一、 当前网络现状概述
安徽工业大学信息化建设经过多年的不断发展和完善,目前已具备一定的规模。安徽工业大学的网络系统是由安徽工业大学校园内网(教学区、学生公寓等)、虚拟专网(包括移动办公用户等)、教育网接入以及连接因特网的接入组成,形成了统一的安徽工业大学高速信息通道。
安徽工业大学高速信息通道的建成,为安徽工业大学的办公自动化,各种教学业务数据集中处理改革奠定了坚实的信息基础,目前安徽工业大学已经实现了系统内部的网络资源共享,因此信息系统在安徽工业大学的业务处理中越来越重要,系统的安全建设也就显得越来越迫切、越来越重要。为了保证办学业务的稳定、安全运行 ,需要逐步进行信息系统的安全建设。
安徽工业大学由于主要工作都建立在该网络系统之上,涉及的重要信息较多,因此迫切需要解决系统的安全防护工作。要求在信息系统的各个层面,包括网络与通信平台、系统软件环境、数据交换、应用信息加密、用户查询与访问的身份验证等诸多环节进行综合考虑,建设和贯彻统一的安全保障体系。
目前安徽工业大学的网络主要包括一下几个部分:
A.教育网接入部分
安徽工业大学通过教育网实现跟其他兄弟院校的资源共享,包括很 多对教育网提供服务的服务器。
B.Internet连接部分
安徽工业大学内部网络与Internet网络是物理隔离的,与 Internet网络连接主要是提供对外Web等服务的外网服务器。
C.内部办公部分
安徽工业大学内部网络进行了VLAN的划分,用于区别教学系统和办公系统。
具体部署图如下所示:
二.网络安全风险与解决方案
通过对安徽工业大学网络系统的研究我们发现存在如下几方面的问题:
l 对Internet网络采取了一定的访问控制措施,减少了来自互联网的风险,但原联想防火墙设备性能与安全功能已经不能适应现有的网络应用;
l 对内部用户采用划分VLAN的方法,进行了一定的安全保护;
l 随着安徽工业大学网络网络规模的不断扩大,内部机器数量已经超出了原有联想防火墙的负载能力,影响内部机器正常的访问互联网与教育网的应用;同是对外部访问内部的服务器响应速度也会有相应的影响,而随着网络应用的不断丰富,其处理性能将成为整个内部网访问互联网用教育网的的瓶颈;
l 原有的联想防火墙不支持功能模块的扩展功能,对于在网络与安全功能方面不断发展的今天,限制了对于网络系统的拓展。对于网络功能与安全的扩展性有很大的限制。
l 原有的联想防火墙不支持基于IPSEC VPN与L2TP VPN功能,不能实现远程移动用户访问内部网络资源。天融信防火墙支持标准IKE和IPSec协议VPN,客户端通过远程拨号到防火墙,建立一条基于IPSEC安全协议加密的安全隧道,通过这条隧道实现对内部资源访问。
l 原有的联想防火墙基本上没有相应的售后服务,即使有相应的售后服务,也不及时,用户网络故障解决的实时性得不到体现;
l 办公网内部没有对内部服务器进行严格的划分,对内部服务器区域没有采取相应的访问控制措施,内部服务器可能会发生非授权的访问行为;
l 在互联网出口处,缺乏相应的网络病毒发现、预防处理手段和机制;
l 对各种蠕虫、木马、后门、漏洞、间谍软件等攻击缺乏相应的防御能力;
l 对各种种类繁多的垃圾应用(网络视频等)、流行P2P/IM(BT、电驴、QQ、MSN等)、热门游戏的缺乏过滤和控制的措施和手段;
l 对DOS/DDOS等攻击防卫能力较差;
l 对内部办公用户的上网行为缺乏相应的审计及管理的手段和工具;
l 对核心服务器没有进行重点保护;
l 对提供对外服务的WEB服务器没有采用安全防范措施;
l 对外部用户没有严格的身份认证措施;
l 没有完整的信息安全防御体系;
l 没有对内部人员进行充分的安全培训,而可能导致人为的安全隐患。
该案例已经成功实施完成,因为首先了解分析了用户的实际网络环境,又结合用户的实际情况提出建议,用户反映良好。