瑞星助中央财经大学打造安全校园网络
1. 网络状况和安全隐患
中央财经大学校园网作为服务于全校教育、科研和行政管理的计算机信息网络,实现了校园内计算机连网、信息资源共享,并通过CERNET与Internet互联,在校园网的建设上采用光 纤连接,以电教楼为中心,中心交换机采用Cisco三层交换机,通过二级交换机向校内其他建筑物辐射,楼内水平线缆采用超五类非屏双绞线缆,校园网现有连网节点1200多个。
由于校︽园网通过CERNET与Internet相连,同时,校园网连接的除了学校的各种院、系等教学行政单位网络,还连接校内的学生机器,因此,中央财经大学校园网存在许多安全隐患,主要表现有:
· 校园网通过CERNET与Internet相连,在享受Internet方便快捷的╳同时,也面临着遭遇攻击的风险。
· 由于内部用户对网络的结构和应用模式都比较了解,特别是学生的计算机应用能力都较强,因此来自内部的安全威胁会更大一些。
· 随着校园内计∩算机应用的大范围普及,接入校园网的节点数日益增多,而※这些节点大部分都没有采取安全防护措施,随时有可能造成病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。
2. 网络安全需求
中央财经大学校园网工程在学校领导的大力支持和全校教▅职员工的共同努力★下顺利结束。随着学校计算机应用的大范围普及,接入校园网节点日渐增多,但是,这些节点大部分都没有采取一定的防护措施,因此,建立一套有效的网络安全机制就显得尤为重要。针对中央财经大学校园网网络的结构及特点确定以下几个必须考虑的安全防护①要点:
2.1 网络病毒的防范
在网络中,病毒已从存储介质(软、硬、光盘)的感染发展为网络通讯和电子邮件的感染上来。其传播速度极快、破坏力更强,网络一旦→被病毒侵入而发作,将会对重要数据的安全、网络环境的正常运行带来严重的危害。所以防止计算机病毒是计算机网络安全工作的重要环节。
2.2 网络安全隔离
为了与各行业间及兄弟院校之间加强业务联系以及信息△化建设都需要网络和网络之间互联,交流信息、信息※共享等措施,给学校的工作带来极大的便利,同时给有意、无意的黑客或破坏者带来了充分的施展空间。所以网络之间进行有效的安全隔离是必须的。
2.3 网络监控措施
网间隔离起边缘区保护作︾用,无法防备内部不满●者攻击行为。往往内部来的攻击比外部攻击更具有致命性。在不影响网络的正常运行的情况下,增加内部网络监控机制可以做到最大限度的网络资源保护。从网络监控中得到统计信息来确定网络安@全规范及安全风险评估。
3. 瑞星解决方案
根据中央财经大学校¤园网的结构特点及面临的安全隐患,我们将通过瑞星防火墙、入侵检测、网络杀毒软件,实现中央财经大学校园网络安全隔离、网络监控措施、网络病毒的防◤范等安全需求,为中央财ξ 经大学校园构建统一的安全网络。
3.1 防火墙的部署
在Internet与校园网内网之间部署了一台瑞星RFW-100防火墙,在内外网之间建立一道牢固的安全屏障。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区,与内、外网↓间进行隔离,内网口连接校园网内网交◥换机,外网口通过路由器与Internet连接。这样,通过Internet进来的外ω网用户只能访问到对外公开的一些服务(如WWW、E-mail、FTP、DNS等),既保护内网资源不被外部非授权用户非法访问或破坏,也可以阻止内部用户对外部不良资源的使用,并能够对发生在网络中的安全事件进行№跟踪和审计。
3.2 入侵检测系↘统的部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素。强大的、完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据校园网络的【特点,我们采用瑞星入侵检测系统RIDS-100。将RIDS-100入侵检测引擎接入Cisco中心交换机→上,对来自外部网和校园网内部的各种行为进行实时检测。
RIDS-100入侵检测系统集入侵检测、网络№管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,检测网络上发生↑的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;RIDS-100可以发出实时报警,使学校管理员能够及时采取应对措施。
3.3 瑞星网络版杀毒产品的部署
为了实现在整〖个局域网内杜绝病毒的感染、传ξ播和发作,我们应该在整个网络内可能感染和传播病毒的地方『采取相应的防病毒手段。同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多♂种功能。
4. 整体实现的主要功能
通过∑ 本次对中央财经大学校网络安全设计,在不改变原有网络结构的基础上实现多种信息安全,保障中央财经大学校内部网络安全:
a) 实现对整个校园网病毒防范和查杀,有效防止病毒在校园网内的传播。
b) 保护脆弱的⊙服务,通过过滤不『安全的服务,防火墙可以极大地提高网络安全和减□少子网中主机的风险。
c) 控制内部和外部用户对校内各种应用系统的访问,有效保护内部各种应用服务器,例如,防火墙允〓许外部访问特定的Mail Server和Web Server。
d) 提供集中的统一安全管理,管理员可以通过管理控制台对内部和外部用户指︽定统一的安全策略。
e) 提供强大的安全日志记录和统计,管理员可以通过各种安全日志对网络进行实时监控和统计分析,及时发现网络的各种安全事件。