论文部分内容阅读
病毒横行肆虐,结构层次复杂、终端节点基数巨大的校园网络,要采取怎样的安全方案才能有效扼制病毒蔓延,尽量降低损失?
越来越庞大的校园网络正面临严峻的病毒侵袭威胁
随着信息化时代的到来,以现代化的教育技术手段实现网络教学、远程教学、教育资源共享,成为现代教育的需求。于是,校园网作为各种类型网络的一大分支,有了更加广泛的应用。
网络环境分析
校园网实现的环境是学校,要全面支持教师、学生和管理者的教学过程、管理过程、资源共享服务。校园网的安全建设是项复杂的系统工程,需要科学统一规划,分步实施,充分利用资源,发挥网络在实际运用中的功效。
校园网结构层次复杂,终端节点基数巨大,因病毒引起的出口瘫痪和基层崩溃事故时有发生。由于校园网在规模、管理、需求上均有鲜明的自身特色,因此必须有量身定做的安全解决方案。
目前,中国主流高校的校园网基本都已成长为千兆甚至万兆核心带宽、节点过万的大型网络,加之各学院、各部门信息建设的分割等诸多因素,使校园网呈现出典型的由各院系分散建设、由网络中心集中运维的尴尬局面。整个校园网络构成复杂,网络安全的可管理性呈现出几何级数的下降趋势。
整体安全威胁
随着校园网的建成和使用,如何保障正常进行网络教学、合法访问教学资源,使网络免受黑客、病毒、恶意软件和其他不良意图的攻击就显得尤为重要。校园网必须要有足够强的安全措施,制定相应网络安全策略方案,才能确保网络的安全。
从网络运维的角度来说,校园网普遍达到百兆甚至千兆到终端桌面,同时,桌面节点通过2~3级交换设备连接就能到达核心层甚至出口,因此,内部感染节点持续扫描和攻击等行为,将给核心交换设备或出口设备带来很大的压力。随着感染台数的增加,这种压力会不断倍增,并迅速超越上层网络设备的吞吐量和连接处理能力,这就是所谓的“漏斗效应”。
大规模蠕虫暴发时,对于校园网络来说,造成瘫痪的并不是来自网络外部的扫描,而是内部感染节点的高频度、大流量的集中扫描。后者将迅速导致各层网络设备的性能和有效带宽急剧下降,并会带来下列问题。
基层瘫痪 大量网络广播造成基层交换设备和汇聚设备瘫痪,包括ARP欺骗带来的局部瘫痪。
出口瘫痪 大量对外连接请求导致出口设备(如路由器、防火墙等)的连接被占用,导致其他用户无法使用。
核心层瘫痪 网络核心层或者出口流量基本被病毒扫描流量占据。
节点安全威胁
作为校园网,需要连接多个节点,将分布在不同地理位置的节点连接到同一网络,使整个网络相互连通,这是校园网要解决的一个问题。随着计算机应用的大范围普及,接入校园网的节点日渐增多。由于这些节点大部分都没有采取较好的防护措施,使出现病毒泛滥、信息丢失、数据损坏、网络被攻击甚至系统瘫痪等严重问题的可能性大大增加。因此,构筑信息安全防护体系,建立一套有效的网络安全机制显得尤为重要。
从实体节点的角度来说,校园网内有大量承担教学、科研工作的服务器和相关信息系统,同时也有上万个为师生和工作人员提供服务的终端节点。
对于信息服务器群组来说,其面临的攻击威胁大于普通的桌面系统。但是目前的情况是市面上的相关安全产品并没有专门为服务器进行特别安全设置,依然采用和终端机器一样的保护级别。
对于数以万计的终端用户节点来说,由于基数庞大,用户的应用水平千差万别,如果不能进行有效的保护,将会产生大量的离散不可控点,使整个网络的安全失去控制。
安全方案思想
校园网安全方案以“统一监控、分布防御、有效响应、集中管理”为指导思想,结合校园网实际情况综合分析,关注不同环节承担的任务和面临的安全压力。
校园网的出口和核心层是网络的核心环节。在这些环节,网络吞吐量大,它们承担关键的通信服务,需要有效的运维保障能力。在内部节点遭到病毒感染的情况下,根据漏斗效应,出口和核心层更容易严重失效,甚至崩溃。因此,第一时间对这些影响网络整体效率的节点迅速准确地定位和定性是解决问题的关键。这需要网络病毒监控系统提供全景安全监控视图和实时化病毒定位信息。
此时,如采用旁路监听技术,能够在不影响网络效率情况下,实现实时监测网络环境中的病毒疫情发展趋势的功能。同时,还能全面检测各种网络病毒的扫描、传输、攻击等行为,精确定位病毒的来源,测量、评估病毒产生的网络压力状况,准确提供病毒类别、病毒名称、病毒变种、病毒危害级别等全面信息,形成病毒趋势和定位的全景视图。这会为网管实施下一步的安全策略提供更有力的数据支持。
对于像服务器区这样的关键节点群,主要承担着为整个网络提供信息服务的任务,是黑客攻击的主要目标。由于校园网内服务器众多,网管人员数量相对较少,因此更需要管理方便的自动化保护产品。
由于校园内大量的终端节点基本上处于不可控或准可控状态,很容易成为病毒传播源,影响网络效率和其他用户的安全。由于校园网内用户层次复杂,特别是有大量的学生终端系统完全依赖个人的安全意识和水平,且学生自己多数不会购买安全产品,因而成为校园网安全保障的最大压力,因此需要一种低成本、高自动化、适应复杂软硬件环境的解决方案。
方案设计时可考虑让主机保护系统针对不同类型节点进行安全需求设计,提供文件层、操作系统层、网络层等的多层次保护,这样能够大幅度提高这些关键节点的安全性。同时各层次产品都要以与现有反病毒产品互补的形式部署在系统中,这样才不会产生冲突,且资源占用率低,能够增强系统的安全系数。
另外,可以针对网管人员设计一个网管工具箱系统,帮助网管深层挖掘系统中存在的安全隐患,使网管拥有比用户更专业的处理手段。
网络的离散会使安全问题不收敛,而产品的离散同样也会带来这种问题。为此,安全管理中心应该能够整体管理部署在网络中的安全产品及设备,使产品之间能够形成有效联动,很好地解决产品离散的问题。
安全方案部署
首先,在校园网的总出口部署网络病毒监控系统,并同时在网络内部关键网段部署网络病毒监控系统,能够对全网的病毒情况进行全局监控,对局部网络形成更加细粒度的安全视图,快速定位病毒源,随时了解网络中的安全状况。
其次,在服务器群计算机上部署主机保护系统服务器版,在关键工作站部署主机保护系统工作站版,对大量基本用户作为海量节点提供主机保护系统桌面版无限授权。这样能够对具体的计算机节点进行安全防护、配置优化、病毒查杀等工作,有效地扼制病毒泛滥,提升系统的安全性。
另外,还要在解决方案中为网管人员提供网管工具箱,对主机系统异常情况进行深度排查、修复及处理。
要有效管理上述安全环节,使所有部署的产品能够有机地组织在一起,给网管人员提供更加全面的统计信息。
仅仅依靠技术化的安全体系还不能完全解决校园网的安全问题。突发的安全事件来临时,还需要一支专业的队伍做及时响应。要有专门的小组,成员具备丰富的服务经验,关键时候能够利用移动式网络斩断设备、勘查工具箱等专业设备进行快速响应,解决突发安全事件。
越来越庞大的校园网络正面临严峻的病毒侵袭威胁
随着信息化时代的到来,以现代化的教育技术手段实现网络教学、远程教学、教育资源共享,成为现代教育的需求。于是,校园网作为各种类型网络的一大分支,有了更加广泛的应用。
网络环境分析
校园网实现的环境是学校,要全面支持教师、学生和管理者的教学过程、管理过程、资源共享服务。校园网的安全建设是项复杂的系统工程,需要科学统一规划,分步实施,充分利用资源,发挥网络在实际运用中的功效。
校园网结构层次复杂,终端节点基数巨大,因病毒引起的出口瘫痪和基层崩溃事故时有发生。由于校园网在规模、管理、需求上均有鲜明的自身特色,因此必须有量身定做的安全解决方案。
目前,中国主流高校的校园网基本都已成长为千兆甚至万兆核心带宽、节点过万的大型网络,加之各学院、各部门信息建设的分割等诸多因素,使校园网呈现出典型的由各院系分散建设、由网络中心集中运维的尴尬局面。整个校园网络构成复杂,网络安全的可管理性呈现出几何级数的下降趋势。
整体安全威胁
随着校园网的建成和使用,如何保障正常进行网络教学、合法访问教学资源,使网络免受黑客、病毒、恶意软件和其他不良意图的攻击就显得尤为重要。校园网必须要有足够强的安全措施,制定相应网络安全策略方案,才能确保网络的安全。
从网络运维的角度来说,校园网普遍达到百兆甚至千兆到终端桌面,同时,桌面节点通过2~3级交换设备连接就能到达核心层甚至出口,因此,内部感染节点持续扫描和攻击等行为,将给核心交换设备或出口设备带来很大的压力。随着感染台数的增加,这种压力会不断倍增,并迅速超越上层网络设备的吞吐量和连接处理能力,这就是所谓的“漏斗效应”。
大规模蠕虫暴发时,对于校园网络来说,造成瘫痪的并不是来自网络外部的扫描,而是内部感染节点的高频度、大流量的集中扫描。后者将迅速导致各层网络设备的性能和有效带宽急剧下降,并会带来下列问题。
基层瘫痪 大量网络广播造成基层交换设备和汇聚设备瘫痪,包括ARP欺骗带来的局部瘫痪。
出口瘫痪 大量对外连接请求导致出口设备(如路由器、防火墙等)的连接被占用,导致其他用户无法使用。
核心层瘫痪 网络核心层或者出口流量基本被病毒扫描流量占据。
节点安全威胁
作为校园网,需要连接多个节点,将分布在不同地理位置的节点连接到同一网络,使整个网络相互连通,这是校园网要解决的一个问题。随着计算机应用的大范围普及,接入校园网的节点日渐增多。由于这些节点大部分都没有采取较好的防护措施,使出现病毒泛滥、信息丢失、数据损坏、网络被攻击甚至系统瘫痪等严重问题的可能性大大增加。因此,构筑信息安全防护体系,建立一套有效的网络安全机制显得尤为重要。
从实体节点的角度来说,校园网内有大量承担教学、科研工作的服务器和相关信息系统,同时也有上万个为师生和工作人员提供服务的终端节点。
对于信息服务器群组来说,其面临的攻击威胁大于普通的桌面系统。但是目前的情况是市面上的相关安全产品并没有专门为服务器进行特别安全设置,依然采用和终端机器一样的保护级别。
对于数以万计的终端用户节点来说,由于基数庞大,用户的应用水平千差万别,如果不能进行有效的保护,将会产生大量的离散不可控点,使整个网络的安全失去控制。
安全方案思想
校园网安全方案以“统一监控、分布防御、有效响应、集中管理”为指导思想,结合校园网实际情况综合分析,关注不同环节承担的任务和面临的安全压力。
校园网的出口和核心层是网络的核心环节。在这些环节,网络吞吐量大,它们承担关键的通信服务,需要有效的运维保障能力。在内部节点遭到病毒感染的情况下,根据漏斗效应,出口和核心层更容易严重失效,甚至崩溃。因此,第一时间对这些影响网络整体效率的节点迅速准确地定位和定性是解决问题的关键。这需要网络病毒监控系统提供全景安全监控视图和实时化病毒定位信息。
此时,如采用旁路监听技术,能够在不影响网络效率情况下,实现实时监测网络环境中的病毒疫情发展趋势的功能。同时,还能全面检测各种网络病毒的扫描、传输、攻击等行为,精确定位病毒的来源,测量、评估病毒产生的网络压力状况,准确提供病毒类别、病毒名称、病毒变种、病毒危害级别等全面信息,形成病毒趋势和定位的全景视图。这会为网管实施下一步的安全策略提供更有力的数据支持。
对于像服务器区这样的关键节点群,主要承担着为整个网络提供信息服务的任务,是黑客攻击的主要目标。由于校园网内服务器众多,网管人员数量相对较少,因此更需要管理方便的自动化保护产品。
由于校园内大量的终端节点基本上处于不可控或准可控状态,很容易成为病毒传播源,影响网络效率和其他用户的安全。由于校园网内用户层次复杂,特别是有大量的学生终端系统完全依赖个人的安全意识和水平,且学生自己多数不会购买安全产品,因而成为校园网安全保障的最大压力,因此需要一种低成本、高自动化、适应复杂软硬件环境的解决方案。
方案设计时可考虑让主机保护系统针对不同类型节点进行安全需求设计,提供文件层、操作系统层、网络层等的多层次保护,这样能够大幅度提高这些关键节点的安全性。同时各层次产品都要以与现有反病毒产品互补的形式部署在系统中,这样才不会产生冲突,且资源占用率低,能够增强系统的安全系数。
另外,可以针对网管人员设计一个网管工具箱系统,帮助网管深层挖掘系统中存在的安全隐患,使网管拥有比用户更专业的处理手段。
网络的离散会使安全问题不收敛,而产品的离散同样也会带来这种问题。为此,安全管理中心应该能够整体管理部署在网络中的安全产品及设备,使产品之间能够形成有效联动,很好地解决产品离散的问题。
安全方案部署
首先,在校园网的总出口部署网络病毒监控系统,并同时在网络内部关键网段部署网络病毒监控系统,能够对全网的病毒情况进行全局监控,对局部网络形成更加细粒度的安全视图,快速定位病毒源,随时了解网络中的安全状况。
其次,在服务器群计算机上部署主机保护系统服务器版,在关键工作站部署主机保护系统工作站版,对大量基本用户作为海量节点提供主机保护系统桌面版无限授权。这样能够对具体的计算机节点进行安全防护、配置优化、病毒查杀等工作,有效地扼制病毒泛滥,提升系统的安全性。
另外,还要在解决方案中为网管人员提供网管工具箱,对主机系统异常情况进行深度排查、修复及处理。
要有效管理上述安全环节,使所有部署的产品能够有机地组织在一起,给网管人员提供更加全面的统计信息。
仅仅依靠技术化的安全体系还不能完全解决校园网的安全问题。突发的安全事件来临时,还需要一支专业的队伍做及时响应。要有专门的小组,成员具备丰富的服务经验,关键时候能够利用移动式网络斩断设备、勘查工具箱等专业设备进行快速响应,解决突发安全事件。