随着互联网的日益普及和国家教育的重视,大部分高校都建立了校园网,不仅提高了教育水平,而且也为学生打开了了解世界的窗口。但是,随之而来的安全问题也为校园网带来了前所未有的挑战。一方面,恶意代码、病毒、黑客、不良网站、人为干扰等不安全因素对校园网的正常发展造成了一定的障碍;另一方面,由于对安全问题的考虑,许多校园网对互联网的使用做了许多限制,这种限制对教学也造成了一定程度的影响。目前,校园网的主要功能一般集中在网络教学和互联网的使用。
随着教学和科研对关键信息系统的可靠性、可用性要求进一步提高,对应用系统连续性、数据集中也提出了更高的要求。伴随互联网技术的不断发展,各种P2P的应用也在校园网内部广泛的应用,作为一种时下流行的下载手段,各种P2P应用可以让用户很方便的找到自己需要的网络资源。但是,大量无限制的P2P连接将极大的消耗网络带宽资源,给西工大正常的网络业务带来极大的困扰,同时也带来了一些安全隐患。此外,由于校园网内部的学生机器较多,且没有统一安装防病毒软件,如何预防内部网络的病毒传播,也是摆在校网络中心负责人面前的一个重要问题。
面对当今的混合威胁,传统的安全系统已经无法满足安全的需求。防火墙的目标是用于网络访问控制,对于黑客使用缓冲区溢出等应用或攻击OS弱点无能为力;另外,对于通过邮件传播的蠕虫病毒,防火墙也无法阻挡;而且,黑客的攻击都是利用防火墙允许通过的协议发起的针对主机漏洞的攻击。防病毒系统属于被动防护,只能检测出已知病毒,而对于新的未知病毒,防病毒软件无法检测出。因此,在从发现新病毒到厂商更新病毒特征码的这段时间内,公司网络系统将有可能受到损害。
因此,西北工业大学决定部署既能及时发现威胁,又能实时阻止威胁的入侵防御系统。经过对国内、外入侵防御系统的严格测试和评比之后,最终,西北工业大学选择了启明星辰公司提供的天清入侵防御系统。天清入侵防御系统提供了对BT、电驴等多种P2P应用的控制和防范,对蠕虫病毒、溢出攻击、SQL注入攻击等多种深层攻击行为都有很好的防御能力。
我们将天清IPS防御引擎部署在防火墙的后面,分析那些穿过边界的各种网络行为,按照预先订制的策略信息,来控制和防御各种违规和异常行为。这样部署既可以降低入侵防御系统的分析资源开销(由防火墙阻断掉部分攻击行为),又可以实现全网络的违规控制和攻击防御。天清IPS控制台目前的接入方式是和防御引擎一一对应,在此后的扩容工程中,控制台可以最多支持30个连接的部署,为此后各个分支网络(图书馆、宿舍区等)的安全设备增加部署留出了准备空间。从系统的部署情况来看,本解决方案可以完全控制西工大所关心的控制P2P应用滥用的需求,对于蠕虫传播的控制也有相当的作用。
天清IPS不仅能够提供实时的入侵检测和预防功能,而且拥有成本也相对较低。天清IPS以其独有的专用设备、高度准确的检测功能以及简单易用的管理功能整合在一起,帮助西北工业大学实现了深层的防护目标。由于一些复杂行为不易通过简单的特征识别是否属于攻击,导致用户资产未得到充分保护,甚至影响正常业务。天清IPS融合了基于攻击躲避原理的阻断方法与基于攻击特征的阻断方法,不但有效提高了对各种深层攻击行为的识别能力,而且对攻击变种、SQL注入等无法通过特征判断的攻击行为也能实现精确阻断。另外,天清IPS向安全管理员提供的是简洁实用的分析结果信息,而不是混乱的原始数据,因而有效地降低了监控和分析数据所需的成本。天清IPS大大地降低了检测过程中的误报率,使得西北工业大学的 IT 人员再也不必将宝贵的时间耗费在对误报信息和威胁的分析及追踪上,现在,他们可以投入更多的精力来考虑如何进一步提升系统的安全性。
以透明方式把IPS设备串行部署于被保护对像的前端,而作为在线深层防御产品,在达到精确阻断攻击行为的同时,需要保障正常业务高可用性。 天清IPS通过内置硬件Watchdog技术、软件监控进程,对系统异常实时监控和处理,实现软、硬件双Bypass功能。不增加网络故障点。在提升效率方面,天清IPS系统采用任务与虚拟CPU绑定的技术,消除并行处理的等待和切换时间;基于任务特点合理分配、高效利用硬件资源,根据分析任务特征自动选择最优算法,提升匹配效率;实现微秒级时延,满足电信级业务的应用。
该项目完成之后,不仅可以控制各种违规滥用网络资源的行为,而且可以抵御来自外部的各种恶意攻击行为,有效地夯实了西北工业大学的信息系统安全建设的基础,提升了信息资源的利用效率。同时,该解决方案具备灵活的可扩展性,可以充分满足目前及未来的工作发展和管理的需要。此外,利用天清IPS大大降低了攻击的爆发,从而消除了由于攻击所造成的时间和人员成本。通过积极预防来保持业务的持续性,这同时也具有显著的经济效益。