陶卫东

计算机网络安全主要包括,网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。下面根据多年网络管理方面的经验,从网络管理方面对网络安全作一个阐述。

1.部分学校网络安全现状分析

在没有防火墙时,内部网络上的每个节点都暴露给Internet上的其它主机,极易受到攻击。一些学校为了提高网络的安全性能,在学校网络和互联网之间架设了防火墙,防火墙负责管理Internet和学校内部网络之间的访问。管理员在防火墙上定义了策略来防止非法用户,比如防止黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。防火墙能够简化安全管理,网络的安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。

2.学校网络安全部署思路

网络安全技术与各种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面,唯有用全局化、智能化的安全体系代替陈旧的安防措施。即由安全交换机、安全客户端、安全管理平台、用户认证系统、安全修复系统、VPN客户端、防火墙等多重网络元素组成,实现同一网络环境下的全局联动,使网络中的每个设备都在发挥着安全防护的作用,构成“多兵种协同作战”的全新安全体系。通过将用户入网强制安全、统一安全策略管理、动态网络带宽分配、嵌入式安全机制集成到一个网络安全解决方案中,达到对网络安全威胁的自动防御,网络受损系统的自动修复,同时可针对网络环境的变化和新的网络行为自动学习,从而达到对未知网络安全事件的防范。将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。

3.学校网络安全部署方法

网络安全综合体系是一套由软件和硬件联动的解决方案,它由后台的管理系统、网络接入设备、入侵检测设备以及安全客户端共同构成。

3.1身份管理策略

身份策略管理服务器上保存着用户的身份信息,用户在正是接入网络之前,需要在服务器上通过认证,以保障用户身份的合法性。采用服务器跟安全客户端联动来获取入网PC的安全现状,从而制定出对应的安全修补策略下发到PC上来完成主机完整性的管理。

3.2安全事件分析

安全事件分析器是安全事件的收集、分析与上报。作为与IDS入侵检测设备直接接口的平台,安全事件分析器上预置了大量的安全事件库,从而能够对IDS设备反馈回来的安全事件进行准确的分析,并决定是否需要上报给身份策略管理服务器,由其进行处理。

3.3安全终端

安全终端是一个客户端软件,它的作用是跟身份策略管理服务器配合实现用户的身份认证和主机完整性检查、安全策略的下发,并在发生安全事件时接收身份策略管理服务器发来的处理策略,来对主机进行响应的处理。

3.4入侵检测(IDS)

入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将入侵检测引擎接入中心交换机上。入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。

IDS由四部分组成,控制台、事件收集器、日志服务器和传感器。传感器通过镜像口旁路经过交换机的数据流量,来进行网络安全事件的检测,一旦检测到安全事件,传感器会将时间发送给事件收集器,并报由控制台进行处理。通过控制台跟身份策略管理服务器的联动,可以让身份策略管理服务器在第一时间获得发起攻击和遭到攻击的用户的IP、MAC等网络信息,并通过与身份策略管理服务器的联动查找出发起攻击的元凶,然后通过客户端下发相应的策略。IDS就是我们部署到网络中的一根探针,时刻监测着网络中的一举一动。

网络安全综合体系正是因为实现了网络与软件的联动,通过安全智能交换机上的802.1X、ACL等功能,将用户身份、PC安全、用户行为等元素与网络的通与断结合在一起,通过对与身份策略管理服务器下发的命令的准确执行,将一切的不安全因素排除在网络之外。