鲁 东 明 浙江大学网络与信息中心 二○○五年九月二十二日 校园网络安全防御与应急 鲁 东 明 浙江大学网络与信息中心 二○○五年九月二十二日
报告提纲 校园网络安全状态 网络安全防御与应急及关键设备技术 浙大网络的安全防御措施
一、校园网络的安全状态
网络带给我们便捷通信、自由交流、海量信息,同时也带来不可忽视的安全隐患与潜在威胁!
国家计算机网络应急技术处理协调中心(CNCERT/CC) 2004年,共收到互联网安全事件报告64,686件; 2005年1月-8月,共收到互联网安全事件报告40,000多件;
MessageLabs统计,垃圾邮件比例达到74%; 携带病毒、广告、医疗、色情 ; 不健康内容传播 色情信息,对未成年人的危害增大; 计算机病毒、网络蠕虫 1988年11月:Morris蠕虫,互联网主体瘫痪 2001年:红色代码; 2003年:冲击波病毒; 2004年5月:震荡波蠕虫; 2005年8月15日:狙击波病毒; 黑客攻击 2004年,我国共有3617家互联网站遭到黑客攻击; 垃圾邮件 MessageLabs统计,垃圾邮件比例达到74%; 携带病毒、广告、医疗、色情 ; 不健康内容传播 色情信息,对未成年人的危害增大; 非法的访问 ……
校园网络是互联网络的有机组成部分,同时又是为师生员工的教学、科研、管理、服务、文化娱乐等服务的特殊支撑平台。
校园网络存在安全隐患 各种各样的应用软件在校园网中广泛使用: Windows系统存在很多的系统安全漏洞; 浏览器IE存在严重的安全漏洞; 被广泛使用的FTP服务器Serv-U也存在严重的缓冲区溢出漏洞; … …
校园网络存在安全隐患 校园网络既是学习研究平台、又是大学文化建设的窗口 学生对新技术有好奇、好学的心理,在校园网上测试、使用各种各样网络安全技术和工具;(扫描工具,系统漏洞探测工具); 学生正处于成长期,不健康内容会对他们的成长产生不利的影响;(色情的,反动的)
校园网面临的多种威胁 校园网提供各种服务,提供服务的部门安全意识不统一,各种服务器存在安全威胁; 教师、学生与外界的频繁Email联系,垃圾邮件非常多,浙大有90%是垃圾邮件; ……
二、网络安全防御与应急及关键设备技术
网络安全防御与应急体系 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 内网包过滤 防火墙 入侵检测系统 设备备份 物理隔离 数据备份 VLAN 服务备份
防火墙及技术 为网络通信、数据传输提供更有保障的安全性; 分类: 性能: 产品: 包过滤防火墙;(检查每个IP包的字段,如源地址、目标地址、端口等… ) 状态检测防火墙;(动态检查网络连接和包) 应用程序代理防火墙;(与特定应用程序配合使用) 性能: 最大带宽、并发连接数、每秒新增连接数、丢包 和延迟; 自身安全性; 产品: Juniper的NetScreen;Cisco的Pix;天融信防火墙;天网防火墙
入侵检测与防御及技术 及时发现网络异常行为,并阻止其进一步发展; 检测技术: 核心技术: 性能: 产品: 基于误用检测技术;(检测与异常规则相匹配的网络行为) 基于异常检测技术;(检测偏离了正常规则的网络行为) 核心技术: 模式匹配、基于统计方法、预测模式生成… … 性能: 降低误报率、漏报率; 产品: CA的Intrusion Detection,启明星辰的天阗IDS,……
防病毒及技术 及时发现病毒,并清除,阻止病毒进一步传播、扩散; 核心技术: 产品: 特征代码匹配、病毒特征自动发现、启发式搜索… … Norton、Kaspersky、金山毒霸、瑞星杀毒软件……
反垃圾邮件及技术 过滤、阻止大量的非正常的电子邮件; 反垃圾邮件机理: 产品: IP地址、域名、邮件地址黑白名单方式; 基于垃圾邮件行为模式识别模型 ; Domainkeys方式;(基于PKI的方式对邮件发送者进行验证,对邮件信息进行加密保护,对收信人实现防抵赖机制) 基于信头、信体、附件的内容过滤方式; … … 产品: 防垃圾邮件网关,如冠群金辰 的Kill赤霄邮件过滤网关; 防垃圾邮件防火墙,如:博威特的梭子鱼垃圾邮件防火墙;
内容过滤及技术 阻止不健康、反动信息的复制、传播; 过滤方法: 一般在防病毒网关、反垃圾邮件系统中集成; 基于关键字、权重关键字; 基于URL的过滤; 基于文字内容的深度搜索; 一般在防病毒网关、反垃圾邮件系统中集成;
三、浙大网络的安全防御措施
涉密部门,如保卫处、财务处等,需要使用隔离的专网 浙江大学校园网络安全部署示意图 涉密部门,如保卫处、财务处等,需要使用隔离的专网 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
部署双核心交换机,防止一台交换机瘫痪的时候引起整个网络的瘫痪 浙江大学校园网络安全部署示意图 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 利用SAN网络备份对服务器数据进行备份 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 服务器服务进行备份 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 后勤部门跨校区VLAN 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 出口千兆防火墙 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 内网基于IP和端口包过滤 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 学生宿舍IP和MAC地址绑定 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 核心交换机上接日志与审计服务器 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 认证服务器对普通用户的用户名和密码认证 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
网络防病毒服务器提供校内各病毒客户端的自动升级 浙江大学校园网络安全部署示意图 网络防病毒服务器提供校内各病毒客户端的自动升级 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
邮件服务器前部署防垃圾邮件网关、防病毒网关 浙江大学校园网络安全部署示意图 邮件服务器前部署防垃圾邮件网关、防病毒网关 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
浙江大学校园网络安全部署示意图 日志审计 身份认证 网络防病毒 垃圾邮件过滤 IP和MAC地址绑定 防火墙 内网包过滤 设备备份 物理隔离 数据备份 VLAN 服务备份
三分技术,七分管理!
配备完整系统的网络安全设备 建立全校统一的身份认证机制 规范出口管理 防火墙、入侵检测系统、网络版的防病毒系统 实现对校园网络进行系统的防护、预警和监控 建立全校统一的身份认证机制 对学生宿舍计算机进行IP地址绑定 上网用户必须办理上网登记手续 BBS实行实名制 规范出口管理 严格控制私自连接外网
各级管理机构设定网络安全员 制定校园网络安全管理制度 监控用户的上网行为 专人负责对各个网站,BBS内容进行监控,及时阻止有害信息播 负责相应的网络安全和信息安全工作 加强对用户的教育和培训 制定校园网络安全管理制度 落实网络中心各管理人员责任;定期定期培训各级网络管理员; 加强对学生用户的教育;对违反规章制度,提出警告、停止其使用网络、对其进行批评教育;情节严重者,提交校行政部门或有关司法部门处理;
网络安全防御与应急是一个系统的永恒的工程;只有开始、没有结束。 让我们共同携手,为建设安全和谐的教育网络而共同努力!
欢迎大家来浙江大学网络与信息中心指导! Tel: 0571-87952059、13705817895 Fax: 0571-87951670 Email: ldm@cs.zju.edu.cn Web:http://networking.zju.edu.cn