校園網主要安全問題的分析與對策

王杰昌

摘? 要：校園網具有獨特的網絡環境，其面臨的主要安全問題有網絡邊界權限問題和木馬病毒問題。而應對這兩個主要安全問題的策略就是部署防火墻和殺毒軟件，該文講解了這兩種技術手段，并重點闡述了殺毒軟件的部署和操作，以有效應對網絡安全威脅。

關鍵詞：校園網? 主要安全問題? 防火墻? 殺毒軟件

中圖分類號：TP393.08? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1672-3791（2019）03（a）-0009-02

和其他網絡不同，校園網有其獨特性，首先學校有大量師生要上網，其次還有很多業務系統。在校園中網絡要覆蓋教學樓、辦公樓、圖書信息大樓以及宿舍樓等不同領域，信息節點近萬余個，校園網的安全威脅多樣化[1]。保障校園網的網絡安全，營造穩健的網絡環境，仍是各高校網絡維護工作的重點所在。

1? 校園網主要安全問題分析

首先，網絡邊界和權限問題。網絡也是有邊界的，不是誰想訪問校內資源就能訪問的。比如校園網的圖書館資源，這些都是高校花錢購買的，專門提供給廣大師生使用的，如果校園網不設置邊界和權限，那么會有很多社會人士通過網絡進入校園網，免費使用圖書館資源。再比如高校教務系統的權限要區別設置，不同的身份給予不同的權限，高級權限只能開放給教務處的老師，普通師生只能給予查詢權限，如果這些權限沒有管控，任何人都能隨意修改成績，那問題就嚴重了。

其次，網絡病毒和木馬問題。由于校園網上網用戶眾多，感染病毒和木馬的幾率是很大的。如果不能及時攔截和查殺這些病毒和木馬，任其擴散開來，如果學生機房或中心機房服務器區被感染，那么整個校園網岌岌可危。2017年至2018年勒索病毒在很多國家肆虐，我國高校校園網也深受其害，這就是很好的例證。

2? 校園網主要安全問題的對策

根據校園網經常遇到的諸多安全問題（如網絡邊界和權限問題、網絡病毒和木馬問題、網絡黑客和不法分子對校園網的攻擊等），需要一個比較全面的安全防護方案，下面就方案的幾個組成部分進行詳細的闡述。

2.1 防火墻

對于網絡邊界和權限問題，我們首先應該考慮的是在校園網和因特網之間嵌入防火墻設備，管控校園網和因特網之間的連接和訪問[2]，避免校外人士隨意進出校園網和獲取校內網絡資源的問題，同時管控廣大師生的上網行為。如果師生在校外還想訪問校內資源，可以開放一些網站的http權限，讓師生在校外通過賬號密碼登錄訪問;還可以通過VPN或虛擬客戶端訪問內網資源。

其次，為避免校內普通師生PC對中心機房服務器區發動的網絡攻擊，還需在他們之間設置內網虛擬防火墻。

最后，為避免中心機房服務器之間（尤其是同vlan服務器之間）發起的網絡攻擊，我們還需考慮開啟服務器操作系統自帶的防火墻，并且視具體情況設置端口例外。

2.2 殺毒軟件

對于網絡病毒和木馬問題，我們要考慮使用殺毒軟件[3]。對于廣大普通師生的PC，我們建議安裝免費的殺毒軟件，比如360安全衛士（查殺木馬）和360殺毒（查殺病毒），或者火絨安全軟件（前瑞星殺毒軟件團隊研發）等。而對于服務器和重要人物（校領導、網絡中心管理員、教務系統管理員、財務系統管理員、辦公系統管理員、人事系統管理員等）的辦公電腦，我們建議使用購買的正版殺毒軟件，比如卡巴斯基，而卡巴斯基殺毒軟件是把病毒和木馬都記錄在其病毒庫內，認為它們都是病毒，所以該軟件是集安全衛士和殺毒為一體的軟件。因為對于普通用戶而言，免費的殺毒軟件就夠用了，但是這些免費的殺毒軟件往往比較“流氓”，會捆綁很多軟件，在你不注意的情況下會安裝到系統里，而這些對于服務器和重要人物辦公PC是不安全的;而收費殺毒軟件則不會，它們往往是為安裝的機器量身打造的，而且會及時更新病毒庫和升級軟件，還有售后工程師提供技術支持，這些都是免費軟件所不具備的。下面我們以卡巴斯基殺毒軟件為例，闡述一下其具體使用。

2.2.1 軟件安裝部署

首先，需要安全防護的服務器和重要人物辦公電腦要逐一安裝該殺毒軟件的客戶端，對于單臺的物理服務器，卡巴斯基殺毒軟件可直接安裝，對于不同操作系統的服務器，該軟件也相對應的有Windows版本和Linux版本;對于虛擬服務器來說，需要在其宿主機底層安裝該軟件。

其次，再部署一臺vShield Manager服務器，作為卡巴斯基殺毒軟件和VMware對接的“中介”。

最后，為其分配一臺虛擬服務器作為管理機，并且在管理機部署卡巴斯基安全中心，要保證所有安裝卡巴斯基殺毒軟件客戶端服務器和辦公PC與管理機的服務端口暢通。

2.2.2 管理組設置

對于管理組設置網絡中心管理員只需在管理機上操作即可，不需要對所有安裝該軟件的服務器或PC進行逐一操作。打開安全中心，首先要設置管理組，將虛擬服務器的宿主機分成一組命名為vCenter，將單臺的物理服務器和辦公PC編成一組命名為物理機。

對于vCenter組來說，因虛擬機所在的宿主機底層安裝的都是Linux操作系統，所以只需創建一個Linux系統殺毒軟件更新任務即可，只要付費，就可及時更新軟件和病毒庫。然后再創建一個掃描任務：（1）為避免掃描任務影響服務器的正常工作，可避開學校工作時間，設置其每周六晚上零點開始全盤掃描;（2）安全級別自定義，檢測到威脅后可設置為自動選擇操作，這樣以來，如果檢測到文件感染病毒就清除病毒，如果檢測到木馬就刪除，如果檢測到疑似感染病毒的文件就隔離，如果檢測到感染病毒文件無法清除就放到存儲的未處理文件里;（3）掃描范圍設置需考慮特殊軟件，比如校園網有FTP服務器，管理員經常會往FTP服務器上上傳一些應用軟件安裝包及其破解工具，而卡巴斯基會把破解工具視為病毒并殺掉，如果我們確認該工具無毒，可以采取類似建立白名單的做法，將其放到一個指定的文件夾里，掃描范圍可設定為除該指定文件夾以外的所有文件夾。

對于物理機組來說，因該組單臺的物理服務器有安裝Windows系統的，還有安裝Linux操作系統的，辦公PC安裝的是Windows系統，所以其任務應該是既有針對Windows系統的軟件更新和掃描任務，也有針對Linux系統的掃描更新任務。

當然上述設定的自動更新和掃描任務，在必要時也可以由管理員手動更新和手動掃描。另外，在各組計算機選項卡還能看到各機器的連接狀態和病毒庫更新狀態，我們可以據此對有問題機器進行酌情處理。

2.2.3 報告和通知

在這方面，我們可設定感染最嚴重計算機報告、所有機器一個月病毒報告、特殊機一周病毒報告、物理機一周病毒報告、虛擬機一周病毒報告等。查看感染最嚴重計算機報告時，我們經常會看到OA服務器，分析原因，我們會考慮到很多老師會通過自己的辦公PC向服務器上傳公文（Word文檔），部分老師的辦公PC有病毒，我們查看隔離區感染公文就會知道是哪個部門哪位老師的公文，進而追蹤到其辦公PC，對這些辦公PC進行全面的掃毒殺毒。同理，其他報告也對我們的安全維護工作大有裨益的。

2.2.4 存儲

在存儲類里面也有比較重要選項，比如更新、授權許可、隔離、備份、未處理文件等。其中，隔離里面存放的是疑似感染病毒文件，如果確認是正常，則可以恢復該文件。未處理文件里面存放的是感染病毒的文件，因該文件正在運行，所以無法清除病毒，只能放在這里，管理員可停止運行該文件或重啟服務器，然后就可清除掉該文件的病毒。更新、授權許可、備份則不再贅述。

2.2.5 管理服務器

在平時的維護工作當中，我們經常看的就是管理服務器頁面，它是一個總概覽頁面，包括部署、計算機管理、計算機保護和病毒掃描、更新、監控等幾大類。通過這個頁面我們可以看出各方面的大致情況，優先處理標紅告警的問題，比如有幾臺機器病毒庫過期、幾臺機器反病毒保護沒有運行、幾臺機器禁用保護等。

3? 結語

道高一尺，魔高一丈。校園網安全防護就是一個此消彼長、不斷攻防的過程。隨著時代的發展和技術的進步，網絡病毒和黑客也在發展，校園網所面臨的安全問題也會越來越復雜，所以，安全防護技術也要不斷地升級，不斷地改進，加以應對。

參考文獻

[1] 徐澤唯.校園網絡管理及安全防護方案分析[J].電腦知識與技術，2018（162）：72-74.

[2] 斯托林斯.密碼編碼學與網絡安全——原理與實踐[M].3版.北京：電子工業出版社，2004.

[3] 楊戰旗.校園網安全風險應對策略研究[J].福建電腦，2018（3）：102-103.