网络安全产品的协同应用――构建人性化校园网安全问题辅助决策平台
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络安全产品的协同应用――构建人性化校园网安全问题辅助决策平台范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:目前随着局域网规模的扩大和各种网络安全问题的出现,大家对网络安全问题越来越重视。针对不同的安全问题,各种各样的网络安全产品不断的涌现,往往一个单位购买或自己开发了很多安全产品。但是大部分的安全产品都独立运行,且功能上会有重复。如果通过一个中间平台能让它们之间协同操作,发挥各自优势,及时发现网络中的问题主机及主机使用者的详细信息并做进一步沟通、处理,构成一个主动服务式管理的网络安全系统。这样就大大提高设备的利用率和使用价值,对网络中出现的安全问题能做到及时发现及时处理,将其消灭在萌芽状态,避免发生重大损失。笔者结合自己单位的实际情况,描述了一个安全问题辅助决策平台,并分析了其构成模块和处理流程。
关键词:网络安全;协同;辅助决策
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)11-20237-03
1 校园网安全管理现状
随着局域网规模的不断增大,以及网速的快速提升,原来主要在广域网爆发的病毒攻击等行为,成为了局域网面对的主要安全问题,对局域网的稳定运行造成极大影响。当然随着安全技术的发展各种各样的应对的技术措施和管理措施相继出现,起到了相当关键的作用,但是很多具体的技术措施和管理措施的实施结果却并不如人意。具体分析如下:
目前的主要局域网应用的安全措施主要有以下两类:
1.1 针对使用者的管理和培训措施
主要是针对网络主机的使用者,制订出过各种各样的关于网络运行及安全的规章制度,这是非常有必要的,例如大部分都会涉及到下面的内容,要求局域网用户首先要注册后接入局域网,入网的主机必须安装杀毒软件,保证杀毒软件实时监控有效,即使升级到最新版本及时修补操作系统补丁,设置复杂的密码口令,不要浏览不明网站,对用户要定期安全培训,如果谁出了问题会怎样等等,如果得到彻底的有效的执行,那安全问题出现的几率将会降低很多,但是这些制度对于计算机或相关专业基础的用户来说可能理解和执行的很多好,但是目前大部分的用户对于这些问题并不明了,比如什么是病毒、杀毒软件,如何安装、卸载、修复、升级,何为复杂口令密码,什么是操作系统漏洞怎样打补丁,操作系统或杀毒软件出了问题无法打补丁,杀毒软件无法升级感染了病毒的时候,自己还不知道出了问题,这是主机出现安全问题的主要原因,也是局域网安全的主要隐患。网络用户对于这些规章制度里的基本名词概念都不明白当然也少有人主动去学习,关于定期举办培训,牵扯到网络用户的基础知识水平高低不平,人员数量太多培训的效果去这样必然导致制度得不到很好的贯彻执行,可能有的规章制度会规定像通告、停机惩罚措施,这样的措施从使用者角度势必会导致正常的网上办公、学习等正常业务的中断。这样去惩罚那些根本就不明白这些措施是何意义,又不知如何执行的用户,必然会导致网络管理者和使用者的矛盾。
1.2 应用各种安全技术手段主要有以下两种
1.2.1 针对主机的安全技术
主机是局域网的构成元素,所有的网络安全问题绝大多数来自主机,解决了主机安全问题也就解决了安全问题的绝大部分,但是目前的效果都不尽人意:
安装网络版杀毒软件,防火墙,杀木马软件和流氓软件清除等安全软件可以查杀拦截大部分的病毒、木马和流氓软件,但是由于目前查杀技术的滞后性,病毒木马流氓软件经过加密,加壳等处理后,有相当多的病毒木马杀软件无法识别,有些识别出来却无法清除,并且很多病毒木马会首先破坏掉这些安全软件使其无法正常工作。使安全软件形同虚设。
修补系统漏洞补丁,这个比杀毒软件让很多用户更加陌生的安全措施,目前的各种安全软件大部分都有修补系统漏洞的功能,但是由于是新增功能使用率并不高。微软对盗版的打击使很多盗版用户无法修补补丁,这就造就了局域网内很多机器都有严重的系统漏洞。
对arp攻击的处理,单独把arp攻击拿出来,是因为它影响范围的广大和攻击方法的特别,使其与其他安全问题区分开来,目前主要的解决办法是ip-mac双向邦定,安装arp防火墙等措施,ip-mac双向邦定是比较有效的办法,但是目前有相当多的局域网交换机并不支持此功能,如果网络规模很大会造成工作量激增,仅在主机上邦定ip-mac或安装防火墙效果并不理想。
1.2.2 针对网络设备的安全技术
目前应用最为广泛的是在交换机上关闭病毒常用端口、防火墙、认证准入、流量控制等措施。对于外网对内网的攻击可以直接拦截,但是对于内网中对内或对外攻击的主机,目前这些设备的主要做法是直接拦截丢弃,或为了防止对内网主机的攻击直接断开问题主机的网络连接,可能这些攻击是恶意的或者是感染病毒导致的,如果是在用户不知情的情况下因为感染病毒导致,这样势必会导致用户的正常业务中断,而自己并不知道,还可能会误以为网络不稳定,故障等,将自己业务损失的责任算在网络管理者的头上,很容易造成误解。如果内网问题主机很多,而安全设备大都在内网的出口,一些主机发送的无节制的病毒连接,病毒流量,会对出口设备造成压力,甚至问题严重会耗尽cpu或带宽,导致出口堵塞。
经过以上分析可以看出,目前的网络管理从规章制度也好还是技术措施也好都存在着管理与服务脱节的问题,网络技术属于一种新事物,目前刚刚普及时间不长,让这些普通用户短时间内自己去根据这些规章制度和操作技术,去发现、认识、解决一些安全问题是不现实的,可能自己的主机已经感染病毒,可是自己并不知道,造成了严重网络问题以后经管理员查找才确认那台主机有问题然后予以解决,但是这已经影响了正常业务。解决安全问题仅仅有规章制度和技术措施使不够的,关键是这些安全措施和规章制度需要得到网络用户的最大程度的贯彻执行,才能发挥效力,所以需要一个系统实现帮助用户对主机安全问题实时发现,实时提醒和问题解决帮助系统,这样可以将安全问题解决在隐患或者萌芽状态,用户还可以了解到到底哪里出了问题,学习到如何解决,整体提高网络用户的安全问题认识和操作水平。
2 平台的构建
针对以上问题考虑利用现有网络设备构建一个安全问题早期预警提示平台,将这些安全措施通过一个平台实现相互协作,此平台可以实时读取各安全相关系统的数据,实时发现问题,分析识别,确认问题后----向内网问题主机通过客户端发送警告消息,包含问题名称、类别、症状、危害及处理办法和进一步详细信息的链接和咨询电话,并同时向管理员报告,保存此日志, 如用户没有在规定时间内处理将强制注销登录一次如还不处理可根据安全问题严重等级选择断开链接、强制关机等措施。
如图示:
2.1 利用现有各种软件和设备提供目前主要的几种主机安全问题的信息
(1)网络扫描信息,在网络上扫描目标主机是网络攻击者和网络病毒、木马寻找攻击传播对象的主要手段,所以识并阻断恶意扫描是阻断病毒和攻击的重要手段。
(2)异常广播数据包信息,大量异常广播数据包也是主机感染病毒后攻击其它机器的显著特点,可以利用集成在认证客户端的检测模块来搜集。
(3)识别网内ip通过网络出口的tcp连接数、udp数据包数和流量,识别出异常ip
(4)arp攻击的识别。可以通过三层交换机上的一个mac对应多ip的异常现象来识别,然后通过计费系统客户端读取的真实ip―mac来确定问题主机的详细信息。
(5)识别主机是否安装网络版杀毒软件,及是否正常运行。