校园网与安全

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,校园网与安全,目 录,网络安全现状,网络安全面临的威胁,校园网络存在的安全隐患和漏洞,校园网安全策略与防范,博华网龙校园网解决方案,博华网龙网络安全服务,博华网龙系列产品介绍,1.,网络安全现状,安全案例,蠕虫病毒 冲击波,(blast),振荡波,netsky,(,网络天空,),大无极 大量变种,垃圾邮件,蠕虫病毒携带 中国第二大垃圾邮件发送国 发送者,部分个人电脑,传播速度快,15,分钟,30,分钟,安全案例,Windows 2000,源码泄漏,Cisco IOS,源码泄漏,?,雅虎,Google,等网站,2,小时内无法登陆,美国当地时间,6,月,15,日早上，美国互联网服务公司,AKAMAI,受到黑客袭击，致使在两个小时的时间里，雅虎、,GOOGLE,和微软等著名企业的网站无法正常登陆。,联网基础设施提供商,Akamai,技术公司近日指出，本周早些时候屏蔽,Google,、,雅虎和其他主要网站的攻击者使用了“蝇网”（,Bot,Network)-,一种病毒怪兽控制的家庭电脑网络。,安全案例,2003,高考题泄漏,广州市考试信息网 被篡改 变成了交友中心,湖南省某高校主页被篡改,安全案例,台湾媒体近日透露，中国大陆黑客成功攻击了阿扁（陈水扁）“总统”的电脑数据库，某些机密文件可能流失。 该报道称，台湾民进党总部的电脑系统受到了中国大陆匿名黑客的袭击，除了阿扁的电脑文件被浏览之外，其它机密信息也可能泄露。,安全案例,CISCO,的攻击包,涉及到,Cisco,的,高低端设备,ssl,的处理缺,“网银大盗,”,病毒,始作俑者是中专生,4,个木马病毒的制造和传播者,窃取资金,4.8,万,俄防病毒公司称发现首例手机蠕虫病毒,这种名为,Cabir,的病毒是一种网络蠕虫病毒，它可以感染运行,Symbian,手机操作系统的手机,安全案例,软件缺陷,操作系统 漏洞,Windows IOS,Freebsd,Openbsd,Netbsd,Linux Mac,os,Hotmail yahoo -,webmail,Adobe Acrobat Reader CVS,等,Email,Web,ISP,门户网站,E-Commerce,电子交易,复杂程度,时间,Internet,变得越来越重要,网络安全问题日益突出,混合型威胁,(Red Code,Nimda,),拒绝服务攻击,(Yahoo!, eBay),发送大量邮件的病毒,(Love Letter/Melissa),多变形病毒,(Tequila,),特洛伊木马,病毒,网络入侵,70,000,60,000,50,000,40,000,30,000,20,000,10,000,已知威胁的数量,CERT,有关安全事件的统计,计算机紧急响应组织（,CERT,）,年份,事件报道数目,1988,6,1989,132,1990,252,1991,406,1992,773,1993,1334,1994,2340,1995,2412,1996,2573,1997,2134,1998,3734,1999,9859,2000,21756,2001,52658,CERT,有关安全事件的统计,年度,报道事件数目,与软件漏洞相关事件数目,2000,21，756,1090,2001,52，658,2437,2002,82，094,4129,2003,137，529,3784,亚洲,28%,欧洲,32%,美洲,35%,我国网络安全现状,硬件设备上严重依赖国外,网络安全管理存在漏洞,网络安全问题还没有引起人们的广泛重视,安全技术有待研究,美国和西方国家对我国进行破坏、渗透,启动了一些网络安全研究项目,建立一批国家网络安全基础设施,国家重视信息安全工作,2003,年,27,号文件,国家信息化领导小组关于加强信息安全保障工作的意见,2004,年初,坚持管理和技术并重,努力从预防 监控 应急处理和打击犯罪等环节和法律管理技术人才等方面,采取多种技术和管理措施,全面提升信息安全的安全防护能力,.,实行等级保护和风险评估制度,2.,网络安全面临的威胁,网络安全威胁的几种类型,冒名顶替,废物搜寻,身份识别错误,不安全服务,配置,初始化,乘虚而入,代码炸弹,病毒,更新或下载,特洛伊木马,间谍行为,拨号进入,算法考虑不周,随意口令,口令破解,口令圈套,窃听,偷窃,网络安全威胁,线缆连接,身份鉴别,编程,系统漏洞,物理威胁,为什么网络安全变得非常重要,进行网络攻击变得越来越简单 中学生 脚本小子,攻击程序化,自动化 。,越来越多的个人或单位连入,Internet,。,使用有漏洞的操作系统,并不是所有的用户都具有基本的安全知识和安全习惯。,3.,校园网存在的安全隐患和漏洞,高校校园网络特点,大规模 高速的网络环境,复杂的应用和业务系统,不同使用水平,活跃的用户,大量的非正版软件和电子资源,资金有限,计费政策 希望以网养网 可管理,高校网络的威胁,计算机系统漏洞普遍存在,对信息系统的安全构成了重大威胁,计算机病毒 蠕虫泛滥 影响用户使用,内部用户的攻击行为,校园网用户对资源的滥用,垃圾信息和不良信息的传播,P2P,的网络的盛行,校园网络存在的安全隐患和漏洞,病毒攻击,最流行的蠕虫病毒、冲击波、震荡波等感染校园网的,web,服务器，严重时会造成网络瘫痪。,“黑客”行为,由于网络的开放性及技术的公开性，一些学生出于好奇心，蓄意破坏和为了使自己获得某种非法利益等目的，利用网络协议，服务器和操作系统的安全漏洞以及管理上的疏漏非法访问资源,删改数据,破坏系统。,校园网络存在的安全隐患和漏洞,管理欠缺,校园网上的安全威胁也来自管理意识的欠缺。管理机构的不健全，管理制度的不完善和管理技术的不先进等管理因素。,数据泄露,校园网上运行各种数据库系统，如教学管理系统 ，学生成绩管理系统 ，校园卡管理系统 ，试题库等。由于安全措施不当，使这些数据库的口令被泄露，数据被非法取出和复制，造成信息的泄露，严重时可导致数据被非法删改。,校园网络存在的安全隐患和漏洞,校园网内部也是很大的安全隐患，内部用户对网络的结构和应用模式都比较了解，因此来自内部的安全威胁更大一些。现在，黑客攻击工具在网上泛滥成灾，而个别学生的心理特点决定了其利用这些工具进行攻击的可能性。,校园网络存在的安全隐患和漏洞,目前使用的操作系统普遍存在,安全漏洞,，对网络安全构成了威胁。如,WINNT/WIN2000,的普遍性和可操作性使得它也是不安全的系统：本身系统的漏洞、浏览器的漏洞、,IIS,的漏洞等等。,随着校园内计算机应用的大范围普及，接入校园网节点日渐增多，而这些节点大部分都没有采取一定的防护措施，随时有可能引起病毒泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。,4.,校园网安全策略与防范,P2DR,：,动态安全模型,动态网络安全防护策略,网络安全策略,业务需求,威胁及风险分析,国家,行业,安全相关的法律法规,业务系统安全策略,个人安全策略,安全技术标准化策略,管理策略,风险评估与安全登记划分,计算机系统与网络安全策略,物理安全与环境保护策略,管理安全规范,教育与培训策略,标识,认证策略,信息保密与完整性策略,授权与访问控制策略,抗抵赖策略,安全审计策略,入侵监测策略,病毒防范策略,响应与恢复策略,容错与备份,用户角色,级别,用户账号及认证方式,防火墙访问控制链表,.,局部可执行安全策略,全局自动安全策略,组织安全策略,校园网安全策略与防范,校园网络安全的对策,网络安全隔离,（防火墙）,网络监控措施,（入侵检测系统部署）,网络安全漏洞,（漏洞扫描系统、系统及时升级）,网络病毒的防范,（网络版杀毒产品部署）,安全管理,校园网安全策略与防范,上网安全问题和技术防范,及时更新和升级杀毒软件,及时下载安装系统升级补丁程序,设置高强度口令，并定期更换,经常备份重要数据,定期对计算机进行病毒检测、清除,采用防火墙、入侵检测等安全产品,不打开陌生电子邮件,远程访问采用,VPN,进行加密传输,5.,博华网龙校园网解决方案,博华科技简介,长沙博华科技有限公司是一家专业从事计算机网络信息安全技术研究、产品开发、安全服务、全部拥有自主知识产权的高新技术企业。,公司依托中科院雄厚技术实力，拥有一批海外归国留学生、网络安全技术专家，其中博士,2,名，硕士,5,名，研发工程师,31,名，并在北京、西安设立研发队伍,密切关注国际网络安全动态，保证了公司产品技术主流在网络安全领域始终保持领先水平。,公司通过采用多种国际先进的互联网网络安全技术和开发工具，把实时网络监控与响应和数据库与电子商务技术相结合，根据中国网络企业网络应用模式，能提供从管理、审计、访问控制、授权、加密、传输、内容过滤、防毒到综合数据分析报告等功能一体化的网络安全解决方案，帮助客户构建完善有效的网络体系，全面提升客户的核心竞争能力。,公司高级顾问,-,许榕生教授,中国科学院高能物理研究所计算机中心研究员，博士生导师；,联合国教科文组织网络安全工作组中国代表成员；,国务院新闻办,“,国际互联网络新闻宣传系统工程,”,专家组成员；,国家计算机网络入侵防范中心首席科学家 ；,1993,年,3,月主持开通中国第一条,Internet,专线，设立中国第一台,Web,服务器，推出中国第一个,Web,网站，意义不亚于詹天佑修建了中国第一条铁路，被誉为中国互联网的先驱。,用户系统风险分析,用户安全目标分析,安全技术管理规范设计,用户网络结构系统设计,整,体,安,全,解,决,方,案,博华网龙整体安全解决方案,用户网络安全的需求,产品、服务质量保证体系,安全知识培训,网络设备组件的加固与维护,日常检测,漏洞,/,异常攻击事故报告,应急事故恢复,安全中心,风险分析、,制定,/,实施,/,维护安全策略,利用企业的资源最大限度地满足客户的需求！,基于角色的培训,安全动态知识长期培训,主机保护产品,组件加固服务,网络入侵检测产品,漏洞扫描工具,应急服务小组,攻防实验室,安全分析工程师,安全知识数据库维护,典型应用案例：校园网拓扑分析,典型应用案例：,校园网网络现状分析,用户多、业务多，对接入设备要求很高；,端口密度处理能力方面要求较高；,师生住宅通过拨号方式接入校园网内查看资料。,采用双核心交换机的冗余结构务为备份在服务器实验室和多媒体教室等重要应用作冗余链路保证一条线路因意外情况断掉另一条线路立即激活，保证网络畅通；,典型应用案例：,校园网安全需求分析,内部与外部采用防火墙进行隔离；,外部通过访问控制，能访问内部指定区域提供的服务；,采用,VPN,实现对师生与校园网之间通信的加密传输；,能够对内部网络与外部网络之间的通信进行审计；,用入侵检测系统时时检测来自不同节点的非法数据包；,其它安全要求。,典型应用案例：,校园网网络安全设计,传感器,传感器,传感器,传感器,网龙,VPN,网关,网龙防火墙,网龙,NP,防火墙,IDS,管理中心,VPN,客户端,典型应用案例：实现的主要功能,师生住宅与校园网之间的通信加密；,各子网与外部网络的访问控制；,管理中心对各子网安全进行统一管理；,实现网络地址转换（,NAT,），,使内部所有师生都能够访问,INTERNET,；,实现防火墙的双链路及双机热备；,提供端口映射功能，使,INTERNET,用户能访问校园的,WWW,、,E-MAIL,和其它服务；,其它,典型应用案例：安全策略实施,安全策略制定,安全策略实现,安全策略检验,安全策略修改,其它,6.,博华网龙网络安全服务,安全体系,安全服务,安全机制,安全模式,安全分析,安全体系,Iso,-7498-2,安全,服务,保密性,鉴别性,完整性,不可否认性,访问控制,安全机制,加密机制,数字签名机制,访问控制机制,数据完整性机制,交换鉴别机制,业务流量填充机制,路由控制机制,公证机制,博华网龙网络安全服务,一 现状评估,重要系统是否被安全保护,内部网络是否安全,能否防范英特网发出的攻击,安全措施是否存在,安全措施是否被正确执行,博华网龙安全服务体系,二,计划制定,帮助客户理解现存的安全隐患,帮助客户理解潜在的安全隐患,帮助客户了解先进的安全技术,帮助客户确认安全防范的重点,博华,博华网龙网络安全服务,三 方案设计,帮助客户定义安全策略,帮助客户定义安全标准,帮助客户定义安全措施,帮助客户定义内部网络安全结构,帮助客户定义英特网攻击防范结构,博华,博华网龙网络安全服务,四 方案实施,安全方案在小范围的安装和调测,安全方案用户的培训,安全方案在大范围的推广,博华,博华网龙网络安全服务,五 体系运行,确保安全体系长期的稳定运行,确保安全系统的正确配置和维护,对入侵检测进行分析调查,进行周期性的安全漏洞扫描,对安全事件及时的处理,博华,博华网龙网络安全服务,安全服务体系,组织业务与组织文化理解,风险分析,安全计划,信息安全框架,技术、管理、运营控制,信息系统审计,安 全 策 略,业务环境和安全环境监测,博华信息安全服务体系,博华网龙安全系列产品,网龙防火墙系统（,YG-FWS-S,）,网龙 网行为管理系统（,YG-BCS-S,）,网龙入侵检测系统（,YG-IDS-S,）,网龙虚拟专用网关（,YG-VPN-S,）,网龙网络报告中心系统（,YG-SCM-S,）,博华网龙,千兆线速硬件,防火墙,基于网络处理器设计的防火墙系统；,脱离传统的依赖操作系统实现的系统，把主体防火墙功能模块嵌入网络处理器的包处理微引擎中，直接控制处理器进行防火墙包处理；,充分利用现有的公共,IP,网，实现远程接入应用和站点到站点应用，形成虚拟专用网，从而有效地防止信息在网际网络传输中被窃取和修改。,线速防火墙实现方式,NP,网络处理器,ASIC,芯片,FPGA,Cluster,YG-FWS-NP,关键技术,采用分布式设计理念,把关键防火墙功能模块分块封装，分别实现在网络处理器的多个包处理微引擎中，保证绝对线速的包处理速度；把日志管理，配置管理等外围功能模块实现在主机,PC,构架上，便于实现通用的，强大的用户界面。,独立设计的防火墙实现体系,基于网络处理器的硬件特性，及当前主流的防火墙技术。把防火墙的主体功能合理高效的划分为几个高独立性，高可扩展性，高灵活性的子模块，然后根据子模块自身的性能反应和网络处理器中微引擎的分布情况，为每个子模块分配一个微引擎或几个微引擎，尽可能的发挥网络处理器的包处理性能。,YG-FWS-NP,关键技术,高可扩展性,面对突飞猛进的技术变革，唯有可扩展性的系统才能在竞争中立于不败之地，为客户的投资保值，获得最大的商业回报。所以我们在系统设计中始终把它做为一个原则，提供对将来协议的接口支持，如,H.323,等，提供对各种协议的应用代理实现技术的接口，提供多端口的接口，提供未来安全插件的接口。,友好的用户界面,顾客之上的理念就要永远从用户的角度来设计我们的产品，界面是产品跟用户的最直接的接触，界面的是否易用，是否简洁关系到用户对产品的使用效果。因此我们始终从这些角度来设计界面，力求使界面尽善尽美 。,YG-FWS-NP,管理界面,讨论,基于角色的控制,角色 帐号漫游,无线网络,(,Wlan,3G GPRS),安全,及时通讯工具的安全,通过,VPN,联入,CERNET,网内,用户对计费系统的攻击,对代理服务器的限制,DDOS,防范,谢 谢！,