网络病毒、网络攻击、黑客行为等破坏行为大多利用了操作系统或者应用程序的系统安全漏洞。Windows平台的各种漏洞很多，而用户又大都是使用Windows平台上网。计算机系统只解决了50%的安全问题，另外的50%直接与用户行为相关，得依靠相关工具协助管理。

　　常用安全管理办法与不足

　　面对充满变数的互联网络环境和日益严峻的网络安全形势，网络用户主要采取以下手段进行防范：安装个人防火墙软件，拦截一些常见的破坏行为；安装网络版杀毒软件，及时防范病毒入侵；及时更新操作系统和应用程序补丁，不给破坏者提供机会。

　　即便这样，网络安全问题的解决依然存在不足：

　　由于在个人防火墙设置安全规则时，安全规则是根据网络攻击行为需要而改变的，但是用户并不清楚网络新的攻击行为，不会及时更新规则，使得个人防火墙的安全保护力度有限；

　　杀毒软件在病毒防范方面虽然有一定的效果，但还得与系统补丁的及时安装相配合，才能有效防范病毒的感染，但这些行为往往滞后于病毒发作时间。

　　操作系统或者应用程序的补丁更新方式，若直接从互联网上更新则比较慢，若在校内架设WSUS服务器，则需要用户修改配置，过程相对复杂很多，用户会觉得麻烦。

　　GSN全局安全网络系统

　　由上面的分析可以看出，构建安全的校园网需要解决以下两个关键问题：
　　(1)如何能够将校园网内所有的网络设备(路由器、交换机、防火墙、IDS等)有效加以整合，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，提升网络的可控制性、可管理性，提高网络安全的水平？
　　(2)如何保证所有接入校园网的网络终端设备(用户PC、服务器等)是安全可信的？只有保证每一台网络终端设备的安全才能确保校园网整体的安全，做到无懈可击。

　　因此，构建一个统一的安全管理平台GSN，用以实现对校园网内所有网络设备的统一管理和调配，确保接入校园网的所有网络终端设备的安全可信，是在现有网络安全防御体系的基础上发展建立的新的全局且智能的网络安全防御体系。

　　(1)后台服务层面。
　　身份认证系统——身份认证系统能够提供严格的用户接入控制，通过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证系统针对用户的入网行为，提供入网控制功能，同时，认证系统还可以实现用户帐号、用户IP、用户MAC、设备IP、设备端口的静态绑定、动态绑定以及自动绑定，保证用户入网身份的唯一性。
　　安全管理平台——安全管理平台是安全防御体系的管理与控制中心，是统一安全管理平台的核心组成部分。通过安全管理平台，可以对系统内的安全设备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理，并能有效地配置和管理全网安全设备，从而实现全网安全设备的集中管理，起到安全网管的作用。通过统一的技术方法，将系统所有的安全日志、安全事件集中收集管理，实现集中的日志分析、审计与报告。同时通过集中的分析审计，发现潜在的攻击征兆和安全发展趋势，确保安全事件、事故得到及时的响应和处理。
　　安全修复系统——安全修复系统的作用是跟踪安全漏洞的变化，能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略，点到面地自动强制分发部署补丁程序。

　　(2)网络层面。
　　安全联动设备——安全联动设备是校园网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口，同交换机、路由器、防火墙、IDS等各类网络设备实现安全联动。

　　(3)用户层面。
　　安全客户端——安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息，包括对防病毒软件信息的收集。同时，安全客户端可以评估操作系统的版本、补丁程度等信息，并且把这些信息传递到安全管理平台，没有进行适当升级的主机将被隔离到网络修复区域，从而保障网络的安全运行。与传统的解决方案不同，安全客户端通过对用户终端设备信息的搜集，可预先识别和防止用户对网络的恶意行为，排除潜在的已知和未知的安全风险。

　　部署GSN系统

　　湖南大学网络信息中心通过对锐捷网络的GSN系统进行评估后，安排了GSN系统的首批试点部署。时间从2005年10月14日到2005年10月21日。GSN系统试点部署对象为化学化工学院、土木工程学院、机械汽车学院、电气与信息学院、老化工院大楼(电气院和化工院共用)。

　　在GSN系统的部署中网络设备大部分采用了锐捷RG 2126G和部分锐捷1926G交换机。

　　GSN系统平台的服务器配置要求如下：
　　SAM II身份认证服务器1台；
　　RG-2SMP统一安全管理平台服务器1台；
　　全网的补丁管理系统服务器1台；
　　RG-SMS安全客户端管理系统服务器 1台；
　　在实际建设中，配置了如下3台服务器。
　　SAMII身份认证服务器：HP DL380G4(2*3.6G Xeon/2G ram)1台。
　　全网的补丁管理系统服务器：HP DL380G4(2*3.6G Xeon/2G)1台。
　　RG-SMPR和G-SMS服务器： HP DL380G4(2*3.6G Xeon/4G)1台。

　　GSN系统应用体验GSN方便了管理

　　在GSN系统的应用过程中，我们发现该系统给网络的管理带来了很大的方便，具体表现如下。

　　(1)GSN让每个用户在网络中可信和健壮。GSN给所有的接入网络用户都赋予相应的身份，使网络管理有了良好的基础；确保所有接入网络的终端系统具备最基本的安全功能，并能随时掌握网络的运行情况，这些对于网管人员来说是非常重要和有价值的。

　　(2)GSN让管理员对用户信息的了解更为清晰。网管可以通过该系统查询用户详细信息和用户计算机的相关信息。

　　(3)GSN让管理员随时掌握网络的运行情况。网管人员可以方便查询安全事件列表库和每个安全事件特征。

　　(4)管理员可以很方便地根据事件制定网络安全规则，安全规则的查询更为方便。根据网络运行状况制定和添加相应的安全策略和规则，设置相关策略模板信息。而且，为了防止网管人员在处理安全事件时出现遗漏现象，系统可自动提示未处理的安全事件的详细信息对话框以提醒网管人员注意。

　　(5)GSN可轻松控制整个网络的应用情况。GSN系统让网管员轻松地通过定制高级规则策略、查看服务和入侵预防的特征库等系统功能模块而控制整个网络的应用情况。

　　GSN解放了用户

　　(1)用户在网络安全出现问题时可得到很好的帮助，如图3所示的补丁自动升级管理功能，用户不用干预，终端系统安全性上升，网络管理人员的工作量也大大降低。

　　(2)管理员可以实时地进行安全控制。不用用户干预，GSN系统对用户终端系统进行自动修复。

　　通过下发消息和应用程序功能，让用户拥有知情权。

　　(3)安全客户端有效地保护用户的终端系统。统一的系统安全规则下发，终端系统会始终处于RG-SA的保护之下，不专业的用户不用为每一条“看不懂”的规则伤脑筋。

　　GSN净化了网络环境

　　(1)自动安全防御，降低安全事故率。通过安全事件的自动处理功能，越来越多的安全事件可以在系统中自动处理，网络安全事故下降。

　　(2)报表的统计提高了网络安全规则的目的性。通过GSN中的报表功能，有利于分析安全事故，及时修订规则和策略，从而提高网络安全规则的目的性。

　　该系统用到了一定阶段，我们发现，随着安全规则的逐步到位，安全事故大幅减少，网络环境得到了净化。

　　(作者单位为湖南大学网络信息中心)

　　来源：《中国教育网络》2006年6月刊