上海交大:六大措施保障网络安全
来源:中国计算机报 更新时间:2008-09-17

 
  高校校园网服务于教学科研的宗旨,决定其必然是一个管理相对宽松的开放式系统,无法做到像企业网一样进行严格统一的管理,这使得保障校园网安全成为一个大挑战。

  建设一个安全可靠、稳定可管理的网络已成为人们的共识。对校园网而言,这可能需要管理者们付出更大的努力。高校校园网服务于教学科研的宗旨,决定其必然是一个管理相对宽松的开放式系统,无法做到像企业网一样进行严格统一的管理,这使得保障校园网安全成为一个大挑战。

  上海交通大学从自身情况出发,应用了以下六项措施保障网络安全。

  措施1 网络交换路由设备的安全配置

  根据不同控制策略的要求,对校园网边界路由器,各校区核心交换机,汇聚点交换机以及楼内三层交换机分级配置合理的访问控制列表(ACL),从而保障网络安全。机制如下:

  对蠕虫病毒常见传播端口和其他特征的控制,可以有效控制蠕虫病毒大面积扩散;

  对常见木马端口和系统漏洞开放端口的控制,可以有效降低网络攻击和扫描的成功率;

  对IP源地址的检查将使部分攻击者无法冒用合法用户的IP地址发动攻击;

  对部分ICMP报文的控制将有助于降低Smuff攻击的威胁。

  在网络安全日常管理维护和出现病毒爆发或其他突发安全威胁时,合理配置ACL将有助于快速定位和清除威胁。

  措施2 采取静态IP地址管理模式

  上海交通大学长期以来一直采用校园网用户静态IP地址管理模式。所有网络用户入网前需要事先从网络中心申请获取静态IP地址。网络中心收到申请后在用户接入的二层交换机上完成一次用户MAC-接入交换机端口的绑定,并在用户楼内三层交换机上实现用户IP-MAC的一一绑定,使用这种方法来确认最终用户,消除IP地址盗用等情况。虽然看上去比较复杂,但由于网络中心针对校园网中使用的各种不同厂家和类型交换机,都开发了相应的绑定程序,所有的绑定管理工作都由程序自动完成,所以管理人员的工作量并不大。网络中心的网管数据库里存放着全校范围内数千台接入交换机的端口-用户房间端口信息数据,以及所有用户的详细使用信息和相关IP-MAC资料,所有这些都为建立可管理的安全校园网提供了基础。

  这种管理模式的好处很多:一旦出现扫描攻击,垃圾邮件等网络安全事件,根据IP/MAC/端口可以在第一时间迅速定位来源,从而为采取下一步处理措施提供准确的依据。这样一个完整准确的用户信息系统的存在,为以后构想中的网络自防御体系创造了条件。

  措施3 中央集中控制病毒

  在病毒的防控方面,学校采取中央集中控制管理的模式,统一采购网络版杀毒软件,免费提供给校内用户使用,使得病毒库可以及时快速升级。此外,建立一个校内网络安全站点,及时发布安全公告,提供一些安全建议和相关安全工具下载也是十分必要的。

  在2003年冲击波病毒爆发以后,网络中心开始思考如何应对由于微软操作系统漏洞引起的大规模蠕虫病毒感染。当年就建立了微软软件更新(SUS)站点,给校园网用户提供微软操作系统补丁的快速自动更新。今年又建立了微软Windows软件更新(WSUS)站点和Linux系列操作系统的自动更新站点,提供操作系统、微软Office应用程序、SQL数据库的校内快速自动更新服务。因为WSUS的数据库里可以存储所有用户的更新信息,所以网络中心就可以掌握校内计算机的漏洞分布情况,并且谁装了补丁谁没装一目了然。为了普及校内计算机安装自动更新,尽可能的消除操作系统级别的安全隐患,我们计划于近期进行半强制性的安装。

  措施4 积极防范网络攻击

  我们在校园网边界出口部署了IDS,核心路由器上启用了NetFlow、sFlow等进行监控,对关键的网络节点通过端口镜像、分光等方式进行进一步分析处理网络数据包,通过部署基于Nessus的漏洞扫描服务器对校园网计算机进行定期安全扫描。

  及时查看并分析处理这些监控数据和报表有助于在第一时间发现异常网络安全事件并进行处理,防患于未然。

  实践证明,选用合适的软件和分析处理方式将会大幅度提高工作效率。商业软件固然不错,但很多开源软件如Ethereal、Ntop、Nessus等在这些方面一样做得很优秀,并且易于用户根据自己的需要进行二次开发。

  措施5 统一身份认证

  对于无线网络的安全而言,用户接入认证是非常关键的。网络中心使用了校内统一身份认证来限制校外用户未经授权的无线访问。由于WEP认证具有天然的弱安全性,网络中心又同时提供了基于802.1x的认证平台进行校内统一身份认证并鼓励用户使用。

  措施6 鼓励学生当网管

  宿舍网的网络安全管理在很多学校往往是比较头疼的,上海交大网络中心在这方面取得了让学校师生满意的成绩,而且,网络中心也没有太多人力深陷其中。根本原因还是在学校有关部门的大力配合下,建立了一支由数百人组成的学生宿舍网管员队伍,每个楼都配有至少一名学生网管员,一般在楼内招聘。日常管理由学生工作部门负责,工资待遇纳入学校勤工助学体系,但网管员具体工作由网络中心加以指导。

  通过培训这些学生网管员掌握基本的网络安全意识和基本技能,大量的网络安全问题都消失在萌芽状态。当处于病毒爆发期或有网络安全突发事件时,分布在全校各处的学生网管员也可以第一时间做出响应,协助网络中心的工作。

  结束语

  很多时候,校园网络安全管理人员都会发出这个感慨:发现病毒和攻击其实并不难,难的是面对层出不穷的大量病毒和攻击时,如何去快速响应处理。要实现网络安全,单单依靠网络中心的力量肯定是不够的,要动员各部门院系的力量,激发学生的兴趣和创造力,建立专门的网络安全队伍,通过培训等各方面途径来提高所有网络用户的网络安全意识。只有网络安全意识深入人心,才有可能创造出一个长期的良好的校园网安全环境。