毕业论文网
这篇网络安全论文范文为免费优秀学术论文范文,可用于相关写作参考。
大学网络安全与应用交付解决方案以某211工程重点建设高校为例
摘 要:教育行业的信息化规模不断扩大、网络用户数量激增,基础网络和安全防护已基本成熟,互联网出口管理成为学校关注的要点,网络结构趋于复杂化、业务趋于综合化导致运维管理难度增大,因此需要数据处理能力和性能强大的网络安全建设.
关键词:网络安全;虚拟化;统一管理
一、前言
在国家教育改革不断深入背景下,校园网已成为教学、科研、管理的重要支撑平台.高等教育事业整体发展推动校园信息化的不断深入发展,各厂商已经开发出了针对校园网稳定的网络架构和面向校园网的应用平台,多业务融合和面向下一代IPv6 网络等特性变得越来越重要,整个教育行业的网络信息化呈如下趋势:
网络规模不断扩大、网络使用者数量不断增加,基础网络和安全防护已基本成熟,互联网出口管理成为学校关注的要点,基于互联网的内容审计与管理成为管理者面临的新的挑战;网络结构趋于复杂化、业务趋于综合化导致运维管理难度增大,因此需要数据处理能力和性能强大的网络安全建设.
二、校园网络现状概况
某大学是该省唯一的国家“211 工程”重点建设高校,也是省人民政府与国家教育部共建高校.学校为涵盖理学、工学、医学、文学、历史学、哲学、法学、经济学、管理学、教育学、农学、艺术学12 大学科门类的综合性大学.
目前学校有校本部包括新校区、南校区、工学院、医学院4 个校区,分别采用运营商裸光纤直连到当地高新技术西开发区校总部.校内拥有涵盖教职工、学生、家属区、移动接入用户等八万余个网络终端,是省内网络终端接入规模最大的高校.目前,校互联网总出口设在西开发区新校区,拥有3条千兆联通互联网、1 条千兆移动互联网出口和CERNET、IPV6 教育科研网两条千兆教科网链路.高峰期双向流量突破10Gbps,高峰期在网并发用户3 万余人.
(一)校园网网络现状分析
网络安全风险分析:
1. 校园网互联网接入缺乏有效的互联网上网行为管理和审计手段.校园网内部用户的上网处于开放式的管理模式中,一旦发生因教职工或学生个人发布、传播违反国家规定的非法言论、黄赌毒等敏感信息,网络运行管理中心无法有效提供违法责任人,最终会导致教育部、网监部门对学校的行政问责和处分.
2. 数据中心核心业务系统前端,如网站、办公系统、邮件系统等关键业务,未部署有深度安全防护设备措施,一旦被互联网非法用户通过木马、蠕虫、应用层网络攻击等手段对校内核心业务进行破坏,极易造成网络核心业务系统的中断及数据丢失,带来不可估量的影响.
3. 通过网络逻辑拓扑图不难看出,目前校园网各级业务节点信息主要采用明文的传输方式(通过TELNET 命令或WEB 方式访问数据中心的Web 业务,最终在核心数据区内完成业务的最终处理),这种明文传递使信息很容易被窃听,并且应用程序不对数据的完整性进行检验,因此在发生数据被篡改后,也无法即使判断出来,造成很大的风险.
4.四个校区纵向网络之间缺乏有效的访问控制和隔离措施.
5.对于主干通讯网络没有病毒防护及网络安全审计的措施,对于非法网络访问行为、大规模蠕虫爆发等,均无法进行预见和审查记录.
6. 目前校园的网络管理和风险评估手段尚不完善,无法对来自外部访问请求的合法性作出判断,无法迅速阻断非法用户的入侵.
三、建设方案设计及思路
(一)校园网安全方案设计原则
校园办公网络安全及应用交付方案设计时要遵从下列原则:
1. 整体均衡原则
要对信息系统进行全面的保护,要提高整个信息系统的安全性能,保证各个层面防护.
2. 安全目标与效率、投入之间的平衡原则
要综合考虑安全目标与效率、资金投入之间的平衡关系,确定合适的平衡点,不能为了过分的追求网络的安全而牺牲网络通行效率,或投入资金过大.
3. 网络设备标准化与一致性原则
在设备选型方面必须满足一系列的行业标准,充分考虑不同网络设备之间的兼容性问题.
4. 网络产品异构性原则
在网络安全产品选型时,要考虑选择不同厂商的安全产品,功能上要互补.
5. 信息安全区域要采用等级原则将信息系统按照合理的原则划分成不同安全等级,要分区域和分等级进行信息安全防护.
6. 信息安全动态发展原则
信息安全防范体系建设需要不断完善的,所以安全技术方案要能够随着安全技术的发展、安全目标的调整而不断升级更新.
7.网络建设规划分步实施原则
网络技术方案部署不可能一步到位,所以要在全面规划的基础上,根据实际情况,在不影响正常使用的前提下,分阶段实施.
8. 保护原有设备投资原则
网络改造设计技术方案时,要尽量利用学校现有的网络设备与软件,避免投资浪费.
(二)建设校园网安全方案设计思路
1. 以安全为核心规划网络
学校现有四个校区之间互联的广域网专线主要是以通连性作为需求进行设计的,网络的安全性考虑很少.在网络改造中要改变将以通连性为需求的设计思路,要采用以网络安全为主的设计思路.
要按照以网络安全为主的设计思路对网络进行规划设计.
以网络安全为主的设计理念就是在网络规划设计时,根据现有的以及未来的网络应用需求,将网络划分成多个不同的网络安全区域,在不同的网络安全区域之间进行相应的安全隔离.
2. 利用防火墙分隔各网络安全区域
防火墙作为网络各个安全域之间信息的传输通道,可以制定访问控制策略控制信息流,而且防火墙本身具有较强的抗网络攻击能力.防火墙可以在网络之间实现数据访问控制,通过一系列的安全技术手段来保护受信任的网络信息.
3. 对关键核心应用进行深度入侵防御防护
虽然,网络中部署了防火墙等网络安全产品,但是,在实际的网络运行维护中,网络管理员仍然发现网络中存在网络带宽利用率过高、部分应用系统的响应速度变慢.
因此在关键路由上部署IPS 入侵防御系统就显得非常重要.深度IPS 入侵防御系统可以检测计算机网络中是否存在违反安全策略行为.
深度IPS 入侵防御系统可以识别出任何不希望有的活动,从而限制这些活动,以保护信息系统的安全.
4. 充分合理的利用好现有的网络设备和网络控制管理系统在网络系统改造及建设中,整个网络的安全,要先确保网络设备的安全,保证非授权用户不能访问到任何一台服务器、交换机、路由器或防火墙等网络设备.通过网络管理系统提供的安全管理、配置管理、性能管理和失效管理功能,可以实现网络设备安全有效的配置,为整个信息系统提供安全运行的基石.
四、建设方案部署及实现
(一)校园网出口方案设计
针对校园网出口面临的众多挑战,本文主要从网络接入、应用优化、威胁防护与安全管理等多个维度提供一体化、全万兆解决方案.
1. 在网络接入方面
部署多台高性能防火墙分别接入多条互联网、Cernet、Cernet2(IPv6) 线路,防火墙可提供高性NAT 功能、丰富的IPV4、IPV6路由协议,替换原有路由器与传统防火墙实现外部网络的接入,同时提供网络2-4 层的安全防护功能,有效的实现校网与外部网络的安全隔离.防火墙要支持完善IPV6 协议栈,可实现Cernet2 线路接入与安全防护.
2. 在访问优化方面
部署高性能负载均衡产品,实现多条出口线路的智能调度与管理,及时感知每条出口线路的通断,链路故障时自动切换,保证校园网用户对外访问流量不中断;动态探测每条线路的负载情况,根据每条出口线路的带宽、负载、会话等状态,合理分配外网访问流量,最大限度的应用每条出口线路带宽;智能区分不同运营商出口线路,在内网访问外网方向上,使访问联通资源、电信资源、教育网资源流量走相应的出口线路,在对外务方面(如WEB网站),通过智能DNS 功能,智能判断外网访问终端的ISP 接入类型,引导外部终端选择适合的ISP 线路访问校园网对外发布的服务,从而避免跨运营商互访问的问题.
另外,通过部署审计及流控网关产品,可以对P2P、在线视频等带宽滥用行为进行控制,基于用户、时段合理分配出口带宽资源,确保关键应用的带宽资源.
3. 在威胁防护方面
部署应用防火墙系统,通过对Web 漏洞防护、SQL 注入、跨站脚本攻击、网站挂马、网站盗链等网站安全行为的在线过滤.
4. 在安全管理方面
需要将不良网站过滤掉,阻止非法信息的传播,净化校园网上网环境,并对校园网用户的上网行为进行全面记录,满足国家相关法规规定的要求.
部署一套UMC 统一管理中心,对校园网出口设备进行集中的配置管理、拓扑管理,对网络流量日志、上网行为日志、各类安全日志进行集中收集与分析,通过图形化的展现与报表导出功能降低网络运维管理的复杂度,提升网管效率.
(二)方案主要技术特点
1. 高性能:网络出口全万兆,万兆防火墙、万兆IPS、万兆审计及流控网关、万兆负载均衡,网络出口不再成为校园网的瓶颈.
2. 虚拟化:多块同类业务板卡通过N:1(多虚一)虚拟化技术可实现性能和可靠性的无缝提升;单一高性能业务板卡的利用1:M(一虚多)虚拟化技术,可实现单一设备针对多个业务区的灵活部署,保护管理和投资成本.
3. 高可靠:出口设备采用全冗余设计,单个设备出现故障可实现快速切换,确保互联网与教育网访问不中断.
4. IPV4/IPV6 双栈:出口设备在支持IPV4 协议的同时,全面支持IPV6 协议,在统一接入IPV6、IPV4 线路的同时,解决IPV6线路的“裸奔”现状.
5. 统一管理:设备状态集中监控、配置策略集中下发、业务日志集中收集、分析,网络管理变得更加简单.
(三)具体部署及实现
1. 校园网出口的安全防御与优化
在与核心交换区互联的校园网边界区使用深度业务交换网关设备,通过万兆接口板卡虚拟化互联,可构成双机虚拟化系统.
两台设备的管理和维护等同一台高性能设备,实现网络的高可靠行冗余,并利用N:M 虚拟化技术,做到业务按需扩展(如图2).
各个功能模块分别实现对内用户的流量控制、上网行为审计监管、外部攻击病毒的控制和隔离、网站篡改防护、漏洞扫描系统、移动办公用远程VPN 访问等.
各功能模块概述:
(1)防火墙功能:提供网络安全隔离的功能,定义适当的访问控制规则,除允许外部用户访问其他区域(办公应用区、管理业务区等)中业务相关的特定主机外,拒绝其他任何进出该区域的网络访问请求,防范外部网络人员对校园网的非法访问和网络攻击行为.
(2)应用交付功能:链路负载均衡特性可以实现多运营商及多链路的负载分担和智能调度,以满足不同网络用户对互联网访问需求的快速访问.智能DNS 及服务器负载均衡特性则可以实现每年本科、研究生招生高峰期,校外用户对我校网站服务器及相关业务系统的稳定、高效、智能访问(根据来源招生用户的运营商接入环境动态分配最快的访问路径及服务).
(3)VPN 功能:为了便于移动办公用户的访问内部数据资源,移动用户通过IPSec 或SSL 等VPN 技术进行远程资源访问.
(4)IPS 入侵防御的功能:为了防止外界利用移动办公终端为跳板向办公内网进行恶意攻击或上传木马程序,设计在移动办公接入区与办公网核心交换区的互联边界部署网络入侵防御机制来对其进行有效的检测和防御.
(5)网络病毒过滤:为了防止移动办公用户在访问办公网特定应用时将病毒、蠕虫等恶意代码带入办公网,设计在移动办公接入区与办公网核心交换区的互联边界部署网关病毒过滤机制,对于来自外部网络的各种网络病毒、蠕虫和恶意代码,在网络边界位置对其进行检测并拦截,防止其利用WEB 浏览、电子邮件、文件传输等Internet应用进行传播,以最大程度地防止病毒、蠕虫等侵入本地网络.为了简化网络结构,节省设备投资,设计在移动办公接入区边界防火墙设备中集成病毒过滤功能.
2. 网络流量的识别及审计
(1)网络流量分析
当网络在进行数据传递的过程中经常会出现许多不可控的流量,如果无法对所有的网络应用进行有效地带宽管理、无法阻止上网时大量恶意占用带宽的应用,就会导致正常网络应用的网络访问速度降低或减缓,甚至有时不能上网;通过流量分析可以解决如下问题:
1)网络流量流向分析
了解学校上网用户、核心业务系统、网站业务系统运行平台不同用户的流量分布规律,预测流量变化趋势,发现网络瓶颈,为网络的规划和优化提供基础依据;对网络用户的应用需求进行深入分析,我们可以清晰地掌握网络用户的应用行为,为设计及实施提供更好的服务及产品提供可靠的数据.
2)网络异常流量分析
当网络攻击发生时,从核心业务系统的运行平台的层面,对异常的网络流量攻击实施有效的监控和定位;能够及时的响应,对异常流量和一些非正常的应用进行控制,保证核心业务系统的正常运行.
3)网络应用监控
通过建立网络性能管理及优化系统,对核心业务系统运行平台的流量及网上各种应用协议的统计和分析,结合日常网络维护操作,重点对异常网络流量进行分析和预警,可以实现管理平台上的网络安全预警.
4)网络流量管理
为了保证网络用户能够顺畅的使用网络资源,提高网络的服务质量,需要采取一些技术手段对其他非关键应用进行一定程度的网络流量调控,以达到提高网络服务质量的目的.
(2)安全日志审计
在互联网接入区、教科网接入区、移动办公区的边界流控& 审计设备上开启流量分析及日志审计功能,对设备运行状况、网络流量、用户通信行为等进行日志记录,尤其是记录设备及网络中发生的安全事件.并在运维管理区建立集中的日志审计服务器,进行网络中各种日志数据的统一采集、存储、分析和统计,为管理人员提供直观的日志查询、分析、展示界面,并长期妥善保存日志数据以便需要时查看.
(3)安全业务一体化
为了简化网络结构,易用易管理,并为了将来更好的扩展和节省设备投资,本次建议在校园网边界区的DPtech DPX8000深度业务交换网关上集成以上所有安全功能.
3. 数据中心的深度检测与防御
校园网的数据中心业务系统是学校信息网络系统的核心,学校的主要应用系统及校务管理系统均部署在数据中心.目前以服务器虚拟化技术为代表的数据中心集中部署模式中,数据中心的重要性突出,因此做好数据中心的网络安全防护非常重要,数据中心的网络安全建设也是本方案的重点之一,而数据业务网的安全防护则是其中的重中之重.针对数据中心核心业务系统和网络环境,根据数据中心业务系统的安全等级及部署需求,入侵防御系统采用在线和旁路模式部署于不同的业务系统之间.在线模式适用于对网络实时性、安全性、稳定性要求较高的在线业务.(譬如:学校网站系统、财务系统、邮件系统、OA 办公系统等)旁路模式,可将网内对实时性要求不高的业务系统进行攻击检测和告警.无论是采用在线模式还是旁路模式,其告警信息均可以通过Email、手机短信告警等方式发送给网络运维管理中心的安全管理专员.由系统管理员根据业务需求,定期对存在安全风险及告警的网内业务系统进行安全加固和攻击防护.
4. 门户网站及Web 系统的安全防护
(1)高校网站的安全风险
近年来,国内很多的网站如:政府、运营商、高校、知名企业、信息综合门户均被入侵,且不论攻击的动机,仅在后果上,这些网站可谓遭遇了不同程度的尴尬,在被入侵的网站中,政府、企业网站成了重灾区.这对政府或企业形象造成很大影响 .
如索尼PS3 有7700 万用户信息遭窃,索尼将赔偿245 亿美元 、2011 年岁末,国内绝大部分知名网站用户信息遭泄露.CSDN、人人、多玩、178 游戏、17173、天涯、当当、京东、卓越……
在国家计算机网络应急技术处理协调中心CNCERT/CC报告,2011 年,国内被篡改的网站总数达到34845 个,其中被篡改政府网站(gov.cn 域名网站) 数量为4635 个,与去年相比增加 67.6% .
这个数字是远远大于其网站在国内网站总数内占的比例,可见,对政府、业务类网站的破坏是明显有针对性的.
(2)学校门户网站综合安全防护方案
对学校门户网站要提供安全可靠的防护:
对常见的WEB 攻击手段进行有效的安全防护;例如:跨站脚本攻击,SQL 注入攻击,已知的蠕虫攻击, 应用层DDoS 防护,以及系统漏洞和系统溢出攻击防护等;
采用变幻多端的伪装技术使系统避免探测和攻击;
对敏感的数据及资源非法访问进行阻断;
提供全面的Web 流量管理,包括基于URL 的流量控制,基于网站的流量控制,基于规则的URL 流量控制,最大并发访问数,URL 最大消费带宽,每秒最大并发访问等;
针对指定页面,可以查询该页面的访问状况.目前主要使用的网站防护技术包括:Web服务器内嵌、轮询检测、事件触发等,这些防护技术检测效率低,对服务器及网络带宽资源消耗较大,而且不能实现动态防护.因此根本无法对网站进行有效保护.
针对学校门户网站及招生系统,选用软件加硬件的全方位的一个整体解决方案,实现在线防护、动态防护和定期检测三位一体化保护.在线通过部署WEB 应用防火墙将绝大部分攻击抵御在网络上,避免服务器浪费资源进行威胁抵御.通过在被保护网站的服务器上安装WebShield 防护系统,基于主机的动态防护、网站备份和还原.实现从链路、网站文件上做到全面保护.
(3)网络终端用户的安全准入控制
终端安全管理需求.堵住了外部的各种攻击和入侵,是否就意味着我们的内网安全了呢?事实上,内网的不安全因素远比外部的攻击和入侵危害更恐怖.
整体网络安全建设方案都提及对来自于内部的安全威胁的重视,但却鲜有针对内部安全隐患的全面防范工具与手段.网络安全问题的解决,三分靠技术,七分靠管理,严格信息安全管理是企业、机构及高校信息安全的重要措施.事实上,多数企业、机构都缺乏有效的制度和手段管理网络安全.
为了解决现有网络安全管理中存在的不足,应对网络安全威胁,将采用终端接入控制(TAC,Terminal Access Control)解决方案.该方案采用从用户终端准入控制开始,整合所有的网络接入控制产品和终端安全产品,通过、安全客户端、网络设备以及防病毒软件产品、系统补丁管理产品的联动,对接入网络的用户终端采用强制实施的方式执行安全策略,严格控制终端用户的网络使用行为,可以加强用户终端的主动防御能力,大幅度提高网络安全.
(四)安全运维及风险评估平台的建设
1. 统一安全管理中心
在网络管理区部署一套集中管理的UMC 安全管理平台,提供集中的安全日志审计、安全事件报警、安全风险展示等功能,对整个业务网络进行集中的安全管理,对安全事件进行深度分析,并快速做出智能响应,最终实现对信息系统安全风险的集中监管,提升安全运维能力,更好地支撑业务持续性发展.
安全管理平台依据BS7799 安全管理标准,结合安全服务的最佳实践,以风险管理为核心,通过深度数据挖掘、事件关联等技术,实现了网络内部各类安全事件的集中管理和智能分析,提供多视角、实时动态的企业风险现状展示.同时,系统内置了多种报警响应、工单机制以及专家设计系统,可以帮助用户采取及时、有效的安全措施以实现闭环的、持续改进的信息安全管理,保证用户的业务不受影响.
安全管理平台由如下部分组成:
用户浏览器:前端的WEB 用户界面,管理员可以通过浏览器执行对安全管理平台的配置与管理等工作.普通用户也可以通过浏览器登录服务器,进行权限范围内的查询、处理等工作.
安全管理平台服务器:系统的核心组成部分,包括管理服务器和数据库服务器.提供的功能包括:为用户提供访问各功能模块的统一接口;将安全事件保存到后台数据库系统;对Agent 功能模块采集的各类安全事件进行关联分析和智能推理;通过访问报表系统,提供事件的深度分析和可视化表示;通过访问资产管理系统实现对机构内信息资产的集中管理.安全管理平台系统由多个功能模块组成,其主要功能模块包含事件查看模块、安全仪表盘模块、数据库网关模块、数据库管理模块、规则管理模块、扫描报告模块、安全响应模块、关联分析模块、工单管理模块、风险管理模块、报表管理模块、辅助决策模块等,用户可根据实际需要购买其中一个或多个模块.
事件收集系统:负责收集、过滤、归并网络中各种设备的事件信息,预处理后发送给安全管理平台服务器,进而在数据库中进行存储;代理包括采集,过滤器、归并等不同子功能模块,并实现了对不同子功能模块的统一管理和监控;既可集成在管理服务器上,也支持分布式部署,方便在大规模网络环境下的事件采集.
设计在校园办公网管理区部署一套安全管理中心服务器(包括管理服务器和数据库服务器各1 台),并设置事件采集代理负责收集和整合网络中各所产生的安全信息,供服务器进行分析和审计.
2. 漏洞扫描系统
通过在核心交换区或 网络运行管理区部署专业的漏洞扫描系统来实现对路由交换设备、网络安全设备、系统主机的操作系统、应用软件、数据库等核心业务系统进行安全漏洞扫描,及时发现漏洞,以便修补的漏洞扫描.在核心交换区域中部署漏洞扫描引擎.
漏洞扫描系统能定期对安全服务域中的主机系统进行脆弱性扫描,搜集系统漏洞信息.扫描引擎将扫描结果发送给显示中心进行分析处理.
五、结语
该解决方案一改过去传统的多设备串接的建设思路,采用一台深度业务交换网关、同时配置UAG 上网行为管理及流控、ADX应用交付等板卡,仅用一台设备就实现了原有十余台设备的所有功能,同时统一IP 地址管理、业务流定义、全局流量调度、全局NAT 溯源等优势为学校的运维管理带来了全新的使用体验.通过高速缓存加速系统,让广大师生经常访问的互联网资源缓存到本地,极大的节约了视频、流媒体等流量对带宽的占用,为学生带来极致的互联网冲浪体验.H
( 作者单位:大庆钻探信息中心)
网络安全论文范文结:
关于本文可作为相关专业网络安全论文写作研究的大学硕士与本科毕业论文网络安全论文开题报告范文和职称论文参考文献资料。
2、信息网络安全杂志
4、网络安全技术论文
6、网络安全论文