北京師范大學(xué)構(gòu)筑校園網(wǎng)防毒圍城

文/張瑞

北京師范大學(xué)構(gòu)筑校園網(wǎng)防毒圍城

文/張瑞

根據(jù)《中國教育網(wǎng)絡(luò)》雜志在2009年5月底對全國高校的校園網(wǎng)安全狀況所做的調(diào)查顯示，近1年內(nèi)發(fā)生過的網(wǎng)絡(luò)安全事件的學(xué)校占60%以上，發(fā)生的網(wǎng)絡(luò)安全事件種類繁多，其中病毒、蠕蟲、木馬、惡意代碼、網(wǎng)頁被篡改、DOS攻擊等仍是校園網(wǎng)安全威脅的重點。而國家計算機病毒應(yīng)急處理中心在《2009年中國計算機病毒疫情調(diào)查技術(shù)分析報告》（簡稱《報告》）中也指出：網(wǎng)上制作、販賣病毒、木馬的活動日益猖獗，利用病毒、木馬技術(shù)的網(wǎng)上侵財活動呈快速上升趨勢，這些情況表明我國網(wǎng)上治安形勢嚴峻。可見，對于網(wǎng)民活躍度高的大學(xué)校園來說，校園網(wǎng)的部署錯綜復(fù)雜、終端設(shè)備星羅棋布、應(yīng)用類型增多、在校用戶眾多等特點，讓校園網(wǎng)的安全問題一直都是高懸于頂?shù)摹斑_摩克利斯之劍”。

作為信息化建設(shè)生力軍的一員，北京師范大學(xué)（簡稱北師大）同樣面對著如何提高校園網(wǎng)的信息與網(wǎng)絡(luò)安全保障的課題。北師大是一所以教師教育、教育科學(xué)和文理基礎(chǔ)學(xué)科為主要特色的著名學(xué)府，全日制在校生20000余人，“十一五”以來，北師大圍繞“綜合性、有特色、研究型世界知名高水平大學(xué)”的發(fā)展目標，大力建設(shè)具有國內(nèi)先進水平的數(shù)字校園網(wǎng)絡(luò)，加強網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)教學(xué)的建設(shè)。

部署多層次病毒防線

北師大在建設(shè)過程中提出了自己的建設(shè)理念，即“預(yù)防為主，應(yīng)急為輔，主動防御強于被動防守”的理念。學(xué)校在網(wǎng)絡(luò)信息安全評估的基礎(chǔ)上，與信息安全行業(yè)的公司合作，提出了一套網(wǎng)絡(luò)信息安全的建設(shè)規(guī)劃和加固措施，組織人員制定和完善了網(wǎng)絡(luò)信息安全管理制度。

國家計算機病毒應(yīng)急處理中心在《報告》中指出：計算機病毒感染率為70.51%，雖然與2008年相比略有下降，當(dāng)仍然在高位徘徊。實際上，北師大一直非常重視對病毒的防范，同時，在產(chǎn)品選型過程中，也充分考慮了均衡性、節(jié)約性、先進性、可靠性、系統(tǒng)擴展性等諸多因素。在校園網(wǎng)中，學(xué)校部署了多層次病毒防線：在客戶端布置瑞星網(wǎng)絡(luò)版客戶端殺毒軟件，在各種操作系統(tǒng)的應(yīng)用服務(wù)器（包括Windows NT/2000、Unix、Linux）端部署瑞星服務(wù)器版殺毒軟件，甚至層層部署系統(tǒng)中心，對整個防病毒系統(tǒng)進行管理，從細節(jié)上斬斷病毒可以傳播、寄生的每一個節(jié)點，實現(xiàn)病毒的全面防范。

分布多級系統(tǒng)中心

在北京師范大學(xué)的網(wǎng)絡(luò)防毒方案中，學(xué)校布置了瑞星中央系統(tǒng)中心來管理整個防病毒系統(tǒng)，保證了整個防病毒產(chǎn)品從管理系統(tǒng)中及時得到更新，同時又使得管理人員可以在任何時間、任何地點通過瀏覽器來管理防病毒系統(tǒng)，使整個系統(tǒng)中的任何一個節(jié)點都可以被管理人員隨時管理，保證整個防病毒系統(tǒng)有效、及時地攔截病毒。

北師大是一所綜合性院校，現(xiàn)設(shè)1個學(xué)部、22個學(xué)院、2個系、23個研究院（所、中心）；為了加強網(wǎng)絡(luò)的安全防護，學(xué)校在網(wǎng)絡(luò)中心安裝一級系統(tǒng)中心的同時，還在全校各下屬院系的網(wǎng)絡(luò)中心安裝二級系統(tǒng)中心，同時，一級中心和二級的各個系統(tǒng)中心可以構(gòu)建成任意形狀的樹狀結(jié)構(gòu)，如圖1所示。

圖1 多中心病毒防護系統(tǒng)網(wǎng)絡(luò)

每個系統(tǒng)中心都可以獨立運行、管理自己所轄地區(qū)網(wǎng)絡(luò)的全部客戶端、服務(wù)器端，而二級系統(tǒng)中心既可以按照地理、行政網(wǎng)段劃分，也可以按計算機數(shù)量劃分或行政單位劃分。每一個二級系統(tǒng)中心的架構(gòu)分別是在各下屬單位網(wǎng)絡(luò)中心配置一臺專用服務(wù)器作為二級系統(tǒng)中心，實現(xiàn)本中心客戶端和服務(wù)器的防病毒管理，并將本中心內(nèi)病毒爆發(fā)情況的統(tǒng)計信息上報給一級系統(tǒng)中心的管理者。

通過系統(tǒng)中心的層次性部署，實現(xiàn)反病毒的統(tǒng)一管理和分布管理，統(tǒng)一管理表現(xiàn)為由上級中心統(tǒng)一發(fā)送查殺病毒命令、下達版本升級提示，并及時掌握全部系統(tǒng)中心（包含下級中心）的病毒分布情況等；分布管理表現(xiàn)為下級中心既可以在收到上級中心的命令后作出響應(yīng)，也可以管理本級，并主動向上級中心發(fā)送請求和匯報信息。可見，多級系統(tǒng)中心能夠支持大型的、多層級的、復(fù)雜的網(wǎng)絡(luò)。這樣即使是下級的任何一個客戶端出現(xiàn)病毒，一級系統(tǒng)中心都可以及時發(fā)現(xiàn)。

武裝終端

部署完系統(tǒng)中心之后，學(xué)校依次進行服務(wù)器端、客戶端的防病毒軟件部署。通過建設(shè)具備終端合規(guī)管理能力的安全軟件系統(tǒng)，再配合其他終端安全硬件，使終端的各項安全指標達到預(yù)設(shè)的安全管理標準和效果。從而有效解決終端安全問題，達到規(guī)范終端安全防護的目的。

專人專責(zé)

我校還建立相應(yīng)的管理制度，如：配備相應(yīng)的MIS人員，負責(zé)整個網(wǎng)絡(luò)安全的日常管理及維護；制定相應(yīng)的機房上機管理制度；強制實施統(tǒng)一的防病毒策略；及時更新升級最新的病毒定義碼等。

融合“云安全”新技術(shù)

北師大的殺毒軟件運用了瑞星最新的“云安全”技術(shù)。云安全技術(shù)融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常進行監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。

瑞星“云安全”系統(tǒng)還應(yīng)用新一代虛擬機技術(shù)，由于虛擬機有著運行效率低的天生缺陷，因此，會出現(xiàn)“集成虛擬機的殺毒軟件殺毒能力強，但安裝之后拖慢機器；不用虛擬機的殺毒軟件殺毒能力弱，但占用資源低”的難題。新一代瑞星虛擬機應(yīng)用分時技術(shù)和硬件 MMU 輔助的本地執(zhí)行單元，在純虛擬執(zhí)行模式下，可以在 P4 3.0 的機器上，每秒鐘執(zhí)行超過2000萬條虛擬指令，結(jié)合硬件輔助后，更可以把效率提高 200 倍。

由于虛擬機運行效率的提高，殺毒軟件不但殺毒能力強，而且占用的系統(tǒng)資源更少，運行更快。虛擬機的運用主要是兩個方面：

第一，虛擬機可以集成在殺毒軟件中，當(dāng)遇到加殼、變形等難以查殺的病毒時，可以將其放入虛擬機中運行，病毒在其中恢復(fù)原形運行，就會被殺毒軟件殺掉，這樣就大大提高殺毒軟件有效查殺各種復(fù)雜的惡性病毒及木馬的查殺能力。

第二，虛擬機可以用在病毒樣本的自動處理中。由于瑞星云安全系統(tǒng)每天需要處理百萬量級的樣本，因此，虛擬機效率的提高，可以讓系統(tǒng)處理新樣本的時間減少，還可以節(jié)約服務(wù)器資源。

云安全系統(tǒng)的引入，使得防病毒的力量延伸到互聯(lián)網(wǎng)的1.5億個客戶端（瑞星卡卡用戶），“云安全”系統(tǒng)可以第一時間感知到互聯(lián)網(wǎng)上存在的安全威脅，并進行快速處理。當(dāng)網(wǎng)絡(luò)管理人員發(fā)現(xiàn)校園網(wǎng)內(nèi)有不能徹底清除的病毒時，可以及時給瑞星發(fā)送反饋，瑞星自動分析系統(tǒng)就會在最短的時間內(nèi)把結(jié)果返回給用戶，這樣可以實現(xiàn)最快的反應(yīng)速度、最好的處理結(jié)果。

從2008年開始，北師大建立起分層、分級的網(wǎng)絡(luò)信息安全監(jiān)控梯隊，通過部署全面立體的防病毒體系，配合學(xué)校整體網(wǎng)絡(luò)安全保障體系的建設(shè)，使得信息系統(tǒng)的高、中風(fēng)險漏洞數(shù)量大大降低，讓網(wǎng)絡(luò)始終維持在比較高的安全水平。