校園局域網(wǎng)安全解決方案

韓多龍

（河北正定中學(xué)，河北石家莊 050800）

隨著學(xué)校教育信息化的不斷發(fā)展，計算機數(shù)量及網(wǎng)絡(luò)規(guī)模越來越大。河北正定中學(xué)現(xiàn)在已有計算機1200多臺，交換機、路由器等網(wǎng)絡(luò)設(shè)備將近100臺，家屬院網(wǎng)絡(luò)也由我校網(wǎng)絡(luò)中心接入，網(wǎng)絡(luò)接點更多，2006年我校新校區(qū)從主校區(qū)接入Internet，而且以后規(guī)模逐漸增大，同時網(wǎng)絡(luò)硬件、軟件安全問題越來越突出。

一、物理安全

1.網(wǎng)絡(luò)中心設(shè)備安全

網(wǎng)絡(luò)中心已安裝防盜網(wǎng)，建議外窗也安裝上，平時注意窗戶和門上鎖，定期對網(wǎng)絡(luò)中心和服務(wù)器進行整理和保養(yǎng)，防止服務(wù)器受潮和灰塵的污染，定期對電線及各種線路進行檢查，以免發(fā)生電源故障，平時還要注意防火和防雷，保障機房的安全。

2.辦公樓、圖書館等各個交換點的安全

對辦公樓、圖書館及各個教學(xué)樓的網(wǎng)絡(luò)設(shè)備進行定期檢查，對數(shù)量進行清查，定期清掃設(shè)備，對線路進行整理，防止出現(xiàn)漏電現(xiàn)象的發(fā)生；家屬院的網(wǎng)絡(luò)設(shè)備每學(xué)期進行檢查，更要注意上鎖，保障設(shè)備的安全，還要檢查各網(wǎng)絡(luò)節(jié)點，以防止外部環(huán)境進入我校網(wǎng)絡(luò)。

二、網(wǎng)絡(luò)層安全

我校已有上千臺機器，隨著網(wǎng)絡(luò)的不斷增大，需要對網(wǎng)絡(luò)進行劃分，劃分成多個網(wǎng)絡(luò)及將網(wǎng)絡(luò)分出不同的等級，還要對各個網(wǎng)絡(luò)之間進行訪問控制。

1.劃分多個子網(wǎng)

我?，F(xiàn)已劃分18個虛擬局域網(wǎng)，辦公樓1個、各個教學(xué)樓1個、電教樓和圖書館及后勤3個、學(xué)生機房3個、備課室3個、家屬院2個、新校區(qū)5個，這樣可以防止網(wǎng)絡(luò)廣播風暴的發(fā)生，還可以在各個Vlan之間進行網(wǎng)絡(luò)層訪問控制。

2.加強各個網(wǎng)絡(luò)之間的訪問控制

在中心交換機上對校園網(wǎng)內(nèi)各個Vlan只允許必要的協(xié)議通過，對于具有威脅性或者易受病毒感染的協(xié)議和端口進行屏蔽；對服務(wù)器Vlan進行重點設(shè)置，只開放必要的端口；在路由器上進行一些設(shè)置，對學(xué)生教室和機房進行有效控制；還要注意學(xué)校內(nèi)網(wǎng)與Internet之間的訪問控制，在路由器和外網(wǎng)之間加上防火墻，對外部的內(nèi)容進行過濾，這樣可有效地解決一些外網(wǎng)對我校的攻擊。

3.定期對網(wǎng)絡(luò)安全進行檢測

現(xiàn)在互聯(lián)網(wǎng)病毒日益泛濫，黑客攻擊較多，每天要查看中心交換機、路由器的運行情況，提供快速響應(yīng)故障的手段，同時還可以具備較好的安全取證，消除網(wǎng)絡(luò)隱患；定期對交換機和路由器做出備份，以在發(fā)生災(zāi)難性破壞時對系統(tǒng)進行恢復(fù)，保障校園網(wǎng)的正常運行。

三、系統(tǒng)安全

1.服務(wù)器端系統(tǒng)安全

現(xiàn)在服務(wù)器分為Win2003和Win2000操作系統(tǒng)，服務(wù)器劃分為獨立的Vlan，由于各個服務(wù)器承擔了不同的功能和資源，對服務(wù)器要做出相應(yīng)的安全策略，對于Win2003系統(tǒng)做出防火墻策略。只開放服務(wù)器及軟件相應(yīng)的功能和端口，防止黑客的攻擊和病毒的感染，如果出現(xiàn)惡意攻擊及時向領(lǐng)導(dǎo)匯報。定時對服務(wù)器進行漏洞掃描，及早發(fā)現(xiàn)隱患，定時升級和打補丁，以及打好各個軟件的補丁。還要注意密碼的保護和設(shè)置，對服務(wù)器整個系統(tǒng)進行備份。

2.客戶端系統(tǒng)安全

我?，F(xiàn)已達到每人一臺計算機，加上各科室計算機，數(shù)量較多，這樣要求每臺計算機使用機主和科室的拼音名字，以防止重名，而且能夠快速查出網(wǎng)絡(luò)故障和安全隱患的根源，有效地防止了對整個網(wǎng)絡(luò)造成的影響。

四、軟件安全

1.服務(wù)器資源安全

我校擁有 WWW、FTP、CNKI、校信通等多個服務(wù)器資源，對于有數(shù)據(jù)變化的資源，要做到每天對數(shù)據(jù)庫進行備份。服務(wù)器資源的訪問也要做到不同等級的控制，至于對外公布的WWW服務(wù)，每天要注意網(wǎng)頁內(nèi)容，對于反動、不安全因素及時刪除，以免造成不良影響。除WWW、FTP以外，所有資源只允許校內(nèi)訪問，對有后臺管理頁面的只允許管理員進行訪問，以防止程序和資源被破壞。

2.殺毒軟件的安裝

服務(wù)器端定時對殺毒軟件進行升級，每臺計算機要求安裝、運行瑞星殺毒軟件，對殺毒軟件進行防病毒安全策略設(shè)置，每天對計算機進行殺毒匯總，及時注意流行病毒的發(fā)作，對于一些流行病毒要及時找出專殺工具，放置于學(xué)校主頁上供客戶端下載，防止大規(guī)模病毒傳染，保障校園網(wǎng)的正常運行。

3.賬號和密碼保護

首先是服務(wù)器賬號、密碼，設(shè)置要復(fù)雜，符合密碼安全設(shè)置要求，只允許微機調(diào)教組管理員擁有，注意密碼的保密，并且每學(xué)期對服務(wù)器密碼進行修改。其次是FTP應(yīng)用，由于我校FTP使用量較大，并且對外發(fā)布，對FTP有管理權(quán)限的賬號和密碼不能公布于網(wǎng)上，現(xiàn)在很多教師的賬號和密碼設(shè)置過于簡單，建議重新設(shè)置，或者經(jīng)常修改，防止黑客進行漏洞攻擊，造成數(shù)據(jù)的丟失。對于網(wǎng)頁和軟件后臺管理的賬號和密碼，只允許管理員擁有，需要其他非專業(yè)教師知道的，使他的權(quán)限和功能降至最低，以免發(fā)生誤操作。

五、管理層安全

1.網(wǎng)絡(luò)中心管理制度

網(wǎng)絡(luò)中心由專人負責，非網(wǎng)管人員不得隨意進入，在網(wǎng)絡(luò)中心內(nèi)不得隨意安裝其它電器和非服務(wù)器工作站。對網(wǎng)絡(luò)的核心資源實行備份保護(含硬件、軟件、數(shù)據(jù))，存放核心資源的場所要有嚴密的安全保障措施。未經(jīng)網(wǎng)絡(luò)中心許可，各部門不得對現(xiàn)有網(wǎng)絡(luò)(包括網(wǎng)絡(luò)設(shè)備和軟件配置)隨意改動。加強對有權(quán)限進入網(wǎng)絡(luò)工作的人員的管理，對網(wǎng)絡(luò)口令實行分權(quán)分級別管理，同級別的口令不得互用，要定期對口令進行修改并備案存檔。

2.網(wǎng)絡(luò)設(shè)備及軟件的管理

網(wǎng)絡(luò)設(shè)備只允許網(wǎng)絡(luò)管理員進行管理，管理員需掌握每個網(wǎng)絡(luò)設(shè)備的安裝地點和相關(guān)配置，對于施工和其他維修人員必須有一位管理員陪同或協(xié)助進行管理，在期間注意密碼及資料的保密。

在軟件光盤管理方面，必須嚴格其使用和借出程序，只允許管理員進行使用，并且在學(xué)校范圍內(nèi)，平時還要注意軟件的維護和保養(yǎng)，對一些操作系統(tǒng)和軟件正版盤做出備份。

以上從多個層面來構(gòu)造我校局域網(wǎng)安全解決方案，需要強調(diào)的是，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，不是單一的產(chǎn)品或技術(shù)可以完全解決的。這是因為網(wǎng)絡(luò)安全包含多個層面，既有層次上的劃分、結(jié)構(gòu)上的劃分，也有防范目標上的差別。在層次上涉及物理層的安全、網(wǎng)絡(luò)層的安全、傳輸層的安全、應(yīng)用層的安全等；在結(jié)構(gòu)上，不同節(jié)點考慮的安全是不同的；在目標上，有些系統(tǒng)專注于防范破壞性的攻擊，有些系統(tǒng)是用來檢查系統(tǒng)的安全漏洞，有些系統(tǒng)用來增強基本的安全環(huán)節(jié)（如審計），有些系統(tǒng)解決信息的加密、認證問題，有些系統(tǒng)考慮的是防病毒的問題。任何一個產(chǎn)品不可能解決全部層面的問題，這與系統(tǒng)的復(fù)雜程度、運行的位置和層次都有很大關(guān)系，因而一個完整的安全體系，應(yīng)該是一個由具有分布性的多種安全技術(shù)或產(chǎn)品構(gòu)成的復(fù)雜系統(tǒng)，既有技術(shù)的因素，也包含人的因素。用戶需要根據(jù)自己的實際情況選擇適合自己需求的技術(shù)、產(chǎn)品、安全解決方案。

[1]李壽廷.計算機網(wǎng)絡(luò)安全技術(shù)[J].才智，2009，（12）.

[2]虞坤源.PLC控制技術(shù)在橫排頭閘門控制中的應(yīng)用[J].安徽水利水電職業(yè)技術(shù)學(xué)院學(xué)報，2009，（2）.

[3]嚴有日.論計算機網(wǎng)絡(luò)安全問題及防范措施[J].赤峰學(xué)院學(xué)報(自然科學(xué)版)，2010，（3）.