校園網安全性和可管理性分析

摘要： 網絡的安全性和可管理性越來越受到人們的重視，筆者結合在網絡管理方面的一些經驗體會，從網絡病毒的預防和控制出發，采取了一些技術管理措施，有效地避免了用戶隱私和重要數據外泄，提高了網絡運行的穩定性和安全性。我們應通過建立健全的網絡管理制度，盡量避免或減少人為因素的破壞，通過先進的網絡技術手段配合管理制度對網絡進行有效管理，進一步加強校園網的安全性和可管理性。

關鍵詞： 網絡 安全 管理

互聯網進入中國以來，得到了迅速的發展和極為廣泛的應用，位于教育與科研前沿陣地的主力軍——高校，責無旁貸地成為了互聯網這一新技術的最有力推進者。從1994年國家批復立項的中國教育與科研網工程起，高校的網絡發展和網絡技術的提高一直走在全國各行業的前頭，大量的新技術在高校首先得到應用和推廣。校園網絡發展日益迅速，各種網絡應用層出不窮。網絡的安全性和管理性問題越來越多地擺在校園網管理者面前。比如：在網絡安全方面如何能有效地檢測并預防病毒和網絡攻擊，使網絡能時刻正常地運行？在運營方面，如何實現靈活運

營，如何防止不法用戶享用網絡資源？如何實現對校園網絡的應用監控等。

一、網絡病毒的預防和控制

網絡在提供給大家方便的同時，也給病毒傳播提供了最快捷的途徑。隨著網絡的飛速發展，網絡病毒編制者水平也在提高，加上近幾年網絡病毒和黑客軟件的結合，網絡病毒的爆發直接導致了用戶隱私和重要數據的外泄；同時還極大地消耗了網絡資源，造成網絡性能急劇下降。從近期的“熊貓燒香”、“灰鴿子”及大量“木馬”等網絡病毒的爆發可以看出，網絡病毒的防范任務越來越嚴峻。而防范病毒的措施需要在原來的單機方式的基礎上，進行集中管理，統一升級，統一監控網絡防病毒體系。校園網在學校的信息化建設中作為數字化信息的最重要傳輸載體，如何保證其正常運行，如何預防和控制病毒，免受各種網絡病毒的侵害，成為各高校的一個緊迫問題。下面就這些問題向大家提供一些可行性經驗。

網絡安全主要分為內部網絡安全和外部網絡安全。現在大多數網絡防護都使用防火墻，但多數防火墻都只能對外部網絡安全進行控制，目前內部網絡的應用越來越復雜，而且內部網絡上大多數的應用都特別重要，甚至是要求嚴格保密的，一旦遭遇到涉密、破壞等事件，將產生嚴重的后果。這些都使得內部網絡安全問題變得越來越重要和突出。所以說目前迫切需要解決的網絡安全問題應該主要來自于網絡的內部。

1.內部網絡的病毒防范

瀏覽染毒和非法的網站及盜版軟件應用程序的運用，導致病毒泛濫，形成對網絡安全的嚴重沖擊；另外，學生使用移動存儲設備在不同的計算機上來回拷貝文件，造成了病毒更大范圍地傳播。而且整個網絡中只要有一臺計算機中了病毒，病毒就有可能會在內部網絡中迅速傳播，導致整個校園網癱瘓，給校園網絡的運行和維護帶來極大的麻煩。

鑒于以上這些情況，網絡中心提出病毒安全智能點前置的安全方案，即在網絡的交換機上實施不同的病毒安全策略。

網絡中心通過在交換機上設置相應的病毒防護策略，配合網絡中心的認證客戶端軟件，能具體偵測到具體的某臺計算機上是否有病毒。當交換機偵測到病毒后，交換機立即給用戶發布信息提示用戶殺毒，并啟動網絡管理員配置，斷開該用戶的時間程序，比如管理員設定的時間是2小時，在發現有病毒2小時后，開通該用戶的網絡，再次檢測是否有病毒，如果用戶已經殺掉病毒，就為他開通；如果沒有殺掉繼續關閉；之后以2小時為時間段循環檢測，直到病毒被殺掉。這種策略可以控制有病毒的計算機使用網絡，同時網絡中心也知道具體哪個用戶中了什么病毒，通過網絡管理員定位和發現病毒源，保證整個網絡在無病毒狀態下正常運行。

2.內部網絡的安全監控

傳統的網絡監控是通過網絡端口鏡像或是利用抓包軟件控制，通過對流經過交換機的數據包的分析來確定用戶使用網絡的情況。這種方式有兩個最大的缺點：一是對數據包的分析需要有很高的專業知識，一般的人員完成不了；二是如果發現問題，不能自行解決。

網絡中心通過自行開發或購買配合交換機的網絡監控軟件，實現了對網絡的即時監控，這些監控包括：⑴實時記錄電腦工作臺的屏幕快照；⑵通過重播器可隨時播放已記錄的歷史畫面；⑶自由選擇每次記熒幕快照的時間間隔；⑷同時監控一個或多個工作站；⑸對用戶進行控制及其它多種功能，這些功能包括：用戶只有持有USB密鑰和密碼才能在指定電腦上網，禁止使用指定的應用程式，禁止或限制瀏覽運行指定的網站，鎖定工作站和登出、重啟或關閉工作站，并對所監控的數據進分析歸類。

二、要保證網絡的安全運行，必須加強網絡的管理性

網絡安全意識淡薄，沒有制定完善的網絡安全管理制度，在校園網絡上攻擊、侵入他人機器，盜用他人帳號，非法使用網絡，非法獲取未授權的文件，通過郵件等方式進行騷擾和人身攻擊等事件經常發生、屢見不鮮。我院網絡中心做過統計，我校主要的幾個應用服務器平均一個星期會經受到數千次甚至上萬次的非正常訪問嘗試，而其中一大部分的非法訪問源自校內，說明校園網絡上的用戶安全意識淡薄；另外，沒有制定嚴格而又完善的網絡安全管理制度，大多數校園網在安全管理上也沒有任何標準，這也是網絡安全問題泛濫的一個重要原因。我校網絡中心根據多年網絡管理和安全經驗，并且參照國家標準和技術發展方向，提出了以下校園網絡安全解決辦法：實現網絡運營——防代理、防假冒。

不同于傳統的基于802.1x的認證方式(802.1x協議是由［美］電氣與電子工程師協會提出，剛剛完成標準化的一個符合IEEE 802協議集的局域網接入的控制協議，其全稱為基于端口的訪問控制協議。它能夠在利用IEEE 802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段，達到了接受合法用戶接入，保護網絡安全的目的。802.1x認證，又稱EAPOE認證，主要用于寬帶IP城域網。)，部分交換機的配置是基于流的認證方式。基于流的認證方式是指交換機可以用基于用戶設備的MAC地址、VLAN、IP等實現認證和控制，即無需與物理端口對應，而是基于用戶認證控制，一個物理端口上實現多個用戶的接入控制。在接入層的交換設備中不需要支持802.1x，同時能解決傳統802.1x認證方式中無法解決，但對于運營又非常重要的一些問題，如代理或假冒IP和MAC及假冒DHCP SEVER等。

1.防代理

目前在校園網網絡建設中，利用客戶端所在機器上安裝代理服務器軟件實現多人共用一個賬號上網的現象非常普遍，如Wingate、Sygate、Windows提供的網絡共享功能或是使用SOHO路由器實現網絡共享。這樣學校提供給學生一條上網的線路，就會給多個學生使用，大大消耗了網絡資源，給學校的運營帶來很大的損失。有的交換機上的802.1x擴展功能和802.1x客戶端，就能防止非認證的用戶借助代理軟件從已認證的端口使用服務或訪問網絡資源，需偵測出被代理用戶和代理服務器之間代理關系，已認證通過的客戶端被當作代理服務器使用。這樣就做到了學校只提供一個網絡端口，只能有一個用戶上網。

2.專業打假

學生是一個不安分、好奇心強的群體，一方面，他們把學校的網絡當作一個實驗環境，測試各種網絡功能；另一方面，他們在不斷地尋找方法擺脫學校對學生使用網絡資源的控制。假冒DHCP SEVER和假冒IP、MAC給學校的運營管理帶來很大的麻煩。一些思維活躍的學生能設法用自己的計算機和操作系統配置一個DHCP SEVER，通過網絡上的計算機從假冒的DHCP SEVER尋找到IP地址使用，從而導致網絡上的合法用戶不能找到DHCP提供的正確IP地址，因此無法正常使用網絡資源。網絡中心通過會聚三層交換機和客戶端軟件進行配合，一旦發現有假冒的DHCP SEVER，將立即封掉該賬戶，不讓其享用網絡資源。

網絡中心針對學校網絡安全和運營管理上最薄弱的環節，提出了自己獨特的解決方案，把這些技術應用到內部網絡安全和防止不法用戶非法侵入等方面，會給全校提供一個安全和可以自由運行的網絡，同時也方便了校園網的維護，給學校的網絡管理帶來最大的效益。

參考文獻：

［１］交換機也需要網絡安全中國ＩＴ實驗室http://net.yesky.com/497/2599497.shtml， 2007/04/22.

［２］如何避免虛擬局域網可能帶來的災難？http://www.cnii.com.cn/20070108/ca397686.htm， 2007/04/22.