多维校园网安全模型研究

摘 要：介绍了生物免疫原理，简要分析了生物免疫系统为构建健壮的计算机安全系统提供的线索，并将其思想融合在多维校园网安全模型的研究设计中。在网络安全层面分析了安全产品互操作和联动管理的需求，介绍了开放式管理框架OPSEC的相关技术，研究了网络安全监控系统与其他安全产品(如防火墙、入侵检测系统)之间联动管理的实现方式及对整体网络安全性能的影响。

关键词：生物免疫； 多维网络安全； 开放式管理框架； 安全联动

中图分类号：TN915.08-34; TP393文献标识码：A文章编号：1004-373X(2011)21-0122-03

Research on Security Model of Multi-dimensional Campus Network

SUN Xiao-le， GAO Dong-huai， JIN Hao-jie

(Network Center, Fourth Military Medical University, Xi’an 710032，China)

Abstract：

The basic principle of biological immunology is introduced, which was used in the design of multidimensional campus network security model. Several important clues for constructing a robust network security system by biological immunology system are analyzed. Moreover, the inter-operation and interaction management requirements of network security products (belongs to the network security layer) are analyzed. The related technologies of open system management framework OPSEC are introduced. The implementation of interaction management between network security monitoring system and other security products is studied, such as firewall and IDS. All of these make campus network more secure.

Keywords： biological immunology; multi-dimensional network security; OPSEC; interaction of security

1 校园网络存在的严峻安全问题

随着网络应用的深入，校园网所面临的安全问题也日益严峻。当前校园网络采取的安全防御技术手段主要有部署安全路由器，加强用户接入认证等等，这些防御手段对防止系统被非法入侵有一定效果，但由于它们是被动方式的防御，针对性和灵活性不强，对未知攻击的防御效果不明显，防护措施的有效程度仅在网络层以下［1］，不能起到很好的整体防御效果。

防火墙和入侵检测系统在一定程度上能有效弥补被动防御的不足，提供对内、外部攻击和误操作的实时保护。但是传统集中式架构是在网络的不同网段放置一个或者多个传感器来搜集信息, 然后将这些信息传送到控制中心进行处理和分析［2］。这样的集中处理存在着如控制中心负荷太大、网络传输时延较为严重、网络性能降低等诸多问题，特别是在异构、高速的校园网络中这些问题就显得尤为突出。校园网安全面临着各种挑战，这也对网络安全技术提出了更高要求。智能联动管理机制、生物神经网络和免疫原理等在计算机网络安全领域的融合和使用已成为行业主要发展趋势。本文主要研究怎样借鉴生物免疫原理和智能联动管理机制来构建一个安全可信的网络计算环境。

2 生物免疫原理与应用

网络安全问题与生物免疫问题具有惊人的相似性：二者都要在不断变化、恶意丛生的外在环境中维持系统的内在安全［3］。计算机安全系统的构建可以借鉴生物免疫系统多种有效的问题解决机制。

生物免疫系统是生物体长期进化过程中不断地适应环境而产生的，它包括天然免疫和获得性免疫。天然免疫与生俱来，对各种病原体都有一定的防御功能；获得性免疫主要由自适应免疫系统(由淋巴细胞组成)产生。根据免疫功能的不同，淋巴细胞可以分为B，T两种［4］。B细胞通过分泌抗体与抗原相结合，以实现对抗原的清除，T细胞在免疫反应过程中能刺激和抑制B细胞的增殖和分化［5］。对免疫调节有重要的作用。获得性免疫系统在“初次响应”抗原之后，免疫系统便使用免疫记忆来记住抗原特征；当再次遇到时会产生“再次响应”，从而迅速、有效地消除病原体［6］。

3 基于免疫原理的多维网络安全系统的构建

综上所述，可以看到生物免疫系统是一个复杂的多层系统［7］。尊重生物免疫的多层保护机制、高度分布机制和独特性等原理，这里为校园网络设计了三层安全防护技体系：

用户安全 向用户提供网络版的终端杀毒软件、系统补丁自动更新服务，并且要求用户设立三级密码。

接入安全 接入终端根据不同的物理环境、业务要求和保密等级，严格执行“专机入网，专线连接，专室放置，专盘存储，专人管理”的“五专”要求，根据安全级别要求采用IP和MAC绑定、802.1X接入认证，用户名、计算机、交换机和IP地址“四绑定”以及出口网关控制等管控措施。

网络安全 在网络重要区域部署防火墙、防毒墙、入侵检测、漏洞扫描、信息审计、防篡改等系统安全防护设施。

用户安全和接入安全相关措施能在一定程度上防御外网风险，但对于IP/MAC欺骗攻击或从校园网内部发起的攻击没有很好的防御效果。在校园网的相应安全管控措施中，针对不同级别的校内用户开放不同权限的服务，对于内网重要服务器和网站指定专人授权管理并定时更换各级管理员账号密码；监督校内用户及时升级杀毒软件、更新病毒库，打造相对安全的校园网络环境；及时升级网络出口、提高网速，做到主干万兆、区域千兆、桌面百兆，尽量降低IP欺骗攻击中TCP会话劫持的可能性；对于校外用户的访问实现端口限制，关闭不必要的端口，部分对外开放校园网络访问功能，以降低风险。

网络安全这一层面需要的是一个综合的解决方案，木桶原理就形象地说明了这一点。面对层出不穷的网络安全问题，各种品牌的网络安全产品应运而生，如防火墙、网络安全隐患扫描器、系统实时监控器、VPN网关、网络防病毒软件等。目前单一的网络安全产品已经远远不能满足网络安全方面的诸多需要；多个网络安全产品的简单堆叠也只是各个单一功能的组合，甚至还可能出现功能方面的相互制约。

4 网络安全层联动式管理研究

为解决网络安全设备集中式架构带来的负荷大、不灵活等问题，更好得保护内网不受外来入侵、规范师生员工的上网活动，我中心部署了以宽带网络为硬件平台，可以对局域网活动内容进行实时监控的软件系统――“网络安全监控系统［8］”，如图1所示。