1 概述
隨著我國對計算機網絡的建設投入了大量的人力和物力,在短短的幾年中,已經從最初僅僅局限在教育科研單位的網絡�����,迅速發展到今天遍及全國的包括教育、科研�����、商業�、民用各個方面的數個大型網絡,如Chinanet(中國郵電網)��、Cernet(中國教育網)���、Gbnet(金橋網絡)等等����。目前在網絡上提供有價值���、有吸引力的信息��,對一個單位或學校樹立自己的形象����,提高自己的知名度,以及開拓和國際上其他學校�����、組織的聯系和往來能夠起到很顯著的作用���。
隨著網絡的普及���,網絡的安全問題也越來越引起人們的重視�。網絡攻擊,網絡竊取�����,非法訪問等時有發生�����,政府機關�,學校及一些企事業單位對網絡的安全要求也日益迫切�,在此方面的投入也越來越大。
針對大專院校對網絡信息安全的需求����,網馳安勝校園網信息安全整體解決方案提供了全面的設計�����。主要解決下列問題:
對內的保密信息不能外泄
約束監督內部Internet瀏覽行為
發現問題的后續處理(包括證據的保存)
及時發現外部網絡入侵行為,并可獲取相應的解決辦法
網絡訪問控制
防病毒
2 方案設計
網馳安勝校園網信息安全方案主要考慮安全對象和安全機制����。安全對象主要有網絡安全、系統安全�����、數據庫安全�����、信息安全�、設備安全��、信息介質安全和計算機病毒防治等���。整體解決方案包括網絡信息保密檢查����、入侵檢測��、訪問控制��、病毒防范、網絡治理等方面。
安勝檢查王—網絡信息保密檢查系統
利用安勝檢查王對Internet網上出口點流出的信息自動地進行截獲和檢查����,提供安全檢查的策略設置界面����,按已設置的策略對信息進行分析和處理���,提供多種截獲信息的查看和報表形式�。提供對MAIL、HTTP、FTP等協議的報文重組和信息還原�,方便治理者對信息的治理�����,同時有效地跟蹤追查網絡的攻擊、破壞、涉密����、資源濫用等違法行為���。
系統采用前端監測數據����、后臺數據分析處理的模式����。前端系統負責監測ip協議數據包,將所有的數據包截獲下來,并以文件的形式保存;后臺系統則以指定形式和設定的檢測規則來分析、組合前臺系統所記載的數據包,并還原成可直接查看的原始數據���。
系統類似銀行中的攝像機功能,它會記錄網絡用戶的電子郵件發送、網站訪問���、FTP文件傳輸等具體操作和內容。此系統有利于網絡安全事件的事后分析��,同時可擔當網絡內容檢查員����,發現互聯網上的邪教、色情和暴力等不良網絡地址,以便網絡治理員制定截堵信息內容過濾策略����。系統用來檢查用戶以電子郵件���、FTP文件和網頁傳遞的文件內容���,記錄可能發生了網絡泄密事件,并保存有關文件傳遞具體信息����,以便追查網絡涉密事件時使用�。
系統以服務器/瀏覽器方式運作, 服務器連接于網絡的出口點, 采集網中的數據�,瀏覽器放在與服務器連接的局域網中,也可放置在遠程網中����,通過用戶界面進行檢查工作���。設備配置方式靈活��,可以有多臺瀏覽器同時進行工作,最簡單硬件配置時��,可以只用一臺設備��,兼作采集和瀏覽���。
該系統可以實現下列功能:
(1)網絡信息采集:根據IP地址���、域名和郵件地址等采集規則����,從網絡上獲取電子郵件��,網頁內容和FTP文件等網絡信息�����。
(2)網絡信息分析處理:識別采集到的網絡信息的文件格式、判定壓縮類型��,并進行全文檢索處理���,產生要害記錄數據結果庫���。
(3)要害詞庫治理:以主題的方式來組織治理要害詞����,用戶根據實際需要來配置相應的主題詞和要害字。如設置政治��、經濟���、軍事等主題詞����,然后在相應的主題詞內配置相應的要害字,同時也可對要害字進行增加����、刪除���、修改等操作���。
(4)HTTP監視:對指定IP地址或IP段進行監視�,能根據設定的監測規則對數據進行檢查�,記錄客戶瀏覽時的各種文件,如Html文件�、圖像文件等�����,為治理用戶提供強有力的控制證據。
(5)FTP監視:能完成對指定IP地址或IP段進行監視����,根據設定的監測規則對數據進行檢查,記錄訪問服務上FTP用戶名、口令字��,記錄用戶在服務器上的操作�����,如記錄用戶所PUT和GET的文件內容��,記錄客戶IP地址和服務器地址。
(6)SMTP監視:對特定用戶所發出的信件進行監視,指定IP地址或IP段進行監視,根據設定的監測規則對數據進行檢查���,記載郵件發送時間,原IP地址、發信人郵件地址和收信人郵件地址等���。同時系統支持多種郵件編碼格式。
(7)檢查結果查閱與瀏覽:用戶可以按時間����、可疑級別�����、要害字和地址等方式來查閱電子郵件、網頁內容、FTP文件等檢查結果����。
(8)檢查結果統計分析:按IP地址�����、可疑級別和涉密次數等方式來統計保密檢查結果。
(9)檢查結果數據備份:用戶可從瀏覽器客戶端將檢查服務器端的數據進行數據備份,方便日后審計查閱���。
(10)系統安全訪問控制:系統內置防火墻功能,實現IP地址、端口等網絡訪問控制模式�����。系統的操作使用基于角色的授權和治理機制�,并以口令方式實現應用級訪問控制�����。數據采集網絡接口與檢查結果訪問網絡接口分離�����,防止攻擊者遠程攻擊�����。
(11)檢查對象控制:系統可靈活的控制哪些網絡/IP地址被監視檢查,哪些網絡/IP地址不能被監視檢查。
入侵檢測—安勝入侵檢測系統(ERCIST-IDS)
安勝網絡入侵檢測系統(ERCIST-IDS)實時采集網絡數據流���,使用誤用檢測模型,分析網絡活動中的安全隱患,保護網絡和網絡中的主機免受攻擊��。
為準確�、及時地檢測網絡入侵,最大限度地保護網絡系統,ERCIST-IDS采用三級架構:治理中心(Console)����、數據治理器(Data manager)��、網絡系統嗅探器(Sensor)。
治理中心:系統的總控中心,治理整個系統的配置、運行�。負責制定安全策略���,顯示網絡系統運行狀況�,是系統的人機交互接口��。
數據治理器:負責治理安全事件數據。利用數據庫存放大量的網絡安全事件數據����,便于數據挖掘分析�����、生成安全報告,幫助網絡系統安全治理員了解網絡安全狀況��。
網絡系統嗅探器:實時采集所在網段的數據流�,依據安全策略分析網絡系統運行狀況,一旦發現網絡入侵��,及時采取應對措施�,阻止入侵行為,保護網絡系統安全���。
ERCIST-IDS治理中心運行在Windows平臺上;數據治理器運行在Windows平臺上;網絡系統嗅探器運行在linux平臺上或Windows平臺上,也可以黑盒子形式提供給用戶�。三者可以運行在一臺主機上�����,也可以單獨運行在各自的主機上,用戶可以根據網絡流量和網絡資源進行權衡����。
入侵檢測系統可以實現如下功能特點:
(1)實時網絡系統監控:ERCIST-IDS實時采集網絡數據���,能夠及時報告網絡中的入侵行為����。
(2)采用Libpcap捕捉數據鏈路層的分組:ERCIST-IDS底層數據包捕捉模塊采用通用的Libpcap庫���,因而具有Libpcap的優勢�����。
(3)網絡數據重組:ERCIST-IDS具有分片重組的功能,能夠檢測故意利用小分片逃避安全檢測的入侵模式。
(4)基于網絡狀態的跟蹤分析:ERCIST-IDS為了減少誤報率����,能夠采用基于網絡連接狀態的方法進行判定����,而不是根據單個的報文進行判定��。
(5)自定義安全規則:用戶可以使用系統提供的規則配置接口����,定制符合本單位網絡特點的安全策略�����。用戶可以指定對哪些地址���、地址范圍�、應用、行為進行監控���,對哪些網絡活動可以忽略等。使用自定義安全規則���,用戶可以較好地利用該系統,使該系統發揮最大的效能��。
(6)多種協議解碼:ERCIST-IDS可以對多種協議解碼�����,分析多種網絡應用,包括IP、ICMP���、TCP、UDP�、FTP��、TELNET、HTTP、SMTP����、NETBIOS�、NNTP����、IMAP、POP、SNMP����、RPC等等���。
(7)阻斷網絡連接:ERCIST-IDS可以使用多種靈活的方式阻斷非法的網絡連接���。
(8)易于擴展:ERCIST-IDS在設計實現時采用三級結構�,利于系統的擴展��。
(9)內容豐富的入侵模式庫:ERCIST-IDS內置擁有一千多條入侵特征碼的模式庫��,可以及時方便地升級。
(10)良好的自身安全性:ERCIST-IDS具有良好的自身安全性。這體現在:一�、只有被授權的用戶才可以運行系統��。二、各個部件間的通信是經過加密認證的,使通信不被破壞�,通信的雙方不可仿冒�����。
(11)通信加密機制:為保障系統自身的安全性�,各個部件之間的通信采用了AES加密算法。
(12)數據傳輸穩定:由于采用成熟的中間件產品��,傳輸治理方便��。同時����,消息中間件與數據集成中間件技術的綜合應用提高了數據的可靠傳輸�。
(13)數據處理靈活:提供了數據預處理和后處理接口,滿足對采集數據處理靈活性的要求����。
訪問控制--綠色校園網系統
綠色防校園網火墻是治理和控制上網內容的��,她采用網頁內容識別和分級技術,可以把網站進行分類,并過濾和禁止有害的網絡信息�����,校園網治理人員只要在電腦前簡單設置就能治理和控制學生上網情況�,極大地提高了網絡治理的水平,解決了學校網絡治理的難題�。
該系統的主要功能包括:
(1)強大的過濾功能:采用國際先進水平的具有自主知識產權的信息過濾技術����,使有害信息的過濾有效率高達96%。能夠拒絕網絡黑名單��,拒絕暴力��、色情�、反動站點��,根據IP地址過濾(不是簡單的URL過濾)����。支持頁面的要害詞過濾��。支持用戶名過濾,拒絕以及限制內容上載�。支持PICS國際圖象分級標簽系統���,可以根據 MIME 類型 和文件擴展過濾. 采用快速算法進行要害詞匹配�����。
(2)豐富的信息分類和內容監視及審計:將需要限制訪問的信息分類為不良信息(包括色情、暴力��、邪教�、賭博等)、新聞信息�����、娛樂信息(包括網上游戲)��、財經信息(包括炒股)等共十幾大類200多萬個站點���,由治理員根據具體情況對各類信息選擇禁止或開放訪問���。還可以對限制信息進行定制�����,增加或刪除信息內容,以便更靈活有效地進行治理����,并對信息內容進行監視及審計����。
(3)用戶自定義信息:由于互聯網上信息包羅萬象����,對不良信息定義的標準又各不相同�����,所以本系統不可能滿足所有用戶的不同要求����,對本系統不包含或分類與用戶要求不同的網頁���,學??勺孕卸x黑(有害)白(有益)網頁,增加答應或禁止訪問的網頁,本系統對自定義的網頁進行優先處理����。
(4)系統自動修復:本系統在意外損壞或人為故意破壞時��,系統會自動恢復上次完好的備份,以保證系統能順利運行,此功能可防止用戶將網絡電腦上的文件刪除而造成不可過濾的漏洞
(5)數據庫及時更新升級:由于互聯網上天天都有新的信息增加���,為保證過濾系統的準確性,本系統會定時自動通過互聯網從中科安勝公司系統服務器下載最新數據,確保過濾系統的及時有效性��。數據更新可選擇自動或手動�����。
綠色校園網HA-100C服務器是為符合電信通訊標準設計的19”上架式1U(65mm)高超薄機型�����。(可根據用戶需求設計)機箱內前后裝有冷卻過濾風扇�����,可以承受工業現場的沖擊�����、振動��、粉塵以及高溫。
防病毒—諾頓防病毒系統
諾頓防病毒能夠自動掃描往來郵件及其附件中的病毒,確保您的電腦不會被帶有病毒的郵件感染;諾頓防病毒還可以偵測并清除即時消息及其附件中的病毒��,保證您上網聊天時的安全;另外��,不論您是從互連網上下載文檔����,還是通過文件服務器�����、軟盤���,移動硬盤���,CD等設備來源接受文檔���,諾頓防病毒均會掃描���,嚴守任何可能的感染途徑�����,絕不讓病毒有可乘之機����。
諾頓防病毒可以在背景中自動運行查找并清除病毒,不會干擾您使用電腦正常工作����。假如碰到無法被修復的被感染文件�����,諾頓防病毒會將被感染的文件隔離以防病毒傳播,并將其上傳到賽門鐵克安全響應中心交由專家處理����。
獨家的”程序型病毒攔截技術”( Script Blocking )和”蠕蟲攔截技術” ( Worm Block )���,不需要事先得到病毒定義碼�����,即可攔截具有病毒特征的可疑程序,突破了同類產品只能通過比對病毒定義碼才能防病毒的局限性�����,符合防病毒產品以”防御為主”的原則��。
賽門鐵克安全響應中心是國際上公認的權威病毒研究及響應機構�����,擁有300多名網絡安全專家�,7X24小時監控全球網絡,通過LiveUpdate連網及自動更新的技術為用戶實時更新最新的病毒定義和病毒搜索引擎,保證用戶的電腦系統時刻處于最佳防御狀態。
網管系統—Unicenter NSM(CA)
網絡和系統治理的目的是建立一套完整的網絡和系統故障監控和性能分析方案。根據需求分析��,我們建議利用Unicenter NSM及其選件產品來實現網絡的治理。包括系統治理框架���、監控視圖的設計、監控視圖的更新――故障數據的集中和處理���、故障數據的采集、高級網絡治理操作��、網絡性能管��、操作系統性能治理等方面����。
3 方案特點與應用
網馳安勝校園網信息安全解決方案在分析了一般的網絡結構��、安全風險��、安全目標和安全原則等條件的基礎上,結合豐富的應用案例以及網馳安勝網絡安全系列產品�,給出了校園網信息安全總體解決方案����,在實際應用中��,可對本方案進一步細化和準確化�,給用戶一個切實可行的實施方案��。
目前�����,該方案已成功應用于中國農業大學、中國人民公安大學等單位����。
