摘要: 网络的安全性和可管理性越来越受到人们的重视,笔者结合在网络管理方面的一些经验体会,从网络病毒的预防和控制出发,采取了一些技术管理措施,有效地避免了用户隐私和重要数据外泄,提高了网络运行的稳定性和安全性。我们应通过建立健全的网络管理制度,尽量避免或减少人为因素的破坏,通过先进的网络技术手段配合管理制度对网络进行有效管理,进一步加强校园网的安全性和可管理性。
关键词: 网络 安全 管理
互联网进入中国以来,得到了迅速的发展和极为广泛的应用,位于教育与科研前沿阵地的主力军――高校,责无旁贷地成为了互联网这一新技术的最有力推进者。从1994年国家批复立项的中国教育与科研网工程起,高校的网络发展和网络技术的提高一直走在全国各行业的前头,大量的新技术在高校首先得到应用和推广。校园网络发展日益迅速,各种网络应用层出不穷。网络的安全性和管理性问题越来越多地摆在校园网管理者面前。比如:在网络安全方面如何能有效地检测并预防病毒和网络攻击,使网络能时刻正常地运行?在运营方面,如何实现灵活运
营,如何防止不法用户享用网络资源?如何实现对校园网络的应用监控等。
一、网络病毒的预防和控制
网络在提供给大家方便的同时,也给病毒传播提供了最快捷的途径。随着网络的飞速发展,网络病毒编制者水平也在提高,加上近几年网络病毒和黑客软件的结合,网络病毒的爆发直接导致了用户隐私和重要数据的外泄;同时还极大地消耗了网络资源,造成网络性能急剧下降。从近期的“熊猫烧香”、“灰鸽子”及大量“木马”等网络病毒的爆发可以看出,网络病毒的防范任务越来越严峻。而防范病毒的措施需要在原来的单机方式的基础上,进行集中管理,统一升级,统一监控网络防病毒体系。校园网在学校的信息化建设中作为数字化信息的最重要传输载体,如何保证其正常运行,如何预防和控制病毒,免受各种网络病毒的侵害,成为各高校的一个紧迫问题。下面就这些问题向大家提供一些可行性经验。
网络安全主要分为内部网络安全和外部网络安全。现在大多数网络防护都使用防火墙,但多数防火墙都只能对外部网络安全进行控制,目前内部网络的应用越来越复杂,而且内部网络上大多数的应用都特别重要,甚至是要求严格保密的,一旦遭遇到涉密、破坏等事件,将产生严重的后果。这些都使得内部网络安全问题变得越来越重要和突出。所以说目前迫切需要解决的网络安全问题应该主要来自于网络的内部。
1.内部网络的病毒防范
浏览染毒和非法的网站及盗版软件应用程序的运用,导致病毒泛滥,形成对网络安全的严重冲击;另外,学生使用移动存储设备在不同的计算机上来回拷贝文件,造成了病毒更大范围地传播。而且整个网络中只要有一台计算机中了病毒,病毒就有可能会在内部网络中迅速传播,导致整个校园网瘫痪,给校园网络的运行和维护带来极大的麻烦。
鉴于以上这些情况,网络中心提出病毒安全智能点前置的安全方案,即在网络的交换机上实施不同的病毒安全策略。
网络中心通过在交换机上设置相应的病毒防护策略,配合网络中心的认证客户端软件,能具体侦测到具体的某台计算机上是否有病毒。当交换机侦测到病毒后,交换机立即给用户发布信息提示用户杀毒,并启动网络管理员配置,断开该用户的时间程序,比如管理员设定的时间是2小时,在发现有病毒2小时后,开通该用户的网络,再次检测是否有病毒,如果用户已经杀掉病毒,就为他开通;如果没有杀掉继续关闭;之后以2小时为时间段循环检测,直到病毒被杀掉。这种策略可以控制有病毒的计算机使用网络,同时网络中心也知道具体哪个用户中了什么病毒,通过网络管理员定位和发现病毒源,保证整个网络在无病毒状态下正常运行。
2.内部网络的安全监控
传统的网络监控是通过网络端口镜像或是利用抓包软件控制,通过对流经过交换机的数据包的分析来确定用户使用网络的情况。这种方式有两个最大的缺点:一是对数据包的分析需要有很高的专业知识,一般的人员完成不了;二是如果发现问题,不能自行解决。
网络中心通过自行开发或购买配合交换机的网络监控软件,实现了对网络的即时监控,这些监控包括:⑴实时记录电脑工作台的屏幕快照;⑵通过重播器可随时播放已记录的历史画面;⑶自由选择每次记荧幕快照的时间间隔;⑷同时监控一个或多个工作站;⑸对用户进行控制及其它多种功能,这些功能包括:用户只有持有USB密钥和密码才能在指定电脑上网,禁止使用指定的应用程式,禁止或限制浏览运行指定的网站,锁定工作站和登出、重启或关闭工作站,并对所监控的数据进分析归类。
二、要保证网络的安全运行,必须加强网络的管理性
网络安全意识淡薄,没有制定完善的网络安全管理制度,在校园网络上攻击、侵入他人机器,盗用他人帐号,非法使用网络,非法获取未授权的文件,通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜。我院网络中心做过统计,我校主要的几个应用服务器平均一个星期会经受到数千次甚至上万次的非正常访问尝试,而其中一大部分的非法访问源自校内,说明校园网络上的用户安全意识淡薄;另外,没有制定严格而又完善的网络安全管理制度,大多数校园网在安全管理上也没有任何标准,这也是网络安全问题泛滥的一个重要原因。我校网络中心根据多年网络管理和安全经验,并且参照国家标准和技术发展方向,提出了以下校园网络安全解决办法:实现网络运营――防代理、防假冒。
不同于传统的基于802.1x的认证方式(802.1x协议是由[美]电气与电子工程师协会提出,刚刚完成标准化的一个符合IEEE 802协议集的局域网接入的控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。802.1x认证,又称EAPOE认证,主要用于宽带IP城域网。),部分交换机的配置是基于流的认证方式。基于流的认证方式是指交换机可以用基于用户设备的MAC地址、VLAN、IP等实现认证和控制,即无需与物理端口对应,而是基于用户认证控制,一个物理端口上实现多个用户的接入控制。在接入层的交换设备中不需要支持802.1x,同时能解决传统802.1x认证方式中无法解决,但对于运营又非常重要的一些问题,如代理或假冒IP和MAC及假冒DHCP SEVER等。
1.防代理
目前在校园网网络建设中,利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍,如Wingate、Sygate、Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。这样学校提供给学生一条上网的线路,就会给多个学生使用,大大消耗了网络资源,给学校的运营带来很大的损失。有的交换机上的802.1x扩展功能和802.1x客户端,就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源,需侦测出被代理用户和代理服务器之间代理关系,已认证通过的客户端被当作代理服务器使用。这样就做到了学校只提供一个网络端口,只能有一个用户上网。
2.专业打假
学生是一个不安分、好奇心强的群体,一方面,他们把学校的网络当作一个实验环境,测试各种网络功能;另一方面,他们在不断地寻找方法摆脱学校对学生使用网络资源的控制。假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。一些思维活跃的学生能设法用自己的计算机和操作系统配置一个DHCP SEVER,通过网络上的计算机从假冒的DHCP SEVER寻找到IP地址使用,从而导致网络上的合法用户不能找到DHCP提供的正确IP地址,因此无法正常使用网络资源。网络中心通过会聚三层交换机和客户端软件进行配合,一旦发现有假冒的DHCP SEVER,将立即封掉该账户,不让其享用网络资源。
网络中心针对学校网络安全和运营管理上最薄弱的环节,提出了自己独特的解决方案,把这些技术应用到内部网络安全和防止不法用户非法侵入等方面,会给全校提供一个安全和可以自由运行的网络,同时也方便了校园网的维护,给学校的网络管理带来最大的效益。
参考文献:
[1]交换机也需要网络安全中国IT实验室http://net.省略/497/2599497.shtml, 2007/04/22.省略ii.省略/20070108/ca397686.htm, 2007/04/22.