数字校园网络接入控制系统设计及实现.doc

数字校园网络接入控制系统设计及实现 　　摘 要：校园网作为高校基础设施，在日常教学、行政管理、科研活动以及对外宣传方面发挥了重要作用。传统采用身份认证、防火墙、漏洞扫描、防病毒、入侵检测、虚拟专用网等技术来保障网络安全运行的防护办法无法及时调整安全策略以适应新的安全挑战。可配置的基于规则的前置式接入控制系统可以最小化网络安全威胁。本文分析了校园网络目前的安全现状，提出了网络接入控制系统需求，介绍了其实现功能以及部署后的实际效果 关键词：校园网；接入控制系统；网络安全 中图分类号：TP393 文献标志码：B 文章编号：1673-8454（2017）03-0091-03 伴随着网络安全威胁的产生，各高校广泛运用身份认证、防火墙、漏洞扫描、防病毒、入侵检测、虚拟专用网等技术来保障网络的安全运行。但是，这些安全技术均只针对于某一个特定的领域，不能形成完整的安全防护体系，且都是被动防御方式，不能有效保护校园网络和各类信息终端的安全。因此，如何对接入校园网的终端实现从安全认证、IP地址绑定及授权、IP准入直至对上网行为进行实时管控成为校园网络信息安全管理的重要课题，建设一套可配置的基于规则的前置式接入控制系统刻不容缓 一、校园网络安全现状分析 资源共享是计算机网络的重要特性。当前，各高校将大量的视频、语音、文献等教学资料在校园网内部实现共享，但也正是因为这种共享，给网络本身和信息设备带来了各种威胁： 一是操作人员的无意失误带来的。比如：操作人员安全意识淡薄、用户使用不当、系统安全配置不规范、配套规章制度不健全、网络安全培训工作滞后等等，都会给网络信息安全带来隐患 二是人为的恶意攻击带来的。人为的恶意攻击是校园网络面临的最大威胁，根据攻击所作用于网络的协议层不同，校园网中常见的攻击行为如表1所示 三是系统漏洞和软件“后门”带来的。各类硬件或软件在设计开发和系统部署过程中，部分厂商没有充分考虑安全性和可靠性，同时为了管理或者在出现问题时能方便跟踪查找，无意或有意的留下了部分漏洞、“后门”等，这些也成为了攻击的突破口 虽然在校园网建设时，各高校通常会部署入侵检测系统、防火墙、杀毒软件等来作为网络安全防护手段，但这些手段功能单一，而且采用被动防御方式，无法完全抵御来自各个层面的恶意攻击，再加上部分防护手段（如杀毒软件）虽然部署在校园网络的信息终端，但由于长时间没有升级或没有及时安装系统补丁，给校园网络安全带来更为严峻的挑战 二、网络接入控制系统设计需求 针对校园网络安全现状，迫切的需要建设一套“主动防御、整体安全”的网络接入终端控制系统，部署后，应达到以下目标： （1）不符合安全要求的终端将无法接入校园网 （2）没有授权的非校园网用户无法访问校园网内部信息资源 （3）合法用户只能按权限访问相应等级的网络资源，并对信息终端所必需的防护手段（如系统补丁、杀毒软件）等进行检测，能自动升级更新，提高网络安全防护等级 （4）提供网络安全状况评估，并具备一定的数据分析与处理能力，为校园大数据应用提供基础数据 为此，网络接入控制系统应具备以下三项基本功能： 1.用户身份认证 通过对MAC地址、IP地址、硬盘序列号等多重绑定，为接入校园网络的每个信息终端分配一个用户名，用户终端在接入校园网之前，只有通过用户身份认证才能合法访问网络，为在源头上控制信息终端访问网络打好基?A 2.终端安全状态检测 对各类终端的安全性能进行检测，主要包括操作系统完整性检测（如漏洞扫描、自动更新、补丁安装等）、必装软件检测（如杀毒软件）、非法安装软件检测、防病毒软件版本、病毒特征库版本检查、应用软件黑白名单检查、共享目录检查、分区表检查等功能。通过对终端安全性能的检测，从而抵御由于信息终端本身安全问题带来的攻击行为 3.网络安全评估 根据身份认证结果和网络终端安全检测结果，限制不同的访问权限，让用户在接入网络后，只能访问自己权限之内的服务器、网络区域等，同时，如果终端通过身份认证，但安全性能低，要能引导低安全性能终端自动升级，提高安全水平 另外，还要根据身份认证结果和网络终端安全检测结果，将某些关键数据存储在系统服务器中，并进行简单的图表分析和处理，给网络管理员直观的、可视的网络安全性能结果 三、网络接入控制系统功能及应用 某高校于2010年重新建设本校校园网网络，该网络主要用于校园内部教学和办公，不与互联网相联。在建设初期，充分考虑系统兼容，所有交换机均选用锐捷系列产品，包括2台RG-S8610核心交换机，4台RG-S5750万兆汇聚交换机，1台RG-S2951XG千兆汇聚交换机，47台RG-S2951XG网络交换机，44台RG-S2924G及3台STAR-S21