邵阳学院网络安全保障系统建设需求

邵阳学院网络安全保障系统建设需求网络安全十分重要，尤其数据中心在今后的网络系统中承载全校师生的访问，安全、可控的数据访问时保障数据中心稳定运行的重要依据和条件，因此在数据中心建设过程中针对数据流的访问必须建立完善的安全保障系统。本次安全保障系统从两个方面进行建设，分别为网络安全防护、系统安全防护，如下：1.1网络安全防护网络安全主要用于保障数据中心的从访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防护等进行建设。建设内容如下：1、 采用高性能防火墙，控制数据流的访问行为，授权合法的数据流访问。2、采用2套网络审计系统，分别对数据中心和校园网进行行为审计，通过对安全事件的连续收集与积累并加以分析，对其中有疑问的某些站点或用户进行审计跟踪，为发现可能产生的破坏性行为提供有利的证据。3、 WEB防火墙，提供Web应用实时深度防御的同时，实现Web应用加速与防止敏感信息泄露的功能，为Web应用提供全方位的防护。4、 采用IDS,对非法网络入侵及恶意代码进行实时监测，检测攻击行为并记录产生告警信息。如下图:火药^1目即日学院校回网图1. 邵阳学院数据中心网络安全防护拓扑示意图

1・1・1高性能防火墙高性能防火墙作为置于不同网络域之间的访问控制设备，是增强数据中心安全性的重要安全措施。防火墙通常采用多接口的软硬件一体化产品，用于边界防护或两个不同安全域之间的防护。本次采用两台高性能防火墙，部署于数据中心汇聚交换机与邵阳学院核心交换机之间，两台高性能防火墙为主备或主主关系，即在其中一台防火墙发生故障的情况仍旧能保障数据中心各个应用系统对外正常提供应用访。两台高性能防火墙在数据中心和邵阳学院校园网之间形成信息通信唯一通道，用于实现网络访问控制，进行数据包过滤和NAT,防止外部用户非法使用数据中心的资源，保护数据中心的资源不被破坏，防止数据中心的敏感数据被窃取。此外高性能防火墙用于决定哪些数据中心应用服务可以被外界访问，外界的哪些用户可以访问数据中心的服务，以及哪些外部服务可以被数据中心访问。校园网管理员可以根据访问需求，制定适当的安全访问策略，控制（允许访问或拒绝访问）不同区域之间的访问行为。高性能防火墙通过检测和控制网络之间的信息交换和访问行为来实现对网络的安全保护，从总体上看，咼性能具有以下几大基本功能：1、 具备4个万兆接口分别用于与数据中心汇聚交换机和邵阳学院校园网核心交换机互联，确保邵阳学院数万学生访问应用系统的带宽需求；2、 具备高性能，确保大量突发流量访问各项应用系统时能够正常工作，建议防火墙处理性能＞20G3、 过滤和管理进出网络的数据包；封堵禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警；4、 进行内网地址转换；通过自身以及和IDS系统的联动达到阻止网络入侵和非法访问的目的；5、 其他附加的功能，如：负载均衡、应用层过滤、防病毒等功能。1・1・2网络安全审计系统分别在邵阳学院核心交换机与数据中心汇聚交换机上旁挂一台网络审计系统，网络安全审计系统一般由数据中心、管理中心和审计引擎组成。数据中心、管理中心安装在服务器上。审计引擎部署于业务服务器子网交换机，全面侦听该业务子网交换机上的通信信息，动态监视流过的所有数据包，进行检测和实时分析，并将分析结果发送到数据库保存。审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有为的证据。1.1.3WEB应用防火墙邵阳学院数据中心业务系统应用安全建设中web应用程序基于ASP、PHP、JSP等开发的B/S业务，本身不可避免的存在软件开发本身的漏洞、造成黑客的SQL注入，致使业务系统数据库和网页文件被篡改或者被窃取的问题进行有针对性的应用安全加固。通过Web安全子系统部署于web服务器区核心交换前实现双向内容的检测，针对HTTP协议的深入解析，精确识别出协议中的各种要素，如cookie、Get参数、Post表单等，并对这些数据进行快速的解析，以还原其原始通信的信息，根据这些解析后的原始信息，精确的检测其是否包含威胁内容。Web安全子系统作为web客户端与服务器请求与响应的中间人，能够有效的避免web服务器直接暴露在互联网之上，采用双向内容检测技术可检测过滤HTTP双向交互的数据流包括response报文，对恶意流量，以及服务器外发的有风险信息进行实时的清洗与过滤，防止web安全风险。在邵阳学院数据中心汇聚交换机与WEB服务器群之间串接一台web防火墙系统，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。总体来说，Web应用防火墙的具有以下四大个方面的功能：1） 审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。2） 访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。3） 架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。4） WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。1.1・4网络入侵检测系统在邵阳学院数据中心汇聚交换机上旁挂一台入侵检测系统（IDS）。入侵检测技术IDS是一种主动发现网络隐患的安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响虚），提高了信息安全基础结构的完整性。网络入侵检测系统通常由控制中心和探测引擎两个部分组成。控制中心为软件系统，安装在服务器上；探测引擎为软硬件一体化主机，采用旁路工作模式。探测引擎负责监听该引擎所在的物理网络上的所有通信行为，识别反映已知进攻的活动模式并报警，使管理员时刻了解网络系统的异常行为，为安全策略制定提供参考依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。在发现入侵行为后，能够及时做出响应，包括通知防火墙系统，利用防火墙阻断功能切断可疑的网络连接，并记录时间信息。入侵检测系统和其他审计跟踪产品结合，可以提供针对企业信息资源的全面审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等都有很重要的作用。IDS可以防止或减轻下述的网络威胁：＞识别黑客常用入侵与攻击手段入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。＞监控网络异常通信IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。＞鉴别对系统漏洞及后门的利用IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式，对连接端口以及连接中特定的内容等特征进行分析，有效地发现网络通信中针对系统漏洞进行的非法行为。＞完善网络安全管理IDS通过对攻击或入侵的检测及反应,可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的数据监测、主动扫描、网络审计、统计分析功能，可以进一步监控网络故障，完善网络管理。1・2系统安全防护系统安全从系统配置、补丁分发、网络漏洞扫描、安全管理平台、信任体系等进行建设。建设内容如下：1、 采用防病毒及补丁分发系统，对数据中心的服务器操作系统的进行病毒的查杀和补丁检测和监控。2、 采用网络漏洞扫描系统，对数据中心的重要服务器、防火墙、交换机以及PC终端等进行漏洞扫描，检查存在的漏洞信息并生产报告提供给管理人员。

如下图:讥'EM药火均-七迟輙1IIH1111抚据=•■淀衆说日如下图:讥'EM药火均-七迟輙1IIH1111抚据=•■淀衆说日3匚聚鼠壬诵思宜菊咽垂刊轻丁対去:恳席料飙的孫禺蔵诜籠巧火均眄塔丰孑丟菲盟阻翹鯉史哙污河拦雀乐皱匪阳学院校园网眄站丰卩乐芜图2. 邵阳学院系统安全防护拓扑示意图1.2.1防病毒软件与补丁分发系统恶意代码与计算机病毒会利用u盘、软盘、光盘等介质以及网络等途径传播，感染计算机和服务器，不做及时的预防会蔓延至整个网络，造成网络系统、业务系统的瘫痪。而且部分计算机病毒会修改数据与程序、毁坏文件、破坏硬件、泄漏敏感信息、占用系统资源、造成网络阻塞、造成系统拒绝服务等。由此，防范病毒与恶意代码危害是信息系统安全建设的重要内容。系统安全防护建设中，新增一套网络版防病毒软件（最好是专用的虚拟化杀毒软件）在数据中心的服务器以及部分终端用户部署防病毒客户端，实现对系统恶意代码与计算机病毒的防护。网络版杀毒软件的服务器由系统管理员定期更新。目前数据中心绝大多数使用的操作系统为Windows系列操作系统，很容易受到各种针对微软产品的病毒和黑客的攻击，而且危害大、传播速度快、暴发频繁。打补丁是防止病毒和黑客利用系统漏洞实施攻击的最好防护措施。通过防病毒软件的补丁管理功能对补丁进行自动分发、用户环境自动测试、网管统一管理，同时且采用流量控制手段减少对网络带宽的占用，同时保证未打补丁的新网络终端只与补丁管理服务器相连通，不与其它网络设备相连通，防止服务器由于未打补丁感染病毒。1.2.2漏洞扫描系统在邵阳学院数据中心汇聚交换机上旁挂一台漏洞扫描系统，管理员可以在网络任意与其连通节点进行操作和管理。漏洞扫描器采用已知的安全脆弱性数据库来探测漏洞，定期对网络的重要服务器、pc机、防火墙、交换机等进行漏洞扫描，通过确定目标设备的系统状态，发现网络边界组件、基础组件和其他系统存在的漏洞（这些漏洞会使系统中的资料容易被网络上怀有恶意的人窃取，甚至造成系统本身的崩溃）。对目标系统在模拟黑客入侵的情况下对系统的脆弱性进行扫描，生成详细的可视化报告，准确而全面地报告网络存在的脆弱性和漏洞，同时向管理人员提出相应的解决办法及安全建议。主要功能要求如下：扫描功能：可以扫描任何应用TCP/IP协议的网络主机或网络设备，扫描内容包括端口扫描、帐户扫描、网络设备扫描、操作系统识别、数据库扫描和Web扫描等。应适应多种操作系统：能够准确地识别各种操作系统：如SunSolaris、SCOUnix、HP-UX、IBMAix、DigitalUNIX、SGIIRIX、Linux、Windows9X/NT/2000/XP等系统。报告功能：具备全面详细的分析报告能力，可根据安全管理的不同角色定位按照要求生成面向主管领导、部门领导、技术人员的不同类型的报告。同时，用户能够按自己的需要自定义报告模板，满足用户的特殊需求。报告中的内容包括漏洞信息、漏洞主机信息、危险级别、修补建议等，并提供安全补丁，实现与供应商的热连接，以保证快速及时地修补漏洞。管理功能：能够为用户提供缺省的多种扫描策略，用户可根据实际需求来选择合适的策略。应用特定配置的策略，用户能实现不同内容、不同