Post on 28-Jun-2020
构建复旦大学信息化校园构建复旦大学信息化校园安全保障体系安全保障体系
闫 华
2006年9月21日
安全:面临的挑战2
复旦大学信息化校园建设31
33 复旦信息化校园安全保障体系
组织机构落实组织机构落实
q 单接触点、高度集成、提供个性化服务的校园信息门户(UIP--University Information Portal)q 强调管理流程集成和数据信息实时性的校园资源规划(URP--University Resource Planning)
U-IDC
硬件硬件集集群群
数据数据
集集中中应用应用集集成成
共享数据库资源库
URP、IDS、校园一卡通、
Portal
校园基础网络校园基础网络
复旦校园信息化建设复旦校园信息化建设
建设成就:校园网建设成就:校园网“一体两翼”,跨越整个上海地区的四大校区(邯郸、枫林、张江、江湾校区)
建设成就:无线校园网建设成就:无线校园网
q 多种覆盖技术q 传统纯AP蜂窝式q 采用了天馈系统
q “GSM+WLAN”合路技术(与上海移动合作)
q 近年来逐步加快了无线校园网的建设步伐
q 实现基于WEB的无线认证,师生使用统一身份认证帐号访问
网络建设统计数据网络建设统计数据
100100
1G 1G
10 30100
2001年初 2005年中
网络出口带宽
教育网(邯郸)
教育网(枫林)
网通(备用)
电信(备用)
科技网(备用)622
155 百兆
2G 2G
千兆
2001年初 2005年中
校内主干带宽(单位:M)
邯郸主干
枫林主干
楼宇接入
3千
9千
2.5万
2万多
3千3千4千
2001年初 2005年中
网络信息点
学生公寓
教学科研
张江
江湾
光华楼 540
1054
1466
2520
2001年初 2005年中
光纤铺设距离(单位:km/芯)
校内
校区间
总计
安全:面临的挑战2
复旦大学信息化校园建设31
33 复旦信息化校园安全保障体系
校园网的安全威胁校园网的安全威胁
Add Your TextInternet接入防御薄弱
TitleAdd your text
计算机系统漏洞普遍存在
内外网黑客入侵攻击
不良内容侵害
安全管理措施不健全
内部用户滥用网络资源
可随意接入内部局域网
校园网速度快、规模大
校园网环境开放,用户活跃
信息化校园数字资源相对集中
计算机系统管理方式复杂多样
复旦大学信息化校园安全管理的特点
复旦大学信息化校园安全管理的特点
信息化校园应用精彩纷呈
校园信息化人力和资金投入有限
垃圾邮件
蠕虫病毒
网页篡改
主机入侵DDOS攻击 其他
1. 垃圾邮件2. 蠕虫病毒3. 网页篡改4. 主机入侵5. DDOS攻击6. 其他
复旦大学安全事件投诉率复旦大学安全事件投诉率
针对网络和服务器
q垃圾邮件
q蠕虫病毒
q网页篡改
q DDOS攻击
q局域网ARP欺骗
q网络扫描
校园网安全事件分类(一)校园网安全事件分类(一)
针对个人用户
q主机入侵
q木马
q宏病毒
q帐号、权限盗用
q弱口令
校园网安全事件分类(二)校园网安全事件分类(二)
案例分析案例分析
q垃圾邮件。
根据统计,每日收到的垃圾邮件和病毒邮件约占总请求数80%,在病毒多发期此数字甚至达到90%以
上。
q网页篡改。
即使使用了反向代理+防火墙方式为二级网站提供安全屏障,网页被篡改现象仍然时有发生。
q 2004年冲击波病毒。中毒电脑数量巨大,造成网络严重阻塞。
q主机入侵。一学生对计算机技术了解不多,但是他利用黑客工具进行扫描和入侵,基本不搞破坏,较多行动是用肉机开设代理服务器。
案例分析案例分析
案例分析案例分析
q垃圾邮件是Internet的最大危害之一
q网站开发和管理人员水平参差不齐,代码编写不规范,使注入攻击等方式有机可乘
q随处可下载黑客工具,黑客行为傻瓜化
q用户电脑技术不高,不会使用防火墙、杀毒软件等安全工具
q用户欠缺必要的信息安全知识,弱密码泛滥,安装补丁不及时
q学生法律意识薄弱,图一时之利,不考虑后果
安全:面临的挑战2
复旦大学信息化校园建设31
33 复旦信息化校园安全保障体系
DDoS攻击响应病毒蠕虫泛滥响应安全应急响应
24×7客户支持响应
终端安全防护网络自身安全防护垃圾邮件防护应用安全防护内网安全防护
安全管理体系安全信息管理设备及配置管理安全认证管理
安全状态及漏洞评估安全信息管理预警异常流量预警 预警 防护
管理 响应
主动防御
校园网安全工作的目标校园网安全工作的目标
根据实际情况,自主进行一些安全方面的实践工作
网络和系统状态实时监控流量和带宽利用率统计网络和系统状态实时监控流量和带宽利用率统计
日常网络管理:•性能管理•故障管理•配置管理•安全管理•记帐管理
网络管理手段:•人工管理•商用工具软件•开发的网管软件
依托技术优势依托技术优势
上网实名登记、IP和学号(工号)绑定,减少安全隐患
依托技术优势依托技术优势
双层防火墙防护托管服务器群
硬件防火墙,有限端口开放
硬件防火墙,有限端口开放
软件防火墙,规章制度要求,定期扫描检查
软件防火墙,规章制度要求,定期扫描检查
Internet
依托技术优势依托技术优势
自行开发了基于NetFlow的网络流量监控软件,用于对托管服务器进行流量监控和计费
多出口认证、流量监控和整形方案
依托技术优势依托技术优势
校园网出口流量分析(教育网)校园网出口流量分析(教育网)
校园网Web网站访问点击率排名校园网Web网站访问点击率排名
邮件发送服务器排名邮件发送服务器排名
外网对我校发动DoS攻击的服务器外网对我校发动DoS攻击的服务器
内部有扫描动作的IP内部有扫描动作的IP
没有BT控制时占用的带宽
打开BT控制后占用的带宽
BT下载流量的监视和控制BT下载流量的监视和控制
依托技术优势依托技术优势q 邮件网关:过滤垃圾邮件
q 响应制度:根据用户举报,
分析垃圾邮件特征并设置
过滤规则
黑名单阻断
垃圾邮件过滤
邮件内容过滤
病毒邮件扫描
Internet
收件箱
依托技术优势依托技术优势q 信息过滤:利用旁路监听技
术,过滤不良网络访问
q 杀毒软件 –单机版–网络版–在线杀毒
依托技术优势依托技术优势q CERTq WSUSq 日志服务器
备份中心服务器集群
应用中心 备份中心
异地数据备份
(基于IP)
应用服务器集群
远程集群管理工作站
远程应用切换
系统备份容灾方案示意图
依托技术优势依托技术优势
完备的应急响应流程完备的应急响应流程
S S
SS
Monitor
7*24值班响应
校园网
短信发送器
监控服务器
网管处理
问题解决,
记录在案
特殊情况,
及时上报
规范管理制度规范管理制度
各应用系统安全运行管理方案
故障恢复及安全维护流程
各应用系统紧急情况备案
数据安全规范管理办法
密码安全管理办法
复旦大学校园网络信息安全应急处置预案
安全工作组
安全工作组安全工作组
q安全组的组成:q 安全领导小组由信息办主任、副主任、各中心主任组成。
q 安全工作小组由信息办从各中心抽调对网络、信息系统安全技术比较精通的技术骨干7人组成安全工作虚拟团队。
安全领导小组职责安全领导小组职责
q 把握信息安全的管理方向,制定并发布信息安全规划;
q 参与信息安全方案的制定和评审,对方案的发布执行进行确认;
q 强化及宣传信息安全意识,使信息办每位成员意识到信息安全的重要性,并按安全规范进行工作;
q 对于安全执行小组上报的问题,及时做出决策并确定总体解决方案。
安全工作小组职责安全工作小组职责
q 按照信息办的有关信息安全方案,定期对信息安全进行检查,并将结果上报安全领导小组
q 定期将信息安全管理与执行情况形成文档,提交安全领导小组审查,并备案;
q 监督并指导信息办成员按安全规范开展工作,保证安全工作的有效执行;
q 小组内部定期组织安全会议,沟通并解决安全执行工作中的问题,会议结论上报安全领导小组;
q 对于新发现的信息安全隐患,且现有管理方案中不涉及,应及时以书面形式上报安全领导小组。
规范管理制度规范管理制度
人员保障
人员保障
网络信息安全领导小组网络信息安全领导小组
网络信息安全工作小组网络信息安全工作小组
安全工作执行人员安全工作执行人员
规范管理制度规范管理制度
安全运行管理方案
规范管理制度规范管理制度
故障恢复方案
通过《应用系统数据备份方案》模板,生成具体应用系统的数据备份方案
规范管理制度规范管理制度
数据安全规范管理办法
规范管理制度规范管理制度
健全保障体系健全保障体系
安全方案评审
制度保障
安全审计制度
健全保障体系健全保障体系
健全保障体系健全保障体系
信息办信息办
网络网络中心中心
q应用系统安全-系统安全维护-数据安全管理-数据备份
信息信息中心中心
运行运行培训培训中心中心
q信息保密安全-管理员保密安全-用户保密安全
q防病毒及攻击安全-防火墙设置-杀毒软件设置-更新设置
q网络及服务器安全-网络安全-操作系统安全-服务器安全
q保障网络及系统提供安全服务-按照安全规范提供服务-出现安全问题及时报告相关部门
q安全培训-安全宣传推广-实施管理员和用户安全培训
q安全方案制定与更新-信息办安全方案-各应用系统安全技术方案-安全方案的更新与升级
开展用户培训开展用户培训为促进师生信息化应用水平的提高、配合信息化应用项目的推广和改善信息化应用环境,结合学校实际情况,对师生、行政人员开展有针对性的培训工作。
q 计算机能力培训:q 分四个班,对行政机关和院系行政人员250余人培训
q OA系统、URP系统培训:q 对校领导、各机关部处长、院系党政领导及部门院系的秘书进行了分批分层次(13个班、400多人次)培训+定期常规化培训
q 网站管理员培训q 操作系统安全管理、动态网页代码编写安全等
q 安全知识讲座q 面向校园师生不定期组织的安全知识讲座,以宣传和提高计算机安全知识水平为目的
q 内部培训q 针对内部服务人员进行的计算机安全培训
培训现场
培训现场
谢谢 谢!谢!