ccidnet????

出版日期:2003-12-22 总期号:1277 本年期号:96

本期导读
要闻综合
中国信息化
网络与通信
软件与服务
产品与应用
渠道与市场
华东专刊
华南专刊
西北专刊
东北专刊
西南专刊
 五位一体 防御更安全
—瑞星打造福建省委党校校园网网络安全堡垒


  福建省省委党校校园网拥有300个以上的信息接入点,采用多种厂商的网络设备和十几台服务器,主要运行Windows NT/2000的网络操作系统以及数据库系统,提供各种应用服务。但目前网络管理人员不足,日常网络的维护量大,特别在网络安全方面暂时没有专职专业的系统安全管理员,同时在网络规划建设时,对整体的网络安全并没有进行全面的分析、研究和投资,只购买了最基本的网络安全产品——防火墙。

  党校网络目前除在Internet出口架设防火墙之外,并没有做其他相关的安全措施,存在很大安全隐患,诸如病毒泛滥、来自网络内外部的黑客攻击、信息丢失、服务被拒绝等等,一旦发生网络病毒或攻击事件对整个福建省省委党校网络而言都将是致命性的。

  从省委党校校园网整体安全性考虑,无论是有意的攻击,还是无意的误操作,都将给网络的整体安全带来不可估量的损失,因此,部署一个整体安全框架比单一的边界防护和Internet防御更加有效和全面。这种安全框架必须既能保护重要信息资源,也能满足开展网络活动的需要。


  安全防护要点分析
  一、网络安全风险评估

  由于网络协议本身存在的缺陷和软件设计编制上的瑕疵,以及网络结构上的缺陷,使网络系统、计算机系统中存在种种的脆弱点,因此,有必要时刻监视网络及计算机系统,评估网络风险,对网络的安全性做到心中有数,提高信息网络风险控制水平。

  二、防范网络病毒

  现在通过传统的磁盘介质传播的病毒很少,大部分是通过互联网应用传播,如电子邮件、即时通讯软件、网络下载等都成为病毒传播的主流途径。通过这些途径病毒传播速度极快、破坏力更强。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。所以,病毒防范是网络安全工作的重要环节之一。

  三、网络监控措施

  由于校园网的特殊情况,学生作为好学、又掌握一定网络技能的群体,对校园网络的安全构成一定威胁。防火墙隔离起边缘区保护作用,但无法防备来自内部的攻击行为。然而,来自内部的攻击、破坏比外部的攻击、破坏更具有致命性。因此,在不影响网络正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护,规范网络访问行为。从网络监控中得到统计信息来确定网络安全规范及安全风险评估。

  四、网络安全服务

  目前,由于福建省委党校缺少网络管理人员,日常网络的维护量大,特别在网络安全方面暂时没有配备专职专业的系统安全管理员,同时,在网络规划建设初期时,对整体的网络安全考虑较少,投资有限。因此,为确保整个网络的安全有效运行,现在有必要对整个网络进行全面安全性分析和研究,制定出一套满足福建省委党校网络实际安全需要的、切实可行的安全管理和设备配备方案。


  网络体系划分
  安全方案涉及到的每一系统单元都需要进行整体考虑,全面权衡每一层次提供的安全功能,理顺系统单元之间的逻辑关系,划分网络安全子体系,分别对应的相应的安全解决方案,最终形成网络安全整体解决方案。通过分析,网络安全方案分以下五个子方案:网络安全风险评估、网络防病毒、防火墙隔离、入侵检测监控、网络安全服务体系。

  一、网络安全风险评估系统

  针对福建省委党校目前的网络结构和计算机系统分布,实施全面的网络安全风险评估服务。通过定期对实体、平台、数据、通信、应用、管理等各个方面进行全面的安全隐患和脆弱性分析,提供详细的分析报告及安全性整改建议。对整体安全状况有全面具体的了解,从而为进行信息安全决策和管理提供依据。

  二、防范网络病毒系统

  主要对福建省委党校网络内计算机系统做防病毒保障。保证网络数据的完整性和保密性。网络中的安全防护能力遵循“木桶原理”,整个网络的安全防护能力取决于网络中防范能力最差的节点。如果网络中有一台计算机感染病毒,就会给网络中其他计算机形成严重的威胁。

  这就需要从病毒的形成、传播形式、传播途径、发作方式着手,通过对整个福建省委党校网络进行统一防病毒管理维护,确保福建省委党校网络的正常运行。同时,通过防病毒系统可以有效地监控、阻止网络内部通过木马等工具进行的远程控制攻击。

  三、系统漏洞扫描系统

  只有及时有效地发现系统存在的安全漏洞,并即时打上相关补丁,才能从根本上保证整个系统的安全。

  四、入侵行为监测体系

  尽管防火墙能通过强化安全策略抵御来自外部网络的非法访问,但对网络内部发起的攻击无能为力。动态监测网络内部活动并做出及时的响应。依靠基于网络的实时入侵检测技术,监控内外网络数据流,从中检测出攻击行为并给与相应的响应和处理。

  五、网络安全服务体系

  只有建立完整的安全服务体系,包括完整的安全评估服务、安全脆弱性修复服务、安全跟踪服务、安全信息服务、安全培训服务等等,才能保证整个系统的安全稳定运行。


  安全方案实施
  一、网络安全风险评估方案

  针对省委党校网络的具体情况,定期对网络硬件环境(机房环境、网络线路情况)、软件(操作系统、网络服务、应用程序)、网络数据、系统通讯、应用安全、系统管理等等进行安全性的评估,为下面的安全应用提供决策依据。

  二、网络防病毒方案

  在充分考虑可行性的基础上,我们采用分级管理、多重防护体系作为福建省委党校网络的防病毒管理架构。在整个网络内只要有可能感染和传播病毒的地方都采取相应的防病毒手段,同时为了有效、快捷地实施和管理整个网络的防病毒体系,充分使用瑞星杀毒软件网络版所拥有的“远程安装”、“智能升级”、“远程报警”、“集中管理”、“分布查杀”等多种功能,为福建省委党校网络建立起一个完善的防病毒体系。

  在整体方案中,我们采用了分级管理和统一结合的方式:一个主系统中心管理整个网络计算机的防病毒工作。由于内部网络中的计算机为方便管理,可以在网络内部建立2级管理员。瑞星系统中心负责管理整个网络中所有计算机的瑞星杀毒软件的升级。客户端上无须进行任何设置。

  党校网络管理员可根据需要对全网计算机进行统一或个别计算机的远程设置及查杀毒操作,并通过设置客户端口令防止有人任意更改客户端杀毒软件的设置,可有效地阻断病毒在网络中的传播,并通过在各计算机上设置病毒隔离系统,可对重要染毒文件进行恢复,保证重要数据文件的保护。

  在这个方案里,瑞星网络版提供了多种升级方式,而且支持多种网络连接方式,具有升级方便、更新及时的特点,管理员只需关心系统中心的升级问题,而对于客户端和服务器端的升级完全是自动的,一旦系统中心升级完毕,所有的服务器端和客户端将立即自动进行升级,这就最大程度地减少了管理员的参与。方案充分考虑了管理员的工作对整体安全的影响,减少了需要管理员干预的环节,从而提高了网络的整体安全性。

  三、网络入侵监测系统

  在福建省委党校网络与Internet网络之间设置一台瑞星入侵检测系统,它与防火墙并行接入网络中,监测来自Internet、网络内部的攻击行为。入侵检测机制能够对网络系统各主要运营环节进行实时入侵检测,以便能够及时发现或识别攻击者的企图或系统资源被误用、滥用的行为。当实时入侵检测系统发现异常时,网络系统及时做出适当的响应,通知网络管理员、通知被害主机。

  这样配置的网络入侵监测系统可以实时监控网络连接状况统计网络状态,它将基于特征的检测法和基于行为的统计分析法有机地结合,能实时检测5大类1300多种已知攻击,并且具有强大的自身保护能力。

  四、网络安全服务体系

  网络信息安全防护是一个精密而复杂的系统,任何一点的疏忽都会造成严重后果。而良好的服务体系更是保证整个系统安全稳定运行必不可少的重要一环。

  整个网络安全服务体系包括了网络安全评估、网络安全脆弱性修复服务、网络安全跟踪服务、网络安全信息服务、网络安全培训服务等等一系列的服务。瑞星公司对服务的全程深度介入保证了整个体系的技术含量,从技术层面上确保安全服务体系的科学性和合理性。

  总结:目前福建省委党校校园网网络安全解决方案已实施完毕,网络系统正处于忙碌的运行当中,电脑病毒的感染率明显下降,有害信息和不健康的网络内容大大减少,校园网安全得到了有利保障,随着今后合作的进一步加强,网络运行的安全性和稳定性一定会得到进一步的提高。


  解决方案示意图


  专家点评

  点评人:刘思宇

  北京瑞星科技股份有限公司研发部网络安全工程师,从事IT工作多年,目前主要进行黑客攻击与防御的研究。具有丰富的网络安全设计与实施经验。

  瑞星以专业的硬件设备,优秀的防毒系统和一流的技术支持服务,为福建省委党校提供了可靠性极高的网络安全解决方案。变被动的“补丁式”安全管理为积极主动的“前瞻式”安全风险管理。

  在整个安全解决方案的设计中,瑞星公司选择了极优秀的产品以及本公司强大的专业安全技术服务。总体来看,该方案最突出的优势如下:

  1.在安全策略的指导下,在“干净”的系统上实施安全

  对一个信息系统实施安全技术涉及网络结构、操作系统、应用软件等各个层次,该方案将制定福建省委党校的信息系统安全策略作为实施安全的第一步,然后根据安全策略建立福建省委党校的信息系统的信息安全体系结构,大大降低今后实施安全的难度、复杂程度和成本。

  2.对原有网络、系统性能的影响低

  由于增加了安全设置后,必将影响网络和系统的性能,包括对网络传输速率的影响、对系统本身资源的消耗等,瑞星公司从系统整体角度分析了福建省委党校的安全需求,针对福建省委党校的网络、系统的影响提供了仔细的评估,提供的安全解决方案与福建省委党校的网络、业务的安全需求相一致,并且能够随着福建省委党校网络性能及安全需求的变化而变化,将对原有网络的影响降到最低。

  选用了该方案之后,通过防火墙在接入网边缘区实现内网与外网的隔离,有效抵抗外部的黑客攻击。外网用户进行身份认证和访问控制,提供可用性和可靠性服务。由此形成安全的网络拓扑结构,为了检测内部网络中的攻击行为,与防火墙并行地部署了瑞星入侵检测系统,杜绝了网络内部的安全隐患。

  在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通讯和电子邮件的感染上来,其传播速度极快、破坏力更强。据统计,一个新病毒从一台计算机出发仅六个小时就能感染全球互联网机器。福建省委党校的网络具有宽带、稳定的性能,为现代网络病毒通过网络迅猛传播提供了充分的物理条件。网络一旦被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。

  所以,防止计算机病毒是福建省委党校网络安全工作的重要环节。

  选用瑞星网络版防毒系统在整个网络中布设之后,建立了统一管理、全网协调、整体防范的病毒防范监控和应急处理体系,使得网络从整体上脱离病毒的困扰。