摘 要:本文着重阐述了我们信息中心如何通过将用户管理和网络安全技术结合在一起,来全力保障我校校园网用户的上网安全。
关键词:用户管理 合理运用多技术 上网安全
中图分类号:G64 文献标识码:A 文章编号:1674-098X(2012)10(a)-0062-02
如今,校园网在众多学校应运而生,为教职员工及学生的学习生活提供了诸多方便,在教学、科研、行政办公等方面都起着至关重要的作用。然而,校园网用户却遭受着木马、恶意插件、间谍软件、网络钓鱼等各种威胁,上网查询资料、浏览网页时,在不知不觉中遭受攻击,致使个人隐私泄露、重要资料丢失、遭受网络诈骗等。在我校,通过采取将用户管理和网络安全技术结合在一起的方法,切实保障了校园网用户的上网安全。
1 加强校园网用户管理,规范上网行为
据统计,目前60%的网络攻击及破坏来自于网络内部,因此,要保证校园网用户的上网安全,就需要加强校园网用户的管理,规范其上网行为。并且,2005年11月23日公安部部长办公会议提出并通过的《互联网安全保护技术措施规定》,并自2006年3月1日起已经施行。该规定对用户信息、用户上网记录、地址转换记录、设备状态记录等都有要求。
1.1 制定并严格执行完善的上网制度
我们信息中心根据学校的实际情况,制定了完善的《漯河医学高等专科学校上网管理制度》等一系列制度,其中规定,只有本校教职员工及学生可以通过校园网接入互联网,且接入互联网的用户必须使用真实身份才能使用互联网的各种服务。我们信息中心对于每个需要通过校园网接入互联网的用户,认证核实身份,审核通过后发放上网账号、密码、IP地址并将其入网申请表、身份证复印件、账号、IP地址等重要信息存档。
1.2 进行入网身份认证,规范用户管理
自2007年开始,我校就使用福建星网锐捷的RG-SAM系统对用户入网进行身份认证管理。锐捷 SAM 认证计费系统接入认证采用 802.1X 或 Web 两种方式对接入用户进行认证,与锐捷交换机联动,严格绑定校园网用户的账号、IP地址、MAC地址、交换机端口、交换机IP等信息,从网络边缘就对接入用户进行管理控制,未通过认证的客户,不仅无法访问外网,对于内网也无法访问,避免了非法用户接入带来的病毒传播、网络攻击等行为的发生。通过入网身份认证,实现学校内部的所有办公区、家属院、学生宿舍的身份认证,为“GSN”全网安全提供基础的身份验证平台。在出现安全问题之后,就能够很快追查到相关源头,为校园网运营提供了非常强有力的安全保障机制,极大的减轻了校园网管理的负担。与此同时,进行入网身份验证的多元素绑定,也使校园网用户必须使用自己的用户名和IP才可以访问校园网,避免了不受控的上网行为出现,将安全威胁置之网外,在一定程度上保障了校园网用户的上网安全。
1.3 定期对校园网用户进行信息技术培训
我中心制定详细的培训方案,对通过校园网接入互联网的用户进行计算机应用基础和计算机网络基础方面的培训。通过培训,提升用户安全使用计算机及计算机网络的能力。
2 合理运用技术手段,保障校园网用户的上网安全
2.1 合理划分虚拟局域网
虚拟局域网简称VLAN,它是一种实现虚拟工作组的先进技术,能够将校园网内的设备按照各种各样的应用业务和对应的安全级别,进行逻辑分段,并产生多个不同的网段。通过划分虚拟局域网来实现不同业务及应用间的隔离,也实现了相互间的访问控制,对于限制非法用户对于校园网的访问起到非常巨大的作用,进而更加有效的保障校园网安全及校园网用户的上网安全。
2.2 实施GSN全局安全网络解决方案
当前网络安全形势日趋严峻,但反观传统的网络安全措施,均只是单点或者局部的安全。比如说,防火墙,虽然能够有效保护出口安全或者受保护的服务器区域,阻止某些攻击行为,但无法分析深层的数据,尤其无法处理内部攻击行为;杀毒软件,在面对如今病毒种类繁多、变化迅速的情况下,杀毒软件往往陷入亡羊补牢的被动局面。在此形势下,GSN(Global Security Network)全局安全网络解决方案应运而生。GSN全局安全网络解决方案是由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统(SAM)、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动,使每个设备都发挥安全防护的作用。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动集成到一个网络安全解决方案中,以“多兵种”协同达到网络全方位的安全,以此达到对网络安全威胁的自动防御,以及对网络受损系统的自动修复,同时其针对网络环境变化和新网络行为的自动学习能力,也达到了对未知安全事件的防范,做到了真正的主动防御。
我校于2007年全面实施了GSN全局安全网络解决方案,在技术层面最大化的保护校园网内部网络免受网络攻击的威胁,在管理方面,规范了网络管理,使网络可控、可管,为保障校园网用户上网安全提供了技术保障。
3 搭建安全DNS,确保上网安全
DNS 是域名系统(Domain Name System)的缩写,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。方便是方便了,但是面临着严重的安全威胁。如果DNS服务器被攻击,轻者大面积断网,重者将会造成用户隐私泄露、重要信息丢失、遭受网络诈骗等严重后果。如果DNS服务器构建的安全了,可使用户免受网络攻击的危害。因此,构建安全的DNS,是保障校园网用户上网安全的关键所在。
3.1 搭建安全的DNS服务器
要搭建安全DNS系统,作为前提条件的服务器系统要相对安全。除了使用正版服务器操作系统外,也要做到只安装DNS服务器软件,其他的服务软件及应用软件一律不安装,保证服务器的纯净。
3.1.1 安装软件防火墙并仅开放DNS服务器使用的53端口
为了保障DNS服务器的安全,就需要专机专用。DNS服务器主要提供域名解析服务,因此,只需要开启53端口,使用防火墙将其余的端口全部封掉,这样,就避免了因其他服务爆出漏洞而导致DNS服务器遭受网络攻击的危险。
3.1.2 制定DNS策略,降低遭受外部网络攻击的风险
为了降低遭受DNS服务器遭受来自校园网外部的拒绝服务攻击等网络攻击,需要制定DNS策略,这时就用到了ACL(访问控制列表)。ACL就是一个被命名的地址匹配列表。使用访问控制列表可以使配置简单而清晰,一次定义之后可以在多处使用,不会使配置文件因为大量的 IP 地址而变得混乱。要使用ACL,只需要在bind的主配置文件/etc/bind/named.conf中定义ACL,具体语法为:acl acl_name{address_mactch_list};,在bind中默认预定义了4个名称的地址匹配列表(any、localhost、localnets、none),它们可以直接使用。ACL在named.conf中是顶级语句,不能将其嵌套到其他语句使用,因此,在named.conf中要首先定义ACL,然后在随后定义的options语句中使用已定义的ACL。为了降低管理员的维护成本,可以讲定义ACL的语句单独存放在/etc/bind/acl.conf中,然后在主配置文件named.conf中使用如下语句:include “acl.conf”。
在我校校园网DNS服务器中,我们定义了内服地址列表acl our_net{x.x.x.x/24; x.x.x.x/24; ......;};和外部的公共DNS列表acl pubic_dns{public_dns_address;};并在/etc/bind/named.conf文件的options中制定了限制DNS查询和相应的控制语句options{allow-query{our-net; pubic_dns;};allow-recursion{ our-net;};};,通过使用限制DNS查询和相应的控制语句来只允许内部网络及公共DNS服务器查询我校的DNS服务器,不对其他用户开放DNS查询服务,这样,就将大部分潜在的攻击者隔离处理,从而降低了遭受攻击的风险。
为了避免因bind版本泄露而被攻击者利用,导致攻击者利用bind版本漏洞攻击DNS服务器,因此很有必要隐藏掉DNS服务器的版本。为了限制客户端查询bind版本,可以在options中添加如下配置:dump-file“/var/named/data/dump.db”;statistics-file“/var/named/data/stats.txt”;version“None of you business”;。
为了保障DNS服务器的安全运行,不仅仅要靠安全正确的配置,还要及时跟踪服务器软件及操作系统的各种各样的漏洞,及时为发现的漏洞打补丁或进行版本升级。
4 制定校园网内部重要数据的备份策略,制定应急处理预案
校园网内部存在着许多非常重要的信息,必须及时对这些信息进行完整的备份,以便在出现问题的情况下及时恢复,将损失降低到最低。我校制定了各部门2天一备份,我中心一周将全校信息备份一次的策略,所有备份的内容在存储设备上保留一份并在光盘上备份一次。另外,做好应急工作是切实保障整个校园网安全的一个非常重要的前提,我中心根据我校园网络的实际情况建立了校园网安全的应急处理预案,一旦校园网出现故障,就立即根据相关的应急处理方法来进行解决,进而将校园网所遭受的破坏降低到最小,最大化的保障校园网用户的上网安全。
随着社会及科技的不断发展,校园网将会发挥出越来越重要的作用。也将不断产生各种各样的新的校园网网络安全问题。在教职员工及学生在加强自身的安全意识的同时,我中心切实做到多措并举保证校园网用户的上网安全,避免未授权用户的非法访问以及网络攻击者的恶意攻击等问题的出现,保证校园网健康、高速的发展。