随着信息化进程的深入,网络安全问题已成为信息时代人类共同面临的挑战,对于网络安全来说基本上可以从两个不同的角度做出解释,即信息安全和控制安全。要想让网络安全真正做到“滴水不漏”,除了要使网络安全、可信之外更要达到可控、可管。
为了营造“高速、稳定、可控、可管”的健康网络环境,各大网络设备厂商均在着力报告自己的网络解决方案,而作为国家重点扶持的教育领域,校园信息化建设则以人数庞大、架构复杂多样、网络环境不易管理成为网络厂商难以攻克的一大难题。
2006年7月,集美大学在校园网升级改造工程之初,就将网络安全就作为重要的指标纳入整体方案,采纳锐捷网络提供的GSN全局安全网络解决方案。“在采用GSN后,我们明显发现网络内的各类安全问题和病毒直线下降,网络的安全性和稳定性得到了空前提高。”集美大学网络中心主任李斌奇如是说。
在网络改造前,集美大学的校园网络状况十分的混乱:出口堵塞、蠕虫爆发、ARP欺骗导致的大规模断网时有发生,更为严重的是这些网络问题很难查到根源,问题发生后经常需要集美大学的网络中心老师对交换机进行排查,或为反复发作的病毒疲于奔命。而锐捷网络对集美大学校园网进行升级后,依靠整体的网络解决方案,集美大学不但做到了对病毒、恶意攻击的封杀,更能够明确地知道问题出在哪里,通过GSN全局安全网络、SAM身份认证计费系统、万兆骨干网络“三刀”斩断了安全隐患,升级彻底改变了以往“剪不断,理还乱”的固有问题,为集美大学提供了高速稳定、可控、可管的新一代校园网络环境。
一刀——“切枝”
集美大学实施的GSN系统实现了对全网所有的安全事件、网络病毒攻击行为、用户行为和用户主机安全信息的深入分析和全局监控。在实时监测的基础上,通过安全联动,网络中心的老师可以在第一时间将网络上存在的异常现象的机器通过接入层,隔离到安全修复区域或自动阻断异常数据流,使得网络异常现象完全不影响全网的运行。
网络改造完毕后,GSN对网络内的安全事件和网络病毒进行了有效抑制,在GSN全局安全解决方案中,将SMP作为一个可信任的第三方,通过SMP来提供正确的ARP信息,并将正确的网关ARP信息下发至安全客户端进行静态绑定,将正确主机的ARP信息发送至网关,生成受信任ARP项。从系统提供的安全时间统计报表来看,ARP欺骗、蠕虫病毒等安全事件已经较部署前有了大幅度的减少。
前段时间,“熊猫烧香”让百万台电脑纷纷“中招”,正在网管不断重启交换机、用户不断重新安装系统时,“熊猫烧香”在集美大学,处于一种完全被动的状态,集美大学网络中心技术主管陈伟斌回忆到:“最开始我们压根不知道‘熊猫烧香’这回事,即使是在网络上已经传得沸沸扬扬的时候,我都还没怎么注意,直到几个别的院校信息中心的同学给我打电话,说他们那边的网络因为‘熊猫烧香’而几次瘫痪,要我注意的时候,我才开始留心。”
这第一刀的“切枝”真正实现了病毒来袭也能“斩得断”,为集美大学校园网营造了一个相对安全的网络环境。
二刀——“断根”
依靠锐捷网络独有的SAM认证计费系统,集美大学实现了全体学生宿舍、教师宿舍、办公和公共机房的身份认证。该系统基于802.1x技术,对用户的身份和IP、MAC、交换机端口,交换机IP等信息进行严格绑定,一旦出现问题,可以迅速追查到人。以往集美大学中普遍存在的不知道是什么类型的安全问题,更不清楚这个问题到底出在哪里的网络状况已经得到了根本改善,“理还乱”的窘境已经不复存在。SAM身份认证使集美大学网络中心的老师们能够对问题“刨根问底”,并一刀切断。
三刀——“塑形”
综合考虑集美大学网络发展的现有状况,锐捷网络对骨干网络也进行了侧重以万兆以太网技术的网络改造。规划后的校园网络既切断了病毒造成的诸多危害,实现了网络的可控、可管,又以万兆以太网技术和支持IPv6协议的网络架构为集美大学营造了高速、稳定的网络环境。
本次校园网建设,实现了全网统一认证和全局安全部署。通过GSN系统,从接入层就对用户和计算机进行安全审计,只有合法用户和健康的计算机才能进入校园网。在汇聚层部署了IDS,负责全网所有安全事件的侦测和向RG-SMP平台上报,根据网络安全事件的不同,自动采用相应的策略进行响应,做到网络安全监测与网络接入控制联动,网络控制措施与用户信息互动。
可以说,网络安全建设和管理水平高,达到了全省乃至全国高校领先水平,校园网建设真正朝着“调整、稳定、安全、可控、可管”的目标迈进着。
“切枝-断根-塑形”不仅仅对于高教行业,对于其他行业这三刀同样有效。由制定标准、异变隔离、线下修补造成的全局安全,使网络安全不再是事后弥补,而是预防、监治为一体的健康型新网络。
GSN使用前后-安全事件数据
2007年1月10日—2007年1月23日全部安全事件发生次数