校園網(wǎng)的主動防護(hù)策略配置實例

字號:

學(xué)校校園網(wǎng)系統(tǒng)的具體情況是:
    ● 就以往的安全管理來看,以整體防御確保每一臺計算機(jī)的安全對于學(xué)校來說只存在理論的可能性,實踐起來較為困難;
    ● 學(xué)校只有一個專職網(wǎng)管人員而且脫離教學(xué)任務(wù),對實際情況掌握的不是很熟悉。只能完成網(wǎng)管中心的局部安全;
    ● 就功能而言 ,學(xué)校的計算機(jī)網(wǎng)絡(luò)可分為4大類型:教師集中辦公的微機(jī)網(wǎng)絡(luò)、學(xué)生上機(jī)的微機(jī)網(wǎng)絡(luò)、網(wǎng)管中心網(wǎng)絡(luò)、學(xué)校職能部門例如檔案室、會計室、校長室、試卷庫等部門網(wǎng)絡(luò);
    ● 學(xué)校了解網(wǎng)絡(luò)安全的專業(yè)教師非常多,而且專業(yè)各有特長;
    ● 網(wǎng)絡(luò)安全課程必須開設(shè),內(nèi)部攻擊不能從制度上禁止。
    分區(qū)防守,增強(qiáng)“壁壘”
    根據(jù)以上具體情況結(jié)合網(wǎng)絡(luò)安全問題我們得出了以下的分析結(jié)果:
    1、靠網(wǎng)管一個人實現(xiàn)整個網(wǎng)絡(luò)的安全是不可能的。
    2、四個不同功能的網(wǎng)絡(luò)對網(wǎng)絡(luò)安全的要求是不同的。教師網(wǎng)絡(luò)因為權(quán)限較大所以主動染毒性非常強(qiáng),但是由教師網(wǎng)絡(luò)發(fā)起的對校園網(wǎng)絡(luò)的內(nèi)部攻擊非常少。網(wǎng)管中心的網(wǎng)絡(luò)非常重要但是相對安全。學(xué)生機(jī)房由于紀(jì)律的約束,主動染毒性不存在,但是針對網(wǎng)絡(luò)的內(nèi)部攻擊次數(shù)非常多。學(xué)校職能部門網(wǎng)絡(luò)由于涉及到學(xué)校的重要信息以及相關(guān)考試的信息,所以對網(wǎng)絡(luò)安全要求非常高。
    3、如果仍然采用習(xí)慣的整體防御,會出現(xiàn)一個區(qū)域網(wǎng)絡(luò)安全出了問題導(dǎo)致其他功能區(qū)域全部出現(xiàn)問題。
    針對學(xué)校的具體情況和網(wǎng)絡(luò)安全問題的分析,我們制定了分區(qū)域防守與增強(qiáng)網(wǎng)段“壁壘”的總體安全策略。具體策略如下:
    1、 由專業(yè)教師包括網(wǎng)管在內(nèi)組成網(wǎng)絡(luò)安全小組負(fù)責(zé)校園網(wǎng)絡(luò)安全。小組成員根據(jù)專業(yè)方向的不同負(fù)責(zé)對威脅網(wǎng)絡(luò)安全因素的具體防守,從人員方面加強(qiáng)力量。
    2、 針對功能不同的網(wǎng)絡(luò),例如教師網(wǎng)絡(luò)、學(xué)生網(wǎng)絡(luò)等進(jìn)行網(wǎng)絡(luò)分段,分區(qū)域進(jìn)行防守,不同區(qū)域根據(jù)安全問題的不同側(cè)重采取相應(yīng)的網(wǎng)段安全策略。
    3、 整個網(wǎng)絡(luò)安全體系由主防火墻和子防火墻一起構(gòu)成。主防火墻由網(wǎng)管負(fù)責(zé),進(jìn)行網(wǎng)絡(luò)整體防守。子防火墻由專業(yè)老師具體負(fù)責(zé),配置到具體網(wǎng)段進(jìn)行區(qū)域防守。
    4、 不同的區(qū)域就是網(wǎng)段配置不同的五大安全部件,在防火墻、防毒墻、身份驗證、傳輸加密、IDS/IPS幾個方面區(qū)別配置來適應(yīng)不同區(qū)域的具體要求。
    以上就是分區(qū)域防守思想,我們在具體實施之后發(fā)現(xiàn)網(wǎng)絡(luò)安全有以下幾點可喜的變化:
    1、校園整體網(wǎng)絡(luò)安全有所提高,不同區(qū)域的網(wǎng)絡(luò)安全由具體人負(fù)責(zé),責(zé)任到人,相關(guān)網(wǎng)絡(luò)安全問題可以快速解決。
    2、因為專業(yè)人員的方向不同,負(fù)責(zé)不同區(qū)域的防守個人的專業(yè)特長有所體現(xiàn),處理問題得心應(yīng)手。
    3、在出現(xiàn)安全問題時可以輕松做到盡量減少損失。在損失掉一個區(qū)域之后其他區(qū)域仍有很強(qiáng)的安全性,以往整個網(wǎng)絡(luò)同時出現(xiàn)一種安全問題的現(xiàn)象基本杜絕。
    4、成立了安全委員會后,負(fù)責(zé)不同防守任務(wù)的人員互通情況相互促進(jìn)學(xué)校安全人員的技能和素質(zhì)有很大的提高。
    但是,簡單的靠IP分段會存在許多功能問題。而且由于IP的人為可設(shè)置性使得網(wǎng)絡(luò)存在很大的安全隱患。所以在此基礎(chǔ)上學(xué)校更換了主交換機(jī)和子交換機(jī)。使用了主三層交換設(shè)備和可配置VLAN的子交換設(shè)備和高性能路由器。這樣使得我們的分網(wǎng)段實施“壁壘”的思想可以更方便地實現(xiàn)。分網(wǎng)段實施“壁壘”的思想是分區(qū)域防守的有利保證,從硬件方面增強(qiáng)了分區(qū)域防守的力度。