“三刀”斬?cái)喟踩�隱患--銳捷校園網(wǎng)方案

隨著信息化進(jìn)程的深入，網(wǎng)絡(luò)安全問(wèn)題已成為信息時(shí)代人類(lèi)共同面臨的挑戰(zhàn)，對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)基本上可以從兩個(gè)不同的角度做出解釋?zhuān)�即信息安全和控制安全。要想讓網(wǎng)絡(luò)安全真正做到“滴水不漏”，除了要使網(wǎng)絡(luò)安全、可信之外更要達(dá)到可控、可管。

為了營(yíng)造“高速、穩(wěn)定、可控、可管”的健康網(wǎng)絡(luò)環(huán)境，各大網(wǎng)絡(luò)設(shè)備廠商均在著力報(bào)告自己的網(wǎng)絡(luò)解決方案，而作為國(guó)家重點(diǎn)扶持的教育領(lǐng)域，校園信息化建設(shè)則以人數(shù)龐大、架構(gòu)復(fù)雜多樣、網(wǎng)絡(luò)環(huán)境不易管理成為網(wǎng)絡(luò)廠商難以攻克的一大難題。

2006年7月，集美大學(xué)在校園網(wǎng)升級(jí)改造工程之初，就將網(wǎng)絡(luò)安全就作為重要的指標(biāo)納入整體方案，采納銳捷網(wǎng)絡(luò)提供的GSN全局安全網(wǎng)絡(luò)解決方案。“在采用GSN后，我們明顯發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)的各類(lèi)安全問(wèn)題和病毒直線(xiàn)下降，網(wǎng)絡(luò)的安全性和穩(wěn)定性得到了空前提高。”集美大學(xué)網(wǎng)絡(luò)中心主任李斌奇如是說(shuō)。

在網(wǎng)絡(luò)改造前，集美大學(xué)的校園網(wǎng)絡(luò)狀況十分的混亂：出口堵塞、蠕蟲(chóng)爆發(fā)、ARP欺騙導(dǎo)致的大規(guī)模斷網(wǎng)時(shí)有發(fā)生，更為嚴(yán)重的是這些網(wǎng)絡(luò)問(wèn)題很難查到根源，問(wèn)題發(fā)生后經(jīng)常需要集美大學(xué)的網(wǎng)絡(luò)中心老師對(duì)交換機(jī)進(jìn)行排查，或?yàn)榉磸?fù)發(fā)作的病毒疲于奔命。而銳捷網(wǎng)絡(luò)對(duì)集美大學(xué)校園網(wǎng)進(jìn)行升級(jí)后，依靠整體的網(wǎng)絡(luò)解決方案，集美大學(xué)不但做到了對(duì)病毒、惡意攻擊的封殺，更能夠明確地知道問(wèn)題出在哪里，通過(guò)GSN全局安全網(wǎng)絡(luò)、SAM身份認(rèn)證計(jì)費(fèi)系統(tǒng)、萬(wàn)兆骨干網(wǎng)絡(luò)“三刀”斬?cái)嗔税踩�隱患，升級(jí)徹底改變了以往“剪不斷，理還亂”的固有問(wèn)題，為集美大學(xué)提供了高速穩(wěn)定、可控、可管的新一代校園網(wǎng)絡(luò)環(huán)境。

一刀 ——“切枝”

集美大學(xué)實(shí)施的GSN系統(tǒng)實(shí)現(xiàn)了對(duì)全網(wǎng)所有的安全事件、網(wǎng)絡(luò)病毒攻擊行為、用戶(hù)行為和用戶(hù)主機(jī)安全信息的深入分析和全局監(jiān)控。在實(shí)時(shí)監(jiān)測(cè)的基礎(chǔ)上，通過(guò)安全聯(lián)動(dòng)，網(wǎng)絡(luò)中心的老師可以在第一時(shí)間將網(wǎng)絡(luò)上存在的異常現(xiàn)象的機(jī)器通過(guò)接入層，隔離到安全修復(fù)區(qū)域或自動(dòng)阻斷異常數(shù)據(jù)流，使得網(wǎng)絡(luò)異�，F(xiàn)象完全不影響全網(wǎng)的運(yùn)行。

網(wǎng)絡(luò)改造完畢后，GSN對(duì)網(wǎng)絡(luò)內(nèi)的安全事件和網(wǎng)絡(luò)病毒進(jìn)行了有效抑制，在GSN全局安全解決方案中，將SMP作為一個(gè)可信任的第三方，通過(guò)SMP來(lái)提供正確的ARP信息，并將正確的網(wǎng)關(guān)ARP信息下發(fā)至安全客戶(hù)端進(jìn)行靜態(tài)綁定，將正確主機(jī)的ARP信息發(fā)送至網(wǎng)關(guān)，生成受信任ARP項(xiàng)。從系統(tǒng)提供的安全時(shí)間統(tǒng)計(jì)報(bào)表來(lái)看，ARP欺騙、蠕蟲(chóng)病毒等安全事件已經(jīng)較部署前有了大幅度的減少。

前段時(shí)間，“熊貓燒香”讓百萬(wàn)臺(tái)電腦紛紛“中招”，正在網(wǎng)管不斷重啟交換機(jī)、用戶(hù)不斷重新安裝系統(tǒng)時(shí)，“熊貓燒香”在集美大學(xué)，處于一種完全被動(dòng)的狀態(tài)，集美大學(xué)網(wǎng)絡(luò)中心技術(shù)主管陳偉斌回憶到：“最開(kāi)始我們壓根不知道‘熊貓燒香’這回事，即使是在網(wǎng)絡(luò)上已經(jīng)傳得沸沸揚(yáng)揚(yáng)的時(shí)候，我都還沒(méi)怎么注意，直到幾個(gè)別的院校信息中心的同學(xué)給我打電話(huà)，說(shuō)他們那邊的網(wǎng)絡(luò)因?yàn)?lsquo;熊貓燒香’而幾次癱瘓，要我注意的時(shí)候，我才開(kāi)始留心。”

這第一刀的“切枝”真正實(shí)現(xiàn)了病毒來(lái)襲也能“斬得斷”，為集美大學(xué)校園網(wǎng)營(yíng)造了一個(gè)相對(duì)安全的網(wǎng)絡(luò)環(huán)境。

二刀 ——“斷根”

依靠銳捷網(wǎng)絡(luò)獨(dú)有的SAM認(rèn)證計(jì)費(fèi)系統(tǒng)，集美大學(xué)實(shí)現(xiàn)了全體學(xué)生宿舍、教師宿舍、辦公和公共機(jī)房的身份認(rèn)證。該系統(tǒng)基于802.1x技術(shù)，對(duì)用戶(hù)的身份和IP、MAC、交換機(jī)端口，交換機(jī)IP等信息進(jìn)行嚴(yán)格綁定，一旦出現(xiàn)問(wèn)題，可以迅速追查到人。以往集美大學(xué)中普遍存在的不知道是什么類(lèi)型的安全問(wèn)題，更不清楚這個(gè)問(wèn)題到底出在哪里的網(wǎng)絡(luò)狀況已經(jīng)得到了根本改善，“理還亂”的窘境已經(jīng)不復(fù)存在。SAM身份認(rèn)證使集美大學(xué)網(wǎng)絡(luò)中心的老師們能夠?qū)��?wèn)題“刨根問(wèn)底”，并一刀切斷。

三刀 ——“塑形”

綜合考慮集美大學(xué)網(wǎng)絡(luò)發(fā)展的現(xiàn)有狀況，銳捷網(wǎng)絡(luò)對(duì)骨干網(wǎng)絡(luò)也進(jìn)行了側(cè)重以萬(wàn)兆以太網(wǎng)技術(shù)的網(wǎng)絡(luò)改造。規(guī)劃后的校園網(wǎng)絡(luò)既切斷了病毒造成的諸多危害，實(shí)現(xiàn)了網(wǎng)絡(luò)的可控、可管，又以萬(wàn)兆以太網(wǎng)技術(shù)和支持IPv6協(xié)議的網(wǎng)絡(luò)架構(gòu)為集美大學(xué)營(yíng)造了高速、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。

本次校園網(wǎng)建設(shè)，實(shí)現(xiàn)了全網(wǎng)統(tǒng)一認(rèn)證和全局安全部署。通過(guò)GSN系統(tǒng)，從接入層就對(duì)用戶(hù)和計(jì)算機(jī)進(jìn)行安全審計(jì)，只有合法用戶(hù)和健康的計(jì)算機(jī)才能進(jìn)入校園網(wǎng)。在匯聚層部署了IDS，負(fù)責(zé)全網(wǎng)所有安全事件的偵測(cè)和向RG-SMP平臺(tái)上報(bào)，根據(jù)網(wǎng)絡(luò)安全事件的不同，自動(dòng)采用相應(yīng)的策略進(jìn)行響應(yīng)，做到網(wǎng)絡(luò)安全監(jiān)測(cè)與網(wǎng)絡(luò)接入控制聯(lián)動(dòng)，網(wǎng)絡(luò)控制措施與用戶(hù)信息互動(dòng)。

可以說(shuō)，網(wǎng)絡(luò)安全建設(shè)和管理水平高，達(dá)到了全省乃至全國(guó)高校領(lǐng)先水平，校園網(wǎng)建設(shè)真正朝著“調(diào)整、穩(wěn)定、安全、可控、可管”的目標(biāo)邁進(jìn)著。

“切枝-斷根-塑形”不僅僅對(duì)于高教行業(yè)，對(duì)于其他行業(yè)這三刀同樣有效。由制定標(biāo)準(zhǔn)、異變隔離、線(xiàn)下修補(bǔ)造成的全局安全，使網(wǎng)絡(luò)安全不再是事后彌補(bǔ)，而是預(yù)防、監(jiān)治為一體的健康型新網(wǎng)絡(luò)。

GSN使用前后－安全事件數(shù)據(jù)

2007年1月10日—2007年1月23日全部安全事件發(fā)生次數(shù)