校園網(wǎng)絡(luò)安全建設(shè)案例分析

 一、網(wǎng)絡(luò)安全建設(shè)背景
隨著校園信息化建設(shè)成為了高校發(fā)展的新方向，校園信息化建設(shè)逐漸成為高校綜合實力的一種體現(xiàn)。然而，在當前復雜而又嚴峻的網(wǎng)絡(luò)安全形勢下，各高校對網(wǎng)絡(luò)安全的重視程度日益提高，也是各個高校進行信息化教學工作的重要前提。
二、校園網(wǎng)面臨的具體問題
當前各大高校校園網(wǎng)網(wǎng)絡(luò)安全均存在著不同程度的問題和隱患，我認為這些問題和隱患主要體現(xiàn)在以下三個方面，人防、管防和技防。校園網(wǎng)絡(luò)安全“人防“問題，即網(wǎng)絡(luò)安全隊伍建設(shè)問題；校園網(wǎng)絡(luò)安全“管防“問題，即網(wǎng)絡(luò)安全管理制度問題；校園網(wǎng)絡(luò)安全“技防“問題，即網(wǎng)絡(luò)安全設(shè)備問題，本文重點分析“技防”，網(wǎng)絡(luò)安全設(shè)備的投入是整個校園網(wǎng)絡(luò)安全建設(shè)的重中之重，而校園網(wǎng)絡(luò)安全設(shè)備投入巨大，并且設(shè)備更新周期短，很多高校缺少系統(tǒng)的投入；隨著國家對網(wǎng)絡(luò)安全問題的高度重視，高校在技防方面的建設(shè)迫在眉睫。
根據(jù)網(wǎng)絡(luò)改造前拓撲圖我們可以分析出該高校校園網(wǎng)存在如下網(wǎng)絡(luò)安全隱患。
問題一、網(wǎng)站服務(wù)器區(qū)域缺少必要的安全防護。
該高校的門戶網(wǎng)站、管理系統(tǒng)等直接暴露在公網(wǎng)之上，門戶網(wǎng)站及管理系統(tǒng)服務(wù)器將會遭遇惡意入侵、服務(wù)器文件感染病毒、網(wǎng)站掛馬、管理程序被植入廣告等網(wǎng)絡(luò)威脅行為。
問題二、缺少上網(wǎng)行為審計系統(tǒng)。
網(wǎng)絡(luò)拓撲中缺少上網(wǎng)行為審計設(shè)備，沒有對校內(nèi)網(wǎng)行為進行記錄，無法定位、分析、判斷出網(wǎng)絡(luò)的異常網(wǎng)絡(luò)行為，對于一些影響社會和諧的網(wǎng)絡(luò)事件無法追查及控制，嚴重影響了校園網(wǎng)絡(luò)的安全。
問題三、缺少對網(wǎng)內(nèi)、網(wǎng)外攻擊的有效防御。
該校園網(wǎng)缺少防御網(wǎng)絡(luò)攻擊的安全設(shè)備，如果發(fā)生內(nèi)外網(wǎng)攻擊，如DOS/DDOS攻擊、蠕蟲病毒、木馬植入等網(wǎng)絡(luò)威脅行為，將會嚴重影響了學校的信息化教學及網(wǎng)絡(luò)信息化辦公。
問題四、網(wǎng)絡(luò)結(jié)構(gòu)不合理，核心骨干網(wǎng)絡(luò)缺少雙核心。
校園網(wǎng)絡(luò)核心設(shè)備為單核心，存在單點故障隱患，業(yè)務(wù)風險大，任意一點故障都會造成大面積甚至全校業(yè)務(wù)中斷。
三、針對上述問題提出的解決方案
1、在網(wǎng)絡(luò)出口串聯(lián)部署下一代防火墻NF，通過下一代防火墻可以對應(yīng)用層攻擊、病毒進行全面阻斷，可實現(xiàn)基于源/目的IP地址、協(xié)議/端口、時間、用戶、VPN、安全區(qū)的訪問控制，保證內(nèi)部網(wǎng)絡(luò)的安全。
2、校園網(wǎng)內(nèi)部部署IPS系統(tǒng)，IPS提供一種主動的、實時的防護，對常規(guī)網(wǎng)絡(luò)流量中的惡意數(shù)據(jù)包進行檢測，阻止入侵活動，預先對攻擊性的流量進行自動攔截，而不是簡單地在監(jiān)測到惡意流量后發(fā)出警報。入侵防御系統(tǒng)采用串聯(lián)的方式接入到網(wǎng)絡(luò)鏈路中，即入侵防御系統(tǒng)如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或?qū)⒐粼醋钄?，而不把攻擊流量放進內(nèi)部網(wǎng)絡(luò)。
3、在服務(wù)器區(qū)域部署Web應(yīng)用防火墻，它提供Web應(yīng)用實時深度防御的同時，實現(xiàn)Web應(yīng)用加速與防止敏感信息泄露的功能。WAF可以解決目前所面臨的各類網(wǎng)站安全問題，如：注入攻擊、跨站攻擊、腳本木馬、緩沖區(qū)溢出、信息泄露、應(yīng)用層DoS/DDoS攻擊等常見安全問題，WAF設(shè)備采用透明網(wǎng)橋模式管理方便，在不需要改變原網(wǎng)絡(luò)拓撲的情況下，串聯(lián)接入校園網(wǎng)絡(luò)中，對Web攻擊進行防御。
   4、安全審計系統(tǒng)，對流經(jīng)核心交換機訪問互聯(lián)網(wǎng)的流量進行行為審計。在網(wǎng)絡(luò)中部署安全審計系統(tǒng)，可以實時監(jiān)控上網(wǎng)人員的訪問行為和信息的傳播，掌握校園網(wǎng)絡(luò)的狀態(tài)，及時發(fā)現(xiàn)違反安全策略的事件并實時告警、記錄，并對信息源進行定位與分析，便于事后追查并取證 。
5.雙核心設(shè)備應(yīng)用
構(gòu)建基于雙核心的網(wǎng)絡(luò)核心設(shè)備熱備，來實現(xiàn)網(wǎng)絡(luò)及系統(tǒng)容災(zāi)，滿足50ms電信級切換時間要求，確保學校的網(wǎng)絡(luò)穩(wěn)定。
四、未來的工作方向
升級后的校園網(wǎng)雖然有了網(wǎng)絡(luò)安全保障，但是缺少對網(wǎng)絡(luò)更細化的管理，后續(xù)工作為提供上網(wǎng)行為管理系統(tǒng)，對校園網(wǎng)上網(wǎng)流量進行更合理的規(guī)劃，控制教師及學生的上網(wǎng)行為，提高網(wǎng)絡(luò)資源的利用率。
五、結(jié)束語
本文對某高校校園網(wǎng)現(xiàn)存的安全問題進行了分析，并提出了一個事前防御，事中檢測，事后審計，全方位、多層次的網(wǎng)絡(luò)安全解決方案，并提出了后續(xù)的工作方向，筆者認為網(wǎng)絡(luò)安全方案的提出要充分考慮學?，F(xiàn)有問題，以及學校的承載能力，根據(jù)具體的需求提出不同的方案，靈活實現(xiàn)。