資料,所有這些都為建立可管理的安全校園網提供了基礎。
這種管理模式的好處很多:一旦出現掃描攻擊,垃圾郵件等網絡安全事件,根據IP/MAC/端口可以在第一時
間迅速定位來源,從而為采取下一步處理措施提供準確的依據。這樣一個完整準確的用戶信息系統的存
在,為以后構想中的網絡自防御體系創造了條件。
措施3 中央集中控制病毒
在病毒的防控方面,學校采取中央集中控制管理的模式,統一采購網絡版殺毒軟件,免費提供給校內用戶
使用,使得病毒庫可以及時快速升級。此外,建立一個校內網絡安全站點,及時發布安全公告,提供一些
安全建議和相關安全工具下載也是十分必要的。
在2003年沖擊波病毒爆發以后,網絡中心開始思考如何應對由于微軟操作系統漏洞引起的大規模蠕蟲病毒
感染。當年就建立了微軟軟件更新(SUS)站點,給校園網用戶提供微軟操作系統補丁的快速自動更新。今年
又建立了微軟Windows軟件更新(WSUS)站點和Linux系列操作系統的自動更新站點,提供操作系統、微軟Off
ice應用程序、SQL數據庫的校內快速自動更新服務。因為WSUS的數據庫里可以存儲所有用戶的更新信息,
所以網絡中心就可以掌握校內計算機的漏洞分布情況,并且誰裝了補丁誰沒裝一目了然。為了普及校內計
算機安裝自動更新,盡可能的消除操作系統級別的安全隱患,我們計劃于近期進行半強制性的安裝。
措施4 積極防范網絡攻擊
我們在校園網邊界出口部署了IDS,核心路由器上啟用了NetFlow、sFlow等進行監控,對關鍵的網絡節點通
過端口鏡像、分光等方式進行進一步分析處理網絡數據包,通過部署基于Nessus的漏洞掃描服務器對校園
網計算機進行定期安全掃描。
及時查看并分析處理這些監控數據和報表有助于在第一時間發現異常網絡安全事件并進行處理,防患于未
然。
實踐證明,選用合適的軟件和分析處理方式將會大幅度提高工作效率。商業軟件固然不錯,但很多開源軟
件如Ethereal、Ntop、Nessus等在這些方面一樣做得很優秀,并且易于用戶根據自己的需要進行二次開
發。
措施5 統一身份認證
對于無線網絡的安全而言,用戶接入認證是非常關鍵的。網絡中心使用了校內統一身份認證來限制校外用
戶未經授權的無線訪問。由于WEP認證具有天然的弱安全性,網絡中心又同時提供了基于802.1x的認證平臺
進行校內統一身份認證并鼓勵用戶使用。
措施6 鼓勵學生當網管
宿舍網的網絡安全管理在很多學校往往是比較頭疼的,上海交大網絡中心在這方面取得了讓學校師生滿意
的成績,而且,網絡中心也沒有太多人力深陷其中。根本原因還是在學校有關部門的大力配合下,建立了
一支由數百人組成的學生宿舍網管員隊伍,每個樓都配有至少一名學生網管員,一般在樓內招聘。日常管
理由學生工作部門負責,工資待遇納入學校勤工助學體系,但網管員具體工作由網絡中心加以指導。
通過培訓這些學生網管員掌握基本的網絡安全意識和基本技能,大量的網絡安全問題都消失在萌芽狀態。
當處于病毒爆發期或有網絡安全突發事件時,分布在全校各處的學生網管員也可以第一時間做出響應,協
助網絡中心的工作。
結束語
很多時候,校園網絡安全管理人員都會發出這個感慨:發現病毒和攻擊其實并不難,難的是面對層出不窮
的大量病毒和攻擊時,如何去快速響應處理。要實現網絡安全,單單依靠網絡中心的力量肯定是不夠的,
要動員各部門院系的力量,激發學生的興趣和創造力,建立專門的網絡安全隊伍,通過培訓等各方面途徑
來提高所有網絡用戶的網絡安全意識。只有網絡安全意識深入人心,才有可能創造出一個長期的良好的校
園網安全環境。
底部圖文
聯系我們
- 13714001599
- sales@lancom.net.cn
- 深圳福田彩田南路彩虹大廈1棟16G