北京大学校园网始建于1992年,经过十几年的发展,校园网规模已经覆盖三个校区,用户规模达到5万多。目前主干网速度为千兆,百兆到桌面,到CERNET网络出口链路带宽为2.5G。
北京大学院系楼群、学生公寓众多,物理网络接入较为复杂,各部门的信息系统很分散,安全需求也不尽相同,如图书馆、档案馆、财务部、教务部等都各自有独立的信息服务系统,甚至独立的网络结构和专职的网络管理员,而多数的部门则主要是依托网络中心来提供信息服务。鉴于这种管理结构,北京大学校园网采用的是部门独立,相对分散的信息安全管理架构。对图书馆、财务部等有一定网络规模或对信息安全有特殊要求的部门,自成一个安全实体,而其它全校公共信息服务系统,如电子邮件系统,Web服务、校内信息服务、校园一卡通、网络电视等系统,则由网络中心统一负责管理。
网络中心为校园提供基本的安全服务和安全保障,主要有以下四个部分:
网络安全基础设施
防火墙是校园网信息安全保障的核心点,它负责校园网中最基本的信息服务系统的安全,一旦被非法进入,存在着内容被窃取、泄密、篡改、损坏等巨大风险,属于安全等级中最严重的事件。通过部署防火墙,把这些信息系统集中隔离到一个逻辑安全区中,在防火墙集中控制点处定制严格的访问控制策略,实施严格的数据流监控。因为防火墙的安全性源于其优秀的访问控制能力,可做到基于IP、协议、用户的访问控制,能灵活地对服务对像、操纵权限、服务范围进行控制。 同时也对各具体的服务系统从底层操作系统到应用系统做了针对性的安全优化和加强,如停用无关服务、启用系统审计、精简定制系统等。而且对安全性有特殊要求的服务系统,在防火墙和服务系统上也做了较为详细的日志记录,为安全事件的事后取证工作提供依据,当然取证是多因素的综合,也包括其它手段如IDS、蜜罐等手段的补充。
IDS系统是重要的网络安全诊断工具,可实时监控网络中的异常情况、跟踪安全事件的新动向、统计分析安全历史记录等。IDS系统通常把探测引擎分布式地部署在网络的各关键点,然后汇总到控制中心进行分析、统计、显示、报警等动作。由于外网的攻击,如网络扫瞄、蠕虫、DOS等攻击,只能是被动地阻断或向相关组织反馈,而对攻击源无法处罚,内网则由于可利用的监控手段多,攻击源的定位和控制也相对容易。鉴于这些考虑,北京大学IDS系统的探测器部署在校园网的总出入口处,主要监控内外网之间发生的安全事件,为网管人员执法提供依据。
