构建复旦大学信息化校园安全保障体系

不良内容侵害
计算机系统漏洞 普遍存在
校园网速度快、规模大
校园网环境开放，用户活跃
复旦大学 信息化校园
信息化校园应用精彩纷呈
安全管理的特点 信息化校园数字资源相对集中
计算机系统管理方式复杂多样
校园信息化人力和资金投入有限
复旦大学安全事件投诉率
1. 垃圾邮件 2. 蠕虫病毒 3. 网页篡改 4. 主机入侵 5. DDOS攻击 6. 其他
依托技术优势
远程集群 管理工作站
备份中心服务器集群
远程应用切换
应用中心
异地数据备份 (基于IP)
系统备份容灾方案示意图
备份中心
完备的应急响应流程
监控服务器
Monitor
短信发送器
7*24值班响应
SS SS
校园网
网管处理
问题解决， 特殊情况，
记录在案
及时上报
规范管理制度
各应用系统 安全运行管理方案
q 垃圾邮件。
根据统计，每日收到的垃圾邮件和病毒邮件约占总 请求数80%，在病毒多发期此数字甚至达到90%以 上。
q 网页篡改。
即使使用了反向代理+防火墙方式为二级网站提供安 全屏障，网页被篡改现象仍然时有发生。
案例分析
q 2004年冲击波病毒。中毒电脑数量巨大， 造成网络严重阻塞。
q 主机入侵。一学生对计算机技术了解不多 ，但是他利用黑客工具进行扫描和入侵， 基本不搞破坏，较多行动是用肉机开设代 理服务器。
路技术（与上海 移动合作）
q 近年来逐步加快了无线校园网 的建设步伐
q 实现基于WEB的无线认证，师 生使用统一身份认证帐号访问
网络建设统计数据
网络出口带宽
1G 1G
1 0 01 0 0 2001年 初
100 10 30 2005年中
教育网（邯郸） 教育网（枫林） 网通（备用） 电信（备用） 科技网（备用）
2005年中
校内 校区间 总计
31 复旦大学信息化校园建设 2 安全：面临的挑战 3 复旦信息化校园安全保障体系
校园网的安全威胁
安全管理 措施不健全
内部用户 滥用网络资源
内外网黑客 入侵攻击
Add Your Text
Internet接入 防御薄弱
可随Ti意tle接入
内Ad部d y局our域tex网t
31 复旦大学信息化校园建设 2 安全：面临的挑战 3 复旦信息化校园安全保障体系
校园网安全工作的目标
安全状态及漏洞评估
安全信息管理预警 异常流量预警
预警
防护
终端安全防护 网络自身安全防护
垃圾邮件防护 应用安全防护 内网安全防护
主动防御
安全管理体系 安全信息管理 设备及配置管理 安全认证管理
管理
依托技术优势
上网实名登记、IP和学号（工号）绑定，减少安全隐患
依托技术优势
Internet
双层防火墙防护托管服务器群
硬硬件件防防火火墙墙，，有有限限端端口口 开开放放
软软件件防防火火墙墙，，规规章章 制制度度要要求求，，定定期期扫扫 描描检检查查
自行开发了基于NetFlow的网络流量监控软件，用 于对托管服务器进行流量监控和计费
DDoS攻击响应
响应 病毒蠕虫泛滥响应
安全应急响应
24×7客户支持响应
根据实际情况，自主进行一些安全方面的实践工作
网络和系统状态实时监控 流量和带宽利用率统计
网络管理手段：
•人工管理 •商用工具软件 •开发的网管软件
日常网络管理:
•性能管理 •故障管理 •配置管理 •安全管理 •记帐管理
依托技术优势
复旦校园信息化建设
硬件 集群
U-IDC
数据 集中
共享数据库 资源库
应用 集成
URP、IDS、 校园一卡通、
Portal
校园基础网络
建设成就：校园网
“一体两翼”，跨越整个上海地区的四大 校区（邯郸、枫林、张江、江湾校区）
建设成就：无线校园网
q 多种覆盖技术
q 传统纯AP蜂窝式 q 采用了天馈系统 q “GSM+WLAN”合
DDOS攻击 其他 主机入侵 网页篡改
垃圾邮件
蠕虫病毒
校园网安全事件分类（一）
针对网络和服务器
q 垃圾邮件 q 蠕虫病毒 q 网页篡改 q DDOS攻击 q 局域网ARP欺骗 q 网络扫描
校园网安全事件分类（二）
针对个人用户
q 主机入侵 q 木马 q 宏病毒 q 帐号、权限盗用 q 弱口令
案例分析
校内主干带宽（单位：M）
2G 2G
622 155 百兆
2001年初
千兆 2005年中
邯郸主干 枫林主干 楼宇接入
网络信息点
2.5万 2万多
9千 3千
2001年初
3千3千 4千 2005年中
学生公寓 教学科研 张江 江湾 光华楼
光纤铺设距离（单位：km/芯）
540 2001年初
2520 1466 1054
构建复旦大学信息化校园 安全保障体系
闫华
2006年9月21日
31 复旦大学信息化校园建设 2 安全：面临的挑战
3 复旦信息化校园安全保障体系
组织机构落实
q 单接触点、高度集成、提供个性化服务的校园信息门户(UIP--University Information Portal) q 强调管理流程集成和数据信息实时性的校园资源规划(URP--University Resource Planning)
分析垃圾邮件特征并设置 过滤规则
Inter net
黑名单 阻断
垃圾邮
件 过滤
病毒邮
件 扫描
邮件内 容 过滤
收件 箱
依托技术优势
q 信息过滤：利用旁路监听技 术，过滤不良网络访问
q 杀毒软件 – 单机版 – 网络版 – 在线杀毒
依托技术优势
q CERT q WSUS q 日志服务器
应用服务器集群
依托技术优势
多出口认证、流量监控 和整形方案
校园网出口流量分析（教育网）
校园网Web网站访问点击率排名
邮件发送服务器排名
外网对我校发动DoS攻击的服务器
内部有扫描动作的IP
BT下载流量的监视和控制
没有BT控制时 占用的带宽
打开BT控制后占 用的带宽
依托技术优势
q 邮件网关：过滤垃圾邮件 q 响应制度：根据用户举报，
故障恢复பைடு நூலகம்安全 维护流程
各应用系统 紧急情况备案
安全工作组
数据安全规范 管理办法
密码安全 管理办法
案例分析
q 垃圾邮件是Internet的最大危害之一 q 网站开发和管理人员水平参差不齐，代码编写
不规范，使注入攻击等方式有机可乘 q 随处可下载黑客工具，黑客行为傻瓜化 q 用户电脑技术不高，不会使用防火墙、杀毒软
件等安全工具 q 用户欠缺必要的信息安全知识，弱密码泛滥，
安装补丁不及时 q 学生法律意识薄弱，图一时之利，不考虑后果