安天校园网安全解决方案

　　校园网结构层次复杂，终端节点基数巨大，因病毒引起的出口瘫痪和基层崩溃事故时有发生，由于校园网在规模、管理、需求上均有鲜明的自身特色，因此必须有量身定做的安全解决方案。目前中国主流高校的校园网基本都成长为千兆甚至万兆核心带宽，节点过万的大型网络,加之各学院、各部门信息建设分割等诸多因素，使校园网成为了一个典型的由各院系分散建设、由网络中心集中运维的尴尬局面，整个校园网络的构成一个准复杂巨系统，网络安全的可管理性呈几何级数趋势下降。

　　校园网管理主要面临的两大任务是网络运维的保障和实体节点的保障。

　　从网络运维的角度来说，由于校园网普遍达到百兆甚至千兆到桌面，同时桌面节点通过2-3级交换设备级联就到达了核心层甚至出口，因此内部感染节点持续扫描、攻击等行为，将给核心交换设备或者出口设备带来强大的压力，随着感染台数的增加，这种压力会被不断倍增，并迅速超越了上层网络设备的吞吐量和连接处理能力，这就是所谓“漏斗效应”。因此，对于校园网络来说，大规模蠕虫爆发时，造成瘫痪的并不是来自网络外部扫描，而是由于内部感染节点的高频度、大流量的集中扫描，迅速导致各层网络设备的性能和有效带宽的急剧下降，带来下列问题：

　　1、基层瘫痪：大量网络广播造成基层交换设备和汇聚设备瘫痪，包括ARP欺骗带来的局部瘫痪。

　　2、出口瘫痪：大量对外连接请求导致出口设备(如路由器、防火墙等)的连接数被占死，导致其他用户无法使用。

　　3、核心层瘫痪：网络核心层或者出口流量基本被病毒扫描流量占据。

　　从实体节点的角度来说，校园网内有大量的承担信息、教学、科研工作的服务器和相关信息系统，同时也有上万台为师生和工作人员提供服务的终端节点。

　　对于信息服务器群组来说，其面临的攻击威胁大于普通的桌面系统，但是目前的情况是市面上的相关安全产品并没有专门为服务器进行特别安全设置，依然采用通终端机器一样的保护级别。

　　而对于数以万计的终端用户节点来讲，它们由于基础量大，用户的应用水平千差万别，如果不能进行有效地保护，将会产生大量离散不可控点，使整个网络的安全失控。

　　安天解决方案

　　安天校园网解决方案的出发点是以“统一监控、分布防御、有效相应、集中管理”为指导思想，结合校园网实际情况综合分析，关注不同环节承担的任务和面临的安全压力。

　　校园网的出口和核心层，是网络的核心环节，网络吞吐量大、承担关键的通信服务，因此，需要有效的运维保障能力。由于出口和核心层，在内部节点遭到病毒感染的情况下，容易因漏斗效应发生严重的效率问题，甚至崩溃。因此，第一时间对影响网络整体效率的问题节点迅速准确的定位、定性是问题的关键。需要安天VDS网络病毒监控系统提供全景安全监控视图，和实时化病毒定位信息。VDS旁路工作，不影响网络效率，可以形成病毒趋势和定位的全景视图，能够为网管实施下一步的安全策略，提供有力的数据支持。

　　对于象服务器区这样的关键节点群，主要承担着为整个网络提供信息服务的任务，是黑客攻击的主要目标。由于校园网内服务器众多，网管人员数量相对较少，因此需要管理方便的自动化保护产品。安天主机保护系统服务器版则专为此需求设计。同时安天还为关键工作站设计了安天主机保护系统工作站版。

　　校园内大量的终端节点由于数量众多，基本上处于不可控或准可控状态，很容易成为病毒传播源，影响网络效率和以及其他用户的安全性。而由于校园网内用户层次复杂，特别是有大量学生的终端系统完全依赖个人的安全意识和水平，而学生自己多数不会购买安全产品，成为校园网安全保障的最大压力。因此需要一种低成本、高自动化、适应复杂软硬件环境的解决方案，安天主机保护系统桌面用户版以智能、兼容、轻载的设计思想可以完成上述任务。

　　安天主机保护系统针对不同类型节点的安全需求设计，提供文件层、操作系统层、网络层的多层次保护，能够大幅度提高这些关键节点的安全性。同时各层次产品都够以与现有反病毒产品互补的形式部署在系统中，不产生冲突，且资源占用率低，能够增强系统的安全系数。

　　另外，安天针对网管人员设计的网管工具箱系统，能够帮助网管深层挖掘系统中存在的安全隐患，使网管拥有比用户更专业的处理手段。

　　网络的离散会使安全问题不收敛，而产品的离散同样也会带来这种问题，安天安全管理中心能够整体管理部署在网络中的安全产品及设备，使产品之间能够形成有效联动，很好地解决了产品离散的问题。

　　方案部署

　　在校园网的总出口部署网络病毒监控系统VDS1000/VDS 2500，在网络内部关键网段部署VDS100系列，能够对全网的病毒情况进行全局监控和对局部网络形成更加细粒度的安全视图，快速定位病毒源，随时了解网络中的安全状况。

　　在服务器群计算机上部署安天主机保护系统服务器版，在关键工作站部署安天主机保护系统工作站版，对大量基本用户使用安天解决方案中为海量节点提供安天主机保护系统桌面版无限授权。能够对具体的计算机节点进行安全防护、配置优化、病毒查杀等工作，有效地扼制病毒泛滥，提升系统的安全性。

　　在解决方案中为网管人员提供了网管工具箱，对主机系统异常情况进行深度排查、以及修复处理。

　　上述安全环节，通过安天安全管理中心ASOC进行有效的管理，所有部署的产品能够有机地组织在一起，能够提供给网管人员更加全面的统计信息，

　　仅仅依靠技术化的的安全体系还不能完全解决校园网的安全问题，在一些突发的安全事件来临时，还需要一支专业的队伍进行及时响应，安天的CERT小组有着为许多行业用户服务的丰富经验，关键时候能够利用移动式网络斩断设备、勘查工具箱等专业设备进行快速响应，解决突发安全事件。