校园网信息安全建设理论与实践.pptVIP

重大网络安全事件回顾 熊猫烧香肆虐网络 2006年11月，“尼姆亚”病毒出现 2007年1月，国内首次检测到“尼姆亚”的变种：“熊猫烧香”病毒 2007年1月22日，熊猫烧香开始疯狂爆发，上百万台PC受到感染 2007年1月30日，受害网友个人悬赏10万美元通缉熊猫烧香病毒作者 2007年2月11日，熊猫烧香又一变种“金猪报喜”出现 2007年2月12日，熊猫烧香作者李俊被公安机关抓获 截止作者被抓获之前，熊猫烧香的统计数据： 共产生变种600余个变种 感染个人用户计算机超过300万台 2000个以上企业的内网因病毒攻击彻底瘫痪 直接经济损失上千万元 间接经济损失无法估计！ 内网已有的安全设备或方案 对内网安全的思考 无法进行有效的身份管理 缺少用户身份认证机制，外来用户、非法用户随意接入 缺少可控的身份集中认证系统，对用户进行管理难度大 用户账号存在被盗用的风险，安全审计无法有效进行 对内网安全的思考 无法保证用户终端合法性 Windows系统补丁未更新，系统存在致命漏洞 没有按规定安装杀毒软件及防火墙，成为病毒和木马的温床 随意安装违禁软件，不规范使用网络 非法联入外网，内网门户大开，隔离形同虚设 对内网安全的思考 网络安全无法有效控制 据IDC的分析报告资料显示：70％以上威胁网络安全的攻击行为都是来自内网用户 内网防御能力弱，病毒、木马泛滥 “合法用户”的“非法行为”危害巨大 常规手段难以及时发现并阻断攻击行为 发生的安全事件不能审计到人，无法进行有效处理 对内网安全的思考 我们需要怎样的解决方案？ 内网安全管理技术的发展 第一代：身份认证管理系统 对入网用户的身份信息进行验证与管理。 代表技术：PPPOE、Web Portal、IEEE 802.1X 内网安全管理技术的发展 第二代：端点准入系统 在身份认证管理系统的基础上，对用户主机系统的安全性进行验证 内网安全管理技术的发展 第三代：全局安全管理系统 兼具一、二代系统的所有功能，同时能够与网络安全设备进行联动，对网络安全行为进行基于用户身份检测、分析及处理 内网安全管理技术的发展 2003年春，TCG（Trusted Computing Group）成立，采纳了由可信计算平台联盟（the Trusted Computing Platform Alliance,TCPA）所开发的规范。 2003年11月，Cisco提出NAC（NetworkAccess Control）计划，开始进行在网络接入控制技术方面产品的开发 2004年，锐捷网络整合自身802.1X优势技术资源，推出国内第一款集用户身份控制与用户主机管理为一体的安全解决方案——GSN（Global Security Network） 2005年，微软开始实施网络访问保护（NAP Network Access Protection）计划 2005年，锐捷网络在用户网络接入控制的基础上，将IPS、IDS等专业安全产品融入GSN解决方案中，实现同一网络环境下安全产品的全局联动 2006年11月，IETF建立NEA（Network Endpoint Assessment）专项工作组，进行网络接入控制方案的标准化制定工作 * * * * * * * * * * * * 为了业务系统的稳定的运行，数字化校园的业务支撑平台的安全需要解决四方面主要的安全，网络基础安全、以实名为核心的安全、以用户为核心的安全、以业务为核心的安全。下面，仔细看看四个方面的安全，基础安全包括设备安全及网络安全；以实名为核心的安全，包括行为安全，你能不能在网上做什么事，如学生不能访问不良网站，老师在学校可以上土豆网上看视频，学生不容许。以用户为核心的安全，包括用户能不能接入校园网，电脑有没有安装杀毒软件或系统补丁有没有更新等等。业务安全包括业务系统的安全，不能被挂马或攻击，数据不能被篡改等。 8 * 设备安全及网络安全，包括设备本身的安全特性及ACL、端口安全等很多方面，在这里，我主要谈谈CPU安全保护技术。我们知道，在网络中发生攻击或病毒的时候，网络设备的CPU利用率急剧上升，引起设备和网络的不稳定，CPP和NFPP技术能做到当网络中出现异常流量进行安全攻击事件时，自动进行隔离，保障用户安全稳定的使用网络。 信息产业部对CPP技术进行了测试，结论是…………由此可以看出CPP可以提高交换机抗攻击能力和保护网络拓扑与路由协议的稳定性 这是重点中小学数字化校园3+N+1解决方案的整体拓扑图，锐捷网络对3+N+1的架构是如何理解及支撑的？ 一、基础网络平台包括有线、无线、核心平台、网络出口； 二、公共认证平台：有2个核心组件，RG-ESS及RG-Eportal，通过有线、无线、VPN等各种方式的统一实名接入，实现网络层的实名认证 三、业务