中學(xué)校園網(wǎng)絡(luò)安全管理經(jīng)驗談

☆ 劉有長

（中山大學(xué)附屬中學(xué)三水實驗學(xué)校，廣東佛山 528145）

中學(xué)校園網(wǎng)絡(luò)安全管理經(jīng)驗談

☆ 劉有長

（中山大學(xué)附屬中學(xué)三水實驗學(xué)校，廣東佛山 528145）

一、引言

隨著中學(xué)校園網(wǎng)絡(luò)應(yīng)用的不斷深入，校園網(wǎng)上各種應(yīng)用和信息急劇增多，網(wǎng)絡(luò)用戶數(shù)量的成倍增加，網(wǎng)絡(luò)的安全問題也不斷暴露出來，如何保障中學(xué)網(wǎng)絡(luò)的正常運(yùn)行、確保資源的安全訪問，避免校園網(wǎng)絡(luò)遭受病毒、惡意軟件和黑客的攻擊就顯得十分重要。

中學(xué)校園網(wǎng)絡(luò)在建設(shè)和運(yùn)行的過程中，必須針對不同的安全威脅，采用不同的網(wǎng)絡(luò)安全管理方法，制定相應(yīng)的安全防范措施，確保校園網(wǎng)絡(luò)的正常工作。中學(xué)校園網(wǎng)絡(luò)安全管理主要包括兩方面：一方面是針對校園網(wǎng)絡(luò)實體的物理安全管理，另一方面是針對網(wǎng)絡(luò)信息的邏輯安全管理。

二、物理安全管理

1.防靜電管理

靜電是由物體的摩擦或電子設(shè)備感應(yīng)而引起的，產(chǎn)生靜電后的電子設(shè)備元件極易吸附灰塵，導(dǎo)致設(shè)備加速老化或出現(xiàn)故障，校園網(wǎng)絡(luò)的電子設(shè)備應(yīng)配備良好的接地系統(tǒng)避免靜電，同時，應(yīng)將容易生產(chǎn)靜電的設(shè)備分開安裝，防止由于靜電放電損壞校園網(wǎng)絡(luò)設(shè)備的線路板。

2.防雷擊管理

校園網(wǎng)絡(luò)設(shè)備采用大規(guī)模集成電路芯片，其耐過電壓，過電流的能力極低，要防止其遭到雷擊。因此，應(yīng)根據(jù)被保護(hù)設(shè)備的特點和雷電侵入的不同途徑，對于校園網(wǎng)絡(luò)的中心機(jī)房和一般設(shè)備，采取相應(yīng)的防護(hù)措施，分類分級保護(hù)。

3.防電磁泄露管理

校園網(wǎng)絡(luò)中電子設(shè)備工作時會產(chǎn)生電磁波，這些電磁信號可被高靈敏度的接收設(shè)備接收并進(jìn)行分析、還原，造成信息泄露。防電磁泄露的常用方法有三種：一是抑制電磁波發(fā)射；二是屏蔽隔離電磁波；三是對電磁波進(jìn)行相關(guān)干擾。

4.防火管理

火災(zāi)一般是由于電氣原因，人為或外部火災(zāi)蔓延引起的，應(yīng)經(jīng)常檢查校園網(wǎng)絡(luò)的設(shè)備，以及校園網(wǎng)絡(luò)各種電路的安全性，做好各種防火措施。

5.防盜管理

校園網(wǎng)絡(luò)設(shè)備被盜造成的損失可能遠(yuǎn)超過計算機(jī)本身的價值，計算機(jī)中重要信息的丟失是無法復(fù)制恢復(fù)的，應(yīng)采取嚴(yán)格的防范措施，對于重要的計算機(jī)系統(tǒng)及外部設(shè)備，可安裝防盜報警裝置及制定相應(yīng)的安全保護(hù)措施。

三、邏輯安全管理

1.防病毒管理

計算機(jī)病毒是能夠通過某種途徑潛伏在計算機(jī)存儲介質(zhì)或程序里，當(dāng)達(dá)到某種條件時即被激活的具有對計算機(jī)資源進(jìn)行破壞作用的一組程序或指令集合。在中學(xué)校園網(wǎng)絡(luò)條件下計算機(jī)病毒除了具有可傳播性、可執(zhí)行性、破壞性等共性外，還具有傳播性強(qiáng)、擴(kuò)散面廣、傳播的形式復(fù)雜多樣等一些新的特點。

中學(xué)校園網(wǎng)預(yù)防病毒的措施主要是備份重要數(shù)據(jù)、安裝殺毒軟件、為操作系統(tǒng)打上補(bǔ)丁、及時關(guān)注流行病毒以及下載專殺工具、注意使用電腦時候的異常情況、注意定期掃描系統(tǒng)病毒、建立有效的計算機(jī)病毒防護(hù)體系。

中學(xué)計算機(jī)校園網(wǎng)絡(luò)預(yù)防病毒的方法主要有三種：一是軟件防治病毒，通過定期或不定期地利用反病毒軟件檢測計算機(jī)的病毒感染情況；二是在計算機(jī)上安插防病毒卡，防病毒卡可以達(dá)到實時檢測的目的，但防病毒卡的升級不方便，從實際應(yīng)用的效果看，對計算機(jī)的運(yùn)行速度有一定的影響；三是在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。上述三種方法，都是防病毒的有效手段，應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。

中學(xué)校園網(wǎng)絡(luò)防病毒的管理，首先應(yīng)從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度，對網(wǎng)絡(luò)系統(tǒng)的管理員加強(qiáng)法制教育和職業(yè)道德教育，規(guī)范工作程序和操作規(guī)程，對校園網(wǎng)絡(luò)普通用戶，尤其是對學(xué)生用戶應(yīng)進(jìn)行思想教育，培養(yǎng)他們正確使用校園網(wǎng)絡(luò)的好習(xí)慣，樹立起校園網(wǎng)絡(luò)防病毒的觀念。我們應(yīng)該注意定期掃描系統(tǒng)，在上網(wǎng)時避免訪問非正規(guī)的網(wǎng)站及下載文件，在收到帶有附件的電子郵件時，應(yīng)該先對附件進(jìn)行病毒掃描確保安全后再打開。

2.防火墻管理

防火墻工作方式是將校園內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）之間或者內(nèi)部不同網(wǎng)段間互相隔離，通過訪問控制的方式來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻最常見的應(yīng)用是用來防止外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)路）上的危險（非法訪問和攻擊等）傳播到需要保護(hù)的內(nèi)部校園網(wǎng)絡(luò)，也可能在校園網(wǎng)絡(luò)內(nèi)部為了保護(hù)一些關(guān)鍵部門而設(shè)置內(nèi)部網(wǎng)絡(luò)防火墻。

防火墻有多種形式，有以軟件形式運(yùn)行在普通計算機(jī)之上的，也有以固件形式設(shè)計在路由器之中的。目前，防火墻主要有三類：包過濾防火墻、應(yīng)用代理型防火墻和狀態(tài)監(jiān)測型防火墻。包過濾型防火墻對用戶來說是透明的，處理速度快而且易于維護(hù)。應(yīng)用代理型防火墻比包過濾更為可靠，但對用戶不透明。狀態(tài)監(jiān)測型防火墻非常堅固，但它會降低網(wǎng)絡(luò)的速度，而且配置也比較復(fù)雜。

中學(xué)校園網(wǎng)防火墻的管理有自己的原則，校園網(wǎng)與普通企業(yè)上網(wǎng)不同，因為一般企業(yè)上網(wǎng)主要是“防外”，防止互聯(lián)網(wǎng)上的黑客對內(nèi)部網(wǎng)絡(luò)的攻擊，而安裝在校園網(wǎng)上的防火墻，既要有“防外”的功能，又要有“防內(nèi)”的功能。所謂“防內(nèi)”，是因為學(xué)生中有不少網(wǎng)絡(luò)愛好者，在好奇心的驅(qū)使下或者是為了滿足某種單純的心理需要，會從互聯(lián)網(wǎng)上下載黑客工具，不顧后果的對校園網(wǎng)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊，特別是對學(xué)校內(nèi)部某些可能存放著重要資料的服務(wù)器進(jìn)行攻擊，使學(xué)校的校園網(wǎng)絡(luò)遭受到不必要的損失。所以，設(shè)置校園網(wǎng)防火墻一方面要建立合理有效的安全過濾原則，對網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議、端口、源／目的地址、流向進(jìn)行審核，嚴(yán)格控制內(nèi)網(wǎng)用戶的非法訪問。對于校園的一些WEB服務(wù)、FTP服務(wù)和Email等公共服務(wù)，可以利用防火墻建立DMZ（非軍事化區(qū)）進(jìn)行防護(hù)。

3.VPN管理

VPN是慮擬專用網(wǎng)，它是利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施，通過“隧道”技術(shù)、加密技術(shù)、認(rèn)證技術(shù)和訪問控制等手段為我們提供了一種通過公用網(wǎng)絡(luò)安全地對內(nèi)部專用網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問的連接方式，達(dá)到與專用網(wǎng)絡(luò)類似的安全性能。使用者可以非常安全地傳輸重要信息和數(shù)據(jù)，而不必?fù)?dān)心會被攔截，從而輕松實現(xiàn)互聯(lián)網(wǎng)絡(luò)辦公現(xiàn)代化。

VPN的主要目的是建立一種靈活、低成本、可擴(kuò)展的網(wǎng)絡(luò)互連手段以替代傳統(tǒng)的長途專線連接和遠(yuǎn)程撥號連接，但同時VPN也是一種實現(xiàn)校園網(wǎng)絡(luò)內(nèi)部網(wǎng)安全隔離的有效方式。其優(yōu)點是：其一，成木低。VPN在設(shè)備的使用量上比專線方式的架構(gòu)節(jié)省，故能使網(wǎng)絡(luò)的總成本降低。其二，良好的安全性。VPN架構(gòu)中采用了多種安全機(jī)制，如隧道、加密、認(rèn)證、數(shù)字簽名等技術(shù)，確保資料在公眾網(wǎng)絡(luò)中傳輸時的安全。其三，網(wǎng)絡(luò)架構(gòu)彈性大。VPN的平臺具備完整的擴(kuò)展性，從大學(xué)校園網(wǎng)絡(luò)的設(shè)備到小學(xué)幼兒園校園網(wǎng)絡(luò)的設(shè)備，甚至個人撥號用戶設(shè)備，均可被包含在整體的VPN架構(gòu)中，以致他們可以在任何地方，都可以通過Internet訪問校園網(wǎng)絡(luò)的內(nèi)部資源。

筆者所在校坐落于廣東佛山三水逕口華僑經(jīng)濟(jì)區(qū)內(nèi)，而中山大學(xué)附屬中學(xué)位于廣州市，每個校區(qū)都有自己獨立的校園網(wǎng)絡(luò)，通過光纖接入互聯(lián)網(wǎng)絡(luò)，提供的公共網(wǎng)絡(luò)服務(wù)有電子郵件服務(wù)、WEB服務(wù)、DNS域名服務(wù)、多媒體視頻點播等。為了加強(qiáng)兩校區(qū)的合作，開展教學(xué)和科研的聯(lián)合辦公，考慮到校園網(wǎng)絡(luò)的安全因素，我們采用了VPN技術(shù)，采用Intranet VPN的模式來實現(xiàn)兩校區(qū)的互聯(lián)。對于在校外需要訪問學(xué)校內(nèi)部網(wǎng)絡(luò)的用戶，包括教師在線辦公和學(xué)生在線學(xué)習(xí)，我們采用 Remote Access VPN的模式來實現(xiàn)。

4.VLAN管理

VLAN是一種將局域網(wǎng)（LAN）設(shè)備從邏輯上劃分成多個網(wǎng)段（或者說是更小的局域網(wǎng)），從而實現(xiàn)虛擬工作組（單元）的數(shù)據(jù)交換技術(shù)。

VLAN在校園網(wǎng)絡(luò)中心交換機(jī)的實現(xiàn)方法，可以大致劃分為六類：①基于端口的VLAN，可以防止非法入侵者從內(nèi)部盜用IP地址；②基于MAC地址的VLAN，這種方式的VLAN的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN；③據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要；④根據(jù)IP組播的VLAN，即認(rèn)為一個IP組播組就是一個VLAN；⑤按策略劃分的VLAN，基于策略組成的VLAN能實現(xiàn)多種分配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等；⑥按用戶定義、非用戶授權(quán)劃分的VLAN。

對校園網(wǎng)絡(luò)劃分VLAN的好處主要有二個：第一，控制廣播風(fēng)暴，一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，可以控制廣播風(fēng)暴的產(chǎn)生。第二，提高網(wǎng)絡(luò)整體安全性，通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

中學(xué)校園網(wǎng)絡(luò)劃分VLAN的管理，主要考慮計算機(jī)網(wǎng)絡(luò)，視頻監(jiān)控網(wǎng)絡(luò)的安全運(yùn)行，以及各部門和各處室的信息安全，提高校園網(wǎng)絡(luò)的性能，實踐中對學(xué)生計算機(jī)機(jī)房，學(xué)生電子閱覽室等場室劃分不同的VLAN，可以提高校園網(wǎng)絡(luò)的安全級別。

5.IDS管理

IDS是入侵檢測系統(tǒng)，就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。

IDS在校園網(wǎng)絡(luò)的使用和管理，大多數(shù)的入侵檢測的接入方式都是采用 pass－by方式來偵聽網(wǎng)絡(luò)上的數(shù)據(jù)流，所以，這就限制了IDS本身的阻斷功能，IDS只有靠發(fā)阻斷數(shù)據(jù)包來阻斷當(dāng)前行為，并且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎(chǔ)之上的一些行為，如Telnet、FTP、HTTP等，而對于一些建立在UDP基礎(chǔ)之上就無能為力了。因為，防火墻的策略都是事先設(shè)置好的，無法動態(tài)設(shè)置策略，缺少針對攻擊的必要的靈活性，不能更好地保護(hù)網(wǎng)絡(luò)的安全，所以，需要建立IDS與防火墻的聯(lián)動機(jī)制，其目的就是更有效地阻斷所發(fā)生的攻擊事件，從而最大程度保障校園網(wǎng)絡(luò)的安全。

四、結(jié)束語

中學(xué)校園網(wǎng)絡(luò)是一個復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們要根據(jù)實際情況，針對不同的網(wǎng)絡(luò)結(jié)構(gòu)和不同的網(wǎng)絡(luò)應(yīng)用，采用不同的網(wǎng)絡(luò)安全管理方法，構(gòu)建一個綜合立體的安全校園網(wǎng)絡(luò)環(huán)境，在采取安全防范措施的同時，還必須有完善的安全管理規(guī)章制度和切實可行的安全管理機(jī)構(gòu)，才能有效地實現(xiàn)校園網(wǎng)安全、可靠、穩(wěn)定的運(yùn)行，為學(xué)校的信息化建設(shè)保駕護(hù)航。

[1]張治元.校園網(wǎng)安全威脅及其應(yīng)對策略探討.長沙通信職業(yè)技術(shù)學(xué)院學(xué)報,2004,(04).

[2]馬駿,周君儀.淺談校園網(wǎng)網(wǎng)絡(luò)安全及防范技術(shù).廣西輕工業(yè), 2007,(09).

[3]周莉.談校園網(wǎng)的建設(shè)與安全管理.電腦知識與技術(shù)(學(xué)術(shù)交流), 2007,(16).

[4]趙建偉.淺談校園網(wǎng)安全管理.科技信息(科學(xué)教研),2007,(25).

[5]弋建偉.淺析校園網(wǎng)安全.陜西師范大學(xué)學(xué)報(哲學(xué)社會科學(xué)版), 2007,(S2).

[6]王峻,劉定富.校園網(wǎng)的安全問題及防護(hù)措施.軟件導(dǎo)刊,2007, (16).

劉少穎]