上海第2工业大学机房技术方案.docx
《上海第2工业大学机房技术方案.docx》由会员分享,可在线阅读,更多相关《上海第2工业大学机房技术方案.docx(10页珍藏版)》请在冰点文库上搜索。
上海第2工业大学机房技术方案
第一章信息安全实验室建设背景
二十年来,信息领域中多媒体与Internet两大技术蓬勃发展,形成了集通信、计算机和信息处理于一体的庞大巨系统,成为现代社会运转不可缺少的基础。
这是信息时代的主要标志,同时也深刻反映了当今社会对信息系统的巨大依赖性。
信息系统安全无误的运转变得空前重要,并引起了各国政府和经济界人士的高度重视。
信息系统的安全一旦受到破坏,不仅会导致社会的混乱,也会带来巨大经济损失。
世界主要发达国家每年因计算机犯罪所蒙受的经济损失令人吃惊,远远超过普通经济犯罪的经济损失。
因此确保计算机系统的安全已成为世人关注的社会问题,信息安全自然也成为目前研究的热点。
传统上,人们认为信息安全就是保障信息的机密性。
随着信息技术的发展与应用,信息安全的内涵在不断延伸,从最初的信息保密发展到信息的机密性、完整性、可用性、可控性和不可否认性。
对信息系统提出了“保护、检测、反应、恢复”的保障安全的策略,即所谓的PDRR原则。
信息安全技术涉及物理安全、网络安全、数据安全、信息基础设施安全、管理安全等等,是保障国家信息安全的基础。
我国目前只有少数高等院校设置“信息安全”课程,教学内容尚无法涵盖信息安全的全部领域。
另一方面,在一个较长时期内,金融、商业、公安、军事和政府部门对信息安全人才的需求量是很大的。
建设信息安全实验室将要承载一系列重要的信息安全方面的教学和科研任务。
从丰富的信息技术教育专业的角度出发,在建设信息安全实验室是非常有必要的,一方面能为日常信息安全教学工作提供很好的实验、演示环境,另一方面能提供师生一个安全攻防的实践环境,还能让学生实际了解到业内主流安全设备的应用和了解。
第二章信息安全实验室的建设目的
建设信息安全实验室的主要目的包括:
1、对信息安全实验室的环境进行安全攻防技术演示;
2、让学生了解、熟悉防火墙、IDS、VPN各种相关产品的理论和实际应用能力
3、研究和分析主流网络设备、操作系统、应用系统的安全漏洞、弱点和基于主流安全设备的弥补技术;
4、提供一个学生观摩的攻防演示平台
5、为安全技术保障体系的建设提供技术依据;
具体来说利用实验环境,配合实验课程达到以下实验要求:
1、网络访问控制技术实验
2、网络攻击和入侵检测实验
3、网络攻击和入侵防御实验
4、IPSECVPN虚拟专网实验
5、基于身份的网络认证实验
6、网络行为审计实验
7、统一安全日志审计实验
第三章信息安全实验室的建设意义
当前的社会需要高素质的毕业生,尤其需要具有实际动手能力和解决问题能力的应用型人才。
网络安全做为目前最为热门的网络技术,如何将这些抽象的网络技术,采用实物化的网络实验教学,有效地加深学生对网络技术的理解,提高动手能力和实际环境中发现问题、解决问题的能力。
在建立信息安全实验室,有助于学校在此领域教学和科研水平的较快提升,为学校信息安全人才培养体系注入新的活力。
为在校的大学生搭建一个真正的实践操作演练平台,让大学生们不走出校园就可以捕捉到当前最先进的信息安全技术脉动、获取用人单位求才时要求具备的技术能力。
第四章信息安全实验室建设常见问题
网络安全实验室的建设误区
很多学校在建设网络安全实验室的时候都会走进一个误区,往往会把攻防、信息加密来作为网络安全实验室的建设内容。
这其实是一个相对局部的网络安全实验室,因为在这样的环境下锻炼出来的学生他只会很偏重于这一个方面的安全技术动手能力,对于其他方面的了解和能力会大大减弱。
在实际的网络环境中,一个安全事件的处理和解决,需要你全方位的了解网络中的相关信息,而不是针对某个方面的了解。
所以在建设网络安全实验室的时候,需要考虑到建设的大局观,综合引入多种安全技术、安全设备,让实验者可以更多的了解到网络中实际的安全事件发生、处理的各阶段动态。
网络安全课程设计上的误区
很多学校的网络安全课程设计中,往往我们把网络安全的定义到应对的课程上去了,也就是我们花了大量的时候和精力来告诉我们的实验者,你应该去如何应对这些问题,但我们没有想过我们应该如何去规避这些问题,通过网络的合理设计来实现这个目标。
网络安全应该是一个体系化的课程,针对同一个问题我们可以有多种解决方案,同时针对同一个问题,我们有多种的归避手段来解决,这也是网络安全实验室的建设目标。
因此不仅在实验室设计上不仅要对应教学的课程,更重要的是要对应业内主流的安全技术、设备,教导学生去解决常见的安全问题
网络实验室在教学管理上存在的问题
集中教学和分散实验的不平衡问题。
如果只重视实验室的教师集中教学,虽然从教师角度方便教学过程的控制,但学生的动手能力没有得到锻炼。
如果只重视学生的独立实验,这种情况下没有教师的统一演示、教学过程,学生的实验带有很多的盲目性、不可控性,从而降低实验的效果。
实验教学的秩序混乱,教师的管理负担大。
老师也需要通过插拔配置口检查学生的实验,不便于老师监控实验过程和对多组学生实验进行管理;
实验组相互干扰。
把所有的设备连在一起做实验,这样某一组的实验结果将会对其他组的实验产生影响,导致实验结果不可信。
因此需要采用多个实验组独立设计的方法。
缺乏适合网络实验教学的师资力量
网络安全实验教学师资是目前网络安全实验室教学中的一个重要环节,但目前的网络安全师资由于前期缺乏相应的环境进行实验,所以需要有一个好的环境来保障网络安全教学师资的提升。
并且实验室需要提供大屏幕、投影等教学手段,提供集中演示、教学的支持。
缺乏网络实验教学的专用教材
目前市面上面的网络安全教材很多,但绝大部分都是以理论为主,并没有针对性的网络安全实验,这也是网络安全实验开展困难的主要问题。
因此在实验室建设过程中,不仅需要采用相关的软件、硬件设备,从而搭建一个信息安全实验室网络环境,更重要的是根据课程要求、实验室条件设计一套可操作的信息安全实验课程
第五章实验室拓扑
第六章实验设备介绍
漏洞扫描系统
天融信网络卫士脆弱性扫描与管理系统简称TopScanner,是北京天融信公司基于多年网络安全产品研发经验推出的包括应用检测、漏洞扫描、弱点识别、风险分析、综合评估的脆弱性扫描与管理评估产品。
TopScanner不但可分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。
TopScanner为提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议提供一种有效实用的脆弱性评估工具。
TopScanner采用标准的机架式独立硬件设计,系统采用B/S设计架构,采用旁路方式接入网络,支持以独立或以分布的方式灵活的部署在客户的网络内。
分布式部署支持两级和两级以上的分布式、分层部署,能够同时管理多个扫描引擎,并对扫描引擎的扫描结果信息可以集中查询、分析;支持上下级单位消息发布、接收,补丁发布,补丁下载等,TopScanner有利于网络管理员交流,共享补丁库,共享信息,保障整体安全。
TopScanner采用先进的扫描引擎,集合了智能服务识别、多重服务检测、脚本依赖、脚本智能调度、信息动态抛出、安全扫描、优化扫描、拒绝服务脚本顺序扫描、断点恢复等先进技术,确保了扫描的高准确性、高速度。
TopScanner的扫描引擎采用基于主机、目标的漏洞、网络、应用的检测技术,最大限度的增强漏洞识别的精度。
TopScanner采用基于应用的检测技术,被动的非破坏性的办法检查应用软件包的设置,发现安全漏洞。
TopScanner采用基于主机的检测技术,被动的非破坏性的办法检测系统的内核,文件的属性,操作系统的补丁等问题。
这种技术还包括口令解密,把一些简单的口令剔除。
因此,这种技术可以非常准确的定位系统的问题,发现系统的漏洞。
TopScanner采用基于目标的漏洞检测技术,被动的非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。
通过消息文摘算法,对文件的加密数进行检验。
技术实现通过在一个运行的闭环上,不断地处理文件,系统目标,系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较,发现改变即通知管理员。
TopScanner采用基于网络的检测技术,积极的非破坏性的办法来检验系统被攻击崩溃的可能性。
利用一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析,针对已知的网络漏洞进行检验。
网络检测技术常被用于发现一系列平台的漏洞,穿透实验和安全审计,使TopScanner成为辅助网络系统管理员进行穿透实验,安全审计,提供实时安全建议的有效脆弱性评估工具。
负载均衡系统
针对多重链路架构的链路负载均衡。
当企业只有一条链路接入Internet时,单点故障往往会引起整个网络的瘫痪,并导致重要应用无法交付。
为了确保网络传输不间断,采用多条广域网链路并与不同的网络服务提供商(ISP)连接的方式得到普遍应用,这种连接方式称为多重链路网络架构。
多重链路的架构提供了更可靠、效能更好的网络传输。
在此架构下,一旦某一链路发生错误,网络仍能继续运作;另外,由于网络的总带宽来自于各条链路带宽的总和,因此效能更好。
图1天融信负载均衡系统TopApp-LB链路备份功能
基于策略路由的优化(PolicyBasedRouting),根据目的地网络地址及应用类型选择最有利的网络路径。
该功能最典型的应用是根据目的地网络地址选择使用该网络地址所在的运营商的线路。
这样就避开了跨越运营商网络,从而降低了丢包的几率。
例如:
国内企业为解决电信、网通互连而经常采用的双线接入。
智能DNS均衡,用户访问服务器时,根据用户所在的运营商智能选择最有利的网络路径。
图2天融信负载均衡系统TopApp-LB智能DNS均衡算法
天融信负载均衡系统通过对多个ISP(或者同一ISP的多条链路)连接的可用性和性能进行实时监测,提高网络连接的容错能力,将流量导向最优的链接和ISP以提高服务质量和访问速度,通过多条低成本链路的聚合降低带宽成本,全面提高应用交付能力。
图3天融信负载均衡系统TopApp-LB链路负载均衡功能
负载均衡的另外一方面是针对服务器而言,即服务器负载均衡。
随着企业应用服务器访问量的快速增长,服务器的CPU、内存、I/O处理能力都受到严重的挑战,通过提高单台服务器的性能无法从根本上解决应用访问量快速增长的问题。
天融信负载均衡系统用了智能服务器负载均衡技术,支持多种负载均衡算法,动态监测服务器的性能和健康状态,并将网络请求分发给不同的服务器,这样可以大大提高服务的并发处理能力,减少用户等待时间,提高服务质量;同时采用多台服务器,也避免了因为单台服务器故障造成的服务中断,大大提高了服务的可靠性。
图4天融信负载均衡系统TopApp-LB服务器负载均衡功能
流量控制系统
TopFlow应用流量管理系统是一套对网络行为应用流量进行分析、监管和管控的专业系统。
TopFlow能够对用户网络行为流量进行精细化管理,为管理者提供图形化的应用监视、应用分析、流量管理、应用统计、应用控制、流量审计、应用报表等功能,是最新一代应用丰富且管控精准的应用流量分析监管系统。
网络卫士应用流量管理系统从百兆到万兆,全系列产品都具有很高的系统稳定性,适用于强调图形化应用行为监控分析、用户行为精细化控制、应用识别精准度大于99%、系统运行要求稳定的网络环境。
第七章实验课程设计
流量控制实验
七.1.1设计思想
在带宽接入方面(如对高校、企业、政府等环境),如何保障关键应用,如oA、邮件、视频会议等,实现对P2P、IM、网游等流量的控制或精细化管理;通过实验能准确识别各种应用及流量,而且对流量可进行精细化的管理,为用户提供了应用监视、流量分析、流量管理、流量统计、流量管理控制等功能。
七.1.2实验内容
●协议识别精准:
可对端口跳变、协议包修改、无故增加的扰流数据以及加密协议都有非常精准的识别。
●http控制:
包含以下功能:
1、控制通过HTTP方式访问的文件类型,如控制用户通过HTTP下载.exe文件,防止误下载到某些木马病毒的可执行程序,或控制用户上班时间通过HTTP方式下载.rmvb或者.mp3等与工作内容无关的文件;2、控制内网用户访问某些网站,可控制访问方法是GET(浏览)或是POST(发帖),通过控制POST访问方法,主动杜绝内网用户在某些网站发布某些不良信息;3、URL访问重定向,如上班时间将用户对开心网、土豆网的访问自动重定向到公司网站;4、Web信息提示,对触发到HTTP管控策略的用户返回一个友好提示:
如用户访问开心网时即返回“上班时间,请勿游戏”,也可以通过此功能发布通知,如“下午5点,全体开会”。
●应用流量深度放大功能:
可实时显示单个IP流量速率和单个当前各个应用的速率明细,如放大镜一般层层显示。
●用户身份追查功能:
可提供单个IP对应的用户身份信息,如QQ号码、MSN帐号、POP3帐号等,便于身份追查。
●基于TCP、UDP连接数控制:
过此功能可限制内网每个IP对此服务器可建立的连接数量。
也可以用于大型集团对其公网上的FTP等服务器进行连接数保护,防止来自于内网的恶意连接行为。
●优先级调度:
通过基于协议的优先级调度,实现更为真实的“智能带宽”。
负载均衡系统试验
七.1.3设计思想
信息化发展至今,组织机构的IT主管或许时常为各种难题所困扰--多个内部应用软件系统,每次升级更新都要大动干戈;新的业务应用部署总是费时费力,而且还经常不能按计划全面部署;客户端用户的系统应用情况和用户体验无法及时获取;出差在外的工作人员,无法正常访问公司内部系统;大量的web应用使得服务器不堪重负;各分支机构的员工,无法高速、安全、有效的访问内部应用系统;跨运营商访问所带来的高延时、高丢包极大降低了用户体验;网络融合快速发展,流量模式日益复杂化,网络带宽的滥用严重,如P2P类应用占用大量带宽、用户体验降低;有限的、昂贵的带宽容纳越来越多的用户与应用;等等。
如何将组织机构的各种应用安全、快速地通过网络交付给终端用户,既是当前IT所面临的极大挑战,又是业务能否得以顺利推广的关键因素。
通过实验了解如何解决以上问题。
七.1.4实验内容
●链路负载均衡
●带宽保障
漏洞扫描实验
七.1.5设计思想
大多数的操作系统和数据库管理系统存在一定的安全漏洞,需要不断安装和升级安全补丁。
同时我们也注意到,许多安全侵害并不是由于系统产品本身存在安全弱点,而是由于系统没有正确地安装使用或安全规则没有建立并执行。
甚至在一个正确的系统配置中,某些设置也可能被意外或故意的改动。
基于以上原因,利用漏洞扫描系统,能帮助管理员及时发现系统中的安全漏洞和安全隐患,并提供安全决策分析、安全补救建议和措施,减少系统安全风险。
七.1.6实验内容
●对各种服务器进行漏洞扫描。
●制作报表,对漏洞进行分析。
升级会员 