安天哈爾濱工程大學安全校園網絡案例_安全白皮書_網絡_IT專家網

　　哈爾濱工程大學已經走過了半個多世紀的輝煌歷程，作為一所國家重點建設的現代化綜合性大學，哈工程必須建設安全高效的網絡來保證其正常業務的進行……

　　客戶背景

　　自1953年陳賡從戰火紛飛的朝鮮戰場被召回創建中國人民解放軍軍事工程學院(簡稱“哈軍工”)以來，哈爾濱工程大學已經走過了半個多世紀的輝 煌歷程。從創建起就是國家重點建設對象的哈工程，目前已經發展成了以“三海一核”(船舶工業、海軍裝備、海洋開發、核能應用)為主體，擁有本科專業50 個，碩士學位授權點93個，博士學位授權點25個，博士后科研流動站11個的綜合性大學。相信在“大工至善、大學至真”校訓的指引下，弘揚光榮傳統，堅持 “三海一核”辦學方略，哈爾濱工程大學必將在未來取得更加輝煌的成績。

　　客戶網絡環境

　　作為一所國家重點建設的現代化綜合性大學，哈工程已經全面實現了教學、科研計算機網絡化的應用與管理，其校園網建設的特點在于：

　　1、網絡建設起點高，采用當前國際先進的萬兆骨干網，全部采用光纖連接，出口帶寬理論上可達千兆;

　　2、校園網信息點覆蓋廣，是典型的大規模復雜網絡，校園網全面覆蓋教學、科研、圖書館、后勤、學生宿舍，服務對象廣泛，并全面實現校內辦公自動化，實IP地址達到8000多個，網絡節點超過10000個，網絡用戶高達30000余人;

　　3、網絡結構規范、清晰，網絡設備先進，便于管理;

　　4、雙出口，實現了與CERNET、INTERNET的互聯;

　　5、雙核心，可實現冗余備份和負荷分擔，保證網絡的穩定運行;

　　6、已建好IPv6的基礎環境，可隨時采用最新網絡技術。

　　以下是哈爾濱工程大學校園網絡拓撲圖：

　　復雜巨型系統的脆弱性

　　1、由網絡規模擴大帶來的脆弱性

　　由于結構復雜、地理位置廣泛、節點眾多、部門分割等諸多因素都在加重管理成本，而管理人員、設備又不不能無節制的擴張，因此網絡的復雜性地提升將使其可管理性呈幾何級數下降。

　　2、由網絡的隱性出口導致的脆弱性

　　復雜巨系統網絡的規模的第一個關聯反映是沒有辦法確保信息出口的唯一性，龐大的網絡使每個節點都可能成為數據交換的原點。通過撥號上網、優盤、移動硬盤，光盤等方式導致向網絡內部進行信息傳遞的情況比較普遍。使得網絡外部的病毒和攻擊能夠繞過一般的防范措施滲透進入網絡系統內部，對系統信息安全造成危害。

　　3、由網絡帶寬增加帶來的脆弱性

　　由于哈爾濱工程大學網絡帶寬較大，主干達到萬兆，出口理論上可達千兆，桌面接入速度為百兆，并且隨著網絡基礎設備建設投入的增加，帶寬還在進一 步提高。一旦內部節點出現問題，如對外的病毒掃描或DDoS攻擊等，就有可能對網絡核心層造成強大壓力。同時，一般的安全設備則已經無法在這樣一個高速運 行的網絡上進行有效的網絡病毒和攻擊的監控過濾。

　　4、游離節點眾多而帶來的脆弱性

　　哈爾濱工程大學組織機構龐大，人員眾多，組成復雜，既包括大量的學生、教師;也包括了很多相對獨立的科研人員、后勤人員和行政管理人員。這些人 都有可能是校園網的使用者，很難形成統一的行政管理制度來約束各種網絡用戶的使用行為和習慣，因此很多網絡節點處于不可控的游離狀態，而這些游離節點的數 量巨大，不收斂，使這些游離節點處于不可管理狀態。

　　以上這些原因導致復雜巨系統網絡的可控性下降，安全脆弱性上升，同時網絡的安全形勢面臨著嚴峻挑戰。

　　客戶網絡安全需求分析

　　據統計，全球安全事件的94%都與病毒相關。經過20多年的發展，目前網絡病毒成為了病毒的主流形態，它的傳播不再局限于一種方式，而是通過多種多樣的方式傳播，很多病毒都是集大成者，一個病毒就能完成RPC攻擊，管理員口令猜測，DDOS攻擊，信息竊取，木馬駐留，共享攻擊，停止防毒軟件……。而且一旦網絡病毒爆發，它也不再僅僅是破壞正常文件，而常常是導致網絡癱瘓、機密信息丟失，危害越來越嚴重。

　　作為有軍工背景的全國重點大學—哈爾濱工程大學，保證網絡的暢通和涉密項目資料的安全是其最需要考慮的部分。經過與哈爾濱工程大學校園網的管理 者和用戶的深入交流，并根據以上對其大規模復雜網絡特點和安全現狀的分析，安天專家與哈工程相關領導一致認為，其信息系統的安全建設目標應集中為：

　　1、保證涉密節點的安全性

　　2、保證科研相關節點的穩定性

　　3、保證日常辦公網絡的暢通性

　　4、對于安全事件具有可追溯性

　　5、對于終端桌面實現集中管理

　　6、對于游離節點具有隔離能力

　　7、網絡具有快速恢復能力。

哈工程大規模巨型網絡安全解決思想

　　1、統一監控，有效響應

　　對于復雜巨系統網絡，不可能像傳統安全模型那樣采用靜態隔離法達到安全，其根本上是要達到一個動態的應用與安全的平衡。對于這種大型不可控網，首先要肯定病毒和其他安全威脅在的無法避免，因此，我們應該重點考慮以下幾個方面：

　　(1)大規模病毒疫情爆發前能夠做到預警

　　(2)大規模病毒已經爆發和其他安全事件產生后的準確定位。

　　(3)獲得宏觀層面觀測,網絡上病毒疫情和安全全景視圖的能力

　　(4)獲得盡可能多的可控節點的數量

　　(5)獲取對不可控節點的偵控和反映能力。

　　(6)快速有效的形成整體安全策略

　　鑒于上述需求，我們在網絡出口處部署了全球首款骨干網絡病毒監控設備VDS，實現了高速、高效、實時的出口級檢測，并能通過網絡行為對未知病毒 實現預判、預警。VDS以旁路方式接入網絡，不會影響網絡速度，率先解決了現有安全設備不能在網絡條件下進行高速準確檢測病毒的全球性難題，是目前唯一能 夠應用于電信級骨干網絡的病毒監控設備。

　　此外，安天提供VDS 客戶端模塊(L模塊)實現海量用戶節點授權保護。L模塊系統包括病毒掃描查殺、病毒監控、主機防火墻、主機IDS、安全配置優化，安全消息通告等環節。

　　2、分布防御

　　我們將工程大學的重要數據區、各教學樓、重要辦公區和多媒體教學區按不同的安全級別分成不同的安全區域，針對不同的安全區域的具體情況，采取不同的安全措施。最終使用安天主機保護系統(服務器版和工作站版)和VDS(L模塊)實現了對各區域節點的有效管理。

　　                      圖1：哈爾濱工程大學校園網子網劃分情況示意圖

　　3、集中管理

　　為了對網內所有安全環節進行集中管理，安天在用戶主交換機處接入安天安全管理中心(ASOC)，采用專屬硬件設備接入網絡，管理員通過web即 可實現對系統的管理。ASOC具有設備和節點管理、病毒庫升級分發、終端系統網絡狀態監控和管理、病毒及網絡事件統計、流量統計、全網分析報表等功能。

　　安全管理中心同時對VDS和安天主機保護系統進行管理，實現安全策略和病毒庫分發以及信息匯總。通過安天安全管理中心，網絡管理員可以了解到網 內計算機的當前狀態，匯總各終端中的病毒疫情和安全態勢，并且對網絡上所有計算機進行統一升級，全面保護信息系統的高可用性，保障各支撐系統和業務系統高 效、穩定的運行。從而做到有效的統一管理。

　　                       圖2：安天校園網安全解決方案網絡拓撲示意圖

　　實施效果評估

　　經過實踐論證，本方案在不改變原有網絡結構和帶寬的基礎上實現了多種信息安全，保障了哈爾濱工業大學校內網絡的安全，達到了以下幾個目標：

　　1、VDS提供了強大的實時檢測功能，便于網絡管理員第一時間了解網絡中的病毒感染情況,提供實時的病毒紀錄，使得用戶要求快速高效查毒殺毒的需求得以滿足。

　　2、對網絡數據以線速實時進行惡意代碼特征匹配，全面監測各種蠕蟲病毒、惡意代碼與攻擊行為，可發現未知病毒，并快速告警。

　　3、保護脆弱的服務，通過過濾不安全的服務，防火墻可以極大地提高網絡安全和減少子網中主機的風險。

　　4、可以檢測蠕蟲病毒的傳輸，還可以檢測它們的掃描與攻擊行為，并提供了多種形式的病毒排行榜，可以方便快捷地檢測蠕蟲病毒的各種行為。例如，在檢出次數排行榜中又包括了掃描攻擊排行榜、郵件蠕蟲排行榜以及其他蠕蟲和其他病毒排行榜等等。

　　5、提供集中的統一安全管理，管理員可以通過管理控制臺對內部和外部用戶指定統一的安全策略。

　　6、提供強大的安全日志記錄和統計，管理員可以通過各種安全日志對網絡進行實時監控和統計分析，及時發現網絡的各種安全事件。