北京大學校園網始建於1992年,經過十幾年的發展,校園網規模已經覆蓋三個校區,用戶規模達到5萬多。目前主幹網速度為千兆,百兆到桌面,到CERNET網絡出口鏈路帶寬為2.5G。
北京大學院系樓群、學生公寓眾多,物理網絡接入較為複雜,各部門的信息系統很分散,安全需求也不盡相同,如圖書館、檔案館、財務部、教務部等都各自有獨立的信息服務系統,甚至獨立的網絡結構和專職的網絡管理員,而多數的部門則主要是依托網絡中心來提供信息服務。鑒於這種管理結構,北京大學校園網採用的是部門獨立,相對分散的信息安全管理架構。對圖書館、財務部等有一定網絡規模或對信息安全有特殊要求的部門,自成一個安全實體,而其它全校公共信息服務系統,如電子郵件系統,Web服務、校內信息服務、校園一卡通、網絡電視等系統,則由網絡中心統一負責管理。
網絡中心為校園提供基本的安全服務和安全保障,主要有以下四個部分:
網絡安全基礎設施
防火牆是校園網信息安全保障的核心點,它負責校園網中最基本的信息服務系統的安全,一旦被非法進入,存在著內容被竊取、洩密、篡改、損壞等巨大風險,屬於安全等級中最嚴重的事件。通過部署防火牆,把這些信息系統集中隔離到一個邏輯安全區中,在防火牆集中控制點處定制嚴格的訪問控制策略,實施嚴格的數據流監控。因為防火牆的安全性源於其優秀的訪問控制能力,可做到基於IP、協議、用戶的訪問控制,能靈活地對服務對像、操縱權限、服務範圍進行控制。 同時也對各具體的服務系統從底層操作系統到應用系統做了針對性的安全優化和加強,如停用無關服務、啟用系統審計、精簡定制系統等。而且對安全性有特殊要求的服務系統,在防火牆和服務系統上也做了較為詳細的日誌記錄,為安全事件的事後取證工作提供依據,當然取證是多因素的綜合,也包括其它手段如IDS、蜜罐等手段的補充。
IDS系統是重要的網絡安全診斷工具,可實時監控網絡中的異常情況、跟蹤安全事件的新動向、統計分析安全歷史記錄等。IDS系統通常把探測引擎分佈式地部署在網絡的各關鍵點,然後匯總到控制中心進行分析、統計、顯示、報警等動作。由於外網的攻擊,如網絡掃瞄、蠕蟲、DOS等攻擊,只能是被動地阻斷或向相關組織反饋,而對攻擊源無法處罰,內網則由於可利用的監控手段多,攻擊源的定位和控制也相對容易。鑒於這些考慮,北京大學IDS系統的探測器部署在校園網的總出入口處,主要監控內外網之間發生的安全事件,為網管人員執法提供依據。
