位置:首页 >> 经验交流 >> 内容

沈阳航空航天大学采取5项安全技术措施加强校园网络建设和管理

时间:2011-6-27 9:46:20  
点击:4401    作者:    来源:    【字号: 】【打印
        沈阳航空航天大学校园网经过多年的建设,目前拥有用户11800余人,校园网总出口900Mbmps,为万兆核心骨干网。学校自建网以来对网络运行安全及信息安全十分重视,逐步建立了一系列校园网信息安全管理制度,通过网络安全培训,增强网民安全防范意识,促进信息发布规范化。在网络建设和管理方面主要采取了5项安全技术措施:
        一是全面实现实名制上网,避免用户账号盗用和隐藏攻击的行为。应用RG-SAM上网认证系统,对全校连入Internet用户进行统一的认证和管理,对网络用户用网登陆信息、状态和流量情况通过认证管理系统记录日志;学校目前所有主机都使用教育网的实Ipv4地址,使用RG-SAM系统实现用户的MAC地址、用户帐号、交换机端口、NAS端口的绑定,有效地避免了账号盗用和隐藏攻击的行为。
        二是采用锐捷安全管理平台(Red-Giant Security Management Platform,简称RG-SMP)企业级安全产品,实现全网安全行为管理。通过锐捷安全管理平台,网络管理员可以为网络中的主机设备定义一个统一的网络安全接入标准,只有满足这个接入标准的主机才能接入并使用网络;同时网络管理员可以在SMP上生成并执行安全策略,对网络攻击行为进行预防检测和处理,从而有效地阻止恶意用户对网络进行攻击,此外采用锐捷IDS入侵检测系统,对网络及系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果。
        三是做好出口安全防护,建立出口和行为管理的日志系统,做到出现安全事件及时取证。在校园网三个出口使用了三台千兆防火墙,对校外的常规攻击和非法入侵进行限制和防范;在出口的骨干链路使用流量控制系统,该流量控制系统能够进行二到七层的访问控制和流量控制,且能够产生比较详细的数据转发日志;由于使用电信、联通Internet链路,在出口需要进行NAT转换,为了使内外网地址转换后的数据能够在安全事件发生时有效地追踪,学校通过使用e-log日志系统记录NAT日志、流控系统日志,并且该日志能够跟RG-SAM系统的后台数据互动,做到用户级的数据索引和取证,对每时每刻上网信息进行详细统计,使上网信息有据可查。
        四是建立网络流量分析系统及时了解网络的健康状况。在Iinux平台上建立CACTI系统,即时分析全校所有楼宇的网络流量、监控所有交换机的端口流量及重要服务器CPU状态、温度、湿度状态等信息,使学校网络运行状况及设备运行状态得到全面监控,为及时准确定位网络故障奠定坚实基础。
        五是使用信息过滤和行为管理系统,对网络非法信息和网络游戏等上网不良行为进行有效地控制。为了确保校园网的健康、良好发展,合理利用和节约校园网资源,采用信息过滤系统平台,与公安系统的不良信息库进行联动,建立有利于学生学习和身心健康的网络环境。同时,对该系统的日志进行记录(能保存3个月以上),做到重点信息的提前过滤和上网记录的详尽查询,从而保证校园网的安全可靠。除此之外,在重要的信息系统中都采用了反垃圾邮件系统,对邮件进行过滤,使用网页防篡改系统对重要网站进行防护等安全措施。

Tags: 会议
  • 版权所有:辽宁省国家保密局  未经许可不得复制转载      技术支持:辽宁省工业和信息科学研究院

  • 你是第 3547174 位访问者