北京高校校园网络安全案例

北京高校校园网络安全案例

北京某高校是为国家培养国家专业人才的专业院校。为了实现“科教强国”、“走内涵式发展道路”的发展之路，该院面临的挑战是如何实现教学与管理的信息化。而计算机

校园网可以说是目前发展信息技术的最基础的设施。因此，建设该院的校园网工程是信息化建设方面的紧迫任务，是学校可持续发展的重要保证之一。

总体建设目标

按照学院的需求，本系统应在技术上具有先进性，在设备选型方面具有适当的超前性和较强的可扩充性，保证系统在3-5年内不落后。整个系统与目前流行的技术和设备相比需具有极强的性价比。系统应充分利用现有的通讯方式，实现最有效的信息沟通，采用开放式和具有可扩展性的结构方案，保证系统的不断扩充。

更为重要的是，随着安全系统的建成与开通，能够充分开发教育信息资源，开展相应的信息增值服务，为教育事业带来巨大的社会效益和经济效益；能够充分展现院校的窗口作用，提高整体工作水平和效率，树立学校新形象。

学院网络概述

该学院校园网络主要由计算机实验室、教学楼、学校信息资源服务器群、图书馆等网络组成。其中出口一方面连接CERNET，另一方面连接INTERNET；网络中心的核心交换由P550R 交换机完成，后通过P333T级联来连接各个网络部分。另外，核心交换机P550R上的代理服务器主要提供学生在机房实验室内连接外部网络之用。

安全风险分析

根据该学院校园网络整体结构，参考国际标准化组织ISO开放系统互联(OSI)模型，我们将网络系统划分成五个层次，即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。

(一)物理层安全分析：在本方案中暂不做详述。

(二)网络层安全分析

1、网络边界的安全风险分析：该学院校园网络由教学区网络、计算机实验室网络和学校资源服务器群组成。由于存在外联服务的要求应在网络出口处安装防火墙对访问加以控制。但是由于已经配备的防火墙不支持TOPSEC联动体系，因此可能与需要配备IDS系统无法组成有效地联动，这一点的风险还是需要考虑的。

2、由于北京城市学院校园网络中大量的使用了网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系的学校业务系统和各种网络应用的正常运转。

3、网络传输的安全风险分析：北京城市学院校园网络与其他院校的远程传输安全的威胁来自如下两个方面：A、内部业务数据明文传送带来的威胁；B、线路窃听。

(三)操作系统层的安全风险分析

系统级的安全风险分析主要针对北京城市学院校园采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。北京城市学院校园网络采用的操作系统(主要为Windows 2000 server/professional，Windows NT/Workstation，Windows ME，Windows 95/98、UNIX)本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。

(四)应用层安全风险分析

北京城市学院内部网络系统中主要存在以下安全风险：对业务系统的非法访问；用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；服务系统伪装，骗取用户口令。

(五)管理层的安全风险分析

责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。

因此，最可行的做法是管理制度和管理解决方案的结合。

该校园网络整体安全解决方案

(一)网络安全建设原则：该学院校园网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。在实际建设中遵循以下指导思想：宏观上统一规划，同步开展，相互配套；在实现上分步实施，渐进获取；在具体设计中结构上一体化，标准化，平台化；安全保密功能上多级化，对信道适应多元化。

(二)网络安全建设目标：针对学院网络系统在实际运行中所面临的各种威胁，采用防护、检测、反应、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，确保学院网络系统安全可靠的运行。

(三)安全体系技术方案

1、网络级安全方案

从网络的高度构建一个安全平台，解决北京城市学院网络系统的边界安全、数据传输等安全问题，公用信道上敏感信息传输的安全保密问题以及网络入侵检测和预警系统的问题。A、解决方案：网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制，采用安全检测手段防范非法用户的主动入侵。

在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的NAT 功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与入侵检测联动功能形成动态、自适应的安全防护平台。

B、产品实施：网络层通讯可以跨越路由器，因此攻击可以从远方发起。IP协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如IP sweep，Sequence Insert，teardrop，sync-flood，IP spoofing攻击等。防火墙是近年发展起来的重要安全技术，在学院网络系统中其主要作用是在网络边界处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

C、天融信防火墙在该学院网络中的应用：

边界防火墙的配置：由于在该学院网络边界处已经配备的防火墙可能不支持TOPSEC联动协议，因此将此防火墙更换掉用于其他网络部分，如可以放置在9、10层计算机实验室的出口处用于保护学生上网时对教学区、图书馆网络的非法访问。根据网络具体流量情况，采用型号为NGFW4000，支持TOPSEC联动协议，标准配置三接口的防火墙，其最大并发连接数将近60万个，其中两个接口分别接外网和内网两个网段，第三个口可以作为预留。

内网保护服务器群防火墙的配置：而在整个校园网中的资源信息服务器群则是整个网络数据保护的关键，因此必须在其级联的P333T交换机与核心交换机P550R处配备一台能够支持TOPSEC联动协议的、高性能天融信网络卫士防火墙4000系统，用于对内部服务器群的访问和联动保护。此处建议采用型号为NGFW4000-S标准配置三个接口的防火墙，其最大并发连接数达到60万个，一个接口接核心交换机，一个接口接级联交换机，另一个接口作为预留接口。从而实现对内部服务器群的访问控制保护。

原来边界防火墙的再利用：由于原来的边界防火墙不支持TOPSEC联动协议，把它替换后可以将其放置在9、10层的计算机实验室网络的出口处，用于保护其对教学网和图书馆网络系统的访问控制。

D、天融信网络卫士4000防火墙特点：

·防火墙4000是天融信公司积多年来的防火墙开发经验和应用实践及天融信广大用户宝贵建议基础之上，基于对网络安全的深刻理解，融合网络科技的最新成果，独创了系列安全构架和实现技术，经过多年的研究和近两年的开发所完成的最新一代防火墙产品。

·应能够配置成分布式和集中统一管理，由防火墙管理代理程序和管理器组成。