彩票app下载

|【退出】

校园网安全历史和现状

2015-08-28 中国教育网络

  国内的校园网的安全历史大致可分为三个阶段:从2001年到2006年的以网络边界防护为主的第一阶段,从2006年到2013年的以用户端控制结合边界段防护的第二阶段以及从2013年到如今的以信息安全防护为主的第三阶段,三个阶段都是根据当时的安全需求来划分的。

彩票app下载  我们知道,国内大部分校园网始建于上世纪90年代的中后期,建设之初主要的目标是将校园网接入互联网,并没有什么网络安全的概念。直到2001年的7月18日红码(CodeRed)蠕虫在全球开始爆发。大量的扫描流量拥塞了网络交换机的出口,使得整个校园网处于瘫痪状态。之后的slammer蠕虫、冲击波蠕虫等都给校园主干网的运行带来了巨大影响。因此第一阶段的网络安全需求孕育而生,如何有效保障校园网的主干网络正常运行成了当时安全的主要述求。通过在边界上部署防火墙及IDS设备来及时发现蠕虫的攻击行为并使用防火墙规则来阻断外部蠕虫的攻击是当时不错的选择,所以防火墙和IDS设备成了这个阶段校园网安全建设的标配。

  第一阶段的安全运维方式维持了很长一段时间,直到2006年才被打破,随着地下黑客产业链的发展,黑客的攻击转为以盈利为目的,原本那些不能带来利益的蠕虫传播方式(扫描传播)被黑客摒弃了,取而代之的是通过网页挂马定向传播的木马病毒,这类木马病毒的传播方式不会直接影响校园主干网络的运行,但是会给用户个体及局域网带来安全威胁。一个典型的例子就是木马为了更大范围地窃取用户信息,会使用一种叫ARP欺骗的方式来截获局域网的流量,这类ARP欺骗攻击在窃取用户信息的同时很容易导致局域网的网络瞬断,并且由于攻击源于内网,边界上部署的入侵检测设备和防火墙统统失效。

  因此,校园网安全运维新的需求产生了,即如何在保障主干网络正常运行的情况下还能兼顾局域网内的安全,避免因为一个主机出现的安全问题影响到整个局域网的正常运行。这个阶段校园网的安全建设重心从保障主干网络的正常运行扩展到保障用户终端的安全,建设者们希望通过技术手段构建出一套完整的校园网安全体系来保障网络和用户的安全。所涉及的技术手段包括增加用户端的安全准入机制(NAC、802.1x认证、DHCPsnoop等)从源头杜绝可能的内网攻击源、部署统一的终端病毒防护系统及补丁更新服务增强用户终端的防护能力、加大宣传力度来提高用户的安全意识。校园网第二阶段的安全运维需求维持了很长时间,并且相关的技术也在不停更新,如早期的NAC及802.1x等准入机制在实际使用中都被证明对校园网的适用性不强而逐渐被淘汰。DHCPSnoop,大二层的扁平网络结构等新兴技术得到了应用。从第一阶段的安全需求结束之后,校园网的安全建设很大程度上是属于被忽视的状态,安全并没有作为一个主要的建设目标在建设过程中出现,很多与安全有关的项目都是依托于其他建设项目来实施的,如交换机的DHCPsnoop功能,仅仅是作为整个校园网交换机更新采购时的一个附属功能提出来的。这种被忽视的状态几乎贯穿了整个第二阶段的建设过程,直到棱镜门事件的发生,安全才重新引起了大家的重视。

  从棱镜门事件曝光后,校园网整体安全建设进入了第三个阶段,整体的运维安全也正在进入一个新的升级的态势中。

  在当前阶段,我们看到,随着校园网带宽的升级,目前能直接影响到主干网络运行的攻击已经不多了,而用户端的安全也随着各类安全软件的普及及用户自身安全意识的提高得到了大大改善。因此现阶段安全主要的风险集中在信息系统的运维安全上,学校的网站、各类信息系统和业务系统以及系统里面存储的数据成为了黑客攻击的重点。如何保障相应的信息业务系统正常运转,保护里面的数据不被窃取成了现阶段校园网安全运维的主要目标。由于网站及业务系统必须对外提供服务,传统防火墙基于三层网络端口提供的防护功能起不了作用,因此校园网需要新的具有7层数据分析能力的防护设备(如WAF及下一代7层检测防火墙)来为这些业务系统提供防护。由于目前市场上的基于7层数据检测的设备性能参差不齐,所以购买时可以根据购买的设备的实际能力来确认部署的位置,是直接部署在业务系统前面还是部署在网关上。单纯的靠外部的防护设备并不能完全保障网站及信息系统的安全,更多的还需要从管理角度上去完善。从我们已知的攻击数据来看,大部分被攻击控制的网站并不仅仅是因为其存在安全漏洞,更大的问题是因为它们长期无人管理。因此在硬件建设的同时我们还要加强校园网安全管理制度的建设,最好是从各类信息系统上线之初就对安全作出要求,而不是等出了问题后再来追究,甚至是出了问题还找不到人来解决。