安全与便捷的平衡,走近军事经济学院校园网
军队院校的校园网络,有着军队网络和校园网络的双重特点。从保密要求来看,军校的网络中承载着许多涉密的信息,这些信息是被禁止流入到互联网上的;而从网络应用的角度来看,军校的网络又跟普通的校园网一样,需要开放、便利的应用。如何在保密和便利之间取得一个平衡,让教员、学员在体会到网络的便利的同时,也保障信息的安全保密,这一直是军校网络建设中一个非常关键的问题。
军事经济学院在网络改造中,也面临着这个高难的问题,通过采用锐捷网络的GSN全卷安全网络解决方案,辅以多种安全保密措施,构建了了高速、便捷、安全的军校校园网络。
一、
2007
年网络安全改造造前面临的问题和挑战
1、军事经济学院概况:
1、军事经济学院概况:
军事经济学院是培养我军后勤建设人才的高等军事学府,隶属于中国人民解放军总后勤部。学院成立于1946年10月,是我军创建较早的院校之一,具有光荣的革命历史传统。近60年来,学院为部队培养输送了15万多名后勤干部,为军队建设和发展作出了重要贡献。毕业学员中,涌现出了战斗英雄徐栋梁、谭授生,全国著名劳动模范、优秀知识分子的杰出代表罗健夫等许多英雄模范人物。近40名毕业学员先后担任军以上领导职务,20余名授予少将或中将军衔,大部分学员成为军队各级后勤战线的骨干。
学院位于“九省通衢”的湖北省武汉市,濒临汉水,风景优美,环境宜人,教学、科研、生活设施齐全,是教书育人、求学深造的理想选择。
图1 军事经济学院
学院面向全国、全军招生,培养博士、硕士、本科、大专等多层次的人才。现有应用经济学、军事后勤学与军事装备学2个博士后科研流动站;1个优秀人才科研工作站;国防经济、后方专业勤务2个博士点;国防经济、国民经济学、财政学、会计学、管理科学与工程、战争动员学、军队管理学、军事后勤学、军事装备学、后方专业勤务(含军队财务、军人保险、军队审计、军队会计、军需勤务、军队物资勤务、军队采购)10个硕士点。拥有1个国家重点学科,3个军队重点学科、5个全军性学术研究中心,承办《军事经济研究》等6种在军内外发行的学术刊物。
学院现有教授、副教授180多名,博士、硕士教员200多名,其中出国留学人员60多名。有一批军内外知名的专家教授,其中特聘院士2名,享受政府特殊津贴3名,总后科技银星3名,新星3名,全国、全军和总后优秀教员70多名,博士、硕士研究生导师近90名。
学院先后获得国家、军队优秀教学成果奖励60多项,先后承担各类科研课题4000多项,出版学术著作600多部。有50多项科研成果获国家、军队级奖励。
经过近60年的建设与发展,学院形成了优良的校风、教风和学风。1996年9月,学院建校五十周年之际,军委主席江书记亲笔题写“严格、求实、廉洁、献身”八字校训,激励全院官兵为我军后勤现代化建设再立新功。
2、军事经济学院网络问题描述和需求分析:
随着网络的不断进步,军事经济学院的网络也融入到学员和教员每天的工作和生活中,网上选课、课件下载、视频点播等先进的教学手段都有效的应用在军事经济学院的校园网中,同时,为了让学员和教员获得最及时的技术和信息,了解海内外的重要新闻,军事经济学院决定逐步开放部分区域的互联网访问。这些需求的出现,也给现有的校园网带来了不小的挑战,一些问题逐步显露出来:
1. 用户接入网络无验证机制
在改造之前的网络中,没有引入身份认证的机制,非法用户只要可以连接到校园网,就可以可随意访问,军网保密性难以保证。
2. 用户安全意识薄弱,防毒软件没有正常安装、升级
军事经济学院之前采购了企业版的防病毒软件,并要求学员和教员必须安装,以避免遭受病毒攻击,但实际情况是,很多学员和教员安全意识较为薄弱,甚至觉得防病毒软件拖慢了系统的速度,所以有的将其关闭,有的甚至直接卸载了,致使计算机在遭受病毒攻击时,毫无防范之力,学校购买的防病毒软件根本无法起到其应有的作用。
3. 终端用户的补丁无法及时更新,存在漏洞风险
Windows补丁无疑是防范病毒攻击的第一步,有数据表明,90%以上的病毒和攻击都是针对Windows漏洞的,而在网络改造之前,军事经学院的PC在补丁方面完全靠终端用户的自觉,这使得补丁更新情况非常不好,经常出现用户因为中毒重装电脑,而刚装完系统,插上网线又中毒的情况。
4. 无法保障用户按照要求安装规定的安全软件
为了保障军网信息的安全,总后和总参都给军事经济学院下发了计算机保密软件,但这些软件的安装和执行成了一个大问题,面对数千学员和教员,逐台PC去安装就会花费很长的时间,而装过之后学员和教员是否在使用,更是无法很好的监控起来,这就使得信息安全产生了无法控制的漏洞。
5. 抢IP行为时有发生,没有可靠的手段进行处理和预防
军事经济学院采用的是静态分配IP地址,但学员经常需要在不同的场合使用电脑,尤其是笔记本电脑,IP地址的经常变更,也带来了IP地址冲突、抢IP现象的发生,这给终端用户带来了很大的麻烦,也让管理员很是头疼。
6. 没有可靠的手段进行用户网络访问行为审计
在网络改造之前,可以说网络管理员对于整个网络的用户情况是两眼一抹黑,不知道哪些用户接入了网络,更不知道这些用户干了些什么,这对于管理来说是非常不利的。
二、网络建设具体情况
图2 军事经济学院校园网逻辑结构图
在军事经济学院的网络改造中,重点考虑了对于接入用户信息、网络安全的建设,为保证网络安全粒度控制最细,军事经济学院在接入层部署支持802.1X的锐捷S21系列交换机,并能作为全局安全的控制节点,实现对用户最边缘化的控制,保证了用户“入网即认证,入网即安全”。
军事经济学院的网络改造开始于2007年中旬,项目进行过程中,军事经济学院充分体现了军队院校严谨的作风,对整个GSN解决方案的软硬件产品都进行了极其严苛的测试,包括功能方面,性能压力方面等,并且对其所要求的诸如中文用户名支持、与原有学生信息数据库同步等特殊要求也进行了详细的测试,最终GSN以优异的成绩顺利通过了军事经济学院的测试,得到了军事经济学院的肯定。在2007年底实施之后,GSN的ARP欺骗防御功能,软件黑白名单限制功能都得到了用户的认可,而中文用户名的支持,更是帮用户减少了大量的工作。
三、军事经济学院
GSN
全局安全应用效果
1. 实现了对军网用户实名制上网的可靠管理
通过GSN身份策略体系的建立,军事经济学院的网络访问加入了身份验证这一重要的环节,同时基于GSN对于中文用户名的支持,以及学校原有的学员教员信息数据库,方便的实现了全网的实名制上网,所有安全事件都可以追溯到人,给安全管理带来了很大的便利
2. 帮助终端用户自动进行Windows补丁更新
通过假设WSUS补丁更新服务,并配合GSN的Windows补丁强联动功能,学员和教员能够方便的升级Windows补丁到最新,补齐Windows的补丁,就等于将超过90%的病毒和攻击拒之门外,大大提升了安全性
图 GSN帮助用户修复Windows漏洞
3. 协助全网部署瑞星2008杀毒软件,并确保杀毒软件正常运行
为了帮助学员和教员提升对于病毒攻击的防御,军事经济学院购买了瑞星2008防病毒软件,同时,利用GSN的防病毒软件联动功能,方便的实现了安装程序的分发,用户的强制安装、启用,以及强制用户及时更新病毒库,大大提升了防病毒软件的执行力,让学校对于防病毒软件的投资回报最大化。
图 GSN支持的部分杀毒软件
4. 强制用户安装规定的“计算机及涉密载体保密管理系统”
计算机及涉密载体保密管理系统,是上级单位下发的必须安装的软件,用以进行信息保密防护。通过GSN的软件黑白名单功能,将这个软件的安装和使用情况作为用户入网的一个必备条件,用户只要入网,则必须正确安装和使用了这个软件,否则就不允许其入网,大大提升了保密软件的使用率,保障了涉密信息的安全。
5. 进行了IP、MAC捆绑,杜绝了抢IP现象
通过GSN对于入网用户的六元素绑定功能,实现了对于用户名、密码、IP、MAC、交换机IP、交换机端口的绑定,杜绝了IP地址冲突的发生。
四、用户感言
军事经济学院的马政委对于网络安全非常的重视,他在会议中指出:“网络安全建设‘虽是局部足以影响全局,不是中心足以动摇中心。’”
网络中心的史主任也表示:“通过这次网络改造,将实名制上网有效的实行下去了,这样在安全事件发生时,可以追溯到人,以最快的速度处理,并且也保证了入网用户的身份合法性。在完善了安全建设体系之后,再没有发生过因为病毒攻击导致的网络中断或故障,管理工作轻松了很多。”
五、结语
军事经济学院对于安全管理的执着追求,加上校方与锐捷的不懈努力,以及锐捷高效稳定的设备和完善的GSN解决方案,使得军事经济学院在这次网络改造中,实现了“安全易管理,可控可追溯”的建设目标,构建了一个真正的全局安全军校网络。