校園網(wǎng)絡(luò)安全管理之我見

進(jìn)入21世紀(jì)后，信息化浪潮正以不可抗拒的力量改變著人們的生產(chǎn)方式和生活方式，也正在影響并改變著學(xué)校的管理模式、教學(xué)模式、學(xué)習(xí)方式乃至師生的生活方式。為積極推進(jìn)學(xué)校教育信息化建設(shè)，很多學(xué)校都投入巨資建設(shè)了校園網(wǎng)絡(luò)，校園網(wǎng)正在學(xué)校教育中發(fā)揮著越來越重要的作用。但在與網(wǎng)管老師的交流中，經(jīng)常會聽到一些網(wǎng)絡(luò)安全與病毒防治方面的無奈，如學(xué)生上網(wǎng)時(shí)經(jīng)常會好奇地去查看和修改網(wǎng)絡(luò)鄰居上教師組里共享的內(nèi)容；教師辦公室電腦的上網(wǎng)時(shí)間無法有效控制，有些內(nèi)容如網(wǎng)上聊天、游戲等已經(jīng)嚴(yán)重影響到了教師正常的備課；網(wǎng)絡(luò)病毒亂竄，網(wǎng)絡(luò)經(jīng)常癱瘓；學(xué)生上網(wǎng)經(jīng)常接觸到不健康的信息，上網(wǎng)無法控制等。這些也是筆者所在學(xué)校規(guī)劃、建設(shè)校園網(wǎng)中存在過的問題，但隨著校園網(wǎng)的建設(shè)，在使用探索中，我們?nèi)〉昧艘恍┏晒Φ慕?jīng)驗(yàn)，基本解決了以上問題，希望這些經(jīng)驗(yàn)?zāi)軐氖陆逃畔⒒ㄔO(shè)的老師們有所啟迪，對徹底解決或緩解“校園網(wǎng)管理難”有所幫助。

一、合理劃分虛擬網(wǎng)（VLAN）

虛擬網(wǎng)是指在物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)上，利用交換機(jī)和路由器的功能，配置網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)，從而允許網(wǎng)絡(luò)管理員任意地將一個(gè)局域網(wǎng)內(nèi)的任何數(shù)量網(wǎng)段聚合成一個(gè)用戶組，就好像它們是一個(gè)單獨(dú)的局域網(wǎng)。

從校園網(wǎng)安全的角度來看，通過合理劃分虛擬網(wǎng)（VLAN）來分割不同的網(wǎng)絡(luò)用戶，并通過訪問控制列表可以有效解決網(wǎng)絡(luò)間存在的安全隱患，控制非法惡意鏈接。

做法是：在網(wǎng)絡(luò)規(guī)劃與網(wǎng)絡(luò)配置時(shí)首先確定校園網(wǎng)各虛擬網(wǎng)段（VLAN）計(jì)算機(jī)的IP地址取值范圍；由于要考慮校園網(wǎng)今后與本地教育城域網(wǎng)之間的無縫鏈接和筆者所在學(xué)院的具體計(jì)算機(jī)點(diǎn)數(shù)，以便今后能在本地教育城域網(wǎng)范圍內(nèi)開展一些特殊應(yīng)用，故學(xué)院一開始就向本地教育城域網(wǎng)中心申請了一個(gè)網(wǎng)段的合法的IP地址。其次考慮到學(xué)校的具體情況，學(xué)院在應(yīng)用中劃分出一部分網(wǎng)段組成了不同的虛擬網(wǎng)（VLAN），其中一個(gè)網(wǎng)段專門用于網(wǎng)絡(luò)管理中心的具體幾臺服務(wù)器，另一個(gè)VLAN用于教師辦公區(qū)域，其他VLAN分別用于行政組、教學(xué)樓一區(qū)、教學(xué)樓二區(qū)、圖書管理系統(tǒng)、網(wǎng)絡(luò)教師、財(cái)務(wù)區(qū)等等。同時(shí)在交換機(jī)的訪問控制列表配置中，拒絕其他VLAN訪問行政組、財(cái)務(wù)區(qū)等的VLAN，拒絕網(wǎng)絡(luò)教室VLAN訪問教師組的VLAN等，從而確保了整個(gè)網(wǎng)絡(luò)的安全性。

二、將IP地址與網(wǎng)卡MAC地址綁定

IP地址沖突是網(wǎng)管碰到的最頭疼的問題之一，一旦用戶更改了自己的IP地址，將會導(dǎo)致同一VLAN中兩個(gè)人都不能上網(wǎng)。為了防止出現(xiàn)IP地址沖突，采取了將IP地址與MAC地址綁定的方法。具體操作是這樣的：在交換機(jī)的配置中，采用ARP命令，首先綁定不使用的地址（MAC地址使用FF:FF:FF:FF:FF:FF廣播地址）。其次綁定使用的地址，如ARP 192.68.2.12 00:10:DC:A9:D6:FF，這樣就完成了綁定，用戶即使改了自己的IP地址以后，也會發(fā)現(xiàn)根本無法使用網(wǎng)絡(luò)，只能向網(wǎng)絡(luò)中心查詢正確合法IP地址，而且在這過程中其他合法用戶不受影響。當(dāng)然還有一種可取的方法就是建立DHCP服務(wù)器，使用DHCP服務(wù)器+交換機(jī)的IP SNOOPING功能來給客戶機(jī)動(dòng)態(tài)來獲取合法的IP地址，同時(shí)永久地將其綁定，這可以大大減輕網(wǎng)管人員的工作量，但首要的條件是你的交換機(jī)必須是可管理的，同時(shí)還需要具備IP SNOOPING的功能，一些條件未成熟的學(xué)校不一定能采用此種方法。

為了使用戶知道自己的合法IP地址，我們將用戶IP地址和MAC地址都放在數(shù)據(jù)庫里，管理員查看的時(shí)候，可以顯示所有用戶的IP地址和MAC地址，而用戶查找的時(shí)候，只能看到IP地址，看不到MAC地址，這樣即使他修改了MAC地址也毫無意義，從而保證不會出現(xiàn)IP沖突。在使用IP地址和MAC地址綁定的同時(shí)，我們也就解決了前期一段時(shí)間流行的ARP病毒帶來的困惑。

三、強(qiáng)制實(shí)現(xiàn)域用戶身份認(rèn)證

隨著校園網(wǎng)提供的信息服務(wù)質(zhì)量的提升，對信息安全的需要也越來越強(qiáng)烈。同時(shí)，在校園網(wǎng)提供更高層次服務(wù)的時(shí)候，對于用戶的身份認(rèn)證、服務(wù)權(quán)限管理的需求也相應(yīng)地提高。原有各獨(dú)立的服務(wù)系統(tǒng)各自為政的身份認(rèn)證方式難以達(dá)到這個(gè)要求，這就需要有一個(gè)獨(dú)立的、高安全性的和可靠性的身份認(rèn)證及權(quán)限管理系統(tǒng)，并由此系統(tǒng)完成對整個(gè)校園網(wǎng)用戶的身份確認(rèn)和權(quán)限管理。

通過以上設(shè)置，保證了所有用戶可以在連入校園網(wǎng)的任何一臺電腦上用自己合法的賬戶與密碼登陸校園網(wǎng)的域，從而去享受到相應(yīng)的服務(wù)。

針對學(xué)院的具體情況，配置了網(wǎng)關(guān)認(rèn)證流控設(shè)備，所有內(nèi)網(wǎng)用戶要訪問外網(wǎng)的資源必須進(jìn)行嚴(yán)格的用戶認(rèn)證。對于非法接入的設(shè)備和用戶會拒之門外。而且還能進(jìn)行為期6個(gè)月以上的數(shù)據(jù)流量備份，以便在關(guān)鍵時(shí)刻的備查。這種做法不僅保證了網(wǎng)絡(luò)的安全性，還同時(shí)提升了網(wǎng)絡(luò)帶寬的利用率。

四、配置網(wǎng)絡(luò)版殺毒軟件

網(wǎng)絡(luò)架設(shè)并配置以后，能進(jìn)來并流行的病毒少了，但通過光盤、U盤帶進(jìn)來的還會很多，因此病毒的查殺也是非常重要的，經(jīng)過綜合比較以后，學(xué)院使用Norton網(wǎng)絡(luò)版殺毒軟件。該軟件有以下幾個(gè)顯著特點(diǎn)：

1.安全、智能的安裝升級方式

遠(yuǎn)程自動(dòng)安裝，可采用服務(wù)器端推送方式或者通過在服務(wù)器端設(shè)置登錄腳本等方式，實(shí)現(xiàn)在WIN98/ME/NT/2000/XP等平臺的計(jì)算機(jī)自動(dòng)安裝的功能。

2.智能化自動(dòng)升級

安裝Norton產(chǎn)品后，可實(shí)現(xiàn)從控制臺到客戶端的病毒特征文件的自動(dòng)分發(fā)和升級。保證客戶端的殺毒軟件始終是最新的。

3.對客戶端的完全控制

管理員通過控制臺能夠?qū)\(yùn)行在該平臺上的防病毒軟件進(jìn)行全面管理，包括客戶端軟件的安裝、卸載、啟動(dòng)、關(guān)閉、掃描配置、計(jì)劃、升級、CPU占有率、進(jìn)程和目錄排除、管理授權(quán)等全部任務(wù)進(jìn)行控制。

當(dāng)然，只是安裝殺毒軟件，不進(jìn)行有效管理也是達(dá)不到預(yù)期效果的。我們在自己做好服務(wù)器防毒工作的基礎(chǔ)上還經(jīng)常在網(wǎng)上提醒院內(nèi)教師注意防毒和殺毒，確保將病毒攔截在校園網(wǎng)之外和扼殺在萌芽狀態(tài)。

五、及時(shí)修補(bǔ)補(bǔ)丁，合理設(shè)置防火墻配置

因?yàn)槲覀儸F(xiàn)在大部分機(jī)器都是使用Windows操作系統(tǒng)，里面有很多漏洞，作為網(wǎng)管就需要及時(shí)為各種漏洞盡早打上補(bǔ)丁，否則后果不堪設(shè)想。

為了防止黑客的攻擊，還需要配置防火墻來遏制不良用戶的攻擊。我們的重點(diǎn)是防止外部用戶的攻擊，但是內(nèi)部用戶的攻擊有時(shí)候可能比外部攻擊更可怕。為此我們堅(jiān)持兩手抓、兩手都要硬的策略，既確保了內(nèi)部安全，也確保了內(nèi)部用戶沒法攻擊城域網(wǎng)。一般情況下，一個(gè)星期內(nèi)會在校園網(wǎng)上放上最新的Windows補(bǔ)丁，同時(shí)通知用戶及時(shí)地打上相應(yīng)漏洞補(bǔ)丁。

六、制定完善的安全管理制度

有了以上一系列的技術(shù)保障措施，并不就萬事無憂了。技術(shù)不是萬能的，只有制定相應(yīng)的安全管理制度，充分發(fā)揮人的主觀能動(dòng)性，使上網(wǎng)、用網(wǎng)的師生能自覺地遵守網(wǎng)絡(luò)道德與網(wǎng)絡(luò)規(guī)范，才能使網(wǎng)絡(luò)安全管理做到事半功倍。

為此，我們在一開始啟用校園網(wǎng)的時(shí)候，就要求每位教師必須簽訂《校園網(wǎng)入網(wǎng)安全責(zé)任書》，明確自己的責(zé)任、權(quán)利與應(yīng)承擔(dān)的義務(wù)。并明確要求他們使用統(tǒng)一、規(guī)范的工作組名、計(jì)算機(jī)名，并確保自己的計(jì)算機(jī)名、IP地址、網(wǎng)卡MAC地址、登陸賬號四統(tǒng)一。另外還制定了嚴(yán)格的《校園網(wǎng)安全管理?xiàng)l例》，要求網(wǎng)管教師嚴(yán)格遵照執(zhí)行，確保科學(xué)、有效地管理好校園網(wǎng)，促進(jìn)校園網(wǎng)絡(luò)系統(tǒng)安全、高效地運(yùn)行。

（作者單位：山東化工技師學(xué)院）