石家莊市第二職業中專是一所以計算機為主要專業的國辦專業學校�����,校內的網絡專業在河北中職學校中具有很強實力��。筆者是網絡專業的負責人�����,經過近10年的網絡教學和實踐�,對計算機專業尤其是擁有網絡專業的學校的校園網的安全有自己的一些思考和實踐����。
學校校園網系統的具體情況是:
● 就以往的安全管理來看,以整體防御確保每一臺計算機的安全對于學校來說只存在理論的可能性�����,實踐起來較為困難;
● 學校只有一個專職網管人員而且脫離教學任務�,對實際情況掌握的不是很熟悉。只能完成網管中心的局部安全;
● 就功能而言����,學校的計算機網絡可分為4大類型:教師集中辦公的微機網絡、學生上機的微機網絡���、網管中心網絡����、學校職能部門例如檔案室���、會計室���、校長室��、試卷庫等部門網絡;
● 學校了解網絡安全的專業教師非常多��,而且專業各有特長;
● 網絡安全課程必須開設,內部攻擊不能從制度上禁止����。
分區防守,增強“壁壘”
根據以上具體情況結合網絡安全問題我們得出了以下的分析結果:
1�����、靠網管一個人實現整個網絡的安全是不可能的��。
2��、四個不同功能的網絡對網絡安全的要求是不同的���。教師網絡因為權限較大所以主動染毒性非常強����,但是由教師網絡發起的對校園網絡的內部攻擊非常少���。網管中心的網絡非常重要但是相對安全����。學生機房由于紀律的約束���,主動染毒性不存在,但是針對網絡的內部攻擊次數非常多�。學校職能部門網絡由于涉及到學校的重要信息以及相關考試的信息�����,所以對網絡安全要求非常高��。
3�、如果仍然采用習慣的整體防御,會出現一個區域網絡安全出了問題導致其他功能區域全部出現問題�����。
針對學校的具體情況和網絡安全問題的分析�,我們制定了分區域防守與增強網段“壁壘”的總體安全策略。具體策略如下:
1��、 由專業教師包括網管在內組成網絡安全小組負責校園網絡安全�����。小組成員根據專業方向的不同負責對威脅網絡安全因素的具體防守�,從人員方面加強力量。
2����、 針對功能不同的網絡,例如教師網絡���、學生網絡等進行網絡分段���,分區域進行防守,不同區域根據安全問題的不同側重采取相應的網段安全策略����。
3、 整個網絡安全體系由主防火墻和子防火墻一起構成�。主防火墻由網管負責,進行網絡整體防守�。子防火墻由專業老師具體負責,配置到具體網段進行區域防守�。
4、 不同的區域就是網段配置不同的五大安全部件�,在防火墻、防毒墻�����、身份驗證����、傳輸加密�����、IDS/IPS幾個方面區別配置來適應不同區域的具體要求�����。
以上就是分區域防守思想��,我們在具體實施之后發現網絡安全有以下幾點可喜的變化:
1����、校園整體網絡安全有所提高�,不同區域的網絡安全由具體人負責,責任到人,相關網絡安全問題可以快速解決�����。
2�����、因為專業人員的方向不同���,負責不同區域的防守個人的專業特長有所體現��,處理問題得心應手�。
3�����、在出現安全問題時可以輕松做到盡量減少損失���。在損失掉一個區域之后其他區域仍有很強的安全性,以往整個網絡同時出現一種安全問題的現象基本杜絕����。
4�、成立了安全委員會后����,負責不同防守任務的人員互通情況相互促進學校安全人員的技能和素質有很大的提高。
但是�����,簡單的靠IP分段會存在許多功能問題����。而且由于IP的人為可設置性使得網絡存在很大的安全隱患���。所以在此基礎上學校更換了主交換機和子交換機���。使用了主三層交換設備和可配置VLAN的子交換設備和高性能路由器。這樣使得我們的分網段實施“壁壘”的思想可以更方便地實現����。分網段實施“壁壘”的思想是分區域防守的有利保證,從硬件方面增強了分區域防守的力度���。
分網段增強網段“壁壘”的思想較為簡單�,為了讓大家更好理解,在此作簡單的闡述�。
1���、把原來的按地理情況分網段改按功能分網段����,在設備的支持下改以物理連接控制為邏輯連接控制�����。
2���、利用設備所能提供的三層交換和VLAN功能加強防火墻實力�����。
3��、改IDS為IPS從根本上可以預防攻擊的來臨�����,同時啟用設備自帶的安全功能加強安全防護���。
尋求主動優勢
以上就是分網段加強壁壘的思想�����。在人員得到鍛煉從而增強自身技術實力和硬件設備得到加強的基礎上����,我們對學校校園網的安全做了更大膽的改進�����。我們變被動防守為主動防守,在相關法律的允許下學校做了大量嘗試�。
首先,學校建立了自由網絡攻擊區域對學生們開放�����,學生可以自由對此區域的機器發起攻擊���,使得學生們有了攻擊的目標��。既鍛煉了學生們的攻防能力又減少了校園網的內部攻擊�����,一舉兩得����。
其次,學校建立了誘攻區���,轉移來自外網對學校主服務器的攻擊方向��。通過改變主服務器的配置��,使得來自網外針對服務器的攻擊轉入誘攻區��。而且學校在誘攻區內實施了網絡陷阱等多種安全設置使得攻擊者徒勞無功,保護了主服務器的安全�。
再次,學校對相關服務器提供的服務都實施了虛擬化���,使得即使虛擬機被攻陷��,主要數據和服務仍然可以很快得以恢復���。
同時����,學校培養了攻擊捕獲手�,針對攻擊展開了針鋒相對的網絡捕獲。這樣學校對違法攻擊就可以追查到具體的攻擊IP��,為學校從法律角度維護網絡安全提供事實依據��。
學校還建立了補丁服務器���,對所有軟件的補丁統一管理,對各區域的機器統一升級����,使全校計算機針對各種漏洞的補丁達到了最快速度的處理���。全范圍的實現防止漏洞攻擊��,解決了補丁升級不一致導致的安全問題�����。
在經過以上3個階段的網絡安全策略實施之后�,我們經過近一年的實踐和數據統計發現整體網絡安全有了本質的提高��。大范圍的網絡安全事故基本沒有出現��,相關攻擊大大減少��。
期待更進一步
我們在實驗過程中也發現了相關的問題:
1����、由于防火墻的設置導致不同區域網絡互訪速度下降。
2�、由于主防火墻和子防火墻在安全策略上的設置問題導致有些區域的有關網絡功能實施困難。
3�����、由于負責安全的人員比較多�,增加了網絡安全的密碼風險。
針對以上三個問題我們做了相應的改進���。速度和安全很難兼顧�����,所以只有通過更新設備���、增大容量來從本質上提高速度�。針對主防火墻和子防火墻策略沖突問題�����,采取了由緊到松的逐步放開的策略���,即先關閉相應功能����,然后根據具體區域的網絡需求經過配置實踐后再逐一打開相關功能�����。這樣教師微機網絡的網絡游戲問題也得到了一定控制���。針對密碼風險的問題���,加強了人員思想培訓和密碼分發更新制度�,基本解決了無意泄密的問題。
